2009-11-24

Zarządzanie Ryzykiem według
normy ISO 31000 – najnowszy standard zarządzania ryzykiem opublikowany.
Komentarz ekspertów PBSG.

13.11.2009
ISO opublikowało najnowszy standard dotyczący systemowego zarządzania ryzykiem.
Do tej pory w żadnej normie ISO, w której mówiono o zarządzaniu ryzykiem nie
było szczegółowych wytycznych opisujących ten proces. ISO 31000, bo o tej
normie mowa, jest zbiorem zasad jakich należy się trzymać przy wdrażaniu
procesu analizy ryzyka w organizacji. Norma określa ramy jakich należy się
trzymać przy, jednocześnie wskazując, że każda analiza ryzyka, nie ważne, czy
jest to analiza ryzyka dotycząca bezpieczeństwa informacji, ryzyka finansowego,
czy innego obszaru, powinna trzymać się wytycznych nowej normy. Głównym celem
ISO 31000 nie jest zamiana wymagań innych standardów, lecz  ujednolicenie w nich procesów zarządzania
ryzykiem.  

Norma
wskazuje jedenaście zasad, dzięki którym w organizacji można  zarządzać ryzykiem bardziej efektywnie.
Odnoszą się one między innymi do integracji procesu zarządzania ryzykiem z
innymi procesami, konieczności brania go pod uwagę przy podejmowaniu decyzji
czy systematyczności jego działań.

W
standardzie opisano metodykę do wdrożenia procesowego podejścia zarządzania
ryzykiem, którą można implementować w każdej organizacji. Duży nacisk położony
jest na zrozumienie i wyznaczenie otoczenia wewnętrznego i zewnętrznego.
Organizacja powinna zdawać sobie sprawę z istoty otoczenia i jego wpływu.
Należy pamiętać, że w dużej mierze to właśnie ono kształtuje ryzyka. W
standardzie zawarto również wymagania dotyczące komunikacji i konsultacji wewnętrznej
i zewnętrznej, które to powinny być prowadzone podczas całego procesu
zarządzania ryzykiem. Organizacja musi dostosować strukturę zarządzania
ryzykiem do własnych potrzeb. Należy określić obszar jaki ona obejmuje i
odpowiedzialności związane z zarządzaniem ryzykiem. Standard zawiera wymagania
dotyczące odpowiedzialności i uprawnień pracowników oraz kierownictwa.

Szczegółowe
wymagania dotyczące analizy ryzyka opisują każdy jej etap, od identyfikacji
ryzyk po ich szacowanie. Każdy z tych tematów został przez autorów wyczerpany,
a wymagania są jasne i przejrzyste. Wskazano także informacje jakie powinny być
brane pod uwagę podczas analizy ryzyka oraz co powinno być jej wynikiem.

Po
zbudowaniu struktury oraz przeprowadzeniu analizy rozpoczyna się etap
postępowania z ryzykiem. ISO 31000 daje pełen obraz, jak można działać na ryzyka
nieakceptowane, co muszą zawierać plany postępowania oraz jak dokumentować
podjęte działania. Jest to niezwykle ważne, gdyż do tej pory nie było
konkretnych wymogów i wskazówek dotyczących oddziaływania na ryzyko.

Podejście nowej normy podobnie jak innych
skierowane jest w stronę ciągłego doskonalenia PDCA. Dlatego też po etapie
analizy ryzyka i rozpoczęciu postępowania, należy ryzyko monitorować i wyciągać
wnioski. Niezwykle ważne jest aby wszelkie działania opisane w normie były
zintegrowane z innymi procesami istniejącymi w organizacji. Zarządzanie
ryzykiem nie może być procesem, który istnieje sam dla siebie i nie ma wpływu
na cele ani działania. Wyniki analizy ryzyka i monitorowania ryzyk powinny być
rzetelnie przeglądane i brane pod uwagę przy planowaniu działalności. Wszelkie
decyzje związane z monitoringiem i przeglądem ryzyk organizacja powinna
dokumentować i przechowywać.

W
obecnej rzeczywistości wystąpienie nieprzewidzianych zdarzeń ma miejsce bardzo
często. Dotyczą one każdego obszaru działalności firm produkcyjnych,
usługowych, sektora bankowego, jednostek administracji publicznej oraz wielu
innych. Skutki ryzyk praktycznie zawsze związane są ze stratami w wymiarze
finansowym. Zdecydowanie bardziej szkodliwe dla organizacji mogą być jednak
skutki jakościowe. Reputacja jest wszak najcenniejszym z zasobów na rynku. Zarządzanie
ryzykiem jest dowodem na przejrzystość funkcjonowania organizacji, poznania
szans i zagrożeń. Proces wdrożenia zarządzania ryzykiem może być długotrwały i
skomplikowany. Norma ISO 31000 ułatwia jego implementację gdyż jako jedyna,
skupia się wyłącznie na kwestii zarządzania ryzykiem . Dzięki wdrożeniu
procesowego podejścia do zarządzania ryzykiem według nowego standardu
organizacja jest w stanie przewidzieć zdarzenia mogące mieć negatywny wpływ na
jej działalność, a co za tym idzie zmniejszyć straty.

Zapewne
ten długo oczekiwany standard, który obecnie dostępny jest w wersji
angielskiej, wprowadzi porządek w kwestii zarządzania ryzykiem. Należy
pamiętać, że norma ta nie jest przeznaczona do celów certyfikacyjnych, pomimo
tego każda organizacja posiadająca lub wdrażająca proces zarządzania ryzykiem
powinna kierować się wytycznymi normy ISO 31000.

Eksperci
PBSG od samego początku powstawania normy prowadzili szereg badań i ekspertyz
związanych z możliwością implementacji wytycznych i wymagań normy ISO 31000 w
kontekście istniejących dobrych praktyk w tym zakresie np. COSO II. W związku z
tym Departament Zarządzania Ryzykiem uruchomił specjalistyczne szkolenia w
zakresie interpretacji wymagań normy ISO 31000 oraz serię praktycznych
warsztatów pozwalających na wdrożenie mechanizmów zarządzania i analizy ryzyka
w oparciu o międzynarodowe wymagania. W przypadku zainteresowania katalogiem
szkoleń wraz z ich opisem prosimy o kontakt mailowy lub telefoniczny: firma@pbsg.pl, (061) 8451511

 czytaj także: