Zarządzanie Ryzykiem, Risk Management, Ryzyko, Analiza Ryzyka Rozliczamy z przyszłości

Rynek usług certyfikacyjnych w zakresie zarządzania ryzykiem dopiero się rodzi. Wiążę się to z faktem, że standard ISO 31000:2009 ? Zarządzanie ryzykiem (zasady i przewodnik implementacji) został opublikowany dopiero w listopadzie 2009 roku przez organizację ISO i nie ma być przedmiotem certyfikacji. Jest to pierwszy standard międzynarodowy opublikowany przez ISO, który poświęca w całości uwagę zagadnieniom zarządzania ryzykiem w organizacjach. Standard ten ma wspierać organizacje w bardziej efektywnym szacowaniu i mierzeniu ryzyk, na jakie narażone są instytucje w dzisiejszych czasach.

Nie oznacza to jednak, że do tej pory nie były dostępne standardy zarządzania ryzykiem na bazie których instytucje lub firmy doradcze realizowały projekty. Nie można w tym miejscu zapomnieć o dokumentach wydanych przez Komitet Brazylijski I w 1998 oraz II w 2004 roku opisujących narzędzia i pomiar w szczególności ryzyka finansowego i operacyjnego, standardach zarządzania ryzykiem COSO I z 1991 roku oraz COSO II z 2004 roku czy dokumentach wydanych przez międzynarodowe organizacje podejmujące i propagujące tematykę zarządzania ryzykiem jak standardy zarządzania ryzykiem wydane przez FERMA, URM, AIRMIC, ALARM, RIMS czy PRMIA.

ISO 31000:2009 dostarcza ramy i zasady oraz generyczny proces dla różnego rodzaju ryzyk w sposób bardzo systemowy i przejrzysty. Jest on przeznaczony dla szerokiego grona odbiorców od instytucji publicznych, poprzez firmy aż po organizacje z trzeciego sektora. Także skala działania instytucji ma tutaj drugorzędne znaczenie.

Pomimo tego, że standard ISO 31000:2009 nie ma jeszcze nawet roku już uznawany jest jako wiodący dokument wyznaczający standardy w zarządzaniu ryzykiem na świecie. Należy wskazać, że jest on zbiorem dobrych praktyk na bazie których organizacja może budować i rozwijać system zarządzania ryzykiem. Jak wskazuje ISO nie został on stworzony dla potrzeb certyfikacji i nie takie jest jego przeznaczenie.

Natomiast sam proces certyfikacji systemu zarządzania w tym przypadku zarządzania ryzykiem mogłaby się stać gwarancją dla interesariuszy firmy (jak to ma miejsce w innych obszarach certyfikacji jak jakość czy ochrona środowiska), że zarządzanie ryzykiem mieści się w ramach strategii przedsiębiorstwa, są zdefiniowane struktury a proces zarządzania ryzykiem jest aktywnym narzędziem ochrony przedsiębiorstwa przez zagrożeniami. Dodatkowo certyfikacja mogłaby podnieść efektywność wdrożonych systemów zarządzania ryzykiem poprzez ich systematyczną kontrolę, ocenę i audyt prowadzony przez niezależną jednostkę certyfikacyjną. Natomiast regularność nadzorów i ich obiektywność wymuszałaby na instytucji duże zaangażowanie w przygotowaniu się do audytu a także aktywne uczestnictwo podczas ich odbywania się. Konsekwentnie utrata certyfikatu mogłaby stać się bowiem poważnym czynnikiem osłabiającym reputację instytucji w oczach inwestorów i interesariuszy.

Sam proces certyfikacji systemów zarządzania obejmuje swoim zakresem następujące kroki,:

• Zakup i zapoznanie się z normą, która ma być przedmiotem wdrożenia i późniejszej certyfikacji
• Zdefiniowanie strategii systemu zarządzania związanej z obszarem certyfikacji poprzez wpisanie jej w strategię przedsiębiorstwa
• Zaangażowanie kierownictwa najwyższego szczebla z zatwierdzenie polityki danego systemu zarządzania
• Stworzenie struktur zarządzania danego systemu w organizacji
• Rozwój kompetencji zespołu z danego obszaru
• Podjęcie decyzji o wyborze doradcy wdrażającego system zarządzania lub realizacja procesu własnym zespołem
• Stworzenie księgi zarządzania danym systemem, opracowanie procedur i najlepszych praktyk zarządzania ryzykiem oraz wybór narzędzi IT wspierających dany proces zarządzania
• Wdrożenie danego systemu zarządzania
• Wybór niezależnej jednostki certyfikującej do przeprowadzenia audytu zerowego pozwalającego na ocenę przygotowania firmy do procesu audytu i certyfikacji
• Wybór akredytowanej jednostki certyfikującej, przeprowadzenie audytu i uzyskanie odpowiedniego certyfikatu
• Przeprowadzanie cyklicznych audytów nadzoru pozwalających na rozwój i ocenę wdrożonego systemu zarządzania i utrzymanie certyfikatu.

Wydaje się, że ze względu na rosnącą potrzebę standaryzacji systemów zarządzania ryzykiem w przedsiębiorstwach prywatnych i publicznych organizacja ISO w przyszłości podejmie działania zmierzające do przygotowania standardu podlegającego certyfikacji.