Bezpieczeństwo
Zarządzanie bezpieczeństwem  isrs7
Wstęp do oceny ryzyka
Rozpoczynamy omawianie procesów należących do triady  Zarządzanie ryzykiem . Jest to
jedna z najważniejszych kompetencji związanych z systemami zarządzania.
cena ryzyka to pierwszy krok na trudnej dro- Można powiedzieć, że są to wyznaczniki no-
Krystyna
Odze wdrożenia kultury zarządzania ryzykami woczesnego podejścia do zarządzania ryzykami
Karczewska
w organizacji. Dwa następne kroki to: ograniczanie organizacji.
Jerzy Karczewski
ryzyk, na podstawie dokonanej oceny, oraz moni-
DNV Polska
torowanie ryzyk. CEL PROCESU
 OCENA RYZYKA
NA WYNIKI KLASYCZNEJ Podstawowym celem jest jak najpełniejsze wdro-
OCENY RYZYKA SKA
ADAJ
SI
: żenie nowoczesnego podejścia do zarządzania
" identyfikacja zagrożeń, ryzykami. Warto pamiętać, że dobre zarządzanie
" analiza ryzyka, ryzykami to klucz do realizacji celów, które okre-
" ustalenie środków ochrony, ślają priorytetowe dla danej organizacji wskaz
niki
" oszacowanie ryzyka, będące miarą sukcesu.
" podjęcie decyzji, czy dane ryzyko jest akcepto-
walne. Współpraca
Wyniki te stają się podstawą do wdrożenia Dobra współpraca jest potrzebna pomiędzy wszyst-
ustalonych środków ochrony (ograniczanie ryzyka) kimi osobami zaangażowanymi w proces zarządza-
oraz docelowo do monitorowania ryzyka, które ma nia ryzykami organizacji:
odpowiedzieć na dwa pytania: " kierownictwem organizacji podejmującym klu-
" Czy środki ograniczające ryzyka zostały prawidło- czowe decyzje,
wo wdrożone i czy są prawidłowo stosowane? " specjalistami odpowiedzialnymi za analizę,
" Czy stosowane środki ograniczające ryzyka są szacowanie ryzyka oraz ustalenie optymalnych
wystarczająco skuteczne? sposobów ograniczania ryzyk,
Wyniki z monitorowania wykorzystywane są do " kadrą kierowniczą odpowiedzialną za wdrożenie
doskonalenia dwóch pierwszych elementów: oceny i stosowanie działań mających na celu ogranicza-
ryzyka i ograniczania ryzyka. nie ryzyk,
Wdrożenie kultury zarządzania ryzykiem to
wielkie wyzwania dla organizacji. Wymaga ono
Cztery filary dobrego zarządzania
zmian kulturowych (zmiana wewnętrznego nasta-
ryzykiem w organizacji
wienia, zmiana w hierarchii wartości, akceptacja
nowych postaw), co w efekcie ma doprowadzić do
pożądanych zachowań związanych z zarządzaniem
ryzykami. Warto popatrzeć na wersję roboczą
grupy roboczej ISO TMB/WG (1) wytycznych do
Współpraca
zarządzania ryzykiem, gdzie dobre zarządzanie
ryzykami traktowane jest jako warunek konieczny
do realizacji celów organizacji. Naszym zdaniem
Zakres pionowy Zakres poziomy
dobre zarządzanie ryzykami oparte jest na czterech
filarach (ryc. 1):
" dobra współpraca,
Ryzyka pozytywne
" odpowiedni zakres pionowy zarządzania
i negatywne
ryzykami,
" odpowiedni zakres poziomy zarządzania
ryzykami,
" uwzględnianie ryzyk pozytywnych i negatywnych. Ryc. 1
20 Promotor 6/08
Bezpieczeństwo
" kadrą dozoru bezpośredniego mająca największy kierownictwo zarządza najważniejszym ryzykami,
wpływ na codzienne działania pracowników, mogącymi stanowić zagrożenie dla istnienia organi-
" wszystkimi pracownikami mającymi bezpośredni zacji, ale równocześnie mogącymi przyczynić się do
wpływ na zarządzanie ryzykami, na stosowanie jej sukcesów (patrz ryzyko pozytywne i negatywne).
