zarządzanie ryzykiem operacyjnym...proces zarządzania ry-zykiem operacyjnym opracowanie zasad...

Janusz Zawiła-Niedêwiecki

Zarządzanieryzykiemoperacyjnym w zapewnianiu ciągłości działania organizacji

Praca naukowa wskazująca miejsce triady„ryzyko operacyjne – bezpieczeństwo zasobowe– ciągłość działania” w dyscyplinie nauk

o zarządzaniu

Janusz Zawiła-Niedêwiecki

Kraków–Warszawa 2013


© edu-Libri s.c. 2013

Redakcja merytoryczna i korekta: edu-Libri

Projekt okładki i stron tytułowych: GRAFOS

Recenzenci: prof. dr hab. Marek Lisiński prof. dr hab. inż. Waldemar Tarczyński

Wydawnictwo edu-Libri ul. Zalesie 15, 30-384 Krakówe-mail: [email protected]

Skład i łamanie: GRAFOSDruk i oprawa: Sowa Sp. z o.o.

Warszawa

ISBN (druk) 978-83-63804-12-1 ISBN e-book (PDF) 978-83-63804-13-8 ISBN e-book (epub) 978-83-63804-14-5 ISBN e-book (mobi) 978-83-63804-15-2

Spis treściWstęp ......................................................................................................................... 7

1. Wprowadzenie do problematyki ........................................................................... 14

2. Ryzyko .................................................................................................................... 292.1. Ryzykoiniepewność ....................................................................................... 292.2. Rodzajeiklasyfikacjeryzyka ........................................................................... 342.3. Koncepcjakompleksowejklasyfikacjiryzyka ................................................... 402.4. Pomiarryzyka ................................................................................................ 422.5. Zarządzanieryzykiem ..................................................................................... 452.6. Ocenadojrzałościzarządzaniaryzykiem ......................................................... 50

3. Ryzyko operacyjne i jego klasyfikacje .................................................................. 553.1. Triadaproblemowa„Ryzyko–Bezpieczeństwo–Ciągłośćdziałania” ............ 553.2. Dotychczasoweujęciaryzykaoperacyjnego .................................................... 573.3. Propozycjaujęciawgteoriiorganizacji ........................................................... 61

4. Proces zarządzania ryzykiem operacyjnym ......................................................... 694.1. Organizacjazarządzaniaryzykiemoperacyjnym ............................................ 704.2. Identyfikacja,analizaiocenaryzykaoperacyjnego ......................................... 744.3. Wpływanienaryzykooperacyjneimonitorowaniego .................................... 78

5. Zapewnianie bezpieczeństwa w zarządzaniu ryzykiem operacyjnym ............... 835.1. Bezpieczeństwowujęciuzasobowym ............................................................. 845.2. Ciągłośćdziałaniajakozabezpieczenie .......................................................... 915.3. Ocenadojrzałościzarządzaniazapewnianiembezpieczeństwa ....................... 92

6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym ............... 946.1. Modelowezapewnianieciągłościdziałania ..................................................... 966.2. Organizacjazapewnianiaciągłościdziałania ................................................. 1056.3. Tokpostępowaniaanalitycznegoiprojektowego ............................................ 1116.4. Ocenadojrzałościzarządzaniazapewnianiemciągłościdziałania .................. 128

Podsumowanie .......................................................................................................... 130Wnioski .................................................................................................................. 133Zagadnieniadodalszychbadań ............................................................................... 137

Załącznik – Raport z badań ...................................................................................... 139Ramymetodologiczne ............................................................................................. 139

Spis treści 6

Metodybadawcze ................................................................................................... 141Opisbadań .............................................................................................................. 144Modelzapewnianiaciągłościdziałaniajakowynikbadańorazjegoaplikacyjność .. 166

Bibliografia ................................................................................................................. 171

Wstęp Nietrwałośćorazzawodnośćwszelkichwytworówludzkichjestwpisanawpraktykęinżynierską,gospodarczą,atakżewżyciecodziennekażdegoczłowieka.Właściwieniespodziewamysię,żebycokolwiekmiałonamsłużyć„wiecznie”,aleirytujemysię,jeślicośnieoczekiwaniezawodzi.Dlategopodnoszeniestopnianiezawodnościjest dla dostarczyciela produktu lub usługi wyzwaniem podejmowanym nagruncieszerokorozumianej–naukowoiużytkowo–profesjonalnejdziałalnościorganizatorskiej.

Problemzapewnianianiezawodnegodziałaniaurządzeńorazukładówtechnicz-nychjestznanyodzaraniadziejówtechniki,aconajmniejodczasówXIX-wiecznejrewolucjitechnicznej.Dodziśnaukawypracowałateorięniezawodności,uloko-wanąnastykunauktechnicznychimatematycznych[Pihowicz,2008].Kwestiaawariitechnicznych,ichprzyczyniskutków,czylizakłóceńnimipowodowanych,jestwpisanawpraktykęzachowańinżynierskich,abogatedoświadczeniazarównoweryfikująustalenianaukowe,jakikształtująprofesjonalnądobrąpraktykęcodoprojektowaniaurządzeńiukładówozałożonejniezawodnościorazdotworzeniarozwiązańorganizacyjnychuwzględniającychprzewidywanązawodnośćzastoso-wanychurządzeń.

Równocześniewidocznyjestbrakanalogiczniezaawansowanejteoriiwod-niesieniudosprawnościdziałaniapodmiotówocharakterzebiznesowymiadmi-nistracyjnym.Sprawnośćichjestnaruszanawwynikuoddziaływaniaczynnikówryzykaoperacyjnego(wdużymstopniuorganizacyjnego),tj.zagrożeń,naktórepodatna jest organizacja główniew związku zniedoskonałościąprzygotowaniaprocesówwewnętrznych, niedostatkiem umiejętności kadry pracowników lubzłymgospodarowaniemzasobami[Jajuga,2007].Naprzestrzeniostatnichkil-kunastulatzagadnienietozostałowłączonedokatalogurodzajówryzyka,jakiewpraktycegospodarczejusiłujesięidentyfikowaćimierzyć,atakżetworzyćsto-sowne przed nimi zabezpieczenia techniczne, organizacyjne, aw ostatecznościodpowiedniooszacowanerezerwyfinansowe[Tarczyński,Mojsiewicz,2001].

Niniejszapracajestpodsumowaniemdorobkuautoraiprowadzonychprzezniegobadańdotyczącychtriadyzagadnień„Ryzykooperacyjne–Bezpieczeństwooperacyjne organizacji – Ciągłość działania organizacji”, a przedstawianych na

Wstęp 8

bieżącowewcześniejszychpublikacjach,zktórychnajważniejsze(wukładzielo-gicznymtreści)przedstawionoponiżej.

1. Wzakresiezagadnienia„ryzykooperacyjne”: Niepewność w zarządzaniu [2007], VIIIMiędzynarodowaKonferencja„ZarządzanieFinansami–ZarządzanieRyzykiemiKreowanieWartości”,Uniwersytet Szczeciński, Wydział Nauk Ekonomicznych i Zarządzania,Międzyzdroje18–20kwietnia,„ZeszytyNaukowe”nr455. Pojęcie ryzyka operacyjnego i klasyfikacja jego rodzajów [2010],„PrzeglądOrganizacji”nr6. Ryzyko operacyjne i jego szacowanie [2008](współautorM.Soczko),[w:]R.Knosala(red.),Komputerowo zintegrowane zarządzanie,WydawnictwoPolitechnikiOpolskiej,Opole. (red.)Zarządzanie ryzykiem operacyjnym[2008],(współredaktornaukowyI.Staniec),C.H.Beck,Warszawa.

2. Wzakresiezagadnienia„bezpieczeństwooperacyjne”: TSM – Total Security Management. Zalecenia do tworzenia Polityki Bezpie-czeństwa Operacyjnego [2003], (współautorzy:M.Blim,M.Byczkowski)EuropeanNetworkSecurityInstitute,Warszawa. Information Security Aspect of Operational Risk Management [2009],(współautorM.Byczkowski),„FoundationsofManagement”nr2. Bezpieczeństwo systemów informacyjnych[2012],(współautorF.Wołowski),edu-Libri,Kraków.

3. Wzakresiezagadnienia„ciągłośćdziałania”: Ciągłość działania a teoria zarządzania [2006],„EkonomikaiOrganizacjaPrzedsiębiorstwa”nr4. Zapewnianie ciągłości działania jako ograniczanie ryzyka operacyjnego[2010],(współautorP.Gołąb),[w:]J.Monkiewicz,L.Gąsiorkiewicz(red.),Zarzą-dzanie ryzykiem działalności organizacji,C.H.Beck,Warszawa. Business Continuity [2010],„FoundationsofManagement”nr2. Propozycja metodyki zarządzania ciągłością działania[2003],„PrzeglądOrganizacji”nr6. Model oceniania dojrzałości zarządzania ciągłością działania organizacji[2007],„PrzeglądOrganizacji”nr4.

Rozprawa jest uwieńczeniem wieloletnich prac autora nad zagadnieniemsystematycznie doskonalonego zapewniania ciągłości działania organizacji wramachzarządzaniaryzykiemoperacyjnym.Problematykatajestściślezwiązanaz innymi kwestiami z zakresu nauki o zarządzaniu.Widać to, gdywyróżnionesformułowaniepoddasięanaliziepojęciowej.

Ciągłośćtopozytywnacechaaktywnegopostępowaniabliskaznaczeniowotakimpojęciom,jak:konsekwencja,trwałość,odporność,czytradycja[Za-wiła-Niedźwiecki,2010b].Inaczej„konsekwencjarozumianajakocelowe

9Wstęp

następstwokolejnychczynnościzmierzającychdostałegoceluizłożonychwtensposób,żenietylkosobienieprzeszkadzają,leczpewnewcześniejszesłużąjakoprzygotowaniedopewnychpóźniejszych”[Pszczołowski,1978,za Kotarbiński,1973]. Działaniejednoznaczniekojarzysięzaktywnością[Krzyżanowski,1994,s. 107]. Ciągłość działaniatoocenaaktywnościpostrzeganejjakokonsekwentnaiodpornanaprzeszkody[Davidson,2010].Inaczej–„postępowanieorgani-zatorskietworzącezdolnośćorganizacjidoskutecznegoreagowaniawsy-tuacjizaistnieniazakłócenia”[Staniec,Zawiła-Niedźwiecki,2008,s.261]. Organizacja,wtymujęciu,jestutożsamianazpodmiotembędącymsys-tememdziałania,tworzonymwspołeczeństwiewcelachgospodarczych,administracyjnych,non-profititd.[Krzyżanowski,1994]. Systematyczne doskonalenietosztandarowypostulatzarządzaniaprzezjakość,aciągłośćdziałania,jakopostulatsprawnegodziałania,wpisujesięnalistęszczegółowychpostulatówjakościowychfunkcjonowaniaorganizacji[Dahlgaard,Kristensen,Kanji,2004; Szczepańska,2011; Zapłata,2003],wdodatkuzarównonapoziomiezarządzaniastrategicznego,jakiopera-tywnego.Naobupoziomachdoskonaleniejestjednymzkryteriówrealizacjicelu,bliskozwiązanymz innymi, takimi jakskuteczność,sprawnośćczyefektywność[Siwek,Onyszczuk,Bagiński,2006]. Systematyczne doskonalenie to także podstawowa zasada organizacjiuczącejsięizarządzaniawiedzą[Probst,Raub,Romhardt,2002; Perechuda,2005; Tabaszewska,2012].Oznaczaumiejętnośćanalizowaniaiocenianiazjawiskpochodzącychzbieżącejpraktykiorganizacjiorazwyciąganiaznichwnioskównaprzyszłość. Zapewnianietosynonimcałegoszereguokreśleństanowiącychopewnymtypiedziałania(dostarczanie,opracowywanie,przygotowywanie,manipu-lowanie,wpływanie)[Krzyżanowski,1994],wtymujęciude factoorgani-zatorskiego. Zarządzanietoadekwatnedookolicznościsterowanierealizacjąokreślo-negoceluorganizacjiopartenaróżnychpozostającychwdyspozycjizasobach[Krzyżanowski,1994]. Zapewnianie ciągłości działania odnosi się do zarządzania ryzykiemoperacyjnym.Jestrodzajemwpływanianapoziomtegoryzyka,choćniebezpośrednio,niepolegabowiemnapodejmowaniustarańozmianywza-kresieprzyczynryzykaimechanizmujegospełnianiasię,ajedyniestarańozwiększanieodpornościnajegoprzejawy.Istotnątegocezurąjestwięcmoment,wktórymrozwiązaniazapewnianiaciągłościgwarantująorga-nizacjiwpływ na przejawy ryzyka, ama tomiejsce już powystąpieniuzdarzenia krytycznego będącego konsekwencją ryzyka [Staniec, Zawiła--Niedźwiecki,2008].

Wstęp 10

Zapewnianie ciągłości działaniajestrównocześniezwiązanezinnąka-tegorią aktywności zmierzającej do ograniczania ryzyka – z zabiegamizapewnianiabezpieczeństwa[Liderman,2012].Mogąone,podobniedozapewnianiaciągłościdziałania,polegaćnaograniczaniupodatnościorga-nizacjinaoddziaływanieryzyka,alemogąrównieżbezpośrednioinge-rowaćwprzyczyny ryzyka imechanizm jego spełniania się.Wdodatkuzwiązkitemogąwyglądaćtak,żewramachzarządzaniaryzykiemope-racyjnym sięga się po rozwiązania tylko z zakresu zapewniania bezpie-czeństwa(wpraktycejesttoprzypadekczęsty,choćwynikającyzazwyczajzbrakuprzezorności)lubtylkozzakresuzapewnianiaciągłościdziałania(wpraktyceprzypadekbardzorzadki,zwyklezachodzącywtedy,gdyocenaekonomicznejracjonalnościwskazujenakorzyśćwpominięciurozwiązańzapewnianiabezpieczeństwa),bądźzapewnianiabezpieczeństwazintegro-wanegozzapewnianiemciągłości(wpraktyceprzypadekcorazczęstszyorazświadczącyodojrzałymiracjonalnymekonomiczniepodejściudoza-rządzania ryzykiem) [Byczkowski,Zawiła-Niedźwiecki,2009; Wołowski,Zawiła-Niedźwiecki,2012].Ztychpowodównależywidziećzapewnianiebezpieczeństwaizapewnianieciągłościdziałaniajakoczęścizagadnieniazarządzaniaryzykiemoperacyjnym.

Sformułowanietowpełnymbrzmieniumateżładunekaksjologiczny.Kryjesięwnimstaranieozapewnieniedziałanianiezakłóconego,awięcbezpiecznego,dobrzezorganizowanego,właściwieukierunkowanego,powtarzalnegoisprawnego.Wszczególnościbezpieczeństwo,aprzezswójzwiązekznimtakżeciągłośćdzia-łania,sąwartościamipodstawowymidlafunkcjonowaniaspołeczeństwaiposzcze-gólnychludzi[Szmyd,2000; Gasparski,2007].

Zakresproblemowypracyobejmujekilkazagadnień,któreprzenikająsięwcha-rakterystycznysposób,copokazanowtabeliW.1.

MożnateżinterpretowaćceleztabeliW.1jakoodpowiadającehipotezom,że: istniejetriadaproblemowaRyzyko–Bezpieczeństwo–Ciągłość,ajejważnącechąjestintegralnośćfunkcjonalna,copowinnoprowadzićdozintegro-wanegosystemupojęć, istnieje faktyczna relacjakomplementarnościmiędzy zapewnianiemcią-głościdziałaniaapozostałymirodzajamioddziaływańograniczającychryzykooperacyjne, istniejąkryteriaumożliwiająceopracowaniepotrzebnychklasyfikacjiryzykaoperacyjnego, możliwejestopracowaniewskazanychzasadorazmetodykianalizyipro-jektowania.

Realizacjicelówiweryfikacjihipotezsłużyłybadania,którepozwoliłyustalićidoskonalićmodelzapewnianiaciągłościdziałania,metodykęjegorealizacji,ana-stępniezweryfikowaćjejaplikacyjnośćwrzeczywistychprojektach.

Pracaskładasięz6rozdziałówipodsumowania,azałącznikzawieraopisbadań.

11Wstęp

Tabe

la W

.1. C

ele p

racy

i klu

czow

e za

gadn

ienia

w n

iej p

orus

zane

Cele

głó

wne

1. W

ykaz

anie,

że

w o

dnies

ieniu

do

ryzy

ka o

pera

cyjn

ego

słusz

ne je

st tr

akto

wan

ie go

jako

nier

ozer

waln

ej tri

ady

prob

lemow

ej Ry

zyko

–

Bezp

iecze

ństw

o –

Ciąg

łość

2. O

prac

owan

ie m

etod

yki s

yste

mat

yczn

ej an

alizy

ryzy

ka o

pera

cyjn

ego

pojm

owan

ego

jako

ww.

triad

a pr

oblem

owa,

i pr

owad

zące

j do

wsk

azan

ia –

właś

ciweg

o dla

zide

ntyf

ikow

anyc

h za

groż

eń i

poda

tnoś

ci or

az w

ynika

jącyc

h z

tego

pot

encja

lnych

zak

łóce

ń –

spos

obu

post

ępow

ania

prew

ency

jneg

o i n

apra

wcz

ego

Rozd

ział

Zakr

es p

robl

emow

yCe

le

doda

tkow

e od

pow

iada

jące

za

kres

owi p

robl

emow

emu

1. R

yzyk

oRy

zyko

W

skaz

anie

konc

epcj

i ba

dań

nad

moż

liwoś

cią

opra

cow

ania

kom

plek

-so

wej

klasy

fikac

ji ry

zyka

2. R

yzyk

o ope

racy

jne i j

ego

klasy

fikac

jeRy

zyko

op

erac

yjne

jako

triad

a Ry

zyko

–Be

zpiec

zeńs

two

–Ci

ągło

ść

Opra

cow

anie

kom

plek

sow

ej kla

sy-

fikac

ji ry

zyka

ope

racy

jneg

o

3. P

roce

s za

rząd

zania

ry-

zykie

m o

pera

cyjn

ymOp

raco

wan

ie za

sad

syst

emat

yczn

ej an

alizy

ryzy

ka p

rowa

dząc

ej do

ust

ale-

nia k

rytyc

znyc

h pr

oces

ów, g

łówny

ch

zagr

ożeń

i ist

otny

ch p

odat

nośc

i

4. Za

pewn

ianie

bezp

iecze

ń-st

wa

w

zarz

ądza

niu

ryzy

kiem

ope

racy

jnym

Prew

encj

a Za

pewn

ianie

bezp

iecze

ń-st

wa

obejm

ując

e ro

z-w

iąza

nia

zape

wni

ania

ci

ągło

ści

jako

sw

oist

e do

datko

we z

abez

piecz

e-ni

e pr

zed

ryzy

kiem

Zape

wni

anie

ciąg

łośc

i dzia

-łan

ia ob

ejmują

ce za

pewn

ianie

bezp

iecze

ństw

a ja

ko

zbió

r ro

związ

ań w

yprz

edza

jący

ch

potrz

ebę

stos

owan

ia ro

zwią-

zań

zape

wni

ania

ciąg

łośc

i

Wsk

azan

ie re

lacji k

omple

men

tarno

ści

międ

zy za

pewn

ianiem

ciąg

łości

dzia-

łani

a a

pozo

stał

ymi r

odza

jam

i od-

dział

ywań

ogr

anic

zają

cych

ryz

yko

oper

acyjn

e

5. Z

apew

nian

ie ci

ągło

ści

dział

ania

w za

rząd

zaniu

ry

zykie

m o

pera

cyjn

ym

Tera

pia (

postę

po-

wanie

nap

rawc

ze)

Opra

cow

anie

zasa

d pr

awid

łow

ego

post

ępow

ania

w z

akre

sie tw

orze

nia

rozw

iązań

org

aniza

cyjny

ch i p

roce

du-

ralny

ch za

pewn

iania

ciągło

ści d

ziałan

ia og

rani

czaj

ącyc

h ry

zyko

ope

racy

jne.

Źród

ło: o

prac

owan

ie w

łasn

e.

Wstęp 12

Wrozdzialepierwszymokreślonocelizakrespracyorazscharakteryzowanogłównespojrzenianazagadnienieryzykaoperacyjnegoorazzapewnianiaciągłościdziałania.Wkonsekwencjizaśdokonanoprzeglądupodstawowegodorobkuwza-kresietychzagadnień,wtymwskazanopochodzenieigłównąideępodejściadozapewnianiaciągłościdziałania.

W rozdziale drugimprzedstawiono aktualny stanwiedzy iwystępująceproblemywdefiniowaniuiklasyfikowaniuryzyka,któremimoprowadzonychodkilkudziesięciulatbadańnaukowychnadniminadalniezostaływpełnirozstrzy-gnięte.Powodemtegojestpowszechneprzyjmowanie,jakowiodącej,perspektywyfinansowejwstosunkudopełnegospektrumrodzajówryzyka.Tymczasemryzykooperacyjnewodróżnieniuodpozostałychrodzajówryzykawymagaspecyficznegopodejścia,wtymjegoanalizywujęciuorganizacyjnym.Wrozdzialeomówionobranżowe(bankowość,ubezpieczenia,rynekkapitałowy)podejściadodefiniowa-niaikategoryzowaniaryzyka.Jakowkładnaukowyautorazostałaprzedstawionapropozycjaproblemubadawczegoopracowaniauniwersalnejklasyfikacji ryzykauwzględniającej:

specyfikę struktury gospodarki jako sumy branż przez dobór kryteriówuwzględniającychtęspecyfikę, uniwersalnecechyorganizacji, wyznacznikinaturyryzyka.Wrozdzialetrzecimscharakteryzowanoryzykooperacyjne,wskazując,żewswej

istociejesttotriadaproblemowa:Ryzyko–Bezpieczeństwo–Ciągłośćdziałania.Pokazanodominująceobecnieujęcieadekwatnościkapitałowej,charakterystycznedladyscyplinyfinansów,orazomówionojegoniedostatki.Wkonkluzjiprzedsta-wionoopartąnateoriiorganizacjiautorskąklasyfikacjęrodzajówryzykaoperacyj-nego,wykorzystująckilkaspójniełączonychkryteriówzwiązanychzpodejściemprocesowymdozarządzaniaorganizacją,modelowymcyklemzarządzaniaorgani-zacjąorazścisłymzwiązkiempodatnościnaryzykozgłównymirodzajamizasobóworganizacjiizorganizowaniemichwykorzystywania.

Wrozdzialeczwartymprzedstawionoklasycznymodelprocesuzarządzaniaryzykiem,wktórymnewralgicznymelementemjestidentyfikacjaryzyka,ajejkon-sekwencjąanaliza,ocena,wybórpostępowaniazryzykiemijegomonitorowanie.Podkreślonowłaściwedyscyplinienaukiozarządzaniu,aniezawszeobecnewpo-dejściu innychdyscyplin,podejście analitycznewukładzie „przyczyny ryzyka–mechanizmspełnianiasięryzyka–skutkiryzyka”jakojedynepozwalającewpełniwnikliwieopisaćiocenićistotęryzyka.Jakowkładautoradonaukizostałoprzed-stawioneczterowarstwowepodejścieuczącewmonitorowaniuryzyka.

Wrozdzialepiątymprzedstawionozagadnieniazapewnianiabezpieczeństwaiciągłościdziałaniawujęciutzw.zintegrowanegozarządzaniabezpieczeństwem(total security management),którewidzijejakowzajemnieuzupełniającesięwo-becpotencjalnegozagrożenia,tj.wsensiedziałańocharakterzeprewencyjnymzestronyrozwiązańzapewnianiabezpieczeństwa,anaprawczo-zastępczychzestronyzapewnianiaciągłościdziałania.Jakowkładautoradonauki(zpodkreśleniemznaczącej roli Macieja Byczkowskiego, wieloletniego partnera w badaniach tej

13Wstęp

kwestii)scharakteryzowanouniwersalnezasadybezpieczeństwaorazspecyficznezasadyzwiązanezpodejściemorganizacyjnymzperspektywyochronyposzczegól-nychrodzajówzasobóworganizacji.

Wrozdzialeszóstymsformułowanokonkluzjęzwieloletnichbadańautoranadzapewnianiemciągłościdziałaniajakozespołempoczynań,którychcelemjesttakieoddziaływanienazidentyfikowaneczynnikiryzykaoraztakiereagowanienakażde,takżeniezidentyfikowaneprzejawyryzyka,abyjegowpływnadziałalnośćorganizacjizostałograniczony.Zuwaginapionierskiokres(lata90.XXw.)krysta-lizowaniasiępoglądównatozagadnienieiformułowaniapierwszychpropozycjidobrychpraktyk,badaniaautoranakierowanebyływpierwszejczęścinazdefinio-waniemetodykiprojektowaniarozwiązańzapewnianiaciągłościdziałania.Wdrugiejzaśczęścipolegałynasprawdzeniu,czyzałożeniametodyczneznajdująodzwier-ciedleniewprzygotowaniachfirm,które–przymuszoneregulacjamiprawnymi–właśniepodejmowałyproces systematycznegowprowadzania iutrzymywaniarozwiązańciągłościdziałania,wtymaplikowałygoformalniewswejstrukturzeipraktyceorganizacyjnej.Uwzględnianoprzytymformułowanewłaśnieistop-niowo publikowanewzorce dobrych praktyk dotyczących tej problematyki. NapodstawiebadańdopracowanoostatecznymodelmetodycznynazwanyTSM/BCP(TotalSecurityManagement–BusinessContinuityPlanning) idokonanoocenyjegoaplikacyjności.Nakoniecrozdziałuzaprezentowanozasadyweryfikowaniastopniadojrzałościzarządzaniazapewnianiemciągłościdziałania.

Wpodsumowaniudokonanoprzegląduwkładunaukowegoautoraorazsfor-mułowanownioskizbadań,atakżewskazanodalszezagadnieniabadawcze,jakiewynikają z pracy.Autor jest bowiem świadomy, że przedstawionew rozprawieujęciegłównegoproblemupracywyznaczatakżenowepytaniabadawcze.Przed-stawionezasadyzapewnianiaciągłościdziałaniazmierzajądousprawnieniadzia-łań ukierunkowanych na stabilizację funkcjonowania organizacji wwarunkachniepewności i związanego z tym ryzyka. Takie zmiany organizacyjne często sązwiązanezdziałaniamidestrukcyjnymi,tj.najpierwmamiejsceosłabienieistnie-jącegostanu,potemjegozmiana,anastępniezastąpieniegonowymrozwiązaniem,którezkoleiwinnozostaćutrwalone.Podejściezaprezentowanewpracyzakłada,cojestpewnymuproszczeniemwstosunkudorzeczywistości,istnieniepewnychniezmiennikóworganizacji, typu:celebiznesowe,otoczenie,procesy,zasoby,strukturaitp.Pojawiającesięzakłóceniapowodująuruchomieniemechanizmówstabilizującychorganizację,przywracającjądostanuzbliżonegodopoczątkowego.Zatemzasadyzapewnianiaciągłościdziałaniawpisująsięwkoncepcjezarządzaniazmianami,zarządzaniainnowacjami,zarządzaniawiedzą,koncepcjeorganizacjizwinnych,uczącychsięitp.Natymtlemożnapostawićpytania–Czynaruszenieciągłości działania zawsze stanowi zagrożenie dla organizacji? Jak traktowaćwprowadzanie zmian organizacyjnych naruszających przecież także ciągłośćdziałaniaorganizacji?Czyijakwynikiuzyskanewpracymożnawykorzystaćwzarządzaniuzmianami(dlazapewnieniaciągłościdziałaniaorganizacji,wktórejwprowadzanesązmiany)?Teipodobnepytaniapracapozostawiajakoprzedmiotkolejnychbadań.Trzebabowiemnowąproblematykęwpierwuporządkowaćwjejpodstawowymkształcie.

1. Wprowadzenie do problematykiWsferzezarządzaniagospodarkąorazwewspierającejtępraktykęteorii,obser-wuje się radykalnywzrost zainteresowania ryzykiem. Staje się ono znaczącymproblememzarządzania.Fakttenniejestspowodowanywyłączniekumulacjądo-tychczasowejwiedzyipraktykiorazichrozwojem.Wynikaonbardziejztego,żezdecydowanetrendyliberalizacjiiglobalizacjiwgospodarceświatowejdoprowa-dziłydoniespotykanegodotądzintensyfikowaniakonkurencjirynkowej[Nowak,Steagall,Baliamoune,2004].Automatyczniezwiększatoryzykoniepowodzeniaposzczególnychprojektówgospodarczych i całejdziałalnościgospodarczej,pro-wadzonejprzezdanąorganizację1.Wszystkowskazujenato,żedotychczasowestrategiedziałańorganizacjiniesąwystarczające,abytoryzykozminimalizować,askutkiubocznetychstrategiimogąspowodować,żeorganizacjestanąsięofiaraminieuwzględnionegoryzyka,sprzecznychoczekiwańinteresariuszyorazzorganizo-wanejwładzy,zarównokonsumentów,jakigrupmonopolistycznychproducentów[Damodaran,2009; Obłój,2010; Orzeł,2012].

Wtymkontekścietrwająpraceposzukiwaniawspółczesnegomodeluorgani-zacji.Usiłującgozdefiniować,wprowadzonopojęcieikoncepcję„przedsiębiorstwaprzyszłości”[Grudzewski,Merski,2004].Koncepcjatajestpróbąodpowiedzinawyzwaniapostępucywilizacyjnegoorazrozwojugospodarczegoimyślitechnicz-nej.Wyrazemtegosą:

popierwsze–rewolucjainformacyjnapowodująca,żenaczelnąumiejęt-nościąkażdejorganizacjistajesięzarządzaniewiedzą, podrugie–presjaotoczenianaorganizacjęwynikającazezmiennegoza-potrzebowaniarynku,oczekiwaniawysokichstandardówjakościwyrobówi usług, szybkiego rozwoju technologii i techniki, ewolucji wymagańprawnych.

Sątorównieżpraktyczneibezpośrednieprzejawyglobalizacji[Grudzewski,Hejduk,Sankowska,Wańtuchowicz,2010].

1 Jesttoprzedmiotembadańtzw.teoriispołeczeństwaryzyka,zob.:[Beck,2002; Marciniak,2013].

151. Wprowadzenie do problematyki

Szczególnąkonsekwencjąnarastaniakonkurencjijestposzukiwanieiwdrażaniecoraz bardziej wyrafinowanych rozwiązań organizacji pracy, wytwarzania orazświadczeniausług.Tozkoleinarażaorganizacjestosującetakierozwiązanianaspecyficznyrodzajryzyka,bezpośredniozwiązanegozdziałaniemorganizatorskimorazdyspozycyjnościązasobówwewnętrznych[Sołtysik,2001; Krupski,2012a]. Ryzyko tonazywane jest operacyjnym. Jego znaczenie iwpływna skutecznośćdziałaniaorganizacjinadalbędąrosnąć,aznimipotrzebanaukowejpenetracjinatury,źródełisposobówprzejawianiasięryzykaoperacyjnegoorazmożliwościorganizacjireagowanianatakieryzyko[Staniec,Zawiła-Niedźwiecki,2008].

Dodatkowo,szeregdramatycznychwydarzeńgospodarczychipolitycznychostatnichlatpokazałświatu,żesamaświadomośćokreślonychrodzajówryzykajestniewystarczająca,jeśliniestosujesiękompleksowego,dojrzałegozarządzanianim[Nogalski,Szpitter,Rybak,2012],atooznaczazarównopotrzebękontrolnegosprzężeniazwrotnegowcykluzarządzaniaryzykiem[Conrow,2000],jakipo-trzebępostępowaniazastępczegonawypadeknieskutecznościtegozarządzania[Gołąb, 2009].Najbardziejwyrazistym tegoprzykładembył tzw.problem roku2000(nazywanyteżproblemem/ryzykiem/pluskwąmilenijnąalboY2K)[Kendall,2000].Uświadomionywpoczątkachlat90.XXwieku,apolegającynanieprawi-dłowymrozpoznawaniuzapisudatyroku2000przezwiększośćoprogramowaniaprodukowanychwówczassystemówkomputerowych,problemY2Kzmobilizowałdosłowniecałyświatdoprzeprowadzeniaanalizryzyka,wdrożeniaprogramównaprawczychorazplanówpostępowaniaawaryjnegonawypadeknieskutecznościtychkorekt.Opracowanewtymczasiemetodyizasadyorganizacyjneanalizyry-zyka,usuwaniawadorazprojektowaniaplanówawaryjnychsądodziśstosowaneidoskonalone.Tenszczególnyproblem,biorącysięzuproszczeniatechnicznego(po latachbrzemiennegowskutki),prawdopodobniesilniejwpłynąłnateorięzarządzaniaryzykiem,zapewnianiembezpieczeństwaizapewnianiemciągłościdziałaniaoraznajejpraktyczneupowszechnienieniżnawettakdramatycznewy-darzeniajakatakterrorystyczny11września2001roku.

InnegorodzajuwnioskizrodziłysięwkonsekwencjiupadkubankuBarringsw1995rokuorazfirmyenergetycznejEnronw2001roku[MonkiewiczM.,2010]. Obatewydarzeniaodbiłysięszerokimechemwcałymświeciegospodarczym.Doobudoszłozpowodubrakudostatecznejkontroli:

wewnętrznej (Barrings) – upadek spowodowały oszustwa szeregowego,pozornienieznaczącegopracownika, systemowej(Enron)–doszłodonadużyćnajwyższegokierownictwawzmo-wiezfirmąaudytorską.

Upadki obu firm znaczącowpłynęły na fundamentymodelu zarządzaniaryzykiem. Stwierdzono zwłaszcza potrzebę rozbudowania monitorowania orazkontrolnegosprzężeniazwrotnegowcykluzarządzaniaryzykiem,wtymnapozio-miepaństwowychorganównadzorczychiregulacyjnych.Zwróconoteżuwagęnaznaczeniedlaorganizacjinietylkoryzykafinansowego(biznesowego),aleibar-dzoszybkorosnąceznaczenieryzykaoperacyjnego(organizacyjnego)[Vanini,Ebnöther,McNeil,Antolinez,2003; Damodaran,2009].

1. Wprowadzenie do problematyki 16

Wreszciekataklizmyprzyrodniczeoraztechniczneostatnichlat,takiejaktsu-namiwkilkukrajachazjatyckich,huraganynaMorzuKaraibskim,awarieplatformwiertniczych czyelektrowni jądrowych,pokazałyniedostatekprzygotowaniaorganizacyjnegolokalnychspołeczności,organówipracownikówadministracjipublicznejorazpodmiotówpowołanychdoniesieniapomocy2.Skalaagresywnościtychzagrożeńwdużymstopniutłumaczywprawdzieniedostatekreakcji,aleteżwskazujenapotrzebęmetodycznegopostępowaniawbudowaniumechanizmówreagowania.WPolscetakiemuwyciąganiuwnioskówpodramatycznejpowodzinaDolnymŚląskuw1997rokuzawdzięczamyrozbudowanytzw.systemmonito-ringugórnejOdry3orazzasadywspółpracysłużbpowołanychdoniesieniapomocyzpodmiotamipowołanymidomonitorowaniazjawiskprzyrodniczych(np.Insty-tutMeteorologiiiGospodarkiWodnej4).

