Czym jest zarządzanie ryzykiem cyfrowym?

Zarządzanie ryzykiem to powtarzający się temat we wszystkich dyscyplinach zarządzania. Tradycyjne framework'i — od zarządzania projektami i zarządzania usługami, po zarządzanie IT i architekturę przedsiębiorstwa — konsekwentnie podkreślają jego znaczenie. Nawet framework'i Agile uznają jego wartość.

W zasadzie zarządzanie ryzykiem jest (a raczej powinno być) sposobem radzenia sobie z niepewnością. Jednak w praktyce jest często stosowane jako biurokratyczne ćwiczenie, rytualne przestrzeganie procedur bez właściwego zrozumienia ich celu czy wpływu.

Jednym z powodów tego jest magiczne myślenie (lub to, co nazywamy „cargo cult" zarządzania ryzykiem): przekonanie, że ryzyko będzie zarządzane poprawnie tylko poprzez zastosowanie z góry określonego zestawu procedur.

Innym powodem jest zmiana celu z faktycznego zarządzania ryzykiem na demonstrowanie, że przeprowadzono przepisane działania związane z zarządzaniem ryzykiem. W takim przypadku prawdziwy nacisk przesuwa się na zgodność: udowodnienie, że odpowiednie kontrole są na miejscu, aby spełnić wymagania regulacyjne i politykę wewnętrzną.

W rezultacie zarządzanie ryzykiem wykazuje silne nastawienie na łagodzenie zagrożeń (a szczególnie zagrożeń związanych z bezpieczeństwem), podczas gdy całkowicie pomija zarządzanie szansami. Jednak w biznesie, jak w sporcie, drużyna, która koncentruje się wyłącznie na obronie i zaniedbuje atak, w końcu stanie się nieskuteczna w obu obszarach.

Najbardziej pilnym wyzwaniem, przed którym stoją dzisiaj przedsiębiorstwa, jest to, jak poruszać się w ciągłych falach disrupcji napędzanych najnowocześniejszymi technologiami, takimi jak sztuczna inteligencja, Internet rzeczy, blockchain, robotyka i cloud computing. Przyspieszenie technologiczne sprawiło, że cyfrowy świat stał się VUCA: niestabilny, niepewny, złożony i niejednoznaczny. W konsekwencji, kluczowe jest przejście z deterministycznego podejścia do rozwoju biznesu z perspektywy „jeśli-to-inaczej" na probabilistyczne „jeśli-to-może", bardziej zgodne z myśleniem Agile, które kładzie nacisk na adaptacyjność, eksperymentowanie i ciągłe uczenie się.

„Cyfrowe zarządzanie ryzykiem" to ciągły proces identyfikowania, oceniania, priorytetyzowania i traktowania zarówno pozytywnych, jak i negatywnych ryzyk, w celu optymalizacji ich wpływu na cele przedsiębiorstwa. Skuteczne cyfrowe zarządzanie ryzykiem pomaga przedsiębiorstwom prosperować w coraz bardziej hiperkonkurencyjnym cyfrowym krajobrazie.

Ważne jest podkreślenie, że cyfrowe zarządzanie ryzykiem nie jest zerwaniem z tradycyjnym zarządzaniem ryzykiem, ale raczej jego naturalną ewolucją w kontekście, gdzie, jak podkreślono w The DevOps Handbook, każda organizacja może być postrzegana jako firma technologiczna, niezależnie od sektora, w którym działa[i].

Wiele innowacji technologicznych nie pochodzi z nowych wynalazków, ale z rekombinacji już istniejących idei i technologii. Na przykład technologia blockchain ma swoje korzenie w integracji sieci peer-to-peer, kryptografii i zmodyfikowanej formy księgowości podwójnego zapisu.

Podobnie sztuczna inteligencja rozwinęła się dzięki konwergencji zwiększonej mocy obliczeniowej, dużych zbiorów danych i dziesięcioleci badań algorytmicznych; podczas gdy chmura obliczeniowa powstała z połączenia wirtualizacji, systemów rozproszonych i szybkiej łączności internetowej.

Dyscypliny zarządzania powinny podążać tym samym podejściem, kontekstualizując swoje długoletnie zasady w świetle nowych warunków. Cyfrowe Zarządzanie Ryzykiem (DRM) stanowi przykład tego podejścia poprzez rekonfigurację tradycyjnych praktyk zarządzania ryzykiem w celu sprostania współczesnej rzeczywistości cyfrowej. W kontekście trwających transformacji cyfrowych, DRM może być ponownie postrzegane jako składające się z następujących komponentów.

