Monitorowanie i przegląd

Ostanie dwa działania to monitorowanie i przegląd. Pierwsze z nich powinno zostać uwzględnione już na etapie sporządzania planów (okresowo), choć nor-ma zaleca także weryfikację procesu ad hoc. Planując, należy dążyć do przypi-sania jednoznacznie odpowiedzialności za to działanie oraz objęcia nim każdego aspektu zarządzania ryzykiem. Monitoring rejestruje zmiany zachodzące w

82 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem – normy a regulacje w pra-wie miejscowym, w: D. Majchrzak (red.), Zarządzanie kryzysowe w wymiarze lokalnym. Organi-zacja, procedury, organy i instytucje, AON, Warszawa 2014, s. 207.

83 PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 53.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

czeniu, nie zapobiega zagrożeniom, nie eliminuje ani nie ogranicza ryzyka, ale zapewnia informacje i jest podstawą do prowadzenia działań oraz kontrolowa-nia ryzyka. Tylko stały monitoring daje gwarancję zaufakontrolowa-nia do informacji. Zmia-nom podlega wszystko: otoczenie, klimat, wrażliwość, organizacje, prawo, pro-gramy i procesy. Te zmiany wpływają na cele, zasady, politykę i praktykę zarzą-dzania ryzykiem. Zmieniają się władze, rządy, ludzie, personel i otoczenie, ale zarządzanie ryzykiem jest i musi być realizowane, ponieważ zapewnia racjonal-ny rozwój społeczeństwa w bezpieczracjonal-nym otoczeniu. Procesy monitorowania i przeglądu powinny być także we właściwy sposób dokumentowane. Celem tego zabiegu jest nie tylko samo udokumentowanie procesu, ale również, a nawet przede wszystkim, stworzenie warunków do poprawy i udoskonalenia wybranych metod i narzędzi.

Oprócz międzynarodowej normy ISO istnieje również kilka innych zaleceń dotyczących zarządzania ryzykiem, takich jak standard opracowany w Wielkiej Brytanii, opublikowany przez Federację Europejskich Stowarzyszeń Zarządzania Ryzykiem (Federation of European Risk Management Associations, FERMA) czy amerykański Enterprise Risk Management – Integrated Framework (Zarządza-nie Ryzykiem Korporacyjnym – Zintegrowana Struktura Ramowa), zwany COSO II, który został opracowany przez Committee of Sponsoring Organizations of the Treadway Commission (COSO)⁸⁴.

Wszystkie te normy i standardy, podobnie jak wskazane na wstępie tego roz-działu, opierają się na podobnych założeniach. Dąży się do określenia relacji zdefiniowanych celów organizacji ze wszystkimi elementami zarządzania ryzy-kiem, tj. ustaleniem kontekstu, oceną ryzyk, reakcją na wystąpienie ryzyka i postępowaniem z nim, działaniami kontrolnymi, zasadą informowania i komu-nikacji oraz monitorowaniem, które odbywa się poprzez ciągłą ocenę osiąga-nych wyników.

84 P. Urbanek (red.), Ekonomia i zarządzanie w teorii i praktyce, WUŁ, Łódź 2011, s. 45.

czeniu, nie zapobiega zagrożeniom, nie eliminuje ani nie ogranicza ryzyka, ale zapewnia informacje i jest podstawą do prowadzenia działań oraz kontrolowa-nia ryzyka. Tylko stały monitoring daje gwarancję zaufakontrolowa-nia do informacji. Zmia-nom podlega wszystko: otoczenie, klimat, wrażliwość, organizacje, prawo, pro-gramy i procesy. Te zmiany wpływają na cele, zasady, politykę i praktykę zarzą-dzania ryzykiem. Zmieniają się władze, rządy, ludzie, personel i otoczenie, ale zarządzanie ryzykiem jest i musi być realizowane, ponieważ zapewnia racjonal-ny rozwój społeczeństwa w bezpieczracjonal-nym otoczeniu. Procesy monitorowania i przeglądu powinny być także we właściwy sposób dokumentowane. Celem tego zabiegu jest nie tylko samo udokumentowanie procesu, ale również, a nawet przede wszystkim, stworzenie warunków do poprawy i udoskonalenia wybranych metod i narzędzi.

Oprócz międzynarodowej normy ISO istnieje również kilka innych zaleceń dotyczących zarządzania ryzykiem, takich jak standard opracowany w Wielkiej Brytanii, opublikowany przez Federację Europejskich Stowarzyszeń Zarządzania Ryzykiem (Federation of European Risk Management Associations, FERMA) czy amerykański Enterprise Risk Management – Integrated Framework (Zarządza-nie Ryzykiem Korporacyjnym – Zintegrowana Struktura Ramowa), zwany COSO II, który został opracowany przez Committee of Sponsoring Organizations of the Treadway Commission (COSO)⁸⁴.

Wszystkie te normy i standardy, podobnie jak wskazane na wstępie tego roz-działu, opierają się na podobnych założeniach. Dąży się do określenia relacji zdefiniowanych celów organizacji ze wszystkimi elementami zarządzania ryzy-kiem, tj. ustaleniem kontekstu, oceną ryzyk, reakcją na wystąpienie ryzyka i postępowaniem z nim, działaniami kontrolnymi, zasadą informowania i komu-nikacji oraz monitorowaniem, które odbywa się poprzez ciągłą ocenę osiąga-nych wyników.

