ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
GENERAL ISSUES IN SCOPE OF RISK MANAGEMENT
1. ZARZĄDZANIE RYZYKIEM WEDŁUG NORMY ISO 31000
1.4. Proces zarządzania ryzykiem
1.4.3. Ocena ryzyka
Kolejnym istotnym działaniem jest ocena ryzyka. Wymaga ona wytypowania wyczerpującej listy zagrożeń68. Zgodnie z normą ISO Guide 73:2009 przez za-grożenia rozumiemy źródła potencjalnej szkody, natomiast ryzyko wyrażane jest w odniesieniu do możliwych konsekwencji i prawdopodobieństwa ich wy-stąpienia. Celem oceny ryzyka jest stworzenie możliwie szerokiej listy ryzyk, które będą wpływały na zdefiniowane cele – bez względu na to, czy ich źródła znajdują się pod kontrolą organizacji, czy też nie ma ona wpływu na ich zaist-nienie69. Dokonując identyfikacji, należy pamiętać o efekcie kaskadowym (do-mina)70, który wpływa na pojawienie się kolejnych ryzyk71. Celem identyfikacji ryzyka jest zestawienie kompletnej listy ryzyk, wynikających z możliwych zda-rzeń, które w zależności od okoliczności mogą kreować, zapobiegać, ograniczać, przyspieszać, opóźniać lub uniemożliwiać osiągnięcie celu. Identyfikacja ryzyka jest działalnością ciągłą, ponieważ niewykryte na czas ryzyko lub jego czynniki mogą nie tylko uniemożliwić osiągnięcie celu, ale także stanowić zagrożenie dla organizacji.
Podstawą identyfikacji jest informacja, która musi spełniać określone kryte-ria. Powinna być wiarygodna, terminowa, pełna i – o ile to możliwe – zweryfi-kowana. Stawia to określone wymogi dla źródeł informacji i zajmujących się tym zadaniem ludzi. Źródła muszą być wiarygodne i pewne, ludzie profesjonal-nie przygotowani. Komponenty ryzyka są następujące:
17021:2011 Ocena zgodności. Wymagania dla jednostek prowadzących audity i certyfikację systemów zarzadzania.
68 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem – normy a regulacje w pra-wie miejscowym, w: D. Majchrzak (red.), Zarządzanie kryzysowe w wymiarze lokalnym. Organi-zacja, procedury, organy i instytucje, AON, Warszawa 2014, s. 206.
69 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 47-49.
70 Efekt domina – teoria zakładająca, że jedno zdarzenie wywołuje ciąg kolejnych wydarzeń.
Źródło: Wielki słownik języka polskiego, Instytut Języka Polskiego PAN:
http://www.wsjp.pl/do_druku.php?id_hasla=38755&id_znaczenia=4842695, dostęp: marzec 2015.
71 Element ten jest istotny, ponieważ niektóre ryzyka (zagrożenia) mogą występować jedynie jako następstwa innych ryzyk.
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
1. źródła ryzyka72 lub zagrożenia,
2. zdarzenia lub incydenty będące źródłami ryzyka, 3. konsekwencje dla organizacji i otoczenia,
4. przyczyny obecnych zagrożeń lub występujących zdarzeń, 5. skuteczność monitoringu i systemów detekcyjnych, 6. miejsce i czas wystąpienia ryzyka.
Komponenty te rozpatrujemy oddzielnie w odniesieniu do każdego zdarzenia mogącego stworzyć zagrożenie (huragany, mecze piłkarskie, powodzie, koncer-ty gwiazd, powódź, „społeczne” inicjakoncer-tywy legislacyjne i inne).
1. Możliwe metody identyfikacji: pomiary, dyskusje, symulacje, doświad-czenia, oceny ekspertów, badania laboratoryjne, systemy detekcyjne, modelowanie, scenariusze, kwestionariusze, prognozy, analizy zagro-żeń, struktur, rozwiązań (słabych i mocnych stron, możliwości i potrzeb).
2. Możliwe źródła ryzyka: zagrożenia naturalne i techniczne, niedoskona-łość (brak) prawa, niewłaściwe nawyki, mentalność ludzi, słabość orga-nizacji, brak wyszkolenia, niska świadomość zagrożeń, brak gotowości, nieprzygotowany personel, brak systemu, nieprzystające do rzeczywi-stości standardy bezpieczeństwa, zapóźnienia techniczne i technolo-giczne, nieprzestrzeganie norm technologicznych, błędy w działaniu, za-niechania i zaniedbania, ignorancja, niekompetencja, korupcja (syste-mowa).
