Zarządzanie ryzykiem

Zarządzanie ryzykiem – klucz do skutecznego działania.

Zarządzanie ryzykiem to nieodłączny element funkcjonowania każdej jednostki organizacyjnej. Jest to proces realizowany przez kierowników jednostek, którego celem jest identyfikacja potencjalnych zagrożeń mogących wpłynąć na realizację celów. Podejmowanie świadomych i systematycznych działań pozwala nie tylko utrzymać ryzyko w akceptowalnych granicach, ale także zapewnić skuteczność i stabilność działania.

Cele zarządzania ryzykiem obejmują różne obszary – od finansów po bezpieczeństwo i środowisko – i mogą być określane na poziomie strategicznym, operacyjnym oraz w ramach konkretnych projektów. Efektywne zarządzanie ryzykiem to fundament odpowiedzialnego i przewidywalnego rozwoju każdej organizacji.

Czym jest ryzyko?

Przede wszystkim należy odróżnić ryzyko od pewności i niepewności.

Stan pewności
  • wiemy jaki będzie efekt naszego działania i nie ma możliwości ( w normalnych warunkach), by odbiegał od oczekiwanego
Ryzyko
  • wydarzenia, które potrafimy przewidzieć,
  • ryzyko jest obecne, gdy przyszłe zdarzenia występują z prawdopodobieństwem, które daje się zmierzyć
  • ryzyko to możliwość sukcesu, ale także niepowodzenia, porażki,straty,
  • potrafimy minimalizować ryzyko poprzez rozpoznawanie potencjalnego zagrożenia i unikanie go
Niepewność
  • wydarzenia, których nie potrafimy przewidzieć,
  • prawdopodobieństwo wydarzeń w przyszłości jest nieokreślone lub niemożliwe do obliczenia,
  • niepewność to stan, w którym przyszłe możliwości i szanse ich wystąpienia nie są znane

Ryzyko można zdefiniować jako prawdopodobieństwo celowego lub przypadkowego wykorzystania przez dany czynnik materializujący zagrożenie (np.: człowiek, błędy na poziomie procesów i systemów, zdarzenia klimatyczne, polityczne, klęski żywiołowe itp.) określonej podatności (słabe punkty np.: brak wiedzy, kompetencji, luki w systemach, procesach itp.) oraz wpływ materializacji zagrożenia na realizację celów, bezpieczeństwo, ciągłość funkcjonowania organizacji, jej procesów czy systemów.

Ryzyko:

  • dotyczy każdej organizacji, komercyjnej, rządowej, również nie nastawionej na zysk,
  • jest związane z działaniem lub brakiem działania,
  • przychodzi ze świata zewnętrznego lub z wnętrza organizacji,
  • obejmuje negatywne konsekwencje oraz niewykorzystane szanse (utracone korzyści),
  • jest mierzone wpływem (skutkami) i prawdopodobieństwem wystąpienia.
Grafika pochodzi z materiałów szkoleniowych PBSG SA

Grafika z materiałów szkoleniowych PBSG SA

Elementy procesu zrządzania ryzykiem

1. Identyfikacja ryzyka

Pierwszym krokiem w procesie jest określenie możliwych zagrożeń z uwzględnieniem realizowanych celów oraz czynników wpływających na ryzyko, takich jak: ludzie, organizacja, technologia, finanse, prawo czy otoczenie zewnętrzne. Efektem tego etapu jest wybór ryzyk, którymi organizacja będzie aktywnie zarządzać, a także przygotowanie scenariuszy awaryjnych.

2. Analiza ryzyka

W kolejnym etapie przeprowadzana jest szczegółowa analiza, która obejmuje:

  • opis ryzyka, pomagający w jego zrozumieniu,
  • identyfikację przyczyn wystąpienia zagrożenia (wewnętrznych i zewnętrznych),
  • ocenę istniejących mechanizmów kontrolnych,
  • oszacowanie prawdopodobieństwa oraz skutków ryzyka,
  • określenie wartości ryzyka jako iloczynu jego prawdopodobieństwa i wpływu.

3. Reakcja na ryzyko

Na podstawie analizy podejmowane są decyzje dotyczące odpowiednich działań wobec ryzyka. Możliwe reakcje obejmują:

✅ Akceptacja – świadome podjęcie ryzyka bez podejmowania działań zapobiegawczych, często przy jednoczesnym zabezpieczeniu rezerw finansowych.
✅ Redukcja – działania zmierzające do ograniczenia prawdopodobieństwa lub skutków ryzyka, np. zmiany organizacyjne, wdrażanie nowych technologii czy szkolenia.
✅ Transfer ryzyka – przeniesienie ryzyka na podmiot zewnętrzny poprzez outsourcing, ubezpieczenie lub inne mechanizmy prawne.
✅ Wycofanie się – rezygnacja z działalności obarczonej nadmiernym ryzykiem, gdy jego redukcja nie jest możliwa.

