- Wiele standardów i publikacji o charakterze standardów z dziedziny zarządzania ryzykiem ma już kilka „odsłon”. Często kolejne wydania zawierają nowe koncepcje, czasami pryncypia zarządzania ryzykiem ujmowane są w inny, bardziej przemawiający sposób. Będziemy je polecać uwadze Czytelników
Wprawdzie minął już rok ale warto wspomnieć o nowej wersji słynnej niegdyś publikacji rządu brytyjskiego zwanej Orange Book. Młodsi specjaliści od ryzyka mogą o tym nie pamiętać, ale kiedyś to była prawie kultowa publikacja z zakresu zarządzania ryzykiem. Wprawdzie przeznaczona była zasadniczo dla podmiotów z sektora administracji publicznej ale chętnie była czytana, cytowana i umieszczana w przypisach wielu artykułów, książek i innych opracowań. Stanowiła również podstawę dla pierwszych (w Polsce) szkoleń z zakresu zarządzania ryzykiem.
Sami ją wykorzystywaliśmy i mamy do niej sentyment.
Nie była to pozycja zawierająca gotowe, kompletne rozwiązania z zakresu zarządzania ryzykiem ale miała – w Polsce szczególnie – podstawową zaletę. Otóż można ją było pobrać ze stron internetowych rządu brytyjskiego … za darmo.
Orange Book nie była pierwszą – na świecie – publikacją o charakterze standardu i wytycznych dotyczących zarządzania ryzykiem ale na pewno pierwszą dostępną w domenie publicznej. Popatrzmy na poniższą grafikę: za pierwszą publikację o charakterze standardu w dziedzinie (ogólnego) zarządzania ryzykiem uważana jest publikacja norweska z roku 1991, oznaczona symbolem NS 5814 a zatytułowana (w wersji angielskojęzycznej) „Requirements for risk assessment”. Nie była to publikacja obszerna, liczyła zaledwie 12 stron i jej zakres dotyczył stricte samego procesu oceny ryzyka. Kolejną publikacją był standard australijsko-nowezelandzki z roku 1997. A następnym standard kanadyjski. Jeszcze przed ukazaniem się pierwszej wersji Orange Book ukazało się wiele innych standardów ale zapoznanie się z ich treścią wymagało zakupu a w wielu organizacjach nie była to potrzeba spełniana w pierwszej kolejności.
gdzie /w nawiasach lata kolejnych wydań/:
- The Orange Book Management of Risk – Principles and Concepts /2004, 2020/
- NS 5814 Requirements for risk assessment /1991, 2008, 2021/
- CAN/CSA-Q850 Risk Management: Guideline for Decision-Makers /1997, 2009/
- AS/NZS 4360 Risk Management /1995, 1999, 2004/
- AS/NZS HB 4360 Risk Management Guidelines /2004, 2013/
- BSI PD 6668 Managing Risk for Corporate Governance /2000/
- JIS Q2001:2001 Guidelines for Development and Implementation of Risk Management System /2001/
- IRM/FERMA: Risk Management Standard /2002/
- ISO Guide 73 Risk management — Vocabulary — Guidelines for use in standards /2002, 2009/
- ISO 31000 Risk Management – Guidelines /2009, 2018/
- COSO Enterprise Risk Management – Integrated Framework; 2004
- COSO Enterprise Risk Management – Aligning Risk with Strategy and Performance; 2017
Na powyższej grafice nie znalazło się wiele standardów odnoszących się do zarządzania ryzykiem, które ukazały się przed pierwszym wydaniem Orange Book. Powodem jest to, że dotyczyły zarządzania ryzykiem w ramach ściśle określonych dziedzin, na przykład wytwarzania oprogramowania albo zarządzania projektami. Nam chodzi o standardy ogólne, nie przeznaczona dla określonych dziedzin i branż.
Nie zamieściliśmy również wielu standardów, które ukazały się po roku 2004. W osobnych zakładkach periculum.pl mogą Państwo zapoznać się ze stosownymi zestawieniami wybranych krajowych i międzynarodowych standardów odnoszących się do zarządzania ryzykiem.
Oba wydania Orange Book są bardzo podobne jeśli chodzi o objętość: 52 (wydanie I) i 48 stron. Obie publikacje starają się (choć w nieco odmiennym zakresie i różny sposób) odpowiadać na 2 pytania: „What?” i „Why?” czyli „Co?” i „Dlaczego?”. Obie wersje wskazują na ogólne zasady dotyczące zarządzania ryzykiem pozostawiając czytelnikom poszukiwanie odpowiedzi na – nie da się ukryć – najtrudniejsze pytanie: „How?” czyli „Jak?”. Ale taka jest cecha i innych standardów, takich jak ISO 31000 – również zawierających ogólne zalecenia.
Obie wersje Orange Book polecamy szczególnie osobom rozpoczynającym karierę w dziedzinie zarządzania ryzykiem . To dobry punkt wyjściowy. Nawet bardzo dobry. Polecamy obie publikacje również tym osobom, które chcą mieć (albo powinny mieć) przynajmniej podstawową wiedzę w zakresie zarządzania ryzykiem.
Jest kilka rzeczy, które nam się bardzo podobają w wydaniu z roku 2020 mimo, że Orange Book „Ameryki nie odkrywa”:
- Wyraźnie wskazano, iż ryzyko ma swoją strukturę: przyczyny, zdarzenia i konsekwencje. Żeby zarządzać ryzykiem trzeba je zrozumieć. A zrozumienie ryzyka polega na zrozumieniu tej struktury – całego łańcucha przyczynowo-skutkowego. Niby oczywiste ale jednak wiele osób o tym zapomina koncentrując się najczęściej wyłącznie na skutkach.
- Podkreślono, że zarządzanie ryzykiem winno być integralną częścią aktywności organizacji. Zarządzanie ryzykiem nie powinno być realizowane jako osobna (odrębna) sfera zarządzania.
- Zarządzanie ryzykiem polega na współpracy i wymaga rzetelnych informacji – cała organizacja powinna mieć świadomy udział w zarządzaniu ryzykiem. Odpowiedzialność nie może spoczywać na jednej osobie lub grupce osób.
- Publikacja zawiera listę (dosyć konkretnych) pytań, które mogą być wykorzystane przy ocenie funkcjonowania mechanizmów (systemu) zarządzania ryzykiem.
I jeszcze jedno, jeżeli ktoś z Czytelników stoi przed zadaniem opracowania taksonomii ryzyka to w tej publikacji znajdzie przykład opisujący kategorie ryzyka.
Publikacja jest dostępna w domenie publicznej czyli bez opłat.
