Rola i znaczenie ryzyka strategicznego
Nie ma działalności bez ryzyka.
Proces zarządzania ryzykiem strategicznym ma w swoim zamyśle zredukować ryzyko oraz koszty z nim związane do minimum.
Każdy menedżer nosi w swoim umyśle wnioski, zdarzenia z przeszłości swojej organizacji oraz popartą wiedzą, wykształceniem, doświadczeniami swoimi i innych, ideę przyszłości, tego co przed nim i jego organizacją.
Niektórzy myślą śmiało (dream big), przewidując, myśląc o zwiększonym zapotrzebowaniu na produkty i usługi jego firmy , o pozyskaniu nowych, olbrzymich sum na badania itp. Inni widzą swoją organizację działającą w sposób metodyczny, tak jak dotychczas, ale bez olbrzymiego rozgłosu, po prostu wykonującą swoją misję.
Każdy z nich może czuć się pewnie myśląc o przyszłości i swoich zdolnościach zarządzania środkami, jakimi dysponuje, w sposób, który zapewni owocną i produktywną przyszłość. Nikt jednakże nie wie, co przyniesienie dzień jutrzejszy. Wydarzenia, których nie można nigdy do końca przewidzieć, mogą diametralnie zmienić oblicze dzisiejszej firmy - na lepsze lub na gorsze. Wydaje się, że bez kryształowej kuli nie można niczego być pewnym. Wszystko, czego można oczekiwać od siebie i swoich współpracowników to zdolność do udźwignięcia potencjalnych zysków bądź strat, tak aby w najlepszy z możliwych sposobów zachować firmę i jej misję.
Wydarzenia, które mogą zmienić wyobrażenie o przyszłości firmy z dużym prawdopodobieństwem mogą wystąpić niespodziewanie i nagle. Wyrastają one z ryzyka - tzn. z możliwości, że przyszłość może być całkowicie różna od wyobrażeń. Te „niespodzianki” mogą wiązać się z dobrymi bądź złymi konsekwencjami, mogą generować możliwości zysku lub zagrożenia strat. W większości przypadków zmiany wiążą się z wystąpieniem obydwu możliwości: potencjalnych zysków i potencjalnych strat. Sztuka polega na ocenie, czy zyski będą większe niż straty w kontekście prowadzonej działalności i misji organizacji
.
Tradycyjnie, zagadnienie zarządzania ryzykiem jest związane z określaniem zagrożeń przypadkowymi stratami. W tym tradycyjnym kontekście „bezpieczeństwa” zarządzanie ryzykiem mogło zredukować lub wyeliminować straty wynikające z wydarzeń przypadkowych, nagłych tak, aby organizacja mogła w jak najbardziej prosty sposób pozostać na swoim miejscu. To ujęcie nie obejmuje nie przypadkowego ryzyka strat spowodowanych słabościami oceny sytuacji biznesowej lub błędami w ocenie potrzeb klientów.
Zarządzanie ryzykiem strategicznym obejmuje całość ryzyka, zarówno to które może wpłynąć pozytywnie na organizację, jak i to, które może wpłynąć na nią negatywnie (ryzyko zysku i ryzyko straty):
Przeciwdziała wszystkim stratom, zarówno przypadkowym, jak i wynikającym z błędnej oceny biznesowej
Wykorzystuje okazje do zysków przez innowacje organizacyjne i wzrost.
Pozwala to organizacji, w najlepszym przypadku, na bycie tym, czym może być (be all it can be).
Czym jest ryzyko?
Ryzyko jest możliwością wystąpienia określonych zdarzeń. Kiedy ktoś decyduje się na podjęcie działań związanych z ryzykiem, jest dobrze powinien zredukować jakikolwiek negatywny wpływ i zwiększyć jakikolwiek pozytywny wpływ podejmowanego ryzyka. Ryzyko związane jest z wydarzeniami, których prawdopodobieństwo zdarzenia jest większe niż 0, ale mniejsze niż 100 %. Kiedy mają miejsce zmiany - ryzyko wzrasta.