środków mających na celu ograniczenie ryzyka, Zostało to omówione w artykule poświęconym pro-
zgłaszanie wszystkich zauważonych nieprawidło- cesowi 1. Przywództwo (2). Podproces 1.7 to wła-
wości, a nawet szukanie możliwości poprawy. śnie zarządzanie największymi ryzykami: sytuacje
Szczególne ważna jest postawa kierownictwa kryzysowe, plany kontynuacji biznesu, najpoważ-
organizacji, zgodnie z jedną z podstawowych zasad niejsze awarie i katastrofy, utrata dobrego imienia
zarządzania: przykład idzie z góry. To właśnie zaan- itp. Pozostałe ryzyka na poziomie operacyjnym
gażowanie i postawa kierownictwa odgrywa decy- nadzorowane są przed kadrę kierowniczą, dozór
dującą rolę w początkowej fazie budowania kultury bezpośredni oraz samych pracowników. To właśnie
zarządzania ryzykami. Dobry przykład będzie od- od ich codziennej postawy zależy, czy i do jakiego
działywał pozytywnie na motywację pracowników, poziomu ryzyka organizacji zostaną ograniczone.
zły przykład praktycznie niweczy wszystkie wysiłki
związane z budową kultury zarządzania ryzykiem. Zakres poziomu
Warto jeszcze pamiętać o współpracy ekspertów zarządzania ryzykiem
(osoby oceniające ryzyko) z osobami narażonymi. W jednej z wcześniejszych publikacji poświęconych
Podstawowym warunkiem dobrej współpracy jest zarządzaniu ryzykiem użyliśmy pojęcia  totalne
dobra komunikacja, zarówno w obszarze wiedzy zarządzanie BHP przez analogię do  totalnego za-
o ryzykach, jak i w obszarze pozytywnej motywacji rządzania jakością . Dzisiaj możemy użyć nowego
do przestrzegania przyjętych zasad odnoszących pojęcia  totalne zarządzanie ryzykami .
się do ograniczania ryzyk. Największe sukcesy mają Zarządzanie na wszystkich szczeblach struktury
te firmy, w których proces oceny ryzyka odbywa się organizacyjnej już omówiliśmy. Przejdz
my teraz do
w grupach mieszanych, w skład których wchodzą zakresu  poziomego , który rozumieć będziemy
ekspert oraz bezpośrednio narażeni. Pozwala to jako obszar ryzyk objęty formalną oceną, wdroże-
od samego początku  wciągnąć pracowników niem środków ograniczających ryzyko oraz monito-
do budowania odpowiedniej atmosfery wokół rowaniem. Klasyczne podejście do problemu oceny
zarządzania ryzykami, dzięki temu, że pracując ryzyka to ryzyka związane z bezpieczeństwem
w grupach uczą się, a pracując wspólnie nad do- i higieną pracy. W celu uzyskania pełnego obrazu
borem optymalnych środków ograniczenia ryzyka można jeszcze dodać:
stają się  zakładnikami zasad przyjętych przez " ryzyka środowiskowe,
siebie. Z psychologicznego punktu widzenia dużo " ryzyka związane z jakością,
łatwiej jest łamać zasady narzucone przez innych, " ryzyka związane z bezpieczeństwem informacji,
niż zasady, w opracowywaniu których samemu " ryzyka związane z żywnością1,
brało się udział. " ryzyka związane z ochroną firmy,
" ryzyka związane z bezpieczeństwem proceso-
Zakres pionowy wym,
zarządzania ryzykiem " ryzyka związane z utratą dobrego imienia,
Jeszcze raz odwołajmy się do wytycznych do " ryzyka związane z nieprzestrzeganiem wymagań
zarządzania ryzykiem (1). Proces zarządzania prawnych,
ryzykiem opisany jest jako  iteratywny proces cią- " inne.
głego doskonalenia, który jest doskonale wtopiony Proces zarządzania ryzykami firmy jest jeden, dla-
w procesy biznesowe . tego w procesie analizy, kiedy zastanawiamy się nad
Zwróćmy uwagę na dwa elementy:  iteratywny skutkami, jakie może dane zagrożenie spowodować,
proces ciągłego doskonalenia , czyli proces cią- powinniśmy starać się wziąć pod uwagę wszystkie
gły mający na celu stałą poprawę uzyskiwanych rodzaje ryzyk. Dla przykładu: macierz ryzyka stoso-
wyników, oraz  doskonale wtopiony w procesy wana przez Shell Chemie Nederland uwzględnia:
biznesowe , czyli będący integralną częścią proce- " ryzyka BHP,
sów biznesowych od tych na najwyższym poziomie " ryzyka utraty lub zniszczenia mienia,
zarządzania (strategia) poprzez poziom operacyjny, " ryzyka środowiskowe,
aż do zadań wykonywanych przez pracowników " ryzyko utraty dobrego imienia.
liniowych (operatorów). W ocenie ryzyka należy wziąć pod uwagę, że
Tak rozumiane zarządzanie ryzykiem oznacza, że różne zagrożenia mogą wymagać bardzo różnych
1
ISO 22000:2006
wszyscy pracownicy organizacji w sposób świadomy metod analizy oraz szacowania poziomu ryzyka.
