Ech !

Nartami po Mapie ryzyka

Skandynawskie ryzyka

Uncategorized

Home Uncategorized

Celowo o COSO

0
W naszej dróży pod COSO  ostatnio o organizacyjnych wnętrznościach czyli naukowo mówiąc środowisku wewnętrznym pisaliśmy (tutaj) teraz na kolejny poziom kostki KOSO schodzimy w V-ej części naszej analizy , a mianowicie segment „Ustalanie celów”. 
Choćby pracownicy sektora publicznego zaznajomieni z tajnikami kontroli zarządczej dostrzegą że w KaZetowym systemie ten element kostki został transmutowany w standard „Cele i zarządzanie ryzykiem”.
O tej intrygującej dla nas koncepcji pisaliśmy i napiszemy jeszcze, ale oczywiście dzisiaj omawiany element COSO dotyczy wszystkich organizacji, a w założeniu przede wszystkim przedsiębiorstw.
Po tytule „Ustalanie celów” można się spodziewać, ten element COSO II na celami organizacji się rozwodzi, a przede wszystkim ich ustalaniem i osiąganiem. Stąd naszym zdaniem wrażenie autorzy COSO świadomie (lub nieświadomie) wykreowali, że zarządzanie ryzykiem powinno się sensu stricte określaniem celów organizacji, a w szczególności tych najważniejszych strategicznych, zajmować. Nic naszym zdaniem bardziej błędnego.
W realu zarządzanie strategiczne to oddzielna broszka i zarezerwowana dla najwyższych czynników,  która zarządzanie ryzykiem powinni w procesie zarządzania strategicznego wykorzystywać.
Nie jest z pewnością rolą procesu zarządzania ryzykiem czy – personifikując risk managera, czy jakiegoś komitetu zarządzania ryzykiem- definiowanie celów organizacji wogóle.
Zresztą tę naszą myśl nasz kolega z FERMA potwierdził (pisaliśmy o tym jakiś czas temu ) który to na jednym z paneli dyskusyjnych o przyszłości Riska Managera dramatycznie oświadczył „ I am not a strategist ! ” .
Rozumiemy że niejeden chciałby w ramach zarządzania ryzykiem cele organizacji ustalać ale gorzko się tu zawiedzie a co najmniej z tego nic realnego nie wyjdzie . Nie jest łatwo być strategiem choć wielu się wydaje, że tak. Powstrzymamy ich zapędy również tą uwagą, że i tak realnie cele strategiczne najwyższe kierownictwo ustala. Owszem – i tu panuje w branży spora zgoda – określanie celów organizacji i ryzyka dla osiągania tych celów powinno być równolegle, ale zakładamy, że choćby na rodzimym etapie wdrożenia zarządzania ryzykiem póki co często ERM-u w ogóle nie ma,  a zarządzanie strategiczne takie czy inne istnieje.  
Tym nie mniej COSO się w rozdziale o ustalaniu celów na tematem rozwodzi teoretycznie mocno i kategorie i podkategorie celów tworzy,  i jak je osiągać mówić. Czy to jednak standard zarządzania czy zarządzania ryzykiem  jest ? My tę koncepcję pisania o wszystkim słabo rozumiemy. Trzeba jednak przyznać, że stron przybywa , przybywa.
Wreszcie na zakończenie dzisiejszego tematu,  po raz kolejny temat apetytu na ryzyko wyskakuje… W różnych go miejscach COSO widzimy, choć np. zdanie „ istnieje związek pomiędzy apetytem na ryzyko, a strategią”  znacznie mocniej byśmy wyartykułowali np.
”określenie apetytu na ryzyko ma kluczowe znaczeni przy określaniu strategii organizacji”
I jeszcze trzy razy byśmy to podkreślili .
(Kto chce może to zdanie Ryzykonomii do  Ameryki wysłać, jeżeli więcej by chcieli porad jak dobre COSO napisać chętnie im ich udzielimy….).
Wreszcie na zakończenie tego rozdziału o celach w podobny (para) logiczny sposób się koncepcja limitów ryzyka pojawia.  Mocno, naszym zdaniem ta kwestie ideę apetytu na ryzyko zaciemnia czym się owe limity od apetytu różnią ? Z naszego bankowego życia rozumiemy że to typowo finansowa koncepcja, tam różne limity się ustalało i dlatego pewnie  po raz kolejny finansowo – bankowe „odchylenie” COSO wyskakuje.
To dzisiaj o ustalaniu celów na tyle, póki co się żegnamy i na fejsbówkowy fan page Ryzykonomii do lektury różności zapraszamy.  

