ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
GENERAL ISSUES IN SCOPE OF RISK MANAGEMENT
1. ZARZĄDZANIE RYZYKIEM WEDŁUG NORMY ISO 31000
1.1. Norma ISO 31000:2009 – zakres i przeznaczenie
7 Zarządzanie ryzykiem – skoordynowane działania dotyczące kierowania i nadzorowania orga-nizacją w odniesieniu do ryzyka. Źródło: ISO Guide 73:2009, definicja 2.1.
8 Kultura organizacyjna – normy społeczne i systemy wartości stymulujące pracowników, wła-ściwy klimat organizacyjny, sposób zarządzania, podzielane znaczenia i symbole, schematy poznawcze, wymogi zachowania. Źródło: B. Nogalski, Kultura organizacyjna. Duch organizacji, Oficyna Wydawnicza Ośrodka Postępu Organizacyjnego, Bydgoszcz 1998, s. 105. To także: sys-tem wzorów myślenia i działania, które są utrwalone w środowisku społecznym organizacji i mają znaczenie dla realizacji jej formalnych celów. Źródło: Cz. Sikorski, Kultura organizacyjna, C.H. Beck, Warszawa 2002, s. 4.
9 Cel strategiczny – określony podmiotowo i przedmiotowo przyszły, pożądany przez organiza-cję stan rzeczy, będący rezultatem interakcji aprobowanych przez większość jej członków co do interesów uznawanych za mające istotne znaczenie w odniesieniu do warunków występujących w otoczeniu, przewidywany do osiągnięcia w dłuższej perspektywie czasowej. Źródło: Słownik terminów z zakresu bezpieczeństwa narodowego, AON, Warszawa 2008, s. 25.
10 Cele taktyczne i operacyjne – cele taktyczne dotyczą części organizacji lub przedsiębiorstwa znajdującej się powyżej jednostki, np. działów, wydziałów itp., cele operacyjne dotyczą zawsze pojedynczych osób. Cele taktyczne i operacyjne są uzgadniane lub ustalane w sposób wiążący na okres jednego roku i formułowane zgodnie z kryteriami jakości. Źródło: P. Maas, Wiedza praktyczna: Zarządzanie poprzez cele, wyd. Verlag Dashofer, Warszawa 2004, s. 4-5 [dok.
elektr.], http://www.dashofer.pl/przyklady/ED-ZPC.pdf [dostęp 14 marca 2015].
11 A Risk Management Standard, IRM 2002, s. 2.
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
wać możliwe niedoskonałości i zdobyć dla niej poparcie wśród specjalistów.
Normy międzynarodowe, ale również europejskie i krajowe, można podzielić na normy zawierające wymagania ogólne, pewne zasady oraz normy zawierające wymagania szczegółowe. Cechą charakterystyczną tzw. norm ogólnych jest ich elastyczność, tj. możliwość przełożenia wymagań w nich zawartych na organi-zacje czy systemy o różnorodnej specyfice. Innymi słowy, niezależnie od rodzaju prowadzonej działalności czy świadczonych usług organizacje mają możliwość zastosowania wymagań tej samej normy. Normy zawierające wymagania szcze-gółowe odnoszą się zazwyczaj do konkretnych grup wyrobów, procesów czy systemów. Oba rodzaje norm są stosowane w różnych państwach, w zależności od nakreślonego celu, warunków technicznych, klimatycznych, geograficznych, infrastruktury i potrzeb bezpieczeństwa.
W rozdziale pierwszym przedstawiono potrzeby i korzyści związane z systemowym podejściem do problemu zarządzania ryzykiem. Analizie podda-no podda-normę ISO 31000:2009, oceniając ten dokument pod kątem wykorzystania jego wytycznych w organizacjach, podkreślając elementy użyteczne w plano-waniu cywilnym. Uzupełnienie rozdziału stanowi charakterystyka dokumento-wania procesów zarządzania ryzykiem, ze szczególnym uwzględnieniem jego znaczenia oraz zalet.
