Matryca skutek/prawdopodobieństwo (consequence/probability matrix)matrix)matrix)

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

GENERAL ISSUES IN SCOPE OF RISK MANAGEMENT

2. METODY WYKORZYSTYWANE W OCENIE RYZYKA 89

2.15. Matryca skutek/prawdopodobieństwo (consequence/probability matrix)matrix)matrix)

Matryca skutek/prawdopodobieństwo jest wykorzystywana do klasyfikacji ryzyka¹³⁹, hierarchizacji¹⁴⁰ źródeł ryzyka i postępowania z ryzykiem (tabela 5

138 Źródło: opracowanie własne.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

i 6). Metoda ta stanowi wsparcie w procesie ustalania, które ryzyka wymagają dalszej lub głębszej analizy, a wobec których należy podjąć działania zapobie-gawcze, ponieważ przewidywalne konsekwencje przy uwzględnieniu prawdo-podobieństwa ich zaistnienia powodują, że poziom ryzyka przyjmuje wartości nieakceptowalne – oczywiście w zależności od przyjętej klasyfikacji.

Tabela 5. Określenie prawdopodobieństwa wystąpienia zdarzenia¹⁴¹

Możliwość wystąpienia Opis Częstotliwość

prawie pewne oczekiwane w każdych okolicznościach raz, dwa razy na rok

bardzo możliwe możliwe w sprzyjających okolicznościach raz na dwa lata

możliwe może kiedyś wystąpić raz na 10 lat

niemożliwe nie oczekuje się raz na 100 lat

Określenie prawdopodobieństwa jest czynnością złożoną, ale przy ocenie ja-kościowej nie wymaga przeprowadzania skomplikowanych kalkulacji. Metoda podana w tabeli 6 różni się od nakreślonej powyżej, ale nie są one sprzeczne, raczej stanowią uzupełnienie dla siebie. Określenie prawdopodobieństwa wy-stąpienia zdarzenia niekorzystnego daje informacje wyjściowe do nakreślenia poziomu ryzyka, co zależy od prawdopodobieństwa i konsekwencji, te parame-try zaś zależą od dokładności informacji.

139 Klasyfikacja ryzyka – jest to podział ryzyka według wcześniej ustalonych kryteriów. Źródło:

opracowanie autorskie w ramach realizacji projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne”.

140 Hierarchizacja ryzyka – w rozumieniu dosłownym oznacza ustalanie kolejności następują-cych po sobie rzeczy, zdarzeń, zagadnień od najważniejszych do najmniej ważnych. Źródło:

opracowanie autorskie w ramach realizacji projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne”.

141 Źródło: K. W. Knight, The New Standard For Risk Management, materiał konferencyjny na Międzynarodową Konferencję Stowarzyszenia Zarządzania Ryzykiem POLRISK, 8 czerwca 2010 r., Warszawa.

Tabela 5. Określenie prawdopodobieństwa wystąpienia zdarzenia¹⁴¹

Możliwość wystąpienia Opis Częstotliwość

prawie pewne oczekiwane w każdych okolicznościach raz, dwa razy na rok

bardzo możliwe możliwe w sprzyjających okolicznościach raz na dwa lata

możliwe może kiedyś wystąpić raz na 10 lat

niemożliwe nie oczekuje się raz na 100 lat

139 Klasyfikacja ryzyka – jest to podział ryzyka według wcześniej ustalonych kryteriów. Źródło:

opracowanie autorskie w ramach realizacji projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne”.

140 Hierarchizacja ryzyka – w rozumieniu dosłownym oznacza ustalanie kolejności następują-cych po sobie rzeczy, zdarzeń, zagadnień od najważniejszych do najmniej ważnych. Źródło:

opracowanie autorskie w ramach realizacji projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne”.

