5 min
Zarządzanie ryzykiem jako proces biznesowy
Wstęp
Ryzyko jest elementem stale towarzyszącym działaniom każdego przedsiębiorstwa. W celu sprawnego zarządzania organizacją, skupiającego się na stałym rozwoju firmy, warto wdrożyć mechanizmy wczesnego rozpoznawania niebezpieczeństw. Umożliwi to podejmowanie szybkich i trafnych decyzji zmniejszających wpływ potencjalnych zagrożeń na działalność firmy, jak i wyniki poszczególnych projektów.
Jednym ze sposobów podejścia do zarządzania ryzykiem jest potraktowanie go jako procesu biznesowego firmy, na który składają się następujące po sobie etapy: identyfikacja potencjalnych zagrożeń, analiza i ocena ryzyka, reakcja na ryzyko oraz monitoring i ocena podjętych działań.
Zarządzanie ryzykiem nie powinno być działaniem incydentalnym, lecz ciągłym procesem, dlatego warto zaimplementować rozwiązanie informatyczne, zapewniające jedno centralne miejsce do monitorowania poziomu ryzyka i jego kontroli oraz planowania działań mitygujących.
Poniżej opisano z jakich elementów może składać się aplikacja zarządzania ryzykiem na platformie WEBCON BPS na etapie identyfikacji potencjalnych zagrożeń oraz analizy i oceny ryzyka. Ważnym aspektem jest możliwość dostosowania aplikacji do zmieniających się potrzeb przedsiębiorstwa. Wykorzystanie platformy low-code, zapewnia możliwość wprowadzania szybkich zmian do „żyjącego” systemu.
Definiowanie ryzyka
Jedną z kluczowych kwestii jest zaangażowanie kierownictwa i pracowników w identyfikowanie i zgłaszanie potencjalnych zagrożeń w swoim obszarze pracy. Dlatego też warto rozpocząć aplikację od zebrania podstawowych informacji stanowiących źródło dalszej analizy potencjalnego zagrożenia. W tym celu tworzymy obieg identyfikacji ryzyka. W jego formularzu umieścimy:
- Opis zidentyfikowanego ryzyka
- Rodzaj ryzyka
- Kategorie ryzyka
- Wskazanie przyczyn i zdarzeń inicjujących wystąpienie ryzyka
- Określenie podmiotów i obszarów dotkniętych potencjalnym ryzykiem
- Opis możliwych lub historycznych konsekwencji
- Wskazanie dotychczasowych mechanizmów kontroli ryzyka
- Wyznaczanie właścicieli ryzyka odpowiedzialnych za jego ewaluację
Tak zdefiniowane ryzyko może podlegać weryfikacji, konsultacji i zatwierdzeniu przez jednostki odpowiedzialne, by w konsekwencji stać się „aktywnym” ryzykiem w repozytorium.
Przykład procesu: identyfikacja ryzyka
Przykład procesu: repozytorium ryzyk
Wydzielenie osobnego procesu będącego repozytorium ryzyk pozwala na zbudowanie przejrzystego katalogu wszystkich potencjalnych zagrożeń. Repozytorium będzie punktem startowym dla procesu ewaluacji. Dynamika niektórych organizacji wymaga uwzględnienia zmian kadrowych, szczególnie dotyczących osób odpowiedzialnych za zarządzanie danym ryzykiem, m.in. ewaluację ryzyka, dlatego powinno się również przewidzieć mechanizmy wyznaczania nowych właścicieli ryzyka bezpośrednio z repozytorium ryzyk. W przypadku bardziej zaawansowanych procedur wyznaczania osób odpowiedzialnych, warto zbudować osobny proces do przypisania i akceptacji nowych właścicieli ryzyka.
Analiza i ocena ryzyka
Każde zidentyfikowane ryzyko w kolejnych krokach należy poddać ewaluacji, na którą składają się:
- analiza ilościowa polegająca na dodaniu wartości prawdopodobieństwa zaistnienia ryzyka i jego możliwych skutków lub dodatkowo innych przyjętych w metodyce parametrów,
- analiza jakościowa umożliwiająca estymację wystąpienia poszczególnych czynników poprzez np. ocenę mechanizmów kontroli, czyli zabezpieczenia ryzyka.
Na etapie tworzenia obiegu i formularza do oceny ryzyka, warto zastanowić się nad różnymi funkcjonalnościami ułatwiającymi przeprowadzenie jego ewaluacji. Pierwszym elementem jest sposób inicjalizacji procesu oceny ryzyka. Oprócz standardowego, manualnego uruchomienia przez osoby zarządzające ryzykiem warto rozważyć mechanizm automatycznego startu procesów ewaluacji. Określając częstotliwość uruchamiania ocen (wraz z datą startową), możemy stworzyć harmonogram ewaluacji aktywnych ryzyk, wykorzystując globalne akcje cykliczne w WEBCON BPS. Takie rozwiązanie można rozszerzyć dodatkowo o:
- powiadomienia mailowe o otrzymaniu zadania oceny ryzyka
- powiadomienia mailowe przypominające o przypisanym zadaniu do wykonania,
- uwzględnienie kalendarza dni roboczych przy wyliczaniu daty następnej ewaluacji ryzyka,
- weryfikację, czy wskazany właściciel ryzyka jest aktywnym użytkownikiem wraz z mechanizmem obsługi sytuacji, w której nie ma aktywnego użytkownika do którego powinno zostać przydzielone zadanie,
- określenie liczby powtórzeń automatycznej ewaluacji ryzyka,
- możliwość ponownej ewaluacji poza wyznaczonym harmonogramem.
Wygląd formularza oceny oraz przebieg procesu ewaluacji może różnić się w zależności od potrzeb przedsiębiorstwa.