   

Dlaczego na polskich uczelniach nie uczy się ERM-u ?

0

Właśnie mieliśmy ujawnić dlaczego największe ryzyka na Mapie ryzyka są może , naszym zdaniem, zupełnie urojone, kiedy uwagę Redakcji Bloga przykuła 2 dniowa sensacja , którą był artykuł Prezesa PZU Klesyka w Wyborczej ( link do artykułu, ) gdzie ujawnił, że  wiedza sprzedawana na rodzimych uczelniach ma, mówiąc oględnie, ograniczoną wartość na rynku pracy.
Zelektryzowani tą niesłychaną nowością postanowiliśmy i my  zadać pytanie, który nas od dawna dręczy i stanowi tytuł dzisiejszego artykułu.

Jak jest, naszy skromnym zdaniem ?
Oczywiście są wyjątki i sami je znamy – jednak, niestety nieliczne. Sami uczymy na uczelniach zarządzania ryzykiem w firmie i sektorach publicznych , tu i ówdzie. Ale z nauczaniem ERM-u jako takiego ( a już mu przecież na świecie 18 rok idzie) jest bardzo słabo.
Nie twierdzimy, że różne aspekty zarządzania ryzykiem nie są wogóle nieobecne.
Choćby nurt zarządzania ryzykiem finansowym jest dobrze zapoznany i powszechnie nauczany. Uczy się więc studentów finansów hedgingów  czy strategii zerokosztowych jakby mieli na Wall street czy w City 

pracować, z rzeczywistością ich pracy jako sprzedawca hipotecznych w banku czy kontroler w dziale finansowym niewiele ma to jednak wspólnego. Jest zarządzanie ryzykiem, przy okazji stosunkowo u nas

popularnego Project managementu (co do wartości project managementowego podejścia do zarządzania
typu „wszystko w jednym”  akurat rosnące wątpliwości mamy, o tym napiszemy jeszcze) jest zarządzanie ryzykiem przy nauczaniu audytu, zresztą jakoś-tak audytorzy na głównych ekspertów od zarządzania ryzykiem wyrastają. My przyznajmy, się aż tak na audycie nie znamy, znać nawet nie zamierzamy. (Ciekawą zresztą dyskusję na temat z zaprzyjaźnionymi audytorami odbyliśmy do czego też wrócimy jeszcze  bo i na świecie trwa ciekawa dyskusja)

Są też niezwykle popularne u nas studia przeróżnych „bezpieczeństw”  i zarządzania kryzysowego. Nie będziemy się tu przezornie na temat poziomu tego nauczania wypowiadać, choć już sama lektura programów wiele informacji przynosi . Dodatkowo, co ciekawe tam gdzie w programach znajdziemy fundamentalny w końcu  komponenty zarządzania ryzykiem, to jest on zwykle traktowany po macoszemu i odfajkowywany w kilka godzinek.
Wogóle to  przyznajemy , podobnie jak w polskich firmach, tak i na uczelniach, zdaje się, sporo o ryzyku i dosyć chętnie, się mówi,  ale jak o literaturę ERM-u, standardy, źródła, bieżące dyskusje i problemy świar ERMu targające zapytać ……
Wygląda więc , że całościowego nauczania zarządzania ryzykiem ERM –u,  tak jak ma to miejsce „na zachodzie” zupełnie brakuje. Nic dziwnego, że potem może z 2 %  polskich firm zarządza ryzykiem, wdrożyło z prawdziwego zdarzenia systemy kontroli wewnętrznej, ładu korporacyjnego czy inne nowinki zarządzania. Zresztą jak badania pokazują w innowacjach w zarządzaniu jesteśmy tam, gdzie w innowacjach w ogóle – czyli na szarym końcu.  
Ciekawy aspekt w dyskusji o edukacji się również pojawił, a mianowicie rola łańcucha edukacyjnego, w tym nauczania podstawowego. Od zawsze zresztą uważaliśmy , że  dla budowy kultury zarządzania ryzykiem w narodzie nauczanie Jasia ma fundamentalne znaczenie. Obecnie nauczanie podstawowe to szkoła konformizmu, urawniłowki, podporządkowania i schematycznego myślenia. Tisze jediesz dalsze budiesz. Bądź grzeczny. Siedź cicho. I jak tu potem wychować risk menadżera ?  