141 Źródło: K. W. Knight, The New Standard For Risk Management, materiał konferencyjny na Międzynarodową Konferencję Stowarzyszenia Zarządzania Ryzykiem POLRISK, 8 czerwca 2010 r., Warszawa.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003 Tabela 6. Ocena poziomu ryzyka¹⁴²

Konsekwencje Prawdopodobieństwo

małe większe ekstremalne krytyczne

prawie pewne średni wysoki poważny bardzo

poważny

bardzo możliwe niski średni wysoki poważny

możliwe niski średni wysoki wysoki

niemożliwe niski niski średni wysoki

Poszczególne kategorie konsekwencji oraz prawdopodobieństwa¹⁴³, jak również poziomu ryzyka mogą zostać nazwane i zdefiniowane na wiele sposo-bów. Także rozpiętość matryc ryzyka bywa różna i ulega modyfikacjom w zależności od potrzeb i specyfiki danej organizacji.

Po określeniu poziomu ryzyka i dokonaniu jego klasyfikacji kolejnym krokiem będzie sprecyzowanie poziomu zaangażowania w podejściu do konkretnych ryzyk.

1. Ryzyko ocenione jako bardzo poważne i poważne wymaga natychmia-stowego działania menedżerów, nawet z pomocą wyższych szczebli, o ile własne możliwości obniżenia jego poziomu są niewystarczające.

2. Ryzyko wysokie wymaga zwrócenia uwagi, monitorowania, wskazania odpowiedzialnej osoby i podejmowania działań, które obniżą jego po-ziom przynajmniej do średniego.

3. Ryzyko średnie wymaga wzmocnienia monitoringu lub przygotowania procedur reagowania w łańcuchu odpowiedzialności.

4. Ryzyko niskie nie wymaga żadnych dodatkowych działań, stosuje się procedury rutynowe.

W niektórych sytuacjach, gdy wymagane są działania wobec zdarzeń szcze-gólnie wrażliwych dla realizacji celów organizacji, z mniejszą tolerancją dla ry-zyka w ogóle, te oceny prowadzi się, stosując dokładniejszą skalę prawdopodo-bieństwa (o pięciu, a nawet siedmiu poziomach). Kolejnym krokiem jest ustale-nie listy priorytetów (tabela 7).

142 Tamże.

143 Opis jakościowy/ilościowy dla konsekwencji i prawdopodobieństwa lub ich kombinacja.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Prawdopodobieństwo Konsekwencje

bardzo wysokie średnie bardzo niskie

bardzo wysokie 1 1 2

możliwe 1 2 3

rzadkie 2 3 3

W obszarze bezpieczeństwa zazwyczaj ocenę ryzyka prowadzi się, szacując straty i prawdopodobieństwo jego wystąpienia. Praktyka jednak pokazuje, że szacowane są również korzyści i prawdopodobieństwo ich wystąpienia. Daje to możliwość sporządzenia matrycy prognozowania konsekwencji zarówno pozy-tywnych (korzyści), jak i negapozy-tywnych (strat).

Tabela 8. Przykładowa matryca prognozowania konsekwencji pozytywnych i negatyw-nych¹⁴⁵

ekstremalne krytyczne większe mniejsze mniejsze większe wyjątkowe ekstremalne

Konsekwencje negatywne Konsekwencje

pozytywne Legenda

S – szczególne, wymaga szczególnego zaangażowania szczebla kierowniczego, W – wysokie, wymaga zaangażowania właściwego menedżera,

M – małe, wymaga uwagi, N – niskie, procedury rutynowe.

144 Źródło: K. W. Knight, The New Standard For Risk Management, materiał przygotowany na Międzynarodową Konferencję Stowarzyszenia Zarządzania Ryzykiem POLRISK, 8 czerwca 2010 r., Warszawa.

