This post is also available in English. M_o_R jest frameworkiem, który pomaga wprowadzić zarządzanie ryzykiem w całej organizacji. Jest kompletny i prowadzi nas począwszy od etapu tworzenia strategii i polityki zarządzania ryzykiem poprzez wprowadzenie zmiany w organizacji, aż po zarządzanie ryzykiem na poziomie operacyjnym.
Pierwsze wydanie M_o_R było odpowiedzią na raport Turnbulla (dotyczący ładu korporacyjnego w spółkach notowanych na London Stock Exchange), natomiast zmiany wprowadzone w II wydaniu z 2007, są odpowiedzią na SOX i Basel 2.
M_o_R początkowy był stosowany przez rząd Wielkiej Brytanii, ale odkąd został upubliczniony, stosuje go coraz więcej prywatnych przedsiębiorstw.
Ale czym właściwie jest ryzyko? Ponieważ jest to wpis o M_o_R to przytoczę definicję bezpośrednio z tego frameworku:
“Risk is an uncertain event or set of events which, should it occur, will have an
effect on the achievement of objectives. A risk consists of a combination of the probability of a perceived threat or opportunity occurring and the magnitude of its impact on objectives”.
Warto więc pamiętać, że mówiąc o ryzyku w ujęciu M_o_R mamy na myśli zarówno zagrożenie jak i okazję biznesową.
Według M_o_R ryzyko może występować na każdym z następujących poziomów:
– strategicznym (związane z długoterminowymi celami organizacji)
– średniookresowym (ryzyko projektów i programów – jeśli interesuje nas tylko ten poziom warto zajrzeć do PMBoK)
– operacyjnym
Framework M_o_R składa się z czterech komponentów:
1. M_o_R principles – podstawowe reguły zarządzania ryzykiem wywodzące się bezpośrednio z corportate governance
2. M_o_R approach – elementy, które trzeba przystosować i zaadoptować (adopt & adapt) do konkretnej organizacji: m.in. polityka zarządzania ryzykiem, rejestry ryzyk i zagadnień
3. M_o_R proceses – 5 podstawowych kroków, które zapewniają, że ryzyko zostanie zidentyfikowane, ocenione i znajdzie się pod odpowiednią kontrolą
4. Embedding and reviewing M_o_R – czyli pomoc we wprowadzaniu zarządzania ryzykiem w organizacji, tak aby stało się jej integralną częścią.
M_o_R principles (reguły zarządzania ryzykiem) – 12 reguł wywodzących się bezpośrednio ze świata corporate governance, oto one:
– Organisational context – środowisko, które wpływa na organizację lub działalność będącą w centrum zainteresowania
– Stakeholder involvement – zaangażowanie osób zainteresowanych
– Organisational objectives – cele organizacji, muszą być dobrze określone, ponieważ ryzyko, którym chcemy zarządzać dotyczy bezpośrednio lub pośrednio celów organizacji
– M_o_R approach – polityka zarządzania ryzykiem, procesy, procedury, itp. powinny być dostosowane do konkretnej organizacji
– Reporting – informacje na temat ryzyk, a także samego procesu zarządzania ryzykiem powinny być raportowane odpowiednim osobom.
– Roles and responsibilities – w organizacji powinny być jasno wyznaczone role i zakres odpowiedzialności za zarządzanie ryzykiem
– Support structure – zespół zajmujący się zarządzaniem ryzykiem musi zapewnić, że polityka i proces zarządzania ryzykiem jest stosowany i przestrzegany
– Early warning indicators – powinny istnieć wskaźniki, które z wyprzedzeniem mogą ostrzec o potencjalnych ryzykach dla krytycznych obszarów biznesowych
– Review Cycle – Polityka i proces zarządzania ryzykiem powinny być poddawane cyklicznym przeglądom w celu ich dostosowania do zmieniających się celów organizacji
– Overcomming barriers to M_o_R – Trzeba zdawać sobie sprawę, że wprowadzenie zarządzania ryzykiem do organizacji wiąże się z wieloma przeciwnościami (m.in. z oporem przed zmianą), które trzeba pokonać
– Supportive culture – Kultura organizacji powinna wspierać zarządzanie ryzykiem w codziennej działalności. Zarządzanie ryzykiem musi być częścią codziennej pracy i obowiązków
– Continual improvement – Proces zarządzania ryzykiem powinien podlegać ciągłej poprawie (domknięcie koła Deminga)
Management of Risk Approach
M_o_R mówi, że nie można przenieść polityki, procedur, zarządzania ryzykiem z jednej organizacji do drugiej. Nie ma też uniwersalnego procesu zarządzania ryzykiem. Powinno się stosować podejście znane m.in. z ITIL (adopt & adapt). Szczególnie każda organizacja powinna posiadać dostosowane do siebie następujące elementy:
Risk Management Policy – Polityka Zarządzania Ryzykiem – ma dać odpowiedź na pytanie, jak będzie wprowadzane zarządzanie ryzykiem w organizacji, w jaki sposób zarządzanie ryzykiem będzie wspierać cele organizacji. Polityka zarządzania ryzykiem definiuje również wspólny język.
Risk Management Process Guide – Proces Zarządzania Ryzykiem
Risk Management Strategies – opisuje, jakie akcje związane z zarządzaniem ryzykiem będą podejmowane w poszczególnych obszarach działalności organizacji
Risk Register – Rejestr Ryzyk – zawiera wszystkie zidentyfikowane ryzyka dla danego obszaru działalności organizacji
Issue Log – Rejest Zagadnień (Problemów) – zawiera informacje o zmaterializowanych ryzykach
Management of Risk Process
Poniższy diagram pokazuje ogólny proces zarządzania ryzykiem, który składa się z 4 kroków reprezentowanych przez strzałki oraz przez okręg przedstawiający komunikację z interesariuszami ryzyk.
Kroki ogólnego procesu zarządzania ryzykiem to:
1. Identify
a) Identify – Context – Zdobycie informacji na temat planowanego działania. Jakie są cele, zakres działania, jakie założenia poczyniono planując działanie?
b) Identify – Risk – Identyfikowanie ryzyk, które mogą ograniczyć prawdopodobieństwo sukcesu (lub je podnieść, pamiętajmy ryzyko może być również pozytywne). Wynikiem jest rejestr ryzyk
2. Assess
a) Assess – Estimate – Oceniamy prawdopodobieństwo i wpływ ryzyka. Ważne jest również „bliskość” ryzyka, czyli jak szybko ryzyko może się zmaterializować.
b) Assess – Evaluate – Oceniamy wpływ zidentyfikowanych ryzyk na planowane działanie. Wpływ powinien zostać wyrażony w pieniądzu.
3. Plan – W jaki sposób odpowiemy na ryzyko, jakie akcje podejmiemy w odpowiedzi na nie.
4. Implement – Upewniamy się, że zaplanowane działania w poprzednim kroku zostaną rzeczywiście zrealizowane.
Więcej informacji o M_o_R znajdziesz poniżej.
Pingback: Technology Architecture & Projects