QualityAustria

6 kluczowych błędów w zarządzaniu ryzykiem

Baza wiedzy


6 kluczowych błędów w zarządzaniu ryzykiem

6 kluczowych błędów w zarządzaniu ryzykiem


Nasze subiektywne zestawienie najczęściej popełnianych błędów podczas analizy i szacowania ryzyka w organizacji. Listę przygotowaliśmy na postawie obserwacji oraz wywiadów z audytorami trzeciej strony, trenerami Quality Austria i Klientami. Sprawdź czy jeden z punktów nie dotyczy Twojej firmy.

 

 

 

 


1. Zarządzanie ryzykiem „na papierze”


Zbyt często mamy do czynienia z fikcyjnym zarządzaniem ryzykiem. Sprowadza się, to do tego, że firma prowadzi dokumentację dla audytora ISO, a biznes prowadzi „po swojemu”. W praktyce można to streścić jednym cytatem:
 

”Jednostka potwierdziła zgodność. Sytuacja opanowana. Mamy prawie rok względnego spokoju do kolejnego audytu.”
 

Nie każdy, kto odpowiada za System Zarządzania w firmie wie, więc może warto o tym przypomnieć. W ramach auditu trzeciej strony audytor jednostki certyfikacyjnej może na Twoje życzenie poświęcić więcej czasu i uwagi np. na Twoją analizę ryzyka i w efekcie wskazać obszary do dalszego doskonalenia.
 

Problem jest jednak taki, że spora część audytorów trzeciej strony nie bardzo jest do tej roli przygotowana i poza przeprowadzaniem standardowego audytu systemu ISO nie dostrzega kontekstu biznesowego organizacji
 

Niestety sytuację pogarsza fakt, że większość Pełnomocników traktuje informację zwrotną od jednostki certyfikacyjnej jako zło konieczne. Najlepiej, żeby audytor napisał w raporcie coś w stylu:


„Wszystko w Państwa firmie funkcjonuje doskonale, złożę wniosek do centrali, żeby przyznali Państwu dodatkowy medal”
 

Większość zainteresowanych (Pełnomocnicy, Zarząd) zadowala się więc przygotowaniem dokumentacji ryzyka pod spełnienie wymagań ISO 9001, ISO 14001, ISO 45001, ISO 50001 itp. W tym przypadku to nie tylko strata zasobów, ale też czające się zagrożenie.
 

Z jednej strony mamy ułudę bezpieczeństwa ( jest dokumentacja i potwierdzenie zgodności), z drugiej mamy realne zagrożenia, których możliwe, że nie dostrzeżemy, bo „analiza tego nie obejmowała”.  Pomijamy tu całkowicie fakt, że taka analiza ryzyka będzie oderwana od celów strategicznych firmy.
 

W efekcie popadamy w błędne koło pomyłek. Zarząd nie zwraca uwagi na analizę ryzyka, bo ona jest „pod normę” i podejmuje często poważne decyzje bez istotnych wskaźników. Osoba/zespół zatrudniony m.in. do analizy i szacowania ryzyka poświęca cenny czas na analizę dokumentacji „pod audyt”.
 

W wielu firmach taki model może funkcjonować przez lata, aż do momentu kiedy ryzyko wyjdzie na światło dziennie.

 

Przykład: Zarządzania ryzykiem "na papierze"
 


Rozmawialiśmy kiedyś z przedstawicielami firmy, która od kilku lat miała już certyfikowany system ISO 9001 w innej jednostce. Firma specjalizowała się w produkcji pojemników na paliwo. Nikt jednak nie zwrócił Zarządowi większej uwagi na przeprowadzenie rzetelnej analizy ryzyka w obszarze kluczowego dla niej procesu.


Gdy pewnego dnia pojemnik, który sprzedali jednemu ze swoich większych odbiorców zaczął przeciekać stanęła w obliczu poważnego kryzysu. Co gorsza, do rozszczelnienia pojemnika doszło podczas transportu niemiecką autostradą.

 

Właściciel pojemnika kolosalnymi kosztami sprzątania szkód ekologicznych obciążył producenta. Ten nie był przygotowany na taką ewentualność. Efekt? Utrata zaufania i zamknięcie działalności ze sporymi długami.

