V tokratnem blogu iz serije vsebin o upravljanju tveganj bomo podrobneje preučili proces vrednotenja tveganj. Temeljni korak vrednotenja tveganj je vzpostavitev okvira za vrednotenje tveganj, kar dejansko pomeni, da moramo pred samim vrednotenjem določiti lestvico meril, po katerih bomo naša tveganja vrednotili.

Morda se vam ta korak morda zdi nepomemben, a vendar je to tudi tista točka, kjer se veliko podjetij neuspešno zanaša na spletne vsebine, ki zagovarjajo uporabo verjetnosti in matrike vpliva tveganj. Več o tem, zakaj sam menim, da je takšen pristop za večino organizacij nezadosten, kdaj drugič.

Atributi vrednotenja tveganj

Da bo začetek za vas lažji, spodaj navajam nekaj atributov, ki vam omogočajo lažje vrednotenje tveganj in združevanje številnih takšnih ukrepov na način, ki zajema različne vidike tveganja.

Objektivnost Prvi in nedvomno tudi najpomembnejši vidik dobrega merjenja tveganj je, da ima objektivno definicijo, ki je skupna vsem v organizaciji. Prepogosto se namreč zgodi, da podjetja tveganja ocenjujejo kategorično (od visokega do nizkega), pri tem pa se ne zavedajo, da so te kategorije za vsak oddelek ali organizacijsko enoto lahko drugačne. Že pojem »finančna izguba« lahko razumemo na različne načine – za nekoga to pomeni izgubo prihodkov, za drugega padec vrednosti podjetja ali zmanjševanje dobička. Z drugimi besedami to pomeni, da ljudje uporabljamo isti jezik, vendar besede za nas pomenijo različne stvari, kar lahko privede v zmedo.

Dokazljivost Znana anekdota, ki jo pripisujemo Wolfgangu Pauliju, Nobelovemu zmagovalcu v fiziki, pripoveduje zgodbo o trenutku, ko mu je prijatelj pokazal članek mladega fizika in ga vprašal za mnenje o njegovem zaključku. Paulijev odgovor je bil: »To ni prav; to ni niti narobe.« Nauk zgodbe je sledeč: če je trditev (kot je ocena tveganja) tako nejasna, da je ni moč dokazati, je še hujša, kot napačna. Da bi zagotovili, da je vaša ocena tveganja dokazljiva, je najbolje, da se navezujete na vidne pojave, ki vam služijo kot primerjava. Pogosto se namreč zgodi, da so ocene tveganj tako abstraktne, da jim lahko pripišemo kakršnokoli oceno, in ta ne more biti napačna.

Ustreznost in izvedljivost Optimalno ima dobro vrednotenje tveganja neposredne vplive na upravljanje organizacije, kar pomeni, da lahko ustrezno reagiramo. Informacija, kjer ugotovimo, da lahko določeno tveganje vodi v izgubo, ki bi ogrozila vračilo posojila, jasno kaže, da je treba zmanjšati verjetnost, da se to zgodi. Podobno vrednotenje tveganja, ki kaže na veliko možnost poškodb, jasno nakazuje, kakšen bo potek ukrepanja.

Enostavnost Cilj vrednotenja tveganj je, da jih zaposleni uporabijo za obvladovanje tveganj. Ko vrednotenje ni možno ali je slednje preveč abstraktna za razumevanje, izgubi pomen. Zato izredno sofisticirane ocene, kot so denimo »pričakovani primanjkljaj«, redno najdejo izhod iz finančnih institucij. To je tudi korak, kjer svetovalci za upravljanje tveganj, pogosto zatajijo. Pozneje boste videli tudi, da je pomembno najti ravnovesje med tem, kako vrednotenje tveganja opredeliti dovolj natančno, da je lahko vsaj napačno in razumljivo hkrati.

Vrednoteno v času Za primer vzemimo zelo pogost kriterij »verjetnost realizacije«, kjer večina organizacij ne opredeli časovnega obdobja, ko se tveganje lahko zgodi. Zato tveganje kot je »stečaj dobavitelja« nikoli ne ovrednotimo nad 50%, saj izgubimo pomen. Veliko boljši ukrep za stečaj bi bil »2-odstotna verjetnost v naslednjem letu«. Podobno lahko rečemo, ko ocenjujemo verjetnost »novega udeleženca na trgu«, saj je v takšnih primerih za organizacijo bolj smiselno razpravljati o izgubah v naslednjem letu ali v naslednjih petih letih, ne pa o možnosti izgub na splošno.

