ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
GENERAL ISSUES IN SCOPE OF RISK MANAGEMENT
1. ZARZĄDZANIE RYZYKIEM WEDŁUG NORMY ISO 31000
1.2. Zasady zarządzania ryzykiem
W pierwszym filarze wyodrębnionych zostało jedenaście zasad, których kompleksowe wdrożenie w całej organizacji i poszczególnych obszarach jej działalności wpływa na efektywność zarządzania ryzykiem. Po pierwsze – zarzą-dzanie ryzykiem powinno tworzyć oraz chronić wartość, która przekłada się na wyższą skuteczność osiągania celów. Pozwala to również stale doskonalić
22 Źródło: opracowanie własne na podstawie PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne.
Komunikacja i konsultacje Monitorowanie i przegląd
Ocena ryzyka
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
wadzoną działalność na każdym kierunku23. Po drugie – zarządzanie ryzykiem stanowi element wszystkich działań podejmowanych w organizacji – od naj-wyższego kierownictwa aż po najniższy szczebel wykonawczy. Stąd też nie mo-że być ono wydzielane jako proces niezależny, niezwiązany z całością funkcjo-nowania organizacji. Po trzecie – to także proces, który stanowi bardzo ważny element wspierający podejmowanie decyzji, ponieważ ujawnia cały przekrój dostępnych danych i informacji na potrzeby bieżących oraz przyszłych działań.
Po czwarte – ważną zasadą jest jednoznaczne odnoszenie się w zarządzaniu ryzykiem do niepewności: jej charakteru i sposobu uwzględnienia w podejmo-waniu konkretnych działań, co pozwala ją ograniczać24. Po piąte – w kontekście osiąganych celów i uzyskiwanych wyników, a także samej efektywności zarzą-dzania istotne jest, by zarządzanie ryzykiem było systematyczne, ustrukturyzo-wane oraz terminowe. Po szóste – niebagatelne znaczenie ma dostęp do naj-lepszych, potwierdzonych informacji i ich efektywne wykorzystanie. Zlekcewa-żenie tego elementu na którymkolwiek etapie procesu zarządzania ryzykiem może skutkować podjęciem niekorzystnych dla organizacji decyzji, czy to w wy-niku błędnego ustalenia kontekstu25, czy niewłaściwie przeprowadzonej identy-fikacji bądź analizy ryzyka26 i dalej – wątpliwie oszacowanej niepewności27. Po siódme – dopasowanie zarządzania ryzykiem wynika z jego elastyczności. Orga-nizacja musi być świadoma, że przeniesienie jego koncepcji wprost z normy do własnych uwarunkowań może nie zapewnić osiągnięcia zakładanego celu. Po-szczególne elementy i wytyczne należy właściwie wkomponować w strukturę organizacji i funkcjonujące w niej procesy. Po ósme – norma ISO 31000 nakazu-je pamiętać o czynniku ludzkim i kulturowym. Nieuwzględnienie specyficznych
23 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem – normy a regulacje w pra-wie miejscowym, w: D. Majchrzak (red.), Zarządzanie kryzysowe w wymiarze lokalnym. Organi-zacja, procedury, organy i instytucje, AON, Warszawa 2014, s. 200-201.
24 PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 27-29.
25 Ustalenie kontekstu – definiowanie zewnętrznych i wewnętrznych parametrów, które po-winny być uwzględniane podczas zarządzania ryzykiem, jak również podczas określania zakresu i kryteriów ryzyka dla polityki zarządzania ryzykiem. Źródło: ISO Guide 73:2009, definicja 3.3.1.
26 Analiza ryzyka – proces dążący do poznania charakteru ryzyka oraz określenia poziomu ryzy-ka. Źródło: ISO Guide 73:2009, definicja 3.6.1.
27 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem – normy a regulacje w pra-wie miejscowym, w: D. Majchrzak (red.), Zarządzanie kryzysowe w wymiarze lokalnym. Organi-zacja, procedury, organy i instytucje, AON, Warszawa 2014, s. 201.
wadzoną działalność na każdym kierunku23. Po drugie – zarządzanie ryzykiem stanowi element wszystkich działań podejmowanych w organizacji – od naj-wyższego kierownictwa aż po najniższy szczebel wykonawczy. Stąd też nie mo-że być ono wydzielane jako proces niezależny, niezwiązany z całością funkcjo-nowania organizacji. Po trzecie – to także proces, który stanowi bardzo ważny element wspierający podejmowanie decyzji, ponieważ ujawnia cały przekrój dostępnych danych i informacji na potrzeby bieżących oraz przyszłych działań.
