Do najbardziej popularnych i zarazem najszerzej stosowanych w sektorach publicznych standardów zarządzania ryzykiem należą:
– FERMA 20044 – brytyjski standard zarządzania ryzykiem opracowany przez Federację Europejskich Stowarzyszeń Zarządzania Ryzykiem (Federation of European Risk Management Associations – FERMA);
– COSO II5 – amerykański standard zarządzania ryzykiem korporacyjnym; zintegrowana struktura ramowa przygotowana przez Komitet Organizacji Sponsorujących Komisję Tradewaya (The Committete of Sponsoring Organizations of the Tradeway Commission – COSO);
3 Wybrane elementy holistycznej teorii bezpieczeństwa zostały przedstawione m.in. w pracy: K. Ficoń: Bezpieczeństwo jako systemowa kategoria ontologiczna. „Kwartalnik Bellona” 2013 nr 1, s. 9–28.
4 http://www.ferma.eu/About FERMA/ARiskManagementStanadard [dostęp: 20.09.2012].
5 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary [dostęp: 20.09.2012].
Międzynarodowe standardy...
– AS/NZS 4360 2004 – australijsko-nowozelandzki standard zarządzania ryzykiem;
– (ISO 31000) – międzynarodowa norma zarządzania ryzykiem wzorowana na świa-towych standardach FERMA, COSO II i AS/NZS 4360 2004.
Wśród międzynarodowych standardów zarządzania ryzykiem duże znaczenie mają tzw. metodyki zarządzania ryzykiem, z reguły dotyczące wybranej branży przemysło-wej lub sektora gospodarki narodoprzemysło-wej. Przykładem takiej metodyki jest PRINCE2 (Projects in a Controlled Environment), dotycząca zarządzania wszelkimi projektami, czyli produktami innowacyjnymi6. PRINCE2 po raz pierwszy została opublikowana
6 Metodykę PRINCE2 opracowano na podstawie metodyki prowadzenia projektów informatycznych PROMPT (Project Resource Organisation Management Planning Technique), opracowanej przez prywatną firmę Simpact Systems Limited w połowie lat 70. XX wieku. Na zamówienie rządowe metodykę tę wzbogacono o zagadnienie zarządzania jakością. W 1983 r. część standardu, pod nazwą PROMPT II, została wprowadzona w jednostkach administracji rządowej Wielkiej Brytanii. W 1989 r.
po wykupieniu praw do metodyki PROMPT przez firmę LBMS brytyjska agenda rządowa Central Computer and Telecommunications Agency (CCTA) opublikowała standard pod nową nazwą – PRINCE i wskazała jako zbiór najlepszych praktyk zarządzania projektami, i to nie tylko informatycznymi, lecz także poza sektorem IT.
Rys. 2. Wybrane międzynarodowe standardy i metodyki zarządzania ryzykiem Źródło: Opracowanie własne autora
ZARZĄDZANIE RYZYKIEM
KONTROLA
MONITORING ANALIZA
I OCENA IDENTYFIKACJA
RYZYKA
WALUACJA REAGOWANIE ZARZĄDZANIE
RYZYKIEM
w 1996 roku jako ogólna metoda zarządzania projektami, niezależna od dziedziny biz-nesowej zastosowania. Stanowi podstawę do realizacji wszelkich projektów w przed-siębiorstwach i organizacjach dowolnej wielkości i branży. Pozwala w zorganizowany sposób zaplanować projekt, wykonać wszelkie zadania, zakończyć przedsięwzięcie i ocenić rezultaty.
Obecnie PRINCE2 stanowi uniwersalną platformę współpracy wszystkich osób za-angażowanych w realizację projektów. Pozwala na efektywne komunikowanie się i sta-nowi kanwę wszelkiej korespondencji oraz wymiany informacji we wszystkich eta-pach projektu, a także w fazie jego przygotowywania. Skupia się na poprawnym zaplanowaniu prac i monitorowaniu wytwarzania produktów w każdym etapie projek-tu, jednak z uwzględnieniem powodzenia projektu jako całości i osiągnięcia założo-nych korzyści. PRINCE2 jest uznaną w świecie i szeroko rozpowszechnioną metodą zarządzania projektami, eksponującą problematykę zarządzania ryzykiem projekto-wym, które odgrywa szczególną rolę w uzasadnieniu biznesowym przedsięwzięcia, jego organizacji oraz kontrolowaniu odpowiedzialności poszczególnych osób w ze-spole projektowym, a także w monitorowaniu uporządkowanej i logicznej kolejności działań kierownika projektu.