Sistem vrednotenja tveganj ne more zajeti vsega

Zgoraj navedene smernice vam lahko pomagajo pri oblikovanju sistema vrednotenja, seveda pa pri tem ostaja dejstvo, da noben sistem v celoti ne zajame vseh aspektov, ki so ključni pri tem, da tveganje označite kot »resno«. Razlog za to je, da je vsako tveganje več nivojsko, kar pomeni, da je lahko, v kolikor upoštevamo vse razsežnosti posameznega tveganj, rezultat še večji kaos. Primer možnih razsežnosti, ki vplivajo na resnost tveganja, so vse od izgube dobička, zmanjšanja vrednosti podjetja, zmanjšanje denarnega toka ali likvidnosti, pogostosti tveganja, trajnosti učinka, do verjetnosti, da se več tveganj zgodi sočasno, nivoja zdravja zaposlenih in njihove varnosti … in seznam se lahko še podaljšuje. Zato si pri sistematičnem vrednotenju tveganj pustite nekaj prostora za razsodnost in tudi zdrav razum.

Ključne ugotovitve

– vrednotenje tveganj se prične z vzpostavitvijo ustreznega okvira za vrednotenje,
– verjetnost tveganja (v X %) ni edina možnost za vrednotenje tveganj,
– vrednotenje tveganja je dobro, ko je vaša trditev objektivna, dokazljiva, ustrezna, izvedljiva, enostavna in upošteva časovno komponento,
– še tako dober sistem nikoli ni popoln, zato se pri vrednotenju tveganj vedno zanašajte tudi na lastno presojo in
– dober okvir za vrednotenje tveganj zajema več dimenzij posameznega tveganja.

***

Naslednjič bom sistem vrednotenja tveganj predstavil s praktičnimi primeri, ki vam bodo pomagali pri vrednotenju tveganj.

Stopite v kontakt z našo ekipo, če želite ustrezno vrednotiti vaša tveganja.

Za več informacij o upravljanju tveganj spremljajte naš LinkedIn & Twitter račun. Lahko pa se vključite tudi v debato v Linkedin skupini ERM – KORPORATIVNO UPRAVLJANJE TVEGANJ.

Morda se naše vsebine o upravljanju tveganj komu zdijo suhoparna teorija, ki nima veliko zveze z realnostjo. Zato tokrat opisujem praktičen primer, kako smo določili poglavitna tveganja in kakšne ukrepe smo izvedli, da bi preprečili njihovo uresničitev, ki bi lahko ogrozila celo obstoj našega podjetja.

Dogajalo se je pred leti, ko sem bil zaposlen v družbi, ki se ukvarja z informacijsko tehnologijo. V okviru priprav na pridobitev certifikata ISO 27001 smo ocenjevali tudi tveganja. Česar pa se nismo lotili samo formalno, da bi zadostili zahtevam standarda, temveč povsem življenjsko.

Srce naše dejavnosti je bil strežniški prostor s pripadajočo opremo. Če bi nam karkoli uničilo strežnike, ne bi mogli opravljati večine svojih storitev. Zato smo se najprej posvetili temu vprašanju.

Za omenjeni prostor smo ugotovili dve glavni tveganji, nedovoljen dostop in nevarnost požara.

Za zaščito pred nepooblaščenim dostopom ali vlomom smo namestili protivlomna vrata in s sistemom pristopne kontrole bistveno omejili vstop. Za zaščito pred požarom pa smo, poleg merjenja temperature v prostoru, namestili sistem za avtomatsko javljanje požara, ki smo ga razširili na vse prostore. Prav tako smo uvedli shranjevanje varnostnih kopij izven podjetja ter z varnostno službo uskladili sistem obveščanja in hitrega posredovanja v primeru sprožitve alarma.

Med obravnavanimi ukrepi sta bila recimo tudi namestitev stabilnega sistema za samodejno gašenje in možnost delovanja strežnikov na rezervni lokaciji, za katera se takrat nismo odločili.

Drug pomemben dejavnik za naše poslovanje pa je bil internet, saj smo večino storitev izvajali na daljavo. In ko so na primer med gradbenimi deli neprevidno prekinili glavno optično povezavo, smo bili skoraj ves dan brez dostopa do spleta.

Poleg tega, da nismo mogli nuditi podpore uporabnikom naših informacijskih rešitev, je imelo to tudi finančne posledice. Vsaka ura, ko nismo opravljali svojih storitev, je namreč pomenila izpad prihodkov v višini od 500 do 1000 evrov.

Zato smo za povečanje zanesljivosti dostop do interneta uredili preko dveh operaterjev s fizično ločenimi omrežnimi povezavami.

To je samo nekaj ukrepov, ki smo jih izvedli na podlagi ocene tveganj.

Na podoben način smo analizirali vse procese v podjetju, od ravnanja z zaposlenimi, do prodaje, nabave, razvoja in izvedbe naročil ter jih določili za vsako področje posebej.

P.S.: Če ste jih morda spregledali, si po želji preberite tudi naslednje vsebine:

Kaj je tveganje?

Kako obvladati informacijska tveganja?

Kako se upravljanja tveganj lotimo sistematično?

***

Stopite v kontakt z našo ekipo, če želite ustrezno identificirati vaša tveganja.

Za več informacij o upravljanju tveganj spremljajte naš LinkedIn & Twitter račun. Lahko pa se vključite tudi v debato v Linkedin skupini ERM – KORPORATIVNO UPRAVLJANJE TVEGANJ.