Aktualny stanpodejściado takich zagrożeń, jakprzykładowowymienionewyżej,wskazujenageneralnąwagęproblematykiryzykawgospodarceiwdzia-łalnościbieżącejorganizacji5. K.Jajuga[2007,s.9]piszeotym:„Znaczeniezarzą-dzaniaryzykiemwzrosłowostatnichlatachnacałymświecie,główniezpowoduzwiększeniasięryzykawgospodarce.Głównymielementamiwskazującyminarozwójzarządzaniaryzykiemsą:

powstawanienowychrozwiązańteoretycznychwzakresieanalizyizarządza-niaryzykiem,któremająupodstawzaawansowanenarzędziateoretyczne, włączanieprzezpodmiotygospodarczezarządzaniaryzykiemdoogólnejstrategiizarządzania, powstaniezawodu„zarządzającyryzykiem”(risk manager), wprowadzeniewymogówinformowaniaostrategiizarządzaniaryzykiemwsprawozdaniufinansowym, powstawaniebazdanychumożliwiającychszacowanieryzyka, tworzenieprzezprofesjonalneśrodowiskaorazprzezinstytucjenadzorczei instytucje regulacyjne standardów iwymogóww zakresie zarządzaniaryzykiem, powstanie międzynarodowych i krajowych organizacji zajmujących sięupowszechnianiemwiedzyistandardówprofesjonalnychwzakresiezarzą-dzaniaryzykiem”.

2 AktualnalistategotypuwydarzeńjestdostępnanaforumdyskusyjnymBusinessContinuitynaportaluprofesjonalistówLinkedIn(www.linkedin.com).

3 BartosiewiczS.,BoguckiJ.[2008],Odrzańska droga wodna w obszarze regionu wodnego Środ-kowej Odry,RegionalnyZarządGospodarkiWodnejweWrocławiu,Wrocław.

4 IMiGWkierujeostrzeżeniadogłównychsłużbpowołanychdoniesieniapomocyorazczęśćostrzeżeńpublikujenaswojejstronieinternetowejwww.imigw.pl.

5 WtrakcieForumMyśliStrategicznejPTE(22.02.2010)W.GumuławreferacieUniwersalia i anomalie w procesach globalizacji XXI wiekupodałinteresującypostulat,abywodpowiedzinarozwójsytu-acjiwgospodarceświatowejsformułowaćparadygmatspołeczeństwaryzyka,cokonweniujezpracą[Beck,2002].Zkoleiwtymkontekścietrzebazwrócićuwagęnakrańcowopesymistycznywariantinterpretacjikryzysugospodarczegopo2008roku[Marciniak,2013],wedługktórejsytuacjawUniiEuropejskiejmożewynikaćzosiągnięciagranicrozwojuwramachaktualniepraktykowanegomodelugospodarczego.


Szczególnegopodkreśleniawartjestfakt,żechoćgłównewspomnianeprzy-kładydotycząfirmfinansowych,tonaturaproblemów,azwłaszczarekomendo-wanysposóbradzeniasobieznimimającharakterorganizacyjnyinależąwdużymstopniudospecyfikidyscyplinynaukozarządzaniu,anietylkodyscyplinynaukofinansach.Bardzoczęstomamiejscekojarzenieryzykazsektoremfinansowymorazzdyscyplinąnaukofinansach.Tymczasemnależałobytoskomentowaćtak,żesektorowifinansowemuidyscyplinienaukofinansachzawdzięczamyzaawan-sowanie w rozpatrywaniu problematyki ryzyka, natomiast jej naturalny zakresobejmuje kwestiewłaściwe trzemdyscyplinomdziedzinynaukekonomicznych:ekonomii,finansominaukomozarządzaniu,adodatkowosięgająceszereguin-nychdyscyplinzdziedzinnaukspołecznychinauktechnicznychconajmniej.

Wodniesieniudoryzykaoperacyjnegowskazujetonainteresującąkwestię,którabędzierozwijanawniniejszejpracy,żenagruncienaukofinansachwypra-cowujesięgłówniemetodyustalaniapoziomuniezbędnejadekwatnościkapitało-wej(rezerwzdolnychkompensowaćstraty),natomiastistotęspełnianiasięryzykaoperacyjnego(swoistegomechanizmu,któryprowadziodprzyczyndoskutków)możnaokreślić,iwkonsekwencjiwpływaćnajegopoziom,nagrunciedziałaniabędącegoprzedmiotembadaniainnychnaukniżfinanse,zwłaszczanaukozarzą-dzaniu[Staniec,Zawiła-Niedźwiecki,2008].

Rysunek 1.1. Związki zarządzania ryzykiem, zapewnianiem bezpieczeństwa i zapewnianiem ciągłości działania (w ramach teorii organizacji i zarządzania) z teorią niezawodności technicznej oraz zarzą-dzaniem kryzysowym

Źródło: [Zawiła-Niedźwiecki, 2008].

7

Środowisko biznesowe

Zarządzanie kryzysowe

Teoria organizacji i zarządzania

Środowisko techniczne

Ryzyko, bezpieczeństwo,

ciągłość

Środowisko techniczne

Teoria niezawodności

technicznej


Postępowanie,którebezpośredniodotyka istoty ryzykaoperacyjnego ipo-zwala nawpływanie na jego poziom, polega na świadomie łączonej prewencji(rozwiązaniazabezpieczająceprzedryzykiem,możliwedziękirozumieniuistotyprzyczyn) oraz wypraktykowanej umiejętności przeprowadzania terapii (roz-wiązaniaumożliwiającekontynuowaniedziałania)[Zawiła-Niedźwiecki,2006b]. Obietekwestiesąkwintesencjąpojmowaniaryzykaoperacyjnegojakotriadypro-blemowejRyzyko–Bezpieczeństwo–Ciągłość,cojakopropozycjanaukowajestwkłademautoradonauki,azostanieomówionewniniejszejpracy.

Szczególnieistotnedlawyrażeniaumiejętnościkontrolowaniapoziomuryzykajestutrzymywaniezdolnościdozachowaniaciągłościdziałania.Popierwsze,jesttopostulatemdoskonałościsystemudziałania,jakimjestkażdaorganizacja[Zawiła--Niedźwiecki,2008].Wtymsensiezapewnianieciągłościdziałania jestprzed-miotemzarządzaniastrategicznego,wyrażacelnadrzędnysprawnościorganizacjiiobejmujeprymatwobszarzezarządzaniaryzykiemoperacyjnym[DeWit,Meyer,2007; Sudoł,2006].Wperspektywiestrategicznejdodatkowopozostajezagadnie-niemzpograniczadyscyplin:ekonomiiinaukozarządzaniu[Marciniak,2008]. Podrugie, ciągłośćdziałania jest rozumiana jakopostępowanieorganizatorskietworzącezdolnośćorganizacjidoskutecznegoreagowaniawsytuacjizaistnieniazakłócenia będącegowynikiem swoistej interakcji przejawów zagrożenia zwe-wnętrznąpodatnościąorganizacji,jejinfrastruktury,zasobówlubrozwiązańzor-ganizowania.Wtymsensiezapewnianieciągłościdziałaniajestprzedmiotemzarządzaniaoperacyjnegoistanowiostatnieogniwozarządzaniaryzykiemopera-cyjnym [Staniec, Zawiła-Niedźwiecki, 2008]. Ryzyko operacyjne jest niedawnowyodrębnionąkategoriąryzyka6.Podstawowekoncepcje,któregodotyczą,możnaczerpać z trzech źródeł. Pierwszym historycznie jest Komitet Bazylejski7, któryogniskujepracesektorabankowego,właściwiezcałegoświata,nadrekomenda-cjamidobrychpraktykwzakresiezarządzaniakażdymrodzajemryzykaspotyka-negowbankowości.GłównymdokumentemKomitetuBazylejskiegoodnoszącymsiędoryzykaoperacyjnegojestSound Practices for the Management and Supervision of Operational Risk[BaselCommitteeonBankingSupervision,2010]aktualizowany

6 Pierwszapowszechniejprzyjętadefinicjazostałazaproponowanawroku1999przezBritishBankersAssociation[BBA,ISDA,RMA,1999],aostatnia,podawanaprzezKomitetBazylejskiwcyklicz-nienowelizowanymdokumencieSound Practices for the Management and Supervision of Operational Risk[BaselCommitteeonBankingSupervision,2010],pochodzizroku2004.

7 KomitetBazylejski(formalnanazwaCommitteeonBankingSupervision)tomiędzynarodoweciałokonsultacyjneocharakterze„radymędrców”,działającewsektorzebankowym(przyBankuRoz-liczeńMiędzynarodowychwBazylei,stądpopularnanazwakomitetu)ipowołanedowypracowywaniawspólnychrekomendacjidobrychpraktyk.Stopieńrespektowaniatychrekomendacjijestprzyjmowanyprzezkażdykrajniezależnie,wPolscewiększość rekomendacji jestwprowadzanadoregulacjibez-względnieobowiązującychbanki,wniektórychkrajachjesttoograniczanedobankówodziałalnościponadkrajowej.OwocempractegoKomitetu,apraktyczniejegospecjalizowanychzespołów,jestrozległykompleksrekomendacjiznanychpodnazwamiBaselI,IIorazIII.Stałysięonepowszechnymwzorcem,wszereguelementachwykraczającymznaczniepozasektorbankowy.Przykłademniechbędąregułyadekwatnościkapitałowejwprowadzonedouregulowańnowoczesnychfinansówgospodarczychwpo-staciobowiązkuzawiązywaniarezerwnapoczetmożliwychniekorzystnychwydarzeń.


systematyczniecodwalata,atakżeuzupełniającegomateriały8analizującebieżącąpraktykębankówna świecie i statystyki zdarzeńkrytycznychnależącychdo tejkategorii ryzyka.PodstawowympowodemczęstejaktualizacjiSound Practices… jestnieprecyzyjnośćwydzieleniarodzajówryzykazakwalifikowanychdotejkate-gorii i stałe prace nad doprecyzowaniem zwłaszcza interpretacji rekomendacji.Wskazujetonapodstawowyproblem–braknaukowouporządkowanegospojrze-nianaryzykooperacyjneuwzględniającegopodejściaróżnychdziedzinidyscyplinnaukowych.

Zistotyryzykaoperacyjnego,którezawszetowarzyszykażdejdziałalności,wynika,żeleżyonowzakresiezainteresowaniawszystkichdyscyplinwiedzyzwią-zanychzfunkcjonowaniemorganizacji,awszczególnościekonomii,finansóworazzarządzania.Stopieńtegozainteresowania,acozatymidziestanwiedzywujęciuposzczególnychdyscyplin,sąróżne.Wniniejszychrozważaniachograniczonosiędodziedzinynaukekonomicznych,choćoczywistejest,żeszeregaspektówproble-matykipanowanianadryzykiemdotyczynaukprawnych,technicznychczyspołecz-nych.Dodatkowotrzebapodkreślić,żewaspekcieoperacjonalizacjizarządzaniaryzykiemniniejszapracakoncentrujesięnazapewnianiuciągłościdziałania.

Badaniainaukowekonkluzjedotycząceryzykaoperacyjnegosąnajbardziejzaawansowanewdyscypliniefinansów, czegopoczątekdały sygnalizowane jużpraceKomitetuBazylejskiego.Wśladzanimi,nazasadzieadaptowaniarozwiązańzbankowościdoubezpieczeń,podążaCEIOPS9.Zresztąwszystkiedalejprzedstawioneośrodkibędąceźródłemwiedzyoryzykuoperacyjnymwspółpracujązkluczowymiśrodowiskamibankowymi(tj.nietylkoKomitetemBazylejskim,aleizagendamibankównarodowychlubkorporacjibankowych).Rzutujeto,niekoniecznieko-rzystnie,cozostaniepokazanedalej,nakierunkiichzainteresowańibadań.

Drugimźródłemkoncepcjiryzykaoperacyjnegosąrozproszonejeszczedzia-łaniaakademickie.Przezkrótkiczaswydawałosię,żetakimzagadnienieminten-sywniezajmiesięutworzonywspólnieprzezPolitechnikęiUniwersytetwZurichu–CenterofCompetenceFinanceinZurich(CFZZ).Mimopoczątkowychdeklaracji,działaniaCentrumpozostały jednakwobszarzeklasycznegoryzykabankowego[Vanini,Ebnöther,McNeil,Antolinez,2003; Döbeli,Leippold,Vanini,2003].Podob-niestaraniakilkuuniwersytetówbrytyjskich(OxfordiManchester)orazamerykań-skich(zwłaszczaUniwersytetStanfordaiUniwersytetNowojorski)doprowadziłyjedyniedopowstaniainicjatyw,którestałysiętrzecim(zob.dalej)źródłemwiedzyoryzykuoperacyjnym.Wartowięczauważyć,żenadalzagadnienietowszerokimujęciu,tj.wykraczającympozainterpretacjefinansowe,niemawyraźniewiodącegocentrumbadawczego.Niemniejjednakwartoodnotowaćpracenarodowychkomi-tetównormalizacyjnychAustralii,NowejZelandiiiWielkiejBrytanii,atakżeISO,

8 DokumentyKomitetuBazylejskiegosądostępnenastronieinternetowejBankforInternationalSettlements(BankRozliczeńMiędzynarodowychwBazylei)www.bis.org.

9 CEIOPS(CommitteeofEuropeanInsuranceandOccupationalPensionsSupervisors)–komitet,powołanywramachtzw.procesuLamfalussiego,czyliopracowywaniazasadregulacjisektorausługfinansowychwUE,doprowadziłdoprzygotowaniakompleksuuregulowańnadzorówubezpieczenio-wych,tj.DyrektywyUEzwanejSolvency.


którezaowocowałynormamizasadzarządzaniaryzykiemoperacyjnymwbiznesie(więcejotymw[Wołowski,Zawiła-Niedźwiecki,2012]).

Trzecimźródłemkoncepcjiryzykaoperacyjnegosądwaośrodki. Popierwsze– jakonajstarsza–amerykańska inicjatywaB.Schachtera10 polegającanaprowadzeniuod1996r.zwielkimzaangażowaniemstronyinternetowejwww.gloriamundi.org,któradługiczasbyławłaściwieelek-tronicznąbibliotekąpublikacjinatematryzyka(od1999r.takżeryzykaoperacyjnego),ostatnioulegajużniestetykomercjalizacji.Udostępniaonaszerokizakrespublikacjianglojęzycznych,odksiążek,przezartykuły,poreferatyiprezentacjekonferencyjne,atakżestanowiplatformędyskusjiikonsultacjizawodowych.Zarejestrowanewtymzasobieksiążkiiartykuły,nominalnie z dziedziny zarządzania ryzykiemoperacyjnym, dotyczą jakdotądwyłącznie badania doświadczeń pojedynczych banków lub krajo-wych systemówbankowychw zakresiewyceny ryzyka lub statystyk ichczynników,aniepodejmująaspektóworganizacyjnychinnychniżkwestieładukorporacyjnegoinadzorukrajowychregulatorów. Podrugie,wWielkiejBrytanii,podauspicjamiOxfordUniversityorazUni-versityofManchester,aprzyudzialenaukowcówamerykańskich,wydawanajestrodzinamiesięcznikównaukowych„RiskJournals”,awjejramachod2008r.osobny„JournalofOperationalRisk”,którypodejmuje tytułowątematykę,niestetywyłączniewujęciunaukofinansach.

Ogół publikacji dostępnych z tych trzech źródeł jest z naukowegopunktuwidzeniabardzoróżnejwartości,główniedlatego,żeproblematykatajestprzedewszystkimpostrzeganazbardzoutylitarnegopunktuwidzenia,atymsamympraceukierunkowanesąnaposzukiwanie:

wobszarze bankowościmetod dokładniejszego szacowania ryzyka orazbadaniawszelkichjegokorelacji, analogiimiędzybankowościąapozostałymiczęściamisektorafinansowego, analogiimiędzy bankowością a innymi sektorami aktywności gospodar-czej,aletylkowaspekcieszczególnychrodzajówryzykafinansowego.

Najistotniejszedlaniniejszychrozważańjestto,żewpracachtychdominujeperspektywafinansowaocenyryzyka.PolegatonawykorzystywaniuwpodejściudoryzykaoperacyjnegowieloletnichdoświadczeńKomitetuBazylejskiego(orazśrodowiskgospodarczychinaukowychznimzwiązanych)wzakresieszacowaniaposzczególnychrodzajówryzyka,dokonywanegowceluustaleniatzw.adekwat-nościkapitałowej11.Wefekcieutrwalasięwyraźnalukawwiedzyoinnychmożli-

10 BarrySchachter–amerykańskipraktykinaukowiecUniwersytetuNowojorskiego.11 Dyrektywa2006/48/ECbędącarealizacjąBaselIIpodajetrzy,corazwyższegopoziomu,me-

todykalkulacjiryzykaoperacyjnego:BasicIndicatorApproach,StandardisedApproachlubAlternativeStandardisedApproachiAdvancedMeasurementApproaches.Wszystkiesłużąobliczaniuadekwatnościkapitałowej.Kwestieorganizacyjno-prawnesąuwzględnianetylkojakowarunkidopuszczeniadosto-sowaniametodwyższegopoziomu[Krasodomska,2008].


wościachoddziaływanianaryzykooperacyjneniżtworzenierezerwfinansowych.Innych,tzn.środkamiocharakterzeprawnym,organizacyjnymitechnicznym.

AnalogicznieprzedstawiasięobrazpublikacjiwPolsce.Zagadnienieryzykaoperacyjnegojestoczywiścieporuszanewniemalwszystkichopracowaniachpo-święcanychryzyku,aleprzeważniewramachpodawaniaklasyfikacjiryzykalubdokonywaniaogólnegoprzeglądurodzajówryzyka,wdodatkuwyłączniewwy-miarzefinansowym.OdpoczątkuXXIw.opublikowanoteżkilkapracspecjalniepoświęconychryzykuoperacyjnemu,głównieinterpretującychrekomendacjeKo-mitetuBazylejskiego[Matkowski,2006; Urbankowska-Bąk,2007; Krasodomska,2008].Natomiastukazałasiędotądtylkojednapozycja[Staniec,Zawiła-Niedź-wiecki,2008],którarozszerzakatalogzagadnieńryzykaoperacyjnegoo:

zarządzaniewkryzysie, bezpieczeństwośrodowiskowe, bezpieczeństwoprocesowe, bezpieczeństwopracy, ryzykozawodowe, bezpieczeństwoosobowe, bezpieczeństwoinformacji, bezpieczeństwoinformatyczne, bezpieczeństwofizyczne, bezpieczeństwotechniczne, ochronęwartościmaterialnychiniematerialnych, ciągłośćdziałania.Dopierotakierozszerzonepodejściepozwalawpełniwykorzystywaćdoro-

beknaukoorganizacjiizarządzaniuwceluograniczaniaryzyka.Cojeszczeważ-niejsze,tylkotakiepodejścieuświadamia,żeakurattenrodzajryzykaodnosisiędozjawiskiproblemówzdziedzinyzarządzania,które–choćwcześniejnieprzypi-sywanedoryzykaoperacyjnego–sąoddawnaznaneimogąsłużyćsprawdzonymikoncepcjami,metodamioraztechnikamiorganizatorskimiizarządczymi.

Zarządzaniejestdyscyplinąnaukowątaksilniezwiązanązpraktyką,jaksąmożetylkodyscyplinynauktechnicznych,izwiązektenzapewnenieprzypadkowotkwiwkorzeniachprzemysłowychpierwszychkoncepcjiteoriiorganizacji,apo-temzarządzania.Jestwięcono inaukąstosowaną,awszelkie jegokoncepcjezawszeweryfikowanesąempirycznie.Oznaczatospecyficznypragmatyzm, jakimusitkwićwtychkoncepcjach,abymogłyzostaćzaakceptowanetakwśrodowi-skachnaukowych(teoretyków),jakiwśrodowiskachbiznesowych(praktyków).Pragmatyzmtakiwpierwszymrzędzienakazujeuwzględnićwkażdejkoncepcjiteelementy,któreprzybliżająjądorealiówpraktyki,coprzecieżniejestłatwe,awłaściwieniejestmożliwewpełni,więcprzynajmniejstopieńupraszczaniarze-czywistościwteoretycznymmodelupowinienbyćjaknajmniejszy.Zkoleiwna-ukowych technikach analitycznych chodzi o to, aby w badanej rzeczywistościustalićwszelkieteelementy,którestanowiąojejprawdziwejzmienności,niesta-


bilności,dynamice.Ważnymwyzwaniemzarządzaniajestbowiemito,żebardzoczęsto podejście standardowe, typowe, oparte na prawidłowościach statystycz-nychnieprowadzidooczekiwanychrezultatów,asukcesbywazwiązanyzodstę-powaniemodstandardówistatystyk.

Perspektywaryzyka(awłaściwietrzechzintegrowanychperspektyw:Ryzyka–Bezpieczeństwa–Ciągłościdziałania)wprzekonaniuautoramożestaćsięklu-czemdointerpretacjiwspółczesnychwyzwańzarządzania.Powodytakiegostano-wiskasąnastępujące(aszczegółowowyjaśnianewpracy):

przez analizowanie ryzykanajpełniejwyjaśnia się powody ograniczonejprzewidywalnościdowolnegodziałania, przezwyznaczaniekierunkówzabezpieczanianajpełniejwskazujesięspo-sóbzwiększaniatakiejprzewidywalności, zapewnianieciągłościdziałanianajpełniejwyrażaludzkiedążeniedopeł-nejzaradnościwobecutrudnieńwpowziętychdziałaniach.

Wtymkontekścienależyspojrzećnawspółczesnekoncepcjezarządzaniaimiejsceproblematykiryzykaoperacyjnego,którezjednejstronymożebyćele-mentempodejściawłaściwegodladanejkoncepcji,azdrugiejstronymożebyćprzedmiotemoddziaływaniawłaściwegodladanejkoncepcji.Ogólnieilustrujetotabela1.1,prezentującnajczęściejobecniedyskutowanekoncepcje,przyczympa-miętaćnależy,żeprzeważnieniewykluczająsięonewzajemnie,częstokorzystająztychsamychmetod,technikinarzędzizarządzania,awdanejorganizacjiwspół-tworząbieżącąpraktykęzarządzania.

Zpowyższegowynika,ajestdokładniejpokazywanewniniejszejpracy,żeryzykooperacyjnejestzawszeobecnewzarządzaniuorganizacjąwedługdowol-nejzkoncepcji zarządzania.Natomiastwodwrotnymujęciu, tj.odpowiedzinapytanie–którazkoncepcjizarządzaniaszczególniedobrzesłużywyjaśnianiuistotyryzykaoperacyjnego–wypadawskazaćpodejścieprocesowe,podejściezasoboweipodejścieorganizacjiuczącejsię.

Podejścieprocesowejestpodstawąustalanianajbardziejnewralgicznejczęścidziałalności organizacji widzianej jako zbiór procesów krytycznych [Kaszubski,Romańczuk,2012; Nowosielski,2008; Skomra,2010; Szczepańska,2011].Analizaichwrażliwościpozwalazidentyfikowaćzbiórzasobówkrytycznych,tzn.najbar-dziejpodatnychnazagrożenia,azarazemkluczowychdlamożliwościutrzymaniaciągłościprocesówkrytycznych.Wostatnich latachnotuje się specyficznyrene-sanspodejściazasobowego[Krupski,2012a;2012b].Niezależnieoduwagkry-tycznychwodniesieniudoujęciastrategicznegotegopodejścia[Czakon,2010],wkontekścieanalizyryzyka(waspekciezapewnianiaciągłościdziałania)jestonopodstawowezuwaginafakt,żeorganizacyjnenaruszenieciągłościdziałaniaza-wszepoleganabezpośredniejutraciezasobówlubutraciekontrolinadzasobami.Wyznaczatotrybpodejściaanalitycznegowzapewnianiubezpieczeństwaiciągłościdziałania[Byczkowski,Zawiła-Niedźwiecki,2009; Zawiła-Niedźwiecki,2010a].


Tabela 1.1. Współczesne koncepcje zarządzania w aspekcie zarządzania ryzykiem operacyjnym

Typy podejścia Koncepcje zarządzania Przykłady typowych związków z ryzykiem operacyjnym

Nastawienie na proces zarządza-nia organizacją

Zorientowane prorynkowo W szczególności ryzyko nietrafności decyzji, np. [Krupski, 2012a b; Obłój, 2007, 2010; Penc, 2010].

Zorientowane projakościowo i na wartość

Zapewnianie bezpieczeństwa i ciągłości działania w ramach zapewniania jakości, np. [Zymonik, Hamrol, Grudowski, 2013]. Istnieje też sugestia, że zarządzanie ryzykiem operacyjnym jest w ogóle częścią zarządzania przez jakość, np. [Blim, Byczkow-ski, Zawiła-Niedźwiecki, 2005]. Kwestie zagrożenia utraty wartości w ujęciach zarówno finansowych, jak i organizacyjnych, np. [Urbańczyk, 2007].

Zorientowane na wyniki i sprawność

Uwzględnianie ryzyka operacyjnego w aspekcie unikania zakłóceń, np. [Marciniak, 2008].Niebezpieczeństwo przeregulowania wewnętrznego, kwestia zachowania prymatu wyników nad bezpie-czeństwem, np. [Zawiła-Niedźwiecki, 2008].

Zorientowane procesowo Identyfikacja i analiza procesów krytycznych, np. [Charters, 2011; Hamrol, 2005].

Zorientowane projektowo Zarządzanie ryzykiem projektu, np. [Pritchard, 2001; Trocki, 2012].

Zorientowane na logistykęZakłócenia i przerwania łańcucha dostaw jako ty-powe wyzwanie zarządzania logistycznego, np. [Ciesielski, 2006; Rutkowski, 2008].

Zorientowane na:• reengineering,• outsourcing, • cloud computing

Bezpieczeństwo i ciągłość usług w kontekście ra-dykalnej reorganizacji, np. [Trocki, 2001; Zgajewski, 2013].

Zorientowane na:• społeczną odpowiedzialność, • etykę • zaufanie

Nieodpowiedzialność jako swoista analogia nie-bezpieczeństwa oraz jako jego przyczyna, np. [Ga-sparski, 2007; Grudzewski, Hejduk, Sankowska, Wańtuchowicz, 2009, 2010].

Zorientowane na:• wiedzę, • kompetencje, • kapitał intelektualny, talenty

Niedostatek wiedzy lub nienadążanie za rozwojem, np. [Borkowska, 2005; Grudzewski, Hejduk, 2000; Masłyk-Musiał, 2005; Tabaszewska, 2012; Wyro-zębski, Juchniewicz, Metelski, 2012].

Zorientowane na wczesne ostrzeganie

Praktyczna przydatność prewencji wobec zagrożeń, np. [Zoleński, 2010; Skomra, 2010; Tyrała, 2001].

Zorientowane na okazje (w ra-mach podejścia zasobowego)

Ryzyko jako szansa, np. [Bernstein, 1997; Gulski, 2010; Krupski, 2011].

Zorientowane na infonomikęUzależnienie od informacji i od sprawności syste-mów jej przetwarzania, np. [Czekaj, Ćwiklicki, 2009; Borowiecki, Czekaj, 2010; Malara, Rzęchowski, 2011].


Typy podejścia Koncepcje zarządzania Przykłady typowych związków z ryzykiem operacyjnym

Nastawienie na zmiany organizacyjne

Zorientowane na zmiany ra-dykalne

Ryzyko stanowi typowy kontekst wprowadzania zmian (kwestie: skuteczności zmiany, odpowiedniej procedury, trafnego terminu itp., np. [Borowiecki, 2009; Kosieradzka, 2012; Masłyk-Musiał, 2003, Skalik, 2008].

Zorientowane na zmiany sys-tematyczne

Zorientowane na benchmar-king

Nieodpowiedni dobór wzorca, niewłaściwy proces dostosowania, np. [Andersen, 1995].

Zorientowane na innowacjeW szczególności ryzyko nietrafności decyzji o in-nowacji, np. [Penc, 2010; Perenc, Hołub-Iwan, 2011; Poznańska, Sobiecki, 2012].

Nastawienie na formy organizacji

Zorientowane na:• organizację uczącą się,• organizację inteligentną,• organizację zwinną

Nienadążanie za rozwojem, niedostatek elastycz-ności organizacyjnej, np. [Grudzewski, Hejduk, 2000; Plebańska, 2013; Senge, 2006].

Zorientowane na organizację sieciową

Niebezpieczeństwo zrywania powiązań lub ich nie-efektywności, np. [Czakon, 2011; Macełko, 2009; Łobejko, 2012; Perry, Riege, Brown, 2004; Rataj-czak-Mrozek, 2009].

Zorientowane na organizację wirtualną

Uzależnienie od środowiska teleinformatycznego, np. [Brzozowski, 2010].

Powrót do tradycyjnych koncepcji zarządzania

Zorientowanych systemowo

Dobór i współdziałanie elementów organizacji jako systemu, wcześniej np. [Bocheński, 1993; Koź-miński, 1976; Krzyżanowski, 1994], obecnie np. [Dixit, Nalebuff, 2008; Lisiński, 2004; Obłój, 2010; Romanowska, 2009].

Zorientowanych zasobowo Identyfikacja zasobów krytycznych, tzw. minimalnej akceptowalnej konfiguracji, np. [Charters, 2011].

Zorientowanych na czas i indywidualną energię

Specyficzna dla człowieka podatność na indywidu-alne przesłanki działania, np. [Schwartz, 2007].

Źródło: opracowanie własne na podstawie: [Czekaj, Lisiński, 2011; Dworzecki, Nogalski, 2011; Jagoda, Lichtarski, 2003; Krzyżanowski, 1999; Lichtarski, 2010; Nowosielski, 2008; Stabryła, 2012; Szczepańska, 2011; Zimniewicz, 2009]12.

Osobnąkwestiąjestaspektkulturyorganizacyjnej[Goszczyńska,Studenski,2006; Hopej-Kamińska,Kamiński,2009],którywceluzapewnianiaciągłościdzia-łaniapowinienpolegaćnastałymdoskonaleniutejzdolności,takwzakresieana-lizyryzyka,jakireagowanianasymptomyspełnianiasięryzyka,awięcpolegaćna

12 Uwzględnionorównieżserięartykułówpoświęconychprzełomomwzarządzaniu,opublikowa-nychw„PrzeglądzieOrganizacji”nr3/2011,napisanychprzezZ.Dworzeckiego,A.Stabryłę,J.Lich-tarskiego,M.Romanowską,R.Borowieckiego,T.Rojka,L.Kiełtykę,atakżeartykuł[Szpitter,2011].


rozwiązaniach zapewniania bezpieczeństwa i zapewniania ciągłości [Korze-niowski,2012].

Dodatkowegoomówieniawymagakwestiawiedzyosamejproblematyceza-rządzania zapewnianiem ciągłości działania.Możliwe są tu trzy generalne per-spektywy naukowe – dyscypliny ekonomia, dyscypliny finanse oraz dyscyplinyzarządzanie.Zperspektywyekonomii podstawowymzamierzeniem jest zapew-nienie ciągłości działalności operacyjnej oraz zapewnienie ciągłości (zdolności)finansowej.Wiążesiętozdziałaniamimakro(zjawiskaglobalneiregionalne)imikroekonomicznyminapoziomiepodmiotówgospodarczych.Zapewnianiecią-głościekonomicznejpowinnonastępowaćprzezidentyfikacjęstopnianieokreślo-ności perspektyw zjawisk gospodarczych i dobieranie działań o akceptowanympoziomieryzyka.Każdązperspektywcharakteryzująpodstawowekategorieipro-cesy, między którymi zachodzą podstawowe zależności determinujące ciągłośćdziałania(rys.1.2).Dominująkategoriemakro,np.inflacjanietylkowpływanainnekategorieiprocesymakroekonomiczne,alerównieżoddziałujenaciągłośćoperacyjnąifinansową,awnastępnejkolejnościnaprocesymikroekonomiczne.Dodatkowowystępująkategoriewspólne,np.produkcjamakro,operacyjnaimikro.WszystkieonewartesąspecjalnychbadańwujęciutriadyproblemowejRBC.

Ciągłość zarządzania

Ciągłość dziedzinowa operacyjna mikroekonomia

finansowa makroekonomia

Rysunek 1.2. Ekonomia a ciągłość w ujęciu podstawowych perspektyw

Źródło: opracowanie własne na podstawie [Wojtyna, 2004; Jajuga, Jajuga, 2008].

Wskazywanawrozważaniachteoretycznych[Kaczmarek,Ćwiek,2009; Sier-pińska,2007],akoniecznawpraktycegospodarczej,jesttakżeanalizaciągłościdziałaniazperspektywyrachunkowości(finanse).Wtymujęciuciągłośćjestanali-zowanaprzezbadanieprocesówgospodarczychnapodstawiezdarzeńgospodarczychisystemurachunkowościfinansowej.Kluczowąkwestiąjestanalizawykorzystaniadanychekonomicznychprzezprzedsiębiorstwo(dotyczytozarównodziałalnościorganizacyjnej,jakifinansowej)[Wojtyna,2008,2011; Marciniak,2008]:

wujęciumakropodkąteminflacji(wtyminflacjioczekiwanej),bezrobocia,wzrostugospodarczego,różnickursowych; wujęciumikropodkątemkonkurencyjności,innowacyjności,popytuijegoelastyczności, przewidywanej innowacyjności, realizacji procesów inwe-stycyjnych.


Takaanalizanawiązujedopodziałuzrysunku1.2,bowiemzapewnieniecią-głościfinansowejosiągasięprzezanalizęiwybórsposobówprawidłowegozarzą-dzaniapłynnościąfinansową,azapewnienieciągłościoperacyjnejprzezanalizęiwybórsposobówzarządzaniakonkurencyjnością,zmianamipopytuizmianamiwpozyskiwaniuwszystkichtrzechniezbędnychczynnikówprodukcji[Sierpińska,Jachna,2007].

Zkoleiprzeznaukęzarządzaniazagadnieniezapewnianiaciągłościdziałaniawswoistejdlatejnaukiinterpretacjijestjakdotądpodejmowanetylkoszczątkowo[Kaczmarek,2003,2006; Koźmiński,2004; Obłój,2007,2010; Staniec,Zawiła--Niedźwiecki,2008],mimożestabilnośćdziałaniaczytrwałośćproceduristruk-turorganizacjisąmotywamiteoriiorganizacjiodsamegojejpoczątku.MożnająwyinterpretowaćzpierwszychkoncepcjiF.Taylora[1972],prawaharmoniiK.Ada-mieckiego [1972] czy postulatu bezpiecznej organizacjiH. Fayola [1972]. Nie-mniejjednakjakoważnepraktycznewyzwaniezaczęłabyćformułowanadopieroodczasurewolucjiinformatycznejprzełomulat70.i80.XXw.Wtedytopierwszeinstytucjeosiągnęłynatylewysokipoziominformatyzacjidziałalności,żezaczęłyodczuwaćuzależnienieswegowizerunkuwoczachklientówiswychwynikówekonomicznychodniezakłóconegodziałaniasystemówteleinformatycznych.Takieźródłowspółczesnegopostrzeganiaproblemuzapewnianiaciągłościdziałaniajakonieprzerwanegoświadczeniausługprzyczyniłosiędorozwojuofertyfirmdorad-czychwtymzakresieorazdoukształtowaniasiękilkuznaczącychośrodkówpra-cującychnadrekomendacjamidobrychpraktykzapewnianiaciągłościdziałania.Najbardziejznaneto:

amerykańskiDisaster Recovery Institute International (The Institute forContinuityManagement),istniejącyod1989r., brytyjskiBusinessContinuityInstitute,założonyw1994r., amerykańskiVirtualCorporation,powołanyw1994r., azjatyckasiećBusinessContinuityManagementInstitute,rozwijanaod2005r.13.

Działalność ichpoleganakomercyjnymdoradztwie,rozwijaniuwłasnychstandardówrekomendowanegopostępowania,szkoleniachpołączonychzudzie-laniemcertyfikatówkwalifikacji,integrowaniuśrodowiskspecjalistówprzezofe-rowanieelektronicznychitradycyjnychformwymianydoświadczeńispotkańorazpublikowaniewytycznychiopisówprzypadków(case-study)charakterystycznychdlaposzczególnychdziedzinprowadzeniabiznesuiadministracji.Środowiskatewspieranesąteżprzezgrupyprzedsiębiorcówszczególniezainteresowanychroz-wojemtakichrekomendacji.Liderzytychprzedsięwzięćzregułyuczestnicząrów-nieżwdydaktyceakademickiejzwiązanejzkształceniemwzarządzaniubiznesem.

