Algorytm zarządzania ryzykiem

Proces zarządzania ryzykiem podzielić można na sześć podstawowych kroków (rys. 4.2):

Pierwszym krokiem w algorytmie zarządzania ryzykiem jest rozpoznanie obszaru analiz, rozumiane jako jego identyfikacja lub opis. Rozpoznanie obszaru analiz jest równoznaczne ze zbieraniem informacji niezbędnych do przeprowadzenia oceny ryzyka zagrożeń, uwzględniając wszystkie czynniki otoczenia mogące mieć wpływ na generowanie źródeł zagrożeń. Po rozpoznaniu obszaru analiz przystępuje się do ułożenia listy pytań kontrolnych, która umożliwia stworzenie listy źródeł zagrożeń. Opracowania pytań kontrolnych dokonuje się na podstawie analizy zebranych informacji, której wynikiem powinno być ustalenie czy w analizowanym obszarze występują czynniki, które mogą być uznane za źródła zagrożeń.

Po rozpoznaniu obszaru analiz następuje proces rozpoznania źródeł zagrożeń, który jest jednym z najważniejszych kroków w procesie zarządzania ryzykiem. Zgodnie z SMM, jest to sformalizowane, udokumentowane działanie opierające się na reaktywnych, proaktywnych i prognostycznych metodologiach gromadzenia danych dotyczących bezpieczeństwa [35]. Metodologia reaktywna (ang. reactive) obejmuje analizę zaistniałych wypadków i incydentów lotniczych. Na podstawie raportów organów odpowiedzialnych (w Polsce – Państwowa Komisja Badania Wypadków Lotniczych) określa się przyczyny zdarzeń, a na ich podstawie identyfikuje się źródła zagrożeń.

Metodologia proaktywna (ang. proactive) obejmuje analizę sytuacji aktualnych.

Obejmuje aktywne poszukiwanie źródeł zagrożeń w ramach istniejących procesów na podstawie ocen i raportów pracowników, audytów oraz związanymi z nimi analizami i procesami oceniania. Najbardziej pożądaną jest metodologia przewidywalna, zwana również podejściem predykcyjnym (ang. predictive), obejmująca działania związane z przewidywaniem przyszłych zdarzeń i trendów. Na podstawie bieżących i historycznych wydarzeń poszukiwane są zależności pozwalające na prognozowanie

42 przyszłych źródeł zagrożeń. Przykładem działania zgodnego z tą metodologią jest wprowadzenie pionowego podziału przestrzeni powietrznej przez PAŻP w 2016 roku.

Działanie to było wynikiem analiz zwiększającego się ruchu lotniczego w Polsce.

Uznano, że zwiększająca się liczba SP może być źródłem zagrożenia więc wprowadzenie rozwiązania teraz pozwoli na ograniczenie ryzyka zagrożenia związanego z przepełnieniem przestrzeni powietrznej. Dla oczekiwanych efektów istotne jest, aby system był zintegrowany z całą działalnością organizacji w taki sposób, aby jednocześnie wykorzystywane były wszystkie trzy metodologie.

Rys. 4.2. Algorytm zarządzania ryzykiem; opracowanie własne na podstawie [41, 51, 97, 136]

Podręcznik SMM rekomenduje przeprowadzanie identyfikacji zagrożeń na podstawie modelu SHEL (czasem określanego SHEL(L)) [32]. Model SHELL jest narzędziem koncepcyjnym wykorzystywanym do analizowania wzajemnego oddziaływania różnorodnych komponentów systemu. Schemat ideowy modelu systemu

43 SHELL przedstawiony jest na rysunku 4.3. Model ten kładzie nacisk na indywidualne i ludzkie punkty styku z innymi składnikami i cechami systemu. Nazwa SHEL(L) pochodzi od pierwszych liter części składowych, które to oznaczają [60]:

 oprogramowanie (ang. Software, S) – dotyczy procedur, szkolenia, itp.,

 sprzęt (ang. Hardware, H) – dotyczy maszyny i wyposażenia,

 środowisko (ang. Environment, E) – dotyczy kontekstu operacyjnego w którym funkcjonuje system L-H-S,

 czynnik ludzki (ang. Liveware, L) – dotyczy ludzi w miejscu pracy.