Wiele, jeśli nie większość, organizacji aktywnie szuka możliwości zmian. Poszukiwanie zmiany może wynikać z natury prowadzonej działalności (np. IT, e-commerce itp.) lub z potrzeby osiągania większych zysków, wiary w możliwość lepszej pozycji na rynku. Aby odnieść lub nadal odnosić sukcesy w zmieniającym się otoczeniu organizacja nie może stać w miejscu lub oczekiwać, że pozostanie stabilna w formie, w jakiej funkcjonuje obecnie. Organizacje funkcjonują w szerokim otoczeniu, które jest zmienne w swojej naturze. Występuje tutaj paradoks: zmiana niesie ze sobą ryzyko, ale bez zmiany i towarzyszącego jej ryzyka nie ma miejsca na postęp, rozwój. Każda organizacja musi nauczyć się tolerancji niestabilności, niepewności, nieprzewidywalności, ryzyka. Żadna organizacja nie może funkcjonować bez narażania się na określony poziom ryzyka, tak jak człowiek nie może egzystować bez narażania się na ryzyko i podejmowania wyzwań, jakie ono ze sobą niesie..
Oczekiwania wobec przyszłości i sposób przygotowania na przyjęcie tejże przyszłości w dużym stopniu określają poziom ryzyka, jakie organizacja będzie musiała podjąć. Jeśli określony jest jeden, bardzo szczegółowy, plan działania dla organizacji na przyszłość, ale organizacja jest nie przygotowana na jakąkolwiek inną wersję wydarzeń, to taka organizacja narażona jest na olbrzymie ryzyko. Nie będzie innego planu niż plan A. Zarządzanie ryzykiem strategicznym to wizualizacja innych scenariuszy przyszłości i posiadanie planu B, planu C, może nawet planu D. Takie przygotowanie zmniejszy zaskoczenie organizacji i przygotuje ją na dostosowanie się do zmian w otoczeniu.
Na przykład, jeżeli organizacja zakłada, że żaden z menedżerów nie będzie musiał opuścić pracy na pewien okres z powodów np. zdrowotnych, w zasadzie na pewno będzie zdziwiona i niezdolna do odpowiedniej reakcji, kiedy menedżer pełniący kluczową funkcję poważnie zachoruje.
A w przypadku organizacji typu non-profit: jeśli nie zakłada lub nie jest przygotowana na możliwą szczególnie dużą i niespodziewaną możliwą dotację, będzie zaskoczona, kiedy potencjalny filantrop zapyta, na jakie działania przeznaczona zostałaby kwota 1 miliona dolarów, jaką zamierza przekazać na cele charytatywne.
Podobnie z wszelkimi innymi organizacjami działającymi na rynku: firma samochodowa nie przygotowana na przejęcie klientów upadającego konkurenta zapewne zyska w sprzedaży bezwzględnej, ale licząc udział w rynku i nową pozycję innych, przygotowanych konkurentów - zapewne straci.
Zaskoczone i nieprzygotowane firmy będą musiały zrestrukturyzować swoje organizacje, a może nawet zawiesić część działalności, aby przystosować się do nieobecności kluczowego menedżera. Zaskoczona i nieprzygotowana organizacja non-profit, bez przejrzystego planu wydania 1 miliona dolarów może stracić taki podarunek na rzecz innej organizacji, która w oczach donora wzbudza większe zaufanie.
Ale jeżeli organizacja jest przygotowana na szeroki wachlarz możliwych przyszłych wydarzeń napotka mniej niepewności. Przy dobrze opracowanych wariantach zastępstw i lepszym przygotowaniu organizacja zmniejszy ryzyko zaskoczenia, kiedy długa nieobecność kluczowego menedżera będzie wymagała restrukturyzacji pracy i wykorzysta zalety tzw. cross-training, aby zachować normalną działalność do czasu powrotu menedżera lub pełnego jego zastąpienia. Podobnie organizacja non-profit rozmyślnie planująca działania w długich okresach, wykorzystująca przykłady pozytywnych działań innych tego typu organizacji, powinna udowodnić, że w znakomity sposób jest w stanie przyjąć i zagospodarować niespodziewaną dużą dotację.
Radzenie sobie z ryzykiem zysku, jak np. niespodziewaną dotacją, jak i ryzykiem straty, np. niespodziewaną nieobecnością kluczowego menedżera, są przykładami zarządzania ryzykiem strategicznym.
