Zachodniopomorski Uniwersytet Technologiczny w Szczecinie Wydział Inżynierii Mechanicznej i i Mechatroniki Dr inż. Agnieszka Terelak-Tymczyna Zarządzanie bezpieczeństwem Wykłady 2014/2015 Zaliczenie odbędzie się w formie testu Konsultacje: pok. 230 Zasady zaliczania Kontakt: aterelak@zut.edu.pl a.terelak-tymczyna@wp.pl Materiały dostępne na stronie : www.aterelak.zut.edu.pl Literatura 1. Szopa T.: Niezawodność i bezpieczeństwo. Oficyna Wydawnicza Politechniki Warszawskiej, Warszawa, 2009. 2. Pamuła W.: Niezawodność i bezpieczeństwo. Wydawnictwo Politechniki Śląskiej, Gliwice, 2011. 3. K. Liderman: Analiza ryzyka i ochrona informacji w systemach komputerowych, Mikom PWN, 2008 4. Y. Y. Chong, E. M.Brown: Zarządzanie ryzykiem projektu, Dom Wydawniczy ABC, 2001 5. A. Białas: Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WNT, 2007 6. W. Zawieska (red.), Ocena ryzyka zawodowego Tom 1 - Podstawy metodyczne, wydanie III zaktualizowane, Centralny Instytut Ochrony Pracy - Państwowy Instytut Badawczy, Warszawa, 2004 7. J. Kowalski: Podstawy prawne ochrony pracy w Polsce. W: Bezpieczeństwo pracy i ergonomia., Red. nauk. D. Koradecka. Warszawa, CIOP 1999 8. K. Szczepańska: Metody i techniki TQM, Oficyna Wydawnicza Politechniki Warszawskiej, Warszawa 2009, 9. J. Szlązak, N. Szlązak: Bezpieczeństwo i higiena pracy, Uczelniane Wydawnictwo Naukowo- Dydaktyczne AGH, Kraków 2005 10. Dyrektywy nowego podejścia UE www.oznaczenie-ce.pl 11. PN-N-18001:2004 Systemy zarządzania bezpieczeństwem i higieną pracy. Wymagania. 12. PN-N-18002:2000 Systemy zarządzania bezpieczeństwem i higieną pracy. Ogólne wytyczne oceny ryzyka zawodowego. 13. PN-N-18004:2001 Systemy zarządzania bezpieczeństwem i higieną pracy. Wytyczne. 1
Dr inż. Agnieszka Terelak-Tymczyna Wprowadzenie. Podstawowe pojęcia i definicje Wykłady 2014/2015 Zarządzanie bezpieczeństwem określa się jako pakiet działań dążących do osiągnięcia zamierzonego stanu bezpieczeństwa oraz utrzymywania go na określonym poziomie. Działania te dążą do minimalizacji prawdopodobieństwa wystąpienia zdarzeń niepożądanych oraz stwarzają możliwość do jego kontrolowania i monitorowania poprzez identyfikację zagrożeń oraz ocenę występującego ryzyka. Andrzej Białas Zarządzanie bezpieczeństwem jest to identyfikacja, ocena i ustalenie priorytetów wystąpienia ryzyka poprzez takie koordynowanie działaniami w przedsiębiorstwie aby zminimalizować, monitorować i kontrolować prawdopodobieństwo wystąpienia zjawisk niepożądanych. Zarządzanie bezpieczeństwem RYZYKO ZAGROŻENIE 2
Zagrożenie jest to możliwość powstania określonych strat, ustalana dla sytuacji powstałej po zajściu pojedynczego zdarzenia niepożądanego w rozpatrywanym systemie człowiek-technika-środowisko Tadeusz Szopa Zagrożenie to sytuacja niebezpieczna, w której występuje obiekt mogący doznać szkody lub obiekt, który może ponieść stratę w efekcie uaktywnienia się niebezpieczeństwa. Strata odnoszona jest do przedmiotów, które w wyniku niebezpiecznego zdarzenia mogą ulec uszkodzeniu lub zniszczeniu. Z kolei szkoda lub krzywda odnosi się do człowieka Jan i Nikodem Szlązak Zagrożenie spowodowane może być niżej wymienionymi przyczynami: niesprzyjającym wpływem otoczenia, błędami użytkownika popełnianymi w eksploatacji, szczególnie błędami sterowania, niewłaściwym działaniem obiektu, na skutek uszkodzeń jego podzespołów. Ryzyko Zagrożenie - zjawisko wywołane działaniem sił natury np. trzęsienia ziemi bądź związane z działalnością człowieka, które powoduje, że poczucie bezpieczeństwa maleje bądź zupełnie zanika. Zagrożenie związane z działalnością człowieka dzielimy na: - cywilizacyjne np. imprezy masowe, choroby społeczne - destrukcyjne np. terroryzm, przestępczość - gospodarcze np. zanieczyszczenie środowiska, wadliwe konstrukcje. Zagrożenie a ryzyko - choć oba te czynniki występują równolegle, nie należy ich ze sobą utożsamiać, gdyż podobnie jak przyczyna i skutek są to dwa odrębne zjawiska. Przykładowo zagrożenie mogą stanowić zwisające z dachu duże sople, podczas gdy ryzykiem jest przebywanie lub przechodzenie w miejscu, w którym jest możliwe uderzenie przez oderwany sopel. Ryzyko w przeciwieństwie do zagrożenia, wynika z dobrowolnego działania, czyli działań wewnątrz przedsiębiorstwa lub za jego zgodą. 3
