norMy iSo 31000
1.3. Struktura ramowa zarządzania ryzykiem 23
Ramy zarządzania ryzykiem określone zostały poprzez pięć atrybutów24: 1. Pełną akceptację odpowiedzialności za własne ryzyko oraz doskonalenie
wszechstronnej kontroli i strategii postępowania z ryzykiem.
2. Zwiększenie nacisku na doskonalenie zarządzania ryzykiem – konieczne jest opracowanie zestawu celów i przedsięwzięć, a następnie analizowanie i doskonalenie procesów odpowiednio do potrzeb (oznacza to zobowiązanie do prowadzenia przeglądów i modyfikowania systemu, zasobów i zdolności zapewniających permanentne doskonalenie).
3. Identyfikację każdej osoby w zakresie odpowiedzialności za zarządzanie ryzykiem – wszystkie powinny być odpowiednio przygotowane, dyspono-wać odpowiednimi zasobami, a także prowadzić i doskonalić kontrolę oraz monitorowanie ryzyka i zdolności skutecznej komunikacji z odpowiednimi służbami.
4. Podejmowanie decyzji – na każdym szczeblu w tym procesie musi być uwzględniane ryzyko, z zastosowaniem odpowiednich procesów zarządzania ryzykiem.
5. Okresowe raporty dla komórek, zespołów bądź referatów odpowiedzialnych za nadzór oraz kontrolę zarządzania ryzykiem – powinny zawierać opisy stosowanych procesów, być kompletne i sporządzane terminowo.
Norma akcentuje potrzebę doskonalenia ram25, które pomogą zintegrować zarządzanie ryzykiem z zarządzaniem organizacją. Dlatego zachęca się do za-pewnienia bliższych powiązań ram zarządzania ryzykiem z celami organizacji.
Ramy zarządzania ryzykiem powinny być osadzone na strategii26 ogólnej oraz
22 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem…, dz. cyt., s. 201.
23 Struktura ramowa zarządzania ryzykiem – zestaw elementów zapewniających podstawy i usta-lenia organizacyjne w zakresie projektowania, wdrażania, monitorowania, dokonywania przeglądów i ciągłego doskonalenia zarządzania ryzykiem w całej organizacji. Źródło: ISO Guide 73:2009 Risk Management. Vocabulary, definicja 2.1.1.
24 AS/NZS ISO 31000:2009 Risk Management – Principles and Guidelines, Australian Government, August 2010, Fact Sheet, s. 2 [dok. elektr.], http://www.finance.gov.au/sites/default/files/COV_216905_
Risk_Management_Fact_Sheet_FA3_23082010_0.pdf [dostęp: czerwiec 2013].
25 Tamże.
26 Strategia – oznacza logicznie skonstruowany plan lub metodę osiągnięcia celów, szczególnie w długim okresie. Źródło: PN-ISO 9004:2009 Zarządzanie ukierunkowane na trwały sukces orga-nizacji. Podejście wykorzystujące zarządzanie jakością, s. 17.
polityce27 prowadzonych działań i praktyce. Powinny uwzględniać związki ze-wnętrzne i weze-wnętrzne, zakresy odpowiedzialności, zasoby, procesy i prowadzone działania.
Struktura ramowa, którą określa ISO, umożliwia skuteczne zarządzanie ryzy-kiem poprzez zaangażowanie w ten proces całej organizacji oraz właściwe zapla-nowanie sposobu zarządzania przez nią informacją. Norma nie narzuca własnej struktury, koncentruje się raczej na dostosowaniu struktury ramowej do struktury organizacji – modyfikuje ją i dostosowuje do potrzeb procesu poprzez wskazanie jej nowej funkcji. Relacje pomiędzy jej elementami ukazuje rys. 2.
rys. 2. Relacje pomiędzy elementami struktury ramowej
Źródło: opracowanie własne na podstawie PN-ISO 31000:2012 Zarządzanie ryzykiem.
Zasady i wytyczne.
Przed rozpoczęciem projektowania struktury ramowej dla organizacji należy zagwarantować włączenie się w proces zarządzania ryzykiem jej kierownictwa. Jak wskazuje rys. 2, jest to etap konieczny i mający wpływ na działania podejmowane
27 Polityka – ogół zamierzeń i ukierunkowanie organizacji odnoszące się do całokształtu lub określonego aspektu działalności organizacji. Na podstawie: PN-ISO 9000:2006 System zarządza-nia jakością. Podstawy i terminologia, s. 27; Polityka zarządzazarządza-nia ryzykiem – deklaracja dotycząca ogółu zamierzeń i ukierunkowania organizacji odnoszących się do zarządzania ryzykiem. Źródło:
ISO Guide 73:2009 Risk Management – Vocabulary, definicja 2.1.2.
w dalszym ciągu procesu. Pod pojęciem upoważnienia i zaangażowania rozumie się mechanizm zapewniający silny i trwały udział kierownictwa w procesie za-rządzania ryzykiem28. Funkcja ta powinna być realizowana przede wszystkim na poziomie strategicznego planowania polityki organizacji i zawierać się między innymi w procesach:
• definiowania i zatwierdzania polityki zarządzania ryzykiem,
• zapewnienia spójności kultury organizacyjnej i polityki zarządzania ryzykiem,
• określania wskaźników wyników zarządzania ryzykiem, które są spójne ze wskaźnikami rozwoju organizacji29,
• dostosowania celów zarządzania ryzykiem do celów i strategii organizacji,
• zapewnienia zgodności zarządzania ryzykiem z przepisami prawa i wyma-ganiami regulacyjnymi,
• zagwarantowania zasobów niezbędnych do zarządzania ryzykiem,
• ciągłej weryfikacji, czy struktura ramowa zarządzania ryzykiem pozostaje właściwa30.