Po czwarte – ważną zasadą jest jednoznaczne odnoszenie się w zarządzaniu ryzykiem do niepewności: jej charakteru i sposobu uwzględnienia w podejmo-waniu konkretnych działań, co pozwala ją ograniczać24. Po piąte – w kontekście osiąganych celów i uzyskiwanych wyników, a także samej efektywności zarzą-dzania istotne jest, by zarządzanie ryzykiem było systematyczne, ustrukturyzo-wane oraz terminowe. Po szóste – niebagatelne znaczenie ma dostęp do naj-lepszych, potwierdzonych informacji i ich efektywne wykorzystanie. Zlekcewa-żenie tego elementu na którymkolwiek etapie procesu zarządzania ryzykiem może skutkować podjęciem niekorzystnych dla organizacji decyzji, czy to w wy-niku błędnego ustalenia kontekstu25, czy niewłaściwie przeprowadzonej identy-fikacji bądź analizy ryzyka26 i dalej – wątpliwie oszacowanej niepewności27. Po siódme – dopasowanie zarządzania ryzykiem wynika z jego elastyczności. Orga-nizacja musi być świadoma, że przeniesienie jego koncepcji wprost z normy do własnych uwarunkowań może nie zapewnić osiągnięcia zakładanego celu. Po-szczególne elementy i wytyczne należy właściwie wkomponować w strukturę organizacji i funkcjonujące w niej procesy. Po ósme – norma ISO 31000 nakazu-je pamiętać o czynniku ludzkim i kulturowym. Nieuwzględnienie specyficznych
23 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem – normy a regulacje w pra-wie miejscowym, w: D. Majchrzak (red.), Zarządzanie kryzysowe w wymiarze lokalnym. Organi-zacja, procedury, organy i instytucje, AON, Warszawa 2014, s. 200-201.
24 PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 27-29.
25 Ustalenie kontekstu – definiowanie zewnętrznych i wewnętrznych parametrów, które po-winny być uwzględniane podczas zarządzania ryzykiem, jak również podczas określania zakresu i kryteriów ryzyka dla polityki zarządzania ryzykiem. Źródło: ISO Guide 73:2009, definicja 3.3.1.
26 Analiza ryzyka – proces dążący do poznania charakteru ryzyka oraz określenia poziomu ryzy-ka. Źródło: ISO Guide 73:2009, definicja 3.6.1.
27 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem – normy a regulacje w pra-wie miejscowym, w: D. Majchrzak (red.), Zarządzanie kryzysowe w wymiarze lokalnym. Organi-zacja, procedury, organy i instytucje, AON, Warszawa 2014, s. 201.
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
zachowań ludzkich czy lokalnych zwyczajów może stanowić poważne ograni-czenie dla procesu zarządzania ryzykiem. Po dziewiąte – bardzo ważnym ele-mentem zarządzania ryzykiem jest umożliwienie jego identyfikacji w dowolnym momencie przez każdego z pracowników – wskazanego jako właściciel ryzyka28, ponieważ poszczególni decydenci mogą nie być świadomi niektórych ryzyk wy-stępujących w organizacji. Zwiększa to skuteczność podejmowanych działań, a tym samym jakość funkcjonowania całej organizacji29. Po dziesiąte – zarzą-dzanie ryzykiem powinno być przejrzyste i całościowe. Po jedenaste – w normie podkreśla się znaczenie wdrażania strategii doskonalenia dojrzałości zarządza-nia ryzykiem, przy czym istotnym elementem jest zespolenie tego procesu z pozostałymi aspektami zarządzania organizacją.
