Zarządzanie ryzykiem to jak jazda na rowerze bez trzymanki – niby wiesz, co robisz, ale zawsze istnieje szansa, że coś pójdzie nie tak. O ile jednak zawsze można zrezygnować z jazdy rowerem bez trzymania kierownicy – trudno wyobrazić sobie działalność gospodarczą bez ponoszenia ryzyka.
Zarządzanie ryzykiem to proces identyfikacji, oceny i priorytetyzacji ryzyka, a następnie zastosowanie adekwatnych do niego działań/strategii w celu monitorowania i kontrolowania prawdopodobieństwa i/lub wpływu nieprzewidzianych zdarzeń – zarówno negatywnych jak i pozytywnych. Międzynarodowe standardy zarządzania ryzykiem, takie jak ISO 31000 [1] czy COSO ERM [2], są jak przepisy ruchu drogowego – pomagają utrzymać porządek i bezpieczeństwo. Podobnie jak z przepisami – możemy zaobserwować różne podejście do ich przestrzegania, stosowania, akceptacji, dopasowania do uwarunkowań lokalnych.
Czym właściwie jest ryzyko i zarządzanie ryzykiem?
Ryzyko rozumiemy jako potencjalne zdarzenie, którego skutki mogą wpłynąć (negatywnie lub pozytywnie) na nasze cele. Ryzyko może mieć charakter finansowy, personalny, operacyjny, prawny, środowiskowy, technologiczny czy reputacyjny. Jego natura powoduje, że powinniśmy je traktować jako zagrożenie lub okazję. A zatem nie zawsze oznacza coś negatywnego – może również otwierać drogę do nowych szans, jeśli jest odpowiednio rozpoznane i wykorzystane.
W świecie, w którym ryzyko stało się nieodłącznym elementem niemal każdej działalności – od prowadzenia biznesu po zarządzanie instytucjami publicznymi – coraz większe znaczenie zyskują systemy, które pomagają to ryzyko identyfikować, analizować i skutecznie nim zarządzać. Na całym świecie wypracowano różnorodne standardy zarządzania ryzykiem, które – choć mają wspólny cel – różnią się podejściem, strukturą, terminologią i zakresem. W tym miejscu warto wspomnieć, że strategie zarządzania ryzykiem znajdziemy również w ramach standardów i metodyk zarządzania projektami [3], np. PMI, PMBOK czy PRINCE2.
Dla organizacji funkcjonujących globalnie zrozumienie tych różnic i efektywne wdrożenie standardów dopasowanych do ich potrzeb może być kluczowe dla efektywnego działania. Pamiętać należy, że celem zarządzania ryzykiem nie jest wyeliminowanie wszelkich zagrożeń, lecz ich świadome monitorowanie i podejmowanie decyzji, które ograniczają prawdopodobieństwo ich wystąpienia lub minimalizują negatywne skutki oraz maksymalizują szanse [3].
Identyfikując te przyczyny na etapie planowania, PM jest w stanie przewidzieć zdarzenia, które mogą nastąpić, jeśli dane przyczyny się zmaterializują. Zdarzenie może mieć charakter opóźnienia, wzrostu kosztów lub spadku jakości, co prowadzi do realnych, mierzalnych skutków.
.
Najważniejsze standardy zarządzania ryzykiem na świecie
Choć istnieje wiele standardów zarządzania ryzykiem, na świecie dominuje kilka uznanych, do których należą:
- ISO 31000 (International Organization for Standardization) – uniwersalny standard zarządzania ryzykiem, przyjęty na całym świecie. Oferuje on ramy i zasady umożliwiające dostosowanie procesu zarządzania ryzykiem do kontekstu organizacji [1]. Podkreśla znaczenie kultury organizacyjnej, kontekstu zewnętrznego i wewnętrznego oraz ciągłego doskonalenia.
- COSO ERM (Committee of Sponsoring Organizations of the Treadway Commission, USA) – skupia się głównie na zarządzaniu ryzykiem w kontekście ładu korporacyjnego i kontroli wewnętrznej [2]. Ostatnia wersja (Enterprise Risk Management – Integrating with Strategy and Performance) kładzie nacisk na integrację zarządzania ryzykiem ze strategią biznesową.
