Proces zarządzania ryzykiem

Zgodnie z międzynarodowymi normami proces zarządzania ryzykiem sprowadza się do: oceny ryzyka – w tym jego identyfikacji, analizy i ewaluacji⁴⁰, podejmowania decyzji, postępowania z ryzykiem, monitoringu i przeglądu. Proces ten dotyczy każ-dego ryzyka i musi być integralną częścią działań organizacji w praktyce, musi mieć wykonawcę, który potrafi zapewnić właściwe metody i narzędzia jego wdrożenia. Za-rządzanie ryzykiem nie polega tylko na zestawieniu listy zagrożeń i podejmowanych działań. Wymaga poważnego podejścia do oceny ryzyka, które jest zbiorem wielu czynności, między innymi identyfikacji, analizy i ewaluacji ryzyka. To systemowe ujęcie całego przedsięwzięcia, wymagające odpowiednio zaplanowanej strategii.

Strategie zarządzania ryzykiem zapewniają równowagę celów i całego zakresu aktywności zabezpieczających ich osiąganie. Równowaga ta jest możliwa do osią-gnięcia tylko wtedy, jeżeli:

• właściwie sprecyzuje się cel (bądź cele),

• dysponuje się zrozumiałym i przejrzystym procesem planowania,

• stworzy się adekwatną do wymogów strukturę organizacyjną,

• zapewni się przejrzyste rozpisanie ról (przygotowanych) członków organizacji.

Strategia zarządzania ryzykiem wymaga z jednej strony uczciwości, terminowości, wiarygodności i wystarczalności informacji, a z drugiej: wiedzy, doświadczenia, zna-jomości otoczenia, kompetencji formalnych, zakresu odpowiedzialności, dokładnie sprecyzowanego miejsca w procesie decyzyjnym. Punktem wyjścia dla zarządzania ryzykiem jest sprecyzowanie celu i to cel określa metodykę⁴¹ zarządzania ryzykiem, a nie odwrotnie.

Zarządzanie ryzykiem to proces leżący w kompetencji dyrekcji, zarządu, me-nedżerów i personelu, desygnowanych do identyfikacji ryzyka i zajmujących się

39 Kultura zarządzania ryzykiem – normy i tradycje zachowań jednostek i grup w ramach organizacji, które mają wpływ na to, jak ryzyka są identyfikowane, analizowane oraz jakie działania są podejmowane przez orga-nizację w zetknięciu z ryzykiem. Źródło: opracowanie własne na podstawie IIF Report Reform In the Financial Services Industry: Strenghthening Practices for a More Stable System, Institute of International Finance, 2009.

40 Ewaluacja ryzyka – proces porównywania wyników analizy ryzyka z kryteriami ryzyka w celu stwierdzenia, czy ryzyko i/lub jego wielkość są akceptowalne lub tolerowane. Źródło: ISO Guide 73:2009, definicja 3.7.1.

41 Referencyjne metodyki zarządzania ryzykiem występują także w standardach (COSO, FERMA, COBIT, IIA) i przewodnikach do zarządzania projektami (PMBOK, PRINCE II). Są to jednak jedynie kompendia wiedzy, a nie jak w przypadku norm – przyjęty na zasadzie konsensu i zatwierdzony przez upoważnioną jednostkę organizacyjną dokument ustalający zasady, wytyczne lub charakterystyki do powszechnego i wielokrotnego stosowania, odnoszące się do różnych rodzajów działalności lub ich wyników i zmierzające do uzyskania optymalnego stopnia uporządkowania w określonej dziedzinie.

Patrz: D. Wróblewski (red.), Przegląd…, dz. cyt., s. 159.

zestawieniem strategii działań organizacji, które mogą wpłynąć pozytywnie lub nega-tywnie na procesy funkcjonowania organizacji oraz – mając na względzie osiągnięcie celu – zabezpieczenie organizacji przed ryzykiem wyższym niż akceptowalne⁴². Za-rządzanie ryzykiem to również ograniczanie niepewności i możliwość sprostania jej.

Percepcja ryzyka⁴³ w społeczeństwie informacyjnym jest szczególna i może się znacząco różnić w zależności od grupy bądź nawet jednostki, która nierzadko ocenia dane ryzyko wyłącznie z własnej perspektywy – oczekiwanych celów, specyficznych potrzeb. Z technicznego punktu widzenia liczy się to, czy ryzyko jest: przypadkowe, rozpoznane, nowe, z poważnymi konsekwencjami, nieuchronne, natychmiasto-we, skumulowane, możliwe do wyeliminowania, ograniczenia lub zapobieżenia.

