Uzyskaj dostęp do tej i ponad 250000 książek od 14,99 zł miesięcznie
Książka została napisana przez praktyka i wiodącego specjalistę z zakresu zarządzania zapewnianiem ciągłości działania organizacji. Autor przedstawia wpierw od strony podstaw teoretycznych, a następnie w formie poradnikowej, jak zapewniać ciągłość działania organizacji, jak projektować rozwiązania zapobiegawcze wobec zidentyfikowanych i przeanalizowanych zagrożeń oraz jak przygotowywać rozwiązania przemyślanego reagowania na możliwe zakłócenia. W szczególności ostatni rozdział książki przedstawia rekomendowany proces projektowania takich rozwiązań.
Szczególną konsekwencją współczesnego narastania konkurencji gospodarczej jest poszukiwanie i wdrażanie coraz bardziej wyrafinowanych rozwiązań organizacji pracy, wytwarzania oraz świadczenia usług. To naraża organizacje stosujące takie rozwiązania na specyficzny rodzaj ryzyka, bezpośrednio związanego z działaniem organizatorskim oraz dyspozycyjnością zasobów wewnętrznych. Ryzyko to nazywane jest operacyjnym.
Jego znaczenie i wpływ na skuteczność działania organizacji będą z czasem rosnąć. Zarządzanie bezpieczeństwem organizacji jest w praktyce codziennego działania świadomym zarządzaniem takim ryzykiem, tj. zapewnianiem właściwej sprawności działania przez uwzględnianie potencjalnych zagrożeń wynikających z tego ryzyka.
Zarządzanie takie opiera się na wprowadzaniu mechanizmów zapobiegania - prewencyjnego (ex-ante) oraz naprawczego (ex-post) - powstawaniu zakłóceń, czyli materializowaniu się tego ryzyka. Rozwiązania zapewniania bezpieczeństwa stanowią prewencję w stosunku do możliwych czynników ryzyka. Jeśli te rozwiązania okazują się nieskuteczne należy dysponować możliwością uruchomienia przygotowanych zawczasu rozwiązań utrzymania ciągłości działania. Projektowanie rozwiązań ciągłości działania jest więc ściśle powiązane z analizą ryzyka i projektowaniem rozwiązań bezpieczeństwa.
Ebooka przeczytasz w aplikacjach Legimi na:
Liczba stron: 244
Odsłuch ebooka (TTS) dostepny w abonamencie „ebooki+audiobooki bez limitu” w aplikacjach Legimi na:
Spis treści
Spis treści
Wstęp
1. Wprowadzenie do problematyki
2. Ryzyko
2.1. Ryzyko i niepewność
2.2. Rodzaje i klasyfikacje ryzyka
2.3. Koncepcja kompleksowej klasyfikacji ryzyka
2.4. Pomiar ryzyka
2.5. Zarządzanie ryzykiem
2.6. Ocena dojrzałości zarządzania ryzykiem
3. Ryzyko operacyjne i jego klasyfikacje
3.1. Triada problemowa „Ryzyko – Bezpieczeństwo – Ciągłość działania”
3.2. Dotychczasowe ujęcia ryzyka operacyjnego
3.3. Propozycja ujęcia wg teorii organizacji
4. Proces zarządzania ryzykiem operacyjnym
4.1. Organizacja zarządzania ryzykiem operacyjnym
4.2. Identyfikacja, analiza i ocena ryzyka operacyjnego
4.3. Wpływanie na ryzyko operacyjne i monitorowanie go
5. Zapewnianie bezpieczeństwa w zarządzaniu ryzykiem operacyjnym
5.1. Bezpieczeństwo w ujęciu zasobowym
5.2. Ciągłość działania jako zabezpieczenie
5.3. Ocena dojrzałości zarządzania zapewnianiem bezpieczeństwa
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym
6.1. Modelowe zapewnianie ciągłości działania
6.2. Organizacja zapewniania ciągłości działania
6.3. Tok postępowania analitycznego i projektowego
Analiza procesów w organizacji
Analiza zagrożeń wobec organizacji
Analiza podatności organizacji na zakłócenia
Opracowanie mapy zakłóceń
Opracowanie regulaminów, procedur, instrukcji
Realizacja podejścia zapobiegania zakłóceniom
Realizacja podejścia planowania zapewniania ciągłości działania
Realizacja podejścia monitorowania zakłóceń
Realizacja podejścia tolerowania zakłóceń
Wdrażanie przyjętego postępowania z zakłóceniami
Testowanie planów zapewniania ciągłości działania
Ciągłe doskonalenie
6.4. Ocena dojrzałości zarządzania zapewnianiem ciągłości działania
Podsumowanie
Wnioski
Zagadnienia do dalszych badań
Załącznik – Raport z badań
Ramy metodologiczne
Metody badawcze
Metoda Action-research (badanie w trakcie działania)
Metoda case study (czyli metoda studium przypadku)
Opis badań
Etap 1. Analiza przedwdrożeniowa
Etap 2. Wykonanie
Etap 3. Szkolenia i testy
Badanie towarzystw emerytalnych
Badanie zakładów ubezpieczeń
Model zapewniania ciągłości działania jako wynik badań oraz jego aplikacyjność
Bibliografia
Wstęp
Nietrwałość oraz zawodność wszelkich wytworów ludzkich jest wpisana w praktykę inżynierską, gospodarczą, a także w życie codzienne każdego człowieka. Właściwie nie spodziewamy się, żeby cokolwiek miało nam służyć „wiecznie”, ale irytujemy się, jeśli coś nieoczekiwanie zawodzi. Dlatego podnoszenie stopnia niezawodności jest dla dostarczyciela produktu lub usługi wyzwaniem podejmowanym na gruncie szeroko rozumianej – naukowo i użytkowo – profesjonalnej działalności organizatorskiej.
