Każda organizacja działa w niepewnym otoczeniu, które często ma sprzeczne interesy i negatywne nastawienie do działania tej organizacji. Niepewność otoczenia to ryzyko dla organizacji, ryzyko które należy zidentyfikować i odpowiednio zarządzić. Odpowiednie zarządzanie ryzykiem umożliwi redukowanie zagrożeń i podatności, a także wykorzystanie pojawiających się szans.

Bezpieczeństwo jest podstawową potrzebą każdego człowieka, a zapewnienie bezpieczeństwa jest kluczowym aspektem stabilizacji i dobrobytu. Potrzeba bezpieczeństwa odnosi się do wszelkich dziedzin funkcjonowania człowieka zarówno życia prywatnego, jak też społecznego czy zawodowego. Osobista potrzeba bezpieczeństwa przekłada się na oczekiwanie bezpieczeństwa organizacji/firmy w której dana osoba pracuje, ale też na poziomie bezpieczeństwa kraju czy bezpieczeństwa narodowego.

Z bezpieczeństwem nieodzownie związane jest ryzyko, rozumiane jako wpływ niepewności na cele. Takie określenie znakomicie oddaje istotę ryzyka – z jednej strony, wskazuje na bezpośrednie powiązanie ryzyka z celami organizacji, a z drugiej pokazuje że na realizację celów wpływa wiele nieznanych, zmiennych w czasie czynników.

Każda organizacja działa w niepewnym otoczeniu, które w znacznym stopniu ma nastawienie sprzeczne z interesami tej organizacji. Można powiedzieć, że każda organizacja działa w niebezpiecznym dla jej działań otoczeniu. Na kierownictwie organizacji spoczywa obowiązek zapewnienia bezpieczeństwa. Przez bezpieczeństwo rozumie się mechanizmy pozwalające organizacji radzić sobie w przypadku pojawiających się problemów. Celem wysiłków związanych z bezpieczeństwem jest zapewnienie trwałości organizacji oraz zapewnienie swobody działania.

Dla określenia pryncypiów bezpieczeństwa organizacji służy strategia bezpieczeństwa, która polega na zdefiniowaniu interesów, ocenie warunków bezpieczeństwa, sformułowaniu koncepcji strategicznej oraz ustanowieniu systemu bezpieczeństwa.

Rozważając pojęcie bezpieczeństwa należy spojrzeć na nie w dwóch perspektywach:

  • jako stan – aktualne/osiągnięte poczucie bezpieczeństwa organizacji
  • jako proces – działania dla zapewnienia poczucia bezpieczeństwa organizacji

Patrząc od strony praktycznej bezpieczeństwo należy rozumieć jako funkcjonowanie różnych procesów stricte związanych z bezpieczeństwem oraz uwzględnienie zagadnień bezpieczeństwa w pozostałych procesach organizacji. Funkcjonowanie procesów związanych z bezpieczeństwem określa stan bezpieczeństwa postrzegany przez osoby znajdujące się w organizacji, w szczególności efektywne działanie tych procesów powoduje, że personel organizacji czuje się bezpiecznie.

Patrząc od strony procesów związanych wprost z bezpieczeństwem, najistotniejszy jest proces zarządzania ryzykiem. Inne procesy związane wprost z bezpieczeństwem to procesy zapewniające funkcjonowanie zarządzania bezpieczeństwem takie jak np. audyt wewnętrzny. W pozostałych procesach organizacji związanych z realizacją jej celów konieczne jest uwzględnienie elementów takich jak:

  • odpowiednia konstrukcja procesów (np. określona kolejność działań)
  • wprowadzenie odpowiednich czynności do procesów
  • zastosowanie określonych procedur

Proces zarządzania ryzykiem, jako kluczowy proces zapewnienia bezpieczeństwa w organizacji służy koordynowaniu działań dotyczących kierowania i nadzorowania organizacją w odniesieniu do ryzyka.

