System zarządzania ryzykiem

System Zarządzania Ryzykiem: w poszukiwaniu definicji

Początek budowy Systemu Zarządzania Ryzykiem

Ważne
  • Budowa domu nie może zacząć się bez uprzedniego opracowania projektu tj. architektury domu. Dom można traktować jako system, czyli pewną całość składającą się z wielu połączonych ze sobą elementów. Podobnie, budowa (wdrożenie) systemu zarządzania ryzykiem powinna rozpocząć się od określenia składników systemu oraz powiązań między nimi.

W poprzednich artykułach poświęconych systemowi zarządzania ryzykiem pokazaliśmy kilka przykładów, w jaki sposób różne firmy (z Polski i zagranicy) ujawniają w swoich sprawozdaniach finansowych posiadanie systemu zarządzania ryzykiem – SZR. Praktycznie każda firma robi to inaczej, przy czym dominują dwie formy prezentacji SZR: w postaci struktury organizacyjnej, czyli ról indywidualnych i zespołowych, którym przypisano odpowiedzialność za zarządzanie ryzykiem albo w postaci procesów obejmujących identyfikację, analizę i ocenę ryzyka, reagowanie na ryzyko oraz monitorowanie ryzyka.

W jakimś stopniu jest zrozumiałe, że firmy nie chcą ujawniać swojego know-how pokazując tylko to, co pokazują inne organizacje – każdy stara się chronić swoje kompetencje. Byłoby to usprawiedliwione, gdyby na potrzeby własne, tj. wewnątrz organizacji, firmy posługiwały się jednak bardziej precyzyjnymi modelami (strukturami) SZR. Jeżeli zaś w swoich sprawozdaniach pokazują to, czym posługują się na co dzień, to sytuacja nie wygląda najlepiej.

Jeżeli chcemy zbudować w organizacji (pod)system zarządzania ryzykiem to pierwsze co powinniśmy zrobić, to zdefiniować to pojęcie odpowiadając na dwa zasadnicze pytania:

  1. Co to jest System Zarządzania Ryzykiem?
  2. Z jakich elementów składa się (powinien się składać) SZR?

Jest jeszcze jedno pytanie, na które należałoby odpowiedzieć, tj.: do czego służy system zarządzania ryzykiem? – ale akurat na to pytanie najłatwiej odpowiedzieć. W przypadku dwóch wymienionych pytań, to  odpowiedzi na nie trzeba jednak poszukać.

Zajrzyjmy do standardów (norm) ISO. Co ciekawe, podstawowy standard w obszarze zarządzania ryzykiem, tj. ISO 31000 w ogóle nie definiuje pojęcia „system zarządzania ryzykiem”. Ba, w treści tego standardu ani razu nie pojawia się zwrot „system zarządzania ryzykiem” – „risk management system”. Zaskakujące? Można byłoby próbować to zrozumieć gdyby nie pewien fakt: otóż w innych standardach, z lat wcześniejszych, pojawiały się takie definicje. Popatrzmy:

Definicja 1

set of elements of an organization’s management system concerned with managing risk

Źródło: ISO/TS 16901:2015 Guidance on performing risk assessment in the design of onshore LNG installations including the ship/shore interface

czyli:

zbiór elementów systemu zarządzania organizacją związanych z zarządzaniem ryzykiem

Ale konia z rzędem temu, kto na podstawie tej definicji powie z czego składa się, lub powinien się składać, system zarządzania ryzykiem.

Definicja 2

set of elements of an organization’s management system concerned with managing risk

Note 1 to entry: Management system elements can include strategic planning, decision making, and other processes for dealing with risk. The culture of an organization is reflected in its risk management system.

Źródło: ISO/IEC/IEEE 24765:2017 Systems and software engineering — Vocabulary

czyli:

zbiór elementów systemu zarządzania organizacją związanych z zarządzaniem ryzykiem

Nota 1: Elementy systemu zarządzania mogą obejmować planowanie strategiczne, podejmowanie decyzji i inne procesy radzenia sobie z ryzykiem. Kultura organizacji znajduje odzwierciedlenie w jej systemie zarządzania ryzykiem.

Tu już trochę lepiej. Można wnioskować, że SZR składa się z procesów (funkcji) oraz … kultury organizacji. Ta kultura często jest określana mianem „środowiska wewnętrznego” lub „kontekstu wewnętrznego”.

Definicja 3

set of elements of an organization’s management system concerned with managing risk.

Note 1 to entry:

1— Management system elements can include strategic planning, decision making, and other processes for dealing with risk.

2— The culture of an organization is reflected in its risk management system.

Źródło: ISO Guide 73:2002 Risk management — Vocabulary — Guidelines for use in standards

czyli:

zbiór elementów systemu zarządzania organizacją związanych z zarządzaniem ryzykiem.

Nota 1:

1– Elementy systemu zarządzania mogą obejmować planowanie strategiczne, podejmowanie decyzji i inne procesy radzenia sobie z ryzykiem.

2– Kultura organizacji znajduje odzwierciedlenie w jej systemie zarządzania ryzykiem.

