Janusz Zawiła-Niedêwiecki
Zarządzanieryzykiemoperacyjnym w zapewnianiu ciągłości działania organizacji
Praca naukowa wskazująca miejsce triady„ryzyko operacyjne – bezpieczeństwo zasobowe– ciągłość działania” w dyscyplinie nauk
o zarządzaniu
Zarządzanieryzykiemoperacyjnym w zapewnianiu ciągłości działania organizacji
Janusz Zawiła-Niedêwiecki
Kraków–Warszawa 2013
Zarządzanieryzykiemoperacyjnym w zapewnianiu ciągłości działania organizacji
© edu-Libri s.c. 2013
Redakcja merytoryczna i korekta: edu-Libri
Projekt okładki i stron tytułowych: GRAFOS
Recenzenci: prof. dr hab. Marek Lisiński prof. dr hab. inż. Waldemar Tarczyński
Wydawnictwo edu-Libri ul. Zalesie 15, 30-384 Krakówe-mail: [email protected]
Skład i łamanie: GRAFOSDruk i oprawa: Sowa Sp. z o.o.
Warszawa
ISBN (druk) 978-83-63804-12-1 ISBN e-book (PDF) 978-83-63804-13-8 ISBN e-book (epub) 978-83-63804-14-5 ISBN e-book (mobi) 978-83-63804-15-2
Spis treściWstęp ......................................................................................................................... 7
1. Wprowadzenie do problematyki ........................................................................... 14
2. Ryzyko .................................................................................................................... 292.1. Ryzykoiniepewność ....................................................................................... 292.2. Rodzajeiklasyfikacjeryzyka ........................................................................... 342.3. Koncepcjakompleksowejklasyfikacjiryzyka ................................................... 402.4. Pomiarryzyka ................................................................................................ 422.5. Zarządzanieryzykiem ..................................................................................... 452.6. Ocenadojrzałościzarządzaniaryzykiem ......................................................... 50
3. Ryzyko operacyjne i jego klasyfikacje .................................................................. 553.1. Triadaproblemowa„Ryzyko–Bezpieczeństwo–Ciągłośćdziałania” ............ 553.2. Dotychczasoweujęciaryzykaoperacyjnego .................................................... 573.3. Propozycjaujęciawgteoriiorganizacji ........................................................... 61
4. Proces zarządzania ryzykiem operacyjnym ......................................................... 694.1. Organizacjazarządzaniaryzykiemoperacyjnym ............................................ 704.2. Identyfikacja,analizaiocenaryzykaoperacyjnego ......................................... 744.3. Wpływanienaryzykooperacyjneimonitorowaniego .................................... 78
5. Zapewnianie bezpieczeństwa w zarządzaniu ryzykiem operacyjnym ............... 835.1. Bezpieczeństwowujęciuzasobowym ............................................................. 845.2. Ciągłośćdziałaniajakozabezpieczenie .......................................................... 915.3. Ocenadojrzałościzarządzaniazapewnianiembezpieczeństwa ....................... 92
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym ............... 946.1. Modelowezapewnianieciągłościdziałania ..................................................... 966.2. Organizacjazapewnianiaciągłościdziałania ................................................. 1056.3. Tokpostępowaniaanalitycznegoiprojektowego ............................................ 1116.4. Ocenadojrzałościzarządzaniazapewnianiemciągłościdziałania .................. 128
Podsumowanie .......................................................................................................... 130Wnioski .................................................................................................................. 133Zagadnieniadodalszychbadań ............................................................................... 137
Załącznik – Raport z badań ...................................................................................... 139Ramymetodologiczne ............................................................................................. 139
Spis treści 6
Metodybadawcze ................................................................................................... 141Opisbadań .............................................................................................................. 144Modelzapewnianiaciągłościdziałaniajakowynikbadańorazjegoaplikacyjność .. 166
Bibliografia ................................................................................................................. 171
Wstęp Nietrwałośćorazzawodnośćwszelkichwytworówludzkichjestwpisanawpraktykęinżynierską,gospodarczą,atakżewżyciecodziennekażdegoczłowieka.Właściwieniespodziewamysię,żebycokolwiekmiałonamsłużyć„wiecznie”,aleirytujemysię,jeślicośnieoczekiwaniezawodzi.Dlategopodnoszeniestopnianiezawodnościjest dla dostarczyciela produktu lub usługi wyzwaniem podejmowanym nagruncieszerokorozumianej–naukowoiużytkowo–profesjonalnejdziałalnościorganizatorskiej.
Problemzapewnianianiezawodnegodziałaniaurządzeńorazukładówtechnicz-nychjestznanyodzaraniadziejówtechniki,aconajmniejodczasówXIX-wiecznejrewolucjitechnicznej.Dodziśnaukawypracowałateorięniezawodności,uloko-wanąnastykunauktechnicznychimatematycznych[Pihowicz,2008].Kwestiaawariitechnicznych,ichprzyczyniskutków,czylizakłóceńnimipowodowanych,jestwpisanawpraktykęzachowańinżynierskich,abogatedoświadczeniazarównoweryfikująustalenianaukowe,jakikształtująprofesjonalnądobrąpraktykęcodoprojektowaniaurządzeńiukładówozałożonejniezawodnościorazdotworzeniarozwiązańorganizacyjnychuwzględniającychprzewidywanązawodnośćzastoso-wanychurządzeń.
Równocześniewidocznyjestbrakanalogiczniezaawansowanejteoriiwod-niesieniudosprawnościdziałaniapodmiotówocharakterzebiznesowymiadmi-nistracyjnym.Sprawnośćichjestnaruszanawwynikuoddziaływaniaczynnikówryzykaoperacyjnego(wdużymstopniuorganizacyjnego),tj.zagrożeń,naktórepodatna jest organizacja główniew związku zniedoskonałościąprzygotowaniaprocesówwewnętrznych, niedostatkiem umiejętności kadry pracowników lubzłymgospodarowaniemzasobami[Jajuga,2007].Naprzestrzeniostatnichkil-kunastulatzagadnienietozostałowłączonedokatalogurodzajówryzyka,jakiewpraktycegospodarczejusiłujesięidentyfikowaćimierzyć,atakżetworzyćsto-sowne przed nimi zabezpieczenia techniczne, organizacyjne, aw ostatecznościodpowiedniooszacowanerezerwyfinansowe[Tarczyński,Mojsiewicz,2001].
Niniejszapracajestpodsumowaniemdorobkuautoraiprowadzonychprzezniegobadańdotyczącychtriadyzagadnień„Ryzykooperacyjne–Bezpieczeństwooperacyjne organizacji – Ciągłość działania organizacji”, a przedstawianych na
Wstęp 8
bieżącowewcześniejszychpublikacjach,zktórychnajważniejsze(wukładzielo-gicznymtreści)przedstawionoponiżej.
1. Wzakresiezagadnienia„ryzykooperacyjne”: Niepewność w zarządzaniu [2007], VIIIMiędzynarodowaKonferencja„ZarządzanieFinansami–ZarządzanieRyzykiemiKreowanieWartości”,Uniwersytet Szczeciński, Wydział Nauk Ekonomicznych i Zarządzania,Międzyzdroje18–20kwietnia,„ZeszytyNaukowe”nr455. Pojęcie ryzyka operacyjnego i klasyfikacja jego rodzajów [2010],„PrzeglądOrganizacji”nr6. Ryzyko operacyjne i jego szacowanie [2008](współautorM.Soczko),[w:]R.Knosala(red.),Komputerowo zintegrowane zarządzanie,WydawnictwoPolitechnikiOpolskiej,Opole. (red.)Zarządzanie ryzykiem operacyjnym[2008],(współredaktornaukowyI.Staniec),C.H.Beck,Warszawa.
2. Wzakresiezagadnienia„bezpieczeństwooperacyjne”: TSM – Total Security Management. Zalecenia do tworzenia Polityki Bezpie-czeństwa Operacyjnego [2003], (współautorzy:M.Blim,M.Byczkowski)EuropeanNetworkSecurityInstitute,Warszawa. Information Security Aspect of Operational Risk Management [2009],(współautorM.Byczkowski),„FoundationsofManagement”nr2. Bezpieczeństwo systemów informacyjnych[2012],(współautorF.Wołowski),edu-Libri,Kraków.
3. Wzakresiezagadnienia„ciągłośćdziałania”: Ciągłość działania a teoria zarządzania [2006],„EkonomikaiOrganizacjaPrzedsiębiorstwa”nr4. Zapewnianie ciągłości działania jako ograniczanie ryzyka operacyjnego[2010],(współautorP.Gołąb),[w:]J.Monkiewicz,L.Gąsiorkiewicz(red.),Zarzą-dzanie ryzykiem działalności organizacji,C.H.Beck,Warszawa. Business Continuity [2010],„FoundationsofManagement”nr2. Propozycja metodyki zarządzania ciągłością działania[2003],„PrzeglądOrganizacji”nr6. Model oceniania dojrzałości zarządzania ciągłością działania organizacji[2007],„PrzeglądOrganizacji”nr4.
Rozprawa jest uwieńczeniem wieloletnich prac autora nad zagadnieniemsystematycznie doskonalonego zapewniania ciągłości działania organizacji wramachzarządzaniaryzykiemoperacyjnym.Problematykatajestściślezwiązanaz innymi kwestiami z zakresu nauki o zarządzaniu.Widać to, gdywyróżnionesformułowaniepoddasięanaliziepojęciowej.
Ciągłośćtopozytywnacechaaktywnegopostępowaniabliskaznaczeniowotakimpojęciom,jak:konsekwencja,trwałość,odporność,czytradycja[Za-wiła-Niedźwiecki,2010b].Inaczej„konsekwencjarozumianajakocelowe
9Wstęp
następstwokolejnychczynnościzmierzającychdostałegoceluizłożonychwtensposób,żenietylkosobienieprzeszkadzają,leczpewnewcześniejszesłużąjakoprzygotowaniedopewnychpóźniejszych”[Pszczołowski,1978,za Kotarbiński,1973]. Działaniejednoznaczniekojarzysięzaktywnością[Krzyżanowski,1994,s. 107]. Ciągłość działaniatoocenaaktywnościpostrzeganejjakokonsekwentnaiodpornanaprzeszkody[Davidson,2010].Inaczej–„postępowanieorgani-zatorskietworzącezdolnośćorganizacjidoskutecznegoreagowaniawsy-tuacjizaistnieniazakłócenia”[Staniec,Zawiła-Niedźwiecki,2008,s.261]. Organizacja,wtymujęciu,jestutożsamianazpodmiotembędącymsys-tememdziałania,tworzonymwspołeczeństwiewcelachgospodarczych,administracyjnych,non-profititd.[Krzyżanowski,1994]. Systematyczne doskonalenietosztandarowypostulatzarządzaniaprzezjakość,aciągłośćdziałania,jakopostulatsprawnegodziałania,wpisujesięnalistęszczegółowychpostulatówjakościowychfunkcjonowaniaorganizacji[Dahlgaard,Kristensen,Kanji,2004; Szczepańska,2011; Zapłata,2003],wdodatkuzarównonapoziomiezarządzaniastrategicznego,jakiopera-tywnego.Naobupoziomachdoskonaleniejestjednymzkryteriówrealizacjicelu,bliskozwiązanymz innymi, takimi jakskuteczność,sprawnośćczyefektywność[Siwek,Onyszczuk,Bagiński,2006]. Systematyczne doskonalenie to także podstawowa zasada organizacjiuczącejsięizarządzaniawiedzą[Probst,Raub,Romhardt,2002; Perechuda,2005; Tabaszewska,2012].Oznaczaumiejętnośćanalizowaniaiocenianiazjawiskpochodzącychzbieżącejpraktykiorganizacjiorazwyciąganiaznichwnioskównaprzyszłość. Zapewnianietosynonimcałegoszereguokreśleństanowiącychopewnymtypiedziałania(dostarczanie,opracowywanie,przygotowywanie,manipu-lowanie,wpływanie)[Krzyżanowski,1994],wtymujęciude factoorgani-zatorskiego. Zarządzanietoadekwatnedookolicznościsterowanierealizacjąokreślo-negoceluorganizacjiopartenaróżnychpozostającychwdyspozycjizasobach[Krzyżanowski,1994]. Zapewnianie ciągłości działania odnosi się do zarządzania ryzykiemoperacyjnym.Jestrodzajemwpływanianapoziomtegoryzyka,choćniebezpośrednio,niepolegabowiemnapodejmowaniustarańozmianywza-kresieprzyczynryzykaimechanizmujegospełnianiasię,ajedyniestarańozwiększanieodpornościnajegoprzejawy.Istotnątegocezurąjestwięcmoment,wktórymrozwiązaniazapewnianiaciągłościgwarantująorga-nizacjiwpływ na przejawy ryzyka, ama tomiejsce już powystąpieniuzdarzenia krytycznego będącego konsekwencją ryzyka [Staniec, Zawiła--Niedźwiecki,2008].
Wstęp 10
Zapewnianie ciągłości działaniajestrównocześniezwiązanezinnąka-tegorią aktywności zmierzającej do ograniczania ryzyka – z zabiegamizapewnianiabezpieczeństwa[Liderman,2012].Mogąone,podobniedozapewnianiaciągłościdziałania,polegaćnaograniczaniupodatnościorga-nizacjinaoddziaływanieryzyka,alemogąrównieżbezpośrednioinge-rowaćwprzyczyny ryzyka imechanizm jego spełniania się.Wdodatkuzwiązkitemogąwyglądaćtak,żewramachzarządzaniaryzykiemope-racyjnym sięga się po rozwiązania tylko z zakresu zapewniania bezpie-czeństwa(wpraktycejesttoprzypadekczęsty,choćwynikającyzazwyczajzbrakuprzezorności)lubtylkozzakresuzapewnianiaciągłościdziałania(wpraktyceprzypadekbardzorzadki,zwyklezachodzącywtedy,gdyocenaekonomicznejracjonalnościwskazujenakorzyśćwpominięciurozwiązańzapewnianiabezpieczeństwa),bądźzapewnianiabezpieczeństwazintegro-wanegozzapewnianiemciągłości(wpraktyceprzypadekcorazczęstszyorazświadczącyodojrzałymiracjonalnymekonomiczniepodejściudoza-rządzania ryzykiem) [Byczkowski,Zawiła-Niedźwiecki,2009; Wołowski,Zawiła-Niedźwiecki,2012].Ztychpowodównależywidziećzapewnianiebezpieczeństwaizapewnianieciągłościdziałaniajakoczęścizagadnieniazarządzaniaryzykiemoperacyjnym.
Sformułowanietowpełnymbrzmieniumateżładunekaksjologiczny.Kryjesięwnimstaranieozapewnieniedziałanianiezakłóconego,awięcbezpiecznego,dobrzezorganizowanego,właściwieukierunkowanego,powtarzalnegoisprawnego.Wszczególnościbezpieczeństwo,aprzezswójzwiązekznimtakżeciągłośćdzia-łania,sąwartościamipodstawowymidlafunkcjonowaniaspołeczeństwaiposzcze-gólnychludzi[Szmyd,2000; Gasparski,2007].
Zakresproblemowypracyobejmujekilkazagadnień,któreprzenikająsięwcha-rakterystycznysposób,copokazanowtabeliW.1.
MożnateżinterpretowaćceleztabeliW.1jakoodpowiadającehipotezom,że: istniejetriadaproblemowaRyzyko–Bezpieczeństwo–Ciągłość,ajejważnącechąjestintegralnośćfunkcjonalna,copowinnoprowadzićdozintegro-wanegosystemupojęć, istnieje faktyczna relacjakomplementarnościmiędzy zapewnianiemcią-głościdziałaniaapozostałymirodzajamioddziaływańograniczającychryzykooperacyjne, istniejąkryteriaumożliwiająceopracowaniepotrzebnychklasyfikacjiryzykaoperacyjnego, możliwejestopracowaniewskazanychzasadorazmetodykianalizyipro-jektowania.
Realizacjicelówiweryfikacjihipotezsłużyłybadania,którepozwoliłyustalićidoskonalićmodelzapewnianiaciągłościdziałania,metodykęjegorealizacji,ana-stępniezweryfikowaćjejaplikacyjnośćwrzeczywistychprojektach.
Pracaskładasięz6rozdziałówipodsumowania,azałącznikzawieraopisbadań.
11Wstęp
Tabe
la W
.1. C
ele p
racy
i klu
czow
e za
gadn
ienia
w n
iej p
orus
zane
Cele
głó
wne
1. W
ykaz
anie,
że
w o
dnies
ieniu
do
ryzy
ka o
pera
cyjn
ego
słusz
ne je
st tr
akto
wan
ie go
jako
nier
ozer
waln
ej tri
ady
prob
lemow
ej Ry
zyko
–
Bezp
iecze
ństw
o –
Ciąg
łość
2. O
prac
owan
ie m
etod
yki s
yste
mat
yczn
ej an
alizy
ryzy
ka o
pera
cyjn
ego
pojm
owan
ego
jako
ww.
triad
a pr
oblem
owa,
i pr
owad
zące
j do
wsk
azan
ia –
właś
ciweg
o dla
zide
ntyf
ikow
anyc
h za
groż
eń i
poda
tnoś
ci or
az w
ynika
jącyc
h z
tego
pot
encja
lnych
zak
łóce
ń –
spos
obu
post
ępow
ania
prew
ency
jneg
o i n
apra
wcz
ego
Rozd
ział
Zakr
es p
robl
emow
yCe
le
doda
tkow
e od
pow
iada
jące
za
kres
owi p
robl
emow
emu
1. R
yzyk
oRy
zyko
W
skaz
anie
konc
epcj
i ba
dań
nad
moż
liwoś
cią
opra
cow
ania
kom
plek
-so
wej
klasy
fikac
ji ry
zyka
2. R
yzyk
o ope
racy
jne i j
ego
klasy
fikac
jeRy
zyko
op
erac
yjne
jako
triad
a Ry
zyko
–Be
zpiec
zeńs
two
–Ci
ągło
ść
Opra
cow
anie
kom
plek
sow
ej kla
sy-
fikac
ji ry
zyka
ope
racy
jneg
o
3. P
roce
s za
rząd
zania
ry-
zykie
m o
pera
cyjn
ymOp
raco
wan
ie za
sad
syst
emat
yczn
ej an
alizy
ryzy
ka p
rowa
dząc
ej do
ust
ale-
nia k
rytyc
znyc
h pr
oces
ów, g
łówny
ch
zagr
ożeń
i ist
otny
ch p
odat
nośc
i
4. Za
pewn
ianie
bezp
iecze
ń-st
wa
w
zarz
ądza
niu
ryzy
kiem
ope
racy
jnym
Prew
encj
a Za
pewn
ianie
bezp
iecze
ń-st
wa
obejm
ując
e ro
z-w
iąza
nia
zape
wni
ania
ci
ągło
ści
jako
sw
oist
e do
datko
we z
abez
piecz
e-ni
e pr
zed
ryzy
kiem
Zape
wni
anie
ciąg
łośc
i dzia
-łan
ia ob
ejmują
ce za
pewn
ianie
bezp
iecze
ństw
a ja
ko
zbió
r ro
związ
ań w
yprz
edza
jący
ch
potrz
ebę
stos
owan
ia ro
zwią-
zań
zape
wni
ania
ciąg
łośc
i
Wsk
azan
ie re
lacji k
omple
men
tarno
ści
międ
zy za
pewn
ianiem
ciąg
łości
dzia-
łani
a a
pozo
stał
ymi r
odza
jam
i od-
dział
ywań
ogr
anic
zają
cych
ryz
yko
oper
acyjn
e
5. Z
apew
nian
ie ci
ągło
ści
dział
ania
w za
rząd
zaniu
ry
zykie
m o
pera
cyjn
ym
Tera
pia (
postę
po-
wanie
nap
rawc
ze)
Opra
cow
anie
zasa
d pr
awid
łow
ego
post
ępow
ania
w z
akre
sie tw
orze
nia
rozw
iązań
org
aniza
cyjny
ch i p
roce
du-
ralny
ch za
pewn
iania
ciągło
ści d
ziałan
ia og
rani
czaj
ącyc
h ry
zyko
ope
racy
jne.
Źród
ło: o
prac
owan
ie w
łasn
e.
Wstęp 12
Wrozdzialepierwszymokreślonocelizakrespracyorazscharakteryzowanogłównespojrzenianazagadnienieryzykaoperacyjnegoorazzapewnianiaciągłościdziałania.Wkonsekwencjizaśdokonanoprzeglądupodstawowegodorobkuwza-kresietychzagadnień,wtymwskazanopochodzenieigłównąideępodejściadozapewnianiaciągłościdziałania.
W rozdziale drugimprzedstawiono aktualny stanwiedzy iwystępująceproblemywdefiniowaniuiklasyfikowaniuryzyka,któremimoprowadzonychodkilkudziesięciulatbadańnaukowychnadniminadalniezostaływpełnirozstrzy-gnięte.Powodemtegojestpowszechneprzyjmowanie,jakowiodącej,perspektywyfinansowejwstosunkudopełnegospektrumrodzajówryzyka.Tymczasemryzykooperacyjnewodróżnieniuodpozostałychrodzajówryzykawymagaspecyficznegopodejścia,wtymjegoanalizywujęciuorganizacyjnym.Wrozdzialeomówionobranżowe(bankowość,ubezpieczenia,rynekkapitałowy)podejściadodefiniowa-niaikategoryzowaniaryzyka.Jakowkładnaukowyautorazostałaprzedstawionapropozycjaproblemubadawczegoopracowaniauniwersalnejklasyfikacji ryzykauwzględniającej:
specyfikę struktury gospodarki jako sumy branż przez dobór kryteriówuwzględniającychtęspecyfikę, uniwersalnecechyorganizacji, wyznacznikinaturyryzyka.Wrozdzialetrzecimscharakteryzowanoryzykooperacyjne,wskazując,żewswej
istociejesttotriadaproblemowa:Ryzyko–Bezpieczeństwo–Ciągłośćdziałania.Pokazanodominująceobecnieujęcieadekwatnościkapitałowej,charakterystycznedladyscyplinyfinansów,orazomówionojegoniedostatki.Wkonkluzjiprzedsta-wionoopartąnateoriiorganizacjiautorskąklasyfikacjęrodzajówryzykaoperacyj-nego,wykorzystująckilkaspójniełączonychkryteriówzwiązanychzpodejściemprocesowymdozarządzaniaorganizacją,modelowymcyklemzarządzaniaorgani-zacjąorazścisłymzwiązkiempodatnościnaryzykozgłównymirodzajamizasobóworganizacjiizorganizowaniemichwykorzystywania.
Wrozdzialeczwartymprzedstawionoklasycznymodelprocesuzarządzaniaryzykiem,wktórymnewralgicznymelementemjestidentyfikacjaryzyka,ajejkon-sekwencjąanaliza,ocena,wybórpostępowaniazryzykiemijegomonitorowanie.Podkreślonowłaściwedyscyplinienaukiozarządzaniu,aniezawszeobecnewpo-dejściu innychdyscyplin,podejście analitycznewukładzie „przyczyny ryzyka–mechanizmspełnianiasięryzyka–skutkiryzyka”jakojedynepozwalającewpełniwnikliwieopisaćiocenićistotęryzyka.Jakowkładautoradonaukizostałoprzed-stawioneczterowarstwowepodejścieuczącewmonitorowaniuryzyka.
Wrozdzialepiątymprzedstawionozagadnieniazapewnianiabezpieczeństwaiciągłościdziałaniawujęciutzw.zintegrowanegozarządzaniabezpieczeństwem(total security management),którewidzijejakowzajemnieuzupełniającesięwo-becpotencjalnegozagrożenia,tj.wsensiedziałańocharakterzeprewencyjnymzestronyrozwiązańzapewnianiabezpieczeństwa,anaprawczo-zastępczychzestronyzapewnianiaciągłościdziałania.Jakowkładautoradonauki(zpodkreśleniemznaczącej roli Macieja Byczkowskiego, wieloletniego partnera w badaniach tej
13Wstęp
kwestii)scharakteryzowanouniwersalnezasadybezpieczeństwaorazspecyficznezasadyzwiązanezpodejściemorganizacyjnymzperspektywyochronyposzczegól-nychrodzajówzasobóworganizacji.
Wrozdzialeszóstymsformułowanokonkluzjęzwieloletnichbadańautoranadzapewnianiemciągłościdziałaniajakozespołempoczynań,którychcelemjesttakieoddziaływanienazidentyfikowaneczynnikiryzykaoraztakiereagowanienakażde,takżeniezidentyfikowaneprzejawyryzyka,abyjegowpływnadziałalnośćorganizacjizostałograniczony.Zuwaginapionierskiokres(lata90.XXw.)krysta-lizowaniasiępoglądównatozagadnienieiformułowaniapierwszychpropozycjidobrychpraktyk,badaniaautoranakierowanebyływpierwszejczęścinazdefinio-waniemetodykiprojektowaniarozwiązańzapewnianiaciągłościdziałania.Wdrugiejzaśczęścipolegałynasprawdzeniu,czyzałożeniametodyczneznajdująodzwier-ciedleniewprzygotowaniachfirm,które–przymuszoneregulacjamiprawnymi–właśniepodejmowałyproces systematycznegowprowadzania iutrzymywaniarozwiązańciągłościdziałania,wtymaplikowałygoformalniewswejstrukturzeipraktyceorganizacyjnej.Uwzględnianoprzytymformułowanewłaśnieistop-niowo publikowanewzorce dobrych praktyk dotyczących tej problematyki. NapodstawiebadańdopracowanoostatecznymodelmetodycznynazwanyTSM/BCP(TotalSecurityManagement–BusinessContinuityPlanning) idokonanoocenyjegoaplikacyjności.Nakoniecrozdziałuzaprezentowanozasadyweryfikowaniastopniadojrzałościzarządzaniazapewnianiemciągłościdziałania.
Wpodsumowaniudokonanoprzegląduwkładunaukowegoautoraorazsfor-mułowanownioskizbadań,atakżewskazanodalszezagadnieniabadawcze,jakiewynikają z pracy.Autor jest bowiem świadomy, że przedstawionew rozprawieujęciegłównegoproblemupracywyznaczatakżenowepytaniabadawcze.Przed-stawionezasadyzapewnianiaciągłościdziałaniazmierzajądousprawnieniadzia-łań ukierunkowanych na stabilizację funkcjonowania organizacji wwarunkachniepewności i związanego z tym ryzyka. Takie zmiany organizacyjne często sązwiązanezdziałaniamidestrukcyjnymi,tj.najpierwmamiejsceosłabienieistnie-jącegostanu,potemjegozmiana,anastępniezastąpieniegonowymrozwiązaniem,którezkoleiwinnozostaćutrwalone.Podejściezaprezentowanewpracyzakłada,cojestpewnymuproszczeniemwstosunkudorzeczywistości,istnieniepewnychniezmiennikóworganizacji, typu:celebiznesowe,otoczenie,procesy,zasoby,strukturaitp.Pojawiającesięzakłóceniapowodująuruchomieniemechanizmówstabilizującychorganizację,przywracającjądostanuzbliżonegodopoczątkowego.Zatemzasadyzapewnianiaciągłościdziałaniawpisująsięwkoncepcjezarządzaniazmianami,zarządzaniainnowacjami,zarządzaniawiedzą,koncepcjeorganizacjizwinnych,uczącychsięitp.Natymtlemożnapostawićpytania–Czynaruszenieciągłości działania zawsze stanowi zagrożenie dla organizacji? Jak traktowaćwprowadzanie zmian organizacyjnych naruszających przecież także ciągłośćdziałaniaorganizacji?Czyijakwynikiuzyskanewpracymożnawykorzystaćwzarządzaniuzmianami(dlazapewnieniaciągłościdziałaniaorganizacji,wktórejwprowadzanesązmiany)?Teipodobnepytaniapracapozostawiajakoprzedmiotkolejnychbadań.Trzebabowiemnowąproblematykęwpierwuporządkowaćwjejpodstawowymkształcie.
1. Wprowadzenie do problematykiWsferzezarządzaniagospodarkąorazwewspierającejtępraktykęteorii,obser-wuje się radykalnywzrost zainteresowania ryzykiem. Staje się ono znaczącymproblememzarządzania.Fakttenniejestspowodowanywyłączniekumulacjądo-tychczasowejwiedzyipraktykiorazichrozwojem.Wynikaonbardziejztego,żezdecydowanetrendyliberalizacjiiglobalizacjiwgospodarceświatowejdoprowa-dziłydoniespotykanegodotądzintensyfikowaniakonkurencjirynkowej[Nowak,Steagall,Baliamoune,2004].Automatyczniezwiększatoryzykoniepowodzeniaposzczególnychprojektówgospodarczych i całejdziałalnościgospodarczej,pro-wadzonejprzezdanąorganizację1.Wszystkowskazujenato,żedotychczasowestrategiedziałańorganizacjiniesąwystarczające,abytoryzykozminimalizować,askutkiubocznetychstrategiimogąspowodować,żeorganizacjestanąsięofiaraminieuwzględnionegoryzyka,sprzecznychoczekiwańinteresariuszyorazzorganizo-wanejwładzy,zarównokonsumentów,jakigrupmonopolistycznychproducentów[Damodaran,2009; Obłój,2010; Orzeł,2012].
Wtymkontekścietrwająpraceposzukiwaniawspółczesnegomodeluorgani-zacji.Usiłującgozdefiniować,wprowadzonopojęcieikoncepcję„przedsiębiorstwaprzyszłości”[Grudzewski,Merski,2004].Koncepcjatajestpróbąodpowiedzinawyzwaniapostępucywilizacyjnegoorazrozwojugospodarczegoimyślitechnicz-nej.Wyrazemtegosą:
popierwsze–rewolucjainformacyjnapowodująca,żenaczelnąumiejęt-nościąkażdejorganizacjistajesięzarządzaniewiedzą, podrugie–presjaotoczenianaorganizacjęwynikającazezmiennegoza-potrzebowaniarynku,oczekiwaniawysokichstandardówjakościwyrobówi usług, szybkiego rozwoju technologii i techniki, ewolucji wymagańprawnych.
Sątorównieżpraktyczneibezpośrednieprzejawyglobalizacji[Grudzewski,Hejduk,Sankowska,Wańtuchowicz,2010].
1 Jesttoprzedmiotembadańtzw.teoriispołeczeństwaryzyka,zob.:[Beck,2002; Marciniak,2013].
151. Wprowadzenie do problematyki
Szczególnąkonsekwencjąnarastaniakonkurencjijestposzukiwanieiwdrażaniecoraz bardziej wyrafinowanych rozwiązań organizacji pracy, wytwarzania orazświadczeniausług.Tozkoleinarażaorganizacjestosującetakierozwiązanianaspecyficznyrodzajryzyka,bezpośredniozwiązanegozdziałaniemorganizatorskimorazdyspozycyjnościązasobówwewnętrznych[Sołtysik,2001; Krupski,2012a]. Ryzyko tonazywane jest operacyjnym. Jego znaczenie iwpływna skutecznośćdziałaniaorganizacjinadalbędąrosnąć,aznimipotrzebanaukowejpenetracjinatury,źródełisposobówprzejawianiasięryzykaoperacyjnegoorazmożliwościorganizacjireagowanianatakieryzyko[Staniec,Zawiła-Niedźwiecki,2008].
Dodatkowo,szeregdramatycznychwydarzeńgospodarczychipolitycznychostatnichlatpokazałświatu,żesamaświadomośćokreślonychrodzajówryzykajestniewystarczająca,jeśliniestosujesiękompleksowego,dojrzałegozarządzanianim[Nogalski,Szpitter,Rybak,2012],atooznaczazarównopotrzebękontrolnegosprzężeniazwrotnegowcykluzarządzaniaryzykiem[Conrow,2000],jakipo-trzebępostępowaniazastępczegonawypadeknieskutecznościtegozarządzania[Gołąb, 2009].Najbardziejwyrazistym tegoprzykładembył tzw.problem roku2000(nazywanyteżproblemem/ryzykiem/pluskwąmilenijnąalboY2K)[Kendall,2000].Uświadomionywpoczątkachlat90.XXwieku,apolegającynanieprawi-dłowymrozpoznawaniuzapisudatyroku2000przezwiększośćoprogramowaniaprodukowanychwówczassystemówkomputerowych,problemY2Kzmobilizowałdosłowniecałyświatdoprzeprowadzeniaanalizryzyka,wdrożeniaprogramównaprawczychorazplanówpostępowaniaawaryjnegonawypadeknieskutecznościtychkorekt.Opracowanewtymczasiemetodyizasadyorganizacyjneanalizyry-zyka,usuwaniawadorazprojektowaniaplanówawaryjnychsądodziśstosowaneidoskonalone.Tenszczególnyproblem,biorącysięzuproszczeniatechnicznego(po latachbrzemiennegowskutki),prawdopodobniesilniejwpłynąłnateorięzarządzaniaryzykiem,zapewnianiembezpieczeństwaizapewnianiemciągłościdziałaniaoraznajejpraktyczneupowszechnienieniżnawettakdramatycznewy-darzeniajakatakterrorystyczny11września2001roku.
InnegorodzajuwnioskizrodziłysięwkonsekwencjiupadkubankuBarringsw1995rokuorazfirmyenergetycznejEnronw2001roku[MonkiewiczM.,2010]. Obatewydarzeniaodbiłysięszerokimechemwcałymświeciegospodarczym.Doobudoszłozpowodubrakudostatecznejkontroli:
wewnętrznej (Barrings) – upadek spowodowały oszustwa szeregowego,pozornienieznaczącegopracownika, systemowej(Enron)–doszłodonadużyćnajwyższegokierownictwawzmo-wiezfirmąaudytorską.
Upadki obu firm znaczącowpłynęły na fundamentymodelu zarządzaniaryzykiem. Stwierdzono zwłaszcza potrzebę rozbudowania monitorowania orazkontrolnegosprzężeniazwrotnegowcykluzarządzaniaryzykiem,wtymnapozio-miepaństwowychorganównadzorczychiregulacyjnych.Zwróconoteżuwagęnaznaczeniedlaorganizacjinietylkoryzykafinansowego(biznesowego),aleibar-dzoszybkorosnąceznaczenieryzykaoperacyjnego(organizacyjnego)[Vanini,Ebnöther,McNeil,Antolinez,2003; Damodaran,2009].
1. Wprowadzenie do problematyki 16
Wreszciekataklizmyprzyrodniczeoraztechniczneostatnichlat,takiejaktsu-namiwkilkukrajachazjatyckich,huraganynaMorzuKaraibskim,awarieplatformwiertniczych czyelektrowni jądrowych,pokazałyniedostatekprzygotowaniaorganizacyjnegolokalnychspołeczności,organówipracownikówadministracjipublicznejorazpodmiotówpowołanychdoniesieniapomocy2.Skalaagresywnościtychzagrożeńwdużymstopniutłumaczywprawdzieniedostatekreakcji,aleteżwskazujenapotrzebęmetodycznegopostępowaniawbudowaniumechanizmówreagowania.WPolscetakiemuwyciąganiuwnioskówpodramatycznejpowodzinaDolnymŚląskuw1997rokuzawdzięczamyrozbudowanytzw.systemmonito-ringugórnejOdry3orazzasadywspółpracysłużbpowołanychdoniesieniapomocyzpodmiotamipowołanymidomonitorowaniazjawiskprzyrodniczych(np.Insty-tutMeteorologiiiGospodarkiWodnej4).
Aktualny stanpodejściado takich zagrożeń, jakprzykładowowymienionewyżej,wskazujenageneralnąwagęproblematykiryzykawgospodarceiwdzia-łalnościbieżącejorganizacji5. K.Jajuga[2007,s.9]piszeotym:„Znaczeniezarzą-dzaniaryzykiemwzrosłowostatnichlatachnacałymświecie,główniezpowoduzwiększeniasięryzykawgospodarce.Głównymielementamiwskazującyminarozwójzarządzaniaryzykiemsą:
powstawanienowychrozwiązańteoretycznychwzakresieanalizyizarządza-niaryzykiem,któremająupodstawzaawansowanenarzędziateoretyczne, włączanieprzezpodmiotygospodarczezarządzaniaryzykiemdoogólnejstrategiizarządzania, powstaniezawodu„zarządzającyryzykiem”(risk manager), wprowadzeniewymogówinformowaniaostrategiizarządzaniaryzykiemwsprawozdaniufinansowym, powstawaniebazdanychumożliwiającychszacowanieryzyka, tworzenieprzezprofesjonalneśrodowiskaorazprzezinstytucjenadzorczei instytucje regulacyjne standardów iwymogóww zakresie zarządzaniaryzykiem, powstanie międzynarodowych i krajowych organizacji zajmujących sięupowszechnianiemwiedzyistandardówprofesjonalnychwzakresiezarzą-dzaniaryzykiem”.
2 AktualnalistategotypuwydarzeńjestdostępnanaforumdyskusyjnymBusinessContinuitynaportaluprofesjonalistówLinkedIn(www.linkedin.com).
3 BartosiewiczS.,BoguckiJ.[2008],Odrzańska droga wodna w obszarze regionu wodnego Środ-kowej Odry,RegionalnyZarządGospodarkiWodnejweWrocławiu,Wrocław.
4 IMiGWkierujeostrzeżeniadogłównychsłużbpowołanychdoniesieniapomocyorazczęśćostrzeżeńpublikujenaswojejstronieinternetowejwww.imigw.pl.
5 WtrakcieForumMyśliStrategicznejPTE(22.02.2010)W.GumuławreferacieUniwersalia i anomalie w procesach globalizacji XXI wiekupodałinteresującypostulat,abywodpowiedzinarozwójsytu-acjiwgospodarceświatowejsformułowaćparadygmatspołeczeństwaryzyka,cokonweniujezpracą[Beck,2002].Zkoleiwtymkontekścietrzebazwrócićuwagęnakrańcowopesymistycznywariantinterpretacjikryzysugospodarczegopo2008roku[Marciniak,2013],wedługktórejsytuacjawUniiEuropejskiejmożewynikaćzosiągnięciagranicrozwojuwramachaktualniepraktykowanegomodelugospodarczego.
171. Wprowadzenie do problematyki
Szczególnegopodkreśleniawartjestfakt,żechoćgłównewspomnianeprzy-kładydotycząfirmfinansowych,tonaturaproblemów,azwłaszczarekomendo-wanysposóbradzeniasobieznimimającharakterorganizacyjnyinależąwdużymstopniudospecyfikidyscyplinynaukozarządzaniu,anietylkodyscyplinynaukofinansach.Bardzoczęstomamiejscekojarzenieryzykazsektoremfinansowymorazzdyscyplinąnaukofinansach.Tymczasemnależałobytoskomentowaćtak,żesektorowifinansowemuidyscyplinienaukofinansachzawdzięczamyzaawan-sowanie w rozpatrywaniu problematyki ryzyka, natomiast jej naturalny zakresobejmuje kwestiewłaściwe trzemdyscyplinomdziedzinynaukekonomicznych:ekonomii,finansominaukomozarządzaniu,adodatkowosięgająceszereguin-nychdyscyplinzdziedzinnaukspołecznychinauktechnicznychconajmniej.
Wodniesieniudoryzykaoperacyjnegowskazujetonainteresującąkwestię,którabędzierozwijanawniniejszejpracy,żenagruncienaukofinansachwypra-cowujesięgłówniemetodyustalaniapoziomuniezbędnejadekwatnościkapitało-wej(rezerwzdolnychkompensowaćstraty),natomiastistotęspełnianiasięryzykaoperacyjnego(swoistegomechanizmu,któryprowadziodprzyczyndoskutków)możnaokreślić,iwkonsekwencjiwpływaćnajegopoziom,nagrunciedziałaniabędącegoprzedmiotembadaniainnychnaukniżfinanse,zwłaszczanaukozarzą-dzaniu[Staniec,Zawiła-Niedźwiecki,2008].
Rysunek 1.1. Związki zarządzania ryzykiem, zapewnianiem bezpieczeństwa i zapewnianiem ciągłości działania (w ramach teorii organizacji i zarządzania) z teorią niezawodności technicznej oraz zarzą-dzaniem kryzysowym
Źródło: [Zawiła-Niedźwiecki, 2008].
7
Środowisko biznesowe
Zarządzanie kryzysowe
Teoria organizacji i zarządzania
Środowisko techniczne
Ryzyko, bezpieczeństwo,
ciągłość
Środowisko techniczne
Teoria niezawodności
technicznej
1. Wprowadzenie do problematyki 18
Postępowanie,którebezpośredniodotyka istoty ryzykaoperacyjnego ipo-zwala nawpływanie na jego poziom, polega na świadomie łączonej prewencji(rozwiązaniazabezpieczająceprzedryzykiem,możliwedziękirozumieniuistotyprzyczyn) oraz wypraktykowanej umiejętności przeprowadzania terapii (roz-wiązaniaumożliwiającekontynuowaniedziałania)[Zawiła-Niedźwiecki,2006b]. Obietekwestiesąkwintesencjąpojmowaniaryzykaoperacyjnegojakotriadypro-blemowejRyzyko–Bezpieczeństwo–Ciągłość,cojakopropozycjanaukowajestwkłademautoradonauki,azostanieomówionewniniejszejpracy.
Szczególnieistotnedlawyrażeniaumiejętnościkontrolowaniapoziomuryzykajestutrzymywaniezdolnościdozachowaniaciągłościdziałania.Popierwsze,jesttopostulatemdoskonałościsystemudziałania,jakimjestkażdaorganizacja[Zawiła--Niedźwiecki,2008].Wtymsensiezapewnianieciągłościdziałania jestprzed-miotemzarządzaniastrategicznego,wyrażacelnadrzędnysprawnościorganizacjiiobejmujeprymatwobszarzezarządzaniaryzykiemoperacyjnym[DeWit,Meyer,2007; Sudoł,2006].Wperspektywiestrategicznejdodatkowopozostajezagadnie-niemzpograniczadyscyplin:ekonomiiinaukozarządzaniu[Marciniak,2008]. Podrugie, ciągłośćdziałania jest rozumiana jakopostępowanieorganizatorskietworzącezdolnośćorganizacjidoskutecznegoreagowaniawsytuacjizaistnieniazakłócenia będącegowynikiem swoistej interakcji przejawów zagrożenia zwe-wnętrznąpodatnościąorganizacji,jejinfrastruktury,zasobówlubrozwiązańzor-ganizowania.Wtymsensiezapewnianieciągłościdziałaniajestprzedmiotemzarządzaniaoperacyjnegoistanowiostatnieogniwozarządzaniaryzykiemopera-cyjnym [Staniec, Zawiła-Niedźwiecki, 2008]. Ryzyko operacyjne jest niedawnowyodrębnionąkategoriąryzyka6.Podstawowekoncepcje,któregodotyczą,możnaczerpać z trzech źródeł. Pierwszym historycznie jest Komitet Bazylejski7, któryogniskujepracesektorabankowego,właściwiezcałegoświata,nadrekomenda-cjamidobrychpraktykwzakresiezarządzaniakażdymrodzajemryzykaspotyka-negowbankowości.GłównymdokumentemKomitetuBazylejskiegoodnoszącymsiędoryzykaoperacyjnegojestSound Practices for the Management and Supervision of Operational Risk[BaselCommitteeonBankingSupervision,2010]aktualizowany
6 Pierwszapowszechniejprzyjętadefinicjazostałazaproponowanawroku1999przezBritishBankersAssociation[BBA,ISDA,RMA,1999],aostatnia,podawanaprzezKomitetBazylejskiwcyklicz-nienowelizowanymdokumencieSound Practices for the Management and Supervision of Operational Risk[BaselCommitteeonBankingSupervision,2010],pochodzizroku2004.
7 KomitetBazylejski(formalnanazwaCommitteeonBankingSupervision)tomiędzynarodoweciałokonsultacyjneocharakterze„radymędrców”,działającewsektorzebankowym(przyBankuRoz-liczeńMiędzynarodowychwBazylei,stądpopularnanazwakomitetu)ipowołanedowypracowywaniawspólnychrekomendacjidobrychpraktyk.Stopieńrespektowaniatychrekomendacjijestprzyjmowanyprzezkażdykrajniezależnie,wPolscewiększość rekomendacji jestwprowadzanadoregulacjibez-względnieobowiązującychbanki,wniektórychkrajachjesttoograniczanedobankówodziałalnościponadkrajowej.OwocempractegoKomitetu,apraktyczniejegospecjalizowanychzespołów,jestrozległykompleksrekomendacjiznanychpodnazwamiBaselI,IIorazIII.Stałysięonepowszechnymwzorcem,wszereguelementachwykraczającymznaczniepozasektorbankowy.Przykłademniechbędąregułyadekwatnościkapitałowejwprowadzonedouregulowańnowoczesnychfinansówgospodarczychwpo-staciobowiązkuzawiązywaniarezerwnapoczetmożliwychniekorzystnychwydarzeń.
191. Wprowadzenie do problematyki
systematyczniecodwalata,atakżeuzupełniającegomateriały8analizującebieżącąpraktykębankówna świecie i statystyki zdarzeńkrytycznychnależącychdo tejkategorii ryzyka.PodstawowympowodemczęstejaktualizacjiSound Practices… jestnieprecyzyjnośćwydzieleniarodzajówryzykazakwalifikowanychdotejkate-gorii i stałe prace nad doprecyzowaniem zwłaszcza interpretacji rekomendacji.Wskazujetonapodstawowyproblem–braknaukowouporządkowanegospojrze-nianaryzykooperacyjneuwzględniającegopodejściaróżnychdziedzinidyscyplinnaukowych.
Zistotyryzykaoperacyjnego,którezawszetowarzyszykażdejdziałalności,wynika,żeleżyonowzakresiezainteresowaniawszystkichdyscyplinwiedzyzwią-zanychzfunkcjonowaniemorganizacji,awszczególnościekonomii,finansóworazzarządzania.Stopieńtegozainteresowania,acozatymidziestanwiedzywujęciuposzczególnychdyscyplin,sąróżne.Wniniejszychrozważaniachograniczonosiędodziedzinynaukekonomicznych,choćoczywistejest,żeszeregaspektówproble-matykipanowanianadryzykiemdotyczynaukprawnych,technicznychczyspołecz-nych.Dodatkowotrzebapodkreślić,żewaspekcieoperacjonalizacjizarządzaniaryzykiemniniejszapracakoncentrujesięnazapewnianiuciągłościdziałania.
Badaniainaukowekonkluzjedotycząceryzykaoperacyjnegosąnajbardziejzaawansowanewdyscypliniefinansów, czegopoczątekdały sygnalizowane jużpraceKomitetuBazylejskiego.Wśladzanimi,nazasadzieadaptowaniarozwiązańzbankowościdoubezpieczeń,podążaCEIOPS9.Zresztąwszystkiedalejprzedstawioneośrodkibędąceźródłemwiedzyoryzykuoperacyjnymwspółpracujązkluczowymiśrodowiskamibankowymi(tj.nietylkoKomitetemBazylejskim,aleizagendamibankównarodowychlubkorporacjibankowych).Rzutujeto,niekoniecznieko-rzystnie,cozostaniepokazanedalej,nakierunkiichzainteresowańibadań.
Drugimźródłemkoncepcjiryzykaoperacyjnegosąrozproszonejeszczedzia-łaniaakademickie.Przezkrótkiczaswydawałosię,żetakimzagadnienieminten-sywniezajmiesięutworzonywspólnieprzezPolitechnikęiUniwersytetwZurichu–CenterofCompetenceFinanceinZurich(CFZZ).Mimopoczątkowychdeklaracji,działaniaCentrumpozostały jednakwobszarzeklasycznegoryzykabankowego[Vanini,Ebnöther,McNeil,Antolinez,2003; Döbeli,Leippold,Vanini,2003].Podob-niestaraniakilkuuniwersytetówbrytyjskich(OxfordiManchester)orazamerykań-skich(zwłaszczaUniwersytetStanfordaiUniwersytetNowojorski)doprowadziłyjedyniedopowstaniainicjatyw,którestałysiętrzecim(zob.dalej)źródłemwiedzyoryzykuoperacyjnym.Wartowięczauważyć,żenadalzagadnienietowszerokimujęciu,tj.wykraczającympozainterpretacjefinansowe,niemawyraźniewiodącegocentrumbadawczego.Niemniejjednakwartoodnotowaćpracenarodowychkomi-tetównormalizacyjnychAustralii,NowejZelandiiiWielkiejBrytanii,atakżeISO,
8 DokumentyKomitetuBazylejskiegosądostępnenastronieinternetowejBankforInternationalSettlements(BankRozliczeńMiędzynarodowychwBazylei)www.bis.org.
9 CEIOPS(CommitteeofEuropeanInsuranceandOccupationalPensionsSupervisors)–komitet,powołanywramachtzw.procesuLamfalussiego,czyliopracowywaniazasadregulacjisektorausługfinansowychwUE,doprowadziłdoprzygotowaniakompleksuuregulowańnadzorówubezpieczenio-wych,tj.DyrektywyUEzwanejSolvency.
1. Wprowadzenie do problematyki 20
którezaowocowałynormamizasadzarządzaniaryzykiemoperacyjnymwbiznesie(więcejotymw[Wołowski,Zawiła-Niedźwiecki,2012]).
Trzecimźródłemkoncepcjiryzykaoperacyjnegosądwaośrodki. Popierwsze– jakonajstarsza–amerykańska inicjatywaB.Schachtera10 polegającanaprowadzeniuod1996r.zwielkimzaangażowaniemstronyinternetowejwww.gloriamundi.org,któradługiczasbyławłaściwieelek-tronicznąbibliotekąpublikacjinatematryzyka(od1999r.takżeryzykaoperacyjnego),ostatnioulegajużniestetykomercjalizacji.Udostępniaonaszerokizakrespublikacjianglojęzycznych,odksiążek,przezartykuły,poreferatyiprezentacjekonferencyjne,atakżestanowiplatformędyskusjiikonsultacjizawodowych.Zarejestrowanewtymzasobieksiążkiiartykuły,nominalnie z dziedziny zarządzania ryzykiemoperacyjnym, dotyczą jakdotądwyłącznie badania doświadczeń pojedynczych banków lub krajo-wych systemówbankowychw zakresiewyceny ryzyka lub statystyk ichczynników,aniepodejmująaspektóworganizacyjnychinnychniżkwestieładukorporacyjnegoinadzorukrajowychregulatorów. Podrugie,wWielkiejBrytanii,podauspicjamiOxfordUniversityorazUni-versityofManchester,aprzyudzialenaukowcówamerykańskich,wydawanajestrodzinamiesięcznikównaukowych„RiskJournals”,awjejramachod2008r.osobny„JournalofOperationalRisk”,którypodejmuje tytułowątematykę,niestetywyłączniewujęciunaukofinansach.
Ogół publikacji dostępnych z tych trzech źródeł jest z naukowegopunktuwidzeniabardzoróżnejwartości,główniedlatego,żeproblematykatajestprzedewszystkimpostrzeganazbardzoutylitarnegopunktuwidzenia,atymsamympraceukierunkowanesąnaposzukiwanie:
wobszarze bankowościmetod dokładniejszego szacowania ryzyka orazbadaniawszelkichjegokorelacji, analogiimiędzybankowościąapozostałymiczęściamisektorafinansowego, analogiimiędzy bankowością a innymi sektorami aktywności gospodar-czej,aletylkowaspekcieszczególnychrodzajówryzykafinansowego.
Najistotniejszedlaniniejszychrozważańjestto,żewpracachtychdominujeperspektywafinansowaocenyryzyka.PolegatonawykorzystywaniuwpodejściudoryzykaoperacyjnegowieloletnichdoświadczeńKomitetuBazylejskiego(orazśrodowiskgospodarczychinaukowychznimzwiązanych)wzakresieszacowaniaposzczególnychrodzajówryzyka,dokonywanegowceluustaleniatzw.adekwat-nościkapitałowej11.Wefekcieutrwalasięwyraźnalukawwiedzyoinnychmożli-
10 BarrySchachter–amerykańskipraktykinaukowiecUniwersytetuNowojorskiego.11 Dyrektywa2006/48/ECbędącarealizacjąBaselIIpodajetrzy,corazwyższegopoziomu,me-
todykalkulacjiryzykaoperacyjnego:BasicIndicatorApproach,StandardisedApproachlubAlternativeStandardisedApproachiAdvancedMeasurementApproaches.Wszystkiesłużąobliczaniuadekwatnościkapitałowej.Kwestieorganizacyjno-prawnesąuwzględnianetylkojakowarunkidopuszczeniadosto-sowaniametodwyższegopoziomu[Krasodomska,2008].
211. Wprowadzenie do problematyki
wościachoddziaływanianaryzykooperacyjneniżtworzenierezerwfinansowych.Innych,tzn.środkamiocharakterzeprawnym,organizacyjnymitechnicznym.
AnalogicznieprzedstawiasięobrazpublikacjiwPolsce.Zagadnienieryzykaoperacyjnegojestoczywiścieporuszanewniemalwszystkichopracowaniachpo-święcanychryzyku,aleprzeważniewramachpodawaniaklasyfikacjiryzykalubdokonywaniaogólnegoprzeglądurodzajówryzyka,wdodatkuwyłączniewwy-miarzefinansowym.OdpoczątkuXXIw.opublikowanoteżkilkapracspecjalniepoświęconychryzykuoperacyjnemu,głównieinterpretującychrekomendacjeKo-mitetuBazylejskiego[Matkowski,2006; Urbankowska-Bąk,2007; Krasodomska,2008].Natomiastukazałasiędotądtylkojednapozycja[Staniec,Zawiła-Niedź-wiecki,2008],którarozszerzakatalogzagadnieńryzykaoperacyjnegoo:
zarządzaniewkryzysie, bezpieczeństwośrodowiskowe, bezpieczeństwoprocesowe, bezpieczeństwopracy, ryzykozawodowe, bezpieczeństwoosobowe, bezpieczeństwoinformacji, bezpieczeństwoinformatyczne, bezpieczeństwofizyczne, bezpieczeństwotechniczne, ochronęwartościmaterialnychiniematerialnych, ciągłośćdziałania.Dopierotakierozszerzonepodejściepozwalawpełniwykorzystywaćdoro-
beknaukoorganizacjiizarządzaniuwceluograniczaniaryzyka.Cojeszczeważ-niejsze,tylkotakiepodejścieuświadamia,żeakurattenrodzajryzykaodnosisiędozjawiskiproblemówzdziedzinyzarządzania,które–choćwcześniejnieprzypi-sywanedoryzykaoperacyjnego–sąoddawnaznaneimogąsłużyćsprawdzonymikoncepcjami,metodamioraztechnikamiorganizatorskimiizarządczymi.
Zarządzaniejestdyscyplinąnaukowątaksilniezwiązanązpraktyką,jaksąmożetylkodyscyplinynauktechnicznych,izwiązektenzapewnenieprzypadkowotkwiwkorzeniachprzemysłowychpierwszychkoncepcjiteoriiorganizacji,apo-temzarządzania.Jestwięcono inaukąstosowaną,awszelkie jegokoncepcjezawszeweryfikowanesąempirycznie.Oznaczatospecyficznypragmatyzm, jakimusitkwićwtychkoncepcjach,abymogłyzostaćzaakceptowanetakwśrodowi-skachnaukowych(teoretyków),jakiwśrodowiskachbiznesowych(praktyków).Pragmatyzmtakiwpierwszymrzędzienakazujeuwzględnićwkażdejkoncepcjiteelementy,któreprzybliżająjądorealiówpraktyki,coprzecieżniejestłatwe,awłaściwieniejestmożliwewpełni,więcprzynajmniejstopieńupraszczaniarze-czywistościwteoretycznymmodelupowinienbyćjaknajmniejszy.Zkoleiwna-ukowych technikach analitycznych chodzi o to, aby w badanej rzeczywistościustalićwszelkieteelementy,którestanowiąojejprawdziwejzmienności,niesta-
1. Wprowadzenie do problematyki 22
bilności,dynamice.Ważnymwyzwaniemzarządzaniajestbowiemito,żebardzoczęsto podejście standardowe, typowe, oparte na prawidłowościach statystycz-nychnieprowadzidooczekiwanychrezultatów,asukcesbywazwiązanyzodstę-powaniemodstandardówistatystyk.
Perspektywaryzyka(awłaściwietrzechzintegrowanychperspektyw:Ryzyka–Bezpieczeństwa–Ciągłościdziałania)wprzekonaniuautoramożestaćsięklu-czemdointerpretacjiwspółczesnychwyzwańzarządzania.Powodytakiegostano-wiskasąnastępujące(aszczegółowowyjaśnianewpracy):
przez analizowanie ryzykanajpełniejwyjaśnia się powody ograniczonejprzewidywalnościdowolnegodziałania, przezwyznaczaniekierunkówzabezpieczanianajpełniejwskazujesięspo-sóbzwiększaniatakiejprzewidywalności, zapewnianieciągłościdziałanianajpełniejwyrażaludzkiedążeniedopeł-nejzaradnościwobecutrudnieńwpowziętychdziałaniach.
Wtymkontekścienależyspojrzećnawspółczesnekoncepcjezarządzaniaimiejsceproblematykiryzykaoperacyjnego,którezjednejstronymożebyćele-mentempodejściawłaściwegodladanejkoncepcji,azdrugiejstronymożebyćprzedmiotemoddziaływaniawłaściwegodladanejkoncepcji.Ogólnieilustrujetotabela1.1,prezentującnajczęściejobecniedyskutowanekoncepcje,przyczympa-miętaćnależy,żeprzeważnieniewykluczająsięonewzajemnie,częstokorzystająztychsamychmetod,technikinarzędzizarządzania,awdanejorganizacjiwspół-tworząbieżącąpraktykęzarządzania.
Zpowyższegowynika,ajestdokładniejpokazywanewniniejszejpracy,żeryzykooperacyjnejestzawszeobecnewzarządzaniuorganizacjąwedługdowol-nejzkoncepcji zarządzania.Natomiastwodwrotnymujęciu, tj.odpowiedzinapytanie–którazkoncepcjizarządzaniaszczególniedobrzesłużywyjaśnianiuistotyryzykaoperacyjnego–wypadawskazaćpodejścieprocesowe,podejściezasoboweipodejścieorganizacjiuczącejsię.
Podejścieprocesowejestpodstawąustalanianajbardziejnewralgicznejczęścidziałalności organizacji widzianej jako zbiór procesów krytycznych [Kaszubski,Romańczuk,2012; Nowosielski,2008; Skomra,2010; Szczepańska,2011].Analizaichwrażliwościpozwalazidentyfikowaćzbiórzasobówkrytycznych,tzn.najbar-dziejpodatnychnazagrożenia,azarazemkluczowychdlamożliwościutrzymaniaciągłościprocesówkrytycznych.Wostatnich latachnotuje się specyficznyrene-sanspodejściazasobowego[Krupski,2012a;2012b].Niezależnieoduwagkry-tycznychwodniesieniudoujęciastrategicznegotegopodejścia[Czakon,2010],wkontekścieanalizyryzyka(waspekciezapewnianiaciągłościdziałania)jestonopodstawowezuwaginafakt,żeorganizacyjnenaruszenieciągłościdziałaniaza-wszepoleganabezpośredniejutraciezasobówlubutraciekontrolinadzasobami.Wyznaczatotrybpodejściaanalitycznegowzapewnianiubezpieczeństwaiciągłościdziałania[Byczkowski,Zawiła-Niedźwiecki,2009; Zawiła-Niedźwiecki,2010a].
231. Wprowadzenie do problematyki
Tabela 1.1. Współczesne koncepcje zarządzania w aspekcie zarządzania ryzykiem operacyjnym
Typy podejścia Koncepcje zarządzania Przykłady typowych związków z ryzykiem operacyjnym
Nastawienie na proces zarządza-nia organizacją
Zorientowane prorynkowo W szczególności ryzyko nietrafności decyzji, np. [Krupski, 2012a b; Obłój, 2007, 2010; Penc, 2010].
Zorientowane projakościowo i na wartość
Zapewnianie bezpieczeństwa i ciągłości działania w ramach zapewniania jakości, np. [Zymonik, Hamrol, Grudowski, 2013]. Istnieje też sugestia, że zarządzanie ryzykiem operacyjnym jest w ogóle częścią zarządzania przez jakość, np. [Blim, Byczkow-ski, Zawiła-Niedźwiecki, 2005]. Kwestie zagrożenia utraty wartości w ujęciach zarówno finansowych, jak i organizacyjnych, np. [Urbańczyk, 2007].
Zorientowane na wyniki i sprawność
Uwzględnianie ryzyka operacyjnego w aspekcie unikania zakłóceń, np. [Marciniak, 2008].Niebezpieczeństwo przeregulowania wewnętrznego, kwestia zachowania prymatu wyników nad bezpie-czeństwem, np. [Zawiła-Niedźwiecki, 2008].
Zorientowane procesowo Identyfikacja i analiza procesów krytycznych, np. [Charters, 2011; Hamrol, 2005].
Zorientowane projektowo Zarządzanie ryzykiem projektu, np. [Pritchard, 2001; Trocki, 2012].
Zorientowane na logistykęZakłócenia i przerwania łańcucha dostaw jako ty-powe wyzwanie zarządzania logistycznego, np. [Ciesielski, 2006; Rutkowski, 2008].
Zorientowane na:• reengineering,• outsourcing, • cloud computing
Bezpieczeństwo i ciągłość usług w kontekście ra-dykalnej reorganizacji, np. [Trocki, 2001; Zgajewski, 2013].
Zorientowane na:• społeczną odpowiedzialność, • etykę • zaufanie
Nieodpowiedzialność jako swoista analogia nie-bezpieczeństwa oraz jako jego przyczyna, np. [Ga-sparski, 2007; Grudzewski, Hejduk, Sankowska, Wańtuchowicz, 2009, 2010].
Zorientowane na:• wiedzę, • kompetencje, • kapitał intelektualny, talenty
Niedostatek wiedzy lub nienadążanie za rozwojem, np. [Borkowska, 2005; Grudzewski, Hejduk, 2000; Masłyk-Musiał, 2005; Tabaszewska, 2012; Wyro-zębski, Juchniewicz, Metelski, 2012].
Zorientowane na wczesne ostrzeganie
Praktyczna przydatność prewencji wobec zagrożeń, np. [Zoleński, 2010; Skomra, 2010; Tyrała, 2001].
Zorientowane na okazje (w ra-mach podejścia zasobowego)
Ryzyko jako szansa, np. [Bernstein, 1997; Gulski, 2010; Krupski, 2011].
Zorientowane na infonomikęUzależnienie od informacji i od sprawności syste-mów jej przetwarzania, np. [Czekaj, Ćwiklicki, 2009; Borowiecki, Czekaj, 2010; Malara, Rzęchowski, 2011].
1. Wprowadzenie do problematyki 24
Typy podejścia Koncepcje zarządzania Przykłady typowych związków z ryzykiem operacyjnym
Nastawienie na zmiany organizacyjne
Zorientowane na zmiany ra-dykalne
Ryzyko stanowi typowy kontekst wprowadzania zmian (kwestie: skuteczności zmiany, odpowiedniej procedury, trafnego terminu itp., np. [Borowiecki, 2009; Kosieradzka, 2012; Masłyk-Musiał, 2003, Skalik, 2008].
Zorientowane na zmiany sys-tematyczne
Zorientowane na benchmar-king
Nieodpowiedni dobór wzorca, niewłaściwy proces dostosowania, np. [Andersen, 1995].
Zorientowane na innowacjeW szczególności ryzyko nietrafności decyzji o in-nowacji, np. [Penc, 2010; Perenc, Hołub-Iwan, 2011; Poznańska, Sobiecki, 2012].
Nastawienie na formy organizacji
Zorientowane na:• organizację uczącą się,• organizację inteligentną,• organizację zwinną
Nienadążanie za rozwojem, niedostatek elastycz-ności organizacyjnej, np. [Grudzewski, Hejduk, 2000; Plebańska, 2013; Senge, 2006].
Zorientowane na organizację sieciową
Niebezpieczeństwo zrywania powiązań lub ich nie-efektywności, np. [Czakon, 2011; Macełko, 2009; Łobejko, 2012; Perry, Riege, Brown, 2004; Rataj-czak-Mrozek, 2009].
Zorientowane na organizację wirtualną
Uzależnienie od środowiska teleinformatycznego, np. [Brzozowski, 2010].
Powrót do tradycyjnych koncepcji zarządzania
Zorientowanych systemowo
Dobór i współdziałanie elementów organizacji jako systemu, wcześniej np. [Bocheński, 1993; Koź-miński, 1976; Krzyżanowski, 1994], obecnie np. [Dixit, Nalebuff, 2008; Lisiński, 2004; Obłój, 2010; Romanowska, 2009].
Zorientowanych zasobowo Identyfikacja zasobów krytycznych, tzw. minimalnej akceptowalnej konfiguracji, np. [Charters, 2011].
Zorientowanych na czas i indywidualną energię
Specyficzna dla człowieka podatność na indywidu-alne przesłanki działania, np. [Schwartz, 2007].
Źródło: opracowanie własne na podstawie: [Czekaj, Lisiński, 2011; Dworzecki, Nogalski, 2011; Jagoda, Lichtarski, 2003; Krzyżanowski, 1999; Lichtarski, 2010; Nowosielski, 2008; Stabryła, 2012; Szczepańska, 2011; Zimniewicz, 2009]12.
Osobnąkwestiąjestaspektkulturyorganizacyjnej[Goszczyńska,Studenski,2006; Hopej-Kamińska,Kamiński,2009],którywceluzapewnianiaciągłościdzia-łaniapowinienpolegaćnastałymdoskonaleniutejzdolności,takwzakresieana-lizyryzyka,jakireagowanianasymptomyspełnianiasięryzyka,awięcpolegaćna
12 Uwzględnionorównieżserięartykułówpoświęconychprzełomomwzarządzaniu,opublikowa-nychw„PrzeglądzieOrganizacji”nr3/2011,napisanychprzezZ.Dworzeckiego,A.Stabryłę,J.Lich-tarskiego,M.Romanowską,R.Borowieckiego,T.Rojka,L.Kiełtykę,atakżeartykuł[Szpitter,2011].
251. Wprowadzenie do problematyki
rozwiązaniach zapewniania bezpieczeństwa i zapewniania ciągłości [Korze-niowski,2012].
Dodatkowegoomówieniawymagakwestiawiedzyosamejproblematyceza-rządzania zapewnianiem ciągłości działania.Możliwe są tu trzy generalne per-spektywy naukowe – dyscypliny ekonomia, dyscypliny finanse oraz dyscyplinyzarządzanie.Zperspektywyekonomii podstawowymzamierzeniem jest zapew-nienie ciągłości działalności operacyjnej oraz zapewnienie ciągłości (zdolności)finansowej.Wiążesiętozdziałaniamimakro(zjawiskaglobalneiregionalne)imikroekonomicznyminapoziomiepodmiotówgospodarczych.Zapewnianiecią-głościekonomicznejpowinnonastępowaćprzezidentyfikacjęstopnianieokreślo-ności perspektyw zjawisk gospodarczych i dobieranie działań o akceptowanympoziomieryzyka.Każdązperspektywcharakteryzująpodstawowekategorieipro-cesy, między którymi zachodzą podstawowe zależności determinujące ciągłośćdziałania(rys.1.2).Dominująkategoriemakro,np.inflacjanietylkowpływanainnekategorieiprocesymakroekonomiczne,alerównieżoddziałujenaciągłośćoperacyjnąifinansową,awnastępnejkolejnościnaprocesymikroekonomiczne.Dodatkowowystępująkategoriewspólne,np.produkcjamakro,operacyjnaimikro.WszystkieonewartesąspecjalnychbadańwujęciutriadyproblemowejRBC.
Ciągłość zarządzania
Ciągłość dziedzinowa operacyjna mikroekonomia
finansowa makroekonomia
Rysunek 1.2. Ekonomia a ciągłość w ujęciu podstawowych perspektyw
Źródło: opracowanie własne na podstawie [Wojtyna, 2004; Jajuga, Jajuga, 2008].