Ryzyko nie jest najważniejszym elementem w ekonomii. Ważniejsze jest by ryzyko dostrzec i prawidłowo je ocenić. Milton Friedman Laureat Nagrody Nobla z ekonomii Etymologię słowa można znaleźć w kilku językach: Ryzyko pochodzi z języka z języka łacińskiego, gdzie czasownik risicare znaczy omijać coś Ryzyko pochodzi też z greki riza, które oznacza rafę stanowiąca poważne zagrożenie podczas żeglugi na morzu podobnie jak w języku włoskim ris(i)co oznacza rafę, którą statek (kupiecki) powinien ominąć i znaczy też : mieć śmiałość, przekroczyć ustalone tradycją ograniczenia Ryzyko jest nieodłączną częścią każdej działalności człowieka. Ryzyko jest cechą wspólną ludzkich działań. Można je zaobserwować w np. polityce, prawie, medycynie, nauce, ekonomii, zarządzaniu, życiu codziennym Należy je postrzegać jako niebezpieczeństwo, możliwość nieosiągnięcia postawionego celu czy zaplanowanych rezultatów Ludzie obawiają się ryzyka bardziej, kiedy nie mają wpływu na nie w porównaniu z niepewnym działaniem podejmowanym świadomie. 4
ZJAWISKO RYZYKA W DZIAŁALNOŚCI GOSPODARCZEJ Ryzyko jest nieodłączną cechą działalności gospodarczej: przedsiębiorca jest specjalistą w podejmowaniu ryzyka i czerpaniu z niego zysków. Jednak przedsiębiorstwa są narażone na wiele rodzajów ryzyka, z których nie wszystkie przynoszą korzyści. Ryzyko, nawet nieznane, może stanowić istotne zagrożenie dla realizacji celów przedsiębiorstwa. Ryzyko znane powoduje natomiast niepewność, co do efektów podejmowanych decyzji. Każdy przedsiębiorca wie, ryzyko to nieodłączna i niezwykle istotna cecha każdego przedsięwzięcia gospodarczego Ryzyko nie jest zjawiskiem absolutnie złym. Gdyby nie istniało, nie miałyby racji istnienia giełdy, instytucje ubezpieczeniowe, a także zwykłe przedsiębiorstwa. Właściciele przedsiębiorstw mogą uzyskiwać dodatkowe korzyści tylko jeśli są narażeni na ryzyko. Ponadto ryzyko nie wiąże się tylko z możliwością strat, ale także z szansą na dodatkowe przychody dla tych, którym sprzyja szczęście. Jednak, jak wiemy z codziennych obserwacji, mało kto uważa ryzyko za zjawisko korzystne. Ryzyko oznacza przecież, że nie jesteśmy w stanie przewidzieć rezultatów naszych działań - czy nie wolelibyśmy uniknąć tego problemu? W terminologii funkcjonują dwa terminy o podobnym znaczeniu: Ryzyko oraz Niepewność. W języku potocznym obydwa terminy często są wykorzystywane zamiennie, lecz dla osób zarządzających ryzykiem, znaczą coś całkiem różnego. Ryzyko - to zjawisko obiektywne oznacza połączenie możliwych efektów działania wraz z prawdopodobieństwem (obiektywnym) ich wystąpienia. Niepewność - to stan umysłu ze względu na występowanie ryzyka, lub naszą niewiedzę, nie jesteśmy w stanie przewidzieć efektów naszych działań. Tam gdzie jedna osoba odczuwa niepewność, inna, lepiej poinformowana, nie musi jej wcale odczuwać. Ryzyko jest zawsze połączone z niepewnością, ale odwrotne twierdzenie nie jest prawdziwe. Możemy odczuwać niepewność wynikającą wyłącznie z naszej niewiedzy o świecie 5
Ryzyko jest to możliwość pojawienia się określonych strat (szkód) w rozważanym systemie człowiek-technikaotoczenie w określonym czasie jego funkcjonowania. Tadeusz Szopa Przykład: Ryzyko i zagrożenie w odniesieniu do kierowcy pojazdu z nieaktualnym przeglądem technicznym Przejazd człowieka samochodem z miejsca pracy do miejsca zamieszkania związany jest z pewnym ryzykiem doznania uszczerbku na zdrowiu z powodu złego stanu technicznego pojazdu. Do takiej szkody raczej nie dochodzi jeżeli samochód przechodzi regularnie przeglądy techniczne z wynikiem pozytywnym. Kiedy natomiast pojawi się awaria hamulca, jako zdarzenia niepożądanego, sytuacja zmienia się diametralnie. W tym przypadku ryzyko doznania uszczerbku na zdrowiu przez kierującego pojazdem zwiększa się zaskakująco szybko. To właśnie to ryzyko poniesienia szkód, które łączy się z wystąpieniem zdarzenia niepożądanego, tj. awarii hamulca określa się jako zagrożenie. z normy ISO 31000: Ryzyko Skutek niepewności w odniesieniu do ustalonych celów ( Połączenie konsekwencji zdarzenia z prawdopodobieństwem jego wystąpienia ) Ryzyko- oznacza miarę i ocenę