Problem zapewniania niezawodnego działania urządzeń oraz układów technicznych jest znany od zarania dziejów techniki, a co najmniej od czasów XIX-wiecznej rewolucji technicznej. Do dziś nauka wypracowała teorię niezawodności, ulokowaną na styku nauk technicznych i matematycznych [Pihowicz, 2008]. Kwestia awarii technicznych, ich przyczyn i skutków, czyli zakłóceń nimi powodowanych, jest wpisana w praktykę zachowań inżynierskich, a bogate doświadczenia zarówno weryfikują ustalenia naukowe, jak i kształtują profesjonalną dobrą praktykę co do projektowania urządzeń i układów o założonej niezawodności oraz do tworzenia rozwiązań organizacyjnych uwzględniających przewidywaną zawodność zastosowanych urządzeń.
Równocześnie widoczny jest brak analogicznie zaawansowanej teorii w odniesieniu do sprawności działania podmiotów o charakterze biznesowym i administracyjnym. Sprawność ich jest naruszana w wyniku oddziaływania czynników ryzyka operacyjnego (w dużym stopniu organizacyjnego), tj. zagrożeń, na które podatna jest organizacja głównie w związku z niedoskonałością przygotowania procesów wewnętrznych, niedostatkiem umiejętności kadry pracowników lub złym gospodarowaniem zasobami [Jajuga, 2007]. Na przestrzeni ostatnich kilkunastu lat zagadnienie to zostało włączone do katalogu rodzajów ryzyka, jakie w praktyce gospodarczej usiłuje się identyfikować i mierzyć, a także tworzyć stosowne przed nimi zabezpieczenia techniczne, organizacyjne, a w ostateczności odpowiednio oszacowane rezerwy finansowe [Tarczyński, Mojsiewicz, 2001].
Niniejsza praca jest podsumowaniem dorobku autora i prowadzonych przez niego badań dotyczących triady zagadnień „Ryzyko operacyjne – Bezpieczeństwo operacyjne organizacji – Ciągłość działania organizacji”, a przedstawianych na bieżąco we wcześniejszych publikacjach, z których najważniejsze (w układzie logicznym treści) przedstawiono poniżej.
1. W zakresie zagadnienia „ryzyko operacyjne”:
2. W zakresie zagadnienia „bezpieczeństwo operacyjne”:
3. W zakresie zagadnienia „ciągłość działania”:
Rozprawa jest uwieńczeniem wieloletnich prac autora nad zagadnieniem systematycznie doskonalonego zapewniania ciągłości działania organizacji w ramach zarządzania ryzykiem operacyjnym. Problematyka ta jest ściśle związana z innymi kwestiami z zakresu nauki o zarządzaniu. Widać to, gdy wyróżnione sformułowanie podda się analizie pojęciowej.
Ciągłość to pozytywna cecha aktywnego postępowania bliska znaczeniowo takim pojęciom, jak: konsekwencja, trwałość, odporność, czy tradycja [Zawiła-Niedźwiecki, 2010b]. Inaczej „konsekwencja rozumiana jako celowe następstwo kolejnych czynności zmierzających do stałego celu i złożonych w ten sposób, że nie tylko sobie nie przeszkadzają, lecz pewne wcześniejsze służą jako przygotowanie do pewnych późniejszych” [Pszczołowski, 1978, za Kotarbiński, 1973]. Działanie jednoznacznie kojarzy się z aktywnością [Krzyżanowski, 1994, s. 107].Ciągłość działania to ocena aktywności postrzeganej jako konsekwentna i odporna na przeszkody [Davidson, 2010]. Inaczej – „postępowanie organizatorskie tworzące zdolność organizacji do skutecznego reagowania w sytuacji zaistnienia zakłócenia” [Staniec, Zawiła-Niedźwiecki, 2008, s. 261].Organizacja, w tym ujęciu, jest utożsamiana z podmiotem będącym systemem działania, tworzonym w społeczeństwie w celach gospodarczych, administracyjnych, non-profit itd. [Krzyżanowski, 1994].Systematyczne doskonalenie to sztandarowy postulat zarządzania przez jakość, a ciągłość działania, jako postulat sprawnego działania, wpisuje się na listę szczegółowych postulatów jakościowych funkcjonowania organizacji [Dahlgaard, Kristensen, Kanji, 2004; Szczepańska, 2011; Zapłata, 2003], w dodatku zarówno na poziomie zarządzania strategicznego, jak i operatywnego. Na obu poziomach doskonalenie jest jednym z kryteriów realizacji celu, blisko związanym z innymi, takimi jak skuteczność, sprawność czy efektywność [Siwek, Onyszczuk, Bagiński, 2006]. Systematyczne doskonalenie to także podstawowa zasada organizacji uczącej się i zarządzania wiedzą [Probst, Raub, Romhardt, 2002; Perechuda, 2005; Tabaszewska, 2012]. Oznacza umiejętność analizowania i oceniania zjawisk pochodzących z bieżącej praktyki organizacji oraz wyciągania z nich wniosków na przyszłość.Zapewnianie to synonim całego szeregu określeń stanowiących o pewnym typie działania (dostarczanie, opracowywanie, przygotowywanie, manipulowanie, wpływanie) [Krzyżanowski, 1994], w tym ujęciu de facto organizatorskiego.Zarządzanie to adekwatne do okoliczności sterowanie realizacją określonego celu organizacji oparte na różnych pozostających w dyspozycji zasobach [Krzyżanowski, 1994].Zapewnianie ciągłości działania odnosi się do zarządzania ryzykiem operacyjnym. Jest