Navigation
    Szukaj

    Czy zarządzanie ryzykiem jest trudne?

    Większość osób związanych zawodowo z normami ISO słyszała o zmianach w standardach ISO 9001 oraz ISO 14001. Stare wersje tych norm stracą ważność 15 września 2018 roku, już teraz pojawiają się jednak pytania, jak podejść do tematu świadomego zarządzania ryzykiem według nowych wytycznych. Do rozmowy na ten temat zaprosiliśmy Jacka Sadowskiego, Kierownika Sekcji Certyfikacji Systemów Zarządzania TÜV Rheinland Polska.

    An embedded media content from YouTube has been blocked. When loading or playing, a connection to the provider's servers is established and cookies are set. For more information, please see our privacy policy and cookie information.

    Load

    Dwie najpopularniejsze normy ISO 9001 oraz ISO 14001 w najnowszych wersjach, przetłumaczonych na język polski kilka miesięcy temu, nakładają na organizacje obowiązek szacowania zagrożeń dla zaplanowanych procesów biznesowych. Teoretycznie to wymaganie nie jest niczym nowym, czy firmy są na nie gotowe? Czy świadome zarządzanie ryzykiem jest trudne?

    Położyłbym tutaj nacisk na „świadome” zarządzanie ryzykiem, konieczność rozważenia zagrożeń, aby ograniczyć możliwy wpływ „nieoczekiwanego”. Każdy menedżer prowadzący jakąkolwiek działalność w jakiś sposób bierze pod uwagę zagrożenia, które mogą zaburzyć funkcjonowanie jego biznesu. U niektórych proces ten odbywa się gdzieś z tyłu głowy.

    Ryzyko definiowane jest jako wpływ niepewności na cele. Kluczowe zatem jest rozważenie, co i w jaki sposób organizacja chce osiągnąć prowadząc biznes, w jakim otoczeniu funkcjonuje, co wpływa na jej działalność i jak ona oddziałuje na świat wokół niej. Wszystko to nazywa się kontekstem organizacyjnym. Właściwe przemyślenie tych kwestii pozwala na określenie większości zagrożeń, z którymi firma może mieć do czynienia, pomaga wybrać te najistotniejsze (najczęściej z punktu widzenia prawdopodobieństwa zdarzenia i potencjalnych skutków), dla których powinny zostać przewidziane działania prewencyjne.

    Zapobieganie zidentyfikowanym ryzykom buduje stabilną sytuację organizacji na rynku i zwiększa zaufanie do niej. Powoduje, że zarządzający potrafią przewidywać trendy, zamiast podążać za innymi.

    Świadome zarządzanie ryzykiem nie jest więc trudne, ale powinno być prowadzone systemowo, aby jego wyniki były jak najlepiej dostosowane do działalności organizacji.

    Wspomniane zmiany w normach ISO wprowadzają jednakowe definicje i układ dla wszystkich systemów zarządzania. Czy można się zatem spodziewać, że każda nowelizowana norma ISO będzie w podobny sposób regulowała kwestie ryzyka? Jak to wygląda obecnie, np. w przypadku ISO 27001 czy ISO 50001?

    Analizowanie ryzyk, zarządzanie nimi oraz podejmowanie działań w celu minimalizacji najważniejszych z nich jest nieodłącznym elementem świadomego zarządzania. Trudno więc się dziwić, że elementy te pojawiają się również w standardach opisujących wymagania dla poszczególnych systemów zarządzania.

    W niektórych z nich elementy te widoczne były od początku. Tak było w przypadku systemu zarządzania bezpieczeństwem i higieną pracy, w którym opisywane były wymagania dla zarządzania ryzykiem związanym z wykonywaną pracą. Podobnie w systemie zarządzania bezpieczeństwem informacji rozważane są ryzyka i zabezpieczenia związane z aktywami informacyjnymi. W systemie zarządzania bezpieczeństwem żywności natomiast jest mowa o identyfikacji zagrożeń jakości zdrowotnej żywności.

    Wymagania dotyczące analizowania ryzyka i zapobiegania mu pojawiły się również w nowych wydaniach norm opisujących systemy zarządzania jakością i środowiskiem (działania związane z ryzykiem zastąpiły wcześniej opisywane działania zapobiegawcze). Należy się spodziewać, że wymagania dotyczące analizowania ryzyka i działań ukierunkowanych na nie będą pojawiały się również w kolejnych nowelizowanych standardach.

    Eksperci jednostki TÜV Rheinland Polska mają styczność z przedsiębiorstwami z różnych branż, od przemysłu spożywczego przez producentów chemii gospodarczej, po przemysł ciężki. Szczególnie w przypadku wyrobów konsumenckich trzeba brać pod uwagę zagrożenie dla zdrowia i życia użytkowników. Proszę powiedzieć, jak ten temat jest regulowany przez standardy branżowe i jak te rozwiązania mają się do wytycznych nowej wersji ISO 9001.

    Norma ISO 9001 mówi o „myśleniu opartym na ryzyku”. O tym, że należy zastanowić się nad zagrożeniami, które mogą wystąpić w zaprojektowanych procesach i w uzasadnionych przypadkach podjąć działania, aby im przeciwdziałać. ISO 9001 jest standardem ogólnym – może ją wdrożyć każda organizacja niezależnie od działalności, jaką prowadzi. Stąd wynika również ogólność rozwiązań w niej opisanych.