1.3. Struktura ramowa zarządzania ryzykiem30
Ramy zarządzania ryzykiem określone zostały poprzez pięć atrybutów31: 1. pełną akceptację odpowiedzialności za własne ryzyko oraz doskonalenie
wszechstronnej kontroli i strategii postępowania z ryzykiem,
2. zwiększenie nacisku na doskonalenie zarządzania ryzykiem – konieczne jest opracowanie zestawu celów i przedsięwzięć, a następnie analizo-wanie i doskonalenie procesów odpowiednio do potrzeb (oznacza to zobowiązanie do prowadzenia przeglądów i modyfikowania systemu, zasobów i zdolności zapewniających permanentne doskonalenie),
28 Właściciel ryzyka – osoba lub jednostka rozliczana z zarządzania ryzykiem i uprawniona do tego zarządzania. Źródło: ISO Guide 73:2009, definicja 3.5.1.5. Patrz szerzej: D. Wróblewski, (red. nauk.), Przegląd wybranych dokumentów normatywnych z zakresu zarządzania kryzyso-wego i zarządzania ryzykiem wraz z leksykonem, CNBOP-PIB, Józefów 2014, s. 181-182.
29 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem – normy a regulacje w pra-wie miejscowym, w: D. Majchrzak (red.), Zarządzanie kryzysowe w wymiarze lokalnym. Organi-zacja, procedury, organy i instytucje, AON, Warszawa 2014, s. 201.
30 Struktura ramowa zarządzania ryzykiem – zestaw elementów zapewniających podstawy i ustalenia organizacyjne w zakresie projektowania, wdrażania, monitorowania, dokonywania przeglądów i ciągłego doskonalenia zarządzania ryzykiem w całej organizacji. Źródło: ISO Guide 73:2009 Risk Management. Vocabulary, definicja 2.1.1.
31 AS/NZS ISO 31000:2009 Risk Management – Principles and Guidelines, Australian Govern-ment, August 2010, Fact Sheet, s. 2 [dok. elektr.],
http://www.finance.gov.au/sites/default/files/COV_216905_Risk_Management_Fact_Sheet_F A3_23082010_0.pdf [dostęp 11 czerwca 2013].
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
3. identyfikację każdej osoby w zakresie odpowiedzialności za zarządzanie ryzykiem – wszystkie powinny być odpowiednio przygotowane, dyspo-nować odpowiednimi zasobami, a także prowadzić i doskonalić kontrolę oraz monitorowanie ryzyka i zdolności skutecznej komunikacji z odpo-wiednimi służbami,
4. podejmowanie decyzji – na każdym szczeblu w procesie tym musi być uwzględniane ryzyko, z zastosowaniem odpowiednich procesów zarzą-dzania ryzykiem,
5. okresowe raporty dla komórek, zespołów bądź referatów odpowiedzial-nych za nadzór oraz kontrolę zarządzania ryzykiem – powinny zawierać opisy stosowanych procesów, być kompletne i sporządzane terminowo.
Norma akcentuje potrzebę doskonalenia ram32, które pomogą zintegrować zarządzanie ryzykiem z zarządzaniem organizacją. Dlatego zachęca się do za-pewnienia bliższych powiązań ram zarządzania ryzykiem z celami organizacji.
Ramy zarządzania ryzykiem powinny być osadzone na strategii33 ogólnej oraz polityce34 prowadzonych działań i praktyce. Powinny uwzględniać związki ze-wnętrzne i weze-wnętrzne, zakresy odpowiedzialności, zasoby, procesy i prowadzone działania.
Struktura ramowa, którą nakreśla ISO, umożliwia skuteczne zarządzanie ry-zykiem poprzez zaangażowanie w ten proces całej organizacji oraz właściwe zaplanowanie sposobu zarządzania przez nią informacją. Norma nie narzuca własnej struktury, koncentruje się raczej na dostosowaniu struktury ramowej do struktury organizacji – modyfikuje ją i dostosowuje do potrzeb procesu po-przez wskazanie jej nowej funkcji. Relacje pomiędzy jej elementami ukazuje rys. 2.
32 Tamże.
33 Strategia – oznacza logicznie skonstruowany plan lub metodę osiągnięcia celów, szczególnie w długim okresie. Źródło: PN-ISO 9004:2009 Zarządzanie ukierunkowane na trwały sukces or-ganizacji. Podejście wykorzystujące zarządzanie jakością, s. 17.