Ryzyko

Ryzyko zgodnie z normą ISO/IEC 31000 jest definiowane jako wpływ niepewności na cele, przy czym niepewność może być negatywna – szkodzić realizacji celów, ale równie często może być pozytywna (określana jako szansa) – wspiera i ułatwia realizację celów.

Ryzyko najczęściej jest utożsamiane z niepewnością w sensie negatywnym. Myśląc o ryzyku, rozważane są zazwyczaj zagrożenia dla funkcjonowania organizacji, jej słabości i podatności oraz niepożądane skutki jakie mogą uderzyć w organizację powodując negatywne następstwa. Przykładem takiej niepewności jest wyciek ważnych/wrażliwych informacji w wyniku szpiegostwa przemysłowego.

Nie można jednak zapominać o pozytywnym wydźwięku niepewności, szansach stojących przed organizacją. Ten kierunek rozpatrywania ryzyka, jako prawdopodobnej, korzystnej sytuacji stojącej przed organizacją, daje możliwość spojrzenia i ocenienia szans w zupełnie innej perspektywie. Ujęcie ryzyka w sensie pozytywnym pozwala na oszacowanie prawdopodobieństwa wystąpienia pozytywnych następstw ryzyka. Przykładem pozytywnej niepewności, szansy jest możliwość pozyskania lukratywnego kotraktu.

Niejednokrotnie niepewność ma jednocześnie charakter negatywny jak i pozytywny, stanowi zarówno zagrożenie dla organizacji ale jest też jej szansą. Przykładem pokazującym takie ryzyko, to np. sytuacja w której firma realizuje kontrakt opierając się na pracy eksperta o wysokich i unikalnych kompetencjach. Zrealizowanie kontraktu w oparciu o prace eksperta przyniesie firmie bardzo wysokie zyski, jest jej szansą. Ale również oparcie prac na określonym ekspercie niesie ryzykiem braku możliwości ukończenia prac, jeżeli ów ekspert z dowolnych przyczyn nie będzie mógł kontynuować pracy.

Ryzyko w organizacji ma wiele płaszczyzn i może być określane na wielu poziomach. Wyróżniamy ryzyko organizacji w sensie ogólnym, dotyczącym całej organizacji określane na poszczególnych poziomach zarządzania:

  • Ryzyko na poziomie strategicznym
  • Ryzyko na poziomie taktycznym
  • Ryzyko na poziomie operacyjnym

Analizując ryzyko, konieczne jest rozłożenie go na dziedziny i analizowania każdej z nich niezależnie. Rozkładając ryzyko na elementy składowe, możemy wyróżnić:

  • Ryzyko rynkowe
  • Ryzyko prawne
  • Ryzyko operacyjne
  • Ryzyko reputacji

W kategorii ryzyka operacyjnego uwzględniamy w szczególności ryzyko przetwarzania danych, w tym ryzyko teleinformatyczne.

Dziedziny ryzyka są prostopadłe w stosunku do poziomów zarządzania, w związku z czym mówiąc np. o ryzyku rynkowym musimy rozważać go zarówno na poziomie strategicznym, jak również taktycznym i operacyjnym. Ryzyko jest zatem obecne we wszystkich aspektach działania każdej organizacji i musi być uwzględniane na każdym poziomie zarządzania. Schematycznie obrazuje to Rysunek 1 Poziomy zarządzania ryzykiem.

Obecność ryzyka w każdym aspekcie działania organizacji ukierunkowuje potrzebę odpowiedniego zarządzania ryzykiem. Zastosowanie właściwych metod zarządzania ryzykiem jest kluczem do efektywnego panowania nad bezpieczeństwem organizacji, ale też mechanizmem identyfikowania i wykorzystywania szans pojawiających się przed organizacją. Zarządzanie ryzykiem pozwala też racjonalizować koszty funkcjonowania organizacji. Racjonalizowanie kosztów wynika z możliwości nadzorowania i wprowadzania tylko takich mechanizmów (środków bezpieczeństwa), które wykazują się uzasadnieniem finansowym, tj. koszty ponoszone na redukowanie ryzyka nie są wyższe niż skutki jakie organizacja poniosła by w przypadku materializacji ryzyka.

