Nie ma biznesu bez ryzyka

Paweł Czuryło, Interia: Z jednej strony pewnego dnia pojawiają się ataki na szyby wiertnicze i cena ropy szybuje do góry, z drugiej strony do opinii publicznej przedostają się np. ważne werdykty organów Unii Europejskiej, które będą miały znaczny wpływ na kondycję sektora finansowego, a tym samym na całą gospodarkę. I jak w tym wszystkich wygląda zarządzanie ryzykami. Jest ich więcej z wewnątrz czy z zewnątrz z perspektywy firmy?

Karolina Szczygielska, ekspert firmy doradczej PwC: To zależy od firmy, branży. Jako osoba specjalizująca się w zarządzaniu ryzykiem raczej podzieliłabym je na takie, na które mamy wpływ i możemy nimi zarządzić oraz na takie, na które wpływu nie mamy lub jest on mocno ograniczony. World Economic Forum co roku publikuje raport (The Global Risks Report), który opisuje krajobraz najistotniejszych ryzyk w odniesieniu zarówno do potencjalnego wpływu jak i prawdopodobieństwa wystąpienia. Na pierwszych miejscach są wyzwania związane ze zmianą klimatu czy klęskami żywiołowymi - te są w dużej mierze poza kontrolą organizacji. Natomiast zaraz za nimi plasują się ryzyka związane z manipulacją i kradzieżą danych oraz cyberatakami - to również są ryzyka zewnętrzne, ale firmy wdrażając odpowiednie rozwiązania mogą się przed nimi ochronić lub zarządzić odpowiednio wcześnie, żeby zmniejszyć wpływ - na spółkę jak i na interesariuszy. Warto dodać, że PwC także corocznie prowadzi sondaż wśród prezesów zarządów firm na całym świecie na temat tego jakie widzą wyzwania dla swojego biznesu w nadchodzącym czasie - ciekawym jest fakt, że zagrożenia związane z cyberbezpieczeństwem są równie wysoko na ich agendzie, natomiast pozostałe ryzyka dotyczą otoczenia politycznego czy dostępności wykwalifikowanej kadry, a wskazane przez nich najważniejsze ryzyko to to związane z liczbą regulacji.

Gdybym na podstawie doświadczenia w pracy z naszymi klientami, miała wskazać trzy ryzyka, które powtarzają się niezależnie od skali działania firmy, rynku czy branży i będą kluczowe w kolejnych latach, wybrałabym następujące: ryzyko związane z zarządzaniem ludźmi w szerokim kontekście - od demografii i migracji, poprzez employer branding, rekrutację i utrzymanie kadry, ryzyko związane z otoczeniem regulacyjnym i zapewnieniem zgodności z regulacjami oraz ryzyko związane z cyberatakami w kontekście biznesowym.

Czy w strategiach rozwoju firm ryzyko jest obecne?

Musimy zacząć od tego, że w Polsce nadal trudno rozmawia się o ryzyku, ponieważ ono w potocznym znaczeniu ma wydźwięk negatywny. I to się również przekłada na sposób myślenia o nim w biznesie - często spotykam się z takim przekonaniem, że jeśli ktoś przyznałby się do tego, że w jego obszarze odpowiedzialności są jakieś ryzyka to równałoby się to z przyznaniem do bycia złym managerem, kimś kto nie wypełnia swoich obowiązków. Taka jest często perspektywa. Dlatego gros czasu przeznaczamy na to, żeby przełamać ten sposób myślenia o ryzyku i zmienić go na taki, gdzie świadomie przyznajemy, że ryzyko jest wbudowane w biznes. Jest jego nieodłączną częścią. Nie ma takiego biznesu, gdzie nie ma ryzyka. Jest oczywiście strategia unikania, ale ona zakłada że nic nie robimy. W życiu też zarządzamy przecież ryzykiem na co dzień.

Wracając do pytania: podczas prowadzenia projektów związanych z zarządzaniem ryzykiem, zawsze proszę o strategię spółki i niestety rzadko tam się znajduje słowo "ryzyko"czy "zagrożenie". Są opisane cele, ale o wyzwaniach związanych z ich realizacją jest napisane relatywnie niewiele. Jest taka metoda analizy "pre mortem", polega ona na tym, że stawiamy sobie cel i wymyślamy możliwe scenariusze, które w przypadku wystąpienia spowodują, że naszego planu nie zrealizujemy. Taki sposób pracy daje dwie ważne informacje: pierwsza to taka, że zwiększamy szanse na to, że przedyskutujemy wszelkie możliwe ryzyka a tym samym zastanowimy się nad tym jak możemy się na nie przygotować, druga to taka, że jeżeli nie jesteśmy w stanie się przygotować to może warto przeformułować cel?

Firmy o ryzykach przypominają sobie w czasach kryzysu czy także gdy koniunktura jest dobra?