4. Wdrożenie działań i monitoring

Po opracowaniu planów działania i ich zatwierdzeniu przez kierownictwo następuje ich wdrożenie. Ważnym elementem jest wyznaczenie osoby odpowiedzialnej za nadzór nad realizacją działań oraz określenie terminów ich realizacji.

Po wdrożeniu prowadzony jest stały monitoring skuteczności podjętych działań oraz ocena, czy nie pojawiły się nowe zagrożenia wymagające reakcji. Dzięki temu organizacja może dynamicznie dostosowywać swoje strategie i skutecznie minimalizować ryzyko w przyszłości.

grafika

Jak zgłosić NOWY obiekt do biblioteki systemu e-risk?

Wykonując identyfikację ryzyka korzystacie Państwo z bibliotek w systemie e-risk, które zawierają:

  • cele 
  • ryzyka KZ
  • aktywa 
  • komponenty aktywa wraz podatnościami 
  • ryzyka BI-zagrożenia 

Wszystkie biblioteki systemu e-risk opracowane zostały z uwzględnieniem specyfiki działalności uczelni wyższej.

Zgłoszenie nowego ryzyka do bibliotek systemu jest możliwe poza okresem trwania oceny, ponieważ wymagana jest jego akceptacja przez Zespół ds. Kontroli Zarządczej (ryzyka KZ) lub Zespół ds. Bezpieczeństwa Informacji (ryzyka BI-zagrożenia). Propozycje nowych ryzyk można przesyłać pocztą mailową na adres gorak@agh.edu.pl

W trakcie trwania oceny możliwe jest zgłaszanie nowego aktywa-systemu informatycznego. Instrukcja zgłoszenia nowego systemu informatycznego w e-risk.

Zgłoś nowy obiekt

Identyfikacja ryzyka

Zasady identyfikacji i definiowania ryzyka

Podczas identyfikacji ryzyka warto kierować się następującymi zasadami:

  • Ryzyko dotyczy przyszłości – oznacza zdarzenie, które może wystąpić i którego prawdopodobieństwo można oszacować.
  • Jasność nazewnictwa – nazwa ryzyka powinna być zrozumiała, a jej doprecyzowanie może nastąpić w opisie dodatkowym.
  • Odpowiedni poziom szczegółowości – należy unikać zbyt szczegółowych ryzyk, np. odnoszących się do pojedynczych czynności.
  • Powiązanie z celem lub aktywem – ryzyko powinno odnosić się do konkretnego celu lub zasobu organizacji. Jeśli nie wpływa na żaden cel, nie jest ryzykiem.
  • Unikanie negatywnych sformułowań – np. nie należy stosować słowa „brak” jako określenia ryzyka.
  • Ryzyko to nie zaprzeczenie celu – błędne jest definiowanie ryzyka jako odwrotności realizowanego celu czy zadania.
  • Problemy z zasobami to przyczyny ryzyka, a nie samo ryzyko – należy odróżniać zagrożenie od jego źródła.
  • Rozróżnienie ryzyka i jego skutków – ryzyko wynika z określonych przyczyn (np. czynniki zewnętrzne, incydenty), które mogą prowadzić do jego materializacji.

Do przeprowadzenia identyfikacji ryzyka polecamy wykorzystanie metody przyczynowo-skutkowej, tzw. analiza BowTie.

Mechanizmy kontroli ryzyka

Mechanizmy kontroli to działania i zabezpieczenia ograniczające prawdopodobieństwo wystąpienia ryzyka lub jego skutki. Przy ich definiowaniu należy:

  • podawać konkretne przykłady, takie jak zarządzenia, polityki czy procedury,
  • unikać ogólnikowych określeń, np. „odpowiedni” czy „skuteczny”,
  • pamiętać, że skuteczność kontroli zależy od ich właściwego wdrożenia i stosowania.
Grafika z materiałów szkoleniowych PBSG SA

Schemat analizy BowTie – identyfikacja ryzyka

Korzyści wynikające z realizacji zarządzania ryzykiem

  • zwiększenie poziomu wiedzy i świadomości jednostki w zakresie bezpieczeństwa realizowanych celów i posiadanych zasobów,
  • skuteczna ochrona posiadanych zasobów,
  • ułatwienie podejmowania decyzji dzięki lepszej znajomości sytuacji,
  • ograniczenie liczby nieprzewidzianych zdarzeń i wagi ich skutków,
  • minimalizowanie strat,
  • usprawnienie zarządzania incydentami i przeciwdziałanie ich występowaniu,
  • minimalizacja skutków zdarzeń negatywnych,
  • maksymalizacja skutków zdarzeń pozytywnych,
  • ujednolicenie działań w zakresie postępowania z ryzykiem,
  • usprawnienie procedury kontroli.

Dokumenty

Zasady przeprowadzania identyfikacji i analizy ryzyka w AGH

Identyfikacja i analiza ryzyka

Mechanizmy kontroli ryzyka - przykłady