Cyberkultura zarządzania na PZU RED 2017

0
cyberkultura zarządzania

Cyberkultura zarządzania na PZU RED>>>
(artykuł ukazał się w Gazecie Ubzpieczeniowej 09/10/17)

Rzecz to zupełnie nie do wiary, choć specjaliści od cybersecurity doskonale o tym wiedzą, jak łatwo jest dzisiaj włamać się do systemów informatycznych dowolnej firmy czy organizacji. I nie dlatego, że nie mają one zaawansowanych programów bezpieczeństwa.
I nie przeznaczają rosnących środków na zabezpieczanie swoich zasobów przed atakami. Dzieje się tak dlatego, że najsłabszym ogniwem zabezpieczeń pozostaje zawsze On i Ona, człowiek.

Cyberkultura zarządzania po raz kolejny

Przekonać się o tej prostej prawdzie mogli uczestnicy kolejnego, już piątego Risk Engineering Days zorganizowanych przez PZU Lab 2 i 3 października w sopockim Sheratonie. Ponad 150 reprezentantów biznesu, nauki i ubezpieczeń dyskutowało o awariach przemysłowych, cyber bezpieczeństwie i budowaniu szeroko rozumianej kultury organizacyjnej.

A, że kultura organizacyjna jest ważna, świadczą liczne i powtarzane do znudzenia post-katastroficzne analizy. W 60 % cyber incydentów organizacje miały procedury zapobiegające. Ale nie ich wykorzystywały (Verizon), w 82% informacja o ataku była dostępna, lecz pozostała niezauważona li/ub nie podjęto żadnych działań. 83 % zakończonych sukcesem ataków nie było „wyszukanych”. Wnioski są oczywiste…
W trakcie jednej z prezentacji zaproszony ekspert boleśnie zademonstrował uczestnikom jak łatwo włamać się do urządzeń przenośnych, który każdy z nas ma zawsze przy sobie.
Jeszcze bardziej uczestników, ekspertów od zarządzani przybyłych nad morze z największych zakładów przemysłowych całej Polski zelektryzowała kolejna prezentacja „live”.

Pokazała jak łatwo zdobyć e-maile z samego Ministerstwa Cyfryzacji, które mogą być wykorzystane potem do klasycznego phishingu. A regułą jest jak wspomniano za chwilę, że w niechciane maile zawsze (tak!) klika co najmniej kilkanaście procent pracowników, a zwykle więcej.
Oczywiście, to tylko jedna z manifestacji cyberryzyka, o której dyskutowano na RED-zie. Należy jednak podkreślić, że co autor niniejszy uważa za szczególnie cenne, myślą przewodnią spotkania była kultura zarządzania.