Z drugiej strony istotna jest wrażliwość ekspozycji⁴⁴ na dane ryzyko, liczebność grup wystawionych na ryzyko, skala i trwałość jego skutków oraz poziom ryzyka⁴⁵ w odniesieniu do konkretnego środowiska. Niebagatelne znaczenie mają również możliwe zmiany ryzyka lub odporności⁴⁶ ekspozycji, dostępność alternatywnych rozwiązań, skala profesjonalizmu personelu (w tym: efekty nadużyć, zaniedbań, zaniechań i ignorancji), a także odwracalność skutków oraz możliwość i potrzeba zbalansowania ryzyka. Te cechy determinują metodykę zarządzania ryzykiem.

Szacowanie ryzyka⁴⁷ reliktowego artykułowane jest po to, by uwzględnić je pod-czas zarządzania ryzykiem, ustalania wartości kryteriów ryzyka⁴⁸ i zarysowania

42 Ryzyko akceptowalne – wielkość ryzyka, którą organizacja może zaakceptować bez żadnych dodatkowych działań zaradczych bądź zmian w funkcjonowaniu. Patrz: D. Wróblewski (red.), Przegląd…, dz. cyt., s. 174.

43 Percepcja ryzyka (ang. risk perception) – znaczenie przypisywane ryzyku przez poszczególnych interesariuszy. Percepcja ta jest pochodną potrzeb, zagadnień i spraw poszczególnych interesariuszy.

Źródło: CAN/CSA-Q850-97 (2009) Risk Management: Guidelines for Decision-makers.

44 Wrażliwość ekspozycji – słaba odporność na czynniki oddziaływania zewnętrznego lub we-wnętrznego będące wynikiem incydentu lub katastrofy. To podatność na skutki zdarzenia nieko-rzystnego. Patrz: D. Wróblewski (red.), Przegląd…, dz. cyt., s. 182, cyt. za: J. Gołębiewski, Vademecum zarządzania kryzysowego, część III, Warszawa 2009, s. 84.

45 Poziom ryzyka – wartość ryzyka lub suma ryzyk. Źródło: opracowanie autorskie w ramach realizacji projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne”. Poziom ryzyka – wielkość ryzyka lub kombinacji ryzyk, wyrażona w postaci kombinacji konsekwencji oraz ich prawdopodobieństwa. Źródło: ISO Guide 73:2009 Risk Managment – Vocabulary, definicja 3.6.1.8.

46 Odporność – zdolność radzenia sobie z ryzykiem. Źródło: J. Wolanin, Zarys teorii bezpieczeństwa obywateli, Danmar, Warszawa 2005, s. 30.

47 Szacowanie ryzyka – procedura oparta na analizie ryzyka, łącznie z uwzględnieniem skutków socjologicznych, ekonomicznych, środowiskowych, a także wartościowania elementów istotnych przy dokonywaniu wyborów, w procesie podejmowania decyzji związanych ze zmniejszaniem ryzyka do akceptowanego społecznie poziomu. Szacowanie ryzyka może być jakościowe lub ilościowe. Ilościo-we szacowanie ryzyka polega na określeniu wartości iloczynu prawdopodobieństwa wystąpienia zdarzenia i jego skutków. Źródło: J. Wolanin, Zarys…, dz. cyt., s. 183.

48 Kryteria ryzyka – poziomy odniesienia, względem których określa się ważność ryzyka. Kry-teria oparte są na celach organizacyjnych oraz na zewnętrznym i wewnętrznym kontekście danej organizacji. Źródło: ISO Guide 73:2009 Risk Management – Vocabulary, definicja 3.3.1.3.

całego procesu. Bardzo ważne są parametry organizacji, które muszą spełniać kryteria ryzyka. Norma z serii ISO 31000 jest bez wątpienia dokumentem wartym zastosowania, pozwala bowiem wdrożyć w organizacji skuteczny proces zarządza-nia ryzykiem. Oczywiście w opracowazarządza-niach krajowych, w przypadku adaptacji do warunków lokalnych, należy odnieść wymagania normy do specyfiki organizacji, ale główne założenia pozostają niezmienione (rys. 3).

Proces ten obejmuje pięć przedstawionych poniżej głównych zadań: komunikację i konsultacje⁴⁹, ustalenie kontekstu, ocenę ryzyka, postępowanie z ryzykiem oraz monitorowanie i przegląd.

rys. 3. Proces zarządzania ryzykiem

Źródło: K.W. Knight, The New Standard For Risk Management, materiał przygotowany na Międzynarodową Konferencję Stowarzyszenia Zarządzania Ryzykiem POLRISK,

8 czerwca 2010 r., Warszawa.

49 Komunikacja i konsultacje – ciągłe i prowadzone w sposób iteracyjny procesy, które są przez organizację prowadzone w celu zapewnienia, przekazywania lub uzyskania informacji, jak również w celu porozumiewania się z interesariuszami, odnoszące się do zarządzaniem ryzykiem. Źródło:

ISO Guide 73:2009 Risk Management – Vocabulary, definicja 3.3.1.2.

