Metody klasyfikacji ryzyka

Dokonując bieżącej analizy ryzyka należy podejmować decyzje dotyczące kolejności reagowania na zakłócenia. W ustaleniu priorytetów działania przydatne jest określenie poziomu ryzyka - wyznaczenie jego wartości oraz dopasowanie na tej podstawie jego oceny w zakresie akceptowalności.

Wyznaczając ryzyko wyróżnia się metody oceny ryzyka [Urbaniak M., 2004, s. 321]:

 metody ilościowe określające ryzyko za pomocą ułamka z przedziału <0; 1>;

 metody jakościowe, opisujące ryzyko za pomocą określonego systemu oceny porządkowej (np. małe, średnie, duże).

Ryzyko można także ocenić lokując je w macierzy ryzyka - uwzględniając prawdopodobieństwo zdarzenia oraz jego wpływu na działalność (skutku). Może się to odbywać na podstawie szacowania ryzyka np. metodą punktową⁶⁰. Dzięki temu określone liczbowo: prawdopodobieństwo oraz stopień szkód (wpływ na działalność), przekształca się na wartość ryzyka (np. niskie, średnie, duże).

Zostało to przedstawione na rysunku 11.

60 więcej w: [Bentley J., 2004, s. 40]

PRAWDOPODOBIEŃSTWO

5 bardzo wysokie

Ryzyko średnie Ryzyko wysokie

4 wysokie 3 średnie 2 niskie

Ryzyko niskie Ryzyko średnie

1 żadne

1 nieznaczny

2 mały

3 średni

4 poważny

5 katastrofalny

WPŁYW NA DZIAŁALNOŚĆ Rysunek 11. Macierz ryzyka

Źródło: [opracowanie własne] na podst. [Wieteska G., 2011, s. 27; Anderson D., Norman A., 2003, s. 379; Klosa E., 2006, s. 115-127]

Macierz ryzyka nazywana jest również mapą ryzyka i w zależności od przyjętych założeń może przyjmować różne warianty. Przykładowy został przedstawiony na rysunku 12.

CZĘSTOTLIWOŚĆ niska wysoka PRAWDOPODOBIEŃSTWO [%]

Ryzyko średnie Ryzyko wysokie

Ryzyko niskie

Ryzyko średnie

nieznaczące SKUTKI [PLN] znaczące

Rysunek 12. Mapa ryzyka

Źródło: [oprac. własne] na podst. [Staniec I., Klimczak K.M., 2008, s. 43].

Podstawą do nakreślenia mapy ryzyka są parametry dotyczące: prawdopodobieństwa i skutków podejmowanej w przedsiębiorstwie działalności. Przyjęte skale i wartości progowe powinny stanowić odzwierciedlenie przyjętej wcześniej parametryzacji, która powinna być dopasowana dla każdego przedsiębiorstwa indywidualnie (na podstawie stanów z przeszłości oraz sytuacji bieżącej). Po zidentyfikowaniu oraz określeniu wartości wskaźników należy przyporządkować je do jednej z wcześniej zdefiniowanych kategorii. Po

wykonaniu tej czynności można odgórnie stwierdzić jaka jest pilność reagowania na przypisane do danej grupy ryzyka. Przykładowo mało prawdopodobne, jednak istotne w skutkach zdarzenia (katastrofy), docelowo powinny mieć opracowany scenariusz postępowania na wypadek ich wystąpienia. W zależności od konkretnej sytuacji w organizacji, można zwiększać ilość grup oraz uwzględniać dodatkowe kategorie np. stopień kontrolowania ryzyka [Lorek E., 2011, s. 114-115]. Mapy ryzyka powinny stanowić wsparcie w procesie zarządzania ryzykiem, w szczególności we wprowadzaniu i rozwoju zorientowanych na zarządzanie ryzykiem instrumentów planowania, kontrolowania i informowania [Situm M., 2015, s. 51].

W podejściu do ryzyka analizując jego parametry można wyszczególnić 5 grup ryzyka w zależności od wielkości potencjalnej szkody (znaczący-nieznaczący) oraz prawdopodobieństwa (niskie-wysokie) [Kiselitsa E. P., 2016, s. 6]:

 uchylanie się (szkody znaczące oraz prawdopodobieństwo wysokie),

 transfer ryzyka (szkody znaczące oraz prawdopodobieństwo niewielkie),

 akceptacja (szkody nieznaczące oraz prawdopodobieństwo wysokie),

 akceptacja oraz ignorowanie (szkody nieznaczne oraz prawdopodobieństwo niewielkie),

 oraz ubezpieczanie wszystkich ryzyk z powyższych grup.

Zawiła-Niedżwiecki proponuje następujące podejście do postępowania z ryzykiem w kontekście odzwierciedlonym na mapach (macierzach) ryzyka (rysunek 13.).