Rygorystyczne zdefiniowanie podstawowych pojęć związanych z ryzykiem stanowi fundament skutecznego zarządzania ryzykiem. W środowisku VUCA nowe znaczenie zyskują dwudziestowieczne koncepcje, takie jak prawdopodobieństwo epistemiczne (które zostało rozwinięte przez epistemologię i teorię bayesowską).

Takie koncepcje odnoszą się do fundamentalnego wyzwania rozumowania i podejmowania decyzji w warunkach niepewności w kontekstach cyfrowych, gdzie każde zjawisko rozwija się z unikalnej i niepowtarzalnej konfiguracji warunków, sił i zmiennych w grze — których efekty są często nieliniowe i złożone do wyodrębnienia.

Rozłożenie ryzyka na jego składowe logiczne i zrozumienie ich wzajemnych zależności umożliwia lepszą obserwację, analizę i kontrolę każdego z nich, oferując tym samym więcej możliwości skutecznej interwencji.

Każde ryzyko można rozumieć jako kombinację prawdopodobieństwa wystąpienia zdarzenia i jego siły oddziaływania (w przypadku jego wystąpienia). Na przykład rozważmy firmę, która chce wejść w nowy segment rynku i ma możliwość wyparcia już ugruntowanego konkurenta. Tę możliwość można skonceptualizować jako iloczyn prawdopodobieństwa sukcesu i jego siły oddziaływania (tj. stopnia zdobytego udziału w rynku).

Prawdopodobieństwo osiągnięcia celu zależy jednak od kilku czynników podrzędnych. Jednym z nich jest stopień, w jakim cel jest dostępny lub chroniony przez bariery wejścia: aby lepiej zrozumieć ten aspekt, firma może spróbować zdobyć głębszą wiedzę o docelowych klientach. Innym jest pewność firmy co do podjęcia działania, oparta na studium przypadku biznesowego, które waży korzyści, koszty i ryzyko (w tym potencjalne kontrataki ze strony konkurentów).

Inne czynniki obejmują możliwość zaskoczenia konkurentów (zapobiegając tym samym działaniom obronnym) oraz względne możliwości i zasoby zmobilizowane zarówno przez firmę, jak i jej konkurentów.

Wreszcie należy zauważyć, że ogólny efekt udanego przejęcia zasobu może przewyższyć jego wartość wewnętrzną: na przykład może również wzmocnić reputację firmy. Sieci społecznościowe w szczególności mogą służyć jako potężne wzmacniacze zarówno zwycięstw, jak i porażek — jak to często ma miejsce w sporcie, gdzie fani, media i wirusowa uwaga szybko powiększają rezultat meczu.

Kontrole ukierunkowane są specyficzne dla każdego elementu Konceptualnej Dekompozycji Ryzyka. Mogą być stosowane zarówno przez podmioty dążące do wykorzystania szansy (tj. starające się przezwyciężyć przeszkody i uzyskać dostęp do pewnej wartości), jak i przez te broniące się przed zagrożeniem (tj. próbujące uniknąć straty lub zakłóceń).

W obu przypadkach kontrole pomagają przekształcać prawdopodobieństwa i potencjalne skutki rozwijających się scenariuszy ryzyka, przekształcając zarządzanie ryzykiem w dynamiczny i dwukierunkowy proces, który bardziej przypomina grę niż czysto defensywny mechanizm.

Proces zarządzania ryzykiem obejmuje identyfikację ryzyk, ich ocenę jakościową i ilościową oraz iteracyjne planowanie i wykonywanie reakcji na ryzyko, które wiążą się z wdrożeniem zrównoważonego zestawu kontroli opartych na RCD. W całym procesie komunikacja i zarządzanie założeniami i informacjami związanymi z ryzykiem są utrzymywane jako działania ciągłe, zapewniając przejrzystość i zdolność adaptacji.

Cyfrowe Zarządzanie Ryzykiem może działać jako samodzielny proces na poziomie przedsiębiorstwa, w operacjach biznesowych oraz w kontekstach, gdzie przyjmowane są podejścia inne niż Agile. Jednocześnie w środowiskach Agile powinno funkcjonować jako technika uzupełniająca wbudowana w istniejące struktury.

Agile można postrzegać jako z natury związane z zarządzaniem ryzykiem, ponieważ stopniowo zmniejsza niepewność z iteracji na iterację[i]. Dlatego metodologie iteracyjne i przyrostowe (takie jak Scrum czy AgilePM3) mogą włączać DRM jako warstwę integracyjną.

Zgodnie z tym podejściem, Product Ownerzy Scrum powinni identyfikować ryzyko poprzez określanie ich czynników i przyczyn, zdarzeń ryzyka oraz ich wpływu na aktywa; następnie je szacować i oceniać ich wartość pieniężną w celu ustalania priorytetów wraz z innymi elementami Product Backlog. Czy należy dać priorytet elementowi backlogu, który wygeneruje gwarantowany zysk w wysokości miliona w ciągu roku, czy możliwości, która ma 50% szans na uzyskanie trzech milionów w tym samym okresie?

