Czym jest zarządzanie ryzykiem cyfrowym?

Zarządzanie ryzykiem to powracający temat we wszystkich dyscyplinach zarządzania. Tradycyjne struktury — od zarządzania projektami i zarządzania usługami, po zarządzanie IT i architekturę przedsiębiorstwa — konsekwentnie podkreślają jego znaczenie. Nawet struktury Agile uznają jego wartość.

W istocie zarządzanie ryzykiem jest (a raczej powinno być) sposobem radzenia sobie z niepewnością. Jednak w praktyce często jest stosowane jako ćwiczenie biurokratyczne, rytualne przestrzeganie procedur bez właściwego zrozumienia ich celu czy wpływu.

Jedną z przyczyn tego jest magiczne myślenie (lub to, co nazywamy „cargo cult" zarządzania ryzykiem): przekonanie, że ryzyko będzie właściwie zarządzane tylko poprzez zastosowanie z góry określonego zestawu procedur.

Inną przyczyną jest zmiana celu z rzeczywistego zarządzania ryzykiem na demonstrowanie, że przepisowe działania związane z zarządzaniem ryzykiem zostały wykonane. W tym przypadku prawdziwym ogniskiem uwagi staje się zgodność: udowodnienie, że odpowiednie kontrole są wdrożone w celu spełnienia wymogów regulacyjnych i wewnętrznych polityk.

W rezultacie zarządzanie ryzykiem wykazuje silne nastawienie na łagodzenie zagrożeń (a szczególnie na zagrożenia związane z bezpieczeństwem), całkowicie pomijając zarządzanie możliwościami. Jednak w biznesie, jak w sporcie, drużyna, która koncentruje się wyłącznie na obronie i zaniedbuje atak, w końcu stanie się nieskuteczna w obu aspektach.

Najpilniejszym wyzwaniem, przed którym stoją obecnie przedsiębiorstwa, jest to, jak poruszać się po ciągłych falach zakłóceń napędzanych przez najnowocześniejsze technologie, takie jak sztuczna inteligencja, Internet rzeczy, blockchain, robotyka i przetwarzanie w chmurze. Przyspieszenie technologiczne sprawiło, że świat cyfrowy stał się VUCA: niestabilny (Volatile), niepewny (Uncertain), złożony (Complex) i niejednoznaczny (Ambiguous). W związku z tym kluczowe jest przesunięcie podejścia do rozwoju biznesu z deterministycznego poglądu „jeśli-to-inaczej" na probabilistyczny „jeśli-to-może", bardziej zgodny z mentalnością Agile, która kładzie nacisk na adaptacyjność, eksperymentowanie i ciągłe uczenie się.

„Cyfrowe zarządzanie ryzykiem" to ciągły proces identyfikacji, oceny, priorytetyzacji i traktowania zarówno pozytywnych, jak i negatywnych ryzyk, w celu optymalizacji ich wpływu na cele przedsiębiorstwa. Skuteczne cyfrowe zarządzanie ryzykiem pomaga przedsiębiorstwom prosperować w coraz bardziej hiperkonkurencyjnym krajobrazie cyfrowym.

Ważne jest podkreślenie, że cyfrowe zarządzanie ryzykiem nie jest zerwaniem z tradycyjnym zarządzaniem ryzykiem, lecz raczej jego naturalną ewolucją w kontekście, w którym, jak podkreślono w The DevOps Handbook, każdą organizację można postrzegać jako firmę technologiczną, niezależnie od sektora, w którym działa[i].

Wiele innowacji technologicznych nie pochodzi z nowych wynalazków, lecz z rekombinacji wcześniej istniejących pomysłów i technologii. Na przykład technologia blockchain wywodzi się z integracji sieci peer-to-peer, kryptografii i zmodyfikowanej formy podwójnego księgowania.

Podobnie sztuczna inteligencja rozwijała się dzięki konwergencji zwiększonej mocy obliczeniowej, wielkoskalowych zbiorów danych i dziesięcioleci badań algorytmicznych; podczas gdy cloud computing powstał z połączenia wirtualizacji, systemów rozproszonych i szybkiego łącza internetowego.

Dyscypliny zarządzania powinny stosować to samo podejście, kontekstualizując swoje długotrwałe zasady w świetle nowych warunków. Cyfrowe Zarządzanie Ryzykiem (DRM) stanowi przykład tego podejścia poprzez rekonfigurację tradycyjnych praktyk zarządzania ryzykiem w celu odpowiedzi na współczesną cyfrową rzeczywistość. W kontekście trwających transformacji cyfrowych DRM może być ponownie postrzegane jako składające się z następujących elementów.