    W wielu dziedzinach mamy jednak normy bardziej szczegółowe (często oparte na wymaganiach ISO 9001), dostosowane do specyfiki poszczególnych sektorów. Takimi normami są np. norma dla producentów wyrobów medycznych ISO 13485, czy normy w zakresie bezpieczeństwa żywności. W standardach tych często obowiązują bardziej szczegółowe wymagania dotyczące zarządzania ryzykiem i działań podejmowanych na podstawie analizy ryzyka.

    Jak podejście do zarządzania ryzykiem różni się w zależności od specyfiki organizacji? Czy, co do zasady, zarządzanie ryzykiem w służbie zdrowia różni się od zarządzania ryzykiem w przedsiębiorstwie produkcyjnym? Pytam o podejście systemowe i metodologię wdrożenia.

    Wszystko zależy od kontekstu organizacji. Co i dla kogo robi, w jakim otoczeniu funkcjonuje, jakie wymagania prawne i inne regulują jej działalność. Rozważenie tych kwestii pozwala na zaprojektowanie odpowiednich procesów tak, aby dostarczane usługi czy wyroby odpowiadały wymaganiom klientów. Pozwala to również na zidentyfikowanie zagrożeń, które mogą te procesy zaburzyć i spowodować, że w efekcie powstanie wyrób nie odpowiadający wymaganiom czy usługa, która nie spełnia przepisów prawnych. To jest ta część zarządzania ryzykiem, która musi być specyficzna dla każdej organizacji, bo każda działa w innym, specyficznym dla niej kontekście.

    Inne będą uwarunkowania działalności szpitala, który świadczy usługi medyczne w sposób sztywno określony wymaganiami przepisów, zależny każdorazowo od indywidualnego badania i diagnozy pacjenta. W wypadku szpitala działalność podlega kontrolom wielu instytucji. Inaczej będzie działał producent odkuwek, dla którego wymaganiami będą przede wszystkim specyfikacje klienta i normy techniczne.

    Również kontekst dwóch organizacji wytwarzających to samo będzie się najczęściej różnił, ponieważ zwykle działają na różnym rynku lokalnych klientów i konkurentów, zatrudniają pracowników z lokalnego (różniącego się) rynku pracy, inne mogą być także miejscowe uregulowania prawne.

    Kiedy każdy określi już na własne potrzeby odpowiednie procesy i zdarzenia, które mogą je zaburzyć, w następnym kroku należy określić wartości tych ryzyk. Najczęściej robi się to na podstawie prawdopodobieństwa wystąpienia potencjalnych zagrożeń i ich konsekwencji (tutaj należy zastanowić się np. nad możliwymi karami za niedotrzymanie wymagań, spowodowane zaburzeniem procesu, utratą korzyści, utratą zaufania). Następnie należy ocenić, które z tych ryzyk organizacja jest w stanie zaakceptować, a skutki których są zbyt wysokie, aby się z nimi pogodzić. Dla ryzyk zbyt wysokich trzeba zastanowić się nad działaniami, które pomogą te ryzyka zmniejszyć. Ta część zarządzania ryzykiem (jeżeli chodzi o sposób postępowania) jest w zasadzie niezależna od rodzaju organizacji.

    Oczywiście sposoby zmniejszania ryzyka muszą być specyficzne – dostosowane do kontekstu organizacji i jej procesów. Ryzyko można minimalizować na wiele sposobów – m.in. przebudowując procesy (np. zwiększając kontrolę), podnosząc kwalifikacje pracowników, szukając innych dostawców czy wreszcie ubezpieczając się od konkretnych ryzyk. Ponieważ otoczenie zmienia się nieustannie, określone wcześniej procesy i zagrożenia powinny być regularnie przeglądane, aby zidentyfikować pojawiające się ryzyka i przypisane im wartości.

    Od roku 2009 istnieje standard ISO 31000, poświęcony procesom zarządzania ryzykiem. Czy może Pan ocenić jego popularność wśród polskich firm i organizacji? Jak Pan ocenia jego przydatność?

    Norma ISO 31000 opisuje ogólne zasady i wytyczne zarządzania ryzykiem, postępowanie według schematu:

    • Ustanowienie kontekstu zarządzania ryzykiem
    • Identyfikacja ryzyka
    • Analiza ryzyka
    • Wartościowanie ryzyka
    • Opracowanie sposobów postępowania z ryzykiem

    Opisuje również ustanowienie struktury zarządzania ryzykiem, sposób komunikacji w zarządzaniu ryzykiem itp. Nie omawia natomiast, z uwagi na swoją ogólność, szczegółowych metodologii, jak ryzyko wartościować. A metodologii tych funkcjonuje wiele – jakościowych i ilościowych – głównie opartych na prawdopodobieństwie wystąpienia niepożądanych zdarzeń (materializacji zagrożeń) i ciężkości ich następstw. Metodologię każdy musi wybrać odpowiednią dla siebie, dostosowaną do kontekstu organizacji.

    Norma ISO 31000 jest normą ogólną – tak, jak w przypadku systemu zarządzania jakością norma ISO 9001 – skierowaną do wszystkich organizacji. Jest w związku z tym tylko jednym z narzędzi zarządzania ryzykiem.

    W poszczególnych dziedzinach funkcjonują często inne narzędzia, dostosowane do specyfiki sektora. Zasady opisane w normie ISO 31000 należałoby potraktować jako zdroworozsądkową listę – jeżeli w zarządzaniu ryzykiem będziemy zgodnie z nimi postępować – wyniki analizy ryzyka powinny być wiarygodne, a zarządzanie ryzykiem powinno przynieść oczekiwane rezultaty.

    Jacek Sadowski - Kierownik Sekcji Certyfikacji Systemów Zarządzania TÜV Rheinland Polska
    Kontakt