 

 

2. Samodzielna analiza ryzyka

 

Pełnomocnik, czasem przy współpracy z jednym lub dwoma członkami swojego zespołu, przeprowadza samodzielną analizę ryzyka dla całej firmy. Dlaczego?
 

Dyrektorzy i Kierownicy innych działów nie znają „metodologii” i nie wiedzą jak się za to zabrać. Dodatkowo są niechętni. Nie mają czasu. Zarząd „nie przykłada do tej kwestii szczególnej staranności”.
 

Ogólnie powyższa sytuacja wcale mnie nie dziwi. Jest sporo firm, w których pracownicy podchodzą do tematu tak:
 


 „Jak coś jest związane z ISO, to lepiej nie dotykać, bo to trudne, czasochłonne i po brzegi wypchane niepotrzebnymi dokumentami”.  


Niestety w większości przypadków mają rację. Pełnomocniku, Szefie Jakości, Quality Managerze! Postawmy sprawę jasno: Nie wiesz o swojej firmie wszystkiego. Szaleństwem jest twierdzić inaczej.  Angażowanie ludzi w sprawy, które ich dotyczą jest jednym z ważniejszych elementów sprawnego zarządzania.

Tylko jak się za to zabrać? Rozdać puste szablony narzędzi i zmusić ludzi do wypełnienia? Napisać maila i rozesłać do wszystkich w firmie? Nakłonić Zarząd do wydania rozporządzenia, że wszyscy kierownicy niezwłocznie muszą zająć się analizą ryzyka?

Oczywiście można próbować. Można też całość przeprowadzić np. w formie mini warsztatów/facylitacji. Później wyniki tych prac przeanalizować z zespołem odpowiedzialnym za System Zarządzania.

 

Tylko żeby ten proces przebiegał sprawnie, ważny jest szereg kompetencji potrzebnych każdemu managerowi np.:

  • umiejętność prezentacji publicznych do przewodzenia warsztatom analizy i szacowania ryzyka dla kierowników,
  • skuteczna komunikacja bez zbędnego formalizowania przekazu
  • znajomość metod i modeli szacowania ryzyka,
  • asertywność i umiejętność przekonywania,
  • wiedza na temat zarządzania projektem,
  • umiejętność negocjacji i dbania o interesy organizacji,
  • wiedza z zakresu wdrażania i zarządzania zmianą,
  • umiejętność prowadzenia efektywnej burzy mózgów.

 

W innym wypadku próby przeprowadzania grupowej analizy ryzyka będą mało efektywne, nudne i sprawią, że ludzie będą robić to niechętnie, a efekty będą, co najmniej marne.

 


3. Analiza i szacowanie ryzyka tylko na podstawie przeszłości
 

Jak szybko zrobić analizę ryzyka i przejść przez audyt certyfikacyjny? To bardzo proste. Wykorzystując wybrane narzędzie spisujemy zagrożenia, które wystąpiły lub była spora szansa, że wystąpią. Następnie dopisujemy kroki zaradcze. Analiza gotowa.

 

Powyższy przykład to oczywiście przejaskrawienie. Byłbyś jednak Czytelniku zdziwiony jak wiele organizacji w ten sposób „czaruje rzeczywistość” wokół siebie.

 

Analiza danych historycznych to oczywiście dobry start. Nie możemy jednak na tym zakończyć.

 

Konieczna jest m.in. analiza zmieniającego się kontekstu organizacji oraz celów strategicznych.  Dzięki temu znajdziemy sporo przestrzeni do dalszej pracy i projektowania scenariuszy realnych zagrożeń, które nie wystąpiły, ale mogą być sporym zagrożeniem.

 

Przykład: Analiza i szacowanie ryzyka tylko na podstawie przeszłości
 

Czy Twoja organizacja dostała już karę za wyciek wrażliwych danych w związku z RODO? Pewnie nie. Tym bardziej, że sporo przepisów funkcjonuje od niedawna. Czy to oznacza, że takie zagrożenie w Twojej organizacji nie jest realne?

 


4. Koncentracja na niewłaściwych zagrożeniach
 

Przesadne skupianie się na wybranych ryzykach lub,  dla podparcia własnych poglądów , takie dobranie metody szacowania, aby wskazać konkretne ryzyko jako ważne oraz świadome pomijanie  innych ryzyk mogą prowadzić do zbędnych nieporozumień, a nawet zagrozić funkcjonowaniu firmy.

