Nagroda Lider ERM

Jakie ryzyka niesie za sobą wdrażanie własnych aplikacji do zarządzania ryzykiem? Jak można im zapobiegać?

Autor:
Łukasz Turzyński

Trudno wyobrazić sobie dzisiejszy świat biznesu bez narzędzi informatycznych. Digitalizacja procesów stała się już na tyle powszechna, że już nie myśli się, czy w ogóle wdrażać dedykowane oprogramowanie, ale jak można to zrobić skutecznie i w rozsądnych granicach finansowania. O tym, z jakimi ryzykami należy się liczyć przy wdrażaniu własnych aplikacji do zarządzania ryzykiem, opowiada Łukasz Turzyński, Lider ERM.

Automatyzacja procesów przedsiębiorstwa z wykorzystaniem narzędzi informatycznych jest cechą nowoczesnego zarządzania organizacją. Nie omija ona również procesów zarządzania ryzykiem. Przyzwyczailiśmy się już do obsługi wielu narzędzi w naszej codziennej działalności zawodowej. Przy czym powinniśmy pamiętać, że celem jest nie tylko wytworzenie produktów umożliwiających realizację procesu, ale również zoptymalizowanie zasobów przeznaczonych do jego obsługi. Czas, pracownicy oraz zasoby pieniężne są przecież kluczowe dla ostatecznego wyniku naszych działań operacyjnych. Nie inaczej powinniśmy myśleć o procesie zarządzania ryzykiem. Czy jako organizacja zadaliśmy sobie w ogóle pytanie, dlaczego jest nam potrzebne narzędzie do zarządzania ryzykiem? Jaką wartość dodaną ma przynieść dla przedsiębiorstwa? I wreszcie: w jaki sposób implementować narzędzie, aby osiągnąć zakładany rezultat?

 

Z tego artykułu dowiesz się m.in.:

  • jaką rolę odgrywają aplikacje do zarządzania ryzykiem w przedsiębiorstwie;
  • z jakimi problemami może spotkać się organizacja wdrażająca własne rozwiązania;
  • dlaczego warto zarządzić ryzykiem wdrożeniowym, korzystając z rozwiązań dostępnych na rynku.

Na powyższe pytania odpowiada Lider ERM, Łukasz Turzyński, na co dzień związany z obszarami zarządzania bezpieczeństwem i ciągłości działania.

Łukasz Turzyński

Po co wdraża się narzędzia do zarządzania ryzykiem?

W przypadku pierwszego pytania, czyli dlaczego w ogóle jest nam potrzebne dane narzędzie, doświadczenia pokazują, że pozyskiwane jest do naprawy procesu, a nie jego usprawnienia w konkretnym celu dla lepszego zabezpieczenia działalności firmy. Budowanie własnego systemu informatycznego jako narzędzia do obsługi wadliwie wdrożonego procesu oraz procedur zarządzania ryzykiem wydaje się działaniem nieracjonalnym biznesowo.

Wieloletnie prace koncepcyjne mogą prowadzić do zbudowania skomplikowanego narzędzia, które w żaden sposób nie poprawia zdolności organizacji do przetrwania na rynku. Co więcej, gromadzone dane mają charakter wyłącznie wpisów na temat historii. W momencie, kiedy nie następuje identyfikacja luk systemu zarządzania ryzykiem (w domyśle ERM) i/lub określenie niespójności ze standardem zarządzania ryzykiem (np. ISO 31000), a dochodzi do uruchomienia prac projektowych, można powiedzieć, że inicjowany jest łańcuch potencjalnych niepowodzeń w projekcie, którego budżet zakładany jest nawet w milionach złotych.

Efektem mozolnej pracy i wspomnianych wyżej nakładów jest nic innego jak rozbudowana „teczka elektroniczna”, gdzie mechanicznie tylko wypełniane są pola „bo ktoś tego wymaga”. Ze zgromadzonych tam informacji nie wynikają natomiast żadne wartości z perspektywy procesu decyzyjnego.

Komu powierzyć stworzenie autorskiej aplikacji do zarządzania ryzykiem?

Tworzenie autorskiej aplikacji do zarządzania ryzykiem wymaga odpowiednich kompetencji technicznych w dziedzinie programowania, analizy danych, cyberbezpieczeństwa i wiedzy o zarządzaniu ryzykiem, co jest czaso- i kosztochłonne. Zwróćmy uwagę, że trudno jest zbudować świadomość i wiedzę o zarządzaniu ryzykiem w przedsiębiorstwie / instytucji, czego skutkiem może okazać się zakłócenie właściwego kierunku dla prac zespołu projektowego złożonego z zasobów własnych organizacji. Jedną z kluczowych kwestii do rozwiązania jest zapewnienie bezpieczeństwa informacji.

W pracy operacyjnej z procesami zarządzania ryzykiem bezpieczeństwo informacji wydaje się nieco zapomniane. Dane, które gromadzimy i przetwarzamy, analizy i wnioski z nich płynące w zakresie zarządzania ryzykiem, są ultrawrażliwymi danymi o wartości gospodarczej, stanowiącymi tajemnicę przedsiębiorstwa. Wobec tego aplikacja do zarządzania ryzykiem nie może być narzędziem wytwarzanym i wdrażanym w sposób amatorski przez niekompetentny personel. Ryzyko takie należałoby ograniczyć już na etapie prac projektowych.

Wdrożenie narzędzia do zarządzania ryzykiem – zagrożenia

Naturalnie, powyższy wachlarz wymagań wstępnych akceptowalny może być tylko przez organizacje o rozbudowanych strukturach oraz dysponujących odpowiednim budżetem na projekt. Z drugiej strony w organizacjach tego rodzaju występuje z reguły silny poziom bezwładności decyzyjnej, co dodatkowo komplikuje wdrażanie i obsługę aplikacji. Dotyczy to zwłaszcza takich aspektów jak uzyskiwanie dostępu, integrowanie środowisk, przyjęcie ról czy zarządzanie dostępami.

Skomplikowane procedury zakupowe, wieloszczeblowość podejmowania decyzji i ciągnące się procesy rekrutacyjne nie pomagają niestety w sprawnym pozyskiwaniu kompetencji i zasobów. Mało tego, zdarza się, że kierownikami projektów zostają osoby do tej roli nieprzygotowane, dla których zadanie jest dodatkowym obciążeniem w ich podstawowym zakresie obowiązków.

Jak można temu zapobiec? Takie ryzyka można ograniczyć, korzystając z rozwiązań już obecnych na rynku, które są dostępne od ręki. Można zdecydować się na zakup gotowego produktu wraz z pakietem szkoleniowym i serwisowym, który czasem poprzedzony jest usługą audytu.

Powierzając wdrożenie narzędzia zewnętrznej firmie, szczególnie ważne jest wyskalowanie aplikacji do potrzeb i wielkości organizacji. Ma to szczególne znaczenie w przypadku małych organizacji, które potrzebują wypracowywania decyzji, nie dysponując przy tym wielkimi strukturami. Dla organizacji, które nie stosowały metodyk i standardów zarządzania ryzykiem (a więc nie są skażone w pewnym sensie złymi nawykami w tym zakresie), implementacja narzędzia informatycznego może być dobrym punktem startowym we wdrażaniu kultury zarządzania ryzykiem.

Podsumowując, wdrażanie własnych aplikacji do zarządzania ryzykiem jest uwarunkowane szczególnymi potrzebami i możliwościami organizacji, która do takiego procesu się przymierza. Charakter i ostateczny kształt naszego narzędzia będzie zależeć od tego, czy wykorzystujemy go w codziennym podejmowaniu decyzji, czy wystarczy, abyśmy „dla odhaczenia” zrealizowali tzw. cykliczny przegląd ryzyka. Budując własne rozwiązania, organizacja powinna rozważać przede wszystkim ogromne koszty związane z fazą koncepcji oraz fazą przygotowania. Nie bez znaczenia pozostaje potencjalne ryzyko izolacji systemu i utraty uzasadnienia biznesowego dla realizowanych prac projektowych.

O autorze

Łukasz Turzyński – związany jest z zarządzaniem bezpieczeństwem. Od 2011 roku aktywnie zajmował się wdrażaniem standardów międzynarodowych oraz systemów zarządzania dla lotnictwa cywilnego, a od 2021 – dla sektora energetycznego. Aktualnie Główny Specjalista w Biurze Zarządzania Ryzykiem w PGE Energetyka Kolejowa S.A.