Metody oceny ryzyka na potrzeby implementacji znormalizowanych systemów zarzdzania

Transkrypt

1 WSPÓŁCZESNE ZARZDZANIE 1/ I. PROBLEMY WSPÓŁCZESNEGO ZARZDZANIA(CONTEMPORARY MANAGEMENT ISSUES) Metody oceny ryzyka na potrzeby implementacji znormalizowanych systemów zarzdzania Sławomir Zapłata Słowa kluczowe: zarzdzanie, system zarzdzania, ryzyko, cigło biznesu Keywords: management, management system, risk, business continuity Synopsis: W niniejszym opracowaniu zasygnalizowano rónorodne systemy zarzdzania wdraane w organizacjach zgodnie z wymaganiami normatywnymi. Przesłanki wdroenia znormalizowanych systemów s uzalenione od specyfiki poszczególnych organizacji zwizanej z wewntrznym zorganizowaniem oraz interakcjami z otoczeniem, w którym działaj. Zarówno struktura wewntrzna, jak i rynkowa jest nonikiem potencjalnych ryzyk wpływajcych na funkcjonowanie organizacji. Główny nurt niniejszego opracowania skoncentrowany został na metodach oceny ryzyka ujtych w normie IEC/ISO Zastosowanie tych metod w organizacji, umoliwia sporzdzenie katalogu ryzyk, a nastpnie podjcie wiadomej decyzji o implementacji odpowiedniego znormalizowanego systemu zarzdzania. Analiza przeprowadzona została przez pryzmat drukarni produkujcej opakowania dla przemysłu farmaceutycznego. Artykuł zawiera opis działa zrealizowanych w ramach projektu staowo-szkoleniowego Sta Sukcesem Naukowca (SSN), którego organizatorem był Poznaski Akademicki Inkubator Przedsibiorczoci. Wstp Najbardziej rozpowszechniony na wiecie znormalizowany system zarzdzania dotyczy jakoci. Wymagania dla tego systemu, zawarte w normie ISO 9001 [ISO 9001, 2008], spełniło na koniec 2009 roku ponad milion organizacji [The ISO Survey, 2010, s. 4]. W ramach prac midzynarodowych, europejskich i krajowych jednostek normalizacyjnych powstaj rónorodne normy ukierunkowane na minimalizacj niezgodnoci w ramach prowadzonych działa. Zapobiegawczy charakter systemów zarzdzania stanowi trzon ich funkcjonowania lecz równie wymagania normatywne dotycz sfery reakcyjnej, odnoszcej si do postpowania w sytuacjach awaryjnych. Powszechno wdraania i certyfikowania rónorodnych systemów wynika z praktycznych i gospodarczych efektów ich funkcjonowania. Równie w sferze naukowej rozwaane s aspekty projektowania, wdraania, certyfikowania i funkcjonowania tych systemów. Coraz wicej norm wskazuje na budow systemów zarzdzania w oparciu o ocen ryzyka. System zarzdzania rodowiskowego [ISO 14001, 2004] buduje działania na podstawie analizy wpływu na rodowisko, gdzie aspekty rodowiskowe stanowi ryzyko działalnoci. W ramach systemu zarzdzania bezpieczestwem informacji Dr Sławomir Zapłata, Uniwersytet Ekonomiczny w Poznaniu.

2 10 S. Zapłata, Metody oceny ryzyka na potrzeby implementacji S. Zapłata, Methods of risk assessment for the purpose of [ISO/IEC 27001, 2005] element oceny ryzyka jest bazowy dla klasyfikacji informacji i zaprojektowania dla nich systemowej ochrony. Ujcie zagadnie oceny ryzyka w poszczególnych normach stanowi odzwierciedlenie trendów rynkowych. Umidzynarodowienie wymiany gospodarczej, konkurowanie pomidzy jednostkami wpływa na upowszechnienie koncepcji oceny ryzyka w ramach zarzdzania organizacj oraz projektowania i implementacji systemów zarzdzania. Midzynarodowa Organizacja Normalizacyjna wydała w ramach tego obszaru standard ISO [2009], który prezentuje ogóln metodyk zarzdzania ryzykiem. W normie IEC/ISO [2009] opublikowane z kolei zostały metody oceny ryzyka jako zestawienie rónorodnych narzdzi mogcych mie zastosowanie w praktyce gospodarczej. Nie ma jednake jak dotd opisu tych narzdzi wraz z moliwym ich zastosowaniem na poszczególnych etapach procesu zarzdzania ryzykiem w konkretnej organizacji. Co wicej, brak jest powizania tych działa z podjciem decyzji o wdroeniu odpowiedniego znormalizowanego systemu zarzdzania. Zainteresowania naukowe autora wpłynły na ch zapocztkowania wypełniania tej luki informacyjnej poprzez odbycie stau naukowego w organizacji oraz napisanie niniejszego artykułu. Za cel opracowania przyjto scharakteryzowanie poszczególnych metod oceny ryzyka ujtych w standardzie IEC/ISO oraz uszeregowanie ich zastosowania w odniesieniu do poszczególnych etapów tego procesu. Celem jest równie zastosowanie tych