Pojawienie się w 2009 roku międzynarodowego standardu zarządzania ryzykiem ISO 31000 było rezultatem ewolucyjnego procesu poszukiwania najlepszych rozwiązań doty-czących ograniczania niepewności i redukcji ryzyka w działalności różnych organizacji,
18 Prawdopodobnie te walory zadecydowały, że autorzy międzynarodowej normy ISO 31000 tak silnie związali się właśnie z tym pierwowzorem, przyjmując AS/NzS 2004 za punkt startowy.
Informowanie i konsultacje Monitoring i weryfikacja
Określenie celów
Ewaluacja ryzyka Szacowanie ryzyka
Analiza ryzyka Identyfikacja ryzyka
Opis ryzyka
Rys. 5. Schemat ideowy standardu AS/NzS 4360 2004 Źródło: Opracowanie własne autora
Międzynarodowe standardy...
w tym przedsiębiorstw19. Punkt startowy zalecają tzw. dobre praktyki oraz wprowadzane w życie procedury mające zwiększyć przejrzystość raportowania udziałowcom wyników finansowych oraz ograniczyć swobodę tzw. księgowości wirtualnej. Jednocześnie zaczę-ły się pojawiać normy i standardy dotyczące działalności sektorowej, zwłaszcza bankowej.
Dalszym krokiem w standaryzacji zarządzania ryzykiem było stanowienie norm i standar-dów narodowych, a potem ponadnarodowych oraz Unii Europejskiej.
Międzynarodowy Komitet Normalizacyjny (International Organization for Standarization) w listopadzie 2009 roku opublikował długo zapowiadany standard ISO 31000 2009 Zarządzanie ryzykiem. Zasady i wytyczne. Norma ta dotyczy zasad wdrażania i utrzymy-wania procesu zarządzania ryzykiem w każdej organizacji publicznej i komercyjnej.
ISO 31000 zawiera zbiór wytycznych, które są tylko sugestiami, a zatem mają charakter ogólnych, dobrowolnych zaleceń i nie są żądaniami ani kontraktowymi obowiązkami menedżerów. Treść normy jest przedstawiona w następujących sekcjach: zasady zarządza-nia ryzykiem, struktura zarządzazarządza-nia ryzykiem i proces zarządzazarządza-nia ryzykiem.
ISO 31000 jest międzynarodowym standardem zarządzania ryzykiem i dlatego może być stosowany przez dowolną organizację niezależnie od jej wielkości i specyfiki.
Mogą to być więc organizacje publiczne i prywatne oraz różne grupy i stowarzyszenia realizujące rozmaite przedsięwzięcia. Standard – jak wyraźnie zaznaczają jego twórcy – nie jest przeznaczony tylko dla jakiegoś sektora lub przemysłu czy określonego typu ryzyka20.
Standard ISO 31000 różni się od swojego poprzednika – standardu AS/NZS 4360. Po pierwsze, ryzyko w standardzie ISO 31000 jest zdefiniowane w kontekście efektu niepew-ności osiągnięcia celów, podczas gdy w standardzie AS/NZS 4360 skupiono się na ryzy-ku jako szansie na to, że wystąpi zdarzenie i że będzie ono miało wpływ na zamierzone cele. Po drugie, nowy standard eksponuje zasady, którymi organizacje muszą się kiero-wać, by zarządzanie ryzykiem było efektywne. Zgodnie z nimi zarządzanie ryzykiem po-winno być integralną częścią wszystkich procesów oraz podejmowanych decyzji, należy je budować systematyczne i na czas oraz oprzeć na najlepszej informacji, musi ono być także adekwatne do środowiska organizacji i dynamiczne oraz podejmować problemy w pewnej pętli iteracyjnej. Nade wszystko jednak zarządzanie ryzykiem musi być prze-zroczyste i relewantne. Przestrzeganie tych zasad pozwoli na ciągłe zwiększanie efektyw-ności działania i doskonalenie organizacji, a także na tworzenie i ochronę jej prawdziwych wartości. W standardzie zwraca się uwagę na konieczność dostrzeżenia człowieka, jego problemów życiowych oraz innych czynników kulturowych (rys. 6).
Norma ISO 31000 może być wykorzystana do osiągania wszystkich typów celów, na wszystkich poziomach i obszarach funkcjonowania organizacji. Standard może być zatem stosowany w zarządzaniu na poziomie strategicznym lub operacyjnym i
obejmu-19 Polska edycja normy ISO 31000 ukazała się w marcu 2012 r. jako: PKN-ISO 31000 2009(2012). Zarządzanie ryzykiem.
Zasady i wytyczne. PKN Warszawa 2012. W tym czasie została wydana kolejna edycja innej normy: PKN-ISO Guide 73 2012. Przewodnik. Zarządzanie ryzykiem. Terminologia. PKN Warszawa 2012.