- W trakcie spowolnienia gospodarczego spółki raczej skoncentrowane są na zarządzaniu kryzysem, programach efektywnościowych, trochę gaszeniu pożarów i wtedy najczęściej zarządzanie ryzykiem, i mam tu na myśli takie kompleksowe podejście, jak do procesu nie jest ich priorytetem.  Z drugiej strony, kiedy jest dobrze, wówczas najczęściej słyszymy, że nie ma się czym przejmować. A tak naprawdę, identyfikację ryzyka powinno się robić przynajmniej raz w roku lub przy każdej istotnej zmianie organizacyjnej lub zmianie czynników zewnętrznych. I w tym wszystkim chodzi o ćwiczenie, twórczą dyskusję. O to, żeby zarząd i dyrektorzy usiedli razem i zadali sobie pytanie "czy dobrze zarządzamy biznesem w dłuższym okresie?"

Firmy zdają sobie sprawę z tych ryzyk?

- Na Zachodzie bardziej niż w Polsce, ale i u nas z każdym rokiem świadomość rośnie. Poziom dojrzałości jest naprawdę różny. Z tych trzech wymienionych przeze mnie ryzyk, weźmy na przykład to związane z cyberbezpieczeństwem.

W mniej dojrzałych organizacjach dyskusja na zarządzie jest krótka lub jej nie ma, trochę na zasadzie "niech się zajmie tym IT albo bezpieczeństwo, my nie rozumiemy o czym oni mówią". W tych bardziej dojrzałych, zarząd zdaje sobie doskonale sprawę z tego, że to nie jest zagrożenie techniczne, lecz ważne ryzyko biznesowe, z ogromnym potencjalnym wpływem finansowym, operacyjnym czy reputacyjnym. I tu naprawdę nie trzeba daleko szukać - chociażby  wirus komputerowy NotPetya, która sparaliżował operacje wielu firm na całym świecie, a skumulowany wpływ finansowy szacowany jest na miliardy dolarów, które spółki musiały wydać. Tych przypadków jest wiele, będzie jeszcze więcej. I teraz pytanie: czy my jako organizacja zakładamy, że nas to nie dotyczy i nic z tym nie robimy czy raczej zakładamy, że prędzej czy później i my będziemy zaatakowani więc mając duże bazy klienckie czy też własność intelektualną, która jest naszą przewagą konkurencyjną, zaawansowaną produkcję czy choćby daleko idące plany rozwojowe robimy wystarczająco dużo, żeby się ochronić a w przypadku ataku, który się powiedzie jesteśmy go w stanie szybko wykryć i zareagować?

Często pytam swoich klientów "czy kiedyś mieliście atak?". Jeśli słyszę "nie" to od razu pytam "a skąd wiecie?". Przyjmuje się, że średni okres ataku APT (Advanced Persistent Threat), czyli takiego gdzie hakerzy chcą pozostać niezauważeni jak najdłużej, żeby móc wyprowadzać ze spółki dane, od momentu wejścia do spółki do czasu jego wykrycia to 6-8 miesięcy. Jeśli my aktywnie nie szukamy śladów włamania, nie monitorujemy naszych sieci, to jaką możemy mieć pewność, że w tej właśnie chwili, kogoś tam nie ma?

I teraz, wracając - to tylko jedno z ryzyk, o których wspomniałam i tylko część dyskusji o nim. Ale to właśnie jest zadanie procesu zarządzania ryzykiem - uruchomić dyskusję na tematy ważne teraz i ważne w przyszłości.

Konsultanci pojawiają się przy fuzjach i przejęciach (M&A) i opowiadają o ryzykach?

Doradztwo przy M&A bardzo często dotyczy etapu  tzw. financial czy commercial due diligence (badania finansowej i komercyjnej pozycji firmy), natomiast na tym etapie kwestie bezpieczeństwa i cyberbezpieczeństwa (cyber due diligence) dopiero u nas raczkują. A to kluczowy moment spojrzenia na firmę. Jeżeli inwestor kupuje spółkę, żeby się rozwijać, wprowadzić nowy produkt, zdobywać nowe rynki, to kupuje spółkę ze względu na dane, które tworzą wartość. Jeśli ich tam nie ma lub ktoś już je zdobył, uzasadnienie biznesowe znika. Ale to dopiero początek. Z badań wynika, że ponad 50% procent transakcji nie przynosi kupującym oczekiwanej wartości w pierwszych dwóch latach po jej przeprowadzeniu. I to też jest obszar, w którym wspieramy naszych klientów - jak zarządzić ryzykiem związanym z nieodpowiednim procesem integracji po transakcji - które obszary są kluczowe do zaopiekowania w pierwszej kolejności, co może pójść nie tak i jak taką integrację przeprowadzić.

Ale po co w tym wszystkim zarządom spółek doradca z zewnątrz? Same nie są w stanie ocenić ryzyk, zabezpieczyć się i poradzić sobie z nimi?