zagrożenia czy niebezpieczeństwa wynikającego albo z prawdopodobnych zdarzeń od nas niezależnych, albo z możliwych konsekwencji podjęcia decyzji. Uwaga nr 1: Skutek(wpływ) to odchylenie od spodziewanych założeń pozytywny lub negatywny. Uwaga nr 2: Niepewność to stan, nawet częściowy, niewystarczającej ilości: informacji, znajomości rzeczy lub wiedzy, wydarzenia, jego konsekwencji lub prawdopodobieństwa jego wystąpienia Uwaga 3: Ryzyko jest często określane przez odniesienie do możliwych zdarzeń i konsekwencji lub ich połączenia. (Guide73) Słownictwo. Wytyczne dla standardów Uwaga nr 4: Ryzyko jest często wyrażone jako powiązanie konsekwencji wydarzenia (włączając zmiany okoliczności) i prawdopodobieństwo jego wystąpienia Z definicji ryzyka warto przytoczyć kilka najbardziej praktycznych: Ryzyko jako niepewność wystąpienia określonych skutków stanu natury. Jest pewną obiektywną prawidłowością charakterystyczna dla świata realnego, który dana jednostka subiektywnie postrzega i interpretuje A.H Willet Ryzyko to niepewność związana z przyszłymi wydarzeniami lub wynikami decyzji J.K Sinkey Ryzyko oznacza podejmowanie decyzji, które nie są optymalne z punktu widzenia założonego celu, ze względu na fakt niepełnej informacji E.Kreim Ryzyko należy postrzegać jako kombinację prawdopodobieństwa wystąpienia jakiegoś zdarzenia oraz jego konsekwencji dla przedsiębiorstwa (konsekwencje pozytywne lub negatywne). Ryzyko - problem, zagrożenie, które może się urzeczywistnić 6
Ustalenie kontekstu 31000:2012) (pkt.2.9 wg PN-ISO Definiowane zewnętrznych i wewnętrznych parametrów, które powinny być uwzględnione podczas zarządzania ryzykiem, jak również podczas określania zakresu i kryteriów ryzyka dla polityki zarządzania ryzykiem. Kontekst wewnętrzny (pkt.2.11 wg PN-ISO 31000:2012) Środowisko wewnętrzne, w którym organizacja dąży do osiągnięcia swoich celów Uwaga Kontekst wewnętrzny może uwzględniać: - ład organizacyjny, strukturę organizacji, role i rozliczalność - polityki, cele i strategie ustanowione w celu ich osiągnięcia - zdolności rozumiane jako zasady i wiedza (np. kapitał, czas, ludzie, procesy, systemy i technologie) - systemy informacyjne, przepływ informacji i procesy podejmowania decyzji (formalne i nieformalne) - relacje z wewnętrznymi interesariuszami, ich postrzeganie i wartości - kulturę organizacji - normy, wytyczne i modele przyjęte przez organizację - formę i zakres relacji zawartych w umowach Kontekst zewnętrzny 31000:2012) (pkt.2.11 wg PN-ISO Środowisko zewnętrzne, w którym organizacja dąży do osiągnięcia swoich celów. Uwaga Kontekst zewnętrzny może uwzględniać: - środowisko kulturowe, społeczne, polityczne, prawne, regulacyjne, finansowe, technologiczne, ekonomiczne, naturalne oraz konkurencyjne środowisko niezależnie od rozpatrywanego zakresu: międzynarodowego, narodowego, regionalnego lub lokalnego - kluczowe czynniki i trendy mające wpływ na cele organizacji oraz - relacje z zewnętrznymi interesariuszami, ich postrzeganie i wartości 7
Ocena ryzyka (pkt.2.14 wg PN-ISO 31000:2012) Całościowy proces identyfikacji ryzyka, analizy ryzyka oraz ewaluacji ryzyka. Analiza ryzyka (pkt.2.21 wg PN-ISO 31000:2012) Proces dążący do poznania charakteru ryzyka oraz określenia poziomu ryzyka. Uwaga1 Analiza ryzyka stanowi podstawę do ewaluacji ryzyka oraz określenia poziomu ryzyka Uwaga2 Analiza ryzyka zawiera estymacje ryzyka Identyfikacja ryzyka (pkt.2.15 wg PN-ISO 31000:2012) Proces wyszukiwania, rozpoznawania i opisywania ryzyka Uwaga1 Identyfikacja ryzyka obejmuje rozpoznanie źródła ryzyka, zdarzeń, ich przyczyn i potencjalnych następstw. Uwaga2 Identyfikacja ryzyka może obejmować dane historyczne, analizy teoretyczne, pozyskane opinie, opinie ekspertów oraz potrzeby interesariuszy. Źródła ryzyka (pkt.2.16 wg PN-ISO 31000:2012) Element, który sam lub w połączeniu z innymi ma wewnętrzny potencjał, aby powodować powstanie ryzyka Uwaga Źródło ryzyka może być materialne i niematerialne. Zdarzenie (pkt.2.17 wg PN-ISO 31000:2012) Wystąpienie lub zmiana konkretnego zestawu okoliczności Uwaga1 Zdarzenie może wystąpić jeden raz lub wielokrotnie i może mieć wiele przyczyn Uwaga2 Zdarzenie może dotyczyć czegoś, co nie wystąpiło Uwaga3 Zdarzenie może czasem być określane jako incydent lub wypadek Uwaga4 Zdarzenie bez następstw może być również określane jako niedoszłe zdarzenie, incydent, sytuacja grożąca wypadkami lub słowami o mały włos. 8
Poziom ryzyka (pkt.2.23 wg PN-ISO 31000:2012) Wielkość ryzyka lub kombinacji ryzyk, wyrażona w postaci kombinacji następstw oraz ich prawdopodobieństwa Postępowanie z ryzykiem (pkt.2.25 wg PN-ISO 31000:2012) Proces modyfikacji ryzyka Uwaga1 Postępowanie z ryzykiem może uwzględniać: - unikanie ryzyka poprzez decyzję o nierozpoczynaniu lub niekontynuowaniu działań powodujących ryzyko - podjecie lub zwiększenie ryzyka w celu wykorzystania szansy - usunięcie źródeł ryzyka - zmianę prawdopodobieństwa - zmianę następstw - dzielenie ryzyka wraz z inną strona lub stronami (łącznie z umowami) - retencję (zatrzymanie, ograniczenie zasięgu ryzyka ) na podstawie świadomej decyzji Następstwo (konsekwencje) (pkt.2.18 wg PN-ISO 31000:2012) Rezultat zdarzenia mający wpływ na cele Uwaga1 Zdarzenie może prowadzić do wielu następstw Uwaga2 Następstwo może być pewne lub niepewne i może mieć wpływ pozytywny bądź negatywny na osiągnięcie celów Uwaga3 Następstwa mogą być wyrażone jakościowo lub ilościowo Uwaga4 Początkowe następstwa mogą się zwiększyć poprzez efekty uboczne Prawdopodobieństwo (pkt.2.18 wg PN-ISO 31000:2012) Możliwość, szansa wystąpienia zdarzenia Uwaga1 W terminologii zarządzania ryzykiem termin prawdopodobieństwo jest używany w odniesieniu do możliwości wystąpienia jakiegoś zdarzenia, zarówno zdefiniowanego, mierzonego lub określonego obiektywnie lub subiektywnie, jakościowo lub ilościowo, jak i opisanego przy użyciu ogólnych terminów lub matematycznie (np. częstość w określonym przedziale czasu) Ewaluacja ryzyka (pkt.2.24 wg PN-ISO 31000:2012) Proces porównywania wyników analizy ryzyka z kryteriami ryzyka (cele, polityki,normy, przepisy itd.) w celu stwierdzenia,czy ryzyko i/lub jego wielkości są akceptowane lub tolerowane Ryzyko rezydualne (pkt.2.27 wg PN-ISO 31000:2012) Ryzyko pozostające po zastosowaniu działań określonych w postępowaniu z ryzykiem Uwaga1 Ryzyko rezydualne może zawierać ryzyko niezidentyfikowane Uwaga2 Ryzyko rezydualne jest nazywane również ryzykiem podlegającym retencji 9
Rodzaje ryzyka Rodzaj ryzyka Obiektywne Subiektywne Czyste Spekulacyjne Statyczne Opis Wynik analizy części pożądanych i niepożądanych zdarzeń. Przykład: częstość występowania powodzi na danym obszarze Inaczej subiektywna ocena ryzyka, nacechowane jest indywidualnym spojrzeniem na sytuację. Przykład: Takie, którego wielkość można pomniejszyć przez ograniczenie strat, np. w wyniku ubezpieczenia się od ryzykownej czynności. Przykład: kradzież mienia zakładu pracy, awarie urządzeń Występuje w sytuacji, w której można zarówno zyskać, jak i stracić. Ryzyko to jest charakterystyczne dla działalności inwestycyjnej, giełdowej ale także zawodowej i pozazawodowej. Przykład: pominięcie wymaganych przepisami zabezpieczeń w cyklu technologicznym (ryzyko zawodowe) Ryzyko wynikające ze statystyki zdarzeń mogących powodować szkody. Przykład: powódź występująca na określonym obszarze ze ściśle określoną częstotliwością i konsekwencjami. Rodzaje ryzyka Rodzaj ryzyka Dynamiczne Podstawowe Szczegółowe Indywidualne Zbiorowe Opis Towarzyszące zmianom samego społeczeństwa, jest następstwem zmian zachodzących w gospodarce. Przykład: rozwój transportu lotniczego i związane z nim ryzyko terrorystyczne. Dotyczy całego społeczeństwa lub znacznej jego części. Przykład: recesja gospodarcza kraju i związane z nią skutki. Dotyczy tylko niektórych grup ludzi a nawet jednostek. Przykład: ryzyko związane z pracą policji, górników Ryzyko na jakie wystawione są pojedyncze osoby, które rzadziej niż ogół decydują się na podjęcie ryzykownej czynności Ryzyko to podejmują całe grupy ludzi lub nawet całe społeczeństwa. Przykład: kibice piłkarscy wszczynający bójki. MDR (Maksymalne Dopuszczalne Ryzyko) wielkość funduszy, jakie organizacja może ponieść w przypadku występienia niekorzystnych zdarzeń i w dalszym ciągu utrzymać się na rynku. MDR =αfw+βzysk+γgwarancje Definicje α część funduszy własnych (FW) ustalona jako maksymalny limit strat w przypadku totalnej katastrofy; β część rocznego zysku operacyjnego brutto, pozwalającego na wchłonięcie skutków katastrofy; γ szacunkowy wskaźnik odszkodowań jako ewentualnej rekompensaty pieniężnej lub technicznej w przypadku powstałych szkód. 10