Drugimnurtemrozwojukoncepcjizarządzaniazapewnianiemciągłościdzia-łaniasąpracekomitetównormalizacyjnych,zwłaszczaAustraliiiNowejZelandii,Singapuru,USAorazWielkiejBrytanii(więcejw[Wołowski,Zawiła-Niedźwiecki,

13 Zob.www.bcm-institute.org,www.drii.org,www.thebci.org,www.virtual-corp.net


2012]).Charakterystycznejestteż,żeaspektyzapewnianiaciągłościdziałaniapo-jawiająsięprzyokazjipracnadwypracowywaniemstandardówwzakresieusług,bezpieczeństwa,zarządzaniakryzysowego.WidaćtownormieISO20000,nor-machISOserii2700X,normieISO31000,normieISO22301,normieISO22313 [Chmielewski,Szomański,Waćkowski,2010].Podobnie jestwprzypadkureko-mendacjiKomitetuBazylejskiego,wPolsceimplementowanychwRekomendacjiDiRekomendacjiMKomisjiNadzoruFinansowego.

TakżewPolscedominująrozproszonedziałaniakomercyjnychusługdorad-czych.Usługitakiezzakresuanalizyzagrożeńiprojektowaniarozwiązańza-pewniania ciągłości działania znajdują sięwoferciewszystkichwiększychfirmdoradczych,częśćznichwręczspecjalizujesięwtejproblematyce14.Ponadto,od2008r.ukazałysiępierwszepublikacjeopracowanewśrodowiskachnaukowych[Zawiła-Niedźwiecki, 2008; Gołąb, 2009; Kaczmarek, Ćwiek, 2009; Davidson,2010; Kaszubski,Romańczuk,2012].

Z powyższego przeglądu wynika w szczególności potrzeba podkreślenia różnicy w postrzeganiu ryzyka z perspektywy dyscyplin naukowych ekonomii i finansów a dyscypliny zarządzania.Wujęciuekonomiczno-finansowymchodziprzedewszystkimookreślenieodpowiedniegopoziomuzasobówniezbędnychdosfinansowaniaskutkówspełnieniasięryzyka.Zasobyteniemogąbyćzamałe,aleteżnieracjonalniebyłobygdybyichpoziombyłzbytwysoki,dlategobadaniasku-piająsięnametodachmożliwie trafnegomodelowania tegopoziomu.Wujęciuteorii zarządzaniawwiększym stopniu chodzi o aspekt zdecydowanie bardziejorganizacyjny.Popierwsze,chodzioniedopuszczaniedospełnianiasięryzyka,a po drugie o zaplanowanie reagowania organizacyjnego nawypadek jednakspełnieniasięgo.Oznaczato,żepotrzebnajestdokładnaznajomośćjegoistotywznaczeniumechanizmuzagrożeniaorazkontekstujegowystępowaniazwiąza-negozzasobowo-organizacyjnymiuwarunkowaniamidziałaniadanejorganizacjii jejotoczenia.Oczywiścieobaujęcia–ekonomiczno-finansoweizarządzania–uzupełniająsięwposzukiwaniujaknajlepszegorozumienianaturyryzykaijegospełnianiasięorazdoborusposobówreagowania.Wodniesieniudoreagowaniapodejście finansowema jednak charakter statyczny, podczas gdy rozwiązaniaorganizacyjne zapewniania ciągłości działania cechuje dynamika i elastycznośćdostosowywania się do konkretnej sytuacji zdarzenia będącego konsekwencjąspełnieniaryzyka.

Rosnącawiedzanaukowa,zwłaszczawobecwskazywanychwyżejparadok-salnychzapóźnieńwformułowaniunaukowychustaleńcodozasadoperacyjnychiorganizacyjnychzarządzaniaryzykiemoperacyjnymwaspekciezapewnianiacią-głościdziałania,skłaniadopoglądu,żezachodzipotrzebaobjęciatejproblematykiintensywniejsząrefleksjąibadaniaminaukowymizperspektywydyscyplinynaukozarządzaniu,codotądprawieniemiałomiejsca.Ważnympytaniemjestusytuowa-niezagadnieniatriadyRyzykooperacyjne–Bezpieczeństwo–Ciągłośćdziałania

14 Zob.np.www.ey.com,www.ibm.com,www.ensi.net,www.talex.pl,www.atm-si.com.pl,www.davidson.pl


wtejdyscyplinie,tzn.czyiwjakimzakresienależyonodoniej,awjakimleżypozanią.Rozprawapokazuje,żetriadatajestważnączęściąteoriizarządzaniaiżepilniepotrzebnejesttrwałesformalizowaniejejsystemupojęć,zasadpostępo-waniawjejramachorazregułzarządzanianią.

2. Ryzyko

2.1. Ryzyko i niepewnośćDodniadzisiejszegopojęcieryzyka15jestniejednoznacznezewzględunawielośćinterpretacjinadanychmunaprzestrzeniwielulat.Odbardzodawnaznaczenietegosłowawiązanebyłozjednejstronyz„niepewnością”,azdrugiejz„przypad-kiem”i„hazardem”.PoważnepróbysprecyzowaniapojęciaryzykapodjętowokresieXIX-wiecznegokształtowaniasięnowego,codomodelugospodarczegoipolitycz-nego,społeczeństwa.Tenmodel,pooczywistejdalszejewolucji, funkcjonujedodziś16, aważną społecznie rolę nadanow nim instytucjomwprawdzie znanymdużowcześniej, ale dopierownowej sytuacji gospodarczej uzyskującym statusszczególnego społecznego znaczenia i odpowiedzialności, tj. bankom i firmomubezpieczeniowym.Współcześniestanowiąonemiędzynarodowe–jakUniaEuro-pejska–orazkrajowesystemyfinansowe,którychstabilnośćjestwarunkiemtaklokalnej,jakiglobalnejrównowagigospodarczej.Systemyteiichznaczeniewyni-kajązespołecznejpotrzebyzarządzaniaryzykiem,cojestprzecieżistotąfunkcjo-nowania firmfinansowych. Ich podejście zostało też transponowanedo innychbranż, a ponadto zaczęto dostrzegać także pozafinansowy aspekt ryzyka. Stądtrwałapotrzebabadaniaicorazprecyzyjniejszegodefiniowaniaryzykaorazwyod-rębnianiajegorodzajów.

Samychdefinicjiryzykajestwiele,podstawoweprzytaczamza[Czekaj,Dresler,2008; Nahotko,1996; Reilly,Brown,2001; Waściński,Krasiński,2010; Wilimowska,Wilimowski,2001; Wojtasiak,2003]:

15 Obszernąanalizęetymologicznąpojęcia„ryzyko”podają:Kaczmarek[2006],Klimczak[2008],Matkowski[2006],Winiarski[2007].

16 Wniniejszejpracyniestaranosięowywódściślehistoryczny.Zarównoprzesłankiwspółczesnejgospodarki,jakibankowościczyubezpieczeńmożnawniektórychkrajach–np.wAnglii–odnaleźćjużwIpołowieXVIIIwieku.Popularnąprezentacjęrozwojumyśleniaoryzykumożnaznaleźćwksiążce[Bernstein,1997],awksiążce[Kaczmarek,2006]histogramnajważniejszychwydarzeńkształtującychteorięryzyka.

2. Ryzyko 30

J.Czekaj,Z.Dresler–Ryzykooznaczasytuację,wktórejprzyszłychwarun-kówgospodarowanianiemożnaprzewidziećzcałąpewnością,aznanyjestroz-kładichprawdopodobieństwa.Ryzykowystępujenawetwówczas,gdytylkojedenzczynnikówsytuacjiniejestznany,aistniejeprawdopodobieństwojegowystąpienia.

D.E. Fischer,R.J. Jordan–Ryzyko toniepewnośćprzyszłegodochodu lubrozkładprawdopodobieństwaprzyszłegodochodu.

M.J.Gardner,D.L.Mills–Ryzykotopotencjalnewahaniaoczekiwanegodo-chodu.

R.Holscher–Ryzykotozagrożenienieosiągnięciazamierzonegozysku,wy-nikającezposiadanianiepełnejinformacji.

F.Knight(takżeO.Lange)–Ryzykotoniepewnośćprzewidywaniazdarzeńwprzyszłości,wynikającazniepełności iniedokładnościdanychstatystycznych,napodstawiektórychdokonuje się szacowaniaprzyszłości. Istniejeniepewnośćmierzalna(ryzyko)iniemierzalna(niepewnośćsensu stricto),podziałtenopierasięnamożliwościlubniemożliwościzastosowaniamiarstatystycznychdoszaco-wanianiepewności.

E.Kreim–Ryzykooznaczapodejmowaniedecyzji,któreniesąoptymalnezpunktuwidzeniazałożonegocelu,zewzględunafaktniepełnejinformacji.

S.Nahotka–Ryzykojestzjawiskiemobiektywnym–dotyczyrealnychzjawiskgospodarczych,mającychzwiązekz instrumentemzagrożenia (niebezpieczeń-stwa),wynikającychzezmienności(skali idynamikizmian)postroniepopytu,działalności konkurencji, warunków kooperacji, działań regulacyjnych państwa(podatków,ulg).Jesttakżezjawiskiemsubiektywnym,bojestuwarunkowanesta-nemwiedzyoprocesachgospodarczych.

I.Pfeffer–Ryzykomożnamierzyćzapomocąprawdopodobieństwa,niepew-nośćjeststanemumysłumierzonymstopniemwiary.Obatepojęcianiemogąbyćtożsame,ryzykoistniejewięcwtedy,gdyktośsobieztegozdajesprawę.

F.K.Reilly,K.C.Brown–Ryzykotobrakpewności,żejakaśinwestycjaprzy-niesieoczekiwanąstopęzwrotu.

J.K.Sinkey–Ryzykotoniepewnośćzwiązanazprzyszłymiwydarzeniamilubwynikamidecyzji.

Ujęcie psychologiczne – Ryzyko to stan umysłu człowieka. Jeżeli stan tenulegazmianie,tozmieniasięrównieżryzyko.Ryzykoistniejewtedy,gdypodmiotmaświadomośćjegoistnienia.

A.H.Willet–Ryzykojakoniepewnośćwystąpieniaokreślonychskutkówsta-nunatury.Jestpewnąobiektywnąprawidłowościącharakterystycznądlaświatarealnego,któryjestsubiektywniepostrzeganyiinterpretowanyprzezjednostkę.

Wobecrozległościproblematykiobjętejtympojęciemaktualnawiedzaory-zykustałasięteoriąobszernąiwielowątkową.Zjednejstronyformułujeonaogólnieprzyjęteiniekwestionowaneustaleniapodstawowe,takiejaknp.nierozerwalnyzwiązekryzykazdziałaniem[Penc,2000].Zdrugiejjednak,coprzejawiasiętakżewprzytoczonychdefinicjach,dzielisięnaszeregnurtówzwiązanychm.in.z:

2.1. Ryzyko i niepewność 31

dziedzinamiaktywnościgospodarczej (bankowość,ubezpieczenia, rynekkapitałowy,przemysł,handelitp.)[Kaczmarek,2006], perspektywąposzczególnychnaukspołecznych(zwłaszczasocjologia,psy-chologia,ekonomia,finanse,zarządzanie)[Doktór,1977; Katz,Kahn,1979; Kozielecki,1977; Sadowski,1960; Szacki,2006; Szczepański,1967], mechanizmempowstawaniairealizowaniasięryzyka(różnepodejściaiklasyfikacjeryzykawtakimujęciuwskazanowpodrozdziale2.2).

Whistoriifilozofiifunkcjonujeitakipogląd,żeświadomośćryzykajestjednązprzesłanekpoczątkuerynowożytnejwsensienarodzeniasięwludziachpoczu-cia,żeichprzyszłośćmożebyćkształtowanaprzeznichsamych,aniejesttylkolosemnarzuconymprzezsiłynadprzyrodzone17,awobectegowolnawolaczło-wiekastanęławobliczu trudnoprzewidywalnejprzyszłości,którąmaonodtądsamodzielniekształtować.Towskazujenapotrzebęwłaściwegozdefiniowaniaza-gadnieniabardzozbliżonegoiczęstoutożsamianegozryzykiem,tj.niepewności.Ryzykobierzesiębowiemzniepewnościwdziałaniu.

Kwestianiepewnościmadwazasadniczeujęcia:tradycyjne(deterministyczne)inowoczesne.Whistoriifilozofiiwcześniejszeznich,odnosiłoniepewnośćwdzia-łaniu człowieka oraz przewidywaniu zjawisk, przedewszystkim fizycznych, doograniczonejwiedzyczłowiekaootaczającejgonaturze[Krajewski,1987].Przytakimpodejściumożnabypowiedzieć,żeniepewnośćtoniepełnośćczyniedo-skonałośćwiedzy ludzkiej i efekt ograniczonej zdolności poznawczej człowieka[Wust,1995].

Wmiaręrozwojunaukmatematycznych„pojawiłysięjednaksymptomykon-struktywnego optymizmu18.Wmomencie odkrycia rachunku prawdopodobień-stwa pojęcie niepewności, a wraz z nim ryzyka, nabrało innego wymiaru. Ichstatycznedefiniowaniejakoprzeciwieństwopewnościzostałozastąpioneterminamiszansa,zagrożenie,prawdopodobieństwo.Podejmowanieryzykaokazałosięnie-zbędnedlasamodoskonaleniaorazosiąganiażyciowychkorzyści i satysfakcji”[Jedynak,Szydło,1997,s.18].

Spojrzeniedeterministyczne,czytowobszarzenaukprzyrodniczychifizycz-nych,czyteżfilozofiiabstrakcyjnej,zostałoostateczniezdezawuowaneodkryciaminaukowymiXXwieku.Nowespojrzenienazjawiskafizyczne(teoriaczasoprze-strzeni,teoriefalowe,mechanikakwantowaifizykaatomowa)odmieniłypojęcieniepewności,odtądinterpretowanej jakowzględnośćidwoistośćzjawiskfizycz-nychoraznieciągłośćmateriiienergii.Wtakimujęciuniepewnośćstajesięcechąnie jedyniepostrzeganialudzkiegoiwyrazemjegoułomności, leczwręczcechąświatafizycznego,zupełnieniezależnieodjakościpercepcjiczłowieka.„Przypad-kowośćjeststanempierwotnym,dlaktóregoniemawytłumaczenia.Fizycyutracili

17 Niemniejjednak,dodziśpojęcieniepewnościjestpostrzeganewujęciufilozoficznym,takżeodstronyteologicznej,cowyrażapowiedzenieśw.Augustyna–„Jeślirozumiesz,tojużniejestBóg”.

18 Konstruktywnyoptymizm,terminfilozoficzny,oznaczaakceptacjęistnienianiepewnościiry-zyka,popartąwskazaniemśrodkówpostępowaniawwarunkachograniczonejpewności.Por.[Jedynak,Szydło,1997].

2. Ryzyko 32

przekonanieodziałaniuniezmiennychikoniecznychpraw;probabilizmopanowałichumysły”[Tatarkiewicz,2005,t.3,s.276].

Jakofilozoficznąinterpretacjętegonowegospojrzeniananaturęw1926rokuHeisenberg sformułował zasadę nieoznaczoności. „Niemożemywyznaczyć zja-wiskprzyszłychnietylkodlatego,żeniewidzimyichzwiązkuzteraźniejszymi,aletakżedlatego, żenie znamy iniemożemyznaćdostatecznie zjawisk teraźniej-szych.Zasadaniepewnościstwierdzawłaściwietylko,żezjawiskasądlanasza-wsze niepewne, ale skoro są niepewne, to tak jak gdyby były przypadkowe”[Tatarkiewicz,2005,t.3.s.277].

Problemniepewności,znajdującwtensposóbuzasadnieniewfundamentachrefleksjinadistotąfunkcjonowanianatury,jestoczywiścieodrębniepodejmowanynagruncieposzczególnychdyscyplinnaukowych,którewswymobrębie,wgswychzałożeń epistemologicznych i na użytek swej praktyki formułują interpretacjedziedzinowe.Itak,napograniczunaukiozarządzaniu(czyliwramachdziedzinynaukekonomicznych)orazmatematykifunkcjonujeteoriadecyzji,która–choćzorientowanamatematycznie–budzidyskusjeinterdyscyplinarne(także,opróczdyscyplinwymienionych,wramachpsychologii,socjologii,filozofii,etyki).

„Szczególnieinteresujące(wramachteoriidecyzji)sądecyzjepodejmowanewróżnychwarunkachniepełnejwiedzy,dotyczącejwynikówmożliwychdziałań,takichjakte,którychprawdopodobieństwojestznane,ajuższczególnietych,dlaktórychnieznamynawetprawdopodobieństwa(wwarunkach‘niepewności’)”19. Takiematematyczne(statystyczne)podejścieteoriidecyzjizawęża,wporównaniuzujęciemfilozoficznym,zagadnienieniepewnościjakowspółwystępującejzpraw-dopodobieństwem.„Wkażdejsytuacjirzeczywistej,gdziewgręwchodzielementprzyszłościowy,zawartyjestelementniepewności.Niepewnośćtabierzesięstąd,żeosobapodejmującadecyzjęnieznainiekontrolujewchwilijejpodejmowaniawszystkichczynnikówmającychistotnywpływnaefekttejdecyzji”[Moore,1975,s. 118].Niepewność„...stanowi/.../konsekwencjęsubiektywnegobrakuinfor-macjiczywiadomościiniemożebyćokreślonawkategoriachwartościowych.Naogółistniejądwatypyniepewności:niepewnośćinformacji,napodstawiektórychpodejmujesiędecyzjeorazniepewnośćefektówpodjętejdecyzji”[Penc,2000,s. 162–164].

Należyteżzaznaczyć,żeteoriazarządzaniaznakoncepcjępodziałuwa-runkówdziałaniamenedżerskiego na pewność, ryzyko i niepewność [Koontz,Weihrich,2007]jakopośrednieocenystopniaprzewidywalnościskutkówdecyzjiwynikającejzocenysytuacjidecyzyjnej,aletakiespojrzenieraczejzaciemniaiden-tyfikacjęniepewnościisprowadzająbardziejdoaspektusubiektywnegoorazdopsychologicznejperspektywydecydenta.

Szeroko,tj.wobuwspomnianychujęciach,widziniepewnośćfilozofia.Nato-miastinteresującanasdalejekonomiaijejdyscyplinanaukiozarządzaniu,atakżesłużącanaszemużyciu,realizującazałożeniaekonomiczneispołeczne,technika,postrzegają niepewność przede wszystkim jako subiektywną niedoskonałość

19 Decyzjiteoria,hasłow:[Hondenrich(red.),1998].

2.1. Ryzyko i niepewność 33

człowieka,czymoczywiściezostająobarczonewszelkiejegowytwory:materialneiniematerialne[Koźmiński,2004].

Napodstawiepowyższychrozważańmożnasformułowaćdefinicję(propozycjaautorska):

Wprawdzieniepewnośćjakokategoriafilozoficznajestniemierzalna,alewswobodnymujęciuwpewnymstopniuwyrażająentropia,zwłaszczagdynie-pewnośćodnosi siędozmian stanuobiektupoddawanegopewnymdziałaniomorganizatorskim,którychwyniki sąprzewidywanezokreślonymprawdopodo-bieństwemspełnienia.

„Trzebawyraźniepodkreślić, żeniepewnośćprzedsięwzięć,będącaprzeci-wieństwempewności,nierównasięryzyku./.../Ryzykopojawiasięwsytuacji,gdyconajmniej jedenzeskładającychsięnaniąelementównie jestznany,aleznanejestprawdopodobieństwojego(lubich, jeśli tychelementówjestwięcej)wystąpieniaorazprawdopodobieństwowystąpieniakażdegomożliwegowyniku”[Penc,2000,s.162,164;Jabłoński,2013].Myśl tęnależydoprecyzować.Otóżryzykopojawiasię,gdywwarunkachniepewnościpodejmujemycelowedziałanie,tj.ciągczynówcelowych,jaktowidziprakseologia,awichtokuciągdecyzji,nierozerwalniepowiązanychzistotądziałania.Cowięcej,pojawianiesięwiedzyoryzyku,tymktóreidentyfikujemywkontekściedziałaniaijegodecyzji,wpływanadalszytokdziałania,któreterazobokzałożonychcelówpowinnocechowaćsiętakżestaraniemoograniczanie,kompensowanielubodsuwanieryzyka.Kreujetoswoistąpętlęzachowań,którejpraprzyczynąjestniepewnośćintegralna.

Uwzględniającpodejściezarównofilozofii,fizyki,jakinaukspołecznych,na-leżypodkreślić,żeniepewnośćjestpojmowanajako:

organicznacecharzeczywistościwynikającazprzypadkowościzjawisk,spośródktórychnawettenajbardziejstabilnenależyuważaćtylkozazacho-dzącezwyjątkowowysokimprawdopodobieństwem,jednakniezzupełnąpewnością, osobliwaniedoskonałośćzwiązanazniepełnąpercepcjąprzez ludzkiegoobserwatoraelementówkształtującychzjawiska.

Równocześnie,zuwaginafakt,żerzeczywistość(naturę)postrzegasięprzezpryzmatludzkiejaktywności,możnaniepewnośćokreślićjakoaktywnąlubbierną.Niepewnośćbierna(obiektywna)niejestkształtowanaprzezczłowieka,jestcechąrzeczywistości.Niepewnośćaktywnadotyczyludzkiegoumysłu.

Niepewność – polega na tym, że obserwator dowolnego zjawiska, w danym miejscu i czasie, nie może być pewien dalszego biegu tego zjawiska. Jest to prawidłowość absolutna w obrębie rzeczywistości znanej człowiekowi. Stopień niepewności jest związany obiek-tywnie z mechanizmem (istotą) zjawiska, które zawsze jest przypadkowe, a z perspektywy człowieka lub systemu, będącego wytworem ludzkim, jest związany z niedoskonałością percepcji czynników zjawiska, właściwą specyfice subiektywnego postrzegania przez człowieka.

2. Ryzyko 34

Pojęciembliskimjestnieprzewidywalność,odnosisięonajednakdowynikuokreślonegozdarzenialubbardzosprecyzowanegodziałania,podczasgdynie-pewnośćwyrażastanogólnejniemożnościdokładnegookreśleniaprzebiegudzia-łaniaiprawdopodobieństwawystąpieniakażdegowariantujegowyniku.

2.2. Rodzaje i klasyfikacje ryzykaZniepewnościwdziałaniuwynikaistnienieryzyka.Dotejporykoncepcjaujęciaproblematykiryzykazaproponowanaw1921rokuprzezKnighta[1957] nie zo-staławłaściwiezakwestionowana.Niemniejnieudałosięzadowalającodoprecy-zowaćtegopojęcia,anisformułowaćuniwersalnejdefinicjiryzyka.Dziejesiętakprzedewszystkimdlatego, żepostrzeganie ryzyka silniezależyodperspektywystronynimdotkniętej.Równocześnie,niesątowszystkieprzesłankirelatywizacjispojrzenianaryzyko.Wujęciuprzyczynowymbardziejniżwujęciuskutkowymmożnamówićoobiektywnymdefiniowaniuryzyka,albowiemwtymujęciujestbadanymechanizmjegopowstawaniaimożnaprecyzyjnieopisaćjegocechy.Na-tomiast od strony skutków ryzyko postrzegane jest jużwyraźnie subiektywnie,niezależnieodtego,czyobserwatorjestosobąfizyczną,czyprawną,gdyżtosamozdarzeniemożerodzićskutkioróżnychkonsekwencjachdladwupodmiotówonawetpodobnymprofiludziałalnościiumiejscowieniu.

Początkowobadanianadryzykiembyłyprowadzonetylkowposzczególnychsegmentachrynkufinansowego,tj.wubezpieczeniach,bankowości,rynkukapita-łowym.Zainicjowanojewtymobszarzedlatego,żerynekfinansowyjestwłaśniepowołanydozajmowaniasięryzykiem,jestonoprzedmiotemdziałalnościgospo-darczejpodmiotówtegorynku.Przejmująoneodswychklientówposzczególnerodzajeryzyka(związanenp.zubezpieczaniemsięklientów,przyjmowaniemichdepozytów,udzielaniemimkredytówitd.)izarządzająnimi,grupującjewedługrodzajów(wyrażonychwposzczególnychproduktachfinansowych),jednocześnierozpraszającwłasneryzykodziękiznaczącejliczbieklientów.Podmiotyteczyniązprzejmowaniacudzegoryzykaswojezadaniebiznesoweispełniająprzytymważnezadaniespołeczne.Równocześnie,podmiotyfinansowedoświadczająry-zykawprowadzeniuwłasnejdziałalności,wczym jużnie różnią sięod innychpodmiotówgospodarczych,dlaktórychryzykojesttylkoelementemutrudniają-cymplanowanieiprowadzeniedziałalności.

Codoistotykwestiiryzyka,todlawszystkichpodmiotówgospodarczych,a szerzejwszystkichorganizacji, o stopniu znaczenia ryzykaw ichdziałalnościdecydujądodatkowotakieaspekty,jak[Beck,2002; Drucker,2000; Jajuga,2007]:

horyzontczasowyplanowaniadziałalności–imjestondalszy,tymbardziejrośniestopieńnieprzewidywalnościwiązanyzryzykiem, doświadczeniejakowiedzaokonkretnychprzejawachryzyka–imwiększe,tym bardziej możliwe jest stosowanie narzędzi analizy statystycznej dookreślaniaryzyka,

2.2. Rodzaje i klasyfikacje ryzyka 35

niestabilnośćotoczenia,pojmowanawwieluwymiarach,odgeograficznego(np.terenyszczególnienarażonenakatastrofynaturalne)przezekono-miczne,prawne,popolityczne, obiektoddziaływaniajednychrodzajówryzyka,którebywajązarazemźródłeminnychjegorodzajów.

Zastanawiając się nad sformułowaniem definicji ryzyka, trzebawięcmiećświadomość,że[MonkiewiczJ.,2004]:

jestononiejednorodne, występujezarównowaspekcieobiektywnym,jakisubiektywnym, możebyćpostrzeganewróżnychkontekstach(cechwłasnych,sytuacjiprzejawianiasię,rodzajówdziałalnościstrondoświadczającychgo), jestzmienneipodlegawpływowiwieluczynników(poczęścizależnych,apoczęściniezależnychodstrondoświadczającychgo), jestbardziejprocesemniżstanem.Prowadzi todowniosku,że–poza jednąogólnądefinicją– jakozupełnie

naturalnenależytraktowaćposługiwaniesięszeregiemdefinicji szczegółowych.Ichzróżnicowaniewynikazarównozoptykidefiniującego,awięcjegosubiektyw-nejpercepcji,jakizespecyfikirodzajudziałalności,którejryzykodotykaiprzezktórąbywawywoływane.

Takąogólnądefinicjąjest:20

Modelowonależytorozumiećtak,żewdziałaniumożnaosiągnąćjedenzkilkuwyraźnieokreślonychrezultatów/stanóworazżeznanesąwartościpraw-dopodobieństwawystąpieniaposzczególnychspośródnich.Byłabytosytuacjaide-alna,alewrzeczywistościbywaosiąganatylkowpewnymprzybliżeniu,aczęstojestnieosiągalna.

Autorskieobserwacjepoczynionewtokuwieloletnichbadańnadryzykiemoperacyjnymprowadządowniosku,żewbieżącejdziałalnościgospodarczejniedążysiędouniwersalnegodefiniowaniaryzyka,natomiastokreślasięposzczególnerodzajeryzyka,zarównowszerokimujęciu,jakidlaposzczególnychrynkówlubbranżgospodarki,atakżewukładzie:otoczenieorganizacjiversusjejwewnętrzneuporządkowanieidziałanie.Przykłademniechbędzieryzykokredytowewbanko-wościiwpozabankowychstosunkachhandlowych,wswymideowymmechanizmie

20 TakadefinicjajestpropozycjąKomisjiSprawTerminologiiUbezpieczeniowejUSAz1966r.,zob.[MonkiewiczJ.,2004,t.1,s.26],atakże[FERMA,2003].

Ryzyko R to iloczyn wartości prawdopodobieństwa P wystąpienia zdarzenia zakłócającego oraz wielkości szkody S będącej jego skutkiem20:

R = P · S

2. Ryzyko 36

takiesamo,alejednakpostrzeganejakoinnecodoskali,koncentracji,rozprosze-niaihoryzontuczasowego.

Poszukującklasyfikacjiryzykaprzydatnychdoprojektówzzakresuzapew-nianiaciągłościdziałania,autordoszedłtakżedowniosku,żezasadniczatrudnośćwsklasyfikowaniurodzajówryzykawynikazkoniecznościuwzględnieniazarównoprzyczynjegopowstawania(ujęcieprzyczynowe),sposobuiprocesujegospełnia-niasię(ujeciezperspektywypodatności),jakiprzejawówjegomaterializowaniasię (ujęcie skutkowe). I nie chodzi tu nawet tak bardzo o subiektywizmocenyskutkówrealizowaniasięryzyka.Głównątrudnośćstanowiąskomplikowanerelacjeorganizacjizjejotoczeniem,zczegowynikapotrzebaprzypisaniatakprzyczyn,jakiskutkówdootoczenialubdosamejorganizacji(jejdziałalności).Wedługautoramożliwesąbowiemwszystkieznastępującychkombinacji(ztym,żedwiepierwszenajczęściej):

przyczynawotoczeniu,askutekwewnątrzorganizacji–np.obniżenieren-townościprodukcjizpowoduwzrostuwartościwalutynarodowej, przyczynaiskutekwewnątrzorganizacji–np.przestójspowodowanybłę-dempracownika, przyczynawewnątrzorganizacji,askutekwotoczeniu–np.ujawnieniesięwadywyrobuwokresieużytkowaniagoprzeznabywcę, przyczyna i skutekwotoczeniu (choćoczywiście istnieje tumechanizmwpływuskutkuryzykanaorganizacjęijejdziałalność)–np.uszczuplenierynkuzbytuwnastępstwieodległejgeograficzniekatastrofynaturalnej.

Pozostałeznaczącecechyposzczególnychrodzajówryzyka,którenależałobywziąćpoduwagę,rozważającgeneralnąklasyfikacjęryzyka,to:

czasodwystąpieniaprzyczynydozaistnieniaskutku, rozmiarpotencjalnejlubjużzaszłejszkody, dolegliwośćszkody(zakłócenia)rozumianaznówwkilkuaspektach,takichjak:wartośćstrat,czaspotrzebnynaprzywróceniestanupierwotnego(jeślitowogólemożliwe),charakterkonsekwencji(fizyczny,geograficzny,spo-łeczny,organizacyjnyitp.), powtarzalność (częstość spełniania się) tego rodzaju ryzyka iwynikają-cychzniegoszkód, przewidywalność ryzyka (znajomość statystycznej prawidłowościwystę-powania,katalogmożliwychscenariuszyrealizowaniasięorazmożliwychskutków).

Ugruntowaneiniebudzącewiększychsporówklasyfikacjeryzykaograniczająsiędoryzykafinansowego,wpodzialenaczterysegmentyrynkuidziałającetampodmioty,któreztakimirodzajamiryzykasięstykająiwpodobnysposóbuwzględ-niająjewswejpraktycezarządzania.Sąto:bankowość,ubezpieczenia,rynekkapita-łowyipozostałepodmiotygospodarujące.Wbankowościobowiązujeod2006rokuklasyfikacjawprowadzonaprzezświatowerekomendacjeBaselII,awPolsceko-lejnymiaktamiprawnymizakotwiczającymisystemrekomendacjibazylejskich


wpolskimprawie21.Dzieląoneryzykobankunazasadniczegrupyrodzajowe,któresamewsobiestanowiąkryteriategopodziału:

ryzykokredytowe, ryzykorynkowe(cenowe)dzielonena:ryzykoinstrumentówzwiązanychzestopąprocentową,ryzykoinstrumentówkapitałowych,ryzykowalutoweiryzykotowarowe, ryzykooperacyjne.WubezpieczeniachwUniiEuropejskiejobowiązujeDyrektywaSolvencyII22.

Ustalaonapodziałryzykaubezpieczyciela,stosująckryteriaanalogicznejakwprzy-padkuryzykawbankowości,na:

ryzykoubezpieczenia,zwłaszczaryzykounderwritingu23, ryzykokredytowe, ryzykorynkowe, ryzykooperacyjne.NarynkukapitałowymUniiEuropejskiejodstycznia2007rokuwprowadzono

zestawdyrektywMiFID24,któredzieląryzykotaksamojakprzepisybankowe(znówdomyślnekryteriasątesame),kładącjednakdodatkowynacisknaryzykospeku-lacji instrumentami pochodnymi (którenota bene występuje też, tylkow innejskali,wdziałalnościbankówiubezpieczycieli)[Jajuga,2007].

Wprzypadkupozostałychpodmiotówgospodarczych,awięcprzedsiębiorstwprodukcyjnych,handlowychiusługowych,zabezdyskusyjneuznajesięwydzielenieizdefiniowanieryzykarynkowego,ryzykakredytowegoiryzykapłynności[Sier-pińska, Jachna,2007]. Pozostałe rodzaje ryzyka i ich sklasyfikowanienie jestuzgodnionewedługjakiegośpowszechniejakceptowanegomodelu.Zapewnekon-sekwencjątego jest,że iwtymprzypadkupodziałyryzykaniesąustalanenapodstawiewcześniejsformułowanychkryteriówklasyfikacji.Coszczególnieinte-resujące,ryzykooperacyjne,takwyraźniejużwyróżnianewprzypadkuinstytucjifinansowych,tuniejestjeszczepoważniejdostrzegane.

Znamienne,żenajobszerniejszapracapoświęconaprzeglądowiróżnychro-dzajówryzyka–T.Kaczmarka[2006]–podajeiomawiajedynierozległykatalogrodzajówryzyka(nazywająctoobszaramiryzykaiodnoszącjedodziedzinaktyw-ności ludzkiej i dyscyplin naukowych), a nie próbuje ich sklasyfikować,w tymwskazaćkryteriówklasyfikacji,ajedynielokujejewposzczególnychdziedzinach

21 NaprzykładUchwałanr1/2007KomisjiNadzoruBankowegoz13.03.2007.22 Directive2009/138/ECoftheEuropeanParliamentandoftheCouncilof25November2009

onthetaking-upandpursuitofthebusinessofinsuranceandreinsurance(SolvencyII).23 Underwritingubezpieczeniowytoprocesklasyfikacjiiocenyryzykaprzedjegoprzyjęciemdo

ubezpieczenia.24 MiFID–MarketinFinancialInstrumentsDirective,czyliłącznie:Dyrektywa2004/39/EC,

RozporządzenieKomisjinr1287/2006,Dyrektywa2006/31/EC,Dyrektywa2006/73/EC.

