standardy porównanie j.polski - WSL

Risk Management Standard
(AIRMIC, ALARM, IRM 2002)
Australian Standard®for Risk Management
(Standards Australia, 2004)-AS/NZS 4360: 2004
14 stron + dodatek z terminologią
30 stron +109 stron wytycznych
Enterprise Risk Management – Integrated
Framework
–COSO II
125 stron + 7-stronicowe streszczenie dla
kierownictwa +
uzupełnienie technik zastosowania
Standard definiujący model badania i zarządzania ryzykiem z Standard definiujący proces zarządzania ryzykiem
wykorzystaniem terminologii ISO. Odnosi się do wszystkich
niezależnie od wielkości i branży organizacji.
rodzajów ryzyka związanych z działaniem organizacji.
Standard definiujący zarządzanie ryzykiem z
wykorzystaniem mechanizmu kontroli
wewnętrznej. Określa własną terminologię.
Definiuje proces i jego etapy w odniesieniu do
charakterystycznego postrzegania
funkcjonowania organizacji.
Ma aspekt zagrożenia i aspekt szansy, i to zarówno dla
samego podmiotu, jak i dla jego partnerów. Jest określone
jako kombinacja prawdopodobieństwa zdarzenia i jego
skutków. Ujemnych i dodatnich – na polu bezpieczeństwa
bierze się pod uwagę jedynie szkody.
Ujemna i dodatnia strona ryzyka – ze wskazaniem na
potencjalne zyski i straty.
Rozpoznaje dodatnie i ujemne strony ryzyka.
Zwraca uwagę na niepewność i okazje
przyciągające ryzyko.
Proces, który organizacji służy do zajęcia się rodzajami
ryzyka związanymi z jej działaniami w celu osiągnięcia
nieprzerwanych korzyści w ramach każdego z tych działań
oraz w całym kompleksie portfela działań. Jest częścią
kultury całej organizacji i elementem odpowiedzialności
każdego pracownika.
Proces niezależny od branży i sektora działalności
przedsiębiorstwa.
Wskazanie kolejnych kroków zarządzania ryzykiem.
Proces oparty na pojęciach ryzyka biznesowego,
kreowaniu wartości i kontroli wewnętrznej.
Wskazanie komponentów zarządzania ryzykiem
w postaci sześciennej kostki odnoszącej cele
organizacji do rodzajów ryzyka występujących
przy wykonywaniu procesów biznesowych.
Analiza (począwszy od utożsamienia i opisu ryzyka), ocena
ryzyka, akceptowalność ryzyka, raportowanie wewnętrzne i
komunikacja, raportowanie zewnętrzne. Metody
identyfikacji ryzyka zaczynają się od burzy mózgów.
Identyfikacja, analiza ryzyka, ocena ryzyka,
akceptowalność ryzyka, postępowanie z ryzykiem,
komunikowanie i konsultacje.
Środki wymagane do wdrażania polityki zarządzania
ryzykiem w organizacji powinny być jednoznacznie ustalone
na każdym szczeblu zarządzania w każdej komórce
biznesowej.
Łatwy do wdrożenia, w szczególności dla firm nowo
powstałych.
Ustalenie celów, identyfikacja zagrożeń, ocena
ryzyka,
reakcja na ryzyko, działania kontrolne,
informowanie
i komunikowanie oraz monitorowanie.
Ma zachwianą równowagę na rzecz struktury
biznesowej,
po macoszemu traktuje analizę ryzyka.
WSTĘP
Introduction/Wstęp
Preface and Foreword
Foreword/Wprowadzenie
Przedmiotowo porównywalny do AIRMIC i
COSO.
Wskazuje, iż jest to tylko dokument będący
rewizją wcześniejszych standardów (1995 i
zrewidowany 1995).