Tradycyjne techniki, takie jak symulacje Monte Carlo, mogą być użyte do dostarczenia dokładnych szacunków prawdopodobieństwa i wpływu każdego elementu RCD. Drzewo Decyzyjne może pomóc Product Ownerowi zoptymalizować kolejność elementów w Product Backlog, biorąc pod uwagę nieliniową naturę wartości.

Ponadto, tak jak udoskonalanie backlogu rozbija grube historie użytkowników na bardziej szczegółowe, ryzyko można rozłożyć na jego wielokrotne przyczyny używając Diagramów Szkieletu Ryby, umożliwiając w ten sposób ukierunkowane wzmocnienie lub ograniczenie każdej z nich. Jeśli wiemy, który motyl w Brazylii spowoduje tornado w Teksasie, możemy go łatwo złapać i przybić do ściany, unikając w ten sposób ryzyka przy bardzo małych nakładach.

Podczas każdego sprintu programiści mogą planować i wdrażać kontrole zapewniane przez RCD dla jego różnych elementów. Co ważniejsze, mogą testować modelowanie każdego zidentyfikowanego ryzyka i stosowane do niego kontrole, postępując zgodnie z cyklem Deminga (Planuj, Wykonuj, Badaj, Działaj).

Ludzki umysł chce opierać wybory na pewnikach; jednak w świecie VUCA pewniki to często iluzje. Ci, którzy nie nauczą się zarządzać ryzykiem, nie mogą konkurować; remedium leży w zmianie kulturowej. Ponownie: wyobraźmy sobie, że jedna firma inwestuje w element zaległości, który wygeneruje gwarantowany zysk w wysokości miliona w ciągu roku, podczas gdy druga przeznacza swoje zasoby na możliwość, która ma 50% szansy na przyniesienie trzech milionów w tym samym okresie. Która jest lepiej przygotowana do przetrwania cyfrowej disrupcji?

Główną korzyścią Zarządzania Ryzykiem Cyfrowym nie jest zwiększona skuteczność w łagodzeniu zagrożeń cyfrowych; jest to zdolność do restrukturyzacji przedsiębiorstwa w celu zwiększenia jego długoterminowej adaptacyjności i przetrwania.

DRM dąży do przekształcenia przedsiębiorstw w systemy fraktalne, zdolne do ciągłej wymiany informacji i wiedzy oraz replikowania skutecznych modeli operacyjnych na wielu poziomach organizacji. Przedsiębiorstwo praktykujące DRM rozwija adaptacyjne, samopodobne struktury, które zwiększają elastyczność, promują dzielenie się wiedzą i utrzymują długoterminową konkurencyjność, jednocześnie ustanawiając ramy dla modelowania ryzyka i podejmowania decyzji wspomaganych sztuczną inteligencją.

Ta transformacja strukturalna wzmacnia zdolność organizacji do ciągłego uczenia się, pozycjonując ją do wykorzystania cyfrowych możliwości i osiągnięcia trwałej przewagi konkurencyjnej.

Aby zbudować skuteczne zdolności zarządzania ryzykiem, przedsiębiorstwa mogą wykorzystać sprawdzone metody z dziedzin takich jak nauki wojskowe i cyberbezpieczeństwo. Scenariuszowe ćwiczenia wojskowe i purple teaming z cyberbezpieczeństwa można dostosować do kontekstów biznesowych.

Na przykład, jeden wewnętrzny zespół może symulować atak konkurenta, podczas gdy drugi zespół reaguje, naprawiając odkryte luki i uruchamiając środki zaradcze, a trzeci zespół odgrywa rolę klientów, decydując, którą stronę poprzeć.

Ten typ symulacji nie tylko wzmacnia pracę zespołową i myślenie konkurencyjne, ale także przyspiesza rozwój kultury Digital Risk Management — takiej, w której odporność, zdolność adaptacji i podejmowanie decyzji w oparciu o dane stają się integralną częścią przedsiębiorstwa.

Zarządzanie Ryzykiem Cyfrowym przekształca zakłócenia w siłę napędową, czyniąc je motorem skutecznego i zrównoważonego wzrostu w erze cyfrowej.

[i] Kim, G., Humble, J., Debois, P. & Willis, J. (2016). The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations. Portland, OR: IT Revolution Press.

[ii]  „Właściwie wdrożona zwinność w projektach jest skutecznym sposobem radzenia sobie z ryzykiem projektowym – nie ma potrzeby ani wartości w równoległym procesie „zarządzania ryzykiem"." Agile Project Management v3 Reference Book, Agile Business Consortium, 2024.