34 Polityka – ogół zamierzeń i ukierunkowanie organizacji odnoszące się do całokształtu lub określonego aspektu działalności organizacji. Na podstawie: PN-ISO 9000:2006 System zarzą-dzania jakością. Podstawy i terminologia, s. 27; Polityka zarzązarzą-dzania ryzykiem – deklaracja do-tycząca ogółu zamierzeń i ukierunkowania organizacji odnoszących się do zarządzania ryzykiem.
Źródło: ISO Guide 73:2009 Risk Management. Vocabulary, definicja 2.1.2.
3. identyfikację każdej osoby w zakresie odpowiedzialności za zarządzanie ryzykiem – wszystkie powinny być odpowiednio przygotowane, dyspo-nować odpowiednimi zasobami, a także prowadzić i doskonalić kontrolę oraz monitorowanie ryzyka i zdolności skutecznej komunikacji z odpo-wiednimi służbami,
4. podejmowanie decyzji – na każdym szczeblu w procesie tym musi być uwzględniane ryzyko, z zastosowaniem odpowiednich procesów zarzą-dzania ryzykiem,
5. okresowe raporty dla komórek, zespołów bądź referatów odpowiedzial-nych za nadzór oraz kontrolę zarządzania ryzykiem – powinny zawierać opisy stosowanych procesów, być kompletne i sporządzane terminowo.
Norma akcentuje potrzebę doskonalenia ram32, które pomogą zintegrować zarządzanie ryzykiem z zarządzaniem organizacją. Dlatego zachęca się do za-pewnienia bliższych powiązań ram zarządzania ryzykiem z celami organizacji.
Ramy zarządzania ryzykiem powinny być osadzone na strategii33 ogólnej oraz polityce34 prowadzonych działań i praktyce. Powinny uwzględniać związki ze-wnętrzne i weze-wnętrzne, zakresy odpowiedzialności, zasoby, procesy i prowadzone działania.
Struktura ramowa, którą nakreśla ISO, umożliwia skuteczne zarządzanie ry-zykiem poprzez zaangażowanie w ten proces całej organizacji oraz właściwe zaplanowanie sposobu zarządzania przez nią informacją. Norma nie narzuca własnej struktury, koncentruje się raczej na dostosowaniu struktury ramowej do struktury organizacji – modyfikuje ją i dostosowuje do potrzeb procesu po-przez wskazanie jej nowej funkcji. Relacje pomiędzy jej elementami ukazuje rys. 2.
32 Tamże.
33 Strategia – oznacza logicznie skonstruowany plan lub metodę osiągnięcia celów, szczególnie w długim okresie. Źródło: PN-ISO 9004:2009 Zarządzanie ukierunkowane na trwały sukces or-ganizacji. Podejście wykorzystujące zarządzanie jakością, s. 17.
34 Polityka – ogół zamierzeń i ukierunkowanie organizacji odnoszące się do całokształtu lub określonego aspektu działalności organizacji. Na podstawie: PN-ISO 9000:2006 System zarzą-dzania jakością. Podstawy i terminologia, s. 27; Polityka zarzązarzą-dzania ryzykiem – deklaracja do-tycząca ogółu zamierzeń i ukierunkowania organizacji odnoszących się do zarządzania ryzykiem.
Źródło: ISO Guide 73:2009 Risk Management. Vocabulary, definicja 2.1.2.
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
Rys. 2. Relacje pomiędzy elementami struktury ramowej35
Przed rozpoczęciem projektowania struktury ramowej dla organizacji należy zagwarantować włączenie się w proces zarządzania ryzykiem jej kierownictwa.
Jak wskazuje rys. 2, jest to etap konieczny i mający wpływ na działania podej-mowane w dalszym ciągu procesu. Pod pojęciem upoważnienia i zaangażowa-nia rozumie się mechanizm zapewzaangażowa-niający silny i trwały udział kierownictwa w procesie zarządzania ryzykiem36. Funkcja ta powinna być realizowana przede
35 Źródło: opracowanie własne na podstawie PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne.
36 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 31.