2. Ryzyko 38

aktywnościgospodarczejispołecznej.OpierającsięnakoncepcjiKaczmarka,ob-szaramiprzejawianiasięryzykasąwszczególności:

ubezpieczenia25, ekonomia(turyzykojestteżokreślanejakoryzykodziałalnościgospodar-czejijestdzielonenaryzykoprodukcyjne,handloweifinansowe)ifinanse,którepostrzegane są zperspektywymakroekonomicznej,wyróżniającryzykokursuwalutowegoorazstopyprocentowej,conależyuznaćzauję-ciekontrowersyjne,bowiempominiętoperspektywęmikroekonomiczną,awramachniejuważanezaznacznieważniejszeryzykokredytoweipłyn-ności[Jajuga,2007,s.18–25], prawo(jakoryzyko:wadliwejidentyfikacjipotrzeblegislacyjnych,nadmier-negounormowania,niedostatecznegouregulowania,niestosowalnościlegislacji,indolencjiorganówadministracji,nadużywaniaprawainiezna-jomościprawa), polityka, globalnerelacjegospodarcze, technika,nowetechnologieiekologia, informacja(zwłaszczaekonomiczna),jejprzetwarzanieoraztechnologieprzetwarzania(wtymobszarzelokowanajestważnaczęśćrodzajówryzykaoperacyjnego), organizacja(wtymobszarze lokowanajestwiększośćrodzajówryzykaoperacyjnego), zarządzanieiteoriapodejmowaniadecyzji, chemiaifarmacja, medycynaiepidemiologia, psychologia, socjologia, filozofia,etyka,religia, cywilizacja,kulturaimedia, katastrofyisiławyższa.Winnychpracachpodawanesąwycinkoweklasyfikacjeodnoszącesiędo

pojedynczychkryteriów, takich jak: perspektywa (wewnętrzna lub zewnętrzna)ocenyprzezprzedsiębiorstwo,rodzajdziałalnościiprzynależnośćdobranży/sek-tora/rodzajurynku,potrzebalubwartośćwystawionanaryzyko,rodzajzagroże-nia,możliwościochrony,horyzontczasowy(planowaniadziałalności,skutkowaniaochrony,oddziaływaniazagrożeńitd.)iszereginnych(m.in.[Tarczyński,Mojsie-wicz,2001]).Doniedawnatakistannieprzeszkadzałpraktykom,gdyżpozaryn-kiemfinansowym,gdzieryzykojestprzedmiotemprowadzonejdziałalności,było

25 Szerokoomówione,atakżesklasyfikowanewpracach:[MonkiewiczJ.,2004; Handschke,Monkiewicz,2010].


ononiemalmarginalnymzagadnieniemwzarządzaniu.Współcześniejednak,w związku z rosnącym poziomem organizacyjnego skomplikowania wszelkiejdziałalnościspołecznej,organizacjepodejmująświadomiezarządzanieryzykiembiznesowymorazwykorzystująjewtworzeniuibudowaniuwartości.Ryzykostajesięwręczjednymzcentralnychwyzwańwzarządzaniuprzedsiębiorstwem[Beck,2002; Berlińska,2010; Handschke,Monkiewicz,2010; Przybylska-Kapuścińska,Mozalewski,2011; Tarczyński,Mojsiewicz,2001].

Tradycyjnepodejścieograniczałosiędouproszczonychanalizdziałaniaorga-nizacjiitraktowałoryzykojakomałoznaczącyproblemzarządzaniaprzedsiębior-stwem.Wwiększościprzypadkówtakiezarządzanieryzykiemsprowadzałosiędodziałańprewencyjnychprzygotowującychnawypadekzagrożeńmogącychspowo-dowaćstraty,aniewykorzystywałookazjidobudowaniatrwałejwartościdodanejworganizacji.Ponadtoniedostarczałometodspójnegoisystemowegozarządza-niaryzykiem,codlawiększościorganizacjimaznaczeniewaspekciecorazczęstszejpotrzebyokreślaniaobecnychinowychrodzajówryzykabiznesowego.

Rysunek 2.1. Podstawowe rodzaje ryzyka

Źródło: [Tarczyński, Mojsiewicz, 2001].

Przyszłe i nieznane wydarzenia

Przyszłe możliwości i związane z nimi prawdopodobieństwa są znane

Przyszłe możliwości nie są znane i/albo nie są znane szanse ich wystąpienia

RYZYKO NIEPEWNOŚĆ

Efekt Alternatywa Mierzalność skutków Niepewność Praktyka

ubezpieczeniowa Postęp

Ryzyko specyficzne

Ryzyko systematyczne

Ryzyko czyste

Ryzyko spekulacyjne

Ryzyko niefinansowe

Ryzyko finansowe

Ryzyko niepewności

czasu

Ryzyko niepewności

miejsca

Ryzyko niepewności wystąpienia

Ryzyko niepewności

skutku

Ryzyko osobowe

Ryzyko majątkowe

Ryzyko statyczne

Ryzyko dynamiczne

2. Ryzyko 40

Tymsamympotrzebakompleksowegospojrzenianaryzykojakonauporząd-kowanyobrazwielowątkowegozagadnieniastałasięcorazważniejsza.Wodpo-wiedzitrwająrozmaitepróbyuchwyceniatejproblematyki[Cygler,2009; Jajuga,2007; Koźmiński,2004; Nocco,Stultz,2006; Stabryła,2011; Strzelczak,2003; Waściński,Krasiński,2010]–relacjonowanieichwykraczapozazakresniniejszejpracy.Dlailustracjizostajewięcpodanytylkojedenzcharakterystycznychprzy-kładówtakichklasyfikacji(rys.2.1),podobniejakomawianewcześniej,podającykategorieryzykauporządkowanenazasadzieintuicyjnegołączeniaszeregupro-stychkryteriówwskazanychnarysunkuwdrugimiczwartymrzędzie.

2.3. Koncepcja kompleksowej klasyfikacji ryzykaWniniejszejpracy,jakokoncentrującejsięnafragmencietejproblematyki,wska-zanazostajeinna,autorskasugestiakierunkubadań.Opierasięonanauwzględ-nieniudwuaspektówanalizyzagadnienia.Pierwszymjestciąglogicznybiegnącyodprzyczynzdarzeńkrytycznych,przezmechanizmichspełnianiasię,poostatecznespełnienie,czyliskutki,przeważniebędąceszkodamiistratami(zob.rys.2.2).Ryzykowgruncierzeczydostrzegasiębowiemprzez:

zagrożenia,którestanowiąoprzyczynowymobrazieryzyka, interakcjętychzagrożeńzpodatnościamipodmiotu,którydoświadczary-zyka,costanowiistotęmechanizmuspełnianiasięryzyka, skutkispełnianiasięryzyka.

Rysunek 2.2. Model przyczynowo-skutkowy klasyfikacji ryzyka

Źródło: opracowanie własne.

Ujęcie przyczynowe (klasyfikacja wg zagrożeń)

Ujęcie skutkowe (klasyfikacja wg zakłóceń)

Ujęcie spełniania się ryzyka

(klasyfikacja wg podatności)

2.3. Koncepcja kompleksowej klasyfikacji ryzyka 41

Jesttowięcpołączeniepodejściaprzyczynowego,mechanizmuspełnianiaorazpodejściaskutkowegocelemuchwyceniadynamikizachodzeniazdarzeńkrytycz-nychuosabiających ryzykodziałalności. I te elementynależywziąćpoduwagęprzyustalaniukompleksowejklasyfikacji.

Drugimaspektemanalizyjestintegrowanieróżnychpodziałówryzykanajegorodzaje, przeprowadzanych z perspektywyposzczególnychdziedzin aktywnościspołecznejipodmiotówdziałającychwichobszarze.Podziałytakiepowinnybyćdokonywaneodrębniewujęciuprzyczynowym,aodrębniewujęciuskutkowym.Na rysunku2.3przedstawiono,w formieprzekrojupoprzecznego, jedynie ideęklasyfikacjiwymagającąstarannegozbadaniaidoprecyzowania.Klasyfikacjatakamapołączyć:

podziałnarodzajeryzykaspecyficznedlabranż,sektorówidziedzinak-tywnościspołeczno-gospodarczej, podziałnaryzykowewnętrzneizewnętrznepodmiotu, podziałnaryzykospecyficzneisystemowe(systematyczne) ipowinnabyćotwartanajeszczeinne,bardziejszczegółowepodziały.

Rysunek 2.3. Model strukturalny klasyfikacji ryzyka


Ryzyko uniwersalne społeczne

Ryzyko uniwersalne finansowe

Ryzyko operacyjne podmiotu

Ryzyko branżowe

Ryzyko biznesowe podmiotu

Podmiot gospodarczy danej branży

Ryzyko wewnętrzne Ryzyko zewnętrzne

2. Ryzyko 42

Możnanaprzykładrozważyćjakopunktwyjściadopodziałuryzykafinan-sowego na kategorie propozycję Culpa [2002],weryfikując oczywiście kryteriapodziału:

ryzykorynkowe, ryzykofinansowania, ryzykopłynnościrynku, ryzykokredytowe, ryzykoprawne.Nakoniectychrozważań,zuwaginatematrozprawy,wartoteżzdefiniować

ryzykobiznesowe,przyjmującradykalnypodziałogólnegoryzykapostrzeganegoprzezorganizacjęna ryzykobiznesoweorazoperacyjne.Takipodziałmaswojeuzasadnieniewprzedstawionymwrozdziale6rozróżnieniumiędzypojęciemdziałalność(którejdotyczyryzykobiznesowe)apojęciemdziałanie(któregozkoleidotyczyryzykooperacyjne).Azatem:

Ryzykooperacyjnejestzdefiniowaneiomówionewrozdziale3.

2.4. Pomiar ryzyka Przedewszystkimnależyzwrócićuwagęnaczęstoniesłuszniepomijany[Jajuga,2007]podziałkwestiipomiaruryzykanamiaryobiektywne,charakteryzującesamoryzyko,orazmiarysubiektywnezwiązanezestosunkiemorganizacji,awgruncierzeczyjejdecydentów,doryzyka.Jesttowpraktycezarządzaniaryzykiembardzoważnaróżnica,bowiemniezależnieodwyliczeńryzykanadrodzezastosowaniawybranychmetodpomiaruostatecznieprzyjmowanewartościryzykawtokupo-dejmowaniadecyzjiwramachzarządzanianimsąpochodnąsubiektywnegore-agowaniadecydentów26.

Wramachsystematyzacjimiarryzyka[Jajuga,2007]wartouwzględniać: dekompozycjęmiarryzykawkierunkuustaleniaprawdopodobieństwapo-szczególnychwynikówzdarzeńobarczonychryzykiemorazwartościtychwyników; stopieńwielowymiarowościrozważanegoryzyka;

26 Takiespojrzeniejestdodatkowowspieranewujęciupsychologicznejteoriidecyzji,którawza-kresie ryzyka zajmuje się ryzykiem instrumentalnym związanym z samą decyzją (jej przesłankamiobiektywnymiorazprocesempodejmowaniadecyzji)orazryzykiemstymulacyjnymzwiązanymzprzy-jemnościąjakomotywempostawryzykownych[Goszczyńska,Studenski,2006].

Ryzyko biznesowe można zdefiniować jako ryzyko strat w wyniku niewłaściwych decyzji co do doboru klientów, kształtu produktów i usług lub zobowiązań wobec partnerów bizne-sowych albo w wyniku niesprawności lub niespójności systemu gospodarczego państwa.

2.4. Pomiar ryzyka 43

potrzebęrozważaniaryzykaekstremalnego(okatastroficznymcharakterzeiogromnympoziomiestrat).

Za[Jajuga,2007]miaryryzyka,zpunktuwidzeniakonstrukcjiicharakterudanejmiary,możnapodzielićnastępująco:

miarymająceupodstawyrozkładstatystycznyzmiennejlosowej,będącejzmiennąryzyka(analiziepodlegaefektdziałaniaryzyka,ilustrowanyprzezmożliwewartościzmiennejryzyka); miarywynikającezfunkcjizależnościzmiennejryzykaodczynnikówryzyka(analizowanajestwgruncierzeczyprzyczynaryzykajakooddziaływanieczynnikaryzykanazmiennąryzyka); miarydanewpostaciklasryzyka,awięczmiennaryzykaniekonieczniejestzmiennąlosową,przeważniestosowanajestmetodadyferencjałuse-mantycznego(analizowanyjestjedynieefektryzyka).

Szczegółowyprzegląd teoretycznego,główniematematycznego,ujęciapo-miaruryzykaprzedstawiająK.Jajuga[2007]orazJ.Orzeł[2012],wszczególnościodnoszącsiędokwestii:miarzmienności,kwantylirozkładu,wartościdystrybu-antyrozkładu,miarwrażliwości.Ogółpodejśćcharakteryzujerysunek2.4.Proble-matykatadynamiczniesięrozwija,zwłaszczanadrodzeposzukiwaniaanalogiiz innymiobszaramidziedzinyekonomia.PrzykładnowychpodejśćprzedstawiaDańska-Borsiak[2011].

Należypodkreślić jednak,żefinansowemetodypomiaruwodniesieniudoryzykaoperacyjnegoprowadzągłówniedoustalaniawartościtzw.adekwatnościkapitałowej wobec ryzyka, a więc poziomu zabezpieczeń finansowych, jakichpotrzebujeorganizacja,abymócstawićczołakonsekwencjomróżnychrodzajówryzykadotykającegojejdziałalność.Pozaprzypadkami,gdyryzykodotyczyzaso-bówfinansowych,niejesttojednakmiarasamegoryzyka,atylkookreślenienie-zbędnychrezerw.Rozpatrzmytonaprzykładachwziętychzżyciagospodarczego.

Przykładpierwszydotyczyzasobówfinansowychikwestiizapewnianiabez-pieczeństwa.Przyjmijmy,żeorganizacjaprzygotowujesiędoudziałuwpostę-powaniuprzetargowym,liczącnakontraktwielomilionowejwartości.Warunkiemudziałujestwpłaceniewadium,kilkuprocentowegowstosunkudowartościpotencjal-negokontraktu.Jeślirozważymyjakoryzykozdarzenieutratykwotyzgromadzo-nejnawadium(kradzież,odmowagwarancjibankowej),toczyryzykopowinnobyćmierzonekwotąwadium,czykwotąutraconegokontraktuonieznanejjeszczedokładniewartości?Czypotrzebnejestprecyzowanietejwartości,czyteżwystarczastwierdzenie,żejestonaznacząca.Awkonsekwencji,żetrzebaspecjalnymiroz-wiązaniamizaradczymizabezpieczyćsięprzedjejutratą.

Przykładdrugidotyczyzasobówpozafinansowychikwestiizapewnianiacią-głościdziałania.Organizacjęspotykaparaliżdziałalnościspowodowanygwałtow-nymiopadamiśniegu,pracownicyniemogądotrzećdomiejscpracy,niemożnaprzywieźćkomponentówaniwywieźćwyrobówgotowych.Jedynymwyjściemjestzaangażowaniewszystkichdostępnychworganizacjisiłludzkichiśrodkówtech-nicznych,abyudrożnićdrogikomunikacyjne.Ryzykotakiegozdarzeniawartooczywiścieskalkulowaćfinansowo,alezdrugiejstronytrzebaprzygotowaćtaką

2. Ryzyko 44

ocenę,którawskażejakouzasadnionądecyzjęomobilizacjisiłiśrodków.Niepo-trzebujebyćonafinansowa,wystarczygdybędziewskaźnikowa,tj.taklubnie.

Rysunek 2.4. Pomiar ryzyka – podejścia, metody, techniki

Źródło: [Bizon-Górecka, 1998].

Identyfikowanie czynników ryzyka

Podejście społeczne

Podejście gospodarcze

Metody jakościowe

Metody ilościowe

Metody strategiczne

Metody operacyjne

Metody badań operacyjnych

Metody planów alternatywnych

Metody statystyczne

Metody finansowe

Metody symulacyjne

• opisowa ocena ryzyka• katalog czynników ryzyka• analiza profilowa• systemy wczesnego ostrzegania• metoda wyrównywania ryzyka• metoda szacowania ryzyka FMEA

• drzewa decyzyjne• techniki sieciowe• algorytm simpleks• teoria kolejek• teoria gier

• techniki optymalizacyjne• gry kierownicze

• badanie progu rentowności• techniki wskaźnikowe i punktowe• techniki inwestycyjne

• analizy wrażliwości• analizy korelacji• analizy prawdopodobieństwa• analizy przyrostów• analiza odchylenia standardowego• analizy histogramów

• technika Monte Carlo• programowanie ewolucyjne

Podejścia

Metody

Techniki

2.5. Zarządzanie ryzykiem 45

Oznaczato,żepodkątemograniczaniaryzykaoperacyjnego,awięczapew-nianiabezpieczeństwaorganizacyjnegoiciągłościdziałania,potrzebnejestprzyjęcieinnegotokurozumowania.Kwestiatajestrozwiniętawpodrozdziale4.2.

2.5. Zarządzanie ryzykiem„Podstawowymcelemzarządzaniaryzykiemjestpoprawawynikówfinansowychfirmyorazzapewnienietakichwarunków,abynieponosiłaonastratwiększychniżzałożone”[Tarczyński,Mojsewicz,2001,s.35].Zarządzanienimmaprowadzićdosytuacji,żeorganizacja(jejkierownictwo)jestświadomaryzykaijegoroz-miarów,awdziałalnościbieżącejniewykraczapozagranicęryzyka,świadomieprzyjętą jakodopuszczalna.Wpływanienaryzykomusiuwzględniaćwystępo-wanieszansizagrożeń(rys.2.5)orazmożliwościpokryciaewentualnychstrat,wtymmusipostrzegaćstratytakżejakoumykającekorzyściztytułuniepodejmo-waniapewnychdziałań.

Rysunek 2.5. Oddziaływanie ryzyka w organizacji

Źródło: norma [ISO/IEC-TR 13335-1].

Przezdługiczasryzykoniebyłosystematycznieanalizowanepozasektoremfinansowym,gdzieznaturalnychpowodówjestmotywemprzewodnimkształto-waniaproduktówiusługubezpieczeniowych,bankowychikapitałowych.Jednakwzrost zamożności społeczeństww drugiej połowie XXw. spowodował corazczęstszesięganiepoproduktyubezpieczeniowe,aprzyokazjizwiększyłświadomość

ZAGROŻENIA

ZABEZPIECZENIA

WYMAGANIA W ZAKRESIE OCHRONY

WARTOŚCI

RYZYKO ZASOBY

PODATNOŚCI

realizowane przez

analiza wskazuje mają

zwiększająnarażają

zwiększają

zmniejszają

zwiększają

wykorzystują

chroni przed

2. Ryzyko 46

możliwości zabezpieczaniadziałalnościprzedpodstawowymi rodzajami ryzyka.DokońcaXXw.utrwaliłosiępodejściezintegrowanegozarządzaniaryzykiemwprzedsiębiorstwie,dodatkowościślewiązanezanaliząprocesówwnimza-chodzącychorazzpostulatemzapewnieniabezpieczeństwagospodarowania,coobejmujetakżekwestieochronyreputacjiorazzapewnianiaciągłościdziałania[Strzelczak,2003].

Wzakresieuwarunkowańskutecznegozarządzaniależyszczegółoweanali-zowanieipoznawaniecharakteruorazzakresupotencjalnegoryzyka,gdyżpo-zwala to nawybórw odpowiednim czasie czynnościmoderujących negatywneskutki lub imzapobiegających.Zmierzaćnależybowiemdo sytuacji świadomejdecyzjicodogranicdopuszczalnegowystawianiasięnaryzyko,wkontekściepo-tencjalnegouzyskiwanialubutratykorzyściwbiznesie.Stąd:strategiazarządza-niaryzykiemtoplandziałania,wistotnymdlaorganizacjiobszarze,polegającyna sformułowaniucelóworaz formdziałaniaodniesionychdoprzewidywanychzmianczynnikówwpływającychnapoziomprawdopodobieństwautratykorzyścilubstraty[Bizon-Górecka,2001].Maonastanowićzaplanowanąreakcjęnaryzyko,formułowanąnapodstawiewiedzyoźródłachisposobachjegomaterializacjiwpostaciszkódoraznapodstawieznajomościsposobówzapobieganiaorazme-todpomiaruryzykaiwycenyszkódjakojegoskutków.

Strategięzarządzaniaryzykiemdzielisięnaogólnąorazszczegółowe.Stra-tegiaogólnadotyczywyznaczaniacelów,zasobóworazmetodbadaniaryzyka,atakżezasadplanowaniazachowaniaorganizacjiwobecsytuacjikrytycznych.Strategiatamusibyćzintegrowanaiwynikaćzestrategiirozwoju(strategiibiz-nesowej)organizacji.Jesttowięcopracowaniejednolitychzasadopisu,badaniaimodelowaniaryzykaorazzachowańorganizacjiwodpowiedzinanie.Ogólnastrategiazarządzaniaryzykiemmożemiećcharakter[Bizon-Górecka,2001]:

ekspansywny–organizacjacelowopodejmujedziałaniaobarczonedużymryzykiem,upatrującwtymdrogidoosiąganiawiększychniżdotądkorzyści, zachowawczy–organizacjaostrożniepodejmujeryzyko,alewstopniu,którypowodujepewnecząstkowe(lubwiększe)straty,przyczymcelowoniepodejmujeryzyka,któreprzekraczaustalony,dopuszczalnypoziom, impasywny–organizacjaniepodejmujedziałań,wktórychniemapewnościefektów.

Strategieszczegółoweodnosząsiędokonkretnychsytuacji:rodzajów,miejsciterminówwystępowaniaryzyka.Typowymistrategiamiszczegółowymisą[Vaughan,1997]:retencjaryzyka,transferryzyka,podziałryzyka,redukcjaryzyka.Obokstrategiizarządzaniaryzykiemorganizacjapowinnaokreślićobowiązującąwniejpolitykęzarządzania,tj.zbiórintencjiizasadelastycznegopodejmowaniadecyzjiuwarunkowanychryzykiemlubnakierowanychnamoderowanieryzykalubzapo-bieganiemu[Bizon-Górecka,2001](więcejnatentematwrozdziałach4 i 5).

Nigdyniemożnawyeliminować ryzykazupełnie,dąży się jedyniedo jegominimalizacji.Ryzyko,którepozostaje,nazywanejestszczątkowym.Zregułydalszaminimalizacja ryzyka jest ekonomicznie nieuzasadniona, tzn. jej koszt byłbywiększyodpotencjalnychstrat.Należyjednakpamiętaćoprawdopodobieństwie


zajściaincydentubędącegowyrazemtakiegozminimalizowanegoryzyka.Organi-zacjapowinnabyćświadomaistnieniaryzykaszczątkowegoikoniecznościprze-myślanejdecyzjiojegoakceptacji.

Współczesnezarządzanieryzykiemodwołujesiędopodziałunanastępującepodstawowegrupyryzyka:zagrożeńmaterialnych,finansowe,strategiczneiope-racyjne,atakżeprzyjmujeponiższesześćzasadzarządzanianim[Monkiewicz,Hadyniak,2010].

1. Zarządzanie ryzykiemwprzedsiębiorstwiepowinnobyć zarządzaniemwszystkimijegorodzajamirównocześnie.

2. Wproceszarządzaniaryzykiemmusibyćbezpośredniozaangażowanena-czelnekierownictwoprzedsiębiorstwa.

3. Ogółrodzajówryzykawprzedsiębiorstwiepowinienbyćtraktowanyjakoportfelryzyka–cooznacza,żewymagazrozumieniaposzczególnychjegoelementówizwiązkówmiędzynimi–orazmusibyćzarządzanyprzezpryzmatcelów iprocesówcałejorganizacji[CasualActuarialSociety,2003,s.5].

4. Potrzebnejeststosowaniemetodilościowychdopomiaruryzyka[Jajuga,2007,s.16].

5. Stosowane narzędzia i procedury zarządzania ryzykiem sąwspólne dlawszystkichrodzajówprzedsiębiorstw.

6. Ryzykosięjużnietyleminimalizuje,cooptymalizuje,azarządzanieryzy-kiemprzedsiębiorstwastajesię„podejmowaniemdecyzjiirealizacjidziałańprowadzącychdoosiągnięciaakceptowalnegopoziomuryzyka”[Jajuga,2007,s.15].

SzczególnerodzajeryzykaujawniłysięnaprzełomieXXiXXIw.wwynikupatologicznegozarządzaniawkoncernach:BankofCreditandCommerceInterna-tional–1991r.,MaxwellCorporation–1991r.,Enron–2001r.,WorldCom–2001r.,Parmalat–2003r.Wodpowiedziwprowadzonozasadyładukorporacyjnego27,awichramachzasadynadzoruikontroli.Służątemutrzyfilarykontroliryzyka:

dyscyplinywłaścicielskiej(tj.środkówdyscyplinujących,któremadodys-pozycjiwprzedsiębiorstwiejegowłaściciel), dyscyplinyrynkowej(awięcśrodkówdyscyplinujących,którymidysponująwobecprzedsiębiorstwauczestnicyrynków), dyscyplinyregulacyjnej(awięcśrodków,którymidysponująwstosunkudo przedsiębiorstwa władze publiczne dla wymuszenia bezpieczeństwaokreślonychzachowań).

Abyprawidłowozarządzaćryzykiem,zarządyprzedsiębiorstwmusząrozu-mieć,żenajważniejszymietapamisą:jegozidentyfikowanie,analizaorazpomiar(luboszacowanie).Dopókitonienastąpi,trudnomówićkonkretnieoryzyku,nie

27 PolskieForumCorporateGovernancewww.pfcg.org.pl,EuropeanCorporateGovernanceIn-stitutewww.ecgi.org

www.pfcg.org.pl

www.ecgi.org

2. Ryzyko 48

możnabowiemprawidłowopodejmowaćdziałańograniczającychryzykoczyroz-wiązańzabezpieczających.Ogólniemożnastwierdzić,że–nieznającryzyka–masiędoczynieniatylkozniebezpieczeństwemrozumianymprzedewszystkimjako:nieświadomość,lekkomyślność,zaniedbanie[Wołowski,Zawiła-Niedźwiecki,2012]. Gdydołożonazostajenależytastarannośćwdziałaniu,toniemajużmowyonie-jasnymniebezpieczeństwie,alewłaśnieoryzykujakoprawdopodobieństwieokre-ślonego skutku lub jako rozkładzieprawdopodobieństwwyobrażanegozestawuskutków.Następniemożnapodjąćdecyzjęcodowyborumetodzarządzanianim(neutralizowaniago)orazzbudowaćniezbędnądotegocelustrukturęorganizacyjną.

Wzrostznaczeniazarządzaniaryzykiemwprzedsiębiorstwiespowodował,żeodkońcaXXw.pojawiłysiępublicznestandardyzarządzaniaryzykiem.Powstałyonewwynikuinicjatywszereguinstytucji,którepropagowałynajlepszepraktykizarządzaniaróżnymirodzajamiryzyka.Wśródnichszczególnąuwagęwartozwrócićnastandardzarekomendowanyw2004r.przezCommitteeofSponsoringOrgani-zationsoftheTreadwayCommmission–tzw.COSOII–ZintegrowanySystemZarządzaniaRyzykiemPrzedsiębiorstwa[Nocco,Stultz,2006].COSOIIopierasięna8elementachzintegrowanegozarządzaniaryzykiem,którewznacznejmierzeodpowiadająelementomwcześniejopracowanegostandardukontroliwewnętrz-nej(tzw.COSOI).

1. Środowiskowewnętrzne–politykazarządzaniaryzykiemworganizacji,określającam.in.jejtolerancjęnaryzykoiuznawanewartościetyczne.

2. Ustaleniecelów–systemzarządzaniaryzykiemzapewniającykierownic-twuprocesypozwalającenaustalaniecelóworazweryfikacjęzgodnościzmisjąfirmyorazzjejskłonnością/tolerancjąryzyka.

3. Identyfikacjawydarzeń/zagrożeń–ustalaniewewnętrznychizewnętrznychwydarzeń,któremogąwpłynąćnaosiągnięciezaplanowanychcelów.

4. Ocenaryzyka–przedewszystkimanalizaryzyka,awtymustaleniepraw-dopodobieństwa jegowystąpieniaorazmożliwej skaliwpływu,co służyustalaniusposobówwpływanianaryzyko.

5. Odpowiedźnaryzyko–zasadniczepodejściadoryzyka,takiejak:unikanie,przejęcie,redukcjaczypodział,orazdziałaniawpływanianaryzykosto-sowniedozałożonychpoziomówtolerancji.

6. Kontrola–politykakontroliiproceduryweryfikacjistopniawdrożeniapro-gramówzarządzaniaryzykiem.

7. Komunikacja–zakresinformacjiiformkomunikowaniamiędzypracowni-kami.

8. Monitorowanie–systematycznaocenastopniarealizacjizadaniaosiągnię-ciaodpowiedniejodpornościnaryzyko.

Zkoleiwswoimstandardziezarządzaniaryzykiemwprzedsiębiorstwiew2003r.StowarzyszenieAktuariuszyMajątkowychStanówZjednoczonych(CAS)definiujetozarządzaniejako„procesoceny,kontroli,eksploatacji,finansowaniaimonitorowaniaryzykazewszystkichźródełdlacelówzwiększeniakrótko-idłu-


gookresowejwartościorganizacyjnejdlainteresariuszy”[CasualActuarialSociety,2003].WmodeluCASwyróżniasię4rodzajeryzyka:

ryzykozagrożeń(materialne),obejmującem.in.ryzykoodpowiedzialnościcywilnej,szkódmajątkowychorazkatastrofnaturalnych, ryzykofinansowe,obejmującem.in. ryzykowyceny,aktywów,walutoweorazpłynności, ryzykooperacyjne,obejmującem.in.ryzykoniezadowoleniaklienta,nie-udanegoproduktu,oszustwa,utratyreputacji, ryzykostrategiczne,obejmującem.in.ryzykokonkurencji,trendyspołeczneorazdostępnośćkapitału.

NaproceszarządzaniawmodeluCASskładasię7kroków:1)ustaleniekontekstudziałalnościorganizacjiwzakresieryzyka,2)identyfikacjaryzyka,3)analizaikwalifikacjaryzyka,4)budowaportfelakompleksowegoryzyka,5)ocena(oszacowanie)ihierarchizacjarodzajówryzyka,6)wpływanienaryzykoprzezprzyjęcieodpowiednichplanówdziałania,7)monitorowanieikontrola.Takżew2003r.EuropejskaFederacjaStowarzyszeńZarządzaniaRyzykiem

FERMA(FederationofEuropeanRiskManagementAssociations)zarekomendowałastandardzarządzaniaryzykiemopracowanyprzezgrupęnajwiększychbrytyjskichorganizacjibranżowych:InstytutZarządzaniaRyzykiemIRM(TheInstituteofRiskManagement),StowarzyszenieMenedżerówUbezpieczeniowychiZarządzającychRyzykiemAIRMIC(TheAssociationofInsuranceandRiskManagers)orazKrajo-wegoForumnaRzeczZarządzaniaRyzykiemwSektorzePublicznymALARM(TheNationalForumforRiskManagementinthePublicSektor).StandardtenużywaterminologięprzyjętąprzezMiędzynarodowąOrganizacjęNormalizacyjną(ISO)wdokumencie„Zalecenia ISO/IECnr73–Słownictwo–Wytycznedlanorm”[FERMA,2003].StandardFERMArozróżniawewnętrzneizewnętrzneczynnikiryzykaidzieliryzykona:finansowe,strategiczne,operacyjneorazniebezpieczeń-stwa,aproceszarządzaniaryzykiemna7etapów:

1)ustaleniecelówstrategicznychprzedsiębiorstwa,2)ocenaryzyka,3)informowanieoryzyku,4)decyzjaopostępowaniuwobecryzyka,5)wpływanienaryzyko,6)raportowanieoryzykurezydualnym,7)monitorowanie.Najtrudniejszymznichjestocenaryzyka,któraobejmujejegoidentyfikację,

opisorazpomiar.Standardprzywiązujedużąwagędosprawozdawczościikomu-

2. Ryzyko 50

nikacjiwzarządzaniuryzykiem,atakżedowłaściwejorganizacjiprocesuzarzą-dzanianim.

Przedstawionezasady,wodniesieniudoryzykaoperacyjnegozostałyrozwi-niętewrozdziałach3 i 4.

2.6. Ocena dojrzałości zarządzania ryzykiemNa koniec tych rozważań rozpatrzmy kwestię sprawności i dojrzałości procesuzarządzaniaryzykiem.Podstawąwspółczesnychsystemówzarządzaniajestpodej-ścieprocesowe.Opierasięononaprzekonaniu,żezamierzonedziałanieprzepro-wadzasięzwłaściwąefektywnościąwtedy,gdytraktujesięjejakoproces[Hamrol,2005; Skrzypek,2003; Szczepańska,2011].Bieżącoosiąganaefektywnośćorazjejpodnoszenie podlegają ocenie polegającej na pomiarzewybranychparametrówprocesu.Matoprowadzićdokompleksowegopomiaruskutecznościiefektywnościprocesu[Siwek,Onyszczuk,Bagiński,2006; Skrzypek,2000].Każdegoprocesu,awięciprocesuzarządzaniaryzykiem.

Pomiar skuteczności i efektywności procesu jest jednym z obligatoryjnychnarzędzioceny28wsystemachzarządzaniajakością[Skrzypek,2000].Azarządza-nie ryzykiem,zwłaszczawynikającezniegozarządzaniezapewnianiembezpie-czeństwaizarządzaniezapewnianiemciągłościdziałania,sązabiegaminarzeczzapewnianiajakościtegodziałania[Blim,Byczkowski,Zawiła-Niedźwiecki,2005].

Pomiaryiocenyprocesówwykonywanesąwramachichmonitorowaniai stanowiąintegralnączęśćzarządzanianimi.Podstawowymielementamiocenysą[Dahlgaard,Kristensen,Kanji,2000; Szczepańska,2011]:

zdolnośćprocesudo realizacji zadań (w tymwalidacja tej zdolności pokażdejistotnejzmianieprocesulubjegootoczenia), elastyczność(jakozdolnośćdozmian), skuteczność, efektywność, wydajnośćiinne.Najważniejszedlageneralnejocenysąwskaźnikiskutecznościiefektywności.

Skutecznośćiefektywnośćsąuważanezakategorieszczegółoweuniwersalnegopojęciaprakseologicznego–sprawności(rzeczysąrobionedobrze)[Kotarbiński,1973,s.127–142],którajestmierzonajakostosunekparametrówzrealizowanychdozaplanowanych(np.wydajności)procesuiokreślastopieńwykorzystaniazaso-bów.Wramachdążeniadosprawnościzasadnicząkwestiąjestmierzalnośćiroz-liczalnośćstawianychcelów.Powinnyoneprzedewszystkimodznaczaćsiętakimi

28 Pozostałenarzędziaocenyto:audytwewnętrzny,ocenasatysfakcjiużytkowników,ocenare-alizacjicelówiprzeglądzarządzania.

2.6. Ocena dojrzałości zarządzania ryzykiem 51

cechami,jak:precyzja,wymierność,hierarchizacja,zrozumiałość,realność,do-stępność[Zapłata,2003; Szafrański,2002; Quinn,Mintzberg,James,1993].

Skuteczność(robionesądobrerzeczy)–jestmierzonajakostosunekparame-trówzrealizowanychdozaplanowanychefektywnościprocesówiokreślazdolnośćdoosiągnięciazamierzonychcelów.Chodzioumiejętnośćwyboruwłaściwychcelów,bezczegonawetsprawnedziałaniejestbezcelowe[Stoner,Wankel,1992,s.170–171].Efektywnośćnatomiastjestrelacjąmiędzyosiągniętymiwynikamiawykorzystanymizasobami29.Skutecznośćiefektywnośćmożnatraktowaćjakorezultatyjakościprocesu30,atooznacza,żejakośćprocesujakosynonimzdolnościjestpierwotnawobecskuteczności,efektywnościielastyczności.Naciskkładzionyostatnionaocenęelastycznościprocesuwynikazczęstychoddziaływańotoczenia,wymuszającychzmianywewnętrznejorganizacji[Drucker,2000; Lisiecka,2001; Masłyk-Musiał,2003].

Schematpostępowaniaprzyocenieskutecznościiefektywnościprocesuobej-muje[Rummler,Brache,2000]:

zarządzaniecelamiprocesu, zarządzanieefektywnościąprocesu, zarządzaniezasobamiprocesu, zarządzanienastykumiędzydziałaniami.Schemattenskładasięznastępującychfazikrokówprowadzącychdousta-

leniawartościmierników,któreumożliwiająocenęprocesu[Rummler,Brache,2000; Jedynak,2007]:

fazaokreślaniawymagańicelówprocesu – identyfikacjawymagańiźródełcelówprocesu, – analizaistotywymagańiichtransfernapoziomprocesu, – określeniecelówdlaprocesu; fazaprojektowaniamiernikówisystemumonitorowania – ustanowieniemiernikówprocesu, – określenieodpowiedzialnościinarzędzipomiaruorazmonitorowania; fazarejestracjiiocenywynikówprocesu – rejestracjaparametrówprocesu, – rachunekmiernikówprocesu, – interpretacjaotrzymanychwyników, – podjęciedecyzjiopotrzebnychdziałaniachkorygujących.

29 Zob.normaPN-EN/ISO9000:2006.Problematykainterpretacjitychpojęć,różnicmiędzynimiorazczynnikówimetodichocenyzostałaszczegółowoomówionaw[Siwek,Onyszczuk,Bagiński,2006].Zob.też[Waters,2001].

30 Tzw.koncepcjaContiego,zob.[Lisiecka,2001].

2. Ryzyko 52

Miernikiocenyprocesudotyczączynnościisposobuichwykonywania.Dzielisięje,wykorzystującdwakryteria.Wedługpozycjiobserwacji(ustalaniawartościmiernika),na[Skrzypek,2003]:

miernikiocharakterzezewnętrznym,mierząceefektywnośćprocesu, miernikiocharakterzewewnętrznym,mierzącesprawnośćprocesu.Zkoleiwgkategoriidanychużywanychdokonstrukcjimierników,na[Skrzy-

pek,2000]: mierniki efektywności ekonomicznej, którewyrażają oceniany aspektfunkcjonowaniaprocesuwwartościachpieniężnych, mierniki efektywności operacyjnej, które odzwierciedlają stan sprawno-ściowyprocesuimogąbyćwyrażoneilościowo.

Miernikisłużąsystematycznemumonitorowaniu,prowadzonemutradycyjnielubzwykorzystaniemnarzędzitechnicznych.Zawszejednakaspektamiogranicza-jącymiskutecznośćocenybędą:

potrzebaantycypacyjnegowyobrażeniaskutkówzakłócenia,którejeszczeniezaszło,ioszacowaniaichkosztowegowymiaru; oszacowaniepotencjalniemaksymalnej straty,poniesionejwwynikuza-kłócenia,którewprawdziezaszło,alejegorozmiarzostałograniczonyprzezzastosowanierozwiązańzapewnianiabezpieczeństwaiciągłościdziałania; bieżąceprzenikaniesięrozwiązańrutynowejorganizacjipracyzrozwią-zaniami ukierunkowanymi na zapewnianie bezpieczeństwa i ciągłościdziałania.

Szczególnąformąpomiaruprocesu jest jegostatystycznakontrola,którejznaczeniepodkreślanormaISO9001,aktórawprzeszłościstosowanabyłaraczejwobecprocesówwzakładachprzemysłowych.Tymczasemnajnowszekoncepcje[Armstrong,2001]wskazująnato,że–zachowującwarunekwłaściwegodoboruparametrów–zapomocąkontrolistatystycznejmożnadokonaćanalizydowolnegoprocesu [Bizon-Górecka, 1998]. Jest tow dodatku przedmiotem rekomendacjipromowanychwbranżachbankowejiubezpieczeniowejsektorafinansowego(rekomendacjeBaselIIiDyrektywaUESolvencyII),którenakłaniająorganizacjedoprowadzeniabazdanychstatystycznychoincydentachorazdobudowanianaichpodstawiewewnętrznych(tj.specyficznychdladanejorganizacji)modeliza-rządzaniaposzczególnymirodzajamiryzyka,wtymryzykaoperacyjnego,impliku-jącegopodejmowaniezagadnieńzapewniania:jakości,bezpieczeństwaiciągłościdziałania.

Ocenadokonywananapodstawiemiernikówmaprowadzićdoustaleńwkwestiidalszegodoskonaleniaprocesu.Powinnotoodbywaćsięzwykorzystaniembadaniadojrzałościprocesu,np.wgmodeluArmstronga[2001],którywprowadzapięcio-stopniowąskalępoziomówdojrzałości:

wstępny–rezultatyprocesucechujezmienność, powtarzalny–procesosiągapowtarzalnerezultaty, zdefiniowany–procesjestefektywnyiskuteczny,zgodnyzkryteriami,

2.6. Ocena dojrzałości zarządzania ryzykiem 53

kierowany–procesjestwysoceefektywnyiskuteczny, zoptymalizowany–uzyskiwaneefektysąnajwyższejjakości.Analogiczniemożnadokonywaćocenydojrzałościkompleksowegozarządza-

niaryzykiem.Przykładmodelutakiejocenyprzedstawiononarysunku2.6.

Stopień IPodejście tradycyjne

– kontrola wewnętrzna– audyt wewnętrzny– indywidualne programy zapobiegawcze– bazowanie na kulturze organizacyjnej i jakości zasobów ludzkich

Stopień IIŚwiadomość

– definicja ryzyka– polityka ryzyka– ocena ryzyka– wskaźniki ostrzegawcze– struktury zarządzania ryzykiem– rozpoczęcie gromadzenia danych o zdarzeniach– modele kapitału ekonomicznego

Stopień IIIMonitoring

– wizja i cele zarządzania ryzykiem operacyjnym– kompleksowe wskaźniki ryzyka– limity ryzyka– sprawozdawczość– zaangażowanie personelu operacyjnego– szkolenia

Stopień IVKwantyfikacja

– baza szkód operacyjnych– mierzalne cele ilościowe– modele predykcji– kapitał ekonomiczny uwzględniający ryzyko– aktywny komitet ryzyka

Stopień VIntegracja

– zintegrowany zestaw narzędzi zarządczych i operacyjnych– analiza ryzyka zintegrowana z zarządzaniem cała firmą– korelacja wskaźników ryzyka i strat operacyjnych– cesja ryzyka (ubezpieczenie) powiązane z analizą wysokości

ryzyka i kapitału– wynagrodzenie menedżerów uzależnione od wyników firmy

skorygowanych o wartość ryzyka

Rysunek 2.6. Poziomy dojrzałości zarządzania ryzykiem

Źródło: opracowanie własne na podstawie: [BBA, ISDA, RMA, 1999].

2. Ryzyko

Stosowanietegotypumodelipoleganapoczątkowejocenieaktualnieosią-ganegopoziomuoraznaopracowaniuplanu (i jegokontrolowanej realizacji)doskonaleniazarządzaniaryzykiem,celemosiąganiakolejnychpoziomów,cojestweryfikowaneokresowymiocenamizgodnościzmodelem.Podkreśleniawymagazwłaszczapotrzebauwzględnianiazasadzarządzaniaryzykiem(włączniezza-sadamizapewnianiabezpieczeństwa)wkształtowaniukulturyorganizacjiorazpotrzebapełnegozaangażowaniawszystkichpracownikóworganizacji(nietylkouczestniczącychw strukturach zarządzania ryzykiem) [Hopej-Kamińska, Ka-miński,2009].

3. Ryzyko operacyjne i jego klasyfikacje 3.1. Triada problemowa „Ryzyko – Bezpieczeństwo – Ciągłość działania” Ryzykooperacyjnewzapewnianiuciągłościdziałaniajestzwiązanezkwestiąho-ryzontuczasowego,wjakimrozważasięplanowanedziałanieoraztowarzyszącemuryzykoorazwynikająceztegozagrożenia.Sprawatajestistotnaztytułupytania–nagrunciejakiejdyscyplinynaukowejrozważasięnaturęryzykaorazzapewnianiabezpieczeństwaiciągłościdziałania.Inaczejbowiemnależytoczynić,jeśliprzyjmujesięperspektywęodległegohoryzontuczasowego–wtedyjesttokwestiazzakresudyscyplinyekonomia,dlaktórejwkontekściezapewnianiaciągłościdziałaniaważnesątakiezagadnienia,jak:cyklkoniunktury,wzrost(rozwój)ijegowysycanieorazewentualneosiąganiegranicywzrostu(np.hipotezaS.Marciniaka[2013],żemodelgospodarczyUniiEuropejskiejdobiegabyćmożekresurozwoju).

Natomiast jeśliprzyjmuje sięperspektywębliskiegohoryzontu czasowego,jesttokwestiazzakresudyscyplinynaukiozarządzaniu,aryzykooperacyjnejestrozważanejakoryzykoniedostatecznejskutecznościdziałaniazperspektywyceluoperacyjnego (bieżącego) tegodziałania. I takiewłaśnie podejście jest przed-miotemniniejszejpracy.Wtymujęciuryzykooperacyjnepoleganamożliwościniespełnieniaoczekiwań technicznych,efektywności lubkwalifikacji, a takżeumyślnegopopełnieniaszkody.Stanowiwięconootym,nailewewnętrzneprocesyorganizacyjnesądośćskuteczne,wtymodpornenazakłócenia,abyorganizacjamogła realizować swe cele.Nie zachodzi przy tymautomatyczna synergia obuobszarów,tj.biznesowegoioperacyjnego,działalnościorganizacji.Możnabowiemwyobrazićsobiesytuację,gdyprzedsiębiorstwo,pozaprojektowaniuatrakcyjnegoproduktuiznalezieniuodpowiedniejkategoriiodbiorców,niejestwstaniespro-staćzadaniuwytwarzanialubdostarczaniategoproduktuklientomwwynikumałoefektywnej(wdowolnymaspekcie)organizacjiprodukcji,sprzedażyczyszerokorozumianej logistyki.Może to być problem czysto organizacyjny, ale też brakukwalifikacjipersonelu,niedostatkufunduszyitp.

Logicznąkonsekwencjąuświadomienia,zidentyfikowaniaiocenyryzykajestposzukiwanierozwiązańzabezpieczającychinaprawczych.Wszczególnościwart

3. Ryzyko operacyjne i jego klasyfikacje 56

jestpodkreśleniasynergicznyzwiązekzagadnieńzapewnianiabezpieczeństwaiza-pewnianiaciągłościdziałania.Zperspektywyzadaństawianychzapewnianiuciągłościdziałaniawszelkiepoczynanianarzeczbezpieczeństwamającharakterprewencji.Zkoleizperspektywyzapewnianiabezpieczeństwa,rozwiązaniacią-głościdziałaniasą reakcjąnaprawcząwobecnieskutecznejochrony. Ilustruje torysunek3.1.

Rysunek 3.1. Relacje zadań zapewniania bezpieczeństwa i ciągłości działania

Źródło: [Zawiła-Niedźwiecki, 2008]

Wynika z tego także rola racjonalnego (tam,gdzieniedziałaobowiązekprawny,aistotnajesttylkograczynnikówbiznesowych)przypisywaniaznaczeniazjednejstronyzapewnianiubezpieczeństwa(gdylepiejniedopuszczaćdozakłó-ceń), a z drugiej poszukiwaniu zastępczychwarunków ciągłości działania (gdyochronajestnieracjonalnaekonomicznielubnieskuteczna).Obateelementy,osa-dzonewrozwiązaniachjakościowegostałegodoskonalenia,zapewniająorganizacjielastycznośćwobecryzyka,którewwarunkachrosnącejkonkurencjinarynkutakże rośnie.Kwestia ta jestdalejomówionawrozdziale5 iprzedstawionanarysunku5.1(por.też[Grocki,2012; Korzeniowski,2012]).

Zintegrowaneperspektywyryzykaoperacyjnego,bezpieczeństwaiciągłościdziałania(triadaRyzyko–Bezpieczeństwo–Ciągłość)mogąbyćkluczemdointe-growaniawspółczesnychkoncepcjizarządzania,gdyż–cowskazanowewstępie:

analizaryzykawyjaśniapowodyograniczonejprzewidywalnościdowolnegodziałania,

Zarządzanie bezpieczeństwem

Zarządzanie ryzykiem

Zarządzanie ciągłością działania

Usuwanie przyczyn i skutków zakłócenia

Organizowanie pracy

w warunkach zastępczych

Tera

pia

Prew

encj

aAn

aliza

3.2. Dotychczasowe ujęcia ryzyka operacyjnego 57

wyznaczaniesposobówzabezpieczaniapokazuje,jakzwiększaćtęprzewi-dywalność, zapewnianieciągłościdziałaniaodzwierciedlazaradnośćwobecutrudnieńwpowziętychdziałaniach, triadaRyzyko–Bezpieczeństwo–Ciągłośćoznaczapanowanienadryzy-kiem,polegającenaracjonalnymrozłożeniuakcentówmiędzyprewencjęwobeczagrożeńdladziałaniaorganizacjiazaprojektowanereagowanienawystępowaniezakłóceń.

Wgruncierzeczy,używającpojęcia31zarządzanieryzykiemoperacyjnym,obej-mujesięnimpanowanienadtriadązagadnieńRyzyko–Bezpieczeństwo–Ciągłość.

3.2. Dotychczasowe ujęcia ryzyka operacyjnegoKwestiaryzykaoperacyjnegozostałapodjętawlatach90.XXwiekuprzezKomitetBazylejskiwramachpracnadkompleksemrekomendacjidobrychpraktykzarzą-dzaniaryzykiemwbankowościzwanychBaselI,anastępnieBaselII[Krasodomska,2008; Matkowski,2006]iBaselIII.Szczególnie,opublikowanew2004roku,aobo-wiązująceod2006roku,rekomendacjeBaselIImocnouwypuklająznaczenieumiejętnegozarządzaniaryzykiemoperacyjnym.Rozmach,zjakimrekomendacjetesąwprowadzanewpodmiotachrynkufinansowego(takżeDyrektywaSolvency)[MonkiewiczM.,2010],orazwyprzedzenieprzezpraceKomitetuBazylejskiegoinnychbadańnad tymzagadnieniem, spowodowałyabsorbcjędefinicji ryzykaoperacyjnegoorazklasyfikacjiKomitetuBazylejskiegotakżenagruntnauki.Trzebajednakkrytyczniepodkreślić,żeklasyfikacjatazostałaopracowanajakopodsumo-waniepraktykibankowejiwsensienaukowymmawadymetodologiczne.

Definicjaryzykaoperacyjnego,sformułowanaprzezKomitetBazylejski jestnastępująca32:

Zazwyczajdodawanyjestkomentarz,żeryzykooperacyjneobejmujetakżeryzykoprawne,nieujmujezaśryzykastrategicznegoiryzykareputacji.

31 Prof.W.M.Turski[2013]zwracauwagęnapotrzebęróżnegotłumaczenia,aconajmniejin-terpretowania,terminu„risk management”zależnieodkontekstuużyciaiwskazuje,żewwielusytu-acjachtrafniejszebyłobyokreślenie„panowanienadryzykiem”lub„radzeniesobiezryzykiem”jakobardziejzgodnezcelemtakiegodziałania.

32 BaselCommitteeonBankingSupervisionSound Practices for the Management and Supervision of Operational Risk,takżeGłównyInspektoratNadzoruBankowegoRekomendacjaM.Dokładnierzeczbiorąc,definicjatawminimalnieinnejredakcjizostałaporazpierwszyzaproponowanaw1999r.przezBritishBankersAssociation[BBA,ISDA,RMA,1999].

„Ryzyko operacyjne to ryzyko strat w wyniku niewłaściwego lub błędnego działania pro-cesu, ludzi i systemów lub wpływu wydarzeń zewnętrznych”.


Definicjata,zpunktuwidzenianaukioorganizacjiizarządzaniu,wymagaoceny:

różnicmiędzypojęciem„operacyjne”apotencjalniemożliwymdoużyciapojęciem„operatywne”, kataloguproblemów(ijegowyraźnychgranic)składającychsięnaryzykooperacyjne.

Rozważaniatenależyoderwaćodspecyfikibankowej,myśląoktórejkiero-wałsięKomitetBazylejski.Ryzykooperacyjneprzedstawiaonjakokomplementar-ne wobec ryzyka bankowego, które można uogólnić, traktując jako ryzykogospodarcze,zjakimstykasiękażdypodmiotgospodarczy–organizacja.Wtymkontekście ryzyko operacyjne należy postrzegać jako zagadnienie związane zesprawnościądziałaniaorganizacji.Ztegowzględu,abyocenićdefinicjęzapropo-nowaną przez Komitet Bazylejski,warto odwołać się do klasycznego schematuzarządzania(rys.3.2).

Rysunek 3.2. Ideowy model zarządzania


Oileryzykogospodarczezwiązanejestzfunkcjonowaniemcykluorganiza-torskiegozorientowanegonaceldziałaniaorganizacji,toryzykooperacyjnedotyczykwestii:jakwcykluorganizatorskimwykorzystywanesązasobypodkątemosią-gnięciacelu,awięczuwzględnieniemwymagańnakładanychprzezzarządzanieryzykiemgospodarczym.

Rozważając alternatywę użycia określeń „operacyjne” lub „operatywne”,możnawręczodwołaćsiędooperacjonizmujakokierunkuwmetodologiinauk,wedługktóregoterminyipojęcianaukowemająsensempiryczny,gdymożnajezdefiniować przez opis operacji określających ich zastosowanie [Krzyżanowski,1994,s.47oraz164–199].Przymiotnik„operacyjny”mawięcoznaczać„odnoszącysiędooperacji”,czylidziałańmającychnaceluwykonanieokreślonegozadanianadrodzelogicznychizaplanowanychtransformacji(zasobów)dokonywanychworganizacji.Zkoleiprzymiotnik„operatywny”,wswymźródłosłowieoznacza-jący działanie energiczne, sprawne i skuteczne, odnoszony jest do zagadnienia

Zasoby:• ludzkie• finansowe• fizyczne• informacyjne

Cel

Planowanie Organizowanie

Kontrolowanie Kierowanie

3.2. Dotychczasowe ujęcia ryzyka operacyjnego 59

wszelkiejdziałalnościbieżącejworganizacji,coczynizniegopojęcieszerszeodokreślenia„operacyjny”,wszczególnościwzakresierelacjizotoczeniem[Waters,2001].Wartowtymmiejscuodesłaćdorozważańnadróżnicąmiędzydziałalnościąadziałaniem(zob.rozdz.6).Zarównodziałanie,jakioperacyjnośćsąspecyficzniezwiązanezmanipulowaniemzasobami,natomiastdziałalnośćioperatywnośćzkom-pleksowymfunkcjonowaniemorganizacji.Wkonkluzjinależyprzyjąć,żeokre-ślenie „ryzykooperacyjne” jest sformułowane i interpretowanewdokumentachKomitetuBazylejskiegozgodniezmetodologiąnaukiozarządzaniu,conieoznaczajeszczepełnejakceptacjisamejwyżejpodanejdefinicji.

Odnośniedokataloguproblemówwymienionychwdefinicjiryzykaopera-cyjnego Komitetu Bazylejskiego warto odwołać się do koncepcji analitycznychwłaściwychdlazarządzaniaoperacyjnego,tzn.podejściaprocesowegoorazrelacjiorganizacjizotoczeniem.Wtymkontekścienależyoceniaćnietylkosamądefinicję,aleibędącąjejinterpretacjąlubźródłemjakouogólnieniaklasyfikacjękategoriizdarzeń (7 kategorii) i rodzajów zdarzeńw ramachposzczególnych kategorii(przytoczonojąwtab.3.1).JejznaczeniewPolscepodnosifakt,żeuwzględnionawuregulowaniachnadzorubankowegojestobowiązującadlabanków.Znichzkoleibierze przykładwiele innych podmiotów, i to nie tylko z sektora finansowego.Klasyfikacjataniestetymieszaprzejawyryzykawujęciuprzyczynowymiskutko-wym,awobectegoniespełniapodstawowychwymagańklasyfikacjinaukowej,tj.jasnościispójnościkryteriów.

Zbliżoną klasyfikację, opartą na regulacjach bazylejskich, przedstawili Ja-worskiiZawadzka[2004].Dokonalionipodziałuryzykaoperacyjnegona:

ryzykoocharakterzepersonalnym,związanezkwalifikacjamipersonelu,dostępnościąkadry,celowymilubniezamierzonymidziałaniaminaszkodębanku, ryzykoocharakterzeorganizacyjnym,któremożewynikaćzniewłaściwejstruktury organizacyjnej, zasad funkcjonowania kontroli wewnętrznej,planowania,księgowości, ryzyko o charakterze rzeczowo-technicznym,wynikające z posiadanegoprzezbankwyposażeniatechnicznegoimożliwościprzeprowadzeniaope-racjiniezbędnychdoprawidłowegofunkcjonowania, ryzykomaterialneilosowewynikającezezdarzeńnaturalnych, ryzykoztytułuodpowiedzialnościbanku,związanezbłędamimerytorycz-nymiwobsłudzeklientazewnętrznegoizarządzaniamajątkiem, ryzykozwiązanezobrotempłatniczym, ryzykozakłóceńwsystemieinformatycznym,nabierającekluczowegozna-czeniawdziałalnościkażdegobanku(zapobieganieprzezprzygotowanieplanówkontynuacjidziałalności).


Tabela 3.1. Klasyfikacja rodzajów ryzyka operacyjnego wg Komitetu Bazylejskiego.

Kategorie zdarzeń Rodzaje zdarzeń

1. Oszustwo wewnętrzneStraty z tytułu działań mających na celu zamierzone oszu-stwo, sprzeniewierzenie własności lub obejście regulacji, prawa lub polityki spółki, z wyłączeniem zdarzeń z zakresu różnicowania i dyskryminacji, dotyczące co najmniej jed-nej osoby wewnętrznej

1.1. Działania nieuprawnione

1.2. Kradzież i oszustwo

2. Oszustwo zewnętrzneStraty z tytułu działań mających na celu zamierzone oszu-stwo, sprzeniewierzenie własności lub obejście regulacji, prawa przez osobę trzecią

2.1. Kradzież i oszustwo

2.2. Bezpieczeństwo systemów

3. Praktyka kadrowa i bezpieczeństwo pracyStraty wynikające z działań banku niezgodnych z prawem pracy, przepisami BHP, porozumieniami zawartymi z pra-cownikami lub w konsekwencji wypłat roszczeń z tytułu odszkodowań za wypadki przy pracy oraz zdarzeń z za-kresu mobingu i dyskryminacji

3.1. Stosunki pracownicze

3.2. Bezpieczeństwo środowiska pracy

3.3. Podziały i dyskryminacja

4. Klienci, produkty i praktyka biznesowaStraty wynikające z niezamierzonego lub będącego kon-sekwencją zaniedbania niewypełnienia zawodowych zo-bowiązań w stosunku do poszczególnych klientów (w tym wymagań dotyczących uczciwości i odpowiedzialności) albo też z charakteru lub struktury produktu

4.1. Obsługa klientów, ujawnianie informacji o klientach, zobowiązania względem klientów

4.2. Niewłaściwe praktyki biznesowe lub ryn-kowe

4.3. Wady produktów

4.4. Klasyfikacja klienta i ekspozycje

4.5. Usługi doradcze

5. Uszkodzenia aktywówStraty wynikające z utraty bądź zniszczenia fizycznych aktywów w wyniku klęsk żywiołowych lub innych zdarzeń

Klęski żywiołowe i inne zdarzenia

6. Zakłócenie działalności i błędy systemówStraty wynikające z zakłóceń w działalności i błędów systemów

Zakłócenia systemów

7. Dokonywanie transakcji, dostawa oraz zarządzanie procesamiStraty wynikające z błędów podczas przeprowadzania transakcji lub zarządzania procesami, jak również z relacji z kontrahentami i dostawcami

7.1. Wprowadzanie do systemu, wykonywa-nie, rozliczanie i obsługa transakcji

7.2. Monitorowanie i sprawozdawczość

7.3. Dokumentacja dotycząca klienta

7.4. Zarządzanie rachunkami klientów

7.5. Uczestnicy procesów niebędący klien-tami banku (np. izby rozliczeniowe)

7.6. Sprzedawcy i dostawcy

Źródło: KNF Rekomendacja M33.

33 Zob.teżDyrektywa2006/48/EC(tzw.CRD-capitalrequirementdirective).

3.3. Propozycja ujęcia wg teorii organizacji 61

Wliteraturzeanalizującejiopisującejryzykospotykanesąróżneklasyfikacjeryzyka,alesamozagadnienieryzykaoperacyjnegojesttraktowaneraczejmargi-nalnie,stądniewielepróbklasyfikacjitegorodzajuryzyka.Nietowarzyszytemumetodycznezakreślaniegranicproblematyki,animetodyczneformułowaniekryte-riówklasyfikacji.PrzykłademjestpracaKendalla[2000].Proponujeonnastępującypodział:

ryzykooszustwa,interpretowanejako„zatajenieprawdziwegostanurzeczyprzedosobami,któremająprawojeznać”, ryzykobrakuplanówszerokorozumianejodbudowypokatastrofie, ryzykoregulacyjne,które„wiążesięzmożliwościąponiesieniastratprzezprzedsiębiorstwo,którenieprzestrzegaodpowiednichprzepisówiregulacjiodnoszącychsiędojegodziałalności”, ryzykoutratyreputacji,które„odnosisiędostratwywołanychprzezutratęprzezprzedsiębiorstwodobregoimienia,bezwzględunaczynniki,którejąspowodowały”, ryzykoadministracyjne,rozumianejakoniedostatecznydobórpracowników(wsensieichkwalifikacji),wtymkadryzarządzającej,orazniedostateczneokreśleniezasadiprocedurpowierzonegoimdziałania.

KompleksowyprzeglądrodzajówryzykaprzedstawiawswoichpracachT.Kacz-marek[2003;2006],ztym,żepodkreślićnależy,iżjesttotylkoprzegląd,anieklasyfikacjaporządkująca.

ZciekawychpracprzyczynkowychwartowskazaćksiążkęC.Pritcharda[2001]. Jestonaprzykładem,wjakisposóbzagadnieniaryzykaoperacyjnegosąpodejmo-wanewwielupozycjachliteraturyzawodowej.Poświęconesąoneinnejproblema-tycewiodącej(uPritchardazarządzaniuprojektamiinformatycznymi),dlaktórejryzykojestistotnymczynnikiemsukcesulubporażki.Zperspektywytakiejproble-matykijakprojektyuPritchardazagadnienieryzykajestprzedstawianespecyficznieiwsposóbniepełny.Określenie„ryzyko”niejestnawetopatrywaneprzymiotnikiem„operacyjne”,ażeoniewłaśniechodzi,poznaćmożnatylkozopisuprzejawówryzyka,jakiesąbranepoduwagę.Wwiększymzresztąstopniuniżnaprzejawachryzyka,awięcpośredniojegorodzajach,pracetakiekoncentrująsięnauporząd-kowaniuprocesuzarządzaniapodstawowymobszaremproblemowym(uPritcharda–projektowanie),adopierowdrugimkrokunawkomponowaniuwtenproceselementówzarządzaniaryzykiem.

3.3. Propozycja ujęcia wg teorii organizacjiWkonsekwencjiwadklasyfikacjibazylejskiejmożnadostrzectakżewadydefinicji.Wyartykułowanewniejczynnikiryzykasugerująintencje,którewświetleteoriiorganizacjiizarządzanianależyująćnastępująco:

możliwe są określone zdarzenia wewnętrzne i zewnętrzne zakłócającedziałanieorganizacji,tzn.naruszająceprowadzenieprocesów,


procesysąwokreślonymstopniuizakresiepodatnenazdarzeniazakłócające, określonezasobysąnewralgicznedlautrzymaniaprocesów, organizacjamożeponosićprawnąodpowiedzialnośćzakonsekwencjena-ruszeniaprocesówlubzasobów.

Trzebateżpodkreślić,cowynikazklasyfikacjiKomitetuBazylejskiegoka-tegorii zdarzeń, że cechy zasobówmogą lec u podstawwystępowania zdarzeńzakłócających.Dotyczytozwłaszczaspecyfikizasobówludzkichorazskompliko-waniasystemówinformatycznychiuzależnieniawieluprocesówodtychzasobówisystemów.

Nowadefinicjapowinnauwzględniaćteelementy,tj.znaczeniewybranychprocesów(bomożejednakniewszystkich,atylkokrytycznych)zujęciempodat-nościzasobówpotrzebnychdorealizacjitychprocesów,albowkontekściezagro-żeńzewnętrznychiwewnętrznychmogącychskutecznieograniczyćlubzatrzymaćwykonywaniepewnychprocesów,albospowodowaćstratymaterialneorazodpo-wiedzialnośćprawnązatakiezdarzeniaiichskutki.Propozycjaprecyzyjniejszejdefinicji(utrzymanejwkonwencjizbliżonejdodotychczasowej)brzmi:

Wkonsekwencjitakiejdefinicjiiwnawiązaniudorozważańnadklasyfikacjąbazylejskąwidocznajestpotrzebadokonaniasystematycznejklasyfikacjiryzyka.Takąautorskąpropozycjęujmujątabele34 3.2 i 3.3.Kryteriazaproponowanejkla-syfikacjiodnosząsiędotrzechelementówprzejawianiasięryzyka:

charakteruposzczególnychprocesówrealizowanychworganizacji, rodzajówzagrożeń,któremogąoddziaływaćzakłócająconaprocesy, podatnościnazagrożenia–organizacjiprocesóworazposzczególnychro-dzajówzasobówniezbędnychdlaprowadzeniatychprocesów 35.

Kwestięprocesówujętowklasycznympodzialenaprocesypodstawowe,pomocnicze i zarządzania [Dahlgaard, Kristensen, Kanji, 2004]. Równocześnieogółprocesówpotraktowanojakoreprezentacjęczynnikówwewnętrznegozorga-nizowania,uzupełniającjeokategorięczynnikówzewnętrznychzwiązanychzod-działywaniemotoczenianaorganizację.

34 Klasyfikacjapodanawtabelach3.2 i 3.3jestgłównymwkłademautoradonauki,obokusta-leniazasadBCMnatlezasadzarządzaniaryzykiemoperacyjnym.Pierwszawersjaklasyfikacjizostałaopublikowanaw[Zawiła-Niedźwiecki,2010b],anastępniekilkukrotnieprzedstawionanakonferen-cjachnaukowychzdyscyplinekonomiiorazfinansówcelemupowszechnieniategoujęcia(dokonanegowświetleteoriiorganizacji)jakouzupełnieniaujęciaBaselII.

35 Szczegółowącharakterystykęmaterializowaniasięryzykawformiezakłóceńprocesówjakointerakcjizagrożeńzpodatnościamiorganizacjiomówionowrozdziale5.

Ryzyko operacyjne to ryzyko strat materialnych i reputacyjnych oraz odpowiedzialności prawnej, wynikających z niedostosowania lub zawodności procesów i niezbędnych dla nich zasobów (osobowych, materialnych, informacyjnych i finansowych), a powstają-cych w wyniku zakłóceń będących następstwem oddziaływania zagrożeń wewnętrznych i zewnętrznych.


Tabe

la 3

.2. A

utor

ska

prop

ozyc

ja k

lasyf

ikacj

i rod

zajó

w ry

zyka

ope

racy

jneg

o

PODA

TNOŚ

CI

Spra

wno

ść o

pera

cyjn

a

ZAGROŻENIA

Otoc

zeni

eRy

zyko

kat

astro

f nat

uraln

ych

Ryzy

ko te

rrory

zmu

Ryzy

ko ze

wnę

trzne

go za

kłóce

nia

funk

cjon

alneg

o śr

odow

iska

prac

y

Proc

esy

pods

taw

owe

Ryzy

ko za

kłóce

nia

fizyc

zneg

o śr

odow

iska

prac

y Ry

zyko

wew

nętrz

nego

zakłó

ceni

a fu

nkcj

onaln

ego

środ

owisk

a pr

acy

Ryzy

ko za

kłóce

nia

tech

nicz

nego

(a p

ozain

form

atyc

zneg

o) ś

rodo

wisk

a pr

acy

Ryzy

ko za

kłóce

nia

info

rmat

yczn

ego

środ

owisk

a pr

acy

Proc

esy

pom

ocni

cze

Obszary materializowania się ryzyka (jako wyraz bezpieczeństwa zasobów

i zorganizowania)

Post

ulat

y or

gani

zacj

i ide

alne

j (ja

ko w

yraz

cel

u za

rząd

zani

a)

Skut

eczn

y Ef

ekty

wny

(o

ptym

alny

or

gani

zacy

jnie

)

Racj

onal

ny

(opt

ymal

ny

kosz

tow

o)Be

zpie

czny

Pow

tarz

alny

Zaso

by

osob

owe

Ryzy

ko b

raku

ko

mpe

tenc

ji

Ryzy

ko b

raku

re

zerw

os

obow

ych

Ryzy

ko

flukt

uacj

i kad

r

Ryzy

ko re

latyw

izmu

inte

rpre

tacj

iRy

zyko

ruty

ny

(sko

stni

enia)

Ryzy

ko zł

ej w

oli

Zaso

by

mat

eria

lne

Ryzy

ko b

raku

fu

nkcj

onaln

ości

Ryzy

ko b

raku

reze

rw m

ater

ialny

chRy

zyko

ubo

czny

ch

skut

ków

Ryzy

ko

zuży

wan

ia się

Zaso

by

finan

sow

eRy

zyko

niet

rafn

ości

w

ydat

ków

Ryzy

ko n

adm

ierny

ch w

ydat

ków

Ryzy

ko w

ycze

rpan

ia śr

odkó

w

Zaso

by

info

rmac

yjne

Ryzy

ko b

raku

pe

łnej

treśc

iRy

zyko

nien

adąż

ania

za

rozw

ojem

Ryzy

ko

nied

ostę

pnoś

ciRy

zyko

zn

ieksz

tałce

nia

Proc

esy

za

rząd

zani

aZo

rgan

izow

anie

Ryzy

ko in

cyde

ntu

(aw

arii)

Ryzy

ko b

raku

pot

encj

ału

or

gani

zacy

jneg

o

Ryzy

ko p

rym

atu

bezp

iecze

ństw

a na

d sk

utec

znoś

cią

Ryzy

ko b

rakó

w

Źród

ło: n

a po

dsta

wie:

[Zaw

iła-N

iedźw

iecki,

200

8].


Wtymukładzie,zagrożenia–jakoprzejawyryzyka–potencjalnieoddziały-wająnaorganizacjęjakocałość(awtedyujmowanesąjakoczynnikidziałającezzewnątrz,tj.zotoczenia)lubnaposzczególnekategorieprocesów(podstawo-wych,pomocniczych,zarządzania).

Wodniesieniudooddziaływaniaotoczenianacałośćorganizacjiorazwod-niesieniudoprocesówpodstawowych,zuwzględnieniemzagrożeńipodatności,wskazanokompleksowe rodzaje ryzyka.Oczywiście,wprzypadku rozważaniasytuacjikonkretnejorganizacjiczęśćztychrodzajówryzykamożeniewystępować,bądźzracjinikłegoznaczeniadanegozagrożenia,bądźdużejnanieodporności.Naprzykładfirma informatycznaprowadzącausługowyośrodekprzetwarzaniadanych(usługaoutsourcingu)możeniebyćwystawionanaryzykobrakuzasilaniazewzględunaposiadanie jego zapasowego źródławpostaci generatoraprądunapędzanegopaliwempłynnym.

Natomiastwodniesieniudoprocesówpomocniczychorazdozasobówprzy-jętozałożenie,żeprocesytepolegająnaudostępnianiuzasobówkomórkomorga-nizacyjnymprowadzącymprocesypodstawowe.Analogicznieprzyjęto,żeprocesyzarządzaniabazująnaswoistejwartościdodanejdozasobów,jakąjestzorganizowa-niewewnętrzneprzedsiębiorstwa,awięcnastrukturzeorganizacyjnejiuporządko-wanychrelacjachmiędzykomórkamiróżnychszczebliiichstanowiskami.

Kwestiępodatnościorganizacjinazagrożeniawrelacjidoprocesówpomoc-niczych i zarządzania odniesiono do postulowanych cech systemu idealnego:skuteczności,efektywności,racjonalności,bezpieczeństwa,powtarzalności.

Poszczególnerodzajeryzykaoperacyjnegowskazanewtabeli3.2zostałydo-kładniejscharakteryzowanewtabeli3.3wukładzieopisu:

naturyprzyczyndanegorodzajuryzyka, mechanizmu,wgjakiegodochodzidojegospełnienia, rodzajuskutków,jakietakieryzykopowoduje, typowychprzykładówskutków.Opis takimabyćpomocnywukierunkowaniubadańnadposzczególnymi

rodzajamiryzykaoperacyjnegoorazpraktycznegowskazania,jakieobszaryidys-cyplinywiedzymogąbyćwtymprzydatne.

