standardy porównanie j.polski - WSL
Transkrypt
standardy porównanie j.polski - WSL
Risk Management Standard (AIRMIC, ALARM, IRM 2002) Australian Standard®for Risk Management (Standards Australia, 2004)-AS/NZS 4360: 2004 14 stron + dodatek z terminologią 30 stron +109 stron wytycznych Enterprise Risk Management – Integrated Framework –COSO II 125 stron + 7-stronicowe streszczenie dla kierownictwa + uzupełnienie technik zastosowania Standard definiujący model badania i zarządzania ryzykiem z Standard definiujący proces zarządzania ryzykiem wykorzystaniem terminologii ISO. Odnosi się do wszystkich niezależnie od wielkości i branży organizacji. rodzajów ryzyka związanych z działaniem organizacji. Standard definiujący zarządzanie ryzykiem z wykorzystaniem mechanizmu kontroli wewnętrznej. Określa własną terminologię. Definiuje proces i jego etapy w odniesieniu do charakterystycznego postrzegania funkcjonowania organizacji. Ma aspekt zagrożenia i aspekt szansy, i to zarówno dla samego podmiotu, jak i dla jego partnerów. Jest określone jako kombinacja prawdopodobieństwa zdarzenia i jego skutków. Ujemnych i dodatnich – na polu bezpieczeństwa bierze się pod uwagę jedynie szkody. Ujemna i dodatnia strona ryzyka – ze wskazaniem na potencjalne zyski i straty. Rozpoznaje dodatnie i ujemne strony ryzyka. Zwraca uwagę na niepewność i okazje przyciągające ryzyko. Proces, który organizacji służy do zajęcia się rodzajami ryzyka związanymi z jej działaniami w celu osiągnięcia nieprzerwanych korzyści w ramach każdego z tych działań oraz w całym kompleksie portfela działań. Jest częścią kultury całej organizacji i elementem odpowiedzialności każdego pracownika. Proces niezależny od branży i sektora działalności przedsiębiorstwa. Wskazanie kolejnych kroków zarządzania ryzykiem. Proces oparty na pojęciach ryzyka biznesowego, kreowaniu wartości i kontroli wewnętrznej. Wskazanie komponentów zarządzania ryzykiem w postaci sześciennej kostki odnoszącej cele organizacji do rodzajów ryzyka występujących przy wykonywaniu procesów biznesowych. Analiza (począwszy od utożsamienia i opisu ryzyka), ocena ryzyka, akceptowalność ryzyka, raportowanie wewnętrzne i komunikacja, raportowanie zewnętrzne. Metody identyfikacji ryzyka zaczynają się od burzy mózgów. Identyfikacja, analiza ryzyka, ocena ryzyka, akceptowalność ryzyka, postępowanie z ryzykiem, komunikowanie i konsultacje. Środki wymagane do wdrażania polityki zarządzania ryzykiem w organizacji powinny być jednoznacznie ustalone na każdym szczeblu zarządzania w każdej komórce biznesowej. Łatwy do wdrożenia, w szczególności dla firm nowo powstałych. Ustalenie celów, identyfikacja zagrożeń, ocena ryzyka, reakcja na ryzyko, działania kontrolne, informowanie i komunikowanie oraz monitorowanie. Ma zachwianą równowagę na rzecz struktury biznesowej, po macoszemu traktuje analizę ryzyka. WSTĘP Introduction/Wstęp Preface and Foreword Foreword/Wprowadzenie Przedmiotowo porównywalny do AIRMIC i COSO. Wskazuje, iż jest to tylko dokument będący rewizją wcześniejszych standardów (1995 i zrewidowany 1995). Intencją jest wskazanie generalnych ram opracowania, z naciskiem na: Osadzenia praktyk zarządzania ryzykiem w kulturze organizacyjnej Definiowania ryzyka jako ekspozycji na konsekwencje niepewności i potencjalnych odchyleń od tego co zostało zaplanowane a czego się oczekuje, Zarządzanie potencjalnymi osiągnięciami jak i potencjalnymi stratami, RYZYKO Wskazuje, że standard jest potrzebny, gdyż doprowadzi do uzgodnień w zakresie: • używanej terminologii, • procesów służących zarządzaniu ryzykiem, • struktur organizacyjnych w zarządzaniu ryzykiem, • celów ZR. Podkreśla, że istnieje wiele metod osiągania celów, jakie stawia sobie ZR, a celem nie było opracowanie normy o charakterze nakazowym. Wypełniając określone w poszczególnych częściach standardu zalecenia ( co jest możliwe na wiele sposobów) organizacje będą mogły deklarować zgodność z nim. Standard jest opisem dobrych praktyk o charakterze wzorcowym dla poszczególnych organizacji. Risk/Ryzyko Scope and General Definition Definicja Standard definiuje ryzyko tak jak ISO/IEC Guide 73. Definicje wszystkich innych terminów również pochodzą z ISO/IEC 73 (w załączniku). Uwzględniono fakt, że ryzyko może się wiązać zarówno z szansami (aspektem pozytywnym) jak i zagrożeniami (aspekt negatywny). Generalnie tylko w dziedzinie bezpieczeństwa przyjmuje, że zdarzenia mogą mieć wyłącznie niekorzystne następstwa, a tym samym ZR koncentruje się na zapobieganiu szkodom i ich ograniczaniu. AS/NZS definiuje ryzyko w części „Ogólny zakres” , uwzględnia również inne definicje użytych terminów. Definicje są definicjami własnymi z częściowym wykorzystaniem definicji używanych w terminologii ISO.W tej sekcji zawarto również pewne wstępne ustalenia co do celu wydania tegoż standardu, z podkreśleniem iż nie powstał on w celu wymuszenia uniwersalizacji systemu ZR. W pierwszym rozdziale dokumentu podaje się główne definicje, wraz niektórymi zależnościami . ryzyko jest definiowane jako możliwość , ze zdarzenie będzie miało miejsce i negatywnie wpłynie na osiąganie celów. Szansa jest definiowana jako możliwość wystąpienia zdarzenia, które pozytywnie wpłynie na osiąganie celów. Porównywalne do wstępu AIRMIC. Odnosi się do wcześniejszego dokumentu „Kontrola wewnętrzna – zintegrowana struktura ramowa”. Podkreśla pilną potrzebę stworzenia struktury ramowej w celu: dostarczenia kluczowych zasad i koncepcji sformułowanych zrozumiałym językiem oraz wskazujących jasne kierunki. Nie zastępuje „kontroli wewnętrznej…”ale daje mocniejsze spojrzenie na szerszy temat jakim jest zarządzanie ryzykiem i zawiera w sobie strukturę kontroli wewnętrznej . Przedsiębiorstwa mogą ja przyjąć zarówno w celu spełnienia swoich potrzeb w dziedzinie kontroli wewnętrznej , jak i przejścia w kierunku pełniejszego procesu ZR. ZARZĄDZANIE RYZYKIEM USTALENIE CELÓW Risk management/Zarządzanie ryzykiem Risk management process overview and Risk Components of Risk Management/Elementy Standard określa ZR jako: - centralny element zarządzania strategicznego każdej organizacji, Proces ciągły i stale udoskonalany, Integralny element kultury organizacyjnej ( czyli stylu działania organizacji)wspierającym efektywność operacyjną na każdym poziomie Management Context zarządzania ryzykiem korporacyjnym W tej części zamieszczono podstawowy diagram procesu ZR. Jest on bardzo podobny do procesu ZR zawartego w standardzie AIRMIC. W „kontekście” omówiono zewnętrzne i wewnętrzne środowiska oraz zależności miedzy nimi. Taka sama koncepcja jaką przedstawiono na diagramie AIRMIC – zewnętrzne i wewnętrzne czynniki ryzyka. W COSO nie ma jednego rozdziału poświęconego elementom ZR , omawia je w wielu miejscach • jako wynikające ze sposobu zarządzania przedsiębiorstwem i zintegrowane z procesem zarządzania, • jako elementy środowiska wewnętrznego organizacji, • w kategoriach celów: operacyjnych, celów w zakresie sprawozdawczości i zgodności z prawem, • filozofii ZR i apetycie na ryzyko Objectives setting/ Ustalenie celów Objectives Setting/Ustalanie celów Nie ma oddzielnego działu poświęconego ustalaniu celów, ale AIRMIC kładzie nacisk na znaczenie ZR i oceny ryzyka dla osiągania celów strategicznych. IDENTYFIKACJ A RYZYKA Risk Identificaton/ Identyfikacja ryzyka Jako część Analizy ryzyka, która zawiera również opis i pomiar ryzyka. Identyfikacja ryzyka powinna być przeprowadzona w sposób metodyczny, aby zapewnić , że wszystkie obszary działalności organizacji i ryzyko z nimi związane zostały uwzględnione. Krótka lista technik identyfikacji została zamieszczona w załączniku. Objectives Cele są zawarte w części poświeconej ustaleniu kontekstu ZR (wyżej) Identify Risks Bardzo krótki podrozdział, w którym AS/NZS kładzie nacisk na systematyczną do identyfikację ryzyka i sprawdzanie czy znajduje się ono pod kontrolą