Struktura ramowa zarządzania ryzykiem 23

Ramy zarządzania ryzykiem określone zostały poprzez pięć atrybutów²⁴: 1. Pełną akceptację odpowiedzialności za własne ryzyko oraz doskonalenie

wszechstronnej kontroli i strategii postępowania z ryzykiem.

2. Zwiększenie nacisku na doskonalenie zarządzania ryzykiem – konieczne jest opracowanie zestawu celów i przedsięwzięć, a następnie analizowanie i doskonalenie procesów odpowiednio do potrzeb (oznacza to zobowiązanie do prowadzenia przeglądów i modyfikowania systemu, zasobów i zdolności zapewniających permanentne doskonalenie).

3. Identyfikację każdej osoby w zakresie odpowiedzialności za zarządzanie ryzykiem – wszystkie powinny być odpowiednio przygotowane, dyspono-wać odpowiednimi zasobami, a także prowadzić i doskonalić kontrolę oraz monitorowanie ryzyka i zdolności skutecznej komunikacji z odpowiednimi służbami.

4. Podejmowanie decyzji – na każdym szczeblu w  tym procesie musi być uwzględniane ryzyko, z zastosowaniem odpowiednich procesów zarządzania ryzykiem.

5. Okresowe raporty dla komórek, zespołów bądź referatów odpowiedzialnych za nadzór oraz kontrolę zarządzania ryzykiem – powinny zawierać opisy stosowanych procesów, być kompletne i sporządzane terminowo.

Norma akcentuje potrzebę doskonalenia ram²⁵, które pomogą zintegrować zarządzanie ryzykiem z zarządzaniem organizacją. Dlatego zachęca się do za-pewnienia bliższych powiązań ram zarządzania ryzykiem z celami organizacji.

Ramy zarządzania ryzykiem powinny być osadzone na strategii²⁶ ogólnej oraz

22 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem…, dz. cyt., s. 201.

23 Struktura ramowa zarządzania ryzykiem – zestaw elementów zapewniających podstawy i usta-lenia organizacyjne w zakresie projektowania, wdrażania, monitorowania, dokonywania przeglądów i ciągłego doskonalenia zarządzania ryzykiem w całej organizacji. Źródło: ISO Guide 73:2009 Risk Management. Vocabulary, definicja 2.1.1.

24 AS/NZS ISO 31000:2009 Risk Management – Principles and Guidelines, Australian Government, August 2010, Fact Sheet, s. 2 [dok. elektr.], http://www.finance.gov.au/sites/default/files/COV_216905_

Risk_Management_Fact_Sheet_FA3_23082010_0.pdf [dostęp: czerwiec 2013].

25 Tamże.

26 Strategia – oznacza logicznie skonstruowany plan lub metodę osiągnięcia celów, szczególnie w długim okresie. Źródło: PN-ISO 9004:2009 Zarządzanie ukierunkowane na trwały sukces orga-nizacji. Podejście wykorzystujące zarządzanie jakością, s. 17.

polityce²⁷ prowadzonych działań i praktyce. Powinny uwzględniać związki ze-wnętrzne i weze-wnętrzne, zakresy odpowiedzialności, zasoby, procesy i prowadzone działania.

Struktura ramowa, którą określa ISO, umożliwia skuteczne zarządzanie ryzy-kiem poprzez zaangażowanie w ten proces całej organizacji oraz właściwe zapla-nowanie sposobu zarządzania przez nią informacją. Norma nie narzuca własnej struktury, koncentruje się raczej na dostosowaniu struktury ramowej do struktury organizacji – modyfikuje ją i dostosowuje do potrzeb procesu poprzez wskazanie jej nowej funkcji. Relacje pomiędzy jej elementami ukazuje rys. 2.

rys. 2. Relacje pomiędzy elementami struktury ramowej

Źródło: opracowanie własne na podstawie PN-ISO 31000:2012 Zarządzanie ryzykiem.

Zasady i wytyczne.

Przed rozpoczęciem projektowania struktury ramowej dla organizacji należy zagwarantować włączenie się w proces zarządzania ryzykiem jej kierownictwa. Jak wskazuje rys. 2, jest to etap konieczny i mający wpływ na działania podejmowane

27 Polityka – ogół zamierzeń i ukierunkowanie organizacji odnoszące się do całokształtu lub określonego aspektu działalności organizacji. Na podstawie: PN-ISO 9000:2006 System zarządza-nia jakością. Podstawy i terminologia, s. 27; Polityka zarządzazarządza-nia ryzykiem – deklaracja dotycząca ogółu zamierzeń i ukierunkowania organizacji odnoszących się do zarządzania ryzykiem. Źródło:

ISO Guide 73:2009 Risk Management – Vocabulary, definicja 2.1.2.

w dalszym ciągu procesu. Pod pojęciem upoważnienia i zaangażowania rozumie się mechanizm zapewniający silny i trwały udział kierownictwa w procesie za-rządzania ryzykiem²⁸. Funkcja ta powinna być realizowana przede wszystkim na poziomie strategicznego planowania polityki organizacji i zawierać się między innymi w procesach:

• definiowania i zatwierdzania polityki zarządzania ryzykiem,

• zapewnienia spójności kultury organizacyjnej i polityki zarządzania ryzykiem,

• określania wskaźników wyników zarządzania ryzykiem, które są spójne ze wskaźnikami rozwoju organizacji²⁹,

• dostosowania celów zarządzania ryzykiem do celów i strategii organizacji,

• zapewnienia zgodności zarządzania ryzykiem z przepisami prawa i wyma-ganiami regulacyjnymi,

• zagwarantowania zasobów niezbędnych do zarządzania ryzykiem,

• ciągłej weryfikacji, czy struktura ramowa zarządzania ryzykiem pozostaje właściwa³⁰.

Włączenie się kierownictwa organizacji w proces projektowania struktury jest warunkiem koniecznym przystąpienia do programowania struktury ramowej – ale nie jedynym. Kolejny warunek, który powinien zostać spełniony, to opis środowiska organizacji (analiza kontekstu zewnętrznego) oraz jej wnętrza (kontekst wewnętrz-ny) – w normie określany jako zrozumienie organizacji i jej kontekstu³¹. Dokonując analizy środowiska zewnętrznego organizacji, należy wziąć pod uwagę między innymi otoczenie społeczne i kulturowe, polityczne i prawne, a także czynniki deter-minujące jej cele. Podczas analizy uwarunkowań wewnętrznych organizacji należy posiłkować się wiedzą z zakresu: ładu organizacyjnego³² i struktury organizacyjnej, celów i strategii ich osiągnięcia, sił i środków dostępnych w organizacji, systemów informacyjnych, sposobów zarządzania informacją i podejmowania decyzji, a także norm, standardów, wytycznych i pragmatyk działania organizacji³³.

28 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 31.

29 Jako główne wskaźniki rozwoju organizacji przyjmuje się najczęściej:

– wzrost ilościowy, mierzony wielkością zatrudnienia,

– udział produktów firmy w rynku lokalnym, regionalnym czy globalnym, – wzrost obrotu kapitałem, zysków, rentowności,

– zaawansowanie technologiczne i nowoczesność wyrobów, – zróżnicowanie produkcji,

– złożoność struktury organizacyjnej,

– złożoność problemów rozwiązywanych w organizacji.

Źródło: A. Peszko, Podstawy zarządzania organizacjami, Skrypty uczelniane AGH nr 1485, Wydaw-nictwa AGH, Kraków 1997, s. 96.

30 PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.

31 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.

32 Ład organizacyjny – system, według którego organizacja podejmuje i wdraża decyzje służące realizacji jej celów. Źródło: PN-ISO 26000:2012 Wytyczne dotyczące społecznej odpowiedzialności.

33 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.

Elementem ustalania zasad dotyczących struktury zarządzania ryzykiem jest ustanowienie polityki zarządzania ryzykiem. Polityka ta jest swego rodzaju dekla-racją, która powinna uzasadniać, dlaczego organizacja podejmuje się kontrolowania swojego ryzyka i zarządzania nim oraz wskazywać zależności pomiędzy misją orga-nizacji i jej celami a samym procesem. Ponadto norma wskazuje, że należy zapewnić dostępność zasobów niezbędnych do ograniczania skutków ryzyka, a także określić zasady przygotowywania okresowych przeglądów polityki (włącznie z propozycjami jej doskonalenia) oraz raportowania³⁴.

Powyższe zasady powinny zostać uzupełnione poprzez wprowadzenie w or-ganizacji odpowiedzialności za poszczególne ryzyka poprzez przypisanie jej konkretnym członkom instytucji³⁵, uwzględnienie przyjętych norm we wszyst-kich procesach i procedurach organizacji oraz ustalenie właściwych sposobów komunikacji wewnątrz organizacji i komunikowania się jej ze środowiskiem zewnętrznym.

Aby można było zrealizować zaprezentowane powyżej procesy, organizacja musi zapewnić zasoby adekwatne do ich potrzeb. Przygotowując niezbędne środki, powinno się zwrócić uwagę na personel i jego doświadczenie, metody i narzędzia zarządzania już obowiązujące w organizacji oraz systemy szkolenia i zarządzania wiedzą. Należy pamiętać, że zasoby powinny być zagwarantowane dla każdego etapu procesu zarządzania ryzykiem³⁶.

Kolejnym krokiem po zaprojektowaniu struktury jest jej wdrożenie oraz ciągłe monitorowanie³⁷ i przegląd³⁸. Podczas wdrażania struktury ramowej ISO zaleca się między innymi:

• określenie harmonogramu i strategii wdrażania struktury ramowej,

• respektowanie wymagań formalnych (w tym prawnych),

• organizowanie szkoleń i kampanii informacyjnych,

• stworzenie mechanizmów gwarantujących skuteczne informowanie otoczenia o adekwatności struktury ramowej.

Monitorowanie opiera się na weryfikacji wyników zarządzania ryzykiem poprzez odniesienie do określonych w tym celu wskaźników, analizie sposobu realizacji pla-nu zarządzaniem ryzykiem oraz adekwatności struktury ramowej, plapla-nu i polityki

34 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 35.

35 Osoby odpowiedzialne zarówno za wdrożenie i utrzymanie struktury ramowej, jak i proces zarządzania ryzykiem.

36 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 37.

37 Monitorowanie – ciągłe sprawdzanie, nadzorowanie, krytyczne obserwowanie lub określanie stanu prowadzone w celu zidentyfikowania zmian w zakresie wymaganego lub oczekiwanego po-ziomu skuteczności. Źródło: ISO Guide 73:2009, definicja 3.8.2.1.

38 Przegląd – działanie podejmowane w celu określenia przydatności, adekwatności oraz skutecz-ności przedmiotu rozważań do osiągnięcia ustalonych celów. Źródło: ISO Guide 73:2009, definicja 3.8.2.2.

do wewnętrznego i zewnętrznego kontekstu organizacji. To właśnie monitorowanie umożliwia ciągłe doskonalenie kultury zarządzania ryzykiem³⁹.