PRZEGLĄD MIĘDZYNARODOWYCH STANDARDÓW I METODYK ZARZĄDZANIA RYZYKIEM W PRZEDSIĘBIORSTWIE.

PRZEGLĄD MIĘDZYNARODOWYCH STANDARDÓW I METODYK ZARZĄDZANIA RYZYKIEM W PRZEDSIĘBIORSTWIE. Notka informacyjna o autorze: dr inż. Martin Daliga jest Dyrektorem Centrum Badawczo Rozwojowego InLab powołanego przez firmę InProgress, Trenerem Biznesu oraz adiunktem w Wyższej Szkole Zarządzania Marketingowego i Języków Obcych w Katowicach, jako niestrudzony propagator przywództwa sytuacyjnego Kennetha Blancharda skutecznie zarządzał zespołami interdyscyplinarnymi. Na przestrzeniu ostatnich kilkunastu lat pracował z zespołami realizującymi projekty o budżetach sięgających ponad 10 mln zł. Pełnił szereg funkcji i ról w największych polskich przedsiębiorstwach, najbardziej dumny jest z udziału swojego zespołu w projektach związanych z optymalizacją procesów biznesowych i zwiększaniem ich konkurencyjności. Posiada ponad 5 letnią praktykę trenerską w kreowaniu wartości biznesowych i zarządzania ograniczeniami. InPROGRESS ul. Gabrieli Zapolskiej 38/303 30-126 Kraków e-mail: biuro@inprogress.edu.pl www.inprogress.pl

Spis treści Wprowadzenie... 3 Definicje... 4 1. Przegląd standardów audytu, kontroli wewnętrznej oraz zarządzania ryzykiem... 5 1.1. Przykłady międzynarodowych standardów zarządzania ryzykiem... 5 1.2. Standard FERMA... 7 1.3. Standard zarządzania ryzykiem korporacyjnym COSO II... 10 1.4. Standard ISO 31000... 12 1.5. Standard COBIT... 12 1.6. Rola audytu wewnętrznego w procesie zarządzania ryzykiem - standard IIA... 14 1.7. Zrządzanie ryzykiem w projektach PMBOK... 15 2. Proces zarządzania ryzykiem PRINCE2... 16 2.1. Ryzyko i zarządzanie ryzykiem w projekcie... 16 2.2. Zarządzanie ryzykiem w metodyce PRINCE2... 16 2.3. Podejście do ryzyka zgodne z PRINCE2... 17 2.4. Poziom akceptacji ryzyka granice tolerancji dla ryzyka... 17 2.5. Obowiązki wynikające z zarządzania ryzykiem... 18 2.6. Rola Właściciela Ryzyka... 18 2.7. Budżetowanie na potrzeby zarządzania ryzykiem... 19 Podsumowanie i wnioski... 19 Literatura... 21 Wykaz rysunków... 22 2

Wprowadzenie Pojęcie zarządzania ryzykiem występuje w wielu obszarach działalności gospodarczej. Szereg dostępnych klasyfikacji, technik i narzędzi zarządczych do oceny skutków zagrożeń lub szans nierzadko prowadzi do zniekształcenia przekazu i filozofii wynikającego z głównego celu zarządzania ryzykiem. Wynikiem tego stanu jest nadmierna koncentracja na wyborze danej metody i techniki oceny ryzyka, a nie na dbaniu o funkcjonowanie całego procesu. Wprawdzie temat zarządzania ryzykiem staje się coraz bardziej popularny i przyciąga uwagę szerszej grupy menedżerów - to efekty końcowe wynikające ze wzrostu świadomości zagrożeń nie są już takie obiecujące. Zjawisko jest wprawdzie wielowymiarowe, lecz w ocenie autora źródłem rzeczywistego problemu jest niedocenianie ryzyka podczas podejmowania decyzji, a to z kolei wynika z braku etapu planowania i zbyt dużej wiary menedżerów w intuicje. W niniejszej pracy przedstawiono międzynarodowe standardy i metody zarządzania ryzykiem operacyjnym lub projektowym wynikających m.in. z najlepszych praktyk i zasad audytu i kontroli wewnętrznej. Zarządzanie ryzykiem i kontrola wewnętrzna to wprawdzie oddzielnie rozpatrywane akronimy, niemniej jednak zdaniem autora pojęcie zarządzania ryzykiem jest pojęciem bardziej pojemnym, stąd też przyjęta teza, że kontrola i audyt wewnętrzny są pojęciami niższego rzędu wykorzystywanymi przez menedżerów jako metody do minimalizacji negatywnego wpływu zagrożeń lub maksymalizacji szans wynikających z potencjalnej materializacji ryzyka. Naturalnie powyższe stwierdzenie nie jest rewolucyjne i wpisuje się w aktualnie rozwijane standardy kontroli i audytu wewnętrznego jak i w same metodyki zarządzania ryzykiem. Autor dostrzega wprawdzie pewną niekonsekwencję semantyczną, która wynika z dwóch rodzajów podejść. Pierwsze dotyczy standardów kontroli i audytu wewnętrznego w której zarządzanie ryzykiem jest jednym z jej elementów np. COSO (ang. Internal Control Integrated Framework, Comittee of Sponsoring Organizations of the Treadeway Commision). Natomiast w metodykach zarządzania ryzykiem np. M_o_R (ang. Managament of Risk) kontrola i audyt jest narzędziem w rękach menedżerów do zarządzania ryzykiem. Rozstrzygnięcie zasadności przyjętego założenia w niniejszej pracy wymaga odwołania się do celu ogólnego kontroli i audytu wewnętrznego, który w głównej mierze można sformułować jako konieczność ograniczania strat (podejście reaktywne) lub rekomendacji wprowadzania usprawnień działalności biznesowej (podejście proaktywne). 3

A więc skuteczna kontrola pozwala na podjęcie skutecznych działań prewencyjnych wobec zagrożenia. To podejście idealnie wpisuje się w sam proces zarządzania ryzykiem niezależnie od analizowanej metodyki zarządzania ryzykiem. Celem ogólnym niniejszej pracy jest przedstawienie wybranych międzynarodowych standardów, które pozwalają organizacjom świadomie zarządzać zagrożeniami poprzez odpowiednie wykorzystanie mechanizmów kontroli i audytu wewnętrznego. W rozdziale pierwszym zostały omówione główne standardy zarządzania ryzykiem w kontekście audytu i kontroli wewnętrznej dotyczące całego przedsiębiorstwa. W kolejnym rozdziale obszar zarządzania ryzykiem został zawężony do jednego z elementów prowadzenia działalności firmy jakim jest zarządzanie ryzykiem w projekcie w oparciu o metodykę PRINCE2. Definicje Poniżej wymienione zostały główne definicje podstawowych terminów wykorzystywanych w niniejszej pracy i stanowią istotny punkt odniesienia do rozważań przedstawionych w kolejnych rozdziałach: Zarządzanie ryzykiem AS/NZS 4360: Kultura zarządcza, procesy i struktury, które mają zwiększać szanse osiągnięcia korzyści przez organizację i zmniejszać ryzyko porażki lub negatywnych zdarzeń. Na proces zarządzania ryzykiem składają się przede wszystkim: ustalanie kontekstu biznesowego, identyfikacja ryzyk oraz ich analiza i ocena, postępowanie wobec nich, monitorowanie i komunikowanie ryzyk wewnątrz i na zewnątrz organizacji. AIRMIC Risk Management Standard: Centralny element zarządzania strategicznego organizacją, polegający na metodycznym rozwiązywaniu problemów związanych z ryzykiem, tak aby zmaksymalizować trwałe korzyści z działalności organizacji. ISO / IEC Guide 73: Skoordynowane działania służące kierowaniu i koordynowaniu funkcjonowania organizacji przez pryzmat ryzyka. Audyt wewnętrzny Audyt wewnętrzny - według definicji podanej przez The Institute of Internal Auditors- IIA jest niezależną działalnością doradczą i weryfikującą, której celem jest usprawnienie operacyjne organizacji i wniesienie do niej wartości dodanej. Audyt 4

wewnętrzny pomaga organizacji w osiąganiu jej celów poprzez systematyczne i metodyczne podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i zarządzania organizacją 1. Kontrola wewnętrzna Kontrola wewnętrzna - jest to obserwowanie, ustalanie lub wykrywanie stanu faktycznego, porównywanie rzeczywistości z zamierzeniami, występowanie przeciwko zjawiskom niekorzystnym oraz informowanie właściwych jednostek o dokonanych spostrzeżeniach, jednakże bez decydowania o zmianie kierunku działania jednostki kontrolowanej. Kontrola polega na: ustaleniu istniejącego stanu rzeczy, ustaleniu jak być powinno, zestawieniu tego co istnieje z tym, co być powinno, według odpowiednich wzorców i norm postępowania oraz opisaniu różnic, ustaleniu przyczyn wystąpienia różnic i sporządzeniu zaleceń w celu usunięcia niepożądanych zjawisk 2. 1. Przegląd standardów audytu, kontroli wewnętrznej oraz zarządzania ryzykiem W niniejszym rozdziale zostały przedstawione wybrane międzynarodowe standardy i metody dotyczące zarządzania ryzykiem, kontroli i audytu wewnętrznego. 1.1. Przykłady międzynarodowych standardów zarządzania ryzykiem Wdrożenie koncepcji zintegrowanego zarządzania ryzykiem (ang. Enterprise Risk Management ERM) jest przedsięwzięciem, którego celem w głównej mierze jest kontrola i zarządzanie ryzykiem całej organizacji. Zrozumienie ryzyk oddziaływujących na przedsiębiorstwo pozwala na podejmowanie przez kadrę managerską, ale również przez samych pracowników korzystniejszych decyzji zarówno strategicznych jak i operacyjnych, a przede wszystkim daje możliwość produktywnego wykorzystania aktywów firmy 3. System kontroli ryzyka powinien uwzględniać świadomość podejmowanego ryzyka przez kadrę menedżerską, wyraźne zdefiniowanie zasad zarządzania ryzykiem, zdefiniowanie podziału kompetencji i odpowiedzialności oraz uwzględnienie ryzyka w podstawowej działalności 1 The Institute of Internal Auditors,Standards for the Professional Practice of Internal Auditing,2000. 2 http://pl.shvoong.com/law-and-politics/law/1899859-kontrola-wewn%c4%99trzna-kontrola-finansowa-audyt/ [2010-06-10]. 3 www.coso.org [2010-06-10] 5

