W zależności od branży i kultury organizacyjnej firmy, zarządzanie ryzykiem może przyjmować różne formy. Zawsze jednak powinno dążyć w kierunku zorganizowanego i kompleksowego podejścia do ryzyka w całym przedsiębiorstwie oraz w jego otoczeniu. To ostatnie jest szczególnie ważne w przypadku outsourcingu. Wystarczy, że dostawca usługi nie wywiązuje się należycie z umowy, by spowodowało to poważne kłopoty naszej firmy.

Problem zarządzania ryzykiem, właśnie w kontekście współpracy z dostawcami, leży u genezy powstanie systemu norm ISO. W latach pięćdziesiątych komitet ekspertów NATO podjął prace nad jakością produktów i sposobami jej zapewnienia w przemyśle zbrojeniowym. Powstał wtedy zbiór dokumentów, znany jako „The Allied Quality Assurance Publications” (AQAP – publikacje państw sprzymierzonych w celu zapewnienia jakości). Znalazła się w nim, między innymi, koncepcja nadzoru kierowniczego nad wszystkimi pracami mającymi wpływ na jakość wyrobu oraz zasady pełnej odpowiedzialności dostawcy za skuteczność funkcjonowania systemów jakości. W kolejnych latach cywilne korporacje zaczęły wymuszać na dostawcach wprowadzenie norm jakości przede wszystkim po to, by ograniczyć zagrożenia związane z ryzykiem nierytmicznych i o niedostatecznych parametrach dostaw od znacznej liczby kooperantów. Na tym przykładzie widać, jak złożonym procesem jest zarządzenia ryzykiem.

Najważniejszym postulatem procesu zarządzania ryzykiem jest założenie, że objęto nim wszystkie działania w organizacji. Nawet jeśli podejmiemy decyzję o wyłączeniu danego obszaru firmy spod ochrony, zarząd musi zdawać sobie sprawę, jakie może to przynieść konsekwencje. Taka sytuacja jest, oczywiście, dopuszczalna, ale pod warunkiem, że decyzja ta jest świadoma i zarząd firmy uznaje ryzyko związane z tym obszarem za akceptowalne (np. nie jest to obszar strategiczny firmy i problemy z nim związane nie mogą znacząco wpłynąć na kondycję firmy).

Najważniejszym zyskiem z wprowadzenia zarządzania ryzykiem jest bezpieczeństwo. U jego podstaw leży jednak dokładne poznanie zagrożeń, jakie występują w działaniach organizacji. Efektywna walka z ryzykiem bez tej wiedzy jest praktycznie niemożliwa. Składa się na nią szereg elementów. Faktyczna znajomość konkretnych zagrożeń (np. kataklizm, awaria systemu IT), a także wszystkich elementów budujących każdą organizację (ludzi, technologii, struktury organizacji i procesów w niej zachodzących) oraz współzależności między nimi pozwala na możliwie najdokładniejsze zidentyfikowanie ryzyka w firmie.

Ryzyko można zmniejszać, jednak nigdy go całkowicie nie zlikwidujemy. W zarządzaniu ryzykiem istotna jest odpowiedź na pytanie, do jakiego poziomu warto obniżać ryzyko. Uniwersalna zasada mówi, że ryzyko należy obniżać do poziomu, w którym organizacja będzie zdolna ponieść ciężar strat spowodowanych przez zrealizowane zagrożenia i kontynuować swoją działalność.

Im większa i bardziej skomplikowana jest chroniona organizacja, tym trudniej w niej zarządzać skutecznie ryzykiem. U podstaw outsourcingu leży koncentracja na działalności zasadniczej i wydzielenie na zewnątrz funkcji niespełniających tego warunku. Znakomicie sprawdza się on jako element strategii zarządzania ryzykiem. Pozwala scedować znaczną część ryzyka związanego z wydzieloną częścią firmy na dostawcę usługi. Oczywiście, przy założeniu, że sam kontrakt outsourcingowy i współpraca z dostawcą przebiega właściwie i jest również objęta procesem zarządzania ryzykiem.

Sebastian Kanikuła

Outsourcing Magazine