Zarządzanie ryzykiem jest tematem, który wielu z nas spędza sen z powiek. Nęka nas pytanie: jak to robić? Co ma być wynikiem tej pracy? Jak zarządzać ryzykiem, aby audytor to zaakceptował?
Wbrew pozorom odpowiedzi na te pytania są stosunkowo proste i nie wymagają od nas dużego wysiłku intelektualnego. Zanim jednak na nie odpowiem, napiszę Wam jak tego nie robić.
Jak nie zarządzać ryzykiem!
Jako audytor i doradca odwiedziłem wiele urzędów publicznych, w których między innymi badałem element zarządzania ryzykiem. W wielu z nich (na szczęście nie we wszystkich) zaprezentowano mi opasłe segregatory, w który była zawarta analiza ryzyka. Na wielu stronicach przedstawiono wszelkie zagrożenia mogące zaistnieć w urzędzie lub jego okolicy, najczęściej błahe i wynikające z pracy nad dokumentami. Na tych samych stronach znajdowały się również opisy skutków tych zagrożeń. W tym miejscu zaczynał się koncert pobożnych życzeń, gdyż wynikało z nich, że skutki będą mizerne lub żadne. Opierając się o taki opis, wartościowano ryzyka wraz z następstwami i zawsze wychodziło, że nie ma zagrożeń.
Przykład 1:
Urząd w Polsce południowej, położony w dużym ośrodku turystycznym.
Budynek urzędu położony w centrum miejscowości, wykonany z drewna.
Budynek jest leciwy i bardzo, bardzo suchy.
System korytarzy, klatek schodowych i pomieszczeń tworzy misterny labirynt.
W budynku nie przeprowadzano próbnych ewakuacji.
Nie ma w nim odpowiedniej ilości sprzętu gaśniczego.
W analizie ryzyka czytamy:
zagrożenie: możliwość zaprószenia ognia
przyczyna (podatność): nieprzestrzeganie przez pracowników przepisów ppoż.
skutki: ugaszenie ognia w zarzewiu (w obrębie jednego pomieszczenia)
wartość ryzyka oszacowana metodą 3S = 1 (minimalne)
działania mające na celu zmniejszenie ryzyka: brak konieczności podejmowania
Przykład 2:
Urząd w Polsce centralnej położony w dużym mieście.
Urząd odpowiada za gospodarkę wodną w regionie.
Budynek urzędu położony nad lokalną rzeką średniej wielkości, która przebiega przez centrum tegoż miasta.
Na tej rzece, w jej górnym biegu, stoi tama, która lata swojej świetność ma już za sobą, a jej stan techniczny pozostawia wiele do życzenia (możliwe przerwanie).
Za tamę odpowiada odpowiednik Urzędu z sąsiedniego regionu.
Przerwanie tamy spowoduje gwałtowną falę powodziową na rzece, o wysokości 3-4 metrów, która przejdzie przez centrum tegoż miasta (w strefie bezpośredniego zagrożenia jest kilka tysięcy osób)
Wysokość wałów na rzece to 1 do 2 metrów.
W analizie ryzyka czytamy:
zagrożenie: możliwość przerwania tamy i powstania fali wezbraniowej (bez podania wysokości).
przyczyna (podatność): zamach terrorystyczny
skutki: ewakuacja personelu urzędu do wyznaczonego miejsca zbiórki, osuszenie budynku po powodzi (ani słowa o zagrożeniach dla mieszkańców miasta)
wartość ryzyka oszacowana metodą 3S = 9 (maksymalne)
działania mające na celu zmniejszenie ryzyka: ćwiczenie ewakuacji personelu do miejsca zbiórki raz w roku
W analizie ryzyka ani słowem nie wspomniano o mieszkańcach regionu zagrożonego falą powodziową regionu, za który odpowiada Urząd!
W rozmowie prywatnej urzędnicy przyznali się do napisania pisma (jeden list) do włodarza miasta że jest możliwość powodzi w wyniku przerwania tamy i tyle.
Zatem jak zarządzać ryzykiem?
Po pierwsze musimy pamiętać o tym, aby patrzeć na swoją organizację w ujęciu globalnym, całościowym:
Krok 1: Rozpoznanie
Co wiemy o nas?
- przychód roczny = 10 mln zł
- składka roczna na ubezpieczenie firmy od strat szkód majątkowych = 10 tys. zł
- brak polisy od strat finansowych i rynkowych
- zatrudniamy 100 osób
- pracujemy na dwie zmiany
- zajmujemy się produkcją zabudów do pojazdów specjalnych (cywilnych)
- posiadamy magazyn kształtowników i blach
- posiadamy butle acetylenowe do spawania
- na nasz teren wjeżdżają samochody ciężarowe z dostawami
- wykonujemy projekty wg własnych pomysłów
Co wiemy o naszym otoczeniu?
- naszą firma znajduje się na obrzeżu miasteczka (15 tys. mieszkańców)
- w sąsiedztwie znajduje się stacja benzynowa (przylega do nas)
- otacza nas las
- koło nas przepływa rzeczka i przebiega trasa szybkiego ruchu
- niedaleko nas znajdują się zakłady posiadające duży zbiornik chloru
Po drugie, w zarządzaniu ryzykiem przyjmujemy wszystkie możliwości!
W trakcie szacowania wartości i prawdopodobieństwa wystąpienia zagrożeń odpadną te, które są mało prawdopodobne (tak, możemy założyć że uderzy w nas meteoryt)
“Czy warto przejmować się tym, że przyczyną naszej śmierci może być asteroida? Jak podaje amerykańskie National Safety Council, organizacja non-profit zajmująca się ochroną życia i zdrowia, szansa na to jest jak 1 do prawie 75 mln – zródło: https://tvnmeteo.tvn24.pl/informacje-pogoda/ciekawostki,49/smierc-z-kosmosu-latwiej-wygrac-w-totka,76884,1,0.html)
Krok 2: Co może pójść nie tak?
Nazwa fachowa: identyfikacja zagrożeń dla aktywów organizacji.
W praktyce musimy określić co może zagrozić naszej pracy, naszej firmie czy nam samym. Musimy odpowiedzieć sobie na proste pytanie: Co może pójść nie tak? Dobrze jest od razu opisać skutki
Przykład: zagrożenia wynikające z otoczenia (na jednym drastycznym przykładzie)
Obok naszej firmy znajduje się stacja benzynowa. Na stacji może dojść do małego pożaru (pali się budynek i rozlane paliwo z dystrybutorów) oraz do dużego pożaru palą się i eksplodują zbiorniki z benzyną, następnie płoną zbiorniki z olejem napędowym i eksploduje zbiornik z gazem (mała szansa, jednak możliwe). Zagrożenia:
- mały pożar stacji benzynowej (pali się budynek i rozlane paliwo z dystrybutorów) – skutki wystąpienia to nadpalone ogrodzenie naszej firmy
- duży pożar stacji benzynowej (palą się i eksplodują zbiorniki z benzyną, następnie płoną zbiorniki z olejem napędowym i eksploduje zbiornik z gazem) – skutkiem wystąpienia jest konieczność ewakuacji całego personelu, pojazdów, spali się cała firma. Jeżeli nie uda się ewakuować na czas ludzi, to zginą w pożarze.
Krok 3: Co stracimy?
Nazwa fachowa: określenie skutków zagrożenia.
Oceniamy, co stracimy, gdy wystąpi zagrożenie oraz określamy straty. Tu zawsze może pojawić się kilka scenariuszy, lecz najrozsądniej jest wybrać ten pesymistyczny (skrajnie pesymistyczny). Wtedy będziemy w stanie przygotować się na wszystkie pozostałe.
