Australian Standard for Risk Management (Standards Australia, 2004)-AS/NZS 4360: 2004

Transkrypt

1 Risk Management Standard (AIRMIC, ALARM, IRM 2002) Australian Standard for Risk Management (Standards Australia, 2004)-AS/NZS 4360: 2004 Enterprise Risk Management Integrated Framework COSO II 14 stron + dodatek z terminologią 30 stron +109 stron wytycznych 125 stron + 7-stronicowe streszczenie dla kierownictwa + uzupełnienie technik zastosowania Standard definiujący model badania i zarządzania ryzykiem z wykorzystaniem terminologii ISO. Odnosi się do wszystkich rodzajów ryzyka związanych z działaniem organizacji. Ma aspekt zagrożenia i aspekt szansy, i to zarówno dla samego podmiotu, jak i dla jego partnerów. Jest określone jako kombinacja prawdopodobieństwa zdarzenia i jego skutków. Ujemnych i dodatnich na polu bezpieczeństwa bierze się pod uwagę jedynie szkody. Proces, który organizacji służy do zajęcia się rodzajami ryzyka związanymi z jej działaniami w celu osiągnięcia nieprzerwanych korzyści w ramach każdego z tych działań oraz w całym kompleksie portfela działań. Jest częścią kultury całej organizacji i elementem odpowiedzialności każdego pracownika. Analiza (począwszy od utożsamienia i opisu ryzyka), ocena ryzyka, akceptowalność ryzyka, raportowanie wewnętrzne i komunikacja, raportowanie zewnętrzne. Metody identyfikacji ryzyka zaczynają się od burzy mózgów. Środki wymagane do wdrażania polityki zarządzania ryzykiem w organizacji powinny być jednoznacznie ustalone na każdym szczeblu zarządzania w każdej komórce biznesowej. Standard definiujący proces zarządzania ryzykiem niezależnie od wielkości i branży organizacji. Ujemna i dodatnia strona ryzyka ze wskazaniem na potencjalne zyski i straty. Proces niezależny od branży i sektora działalności przedsiębiorstwa. Wskazanie kolejnych kroków zarządzania ryzykiem. Identyfikacja, analiza ryzyka, ocena ryzyka, akceptowalność ryzyka, postępowanie z ryzykiem, komunikowanie i konsultacje. Łatwy do wdrożenia, w szczególności dla firm nowo powstałych. Standard definiujący zarządzanie ryzykiem z wykorzystaniem mechanizmu kontroli wewnętrznej. Określa własną terminologię. Definiuje proces i jego etapy w odniesieniu do charakterystycznego postrzegania funkcjonowania organizacji. Rozpoznaje dodatnie i ujemne strony ryzyka. Zwraca uwagę na niepewność i okazje przyciągające ryzyko. Proces oparty na pojęciach ryzyka biznesowego, kreowaniu wartości i kontroli wewnętrznej. Wskazanie komponentów zarządzania ryzykiem w postaci sześciennej kostki odnoszącej cele organizacji do rodzajów ryzyka występujących przy wykonywaniu procesów biznesowych. Ustalenie celów, identyfikacja zagrożeń, ocena ryzyka, reakcja na ryzyko, działania kontrolne, informowanie i komunikowanie oraz monitorowanie. Ma zachwianą równowagę na rzecz struktury biznesowej, po macoszemu traktuje analizę ryzyka.

2 WSTĘP Introduction/Wstęp Preface and Foreword Foreword/Wprowadzenie RYZYKO Wskazuje, że standard jest potrzebny, gdyż doprowadzi do uzgodnień w zakresie: używanej terminologii, procesów służących zarządzaniu ryzykiem, struktur organizacyjnych w zarządzaniu ryzykiem, celów ZR. Podkreśla, że istnieje wiele metod osiągania celów, jakie stawia sobie ZR, a celem nie było opracowanie normy o charakterze nakazowym. Wypełniając określone w poszczególnych częściach standardu zalecenia ( co jest możliwe na wiele sposobów) organizacje będą mogły deklarować zgodność z nim. Standard jest opisem dobrych praktyk o charakterze wzorcowym dla poszczególnych organizacji. Risk/Ryzyko Przedmiotowo porównywalny do AIRMIC i COSO. Wskazuje, iż jest to tylko dokument będący rewizją wcześniejszych standardów (1995 i zrewidowany 1995). Intencją jest wskazanie generalnych ram opracowania, z naciskiem na: Osadzenia praktyk zarządzania ryzykiem w kulturze organizacyjnej Definiowania ryzyka jako ekspozycji na konsekwencje niepewności i potencjalnych odchyleń od tego co zostało zaplanowane a czego się oczekuje, Zarządzanie potencjalnymi osiągnięciami jak i potencjalnymi stratami, Scope and General Porównywalne do wstępu AIRMIC. Odnosi się do wcześniejszego dokumentu Kontrola wewnętrzna zintegrowana struktura ramowa. Podkreśla pilną potrzebę stworzenia struktury ramowej w celu: dostarczenia kluczowych zasad i koncepcji sformułowanych zrozumiałym językiem oraz wskazujących jasne kierunki. Nie zastępuje kontroli wewnętrznej ale daje mocniejsze spojrzenie na szerszy temat jakim jest zarządzanie ryzykiem i zawiera w sobie strukturę kontroli wewnętrznej. Przedsiębiorstwa mogą ja przyjąć zarówno w celu spełnienia swoich potrzeb w dziedzinie kontroli wewnętrznej, jak i przejścia w kierunku pełniejszego procesu ZR. Definition Definicja Standard definiuje ryzyko tak jak ISO/IEC Guide 73. Definicje wszystkich innych terminów również pochodzą z ISO/IEC 73 (w załączniku). Uwzględniono fakt, że ryzyko może się wiązać zarówno z szansami (aspektem pozytywnym) jak i zagrożeniami (aspekt negatywny). Generalnie tylko w dziedzinie bezpieczeństwa przyjmuje, że zdarzenia mogą mieć wyłącznie niekorzystne następstwa, a tym samym ZR koncentruje się na zapobieganiu szkodom i ich ograniczaniu. AS/NZS definiuje ryzyko w części Ogólny zakres, uwzględnia również inne definicje użytych terminów. Definicje są definicjami własnymi z częściowym wykorzystaniem definicji używanych w terminologii ISO.W tej sekcji zawarto również pewne wstępne ustalenia co do celu wydania tegoż standardu, z podkreśleniem iż nie powstał on w celu wymuszenia uniwersalizacji systemu ZR. W pierwszym rozdziale dokumentu podaje się główne definicje, wraz niektórymi zależnościami. ryzyko jest definiowane jako możliwość, ze zdarzenie będzie miało miejsce i negatywnie wpłynie na osiąganie celów. Szansa jest definiowana jako możliwość wystąpienia zdarzenia, które pozytywnie wpłynie na osiąganie celów.

3 ZARZĄDZANIE RYZYKIEM USTALENIE CELÓW Risk management/zarządzanie ryzykiem Standard określa ZR jako: - centralny element zarządzania strategicznego każdej organizacji, Proces ciągły i stale udoskonalany, Integralny element kultury organizacyjnej ( czyli stylu działania organizacji)wspierającym efektywność operacyjną na każdym poziomie Objectives Setting/Ustalanie celów Risk management process overview and Risk Management Context W tej części zamieszczono podstawowy diagram procesu ZR. Jest on bardzo podobny do procesu ZR zawartego w standardzie AIRMIC. W kontekście omówiono zewnętrzne i wewnętrzne środowiska oraz zależności miedzy nimi. Taka sama koncepcja jaką przedstawiono na diagramie AIRMIC zewnętrzne i wewnętrzne czynniki ryzyka. Objectives Components of Risk Management/Elementy zarządzania ryzykiem korporacyjnym W COSO nie ma jednego rozdziału poświęconego elementom ZR, omawia je w wielu miejscach jako wynikające ze sposobu zarządzania przedsiębiorstwem i zintegrowane z procesem zarządzania, jako elementy środowiska wewnętrznego organizacji, w kategoriach celów: operacyjnych, celów w zakresie sprawozdawczości i zgodności z prawem, filozofii ZR i apetycie na ryzyko Objectives setting/ Ustalenie celów IDENTYFIKACJ A RYZYKA Nie ma oddzielnego działu poświęconego ustalaniu celów, ale AIRMIC kładzie nacisk na znaczenie ZR i oceny ryzyka dla osiągania celów strategicznych. Risk Identificaton/ Identyfikacja ryzyka Jako część Analizy ryzyka, która zawiera również opis i pomiar ryzyka. Identyfikacja ryzyka powinna być przeprowadzona w sposób metodyczny, aby zapewnić, że wszystkie obszary działalności organizacji i ryzyko z nimi związane zostały uwzględnione. Krótka lista technik identyfikacji została zamieszczona w załączniku. Cele są zawarte w części poświeconej ustaleniu kontekstu ZR (wyżej) Identify Risks Bardzo krótki podrozdział, w którym AS/NZS kładzie nacisk na systematyczną do identyfikację ryzyka i sprawdzanie czy znajduje się ono pod kontrolą organizacji. W przewodniku ZR (The Risk Management Guidelines) identyfikacje ryzyka rozszerzono na proces identyfikacji, potrzebnych informacji, podejść do identyfikowania ryzyka I dokumentacji niezbędnej do identyfikacji ryzyka. Ustalenie celów w COSO jest jednym z komponentów zarządzania ryzykiem. cele strategiczne wspierają misję przedsiębiorstwa. Kategoria celów powiązanych została zidentyfikowana jako: cele operacyjne, sprawozdawczość z celów i cele w zakresie zgodności z prawem. W tym rozdziale uwzględniono również apetyt na ryzyko i limity ryzyka. Event Identyfication/ Identyfikacja zdarzeń COSO odnosi się do zdarzeń (wewnętrznych lub zewnętrznych) które dotyczą implementacji strategii. Zdarzenia mogą mieć pozytywny bądź negatywny skutek. W dokumencie wymieniono czynniki wewnętrzne i zewnętrzne oraz przykłady wynikających z nich zdarzeń i efektów. (jest to porównywalne do źródeł ryzyka wymienianych w AIRMIC). Dość szczegółowo opisano techniki identyfikacji zdarzeń z podaniem przykładów.

4 OPIS RYZYKA Risk Description/Opis ryzyka Documentation Risk Description/Opis ryzyka ANALIZA RYZYKA Przedstawiony w formie przykładowej tabeli. Risk Assessment/ Analiza ryzyka Podkreśla konieczność dokumentowania kolejnych etapów identyfikacji ryzyka i podaje przykłady rejestrów ryzyka w rozdziale 10 Recording the Risk Management Process. Analyse Risks Nie ma oddzielnego rozdziału odnoszącego się do opisu ryzyka, ale zawiera ten element w rozdziale dotyczącym oceny ryzyka. Risk Assessment/ Ocena ryzyka AIRMIC używa terminu z normy ISO risk estimation podaje proste tabele z przykładami przypisania skutku i prawdopodobieństwa zarówno dla szans jak i zagrożeń. (Bardzo krótki podrozdział wskazuje na to, że po analizie ryzyka można opracować profil ryzyka, w którym każdemu ryzyku jest przypisana ocena opisująca jego znaczenie. Profil ryzyka porządkuje zidentyfikowane ryzyko pod względem istotności oraz stanowi narzędzie do określenia priorytetów działania względem ryzyka.) Wskazuje na jakościowe, półilościowe i ilościowe metody mierzenia skutku i prawdopodobieństwa.(oraz potrzebę brania pod uwagę istniejących wskaźników) Ta część jest bardzo rozległa. Podaje szeroki wachlarz podejść do analizy ryzyka, od bardzo prostych do bardziej szczegółowych. Oddzielnie podaje analizę SZANS. Ryzyko jest oceniane w podziale na ryzyko wewnętrzne i nieodłączne. Ocena prawdopodobieństwa i skutku może odbywać na podstawie technik ilościowych i jakościowych. W załączniku pojawiają się techniki bardziej finansowe takie jak: analiza zagrożonej wartości rynkowej, zagrożonych przychodów, zagrożonych przepływów środków pieniężnych. OCENA RYZYKA Risk Evaluation/Ocena ryzyka Risk evaluation Risk Evaluation /Oszacowanie ryzyka Zalecenie ISO/IEC nr 73 definiuje ocenę ryzyka jako proces złożony z analizy ryzyka oraz ewaluacji ryzyka. Tutaj odpowiednikiem będzie Profil ryzyka. Po zakończeniu procesu analizy ryzyka, należy porównać szacunkowa wielkość ryzyka z przyjętymi kryteriami, które mogą dotyczyć korzyści, kosztów, wymogów prawnych, względów społeczno-ekonomicznych, obaw grup nacisku itp. Ewaluacja ryzyka stanowi podstawę do podjęcia decyzji co do tego, na ile dane ryzyko jest dla organizacji istotne, a także czy należy je przyjąć i jakie działania względem niego podjąć. Bardzo krótki rozdział. Podaje kryteria oceny według koncepcji tolerancji ryzyka i alarmu. Jest również odniesienie do zdarzeń przyszłych determinujących kryteria, którym podlega ryzyko. Nie ma porównywalnego rozdziału. Niektóre komentarze zawarto w rozdziałach: Ocena ryzyka i Reakcja na ryzyko.

5 KOMUNIKACJA W ZR Risk Reporting and Communication Stosuje podział na sprawozdawczość zewnętrzną i wewnętrzną(na różnych szczeblach organizacji wymagane są odmienne informacje dotyczące procesu ZR zarząd powinien, jednostki organizacyjne powinny, poszczególni pracownicy powinni ) Risk Reporting and Communication Rozważania dotyczące komunikowania i konsultowania ryzyka umieszczono oddzielnie na wstępie standardu Risk reporting and Communication/Informacje i komunikowanie Ten rozdział poprzedzony jest: Reakcją na ryzyko i Działaniami kontrolnymi. Podkreśla się konieczność integrowania informacji z systemami strategicznymi i działalnością operacyjna. Omówiono szczegółowość, terminowość i jakość informacji. Omawia komunikację wewnętrzna i zewnętrzną oraz środki komunikowania. DZIAŁANIA WZGLĘDEM RYZYKA Risk Treatment AIRMIC nie podaje zbyt wielu szczegółów, ale twierdzi, że kontrola/ograniczanie ryzyka jest podstawowym działaniem wobec ryzyka. Odnosi się to również do unikania ryzyka, transferowania/ przenoszenia ryzyka i finansowania (tutaj finansowania skutków ryzyka, a nie tak jak w ISO przeznaczania środków na realizację działań względem ryzyka). Treat Risk AS/NZS podaje oddzielnie działania względem ryzyka z pozytywnym skutkiem i ze skutkiem negatywnym. Krótko podaje analizę kosztów i korzyści w różnych podejściach. W przewodniku podaje się wiec informacji odnośnie do opcji działań włączając w to :dzielenie się ryzykiem, ubezpieczenia, kontrakty, plany ciągłości działania itd. Wskazuje na ilościowe i jakościowe analizy opcji działań. Risk Response / Odpowiedź na ryzyko Reakcja może polegać na unikaniu, ograniczaniu, dzieleniu się i akceptacji ryzyka. Ocena kosztów i korzyści jest bardzo krótka. Więcej informacji na ten temat zamieszczono w załączniku dotyczącym technik zastosowania. MONITOROWANIE I ANALIZA PROCESU ZR Monitoring and Review of Risk Management Proces monitorowania powinien potwierdzać, że identyfikacja i ewaluacja ryzyka przebiega prawidłowo i że w działalności przedsiębiorstwa stosowane są odpowiednie mechanizmy kontrolne. Monitor and review Wskazuje, że ciągły przegląd jest podstawą i że wnioski powinny być wyciągane poprzez przegląd zdarzeń, planów działań i ich wyników. Monitoring/Monitorowanie COSO wyróżnia monitorowanie bieżące, odrębne oceny lub kombinację obu tych metod. Wskazuje się na znaczenie tego co podlega zgłoszeniu i komu zgłaszać.

6 STRUKTURY ORGANIZACYJNE W ZR Structure and Administration of Risk Management/ Struktury organizacyjne w ZR Standard ustanawia role I odpowiedzialności dla: Zarządu, Poszczególnych jednostek organizacyjnych, Komórek ds. ZR, Audytu wewnętrznego. W dodatku komentuje politykę ZR i źródła dla jej implementacji. Establishing effective Risk Management Standard australijski do tego obszaru podchodzi bardziej ogólnie, odnosi się do : oceny istniejących praktyk, Wymogu wsparcia kierownictwa wyższego szczebla, Ustalenia autorytetów i odpowiedzialności Zagwarantowanie adekwatnych źródeł. Roles and Responsibilities/ Role i Obowiązki COSO ustanawia role I obowiązki dla: Zarządu, kierownictwa, specjalisty ds. ryzyka, dyrektorów finansowych, audytorów wewnętrznych, innych pracowników organizacji oraz strony trzeciej. W załączniku dotyczącym technik zastosowania dostarczono bardziej szczegółowych opisów zakresu obowiązków np. dla komitetu ds. audytu, ds. ryzyka, opis stanowiska dyrektora ds. ryzyka. OGRANICZENIA W KORPORACYJNYM ZR Nie ma odpowiedniego rozdziału Nie ma odpowiedniego rozdziału Limitations of Enterprise Risk Management/ Ograniczenia w korporacyjnym ZR Efektywne ZR korporacyjnym, niezależnie od tego jak dobrze jest zorganizowane I przeprowadzane, może dać zarządowi jedynie rozsądny stopień pewności co do osiągania zamierzonych celów. Ograniczenia te wynikają z procesów zarządzania, błędów w osadzie, nieprzestrzegania ustalonych środków kontroli lub reakcji, konieczność uwzględnienia kosztów i korzyści poszczególnych reakcji na ryzyko. Źródło: opracowanie własne na podstawie: An overview comparison of the AIRMIC/ALARM/ IRM Risk Management Standard with: --the Australia /New Zealand Standard AS/NZS 4360:2004, -the COSO Enterprise Risk Management - Integrated Framework,