Uncategorized

Home Uncategorized

Ubezpieczeniowe wyzwania cyber ryzyka

1
ubezpieczeniowe

O cyber ryzyku i zarządzaniu cyber ryzykiem w kontekście ubezpieczeniowym jest dzisiaj bardzo łatwo pisać, bo właśnie świat obiega informacja o wielkiej cyber wpadce amerykańskiego lidera ubezpieczeń „życiowych” i zdrowotnych firmie Anthem, któremu ukradziono dane 80 milionów obecnych i byłych klientów, zawierające wszelkie możliwe PII-e (Personally Identifiable Information): nazwiska, adresy, numery ubezpieczeń, wysokość wynagrodzeń. Smaczku tej cyber aferze dodaje „firma” prawdopodobnych sprawców, to chińska grupa hackerów „Deep Panda”, od jakiegoś czasu namierzająca biznes zdrowotny. Żeby tego było mało, Zakład właśnie zmienił nazwę z „WellPoint”, a nowy brand miał dać nowy impuls dla lepszej identyfikacji na rynku ubezpieczeniowym i promocji jego nowej strategii. To prawdziwy „koszmar prezesa”, gotowe case study na szkolenie.

Dyskusja na temat cyber ryzyka nabrała ostatnio tempa, to skądinąd klasyczny wyścig „armaty i pancerza”, a ubezpieczenia mają jak zawsze, kluczową rolę w zabezpieczeniu przed zagrożeniem. Jednak w porównaniu z innymi ryzykami biznesowymi wciąż stosunkowo niewielka liczba podmiotów korzysta z ubezpieczeniowej cyber ochrony. Dane Marsh’a i Willis’a dla USA i Europy z 2013 roku mówią o 6-10% firm, które wykupiły takie ubezpieczenia. Co gorsza nawet na rynkach
rozwiniętych do 25 % firm nie wie nawet o ich istnieniu cyber polis. W Polsce, choć badań brakuje, jest z pewnością o wiele gorzej.. Inna sprawa, że cyber ubezpieczenia na świecie to bardzo szybko rosnący rynek – nawet 10-25 % rocznie.

Nie tylko z punktu widzenia praktyki, ale również teorii ubezpieczeń cyber ryzyka to temat stosunkowo nowy, więc zaprojektowanie odpowiedniego produktu ubezpieczeniowego, zyskownego i zapewniającego klientowi pożądaną ochronę wciąż pozostaje wyzwaniem. Ostatnio, ciekawą analizę „adekwatności” ochrony ubezpieczeniowej opublikowali akademicy-praktycy ze szwajcarskiego Uniwersytetu St. Gallen, którzy już na wstępie opracowania pt. „Możliwość ubezpieczania cyber ryzyk: analiza empiryczna” zauważają, że projektowanie cyber ochrony odbywa się nieco po omacku, bo wciąż brakuje solidnych, podpartych obiektywnymi danymi kalkulacji. Dzieje się tak między innymi z powodu braku dobrze, naukowo udokumentowanych przypadków, dopiero niedawno w USA i Unii Europejskiej wprowadzone zostały regulacje nakazujące ujawnianie naruszeń bezpieczeństwa. Co więcej, niewiadoma ilość naruszeń pozostaje nieznana nie tylko dla ubezpieczeniowych analityków, ale nawet dla samych cyber ofiar. Nagłaśnianie przez media przypadki ataków hackerów, „bijące” po oczach publikacje dostawców cyber security budują co prawda pożyteczną atmosferę ogólnego zagrożenia, ich wartość badawcza często jest jednak ograniczona.

Inną przeszkodą utrudniająca systematyczną analizę efektywności cyber ubezpieczeń jest bardzo duża zmienność oferowanych warunków ochrony. Już tylko z powodu szybko ewoluującego rynku cyber ryzyk i jego otoczenia zawierane umowy są bardzo zróżnicowane, podobnie jak pobierane składki. Obiektywnie rzecz biorąc ma to swoje uzasadnienie, bo cyber ubezpieczenia muszą być zazwyczaj krojone ściśle na miarę, bywają unikatowe dla poszczególnych klientów w zależności od wielkości firmy, wielkości baz klientów, wykorzystywanej technologii, obecności w Internecie, rodzaju informacji wykorzystywanej i przetwarzanej itd. Nic więc dziwnego, że jeszcze w 2013 roku, wg. danych Willis’a nawet w sektorze finansowym cyber polisy miało tylko 20 % firm, podczas gdy w produkcji 2%, a najmniej w opiece zdrowotnej – 1%. To znowu nic dziwnego, bo ca. trzy czwarte cyber ataków dotyczy sektora finansowego.

No więc jednak jakieś szacunki są wcale nie tylo ubezpieczeniowe, jak zauważają ostatecznie badacze z St. Gallen, danych też aż tak nie brakuje jak dobrze poszukać, bo trochę już cyber złoczyńcy po świecie grasują. Jednak z punktu widzenia aktuarialnej wyceny cyber ryzyk, uzasadniającej ich „ubezpieczalność” podstawowymi wyzwaniem dla szwajcarskich analityków jest „modelowa” niezależność analizowanych cyber zdarzeń. Szczególnie, że niektórzy badacze przedmiotu właśnie w przypadku cyber ryzyk podważają tę niezależność wskazując, że systemy informatyczne są projektowane w ten sam sposób, czego efektem jest bardzo wysoka korelacja cyber incydentów. Przykładem niech będą popularne DDoS-y (Distributed Denial of Service), czyli masowe cyber ataki zatykające zasoby informatyczne ofiar/y. Na szczęście dla ubezpieczycieli badacze z St. Gallen ostatecznie zaprzeczają w swojej analizie jakiejś fundamentalnej cyber korelacji choć nie zaprzeczają, że w przypadku części incydentów ona istnieje.

W dodatku do problemu z korelacją utrudniającą analizę aktuarialną problemem jest również cyber reasekuracja, trudna ze względu na wciąż ograniczony rozmiar rynku i obiektywnie małą dzisiaj możliwość pożądanej dywersyfikacji ryzyka przez reasekuratora. Choć w przypadku cyber ryzyka, parafrazując poetę, „dzisiaj” to prawie już „wczoraj”.

Kolejny problemem związanym z ubezpieczeniową wyceną tego ryzyka jest wspomniana już niedostateczna, a często także asymetryczna informacja o incydentach. Pozostają szacunki i estymacje, a jak wiadomo GIGO (Garbage In, Garbage Out) jest w stanie „położyć” najbardziej wyszukany model wyceny. Także, biorąc pod uwagę wysoką niepewność co do aktuarialnej adekwatności wyceny ryzyka, ubezpieczyciele uwzględniają w umowach ponadnormatywny udział klienta w szkodzie. To zaś czyni ochronę ubezpieczeniową o wiele mniej efektywną i oczywiście, mniej korzystną z punktu widzenia korporacyjnego menadżera ryzyka. Gdyby dodać do tego jeszcze pędzący postęp technologiczny, który powoduje, że dane dotyczące cyber ryzyk sprzed kilku zaledwie lat „nie pasują” do profilu aktualnych zagrożeń, rysuje nam się zaiste olbrzymie wyzwanie dla ubezpieczyli, od których przecież wszyscy oczekują wyjścia naprzeciw wyzwaniom związanym z cyber niebezpieczeństwami.

ps. 
Już wkrótce nasza relacja z Konferencji “Cyberryzyko w finansach” ! Ubezpieczeniowe wyzwania…

Ubezpieczeniowe, ubezpieczeniowe…

Menadżer ryzyka e-czyta

2

Jak kąśliwie niektórzy nasi Redakcyjni koledzy po kątach komentują, Naczelny Bloga zanudza ostatnio na zebraniach  opowieściami o przewagach swojego nowego gadgetu: e-czytnika  e-booków. Z dumą też prezentuje na ekranie swojego e-booka (patrz foto w tekście poniżej ) doniesienia o naszym blogu przez co znańsze media natrętnie rozgłaszane. 

