Zasady zarządzania ryzykiem - ZARZĄDZANIE RYZYKIEM WEDŁUG NORMY ISO 31000

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

GENERAL ISSUES IN SCOPE OF RISK MANAGEMENT

1. ZARZĄDZANIE RYZYKIEM WEDŁUG NORMY ISO 31000

1.2. Zasady zarządzania ryzykiem

W pierwszym filarze wyodrębnionych zostało jedenaście zasad, których kompleksowe wdrożenie w całej organizacji i poszczególnych obszarach jej działalności wpływa na efektywność zarządzania ryzykiem. Po pierwsze – zarzą-dzanie ryzykiem powinno tworzyć oraz chronić wartość, która przekłada się na wyższą skuteczność osiągania celów. Pozwala to również stale doskonalić

22 Źródło: opracowanie własne na podstawie PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne.

Komunikacja i konsultacje Monitorowanie i przegląd

Ocena ryzyka

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

wadzoną działalność na każdym kierunku²³. Po drugie – zarządzanie ryzykiem stanowi element wszystkich działań podejmowanych w organizacji – od naj-wyższego kierownictwa aż po najniższy szczebel wykonawczy. Stąd też nie mo-że być ono wydzielane jako proces niezależny, niezwiązany z całością funkcjo-nowania organizacji. Po trzecie – to także proces, który stanowi bardzo ważny element wspierający podejmowanie decyzji, ponieważ ujawnia cały przekrój dostępnych danych i informacji na potrzeby bieżących oraz przyszłych działań.

Po czwarte – ważną zasadą jest jednoznaczne odnoszenie się w zarządzaniu ryzykiem do niepewności: jej charakteru i sposobu uwzględnienia w podejmo-waniu konkretnych działań, co pozwala ją ograniczać²⁴. Po piąte – w kontekście osiąganych celów i uzyskiwanych wyników, a także samej efektywności zarzą-dzania istotne jest, by zarządzanie ryzykiem było systematyczne, ustrukturyzo-wane oraz terminowe. Po szóste – niebagatelne znaczenie ma dostęp do naj-lepszych, potwierdzonych informacji i ich efektywne wykorzystanie. Zlekcewa-żenie tego elementu na którymkolwiek etapie procesu zarządzania ryzykiem może skutkować podjęciem niekorzystnych dla organizacji decyzji, czy to w wy-niku błędnego ustalenia kontekstu²⁵, czy niewłaściwie przeprowadzonej identy-fikacji bądź analizy ryzyka²⁶ i dalej – wątpliwie oszacowanej niepewności²⁷. Po siódme – dopasowanie zarządzania ryzykiem wynika z jego elastyczności. Orga-nizacja musi być świadoma, że przeniesienie jego koncepcji wprost z normy do własnych uwarunkowań może nie zapewnić osiągnięcia zakładanego celu. Po-szczególne elementy i wytyczne należy właściwie wkomponować w strukturę organizacji i funkcjonujące w niej procesy. Po ósme – norma ISO 31000 nakazu-je pamiętać o czynniku ludzkim i kulturowym. Nieuwzględnienie specyficznych

23 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem – normy a regulacje w pra-wie miejscowym, w: D. Majchrzak (red.), Zarządzanie kryzysowe w wymiarze lokalnym. Organi-zacja, procedury, organy i instytucje, AON, Warszawa 2014, s. 200-201.

24 PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 27-29.

25 Ustalenie kontekstu – definiowanie zewnętrznych i wewnętrznych parametrów, które po-winny być uwzględniane podczas zarządzania ryzykiem, jak również podczas określania zakresu i kryteriów ryzyka dla polityki zarządzania ryzykiem. Źródło: ISO Guide 73:2009, definicja 3.3.1.

26 Analiza ryzyka – proces dążący do poznania charakteru ryzyka oraz określenia poziomu ryzy-ka. Źródło: ISO Guide 73:2009, definicja 3.6.1.

27 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem – normy a regulacje w pra-wie miejscowym, w: D. Majchrzak (red.), Zarządzanie kryzysowe w wymiarze lokalnym. Organi-zacja, procedury, organy i instytucje, AON, Warszawa 2014, s. 201.

24 PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 27-29.

26 Analiza ryzyka – proces dążący do poznania charakteru ryzyka oraz określenia poziomu ryzy-ka. Źródło: ISO Guide 73:2009, definicja 3.6.1.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

zachowań ludzkich czy lokalnych zwyczajów może stanowić poważne ograni-czenie dla procesu zarządzania ryzykiem. Po dziewiąte – bardzo ważnym ele-mentem zarządzania ryzykiem jest umożliwienie jego identyfikacji w dowolnym momencie przez każdego z pracowników – wskazanego jako właściciel ryzyka²⁸, ponieważ poszczególni decydenci mogą nie być świadomi niektórych ryzyk wy-stępujących w organizacji. Zwiększa to skuteczność podejmowanych działań, a tym samym jakość funkcjonowania całej organizacji²⁹. Po dziesiąte – zarzą-dzanie ryzykiem powinno być przejrzyste i całościowe. Po jedenaste – w normie podkreśla się znaczenie wdrażania strategii doskonalenia dojrzałości zarządza-nia ryzykiem, przy czym istotnym elementem jest zespolenie tego procesu z pozostałymi aspektami zarządzania organizacją.

1.3. Struktura ramowa zarządzania ryzykiem³⁰

Ramy zarządzania ryzykiem określone zostały poprzez pięć atrybutów³¹: 1. pełną akceptację odpowiedzialności za własne ryzyko oraz doskonalenie

wszechstronnej kontroli i strategii postępowania z ryzykiem,

2. zwiększenie nacisku na doskonalenie zarządzania ryzykiem – konieczne jest opracowanie zestawu celów i przedsięwzięć, a następnie analizo-wanie i doskonalenie procesów odpowiednio do potrzeb (oznacza to zobowiązanie do prowadzenia przeglądów i modyfikowania systemu, zasobów i zdolności zapewniających permanentne doskonalenie),

28 Właściciel ryzyka – osoba lub jednostka rozliczana z zarządzania ryzykiem i uprawniona do tego zarządzania. Źródło: ISO Guide 73:2009, definicja 3.5.1.5. Patrz szerzej: D. Wróblewski, (red. nauk.), Przegląd wybranych dokumentów normatywnych z zakresu zarządzania kryzyso-wego i zarządzania ryzykiem wraz z leksykonem, CNBOP-PIB, Józefów 2014, s. 181-182.

29 D. Wróblewski, B. Połeć, Teoria i praktyka zarządzania ryzykiem – normy a regulacje w pra-wie miejscowym, w: D. Majchrzak (red.), Zarządzanie kryzysowe w wymiarze lokalnym. Organi-zacja, procedury, organy i instytucje, AON, Warszawa 2014, s. 201.

30 Struktura ramowa zarządzania ryzykiem – zestaw elementów zapewniających podstawy i ustalenia organizacyjne w zakresie projektowania, wdrażania, monitorowania, dokonywania przeglądów i ciągłego doskonalenia zarządzania ryzykiem w całej organizacji. Źródło: ISO Guide 73:2009 Risk Management. Vocabulary, definicja 2.1.1.

31 AS/NZS ISO 31000:2009 Risk Management – Principles and Guidelines, Australian Govern-ment, August 2010, Fact Sheet, s. 2 [dok. elektr.],

http://www.finance.gov.au/sites/default/files/COV_216905_Risk_Management_Fact_Sheet_F A3_23082010_0.pdf [dostęp 11 czerwca 2013].