Cyberkultura zarządzania wg. Santorskiego

Stąd nie może dziwić, że niezwykle zajmujące key note wygłosił sam Jacek Santorski, który jak wiadomo ekspertem od IT nie jest. Santorski mówił natomiast o zaufaniu, narracjach kształtujących post-rzeczywistość, czarnych łabędziach, owczym pędzie i wpływie stresu na podejmowanie decyzji.
Zainteresowanie tymi „miękkimi” tematami może świadczyć, że biznes z wielkim trudem zaczyna pojmować, że aby posłużyć się znanym sloganem z branży auto-moto. „First man then machine”…
Jeżeli ktoś sobie bowiem wyobraża, że wydanie milionów na rozbudowę działów bezpieczeństwa bez zmiany świadomości pracowników spowoduje, że organizacja będzie bardziej bezpieczna, to się po prostu myli. I swoją drogą dotyczy to nie tylko cyberryzyk ale dokładnie ryzyk wszystkich.
Oczywiście zestaw metod, technik, narzędzi jest tu szeroki, ale przede wszystkim o zarządzaniu cyber zmianą nie może być mowy bez zaangażowania najwyższego kierownictwa, które się zdaje nie zawsze rozumie „temat”. Choć, jak akurat jwynikałoby z wypowiedzi zaproszonych gości, nie dotyczy to ich organizacji…

Cyberkultura zarządzania przemysłowa

Skoro o nich mowa, to zauważyć należy, że na RED-zie PZU, zwykle goszczą wielkie zakłady przemysłowe i tu, szczególną uwagę zwrócono w dyskusji na bezpieczeństwo urządzeń i instalacji przemysłowych. Są one dzisiaj także połączone z Siecią, co w naturalny sposób czyni je celem ataków. Ten przemysłowy Internet Of Things stanowi trudne do przecenienia zagrożenie z punktu widzenia ataków choćby na kluczową infrastrukturę. Źródła takich napaści mogą (i są) nie tylko gospodarcze, ale i polityczne i militarne.

Wśród problemów związanych z budowanie odporności w tym obszarze mówcy wskazywali między innymi na fakt, że oprogramowanie „przemysłowe” jest projektowane w innych sposób niż „informacyjne”. Cele cyber napastników są również odmienne i choćby stąd dodatkowa trudność w zapewnieniu spójności systemu bezpieczeństwa w tym obszarze.
W trakcie dyskusji pojawiła się oczywiście tematyka RODO. Choć po raz kolejny autor słysząc o tym problemie ma wrażenie, że świadomość (także autora) pozostaje tu wciąż niska. „Zobaczymy, pożyjemy”, oprócz deklarowanej wysokiej gotowości jest wciąż jedną z dominujących, żeby użyć słów Jacka Santorskiego narracji.

Wreszcie na zakończenie konferencji, przed i w trakcie jak zawsze rozmowy kuluarowe. Tak cenne w biznesie ubezpieczeniowym też były, poruszono temat sztucznej inteligencji w zarządzaniu ryzykiem. Temat AI to jeszcze niedawno zupełnie z gatunku science fiction dzisiaj już jak najbardziej realny i jak to zwykle bywa jest on źródłem nowych szans i zagrożeń i wciąż zdaje się nie ma zgody co do tego, które większe.

PZU RED, ciekawa platforma wymiany poglądów w obszarze zarządzania ryzykiem, oby takich więcej.

CFO, CRO, ERM

0
Naczelny Bloga Ryzykonomia właśnie wrócił z Kongresu Finansowego, gdzie na temat zintegrowanego zarządzania ryzykiem prezentował –  tym razem dla CFO czyli Dyrektorów Finansowych. Zanim jednak Stary jakiś tekst sensowny na temat wypoci, my szybko naszym P.T. Czytelnikom kilka impresji z wydarzenia przekażemy.
Przewodnim tematem Kongresu były kwestie związane z odpowiedzią na pytanie (choć nam zdało się bardziej re- niż mery- toryczne)  czy Dyrektor Finansowy powinien być dzisiaj bardziej księgowym czy bardziej strategiem ?  
Nas szczególnie ten temat z punktu widzenia zarządzania ryzykiem oczywiście interesuje.

