W zakresie zarządzania ryzykiem nie ma znaczących polskich rozwiązań ale istnieje kilka obcych standardów utworzonych przez różnego rodzaju organizacje zajmujące się wymienioną problematyką.
Międzynarodowym standardem określającym podejście do procesu zarządzania ryzykiem jest norma ISO 31000:2009. Dokument ten zawiera ogólne zasady i wytyczne dotyczące zarządzania ryzykiem, które mogą być stosowane we wszystkich organizacjach ponieważ nie są one specyficzne dla konkretnej branży czy sektora. W związku z tym, że ISO 31000 nie promuje jednolitego modelu zarządzania ryzykiem, standard ten nie jest przeznaczony do celów certyfikacji. Służy on przede wszystkim do zharmonizowania i wsparcia innych norm ISO związanych z ujętymi w nich i opisanymi konkretnymi rodzajami zagrożeń.
Obecnie stosowaną normą jest opracowana przez Komitet Techniczny nr 6 ds. Systemów Zarządzania Polskiego Komitetu Normalizacyjnego norma PN-ISO 31000 „Zarządzanie ryzykiem - Zasady i wytyczne” oraz PKN–ISO GUIDE 73 „Zarządzanie ryzykiem - Terminologia”, będących polskimi odpowiednikami oryginalnych dokumentów anglojęzycznych.
Podstawą metodyczną opracowania normy ISO 31000 był australijsko-nowozelandzki standard AS/NZS 4360:2004 będący poprawioną wersją dokumentu opisującego proces zarządzania ryzykiem z 1999 r. AS/NZS 4360 opracowany został w 2004 roku wspólnie przez Joint Standards Australia i Standards New Zealand Committee OB-007. Komitety te zdecydowały wówczas, że za kolejne 5 lat, zamiast przeprowadzać rutynowe zmiany opracowanej przez siebie normy, będą promowały rozwój jednolitego, międzynarodowego standardu. Zaowocowało to opracowaniem w 2009 roku wspomnianego na wstępie dokumentu ISO 31000:2009.
Norma ISO 31000 opisuje systemowo-sytuacyjne podejście do zarządzania ryzykiem. Russell L. Ackoff określił mianem systemu „dowolny zestaw składników, między którymi zachodzą wzajemne stosunki i gdzie każdy składnik połączony jest z każdym innym bezpośrednio lub pośrednio[1]”. Istotą systemowego podejścia do zarządzania ryzykiem jest uświadomienie zarządowi przedsiębiorstwa, że wzajemne wpływy w firmie nie następują tylko jednokierunkowo. Przeciwnie, działanie, postrzeganie i myślenie wzajemnie się przeplatają a uczenie się organizacji następuje w procesie, który określany jest przez Marcina Bielskiego mianem sprzężenia zwrotnego[2]. David Kolb nazywa ten proces pętlą uczenia się a Kees van der Heijden uważa za potężną siłę napędową organizacji[3].
Według normy ISO 31000, zarządzanie ryzykiem jako element strategicznego zarządzania przedsiębiorstwem musi być poprzedzone silnym i trwałym zaangażowaniem zarządu przedsiębiorstwa oraz pozostałej kadry kierowniczej, odpowiedzialnej za wszystkie poziomy zarządzania. Zaangażowanie to stanowi swego rodzaju wejście w pętlę dodatniego sprzężenia zwrotnego, która obejmuje cały proces zarządzania ryzykiem
i przebiega przez wszystkie jego etapy. Na proces ten składają się: projektowanie struktury dla zarządzania ryzykiem, wdrażanie zarządzania ryzykiem, monitorowanie i przegląd istniejącej struktury oraz jej ciągłe doskonalenie. Następnie niezbędne jest sprzężenie zwrotne, dzięki któremu informacja o koniecznych zmianach struktury zarządzania ryzykiem przekazywana jest do etapu ponownego jej projektowania.
Standard ISO 31000 zaleca projektowanie struktury ramowej dla zarządzania ryzykiem, która obejmuje analizę strategiczną otoczenia organizacji oraz jej wnętrza a także system celów przedsiębiorstwa powiązanych wzajemnymi relacjami.
W praktyce analizę otoczenia przedsiębiorstwa można przeprowadzić przy pomocy metody PEST (analiza czynników politycznych, ekonomicznych, społeczno-kulturowych oraz technologicznych) lub jednej z jej odmian (PESTER lub PRESTCOM) a uzyskane wyniki powiązać z analizą trendów wybranych czynników określających prawdopodobne kierunki ich rozwoju. Wyniki wspomnianej analizy można również wykorzystać do budowy scenariuszy stanów otoczenia oraz określenia prawdopodobnych przebiegów wybranych przyszłych wydarzeń. Analizę sektora można natomiast przeprowadzić metodą tworzenia map grup strategicznych, punktowej analizy atrakcyjności sektora, metodą pięciu sił lub poprzez zastosowanie benchmarkingu[4].
Struktura ramowa dla zarządzania ryzykiem, obejmuje również opracowanie
i przyjęcie polityki zarządzania ryzykiem, przypisanie odpowiedzialności, integrację procesu zarządzania ryzykiem z pozostałymi procesami w organizacji, przydzielenie zasobów oraz ustalanie sposobów komunikacji wewnętrznej i raportowania.
Aby zilustrować wzajemne powiązania pomiędzy systemem celów przedsiębiorstwa, Robert S. Kaplan i David P. Norton wskazują na możliwość wykorzystania koncepcji mapy strategii[5].
