Dlaczego wyznaczanie właścicieli ryzyka jest ważne i jak to zrobić prawidłowo?
Jednym z najczęściej popełnianych błędów w zarządzaniu ryzykiem jest brak wyznaczonych (lub przypisanych poprawnie) właścicieli ryzyka. Dlaczego jest to tak ważne i jak to zrobić prawidłowo? Kim w ogóle są właściciele ryzyka i jakie mają obowiązki? Zobaczcie w artykule.
Często firmy, z którymi współpracujemy, są przekonane, że w odpowiedni sposób zarządzają ryzykiem. Jednak już nawet powierzchowna analiza dokumentów pokazuje podstawowe błędy. Okazuje się, że chociaż zdają sobie sprawę z konkretnych ryzyk występujących w ich organizacji, to niewłaściwie wyznaczają osoby odpowiedzialne za dane ryzyka (lub nie wyznaczają ich wcale). Takie podejście nie pozwala w sposób świadomy i odpowiedzialny zarządzać ryzykiem.
Kim jest właściciel ryzyka w procesie zarządzania ryzykiem? Definicja
Właściciel ryzyka to osoba, do której przypisano własność konkretnych ryzyk w organizacji lub w danym projekcie. Osoba ta odpowiedzialna jest za plany działań oraz ograniczenie prawdopodobieństwa wystąpienia danego ryzyka, a także za naprawę skutków zmaterializowania tegoż ryzyka. Właściciel ryzyka powinien cechować się kompetencjami pozwalającymi podejmować mu działania zaradcze w stosunku do zarządzanego obszaru.
Właściciel ryzyka – definicja według norm ISO
Spójrzmy jeszcze jak właścicieli ryzyka definiują normy ISO.
Według ISO Guide 73:2009 i rodziny norm dotyczących zarządzania ryzykiem (ISO 31000) właściciel ryzyka (z ang. risk owner) to „osoba lub jednostka rozliczana z zarządzania ryzykiem i uprawniona do tego zarządzania”. W zasadzie z taką samą definicją spotykamy się w rodzinie norm dotyczących systemów zarządzania bezpieczeństwem informacji (ISO 27000).
Obowiązki właściciela ryzyka
Do podstawowych obowiązków właścicieli ryzyka należą:
- identyfikowanie i ocena ryzyk związanych z realizacją przypisanych celów i procesów
- określanie reakcji w odniesieniu do poszczególnych ryzyk
- wdrażanie działań zaradczych w stosunku do zidentyfikowanych ryzyk.
Właściciel ryzyka, dokonując oceny ryzyka, powinien określić: prawdopodobieństwo wystąpienia ryzyka, skutki jego wystąpienia oraz mechanizmy kontroli danego ryzyka (w tym określić kategorię oraz ocenić skuteczność stosowanego mechanizmu). Osoba odpowiedzialna za dane ryzyko powinna też zapewnić, że zarządzanie ryzykiem jest zintegrowane z działaniami operacyjnymi organizacji.
Dlaczego wyznaczenie właścicieli ryzyka jest ważne?
Chociaż intuicyjnie na pewno rozumiemy, dlaczego ważne jest wyznaczanie właścicieli ryzyka, to dla porządku wypiszmy, co dzięki temu zyskuje organizacja:
- przypisanie właścicieli ryzyka zapewnia, że jest ktoś odpowiedzialny za dane ryzyko i ryzyko to nie zostaje zostawione same sobie (gdy są odpowiedzialni wszyscy, to tak naprawdę nikt nie jest odpowiedzialny)
- wyznaczenie właścicieli ryzyka oznacza, że organizacja w sposób świadomy i odpowiedzialny zarządza ryzykiem
- posiadanie właścicieli ryzyka świadczy o dojrzałości organizacji
- w momencie wystąpienia ryzyka, organizacja łatwiej odnajdzie się w nowej rzeczywistości i szybciej stawi czoła zmaterializowanemu zagrożeniu.
Przeczytaj także: 10 rzeczy, które powinieneś zrobić, aby lepiej zarządzać ryzykiem
Jak prawidłowo wyznaczać właścicieli ryzyka?
Wybierając właścicieli ryzyka, musimy najpierw przeanalizować, jakie ryzyka występują. Następnie należy określić, kto z zespołu najlepiej zrozumie dane ryzyko. Osoba ta, w momencie jego urzeczywistnienia, powinna faktycznie czuć się za nie odpowiedzialna.