Definicja jak z przykładu 2 tyle, że pochodząca z roku 2002 i ze standardu bezpośrednio odnoszącego się do zarządzania ryzykiem. Co ciekawe, w wersji z roku 2009 (obowiązującej do dzisiaj) zniknęła ta definicja niejako zastąpiona pojęciem „risk management framework” [struktura (ramy) zarządzania ryzykiem].

Spróbujmy teraz posłużyć się definicją innego systemu zarządzania, związanego niewątpliwie z ryzykiem – definicją „systemu zarządzania ciągłością działania” – „business continuity management system – BCMS”. Standard ISO 22300:2021 definiuje to pojęcie następująco:

part of the overall management system that establishes, implements, operates, monitors, reviews maintains and improves business continuity

Note 1 to entry: The management system includes organizational structure, policies, planning activities, responsibilities, procedures, processes and resources

czyli:

część ogólnego systemu zarządzania, który ustanawia, wdraża, obsługuje, monitoruje, przegląda, utrzymuje i poprawia ciągłość biznesową

Nota 1: System zarządzania obejmuje strukturę organizacyjną, zasady, czynności planistyczne, obowiązki, procedury, procesy i zasoby.

Gdybyśmy chcieli wprost zastąpić „ciągłość biznesową” „ryzykiem” …:

część ogólnego systemu zarządzania, który ustanawia, wdraża, obsługuje, monitoruje, przegląda, utrzymuje i poprawia … ryzyko.

Nie wygląda to dobrze. Musielibyśmy to poprawić mniej więcej tak:

część ogólnego systemu zarządzania, który identyfikuje ryzyko, analizuje ryzyko, ocenia ryzyko, przygotowuje i podejmuje reakcje na ryzyko oraz monitoruje ryzyko.

Co my tu mamy, w tak skonstruowanej definicji? Procesy, czyli definicję wskazującą, że system zarządzania ryzykiem to procesy. A to jest tylko część prawdy, tj. część systemu zarządzania ryzykiem.

Szukajmy dalej …

Cofnijmy się jeszcze bardziej i poszukajmy inspiracji w definicji „systemu zarządzania”. Przecież system zarządzania ryzykiem jest częścią ogólnego systemu zarządzania organizacją i de facto powinien składać się z takich samych (to nie znaczy, że z tych samych) elementów.

Zajrzyjmy do standardu ISO 9000:2015 Quality management systems — Fundamentals and vocabulary. Zawarta tam definicja “systemu zarządzania” – “management system” – jest następująca:

set of interrelated or interacting elements of an organization to establish policies and objectives, and processes to achieve those objectives

Note 1 to entry: A management system can address a single discipline or several disciplines, e.g. quality management, financial management or environmental management.

Note 2 to entry: The management system elements establish the organization’s structure, roles and responsibilities, planning, operation, policies, practices, rules, beliefs, objectives and processes to achieve those objectives.

Note 3 to entry: The scope of a management system can include the whole of the organization, specific and identified functions of the organization, specific and identified sections of the organization, or one or more functions across a group of organizations.

(…)

Czyli, system zarządzania to:

zbiór wzajemnie powiązanych lub wzajemnie oddziałujących elementów organizacji w celu ustalenia zasad i celów oraz procesów służących do osiągnięcia tych celów

Nota 1: System zarządzania może dotyczyć jednej lub kilku dyscyplin, np. zarządzanie jakością, zarządzanie finansami lub zarządzanie środowiskiem.

Nota 2: Elementy systemu zarządzania określają strukturę organizacji, role i obowiązki, planowanie, działanie, zasady, praktyki, zasady, przekonania, cele i procesy umożliwiające osiągnięcie tych celów.

Nota 3: Zakres systemu zarządzania może obejmować całą organizację, określone i zidentyfikowane funkcje organizacji, określone i zidentyfikowane sekcje organizacji lub jedną lub więcej funkcji w grupie organizacji.

Już z tej definicji wynika, że system zarządzania obejmuje nie tylko role i procesy ale również inne elementy, które służą funkcjonowaniu organizacji i osiąganiu jej celów. A przecież system zarządzania ryzykiem (jako podsystem zarządzania ogólnego) również służy osiąganiu celów zatem powinien (ów system) składać się z takich samych (choć niekoniecznie tych samych) elementów.

Fundamentalne pytanie, na które powinni sobie odpowiedzieć zarządzający organizacjami brzmi: z jakich elementów, wzajemnie powiązanych i wpływających na siebie, powinien składać się kompletny system zarządzania ryzykiem?

To pytanie można postawić w innym brzmieniu: jak powinna wyglądać architektura systemu zarządzania ryzykiem?

W kolejnych artykułach postaramy się opisać w miarę szczegółowo podstawową – generyczną – architekturę systemu zarządzania ryzykiem.

Maturus

“Homines periti non modo ea quae perspicua sunt vident, verum etiam occulta suspicari possunt” >>>> Ludzie doświadczeni nie tylko widzą to, co jest jasne, lecz również mogą wypatrzeć rzeczy skrywane.

Powiązane artykuły

Back to top button