 
Czytniki e-booków w trakcie minionych świąt były podobno jednym z najbardziej pożądanych prezentów podchionkowych w Ameryce. U nas e-czytniki to temat mało znany albo umieszczany wśród  gadżetów . Naszym zdaniem e-reader to gadżet bardzo pożyteczny, umożliwiający zmieszczenie w jego pamięci  kilku tysięcy książek, opracowań i dokumentów.
Biorąc chociażby pod uwagę niezmierną u nas mizerność tekstów  nt. zarządzania ryzykiem i  wartościowej literatury biznesowej w ogóle,  ułatwi nam czytanie rożnymi ścieżkami zdobywanych pism anglojęzycznych .
Co wybrać ?
Do wyboru mamy kilka urządzeń – już od 500 złotych. Zdaje się jednak “wyborcza” linia podziału to zwolennicy amerykańskiego Kindla Księgarni Amazon ( jak nasz Naczelny)  i innych urządzeń z Onyxem choćby. Dla zainteresowanych pro i cons  polecamy ranking e-booków w Komputer Świecie….
Ekran
Po pierwsze wielkość ekranu, pod drugie wielkość ekranu, po trzecie ….
Większość Czytników ma ekran rozmiar 6 cali. Naszym zdaniem, to szczególnie przy czytaniu pdfów, za mało. Tu stanowczo polecamy Kindle DX ( 9,7 cala) . Są też Kindle 6 calowe.
Zasadniczo, to póki co,  w czytnikach jest wszystko czarno-białe. O to zresztą w technologii ink-paper chodzi, aby imitować książkę. Światło jak w laptopie się nie odbija, nie męczy to oczu, a bateria tylko
raz-na- jakiś-czas ładowana być musi (np. 2 tygodnie, w zależności od  użytkowania)
Gdzie i jak kupić ?
W Polsce lub – w przypadku Kindla – w amazońskim sklepie w Ameryce  lub Wielkiej Brytanii.
Przy czym Duży Kindle tylko w Ameryce zdaje się jest dostępny. Amazon wysyła sprawnie i szybciej niż poczta rodzima ( no dobrze, to prawda,  każdy wysyła szybciej ) . Urządzenie zamówione w sobotę po południu miało już w niedzielę status “wysłane”. Najwyraźniej nie mają tam aż tak długich weekendów…
Można też od razu zamówić etui  i  ładowarkę z adapterem “wtyczkowym”.
Cła, kurierzy etc.
Oczywiście w przypadku polskich sklepów problemu nie ma . Zakup w Amazonie też skomplikowany, empirycznie to przećwiczyliśmy,  nie jest. Sklep  pobiera zaliczkę na cło, kurier przynosi z SAD-em i amerykańską fakturą. Jest zresztą to temat na forach omówiony wszechstronnie …
Co czytać „po godzinach”
Do e-czytania jest już na Internecie mnóstwo, również bezpłatnie. Coraz więcej też po polsku.
Z lekka zaszokowało nas „społeczny” katalog bookini.pl gdzie darmo znajdziemy 2,500 klasyków na wyciągniecie ręki . To dla rożnych Zoli i Orzeszkowych reinkarnacją pachnie po prostu. I bardzo dobrze !  
Amazon Kindle oferuje zaskakujący bezprzewodowy 3G dostęp do swojej księgarni ca. 550 tys pozycji  anglojęzycznych + gazety np. miesięczna prenumerata Newsweeka tylko ca. USD 3,50!  
Rożne standardy
Choć sprzedawcy e-książek swoje forsują monopolistyczne formaty e-zapisu  wieszczymy, że małą to ma przyszłość . Nie mówiąc o nielegalnych praktykach, o których mówi się tylko półgębkiem ,  na wyciągniecie ręki są łopato-logicznie  działające konwertery .
Warto –  nie warto .
Warto: choć czytając rożne opinie nabywców kociokwiku na początek dostać można. My wychodzimy z założenia, że żadna technologia nie jest idealna i czytnik ma być (uwaga !) czytnikiem a nie laptopem.
Pewni prawie jesteśmy, że już niedługo e-booki w tornistrach naszych szkolniaków zastąpią książki i kajety. No może dla podtrzymania Tradycji Dźwigania wersje 3, 5, lub 8 kg na polski rynek powstaną…
Warto również pomyśleć nad sensownością wydawania pieniędzy na nowe biblioteki akademickie w tradycyjnej formule. Tego wiatru zmian nic nie zatrzyma….