Zarządzanie ryzykiem strategicznym …
Przeciwdziała ryzyku straty przez:
redukcję możliwości wystąpienia (prawdopodobieństwo) i określenie (wielkość) straty; oraz
finansowanie powrotu do normalnej sytuacji.
Wykorzystuje ryzyko zysku przez:
poszukiwanie możliwości pełniejszego i pewniejszego osiągnięcia celów misji organizacji; oraz
rozwój planów działania pozwalających na wdrożenie nowych działań bezpośrednio po zaistnieniu odpowiednich okoliczności.
Zarządzanie ryzykiem strategicznym zawiera w sobie zarówno ryzyko zysku jak i ryzyko straty. Realistyczne scenariusze na przyszłe wydarzenia oraz przygotowanie do sprostania wszystkim możliwym wyzwaniom są podstawowymi czynnikami wzmocnienia organizacji, aby pozwolić jej być tym, czym może być w nie przewidywalnej do końca rzeczywistości. Scenariusz jest całościową wizją przyszłości organizacji i jej specyficznego otoczenia, opisem zbioru okoliczności, które mogą zaistnieć w przyszłości. Jego podstawę stanowi wybór założeń i prognoz dotyczących przyszłych wydarzeń, przy czym prognozy i założenia, na podstawie których konstruuje się scenariusz muszą obejmować wszystkie zasadnicze czynniki mające wpływ na przyszłość przedsiębiorstwa. Scenariusze są nieodzownym narzędziem zarządzania strategicznego. Nie służą one prognozowaniu przyszłości, tak jak metody ekstrapolacyjne, lecz analizie planowania strategicznego w warunkach zmiennego i nieukształtowanego otoczenia. Nie uzyskuje się na ich podstawie dokładnego obrazu przyszłości, ale pobudzają one kierownictwo do przewidywania różnych zjawisk i kształtowania odpowiednich zachowań organizacji i jej kultury. Dlatego też scenariusze należy dzisiaj traktować jako podstawowe narzędzie planowania, przetrwania i rozwoju organizacji
Dlaczego zarządzać ryzykiem?
Najbardziej bezpośrednią odpowiedzią na pytanie “Dlaczego zarządzać ryzykiem?” jest: “Zarządzać ryzykiem, aby zminimalizować potencjalne straty i zwiększyć potencjalne zyski”. Ale aby z zarządzania ryzykiem strategicznym uczynić codzienną aktywność potrzebne są bardziej szczegółowo sprecyzowane cele. Może to być na przykład pięć poniżej wymienionych celów:
zmniejszyć straty,
zwiększyć możliwości,
zredukować niepewność,
być “dobrym członkiem społeczności”
wypełnić swoją misję wobec akcjonariuszy.
1. Zmniejszyć straty
Zmniejszanie strat jest podstawą tradycyjnego zarządzania ryzykiem. Wymaga ono zredukowania prawdopodobieństwa, nieprzewidywalności lub wielkości przypadkowych strat oraz finansowania powrotu do normalnego funkcjonowania po ewentualnej stracie.
Można tutaj zaliczyć na przykład redukcję skutków wypadków komunikacyjnych przez przedsiębiorstwa świadczące w ramach działalności socjalnej nieodpłatne usługi transportowe dla pracowników. Aby zredukować możliwe skutki ewentualnych wypadków można w ogóle zaprzestać świadczenia tego typu usług. Można je kontynuować, ale dopiero po upewnieniu się, że kierowcy są odpowiednio wyszkoleni, pojazdy są właściwie serwisowane, a transport odbywa się tylko po odpowiedniej jakości drogach. Redukcja ewentualnych kosztów odszkodowań może także polegać na wynajęciu przewoźnika ponoszącego całość odpowiedzialności lub wykupieniu odpowiednich polis ubezpieczeniowych.
