Ta strona używa plików Cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień Cookies w przeglądarce.

Home       Strefa Klienta      Praca       Kontakt    

Analiza ryzyka - ERM

BPM Risk 
Najlepsza platforma
wsparcia procesu zarządznia ryzykiem!

RISK to zaawansowana platforma wspierająca analizę ryzyka. Jest kompleksowym narzędziem wykorzystywanym przez największe przedsiębiorstwa i instytucje w Polsce. Ma zastosowanie w analizie ryzyka strategicznego, operacyjnego – ERM i GRC, bezpieczeństwa informacji - ISO  27001, ciągłości działania - ISO 22301, ryzyka zarządzania projektami. Jest znakomitym narzędziem umożliwiającym wdrożenie praktyk zawartych w ISO 31000, COSO itp.

Wstęp

System BPM jest w pełni zgodny ze standardami zarządzania ryzykiem (ISO 31000 oraz COSO) zapewniająca wsparcie dla całego procesu zarządzania ryzykiem. Powiązanie z audytem i kontrolą wewnętrzną pozwala na planowanie audytów w oparciu o rankingu ryzyk, umożliwia identyfikację ryzyk ad-hoc w trakcie audytu i kontroli oraz analizę ryzyka w każdej chwili i w zakresie pożądanym z punktu widzenia zakresu audytu i kontroli wewnętrznej.

Ryzyko jest wskaźnikiem stanu lub zdarzenia, które może prowadzić do strat lub nieść ze sobą szansę. Jest ono proporcjonalne do prawdopodobieństwa wystąpienia tego zdarzenia i do wielkości strat lub zysków ,które może spowodować.

Zarządzanie ryzykiem – jest to system metod i działań zmierzających do obniżenia stopnia oddziaływania ryzyka na funkcjonowanie organizacji i do podejmowania w tym celu optymalnych decyzji.

Skuteczne zarządzanie ryzykiem

Najtrudniejszym zadaniem w zarządzaniu ryzykiem jest otwarcie się na ryzyko. Oznacza to przełamanie bariery, którą ma każdy człowiek, czyli niechęci do dzielenia się wątpliwościami, zagrożeniami. Ludziom wydaje się, że ten kto identyfikuje ryzyko, jest słabym pracownikiem, menadżerem, gdyż nie radzi sobie z powierzoną mu pracą.

Nic bardziej mylnego, umiejętność identyfikowania zagrożeń, które mogą wpłynąć na funkcjonowanie organizacji oraz szans stanowiących podstawę optymalizacji i podnoszenia efektywności, to podstawa dobrego zarządzania.

Należy zastanowić się, co tak naprawdę jest celem zarządzania ryzykiem? Otóż jest nim zbudowanie świadomości organizacji na temat zagrożeń, ich skutków oraz mechanizmów przeciwdziałania. Jest nim również umiejętność odszukania potencjałów do doskonalenia naszej działalności i ich wykorzystania.

Wielu ekspertów od zarządzania ryzykiem popełnia podstawowy błąd, realizując analizę ryzyka samodzielnie, bojąc się niezrozumienia ludzi. Brak zaangażowania pracowników w zbieranie danych, ocenę oraz planowanie działań jest niewłaściwe i na pewno nie pomoże w budowaniu świadomości pracowników. Zarządzanie ryzykiem jest realizowane dla ludzi w celu wskazania zagrożeń ich oceny i umożliwienia, zaplanowania działań, więc partycypacja w całym procesie jest wymagana.

W celu zaangażowania większej liczby osób w zarządzanie ryzykiem wdrożyć narzędzie BPM Risk.

 

Metody zarządzania ryzykiem

  

Ważnym elementem zarządzania ryzykiem jest zastosowanie odpowiedniej metody. Odpowiedniej, czyli takiej, która umożliwi w prosty sposób zebranie niezbędnych informacji, ocenę oraz zaplanowanie działań. Należy pamiętać, aby metoda była dostosowana do potrzeb danej organizacji i nie była przewymiarowana.