metod dla stworzenia katalogu ryzyk i na tej podstawie odpowiedzi na pytanie: Jakie znormalizowane systemy zarzdzania warto wdroy w analizowanej drukarni? Tym samym, zakres przedmiotowy niniejszego opracowania stanowi norma IEC/ISO i opublikowane w jej tre- ci metody oceny ryzyka. Za zakres podmiotowy przyjto drukarni produkujc opakowania przeznaczone głównie do lekarstw. Przez pryzmat tego przedsibiorstwa dokonano analizy i oceny moliwoci praktycznego zastosowania poszczególnych metod. W ukierunkowaniu na realizacj postawionego celu opracowania, zastosowano metod analizy i interpretacji treci normy z jednoczesn analiz literatury przedmiotu. Podanym efektem opracowania jest powizanie metod oceny ryzyka z poszczególnymi etapami tego procesu w wietle moliwego zastosowania w organizacji przed podjciem decyzji o wdroeniu adekwatnego znormalizowanego systemu zarzdzania. Znormalizowane systemy zarzdzania Znormalizowane systemy zarzdzania s zbiorami rónorodnych zasobów i działa, które zorganizowane s w sposób spełniajcy wymagania z odpowiednich norm. Jak to ju zostało wskazane, najnowszym certyfikowanym na wiecie jest system zarzdzania jakoci, spełniajcy wymagania z normy ISO Na drugim miejscu, lecz odległym ilociowo w stosunku do pierwszej pozycji, znajduje si system zarzdzania rodowiskowego. Na wiecie organizacji ze 159 pastw wiata posiadało na koniec 2009 roku certyfikat potwierdzajcy spełnienie wymaga ze standardu ISO [The ISO Survey, 2010, s. 6]. Kolejny certyfikowany system zarzdzania, ujmowany w corocznych raportach The ISO Survey, zwizany jest z bezpieczestwem informacji. Wymagania z normy ISO/IEC spełniło prawie 13 tysicy organizacji, głównie z sektora IT [The ISO Survey, 2010, s. 8]. W ramach specyficznych systemów zarzdzania jakoci mona wskaza na sektorowe rozwizania normalizacyjne. Przedsibiorstwa produkujce sprzt medyczny mog wdroy system zarzdzania spełniajcy wymagania ze standardu ISO [2003]. Na koniec 2009 roku, w 90 krajach na wiecie, organizacje posiadały taki certyfikowany system zarzdzania [The ISO Survey, 2010, s. 7]. W przedsibiorstwach prowadzcych działalno na terenie Niemiec funkcjonuje najwicej organizacji z certyfikatem systemu ISO sztuk; na drugim miejscu znajduj si Stany Zjednoczone certyfikatów [The ISO Survey, 2010, s. 7]. W brany motoryzacyjnej dostawcy mog wdraa systemowe za-

3 WSPÓŁCZESNE ZARZDZANIE 1/ rzdzanie jakoci, dla których baz stanowi dokument normalizacyjny ISO/TS [2009]. Na wiecie, na koniec 2009 roku, w organizacjach z 83 krajów funkcjonował taki system [The ISO Survey, 2010, s. 7]. Przesłanki wdroenia poszczególnych znormalizowanych systemów zarzdzania s rónorodne. Mona dokonywa ich podziału na wewntrzne (zwizane ze specyfik organizacji) i zewntrzne (uwarunkowane otoczeniem zarówno mikro, jak i makroekonomicznym). Niezalenie jednak od motywów wdroenia danego znormalizowanego systemu zarzdzania, w tle podjcia takiej decyzji znajduje si zapobiegawczy charakter tych systemów i tym samym formalizacja procesu zarzdzania ryzykiem. Zarzdzanie ryzykiem Ryzyko to kombinacja prawdopodobiestwa wystpienia zdarzenia oraz jego skutków [FERMA, 2003, s. 5], jak równie wpływ niepewnoci na cele [ISO 31000, 2009, s. 1]. Stanowi ono element codziennego ycia zarówno gospodarczego, jak i kadego człowieka. Tym samym rozpoznawanie ryzyka jest czsto intuicyjne, co w podejmowaniu rónorodnych działa gospodarczych zwiksza je jeszcze bardziej. Formalizacja procesu zarzdzania ryzykiem sprawia, i działania podejmowane s systematycznie i etapowo, co wpływa na maksymalizacj efektów realizowanych aktywnoci. Zarzdzanie ryzykiem to zorganizowane opracowanie i stosowanie kultury, polityki, procedur i praktyk zarzdzania w identyfikacji, analizie, ocenie, kontroli i reagowaniu na ryzyko [BS , 2007, s. 8]. Definicja zarzdzania ryzykiem ukazuje podejcie zarówno prewencyjne, jak i reakcyjne tego procesu. Składowe etapy procesu zarzdzania ryzykiem to: ustanowienie kontekstu dla zarzdzania ryzykiem, ocena ryzyka (która obejmuje jego identyfikacj, analiz oraz szacowanie), postpowanie z ryzykiem [ISO 31000, 2009, s. 14]. W sferze zapobiegawczej, zastosowanie procesu zarzdzania ryzykiem ukierunkowane jest na minimalizacj moliwoci jego zmaterializowania