Zachodniopomorski Uniwersytet Technologiczny w Szczecinie Wydział Inżynierii Mechanicznej i i Mechatroniki Zarządzanie ryzykiem ISO opracowało nową międzynarodową normę ISO 31000 General guidelines for principles and implementation of risk management, Ryzyko którą przetłumaczono na język polski jako PN-ISO 31000:2012-03P Zarządzanie ryzykiem Zasady i wytyczne. Zarządzanie ryzykiem wg ISO 31000 obejmuje m.in. identyfikację ryzyka, ocenę i ewaluację ryzyka, postępowanie z ryzykiem oraz jego monitorowanie i związaną z nimi komunikację. 11
Ryzyko W normie PN-ISO 31000 przedstawiono zalecane zasady dla osiągnięcia skuteczności zarządzania ryzykiem: a) Zarządzanie ryzykiem tworzy i chroni wartość poprzez przyczynianie się do wzrostu pewności osiągania celów b) Zarządzanie ryzykiem powinno być integralną częścią wszystkich procesów w organizacji c) Zarządzanie ryzykiem jest częścią procesu podejmowania decyzji świadome wybory, ustalone priorytety, d) Zarządzanie ryzykiem jednoznacznie odnosi się do niepewności e) Zarządzanie ryzykiem jest systematyczne, ustrukturyzowane oraz terminowe f) Zarządzanie ryzykiem wykorzystuje najlepsze dostępne informacje z wielu źródeł, w tym np. dane historyczne Ryzyko g) Zarządzanie ryzykiem jest dopasowane do zewnętrznych i zewnętrznych uwarunkowań organizacji i profili ryzyk h) Zarządzanie ryzykiem bierze pod uwagę czynniki ludzkie i kulturowe rozpoznaje możliwości percepcje oraz intencje osób wewnątrz i zewnątrz organizacji, które mogą ułatwić lub utrudnić osiągnięcie celów organizacji i) Zarządzanie ryzykiem jest przejrzyste i całościowe dzięki odpowiedniemu terminowemu zaangażowaniu j) Zarządzanie ryzykiem jest dynamiczne iteracyjne oraz reaguje na zmiany w tym na nowe pojawiające się ryzyka k) Zarządzanie ryzykiem ułatwia ciągłe doskonalenie organizacji doskonalenie poziomu dojrzałości systemu zarządzania Do procesu zarządzania ryzykiem należy 5 stopni: Ryzyko 1. Ustalenie kontekstu 2. Identyfikacja ryzyka 3. Analiza ryzyka 4. Oszacowanie ryzyka 5. Odpowiedź na ryzyko (zabezpieczenie ryzyka) 12
Zarzadzanie ryzykiem Analiza ryzyka i związane z tym metody zarządzania ryzykiem np. - Analiza drzewa błędów wg DIN25424-1/2 - Analiza FMEA wg IEC 60812 Zarzadzanie ryzykiem Analiza ryzyka dotyczy specyficznych obszarów np. Bezpieczeństwa maszyn i urządzeń - przewodnik do oceny ryzyka wg EN 1050 Ropa naftowa i przemysł wydobycia gazu przybrzeżne urządzenia produkcyjne wytyczne i procedury do wykrycia niebezpieczeństw oraz system rozkładu ryzyka wg ISO 17666 Windy i schody ruchome procedury dotyczące analizy ryzyka wg ISO/TS 14798 Wyroby medyczne -zastosowanie zarządzania ryzykiem dla wyrobów medycznych wg EN ISO 14971 Produkty spożywcze - analiza zagrożeń i krytycznych punktów kontroli wg HACCP i FAO/ WHO Codex Alimentarius i ISO 22000 Zarządzanie środowiskiem aspekty środowiskowe, gotowość i reakcje na awarie wg ISO 14001 Zarządzanie ryzykiem Zarządzanie bezpieczeństwem i higiena pracy wytyczne do oceny ryzyka zawodowego PN-N- 18002 Technika informatyczna. Systemy zarządzania bezpieczeństwem informacji- SZBI. Wymagania wg ISO/IEC 27001:2013-09 Technika informatyczna.techniki bezpieczeństwa. Zarządzanie ryzykiem w bezpieczeństwie informacji wg PN-ISO/IEC 27005:2010 System zarządzania jakością. Wymagania dla dostawców do NATO. Analiza ryzyka przy zawieraniu kontraktów o charakterze militarnym wg standardu AQAP 2110 13