rodzajem wpływania na poziom tego ryzyka, choć nie bezpośrednio, nie polega bowiem na podejmowaniu starań o zmiany w zakresie przyczyn ryzyka i mechanizmu jego spełniania się, a jedynie starań o zwiększanie odporności na jego przejawy. Istotną tego cezurą jest więc moment, w którym rozwiązania zapewniania ciągłości gwarantują organizacji wpływ na przejawy ryzyka, a ma to miejsce już po wystąpieniu zdarzenia krytycznego będącego konsekwencją ryzyka [Staniec, Zawiła-Niedźwiecki, 2008]. Zapewnianie ciągłości działania jest równocześnie związane z inną kategorią aktywności zmierzającej do ograniczania ryzyka – z zabiegami zapewniania bezpieczeństwa [Liderman, 2012]. Mogą one, podobnie do zapewniania ciągłości działania, polegać na ograniczaniu podatności organizacji na oddziaływanie ryzyka, ale mogą również bezpośrednio ingerować w przyczyny ryzyka i mechanizm jego spełniania się. W dodatku związki te mogą wyglądać tak, że w ramach zarządzania ryzykiem operacyjnym sięga się po rozwiązania tylko z zakresu zapewniania bezpieczeństwa (w praktyce jest to przypadek częsty, choć wynikający zazwyczaj z braku przezorności) lub tylko z zakresu zapewniania ciągłości działania (w praktyce przypadek bardzo rzadki, zwykle zachodzący wtedy, gdy ocena ekonomicznej racjonalności wskazuje na korzyść w pominięciu rozwiązań zapewniania bezpieczeństwa), bądź zapewniania bezpieczeństwa zintegrowanego z zapewnianiem ciągłości (w praktyce przypadek coraz częstszy oraz świadczący o dojrzałym i racjonalnym ekonomicznie podejściu do zarządzania ryzykiem) [Byczkowski, Zawiła-Niedźwiecki, 2009; Wołowski, Zawiła-Niedźwiecki, 2012]. Z tych powodów należy widzieć zapewnianie bezpieczeństwa i zapewnianie ciągłości działania jako części zagadnienia zarządzania ryzykiem operacyjnym.Sformułowanie to w pełnym brzmieniu ma też ładunek aksjologiczny. Kryje się w nim staranie o zapewnienie działania niezakłóconego, a więc bezpiecznego, dobrze zorganizowanego, właściwie ukierunkowanego, powtarzalnego i sprawnego. W szczególności bezpieczeństwo, a przez swój związek z nim także ciągłość działania, są wartościami podstawowymi dla funkcjonowania społeczeństwa i poszczególnych ludzi [Szmyd, 2000; Gasparski, 2007].
Zakres problemowy pracy obejmuje kilka zagadnień, które przenikają się w charakterystyczny sposób, co pokazano w tabeli W.1.
Można też interpretować cele z tabeli W.1 jako odpowiadające hipotezom, że:
istnieje triada problemowa Ryzyko – Bezpieczeństwo – Ciągłość, a jej ważną cechą jest integralność funkcjonalna, co powinno prowadzić do zintegrowanego systemu pojęć,istnieje faktyczna relacja komplementarności między zapewnianiem ciągłości działania a pozostałymi rodzajami oddziaływań ograniczających ryzyko operacyjne, istnieją kryteria umożliwiające opracowanie potrzebnych klasyfikacji ryzyka operacyjnego,możliwe jest opracowanie wskazanych zasad oraz metodyki analizy i projektowania.Tabela W.1. Cele pracy i kluczowe zagadnienia w niej poruszane
Cele główne
1. Wykazanie, że w odniesieniu do ryzyka operacyjnego słuszne jest traktowanie go jako nierozerwalnej triady problemowej Ryzyko – Bezpieczeństwo – Ciągłość
2. Opracowanie metodyki systematycznej analizy ryzyka operacyjnego pojmowanego jako ww. triada problemowa, i prowadzącej do wskazania – właściwego dla zidentyfikowanych zagrożeń i podatności oraz wynikających z tego potencjalnych zakłóceń – sposobu postępowania prewencyjnego i naprawczego
Rozdział
Zakres poblemowy
Cele dodatkowe odpowiadające zakresowi problemowemu
1. Ryzyko
Ryzyko
Wskazanie koncepcji badań nad możliwością opracowania kompleksowej klasyfikacji ryzyka
2. Ryzyko operacyjne i jego klasyfikacje
Ryzyko operacyjne jako triada Ryzyko –Bezpieczeństwo –Ciągłość
Opracowanie kompleksowej klasyfikacji ryzyka operacyjnego
3. Proces zarządzania ryzykiem operacyjnym
Opracowanie zasad systematycznej analizy ryzyka prowadzącej do ustalenia krytycznych procesów, głównych zagrożeń i istotnych podatności
4. Zapewnianie bezpieczeństwa w zarządzaniu ryzykiem operacyjnym
Prewencja
Zapewnianie bezpieczeństwa obejmujące rozwiązania zapewniania ciągłości jako swoiste dodatkowe zabezpieczenie przed ryzykiem
Zapewnianie ciągłości działania obejmujące zapewnianie bezpieczeństwa jako zbiór rozwiązań wyprzedzających potrzebę stosowania rozwiązań zapewniania ciągłości
Wskazanie relacji komplementarności między zapewnianiem ciągłości działania a pozostałymi rodzajami oddziaływań ograniczających ryzyko operacyjne
5. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym
Terapia (postępowanie naprawcze)
Opracowanie zasad prawidłowego postępowania w zakresie tworzenia rozwiązań organizacyjnych i proceduralnych zapewniania ciągłości działania ograniczających ryzyko operacyjne.