Nasz Naczelny przedstawił w swojej prezentacji – skądinąd wydarzenie rozpoczynającej –  szeroki krajobraz ryzyka widoczny ( lub nie) zza biurka CFO. Potem miary ryzyka pokrótce uczestnikom opisał , a to miary takie jak kapitał ekonomiczny (Economic capital) , CFaRy, EaRy – jak też porównując miększe metody szacowania ryzyka . 
Następnie na pytanie o strategię zarządzania ryzykiem , sobie samemu postawione,  bez kozery i zgodnie z  linią ideową Bloga odpowiedział . ERM , oczywiście ! 
Na koniec wystąpienia nasz Stary przytomnie skonkludował , że o ryzyku wszyscy mówią tylko zarządzać nim nie mają czasu , co w krótszej  perspektywie dla wartości firmy opłakane skutki mieć może, a w dłuższej musi.  
Zdaje się temat ryzyka poruszony wywarł duży wpływ na pozostałych mówców tudzież panelistów ,  bo wszyscy zaczęli o ryzyku mówić, że aż Naczelnego zaczął podziw rozpierać, że spośród tych 1 czy 2  procentów menadżerów polskich przedsiębiorstw, którzy według badań systematycznie i zintegrowanie ryzykiem zarządzają,  wszystkich zgromadzono właśnie w jednej Sali .
Niestety, całe Wydarzenie jak rączy koń dynamicznie podążało , wypowiedzi panelowe krótkie jedynie być mogły i  Naczelny łyżki dziegciu do ogólnego optymizmu na temat stanu zarządzania ryzykiem dołożyć nie mógł i do teraz w niemałym dysonansie poznawczym odnośnie deklaratywnego i rzeczywistego zarządzania ryzykiem pozostaje.
W szczególności Naczelny Bloga na obwieszczenie jednego z później występujących szacownych panelistów nie mógł odpowiedzieć, a mianowicie takie, że CFO nie powinien ERM- emem w firmie kierować, bo zarządzanie ryzykiem  musi być na pozio mie zarządu umiejscowione, ewentualnie CRO trzeba powołać (i to wysoko postawionego, a jakże)  bo inaczej wdrażanie zarządzania ryzykiem bezsensem jest totalnym, nieporozumieniem i udać się nie może.
Z braku możliwości na Kongresie  tu odpowiadamy:
Tak się  najwyraźniej praktyka wdrażania ERMu u nas – póki co – kształtuje,  co zresztą empiryczne analizy potwierdzają, że właśnie to CFO otrzymują zadanie organizacji i nadzoru ERM-em w 99%  polskich firmach.
Nie jest to być może model idealny, ale rzeczywisty na pewno. Z drugiej strony, wcale to nierzadkie na świecie rozwiązanie i Tam działa, więc może i u nas powierzenie ERMu właśnie CFOom niekoniecznie
“z zasady” musi być przeciwskuteczne  .
Dodać tu należy, i tak wynikało również z  prezentacji „CFO Barometer”  na Kongresie przez jedną z firm konsultingowych wyświetlonej, że u nas CFO z zasady więcej muszą robić i wiedzieć niż ich zachodni koledzy .
Więc , jeżeli czas znajdą i odpowiednie know-how im dostarczyć,  z ERM-em mogą sobie dać radę. Zauważyć też należy, że  CFO niejednokrotnie zasiadają w zarządach  i mają naprawdę silną pozycję w firmie,  co osiąganiu celów zarządzanu ryzykiem dobrze robi.
Oczywiście, prawdziwe i uczciwe zaangażowanie Zarządu zawsze jest kluczem do sukcesu i stanem idealnym. Jednakże zarządy na różnym poziomie światłości w zarządzaniu pozostają i dedykowany sponsor jak CFO dużo dobrego dla szerzenia ERM-ów w firmie może zdziałać.
 Źrodło: Deloitte

Wreszcie skoro powołanie Chief Risk Officera wspomniano jak sytuację idealną  to i tu można mieć obiekcje – szczególnie wielkość firmy rozważając. Zauważyć też należy, że  ostatnio uwidacznia się silny kurs „zakorzeniania” ERMu w struktury przedsiębiorstw (choćby Kevin Knight to doradza)  i tu niekoniecznie, aż Chiefa „od ryzyka”  trzeba powoływać.

