Analiza ryzyka czy analiza wpływu na biznes?

Nawiązując nieco do artykułu Iwony D. Bartczak o tym, jakie wyzwania czekają nas w świecie postCOVIDO-wym, dziś dwa zdania komentarza z mojej strony do systemów zarządzania bezpieczeństwem.

Rozliczenia

Wiele firm z grona tych, które nie mogą w pełni funkcjonować w czasie obostrzeń wprowadzonych przez rządy krajów, zaczyna szacować skutki pandemii. Nie do końca to jest jeszcze możliwe, niemniej działania takie już mają miejsce. Jednym z obszarów “rozliczeń” są działy zajmujące się ryzykiem.

Tylko które?

Zanim jeszcze zacząłem pracować w Wielkiej Brytanii, dość często bywałem na spotkaniach Business Dialog i Klubu Dyrektorów Finansowych „Dialog” na Giełdzie Papierów Wartościowych. Pamiętam jedną z moich dyskusji z Romanem Młodkowskim, wówczas redaktorem TVN CNBC, w której doszło do pewnej “spiny”. Otóż zdaniem mojego adwersarza są różne ryzyka.

Tak, zdaję sobie sprawę, że to powszechne podejście. Ryzyko operacyjne, walutowe, prawne…

Ale czy na pewno są to RYZYKA? czy może raczej SKUTKI?

Ryzyko dodatkowo musi mieć parametr niepewności, który bardziej popularnie się nazywa prawdopodobieństwem. I dopiero zestawienie skutku (jakiegokolwiek) z możliwością jego wystąpienia będzie ryzykiem.

Ryzyko ma swoje miary

To jest teza, którą stawiam od lat. Chyba już kilkunastu. Ryzyko ma swoją miarę, jest odrębnym bytem. Może być:

  • Krytyczne, czy też katastroficzne (amerykańskie standardy)
  • Poważne
  • Nieistotne
  • Pomijalne

 

Dodam cztery przykładowe grupy skutków, żeby wprowadzić nieco w koncepcję:

  • Operacyjne (kontraktowe)
  • Finansowe (straty)
  • Kary (nakładane przez regulatorów i organy nadzorcze)

Opis ryzyka, na przykładzie ryzyka krytycznego

Ryzyko krytyczne, koledzy zza wielkiej wody mówią katastroficzne, będzie wtedy gdy:

  • Operacyjnie - nie będziemy w stanie zrealizować określonej liczby umów (liczone liczbą umów bądź wartościami obrotu lub zysku);
  • Finansowo - gdy strata przekroczy konkretny próg, po którym firma już się nie podniesie. Dla jednych 1 milion, dla innych 10.
  • Kary - gdy kary nałożone przez organy przekroczą skutki finansowe punkt wyżej, bądź organ skorzysta z najbardziej drastycznych narzędzi. Wyłączy linię produkcyjną (Inspekcja Pracy lub UDT), budynek z użytkowania (Straż Pożarna bądź Nadzór Budowlany), czy zakaże
  • Reputacja, gdy nastąpi odpływ stałych klientów (odpowiednie parametry, oczywiście) o co najmniej 25%, a nowych będzie o połowę mniej niż zakładano.

Oczywiście, opisy skutków są przykładowe. W realnym działaniu powinny być dostosowane do konkretnej organizacji. Istotą takiego podejścia jest ranking ryzyka ułożony korporacyjnie, a nie z punktu widzenia konkretnego działu w organizacji.

Branżyści, czyli punkt widzenia zależy od punktu siedzenia

Branżowi spece (RODO, BHP, finanse, pożarówka) utrzymują swój punkt widzenia jako kluczowy. Bo do naruszenia praw i wolności w RODO nie wolno dopuścić, do wypadku ciężkiego, czy śmiertelnego też. I to jest obowiązek kierującego. Jak najbardziej. Ale gdybyśmy wprowadzili pewne stopniowanie:

  • Ryzyko rozpatrywane branżowo, na poziomie minimalnym wymaganym przez prawo, do wypełnienia zawsze, coś jakby warunki progowe plus modyfikacja po analizach;
  • Ryzyko korporacyjne, gdzie wejściem do oceny są oceny branżowe? Niejako drugi stopień.

Ryzyko czy ocena wpływu (BIA)?

Wracając już do kwestii skutków izolacji wprowadzonej przez rządzących (na całym świecie, nie ograniczajmy się do Polski), warto zastanowić się, czy klasyczne podejście do ryzyka w ogóle mogło zadziałać? W wielu firmach można powiedzieć, że “odpalone” zostały jeśli nie wszystkie, to większość ryzyk w skutkach grup operacyjne czy finansowe. Niestety, z racji wprowadzania sztywnych przedziałów (zarówno poziomami ryzyka jak i podziału branżowego) oraz częstego pomijania krzyżowania się ryzyk, nie do końca mamy możliwość przewidzenia prawdziwych skutków dwóch lub więcej źródeł.