Rys. 4.3. Schemat ideowy modelu SHELL [13, 29]

Czynnik ludzki (L) zajmuje centralną pozycję w modelu. Poza tym, że występują powiązania z każdym innym czynnikiem (S, H, E) dodany jest jeszcze dodatkowy element L mówiący o tym, że zakłócenia występują również na styku czynnik ludzki-czynnik ludzki, a dopasowanie ludzki-czynnika do pozostałych elementów powinno stanowić o sprawnej pracy systemu jako całości. Analizując współdziałania pomiędzy poszczególnymi elementami można stwierdzić, że [24, 29, 60]:

 linia styku czynnik ludzki-oprogramowanie (L-S) odwzorowuje reakcję człowieka na narzędzia mające go wspierać (tj. procedury, regulacje, podręczniki). Do błędów i zakłóceń na tej linii przyczynia się aktualność, czytelność oraz właściwość dobranych i opracowanych procedur a także poziom znajomości przepisów przez użytkownika,

 linia styku czynnik ludzki-sprzęt (L-H) dotyczy współoddziaływania człowieka z fizycznym otoczeniem. Może dotyczyć zarówno ergonomii kabiny jak i elementów jego bezpośredniego wyposażenia. Istnieje naturalna tendencja do przystosowywania się do niedopasowań i to ona może być główną przyczyną zagrożeń na tej linii,

 linia styku czynnik ludzki-środowisko (L-E) odpowiada za relacje pomiędzy człowiekiem a środowiskiem wewnętrznym (temperatura, oświetlenie, hałas, jakość powietrza) i zewnętrznym (widoczność, turbulencje, ukształtowanie terenu).

Dodatkowo uwzględnia czynniki adekwatności związane z ograniczeniami

44 społeczno-politycznymi (stan infrastruktury pomocniczej, lokalna sytuacja finansowa i skuteczność regulacji),

 linia styku czynnik ludzki-czynnik ludzki (L-L) odzwierciedla relację pilota wykonującego lot z innymi podmiotami bezpośrednio zaangażowanymi w lot (załoga, kontrola ruchu lotniczego, mechanicy), ale także stosunki z kierownictwem (linią lotniczą, instruktorem, dyrektorem aeroklubu). Zaburzenia na tym styku (np. wywoływanie presji) mogą znacząco wpłynąć na jakość wykonywanego zadania (lotu).

Każda z wymienionych linii generuje źródła zagrożeń, które kolejno mogą aktywować zagrożenia prowadzące do występowania zdarzeń niepożądanych.

Szczegółowa identyfikacja źródeł zagrożeń przeprowadzona zostanie w dalszej części pracy.

Najczęściej stosowaną metodą pozwalającą na określenie możliwych źródeł zagrożeń jest procedura listy kontrolnej. Metoda ta jest jedną z najbardziej sformalizowanych, a zarazem rzetelnych procedur. Jej sporządzenie poprzedza się inną procedurą, tzw. burzą mózgów, która pozwala na wyłonienie szczególnie istotnych źródeł zagrożeń. Przy tworzeniu list kontrolnych uwzględnia się informacje o źródłach zagrożeń w danym obszarze oraz o ich typie.

Kolejnym krokiem, po opracowaniu listy pytań kontrolnych o występowanie źródeł zagrożeń, jest udzielenie odpowiedzi na znajdujące się w niej pytania przez umieszczenie znacznika odpowiedzi w odpowiedniej kolumnie („tak” lub „nie”) [26]. Wśród pól wyboru znajdują się tzw. pola krytyczne [26] oznaczone przez zacieniowanie komórki.

Jeżeli znak odpowiedzi umieszczony zostanie w polu krytycznym to sugeruje to występowanie źródła zagrożeń. Kolejno następuje rozpoznanie źródeł zagrożeń na podstawie wydzielenia z listy pytań tych, w których odpowiedź znalazła się w polu krytycznym. Porozpoznaniu i sformułowaniu źródeł zagrożeń następuje ich grupowanie mające na celu określenie potencjalnych zagrożeń. Zagrożenia te są wynikiem współistnienia źródeł zagrożeń w obszarze analiz [26].

