Ta strona używa plików Cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień Cookies w przeglądarce.

Home       Strefa Klienta      Praca       Kontakt    

Zarządzanie ryzykiem

Ryzyko

"Tylko wtedy uda nam się pojąć,
  jak wielkim cudem jest życie,
  gdy będziemy gotowi przyjąć
  niespodzianki,
  jakie niesie nam los."
  Paulo Coelho

Ryzyko oznacza miarę/ocenę zagrożenia czy niebezpieczeństwa wynikającego albo z prawdopodobnych zdarzeń od nas niezależnych, albo z możliwych konsekwencji podjęcia decyzji. 

Opis

Ryzyko jest wskaźnikiem stanu lub zdarzenia, które może prowadzić do strat lub nieść ze sobą szansę. Jest ono proporcjonalne do prawdopodobieństwa wystąpienia tego zdarzenia i do wielkości strat lub zysków ,które może spowodować.

Zarządzanie ryzykiem – jest to system metod i działań zmierzających do obniżenia stopnia oddziaływania ryzyka na funkcjonowanie organizacji i do podejmowania w tym celu optymalnych decyzji.

Dowiedz się jak zarządzać ryzykiem. Dowiedz się więcej!

Otwórz się na ryzyko

Najtrudniejszym zadaniem w zarządzaniu ryzykiem jest otwarcie się na ryzyko. Oznacza to przełamanie bariery, którą ma każdy człowiek, czyli niechęci do dzielenia się wątpliwościami, zagrożeniami. Ludziom wydaje się, że ten kto identyfikuje ryzyko, jest słabym pracownikiem, menadżerem, gdyż nie radzi sobie z powierzoną mu pracą.

Nic bardziej mylnego, umiejętność identyfikowania zagrożeń, które mogą wpłynąć na funkcjonowanie organizacji oraz szans stanowiących podstawę optymalizacji i podnoszenia efektywności, to podstawa dobrego zarządzania.

Należy zastanowić się, co tak naprawdę jest celem zarządzania ryzykiem? Otóż jest nim zbudowanie świadomości organizacji na temat zagrożeń, ich skutków oraz mechanizmów przeciwdziałania. Jest nim również umiejętność odszukania potencjałów do doskonalenia naszej działalności i ich wykorzystania.

 

Opracuj mechanizmy i metody

Ważnym elementem zarządzania ryzykiem jest zastosowanie odpowiedniej metody. Odpowiedniej, czyli takiej, która umożliwi w prosty sposób zebranie niezbędnych informacji, ocenę oraz zaplanowanie działań. Należy pamiętać, aby metoda była dostosowana do potrzeb danej organizacji i nie była przewymiarowana.

Z pomocą przychodzą tu międzynarodowe standardy i metody takie jak:

  • COSO II – które jest kompletnym standardem postrzegającym zarządzanie ryzykiem w trzech wymiarach: strategii i działalności organizacji, jej struktury organizacyjnej oraz procesu zarządzania ryzykiem od ustalenia kontekstu i identyfikacji, aż po komunikację i monitorowanie,
  • ERM – Enetrprise Risk Management – który postrzega ryzyko jako nieodłączny atrybut każdego działania organizacji (procesów i projektów) i jest podstawą do podejmowania decyzji biznesowych, stając się integralną częścią zarządzania organizacją.
  • GRC - Governance Risk Compliance – rozszerza podejście do ryzyka prezentowane w ERM o zgodność wymaganiami prawnymi oraz ład wewnętrzny,
  • ISO 31000 – to zasady i wytyczne do budowania mechanizmów zarzadzania ryzykiem organizacji,
  • ISO 27005 – poświęcona ryzyku w zarządzaniu bezpieczeństwem informacji,
  • I wiele innych standardów.

W tej wielości norm, standardów i wytycznych należy pamiętać o zdrowym rozsądku i dostosowaniu metody do własnych potrzeb.

 

Integruj zarządzanie

Częstym błędem jest odseparowanie zarządzania ryzykiem i traktowania go jak odrębnej wyspy. Przecież w naszych organizacjach funkcjonują już systemy zarządzania procesami, zarządzanie projektami, zarządzanie celami, kontrola i audyt wewnętrzny, które z jednej strony są doskonałym źródłem danych do analizy ryzyka, a z drugiej strony analiza ryzyka dostarcza nam wiedzy na temat zagrożeń, podatności i potencjałów dla tych obszarów.

Jeżeli w organizacji nie zastosujemy podejścia zintegrowanego, to wcześniej, czy później zmęczymy naszych pracowników pytaniami, nieintegrowanymi wycinkowymi działaniami, a może nawet sprzecznymi decyzjami.

Z ludźmi i dla ludzi

Wielu ekspertów od zarządzania ryzykiem popełnia podstawowy błąd, realizując analizę ryzyka samodzielnie, bojąc się niezrozumienia ludzi. Brak zaangażowania pracowników w zbieranie danych, ocenę oraz planowanie działań jest niewłaściwe i na pewno nie pomoże w budowaniu świadomości pracowników. Zarządzanie ryzykiem jest realizowane dla ludzi w celu wskazania zagrożeń ich oceny i umożliwienia, zaplanowania działań, więc partycypacja w całym procesie jest wymagana.

 

Na okrągło

Zarządzanie ryzykiem, to nie coroczna akcja oceny i planowania działań. Zarzadzanie ryzykiem to taki model, który umożliwi bieżącą identyfikację zagrożeń oraz ocenę incydentów, a tym samym pozowli na bieżącą analizę ryzyka i korygowanie planów reakcji.

 

Podsumowując

  • Przekonaj ludzi, że warto się otworzyć i krytycznie spojrzeć na to co się robi.
  • Zapewnij metodę dostosowaną do wielkości organizacji i złożoności działań realizowanych przez organizację.
  • Integruj zarządzanie ryzykiem z tymi systemami, które organizacja posiada i działają skutecznie.
  • Analizuj i planuj z ludźmi i dla ludzi.
  • Nie przestawaj, bo analiza ryzyka nie ma końca.

Ja to zrobić? Zadzwoń lub przejdź do zakładki ścieżka wdrożenia!

Ścieżka wdrożenia

Projekt zarządznia ryzykiem przewiduje realizację następujących prac:

Audyt zarządzania ryzykiem

Dla organizacji, które chcą doskonalić zarządzanie ryzkiem zostanie przeprowadzony audyt przeprowadzany w zakresie zarządzania ryzykiem posiadający trzy fazy:

  • dokumentacyjną – pozwalającą na poznanie podstaw funkcjonowania „zarządzania ryzykiem”,
  • koncepcyjną – polegającą na ocenie potrzeb i opracowaniu koncepcji „zarządzania ryzykiem”.

Dla organizacji, które rozpoczynają zarządzanie ryzykiem rozpoczynamy pracę warsztatem z kierownictwem, podczas którego przedstawiamy metody i określamy koncepcję zarządzania ryzykiem w organizacji.

Podczas audytu konsultanci zweryfikują poprawność sformułowania procesu „Zarządzanie ryzykiem” przy wykorzystaniu metody (modelu, narzędzia), w której będzie brana pod uwagę dojrzałość organizacyjna zamawiającego oraz atrybuty systemu zarządzania u zamawiającego, w tym co najmniej: struktura organizacyjna, organizacja nadzoru, organizacja kontroli i audytu wewnętrznego, kompetencje pracowników, stosowane metodyki i narzędzia.

Audyt posłuży analizie aktów prawa wewnętrznego w otoczeniu tego procesu, jak również obowiązków informacyjnych nałożonych na organizację przepisami prawa ogólnie obowiązującego.

Produkt etapu, którym jest koncepcja zarządzania ryzykiem powinna wskazywać obszary zarządzania ryzykiem oraz wstępny zakres metod i narzędzi oraz odpowiedzialności za proces.

Trzeba pamiętać, że analiza ryzyka strategicznego powinna odnosić się do celów strategicznych i otoczenia / rynku, analiza ryzyka operacyjnego powinna dotyczyć celów procesów i projektów, czyli działań realizowanych w organizacji,  a analiza ryzyka poszczególnych obszarów jak np. analiza ryzyka bezpieczeństwa informacji, czy ryzyka IT powinna odnosić się do procesów i zasobów w nich wykorzystywanych.