BIA - analiza wpływu na biznes

W 2015 roku w Londynie w trakcie konferencji dla członków BSI (British Standards Institution, odpowiednika naszego PKN) dyskutowaliśmy o business resilience i ciągłości działania. W ramach konferencji został przedstawiony model analizy BIA Business Impact Analysis (oceny wpływu na biznes) w oparciu o specyfikację techniczną ISO/TS 22317, która moim zdaniem jest jedną z ciekawszych publikacji w tym obszarze.

Mała dygresja o modzie. Business Resilience poświęcę zapewne wiele artykułów, bo niestety często jest to próba wykorzystania kolejnej mody, w której spece od ciągłości działania nazwali się po prostu business resilience experts i uderzyli po podwyżki. A to wcale nie jest żaden nowy system zarządzania, tylko filozofia funkcjonowania w turbulentnym (i nie tylko) środowisku.

5951543868?profile=RESIZE_710x

ISO/TS 22317

Funkcja czasu

Zdjęcie w artykule pochodzi z prezentacji ze szkolenia związanego z analizą wpływu na biznes w oparciu między innymi o ISO/TS 22317. Pokazuje bardzo istotną kwestię, która jest “pomijana” w standardowych modelach szacowania i oceny ryzyka. Chodzi o funkcję czasu, która doprowadza do skumulowanego skutku. W dużym skrócie:

  • Kontrakty nie “spadają” od razu. Są kary umowne, negocjacje związane z opóźnieniami świadczenia usługi bądź dostarczenia produktu, obniżenia ilości etc.
  • Skutek finansowy nie następuje od razu;
  • Kara nałożona przez organ nie następuje od razu;
  • Utrata reputacji też nie następuje od razu. Choć czasem skoki są spore, ale nie od razu tracimy wszystkich klientów czy wycena z akcji nie spada do wartości dramatycznie niskiej.

To oznacza, że skutki różnego rodzaju zdarzeń należy rozpatrywać z funkcją czasu. I ten czas jest niezbędny do planowania reakcji w ramach systemów zarządzania ciągłością działania. Pokazuje swoistą “kolejność” przeciwdziałania, w tym bufory czasowe do materializacji, czyli czas na przygotowanie (dynamicznie w każdej sytuacji).

Ale BIA pokaże też i moment, w którym dochodzi do skutku skumulowanego, który skończy firmę. 

Elastyczność skutku

W tym wydaniu raportu w BSI nie udało się jeszcze przemycić bardzo istotnej kwestii z punktu widzenia zarówno ryzyka, jak i analizy wpływu na biznes. Jako że jest to portal, w którym wielu uczestników pracuje w obszarze finansów, wyjaśnię na świetnym przykładzie skutku finansowego.

  • Poziom straty 1.000.000 mln (klasyczne podejście do skutku finansowego);
  • Wskaźniki płynności (proponowane do BIA).

Moim zdaniem, dużo bardziej wartościowym w zarządzaniu ciągłością działania (BIA jest podstawową analizą w BCM-ach) jest oparcie się na wskaźnikach płynnościowych, a nie odnoszenie się do konkretnego poziomu skutku. Wystarczy przecież aby firma dokonała poważniejszej inwestycji i już możemy mieć problem z funkcjonowaniem, nawet jeśli poziom skutku w ocenie ryzyka nie zostanie osiągnięty. Pozyskanie finansowania zewnętrznego to też zabezpieczenie, liczone zarówno co do wysokości, jak i szybkości (znów czas).

W naszych obecnych pracach rozwojowych zmierzamy do tego, aby odszukać różnego rodzaju wskaźniki, które mogą być stosowane jako “elastyczne”. Oczywiście, nie jest to warunek konieczny. Jeśli okaże się, że niektóre skutki nie są możliwe do wskazania w formie elastycznej (zależnej od czynników zewnętrznych) powrócimy do wskazań stałych parametrów.

Krytyczność procesów

W analizach BIA (oceny wpływu) od lat stosuje się określenie krytyczności procesów. Nadal jednak wygląda to tak, że koordynator systemu BCMS (business continuity management system), czy osoba która odpowiada za plany ciągłości działania (BCP) wysyła zapytanie z tabelkami do działów. Mało tego, pytanie to też dotyczy …. krytyczności procesów. Innymi słowy to właściciel procesu określa na ile on jest krytyczny.

Brzmi znajomo prawda?

Całkiem jak w ryzyku, każdy z “branżystów” wie lepiej, co dla firmy lepsze. Choć bardziej - dla JEGO procesów.

