EuropaPublikacje

Pomarańczowa Księga w nowej odsłonie

Nowa wersja kultowej publikacji

Ważne
  • Wiele standardów i publikacji o charakterze standardów z dziedziny zarządzania ryzykiem ma już kilka „odsłon”. Często kolejne wydania zawierają nowe koncepcje, czasami pryncypia zarządzania ryzykiem ujmowane są w inny, bardziej przemawiający sposób. Będziemy je polecać uwadze Czytelników

Wprawdzie minął już rok ale warto wspomnieć o nowej wersji słynnej niegdyś publikacji rządu brytyjskiego zwanej Orange Book. Młodsi specjaliści od ryzyka mogą o tym nie pamiętać, ale kiedyś to była prawie kultowa publikacja z zakresu zarządzania ryzykiem. Wprawdzie przeznaczona była zasadniczo dla podmiotów z sektora administracji publicznej ale chętnie była czytana, cytowana i umieszczana w przypisach wielu artykułów, książek i innych opracowań. Stanowiła również podstawę dla pierwszych (w Polsce) szkoleń z zakresu zarządzania ryzykiem.

Sami ją wykorzystywaliśmy i mamy do niej sentyment.

Nie była to pozycja zawierająca gotowe, kompletne rozwiązania z zakresu zarządzania ryzykiem ale miała – w Polsce szczególnie – podstawową zaletę. Otóż można ją było pobrać ze stron internetowych rządu brytyjskiego … za darmo.

Orange Book nie była pierwszą – na świecie – publikacją o charakterze standardu i wytycznych dotyczących zarządzania ryzykiem ale na pewno pierwszą dostępną w domenie publicznej. Popatrzmy na poniższą grafikę: za pierwszą publikację o charakterze standardu w dziedzinie (ogólnego) zarządzania ryzykiem uważana jest publikacja norweska z roku 1991, oznaczona symbolem  NS 5814 a zatytułowana (w wersji angielskojęzycznej) „Requirements for risk assessment”. Nie była to publikacja obszerna, liczyła zaledwie 12 stron i jej zakres dotyczył stricte samego procesu oceny ryzyka. Kolejną publikacją był standard australijsko-nowezelandzki z roku 1997. A następnym standard kanadyjski. Jeszcze przed ukazaniem się pierwszej wersji Orange Book ukazało się wiele innych standardów ale zapoznanie się z ich treścią wymagało zakupu a w wielu organizacjach nie była to potrzeba spełniana w pierwszej kolejności.

kliknij grafikę, żeby powiększyć

gdzie /w nawiasach lata kolejnych wydań/:

  • The Orange Book Management of Risk – Principles and Concepts /2004, 2020/
  • NS 5814 Requirements for risk assessment /1991, 2008, 2021/
  • CAN/CSA-Q850 Risk Management: Guideline for Decision-Makers /1997, 2009/
  • AS/NZS 4360 Risk Management /1995, 1999, 2004/
  • AS/NZS HB 4360 Risk Management Guidelines /2004, 2013/
  • BSI PD 6668 Managing Risk for Corporate Governance /2000/
  • JIS Q2001:2001 Guidelines for Development and Implementation of Risk Management System /2001/
  • IRM/FERMA: Risk Management Standard /2002/
  • ISO Guide 73 Risk management — Vocabulary — Guidelines for use in standards /2002, 2009/
  • ISO 31000 Risk Management – Guidelines /2009, 2018/
  • COSO Enterprise Risk Management – Integrated Framework; 2004
  • COSO Enterprise Risk Management – Aligning Risk with Strategy and Performance; 2017

Na powyższej grafice nie znalazło się  wiele standardów odnoszących się do zarządzania ryzykiem, które ukazały się przed pierwszym wydaniem Orange Book. Powodem jest to, że dotyczyły zarządzania ryzykiem w ramach ściśle określonych dziedzin, na przykład wytwarzania oprogramowania albo zarządzania projektami. Nam chodzi o standardy ogólne, nie przeznaczona dla określonych dziedzin i branż.

Nie zamieściliśmy również wielu standardów, które ukazały się po roku 2004. W osobnych zakładkach periculum.pl mogą Państwo zapoznać się ze stosownymi zestawieniami wybranych krajowych i międzynarodowych standardów odnoszących się do zarządzania ryzykiem.

Oba wydania Orange Book są bardzo podobne jeśli chodzi o objętość: 52 (wydanie I) i 48 stron. Obie publikacje starają się (choć w nieco odmiennym zakresie i różny sposób) odpowiadać na 2 pytania: „What?” i „Why?” czyli „Co?” i  „Dlaczego?”. Obie wersje wskazują na ogólne zasady dotyczące zarządzania ryzykiem pozostawiając czytelnikom  poszukiwanie odpowiedzi na – nie da się ukryć – najtrudniejsze pytanie: „How?” czyli „Jak?”. Ale taka jest cecha i innych standardów, takich jak ISO 31000 – również zawierających ogólne zalecenia.

Obie wersje Orange Book polecamy szczególnie osobom rozpoczynającym karierę w dziedzinie zarządzania ryzykiem . To dobry punkt wyjściowy. Nawet bardzo dobry. Polecamy obie publikacje również tym osobom, które chcą mieć (albo powinny mieć) przynajmniej podstawową wiedzę w zakresie zarządzania ryzykiem.

Jest kilka rzeczy, które nam się bardzo podobają w wydaniu z roku 2020 mimo, że Orange Book „Ameryki nie odkrywa”:

  1. Wyraźnie wskazano, iż ryzyko ma swoją strukturę: przyczyny, zdarzenia i konsekwencje. Żeby zarządzać ryzykiem trzeba je zrozumieć. A zrozumienie ryzyka polega na zrozumieniu tej struktury – całego łańcucha przyczynowo-skutkowego. Niby oczywiste ale jednak wiele osób o tym zapomina koncentrując się najczęściej wyłącznie na skutkach.
  2. Podkreślono, że zarządzanie ryzykiem winno być integralną częścią aktywności organizacji. Zarządzanie ryzykiem nie powinno być realizowane jako osobna (odrębna) sfera zarządzania.
  3. Zarządzanie ryzykiem polega na współpracy i wymaga rzetelnych informacji – cała organizacja powinna mieć świadomy udział w zarządzaniu ryzykiem. Odpowiedzialność nie może spoczywać na jednej osobie lub grupce osób.
  4. Publikacja zawiera listę (dosyć konkretnych) pytań, które mogą być wykorzystane przy ocenie funkcjonowania mechanizmów (systemu) zarządzania ryzykiem.

I jeszcze jedno, jeżeli ktoś z Czytelników stoi przed zadaniem opracowania taksonomii ryzyka to w tej publikacji znajdzie przykład opisujący kategorie ryzyka.

Publikacja jest dostępna w domenie publicznej czyli bez opłat.

Editor

In rebus prosperis et ad voluntatem nostram fluentibus superbiam magnopere, fastidium arrogantiamque fugiamus. >>> W sytuacjach pomyślnych i gdy wszystko dzieje się według naszej woli, wystrzegajmy się pychy, zuchwalstwa i buty.

Powiązane artykuły