Kolejno następuje szacowanie ryzyka. Proces ten należy rozpocząć od wyboru odpowiedniej metody, uwzględniającej wszystkie niezbędne parametry, takie jak prawdopodobieństwo wystąpienia zdarzenia, ciężkość jego następstw czy liczbę osób narażonych na zagrożenie. Dobór miar i modeli ryzyka uzależniony jest od organizacyjnego usytuowania podmiotu zarządzającego ryzykiem oraz od rodzaju ryzyka [41]. Wśród rodzajów ryzyka wyróżnia się: ryzyko społeczne, ryzyko grupowe i ryzyko indywidualne [41, 136]. Szacowanie ryzyka odbywa się metodami ilościowymi lub jakościowymi. Szczegółowa klasyfikacja metod szacowania ryzyka przedstawiona zostanie w rozdziale 4.4. Bez względu na to czy wybrana zostanie metoda ilościowa czy jakościowa, oszacowaną wartość miary ryzyka poddaje się hierarchizacji w poziomach ryzyka (np. pomijalne, małe, istotne, duże i bardzo duże) [41]. Po oszacowaniu poziomu ryzyka zagrożeń przechodzi się do jego wartościowania.

Wartościowanie ryzyka jest to sprawdzenie do jakiej kategorii (klasy) ryzyka należy ryzyko oszacowane (wyrażone ilościowo lub przez wskazanie poziomów ryzyka po jego hierarchizacji) podczas analizy ryzyka [41, 136]. Wyróżnia się trzy kategorie ryzyka: akceptowane, tolerowane i nieakceptowane. Zgodnie z trójstopniową skalą

45 ryzyka (tab. 4.1) za akceptowane można przyjąć ryzyko określone jako małe, tolerowane jako średnie, nieakceptowane jest zaś ryzyko określone jako duże.

Tab. 4.1. Szacowanie ryzyka w skali trójstopniowej; opracowanie własne na podstawie [27, 132]

Prawdopodobieństwo Ciężkość następstw

Ryzyko niedopuszczalne (nieakceptowane) jest to obszar ryzyka, przy którym pod żadnym względem nie powinno się dopuszczać do funkcjonowania systemu i żadne korzyści gospodarcze lub finansowe nie powinny tego usprawiedliwiać. W przypadku, gdy oszacowane ryzyko znajduje się w tej klasie, należy niezwłocznie podjąć działania prowadzące do ograniczenia ryzyka [136]. Ryzyko tolerowane jest to obszar ryzyka znajdujący się pomiędzy ryzykiem niedopuszczalnym (nieakceptowanym) i dopuszczalnym (akceptowanym). Jeżeli oszacowane ryzyko znajduje się w tej klasie należy podjąć działania zapobiegawcze, zmierzające do redukcji ryzyka lub usunięcia źródeł zagrożenia. Poziom ryzyka powinien być monitorowany [136]. Ryzyko dopuszczalne (akceptowane) jest to obszar ryzyka niewiele znaczącego lub szeroko akceptowanego bez konieczności podejmowania działań zmniejszających, można zaprzestać działań redukujących jego poziom, ale dalej powinna być prowadzona kontrola (monitorowanie) ryzyka [136].

Działania prowadzące do ograniczania ryzyka zagrożeń, w zależności od przyjętego modelu ryzyka, powinny być nakierowane na zmniejszenie [136]:

 poziomu narażenia na źródła zagrożeń,

 poziomu prawdopodobieństwa aktywizacji zagrożeń,

 poziomu strat ponoszonych w zdarzeniach niepożądanych.

Monitorowanie ryzyka to element zarządzania ryzykiem, w ramach którego prowadzi się działania służące bieżącej kontroli wskazanego obszaru analiz, objętego zarządzaniem ryzykiem [41, 136]. Monitorowanie ryzyka realizuje się przez działania obejmujące [41, 136]:

 wykrywanie możliwości pojawienia się nowych źródeł zagrożeń,

 okresowe przeprowadzanie całego procesu zarządzania ryzykiem, celem sprawdzenia jego aktualności,

 sprawdzenie możliwości zmian dotyczących poziomów akceptacji ryzyka i/lub braku akceptacji ryzyka,

 badanie adekwatności rezultatów zarządzania ryzykiem i zaplanowanych wyników działań przyjętych w ramach postępowania wobec ryzyka.

46