Intencją jest wskazanie generalnych ram
opracowania, z naciskiem na:
Osadzenia praktyk zarządzania ryzykiem w
kulturze organizacyjnej
Definiowania ryzyka jako ekspozycji na
konsekwencje niepewności i potencjalnych
odchyleń od tego co zostało zaplanowane a
czego się oczekuje,
Zarządzanie potencjalnymi osiągnięciami jak i
potencjalnymi stratami,
RYZYKO
Wskazuje, że standard jest potrzebny, gdyż
doprowadzi do uzgodnień w zakresie:
• używanej terminologii,
• procesów służących zarządzaniu
ryzykiem,
• struktur organizacyjnych w
zarządzaniu ryzykiem,
• celów ZR.
Podkreśla, że istnieje wiele metod osiągania
celów, jakie stawia sobie ZR, a celem nie było
opracowanie normy o charakterze
nakazowym. Wypełniając określone w
poszczególnych częściach standardu zalecenia
( co jest możliwe na wiele sposobów)
organizacje będą mogły deklarować zgodność
z nim. Standard jest opisem dobrych praktyk o
charakterze wzorcowym dla poszczególnych
organizacji.
Risk/Ryzyko
Scope and General
Definition Definicja
Standard definiuje ryzyko tak jak ISO/IEC
Guide 73. Definicje wszystkich innych
terminów również pochodzą z ISO/IEC 73 (w
załączniku).
Uwzględniono fakt, że ryzyko może się wiązać
zarówno z szansami (aspektem pozytywnym)
jak i zagrożeniami (aspekt negatywny).
Generalnie tylko w dziedzinie bezpieczeństwa
przyjmuje, że zdarzenia mogą mieć wyłącznie
niekorzystne następstwa, a tym samym ZR
koncentruje się na zapobieganiu szkodom i ich
ograniczaniu.
AS/NZS definiuje ryzyko w części „Ogólny
zakres” , uwzględnia również inne definicje
użytych terminów. Definicje są definicjami
własnymi z częściowym wykorzystaniem
definicji używanych w terminologii ISO.W tej
sekcji zawarto również pewne wstępne
ustalenia co do celu wydania tegoż standardu, z
podkreśleniem iż nie powstał on w celu
wymuszenia uniwersalizacji systemu ZR.
W pierwszym rozdziale dokumentu podaje się
główne definicje, wraz niektórymi zależnościami
. ryzyko jest definiowane jako możliwość , ze
zdarzenie będzie miało miejsce i negatywnie
wpłynie na osiąganie celów. Szansa jest
definiowana jako możliwość wystąpienia
zdarzenia, które pozytywnie wpłynie na
osiąganie celów.
Porównywalne do wstępu AIRMIC.
Odnosi się do wcześniejszego dokumentu
„Kontrola wewnętrzna – zintegrowana struktura
ramowa”. Podkreśla pilną potrzebę stworzenia
struktury ramowej w celu: dostarczenia
kluczowych zasad i koncepcji sformułowanych
zrozumiałym językiem oraz wskazujących jasne
kierunki. Nie zastępuje „kontroli
wewnętrznej…”ale daje mocniejsze spojrzenie
na szerszy temat jakim jest zarządzanie
ryzykiem i zawiera w sobie strukturę kontroli
wewnętrznej . Przedsiębiorstwa mogą ja przyjąć
zarówno w celu spełnienia swoich potrzeb w
dziedzinie kontroli wewnętrznej , jak i przejścia
w kierunku pełniejszego procesu ZR.
ZARZĄDZANIE
RYZYKIEM
USTALENIE CELÓW
Risk management/Zarządzanie ryzykiem
Risk management process overview and Risk
Components of Risk Management/Elementy
Standard określa ZR jako:
- centralny element zarządzania strategicznego
każdej organizacji,
Proces ciągły i stale udoskonalany,
Integralny element kultury organizacyjnej (
czyli stylu działania organizacji)wspierającym
efektywność operacyjną na każdym poziomie
Management Context
zarządzania ryzykiem korporacyjnym
W tej części zamieszczono podstawowy diagram
procesu ZR. Jest on bardzo podobny do procesu
ZR zawartego w standardzie AIRMIC.