si. W obszarze reakcyjnym dotyczy minimalizacji negatywnych skutków w sytuacji gdy si zrealizuje. Norma ISO uwzgldnia te aspekty w ramach budowy planów postpowania z ryzykiem. Chcc w organizacji zwróci wiksz uwag na sfer podejmowanych działa w sytuacji kryzysowej, konieczne jest wdroenie systemu zarzdzania cigłoci działania spełniajcego wymagania z brytyjskiego standardu BS [BS , 2007]. Działaniem pierwotnym w ramach zarzdzania ryzykiem jest jego ocena (risk assessment) z trzema etapami składowymi: 1. Identyfikacja ryzyka (risk identification). W tej fazie analizowana jest działalno organizacji i jej powizania z otoczeniem w celu poszukania zagroe wpływajcych na prowadzenie i rezultaty działalnoci gospodarczej. Wykorzystywane s tutaj dane historyczne dotyczce zdarze majcych miejsce w okresie funkcjonowania danej organizacji, jak równie informacje z rónych ródeł wtórnych dotyczce ryzyk ogólnych i specyficznych dla danej brany. 2. Analiza ryzyka (risk analysis) zwizana z opisem zidentyfikowanych zagroe według kryterium wpływu na działalno oraz okrelanie prawdopodobiestwa zmaterializowania si ryzyka. Na etapie analizy dokonywane jest m.in. grupowanie zagroe podobnych obszarowo np. poaru, który moe mie róne prawdopodobiestwo zaistnienia w zalenoci od rozpatrywanej lokalizacji i panujcych warunków. 3. Szacowanie ryzyka (risk evaluation) to zestawienie skutków i prawdopodobiestwa dla poszczególnych zagroe. Uzyskany wynik porównywany jest z wewntrznymi kryteriami akceptacji ryzyka, aby w efekcie uzyska list (katalog) ryzyk zaczynajc si od najsilniej wpływajcych na organizacj.

4 12 S. Zapłata, Metody oceny ryzyka na potrzeby implementacji S. Zapłata, Methods of risk assessment for the purpose of W ramach oceny ryzyka mona zastosowa róne metody: ilociowe, jakociowe bd mieszane jakociowo-ilociowe. Najbardziej zobiektywizowana jest metoda ilociowa, która bazuje na dowiadczeniach pracowników oraz modelach. Dziki zastosowaniu tej metody (i tym samym powtarzalnej metodyki) zachowana jest porównywalno rezultatów oraz moliwe kwantyfikowanie efektów działa ukierunkowanych na minimalizacj ryzyk. Problematyczne w zastosowaniu tej metody moe by kwantyfikowanie skutków oraz prawdopodobiestwa i odnoszenie rzeczywistoci do przyjtych przedziałów liczbowych oraz czasem bezkrytyczne przyjmowanie gotowych modeli [Leitch, 2009, s. 887]. Kolejnym sposobem podejcia do oceny ryzyka jest zastosowanie metod jakociowych, które jednake s w duej mierze subiektywne oraz bazujce na dowiadczeniach i podejciu do ryzyka przez członków zespołu dokonujcego jego oceny [Hadyniak, 2010, s. 75]. Czasem jednake niektóre ryzyka s trudne do ilociowego sprecyzowania, w szczególnoci kiedy dotycz mikkich obszarów zarzdzania, jak np. relacji midzyludzkich w organizacji. Z uwagi na trudnoci w zastosowaniu metod jakociowych lub ilociowych w konkretnej organizacji stosowane s metody mieszane. W ramach podejcia jakociowego mona skorzysta z metod scenariuszowych do identyfikowania wszystkich obszarów ryzyka, przy jednoczesnym zastosowaniu podejcia ilociowego do okrelenia skutków [Łuczak, 2009, s. 66]. Jeeli organizacja chce podej do zarzdzania ryzykiem w sposób sformalizowany i sprofilowany, moe wdroy odpowiedni znormalizowany system zarzdzania. Jeeli decyzja o wdroeniu systemu zarzdzania jakoci nie jest od pocztku ukierunkowana na konkretny system wynikajcy z uwarunkowa mikroekonomicznych (np. bezporedni wymóg klienta przemysłowego), to wówczas wskazana jest szczegółowa analiza adekwatnoci odpowiednich systemów zarzdzania do specyfiki danej organizacji. W celu odpowiedzi na pytanie, który system zarzdzania bdzie adekwatny na bazie zidentyfikowanych ryzyk konieczne jest dokonanie identyfikacji zagroe oraz ich ocena w działalnoci gospodarczej. Problematyczne dla organizacji moe by podecie do samej oceny oraz szczegółowy wybór i postpowanie w ramach zastosowania poszczególnych metod oceny ryzyka. W ramach metodyki pomocne s wytyczne z normy ISO Z kolei standard IEC/ISO zawiera wskazania, co do moliwych do zastosowania metod oceny ryzyka. Warto podkreli, e obydwa wskazane dokumenty normalizacyjne nie s przeznaczone dla celów certyfikacyjnych. Zastosowanie wytycznych i wdroenie procesu zarzdzania