Schemat ryzyka przedstawia miejsce i cel zarządznia ryzykiem w organizacji. 

Organizacja działąając w otoczeniu, które wpływa na organizację poprzez wymagania i oczekiwania, realizuje swoją misję poprzez strategię. Strategia wskazuje cele, które organizacja powinna realizować, a zarządznie ryzykiem wskazuje zagrożenia i szanse dla procesów i projektów, będących jedyną aktywnością organizacji.

Przyjęcie metod w zakresie zarządzania ryzykiem

Głównym zadaniem procesu zarządzania ryzykiem jest określenie sposobu identyfikacji zagrożeń, oszacowanie wielkości prawdopodobieństwa wystąpienia zdarzenia i ocena skutków zaistnienia zidentyfikowanych zdarzeń.

Proces zarządzania ryzykiem powinien zapewnić zarówno jakościową jak ilościową analizę ryzyka.

Zgodnie z przyjętą w pierwszym etapie prac koncepcją zarządzania ryzykiem, Blue energy opracuje niezbędne procesy, procedury i instrukcje, które będą opisywały przepływ pracy i informacji w procesie, produkty podprocesów i procesu a także dokumenty jak i wykorzystywane systemy informatyczne dla procesu Zarządzanie ryzykiem. Opis postępowania zawarty ww. procedurach i instrukcjach powinien uwzględniać podział ról.

Konsultanci dostarczą, w formie załączników do procedur i instrukcji, szablony (wzory) dokumentów, których użycie jest przewidziane w opracowanych procedurach i instrukcjach oraz przykłady ich wypełnienia.

Mapy procesów mogą być opracowane w narzędziu informatycznym wspierającym zarządzanie procesem oraz jego automatyzację BPM RISK.

Proces zarządzania ryzykiem

W celu zapewnienia właściwej analizy ryzyka warto w ramach projektowanego procesu zarządzania ryzykiem określić:

  • - listę prawdopodobieństwa np. za pomocą słownika: nieprawdopodobne, niskie prawdopodobieństwo, częste, prawie pewne,
  • - listę skutków ryzyka np. wykorzystując skalę: bardzo wysokie, umiarkowane, niskie i bardzo niskie,
  • - dla skutków mierzalnych, możliwość wprowadzenia skwantyfikowanej wartości,
  • - dla skutków ciągłości działania, możliwość wprowadzenia skwantyfikowanej wartości w zależności od czasu materializacji ryzyka,
  • - macierz oceny, czyli algorytm wypadkowej prawdopodobieństwa i skutków wystąpienia,
  • - dla projektów częsta jest ocena złożoności projektu (prosty, złożony, wewnętrzny, zewnętrzny).

Dla właściwego doboru metody należy odpowiedzieć sobie na pytanie, czy interesuje nas ryzyko pierwotne, czy wtórne (rezydualne), czy jedno i drugie?

Pierwotne to takie, które występuje niezależnie od podejmowanych przez nas działań minimalizujących wpływ. Wtórne to takie, które pozostało po podjęciu przez organizację określonych działań. Wykazywanie jednego i drugiego daje obraz, czy dotychczas realizowane działania w zakresie zarządzania ryzykiem są skuteczne i przyczyniają się do obniżenia poziomu ryzyka.

Przeprowadzenie analizy ryzyka

W kolejnym etapie prac konsultanci wesprą pracowników Klienta w przeprowadzeniu analizy ryzyka. Po cyklu warsztatów, przeprowadzony zostanie coaching stanowiskowy w celu zapewnienia odpowiedniego poziomu wiedzy i rozwiania wątpliwości w trakcie dokonywania oceny i analizy.

W celu wyznaczenia ryzyka pierwotnego, musimy ocenić prawdopodobieństwo i skutek ryzyka, zapominając na chwilę o działaniach prewencyjnych, działaniach zapobiegawczych i innych względem prawdopodobieństwa i skutku. W następnym kroku oceniając dotychczasowe działania, a dokładniej ich wpływ na prawdopodobieństwo i/lub skutek otrzymamy wartość ryzyka wtórnego. Teraz ponownie możemy zastanowić się co możemy jeszcze zrobić, czy podejmowane dotychczas działania były właściwe.