Z pomocą przychodzą tu międzynarodowe standardy i metody takie jak:

  • COSO II – które jest kompletnym standardem postrzegającym zarządzanie ryzykiem w trzech wymiarach: strategii i działalności organizacji, jej struktury organizacyjnej oraz procesu zarządzania ryzykiem od ustalenia kontekstu i identyfikacji, aż po komunikację i monitorowanie.
  • ERM – Enetrprise Risk Management – który postrzega ryzyko jako nieodłączny atrybut każdego działania organizacji (procesów i projektów) i jest podstawą do podejmowania decyzji biznesowych, stając się integralną częścią zarządzania organizacją.
  • GRC - Governance Risk Compliance – rozszerza podejście do ryzyka prezentowane w ERM o zgodność wymaganiami prawnymi oraz ład wewnętrzny.
  • ISO 31000 – to zasady i wytyczne do budowania mechanizmów zarzadzania ryzykiem organizacji.
  • ISO 27005 – poświęcona ryzyku w zarządzaniu bezpieczeństwem informacji.
  • I wiele innych standardów.

W tej wielości norm, standardów i wytycznych należy pamiętać o zdrowym rozsądku i dostosowaniu metody do własnych potrzeb, a w tym celu warto wykorzystać skalowalne narzędzie BPM Risk.

 

Integracja zarządzania ryzykiem

  

Częstym błędem jest odseparowanie zarządzania ryzykiem i traktowania go jak odrębnej wyspy. Przecież w naszych organizacjach funkcjonują już systemy zarządzania procesami, zarządzanie projektami, zarządzanie celami, kontrola i audyt wewnętrzny, które z jednej strony są doskonałym źródłem danych do analizy ryzyka, a z drugiej strony analiza ryzyka dostarcza nam wiedzy na temat zagrożeń, podatności i potencjałów dla tych obszarów.

Jeżeli w organizacji nie zastosujemy podejścia zintegrowanego, to wcześniej, czy później zmęczymy naszych pracowników pytaniami, nieintegrowanymi wycinkowymi działaniami, a może nawet sprzecznymi decyzjami.

Zapewnij wsparcie narzędzia BPM Risk, aby zapewnić integracje zarządzania ryzykiem z zarządzaniem organizacją.

  

Dlaczego BPM Risk?

  1. Pomoże przekonać ludzi, że warto się otworzyć i krytycznie spojrzeć na to co się robi.
  2. Zapewni metodę dostosowaną do wielkości organizacji i złożoności działań realizowanych przez organizację.
  3. Integruje zarządzanie ryzykiem z tymi systemami, które organizacja posiada i działają skutecznie.
  4. Wspiera terminowość, analizę i planowanie z ludźmi i dla ludzi.
  5. Umożliwia bieżącą analizę online.
  6. Wbudowany mechanizm raportujący pozwala na pełną informacje na temat zagrożeń, skutków, prawdopodobieństwa, analizy ryzyka, wyznaczonych działań i ich realizacji na wszystkich szczeblach przeprowadzonej analizy.

Funkcje podstawowe

Oprogramowanie dzięki zastosowaniu wersji serwerowej jest dostępne dla użytkowników za pomocą przeglądarki internetowej oraz na urządzeniach mobilnych, co umożliwia bieżącą komunikację. System wysyła również komunikaty na e-maila użytkownika o działaniach, które powinien realizować.

System posiada rozbudowane moduły dodatkowe wpierające audyt i kontrolę wewnętrzną, zarządzanie rekomendacjami poadytowymi oraz opomiarowanie ryzyka za pomocą KRI. Moduły te umożliwiają stworzenie kompletnego systemu weryfikacji, planowania działań, monitorowania oraz zarządzania ryzykiem.

Stały przegląd realizowanych zadań, możliwość narzucenia ograniczeń czasowych, priorytetów oraz monitoring dają osobom odpowiedzialnym za proces zarządzania ryzykiem wszelkie niezbędne informacje do prawidłowego zarządzania organizacją. Wielopoziomowy mechanizm ostrzegania o zadaniach przeterminowanych, raportowania oraz analizy przekrojową informację o występujących problemach oraz potencjalnych zagrożeniach.