Wskazywanawrozważaniachteoretycznych[Kaczmarek,Ćwiek,2009; Sier-pińska,2007],akoniecznawpraktycegospodarczej,jesttakżeanalizaciągłościdziałaniazperspektywyrachunkowości(finanse).Wtymujęciuciągłośćjestanali-zowanaprzezbadanieprocesówgospodarczychnapodstawiezdarzeńgospodarczychisystemurachunkowościfinansowej.Kluczowąkwestiąjestanalizawykorzystaniadanychekonomicznychprzezprzedsiębiorstwo(dotyczytozarównodziałalnościorganizacyjnej,jakifinansowej)[Wojtyna,2008,2011; Marciniak,2008]:
wujęciumakropodkąteminflacji(wtyminflacjioczekiwanej),bezrobocia,wzrostugospodarczego,różnickursowych; wujęciumikropodkątemkonkurencyjności,innowacyjności,popytuijegoelastyczności, przewidywanej innowacyjności, realizacji procesów inwe-stycyjnych.
1. Wprowadzenie do problematyki 26
Takaanalizanawiązujedopodziałuzrysunku1.2,bowiemzapewnieniecią-głościfinansowejosiągasięprzezanalizęiwybórsposobówprawidłowegozarzą-dzaniapłynnościąfinansową,azapewnienieciągłościoperacyjnejprzezanalizęiwybórsposobówzarządzaniakonkurencyjnością,zmianamipopytuizmianamiwpozyskiwaniuwszystkichtrzechniezbędnychczynnikówprodukcji[Sierpińska,Jachna,2007].
Zkoleiprzeznaukęzarządzaniazagadnieniezapewnianiaciągłościdziałaniawswoistejdlatejnaukiinterpretacjijestjakdotądpodejmowanetylkoszczątkowo[Kaczmarek,2003,2006; Koźmiński,2004; Obłój,2007,2010; Staniec,Zawiła--Niedźwiecki,2008],mimożestabilnośćdziałaniaczytrwałośćproceduristruk-turorganizacjisąmotywamiteoriiorganizacjiodsamegojejpoczątku.MożnająwyinterpretowaćzpierwszychkoncepcjiF.Taylora[1972],prawaharmoniiK.Ada-mieckiego [1972] czy postulatu bezpiecznej organizacjiH. Fayola [1972]. Nie-mniejjednakjakoważnepraktycznewyzwaniezaczęłabyćformułowanadopieroodczasurewolucjiinformatycznejprzełomulat70.i80.XXw.Wtedytopierwszeinstytucjeosiągnęłynatylewysokipoziominformatyzacjidziałalności,żezaczęłyodczuwaćuzależnienieswegowizerunkuwoczachklientówiswychwynikówekonomicznychodniezakłóconegodziałaniasystemówteleinformatycznych.Takieźródłowspółczesnegopostrzeganiaproblemuzapewnianiaciągłościdziałaniajakonieprzerwanegoświadczeniausługprzyczyniłosiędorozwojuofertyfirmdorad-czychwtymzakresieorazdoukształtowaniasiękilkuznaczącychośrodkówpra-cującychnadrekomendacjamidobrychpraktykzapewnianiaciągłościdziałania.Najbardziejznaneto:
amerykańskiDisaster Recovery Institute International (The Institute forContinuityManagement),istniejącyod1989r., brytyjskiBusinessContinuityInstitute,założonyw1994r., amerykańskiVirtualCorporation,powołanyw1994r., azjatyckasiećBusinessContinuityManagementInstitute,rozwijanaod2005r.13.
Działalność ichpoleganakomercyjnymdoradztwie,rozwijaniuwłasnychstandardówrekomendowanegopostępowania,szkoleniachpołączonychzudzie-laniemcertyfikatówkwalifikacji,integrowaniuśrodowiskspecjalistówprzezofe-rowanieelektronicznychitradycyjnychformwymianydoświadczeńispotkańorazpublikowaniewytycznychiopisówprzypadków(case-study)charakterystycznychdlaposzczególnychdziedzinprowadzeniabiznesuiadministracji.Środowiskatewspieranesąteżprzezgrupyprzedsiębiorcówszczególniezainteresowanychroz-wojemtakichrekomendacji.Liderzytychprzedsięwzięćzregułyuczestnicząrów-nieżwdydaktyceakademickiejzwiązanejzkształceniemwzarządzaniubiznesem.
Drugimnurtemrozwojukoncepcjizarządzaniazapewnianiemciągłościdzia-łaniasąpracekomitetównormalizacyjnych,zwłaszczaAustraliiiNowejZelandii,Singapuru,USAorazWielkiejBrytanii(więcejw[Wołowski,Zawiła-Niedźwiecki,
13 Zob.www.bcm-institute.org,www.drii.org,www.thebci.org,www.virtual-corp.net
271. Wprowadzenie do problematyki
2012]).Charakterystycznejestteż,żeaspektyzapewnianiaciągłościdziałaniapo-jawiająsięprzyokazjipracnadwypracowywaniemstandardówwzakresieusług,bezpieczeństwa,zarządzaniakryzysowego.WidaćtownormieISO20000,nor-machISOserii2700X,normieISO31000,normieISO22301,normieISO22313 [Chmielewski,Szomański,Waćkowski,2010].Podobnie jestwprzypadkureko-mendacjiKomitetuBazylejskiego,wPolsceimplementowanychwRekomendacjiDiRekomendacjiMKomisjiNadzoruFinansowego.
TakżewPolscedominująrozproszonedziałaniakomercyjnychusługdorad-czych.Usługitakiezzakresuanalizyzagrożeńiprojektowaniarozwiązańza-pewniania ciągłości działania znajdują sięwoferciewszystkichwiększychfirmdoradczych,częśćznichwręczspecjalizujesięwtejproblematyce14.Ponadto,od2008r.ukazałysiępierwszepublikacjeopracowanewśrodowiskachnaukowych[Zawiła-Niedźwiecki, 2008; Gołąb, 2009; Kaczmarek, Ćwiek, 2009; Davidson,2010; Kaszubski,Romańczuk,2012].
Z powyższego przeglądu wynika w szczególności potrzeba podkreślenia różnicy w postrzeganiu ryzyka z perspektywy dyscyplin naukowych ekonomii i finansów a dyscypliny zarządzania.Wujęciuekonomiczno-finansowymchodziprzedewszystkimookreślenieodpowiedniegopoziomuzasobówniezbędnychdosfinansowaniaskutkówspełnieniasięryzyka.Zasobyteniemogąbyćzamałe,aleteżnieracjonalniebyłobygdybyichpoziombyłzbytwysoki,dlategobadaniasku-piająsięnametodachmożliwie trafnegomodelowania tegopoziomu.Wujęciuteorii zarządzaniawwiększym stopniu chodzi o aspekt zdecydowanie bardziejorganizacyjny.Popierwsze,chodzioniedopuszczaniedospełnianiasięryzyka,a po drugie o zaplanowanie reagowania organizacyjnego nawypadek jednakspełnieniasięgo.Oznaczato,żepotrzebnajestdokładnaznajomośćjegoistotywznaczeniumechanizmuzagrożeniaorazkontekstujegowystępowaniazwiąza-negozzasobowo-organizacyjnymiuwarunkowaniamidziałaniadanejorganizacjii jejotoczenia.Oczywiścieobaujęcia–ekonomiczno-finansoweizarządzania–uzupełniająsięwposzukiwaniujaknajlepszegorozumienianaturyryzykaijegospełnianiasięorazdoborusposobówreagowania.Wodniesieniudoreagowaniapodejście finansowema jednak charakter statyczny, podczas gdy rozwiązaniaorganizacyjne zapewniania ciągłości działania cechuje dynamika i elastycznośćdostosowywania się do konkretnej sytuacji zdarzenia będącego konsekwencjąspełnieniaryzyka.
Rosnącawiedzanaukowa,zwłaszczawobecwskazywanychwyżejparadok-salnychzapóźnieńwformułowaniunaukowychustaleńcodozasadoperacyjnychiorganizacyjnychzarządzaniaryzykiemoperacyjnymwaspekciezapewnianiacią-głościdziałania,skłaniadopoglądu,żezachodzipotrzebaobjęciatejproblematykiintensywniejsząrefleksjąibadaniaminaukowymizperspektywydyscyplinynaukozarządzaniu,codotądprawieniemiałomiejsca.Ważnympytaniemjestusytuowa-niezagadnieniatriadyRyzykooperacyjne–Bezpieczeństwo–Ciągłośćdziałania
14 Zob.np.www.ey.com,www.ibm.com,www.ensi.net,www.talex.pl,www.atm-si.com.pl,www.davidson.pl
1. Wprowadzenie do problematyki
wtejdyscyplinie,tzn.czyiwjakimzakresienależyonodoniej,awjakimleżypozanią.Rozprawapokazuje,żetriadatajestważnączęściąteoriizarządzaniaiżepilniepotrzebnejesttrwałesformalizowaniejejsystemupojęć,zasadpostępo-waniawjejramachorazregułzarządzanianią.
2. Ryzyko
2.1. Ryzyko i niepewnośćDodniadzisiejszegopojęcieryzyka15jestniejednoznacznezewzględunawielośćinterpretacjinadanychmunaprzestrzeniwielulat.Odbardzodawnaznaczenietegosłowawiązanebyłozjednejstronyz„niepewnością”,azdrugiejz„przypad-kiem”i„hazardem”.PoważnepróbysprecyzowaniapojęciaryzykapodjętowokresieXIX-wiecznegokształtowaniasięnowego,codomodelugospodarczegoipolitycz-nego,społeczeństwa.Tenmodel,pooczywistejdalszejewolucji, funkcjonujedodziś16, aważną społecznie rolę nadanow nim instytucjomwprawdzie znanymdużowcześniej, ale dopierownowej sytuacji gospodarczej uzyskującym statusszczególnego społecznego znaczenia i odpowiedzialności, tj. bankom i firmomubezpieczeniowym.Współcześniestanowiąonemiędzynarodowe–jakUniaEuro-pejska–orazkrajowesystemyfinansowe,którychstabilnośćjestwarunkiemtaklokalnej,jakiglobalnejrównowagigospodarczej.Systemyteiichznaczeniewyni-kajązespołecznejpotrzebyzarządzaniaryzykiem,cojestprzecieżistotąfunkcjo-nowania firmfinansowych. Ich podejście zostało też transponowanedo innychbranż, a ponadto zaczęto dostrzegać także pozafinansowy aspekt ryzyka. Stądtrwałapotrzebabadaniaicorazprecyzyjniejszegodefiniowaniaryzykaorazwyod-rębnianiajegorodzajów.
Samychdefinicjiryzykajestwiele,podstawoweprzytaczamza[Czekaj,Dresler,2008; Nahotko,1996; Reilly,Brown,2001; Waściński,Krasiński,2010; Wilimowska,Wilimowski,2001; Wojtasiak,2003]:
15 Obszernąanalizęetymologicznąpojęcia„ryzyko”podają:Kaczmarek[2006],Klimczak[2008],Matkowski[2006],Winiarski[2007].
16 Wniniejszejpracyniestaranosięowywódściślehistoryczny.Zarównoprzesłankiwspółczesnejgospodarki,jakibankowościczyubezpieczeńmożnawniektórychkrajach–np.wAnglii–odnaleźćjużwIpołowieXVIIIwieku.Popularnąprezentacjęrozwojumyśleniaoryzykumożnaznaleźćwksiążce[Bernstein,1997],awksiążce[Kaczmarek,2006]histogramnajważniejszychwydarzeńkształtującychteorięryzyka.
2. Ryzyko 30
J.Czekaj,Z.Dresler–Ryzykooznaczasytuację,wktórejprzyszłychwarun-kówgospodarowanianiemożnaprzewidziećzcałąpewnością,aznanyjestroz-kładichprawdopodobieństwa.Ryzykowystępujenawetwówczas,gdytylkojedenzczynnikówsytuacjiniejestznany,aistniejeprawdopodobieństwojegowystąpienia.
D.E. Fischer,R.J. Jordan–Ryzyko toniepewnośćprzyszłegodochodu lubrozkładprawdopodobieństwaprzyszłegodochodu.
M.J.Gardner,D.L.Mills–Ryzykotopotencjalnewahaniaoczekiwanegodo-chodu.
R.Holscher–Ryzykotozagrożenienieosiągnięciazamierzonegozysku,wy-nikającezposiadanianiepełnejinformacji.
F.Knight(takżeO.Lange)–Ryzykotoniepewnośćprzewidywaniazdarzeńwprzyszłości,wynikającazniepełności iniedokładnościdanychstatystycznych,napodstawiektórychdokonuje się szacowaniaprzyszłości. Istniejeniepewnośćmierzalna(ryzyko)iniemierzalna(niepewnośćsensu stricto),podziałtenopierasięnamożliwościlubniemożliwościzastosowaniamiarstatystycznychdoszaco-wanianiepewności.
E.Kreim–Ryzykooznaczapodejmowaniedecyzji,któreniesąoptymalnezpunktuwidzeniazałożonegocelu,zewzględunafaktniepełnejinformacji.
S.Nahotka–Ryzykojestzjawiskiemobiektywnym–dotyczyrealnychzjawiskgospodarczych,mającychzwiązekz instrumentemzagrożenia (niebezpieczeń-stwa),wynikającychzezmienności(skali idynamikizmian)postroniepopytu,działalności konkurencji, warunków kooperacji, działań regulacyjnych państwa(podatków,ulg).Jesttakżezjawiskiemsubiektywnym,bojestuwarunkowanesta-nemwiedzyoprocesachgospodarczych.
I.Pfeffer–Ryzykomożnamierzyćzapomocąprawdopodobieństwa,niepew-nośćjeststanemumysłumierzonymstopniemwiary.Obatepojęcianiemogąbyćtożsame,ryzykoistniejewięcwtedy,gdyktośsobieztegozdajesprawę.
F.K.Reilly,K.C.Brown–Ryzykotobrakpewności,żejakaśinwestycjaprzy-niesieoczekiwanąstopęzwrotu.
J.K.Sinkey–Ryzykotoniepewnośćzwiązanazprzyszłymiwydarzeniamilubwynikamidecyzji.
Ujęcie psychologiczne – Ryzyko to stan umysłu człowieka. Jeżeli stan tenulegazmianie,tozmieniasięrównieżryzyko.Ryzykoistniejewtedy,gdypodmiotmaświadomośćjegoistnienia.
A.H.Willet–Ryzykojakoniepewnośćwystąpieniaokreślonychskutkówsta-nunatury.Jestpewnąobiektywnąprawidłowościącharakterystycznądlaświatarealnego,któryjestsubiektywniepostrzeganyiinterpretowanyprzezjednostkę.
Wobecrozległościproblematykiobjętejtympojęciemaktualnawiedzaory-zykustałasięteoriąobszernąiwielowątkową.Zjednejstronyformułujeonaogólnieprzyjęteiniekwestionowaneustaleniapodstawowe,takiejaknp.nierozerwalnyzwiązekryzykazdziałaniem[Penc,2000].Zdrugiejjednak,coprzejawiasiętakżewprzytoczonychdefinicjach,dzielisięnaszeregnurtówzwiązanychm.in.z:
2.1. Ryzyko i niepewność 31
dziedzinamiaktywnościgospodarczej (bankowość,ubezpieczenia, rynekkapitałowy,przemysł,handelitp.)[Kaczmarek,2006], perspektywąposzczególnychnaukspołecznych(zwłaszczasocjologia,psy-chologia,ekonomia,finanse,zarządzanie)[Doktór,1977; Katz,Kahn,1979; Kozielecki,1977; Sadowski,1960; Szacki,2006; Szczepański,1967], mechanizmempowstawaniairealizowaniasięryzyka(różnepodejściaiklasyfikacjeryzykawtakimujęciuwskazanowpodrozdziale2.2).
Whistoriifilozofiifunkcjonujeitakipogląd,żeświadomośćryzykajestjednązprzesłanekpoczątkuerynowożytnejwsensienarodzeniasięwludziachpoczu-cia,żeichprzyszłośćmożebyćkształtowanaprzeznichsamych,aniejesttylkolosemnarzuconymprzezsiłynadprzyrodzone17,awobectegowolnawolaczło-wiekastanęławobliczu trudnoprzewidywalnejprzyszłości,którąmaonodtądsamodzielniekształtować.Towskazujenapotrzebęwłaściwegozdefiniowaniaza-gadnieniabardzozbliżonegoiczęstoutożsamianegozryzykiem,tj.niepewności.Ryzykobierzesiębowiemzniepewnościwdziałaniu.
Kwestianiepewnościmadwazasadniczeujęcia:tradycyjne(deterministyczne)inowoczesne.Whistoriifilozofiiwcześniejszeznich,odnosiłoniepewnośćwdzia-łaniu człowieka oraz przewidywaniu zjawisk, przedewszystkim fizycznych, doograniczonejwiedzyczłowiekaootaczającejgonaturze[Krajewski,1987].Przytakimpodejściumożnabypowiedzieć,żeniepewnośćtoniepełnośćczyniedo-skonałośćwiedzy ludzkiej i efekt ograniczonej zdolności poznawczej człowieka[Wust,1995].
Wmiaręrozwojunaukmatematycznych„pojawiłysięjednaksymptomykon-struktywnego optymizmu18.Wmomencie odkrycia rachunku prawdopodobień-stwa pojęcie niepewności, a wraz z nim ryzyka, nabrało innego wymiaru. Ichstatycznedefiniowaniejakoprzeciwieństwopewnościzostałozastąpioneterminamiszansa,zagrożenie,prawdopodobieństwo.Podejmowanieryzykaokazałosięnie-zbędnedlasamodoskonaleniaorazosiąganiażyciowychkorzyści i satysfakcji”[Jedynak,Szydło,1997,s.18].
Spojrzeniedeterministyczne,czytowobszarzenaukprzyrodniczychifizycz-nych,czyteżfilozofiiabstrakcyjnej,zostałoostateczniezdezawuowaneodkryciaminaukowymiXXwieku.Nowespojrzenienazjawiskafizyczne(teoriaczasoprze-strzeni,teoriefalowe,mechanikakwantowaifizykaatomowa)odmieniłypojęcieniepewności,odtądinterpretowanej jakowzględnośćidwoistośćzjawiskfizycz-nychoraznieciągłośćmateriiienergii.Wtakimujęciuniepewnośćstajesięcechąnie jedyniepostrzeganialudzkiegoiwyrazemjegoułomności, leczwręczcechąświatafizycznego,zupełnieniezależnieodjakościpercepcjiczłowieka.„Przypad-kowośćjeststanempierwotnym,dlaktóregoniemawytłumaczenia.Fizycyutracili
17 Niemniejjednak,dodziśpojęcieniepewnościjestpostrzeganewujęciufilozoficznym,takżeodstronyteologicznej,cowyrażapowiedzenieśw.Augustyna–„Jeślirozumiesz,tojużniejestBóg”.
18 Konstruktywnyoptymizm,terminfilozoficzny,oznaczaakceptacjęistnienianiepewnościiry-zyka,popartąwskazaniemśrodkówpostępowaniawwarunkachograniczonejpewności.Por.[Jedynak,Szydło,1997].
2. Ryzyko 32
przekonanieodziałaniuniezmiennychikoniecznychpraw;probabilizmopanowałichumysły”[Tatarkiewicz,2005,t.3,s.276].
Jakofilozoficznąinterpretacjętegonowegospojrzeniananaturęw1926rokuHeisenberg sformułował zasadę nieoznaczoności. „Niemożemywyznaczyć zja-wiskprzyszłychnietylkodlatego,żeniewidzimyichzwiązkuzteraźniejszymi,aletakżedlatego, żenie znamy iniemożemyznaćdostatecznie zjawisk teraźniej-szych.Zasadaniepewnościstwierdzawłaściwietylko,żezjawiskasądlanasza-wsze niepewne, ale skoro są niepewne, to tak jak gdyby były przypadkowe”[Tatarkiewicz,2005,t.3.s.277].
Problemniepewności,znajdującwtensposóbuzasadnieniewfundamentachrefleksjinadistotąfunkcjonowanianatury,jestoczywiścieodrębniepodejmowanynagruncieposzczególnychdyscyplinnaukowych,którewswymobrębie,wgswychzałożeń epistemologicznych i na użytek swej praktyki formułują interpretacjedziedzinowe.Itak,napograniczunaukiozarządzaniu(czyliwramachdziedzinynaukekonomicznych)orazmatematykifunkcjonujeteoriadecyzji,która–choćzorientowanamatematycznie–budzidyskusjeinterdyscyplinarne(także,opróczdyscyplinwymienionych,wramachpsychologii,socjologii,filozofii,etyki).
„Szczególnieinteresujące(wramachteoriidecyzji)sądecyzjepodejmowanewróżnychwarunkachniepełnejwiedzy,dotyczącejwynikówmożliwychdziałań,takichjakte,którychprawdopodobieństwojestznane,ajuższczególnietych,dlaktórychnieznamynawetprawdopodobieństwa(wwarunkach‘niepewności’)”19. Takiematematyczne(statystyczne)podejścieteoriidecyzjizawęża,wporównaniuzujęciemfilozoficznym,zagadnienieniepewnościjakowspółwystępującejzpraw-dopodobieństwem.„Wkażdejsytuacjirzeczywistej,gdziewgręwchodzielementprzyszłościowy,zawartyjestelementniepewności.Niepewnośćtabierzesięstąd,żeosobapodejmującadecyzjęnieznainiekontrolujewchwilijejpodejmowaniawszystkichczynnikówmającychistotnywpływnaefekttejdecyzji”[Moore,1975,s. 118].Niepewność„...stanowi/.../konsekwencjęsubiektywnegobrakuinfor-macjiczywiadomościiniemożebyćokreślonawkategoriachwartościowych.Naogółistniejądwatypyniepewności:niepewnośćinformacji,napodstawiektórychpodejmujesiędecyzjeorazniepewnośćefektówpodjętejdecyzji”[Penc,2000,s. 162–164].
Należyteżzaznaczyć,żeteoriazarządzaniaznakoncepcjępodziałuwa-runkówdziałaniamenedżerskiego na pewność, ryzyko i niepewność [Koontz,Weihrich,2007]jakopośrednieocenystopniaprzewidywalnościskutkówdecyzjiwynikającejzocenysytuacjidecyzyjnej,aletakiespojrzenieraczejzaciemniaiden-tyfikacjęniepewnościisprowadzająbardziejdoaspektusubiektywnegoorazdopsychologicznejperspektywydecydenta.
Szeroko,tj.wobuwspomnianychujęciach,widziniepewnośćfilozofia.Nato-miastinteresującanasdalejekonomiaijejdyscyplinanaukiozarządzaniu,atakżesłużącanaszemużyciu,realizującazałożeniaekonomiczneispołeczne,technika,postrzegają niepewność przede wszystkim jako subiektywną niedoskonałość
19 Decyzjiteoria,hasłow:[Hondenrich(red.),1998].
2.1. Ryzyko i niepewność 33
człowieka,czymoczywiściezostająobarczonewszelkiejegowytwory:materialneiniematerialne[Koźmiński,2004].
Napodstawiepowyższychrozważańmożnasformułowaćdefinicję(propozycjaautorska):
Wprawdzieniepewnośćjakokategoriafilozoficznajestniemierzalna,alewswobodnymujęciuwpewnymstopniuwyrażająentropia,zwłaszczagdynie-pewnośćodnosi siędozmian stanuobiektupoddawanegopewnymdziałaniomorganizatorskim,którychwyniki sąprzewidywanezokreślonymprawdopodo-bieństwemspełnienia.
„Trzebawyraźniepodkreślić, żeniepewnośćprzedsięwzięć,będącaprzeci-wieństwempewności,nierównasięryzyku./.../Ryzykopojawiasięwsytuacji,gdyconajmniej jedenzeskładającychsięnaniąelementównie jestznany,aleznanejestprawdopodobieństwojego(lubich, jeśli tychelementówjestwięcej)wystąpieniaorazprawdopodobieństwowystąpieniakażdegomożliwegowyniku”[Penc,2000,s.162,164;Jabłoński,2013].Myśl tęnależydoprecyzować.Otóżryzykopojawiasię,gdywwarunkachniepewnościpodejmujemycelowedziałanie,tj.ciągczynówcelowych,jaktowidziprakseologia,awichtokuciągdecyzji,nierozerwalniepowiązanychzistotądziałania.Cowięcej,pojawianiesięwiedzyoryzyku,tymktóreidentyfikujemywkontekściedziałaniaijegodecyzji,wpływanadalszytokdziałania,któreterazobokzałożonychcelówpowinnocechowaćsiętakżestaraniemoograniczanie,kompensowanielubodsuwanieryzyka.Kreujetoswoistąpętlęzachowań,którejpraprzyczynąjestniepewnośćintegralna.
Uwzględniającpodejściezarównofilozofii,fizyki,jakinaukspołecznych,na-leżypodkreślić,żeniepewnośćjestpojmowanajako:
organicznacecharzeczywistościwynikającazprzypadkowościzjawisk,spośródktórychnawettenajbardziejstabilnenależyuważaćtylkozazacho-dzącezwyjątkowowysokimprawdopodobieństwem,jednakniezzupełnąpewnością, osobliwaniedoskonałośćzwiązanazniepełnąpercepcjąprzez ludzkiegoobserwatoraelementówkształtującychzjawiska.
Równocześnie,zuwaginafakt,żerzeczywistość(naturę)postrzegasięprzezpryzmatludzkiejaktywności,możnaniepewnośćokreślićjakoaktywnąlubbierną.Niepewnośćbierna(obiektywna)niejestkształtowanaprzezczłowieka,jestcechąrzeczywistości.Niepewnośćaktywnadotyczyludzkiegoumysłu.
Niepewność – polega na tym, że obserwator dowolnego zjawiska, w danym miejscu i czasie, nie może być pewien dalszego biegu tego zjawiska. Jest to prawidłowość absolutna w obrębie rzeczywistości znanej człowiekowi. Stopień niepewności jest związany obiek-tywnie z mechanizmem (istotą) zjawiska, które zawsze jest przypadkowe, a z perspektywy człowieka lub systemu, będącego wytworem ludzkim, jest związany z niedoskonałością percepcji czynników zjawiska, właściwą specyfice subiektywnego postrzegania przez człowieka.
2. Ryzyko 34
Pojęciembliskimjestnieprzewidywalność,odnosisięonajednakdowynikuokreślonegozdarzenialubbardzosprecyzowanegodziałania,podczasgdynie-pewnośćwyrażastanogólnejniemożnościdokładnegookreśleniaprzebiegudzia-łaniaiprawdopodobieństwawystąpieniakażdegowariantujegowyniku.
2.2. Rodzaje i klasyfikacje ryzykaZniepewnościwdziałaniuwynikaistnienieryzyka.Dotejporykoncepcjaujęciaproblematykiryzykazaproponowanaw1921rokuprzezKnighta[1957] nie zo-staławłaściwiezakwestionowana.Niemniejnieudałosięzadowalającodoprecy-zowaćtegopojęcia,anisformułowaćuniwersalnejdefinicjiryzyka.Dziejesiętakprzedewszystkimdlatego, żepostrzeganie ryzyka silniezależyodperspektywystronynimdotkniętej.Równocześnie,niesątowszystkieprzesłankirelatywizacjispojrzenianaryzyko.Wujęciuprzyczynowymbardziejniżwujęciuskutkowymmożnamówićoobiektywnymdefiniowaniuryzyka,albowiemwtymujęciujestbadanymechanizmjegopowstawaniaimożnaprecyzyjnieopisaćjegocechy.Na-tomiast od strony skutków ryzyko postrzegane jest jużwyraźnie subiektywnie,niezależnieodtego,czyobserwatorjestosobąfizyczną,czyprawną,gdyżtosamozdarzeniemożerodzićskutkioróżnychkonsekwencjachdladwupodmiotówonawetpodobnymprofiludziałalnościiumiejscowieniu.
Początkowobadanianadryzykiembyłyprowadzonetylkowposzczególnychsegmentachrynkufinansowego,tj.wubezpieczeniach,bankowości,rynkukapita-łowym.Zainicjowanojewtymobszarzedlatego,żerynekfinansowyjestwłaśniepowołanydozajmowaniasięryzykiem,jestonoprzedmiotemdziałalnościgospo-darczejpodmiotówtegorynku.Przejmująoneodswychklientówposzczególnerodzajeryzyka(związanenp.zubezpieczaniemsięklientów,przyjmowaniemichdepozytów,udzielaniemimkredytówitd.)izarządzająnimi,grupującjewedługrodzajów(wyrażonychwposzczególnychproduktachfinansowych),jednocześnierozpraszającwłasneryzykodziękiznaczącejliczbieklientów.Podmiotyteczyniązprzejmowaniacudzegoryzykaswojezadaniebiznesoweispełniająprzytymważnezadaniespołeczne.Równocześnie,podmiotyfinansowedoświadczająry-zykawprowadzeniuwłasnejdziałalności,wczym jużnie różnią sięod innychpodmiotówgospodarczych,dlaktórychryzykojesttylkoelementemutrudniają-cymplanowanieiprowadzeniedziałalności.
Codoistotykwestiiryzyka,todlawszystkichpodmiotówgospodarczych,a szerzejwszystkichorganizacji, o stopniu znaczenia ryzykaw ichdziałalnościdecydujądodatkowotakieaspekty,jak[Beck,2002; Drucker,2000; Jajuga,2007]:
horyzontczasowyplanowaniadziałalności–imjestondalszy,tymbardziejrośniestopieńnieprzewidywalnościwiązanyzryzykiem, doświadczeniejakowiedzaokonkretnychprzejawachryzyka–imwiększe,tym bardziej możliwe jest stosowanie narzędzi analizy statystycznej dookreślaniaryzyka,
2.2. Rodzaje i klasyfikacje ryzyka 35
niestabilnośćotoczenia,pojmowanawwieluwymiarach,odgeograficznego(np.terenyszczególnienarażonenakatastrofynaturalne)przezekono-miczne,prawne,popolityczne, obiektoddziaływaniajednychrodzajówryzyka,którebywajązarazemźródłeminnychjegorodzajów.
Zastanawiając się nad sformułowaniem definicji ryzyka, trzebawięcmiećświadomość,że[MonkiewiczJ.,2004]:
jestononiejednorodne, występujezarównowaspekcieobiektywnym,jakisubiektywnym, możebyćpostrzeganewróżnychkontekstach(cechwłasnych,sytuacjiprzejawianiasię,rodzajówdziałalnościstrondoświadczającychgo), jestzmienneipodlegawpływowiwieluczynników(poczęścizależnych,apoczęściniezależnychodstrondoświadczającychgo), jestbardziejprocesemniżstanem.Prowadzi todowniosku,że–poza jednąogólnądefinicją– jakozupełnie
naturalnenależytraktowaćposługiwaniesięszeregiemdefinicji szczegółowych.Ichzróżnicowaniewynikazarównozoptykidefiniującego,awięcjegosubiektyw-nejpercepcji,jakizespecyfikirodzajudziałalności,którejryzykodotykaiprzezktórąbywawywoływane.
Takąogólnądefinicjąjest:20
Modelowonależytorozumiećtak,żewdziałaniumożnaosiągnąćjedenzkilkuwyraźnieokreślonychrezultatów/stanóworazżeznanesąwartościpraw-dopodobieństwawystąpieniaposzczególnychspośródnich.Byłabytosytuacjaide-alna,alewrzeczywistościbywaosiąganatylkowpewnymprzybliżeniu,aczęstojestnieosiągalna.
Autorskieobserwacjepoczynionewtokuwieloletnichbadańnadryzykiemoperacyjnymprowadządowniosku,żewbieżącejdziałalnościgospodarczejniedążysiędouniwersalnegodefiniowaniaryzyka,natomiastokreślasięposzczególnerodzajeryzyka,zarównowszerokimujęciu,jakidlaposzczególnychrynkówlubbranżgospodarki,atakżewukładzie:otoczenieorganizacjiversusjejwewnętrzneuporządkowanieidziałanie.Przykłademniechbędzieryzykokredytowewbanko-wościiwpozabankowychstosunkachhandlowych,wswymideowymmechanizmie
20 TakadefinicjajestpropozycjąKomisjiSprawTerminologiiUbezpieczeniowejUSAz1966r.,zob.[MonkiewiczJ.,2004,t.1,s.26],atakże[FERMA,2003].
Ryzyko R to iloczyn wartości prawdopodobieństwa P wystąpienia zdarzenia zakłócającego oraz wielkości szkody S będącej jego skutkiem20:
R = P · S
2. Ryzyko 36
takiesamo,alejednakpostrzeganejakoinnecodoskali,koncentracji,rozprosze-niaihoryzontuczasowego.
Poszukującklasyfikacjiryzykaprzydatnychdoprojektówzzakresuzapew-nianiaciągłościdziałania,autordoszedłtakżedowniosku,żezasadniczatrudnośćwsklasyfikowaniurodzajówryzykawynikazkoniecznościuwzględnieniazarównoprzyczynjegopowstawania(ujęcieprzyczynowe),sposobuiprocesujegospełnia-niasię(ujeciezperspektywypodatności),jakiprzejawówjegomaterializowaniasię (ujęcie skutkowe). I nie chodzi tu nawet tak bardzo o subiektywizmocenyskutkówrealizowaniasięryzyka.Głównątrudnośćstanowiąskomplikowanerelacjeorganizacjizjejotoczeniem,zczegowynikapotrzebaprzypisaniatakprzyczyn,jakiskutkówdootoczenialubdosamejorganizacji(jejdziałalności).Wedługautoramożliwesąbowiemwszystkieznastępującychkombinacji(ztym,żedwiepierwszenajczęściej):
przyczynawotoczeniu,askutekwewnątrzorganizacji–np.obniżenieren-townościprodukcjizpowoduwzrostuwartościwalutynarodowej, przyczynaiskutekwewnątrzorganizacji–np.przestójspowodowanybłę-dempracownika, przyczynawewnątrzorganizacji,askutekwotoczeniu–np.ujawnieniesięwadywyrobuwokresieużytkowaniagoprzeznabywcę, przyczyna i skutekwotoczeniu (choćoczywiście istnieje tumechanizmwpływuskutkuryzykanaorganizacjęijejdziałalność)–np.uszczuplenierynkuzbytuwnastępstwieodległejgeograficzniekatastrofynaturalnej.
Pozostałeznaczącecechyposzczególnychrodzajówryzyka,którenależałobywziąćpoduwagę,rozważającgeneralnąklasyfikacjęryzyka,to:
czasodwystąpieniaprzyczynydozaistnieniaskutku, rozmiarpotencjalnejlubjużzaszłejszkody, dolegliwośćszkody(zakłócenia)rozumianaznówwkilkuaspektach,takichjak:wartośćstrat,czaspotrzebnynaprzywróceniestanupierwotnego(jeślitowogólemożliwe),charakterkonsekwencji(fizyczny,geograficzny,spo-łeczny,organizacyjnyitp.), powtarzalność (częstość spełniania się) tego rodzaju ryzyka iwynikają-cychzniegoszkód, przewidywalność ryzyka (znajomość statystycznej prawidłowościwystę-powania,katalogmożliwychscenariuszyrealizowaniasięorazmożliwychskutków).
Ugruntowaneiniebudzącewiększychsporówklasyfikacjeryzykaograniczająsiędoryzykafinansowego,wpodzialenaczterysegmentyrynkuidziałającetampodmioty,któreztakimirodzajamiryzykasięstykająiwpodobnysposóbuwzględ-niająjewswejpraktycezarządzania.Sąto:bankowość,ubezpieczenia,rynekkapita-łowyipozostałepodmiotygospodarujące.Wbankowościobowiązujeod2006rokuklasyfikacjawprowadzonaprzezświatowerekomendacjeBaselII,awPolsceko-lejnymiaktamiprawnymizakotwiczającymisystemrekomendacjibazylejskich
2.2. Rodzaje i klasyfikacje ryzyka 37
wpolskimprawie21.Dzieląoneryzykobankunazasadniczegrupyrodzajowe,któresamewsobiestanowiąkryteriategopodziału:
ryzykokredytowe, ryzykorynkowe(cenowe)dzielonena:ryzykoinstrumentówzwiązanychzestopąprocentową,ryzykoinstrumentówkapitałowych,ryzykowalutoweiryzykotowarowe, ryzykooperacyjne.WubezpieczeniachwUniiEuropejskiejobowiązujeDyrektywaSolvencyII22.
Ustalaonapodziałryzykaubezpieczyciela,stosująckryteriaanalogicznejakwprzy-padkuryzykawbankowości,na:
ryzykoubezpieczenia,zwłaszczaryzykounderwritingu23, ryzykokredytowe, ryzykorynkowe, ryzykooperacyjne.NarynkukapitałowymUniiEuropejskiejodstycznia2007rokuwprowadzono
zestawdyrektywMiFID24,któredzieląryzykotaksamojakprzepisybankowe(znówdomyślnekryteriasątesame),kładącjednakdodatkowynacisknaryzykospeku-lacji instrumentami pochodnymi (którenota bene występuje też, tylkow innejskali,wdziałalnościbankówiubezpieczycieli)[Jajuga,2007].
Wprzypadkupozostałychpodmiotówgospodarczych,awięcprzedsiębiorstwprodukcyjnych,handlowychiusługowych,zabezdyskusyjneuznajesięwydzielenieizdefiniowanieryzykarynkowego,ryzykakredytowegoiryzykapłynności[Sier-pińska, Jachna,2007]. Pozostałe rodzaje ryzyka i ich sklasyfikowanienie jestuzgodnionewedługjakiegośpowszechniejakceptowanegomodelu.Zapewnekon-sekwencjątego jest,że iwtymprzypadkupodziałyryzykaniesąustalanenapodstawiewcześniejsformułowanychkryteriówklasyfikacji.Coszczególnieinte-resujące,ryzykooperacyjne,takwyraźniejużwyróżnianewprzypadkuinstytucjifinansowych,tuniejestjeszczepoważniejdostrzegane.
Znamienne,żenajobszerniejszapracapoświęconaprzeglądowiróżnychro-dzajówryzyka–T.Kaczmarka[2006]–podajeiomawiajedynierozległykatalogrodzajówryzyka(nazywająctoobszaramiryzykaiodnoszącjedodziedzinaktyw-ności ludzkiej i dyscyplin naukowych), a nie próbuje ich sklasyfikować,w tymwskazaćkryteriówklasyfikacji,ajedynielokujejewposzczególnychdziedzinach
21 NaprzykładUchwałanr1/2007KomisjiNadzoruBankowegoz13.03.2007.22 Directive2009/138/ECoftheEuropeanParliamentandoftheCouncilof25November2009
onthetaking-upandpursuitofthebusinessofinsuranceandreinsurance(SolvencyII).23 Underwritingubezpieczeniowytoprocesklasyfikacjiiocenyryzykaprzedjegoprzyjęciemdo
ubezpieczenia.24 MiFID–MarketinFinancialInstrumentsDirective,czyliłącznie:Dyrektywa2004/39/EC,
RozporządzenieKomisjinr1287/2006,Dyrektywa2006/31/EC,Dyrektywa2006/73/EC.
2. Ryzyko 38
aktywnościgospodarczejispołecznej.OpierającsięnakoncepcjiKaczmarka,ob-szaramiprzejawianiasięryzykasąwszczególności:
ubezpieczenia25, ekonomia(turyzykojestteżokreślanejakoryzykodziałalnościgospodar-czejijestdzielonenaryzykoprodukcyjne,handloweifinansowe)ifinanse,którepostrzegane są zperspektywymakroekonomicznej,wyróżniającryzykokursuwalutowegoorazstopyprocentowej,conależyuznaćzauję-ciekontrowersyjne,bowiempominiętoperspektywęmikroekonomiczną,awramachniejuważanezaznacznieważniejszeryzykokredytoweipłyn-ności[Jajuga,2007,s.18–25], prawo(jakoryzyko:wadliwejidentyfikacjipotrzeblegislacyjnych,nadmier-negounormowania,niedostatecznegouregulowania,niestosowalnościlegislacji,indolencjiorganówadministracji,nadużywaniaprawainiezna-jomościprawa), polityka, globalnerelacjegospodarcze, technika,nowetechnologieiekologia, informacja(zwłaszczaekonomiczna),jejprzetwarzanieoraztechnologieprzetwarzania(wtymobszarzelokowanajestważnaczęśćrodzajówryzykaoperacyjnego), organizacja(wtymobszarze lokowanajestwiększośćrodzajówryzykaoperacyjnego), zarządzanieiteoriapodejmowaniadecyzji, chemiaifarmacja, medycynaiepidemiologia, psychologia, socjologia, filozofia,etyka,religia, cywilizacja,kulturaimedia, katastrofyisiławyższa.Winnychpracachpodawanesąwycinkoweklasyfikacjeodnoszącesiędo
pojedynczychkryteriów, takich jak: perspektywa (wewnętrzna lub zewnętrzna)ocenyprzezprzedsiębiorstwo,rodzajdziałalnościiprzynależnośćdobranży/sek-tora/rodzajurynku,potrzebalubwartośćwystawionanaryzyko,rodzajzagroże-nia,możliwościochrony,horyzontczasowy(planowaniadziałalności,skutkowaniaochrony,oddziaływaniazagrożeńitd.)iszereginnych(m.in.[Tarczyński,Mojsie-wicz,2001]).Doniedawnatakistannieprzeszkadzałpraktykom,gdyżpozaryn-kiemfinansowym,gdzieryzykojestprzedmiotemprowadzonejdziałalności,było
25 Szerokoomówione,atakżesklasyfikowanewpracach:[MonkiewiczJ.,2004; Handschke,Monkiewicz,2010].
2.2. Rodzaje i klasyfikacje ryzyka 39
ononiemalmarginalnymzagadnieniemwzarządzaniu.Współcześniejednak,w związku z rosnącym poziomem organizacyjnego skomplikowania wszelkiejdziałalnościspołecznej,organizacjepodejmująświadomiezarządzanieryzykiembiznesowymorazwykorzystująjewtworzeniuibudowaniuwartości.Ryzykostajesięwręczjednymzcentralnychwyzwańwzarządzaniuprzedsiębiorstwem[Beck,2002; Berlińska,2010; Handschke,Monkiewicz,2010; Przybylska-Kapuścińska,Mozalewski,2011; Tarczyński,Mojsiewicz,2001].
Tradycyjnepodejścieograniczałosiędouproszczonychanalizdziałaniaorga-nizacjiitraktowałoryzykojakomałoznaczącyproblemzarządzaniaprzedsiębior-stwem.Wwiększościprzypadkówtakiezarządzanieryzykiemsprowadzałosiędodziałańprewencyjnychprzygotowującychnawypadekzagrożeńmogącychspowo-dowaćstraty,aniewykorzystywałookazjidobudowaniatrwałejwartościdodanejworganizacji.Ponadtoniedostarczałometodspójnegoisystemowegozarządza-niaryzykiem,codlawiększościorganizacjimaznaczeniewaspekciecorazczęstszejpotrzebyokreślaniaobecnychinowychrodzajówryzykabiznesowego.
Rysunek 2.1. Podstawowe rodzaje ryzyka
Źródło: [Tarczyński, Mojsiewicz, 2001].
Przyszłe i nieznane wydarzenia
Przyszłe możliwości i związane z nimi prawdopodobieństwa są znane
Przyszłe możliwości nie są znane i/albo nie są znane szanse ich wystąpienia
RYZYKO NIEPEWNOŚĆ
Efekt Alternatywa Mierzalność skutków Niepewność Praktyka
ubezpieczeniowa Postęp
Ryzyko specyficzne
Ryzyko systematyczne
Ryzyko czyste
Ryzyko spekulacyjne
Ryzyko niefinansowe
Ryzyko finansowe
Ryzyko niepewności
czasu
Ryzyko niepewności
miejsca
Ryzyko niepewności wystąpienia
Ryzyko niepewności
skutku
Ryzyko osobowe
Ryzyko majątkowe
Ryzyko statyczne
Ryzyko dynamiczne
2. Ryzyko 40
Tymsamympotrzebakompleksowegospojrzenianaryzykojakonauporząd-kowanyobrazwielowątkowegozagadnieniastałasięcorazważniejsza.Wodpo-wiedzitrwająrozmaitepróbyuchwyceniatejproblematyki[Cygler,2009; Jajuga,2007; Koźmiński,2004; Nocco,Stultz,2006; Stabryła,2011; Strzelczak,2003; Waściński,Krasiński,2010]–relacjonowanieichwykraczapozazakresniniejszejpracy.Dlailustracjizostajewięcpodanytylkojedenzcharakterystycznychprzy-kładówtakichklasyfikacji(rys.2.1),podobniejakomawianewcześniej,podającykategorieryzykauporządkowanenazasadzieintuicyjnegołączeniaszeregupro-stychkryteriówwskazanychnarysunkuwdrugimiczwartymrzędzie.
2.3. Koncepcja kompleksowej klasyfikacji ryzykaWniniejszejpracy,jakokoncentrującejsięnafragmencietejproblematyki,wska-zanazostajeinna,autorskasugestiakierunkubadań.Opierasięonanauwzględ-nieniudwuaspektówanalizyzagadnienia.Pierwszymjestciąglogicznybiegnącyodprzyczynzdarzeńkrytycznych,przezmechanizmichspełnianiasię,poostatecznespełnienie,czyliskutki,przeważniebędąceszkodamiistratami(zob.rys.2.2).Ryzykowgruncierzeczydostrzegasiębowiemprzez:
zagrożenia,którestanowiąoprzyczynowymobrazieryzyka, interakcjętychzagrożeńzpodatnościamipodmiotu,którydoświadczary-zyka,costanowiistotęmechanizmuspełnianiasięryzyka, skutkispełnianiasięryzyka.
Rysunek 2.2. Model przyczynowo-skutkowy klasyfikacji ryzyka
Źródło: opracowanie własne.
Ujęcie przyczynowe (klasyfikacja wg zagrożeń)
Ujęcie skutkowe (klasyfikacja wg zakłóceń)
Ujęcie spełniania się ryzyka
(klasyfikacja wg podatności)
2.3. Koncepcja kompleksowej klasyfikacji ryzyka 41
Jesttowięcpołączeniepodejściaprzyczynowego,mechanizmuspełnianiaorazpodejściaskutkowegocelemuchwyceniadynamikizachodzeniazdarzeńkrytycz-nychuosabiających ryzykodziałalności. I te elementynależywziąćpoduwagęprzyustalaniukompleksowejklasyfikacji.
Drugimaspektemanalizyjestintegrowanieróżnychpodziałówryzykanajegorodzaje, przeprowadzanych z perspektywyposzczególnychdziedzin aktywnościspołecznejipodmiotówdziałającychwichobszarze.Podziałytakiepowinnybyćdokonywaneodrębniewujęciuprzyczynowym,aodrębniewujęciuskutkowym.Na rysunku2.3przedstawiono,w formieprzekrojupoprzecznego, jedynie ideęklasyfikacjiwymagającąstarannegozbadaniaidoprecyzowania.Klasyfikacjatakamapołączyć:
podziałnarodzajeryzykaspecyficznedlabranż,sektorówidziedzinak-tywnościspołeczno-gospodarczej, podziałnaryzykowewnętrzneizewnętrznepodmiotu, podziałnaryzykospecyficzneisystemowe(systematyczne) ipowinnabyćotwartanajeszczeinne,bardziejszczegółowepodziały.
Rysunek 2.3. Model strukturalny klasyfikacji ryzyka
Źródło: opracowanie własne.
Ryzyko uniwersalne społeczne
Ryzyko uniwersalne finansowe
Ryzyko operacyjne podmiotu
Ryzyko branżowe
Ryzyko biznesowe podmiotu
Podmiot gospodarczy danej branży
Ryzyko wewnętrzne Ryzyko zewnętrzne
2. Ryzyko 42
Możnanaprzykładrozważyćjakopunktwyjściadopodziałuryzykafinan-sowego na kategorie propozycję Culpa [2002],weryfikując oczywiście kryteriapodziału:
ryzykorynkowe, ryzykofinansowania, ryzykopłynnościrynku, ryzykokredytowe, ryzykoprawne.Nakoniectychrozważań,zuwaginatematrozprawy,wartoteżzdefiniować
ryzykobiznesowe,przyjmującradykalnypodziałogólnegoryzykapostrzeganegoprzezorganizacjęna ryzykobiznesoweorazoperacyjne.Takipodziałmaswojeuzasadnieniewprzedstawionymwrozdziale6rozróżnieniumiędzypojęciemdziałalność(którejdotyczyryzykobiznesowe)apojęciemdziałanie(któregozkoleidotyczyryzykooperacyjne).Azatem:
Ryzykooperacyjnejestzdefiniowaneiomówionewrozdziale3.
2.4. Pomiar ryzyka Przedewszystkimnależyzwrócićuwagęnaczęstoniesłuszniepomijany[Jajuga,2007]podziałkwestiipomiaruryzykanamiaryobiektywne,charakteryzującesamoryzyko,orazmiarysubiektywnezwiązanezestosunkiemorganizacji,awgruncierzeczyjejdecydentów,doryzyka.Jesttowpraktycezarządzaniaryzykiembardzoważnaróżnica,bowiemniezależnieodwyliczeńryzykanadrodzezastosowaniawybranychmetodpomiaruostatecznieprzyjmowanewartościryzykawtokupo-dejmowaniadecyzjiwramachzarządzanianimsąpochodnąsubiektywnegore-agowaniadecydentów26.
Wramachsystematyzacjimiarryzyka[Jajuga,2007]wartouwzględniać: dekompozycjęmiarryzykawkierunkuustaleniaprawdopodobieństwapo-szczególnychwynikówzdarzeńobarczonychryzykiemorazwartościtychwyników; stopieńwielowymiarowościrozważanegoryzyka;
26 Takiespojrzeniejestdodatkowowspieranewujęciupsychologicznejteoriidecyzji,którawza-kresie ryzyka zajmuje się ryzykiem instrumentalnym związanym z samą decyzją (jej przesłankamiobiektywnymiorazprocesempodejmowaniadecyzji)orazryzykiemstymulacyjnymzwiązanymzprzy-jemnościąjakomotywempostawryzykownych[Goszczyńska,Studenski,2006].
Ryzyko biznesowe można zdefiniować jako ryzyko strat w wyniku niewłaściwych decyzji co do doboru klientów, kształtu produktów i usług lub zobowiązań wobec partnerów bizne-sowych albo w wyniku niesprawności lub niespójności systemu gospodarczego państwa.
2.4. Pomiar ryzyka 43
potrzebęrozważaniaryzykaekstremalnego(okatastroficznymcharakterzeiogromnympoziomiestrat).
Za[Jajuga,2007]miaryryzyka,zpunktuwidzeniakonstrukcjiicharakterudanejmiary,możnapodzielićnastępująco:
miarymająceupodstawyrozkładstatystycznyzmiennejlosowej,będącejzmiennąryzyka(analiziepodlegaefektdziałaniaryzyka,ilustrowanyprzezmożliwewartościzmiennejryzyka); miarywynikającezfunkcjizależnościzmiennejryzykaodczynnikówryzyka(analizowanajestwgruncierzeczyprzyczynaryzykajakooddziaływanieczynnikaryzykanazmiennąryzyka); miarydanewpostaciklasryzyka,awięczmiennaryzykaniekonieczniejestzmiennąlosową,przeważniestosowanajestmetodadyferencjałuse-mantycznego(analizowanyjestjedynieefektryzyka).
Szczegółowyprzegląd teoretycznego,główniematematycznego,ujęciapo-miaruryzykaprzedstawiająK.Jajuga[2007]orazJ.Orzeł[2012],wszczególnościodnoszącsiędokwestii:miarzmienności,kwantylirozkładu,wartościdystrybu-antyrozkładu,miarwrażliwości.Ogółpodejśćcharakteryzujerysunek2.4.Proble-matykatadynamiczniesięrozwija,zwłaszczanadrodzeposzukiwaniaanalogiiz innymiobszaramidziedzinyekonomia.PrzykładnowychpodejśćprzedstawiaDańska-Borsiak[2011].
Należypodkreślić jednak,żefinansowemetodypomiaruwodniesieniudoryzykaoperacyjnegoprowadzągłówniedoustalaniawartościtzw.adekwatnościkapitałowej wobec ryzyka, a więc poziomu zabezpieczeń finansowych, jakichpotrzebujeorganizacja,abymócstawićczołakonsekwencjomróżnychrodzajówryzykadotykającegojejdziałalność.Pozaprzypadkami,gdyryzykodotyczyzaso-bówfinansowych,niejesttojednakmiarasamegoryzyka,atylkookreślenienie-zbędnychrezerw.Rozpatrzmytonaprzykładachwziętychzżyciagospodarczego.
Przykładpierwszydotyczyzasobówfinansowychikwestiizapewnianiabez-pieczeństwa.Przyjmijmy,żeorganizacjaprzygotowujesiędoudziałuwpostę-powaniuprzetargowym,liczącnakontraktwielomilionowejwartości.Warunkiemudziałujestwpłaceniewadium,kilkuprocentowegowstosunkudowartościpotencjal-negokontraktu.Jeślirozważymyjakoryzykozdarzenieutratykwotyzgromadzo-nejnawadium(kradzież,odmowagwarancjibankowej),toczyryzykopowinnobyćmierzonekwotąwadium,czykwotąutraconegokontraktuonieznanejjeszczedokładniewartości?Czypotrzebnejestprecyzowanietejwartości,czyteżwystarczastwierdzenie,żejestonaznacząca.Awkonsekwencji,żetrzebaspecjalnymiroz-wiązaniamizaradczymizabezpieczyćsięprzedjejutratą.
Przykładdrugidotyczyzasobówpozafinansowychikwestiizapewnianiacią-głościdziałania.Organizacjęspotykaparaliżdziałalnościspowodowanygwałtow-nymiopadamiśniegu,pracownicyniemogądotrzećdomiejscpracy,niemożnaprzywieźćkomponentówaniwywieźćwyrobówgotowych.Jedynymwyjściemjestzaangażowaniewszystkichdostępnychworganizacjisiłludzkichiśrodkówtech-nicznych,abyudrożnićdrogikomunikacyjne.Ryzykotakiegozdarzeniawartooczywiścieskalkulowaćfinansowo,alezdrugiejstronytrzebaprzygotowaćtaką
2. Ryzyko 44
ocenę,którawskażejakouzasadnionądecyzjęomobilizacjisiłiśrodków.Niepo-trzebujebyćonafinansowa,wystarczygdybędziewskaźnikowa,tj.taklubnie.
Rysunek 2.4. Pomiar ryzyka – podejścia, metody, techniki
Źródło: [Bizon-Górecka, 1998].
Identyfikowanie czynników ryzyka
Podejście społeczne
Podejście gospodarcze
Metody jakościowe
Metody ilościowe
Metody strategiczne
Metody operacyjne
Metody badań operacyjnych
Metody planów alternatywnych
Metody statystyczne
Metody finansowe
Metody symulacyjne
• opisowa ocena ryzyka• katalog czynników ryzyka• analiza profilowa• systemy wczesnego ostrzegania• metoda wyrównywania ryzyka• metoda szacowania ryzyka FMEA
• drzewa decyzyjne• techniki sieciowe• algorytm simpleks• teoria kolejek• teoria gier
• techniki optymalizacyjne• gry kierownicze
• badanie progu rentowności• techniki wskaźnikowe i punktowe• techniki inwestycyjne
• analizy wrażliwości• analizy korelacji• analizy prawdopodobieństwa• analizy przyrostów• analiza odchylenia standardowego• analizy histogramów
• technika Monte Carlo• programowanie ewolucyjne
Podejścia
Metody
Techniki
2.5. Zarządzanie ryzykiem 45
Oznaczato,żepodkątemograniczaniaryzykaoperacyjnego,awięczapew-nianiabezpieczeństwaorganizacyjnegoiciągłościdziałania,potrzebnejestprzyjęcieinnegotokurozumowania.Kwestiatajestrozwiniętawpodrozdziale4.2.
2.5. Zarządzanie ryzykiem„Podstawowymcelemzarządzaniaryzykiemjestpoprawawynikówfinansowychfirmyorazzapewnienietakichwarunków,abynieponosiłaonastratwiększychniżzałożone”[Tarczyński,Mojsewicz,2001,s.35].Zarządzanienimmaprowadzićdosytuacji,żeorganizacja(jejkierownictwo)jestświadomaryzykaijegoroz-miarów,awdziałalnościbieżącejniewykraczapozagranicęryzyka,świadomieprzyjętą jakodopuszczalna.Wpływanienaryzykomusiuwzględniaćwystępo-wanieszansizagrożeń(rys.2.5)orazmożliwościpokryciaewentualnychstrat,wtymmusipostrzegaćstratytakżejakoumykającekorzyściztytułuniepodejmo-waniapewnychdziałań.
Rysunek 2.5. Oddziaływanie ryzyka w organizacji
Źródło: norma [ISO/IEC-TR 13335-1].
Przezdługiczasryzykoniebyłosystematycznieanalizowanepozasektoremfinansowym,gdzieznaturalnychpowodówjestmotywemprzewodnimkształto-waniaproduktówiusługubezpieczeniowych,bankowychikapitałowych.Jednakwzrost zamożności społeczeństww drugiej połowie XXw. spowodował corazczęstszesięganiepoproduktyubezpieczeniowe,aprzyokazjizwiększyłświadomość
ZAGROŻENIA
ZABEZPIECZENIA
WYMAGANIA W ZAKRESIE OCHRONY
WARTOŚCI
RYZYKO ZASOBY
PODATNOŚCI
realizowane przez
analiza wskazuje mają
zwiększająnarażają
zwiększają
zmniejszają
zwiększają
wykorzystują
chroni przed
2. Ryzyko 46
możliwości zabezpieczaniadziałalnościprzedpodstawowymi rodzajami ryzyka.DokońcaXXw.utrwaliłosiępodejściezintegrowanegozarządzaniaryzykiemwprzedsiębiorstwie,dodatkowościślewiązanezanaliząprocesówwnimza-chodzącychorazzpostulatemzapewnieniabezpieczeństwagospodarowania,coobejmujetakżekwestieochronyreputacjiorazzapewnianiaciągłościdziałania[Strzelczak,2003].
Wzakresieuwarunkowańskutecznegozarządzaniależyszczegółoweanali-zowanieipoznawaniecharakteruorazzakresupotencjalnegoryzyka,gdyżpo-zwala to nawybórw odpowiednim czasie czynnościmoderujących negatywneskutki lub imzapobiegających.Zmierzaćnależybowiemdo sytuacji świadomejdecyzjicodogranicdopuszczalnegowystawianiasięnaryzyko,wkontekściepo-tencjalnegouzyskiwanialubutratykorzyściwbiznesie.Stąd:strategiazarządza-niaryzykiemtoplandziałania,wistotnymdlaorganizacjiobszarze,polegającyna sformułowaniucelóworaz formdziałaniaodniesionychdoprzewidywanychzmianczynnikówwpływającychnapoziomprawdopodobieństwautratykorzyścilubstraty[Bizon-Górecka,2001].Maonastanowićzaplanowanąreakcjęnaryzyko,formułowanąnapodstawiewiedzyoźródłachisposobachjegomaterializacjiwpostaciszkódoraznapodstawieznajomościsposobówzapobieganiaorazme-todpomiaruryzykaiwycenyszkódjakojegoskutków.
Strategięzarządzaniaryzykiemdzielisięnaogólnąorazszczegółowe.Stra-tegiaogólnadotyczywyznaczaniacelów,zasobóworazmetodbadaniaryzyka,atakżezasadplanowaniazachowaniaorganizacjiwobecsytuacjikrytycznych.Strategiatamusibyćzintegrowanaiwynikaćzestrategiirozwoju(strategiibiz-nesowej)organizacji.Jesttowięcopracowaniejednolitychzasadopisu,badaniaimodelowaniaryzykaorazzachowańorganizacjiwodpowiedzinanie.Ogólnastrategiazarządzaniaryzykiemmożemiećcharakter[Bizon-Górecka,2001]:
ekspansywny–organizacjacelowopodejmujedziałaniaobarczonedużymryzykiem,upatrującwtymdrogidoosiąganiawiększychniżdotądkorzyści, zachowawczy–organizacjaostrożniepodejmujeryzyko,alewstopniu,którypowodujepewnecząstkowe(lubwiększe)straty,przyczymcelowoniepodejmujeryzyka,któreprzekraczaustalony,dopuszczalnypoziom, impasywny–organizacjaniepodejmujedziałań,wktórychniemapewnościefektów.
Strategieszczegółoweodnosząsiędokonkretnychsytuacji:rodzajów,miejsciterminówwystępowaniaryzyka.Typowymistrategiamiszczegółowymisą[Vaughan,1997]:retencjaryzyka,transferryzyka,podziałryzyka,redukcjaryzyka.Obokstrategiizarządzaniaryzykiemorganizacjapowinnaokreślićobowiązującąwniejpolitykęzarządzania,tj.zbiórintencjiizasadelastycznegopodejmowaniadecyzjiuwarunkowanychryzykiemlubnakierowanychnamoderowanieryzykalubzapo-bieganiemu[Bizon-Górecka,2001](więcejnatentematwrozdziałach4 i 5).
Nigdyniemożnawyeliminować ryzykazupełnie,dąży się jedyniedo jegominimalizacji.Ryzyko,którepozostaje,nazywanejestszczątkowym.Zregułydalszaminimalizacja ryzyka jest ekonomicznie nieuzasadniona, tzn. jej koszt byłbywiększyodpotencjalnychstrat.Należyjednakpamiętaćoprawdopodobieństwie
2.5. Zarządzanie ryzykiem 47
zajściaincydentubędącegowyrazemtakiegozminimalizowanegoryzyka.Organi-zacjapowinnabyćświadomaistnieniaryzykaszczątkowegoikoniecznościprze-myślanejdecyzjiojegoakceptacji.
Współczesnezarządzanieryzykiemodwołujesiędopodziałunanastępującepodstawowegrupyryzyka:zagrożeńmaterialnych,finansowe,strategiczneiope-racyjne,atakżeprzyjmujeponiższesześćzasadzarządzanianim[Monkiewicz,Hadyniak,2010].
1. Zarządzanie ryzykiemwprzedsiębiorstwiepowinnobyć zarządzaniemwszystkimijegorodzajamirównocześnie.
2. Wproceszarządzaniaryzykiemmusibyćbezpośredniozaangażowanena-czelnekierownictwoprzedsiębiorstwa.
3. Ogółrodzajówryzykawprzedsiębiorstwiepowinienbyćtraktowanyjakoportfelryzyka–cooznacza,żewymagazrozumieniaposzczególnychjegoelementówizwiązkówmiędzynimi–orazmusibyćzarządzanyprzezpryzmatcelów iprocesówcałejorganizacji[CasualActuarialSociety,2003,s.5].
4. Potrzebnejeststosowaniemetodilościowychdopomiaruryzyka[Jajuga,2007,s.16].
5. Stosowane narzędzia i procedury zarządzania ryzykiem sąwspólne dlawszystkichrodzajówprzedsiębiorstw.
6. Ryzykosięjużnietyleminimalizuje,cooptymalizuje,azarządzanieryzy-kiemprzedsiębiorstwastajesię„podejmowaniemdecyzjiirealizacjidziałańprowadzącychdoosiągnięciaakceptowalnegopoziomuryzyka”[Jajuga,2007,s.15].
SzczególnerodzajeryzykaujawniłysięnaprzełomieXXiXXIw.wwynikupatologicznegozarządzaniawkoncernach:BankofCreditandCommerceInterna-tional–1991r.,MaxwellCorporation–1991r.,Enron–2001r.,WorldCom–2001r.,Parmalat–2003r.Wodpowiedziwprowadzonozasadyładukorporacyjnego27,awichramachzasadynadzoruikontroli.Służątemutrzyfilarykontroliryzyka:
dyscyplinywłaścicielskiej(tj.środkówdyscyplinujących,któremadodys-pozycjiwprzedsiębiorstwiejegowłaściciel), dyscyplinyrynkowej(awięcśrodkówdyscyplinujących,którymidysponująwobecprzedsiębiorstwauczestnicyrynków), dyscyplinyregulacyjnej(awięcśrodków,którymidysponująwstosunkudo przedsiębiorstwa władze publiczne dla wymuszenia bezpieczeństwaokreślonychzachowań).
Abyprawidłowozarządzaćryzykiem,zarządyprzedsiębiorstwmusząrozu-mieć,żenajważniejszymietapamisą:jegozidentyfikowanie,analizaorazpomiar(luboszacowanie).Dopókitonienastąpi,trudnomówićkonkretnieoryzyku,nie
27 PolskieForumCorporateGovernancewww.pfcg.org.pl,EuropeanCorporateGovernanceIn-stitutewww.ecgi.org
2. Ryzyko 48
możnabowiemprawidłowopodejmowaćdziałańograniczającychryzykoczyroz-wiązańzabezpieczających.Ogólniemożnastwierdzić,że–nieznającryzyka–masiędoczynieniatylkozniebezpieczeństwemrozumianymprzedewszystkimjako:nieświadomość,lekkomyślność,zaniedbanie[Wołowski,Zawiła-Niedźwiecki,2012]. Gdydołożonazostajenależytastarannośćwdziałaniu,toniemajużmowyonie-jasnymniebezpieczeństwie,alewłaśnieoryzykujakoprawdopodobieństwieokre-ślonego skutku lub jako rozkładzieprawdopodobieństwwyobrażanegozestawuskutków.Następniemożnapodjąćdecyzjęcodowyborumetodzarządzanianim(neutralizowaniago)orazzbudowaćniezbędnądotegocelustrukturęorganizacyjną.
Wzrostznaczeniazarządzaniaryzykiemwprzedsiębiorstwiespowodował,żeodkońcaXXw.pojawiłysiępublicznestandardyzarządzaniaryzykiem.Powstałyonewwynikuinicjatywszereguinstytucji,którepropagowałynajlepszepraktykizarządzaniaróżnymirodzajamiryzyka.Wśródnichszczególnąuwagęwartozwrócićnastandardzarekomendowanyw2004r.przezCommitteeofSponsoringOrgani-zationsoftheTreadwayCommmission–tzw.COSOII–ZintegrowanySystemZarządzaniaRyzykiemPrzedsiębiorstwa[Nocco,Stultz,2006].COSOIIopierasięna8elementachzintegrowanegozarządzaniaryzykiem,którewznacznejmierzeodpowiadająelementomwcześniejopracowanegostandardukontroliwewnętrz-nej(tzw.COSOI).
1. Środowiskowewnętrzne–politykazarządzaniaryzykiemworganizacji,określającam.in.jejtolerancjęnaryzykoiuznawanewartościetyczne.
2. Ustaleniecelów–systemzarządzaniaryzykiemzapewniającykierownic-twuprocesypozwalającenaustalaniecelóworazweryfikacjęzgodnościzmisjąfirmyorazzjejskłonnością/tolerancjąryzyka.
3. Identyfikacjawydarzeń/zagrożeń–ustalaniewewnętrznychizewnętrznychwydarzeń,któremogąwpłynąćnaosiągnięciezaplanowanychcelów.
4. Ocenaryzyka–przedewszystkimanalizaryzyka,awtymustaleniepraw-dopodobieństwa jegowystąpieniaorazmożliwej skaliwpływu,co służyustalaniusposobówwpływanianaryzyko.
5. Odpowiedźnaryzyko–zasadniczepodejściadoryzyka,takiejak:unikanie,przejęcie,redukcjaczypodział,orazdziałaniawpływanianaryzykosto-sowniedozałożonychpoziomówtolerancji.