Model zawarty w ISO/TS 22317 wskazuje zupełnie inny przebieg:

  • Identyfikacja kluczowych produktów bądź usług, wykonywane przez najwyższe kierownictwo. Produktów i usług, nie procesów.
  • Identyfikacja krytycznych procesów (priorytetyzacja). Czyli wskazanie tych procesów, które przy zakłóceniu mogą spowodować istotny spadek dostarczania produktów bądź usług. Wrażliwość procesów określają właściciele.
  • Identyfikacja krytycznych aktywności, czyli wskazanie które z nich błędnie wykonane bądź przerwane skutkują przerwaniem procesu krytycznego i w następstwie przerwaniem dostarczania kluczowych usług i produktów.

Podejście to “przećwiczyliśmy” i zaskakujące jest to, że prawdziwie krytycznych procesów jest 1-4 na 3-5 produktach/usługach. Aktywności (np. rekrutacja, przeglądy i naprawy, transport jako czynność, sprzedaż) jest 10-15. Nawet przy większej skali produkcji (większy asortyment, przezbrajanie produkcji, etc.) ilość procesów nie wzrasta drastycznie. Podobnie aktywności. Zasada Pareto jak widać działa wszędzie.

Wpływ BIA na wartościowanie zasobów

Wartościując zasoby wprowadzamy też dodatkową skalę - wartość procesowa. Wyrażana jest częściej w formie priorytetu, rzadziej kwotowo (brak materiału badawczego w firmach).

Co ważne, dla aktywności w procesach praktycznie zawsze powinniśmy dodać drugą wartość, która jest niezbędna do planowania ciągłości, czyli wartość odtworzeniowa. Pisząc kolokwialnie, za ile pozyskamy zasób o podobnych parametrach (personel, maszynę, informacje w postaci receptury czy opisu projektu).

Krótkie podsumowanie różnic:

  • Ryzyko - skupia się na konkretnym skutku. Realizowane dla wszystkich obszarów działania organizacji, najczęściej w ujęciu branżowym. Nazywane czasem silosowym, choć do mnie bardziej przemawia słowo “folwarczne”.
  • BIA (ocena wpływu na biznes) - skupia się na nałożeniu się skutków w czasie. Realizowane dla usług i produktów kluczowych dla organizacji. Podstawa planowania ciągłości działania (o dopuszczalnych czasach przestojów i zakłóceń już następnym razem).

Podsumowanie

W dzisiejszym artykule chciałem zwrócić uwagę na dwie kwestie.

  • Integracja ryzyka. Dla organizacji nie ma specjalnego znaczenia czy zaprzestanie działań w wyniku pożaru i zniszczenia hali, czy decyzji PUODO w sprawie zakazu przetwarzania danych osobowych i braku możliwości korzystania z nich do sprzedaży. Skutek jest ten sam - koniec firmy.
  • BIA (ocena wpływu) - dla kluczowych produktów i usług, czyli określamy co tak naprawdę nas utrzymuje. I tym się zajmujemy tworząc plany ciągłości działania.

UWAGA! dane o skutkach do BIA powinny być “zaciągane” z systemu oceny ryzyka. Dzięki temu znów mamy JEDNĄ pracę i wykorzystamy jej efekty w kilku obszarach. O czym w podsumowaniu.

Podsumowanie ekonomiczne:

Ocenę zagrożenia pożarem robią (autentyki z audytów):

  • Inspektor Ochrony PPOŻ (jedyny uprawniony i z kwalifikacjami, pozostali wpisują sobie “z czapki”);
  • IOD - do ryzyka dla praw i wolności;
  • Ochroniarz - do zagrożenia zniszczeniem mienia;
  • BHP - do ryzyka zawodowego utraty zdrowia i życia.

Czyli średnio w firmie czterokrotnie jest wykonana analiza zagrożenia pożarem, możliwość jego wystąpienia i siła, choć… uprawniony i ekspert jest tylko jeden. Drugi obszar, czyli ocena ryzyka:

  • Ocenę ryzyka wykonują branżyści (jak w przykładzie wyżej);
  • Ocenę ryzyka wykonują spece od BIA w obszarach procesów krytycznych.

Naprawdę nas stać na takie wydatki?

A mnie jako eksperta od bezpieczeństwa korporacyjnego osobiście boli to, że w zależności od tego jaki spec analizuje, to ten sam skutek jest oceniany zupełnie inaczej. Co powoduje, że po zdarzeniu odpowiedzialność managera zależeć będzie od tego, którą analizę prokurator weźmie jako wiodącą.

Grzegorz Krzemiński

Grzegorz Krzemiński jest ekspertem w dziedzinie zapewniania bezpieczeństwa. Zrealizował ponad 650 projektów, w tym analiz zagrożeń, ryzyka, wpływu na biznes (BIA), zarządzania bezpieczeństwem, incydentami, ciągłością działania (BCM), kryzysami.