3. Możliwe obszary ryzyka73: państwo, dział administracji rządowej, śro-dowisko naturalne, społeczeństwo, społeczności, wspólnoty, działalność gospodarcza, organizacja, procesy rozwojowe, otoczenie bezpieczeń-stwa, informowanie i inne nieustalone.
72 Źródła ryzyka – obiekty i okoliczności stwarzające zagrożenie. Źródło: opracowanie autorskie w ramach realizacji projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne”.
73 Obszar ryzyka – obszar, w którym występują istotne z punktu widzenia danego podmiotu czynniki ryzyka. Źródło: załącznik do zarządzenia nr 80 wojewody mazowieckiego z dnia 9 lute-go 2011 r. w sprawie ustalenia polityki zarządzania ryzykiem w Mazowieckim Urzędzie Woje-wódzkim w Warszawie.
1. źródła ryzyka72 lub zagrożenia,
2. zdarzenia lub incydenty będące źródłami ryzyka, 3. konsekwencje dla organizacji i otoczenia,
4. przyczyny obecnych zagrożeń lub występujących zdarzeń, 5. skuteczność monitoringu i systemów detekcyjnych, 6. miejsce i czas wystąpienia ryzyka.
Komponenty te rozpatrujemy oddzielnie w odniesieniu do każdego zdarzenia mogącego stworzyć zagrożenie (huragany, mecze piłkarskie, powodzie, koncer-ty gwiazd, powódź, „społeczne” inicjakoncer-tywy legislacyjne i inne).
1. Możliwe metody identyfikacji: pomiary, dyskusje, symulacje, doświad-czenia, oceny ekspertów, badania laboratoryjne, systemy detekcyjne, modelowanie, scenariusze, kwestionariusze, prognozy, analizy zagro-żeń, struktur, rozwiązań (słabych i mocnych stron, możliwości i potrzeb).
2. Możliwe źródła ryzyka: zagrożenia naturalne i techniczne, niedoskona-łość (brak) prawa, niewłaściwe nawyki, mentalność ludzi, słabość orga-nizacji, brak wyszkolenia, niska świadomość zagrożeń, brak gotowości, nieprzygotowany personel, brak systemu, nieprzystające do rzeczywi-stości standardy bezpieczeństwa, zapóźnienia techniczne i technolo-giczne, nieprzestrzeganie norm technologicznych, błędy w działaniu, za-niechania i zaniedbania, ignorancja, niekompetencja, korupcja (syste-mowa).
3. Możliwe obszary ryzyka73: państwo, dział administracji rządowej, śro-dowisko naturalne, społeczeństwo, społeczności, wspólnoty, działalność gospodarcza, organizacja, procesy rozwojowe, otoczenie bezpieczeń-stwa, informowanie i inne nieustalone.
72 Źródła ryzyka – obiekty i okoliczności stwarzające zagrożenie. Źródło: opracowanie autorskie w ramach realizacji projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne”.
73 Obszar ryzyka – obszar, w którym występują istotne z punktu widzenia danego podmiotu czynniki ryzyka. Źródło: załącznik do zarządzenia nr 80 wojewody mazowieckiego z dnia 9 lute-go 2011 r. w sprawie ustalenia polityki zarządzania ryzykiem w Mazowieckim Urzędzie Woje-wódzkim w Warszawie.
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
W dalszej kolejności właściwie zagregowane ryzyka74 należy poddać analizie.
Analiza ryzyka służy jego szczegółowemu zrozumieniu. Wiedza zdobyta na tym etapie pozwala na podjęcie decyzji o sposobie postępowania z ryzykiem (wybór strategii75 i dobór metod76). Analiza powinna skoncentrować się na ustaleniu następstwa ryzyk i ich prawdopodobieństwa (wynikiem mogą być dane: jako-ściowe, półilojako-ściowe, ilościowe lub ich kombinacja, w zależności od potrzeb organizacji i wyboru metody). Powinna również zostać przeprowadzona w taki sposób, aby mogła dostarczyć danych wejściowych do ewaluacji ryzyka. Szero-ko stosowaną metodą skutecznego wartościowania ryzyka jest matryca sku-tek/prawdopodobieństwo – szerzej opisana w rozdziale 2 „Metody wykorzy-stywane w ocenie ryzyka”.