1.4.1. Komunikacja i konsultacje

Zasady komunikacji i konsultacji należy ustalić przed przystąpieniem do reali-zacji kolejnych elementów procesu. Działania te powinny uwzględniać nie tylko kwestię samego ryzyka (wraz z jego przyczynami i konsekwencjami), ale także etap postępowania z nim. Jest to istotne, ponieważ element ten jest podstawą właściwego komunikowania się ze wszystkimi zaangażowanymi osobami i podmiotami zarówno w samej organizacji, jak i z jej interesariuszami⁵⁰. Komunikowanie się i konsultacje nie są przy tym celem same w sobie – to ich właściwe wykorzystanie pozwala na zrozumienie podejmowanych decyzji, ich przyczyn oraz oczekiwanych konsekwencji.

1.4.2. Ustalenie kontekstu

Żadna organizacja nie funkcjonuje w próżni, dlatego ważne jest zbadanie więzi zewnętrznych i wewnętrznych i ich wpływu na samo ryzyko, jak i proces zarzą-dzania ryzykiem. O ile więzi zewnętrzne nie zawsze zależą od organizacji, to więzi wewnętrzne mogą, powinny i muszą być podporządkowane racjonalnemu podejściu do zarządzania ryzykiem. Dlatego też, tak jak w przypadku projektowania struk-tury ramowej, również w tym działaniu należy dążyć do ustalenia kontekstu⁵¹. W obu przypadkach pozwala ono na zdefiniowanie celów organizacji wobec jej zewnętrznych i wewnętrznych warunków. Ponadto jest informacją wyjściową dla pozostałych, kolejnych procesów. W odróżnieniu od działań odnoszących się do struktury ramowej, podczas tego etapu należy zdefiniować je bardziej szczegółowo, odnosząc do konkretnych sposobów postępowań. Dlatego też ustalając kontekst procesu zarządzania ryzykiem, należy zwrócić uwagę, by odnosił się on między innymi do zdefiniowanych celów, odpowiedzialności, zakresu oraz skali podej-mowanych działań. Niezbędne jest również uwzględnienie przyjętej metody oceny ryzyka, sposobów szacowania jego wyników oraz kryteriów. Uzgadnianie kryteriów ryzyka stanowi ważny element procesu. Pozwala przede wszystkim określić jego istotność poprzez odwołanie się do wartości organizacji oraz jej celów i misji⁵². Norma wskazuje, że definiując kryteria, należy brać pod uwagę⁵³:

• charakter i rodzaje przyczyn i następstw, które mogą wystąpić, a także sposób ich mierzenia,

• sposób definiowania prawdopodobieństwa⁵⁴ wystąpienia,

• ramy czasowe wystąpienia prawdopodobieństwa i/lub następstw,

50 Interesariusz (ang. stakeholder) – osoba, grupa osób lub organizacja wpływająca, na którą mogą wpływać lub która jest przekonana że mogą na nią wpłynąć podejmowane decyzje i zdarzenia. Źródło:

CAN/CSA-Q850-97 (2009) Risk Management: Guidelines for Decision-makers.

51 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 43–47.

52 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem…, dz. cyt. s. 205–206.

53 Opracowanie własne na podstawie: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 47.

54 Prawdopodobieństwo – możliwość, szansa wystąpienia zdarzenia. Źródło: ISO Guide 73:2009 Risk Management – Vocabulary, definicja 3.6.1.1.

• sposób ustalania poziomu ryzyka⁵⁵,

• poziom ryzyka akceptowalnego⁵⁶ lub tolerowanego⁵⁷.

Należy także odpowiedzieć sobie na pytanie, czy organizacja będzie rozpatrywała każde ryzyko oddzielnie, czy też kombinacje ryzyk (przy ustaleniu, które zależności tych kombinacji należy rozważyć).

Równie ważną kwestią jest zabezpieczenie całego procesu pod względem:

informacyjnym, personalnym, finansowym, logistycznym oraz technicznym. Pro-ces zarządzania ryzykiem powinien być dopasowany do funkcjonującej struktury organizacyjnej, zrozumiały dla otoczenia i prowadzony zgodnie z przyjętą metodyką i prawem. Kompetencje⁵⁸ i odpowiedzialność personelu powinny być precyzyjnie rozdzielone, kryteria ryzyka zdefiniowane i zgodne z celami organizacji. Wszystkie te działania powinny być prowadzone pod kątem szeroko rozumianego planowania oraz być użyteczne w planowaniu.