2. Zwiększyć możliwości
Innowacje i dostrzeganie możliwości, które inni przeoczyli, jest standardowym kryterium sukcesu menedżera. Intuicja może podpowiedzieć możliwości zysku, ale umiejętność zarządzania ryzykiem strategicznym pozwala lepiej zidentyfikować i uchwycić te możliwości. O ile w zasadzie nic nie jest w stanie zapewnić pełnego sukcesu w przyszłości, zarządzanie ryzykiem strategicznym zachęca do:
• kreowania, lub przynajmniej otwartości na dostrzeganie możliwości;
• szacowania wartości możliwości, kiedy się pojawiają;
• pozostania gotowym do działania w zakresie tych możliwości, które zapowiadają się obiecująco;
• wprowadzenia nowych procedur, które ujmują wybrane nowe możliwości w ramy czasowe, a jeśli prowadzone dzięki nim działania okażą się sukcesem, uznania tychże nowych procedur za część codziennej aktywności firmy;
• oszacowania na przestrzeni czasu, czy wykorzystanie każdej z wybranych nowych możliwości przyniosło organizacji korzyść oraz określenia tych celów, którym one służą.
3. Zredukować niepewność
Niepewność w przyszłości może być zredukowana poprzez gromadzenie i wykorzystanie większej ilości danych, na których można oprzeć dokładniejsze przewidywania oraz poprzez przygotowanie organizacji na szersze spectrum możliwych wyników działalności.
Dokładniejsze przewidywania przyszłości to bardziej godni zaufani menedżerowie i lepsze decyzje. A jeśli decyzje okażą się niewłaściwe - łatwiej jest ustalić właściwe działania korygujące. Większa pewność działania menedżerów to także większy optymizm w przeprowadzaniu zmian, jakie są potrzebne do realizacji misji organizacji. Dobre zarządzanie ryzykiem strategicznym pozwala menedżerom uniknąć najgorszych i wykorzystać najlepsze sytuacje w nieprzewidywalnym otoczeniu.
4. Być “dobrym członkiem społeczności”
Organizacje, podobnie jak i jednostki, są „dobrymi członkami społeczności” kiedy działają zgodnie z akceptowanymi standardami. Bycie “dobrym członkiem społeczności” zawiera w sobie zachowania zgodne z prawem i etyką. Działalność zgodna z wymaganiami prawa i etyki posiada tę wartość dodaną, że redukuje prawdopodobieństwo pozwania organizacji do sądu i wzmacnia dobry wizerunek organizacji. Tak więc bycie “dobrym członkiem społeczności” pozwala organizacji uniknąć strat z tytułu odpowiedzialności (ryzyko straty) oraz otwiera możliwości zdobycia pozytywnego wizerunku i wsparcia społecznego (ryzyko zysku).
5. Wypełnić swoją misję wobec akcjonariuszy
Od kiedy liczba organizacji posiadających wielu akcjonariuszy stale rośnie istotnym jest zachowanie i wypełnienie przez organizację swojej misji wobec tychże. Zarządzanie ryzykiem strategicznym może być jednym z najważniejszych narzędzi zmierzających do właściwego użycia środków udziałowców. Z jednej strony zarządzanie ryzykiem strategicznym pozwala na zapobieżenie przed niepotrzebnym ryzykiem strat, z drugiej pozwala na taki rozwój organizacji, który zapewni lepsze wykorzystanie środków organizacji w celu wypełnienia jej misji poprzez uzyskanie przewagi ryzyka zysku nad ryzykiem strat.
Pamiętać jednakże należy, że ryzyka nie można uniknąć. Zmiana otoczenia na lepsze wymaga zarządzania ryzykiem w sposób zdecydowany i pełny.
I chociaż zapewne jest wielu menedżerów, którzy są na tyle wykwalifikowani, aby rozpoznać niebezpieczeństwa i podjąć odpowiednie działania, problem leży często w odpowiedzi na pytanie: „Czy to ja jestem za to odpowiedzialny?”
Strategia w warunkach niepewności.
Tradycyjne podejście do strategii wymaga dokładnego przewidywania, a tym samym prowadzi do niedoceniania przez menedżerów czynnika niepewności. Może się to okazać bardzo niebezpieczne.