Skutki mamy opisane wyżej, więc je przepiszę, pozostanie nam dodanie wartości strat:
- mały pożar stacji benzynowej – skutki wystąpienia to napalone ogrodzenie naszej firmy – straty:
- przestój 1 zmiany = (przychód roczny/(365*2)), tj:
- 10 mln zł/(365*2)=13 698,63 zł
- naprawa ogrodzenia z odszkodowania pokrywającego 100% strat, tj:
- 0 zł
- wzrost składki na ubezpieczenie ze względu na szkodę o 10%, tj:
- 1000 zł
- łączna strata = 14 698, 63 zł
- przestój 1 zmiany = (przychód roczny/(365*2)), tj:
- duży pożar stacji benzynowej – skutkiem wystąpienia jest konieczność ewakuacji całego personelu, pojazdów, spali się cała firma, jeżeli nie uda się ewakuować na czas ludzi, to zginą w pożarze (5% załogi) – straty:
- zniszczony zakład – przestój firmy na okres 1 roku = przychód roczny + kary wynikające z umów z klientami + utrata rynku (przychód roczny), tj:
- 10 mln zł + 2,5 mln zł + 10 mln zł = 22,5 mln zł
- śmierć 5 pracowników = koszt rekrutacji nowych pracowników (5% przychodów) + utrata reputacji bezpiecznego miejsca pracy (wzrost kosztów pracy o 5% ze względu na presję pracowników) + utrata wiedzy (know how) jeżeli byli to np. główni konstruktorzy (30% przychodu rocznego), tj:
- 0,5 mln zł + 0,5 mln zł + 0,5 mln zł + 3 mln zł = 4,5 mln zł
- łączna strata = 27 mln zł
- zniszczony zakład – przestój firmy na okres 1 roku = przychód roczny + kary wynikające z umów z klientami + utrata rynku (przychód roczny), tj:
W stratach nie wykazałem samej odbudowy zakładu, gdyż to pokrywa ubezpieczenie.
Zaczyna być strasznie!
Krok 4: Czy to możliwe?
Nazwa fachowa: oszacowanie wartości ryzyka
Za pomocą metodyki gwarantującej odtwarzalność wyników, obliczamy wartość ryzyka. Jeżeli wartość będzie powyżej przyjętej granicy, przyjmujemy, że musimy się przygotować na to zdarzenie. Możemy posłużyć się Metodyką IKMJ gdzie wykorzystujemy do tego trzy parametry:
Skutki, oraz ich ciężkość (S) gdzie:
- wiele ofiar śmiertelnych lub straty powyżej 10 mln zł to S = 100 pkt.
- kilka ofiar śmiertelnych lub straty z przedziału 1-10 mln zł to S = 40 pkt
- …
- brak ofiar lub straty do 1 tys. zł = S=0,1
Ekspozycja na zagrożenie (E), gdzie:
- ekspozycja stała = 10 pkt
- ekspozycja do 8 godzin dziennie = 6 pkt.
- itd.
Prawdopodobieństwo zaistnienia zdarzenia w czasie (P)
- wystąpi w ciągu tygodnia = 10 pkt
- wystąpi w ciągu miesiąca = 6 pkt
- …
- wystąpi w ciągu 10 lat = 0,2 pkt
- wystąpi w ciągu 100 lat = 0,1 pkt
Prawdopodobieństwo zdarzenia obliczamy na podstawie zdarzeń historycznych z naszej okolicy (miast, gmina, powiat, województwo, kraj).
- mały pożar występuje w kraju kilka razy w roku
- duży pożar występuje w kraju raz na 10 lat
Parametry te służą do obliczenia wskaźnika ryzyka [R] ze wzoru: R = P·E·S
Obliczamy:
- mały pożar stacji benzynowej to: 0,1(S)*10(E)*0,2(P)=0,2(R)
- duży pożar to: 100(S)*10(E)*0,2(P)=200(R)
Teraz zerkamy do metodyki i patrzymy, czy musimy się zająć tematem:
- Ryzyko zaniedbywalne poniżej 1,5 pkt. – nie ma potrzeby podejmowania jakichkolwiek działań. Nie jest też konieczne monitorowanie ryzyka.
- Ryzyko akceptowalne od 1,5-20 pkt. – działania profilaktyczne nie są konieczne, wskazana jest obserwacja wskaźnika.
- Ryzyko małe od 20-70 pkt. – konieczna jest kontrola wskaźnika umożliwiająca podjęcie działań w momencie jego wzrostu.
- Ryzyko średnie od 70-200 pkt – konieczne jest podjęcie działań naprawczych.
- Ryzyko poważne od 200-400 pkt. – konieczne jest natychmiastowe podjęcie działań naprawczych
- Ryzyko nieakceptowalne powyżej 400 pkt. – aż do momentu podjęcia skutecznych działań naprawczych, praca nie może być podjęta ani kontynuowana
Z tego wynika że:
- mały pożar stacji benzynowej R=0,2 to ryzyko zaniedbywalne – nic nie musimy robić
- duży pożar stacji benzynowej R=200 to ryzyko poważne – konieczne jest natychmiastowe podjęcie działań naprawczych (musimy się przygotować)
Autor: Mariusz Mazur(3833)
Masz pytania związane z Systemem Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.