Ewaluacja ryzyka ma istotny wpływ na proces podejmowania decyzji. Wyniki analizy ryzyka stanowią podstawę do podjęcia decyzji, które ryzyka i w jakim stopniu wymagają wdrożenia przez organizację właściwego algorytmu postę-powania z nimi oraz ustalenia priorytetu ich uruchamiania. Następnie ustalone poziomy ryzyka powinny zostać porównane z ich kryteriami, z uwzględnieniem ustanowionego na wejściu kontekstu. Ewaluacja umożliwi w tym wypadku określenie, w jaki sposób postąpić z danymi ryzykiem77.
Ewaluacja ryzyka, jako ostatni krok oceny ryzyka, obejmuje porównanie po-ziomu ryzyka zidentyfikowanego w procesie analizy z przyjętymi kryteriami. To porównanie wymaga dużej dokładności i rzetelności. Ocenia się, czy oczekiwa-ne ryzyko mieści się w granicach akceptacji lub tolerancji, ewentualnie czy jest
74 Agregacja ryzyka – opis zestawu ryzyk. Źródło: opracowanie autorskie w ramach realizacji projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne”.
75 Strategia postępowania z ryzykiem – teoria i praktyka działania, ukierunkowana na osiągnię-cie założonych celów długofalowych w ramach procesu modyfikacji ryzyka. Źródło: opracowa-nie własne na podstawie Słownik terminów z zakresu bezpieczeństwa narodowego, Myśl Woj-skowa 6/2002, Bellona 2002 oraz ISO Guide 73:2009, definicja 3.8.1.
76 Metoda postępowania z ryzykiem – sposób modyfikacji ryzyka, do którego można zaliczyć m.in.: unikanie ryzyka, podjęcie lub zwiększenie ryzyka, usunięcie źródła ryzyka, zmianę na-stępstw, dzielenie ryzyka, retencję ryzyka. Źródło: opracowanie własne na podstawie ISO Guide 73:2009, definicja 3.8.1.
77 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem – normy a regulacje w pra-wie miejscowym, w: D. Majchrzak (red.), Zarządzanie kryzysowe w wymiarze lokalnym. Organi-zacja, procedury, organy i instytucje, AON, Warszawa 2014, s. 206.
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
poza tymi granicami. Ryzyko akceptowane nie wymaga szczególnej uwagi (dzia-łania codzienne), a ryzyko w granicach tolerancji powinno już wzmocnić czuj-ność i uruchomić działania mające na celu jego monitorowanie, kontrolę i me-chanizmy jego redukowania. Tolerancja w sprawach ryzyka nie jest akceptacją zaistniałego stanu rzeczy i wymaga reakcji. Zanim jednak podejmie się jakie-kolwiek działania, ocenia się skuteczność monitoringu, wiarygodność informa-cji, kompetencje personelu, poprawność analizy, możliwe straty lub korzyści wynikające z wystąpienia ryzyka, przewidywane nakłady na jego redukcję i ekonomiczność całego przedsięwzięcia.
Im wyższy poziom ryzyka, tym więcej wymaga ono uwagi – przygotowania możliwych do wdrożenia specjalnych programów je eliminujących lub reduku-jących, wdrożenia procesu i zakresu działań sprowadzających ryzyko do pozio-mu tolerancji lub akceptacji, w zależności od konieczności zrównoważenia kosz-tów skutków i nakładów w zakresie przyjętych kryteriów. Kryteria powinny wy-nikać z gotowości organizacji, przy czym zdolność organizacji do sprostania ry-zyku zależy od jej personelu i parametrów: rozmiaru, struktury, wyposażenia, możliwości finansowych, profesjonalnego podejścia oraz wrażliwości i odpor-ności na przewidywane ryzyko.