Niepewność to coraz częściej efekt nieprzewidywalności rozwoju branż, rynków czy technologii. Zmiany realiów gospodarczych są dzisiaj szybsze i głębsze niż kiedyś. Fuzje i przejęcia mogą zmienić strukturę branży z dnia na dzień, szybkość innowacji może przenieść dzisiaj wiodące technologie do lamusa, a zmiany regulacyjne mogą podważyć sens działania biznesu. Dlatego, aby odnosić sukces, menedżerowie muszą nauczyć się działać w otoczeniu szybkich zmian, trudnej do przewidzenia przyszłości, niepełnych informacji i decyzji podejmowanych na podstawie hipotez. Oznacza to zarzucenie istnienia "jedynej słusznej strategii" i zainwestowanie czasu w przygotowanie alternatywnych scenariuszy rozwoju otoczenia i w konsekwencji działań firmy. Prowadzi to do naturalnego zwiększenia ryzyka. Paradoksalnie, mimo mniejszej możliwości zaplanowania przyszłości, oznacza to, iż w myślenie strategiczne trzeba zainwestować znacząco więcej czasu niż dotychczas.
Gdzie natrafiamy dzisiaj na strategie w warunkach niepewności? Dobrym przykładem są fundusze venture capital. Inwestując w biznesy we wczesnym etapie rozwoju i w branżach charakteryzujących się dużą niepewnością (np. Internet czy biotechnologia), fundusze te budują sobie portfel opcji, wiedząc, iż wiele projektów poniesie klęskę, ale równocześnie licząc na odzyskanie strat z nawiązką dzięki sukcesowi kilku z nich. W ten sposób rezerwują sobie prawo do gry w wielu obszarach. Strategia w warunkach niepewności jest szczególnie istotna w branżach innowacyjnych (np. informatyka) lub charakteryzujących się wysokim ryzykiem (np. wydobycie ropy naftowej). W Polsce w wielu branżach wyraźny czynnik niepewności narzuca również otoczenie regulacyjne: przykłady to choćby handel detaliczny, motoryzacja, telekomunikacja czy niedawno cukrownictwo.
Zarządzanie ryzykiem na przykładzie e-commerce.
Rozwój i wzrost e-commerce jest niezwykłym zjawiskiem i wygląda na to, że przez długi czas takim pozostanie. Tak gwałtowna ekspansja może stworzyć problemy dla każdej gałęzi gospodarki - tutaj są one wzmocnione skomplikowaniem technologii, na której e-commerce bazuje oraz dodatkowo dużą wrażliwością branży na szeroką gamę zagrożeń.
Ciągły rozwój e-commmerce stawia przed firmami tej branży nowe wyzwania. Przejawia się to np. w podatności na nowe zagrożenia związane z bezpieczeństwem, jak działalność hackerów lub ataki wirusów, jak również we wzrastający znaczeniu ryzyk już znanych, jak np. oszustwa związane z kartami kredytowymi, zrywanie kontraktów i nie regulowanie płatności. Oprócz tego firmy, które rozpoczynają tego typu działalność lub rozwijają ją, są narażone na liczne ryzyka typu strategicznego i operacyjnego.
Ryzyka, na jakie narażone są firmy z branży e-biznes, można określić jako:
ryzyka specyficzne dla e-branży, jakie pojawiły się właśnie wraz z rozwojem e-commerce, np. hackerstwo;
ryzyka nie specyficzne dla e-branży, jakie wymagają strategicznego przeszacowania w kontekście środowiska otaczjącego, np. ryzyko związane ze znakami firmowymi;
ryzyka nie specyficzne dla e-branży, jakie nasiliły się wraz z rozwojem e-commerce, np. ochrona praw własności intelektualnej.
O ile jest oczywistym, że organizacje powinny radzić sobie z e-ryzykiem tak dobrze, jak tylko jest to możliwe, aby zachować i wzmocnić wartość firmy dla udziałowców, informacje o sposobach zarządzania tego typu przedsięwzięciami wyraźnie wskazują kierownictwu i zarządowi na potrzebę ustanowienia i utrzymywania systemu wewnętrznej kontroli, jaki byłby odpowiedni dla rodzaju operacji prowadzonych przez organizację.
Wiele pozycji dotyczących zarządzania e-ryzykiem skoncentrowało się na kontroli i ochronie przed zagrożeniami ze strony technologii. Jest to niewątpliwie ważny element zarządzania ryzykiem w tej branży, aczkolwiek istnieje niebezpieczeństwo, że zbyt duża koncentracja na ryzyku związanym z działalnością i technologią może przesłonić organizacji dostrzeżenie potrzeby zarządzania całością ryzyka strategicznego skojarzonego właśnie z tego typu przedsięwzięciami. Kluczowym może okazać się nie pytanie: „jak możemy zapobiec przed włamaniami do naszej sieci”, ale pytanie: „czy w ogóle powinniśmy zajmować się e-biznesem?”.