Choćby dobry Risk Officer czy też sprawny, miły i przyjazny konsultant ERM , jak  niżej podpisany i inteligentny i… (Marian przestaań dopisywać bo się Czytelnik wkurzy ) może sprawdzić się równie doskonale .
Także,  wszystko, również w zarządzaniu ryzykiem, Drodzy Paneliści,  zależy od wiedzy organizacji i determinacji i na tym nasze impresje Kongresowe kończymy, bo się już nowe tematy, artykuły nasze i obce i Konferencje odbywane do opisania szykują.

Uciekaj ! Kryj się ! Atakuj !

0

Nad Polską niebo wciąż niebieskie jak łza choć, jak donoszą coraz bardziej pesymistycznie Źródła, już po wakacjach czarne ryzyka się nad naszą wyspą zbiorą. Mógłby ktoś nawet rzec, że owe antyzielone czarne chmury zgoła niemeteorologicznie na powakacyjne obwieszczenie publiczności czekają, tak czy inaczej… póki co wakacje trwają i na dalszy rozwój wydarzeń musimy więc poczekać. Co nie znaczy, że o różnych innych ryzykach nie myślimy i nie mieszkamy się tymi myślami z P.T. Czytelnikami Bloga dzielić.

Ot, choćby co się wydarzyć może, i jak się zachować kiedy jakieś indywiduuum do biura lub firmy się wedrze lub postanowi z szefem czy niekolegami wyrównać rachunki.
No, naprawdę to jest bardzo poważna sprawa, wręcz dramatyczna, choć rzadko się wydarza, u nas chyba bardzo rzadko. Niby tu nie Ameryka (oj, nie) gdzie o broń łatwo, ale i u nas zdarzały się dramatyczne sytuacje: groźby i napaści na pracowników z użyciem ostrych narzędzi, groźnych substancji; w jednym z sądów rzucono nawet kiedyś granat ręczny (sic) raniąc sędziego. Także ryzyko mało prawdopodobne, ale może się niestety, wydarzyć.
I co wtedy robić ?

Uciekaj ! Kryj się ! Atakuj !

Poniżej zamieszczamy warty obejrzenia amerykańskiej produkcji filmik z You tube, pt. “Active shooter”,  który zamieszcza zaznajomiona strona kryzysowo.pl (link)

Ps.
Najwyraźniej z kowbojskiego punktu widzenia sprawa ma drugie dno, rzec by można z zakresu kontroli zarządczej, bo jak donoszą nasze niewyłączne źródła, wywołała pewną dyskusję co do zasadności wydania 200 tys. państwowych dolarów na 6 minutowy film zamówiony przez City of Houston.
Tamtejsi, co bardziej podejrzliwy obrońcy prawa do posiadania broni sugerują też, że w rzeczywistości chodzi o podkorowy komunikat, że broń do obrony nie jest potrzebna, wystarczą krzesła i zszywacze.

Certyfikacja ISO31000?

certyfikacja ISO31000

Standard ISO 31000 Zarządzanie ryzykiem zasady i wytyczne to jeden z ważniejszych dokumentów dla każdego menadżera ryzyka i każdego, kto zainteresowany jest systematycznym, zintegrowanym, holistycznym podejściem do ryzyka. Jest to w istocie zbiór zasad, reguł, spisanych dobrych praktyk, które pokazują zainteresowanym jak można efektywnie, najbardziej sensownie wdrożyć zarządzanie ryzykiem w swojej organizacji. I bez znaczenia czy jest to przedsiębiorstwo, sektor publiczny czy organizacja trzeciego sektora.

W Polsce jak się wydaje są dobre podstawy do wdrażania ISO 3100 nie tylko dlatego że ma status Polskiej Normy (PN), ale również, dlatego że normowane z ISO jest w ogóle u nas dobrze zakorzenione. Bardzo wiele organizacji wdraża u siebie standardy ISO najczęściej chyba te z rodziny 9000 ale oczywiście nie tylko; standardów na różne okoliczności nam nie brakuje.

