System Zarządzania Ryzykiem: w poszukiwaniu definicji
Początek budowy Systemu Zarządzania Ryzykiem
- Budowa domu nie może zacząć się bez uprzedniego opracowania projektu tj. architektury domu. Dom można traktować jako system, czyli pewną całość składającą się z wielu połączonych ze sobą elementów. Podobnie, budowa (wdrożenie) systemu zarządzania ryzykiem powinna rozpocząć się od określenia składników systemu oraz powiązań między nimi.
W poprzednich artykułach poświęconych systemowi zarządzania ryzykiem pokazaliśmy kilka przykładów, w jaki sposób różne firmy (z Polski i zagranicy) ujawniają w swoich sprawozdaniach finansowych posiadanie systemu zarządzania ryzykiem – SZR. Praktycznie każda firma robi to inaczej, przy czym dominują dwie formy prezentacji SZR: w postaci struktury organizacyjnej, czyli ról indywidualnych i zespołowych, którym przypisano odpowiedzialność za zarządzanie ryzykiem albo w postaci procesów obejmujących identyfikację, analizę i ocenę ryzyka, reagowanie na ryzyko oraz monitorowanie ryzyka.
W jakimś stopniu jest zrozumiałe, że firmy nie chcą ujawniać swojego know-how pokazując tylko to, co pokazują inne organizacje – każdy stara się chronić swoje kompetencje. Byłoby to usprawiedliwione, gdyby na potrzeby własne, tj. wewnątrz organizacji, firmy posługiwały się jednak bardziej precyzyjnymi modelami (strukturami) SZR. Jeżeli zaś w swoich sprawozdaniach pokazują to, czym posługują się na co dzień, to sytuacja nie wygląda najlepiej.
Jeżeli chcemy zbudować w organizacji (pod)system zarządzania ryzykiem to pierwsze co powinniśmy zrobić, to zdefiniować to pojęcie odpowiadając na dwa zasadnicze pytania:
- Co to jest System Zarządzania Ryzykiem?
- Z jakich elementów składa się (powinien się składać) SZR?
Jest jeszcze jedno pytanie, na które należałoby odpowiedzieć, tj.: do czego służy system zarządzania ryzykiem? – ale akurat na to pytanie najłatwiej odpowiedzieć. W przypadku dwóch wymienionych pytań, to odpowiedzi na nie trzeba jednak poszukać.
Zajrzyjmy do standardów (norm) ISO. Co ciekawe, podstawowy standard w obszarze zarządzania ryzykiem, tj. ISO 31000 w ogóle nie definiuje pojęcia „system zarządzania ryzykiem”. Ba, w treści tego standardu ani razu nie pojawia się zwrot „system zarządzania ryzykiem” – „risk management system”. Zaskakujące? Można byłoby próbować to zrozumieć gdyby nie pewien fakt: otóż w innych standardach, z lat wcześniejszych, pojawiały się takie definicje. Popatrzmy:
Definicja 1
set of elements of an organization’s management system concerned with managing risk
Źródło: ISO/TS 16901:2015 Guidance on performing risk assessment in the design of onshore LNG installations including the ship/shore interface
czyli:
zbiór elementów systemu zarządzania organizacją związanych z zarządzaniem ryzykiem
Ale konia z rzędem temu, kto na podstawie tej definicji powie z czego składa się, lub powinien się składać, system zarządzania ryzykiem.
Definicja 2
set of elements of an organization’s management system concerned with managing risk
Note 1 to entry: Management system elements can include strategic planning, decision making, and other processes for dealing with risk. The culture of an organization is reflected in its risk management system.
Źródło: ISO/IEC/IEEE 24765:2017 Systems and software engineering — Vocabulary
czyli:
zbiór elementów systemu zarządzania organizacją związanych z zarządzaniem ryzykiem
Nota 1: Elementy systemu zarządzania mogą obejmować planowanie strategiczne, podejmowanie decyzji i inne procesy radzenia sobie z ryzykiem. Kultura organizacji znajduje odzwierciedlenie w jej systemie zarządzania ryzykiem.
Tu już trochę lepiej. Można wnioskować, że SZR składa się z procesów (funkcji) oraz … kultury organizacji. Ta kultura często jest określana mianem „środowiska wewnętrznego” lub „kontekstu wewnętrznego”.
Definicja 3
set of elements of an organization’s management system concerned with managing risk.
Note 1 to entry:
1— Management system elements can include strategic planning, decision making, and other processes for dealing with risk.
2— The culture of an organization is reflected in its risk management system.
Źródło: ISO Guide 73:2002 Risk management — Vocabulary — Guidelines for use in standards
czyli:
zbiór elementów systemu zarządzania organizacją związanych z zarządzaniem ryzykiem.
Nota 1:
1– Elementy systemu zarządzania mogą obejmować planowanie strategiczne, podejmowanie decyzji i inne procesy radzenia sobie z ryzykiem.