Jakie standardy zarządzania ryzykiem. Wyniki badania.

jakie standardy zarządzania

“Jakie standardy zarządzania ryzykiem wykorzystujemy?”
Tak brzmiało pytanie postawione Czytelnikom Ryzykonomii w pierwszym, z mamy nadzieję licznych badań branży zarządzania ryzykiem w Polsce prowadzonym przez IAR, Instytut Analiz Ryzykonomii. (No, dobrze niech będzie nie ma żadnego Instytutu, ale w sumie jak patrzymy w telewizję to mnożą u nas się różne samozwańcze think tanki, więc dlaczegoby nie ?).

W badaniu, które trwało około 2 tygodni wzięło udział 24 anonimowych respondentów. Może nie jest to bardzo dużo, ale mamy nadzieję w kolejnych edycjach będzie więcej. Oczywiście serdecznie dziękujęmy wszystkim, którzy kliknęli i wzięli udział.
To naprawdę dużo znaczy w kraju, gdzie wogóle ludzie, nawet powiązani “branżowo” są niechętni do jakiejkolwiek kooperacji, czy ujawniania swoich opinii. Niestety, i to mamy okazję obserwowawać w naszym akademickiem życiu (bo mamy kilka “żyć” jak w grze komp: konsultingowe, akademickie, trenerskie, blogowe, komentatorskie…) zasadniczo obowiązuje u nas staroradziecka zasada “tisze jediesz dalsze budiesz”, nikogo tu nie winię taka dygresja, taki mamy system kształcenia… Oczywiście dla zarządzaania ryzykiem, gdzię ujawnianie “niedobrych informacji” ma fundamentalne znaczenie, ba to istota risk menadżmentu, ta zasada jest zabójcza, i z pewnością każdy menadżer także menadżer ryzyka mam nieraz okazję tego doświadczać…

Ale, wracając: wyniki naszego quizu – badania obrazujemy na załączonych obrazkach.

jakie standardy zarządzania

 

 

Na pewno jesteśmy trochę zaskoczeni, że przynajmniej wśród ankiektujących równą w zasadzie popularnością, “zastosowalnością” cieszyły się obydwa “największe” pod względme popularności na świecie standardy, czyli COSO II Zarządzanie ryzkiem korporacyjnym. Struktura Ramowa oraz ISO 31000 Zarządzanie ryzykiem. Zasady i wytyczne.
Ciekawe, ciekawe…

Oprócz tego, ponieważ była również możliwość dodatkowych komentarzy, lista dopowiedzi na tytułowe pytanie poniżej:

“Własny”
“Żaden” 
“FERMA” (standard Federtion of European Risk Mgmt Associations)
“Korzystam z kilku i wybieram najlepsze rozwiązania”
“ISO 27005” (IT security przy. red. )

Jakie standardy zarządzania ryzykiem wykorzystujemy?
Różne i jak się wydaje, ma to sens.

A jaka jest Państwa opinia, jak oceniacie problem? Prosimy o komentarze, poniżej.

Mapa ryzyka

3
 Mapa Ryzyka 2011 by Ryzykonomia

Mapa ryzyka >>>

Więcej na te temat
przeczytasz w „Zombie atakują ! Zarządzanie ryzykiem po prostu” .  Strona bloga
http://www.ryzykonomia.pl/p/e-booki.html

FERMA Forum Sztokholm – cz. II

0

Kontynnujemy naszą relację z europejskiego zjazdu risk menadżerów ryzyka FERMA Forum w dniach 2-5 października, którą zaczęliśmy w poprzednim numerze bloga….