Źródło: opracowanie własne.
Realizacji celów i weryfikacji hipotez służyły badania, które pozwoliły ustalić i doskonalić model zapewniania ciągłości działania, metodykę jego realizacji, a następnie zweryfikować jej aplikacyjność w rzeczywistych projektach.
Praca składa się z 6 rozdziałów i podsumowania, a załącznik zawiera opis badań.
W rozdziale pierwszym określono cel i zakres pracy oraz scharakteryzowano główne spojrzenia na zagadnienie ryzyka operacyjnego oraz zapewniania ciągłości działania. W konsekwencji zaś dokonano przeglądu podstawowego dorobku w zakresie tych zagadnień, w tym wskazano pochodzenie i główną ideę podejścia do zapewniania ciągłości działania.
W rozdziale drugim przedstawiono aktualny stan wiedzy i występujące problemy w definiowaniu i klasyfikowaniu ryzyka, które mimo prowadzonych od kilkudziesięciu lat badań naukowych nad nimi nadal nie zostały w pełni rozstrzygnięte. Powodem tego jest powszechne przyjmowanie, jako wiodącej, perspektywy finansowej w stosunku do pełnego spektrum rodzajów ryzyka. Tymczasem ryzyko operacyjne w odróżnieniu od pozostałych rodzajów ryzyka wymaga specyficznego podejścia, w tym jego analizy w ujęciu organizacyjnym. W rozdziale omówiono branżowe (bankowość, ubezpieczenia, rynek kapitałowy) podejścia do definiowania i kategoryzowania ryzyka. Jako wkład naukowy autora została przedstawiona propozycja problemu badawczego opracowania uniwersalnej klasyfikacji ryzyka uwzględniającej:
specyfikę struktury gospodarki jako sumy branż przez dobór kryteriów uwzględniających tę specyfikę,
uniwersalne cechy organizacji,
wyznaczniki natury ryzyka.
W rozdziale trzecim scharakteryzowano ryzyko operacyjne, wskazując, że w swej istocie jest to triada problemowa: Ryzyko – Bezpieczeństwo – Ciągłość działania. Pokazano dominujące obecnie ujęcie adekwatności kapitałowej, charakterystyczne dla dyscypliny finansów, oraz omówiono jego niedostatki. W konkluzji przedstawiono opartą na teorii organizacji autorską klasyfikację rodzajów ryzyka operacyjnego, wykorzystując kilka spójnie łączonych kryteriów związanych z podejściem procesowym do zarządzania organizacją, modelowym cyklem zarządzania organizacją oraz ścisłym związkiem podatności na ryzyko z głównymi rodzajami zasobów organizacji i zorganizowaniem ich wykorzystywania.
W rozdziale czwartym przedstawiono klasyczny model procesu zarządzania ryzykiem, w którym newralgicznym elementem jest identyfikacja ryzyka, a jej konsekwencją analiza, ocena, wybór postępowania z ryzykiem i jego monitorowanie. Podkreślono właściwe dyscyplinie nauki o zarządzaniu, a nie zawsze obecne w podejściu innych dyscyplin, podejście analityczne w układzie „przyczyny ryzyka – mechanizm spełniania się ryzyka – skutki ryzyka” jako jedyne pozwalające w pełni wnikliwie opisać i ocenić istotę ryzyka. Jako wkład autora do nauki zostało przedstawione czterowarstwowe podejście uczące w monitorowaniu ryzyka.
W rozdziale piątym przedstawiono zagadnienia zapewniania bezpieczeństwa i ciągłości działania w ujęciu tzw. zintegrowanego zarządzania bezpieczeństwem (total security management), które widzi je jako wzajemnie uzupełniające się wobec potencjalnego zagrożenia, tj. w sensie działań o charakterze prewencyjnym ze strony rozwiązań zapewniania bezpieczeństwa, a naprawczo-zastępczych ze strony zapewniania ciągłości działania. Jako wkład autora do nauki (z podkreśleniem znaczącej roli Macieja Byczkowskiego, wieloletniego partnera w badaniach tej kwestii) scharakteryzowano uniwersalne zasady bezpieczeństwa oraz specyficzne zasady związane z podejściem organizacyjnym z perspektywy ochrony poszczególnych rodzajów zasobów organizacji.