Wysoką rangę zarządzania ryzykiem w sektorze publicznym, głównie w organach administracji państwowej – rządowej i samorządowej, dostrzegł także rząd Rzeczypospolitej Polskiej, czego wyrazem jest polski podręcznik zarządzania ryzy-kiem7, opublikowany w 2004 roku. Służy on do przygotowania personelu administra-cji publicznej wszystkich szczebli do skutecznego wdrażania zunifikowanego syste-mu zarządzania ryzykiem w swoich organizacjach. Proces wyznaczania ryzyka przebiega w klasycznej czteroetapowej pętli, obejmującej: identyfikację ryzyka (roz-dział 5), analizę ryzyka (roz(roz-dział 6), ocenę punktową (roz(roz-dział 7) i hierarchizację ry-zyka (rozdział 8).
Wymagania te stanowią element strategii zrównoważonego i bezpiecznego rozwoju poszczególnych sektorów i jednostek administracji publicznej, pilotowanej przez Unię Europejską. Chodzi zwłaszcza o bezpieczne lokowanie wspólnotowych środków finansowych w poszczególnych krajach członkowskich. Muszą one wykazać się nie tylko formalną zdolnością ich absorpcji, lecz także zagwarantować efektywne i celo-we ich wykorzystanie, co w najwyższym stopniu wiąże się z racjonalnym zarządza-niem ryzykiem całego przedsięwzięcia (projektu finansowego). W ten sposób benefi-cjenci zostali zmuszeni do opanowania i wdrożenia nowoczesnych standardów oraz metod skutecznego zarządzania ryzykiem w sferze finansów publicznych. Warunkiem pozyskania unijnych środków finansowych jest między innymi wdrożenie zalecanego standardu zarządzania ryzykiem w zdecentralizowanym sektorze administracji pu-blicznej8 (rys. 2).
7 Zarządzanie ryzykiem w sektorze publicznym. Podręcznik wdrażania systemu zarządzania ryzykiem w administracji publicznej w Polsce. Ministerstwo Finansów RP. Wydawnictwo Bentley Jennison, Warszawa 2004.
8 Cennym uzupełnieniem tej lektury jest podręcznik Zarządzanie zintegrowanym ryzykiem przedsiębiorstwa w Polsce.
Kierunki narzędzia. S. Kasiewicz (red.). Oficyna Wolters Kluwer Business, Warszawa 2011.
Międzynarodowe standardy...
Przedstawione standardy nie wyczerpują bogatej problematyki formalizowania i kodyfikowania procedur tak atrakcyjnego ostatnio zarządzania ryzykiem. Przykładem mniej znanych standardów są narodowe produkty Japonii, Niemiec, Austrii, Kanady oraz inne branżowe wydawnictwa stosowane w różnych kręgach kulturowych, takie jak:
– BS-6079-3 Project Management. Guide to the management of business related proj-ect risk – Wielka Brytania 2000;
– CAN/CSA Q850 Risk Management. Guideline for Decisions-Makers – Kanada 1997;
– JIS Q 2001 Guidelines for principles and implementation of a risk management sys-tem – Japonia 2001;
– ONR 49000 Risikomanagement fur Organisationen und Systeme: Begriffe und Grundlagen – Austria 2004.
Na uwagę zasługują także szczegółowe metodyki zarządzania ryzykiem przeznaczone dla wybranych branż i sektorów. Mowa o:
– COBIT (Control Objectives for Information and related Technology) – opracowany przez towarzystwo ISACA (Information Systems Audit and Control Association) na po-trzeby specjalistycznej kontroli systemów informacyjnych;
– PMOBOK (Project Management Body of Knowledge) – opracowany przez amerykań-ski Project Management Institute (PMI) pod kątem badania ryzyka projektowego;
– PRINCE2 (Projects in a Control Environment) – uogólnienie popularnych metodyk kontrolowania informacji zarządczej w działalności projektowej w aspekcie zarządzania ryzykiem;
– Basel II – nowa umowa kapitałowa opublikowana przez Bazylejski Komitet Nadzoru Bankowego, obejmująca zbiór najlepszych praktyk rynkowych w zakresie zarządzania ry-zykiem finansowym (kredytowym, rynkowym i operacyjnym) w sektorze bankowym oraz utrzymywania bezpiecznego poziomu kapitałów przez banki9;
– Sarbanes-Oxley Act – amerykańska ustawa z 2002 roku dotycząca nadzoru właści-cielskiego, przeznaczona do rewizji systemu sprawozdawczości finansowej w celu zwięk-szenia jej dokładności i rzetelności10;
– KonTraG – niemiecka ustawa o kontroli i przejrzystości przepływu informacji w przed-siębiorstwie. Obowiązuje od 1998 roku i dotyczy spółek akcyjnych.
Oddzielnego omówienia wymaga rozwinięty i intensywnie eksploatowany zbiór bran-żowych standardów, metodyk, procedur oraz aplikacji komputerowych, funkcjonujący w sektorze bezpieczeństwa i higieny pracy zarówno w ujęciu krajowym, jak i w wymia-rze międzynarodowym, głównie europejskim. Perfekcyjne zarządzanie ryzykiem, będące jedynym skutecznym instrumentem kształtowania bezpieczeństwa w miejscu pracy, od-grywa kluczową rolę w życiu społeczno-gospodarczym wszystkich cywilizowanych kul-tur. Wynika to z nieskończonego spektrum zagrożeń zdrowia i życia, a także z innych
war-9 zapisy Basel II zostały przekształcone w prawo obowiązujące we wszystkich państwach Unii Europejskiej, zwane Capital Requirements Directive (CRD).