2– Kultura organizacji znajduje odzwierciedlenie w jej systemie zarządzania ryzykiem.
Definicja jak z przykładu 2 tyle, że pochodząca z roku 2002 i ze standardu bezpośrednio odnoszącego się do zarządzania ryzykiem. Co ciekawe, w wersji z roku 2009 (obowiązującej do dzisiaj) zniknęła ta definicja niejako zastąpiona pojęciem „risk management framework” [struktura (ramy) zarządzania ryzykiem].
Spróbujmy teraz posłużyć się definicją innego systemu zarządzania, związanego niewątpliwie z ryzykiem – definicją „systemu zarządzania ciągłością działania” – „business continuity management system – BCMS”. Standard ISO 22300:2021 definiuje to pojęcie następująco:
part of the overall management system that establishes, implements, operates, monitors, reviews maintains and improves business continuity
Note 1 to entry: The management system includes organizational structure, policies, planning activities, responsibilities, procedures, processes and resources
czyli:
część ogólnego systemu zarządzania, który ustanawia, wdraża, obsługuje, monitoruje, przegląda, utrzymuje i poprawia ciągłość biznesową
Nota 1: System zarządzania obejmuje strukturę organizacyjną, zasady, czynności planistyczne, obowiązki, procedury, procesy i zasoby.
Gdybyśmy chcieli wprost zastąpić „ciągłość biznesową” „ryzykiem” …:
część ogólnego systemu zarządzania, który ustanawia, wdraża, obsługuje, monitoruje, przegląda, utrzymuje i poprawia … ryzyko.
Nie wygląda to dobrze. Musielibyśmy to poprawić mniej więcej tak:
część ogólnego systemu zarządzania, który identyfikuje ryzyko, analizuje ryzyko, ocenia ryzyko, przygotowuje i podejmuje reakcje na ryzyko oraz monitoruje ryzyko.
Co my tu mamy, w tak skonstruowanej definicji? Procesy, czyli definicję wskazującą, że system zarządzania ryzykiem to procesy. A to jest tylko część prawdy, tj. część systemu zarządzania ryzykiem.
Szukajmy dalej …
Cofnijmy się jeszcze bardziej i poszukajmy inspiracji w definicji „systemu zarządzania”. Przecież system zarządzania ryzykiem jest częścią ogólnego systemu zarządzania organizacją i de facto powinien składać się z takich samych (to nie znaczy, że z tych samych) elementów.
Zajrzyjmy do standardu ISO 9000:2015 Quality management systems — Fundamentals and vocabulary. Zawarta tam definicja “systemu zarządzania” – “management system” – jest następująca:
set of interrelated or interacting elements of an organization to establish policies and objectives, and processes to achieve those objectives
Note 1 to entry: A management system can address a single discipline or several disciplines, e.g. quality management, financial management or environmental management.
Note 2 to entry: The management system elements establish the organization’s structure, roles and responsibilities, planning, operation, policies, practices, rules, beliefs, objectives and processes to achieve those objectives.
Note 3 to entry: The scope of a management system can include the whole of the organization, specific and identified functions of the organization, specific and identified sections of the organization, or one or more functions across a group of organizations.
(…)
Czyli, system zarządzania to:
zbiór wzajemnie powiązanych lub wzajemnie oddziałujących elementów organizacji w celu ustalenia zasad i celów oraz procesów służących do osiągnięcia tych celów
Nota 1: System zarządzania może dotyczyć jednej lub kilku dyscyplin, np. zarządzanie jakością, zarządzanie finansami lub zarządzanie środowiskiem.
Nota 2: Elementy systemu zarządzania określają strukturę organizacji, role i obowiązki, planowanie, działanie, zasady, praktyki, zasady, przekonania, cele i procesy umożliwiające osiągnięcie tych celów.
Nota 3: Zakres systemu zarządzania może obejmować całą organizację, określone i zidentyfikowane funkcje organizacji, określone i zidentyfikowane sekcje organizacji lub jedną lub więcej funkcji w grupie organizacji.
Już z tej definicji wynika, że system zarządzania obejmuje nie tylko role i procesy ale również inne elementy, które służą funkcjonowaniu organizacji i osiąganiu jej celów. A przecież system zarządzania ryzykiem (jako podsystem zarządzania ogólnego) również służy osiąganiu celów zatem powinien (ów system) składać się z takich samych (choć niekoniecznie tych samych) elementów.
Fundamentalne pytanie, na które powinni sobie odpowiedzieć zarządzający organizacjami brzmi: z jakich elementów, wzajemnie powiązanych i wpływających na siebie, powinien składać się kompletny system zarządzania ryzykiem?
To pytanie można postawić w innym brzmieniu: jak powinna wyglądać architektura systemu zarządzania ryzykiem?
W kolejnych artykułach postaramy się opisać w miarę szczegółowo podstawową – generyczną – architekturę systemu zarządzania ryzykiem.