ryzykiem przy zastosowaniu metod oceny ryzyka nie jest potwierdzane przez jednostk certyfikujc. Charakterystyka metod oceny ryzyka W normie IEC/ISO przedstawionych zostało 31 metod oceny ryzyka, które s rónie definiowane i maj zastosowanie na rónych etapach procesu. W ramach moliwoci ich zastosowania w organizacji, przeprowadzona została analiza poszczególnych metod na dwóch płaszczyznach: ogólnej, w kontekcie scharakteryzowania poszczególnych metod oceny ryzyka z adnotacj o moliwoci zastosowania w drukarni opakowa farmaceutycznych. szczegółowej, w kontekcie uszeregowania (wskazanych metod w podejciu ogólnym) do poszczególnych etapów procesu oceny ryzyka. W odniesieniu do ogólnej płaszczyzny analizy oprócz ogólnych, jak burza mózgów, wywiady strukturyzowane, metoda delficka wykorzystuje si nastpujce metody oceny ryzyka. 1. Check-list. Lista sprawdzajca zawiera szereg pyta bd elementów wymagajcych sprawdzenia w celu zidentyfikowania zagroe w organizacji. W organizacji czsto istniej listy sprawdzajce w odniesieniu do procedur postpowania, np. przy przezbrajaniu maszyn produkcyjnych. 2. Primary Hazard Analysis. Metoda wykorzystana moe by na wstpnym etapie ró-

5 WSPÓŁCZESNE ZARZDZANIE 1/ norodnych projektów do identyfikacji zagroe. Działania koncentruj si tutaj na analizie realizowanych procedur działania, wykorzystywanej infrastrukturze oraz materiałach w celu identyfikacji sytuacji i zdarze mogcych stanowi zagroenie dla osób, realizacji działa i funkcjonowania organizacji. Mona wskaza, e taka analiza stosowana jest porednio, w ramach przygotowywania listy sprawdzajcej, co umiejscawia zastosowanie tej metody w obszarze identyfikacji zagroe. 3. HAZOP Hazard and operability studies. Analiza zagroe i zdolnoci operacyjnych wykorzystywana jest głównie w procesach oceny ryzyka procesowego (najcz- ciej w chemicznych procesach technologicznych). 4. HACCP Hazard Analysis and Critical Control Points (Analiza Zagroe i Krytycznych Punktów Kontroli). Metoda majca zastosowanie w brany spoywczej. Z punktu widzenia analizy w organizacji produkujcej opakowania dla brany farmaceutycznej nie ma zastosowania, tym bardziej, e papier uywany do produkcji opakowa posiada odpowiedni atest. 5. Environmental risk assessment/toxicity assessment. Analiza toksycznoci i wpływu uywanych surowców oraz produktów gotowych na ludzi, zwierzta, przedsibiorstwo oraz rodowisko. Sama metoda jest aplikowalna na etapie identyfikowania zagroe oraz okrelania konsekwencji zaistnienia niepodanych zdarze. Z racji swoich korzeni stosowana jest głównie w fabrykach przemysłowych, gdzie uywane s rónorodne niebezpieczne substancje, których potencjalne wycieki czy wybuchy stanowi istotne zagroenie dla otoczenia. W rozpatrywanej drukarni opakowa dla farmaceutyków analiza taka mogłaby dotyczy wpływu zasobów produkcyjnych na pracowników i otoczenie oraz wpływu produktu na uytkowników. W pierwszej płaszczynie mona wskaza na uywane farby i rodki chemiczne do konserwacji maszyn, których szkodliwe oddziaływanie jest jednake znikome z uwagi na ilo. W drugim obszarze uywany jest papier z odpowiednimi atestami oraz farby, co minimalizuje ryzyko negatywnego oddziaływania rodowiskowego wyrobów gotowych z drukarni. 6. SWIFT Structured What-If Technique. Metoda rozwinita jako alternatywa dla HAZOP, ale w swoim zastosowaniu bardziej szczegółowa. Istot tej metody jest analizowanie poszczególnych działa pod ktem co-jeli czyli budowaniu odpowiedzi na pytania, co si stanie jeeli nastpi róne zdarzenia. Ta metoda moe by zastosowana w kadej organizacji, niezalenie od rodzaju i skali prowadzonych działa, zarówno do identyfikacji zagroe oraz skutków ich zaistnienia. Równie z punktu widzenia obszarów organizacyjnych moe by zastosowana zarówno w obszarze analizy zarzdzania zasobami ludzkimi, jak i analizie infrastruktury czy działa produkcyjnych. 7. Scenario analysis (analiza scenariuszowa). Metoda dotyczy budowy rónorodnych scenariuszy dotyczcych zdarze mogcych zaistnie w przyszłoci. Metoda ta moe by zastosowana w podejciu do zarzdzania ryzykiem, m.in. poprzez identyfikacj ogólnych zagroe istotnie wpływajcych na dalsze działania i w efekcie funkcjonowanie organizacji. Dla przykładu, w analizowanej działalnoci moe to dotyczy wypowiedzenia umowy najmu przez właciciela terenu, na którym prowadzona jest działalno w zakresie produkcji opakowa dla przemysłu farmaceutycznego. 8. BIA Business Impact Analysis. Analiza wpływu na biznes jest metod szczegółowej analizy wpływu rónych zdarze na poszczególne działania. Jest to metoda silnie ukierunkowana na działania krytyczne, których istnienie jest niezbdne dla dostarczania kluczowych wyrobów. Metoda ta moe mie zastosowanie w kadej organizacji, w ramach szczegółowej analizy, co ma miejsce np. podczas wdroenia systemu zarzdzania cigłoci działania (biznesu), zgodnie z wymaganiami standardu BS