W Europie Zachodniej istnieją niezależne organizacje zajmujące się identyfikacją oraz oceną ryzyka związanego z transakcjami przeprowadzanymi on-line, jak również działaniami, jakie organizacje typu e-commerce mogą i powinny podejmować w celu kontroli oraz łagodzenia możliwych zagrożeń. Wymienić tutaj można brytyjskie The Association of British Insurers oraz Financial Services Authority. Ich podejście polega na założeniu, że zarządzanie jakimkolwiek rodzajem ryzyka powinno być częścią strategii całej organizacji.
Pierwotnym przeznaczeniem internetu było zapewnienie otwartego, łatwo dostępnego medium dla umożliwienia swobodnej komunikacji. W konsekwencji, internet nie jest idealnym narzędziem dla organizacji, które chcą pracować w przewidywalnym, o ustalonych zasadach, środowisku.
Istnieje wiele przykładów na to, że systemy i struktury, jakie tworzą i wzmacniają całą e-branżę, są podatne na nadużycia i defekty. Wszystkie te ryzyka powinny być pod kontrolą, a tym samym dobrze zarządzane. W tym celu koniecznym jest wprowadzenie procesu zarządzania ryzykiem, składającego się z identyfikacji ryzyka, jego oceny, kontroli, jak również ciągłego monitorowania, a także przygotowaniem planów kontynuacji przedsięwzięcia.
Identyfikacja ryzyka.
Pierwszym etapem procesu zarządzania ryzykiem jest identyfikacja zagrożeń dla celów, jakie realizowanie są przez organizacje e-commerce. Zagrożenia te mogą być sklasyfikowane w następujący sposób:
ryzyko strategiczne wynikające ze strategicznego kierunku działania obranego przez organizację w celu podołania wyzwaniom e-commerce. Wymienić tutaj można: ryzyko zależności, ryzyko marki, ryzyko związane z oczekiwaniami klientów, ryzyko reputacji, ryzyko zarządzania wyzwaniami, ryzyko związane z kultura, ryzyko wynikające z przekraczania uprawnień służbowych przez pracowników, ryzyko związane z umiejętnościami pracowników;
ryzyko funkcjonowania systemów, wynikające z niestabilności w funkcjonowaniu urządzeń lub niestabilności systemów zabezpieczeń. Dodatkowo może się zwiększyć wskutek problemów w dostosowaniu procesów organizacji do wymagań, jakie niesie z sobą e-commerce. Przerwy w funkcjonowaniu systemów, ze szczególnym uwzględnieniem możliwości osłabienia reputacji organizacji, mogą powodować szczególne zaniepokojenie.
ryzyko związane z ustawodawstwem, które ze względu na globalny zasięg sieci internet, może być szczególnie złożone. Zagrożenia mogą wynikać z odmiennych uregulowań prawnych w różnych krajach, użycia znaków handlowych, złamania praw autorskich lub ochrony patentowej, praw konsumenckich, nieuczciwej reklamy, kwestii podatkowych.
ryzyko finansowe, ogólnie wpływające na całą działalność e-commerce i koncentrujące się wokół następujących obszarów: tradycyjne ryzyko związane z biznesem, ryzyko związane z płatnościami on-line, zarządzanie środkami obrotowymi. Zagrożenia te są szczególnie istotne w serwisach finansowych i sektorze handlu detalicznego, które rozwijają się wyjątkowo szybko.
Ocena ryzyka.
Proces identyfikacji ryzyka w zarządzaniu ryzykiem zwykle kończy się przygotowaniem długiej listy zagrożeń możliwych dla e-biznesu. Muszą one być zweryfikowane w kontekście prawdopodobieństwa i wagi. Podsumowanie najważniejszych badań z ostatniego okresu wskazuje, że organizacje e-commerce obawiają się hackerów i innych form niewłaściwego wykorzystania systemów przez użytkowników zewnętrznych, na równi z niską świadomością pracowników, jako głównych zagrożeń dla e-biznesu. Co więcej, szeroko mówi się, że brak personelu o odpowiednich kwalifikacjach jest największą przeszkodą w rozwoju e-commerce.