Osobiście mam swoje odrębne zdanie na temat powszechnego pędu do certyfikowania wszystkiego, a w szczególności złożonych systemów zarządzania, zdaje się nie ma badań potwierdzających, że samo posiadanie ładnego dyplomu z kolorowymi pieczątkami powieszonego w gabinecie Szefa Szefów daje przepustkę do sukcesów w biznesie. No, nie. Może natomiast dawać złudne poczucie, że standardy myślą za nas, zarządzają jakością, bezpieczeństwem, informacją. Niby każdy się zgodzi z tymi zastrzeżeniami, ale…

No, ale nie o tym miało być dzisiaj, ale o naszym ryzykonomicznym case study, którym są pojawiające się tu i ówdzie informacje nt. “certyfikacja ISO 31000″. Tymczasem już w rozdziale 1 polskiego wydania normy na stronie 15 czytamy:

„Niniejsza Norma Międzynarodowa nie jest przeznaczona do stosowania na potrzeby certyfikacji”

Uzasadnienie tego prostego stwierdzenia, które jest jak mi się wydaje jest kontestowane tu i ówdzie przez zapalonych certyfikatorów, jest dosyć proste i każdy, kto wdrażał w praktyce zarządzanie ryzykiem (jak choćby Wasz Zespól Ryzykonomii) zdaje sobie sprawę, że systemy zarządzania ryzykiem, aby dobrze działały muszą być zawsze dopasowane, uszyte na miarę organizacji. A certyfikacja ISO31000 musi być garniturem nie na miarę, ale z natury rzeczy – z “siecówki”.

Różne są zwykle „driver’y” wdrożenia zarządzania ryzykiem. Raz to wymóg dostawcy, innym razem parenta, innym wolna wola światłego zarządu. Mamy też zupełną dowolność w zaprojektowaniu jak ma wyglądać struktura ramowa (framework) zarządzania ryzykiem w organizacji, jak ma się ono w niej „dziać”. Tego po prostu nie da się z-certyfikować. Oczywiście, jakiś certyfikat zawsze można wypuścić, potwierdzający chociażby, że “jest zrobiona identyfikacja, komunikacja i konsultacja”.
Tylko, co z tego praktycznego wynika? Oficjalne zapewnienie, że wszystkie koncepcje znalazły miejsce w naszym regulaminie wewnetrznym? Można i tak, ale chyba nie o to chodzi we wdrożeniu. Tak naprawdę, realna certyfikacja ISO31000 będą to te ryzykonomiczne business case-y, które pokażą czy zbudowaliśmy (jakąś) odporność naszej organizacji na ryzyko.

Ostatecznie przecież, weryfikacja efektywności sytemu zarządzania ryzykiem, powinna następować zarówno przez wewnętrzne mechanizmy samokontroli wpisane w sam standard jak i audyt wewnętrzny czy zewnętrzny.

Kończąc ten krótki wywód “w temacie” certyfikacja ISO31000, (przynajmniej w obecnym stanie rzeczy, bo przecież różne rzeczy może jeszcze ISO odnośnie opublikować, taki mały disclaimer), dodamy przy okazji, że gdybyście jednak chcieli uzyskać zapewnienie, że na temat certyfikacji dostarczyliśmy wam w powyższym tekście odpowiedniej informacji chętnie wyślemy wam stosowny certyfikat, piszcie.