6 14 S. Zapłata, Metody oceny ryzyka na potrzeby implementacji S. Zapłata, Methods of risk assessment for the purpose of 9. Root Cause Analysis. Analiza ta ukierunkowana jest na strat aktywów i dy do identyfikacji przyczyn zdarze, których symptomy s odczuwalne. Analiza jest stosowana w duych organizacjach, gdzie pojawiaj si problemy trudne w jednoznacznej identyfikacji przyczyn, co spowodowane jest iloci interakcji pomidzy rónymi działaniami. Metoda ta, zgodnie z IEC/ISO 31010, moe by zastosowana do wyznaczania elementów składowych na etapie analizy ryzyka skutków, prawdopodobiestwa i jego poziomu. 10. FMEA Failure mode and effects analysis / FMECA Failure mode, effects, and criticality analysis. FMEA to metoda analityczna dotyczca rodzajów i skutków moliwych błdów. Metoda ta ma na celu zapobieganie skutkom wad, które mog wystpi w fazie projektowania oraz w fazie wytwarzania. Metoda druga (FMECA) jest odmian pierwszej i dotyczy skutków moliwych błdów, które s krytyczne dla funkcjonowania organizacji. W odniesieniu do moliwoci zastosowania tych metod w drukarni mona wskaza, e nie maj one zastosowania z uwagi na brak prac projektowych w analizowanej organizacji. Element projektowania jest wyłczony w ramach istniejcego certyfikowanego systemu zarzdzania jakoci ISO FTA Fault Tree Analysis. Metoda drzewa błdów polega na identyfikowaniu i analizowaniu czynników, które mog przyczynia si do zaistnienia niepodanych zdarze. Czynniki te s segregowane i logicznie ujmowane w sposób graficznego drzewa. Metoda ta jest moliwa do zastosowania w drukarni, w szczególnoci w połczeniu z metod SWIFT, jako wizualizacja i pokazanie wpływu rónorodnych czynników na niepodane zdarzenia. 12. ETA Event Tree Analysis. Metoda ta obrazuje graficznie rónorodne zdarzenia wpływajce na jeden skutek i pozwala na zagregowane ukazanie rónorodnych zdarze mogcych w rónym stopniu spowodowa to samo zagroenie. W drukarni mo- e by to uyte do agregacji wiedzy uzyskanej z zastosowania innych metod. Dla przykładu, przestój maszyny moe by spowodowany rónymi zdarzeniami, jak: awaria maszyny z powodu złamania rónych czci, braku zasilania, choroby pracowników czy braku zamówie. 13. CCA Cause Consequence Analysis. W metodzie tej wykorzystuje si schemat blokowy, za pomoc którego ukazuje si konsekwencje dla zaistnienia poszczególnych przyczyn. Metod ta moe by zastosowana w analizowanej drukarni przy rozwaeniu podobiestw do metody SWIFT. 14. CEA Cause-and-Effect Analysis. Analiza przyczynowo-skutkowa ukierunkowana jest na identyfikacj pojedynczych przyczyn oraz zgrupowania ich jako wpływajce na dany efekt. Metoda ta, z uwagi na graficznie zobrazowanie wyników znana jest równie jako diagram rybiej oci i schemat jodełkowy. Moe by zastosowana w drukarni opakowa np. do usystematyzowania wyników uzyskanych po zastosowaniu burzy mózgów. 15. LOPA Layers Of Protection Analysis. Metoda ilociowo-jakociowa wykorzystywana do szczegółowego, matematycznego szacowania w ramach metody HAZOP. Podobnie jak metoda HAZOP, równie LOPA nie jest dedykowana dla małej drukarni. 16. Decision tree. Drzewo decyzyjne słuy pokazaniu alternatywnych decyzji w odniesieniu do rónych aspektów działalnoci oraz potencjalnych rezultatów tych działa. Jest to dobre narzdzie, w szczególnoci do zastosowania w obszarze budowy planów postpowania z ryzykiem. W kadej organizacji, w odniesieniu do ryzyk nieakceptowalnych, konieczne bdzie podjcie działa minimalizujcych. Poprzez zastosowanie tej metody moliwe jest wskazanie rónych działa i przewidywanie rezultatów, których analiza powinna pozwoli na wybranie jednej ze cieek postpowania.