Zarządzenie ryzykiem

Jak zatem panować nad ryzykiem – najprostsza odpowiedź to odpowiednio zarządzać ryzykiem. I tu pojawia się pierwsza dobra wiadomość – każda organizacja zarządza ryzykiem, a dowodem na to, że robi to dość skutecznie jest istnienie organizacji. By łatwiej to zrozumieć, warto w tym miejscu spojrzeć na definicję zarządzania ryzykiem, np. pochodzącą z normy ISO/IEC 31000. W ramach procesu zarządzania ryzykiem następuje systematyczne stosowanie polityk, procedur i praktyk zarządzania do działań w zakresie komunikacji, konsultacji, ustanawiania kontekstu oraz identyfikowania, analizowania, ewaluacji, postępowania z ryzykiem, monitorowania i przeglądu ryzyka.

Zarządzanie ryzykiem może odbywać się w zupełnie nieświadomie – organizacja podejmuje ryzyko działania i realizacji celów, działa w sposób zupełnie intuicyjny poprzez wykorzystanie szans, przeciwdziałanie wyzwaniom oraz redukowanie ryzyka – w efekcie zarządza ryzykiem.

Przeciwieństwem takiego podejścia jest stosowanie wyrafinowanych praktyk z zakresu zarządzania ryzykiem, metodyk i uwzględnianie dojrzałych mechanizmów zarządzania przy podejmowaniu decyzji.

Pomiędzy wymienionymi powyżej sposobami podejścia do zarządzania ryzykiem jest wiele miejsca i wiele różnych metod i stylów zarządzania. Każda organizacja musi dobrać sposób zarządzania ryzykiem do własnego profilu działania, do poziomu rozwoju organizacji, do wielkości organizacji i wielu innych czynników. Rozważając wprowadzenie mechanizmów zarządzania ryzykiem, warto jest korzystać z gotowych wzorców. Ważne jest jednak, by wprowadzając do organizacji systematyczne zarządzanie ryzykiem, nie dobrać metod zbyt trudnych, bo takie podejście zamiast przynieść korzyści, będzie działało odwrotnie.

Przykładem standardu zarządzania ryzykiem jest norma ISO/IEC 31000. Norma podaje zasady i wytyczne, które są możliwe do zastosowania w praktycznie każdej organizacji, w szczególności określa proces zarządzania ryzykiem.

Podstawowym czynnikiem sukcesu przy wprowadzaniu zarządzania ryzykiem, jest zaangażowanie kierownictwa organizacji i przywództwo w podejmowanych działaniach. Zaangażowanie kierownictwa nie oznacza oczywiście konieczności udziału kierownictwa w wykonywaniu wszelkich czynności związanych z funkcjonowaniem systemu. Niemniej konieczne jest by kierownictwo wspierało funkcjonowanie procesu np. poprzez zapewnienie wystarczających zasobów, czy dostęp do kompetencji. Bardzo ważny jest też udział kierownictwa w podejmowaniu decyzji odnośnie postępowania z ryzykiem organizacji, a także uwzględnianiu wyników szacowania ryzyka w podejmowaniu decyzji biznesowych.

Wprowadzenie zarządzania ryzykiem musi wychodzić od określenia kontekstu zarządzania ryzykiem (patrz Rysunek 2 Proces zarządzania ryzykiem). Kontekst opisuje organizację, jej misję, cele i wizję, wpisuje się w strategię oraz uwzględnia procesy biznesowe funkcjonujące w ramach organizacji. Bardzo istotnym elementem kontekstu jest określenie otoczenia organizacji zarówno na poziomie logicznym: interesariusze, konkurencja, dostawcy, wymagania prawne, itd., jak również na poziomie fizycznym – np. umiejscowienie magazynów. Określenie kontekstu jest podstawowym źródłem wiedzy o niepewnościach np. umiejscowienie magazynów może nieść ryzyko (gdy są umieszczone na terenie zalewowym) i jednocześnie może być szansą (gdy są umiejscowione blisko odbiorców).