Nie tylko z merytorycznego, ale i „dramatycznego” punktu widzenia, na relacjonującym dla Czytelników GU sztokholmskie Forum duże wrażenie zrobił również panel dyskusyjny dotyczący perspektyw rozwojowych zarządzania ryzykiem. Oprócz panelistów wzięli w nim udział  na żywo jego słuchacze, którzy za pomocą maili wysyłanych z tabletów i smartfonów dosłownie on-line komentowali dyskusję. Wyświetlane przez organizatorów na ekranach sali konferencyjnej „społecznościowe” komentarze uczestników nadały spotkaniu niezwykle żywy i pełny zaskakujących zwrotów akcji przebieg.


N






Więcej na te temat
przeczytasz w „Zombie atakują ! Zarządzanie ryzykiem po prostu” .  Strona bloga  
http://www.ryzykonomia.pl/p/e-booki.html

Zarządzanie ryzykiem nie-komplajansowe

0

Przeglądając ostatnio kilka procedur zarządzania ryzykiem stworzonych w rodzimych organizacjach sektora publicznego nie mogłem się oprzeć wyczuwalnej w dokumentach dyskretnej atmosferze Zgodności.

Zgodność, czyli mówiąc popularnie Komplajans używam tu na określenie podejścia do zarządzania (ryzykiem), którego naczelną wytyczną jest zgodność z wymaganiami.
Ma być i jest. A więc jest zgodne. Zrobiono, wypełniono i zatwierdzono.
Zbyt dosłownie rozumiany Komplajans jest zresztą jednym z największych niebezpieczeństw, na jakie napotyka każdy proces zarządzania ryzykiem.
Wszystkie jak się zdaje instytucje finansowe z pierwszych stron gazet światowego kryzysu miały przecież funkcjonujące i często zaawansowane systemy zarządzania ryzykiem. Najwyraźniej jednak zwyciężyło podejście komplajansowe i kiedy trzeba było, jak mówią Anglosasi zadąć w gwizdek  (blow the whistle) na trwogę wypełniano tylko kolejne rejestry i mapy ryzyka. Zrobiono, wypełniono i zatwierdzono.

Wracając do przywołanych na początku artykułu procedur zarządzania ryzykiem to atmosfera komplajansowości jest, zdaje się, szczególnie odczuwalna w obszarze oceny wielkości identyfikowanego ryzyka.

I tak, jeżeli mowa o skutkach ryzyka to określa się je zwykle jako:  małe, średnie, duże i tak dalej.

Podobnie, prawdopodobieństwo: małe, średnie itd. W przypadku prawdopodobieństwa, gwoli ścisłości pojawiają się jeszcze zwykle procenty (na przykład : duże ryzyko – prawdopodobieństwo wystąpienia szacowane (ciekawe jak?) na 81 – 100 %).

A przecież jeżeli chodzi o opis skutków, to aż prosi się o wymiar pieniężny.
Na przykład:
Małe ryzyko: strata 1 PLN
Duże ryzyko: strata 1 mln PLN

Proste i precyzyjne: prawda ?
Również w przypadku rożnych ryzyk miętkich, niepieniężnych (póki, co) jak choćby narażających reputacje organizacji, można ryzyko precyzyjniej i obrazowo opisać.

Oto prosty przykład:
Małe ryzyko: „2 linijki tekstu o Naszej Wpadce na ostatniej stronie lokalnej Gazety Działkowca
(nakład 100 egz.)
Duże ryzyko: publikacja o Naszej Wpadce w Fakcie na 1 stronie literami wysokości 30 cm
(nakład 750 000 egz.)