7 WSPÓŁCZESNE ZARZDZANIE 1/ HRA Human Reliability Assessment. Metoda słuca zidentyfikowaniu wpływu czynników ludzkich na wyniki działalnoci danej organizacji. Biorc pod uwag niewielk liczb zatrudnionych osób oraz wieloletni ich współprac z rozpatrywanym w analizie podmiotem gospodarczym, mona wskaza, e metoda moe mie zastosowanie, lecz nie indywidualnie, a jako element innej metody w analizie obszaru zagroe natury ludzkiej. 18. BTA Bow Tie Analysis. Metoda graficznie obrazujca powizania pomidzy przyczynami i konsekwencjami. Stosowana jest wraz z burz mózgów oraz drzewem decyzyjnym. Metoda jest jak najbardziej moliwa do zastosowania w drukarni i pozwala na zobrazowanie zalenoci pomidzy przyczynami i konsekwencjami. Niewtpliw wartoci zastosowania tej metody jest zobrazowanie kwestii działa zapobiegajcych niepodanym zdarzeniom oraz minimalizacja konsekwencji w sytuacji zaistnienia takiego zdarzenia. 19. Reliability Centred Maintenance. Metoda słuy identyfikacji polityki zarzdzania wyposaeniem w celu uwzgldnienia rónego rodzaju aspektów zwizanych z bezpieczestwem. Nie ma zastosowania w analizowanej drukarni, z uwagi na istnienie certyfikowanego systemu zarzdzania jakoci ISO 9001, w ramach którego znajduj si zagadnienia nadzorowania wyposaenia do monitorowania i pomiarów. Warto zaznaczy, e w samej normie IEC/ISO metoda ta wskazana jest jako majca zastosowanie na wszystkich etapach procesu zarzdzania ryzykiem. 20. Sneak analysis (SA) oraz Sneak Circuit Analysis (SCI). Metoda SA słuy identyfikacji błdów projektowych. SCA jest metod weryfikacji integralnoci funkcjonalnoci pomidzy rónymi projektami w danej organizacji. Maj zastosowanie w szczególnoci w branach, w których istnieje due ryzyko i zostały wypracowane w NASA. Powysze metody nie maj zastosowania w drukarni, z uwagi na wskazany ju wczeniej brak procesu projektowania. 21. Markov Analysis. Analiza Markova jest skomplikowan ilociow metod statystyczn do szacowania prawdopodobiestwa zdarze. Jest ona wykorzystywana w skomplikowanych procesach technologicznych oraz brany ubezpieczeniowej. Nie ma zastosowania w drukarni z uwagi na rodzaj i skal działalnoci. 22. Monte Carlo. Metoda statystyczna majca zastosowanie w skomplikowanych procesach obliczeniowych dla wielu zmiennych zwizanych z ryzykiem. Równie nie ma zastosowania w drukarni z uwagi na zakres działa. 23. Bayesian Statistics and Bayes Nets. Statystyczna metoda zwizana z szacowaniem prawdopodobiestwa. Podobnie jak dwie poprzednie, nie ma zastosowania w analizowanej drukarni. 24. FN Curves. Graficzne zobrazowanie zalenoci pomidzy czstotliwoci wystpowania zdarze, a stratami w ludziach w ramach populacji. Nie ma zastosowania w analizowanej drukarni ze wzgldu na skal działa. 25. Risk Indices. Metoda ilociowo-jakociowa zwizana z szacowaniem ryzyk, ich kwantyfikowaniem i porównywaniem. Z uwagi na relacj pomidzy skal działalno- ci analizowanej organizacji i potencjalnych zagroe, a zakresem przedmiotowym i skomplikowaniem technicznym zastosowania wskazanej metody oceny ryzyka, nie jest ona adekwatna do zastosowania w drukarni. 26. Consequence/probability matrix. Macierz ukazujca zaleno pomidzy skutkami poszczególnych zdarze oraz prawdopodobiestwem ich wystpienia jest moliwa do zastosowania poprzez graficzne zobrazowanie poszczególnych ocenionych ryzyk. 27. Cost/Benefit Analysis. Analiza kosztów i korzyci wykorzystywana jest najczciej przy formułowaniu i wyborze opcji postpowania z ryzykiem i na tym etapie moe ona znale zastosowanie w analizowanej drukarni.