Kolejnym ważnym elementem wprowadzenia zarządzania ryzykiem jest określenie polityki, która m.in. podaje strategiczne podejście do wprowadzenia mechanizmów zarządzania ryzykiem. Zapisy polityki zarządzania są podstawowym narzędziem uzasadnienia sposobów zarządzania ryzykiem oraz wskazówką powiązania pomiędzy celami organizacji a ryzykiem. Niezmiernie ważnym elementem polityki bezpieczeństwa jest określenie sposobów mierzenia i raportowania wyników zarządzania ryzykiem.

Skuteczność zarządzania ryzykiem zależy w znacznym stopniu od skuteczności komunikowania ryzyka. Komunikowanie ryzyka musi objąć personel organizacji, w szczególności właścicieli ryzyk oraz musi objąć interesariuszy zewnętrznych. Wprowadzenie skutecznych metod komunikacji ma zapewnić właściwe informowanie o ryzyku ale przede wszystkim ma usprawniać przekazywanie informacji o czynnikach wpływających na ryzyko celem podejmowania odpowiednich działań.

Określenie wielkości ryzyka, a więc określenie niepewności wpływającej na cele, następuje w procesie oceny ryzyka, na który składa się:

  • Identyfikacja ryzyka
  • Analiza ryzyka
  • Ewaluacja ryzyka

Sposób oceny ryzyka i zastosowanie odpowiedniej metodyki należy dobrać w odniesieniu do analizowanego procesu, a także specyfiki organizacji.

W wyniku oceny ryzyka, określone zostają ryzyka dla których należy określić sposób postępowania. W klasycznym ujęciu, wyróżniamy cztery metody postępowania z ryzykiem:

  • unikanie ryzyka – np. wycofanie się z wprowadzenia ryzykownej usługi
  • minimalizowanie ryzyka – np. zastosowanie dodatkowego zabezpieczenia
  • dzielenie się ryzykiem – np. ubezpieczenie się od zalania
  • akceptacja ryzyka – przyjęcie ryzyka w takiej wielkości jak oszacowano

Zarządzanie ryzykiem musi być powiązane z precyzyjnym monitorowaniem. Monitorowanie musi obejmować zarówno monitorowanie zmian w ryzyku, jak też monitorowanie poprawności funkcjonowania procesu zarządzania ryzykiem, w tym monitorowanie postępowania z ryzykiem. Monitorowanie jest szczególnie ważne w przypadku ryzyk, które zostały zaakceptowane pomimo wysokiego poziomu ryzyka.

Domknięcie procesu zarządzania ryzykiem jest dokonywane przez wprowadzenie mechanizmów doskonalenia. Doskonalenie ma obejmować przede wszystkim:

  • proces zarządzania ryzykiem
  • sposoby analizy i oceny ryzyka
  • sposoby postępowania z ryzykiem

Podsumowanie

Niepewność otaczająca każdego człowieka i każde działanie niesie ze sobą ryzyko. Wiedząc jednak, że ryzyko to nie tylko zagrożenie ale również szansa skupiajmy się na wykorzystywaniu szans. Pamiętając, że każdy zarządza ryzykiem – doskonalmy stosowane metody – to jest właściwa droga do oceniania i eksploatowania pojawiających się możliwości.

————Post Scriptum————

Niniejszy artykuł pierwotnie został opublikowany w http://it-manager.pl, gdzie został wydany pod tytułem O naturze bezpieczeństwa, czyli jak opanować niepewność, oryginalne wydanie zawierające inne ciekawe teksty można znaleźć tu.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *