28
Z
arządzanie pr
odukcją
Logistyka Produkcji
www.logistyka-produkcji.pl
Międzynarodowe
standardy
zarządzania ryzykiem
Zarządzanie ryzykiem staje się istotną częścią zarządzania strategicznego przedsiębiorstwem
i w wielu wypadkach jest kluczowe dla zracjonalizowania działalności przedsiębiorstwa oraz
ciągłości jego działania.
W
raz z nasilaniem się zmian występujących w oto-
czeniu zewnętrznym zarządy wielu firm wyraźniej
dostrzegają różnego rodzaju ryzyka związane z prowa-
dzoną działalnością gospodarczą oraz poświęcają więcej
uwagi tematyce zarządzania ryzykiem.
Zarządzanie ryzykiem jest również istotnym elementem
zarządzania przedsiębiorstwem logistycznym. Z trzech
przedstawionych poniżej koncepcji zarządzania ryzy-
kiem najbardziej interesującą dla przedsiębiorstw logi-
stycznych może być ta ostatnia.
Ó
Enterprise Risk Management
Koncepcja ta wydaje się być obecnie najbardziej kom-
pletnym i uniwersalnym, holistycznym podejściem do
systemowego zarządzania ryzykiem. Należy podkreślić,
że ERM nie jest koncepcją w pełni jednoznaczną – w róż-
nych opracowaniach przyjmuje nieco odmienne, czasa-
mi dość znacznie różniące się formy i treści. Pomimo to,
a także wbrew bardzo silnej niekiedy opozycji zwłasz-
cza ze strony „wyznawców” tradycyjnego, finansowo-
-ubezpieczeniowego postrzegania problematyki ryzyka
w biznesie, ERM znajduje coraz szerszą akceptację jako
standardowe rozwiązanie modelu zarządzania ryzykiem
w przedsiębiorstwie.
Ó
Business Continuity Management
Podejście to (vide np. A. Hiles, P. Barnes: Business Con-
tinuity Management) kładzie główny nacisk na utrzy-
manie ciągłości biznesu, jednak w wielu punktach jest
zbieżne z założeniami ERM. Obejmuje oprócz wielu kon-
cepcji znanych z zarządzania ryzykiem także elementy
Business Impact Analysis i Crisis Managementu. Przez
niektórych autorów BCM traktowane jest jako koncep-
cja szersza od ERM, inni reprezentują pogląd odwrotny.
W wielu środowiskach biznesowych BCM przyjęło się
i zostało wdrożone wcześniej od holistycznych syste-
mów zarządzania ryzykiem.
Ó
Supply Chain Risk Management
Jest to koncepcja przyszłościowa, bardzo obiecująca ze
względu m.in. na to, że odwołuje się do konkurencji po-
między całymi łańcuchami dostaw, a nie tylko pomiędzy
pojedynczymi przedsiębiorstwami. Jest to obiecujące po-
dejście również dlatego, że bierze pod uwagę także ryzy-
Narzędzia nieustannej budowy wartości firm
Istotą systemowego podejścia do zarządzania ryzykiem
jest uświadomienie zarządowi przedsiębiorstwa, że
wzajemne wpływy w firmie nie następują tylko jednokie-
runkowo
29
Z
arządzanie pr
odukcją
Logistyka Produkcji
www.logistyka-produkcji.pl
ka specyficzne dla łańcuchów dostaw, a więc nie wystę-
pujące na poziomie pojedynczego przedsiębiorstwa. Jak
dotychczas jednak SCRM wywołuje bardzo szerokie za-
interesowanie w środowiskach akademickich. SCRM jest
traktowane przez niektórych analityków biznesu i firmy
consultingowe jako jeden z najważniejszych trendów roz-
wojowych w strategiach biznesu na najbliższe lata (np.
Aberdeen Group). Rzeczywiste zainteresowanie prak-
tyków takim podejściem rozwinie się na szerszą skalę
z pewnością z chwilą zdobycia sobie prawa obywatelstwa
w biznesie logistycznym przez zastosowanie go w prak-
tyce zarządzania łańcuchami dostaw. Obecnie poza poje-
dynczymi przykładami (Zara, GM) ciągle jeszcze koncep-
cja ta jest bardziej teorią niż bieżącą praktyką.Vide np.
Supply Chain Risk, p/red. C. Brindley i B. Ritchie).
Ó
Standardy płyną z zewnątrz
W zakresie zarządzania ryzykiem nie ma znaczących
polskich rozwiązań, ale istnieje kilka obcych standardów
utworzonych przez różnego rodzaju organizacje zajmują-
ce się tą problematyką. Międzynarodowym standardem
określającym podejście do procesu zarządzania ryzykiem
jest norma ISO 31000:2009. Dokument ten zawiera ogól-
ne zasady i wytyczne dotyczące zarządzania ryzykiem,
które mogą być stosowane we wszystkich organizacjach,
ponieważ nie są one specyficzne dla konkretnej branży
czy sektora. W związku z tym,
że ISO 31000 nie promuje jed-
nolitego modelu zarządzania
ryzykiem, standard ten nie
jest przeznaczony do celów
certyfikacji. Służy on przede
wszystkim do zharmonizowa-
nia i wsparcia innych norm
ISO związanych z ujętymi w nich i opisanymi konkret-
nymi rodzajami zagrożeń.
Obecnie toczą się prace Komitetu Technicznego nr 6 ds.
Systemów Zarządzania Polskiego Komitetu Normaliza-
cyjnego, które mają na celu opracowanie norm PN-ISO
31000 „Zarządzanie ryzykiem – Zasady i wytyczne” oraz
PKN–ISO GUIDE 73 „Zarządzanie ryzykiem – Termi-
nologia”, będących polskimi odpowiednikami oryginal-
nych dokumentów anglojęzycznych.
Podstawą metodyczną opracowania normy ISO 31000 był
australijsko-nowozelandzki standard AS/NZS 4360:2004
będący poprawioną wersją dokumentu z 1999 r. opisujące-
go proces zarządzania ryzykiem. AS/NZS 4360 opracowa-
ny został w 2004 r. wspólnie przez Joint Standards Austra-
lia i Standards New Zealand Committee OB-007. Komitety
te zdecydowały wówczas, że za kolejne pięć lat, zamiast
przeprowadzać rutynowe zmiany opracowanej przez siebie
normy, będą promowały rozwój jednolitego, międzynaro-
dowego standardu. Zaowocowało to opracowaniem w 2009
r. wspomnianego na wstępie dokumentu ISO 31000:2009.
Ó
Podejście systemowe
Norma ISO 31000 opisuje systemowo-sytuacyjne po-
dejście do zarządzania ryzykiem. Istotą systemowego
podejścia do zarządzania ryzykiem jest uświadomienie
zarządowi przedsiębiorstwa, że wzajemne wpływy w fir-
mie nie następują tylko jednokierunkowo.
W praktyce analizę otoczenia przedsiębiorstwa można
przeprowadzić przy pomocy metody PEST (analiza czyn-
ników politycznych, ekonomicznych, społeczno-kultu-
rowych oraz technologicznych) lub jednej z jej odmian
(PESTER lub PRESTCOM) i uzyskane wyniki powiązać
z analizą trendów wybranych czynników określających
prawdopodobne kierunki ich rozwoju. Wyniki wspo-
mnianej analizy można również wykorzystać do budowy
scenariuszy stanów otoczenia oraz określenia prawdopo-
dobnych przebiegów wybranych przyszłych wydarzeń.
Analizę sektora można natomiast przeprowadzić metodą
tworzenia map grup strategicznych, punktowej analizy
atrakcyjności sektora, metodą pięciu sił lub poprzez za-
stosowanie benchmarkingu.
Struktura ramowa dla zarządzania ryzykiem obejmuje
również opracowanie i przyjęcie polityki zarządzania
ryzykiem, przypisanie odpowiedzialności, integrację
procesu zarządzania ryzykiem z pozostałymi procesami
w organizacji, przydzielenie zasobów oraz ustalanie spo-
sobów komunikacji wewnętrznej i raportowania.
Aby zilustrować wzajemne powiązania pomiędzy syste-
mem celów przedsiębiorstwa, Robert S. Kaplan i David P.
Norton wskazują na możliwość wykorzystania koncepcji
mapy strategii [Kaplan R. S., Norton D. P., Masz problem
ze strategią? Przedstaw ją w formie mapy – w pracy Se-
krety skutecznych strategii, pod red. Jankowski W., HBR
Polska, Warszawa 2007 s. 46].
Już starożytni wiedzieli, że
punktem wyjścia wszelkich
dobrze
zorganizowanych
działań jest postawienie ja-
sno określonych celów. ISO
31000 zaleca, aby wdrażanie
systemu zarządzania ryzy-
kiem, monitorowania i prze-
glądu istniejącej struktury oraz jej ciągłego doskonalenia
zostało poprzedzone budową odpowiedniego systemu
mierników związanego z opracowanym uprzednio sys-
temem celów. W praktyce, do budowy takiego systemu,
opartego o różne perspektywy przedsiębiorstwa, można
zastosować strategiczną kartę wyników [Kaplan R. S.,
Norton D.P., Strategiczna karta wyników. Jak przełożyć
strategie na działanie. PWN, Warszawa 2007 s. 32].
ISO 31000 ujmuje ryzyko jako skutek powstały w wy-
niku niepewności w odniesieniu do ustalonych przez
przedsiębiorstwo celów. Jak podaje Krzysztof Jajuga,
w takim ujęciu jest to ryzyko rozumiane neutralnie,
zarówno jako szansa, jak również zagrożenie [Jajuga K.,
Zarządzanie ryzykiem. PWN, Warszawa 2009 s. 13]. Po-
dejście to umożliwia zatem zarówno zarządzanie zagro-
żeniami, jak również doskonalenie zarządzania poten-
cjalnymi szansami.
Oprócz międzynarodowej normy ISO istnieje również
kilka innych standardów zarządzania ryzykiem, takich
jak standard opracowany w Wielkiej Brytanii, opubliko-
wany przez Federację Europejskich Stowarzyszeń Zarzą-
dzania Ryzykiem (Federation of European Risk Manage-
ment Associations, FERMA) czy amerykański Enterprise
Risk Management – Integrated Framework (Zarządzanie
Ryzykiem Korporacyjnym – zintegrowana struktura ra-
mowa), zwany COSO II, który został opracowany przez
Committee of Sponsoring Organizations of the Tread
way Commission (COSO).
Standard FERMA definiuje ryzyko jako
kombinację prawdopodobieństwa
wystąpienia zdarzenia oraz jego skutków
i uwzględnia dwoistą perspektywę
ryzyka rozumianą neutralnie
30
Z
arządzanie pr
odukcją
Logistyka Produkcji
www.logistyka-produkcji.pl
Ó
FERMA
Podobnie jak inne standardy, FERMA zakłada, że przeło-
żenie założeń strategicznych na cele taktyczne i opera-
cyjne musi być powiązane z określeniem odpowiedzial-
ności kadry kierowniczej i pracowników zajmujących się
zarządzaniem ryzykiem. Działania te powinny pozosta-
wać w silnym związku z promowaniem efektywności
działania na wszystkich szczeblach organizacji. Efektyw-
ność ta może zostać osiągnięta poprzez usprawnienie
procesu podejmowania decyzji, planowania i określania
priorytetów na podstawie kompleksowej wiedzy o orga-
nizacji, stopnia niepewności oraz możliwych do wystą-
pienia szans i zagrożeń.
Standard FERMA defi niuje ryzyko jako kombinację
prawdopodobieństwa wystąpienia zdarzenia oraz jego
skutków i uwzględnia dwoistą perspektywę ryzyka ro-
zumianą neutralnie.
FERMA powstał w wyniku wspólnych prac największych
brytyjskich organizacji branżowych: Instytutu Zarzą-
dzania Ryzykiem (The Institute of Risk Management –
IRM), Stowarzyszenia Menedżerów Ubezpieczeniowych
i Zarządzających Ryzykiem (The Association of Insuran-
ce and Risk Managers – AIRMIC) oraz Krajowego Forum
na rzecz Zarządzania Ryzykiem w Sektorze Publicznym
– ALARM (ALARM The National Forum for Risk Mana-
gement in the Public Sector).
Dokument FERMA podkreśla, że ryzyko może wynikać
zarówno z przyczyn wewnętrznych organizacji, jak i ze-
wnętrznych czynników otoczenia, a oba te obszary na-
kładają się na siebie (rys. 1).