10 Nazwa ustawy pochodzi od nazwisk jej głównych autorów: senatora P. Sarbanesa i przedstawiciela Izby Reprezentantów M. Oxleya.
tości materialnych i niematerialnych generowanych przez pracę, nawet najlepiej zorgani-zowaną i oprzyrządowaną11.
W sferze bezpieczeństwa i higieny pracy obowiązują krajowe i międzynarodowe stan-dardy, metody i akty normatywne, które regulują problematykę analizowania i szaco-wania ryzyka zawodowego, a także zarządzania nim przez jednostki i zakłady pracy odpowiedzialne za bezpieczeństwo zatrudnionych osób oraz najbliższego otoczenia pracy i środowiska naturalnego. Standardy te można podzielić na grupy obejmujące na-stępujące kategorie aplikacji użytkowych:
1. Zaawansowane metody analizy ryzyka: HAZOP (Hazard and Operability Studies) – me-toda zagrożeń i zdolności operacyjnych, FMEA (Failure Mode and Effects Analysis) – meto-da przyczyn i skutków, W-I (What-If) – metometo-da: co jeśli?, PSA (Process Safety Analysis) – metoda bezpieczeństwa procesu, FTA (Fault Tree Analysis) – metoda drzewa błędu, ETA (Event Tree Analysis) – metoda drzewa zdarzeń, CCA (Cause and Consequence Analysis) – metoda przyczyn i skutków, HRA (Human Reliability Analysis) – metoda niezawodności ludzkiej, CHL (Check List) – metoda list kontrolnych i JSA (Job Safety Analysis) – metoda-analiza bezpieczeństwa pracy.
2. Uproszczone metody oceny ryzyka: standardowa ocena ryzyka zawodowego, ma-cierz ryzyka, graf ryzyka, metoda Risc Score, metoda pięciu kroków, wskaźnik ryzy-ka WPR.
3. Uregulowania normatywne: norma MIL STD 882, norma PN-IEC 60300-3-9, nor-ma BS 8800, nornor-ma PN-N-18002:2011 System zarządzania bezpieczeństwem i higie-ną pracy. Ogólne wytyczne do oceny ryzyka zawodowego, norma PN-N-18001:2004 System zarządzania bezpie czeństwem i higieną pracy. Wymagania.
Obecnie problematyka zarządzania ryzykiem została obligatoryjnie włączona do działań wszelkich organów i służb państwowych, a stanowisko Risk Manager, podob-nie jak inspektor BHP, jest coraz częściej gwarantowane etatem danej jednostki. Dotyczy to zarówno organów rządowych, jak i samorządowych oraz terenowych jednostek ad-ministracji zespolonej i niezespolonej. Ze względu na konieczność utrzymania naj-wyższych standardów bezpieczeństwa w podstawowych dziedzinach życia społeczno--gospodarczego, takich jak: bezpieczeństwo wewnętrzne; przemysły krytyczne, głównie paliwowo-energetyczne i chemiczno-przetwórcze; budownictwo, transport i komunikacja, a także przemysł spożywczy i farmaceutyczny. Dla tych sektorów zo-stały opracowane odpowiednie uregulowania formalnoprawne i normatywne, głównie zaś branżowe standardy zarządzania ryzykiem korporacyjnym (branżowym).
Wdrożenie koncepcji zintegrowanego zarządzania ryzykiem (Enterprise Risk Management – ERM) jest przedsięwzięciem, które ma na celu głównie zidentyfikowa-nie ryzyka całej organizacji, kontrolowazidentyfikowa-nie go i zarządzazidentyfikowa-nie nim. Menedżer ryzyka (Risk Manager – RM) powinien pełnić w organizacji funkcję doradczą i pomocniczą oraz
sty-11 zgodnie z obowiązującym stanem prawnym za bezpieczeństwo pracy w Polsce odpowiada przede wszystkim Państwowa Inspekcja Pracy /www.pip.gov.pl/. Natomiast Centralny Instytut Ochrony Pracy pełni rolę państwowego instytutu naukowo--badawczego /www.ciop.pl/. Efektem działań tego instytutu jest m.in. komputerowy system STER – oceny ryzyka zawodo-wego. Vide: Ocena ryzyka zawodozawodo-wego. Wykorzystanie systemu STER. CIOP PIB, Warszawa 2008.
Międzynarodowe standardy...
Rys. 3. Ogólny schemat standardu FERMA 2002
mulować nowoczesne standardy organizacji opartej na wiedzy know-how, powinien tak-że zapewniać poczucie bezpieczeństwa i ładu korporacyjnego (Corporate Governance).