6. Kontrola–politykakontroliiproceduryweryfikacjistopniawdrożeniapro-gramówzarządzaniaryzykiem.
7. Komunikacja–zakresinformacjiiformkomunikowaniamiędzypracowni-kami.
8. Monitorowanie–systematycznaocenastopniarealizacjizadaniaosiągnię-ciaodpowiedniejodpornościnaryzyko.
Zkoleiwswoimstandardziezarządzaniaryzykiemwprzedsiębiorstwiew2003r.StowarzyszenieAktuariuszyMajątkowychStanówZjednoczonych(CAS)definiujetozarządzaniejako„procesoceny,kontroli,eksploatacji,finansowaniaimonitorowaniaryzykazewszystkichźródełdlacelówzwiększeniakrótko-idłu-
2.5. Zarządzanie ryzykiem 49
gookresowejwartościorganizacyjnejdlainteresariuszy”[CasualActuarialSociety,2003].WmodeluCASwyróżniasię4rodzajeryzyka:
ryzykozagrożeń(materialne),obejmującem.in.ryzykoodpowiedzialnościcywilnej,szkódmajątkowychorazkatastrofnaturalnych, ryzykofinansowe,obejmującem.in. ryzykowyceny,aktywów,walutoweorazpłynności, ryzykooperacyjne,obejmującem.in.ryzykoniezadowoleniaklienta,nie-udanegoproduktu,oszustwa,utratyreputacji, ryzykostrategiczne,obejmującem.in.ryzykokonkurencji,trendyspołeczneorazdostępnośćkapitału.
NaproceszarządzaniawmodeluCASskładasię7kroków:1)ustaleniekontekstudziałalnościorganizacjiwzakresieryzyka,2)identyfikacjaryzyka,3)analizaikwalifikacjaryzyka,4)budowaportfelakompleksowegoryzyka,5)ocena(oszacowanie)ihierarchizacjarodzajówryzyka,6)wpływanienaryzykoprzezprzyjęcieodpowiednichplanówdziałania,7)monitorowanieikontrola.Takżew2003r.EuropejskaFederacjaStowarzyszeńZarządzaniaRyzykiem
FERMA(FederationofEuropeanRiskManagementAssociations)zarekomendowałastandardzarządzaniaryzykiemopracowanyprzezgrupęnajwiększychbrytyjskichorganizacjibranżowych:InstytutZarządzaniaRyzykiemIRM(TheInstituteofRiskManagement),StowarzyszenieMenedżerówUbezpieczeniowychiZarządzającychRyzykiemAIRMIC(TheAssociationofInsuranceandRiskManagers)orazKrajo-wegoForumnaRzeczZarządzaniaRyzykiemwSektorzePublicznymALARM(TheNationalForumforRiskManagementinthePublicSektor).StandardtenużywaterminologięprzyjętąprzezMiędzynarodowąOrganizacjęNormalizacyjną(ISO)wdokumencie„Zalecenia ISO/IECnr73–Słownictwo–Wytycznedlanorm”[FERMA,2003].StandardFERMArozróżniawewnętrzneizewnętrzneczynnikiryzykaidzieliryzykona:finansowe,strategiczne,operacyjneorazniebezpieczeń-stwa,aproceszarządzaniaryzykiemna7etapów:
1)ustaleniecelówstrategicznychprzedsiębiorstwa,2)ocenaryzyka,3)informowanieoryzyku,4)decyzjaopostępowaniuwobecryzyka,5)wpływanienaryzyko,6)raportowanieoryzykurezydualnym,7)monitorowanie.Najtrudniejszymznichjestocenaryzyka,któraobejmujejegoidentyfikację,
opisorazpomiar.Standardprzywiązujedużąwagędosprawozdawczościikomu-
2. Ryzyko 50
nikacjiwzarządzaniuryzykiem,atakżedowłaściwejorganizacjiprocesuzarzą-dzanianim.
Przedstawionezasady,wodniesieniudoryzykaoperacyjnegozostałyrozwi-niętewrozdziałach3 i 4.
2.6. Ocena dojrzałości zarządzania ryzykiemNa koniec tych rozważań rozpatrzmy kwestię sprawności i dojrzałości procesuzarządzaniaryzykiem.Podstawąwspółczesnychsystemówzarządzaniajestpodej-ścieprocesowe.Opierasięononaprzekonaniu,żezamierzonedziałanieprzepro-wadzasięzwłaściwąefektywnościąwtedy,gdytraktujesięjejakoproces[Hamrol,2005; Skrzypek,2003; Szczepańska,2011].Bieżącoosiąganaefektywnośćorazjejpodnoszenie podlegają ocenie polegającej na pomiarzewybranychparametrówprocesu.Matoprowadzićdokompleksowegopomiaruskutecznościiefektywnościprocesu[Siwek,Onyszczuk,Bagiński,2006; Skrzypek,2000].Każdegoprocesu,awięciprocesuzarządzaniaryzykiem.
Pomiar skuteczności i efektywności procesu jest jednym z obligatoryjnychnarzędzioceny28wsystemachzarządzaniajakością[Skrzypek,2000].Azarządza-nie ryzykiem,zwłaszczawynikającezniegozarządzaniezapewnianiembezpie-czeństwaizarządzaniezapewnianiemciągłościdziałania,sązabiegaminarzeczzapewnianiajakościtegodziałania[Blim,Byczkowski,Zawiła-Niedźwiecki,2005].
Pomiaryiocenyprocesówwykonywanesąwramachichmonitorowaniai stanowiąintegralnączęśćzarządzanianimi.Podstawowymielementamiocenysą[Dahlgaard,Kristensen,Kanji,2000; Szczepańska,2011]:
zdolnośćprocesudo realizacji zadań (w tymwalidacja tej zdolności pokażdejistotnejzmianieprocesulubjegootoczenia), elastyczność(jakozdolnośćdozmian), skuteczność, efektywność, wydajnośćiinne.Najważniejszedlageneralnejocenysąwskaźnikiskutecznościiefektywności.
Skutecznośćiefektywnośćsąuważanezakategorieszczegółoweuniwersalnegopojęciaprakseologicznego–sprawności(rzeczysąrobionedobrze)[Kotarbiński,1973,s.127–142],którajestmierzonajakostosunekparametrówzrealizowanychdozaplanowanych(np.wydajności)procesuiokreślastopieńwykorzystaniazaso-bów.Wramachdążeniadosprawnościzasadnicząkwestiąjestmierzalnośćiroz-liczalnośćstawianychcelów.Powinnyoneprzedewszystkimodznaczaćsiętakimi
28 Pozostałenarzędziaocenyto:audytwewnętrzny,ocenasatysfakcjiużytkowników,ocenare-alizacjicelówiprzeglądzarządzania.
2.6. Ocena dojrzałości zarządzania ryzykiem 51
cechami,jak:precyzja,wymierność,hierarchizacja,zrozumiałość,realność,do-stępność[Zapłata,2003; Szafrański,2002; Quinn,Mintzberg,James,1993].
Skuteczność(robionesądobrerzeczy)–jestmierzonajakostosunekparame-trówzrealizowanychdozaplanowanychefektywnościprocesówiokreślazdolnośćdoosiągnięciazamierzonychcelów.Chodzioumiejętnośćwyboruwłaściwychcelów,bezczegonawetsprawnedziałaniejestbezcelowe[Stoner,Wankel,1992,s.170–171].Efektywnośćnatomiastjestrelacjąmiędzyosiągniętymiwynikamiawykorzystanymizasobami29.Skutecznośćiefektywnośćmożnatraktowaćjakorezultatyjakościprocesu30,atooznacza,żejakośćprocesujakosynonimzdolnościjestpierwotnawobecskuteczności,efektywnościielastyczności.Naciskkładzionyostatnionaocenęelastycznościprocesuwynikazczęstychoddziaływańotoczenia,wymuszającychzmianywewnętrznejorganizacji[Drucker,2000; Lisiecka,2001; Masłyk-Musiał,2003].
Schematpostępowaniaprzyocenieskutecznościiefektywnościprocesuobej-muje[Rummler,Brache,2000]:
zarządzaniecelamiprocesu, zarządzanieefektywnościąprocesu, zarządzaniezasobamiprocesu, zarządzanienastykumiędzydziałaniami.Schemattenskładasięznastępującychfazikrokówprowadzącychdousta-
leniawartościmierników,któreumożliwiająocenęprocesu[Rummler,Brache,2000; Jedynak,2007]:
fazaokreślaniawymagańicelówprocesu – identyfikacjawymagańiźródełcelówprocesu, – analizaistotywymagańiichtransfernapoziomprocesu, – określeniecelówdlaprocesu; fazaprojektowaniamiernikówisystemumonitorowania – ustanowieniemiernikówprocesu, – określenieodpowiedzialnościinarzędzipomiaruorazmonitorowania; fazarejestracjiiocenywynikówprocesu – rejestracjaparametrówprocesu, – rachunekmiernikówprocesu, – interpretacjaotrzymanychwyników, – podjęciedecyzjiopotrzebnychdziałaniachkorygujących.
29 Zob.normaPN-EN/ISO9000:2006.Problematykainterpretacjitychpojęć,różnicmiędzynimiorazczynnikówimetodichocenyzostałaszczegółowoomówionaw[Siwek,Onyszczuk,Bagiński,2006].Zob.też[Waters,2001].
30 Tzw.koncepcjaContiego,zob.[Lisiecka,2001].
2. Ryzyko 52
Miernikiocenyprocesudotyczączynnościisposobuichwykonywania.Dzielisięje,wykorzystującdwakryteria.Wedługpozycjiobserwacji(ustalaniawartościmiernika),na[Skrzypek,2003]:
miernikiocharakterzezewnętrznym,mierząceefektywnośćprocesu, miernikiocharakterzewewnętrznym,mierzącesprawnośćprocesu.Zkoleiwgkategoriidanychużywanychdokonstrukcjimierników,na[Skrzy-
pek,2000]: mierniki efektywności ekonomicznej, którewyrażają oceniany aspektfunkcjonowaniaprocesuwwartościachpieniężnych, mierniki efektywności operacyjnej, które odzwierciedlają stan sprawno-ściowyprocesuimogąbyćwyrażoneilościowo.
Miernikisłużąsystematycznemumonitorowaniu,prowadzonemutradycyjnielubzwykorzystaniemnarzędzitechnicznych.Zawszejednakaspektamiogranicza-jącymiskutecznośćocenybędą:
potrzebaantycypacyjnegowyobrażeniaskutkówzakłócenia,którejeszczeniezaszło,ioszacowaniaichkosztowegowymiaru; oszacowaniepotencjalniemaksymalnej straty,poniesionejwwynikuza-kłócenia,którewprawdziezaszło,alejegorozmiarzostałograniczonyprzezzastosowanierozwiązańzapewnianiabezpieczeństwaiciągłościdziałania; bieżąceprzenikaniesięrozwiązańrutynowejorganizacjipracyzrozwią-zaniami ukierunkowanymi na zapewnianie bezpieczeństwa i ciągłościdziałania.
Szczególnąformąpomiaruprocesu jest jegostatystycznakontrola,którejznaczeniepodkreślanormaISO9001,aktórawprzeszłościstosowanabyłaraczejwobecprocesówwzakładachprzemysłowych.Tymczasemnajnowszekoncepcje[Armstrong,2001]wskazująnato,że–zachowującwarunekwłaściwegodoboruparametrów–zapomocąkontrolistatystycznejmożnadokonaćanalizydowolnegoprocesu [Bizon-Górecka, 1998]. Jest tow dodatku przedmiotem rekomendacjipromowanychwbranżachbankowejiubezpieczeniowejsektorafinansowego(rekomendacjeBaselIIiDyrektywaUESolvencyII),którenakłaniająorganizacjedoprowadzeniabazdanychstatystycznychoincydentachorazdobudowanianaichpodstawiewewnętrznych(tj.specyficznychdladanejorganizacji)modeliza-rządzaniaposzczególnymirodzajamiryzyka,wtymryzykaoperacyjnego,impliku-jącegopodejmowaniezagadnieńzapewniania:jakości,bezpieczeństwaiciągłościdziałania.
Ocenadokonywananapodstawiemiernikówmaprowadzićdoustaleńwkwestiidalszegodoskonaleniaprocesu.Powinnotoodbywaćsięzwykorzystaniembadaniadojrzałościprocesu,np.wgmodeluArmstronga[2001],którywprowadzapięcio-stopniowąskalępoziomówdojrzałości:
wstępny–rezultatyprocesucechujezmienność, powtarzalny–procesosiągapowtarzalnerezultaty, zdefiniowany–procesjestefektywnyiskuteczny,zgodnyzkryteriami,
2.6. Ocena dojrzałości zarządzania ryzykiem 53
kierowany–procesjestwysoceefektywnyiskuteczny, zoptymalizowany–uzyskiwaneefektysąnajwyższejjakości.Analogiczniemożnadokonywaćocenydojrzałościkompleksowegozarządza-
niaryzykiem.Przykładmodelutakiejocenyprzedstawiononarysunku2.6.
Stopień IPodejście tradycyjne
– kontrola wewnętrzna– audyt wewnętrzny– indywidualne programy zapobiegawcze– bazowanie na kulturze organizacyjnej i jakości zasobów ludzkich
Stopień IIŚwiadomość
– definicja ryzyka– polityka ryzyka– ocena ryzyka– wskaźniki ostrzegawcze– struktury zarządzania ryzykiem– rozpoczęcie gromadzenia danych o zdarzeniach– modele kapitału ekonomicznego
Stopień IIIMonitoring
– wizja i cele zarządzania ryzykiem operacyjnym– kompleksowe wskaźniki ryzyka– limity ryzyka– sprawozdawczość– zaangażowanie personelu operacyjnego– szkolenia
Stopień IVKwantyfikacja
– baza szkód operacyjnych– mierzalne cele ilościowe– modele predykcji– kapitał ekonomiczny uwzględniający ryzyko– aktywny komitet ryzyka
Stopień VIntegracja
– zintegrowany zestaw narzędzi zarządczych i operacyjnych– analiza ryzyka zintegrowana z zarządzaniem cała firmą– korelacja wskaźników ryzyka i strat operacyjnych– cesja ryzyka (ubezpieczenie) powiązane z analizą wysokości
ryzyka i kapitału– wynagrodzenie menedżerów uzależnione od wyników firmy
skorygowanych o wartość ryzyka
Rysunek 2.6. Poziomy dojrzałości zarządzania ryzykiem
Źródło: opracowanie własne na podstawie: [BBA, ISDA, RMA, 1999].
2. Ryzyko
Stosowanietegotypumodelipoleganapoczątkowejocenieaktualnieosią-ganegopoziomuoraznaopracowaniuplanu (i jegokontrolowanej realizacji)doskonaleniazarządzaniaryzykiem,celemosiąganiakolejnychpoziomów,cojestweryfikowaneokresowymiocenamizgodnościzmodelem.Podkreśleniawymagazwłaszczapotrzebauwzględnianiazasadzarządzaniaryzykiem(włączniezza-sadamizapewnianiabezpieczeństwa)wkształtowaniukulturyorganizacjiorazpotrzebapełnegozaangażowaniawszystkichpracownikóworganizacji(nietylkouczestniczącychw strukturach zarządzania ryzykiem) [Hopej-Kamińska, Ka-miński,2009].
3. Ryzyko operacyjne i jego klasyfikacje 3.1. Triada problemowa „Ryzyko – Bezpieczeństwo – Ciągłość działania” Ryzykooperacyjnewzapewnianiuciągłościdziałaniajestzwiązanezkwestiąho-ryzontuczasowego,wjakimrozważasięplanowanedziałanieoraztowarzyszącemuryzykoorazwynikająceztegozagrożenia.Sprawatajestistotnaztytułupytania–nagrunciejakiejdyscyplinynaukowejrozważasięnaturęryzykaorazzapewnianiabezpieczeństwaiciągłościdziałania.Inaczejbowiemnależytoczynić,jeśliprzyjmujesięperspektywęodległegohoryzontuczasowego–wtedyjesttokwestiazzakresudyscyplinyekonomia,dlaktórejwkontekściezapewnianiaciągłościdziałaniaważnesątakiezagadnienia,jak:cyklkoniunktury,wzrost(rozwój)ijegowysycanieorazewentualneosiąganiegranicywzrostu(np.hipotezaS.Marciniaka[2013],żemodelgospodarczyUniiEuropejskiejdobiegabyćmożekresurozwoju).
Natomiast jeśliprzyjmuje sięperspektywębliskiegohoryzontu czasowego,jesttokwestiazzakresudyscyplinynaukiozarządzaniu,aryzykooperacyjnejestrozważanejakoryzykoniedostatecznejskutecznościdziałaniazperspektywyceluoperacyjnego (bieżącego) tegodziałania. I takiewłaśnie podejście jest przed-miotemniniejszejpracy.Wtymujęciuryzykooperacyjnepoleganamożliwościniespełnieniaoczekiwań technicznych,efektywności lubkwalifikacji, a takżeumyślnegopopełnieniaszkody.Stanowiwięconootym,nailewewnętrzneprocesyorganizacyjnesądośćskuteczne,wtymodpornenazakłócenia,abyorganizacjamogła realizować swe cele.Nie zachodzi przy tymautomatyczna synergia obuobszarów,tj.biznesowegoioperacyjnego,działalnościorganizacji.Możnabowiemwyobrazićsobiesytuację,gdyprzedsiębiorstwo,pozaprojektowaniuatrakcyjnegoproduktuiznalezieniuodpowiedniejkategoriiodbiorców,niejestwstaniespro-staćzadaniuwytwarzanialubdostarczaniategoproduktuklientomwwynikumałoefektywnej(wdowolnymaspekcie)organizacjiprodukcji,sprzedażyczyszerokorozumianej logistyki.Może to być problem czysto organizacyjny, ale też brakukwalifikacjipersonelu,niedostatkufunduszyitp.
Logicznąkonsekwencjąuświadomienia,zidentyfikowaniaiocenyryzykajestposzukiwanierozwiązańzabezpieczającychinaprawczych.Wszczególnościwart
3. Ryzyko operacyjne i jego klasyfikacje 56
jestpodkreśleniasynergicznyzwiązekzagadnieńzapewnianiabezpieczeństwaiza-pewnianiaciągłościdziałania.Zperspektywyzadaństawianychzapewnianiuciągłościdziałaniawszelkiepoczynanianarzeczbezpieczeństwamającharakterprewencji.Zkoleizperspektywyzapewnianiabezpieczeństwa,rozwiązaniacią-głościdziałaniasą reakcjąnaprawcząwobecnieskutecznejochrony. Ilustruje torysunek3.1.
Rysunek 3.1. Relacje zadań zapewniania bezpieczeństwa i ciągłości działania
Źródło: [Zawiła-Niedźwiecki, 2008]
Wynika z tego także rola racjonalnego (tam,gdzieniedziałaobowiązekprawny,aistotnajesttylkograczynnikówbiznesowych)przypisywaniaznaczeniazjednejstronyzapewnianiubezpieczeństwa(gdylepiejniedopuszczaćdozakłó-ceń), a z drugiej poszukiwaniu zastępczychwarunków ciągłości działania (gdyochronajestnieracjonalnaekonomicznielubnieskuteczna).Obateelementy,osa-dzonewrozwiązaniachjakościowegostałegodoskonalenia,zapewniająorganizacjielastycznośćwobecryzyka,którewwarunkachrosnącejkonkurencjinarynkutakże rośnie.Kwestia ta jestdalejomówionawrozdziale5 iprzedstawionanarysunku5.1(por.też[Grocki,2012; Korzeniowski,2012]).
Zintegrowaneperspektywyryzykaoperacyjnego,bezpieczeństwaiciągłościdziałania(triadaRyzyko–Bezpieczeństwo–Ciągłość)mogąbyćkluczemdointe-growaniawspółczesnychkoncepcjizarządzania,gdyż–cowskazanowewstępie:
analizaryzykawyjaśniapowodyograniczonejprzewidywalnościdowolnegodziałania,
Zarządzanie bezpieczeństwem
Zarządzanie ryzykiem
Zarządzanie ciągłością działania
Usuwanie przyczyn i skutków zakłócenia
Organizowanie pracy
w warunkach zastępczych
Tera
pia
Prew
encj
aAn
aliza
3.2. Dotychczasowe ujęcia ryzyka operacyjnego 57
wyznaczaniesposobówzabezpieczaniapokazuje,jakzwiększaćtęprzewi-dywalność, zapewnianieciągłościdziałaniaodzwierciedlazaradnośćwobecutrudnieńwpowziętychdziałaniach, triadaRyzyko–Bezpieczeństwo–Ciągłośćoznaczapanowanienadryzy-kiem,polegającenaracjonalnymrozłożeniuakcentówmiędzyprewencjęwobeczagrożeńdladziałaniaorganizacjiazaprojektowanereagowanienawystępowaniezakłóceń.
Wgruncierzeczy,używającpojęcia31zarządzanieryzykiemoperacyjnym,obej-mujesięnimpanowanienadtriadązagadnieńRyzyko–Bezpieczeństwo–Ciągłość.
3.2. Dotychczasowe ujęcia ryzyka operacyjnegoKwestiaryzykaoperacyjnegozostałapodjętawlatach90.XXwiekuprzezKomitetBazylejskiwramachpracnadkompleksemrekomendacjidobrychpraktykzarzą-dzaniaryzykiemwbankowościzwanychBaselI,anastępnieBaselII[Krasodomska,2008; Matkowski,2006]iBaselIII.Szczególnie,opublikowanew2004roku,aobo-wiązująceod2006roku,rekomendacjeBaselIImocnouwypuklająznaczenieumiejętnegozarządzaniaryzykiemoperacyjnym.Rozmach,zjakimrekomendacjetesąwprowadzanewpodmiotachrynkufinansowego(takżeDyrektywaSolvency)[MonkiewiczM.,2010],orazwyprzedzenieprzezpraceKomitetuBazylejskiegoinnychbadańnad tymzagadnieniem, spowodowałyabsorbcjędefinicji ryzykaoperacyjnegoorazklasyfikacjiKomitetuBazylejskiegotakżenagruntnauki.Trzebajednakkrytyczniepodkreślić,żeklasyfikacjatazostałaopracowanajakopodsumo-waniepraktykibankowejiwsensienaukowymmawadymetodologiczne.
Definicjaryzykaoperacyjnego,sformułowanaprzezKomitetBazylejski jestnastępująca32:
Zazwyczajdodawanyjestkomentarz,żeryzykooperacyjneobejmujetakżeryzykoprawne,nieujmujezaśryzykastrategicznegoiryzykareputacji.
31 Prof.W.M.Turski[2013]zwracauwagęnapotrzebęróżnegotłumaczenia,aconajmniejin-terpretowania,terminu„risk management”zależnieodkontekstuużyciaiwskazuje,żewwielusytu-acjachtrafniejszebyłobyokreślenie„panowanienadryzykiem”lub„radzeniesobiezryzykiem”jakobardziejzgodnezcelemtakiegodziałania.
32 BaselCommitteeonBankingSupervisionSound Practices for the Management and Supervision of Operational Risk,takżeGłównyInspektoratNadzoruBankowegoRekomendacjaM.Dokładnierzeczbiorąc,definicjatawminimalnieinnejredakcjizostałaporazpierwszyzaproponowanaw1999r.przezBritishBankersAssociation[BBA,ISDA,RMA,1999].
„Ryzyko operacyjne to ryzyko strat w wyniku niewłaściwego lub błędnego działania pro-cesu, ludzi i systemów lub wpływu wydarzeń zewnętrznych”.
3. Ryzyko operacyjne i jego klasyfikacje 58
Definicjata,zpunktuwidzenianaukioorganizacjiizarządzaniu,wymagaoceny:
różnicmiędzypojęciem„operacyjne”apotencjalniemożliwymdoużyciapojęciem„operatywne”, kataloguproblemów(ijegowyraźnychgranic)składającychsięnaryzykooperacyjne.
Rozważaniatenależyoderwaćodspecyfikibankowej,myśląoktórejkiero-wałsięKomitetBazylejski.Ryzykooperacyjneprzedstawiaonjakokomplementar-ne wobec ryzyka bankowego, które można uogólnić, traktując jako ryzykogospodarcze,zjakimstykasiękażdypodmiotgospodarczy–organizacja.Wtymkontekście ryzyko operacyjne należy postrzegać jako zagadnienie związane zesprawnościądziałaniaorganizacji.Ztegowzględu,abyocenićdefinicjęzapropo-nowaną przez Komitet Bazylejski,warto odwołać się do klasycznego schematuzarządzania(rys.3.2).
Rysunek 3.2. Ideowy model zarządzania
Źródło: opracowanie własne.
Oileryzykogospodarczezwiązanejestzfunkcjonowaniemcykluorganiza-torskiegozorientowanegonaceldziałaniaorganizacji,toryzykooperacyjnedotyczykwestii:jakwcykluorganizatorskimwykorzystywanesązasobypodkątemosią-gnięciacelu,awięczuwzględnieniemwymagańnakładanychprzezzarządzanieryzykiemgospodarczym.
Rozważając alternatywę użycia określeń „operacyjne” lub „operatywne”,możnawręczodwołaćsiędooperacjonizmujakokierunkuwmetodologiinauk,wedługktóregoterminyipojęcianaukowemająsensempiryczny,gdymożnajezdefiniować przez opis operacji określających ich zastosowanie [Krzyżanowski,1994,s.47oraz164–199].Przymiotnik„operacyjny”mawięcoznaczać„odnoszącysiędooperacji”,czylidziałańmającychnaceluwykonanieokreślonegozadanianadrodzelogicznychizaplanowanychtransformacji(zasobów)dokonywanychworganizacji.Zkoleiprzymiotnik„operatywny”,wswymźródłosłowieoznacza-jący działanie energiczne, sprawne i skuteczne, odnoszony jest do zagadnienia
Zasoby:• ludzkie• finansowe• fizyczne• informacyjne
Cel
Planowanie Organizowanie
Kontrolowanie Kierowanie
3.2. Dotychczasowe ujęcia ryzyka operacyjnego 59
wszelkiejdziałalnościbieżącejworganizacji,coczynizniegopojęcieszerszeodokreślenia„operacyjny”,wszczególnościwzakresierelacjizotoczeniem[Waters,2001].Wartowtymmiejscuodesłaćdorozważańnadróżnicąmiędzydziałalnościąadziałaniem(zob.rozdz.6).Zarównodziałanie,jakioperacyjnośćsąspecyficzniezwiązanezmanipulowaniemzasobami,natomiastdziałalnośćioperatywnośćzkom-pleksowymfunkcjonowaniemorganizacji.Wkonkluzjinależyprzyjąć,żeokre-ślenie „ryzykooperacyjne” jest sformułowane i interpretowanewdokumentachKomitetuBazylejskiegozgodniezmetodologiąnaukiozarządzaniu,conieoznaczajeszczepełnejakceptacjisamejwyżejpodanejdefinicji.
Odnośniedokataloguproblemówwymienionychwdefinicjiryzykaopera-cyjnego Komitetu Bazylejskiego warto odwołać się do koncepcji analitycznychwłaściwychdlazarządzaniaoperacyjnego,tzn.podejściaprocesowegoorazrelacjiorganizacjizotoczeniem.Wtymkontekścienależyoceniaćnietylkosamądefinicję,aleibędącąjejinterpretacjąlubźródłemjakouogólnieniaklasyfikacjękategoriizdarzeń (7 kategorii) i rodzajów zdarzeńw ramachposzczególnych kategorii(przytoczonojąwtab.3.1).JejznaczeniewPolscepodnosifakt,żeuwzględnionawuregulowaniachnadzorubankowegojestobowiązującadlabanków.Znichzkoleibierze przykładwiele innych podmiotów, i to nie tylko z sektora finansowego.Klasyfikacjataniestetymieszaprzejawyryzykawujęciuprzyczynowymiskutko-wym,awobectegoniespełniapodstawowychwymagańklasyfikacjinaukowej,tj.jasnościispójnościkryteriów.
Zbliżoną klasyfikację, opartą na regulacjach bazylejskich, przedstawili Ja-worskiiZawadzka[2004].Dokonalionipodziałuryzykaoperacyjnegona:
ryzykoocharakterzepersonalnym,związanezkwalifikacjamipersonelu,dostępnościąkadry,celowymilubniezamierzonymidziałaniaminaszkodębanku, ryzykoocharakterzeorganizacyjnym,któremożewynikaćzniewłaściwejstruktury organizacyjnej, zasad funkcjonowania kontroli wewnętrznej,planowania,księgowości, ryzyko o charakterze rzeczowo-technicznym,wynikające z posiadanegoprzezbankwyposażeniatechnicznegoimożliwościprzeprowadzeniaope-racjiniezbędnychdoprawidłowegofunkcjonowania, ryzykomaterialneilosowewynikającezezdarzeńnaturalnych, ryzykoztytułuodpowiedzialnościbanku,związanezbłędamimerytorycz-nymiwobsłudzeklientazewnętrznegoizarządzaniamajątkiem, ryzykozwiązanezobrotempłatniczym, ryzykozakłóceńwsystemieinformatycznym,nabierającekluczowegozna-czeniawdziałalnościkażdegobanku(zapobieganieprzezprzygotowanieplanówkontynuacjidziałalności).
3. Ryzyko operacyjne i jego klasyfikacje 60
Tabela 3.1. Klasyfikacja rodzajów ryzyka operacyjnego wg Komitetu Bazylejskiego.
Kategorie zdarzeń Rodzaje zdarzeń
1. Oszustwo wewnętrzneStraty z tytułu działań mających na celu zamierzone oszu-stwo, sprzeniewierzenie własności lub obejście regulacji, prawa lub polityki spółki, z wyłączeniem zdarzeń z zakresu różnicowania i dyskryminacji, dotyczące co najmniej jed-nej osoby wewnętrznej
1.1. Działania nieuprawnione
1.2. Kradzież i oszustwo
2. Oszustwo zewnętrzneStraty z tytułu działań mających na celu zamierzone oszu-stwo, sprzeniewierzenie własności lub obejście regulacji, prawa przez osobę trzecią
2.1. Kradzież i oszustwo
2.2. Bezpieczeństwo systemów
3. Praktyka kadrowa i bezpieczeństwo pracyStraty wynikające z działań banku niezgodnych z prawem pracy, przepisami BHP, porozumieniami zawartymi z pra-cownikami lub w konsekwencji wypłat roszczeń z tytułu odszkodowań za wypadki przy pracy oraz zdarzeń z za-kresu mobingu i dyskryminacji
3.1. Stosunki pracownicze
3.2. Bezpieczeństwo środowiska pracy
3.3. Podziały i dyskryminacja
4. Klienci, produkty i praktyka biznesowaStraty wynikające z niezamierzonego lub będącego kon-sekwencją zaniedbania niewypełnienia zawodowych zo-bowiązań w stosunku do poszczególnych klientów (w tym wymagań dotyczących uczciwości i odpowiedzialności) albo też z charakteru lub struktury produktu
4.1. Obsługa klientów, ujawnianie informacji o klientach, zobowiązania względem klientów
4.2. Niewłaściwe praktyki biznesowe lub ryn-kowe
4.3. Wady produktów
4.4. Klasyfikacja klienta i ekspozycje
4.5. Usługi doradcze
5. Uszkodzenia aktywówStraty wynikające z utraty bądź zniszczenia fizycznych aktywów w wyniku klęsk żywiołowych lub innych zdarzeń
Klęski żywiołowe i inne zdarzenia
6. Zakłócenie działalności i błędy systemówStraty wynikające z zakłóceń w działalności i błędów systemów
Zakłócenia systemów
7. Dokonywanie transakcji, dostawa oraz zarządzanie procesamiStraty wynikające z błędów podczas przeprowadzania transakcji lub zarządzania procesami, jak również z relacji z kontrahentami i dostawcami
7.1. Wprowadzanie do systemu, wykonywa-nie, rozliczanie i obsługa transakcji
7.2. Monitorowanie i sprawozdawczość
7.3. Dokumentacja dotycząca klienta
7.4. Zarządzanie rachunkami klientów
7.5. Uczestnicy procesów niebędący klien-tami banku (np. izby rozliczeniowe)
7.6. Sprzedawcy i dostawcy
Źródło: KNF Rekomendacja M33.
33 Zob.teżDyrektywa2006/48/EC(tzw.CRD-capitalrequirementdirective).
3.3. Propozycja ujęcia wg teorii organizacji 61
Wliteraturzeanalizującejiopisującejryzykospotykanesąróżneklasyfikacjeryzyka,alesamozagadnienieryzykaoperacyjnegojesttraktowaneraczejmargi-nalnie,stądniewielepróbklasyfikacjitegorodzajuryzyka.Nietowarzyszytemumetodycznezakreślaniegranicproblematyki,animetodyczneformułowaniekryte-riówklasyfikacji.PrzykłademjestpracaKendalla[2000].Proponujeonnastępującypodział:
ryzykooszustwa,interpretowanejako„zatajenieprawdziwegostanurzeczyprzedosobami,któremająprawojeznać”, ryzykobrakuplanówszerokorozumianejodbudowypokatastrofie, ryzykoregulacyjne,które„wiążesięzmożliwościąponiesieniastratprzezprzedsiębiorstwo,którenieprzestrzegaodpowiednichprzepisówiregulacjiodnoszącychsiędojegodziałalności”, ryzykoutratyreputacji,które„odnosisiędostratwywołanychprzezutratęprzezprzedsiębiorstwodobregoimienia,bezwzględunaczynniki,którejąspowodowały”, ryzykoadministracyjne,rozumianejakoniedostatecznydobórpracowników(wsensieichkwalifikacji),wtymkadryzarządzającej,orazniedostateczneokreśleniezasadiprocedurpowierzonegoimdziałania.
KompleksowyprzeglądrodzajówryzykaprzedstawiawswoichpracachT.Kacz-marek[2003;2006],ztym,żepodkreślićnależy,iżjesttotylkoprzegląd,anieklasyfikacjaporządkująca.
ZciekawychpracprzyczynkowychwartowskazaćksiążkęC.Pritcharda[2001]. Jestonaprzykładem,wjakisposóbzagadnieniaryzykaoperacyjnegosąpodejmo-wanewwielupozycjachliteraturyzawodowej.Poświęconesąoneinnejproblema-tycewiodącej(uPritchardazarządzaniuprojektamiinformatycznymi),dlaktórejryzykojestistotnymczynnikiemsukcesulubporażki.Zperspektywytakiejproble-matykijakprojektyuPritchardazagadnienieryzykajestprzedstawianespecyficznieiwsposóbniepełny.Określenie„ryzyko”niejestnawetopatrywaneprzymiotnikiem„operacyjne”,ażeoniewłaśniechodzi,poznaćmożnatylkozopisuprzejawówryzyka,jakiesąbranepoduwagę.Wwiększymzresztąstopniuniżnaprzejawachryzyka,awięcpośredniojegorodzajach,pracetakiekoncentrująsięnauporząd-kowaniuprocesuzarządzaniapodstawowymobszaremproblemowym(uPritcharda–projektowanie),adopierowdrugimkrokunawkomponowaniuwtenproceselementówzarządzaniaryzykiem.
3.3. Propozycja ujęcia wg teorii organizacjiWkonsekwencjiwadklasyfikacjibazylejskiejmożnadostrzectakżewadydefinicji.Wyartykułowanewniejczynnikiryzykasugerująintencje,którewświetleteoriiorganizacjiizarządzanianależyująćnastępująco:
możliwe są określone zdarzenia wewnętrzne i zewnętrzne zakłócającedziałanieorganizacji,tzn.naruszająceprowadzenieprocesów,
3. Ryzyko operacyjne i jego klasyfikacje 62
procesysąwokreślonymstopniuizakresiepodatnenazdarzeniazakłócające, określonezasobysąnewralgicznedlautrzymaniaprocesów, organizacjamożeponosićprawnąodpowiedzialnośćzakonsekwencjena-ruszeniaprocesówlubzasobów.
Trzebateżpodkreślić,cowynikazklasyfikacjiKomitetuBazylejskiegoka-tegorii zdarzeń, że cechy zasobówmogą lec u podstawwystępowania zdarzeńzakłócających.Dotyczytozwłaszczaspecyfikizasobówludzkichorazskompliko-waniasystemówinformatycznychiuzależnieniawieluprocesówodtychzasobówisystemów.
Nowadefinicjapowinnauwzględniaćteelementy,tj.znaczeniewybranychprocesów(bomożejednakniewszystkich,atylkokrytycznych)zujęciempodat-nościzasobówpotrzebnychdorealizacjitychprocesów,albowkontekściezagro-żeńzewnętrznychiwewnętrznychmogącychskutecznieograniczyćlubzatrzymaćwykonywaniepewnychprocesów,albospowodowaćstratymaterialneorazodpo-wiedzialnośćprawnązatakiezdarzeniaiichskutki.Propozycjaprecyzyjniejszejdefinicji(utrzymanejwkonwencjizbliżonejdodotychczasowej)brzmi:
Wkonsekwencjitakiejdefinicjiiwnawiązaniudorozważańnadklasyfikacjąbazylejskąwidocznajestpotrzebadokonaniasystematycznejklasyfikacjiryzyka.Takąautorskąpropozycjęujmujątabele34 3.2 i 3.3.Kryteriazaproponowanejkla-syfikacjiodnosząsiędotrzechelementówprzejawianiasięryzyka:
charakteruposzczególnychprocesówrealizowanychworganizacji, rodzajówzagrożeń,któremogąoddziaływaćzakłócająconaprocesy, podatnościnazagrożenia–organizacjiprocesóworazposzczególnychro-dzajówzasobówniezbędnychdlaprowadzeniatychprocesów 35.
Kwestięprocesówujętowklasycznympodzialenaprocesypodstawowe,pomocnicze i zarządzania [Dahlgaard, Kristensen, Kanji, 2004]. Równocześnieogółprocesówpotraktowanojakoreprezentacjęczynnikówwewnętrznegozorga-nizowania,uzupełniającjeokategorięczynnikówzewnętrznychzwiązanychzod-działywaniemotoczenianaorganizację.
34 Klasyfikacjapodanawtabelach3.2 i 3.3jestgłównymwkłademautoradonauki,obokusta-leniazasadBCMnatlezasadzarządzaniaryzykiemoperacyjnym.Pierwszawersjaklasyfikacjizostałaopublikowanaw[Zawiła-Niedźwiecki,2010b],anastępniekilkukrotnieprzedstawionanakonferen-cjachnaukowychzdyscyplinekonomiiorazfinansówcelemupowszechnieniategoujęcia(dokonanegowświetleteoriiorganizacji)jakouzupełnieniaujęciaBaselII.
35 Szczegółowącharakterystykęmaterializowaniasięryzykawformiezakłóceńprocesówjakointerakcjizagrożeńzpodatnościamiorganizacjiomówionowrozdziale5.
Ryzyko operacyjne to ryzyko strat materialnych i reputacyjnych oraz odpowiedzialności prawnej, wynikających z niedostosowania lub zawodności procesów i niezbędnych dla nich zasobów (osobowych, materialnych, informacyjnych i finansowych), a powstają-cych w wyniku zakłóceń będących następstwem oddziaływania zagrożeń wewnętrznych i zewnętrznych.
3.3. Propozycja ujęcia wg teorii organizacji 63
Tabe
la 3
.2. A
utor
ska
prop
ozyc
ja k
lasyf
ikacj
i rod
zajó
w ry
zyka
ope
racy
jneg
o
PODA
TNOŚ
CI
Spra
wno
ść o
pera
cyjn
a
ZAGROŻENIA
Otoc
zeni
eRy
zyko
kat
astro
f nat
uraln
ych
Ryzy
ko te
rrory
zmu
Ryzy
ko ze
wnę
trzne
go za
kłóce
nia
funk
cjon
alneg
o śr
odow
iska
prac
y
Proc
esy
pods
taw
owe
Ryzy
ko za
kłóce
nia
fizyc
zneg
o śr
odow
iska
prac
y Ry
zyko
wew
nętrz
nego
zakłó
ceni
a fu
nkcj
onaln
ego
środ
owisk
a pr
acy
Ryzy
ko za
kłóce
nia
tech
nicz
nego
(a p
ozain
form
atyc
zneg
o) ś
rodo
wisk
a pr
acy
Ryzy
ko za
kłóce
nia
info
rmat
yczn
ego
środ
owisk
a pr
acy
Proc
esy
pom
ocni
cze
Obszary materializowania się ryzyka (jako wyraz bezpieczeństwa zasobów
i zorganizowania)
Post
ulat
y or
gani
zacj
i ide
alne
j (ja
ko w
yraz
cel
u za
rząd
zani
a)
Skut
eczn
y Ef
ekty
wny
(o
ptym
alny
or
gani
zacy
jnie
)
Racj
onal
ny
(opt
ymal
ny
kosz
tow
o)Be
zpie
czny
Pow
tarz
alny
Zaso
by
osob
owe
Ryzy
ko b
raku
ko
mpe
tenc
ji
Ryzy
ko b
raku
re
zerw
os
obow
ych
Ryzy
ko
flukt
uacj
i kad
r
Ryzy
ko re
latyw
izmu
inte
rpre
tacj
iRy
zyko
ruty
ny
(sko
stni
enia)
Ryzy
ko zł
ej w
oli
Zaso
by
mat
eria
lne
Ryzy
ko b
raku
fu
nkcj
onaln
ości
Ryzy
ko b
raku
reze
rw m
ater
ialny
chRy
zyko
ubo
czny
ch
skut
ków
Ryzy
ko
zuży
wan
ia się
Zaso
by
finan
sow
eRy
zyko
niet
rafn
ości
w
ydat
ków
Ryzy
ko n
adm
ierny
ch w
ydat
ków
Ryzy
ko w
ycze
rpan
ia śr
odkó
w
Zaso
by
info
rmac
yjne
Ryzy
ko b
raku
pe
łnej
treśc
iRy
zyko
nien
adąż
ania
za
rozw
ojem
Ryzy
ko
nied
ostę
pnoś
ciRy
zyko
zn
ieksz
tałce
nia
Proc
esy
za
rząd
zani
aZo
rgan
izow
anie
Ryzy
ko in
cyde
ntu
(aw
arii)
Ryzy
ko b
raku
pot
encj
ału
or
gani
zacy
jneg
o
Ryzy
ko p
rym
atu
bezp
iecze
ństw
a na
d sk
utec
znoś
cią
Ryzy
ko b
rakó
w
Źród
ło: n
a po
dsta
wie:
[Zaw
iła-N
iedźw
iecki,
200
8].
3. Ryzyko operacyjne i jego klasyfikacje 64
Wtymukładzie,zagrożenia–jakoprzejawyryzyka–potencjalnieoddziały-wająnaorganizacjęjakocałość(awtedyujmowanesąjakoczynnikidziałającezzewnątrz,tj.zotoczenia)lubnaposzczególnekategorieprocesów(podstawo-wych,pomocniczych,zarządzania).
Wodniesieniudooddziaływaniaotoczenianacałośćorganizacjiorazwod-niesieniudoprocesówpodstawowych,zuwzględnieniemzagrożeńipodatności,wskazanokompleksowe rodzaje ryzyka.Oczywiście,wprzypadku rozważaniasytuacjikonkretnejorganizacjiczęśćztychrodzajówryzykamożeniewystępować,bądźzracjinikłegoznaczeniadanegozagrożenia,bądźdużejnanieodporności.Naprzykładfirma informatycznaprowadzącausługowyośrodekprzetwarzaniadanych(usługaoutsourcingu)możeniebyćwystawionanaryzykobrakuzasilaniazewzględunaposiadanie jego zapasowego źródławpostaci generatoraprądunapędzanegopaliwempłynnym.
Natomiastwodniesieniudoprocesówpomocniczychorazdozasobówprzy-jętozałożenie,żeprocesytepolegająnaudostępnianiuzasobówkomórkomorga-nizacyjnymprowadzącymprocesypodstawowe.Analogicznieprzyjęto,żeprocesyzarządzaniabazująnaswoistejwartościdodanejdozasobów,jakąjestzorganizowa-niewewnętrzneprzedsiębiorstwa,awięcnastrukturzeorganizacyjnejiuporządko-wanychrelacjachmiędzykomórkamiróżnychszczebliiichstanowiskami.
Kwestiępodatnościorganizacjinazagrożeniawrelacjidoprocesówpomoc-niczych i zarządzania odniesiono do postulowanych cech systemu idealnego:skuteczności,efektywności,racjonalności,bezpieczeństwa,powtarzalności.
Poszczególnerodzajeryzykaoperacyjnegowskazanewtabeli3.2zostałydo-kładniejscharakteryzowanewtabeli3.3wukładzieopisu:
naturyprzyczyndanegorodzajuryzyka, mechanizmu,wgjakiegodochodzidojegospełnienia, rodzajuskutków,jakietakieryzykopowoduje, typowychprzykładówskutków.Opis takimabyćpomocnywukierunkowaniubadańnadposzczególnymi
rodzajamiryzykaoperacyjnegoorazpraktycznegowskazania,jakieobszaryidys-cyplinywiedzymogąbyćwtymprzydatne.
Tabela 3.3. Charakterystyka rodzajów ryzyka operacyjnego
Przyczyny Mechanizm realizowania Skutki Przykłady
Ryzyko katastrof naturalnych
Naturalne, przyrodnicze Opisany przez nauki przy-rodnicze
Od przyrodniczych (zmia-ny w środowisku natural-nym), przez społeczne, po dotyczące pojedyn-czych osób, podmiotów czy lokalizacji
• trzęsienie ziemi• powódź• huragan• rozległy pożar• nawalne opady
deszczu, gradu, śniegu
3.3. Propozycja ujęcia wg teorii organizacji 65
Przyczyny Mechanizm realizowania Skutki Przykłady
Ryzyko terroryzmu
Społeczne i psycholo-giczne
Opisany przez nauki spo-łeczne
Od społecznych po do-tyczące pojedynczych osób, podmiotów czy lokalizacji
• napad, porwanie• szantaż
Ryzyko zewnętrznego zakłócenia funkcjonalnego środowiska pracy
Zewnętrzne wobec funk-cjonowania organizacji, często nieznane organi-zacji
Bez bezpośredniego związku z normalną dzia-łalnością organizacji, od-cinający ją jednak od powiązań zewnętrznych
Niedestrukcyjne ograni-czenie możliwości nor-malnego działania
• brak dostępu do sie-dziby
Ryzyko wewnętrznego zakłócenia funkcjonalnego środowiska pracy
Zaniedbania w zakresie stosunków i warunków pracy
Zerwanie relacji wewnętrz-nych (między komórkami lub stanowiskami) warun-kujących przebieg pro-cesów w organizacji
Niedestrukcyjne ograni-czenie możliwości peł-nej normalnej realizacji funkcji organizacji
• strajk• wypadek pracownika
Ryzyko zakłócenia fizycznego środowiska pracy
Niedostatek zabezpieczeń przed czynnikami oddzia-ływania na środowisko pracy
Przekroczenie granic to-lerancji
Ograniczenie możliwości normalnej pracy w odnie-sieniu do pracowników lub urządzeń o specjal-nych wymaganiach
• za wysoka tempera-tura z powodów po-godowych
• za wysoka tempera-tura z powodu awarii technicznej
Ryzyko zakłócenia technicznego środowiska pracy
Zużycie lub wada ukryta Postępujące pogarszanie parametrów jakościo-wych lub nagłe ich prze-kroczenie
Ograniczenie możliwości normalnej pracy
• awaria urządzenia
Ryzyko zakłócenia informatycznego środowiska pracy
Podobnie jak wyżej, dotyczy specyficznych przypadków ryzyka technicznego związanych z systemami informatycznymi
• awaria komputera
Ryzyko braku kompetencji
Niewłaściwy dobór pra-cownika do zadań lub nienadążanie pracownika za dynamiką wyzwań zawodowych
Nieprofesjonalna ocena przesłanek działania lub podejmowania decyzji
Błędne działania lub decy-zje o skutkach prawnych, materialnych, finanso-wych, reputacyjnych
• nieświadomie błędne lub pochopne działa-nie pracownika
Ryzyko braku rezerw osobowych
Niewłaściwe planowanie zadań i zasobów
Stopniowe lub nagłe wy-czerpanie potrzebnej ob-sady osobowej
Niemożność pełnego wy-konywania zadań
• nieoczekiwana absencja• niemożność wykona-
nia wszystkich zadań
3. Ryzyko operacyjne i jego klasyfikacje 66
Przyczyny Mechanizm realizowania Skutki Przykłady
Ryzyko fluktuacji kadr
Niewłaściwe warunki pra-cy, niewłaściwa ocena sytuacji na rynku pracy
Poszukiwanie przez pra-cowników innego miej-sca zatrudnienia
Niemożność zapewnie-nia odpowiedniej jakości, rozmiaru lub wydajności wykonywanej pracy
• nieoczekiwana dymisja• zmiany obsady częst-
sze niż okres potrzebny na opanowanie zadań na stanowisku pracy
Ryzyko relatywizmu interpretacji
Brak jednoznacznej ko-munikacji lub niedosta-tek informacji
Działania rozpoczynane z pozycji obiektywnie właściwych, ale prowa-dzone w kierunku lub w sposób nieodpowiedni
Działania nieadekwatne do obiektywnych oko-liczności
• nieświadomie błędne lub pochopne wyko-nanie polecenia
Ryzyko złej woli pracownika
Niewłaściwy pod wzglę-dem etycznym dobór pracowników do odpo-wiedzialnych zadań
Wykorzystanie uprawnień stanowiska pracy lub niedostatecznej ochro-ny/kontroli do działań sprzecznych z intere-sem pracodawcy
Straty materialne lub re-putacyjne w działalności pracodawcy
• rozmyślnie niepopraw-ne działanie pracow-nika
• sprzeniewierzenie po-wierzonych środków
Ryzyko rutyny (skostnienia)
Długotrwałe wykonywa-nie tych samych zadań lub czynności
Stopniowe wykształcanie działania odruchowego
Działanie odruchowe w sytuacji, która wymaga postępowania szczegól-nego
• kierowca jadący „na pamięć” mimo zmiany zasad ruchu
Ryzyko braku funkcjonalności
Granice funkcjonalności organizacji
Niemożność wykonania nowego zadania, pozor-nie podobnego do po-przednich
Niemożność wywiązania się z zadania
• przyjęcie zamówienia, które na pewnym eta-pie realizacji nie może być kontynuowane
Ryzyko braku rezerw materialnych
Niewłaściwe planowanie zadań i zasobów
Brak zasobów stwier-dzony już w trakcie wy-konywania zadania
Niemożność wywiązania się z zadania
• nieoczekiwany brak komponentów w pro-dukcji
Ryzyko ubocznych skutków
Niedostateczna znajo-mość kontekstu zadania
Działanie powoduje dodat-kowe i niekoniecznie od razu jawne efekty o nie-korzystnym charakterze
Straty materialne lub re-putacyjne i odpowie-dzialność za straty stron trzecich
• nieoczekiwany szko-dliwy efekt planowej działalności
Ryzyko zużywania się
Ograniczona trwałość po-szczególnych zasobów
Zużywanie się zasobów prowadzące do przekro-czenia granic tolerancji
Niemożność wywiąza-nia się z zadania
• utrata parametrów urzą-dzenia wytwórczego
3.3. Propozycja ujęcia wg teorii organizacji 67
Przyczyny Mechanizm realizowania Skutki Przykłady
Ryzyko nietrafności wydatków
Niedostatek kompetencji Błędna ocena przesłanek decyzyjnych
Straty jako wynik błęd-nych decyzji
• chybiona inwestycja
Ryzyko nadmiernych wydatków
Niedostatek kompetencji Błędna ocena przesłanek decyzyjnych
Zawyżony poziom wy-datków
• błąd w negocjacjach handlowych
Ryzyko wyczerpania środków
Niewłaściwe planowanie zadań i zasobów finan-sowych
W toku działania zasoby finansowe są wyczer-pywane bez możliwości odpowiednio szybkiego ich uzupełnienia
Utrata płynności • niemożność dokona-nia zakupu
Ryzyko braku pełnej treści informacji
Brak kompetencji lub brak dostępu do właści-wych źródeł informacji
Brak informacji w toku podjętego działania wy-magającego takiej infor-macji
Niemożność wywiązania się z zadania
• niepełna dokumenta-cja projektowa
Ryzyko nienadążania informacji za rozwojem
Brak kompetencji lub nie-dostatki w aktualizacji informacji
Brak aktualnej informacji w toku podjętego dzia-łania wymagającego ta-kiej informacji
Niemożność wywiązania się z zadania lub wyko-nanie go w warunkach niepełnej informacji
• projekt inwestycji na terenie, który właśnie został przeznaczony na inne cele
Ryzyko niedostępności informacji
Brak dostępu do właści-wych źródeł informacji
Brak informacji w toku podjętego działania wy-magającego takiej in-formacji
Niemożność wywiązania się z zadania lub wyko-nanie go w warunkach niepełnej informacji
• niedostępność infor-macji od konkurentów rynkowych
Ryzyko zniekształcenia informacji
Brak dostatecznych kom-petencji
Błędne interpretowanie informacji
Zła lub ograniczona ja-kość działania
• prognozy ekonomiczne
Ryzyko incydentu (awarii)
Podatności w zorganizo-waniu działania lub w za-sobach organizacji
Interakcja zagrożeń dla prawidłowego działania z podatnościami
Niemożność utrzymania dotychczasowej organi-zacji działania
• awaria linii produk-cyjnej
Ryzyko braku potencjału organizacyjnego
Brak dostatecznych kom-petencji w zakresie or-ganizacji i zarządzania
Niewłaściwe planowanie zadań i zasobów
Niemożność lub ograni-czona zdolność do wy-wiązania się z zadania
• zakłócenia w złożo-nym projekcie
3. Ryzyko operacyjne i jego klasyfikacje
Przyczyny Mechanizm realizowania Skutki Przykłady
Ryzyko prymatu bezpieczeństwa nad skutecznością
Formalizm w interpretacji przepisów i standardów dobrych praktyk
Coraz staranniejsze prze-strzeganie reguł formal-nych doprowadza do ograniczania, a nawet sparaliżowania tego dzia-łania
Nieefektywne działanie • strajk „włoski”
Ryzyko braków
Niewłaściwa organizacja działania (obejmująca także nieodpowiednie za-soby)
Działalność jest nieusta-bilizowana, nieprecyzyjnie zorganizowana, korzysta z niepewnych zasobów
Wyniki działania nie uzy-skują oczekiwanych pa-rametrów jakościowych
• wadliwy wyrób
Źródło: opracowanie własne.
4. Proces zarządzania ryzykiem operacyjnym Pojęcie „organizacja” jestwpracyużywanewznaczeniuprzedmiotowym(rzeczo-wym).WjegointerpretacjiopartosięnapodejściukonceptualnymL.Krzyżanow-skiego,wgktórego„przedmiotemzainteresowanianaukoorganizacjiizarządzaniusąwszelkie formyzorganizowanegodziałania ludzi,wszczególnościwzględniewyodrębnionezotoczenia,zinstytucjonalizowaneczęścicałościtakiegodziałania(systemy),zwane»organizacjami«(wznaczeniurzeczowym)”[Krzyżanowski,1994,s. 47].Sątozbioryelementów,powoływanychzwarstwymaterialnej(zasobypozaosobowe)orazzwarstwyspołecznej(wtymludzie)systemuspołecznego,askładająsięnanie[Krzyżanowski,1994,s.164–199]:
cele,tj.rezultatyprzewidywanedoosiągnięciawpewnymczasie, komórkiorganizacyjnewykonawcze(operacyjne)ozdolnościtransformacjizasobówwprodukty(usługi), transformacyjneoddziaływaniekomórekorganizacyjnychnazasobyioto-czenie, aparat zarządzający nadbudowany nad komórkami organizacyjnymiwykonawczymi, stosunkiorganizacyjneokreślająceregułyformowaniakomórek,tj.regułypodporządkowywaniaiwspółdziałania, kierowniczeoddziaływanieinformacyjno-decyzyjneaparatuzarządzające-gozkomórkamiorganizacyjnymi, wielorakierelacjezotoczeniem.
Zarządzanie operacyjne.Analizującoperacje,możnaokreślić,czymorgani-zacjasięzajmuje.„Operacjesądziałalnością,naktórąskładasięcałaaktywnośćzwiązanabezpośredniozwytwarzaniemproduktu,którymmogąbyćdobrarze-czowelubusługi”[Waters,2001,s.20].Operacjeukładająsięwprocesy.Proceswujęciuorganizacyjnymto„logicznyciągnastępującychposobielubrównoległychczynności,któryprowadzidospełnieniaoczekiwańklienta,zarównowewnętrznego,jak izewnętrznego,przezdostarczeniemuwyrobu,usługi,dokumentacjizgod-nychzjegowymaganiami”[Skrzypek,2003,s.146].
4. Proces zarządzania ryzykiem operacyjnym 70
Zarządzanieoperacyjnezajmujesięsposobemwykonywaniaoperacji.„Jestfunkcjązarządzaniaodpowiedzialnązawszystkiedziałaniabezpośredniodoty-czącewytwarzaniaproduktu:zagromadzenierozmaitychskładnikówwejściowychiprzetwarzanieichwplanowaneproduktykońcowe”[Waters,2001,s.32].
Należywtymmiejscupodkreślić,żespotykanepojęcie–zarządzanieopera-tywne– jest czym innym.Odwołuje sięonodookreślenia „operatywny”, któreoznaczadziałanieenergiczne,skuteczneisprawne.Zarządzanieoperatywneod-nosisiędodziałalnościbieżącej,obejmujewobectegonietylkooperacyjnetrans-formowaniezasobówwwyroby/usługi,aleikształtowaniepozostałychaspektówdziałalnościorganizacji[Siwek,Onyszczuk,Bagiński,2006].
4.1. Organizacja zarządzania ryzykiem operacyjnym Zarządzanie ryzykiemoperacyjnym jest bezpośrednio związane z funkcjonowa-niemorganizacjiizprocesamiskładającymisięnajejdziałalność.Przejawytegoryzykasąbieżącymprzedmiotemzarządzaniaitoniezależnieodświadomościte-gofaktupostroniekadrykierowniczej.Wprzypadkuustabilizowanychprocesówdziałaniaorganizacjimożnanawetstwierdzić,żeradzeniesobiezryzykiemopera-cyjnymjestjednymzgłównychzadańmenedżerskich,jakożezarządzaniewtakimprzypadku polega przeważnie na zajmowaniu się wyjątkami/odstępstwami odzaplanowanegodziałania lub incydentami.Wzwiązkuz tymzarządzanie ryzy-kiemoperacyjnym,bardziejniżwprzypadkuinnychgrupryzyka,jestzintegrowanezmechanizmemzarządzania.Powstajewobectegoważnydylemat:czyinailezarządzanieryzykiemoperacyjnymwyłączaćzzarządzaniaogólnegoiczynićpro-cesemautonomicznym.ByłotoprzedmiotemobserwacjiautoraopisanychwZa-łączniku.Zwłaszczaanalizapraktykisektorafinansowego(wzakresieryzykaoperacyjnegosłużącejbliskąanalogiądlainnychsektorówgospodarczych),wktó-rymfunkcjonujenakazwydzielonegozarządzaniaryzykiemwramachustalaniatzw.adekwatnościkapitałowejwobecryzyka,wskazuje,żezarządzanieryzykiemoperacyjnymprowadzonejestwdwunurtach.Wpierwszym–ogólnym–jestonotrudnądowydzielonejobserwacjiczęściązarządzaniabieżącego.Wjegoramachrozwiązywanesąkwestieiproblemybędąceskutkamispełnianiasięryzyka.Dzia-łaniazarządczemającharakterrutynowychreakcji,analizsytuacji,ocenidecyzji.Sąonejednaktymskuteczniejsze,imbardziejrozbudowanyjestdruginurtzarządza-niaryzykiemoperacyjnym.Maoncharakterautonomicznyzwiązanywyłącznieztymrodzajemryzyka,bazujenastrukturachzadaniowych(czasowodedykowa-nych),działainterwałowo(praceokresowe).Pierwszynurtwporównaniuzdrugimopierasięwwiększymstopniunadziałaniachintuicyjnychisytuacyjnych.Drugijestukierunkowanynapogłębionąanalizęiwypracowywanierozwiązańprecy-zyjnieodnoszącychsiędoryzyka.Najkorzystniejjest,gdypierwszynurtczerpiezdrugiego.Dalszerozważaniaodnosząsiędodrugiegonurtu.
Zarządzanieryzykiemobejmuje[Jajuga,2007; Matkowski,2006]: ustanowieniededykowanejlubzadaniowejstrukturyorganizacyjnejookre-ślonychzadaniachikompetencjach,
4.1. Organizacja zarządzania ryzykiem operacyjnym 71
zdefiniowanieobowiązującychzasadpodejmowaniaproblematykiryzyka,opartychnaogólnychrekomendacjach(np.branżowychtypuBaselII)lubwewnętrznychdoświadczeniachdanegopodmiotu, zestawmetodidziałańzmierzającychdokontrolowaniawpływuczynni-kówryzykanafunkcjonowanieorganizacjiisłużącychdopodejmowaniawtymceluracjonalnychdecyzji.
Wzakresieinstytucjonalizacjifunkcjizarządzaniaryzykiemważnejestokre-ślenierolipracownikówikierownictwa.Wszystkieszczebleorganizacji,czylipra-cownicy,kierownicy,dyrektorzy,zarządorazradanadzorcza,powinnimiećzakresobowiązkówzwiązanyzsystememzarządzaniaryzykiem.Wtensposóbmogąbyćprzygotowanepodstawyumożliwiająceaktywnyudziałpracownikówikierownictwaorganizacjiwoperacyjnymograniczaniuryzyka.Uwarunkowaniatezostałyprzed-stawionenarysunku4.1.
Rysunek 4.1. System zarządzania ryzykiem
Źródło: [Matkowski, 2006, s. 170].
Komitet ds. ryzyka
Zarząd
Rada Nadzorcza
Menedżer ds. ryzyka
Korespondenci (historia strat)
Osoby raportujące KRI (bieżący monitoring)
Eksperci (ocena scenariuszy)
METODY INDENTYFIKACJI, POMIARU I MONITOROWANIA
Modele ilościowe• straty wewnętrzne• straty zewnętrzne
Kluczowe wskaźniki ryzyka• portfel procesów• zmiany w strukturze
organizacyjnej
Metody jakościowe• analiza scenariuszy• mapy ryzyka
4. Proces zarządzania ryzykiem operacyjnym 72
Podziałobowiązkówmiędzyposzczególneszczeble,komórkiorganizacyjneipracownikówwyglądanastępująco.Radanadzorczaizarządpowinny[Matkowski,2006]:
wiedziećonajważniejszychrodzajachryzyka,wobecjakichstoiorganizacja, znaćpotencjalneskutkiodchyleńodzakładanychwskaźnikówdlawartościprzedsiębiorstwa, zadbaćoodpowiednipoziomświadomościwewnątrzorganizacji, wiedzieć,naileorganizacjajestprzygotowanadosytuacjikryzysowej, zdawaćsobiesprawęzwagizaufaniagrupnaciskudlaorganizacji, przestrzegaćzasadkomunikowaniasięześrodowiskiem, otrzymywać informacjena temat tego,czyproceszarządzaniaryzykiemfunkcjonujewłaściwie, przedstawić czytelną strategię zarządzania ryzykiem,w tymkoncepcjędziałańorazpodziałobowiązków.
Jednostkiorganizacyjnepowinny[Matkowski,2006; Blim,Byczkowski,Za-wiła-Niedźwiecki,2005]:
miećświadomośćzagrożeń,jakiewystępująwdziałalności,zaktórąodpowia-dają,iichpotencjalnychskutkówdlainnychobszarówdziałalności,atakżepotencjalnych konsekwencji, jakie zdarzenia w innych obszarach mogąmiećdlaichwłasnejdziałalności; dysponować wskaźnikami, które umożliwią im stałą kontrolę wynikówkluczowychdziałańgospodarczychifinansowychorazpostępówwreali-zacjizałożonychcelów,atakżeidentyfikacjęproblemów,którewymagająinterwencji; dysponowaćsystemami,któresygnalizująodchyleniaodzałożeńbudżeto-wychlubprognoznatyleczęsto,bymożliwebyłopodjęcieodpowiednichdziałań, systematycznie i niezwłocznie informować ścisłe kierownictwo owszel-kichnowychzagrożeniachlubniesprawdzeniusięstosowanychśrodków.
Pracownicypowinni[Staniec,Zawiła-Niedźwiecki,2008]: rozumiećswojąodpowiedzialnośćzadanyrodzajryzyka, wiedzieć,wjakisposóbmogąsięprzyczynićdostałegodoskonaleniapro-cesuzarządzaniaryzykiem, rozumieć,żezarządzanieryzykiemtoprzedewszystkimświadomośćza-grożeń, systematycznie i niezwłocznie informować ścisłe kierownictwo owszel-kichnowychzagrożeniachlubniesprawdzeniusięstosowanychśrodków.
Warunkiemskutecznościzarządzaniaryzykiemjestzastosowaniepodejściaprocesowego(rys.4.2)ipełnejegozintegrowaniezewszystkimiprocesamizarzą-dzaniaorazoparciesięwanalizachryzykanainterdyscyplinarnejwiedzyojegoprzyczynach,mechanizmach i skutkach[Conrow,2000; Tarczyński,Mojsiewicz,
4.1. Organizacja zarządzania ryzykiem operacyjnym 73
2001].Dodatkowąweryfikacjępoprawnościiskutecznościidentyfikowaniaczyn-nikówryzyka,określaniapoziomuryzykaorazneutralizowaniago,awreszciezarządzanianim,stanowiokresowyaudyt,codozasadyzgodnyzwszelkimitypo-wymiregułamidoskonalącejorganizacjękontroliwewnętrznej,awmodeluza-rządzania ryzykiemstanowiący formękontrolnego sprzężeniazwrotnego,którepozwalanadaćprocesowikształtspiralidoskonalenia[Forystek,2005].
Rysunek 4.2. Funkcjonalny model zarządzania ryzykiem
Źródło: [Conrow, 2000].
Wpraktyce,poszczególnedziałaniaprocesuzarządzaniaryzykiemprzenikająsięwzajemnie,aponadtonależypamiętać,żeprocestenniejestwypreparowanyzinnychprocesówzarządzania,leczsilnieznimizintegrowany.Mająctonauwadze,możnazarządzanieryzykiempodzielićnaetapyikroki,cojestpotrzebnerównieżdotego,żebyzapewnićfunkcjonowanieprocesuzarządzaniaryzykiemnazasa-dziespiralidoskonalenia[Loader,2006,s.123–125].
I Etap–Ocenaryzyka: identyfikacjaryzyka, analizaryzyka, oszacowanieskaliryzyka, ustaleniehierarchiiryzyka.
II Etap–Aktywnepodejściedoryzyka(określaneteżjakowpływanienary-zykolubmanipulowanieryzykiem):
eliminowanie(unikanie)ryzyka, ograniczanieryzyka(wtymprewencja), segmentowanieryzyka, podziałryzyka, transferryzyka,
Planowanie
Identyfikacja ryzyka
Ocena ryzyka
Manipulowanieryzykiem
Monitorowanieryzyka
Analizaryzyka
Sprzężeniezwrotne
Dokumentowanie w ramach zarządzania ryzykiem
4. Proces zarządzania ryzykiem operacyjnym 74
finansowanieryzyka, (awpewnychprzypadkach)tolerowanieryzyka.
III Etap–Monitorowanieryzyka: podejściespołeczneskierowanenazagrożeniadlaczłowieka, podejściegospodarczenakierowanenasprawnośćfunkcjonowaniaorganizacji, systematycznakontrola, sterowanieryzykiem.
4.2. Identyfikacja, analiza i ocena ryzyka operacyjnegoWzarządzaniuryzykiemnajważniejszejesttrafneiwyczerpująceidentyfikowanierodzajówryzyka,najakienarażonajestorganizacjaijejdziałalność.Następniezaśstaranneanalizowaniegoiszacowanie.Pożądanąsytuacjąjestposiadaniestaty-styk o odpowiedniejwiarygodności, opisujących rozkładwystępowania zjawiskzakłócających.Wpraktycejednakzdarzasiętowodniesieniudoniewielurodzajówzjawisk,choćnp.wbankowościKomitetBazylejskizarekomendował,awPolsceKomisjaNadzoruFinansowegopoleciła,podmiotomnadzorowanymgromadzenietakichstatystykwramachsystematycznejanalizyryzyka[Matkowski,2006; Kra-sodomska,2008].Wsytuacjigdystatystyktakichbrak,pozostajeocenapolegającanaszacowaniuczynnikówryzyka.Należyprzytympodkreślić,żepodmiotowyso-kiejkulturzeorganizacyjnej,niezależnieodwymagańorganównadzoru,zwłasnegoprzekonaniagromadziianalizujedanestatystycznedotycząceorganizacjipracyiwarunkówjegodziałania.Jesttotakżespecyficznyelementzarządzaniawiedząorganizacji[Tabaszewska,2012].