Upoważnienie i zaangażowanie
Projektowanie struktury ramowej zarządzania ryzykiem Zrozumienie organizacji i jej kontekstu Ustanowienie polityki zarządzania ryzykiem
Rozliczalność
Integracja z procesami w organizacji Zasoby
Ustalenie mechanizmów komunikacji wewnętrznej i raportowania Ustalenie mechanizmów komunikacji zewnętrznej i raportowania
Ciągłe doskonalenie
struktury ramowej Wdrażanie zarządzania ryzykiem
Wdrażanie struktury ramowej
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
wszystkim na poziomie strategicznego planowania polityki organizacji i zawie-rać się między innymi w procesach:
1. definiowania i zatwierdzania polityki zarządzania ryzykiem,
2. zapewnienia spójności kultury organizacyjnej i polityki zarządzania ryzy-kiem,
3. określania wskaźników wyników zarządzania ryzykiem, które są spójne ze wskaźnikami rozwoju organizacji37,
4. dostosowania celów zarządzania ryzykiem do celów i strategii organiza-cji,
5. zapewnienia zgodności zarządzania ryzykiem z przepisami prawa i wy-maganiami regulacyjnymi,
6. zagwarantowania zasobów niezbędnych do zarządzania ryzykiem, 7. ciągłej weryfikacji, czy struktura ramowa zarządzania ryzykiem
pozosta-je właściwa38.
Włączenie się kierownictwa organizacji w proces projektowania struktury jest warunkiem koniecznym przystąpienia do programowania struktury ramowej – ale nie jedynym. Kolejny warunek, który powinien zostać spełniony, to opis środowiska organizacji (analiza kontekstu zewnętrznego) oraz jej wnętrza (tekst wewnętrzny) – w normie określany jako zrozumienie organizacji i jej kon-tekstu39. Dokonując analizy środowiska zewnętrznego organizacji, należy wziąć pod uwagę między innymi otoczenie społeczne i kulturowe, polityczne i praw-ne, a także czynniki determinujące jej cele. Podczas analizy uwarunkowań we-wnętrznych organizacji należy posiłkować się wiedzą z zakresu: ładu
37 Jako główne wskaźniki rozwoju organizacji przyjmuje się najczęściej:
wzrost ilościowy, mierzony wielkością zatrudnienia,
udział produktów firmy w rynku lokalnym, regionalnym czy globalnym,
wzrost obrotu kapitałem, zysków, rentowności,
zaawansowanie technologiczne i nowoczesność wyrobów,
zróżnicowanie produkcji,
złożoność struktury organizacyjnej,
złożoność problemów rozwiązywanych w organizacji.
Źródło: A. Peszko, Podstawy zarządzania organizacjami, Skrypty uczelniane AGH nr 1485, Wy-dawnictwa AGH, Kraków 1997, s. 96.
38 PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.
39 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.
wszystkim na poziomie strategicznego planowania polityki organizacji i zawie-rać się między innymi w procesach:
1. definiowania i zatwierdzania polityki zarządzania ryzykiem,
2. zapewnienia spójności kultury organizacyjnej i polityki zarządzania ryzy-kiem,
3. określania wskaźników wyników zarządzania ryzykiem, które są spójne ze wskaźnikami rozwoju organizacji37,
4. dostosowania celów zarządzania ryzykiem do celów i strategii organiza-cji,
5. zapewnienia zgodności zarządzania ryzykiem z przepisami prawa i wy-maganiami regulacyjnymi,
6. zagwarantowania zasobów niezbędnych do zarządzania ryzykiem, 7. ciągłej weryfikacji, czy struktura ramowa zarządzania ryzykiem
pozosta-je właściwa38.
Włączenie się kierownictwa organizacji w proces projektowania struktury jest warunkiem koniecznym przystąpienia do programowania struktury ramowej – ale nie jedynym. Kolejny warunek, który powinien zostać spełniony, to opis środowiska organizacji (analiza kontekstu zewnętrznego) oraz jej wnętrza (tekst wewnętrzny) – w normie określany jako zrozumienie organizacji i jej kon-tekstu39. Dokonując analizy środowiska zewnętrznego organizacji, należy wziąć pod uwagę między innymi otoczenie społeczne i kulturowe, polityczne i praw-ne, a także czynniki determinujące jej cele. Podczas analizy uwarunkowań we-wnętrznych organizacji należy posiłkować się wiedzą z zakresu: ładu
37 Jako główne wskaźniki rozwoju organizacji przyjmuje się najczęściej:
wzrost ilościowy, mierzony wielkością zatrudnienia,
udział produktów firmy w rynku lokalnym, regionalnym czy globalnym,
wzrost obrotu kapitałem, zysków, rentowności,
zaawansowanie technologiczne i nowoczesność wyrobów,
zróżnicowanie produkcji,
złożoność struktury organizacyjnej,
złożoność problemów rozwiązywanych w organizacji.
Źródło: A. Peszko, Podstawy zarządzania organizacjami, Skrypty uczelniane AGH nr 1485, Wy-dawnictwa AGH, Kraków 1997, s. 96.
38 PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.
39 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
cyjnego40 i struktury organizacyjnej, celów i strategii ich osiągnięcia, sił i środ-ków dostępnych w organizacji, systemów informacyjnych, sposobów zarządza-nia informacją i podejmowazarządza-nia decyzji, a także norm, standardów, wytycznych i pragmatyk działania organizacji41.
Elementem ustalania zasad dotyczących struktury zarządzania ryzykiem jest ustanowienie polityki zarządzania ryzykiem. Polityka ta jest swego rodzaju de-klaracją, która powinna uzasadniać, dlaczego organizacja podejmuje się kontro-lowania swojego ryzyka i zarządzania nim oraz wskazywać zależności pomiędzy misją organizacji i jej celami a samym procesem. Ponadto norma wskazuje, że należy zapewnić dostępność zasobów niezbędnych do ograniczania skutków ryzyka, a także określić zasady przygotowywania okresowych przeglądów poli-tyki (włącznie z propozycjami jej doskonalenia) oraz raportowania42.
Powyższe zasady powinny zostać uzupełnione poprzez wprowadzenie w organizacji odpowiedzialności za poszczególne ryzyka poprzez przypisanie jej konkretnym członkom instytucji43, uwzględnienie przyjętych norm we wszyst-kich procesach i procedurach organizacji oraz ustalenie właściwych sposobów komunikacji wewnątrz organizacji i komunikowania się jej ze środowiskiem zewnętrznym.
Aby można było zrealizować zaprezentowane powyżej procesy, organizacja musi zapewnić zasoby adekwatne do ich potrzeb. Przygotowując niezbędne środki, powinno się zwrócić uwagę na personel i jego doświadczenie, metody i narzędzia zarządzania już obowiązujące w organizacji oraz systemy szkolenia i zarządzania wiedzą. Należy pamiętać, że zasoby powinny być zagwarantowane dla każdego etapu procesu zarządzania ryzykiem44.
40 Ład organizacyjny – system, według którego organizacja podejmuje i wdraża decyzje służące realizacji jej celów. Źródło: PN-ISO 26000:2012 Wytyczne dotyczące społecznej odpowiedzialno-ści.
41 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.
42 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 35.
43 Osoby odpowiedzialne zarówno za wdrożenie i utrzymanie struktury ramowej, jak i proces zarządzania ryzykiem.
44 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 37.
CZĘŚĆ I
ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM
Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003
Kolejnym krokiem po zaprojektowaniu struktury jest jej wdrożenie oraz cią-głe monitorowanie45 i przegląd46. Podczas wdrażania struktury ramowej ISO zaleca między innymi:
1. określenie harmonogramu i strategii wdrażania struktury ramowej, 2. respektowanie wymagań formalnych (w tym prawnych),
3. organizowanie szkoleń i kampanii informacyjnych,
4. stworzenie mechanizmów gwarantujących skuteczne informowanie otoczenia o adekwatności struktury ramowej.
Monitorowanie opiera się na weryfikacji wyników zarządzania ryzykiem po-przez odniesienie do określonych w tym celu wskaźników, analizie sposobu realizacji planu zarządzaniem ryzykiem oraz adekwatności struktury ramowej, planu i polityki do wewnętrznego i zewnętrznego kontekstu organizacji. To wła-śnie monitorowanie umożliwia ciągłe doskonalenie kultury zarządzania ryzy-kiem47.