145 Tamże.

Tabela 7. Szablon do sporządzania listy priorytetów dla każdego ryzyka¹⁴⁴

Prawdopodobieństwo Konsekwencje

bardzo wysokie średnie bardzo niskie

bardzo wysokie 1 1 2

możliwe 1 2 3

rzadkie 2 3 3

Tabela 8. Przykładowa matryca prognozowania konsekwencji pozytywnych i negatyw-nych¹⁴⁵

-S -S -S -S PRAWIE PEWNE +W +S +S +S

-S -S -W -W BARDZO PRAWDOPODOBNE +W +W +S +S

-S -S -W -M MOŻLIWE +M +W +S +S

-S -W -M -N NIEPRAWDOPODOBNE +N +M +W +S

-W -W -M -N RZADKIE +N +M +W +W

-5 -4 -3 -2

PRAWDOPODOBIEŃSTWO

+2 +3 +4 +5

ekstremalne krytyczne większe mniejsze mniejsze większe wyjątkowe ekstremalne

Konsekwencje negatywne Konsekwencje

pozytywne Legenda

S – szczególne, wymaga szczególnego zaangażowania szczebla kierowniczego, W – wysokie, wymaga zaangażowania właściwego menedżera,

M – małe, wymaga uwagi, N – niskie, procedury rutynowe.

144 Źródło: K. W. Knight, The New Standard For Risk Management, materiał przygotowany na Międzynarodową Konferencję Stowarzyszenia Zarządzania Ryzykiem POLRISK, 8 czerwca 2010 r., Warszawa.

145 Tamże.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

1. W jakim stopniu personel zarządzania ryzykiem jest zapoznany z pra-wem i możliwością jego stosowania w praktyce?

2. Jaki charakter ma istniejący monitoring: detekcyjny, detekcyjno-ograniczający poziom ryzyka, zapobiegający, detekcyjny i eliminujący czynniki ryzyka?

3. Jakie mogą być konsekwencje ryzyka, jeśli wystąpi ono w prognozowa-nej skali i jakie po zastosowaniu przedsięwzięć ograniczających ryzyko?

4. Jakie czynniki mogą zwiększyć lub zmniejszyć ryzyko i jaki mamy na to wpływ?

5. Jakie jest prawdopodobieństwo wystąpienia ryzyka?

Uzyskane odpowiedzi pozwolą ocenić ryzyko i zakwalifikować dany przypadek do odpowiedniej strefy postępowania z ryzykiem.

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

PODSUMOWANIE I WNIOSKI

Analizując normy rekomendowane przez ISO, jak również te przyjęte przez PKN, dostrzeżemy, że problematyka zarządzania ryzykiem pojawia się w wielu normach, dotyczących różnorodnych dziedzin. Do czasu przyjęcia normy ISO 31000:2009 Risk Management – Principles and Guidelines, ISO Guide 73:2009 Risk Management – Vocabulary oraz normy ISO/IEC 31010 Risk Management

— Risk Assessment Techniques problematykę tę poruszały m.in. normy: ISO 14000 Ocena wpływu na środowisko, ISO/IEC 27001 Systemy zarządzania bez-pieczeństwem informacji, PN-EN ISO 9001:2008 Organizacja i zarządzanie przedsiębiorstwami czy normy związane z bezpieczeństwem urządzeń technicz-nych, tj.: EN ISO 14121-1 oraz EN ISO 12100:2010. Normy te jednak zalecały stosowanie procesu oceny ryzyka, nie wskazując szczegółowych procedur po-stępowania w całym tym procesie.

Należy zwrócić uwagę, że znaczenie norm odnalazło swoje miejsce nie tylko w świadomości teoretyków i praktyków, którzy je tworzą i stosują, ale zostało potwierdzone m.in. w polskich przepisach prawnych. Art. 2 ustawy o normalizacji (Dz.U. z 2002 r. nr 169, poz. 1386, z późn. zm.) reguluje status norm jako dokumentów wydawanych przez upoważnione jednostki organiza-cyjne, które stanowią dla danej dziedziny działalności zasady, wytyczne bądź charakterystyki oparte na wieloletniej praktyce i doświadczeniu.

Pierwszą znaczącą korzyścią z zastosowania norm z rodziny ISO 31000 jest uporządkowanie terminologii w czytelnych grupach pojęć i ich definicjach. Do-kumenty pozwalają na zrozumienie oraz zastosowanie spójnego słownictwa odnoszącego się do zarządzania ryzykiem, jego elementów i procesów we wszystkich dziedzinach aktywności, w których jest obecne.

Kolejną istotną kwestią jest możliwie najbardziej uniwersalne i jednolite po-dejście normy ISO 31000 do procesów zarządzania ryzykiem, co umożliwia jej elastyczne zastosowanie przez każdą organizację działającą w dowolnej sferze sektora publicznego oraz prywatnego. Norma zapewnia zasady, strukturę oraz procesy możliwe do trwałej implementacji we wszystkich obszarach działalno-ści organizacji, niezależnie od typu ryzyka, z jakim ma styczność.

Następną bardzo ważną korzyścią z wdrożenia wytycznych normy ISO 31000, oprócz wspomnianej wcześniej możliwości jej elastycznego dopasowania do

PODSUMOWANIE I WNIOSKI

Następną bardzo ważną korzyścią z wdrożenia wytycznych normy ISO 31000, oprócz wspomnianej wcześniej możliwości jej elastycznego dopasowania do

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

bieżących potrzeb organizacji, jest otwartość na zmiany wynikające ze zmienia-jących się warunków i potrzeb.

Uważna analiza opisanych w normie zasad uświadamia m.in., jakie korzyści organizacja może uzyskać w wyniku wdrożenia systemu. Stanowią one w pew-nym sensie odpowiedź na pytanie: po co wdrażać system lub co dzięki niemu uzyskamy? Szczegółowa analiza zapisów dotyczących struktury ramowej jedno-znacznie wskazuje natomiast na odpowiedź na pytanie: w jaki sposób skutecz-nie i sprawskutecz-nie wdrożyć system w organizacji? Charakterystyka procesów po-zwala z kolei odpowiedzieć sobie na pytanie: w jaki sposób zarządzać ryzykiem w organizacji?

Istotną zaletą normy jest kompleksowe i uporządkowane ujęcie procesu za-rządzania ryzykiem. Obejmuje on wszelkie procesy, które zachodzą w organiza-cji. Ważnym aspektem jest określenie na wstępie wszystkich warunków nie-zbędnych w ramach ustalenia kontekstu. Wykorzystanie tej wiedzy umożliwia właściwe dokonanie oceny ryzyka. Zastosowanie zaleceń na tym etapie pozwa-la organizacji na efektywne przeprowadzenie procesu postępowania z ryzy-kiem. W zależności od potrzeb rekomenduje się prowadzenie konsultacji i ko-munikowania ryzyka, a także monitorowania oraz przeglądu – jako narzędzi uzupełniających i wspomagających w ramach wszystkich etapów. Nieodłącz-nym elementem zarządzania ryzykiem w organizacji zalecaNieodłącz-nym przez normę ISO 31000 jest rzetelne dokumentowanie działań, może to bowiem mieć wpływ na przyszłość organizacji: wspieranie procesu podejmowania decyzji, rozwój i doskonalenie metod i procesów w organizacji.

Aktualne podejście do oceny ryzyka oparte jest przede wszystkim na wiedzy eksperckiej i doświadczeniach z dotychczasowymi zagrożeniami. Stosuje się również różnorodne metody oceny ryzyka, które znacznie usprawniają zarzą-dzanie sytuacją kryzysową.

W niniejszej części zaprezentowano również wybrane metody oceny ryzyka, które – zaimplementowane w procesach decyzyjnych – usprawnią ocenę ryzy-ka.

Efektem przeprowadzenia oceny ryzyka jest zaplanowanie reakcji na ryzyko.

Jest to proces opracowywania wariantów postępowania i czynności zmniejsza-jących zagrożenia i zwiększazmniejsza-jących potencjalne korzyści dla sformułowanych celów. Plan reakcji na ryzyko to kluczowy etap procesu zarządzania ryzykiem,

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

gdyż opracowuje się w nim metody reagowania na zdarzenia korzystne i nieko-rzystne. Skuteczność planowania reakcji na ryzyka zadań zagrożonych ma bez-pośredni wpływ na wzrost lub spadek ryzyka powodzenia całego przedsięwzię-cia¹⁴⁷.