Tabela 3.3. Charakterystyka rodzajów ryzyka operacyjnego

Przyczyny Mechanizm realizowania Skutki Przykłady

Ryzyko katastrof naturalnych

Naturalne, przyrodnicze Opisany przez nauki przy-rodnicze

Od przyrodniczych (zmia-ny w środowisku natural-nym), przez społeczne, po dotyczące pojedyn-czych osób, podmiotów czy lokalizacji

• trzęsienie ziemi• powódź• huragan• rozległy pożar• nawalne opady

deszczu, gradu, śniegu



Ryzyko terroryzmu

Społeczne i psycholo-giczne

Opisany przez nauki spo-łeczne

Od społecznych po do-tyczące pojedynczych osób, podmiotów czy lokalizacji

• napad, porwanie• szantaż

Ryzyko zewnętrznego zakłócenia funkcjonalnego środowiska pracy

Zewnętrzne wobec funk-cjonowania organizacji, często nieznane organi-zacji

Bez bezpośredniego związku z normalną dzia-łalnością organizacji, od-cinający ją jednak od powiązań zewnętrznych

Niedestrukcyjne ograni-czenie możliwości nor-malnego działania

• brak dostępu do sie-dziby

Ryzyko wewnętrznego zakłócenia funkcjonalnego środowiska pracy

Zaniedbania w zakresie stosunków i warunków pracy

Zerwanie relacji wewnętrz-nych (między komórkami lub stanowiskami) warun-kujących przebieg pro-cesów w organizacji

Niedestrukcyjne ograni-czenie możliwości peł-nej normalnej realizacji funkcji organizacji

• strajk• wypadek pracownika

Ryzyko zakłócenia fizycznego środowiska pracy

Niedostatek zabezpieczeń przed czynnikami oddzia-ływania na środowisko pracy

Przekroczenie granic to-lerancji

Ograniczenie możliwości normalnej pracy w odnie-sieniu do pracowników lub urządzeń o specjal-nych wymaganiach

• za wysoka tempera-tura z powodów po-godowych

• za wysoka tempera-tura z powodu awarii technicznej

Ryzyko zakłócenia technicznego środowiska pracy

Zużycie lub wada ukryta Postępujące pogarszanie parametrów jakościo-wych lub nagłe ich prze-kroczenie

Ograniczenie możliwości normalnej pracy

• awaria urządzenia

Ryzyko zakłócenia informatycznego środowiska pracy

Podobnie jak wyżej, dotyczy specyficznych przypadków ryzyka technicznego związanych z systemami informatycznymi

• awaria komputera

Ryzyko braku kompetencji

Niewłaściwy dobór pra-cownika do zadań lub nienadążanie pracownika za dynamiką wyzwań zawodowych

Nieprofesjonalna ocena przesłanek działania lub podejmowania decyzji

Błędne działania lub decy-zje o skutkach prawnych, materialnych, finanso-wych, reputacyjnych

• nieświadomie błędne lub pochopne działa-nie pracownika

Ryzyko braku rezerw osobowych

Niewłaściwe planowanie zadań i zasobów

Stopniowe lub nagłe wy-czerpanie potrzebnej ob-sady osobowej

Niemożność pełnego wy-konywania zadań

• nieoczekiwana absencja• niemożność wykona-

nia wszystkich zadań



Ryzyko fluktuacji kadr

Niewłaściwe warunki pra-cy, niewłaściwa ocena sytuacji na rynku pracy

Poszukiwanie przez pra-cowników innego miej-sca zatrudnienia

Niemożność zapewnie-nia odpowiedniej jakości, rozmiaru lub wydajności wykonywanej pracy

• nieoczekiwana dymisja• zmiany obsady częst-

sze niż okres potrzebny na opanowanie zadań na stanowisku pracy

Ryzyko relatywizmu interpretacji

Brak jednoznacznej ko-munikacji lub niedosta-tek informacji

Działania rozpoczynane z pozycji obiektywnie właściwych, ale prowa-dzone w kierunku lub w sposób nieodpowiedni

Działania nieadekwatne do obiektywnych oko-liczności

• nieświadomie błędne lub pochopne wyko-nanie polecenia

Ryzyko złej woli pracownika

Niewłaściwy pod wzglę-dem etycznym dobór pracowników do odpo-wiedzialnych zadań

Wykorzystanie uprawnień stanowiska pracy lub niedostatecznej ochro-ny/kontroli do działań sprzecznych z intere-sem pracodawcy

Straty materialne lub re-putacyjne w działalności pracodawcy

• rozmyślnie niepopraw-ne działanie pracow-nika

• sprzeniewierzenie po-wierzonych środków

Ryzyko rutyny (skostnienia)

Długotrwałe wykonywa-nie tych samych zadań lub czynności

Stopniowe wykształcanie działania odruchowego

Działanie odruchowe w sytuacji, która wymaga postępowania szczegól-nego

• kierowca jadący „na pamięć” mimo zmiany zasad ruchu

Ryzyko braku funkcjonalności

Granice funkcjonalności organizacji

Niemożność wykonania nowego zadania, pozor-nie podobnego do po-przednich

Niemożność wywiązania się z zadania

• przyjęcie zamówienia, które na pewnym eta-pie realizacji nie może być kontynuowane

Ryzyko braku rezerw materialnych


Brak zasobów stwier-dzony już w trakcie wy-konywania zadania


• nieoczekiwany brak komponentów w pro-dukcji

Ryzyko ubocznych skutków

Niedostateczna znajo-mość kontekstu zadania

Działanie powoduje dodat-kowe i niekoniecznie od razu jawne efekty o nie-korzystnym charakterze

Straty materialne lub re-putacyjne i odpowie-dzialność za straty stron trzecich

• nieoczekiwany szko-dliwy efekt planowej działalności

Ryzyko zużywania się

Ograniczona trwałość po-szczególnych zasobów

Zużywanie się zasobów prowadzące do przekro-czenia granic tolerancji

Niemożność wywiąza-nia się z zadania

• utrata parametrów urzą-dzenia wytwórczego



Ryzyko nietrafności wydatków

Niedostatek kompetencji Błędna ocena przesłanek decyzyjnych

Straty jako wynik błęd-nych decyzji

• chybiona inwestycja

Ryzyko nadmiernych wydatków

Niedostatek kompetencji Błędna ocena przesłanek decyzyjnych

Zawyżony poziom wy-datków

• błąd w negocjacjach handlowych

Ryzyko wyczerpania środków

Niewłaściwe planowanie zadań i zasobów finan-sowych

W toku działania zasoby finansowe są wyczer-pywane bez możliwości odpowiednio szybkiego ich uzupełnienia

Utrata płynności • niemożność dokona-nia zakupu

Ryzyko braku pełnej treści informacji

Brak kompetencji lub brak dostępu do właści-wych źródeł informacji

Brak informacji w toku podjętego działania wy-magającego takiej infor-macji


• niepełna dokumenta-cja projektowa

Ryzyko nienadążania informacji za rozwojem

Brak kompetencji lub nie-dostatki w aktualizacji informacji

Brak aktualnej informacji w toku podjętego dzia-łania wymagającego ta-kiej informacji

Niemożność wywiązania się z zadania lub wyko-nanie go w warunkach niepełnej informacji

• projekt inwestycji na terenie, który właśnie został przeznaczony na inne cele

Ryzyko niedostępności informacji

Brak dostępu do właści-wych źródeł informacji

Brak informacji w toku podjętego działania wy-magającego takiej in-formacji

Niemożność wywiązania się z zadania lub wyko-nanie go w warunkach niepełnej informacji

• niedostępność infor-macji od konkurentów rynkowych

Ryzyko zniekształcenia informacji

Brak dostatecznych kom-petencji

Błędne interpretowanie informacji

Zła lub ograniczona ja-kość działania

• prognozy ekonomiczne

Ryzyko incydentu (awarii)

Podatności w zorganizo-waniu działania lub w za-sobach organizacji

Interakcja zagrożeń dla prawidłowego działania z podatnościami

Niemożność utrzymania dotychczasowej organi-zacji działania

• awaria linii produk-cyjnej

Ryzyko braku potencjału organizacyjnego

Brak dostatecznych kom-petencji w zakresie or-ganizacji i zarządzania


Niemożność lub ograni-czona zdolność do wy-wiązania się z zadania

• zakłócenia w złożo-nym projekcie

3. Ryzyko operacyjne i jego klasyfikacje


Ryzyko prymatu bezpieczeństwa nad skutecznością

Formalizm w interpretacji przepisów i standardów dobrych praktyk

Coraz staranniejsze prze-strzeganie reguł formal-nych doprowadza do ograniczania, a nawet sparaliżowania tego dzia-łania

Nieefektywne działanie • strajk „włoski”

Ryzyko braków

Niewłaściwa organizacja działania (obejmująca także nieodpowiednie za-soby)

Działalność jest nieusta-bilizowana, nieprecyzyjnie zorganizowana, korzysta z niepewnych zasobów

Wyniki działania nie uzy-skują oczekiwanych pa-rametrów jakościowych

• wadliwy wyrób


4. Proces zarządzania ryzykiem operacyjnym Pojęcie „organizacja” jestwpracyużywanewznaczeniuprzedmiotowym(rzeczo-wym).WjegointerpretacjiopartosięnapodejściukonceptualnymL.Krzyżanow-skiego,wgktórego„przedmiotemzainteresowanianaukoorganizacjiizarządzaniusąwszelkie formyzorganizowanegodziałania ludzi,wszczególnościwzględniewyodrębnionezotoczenia,zinstytucjonalizowaneczęścicałościtakiegodziałania(systemy),zwane»organizacjami«(wznaczeniurzeczowym)”[Krzyżanowski,1994,s. 47].Sątozbioryelementów,powoływanychzwarstwymaterialnej(zasobypozaosobowe)orazzwarstwyspołecznej(wtymludzie)systemuspołecznego,askładająsięnanie[Krzyżanowski,1994,s.164–199]:

cele,tj.rezultatyprzewidywanedoosiągnięciawpewnymczasie, komórkiorganizacyjnewykonawcze(operacyjne)ozdolnościtransformacjizasobówwprodukty(usługi), transformacyjneoddziaływaniekomórekorganizacyjnychnazasobyioto-czenie, aparat zarządzający nadbudowany nad komórkami organizacyjnymiwykonawczymi, stosunkiorganizacyjneokreślająceregułyformowaniakomórek,tj.regułypodporządkowywaniaiwspółdziałania, kierowniczeoddziaływanieinformacyjno-decyzyjneaparatuzarządzające-gozkomórkamiorganizacyjnymi, wielorakierelacjezotoczeniem.

Zarządzanie operacyjne.Analizującoperacje,możnaokreślić,czymorgani-zacjasięzajmuje.„Operacjesądziałalnością,naktórąskładasięcałaaktywnośćzwiązanabezpośredniozwytwarzaniemproduktu,którymmogąbyćdobrarze-czowelubusługi”[Waters,2001,s.20].Operacjeukładająsięwprocesy.Proceswujęciuorganizacyjnymto„logicznyciągnastępującychposobielubrównoległychczynności,któryprowadzidospełnieniaoczekiwańklienta,zarównowewnętrznego,jak izewnętrznego,przezdostarczeniemuwyrobu,usługi,dokumentacjizgod-nychzjegowymaganiami”[Skrzypek,2003,s.146].

4. Proces zarządzania ryzykiem operacyjnym 70

Zarządzanieoperacyjnezajmujesięsposobemwykonywaniaoperacji.„Jestfunkcjązarządzaniaodpowiedzialnązawszystkiedziałaniabezpośredniodoty-czącewytwarzaniaproduktu:zagromadzenierozmaitychskładnikówwejściowychiprzetwarzanieichwplanowaneproduktykońcowe”[Waters,2001,s.32].

Należywtymmiejscupodkreślić,żespotykanepojęcie–zarządzanieopera-tywne– jest czym innym.Odwołuje sięonodookreślenia „operatywny”, któreoznaczadziałanieenergiczne,skuteczneisprawne.Zarządzanieoperatywneod-nosisiędodziałalnościbieżącej,obejmujewobectegonietylkooperacyjnetrans-formowaniezasobówwwyroby/usługi,aleikształtowaniepozostałychaspektówdziałalnościorganizacji[Siwek,Onyszczuk,Bagiński,2006].

4.1. Organizacja zarządzania ryzykiem operacyjnym Zarządzanie ryzykiemoperacyjnym jest bezpośrednio związane z funkcjonowa-niemorganizacjiizprocesamiskładającymisięnajejdziałalność.Przejawytegoryzykasąbieżącymprzedmiotemzarządzaniaitoniezależnieodświadomościte-gofaktupostroniekadrykierowniczej.Wprzypadkuustabilizowanychprocesówdziałaniaorganizacjimożnanawetstwierdzić,żeradzeniesobiezryzykiemopera-cyjnymjestjednymzgłównychzadańmenedżerskich,jakożezarządzaniewtakimprzypadku polega przeważnie na zajmowaniu się wyjątkami/odstępstwami odzaplanowanegodziałania lub incydentami.Wzwiązkuz tymzarządzanie ryzy-kiemoperacyjnym,bardziejniżwprzypadkuinnychgrupryzyka,jestzintegrowanezmechanizmemzarządzania.Powstajewobectegoważnydylemat:czyinailezarządzanieryzykiemoperacyjnymwyłączaćzzarządzaniaogólnegoiczynićpro-cesemautonomicznym.ByłotoprzedmiotemobserwacjiautoraopisanychwZa-łączniku.Zwłaszczaanalizapraktykisektorafinansowego(wzakresieryzykaoperacyjnegosłużącejbliskąanalogiądlainnychsektorówgospodarczych),wktó-rymfunkcjonujenakazwydzielonegozarządzaniaryzykiemwramachustalaniatzw.adekwatnościkapitałowejwobecryzyka,wskazuje,żezarządzanieryzykiemoperacyjnymprowadzonejestwdwunurtach.Wpierwszym–ogólnym–jestonotrudnądowydzielonejobserwacjiczęściązarządzaniabieżącego.Wjegoramachrozwiązywanesąkwestieiproblemybędąceskutkamispełnianiasięryzyka.Dzia-łaniazarządczemającharakterrutynowychreakcji,analizsytuacji,ocenidecyzji.Sąonejednaktymskuteczniejsze,imbardziejrozbudowanyjestdruginurtzarządza-niaryzykiemoperacyjnym.Maoncharakterautonomicznyzwiązanywyłącznieztymrodzajemryzyka,bazujenastrukturachzadaniowych(czasowodedykowa-nych),działainterwałowo(praceokresowe).Pierwszynurtwporównaniuzdrugimopierasięwwiększymstopniunadziałaniachintuicyjnychisytuacyjnych.Drugijestukierunkowanynapogłębionąanalizęiwypracowywanierozwiązańprecy-zyjnieodnoszącychsiędoryzyka.Najkorzystniejjest,gdypierwszynurtczerpiezdrugiego.Dalszerozważaniaodnosząsiędodrugiegonurtu.

Zarządzanieryzykiemobejmuje[Jajuga,2007; Matkowski,2006]: ustanowieniededykowanejlubzadaniowejstrukturyorganizacyjnejookre-ślonychzadaniachikompetencjach,

4.1. Organizacja zarządzania ryzykiem operacyjnym 71

zdefiniowanieobowiązującychzasadpodejmowaniaproblematykiryzyka,opartychnaogólnychrekomendacjach(np.branżowychtypuBaselII)lubwewnętrznychdoświadczeniachdanegopodmiotu, zestawmetodidziałańzmierzającychdokontrolowaniawpływuczynni-kówryzykanafunkcjonowanieorganizacjiisłużącychdopodejmowaniawtymceluracjonalnychdecyzji.

Wzakresieinstytucjonalizacjifunkcjizarządzaniaryzykiemważnejestokre-ślenierolipracownikówikierownictwa.Wszystkieszczebleorganizacji,czylipra-cownicy,kierownicy,dyrektorzy,zarządorazradanadzorcza,powinnimiećzakresobowiązkówzwiązanyzsystememzarządzaniaryzykiem.Wtensposóbmogąbyćprzygotowanepodstawyumożliwiająceaktywnyudziałpracownikówikierownictwaorganizacjiwoperacyjnymograniczaniuryzyka.Uwarunkowaniatezostałyprzed-stawionenarysunku4.1.

Rysunek 4.1. System zarządzania ryzykiem

Źródło: [Matkowski, 2006, s. 170].

Komitet ds. ryzyka

Zarząd

Rada Nadzorcza

Menedżer ds. ryzyka

Korespondenci (historia strat)

Osoby raportujące KRI (bieżący monitoring)

Eksperci (ocena scenariuszy)

METODY INDENTYFIKACJI, POMIARU I MONITOROWANIA

Modele ilościowe• straty wewnętrzne• straty zewnętrzne

Kluczowe wskaźniki ryzyka• portfel procesów• zmiany w strukturze

organizacyjnej

Metody jakościowe• analiza scenariuszy• mapy ryzyka


Podziałobowiązkówmiędzyposzczególneszczeble,komórkiorganizacyjneipracownikówwyglądanastępująco.Radanadzorczaizarządpowinny[Matkowski,2006]:

wiedziećonajważniejszychrodzajachryzyka,wobecjakichstoiorganizacja, znaćpotencjalneskutkiodchyleńodzakładanychwskaźnikówdlawartościprzedsiębiorstwa, zadbaćoodpowiednipoziomświadomościwewnątrzorganizacji, wiedzieć,naileorganizacjajestprzygotowanadosytuacjikryzysowej, zdawaćsobiesprawęzwagizaufaniagrupnaciskudlaorganizacji, przestrzegaćzasadkomunikowaniasięześrodowiskiem, otrzymywać informacjena temat tego,czyproceszarządzaniaryzykiemfunkcjonujewłaściwie, przedstawić czytelną strategię zarządzania ryzykiem,w tymkoncepcjędziałańorazpodziałobowiązków.

Jednostkiorganizacyjnepowinny[Matkowski,2006; Blim,Byczkowski,Za-wiła-Niedźwiecki,2005]:

miećświadomośćzagrożeń,jakiewystępująwdziałalności,zaktórąodpowia-dają,iichpotencjalnychskutkówdlainnychobszarówdziałalności,atakżepotencjalnych konsekwencji, jakie zdarzenia w innych obszarach mogąmiećdlaichwłasnejdziałalności; dysponować wskaźnikami, które umożliwią im stałą kontrolę wynikówkluczowychdziałańgospodarczychifinansowychorazpostępówwreali-zacjizałożonychcelów,atakżeidentyfikacjęproblemów,którewymagająinterwencji; dysponowaćsystemami,któresygnalizująodchyleniaodzałożeńbudżeto-wychlubprognoznatyleczęsto,bymożliwebyłopodjęcieodpowiednichdziałań, systematycznie i niezwłocznie informować ścisłe kierownictwo owszel-kichnowychzagrożeniachlubniesprawdzeniusięstosowanychśrodków.

Pracownicypowinni[Staniec,Zawiła-Niedźwiecki,2008]: rozumiećswojąodpowiedzialnośćzadanyrodzajryzyka, wiedzieć,wjakisposóbmogąsięprzyczynićdostałegodoskonaleniapro-cesuzarządzaniaryzykiem, rozumieć,żezarządzanieryzykiemtoprzedewszystkimświadomośćza-grożeń, systematycznie i niezwłocznie informować ścisłe kierownictwo owszel-kichnowychzagrożeniachlubniesprawdzeniusięstosowanychśrodków.

Warunkiemskutecznościzarządzaniaryzykiemjestzastosowaniepodejściaprocesowego(rys.4.2)ipełnejegozintegrowaniezewszystkimiprocesamizarzą-dzaniaorazoparciesięwanalizachryzykanainterdyscyplinarnejwiedzyojegoprzyczynach,mechanizmach i skutkach[Conrow,2000; Tarczyński,Mojsiewicz,

4.1. Organizacja zarządzania ryzykiem operacyjnym 73

2001].Dodatkowąweryfikacjępoprawnościiskutecznościidentyfikowaniaczyn-nikówryzyka,określaniapoziomuryzykaorazneutralizowaniago,awreszciezarządzanianim,stanowiokresowyaudyt,codozasadyzgodnyzwszelkimitypo-wymiregułamidoskonalącejorganizacjękontroliwewnętrznej,awmodeluza-rządzania ryzykiemstanowiący formękontrolnego sprzężeniazwrotnego,którepozwalanadaćprocesowikształtspiralidoskonalenia[Forystek,2005].

Rysunek 4.2. Funkcjonalny model zarządzania ryzykiem

Źródło: [Conrow, 2000].

Wpraktyce,poszczególnedziałaniaprocesuzarządzaniaryzykiemprzenikająsięwzajemnie,aponadtonależypamiętać,żeprocestenniejestwypreparowanyzinnychprocesówzarządzania,leczsilnieznimizintegrowany.Mająctonauwadze,możnazarządzanieryzykiempodzielićnaetapyikroki,cojestpotrzebnerównieżdotego,żebyzapewnićfunkcjonowanieprocesuzarządzaniaryzykiemnazasa-dziespiralidoskonalenia[Loader,2006,s.123–125].

I Etap–Ocenaryzyka: identyfikacjaryzyka, analizaryzyka, oszacowanieskaliryzyka, ustaleniehierarchiiryzyka.

II Etap–Aktywnepodejściedoryzyka(określaneteżjakowpływanienary-zykolubmanipulowanieryzykiem):

eliminowanie(unikanie)ryzyka, ograniczanieryzyka(wtymprewencja), segmentowanieryzyka, podziałryzyka, transferryzyka,

Planowanie

Identyfikacja ryzyka

Ocena ryzyka

Manipulowanieryzykiem

Monitorowanieryzyka

Analizaryzyka

Sprzężeniezwrotne

Dokumentowanie w ramach zarządzania ryzykiem


finansowanieryzyka, (awpewnychprzypadkach)tolerowanieryzyka.

III Etap–Monitorowanieryzyka: podejściespołeczneskierowanenazagrożeniadlaczłowieka, podejściegospodarczenakierowanenasprawnośćfunkcjonowaniaorganizacji, systematycznakontrola, sterowanieryzykiem.

4.2. Identyfikacja, analiza i ocena ryzyka operacyjnegoWzarządzaniuryzykiemnajważniejszejesttrafneiwyczerpująceidentyfikowanierodzajówryzyka,najakienarażonajestorganizacjaijejdziałalność.Następniezaśstaranneanalizowaniegoiszacowanie.Pożądanąsytuacjąjestposiadaniestaty-styk o odpowiedniejwiarygodności, opisujących rozkładwystępowania zjawiskzakłócających.Wpraktycejednakzdarzasiętowodniesieniudoniewielurodzajówzjawisk,choćnp.wbankowościKomitetBazylejskizarekomendował,awPolsceKomisjaNadzoruFinansowegopoleciła,podmiotomnadzorowanymgromadzenietakichstatystykwramachsystematycznejanalizyryzyka[Matkowski,2006; Kra-sodomska,2008].Wsytuacjigdystatystyktakichbrak,pozostajeocenapolegającanaszacowaniuczynnikówryzyka.Należyprzytympodkreślić,żepodmiotowyso-kiejkulturzeorganizacyjnej,niezależnieodwymagańorganównadzoru,zwłasnegoprzekonaniagromadziianalizujedanestatystycznedotycząceorganizacjipracyiwarunkówjegodziałania.Jesttotakżespecyficznyelementzarządzaniawiedząorganizacji[Tabaszewska,2012].

Wszerokimujęciuanalizaryzykaoperacyjnegorozpoczynanajestodstra-tegicznej oceny podatności najbardziej istotnej działalności biznesowej, zwanejkrytyczną,nazagrożenia.OcenatakajestokreślanamianemBIA(business impast analysis)[Charters,2011; Gołąb,2009],azaczynanaodidentyfikacjigłównychprocesówi ichszczególniekrytycznychelementóworazczynników,któremogąnegatywnietękrytycznośćwykorzystać.Dlakażdegokrytycznegoprocesubizne-sowegoanalizaBIAdostarczaprzedewszystkimnastępująceinformacje[Kaszubski,Romańczuk,2012]:

wysokośćpotencjalnychstratfinansowychprzedstawionychnarastającowprzedzialeczasu(zakładasię,żeorganizacjapowinnaznaćszacunkowąwartość,ustalonązwłaszczanapodstawiedoświadczeńzprzeszłości,stratponoszonychnazasadzieutraconychkorzyścizakażdągodzinęprzestoju,dodatkowodzielonychprogowonaokresyoskokowymwzrościetychstrat); poziompotencjalnychstratniepoliczalnychwskalijednolitejdlawszyst-kichprocesów(zakładasię,żeorganizacjapowinnadążyćdowyobrażeniasobiestratwizerunkowychiichoszacowaniawartościowegonazasadzieutraconychkorzyściwdługoterminowymhoryzoncie);

4.2. Identyfikacja, analiza i ocena ryzyka operacyjnego 75

maksymalnydopuszczalnyczastrwaniaprzerwywfunkcjonowaniuprocesu–inaczejczas,poktórymprocesmusibyćwznowionynazałożonymakcep-towalnympoziomiejakości(zakładasię,żedecydenciorganizacjiwtokuanalizypowinnisprecyzowaćtakiewymaganiewstosunkudonastępnieprojektowanychrozwiązańzapewnianiaciągłościdziałania,pamiętając,żeoznaczatotakżeokreślonypoziomwydatkównaterozwiązania); minimalnyfunkcjonalniepoziomodtworzeniaprocesu–inaczejzałożonyakceptowalnypoziomiejakościwznowieniaprocesupoawarii(niejesttojednoznacznezprzywróceniempierwotnegopoziomujakości); czas,poktórymprocesmusizostaćodtworzonynanormalnympoziomie(wtymprzypadkutakżezakładasię,żedecydenciorganizacjiwtokuana-lizypowinnisprecyzowaćtakiewymaganiewstosunkudonastępniepro-jektowanychrozwiązańzapewnianiaciągłościdziałania,pamiętając,żeoznaczatotakżeokreślonypoziomwydatkównaterozwiązania); specyfikację zasobów niezbędnych dla utrzymywania sprawności proce-sówkrytycznych,zwanąMinimalnąAkceptowalnąKonfiguracją(MAK).

Wkontekściezatwierdzonychprzezkierownictwoorganizacjiustaleńzana-lizyBIAmożnaprzystąpićdoanalizyryzykadużoskuteczniejzorientowanejnaobszarydziałalnościjużwskazanejakokluczowedladziałalnościorganizacji.Ana-lizatawpierwszymrzędzieopierasięnaidentyfikacjirodzajówryzyka,przyczymcorazczęściejmówisięoidentyfikacjirodzajówzagrożeń,przyjmującżezagroże-niejestkonkretnymdlaokreślonychwarunkówdziałaniaorganizacjiprzejawemdanego rodzaju ryzyka.Celemprzeprowadzenia identyfikacji stosuje się szeregmetoditechnik,np.listypytańkontrolnych,diagramyoddziaływań,mapowanieprocesów i systemów, rejestry incydentów i zdarzeń, oceny eksperckie,metodykreatywne,scenariuszowe.Ichszerokiwachlarzomawiają:Can[1995],Kosieradzka[2013],Stabryła[2012].

Analiza ryzykama skutkowaćmożliwie precyzyjnymokreśleniemnaturyzidentyfikowanychrodzajówryzykaiwskazaniemrodzajówzagrożeń,jakiesąwy-razemryzykawswoistychwarunkachdziałaniaorganizacji.Wszczególnościopisnaturyryzyka/zagrożeńpowinienodnosićsiędoichprzyczyn(źródeł),mechanizmuspełnianiasię(wtympodatnościorganizacji)orazskutków(rys.2.2itowarzyszącymuopis).

Wtymmiejscuwartopowrócićdowątku,którymzakończonopodrozdział2.4. Chodzioto,żezdecydowanawiększośćrodzajówryzykaoperacyjnego(patrztab.3.2 i 3.3)macharakterpozafinansowy.Wtakichprzypadkachsposobyanalizo-waniaizwłaszczametodypomiaruryzykapolegającenaoszacowaniufinansowymmająograniczonezastosowanie.Przedewszystkimzaśniesłużąbezpośredniemupomiarowiryzyka,ajedynieokreśleniuadekwatnościkapitałowejjakopoziomuśrodkówfinansowych,któreorganizacjapowinnaposiadać,abyudźwignąćfinan-sowekonsekwencjespełnieniasięryzyka.Wobectegometody,któresąodpowiedniedoanalizowaniaryzykaoperacyjnegomajągłówniecharakterjakościowy(opiso-wyikwalifikatywny).Dziejesiętakdlatego,żenaturatychrodzajówryzykajestwielorakaikażdesprowadzaniejejdowspólnegomianownika,mówiącpopular-nie,czyliposzukiwaniejednejmiaryoceny,jestbądźniemożliwe,bądźprowadzi


dodalekoposuniętychuproszczeń. Jest toważnymargumentemzaposługiwa-niemsięmetodamijakościowymi,opisowymiwfazieanalitycznejorazkwalifi-katywnymiwfazieoszacowania.Rozważeniawymagawobectegowartośćmetodjakościowych,któreniejednokrotnietraktowanesąjako„gorszejjakości”odmetodilościowych.Poglądytegorodzajureferujenp.Woźniak[2010],aważnąpolemikęwskazującą,żezarzutytesąnieuzasadnione,zgłaszaCzakon[2009].Autorni-niejszej rozprawypodzielapogląd tegoostatniego, opierając się dodatkowonaargumentacjizwiązanejzcelowościowąinterpretacjąpodejściametodycznegowanalizachryzykaoperacyjnego.Rzeczbowiemwtym,żeoczywiścieważnajestwiedzao rozmiarze rezerwfinansowychodpowiadającychpotencjalnymkonse-kwencjomspełnieniaryzyka,alematoznaczeniewyłączniepasywne36.Aktywnekonfrontowaniesięzryzykiempoleganaprzygotowywaniurozwiązańzabezpie-czającychprzedjegooddziaływaniem,nadziałaniachograniczającychjegointen-sywnośćoraznadziałaniachtworzącychzdolnośćdoszybkiegousuwaniaskutkówspełnieniasięryzyka.Doprzygotowaniatakichrozwiązańorazdziałańpotrzebnyjestwpierwopis istotnychelementówzjawisk składającychsięnapowstawaniezagrożeńispełnianiesięryzyka.Następniezaś,wodniesieniudoocenyryzyka,potrzebne jestwskazaniezasadkwalifikowaniaposzczególnych jegoanalizowa-nychrodzajów lubwyrażających jezagrożeńdozałożonychprzedziałówocenkwalifikatywnych:punktowych(np.0-1-2-3lub1-3-5-9),procentowychlubseman-tycznych(np.duże-średnie-małealbodestrukcyjne-niedestrukcyjne).Nieoznaczatoodrzucaniaa priorimetodocenyilościowej,np.metodstatystycznych,którychstosowaniusprzyjanp.prowadzenierejestru incydentów(naruszeńnormalnejdziałalności)ikorzystaniezzawartychwnimdanychodmomentuprzekroczeniaprzeztakizbiórproguwiarygodnościstatystycznej[Help-desk,2007].Ocenykwa-lifikatywnepozwalająustalić,jakirodzajzzałożonychpodejśćdoryzykazastoso-waćdladanegozagrożeniastosowniedoprzypisanejmuocenyprzedziałowej.Wpraktycezarządzaniaprzeważniezapewniatodostateczneprzesłankidecyzjicododoborurozwiązańzabezpieczającychidziałańnaprawczych.Typowerodzajemetod analizy i oceny jakościowej przedstawia tabela 4.1.Wszystkie onemająpodstawowąwadęzwiązanązograniczonymoszacowaniemilościowym,wprak-tycejednakwodniesieniudoryzykaoperacyjnegoichzaletyprzeważają

Przykłademmetody szacowania specjalnieopracowanejpodkątemryzykaoperacyjnegojestTSM-ORA(Total Security Management – Operational Risk Asses-sement)[Soczko,Zawiła-Niedźwiecki,2008]37.Pierwszymikrokamianalizywtejmetodziesą:

określeniegranicsystemu,wramachktórychznajdująsięjegozasoby(za-kładasię,żeanalizaniemusidotyczyćcałejorganizacji,awówczasnależy

36 Dlaporządkunależywskazać,żeJ.Orzeł[2012]pokazuje,jaknadrodzewykorzystywaniainstrumentówpochodnychrynkukapitałowegomożnauaktywniaćfinansowezarządzanie ryzykiemoperacyjnym.

37 Metodazostałaopracowanaw2004rokuwPolitechniceWarszawskiej(przywiodącymudzialeautoraniniejszejpracy)nazamówienieUNIDOwramachjegoprojektuwspieraniazarządzaniazaple-czemmaterialnympolskiejpolicji.

4.2. Identyfikacja, analiza i ocena ryzyka operacyjnego 77

wskazać,dlajakichkomórekorganizacyjnychorazktórychsposródproce-sówmabyćprzeprowadzona), opisanieśrodowiska–zarównofizycznego,jakiprawno-organizacyjnego–wjakimsystemdziała(wszczególnościchodzioustalenie,jakipoziomsprawnościprocesówjestwymaganyiskądpochodząmiarytejsprawności), zdefiniowanieaktywów,któremawskazaćdziękianalizieprocesowej,którezaktywówwarunkująsprawneprowadzenieprocesów(naruszeniaciągłościdziałaniapochodząbowiembezpośredniozniedostępnościzasobów lubichusługdlaprocesu).

Tabela 4.1. Rodzaje metod jakościowych w analizie ryzyka

Rodzaje metod Przydatność

Opisowa ocena ryzyka

Jeśli brak jest utrwalonej doświadczeniem praktyki analizowania ryzyka, to przy pomocy tej metody można dokonać systematycznego opisu i postarać się wyrobić podstawową opinię co do wagi danego rodzaju ryzyka/zagrożenia (np. duże-średnie-małe).

Katalog czynników ryzyka

Jeśli rodzaj ryzyka/zagrożenia jest dobrze opisany co do jego natury, to można dla badanej organizacji przygotować szablon identyfikacji poszczególnych cech ryzyka/zagrożenia oraz przedziałowo przypi-sać im oceny. Im więcej jednak bada się cech, tym trudniej jest określić wartość sumaryczną lub wypadkową takiej oceny.

Analiza profilowaSporządza się tzw. profil ryzyka organizacji będący listą przekrojów analizy (cech organizacji) i dokonuje się oceny stopnia ryzyka w od-niesieniu do poszczególnych przekrojów (cech).

Systemy wczesnego ostrzeganiaBada się czynniki krytyczne danego rodzaju ryzyka/zagrożenia i ustala progi wrażliwości, które można uznać za sygnały ostrzegawcze, lub też bada się charakterystyczne symptomy spełniania się zagrożenia.

Wyrównywania ryzyka (głównie wyrównywania strat)

Bada się różne rodzaje ryzyka/zagrożeń w celu wskazania tych, które należy poddać oddziaływaniu, które ma sprowadzić jego poziom do wskazanego akceptowanego poziomu.

Szacowania ryzyka adaptowane z FMEA

Bada się związki przyczynowo-skutkowe spełniania się ryzyka/za-grożeń oraz wskazuje zasadniczy czynnik krytyczności, korzystając z tradycji wykorzystywania tej metody w analizach jakości.

Źródło: opracowanie własne na podstawie: [Cruz, 2004; Bizon-Górecka, 1998; Pritchard, 2001; Stabryła, 2006; Szczepańska, 2011].

Analizatapoleganaustaleniucelówifunkcjisystemudziałania,którymna-leżyzapewnićdostępnośćaktywów;następnienaokreśleniuprocesówwykony-wanychprzezsystem,arealizującychjegocele,anakoniecokreśleniuzasobów(takżeniematerialnych),któretoumożliwiają.Aktywompowinnyzostaćprzypo-rządkowaneoceny,charakteryzująceichważnośćwświetlecelówsystemu.War-tościocenypowinnybyćzwiązanezkosztemuzyskaniaiutrzymaniaaktywów.