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

3. identyfikację każdej osoby w zakresie odpowiedzialności za zarządzanie ryzykiem – wszystkie powinny być odpowiednio przygotowane, dyspo-nować odpowiednimi zasobami, a także prowadzić i doskonalić kontrolę oraz monitorowanie ryzyka i zdolności skutecznej komunikacji z odpo-wiednimi służbami,

4. podejmowanie decyzji – na każdym szczeblu w procesie tym musi być uwzględniane ryzyko, z zastosowaniem odpowiednich procesów zarzą-dzania ryzykiem,

5. okresowe raporty dla komórek, zespołów bądź referatów odpowiedzial-nych za nadzór oraz kontrolę zarządzania ryzykiem – powinny zawierać opisy stosowanych procesów, być kompletne i sporządzane terminowo.

Norma akcentuje potrzebę doskonalenia ram³², które pomogą zintegrować zarządzanie ryzykiem z zarządzaniem organizacją. Dlatego zachęca się do za-pewnienia bliższych powiązań ram zarządzania ryzykiem z celami organizacji.

Ramy zarządzania ryzykiem powinny być osadzone na strategii³³ ogólnej oraz polityce³⁴ prowadzonych działań i praktyce. Powinny uwzględniać związki ze-wnętrzne i weze-wnętrzne, zakresy odpowiedzialności, zasoby, procesy i prowadzone działania.

Struktura ramowa, którą nakreśla ISO, umożliwia skuteczne zarządzanie ry-zykiem poprzez zaangażowanie w ten proces całej organizacji oraz właściwe zaplanowanie sposobu zarządzania przez nią informacją. Norma nie narzuca własnej struktury, koncentruje się raczej na dostosowaniu struktury ramowej do struktury organizacji – modyfikuje ją i dostosowuje do potrzeb procesu po-przez wskazanie jej nowej funkcji. Relacje pomiędzy jej elementami ukazuje rys. 2.

32 Tamże.

33 Strategia – oznacza logicznie skonstruowany plan lub metodę osiągnięcia celów, szczególnie w długim okresie. Źródło: PN-ISO 9004:2009 Zarządzanie ukierunkowane na trwały sukces or-ganizacji. Podejście wykorzystujące zarządzanie jakością, s. 17.

34 Polityka – ogół zamierzeń i ukierunkowanie organizacji odnoszące się do całokształtu lub określonego aspektu działalności organizacji. Na podstawie: PN-ISO 9000:2006 System zarzą-dzania jakością. Podstawy i terminologia, s. 27; Polityka zarzązarzą-dzania ryzykiem – deklaracja do-tycząca ogółu zamierzeń i ukierunkowania organizacji odnoszących się do zarządzania ryzykiem.

Źródło: ISO Guide 73:2009 Risk Management. Vocabulary, definicja 2.1.2.

4. podejmowanie decyzji – na każdym szczeblu w procesie tym musi być uwzględniane ryzyko, z zastosowaniem odpowiednich procesów zarzą-dzania ryzykiem,

32 Tamże.

Źródło: ISO Guide 73:2009 Risk Management. Vocabulary, definicja 2.1.2.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

Rys. 2. Relacje pomiędzy elementami struktury ramowej³⁵

Przed rozpoczęciem projektowania struktury ramowej dla organizacji należy zagwarantować włączenie się w proces zarządzania ryzykiem jej kierownictwa.

Jak wskazuje rys. 2, jest to etap konieczny i mający wpływ na działania podej-mowane w dalszym ciągu procesu. Pod pojęciem upoważnienia i zaangażowa-nia rozumie się mechanizm zapewzaangażowa-niający silny i trwały udział kierownictwa w procesie zarządzania ryzykiem³⁶. Funkcja ta powinna być realizowana przede

35 Źródło: opracowanie własne na podstawie PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne.

36 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 31.