20 Ogólna koncepcja metodologiczna normy ISO 31000 nawiązuje do ramowych struktur standardu AS/NzS 4360 2004, co jednak oficjalnie nigdzie nie zostało podkreślone.
je decyzje dotyczące wszystkich rodzajów i form działalności. Może pomóc zarządzać procesami, działaniami, funkcjami, projektami, programami, produktami, usługami i wartościami.
Na potrzeby standardu ISO 31000 dołączono słownik terminów, w którym zdefiniowano podstawowe pojęcia. Oto ich przegląd.
„Ryzyko” – efekt niepewności osiągnięcia celów. Jest pozytywnym lub negatywnym odchyleniem od oczekiwanego celu. Cele mogą mieć różne aspekty (finansowy, bezpie-czeństwo i higiena pracy, ochrona środowiska) i mogą być stosowane na różnych pozio-mach (strategicznym, operacyjnym, organizacyjnym, projektowym, wytwórczym, proce-sowym). Ryzyko często jest charakteryzowane przez odniesienie do potencjalnego wydarzenia i jego konsekwencji lub połączenia tych czynników. Ryzyko może być wy-rażone jako funkcja konsekwencji (skutków) wydarzenia i łącznego prawdopodobieństwa wystąpienia zdarzenia.
„Niepewność” – stan wynikający (nawet częściowo) z braku informacji, związany ze zrozumieniem lub znajomością wydarzeń i ich konsekwencji bądź prawdopodobieństwem ich wystąpienia. W kontekście zarządzania ryzykiem niepewność istnieje wtedy, gdy wie-dza decydenta lub jego percepcja wydarzenia, konsekwencji lub prawdopodobieństwa za-istnienia zdarzenia jest nieodpowiednia lub niepełna. Niepewność można zmniejszyć dzię-ki uzyskaniu pełniejszej informacji i pogłębieniu wiedzy.
„Struktura zarządzania ryzykiem” – zestaw komponentów obejmujących założenia or-ganizacyjne, przygotowanie projektowania, wprowadzenie monitoringu oraz przegląd i nieustannie ulepszanie procesów zarządzania ryzykiem w całej organizacji.
Komunikacja i konsultacje
Określenie kontekstu
Postępowanie wobec ryzyka Ocena ryzyka
Analiza ryzyka Identyfikacja ryzyka
Ewaluacja ryzyka
Rys. 6. Koncepcja metodologiczna normy ISO 31000 Źródło: Opracowanie własne autora
Co może się zdarzyć i dlaczego?
Jakie są tego konsekwencje?
Jakie jest prawdopodobieństwo
zdarzenia?
Jakie są sposoby ograniczenia lub redukcji ryzyka?
Monitorowanie i przegląd ryzyka
Międzynarodowe standardy...
„Proces zarządzania ryzykiem” – systematyczne prowadzenie polityki zarządzania, postę-powań i praktyk w sferze komunikacji i konsultacji, zakładających kontekst działalności, identyfikowanie, analizowanie, ocenianie, traktowanie oraz monitoring i przegląd ryzyka.
„Traktowanie ryzyka” – proces rozwijania się, wybierania i wprowadzania środków (in-strumentów) w celu modyfikowania ryzyka. Opisuje ono część zarządzania ryzykiem, w któ-rej decyzje dotyczą reagowania na ryzyko. Chodzi o unikanie ryzyka, jego redukcję, trans-fer lub akceptację. Traktowanie ryzyka może być również rozumiane jako jego kontrola.
Sposób, w jaki standard ISO 31000 zostanie wykorzystany, zależy od menedżera, od po-trzeb danej organizacji oraz od tego, czym się ona zajmuje i jak działa.
Wdrożenie standardu ISO 31000 powinno przyczynić się do uzyskania efektów natury strategicznej i operacyjnej, doraźnych i perspektywicznych.
Efektywne zarządzanie ryzykiem zgodnie ze wskazówkami normy ISO 31000 powin-no zwiększyć prawdopodobieństwo osiągnięcia celów organizacji, pozwolić na precyzyj-ne zidentyfikowanie szans i zagrożeń, a tym samym zwiększyć efektywność kierowania organizacją i zarządzania nią. Ważny jest optymalny podział i efektywne wykorzystanie dostępnych zasobów w celu zmniejszenia skutków ryzyka i zminimalizowania ewentual-nych strat.
Na poziomie operacyjnym wprowadzenie ISO 3100 powinno skutkować zwiększeniem poziomu bezpieczeństwa i higieny pracy oraz ochrony środowiska, a także wzrostem za-ufania udziałowców do kierownictwa organizacji i samodoskonaleniem systemu rachun-kowości finansowej. Stosowanie standardu powinno przyczynić się do polepszenia jako-ści procedur kontrolnych oraz stworzenia wiarygodnej platformy do podejmowania optymalnych decyzji i realnego planowania.
Celem strategicznym standardu ISO 31000 jest systematyczne polepszanie ogólnego po-ziomu kultury organizacyjnej, stabilności i bezpieczeństwa funkcjonowania instytucji oraz wzmocnienie jej pozycji w określonym środowisku zewnętrznym.