Rygorystyczne zdefiniowanie podstawowych pojęć związanych z ryzykiem stanowi fundament skutecznego zarządzania ryzykiem. W środowisku VUCA (definiowanym przez zmienność, niepewność, złożoność i niejednoznaczność) pojawiła się nowa aktualność dla XX-wiecznych koncepcji, takich jak prawdopodobieństwo epistemiczne (które zostało opracowane przez epistemologię i teorię bayesowską).

Takie koncepcje odnoszą się do fundamentalnego wyzwania rozumowania i podejmowania decyzji w warunkach niepewności w kontekstach cyfrowych, gdzie każde zjawisko rozwija się z unikalnej i niepowtarzalnej konfiguracji warunków, sił i zmiennych w grze — których skutki są często nieliniowe i trudne do wyizolowania.

Rozkład ryzyka na jego składowe komponenty logiczne i zrozumienie ich wzajemnych zależności umożliwia lepszą obserwację, analizę i kontrolę każdego z nich, oferując tym samym więcej możliwości skutecznej interwencji.

Każde ryzyko można rozumieć jako kombinację prawdopodobieństwa wystąpienia zdarzenia i jego skutków (w przypadku wystąpienia). Na przykład, rozważmy firmę, która chce wejść na nowy segment rynku i ma możliwość wyparcia już ugruntowanego konkurenta. Tę możliwość można konceptualizować jako iloczyn prawdopodobieństwa sukcesu i jego skutków (tj. zakresu przejętego udziału w rynku).

Prawdopodobieństwo osiągnięcia celu zależy jednak od kilku sub-czynników. Jednym z nich jest stopień, w jakim cel jest dostępny lub chroniony przez bariery wejścia: aby lepiej zrozumieć ten aspekt, firma może spróbować pogłębić wiedzę o docelowych klientach. Innym jest pewność firmy co do podjęcia działania, oparta na studium wykonalności, które waży korzyści, koszty i ryzyka (w tym potencjalne kontrataki konkurentów).

Inne czynniki obejmują możliwość zaskoczenia konkurentów (zapobiegając tym samym działaniom obronnym) oraz względne zdolności i zasoby mobilizowane zarówno przez firmę, jak i jej konkurentów.

Wreszcie, należy zauważyć, że ogólny efekt skutecznego przejęcia zasobu może przewyższać jego wartość wewnętrzną: na przykład, może również wzmocnić reputację firmy. Sieci społecznościowe w szczególności mogą służyć jako potężne wzmacniacze zarówno zwycięstw, jak i porażek — jak to często bywa w sporcie, gdzie kibice, media i wirusowa uwaga szybko powiększają rezultat meczu.

Kontrole ukierunkowane są specyficzne dla każdego elementu Konceptualnej Dekompozycji Ryzyka. Mogą być stosowane zarówno przez podmioty dążące do wykorzystania możliwości (tj. starające się pokonać przeszkody i uzyskać dostęp do pewnej wartości), jak i przez te broniące się przed zagrożeniem (tj. próbujące zapobiec stracie lub zakłóceniom).

W obu przypadkach kontrole pomagają przekształcać prawdopodobieństwa i potencjalne skutki rozwijających się scenariuszy ryzyka, przekształcając zarządzanie ryzykiem w dynamiczny i dwukierunkowy proces, który jest bardziej podobny do gry niż do czysto obronnego mechanizmu.

Proces zarządzania ryzykiem obejmuje identyfikację zagrożeń, ich ocenę jakościową i ilościową oraz iteracyjne planowanie i realizację odpowiedzi na ryzyko, które wiążą się z wdrożeniem zrównoważonego zestawu kontroli opartych na RCD. Przez cały proces komunikacja i zarządzanie założeniami oraz informacjami związanymi z ryzykiem są utrzymywane jako działania ciągłe, zapewniając przejrzystość i zdolność adaptacji.

Cyfrowe Zarządzanie Ryzykiem może działać jako samodzielny proces na poziomie przedsiębiorstwa, w operacjach biznesowych oraz w kontekstach, gdzie przyjmowane są podejścia inne niż Agile. Jednocześnie w środowiskach Agile powinno funkcjonować jako technika uzupełniająca wbudowana w istniejące frameworki.

Agile można uznać za z natury związane z zarządzaniem ryzykiem, ponieważ stopniowo zmniejsza niepewność iteracja po iteracji[i]. Dlatego metodyki iteracyjne i przyrostowe (takie jak Scrum lub AgilePM3) mogą włączyć DRM jako warstwę integrującą.

Podążając za tym podejściem, Scrum Product Ownerzy powinni identyfikować ryzyka poprzez określenie ich czynników i przyczyn, wydarzeń ryzyka oraz ich wpływu na zasoby; następnie je oszacować i ocenić ich wartość pieniężną, aby nadać im priorytet wraz z innymi elementami Product Backlog. Czy należy nadać priorytet elementowi backlogu, który wygeneruje gwarantowany zysk w wysokości miliona w ciągu roku, czy też możliwości, która ma 50% szansy na osiągnięcie trzech milionów w tym samym okresie?