84 P. Urbanek (red.), Ekonomia i zarządzanie w teorii i praktyce, WUŁ, Łódź 2011, s. 45.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

1.5. Dokumentowanie zarządzania ryzykiem⁸⁵

Dokumentowanie działań związanych z zarządzaniem ryzykiem jest jednym z ostatnich elementów filaru odnoszącego się do procesów. Norma zaleca przede wszystkim wykorzystywanie dostępnych narzędzi do utrwalania wiedzy na temat zidentyfikowanych ryzyk, ale także działań i decyzji podjętych w procesie zarządzania nimi. Element ten spełnia kilka istotnych funkcji, dzięki którym organizacja realizuje swoje cele. Tym najważniejszym jest możliwość uczenia się i wewnętrznego doskonalenia stosowanych metod oraz procesów w ramach zarządzania ryzykiem. Rejestrowanie informacji przynosi także korzy-ści dla samego zarządzania organizacją, wspierając proces podejmowania decy-zji dzięki możliwości wielokrotnego wykorzystania przechowywanych danych historycznych.

Wykorzystywane w administracji publicznej wytyczne dotyczące dokumen-towania ryzyk wskazują co najmniej dwa typy stosowanych dokumentów.

Pierwszy stanowią arkusze identyfikacji bądź identyfikacji i oceny ryzyka. Służą one jako podstawowy materiał do analizy ryzyka.

Drugim rodzajem dokumentów są tzw. rejestry ryzyka. Zawierają one posze-rzoną informację nt. zidentyfikowanych i ocenionych ryzyk wraz z określeniem działania wobec danego ryzyka. Rejestry ryzyka wykorzystywane są najczęściej jako integralne zestawienia do raportów ryzyka⁸⁶, które podlegają weryfikacji oraz analizie na etapie monitorowania i przeglądu.

Przykłady rejestrów ryzyka odnajdziemy m.in. w wypartej już przez ISO 31000 normie Risk Management Guidelines Companion to AS/NZS 4360:2004.

Pierwszy dokument zawiera krótką metryczkę, podającą podstawowe dane, tj.

informacje o osobie sporządzającej i sprawdzającej rejestr wraz odpowiednimi datami, jak również datę ostatniego przeglądu ryzyka. Pierwsza kolumna reje-stru służy do numeracji zidentyfikowanych ryzyk. W następnej dokument okre-śla działanie lub czynność, której dotyczy dane ryzyko. W trzeciej kolumnie

85 Norma ISO 31000:2009 nie rekomenduje wzorcowych ani też przykładowych form dokumen-towania zarządzania ryzykiem, a przedstawia jedynie ogólne zalecenia dotyczące jego identyfi-kowania. Ze względu na wagę tego zagadnienia zostało ono rozszerzone w niniejszym rozdziale.

86 Patrz: D. Wróblewski (red. nauk.), Przegląd wybranych dokumentów normatywnych z zakresu zarządzania kryzysowego i zarządzania ryzykiem wraz z leksykonem, CNBOP-PIB, Józefów 2014, s. 172.

staje ono zdefiniowane (nazwane). W następnych kolumnach zawarto w pięciu krokach bardziej szczegółowy opis ryzyka, poprzez odpowiednio postawione pytania: co się może zdarzyć, gdy dane ryzyko wystąpi? jak może się ono ziścić?

jakie niesie ze sobą konsekwencje? czy istnieją obecnie jakieś środki zapobie-gawcze? w jakim stopniu środki te są wdrożone i skutecznie przeciwdziałają powstaniu ryzyka? W dalszej kolejności zidentyfikowane ryzyko zostaje podda-ne analizie, której wynikiem jest ustalenie stopnia prawdopodobieństwa jego wystąpienia i konsekwencji, co określi poziom danego ryzyka – to kolumny: 9, 10 i 11. Przedostatnia kolumna wskazuje priorytet danego ryzyka, wyznaczający kolejność podjęcia działań względem ryzyka i stopień ich pilności. W ostatnim kroku ujmowany jest sposób postępowania z zidentyfikowanym ryzykiem.

Tabela 1. Rejestr ryzyka⁸⁷

W drugim przykładzie również wprowadzono metryczkę, w celu identyfikacji działań właścicieli ryzyk. W rejestrze występuje także lista numeracji zidentyfi-kowanych ryzyk, jednak w kolejnej kolumnie zestawienia zobligowano wyko-nawcę do wskazania priorytetu ryzyka. Trzecia kolumna służy dokonaniu analizy możliwych działań obniżających dane ryzyko. Wykonanie tego procesu powinno zaowocować wyborem ze wskazanej listy jednego, najkorzystniejszego i reko-mendowanego do podjęcia działania. Piąta kolumna stanowi rezultat krótkiej analizy kosztów i zysków z podjęcia wskazanego działania. W następnych trzech krokach ujęte zostały: osoba odpowiedzialna za przeprowadzenie działań,

87 Źródło: Risk Management Guidelines Companion to AS/NZS 4360:2004.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

monogram zaplanowanych działań oraz zasady monitorowania ich realizacji, w tym poziomu ryzyka.

Tabela 2. Rejestr ryzyka⁸⁸

Oprócz wspomnianych sposobów dokumentowania zarządzania ryzykiem zarówno administracja publiczna, jak i inne podmioty oraz organizacje stosują różnego rodzaju kwestionariusze bądź ankiety skierowane do wszystkich uczestników tego procesu (przykłady odnaleźć można w części IV niniejszej pu-blikacji – przyp. autora). Są to dodatkowe formy doskonalenia zarządzania ryzy-kiem w danej jednostce. Ponadto w ramach wdrażania i rozwoju systemu za-rządzania ryzykiem powstają strategie, polityki, zasady oraz wytyczne, które ewoluują w ramach ciągłego procesu monitorowania i przeglądu stosowanych rozwiązań.

88 Źródło: Risk Management Guidelines Companion to AS/NZS 4360:2004.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003