W rozdziale szóstym sformułowano konkluzję z wieloletnich badań autora nad zapewnianiem ciągłości działania jako zespołem poczynań, których celem jest takie oddziaływanie na zidentyfikowane czynniki ryzyka oraz takie reagowanie na każde, także niezidentyfikowane przejawy ryzyka, aby jego wpływ na działalność organizacji został ograniczony. Z uwagi na pionierski okres (lata 90. XX w.) krystalizowania się poglądów na to zagadnienie i formułowania pierwszych propozycji dobrych praktyk, badania autora nakierowane były w pierwszej części na zdefiniowanie metodyki projektowania rozwiązań zapewniania ciągłości działania. W drugiej zaś części polegały na sprawdzeniu, czy założenia metodyczne znajdują odzwierciedlenie w przygotowaniach firm, które – przymuszone regulacjami prawnymi – właśnie podejmowały proces systematycznego wprowadzania i utrzymywania rozwiązań ciągłości działania, w tym aplikowały go formalnie w swej strukturze i praktyce organizacyjnej. Uwzględniano przy tym formułowane właśnie i stopniowo publikowane wzorce dobrych praktyk dotyczących tej problematyki. Na podstawie badań dopracowano ostateczny model metodyczny nazwany TSM/BCP (Total Security Management – Business Continuity Planning) i dokonano oceny jego aplikacyjności. Na koniec rozdziału zaprezentowano zasady weryfikowania stopnia dojrzałości zarządzania zapewnianiem ciągłości działania.
W podsumowaniu dokonano przeglądu wkładu naukowego autora oraz sformułowano wnioski z badań, a także wskazano dalsze zagadnienia badawcze, jakie wynikają z pracy. Autor jest bowiem świadomy, że przedstawione w rozprawie ujęcie głównego problemu pracy wyznacza także nowe pytania badawcze. Przedstawione zasady zapewniania ciągłości działania zmierzają do usprawnienia działań ukierunkowanych na stabilizację funkcjonowania organizacji w warunkach niepewności i związanego z tym ryzyka. Takie zmiany organizacyjne często są związane z działaniami destrukcyjnymi, tj. najpierw ma miejsce osłabienie istniejącego stanu, potem jego zmiana, a następnie zastąpienie go nowym rozwiązaniem, które z kolei winno zostać utrwalone. Podejście zaprezentowane w pracy zakłada, co jest pewnym uproszczeniem w stosunku do rzeczywistości, istnienie pewnych niezmienników organizacji, typu: cele biznesowe, otoczenie, procesy, zasoby, struktura itp. Pojawiające się zakłócenia powodują uruchomienie mechanizmów stabilizujących organizację, przywracając ją do stanu zbliżonego do początkowego. Zatem zasady zapewniania ciągłości działania wpisują się w koncepcje zarządzania zmianami, zarządzania innowacjami, zarządzania wiedzą, koncepcje organizacji zwinnych, uczących się itp. Na tym tle można postawić pytania – Czy naruszenie ciągłości działania zawsze stanowi zagrożenie dla organizacji? Jak traktować wprowadzanie zmian organizacyjnych naruszających przecież także ciągłość działania organizacji? Czy i jak wyniki uzyskane w pracy można wykorzystać w zarządzaniu zmianami (dla zapewnienia ciągłości działania organizacji, w której wprowadzane są zmiany)? Te i podobne pytania praca pozostawia jako przedmiot kolejnych badań. Trzeba bowiem nową problematykę wpierw uporządkować w jej podstawowym kształcie.
1. Wprowadzenie do problematyki
W sferze zarządzania gospodarką oraz we wspierającej tę praktykę teorii, obserwuje się radykalny wzrost zainteresowania ryzykiem. Staje się ono znaczącym problemem zarządzania. Fakt ten nie jest spowodowany wyłącznie kumulacją dotychczasowej wiedzy i praktyki oraz ich rozwojem. Wynika on bardziej z tego, że zdecydowane trendy liberalizacji i globalizacji w gospodarce światowej doprowadziły do niespotykanego dotąd zintensyfikowania konkurencji rynkowej [Nowak, Steagall, Baliamoune, 2004]. Automatycznie zwiększa to ryzyko niepowodzenia poszczególnych projektów gospodarczych i całej działalności gospodarczej, prowadzonej przez daną organizację1. Wszystko wskazuje na to, że dotychczasowe strategie działań organizacji nie są wystarczające, aby to ryzyko zminimalizować, a skutki uboczne tych strategii mogą spowodować, że organizacje staną się ofiarami nieuwzględnionego ryzyka, sprzecznych oczekiwań interesariuszy oraz zorganizowanej władzy, zarówno konsumentów, jak i grup monopolistycznych producentów [Damodaran, 2009; Obłój, 2010; Orzeł, 2012].
W tym kontekście trwają prace poszukiwania współczesnego modelu organizacji. Usiłując go zdefiniować, wprowadzono pojęcie i koncepcję „przedsiębiorstwa przyszłości” [Grudzewski, Merski, 2004]. Koncepcja ta jest próbą odpowiedzi na wyzwania postępu cywilizacyjnego oraz rozwoju gospodarczego i myśli technicznej. Wyrazem tego są:
po pierwsze – rewolucja informacyjna powodująca, że naczelną umiejętnością każdej organizacji staje się zarządzanie wiedzą,
po drugie – presja otoczenia na organizację wynikająca ze zmiennego zapotrzebowania rynku, oczekiwania wysokich standardów jakości wyrobów i usług, szybkiego rozwoju technologii i techniki, ewolucji wymagań prawnych.
Są to również praktyczne i bezpośrednie przejawy globalizacji [Grudzewski, Hejduk, Sankowska, Wańtuchowicz, 2010].