Włączenie się kierownictwa organizacji w proces projektowania struktury jest warunkiem koniecznym przystąpienia do programowania struktury ramowej – ale nie jedynym. Kolejny warunek, który powinien zostać spełniony, to opis środowiska organizacji (analiza kontekstu zewnętrznego) oraz jej wnętrza (kontekst wewnętrz-ny) – w normie określany jako zrozumienie organizacji i jej kontekstu31. Dokonując analizy środowiska zewnętrznego organizacji, należy wziąć pod uwagę między innymi otoczenie społeczne i kulturowe, polityczne i prawne, a także czynniki deter-minujące jej cele. Podczas analizy uwarunkowań wewnętrznych organizacji należy posiłkować się wiedzą z zakresu: ładu organizacyjnego32 i struktury organizacyjnej, celów i strategii ich osiągnięcia, sił i środków dostępnych w organizacji, systemów informacyjnych, sposobów zarządzania informacją i podejmowania decyzji, a także norm, standardów, wytycznych i pragmatyk działania organizacji33.
28 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 31.
29 Jako główne wskaźniki rozwoju organizacji przyjmuje się najczęściej:
– wzrost ilościowy, mierzony wielkością zatrudnienia,
– udział produktów firmy w rynku lokalnym, regionalnym czy globalnym, – wzrost obrotu kapitałem, zysków, rentowności,
– zaawansowanie technologiczne i nowoczesność wyrobów, – zróżnicowanie produkcji,
– złożoność struktury organizacyjnej,
– złożoność problemów rozwiązywanych w organizacji.
Źródło: A. Peszko, Podstawy zarządzania organizacjami, Skrypty uczelniane AGH nr 1485, Wydaw-nictwa AGH, Kraków 1997, s. 96.
30 PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.
31 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.
32 Ład organizacyjny – system, według którego organizacja podejmuje i wdraża decyzje służące realizacji jej celów. Źródło: PN-ISO 26000:2012 Wytyczne dotyczące społecznej odpowiedzialności.
33 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.
Elementem ustalania zasad dotyczących struktury zarządzania ryzykiem jest ustanowienie polityki zarządzania ryzykiem. Polityka ta jest swego rodzaju dekla-racją, która powinna uzasadniać, dlaczego organizacja podejmuje się kontrolowania swojego ryzyka i zarządzania nim oraz wskazywać zależności pomiędzy misją orga-nizacji i jej celami a samym procesem. Ponadto norma wskazuje, że należy zapewnić dostępność zasobów niezbędnych do ograniczania skutków ryzyka, a także określić zasady przygotowywania okresowych przeglądów polityki (włącznie z propozycjami jej doskonalenia) oraz raportowania34.
Powyższe zasady powinny zostać uzupełnione poprzez wprowadzenie w or-ganizacji odpowiedzialności za poszczególne ryzyka poprzez przypisanie jej konkretnym członkom instytucji35, uwzględnienie przyjętych norm we wszyst-kich procesach i procedurach organizacji oraz ustalenie właściwych sposobów komunikacji wewnątrz organizacji i komunikowania się jej ze środowiskiem zewnętrznym.
Aby można było zrealizować zaprezentowane powyżej procesy, organizacja musi zapewnić zasoby adekwatne do ich potrzeb. Przygotowując niezbędne środki, powinno się zwrócić uwagę na personel i jego doświadczenie, metody i narzędzia zarządzania już obowiązujące w organizacji oraz systemy szkolenia i zarządzania wiedzą. Należy pamiętać, że zasoby powinny być zagwarantowane dla każdego etapu procesu zarządzania ryzykiem36.
Kolejnym krokiem po zaprojektowaniu struktury jest jej wdrożenie oraz ciągłe monitorowanie37 i przegląd38. Podczas wdrażania struktury ramowej ISO zaleca się między innymi:
• określenie harmonogramu i strategii wdrażania struktury ramowej,
• respektowanie wymagań formalnych (w tym prawnych),
• organizowanie szkoleń i kampanii informacyjnych,
• stworzenie mechanizmów gwarantujących skuteczne informowanie otoczenia o adekwatności struktury ramowej.
Monitorowanie opiera się na weryfikacji wyników zarządzania ryzykiem poprzez odniesienie do określonych w tym celu wskaźników, analizie sposobu realizacji pla-nu zarządzaniem ryzykiem oraz adekwatności struktury ramowej, plapla-nu i polityki
34 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 35.
35 Osoby odpowiedzialne zarówno za wdrożenie i utrzymanie struktury ramowej, jak i proces zarządzania ryzykiem.
36 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 37.
37 Monitorowanie – ciągłe sprawdzanie, nadzorowanie, krytyczne obserwowanie lub określanie stanu prowadzone w celu zidentyfikowania zmian w zakresie wymaganego lub oczekiwanego po-ziomu skuteczności. Źródło: ISO Guide 73:2009, definicja 3.8.2.1.
38 Przegląd – działanie podejmowane w celu określenia przydatności, adekwatności oraz skutecz-ności przedmiotu rozważań do osiągnięcia ustalonych celów. Źródło: ISO Guide 73:2009, definicja 3.8.2.2.
do wewnętrznego i zewnętrznego kontekstu organizacji. To właśnie monitorowanie umożliwia ciągłe doskonalenie kultury zarządzania ryzykiem39.