1.1. Norma ISO 31000:2009 – zakres i przeznaczenie
Normy dotyczące zarządzania ryzykiem dają organizacjom (także systemom bezpieczeństwa) podstawowe zasady, w ramach których powinny się poruszać.
Wspierają je także w12:
1. Działaniach organizacyjnych polegających na:
1.1. zwiększeniu prawdopodobieństwa osiągnięcia celu, 1.2. uświadomieniu potrzeby identyfikacji ryzyka13,
1.3. stosowaniu właściwych, wymaganych regulacji prawnych i norm międzynarodowych,
1.4. zwiększaniu zaufania i pewności wśród zainteresowanych podmio-tów,
12 PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 14-16.
13 Identyfikacja ryzyka – proces wyszukiwania, rozpoznawania i opisywania ryzyka. Źródło: ISO Guide 73:2009, definicja 3.5.1.
wać możliwe niedoskonałości i zdobyć dla niej poparcie wśród specjalistów.
Normy międzynarodowe, ale również europejskie i krajowe, można podzielić na normy zawierające wymagania ogólne, pewne zasady oraz normy zawierające wymagania szczegółowe. Cechą charakterystyczną tzw. norm ogólnych jest ich elastyczność, tj. możliwość przełożenia wymagań w nich zawartych na organi-zacje czy systemy o różnorodnej specyfice. Innymi słowy, niezależnie od rodzaju prowadzonej działalności czy świadczonych usług organizacje mają możliwość zastosowania wymagań tej samej normy. Normy zawierające wymagania szcze-gółowe odnoszą się zazwyczaj do konkretnych grup wyrobów, procesów czy systemów. Oba rodzaje norm są stosowane w różnych państwach, w zależności od nakreślonego celu, warunków technicznych, klimatycznych, geograficznych, infrastruktury i potrzeb bezpieczeństwa.
W rozdziale pierwszym przedstawiono potrzeby i korzyści związane z systemowym podejściem do problemu zarządzania ryzykiem. Analizie podda-no podda-normę ISO 31000:2009, oceniając ten dokument pod kątem wykorzystania jego wytycznych w organizacjach, podkreślając elementy użyteczne w plano-waniu cywilnym. Uzupełnienie rozdziału stanowi charakterystyka dokumento-wania procesów zarządzania ryzykiem, ze szczególnym uwzględnieniem jego znaczenia oraz zalet.
1.1. Norma ISO 31000:2009 – zakres i przeznaczenie
Normy dotyczące zarządzania ryzykiem dają organizacjom (także systemom bezpieczeństwa) podstawowe zasady, w ramach których powinny się poruszać.
Wspierają je także w12:
1. Działaniach organizacyjnych polegających na:
1.1. zwiększeniu prawdopodobieństwa osiągnięcia celu, 1.2. uświadomieniu potrzeby identyfikacji ryzyka13,
1.3. stosowaniu właściwych, wymaganych regulacji prawnych i norm międzynarodowych,
1.4. zwiększaniu zaufania i pewności wśród zainteresowanych podmio-tów,
12 PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 14-16.
13 Identyfikacja ryzyka – proces wyszukiwania, rozpoznawania i opisywania ryzyka. Źródło: ISO Guide 73:2009, definicja 3.5.1.
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
1.5. ustanowieniu dogodnej bazy dla planowania i podejmowania decyzji,
1.6. efektywnej alokacji i wykorzystaniu zasobów w zakresie postę-powania z ryzykiem14,
1.7. zapewnieniu ustalonych norm zdrowia i bezpieczeństwa oraz ochrony środowiska,
1.8. minimalizowaniu strat.
2. Działaniach doskonalących w zakresie:
2.1. identyfikacji szans i zagrożeń, 2.2. sprawozdawczości finansowej, 2.3. organizacji procesów,
2.4. procesu kontroli,
2.5. operacyjnej skuteczności i efektywności systemu,
2.6. zapobiegania stratom i kierowania w miejscach zdarzeń (incy-dentów),
2.7. wykorzystania doświadczeń w organizacji, 2.8. elastyczności organizacyjnej.
