Autor MAREK BARNAŚ
Po małej przerwie związanej z natłokiem innych aktywności, powracamy do systematycznych wpisów na naszym blogu. Leczenie nie tylko ludzi, ale i organizacji wymaga na wstępie diagnozy, a potem skutecznego leczenia. Bez diagnozy leczymy objawowo, a to jak wiecie nie jest najlepszy sposób leczenia i skuteczność leczenia jest wówczas mizerna. Znając jednak diagnozę, możemy zastosować odpowiednią terapię, oraz skutecznie i efektywnie ją zaimplementować.
W dzisiejszym wpisie podam sposób opracowania diagnozy, w kolejny przedstawimy terapie. A wszystko to dotyczyć będzie ryzyk w szerokim kontekście działalności biznesowej i prywatnej.
Truizmem jest powiedzenie, że ryzyko wiąże się z każdą działalnością i aktywnością, ale też z tego faktu wynika że mamy niejako naturalną zdolność do jego zauważania, „radzenia sobie” z nim. Każdorazowo świadomie lub nieświadomie dokonujemy pewnego procesu myślowego, w którym wykonujemy kolejne czynności począwszy od zrozumienia sytuacji i jej kontekstu, w aspekcie istniejących zagrożeń, potem analizy możliwości zaistnienia tych zagrożeń i ich zmaterializowania się, a skończywszy na ich skutkach i finalnie określaniu ryzyka związanego z tym zagrożeniem.
Podobnie w przypadku działalności biznesowej analizując sytuację i otoczenie rynkowe, podejmując decyzje inwestycyjne, czy też wybierając najbardziej odpowiednia strategie postępowania dokonujemy kolejnych kroków związanych z identyfikacja zagrożeń i analizą ryzyka. Literatura i opracowania związane z analizą ryzyka i zarządzaniem ryzykiem są obfite i począwszy od norm ISO 31000, a skończywszy na szczegółowych normach branżowych jak np. ISO 12100. Opisują w szerokim kontekście podejście do zarządzania ryzykiem, bądź szczegółowo mówią, jak analizę ryzyka przeprowadzić dla - w tym przypadku - maszyny. Zasadniczy cel jednak jest jeden- diagnoza sytuacji aktualnej oraz określenie najskuteczniejszego postępowania- „terapii”.
Jak to zrobić?
Pierwszy krok do opracowania diagnozy to określenie i zrozumienie kontekstu: sytuacji, środowiska, zdarzenia lub zdarzeń, które analizujemy. Stąd różne podejście i metody analiz i identyfikacji zagrożeń. Inne dla zdarzeń i decyzji finansowych, inne dla zdarzeń i sytuacji związanych z bezpieczeństwem procesów przemysłowych, inne w odniesieniu do konkretnych wyrobów, czy projektów. Właściwe określenie kontekstu umożliwia określenie rodzajów (kategorii) ryzyk, które analizujemy.
Drugi krok, to identyfikacji potencjalnych zagrożeń. W każdym z kontekstów dotyczących analizowanych sytuacji musimy zidentyfikować wszystkie możliwe do wyobrażenia zagrożenia jakie mogą zaistnieć. Określenie „możliwe do wyobrażenia” jest określeniem nieprecyzyjnym, stąd niejednokrotnie wywołuje niechęć i reakcje negatywne uczestników, gdy podczas sesji analizy ryzyka o nich mówię. Jednak jest to niezwykle istotne, aby nawet mało prawdopodobne zagrożenia zidentyfikować. Między innymi z tego powodu, analizy zawsze należy prowadzić zespołowo, w zespołach łączących kilka osób, a jeżeli to możliwe różnych profesji i różnych doświadczeń. Pozwala to wówczas na szerokie spojrzenie oraz uwzględnienie różnych aspektów i różnych zagrożeń.
Trzeci krok, to określenie możliwej częstotliwości występowania sytuacji zagrożeń. W zależności od kontekstu i rodzaju zagrożenia możemy mieć do dyspozycji różne informacje mówiące o częstotliwości zdarzeń. Najbardziej pożądane jest czerpanie tych informacji z danych statystycznych. W niektórych obszarach takie dane istnieją i te dane są bardzo pomocne, aby oszacować częstotliwość występowania ryzyk. Niemniej jednak należy do nich podchodzić w sposób ostrożny i każdorazowo uwzględniać źródło danych, ograniczenia wynikające z metody ich zbierania i możliwości ich zastosowania w danej specyficznej dla nas sytuacji. I tak uwzględnienie danych statystycznych dotyczących awarii pomp w instalacjach off-shorowych nie mogą być bez zastanowienia implementowane do analiz ryzyka pomp w instalacjach on-shorowych. Podobnie dane dotyczące częstotliwości włamań do sieci internetowych w Bangladeszu nie powinny być brane bez zastanowienia do analizy bezpieczeństwa sieci w Polsce. Lecz nie zawsze, może nawet rzadko, mamy możliwość czerpania danych z danych statystycznych. Wówczas i jest to przypadek najczęstszy dane te bierzemy z naszego doświadczenia, lub doświadczenia zespołu analityków prowadzących analizę. Tutaj po raz drugi widać jak potrzebne jest to zespołowe działanie.
Czwarty krok, to oszacowanie skutków zmaterializowanych zagrożeń, tego co nastąpi gdy zagrożenia zaistnieje. Odpowiednio do kontekstu i rodzaju analizy operujemy wówczas ilością pieniędzy (finansowe analizy), skutkami dla zdrowia ludzi, środowiska (analizy techniczne, środowiskowe), lub używamy innych mierników odpowiednich do kontekstu.
W klasycznym ujęciu iloczyn prawdopodobieństwa i skutków określa poziom ryzyka związanego z zagrożeniem. W praktyce stosuje się również inne rodzaje kalkulacji, podziału na grupy i klasy, przedziały itd. Na koniec tych uszeregowanych działań otrzymujemy diagnozę. Gdzie jesteśmy, jeżeli chodzi o ryzyko w konkretnej sytuacji.
Zastosować można odpowiednio do przedmiotu analizy różne narzędzia analityczne. Metodę EMV, PERT, metody symulacyjne, HAZOP, FMEA, PHA, listy kontrolne, etc. Są to różne narzędzia, lecz z różnymi ograniczeniami i różnymi dedykowanymi obszarami zastosowania. Niemniej jednak niezależnie od zastosowanego narzędzia, celem jest poznanie potencjalnych ryzyk, a w kolejnym kroku opracowanie metod przeciwdziałania i minimalizacji ich i dążenie do „Biznesu Bez Ryzyka” - zminimalizowanie ryzyka.
Mając diagnozę możemy pójść do „lekarza”. Ja gorąco zachęcam do stosowania tych prostych 4 kroków podchodząc do analiz ryzyka, niezależnie od tego w jakim kontekście i sytuacji ją przeprowadzamy. Umożliwi to nam i naszym biznesom bezpiecznie się rozwijać, a w trudnych i nielinearnych czasach (#BANI) przetrwać.
A co z diagnozą dalej robić, to już w kolejnym wpisie.