Tradycyjne techniki, takie jak symulacje Monte Carlo, mogą być wykorzystane do dostarczenia dokładnych szacunków prawdopodobieństwa i wpływu każdego elementu RCD. Drzewo Decyzyjne może pomóc Product Ownerowi zoptymalizować kolejność elementów w Product Backlog, uwzględniając nieliniowy charakter wartości.

Ponadto, tak jak udoskonalanie backlogu rozkłada grube historie użytkowników na bardziej szczegółowe, ryzyka można rozłożyć na ich wielorakie przyczyny za pomocą Diagramów Szkieletowych, umożliwiając w ten sposób ukierunkowane wzmocnienie lub mitygację każdej z nich. Jeśli wiemy, który motyl w Brazylii spowoduje tornado w Teksasie, możemy go łatwo złapać i przybić do ściany, unikając w ten sposób ryzyka przy bardzo małych wydatkach.

Podczas każdego sprintu deweloperzy mogą planować i implementować kontrole zapewniane przez RCD dla jego różnych elementów. Co ważniejsze, mogą testować modelowanie każdego zidentyfikowanego ryzyka i kontrole do niego zastosowane, podążając za cyklem Deminga (Planuj, Wykonaj, Badaj, Działaj).

Ludzki umysł chce opierać wybory na pewnikach; jednak w świecie VUCA pewniki są często iluzjami. Ci, którzy nie potrafią nauczyć się zarządzać ryzykiem, nie mogą konkurować; lekarstwo tkwi w zmianie kulturowej. I znowu: wyobraź sobie, że jedna firma inwestuje w element backlogu, który wygeneruje gwarantowany zysk jednego miliona w ciągu roku, podczas gdy inna lokuje swoje zasoby w możliwość, która ma 50% szans na osiągnięcie trzech milionów w tym samym okresie. Która jest lepiej przygotowana do przetrwania cyfrowej rewolucji?

Główną korzyścią z Cyfrowego Zarządzania Ryzykiem nie jest zwiększona skuteczność w łagodzeniu zagrożeń cyfrowych; jest to zdolność do restrukturyzacji przedsiębiorstwa w celu zwiększenia jego długoterminowej adaptacyjności i przetrwania.

DRM dąży do przekształcenia przedsiębiorstw w systemy fraktalne, zdolne do ciągłej wymiany informacji i wiedzy oraz do replikowania skutecznych modeli operacyjnych na wielu poziomach organizacji. Przedsiębiorstwo praktykujące DRM rozwija adaptacyjne, samo-podobne struktury, które zwiększają elastyczność, promują dzielenie się wiedzą i utrzymują długoterminową konkurencyjność, jednocześnie ustanawiając ramy dla modelowania ryzyka i podejmowania decyzji wspomaganych przez AI.

Ta transformacja strukturalna zwiększa zdolność organizacji do ciągłego uczenia się, pozycjonując ją tak, aby mogła wykorzystać cyfrowe możliwości i osiągnąć trwałą przewagę konkurencyjną.

Aby zbudować skuteczne możliwości zarządzania ryzykiem, przedsiębiorstwa mogą wykorzystać sprawdzone metody z dziedzin takich jak nauki wojskowe i cyberbezpieczeństwo. Scenariusze ćwiczeń wojskowych oraz purple teaming z cyberbezpieczeństwa można dostosować do kontekstu biznesowego.

Na przykład, jeden zespół wewnętrzny może symulować atak konkurenta, podczas gdy drugi zespół reaguje naprawiając odsłonięte luki w zabezpieczeniach i uruchamiając środki zaradcze, a trzeci zespół odgrywa rolę klientów, decydując, którą stronę poprzeć.

Ten rodzaj symulacji nie tylko wzmacnia pracę zespołową i myślenie konkurencyjne, ale także przyspiesza rozwój kultury Cyfrowego Zarządzania Ryzykiem — takiej, w której odporność, zdolność adaptacji i podejmowanie decyzji oparte na danych stają się integralną częścią przedsiębiorstwa.

Zarządzanie ryzykiem cyfrowym przekształca zakłócenia w impet, czyniąc je motorem skutecznego i zrównoważonego wzrostu w erze cyfrowej.

[i] Kim, G., Humble, J., Debois, P. & Willis, J. (2016). The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations. Portland, OR: IT Revolution Press.

[ii]  „Właściwie wdrożona zwinność w projektach jest skutecznym sposobem radzenia sobie z ryzykiem projektowym – nie ma potrzeby ani wartości w równoległym procesie 'zarządzania ryzykiem'." Agile Project Management v3 Reference Book, Agile Business Consortium, 2024.