Z prawdopodobieństwem jest może trochę trudniej, ale tym bardziej jest precyzyjny opis wymagany. Jakie pytanie bowiem, taka dzisiaj odpowiedź…
Z doświadczenia wiem, że proste pytanie o prawdopodobieństwo, już powyżej jednego indagowanego może przynieść bardzo różne szacunki.
Tu, można więc spróbować odwołać się do przewidywanej częstości występowania ryzyka.
Na przykład:

Małe ryzyko: To wydarzy się raz w roku .
Duże ryzyko: To wydarzy się co tydzień.

Pozdrawiam pozakomplajansowo serdecznie.

Dziękujemy !

2
dziękujemy

Dziękujemy stałym i nowym P.T. Czytelnikom bloga Zarządzanie ryzykiem Ryzykonomia, bo jak widzimy po statystykach ilość odsłon naszej strony od początku roku wzrosła 30-40%. Bardzo nas to cieszy.

Nowa platforma, nowi Czytelnicy

Mamy nadzieję, że to także rezultat przejścią na nową platformę (WordPress) co dało nam wiele nowych możliwości (jak na przykład newsletter, na który od stycznia zapisało się już prawie 200 osób).

Jak mam nadzieję Czytelnicy zauważyli, wzmogliśmy też naszą aktywność publikując znacznie częściej, choćby w nowo powołanej rubryce Monitor Ryzykonomii, gdzie przyglądamy się najświeższym developmentom ryzykonomii w biznesie, w kraju, na świecie i nie tylko.

Wierzymy, że…

Wierzymy, że nasze teksty spotykają się z Państwa zainteresowaniem. Zawsze oczywiście zachęcamy do komentarzy, uwag, skarg i wniosków. Pod każdym tekstem można znaleźć właśnie włączony-ulepszony dziecinnie prosty system komentowania.

Mamy oczywiście nadzieję być coraz bardziej poczytni dla dobra powszechnej Ryzykonomii, choć oczywiście łatwo nie jest.

Choćby walczymy z wszechmocnym i niesłychanie roziwniętym nad Wisłą SEO, różnymi płatnymi szachu-machu świadczonymi przez cały przemysł pozycjonowania co powoduje, że strony ciekawe (jak mamy nadzieję Ryzyknomia, gdzie zamieszcza się unikatowe treści) są spychane przez sztucznie pompowane stragany usługowe.

POLECAJCIE NAS ! DZIĘKUJEMY !

Dlatego będzie nam zawsze strasznie miło jeżeli polecicie Państwo RYZYKONOMIĘ swoim partnerom biznesowym, kolegom, przyjaciołom, dzieciom a może nawet kotu jezeli tylko potrafi czytać, a jak wiadomo dzisiaj koty są bardzo inteligentne.

Zatem klikajcie lajki i udostępniajcie Ryykonomię, o co nieustannie uprasza Was

Wasz Wydawca Ryzykonomii
Jerzy Podlewski

ps. Więcej Ryzykonomii, już za chwilę, za momencik, teraz….

dziękujemy, dziękujemy

Masowe ryzyko imprez masowych

0

Zarządzanie ryzykiem imprez masowych czyli Big Eventów jak to koncerty, mecze piłkarskie, różne parady łatwe nie jest i choćby z tego powodu Redakcja Bloga za nimi nie przepada i jeżeli nie musi – to nie chodzi. O ścisku nie wspominając. Ale temat niezwykle jest ważny . Dlatego dziś w nawiązaniu do ostatniej tragedii na Love Parade w Duisburgu.

Więcej na te temat
przeczytasz w „Zombie atakują ! Zarządzanie ryzykiem po prostu” .  Strona bloga  
http://www.ryzykonomia.pl/p/e-booki.html

W sporcie

0
Profesjonalne zarządzanie ryzykiem w sporcie jest już od dawna sprawą oczywistą. Tym bardziej budzi nasze zastanowienie z jakim trudem Czynniki próbują sobie, choćby z kibolski problemem,   poradzić.
Kibole to oczywiście tylko część problemu i ryzyka w sporcie (i futbolu w szczególności). Sport to dzisiaj coraz większy biznes i ryzyka coraz większe. Co prawda nasza liga piłkarska to jak się szacuje obrót roczny rzędu 60 milionów euro rocznie, podczas gdy Premier League to dobre 2 miliardy euro a Bundes niewiele mniej. Chyba jednak po coś się te piękne stadiony się buduje,  bo chyba nie tylko na kilka dni EURO 2012.