Nartami po Mapie ryzyka

0
Trochę nas nie było, ale już jesteśmy. Dopierocośmy odprawili obowiązkową podróż na narty, którą każdy predestynujący do naszej rachitycznej i nie-hołubionej klasy średnio-średniej wykonać dorocznie musi…. No może aż tak z obowiązku narciarskie wojaże Redakcji Bloga nie wynikają, ale też.
Jak tylko z szoku kulturowego, który nas zawsze ogarnia po powrocie z krain autostrad, tuneli, nie obsranych chodników i nieobklejonych bilbordami ulic ochłonęliśmy, zaraz żeśmy się rozejrzeli, co się wokoło zmieniło i upewniliśmy się, że jest jak było – czyli wiadomo jak. O tym mówić nie zamierzamy, bo zdaje się nam, coraz bardziej ryzykowne to się staje, ale przecież rysowania Mapy ryzyka z obywatelsko-profesjonalnego obowiązku, razem z naszymi P.T. Czytelnikami Bloga poprzestać nie zamierzamy.
Dlatego cieszymy się bardzo, że proces Mapowania się powoli, acz nieuchronnie toczy i bardzo dziękujemy Panu Wojciechowi Kowalczewskiemu za zgłoszenie do Mapy ryzyka pt. „Rosnące koszty działalności”, (2,3) które nie mieszkając niniejszym na Mapie Ryzyka zamieszczamy.
(Wersja uaktualniona “na pasku” pod tytułem Bloga).

Prosimy o kolejne ryzyka !

(Oczywiście gdy ich więcej będzie naszą Mapę będziemy “technicznie” udoskonalali)
Już też kolejne artykuły ryzykonomiczne szykujemy i zaraz na Blogu zamieścimy. Zostańcie z nami !!!

EGAP wciąż w EURO 2012

0


Kilka dni temu przeczytałem artykuł pt. „Rębiechowo niepokoi UEFA”
Z tekstu wynika, że wg. oceny UEFA istnieje bardzo wysokie ryzyko niedotrzymania terminu rozbudowy lotniska, które ma obsłużyć znaczną cześć kibiców przybywających do Gdańska na mecze w 2012 roku.
Dalej następuję wyjaśnienie, że UEFA stosuje czterostopniowy ranking oceny zagrożeń a poszczególne stopnie zagrożenia oznacza kolorami.
Ranking zagrożeń UEFA wygląda więc mniej więcej tak:


Jednym słowem wariacja na temat Mapy ryzyka (o Mapowaniu ryzyka, w artykule wkrótce)
Jak donoszą Źródła, odnośne Władze „zachowują spokój” argumentując, że podobnie przed rozpoczęciem prac na budowie stadionu w Gdańsku, UEFA również szacowała na „czerwono” zagrożenia dla terminu realizacji.Wszystko się zmieniło, gdy koparki wyjechały na plac budowy.
Hmmm…
Już na początku historii Euro 2012 próbowałem znaleźć w oficjalnych dokumentach ślady zarządzania ryzykiem, tego niewątpliwie ryzykownego przedsięwzięcia.
Może robią to podobnie jak Brytyjczycy przy realizacji Olimpiady Londyn 2012?

Przeglądam „Ocena ryzyka i zarządzanie ryzykiem. Olimpiada Londyn 2012″ Ciekawe opracowanie z Wielkiej Brytanii, nietajne, bite 50 stron. I to na sam początek, wydane w 2007 roku.
Szukam dalej na narodowych stronach Euro2012. Tu, niestety nic znaleźć nie mogę…Galerie… Doświadczony–Zespół–co–Wspiął–się–Po-Szczeblach–Kariery…Pozazdroscic… Obrazki…. Może tutaj ???? O, zakładka pt. “Master plan”. Trójkąciki i kwadraciki, wykres Gantta, wygląda fajnie, są nawet zaznaczone krytyczne opóźnienia w wykonaniu (to są jakies ???). Ale o zarządzaniu ryzykiem ani widu – ani słychu.
Pewnie sprawa tajna… Albo,jak mówią eksperci Banku Światowego zakłada się, że będzie EGAP ( Everything Goes According to Plan ). Co prawda BŚ przestrzega przed EGAP, ale najwyraźniej tu mamy EGAP pozytywny.
Wiedziony dziwnym przeczuciem zaczynam widzieć oczami wyobraźni taki oto risk matrix “naszego” Euro.


Ps.
FIFA pisze na swoich stronach, że w wdrożyła zarządzanie ryzykiem oparte na COSO II. Jest nawet klasyczna „kostka” COSO zarządzania ryzykiem i diagram procesu ERM.
PostPs.
PZPN o zarządzaniu ryzykiem nic nie pisze, jak się można domyslić.