Kolejnymkrokiemjestidentyfikacjazagrożeń.Ichanalizapoleganaokreśle-niu,któreznichfaktyczniedotycząanalizowanegosystemuizjakimprawdopo-dobieństwemmogąwystąpić.Prawdopodobieństwotomożezależećodrodzajuiwartościaktywówsystemudziałania,narażonychnaposzczególnezagrożenia.Ocenętakiejpodatnościzasobówmożnaprzeprowadzićnadwasposoby.Pierw-szymjestopracowanielistysłabychpunktówsystemu,tj.jegopodatności,któremogłybybyćwykorzystaneprzezpotencjalnezagrożenia,anastępnymoszacowaniełatwościichwykorzystania.Technikatajestotyletrudna,żeosłabościachsystemudziałaniadowiadujemysięzwykledopiero,gdypowstaniezakłócenie.Dostatecz-niewiarygodnaocenajestwięcwtymwypadkumożliwatylkonabazieposiada-nychstatystykincydentów,cowpraktycerzadkojeszczemamiejsce.Drugimsposobemjestwyjścieodzidentyfikowanychzagrożeńiocenajakbardzopodatnesąnańposzczególneaktywa.Gdydojdziedo interakcjizagrożeniaz systemem,wskutekwykorzystaniapodatności,mówimyozakłóceniu.Ukoronowaniempro-cesuanalizyryzykajestopracowaniemapypotencjalnychzakłóceń,którapowstajeprzezpołączenieanalizyiocenydwuczynników:prawdopodobieństwa,zjakimmożedojśćdozakłócenia,orazwpływu,jakibędzieonomiałonasystemdziałania.

Interesującesąteż,możliwedowykorzystywanianazasadzieanalogii,metodyanalizyryzykasystemówtechnicznych,np.analizadrzewazdarzeń,analizadrzewaniezdatności,badaniezagrożeńigotowościoperacyjnej[Kubińska-Kaleta,2008].

4.3. Wpływanie na ryzyko operacyjne i monitorowanie goWpływanie na poziom ryzyka, zmierzające do jego ograniczania, a polegającegłównienawprowadzaniurozwiązańzabezpieczających,musizachowywaćracjo-nalnośćbiznesową.Tymsamym,pozaprzypadkamirozwiązańbezwzględniewy-maganychprzepisamiprawa,poszukujesiękompromisumiędzyprzewidywanymistratami,związanymizeskutkamispełnieniasięryzykaanakładaminarozwiązaniazabezpieczające.Ideowoilustrujetorysunek4.3.Pozostawiany,niezabezpieczonyzakresryzyka,nazywanyjestszczątkowym.

Jużconajmniejryzykoszczątkoweuzasadniaopracowywanieplanówza-pewniania ciągłości działania.Dodatkowonależy brać pod uwagę zawodnośćwprowadzonychrozwiązańzabezpieczających.Jesttodrugazasadniczaprzyczynaprzygotowywaniaplanówzapewnianiaciągłościdziałania.

Zpowyższychpowodówrelacjamiędzyrozwiązaniamizapewnianiabezpie-czeństwaauzupełniającymijerozwiązaniamizapewnianiaciągłościdziałaniajestpochodnąbiznesowejocenysytuacjiprzezdecydentóworganizacji.Dodatkowaracjonalnośćtakiejocenywynikazfaktu,żeryzykojesttakżeszansąipodejmowa-niegodajekonkurencyjnemożliwościwprowadzeniubiznesu.

Konsekwencją analizy ryzyka jest podejmowanie prac nad zapewnianiembezpieczeństwa iciągłościdziałania,któremożnaosiągnąć,szukającrozwiązańwpływającychnaprzejawyryzyka.Kwestiete,stanowiącetreśćetapuIIprocesuzarządzaniaryzykiem[Loader,2006],omówionowrozdziałach5 i 6.

4.3. Wpływanie na ryzyko operacyjne i monitorowanie go 79

Rysunek 4.3. Relacja strat i kosztów zabezpieczeń w zarządzaniu ryzykiem

Źródło: [Zawiła-Niedźwiecki, 2008]

Zarządzanieryzykiemoperacyjnymodbywasięprzyprzyjęciuróżnychkryte-riówocenyspełnianiajegocelu–odminimalizacjiryzykaprzyzałożonymefekciedziałalnościdomaksymalizacjiefektuprzyzałożonympoziomieryzyka.Towarzyszytemu planowanie/rozliczanie działań zarządzania, wpływania imonitorowaniaryzyka,zarównowznaczeniubezpośrednim,jakiprzezzapewnianiezasobówkoniecznychwdziałaniachwobecryzyka.Wramachplanowaniawszystkiedziała-niapowinnybyćbudżetowane,raportowane,ocenianeidoskonalone.

Zarządzanienimwymagadobrejznajomościwszystkichaspektówzidentyfi-kowanegoryzyka,takichjak:przyczynypowstawania,mechanizmiobjawyspeł-nianiasię,możliwemiejscazaistnieniazakłóceń, ichpotencjalnaskala,technikiobserwacjiitp.Zuwaginafakt,żeryzykooperacyjneprzedewszystkimdotyczyniedostępnościzasobów,asąonewszelkiegomożliwegorodzaju,tomonitorowanieposzczególnychelementówskładającychsięnaopisryzyka,zagrożeńipotencjal-nychzakłóceńjestbardzorozległe,wymagaróżnychmetoditechnik,właściwychspecyficedanychzasobówuznanychzakrytycznelubspecyficesposobuichwyko-rzystywania.Podobniejaktoopisanowkwestiimetodmierzeniaryzykaoperacyj-nego,pojawiasiękwestiatego,comabyćprzedmiotemmonitorowania,azazwyczajjesttopewnacechazasobulubcechasposobujegowykorzystywania.Cechatakazazwyczajmacharakterfizyczno-techniczny(zasobymaterialne),psychologiczno--socjologicznylubkompetencyjny(zasobyosobowe),techniczno-kognitywistyczny(zasobyinformacyjne),organizacyjny(sposóbkorzystaniazzasobów),abardzorzadkoekonomiczno-finansowy(zasobyfinansowe).Wodniesieniudotakprzygo-towanych,odpowiadającychspecyficezasobów,zasadmonitorowaniaustanawia

Potencjalne straty

Koszty zabezpieczeń

Ryzyko szczątkowe

Koszt

Prawdopodobieństwo100% 0%

Koszt


sięprocedurynadzwyczajnegopowiadamianiaospełnianiusięryzyka,opartenazałożonychsygnałach/parametrach:akceptowalności,wczesnegoostrzeganiaialar-mowychoraznaprocedurachprzystępowaniadozapewnianiaciągłościdziałania.

Wdodatkuwzarządzaniuryzykiemoperacyjnymorganizacjiważnejestnietylkoryzykopojedynczegozdarzeniakrytycznego,aleiogólnamaparyzykazło-żonegozwszystkichmożliwychzdarzeńkrytycznych.Pozwalatookreślićryzykołączne, ryzyko zdarzeń szczególnie prawdopodobnych czy też ryzyko zdarzeńszczególniedotkliwych.Dlategomonitorowanieryzykapowinnobyćprowadzonekompleksowo i stale doskonalone, co oznacza, że jest to typowe zagadnieniezarządzaniawiedzą. Panowanie nad ryzykiem jestw dużym stopniu pochodnągromadzeniawiedzyrozumianejjakozdolnośćdozbieraniainformacji,selekcjo-nowaniaważnych iwyciągania znichwniosków(sygnałów)dopodejmowaniawłaściwychdziałańzapobiegawczychinaprawczych.Kryjąsięzatymcałezespołyzagadnień,któresązwiązanezodrębnymizbioramikompetencji(wiedzyfacho-wej),którezkoleipowinnybyćwłaściwiekojarzone.WspominanojużwtejpracyprzykładpowodziwdorzeczuOdry–odczasudramatuz1997rokuwdrożonow tamtymrejonie systemrozbudowanegomonitorowania. Jestondoskonalonyzarównocodotechnikzbieraniainformacji,jakimetodichanalizowania,aleisprawnościsłużb,którepowinnyreagować,niosącpomoc.

Wtakszerokimkontekście trudnopodaćszczegółowewytycznesposobówmonitorowania.Musząbyćonedobieranedokonkretnegoproblemustosowniedoregułdanejdziedzinyidyscyplinynaukiorazspecyfikizawodówispecyfikibranżgospodarczychwtoangażowanych.Natomiastwartopokazaćgeneralnymodelbudowaniasystemumonitorowaniajakoopartynazarządzaniuwiedząiumiejęt-nościami.

Istniejeszeregpodejśćdozarządzaniawiedzą(ichprzeglądomawianp.Pe-rechuda[2005]),ichautorzyizwolennicyusiłująwytworzyćprzekonanie,żejestmożliwerygorystyczniejednolitepodejściedotegozarządzaniawskazującnajednozpodejść.Wopozycjidotego,autor,napodstawiewłasnegodoświadczenia,jestprzekonany omożliwości i potrzebie równoczesnego stosowania kilku podejść,łączonychnazasadziewarstwpostrzeganychprzezanalogiędousługsieciowychw teleinformatyce38. Taka konstrukcja zintegrowanego systemu zarządzaniawiedząpozwalawzględnierozłącznie–tj.wsposóbskoordynowany,alejednakw różnej kolejności,w innymczasie i przezosobnegrupyosób– rozwiązywaćkwestieorganizacyjne,procesowe,zasobów,czypolitykipersonalnej.Budowaniewarstwowegozintegrowanegopodejścia(tab.4.1)odbywasięodwarstwyorgani-zacyjnejażpowarstwęintelektu(umownąkolejnośćwarstwnależyinterpretowaćoddołutabelikujejnagłówkowi).Wkażdejznichpowinnodominowaćinnezeznanychklasycznychpodejśćwzarządzaniuwiedzą.

Wwarstwieorganizacyjnejdefiniowanesąkwestiestrukturyorganizacyjnejdedykowanejdozarządzaniawiedzą–takformalniewyodrębnionej(dedykowane

38 Wteleinformatycepraktykowany jest tzw.7-warstwowymodelOSI[Dyrda,Graniszewski,Świątek,2010].

4.3. Wpływanie na ryzyko operacyjne i monitorowanie go 81

komórkiorganizacyjne),jakizadaniowej(zespołyrobocze,zadaniowe,adhoc,tym-czasowe,wdrożenioweitp.),albogrupyzupełnienieformalne–orazrole(zależ-ności),uprawnieniaiodpowiedzialnościwzakresiewyznaczanychwtejwarstwiecelówzarządzaniawiedzą.Wykorzystywanetusąprzedewszystkimcechypodejściasystemowego, zwłaszcza definiowanie zasad: tworzenia, kodyfikacji i transferuwiedzy,któresłużądookreślaniacelówzarządzaniawiedzą.

Wwarstwieoperacyjnejokreślanajeststrukturaizasadyrealizowaniapro-cesuzarządzaniawiedzą.Wykorzystywanetusąprzedewszystkimcechypodej-ściaprocesowego,bojesttodrogadowdrożeniazasadystałegodoskonaleniaorazuchwyceniaelementudynamikizjawisk,charakterystycznegodlawspółczesnegozarządzania.Wdodatkupodejścietozakłada,żezarządzaniewiedząjestmierzalne.Służytemudekompozycjatakiegoprocesuzarządzanianatrzypowiązanespiraledoskonalenia(gromadzenia,kodyfikowaniaiudostępniania),każdabardziejjed-nolitacodocharakterudziałania.Ichzadaniemjestgromadzeniewiedzyzgodniezpotrzebami,formułowaniewiedzywkształcieprzyjaznymużytkownikowi,wła-ściwezpunktuwidzeniaorganizacyjnegoioperacyjnegokorzystaniezzasobówwiedzyjużzgromadzonej.Konwencjaspiralidoskonaleniazapewniabieżącykom-promispotrzebimożliwości.

Tabela 4.1. Warstwy i podejścia formalne w zintegrowanym zarządzaniu wiedzą

Umowna warstwa Dominujące podejście

Warstwa intelektu (socjalizowanie wiedzy, relacje ludzi oraz interpretacja treści)

Podejście behawioralne

Warstwa treści (obszary wiedzy, od wiedzy jawnej do ukrytej)

Podejście zasobowe

Warstwa operacyjna (ujawnianie wiedzy, gromadzenie, kodyfikowanie, udostępnianie i zarzą-dzanie nią)

Podejście procesowe

Warstwa organizacyjna (strategia, struktura, audyt)

Podejście systemowe


Wwarstwietreściokreślanesązasobywiedzyjawnejiswegorodzajutropykierującedowiedzyukrytej.Wykorzystywanetusąprzedewszystkimcechypodej-ściazasobowego,którejestuważanezanajbardziejtradycyjnewzarządzaniuwie-dzą,alejegogłównawartośćzwiązanajestztym,żeodpowiadaonobezpośredniozazadaniawyznaczanezpoziomuzarządzaniastrategicznego.Wpodejściuzasobo-wymwiedzauważanajestzanajważniejszyzasóbfirmy.Postrzegasięjąbowiemjako:kluczowekompetencje,kluczoweumiejętności,zdolnościdozespołowegorozwiązywaniaproblemów,umiejętnośćpozyskiwaniawiedzyzotoczenia,imple-mentacjinowychnarzędzi,eksperymentowaniaitp.

4. Proces zarządzania ryzykiem operacyjnym

Wwarstwieintelektustosowanejestprzedewszystkimpodejściebehawioralne,któresłużysocjalizowaniuwiedzy,tj.uruchamianiu,prowokowaniu,stymulowa-niuiwspieraniuprzekazuwiedzy,jakożeczystawiedzapowstajewumyśleludzi,arozwijasięwrelacjachmiędzynimi.

Praktyczneróżnicewzarządzaniuwiedząmiędzyróżnymiobszaramiwiedzyuwidaczniają sięz intensywnością rosnącąwrazzkolejnościąwarstw,aprzedewszystkimnapoziomiewarstwyintelektu,którawniektórychobszarachwiedzyniemusiwystępować.Napoziomiewarstwyorganizacyjnejbudowanajestwspól-nazadaniowastrukturaorganizacyjnazarządzaniawiedząwcałymprzedsiębior-stwie i relacjewniej obowiązujące.Napoziomie procesowymbudowany jestmechanizmtrzechspiraldoskonalenia.Poziomtreściwprzypadkuniektórychob-szarówwiedzymożebyćjużwłaściwieostatnim.Odnosisiętonp.doobszarówwiedzy ściśle technicznej,w których posługiwanie sięwiedzą polega często nakorzystaniuzwiedzyzawodowejobardzoskonkretyzowanymkształcie.Warstwaintelektunabierazaśznaczeniatam,gdzieoperacyjnadziałalnośćjestnaturalniezmienna,trudnadostandaryzacji,opartanamechanizmachkumulowaniaindywi-dualnegodoświadczenia/umiejętności,wymagającatrudnejsyntezy,trudnateżdoogólnegoopisania,ajeszczetrudniejszadoskodyfikowania.

5. Zapewnianie bezpieczeństwa w zarządzaniu ryzykiem operacyjnym Bezpieczeństwo.Terminten,podobniejakryzyko,niejestjednoznaczny.Wkon-tekściezarządzaniaryzykiembezpieczeństwojestokreślonymstanemrzeczy-wistości społecznej i podmiotowej, ograniczonejdopojedynczej organizacji lubbranżyorganizacjipokrewnych.Jestdobremspołecznymwaspekciepotrzebludz-kich,wartościhumanistycznych iprawczłowieka [Korzeniowski,2012].Zper-spektywyogólnospołecznej,właściwejzarządzaniukryzysowemu39,jawisięprzedewszystkimjakowartość.„Zjednejstrony,jesttookreślonawartośćspołeczna,cy-wilizacyjna,kulturowa,polityczna,ekonomiczna,ekologicznaitp.–zdrugiejzaś,jesttotrudnadoprzecenieniawartośćegzystencjalna,moralna,duchowa.Bezpie-czeństwosytuujesięwhierarchiiwartościzewzględunaswojąwagęiznaczeniedlakażdegoczłowieka,alejestjednakwartościąnieautoteliczną,niesamąwsobie,tzn.niegodnązabiegówzewzględunaniąsamą,natomiastwartościąwyraźnieutylitarną,użytkową,tzn.będącąśrodkiemdoosiągnięciainnychwartości,np.życia,zdrowia,własnościitp.”[Szmyd,2000,s.47–48].

ZgodniezklasycznymibadaniamiMaslowa[2004]poczuciebezpieczeństwajestdrugązpodstawowychpotrzebczłowieka.Słusznajestwięcopinia,że„celemzarządzaniasytuacjąkryzysowąniejestwyłączniejaknajszybszypowrótdonor-malności.Istotątegotypuzarządzaniajestzmuszenieorganizacjidotego,abyuświadomiłasobiemoralnąispołecznąodpowiedzialnośćwobecwewnętrznychi zewnętrznych interesariuszy, wobec społeczeństwa, a nawet wobec świata”[Mitroff,Pearson,1998].

Zapewnianiebezpieczeństwajestprewencjąwobeczagrożeń,gdyżpoleganarozwiązaniach,którychzasadniczymcelemjestzapobieganiesytuacjomkrytycz-nymprzezdostrzeganieczynnikówzagrożeń,monitorowaniecharakterystycznychitypowychsymptomówichaktywizowaniasięorazzapobieganieichinterakcji

39 Należypodkreślić,żebezpieczeństwowniniejszejpracyodnoszonejestdoryzykapostrzega-negozperspektywypojedynczejorganizacji.Równolegleistniejepostrzeganieryzykaibezpieczeństwazperspektywyspołecznej,cookreślasiępojęciemzarządzaniakryzysowego.Więcejnatentematw:[Grocki,2012; Janeczko,1996; Lidwa,2010; Skomra,2010; Tyrała,2001].

5. Zapewnianie bezpieczeństwa w zarządzaniu ryzykiem operacyjnym 84

zsystememdziałaniaorganizacjilubjejotoczeniem.Jeśliteposunięciazawodząidochodzidozakłóceniadziałalnościorganizacji,toprzychodziczasnazaplano-wanąizorganizowanąaktywnośćnaprawczą,którapowinnazapewniaćakcepto-walnązdolnośćdoutrzymywaniaciągłościdziałania.

5.1. Bezpieczeństwo w ujęciu zasobowymNapraktykęzarządzaniaryzykiemoperacyjnymistotnywpływmasilnyzwiązektegoryzykazzasobamiorganizacji.Ichniedostatek,zbytmaładostępnośćlubniskajakośćsąwpraktycedziałaniaorganizacjipostrzeganejakozagrożenia,na-tomiastpewnośćdysponowaniatymizasobaminaodpowiednimpoziomieiood-powiedniejjakościjestpostrzeganajakoprzejawbezpieczeństwa.Wintuicyjnymodbiorzebezpieczeństwotojestkojarzonezrodzajemzasobuifakttenczęstoznajdujeodzwierciedlenieorganizacyjne–zarządzanieryzykiemoperacyjnymjestdzielone(rys.5.1)nadwiekategorie,tj.klasyczneinowoczesneobszaryzarządza-niadziałalnościąpomocnicząworganizacji[Zawiła-Niedźwiecki,2009].Pierwsząkategorięstanowią:ochronafizycznaitechnicznaorazbezpieczeństwoosobowe.Sątozagadnieniaoddawnabadaneprzezteorięorganizacji.Dlatychobszaróww pełni uzasadnione jest mówienie o rekomendowanych dobrych praktykach.Przytymspojrzenienaochronęfizyczną i techniczną jestnaznaczonespecyfikąbranży,wjakiejdziaładanypodmiot,podczasgdybezpieczeństwoosobowe,jakoskutkującepewnąpolitykąpersonalną,jestzagadnieniemuniwersalnym,podob-nymwkażdejorganizacjiiwzwiązkuztymdysponującymbogatymwsparciemteoretycznymirówniebogatąliteraturą.Drugąkategorięstanowią:bezpieczeń-stwoinformacjiisystemówinformatycznychorazzapewnianieciągłościdziałania.Wtymwypadku,zracjinowościproblematyki,możnaspotkaćsięzróżnymispoj-rzeniaminazagadnienieiwynikającymiztegokoncepcjamianalizyzagrożeńipo-szukiwaniarozwiązań.

Wartozauważyć,żezchwiląustanowieniazasadsystematycznegozarzą-dzaniaryzykiemoperacyjnymrównieuprawnionejeststosowanieokreślenia„za-rządzanie zapewnianiem bezpieczeństwa operacyjnego”, w pełnym ujęciu jako„zintegrowanezarządzaniezapewnianiembezpieczeństwa”(TSM–total security management)[Zawiła-Niedźwiecki,2003].

WposzczególnychobszarachzarządzaniaTSM(rys.5.1)stosowanesąspe-cyficznezasady,dobrepraktykiimetodyzapewnianiabezpieczeństwaorganizacji.Szczególnewyróżnieniekwestiibezpieczeństwasystemówinformacyjnych(głów-nieinformatycznych)manacelupodkreśleniepowszechnejobecnościinformacjiwzarządzaniu,ainformatykiwdziałalnościorganizacji.ZkoleipominięciewTSMryzykaniedoboruzasobówfinansowychwynikazfaktu,żeproblemtenjestściślezwiązanyzzarządzaniemryzykiembiznesowymiryzykiemfinansowymorazżerozwiązywanyjestwramachzarządzaniatymirodzajamiryzyka.

Oczekiwaniebezpieczeństwaimplikujerozwiązania,którychzasadniczymcelemjestprewencjapolegającanadostrzeganiuczynnikówzagrożeń,monitoro-

5.1. Bezpieczeństwo w ujęciu zasobowym 85

waniu charakterystycznych i typowych symptomów ichaktywizowania się orazzapobieganiuichinterakcjizsystememdziałaniaorganizacjilubzjejotoczeniem.Jeśliteposunięciazawodząidochodzidozakłóceniadziałalnościorganizacji,toprzychodzi czas na zaplanowaną i zorganizowaną aktywność naprawczą jakozdolnośćdoutrzymywaniaciągłościdziałania.

Rysunek 5.1. Koncepcja zintegrowanego zarządzania bezpieczeństwem

Źródło: [Blim, Byczkowski, Zawiła-Niedźwiecki, 2005].

Wpływanienaryzykooperacyjne,tj.reagowanieorganizacjinazidentyfiko-waneryzyko,możepolegaćnawpływaniunajegoprzyczyny,mechanizmspełnia-niasięgolubjegoskutki.Działanietakieodbywasięwkontekścieistotysamegoryzykaimożliwościoddziaływaniananieorazwkontekściezdolnościorganizacjidopodjęciasiętakiegooddziaływania,czytowznaczeniudysponowaniawłaści-wymiśrodkami/narzędziami,czyposiadaniaodpowiednichumiejętności.Sytuacjatakanaogółjestpozytywniedynamiczna,tzn.corazlepszepoznawanieryzykaorazpraktykowanieoddziaływaniananiedajeorganizacjidoświadczenie,którezwiększaskutecznośćograniczaniaryzyka.Oczywiścieprawidłowość tadotyczytylkorodzajówryzykaoźródłachbędącychwzasięguoddziaływaniaorganizacjioraz o intensywności i skali tego oddziaływaniawspółmiernych domożliwościreagowaniaorganizacji.

Oddziaływaniewobeczdarzeńkrytycznychjakoprzejawówryzykamożeod-nosićsiędoprzyczyntychzdarzeń(prewencjajakopostępowanieex-ante)lubdoichskutków(terapiajakopostępowanieex-post).Wbrewpozoromniezakładasięautomatycznejwyższościdziałańprewencyjnychnadnaprawczymi.Ocenaidobórdziałańdokonywanesąprzywykorzystaniukryteriówekonomicznych–niekiedyracjonalnympodejściemdoryzykajestnaprawiaćjegoskutki,anieimzapobiegać.Pierwszyrodzajoddziaływaniaokreślasięmianemzapewnianiabezpieczeństwa

Zintegrowane zarządzanie zapewnianiem bezpieczeństwa organizacji (TSM)

ZARZĄDZANIE ZAPEWNIANIEM BEZPIECZEŃSTWA SYSTEMÓW INFORMACYJNYCH

ANALIZA [ZAGROŻEŃ I OCENA] RYZYKA

Zarządzanie zapewnianiem

ciągłości działania


bezpieczeństwa informacji


bezpieczeństwa fizycznego


bezpieczeństwa osobowego


operacyjnego,drugizaśzapewnianiemciągłościdziałania.Oddziaływaniaoburo-dzajówbazująnaanalizieryzyka,jegoprzyczyniskutków,aletakżenaanalizieistotydziałaniaorganizacji,związanegozdanymprzejawemryzyka.Ryzykoprze-jawiasiębowiemzapośrednictwemzjawiskookreślonymcharakterze,którychwpływnaorganizacjęjestmożliwydopierowtedy,gdytakiezjawiskonatrafinapodatnośćorganizacjidotyczącąjednegolubkilkuprocesówwniejrealizowanych,albowznaczeniuniedoskonałościorganizacyjnejtakiegoprocesu,albosłabościwzakresiedoboruzasobówwykorzystywanychprzezproces.Wpraktycekażdezdarzeniekrytyczne(spełnieniesięryzyka)polegananaruszeniuzasobu(zaso-bów)warunkującegorealizacjęprocesu.Analizaryzykapolegawięcnaustaleniuiocenie:

procesów,któredecydująorealizacjizadańorganizacji, zestawuzjawiskzakłócającychiprawdopodobieństwichwystąpienia, podatnościzasobów,mierzonejwielkościąpotencjalnegowpływuzjawiskazakłócającegonadziałalnośćorganizacji.

PraktycznewpływanienaryzykooperacyjneizapewnianiebezpieczeństwawujęciuTSMpoleganaprojektowaniuiwdrażaniurozwiązańodpowiadającychpodstawowymmotywomprzedstawionymwtabeli5.1.

Tabela 5.1. Motywy wpływania na ryzyko operacyjne w zintegrowanym zarządzaniu zapewnianiem bezpieczeństwa organizacji

Zintegrowane zarządzanie zapewnianiem bezpieczeństwa organizacji (TSM)

Zarządzanie zapewnia-niem ciągłości działania

Zarządzanie zapewnia-niem bezpieczeństwa informacji

Zarządzanie zapewnia-niem bezpieczeństwa fi-zycznego i technicznego

Zarządzanie zapewnia-niem bezpieczeństwa osobowego

1) O jakie procesy dba-my?

2) Jakie zakłócenia prze-widujemy?

1) Jakie informacje chro-nimy?

2) Przed czym chronimy?

1) Jakie lokalizacje chro-nimy?

2) Czego się obawiamy?

1) Jakich ludzi potrze-bujemy?

2) Czego od nich wyma-gamy?

3) Jak chronimy zasoby i procesy?

Na przykład metodyki DRII, TSM/BCP

Na przykład metodyka TISM

Najlepsze praktyki bran-żowe

Najlepsze praktyki bran-żowe


Wpływanie na ryzyko operacyjne, podobnie jak i na inne rodzaje ryzyka,odbywasięwmyślnastępującychtzw.strategiiszczegółowychzarządzaniaryzy-kiem[MonkiewiczJ.,2004]:

transferryzyka–przeniesieniebezpośrednichskutkówwystąpieniaszkodylubkonsekwencjifinansowychnainnypodmiot,któryprzejmujetoryzykonasiebie(np.ubezpieczyciel,aleipartnerbiznesowytypukooperant); retencjaryzyka–stworzeniezawczasuwłasnegozabezpieczenianawypadek


zaistnieniaszkody(np.funduszrezerwowy),alełatwejdoprzewidzeniaioszacowania,małokosztownejwrelacjidośrodkówwłasnychorganizacji,małoprawdopodobnejdokumulacjizinnymiszkodami; nieświadomaretencjaryzyka–zaniechanieprzeciwdziałaniaryzykuzpo-wodubrakuświadomościjegoistnienia; redukcjaryzyka–wprowadzeniezabezpieczeńdobranychdorodzajówza-grożeń,wielkościryzyka,rozmiarówjegoskutków; podziałryzyka–ryzykookreślonegorodzajujestdekomponowanenaro-dzajeryzykamniejszychkategoriiidlakażdegoznichdobieranesądzia-łaniamitygujące; akceptacjaryzyka–przekonanie,żerozmiarpotencjalnychszkódnieprze-kraczagranictolerowania,azabezpieczaniesięprzedryzykiemjestzbytkosztowne;w tej kategoriimieszczą się działaniana rzecz zapewnianiaciągłościdziałaniawformieplanówawaryjnych.

Zapewnianiebezpieczeństwaorganizacji,zwłaszczawujęciuTSM,odnoszonejestdoposzczególnychrodzajówzasobów[Blim,Byczkowski,Zawiła-Niedźwiecki,2003,2004].Wobectegomówisięobezpieczeństwieosobowym,bezpieczeństwiefizycznymitechnicznym,bezpieczeństwiefinansowymorazbezpieczeństwie in-formacjiiinformatycznym.Jakłatwozauważyćposzczególnekategoriepozostająwścisłymzwiązku,apoczęściteżnakładająsięnasiebie.Mówisięwięcnp.obez-pieczeństwiefizycznymosób,obezpieczeństwiedanychosobowych,bezpieczeń-stwiefizycznymwalorówfinansowychitd.

Zapewnianiebezpieczeństwafizycznegoitechnicznegowywodzisięznastę-pującychkluczowychprzesłanek[Staniec,Zawiła-Niedźwiecki,2008]:

potrzebyprecyzyjnegozakreśleniagraniclokalizacjiorganizacjiorazstrefwykonywania poszczególnych funkcji i usługna rzecz klientów, a takżeprzezpracownikóworganizacjioraznaichrzecz; potrzebywyobrażeniasobieizdefiniowaniapotencjalnychzagrożeńorazmożliwychscenariuszyichrealizowaniasięjakozakłóceńnormalnejpracyorganizacji; potrzeby zorganizowania procesówwykonywania funkcji organizacji,zapewniania ochrony fizycznej oraz dobierania i stosowania rozwiązańochrony,wtymtakżetechnicznych.

Zastosowaniedobrychpraktykwramachtegozagadnieniapoleganaopraco-waniu:

podziału(klasyfikacji)strefochrony, zasaddoborurozwiązańochrony, zasadochronydlaposzczególnychstref, zasadupoważnianiadodostępu, zasadkontroliochrony, zasaddoboruiweryfikacjipracownikówochrony.


Natomiastzapewnianiebezpieczeństwaosobowegowywodzisięznastępują-cychkluczowychprzesłanek[Zawiła-Niedżwiecki,2008]:

potrzebydoboruizatrudnianiapracownikówodznaczającychsięwysokimpoziomemmoraleiodpowiedzialności(tzw.regułaprawości); wymoguadekwatnościumiejętnościzawodowychpracownikówdowyko-nywanychzadańorazpotencjalnejzdolnościdoadaptowaniasiędozmie-niającychsięwymagań,comożebyćpochodnąrozwojuorganizacyjnegoibiznesowegopodmiotulubkonkurencyjnegorozwojurynku(tzw.regułafachowości); potrzebydoborupracownikóworazorganizacjipracy,którezdwustronwspółprzyczyniająsiędostworzeniaatmosferyiwarunkówdlaidentyfikacjipowodzeniazawodowegopracownikazsukcesempracodawcy(tzw.regułalojalności).

Zastosowaniedobrychpraktykwramachtegozagadnieniapoleganaopraco-waniu:

kodeksuetykipracowników, zasaddoboruiweryfikacjipracowników, zasadwprowadzaniadoorganizacjiorazodchodzeniazniej, zasad określania ról indywidualnych i zespołowych oraz projektowaniastanowiskpracy, zasadpowierzaniazadań, zasadwynagradzaniaimotywowania, zasadprzeglądówkadrowych, zasadokreślaniaindywidualnychścieżekkarier, zasadawansowania, zasadsystematycznegoszkoleniapracowników, zasadochronytajemnicyfirmy,klientówitp.Zkoleizapewnianiebezpieczeństwainformacjiwywodzisięznastępujących

kluczowych przesłanek [Białas, 2007; Byczkowski, Zawiła-Niedźwiecki, 2009; Liderman,2012]:

zapewnienia,żeinformacjajestudostępnianajedynieosobomupoważnio-nym(tzw.regułapoufności); zapewnieniazupełnejdokładności ikompletności informacjiorazmetodjejprzetwarzania(tzw.regułaintegralności); zapewnienia,żeosobyupoważnionemajądostępdoinformacjiizwiąza-nychzniąaktywówtylkowtedy,gdy istnieje takapotrzeba(tzw.reguładostępności).

Określasiętrzypoziomymerytorycznegozarządzaniabezpieczeństwemin-formacji:

politykabezpieczeństwainformacji–określeniewymagańbezpieczeństwanapoziomiecałejorganizacjiiwodniesieniudowszystkichgrupinformacji


orazwszystkichsystemówirozwiązańsłużącychprzetwarzaniutychinfor-macji(wtymprzechowywaniuitransportowaniu); grupa informacji–uszczegółowieniewymagańbezpieczeństwadlagrupinformacji,wyodrębnianychprzedewszystkimjakoautonomicznaklasainformacjisłużącychokreślonymzagadnieniom,przetwarzanychwokre-ślonympionie funkcjonalnym(np. informacjefinansowe, informacjeka-drowe,informacjeoklientachitd.),aletakżeniekiedyobjętychodrębnymiprzepisamiprawaogólnego,np.informacjeniejawne,informacjeodanychosobowych; systemprzetwarzania–spełnieniewymagańbezpieczeństwaprzezsys-temytakżetradycyjne,aleprzeważnieinformatyczne,któreprzetwarzająokreślonegrupyinformacjinarzeczpewnejkategoriiużytkowników.

Odnośniedorozwiązańściśleinformatycznychzachodzipotrzebazadbaniaoochronęinformacjiwzakresietrzechpodstawowychkryteriów40:

bezpieczeństwainformacji, bezpieczeństwaświadczeniausług, autentycznościirozliczalnościdanychorazpodmiotów.Pierwszekryteriumskładasięznastępującychelementów: poufność informacji (confidentiality) – co oznacza, że informacje są do-stępnetylkoiwyłączniedlatychosób,któresądotegouprawnione; nienaruszalność/integralność informacji (integrity) – co oznacza zagwa-rantowaniedokładnościikompletnościinformacjiorazmetodisposobówichprzetwarzania; dostępnośćinformacji(availability)–cooznaczazapewnienie,żeupoważ-nieni(autoryzowani)użytkownicymajądostępdoinformacjiizwiązanychznimizasobów,zawszewtedy,gdyjesttowymagane.

Drugiekryteriumskładasięznastępującychelementów: niezawodnośćsystemu(reliability of systems)–cooznacza,żenasystemiemożnapolegaćbezwzględnie,jestonprzyjaznyiodpornynabłędyprzy-padkoweoperatora(fool proof); nienaruszalność/integralnośćsystemu(integrity of systems)–cooznaczadokładnośćsystemuorazużytychwnimmetodisposobówprzetwarzaniainformacji; dostępnośćsystemu(availability)–cooznaczazapewnienie,żeupoważ-nieni(autoryzowani)użytkownicymajągwarantowanydostępdosystemuorazjegozasobów.

Trzeciekryteriumskładasięznastępującychelementów: autentycznośćdanych(data indisputable)–cooznacza,żedaneprzecho-

40 NormyISO12207,ISO13355,ISO15408,seriaISO27001÷6orazzasadydobrychpraktykITIL.


wywanewsystemieizniegoudostępnianesąpewneimożnananichpolegać; autentycznośćpodmiotów(indisputable of subjects)–cooznaczadokład-nośćidentyfikacjipodmiotukorzystającegozsystemuorazpotwierdzenieuprawnieńdoużytkowaniazgromadzonychwniminformacji; rozliczalnośćpodmiotów(settlement accounts of subjects)–cooznaczaza-pewnienie,żeupoważnieni(autoryzowani)użytkownicyniemająmożli-wościzanegowaniafaktuswegodostępudosystemuiudokumentowanegokorzystaniazjegozasobów.