W podstawowym wariancie, w przypadku analizy ilościowej, będzie skupiał się na określeniu prawdopodobieństwa i skutków wystąpienia ryzyka z wykorzystaniem słownikowych pól wyboru oraz komentarzy. W wyniku dokonanego wyboru przez osoby odpowiedzialne, system będzie obliczał wartość ryzyka rezydualnego. Natomiast w przypadku analizy jakościowej będą to najczęściej pola opisowe i/lub listy pozycji. Oczywiście wszędzie tam, gdzie możliwe jest wsparcie użytkownika w dokonywaniu oceny poprzez zastosowanie słownikowych pól wyboru, warto zapewnić takie rozwiązanie. Ze względu na to, że ryzyko dotyczy najczęściej wielu różnych obszarów działalności firmy, kluczowe jest, by formularze jego oceny były stworzone w sposób przejrzysty i klarowny dla użytkownika.
Przykład procesu: ewaluacja ryzyka
Do podstawowego wariantu można dodać szereg funkcjonalności wpływających zarówno na wygląd, jak i na przebieg procesu ewaluacji ryzyka:
- skrócenie/wydłużenie ścieżki akceptacji w zależności od wyceny ryzyka w analizie ilościowej,
- możliwość decydowania o wadze oceny w wyliczeniu wartości ryzyka rezydualnego,
- możliwość decydowania o wyborze kryteriów i perspektyw przeprowadzanych ewaluacji,
- możliwość decydowania o połączeniu/rozdzieleniu analizy ilościowej i jakościowej,
- podgląd oceny inherentnej wraz ze wskazaniem trendu,
- dodanie oznaczeń kolorystycznych zgodnie z matrycą wartościowania ryzyka.
Warto na tym etapie wspomnieć, że ryzyko może odnosić się nie tylko do zagrożeń, ale również potencjalnych szans. Poprzez prosty zabieg rozbudowy formularza o wskazanie charakteru ryzyka (szansa/zagrożenie) możemy obsłużyć również proces oceny wystąpienia szans w przedsiębiorstwie.
W przypadku firm, w których skład wchodzi wiele spółek, możliwe jest uwzględnienie dodatkowego poziomu oceny, jakim jest poziom oceny korporacyjnej. Wielospółkowość może wpływać również na macierze prawdopodobieństwa i skutków wystąpienia ryzyka.
Dzięki wykorzystaniu procesów słownikowych możemy w prosty sposób zbudować źródła danych zawierające zasady oceny prawdopodobieństwa i skutków ryzyka oraz dodatkowe słowniki, takie jak np. zasady oceny mechanizmów kontrolnych.
Słowniki te mogą być tak skonstruowane, by oceniający widzieli tylko opis słowny przy ocenie, a wartości liczbowe czy procentowe były przechowywane w zależności od potrzeb w dodatkowych atrybutach wskazujących wartość wybranej oceny oraz/lub w samym słowniku dostępnym dla administratorów z działów zarządzania ryzykiem. Takie podejście z jednej strony ułatwi dokonanie oceny przez osoby odpowiedzialne, z drugiej strony zapewni dostęp do wartości liczbowej, pozwalając na analizę zależności i przygotowanie różnych raportów np. mapy potencjalnych ryzyk.
Kolejną istotną kwestią przy wykorzystaniu słowników procesowych jest określenie, czy wszystkie ryzyka będą miały wspólną matrycę wartości prawdopodobieństwa i skutków ryzyka, czy też będą one różne w zależności od wybranych parametrów np. kategoryzacji ryzyka, przyjętych kryteriów i perspektyw oceny ryzyka, spółek, których dotyczy ewaluacja itp. Sposób budowy słowników będzie determinowało również to:
- czy słowniki powinny być określane czasowo,
- czy powinny posiadać mechanizmy kopiowania wartości dla innych parametrów definiowania macierzy,
- w jaki sposób powinny być przechowywane dane historyczne,
- kto będzie zarządzał słownikami.
Analiza wymagań biznesowych w zakresie obsługi ewaluacji ryzyka ma tutaj ogromne znaczenie, jednakże wykorzystanie platformy low-code daje nam możliwość stopniowego dodawania kolejnych elementów, na które składa się aplikacja do zarządzania ryzykiem, a proces ewaluacji ryzyka stanowi punkt wyjścia do implementacji jej kolejnych etapów.
Przygotowanie aplikacji nie kończy się jednak na zaprojektowaniu formularzy i przebiegu procesów.
W wyniku ewaluacji powinniśmy otrzymać dane, które stanowią podstawę do analizy w oparciu o różne raporty i wykresy. Sama platforma umożliwia tworzenie podstawowych raportów i wykresów,
a możliwość integracji z systemami zewnętrznymi, takimi jak Reporting Service czy Power BI, wzbogaca bibliotekę dostępnych wizualizacji danych.
Podsumowanie
Zarządzanie ryzykiem odnosi się właściwie do wszystkich obszarów działalności przedsiębiorstwa, począwszy od planowania produkcji, logistyki, finansów i księgowości, po marketing i zarządzanie kapitałem intelektualnym czy zasobami ludzkimi. Dlatego stworzenie aplikacji do zarządzania ryzykiem
z wykorzystaniem platformy low-code zapewnia szereg korzyści, w tym intuicyjny dostęp dla użytkowników i elastyczność w dostosowaniu do zmieniających się wymagań biznesu.
Aplikacja przede wszystkim stanowi skuteczne wsparcie w podejmowaniu decyzji i realizacji działań prowadzących do złagodzenia skutków ryzyka lub całkowitego uniknięcia jego materializacji.