Właściwa osoba powinna posiadać widzę na temat funkcjonowania organizacji lub projektu oraz wpływu makrootoczenia na przedsiębiorstwo/projekt. Właściciel ryzyka musi znać podstawowe narzędzia wykorzystywane w ocenie ryzyka. Najlepiej, aby wybór padł na osobę, która miała już doświadczenie w zarządzaniu ryzykiem.
Ponadto właściciele ryzyka powinni być w miarę decyzyjni. Tak, aby mieli możliwości decydowania o tym, jak reagować na dane ryzyko oraz rozdysponowywać środki finansowe związane z zarządzaniem ryzykiem. Dodatkowo powinni być na tyle wysoko postawieni, aby mieli siłę przebicia wśród współpracowników i decydentów.
Nie oznacza to jednak, że mają to być osoby o najwyższym stopniu odpowiedzialności. Dyrektorzy i wysoko postawieni liderzy mogą zwyczajnie nie mieć czasu na zarządzanie każdym z ryzyk. W takich sytuacjach powinny delegować odpowiedzialność za dane ryzyka na inne osoby z zespołu (mając w ten sposób swój „udział” w ryzku, ale nie pełniąc codziennych obowiązków, ciążących na właścicielach ryzyka). Dlatego najlepszym rozwiązaniem jest wybór menedżerów średniego szczebla.
Za dane ryzyko powinna odpowiadać jedna osoba, a nie zespół, w przypadku którego odpowiedzialność zostałaby rozłożona na wszystkich członków.
Właściciele ryzyka powinni być w miarę decyzyjni. Tak, aby mieli możliwości decydowania o tym, jak reagować na dane ryzyko oraz rozdysponowywać środki finansowe związane z zarządzaniem ryzykiem. Dodatkowo powinni być na tyle wysoko postawieni, aby mieli siłę przebicia wśród współpracowników i decydentów.
Poinformuj zespół o wyznaczonych właścicielach ryzyka
Jednym z częstych błędów jest pominięcie etapu polegającego na przedstawieniu organizacji, kto został przydzielony do danego ryzyka. Dlatego po wyznaczeniu odpowiednich osób nie zapominajmy, aby opracować dokument zawierający nie tylko szczegółowe informacje na temat występujących zagrożeń, ale także mówiący o tym, kto za dane ryzyko odpowiada.
Czy każde ryzyko powinno mieć właściciela?
Nie każde zidentyfikowane ryzyko wymaga wyznaczenia właściciela. Jeśli w organizacji określona zostanie naprawdę duża liczba potencjalnych zagrożeń, to przypisanie do nich właścicieli ryzyka, może okazać się nierealne. Zamiast tego lepiej rozpocząć od najbardziej krytycznych zagrożeń.
Ewentualnie, w przyszłości, gdy proces zarządzania ryzykiem będzie w pełni dopracowany, można rozważyć dodanie właścicieli ryzyka do tych mniej ważnych zagrożeń, niemających aż tak dużego wpływu na utrzymanie ciągłości biznesowej. Nie oznacza to jednak, że te mniej istotne ryzyka należy zupełnie pominąć. Chodzi jedynie o to, że nie muszą być one priorytetem w zarządzaniu ryzykiem. Warto również pamiętać, że ryzyka ciągle się zmieniają i ich „ważność” może ulec zmianie.
Przeczytaj także: Pandemia zmieniła krajobraz ryzyka? Największe zagrożenia dla firm – nowe prognozy w zarządzaniu ryzykiem
Właściciele ryzyka w zarządzaniu ryzykiem – podsumowanie
Zarządzanie ryzykiem w sposób intuicyjny nie jest dobrym rozwiązaniem, dlatego sugerujemy korzystanie ze sprawdzonych, dobrych praktyk. Wyznaczanie właścicieli ryzyka nie może być traktowane jako zadanie o najniższym priorytecie. Przypisanie osób odpowiedzialnych za dane ryzyko powinno być działaniem przemyślanym, poprzedzonym odpowiednią analizą – zarówno jeśli chodzi o analizę ryzyka, jak i kompetencje pracowników. Poprawne określenie właścicieli ryzyka świadczący o dojrzałości organizacji i pozwala budować przewagę konkurencyjną.
Nie wiesz jak poprawnie zarządzać ryzykiem w Twojej organizacji? Napisz do nas [email protected] lub sprawdź nasze usługi. Pomożemy Ci zadbać o kluczowe cele Twojego przedsiębiorstwa.
Kliknij tutaj, aby zapisać się na jedno ze szkoleń z zarządzania ryzykiem (szkolenia online lub stacjonarne, zamknięte lub dedykowane dla firm).