 

Analizy za pomocą standaryzowanych narzędzi i sprawdzonych metodologii (np. ISO 31000) prowadzimy po to, żeby nadać im charakter obiektywności (na ile to oczywiście możliwe).

 

W innym przypadku moglibyśmy przecież wybrać obszary ryzyka na podstawie naszych przekonań. Oczywiście pokusa wykorzystania tzw. metody eksperckiej: „ja jestem ekspertem i się znam” jest spora, a czasem nawet zasadna.

 

Może jednak prowadzić do sytuacji, że połowa firmy głowi się nad rozwiązaniem problemu, który wydaje się ważny, bo np. często nas dotyka, ale ma znikomy wpływ na organizację.
 

 

Przykład: Koncentracja na niewłaściwych zagrożeniach
 

Byłem świadkiem jak pewna organizacja wkładała sporo energii, czasu i pieniędzy w usprawnienie procesu reklamacji. Nie byłoby w tym nic złego, gdyby nie to, że reklamacje „zdarzały” się bardzo rzadko i wynikały z reguły z przyczyn niezależnych od firmy. Jednocześnie firma całkowicie zaniedbywała aspekty związane z odpadami i ich utylizacją.

 

W wielu przypadkach rozwiązaniem może być analiza ryzyka również pod względem finansowym i estymacja kosztów. Często firmy pomijają jednak takie podejście, bo uwzględnienie finansów jest trudne i czasochłonne.

 

Jednak zastosowanie takiej analizy w powyższym przykładzie wskazałoby, że ryzyko związane z reklamacjami to: 0,001% rocznych obrotów, a ryzyko związane z odpadami, to: blisko 18% rocznych obrotów.


 

 

5. Pomijanie ryzyk w inwestycjach i projektach
 

Nowy Klient chce złożyć duże zamówienie, ale termin realizacji jest ekstremalnie krótki, a kary umowne dotkliwe. Wszyscy mówią o nowej technologii i inwestycja w nową linię produkcyjną wydaje się świetną szansą na szybki rozwój.

 

Koncentracja na ekspansji rynku, agresywna walka ceną oraz obniżenie kosztów jakości to nowy kierunek firmy, który przynosi pierwsze pozytywne efekty w bilansie finansowym.

 

To tylko uproszczone przykłady, gdy kusi nas, aby pominąć czasem żmudną i trudną analizę ryzyka. Bo przecież: „to świetny pomysł”, „taka szansa może się nie powtórzyć”, „trzeba działać szybko” itp.

 

Jednak po przenalizowaniu może okazać się, że ten „intratny” kontrakt przy najdrobniejszym opóźnieniu przyniesie ogromne straty, a koncentracja większości sił na nowej „szansie” nie pozwoli nam wywiązać się z obecnych zobowiązań i część już pozyskanych Klientów odejdzie.

 

Z kolei ta nowa linia produkcyjna i super nowoczesna technologia to moda jednego sezonu, a przebudowa wiązać się będzie z serią głębszych zmian w organizacji i np. spełnieniem bardziej wyśrubowanych wymagań i nowych niezbędnych norm.

 

Szybka ekspansja rynku i agresywna walka ceną przynoszą co prawda w pierwszych miesiącach efekty finansowe, ale okazuje się, że organizacja nie jest przygotowana na szybki napływ nowych Klientów. Ponadto drastycznie spadła jakość oraz rosną koszty obsługi klienta i reklamacji.

 

W dodatku na horyzoncie pojawiają się oznaki kryzysu medialnego ze względu na niezadowolenie pracowników „wyśrubowanych” do granic możliwości oraz rosnącą ilość negatywnych opinii wśród Klientów.

 


 

6. Koncentracja jedynie na zabezpieczaniu się przed zagrożeniami
 

Jeśli jeździsz samochodem do pracy, to każdego dnia mierzysz się z ryzykiem wypadku, uszczerbku na zdrowiu lub utratyą życia. Czy to powód, żeby rezygnować z dojazdu do pracy?