Kontrola ryzyka.
Jako następne po identyfikacji i ocenie ryzyka kroki, powinny pojawić się działania w możliwie najbardziej efektywny sposób zapewniające kontrolę ryzyka.
Unikanie ryzyka i jego redukcja mają za zadanie zminimalizowanie ogólne ryzyka, na jakie organizacja jest narażona. Najprostszym sposobem na uniknięcie ryzyka jest ograniczenie działalności, z którą takie ryzyko jest związane. Nie jest to jednak sposób praktyczny. Działania skierowane na redukcję ryzyka pozwalają organizacji na kontynuowanie pracy przy zachowaniu umiarkowanej pewności, że ogólne ryzyko, prawdopodobieństwo zdarzenia i jego skutki, będą ograniczone. Takie działania mogą obejmować specjalne pakiety zawierające programy zabezpieczające; działania skierowane do pracowników, jak szkolenia i zapewnienie używania haseł; fizyczne zabezpieczenie danych.
Transfer ryzyka pozwala organizacji na przeniesienie odpowiedzialności związanej z różnymi aspektami prowadzonej działalności na osoby trzecie, np. w formie umów serwisowych w zamian za odpowiednie wynagrodzenie. Odpowiedzialność za koszty związane z ryzykiem może również być przeniesiona na firmę ubezpieczeniową. Takie ubezpieczenie ryzyka dotyczy zarówno własności intelektualnej, jak i fizycznej i może (a może należy powiedzieć: powinno) dotyczyć także baz danych i ich wykorzystania, gdyż sprawy związane z ich wykorzystaniem coraz częściej pojawiają się na wokandzie sądowej.
Na pewno e-biznes stoi przed różnego rodzaju zagrożeniami, które nie będą mogły być zabezpieczone tradycyjnymi polisami. I o ile pojawiają się w Europie Zachodniej brokerzy oferujący specjalne pakiety pokrywające część zagadnień związanych z tego typu ryzykiem, pytanie, na ile tego typu działalności jest rentowna dla firm ubezpieczeniowych, pozostaje na razie otwarte.
Monitorowanie ryzyka i ciągłość działalności.
Monitorowanie ryzyka pozwala na zweryfikowanie zdolności organizacji do reakcji na wydarzenia, jakie mogą zakłócić normalną aktywność. Wdrożenie procesu identyfikacji ryzyka, jego oceny i kontroli może zminimalizować skutki nagłych wydarzeń, ale nie wyeliminuje możliwości wystąpienia ryzyka całkowicie.
Ostatecznym etapem w procesie zarządzania ryzykiem jest przygotowanie planu ciągłości działalności. W dziedzinie e-commerce konkretne problemy pojawiają się w związku z szybkością, z jaką informacje o nich są kolportowane i tym samym docierają do klientów. Potrzeba zapewnienia stałego dostępu do e-commerce przyniosła powstanie pojęcia „e-ciągłości” (e-continuity) i zwiększyła świadomość wpływu, jaki e-biznes ma na wartość handlowych sieci wirtualnych oraz zewnętrznych.
Wyniki badań wskazują wyraźnie na fakt, że ryzyka związane z e-biznesem są z założenia ryzykami typu strategicznego. Najbardziej widocznymi są zagrożenia wynikające z niespełnienia oczekiwań klientów, użycia niewłaściwej strategii marketingowej i reklamowej, działań konkurencji, rekrutacji i utrzymania personelu oraz problemy związane z bezpieczeństwem transakcji on-line. Ryzyko związane z szeroko pojętym bezpieczeństwem postrzegane jest jako szczególnie ważne dla działalności typu e-biznes. W odpowiedzi na zapotrzebowanie pojawiły się pewne działania ze strony firm ubezpieczeniowych i brokerów. Jednakże nabycie polisy ubezpieczeniowej nie jest zabezpieczeniem przed ryzykiem utraty reputacji organizacji, jakie może pojawić się w wyniku zadziałania wcześniej wymienionych ryzyk. Mechanizm finansowania ryzyka nie uchroni przed wystąpieniem ryzyk powodujących straty finansowe, nie pokryje wszystkich kosztów z nimi związanych, jak utrata dobrego imienia marki, udziału w rynku, zaufania udziałowców. Z drugiej jednakże strony może zapewnić pewne poczucie bezpieczeństwa, polegające na dostępności środków finansowych na złagodzenie strat.