Upoważnienie i zaangażowanie

Projektowanie struktury ramowej zarządzania ryzykiem Zrozumienie organizacji i jej kontekstu Ustanowienie polityki zarządzania ryzykiem

Rozliczalność

Integracja z procesami w organizacji Zasoby

Ustalenie mechanizmów komunikacji wewnętrznej i raportowania Ustalenie mechanizmów komunikacji zewnętrznej i raportowania

Ciągłe doskonalenie

struktury ramowej Wdrażanie zarządzania ryzykiem

Wdrażanie struktury ramowej

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

wszystkim na poziomie strategicznego planowania polityki organizacji i zawie-rać się między innymi w procesach:

1. definiowania i zatwierdzania polityki zarządzania ryzykiem,

2. zapewnienia spójności kultury organizacyjnej i polityki zarządzania ryzy-kiem,

3. określania wskaźników wyników zarządzania ryzykiem, które są spójne ze wskaźnikami rozwoju organizacji³⁷,

4. dostosowania celów zarządzania ryzykiem do celów i strategii organiza-cji,

5. zapewnienia zgodności zarządzania ryzykiem z przepisami prawa i wy-maganiami regulacyjnymi,

6. zagwarantowania zasobów niezbędnych do zarządzania ryzykiem, 7. ciągłej weryfikacji, czy struktura ramowa zarządzania ryzykiem

pozosta-je właściwa³⁸.

Włączenie się kierownictwa organizacji w proces projektowania struktury jest warunkiem koniecznym przystąpienia do programowania struktury ramowej – ale nie jedynym. Kolejny warunek, który powinien zostać spełniony, to opis środowiska organizacji (analiza kontekstu zewnętrznego) oraz jej wnętrza (tekst wewnętrzny) – w normie określany jako zrozumienie organizacji i jej kon-tekstu³⁹. Dokonując analizy środowiska zewnętrznego organizacji, należy wziąć pod uwagę między innymi otoczenie społeczne i kulturowe, polityczne i praw-ne, a także czynniki determinujące jej cele. Podczas analizy uwarunkowań we-wnętrznych organizacji należy posiłkować się wiedzą z zakresu: ładu

37 Jako główne wskaźniki rozwoju organizacji przyjmuje się najczęściej:

 wzrost ilościowy, mierzony wielkością zatrudnienia,

 udział produktów firmy w rynku lokalnym, regionalnym czy globalnym,

 wzrost obrotu kapitałem, zysków, rentowności,

 zaawansowanie technologiczne i nowoczesność wyrobów,

 zróżnicowanie produkcji,

 złożoność struktury organizacyjnej,

 złożoność problemów rozwiązywanych w organizacji.

Źródło: A. Peszko, Podstawy zarządzania organizacjami, Skrypty uczelniane AGH nr 1485, Wy-dawnictwa AGH, Kraków 1997, s. 96.

38 PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.

39 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.

wszystkim na poziomie strategicznego planowania polityki organizacji i zawie-rać się między innymi w procesach:

1. definiowania i zatwierdzania polityki zarządzania ryzykiem,

2. zapewnienia spójności kultury organizacyjnej i polityki zarządzania ryzy-kiem,

3. określania wskaźników wyników zarządzania ryzykiem, które są spójne ze wskaźnikami rozwoju organizacji³⁷,

4. dostosowania celów zarządzania ryzykiem do celów i strategii organiza-cji,

5. zapewnienia zgodności zarządzania ryzykiem z przepisami prawa i wy-maganiami regulacyjnymi,

6. zagwarantowania zasobów niezbędnych do zarządzania ryzykiem, 7. ciągłej weryfikacji, czy struktura ramowa zarządzania ryzykiem

pozosta-je właściwa³⁸.

37 Jako główne wskaźniki rozwoju organizacji przyjmuje się najczęściej:

 wzrost ilościowy, mierzony wielkością zatrudnienia,

 udział produktów firmy w rynku lokalnym, regionalnym czy globalnym,

 wzrost obrotu kapitałem, zysków, rentowności,

 zaawansowanie technologiczne i nowoczesność wyrobów,

 zróżnicowanie produkcji,

 złożoność struktury organizacyjnej,

 złożoność problemów rozwiązywanych w organizacji.