Już starożytni wiedzieli, ze punktem wyjścia wszelkich dobrze zorganizowanych działań jest postawienie jasno określonych celów[6]. Twierdzenie to ma zastosowanie również w skrajnie nieprzewidywalnych dla człowieka okolicznościach[7]. ISO 31000 zaleca aby wdrażanie systemu zarządzania ryzykiem, monitorowania i przeglądu istniejącej struktury oraz jej ciągłego doskonalenia, zostało poprzedzone budową odpowiedniego systemu mierników związanego z opracowanym uprzednio systemem celów. W praktyce, do budowy takiego systemu, opartego o różne perspektywy przedsiębiorstwa, można zastosować strategiczną kartę wyników[8].
ISO 31000 ujmuje ryzyko jako skutek powstały w wyniku niepewności
w odniesieniu do ustalonych przez przedsiębiorstwo celów. Jak podaje Krzysztof Jajuga,
w takim ujęciu jest to ryzyko rozumiane neutralnie, zarówno jako szansa jak również zagrożenie[9]. Podejście to umożliwia zatem zarówno zarządzanie zagrożeniami jak również doskonalenie zarządzania potencjalnymi szansami.
Oprócz międzynarodowej normy ISO istnieje również kilka innych standardów zarządzania ryzykiem, takich jak standard opracowany w Wielkiej Brytanii, opublikowany przez Federację Europejskich Stowarzyszeń Zarządzania Ryzykiem (Federation of European Risk Management Associations, FERMA) czy amerykański Enterprise Risk Management – Integrated Framework (Zarządzanie Ryzykiem Korporacyjnym – zintegrowana struktura ramowa), zwany COSO II, który został opracowany przez Committee of Sponsoring Organizations of the Treadway Commission (COSO).
W standardzie COSO II, zarządzanie ryzykiem jest procesem, który ma za zadanie identyfikować potencjalne zdarzenia mogące wywrzeć negatywny wpływ na przedsiębiorstwo a utrzymywanie ryzyka w ustalonych granicach ma zapewnić realizację celów przedsiębiorstwa. COSO II wprowadza kilka kategorii celów: strategiczne – wypływające z misji firmy; operacyjne – związane z efektywnym i wydajnym wykorzystaniem zasobów organizacji; sprawozdawczości, które są uwarunkowane jej wiarygodnością oraz celów zgodności – opartych na przestrzeganiu prawa. Poszczególne kategorie celów pozostają w relacjach ze wszystkimi elementami zarządzania ryzykiem, na które składają się: środowisko wewnętrzne, metody ustalania celów, identyfikacji zdarzeń
i oceny ryzyka, reakcja na wystąpienie ryzyka, działania kontrolne, informacja i komunikacja oraz monitorowanie związane z doskonaleniem procesu zarządzania ryzykiem, które odbywa się poprzez ciągłą ocenę osiąganych wyników.
Standard zarządzania ryzykiem FERMA powstał w wyniku wspólnych prac największych brytyjskich organizacji branżowych: Instytutu Zarządzania Ryzykiem (The Institute of Risk Management – IRM), Stowarzyszenia Menedżerów Ubezpieczeniowych i Zarządzających Ryzykiem (The Association of Insurance and Risk Managers – AIRMIC) oraz Krajowego Forum na rzecz Zarządzania Ryzykiem w Sektorze Publicznym – ALARM (ALARM The National Forum for Risk Management in the Public Sector).
Podobnie jak inne standardy, FERMA zakłada, że przełożenie założeń strategicznych na cele taktyczne i operacyjne musi być powiązane z określeniem odpowiedzialności kadry kierowniczej i pracowników zajmujących się zarządzaniem ryzykiem. Działania te powinny pozostawać w silnym związku z promowaniem efektywności działania na wszystkich szczeblach organizacji. Efektywność ta może zostać osiągnięta poprzez usprawnienie procesu podejmowania decyzji, planowania i określania priorytetów na podstawie kompleksowej wiedzy o organizacji, stopnia niepewności oraz możliwych do wystąpienia szans i zagrożeń.
Standard FERMA definiuje ryzyko jako kombinację prawdopodobieństwa wystąpienia zdarzenia oraz jego skutków i uwzględnia dwoistą perspektywę ryzyka rozumianą neutralnie. Dokument nie należy do obszernych. Warte podkreślenia są jednak ukazane w nim relacje zachodzące pomiędzy poszczególnymi elementami procesu zarządzania ryzykiem.
[1] R. L. Ackoff, O systemie pojęć systemowych. Prakseologia, nr 2, 1973, s. 158
[2] M. Bielski, Podstawy teorii organizacji i zarządzania, Warszawa 2002, s. 19
[3] K. Van der Heijden, Planowanie scenariuszowe w zarządzaniu strategicznym, Dom Wydawniczy ABC, Kraków 2000 s. 90
[4] G. Gierszewska, M. Romanowska, Analiza strategiczna przedsiębiorstwa, PWE, Warszawa 2002, s. 70
[5] R. S. Kaplan, D. P. Norton, Masz problem ze strategią? Przedstaw ją w formie mapy - w pracy Sekrety skutecznych strategii, pod red. W. Jankowski, HBR Polska, Warszawa 2007 s. 46
[6] W. Kobyliński, Podstawy współczesnego zarządzania, SWSPiZ, Łódź 2005, s. 76
[7] M. Morgan, R. E. Levitt, W. Malek, Skuteczne wdrażanie strategii, PWN, Warszawa 2010, s. 45
[8] R. S. Kaplan, D. P. Norton, Strategiczna karta wyników. Jak przełożyć strategie na działanie, PWN, Warszawa 2007, s. 32
[9] K. Jajuga, Zarządzanie ryzykiem, PWN, Warszawa 2009, s. 13
Brak komentarzy:
Prześlij komentarz