Rysunek ilustruje proces zarządzania ryzykiem opisany
przez standard FERMA. Proces ten zawiera kilkanaście
dodatnich sprzężeń zwrotnych. W szczególności cele
strategiczne przedsiębiorstwa są określane nie tylko na
podstawie informacji pochodzących z otoczenia przed-
siębiorstwa, lecz również na podstawie stanu powsta-
jącego na wyjściu systemu (monitorowanie), który po-
zwala dokonać stosownych zmian na jego wejściu (cele
strategiczne).
Ó
COSO II
W standardzie COSO II zarządzanie ryzykiem jest proce-
sem, który ma za zadanie identyfi kować potencjalne zda-
rzenia mogące wywrzeć negatywny wpływ na przedsię-
biorstwo, a utrzymywanie ryzyka w ustalonych granicach
ma zapewnić realizację celów przedsiębiorstwa. COSO II
wprowadza kilka kategorii celów: strategiczne – wypływa-
jące z misji fi rmy; operacyjne – związane z efektywnym
i wydajnym wykorzystaniem zasobów organizacji; spra-
wozdawczości, które są uwarunkowa-
ne jej wiarygodnością oraz celów
zgodności – opartych na prze-
strzeganiu prawa.
Poszczególne
kategorie
celów pozostają w rela-
cjach ze wszystkimi ele-
Narzędzia nieustannej budowy wartości fi rm
Or
ganizacja
W
ydział
K
omórk
a
Filia
Środowisko wewnętrzne
Str
ate
gic
zne
Op
era
cyj
ne
Spr
awo
zda
wcz
ość
Zg
od
no
ść
Ustalenie celów
Identyfikacja zdarzeń
Ocena ryzyka
Reakcja na ryzyko
Kontrola
Informacja i komunikacja
Monitorowanie
Źródło: COSO Enterprise Risk Management – Integrated
Framework: Executive Summary and Framework.
Rysunek 2.
Punktem wyjścia wszelkich dobrze zorganizowanych działań
jest postawienie jasno określonych celów
31
Z
arządzanie pr
odukcją
Logistyka Produkcji
www.logistyka-produkcji.pl
Cele strategiczne
przedsiębiorstwa
Zmiany
Formalny audyt
Ocena ryzyka
Informowanie o ryzyku
Decyzja
Postępowanie
wobec ryzyka
Sprawozdawczość
i komunikowanie
Monitorowanie
Źródło: Opracowanie własne na podstawie FERMA
Risk Management Standard
Rysunek 1. Proces zarządzania ryzykiem
w standardzie FERMA.
mentami zarządzania ryzykiem, na które składają się:
środowisko wewnętrzne, metody ustalania celów, iden-
tyfikacji zdarzeń i oceny ryzyka, reakcja na wystąpienie
ryzyka, działania kontrolne, informacja i komunikacja
oraz monitorowanie związane z doskonaleniem procesu
zarządzania ryzykiem, które odbywa się poprzez ciągłą
ocenę osiąganych wyników.
Dokument COSO II określa zdarzenie jako sytuację, któ-
ra wywiera negatywny wpływ na osiąganie określonych
celów i definiuje ryzyko jako zdarzenie będące zagroże-
niem, które może uniemożliwić tworzenie wartości lub
zniszczyć już istniejącą. (rys.2)
Rysunek prezentuje strukturę ramową zarządzania ryzy-
kiem w COSO II, na którą składają się relacje pomiędzy
celami i elementami zarządzania ryzykiem oraz struktu-
rą organizacyjną przedsiębiorstwa.
Związek pomiędzy celami, czyli tym co organizacja za-
mierza osiągnąć a komponentami, czyli tym co jest ko-
nieczne do osiągnięcia postawionych celów, ukazany
w został w postaci trójwymiarowej kostki, która ilustruje
relacje pomiędzy wszystkimi elementami składającymi
się na proces zarządzania ryzykiem. Pierwszy z wymia-
rów tej kostki wskazuje na główne elementy zintegro-
wanego systemu zarządzania ryzykiem w przedsię-
biorstwie, do których należą: środowisko wewnętrzne,
ustalanie celów, identyfikacja zdarzeń, ocena ryzyka, re-
akcja na ryzyko, kontrola, informacja i komunikacja oraz
monitorowanie.
Ó
Wiktor Konieczny