PRAWDOPODOBIEŃSTWO/ CZĘSTOŚĆ WYSTĘPOWANIA 5 bardzo wysokie

Zastosowanie planu ciągłości Zapobieganie 4 wysokie

3 średnie 2 niskie

Tolerowanie Monitorowanie

1 żadne

1 Nieznaczny

2 mały

3 średni

4 poważny

5 katastrofalny

WPŁYW NA DZIAŁALNOŚĆ

Rysunek 13. Modelowe postępowanie z ryzykiem

Źródło: [opracowanie własne] na podst. [Zawiła-Niedźwiecki J., 2010, s.156]

Zastosowanie planu ciągłości związane będzie z częstym występowaniem (lub wysoce prawdopodobnym) zakłócenia oraz jego małym wpływem na realizowaną działalność.

Podejście to polega na opracowaniu standardowych wytycznych postępowania w przypadku wystąpienia tak ocenianego zdarzenia. Ważniejszym jest utrzymanie ciągłości działania przez eliminację skutków zakłócenia niż samo zapobieganie jego występowania. W przypadku zagrożeń ocenionych jako „tolerowane” nie uwzględnia się ich występowania w obszarze przeciwdziałania skutkom ryzyka, ponieważ nie tylko są one niewielkie, ale też występują bardzo rzadko. Dla obu grup ważniejszym wydaje się być reagowanie na występowanie zakłóceń (usuwanie awarii). Z kolei dla „monitorowania”, jak i „zapobiegania”, bardziej istotne będzie monitorowanie zagrożeń i podejmowanie działań, uniemożliwiających (lub zmniejszających jego prawdopodobieństwo) przekształcenia się w zakłócenie. Jest to związane z istotnym wpływem na działalność przedsiębiorstwa.

W literaturze przedmiotu wyszczególnia się oceny ryzyka na netto (po wprowadzeniu mechanizmów kontrolnych) oraz brutto (przed wprowadzeniem mechanizmów kontrolnych) [Szymonik A., Bielecki M., 2015, s. 90].

Macierz ryzyka może stanowić również tabelę określającą wartości ryzyka w sposób liczbowy. Zostało to przedstawione w tabeli 6.

Tabela 6. Macierz oceny ryzyka Prawdopodobieństwo

Skutki

Niskie prawdopodobieństwo

(współczynnik 1)

Umiarkowane prawdopodobieństwo

(współczynnik 2)

Wysokie prawdopodobieństwo

(współczynnik 3) Łagodne skutki

(współczynnik 1)

1

Ryzyko niewielkie

2

Ryzyko niewielkie

3

Ryzyko umiarkowane Umiarkowane skutki

(współczynnik 2)

2

Ryzyko niewielkie

4

Ryzyko umiarkowane

6

Ryzyko wysokie Dotkliwe skutki

(współczynnik 3)

3

Ryzyko umiarkowane

6

Ryzyko wysokie

9

Ryzyko wysokie Źródło: [opracowanie własne] na podst. [Pritchard C.L., 2002, s. 35; Romanowska-Słomka I., Słomka A., 2009, s. 90]

Analogicznie do metod oceny ryzyka zawodowego można uznać, że ryzyko z zakresu referencyjnego:

 < 3 określa się jako ryzyko niewielkie, małe;

 <3;4> przyjmuje się jako ryzyko na poziomie średnim, umiarkowanym,

 > 4 definiuje się jako ryzyko duże, wysokie.

Przyjęte wartości współczynników, jak i ocena ryzyka w ramach macierzy powinna być uzgodniona w ramach działalności i specyfiki organizacji oraz realizowanych przez nią procesów.

Dla przedsiębiorstw o wysokim stopniu kastomizacji często dwa różne projekty mogą mieć różną ocenę dla tych samych zdarzeń. Wpływ na to będzie miało wiele różnych czynników takich jak np. termin odbioru klienta, termin dostawy nowego elementu, możliwość wymiany uszkodzonego elementu czy koszt jego wymiany.

Każda organizacja musi na podstawie swoich doświadczeń oraz wiedzy uczestników, opisywać kategorie postępowania z ryzykiem oraz przypisywać do nich identyfikowane zagrożenia. W przypadku działalności skastomizowanej będzie to związane dodatkowo z indywidualną oceną zagrożeń dla każdego realizowanego zlecenia. Reakcja na pojawiające się zagrożenia, będzie świadczyła nie tylko o przygotowaniu organizacji, lecz również o jej czujności (w identyfikowaniu jego zwiastunów) i elastyczności - umiejętności dopasowania się do sytuacji bieżącej.

W rozdziale 5.4 wyszczególniono metody związane z wyznaczeniem ryzyka oraz informacje jakie można uzyskać przy ich zastosowaniu. Jedną z rzadziej spotykanych metod wykorzystywanych do zarządzania ryzykiem jest tzw. Diagram Muszkowy Bow–tie [Lyon B.

K., Popov G., 2016, s. 50; Wróblewski D. [red.], 2015, s. 77].

Wyznaczanie ryzyka stanowi podstawę do jego oceny. Użyte metody powinny być dostosowane do specyfiki organizacji oraz wskazywać dalszy sposób postępowania z ocenianym zagrożeniem.