Wszerokimujęciuanalizaryzykaoperacyjnegorozpoczynanajestodstra-tegicznej oceny podatności najbardziej istotnej działalności biznesowej, zwanejkrytyczną,nazagrożenia.OcenatakajestokreślanamianemBIA(business impast analysis)[Charters,2011; Gołąb,2009],azaczynanaodidentyfikacjigłównychprocesówi ichszczególniekrytycznychelementóworazczynników,któremogąnegatywnietękrytycznośćwykorzystać.Dlakażdegokrytycznegoprocesubizne-sowegoanalizaBIAdostarczaprzedewszystkimnastępująceinformacje[Kaszubski,Romańczuk,2012]:
wysokośćpotencjalnychstratfinansowychprzedstawionychnarastającowprzedzialeczasu(zakładasię,żeorganizacjapowinnaznaćszacunkowąwartość,ustalonązwłaszczanapodstawiedoświadczeńzprzeszłości,stratponoszonychnazasadzieutraconychkorzyścizakażdągodzinęprzestoju,dodatkowodzielonychprogowonaokresyoskokowymwzrościetychstrat); poziompotencjalnychstratniepoliczalnychwskalijednolitejdlawszyst-kichprocesów(zakładasię,żeorganizacjapowinnadążyćdowyobrażeniasobiestratwizerunkowychiichoszacowaniawartościowegonazasadzieutraconychkorzyściwdługoterminowymhoryzoncie);
4.2. Identyfikacja, analiza i ocena ryzyka operacyjnego 75
maksymalnydopuszczalnyczastrwaniaprzerwywfunkcjonowaniuprocesu–inaczejczas,poktórymprocesmusibyćwznowionynazałożonymakcep-towalnympoziomiejakości(zakładasię,żedecydenciorganizacjiwtokuanalizypowinnisprecyzowaćtakiewymaganiewstosunkudonastępnieprojektowanychrozwiązańzapewnianiaciągłościdziałania,pamiętając,żeoznaczatotakżeokreślonypoziomwydatkównaterozwiązania); minimalnyfunkcjonalniepoziomodtworzeniaprocesu–inaczejzałożonyakceptowalnypoziomiejakościwznowieniaprocesupoawarii(niejesttojednoznacznezprzywróceniempierwotnegopoziomujakości); czas,poktórymprocesmusizostaćodtworzonynanormalnympoziomie(wtymprzypadkutakżezakładasię,żedecydenciorganizacjiwtokuana-lizypowinnisprecyzowaćtakiewymaganiewstosunkudonastępniepro-jektowanychrozwiązańzapewnianiaciągłościdziałania,pamiętając,żeoznaczatotakżeokreślonypoziomwydatkównaterozwiązania); specyfikację zasobów niezbędnych dla utrzymywania sprawności proce-sówkrytycznych,zwanąMinimalnąAkceptowalnąKonfiguracją(MAK).
Wkontekściezatwierdzonychprzezkierownictwoorganizacjiustaleńzana-lizyBIAmożnaprzystąpićdoanalizyryzykadużoskuteczniejzorientowanejnaobszarydziałalnościjużwskazanejakokluczowedladziałalnościorganizacji.Ana-lizatawpierwszymrzędzieopierasięnaidentyfikacjirodzajówryzyka,przyczymcorazczęściejmówisięoidentyfikacjirodzajówzagrożeń,przyjmującżezagroże-niejestkonkretnymdlaokreślonychwarunkówdziałaniaorganizacjiprzejawemdanego rodzaju ryzyka.Celemprzeprowadzenia identyfikacji stosuje się szeregmetoditechnik,np.listypytańkontrolnych,diagramyoddziaływań,mapowanieprocesów i systemów, rejestry incydentów i zdarzeń, oceny eksperckie,metodykreatywne,scenariuszowe.Ichszerokiwachlarzomawiają:Can[1995],Kosieradzka[2013],Stabryła[2012].
Analiza ryzykama skutkowaćmożliwie precyzyjnymokreśleniemnaturyzidentyfikowanychrodzajówryzykaiwskazaniemrodzajówzagrożeń,jakiesąwy-razemryzykawswoistychwarunkachdziałaniaorganizacji.Wszczególnościopisnaturyryzyka/zagrożeńpowinienodnosićsiędoichprzyczyn(źródeł),mechanizmuspełnianiasię(wtympodatnościorganizacji)orazskutków(rys.2.2itowarzyszącymuopis).
Wtymmiejscuwartopowrócićdowątku,którymzakończonopodrozdział2.4. Chodzioto,żezdecydowanawiększośćrodzajówryzykaoperacyjnego(patrztab.3.2 i 3.3)macharakterpozafinansowy.Wtakichprzypadkachsposobyanalizo-waniaizwłaszczametodypomiaruryzykapolegającenaoszacowaniufinansowymmająograniczonezastosowanie.Przedewszystkimzaśniesłużąbezpośredniemupomiarowiryzyka,ajedynieokreśleniuadekwatnościkapitałowejjakopoziomuśrodkówfinansowych,któreorganizacjapowinnaposiadać,abyudźwignąćfinan-sowekonsekwencjespełnieniasięryzyka.Wobectegometody,któresąodpowiedniedoanalizowaniaryzykaoperacyjnegomajągłówniecharakterjakościowy(opiso-wyikwalifikatywny).Dziejesiętakdlatego,żenaturatychrodzajówryzykajestwielorakaikażdesprowadzaniejejdowspólnegomianownika,mówiącpopular-nie,czyliposzukiwaniejednejmiaryoceny,jestbądźniemożliwe,bądźprowadzi
4. Proces zarządzania ryzykiem operacyjnym 76
dodalekoposuniętychuproszczeń. Jest toważnymargumentemzaposługiwa-niemsięmetodamijakościowymi,opisowymiwfazieanalitycznejorazkwalifi-katywnymiwfazieoszacowania.Rozważeniawymagawobectegowartośćmetodjakościowych,któreniejednokrotnietraktowanesąjako„gorszejjakości”odmetodilościowych.Poglądytegorodzajureferujenp.Woźniak[2010],aważnąpolemikęwskazującą,żezarzutytesąnieuzasadnione,zgłaszaCzakon[2009].Autorni-niejszej rozprawypodzielapogląd tegoostatniego, opierając się dodatkowonaargumentacjizwiązanejzcelowościowąinterpretacjąpodejściametodycznegowanalizachryzykaoperacyjnego.Rzeczbowiemwtym,żeoczywiścieważnajestwiedzao rozmiarze rezerwfinansowychodpowiadającychpotencjalnymkonse-kwencjomspełnieniaryzyka,alematoznaczeniewyłączniepasywne36.Aktywnekonfrontowaniesięzryzykiempoleganaprzygotowywaniurozwiązańzabezpie-czającychprzedjegooddziaływaniem,nadziałaniachograniczającychjegointen-sywnośćoraznadziałaniachtworzącychzdolnośćdoszybkiegousuwaniaskutkówspełnieniasięryzyka.Doprzygotowaniatakichrozwiązańorazdziałańpotrzebnyjestwpierwopis istotnychelementówzjawisk składającychsięnapowstawaniezagrożeńispełnianiesięryzyka.Następniezaś,wodniesieniudoocenyryzyka,potrzebne jestwskazaniezasadkwalifikowaniaposzczególnych jegoanalizowa-nychrodzajów lubwyrażających jezagrożeńdozałożonychprzedziałówocenkwalifikatywnych:punktowych(np.0-1-2-3lub1-3-5-9),procentowychlubseman-tycznych(np.duże-średnie-małealbodestrukcyjne-niedestrukcyjne).Nieoznaczatoodrzucaniaa priorimetodocenyilościowej,np.metodstatystycznych,którychstosowaniusprzyjanp.prowadzenierejestru incydentów(naruszeńnormalnejdziałalności)ikorzystaniezzawartychwnimdanychodmomentuprzekroczeniaprzeztakizbiórproguwiarygodnościstatystycznej[Help-desk,2007].Ocenykwa-lifikatywnepozwalająustalić,jakirodzajzzałożonychpodejśćdoryzykazastoso-waćdladanegozagrożeniastosowniedoprzypisanejmuocenyprzedziałowej.Wpraktycezarządzaniaprzeważniezapewniatodostateczneprzesłankidecyzjicododoborurozwiązańzabezpieczającychidziałańnaprawczych.Typowerodzajemetod analizy i oceny jakościowej przedstawia tabela 4.1.Wszystkie onemająpodstawowąwadęzwiązanązograniczonymoszacowaniemilościowym,wprak-tycejednakwodniesieniudoryzykaoperacyjnegoichzaletyprzeważają
Przykłademmetody szacowania specjalnieopracowanejpodkątemryzykaoperacyjnegojestTSM-ORA(Total Security Management – Operational Risk Asses-sement)[Soczko,Zawiła-Niedźwiecki,2008]37.Pierwszymikrokamianalizywtejmetodziesą:
określeniegranicsystemu,wramachktórychznajdująsięjegozasoby(za-kładasię,żeanalizaniemusidotyczyćcałejorganizacji,awówczasnależy
36 Dlaporządkunależywskazać,żeJ.Orzeł[2012]pokazuje,jaknadrodzewykorzystywaniainstrumentówpochodnychrynkukapitałowegomożnauaktywniaćfinansowezarządzanie ryzykiemoperacyjnym.
37 Metodazostałaopracowanaw2004rokuwPolitechniceWarszawskiej(przywiodącymudzialeautoraniniejszejpracy)nazamówienieUNIDOwramachjegoprojektuwspieraniazarządzaniazaple-czemmaterialnympolskiejpolicji.
4.2. Identyfikacja, analiza i ocena ryzyka operacyjnego 77
wskazać,dlajakichkomórekorganizacyjnychorazktórychsposródproce-sówmabyćprzeprowadzona), opisanieśrodowiska–zarównofizycznego,jakiprawno-organizacyjnego–wjakimsystemdziała(wszczególnościchodzioustalenie,jakipoziomsprawnościprocesówjestwymaganyiskądpochodząmiarytejsprawności), zdefiniowanieaktywów,któremawskazaćdziękianalizieprocesowej,którezaktywówwarunkująsprawneprowadzenieprocesów(naruszeniaciągłościdziałaniapochodząbowiembezpośredniozniedostępnościzasobów lubichusługdlaprocesu).
Tabela 4.1. Rodzaje metod jakościowych w analizie ryzyka
Rodzaje metod Przydatność
Opisowa ocena ryzyka
Jeśli brak jest utrwalonej doświadczeniem praktyki analizowania ryzyka, to przy pomocy tej metody można dokonać systematycznego opisu i postarać się wyrobić podstawową opinię co do wagi danego rodzaju ryzyka/zagrożenia (np. duże-średnie-małe).
Katalog czynników ryzyka
Jeśli rodzaj ryzyka/zagrożenia jest dobrze opisany co do jego natury, to można dla badanej organizacji przygotować szablon identyfikacji poszczególnych cech ryzyka/zagrożenia oraz przedziałowo przypi-sać im oceny. Im więcej jednak bada się cech, tym trudniej jest określić wartość sumaryczną lub wypadkową takiej oceny.
Analiza profilowaSporządza się tzw. profil ryzyka organizacji będący listą przekrojów analizy (cech organizacji) i dokonuje się oceny stopnia ryzyka w od-niesieniu do poszczególnych przekrojów (cech).
Systemy wczesnego ostrzeganiaBada się czynniki krytyczne danego rodzaju ryzyka/zagrożenia i ustala progi wrażliwości, które można uznać za sygnały ostrzegawcze, lub też bada się charakterystyczne symptomy spełniania się zagrożenia.
Wyrównywania ryzyka (głównie wyrównywania strat)
Bada się różne rodzaje ryzyka/zagrożeń w celu wskazania tych, które należy poddać oddziaływaniu, które ma sprowadzić jego poziom do wskazanego akceptowanego poziomu.
Szacowania ryzyka adaptowane z FMEA
Bada się związki przyczynowo-skutkowe spełniania się ryzyka/za-grożeń oraz wskazuje zasadniczy czynnik krytyczności, korzystając z tradycji wykorzystywania tej metody w analizach jakości.
Źródło: opracowanie własne na podstawie: [Cruz, 2004; Bizon-Górecka, 1998; Pritchard, 2001; Stabryła, 2006; Szczepańska, 2011].
Analizatapoleganaustaleniucelówifunkcjisystemudziałania,którymna-leżyzapewnićdostępnośćaktywów;następnienaokreśleniuprocesówwykony-wanychprzezsystem,arealizującychjegocele,anakoniecokreśleniuzasobów(takżeniematerialnych),któretoumożliwiają.Aktywompowinnyzostaćprzypo-rządkowaneoceny,charakteryzująceichważnośćwświetlecelówsystemu.War-tościocenypowinnybyćzwiązanezkosztemuzyskaniaiutrzymaniaaktywów.
4. Proces zarządzania ryzykiem operacyjnym 78
Kolejnymkrokiemjestidentyfikacjazagrożeń.Ichanalizapoleganaokreśle-niu,któreznichfaktyczniedotycząanalizowanegosystemuizjakimprawdopo-dobieństwemmogąwystąpić.Prawdopodobieństwotomożezależećodrodzajuiwartościaktywówsystemudziałania,narażonychnaposzczególnezagrożenia.Ocenętakiejpodatnościzasobówmożnaprzeprowadzićnadwasposoby.Pierw-szymjestopracowanielistysłabychpunktówsystemu,tj.jegopodatności,któremogłybybyćwykorzystaneprzezpotencjalnezagrożenia,anastępnymoszacowaniełatwościichwykorzystania.Technikatajestotyletrudna,żeosłabościachsystemudziałaniadowiadujemysięzwykledopiero,gdypowstaniezakłócenie.Dostatecz-niewiarygodnaocenajestwięcwtymwypadkumożliwatylkonabazieposiada-nychstatystykincydentów,cowpraktycerzadkojeszczemamiejsce.Drugimsposobemjestwyjścieodzidentyfikowanychzagrożeńiocenajakbardzopodatnesąnańposzczególneaktywa.Gdydojdziedo interakcjizagrożeniaz systemem,wskutekwykorzystaniapodatności,mówimyozakłóceniu.Ukoronowaniempro-cesuanalizyryzykajestopracowaniemapypotencjalnychzakłóceń,którapowstajeprzezpołączenieanalizyiocenydwuczynników:prawdopodobieństwa,zjakimmożedojśćdozakłócenia,orazwpływu,jakibędzieonomiałonasystemdziałania.
Interesującesąteż,możliwedowykorzystywanianazasadzieanalogii,metodyanalizyryzykasystemówtechnicznych,np.analizadrzewazdarzeń,analizadrzewaniezdatności,badaniezagrożeńigotowościoperacyjnej[Kubińska-Kaleta,2008].
4.3. Wpływanie na ryzyko operacyjne i monitorowanie goWpływanie na poziom ryzyka, zmierzające do jego ograniczania, a polegającegłównienawprowadzaniurozwiązańzabezpieczających,musizachowywaćracjo-nalnośćbiznesową.Tymsamym,pozaprzypadkamirozwiązańbezwzględniewy-maganychprzepisamiprawa,poszukujesiękompromisumiędzyprzewidywanymistratami,związanymizeskutkamispełnieniasięryzykaanakładaminarozwiązaniazabezpieczające.Ideowoilustrujetorysunek4.3.Pozostawiany,niezabezpieczonyzakresryzyka,nazywanyjestszczątkowym.
Jużconajmniejryzykoszczątkoweuzasadniaopracowywanieplanówza-pewniania ciągłości działania.Dodatkowonależy brać pod uwagę zawodnośćwprowadzonychrozwiązańzabezpieczających.Jesttodrugazasadniczaprzyczynaprzygotowywaniaplanówzapewnianiaciągłościdziałania.
Zpowyższychpowodówrelacjamiędzyrozwiązaniamizapewnianiabezpie-czeństwaauzupełniającymijerozwiązaniamizapewnianiaciągłościdziałaniajestpochodnąbiznesowejocenysytuacjiprzezdecydentóworganizacji.Dodatkowaracjonalnośćtakiejocenywynikazfaktu,żeryzykojesttakżeszansąipodejmowa-niegodajekonkurencyjnemożliwościwprowadzeniubiznesu.
Konsekwencją analizy ryzyka jest podejmowanie prac nad zapewnianiembezpieczeństwa iciągłościdziałania,któremożnaosiągnąć,szukającrozwiązańwpływającychnaprzejawyryzyka.Kwestiete,stanowiącetreśćetapuIIprocesuzarządzaniaryzykiem[Loader,2006],omówionowrozdziałach5 i 6.
4.3. Wpływanie na ryzyko operacyjne i monitorowanie go 79
Rysunek 4.3. Relacja strat i kosztów zabezpieczeń w zarządzaniu ryzykiem
Źródło: [Zawiła-Niedźwiecki, 2008]
Zarządzanieryzykiemoperacyjnymodbywasięprzyprzyjęciuróżnychkryte-riówocenyspełnianiajegocelu–odminimalizacjiryzykaprzyzałożonymefekciedziałalnościdomaksymalizacjiefektuprzyzałożonympoziomieryzyka.Towarzyszytemu planowanie/rozliczanie działań zarządzania, wpływania imonitorowaniaryzyka,zarównowznaczeniubezpośrednim,jakiprzezzapewnianiezasobówkoniecznychwdziałaniachwobecryzyka.Wramachplanowaniawszystkiedziała-niapowinnybyćbudżetowane,raportowane,ocenianeidoskonalone.
Zarządzanienimwymagadobrejznajomościwszystkichaspektówzidentyfi-kowanegoryzyka,takichjak:przyczynypowstawania,mechanizmiobjawyspeł-nianiasię,możliwemiejscazaistnieniazakłóceń, ichpotencjalnaskala,technikiobserwacjiitp.Zuwaginafakt,żeryzykooperacyjneprzedewszystkimdotyczyniedostępnościzasobów,asąonewszelkiegomożliwegorodzaju,tomonitorowanieposzczególnychelementówskładającychsięnaopisryzyka,zagrożeńipotencjal-nychzakłóceńjestbardzorozległe,wymagaróżnychmetoditechnik,właściwychspecyficedanychzasobówuznanychzakrytycznelubspecyficesposobuichwyko-rzystywania.Podobniejaktoopisanowkwestiimetodmierzeniaryzykaoperacyj-nego,pojawiasiękwestiatego,comabyćprzedmiotemmonitorowania,azazwyczajjesttopewnacechazasobulubcechasposobujegowykorzystywania.Cechatakazazwyczajmacharakterfizyczno-techniczny(zasobymaterialne),psychologiczno--socjologicznylubkompetencyjny(zasobyosobowe),techniczno-kognitywistyczny(zasobyinformacyjne),organizacyjny(sposóbkorzystaniazzasobów),abardzorzadkoekonomiczno-finansowy(zasobyfinansowe).Wodniesieniudotakprzygo-towanych,odpowiadającychspecyficezasobów,zasadmonitorowaniaustanawia
Potencjalne straty
Koszty zabezpieczeń
Ryzyko szczątkowe
Koszt
Prawdopodobieństwo100% 0%
Koszt
4. Proces zarządzania ryzykiem operacyjnym 80
sięprocedurynadzwyczajnegopowiadamianiaospełnianiusięryzyka,opartenazałożonychsygnałach/parametrach:akceptowalności,wczesnegoostrzeganiaialar-mowychoraznaprocedurachprzystępowaniadozapewnianiaciągłościdziałania.
Wdodatkuwzarządzaniuryzykiemoperacyjnymorganizacjiważnejestnietylkoryzykopojedynczegozdarzeniakrytycznego,aleiogólnamaparyzykazło-żonegozwszystkichmożliwychzdarzeńkrytycznych.Pozwalatookreślićryzykołączne, ryzyko zdarzeń szczególnie prawdopodobnych czy też ryzyko zdarzeńszczególniedotkliwych.Dlategomonitorowanieryzykapowinnobyćprowadzonekompleksowo i stale doskonalone, co oznacza, że jest to typowe zagadnieniezarządzaniawiedzą. Panowanie nad ryzykiem jestw dużym stopniu pochodnągromadzeniawiedzyrozumianejjakozdolnośćdozbieraniainformacji,selekcjo-nowaniaważnych iwyciągania znichwniosków(sygnałów)dopodejmowaniawłaściwychdziałańzapobiegawczychinaprawczych.Kryjąsięzatymcałezespołyzagadnień,któresązwiązanezodrębnymizbioramikompetencji(wiedzyfacho-wej),którezkoleipowinnybyćwłaściwiekojarzone.WspominanojużwtejpracyprzykładpowodziwdorzeczuOdry–odczasudramatuz1997rokuwdrożonow tamtymrejonie systemrozbudowanegomonitorowania. Jestondoskonalonyzarównocodotechnikzbieraniainformacji,jakimetodichanalizowania,aleisprawnościsłużb,którepowinnyreagować,niosącpomoc.
Wtakszerokimkontekście trudnopodaćszczegółowewytycznesposobówmonitorowania.Musząbyćonedobieranedokonkretnegoproblemustosowniedoregułdanejdziedzinyidyscyplinynaukiorazspecyfikizawodówispecyfikibranżgospodarczychwtoangażowanych.Natomiastwartopokazaćgeneralnymodelbudowaniasystemumonitorowaniajakoopartynazarządzaniuwiedząiumiejęt-nościami.
Istniejeszeregpodejśćdozarządzaniawiedzą(ichprzeglądomawianp.Pe-rechuda[2005]),ichautorzyizwolennicyusiłująwytworzyćprzekonanie,żejestmożliwerygorystyczniejednolitepodejściedotegozarządzaniawskazującnajednozpodejść.Wopozycjidotego,autor,napodstawiewłasnegodoświadczenia,jestprzekonany omożliwości i potrzebie równoczesnego stosowania kilku podejść,łączonychnazasadziewarstwpostrzeganychprzezanalogiędousługsieciowychw teleinformatyce38. Taka konstrukcja zintegrowanego systemu zarządzaniawiedząpozwalawzględnierozłącznie–tj.wsposóbskoordynowany,alejednakw różnej kolejności,w innymczasie i przezosobnegrupyosób– rozwiązywaćkwestieorganizacyjne,procesowe,zasobów,czypolitykipersonalnej.Budowaniewarstwowegozintegrowanegopodejścia(tab.4.1)odbywasięodwarstwyorgani-zacyjnejażpowarstwęintelektu(umownąkolejnośćwarstwnależyinterpretowaćoddołutabelikujejnagłówkowi).Wkażdejznichpowinnodominowaćinnezeznanychklasycznychpodejśćwzarządzaniuwiedzą.
Wwarstwieorganizacyjnejdefiniowanesąkwestiestrukturyorganizacyjnejdedykowanejdozarządzaniawiedzą–takformalniewyodrębnionej(dedykowane
38 Wteleinformatycepraktykowany jest tzw.7-warstwowymodelOSI[Dyrda,Graniszewski,Świątek,2010].
4.3. Wpływanie na ryzyko operacyjne i monitorowanie go 81
komórkiorganizacyjne),jakizadaniowej(zespołyrobocze,zadaniowe,adhoc,tym-czasowe,wdrożenioweitp.),albogrupyzupełnienieformalne–orazrole(zależ-ności),uprawnieniaiodpowiedzialnościwzakresiewyznaczanychwtejwarstwiecelówzarządzaniawiedzą.Wykorzystywanetusąprzedewszystkimcechypodejściasystemowego, zwłaszcza definiowanie zasad: tworzenia, kodyfikacji i transferuwiedzy,któresłużądookreślaniacelówzarządzaniawiedzą.
Wwarstwieoperacyjnejokreślanajeststrukturaizasadyrealizowaniapro-cesuzarządzaniawiedzą.Wykorzystywanetusąprzedewszystkimcechypodej-ściaprocesowego,bojesttodrogadowdrożeniazasadystałegodoskonaleniaorazuchwyceniaelementudynamikizjawisk,charakterystycznegodlawspółczesnegozarządzania.Wdodatkupodejścietozakłada,żezarządzaniewiedząjestmierzalne.Służytemudekompozycjatakiegoprocesuzarządzanianatrzypowiązanespiraledoskonalenia(gromadzenia,kodyfikowaniaiudostępniania),każdabardziejjed-nolitacodocharakterudziałania.Ichzadaniemjestgromadzeniewiedzyzgodniezpotrzebami,formułowaniewiedzywkształcieprzyjaznymużytkownikowi,wła-ściwezpunktuwidzeniaorganizacyjnegoioperacyjnegokorzystaniezzasobówwiedzyjużzgromadzonej.Konwencjaspiralidoskonaleniazapewniabieżącykom-promispotrzebimożliwości.
Tabela 4.1. Warstwy i podejścia formalne w zintegrowanym zarządzaniu wiedzą
Umowna warstwa Dominujące podejście
Warstwa intelektu (socjalizowanie wiedzy, relacje ludzi oraz interpretacja treści)
Podejście behawioralne
Warstwa treści (obszary wiedzy, od wiedzy jawnej do ukrytej)
Podejście zasobowe
Warstwa operacyjna (ujawnianie wiedzy, gromadzenie, kodyfikowanie, udostępnianie i zarzą-dzanie nią)
Podejście procesowe
Warstwa organizacyjna (strategia, struktura, audyt)
Podejście systemowe
Źródło: opracowanie własne.
Wwarstwietreściokreślanesązasobywiedzyjawnejiswegorodzajutropykierującedowiedzyukrytej.Wykorzystywanetusąprzedewszystkimcechypodej-ściazasobowego,którejestuważanezanajbardziejtradycyjnewzarządzaniuwie-dzą,alejegogłównawartośćzwiązanajestztym,żeodpowiadaonobezpośredniozazadaniawyznaczanezpoziomuzarządzaniastrategicznego.Wpodejściuzasobo-wymwiedzauważanajestzanajważniejszyzasóbfirmy.Postrzegasięjąbowiemjako:kluczowekompetencje,kluczoweumiejętności,zdolnościdozespołowegorozwiązywaniaproblemów,umiejętnośćpozyskiwaniawiedzyzotoczenia,imple-mentacjinowychnarzędzi,eksperymentowaniaitp.
4. Proces zarządzania ryzykiem operacyjnym
Wwarstwieintelektustosowanejestprzedewszystkimpodejściebehawioralne,któresłużysocjalizowaniuwiedzy,tj.uruchamianiu,prowokowaniu,stymulowa-niuiwspieraniuprzekazuwiedzy,jakożeczystawiedzapowstajewumyśleludzi,arozwijasięwrelacjachmiędzynimi.
Praktyczneróżnicewzarządzaniuwiedząmiędzyróżnymiobszaramiwiedzyuwidaczniają sięz intensywnością rosnącąwrazzkolejnościąwarstw,aprzedewszystkimnapoziomiewarstwyintelektu,którawniektórychobszarachwiedzyniemusiwystępować.Napoziomiewarstwyorganizacyjnejbudowanajestwspól-nazadaniowastrukturaorganizacyjnazarządzaniawiedząwcałymprzedsiębior-stwie i relacjewniej obowiązujące.Napoziomie procesowymbudowany jestmechanizmtrzechspiraldoskonalenia.Poziomtreściwprzypadkuniektórychob-szarówwiedzymożebyćjużwłaściwieostatnim.Odnosisiętonp.doobszarówwiedzy ściśle technicznej,w których posługiwanie sięwiedzą polega często nakorzystaniuzwiedzyzawodowejobardzoskonkretyzowanymkształcie.Warstwaintelektunabierazaśznaczeniatam,gdzieoperacyjnadziałalnośćjestnaturalniezmienna,trudnadostandaryzacji,opartanamechanizmachkumulowaniaindywi-dualnegodoświadczenia/umiejętności,wymagającatrudnejsyntezy,trudnateżdoogólnegoopisania,ajeszczetrudniejszadoskodyfikowania.
5. Zapewnianie bezpieczeństwa w zarządzaniu ryzykiem operacyjnym Bezpieczeństwo.Terminten,podobniejakryzyko,niejestjednoznaczny.Wkon-tekściezarządzaniaryzykiembezpieczeństwojestokreślonymstanemrzeczy-wistości społecznej i podmiotowej, ograniczonejdopojedynczej organizacji lubbranżyorganizacjipokrewnych.Jestdobremspołecznymwaspekciepotrzebludz-kich,wartościhumanistycznych iprawczłowieka [Korzeniowski,2012].Zper-spektywyogólnospołecznej,właściwejzarządzaniukryzysowemu39,jawisięprzedewszystkimjakowartość.„Zjednejstrony,jesttookreślonawartośćspołeczna,cy-wilizacyjna,kulturowa,polityczna,ekonomiczna,ekologicznaitp.–zdrugiejzaś,jesttotrudnadoprzecenieniawartośćegzystencjalna,moralna,duchowa.Bezpie-czeństwosytuujesięwhierarchiiwartościzewzględunaswojąwagęiznaczeniedlakażdegoczłowieka,alejestjednakwartościąnieautoteliczną,niesamąwsobie,tzn.niegodnązabiegówzewzględunaniąsamą,natomiastwartościąwyraźnieutylitarną,użytkową,tzn.będącąśrodkiemdoosiągnięciainnychwartości,np.życia,zdrowia,własnościitp.”[Szmyd,2000,s.47–48].
ZgodniezklasycznymibadaniamiMaslowa[2004]poczuciebezpieczeństwajestdrugązpodstawowychpotrzebczłowieka.Słusznajestwięcopinia,że„celemzarządzaniasytuacjąkryzysowąniejestwyłączniejaknajszybszypowrótdonor-malności.Istotątegotypuzarządzaniajestzmuszenieorganizacjidotego,abyuświadomiłasobiemoralnąispołecznąodpowiedzialnośćwobecwewnętrznychi zewnętrznych interesariuszy, wobec społeczeństwa, a nawet wobec świata”[Mitroff,Pearson,1998].
Zapewnianiebezpieczeństwajestprewencjąwobeczagrożeń,gdyżpoleganarozwiązaniach,którychzasadniczymcelemjestzapobieganiesytuacjomkrytycz-nymprzezdostrzeganieczynnikówzagrożeń,monitorowaniecharakterystycznychitypowychsymptomówichaktywizowaniasięorazzapobieganieichinterakcji
39 Należypodkreślić,żebezpieczeństwowniniejszejpracyodnoszonejestdoryzykapostrzega-negozperspektywypojedynczejorganizacji.Równolegleistniejepostrzeganieryzykaibezpieczeństwazperspektywyspołecznej,cookreślasiępojęciemzarządzaniakryzysowego.Więcejnatentematw:[Grocki,2012; Janeczko,1996; Lidwa,2010; Skomra,2010; Tyrała,2001].
5. Zapewnianie bezpieczeństwa w zarządzaniu ryzykiem operacyjnym 84
zsystememdziałaniaorganizacjilubjejotoczeniem.Jeśliteposunięciazawodząidochodzidozakłóceniadziałalnościorganizacji,toprzychodziczasnazaplano-wanąizorganizowanąaktywnośćnaprawczą,którapowinnazapewniaćakcepto-walnązdolnośćdoutrzymywaniaciągłościdziałania.
5.1. Bezpieczeństwo w ujęciu zasobowymNapraktykęzarządzaniaryzykiemoperacyjnymistotnywpływmasilnyzwiązektegoryzykazzasobamiorganizacji.Ichniedostatek,zbytmaładostępnośćlubniskajakośćsąwpraktycedziałaniaorganizacjipostrzeganejakozagrożenia,na-tomiastpewnośćdysponowaniatymizasobaminaodpowiednimpoziomieiood-powiedniejjakościjestpostrzeganajakoprzejawbezpieczeństwa.Wintuicyjnymodbiorzebezpieczeństwotojestkojarzonezrodzajemzasobuifakttenczęstoznajdujeodzwierciedlenieorganizacyjne–zarządzanieryzykiemoperacyjnymjestdzielone(rys.5.1)nadwiekategorie,tj.klasyczneinowoczesneobszaryzarządza-niadziałalnościąpomocnicząworganizacji[Zawiła-Niedźwiecki,2009].Pierwsząkategorięstanowią:ochronafizycznaitechnicznaorazbezpieczeństwoosobowe.Sątozagadnieniaoddawnabadaneprzezteorięorganizacji.Dlatychobszaróww pełni uzasadnione jest mówienie o rekomendowanych dobrych praktykach.Przytymspojrzenienaochronęfizyczną i techniczną jestnaznaczonespecyfikąbranży,wjakiejdziaładanypodmiot,podczasgdybezpieczeństwoosobowe,jakoskutkującepewnąpolitykąpersonalną,jestzagadnieniemuniwersalnym,podob-nymwkażdejorganizacjiiwzwiązkuztymdysponującymbogatymwsparciemteoretycznymirówniebogatąliteraturą.Drugąkategorięstanowią:bezpieczeń-stwoinformacjiisystemówinformatycznychorazzapewnianieciągłościdziałania.Wtymwypadku,zracjinowościproblematyki,możnaspotkaćsięzróżnymispoj-rzeniaminazagadnienieiwynikającymiztegokoncepcjamianalizyzagrożeńipo-szukiwaniarozwiązań.
Wartozauważyć,żezchwiląustanowieniazasadsystematycznegozarzą-dzaniaryzykiemoperacyjnymrównieuprawnionejeststosowanieokreślenia„za-rządzanie zapewnianiem bezpieczeństwa operacyjnego”, w pełnym ujęciu jako„zintegrowanezarządzaniezapewnianiembezpieczeństwa”(TSM–total security management)[Zawiła-Niedźwiecki,2003].
WposzczególnychobszarachzarządzaniaTSM(rys.5.1)stosowanesąspe-cyficznezasady,dobrepraktykiimetodyzapewnianiabezpieczeństwaorganizacji.Szczególnewyróżnieniekwestiibezpieczeństwasystemówinformacyjnych(głów-nieinformatycznych)manacelupodkreśleniepowszechnejobecnościinformacjiwzarządzaniu,ainformatykiwdziałalnościorganizacji.ZkoleipominięciewTSMryzykaniedoboruzasobówfinansowychwynikazfaktu,żeproblemtenjestściślezwiązanyzzarządzaniemryzykiembiznesowymiryzykiemfinansowymorazżerozwiązywanyjestwramachzarządzaniatymirodzajamiryzyka.
Oczekiwaniebezpieczeństwaimplikujerozwiązania,którychzasadniczymcelemjestprewencjapolegającanadostrzeganiuczynnikówzagrożeń,monitoro-
5.1. Bezpieczeństwo w ujęciu zasobowym 85
waniu charakterystycznych i typowych symptomów ichaktywizowania się orazzapobieganiuichinterakcjizsystememdziałaniaorganizacjilubzjejotoczeniem.Jeśliteposunięciazawodząidochodzidozakłóceniadziałalnościorganizacji,toprzychodzi czas na zaplanowaną i zorganizowaną aktywność naprawczą jakozdolnośćdoutrzymywaniaciągłościdziałania.
Rysunek 5.1. Koncepcja zintegrowanego zarządzania bezpieczeństwem
Źródło: [Blim, Byczkowski, Zawiła-Niedźwiecki, 2005].
Wpływanienaryzykooperacyjne,tj.reagowanieorganizacjinazidentyfiko-waneryzyko,możepolegaćnawpływaniunajegoprzyczyny,mechanizmspełnia-niasięgolubjegoskutki.Działanietakieodbywasięwkontekścieistotysamegoryzykaimożliwościoddziaływaniananieorazwkontekściezdolnościorganizacjidopodjęciasiętakiegooddziaływania,czytowznaczeniudysponowaniawłaści-wymiśrodkami/narzędziami,czyposiadaniaodpowiednichumiejętności.Sytuacjatakanaogółjestpozytywniedynamiczna,tzn.corazlepszepoznawanieryzykaorazpraktykowanieoddziaływaniananiedajeorganizacjidoświadczenie,którezwiększaskutecznośćograniczaniaryzyka.Oczywiścieprawidłowość tadotyczytylkorodzajówryzykaoźródłachbędącychwzasięguoddziaływaniaorganizacjioraz o intensywności i skali tego oddziaływaniawspółmiernych domożliwościreagowaniaorganizacji.
Oddziaływaniewobeczdarzeńkrytycznychjakoprzejawówryzykamożeod-nosićsiędoprzyczyntychzdarzeń(prewencjajakopostępowanieex-ante)lubdoichskutków(terapiajakopostępowanieex-post).Wbrewpozoromniezakładasięautomatycznejwyższościdziałańprewencyjnychnadnaprawczymi.Ocenaidobórdziałańdokonywanesąprzywykorzystaniukryteriówekonomicznych–niekiedyracjonalnympodejściemdoryzykajestnaprawiaćjegoskutki,anieimzapobiegać.Pierwszyrodzajoddziaływaniaokreślasięmianemzapewnianiabezpieczeństwa
Zintegrowane zarządzanie zapewnianiem bezpieczeństwa organizacji (TSM)
ZARZĄDZANIE ZAPEWNIANIEM BEZPIECZEŃSTWA SYSTEMÓW INFORMACYJNYCH
ANALIZA [ZAGROŻEŃ I OCENA] RYZYKA
Zarządzanie zapewnianiem
ciągłości działania
Zarządzanie zapewnianiem
bezpieczeństwa informacji
Zarządzanie zapewnianiem
bezpieczeństwa fizycznego
Zarządzanie zapewnianiem
bezpieczeństwa osobowego
5. Zapewnianie bezpieczeństwa w zarządzaniu ryzykiem operacyjnym 86
operacyjnego,drugizaśzapewnianiemciągłościdziałania.Oddziaływaniaoburo-dzajówbazująnaanalizieryzyka,jegoprzyczyniskutków,aletakżenaanalizieistotydziałaniaorganizacji,związanegozdanymprzejawemryzyka.Ryzykoprze-jawiasiębowiemzapośrednictwemzjawiskookreślonymcharakterze,którychwpływnaorganizacjęjestmożliwydopierowtedy,gdytakiezjawiskonatrafinapodatnośćorganizacjidotyczącąjednegolubkilkuprocesówwniejrealizowanych,albowznaczeniuniedoskonałościorganizacyjnejtakiegoprocesu,albosłabościwzakresiedoboruzasobówwykorzystywanychprzezproces.Wpraktycekażdezdarzeniekrytyczne(spełnieniesięryzyka)polegananaruszeniuzasobu(zaso-bów)warunkującegorealizacjęprocesu.Analizaryzykapolegawięcnaustaleniuiocenie:
procesów,któredecydująorealizacjizadańorganizacji, zestawuzjawiskzakłócającychiprawdopodobieństwichwystąpienia, podatnościzasobów,mierzonejwielkościąpotencjalnegowpływuzjawiskazakłócającegonadziałalnośćorganizacji.
PraktycznewpływanienaryzykooperacyjneizapewnianiebezpieczeństwawujęciuTSMpoleganaprojektowaniuiwdrażaniurozwiązańodpowiadającychpodstawowymmotywomprzedstawionymwtabeli5.1.
Tabela 5.1. Motywy wpływania na ryzyko operacyjne w zintegrowanym zarządzaniu zapewnianiem bezpieczeństwa organizacji
Zintegrowane zarządzanie zapewnianiem bezpieczeństwa organizacji (TSM)
Zarządzanie zapewnia-niem ciągłości działania
Zarządzanie zapewnia-niem bezpieczeństwa informacji
Zarządzanie zapewnia-niem bezpieczeństwa fi-zycznego i technicznego
Zarządzanie zapewnia-niem bezpieczeństwa osobowego
1) O jakie procesy dba-my?
2) Jakie zakłócenia prze-widujemy?
1) Jakie informacje chro-nimy?
2) Przed czym chronimy?
1) Jakie lokalizacje chro-nimy?
2) Czego się obawiamy?
1) Jakich ludzi potrze-bujemy?
2) Czego od nich wyma-gamy?
3) Jak chronimy zasoby i procesy?
Na przykład metodyki DRII, TSM/BCP
Na przykład metodyka TISM
Najlepsze praktyki bran-żowe
Najlepsze praktyki bran-żowe
Źródło: [Zawiła-Niedźwiecki, 2008].
Wpływanie na ryzyko operacyjne, podobnie jak i na inne rodzaje ryzyka,odbywasięwmyślnastępującychtzw.strategiiszczegółowychzarządzaniaryzy-kiem[MonkiewiczJ.,2004]:
transferryzyka–przeniesieniebezpośrednichskutkówwystąpieniaszkodylubkonsekwencjifinansowychnainnypodmiot,któryprzejmujetoryzykonasiebie(np.ubezpieczyciel,aleipartnerbiznesowytypukooperant); retencjaryzyka–stworzeniezawczasuwłasnegozabezpieczenianawypadek
5.1. Bezpieczeństwo w ujęciu zasobowym 87
zaistnieniaszkody(np.funduszrezerwowy),alełatwejdoprzewidzeniaioszacowania,małokosztownejwrelacjidośrodkówwłasnychorganizacji,małoprawdopodobnejdokumulacjizinnymiszkodami; nieświadomaretencjaryzyka–zaniechanieprzeciwdziałaniaryzykuzpo-wodubrakuświadomościjegoistnienia; redukcjaryzyka–wprowadzeniezabezpieczeńdobranychdorodzajówza-grożeń,wielkościryzyka,rozmiarówjegoskutków; podziałryzyka–ryzykookreślonegorodzajujestdekomponowanenaro-dzajeryzykamniejszychkategoriiidlakażdegoznichdobieranesądzia-łaniamitygujące; akceptacjaryzyka–przekonanie,żerozmiarpotencjalnychszkódnieprze-kraczagranictolerowania,azabezpieczaniesięprzedryzykiemjestzbytkosztowne;w tej kategoriimieszczą się działaniana rzecz zapewnianiaciągłościdziałaniawformieplanówawaryjnych.
Zapewnianiebezpieczeństwaorganizacji,zwłaszczawujęciuTSM,odnoszonejestdoposzczególnychrodzajówzasobów[Blim,Byczkowski,Zawiła-Niedźwiecki,2003,2004].Wobectegomówisięobezpieczeństwieosobowym,bezpieczeństwiefizycznymitechnicznym,bezpieczeństwiefinansowymorazbezpieczeństwie in-formacjiiinformatycznym.Jakłatwozauważyćposzczególnekategoriepozostająwścisłymzwiązku,apoczęściteżnakładająsięnasiebie.Mówisięwięcnp.obez-pieczeństwiefizycznymosób,obezpieczeństwiedanychosobowych,bezpieczeń-stwiefizycznymwalorówfinansowychitd.
Zapewnianiebezpieczeństwafizycznegoitechnicznegowywodzisięznastę-pującychkluczowychprzesłanek[Staniec,Zawiła-Niedźwiecki,2008]:
potrzebyprecyzyjnegozakreśleniagraniclokalizacjiorganizacjiorazstrefwykonywania poszczególnych funkcji i usługna rzecz klientów, a takżeprzezpracownikóworganizacjioraznaichrzecz; potrzebywyobrażeniasobieizdefiniowaniapotencjalnychzagrożeńorazmożliwychscenariuszyichrealizowaniasięjakozakłóceńnormalnejpracyorganizacji; potrzeby zorganizowania procesówwykonywania funkcji organizacji,zapewniania ochrony fizycznej oraz dobierania i stosowania rozwiązańochrony,wtymtakżetechnicznych.
Zastosowaniedobrychpraktykwramachtegozagadnieniapoleganaopraco-waniu:
podziału(klasyfikacji)strefochrony, zasaddoborurozwiązańochrony, zasadochronydlaposzczególnychstref, zasadupoważnianiadodostępu, zasadkontroliochrony, zasaddoboruiweryfikacjipracownikówochrony.
5. Zapewnianie bezpieczeństwa w zarządzaniu ryzykiem operacyjnym 88
Natomiastzapewnianiebezpieczeństwaosobowegowywodzisięznastępują-cychkluczowychprzesłanek[Zawiła-Niedżwiecki,2008]:
potrzebydoboruizatrudnianiapracownikówodznaczającychsięwysokimpoziomemmoraleiodpowiedzialności(tzw.regułaprawości); wymoguadekwatnościumiejętnościzawodowychpracownikówdowyko-nywanychzadańorazpotencjalnejzdolnościdoadaptowaniasiędozmie-niającychsięwymagań,comożebyćpochodnąrozwojuorganizacyjnegoibiznesowegopodmiotulubkonkurencyjnegorozwojurynku(tzw.regułafachowości); potrzebydoborupracownikóworazorganizacjipracy,którezdwustronwspółprzyczyniająsiędostworzeniaatmosferyiwarunkówdlaidentyfikacjipowodzeniazawodowegopracownikazsukcesempracodawcy(tzw.regułalojalności).
Zastosowaniedobrychpraktykwramachtegozagadnieniapoleganaopraco-waniu:
kodeksuetykipracowników, zasaddoboruiweryfikacjipracowników, zasadwprowadzaniadoorganizacjiorazodchodzeniazniej, zasad określania ról indywidualnych i zespołowych oraz projektowaniastanowiskpracy, zasadpowierzaniazadań, zasadwynagradzaniaimotywowania, zasadprzeglądówkadrowych, zasadokreślaniaindywidualnychścieżekkarier, zasadawansowania, zasadsystematycznegoszkoleniapracowników, zasadochronytajemnicyfirmy,klientówitp.Zkoleizapewnianiebezpieczeństwainformacjiwywodzisięznastępujących
kluczowych przesłanek [Białas, 2007; Byczkowski, Zawiła-Niedźwiecki, 2009; Liderman,2012]:
zapewnienia,żeinformacjajestudostępnianajedynieosobomupoważnio-nym(tzw.regułapoufności); zapewnieniazupełnejdokładności ikompletności informacjiorazmetodjejprzetwarzania(tzw.regułaintegralności); zapewnienia,żeosobyupoważnionemajądostępdoinformacjiizwiąza-nychzniąaktywówtylkowtedy,gdy istnieje takapotrzeba(tzw.reguładostępności).
Określasiętrzypoziomymerytorycznegozarządzaniabezpieczeństwemin-formacji:
politykabezpieczeństwainformacji–określeniewymagańbezpieczeństwanapoziomiecałejorganizacjiiwodniesieniudowszystkichgrupinformacji
5.1. Bezpieczeństwo w ujęciu zasobowym 89
orazwszystkichsystemówirozwiązańsłużącychprzetwarzaniutychinfor-macji(wtymprzechowywaniuitransportowaniu); grupa informacji–uszczegółowieniewymagańbezpieczeństwadlagrupinformacji,wyodrębnianychprzedewszystkimjakoautonomicznaklasainformacjisłużącychokreślonymzagadnieniom,przetwarzanychwokre-ślonympionie funkcjonalnym(np. informacjefinansowe, informacjeka-drowe,informacjeoklientachitd.),aletakżeniekiedyobjętychodrębnymiprzepisamiprawaogólnego,np.informacjeniejawne,informacjeodanychosobowych; systemprzetwarzania–spełnieniewymagańbezpieczeństwaprzezsys-temytakżetradycyjne,aleprzeważnieinformatyczne,któreprzetwarzająokreślonegrupyinformacjinarzeczpewnejkategoriiużytkowników.
Odnośniedorozwiązańściśleinformatycznychzachodzipotrzebazadbaniaoochronęinformacjiwzakresietrzechpodstawowychkryteriów40:
bezpieczeństwainformacji, bezpieczeństwaświadczeniausług, autentycznościirozliczalnościdanychorazpodmiotów.Pierwszekryteriumskładasięznastępującychelementów: poufność informacji (confidentiality) – co oznacza, że informacje są do-stępnetylkoiwyłączniedlatychosób,któresądotegouprawnione; nienaruszalność/integralność informacji (integrity) – co oznacza zagwa-rantowaniedokładnościikompletnościinformacjiorazmetodisposobówichprzetwarzania; dostępnośćinformacji(availability)–cooznaczazapewnienie,żeupoważ-nieni(autoryzowani)użytkownicymajądostępdoinformacjiizwiązanychznimizasobów,zawszewtedy,gdyjesttowymagane.
Drugiekryteriumskładasięznastępującychelementów: niezawodnośćsystemu(reliability of systems)–cooznacza,żenasystemiemożnapolegaćbezwzględnie,jestonprzyjaznyiodpornynabłędyprzy-padkoweoperatora(fool proof); nienaruszalność/integralnośćsystemu(integrity of systems)–cooznaczadokładnośćsystemuorazużytychwnimmetodisposobówprzetwarzaniainformacji; dostępnośćsystemu(availability)–cooznaczazapewnienie,żeupoważ-nieni(autoryzowani)użytkownicymajągwarantowanydostępdosystemuorazjegozasobów.
Trzeciekryteriumskładasięznastępującychelementów: autentycznośćdanych(data indisputable)–cooznacza,żedaneprzecho-
40 NormyISO12207,ISO13355,ISO15408,seriaISO27001÷6orazzasadydobrychpraktykITIL.
5. Zapewnianie bezpieczeństwa w zarządzaniu ryzykiem operacyjnym 90
wywanewsystemieizniegoudostępnianesąpewneimożnananichpolegać; autentycznośćpodmiotów(indisputable of subjects)–cooznaczadokład-nośćidentyfikacjipodmiotukorzystającegozsystemuorazpotwierdzenieuprawnieńdoużytkowaniazgromadzonychwniminformacji; rozliczalnośćpodmiotów(settlement accounts of subjects)–cooznaczaza-pewnienie,żeupoważnieni(autoryzowani)użytkownicyniemająmożli-wościzanegowaniafaktuswegodostępudosystemuiudokumentowanegokorzystaniazjegozasobów.
Wprojektowaniurozwiązańbezpieczeństwastosujesięnastępująceogólnezasady,odnoszonedoposzczególnychrodzajówzasobów,jakimiposługujesięwswejdziałalnościorganizacja,wtymprzedewszystkimdoludzijakogłównegoźródłaniebezpieczeństwaiobiektuzagrożenia[Zawiła-Niedźwiecki,2008]:
zasadauprawnionegodostępu–każdypracownikprzeszedłszkoleniezza-sadbezpieczeństwaiochronyorazspełniakryteriadopuszczeniadopracyiinformacji(tajemnicsłużbowych); zasadaprzywilejówkoniecznych–każdypracownikmaprawodostępudopracyiinformacji,ograniczonedotych,któresąkoniecznedowykonywa-niapowierzonychmuzadań; zasadawiedzykoniecznej–każdypracownikmawiedzęopracy,doktórejmadostęp,conajmniej taką, jaka jestkoniecznadorealizacjipowierzo-nychmuzadań; zasadausługkoniecznych–organizacjaświadczytylkotakieusługi,jakichwymagaklient; zasadaasekuracji–każdymechanizmzabezpieczającymusibyćzabezpie-czonyinnym(podobnym),awprzypadkachszczególnychmożebyćstoso-wanedodatkowe(trzecie)niezależnezabezpieczenie; zasadaświadomościzbiorowej–wszyscypracownicysąświadomikoniecz-nościochronyzasobóworganizacjiiaktywnieuczestnicząwtymprocesie; zasadaindywidualnejodpowiedzialności–zabezpieczeństwoposzczegól-nychelementówodpowiadająkonkretneosoby; zasada obecności koniecznej – prawoprzebywaniawokreślonychmiej-scachmajątylkoosobyupoważnione; zasada stałej gotowości – organizacja jest przygotowana nawszelkiezagrożenia, niedopuszczalne jest tymczasowewyłączaniemechanizmówzabezpieczających; zasadanajsłabszegoogniwa–poziombezpieczeństwawyznaczanajsłab-szy(najmniejzabezpieczony)element; zasadakompletności–zabezpieczeniejesttylkowtedyskuteczne,gdysto-sujesiępodejściekompleksowe,uwzględniającewszystkiestopnieiogniwaogólniepojętegoprocesupracy; zasadaewolucji–każdaorganizacjamusiciągledostosowywaćmechanizmywewnętrznedozmieniającychsięwarunkówzewnętrznych;
5.2. Ciągłość działania jako zabezpieczenie 91
zasadaodpowiedniości–używanemechanizmymusząbyćadekwatnedosytuacji; zasadaakceptowanejrównowagi–podejmowaneśrodkizaradczeniemogąprzekraczaćpoziomuakceptacji(szczególniezalecasiętumiarykosztowecodonakładów,efektówipotencjalnychstrat).
5.2. Ciągłość działania jako zabezpieczenie Ciągłośćdziałania,jakowymógwobecorganizacjipojmowanejjakosystemdzia-łania41,jestcodozasadniczejideipostulatemanalogicznymdo,mającegodługąiszerokoopisanątradycję,wymoguniezawodnościukładówtechnicznychjakowytworów ludzkiej inwencji idziałania.Tak jakniezawodność, rozumiana jakostopieńzdolnościobiektudospełnianiastawianychmuwymagań,jestkluczowadlaocenyjakościukładuczywyrobutechnicznego,takwocenachskutecznościi jakości systemów działania organizacji istotnym elementem tej oceny jest jejzdolnośćdoutrzymywaniaciągłegodziałania.Tegotypuoczekiwaniewynikaprzedewszystkimznastawieniaorganizacjinaszerokorozumianegoklientajakoodbiorcęefektudziałania(produktulubusługi),askładasięnarównieszerokorozumianąkulturęorganizacji.
Podstawąrozważańnadmechanizmempowodującymniemożnośćuzyskaniastanupełnejciągłościdziałaniasystemujestniepewnośćjakoimmanentnacecharzeczywistościotaczającejczłowiekaiwytworzonejprzezniegocywilizacji,awyni-kającazwielkiejzłożonościorazzmiennościobiektówizjawiskwnaturze,atakżezależnościzachodzącychmiędzynimi.Ryzyko,jakiemupodlegaorganizacja,jestbezpośredniąkonsekwencjąprowadzonegodziałania,któregokoniecznośćisenswynikajązeświadomejdecyzjicodopotrzebyikierunkutakiegodziałania.Nie-pewność,któranieustanniedotykaczłowieka,wcalenieoznacza,żepodejmujeonryzyko.Abytaksięstało,musizaistniećpotrzebadziałania.Dopieroonomacha-rakterryzykowny.Zagrożenia,jakoformyprzejawianiasięryzyka,sąprzedmiotemanalizypodkątemichewentualnegowpływunaorganizację isąpotencjalnymizjawiskami,naktórenakierowanesą:obserwacjaprzesłanekzaistnieniazakłóceńorazdziałaniaprewencyjnedokonywanewceluzapobieżeniainterakcjizagroże-niazsystememdziałaniaorganizacji(jejpodatnościami).Wsensiepraktycznymryzykopoleganatym,żepodejmowanadecyzjaibędącejejkonsekwencjądziałaniemogąnapotykaćkonkretneutrudnieniaiprzeszkodywłaściwedlaogólnejniepew-nościwobszarzeiśrodowiskudziałaniaorganizacji,aantycypacyjniepostrzeganejakozagrożenia.Awięczagrożenie:
jestformąrealizowaniasięryzyka, mapostaćiswoistecechymierzalneobiektywnie,
41 Systemdziałania–takizbiórelementów,któreprzyczyniająsiędowystępowaniaokreślonegoefektu(rezultatu) imiędzyktórymiwystępujeoddziaływanieuporządkowanezewzględunaefekt,takżewsytuacjachwystąpieniazakłócającegowpływuotoczenia.
5. Zapewnianie bezpieczeństwa w zarządzaniu ryzykiem operacyjnym 92
maźródłoiprzyczyny, cechujespecyficznymechanizmrealizowaniasię, oddziałujenasystemdziałaniaorganizacjiwsposóbmierzalnysubiektywniezperspektywytejorganizacji,astopieńwpływujestzależnyodpodatnościsystemudziałaniaorganizacjiijegośrodowiska.
Zkoleitozakłócenia(spełnieniesięzagrożeń)sąfaktycznymobiektemdziałańokreślanychmianemszerokorozumianejpolitykizapewnianiaciągłościdziałania.Gdydanezagrożenieoddziałujenasystemdziałaniaorganizacjilubjegootocze-nie,asystemstajesiępodatnynatooddziaływanie,masiędoczynieniazzakłó-ceniem,które:
jestskutkieminterakcjizagrożeniazsystememdziałanialubotoczeniemtegosystemu, skutkujeistotnymizmianamiwobszarzedziałaniaorganizacji, niepoddajesięocenieobiektywnej,asubiektywnadokonywanajestzper-spektywydanegosystemudziałania.
Wobec tegopostępowanie służącezapewnianiuciągłościdziałania jestpo-dobnedopostępowaniasłużącegozabezpieczaniuprzedzagrożeniami.Różni jerelacjaczasowaicharakteroddziaływaniawobeczagrożenia,któremumająprze-ciwdziałaćzabezpieczeniaiktóremabyćograniczanewwynikupostępowaniazapewniania ciągłości działania.Oba uzupełniają się, aby zapewnić organizacjioczekiwanąodpornośćnaróżneokolicznościnaruszanianormalnejdziałalności.
5.3. Ocena dojrzałości zarządzania zapewnianiem bezpieczeństwaSpełnianieww.zasadzapewnianiabezpieczeństwa jestpodstawąocenystopniadojrzałościzarządzaniabezpieczeństwem,czegomodelzostałzaproponowanyprzezstowarzyszenieaudytorówinformatycznychISACA42[Forystek,2005](patrzrys.5.2).
Zarządzaniezapewnianiembezpieczeństwaorganizacjiprowadzonejestza-leżnieodobszaru,któregodotyczy.Itak,zarządzaniezapewnianiembezpieczeń-stwafizycznegojestzinstytucjonalizowane(poczęściokreślajątoprzepisyogólne,np.dotyczącebhp,lubbranżowe,np.wbankowości)wformiewydzielonychsta-nowisk/komórek.Zkoleizarządzaniezapewnianiembezpieczeństwaosobowegowobszarze„HRtwardego”teżjestzinstytucjonalizowane,natomiastwobszarze„HRmiękkiego”macharakterpolitykipostępowaniaorganizacjiwobecpracowni-kóworazbadaniajejskutecznościwrelacjidopostawpracownikówwobeczadańi pracodawcy [Górska, Lewandowski, 2002]. Dalej, zarządzanie zapewnianiembezpieczeństwa informacji polega nawyznaczaniu dodatkowych, specyficznych
42 ISACA–InformationSecurityAuditandControlAssociation,ChapterWarsaw,zob.www.isaca.pl
5.3. Ocena dojrzałości zarządzania zapewnianiem bezpieczeństwa 93
rólpracownikomwypełniającymjeszczeinnezadaniaworganizacji.Szczególniewodniesieniudobezpieczeństwainformatycznegojesttozwiązanezkoniecznościąbieżącegopogłębianiawiedzyfachowejzzakresuinformatyki,którazmieniasiędynamicznie, a podobnie zmieniają sięwymagania bezpieczeństwa [Wołowski,Zawiła-Niedźwiecki,2012].
Ponadtowdziałaniachnarzeczbezpieczeństwaobowiązujegeneralnazasadarozdzieleniazadańpolegającychnaokreślaniustandardów/wymagań/regułbez-pieczeństwaikontrolowaniuichspełniania/przestrzeganiaodzadańwdrażania/stosowaniatychwymagań[Byczkowski,Zawiła-Niedźwiecki,2009].Uzyskujesięto przez powierzanie ich odrębnymosobom/komórkomorganizacyjnym. Ideategorozdziałujestanalogicznadozasadypracy„nadwieręce”wksięgowości.
Stopień 0Brak świadomości
– brak zdefiniowania wymagań bezpieczeństwa– bezpieczeństwo traktowane jako problem poszczególnych
użytkowników
Stopień IPoczątkowy
– świadomość potrzeby– kierownictwo uważa to za problem służb IT (typu: prawa do-
stępu, ochrona antywirusowa)
Stopień IIIntuicyjny
– próby tworzenia zabezpieczeń– brak jednolitego podejścia– efekty zależne od zaangażowania osób zainteresowanych
Stopień IIIZdefiniowany
– zdefiniowane zasady (w tym polityka bezpieczeństwa) w całej organizacji
– procedury bezpieczeństwa są utrzymywane i komunikowane– brak kontroli stosowania
Stopień IVZarządzany
– jednolite podejście dla wszystkich komórek i wszystkich roz-wiązań
– obowiązuje perspektywa biznesu– funkcjonuje mechanizm kontroli stosowania
Stopień VOptymalizowany
– świadome zarządzanie ryzykiem– zgodność strategii bezpieczeństwa ze strategią biznesową– zapewnianie bezpieczeństwa jako proces (wiedza, doskona-
lenie)
Rysunek 5.2. Poziomy dojrzałości zarządzania bezpieczeństwem informacji
Źródło: [Forystek, 2005].
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnymDziałalność.Dladalszychwywodów istotne jest podkreślenie różnicymiędzydziałalnościąadziałaniem.Potrzebatawynikazeskupieniasięnadziałaniupoj-mowanym jako jedynieczęśćdziałalności.WdodatkuwartozwrócićuwagęnaterminyBCM (business continuity management) iBCP (business continuity plan-ning),powszechnieprzyjętewliteraturzezawodowejinormach.Wpolskiejprak-tyce zawodowej są one tłumaczone jako zarządzanie zapewnianiem ciągłościdziałania,aniedziałalnościijesttotłumaczeniewpełnitrafne,mimożesłowobusiness jest raczejtłumaczonejako„działalność”.
Przyjęto, żekażdaorganizacjaprowadzidziałalność,naktórą składają sięposzczególnedziałania.Inspiracjądlategorozróżnieniajestujęcieprocesowe,wgktóregoprowadzeniedziałalnościorganizacjiodbywasięwformieprocesówpole-gającychnarealizacjikolejnychoperacji.Działalnościodpowiadaogółprocesówworganizacji[Waters,2001].Działaniezaśtowarstwamanipulacyjnadziałalności(operowania), odpowiadająca dokonywaniu przekształceń zasobów w ramachprocesówpodstawowychipomocniczych.Należyteżodróżniaćpojęciedziałalności„operacyjnej”jakoodnoszącejsiędooperacjiodpojęciadziałalności„operatyw-nej”jakobieżącej.
Dysfunkcjonalnośćorganizacji,oczymtraktujeniniejszapraca,możnawytłu-maczyćnastępująco.Jeślidochodzidoawariiurządzenia,systemu(np.informa-tycznego),błęduczłowieka,wypadkuwzakładziepracy,tomówimyodysfunkcjisamegodziałanialubjegobezpośrednichwarunków,copostrzegasięwaspekciezapewnianiaciągłościdziałania.Jeślinatomiaststwierdzasiętakiekonsekwencjedziałania,jak:brakrentownościorganizacji,niedostatecznypoziomsprzedażyjejwyrobów,brakpłynnościfinansowej,tojesttodysfunkcjadziałalnościorganizacjiwykraczającapozadziałanieorazpozaobszaranalizyryzykaoperacyjnego,zabie-gówobezpiecznedziałanieczyteżozapewnianieciągłościdziałania,choćmożeskutkowaćnawetkoniecznościąprzerwaniadziałania.
95
Działaniemożnapojmowaćwznaczeniuwęższymiszerszym43.Ujęciewęż-szepochodzizprakseologicznejteoriiorganizacji–wgniejjestto„celowe,świa-domeidowolnezachowaniesięludzkie”[Pszczołowski,1978,s.56],awięcjestonoograniczonebezpośredniodoaktywnościczłowieka.Wogólnejteoriiorga-nizacjirolaczynnikaludzkiegoniejestjednakpostrzeganajakodominująca.Stądwszerszymznaczeniudziałaniejestoddziaływaniemzachodzącymmiędzydwomalubwięcejprzedmiotami.Takimprzedmiotemjestzarównosamaorganizacja,jakijejposzczególneskładowe[Krzyżanowski,1994,s.107–112i191].Wtymujęciudziałanienależydokategoriiontologicznej„relacje”,co oznacza,żejesttopojęcieniedefiniowalne,ajedyniedowyjaśnianiaprzezegzemplifikację.Działaniecechuje:
realność,gdyżpoleganakonkretnym(określonymfizykalnie,czasowoiprze-strzennie)przekazywaniumaterii,energiiiinformacji, efektywność,gdyżprzynosiokreśloneskutkiwpostacizmian(lubwłaśniezapobieganiazmianom)wewnątrzoddziaływającychpodmiotówjakostronrelacjilubwichotoczeniu, obiektywizm,gdyżkorzystazprawidłowościnaturalnych(prawaprzyrody)bądźspołecznych, samoistność, jakożeoparte jestontologicznienafundamenciebytowym(odnosisiędorzeczyrealnych), samodzielność,niemusibowiembezwzględniewspółistniećzpodmiotamioddziaływającymi, zależnośćodzasobów.Działaniepoleganarealizowaniuoperacji,ztymżeograniczasiędowarstwy
manipulowaniazasobamiirelacjami,natomiastomawianajużwcześniejdziałal-nośćobejmujedodatkowoelementyzarządzania,wtymoceny(wartościowania)wynikówdziałania.
Ciągłość działania.Zapewnianieciągłościdziałania jestterapiąwobecza-kłóceń.Ciągłośćdziałaniaodnosisiędooperacjiwchodzącychwskładprocesówpodstawowychipomocniczych,czylizawężasiędodziałania,pomijazaśkwestiebiznesowe,wykraczającepozapoziommanipulowaniazasobami, składające sięnaszersząkategoriępojęciową–tj.działalność.Możnaprzyjąć,żemówiącocią-głościdziałania,ograniczamysiędoaspektuczystoorganizacyjnegodziałalności.
Ciągłośćdziałanianależyrozpatrywaćjakojedenzpostulatówdoskonałościsystemuidealnego[Nadler,1967],jakimmiałabybyćorganizacja.Praktycznepróbyrealizacjiposzczególnychpostulatówdoskonałościoczywiściemogąpozostawaćiprzeważniepozostająwpewnegostopniawzajemnejsprzeczności,np.typowedlazapewnienianieprzerwanegodziałaniasystemuinformatycznegozwiększanieredundancji łączności lubwprowadzaniedodatkowychśrodkówbezpieczeństwajestsprzecznezpostulatamioptymalnejorganizacjiioptymalnychkosztówdziała-nia.Postulatdoskonałościnieprzerwanegodziałania systemu, czyli inaczej jego
43 Zob.rozważanianatematróżnychkontekstualnychinterpretacjipojęcia„działanie”wperio-dyku„Prakseologia”nr3/4(95/96)z1985roku.
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 96
ciągłościdziałania, jestwpraktycenieosiągalny,choćmożesłużyćwyznaczaniuceluracjonalnegodziałaniasystemuwpodejściuprognostycznymdoprojektowa-nia[Trzcieniecki,1970]lubreengineeringu[Hammer,Champy,1996].
6.1. Modelowe zapewnianie ciągłości działania44
Wogólnościciągłośćdziałaniatozdolnośćorganizacjidotakiegoreagowanianazakłóceniawarunkównormalnegodziałania,abytam,gdzietomożliwe,szybkoprzywrócićtenormalnewarunki,atam,gdzietoniemożliwe,przejśćdozaplano-wanegosposobuzastępczegowykonywaniazadań.Ciągłośćdziałaniapostrzegasięwięczarównowkontekściezadańorganizacjiorazprocesówsłużącychrealizacjitychzadań,jakiwkontekścieczynnikówmogącychzakłócićteprocesyprzezwy-korzystaniepodatnościorganizacji,stanowiącychojejwrażliwościnazakłócenia.
Zapewnianieciągłościdziałaniaobejmuje: mechanizmreagowaniaorganizacjinazakłócenia(poczęściopartynaho-meostazie45,awięcspontanicznejreakcjielementóworganizacji,apoczęścinasystematycznierozwijanejwyuczonejzdolnościreagowania), procesrozwijaniaww.mechanizmuzdolności reagowanianazakłócenia(jakoproceswspierający–wrozumieniuanalizyprocesowej–podstawowądziałalnośćorganizacji), proces zarządzania bieżącą zdolnością zapewniania ciągłości działaniaorazjejstałymdoskonaleniem.
Namechanizmreagowanianazakłóceniaskładająsię: struktura organizacyjna dedykowana do zadania zapewniania ciągłości,uzupełniającaogólnąstrukturęorganizacyjną, formalneuregulowaniaokreślające relacjew strukturzeorganizacyjnejzwiązanezzadaniemzapewnianiaciągłości, utrwalonapraktyka(możliwiespisana)postępowaniawsytuacjach,gdywymaganajestreakcjanazaistniałezakłócenie.
Należyzwłaszczapodkreślić,żereagowanienazakłócenia,jakozapewnianieciągłości działania, należy rozumieć nie tylko jako bezpośrednie postępowaniewobeczakłóceń,aletakżejakoaktywnośćocharakterzeprewencyjnym,związanązanalizązagrożeńipodatnościorazzposzukiwaniemmetodirozwiązańzapobiega-niazaistnieniuzakłóceń.Wtymsensiestaraniaociągłośćdziałaniaibezpieczeń-stwosplatająsię.Zpunktuwidzeniaciągłościdziałaniarozwiązaniabezpieczeństwazapewniająprewencjęwobeczagrożeń,natomiastzpunktuwidzeniabezpieczeń-
44 Całyrozdział6jestopartynawcześniejszychprzyczynkowychpublikacjachautorawskaza-nychwewstępieiwbibliografii.
45 Homeostaza–zdolnośćukładucybernetycznegodosamoregulacjizachowującejstałąrównowagę.
6.1. Modelowe zapewnianie ciągłości działania 97
stwarozwiązaniaciągłościdziałaniastanowiądodatkowezabezpieczenie,gdyza-wodząnominalnerozwiązaniabezpieczeństwa(patrzrys.6.1).
Rysunek 6.1. Mechanizm logiczny naruszenia poprawnego działania organizacji
Źródło: [Zawiła-Niedźwiecki, 2008].
Wobectegoilekroćmowao: ciągłościdziałania–tochodziopostulatywnystanodpornościorganizacjinazakłócenie, zapewnianiuciągłościdziałania–tochodziociągplanowychdziałań,zmie-rzającychdozapobieżeniazakłóceniomlubusuwaniaprzyczyniskutkówzaistnieniazakłócenialubwprowadzeniazastępczychwarunkówdziałaniadoczasuusunięciaskutkówzakłócenia, zarządzaniuzapewnianiemciągłościdziałania–tochodzioproceszarzą-dzania,polegającyzwłaszczanaokreślaniuzadań,planowaniuimonitoro-waniuopracowywaniarozwiązańsłużącychzapewnianiuciągłości,atakże
Bezpieczne i ciągłe działanie organizacji
niepewność
nie jest zachowane w wyniku
wynika z interakcji rozważanego systemu działania organizacji z
jest realizowaniem się
rodzi się w wyniku
podjęte w warunkach
zakłócenie
zagrożenie
ryzyko
decyzja
działanie
jest
Zagr
ożen
ie w
ujęc
iu o
góln
ym
Ryzy
ko w
ujęc
iu o
góln
ym
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 98
naoceniepoczynańiwnioskowaniuwodniesieniudopotencjalnychorazzaistniałychzakłóceń,zmierzającegodozachowaniaciągłościdziałaniaorganizacji.
Zapewnianieciągłościdziałaniawywodzisięznastępującychprzesłanek: potrzebyprzyjęciazałożeńcodopriorytetowychfunkcjiiprocesów,którymzapewnienieciągłościdziałaniajestdlaorganizacjikwestiąnajwyższejwagi; potrzeby oszacowania potencjalnych stratmogących powstaćwwynikuzaistnieniazakłóceńorazkoniecznychnakładównarozwiązaniazapobie-gawczeinaprawcze; potrzebyprzewidywaniapotencjalnychzakłóceńnormalnegodziałaniaiko-niecznościopracowaniascenariuszydziałańzastępczychinaprawczych.
Zakluczoweelementyzarządzaniazapewnianiemciągłościdziałaniauznajesię: zrozumienieryzyka,przedktórymstoiorganizacja,mierzonegojegopraw-dopodobieństwemijegoskutkami,wtymidentyfikowanieinadawaniepriorytetówkrytycznymprocesombiznesowym; zrozumieniewpływu,jakiprzerwywdziałaniumogąwywrzećnadziałal-nośćbiznesową(ważnejest,abyznaleźćrozwiązaniamożliwedozasto-sowaniawprzypadkuzarównomniejszych,jakipoważnychincydentów,któremogłybyzagrozićistnieniuorganizacji); sformułowanieiopisaniestrategiiciągłościdziałaniazgodnejzustalonymicelamiipriorytetamibiznesowymi; sformułowanie i opisanie planów zapewnienia ciągłości działania zgod-nychzprzyjętąstrategią; regularnetestowanieiaktualizowanieprzyjętychplanówiprocesów; zapewnienie, że zarządzanie zapewnianiem ciągłości działania jestwłą-czonewprocesyistrukturęorganizacyjną; rozważeniewykupieniaodpowiedniegoubezpieczenia,któremożestano-wićczęśćprocesuzapewnieniaciągłościdziałania.
Odstronyorganizacyjnejproblematykazarządzaniazapewnianiemciągłościdziałaniazbiegasięzzarządzaniemjakością,zarządzaniemzapewnianiembezpie-czeństwa,zarządzaniemochronąśrodowiska,zarządzaniemfinansamiitegotypuprocesamidziałalnościdanejorganizacji.Rozważanieintegracjizarządzaniatymizagadnieniami,równieżwsensiewspólnychstrukturorganizacyjnychzarządza-nia,jestracjonalne,apośredniojestteżrekomendowaneprzeznormyISO22301,ISO22313,seriiISO900X,seriiISO1400X,seriiISO2700X i ISO31000. Wynika ztego,że:
wdziałalnościorganizacjinależysięliczyćzmożliwościązaistnieniazakłó-ceń,któreuniemożliwiąnormalnekontynuowanietejdziałalności; niezależnieodcharakteruprzyczyntychwydarzeń,wramachformalnegolubpostrzeganegowkategoriachbiznesowychobowiązkudołożenianale-żytejstarannościwwypełnianiuswychzadań,organizacjapowinnadążyćdokontynuowaniadziałalności;
6.1. Modelowe zapewnianie ciągłości działania 99
staranieokontynuowaniedziałalnościwwarunkachzaistnieniazakłóce-niapowinnoopieraćsięnauprzednioopracowanym,konsekwentniedo-skonalonymitestowanymplanieciągłościdziałania,zwanymteżniekiedyplanemawaryjnym; zapewnianieciągłościdziałaniatoprzewidywaniescenariuszypotencjal-nychzakłóceńorazrozdzielneprojektowanie: – rozwiązańzapobiegającychsamymzagrożeniom, – rozwiązańsłużącychjaknajszybszemuusuwaniuskutkówzakłóceń, – rozwiązańkontynuowaniaograniczonejdziałalnościwwarunkachkry-tycznych;
podejście do problemu ciągłości działania powinno być racjonalne, tzn.obliczonenazapewnienierównowagimiędzyoczekiwanymstopniempew-nościzachowaniaciągłościdziałaniaakosztamijegouzyskania;koniecznejestwięctakżeprzyjęciezałożeniastopniowegorezygnowaniazkolejnychelementównormalnej działalności stosownie do zidentyfikowanych roz-miarówsytuacjikrytycznej(niezawszemasens,zwłaszczaekonomiczny,uporczywestaranieoutrzymanieciągłościdziałania); planciągłościpowinienbyćnatyleelastyczny,abyumożliwiałdostoso-waniedozakłóceniaodbiegającegoodprzewidywańbędącychpodstawąpierwotnegoplanu; koniecznejestzdefiniowanieprocesowejistotydziałalnościdanejorgani-zacjijakominimumczynności,którenależyutrzymaćdziękiplanomcią-głościdziałania;niemożnośćkontynuowaniatakiegominimumczynnościjestpodstawądecyzjiorezygnacjizkorzystaniazplanuciągłościiskupie-niusiętylkonausuwaniuskutkówzakłóceń; wramachprzygotowywaniaplanuciągłościrozważasięwpierwszymrzędzieaspektybiznesowe,prawne iorganizacyjne,boonedecydująokoniecz-nymzakresierozwiązań; analizabiznesowadotyczyćmożekwestiiprestiżufirmy,anapewnoswo-istegobilansuryzykaorazśrodkówfinansowychprzeznaczonychnajegoograniczenie;rozsądnejestpotraktowanieplanuciągłościjakodługofalo-wegoprojektu,wktórymzałożonecelebędąosiąganestopniowo,kolejnymiprzybliżeniami(wersjamiplanuciągłościdziałania); analizaprawnajestszczególnieważnaprzytworzeniuzałożeńplanucią-głości, pozwala bowiem zdefiniować zakres odpowiedzialności firmy zaposzczególneobszaryjejdziałalności,wskazaćobszarynewralgiczneorazdobraćpozatechniczneformyzabezpieczeń; analizaorganizacyjnapozwalawyodrębnićzasoby,wtymzwłaszczakadręosóbwłaściwądlaposługiwaniasięplanemciągłościwwarunkachkrytycz-nych,stworzyćimodpowiedniezasobymateriałowe,finansoweiinforma-cyjneorazzakresautonomiidecyzyjnejdlatakiejsytuacji,awwarunkachcodziennychumożliwićprzygotowywaniesiędotakiejtrudnejroli;
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 100
żadenzelementówanalizy,apodobnieiprojektowanierozwiązańtech-nicznych,niejestetapemzamkniętym;doskonalenieplanuciągłościpoleganastałymponawianiuanaliziprojektowaniarozwiązańwodniesieniudozmianwdziałalnościorganizacji,rozwojuplanuciągłościorazwnioskówzwystąpieniafaktycznychzakłóceń.
Systematycznepostępowaniezzakłóceniamipoleganaokreśleniu: jakiezakłócenia(zagrożeniawinterakcjizsystememdziałania)podlegająprzeciwdziałaniu,tj.sąobjęteproceduramizapobieganialubproceduramizapewnianiaciągłości, jakieobiektyinfrastrukturytechnicznejsąobjęteochronąprzedzagroże-niami, jakieprocesybiznesowesąobjęteochronąprzedzagrożeniami, jakieprzepływyinformacjisąobjęteochronąprzedzagrożeniami, ktojestodpowiedzialnyzaprzywracanieciągłościdziałaniawsytuacjiza-istnieniazakłócenia.
Zarządzającdziałaniemorganizacjizgodnieznormami ISO2700XorazISO22301,należytworzyćrozwiązaniaskuteczniezapewniającezachowanieciągłościtegodziałania.Rozwiązaniatakiemająstanowićozdolnościdourucha-mianiamechanizmuprzeciwdziałaniazakłóceniuwceluprzywróceniastanuorga-nizacjisprzedpojawieniasiętegozakłócenia(homeostaza).Skutecznośćrozwiązańantycypującychzakłóceniaiichadekwatnośćdofaktycznychzdarzeńpowinnasięplasowaćpowyżejproguminimalnejakceptacjiprzezdecydentów,którzyocenydokonujązwyklewświetledwukryteriów:
prestiżuorganizacjiistopniajegopodważeniawwynikuzawieszenialubograniczeniadziałania, relacji kosztów rozwiązań zabezpieczających do kosztów potencjalnychstratiprzywracaniadziałanianaruszonegozakłóceniem.
Racjonalniepojmowanahomeostazasystemudziałaniaprowadzidoświado-megookresowegoograniczeniajakościdziałaniadopoziomuzawczasuustalonegowświetlewyznaczników,takichjak:
utratanieusatysfakcjonowanegolubposzkodowanegoklienta, benchmarking wobeckonkurentówlubnajlepszychpraktykrynkowych, solidnestandardywspółpracyzpartneramiiklientamitzw.SLA46.Ograniczeniejakościfunkcjonowanianiepowinnotrwaćdłużejaniżeliczas
potrzebnynausunięcieprzyczyn i skutkówzakłócenia,przyczymniekiedy tepierwszemogąustąpićsamoistnie,jeślitakijestcharakterzakłócenia.
46 SLA–service level agreement–realistyczneiprecyzyjneustalenieprzezstronyusługparametrówichświadczenia,wtymdopuszczalnychpoziomówniedostępności tychusług jakonienaruszającychwarunkówumowy,np.serwisowej.Zob.[Hiles,1993].
6.1. Modelowe zapewnianie ciągłości działania 101
Percepcjazakłóceńjakozjawisknaruszaniaciągłościdziałaniaopierasięnadwóchzasadniczychczynnikachocenyichistotności:
prawdopodobieństwielubczęstościwystępowaniazakłócenia, wpływie(destrukcyjnymlubnie)zakłócenianaciągłośćdziałania.Czynnikiocenynieoznaczająmiar,tebowiemodpowiadająnaturzezjawiska
każdegokonkretnegozakłóceniazosobna.Ocenapowinnabyćindywidualnaido-konanazpunktuwidzeniadanejorganizacji.
Namodelowezapewnianieciągłościdziałaniaskładająsiędziałaniawtrzechprzestrzeniachprojektowych,prowadzącedokształtowania:
strukturyorganizacyjnejpowołanejdozapewnianiaciągłościdziałania(lubszerzejryzyka,bezpieczeństwaiciągłości), mechanizmuspiralidziałańorganizatorskichsłużącychrealizacjicelupro-jektowania, formutrwalaniawiedzyoproblemieirozwiązaniach.Spiralacykluorganizatorskiego,postrzegananajzupełniejklasyczniejakocykl
Deminga(PDCA)(rys.6.6),maprowadzićodanalizyczynnikówkrytycznychdoprojektowaniarozwiązańorazichstopniowegodoskonalenia.Analizaobejmuje:
identyfikacjęprocesówbiznesowychwceluwskazaniaichnajważniejszychelementów, identyfikacjęryzykaprowadzącądookreśleniazagrożeńiform,wjakichmogąsięprzejawiać, identyfikacjępodatnościjakocechnewralgicznychzasobówlubmiejscichpołożenia,wktórychorganizacjaszczególniemocnowystawiona jestnazagrożenia.
Takaanalizasłużywyspecyfikowaniumożliwychzakłóceń,atakżeocenieichistotności.Odtegomomenturozpoczynasięfazaprojektowaniascenariuszyjakorozwiązańnaprawczych(wsensiekoncepcjipostępowania)orazjakodokumentacjirozwiązania.Projektowanieobejmuje typowedziałaniamikrocykluorganizator-skiego:pomysł,wykonanie,kontrola,użycie(częstotylkojakotest).Powstałysce-nariusz powinien być systematycznie doskonalonyw kontekście doświadczeńpraktycznych(użyciewobeczdarzeńkrytycznych)orazewolucjiwiedzyoproble-mie(okresoweprzeglądymetodąsztabową).
Utrwalanie wiedzy odbywa się w aspekcie bezpośrednio organizacyjnym,którystanowiądziałaniaszkoleniowe,testyinaradysztaboweinspirowaneprzezKomitet Kryzysowy oraz poszczególne komórki organizacyjne, orazw aspekciezintegrowanejdokumentacji.Ogromneznaczeniedlaskutecznegogromadzeniaiutrwalaniawiedzy(takżewsensieuniezależnieniaodabsencjiifluktuacjikadrzaangażowanychwpracenadciągłościądziałania)mawprowadzeniekomplekso-wychzasadprowadzeniadokumentacji i jejwewnętrznegoredagowania.Doku-mentacjatamabowiemposłużyćreagowaniunawystąpieniesytuacjikrytycznej,kiedyczęstobrakczasunazastanawianiesięnadinterpretacjązapisu.Utrwalaniewiedzyjestbowiemutrwalaniemdoświadczeniaiwynikającejzniegoprawidłowej
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 102
praktykidziałania.Zasadnicząjegointencjąjestprzygotowaniedługofalowegopro-gramupodnoszeniazdolnościdoutrzymywaniaciągłegodziałaniawrazzoszacowa-niemkosztówuzyskaniatakiejzdolnościwrelacjidoszacowanychewentualnychskutków(stratwwyniku)zakłóceń.
Wobecustalenia,żetylkodwaczynnikidecydująooceniezakłócenia(wiel-kośćjegowpływuorazczęstośćwystępowania),towtakimrazieichsuperpozycjaprowadzidookreśleniaczterechgeneralnychpostawreagowanianazagrożenia(rys. 6.2).Modelowe podejście do reagowania na zagrożenia/zakłóceniamożeodbywaćsięnaczterysposobyokreślanemianempodejśćreagowania.Przypisanieposzczególnychprzypadkówzagrożeńdoposzczególnychsposobówmodelowegoreagowania jest nie tylko indywidualne oraz subiektywne, ale i tymczasowe.Wskazanajestokresowa,wmiaręczęstaweryfikacjatakiejocenyuwzględniającarozwójorganizacjiijejsystemudziałaniaoraznarastaniewiedzyowpływiepo-szczególnychzagrożeń iprawdopodobieństwie ichwystąpieniaw formiezakłó-ceń.Przydziałdokażdejzkategoriipowinienuwzględniaćkryteriaekonomiczneiprestiżu.Miaryocenyustalanesąwgmetodydyferencjałusemantycznego.Rozwią-zaniekwestiireagowanianazagrożenia(awkonsekwencjipostępowaniazza-kłóceniami) jest syntetycznymujęciemorganizacyjnegopodejściadoproblemu.Opierasięnaprzyjęciuczterechgeneralnychpodejśćwobeczagrożeńizakłóceńorazokreśleniudrogi(metoda,zasady,odpowiedzialność)wypracowaniakonkret-nychrozwiązań,redagowanychwpostacipolitykipostępowaniazzakłóceniami.Precyzujetakżestrukturęorganizacyjną,którejpowierzasięadministrowanietymproblemem.
Rysunek 6.2. Modelowe postępowanie z zagrożeniami
Źródło: [Zawiła-Niedźwiecki, 2008].
ZapobieganiePlan zapewniania ciągłości działania
Tolerowanie Monitorowanie
Małe prawdopodobieństwolub częstość wystąpienia
Duże prawdopodobieństwolub częstość wystąpienia
Duży wpływ(destrukcyjny)
Mały wpływ
6.1. Modelowe zapewnianie ciągłości działania 103
Tolerowanie oznaczapogodzeniesięzprzejściowyminiedogodnościami.Mo-nitorowanieoznacza,żewiedzaozakłóceniu jestdostatecznadouruchomieniamechanizmukompensacjinazasadzieorganizacyjnejhomeostazy.Zapobieganieoznacza działania inwestycyjne i techniczne w celu zapobieżenia negatywnymskutkomzakłócenia. Planowanie zapewniania ciągłości działania jest zestawemscenariuszyprzewidywanegomaterializowaniasięzagrożeńorazdziałańzaplano-wanychnatakąokoliczność.
Podejścietolerowaniazakłóceńodnosisiędopostępowaniazzakłóceniamiwswejnaturzezewnętrznymiwobecdanejorganizacji,atylkowtórniejejdoty-czącymi,wszczególnościnieinwazyjnymi,azwłaszczaniedestrukcyjnymi.Przy-kład:firmatransportowa,którazajmujesiękolportażemprasy–jeślidochodzidozakłóceniapolegającegonawystąpieniuintensywnejmgły,tonaturalnymrozwią-zaniemjestpostępowaniepolegającenaprzeczekaniudomomentuustąpienialubzmniejszeniaintensywnościmgłyipóźniejszerozwiezieniegazet.Przyjętaworga-nizacjitzw.politykatolerowania(zasadypostępowania) powinnaokreślaćpodsta-woweregułypogodzeniasięzzaistniałymzakłóceniem,badaniaprzesłanekjegoutrzymywania się, stwierdzania jego ustąpienia oraz powrotu do rutynowegofunkcjonowania.Dokumentowipolitykipowinnytowarzyszyćproceduryszczegó-łowookreślającekoniecznedziałaniakomórekorganizacjiwsytuacjachzakłóceńzakwalifikowanychdopoddaniaichtejpolityce.Przykładoweuregulowanie–mimoże reakcja organizacji na zakłóceniemożew skrajnymprzypadku polegać nazawieszeniuwypełnianiastatutowychfunkcji,tobyćmożenależypoinformowaćo tympartnerówhandlowych lubopiniępubliczną, skierowaćpracownikówdopraczastępczychniepoddającychsiędziałaniuzakłócenia,uruchomićrozwiązaniaśledzące stopień intensywności zakłócenia.Natomiastwmomencieustąpieniazakłócenianależydokonaćweryfikacji, czy jestmożliwepodjęciezawieszonychdotądczynności/funkcji.
Podejściemonitorowaniaodnosisiędopostępowaniazzakłóceniamiwswejnaturze drobnymi, choć częstymi (przez conależy zakładać ich incydentalniewiększywpływprzezkumulacjęzdarzeńwkrótkimczasie),alewyraźnieniede-strukcyjnymi.Ztegopodejściamawynikaćobowiązekszczegółowegorozwiązaniaprzez posunięcia organizacyjne oraz nawet drobiazgowe regulacjewewnętrznereakcjinawszelkie typowezakłócenia. Istotą jestnikły lubwręczżadenwzrostkosztuztytułurozwiązańreagowania,przedewszystkimmająonebowiemcharak-terorganizacyjny.Przykład:nieobecnościchorobowepracowników–zapewnienieadekwatnejreakcjinatakiezakłóceniepoleganawprowadzeniu,przynajmniejwstosunkudonewralgicznychstanowiskpracy,obowiązkujaknajszybszegoza-wiadamianiazakładupracyoraznaopracowaniuzasadorganizowaniazastępstw.Przyjętaworganizacjitzw.politykamonitorowania(zasadypostępowania) powinna określaćpodstawoweregułyreagowaniaorganizacjinazakłócenia,codoktórychświadomość ichzaistnieniawpołączeniuz istniejącymiproceduramizachowańpowinnawdostatecznymstopniuuruchamiaćorganizacyjnemechanizmykom-pensacjizakłócenia.Dokumentowipolitykipowinnytowarzyszyćproceduryszcze-gółowookreślającekoniecznedziałaniakomórekorganizacjiwsytuacjachzakłóceńzakwalifikowanychdopoddaniaichtejpolityce.
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 104
Podejściezapobieganiaodnosisiędopostępowaniazzakłóceniamiistotnymi,destrukcyjnymiipotencjalnieczęstowystępującymi.Jesttopodejścieprewencji,jegonaturalnymikonsekwencjamisąinwestycjeirozwiązaniaograniczająceryzykozagrożenia.Przyjętaworganizacjitzw.politykazapobiegania(zasadypostępowania) powinnaokreślaćplanyorganizacjidotyczącedziałańprewencyjnych,którewod-niesieniudoszczególnieistotnychelementówdziałalnościorganizacji,azwłaszczaszczególniewrażliwychelementówjej infrastrukturytechnicznej,majązniwelo-waćdestrukcyjnywpływzakłóceń.Typowymidziałaniamipodejmowanymiwtymcelusą:tworzenierozwiązańzapasowych,nadmiarowych,zwielokrotnionychwsto-sunkudoprzeciętnychzapotrzebowań.Dokumentowipolitykipowinnytowarzyszyć analizyszczegółowookreślającestopieńizakreswrażliwościrozwiązańistniejących,plany rozwiązańzmniejszającychzagrożenia,procedury/instrukcje szczegółowookreślająceorganizacjęizasadydziałaniabieżącegoorazspecjalnychinterwencjispecjalistycznychzespołówdozwalczaniaspecyficznychzagrożeń(pożar,atakhakerski, awaria informatyczna). Przykłady – zapasowy ośrodek komputerowy,dublowaneliniekomunikacyjneprowadzonefizycznieróżnymidrogamii/lubzwykorzystaniemodmiennychmediówtransmisji,takżedyżuryspecjalnychekipinterwencyjnychostosownychkwalifikacjach.
Podejścieplanowaniazapewnianiaciągłościdziałaniaodnosisiędopostępo-waniazzakłóceniami istotnymi,destrukcyjnymi, leczrzadkowystępującymi,coekonomicznieuzasadniadecyzjęorezygnacjizpodejściazapobieganiaiświado-mepodejmowanieryzykazagrożeń.Przykład:giełdapapierówwartościowych–światowe statystyki mówią, że zawieszenie notowań z powodu niesprawnościsystemukomputerowegozdarzasięnieczęściejniżraznakilkalatitrwaniedłu-żejniż jedendzień,uzasadnione jestwięcpoleganiena scenariuszuzastępczegofunkcjonowaniawtrakcieusuwaniatakrzadkozdarzającejsię,poważnejawarii.Przyjętaworganizacjitzw.politykaplanowaniaciągłościdziałania(zasadypo-stępowania) powinnaokreślaćplanyorganizacjidotyczącedziałańkoniecznychwprzypadkuzmaterializowaniasięzagrożeniawpostacikonkretnegozakłócenia.Plany powinny obejmować rozwiązania organizacyjnedotyczące prowadzeniasamejpolitykiorazscenariuszeprzypadkówzakłóceńizakładanychwobecnichdziałań,mającychnaceluzapewnieniekontynuacjiprzynajmniejpodstawowejaktywnościbiznesowejorganizacji.Ponadtopolitykaplanowaniaciągłościdziała-niapowinnaokreślaćzasadyreagowaniaad hocnazdarzenia,którychniestetynieudałosięprzewidziećwscenariuszach(wogólelubcodoskali).Dokumentowipolitykiplanowaniaciągłościdziałaniapowinnytowarzyszyćprocedury/instrukcjeszczegółowookreślająceorganizacjęsłużbodpowiedzialnychzaplanyciągłościdziałania, podstawowe reguły komunikowania sięwwarunkach awarii, zasadyreagowanianatypowezagrożenia,scenariuszeprzewidywanychrozległychzakłó-ceńireagowaniananie,zasadyuwzględnianiawnowychwersjachplanówawa-ryjnychdoświadczeńzezwalczaniaświeżozaszłychzakłóceń. Wpraktyceplanytedzielisięnadwieklasy.JednąstanowiąplanyDRP(disaster recovery plans),któreodnosząsiędopostępowaniawprzypadkuoczywistychawariitechnicznych(wtyminformatycznych) i związanych z tymubytkówwbieżącej dyspozycyjności ele-mentówinfrastrukturytechnicznej.PlanyDRPokreślająsposóbpostępowaniapo-
6.2. Organizacja zapewniania ciągłości działania 105
legającynanaprawiebądźwymianieelementuinfrastrukturytechnicznej.DrugąklasęstanowiąwłaściweplanyBCP(business continuity plans),które określają,jakwwarunkachpoważnegozakłóceniadziałalnościbiznesowejzapewnićwarunkizastępcze dla tej działalności oraz jak zorganizować tok przywracania sytuacjisprzedzakłócenia.PlanyBCPkorzystają zplanówDRP,które sąwykonywanesamoistniewprzypadku awarii technicznych lub też są realizowanew ramachplanówBCPwprzypadkupoważnychzakłóceńdziałalnościbiznesowej,jeśliichelementemjestawariatechniczna.
6.2. Organizacja zapewniania ciągłości działania Zasadnicząideęprzypisaniakompetencjisłużbodpowiadającychzabieżącezarzą-dzanieproblematykąprzygotowywaniapolitykpostępowaniazzakłóceniamiorazorganizacjęzarządzaniakryzysowegouaktywnianegowprzypadkuawariiprzed-stawiononarysunku6.3.
Rysunek 6.3. Zarządzanie zapewnianiem ciągłości działania
Źródło: opracowanie własne.
PokazanynanimKoordynatorBCM(zwanyteżZespołemAntykryzysowym)jestkomórkąlubrolą47operacyjno-sztabowąustanowionąnastałeworganizacji,powołanądobieżącegokoordynowaniaprzygotowańorganizacjidoświadomego
47 Przezkomórkę rozumiesię jednostkęorganizacyjną formalnie funkcjonującąwstrukturzeorganizacyjnej.Przezrolęrozumiesiękomplekszadańdodatkowych,przypisanychdostanowiskalubjednostkiorganizacyjnej,któreposzerzajązakresdotychczasowychzadaństanowiska/jednostki.
A1 B1
A2 B2
Komitet Kryzysowy
Koordynator BCM
Zarząd
Pion A Pion B Pion C
C1
C3
C2
ZA1
ZA3
ZA2
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 106
iplanowegostawianiaczołazakłóceniomdziałalnościbiznesowej,wtymopraco-wywaniadokumentacjiscenariuszysytuacjikryzysowych,kompletnychprocedurdotyczących realizacji rutynowej lub awaryjnej procesów biznesowych oraz in-strukcji postępowania.Między kolejnymi posiedzeniami Komitetu KryzysowegobieżącokoordynujerealizacjęzadańnałożonychprzezKomitetnaposzczególnekomórkiorganizacyjne,odpowiadazaprowadzenieidystrybuowanieaktualnejdokumentacjiBCP(plany,scenariusze)iodpowiadazaorganizowanieszkoleńoraztestów.WsytuacjiwystąpieniasytuacjikryzysowejwspieradziałaniaKomitetuKryzysowego.
KomitetKryzysowy (zwany też sztabemkryzysowym) to ciało zadaniowe,którezbierasięokresowo,regularniewramachplanowychpracnadprzygoto-wywaniemzdolnościdoskutecznegozapewnianiaciągłościdziałanialubad hoc wprzypadkachnadzwyczajnych.Mapolecać(irozliczaćzwykonania)poszcze-gólnym komórkom organizacyjnym konkretne zadania w ramach stopniowegoprzygotowywaniarozwiązańBCMorazdokumentacjiBCPiDRPoraznabywaniaumiejętnościpostępowaniawsytuacjachkryzysowych.Sampowinienprzygoto-wywaćsiędokierowaniawychodzeniemzkryzysu,jeślitakowywystąpi.Powinienmiećmocnepełnomocnictwakierownictwaorganizacji(najlepiejgdywskładziebędzie jedenzczłonków tegokierownictwa).Wwielu, zwłaszczamniejszych,organizacjach rolękomitetupełni zarząd.Pozaistnieniupoważnegozakłóceniakomitetstajesięsztabemkryzysowymodużychkompetencjachwzakresiebieżą-cegozarządzania,gdyżpowagazdarzeniamożewymagaćszybkiegopodjęcianie-standardowych działań związanych z okresową zmianą praktyki biznesowej,podległościizadańkomórekorganizacyjnychorazpracowników,szybkichścieżekdecyzyjnychorazspecjalnychinwestycji.
ZespołyAwaryjnetociałazadaniowepotrzebnewposzczególnychjednost-kachterenowychlubwybranychkomórkach,podporządkowaneKomitetowiKry-zysowemu, działające lokalnie na podobnych zasadach jak komitet centralnie.Także,wraziepotrzeby,wcentraliteciałazadaniowewkomórkachoszczególnymznaczeniu,wwypadkuwystąpieniakryzysunp.działadministracjiczydziałinfor-matyki.PożądanejestteżpowoływaniezawczasuZespołówAwaryjnychwnajważ-niejszychkomórkachorganizacyjnych,zwłaszczatakichjakpionyodpowiedzialnezainformatykę(biura,działy,ośrodki)lubspecjalnegoznaczeniajednostkiterenowe.Potrzebnejesttakżestosowneszkolenieczłonkówtychzespołów.
Powołującczłonkówwyżejwymienionychciałorganizacyjnychzajmującychsięciągłościądziałania,należyzadbać,abywichskładzieznalazłysięosoby:
decyzyjne, reprezentująceistotnekomórkiorganizacyjne, kluczowetechnicznie(np.specjaliściodinstalacjielektrycznych,telekomu-nikacji,materiałówniebezpiecznych,informacjispecjalnegoznaczeniaitp.), rzutkie, odpornenastres.
6.2. Organizacja zapewniania ciągłości działania 107
Ponadtopożądanejest,abywzespołachtychznaleźlisię: prawnik, przedstawicielkomórkiadministracjiizaopatrzenia, wewnętrzniaudytorzydziedzinowi.Podstawowezałożeniazapewnianiaciągłościiichimplementacjadladanej
organizacjizawartesąwspecjalnymdokumencie„Politykazapewnianiaciągłościdziałania”,opisanymdalej.Punktemwyjściadlaopracowaniapolitykijestrozpo-znaniezagrożeńoraznewralgicznychskładowychinfrastrukturytechnicznejorga-nizacji,wyodrębnionychwświetleanalizyprocesówbiznesowychorganizacjiiichumiejscowienianaplanieinfrastruktury.Nałożenietychelementówprowadzidookreśleniamapypotencjalnychzakłóceń,którymnależyzaradzićprzedichwystąpie-niemlubponim.Wtymwłaśniecelutworzysiędokumentywykonawczepolitykizapewnianiaciągłościdziałaniaorazspecjalneprocedury.Strukturadokumentówprzedstawionajestnarysunku6.4.
Rysunek 6.4. Hierarchia dokumentów w zarządzaniu zapewnianiem ciągłości działania
Źródło: [Zawiła-Niedźwiecki, 2008].
Zasady zarządzania zapewnianiem ciągłości działania
Bezpieczeństwo fizyczne i techniczne
Bezpieczeństwo osobowe
Bezpieczeństwo informacji
Zapewnianie ciągłości działania
Polityka Bezpieczeństwa Operacyjnego
Polityka tolerowania
Polityka monitorowania
Polityka zapobiegania
Polityka planowania ciągłości działania
Scenariusze sytuacyjne
Scenariusze sytuacyjne Plan inwestycyjny Scenariusze
sytuacyjne
Plan zapewniania ciągłości działania
Procedury i instrukcje
Procedury i instrukcje
Procedury i instrukcje
Procedury i instrukcje
Regulamin zapewniania ciągłości organizacji
Regulaminy zapewniania ciągłości jednostek organizacyjnych
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 108
Modelowastrukturadokumentu„Politykazapewnianiaciągłościdziałania”jestnastępująca:
intencjezapewnianiaciągłościdziałania, zasadyanalizyryzykazakłóceniadziałalności, zasadyzarządzaniazapewnianiemciągłościdziałania, organizacjazarządzaniaprocesamizapewnianiaciągłościdziałania, zasadyzapewnianiaciągłościdziałania, specyfikacjaaktówprawnychiwzorcówdobrychpraktyk.Modelowa struktura dokumentacji „Plan zapewniania ciągłości działania”
jestopisanaponiżej. RozdziałI.Zakres,celeiprocedurysystemuzapewnianiaciągłościdziała-nia(BCMS,wgnormISO22301 i BS25999punkty3.4.1.1oraz3.2.1). – ZakresBCMS. – CeleBCM. – Analizainteresariuszy. – Kluczoweprocesy/funkcje/usługi. RozdziałII,Politykazapewnianiaciągłościdziałania(BCM,wgnormISO22301 i BS25999punkty3.4.1.1oraz3.2.2). – Deklaracjastosowania„Politykizapewnianiaciągłościdziałania”. – Politykazapewnianiaciągłościdziałania(wynikającezPolitykiszczegó-łowe zadania i kompetencje poszczególnych komórek organizacyjnychokreślanesąwzamieszczonymwZałączniku„RegulaminBCM”).
RozdziałIII.Zapewnianiezasobów(wgnormISO22301 i BS25999punk-ty3.4.1.1oraz3.2.3). – Zasobyosobowe. – Zasobyfinansowe. – Zasobymaterialne. – Zasobyinformacyjne. Rozdział IV. Kompetencje personelu (wg norm ISO 22301 i BS 25999 punkty3.4.1.1oraz3.2.4). – Koniecznekompetencje. – Plan/realizacjaszkoleń. – Prowadzeniezapisówdotyczącychkwalifikacji. RozdziałV.Analizawpływunabiznes(BIA,wgnormISO22301 i BS25999 punkty3.4.1.1oraz4.1.1). – Opismetodyanalizy. – Wyniki analizy. – Przeglądyanalizy.
6.2. Organizacja zapewniania ciągłości działania 109
Rozdział VI. Szacowanie ryzyka (TSM-ORA, wg norm ISO 22301 i BS25999punkty4.1.1oraz4.1.2). – Opismetodyszacowania. – Wynikiszacowania. – Przeglądyszacowaniaryzyka. RozdziałVII.Modelzapewnianiaciągłościdziałania(wgnormISO22301 i BS25999punkty3.4.1.1oraz4.2). – Zasady. – Strukturaorganizacyjna. – Zarządzanierelacjamizinteresariuszami(elementytypowychkontaktówzinteresariuszamizawiera„Plankomunikacji”wRozdzialeVIIIoraz„Li-stakontaktów”wZałączniku4).
Rozdział VIII. Struktura reakcji na incydent (wg norm ISO 22301 i BS25999punkty3.4.1.1oraz4.3.2). – Rekomendowanepostępowanie. – Plankomunikacji. RozdziałIX.ScenariuszeawaryjneBCPiDRP(wgnormISO22301 i BS25999punkty3.4.1.1oraz4.3.3). – ScenariuszeBCP. – ScenariuszeDRP. RozdziałX.Testowaniezarządzaniazapewnianiemciągłościdziałania(wgnormISO22301 i BS25999punkty3.4.1.1oraz4.4.2). – Zasadytestowania. – Plantestów. Rozdział XI.Utrzymanie i przegląd ustaleń związanych z zarządzaniemzapewnianiemciągłościdziałania(wgnormISO22301 i BS25999punkty3.4.1.1oraz4.4.3). – Zasadyutrzymaniaiprzeglądów(technikasamooceny). – Planprzeglądów. RozdziałXII.Audytwewnętrzny(wgnormISO22301 i BS25999punkty3.4.1.1oraz5.1). – Zasadyaudytowania. – Planaudytów. – Przebiegaudytu. Rozdział XIII. Przeglądy zarządzania systemem zapewniania ciągłościdziałania(wgnormISO22301 i BS25999punkty3.4.1.1oraz5.2). – Zasadyprzeprowadzaniaprzeglądówzarządzania. – Planprzeglądówzarządzania. – Przebiegprzegląduzarządzania.
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 110
RozdziałXIV.Działaniazapobiegawczeikorygujące(wgnormISO22301 i BS25999punkty3.4.1.1oraz6.1). RozdziałXV.Ciągłedoskonalenie(wgnormISO22301 i BS25999punkty3.4.1.1oraz6.2). – Uświadamianie. – Szkolenia. – Przeglądy,audyty,analizy. – OcenadojrzałościzarządzaniaBCM. Załącznik1.Regulaminy,procedury,instrukcje,metody. – Struktura organizacyjna zarządzania zapewnianiem ciągłości działania(KomitetKryzysowy,KoordynatorBCM,ZespołyAwaryjne). – Regulaminzapewnianiaciągłościdziałania. – RegulaminKomitetuKryzysowego. – ProceduraprowadzeniadokumentacjiBCM. – OpismetodyszacowaniaryzykaoperacyjnegoTSM-ORA. Załącznik2.ScenariuszeawaryjneklasyBCP. Załącznik3.ScenariuszeawaryjneklasyDRP. – Wzywanieserwisów. – Naprawyawariiinfrastrukturytechnicznej. Załącznik4.Zasoby. – Listakontaktów. – Szkoleniapracowników. – ZasobyfinansoweBCM. – ZasobymaterialneBCM. – ZasobyinformacyjneBCM. Załącznik5.Wymaganiaiźródładobrychpraktyk. – Ważniejszeprzepisy. – Źródładobrychpraktyk(normy,stronyinternetowe,publikacje). Załącznik6.Planyiraporty. – PlanyiraportyroczneKomitetuKryzysowego. – PlanyiraportybieżąceorazprotokołyposiedzeńKomitetuKryzysowego. – Planyiraportyztestów. – Planyiraportyzaudytów. – Planyiraportyzprzeglądówzarządzania. – Planoddziaływanianainteresariuszy. Załącznik7.Rejestrybieżące. – Rejestrincydentów. – Rejestrdziałańkorygujących.
6.3. Tok postępowania analitycznego i projektowego 111
– Rejestrdziałańzapobiegawczych. – Rejestrdoświadczeń. Historiadokumentacji. – specyfikacjazmian. – inne.
6.3. Tok postępowania analitycznego i projektowegoWdrażaniepolitykizapewnianiaciągłościdziałanianapotykatypowebarieryza-rządzaniawyjątkami(zakłóceniasąrodzajemwyjątkówwrutynowymprzebieguwykonywaniapracyworganizacji).Ważniejszymibarieramisą:
brakświadomościpotrzebypodejściaprocesowego, brakzarządzaniaryzykiemworganizacji, brakintegracjizarządzaniaryzykiem,bezpieczeństwemiciągłością, brakpoparciawysokiegokierownictwadlazarządzaniaryzykiem,bezpie-czeństwemiciągłością, brakdoświadczeniawtegotypuprzedsięwzięciach, traktowanieproblematykizapewnianiaciągłościdziałaniajakotypowegoproblemu do rozwiązania jednorazowym projektem opracowania planuawaryjnego,anieustanowieniaprocesustałegodoskonaleniaumiejętno-ściradzeniasobiezincydentami, pospiesznezajęciesięproblemembezwcześniejszegodoborumetodyroz-wiązywaniaproblemuorazmetodyprowadzeniaprojektu, niedocenianieznaczeniadokumentacjiijejsystematycznejaktualizacji.Przyuwzględnieniuprzełamywaniatakichbarier,podstawąwdrożeniapoli-
tykipostępowaniazzakłóceniamijestodpowiedniplan,którypowstajewdrodzeczynnościanalityczno-projektowych,wśródktórychmożnazwłaszczawyróżnić:
analizęprocesówworganizacji, identyfikacjęinteresariuszy, analizęzagrożeńdlaorganizacji(jakoanalizaBIAlubanalizaryzyka), analizępodatnościorganizacjinazakłócenia(jakoanalizaBIAlubanalizaryzyka), opracowaniemapyzakłóceń, opracowanieregulaminów,procedur,instrukcji, realizacjępodejściazapobieganiazakłóceniom, realizacjępodejściaplanowaniaciągłościdziałania, realizacjępodejściamonitorowaniazakłóceń, realizacjępodejściatolerowaniazakłóceń, wdrażanieprzyjętegopostępowaniazzakłóceniami, testowanieplanówzapewnianiaciągłościdziałania.
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 112
Możnatozorganizowaćtak,jaktopokazanonarysunku6.5.Częśćtychpracstanowicykl,którypowtarzanycopewienczasnazasadziespiralidoskonaleniapozwalautrzymywaćirozwijaćrozwiązaniazapewnianiaciągłościdziałania.
Rysunek 6.5. Projektowanie wg metody TSM-BCP
Źródło: opracowanie własne.
Faza wstępna• Powołanie ciał zadaniowych (Komitet, Sztab, Pełno-
mocnik) i zespołu projektowego• Szkolenie zespołu projektowego z metody
Faza przygotowania• Analiza dotychczasowych rozwiązań i proste po-
sunięcia doskonalące• Projekty dokumentów regulujących prace w za-
kresie zapewniania BCP (regulaminy, procedura prowadzenia dokumentacji)
• Plan prac nad pierwszą wersją Planu BCP• Szkolenia szerokiego kręgu osób przewidywa-
nych do zajmowania się zagadnieniem BCP • Przyjęcie struktury dokumentacji Planu BCP
Faza analizy• Inwentaryzacja rozwiązań istnie-
jących• Analiza ryzyka w ujęciu: procesów,
zagrożenia, podatności• Opracowanie scenariusza wyjścio-
wego dla projektu „Stało się coś poważnego”
Faza kontroli• Ustalenie modelu okresowych au-
dytów (kto, jak, zakres, terminy)• Przeprowadzanie testów• Przeprowadzanie (samo) audytów• Wnioski z testów, audytów, incy-
dentów
Faza wdrażania• Szkolenia osób przewidzianych do
zajmowania się BCP• Opracowanie zasad testowania
rozwiązań BCP• Podsumowanie projektu• Zasady i plan działań stałego do-
skonalenia
Faza projektowania• Plan (lista, terminy, wykonawcy)
scenariuszy do opracowania jako wynik analizy ryzyka
• Wytyczne pilnych usprawnień (zmiany w organizacji pracy, in-westycje) wynikających z analizy ryzyka
• Opracowanie scenariuszy • Testy sztabowe
Spirala doskonalenia
6.3. Tok postępowania analitycznego i projektowego 113
Zasadadoskonaleniarozwiązańzapewnianiaciągłościdziałaniajestpostulo-wanaprzezwszystkieźródładobrychpraktykwtejdyscyplinie,ponieważwszystkieoneczerpiązwzorcapodejściajakościowego,takjegozasad,jakicykluDeminga[Hamrol,2005]),którywzastosowaniudozarządzaniabezpieczeństwem(turo-zumianegoszerokoiobejmującegotakżezapewnianieciągłościdziałania)zostałpokazanynarysunku6.6.Ciągłośćdziałaniajestteżprzedmiotemwymagaństa-wianychprzezprzepisyUEorazposzczególnychjejczłonków,przedmiotemreko-mendacjibranżowych(oBaselIIiSolvencyIIbyłajużmowa).Istniejeteższeregmetod projektowania rozwiązań zapewniania ciągłości działaniaw znaczeniuszerokopojmowanejpolitykialbowąskopojmowanychplanówawaryjnych,któretometodysąsystematycznierozwijaneprzezfirmydoradczespecjalizującesięwzagadnieniachzarządzaniaryzykiemoperacyjnym.
Rysunek 6.6. Wytyczne wdrażania Systemu Zarządzania Bezpieczeństwem Informacji wg modelu PDCA
Źródło: [ISO 27005:2011].
Analiza procesów w organizacji
Koncepcjapostrzeganiaorganizacji jako systemudziałania,wktórymkluczowejestprawidłoweiefektywnezarządzanieprocesami,jestcharakterystycznącechąwspółczesnegozarządzania[Dahlgaard,Kristensen,Kanji,2000; Waters,2001]. Tradycyjnepodejściedoorganizacjiwidzianejprzezpryzmatefektywnościdziała-niaposzczególnychpionówfunkcjonalnychikomórekorganizacyjnychprowadzidoatomizacjitychjednostekorganizacyjnych,aichdbałośćowłasnąwewnętrzną
PLANUJ
WYKONAJ
DZIAŁAJ
SPRAWDŹ
Ciągłe doskonalenie
Faza działania• podjąć działania korygujące
i zapobiegawcze• przeprowadzić dochodzenie
• wdrożyć identyfikowane usprawnienia
• upewnić się, że osiągnięto oczekiwane rezultaty
Faza sprawdzania• realizować procedury
monitorowania• przeprowadzać audyty
wewnętrzne w zaplanowanych odstępach czasu
• przeprowadzać regularne przeglądy wykonywane przez kierownictwo
Faza planowania• zdefiniować zakres SZBI• zdefiniować politykę bezpieczeństwa • zdefiniować ryzyko• oszacować ryzyko• zdefiniować plan
postępowania z ryzykiem• wybrać cele
i zabezpieczenia
Faza wykonywania• wdrożyć plan
postępowania z ryzykiem• wdrożyć wybrane
zabezpieczenia, aby osiągnąć cele i wymagania
• szkolić i wprowadzać programy uświadamiające
• zarządzać eksploatacją SZBI
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 114
efektywnośćparadoksalnieniepodnosiefektywnościcałejorganizacji,leczjąob-niża.Cowięcej,dążnośćdomikrodoskonałościwewnętrznejkomórekorganiza-cyjnychseparujejeodotoczenia,wtym–coszczególniekrytyczne–odklientów,kooperantówikonkurencji.
Natomiast podejście procesowe, pozostawiającw kompetencjach komórekorganizacyjnychdoskonaleniewykonywaniafunkcji,oznaczakoncentracjęzarzą-dzanianakoordynacjidziałańtychkomórekorazichrelacjizotoczeniemwświetlewyraźnieokreślonychcelów:organizacji,procesówistanowiskpracy.Wkrańcowymwydaniuprowadzitodomodeluzarządzaniamacierzowego[Górska,Lewandowski,2002].Wtensposób:
osiągasięoptymizacjędziałaniaorganizacji, osiągasięracjonalnośćwspółdziałaniakomórekorganizacyjnych, uwzględniasiępotrzebyklientówjakonajwyższycelorganizacji, uwzględniasięusługijakowynikpowiązańzotoczeniem, zdobywasięwiedzęotym,jakwykonywanajestpraca.Chodziprzedewszystkimoto,żepracajestwidzianaiorganizowanajako
proces,tj.ciągczynności,wwynikuktórychpowstajeproduktlubusługa.Procesjestprzytymłańcuchemdodawaniawartościwtokukolejnychskładającychsięnaniegooperacji.
Wynikiemanalizyprocesówsątzw.mapyogółuprocesówiposzczególnychprocesów.Dlapojedynczegoprocesutakamapajestsekwencjąoperacji,któredo-prowadzajądoprzekształceniaokreślonychzasobówwefekty.Wprzypadkuanalizzwiązanychzzapewnianiemciągłościdziałaniaraczejdokonujesięzmapowaniaistniejącegokształtuprocesu,aniekoniecznieweryfikujesięjegopoprawnośćme-rytoryczną,efektywnośćorganizacyjnąitp.cechyjakościzarządzania,choćbywa,żeanalizytakieprowadząpośredniodoreengineeringuprocesówiorganizacjipracy[Hamrol,2005].Tworzeniemapyprocesurozpoczynasięodzidentyfikowaniawszystkichpodmiotów(komórekorganizacyjnych, stanowisk)uczestniczącychwprocesie,anastępnieopisujesię,jakiekolejneczynnościskładająsięnaprocesiprzezjakiekomórkiorganizacyjnesąwykonywane.
Przypowszechnymobecniestosowaniuinformatyki,należymiećświadomość,żewłaściwiezaprojektowanezintegrowanesystemyinformatycznedokładnieod-zwierciedlająprzebiegiprocesów,któresąrealizowanekolejnoprzezposzczególnestanowiskapracyobsługiwaneprzezdanysystem[Byczkowski,Zawiła-Niedźwiecki,2009].Takwięcanaliza takich systemów informacyjnychpowinna towarzyszyćanalizieprocesówwcelu:
identyfikacjiprocesówlubichelementów,jeślikompletnaichanalizajestutrudniona; weryfikacji,czysysteminformacyjny/informatycznywłaściwieidostatecz-nieobsługujeanalizowaneprocesy;
6.3. Tok postępowania analitycznego i projektowego 115
identyfikacjidrógfizycznych48(główniepołożenieokablowaniaiurządzeńłączności)przepływuinformacji,którezasilająproces,towarzysząmu(sąelementem)lubsąjegowynikiem.
Potrzebaanalizysystemówinformacyjnychiinformatycznychwynikateżzeszczególnejroliinformacjiwzarządzaniu,którajakoczynnikzwiększającywiedzęootaczającejrzeczywistości,zwanajestniekiedy„krwioobiegiemzarządzania”.Informacje stanowiąpodstawę (zasilanie) zarządzaniaprocesami, opisująprze-biegprocesów,sąjednymzzasileńprocesówijednymzichrezultatów.Przepływyinformacjiodbywająsiętradycyjnymidrogamifizycznymi(kanałami),wynikają-cymizprzyjętegosposobuzorganizowaniaprocesu,lubdrogamiwyznaczonymiprzezinfrastrukturętelekomunikacyjną.Potencjalnieprowadzitodofizycznejroz-bieżności dróg przekazu informacjiwukładzie informatycznymw stosunkudoprzekazutradycyjnego,zgodnegozprzebiegiemprocesujakorelacjimiędzykolej-nymistanowiskamipracy.Tarozbieżnośćjestistotnymczynnikiemzwiększającymkrytycznąpodatnośćnazakłócenia[Byczkowski,Zawiła-Niedźwiecki,2009].Ana-lizując przepływy informacji, w odniesieniu do wszystkich kanałów przekazu,zwracasięuwagęna:
spójność i dyskretność przepływu informacjiw ramach danego procesubiznesowego, stopieńtowarzyszeniaprzepływuinformacjiprocesowibiznesowemu, środkiprzekazuinformacjiiichpodatnośćnazakłócenia, stopieńzastępowalnościśrodkówpodstawowychprzezinne, krytyczneelementyprzepływuinformacji.
Analiza zagrożeń wobec organizacji
Analizęzagrożeńprzeprowadzasię,posługującsięwzorcowąlistązagrożeń(zob.tabela6.1).Napoczątkunależyskreślićzniejzagrożenianieadekwatnedosytu-acjidanejorganizacjiorazewentualniedodaćinne,specyficznedlatejorganizacji.Następnie ocenia się, czy dane zagrożeniema charakter zewnętrzny czy teżwewnętrznyzpunktuwidzeniaorganizacji.Chodzioto,czyzagrożeniewewnątrzorganizacjimaterializujesięwswejwłaściwejpostaciistanowitoproblemorga-nizacji,np.czyhuraganjestprawidłowozidentyfikowanymzagrożeniem,czyra-czejpowinnonimbyćuszkodzeniebudynku.Jesttościślepowiązanezpodziałemryzykanaujęcieprzyczynoweiskutkowe–przyczynowejestbliższeposzukiwaniurozwiązańzabezpieczającychimonitorowania,skutkowezaśbliższerozwiązaniomzapewnianiaciągłościdziałania.Zagrożeniazewnętrzneskutkująwewnętrznymiipodkątemzapewnianiaciągłościdziałaniadążymydoustaleniatychostatnich.Mogąwięcbyćpotrzebnekolejneiteracjeoceny(weryfikacje)wceluskreślenia
48 Problemdrógfizycznychprzekazywaniainformacjijestbardzoważnydlazapewnianiaciągłościdziałania,gdyżdotyczyustalaniamiejsclubrozwiązańtechnicznych,któremogąbyćzagrożoneod-działywaniemczynnikówzakłócających.
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 116
pewnychzagrożeńzewnętrznychjakomałoprawdopodobnychlubzastąpieniaichprzezprecyzyjniejokreślonezagrożeniawewnętrzne.Zagrożeniawujęciuprzy-czynowympowinnybyćujętewpolitycebezpieczeństwaiobjętemonitorowaniemiprewencją.
Wkolejnymkrokuoceniasię,czyzagrożeniejestbezpośrednie,czypośrednie.Chodzioustalenie,czyzakłóceniewswejistociedotyczyorganizacji,czyteżwpływananiączynnikpochodny,np.czyzakłóceniemjestsamademonstracjauliczna,czyde factobrakdostępudosiedzibyspowodowanytądemonstracją.Iwtymwypadkuzagrożeniawujęciuprzyczynowymwskazująpotrzebywzakresiemonitorowaniaiprewencjiwramachpolitykibezpieczeństwa.
Nakoniecprzygotowujesięzweryfikowanąostatecznielistęzagrożeń,kwali-fikujączagrożeniawujęciuprzyczynowymdoobsłużeniawramachpolitykibez-pieczeństwa,natomiastzagrożeniawujęciuskutkowymdoopracowaniaplanówzapewnianiaciągłościdziałania.
Tabela 6.1. Wzorcowa lista zagrożeń
Zagrożenia
Katastrofy naturalne• trzęsienie ziemi• skażenie środowiska naturalnego• powódź• huragan• wyładowania atmosferyczne• inne
Terroryzm• szantaż• zamach• inne
Zakłócenia fizyczne• brak dostępu do siedziby• uszkodzenie budynku• za niska / wysoka temperatura powietrza• za duża wilgotność powietrza• pożar• zalanie• inne
Zakłócenia funkcjonalne• strajk• sabotaż• niedostępność pracowników• wypadek• inne
6.3. Tok postępowania analitycznego i projektowego 117
Zagrożenia
Zakłócenia techniczne• wyczerpanie zapasów materiałowych• brak zasilania• awaria klimatyzacji• inne
Zakłócenia informatyczne Infrastruktura techniczna:• awaria serwerów• awaria stacji roboczych• awaria urządzeń pomocniczych• awaria urządzeń sieciowych• awaria okablowania• brak połączenia z sieciami zewnętrznymi• inneOprogramowanie:• wygaśnięcie licencji• nieautoryzowane usunięcie• wadliwe działanie• inneSzkodliwe oprogramowanie:• wirusy• inneDane:• utrata lub zniszczenie danych• nieautoryzowany dostęp do danych• nieautoryzowane powielanie danych• nieautoryzowana modyfikacja danych• inne
Inne zakłócenia • brak zasobów osobowych• brak zasobów finansowych• brak zasobów materiałowych• brak usług zewnętrznych• inne
Źródło: [Zawiła-Niedźwiecki, 2008]49.
49 Innepropozycjelistzagrożeńmożnaznaleźćwnormach:ISO27005:2009orazISO/IECTR13335-3:1998.
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 118
Analiza podatności organizacji na zakłócenia
Analizę50tęprzeprowadzasię,posługującsięwzorcowąlistąkrytycznychzasobów(zob.tab.6.2).Napoczątkunależyzweryfikowaćisprecyzowaćklasyfikacjękate-gorii zasobówwsposóbodpowiednidla specyficznej sytuacjidanejorganizacji.Następnienależyzidentyfikowaćwszelkiezasoby,którewkażdejlokalizacjijedno-stekorganizacji(siedzibagłówna+ewentualnielokalizacjeterenoweipomocni-cze), w świetle analizy procesów oraz dróg przepływu informacji, mogą miećwpływnaciągłośćprocesówbiznesowych iprocesówprzetwarzania informacji.Jakoumowneobiektyoszczególnymwpływienawarunkifunkcjonowaniaorgani-zacji trzeba uwzględniać usługi obce,w tymuniwersalne typu: dostawywody,gazu,prądu,łącznościtelefonicznej,jakispecyficzne,typu:kooperacja,dostawymateriałów,usługiserwisowe.
Wwynikuanalizyprzygotowujesięzweryfikowanelistykrytycznychobiek-tówodrębniedlakażdejlokalizacjiorazanalizęichpodatnościnaczynnikiryzykaoperacyjnego.
Tabela 6.2. Przykładowa lista krytycznych zasobów (obiektów)
Kategorie Przykład
A. Budynki Własny biurowiec
B. Obiekty przemysłowe, techniczne Hala fabryczna, kotłownia, ośrodek komputerowy
C. Ośrodki biurowe Powierzchnia biurowa wynajęta w obcym budynku
D. Zewnętrzne urządzenia techniczne Zewnętrzny wolnostojący generator napięcia
E. Wewnętrzne urządzenia techniczne Wewnętrzny klimatyzator albo generator
F. Infrastruktura informatyczna Urządzenia informatyczne
G. Zewnętrzne urządzenia telekomunikacyjne Antena satelitarna na dachu
H. Usługi obce Telekomunikacja
I. Obiekty logiczne podmiotów/rozwiązań wirtualnych Zobowiązania niematerialne
J. Pracownicy o kluczowych kompetencjach Licencjonowany doradca inwestycyjny w firmie finansowej
X. Inne
Źródło: [Zawiła-Niedźwiecki, 2008].
50 Podatnośćorganizacjinadanezagrożeniewynikazjejbieżącegozorganizowania,ocenianegow świetle znaczenia procesówbiznesowych orazmożliwości negatywnegowpływuposzczególnychzagrożeńnateprocesy.
6.3. Tok postępowania analitycznego i projektowego 119
Opracowanie mapy zakłóceń
Natymetapienastępujesporządzeniemapyzakłóceńdlaposzczególnychzasobów,choćczęściejdlalokalizacjiorazobiektówtechnicznychilogicznych51potencjalniedotkniętychposzczególnymizagrożeniami(czynniki:proces–obiekt–zagroże-nie,ideętrójwymiarowejmapyzakłóceńprzedstawiarys.6.7).Bardzoprzydatnajestklasyfikacjaryzykaprzedstawionawtabeli3.2.Każdyzpodanychwniejro-dzajówryzykaoperacyjnegosłużydospojrzenianamożliwezakłóceniazoptykiswoistychcechtegoryzyka.
Mapasłużyostatecznejweryfikacji,którezzagrożeńmogąbyćnajdotkliwszeorazktórezobiektówsąbiznesowonajwrażliwsze.Wagępotencjalnegozakłóce-nianależyoceniaćiweryfikowaćprzezpryzmatutrzymaniastabilnościprocesów.
Mapazakłóceńjestnajobszerniejszymdokumentemanalitycznym.Jejdokładneprzygotowaniepozwalanakompleksowerozwiązaniezadaniazapewnianiacią-głościdziałania.Nienależyjednakobawiaćsię,żeanalizataprowadzidoopraco-wywania scenariuszydlakażdegozidentyfikowanegopotencjalnegozakłócenia.Kolejnezescenariuszyopisująpostępowanienaprawczezwiązanezgrupązakłó-ceńtraktowanychłączniewzwiązkuzewspólnymiprzyczynamilubskutkami.
Rysunek 6.7. Czynniki kształtujące zakłócenia
Źródło: [Zawiła-Niedźwiecki, 2008].
Poszczególnympozycjommapyzakłóceń przypisujesięjednozmodelowychpostępowańzzakłóceniamipokazanychnarysunku6.2.
Opracowanie regulaminów, procedur, instrukcji
Procesyiskładającesięnaniedziałaniawymagająutrzymaniaichpowtarzalności,dokładnietakjakzostałyzaprojektowaneiprzyjętejakowłaściwe.Dlauzyskania
51 Obiektylogicznetoelementyoprogramowaniainformatycznego,systemyinformatycznelubichczęści.
Zagrożenia
Podatności
Procesy
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 120
takiejstabilnościdziałaniaorganizacjinależystosowaćzasadędokumentowaniawłaściwejpraktykidziałania.Głównymirodzajamistosowanychdokumentówsąregulaminy,proceduryiinstrukcje.
Regulaminymają charakter wymagań formalnych stawianych poszczegól-nymkomórkom,stanowiskomiosobom.NatomiastproblemutrwalaniawłaściwejpraktykizostałnajpełniejujętywzasadachkompleksowegozarządzaniajakościąTQM[Hamrol,2005].Itak„procedurytoustalonysposóbprzeprowadzaniadzia-łanialubprocesu/…/,niezależnieodpostaci,wjakiejjeustanowimy,stanowiąintegralnączęśćdokumentacjisystemuiwyrażająokreślonysposóbwykonywaniadziałań”.Zkolei„instrukcje,sątodokumenty,opisująceszczegółowojakelementyustanowionewprocedurachsąrealizowaneprzezkomórkifunkcyjneworganizacji”[Łańcucki,2006,s.127–132].Należywięcdążyćdoudokumentowaniawszyst-kichistotnychdziałańwformieproceduriinstrukcji.Jesttoszczególnieważnewkontekściezapewnianiaciągłościdziałania,zarównocodopowtarzalnościdziałańrutynowych,jakiprawidłowegowykonywaniadziałańincydentalnych,zaplano-wanychnawypadeksytuacjinadzwyczajnych.Potrzebnyjestlogicznyprocesre-dagowania,weryfikowaniaizatwierdzaniaprocedur/instrukcji,takabyzapewnićichkompletnośćispójność,zarównowewnętrznąwramachdanegodokumentu,jakiogólnąwramachcałegoichzestawu.Najlepiejjesttozapewnićprzezodrębnąprocedurę/instrukcjędefiniującąwzorzectakiegoprocesuorazwzorzecstrukturyposzczególnychtypówdokumentów.Procedurydziałaniasąpodstawowymodniesie-niemdlaaudytuorganizacyjnegojakowewnętrznanormapoprawnegodziałania.
Typowekategoriedokumentówtworzącychkompleksowyzestawregulami-nów,proceduriinstrukcjisąnastępujące:
regulaminy, proceduryogólnedotyczącecałejorganizacji, procedurymiędzydziałoweregulującewspółpracęikompetencjedwulubwięcejkomórekorganizacji, procedurydziałowedotyczącekwestiipowierzonychdanejkomórceorga-nizacji, instrukcjeopisującedziałaniaregulowaneprocedurami, instrukcjesamoistne,nieodwołującesiędoprocedur.Podziałnakategorieimplikujeodpowiedniprocesopracowywania,weryfikacji
izatwierdzaniaprocedurorazwyznaczawłaściwyszczebelichautoryzacji.Kompleksoweobjęciecałościdziałaniaorganizacjizestawemprocedurpolega
naokreśleniuzagadnień,procesówipodobszarówdoprzeanalizowaniaiuregulo-wania.Dokonujesię tegoprzezwybórpodstawowychkryteriówwyodrębnianiazagadnieńiewentualnąsuperpozycjęniektórychspośródnich.Kryteriamisąnaprzykład:
strukturaorganizacyjna(funkcjonalna), strukturaprocesowa, rodzajezasobów,
6.3. Tok postępowania analitycznego i projektowego 121
podsystemysystemuinformacyjnego, ciągłośćdziałania,bezpieczeństwo,poprawnośćeksploatacji.Ważnejestprzyjęciejednolitychzasadredagowaniaprocedurwczęścidlawszyst-
kichwspólnejiumieszczenietaminformacjiidentyfikującychprocedurę(symbole),jejhistorię,procespowstawania,opiniowania,zatwierdzania.Każdaprocedurapowinnamiećswegowłaściciela,awięckomórkę(stanowisko)odpowiadającązajejredakcję,kierowaniedoopiniowania,dystrybucjępozatwierdzeniuitp.Wyznaczasiędotegobądźkomórkęmerytorycznienajbardziejodpowiadającązagadnieniomregulowanymprzezdanąprocedurę,bądźkomórkęcentralnieodpowiedzialnązazestawprocedur.
Koniecznejestprowadzeniearchiwumwszystkichkolejnychwersjiposzcze-gólnychprocedur. Potrzeba takawynikanp. zwymogówaudytu, który każdąocenianąwątpliwąsytuację(problem)zprzeszłościpowinienmócodnieśćdoobo-wiązującejwówczasnormyregulacyjnej.
Realizacja podejścia zapobiegania zakłóceniom
Podejścietoobejmujeprzedewszystkimdziałaniaocharakterzeinwestycyjnym,adoczasurealizacjiinwestycjidziałaniazzakresupodejściaplanowaniazapew-nianiaciągłościdziałania.Zmapyzakłóceńwynikaswoistalistasłabychpunktóworganizacji(wsensieproblematykiciągłościdziałania).Wieleztychsłabościmożnaograniczyćlubusunąćprzezinwestycjetechniczne.Ichrealizacjajestjednakistot-nieograniczonaprzezpotrzebęwnikliwychbadańcodozakresudanejinwestycjiorazfinalnejskutecznościnowegorozwiązaniatechnicznego,którepowinnowpełniusunąćpodatnośćorganizacjinarozważanezakłócenie.Ostatecznaracjonalnośćproponowanego rozwiązania jestweryfikowanaw świetlemożliwości budżeto-wychorganizacji,okresuzwrotuzinwestycjiitp.kryteriówekonomicznych.Typowekierunkitakichinwestycjito:
dublowaniesprzętu, dublowanieośrodkówkomputerowych(budowaośrodkazapasowego), zwielokrotnienieliniikomunikacyjnych, zwielokrotnieniepunktówdostępudosieciusługpublicznych, zapasoweźródłaenergiielektrycznej, separacjafizyczna,energetycznailogicznaserwerówlubcentrówsterowa-niaśrodowiskamiinformatycznymi, mimospecjalizacjiserwerówzachowywaniemożliwościograniczeniapracydomniejszejichliczby, asynchronicznośćzabezpieczaniadanych, dyżuryspecjalistów.
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 122
Planinwestycyjnyprzyjętychprzezdecydentówrozwiązańtechnicznychjestzasadniczymdokumentem,najakimopierająsiędziałaniastanowiąceotympo-dejściu.
Realizacja podejścia planowania zapewniania ciągłości działania
Działaniatedzielisięjakwtabeli6.3.
Tabela 6.3. Podział zadań w reagowaniu na zakłócenia
Komórka organizacyjna Przed wystąpieniem zakłócenia Po wystąpieniu zakłócenia
Koordynator BCM oraz wszyst-kie jednostki organizacyjne
Opracowywanie planu ciągłości działania
Analiza i korekta planu ciągłości działania
Komitet Kryzysowy (Sztab Kry-zysowy)
Testowanie planu ciągłości dzia-łania
Zapewnianie ciągłości działania, usuwanie przyczyn i skutków za-kłócenia
Źródło: [Zawiła-Niedźwiecki, 2008].
Zwieńczeniemplanówzapewnianiaciągłościdziałaniasąscenariuszesytu-acyjne.Dzielisięjena:
scenariuszezewnętrzne,któreopisująmożliwewersjerozwojuzdarzeńwprzyszłości,naktóreorganizacjaniemawpływu, scenariuszewewnętrzne,któresąprzyczynowymsposobemrozumowania,łączącymwybórdziałaniazcelem,aokreślonerezultatysąpreferowaneprzezorganizacjęzgodniezhierarchiąjejcelów[vanderHeijden,2000].
Opracowującscenariusze,zwłaszczaprzypierwszymtworzeniuplanuciągłościdziałania,należyprzyjąćbardzozasadniczy,sięgającydopodstawwiedzyoorga-nizacjiijejcelach,tokrozumowaniawedlezasadytop-down.Kolejnekrokitakiegorozumowania(niektóremożnaopuszczać)to:
ustaleniecelów(nawetmisjiorganizacji), ustalenieistotydziałaniaorganizacji(procesypodstawowe)nabazieana-lizyprocesowej, ustaleniegranicyograniczaniadziałalnościwprzypadkuzakłócenia(codozakresufunkcjiniezbędnychorazminimalnej,jeszczeakceptowalnej,jakościdziałania), ocenazagrożeńiwynikającychznichzakłóceń(weryfikacjamapyzakłóceń), ocenabieżącejzdolnościorganizacjidoreagowaniaad hocnazakłócenia, przyjęcie rozwiązańorganizacyjnychobliczonychna stawianie czoła za-
6.3. Tok postępowania analitycznego i projektowego 123
kłóceniom(powołanieKoordynatoraBCM iKomitetuKryzysowegoorazopracowaniestosownychregulaminów,ichuprawnieńiodpowiedzialności), opracowaniescenariuszyzakłóceńidziałańbędącychreakcjąnanie, testowaniesytuacjiopisanychwscenariuszach, weryfikacjaprzedstawionegopostępowanianapodstawietestówlubwnio-skówzzaistnieniazakłócenia.
Schematscenariuszasytuacyjnegojestprzedstawionynarysunku6.8.
Rysunek 6.8. Schemat scenariusza sytuacyjnego reagowania na zakłócenie
Źródło: [Zawiła-Niedźwiecki, 2008].
Scenariuszesytuacyjneporządkująprzewidywania,mobilizujądokonkretnego,precyzyjnegomyśleniaidziałania,umożliwiająsymulowaniesytuacjikrytycznychitestowanieprzygotowanychplanów.Równocześnienależypamiętać,żescenariuszereagowanianazakłócenianiegwarantująpełnejskutecznościprzewidywańanicodozakłóceń,ani codoprzebiegu sytuacji krytycznych,ani codoadekwatnościplanówdorzeczywistychzdarzeń,awymagajązostawianiaelastycznegomarginesunaczynniki/wydarzenianieprzewidziane.
Schemat reakcji
Kto uczestniczy?
Kogo i czego dotyczy?
Opis właściwej reakcji
Plan przygotowań do wdrożenia takiej reakcji
Jakie to zakłócenie?
Identyfikacja szkód
Istota zakłócenia
Schemat usuwania szkód
Plan przywracania stanu sprzed zakłócenia
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 124
Realizacja podejścia monitorowania zakłóceń
Obejmujeonoprzedewszystkimdziałaniaocharakterzeorganizacyjnym,awna-stępnejkolejnościregulacyjnym.Kluczowewnimjestmonitorowaniestopniaza-kłóceńoraztego,czywrelacjidoniegomechanizmrutynowejkompensacjijestdostateczny.Opracowywanierozwiązańpolitykipolegaprzedewszystkimnafor-malnympotwierdzeniurozwiązańorganizacyjnychstanowiącychokompensowa-niuzakłóceń,awięcspisaniu,przeanalizowaniuiewentualnympoprawieniulubrozwinięciuistniejącejpraktykiorazrozważeniu,jakierozwiązaniasąpotrzebnewzakresiekształtowaniastrukturyorganizacyjnej,zadańposzczególnychkomórek,regulaminów,proceduriinstrukcji.Monitorowaniezakłóceńpowinnozostaćtakuregulowaneprocedurami/instrukcjami,abybyłomożliweocenienieipodjęciedecyzji,kiedystopieńzakłóceniaprzekraczagranicęobjęciagomonitorowaniemiwobectegonależyzastosowaćdoniegopodejście(plan)ciągłościdziałania.
Realizacja podejścia tolerowania zakłóceń
Podejścietoobejmujeprzedewszystkimdziałaniaocharakterzeprawnym,awna-stępnejkolejnościorganizacyjnym.Zasadniczoniepolegaononaistotnejreakcjinazakłócenie,niemniejjednakkoniecznejesturegulowanieszeregukwestiidwurodzajów.
Popierwsze,należyrozstrzygnąć,jakustalasiępomiarintensywnościzakłó-ceniaorazkto,wjakisposóbinajakiejpodstawiedecydujeorozpoczęciudziałaniabędącegoplanowąreakcjąorganizacjinazakłócenieoraz,analogicznie,decydujeozaprzestaniutegodziałania ipowrociedorutynowegowykonywaniazadań.Działanieorganizacji,będącewswejnaturzetolerowaniemzakłócenia,polegananieznacznymzmodyfikowaniulubchwilowymprzerwaniurutynowejpracy,oczymzazwyczaj trzebazawiadomićpracowników,klientów,kooperantówitp.–powi-nientoprzewidywaćstosownyscenariuszsytuacyjny.
Podrugie,ważnejest,abybiznesowaodpowiedzialnośćwobecpartnerów(klientów,pracownikówiusługodawców)byłazdefiniowanaiograniczonazgod-niezesformułowanąpolityką.Możetopolegaćna:
umieszczeniuwumowachklauzulowpływie„siływyższej”naodpowie-dzialnośćzaświadczoneusługi; wystandaryzowaniuwarunkówświadczeniausług(service level agreement),któreokreślajądopuszczalnypoziomniedostępnościusług(np.1godzinawciąguroku)czyakceptowalnerozwiązaniazastępcze; wyraźnymzdefiniowaniugranicwłasnychrozwiązańiodpowiedzialnościzanie(np.tylkodowęzładostępowegopublicznejsiecitelekomunikacyjnej); zastrzeżeniu prawamonitorowania lub nawet ingerencjiw rozwiązaniapartnerów; stopniowaniuzakresu,jakościicenyusługorazautomatycznymichogra-niczaniuwprzypadkuzakłócenia.
6.3. Tok postępowania analitycznego i projektowego 125
Wdrażanie przyjętego postępowania z zakłóceniami
Nawdrażaniepolitykipostępowaniazzakłóceniamiskładająsiętrzynurtyak-tywności:
powołanieformalnychstrukturorganizacyjnych, określenie zasad monitorowania zagrożeń i reagowania na zakłócenia,planówinwestycyjnychorazmodeliscenariuszyawarii, opracowanieregulaminów,proceduriinstrukcjiorazszczegółowychsce-nariuszypostępowaniawsytuacjizaistnieniazakłócenia.
Wkwestiistrukturorganizacyjnychdedykowanychdozarządzaniaproblema-tykąciągłościdziałanianależyuwzględnićdwiekwestie.Popierwszesygnalizowanyjużpodziałnasystematyczneprowadzenieczynnościprzygotowaniaiadministro-waniapolitykązapewnianiaciągłościdziałania(KoordynatorBCM)orazuaktyw-nianieKomitetuKryzysowegowmomenciezaistnieniakryzysu.Podrugienależyuwzględnićdoświadczenia teorii zarządzania ryzykiem idobrepraktykiniektó-rychbranż,np.bankowości.Wtymkontekściezakłóceniaciągłościdziałaniamoż-naodbieraćjakomaterializację,poczęściryzykabiznesowego,aprzedewszystkimryzykaoperacyjnego.Takiespojrzenieprowadzidopostrzeganiazagadnieniaciągłościdziałaniajakoelementuzarządzaniaoperacyjnegoodnoszonegoprzedewszystkimdodziałalnościkomórekpomocniczychorganizacji,azapewniającychkomórkombiznesowymwszelkiewarunkidodziałania:techniczne,organizacyjne,logistyczneiformalne.
Wdrażaniepolitykipostępowaniazzakłóceniaminależyoprzećnakilku,dalejscharakteryzowanych,zasadach.Popierwsze,ważnejestdążeniedowpełniświa-domegozarządzaniaproblematykąciągłościdziałaniaprzez:
identyfikacjęistotydziałaniaorganizacji, ustaleniegradacjiważnościfunkcjiiprocesów, ocenę determinacji zapewnienia ciągłości działania z uwzględnieniemczynnikakosztów, wyznaczeniegranicykompromisówcodosprawnościijakościdziałania.Podrugie,wposzukiwaniuwłaściwychrozwiązań,należydoceniaćśrodkipo-
zainżynierskie,bowiem: rozwiązaniatechnicznesąskomplikowane,najdroższe,anigdyniesąwpełniskuteczne (coniewyklucza sytuacji, że tylko rozwiązania techniczne sąwłaściwe), wmiejscerozwiązańtechnicznychrozsądniejjestposzukiwaćrozwiązańprawnychiorganizacyjnych.
Potrzecie,bardzoważnajestdbałośćoadekwatnośćrozwiązańdorealnych,bieżącychmożliwościorganizacji,kwalifikacjipracowników,elastycznościorgani-zacjipracy,możliwościmodyfikowaniadziałaniarozwiązańtechnicznych.Dlategoteżwobliczuzakłócenialepiejjestupraszczaćproblemijeślitomożliwerozsądnieiplanowoograniczyćdziałalność.
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 126
Poczwarte(wzwiązkuzpowyższymizasadami)wartodążyćdoprostotyrozwiązań,gdyż:
każdenowerozwiązanieniesienowezagrożenia, nowerozwiązania,zwłaszczatechniczne,sąrównieżzawodne, istniejezawszegroźbaniemożnościzrealizowaniaskomplikowanegoroz-wiązania.
Popiąte,należydoceniaćsiłęintelektualną,jakatkwiwinwencjiludzkiej,awtymcelupamiętać,że:
wybitni specjaliści są nieodzowni w rozwiązaniach nadzwyczajnych,zwłaszczajeślizakłócenieodbiegaodzaplanowanychscenariuszy, specjalistązostajesięprzezkumulacjędoświadczeńorazdziękiszkoleniom, problemyczęstopojawiająsięnastykutypowychspecjalnościiwymagająwiedzyonich, opróczspecjalistówwłasnychmogąbyćprzydatnikonsultancizewnętrzni.Wewdrażaniuważnejest,abystalepamiętać,żeposzczególnerozwiązania
politykipostępowaniazzakłóceniaminależywprowadzaćzarównodlacałejorga-nizacji,jakidlaposzczególnychoddziałówterenowych.Równocześnienależyrozważaćspojrzenienaposzczególneplanowanewydarzeniaidziałaniaorazdoku-mentyjeopisujące,zarównozperspektywycałejorganizacji,jakiposzczególnychkomórekorganizacyjnych,zidentyfikowanychwtokuanalizyprocesówbiznesowychjakozaangażowanewdanyproblem.Planowanescenariuszewydarzeńizacho-wańpowinnytakżeuwzględniaćwariantyzależneodporyzaistnieniazakłócenia.Wreszcienienależyzapominać,aniodkładaćjakomniejważnej,kwestiipowrotudosytuacjisprzedzaistnieniazakłócenia.
Testowanie planów zapewniania ciągłości działania
Scenariuszesytuacyjnesąwłaściwąpodstawądoorganizowaniatestowaniagoto-wościorganizacjidostawianiaczołazakłóceniom.Tezaśmogąbyćnaużytektestówodpowiednio symulowane, a nawet rozmyślniewywoływane. Testy [Kaszubski,Romańczuk,2012]sąelementemdoskonaleniarozwiązańciągłościdziałaniaidlategopowinnybyćplanowaneregularnieimożliwieczęsto.Testymająróżnycharakter:
zewzględunaprzyjętąstrategiętestowania; zewzględunaobiektpoddawanytestowaniu; zewzględunaprzyjętąmetodętestowania; wzależnościodosóbtestujących; zewzględunacel,wjakimsąprowadzone; zewzględunasposóbprzeprowadzenia.
6.3. Tok postępowania analitycznego i projektowego 127
Testowanieplanówzapewnianiaciągłościdziałaniazwiększapoczucie,żesąone[Myers,Sandler,Badgett,Thomas,2005; Skroban,2010]:
kompletne–sprawdzanajestzawartośćplanówidokonywanaweryfikacjakrokpokroku, dokładne–sprawdzanajestprawidłowośćproponowanegoplanu,wskazy-wanesąbraki, spójne–sprawdzanajestzgodnośćzregulacjamiiinnymiplanami, istotne–sprawdzanajestspójnośćzcałymsystememzarządzaniazapew-nianiemciągłościdziałania(BCMS), wykonywalne–sprawdzanajestmożliwośćwykorzystaniaplanówwsytuacjirzeczywistej, dającesięprzetestować.Dzięki testowaniu sprawdzane są samerozwiązania, ichadekwatnośćdo
sytuacji,ichkompletność,dostatecznośćposiadanychzasobów,rezerwikwalifikacji.Dodatkowotestowaniesłużywytrenowaniupracownikówikomórekorganizacyj-nychwstosowaniuzaplanowanychscenariuszyiposługiwaniusięrozwiązaniamiawaryjnymi.
Niemniejjednaknależyzachowywaćdużąostrożnośćztestamiwwarunkachrzeczywistychiprzeprowadzaćjetylko,gdyuzyskasiędobrewynikiwtestachsztabowych(„nasucho”)itestachfragmentarycznych.Wobliczuwątpliwościcodojakościprzygotowańdotestówlubplanutestulepiejtestodłożyć,niżryzyko-waćutratękontrolinadsytuacją.
Wramachdługofalowegoprogramutestównależyzczasemstopniowoprze-chodzićod:
testówfragmentarycznychdotestówkompleksowych, testówwwarunkachkreowanychdotestówwwarunkachrzeczywistych, testówwczasiewolnymodpracydotestówwtokuzwykłejpracy, testówzudziałemwybranychpracownikówdotestówzudziałemwszystkich.Ogromnieważnejest,abywplanowaniutestówpamiętać,żesamtestmoże
staćsięzakłóceniem,aszczególnieważnejestzaplanowanieizweryfikowaniezasadpowrotuodwarunkówwykreowanychnaużytektestówdowarunkówruty-nowejpracy.
Ciągłe doskonalenie
Fundamentem kultury organizacji jest stałe doskonalenie wcześniej opracowa-nych iwdrożonychrozwiązań,kwalifikacji iprzygotowaniapracownikówdowykonywaniazadań,poprawianiem i rozwijaniem.Jest to teżzasadawyraźniezapisanawnajnowszejgeneracjinormjakościseriiISO900Xirodzinnormzwią-zanychzbezpieczeństwemiciągłościądziałania.Dotyczyonawpełnizarządzaniazapewnianiemciągłościdziałania.
6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 128
KierującsiętakimpodejściemnależyustanowićKoordynatoraBCM,któregonajogólniejformułowanymzadaniemjestwłaśnieopracowywanieiciągłedosko-nalenierozwiązańsłużącychzapewnieniuciągłościdziałania.Równocześniepo-trzebne jest szerzenie kultury organizacyjnej w kierunku pełnej świadomościpracownikówcodopotrzebyzapewnianiaciągłościdziałaniaorganizacjiiumie-jętności poszczególnych pracowników postępowania w sytuacjach nadzwyczaj-nych. Prowadzą do tego szkolenia oraz bezpośredni udział w doskonaleniurozwiązań,planowaniuiprzeprowadzaniutestóworazsystematyczneanalizowa-nie adekwatności istniejących rozwiązań i dotąd przeprowadzonych testów dofaktyczniezaistniałychzakłóceń.
Idei tej służy szereg technik doskonalenia [Dahlgaard, Kristensen, Kanji,2004; Hamrol,2005]wsensieanalizyprzyczynniedostatecznejjakościorazwy-znaczaniadrógosiąganiarozwiązańlepszych.Bazątegodoskonaleniasąludzie,ichwiedzaizaangażowanie,któremożnakształtować,orazskutecznaorganiza-cja,którąmożnaustanawiaćirozwijać.
6.4. Ocena dojrzałości zarządzania zapewnianiem ciągłości działania Zarządzaniezapewnianiemciągłościdziałaniajestwciążmłodąkoncepcjąteoriizarządzania,mimotoposzukiwanesąjużwzorceocenytrafnościzarządzaniawtymzakresie.NajbardziejznanąjestmetodaBCMM52(tab.6.4).Wswejkoncepcjiprzypomina onamodel oceniania dojrzałości zarządzania ryzykiem [Zawiła--Niedźwiecki,2007a] opisany w podrozdziale2.6.
Tabela 6.4. Metoda oceny dojrzałości zarządzania zapewnianiem ciągłości działania
Poziom dojrzałości zarządzania zapewnianiem ciągłości działania
Zakres podstawowy Zakres zaawansowany
Przyzwolenie wysokiego
kierownictwa
Profesjonalne wsparcie
Zarządzanie Powszechny udział
Planowanie działań
Współ--działanie
Poziom 1 Intuicyjny Nie Nie Nie Nie Nie Nie
Poziom 2 Popierany Marginalne Częściowe Nie Nie Nie Nie
Poziom 3 Centralnie kierowany Częściowe Tak Częściowe Nie Nie Nie
Poziom 4 Świadomy Tak Tak Tak Tak Nie Nie
Poziom 5 Doskonalony Tak Tak Tak Tak Tak Nie
Poziom 6 Zintegrowany Tak Tak Tak Tak Tak Tak
Źródło: opracowanie własne na podstawie Virtual Corporation.
52 BCMM–BusinessContinuityMaturityModel,metodatazostałaopracowana przez amerykań-ską firmę Virtual Corporation, Inc.Zob.www.virtual-corp.net
6.4. Ocena dojrzałości zarządzania zapewnianiem ciągłości działania 129
Ideametodyjesttaka,żeprzedsiębiorstwo(organizacja)stopniowoosiągacorazwyższepoziomydojrzałości,wprowadzająctrwaleumocowanestrukturyor-ganizacyjne,określającroleuczestnikóworazzasadyiplandziałań.Równocześniemożliwajestutratajużosiągniętegopoziomudojrzałościwsytuacjach,gdywor-ganizacji dochodzi do głębokich zmian technologicznych, organizacyjnychlubwotoczeniu.Poziomydojrzałościoznaczają:
Poziom1.ProblematykaBCPniejestpostrzeganaprzeznajwyższekierow-nictwojakoznaczącaiwymagającacentralnegokierowania.Zajmująsiętymposzczególnekomórkiorganizacyjnewedługwłasnegorozeznaniaiwstop-niu,którysameuznajązasłuszny. Poziom2.StrategiczneznaczenieproblematykiBCPjestdostrzeganeprzezjednązkomórekorganizacyjnych.Worganizacjilubwśródwspierającychjądoradcówjestjakiśspecjalista,którymożewspieraćpracenadBCP.Naj-wyższekierownictwowiejuż,żejesttoproblempoważny,alejeszczenienadajemuodpowiedniegopriorytetu. Poziom3.NajbardziejzainteresowaneproblematykąkomórkiorganizacyjneprowadząwspólnedziałanianadprogramemBCP,niejesttojednakPlanBCPcałejfirmy.Najwyższekierownictwojestświadomepodejmowanychdziałań,sprzyjaim,ale jeszczeniejestzdolnedoustanowieniastruktur,zadańiPlanuBCP. Poziom4.Najwyższekierownictwojestświadomestrategicznegoznacze-niazarządzaniaBCP.PowstajestałebiurozarządzaniaproblematykąBCP.Pracujesięnadzintegrowanymirozwiązaniami,wspólnymiwcałejfirmie.Zidentyfikowanokrytyczneprocesyorazopracowanoplany ichochrony.Sąonetestowaneirutynowoaktualizowane. Poziom5.WszystkiekomórkiorganizacyjneprzetestowałypozytywnieplanyBCP,wtymzasadydokonywaniazmianwplanach.Najwyższekie-rownictwotakżeuczestniczyłowtestach.OpracowanokilkuletniprogramrozwojurozwiązańBCP. Poziom6.Wszystkiekomórkiorganizacyjneuzyskaływysokieocenyprzy-gotowaniaBCP.Testujesięwspółdziałaniekomórek.WszelkiezmianyfaktycznewprocesachbiznesowychsąbieżącośledzoneiadaptowanewplanachBCP.
Podsumowanie Każdaorganizacjagospodarczapowstajezmyśląookreślonejużyteczności.Ocze-kiwaniatewpierwszejkolejnościodnoszonesądorezultatówdziałaniaorganizacji,alerównieważnejest,abysamodziałaniebyłosprawne,awkonsekwencjirozsądnekosztowo.Zamierzeniemjestwięcutworzenieorganizacjiskutecznejiefektywnej.Wpraktycejednakjejdziałalnośćnapotykaprzeszkodywrealizacjizadańbizne-sowych.Sąoneczęściowopochodnąryzyka,któretowarzyszykonkurowaniulicz-nychnarynkupodmiotów,aodnosisiędoproduktów(usług)organizacjiorazjejklientówirelacjiznimi.Równocześnieczęśćprzeszkóddotykawewnętrznychrozwiązańorganizacjiijestpochodnąryzykaoperacyjnego.Zprzeszkodamitymiorganizacjamusiumiećsobieradzić.
Szczególnąkategorięzorganizowanegoreagowanianaryzykooperacyjnestanowizapewnianieciągłościdziałania.Problematykętęmożnapostrzegaćtakzperspektywytechnicznej,jakibiznesowejorazspołecznej.Wkażdejperspektywiemechanizmnaruszeniaciągłościdziałaniapozostajetakisam.Jegopraprzyczynąjeststanniepewności,jakąodznaczasięnaszarzeczywistość.Stądkażdedziałanieorganizacji i związaneznimdecyzje rodząryzykoprzejawiającesiępewnymizagrożeniami.Te,gdywregułachdziałanialubstrukturzeorganizacjinatrafiąnapodatności,przekształcająsięwkonkretnezakłócenia,któreprowadządopertur-bacjidziałalnościorganizacjiidookreślonychszkód.Całośćstanowiciągkonse-kwencjiryzykawdziałaniu.
Logicznąreakcjąorganizacjinazakłóceniajestbudowaniemechanizmuho-meostazy,opartejnamonitorowaniuzagrożeń,neutralizowaniuich,agdytosięnieuda,naprzywracaniustanusprzedzakłócenia,adotegoczasuzapewnianiuformdziałaniazastępczego.Postępowaniatakiejestwyrazemracjonalnegoreago-waniananieuniknioneryzyko,copowinnouwzględniaćzintegrowaniezapewnia-nia bezpieczeństwa jako prewencjiwobec zagrożeń oraz zapewniania ciągłościdziałaniajakoterapiiwobeczakłóceń(zob.rys.P.1).
131Podsumowanie
Rysunek P.1. Zintegrowane zarządzanie ryzykiem operacyjnym, zapewnianiem bezpieczeństwa i zapewnianiem ciągłości działania
Źródło: opracowanie własne.
Legenda do rysunku P.1.
TSM (total security management) – zintegrowane zarządzanie ryzykiem operacyjnym, bezpieczeń-stwem i ciągłością działania [Blim, Byczkowski, Zawiła-Niedźwiecki, 2005].
ISMS (information security management system) – zarządzanie zapewnianiem bezpieczeństwa infor-macji [ISO 27001:2007].
Opis w tej kolumnie na podsta-wie rysunku 4.2
Opis w tej kolumnie na podstawie [Byczkowski, Zawiła-Niedźwiecki, 2009])
Opis w tej kolumnie na podsta-wie rysunku 6.5.
R1 – identyfikacja ryzyka B1 – analiza potrzeb i rozwiązań C1 – wstępne rozpoznanie zadania
R2 – analiza i oszacowanie ryzyka B2 – określanie standardów wewnętrznych
C2 – przygotowanie projektu
R3 – monitorowanie ryzyka B3 – audytowanie przestrzega-nia standardów
C3 – analiza potrzeb i rozwiązań
R4 – manipulowanie ryzykiem B4 – wykrywanie prób naruszania bezpieczeństwa, powrót do analizy
C4 – projektowanie rozwiązań
R5 – planowanie doskonalenia C5 – wdrażanie rozwiązań
C6 – kontrola, po jej zakończe-niu powrót do fazy analizy
R1 R2 R3Zarządzanie ryzykiem operacyjnym
R4
TSM
w tym ISMS
R5
B4
B1
B3B2
C5 C6 C1
C3C4 C2
Zarządzanie zapewnianiem bezpieczeństwa
Zarządzanie zapewnianiem ciągłości działania
Ocena dojrzałości zarządzania ryzykiem
Ocena dojrzałości zarządzania zapewnianiem bezpieczeństwem
Ocena dojrzałości zarządzania zapewnianiem ciągłości działania
Podsumowanie 132
Szczegółoweprzeanalizowaniemechanizmutakiegopostępowaniabyłoprzed-miotembadańautora,którychrezultatyumożliwiłypowstanieniniejszejrozprawy.Oryginalnywkładautorskiobejmuje:
Zaproponowanie podejścia prowadzącego do kompleksowej klasyfikacjiujmującejetapyspełnianiasięryzykaorazspecyfikęposzczególnychbranżgospodarkiiaktywnościspołecznych(podrozdz.2.3).Wtensposóbwska-zanyzostałkierunekbadańnadzintegrowanymzarządzaniemryzykiem.Sporządzenietakiejklasyfikacjijestjeszczesprawąotwartą. Wskazanie triady problemowej „Ryzyko operacyjne – Bezpieczeństwo –Ciągłośćdziałania”jakopragmatycznegoujęciaistotywyzwańmenedżer-skichzwiązanychzezmiennością środowiskaprowadzeniadziałalnościgospodarczej, szczególnie będących pochodną postępującej globalizacjiorazrosnącejkonkurencjirynkowej(rozdz.1 i podrozdz.3.1). Zaproponowaniedefinicjiryzykaoperacyjnego,zmodyfikowanejwstosunkudoprzeważniespotykanejwersjiautorstwaKomitetuBazylejskiego(pod-rozdz.3.3). Zaproponowanie klasyfikacji rodzajów ryzyka operacyjnego opartej nakryteriachtypowychdlateoriiorganizacji(podrozdz.3.3). Przedstawienie zalet jakościowego analizowania ryzyka oraz kwalifika-tywnegoszacowaniawielkościryzykaoperacyjnego,jakouzupełniającegowobecszacowaniaadekwatnościkapitałowej(podrozdz.4.2).Ujęcieja-kościowejestprostsze,arównocześniezupełniewystarczającewramachsystematycznegowypracowywania rozwiązańorganizacyjnych zabezpie-czającychprzedprzejawamiryzyka. Zaproponowanieodnośniedomonitorowaniaryzykaczterowarstwowegopodejściauczącego,umocowanegownajnowszychkoncepcjachzarządza-niawiedzą. Zaproponowanie ipraktycznezweryfikowanieautorskiejmetodyanalizyryzyka/zagrożeńopartejnakolejnym: – identyfikowaniu,analizowaniuiszacowaniuryzyka/zagrożeńnazasadziewykorzystywaniaposzczególnychkategoriiautorskiejklasyfikacjiryzyka(opisanejwpodrozdz.3.3)jakokażdorazowychperspektywoceny; – dobieraniu rozwiązań zabezpieczających dla poszczególnych kategoriiryzyka/zagrożeńnaogólnieprzyjętychzasadach; – weryfikowaniukompletnościzabezpieczeńnapodstawieautorskodobra-negozestawuzasadzapewnianiabezpieczeństwazasobowego(opisanegow podrozdz.5.1); – projektowaniurozwiązańzapewnianiaciągłościdziałaniawgautorskiejmetodyopisanejwpodrozdziale6.3.Wykorzystywanesąkryteriaintensyw-nościryzyka,tj.siłyjegowpływuorazczęstościoddziaływania(rys.6.2).Wynikającez tegoczterygeneralnepostawywobeczagrożeńwyrażająekonomicznieuzasadnionereakcje,odprewencji,przezmonitorowanie,poplanowaniescenariuszyawaryjnych.
133Podsumowanie
Wnioski
1. Zarządzanieryzykiemoperacyjnymrozumianejakotriada„Ryzykoopera-cyjne–Bezpieczeństwo–Ciągłośćdziałania”jestkwintesencjązarządzania,podejmującwsamejswejistociekwestieskuteczności,sprawnościiefek-tywnościdziałaniaorganizatorskiego(rozdz.1 i podrozdz.3.1).
2. Zarządzaniezapewnianiemciągłościdziałaniajestczęściąnaukiozarządza-niuodocelowejroliiwartościanalogicznejdoznaczeniateoriiniezawod-nościwdziedzinienauk technicznych,utrwalonej jużwdziejachnauki(rys.1.1).
3. Zperspektywyspołecznejzarządzaniezapewnianiemciągłościdziałania,odnoszonedopojedynczejorganizacji,uzupełniateorięzarządzaniakryzy-sowegoprzypisanądoskaliregionalnejlubkrajowej(wstępdorozdz.5).
4. Zarządzaniezapewnianiemciągłościdziałaniajestrównocześnieprzeciw-działaniemryzykuoperacyjnemu.Pozostajeprzytymwzwiązkuzpozosta-łymiobszaramitakiegoprzeciwdziałania,tj.zarządzaniemzapewnianiembezpieczeństwemizarządzaniemjakością(rys.P.2).Ponieważryzykoope-racyjne jestwyrazemniedoskonałości organizacji, to zarządzanie za-pewnianiemciągłościdziałaniajestjednązdrógdoskonaleniaorganizacjiiwtymsensiewpisujesięwszerokierozumieniezarządzaniaprzezjakość.
5. Ryzykojestzwiązanezkażdymcelowymdziałaniemorganizacji,awynikaz ogólnej niepewności, jaka towarzyszy każdej działalności człowieka(podrozdz.2.1).Ryzykoprzejawiasięwzagrożeniach,zktórychjednakniewszystkiemająznaczeniedladanejorganizacji.Ustalenie,któreznichtakieznaczeniemają,opiera sięnaanalizieprocesóworazpodatnościorganizacji jako systemu działania i jej zasobów (podrozdz. 6.1 i 6.3).Analizatakasłużyopracowaniumapypotencjalnychzakłóceń,copozwalaograniczać działania prowadzone w ramach zarządzania ciągłością, doprzewidywalnychincydentów(zakłóceńoznanymcharakterzeiintensyw-ności,zachodzącychwrozpoznanychmiejscachisytuacjach).
6. Modelowereagowanienamożliwośćzaistnieniazakłóceńsprowadzasiędoczterechpostawreagowaniazwanych:tolerowaniem,monitorowaniem,zapobieganiemiplanowaniem(rys.6.2).
7. Zarządzaniezapewnianiemciągłościdziałaniajestprocesem,którywymagaprzypisaniadedykowanejstrukturyorganizacyjnej,określeniazasaddzia-łania,zadańiodpowiedzialnościorazprzydzieleniazasobów(rys.6.3).
8. Zarządzaniezapewnianiemciągłościdziałaniawymagastałegodoskonale-niarozwiązań,czegopowodemjestzmiennośćwewnętrznaorganizacji,jejprocesów i zasobóworaz zmiennośćotoczenia zewnętrznego i jegood-działywanianaorganizację.Ważnymelementem tegodoskonalenia jestsystematycznegromadzenieuporządkowanejwiedzyozjawiskachzagro-żeń,ozaistniałychzakłóceniach,awtymkontekścieocenastosowanychdotądidostępnychwprzyszłościrozwiązańzaradczych.Podobnieistotnejest ćwiczenie (testowanie) sprawności organizacji w rozwiązywaniu
Podsumowanie 134
sytuacjikrytycznychnadrodzesymulowaniasytuacjipojawieniasięzakłó-ceń(podrozdz.6.3).
Rysunek P.2. Związki Total Security Management z Total Quality Management
Źródło: [Zawiła-Niedźwiecki, 2008].
9. Postępowanieorganizatorskie,mającezapewnićciągłośćdziałania,odnosisiędonastępującychkwestii,którepowinnybyćuwzględnionebądźza-pewnione(podrozdz.6.1 i 6.3): gdydanezagrożeniewpływanasystemdziałanialubjegobezpośrednieotoczenie,asystemstajesiępodatnynato,mamydoczynieniazzakłó-ceniem,które: – jestskutkieminterakcjizagrożeniazsystememdziałanialubotocze-niemtegosystemu, – skutkujeistotnymizmianamiwobszarzedziałaniasystemu,
Zarządzanie organizacją
Zintegrowane zarządzanie przez jakość TQM (total quality management)
Zarządzanie ryzykiem działalności statutowej/biznesowej
Zintegrowane zarządzanie zapewnianiem bezpieczeństwa TSM (total security management)
Zarządzanie ryzykiem operacyjnym
Zarządzanie zapewnianiem ciągłości działania TSM-BCP (business continuity planning)
Zarządzanie zapewnianiem bezpieczeństwa osobowego
Zarządzanie zapewnianiem bezpieczeństwa fizycznego
Zarządzanie zapewnianiem bezpieczeństwa informacji TISM (total information security management)
Zarządzanie zapewnianiem bezpieczeństwa systemów
informatycznych
135Podsumowanie
– niepoddajesięocenieobiektywnej,asubiektywnadokonywanajestzperspektywysystemudziałania;
wdziałalnościorganizacjinależysięliczyćzmożliwościązaistnieniaza-kłóceń,któreuniemożliwiąnormalnekontynuowanietejdziałalności; niezależnieodcharakteruprzyczyntychwydarzeń,wramachformalnegolubpostrzeganegowkategoriachbiznesowychobowiązkudołożeniana-leżytej starannościwwypełnianiu swych zadań, organizacja powinnadążyćdochoćbyograniczonegokontynuowaniadziałalności; staranietakiepowinnoopieraćsięnauprzednioopracowanym,konse-kwentniedoskonalonymitestowanymplanieciągłościdziałania,zwanymteżniekiedy(alewwęższymznaczeniu)planemawaryjnym,tj.planemusunięciadysfunkcjonalności; zapewnianie ciągłości działania to przewidywanie scenariuszy poten-cjalnychzakłóceńorazrozdzielneprojektowanie: – rozwiązańzapobiegającychsamymzagrożeniom(główniezapewnia-jącychbezpieczeństwo), – rozwiązańsłużącychjaknajszybszemuusuwaniuskutkówzakłóceń, – rozwiązań kontynuowania ograniczonej działalności w warunkachkrytycznych;
podejściedoproblemuciągłościdziałaniapowinnobyćracjonalne,tzn.obliczone na zapewnienie równowagimiędzy oczekiwanym stopniempewnościzachowaniaciągłościdziałaniaakosztamijegouzyskania;ko-niecznejestwięctakżeprzyjęciezałożeniastopniowegorezygnowaniazkolejnychelementównormalnejdziałalnościstosowniedozidentyfiko-wanychrozmiarówsytuacjikrytycznej(niezawszemasens,zwłaszczaekonomiczny,uporczywestaranieoutrzymanieciągłościdziałania). planciągłościpowinienbyćnatyleelastyczny,abyumożliwiaładapta-tywnereagowanienazakłóceniaodbiegająceodprzewidywańbędącychpodstawąplanu; koniecznejestzdefiniowanieprocesowejistotydziałalnościdanejorgani-zacjijakominimumczynności,któremożnajeszczeuznaćzawypełnianieprzezniąjejobowiązków;niemożnośćkontynuowaniatakiegominimumczynnościjestpodstawądecyzjiorezygnacjizkorzystaniazrozwiązańzastępczychiskupieniusiętylkonausuwaniuskutkówzakłóceń; wramachprzygotowywaniaplanuciągłościrozważasięwpierwszymrzędzieaspektybiznesowe,prawneiorganizacyjne,boonedecydująokoniecznymzakresierozwiązańtechnicznych; analiza biznesowa dotyczyćmoże kwestii prestiżu firmy, a na pewnoswoistegobilansuryzykaorazśrodkówfinansowychprzeznaczonychnajegoograniczenie;rozsądnejestpotraktowanieplanuciągłościjakopro-cesustałegodoskonalenia,wktórymzałożonecelebędąosiąganestop-niowo, kolejnymi przybliżeniami (wersjami planu ciągłości działaniaangażującymistopniowanezokresunaokresnakłady);
Podsumowanie 136
analiza prawna jest szczególnieważna przy tworzeniu założeń planuciągłości,pozwalabowiemzdefiniowaćzakresodpowiedzialnościfirmyzaposzczególneobszaryjejdziałalności,wskazaćobszarynewralgiczneorazdobraćpozatechniczneformyzabezpieczeń; analizaorganizacyjnapozwalawyodrębnićkadręosóbwłaściwądlapo-sługiwaniasięplanemciągłościwwarunkachkrytycznych,przyznaćimodpowiednizakresautonomiidecyzyjnejwtakiejsytuacji,awwarun-kachcodziennychumożliwićprzygotowywaniesiędotakiejtrudnejroli; żadenzelementówanalizy,apodobnieiprojektowaniarozwiązańtech-nicznych,niejestetapemzamkniętym;doskonalenieplanuciągłościpo-legabowiemnastałymponawianiuanaliziprojektowaniurozwiązańwodniesieniudozmianwdziałalnościorganizacji,rozwojuplanucią-głościorazwnioskówzwystąpieniafaktycznychzakłóceń.
10. ZgodnieznormamiseriiISO2700X,ISO22301zarządzającdziałaniemorganizacji,należyopracowywać rozwiązania skuteczniezapewniającezachowanieciągłościtegodziałania(podrozdz.6.3).Przezanalogiędoorganizmówżywychrozwiązaniatakiemająstanowićozdolnościdoho-meostazytj.oceszeorganizacjipolegającejnauruchamianiuwłasnegowewnętrznegomechanizmuprzeciwdziałaniazakłóceniuwceluprzywró-ceniastanusprzedpojawieniasiętegozakłócenia.Skutecznośćrozwiązańantycypującychzakłóceniaiichadekwatnośćdofaktycznychzdarzeńpo-winnasięplasowaćpowyżejproguminimalnejakceptacjiprzezdecyden-tów,którzyocenydokonujązwyklewświetledwukryteriów: prestiżuorganizacji i stopnia jegopodważeniawwynikuzawieszenialubograniczeniadziałania; relacjikosztówrozwiązańzabezpieczającychdokosztówpotencjalnychstratiprzywracaniadziałanianaruszonegozakłóceniem.
11. Racjonalniepojmowanahomeostazasystemudziałaniaprowadzidoświa-domegookresowego(naczaswystępowaniaczynnikazakłócającegolubskutówzakłócenia)ograniczeniajakościdziałaniadopoziomuzawczasuustalonegowświetletakichwyznaczników,jak: utratanieusatysfakcjonowanegolubposzkodowanegoklienta; benchmarkingwobeckonkurentówlubnajlepszychpraktykrynkowych; solidnestandardywspółpracyzpartneramiiklientami,tzw.service level agreement.
12. Systematycznepostępowaniezzakłóceniamipoleganaokreśleniu: jakiezakłócenia(zagrożeniawinterakcjizsystememdziałania)podle-gająprzeciwdziałaniu,tj.sąobjęteproceduramizapobieganialubproce-duramizapewnianiaciągłości; jakieobiektyinfrastrukturytechnicznejobjętesąochronąprzedzagro-żeniami; jakieprocesybiznesoweobjętesąochronąprzedzagrożeniami;
137Podsumowanie
jakieprzepływyinformacjiobjętesąochronąprzedzagrożeniami; ktojestodpowiedzialnyzaprzywracanieciągłościdziałaniawsytuacjizaistnieniazakłócenia.
13. Ograniczeniejakościfunkcjonowanianiepowinnotrwaćdłużejaniżeliczaspotrzebnynausunięcieprzyczyniskutkówzakłócenia,przyczymniekiedytepierwszemogąustąpićsamoistnie,jeślitakijestcharakterzakłócenia.
Zagadnienia do dalszych badań
Niepewność – zdefiniowanie syntezy koncepcji właściwych dla różnych dyscyplin naukowych. Pojęcieniepewnościjestwróżnysposóbformułowanewramachtakichdyscyplinjak:filozofia,fizyka,astronomia,ekonomia,zarządza-nie.Pożytecznebyłobyprzeanalizowanietychinterpretacjiipokuszeniesięosfor-mułowanieujęciasyntetycznego.
Kompleksowe sklasyfikowanie ryzyka, cowpostaci propozycji kierunkubadańopisanowpodrozdziale2.3.
Identyfikacja ryzyka (zagrożeń) w zarządzaniu kryzysowym. Zagadnie-nie to stanowina razie lukęw teorii zarządzania kryzysowegow sensie brakumetodycznegopodejściadotegoproblemu.MateżdużepraktyczneznaczeniezuwaginawprowadzonewPolsceprawoobligującewszystkieszczebleadmini-stracjipublicznejdosystematycznegoprzeprowadzaniatakiejidentyfikacji.
Zapewnianie ciągłości działania w ujęciu zarządzania strategicznego. Ciągłośćdziałaniapostrzeganajestwdwuperspektywach.Perspektywęoperacyjnąopisanowniniejszejpracy.Natomiastwperspektywiestrategicznejciągłośćdzia-łaniamacharakterpostulatujakościisprawnościdziałaniaorganizacjiizarządza-nianiąwaspekciebliższymdyscyplinieekonomiiniżzarządzania.Kwestiatanaraziepostrzeganajesttylkointuicyjnie.
Zapewnianie ciągłości działania z perspektywy rynkowej. Naruszanieciągłościdziałaniapojedynczejorganizacjimożeoznaczaćkonsekwencjewykra-czającepozajejdziałalność,sięgająceinnychuczestnikówrynkuorazczęścispo-łeczeństwa.Obawaprzedtakimikonsekwencjamipotrafiskłonićdowspółpracykonkurentów53.
Zapewnianie ciągłości działania z perspektywy finansowej. Zagadnienieciągłościdziałaniamazwiązkizdziałalnościąfinansowąprzedsiębiorstwawkilkuaspektach,takichjak:
ochronaprzednadmiernymistratami, kosztyrozwiązańzapewnianiaciągłości, zapewnianiepłynnościfinansowejprzedsiębiorstwajakozabiegzapewnia-niaciągłościdziałania.
53 Zob.teoriakooperencji,np.w[Cygler,2009].
Podsumowanie 138
Związki zapewniania ciągłości działania z zarządzaniem kryzysowym. Zarządzaniekryzysowe(zasygnalizowanewewstępiedorozdz.5)rozwijasięjakoautonomicznadziedzinawiedzyipraktyki.Tymczasemnawetintuicyjnieoczywistesązwiązkiobuzagadnień,gdyżróżnijewłaściwietylkoskalaspołecznegooddzia-ływania,asynergięłatwosobiewyobrazićwprzypadkachkatastrofdotykającychrównocześniepojedyncząorganizacjęiszersząwspólnotęspołeczną.
Związki zapewniania ciągłości działania z zarządzaniem organizacją w kryzysie. Organizacja,któraznalazłasięwkryzysiedowolnejnatury,jestbardziejpodatnanaoddziaływaniezagrożeń,takżetychniezwiązanychbezpośredniozza-chodzącymkryzysem.Możnazałożyć, żepotrzeby takiejorganizacjiwzakresiezapewnianiaciągłościdziałaniasąwyraźniewiększeniżprzeciętne.
Związki zapewniania ciągłości działania z teorią niezawodności. Teorianiezawodnościjestrozwijanaodponadstulat,dotyczyonatechnicznychwytworówczłowieka.Zuwaginapewienzakresanalogiimiędzyzasadamidziałaniaurządzeńtechnicznychaorganizacjamijakorównieżwytworamiczłowieka,możnazakładaćprzydatnośćczęściustaleńteoriiniezawodnościdlateoriizarządzaniaryzykiemoperacyjnym, teorii zapewniania bezpieczeństwa i teorii zapewniania ciągłościdziałania.
Zapewnianie ciągłości działania w relacji do koncepcji organizacji cechu-jących się wysokim poziomem zmian. Jaknależypogodzićzapewnianieciągłościdziałaniazkoniecznościąciągłychzmianorganizacjibędącychreakcjąnazmianyotoczenia?Takiezmianyorganizacyjnezwiązanesązdziałaniamidestrukcyjnymi:najpierwosłabienieistniejącegostanu,jegozmiana,anastępniezastąpieniegonowymrozwiązaniem,którezkoleipowinnozostaćutrwalone.Jakdostosowaćjedokoncepcjizarządzaniazmianami,zarządzaniainnowacjami,organizacjizwin-nych,uczącychsię,awkońcudozarządzaniawiedzą?
Załącznik – Raport z badań
Ramy metodologiczneWnaukachspołecznychbadanianaukowedzieląsięnaprowadzone:wcelachpoznawczychoraznapotrzebypraktyki.Tepierwszezajmująsięproblemamimetodycznymi izmierzajądouogólnieńosiągnięćpoznawczych,tedrugiezaśmająrozwiązywaćkonkretneproblemycodziennegofunkcjonowaniaspołecznego[Grobler,2008].
Prowadzącbadaniapoznawcze,należydokładnieokreślićproblembadawczy,sformułowaćzałożeniametodyczne,przygotowaćprogrambadańizasadywnio-skowania,przyjednoczesnymzachowaniudbałościoobiektywizmnaukowy.Jesttoszczególnieistotnewprzypadkubadaniapodmiotówgospodarczychiadmini-stracyjnychodśrodka,kiedytoniesposóbnieuwzględniaćwpływubadanychpodmiotównabadacza.Wtakichprzypadkachstosuje się specyficznemetodybadawcze,dziękiktórymmożliwyjestwiększyobiektywizmbadań[Frankfort-Na-chmias,Nachmias,2001].
Problematykazapewnianiaciągłościdziałaniajestmałoprzebadana,nierozpo-znanojejpodwzględemkoncepcyjnym,apodwzględemempirycznymjejanalizaiopiszostałydokonanetylkoprzezpodmiotydoradczeorazpodmiotystandaryzu-jącezasadypostępowaniaorganizatorskiego.Biorąctopoduwagę,zastosowanokombinowanepodejściebadawcze.Wpierwszejczęścibadań,przyustalaniucha-rakterystykiproblemuciągłościdziałania,podstawowychprawidłowościprocesujejzapewnianiaorazzarządzaniatymprocesem,opartosięnakrytycznympodej-ściubadawczymiposłużonosięmetodamiCase-study i Action-research[Yin,1989; Chrostowski,2006].Natomiastwdrugiejczęścibadań,poświęconychweryfikacjipodstawowychzasadmetodykiprojektowaniarozwiązańzapewnianiaciągłościdziałania,przyjętorealistycznestanowiskobadawczeimetodęankietowegozbie-raniainformacjizpełnejpopulacjipolskiegosektorazakładówubezpieczeniowychorazdokonanoichocenymetodąwielokryterialnegomodeludojrzałościVirtual--corp[Zawiła-Niedźwiecki,2008].
Załącznik – Raport z badań 140
Równocześnietrzebapodkreślić,żeproblematykazapewnianiaciągłościdzia-łaniajesttrudnadowyodrębnieniaspośródelementówskładającychsięnaza-gadnieniazarządzaniaryzykiemoperacyjnymorazzapewnianiabezpieczeństwa.Wbadaniachnależałosięztympogodzić,tymbardziejżewpraktycezarządzaniapodmiotemgospodarującymprzenikaniesięposzczególnychzagadnieńbędącychprzedmiotemoddziaływaniazarządczegojesttypoweitrudnomówićozarządza-niuwybranymelementemdziałalnościprzedsiębiorstwawoderwaniuodinnychelementówtejdziałalności.Ograniczenietakiejesttypowedlaperspektywyonto-logicznejrealistycznegostanowiskabadawczegoioznaczaograniczeniepoznaniadojedyniepogłębieniawiedzyorealnymświeciespołecznymczygospodarczym[Kostera,2003].Wciążaktualnyniedostatekwiedzyibrakobszernychbadańem-pirycznychnadzapewnianiemciągłościdziałania,zwłaszczajakotechnikiograni-czaniaryzykaoperacyjnego,powoduje,żeniniejszapracamacharakterpoznawczyieksploracyjny.Perspektywaepistemologiczna[Sułkowski,2005]przyjętegostano-wiskabadawczegoprzechodziłastopniowoodsubiektywnegodefiniowaniawar-tościdoobiektywizmuzmodyfikowanego,cozwiązanejestzniemożnością–naobecnymetapiewiedzy–pełnegopoznaniakontekstu,specyfikiicechcharaktery-stycznychbadanejproblematyki.
Realistycznepodejściebadawcze,przyjętewdrugiej(końcowej)faziebadań,uznajemożliwośćbudowaniasyntezynaukowejnapodstawiebadańtakilościo-wych(kwantyfikatywnych),jakiopisowych(kwalifikatywnych)54.Ograniczonaliczbaanalizowanychwpierwszejfaziebadańpodmiotówispecyficznasytuacjabadawczazwiązanazobserwacjąrozwiązańdopierotworzonychwramachpro-jektów,wktórychuczestniczyłbadacz/obserwator,uzasadniawybórwymienionychmetod.Sąoneopartenadociekaniachempirycznychiprowadządobadaniauwzględ-niającegokontekstrzeczywistości,cooznaczatakżerozmytegranicemiędzybada-nymfenomenem(ciągłośćdziałania)ajegootoczeniem(ryzyko,bezpieczeństwo,jakość).Podejścietakiejestczęstostosowanewnaukachozarządzaniu[Tharenou,Donohue,Cooper,2007],zwłaszczagdyproblembadawczyjestmałozbadany,awiedzaonimjestograniczona.Dodatkowymargumentemzatakimpodejściemjestbrakmożliwościprzeprowadzeniaeksperymentunapodmiociebieżącodzia-łającym(gospodarującym)ipodlegającymstałejewolucjiozmiennejdynamice.
Wramachobumetodbadawczychwykorzystanoróżnemetodyzbieraniain-formacji–obserwacje,analizędokumentów,wywiady,badaniakwestionariuszowe,analizyiopracowania–jakouznanewświetleteoriiugruntowanej[Konecki,2000]. Choćzzasadytometodyilościowedajądokładnypomiarwybranychelementówbadania,tojednakwielezczynnikówrozpatrywanejproblematykiniepoddajesię
54 Wpolskiejliteraturzenaukowejifachowejpowszechnieużywasięokreślenia„metody/technikijakościowe”.Tymczasemniezawszejesttopoprawne,gdyżpodpojęciemtymumieszczasięzarównometodyopisowe,jakikwalifikatywne.Problemwziąłsięzpochopnegotłumaczenieangielskiegoter-minuqualitative,którym.in.tłumaczysięjako„jakościowy”,alerównież(to be qualified for sth)oznacza„kwalifikowaćsię(doczegoś)”,awięcdojakiegośprzedziałuwartości,cechlubocen,np.:niski-średni--wysokilubczerwony-zielony-niebieskilub1-2-5.Prawidłowejestwięcposługiwaniesięodrębnymiterminami:metodakwalifikatywnalubmetodaopisowa,lubmetodakwantyfikatywna(bądźilościowa)[Wołowski,Zawiła-Niedźwiecki,2012].
Metody badawcze 141
badaniutymimetodami.Wtakichprzypadkachmetodyopisowesprawiają,żecharakterystykaprzedmiotubadaństajesiępełniejsza.
Zastosowanemetodybadawczemająteżswoistewadyzwiązanezczynni-kieminterpretacjiobarczonejnaturalnymbalastemsubiektywizmubadacza,emo-cjonalnościprzekazuiniedostatecznejliczebnościpróbkibadawczej.Ograniczyćjemożnaanalizamiteoretycznymi,którezakreślająpoleinterpretacjiiwskazująkryteriaoceny.Jednakkwestiamałejliczebnościpróbkimożewpraktycebyćnie-rozwiązywalna.
Celempoznawczymprowadzonychbadańbyłopogłębieniewiedzyoistocieiorganizacyjnychwarunkachzapewnianiaciągłościdziałania.Szczególnieważnabyłaidentyfikacjatakichprzesłanektejproblematyki,jak:podatnościorganizacjinazagrożenia,rodzajezagrożeń,rodzajepodejśćdozapewnianiaciągłościdziała-niazwiązanezpodstawowymiczynnikamiryzyka.
Celemmetodycznymbyłowypracowaniepodejściabadawczegoadekwatnegodoprzesłanekzapewnianiaciągłościdziałania.Takiceljestuzasadnionybrakiemnaukowejliteraturypodejmującejtęproblematykę.Spotykasiętylkoopracowaniaporadnikoweautorstwamenedżerów,którzystaralisięintuicyjniezmierzyćzwy-zwaniemzapewnieniaciągłościdziałaniaorganizacjiwpodległym imobszarze.Dlategozagadnienie tonie jest rozpoznane, jeśli chodziometody inarzędziabadawcze.
Metody badawcze Wbadaniachwykorzystanodwiemetody:Action-researchorazCase-study.Posiłko-wanosiętakżetechnikamiankietowymi.MetodęAction-researchzastosowanozewzględunabrakpoczątkowejwiedzyoistocieprzedmiotubadań.MetodaCase-study stosowanabyławtrzechujęciach:eksploracyjnym(badanieindukcyjne)–rozpo-znanieproblemuopartenaniestandardowychnarzędziach(np.wywiadyswobodne),wyjaśniającym(badaniededukcyjne)–zbadanieprzyczynimechanizmubadanegozjawiska,opisowym–wodniesieniudokontekstupowstawaniazjawiska i jegorelacjizotoczeniem.
Metoda Action-research (badanie w trakcie działania)55
Rozumienieaction-researchwynikazeznaczeniasłów.Research(badanie)oznaczasystematyczniepodejmowanywysiłekwkierunkupoznaniadanegozjawiska, na-tomiast action(aktywnedziałanie)oznacza,żebadaniewymagabezpośredniegozaangażowaniajegouczestników.Dlategoaction-researchtoproces,wktórymba-daczewspólniezpraktykami(adresatamibadań),czyliludźmiwywodzącysięześrodowiska,wktórympostawionopytania,systematycznieposzukująodpowiedzi
55 Charakterystykametodyzostałaopartana[Chrostowski,2006].
Załącznik – Raport z badań 142
nanurtująceichproblemy.Uniwersalnadefinicjato–Action-researchjestdemokra-tycznymprocesemmającymnaceluzdobyciewiedzypraktycznej.Maonzazadaniepołączyćakcjeirefleksje,teorięipraktykę,przezdziałaniezinnymi,wprocesieposzukiwaniarozwiązańproblemówodużejdlaludziwadzeorazposzukiwaniemożliwościrozwojuosóbindywidualnychicałychspołeczności”[Reason,Brad-bury,2001].
Pionierzyaction-researchpowiązalipomysłbadaniawtrakciedziałaniazwy-konywaniemeksperymentów.Początkowodotyczyłotobadańterenowych,anielaboratoryjnych.Wymagano,żebyeksperymenttypuaction-researchwyrażałteorięw taki sposób,by rezultatyeksperymentumogłyponowniebyćbezpośrednimodniesieniemdoteorii.Pomysłaction-researchpoczątkowowyłoniłsięzprzypusz-czenia,żeteoriamożebyćbezpośredniowyrażonawdziałaniu.Wprawdzieoba-wianosię,żeuczestnictwowdziałaniuusytuujebadaczajednoznaczniepostroniepraktyki,takżeutracionzdolnośćuczestniczeniawdyskursieteoretycznym,alezczasemobawyterozwiałysię.Przyczyniłsiędotegofakt,żebadaczeteoretycy,zbierającdoświadczeniapraktyczne,jednocześnieaktywnieuczestniczyliwżyciuakademickim.Okazałosię,żemożnapostrzegaćianalizowaćrzeczywistość,nieograniczającsiędojednegopunktuwidzenia–zazwyczajbadaczpotrafibyćjed-nocześnieiteoretykiem,ipraktykiem.Zczasemdyskusjebadaczazpraktykamiprzesunęłysięnapierwszyplanbadaniaistałysiępunktemwyjściadoformułowa-niakryteriówocenycałościprac.Sprawiłoto,iżujawniłsiępodwójnycelbadaniaaction-research.Popierwsze,zdobycieużytecznegozasobuwiedzywynikającegozbadań,apodrugie,zrozumienieprzezludzizaangażowanychwbadaniesytuacji,wktórejsięznajdują,cowprzyszłościmiałobyimułatwiaćrozwiązywaniewła-snychproblemów.Czylidodatkowymcelemaction-research jestprocesuświada-miania[Morgan,2001].
Zasady action-researchto[Argyris,Putnam,Smith,1985]: prowadzeniezmian(eksperymentów)narzeczywistych,konkretnychproblemachwsystemachspołecznych(np.winstytucjach)zintencjąichpozytywnegorozwiązania; zwykle,podobnie jakwdoradztwieorganizacyjnym,stosowaniecyklu:identyfikacjaproblemu,planowanie,działanieioceny; wprowadzaniezmianwprojekcietypuaction-research,którezregułyprzy-czyniasiędoreedukacjijegouczestników,zmuszającichdopostrzeganiawinnejperspektywiedotychczasowychnormiwartościorazzmiansche-matówmyślenia;efektywnareedukacjazależyodzaangażowanegouczest-nictwapraktykówwdiagnozie,planowaniuiwdrażaniu; wyzwanieistniejącemustatus quowdanymsystemieczydanejorganizacji; wzbogacaniewiedzy,zarównownaukachspołecznych,jakiwpraktyce,polegającenaustanowieniuwysokichstandardówrozwojuteoriiorazem-pirycznietestowanychpropozycjidlapraktyki.
Metodaaction-researchjestciągledoskonalona,obecniegłównynaciskkła-dziesięnakolektywne,systematyczneposzukiwanierozwiązań.Ważnąkwestią
Metody badawcze 143
jestzaktywizowaniewszystkichuczestnikówwceluznalezieniarozwiązaniapro-blemu i zmobilizowanie ichdowspółpracyw ramachwspólnie akceptowanychnorm.Istotnącechąaction-researchjestzdobywaniewiedzy,opartejprzedewszyst-kimnazmianachidokonywanychanalizach.
Metodadaje„adresatom”możliwośćuczestniczeniawkształtowaniuwynikubadania,zwiększającjednocześnieichodpowiedzialnośćorazsatysfakcję,atakżewpływnarealizacjęzamierzonegocelu.Samprocesbadaniawyglądanajczęściejnastępująco:badaczi„adresaci”definiująproblem,którymabyćpoddanybada-niu,gromadząinformacjęonim,ucząsiętechnikbadawczychiwprowadzająjewżycie.Następnieinterpretująefektyswojejdziałalnościnapodstawietego,czegosięnauczyli.Metodaaction-researchopierasięnawiedzy,doświadczeniuiprowa-dzonajestwsposóbschematyczny:plan–działanie–refleksja.Procesjestnatyleuporządkowany,bymożnabyłokoordynowaćcałąpracę.Wszystkiestronyuczest-niczącewbadaniumająwpływnatreśćpytańbadawczych.Najczęściejcelem,dojakiegozmierzaaction-research, jestwprowadzeniezmiany społecznej (w tymorganizacyjnej).Wynikibadaniapowinnybyćużytecznedlamiejscowychpartnerówwuzyskiwaniuprzeznichcorazwiększejkontrolinadichwłasnympołożeniemorazpolepszaniemistniejącejsytuacjiprzezzmobilizowaniezróżnicowanychza-sobów[Greenwood,Levin,1998].
Metoda case study (czyli metoda studium przypadku)56
Metodacase-studypozwalauchwycićcałościowerelacjewobrębiedanejjednostkibadania(organizacji),atakżejejrelacjezotoczeniem.Stosowanietejmetodyjestwskazane,gdyzadawanesąpytaniabadawczetypuopisowego,np.dlaczegoijakcośsiędzieje?Ponadtojestonastosowana,gdybadaczmaograniczonąkontrolęnadwydarzeniami,któresąprzedmiotemjegozainteresowania,orazgdyzamierzabadaćzjawiskazachodząceaktualniewpewnejrelacjizotoczeniem.Zewzględunaholistycznepodejściemetodatapozwalanazarejestrowanieznaczącychcechzjawiskaicechwarunkującegojegokształtotoczenia.Należyjednakpamiętać,żewwypadkumetodopisowychtrzebadbaćorealnośćopisywanejrzeczywistości,gdyżmetodytenarażonesąnadwarodzajebłędów[Konecki,2000].Popierwsze,nakreowanierzeczywistościprzezbadacza,cozzałożenia jestnieuniknionezewzględunawchodzeniewbliskieinterakcjebadaczazrespondentami,jednakjakoczynnikuświadomionymożezostaćzminimalizowanelubzobiektywizowane.Drugakwestiasprowadzasiędosubiektywizacjidanych,możesiębowiemzdarzyć,żebadaczprzykładaswójkontekstinterpretacyjnydobadanejrzeczywistości,którawtenkontekstsięniewpisuje.Wsytuacjikiedybadaczpochodziztegosamegoobszarukulturowegocobadany(respondent),toproblemjestjednakznikomy.
Postępowanieempirycznewprzypadkudanegoprojektucharakteryzujewielośćużywanych technik badawczych orazwielość źródeł, z których są pozyskiwane
56 Charakterystykametodyzostałaopartana[Yin,1989].
Załącznik – Raport z badań 144
dane.Wtrakcieanalizypotrzebnajesttriangulacja57metodologicznaitriangulacjadanych,pozwalająceuzyskaćwiarygodnewyniki.Analizaempirycznapoprzedzonajestanaliząteoretyczną,któradostarczawskazówekdlaprocesuzbieraniadanychiichpóźniejszejanalizy.Generalizacjeprowadzonewramachmetodycase-study sąanalityczne,wprzeciwieństwiedogeneralizacjistatystycznej,wktórejwynikibadania(wpostaciilościowej)uogólnianesąnapopulacjęidotycząrozpowszech-nienialubczęstościwystępowaniadanegozjawiska.Generalizacjaanalitycznapo-leganaprzeniesieniuwynikówbadanianateorię(uogólnienieteoretyczne).Wtymsensieposzczególneprzypadkisądobieranedobadaniawsposóbcelowy,nazasa-dziequasi-eksperymentalnej,toznaczytak,bypozwalałynazbadanieiopisdanegozjawiska/zależności.
Projektbadaniaprzygotowywanyjestzdwupespektyw,tj.zarównoholistic case-study,gdzieuwagępoświęcasiępojedynczejjednostce,jakimultiple case-study,czyliwielokrotnegostudiumprzypadku.Dobórprzypadkówwtymostatnimcha-rakteryzujelogikaeksperymentu–napodstawieteoriidobieranesątakieprzypadki,któremogąjąpotwierdzićlubobalić.Oznaczato,żeramyteoretycznemusząbyćdopracowanedotegostopnia,żebędąwstaniepodaćprzewidywaniawarunków,wktórychdanezjawiskomożesiępojawić(replikacjadosłowna)orazwktórychdanezjawiskoniemaracjibytu(replikacjateoretyczna).Podobniejakwbadaniutypueksperymentalnego,odmiennośćzaobserwowanychrelacjiodtychprzewidy-wanychwedługteoriiskutkujekoniecznościąmodyfikacjiteorii(przyzałożeniużeprzeprowadzonebadaniejesttrafneirzetelne).Prócztypologiikierującejsiękry-teriumilościbadanychprzypadkówianalizowanychjednostek,stosujesiętypologięopartąnakryteriumcelupostępowaniaempirycznego,dzielącstudiaprzypadkówna:eksploracyjne,wyjaśniająceideskryptywno-teoretyczne.
Opis badańBadaniaprowadzonodwuetapowo.Wpierwszym,któregocelembyłowypraco-wanienapodstawierzeczywistychprzedsięwzięćprojektowychmetodykiprojek-towaniarozwiązańzapewnianiaciągłościdziałania(nazwanejpotemTSM-BCP,tj.total security management – business continuity planning),zastosowanopodejściebadawczebazującenametodzie case-study, adodatkowo, zuwaginaznaczącyudziałtechnikiobserwacjiuczestniczącej,posiłkowanosięregułamimetodyaction research.Drugietapbadańmiałposłużyćweryfikacjiustaleńzpierwszegoetapu.Wykorzystanotutechnikęankietowązpytaniamiotwartymiizamkniętymi.
Badaniaprzeprowadzonewramachrozprawynależądodeskryptywno-teo-retycznych. Przed przystąpieniem do drugiego etapu badań opracowany zostałhipotetycznyopisteoretycznyzjawiska.Przebadanezjawiskaopisanozuwzględ-
57 Triangulacja–więcejniżjedensposóbkorzystaniazmetodbadawczychorazzbieraniadanychwramachjednolitegoplanubadawczegowceluprzetestowaniatejsamejhipotezy.Zob.[Frankfort--Nachmias,Nachmias,2001].
Opis badań 145
nieniemszerokiegokontekstu,anastępnieporównanozesobąorazzmodelemteoretycznym.
Opisowepodejściebadawczewybranezostałozrozmysłem.Celembadanianiebyłostwierdzenie,na ilepowszechne jestdanezjawisko, jakirozkładcechymożnaobserwowaćwpopulacji,anistwierdzenie,czyistniejezwiązekmiędzynp.wielkościąfirmya jej polityką zarządzania ryzykiem,bezpieczeństwemczyciągłościądziałania.Obiektemzainteresowańbył samproces zarządzania ryzy-kiemoperacyjnym,stanowiącyo funkcjonowaniuorganizacji.Technikiwybranedozbieraniadanychtoanalizadokumentów(przepisów,norm,dokumentacjipro-jektowejorazdokumentówfirmowych,takichjak:regulaminy,procedury,umowy,zarządzenia)iobserwacjauczestnicząca(udziałwspotkaniachstronprojektu,na-radachprojektowychiwsamymprojektowaniu).
Wśródczynnikówistotnychdlaanalizyproblematykizapewnianiaciągłościdziałaniaznalazłysiętakie,jak:otoczenieprawne,społeczne,środowiskoweiin-stytucjonalne organizacji, organizacjawewnętrzna, świadomość ryzyka i formyorganizacyjnezajmowaniasięnimorazcharakteruwarunkowańprawnychizwy-czajowych,któreregulujądziałaniapodejmowaneprzezorganizacjęwsytuacjachpojawianiasięzakłóceń.
Wdrugimetapie,zewzględunaistnienieopracowanegowzorcateoretycz-nego,analizęopartowpierwszejkolejnościnakategoriachwyłonionychzanalizteoretycznych(podejściededukcyjne).Niskastandaryzacjanarzędziabadawczegoumożliwiłapozyskaniemateriałuwychodzącegopozaprzewidywanewmodeluteoretycznymzależności,stądczęśćdanychwpostępowaniuempirycznymoceniononazasadziewyłonieniaichkategoriinapodstawieanalizy(podejścieindukcyjne).
BadaneprojektyzostałyscharakteryzowanewtabeliZ.2. Projektyułożyłysięwtrzyfazybadań.Wpierwszejfazie,bazującnadoświad-
czeniumenedżerskimautorazwiązanymzwieloletniąpracąwośrodkachkompu-terowych kilku znaczących firm oraz zarządzaniem czterema z nich, przyjętozałożeniadotycząceprocesuwprowadzaniakompleksowychrozwiązańzapew-nianiaciągłościdziałaniaiwtokukilkuprojektówdoprecyzowanoje.Projektytebyłyprowadzonedlanastępującychcelówcząstkowych:
ustaleniestanufaktycznegozapewnianiaciągłościdziałaniaorazjegozgod-nościzmetodologią, określenieiocenapracwcześniejprzeprowadzonych, opracowanierekomendacji, opracowanieharmonogramudziałańdot.ewentualnychmodyfikacji, zaproponowanieprogramuszkoleń
orazwpodzialenatrzyetapywykonawcze.Pierwszyztychetapówsłużyłrealizacjitrzechpierwszychcelów,drugietaprealizacjisłużyłcelompozostałym,awtrze-cimetapiedokonywanopodsumowaniaprojektu,abyjegobeneficjentmógłdalejsamodzielniepowtarzaćpracekontrolne,analityczne,projektowe,wdrożenioweitestowe,poświęconerozwijaniurozwiązańzapewnianiaciągłościdziałania.Do-datkowopowinienbyćonwkażdejchwiligotowydozastosowaniatychrozwiązańnawypadekwystąpieniasytuacjikrytycznej.