W „kontekście” omówiono zewnętrzne i
wewnętrzne środowiska oraz zależności miedzy
nimi. Taka sama koncepcja jaką przedstawiono
na diagramie AIRMIC – zewnętrzne i
wewnętrzne czynniki ryzyka.
W COSO nie ma jednego rozdziału
poświęconego elementom ZR , omawia je w
wielu miejscach
• jako wynikające ze sposobu zarządzania
przedsiębiorstwem i zintegrowane z
procesem zarządzania,
• jako elementy środowiska
wewnętrznego organizacji,
• w kategoriach celów: operacyjnych,
celów w zakresie sprawozdawczości i
zgodności z prawem,
• filozofii ZR i apetycie na ryzyko
Objectives setting/ Ustalenie celów
Objectives Setting/Ustalanie celów
Nie ma oddzielnego działu poświęconego
ustalaniu celów, ale AIRMIC kładzie nacisk na
znaczenie ZR i oceny ryzyka dla osiągania
celów strategicznych.
IDENTYFIKACJ A
RYZYKA
Risk Identificaton/ Identyfikacja ryzyka
Jako część Analizy ryzyka, która zawiera
również opis i pomiar ryzyka.
Identyfikacja ryzyka powinna być
przeprowadzona w sposób metodyczny, aby
zapewnić , że wszystkie obszary działalności
organizacji i ryzyko z nimi związane zostały
uwzględnione. Krótka lista technik
identyfikacji została zamieszczona w
załączniku.
Objectives
Cele są zawarte w części poświeconej ustaleniu
kontekstu ZR (wyżej)
Identify Risks
Bardzo krótki podrozdział, w którym AS/NZS
kładzie nacisk na systematyczną do
identyfikację ryzyka i sprawdzanie czy znajduje
się ono pod kontrolą organizacji.
W przewodniku ZR (The Risk Management
Guidelines) identyfikacje ryzyka rozszerzono na
proces identyfikacji, potrzebnych informacji ,
podejść do identyfikowania ryzyka I
dokumentacji niezbędnej do identyfikacji
ryzyka.
Ustalenie celów w COSO jest jednym z
komponentów zarządzania ryzykiem. cele
strategiczne wspierają misję przedsiębiorstwa.
Kategoria „celów powiązanych „ została
zidentyfikowana jako: cele operacyjne,
sprawozdawczość z celów i cele w zakresie
zgodności z prawem.
W tym rozdziale uwzględniono również apetyt
na ryzyko i limity ryzyka.
Event Identyfication/ Identyfikacja zdarzeń
COSO odnosi się do zdarzeń (wewnętrznych lub
zewnętrznych) które dotyczą implementacji
strategii. Zdarzenia mogą mieć pozytywny bądź
negatywny skutek.
W dokumencie wymieniono czynniki
wewnętrzne i zewnętrzne oraz przykłady
wynikających z nich zdarzeń i efektów. (jest to
porównywalne do źródeł ryzyka wymienianych
w AIRMIC).
Dość szczegółowo opisano techniki identyfikacji
zdarzeń z podaniem przykładów.
OPIS RYZYKA
Risk Description/Opis ryzyka
Przedstawiony w formie przykładowej tabeli.
ANALIZA RYZYKA
OCENA RYZYKA
Documentation
Risk Description/Opis ryzyka
Podkreśla konieczność dokumentowania
kolejnych etapów identyfikacji ryzyka i podaje
przykłady rejestrów ryzyka w rozdziale 10 –
Recording the Risk Management Process”.
Analyse Risks
Nie ma oddzielnego rozdziału odnoszącego się
do opisu ryzyka, ale zawiera ten element w
rozdziale dotyczącym oceny ryzyka.
AIRMIC używa terminu z normy ISO „risk
estimation” podaje proste tabele z
przykładami – przypisania skutku i
prawdopodobieństwa – zarówno dla szans jak
i zagrożeń.
(Bardzo krótki podrozdział wskazuje na to, że
po analizie ryzyka można opracować profil
ryzyka, w którym każdemu ryzyku jest
przypisana ocena opisująca jego znaczenie.
Profil ryzyka porządkuje zidentyfikowane
ryzyko pod względem istotności oraz stanowi
narzędzie do określenia priorytetów działania
względem ryzyka.)
Wskazuje na jakościowe, „półilościowe” i
ilościowe metody mierzenia skutku i
prawdopodobieństwa.(oraz potrzebę brania
pod uwagę istniejących wskaźników)
Ta część jest bardzo rozległa. Podaje szeroki
wachlarz podejść do analizy ryzyka, od bardzo
prostych do bardziej szczegółowych. Oddzielnie
podaje analizę SZANS.
Ryzyko jest oceniane w podziale na ryzyko
wewnętrzne i nieodłączne. Ocena
prawdopodobieństwa i skutku może odbywać
na podstawie technik ilościowych i
jakościowych. W załączniku pojawiają się
techniki bardziej finansowe takie jak: analiza
zagrożonej wartości rynkowej, zagrożonych
przychodów, zagrożonych przepływów środków
pieniężnych.
Risk Evaluation/Ocena ryzyka
Risk evaluation
Risk Evaluation /Oszacowanie ryzyka
Zalecenie ISO/IEC nr 73 definiuje ocenę ryzyka
jako proces złożony z analizy ryzyka oraz
ewaluacji ryzyka.
Tutaj odpowiednikiem będzie Profil ryzyka.
Po zakończeniu procesu analizy ryzyka, należy
porównać szacunkowa wielkość ryzyka z
przyjętymi kryteriami, które mogą dotyczyć
korzyści , kosztów, wymogów prawnych,
względów społeczno-ekonomicznych, obaw
grup nacisku itp. Ewaluacja ryzyka stanowi
podstawę do podjęcia decyzji co do tego, na
ile dane ryzyko jest dla organizacji istotne, a
także czy należy je przyjąć i jakie działania
względem niego podjąć.
Bardzo krótki rozdział. Podaje kryteria oceny
według koncepcji „tolerancji ryzyka” i „alarmu”.
Jest również odniesienie do zdarzeń przyszłych
determinujących kryteria, którym podlega
ryzyko.
Risk Assessment/ Analiza ryzyka
Risk Assessment/ Ocena ryzyka
Nie ma porównywalnego rozdziału. Niektóre
komentarze zawarto w rozdziałach: Ocena
ryzyka i Reakcja na ryzyko.
KOMUNIKACJA W
ZR
DZIAŁANIA
WZGLĘDEM
RYZYKA
Risk Reporting and Communication
Stosuje podział na sprawozdawczość
zewnętrzną i wewnętrzną(na różnych
szczeblach organizacji wymagane są odmienne
informacje dotyczące procesu ZR – zarząd
powinien…, jednostki organizacyjne
powinny…, poszczególni pracownicy
powinni…)
Risk Reporting and Communication
Rozważania dotyczące komunikowania i
konsultowania ryzyka umieszczono oddzielnie
na wstępie standardu
Risk reporting and Communication/Informacje
i komunikowanie
Ten rozdział poprzedzony jest: Reakcją na
ryzyko i Działaniami kontrolnymi.
Podkreśla się konieczność integrowania
informacji z systemami strategicznymi i
działalnością operacyjna. Omówiono
szczegółowość, terminowość i jakość informacji.
Omawia komunikację wewnętrzna i zewnętrzną
oraz środki komunikowania.
Risk Treatment
Treat Risk
Risk Response / Odpowiedź na ryzyko
AIRMIC nie podaje zbyt wielu szczegółów , ale
twierdzi, że kontrola/ograniczanie ryzyka jest
podstawowym działaniem wobec ryzyka.
Odnosi się to również do unikania ryzyka,
transferowania/ przenoszenia ryzyka i
finansowania (tutaj finansowania skutków
ryzyka, a nie tak jak w ISO przeznaczania
środków na realizację działań względem
ryzyka).
AS/NZS podaje oddzielnie działania względem
ryzyka z pozytywnym skutkiem i ze skutkiem
negatywnym.
Krótko podaje analizę kosztów i korzyści w
różnych podejściach . W „przewodniku” podaje
się wiec informacji odnośnie do opcji działań
włączając w to :dzielenie się ryzykiem,
ubezpieczenia, kontrakty, plany ciągłości
działania itd. Wskazuje na ilościowe i
jakościowe analizy opcji działań.
Reakcja może polegać na unikaniu,
ograniczaniu, dzieleniu się i akceptacji ryzyka.
Ocena kosztów i korzyści jest bardzo krótka.
Więcej informacji na ten temat zamieszczono w
załączniku dotyczącym technik zastosowania.
Monitor and review
Monitoring/Monitorowanie
MONITOROWANIE Monitoring and Review of Risk Management
I ANALIZA
Proces monitorowania powinien potwierdzać,
PROCESU ZR
że identyfikacja i ewaluacja ryzyka przebiega
prawidłowo i że w działalności
przedsiębiorstwa stosowane są odpowiednie
mechanizmy kontrolne.
Wskazuje, że ciągły przegląd jest podstawą i że
COSO wyróżnia monitorowanie bieżące,
wnioski powinny być wyciągane poprzez
odrębne oceny lub kombinację obu tych metod.
przegląd zdarzeń , planów działań i ich wyników. Wskazuje się na znaczenie tego co podlega
zgłoszeniu i komu zgłaszać.
STRUKTURY
ORGANIZACYJNE
W ZR
Structure and Administration of Risk
Establishing effective Risk Management
Roles and Responsibilities/ Role i Obowiązki
Management/ Struktury organizacyjne w ZR
Standard australijski do tego obszaru podchodzi
bardziej ogólnie, odnosi się do :
• oceny istniejących praktyk,
• Wymogu wsparcia kierownictwa
wyższego szczebla,
• Ustalenia autorytetów i
odpowiedzialności
• Zagwarantowanie adekwatnych źródeł.
COSO ustanawia role I obowiązki dla:
Zarządu, kierownictwa, specjalisty ds. ryzyka,
dyrektorów finansowych, audytorów
wewnętrznych, innych pracowników organizacji
oraz strony trzeciej. W załączniku dotyczącym
technik zastosowania dostarczono bardziej
szczegółowych opisów zakresu obowiązków np.
dla komitetu ds. audytu, ds. ryzyka, opis
stanowiska dyrektora ds. ryzyka.
Nie ma odpowiedniego rozdziału
Limitations of Enterprise Risk Management/
Standard ustanawia role I odpowiedzialności
dla:
• Zarządu,
• Poszczególnych jednostek
organizacyjnych,
• Komórek ds. ZR,
• Audytu wewnętrznego.
W dodatku komentuje politykę ZR i źródła dla
jej implementacji.
OGRANICZENIA W
KORPORACYJNYM
ZR
Nie ma odpowiedniego rozdziału
Ograniczenia w korporacyjnym ZR
Efektywne ZR korporacyjnym , niezależnie od
tego jak dobrze jest zorganizowane I
przeprowadzane , może dać zarządowi jedynie
rozsądny stopień pewności co do osiągania
zamierzonych celów. Ograniczenia te wynikają z
procesów zarządzania, błędów w osadzie,
nieprzestrzegania ustalonych środków kontroli
lub reakcji, konieczność uwzględnienia kosztów
i korzyści poszczególnych reakcji na ryzyko.
Źródło: opracowanie własne na podstawie: An overview comparison of the AIRMIC/ALARM/ IRM Risk Management
Standard with: --the Australia /New Zealand Standard AS/NZS 4360:2004, -the COSO Enterprise Risk Management - Integrated Framework,