Zarządzanie ryzykiem CO ZROBIĆ Z RYZYKIEM I NIEPEWNOŚCIĄ? Odpowiedzi na to pytanie poszukuje Zarządzanie ryzykiem. Istnieje wiele metod zarządzania ryzykiem, uzależnionych od celów organizacji oraz rodzaju ryzyka na jakie jest narażona. Istnieje tylko jedna, pozornie prosta metoda zmniejszenia niepewności - pozyskanie informacji. Należy jednak pamiętać, że pozyskiwanie informacji jest związane z kosztem. Czyli ryzyko istnieje do momentu jego wystąpienia. Efektem jego wystąpienia są zawsze zyski, lub straty. Kumulowanie ryzyka strat procesu WEWNĘTRZNA ANALIZA RYZYKA NIEPEWNOŚĆ RYZYKO DECYZYJNE ZASOBOWE STRUKTURALNE ZEWNĘTRZNA DECYZJE W ZARZĄDZANIU RYZYKIEM Rodzaje ryzyka Rodzaje ryzyka w przedsiębiorstwie: 1. Zewnętrzne: Ryzyko operacyjne (ustawodawstwo, łańcuch zaopatrzeniowy), Ryzyko finansowe (stopy procentowe, kursy walutowe, ryzyko kredytowe), Ryzyko strategiczne (konkurencja, fluktuacja popytu, zmiany struktury podmiotowej rynku), Niebezpieczeństwa ( umowy, otoczenie, majątek) 2. Wewnętrzne: Płynność finansowa, Przepływy pieniężne, Systemy informatyczne, Kapitał intelektualny. 14
Rodzaje ryzyka w przedsiębiorstwie: 1. Ryzyko polityczne (menedżerskie, strategiczne, etyczne) 2. Ryzyko instytucjonalne (ekonomiczne, finansowe, rynkowe) 3. Ryzyko techniczne (operacyjne, środowiskowe, systemów informacyjnych) Rodzaje ryzyka Ryzyko procesu Kumulowanie ryzyka Niepewność w zarządzaniu Ryzyko technologii Ryzyko organizacji Kumulowanie ryzyka Różne rodzaje ryzyka cząstkowego Ryzyko zarządzania Bezpieczeństwo a analiza ryzyka Bezpieczeństwo wiąże się z ograniczeniem ryzyka, czyli wyeliminowaniem nieakceptowalnego ryzyka utraty życia lub zdrowia ludzkiego, bezpośrednio lub pośrednio, na wskutek wystąpienia zniszczeń w obiekcie lub w jego otoczeniu. Bezpieczeństwo funkcjonalne część bezpieczeństwa zależna od samego systemu lub poprawnego działania urządzenia i jest związane z właściwą odpowiedzią na pobudzenie jego wejść. 15
Przykład : Bezpieczeństwo funkcjonalne Czujnik w uzwojenie silnika, który wykrywa stan przegrzania i umożliwia wyłączenie silnika, zanim ulegnie on uszkodzeniu. Bezpieczeństwo funkcjonalne Bezpieczeństwo funkcjonalne powinno spełniać dwa rodzaje wymagań: 1. Na funkcje bezpieczeństwa, opracowane na podstawie wyników analizy hazardów (zagrożeń) określające, co funkcje powinny realizować i w jaki sposób. 2. Na integralność, wypracowane na podstawie wyników szacowania ryzyka, a określających prawdopodobieństwo, że funkcja bezpieczeństwa zadziała niepoprawnie. Identyfikacja i wycena wartości chronionych Pierwszym etapem analizy ryzyka jest identyfikacja i wycena wartości chronionych. Warunkiem koniecznym, aby zbudować efektywny system zarządzania ryzykiem, jest zidentyfikowanie aktywów narażonych na ryzyko oraz ustalenie, jakiego rodzaju wartości mogą zostać utracone. Aktywa organizacji są to wszelkie wartości materialne i niematerialne mające znaczenie dla osiągnięcia wyznaczonych celów organizacji. Dla każdego rodzaju aktywów należy rozważyć, na czym polega ich wartość dla organizacji i które cechy aktywów powinny być chronione w warunkach ryzyka. 16
Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Proces Cel procesu Czynniki ryzyka Procesy zarządzania Zarządzanie polityką i strategią Zarządzanie finansami i wynikami Zapewnienie spójności Polityki Ryzyka z polityką przedsiębiorstwa. Zapewnienie jedności planowanych zadań strategicznych i celów procesów Zapewnienie płynności finansowej i dodatnich wyników finansowych przedsiębiorstwa zmienność otoczenia politycznego i gospodarczego system informatyczny ocena czynników sukcesu (trafność w prowadzeniu analizy swot) skłonność kardy menadżerskiej do ryzyka wiedza i zaangażowanie pracowników Zmiany fiskalne przepisów bankowych terminowość opłacania faktur przez klientów stabilność rynków zbytu decyzje inwestycyjne kierownictwa system informacyjny wiedza i umiejętności pracowników Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Proces Cel procesu Czynniki ryzyka Procesy zarządzania Zarządzanie strukturą organizacyj ną Zarządzanie Systemem Zarządzania Ryzykiem (utrzymani e i rozwój systemu) Zapewnienie adekwatności organizacyjnej do strategii i zadań operacyjnych oraz wymagań otoczenia prawne-go przedsiębiorstwa Utrzymanie Systemu Zarządzania Ryzykiem system informacyjny zmienność relacji prawnych opór przed zmianami kultura organizacyjna wiedza i zaangażowanie pracowników kwalifikacje menedżerów decyzje kierownictwa bazy danych system informatyczny Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Proces Cel procesu Czynniki ryzyka Procesy doskonalenia Audity wewnętrzn e Działania korygujące i zapobiegaw cze Zapewnienie sprawności funkcjonowania Systemu Zarządzania Ryzykiem przez bieżące monitorowanie procesów i wskazania dotyczące podwyższania jakości ich funkcjonowania Korygowanie wad procesów jak też zapobieganie im z wykorzystaniem wyników auditów wewnętrznych system informatyczny zaangażowanie i umiejętności auditorów bazy danych system komunikacji wewnętrznej elastyczność procesów kwalifikacje pracowników 17
Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Proces Cel procesu Czynniki ryzyka Procesy tworzące wartość dodaną Marketing Projektowani e i rozwój produktów Rozpoznawanie potrzeb rynku budowlanego oraz zachowań klientów (potrzeb, wymagań, satysfakcji), a także rynku dostawców surowców i materiałów oraz usług. Celem dodatkowym jest budowanie dobrego wizerunku przedsiębiorstwa Zapewnienie stosowania nowoczesnych rozwiązań wyrobów i usług, będących w zakresie działalności przedsiębiorstwa system informacyjny zmienność popytu potencjał rynku pozycja konkurencyjna siła oddziaływania środków promocji kwalifikacje marketerów system informatyczny ocena możliwości spełnienia wymagań klientów kwalifikacje pracowników możliwości techniczne elastyczność linii produkcyjnych ocena oddziaływania produktów na środowisko naturalne dostępność nowoczesnych technologii środki finansowe Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Proces Cel procesu Czynniki ryzyka Procesy tworzące wartość dodaną Planowani e produkcji Logistyka Zapewnienie, że proces planowania produkcji przebiega w kontrolowanych warunkach tak, aby w pełni osiągnąć zgodność wyrobu/usługi z wymaganiami uzgodnionymi pomiędzy klientem a dostawcą (wewnętrznymi i zewnętrznymi) Zapewnienie zakupów, dostaw i transportu surowców, materiałów i usług o cechach spełniających wymagania poszczególnych procesów system informatyczny bazy danych w tym bazy normatywne niezbędnych zasobów pracy (robocizny, materiałów, sprzętu) kwalifikacje pracowników dokładność w precyzowaniu wymagań klienta oszacowanie potrzeb materiałowych (ilościowe i jakościowe) stosunki z kontrahentami zmienność cen materiałów zmiany warunków dostaw terminowość dostaw Zapasy system kontroli jakości materiałów przestrzeganie przez dostawców norm technicznych awarie maszyn i urządzeń warunki przechowywania surowców i wyrobów Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Proces Cel procesu Czynniki ryzyka Procesy tworzące wartość dodaną Wytwarzan ie wyrobów Obsługa klienta Realizacja procesów wytwórczych w sposób bezpieczny dla pracowników i otoczenia, a także gwarantujący wymaganą jakość produktów Tworzenie wartości dla klienta przez zapewnienie wysokiej jakości obsługi we wszystkich fazach kontaktu z klientem zewnętrznym zapewnienie materialnych czynników produkcji możliwość naboru pracowników zaangażowanie pracowników w wykonywaną pracę kwalifikacje i doświadczenie pracowników awarie maszyn i urządzeń technicznych bezpieczeństwo osób bhp (oświetlenie, hałas, wibracja, temperatura, czynniki chemiczne, stres) zanieczyszczenie środowiska naturalnego system informatyczny procedury dotyczące spisania umowy komunikacja i relacje z klientem w czasie produkcji wyrobu czy świadczenia usługi terminowość dostaw obsługa posprzedażna kwalifikacje i zaangażowanie 18
Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Proces Cel procesu Czynniki ryzyka Procesy wspomagające Zarządzanie infrastrukturą techniczną Zarządzanie zasobami ludzkimi Zapewnienie poprawnego funkcjonowania infrastruktury technicznej w celu spełniania wymagań jakości obsługiwanych procesów Zapewnienie prawidłowego dostosowania liczby i kwalifikacji pracowników do wypełniania zadań stanowiskowych postęp techniczny kradzieże zanieczyszczenie środowiska naturalnego dobór liczbowy pracowników kwalifikacje i zaangażowanie pracowników rynek pracy system komunikacji wewnętrznej Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego Proces Cel procesu Czynniki ryzyka Procesy wspomagające Nadzór nad środowiskie m pracy i środowiskie m naturalnym Zarządzanie komunikacją wewnętrzną - system informatyczn y Zapewnienie, wymaganego prawem i dobrem pracowników, stanu środowiska pracy, umożliwiającego poprawne wykonywanie zadań produkcyjnych (bhp), a także minimalizować zagrożeń dla środowiska naturalnego