operacyjnej danej organizacji 4. Skuteczne zarządzanie ryzykiem łączy się niewątpliwie z trafnym prognozowaniem czynników ryzyka w różnych przedziałach czasowych oraz rozważaniem możliwych scenariuszy minimalizacji wpływu negatywnych zdarzeń lub też świadomej akceptacji zagrożeń 5. W literaturze przedmiotu proponuje się stworzenie jednostki organizacyjnej odpowiedzialnej za kontrolę zarządzania ryzykiem kierowanej przez osobę podlegającą wyłącznie zarządowi firmy. Zdaniem autora rola działu zarządzania ryzykiem powinna ograniczać się tylko i wyłącznie do stworzenia, wdrożenia i monitorowania procesu zarządzania ryzykiem wykorzystywanego przez kadrę zarządzającą do podejmowania racjonalnych z punktu widzenia gospodarczego decyzji. W przeciwnym wypadku stanie się kolejną jednostką organizacyjną, która nie wspiera realizacji działań operacyjnych lub strategicznych przez kadrę menedżerską za którą są odpowiedzialni. Reasumując dział zarządzania ryzykiem powinien pełnić funkcję doradczą rozumianą jako to miejsce w organizacji, które posiada wystarczającą wiedzę i kompetencję do wsparcia merytorycznego menedżerów podczas wypracowania kluczowych decyzji biznesowych. Wsparciem metodycznym do wdrożenia zasad zarządzania ryzykiem na poziomie całego przedsiębiorstwa są niżej wymienione międzynarodowe standardy zarządzania ryzykiem: AS/NZS 4360:2004 Risk Management (Australia, Nowa Zelandia 2004); BS-6079-3:2000 Project management. Guide to the management of business related project risk (Wielka Brytania 2000); CAN/CSA Q850 Risk Management: Guideline for Decision-Makers (Kanada 1997); COSO II - ERM Enterprise Risk Management - Integrated Framework (USA 2004); IEC Guide 73:2009 Risk Management Vocabulary - Guidelines for use in standards (2009); IEC/ISO 31010 Risk management - Risk assessment techniques (2009). ISO 31000 Risk Management Guidelines for principles and implementation of risk management (2009); JIS Q 2001:2001 Guidelines for development and implementation of a risk management system (Japonia 2001); ONR 49000:2004 Risikomanagement für Organisationen und Systeme: Begriffe und Grundlagen (Austria 2004); 4 www.ferma.eu/aboutferma/ariskmanagementstandard/tabid/195/default.aspx [2010-06-10]. 5 Patrick O., ISO 31000:2009 Risk management - Principles and guidelines,06 2009. 6

1.2. Standard FERMA Standard zarządzania ryzykiem FERMA (ang. Federation of European Risk Management Associations) powstał w wyniku prac zespołu, w skład którego weszli m.in. przedstawiciele największych brytyjskich organizacji branżowych: Instytutu Zarządzania Ryzykiem (ang. The Institute of Risk Management - IRM), Stowarzyszenia Menedżerów Ubezpieczeniowych i Zarządzających Ryzykiem (ang. The Association of Insurance and Risk Managers AIRMIC) oraz Krajowego Forum na rzecz zarządzania ryzykiem w sektorze publicznym (ang. The National Forum for Risk Management in the Public Sector) 6. Standard opisuje proces kontroli ryzyka poprzez odniesienie się do celów strategicznych przedsiębiorstwa, wyróżnia szereg faz zarządczych i opisuje możliwe strategie postępowania (patrz rysunek 1). Cele strategiczne firmy OCENA RYZYKA Analiza ryzyka Identyfikacja ryzyka Opis ryzyka Pomiar ryzyka Ewaluacja ryzyka Zmiany Informowanie o ryzyku Zagrożenia i szanse Decyzja Postępowanie wobec ryzyka Formalny audyt Raportowanie ryzyka Monitorowanie 6 www.ferma.eu/aboutferma/ariskmanagementstandard/tabid/195/default.aspx [2010-06-10]. 7

Rysunek 1. Proces zarządzania ryzykiem FERMA Źródło: www.ferma.eu [2010-06-10] Ocena ryzyka Zarządzanie ryzykiem chroni i zwiększa wartość organizacji nie tylko dla udziałowców (akcjonariuszy) lecz również pracowników, gdyż przyczynia się do realizacji celów organizacji poprzez: 7 zapewnienie odpowiednich ram systemowych, dzięki którym działalność organizacji będzie prowadzona w sposób spójny i kontrolowany, usprawnienie procesu podejmowania decyzji, planowania i określania priorytetów dzięki uzyskaniu kompleksowej wiedzy na temat działalności organizacji, stopnia niepewności oraz szans i zagrożeń, przyczynienie się do efektywniejszego wykorzystania (alokacji) kapitału i zasobów, którymi dysponuje przedsiębiorstwo, zmniejszenie niepewności w innych niż kluczowe obszarach działalności, ochronę i budowanie majątku i wizerunku organizacji (przedsiębiorstwa), pomoc w rozwijaniu potencjału ludzkiego oraz wiedzy organizacji, poprawę efektywności działania. Analiza ryzyka Celem identyfikacji ryzyka jest określenie stopnia niepewności na jaką jest narażona organizacja. Wymaga to szczegółowej wiedzy na temat danej organizacji, rynku na którym działa oraz jej prawnego, społecznego, politycznego i kulturowego otoczenia, a także dogłębnego zrozumienia celów strategicznych i operacyjnych organizacji, w tym czynników kluczowych dla osiągnięcia powodzenia oraz zagrożeń i szans związanych z realizacją tych celów. Ewaluacja ryzyka Po zakończeniu procesu analizy ryzyka, należy porównać estymowaną wielkość ryzyka z przyjętymi przez organizację kryteriami. Kryteria te przeważnie dotyczą kosztów i korzyści, wymogów prawnych, względów społeczno-ekonomicznych lub ekologicznych, obaw, grup nacisku, oczekiwań akcjonariuszy i interesariuszy przedsiębiorstwa. Ewaluacja 7 www.ferma.eu/aboutferma/ariskmanagementstandard/tabid/195/default.aspx [2010-06-10]. 8

ryzyka stanowi podstawę do podjęcia decyzji co do tego, na ile dane ryzyko jest dla organizacji istotne, a także czy należy je przyjąć i jakie działania względem niego podjąć 8. Działania względem ryzyka Działanie względem ryzyka oznacza wybór i wdrożenie środków, które zmodyfikują ryzyko. Podstawowym działaniem jest kontrolowanie, ograniczanie ryzyka, ale może polegać również na unikaniu ryzyka, przenoszeniu (transferowaniu) ryzyka, finansowaniu ryzyka. Racjonalność proponowanych środków ocenia się porównując skutki ekonomiczne w przypadku braku jakiegokolwiek działania z kosztami proponowanych działań, co z reguły wymaga zebrania dodatkowych informacji i przyjęcia bardziej szczegółowych założeń 9. Struktury organizacyjne w zarządzaniu ryzykiem Przyjęte przez daną organizację zasady zarządzania ryzykiem powinny określać ogólne podejście do ryzyka, zakres tolerancji na ryzyko, a także metodę zarządzania ryzykiem. Ponadto opracowanie powinno określać obowiązki poszczególnych osób uczestniczących w zarządzaniu ryzykiem. Z zarządzaniem ryzykiem wiąże się cały szereg technik i narzędzi, które wykorzystuje się na różnych etapach tego procesu. Warunkiem skutecznego wdrożenia systemu zarządzania ryzykiem jest: zdecydowanie ze strony Prezesa Zarządu i ścisłego kierownictwa operacyjnego, określenie podziału obowiązków wewnątrz przedsiębiorstwa, przeznaczenie odpowiednich środków na szkolenia i budowanie świadomości istniejących zagrożeń wśród wszystkich grup nacisku. Monitorowanie i analiza procesu zarządzania ryzykiem Skuteczne zarządzanie ryzykiem wymaga utrzymywania odpowiedniej sprawozdawczości oraz stałego monitorowania, czy identyfikacja i ewaluacja ryzyka przebiega prawidłowo oraz czy stosowane są właściwe środki i rozwiązania. Należy prowadzić okresowy audyt zasad zarządzania ryzykiem i zgodności tego procesu z przyjętymi standardami, a także stałą analizę zarządzania ryzykiem pod kątem możliwości usprawnień. Proces monitorowania powinien potwierdzać, że w działalności przedsiębiorstwa stosowane są odpowiednie mechanizmy kontrolne, a także że pracownicy rozumieją i stosują obowiązujące procedury 10. 8 www.ferma.eu/aboutferma/ariskmanagementstandard/tabid/195/default.aspx [2010-06-10]. 9 www.ferma.eu [2010-06-10]. 10 www.ferma.eu/aboutferma/ariskmanagementstandard/tabid/195/default.aspx [2010-06-10]. 9

1.3. Standard zarządzania ryzykiem korporacyjnym COSO II Zarządzanie ryzykiem korporacyjnym COSO II (ang. The Committee of Sponsoring Organizations of the Treadway Commission) daje mocniejsze i intensywniejsze spojrzenie na szerszy temat jakim jest zarządzanie ryzykiem w przedsiębiorstwie w odróżnieniu od samej kontroli wewnętrznej (COSO I) 11. Zarządzanie ryzykiem korporacyjnym składa się z ośmiu powiązanych elementów. Elementy te wynikają przede wszystkim ze sposobu zarządzania przedsiębiorstwem: Środowisko wewnętrzne - obejmuje charakter organizacji i stanowi podstawę postrzegania i reagowania na ryzyko przez pracowników, filozofii zarządzania ryzykiem i dopuszczalny poziom ryzyka, uczciwość i wartości etyczne oraz środowisko pracy 12. Ustalanie celów - cele muszą zostać ustalone zanim kierownictwo przejdzie do identyfikacji potencjalnych zdarzeń mających wpływ na ich osiąganie. Zarządzanie ryzykiem korporacyjnym zapewnia, że kierownictwo posiada procedury ustalania celów, które są spójne z misją i wizją oraz odpowiadają poziomowi ryzyka dopuszczonego przez zarząd i akcjonariuszy przedsiębiorstwa. Identyfikacja zdarzeń - zdarzenia wewnętrzne i zewnętrzne wpływające na osiąganie celów muszą zostać zidentyfikowane. Ocena ryzyka - jest podstawą decyzji o sposobie zarządzania ryzykiem. Reakcja na wystąpienie ryzyka menedżerowie podejmują decyzję o wyborze właściwej strategii podstępowania z danym zagadnieniem np. unikanie, akceptacja, ograniczanie lub dzielenie się ryzykiem 13. Działania kontrolne - polityki i procedury ustalone i realizowane w celu efektywnej realizacji reakcji na ryzyko. Informacja i komunikowanie się - odpowiednie informacje są zbierane i przekazywane w formie i ramach czasowych umożliwiających pracownikom wykonywanie swoich obowiązków. Skuteczna komunikacja musi także mieć miejsce w szerszym zakresie w dół, w poprzek i w gór hierarchii organizacyjnej. Monitorowanie - cały proces zarządzania ryzykiem korporacyjnym musi być monitorowany, w razie potrzeby należy go modyfikować. Monitorowanie realizowane 11 www.coso.org/documents/coso_erm_executivesummary_polish.pdf [2010-05-08]. 12 www.coso.org [2010-06-10]. 13 www.coso.org/documents/coso_erm_executivesummary_polish.pdf [2010-05-08]. 10

jest poprzez stałe działania kierownictwa, niezależne oceny lub poprzez kombinacji obu tych czynników. Zarządzanie ryzykiem wg. COSO II jest procesem wielokierunkowym, w którym prawie każdy komponent zarządzania może wpływać na inne elementy. Istnieje bowiem bezpośredni związek pomiędzy celami, czyli tym co organizacja pragnie osiągnąć, a komponentami zarządzania ryzykiem, czyli tym co jest konieczne do osiągnięcia celów 14. Związek ten pokazany jest w formie trzywymiarowej kostki (patrz rysunek 2). Cztery kategorie celów: strategiczne, operacyjne, sprawozdawczość i zgodność z prawem przedstawione zostały w pionowych kolumnach, osiem komponentów w poziomych rzędach, natomiast jednostki organizacyjne przedsiębiorstwa umieszczone są w trzecim wymiarze. Rysunek 2 obrazuje zdolność do objęcia całości zarządzania ryzykiem lub koncentrowania się na kategorii celów, komponencie, jednostce organizacyjnej lub dowolnym ich zbiorze 15. Rysunek 2. Wielowymiarowy aspekt zarządzania ryzykiem. Źródło: www.coso.org/documents/coso_erm_executivesummary_polish.pdf [2010-05-08] Role i obowiązki związane z zarządzaniem ryzykiem 14 Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management - Integrated Framework, 09.2004. 15 Bressac A., Ramowa koncepcja ryzyka COSO: Czy jest odniesieniem dla kontroli wewnętrznej?, IAS Conference, 04-01-2006. 11

Prezes zarządu pełni rolę właściciela procesu zarządzania ryzykiem. Pozostali menedżerowie wspierają filozofię zarządzania ryzykiem, zarządzają ryzykiem w ramach zdefiniowanych uprawnień i kompetencji. Audytorzy i/lub kontrolerzy wewnętrzni mają obowiązek wspierania pracowników podczas oceny ryzyka służącej do podejmowania racjonalnych i uzasadnionych gospodarczo decyzji biznesowych 16. 1.4. Standard ISO 31000 Celem standardu ISO 31000 opublikowanego w 2009 roku jest przedstawienie ogólnych zasad i wytycznych dotyczących zarządzania ryzykiem oraz docelowo zastąpienie szeregu wypracowanych standardów, metod lub modeli przeznaczonych dla różnych gałęzi przemysłu. Obecnie standardy z rodziny ISO 31000 obejmują 17 : ISO 31000: Zasady i wytyczne w sprawie stosowania; IEC 31010: Zarządzanie ryzykiem - Techniki oceny ryzyka; ISO / IEC 73: Zarządzanie ryzykiem Słownictwo. Standard zawiera ogólne wytyczne dotyczące projektowania, wdrażania i utrzymania procesu zarządzania ryzykiem w całej organizacji, a więc ma zastosowanie zarówno do działalności operacyjnej jak i do realizowanych projektów zapewniając systemowe podejście do zarządzania ryzykiem. Podobnie jak COSO II czy FERMA zwraca uwagę na niezwykle istotne aspekty odpowiedzialności najwyższego kierownictwa w budowaniu świadomości ryzyka w organizacji, podkreśla wymagania względem polityki zarządzania ryzykiem, formalizacji własności ryzyk w procesach biznesowych oraz przyjęcie programów ciągłego doskonalenia 18. 1.5. Standard COBIT Standard COBIT (ang. Control Objectives for Information and related Technology) opracowany przez ISACA (ang. Information Systems Audit and Control Association) stanowi obecnie najbardziej kompleksowe i powszechnie dostępne opracowanie z zakresu kontroli systemów informacyjnych. Spośród 34 procesów zdefiniowanych w standardzie szczególnie 16 Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management - Integrated Framework, 09.2004 17 Patrick O., ISO 31000:2009 Risk management - Principles and guidelines,06 2009 18 cfo.cxo.pl/artykuly/55986_2/nie.ma.jednego.sposobu.zarzadzania.ryzykiem.html [2010-06-10] 12

ważny z punktu widzenia zarządzania ryzykiem jest proces PO9 składający się z następujących podprocesów 19 : Ocena ryzyka biznesowego Określa cele zarządzania ryzykiem biznesowym, zaangażowanie wyższego kierownictwa. Przyjęcie podejścia do oceny ryzyka Przyjęcie zakresu, ograniczeń metodyki, określenie odpowiedzialności i kompetencji, powiązanie z innymi obszarami ryzyka. Identyfikacja ryzyka Sposoby identyfikacji ryzyk odniesionych do konkretnych wartości chronionych z uwzględnieniem wszelkich zagrożeń w ramach pełnego cyklu życiowego systemów informatycznych. Identyfikacja powiązań pomiędzy poszczególnymi ryzykami. Pomiar ryzyka W ramach tego podprocesu należy dążyć do wyrażenia zidentyfikowanych ryzyk za pomocą miar jakościowych lub/i ilościowych. Wymaga to określenia prawdopodobieństwa zdarzeń prowadzących do naruszenia wartości chronionych dla każdego rodzaju ryzyka. Plan działania w zakresie ryzyka Plan działania związany z danym ryzykiem powinien uwzględniać efektywne kosztowo mechanizmy i środki bezpieczeństwa łagodzące ryzyko, pozwalające uniknąć ryzyka lub doprowadzić do jego akceptacji. Plan działania powinien ustalać priorytety postępowania z ryzykiem. Akceptacja ryzyka Organizacja powinna stworzyć procedury formalnej akceptacji ryzyka, oparte na identyfikacji i pomiarze ryzyka oraz efektywności kosztowej stosowanych środków bezpieczeństwa oraz mechanizmów kontrolnych. Kierownictwo powinno świadomie akceptować pozostałe po zastosowaniu środków bezpieczeństwa ryzyko albo zrezygnować z zasobów lub procesów generujących ryzyko nieakceptowalne. Wybór środków bezpieczeństwa 19 Information Systems Audit and Control Association, Standardy, wytyczne i procedury audytowania i kontrolowania systemów informatycznych, 2002 13

Decyzje kierownictwa w sprawie wyboru środków bezpieczeństwa powinny brać pod uwagę, oprócz uwarunkowań technicznych i organizacyjnych, także efektywność ekonomiczną, wysoką stopę zwrotu z inwestycji oraz te przedsięwzięcia, dla których przewidywane jest szybkie uzyskanie konkretnych efektów. Zastosowane środki bezpieczeństwa powinny być skuteczne dla danego rodzaju ryzyka. Formalna ocena ich skuteczności powinna być udokumentowana. Poparcie dla zarządzania ryzykiem Kierownictwo powinno udzielać poparcia dla procesów szacowania ryzyka traktowanych jako ważne narzędzie dla określania planów IT, wdrażania mechanizmów kontrolnych, monitorowania i oceny. Sprzyjającym dla skutecznego poparcia rozwiązaniem jest wyznaczenie osoby odpowiedzialnej za zarządzanie ryzykiem na poziomie zarządu. Procesy zarządzania ryzykiem wymagają stałej i systematycznej promocji oraz uświadamiania na wszystkich szczeblach zarządzania. 1.6. Rola audytu wewnętrznego w procesie zarządzania ryzykiem - standard IIA Audyt wewnętrzny pełni kluczową rolę we wsparciu procesu zarządzania ryzykiem. Rolą audytu wewnętrznego jest przedstawienie kierownictwu niezależnej opinii dotyczącej skuteczności wewnętrznych mechanizmów kontrolnych związanych z zarządzaniem ryzykiem. Roczny plan audytu wewnętrznego winien opierać się na informacjach pochodzących z rejestru ryzyka i uwzględniać 20 : obszary wysokiego ryzyka oraz środki za pomocą których potencjalny negatywny wpływ ryzyka jest utrzymywany na możliwym do przyjęcia poziomie; prawidłowość i skuteczność systemów zarządzania ryzykiem i kontroli danej działalności; możliwości istotnych udoskonaleń systemu zarządzania ryzykiem i kontroli danej działalności Kierownicy wyższego szczebla muszą mieć pewność, iż system zarządzania ryzykiem właściwie funkcjonuje. Audyt wewnętrzny musi dysponować narzędziami umożliwiającymi uzyskanie obiektywnej opinii niezależnej od kierownictwa. Międzynarodowe Standardy Profesjonalnej Praktyki Audytu Wewnętrznego opracowane przez Amerykański Instytut 20 IIA, Standards for the Professional Practice of Internal Auditing,2000. 14

Audytorów Wewnętrznych (ang. The Institute of Internal Auditors IIA) stanowią, iż audyt wewnętrzny jest działalnością niezależną, obiektywnie zapewniającą i doradczą, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji. Pomaga on organizacji w osiąganiu jej celów poprzez systematyczne i zdyscyplinowane podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i ładu organizacyjnego. 1.7. Zrządzanie ryzykiem w projektach PMBOK Metodyka zarządzania projektem PMBOK (ang. Project Management Body of Knowledge) opracowana przez Amerykański Instytut Zarządzania Projektami (ang. Project Management Institute PMI) dekomponuje proces zarządzania ryzykiem na 6 podprocesów 21 : Planowanie zarządzania ryzykiem proces określa w jaki sposób przeprowadzić w projekcie działania związane z zarządzaniem ryzykiem. Rozpoznawanie ryzyka proces określania jakie ryzyka mogą wpływać na projekt oraz dokumentowania atrybutów określających dane ryzyko. Są to działania, których celem jest wykrycie źródeł ryzyka, a następnie ich usystematyzowanie według przyjętych kategorii. Identyfikacja ryzyka w metodyce PMBoK jest procesem iteracyjnym, wykonuje się ją wielokrotnie zarówno podczas planowania, jak i w trakcie realizacji projektu. Przeprowadzenie jakościowej analizy ryzyka proces hierarchizacji ryzyk poprzedzający ich dalszą analizę lub działania z nimi związane i realizowany poprzez ocenę i odniesienie do siebie ich prawdopodobieństw oraz skutków występowania. Przeprowadzenie ilościowej analizy ryzyka - proces liczbowej analizy wpływu rozpoznanych ryzyk na całościowe cele projektu. Planowanie reakcji na ryzyko - proces opracowywania możliwych rozwiązań oraz działań zwiększających szanse i zmniejszających zagrożenia dla celów projektu. Planowane reakcje muszą być proporcjonalne do skutków wystąpienia niekorzystnych zjawisk, likwidować (lub niwelować) wpływy danego zagrożenia w sposób kosztowo efektywny oraz być realizowane terminowo. Do najbardziej popularnych strategii 21 PMI, A Guide to the Project Management Body of Knowledge-Fourth Edition, 2008 15

zalicza się: unikanie ryzyka, transfer ryzyka, łagodzenie ryzyka, akceptacja ryzyka, plan awaryjny Monitorowanie i kontrolowanie ryzyka proces wdrażania planów reakcji na ryzyka, śledzenia rozpoznanych ryzyk, monitorowania ryzyk, oraz oceny skuteczności tego procesu przez cały czas trwania projektu. To właśnie monitorowanie i kontrola ryzyka dostarcza informacji niezbędnych do podejmowania decyzji wyprzedzających pojawienie się niekorzystnych zdarzeń. 2. Proces zarządzania ryzykiem PRINCE2 W niniejszym rozdziale został przedstawiony proces zarządzania ryzykiem wg. metodyki PRINCE2 (ang. Projects In a Controlled Environment) oparty na doświadczeniach uzyskanych przez kierowników projektów z krajów anglosaskich 22. 2.1. Ryzyko i zarządzanie ryzykiem w projekcie Ryzyko w projekcie można zdefiniować jako niepewność uzyskania zaplanowanego wyniku projektu (w kontekście pozytywnym traktowaną jako szansa, w kontekście negatywnym jako zagrożenie) 23. Zadaniem zarządzania ryzykiem jest radzenie sobie z sytuacją narażenia projektu na podjęte ryzyko oraz panowanie nad stopniem tego narażenia przez podejmowanie działań utrzymujących podjęte ryzyko na akceptowalnym poziomie w sposób efektywny kosztowo 24. Ponieważ każdy projekt jest unikalny, należy określić konkretne reguły traktowania ryzyka jak również ustalić poziomy tolerancji dla ryzyka w konkretnym projekcie. Reguły te i ustalone poziomy tolerancji powinny być systematycznie weryfikowane w kluczowych etapach projektu oraz stosowane przez cały cykl życia projektu 25. 2.2. Zarządzanie ryzykiem w metodyce PRINCE2 Zgodnie z wytycznymi PRINCE2 ryzyko jest głównym czynnikiem, który powinien być brany pod uwagę podczas trwania projektu. PRINCE2 określa kluczowe momenty, 22 Bradley K., Podstawy metodyki PRINCE2, 2002, ISBN 83-913067-0-4. 23 PRINCE2. Skuteczne zarządzanie projektami, OGC, Londyn 2006, ISBN 0-11-330946-5. 24 The APMG, PRINCE2 2004 Glossary of Terms Polish updated 17/03/05 Version 3.2 Live, 2005. 25 Nawrocki J., Zarządzania ryzykiem w metodyce PRINCE2, 2007-03-09. 16

w których zagrożenia powinny być przeglądane, zarysowuje sposób podejścia do analizy i zarządzania ryzykiem oraz śledzi te zagrożenia w trakcie wszystkich procesów. Cykl życia zarządzania ryzykiem został przedstawiony na rysunku 3. Rysunek 3. Cykl zarządzania ryzykiem wg. PRINCE2 Źródło: Nawrocki J., Zarządzania ryzykiem w metodyce PRINCE2, 2007-03-09. 2.3. Podejście do ryzyka zgodne z PRINCE2 PRINCE2 opisuje kluczowe zasady i reguły, które powinny zostać wdrożone w środowisku projektowym, jeżeli proces zarządzania ryzykiem ma być skuteczny 26 : Komitet Sterujący projektu powinien wpierać i promować idee zarządzania ryzykiem, rozumiejąc i akceptując ograniczenia wynikające m.in. z dostępnych zasobów ludzkich lub technicznych, ale również z dostępnego czasu i budżetu; Polityka zarządzania ryzykiem oraz korzyści płynące ze skutecznego zarządzania ryzykiem powinny być w sposób otwarty i zrozumiały przekazywane wszystkim członkom zespołu projektowego; Spójne podejście do zarządzania ryzykiem musi być wbudowane w procesy zarządzania projektem; Zarządzanie ryzykiem powinno być zintegrowane z celami biznesowymi projektu; Zagrożenia wynikające ze współpracy z programami i innymi projektami powinny być oceniane i zarządzane. 2.4. Poziom akceptacji ryzyka granice tolerancji dla ryzyka 26 OGC, PRINCE2. Skuteczne zarządzanie projektami,londyn 2006, ISBN 0-11-330946-5. 17

Komitet Sterujący i Kierownik Projektu powinni rozważyć poziom ryzyka jaki jest możliwy do zaakceptowania w projekcie. Poziom akceptacji ryzyka powinien być szczegółowo rozpatrywany pod kątem zależności pomiędzy występującymi zagrożeniami a kosztami ich ograniczania. Poziom akceptacji ryzyka może być różny dla różnych zagrożeń oraz przeważnie się zmienia w trakcie trwania projektu zgodnie ze zmianami zachodzącymi w otoczeniu projektu 27. 2.5. Obowiązki wynikające z zarządzania ryzykiem Zarządzanie ryzykiem jest jedną z najważniejszych części pracy wykonywanej przez Komitet Sterujący i Kierownika Projektu. Do obowiązków Kierownika Projektu należy w tym obszarze: zapewnienie identyfikacji, rejestracji i regularnych przeglądów zagrożeń. Modyfikuje on również plany, aby włączyć do nich uzgodnione działania służące uniknięciu lub zredukowaniu wpływu zagrożeń na projekt. Do obowiązków Komitetu Sterującego należy 28 : Powiadamianie Kierownika Projektu o każdym zagrożeniu zewnętrznym dla projektu; Podejmowanie zalecanych przez Kierownika Projektu reakcji na zagrożenia; Znalezienie równowagi pomiędzy poziomem ryzyka a potencjalnymi korzyściami, które projekt zamierza osiągnąć; Powiadamianie kierownictwa programu o wszelkich zagrożeniach, które wpływają na zdolność projektu do zrealizowania celów programu. 2.6. Rola Właściciela Ryzyka Dla każdego ryzyka Kierownik Projektu powinien wskazać jego właściciela, który posiada odpowiednie kompetencje i narzędzia zarządcze do wdrażania planów i strategii działania minimalizujące lub maksymalizujące skutki wystąpienia ryzyka. Niezmiernie ważnym aspektem jest jednoznaczna odpowiedzialność za cały cykl życia ryzyka i polega on w głównej mierze na identyfikacji odpowiedzialności za: Ogół spraw dotyczących ryzyka (Kierownik Projektu lub Komitet Sterujący); 27 cfo.cxo.pl/artykuly/55986_2/nie.ma.jednego.sposobu.zarzadzania.ryzykiem.html 28 OGC, PRINCE2. Skuteczne zarządzanie projektami, Londyn 2006, ISBN 0-11-330946-5. 18

Ustanowienie polityki dotyczącej ryzyka oraz gotowość zespołu projektowego do podjęcia ryzyka (Kierownik Projektu); Poszczególne elementy procesu zarządzania ryzykiem (Właściciel Ryzyka); Wdrożenie faktycznej reakcji na zagrożenie (Właściciel Ryzyka); Zagrożenia związane z innymi projektami (Komitet Sterujący). Przewodniczący Komitetu Sterującego jest przeważnie właścicielem całego procesu zarządzania ryzykiem chociaż w głównej mierze odpowiedzialność spoczywa na Kierowniku Projektu, dlatego też ważne jest, aby propozycja procedury zarządzania ryzykiem była zatwierdzona przez Komitet Sterujący Projektu. Właściciel zagrożenia ma obowiązek monitorowania każdego przypisanego mu zagrożenia. Zadanie monitorowania może być delegowane na inną osobę, lecz odpowiedzialność spoczywać będzie na właścicielu. 2.7. Budżetowanie na potrzeby zarządzania ryzykiem Proces zarządzania ryzykiem musi być wbudowany w środowisko projektu, a nie wprowadzany dopiero po zmaterializowaniu się poważnych zagrożeń.. Na potrzeby zarządzania ryzykiem w projekcie należy przeznaczyć odpowiedni budżet, czas i zasoby. Często zapomina się o zapewnieniu wystarczającego budżetu na wczesne fazy procesu zarządzania ryzykiem, takie jak ocena zagrożeń, która może wymagać zróżnicowanego zestawu umiejętności, narzędzi i technik 29. Doświadczenie uczy, że przyznanie odpowiedniego budżetu dla procesu zarządzania ryzykiem we wczesnej fazie projektu zwraca się wielokrotnie podczas trwania całego projektu. Podsumowanie i wnioski Przedstawione standardy i metodyki zwracają uwagę na fakt, że wdrażając system zarządzania ryzykiem w organizacji, należy zadbać o odpowiednie metody zbierania informacji oraz mechanizmy reakcji na zagrożenia. Wydaje się, że kluczem do sukcesu jest zintegrowane podejście do zarządzania ryzykiem (COSO II, FERMA, ISO 31000) oraz opracowanie i wdrożenie skutecznego mechanizmu umożliwiającego na bieżąco kadrze 29 OGC, PRINCE2. Skuteczne zarządzanie projektami, Londyn 2006, ISBN 0-11-330946-5. 19

kierowniczej ocenę ryzyka dostarczając wystarczających informacji do podejmowania świadomych i racjonalnych decyzji biznesowych 30. Zgodnie z definicją wg. standardu FERMA zarządzanie ryzykiem jest procesem w ramach którego organizacja w sposób metodyczny rozwiązuje problemy wynikające z ryzyka, które towarzyszy jej działalności, w taki sposób, aby ta działalność - zarówno w poszczególnych dziedzinach, jak i traktowana jako całość - przynosiła trwałe korzyści 31. Wykorzystanie wewnętrznej jednostki organizacyjnej ds. audytu i/lub kontroli podczas wdrożenia i utrzymania efektywnego procesu zarządzania ryzykiem staje się nie tyle nowym wyzwaniem, ile wyraźnym kierunkiem zmiany oczekiwań kadry menedżerskiej. Dotychczas rola działów ds. kontroli i audytu kojarzyła się przede wszystkim pracownikom z sankcjami i karami, a nie działaniem na rzecz wparcia realizacji procesów biznesowych i podejmowania decyzji uwzględniających aspekt ryzyka. Wymienione standardy i dobre praktyki mimo różnych źródeł powstania i celów łączy jedno - badanie i zarządzanie ryzykiem. Pojawiające się lub stosowane na świecie praktyki w zakresie zarządzania ryzykiem nie narzucają konkretnych (jednych właściwych) sposobów wdrożenia, dostarczają natomiast wskazówek do zorganizowania niezbędnych mechanizmów, przy zachowaniu właściwej i sprawdzonej koncepcji. Żaden standard nie wymusza konkretnego sposobu, pozostawia elastyczność we wprowadzaniu w życie organizacji procesu zarządzania ryzykiem. Podkreśla, że proces ten zależy od danej organizacji i zakresu jej działalności i ma charakter ciągły, osadzony w istniejących procesach gospodarczych. Znaczny wpływ na współczesne postrzeganie zarządzania ryzykiem wywierają również stosunkowo radykalne zmiany w warunkach prowadzenia działalności gospodarczej, z jakimi mają do czynienia w ostatnich latach przedsiębiorstwa. Istotne jest bowiem to, że zmiany te w znaczącym stopniu wiążą się z podwyższeniem poziomu różnych zagrożeń, a także z jakościowymi zmianami w charakterze ryzyka, z jakim muszą dawać sobie radę zarządy firm. Do zmian wpływających na warunki prowadzenia procesów biznesowych warto zaliczyć m.in.: widoczny wzrost zagrożeń zewnętrznych, zarówno naturalnych, jak i wywołanych przez ludzi, negatywne skutki globalizacji oraz nowe koncepcje w strategiach działania przedsiębiorstw. Firmy stające wobec nowych wyzwań nie są w stanie im sprostać, dysponując wyłącznie tradycyjnymi, finansowo-ubezpieczeniowymi instrumentami, gdyż 30 Bressac A., Ramowa koncepcja ryzyka COSO: Czy jest odniesieniem dla kontroli wewnętrznej?, IAS Conference, 04-01-2006. 31 www.ferma.eu/aboutferma/ariskmanagementstandard/tabid/195/default.aspx [2010-06-10]. 20