Międzynarodowa norma zarządzania ryzykiem wprowadziła cztery zasadni-cze ustalenia15:
1. zmieniła definicję ryzyka16 na „wpływ niepewności na cele”, 2. wdrożyła jedenaście zasad zarządzania ryzykiem,
3. podała pięć atrybutów określających ramy zarządzania ryzykiem, 4. włączyła rekomendacje w zakresie podejścia do rozwoju ram
zarządza-nia ryzykiem w skali całej organizacji.
14 Postępowanie z ryzykiem – proces modyfikacji ryzyka m.in. poprzez unikanie ryzyka, podjęcie lub zwiększenie ryzyka, usunięcie źródła ryzyka, zmianę następstw, dzielenie ryzyka, retencję ryzyka. Źródło: ISO Guide 73:2009, definicja 3.8.1.
15 AS/NZS ISO 31000:2009 Risk Management – Principles and Guidelines, Australian Govern-ment, August 2010, Fact Sheet, s. 1 [dok. elektr.], http://www.finance.gov.au/sites/default/
files/COV_216905_Risk_Management_Fact_Sheet_FA3_23082010_0.pdf [dostęp 11 czerwca 2013].
16 Ryzyko – wpływ niepewności na cele. Źródło: ISO Guide 73:2009, definicja 1.1. Patrz szerzej:
D. Wróblewski, (red. nauk.), Przegląd wybranych dokumentów normatywnych z zakresu zarzą-dzania kryzysowego i zarzązarzą-dzania ryzykiem wraz z leksykonem, CNBOP-PIB, Józefów 2014, s. 173.
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
Wprowadzona w 2009 r. norma ISO 31000 jest przede wszystkim zbiorem ram, procesów i zasad, których należy przestrzegać przy wdrażaniu procesu oceny ryzyka w każdej organizacji. Norma ta wskazuje, że każda ocena ryzyka17, nieważne, czy dotycząca bezpieczeństwa informacji, ryzyka finansowego czy innego obszaru, powinna kierować się zaleceniami nowej normy – przy założe-niu, że głównym celem ISO 31000 nie jest zamiana wymagań innych standar-dów, lecz ujednolicenie w nich procesów zarządzania ryzykiem18. W związku z tym, że ISO 31000 nie wyspecyfikowano dla wybranego sektora czy dla kon-kretnego przedsiębiorstwa, potencjalnych użytkowników dokumentu określono terminem „organizacja”. Dlatego też zawarte w tej normie zalecenia mogą być wykorzystane przez przedsiębiorstwa o dowolnej formie własności, stowarzy-szenia i grupy, a nawet osoby fizyczne19.
Zasady gwarantujące skuteczność procesu, strukturę ramową, która zapew-nia obieg informacji na jego potrzeby oraz procesy cząstkowe zarządzazapew-nia ryzy-kiem, w tym zależności pomiędzy wymienionymi zagadnieniami, pokazuje rys. 1.
Wskazane na rycinie fundamentalne filary, na których oparto zarządzanie ry-zykiem w normie ISO 31000, nie stanowią wyodrębnionych i niezależnych ele-mentów. Zgodnie z logiką norm powyższe zalecenia należy postrzegać jako komplementarne i powiązane ze sobą obszary, których niewypełnienie skutkuje niewystarczającym przygotowaniem organizacji do minimalizacji ryzyka20 lub wystąpienia jego potencjalnych konsekwencji21. Wszystkie trzy filary zostały scharakteryzowane poniżej.
17 Ocena ryzyka – całościowy proces identyfikacji ryzyka, analizy ryzyka oraz ewaluacji ryzyka.
Źródło: ISO Guide 73:2009, definicja 3.4.1. Patrz szerzej: D. Wróblewski (red. nauk.), Przegląd wybranych dokumentów normatywnych z zakresu zarządzania kryzysowego i zarządzania ryzy-kiem wraz z leksykonem, CNBOP-PIB, Józefów 2014, s. 161.