Skoro o naszym ulubionym 2012,  o którym już kiedyś pisaliśmy to tu EGAP konsekwentnie totalny panuje co oczywiście bardzo nas cieszy.
Domyślamy się że stosowne rejestry ryzyk pęcznieją od środków zaradczych i zarządzanie ryzykiem idzie na całego, tylko ciągle jest ściśle tajne, niestety.
Ale na pewno po szczęśliwym zakończeniu tych piłkarskich igrzysk się wszystkiego dokładnie w triumfalnych wywiadach dowiemy i wszystkie ryzyka, które się (nie) wydarzyły  a były wcześniej w mrówczo zidentyfikowane i  zarządzane zostaną publiczności ujawnione. To będą wspaniałe case study choćby dla naszych uczelni i szkół biznesu gdzie nauczanie zarządzania ryzykiem, kwitnie jak nigdzie gdziendziej.
Do zarządzania ryzykiem w sporcie wracając…. na przykład jakiś czas temu nam kanadyjscy korespondenci Ryzykonomii opisali jak ryzykiem igrzysk w Vancouver systematycznie zarządzano. Proces ten bardzo był tam bardzo rozbudowany i specjalne komórki zarządzania ryzykiem już  kilka lat wcześniej powstały, co najmniej 300 ryzyk różnej maści i wagi w rejestrze ryzyk olimpiadowych umieszczono. Szczególnie nas w tej kanadyjskiej opowieści zainteresowała krzyżowa analiza ryzyk .
Na przykład: „jak zagrożenia  stanowi  organizacja zawodów łyżwiarskich w miejscu X na funkcjonowanie ważnej instytucji rządowej nieopodal ?”.
Dziwne to może dla nas problemy, którzy to z natury do planowania ostrożnie podchodzimy, włosa na czworo a może nawet na dwoje nie lubiąc dzielić. Choć zapewne  tajni planiści od zarządzania ryzykiem w EURO 2012 podobne zmartwienia na swoich barkach samotnie nieść muszą.
Trzeba tu jednak sprawiedliwość oddać, że i u  nas do świadomości Czynników ta krzyżowość i holistyczność ryzyk powoli przecieka.
Zdaje się nawet zaczęto sobie ostatnio wyobrażać wreszcie jakie ryzyko reputacyjne stadionowa zadyma na oczach biliarda telewidzów może przynieść. O panikach i tratowaniach, congestiach komunikacyjnych itp. skromnie nie wspominając.
Ciekawe też jak miasta organizatorzy w czasie igrzysk będą funkcjonować  i ile ryzyk się może  jeszcze urzeczywistnić.  
Dziwna dla nas pozostaje magiczna wiara w siłę sprawczą różnych ustaw ( a to o Zarządzaniu kryzysowym a to o Imprezach masowych). Uprzejmie tu zauważamy, że zarządzanie ryzykiem na ustawach oparte z natury swej  „ustawowości” bywa  bardzo zgrzebne bo trudno jest ustawę do każdej specyficznej specyfiki dopasować.
Zawsze jednak można ryzyko EURO 2012 do „O” zredukować, choćby stadiony na czas meczów zamykając, co ma również tę dobrą stronę, że nam wątpliwej  przyjemności z oglądania rodzimych futbolistów zaoszczędzić może.
  