8 16 S. Zapłata, Metody oceny ryzyka na potrzeby implementacji S. Zapłata, Methods of risk assessment for the purpose of 28. Multi-Criteria Decision Analysis. Metoda statystyczna szeregujca opcje postpowania z ryzykiem w zalenoci od celów i zada. Z uwagi na niewielk skal działalno- ci rozpatrywanej drukarni nie ma ona zastosowania. Wskazane metody s rónorodne, co do moliwoci ich zastosowania na poszczególnych etapach. Jednoczenie, ich zastosowanie uzalenione jest od specyfiki organizacji i skomplikowania procesowego, co skutkuje przyjciem bd odrzuceniem zastosowania poszczególnych metod. Tre w niniejszym punkcie opracowania stanowi efekt, zasygnalizowanej na pocztku, analizy ogólnej. W ramach analizy szczegółowej uszeregowano poszczególne metody w odniesieniu do etapów procesu oceny ryzyka, co przedstawione zostało w kolejnym punkcie artykułu. Etapy procesu oceny ryzyka a metody Pierwszym etapem procesu oceny ryzyka jest identyfikacja zagroe. W ramach analizy szczegółowej wskazano, e priorytetow i podstawow metod ukierunkowan na pozyskanie informacji o zagroeniach jest burza mózgów. Jednoczenie jest to metoda pierwotna dla wykorzystania kolejnych technik na tym etapie zarzdzania ryzykiem wywiadów ustrukturyzowanych oraz listy sprawdzajcej. Rozszerzeniem dla wskazanych metod moe by metoda PHA oraz TA. Zastosowanie tych metod pozwoliło na zidentyfikowanie zagroe w działalnoci drukarni oraz ich zgrupowanie w czterech obszarach dotyczcych: klientów, w odniesieniu do których zidentyfikowano zagroenia: zmniejszone wolumeny zamówie od głównego klienta (I.1), nieterminowe regulowanie zobowiza finansowych przez klientów (I.2), reklamacje (I.3); dostawców, wobec których okrelono nastpujce zagroenia: brak moliwoci uzyskania materiałów (z uwagi na trudnoci płatnicze drukarni i niepłacenie dostawcom za wczeniejsze zamówienia II.1), wypowiedzenie umowy ze strony najemcy terenu (II.2), brak dostpnoci specjalnego papieru z atestem spoywczym (II.3); wewntrznej organizacji działa, co zwizane jest z: absencj pracowników (III.1), niechci do nadgodzin (wynika to ze specyfiki współpracy drukarni z duym producentem leków wykonywanie małych ilociowo partii kartoników w krótkim czasie III.2), awaria maszyny drukarskiej (III.3), planowany przestój produkcyjny (III.4), poar (III.5); czynników zewntrznych, zwizanych z: awariami energetycznymi (IV.1), katastrof lotnicz (drukarnia połoona jest na linii pasa startowego lotniska oddalonego o 1 km IV.2), awari wodocigow (IV.3). Do okrelenia skutków zastosowano metod co jeli. Jest to metoda koncepcyjna w zakresie identyfikacji efektów poszczególnych działa. Jest ona bazow dla tworzenia scenariuszy działa oraz analizowania ich skutków, aby ostatecznie zastosowa metod BIA analiz wpływu na biznes, która w sposób szczegółowy rozwaa wpływ zagroe na działalno, lecz głównie w krytycznych obszarach działalnoci. Z uwagi na niewielk liczb zagroe, powizana z niewielk skal działalnoci drukarni, dla oszacowania skutków przyjto metod jakociow, trzystopniow małe, rednie i due skutki dla zaistnienia potencjalnych zagroe. Okrelanie moliwych przyczyn zidentyfikowanych zagroe oraz łczenie ich z potencjalnymi skutkami przeprowadzone zostało przy zastosowaniu metod CCA i CEA przy uwzgldnieniu metod FTA oraz ETA. Na etapie szacowania prawdopodobiestwa, podobnie jak przy okrelaniu skutków, zastosowano równie metod jakociow. Z uwagi na skal działalnoci drukarni oraz liczb i rodzaj zidentyfikowanych zagroe statystyczne metody szacowania prawdopodobiestwa nie maj zastosowania. Jakociowe podejcie zastosowane zostało przy wykorzystaniu burzy mózgów do okrelenia prawdopodobiestwa zaistnienia niepodanych zdarze.

9 WSPÓŁCZESNE ZARZDZANIE 1/ W ostatnim etapie do skategoryzowania ryzyk zastosowana została macierz skutekprawdopodobiestwo, która pozwala na zobrazowanie wyników procesu oceny ryzyka. W odniesieniu do zagroe zidentyfikowanych w drukarni wyniki zostały wskazane w tab. 1. Kolorystyka poszczególnych komórek wskazuje na znaczenie poszczególnych ryzyk (ciemniejszy kolor oznacza wiksze ryzyko). Tab. 1. Wyniki oceny ryzyka w drukarni opakowa (Results of risk assessment in a packaging printing house) Prawdopodobiestwo (Probability) Skutki (Consequences) Małe (Small) rednie (Medium) Due (Large) Małe (Small) III.4 III.2, IV.1, IV.3 II.2, III.3, III.5, IV.2 rednie (Medium) II.1 I.3, III.1 II.3 Due (Large) I.1, I.2 ródło: Opracowanie własne. Najwiksze ryzyko dotyczy, w analizowanej drukarni, trzech zagroe: zmniejszenia liczby i wielkoci zamówie od głównego klienta (I.1), nieterminowego regulowania zobowiza finansowych przez klientów (I.2) oraz braku dostpnoci specjalnego papieru z atestem spoywczym (II.3). Kolejnym krokiem w ramach procesu zarzdzania ryzykiem jest kwestia akceptowalnoci zidentyfikowanych ryzyk. W opinii zarzdu drukarni wszystkie ryzyka s akceptowalne, pomimo rónego ich umiejscowienia w kontekcie prawdopodobiestwa i skutków zaistnienia niepodanych zdarze. Wynika to z ponad dwudziestoletniego okresu funkcjonowania drukarni na rynku i analizy zdarze z przeszłoci. Wraz z akceptowalnoci konieczne jest rozwaanie budowy planów postpowania z ryzykiem [ISO 31000, 2009, s. 19]. Oczywicie, plany te s bezwzgldnie tworzone dla ryzyk nieakceptowalnych i mog dla tych uznawanych jako akceptowalne. Przy ich tworzeniu mona m.in. wykorzysta trzy metody z normy IEC/ISO Drzewo decyzyjne