- M_o_R (Management of Risk) – jest standardem, który może być stosowany do zarządzania ryzykiem na wszystkich szczeblach organizacji – strategicznym, projektów i operacyjnym. Jest spójny z szeroko rozpowszechnionymi metodykami zarządzania projektami (zwłaszcza z PRINCE2® stanowiąc jego niezbędne uzupełnienie) oraz programami (MSP® – Managing Successful Programmes), a także z biblioteką zarządzania usługami informatycznymi (ITIL®) [4].
- FERMA (Federation of European Risk Management Associations) – promuje dobre praktyki zarządzania ryzykiem w Europie [5]. Chociaż nie tworzy własnego standardu, wspiera wdrażanie ISO 31000 i dostarcza przewodników sektorowych.
- COBIT (Control Objectives for Information and Related Technologies) to ramy stworzone przez ISACA, które koncentrują się na zarządzaniu i nadzorze IT. COBIT dostarcza zestaw procesów, które pomagają w zarządzaniu ryzykiem IT, zapewniając zgodność z celami biznesowymi i optymalizację zasobów.
- AS/NZS 4360 (Australia i Nowa Zelandia) – jeden z pierwszych kompleksowych standardów zarządzania ryzykiem, który był podstawą do opracowania ISO 31000 [6]. Choć obecnie zastąpiony przez ISO, nadal bywa używany lokalnie.
- ONR 49000 (Austria) – austriacki standard, który również odnosi się do ram ISO, ale zawiera szczegółowe wytyczne dostosowane do lokalnego kontekstu biznesowego i prawnego.
- BS 31100 – brytyjski standard oparty częściowo na ISO 31000, dostosowany do specyfiki Wielkiej Brytanii.
Mimo wspólnego celu – poprawy bezpieczeństwa i efektywności działania organizacji – między standardami występują istotne różnice, które warto poznać.
Różnice między standardami – analiza porównawcza
Choć standardy mają wiele punktów wspólnych, istnieją między nimi kluczowe różnice, które wpływają na praktykę zarządzania ryzykiem w różnych częściach świata, (m.in. zakres i elastyczność, szczegółowość i struktura dokumentu, wpływ kultury organizacyjnej i regionalnej). Najlepiej różnice między poszczególnymi podejściami zestawić i porównać w tabeli, co też pokazano w Tabeli 1.
| Standard | FERMA | COSO ERM | ISO 31000 | COBIT | M_o_R |
| Typ | Ramy/ przewodnik | Model ERM | Międzynarodowy standard | Ramy IT/ład korporacyjny | Ramowe podejście do ryzyka |
| Zakres zastosowania | Organizacje europejskie | Korporacje, finanse | Uniwersalne zastosowanie | Zarządzanie IT, audyt | Organizacje publiczne i prywatne |
| Podejście do ryzyka | Ocena dojrzałości + wskazówki | Ryzyko w centrum strategii | Część decyzji i działań | Komponent zarządzania IT | Systematyczne zarządzanie ryzykiem |
| Struktura | Model RM3, przewodniki | 5 komponentów, 20 zasad | Zasady, ramy, proces | 5 zasad ładu, 40 celów | Zasady, podejścia, procesy, role |
| Poziom szczegółowości | Średni | Wysoki | Średni | Wysoki | Średni |
| Elastyczność | Wysoka | Mniejsza | Bardzo wysoka | Ograniczona | Średnia |
| Integracja z zarządzaniem | Wysoka | Bardzo wysoka | Wysoka | Bardzo wysoka | Wysoka |
| Podejście do kultury ryzyka | Wspieranie kultury ryzyka | Aktywne zarządzanie | Uwzględniona ogólnie | Część ładu IT | Silny nacisk na kulturę ryzyka |
Rysunek 1. Zależność przyczyna-zdarzenie-skutek
Źródło: opracowanie własneWybór standardu w praktyce – na co zwracają uwagę firmy?
Firmy rzadko wdrażają jeden standard w oderwaniu od innych. W praktyce wiele organizacji tworzy hybrydowe podejście, wybierając elementy z różnych standardów, które najlepiej odpowiadają ich potrzebom. Na wybór wpływają m.in. [3-4]:
- Wymogi prawne i branżowe, przykładowo, firmy notowane na giełdzie w USA są zobowiązane do spełniania wymogów związanych z kontrolą wewnętrzną, co kieruje je ku COSO. Z kolei w Europie częściej wybierane jest ISO 31000, wspierane przez krajowe organizacje normalizacyjne.
- Wielkość i struktura organizacji. Duże korporacje częściej wybierają bardziej sformalizowane standardy (jak COSO), podczas gdy mniejsze organizacje chętniej stosują bardziej elastyczne podejścia (jak ISO 31000).
- Rodzaj działalności. W sektorze finansowym normy są często bardziej restrykcyjne i precyzyjne (np. zgodność z Basel III), natomiast w sektorze publicznym lub NGO popularne są bardziej uniwersalne standardy jak ISO.
- Dojrzałość organizacji. Każda organizacja znajduje się na określonym poziomie dojrzałości, który powinna znać i regularnie weryfikować. Implementacja zbyt rozbudowanych, zaawansowanych narzędzi w organizacjach niedojrzałych może przynieść odwrotne skutki do zamierzonych.
- Wyzwania i przyszłość zarządzania ryzykiem. Zarządzanie ryzykiem musi nadążać za nowymi wyzwaniami: zmianami klimatycznymi, transformacją cyfrową, ryzykiem geopolitycznym czy zagrożeniami cybernetycznymi. Standardy muszą być dostosowywane do rosnącej złożoności otoczenia, a także uwzględniać aspekty zrównoważonego rozwoju i etyki.
- Coraz częściej mówi się także o konieczności integracji zarządzania ryzykiem z ESG (Environmental, Social, Governance). Firmy, które nie uwzględniają tych czynników, mogą narazić się na ryzyko reputacyjne i utratę inwestorów.
Podsumowanie
Istnieje stwierdzenie, że „nie możemy przewidzieć przyszłości, ale możemy przygotować się na nią”. Międzynarodowe standardy zarządzania ryzykiem to nie tylko zbiór przepisów i procedur – to filozofia działania, która ma pomóc organizacjom funkcjonować bezpiecznie i skutecznie w świecie pełnym niepewności. Różnice między poszczególnymi podejściami wynikają z różnych perspektyw – prawnych, kulturowych, ekonomicznych – ale nie oznaczają, że jedno podejście jest lepsze od drugiego. Kluczem jest zrozumienie ich specyfiki i świadome dobranie narzędzi do potrzeb danej organizacji. Istotne jest, aby podejść do zarządzania ryzykiem z otwartym umysłem i gotowością do adaptacji – w końcu, jak mówi stare przysłowie, „lepiej zapobiegać niż leczyć„
[1] ISO 31000:2018, Risk Management – Guidelines, 2018.
[2] COSO – Committee of Sponsoring Organizations of the Treadway Commission: Enterprise Risk Management – Integrated Framework. Executive Summary, 2004.
[3] Michał Trocki, Metody i standardy zarządzania projektami, PWE, Warszawa 2017.
[4] M_o_R® 4: Management of Risk: Creating and Protecting Value, PeopleCert International Ltd, 2022.
[5] FERMA – Federation of European Risk Management Associations: Standard zarządzania ryzykiem, 2002.[6] AS/NZS 4360:2004, Australian/New Zealand Standard: Risk Management, 2004.
Pracownik badawczo-dydaktyczny Politechniki Świętokrzyskiej. Naukowo zajmuje się prognozami czasu i kosztu inwestycji, harmonogramami, zarządzaniem projektami i szeroko pojętym planowaniem. Opiekun koła naukowego Strateg-Bud. Prywatnie uwielbia podróże, fotografię portretową oraz gry planszowe. Na co dzień zaraża pozytywną energią oraz humorem, jest zorganizowana i działa zadaniowo (a przynajmniej próbuje).
Research and teaching employee at the Kielce University of Technology. Scientifically active in the field of investment time and cost forecasting, scheduling, project management and planning in general. Supervisor of the Strateg-Bud scientific club. Privately, she loves travelling, portrait photography and board games. On a daily basis, she is infectious with positive energy and humour, is organised and task-oriented (or at least tries to be).
Kierownik Katedry Zarządzania Projektami SGH. Kierownik i wykładowca Podyplomowych Studiów „Zarządzanie Projektami” SGH. Ekspert i doradca w zakresie zarządzania projektami, transformacji, zarządzania procesami biznesowymi. Współpracuje zarówno z sektorem publicznym jak i prywatnym. Specjalizuje się w zagadnieniu dojrzałości organizacji w zarządzaniu projektami. Autor prawie stu publikacji z dziedziny zarządzania. Certyfikowany kierownik projektu w zakresie zarządzania projektami (PRINCE2® i AgilePM®, PSM), portfelami (MoP®) i ryzykiem (M_o_R®). Członek PMI, IPMA.