Celem zarządzania ryzykiem korporacyjnym nie jest budowanie awersji do ryzyka. Organizacje rozumiejące i wykorzystujące ryzyko, mogą bezpiecznie przełknąć go więcej, niż pozostałe firmy z branży.
Kategorie: Wszystkie | Koncepcje | Polemika | Rynek
RSS
czwartek, 02 sierpnia 2012
ISO 31004 Przewodnik wdrażania zarządzania ryzykiem

Kilka dni temu otrzymałem wstepną wersję normy ISO 31004, która jest pomyślana jako przewodnik do normy 31000, mający pomóc w jej implementacji w spółkach, gdzie zarządzanie ryzykiem się jeszcze nie dzieje, lub w ujednoliceniu dotychczasowego "wyspowego" podejścia do zarządzania ryzykiem lub do przejścia np. z mocno już leciwego COSO II na nowy i lśniący ISO 31000.

Dokument jest jednym z najobszerniejszych w swojej klasie, jakie są dostępne na rynku - ma 120 stron. Ale też jest to bardziej książka i przewodnik niż sucha norma, można się z tego dokumentu sporo nauczyć. U dołu tego wpisu podaję spis treści, gdyż na tym etapie obawiam się, że restrykcje związane z prawami autorskimi i regulacjami ISO nie pozwalają na więcej. 

Pokrzepiające jest to, że już w takiej formie (która pewnie będzie jeszcze ewoluować) jest to dokument satysfakcjonujący i rzetelnie przygotowany. Składa się z części głównej, ogólnej i kilkunastu technicznych załączników poświęconych konkretnym aspektom dyscypliny zarządzania ryzykiem. Oprócz "oklepanych" już narzędzi jak HAZOP lub FMEA wspomina się tam równiez o metodzie BowTie. Miałem oczywiście kilkanaście uwag, ale najistotniejsza z nich dotyczy braku konkretnej, jednoznacznej propozycji jak pogodzić rózne definicje ryzyka jakimi posługuje się np. bezpieczeństwo informacji, BHP i zarządzanie ryzykiem korporacyjnym.

ISO 31004

Ostatni aneks (K) adresowany jest do regulatorów - przydałoby się, aby twórcy regulacji dotyczących kontroli zarządczej i zarządzania ryzykiem w sektorze finansów publicznych pochylili się nad ISO 31004 ...

Jeszcze przez 5 dni (do 6 sierpnia) można komentować projekt, a swoje uwagi przesyłać bezpośrednio do Julii Graham, wiceprezydenta FERMA i członka Risk Management Steering Group w AIRMIC ./julia.graham@dlapiper.com/

Wasz w ryzyku,
R

Contents

0.1 Purpose of this International Standard 
0.2 Underlying concepts 
0.3 Audiences 
1 Scope 
2 Normative references
3 Implementing ISO 31000
3.1 General 
3.2 Detailed advice on aspects of ISO 31000
3.3 How to change to ISO 31000
3.4 Transition process
3.4.1 General 
3.4.2 Step 1: Establish clear intent for the change
3.4.3 Step 2: Appreciate the characteristics of the organization to be taken into account in making changes to its existing risk management framework
3.4.4 Step 3: Evaluate existing approaches for managing risk 
3.4.5 Step 4: Develop or amend internal standards
3.4.6 Step 5: Prepare the plan 
3.4.7 Step 6: Implement the plan
3.4.8 Step 7: Periodic review of progress, suitability and effectiveness
3.5 Continual Improvement4 Relationship between this International Standard and ISO 31000:2009

Annex A (informative) How to give effect to the principles
A.1 General 
A.2 The principles 
A.2.1 (a) Risk management creates and protects value
A.2.2 (b) Risk management is an integral part of all organizational processes
A.2.3 (c) Risk management is part of decision making
A.2.4 (d) Risk management explicitly addresses uncertainty
A.2.5 (e) Risk management is systematic, structured and timely
A.2.6 (f) Risk management is based on the best available information
A.2.7 (g) Risk management is tailored
A.2.8 (h) Risk management takes human and cultural factors into account
A.2.9 (i) Risk management is transparent and inclusive
A.2.10 (j) Risk management is dynamic, iterative and responsive to change
A.2.11 (k) Risk management facilitates continual improvement of the organization

Annex B (informative) How to express mandate and commitment (including defining risk management policy)
B.1 General 
B.2 Methods for expressing mandate and commitment
B.2.1 Required characteristics
B.2.2 Useful methods
B.2.3 Framework considerations
B.3 Tips and Examples
B.3.1 Example of risk management policy announcement — small organization
B.3.2 Example of policy statement — large organization — set by directors
B.3.3 Example of policy statement — large organization — set by the CEO
B.3.4 Example of policy for managing risk – Government department – set by chief executive
B.3.5 Tips

Annex C (informative) How to ensure that the framework remains current
C.1 General
C.2 Methods
C.2.1 Assess implementation
C.2.2 Assess if the characteristics and context of the organization have changed
C.2.3 Monitoring of implementation
C.2.4 Monitoring against performance indicators
C.2.5 Acting to improve the framework
C.3 Examples of how internal or external changes can require adjustment of the framework

Annex D (informative) How to establish the context (including defining risk criteria)
D.1 General
D.2 Methods for establishing the context 
D.2.1 How to articulate objectives 
D.2.2 How to articulate the external and internal environment 
D.2.3 How to identify stakeholders and their objectives
D.2.4 Articulating the context of the risk management process 
D.2.5 Defining risk criteria 
D.2.6 The statement of context
D.3 Illustrative examples

Annex E (informative) How to make risk assessment effective
E.1 Risk assessment
E.1.1 General
E.1.2 Method 
E.1.3 Implementation considerations
E.2 Risk identification 
E.2.1 General
E.2.2 Method 
E.2.3 Implementation considerations
E.3 Risk analysis 
E.3.1 General
E.3.2 Method 
E.3.3 Implementation considerations
E.4 Control effectiveness
E.5 Consequence analysis
E.6 Likelihood analysis
E.7 Risk evaluation
E.7.1 General
E.7.2 Method
E.7.3 Implementation considerations

Annex F (informative) How to consider uncertainties around risk treatments and controls
F.1 General
F.2 Methods for considering uncertainty
F.2.1 Recognising how uncertainty arises 
F.2.2 Taking uncertainty into account 
F.3 Framework considerations 
F.4 Tools to assist consideration of uncertainty

Annex G (informative) How to monitor and review the risk management framework and process
G.1 General
G.2 Method
G.2.1 Monitoring and reviewing the framework 
G.2.2 Monitoring and reviewing the process
G.3 Framework considerations
G.3.1 General
G.3.2 Independent audit
G.4 Process considerations

Annex H (informative) Effectively communicating and consulting with stakeholders
H.1 General
H.2 Method
H.3 Framework and implementation considerations
H.4 Examples and applications

Annex I (informative) How to use ISO 31000:2009, Annex A, to maintain and improve risk management effectiveness
I.1 General 
I.2 Methods for using Annex A to maintain and improve performance 
I.2.1 General 
I.2.2 Outcome tests
I.2.3 Attributes tests 
I.3 Framework considerations

Annex J (informative) How to harmonize risk management processes in other standards with ISO 31000:2009 
J.1 Background
J.1.1 General 
J.1.2 Benefits of harmonization
J.1.3 Types of standards that include risk management processes
J.2 Method for achieving the harmonization role of ISO 31000
J.2.1 General
J.2.2 Specific challenges
J.2.3 Guidance 
J.3 Framework considerations
J.4 Particular tools 
J.4.1 Useful “filtering” tools

Annex K (informative) How to apply ISO 31000 to legislating and to regulatory activity
K.1 General 
K.1.1 Purpose 
K.1.2 Expected benefits
K.2 Method 
K.2.1 Giving effect to ISO 31000 principles 
K.2.2 Enhancing the risk management framework
K.2.3 Applying the risk management process
K.2.3.1 General guidance on aspects of applying the risk management process 
K.3 Implications for framework 
K.4 Other information 
K.4.1 Advisory organizations 
K.4.2 Proportionality 

Annex L (informative) Frequently asked questions

00:39, rudnicki.com.pl , Polemika
Link Komentarze (1) »
sobota, 28 lipca 2012
Przepraszam za szczury

Właśnie zauważyłem w nagłówku MOJEGO bloga CZYJEŚ reklamy. To tak, jakby do domu weszły mi szczury. Wypada mi jedynie przeprosić wszystkich gości tego bloga, czytelników, za tę nieprzyjemność i obiecać, że postaram się je wytępić. Już w tej sprawie zresztą wystosowałem list do redakcji tego portalu, która jakby nie było powinna mieć nad nim kontrolę.

Mam dośc radykalny stosunek do reklam - lubię czasem, sporadycznie obejrzeć reklamy ładnych samochodów lub scenki w reklamach Plusa, ale to wyjątki. Osobiście, uważam, że reklamy pojawiające się w radio, telewizji i internecie powinny być ustawowo zabrononione, ponieważ stanowią pogwałcenie podstawowej wolności obywatelskiej. Nie tylko dlatego, że ktoś próbuje mnie zmanipulować, spowodować że kupię produkt nie taki jakiego potrzebuję tylko produkt najbardziej sprytnego i zachłannego producenta, który w ten sposób okrada mnie z moich pieniędzy.

Ale przede wszystkim dlatego, że muszę na nie patrzeć i ich słuchać mimo, że tego nie chcę. To trochę tak, jakbym przyszedł do restauracji, zamówił pstrąga z grila i będąc w połowie konsumpcji został fizycznie zmuszony, żeby zjeść porcję kaszanki, której być może nienawidzę, zanim mogę powrócić do konsumpcji pstrąga. Podobnie - podczas konsumpcji deseru muszę przerwać i zjeść znienawidzone grzybki w occie.

Przy okazji - serdecznie polecam wszystkim blok reklamowy z "Dnia świra".

Uważam, że reklamodawcy powinni płacić nam, widzom i słuchaczom za oglądanie ich reklam i powinniśmy je ogladać tylko jeśli tego sobie wyraźnie zażyczymy.


Wasz w ryzyku,

R


Szanowna redakcji tego portalu,

Podczas czterech lat trwania tego portalu miałem 53 tysiące gości, co przekłada się na 36 gości dziennie. Jeśli każdy z nich musiałby oglądać niechciane reklamy, czułbym się lepiej gdyby otrzymał z tego tytułu rekompensatę w wysokości powiedzmy 50 słotych. Jeśli gazeta.pl jest skłonna ponieść z tego tytułu miesięczny koszt około 54 tys PLN i rozdystrybuować taką kwotę pomiędzy odwiedzających ten blog, byłoby to rozwiązanie fair. W innym razie to poprostu chamstwo, którego nienawidzę i z którym będę musiał cos zrobić.

Rafał Rudnicki

-------------------------------

30.07.2012

Sytuacja się wyjaśniła:

"Witam,

uprzejmie informuję, iż reklamy na blogu mogą być wyświetlane po 30 dniach 
nieaktywności (brak nowych wpisów). Po opublikowaniu nowego wpisu reklamy
przestają być wyświetlane.

Pozdrawiam, Łukasz S.
Specjalista ds. Obsługi Klienta" 

Czyli jeśli lokator - na przykład taki Rudnicki, przez 30 dni nie pojawia się w wynajmowanym
lokalu (niniejszy portal), to właściciel lokalu (gazeta.pl) może go lekko poszczuć szczurami,
spowodować, żeby zainteresował się lokalem i go odświeżył ...

Bardzo pomysłowe i przyznam się, że na mnie działa jak prąd elektryczny.
 

13:25, rudnicki.com.pl , Polemika
Link Komentarze (2) »
środa, 30 maja 2012
Czy audyt wewnętrzny pożre zarządzanie ryzykiem ?

Dzisiaj wróciłem z jubileuszowej konferencji IIA obchodzącego 10-cio lecie. Czego szukałem wśród audytorów ? Otóż rynek polski różni się od brytyjskiego tym, że w Anglii zarządzanie ryzykiem wyrosło z ubezpieczeń, a w Polsce wygląda na to, że najsilniejszym środowiskiem w przedsiębiorstwach, orędującym na rzecz zarządzania ryzykiem - są właśnie działy audytu wewnętrznego, które jako jedyne mają przynajmniej pojęcie na temat ERM oraz czują, że potrzebują zarządzania ryzykiem aby sprawnie funkcjonować. Dlatego bądźmy im wdzięczni, menedżerowie ryzyka ...

Pozazdrościć można rozmachu, wodotrysków, ilości członków i wartości merytorycznej konferencji. Jednak mimo, że organizacja jest doświadczona, ciągle jest przesiąknięta duchem spontaniczności, który czasem powoduje, że outsider może czuć się zagubiony - np. brak harmonogramu wykładów, początkowo nieoznakowane sale wykładowe, dość swobodne przesunięcia czasowe paneli i półanonimowy charakter uczestnictwa, do którego nie potrafiłem się przyzwyczaić (delegaci otrzymali jedynie plakietki z nazwiskiem ale już bez nazwy swojej firmy bądź instytucji).

Zostałem zaproszony do udziału w jednym z paneli dyskusyjnych, który okazał się dość ciekawy i bardzo znamienny dla nas, risk managerów. Podczas panelu miałem przyjemność nie zgodzić się z Konradem Krajewskim, Dyrektorem Biura Audytu i Zarządzania Ryzykiem Korporacyjnym PKN Orlen. Okazuje się, że dział audytu wewnętrznego w Orlen "wchłonął" funkcję zarządzania ryzykiem i zrobił to z przekonaniem, że czyniąc to jest w awangardzie najnowszych dobrych praktyk. Ja z kolei przedstawiłem pogląd, że jest to krok wstecz, oraz że zarządzanie ryzykiem jest formułą, zbiorem reguł służących podejmowaniu decyzji biznesowych w przedsiębiorstwie podczas gdy audyt wewnętrzny powinien trzymać swoje ręce jak najdalej od podejmowania decyzji.

rozdzial ZR i IA

Trochę rozszerzę ten wątek ponad to, co powiedziałem podczas panelu. Ryzykiem zasadniczo nie zarządza menedżer ryzyka (który sprawuje funkcję koordynatora) lecz management liniowy, operacyjny, o czym juz pisałem. W tym sensie zgadzadzałem się z Panią Dorotą z TVN (niestety nie przytoczę nazwiska, gdyż prowadzący panel nie przedstawił żadnego z panelistów, stad rozmawialiśmy ze sobą trochę incognito). Skoro struktura ramowa i jej uczestnicy mają podejmować ryzyko, podejmować decyzje na temat ryzyka to struktura ta musi od samego dołu do góry składać się z funkcji wykonawczych (kierownicy, dyrektorzy, ew komitet ds ryzyk a na końcu zarząd). Przeciwwagę stanowi cała infrastruktura audytu wewnętrznego, począwszy od komórki audytu wewnętrznego aż po komitet ds audytu (będący organem, funkcją rady nadzorczej). Ilustruje to powyższy diagram.

Pan Konrad następnie nieco złagodził wymowę swojej wypowiedzi i powołując się na wszystkim dobrze znany "wachlarz" promowany przez IIA Global, uściślił, że audyt wewnętrzny przejął w Orlen jedynie jego środkową część, która warunkowo może być koordynowana przez audyt wewnętrzny.

wachlarz IA ZR

Proszę zwrócić uwagę, że środkowa część wachlarza mówi o typowych funkcjach risk managera, w tym o stworzeniu Strategii ZR. O co jeśli strategia okaże się wpadką ? Czy audyt wewnętrzny sam się po roku krytycznie oceni i zaproponuje zwolnienie autorów strategii ZR ? A jak ma powstać strategia bez zarysowania procesu ZR i wyznaczenia apetytu na ryzyko (a to już prawa część wachlarza, teoretycznie niedozwolona dla audytorów) ?

Na panelu byłem gotowy przyjąć kompromis, który zresztą zakomunikowałem, że w organizacjach dojrzałych, gdzie nie ma problemu projektowania systemu ZR, wyznaczania i decydowania na temat jego elementów, audyt wewnętrzny od biedy może przejąć funkcje "facilitatora" jak to był uprzejmy nazwać Pan Konrad. Jednak w organizacjach młodych w aspekcie ZR, to moim zdaniem dla działu audytu wewnętrznego strzał we własne kolano. A miałem już możliwośc oglądać takie rany postrzałowe - wyglądają niedobrze i bolą paskudnie.

Wasz w ryzyku,

R

23:24, rudnicki.com.pl , Polemika
Link Komentarze (5) »
Creative Commons License
Rudnicki

View Rafał Rudnicki's profile on LinkedIn