Analiza ryzyka pierwotnego i wtórnego daje dodatkową wartość jaką jest analiza skuteczności obecnie realizowanych działań w zakresie zarządzania ryzykiem.

Po przeprowadzeniu analizy konsultanci opracują raporty i przedstawią jej wyniki. W ramach projektu Konsultanci Blue energy opracowują Model Ryzyk dla organizacji, obejmujący: kategorie ryzyk i ich właścicieli, powiązane cele biznesowe, właścicieli ryzyk oraz jednostki organizacyjne.

Dla utworzonego modelu ryzyk przedstawiamy ocenę ryzyk (w podziale na wpływ i podatność), profil ryzyk (tj. portfel ryzyk - charakterystyka firmy, przedstawiona np. w formie wykresu, pokazująca ile ryzyk i jakiej wielkości lub rodzaju można przypisać do danego oddziału lub obszaru działania organizacji) i wycenę (skala, mierniki, skala incydentów).

W przypadku wykorzystania narzędzia BPM Risk, raporty są generowane automatycznie.

Nasze dotychczasowe działania oraz propozycje nowych działań będą stanowiły wsad do planu zarządzania ryzykiem – plan reakcji na ryzyko.

Planowanie reakcji

Istotą planowania działań w zakresie reakcji na ryzyko jest zrozumienie, że ryzyko to skutek i prawdopodobieństwo, a czasami również ekspozycja – czyli czas w jakim skutek jest materializowany.

Planowane reakcje muszą być proporcjonalne do skutków wystąpienia niekorzystnych zjawisk ich prawdopodobieństwa oraz powinny minimalizować wpływ danego zagrożenia w sposób efektywny kosztowo.

Najczęstszą reakcją na ryzyko jest jego minimalizowanie ryzyka, poprzez minimalizowanie prawdopodobieństwa, bądź eliminowanie skutków. Przykładem może być wyeliminowanie nieszyfrowanych kanałów komunikacji w celu wyeliminowania, lub istotnego zmniejszenia prawdopodobieństwa przejęcia danych.

Transfer ryzyka to działanie polegające na przeniesieniu skutków, bądź odpowiedzialności za nie na inny podmiot np. ubezpieczenie.

Unikanie ryzyka polega na takiej zmianie procesu, lub projektu, która spowoduje wyeliminowanie prawdopodobieństwa i skutków np. przeniesienie produkcji poza tereny zalewowe w celu uniknięcia przestojów spowodowanych zalaniem.

Akceptacja ryzyka to pogodzenie się z prawdopodobieństwem ryzyka, a nawet skutkami. Nie oznacza jednak bezczynności. Jest to świadoma decyzja kierownictwa organizacji i wiąże się ze wskazaniem niezbędnych działań łagodzących konsekwencje wystąpienia np. plany awaryjne i odtworzeniowe.

Ranking ryzyk

Wynikiem realizowanych działań w zakresie planowania reakcji na ryzyko są:

  • - plan zarządzania ryzykiem, plan reakcji na ryzyka,
  • - lista ryzyk pierwotnych i wtórnych,
  • - harmonogram działań ze statusami realizacji,
  • - kwoty rezerw finansowych,
  • - plany awaryjne i odtworzeniowe,

W ramach projektu opracują Plan zarządzania ryzykiem, uwzględniający ryzyka realizacji celów strategicznych oraz opisujący: sposób postępowania z każdym z ryzyk wraz z uzasadnieniem (tj. plany postępowania z ryzykami), właścicieli ryzyk wraz z zakresami uprawnień i odpowiedzialności właścicieli, kluczowe wskaźniki ryzyka (KRI), w tym co najmniej: definicje KRI, sposób wyznaczania wartości, źródła danych oraz częstotliwość raportowania KRI, i zawierający wycenę skutków zdarzeń operacyjnych (incydentów) dla oceny skuteczności planów postępowania z ryzykami.