Planowane reakcje muszą być proporcjonalne do konsekwencji wystąpienia niekorzystnych zjawisk, likwidować (lub niwelować) wpływy danego zagrożenia w sposób kosztowo efektywny i być realizowane terminowo. W procesie pla-nowania reakcji na ryzyka powszechnie stosuje się kilka strategii. Do każdego z ryzyk należy tak dobrać plan postępowania, by podjęte działania były najsku-teczniejsze.

W procesie analizy oceny ryzyka i zagrożeń zidentyfikowano wiele metod.

W normie ISO/IEC 31010:200931 opisano ich 31. Wybrane metody przedsta-wione w niniejszej części pozwalają na zapoznanie się z różnym podejściem do tego zagadnienia. Obrazują one przekrój metod oceny ryzyka: od rozważań eksperckich po metody oparte na budowaniu schematów i logicznych scenariu-szy zdarzeń. Zaleca się wykorzystanie następujących metod:

1. Metoda SWIFT

Pytania typu: „co, jeśli…?”, „czy kiedykolwiek…?”, „co mogłoby się stać…?” zmuszają do przeanalizowania większości potencjalnych scena-riuszy, ich przyczyn i konsekwencji. Metoda ta może być szeroko stoso-wana.

2. Drzewo zdarzeń

Użyteczna przy wyliczaniu, modelowaniu i pozycjonowaniu różnych sce-nariuszy podążających, związanych ze zdarzeniem głównym. Pokazuje rozwój danej sytuacji w zależności od wybranego scenariusza. Użyteczna w analizie systemów zabezpieczających i procedur awaryjnych.

3. Analiza przyczyn i konsekwencji

Eliminuje niektóre ograniczenia metody drzewa zdarzeń i błędów dzięki możliwości analizy zdarzeń, które rozwijają się w czasie. Daje komplek-sowy przegląd działania systemu.

4. Analiza scenariuszowa

147 http://wartowiedziec.org/index.php/pracownik-samorzadowy/zarzdzanie/16316-jakociowa-i-ilociowa-analiza-ryzyka, dostęp: luty 2015.

W procesie analizy oceny ryzyka i zagrożeń zidentyfikowano wiele metod.

1. Metoda SWIFT

2. Drzewo zdarzeń

3. Analiza przyczyn i konsekwencji

Eliminuje niektóre ograniczenia metody drzewa zdarzeń i błędów dzięki możliwości analizy zdarzeń, które rozwijają się w czasie. Daje komplek-sowy przegląd działania systemu.

4. Analiza scenariuszowa

147 http://wartowiedziec.org/index.php/pracownik-samorzadowy/zarzdzanie/16316-jakociowa-i-ilociowa-analiza-ryzyka, dostęp: luty 2015.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

Pomaga w opisaniu każdego rodzaju ryzyka, zarówno długo-, jak i krótkoterminowego.

5. Analiza muchy

Łatwa w zrozumieniu i przejrzysta w formie pokazania zdarzenia.

6. Matryca skutek/prawdopodobieństwo

Bardzo czytelna, z możliwością zastosowania różnych skal (4x4, 5x5, 6x6) i wag.

Praktyka wykorzystania norm z zakresu zarządzania ryzykiem pokazuje, że są one uniwersalnym źródłem wiedzy, dostarczającym sprawdzone narzędzia wspomagające zarządzanie wszystkimi procesami organizacyjnymi w warun-kach niepewności. Dzięki ich wykorzystaniu organizacje mogą efektywniej reali-zować misję, dla której zostały stworzone, a także cele i zadania istotne ze względów biznesowych czy też publicznych.

Od momentu wprowadzenia elementów zarządzania ryzykiem w 2009 r. je-go znaczenie stale rośnie. Stąd też rekomenduje się wykorzystanie uznanych wytycznych w zakresie zarządzania ryzykiem, które ujednolicają terminologię, wnoszą uniwersalne zasady, elastyczną strukturę ramową i właściwie dopaso-wane procesy, w tym narzędzia wspomagające ocenę ryzyka i dokumentowanie zarządzania ryzykiem.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

W dokumencie Zarządzanie ryzykiem (Stron 89-97)