Szczególną konsekwencją narastania konkurencji jest poszukiwanie i wdrażanie coraz bardziej wyrafinowanych rozwiązań organizacji pracy, wytwarzania oraz świadczenia usług. To z kolei naraża organizacje stosujące takie rozwiązania na specyficzny rodzaj ryzyka, bezpośrednio związanego z działaniem organizatorskim oraz dyspozycyjnością zasobów wewnętrznych [Sołtysik, 2001; Krupski, 2012a]. Ryzyko to nazywane jest operacyjnym. Jego znaczenie i wpływ na skuteczność działania organizacji nadal będą rosnąć, a z nimi potrzeba naukowej penetracji natury, źródeł i sposobów przejawiania się ryzyka operacyjnego oraz możliwości organizacji reagowania na takie ryzyko [Staniec, Zawiła-Niedźwiecki, 2008].
Dodatkowo, szereg dramatycznych wydarzeń gospodarczych i politycznych ostatnich lat pokazał światu, że sama świadomość określonych rodzajów ryzyka jest niewystarczająca, jeśli nie stosuje się kompleksowego, dojrzałego zarządzania nim [Nogalski, Szpitter, Rybak, 2012], a to oznacza zarówno potrzebę kontrolnego sprzężenia zwrotnego w cyklu zarządzania ryzykiem [Conrow, 2000], jak i potrzebę postępowania zastępczego na wypadek nieskuteczności tego zarządzania [Gołąb, 2009]. Najbardziej wyrazistym tego przykładem był tzw. problem roku 2000 (nazywany też problemem/ryzykiem/pluskwą milenijną albo Y2K) [Kendall, 2000]. Uświadomiony w początkach lat 90. XX wieku, a polegający na nieprawidłowym rozpoznawaniu zapisu daty roku 2000 przez większość oprogramowania produkowanych wówczas systemów komputerowych, problem Y2K zmobilizował dosłownie cały świat do przeprowadzenia analiz ryzyka, wdrożenia programów naprawczych oraz planów postępowania awaryjnego na wypadek nieskuteczności tych korekt. Opracowane w tym czasie metody i zasady organizacyjne analizy ryzyka, usuwania wad oraz projektowania planów awaryjnych są do dziś stosowane i doskonalone. Ten szczególny problem, biorący się z uproszczenia technicznego (po latach brzemiennego w skutki), prawdopodobnie silniej wpłynął na teorię zarządzania ryzykiem, zapewnianiem bezpieczeństwa i zapewnianiem ciągłości działania oraz na jej praktyczne upowszechnienie niż nawet tak dramatyczne wydarzenia jak atak terrorystyczny 11 września 2001 roku.
Innego rodzaju wnioski zrodziły się w konsekwencji upadku banku Barrings w 1995 roku oraz firmy energetycznej Enron w 2001 roku [Monkiewicz M., 2010]. Oba te wydarzenia odbiły się szerokim echem w całym świecie gospodarczym. Do obu doszło z powodu braku dostatecznej kontroli:
wewnętrznej (Barrings) – upadek spowodowały oszustwa szeregowego, pozornie nieznaczącego pracownika,
systemowej (Enron) – doszło do nadużyć najwyższego kierownictwa w zmowie z firmą audytorską.
Upadki obu firm znacząco wpłynęły na fundamenty modelu zarządzania ryzykiem. Stwierdzono zwłaszcza potrzebę rozbudowania monitorowania oraz kontrolnego sprzężenia zwrotnego w cyklu zarządzania ryzykiem, w tym na poziomie państwowych organów nadzorczych i regulacyjnych. Zwrócono też uwagę na znaczenie dla organizacji nie tylko ryzyka finansowego (biznesowego), ale i bardzo szybko rosnące znaczenie ryzyka operacyjnego (organizacyjnego) [Vanini, Ebnöther, McNeil, Antolinez, 2003; Damodaran, 2009].
Wreszcie kataklizmy przyrodnicze oraz techniczne ostatnich lat, takie jak tsunami w kilku krajach azjatyckich, huragany na Morzu Karaibskim, awarie platform wiertniczych czy elektrowni jądrowych, pokazały niedostatek przygotowania organizacyjnego lokalnych społeczności, organów i pracowników administracji publicznej oraz podmiotów powołanych do niesienia pomocy2).
Aktualny stan podejścia do takich zagrożeń, jak przykładowo wymienione wyżej, wskazuje na generalną wagę problematyki ryzyka w gospodarce i w działalności bieżącej organizacji
5] pisze o tym: „Znaczenie zarządzania ryzykiem wzrosło w ostatnich latach na całym świecie, głównie z powodu zwiększenia się ryzyka w gospodarce. Głównymi elementami wskazującymi na rozwój zarządzania ryzykiem są:
powstawanie nowych rozwiązań teoretycznych w zakresie analizy i zarządzania ryzykiem, które mają u podstaw zaawansowane narzędzia teoretyczne,
włączanie przez podmioty gospodarcze zarządzania ryzykiem do ogólnej strategii zarządzania,
powstanie zawodu „zarządzający ryzykiem” (
risk manager
),
wprowadzenie wymogów informowania o strategii zarządzania ryzykiem w sprawozdaniu finansowym,
powstawanie baz danych umożliwiających szacowanie ryzyka,
tworzenie przez profesjonalne środowiska oraz przez instytucje nadzorcze i instytucje regulacyjne standardów i wymogów w zakresie zarządzania ryzykiem,
powstanie międzynarodowych i krajowych organizacji zajmujących się upowszechnianiem wiedzy i standardów profesjonalnych w zakresie zarządzania ryzykiem”.