System Zarządzania
zarządzają ryzykami na swoim poziomie, a jedno- Na poziomie ogólnym rozważamy wszystkie bardzo
Bezpieczeństwem
cześnie szukają możliwości poprawy. Najwyższe różne w swojej naturze ryzyka: Żywności.
www.promotor.elamed.pl 21
Bezpieczeństwo
Nowe podejście do szacowania ryzyk, tzw. motyl (ang. butterfly)
Ryzyko pozytywne Prawdopodobieństwo Ryzyko negatywne
Bardzo prawdopodobne
Prawdopodobne
Bardzo mało prawdopodobne
Duże Średnie Małe Małe Średnie Duże
Potencjalne skutki pozytywne (korzyści) Potencjalne skutki negatywne (straty)
Ranking ryzyk
Złote Zielone
Srebrne Żółte
Brązowe Czerwone
Ryc. 2
" urazowe (upadek z wysokości, pochwycenia musi podejmować adekwatne decyzje w zakresie
przez obrabiarkę), zarządzania ryzykami. Wyobraz
my sobie, że każdy
" chorobowe (azbestoza, schorzenia układu mię- z wyżej wymienionych obszarów to jeden kolor, np.
śniowo-szkieletowego), czerwony  urazy, żółty  choroby, zielony  śro-
" środowiskowe (emisja CO2, zanieczyszczenie wód dowisko, niebieski  jakość, fioletowy  ochrona
gruntowych związkami metali ciężkich), firmy, biały  dobre imię firmy. Wyobraz
my sobie,
" mienie firmy (awaria pompy, uszkodzenie pojazdu jak będzie wyglądał obraz, jeśli zostawimy tylko
w wyniku zderzenia), jeden kolor na czarnym tle. Prawdopodobnie
" ochrona firmy (kradzież, zamach w ogóle nie będzie można rozpoznać, co na nim
terrorystyczny), zostało narysowane. I na takiej podstawie trzeba
" utrata dobrego imienia (zła jakość wyrobów, podejmować kluczowe decyzje. Im więcej dodamy
zła obsługa klientów), kolorów, tym większa szansa, że osoby podejmu-
" itd. jące decyzje uzyskają prawidłowy obraz sytuacji
Stosowane są tutaj zazwyczaj proste metody, w organizacji, a podjęte decyzje będą trafne,
takie jak macierze ryzyka czy grafy ryzyka. Są skuteczne i efektywne.
one wystarczające, aby zorientować się, jakie są
najpoważniejsze ryzyka w organizacji. Te wyma- Ryzyka pozytywne i negatywne
gają zazwyczaj dalszej dokładnej analizy i wtedy Totalne zarządzanie ryzykiem wymaga odpo-
2
FMEA  Failure Mode
stosowane są inne metody, specyficzne dla danego wiednich zakresów w pionie (od kierownictwa do
and Effect Analysis.
3
typu zagrożeń, np: liniowego pracownika) i w poziomie (im więcej
Kombinacja
drzewa błędów
" FMEA2 dla maszyn, rodzajów ryzyk, tym lepiej). Przez całe dziesiątki
i drzewa zdarzeń.
" analiza bow-tie3 dla zagrożeń procesowych, lat słowa  zagrożenie i  ryzyko kojarzone były
4
CCP  Common
" CCP4 dla analizy błędów ludzkich. ze stratami, czyli negatywnymi skutkami dla orga-
Cause Failure.