 

Nie znam Twojej sytuacji, ale jest spore prawdopodobieństwo, że Twoja odpowiedzieć będzie brzmieć: nie.

 

Inna perspektywa jest taka,  że jeśli strach i ryzyko związane z jazdą samochodem do pracy jest duże i prawdopodobne, to poszukanie nowych rozwiązań może doprowadzić do niespodziewanych wniosków.

 

Dojazd do pracy pociągiem? A może praca w domu? A jak praca w domu, to może okazać się, że możesz rozpoczniesz kontrakt zagraniczny z inną firmą i otrzymasz znacznie wyższe wynagrodzenie.

 

Może się jednak okazać, że kontrahent nie zapłaci Ci na czas albo zbankrutuje, bo jego kontekst organizacyjny drastycznie się zmienił (np. Brexit). Scenariusze możemy mnożyć w nieskończoność.

 

Zwróć jednak uwagę na to, że niektóre nieprzyjemne sytuacje niosą ze sobą spore, szanse warte rozważenia szanse. Doświadczenie pokazuje w dodatku, że im silniejsze zagrożenie, tym szansa za nim idąca większa. Problem jest jednak taki, że szanse te nie są tak oczywiste.

 

Często wymagają myślenia tzw. „out of the box” i szukania nowych, kreatywnych i innowacyjnych rozwiązań. Czasem potrzebna jest modernizacja linii produkcyjnej, czasem całkowita zmiana kierunku i wykorzystanie już wypracowanych zasobów, czasem to zmiana docelowego klienta lub uproszczenie palety ofertowej i koncentracja tylko na wybranych elementach.  


 

Podsumowanie
 

Powyższe punkty to oczywiście wierzchołek góry lodowej. Wszystko opisałem pobieżnie na podstawie uproszczeń oraz mojej subiektywnej wizji świata norm i wytycznych ISO.

Nie zmienia to jednak faktu, że analiza i szacowanie ryzyka to jedna z ważniejszych kompetencji każdego Pełnomocnika ds. Systemów Zarządzania, Quality Managera lub Członka Zarządu, a potwierdzenie tych kompetencji certyfikatem może stać się sporą przewagą na rynku pracy.

 

Szkolenie: Zarządzanie ryzykiem w organizacji

       

Naucz się analizować i szacować ryzyko w organizacji, procesach i projektach. Wykorzystaj normę ISO 31000, aby zaprojektować i wdrożyć efektywny system, który przygotuje Twoją firmę na zagrożenia.

Przećwicz pod okiem trenera najważniejsze narzędzia, poznaj wskazówki, które pomogą ci uniknąć kosztownych i czasochłonnych błędów. Zdobądź certyfikat pożądany na rynku.

                                                                                              Szkolenie: Zarządzanie ryzykiem - dowiedz się więcej

Podejście oparte na ryzyku - Rewizja ISO 9001 wyjaśniona w prosty sposób

Quality Austria oferuje cykl informacyjnych artykułów eksperckich dotyczących rewizji ISO 9001:2015. Każdego miesiąca zostanie dogłębnie wyjaśniona kluczowa koncepcja rewizji. W tym miesiącu MSc Eckehart Bauer wyjaśnia koncepcję „podejścia opartego na… więcej


Ryzyko w pytaniach i odpowiedziach

Spis treści Pułapka szacowania ryzyka Ryzyko niewykorzystanych szans Zagrożenie vs Ryzyko ISO 29990 - Kształcenie to zagrożenie, czy szansa dla organizacji Wpływ zmienności na zarządzanie ryzykiem Ryzyko i inwestycje w… więcej


Ryzyko w normie ISO 9001:2015

Poniższy artykuł jest transkryptem webinaru, który odbył się w marcu. Autorem oraz prowadzącym jest Michał Kubista. Nagranie w wersji wideo możesz zobaczyć poniżej. Zapraszamy do lektury!  Nie jest moim celem, nigdy… więcej


ISO 22301, czyli jak zapewnić ciągłość działania firmy

      „Katastrofa i co dalej?” - tak można by w skrócie podsumować problematykę związaną z zarządzaniem ciągłością działania w firmie, a dokładnie  -  z jego brakiem. Bo jeżeli firma… więcej




Quality Austria - Polska Sp. z o.o.

Quality Austria