oraz uniezależnienie Sprawne zarządzania komunikacją wewnętrzną w celu zapewnienia jednoznaczności wymagań klientów wewnętrznych i zewnętrznych system informatyczny narażenia pracowników w procesie pracy aktualność stanowiskowych kart ryzyka zawodowego zanieczyszczenie środowiska naturalnego zmienność wymagań środowiskowych polityka środowiskowa państwa system informatyczny kultura organizacyjna stabilność kadry Identyfikacja zagrożeń Aspekt ryzyka Techniczny Programowy Źródło ryzyka Własności fizyczne Własności materiałowe Własności radiacyjne Testowanie i modelowanie Integracja i interfejs Architektura oprogramowania Bezpieczeństwo Dostępność materiałów Dostępność personelu Umiejętność personelu Bezpieczeństwo Zabezpieczenia Wpływ środowiskowy Problemy komunikacyjne Zmiany wymogów Wykrywanie błędów Środowisko operacyjne Sprawdzone/niesprawdzon e technologie Złożoność systemu Rzadkie lub specjalne zasoby Przerwy w pracy Zmiany wymogów Wsparcie polityczne Stabilność kontrahentów Struktura finansowania Zmiany regulacyjne 19
Identyfikacja zagrożeń Aspekt ryzyka Obsługowy Kosztowy Harmonogramow y Źródło ryzyka Niezawodność i utrzymywalność Szkolenie i wsparcie szkolenia Sprzęt Kwestie dotyczące zasobów ludzkich Bezpieczeństwo systemu Dane techniczne Wrażliwość na ryzyko Techniczne Programowe Obsługowe Wrażliwość na ryzyko Techniczne Programowe Obsługowe Udogodnienia Zgodność operacyjna Łatwość transportu Wsparcie zasobów informatycznych Pakowanie, przeładunek, przechowywanie Wrażliwość na ryzyko harmonogramowe Wielkość kosztów ogólnych i kosztów ogólnego zarządu Błąd szacowania Wrażliwość na ryzyko kosztowe Stopień równoczesności Liczba elementów tworzących ścieżkę krytyczną Błąd szacowania Pewna maszyna ma niebezpieczne wirujące ostrze, osłonięte pokrywą umocowaną na zawiasach, która musi być odchylana podczas konserwacji urządzenia. Podniesienie pokrywy powinno wyłączyć napęd, zanim dojdzie do zranienia operatora. Podczas analizy hazardu zidentyfikowano hazard towarzyszący czyszczeniu ostrza. Należy zapewnić by uniesienie pokrywy o wyżej niż 5 mm doprowadzało do wyłączenia napędu i zadziałania hamulca. Ponadto wyznaczono czas hamowania - 1 s. W ten sposób powstała specyfikacja funkcji bezpieczeństwa, czyli pewnego elementu automatyki wbudowanego do systemu, który w ciągu 1 s od uniesienia pokrywy na wysokość 5 mm ma zatrzymać maszynę. Przykład Oszacowanie ryzyka sprowadza sic do oceny skuteczności funkcji bezpieczeństwa. Jego celem jest uzyskanie przekonania, ze zachowanie integralności funk j i bezpieczeństwa jest wystarczające, by nikt nie był narażany na nieakceptowalne ryzyko podczas konserwacji maszyny, wynikające z istnienia hazardu. Szkodą może tu być zranienie ręki operatora, a nawet jej utrata. W tym wypadku wielkość ryzyka zależy takie od częstości prowadzenia prac konserwacyjnych. Wymagany w tym przypadku poziom integralności sił zależy od rodzaju uszkodzenia i częstości, z jaką operator jest w ten sposób narażany. 1. Zależne od konstruktora: Błędy w specyfikacjach systemu, sprzętu, oprogramowania; Niekompletne specyfikacje bezpieczeństwa, np. nie uwzględnienie pewnych trybów pracy. Czynniki zagrożeń 2. Sprawcze: Błąd ludzki Przypadkowe uszkodzenie sprzętowe Błąd oprogramowania Wahania zasilania Zjawiska zachodzące w środowisku ( zakłócenia elektromagnetyczne, przegrzanie itp.) 20
Metodyka procesu zarządzania ryzykiem Kolejność etapów Etap I Etap II Etap III Etap IV Etapy postępowania Nazwa etapu Wybór obszaru badawczego Identyfikacja ryzyka Ustalenie indykatorów ryzyka Budowa katalogu ryzyka Ocena ryzyka Manipulowanie ryzykiem Możliwe do wykorzystania metody lub techniki Analiza Kwestionariusz Wywiad Metody inwentyczne Analiza portfelowa: -analiza orientacji przedsiębiorstwa -- arkusz punktowej oceny ryzyka -- wielostopniowa analiza portfelowa -Arkusze szans i ryzyka Katalog ryzyka Metody probablistyczno-statystyczne Analiza wrażliwości Metody scenariuszowe Analiza profilowa Metody operacyjne Unikanie Redukcja lub eliminacja Przeniesienie Podjęcie Analiza ryzyka czynności identyfikacji (środowiska, zagrożeń, podatności, potencjalnych strat) oraz oszacowania i oceny ryzyka Analiza ryzyka 21