18 http://www.pbsg.pl/wiadomosci/analiza-ryzyka/iso-31000-pbsg.html, dostęp: czerwiec 2013.
19 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem – normy a regulacje w pra-wie miejscowym, w: D. Majchrzak (red.), Zarządzanie kryzysowe w wymiarze lokalnym. Organi-zacja, procedury, organy i instytucje, AON, Warszawa 2014, s. 198-199.
20 Patrz: ograniczanie ryzyka, s. 157.
21 Konsekwencje – rezultat zdarzenia mający wpływ na cele. Źródło: ISO Guide 73:2009, defini-cja 3.6.1.3.
Wprowadzona w 2009 r. norma ISO 31000 jest przede wszystkim zbiorem ram, procesów i zasad, których należy przestrzegać przy wdrażaniu procesu oceny ryzyka w każdej organizacji. Norma ta wskazuje, że każda ocena ryzyka17, nieważne, czy dotycząca bezpieczeństwa informacji, ryzyka finansowego czy innego obszaru, powinna kierować się zaleceniami nowej normy – przy założe-niu, że głównym celem ISO 31000 nie jest zamiana wymagań innych standar-dów, lecz ujednolicenie w nich procesów zarządzania ryzykiem18. W związku z tym, że ISO 31000 nie wyspecyfikowano dla wybranego sektora czy dla kon-kretnego przedsiębiorstwa, potencjalnych użytkowników dokumentu określono terminem „organizacja”. Dlatego też zawarte w tej normie zalecenia mogą być wykorzystane przez przedsiębiorstwa o dowolnej formie własności, stowarzy-szenia i grupy, a nawet osoby fizyczne19.
Zasady gwarantujące skuteczność procesu, strukturę ramową, która zapew-nia obieg informacji na jego potrzeby oraz procesy cząstkowe zarządzazapew-nia ryzy-kiem, w tym zależności pomiędzy wymienionymi zagadnieniami, pokazuje rys. 1.
Wskazane na rycinie fundamentalne filary, na których oparto zarządzanie ry-zykiem w normie ISO 31000, nie stanowią wyodrębnionych i niezależnych ele-mentów. Zgodnie z logiką norm powyższe zalecenia należy postrzegać jako komplementarne i powiązane ze sobą obszary, których niewypełnienie skutkuje niewystarczającym przygotowaniem organizacji do minimalizacji ryzyka20 lub wystąpienia jego potencjalnych konsekwencji21. Wszystkie trzy filary zostały scharakteryzowane poniżej.
17 Ocena ryzyka – całościowy proces identyfikacji ryzyka, analizy ryzyka oraz ewaluacji ryzyka.
Źródło: ISO Guide 73:2009, definicja 3.4.1. Patrz szerzej: D. Wróblewski (red. nauk.), Przegląd wybranych dokumentów normatywnych z zakresu zarządzania kryzysowego i zarządzania ryzy-kiem wraz z leksykonem, CNBOP-PIB, Józefów 2014, s. 161.
18 http://www.pbsg.pl/wiadomosci/analiza-ryzyka/iso-31000-pbsg.html, dostęp: czerwiec 2013.
19 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem – normy a regulacje w pra-wie miejscowym, w: D. Majchrzak (red.), Zarządzanie kryzysowe w wymiarze lokalnym. Organi-zacja, procedury, organy i instytucje, AON, Warszawa 2014, s. 198-199.
20 Patrz: ograniczanie ryzyka, s. 157.
21 Konsekwencje – rezultat zdarzenia mający wpływ na cele. Źródło: ISO Guide 73:2009, defini-cja 3.6.1.3.
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003 Rys. 1. Relacje między zasadami, strukturą ramową i procesem zarządzania ryzykiem22