Najważniejsze w chwili obecnej wydają się więc być działania skierowane nie na zabezpieczenie finansowania ryzyka jako kluczowego mechanizmu zarządzania e-ryzykiem, ale na wypracowaniu wszechstronnego podejścia do zarządzania całością potencjalnych zagrożeń, na jakie napotkać może e-biznes.
Bezpieczeństwo informacji.
Ponad 75 % organizacji znajduje się w poważnym zagrożeniu ze względu na niski stopień zabezpieczenia informacji. Badania wskazują, że istnieje przekonanie, iż hackerzy są odpowiedzialni za większość sytuacji niepożądanego wypływu informacji poza organizacje. W rzeczywistości, bez względu na to, czy jest to działanie umyślne, czy nie, to pracownicy są najsłabszym ogniwem.
Według ostatnich badań wspomnianej już ABI ponad 80 % informacji „wypływa” z organizacji nieoficjalnie via e-mail, na dyskietkach i w laptopach (24 % w e-mailach, 18 % w laptopach i aż 39 % na dyskietkach).
Wymieniane są dwie grupy pracowników w niewłaściwy sposób wykorzystujących informacje zgromadzone przez organizacje. Pierwsza to grupa pracowników robiących to z pełną świadomością, albo z zemsty na pracodawcy, albo ponieważ wkrótce odejdą z organizacji. Chociaż liczba ta nie jest wielka, mogą spowodować zamieszanie w systemie informacyjnym organizacji. Niszczą twarde dyski lub kasują zawarte na nich dane, a organizacje często nie posiadają kopii zapasowych zawartych na nich informacji. Innym działaniem jest kopiowanie zawartości dysków dla własnego użytku lub w celu sprzedaży konkurencji.
Druga grupa jest znacznie większa, co prawda nie działająca rozmyślnie, jak poprzednia, ale powodujące równie duże straty. Laptopy pod względem parametrów technicznych nie ustępują obecnie desktopom, co przy 15 % laptopów kradzionych z powodu informacji w nich zawartych, powoduje wymierne straty i sugeruje, że powinny posiadać zabezpieczenia nawet lepsze niż desktopy.
E-maile są najprostszym sposobem wysłania informacji i nie jest wyjątkiem, kiedy chociażby w przypadkowy sposób dodatkowy, niepożądany, adres zostaje dodany do listy adresowej. Tak utracona informacja jest utracona bezpowrotnie.
Badania wskazują, że największym problemem jest posiadanie odpowiedzialności. Dyrektorzy i menedżerowie żyją w przekonaniu, że bezpieczeństwo informacji zależy od departamentu IT, podczas gdy departament IT jest przekonany, że jest to w całości odpowiedzialność menadżmentu.
U schyłku millennium ekonomia była silna i poczucie optymizmu wypełniało większość działań. Giełdy rozwijały się w dużej mierze dzięki e- firmom. W zasadzie każda organizacja poszukiwała i zatrudniała nowych ludzi i poszukiwała nowych możliwości.
Przyszłość wyglądała optymistycznie. Wielu menedżerów myślało o możliwościach rozwoju siadając za biurkiem i czekając na telefon od head huntera. Więcej czasu zajmowały telefony do innych biznesmenów, potencjalnych klientów lub kooperantów, niż przygotowywanie biznes planów.
W takim otoczeniu trudno było pamiętać o cyklach ekonomicznych, i o tym, że zysk i ryzyko to dwie strony tej samej monety. Każdy wie, że zyski są nagrodą za podejmowanie ryzyka, ale w ostateczności jest łatwiej myśleć o zyskach niż ryzyku.
W tej części pracy posłużyłem się wyjątkami z raportu dotyczącego ryzyka w działalności typu e-commerce, opublikowanego w grudniu 2001 r. przez The Association of British Insurers.