COSoTKA

0
Ani samotrzeć ani samowtór, ale sami musimy dziś już IV Odcinek Podróży  po Zarządzaniu Ryzykiem ala’ COSO II kontynuować bo Naczelny Bloga od rana się jakimiś nowymi referencjami od naszych P.T. Klientów przechwala, już żeśmy się w Redakcji przyzwyczaili że jak się Stary z dumy nadmnie, to do wieczora nic merytorycznie nie wytworzy…a więc do dzieła…..
Dzisiaj obejrzymy z Czytelnikami Bloga najczęściej z COSO II kojarzoną “rzecz”, a więc samą kostkę COSO II.
Costka ma za zadanie – w 3D  – istotę zarządzania ryzykiem wg. COSO opisać.  Mamy tu i Proces i Obszary ryzyka i Podmiot procesu (przedsiębiorstwo, jednostkę publiczną czy ngo) na części pierwsze rozłożone. W sumie fakt, ale….
Jak dla nas Proces zarządzania ryzykiem zbyt rozwlekle, aż na 8 poziomów jest rozpisany (środowisko wewnętrzne –aż do- Monitorowanie), również ….

…byśmy  Kontrolę i Monitorowanie razem „zbili” bo istotą Kontroli jest Monitorowanie i vice versa. Również liniowe rozpisanie Procesu sugeruje chronologiczne następstwa poszcególnych jego elementów, 
a przecież tu istotne są sprzężenia zwrotne i ich równoległość. Ten problem AS/NZS czy ISO 31000 znacznie lepiej obrazują.
Również to zauważyć musimy, że analiza Środowiska wewnętrznego to stanowcza za mało, a za mało o Środowisko zewnętrzne (którego na Costce nie widać), i które równie dla zarządzania ryzykiem jest kluczowe…. i znowu o tym aspekcie precyzyjniej konkurencyjne standardy ERM mówią, o „kontekście” zarządzania ryzykiem wspominając.
Drugim punktem procesu COSO jest Ustalanie celów i na temat ustalania celów zresztą się autorzy COSO sporo rozpisują, co Wielu najwyraźniej  interpretuje ( bo to i z samej Costki wynika), że ustalanie celów (strategicznych i operacyjnych) w przedsiębiorstwie do zadań menadżerów ryzyka należy.
Nie należy, RM nie powinni i nie chcą (!) celów przedsiębiorstwa ustalać ( tak choćby z dyskusji, w której na FERMA Forum w Sztokholmie się przysłuchiwaliśmy, wynika, o tym napiszemy już za chwilę…) .
Inaczej ma się sprawa w rodzimym sektorze publicznym tu Ustalanie celów ściśle z zarządzaniem ryzykiem związano, co stosowne standardy jasno objawiają. I kropka …się tu nie dyskutuje. I kropka.
Bardzo cenne jest w COSO, co z kolei zbyt mało się zauważa, że COSO podkreśla konieczność równoległości i przenikania procesów określania strategii i analizy ryzyka. Choć niejedną dyskusję odbyto, co jest  pierwsze: cele strategiczne czy analiza ryzyka tych celów – to typowy dylemat jajko-kura do niczego nie prowadzący, bo tu i jajko i kura równie ważne są, co COSO słusznie zauważa i podkreśla.
Przechodząc do “ścianki” obszarów ryzyka, to cztery obszary COSO deklaruje: strategiczne, operacyjne sprawozdawczości (reporting) i zgodności (compliance). Szczególnie dwa ostatnie na często zarzucane odchylenie bankowo-finansowe COSO wskazują, bo ryzyka raportowania o compliance do soxowych i audytowych korzeni COSO II nawiązują. Ryzyka te są oczywiście niezwykle ważne i aktualne, ale zdaje się mało które przedsiębiorstwo niefinansowe (o publicznych orgnizacjach nie mówiąc) taką typologię wprost przy wdrażaniu ERM zastosuje.

Wreszcie na ostatniej ścince Costki się trywialny podział organizacyjny znalazł, możnaby to sobie zupełnie darować, ale wiadomo, coś tam zapisać było trzeba. 

Reasumując, najwyraźniej  COStka wciąż się powszechnie podoba, o czym choćby samopochwalne badania COSO poświadczają.
A kolejne odcinki o COSO II , już wkrótce, póki co zagrożenia związane z jedzeniem bułek z serem (a nawet szynką) w następnym artykule omówimy….