pozwala na pokazanie alternatywnych działa zwizanych m.in. z minimalizacj ryzyk. Alternatywne podejcia szacowane s wzgldem kosztów i korzyci przy zastosowaniu metody CBA i ostatecznie w sposób graficzny mona ukaza ryzyka z przypisaniem działa w formie graficznej poprzez metod Bow-Tie. W samej drukarni plany postpowania, z uwagi na akceptowalno ryzyk, nie s formalizowane. Wynika to jednoczenie z praktycznego podejcia od wielu lat, wynikajcego z dowiadczenia zarzdu jednostki. Uwagi kocowe Po przeprowadzonej ocenie ryzyka biznesowego w organizacji, zidentyfikowano zagro- enia, które w analizowanej drukarni s znane od lat. Wpłynło to na zaakceptowanie wszystkich zidentyfikowanych ryzyk, co jednake nie oznacza, e nie s podejmowane działania dotyczce zapobiegania ich materializacji. Działania zostały wypracowane przez ponad dwudziestoletni okres funkcjonowania organizacji. W kontekcie przeprowadzonej analizy i uzyskanych wyników, mona si zastanowi jaki znormalizowany system zarzdzania bdzie adekwatny dla organizacji. Z rozmów z zarzdem drukarni wynika, i systemem zarzdzania najlepiej wspomagajcym funkcjonowanie firmy jest istniejcy certyfikowany system zarzdzania jakoci ISO Konkluzja ta wynika równie z analizy przeprowadzonej przez pryzmat specyfikacji dla integracji systemów zarzdzania [PAS 99]. Istniejcy system zarzdzania jakoci zawiera w sobie wystarczajce dla analizowanej drukarni mechanizmy minimalizacji zidentyfikowanych ryzyk.

10 18 S. Zapłata, Metody oceny ryzyka na potrzeby implementacji S. Zapłata, Methods of risk assessment for the purpose of Bibliografia 1. BS Business Continuity Management Specification, (2007), British Standards Institution, London. 2. FERMA Standard Zarzdzania Ryzykiem, (2003), Federation of European Risk Management Associations, Belgia. 3. Hadyniak B., (2010), Podejcie procesowe a identyfikacja i lokalizacja ryzyka w przedsibiorstwie, [w:] Monkiewicz J., Gsiorkiewicz L., (red.), Zarzdzanie ryzykiem działalnoci organizacji, Wydawnictwo C.H. Beck, Warszawa. 4. IEC/ISO Risk management Risk assessment techniques, (2010), International Electrotechnical Commission, Geneva. 5. ISO Medical devices Quality management systems Requirements for regulatory purposes, (2003), International Organization for Standardization, Geneva. 6. ISO 14001, Environmental management systems Requirements with guidance for use, (2004), International Organization for Standardization, Geneva. 7. ISO Risk management Principles and guidelines, (2009), International Organization for Standardization, Geneva. 8. ISO 9001 Quality management systems Requirements, (2008), International Organization for Standardization, Geneva,. 9. ISO/IEC 27001, Information technology Security techniques Information security management systems Requirements, (2005), International Organization for Standardization, Geneva. 10. ISO/TS 16949:2009 Quality management systems Particular requirements for the application of ISO 9001:2008 for automotive production and relevant service part organizations, (2009), International Organization for Standardization, Geneva. 11. Leitch M., (2010), ISO 31000:2009 The New International Standard on Risk Management, Risk Analysis, Vol. 30(6). 12. Łuczak J., (2009), Metody szacowania ryzyka kluczowy element system zarzdzania bezpieczestwem informacji ISO/IEC 27001, Zeszyty Naukowe / Akademia Morska w Szczecinie, Nr 19(91). 13. PAS 99, Publicly Available Specification, Specification of common management system requirements as a framework for integration, (2006), British Standards Institution, London. 14. The ISO Survey 2009, (2010), International Organization for Standardization, Geneva. Methods of risk assessment for the purpose of normalized management systems implementation Summary In the following study I signalized the varied normalized management systems, that can be im-plemented by every organization. Premises of normalized systems' implemention are dependent from a single organization's specific character, connected with internal arrangement and interac-tions with the environment they are working in. Both internal and market structure are carriers of potential risks influencing an organization's functioning. The main stream of this study was focused on risk assessment methods formulated in IEC/ISO norm. The application of these methods in the organization enables the preparation of a risks' catalogue and afterwards taking a conscious decision about implementing a proper normalized management system. The information gap con-nected with the lack of analysis description concerning possible uses, single risk assessment meth-ods were used in different organizations which has influenced the decision by the author to make a scientific practice in the organization and to write the following article. As a result of taking actions the possibility was analyzed to use single risk assessment methods in the printing office, producing packages for the pharmaceutical industry. The methods recognized as possible to use were grouped

11 WSPÓŁCZESNE ZARZDZANIE 1/ with reference to individual stages of the risk assessment process. As a result the risk catalogue was prepared and conclusions made, that the certified quality management system ISO 9001 functioning in the printing office, with connection to intuitional actions of management, will be enough to minimize business risks.