Zawsze mówię przedsiębiorcom i menedżerom "słuchajcie, jeśli macie czas i zasoby i uważacie, że zrobicie to dobrze sami, to róbcie". I w to też wierzę. W Polsce naprawdę jest dużo mądrych ludzi biznesu, którzy świetnie znają się na tym co robią. To, co wnoszą zewnętrzni eksperci, to wiedza branżowa, ale też i dystans. To inna perspektywa patrzenia na problemy. Jak przychodzimy do firmy spotykamy się z zarządem, dyrektorami - bardzo często musimy przełamywać duży opór, żeby w ogóle rozmawiać o tym, jakie są ryzyka.

Konsultant jest też trochę jak psycholog, który zadaje pytania, by nakierować zarządzających na właściwe tory. Nam często łatwiej zadać pytanie, które nie padłoby z wewnątrz, bo jest obawa o konsekwencje. Z kimś z zewnątrz łatwiej się rozmawia.

Coraz częstszym tematem w polskich firmach jest dziś sukcesja, przekazywanie zarządzania w firmach młodemu pokoleniu. To też jest element ryzyka w zarządzaniu firmami?

W trakcie identyfikowania ryzyka w firmach bardzo często pojawia się ryzyko związane z planami sukcesji, rozwojem pracowniczym w dłuższej perspektywie jako elementem zarządzania ludźmi. Są firmy w Polsce, które mają plany sukcesji na wiele lat do przodu. Wówczas wiadomo kto zajmie kluczowe stanowiska i te osoby są sukcesywnie przygotowywane - wówczas zmiana jest naturalna.

Moment wprowadzenia RODO był momentem gdy firmy bardziej zaczęły sobie zdawać sprawę z ryzyk związanych z danymi?

To był trochę moment chaosu i paniki, mimo że firmy miały sporo czasu na przygotowanie. Do RODO niestety tylko część przedsiębiorstw podeszła kompleksowo, dlatego że to nie była tylko praca dla prawników, ale także dla osób od procesów czy IT i bezpieczeństwa. RODO wymaga bowiem zmiany sposobu myślenia organizacji o ochronie danych osobowych, na taki, który jest mocno wbudowany w biznes i podejmowane decyzje. Większość firm tak zaczęła działać, ale były też takie, które skupiły się wyłącznie na części prawnej. Podobnie jest teraz z podejściem do wdrażania systemu compliance (zarządzania ryzykiem braku zgodności) i projektowanej ustawie o odpowiedzialności podmiotów zbiorowych. Jest to przedsięwzięcie, które wymaga wiedzy branżowej, wiedzy z zakresu ryzyka, programów anty-nadużyciowych czy wiedzy prawniczej - pracujemy przy projektach, na których eksperci ze wszystkich tych obszarów muszą współpracować.

Jakie wnioski płyną z wdrożenia RODO i co firmy powinny jeszcze zrobić?

Sugeruje zrobić dodatkowo dwie rzeczy. Pierwsza to badanie tego jak dobrze wdrożyliśmy RODO, czy wszystko zostało zaprojektowane tak jak powinno oraz czy działa tak jak powinno. Druga to przeprowadzenie symulacji kryzysowej, żeby sprawdzić czy w sytuacji kiedy wyciekną nam dane osobowe na przykład w wyniku ataku hakerskiego, my wiemy co zrobić, czy mamy zidentyfikowanych wszystkich interesariuszy, plan komunikacji, metodykę klasyfikacji incydentów, listę potrzebnych narzędzi do przywrócenia działalności i ograniczenia wpływu incydentu i czy to zadziała tak jak sobie założyliśmy. Proszę pamiętać, że kryzysów nie rozwiązują procedury, tylko ludzie. I ci ludzie muszą być szkoleni. To trochę jak z nauką jazdy samochodem, kiedy siada się pierwszy raz za kierownicę myśli się o wszystkim - włączeniu kierunkowskazu, zmianie biegu, poszczególnych krokach, które musimy wykonać. Potem ta jazda nam wchodzi w krew, wykonujemy pewne rzeczy automatycznie. Tak samo jest z zarządzaniem kryzysami i regularnym ćwiczeniem podobnych sytuacji. Nigdy nie jesteśmy w stanie przygotować się na każdy scenariusz, ale symulowanie ich pozwala ustrukturyzować działanie w grupie i przede wszystkim przygotowuje organizację na to, żeby przez sytuację kryzysową przeszła zwycięsko. Kiedyś PwC zostało poproszone o przygotowanie symulacji na podstawie obowiązującej w firmie procedury. Zaczęliśmy ćwiczenia i okazało się, że telefony do kluczowych osób kontaktowych, które trzeba było zebrać w jednym pomieszczeniu w przypadku kryzysu były nieaktualne, a zgodnie ze scenariuszem skrzynki e-mail nie działały. Polegli niestety już w 3. minucie symulacji.

Rozmawiał Paweł Czuryło