5
Podejście takie nazywamy kaskadową oceną nizacji czy dla samego pracownika. Nowoczesne
ISO 14001:2004
Environmental ma-
ryzyka. Dobór odpowiednich metod na drugim podejście do zarządzania ryzykiem wprowadza
nagement systems
poziomie analizy ma decydujący wpływ na dobór nowe pojęcie analogiczne do ryzyka poniesienia
 Requirements
with guidance for adekwatnych środków ograniczających ryzyko straty (ryzyko negatywne), a mianowicie  ryzyko
use, wersja polska
i uzyskanie w pełni wiarygodnego, akceptowanego sukcesu (3) (ryzyko pozytywne). To nowe po-
wydana przez PKN ma
poziomu ryzyka. Im bardziej kompleksowa analiza dejście stawia nowe wyzwania przed osobami
oznaczenie PN-EN ISO
14001:2005 System
skutków, tym bardziej efektywny system ograni- odpowiedzialnymi za zarządzanie ryzykami.
zarządzania środowi-
czania ryzyk. Można to przyrównać do oglądania Oprócz ryzyk negatywnych, których identyfikacja
skowego. Wymagania
i wytyczne stosowania. obrazu, na podstawie którego kierownictwo firmy kojarzy nam się w sposób oczywisty ze stratami,
22 Promotor 6/08
Bezpieczeństwo
konieczne będzie zidentyfikowanie szans na sukces (ang.
opportunities  okazje). Do szacowania ryzyk pozytywnych
(np. poprawa motywacji pracowników, zmniejszenie liczby
awarii, poprawa komunikacji wewnętrznej, skuteczność
kampanii) używana jest analogiczna macierz jak dla ryzyk
negatywnych. Prawdopodobieństwo strat staje się prawdo-
podobieństwem sukcesu. Potencjalne straty zamieniamy
przez potencjalne korzyści dla organizacji. Na ryc. 2 przed-
stawiona jest taka podwójna macierz (3), zwana motylem
(ang. butterfly).
Po stronie strat mamy trzy kolory:
" zielony  małe ryzyko straty,
" żółty  średnie ryzyko straty,
" czerwony  największe ryzyko straty.
Po lewej stronie użyte zostały również trzy kolory:
" złoty  największa okazja na sukces,
" srebrny  średnia okazja na sukces,
" brązowy  mała okazja na sukces.
Działania podejmowane w celu ograniczenia ryzyka nega-
tywnego nazywamy zazwyczaj środkami ochrony, działania
mające na celu zwiększenie szansy na sukces możemy nazy-
wać środkami poprawy. Ślad ryzyk pozytywnych można znalez
ć
tylko w jednej z norm, a mianowicie ISO 140015, w definicji
 wpływu na środowisko , która brzmi następująco:  każda
zmiana w środowisku, zarówno niekorzystna, jak i korzystna,
która w całości lub częściowo jest spowodowana aspektami
środowiskowymi organizacji .
POZYTYWNIE ZAMIAST NEGATYWNIE
Na zakończenie jeszcze jedna uwaga, w jaki sposób organi-
zacja powinna wykorzystywać koncepcję ryzyka pozytywnego.
Pierwszy z brzegu przykład to zamiana celów negatywnych
(zero wypadków, zero awarii, zero braków) na pozytywne
(ograniczania liczby wypadków, niezawodność na poziomie
95%, braki na poziomie 0,3%). Te pierwsze prowadzą do
frustracji związanej z praktyczną  niemożnością uzyskania
celu , a nawet jeśli raz uda się go uzyskać, bardzo trudno,
o ile w ogóle możliwe, będzie jego utrzymanie. No i pytanie,
jak podejść do ciągłej poprawy. Bardzo często  takie cele
prowadzą do ukrywania wypadków (być może również awarii
czy braków). Cele pozytywne prowadzą do poprawy motywacji,
gdyż zawsze są jeszcze wypadki, awarie czy  braki , którym
można zapobiec. Zamiast formułować program mający na celu
 zero strat , co i tak praktycznie nie jest możliwe, utwórzmy
program ograniczania strat i cieszmy się z małych sukcesów
(poprawa motywacji), a jednocześnie konsekwentnie realizuj-
my ciągłą poprawę.
Piśmiennictwo
1. ISO TMB/WG. Risk Management  Guidelines on prin-
ciples and implementation of risk management, http://
www.nsai.ie/uploads/file/N047_Committee_Draft_of_
ISO_31000.pdf.
2. Karczewski K., Karczewski J.: Przywództwo.  Promotor nr
3/08, Wydawnictwo Elamed.
3. DNV, kurs msm2 Buiding the Risk Competences, Det Norske
Veritas AS, Veritasveien 1, 1322 Hovik, Norway, 2007.
www.promotor.elamed.pl 23