Źródło: A. Peszko, Podstawy zarządzania organizacjami, Skrypty uczelniane AGH nr 1485, Wy-dawnictwa AGH, Kraków 1997, s. 96.

38 PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.

39 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

cyjnego⁴⁰ i struktury organizacyjnej, celów i strategii ich osiągnięcia, sił i środ-ków dostępnych w organizacji, systemów informacyjnych, sposobów zarządza-nia informacją i podejmowazarządza-nia decyzji, a także norm, standardów, wytycznych i pragmatyk działania organizacji⁴¹.

Elementem ustalania zasad dotyczących struktury zarządzania ryzykiem jest ustanowienie polityki zarządzania ryzykiem. Polityka ta jest swego rodzaju de-klaracją, która powinna uzasadniać, dlaczego organizacja podejmuje się kontro-lowania swojego ryzyka i zarządzania nim oraz wskazywać zależności pomiędzy misją organizacji i jej celami a samym procesem. Ponadto norma wskazuje, że należy zapewnić dostępność zasobów niezbędnych do ograniczania skutków ryzyka, a także określić zasady przygotowywania okresowych przeglądów poli-tyki (włącznie z propozycjami jej doskonalenia) oraz raportowania⁴².

Powyższe zasady powinny zostać uzupełnione poprzez wprowadzenie w organizacji odpowiedzialności za poszczególne ryzyka poprzez przypisanie jej konkretnym członkom instytucji⁴³, uwzględnienie przyjętych norm we wszyst-kich procesach i procedurach organizacji oraz ustalenie właściwych sposobów komunikacji wewnątrz organizacji i komunikowania się jej ze środowiskiem zewnętrznym.

Aby można było zrealizować zaprezentowane powyżej procesy, organizacja musi zapewnić zasoby adekwatne do ich potrzeb. Przygotowując niezbędne środki, powinno się zwrócić uwagę na personel i jego doświadczenie, metody i narzędzia zarządzania już obowiązujące w organizacji oraz systemy szkolenia i zarządzania wiedzą. Należy pamiętać, że zasoby powinny być zagwarantowane dla każdego etapu procesu zarządzania ryzykiem⁴⁴.

40 Ład organizacyjny – system, według którego organizacja podejmuje i wdraża decyzje służące realizacji jej celów. Źródło: PN-ISO 26000:2012 Wytyczne dotyczące społecznej odpowiedzialno-ści.

41 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 33.

42 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 35.

43 Osoby odpowiedzialne zarówno za wdrożenie i utrzymanie struktury ramowej, jak i proces zarządzania ryzykiem.

44 Patrz szerzej: PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne, s. 37.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

Kolejnym krokiem po zaprojektowaniu struktury jest jej wdrożenie oraz cią-głe monitorowanie⁴⁵ i przegląd⁴⁶. Podczas wdrażania struktury ramowej ISO zaleca między innymi:

1. określenie harmonogramu i strategii wdrażania struktury ramowej, 2. respektowanie wymagań formalnych (w tym prawnych),

3. organizowanie szkoleń i kampanii informacyjnych,

4. stworzenie mechanizmów gwarantujących skuteczne informowanie otoczenia o adekwatności struktury ramowej.

Monitorowanie opiera się na weryfikacji wyników zarządzania ryzykiem po-przez odniesienie do określonych w tym celu wskaźników, analizie sposobu realizacji planu zarządzaniem ryzykiem oraz adekwatności struktury ramowej, planu i polityki do wewnętrznego i zewnętrznego kontekstu organizacji. To wła-śnie monitorowanie umożliwia ciągłe doskonalenie kultury zarządzania ryzy-kiem⁴⁷.

W dokumencie Zarządzanie ryzykiem (Stron 33-39)