Załącznik – Raport z badań 146
Tabe
la Z
.1. P
rojek
ty p
odda
ne b
adan
iu
Faza
ba
dań
Orga
niza
cja
Okre
sTe
mat
yka
proj
ektu
Ro
la a
utor
aCh
arak
ter p
roje
ktu,
oce
na d
ojrz
ałoś
ci w
g m
odel
u BC
MM
or
az ro
dzaj
e w
prow
adzo
nych
rozw
iąza
ńRo
dzaj
e op
raco
wan
ych
doku
men
tów
1. Opracowywanie pierwszego modelu metodyki zapewniania ciągłości
Giełd
a Pa
pier
ów
War
tośc
iow
ych
w W
arsz
awie
SA
1994
–19
99
Plan
zape
wnian
ia ci
ągło
ści d
ziała
-ni
a
Kier
owni
k pro
cesu
po
stro
nie
klien
ta (
pro-
jekt w
ykon
ywan
y prz
ez
zagr
anicz
ną fi
rmę
do-
radc
zą, n
astę
pnie
we-
wnę
trzni
e cy
klicz
nie
rozw
ijany
)
Char
akte
r (da
lej C
). Pr
oblem
atyk
a be
zpiec
zeńs
twa
i ciąg
łośc
i dzia
łani
a by
ły tr
akto
wan
e łą
czni
e; n
ie ro
zróż
nian
o te
rmi-
nolo
gicz
nie
ryzy
ka, z
agro
żeń
i zak
łóce
ń; w
iększ
ość
dział
ań b
yła
prow
adzo
na in
tuic
yjnie,
opi
eran
o się
na
mod
nej w
ów-
czas
met
odzie
Woo
dsa*
def
inio
wan
ia po
lityki
bezp
iecze
ństw
a or
gani
zacj
i, z d
zisiej
szej
pers
pekt
ywy
zbyt
szc
zegó
łow
ej i m
iesza
jące
j kw
estie
stra
tegi
czne
z o
pera
cyjn
ymi.
Oba
zaga
dnien
ia ko
jarz
ono
wyłą
czni
e ze
spr
awno
ścią
i niez
awod
-no
ścią
syst
emów
info
rmat
yczn
ych.
Plan
y pr
zygo
tow
ywan
e by
ły w
pio
nie
info
rmat
yki,
audy
t nad
test
ami s
praw
ował
a ko
mór
ka k
ontro
li wew
nętrz
nej,
a za
rząd
zani
e w
syt
uacj
i kry
zysu
prz
ewid
ziane
był
o w
kom
pete
ncja
ch za
rząd
u sp
ółki.
Stop
ień
dojrz
ałoś
ci (d
alej D
): Ni
e fu
nkcj
onow
ały
wów
czas
mod
ele te
go ty
pu, z
póź
niejs
zej p
ersp
ekty
wy
moż
na o
ceni
ć po
ziom
doj
rzał
ości
jako
naj
wyż
ej dr
ugi (
wg
tab.
6.4
).
Rozw
iąza
nia
(dale
j R).
Polity
ka b
ezpi
ecze
ństw
a in
form
atyc
zneg
o
Com
iesięc
zne
audy
ty b
ezpi
ecze
ństw
a, w
tym
ciąg
łośc
i us
ług
info
rmat
yczn
ych
(aud
ytor
zew
nętrz
ny)
Proc
edur
y dz
iałan
ia op
erac
yjneg
o
Rozw
iązan
ia za
pew
nian
ia ci
ągło
ści d
ziała
nia
Scen
ariu
sze
post
ępow
ania
w p
rzyp
adku
typ
owyc
h za
kłóce
ń
Scen
ariu
sze
okre
sow
o po
wta
rzan
ych
test
ów
Info
rmat
yczn
e dz
iennik
i zda
rzeń
i w
yjaśn
ienia
do n
ich
1998
–19
99Pr
oblem
roku
20
00 (t
zw. Y
2K)
Kier
owni
k pr
ojek
tu
wew
nętrz
nego
C. P
rzep
row
adzo
no s
zcze
góło
we
bada
nie
doku
men
tacj
i i s
yste
mów
info
rmat
yczn
ych
oraz
opr
acow
ano
rapo
rt pr
zed-
staw
iając
y ro
dzaj
e ry
zyka
zw
iązan
e ze
spo
soba
mi z
apisu
dat
w s
yste
mac
h in
form
atyc
znyc
h or
az r
ekom
endo
wan
e dz
iałan
ia ko
rygu
jące
. Nas
tępn
ie pr
zygo
tow
ano
i prz
epro
wad
zono
pro
jekt d
osto
sow
ania
syst
emów
info
rmat
yczn
ych
do
praw
idło
weg
o in
terp
reto
wan
ia da
t ora
z wye
gzek
wow
ano
od d
osta
wcó
w o
prog
ram
owan
ia na
rzęd
ziow
ego
analo
gicz
ne
zmian
y. Op
raco
wan
o ta
kże
scen
ariu
sz p
ostę
pow
ania
w ra
mac
h pl
anu
ciąg
łośc
i dzia
łani
a na
wyp
adek
, gdy
by je
dnak
nie
zadz
iałał
pra
wid
łow
o jed
en z
syst
emów
Gieł
dy lu
b sy
stem
ów p
odm
iotó
w w
spół
prac
ując
ych.
Pro
jekt z
osta
ł zak
ończ
ony
jeszc
ze w
199
9 r.
Zost
ał u
znan
y prz
ez ó
wcz
esną
Kom
isję P
apier
ów W
arto
ścio
wyc
h i G
iełd
za w
zorc
owy d
la po
dobn
ych
proj
ektó
w, d
o kt
óryc
h zo
stał
y zo
blig
owan
e po
dmio
ty n
adzo
row
ane
prze
z Ko
misj
ę. P
onad
to z
osta
ł zap
reze
ntow
any
Prez
yden
tow
i RP
oraz
Pre
zeso
wi N
BP c
elem
zob
razo
wan
ia pr
oblem
u Y2
K or
az w
łaśc
iwej
drog
i prz
ygot
owan
ia się
do
nieg
o.
W w
yniku
tych
pro
jektó
w s
form
ułow
ano
podz
iał n
a cz
tery
pod
ejścia
w za
pew
nianiu
ciąg
łośc
i dzia
łania
(zob
. rys
. 6.2
) wyw
odzo
ne z
dwu
pods
taw
owyc
h sk
ładnik
ów o
ceny
ryzy
ka o
raz w
zorc
ową
listę
zagr
ożeń
(zob
. tab
. 6.1
).
* Tahistorycznieważna,alemerytoryczniejużprzebrzmiałapozycjatoWoodsCh.E
ffect
ive
Info
rmat
ion
Secu
rity
Man
agem
ent,
Else
vier
Adv
ance
d Te
chno
logy,
Oxford1991.
Opis badań 147
Faza
ba
dań
Orga
niza
cja
Okre
sTe
mat
yka
proj
ektu
Ro
la a
utor
aCh
arak
ter p
roje
ktu,
oce
na d
ojrz
ałoś
ci w
g m
odel
u BC
MM
or
az ro
dzaj
e w
prow
adzo
nych
rozw
iąza
ńRo
dzaj
e op
raco
wan
ych
doku
men
tów
Tow
arzy
stw
o Ub
ezpi
ecze
niow
e Po
lisa
SA19
99Pr
oblem
roku
20
00Ki
erow
nik
proj
ektu
st
rony
usłu
gow
ej
C. P
rzep
row
adzo
no s
zcze
góło
we
bada
nie
doku
men
tacj
i i s
yste
mów
info
rmat
yczn
ych
oraz
opr
acow
ano
rapo
rt pr
zed-
staw
iając
y ro
dzaj
e ry
zyka
zw
iązan
e ze
spo
soba
mi z
apisu
dat
w s
yste
mac
h in
form
atyc
znyc
h or
az r
ekom
endo
wan
e dz
iałan
ia ko
rygu
jące
. W ty
m o
kres
ie ro
zpoc
zął s
ię pr
oces
upa
dłoś
ci fi
rmy
i nie
podj
ęto
żadn
ych
dział
ań n
apra
wcz
ych,
co
miał
o og
rom
ne zn
acze
nie
bada
wcz
e, g
dyż u
moż
liwiło
po
1.01
.200
0 r.
doko
nani
e po
rów
nani
a us
taleń
rapo
rtu z
rze-
czyw
istym
i wyd
arze
niam
i. Pr
zew
idyw
ania
rapo
rtu w
dra
mat
yczn
y dl
a fir
my
spos
ób w
pełn
i się
potw
ierdz
iły. B
yły je
d-ny
m z
niel
iczn
ych
w p
olsk
iej g
ospo
darc
e pr
zypa
dków
dow
odzą
cych
rzec
zyw
istej
potrz
eby
prze
prow
adze
nia
dział
ań
kory
gują
cych
w za
kres
ie pr
oblem
u Y2
K.
Grup
a Pa
ribas
w
Pol
sce
(Fun
d Se
rvic
es
Sp. z
o.o
.,PT
E Po
cztyl
ion S
A,TU
Car
dif
Polsk
a SA
)
1999
Prob
lem ro
ku
2000
Kier
owni
k pr
ojek
tu
wew
nętrz
nego
C. P
rojek
t był
częś
cią
proj
ektu
duż
ej eu
rope
jskiej
kor
pora
cji,
w p
rzew
ażaj
ącej
częś
ci b
ył pr
zepr
owad
zany
zdaln
ie pr
zez
służb
y inf
orm
atyc
zne c
entra
li kor
pora
cji. W
ram
ach
bada
nia o
bser
wow
ano
pode
jście
met
odyc
zne c
entra
li. Ni
e było
one
op
arte
na
szer
szym
pod
ejści
u te
oret
yczn
ym. B
azow
ano
na ty
pow
ym d
ośw
iadcz
eniu
sta
rszy
ch w
iekiem
pro
gram
istów
i s
yste
mat
yczn
ie w
yław
iano
pote
ncja
lne
źród
ła b
łędów
. Plan
ciąg
łośc
i w o
ddzia
le w
Pol
sce
zakła
dał n
adzw
ycza
jne
dyżu
ry i
prac
ę po
d zd
alnym
nad
zore
m c
entra
li kor
pora
cji.
Nie
zaist
niał
y ża
dne
zdar
zeni
a kr
ytyc
zne.
2000
Polity
ka
bezp
iecze
ństw
aKi
erow
nik
proj
ektu
w
ewnę
trzne
go
C. O
gran
iczo
ny z
rac
ji ni
edaw
nego
pow
stan
ia fir
my
i jej
niew
ielkie
go ro
zmiar
u, g
łów
nie a
naliz
a zag
roże
ń. C
o w
ięcej,
św
iadom
ość
zagr
ożeń
w p
olsk
ich
firm
ach
korp
orac
ji by
ła
znac
znie
wyż
sza
niż w
cen
trali.
Na ty
m tl
e do
szło
naw
et d
o ko
nflik
tu ko
mpe
tenc
yjneg
o, kt
óry b
ył w
yjaśn
iany p
rzez
spe-
cjaln
ą in
spek
cję
kom
órki
kont
roli
z ce
ntra
li ko
rpor
acji.
In-
spek
cja
ta b
yła n
a ty
le rz
eteln
a, ż
e w
jej k
onklu
zji z
nalaz
ła
się re
kom
enda
cja
pow
ielen
ia po
lskieg
o ro
związ
ania
w fi
r-m
ach
korp
orac
ji w
inny
ch k
raja
ch.
Proje
kt sa
mej
polity
ki be
zpiec
zeńs
twa
był o
party
na
meto
dyce
TI
SM, e
lemen
ty za
pew
nian
ia ci
ągło
ści p
owiel
ały
konc
epcj
e zr
ealiz
owan
e wcz
eśnie
j dla
Giełd
y Pap
ierów
War
tośc
iow
ych.
D. N
ie fu
nkcj
onow
ały
wów
czas
mod
ele te
go ty
pu, z
póź
-ni
ejsze
j per
spek
tyw
y m
ożna
oce
nić
pozio
m d
ojrz
ałoś
ci ja
ko
najw
yżej
drug
i (w
g ta
b. 6
.4).
R.
Polity
ka b
ezpi
ecze
ństw
a in
form
atyc
zneg
o
Okre
sow
e au
dyty
bez
piec
zeńs
twa,
nie
częś
ciej
niż
raz
na k
war
tał (
audy
tor z
cen
trali k
orpo
racj
i)
Proc
edur
y dz
iałan
ia op
erac
yjneg
o
Rozw
iązan
ia za
pew
nian
ia ci
ągło
ści d
ziała
nia
Testo
wanie
opr
ogra
mow
ania
po ka
żdej
zmian
ie w
spec
jal-
nym
śro
dow
isku
bliźn
iaczy
m u
trzym
ywan
ym w
ośr
odku
ko
mpu
tero
wym
w c
entra
li kor
pora
cji
Scen
ariu
sze
post
ępow
ania
w p
rzyp
adku
typ
owyc
h za
kłóce
ń
Info
rmat
yczn
e dz
iennik
i zda
rzeń
i w
yjaśn
ienia
do n
ich
Rapo
rty z
test
ów w
spe
cjaln
ym ś
rodo
wisk
u bl
iźnia-
czym
w o
środ
ku k
ompu
tero
wym
w c
entra
li kor
pora
cji
Załącznik – Raport z badań 148
Faza
ba
dań
Orga
niza
cja
Okre
sTe
mat
yka
proj
ektu
Ro
la a
utor
aCh
arak
ter p
roje
ktu,
oce
na d
ojrz
ałoś
ci w
g m
odel
u BC
MM
or
az ro
dzaj
e w
prow
adzo
nych
rozw
iąza
ńRo
dzaj
e op
raco
wan
ych
doku
men
tów
Grup
a PZ
U
(PZU
SA
oraz
Ce
ntru
m
Info
rmat
yki
Grup
y PZ
U SA
)
2001
Polity
ka
zape
wni
ania
bezp
iecze
ństw
a i n
iezale
żnie
polity
ka
zape
wni
ania
ciąg
łośc
i dz
iałan
ia
Obse
rwac
ja
zew
nętrz
na
C. P
rzed
sięwz
ięcie
było
prow
adzo
ne z
ogro
mny
m ro
zmac
hem
, od
deleg
owan
o do
nieg
o po
nad
100
osób
. Pr
ojek
t sa
mej
polity
ki be
zpiec
zeńs
twa
był o
party
na
met
odyc
e TI
SM fi
rmy
ENSI
. Pro
jekt p
olityk
i zap
ewnia
nia c
iągłoś
ci dz
iałan
ia by
ł opa
rty
na m
etody
ce D
RII.
Z uw
agi n
a zm
iany
orga
nizac
yjne
w fir
mie,
po
wod
owan
e ba
rdzie
j pol
ityką
wła
ścic
ielsk
ą (s
pore
m a
k-cj
onar
iusz
y) n
iż po
trzeb
ami,
proj
ekt n
ie p
rzei
stoc
zył s
ię
w p
roce
s, c
o pi
erw
otnie
było
zam
ierze
niem
prz
edsię
wzię
cia.
D. N
ie fu
nkcjo
now
ały w
ówcz
as m
odele
tego
typu
, z p
óźni
ej-sz
ej pe
rspe
ktyw
y m
ożna
oce
nić
pozio
m d
ojrz
ałoś
ci ja
ko n
a pe
wno
dru
gi, z
prz
esłan
kam
i na
pozio
m tr
zeci
(wg
tab.
6.4
).R.
Zasa
dy za
pew
nian
ia be
zpiec
zeńs
twa
Map
a do
kum
entó
w z
arzą
dczy
ch i
oper
acyjn
ych
zape
w-
nian
ia be
zpiec
zeńs
twa
Zasa
dy za
pew
nian
ia ci
ągło
ści d
ziała
nia
Ogóln
a ana
liza r
yzyk
a i je
go po
tencja
lnego
wpły
wu na
bizn
es
Rozw
iązan
ia za
pew
nian
ia ci
ągło
ści d
ziała
nia
Szko
lenia
Polity
ka b
ezpi
ecze
ństw
a
Polity
ka
bezp
iecze
ństw
a in
form
acji
(wyd
zielen
ie gr
up in
form
acji)
Polity
ka b
ezpi
ecze
ństw
a fiz
yczn
ego
i tec
hnic
zneg
o
Polity
ka b
ezpi
ecze
ństw
a os
obow
ego
Zasa
dy b
ezpi
ecze
ństw
a i
zarz
ądza
nia
bezp
iecze
ń-st
wem
(re
gulam
iny)
dla
posz
czeg
ólny
ch o
bsza
rów
in
form
acyjn
ych
(w ty
m d
anyc
h os
obow
ych)
Zalec
enia
konf
igur
acyjn
e dl
a sy
stem
ów IT
Inst
rukc
je i p
roce
dury
ope
racy
jne
Zasa
dy a
udyt
owan
ia ro
związ
ań i
wyk
ryw
ania
naru
-sz
eń b
ezpi
ecze
ństw
a
Polity
ka za
pew
nian
ia ci
ągło
ści d
ziała
nia
Anali
za b
usin
ess
impa
ct a
nalys
is
Scen
ariu
sz m
aksy
maln
ej ka
tast
rofy
Górn
ośląs
ki Ba
nkGo
spod
arcz
y SA
2003
Polity
ka i
plan
za
pew
nian
ia ci
ągło
ści
dział
ania
Opra
cow
anie
pl
anu
i org
aniza
cji p
rojek
tu
z po
zycj
i kon
sulta
n-ta
zew
nętrz
nego
ora
z au
dyt z
reali
zow
aneg
o w
ewnę
trzni
e pr
ojek
tu
C. P
ierw
szy
proj
ekt w
ksz
tałc
ie ba
rdzo
blis
kim k
szta
łtow
i m
etod
yki T
SM-B
CP. N
a po
cząt
ku o
soby
odp
owied
zialn
e za
pr
ojekt
prze
szły
szko
lenie
(pro
wadz
one
prze
z aut
ora)
z za
sad
proje
ktowa
nia. N
astęp
nie w
firm
ie pr
zepr
owad
zono
włas
nym
i sił
ami p
rojek
t. Na
kon
iec a
utor
prz
epro
wadz
ił aud
yt ro
związ
ań
i prz
edst
awił
rapo
rt za
rząd
owi b
anku
. Pro
jekt w
tym
mo-
men
cie z
osta
ł prz
erw
any w
związ
ku z
zaku
pem
ban
ku p
rzez
in
ny b
ank,
jede
n z n
ajw
iększ
ych
w P
olsc
e.D.
Nie
zast
osow
ano
form
alnej
ocen
y do
jrzał
ości
zar
ządz
a-ni
a ci
ągło
ścią,
ale
z obe
cnej
pers
pekt
ywy
moż
na g
o oc
enić
ja
ko n
a pe
wno
poz
iom
trze
ci, w
dod
atku
z p
rogr
amem
do-
skon
aleni
a pi
loto
wan
ym p
rzez
zarz
ąd.
R.
Zasa
dy za
pew
nian
ia ci
ągło
ści d
ziała
nia
Ogóln
a ana
liza r
yzyk
a i je
go po
tencja
lnego
wpły
wu na
bizn
es
Orga
niza
cja
kryz
ysow
a
Szko
lenia
Polity
ka za
pew
nian
ia ci
ągło
ści d
ziała
nia
Regu
lamin
zape
wni
ania
ciąg
łośc
i dzia
łani
a
Anali
za b
usin
ess
impa
ct a
nalys
is
Plan
zape
wni
ania
ciąg
łośc
i dzia
łani
a
Scen
ariu
sze
sytu
acji
kryz
ysow
ych
(o c
hara
kter
ze
naru
szen
ia pr
oces
ów d
ziała
nia
lub
spra
wno
ści o
rga-
niza
cji)
Opis badań 149
Faza
ba
dań
Orga
niza
cja
Okre
sTe
mat
yka
proj
ektu
Ro
la a
utor
aCh
arak
ter p
roje
ktu,
oce
na d
ojrz
ałoś
ci w
g m
odel
u BC
MM
or
az ro
dzaj
e w
prow
adzo
nych
rozw
iąza
ńRo
dzaj
e op
raco
wan
ych
doku
men
tów
Agen
cja
Rest
rukt
uryz
acji
i Mod
erni
zacj
i Ro
lnic
twa
2003
Polity
ka
zape
wni
ania
ciąg
łośc
i dz
iałan
ia
Opra
cowa
nie k
once
p-cji
i do
kum
entó
w wi
o-dą
cych
C. za
kres
pro
jektu
był
ogra
niczo
ny d
o sy
stem
u IA
CS, k
tóry
był
sz
ykow
any
do w
droż
enia
okoł
o 6
mies
ięcy
późn
iej, a
plan
w
droż
enia
obejm
ował
zgo
dnie
z w
ytyc
znym
i fin
anso
wan
ia z f
undu
szy a
kces
yjnyc
h Unii
Euro
pejsk
iej ta
kże p
olityk
ę och
rony
da
nych
oso
bow
ych,
pol
itykę
bez
piec
zeńs
twa
info
rmat
ycz-
nego
ora
z pl
any
zape
wni
ania
ciąg
łośc
i dzia
łani
a na
wyp
a-de
k aw
arii s
yste
mu.
D. N
ie za
stos
owan
o fo
rmaln
ej oc
eny
dojrz
ałoś
ci z
arzą
dza-
nia
ciąg
łośc
ią, a
le z o
becn
ej pe
rspe
ktyw
y m
ożna
go
ocen
ić
jako
blisk
i poz
iom
owi 4
(wg
tab.
6.4
), z t
ym że
była
to o
cena
ro
związ
ania
plan
owan
ego
dopi
ero
do w
droż
enia.
R.
Zasa
dy za
pew
nian
ia ci
ągło
ści d
ziała
nia
Ogóln
a ana
liza r
yzyk
a i je
go po
tencja
lnego
wpły
wu na
bizn
es
Orga
niza
cja
kryz
ysow
a
Rozw
iązan
ia za
pew
nian
ia ci
ągło
ści d
ziała
nia
Polity
ka za
pew
nian
ia ci
ągło
ści d
ziała
nia
Regu
lamin
zape
wni
ania
ciąg
łośc
i dzia
łani
a
Regu
lamin
pra
cy k
omite
tu k
ryzy
sow
ego
Anali
za b
usin
ess
impa
ct a
nalys
is
Plan
zape
wni
ania
ciąg
łośc
i dzia
łani
a
Scen
ariu
sze
sytu
acji
kryz
ysow
ych
(o c
hara
kter
ze
naru
szen
ia pr
oces
ów d
ziała
nia
lub
spra
wno
ści o
rga-
niza
cji)
Po ty
m e
tapi
e ba
dań
sfor
muł
owan
o pi
erw
szą
wer
sję m
etod
yki T
SM/B
CP (z
ob. r
ys. 6
.5 o
raz [
Zaw
iła-N
iedźw
iecki,
200
3a])
2. Korygowanie modelu metodyki do aktualnej postaci nazwanej TSM/BCP
Carls
berg
Po
lska
SA
2004
Polity
ka i
plan
za
pew
nian
ia ci
ągło
ści
dział
ania
Opra
cow
anie
pl
anu
i org
aniza
cji p
rojek
tu
z po
zycj
i kon
sulta
n-ta
zew
nętrz
nego
ora
z au
dyt z
reali
zow
aneg
o w
ewnę
trzni
e pr
ojek
tu
C. P
rojek
t BCM
był
prow
adzo
ny w
pełn
ym za
kres
ie m
etod
yki
TSM
-BCP
, wra
z z ró
wnole
gle p
rowa
dzon
ym p
rojek
tem za
pew
-ni
ania
bezp
iecze
ństw
a in
form
acji.
Sku
tkow
ało
to ko
ordy
no-
wan
iem d
ziała
ń na
d an
alizą
wym
agań
, ana
lizą
istni
ejący
ch
rozw
iązań
, ana
lizą
proc
esów
i ich
kryt
yczn
ości,
a ta
kże p
rzy-
jęciem
wsp
ólneg
o za
rząd
zania
bez
piecz
eństw
em i
ciągło
ścią.
Pr
ojek
t odn
osił
się d
o ce
ntra
li w
War
szaw
ie or
az d
o jed
no-
stek
pro
dukc
yjnyc
h i d
ystry
bucy
jnyc
h na
tere
nie c
ałej P
olsk
i.D.
Nie
zast
osow
ano
form
alnej
ocen
y do
jrzał
ości
zar
ządz
a-ni
a ci
ągło
ścią,
ale
z obe
cnej
pers
pekt
ywy
moż
na g
o oc
enić
jak
o bl
iski p
ozio
mow
i 4 (w
g ta
b. 6
.4),
z tym
że b
yła to
oce
na
rozw
iązan
ia pl
anow
aneg
o do
pier
o do
wdr
ożen
ia.R.
Anali
za d
okum
entó
w i r
ozw
iązań
sto
sow
anyc
h w
spó
łce
Zasa
dy za
pew
nian
ia ci
ągło
ści d
ziała
nia
Ogóln
a ana
liza r
yzyk
a i je
go po
tencja
lnego
wpły
wu na
bizn
es
Orga
niza
cja
kryz
ysow
a
Rozw
iązan
ia za
pew
nian
ia ci
ągło
ści d
ziała
nia
Szko
lenia
Wsz
ystk
ie te
pro
jekty
reali
zow
ano
w p
odzia
le na
3 e
tapy
op
isane
w te
kści
e za t
abelą
. We w
szys
tkic
h op
raco
wan
o ze
staw
dok
umen
tów
o s
trukt
urze
okr
eślo
nej m
odelo
wo
w m
etod
yce
TSM
-BCP
, a w
pro
jekci
e ad
apto
wan
ej do
w
arun
ków
loka
lnyc
h. S
ą to
:
Polity
ka B
CP w
war
ianci
e ro
zwin
iętym
ora
z w
wa-
rianc
ie sy
ntet
yczn
ej de
klara
cji k
ierow
nict
wa
Plan
zape
wni
ania
ciąg
łośc
i dzia
łani
a
Prze
wodn
ik wd
raża
nia po
lityki
i plan
u ciąg
łości
dział
ania
Inst
rukc
ja p
row
adze
nia
doku
men
tacj
i plan
u ci
ągło
ści
dział
ania
Regu
lamin
ogó
lny
BCP
okre
ślają
cy r
ole,
obo
wiąz
ki i u
praw
nien
ia
Regu
lamin
Kom
itetu
Kry
zyso
weg
o
Stru
ktur
a or
gani
zacy
jna
zarz
ądza
nia
BCP
Scen
ariu
sze
post
ępow
ania
w p
rzyp
adku
pos
zcze
gól-
nych
zakłó
ceń
Załącznik – Raport z badań 150
Faza
ba
dań
Orga
niza
cja
Okre
sTe
mat
yka
proj
ektu
Ro
la a
utor
aCh
arak
ter p
roje
ktu,
oce
na d
ojrz
ałoś
ci w
g m
odel
u BC
MM
or
az ro
dzaj
e w
prow
adzo
nych
rozw
iąza
ńRo
dzaj
e op
raco
wan
ych
doku
men
tów
Agro
s No
va S
A20
05
Polity
ka i
plan
za
pew
nian
ia ci
ągło
ści
dział
ania
Opra
cow
anie
plan
u i o
rgan
izacj
i pro
jektu
z
pozy
cji k
onsu
ltant
a ze
wnę
trzne
go
oraz
au
dyt z
reali
zow
aneg
o w
ewnę
trzni
e pr
ojek
tu
C. P
rojek
t BCM
był
prow
adzo
ny w
pełn
ym za
kres
ie m
etod
yki
TSM
-BCP
, wra
z z ró
wnole
gle p
rowa
dzon
ym p
rojek
tem za
pew
-ni
ania
bezp
iecze
ństw
a in
form
acji.
Sku
tkow
ało
to ko
ordy
no-
wan
iem d
ziała
ń na
d an
alizą
wym
agań
, ana
lizą
istni
ejący
ch
rozw
iązań
, ana
lizą
proc
esów
i ich
kryt
yczn
ości,
a ta
kże p
rzy-
jęciem
wsp
ólneg
o za
rząd
zania
bez
piecz
eństw
em i
ciągło
ścią.
Pr
ojek
t odn
osił
się d
o ce
ntra
li w
War
szaw
ie or
az d
o dw
u za
kładó
w p
rodu
kcyjn
ych
w in
nych
miej
scow
ości
ach.
Pro
-jek
t był
koor
dyno
wan
y z r
ozw
iązan
iami s
toso
wan
ej w
spó
łce
(pop
arte
cer
tyfik
atem
ISO
9001
) pol
ityki
jako
ści.
D. N
ie za
stos
owan
o fo
rmaln
ej oc
eny
dojrz
ałoś
ci z
arzą
dza-
nia
ciąg
łośc
ią, a
le z o
becn
ej pe
rspe
ktyw
y m
ożna
go
ocen
ić
jako
poz
iom
4 (w
g ta
b. 6
.4).
R.
Anali
za d
okum
entó
w i r
ozw
iązań
sto
sow
anyc
h w
spó
łce
Zasa
dy za
pew
nian
ia ci
ągło
ści d
ziała
nia
Ogóln
a ana
liza r
yzyk
a i je
go po
tencja
lnego
wpły
wu na
bizn
es
Orga
niza
cja
kryz
ysow
a
Rozw
iązan
ia za
pew
nian
ia ci
ągło
ści d
ziała
nia
Szko
lenia
FIAT
Bank
Po
lska
SA20
06
Polity
ka i
plan
za
pew
nian
ia ci
ągło
ści
dział
ania
Opra
cow
anie
plan
u i o
rgan
izacj
i pro
jektu
z
pozy
cji k
onsu
ltan-
ta z
ewnę
trzne
go o
raz
audy
t zre
alizo
wan
ego
wew
nętrz
nie
proj
ektu
C. P
rojek
t BCM
był
prow
adzo
ny w
pełn
ym za
kres
ie m
etod
yki
TSM
-BCP
, wra
z z ró
wnole
gle p
rowa
dzon
ym p
rojek
tem za
pew
-ni
ania
bezp
iecze
ństw
a in
form
acji.
Sku
tkow
ało
to ko
ordy
no-
wan
iem d
ziała
ń na
d an
alizą
wym
agań
, ana
lizą
istni
ejący
ch
rozw
iązań
, ana
lizą
proc
esów
i ich
kryt
yczn
ości,
a ta
kże p
rzy-
jęciem
wsp
ólneg
o za
rząd
zania
bez
piecz
eństw
em i
ciągło
ścią.
Do
datk
owo
uwzg
lędni
ono
reko
men
dacj
e Ba
sel I
I, kt
óre
na
podm
ioty
z s
ekto
ra b
anko
weg
o na
kłada
ją o
bow
iązki
w z
a-kr
esie
stos
owan
ia za
sad
zarz
ądza
nia ry
zykie
m o
pera
cyjn
ym
(w ty
m za
pew
nian
ia be
zpiec
zeńs
twa
i ciąg
łośc
i dzia
łani
a).
D. N
ie za
stos
owan
o fo
rmaln
ej oc
eny
dojrz
ałoś
ci z
arzą
dza-
nia
ciąg
łośc
ią, a
le z o
becn
ej pe
rspe
ktyw
y m
ożna
go
ocen
ić
jako
poz
iom
4 (w
g ta
b. 6
.4) z
per
spek
tyw
ą, p
o us
tabi
lizo-
wan
iu ro
związ
ań w
ypra
cow
anyc
h w
pro
jekci
e, n
a po
ziom
w
yższ
y.
Opis badań 151
Faza
ba
dań
Orga
niza
cja
Okre
sTe
mat
yka
proj
ektu
Ro
la a
utor
aCh
arak
ter p
roje
ktu,
oce
na d
ojrz
ałoś
ci w
g m
odel
u BC
MM
or
az ro
dzaj
e w
prow
adzo
nych
rozw
iąza
ńRo
dzaj
e op
raco
wan
ych
doku
men
tów
R.
Anali
za d
okum
entó
w i r
ozw
iązań
sto
sow
anyc
h w
spó
łce
Zasa
dy za
pew
nian
ia ci
ągło
ści d
ziała
nia
Ogóln
a ana
liza r
yzyk
a i je
go po
tencja
lnego
wpły
wu na
bizn
es
Orga
niza
cja
kryz
ysow
a
Rozw
iązan
ia za
pew
nian
ia ci
ągło
ści d
ziała
nia
Szko
lenia,
Wyt
yczn
e au
dyto
wan
ia
MPW
iK W
rocł
aw20
06
Polity
ka i
plan
za
pew
nian
ia ci
ągło
ści
dział
ania
Opra
cow
anie
pl
anu
i or
gani
zacj
i pro
jektu
z
pozy
cji k
onsu
ltan-
ta z
ewnę
trzne
go o
raz
audy
t zre
alizo
wan
ego
wew
nętrz
nie
proj
ektu
C. P
rojek
t BCM
tow
arzy
szył
prze
dsięw
zięci
u m
oder
niza
cji
infra
stru
ktur
y w
odoc
iągow
ej m
iasta
, fin
anso
wan
ej pr
zez
UE, w
kons
ekw
encj
i szk
ód w
trak
cie
pow
odzi
z 199
7 r.
Pro-
jekt b
ył pr
owad
zony
w p
ełnym
zakr
esie
met
odyk
i TSM
-BCP
, w
raz
z ró
wno
legle
prow
adzo
nym
pro
jekte
m z
apew
nian
ia be
zpiec
zeńs
twa
infor
mac
ji. Sk
utko
wało
to k
oord
ynow
aniem
dz
iałań
nad
ana
lizą
wym
agań
, ana
lizą
istni
ejący
ch ro
zwią-
zań,
ana
lizą
proc
esów
i ic
h kr
ytyc
znoś
ci, a
takż
e pr
zyję-
ciem
wsp
ólne
go za
rząd
zani
a bez
piec
zeńs
twem
i ciąg
łośc
ią.
Po ra
z pier
wsz
y do
wyp
raco
wan
ia sc
enar
iusz
y po
stęp
owa-
nia
w p
rzyp
adku
syt
uacj
i kry
tycz
nych
zas
toso
wan
o fo
rmę
war
szta
tu p
rojek
tow
ego,
w k
tóry
m u
czes
tnic
zyło
30
spe-
cjali
stów
z ró
żnyc
h ko
mór
ek M
PWiK
.D.
Nie
zast
osow
ano
form
alnej
ocen
y do
jrzał
ości
zar
ządz
a-ni
a ci
ągło
ścią,
ale
z obe
cnej
pers
pekt
ywy
moż
na g
o oc
enić
jak
o po
ziom
4 (w
g ta
b. 6
.4) z
per
spek
tyw
ą, p
o us
tabi
lizow
a-niu
rozw
iązań
wyp
raco
wany
ch w
proje
kcie,
na po
ziom
wyż
szy.
R.
Anali
za d
okum
entó
w i r
ozw
iązań
sto
sow
anyc
h w
spó
łce
Zasa
dy za
pew
nian
ia ci
ągło
ści d
ziała
nia
Ogóln
a ana
liza r
yzyk
a i je
go po
tencja
lnego
wpły
wu na
bizn
es
Orga
niza
cja
kryz
ysow
a
Rozw
iązan
ia za
pew
nian
ia ci
ągło
ści d
ziała
nia
Szko
lenia
Wyt
yczn
e au
dyto
wan
ia
Pow
yższ
e pr
ojek
ty u
znan
o za
dos
tate
czni
e w
eryf
ikują
ce k
ompl
etno
ść m
etod
yki,
z za
strz
eżen
iem ż
e w
żad
nym
z n
ich
proj
ekt n
ie ob
jął t
estó
w in
nych
niż
pods
taw
owe
prow
adzo
ne w
form
ule
szta
bow
ej.
Doda
tkow
o ud
ało
się w
tym
okr
esie
prze
prow
adzić
dw
a du
że b
adan
ia pr
zeds
iębio
rstw
ube
zpiec
zeni
owyc
h (d
ziału
I –
ubez
piec
zeni
a m
ająt
kow
e, d
ziału
II –
ube
zpiec
zeni
a na
życi
e or
az fu
ndus
zy e
mer
ytal-
nych
), kt
óre
nie
były
obj
ęte
dotą
d ta
kim o
bow
iązkie
m p
row
adze
nia
BCM
jak
bank
i, ale
z uw
agi n
a św
iadom
ość
szyk
owan
ia ta
kiego
obo
wiąz
ku w
ram
ach
prac
nad
dyr
ekty
wą
UE zw
aną
Solve
ncy
II sa
mo-
dziel
nie
opra
cow
ywał
y ro
związ
ania
BCP.
Zbad
ano
wob
ec te
go s
tan
tych
prz
ygot
owań
ora
z pr
zyjęt
e po
dsta
wy
met
odyc
zne.
Wyn
ik ba
dań
poka
zano
w ta
belac
h Z.
3, Z
.4, Z
.5, Z
.6 o
raz
w ic
h op
isie.
Ko
ntyn
uow
ano
nast
ępni
e ba
dani
a ko
lejny
ch p
rojek
tów
w c
elu zw
eryf
ikow
ania
aplik
acyjn
ości
met
odyk
i w ró
żnyc
h za
stos
owan
iach,
zwła
szcz
a gd
y au
tor p
ozos
taw
ał z
boku
głó
wne
go w
ykon
awst
wa.
Załącznik – Raport z badań 152
Faza
ba
dań
Orga
niza
cja
Okre
sTe
mat
yka
proj
ektu
Ro
la a
utor
aCh
arak
ter p
roje
ktu,
oce
na d
ojrz
ałoś
ci w
g m
odel
u BC
MM
or
az ro
dzaj
e w
prow
adzo
nych
rozw
iąza
ńRo
dzaj
e op
raco
wan
ych
doku
men
tów
3. Wykorzystywanie metodyki TSM/BCP, ocena aplikacyjności
Aste
r City
2007
Polity
ka i
plan
za
pew
nian
ia ci
ągło
ści
dział
ania
Opra
cow
anie
konc
ep-
cji r
ozw
iązan
ia
C. P
rojek
t BCM
był
prow
adzo
ny w
pełn
ym za
kres
ie m
etod
yki
TSM
-BCP
, wra
z z ró
wnole
gle p
rowa
dzon
ym p
rojek
tem za
pew
-ni
ania
bezp
iecze
ństw
a in
form
acji.
Sku
tkow
ało
to ko
ordy
no-
wan
iem d
ziała
ń na
d an
alizą
wym
agań
, ana
lizą
istni
ejący
ch
rozw
iązań
, ana
lizą
proc
esów
i ich
kryt
yczn
ości,
a ta
kże p
rzy-
jęciem
wsp
ólneg
o za
rząd
zania
bez
piecz
eństw
em i
ciągło
ścią.
Pr
ojek
t odn
osił
się d
o ce
ntra
li w
War
szaw
ie or
az d
o dw
u za
kładó
w ś
wiad
czen
ia us
ług
w in
nych
miej
scow
ości
ach.
Zo
stał
prz
ejęty
prz
ez s
łużb
y w
ewnę
trzne
spó
łki p
o op
raco
-w
aniu
kon
cepc
ji i d
alej s
amod
zieln
ie ko
ntyn
uow
any.
Mus
iał
uwzg
lędni
ać o
bow
iązki
w za
kres
ie te
reno
weg
o za
rząd
zani
a kr
yzys
oweg
o, ja
kie n
a pr
zeds
iębio
rców
tele
kom
unika
cyj-
nych
nak
łada
ust
awa
Praw
o te
lekom
unika
cyjn
e.D.
Zre
zygn
owan
o z t
akiej
oce
ny –
z uw
agi n
a m
ałe
zaaw
an-
sow
anie
proj
ektu
była
by p
rzed
wcz
esna
.R.
Anali
za d
okum
entó
w i r
ozw
iązań
sto
sow
anyc
h w
spó
łce
Zasa
dy za
pew
nian
ia ci
ągło
ści d
ziała
nia
Orga
niza
cja
kryz
ysow
a
Polity
ka B
CP w
war
ianci
e sy
ntet
yczn
ej de
klara
cji k
ie-ro
wni
ctw
a
Stru
ktur
a pl
anu
ciąg
łośc
i dzia
łani
a
Prze
wodn
ik wd
raża
nia po
lityki
i plan
u ciąg
łości
dział
ania
Stru
ktur
a or
gani
zacy
jna
zarz
ądza
nia
BCP
Allia
nz B
ank
Po
lska
SA20
07
Polity
ka i
plan
za
pew
nian
ia ci
ągło
ści
dział
ania
Opra
cow
anie
pl
anu
i org
aniza
cji p
rojek
tu
z po
zycj
i kon
sulta
n-ta
zew
nętrz
nego
ora
z au
dyt z
reali
zow
aneg
o w
ewnę
trzni
e pr
ojek
tu
C. P
rojek
t BCM
był
przy
goto
wyw
any
w ra
mac
h sz
ykow
ania
prze
z ban
k wni
osku
o lic
encj
ę M
inist
ra Fi
nans
ów n
a dz
iałal-
ność
ban
kow
a w
Pol
sce.
Pro
jekt b
ył pr
owad
zony
w p
ełnym
za
kres
ie m
etod
yki T
SM-B
CP, w
raz
z ró
wno
legle
prow
adzo
-ny
m p
rojek
tem
zap
ewni
ania
bezp
iecze
ństw
a in
form
acji.
Sk
utko
wał
o to
koo
rdyn
owan
iem d
ziała
ń na
d an
alizą
wym
a-ga
ń, a
naliz
ą ist
nieją
cych
rozw
iązań
, ana
lizą
proc
esów
i ic
h kr
ytyc
znoś
ci,
a ta
kże
przy
jęciem
wsp
ólne
go z
arzą
dzan
ia be
zpiec
zeńs
twem
i c
iągło
ścią.
Dod
atko
wo
uwzg
lędni
ono
reko
men
dacj
e Ba
sel I
I, kt
óre
na p
odm
ioty
z se
ktor
a ba
nko-
weg
o na
kłada
ją o
bow
iązki
w z
akre
sie s
toso
wan
ia za
sad
zarz
ądza
nia
ryzy
kiem
ope
racy
jnym
(w
tym
zap
ewni
ania
bezp
iecze
ństw
a i c
iągło
ści d
ziała
nia)
. D.
Zrez
ygno
wan
o z t
akiej
oce
ny z
uwag
i na m
ałe z
aaw
anso
-w
anie
proj
ektu
była
by p
rzed
wcz
esna
.R.
Anali
za p
rzep
isów
obo
wiąz
ując
ych
spół
kę o
raz
rozw
ią-za
ń ju
ż zap
rojek
tow
anyc
h
Polity
ka B
CP w
war
ianci
e sy
ntet
yczn
ej de
klara
cji k
ie-ro
wni
ctw
a
Stru
ktur
a pl
anu
ciąg
łośc
i dzia
łani
a
Prze
wodn
ik wd
raża
nia po
lityki
i plan
u ciąg
łości
dział
ania
Stru
ktur
a or
gani
zacy
jna
zarz
ądza
nia
BCP
Opis badań 153
Faza
ba
dań
Orga
niza
cja
Okre
sTe
mat
yka
proj
ektu
Ro
la a
utor
aCh
arak
ter p
roje
ktu,
oce
na d
ojrz
ałoś
ci w
g m
odel
u BC
MM
or
az ro
dzaj
e w
prow
adzo
nych
rozw
iąza
ńRo
dzaj
e op
raco
wan
ych
doku
men
tów
Zasa
dy za
pew
nian
ia ci
ągło
ści d
ziała
nia
Orga
niza
cja
kryz
ysow
a
Wyty
czne
prz
ygot
owan
ia ro
związ
ań za
pewn
iania
ciągło
ści
dział
ania
i szk
oleń
CEPi
K-M
SWiA
2008
Polity
ka i
plan
za
pew
nian
ia ci
ągło
ści
dział
ania
Audy
t roz
wiąz
ania
Tylko
aud
yt d
okum
enta
cji
C. P
rojek
t obe
jmow
ał ty
lko o
kres
owy
audy
t dok
umen
tacj
i, co
prz
ewid
ywał
a um
owa
wła
ścic
iela
CEPi
K z
wyk
onaw
ca
syst
emu.
D. Z
uw
agi n
a zb
yt m
ałe
zaan
gażo
wan
ie kie
row
nict
wa
oce-
niono
, że r
ozwi
ązan
ia od
powi
adają
poz
iomow
i 3 (w
g tab
. 6.4
), ch
oć z
pers
pekt
ywą,
po
usta
biliz
owan
iu ro
zwią
zań
wyp
ra-
cow
anyc
h w
pro
jekci
e, n
a po
ziom
wyż
szy.
R. O
pini
owan
ie ro
związ
ań B
CM i
BCP.
Opin
ia nt
rozw
iązań
.
Ubez
piec
zeni
owy
Fund
usz
Gwar
ancy
jny
2008
Polity
ka i
plan
za
pew
nian
ia ci
ągło
ści
dział
ania
Opra
cow
anie
pl
anu
i org
aniza
cji p
rojek
tu
z po
zycj
i kon
sulta
n-ta
zew
nętrz
nego
ora
z au
dyt z
reali
zow
aneg
o w
ewnę
trzni
e pr
ojek
tu
C. P
rojek
t BCM
był
prow
adzo
ny w
pełn
ym za
kres
ie m
etod
yki
TSM
-BCP
, wra
z z ró
wnole
gle p
rowa
dzon
ym p
rojek
tem za
pew
-ni
ania
bezp
iecze
ństw
a in
form
acji.
Sku
tkow
ało
to ko
ordy
no-
wan
iem d
ziała
ń na
d an
alizą
wym
agań
, ana
lizą
istni
ejący
ch
rozw
iązań
, ana
lizą
proc
esów
i ich
kryt
yczn
ości,
a ta
kże p
rzy-
jęciem
wsp
ólneg
o za
rząd
zania
bez
piecz
eństw
em i
ciągło
ścią.
Do
wyp
raco
wan
ia sc
enar
iusz
y po
stęp
owan
ia w
prz
ypad
ku
sytu
acji
kryt
yczn
ych
zast
osow
ano
form
ę w
arsz
tatu
pro
jek-
tow
ego,
w k
tóry
m u
czes
tnic
zyło
15
spec
jalis
tów
z ró
żnyc
h ko
mór
ek U
FG.
D. N
ie za
stos
owan
o fo
rmaln
ej oc
eny
dojrz
ałoś
ci z
arzą
dza-
nia
ciąg
łośc
ią, a
le z o
becn
ej pe
rspe
ktyw
y m
ożna
go
ocen
ić
jako
pozio
m 4
(wg
tab.
6.4
) z p
ersp
ekty
wą,
po
usta
biliz
owa-
niu ro
związ
ań w
ypra
cowa
nych
w p
rojek
cie, n
a poz
iom w
yższ
y.R.
Anali
za d
okum
entó
w i r
ozw
iązań
sto
sow
anyc
h w
spó
łce
Zasa
dy za
pew
nian
ia ci
ągło
ści d
ziała
nia
Ogóln
a ana
liza r
yzyk
a i je
go po
tencja
lnego
wpły
wu na
bizn
es
Orga
niza
cja
kryz
ysow
a
Rozw
iązan
ia za
pew
nian
ia ci
ągło
ści d
ziała
nia
Szko
lenia,
Wyt
yczn
e au
dyto
wan
ia
Polity
ka B
CP w
war
ianci
e ro
zwin
iętym
ora
z w
wa-
rianc
ie sy
ntet
yczn
ej de
klara
cji k
ierow
nict
wa
Plan
zape
wni
ania
ciąg
łośc
i dzia
łani
a
Prze
wodn
ik wd
raża
nia po
lityki
i plan
u ciąg
łości
dział
ania
Inst
rukc
ja p
row
adze
nia
doku
men
tacj
i plan
u ci
ągło
ści
dział
ania
Regu
lamin
ogó
lny
BCP
okre
ślają
cy ro
le, o
bow
iązki
i up
raw
nien
ia
Regu
lamin
Kom
itetu
Kry
zyso
weg
o
Stru
ktur
a or
gani
zacy
jna
zarz
ądza
nia
BCP
Scen
ariu
sze
post
ępow
ania
w p
rzyp
adku
pos
zcze
gól-
nych
zakłó
ceń
Załącznik – Raport z badań 154
Faza
ba
dań
Orga
niza
cja
Okre
sTe
mat
yka
proj
ektu
Ro
la a
utor
aCh
arak
ter p
roje
ktu,
oce
na d
ojrz
ałoś
ci w
g m
odel
u BC
MM
or
az ro
dzaj
e w
prow
adzo
nych
rozw
iąza
ńRo
dzaj
e op
raco
wan
ych
doku
men
tów
Bank
Raif
feise
n Po
lska
SA20
08
Syst
em
info
rmat
yczn
y w
spom
agaj
ący
zarz
ądza
nie
utrz
ymyw
aniem
do
kum
enta
cji
plan
ów
zape
wni
ania
ciąg
łośc
i dz
iałan
ia
Kons
ultac
je dla
wyk
o-na
wcy
sys
tem
u
C. Z
ałoż
enia
zgod
ne z
BCM
sys
tem
u in
form
atyc
zneg
o w
spier
ania
zarz
ądza
nia
zape
wni
aniem
ciąg
łośc
i dzia
łani
a,
niez
ależn
ego
od m
etod
y pr
ojek
tow
ania
D. N
ie oc
enian
o.R.
Wyt
yczn
e zb
liżon
e do
zało
żeń
proj
ektu
info
rmat
yczn
ego.
Zało
żeni
a sy
stem
u in
form
atyc
zneg
o AT
MEU
S w
ykon
a-ne
go i
ofer
owan
ego
jako
pak
iet u
żytk
owy
opro
gram
o-w
ania
prze
z firm
ę AT
M S
A.
Libe
rty D
irect
SA
2008
Polity
ka i
plan
za
pew
nian
ia ci
ągło
ści
dział
ania
Opra
cowa
nie k
once
p-cj
i roz
wiąz
ania
C. P
rojek
t BCM
był
prow
adzo
ny w
pełn
ym za
kres
ie m
etod
y-ki
TSM
-BCP
, w
raz
z ró
wno
legle
prow
adzo
nym
pro
jekte
m
zape
wni
ania
bezp
iecze
ństw
a in
form
acji.
Sku
tkow
ało
to k
o-or
dyno
wan
iem
dzia
łań
nad
anal
izą w
ymag
ań, a
naliz
ą is
t-ni
ejąc
ych
rozw
iąza
ń, a
naliz
ą pr
oces
ów i
ich
kryt
yczn
ości
, a t
akże
prz
yjęcie
m w
spól
nego
zarz
ądza
nia b
ezpi
ecze
ństw
em
i ciąg
łośc
ią.
D. N
ie ba
dano
.R.
Opr
acow
anie
tylko
konc
epcj
i, dale
j wyk
onaw
stw
o sa
mo-
dziel
ne p
rzez
siły
wew
nętrz
ne s
półki
bez
aud
ytu
auto
ra.
Polity
ka B
CP w
war
ianci
e sy
ntet
yczn
ej de
klara
cji k
ie-ro
wni
ctw
a
Stru
ktur
a pl
anu
ciąg
łośc
i dzia
łani
a
Prze
wodn
ik wd
raża
nia po
lityki
i plan
u ciąg
łości
dział
ania
Inst
rukc
ja p
row
adze
nia
doku
men
tacj
i plan
u ci
ągło
ści
dział
ania
Stru
ktur
a or
gani
zacy
jna
zarz
ądza
nia
BCP
Urzą
d M
arsz
ałko
wsk
i W
ojew
ództw
a M
azow
ieckie
go
2008
Polity
ka i
plan
za
pew
nian
ia ci
ągło
ści
dział
ania
Szko
lenia
przy
goto
wu-
jące d
o sa
mod
zielne
go
prze
prow
adze
nia p
ro-
jektu
.
Tylko
szk
olen
ie i w
arsz
tat,
wyk
onaw
stw
o w
łasn
eC.
Pro
jekt B
CM b
ył pr
owad
zony
w p
ełnym
zakr
esie
met
odyk
i TS
M-B
CP w
zw
iązku
z o
bow
iązka
mi w
ynika
jący
mi z
ust
a-w
y o
zarz
ądza
niu
kryz
ysow
ym.
D. N
ie ba
dano
.R.
Prz
epro
wad
zono
szk
olen
ia dl
a ka
dry
kiero
wni
czej
oraz
dla
zesp
ołu de
dyko
wane
go do
opra
cowa
nia pl
anów
zape
wnia-
nia ci
ągłoś
ci dz
iałan
ia, w
tym
takż
e zas
ady p
rowa
dzen
ia w
arsz
-tat
ów p
rojek
towa
nia ro
związ
ań za
pewn
iania
ciągło
ści d
ziała
nia.
Zasa
dy za
pew
nian
ia ci
ągło
ści d
ziała
nia
Prze
wodn
ik wd
raża
nia po
lityki
i plan
u ciąg
łości
dział
ania
Inst
rukc
ja p
row
adze
nia
doku
men
tacj
i plan
u ci
ągło
ści
dział
ania
Stru
ktur
a or
gani
zacy
jna
zarz
ądza
nia
BCP
Zasa
dy p
roje
ktow
ania
sce
nariu
szy
post
ępow
ania
w
prz
ypad
ku p
oszc
zegó
lnyc
h za
kłóce
ń
Zasa
dy te
stow
ania
rozw
iązań
Wsz
ystk
ie ba
dane
w fa
zie 3
pro
jekty
wyk
azał
y ap
likac
yjnoś
ć m
etod
yki T
SM-B
CP. K
ażdy
z pr
ojek
tów
był
niep
ełny
i niet
ypow
y. Za
stos
owan
ie m
etod
yki p
ozw
alało
sto
sunk
owo
łatw
o po
djąć
pro
jekt,
prze
ka-
zać
zasa
dy m
etod
yczn
e uc
zest
niko
m p
rojek
tu, k
onty
nuow
ać w
e w
łasn
ym za
kres
ie na
wet
prz
y og
rani
czon
ym d
ośw
iadcz
eniu
w te
go ty
pu p
rzed
sięw
zięci
ach.
Kwes
tią n
adal
otw
artą
i ni
e do
koń
ca zb
adan
ą jes
t dok
ładn
e te
stow
anie.
Moż
na n
a ra
zie za
kłada
ć, że
test
owan
ie ni
e jes
t pod
ejmow
ane
w p
oważ
niejs
zym
wym
iarze
(poz
a te
stam
i szta
bow
ymi,
czy
wym
u-sz
anym
i np.
prz
ez P
ańst
wow
ą St
raż
Poża
rną)
. Pra
wdo
podo
bnie
pow
odem
jest
oba
wa
prze
d w
prow
adze
niem
niep
rzew
idzia
nego
zak
łóce
nia.
Nie
spos
ób o
dmów
ić ra
cjon
alnoś
ci ta
kiem
u ro
zum
owan
iu.
Dalek
o po
suni
ęte
test
y bę
dą m
ożliw
e w
każ
dym
prz
ypad
ku d
opier
o po
ust
abiliz
owan
iu ro
związ
ań B
CP, a
le za
pew
ne te
ż po
dop
recy
zow
aniu
, sfo
rmali
zow
aniu
i us
tabi
lizow
aniu
zw
ykłyc
h pr
oced
ur o
pera
-cy
jnyc
h, k
tóre
w w
iększ
ości
prz
ypad
ków
są
na ra
zie p
row
adzo
ne s
pont
anic
znie,
bez
szc
zegó
łow
ej an
alizy
i w
zorc
a re
aliza
cyjn
ego.
Źród
ło: o
prac
owan
ie w
łasn
e.
Opis badań 155
Etap1,zwanyanaliząprzedwdrożeniową,odpoczątkubadańuznawanozanajważniejszy. Podejmowanow jego ramach krytycznedecyzje, zarówno codoocenypoziomuistotnościprocesówbiznesowychorganizacji,dopuszczalnegoob-niżeniapoziomuświadczonychusług,jakisamegozakresuplanóworazprocedurzapewnianiaciągłościdziałania(początkowoprzeważniezwanychawaryjnymi).Wszystkietedecyzjemusiałybyćświadomiepodjęteprzezkierownictwobenefi-cjentaprojektunapodstawieprzedstawionejanalizyryzykaorazocenyzagrożeńimiałyzasadniczywpływnakolejneprace(m.in.oszacowanieichpracochłonnościikosztu),aprzedewszystkimnazakresikosztwdrożeniaproponowanychrozwiązańtechnicznychiutrzymaniaplanuzachowaniaciągłościdziałania.Ponadtoopróczprzeprowadzeniaanalizyryzykaprzygotowywanokoncepcjębudowyiwdrożeniaplanuzachowaniaciągłościdziałania,opracowanąnapodstawiedecyzjikierun-kowych beneficjenta projektu. Przygotowywano również propozycję strukturyorganizacyjnejdedykowanejdozarządzaniaplanamiciągłościdziałaniawrazzprzy-pisaniemzakresuobowiązkówikwalifikacjidoposzczególnychrólzarządczychiwykonawczych,atakżelistędokumentówplanuzachowaniaciągłościdziałaniawrazzichzakresemmerytorycznym.Etaptenwzałożeniachmiałykończyćdecyzjebeneficjentaprojektuprowadzącedoakceptacjikoncepcjibudowyiwdrożeniaplanuzachowaniaciągłościdziałaniaorazzatwierdzenia:rólwprojekcie,pracochłonnościikosztówpozostałychetapów,harmonogramudalszychprac.
Etap2,zwanywykonawczym,obejmowałmodyfikacjęistniejącychrozwiązańorganizacyjnychorazopracowanieplanówzachowaniaciągłościdziałaniaiproce-durawaryjnych.Rozpoczynałogopowołaniezespołupracownikówbeneficjentaprojektuw celu bezpośredniegouczestnictwaw szczegółowymopracowywaniuproceduridokumentówoperacyjnegopostępowaniawsytuacjachkryzysowych.Takiepodejściedo tworzenia szczegółowychdokumentówoperacyjnychzostałowielokrotniesprawdzonewpraktyceipokazało,żeodpowiednipracownicybe-neficjentaprojektu(np.administratorzysystemówinformatycznych)sąwstanieopracowaćbardziejdokładne,praktyczneirealneprocedury/dokumentyopera-cyjneniżekspercizewnętrzni.Wynikatozichznajomościlokalnejspecyfiki,adajetębezpośredniąkorzyść,żewprzypadkuwystąpieniaawarii,towłaśnieteosobybędąnajważniejszewprocesieprzywracaniastanusprzedawarii, jakrównieżnajprawdopodobniejonebędąodpowiedzialnezaaktualizacjęwspomnianychdo-kumentówwkontekściewnioskówzpóźniejszejanalizyokolicznościawarii.Dokumenty,októrychmowa,toprzedewszystkimplanzachowaniaciągłościdzia-łania,scenariuszesytuacjikrytycznychiszczegółoweproceduryoperacyjne.Roląprowadzącegoprojektkonsultantajestproponowaniezakresutreścidokumentóworazkonsultacjeinadzórwtokuichopracowywania.
Etap3,zwanywdrożeniowym,obejmowałpomocwprzeprowadzeniuszkoleńitestówfunkcjonowaniaplanuzachowaniaciągłościdziałaniaiprocedurawa-ryjnych.Aktywneszkoleniapolegałyczęstonietylkonauporządkowaniuwiedzyteoretycznej,aleinapraktycznymsprawdzaniuskutecznościopracowanychroz-wiązań.Wpajanoteżprzekonanieopotrzebieregularnegoprzeprowadzaniatestówjakonajpewniejszymsposobie zapewnianiaaktualności i skutecznościdziałaniaprocedurawaryjnychorazsprawdzaniaumiejętnościpracownikówiadekwatności
Załącznik – Raport z badań 156
dokumentacji.Wszczególnościstaranosię,bypowstawałydokumentyopisującezasadyprzeprowadzaniatakichtestówiprzykładowescenariuszesymulowanychsytuacjiawaryjnych.
Bardziejszczegółowozakresprojektówprzebiegałwdalejopisanychkrokach.
Etap 1. Analiza przedwdrożeniowa
Określeniekrytycznych,zpunktuwidzeniazachowaniaciągłościdziała-nia,procesówbiznesowychorganizacji. Zaszeregowaniezdefiniowanychprocesówdoodpowiednichgruppilnościodtwarzania.Zaszeregowanietowynikazkoniecznościodtworzeniapro-cesówwokreślonymczasieorazzależnościmiędzyprocesami. Analizaryzykaiocenazagrożeńdlaprzerwaniaciągłościfunkcjonowaniazdefiniowanychprocesówbiznesowych. Zidentyfikowaniepotencjalnychtypówzagrożeńorazokreślenieichwpływunaprocesybiznesoweorganizacji. Określeniedopuszczalnegopoziomuczasowegoobniżeniajakościusługświadczonychprzezorganizację. Opracowaniekoncepcjibudowyiwdrożeniaplanuzachowaniaciągłościdziałania. Zaproponowaniestrukturodpowiedzialnychzazarządzanieplanamicią-głościdziałaniairozwiązywaniesytuacjikryzysowych. Przygotowanieramowegoregulaminuprowadzenia,aktualizacjiidystry-bucjiplanuzachowaniaciągłościdziałania. Przygotowanielistydokumentówdoopracowania. Ustaleniezakresuopisywanegowdokumentachplanuzachowaniaciągłościdziałania. Przedstawieniepropozycjiharmonogramuopracowaniaiwdrożeniaplanuzachowaniaciągłościdziałania.
Na koniec tego etapu składany jest pisemny raport odnoszący się doww.punktów.Zadaniembeneficjentaprojektujest:
zatwierdzeniekoncepcjiprzebudowyiwdrożeniaplanuzachowaniacią-głościdziałania, zatwierdzenieszczegółowegoharmonogramuwdrożeniaproponowanychrozwiązańplanuzachowaniaciągłościdziałania.
Etap 2. Wykonanie
Powołaniezespołukoordynującegoiopracowującegoszczegółoweproce-durypostępowaniawsytuacjachawaryjnych.
Opis badań 157
Opracowaniewstosownymzakresiedokumentówplanuzachowaniacią-głościdziałania.Planorazscenariuszepostępowaniawsytuacjachawaryj-nychsąopracowywanenapodstawieinformacjizebranychwpierwszymetapieprac. Opracowaniewytycznychdla szczegółowychproceduroperacyjnychpo-stępowaniawsytuacjachawaryjnych. Konsultacjeprzyopracowywaniu szczegółowychproceduroperacyjnych,któresąprzygotowywaneprzezpracownikówbeneficjentaprojektu. Przedstawieniepropozycjizakresu,scenariuszyiharmonogramuwykony-waniatestówplanuzachowaniaciągłościdziałania.
Efektempowyższychpracsągotoweskorygowaneplanyzachowaniaciągłościdziałaniaikompletyprocedurpostępowaniawsytuacjachawaryjnych.
Etap 3. Szkolenia i testy
Przeszkolenieosóbodpowiedzialnychzazarządzanieplanamizachowaniaciągłościdziałaniairozwiązywaniesytuacjikryzysowychorazinnychosób,potencjalnychuczestnikówtakichdziałań. Przedstawieniezasadizakresutestówmającychnacelusprawdzeniemoż-liwości zapewnienia zachowania ciągłości działania i odtworzenia stanusprzedawarii. Przeprowadzenie testu ćwiczeniowego wystąpienia sytuacji kryzysowej,bezjejwywoływaniaczysymulowania.
Projektstaranosięzawszezakończyćkrótkimszkoleniemdlakierownictwabeneficjenta projektu, abywskazać kierunki dalszego doskonalenia powstałychrozwiązań.Zdrugiejstronydoświadczeniakolejnychprojektówbyłyuwzględnianewszczegółowychprogramachorganizacjikolejnegoprojektu.StopniowozebranawiedzapozwoliłasformułowaćstabilnyzestawregułmetodykiTSM-BCP.
Wdrugiejfaziebadańprojektów,ogółdoświadczeńzprojektówpoprzedniejfazypoddanoweryfikacji isformułowanometodykęTSM-BCPzapewnianiaroz-wiązań ciągłościdziałania.W tokukilkukolejnychprojektówweryfikowano jejadekwatnośćdokonkretnychsytuacjiprojektowych,zakładającjeszczewzględnieelastycznestanowiskocodojejstrukturyizakresu.Metodykata,jakowynikba-dań,jestdokładnieopisanawpodrozdziale6.3.Reprezentujeonapodejściepro-porcjonalnepozostającewopozycjidopodejściamaksymalnegoscenariusza.
Wtrzeciejfaziebadańprojektów,przyjętobardzorygorystycznestanowiskowobecsytuacjiprojektowychwmyślzałożenia,żedojrzałenarzędzie(metodyka)powinnobyćstosowanewpełnymjegozakresieiprojektpowinienbyćdoniegodostosowywanyjakodowzorcadobrychpraktyk.Tafazapotwierdziłaaplikacyj-nośćmetodyki, zwłaszczaw sytuacjach, gdywprowadzenie zarządzania za-pewnianiemciągłościądziałaniaprzeprowadzanejestprzezorganizacjęomałymdoświadczeniuwtymzakresie.
Załącznik – Raport z badań 158
TakżewceluweryfikacjipodstawowychzałożeńmetodykiTSM-BCPwdrugiejpołowie2006rokuwramachprogramubadańnadryzykiemubezpieczeniowym,składającegosięnamiędzynarodowyprogramopracowywaniarekomendacjitzw.SolvencyII,awPolsceprowadzonegopodkierunkiemUrzęduKomisjiNadzoruFinansowego,autorprzeprowadził samodzielniebadaniaankietowedwusekto-rówrynkufinansowego,tj.wpierwotwartychipracowniczychfunduszyemerytal-nychoraznastępniezakładówubezpieczeńobudziałów(nażycieimajątkowych).Badaniemiałopokazać,nailepodstawoweelementyzarządzaniaryzykiemopera-cyjnymorazmechanizmuspełnianiasiętegoryzyka,wywołującegopotrzebęsto-sowaniarozwiązańzapewnianiaciągłościdziałania,ujętewzałożeniachmetodykiTSM-BCPsprawdzająsię,tj.nailepojawiąsięwdziałaniachfirmsektoraświeżozobowiązanegodoszerokiegowprowadzeniazarządzaniazapewnianiemciągłościdziałania.
Na ankietę składało się 6 podstawowych pytań, które odwoływały się dogłównychaspektówzarządzaniazapewnianiemciągłościdziałaniawujęciuwów-czasobowiązującychnormPN-ISO/IEC17799orazPN-I 27001,tj.świadomościryzyka operacyjnego, analizy ryzyka, zarządzania bezpieczeństwem i ciągłościądziałania,dokumentowaniategozarządzaniaianaliz,doskonaleniarozwiązań,zgodnościzprawem.Pytaniagłównezostałyobudowanepytaniamiszczegóło-wymipomagającymidoprecyzowaćodpowiedzi,comiałonaceluumożliwieniedokładniejszejocenystanuzarządzaniazapewnianiemciągłościdziałaniawod-niesieniudowzorcaBCMM(por.tab.6.4).OczekiwaniemKNF,któremiałobyćzweryfikowanebadaniem,było,abykażdypodmiotnadzorowanywskazałlubw krótkim czasie powołał struktury organizacyjne dedykowanedo zarządzaniazapewnianiemciągłościądziałaniaorazustanowiłprocestworzeniaiutrzymywania(stałegodoskonalenia)planówzapewnianiaciągłościdziałania.Chodziłozarównoodeklaratywnezweryfikowanietychfaktów,jakiustaleniestopniaichzaawanso-wania.Badaniaankietowepoprzedzonokilkugodzinnymispotkaniamiszkolenio-wymi,któresłużyłylepszemuzrozumieniuprzezankietowanychistotyoczekiwańankietującego.