Szczególnego podkreślenia wart jest fakt, że choć główne wspomniane przykłady dotyczą firm finansowych, to natura problemów, a zwłaszcza rekomendowany sposób radzenia sobie z nimi mają charakter organizacyjny i należą w dużym stopniu do specyfiki dyscypliny nauk o zarządzaniu, a nie tylko dyscypliny nauk o finansach. Bardzo często ma miejsce kojarzenie ryzyka z sektorem finansowym oraz z dyscypliną nauk o finansach. Tymczasem należałoby to skomentować tak, że sektorowi finansowemu i dyscyplinie nauk o finansach zawdzięczamy zaawansowanie w rozpatrywaniu problematyki ryzyka, natomiast jej naturalny zakres obejmuje kwestie właściwe trzem dyscyplinom dziedziny nauk ekonomicznych: ekonomii, finansom i naukom o zarządzaniu, a dodatkowo sięgające szeregu innych dyscyplin z dziedzin nauk społecznych i nauk technicznych co najmniej.
W odniesieniu do ryzyka operacyjnego wskazuje to na interesującą kwestię, która będzie rozwijana w niniejszej pracy, że na gruncie nauk o finansach wypracowuje się głównie metody ustalania poziomu niezbędnej adekwatności kapitałowej (rezerw zdolnych kompensować straty), natomiast istotę spełniania się ryzyka operacyjnego (swoistego mechanizmu, który prowadzi od przyczyn do skutków) można określić, i w konsekwencji wpływać na jego poziom, na gruncie działania będącego przedmiotem badania innych nauk niż finanse, zwłaszcza nauk o zarządzaniu [Staniec, Zawiła-Niedźwiecki, 2008].
Rysunek 1.1. Związki zarządzania ryzykiem, zapewnianiem bezpieczeństwa i zapewnianiem ciągłości działania (w ramach teorii organizacji i zarządzania) z teorią niezawodności technicznej oraz zarządzaniem kryzysowym
Źródło: [Zawiła-Niedźwiecki, 2008].
Postępowanie, które bezpośrednio dotyka istoty ryzyka operacyjnego i pozwala na wpływanie na jego poziom, polega na świadomie łączonej prewencji (rozwiązania zabezpieczające przed ryzykiem, możliwe dzięki rozumieniu istoty przyczyn) oraz wypraktykowanej umiejętności przeprowadzania terapii (rozwiązania umożliwiające kontynuowanie działania) [Zawiła-Niedźwiecki, 2006b]. Obie te kwestie są kwintesencją pojmowania ryzyka operacyjnego jako triady problemowej Ryzyko – Bezpieczeństwo – Ciągłość, co jako propozycja naukowa jest wkładem autora do nauki, a zostanie omówione w niniejszej pracy.
Szczególnie istotne dla wyrażenia umiejętności kontrolowania poziomu ryzyka jest utrzymywanie zdolności do zachowania ciągłości działania. Po pierwsze, jest to postulatem doskonałości systemu działania, jakim jest każda organizacja [Zawiła-Niedźwiecki, 2008]. W tym sensie zapewnianie ciągłości działania jest przedmiotem zarządzania strategicznego, wyraża cel nadrzędny sprawności organizacji i obejmuje prymat w obszarze zarządzania ryzykiem operacyjnym [De Wit, Meyer, 2007; Sudoł, 2006]. W perspektywie strategicznej dodatkowo pozostaje zagadnieniem z pogranicza dyscyplin: ekonomii i nauk o zarządzaniu [Marciniak, 2008]. Po drugie, ciągłość działania jest rozumiana jako postępowanie organizatorskie tworzące zdolność organizacji do skutecznego reagowania w sytuacji zaistnienia zakłócenia będącego wynikiem swoistej interakcji przejawów zagrożenia z wewnętrzną podatnością organizacji, jej infrastruktury, zasobów lub rozwiązań zorganizowania. W tym sensie zapewnianie ciągłości działania jest przedmiotem zarządzania operacyjnego i stanowi ostatnie ogniwo zarządzania ryzykiem operacyjnym [Staniec, Zawiła-Niedźwiecki, 2008]. Ryzyko operacyjne jest niedawno wyodrębnioną kategorią ryzyka6. Podstawowe koncepcje, które go dotyczą, można czerpać z trzech źródeł. Pierwszym historycznie jest Komitet Bazylejski7, który ogniskuje prace sektora bankowego, właściwie z całego świata, nad rekomendacjami dobrych praktyk w zakresie zarządzania każdym rodzajem ryzyka spotykanego w bankowości. Głównym dokumentem Komitetu Bazylejskiego odnoszącym się do ryzyka operacyjnego jest Sound Practices for the Management and Supervision of Operational Risk [Basel Committee on Banking Supervision, 2010] aktualizowany systematycznie co dwa lata, a także uzupełniające go materiały8 analizujące bieżącą praktykę banków na świecie i statystyki zdarzeń krytycznych należących do tej kategorii ryzyka. Podstawowym powodem częstej aktualizacji Sound Practices… jest nieprecyzyjność wydzielenia rodzajów ryzyka zakwalifikowanych do tej kategorii i stałe prace nad doprecyzowaniem zwłaszcza interpretacji rekomendacji. Wskazuje to na podstawowy problem – brak naukowo uporządkowanego spojrzenia na ryzyko operacyjne uwzględniającego podejścia różnych dziedzin i dyscyplin naukowych.