Kolejnym etapem będzie wypracowanie sposobu i planu wdrożenia procesu, w tym przedstawienie szczegółowego harmonogramu wdrożenia wraz z szacunkiem nakładów i pracochłonności po stronie organizacji. Istotnym elementem planu wdrożenia będą rekomendacje zmian w aktach prawa wewnętrznego, w tym proponowana treść zmian, lub treść nowych aktów, jeżeli okażą się one konieczne.

Monitorowanie

Monitorowanie to proces, który funkcjonuje cały czas, dostarczając informacji na temat nowych zagrożeń, zmiany prawdopodobieństwa, bądź skutku, oceny skuteczności zabezpieczeń, anlizy incydentów, testowania planów awaryjnych i odtworzeniowych, świadomości pracowników i skuteczności innych działań prewencyjnych w zakresie zarządzania ryzykiem.

Proces monitorowania ma dać odpowiedzi czy:

  • - wdrożono strategie reakcji na ryzyka,
  • - działania w planie są skuteczne,
  • - nastąpiły zmiany w poziomie ryzyka,
  • - zidentyfikowano nowe ryzyka,
  • - wystąpiły czynniki wyzwalające zidentyfikowane ryzyka,
  • - wystąpiły nowe ryzyka nierozpoznane uprzednio.

Wynikiem procesu monitorowania są określone działania doskonalące, usprawniające funkcjonowanie modelu zarządzania ryzykiem, w tym: ocenę, analizę, planowanie reakcji.

Transfer wiedzy

W celu dopełnienia transferu wiedzy Blue energy przeprowadzi cykl praktycznych szkoleń w formie warsztatowej przeznaczony dla: właściciela procesu Zarządzanie ryzykiem, właścicieli ryzyk i innych pracowników.

Zakres szkoleń będzie obejmował:

  • - metody analizy i zarządzania ryzykiem,
  • - identyfikacja, szacowanie i wycena ryzyk w teorii i praktyce,
  • - przebieg procesu zarządzania ryzykiem organizacji,
  • - monitorowanie,
  • - zarządzanie zmianą,
  • - raportowanie.

Automatyzacja procesu zarządzania ryzykiem

Oferowany przez nas BPM Risk wspiera cały proces zarządznia ryzykiem, od momentu modelowani i optymalizacji procesu, inwentaryzacji ryzyk, tworzenia planu postępowania oraz zasilania danymi, podejmowania decyzji, realizacji działań i raportowania. Dowiedz się więcej!

Korzyści

 

Blue energy zapewnia pełne wsparcie przy wdrożeniu efektywnego systemu zarządznia ryzykiem. System zarządznia ryzykiem w kompleksowy sposób integruje różne obszary aktywności organizacji i w sposób pełny i kompleksowy obejmuje proces zarządznia ryzykiem.

Tak wdrożożny model zarządznia ryzykiem jest istotnym elementem modelu zarządzania organizacją.

Oczywiście osoby zarządzjące, jak i pracownicy nizszego szczebla "czują" ryzyka realziowanej działaności i mągą nie odczuwać potrzeby wdrożenia systemu zarządzania ryzykiem. Więc, po co to robić?

  • Warto systematycznie analizować zagrożenia i podatności, aby niczego nie przegapić.
  • Warto jasno przypisać odpowiedzialności, aby każdy wiedział jaka jest jego rola.
  • Warto ujednolicić system oceny, aby mieć właściwą ocenę i mozliwoś porównania obszarów.
  • Warto stworzyc jednolity system monitorowania i raportowania, aby mieć właściwą wiedzę na temat organizacji i otoczenia.
  • Warto spójnie planować działania, aby zapewnić właściwy poziom bezpieczeństwa naszej organizacji i zasobów

Pamiętaj, że nie musisz tworzyć ogromnych systemów zarządznia ryzykiem, dostosuj model do swoich potrzeb. Zwróć jednak uwagę, aby angażować pracowników i działać systemowo, a nie akcyjnie.

 

Jesteś tutaj: Home Usługi Strategia i rozwój Zarządzanie ryzykiem