organizacji. W przewodniku ZR (The Risk Management Guidelines) identyfikacje ryzyka rozszerzono na proces identyfikacji, potrzebnych informacji , podejść do identyfikowania ryzyka I dokumentacji niezbędnej do identyfikacji ryzyka. Ustalenie celów w COSO jest jednym z komponentów zarządzania ryzykiem. cele strategiczne wspierają misję przedsiębiorstwa. Kategoria „celów powiązanych „ została zidentyfikowana jako: cele operacyjne, sprawozdawczość z celów i cele w zakresie zgodności z prawem. W tym rozdziale uwzględniono również apetyt na ryzyko i limity ryzyka. Event Identyfication/ Identyfikacja zdarzeń COSO odnosi się do zdarzeń (wewnętrznych lub zewnętrznych) które dotyczą implementacji strategii. Zdarzenia mogą mieć pozytywny bądź negatywny skutek. W dokumencie wymieniono czynniki wewnętrzne i zewnętrzne oraz przykłady wynikających z nich zdarzeń i efektów. (jest to porównywalne do źródeł ryzyka wymienianych w AIRMIC). Dość szczegółowo opisano techniki identyfikacji zdarzeń z podaniem przykładów. OPIS RYZYKA Risk Description/Opis ryzyka Przedstawiony w formie przykładowej tabeli. ANALIZA RYZYKA OCENA RYZYKA Documentation Risk Description/Opis ryzyka Podkreśla konieczność dokumentowania kolejnych etapów identyfikacji ryzyka i podaje przykłady rejestrów ryzyka w rozdziale 10 – Recording the Risk Management Process”. Analyse Risks Nie ma oddzielnego rozdziału odnoszącego się do opisu ryzyka, ale zawiera ten element w rozdziale dotyczącym oceny ryzyka. AIRMIC używa terminu z normy ISO „risk estimation” podaje proste tabele z przykładami – przypisania skutku i prawdopodobieństwa – zarówno dla szans jak i zagrożeń. (Bardzo krótki podrozdział wskazuje na to, że po analizie ryzyka można opracować profil ryzyka, w którym każdemu ryzyku jest przypisana ocena opisująca jego znaczenie. Profil ryzyka porządkuje zidentyfikowane ryzyko pod względem istotności oraz stanowi narzędzie do określenia priorytetów działania względem ryzyka.) Wskazuje na jakościowe, „półilościowe” i ilościowe metody mierzenia skutku i prawdopodobieństwa.(oraz potrzebę brania pod uwagę istniejących wskaźników) Ta część jest bardzo rozległa. Podaje szeroki wachlarz podejść do analizy ryzyka, od bardzo prostych do bardziej szczegółowych. Oddzielnie podaje analizę SZANS. Ryzyko jest oceniane w podziale na ryzyko wewnętrzne i nieodłączne. Ocena prawdopodobieństwa i skutku może odbywać na podstawie technik ilościowych i jakościowych. W załączniku pojawiają się techniki bardziej finansowe takie jak: analiza zagrożonej wartości rynkowej, zagrożonych przychodów, zagrożonych przepływów środków pieniężnych. Risk Evaluation/Ocena ryzyka Risk evaluation Risk Evaluation /Oszacowanie ryzyka Zalecenie ISO/IEC nr 73 definiuje ocenę ryzyka jako proces złożony z analizy ryzyka oraz ewaluacji ryzyka. Tutaj odpowiednikiem będzie Profil ryzyka. Po zakończeniu procesu analizy ryzyka, należy porównać szacunkowa wielkość ryzyka z przyjętymi kryteriami, które mogą dotyczyć korzyści , kosztów, wymogów prawnych, względów społeczno-ekonomicznych, obaw grup nacisku itp. Ewaluacja ryzyka stanowi podstawę do podjęcia decyzji co do tego, na ile dane ryzyko jest dla organizacji istotne, a także czy należy je przyjąć i jakie działania względem niego podjąć. Bardzo krótki rozdział. Podaje kryteria oceny według koncepcji „tolerancji ryzyka” i „alarmu”. Jest również odniesienie do zdarzeń przyszłych determinujących kryteria, którym podlega ryzyko. Risk Assessment/ Analiza ryzyka Risk Assessment/ Ocena ryzyka Nie ma porównywalnego rozdziału. Niektóre komentarze zawarto w rozdziałach: Ocena ryzyka i Reakcja na ryzyko. KOMUNIKACJA W ZR DZIAŁANIA WZGLĘDEM RYZYKA Risk Reporting and Communication Stosuje podział na sprawozdawczość zewnętrzną i wewnętrzną(na różnych szczeblach organizacji wymagane są odmienne informacje dotyczące procesu ZR – zarząd powinien…, jednostki organizacyjne powinny…, poszczególni pracownicy powinni…) Risk Reporting and Communication Rozważania dotyczące komunikowania i konsultowania ryzyka umieszczono oddzielnie na wstępie standardu Risk reporting and Communication/Informacje i komunikowanie Ten rozdział poprzedzony jest: Reakcją na ryzyko i Działaniami kontrolnymi. Podkreśla się konieczność integrowania informacji z systemami strategicznymi i działalnością operacyjna. Omówiono szczegółowość, terminowość i jakość informacji. Omawia komunikację wewnętrzna i zewnętrzną oraz środki komunikowania. Risk Treatment Treat Risk Risk Response / Odpowiedź na ryzyko AIRMIC nie podaje zbyt wielu szczegółów , ale twierdzi, że kontrola/ograniczanie ryzyka jest podstawowym działaniem wobec ryzyka. Odnosi się to również do unikania ryzyka, transferowania/ przenoszenia ryzyka i finansowania (tutaj finansowania skutków ryzyka, a nie tak jak w ISO przeznaczania środków na realizację działań względem ryzyka). AS/NZS podaje oddzielnie działania względem ryzyka z pozytywnym skutkiem i ze skutkiem negatywnym. Krótko podaje analizę kosztów i korzyści w różnych podejściach . W „przewodniku” podaje się wiec informacji odnośnie do opcji działań włączając w to :dzielenie się ryzykiem, ubezpieczenia, kontrakty, plany ciągłości działania itd. Wskazuje na ilościowe i jakościowe analizy opcji działań. Reakcja może polegać na unikaniu, ograniczaniu, dzieleniu się i akceptacji ryzyka. Ocena kosztów i korzyści jest bardzo krótka. Więcej informacji na ten temat zamieszczono w załączniku dotyczącym technik zastosowania. Monitor and review Monitoring/Monitorowanie MONITOROWANIE Monitoring and Review of Risk Management I ANALIZA Proces monitorowania powinien potwierdzać, PROCESU ZR że identyfikacja i ewaluacja ryzyka przebiega prawidłowo i że w działalności przedsiębiorstwa stosowane są odpowiednie mechanizmy kontrolne. Wskazuje, że ciągły przegląd jest podstawą i że COSO wyróżnia monitorowanie bieżące, wnioski powinny być wyciągane poprzez odrębne oceny lub kombinację obu tych metod. przegląd zdarzeń , planów działań i ich wyników. Wskazuje się na znaczenie tego co podlega zgłoszeniu i komu zgłaszać. STRUKTURY ORGANIZACYJNE W ZR Structure and Administration of Risk Establishing effective Risk Management Roles and Responsibilities/ Role i Obowiązki Management/ Struktury organizacyjne w ZR Standard australijski do tego obszaru podchodzi bardziej ogólnie, odnosi się do : • oceny istniejących praktyk, • Wymogu wsparcia kierownictwa wyższego szczebla, • Ustalenia autorytetów i odpowiedzialności • Zagwarantowanie adekwatnych źródeł. COSO ustanawia role I obowiązki dla: Zarządu, kierownictwa, specjalisty ds. ryzyka, dyrektorów finansowych, audytorów wewnętrznych, innych pracowników organizacji oraz strony trzeciej. W załączniku dotyczącym technik zastosowania dostarczono bardziej szczegółowych opisów zakresu obowiązków np. dla komitetu ds. audytu, ds. ryzyka, opis stanowiska dyrektora ds. ryzyka. Nie ma odpowiedniego rozdziału Limitations of Enterprise Risk Management/ Standard ustanawia role I odpowiedzialności dla: • Zarządu, • Poszczególnych jednostek organizacyjnych, • Komórek ds. ZR, • Audytu wewnętrznego. W dodatku komentuje politykę ZR i źródła dla jej implementacji. OGRANICZENIA W KORPORACYJNYM ZR Nie ma odpowiedniego rozdziału Ograniczenia w korporacyjnym ZR Efektywne ZR korporacyjnym , niezależnie od tego jak dobrze jest zorganizowane I przeprowadzane , może dać zarządowi jedynie rozsądny stopień pewności co do osiągania zamierzonych celów. Ograniczenia te wynikają z procesów zarządzania, błędów w osadzie, nieprzestrzegania ustalonych środków kontroli lub reakcji, konieczność uwzględnienia kosztów i korzyści poszczególnych reakcji na ryzyko. Źródło: opracowanie własne na podstawie: An overview comparison of the AIRMIC/ALARM/ IRM Risk Management Standard with: --the Australia /New Zealand Standard AS/NZS 4360:2004, -the COSO Enterprise Risk Management - Integrated Framework,