Z istoty ryzyka operacyjnego, które zawsze towarzyszy każdej działalności, wynika, że leży ono w zakresie zainteresowania wszystkich dyscyplin wiedzy związanych z funkcjonowaniem organizacji, a w szczególności ekonomii, finansów oraz zarządzania. Stopień tego zainteresowania, a co za tym idzie stan wiedzy w ujęciu poszczególnych dyscyplin, są różne. W niniejszych rozważaniach ograniczono się do dziedziny nauk ekonomicznych, choć oczywiste jest, że szereg aspektów problematyki panowania nad ryzykiem dotyczy nauk prawnych, technicznych czy społecznych. Dodatkowo trzeba podkreślić, że w aspekcie operacjonalizacji zarządzania ryzykiem niniejsza praca koncentruje się na zapewnianiu ciągłości działania.
Badania i naukowe konkluzje dotyczące ryzyka operacyjnego są najbardziej zaawansowane w dyscyplinie finansów, czego początek dały sygnalizowane już prace Komitetu Bazylejskiego. W ślad za nimi, na zasadzie adaptowania rozwiązań z bankowości do ubezpieczeń, podąża CEIOPS9. Zresztą wszystkie dalej przedstawione ośrodki będące źródłem wiedzy o ryzyku operacyjnym współpracują z kluczowymi środowiskami bankowymi (tj. nie tylko Komitetem Bazylejskim, ale i z agendami banków narodowych lub korporacji bankowych). Rzutuje to, niekoniecznie korzystnie, co zostanie pokazane dalej, na kierunki ich zainteresowań i badań.
Drugim źródłem koncepcji ryzyka operacyjnego są rozproszone jeszcze działania akademickie. Przez krótki czas wydawało się, że takim zagadnieniem intensywnie zajmie się utworzony wspólnie przez Politechnikę i Uniwersytet w Zurichu – Center of Competence Finance in Zurich (CFZZ). Mimo początkowych deklaracji, działania Centrum pozostały jednak w obszarze klasycznego ryzyka bankowego [Vanini, Ebnöther, McNeil, Antolinez, 2003; Döbeli, Leippold, Vanini, 2003]. Podobnie starania kilku uniwersytetów brytyjskich (Oxford i Manchester) oraz amerykańskich (zwłaszcza Uniwersytet Stanforda i Uniwersytet Nowojorski) doprowadziły jedynie do powstania inicjatyw, które stały się trzecim (zob. dalej) źródłem wiedzy o ryzyku operacyjnym. Warto więc zauważyć, że nadal zagadnienie to w szerokim ujęciu, tj. wykraczającym poza interpretacje finansowe, nie ma wyraźnie wiodącego centrum badawczego. Niemniej jednak warto odnotować prace narodowych komitetów normalizacyjnych Australii, Nowej Zelandii i Wielkiej Brytanii, a także ISO, które zaowocowały normami zasad zarządzania ryzykiem operacyjnym w biznesie (więcej o tym w [Wołowski, Zawiła-Niedźwiecki, 2012]).
Trzecim źródłem koncepcji ryzyka operacyjnego są dwa ośrodki.
Po pierwsze – jako najstarsza – amerykańska inicjatywa B. Schachtera
10
polegająca na prowadzeniu od 1996 r. z wielkim zaangażowaniem strony internetowej www.gloriamundi.org, która długi czas była właściwie elektroniczną biblioteką publikacji na temat ryzyka (od 1999 r. także ryzyka operacyjnego), ostatnio ulega już niestety komercjalizacji. Udostępnia ona szeroki zakres publikacji anglojęzycznych, od książek, przez artykuły, po referaty i prezentacje konferencyjne, a także stanowi platformę dyskusji i konsultacji zawodowych. Zarejestrowane w tym zasobie książki i artykuły, nominalnie z dziedziny zarządzania ryzykiem operacyjnym, dotyczą jak dotąd wyłącznie badania doświadczeń pojedynczych banków lub krajowych systemów bankowych w zakresie wyceny ryzyka lub statystyk ich czynników, a nie podejmują aspektów organizacyjnych innych niż kwestie ładu korporacyjnego i nadzoru krajowych regulatorów.
Po drugie, w Wielkiej Brytanii, pod auspicjami Oxford University oraz University of Manchester, a przy udziale naukowców amerykańskich, wydawana jest rodzina miesięczników naukowych „Risk Journals”, a w jej ramach od 2008 r. osobny „Journal of Operational Risk”, który podejmuje tytułową tematykę, niestety wyłącznie w ujęciu nauk o finansach.
Ogół publikacji dostępnych z tych trzech źródeł jest z naukowego punktu widzenia bardzo różnej wartości, głównie dlatego, że problematyka ta jest przede wszystkim postrzegana z bardzo utylitarnego punktu widzenia, a tym samym prace ukierunkowane są na poszukiwanie:
w obszarze bankowości metod dokładniejszego szacowania ryzyka oraz badania wszelkich jego korelacji,
analogii między bankowością a pozostałymi częściami sektora finansowego,
analogii między bankowością a innymi sektorami aktywności gospodarczej, ale tylko w aspekcie szczególnych rodzajów ryzyka finansowego.
Najistotniejsze dla niniejszych rozważań jest to, że w pracach tych dominuje perspektywa finansowa oceny ryzyka. Polega to na wykorzystywaniu w podejściu do ryzyka operacyjnego wieloletnich doświadczeń Komitetu Bazylejskiego (oraz środowisk gospodarczych i naukowych z nim związanych) w zakresie szacowania poszczególnych rodzajów ryzyka, dokonywanego w celu ustalenia tzw. adekwatności kapitałowej11. W efekcie utrwala się wyraźna luka w wiedzy o innych możliwościach oddziaływania na ryzyko operacyjne niż tworzenie rezerw finansowych. Innych, tzn. środkami o charakterze prawnym, organizacyjnym i technicznym.