Identyfikacja ryzyka

Pierwszym krokiem przy wykorzystywaniu systemu jest opracowanie lub implementacja rejestru ryzyk. Oprogramowanie może zostać dostarczone z predefiniowanym katalogiem ryzyk z możliwością rozbudowy.

Karta ryzyka

Chcąc zaangażować pracowników w opracowanie rejestru ryzyk uruchomiamy w systemie „Przegląd ryzyka”. Risk Manager poprzez uzupełnienie terminu do którego właściciele ryzyk mają je zidentyfikować (system będzie pilnował, aby zadania były realizowane w terminie) i wskazanie osób odpowiedzialnych za identyfikację ryzyk uruchamia proces identyfikacji ryzyka. Identyfikacja ryzyka jest również możliwa w każdym momencie i może mieć swój początek w innych działaniach, takich jak: zarządzanie incydentem i sytuacją awaryjną, zarządzaniem niezgodnościami, wskazanie spostrzeżeń audytowych i innych.

Po zatwierdzeniu przeglądu przez Risk Menagera wszyscy wskazani właściciele ryzyk otzrymują zadnie dokonać ich oceny.

Ocena ryzyka

Model zarządzania ryzykiem w BPM Risk określa poniższy schemat.

schemat ryzyka BPM1

 Karta ryzyka, na której dokonuje się oceny zawiera: nazwę ryzyka, opis / definicję ryzyka, numer ryzyka (z rejestru).

Karta ryzyka 2Pierwszym krokiem oceny jest wskazanie prawdopodobieństwa i uzasadnienie wyboru. System podpowiada użytkownikowi możliwe poziomy prawdopodobieństwa wraz z określeniem ułatwiającym jego ocenę.

Drugim krokiem jest wskazanie i uzasadnienie skutków, które mogą być podawane w poszczególnych kategoriach:

  • finansowe,
  • organizacyjne,
  • strategiczne,
  • prawno-regulacyjne.

Tu również system wspiera użytkownika podpowiedziami. Po zrealizowanej ocenie prawdopodobieństwa i skutków system wylicza istotność ryzyka pierwotnego zgodnie z konfigurowanym modelem. Następnie właściciel ryzyka opisuje aktualne mechanizmy kontrolne i dokonuje ich oceny z uzasadnieniem.

System umożliwia zastosowanie dowolnej metody w zakresie oceny i analizy ryzyka.

System automatycznie przelicza ryzyko po zastosowaniu mechanizmów oraz wskazuje rodzaj reakcji na ryzyko zgodnie z konfigurowanym modelem.Ostatnim etapem oceny, jest wskazanie propozycji działań do planu zarządzania ryzykiem.

Chcąc dodać działanie wskazujemy rodzaj działania z listy:

  • Organizacyjne,
  • Dokumentacyjne,
  • Inwestycyjne,
  • opracowanie KRI.

Wskazujemy odpowiedzialnego z listy pracowników, wskazujemy czas realizacji i mamy możliwość wprowadzenia szacowanego kosztu działania. Możemy dodawać wiele działań do jednego ryzyka.

Risk Manager otrzymuje Kartę Ryzyka z oceną ryzyka i propozycją działań, a po przeanalizowaniu karty i działań może ją zatwierdzić, lub wycofać do poprawy dodając stosowny komentarz. 

schemat ryzyka BPM2

Raportowanie ryzyka

System zawiera szereg gotowych raportów, jak i możliwość tworzenia dedykowanych. Standardowo zawiera raporty takie jak:

  • Mapa ryzyk: przedstawia wszystkie zidentyfikowane ryzyka w podziale na kategorie i obszary. Wskazuje nazwę i definicję ryzyka, właściciela oraz w syntetyczny sposób: poziom ryzyka pierwotnego, ocenę mechanizmów kontrolnych, poziom ryzyka rezydualnego.
  • Ranking ryzyk: przedstawia poszczególne ryzyka (od najwyższego poziomu rezydualnego do najniższego).
  • Plan postępowania z ryzykiem: przedstawia poszczególne ryzyka przypisane do obszarów i kategorii, wraz z poziomami ryzyka rezydualnego i wskazaniem rodzaju reakcji na ryzyko. Raport przedstawia plan działań i działania wyznaczone do realizacji wraz ze:
    • Statusem działań (w trakcie realizacji, zrealizowane i niezrealizowane),
    • Typem działań (organizacyjne, dokumentacyjne, inwestycyjne, opracowanie KRI),
    • Zaplanowanym terminem realizacji,
    • Rzeczywistym terminem zrealizowania działania,
    • Szacowanym kosztem.
  • Karta Ryzyk: raport z oceny wybranego ryzyka.
  • Macierz ryzyk: raport graficzny, wizualizujący rozkład ryzyk w poszczególnych ćwiartkach macierzy.
  • Model reakcji na ryzyko: raport graficzny przedstawiający rozkład działań związanych z ryzykiem.
  • Zmiana ryzyk w czasie: porównanie wartości ryzyka z dwóch okresów.

 

Plan zarządzania ryzykiem

Po zatwierdzeniu Karty ryzyka zadnia są przekazywane do wskazanych osób do realizacji. Osoba wskazana jako odpowiedzialna za realizacje zadania otrzymuje powiadomienie i zadnie w systemie ze wskazaną datą realizacji. Po zrealizowaniu zadnia wprowadza komentarz i klika przycisk „działanie zrealizowane” co zmienia status zadania na wykonane.

schemat ryzyka BPM3

Odpowiedzialny za zadanie może odłożyć zadanie  poprzez kliknięcie przycisku „zapisz” oraz może wskazać, iż zadnie nie jest zrealizowane poprzez kliknięcie przycisku „działanie niezrealizowane” co zmienia jego status na niewykonane.

 

Funkcje dodatkowe

Audyt i kontrola wewnętrzna

System wspiera planowanie oraz realizację audytów i kontroli wewnętrznych. Umożliwia utworzenie harmonogram audytów i kontroli na bazie rankingu ryzyk. Przygotowanie rocznego planu kontroli przebiega według schematu przedstawionego poniżej.

Użytkownik z odpowiednimi prawami dostępu dodaje do planu kolejne kontrole, następnie odpowiednia osoba otrzymuje zadanie zatwierdzenia planu kontroli. Po zatwierdzeniu planu następuje automatyczne rozesłanie linka do planu (w PDF) do Szefów komórek organizacyjnych (właścicieli procesów),  uwzględnionych w kontrolach dodanych do planu. System umożliwia zlecenie i  przeprowadzenie kontroli pozaplanowej.

Planowanie szczegółów audytu / kontroli polaga na uzupełnieniu danych:

  • Termin rozpoczęcia i zakończenia audytu / kontroli,
  • Zlecający / powód (z możliwością wskazania ryzyka)
  • Przedmiot kontroli,
  • Dokumentację podlegającą kontroli (opcjonalnie na tym etapie),
  • Kontrolerów (osoby przeprowadzające kontrolę oprócz osoby odpowiedzialnej),
  • Kierownika(ów) kontrolowanej komórki,
  • Pozostałe osoby wyznaczone do kontroli (wstępnie, do uzupełnienia podczas wykonywania kontroli).
  • Osoby, które powinny otrzymać informację o prowadzonym audycie / kontroli.

Na etapie planowania system umożliwia dodanie do planu predefiniowanych pytań, a nawet checklist, które będą wsparciem dla audytora, bądź zespołu audytującego podczas realizacji audytu lub kontroli wewnętrznej.

Po zatwierdzeniu szczegółów kontroli otrzymuje upoważnienie do kontroli (zawierające informację, iż kontrola została zatwierdzona w systemie przez przedstawiciela kierownictwa, z możliwością wydruku.)

Po zakończeniu przygotowania wysyłane jest powiadomienie o audycie / kontroli i następuje przejście do etapu przeprowadzenia audytu / kontroli.

Na etapie realizacji audytor ma możliwość dodawania zagadnień i wprowadzanie analiz i ustalenia - pole formatowane zawierające opis przeprowadzonej analizy oraz ustalenia poczynione w trakcie audytu lub kontroli, które zostanie wprowadzone w raporcie pod nagłówkiem danego zagadnienia.

Po przeprowadzeniu audytu lub kontroli następuje podsumowanie. Na tym etapie audytor wprowadza rekomendacje. Przygotowany protokół, po zapisaniu zadania, można wygenerować w formacie PDF.

Kontroler ma możliwość skonsultowania protokołu i przekazania go do zatwierdzenia. Po zatwierdzeniu postępowanie zostaje zamknięta, a rekomendacje zostają skierowane do realizacji przez wyznaczone osoby

System oferuje możliwość wygenerowania na bieżąco specjalizowanych raportów.

 

Analiza ryzyka ad-hoc

 

W ramach prowadzonej kontroli / audytu audytor ma możliwość uruchomienia tak zwanej doraźnej analizy ryzyka podczas audytu. Zidentyfikowane podczas przeprowadzania audytu zagrożenie może podlegać ocenie i analizie razem z przedstawicielem obszaru audytowanego. Wyniki analizy ryzyka przeprowadzonej podczas audytu mogą być propagowane na pozostałe obszary organizacji.

 

Zarządzanie rekomendacjami poaudytowymi i pokontrolnymi

 

Dla stwierdzonych spostrzeżeń audytowych , można opracować rekomendacje. Przyjmują one formę zadań z określonym celem i/lub oczekiwanym terminem realizacji.

Zatwierdzone w raporcie z kontroli rekomendacje zostają przekazane do kierownika jednostki audytowanej, który określa dla nich szczegółowy plan działań. Działania w postaci zadań zostają kierowane do odpowiednich osób, a system pilnuje terminowości i eskaluje zadnia.

Po zrealizowaniu zadań dotyczących danej rekomendacji kierownik jednostki podsumowuje działania oraz może przeprowadzić ocenę skuteczności.

System na bieżąco raportuje statusy realizacji działań wynikających z rekomendacji poaudytowych.

Przy planowaniu kolejnego audytu w danym obszarze działania związane z rekomendacjami poprzednich audytów są automatycznie przypisywane do planu audytu w celu oceny realizacji.

 

Monitoring ryzyka - KRI

 

System umożliwia utworzenie mierników ryzyka poprzez określenie: danych źródłowych wraz ze wskazaniem miejsca ich dostępności, formuły matematycznej oraz wartości pożądanych i alarmowych. System będzie odpytywał zgodnie ze wskazanym interwałem osób odpowiedzialnych za wprowadzenie danych źródłowych, przeliczy wartość miernika oraz sprawdzi jego realizację.

Osoba odpowiedzialna za ryzyko, którego KRI przekracza wartości alarmowe, powinna określić w systemie dodatkowe działania związane z zarzadzaniem ryzykiem.

System umożliwia śledzenie realizacji KRI dla poszczególnych: oddziałów, komórek organizacyjnych, stanowisk, czy osób. Umożliwia raportowanie pełnej listy KRI w zależności od ich hierarchii i perspektywy.

Korzyści

RISK BPM - jest doskonałym narzędziem wspierającym zarządznie organizacją. 

Brak ograniczeń w stosunku do liczby użytkowników jest ogromną przewagą nad innymi podobnymi rozwiązaniami.

Narzedzie wspiera cały proces zarządzania ryzykiem od momentu kolekcji danych, identyfikacji, oceny, audytu i kontroli, aż po raportowanie.

Zaangażowanie i partycypacja użytkowników wywołana zastosowaniem BPM RISK, jest znakomitym czynnikiem budowania świadomości i motywowania pracowników w zakresie zarządznia podległym obszarem.

Prosty i intuicyjny interfejs oraz szereg raportów pozwala na szybkie pozyskiwanie informacji.

Model systemu umożliwia podejmowanie natychmiastowych działań związanych z materializacją ryzyka oraz incydentami.

Wsparcie dla procesu audytu i kontroli nadaje kompleksowego charakteru narzędziu.

Jesteś tutaj: Home Oprogramowanie Bezpieczeństwo Analiza ryzyka - ERM