1.4.3. Ocena ryzyka

Kolejnym istotnym działaniem jest ocena ryzyka. Wymaga ona wytypowania wyczerpującej listy zagrożeń⁵⁹. Zgodnie z normą ISO Guide 73:2009 przez za-grożenia rozumiemy źródła potencjalnej szkody, natomiast ryzyko wyrażane jest w odniesieniu do możliwych konsekwencji i prawdopodobieństwa ich wystąpienia.

Celem oceny ryzyka jest stworzenie możliwie szerokiej listy ryzyk, które będą wpływały na zdefiniowane cele – bez względu na to, czy ich źródła znajdują się pod kontrolą organizacji, czy też nie ma ona wpływu na ich zaistnienie⁶⁰. Dokonując identyfikacji, należy pamiętać o efekcie kaskadowym (domina)⁶¹, który wpływa

55 Patrz: definicja na s. 115.

56 Patrz: definicja na s. 115.

57 Akceptowany poziom ryzyka – jest wartością umowną. Stanowi rezultat oceny ryzyka, która obejmuje porównanie poziomu ryzyka zidentyfikowanego w procesie analizy z przyjętymi kryte-riami. Ocenia się, czy oczekiwane ryzyko mieści się w granicach akceptacji lub tolerancji, czy też jest poza tymi granicami. Każde ryzyko, którego wartość wykracza poza poziom akceptowany, ale znajduje się jeszcze w granicach tolerancji, powinno wzmóc czujność i uruchomić działania mające na celu jego monitorowanie, kontrolę i mechanizmy jego redukowania. Zanim jednak podejmie się jakiekolwiek działania, należy ocenić skuteczność monitoringu, wiarygodność informacji, popraw-ność analizy, możliwe straty lub korzyści wystąpienia ryzyka, przewidywane nakłady jego redukcji i ekonomiczność całego przedsięwzięcia. Źródło: J. Gołębiewski, Zarządzanie kryzysowe w świetle wymogów bezpieczeństwa, Kraków 2011, s. 120 i 121.

58 Kompetencje – wykazana zdolność stosowania wiedzy i umiejętności. Źródło: PN-EN ISO 9000:2006 Systemy zarządzania jakością. Podstawy i terminologia. Kompetencje – zdolność do stosowania wie-dzy i umiejętności do osiągania zamierzonych wyników. Źródło: PN-EN ISO/IEC 17021:2011 Ocena zgodności. Wymagania dla jednostek prowadzących audity i certyfikację systemów zarzadzania.

59 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem…, dz. cyt., s. 206.

60 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 47–49.

61 Efekt domina – teoria zakładająca, że jedno zdarzenie wywołuje ciąg kolejnych wydarzeń.

Źródło: Wielki słownik języka polskiego, Instytut Języka Polskiego PAN, http://www.wsjp.pl/do_druku.

php?id_hasla=38755&id_znaczenia=4842695 [dostęp: marzec 2015].

na pojawienie się kolejnych ryzyk⁶². Celem identyfikacji ryzyka jest zestawienie kompletnej listy ryzyk, wynikających z możliwych zdarzeń, które w zależności od okoliczności mogą kreować, zapobiegać, ograniczać, przyspieszać, opóźniać lub uniemożliwiać osiągnięcie celu. Identyfikacja ryzyka jest działalnością ciągłą, po-nieważ niewykryte na czas ryzyko lub jego czynniki mogą nie tylko uniemożliwić osiągnięcie celu, ale także stanowić zagrożenie dla organizacji.

Podstawą identyfikacji jest informacja, która musi spełniać określone kryteria.

Powinna być wiarygodna, terminowa, pełna i – o ile to możliwe – zweryfikowana.

Stawia to określone wymogi dla źródeł informacji i zajmujących się tym zadaniem ludzi. Źródła muszą być wiarygodne i pewne, ludzie profesjonalnie przygotowani.

Komponenty ryzyka są następujące:

• źródła ryzyka63 lub zagrożenia,

• zdarzenia lub incydenty będące źródłami ryzyka,

• konsekwencje dla organizacji i otoczenia,

• przyczyny obecnych zagrożeń lub występujących zdarzeń,

• skuteczność monitoringu i systemów detekcyjnych,

• miejsce i czas wystąpienia ryzyka.

Komponenty te rozpatrujemy oddzielnie w odniesieniu do każdego zdarzenia mogącego stworzyć zagrożenie (huragany, mecze piłkarskie, powodzie, koncerty gwiazd, powódź, społeczne inicjatywy legislacyjne i inne).

1. Możliwe metody identyfikacji: pomiary, dyskusje, symulacje, doświadczenia, oceny ekspertów, badania laboratoryjne, systemy detekcyjne, modelowanie, scenariusze, kwestionariusze, prognozy, analizy zagrożeń, struktur, rozwią-zań (słabych i mocnych stron, możliwości i potrzeb).

2. Możliwe źródła ryzyka: zagrożenia naturalne i techniczne, niedoskonałość