Fundamentalnym wymogiem jest skupienie się na sprowadzeniu ryzyka do poziomu akceptowanego. Nie zawsze będzie to możliwe – w pewnych okolicz-nościach mogą wystąpić czynniki usprawiedliwiające tolerancję ryzyka powyżej poziomu akceptacji. Należą do nich następujące przypadki:
1. możliwości organizacji przewyższają potrzeby w zakresie sprostania ry-zyku akceptowalnemu i można okresowo pozwolić sobie na zwiększenie ryzyka – by wykorzystać okoliczności stanowiące szansę dla organizacji, 2. poziom ryzyka poza granicami akceptacji jest na tyle niski, że nie
wyma-ga specjalnego traktowania ani specjalnych programów mieszczących się w granicach dostępnych zasobów,
3. ryzyko jest niesprecyzowane i nie mieści się w zakresie monitoringu or-ganizacji,
4. koszty zajęcia się ryzykiem i jego redukcją, włącznie z kosztami ubezpie-czeń i zabezpieubezpie-czeń, są niewspółmierne do możliwych korzyści; jedyną opcją w działaniu może być tolerancja ryzyka nieznacznie przekraczają-cego granice akceptacji.
poza tymi granicami. Ryzyko akceptowane nie wymaga szczególnej uwagi (dzia-łania codzienne), a ryzyko w granicach tolerancji powinno już wzmocnić czuj-ność i uruchomić działania mające na celu jego monitorowanie, kontrolę i me-chanizmy jego redukowania. Tolerancja w sprawach ryzyka nie jest akceptacją zaistniałego stanu rzeczy i wymaga reakcji. Zanim jednak podejmie się jakie-kolwiek działania, ocenia się skuteczność monitoringu, wiarygodność informa-cji, kompetencje personelu, poprawność analizy, możliwe straty lub korzyści wynikające z wystąpienia ryzyka, przewidywane nakłady na jego redukcję i ekonomiczność całego przedsięwzięcia.
Im wyższy poziom ryzyka, tym więcej wymaga ono uwagi – przygotowania możliwych do wdrożenia specjalnych programów je eliminujących lub reduku-jących, wdrożenia procesu i zakresu działań sprowadzających ryzyko do pozio-mu tolerancji lub akceptacji, w zależności od konieczności zrównoważenia kosz-tów skutków i nakładów w zakresie przyjętych kryteriów. Kryteria powinny wy-nikać z gotowości organizacji, przy czym zdolność organizacji do sprostania ry-zyku zależy od jej personelu i parametrów: rozmiaru, struktury, wyposażenia, możliwości finansowych, profesjonalnego podejścia oraz wrażliwości i odpor-ności na przewidywane ryzyko.
Fundamentalnym wymogiem jest skupienie się na sprowadzeniu ryzyka do poziomu akceptowanego. Nie zawsze będzie to możliwe – w pewnych okolicz-nościach mogą wystąpić czynniki usprawiedliwiające tolerancję ryzyka powyżej poziomu akceptacji. Należą do nich następujące przypadki:
1. możliwości organizacji przewyższają potrzeby w zakresie sprostania ry-zyku akceptowalnemu i można okresowo pozwolić sobie na zwiększenie ryzyka – by wykorzystać okoliczności stanowiące szansę dla organizacji, 2. poziom ryzyka poza granicami akceptacji jest na tyle niski, że nie
wyma-ga specjalnego traktowania ani specjalnych programów mieszczących się w granicach dostępnych zasobów,
3. ryzyko jest niesprecyzowane i nie mieści się w zakresie monitoringu or-ganizacji,
4. koszty zajęcia się ryzykiem i jego redukcją, włącznie z kosztami ubezpie-czeń i zabezpieubezpie-czeń, są niewspółmierne do możliwych korzyści; jedyną opcją w działaniu może być tolerancja ryzyka nieznacznie przekraczają-cego granice akceptacji.
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
Podczas oceny ryzyka każde ryzyko musi zostać sklasyfikowane i porównane z jego wartością tolerowaną i akceptowaną. Trzeba jednak wcześniej przyjąć kryteria, które pomogą jednoznacznie zidentyfikować ryzyko znaczące, wyma-gające zdecydowanych działań. Jest to krok w kierunku zdefiniowania ryzyka szczególnej uwagi. Rejestr ryzyk78, który zostanie sporządzony w wyniku oceny, pomoże zracjonalizować zarządzanie ryzykiem, a w konsekwencji – zarządzanie kryzysowe.