Należypodkreślić,żebadaniuzostałpoddanysektorpodmiotów,któreobjętojużwcześniejprogramemprzyszłegowdrożeniadobrychpraktykwzakresieza-rządzaniaryzykiemoperacyjnym,naktóreskładasiętakżezapewnianieciągłościdziałania.Oczekiwanowięc,żeistniejejużpewnapraktykapodejściadotegopro-blemuwtychpodmiotach.
Badania,opróczwynikówstatystycznychprzedstawionychwtabelach,wyka-zały,żepowszechnetowarzystwaemerytalneizakładyubezpieczeńwprzytłaczającejwiększości:
identyfikujątękategorięryzykaizajmująsięzarządzaniemnią, traktujązapewnianieciągłościdziałaniajakoczęśćzarządzaniaryzykiemoperacyjnym, zajmująsięciągłościądziałaniajakoodrębnymwyzwaniemorganizacyjnym,
Opis badań 159
stosująjednązdwuzasadniczychmetodyk,tj.„maksymalną”lub„propor-cjonalną”,zwyraźnąprzewagątejdrugiej, posługującsięmetodyką„proporcjonalną”,stosująpodejścia:tolerowania,monitorowania,zapobieganiaiplanowania,awięctraktująproblemszeroko,zuwzględnieniemaspektówprewencjiorazintegracjizzarządzaniembez-pieczeństwem.
Badanie towarzystw emerytalnych
Badaniatezostałyprzeprowadzonewokresie8.09–31.10.2006r.Ankietazostałaskierowanadowszystkichtowarzystwemerytalnych(15powszechnych i5pra-cowniczych)działającychnapolskimrynku.Wszystkieoneudzieliłyodpowiedzinapytaniazawartewankiecie.Badaniezostałopoprzedzonespotkaniemkonsul-tacyjnymzorganizowanymzpomocąIzbyGospodarczejTowarzystwEmerytalnych.Analizazostaładokonanaodrębniedlapowszechnych,aodrębniedlapracowni-czychtowarzystwemerytalnych,gdyżzodpowiedziwynikaładużaorganizacyjnaniesamodzielność tychostatnich(silneorganizacyjneprzenikaniezpodmiotamiwłaścicielskimi).
DokonującocenywświetlemodeludojrzałościBCMM,wziętopoduwagęspecyficzniewysokistopieńzinformatyzowaniaobsługidziałalnościfunduszyemerytalnychbędącyskutkiemtego,żeorganizowanewroku1999towarzystwaemerytalneiichagencitransferowikorzystaliznajnowocześniejszychrozwiązańinformatycznych iwspółczesnegopoziomuwiedzyoorganizacjiusług informa-tycznych.Byłotowdodatkuspotęgowanekońcowymokresemprzygotowańdorozwiązaniatzw.„problemuroku2000”.Wsumiespowodowałoto,żedodziśtaczęść sektora finansowego zdecydowanie góruje nowoczesnością i profesjonali-zmemzastosowańinformatykinadresztąsektoraorazresztągospodarki(uwagatanieodnosisiędopracowniczychfunduszyemerytalnych).
Pochodnąpowyższegofaktujestteżzjawiskonegatywne,tj.wświadomościmenedżerówfunduszyemerytalnychproblemybezpieczeństwaiciągłościdziała-niaorazzarządzaniaryzykiemztymzwiązanymsąkojarzoneprzedewszystkimzdziałalnościąagentówtransferowychorazsystemówinformatycznych,bezpo-działutegonaaspekttechnicznejsprawności(zaktórąrzeczywiścieodpowiadająagenci)orazaspektformalno-biznesowejodpowiedzialności,którajednoznaczniedotyczytowarzystwzarządzającychfunduszami.Zjawiskopowyższejestwyraźniewidocznewbadanychodpowiedziachnaankietę.Wynikzbiorczyoceny,przepro-wadzonejwgmodeludojrzałościzarządzaniaBCMM,przedstawionowtabelachZ.2 i Z.3(tylkopowszechnetowarzystwaemerytalne,bezpracowniczychtowa-rzystwemerytalnych58).
58 Zwypełnionychankietwynikało,żepracowniczychtowarzystwjestzbytmało(sąonenie-wielkieiorganizacyjnieniesamodzielne),abybadaniemogłobyćuznanezamiarodajne.
Załącznik – Raport z badań 160
Tabela Z.2. Zbiorcze wyniki oceny dojrzałości zarządzania zapewnianiem ciągłości działania w to-warzystwach emerytalnych
Liczba PTE
Zakres podstawowy Zakres zaawansowanyPoziom
dojrzałościPrzyzwolenie wysokiego
kierownictwaProfesjonalne
wsparcie Zarządzanie Powszechny udział
Planowanie działań
Współ--działanie
1 Nie Nie Nie Nie Nie Nie Intuicyjny
4 Marginalny Częściowy Nie Nie Nie Nie Popierany
4 Częściowy Tak Częściowy Nie Nie Nie Centralnie kierowany
3 Tak Tak Tak Tak Nie Nie Świadomy
-- Tak Tak Tak Tak Tak Nie Doskonalony
3 Tak Tak Tak Tak Tak Tak Zintegrowany
Źródło: [Zawiła-Niedźwiecki, 2006a].
Tabela Z.3. Zbiorcze wyniki badania zarządzania zapewnianiem ciągłości działania w towarzystwach emerytalnych
Pytanie 1.Czy w praktyce bieżącego zarządzania towarzystwem emerytalnym stosowane jest pojęcie ryzyka ope-racyjnego oraz pojęcie zapewniania ciągłości działania (zwane też: BCP – business continuity planning, DRP – disaster recovery planning) oraz czy wprowadzone są wyodrębnione lub wskazane w formalnych uregulowaniach wewnętrznych towarzystwa rozwiązania zarządzania zapewnianiem ciągłości działania?
Nie 1 (7%)
Zdecydowanie tak
Trwa wdrażanie
Nie ma, nie jest
Tak Wyróżniają pojęcie i problem ryzyka pera-cyjnego
13 (87%) 1 –
Zajmują się ciągłością działania 13 (87%) 1 –
Istnieje forum kierownicze zarządzania za-pewnianiem ciągłości działania
9 (60%) 4 1
Istnieje sztab kryzysowy 11 (73%) 2 1
Istnieje dokument deklaracji polityki zapew-niania ciągłości działania
8 (53%) 5 1
Istnieje rozpisanie ról i zadań między ko-mórki organizacyjne
10 (67%) 4 –
Okresowo jest powtarzana analiza ryzyka 8 (53%) 2 4
Istnieją spisane scenariusze awaryjne (sy-tuacji krytycznych)
8 (53%) 6 –
Prowadzone są testy sytuacji awaryjnych (krytycznych)
8 (53%) 4 2
Opis badań 161
Pytanie 2.Czy w praktyce zarządzania zapewnianiem ciągłości działania prowadzona jest wszechstronna i syste-matyczna analiza ryzyka operacyjnego, potencjalnie skutkującego zakłóceniami ciągłości działania?
Nie 2 (13%)
Zdecydowanie tak
Trwa wdrażanie
Nie
Tak Zdefiniowano krytyczne procesy 10 (67%) 3 –
Określono maksymalny dopuszczalny czas zatrzymania procesów krytycznych
8 (53%) 3 2
Zidentyfikowano potencjalne zagrożenia 8 (53%) 4 1
Zidentyfikowano podatności 6 (40%) 5 2
Istnieje komórka odpowiedzialna za taką jw. analizę ryzyka
7 (47%) 5 1
Pytanie 3.Czy w praktyce zarządzania zapewnianiem ciągłości działania stosowane są zróżnicowane podejścia wykorzystujące zasady prewencji oraz racjonalności ekonomicznej rozwiązań?
Nie 2 (13%)
Zdecydowanie tak
Nie
Tak Podejście tolerowania 11 (73%) 2
Podejście monitorowania 7 (47%) 6
Podejście zapobiegania 12 (80%) 1
Podejście planowania zapewniania ciągłości działania 13 (87%) –
inne 3 (20%) –
Pytanie 4.Czy w praktyce zarządzania zapewnianiem ciągłości działania zadbano o jednolitość, kompletność i łatwą dostępność dokumentacji planów i/lub scenariuszy reagowania na zakłócenia lub sytuacje kryzysowe?
Nie 1 (7%)
Zdecydowanie tak
Trwa wdrażanie
Nie ma
Tak Jedna komórka organizacyjna odpowiada za dokumentację
10 (67%) 3 –
Istnieje jednolity wzór dokumentacji 4 (27%) 5 3
Istnieje procedura dystrybucji zaktualizo-wanej dokumentacji
3 (20%) 5 5
Załącznik – Raport z badań 162
Istnieje przypisanie indywidualnej odpowie-dzialności za merytoryczną zawartość pla-nów i scenariuszy
7 (47%) 3 3
Istnieje obowiązek rejestrowania wydarzeń nadzwyczajnych (baza incydentów)
6 (40%) 3 4
Istnieje obowiązek dokumentowania dzia-łań w toku sytuacji kryzysowej
6 (40%) 2 5
Nie wiadomo 1 (7%)
Pytanie 5.Czy zadbano, aby uregulowania oraz rozwiązania zapewniania ciągłości działania były zgodne z przepi-sami prawa, zwłaszcza prawem pracy i przepisami bhp?
Nie 1 (7%)
Zdecydowanie tak
Trwa weryfikacja
Tak 13 (87%) 1
Pytanie 6.Zarządzanie zapewnianiem ciągłości działania jest częścią zarządzania ryzykiem operacyjnym. Dlatego też prosimy o ocenę z perspektywy doświadczeń Państwa towarzystwa emerytalnego, czy zarządzanie ryzykiem operacyjnym jest w relacji do ryzyka biznesowego problemem/wyzwaniem:Tej samej wagi 4 (27%)Zbliżonej wagi 10 (67%)Wyraźnie mniejszej wagi –Znikomej wagi –Brak odpowiedzi 1 (7%)
Źródło: [Zawiła-Niedźwiecki, 2006a].
Badanie zakładów ubezpieczeń
Tobadaniezostałoprzeprowadzonewokresie9.08–20.10.2006r.Ankietazostałaskierowanadowszystkich67zakładówubezpieczeńdziałającychnapolskimrynkuwchwiliankietowania.Ankietazostałapoprzedzonadwomaspotkaniamikonsul-tacyjnymi.Odpowiedzinaankietęudzieliło48zakładów.Jednaztychodpowiedziniemogła zostać uwzględnionaw analizie. Dodatkowow trakcie prowadzeniaanalizydoszłodofuzjidwuzakładów,udzieloneprzeznichodpowiedzibyłyjednaknatylepodobne,żezdecydowanopotraktowaćjełącznie,abywynikistatystyczneanalizybyłyzgodnezliczbązakładównakoniec2006roku.Ostateczniewięcwana-lizieprzyjęto,żeodpowiedziudzieliło46zakładówna66działającychnarynku.Analizaodpowiedzizostaładokonanazuwzględnieniemustawowejklasyfikacjizakładówubezpieczeńnadziały:I(tzw.ubezpieczenianażycie)iII(tzw.ubezpie-czeniamajątkowe).Wynikzbiorczyoceny,przeprowadzonejwgmodeludojrzałości
Opis badań 163
zarządzaniaBCMM,przedstawiajątabeleZ.4 i Z.5.Procentudziałujestwyliczonywstosunkudo46udzielonychodpowiedzi,66istniejącychzakładóworazwramachdziałuubezpieczeń(odpowiedniowramach20lub26udzielonychodpowiedzi).
Tabela Z.4. Zbiorcze wyniki oceny dojrzałości zarządzania zapewnianiem ciągłości działania w za-kładach ubezpieczeń
Liczba zakładów
ubezpiecze-niowych
Zakres podstawowy Zakres zaawansowanyPoziom
dojrzałościPrzyzwolenie wysokiego
kierownictwa
Profesjonalne wsparcie
Zarzą--dzanie
Powszechny udział
Planowanie działań
Współ-działanie
0 Nie Nie Nie Nie Nie Nie Intuicyjny 1
49% / 6%w tym:dz. I – 2 (5%)dz. II – 2 (8%)
Marginalny Częściowy Nie Nie Nie Nie Popierany 2
2248% / 33%w tym:dz. I – 8 (40%)dz. II – 14 (54%)
Częściowy TakCzę-ścio-wy
Nie Nie Nie Centralnie kierowny 3
1430% / 21%w tym:dz. I – 7 (35%)dz. II – 7 (27%)
Tak Tak Tak Tak Nie Nie Świadomy 4
49% / 6%w tym:dz. I – 2 (10%)dz. II – 2 (8%)
Tak Tak Tak Tak Tak Nie Doskonalony 5
24% / 3%w tym:dz. I – 2 (10%)dz. II – 0
Tak Tak Tak Tak Tak Tak Zintegrowany 6
Źródło: [Zawiła-Niedźwiecki, 2007b]
Załącznik – Raport z badań 164
Tabela Z.5. Zbiorcze wyniki badania zarządzania zapewnianiem ciągłości działania w zakładach ubezpieczeń
Pytanie 1.Czy w praktyce bieżącego zarządzania towarzystwem emerytalnym stosowane jest pojęcie ryzyka ope-racyjnego oraz pojęcie zapewniania ciągłości działania (zwane też: BCP – business continuity planning, DRP – disaster recovery planning) oraz czy wprowadzone są wyodrębnione lub wskazane w formalnych uregulowaniach wewnętrznych towarzystwa rozwiązania zarządzania zapewnianiem ciągłości działania?
Nie 2 (4%)
Zdecydowanie tak
Trwa wdrażanie
Nie
Tak Wyróżniają pojęcie i problem ryzyka opera-cyjnego 37 (80%) – 9
Zajmują się ciągłością działania 38 (85%) 6 2
Istnieje forum kierownicze zarządzania za-pewnianiem ciągłości działania 24 (52%) 5 17
Istnieje sztab kryzysowy 23 (50%) 3 20
Istnieje dokument deklaracji polityki zapew-niania ciągłości działania 22 (48%) 3 21
Istnieje rozpisanie ról i zadań między komórki organizacyjne 26 (57%) 7 13
Okresowo jest powtarzana analiza ryzyka 20 (43%) 4 22
Istnieją spisane scenariusze awaryjne (sy-tuacji krytycznych) 25 (54%) 5 16
Prowadzone są testy sytuacji awaryjnych (krytycznych) 20 (43%) 1 25
Pytanie 2.Czy w praktyce zarządzania zapewnianiem ciągłości działania prowadzona jest wszechstronna i syste-matyczna analiza ryzyka operacyjnego, potencjalnie skutkującego zakłóceniami ciągłości działania?
Nie 6 (13%)
Zdecydowanie tak
Trwa wdrażanie
Nie
Tak Zdefiniowano krytyczne procesy 27 (59%) 5 14
Określono maksymalny dopuszczalny czas zatrzymania procesów krytycznych 19 (41%) 1 26
Zidentyfikowano potencjalne zagrożenia 27 (59%) 9 10
Zidentyfikowano podatności 19 (41%) 9 18
Istnieje komórka odpowiedzialna za taką jw. analizę ryzyka 23 (50%) 4 19
Opis badań 165
Pytanie 3.Czy w praktyce zarządzania zapewnianiem ciągłości działania stosowane są zróżnicowane podejścia wykorzystujące zasady prewencji oraz racjonalności ekonomicznej rozwiązań?
Nie 9 (20%)
Zdecydowanie tak
Trwa wdrażanie
Nie
Tak Podejście tolerowania 26 (57%) 2 17
Podejście monitorowania 25 (54%) 2 18
Podejście zapobiegania 19 (41%) 3 23
Podejście planowania zapewniania ciągłości działania 24 (52%) 1 20
inne 5 (11%) –
Nie wiadomo 1 (2%)
Pytanie 4.Czy w praktyce zarządzania zapewnianiem ciągłości działania zadbano o jednolitość, kompletność i łatwą dostępność dokumentacji planów i/lub scenariuszy reagowania na zakłócenia lub sytuacje kryzysowe?
Nie 17 (37%)
Zdecydowanie tak
Trwa wdrażanie
Nie
Tak Jedna komórka organizacyjna odpowiada za dokumentację
22 (48%) 6 18
Istnieje jednolity wzór dokumentacji 9 (20%) 5 32
Istnieje procedura dystrybucji zaktualizo-wanej dokumentacji
9 (20%) 2 35
Istnieje przypisanie indywidualnej odpowie-dzialności za merytoryczna zawartość pla-nów i scenariuszy
15 (33%)3 28
Istnieje obowiązek rejestrowania wydarzeń nadzwyczajnych (baza incydentów)
12 (26%) 3 31
Istnieje obowiązek dokumentowania dzia-łań w toku sytuacji kryzysowej
9 (20%) 4 33
Pytanie 5.Czy zadbano, aby uregulowania oraz rozwiązania zapewniania ciągłości działania były zgodne z przepi-sami prawa, zwłaszcza prawem pracy i przepisami bhp?
Nie 10 (22%)
Zdecydowanie tak
Trwa wdrażanie
Tak 27 (58%) 1
Nie wiadomo 8 (17%)
Załącznik – Raport z badań 166
Pytanie 6.Zarządzanie zapewnianiem ciągłości działania jest częścią zarządzania ryzykiem operacyjnym. Dlatego też prosimy o ocenę z perspektywy doświadczeń Państwa zakładu ubezpieczeń, czy zarządzanie ryzykiem operacyjnym jest w relacji do ryzyka biznesowego problemem/wyzwaniem:
Tej samej wagi 8 (17%)
Zbliżonej wagi 28 (61%)
Wyraźnie mniejszej wagi 5 (11%)
Znikomej wagi 1 (2%)
Brak odpowiedzi 4 (9%)
Źródło: [Zawiła-Niedźwiecki, 2007b].
Model zapewniania ciągłości działania jako wynik badań oraz jego aplikacyjnośćOpismodelu zostałumieszczonyw tekściegłównymmonografiiw rozdziale6. Ciągłość działaniajakotrzykolejnepodrozdziały:Modelowe zapewnianie ciągłości działania,Organizacja zapewniania ciągłości działania i Tok zapewniania ciągłości działania.
Wzorcemw systematycznympodejściudo zapewniania ciągłości działaniajestkoncepcjaBCM(BusinessContinuityManagement)określonaprzezBusinessContinuityInstitute59następująco:
DopowyższejdefinicjiodwołująsięnormyISO22301,BS25777 i BS25999. Rekomendują one spiralny cykl procesu zarządzania zapewnianiem ciągłościądziałania,copokazujerysunekZ.2.
Kolejnerekomendowanekrokito:1. Ustaleniekrytycznychprocesówbiznesowych,grożącegoimryzyka,po-siadanychzasobówizdolnościdoprzeciwstawieniasięryzyku,wymagańwzakresiezapewnianiaciągłości.
2. Wariantoweokreślenie,wjakisposóborganizacjaosiągniecel,jakimjestspełnieniewymagań,zwłaszczabiznesowych,codooczekiwanegopoziomu
59 Zob.www.thebci.org
BCM to holistyczny proces zarządzania, który ma na celu określenie potencjalnego wpływu zakłóceń na organizację i stworzenie warunków budowania odporności na nie oraz zdol-ności skutecznej reakcji w zakresie ochrony kluczowych interesów właścicieli, reputacji i marki organizacji, a także wartości osiągniętych w jej dotychczasowej działalności.
167Model zapewniania ciągłości działania jako wynik badań...
Zarz
ądza
nie
ryzy
kiem
Odtw
orze
nie
dział
alnoś
ci –
DR
Zarz
ądza
nie
nier
ucho
moś
ciam
i
Zarz
ądza
nie
łańc
uche
m d
osta
w
Zarz
ądza
nie
jako
ścią
Zarz
ądza
nie
BHP
Zarz
ądza
nie
wied
zą
Zarz
ądza
nie
kryz
ysow
e
Zarz
ądza
nie
bezp
iecze
ństw
em
Kom
unika
cja
kryz
ysow
a &
PR
BCM: Zarządzanie Ciągłością Działania
O
s ad
z en i e
BC M w k u l t u r z e o r g a n
i z ac
j i
1Zrozumienieorganizacji
2Określenie strategii
BCM
4Testowanie utrzymanie
i audyt
3Opracowanie i wdrożenie
BCM
Zarządzanie programem
BCM
Rysunek Z.1. Holistyczny proces zarządzania zapewnianiem ciągłości działania
Źródło: [Business Continuity Institute, 2004].
Rysunek Z.2. Modelowy cykl zarządzania zapewnianiem ciągłości działania (BCM)
Źródło: norma BS 25999.
Załącznik – Raport z badań 168
zapewnianiaciągłościdziałania,czylikwestie:cobędzieodtwarzanewsy-tuacjikryzysowej,gdzie,wjakiejkolejności,wjakigeneralniesposób?
3. Projektowanie rozwiązań zapewniania ciągłości działania jest zadaniemwyodrębnionym,alerównocześnieściślepowiązanymzcharakteremorga-nizacji,jejspecyfiką,otoczeniem,kompetencjamipracowników.
4. Wdrażanierozwiązańinabywanieumiejętnościzapewnianiaciągłościdzia-łaniajestzadaniemspecyficznymprzezfakt,żeodbywasięprzeważnienazasadzie testówwwarunkach symulowanych,anie rzeczywistych.Nie-mniejjednaksłużyzabezpieczeniuprzedrzeczywistymizagrożeniami,awobectegowymagaautentycznychumiejętności.Działanietestoweiwrzeczywistychsytuacjachkryzysowychdostarczadoświadczenia,którejestpodstawąweryfikowaniaorazmodyfikowaniapostępowaniairozwią-zańwszystkichpoprzednichkroków.
5. Osadzeniezagadnieniawkulturzeorganizacjioznaczawprowadzeniege-neralnej zasady, żeproblematyka ciągłościdziałaniadotyczywszystkichpracowników,każdyznichpowinienznaćrozwiązaniadotyczącejegosta-nowiskapracy,alerównieżpowinienaktywnieuczestniczyćwopracowy-waniutakichrozwiązań.
Takierekomendowanepodejściezostałouwzględnionewostatecznejpostacimodeluwypracowanegowtokubadańopisanychwniniejszejpracy.Modelten:
bazujenaprzeświadczeniu,żeryzykojestnieuniknioneiżepewnezdarze-niakrytyczneorazzwiązaneznimistratysąnieuchronne, opierasięnapodejściuprocesowym, realizujemechanizmstałegodoskonalenia,anawetczynizniegoswojąnaczelnącechępostępowaniaorganizatorskiego, wiążenierozerwalniedziałaniaprewencyjne(bezpieczeństwo)zdziała-niaminaprawczymi, niuansujepodejściazapewnianiaciągłościstosowniedoznaczenia iczę-stotliwościwystępowaniaposzczególnychzakłóceń, bazujenakompetencjachiwspieraichrozwijanie, podkreślaznaczenieczynnikaludzkiegoworganizacji,gdyżwwarunkachnadzwyczajnych ten zasób organizacji jest najbardziej elastyczny i kre-atywny.
Pokazanewpracymetodycznepodejściedozarządzaniazapewnianiemcią-głości działaniamoże byćwykorzystanew różnychmetodykach projektowaniarozwiązań.Zależnieodreprezentowanegoprzeznie rozłożeniaakcentówmożeprzyjmować różny kształt koncepcyjny, odmaksymalnego do proporcjonalnego(zakładamy, że nie jest rozważanynihilistycznyprzypadek zaniedbywania tegowyzwaniawzarządzaniuorganizacją).
Podejściemaksymalnecharakteryzujesiętym,żerozwiązaniazapewnianiaciągłościdziałaniasąodrazuopracowywanenapoziomiemaksymalnychwyzwań,jakiewyznaczają zidentyfikowane zagrożenia. Przykładem jestmetodyka DRII.
Model zapewniania ciągłości działania jako wynik badań...
Prezentowanewniej podejście jest przedewszystkimpragmatyczne, opartenawieloletnimdoświadczeniuautorów,praktykówzarządzania.Niepodajeonapod-stawmetodycznych, tylko bezpośredniewskazówki projektowania. Z uwagi nawieloletniestosowaniewlicznychprojektachjestonabardzopopularna,zwłaszczawśródkorporacjiifirmsektorafinansowego[Zawiła-Niedźwiecki,2008]. Podejściemaksymalnestanowizarównoozaletach,jakiwadachmetodyDRII.Czasopraco-wywaniarozwiązaniajestproporcjonalnydorozmiaruorganizacji.Metodatajestzalecanaorganizacjom,które–zwłaszczazuwaginaobowiązującewymogiprawne–chcądokonaćjednorazowegoskokuodstanubrakudojrzałegozarządzaniaza-pewnianiemciągłościdziałaniadostanuposługiwaniasięwyrafinowanymiikom-pleksowymirozwiązaniamizapewnianiaciągłościdziałania.Zreguływdrażaniezarządzania zapewnianiem ciągłości działania tą metodą wymaga pomocy do-świadczonychdoradcówzewnętrznych.
PrzykłademzkoleipodejściaproporcjonalnegojestjużobszernieomówionawtejpracymetodykaTSM-BCP(patrzpodrozdz.6.3 i rys.6.2),któraprzyjmuje,żepierwszerozwiązaniazapewnianiaciągłościdziałaniapowinnybyćadekwatnedozdolnościprzeciwstawieniasięzagrożeniom,wtymzwłaszczadokompetencjipracowników,apodstawązapewnianiaodpornościnazagrożeniamabyćstałeiharmonijnerozwijanierozwiązańbezpieczeństwaizapewnianiaciągłościorazkompetencjipracowników.
BibliografiaAdamieckiK.[1972],Harmonizacja jako jedna z głównych podstaw organizacji naukowej,[w:]KurnalJ.
(red.)Twórcy naukowych podstaw organizacji,PWE,Warszawa.AndersenB.[1995],Benchmarking,[w:]RolstadasA.(red.),Performance Management,Chapman&Hall,
Londyn.ArgyrisC.,PutnamR.,SmithD.M.[1985],Action Science,Jossey-Bass,SanFrancisco.ArmstrongC.S. [2001],Engineering and Product Development Management. The Holistic Approoach,
CambridgeUniversityPress,Cambridge.BartosiewiczS.,Bogucki J. [2008],Odrzańska droga wodna w obszarze regionu wodnego Środkowej
Odry,RegionalnyZarządGospodarkiWodnejweWrocławiu,Wrocław.BaselCommitteeonBankingSupervision[2010],Sound Practices for the Management and Supervision
of Operational Risk – consultative document,BankforInternationalSettlements,Bazylea.BBA,ISDA,RMA[1999],Operational Risk: The Next Frontier,BritishBankers’Association,Philadelphia.BeckU.[2002],Społeczeństwo ryzyka. Na drodze ku innej nowoczesności,Scholar,Warszawa.BerlińskaJ. [2010],Plany ciągłości działania w systemach produkcyjnych, „Ekonomika iOrganizacja
Przedsiębiorstwa”nr5.BernsteinP.L.[1997],Przeciw bogom. Niezwykłe dzieje ryzyka,WIG-PRESS,Warszawa.BiałasA.[2007],Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie,WNT,Warszawa.Bizon-GóreckaJ.[1998],Monitoring czynników ryzyka w przedsiębiorstwie,TNOiK,Bydgoszcz.Bizon-GóreckaJ.[2001],Strategie zarządzania ryzykiem w organizacji gospodarczej,„PrzeglądOrgani-
zacji”nr1.BlimM.,ByczkowskiM.,Zawiła-NiedźwieckiJ.[2003],TSM – Total Security Management. Zalecenia do
tworzenia Polityki Bezpieczeństwa Operacyjnego,EuropeanNetworkSecurityInstitute,Warszawa.Blim M.,Byczkowski M.,Zawiła-Niedźwiecki J. [2004],Polityka Bezpieczeństwa Informacji (model),
EuropeanNetworkSecurityInstitute,Warszawa.Blim M.,Byczkowski M.,Zawiła-NiedźwieckiJ.[2005],Koncepcja zintegrowanego zarządzania bezpie-
czeństwem organizacji,[w:]MareckiF.,GrabaraJ.,NowakJ.(red.)Systemy informatyczne. Ban-kowość i finanse,WNT,Warszawa.
BocheńskiJ.M.[1993],Przyczynek do filozofii przedsiębiorstwa,[w:]Logika i filozofia,PWN,Warszawa.BorkowskaS.(red.)[2005],Zarządzanie talentami,IPiSS,Warszawa.BorowieckiR.[2009],Zarządzanie zmianami w organizacji w warunkach globalizacji,[w:]Nowicka-
-SkowronM.(red.),Zarządzanie sieciami współdziałania w procesie budowy innowacyjnej organi-zacji i regionu,PolitechnikaCzęstochowska–PAN,Częstochowa.
BorowieckiR.,CzekajJ.(red.)[2010],Zarządzanie zasobami informacyjnymi w warunkach nowej go-spodarki,Difin,Warszawa.
BrzozowskiM.[2010],Organizacja wirtualna,PWE,Warszawa.BusinessContinuityInstitute[2004],Business Continuity Management: Good Practice Guidelines.
Bibliografia 172
Byczkowski M.,Zawiła-NiedźwieckiJ.[2009],Information Security Aspect of Operational Risk Manage-ment„FoundationsofManagement”nr2.
CanJ.[1995],Taxonomy-based Risk Identification,CarnegieMellonUniversity,Pittsburgh.CasualActuarialSociety[2003],Overview of Enterprise Risk Management,EnterpriseRiskManagement
Committee.ChartersI.[2011],A Practical Approach to BIA,BritishStandardsInstitution,Londyn.ChmielewskiJ.M.,SzomańskiB.,WaćkowskiK.[2010],Przegląd wybranych standardów i norm stoso-
wanych w informatyce,[w:]Zawiła-NiedźwieckiJ.,RostekK.,GąsiorkiewiczA.(red.),Informatyka gospodarcza,C.H.Beck,Warszawa.
ChrostowskiA.[2006],Metoda Action research w doradztwie strategicznym,pracadoktorska,UniwersytetWarszawskiWydziałZarządzania,Warszawa.
CiesielskiM.(red.)[2006],Logistyka w biznesie,PWE,Warszawa.ConrowE.H.[2000],Effective Risk Management. Some Keys to Success,AmericanInstituteofAeronautics
andAstronauticsInc.,Reston.CruzM.(red.)[2004],Operational Risk Modelling and Analysis. Theory and Practice,IncisiveMedia,
Londyn.CulpC.L.[2002],The Art of Risk Management: Alternative Risk Transfer, Capital Structure and the Con-
vergence of Insurance and Capital Market,NowyJork.CyglerJ.[2009],Kooperencja przedsiębiorstw,OficynawydawniczaSGH,Warszawa.CzakonW.[2009],Mity o badaniach jakościowych w naukach o zarządzaniu,„PrzeglądOrganizacji”nr9.CzakonW.[2010],Zasobowa teoria firmy w krzywym zwierciadle,„PrzeglądOrganizacji”nr4.CzakonW.[2011],Paradygmat sieciowy w naukach o zarządzaniu,„PrzeglądOrganizacji”nr11.CzekajJ.,ĆwiklickiM.[2009],Infonomika jako dyscyplina naukowa,„E-mentor”nr2.CzekajJ.,DreslerZ.[2008],Podstawy zarządzania finansami firm,WNPWN,Warszawa.CzekajJ.,LisińskiM.(red.)[2011],Rozwój koncepcji i metod zarządzania,FundacjaUniwersytetuEko-
nomicznegowKrakowie.DahlgaardJ.J.,KristensenK.,KanjiG.K.[2004],Podstawy zarządzania jakością,WNPWN,Warszawa.DamodaranA.[2009],Ryzyko strategiczne,WydawnictwoAkademiiLeonaKoźmińskiego,Warszawa.Dańska-BorsiakB.[2011],Dynamiczne modele panelowe w badaniach ekonomicznych,Wydawnictwo
UniwersytetuŁódzkiego,Łódź.DavidsonR.[2010],Zarządzanie ciągłością działania systemów,[w:]Zawiła-NiedźwieckiJ.,RostekK.,
GąsiorkiewiczA.(red.),Informatyka gospodarcza,C.H.Beck,Warszawa.DixitA.K.,NalebuffB.J.[2008],Sztuka strategii,MTBiznes,Warszawa.DoktórK.(red.)[1977],Socjologia organizacji,Wrocław.DöbeliB.,LeippoldM.,VaniniP.[2003],From Operational Risk to Operational Excellence,RiskWaters
Group,Londyn.DruckerP.F.[2000],Wiek nieciągłości, Zarządzanie XXI wieku – wyzwania,Muza,Warszawa.DworzeckiZ.,NogalskiB.(red.)[2011],Przełomy w zarządzaniu. Kontekst strategiczny,TNOiK,Toruń.DyrdaS.,GraniszewskiW.,ŚwiątekG.[2010],Sieci komputerowe,[w:]Zawiła-NiedźwieckiJ.,RostekK.,
GąsiorkiewiczA.(red.),Informatyka gospodarcza,C.H.Beck,Warszawa.FayolH.[1972],Ogólne zasady administracji,[w:]KurnalJ.(red.),Twórcy naukowych podstaw organi-
zacji,PWE,Warszawa.FERMA[2003],Standard zarządzania ryzykiem.ForystekM.[2005],Audyt informatyczny, Infoaudyt,Zgierz.Frankfort-NachmiasC.,NachmiasD.[2001],Metody badawcze w naukach społecznych,ZyskiS-ka,Poznań.GasparskiW.[2007],Wykłady z etyki biznesu: Nowa edycja uzupełniona,WSPiZ,Warszawa.GołąbP.[2009],Business Continuity Management,[w:]Monkiewicz,J.GąsiorkiewiczL.(red.),Risk
Management. Concept-Models-Issues,Elipsa,Warszawa.Gołąb P.,Zawiła-NiedźwieckiJ.[2010],Zapewnianie ciągłości działania jako ograniczanie ryzyka opera-
cyjnego,[w:]MonkiewiczJ.,GąsiorkiewiczL.(red.),Zarządzanie ryzykiem działalności organizacji,C.H.Beck,Warszawa.
173Bibliografia
GoszczyńskaM.,StudenskiR.(red.)[2006],Psychologia zachowań ryzykownych. Koncepcje- badania--praktyka,WydawnictwoAkademickieŻAK,Warszawa.
GórskaE.,LewandowskiJ. [2002],Podstawy zarządzania i kształtowania środowiska pracy,OficynaWydawniczaPolitechnikiWarszawskiej,Warszawa.
GreenwoodD.J.,LevinM.[1998],Introduction to Action Research,SagePublications,Londyn.GroblerA.[2008],Metodologia nauk,Aureus+Znak,Kraków.GrockiR.[2012],Zarządzanie kryzysowe,Difin,Warszawa.GrudzewskiW.,HejdukI.[2000],Przedsiębiorstwo przyszłości,Difin,Warszawa.GrudzewskiW.,HejdukI.,SankowskaA.,WańtuchowiczM.[2009],Zarządzanie zaufaniem w przedsię-
biorstwie,WoltersKluwer,Kraków.GrudzewskiW., Hejduk I., Sankowska A.,WańtuchowiczM. [2010], Sustainability w biznesie czyli
przedsiębiorstwo przyszłości,Poltext,Warszawa.GrudzewskiW.,MerskiJ.[2004],Zarządzanie wiedzą istotą współczesnych organizacji inteligentnych,
WSE,Warszawa.GulskiB.[2010],Zastosowanie koncepcji zapewnienia ciągłości działalności przedsiębiorstwa w wykorzy-
stywaniu okazji,„OrganizacjaiZarządzanie”nr2.HammerM.,ChampyJ.[1996],Reengineering w przedsiębiorstwie,NeumannManagementInstitute,
Warszawa.HamrolA.[2005],Zarządzanie jakością z przykładami,PWN,Warszawa.HandschkeJ.,MonkiewiczJ(red.)[2010],Ubezpieczenia. Teoria i praktyka,Poltext,Warszawa.vanderHeijdenK.[2000],Planowanie scenariuszowe w zarządzaniu strategicznym,OficynaEkonomiczna,
Kraków.Help-desk[2007],OGC,Londyn.HilesA.[1993],Service Level Agreements: Measuring Cost and Quality in Service Relationships,Chapman
&Hall,Londyn.HondenrichT.(red.)[1998],Encyklopedia filozofii,ZyskiS-ka,Poznań.Hopej-KamińskaM.,KamińskiR.[2009],Przeciwdziałanie sytuacjom kryzysowym a kultura organizacyjna,
„PrzeglądOrganizacji”nr3.JabłońskiD.[2013],Identyfikacja czynników niepewności w działalności przedsiębiorstwa,[w:]Mączyńska
E.,Procesy upadłościowe i naprawcze w Polsce na tle doświadczeń Unii Europejskiej,WydawnictwoSGH,Warszawa.
JagodaH.,LichtarskiJ.[2003],O istocie i ewolucji współczesnych koncepcji i metod zarządzania przed-siębiorstwem,„PrzeglądOrganizacji”nr1.
JajugaK.(red.)[2007],Zarządzanie ryzykiem,WNPWN,Warszawa.JajugaK.,JajugaT.[2008],Inwestycje,WNPWN,Warszawa.JaneczkoS.[1996],Wybrane zagadnienia teorii katastrof,OficynaWydawniczaPolitechnikiWarszaw-
skiej,Warszawa.JaworskiW.L.,ZawadzkaZ.(red.)[2004],Bankowość,Poltext,Warszawa.JedynakP.[2007],Pomiar skuteczności i efektywności procesów jako narzędzie oceny systemów zarządza-
nia jakością,XMiędzynarodowaKonferencjaNaukowa„Zarządzanieprzedsiębiorstwem.Teoriaipraktyka”,UczelnianeWydawnictwoNaukowo-DydaktyczneAGH,Kraków
JedynakP.,SzydłoS.[1997],Zarządzanie ryzykiem,Ossolineum,Wrocław.KaczmarekT.[2003],Zarządzanie zdywersyfikowanym ryzykiem w świetle badań interdyscyplinarnych:
typologia i semantyka,WydawnictwoWyższejSzkołyZarządzaniaiMarketingu,Warszawa.KaczmarekT.[2006],Ryzyko i zarządzanie ryzykiem. Ujęcie interdyscyplinarne,Difin,Warszawa.KaczmarekT.,ĆwiekG.[2009],Ryzyko kryzysu a ciągłość działania,Difin,Warszawa.KaszubskiR.,RomańczukD.(red.)[2012],Księga dobrych praktyk w zakresie zarządzania ciągłością
działania,ZBP,Warszawa.KatzD.,KahnR.L.[1979],Społeczna psychologia organizacji,PWN,Warszawa.KendallR.[2000],Zarządzanie ryzykiem dla menedżerów. Praktyczne podejście do kontrolowania ryzyka,
Liber,Warszawa.
Bibliografia 174
KlimczakK.[2008],Pochodzenie ryzyka,[w:]StaniecI.,Zawiła-NiedźwieckiJ.(red.)Zarządzanie ryzy-kiem operacyjnym,C.H.Beck,Warszawa.
KnightF.H.[1957],Risk, uncertainty and profit,NowyJork.KoneckiK.[2000],Studia z metodologii badań jakościowych. Teoria ugruntowana,WNPWN,Warszawa.KoontzH.,WeihrichH.[2007],Essentials of Management,McGraw-HillPublishing.KorzeniowskiL.F.[2012],Podstawy nauk o bezpieczeństwie. Zarządzanie bezpieczeństwem,Difin,Warszawa.KosieradzkaA.[2012],Zarządzanie produktywnością w przedsiębiorstwie,C.H.Beck,Warszawa.KosieradzkaA.(red.)[2013],Metody i techniki pobudzania kreatywności w organizacji i zarządzaniu,
edu-Libri,Kraków.KosteraM.[2003],Antropologia organizacji. Metodologia badań terenowych,WNPWN,Warszawa.KotarbińskiT.[1973],Traktat o dobrej robocie,Ossolineum,Wrocław.KozieleckiJ.[1977],Psychologiczna teoria decyzji,PWN,Warszawa.KoźmińskiA.[1976],Analiza systemowa organizacji,PWE,Warszawa.KoźmińskiA.[2004],Zarządzanie w warunkach niepewności,WNPWN,Warszawa.KrajewskiW.[1987],Determinizm i indeterminizm[w:]Filozofia i nauka,Ossolineum,Wrocław.KrasodomskaJ.[2008],Zarządzanie ryzykiem operacyjnym w bankach,PWE,Warszawa.KrupskiR.[2011],Okazje w zarządzaniu strategicznym przedsiębiorstwa,„OrganizacjaiKierowanie”nr4.KrupskiR.[2012a],Dwie koncepcje strategii organizacji – razem czy osobno?,„PrzeglądOrganizacji”nr1.KrupskiR.[2012b],Rozwój szkoły zasobów zarządzania strategicznego,„PrzeglądOrganizacji”nr4.KrzyżanowskiL.[1994],Podstawy nauk o organizacji i zarządzaniu,PWN,Warszawa.KrzyżanowskiL.[1999],O podstawach kierowania organizacjami inaczej: paradygmaty, metafory, mo-
dele, filozofia, metodologia, dylematy i trendy,WNPWN,Warszawa.Kubińska-KaletaE.[2008],Zarządzanie ryzykiem w przedsiębiorstwach przemysłowych na przykładzie
huty stali(pracadoktorska),AGH,Kraków.LichtarskiJ.[2010],Profile orientacji w zarządzaniu przedsiębiorstwem i kształtujące je czynniki,[w:]
JagodaH.,LichtarskiJ.(red.)Kierunki i dylematy rozwoju nauki i praktyki zarządzania przedsię-biorstwem,WydawnictwoUniwersytetuEkonomicznegoweWrocławiu,Wrocław
LidermanK.[2012],Bezpieczeństwo informacyjne,WNPWN,WarszawaLidwaW.[2010],Zarządzanie w sytuacjach kryzysowych,WydawnictwoAkademiiObronyNarodowej,
Warszawa.LisieckaK.[2001],Systemy zarządzania jakością i kryteria pomiaru ich efektywności,„Problemyjakości”
nr9.LisińskiM.[2004],Metody planowania strategicznego,PWE,Warszawa.LoaderD.[2006],Operations Risk Managing a Key Component of Operational Risk,Oksford.ŁańcuckiJ.[2006],Podstawy kompleksowego zarządzania jakością TQM,WydawnictwoAkademiiEko-
nomicznejwPoznaniu,Poznań.ŁobejkoS.(red.)[2012],Przedsiębiorstwa sieciowe i inne formy współpracy sieciowej,WydawnictwoSGH,
Warszawa.MacełkoM.[2009],Fenomen sieci,„OrganizacjaiZarządzanie”nr1.MalaraZ.,RzęchowskiJ.[2011],Zarządzanie informacją na rynku globalnym,C.H.Beck,Warszawa.MarciniakS.[2008],Controlling. Teoria, zastosowania,Difin,Warszawa.MarciniakS.[2013],Zarządzanie w dobie kryzysu,artykułzłożonywperiodyku„OrganizacjaiKierowanie”.MaslowA.H.[2004],W stronę psychologii istnienia,Rebis,Poznań.Masłyk-MusiałE.[2003],Organizacje w ruchu. Strategie zarządzania zmianami,OficynaEkonomiczna,
Warszawa.Masłyk-Musiał E. [2005], Zarządzanie kompetencjami w organizacji, Oficyna Wydawnicza Wyższej
SzkołyMenedżerskiej,Warszawa.MatkowskiP.[2006],Zarządzanie ryzykiem operacyjnym,WoltersKluwer,Kraków.MitroffI.I.,PearsonC.M.[1998],Zarządzanie sytuacją kryzysową,BusinessPress,Warszawa.
175Bibliografia
MonkiewiczJ.[2010],Przedsiębiorstwo jako podmiot ryzyka – rozwój koncepcji zarządzania ryzykiem [w:]J.Monkiewicz,L.Gąsiorkiewicz(red.),Zarządzanie ryzykiem działalności organizacji,C.H.Beck,Warszawa.
MonkiewiczJ.(red.)[2004],Podstawy ubezpieczeń,Poltext,Warszawa.Monkiewicz J.,HadyniakB. (red.) [2010],Ubezpieczenia w zarządzaniu przedsiębiorstwem, Poltext,
Warszawa.MonkiewiczM.[2010],Globalizacja systemu ubezpieczeniowego,[w:]HandschkeJ.,MonkiewiczJ.(red.),
Ubezpieczenia. Teoria i praktyka,Poltext,Warszawa.MooreP.G.[1975],Ryzyko w podejmowaniu decyzji,PWE,Warszawa.MorganG.[2001],Wyobraźnia organizacyjna,WNPWN,Warszawa.MyersG.,SandlerC.,BadgettT.,ThomasT.[2005],Sztuka testowania oprogramowania,Gliwice.NadlerG.[1967],Work Systems Design. The Ideals Concept, Irwin,Homewood.NahotkoS.[1996],Diagnozowanie menedżerskie w zarządzaniu przedsiębiorstwem,TNOiK,Bydgoszcz.NoccoB.W.,StultzR.M.[2006],Enterprise Risk Management. Theory and Practice,OhioStateUniversity.NogalskiB.,SzpitterA.,RybakB.[2012],Rozważania o potrzebie elastyczności w zarządzaniu przedsię-
biorstwem w warunkach turbulencji i nieprzewidywalności,[w:]RokitaJ.(red.)., Nauki o zarzą-dzaniu wobec nieprzewidywalności i złożoności zmian, Wydawnictwo Górnośląskiej WyższejSzkołyHandlowej,Katowice.
NowakA.Z.,SteagallJ.,BaliamouneN.[2004],Globalization, International Business and European Integration, Centrum Europejskie UniwersytetuWarszawskiego i Coggin College of BusinessUniversityofNorthFlorida,WarszawaiJacksonville.
NowosielskiS.[2008],Podejście procesowe a współczesne koncepcje i metody zarządzania organizacją,[w:]Kierunki i dylematy rozwoju nauki o przedsiębiorstwie,PracenaukoweUniwersytetuEkono-micznegoweWrocławiunr34.
ObłójK.[2007],Strategia organizacji. W poszukiwaniu trwałej przewagi konkurencyjnej,PWE,Warszawa.ObłójK.[2010],Pasja i dyscyplina strategii,Poltext,Warszawa.OrzełJ.[2012],Zarządzanie ryzykiem operacyjnym za pomocą instrumentów pochodnych,WNPWN,
Warszawa.PencJ.[2000],Decyzje w zarządzaniu,Placet,Warszawa.PencJ.[2010],Strategiczny system zarządzania,Placet,Warszawa.PerechudaK.(red)[2005],Zarządzanie wiedzą w przedsiębiorstwie,WNPWN,Warszawa.PerencJ.,Hołub-IwanJ.[2011],Innowacje w rozwijaniu konkurencyjności firm,C.H.Beck,Warszawa.PerryC.,RiegeA.,BrownL.[2004],Scientific Paradigms in Marketing Research about Networks,[w:]
R.Buber,J.Godner,L.Richards(red.),Applying Qualitative Methods to Marketing Management Research,PalgraveMacmilian,NowyJork.
PihowiczW.[2008],Inżynieria bezpieczeństwa technicznego,WNT,Warszawa.PlebańskaM.[2013],Platforma e-learningowa jako system zarządzania wiedzą,edu-Libri,Kraków.PoznańskaK.,SobieckiR.(red.)[2012],Innowacje w przedsiębiorstwie,WydawnictwoSGH,Warszawa.PritchardC.[2001],Zarządzanie ryzykiem w projektach. Teoria i praktyka,WIG-Press,Warszawa.ProbstG.,RaubS.,RomhardtK.[2002],Zarządzanie wiedzą w organizacji,OficynaEkonomiczna,Kraków.Przybylska-KapuścińskaW.,MozalewskiM.[2011],Kapitał wysokiego ryzyka,PWE,Warszawa.PszczołowskiT.[1978],Mała encyklopedia prakseologii i teorii organizacji,Ossolineum,Wrocław.QuinnJ.B.,MintzbergH.,JamesR.M.[1993],The Strategy Process, Contexts and Cases,Prentince-Hall
InternationalInc,Rijswijk.Ratajczak-MrozekM.[2009],Główne cechy relacji sieciowych przedsiębiorstw (podejście sieciowe, network
approach),„OrganizacjaiKierowanie”nr4.ReasonP.,BradburyH.(red.)[2001],Handbook of Action Research Participative Inquiry and Practice,
SagePublications,Londyn.ReillyF.K.,BrownK.C.[2001],Analiza inwestycji i zarządzanie portfelem,PWE,Warszawa.RomanowskaM.[2009],Planowanie strategiczne w przedsiębiorstwie,PWE,Warszawa.RummlerG.A.,BracheA.P.[2000],Podnoszenie efektywności organizacji,PWE,Warszawa.
Bibliografia 176
RutkowskiK.(red.)[2008],Najlepsze praktyki w zarządzaniu łańcuchem dostaw, WydawnictwoSGH,Warszawa.
SadowskiW.[1960],Teoria podejmowania decyzji,PWE,Warszawa.SchwartzT.[2007],Zarządzaj swoją energią, a nie czasem,„HarvardBusinessReviewPolska”nr12.SengeP.M.[2006],Piąta dyscyplina. Teoria i praktyka organizacji uczących się,WoltersKluwer,Kraków.SierpińskaM.(red.)[2007],System raportowania wyników w controllingu operacyjnym,VIZJAPRESS&IT,
Warszawa.SierpińskaM.,JachnaT.[2007],Metody podejmowania decyzji finansowych,WNPWN,Warszawa.SiwekM.,OnyszczukJ.,BagińskiJ.[2006],Skuteczność, efektywność, a produktywność,„Problemyja-
kości”nr9.Skalik J. [2008],Strategiczne aspekty zarządzania zmianami w przedsiębiorstwie, [w:]KrupskiR.,
Zarządzanie strategiczne. Podstawowe problemy, PraceNaukoweWałbrzyskiejWyższej SzkołyZarządzaniaiPrzedsiębiorczości,Wałbrzych.
SkomraW.[2010],Zarządzanie kryzysowe – praktyczny przewodnik po nowelizacji ustawy,Wyd.PresscomWrocław.
SkrobanK.[2010],Testowanie oprogramowania[w:]Zawiła-NiedźwieckiJ.,RostekK.,GąsiorkiewiczA.,Informatyka gospodarcza,Warszawa.
SkrzypekE.[2000],Jakość i efektywność,WydawnictwoUMCS,Lublin.SkrzypekE.[2003],Efektywność procesów w przedsiębiorstwie,[w:]T.Wawak(red.),Zmieniające się
przedsiębiorstwo w zmieniającej się politycznie Europie,WydawnictwoInformacjiEkonomicznejUniwersytetuJagiellońskiego,Kraków.
Soczko M.,Zawiła-NiedźwieckiJ.[2008],Ryzyko operacyjne i jego szacowanie (współautor),[w:]R.Kno-sala(red.)Komputerowo zintegrowane zarządzanie,WydawnictwoPolitechnikiOpolskiej,Opole.
SołtysikL.[2001],Ryzyko operacyjne – nowe wyzwania,„RynekTerminowy”nr1.StabryłaA.[2011],Model ogólny analizy bezpieczeństwa strategicznego przedsiębiorstwa, „Przegląd
Organizacji”nr9.StabryłaA.(red.)[2006],Doskonalenie systemów zarządzania w społeczeństwie informacyjnym,Wydaw-
nictwoAkademiiEkonomicznej,Kraków.StabryłaA.(red.)[2012],Podstawy organizacji i zarządzania. Podejścia i koncepcje badawcze,Wydaw-
nictwoUniwersytetuEkonomicznegowKrakowie.Staniec I.,Zawiła-NiedźwieckiJ.(red.)[2008],Zarządzanie ryzykiem operacyjnymC.H.Beck,Warszawa.StonerJ.A.,WankelC.[1992],Kierowanie,PWE,Warszawa.StrzelczakS.[2003],Business Planning and Risk Management,[w:]S.Strzelczak(red.),Economic and
Managerial Developments in Asia and Europe. Comparative Studies,OficynaWydawniczaPolitech-nikiWarszawskiej,Warszawa.
SudołS.[2006],Przedsiębiorstwo, podstawy nauki o przedsiębiorstwie, zarządzanie przedsiębiorstwem,PWE,Warszawa.
SułkowskiŁ.[2005],Epistemologia w naukach o zarządzaniu,PWE,Warszawa.SzackiJ.[2006],Historia myśli socjologicznej,WNPWN,Warszawa.SzafrańskiM.[2002],Skuteczność w świetle norm serii ISO 9000,„Problemyjakości”nr12.SzczepańskaK.[2011],Zarządzanie jakością. Dążenie do doskonałości,C.H.Beck,Warszawa.SzczepańskiJ.[1967],Socjologia. Rozwój problematyki i metod,PWN,Warszawa.SzmydJ.[2000],Bezpieczeństwo jako wartość. Refleksja aksjologiczna i etyczna,[w:]TyrałaP.(red.),
Zarządzanie bezpieczeństwem,WydawnictwoProfesjonalnejSzkołyBiznesu,Kraków.SzpitterA.[2011],Koncepcje zarządzania – próba klasyfikacji,„PrzeglądOrganizacji”nr10.TabaszewskaE.[2011],System zarządzania wiedzą – próba definicji,„PrzeglądOrganizacji”nr4.TabaszewskaE.[2012],Wprowadzanie i funkcjonowanie systemów zarządzania wiedzą w przedsiębior-
stwach,WydawnictwoUEweWrocławiu,Wrocław.TarczyńskiW.,MojsiewiczM.[2001],Zarządzanie ryzykiem,PWE,Warszawa.TatarkiewiczW.[2005],Historia filozofii,WNPWN,Warszawa.TaylorF.[1972],Zasady naukowego zarządzania,[w:]J.Kurnal(red.),Twórcy naukowych podstaw
organizacji,PWE,Warszawa.
177Bibliografia
TharenouP.,DonohueR.,CooperB. [2007],Management Research Methods,CambridgeUniversity,Cambridge.
TrockiM.[2001],Outsourcing,PWE,Warszawa.TrockiM.(red.)[2012],Nowoczesne zarządzanie projektami,PWE,Warszawa.TrzcienieckiJ.[1970],Diagnostyczne i prognostyczne projektowanie organizatorskie,„PrzeglądOrgani-
zacji”nr7.TurskiW.M.[2013],Na marginesie – zbiór felietonów,edu-Libri,Kraków.TyrałaP.[2001],Zarządzanie kryzysowe,WydawnictwoAdamMarszałek,Toruń.Urbankowska-BąkK.[2007],Identyfikacja, pomiar i zarządzanie ryzykiem operacyjnym w instytucji
finansowej,pracadoktorskanapisanawKolegiumZarządzaniaiFinansówSGH,Warszawa.UrbańczykE.(red.)[2007],Strategie wzrostu wartości,WydawnictwoNaukoweUniwersytetuSzcze-
cińskiego,Szczecin.VaniniP.,EbnötherS.,McNeilA.,AntolinezP.[2003],Operational Risk: A Practitioners Point of View,
„JournalofRisk”nr5.VaughanE.J.[1997],Risk Management,JohnWiley&SonsInc.,NowyJork.WaścińskiT.,KrasińskiP.[2010],Ryzyko w działalności przedsiębiorstwa – elementy systematyki i identy-
fikacji[w:]J.Monkiewicz,L.Gąsiorkiewicz(red.),Zarządzanie ryzykiem działalności organizacji,C.H.Beck,Warszawa.
WatersD.[2001],Zarządzanie operacyjne. Towary i usługi,WNPWN,Warszawa.WilimowskaZ.,WilimowskiM.[2001],Sztuka zarządzania finansami,OPO,Bydgoszcz.WiniarskiJ.[2007],Zarządzanie ryzykiem w przedsięwzięciach informatycznych,PolskieStowarzyszenie
ZarządzaniaWiedzą,seria:StudiaiMateriałynr8.DeWitB.,MeyerR.[2007],Synteza strategii,PWE,Warszawa.WojtasiakA.[2003],Ryzyko operacyjne na rynku instrumentów pochodnych – podział i metody jego mi-
nimalizacji,„BankiKredyt”nr9.WojtynaA.[2004],Szkice o polityce pieniężnej,PWE,Warszawa.WojtynaA.[2008],Współczesna ekonomia – kontynuacja czy poszukiwanie nowego paradygmatu,„Eko-
nomista”nr1.WojtynaA.(red.)[2011], Kryzys finansowy i jego skutki dla krajów na średnim poziomie rozwoju,PWE,
Warszawa.WołowskiF.,Zawiła-NiedźwieckiJ.[2012], Bezpieczeństwo systemów informacyjnych,edu-Libri,Kraków.WoźniakK.[2010],Problem pomiaru w naukach organizacji i zarządzania,„PrzeglądOrganizacji”nr5.WustP.[1995],Niepewność i ryzyko,PWN,Warszawa.WyrozębskiP.,JuchniewiczM.,MetelskiW.[2012],Wiedza, dojrzałość, ryzyko,OficynaWydawnicza
SGH,Warszawa.YinR.K.[1989],Case Study Research. Design and Methods,SagePubl.,Londyn.ZapłataS.[2003],Skuteczność i efektywność systemu zarządzania jakością,„Problemyjakości”nr2.Zawiła-NiedźwieckiJ.[2003],Propozycja metodyki zarządzania ciągłością działania,„PrzeglądOrgani-
zacji”nr6.Zawiła-NiedźwieckiJ.[2006a],Analiza aktualnego stanu zarządzania ciągłością działania przez towa-
rzystwa emerytalne w Polsce,pracabadawczairaportdlaUrzęduKomisjiNadzoruFinansowego,Warszawa.
Zawiła-Niedźwiecki J. [2006b], Ciągłość działania a teoria zarządzania, „Ekonomika i OrganizacjaPrzedsiębiorstwa”nr4.
Zawiła-NiedźwieckiJ.[2007a],Model oceniania dojrzałości zarządzania ciągłością działania organizacji, „PrzeglądOrganizacji”nr4.
Zawiła-NiedźwieckiJ.[2007b],Stan zarządzania ciągłością działania przez zakłady ubezpieczeń w Polsce, pracabadawczairaportdlaUrzęduKomisjiNadzoruFinansowego,Warszawa.
Zawiła-NiedźwieckiJ.[2008],Ciągłość działania organizacji,OficynaWydawniczaPolitechnikiWar-szawskiej,Warszawa.
Bibliografia 178
Zawiła-NiedźwieckiJ.[2009],Operational risk and the security of an organization,[w:]J.Monkiewicz,L.Gąsiorkiewicz (red.),Risk Management. Concepts, models, issues,DomWydawniczyElipsa,Warszawa.
Zawiła-NiedźwieckiJ.[2010a],Business Continuity,„FoundationsofManagement”nr2.Zawiła-Niedźwiecki J. [2010b],Pojęcie ryzyka operacyjnego i klasyfikacja jego rodzajów, „Przegląd
Organizacji”nr6.ZgajewskiM.iinni[2013],Cloud computing w sektorze finansowym,WydawnictwoZwiązkuBanków
Polskich,edu-Libri,Kraków.ZimniewiczK.[2009],Współczesne koncepcje i metody zarządzania,PWE,Warszawa.ZoleńskiW.[2010],Systemy wczesnego ostrzegania wykorzystujące wiedzę,„OrganizacjaiZarządzanie”
nr3.ZymonikZ.,HamrolA.,GrudowskiP.[2013],Zarządzanie jakością i bezpieczeństwem,PWE,Warszawa.
Strony internetowe miarodajne w kwestiach zapewniania ciągłości działaniawww.bcm-institute.org(BusinessContinuityManagementInstitute)www.continuitycentral.comwww.cramm.com(CCTA’sRiskAnalysisandManagementMethod)www.davislogic.com(DavisLogicInc.–BusinessContinuityManagementInformationandResources)www.drii.org(DRIITheInstituteforContinuityManagement)www.drj.com(DisasterRecoveryJournal)www.globalcontinuity.comwww.gloriamundi.org(zakładkaOperational risk)www.itil-itsm-world.com(InformationTechnologyInfrastructureLibrary–InformationTechnologySe-
curityManagement)www.mit.edu/security(MassachusettsInstituteofTechnology)www.thebci.org(BusinessContinuityInstitute)www.virtual-corp.net(VirtualCorporationInc–BCMM–BusinessContinuityMaturityModel)
Ważniejsze przepisy i normyDyrektywaUniiEuropejskiej2004/39/ECwsprawierynkówiinstrumentówfinansowych.DyrektywaUniiEuropejskiej2006/31/ECzmieniającaDyrektywę2004/39/EC.DyrektywaUniiEuropejskiej2006/48/ECwsprawiepodejmowaniaiprowadzeniadziałalnościprzez
instytucjekredytowe(tzw.CRD-capitalrequirementdirective).DyrektywaUniiEuropejskiej2006/49/ECwsprawieadekwatnościkapitałowejfirminwestycyjnych
iinstytucjikredytowych.DyrektywaUniiEuropejskiej2006/73/WEwprowadzającaśrodkiwykonawczedoDyrektywy2004/39/WE
(tzw.MiFID–marketinfinancialinstrumentsdirective).DyrektywaUniiEuropejskiej2009/138/WE(tzw.SolvencyII).Ustawaoochroniedanychosobowychzdnia29sierpnia1997r.,Dz.U.z2002r.nr101.Ustawaoochronieinformacjiniejawnychzdnia22stycznia1999r.,Dz.U.z1999r.nr11.Ustawaozarządzaniukryzysowymzdnia26kwietnia2007r.,Dz.U.z2007r.nr89.RozporządzenieKomisjinr1287/2006wprowadzająceśrodkiwykonawczedoDyrektywy2004/39/EC.RozporządzenieRadyMinistrówzdnia12kwietnia2012r.wsprawieKrajowychRamInteroperacyj-
ności,minimalnychwymagańdlarejestrówpublicznychiwymianyinformacjiwpostacielektro-nicznejorazminimalnychwymagańdlasystemówteleinformatycznych.Dz.U.z2012r.nr0.
Uchwałanr1/2007KomisjiNadzoruBankowegoz13.03.2007wsprawiezakresu i szczegółowychzasadwyznaczaniawymogówkapitałowychztytułuposzczególnychrodzajówryzyka.
GłównyInspektoratNadzoruBankowegoRekomendacja D dotycząca zarządzania ryzykami towarzyszą-cymi systemom informatycznym i telekomunikacyjnym używanym przez banki,NBP,Warszawa2002.
GłównyInspektoratNadzoruBankowegoRekomendacja M dotycząca zarządzania ryzykiem operacyj-nym w bankach,NBP,Warszawa2004.
Bibliografia
NormaBS25777:2008Information and Communication Technology Continuity Management.NormaBS25999-1:2006Business Continuity Management – Code of practice.NormaBS25999-2:2007Business Continuity Management – Specification.Guide to Business Continuity Management,BritishStandardsInstitution2003.NormaPN-EN/ISO9000:2006Systemy zarządzania jakością. Podstawy i terminologia.NormaPN-EN/ISO9001:2001Systemy zarządzania jakością. Wymagania.NormaISO12207:1995Information technology – Software life cycle processes.Norma(raporttechniczny)ISO/IECTR13355-1:1999Wytyczne do zarządzania bezpieczeństwem syste-
mów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych.Norma(raporttechniczny)ISO/IECTR13335-2:1997Wytyczne do zarządzania bezpieczeństwem syste-
mów informatycznych. Zarządzanie i planowanie bezpieczeństwa systemów informatycznych.Norma(raporttechniczny)ISO/IECTR13335-3:1998Technika informatyczna. Wytyczne do zarządza-
nia bezpieczeństwem systemów informatycznych. Techniki zarządzania bezpieczeństwem systemów informatycznych.
NormaISO14001:2004Environmental management system – Requirements with guidance for use.NormaISO15408-1:1999Information technology – Security techniques – Evaluation criteria for IT security.NormaISO31000:2009Risk management – Principles and guidelines. NormaISO/IEC20000-1:2005(normaBS-15000-1:2002)IT Service Management. Specification for Ser-
vice Management.NormaISO/IEC20000-2:2005(normaBS-15000-2:2003)IT Service Management. Code of practice for
Service Management.NormaISO/IEC27005:2011 Information technology – Security techniques – Information security risk
management.NormaISO22301:2012Societal security – Business continuity management systems – Requirements.NormaISO22313:2012Societal security – Business continuity management systems – Guidance. NormaPN-I27001:2006Systemy zarządzania bezpieczeństwem informacji – Specyfikacja i wytyczne do
stosowania.NormaPN-I27002:2007Systemy zarządzania bezpieczeństwem informacji – Zasady zarządzania bezpie-
czeństwem informacji.
ENSIKANCELARIA EKSPERTÓW
Najbardziej doświadczony w PolsceZespół ekspertów
bezpieczeństwa informacji i systemów informatycznych
Wdrażanie systemów zarządzania bezpieczeńswem informacji
Kompleksowa ochrona danych osobowych
Outsourcing funkcji ABI
Testy i audyty bezpieczeństwa systemów informatycznych
Szkolenia i warsztaty
Prestiżowe konferencje eksperckie
Bezpieczeństwo to kwestia wyboru
WWW.ENSI.NET
Dr inż. Janusz Zawiła-Niedźwiecki
Od kilkunastu lat pracownik naukowy Politechniki Warszawskiej, dawniej Wydziału InżynieriiProdukcji, obecnie Wydziału Zarządzania, członek kolejno obu Rad Wydziału. Gościnnie wy -kła dowca Collegium Civitas. Członek Polskiej Komisji Akredytacyjnej w Zespole Nauk Tech -nicz nych, członek Rady Naukowej Generalnego Inspektora Ochrony Danych Osobowych.
Redaktor naukowy książek Zarządzanie ryzykiem operacyjnym (2008) i Informatyka gospo -darcza (2010). Autor lub współautor książek Ciągłość działania organizacji (2008) i Bezpie -czeństwo systemów informacyjnych (2012) oraz raportów Związku Banków Polskich – Księgadobrych praktyk zarządzania ciągłością działania (2012) i Cloud computing w sektorzefinansowym (2013), a także wielu artykułów i referatów konferencyjnych naukowych i zawo do -wych z zakresu zarządzania ryzykiem operacyjnym, bezpieczeństwem i ciągłością działania.
Równocześnie menedżer praktyk, w przeszłości m.in. w NBP, Pol-Mot, Giełdzie Papierów War -tościowych, Fund Services, Grupie PZU, Komisji Nadzoru Finansowego, Urzędzie Komu nikacjiElektronicznej. Kierownik kilku znaczących projektów informatycznych, organizator ośrod -ków komputerowych oraz autor strategicznych reorganizacji usług informatycznych w kilkuorganizacjach. Obecnie Pełnomocnik Rektora Politechniki Warszawskiej ds. informatyzacji.
W roku 1998 jako dyrektor informatyki Giełdy laureat nagrody „Lider Informatyki” przyznawanejprzez Computerworld. Członek założyciel polskiego oddziału stowarzyszenia ISACA, prze wod -niczący Rady Fundacji im. Prof. Kazimierza Bartla, członek Zespołu Badań i Rozwoju NOT.
www.januszzawilaniedzwiecki.com
ZARZĄDZANIE
ZA
RZ
ĄD
ZA
NIE
Wydawnictwo edu-Libri jest nowoczesną oficyną wydawniczą e-publikacji naukowychi edukacyjnych.
Współpracujemy z doświadczonymi redaktorami merytorycznymi oraz technicznymi specja -lizującymi się w przygotowywaniu publikacji naukowych i edukacyjnych. Stawiamy na jakośći profesjonalizm łączone z nowoczesnością, a najważniejsze dla nas są przyjemność współ -tworzenia i satysfakcja z dobrze wykonanego zadania.
Nasze publikacje elektroniczne są dostępne w księgarniach internetowych oraz w czytelnion-line ibuk.pl
Sprzedaż wysyłkową książek drukowanych prowadzi wydawnictwo (zamówienia na [email protected]) oraz księgarnia drukarni SOWA wyczerpane.pl
www.edu-libri.pl
Top Related