Wprojektowaniurozwiązańbezpieczeństwastosujesięnastępująceogólnezasady,odnoszonedoposzczególnychrodzajówzasobów,jakimiposługujesięwswejdziałalnościorganizacja,wtymprzedewszystkimdoludzijakogłównegoźródłaniebezpieczeństwaiobiektuzagrożenia[Zawiła-Niedźwiecki,2008]:

zasadauprawnionegodostępu–każdypracownikprzeszedłszkoleniezza-sadbezpieczeństwaiochronyorazspełniakryteriadopuszczeniadopracyiinformacji(tajemnicsłużbowych); zasadaprzywilejówkoniecznych–każdypracownikmaprawodostępudopracyiinformacji,ograniczonedotych,któresąkoniecznedowykonywa-niapowierzonychmuzadań; zasadawiedzykoniecznej–każdypracownikmawiedzęopracy,doktórejmadostęp,conajmniej taką, jaka jestkoniecznadorealizacjipowierzo-nychmuzadań; zasadausługkoniecznych–organizacjaświadczytylkotakieusługi,jakichwymagaklient; zasadaasekuracji–każdymechanizmzabezpieczającymusibyćzabezpie-czonyinnym(podobnym),awprzypadkachszczególnychmożebyćstoso-wanedodatkowe(trzecie)niezależnezabezpieczenie; zasadaświadomościzbiorowej–wszyscypracownicysąświadomikoniecz-nościochronyzasobóworganizacjiiaktywnieuczestnicząwtymprocesie; zasadaindywidualnejodpowiedzialności–zabezpieczeństwoposzczegól-nychelementówodpowiadająkonkretneosoby; zasada obecności koniecznej – prawoprzebywaniawokreślonychmiej-scachmajątylkoosobyupoważnione; zasada stałej gotowości – organizacja jest przygotowana nawszelkiezagrożenia, niedopuszczalne jest tymczasowewyłączaniemechanizmówzabezpieczających; zasadanajsłabszegoogniwa–poziombezpieczeństwawyznaczanajsłab-szy(najmniejzabezpieczony)element; zasadakompletności–zabezpieczeniejesttylkowtedyskuteczne,gdysto-sujesiępodejściekompleksowe,uwzględniającewszystkiestopnieiogniwaogólniepojętegoprocesupracy; zasadaewolucji–każdaorganizacjamusiciągledostosowywaćmechanizmywewnętrznedozmieniającychsięwarunkówzewnętrznych;

5.2. Ciągłość działania jako zabezpieczenie 91

zasadaodpowiedniości–używanemechanizmymusząbyćadekwatnedosytuacji; zasadaakceptowanejrównowagi–podejmowaneśrodkizaradczeniemogąprzekraczaćpoziomuakceptacji(szczególniezalecasiętumiarykosztowecodonakładów,efektówipotencjalnychstrat).

5.2. Ciągłość działania jako zabezpieczenie Ciągłośćdziałania,jakowymógwobecorganizacjipojmowanejjakosystemdzia-łania41,jestcodozasadniczejideipostulatemanalogicznymdo,mającegodługąiszerokoopisanątradycję,wymoguniezawodnościukładówtechnicznychjakowytworów ludzkiej inwencji idziałania.Tak jakniezawodność, rozumiana jakostopieńzdolnościobiektudospełnianiastawianychmuwymagań,jestkluczowadlaocenyjakościukładuczywyrobutechnicznego,takwocenachskutecznościi jakości systemów działania organizacji istotnym elementem tej oceny jest jejzdolnośćdoutrzymywaniaciągłegodziałania.Tegotypuoczekiwaniewynikaprzedewszystkimznastawieniaorganizacjinaszerokorozumianegoklientajakoodbiorcęefektudziałania(produktulubusługi),askładasięnarównieszerokorozumianąkulturęorganizacji.

Podstawąrozważańnadmechanizmempowodującymniemożnośćuzyskaniastanupełnejciągłościdziałaniasystemujestniepewnośćjakoimmanentnacecharzeczywistościotaczającejczłowiekaiwytworzonejprzezniegocywilizacji,awyni-kającazwielkiejzłożonościorazzmiennościobiektówizjawiskwnaturze,atakżezależnościzachodzącychmiędzynimi.Ryzyko,jakiemupodlegaorganizacja,jestbezpośredniąkonsekwencjąprowadzonegodziałania,któregokoniecznośćisenswynikajązeświadomejdecyzjicodopotrzebyikierunkutakiegodziałania.Nie-pewność,któranieustanniedotykaczłowieka,wcalenieoznacza,żepodejmujeonryzyko.Abytaksięstało,musizaistniećpotrzebadziałania.Dopieroonomacha-rakterryzykowny.Zagrożenia,jakoformyprzejawianiasięryzyka,sąprzedmiotemanalizypodkątemichewentualnegowpływunaorganizację isąpotencjalnymizjawiskami,naktórenakierowanesą:obserwacjaprzesłanekzaistnieniazakłóceńorazdziałaniaprewencyjnedokonywanewceluzapobieżeniainterakcjizagroże-niazsystememdziałaniaorganizacji(jejpodatnościami).Wsensiepraktycznymryzykopoleganatym,żepodejmowanadecyzjaibędącejejkonsekwencjądziałaniemogąnapotykaćkonkretneutrudnieniaiprzeszkodywłaściwedlaogólnejniepew-nościwobszarzeiśrodowiskudziałaniaorganizacji,aantycypacyjniepostrzeganejakozagrożenia.Awięczagrożenie:

jestformąrealizowaniasięryzyka, mapostaćiswoistecechymierzalneobiektywnie,

41 Systemdziałania–takizbiórelementów,któreprzyczyniająsiędowystępowaniaokreślonegoefektu(rezultatu) imiędzyktórymiwystępujeoddziaływanieuporządkowanezewzględunaefekt,takżewsytuacjachwystąpieniazakłócającegowpływuotoczenia.


maźródłoiprzyczyny, cechujespecyficznymechanizmrealizowaniasię, oddziałujenasystemdziałaniaorganizacjiwsposóbmierzalnysubiektywniezperspektywytejorganizacji,astopieńwpływujestzależnyodpodatnościsystemudziałaniaorganizacjiijegośrodowiska.

Zkoleitozakłócenia(spełnieniesięzagrożeń)sąfaktycznymobiektemdziałańokreślanychmianemszerokorozumianejpolitykizapewnianiaciągłościdziałania.Gdydanezagrożenieoddziałujenasystemdziałaniaorganizacjilubjegootocze-nie,asystemstajesiępodatnynatooddziaływanie,masiędoczynieniazzakłó-ceniem,które:

jestskutkieminterakcjizagrożeniazsystememdziałanialubotoczeniemtegosystemu, skutkujeistotnymizmianamiwobszarzedziałaniaorganizacji, niepoddajesięocenieobiektywnej,asubiektywnadokonywanajestzper-spektywydanegosystemudziałania.

Wobec tegopostępowanie służącezapewnianiuciągłościdziałania jestpo-dobnedopostępowaniasłużącegozabezpieczaniuprzedzagrożeniami.Różni jerelacjaczasowaicharakteroddziaływaniawobeczagrożenia,któremumająprze-ciwdziałaćzabezpieczeniaiktóremabyćograniczanewwynikupostępowaniazapewniania ciągłości działania.Oba uzupełniają się, aby zapewnić organizacjioczekiwanąodpornośćnaróżneokolicznościnaruszanianormalnejdziałalności.

5.3. Ocena dojrzałości zarządzania zapewnianiem bezpieczeństwaSpełnianieww.zasadzapewnianiabezpieczeństwa jestpodstawąocenystopniadojrzałościzarządzaniabezpieczeństwem,czegomodelzostałzaproponowanyprzezstowarzyszenieaudytorówinformatycznychISACA42[Forystek,2005](patrzrys.5.2).

Zarządzaniezapewnianiembezpieczeństwaorganizacjiprowadzonejestza-leżnieodobszaru,któregodotyczy.Itak,zarządzaniezapewnianiembezpieczeń-stwafizycznegojestzinstytucjonalizowane(poczęściokreślajątoprzepisyogólne,np.dotyczącebhp,lubbranżowe,np.wbankowości)wformiewydzielonychsta-nowisk/komórek.Zkoleizarządzaniezapewnianiembezpieczeństwaosobowegowobszarze„HRtwardego”teżjestzinstytucjonalizowane,natomiastwobszarze„HRmiękkiego”macharakterpolitykipostępowaniaorganizacjiwobecpracowni-kóworazbadaniajejskutecznościwrelacjidopostawpracownikówwobeczadańi pracodawcy [Górska, Lewandowski, 2002]. Dalej, zarządzanie zapewnianiembezpieczeństwa informacji polega nawyznaczaniu dodatkowych, specyficznych

42 ISACA–InformationSecurityAuditandControlAssociation,ChapterWarsaw,zob.www.isaca.pl

www.isaca.pl

5.3. Ocena dojrzałości zarządzania zapewnianiem bezpieczeństwa 93

rólpracownikomwypełniającymjeszczeinnezadaniaworganizacji.Szczególniewodniesieniudobezpieczeństwainformatycznegojesttozwiązanezkoniecznościąbieżącegopogłębianiawiedzyfachowejzzakresuinformatyki,którazmieniasiędynamicznie, a podobnie zmieniają sięwymagania bezpieczeństwa [Wołowski,Zawiła-Niedźwiecki,2012].

Ponadtowdziałaniachnarzeczbezpieczeństwaobowiązujegeneralnazasadarozdzieleniazadańpolegającychnaokreślaniustandardów/wymagań/regułbez-pieczeństwaikontrolowaniuichspełniania/przestrzeganiaodzadańwdrażania/stosowaniatychwymagań[Byczkowski,Zawiła-Niedźwiecki,2009].Uzyskujesięto przez powierzanie ich odrębnymosobom/komórkomorganizacyjnym. Ideategorozdziałujestanalogicznadozasadypracy„nadwieręce”wksięgowości.

Stopień 0Brak świadomości

– brak zdefiniowania wymagań bezpieczeństwa– bezpieczeństwo traktowane jako problem poszczególnych

użytkowników

Stopień IPoczątkowy

– świadomość potrzeby– kierownictwo uważa to za problem służb IT (typu: prawa do-

stępu, ochrona antywirusowa)

Stopień IIIntuicyjny

– próby tworzenia zabezpieczeń– brak jednolitego podejścia– efekty zależne od zaangażowania osób zainteresowanych

Stopień IIIZdefiniowany

– zdefiniowane zasady (w tym polityka bezpieczeństwa) w całej organizacji

– procedury bezpieczeństwa są utrzymywane i komunikowane– brak kontroli stosowania

Stopień IVZarządzany

– jednolite podejście dla wszystkich komórek i wszystkich roz-wiązań

– obowiązuje perspektywa biznesu– funkcjonuje mechanizm kontroli stosowania

Stopień VOptymalizowany

– świadome zarządzanie ryzykiem– zgodność strategii bezpieczeństwa ze strategią biznesową– zapewnianie bezpieczeństwa jako proces (wiedza, doskona-

lenie)

Rysunek 5.2. Poziomy dojrzałości zarządzania bezpieczeństwem informacji

Źródło: [Forystek, 2005].

6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnymDziałalność.Dladalszychwywodów istotne jest podkreślenie różnicymiędzydziałalnościąadziałaniem.Potrzebatawynikazeskupieniasięnadziałaniupoj-mowanym jako jedynieczęśćdziałalności.WdodatkuwartozwrócićuwagęnaterminyBCM (business continuity management) iBCP (business continuity plan-ning),powszechnieprzyjętewliteraturzezawodowejinormach.Wpolskiejprak-tyce zawodowej są one tłumaczone jako zarządzanie zapewnianiem ciągłościdziałania,aniedziałalnościijesttotłumaczeniewpełnitrafne,mimożesłowobusiness jest raczejtłumaczonejako„działalność”.

Przyjęto, żekażdaorganizacjaprowadzidziałalność,naktórą składają sięposzczególnedziałania.Inspiracjądlategorozróżnieniajestujęcieprocesowe,wgktóregoprowadzeniedziałalnościorganizacjiodbywasięwformieprocesówpole-gającychnarealizacjikolejnychoperacji.Działalnościodpowiadaogółprocesówworganizacji[Waters,2001].Działaniezaśtowarstwamanipulacyjnadziałalności(operowania), odpowiadająca dokonywaniu przekształceń zasobów w ramachprocesówpodstawowychipomocniczych.Należyteżodróżniaćpojęciedziałalności„operacyjnej”jakoodnoszącejsiędooperacjiodpojęciadziałalności„operatyw-nej”jakobieżącej.

Dysfunkcjonalnośćorganizacji,oczymtraktujeniniejszapraca,możnawytłu-maczyćnastępująco.Jeślidochodzidoawariiurządzenia,systemu(np.informa-tycznego),błęduczłowieka,wypadkuwzakładziepracy,tomówimyodysfunkcjisamegodziałanialubjegobezpośrednichwarunków,copostrzegasięwaspekciezapewnianiaciągłościdziałania.Jeślinatomiaststwierdzasiętakiekonsekwencjedziałania,jak:brakrentownościorganizacji,niedostatecznypoziomsprzedażyjejwyrobów,brakpłynnościfinansowej,tojesttodysfunkcjadziałalnościorganizacjiwykraczającapozadziałanieorazpozaobszaranalizyryzykaoperacyjnego,zabie-gówobezpiecznedziałanieczyteżozapewnianieciągłościdziałania,choćmożeskutkowaćnawetkoniecznościąprzerwaniadziałania.

95

Działaniemożnapojmowaćwznaczeniuwęższymiszerszym43.Ujęciewęż-szepochodzizprakseologicznejteoriiorganizacji–wgniejjestto„celowe,świa-domeidowolnezachowaniesięludzkie”[Pszczołowski,1978,s.56],awięcjestonoograniczonebezpośredniodoaktywnościczłowieka.Wogólnejteoriiorga-nizacjirolaczynnikaludzkiegoniejestjednakpostrzeganajakodominująca.Stądwszerszymznaczeniudziałaniejestoddziaływaniemzachodzącymmiędzydwomalubwięcejprzedmiotami.Takimprzedmiotemjestzarównosamaorganizacja,jakijejposzczególneskładowe[Krzyżanowski,1994,s.107–112i191].Wtymujęciudziałanienależydokategoriiontologicznej„relacje”,co oznacza,żejesttopojęcieniedefiniowalne,ajedyniedowyjaśnianiaprzezegzemplifikację.Działaniecechuje:

realność,gdyżpoleganakonkretnym(określonymfizykalnie,czasowoiprze-strzennie)przekazywaniumaterii,energiiiinformacji, efektywność,gdyżprzynosiokreśloneskutkiwpostacizmian(lubwłaśniezapobieganiazmianom)wewnątrzoddziaływającychpodmiotówjakostronrelacjilubwichotoczeniu, obiektywizm,gdyżkorzystazprawidłowościnaturalnych(prawaprzyrody)bądźspołecznych, samoistność, jakożeoparte jestontologicznienafundamenciebytowym(odnosisiędorzeczyrealnych), samodzielność,niemusibowiembezwzględniewspółistniećzpodmiotamioddziaływającymi, zależnośćodzasobów.Działaniepoleganarealizowaniuoperacji,ztymżeograniczasiędowarstwy

manipulowaniazasobamiirelacjami,natomiastomawianajużwcześniejdziałal-nośćobejmujedodatkowoelementyzarządzania,wtymoceny(wartościowania)wynikówdziałania.

Ciągłość działania.Zapewnianieciągłościdziałania jestterapiąwobecza-kłóceń.Ciągłośćdziałaniaodnosisiędooperacjiwchodzącychwskładprocesówpodstawowychipomocniczych,czylizawężasiędodziałania,pomijazaśkwestiebiznesowe,wykraczającepozapoziommanipulowaniazasobami, składające sięnaszersząkategoriępojęciową–tj.działalność.Możnaprzyjąć,żemówiącocią-głościdziałania,ograniczamysiędoaspektuczystoorganizacyjnegodziałalności.

Ciągłośćdziałanianależyrozpatrywaćjakojedenzpostulatówdoskonałościsystemuidealnego[Nadler,1967],jakimmiałabybyćorganizacja.Praktycznepróbyrealizacjiposzczególnychpostulatówdoskonałościoczywiściemogąpozostawaćiprzeważniepozostająwpewnegostopniawzajemnejsprzeczności,np.typowedlazapewnienianieprzerwanegodziałaniasystemuinformatycznegozwiększanieredundancji łączności lubwprowadzaniedodatkowychśrodkówbezpieczeństwajestsprzecznezpostulatamioptymalnejorganizacjiioptymalnychkosztówdziała-nia.Postulatdoskonałościnieprzerwanegodziałania systemu, czyli inaczej jego

43 Zob.rozważanianatematróżnychkontekstualnychinterpretacjipojęcia„działanie”wperio-dyku„Prakseologia”nr3/4(95/96)z1985roku.

6. Zapewnianie ciągłości działania w zarządzaniu ryzykiem operacyjnym 96

ciągłościdziałania, jestwpraktycenieosiągalny,choćmożesłużyćwyznaczaniuceluracjonalnegodziałaniasystemuwpodejściuprognostycznymdoprojektowa-nia[Trzcieniecki,1970]lubreengineeringu[Hammer,Champy,1996].

6.1. Modelowe zapewnianie ciągłości działania44

Wogólnościciągłośćdziałaniatozdolnośćorganizacjidotakiegoreagowanianazakłóceniawarunkównormalnegodziałania,abytam,gdzietomożliwe,szybkoprzywrócićtenormalnewarunki,atam,gdzietoniemożliwe,przejśćdozaplano-wanegosposobuzastępczegowykonywaniazadań.Ciągłośćdziałaniapostrzegasięwięczarównowkontekściezadańorganizacjiorazprocesówsłużącychrealizacjitychzadań,jakiwkontekścieczynnikówmogącychzakłócićteprocesyprzezwy-korzystaniepodatnościorganizacji,stanowiącychojejwrażliwościnazakłócenia.

Zapewnianieciągłościdziałaniaobejmuje: mechanizmreagowaniaorganizacjinazakłócenia(poczęściopartynaho-meostazie45,awięcspontanicznejreakcjielementóworganizacji,apoczęścinasystematycznierozwijanejwyuczonejzdolnościreagowania), procesrozwijaniaww.mechanizmuzdolności reagowanianazakłócenia(jakoproceswspierający–wrozumieniuanalizyprocesowej–podstawowądziałalnośćorganizacji), proces zarządzania bieżącą zdolnością zapewniania ciągłości działaniaorazjejstałymdoskonaleniem.

Namechanizmreagowanianazakłóceniaskładająsię: struktura organizacyjna dedykowana do zadania zapewniania ciągłości,uzupełniającaogólnąstrukturęorganizacyjną, formalneuregulowaniaokreślające relacjew strukturzeorganizacyjnejzwiązanezzadaniemzapewnianiaciągłości, utrwalonapraktyka(możliwiespisana)postępowaniawsytuacjach,gdywymaganajestreakcjanazaistniałezakłócenie.

Należyzwłaszczapodkreślić,żereagowanienazakłócenia,jakozapewnianieciągłości działania, należy rozumieć nie tylko jako bezpośrednie postępowaniewobeczakłóceń,aletakżejakoaktywnośćocharakterzeprewencyjnym,związanązanalizązagrożeńipodatnościorazzposzukiwaniemmetodirozwiązańzapobiega-niazaistnieniuzakłóceń.Wtymsensiestaraniaociągłośćdziałaniaibezpieczeń-stwosplatająsię.Zpunktuwidzeniaciągłościdziałaniarozwiązaniabezpieczeństwazapewniająprewencjęwobeczagrożeń,natomiastzpunktuwidzeniabezpieczeń-

44 Całyrozdział6jestopartynawcześniejszychprzyczynkowychpublikacjachautorawskaza-nychwewstępieiwbibliografii.

45 Homeostaza–zdolnośćukładucybernetycznegodosamoregulacjizachowującejstałąrównowagę.

6.1. Modelowe zapewnianie ciągłości działania 97

stwarozwiązaniaciągłościdziałaniastanowiądodatkowezabezpieczenie,gdyza-wodząnominalnerozwiązaniabezpieczeństwa(patrzrys.6.1).

Rysunek 6.1. Mechanizm logiczny naruszenia poprawnego działania organizacji


Wobectegoilekroćmowao: ciągłościdziałania–tochodziopostulatywnystanodpornościorganizacjinazakłócenie, zapewnianiuciągłościdziałania–tochodziociągplanowychdziałań,zmie-rzającychdozapobieżeniazakłóceniomlubusuwaniaprzyczyniskutkówzaistnieniazakłócenialubwprowadzeniazastępczychwarunkówdziałaniadoczasuusunięciaskutkówzakłócenia, zarządzaniuzapewnianiemciągłościdziałania–tochodzioproceszarzą-dzania,polegającyzwłaszczanaokreślaniuzadań,planowaniuimonitoro-waniuopracowywaniarozwiązańsłużącychzapewnianiuciągłości,atakże

Bezpieczne i ciągłe działanie organizacji

niepewność

nie jest zachowane w wyniku

wynika z interakcji rozważanego systemu działania organizacji z

jest realizowaniem się

rodzi się w wyniku

podjęte w warunkach

zakłócenie

zagrożenie

ryzyko

decyzja

działanie

jest

Zagr

ożen

ie w

ujęc

iu o

góln

ym

Ryzy

ko w

ujęc

iu o

góln

ym


naoceniepoczynańiwnioskowaniuwodniesieniudopotencjalnychorazzaistniałychzakłóceń,zmierzającegodozachowaniaciągłościdziałaniaorganizacji.

Zapewnianieciągłościdziałaniawywodzisięznastępującychprzesłanek: potrzebyprzyjęciazałożeńcodopriorytetowychfunkcjiiprocesów,którymzapewnienieciągłościdziałaniajestdlaorganizacjikwestiąnajwyższejwagi; potrzeby oszacowania potencjalnych stratmogących powstaćwwynikuzaistnieniazakłóceńorazkoniecznychnakładównarozwiązaniazapobie-gawczeinaprawcze; potrzebyprzewidywaniapotencjalnychzakłóceńnormalnegodziałaniaiko-niecznościopracowaniascenariuszydziałańzastępczychinaprawczych.

Zakluczoweelementyzarządzaniazapewnianiemciągłościdziałaniauznajesię: zrozumienieryzyka,przedktórymstoiorganizacja,mierzonegojegopraw-dopodobieństwemijegoskutkami,wtymidentyfikowanieinadawaniepriorytetówkrytycznymprocesombiznesowym; zrozumieniewpływu,jakiprzerwywdziałaniumogąwywrzećnadziałal-nośćbiznesową(ważnejest,abyznaleźćrozwiązaniamożliwedozasto-sowaniawprzypadkuzarównomniejszych,jakipoważnychincydentów,któremogłybyzagrozićistnieniuorganizacji); sformułowanieiopisaniestrategiiciągłościdziałaniazgodnejzustalonymicelamiipriorytetamibiznesowymi; sformułowanie i opisanie planów zapewnienia ciągłości działania zgod-nychzprzyjętąstrategią; regularnetestowanieiaktualizowanieprzyjętychplanówiprocesów; zapewnienie, że zarządzanie zapewnianiem ciągłości działania jestwłą-czonewprocesyistrukturęorganizacyjną; rozważeniewykupieniaodpowiedniegoubezpieczenia,któremożestano-wićczęśćprocesuzapewnieniaciągłościdziałania.

Odstronyorganizacyjnejproblematykazarządzaniazapewnianiemciągłościdziałaniazbiegasięzzarządzaniemjakością,zarządzaniemzapewnianiembezpie-czeństwa,zarządzaniemochronąśrodowiska,zarządzaniemfinansamiitegotypuprocesamidziałalnościdanejorganizacji.Rozważanieintegracjizarządzaniatymizagadnieniami,równieżwsensiewspólnychstrukturorganizacyjnychzarządza-nia,jestracjonalne,apośredniojestteżrekomendowaneprzeznormyISO22301,ISO22313,seriiISO900X,seriiISO1400X,seriiISO2700X i ISO31000. Wynika ztego,że:

wdziałalnościorganizacjinależysięliczyćzmożliwościązaistnieniazakłó-ceń,któreuniemożliwiąnormalnekontynuowanietejdziałalności; niezależnieodcharakteruprzyczyntychwydarzeń,wramachformalnegolubpostrzeganegowkategoriachbiznesowychobowiązkudołożenianale-żytejstarannościwwypełnianiuswychzadań,organizacjapowinnadążyćdokontynuowaniadziałalności;


staranieokontynuowaniedziałalnościwwarunkachzaistnieniazakłóce-niapowinnoopieraćsięnauprzednioopracowanym,konsekwentniedo-skonalonymitestowanymplanieciągłościdziałania,zwanymteżniekiedyplanemawaryjnym; zapewnianieciągłościdziałaniatoprzewidywaniescenariuszypotencjal-nychzakłóceńorazrozdzielneprojektowanie: – rozwiązańzapobiegającychsamymzagrożeniom, – rozwiązańsłużącychjaknajszybszemuusuwaniuskutkówzakłóceń, – rozwiązańkontynuowaniaograniczonejdziałalnościwwarunkachkry-tycznych;

podejście do problemu ciągłości działania powinno być racjonalne, tzn.obliczonenazapewnienierównowagimiędzyoczekiwanymstopniempew-nościzachowaniaciągłościdziałaniaakosztamijegouzyskania;koniecznejestwięctakżeprzyjęciezałożeniastopniowegorezygnowaniazkolejnychelementównormalnej działalności stosownie do zidentyfikowanych roz-miarówsytuacjikrytycznej(niezawszemasens,zwłaszczaekonomiczny,uporczywestaranieoutrzymanieciągłościdziałania); planciągłościpowinienbyćnatyleelastyczny,abyumożliwiałdostoso-waniedozakłóceniaodbiegającegoodprzewidywańbędącychpodstawąpierwotnegoplanu; koniecznejestzdefiniowanieprocesowejistotydziałalnościdanejorgani-zacjijakominimumczynności,którenależyutrzymaćdziękiplanomcią-głościdziałania;niemożnośćkontynuowaniatakiegominimumczynnościjestpodstawądecyzjiorezygnacjizkorzystaniazplanuciągłościiskupie-niusiętylkonausuwaniuskutkówzakłóceń; wramachprzygotowywaniaplanuciągłościrozważasięwpierwszymrzędzieaspektybiznesowe,prawne iorganizacyjne,boonedecydująokoniecz-nymzakresierozwiązań; analizabiznesowadotyczyćmożekwestiiprestiżufirmy,anapewnoswo-istegobilansuryzykaorazśrodkówfinansowychprzeznaczonychnajegoograniczenie;rozsądnejestpotraktowanieplanuciągłościjakodługofalo-wegoprojektu,wktórymzałożonecelebędąosiąganestopniowo,kolejnymiprzybliżeniami(wersjamiplanuciągłościdziałania); analizaprawnajestszczególnieważnaprzytworzeniuzałożeńplanucią-głości, pozwala bowiem zdefiniować zakres odpowiedzialności firmy zaposzczególneobszaryjejdziałalności,wskazaćobszarynewralgiczneorazdobraćpozatechniczneformyzabezpieczeń; analizaorganizacyjnapozwalawyodrębnićzasoby,wtymzwłaszczakadręosóbwłaściwądlaposługiwaniasięplanemciągłościwwarunkachkrytycz-nych,stworzyćimodpowiedniezasobymateriałowe,finansoweiinforma-cyjneorazzakresautonomiidecyzyjnejdlatakiejsytuacji,awwarunkachcodziennychumożliwićprzygotowywaniesiędotakiejtrudnejroli;


żadenzelementówanalizy,apodobnieiprojektowanierozwiązańtech-nicznych,niejestetapemzamkniętym;doskonalenieplanuciągłościpoleganastałymponawianiuanaliziprojektowaniarozwiązańwodniesieniudozmianwdziałalnościorganizacji,rozwojuplanuciągłościorazwnioskówzwystąpieniafaktycznychzakłóceń.

Systematycznepostępowaniezzakłóceniamipoleganaokreśleniu: jakiezakłócenia(zagrożeniawinterakcjizsystememdziałania)podlegająprzeciwdziałaniu,tj.sąobjęteproceduramizapobieganialubproceduramizapewnianiaciągłości, jakieobiektyinfrastrukturytechnicznejsąobjęteochronąprzedzagroże-niami, jakieprocesybiznesowesąobjęteochronąprzedzagrożeniami, jakieprzepływyinformacjisąobjęteochronąprzedzagrożeniami, ktojestodpowiedzialnyzaprzywracanieciągłościdziałaniawsytuacjiza-istnieniazakłócenia.

Zarządzającdziałaniemorganizacjizgodnieznormami ISO2700XorazISO22301,należytworzyćrozwiązaniaskuteczniezapewniającezachowanieciągłościtegodziałania.Rozwiązaniatakiemająstanowićozdolnościdourucha-mianiamechanizmuprzeciwdziałaniazakłóceniuwceluprzywróceniastanuorga-nizacjisprzedpojawieniasiętegozakłócenia(homeostaza).Skutecznośćrozwiązańantycypującychzakłóceniaiichadekwatnośćdofaktycznychzdarzeńpowinnasięplasowaćpowyżejproguminimalnejakceptacjiprzezdecydentów,którzyocenydokonujązwyklewświetledwukryteriów:

prestiżuorganizacjiistopniajegopodważeniawwynikuzawieszenialubograniczeniadziałania, relacji kosztów rozwiązań zabezpieczających do kosztów potencjalnychstratiprzywracaniadziałanianaruszonegozakłóceniem.

Racjonalniepojmowanahomeostazasystemudziałaniaprowadzidoświado-megookresowegoograniczeniajakościdziałaniadopoziomuzawczasuustalonegowświetlewyznaczników,takichjak:

utratanieusatysfakcjonowanegolubposzkodowanegoklienta, benchmarking wobeckonkurentówlubnajlepszychpraktykrynkowych, solidnestandardywspółpracyzpartneramiiklientamitzw.SLA46.Ograniczeniejakościfunkcjonowanianiepowinnotrwaćdłużejaniżeliczas

potrzebnynausunięcieprzyczyn i skutkówzakłócenia,przyczymniekiedy tepierwszemogąustąpićsamoistnie,jeślitakijestcharakterzakłócenia.

46 SLA–service level agreement–realistyczneiprecyzyjneustalenieprzezstronyusługparametrówichświadczenia,wtymdopuszczalnychpoziomówniedostępności tychusług jakonienaruszającychwarunkówumowy,np.serwisowej.Zob.[Hiles,1993].


Percepcjazakłóceńjakozjawisknaruszaniaciągłościdziałaniaopierasięnadwóchzasadniczychczynnikachocenyichistotności:

prawdopodobieństwielubczęstościwystępowaniazakłócenia, wpływie(destrukcyjnymlubnie)zakłócenianaciągłośćdziałania.Czynnikiocenynieoznaczająmiar,tebowiemodpowiadająnaturzezjawiska

każdegokonkretnegozakłóceniazosobna.Ocenapowinnabyćindywidualnaido-konanazpunktuwidzeniadanejorganizacji.

Namodelowezapewnianieciągłościdziałaniaskładająsiędziałaniawtrzechprzestrzeniachprojektowych,prowadzącedokształtowania:

strukturyorganizacyjnejpowołanejdozapewnianiaciągłościdziałania(lubszerzejryzyka,bezpieczeństwaiciągłości), mechanizmuspiralidziałańorganizatorskichsłużącychrealizacjicelupro-jektowania, formutrwalaniawiedzyoproblemieirozwiązaniach.Spiralacykluorganizatorskiego,postrzegananajzupełniejklasyczniejakocykl

Deminga(PDCA)(rys.6.6),maprowadzićodanalizyczynnikówkrytycznychdoprojektowaniarozwiązańorazichstopniowegodoskonalenia.Analizaobejmuje:

identyfikacjęprocesówbiznesowychwceluwskazaniaichnajważniejszychelementów, identyfikacjęryzykaprowadzącądookreśleniazagrożeńiform,wjakichmogąsięprzejawiać, identyfikacjępodatnościjakocechnewralgicznychzasobówlubmiejscichpołożenia,wktórychorganizacjaszczególniemocnowystawiona jestnazagrożenia.

Takaanalizasłużywyspecyfikowaniumożliwychzakłóceń,atakżeocenieichistotności.Odtegomomenturozpoczynasięfazaprojektowaniascenariuszyjakorozwiązańnaprawczych(wsensiekoncepcjipostępowania)orazjakodokumentacjirozwiązania.Projektowanieobejmuje typowedziałaniamikrocykluorganizator-skiego:pomysł,wykonanie,kontrola,użycie(częstotylkojakotest).Powstałysce-nariusz powinien być systematycznie doskonalonyw kontekście doświadczeńpraktycznych(użyciewobeczdarzeńkrytycznych)orazewolucjiwiedzyoproble-mie(okresoweprzeglądymetodąsztabową).

Utrwalanie wiedzy odbywa się w aspekcie bezpośrednio organizacyjnym,którystanowiądziałaniaszkoleniowe,testyinaradysztaboweinspirowaneprzezKomitet Kryzysowy oraz poszczególne komórki organizacyjne, orazw aspekciezintegrowanejdokumentacji.Ogromneznaczeniedlaskutecznegogromadzeniaiutrwalaniawiedzy(takżewsensieuniezależnieniaodabsencjiifluktuacjikadrzaangażowanychwpracenadciągłościądziałania)mawprowadzeniekomplekso-wychzasadprowadzeniadokumentacji i jejwewnętrznegoredagowania.Doku-mentacjatamabowiemposłużyćreagowaniunawystąpieniesytuacjikrytycznej,kiedyczęstobrakczasunazastanawianiesięnadinterpretacjązapisu.Utrwalaniewiedzyjestbowiemutrwalaniemdoświadczeniaiwynikającejzniegoprawidłowej


praktykidziałania.Zasadnicząjegointencjąjestprzygotowaniedługofalowegopro-gramupodnoszeniazdolnościdoutrzymywaniaciągłegodziałaniawrazzoszacowa-niemkosztówuzyskaniatakiejzdolnościwrelacjidoszacowanychewentualnychskutków(stratwwyniku)zakłóceń.

Wobecustalenia,żetylkodwaczynnikidecydująooceniezakłócenia(wiel-kośćjegowpływuorazczęstośćwystępowania),towtakimrazieichsuperpozycjaprowadzidookreśleniaczterechgeneralnychpostawreagowanianazagrożenia(rys. 6.2).Modelowe podejście do reagowania na zagrożenia/zakłóceniamożeodbywaćsięnaczterysposobyokreślanemianempodejśćreagowania.Przypisanieposzczególnychprzypadkówzagrożeńdoposzczególnychsposobówmodelowegoreagowania jest nie tylko indywidualne oraz subiektywne, ale i tymczasowe.Wskazanajestokresowa,wmiaręczęstaweryfikacjatakiejocenyuwzględniającarozwójorganizacjiijejsystemudziałaniaoraznarastaniewiedzyowpływiepo-szczególnychzagrożeń iprawdopodobieństwie ichwystąpieniaw formiezakłó-ceń.Przydziałdokażdejzkategoriipowinienuwzględniaćkryteriaekonomiczneiprestiżu.Miaryocenyustalanesąwgmetodydyferencjałusemantycznego.Rozwią-zaniekwestiireagowanianazagrożenia(awkonsekwencjipostępowaniazza-kłóceniami) jest syntetycznymujęciemorganizacyjnegopodejściadoproblemu.Opierasięnaprzyjęciuczterechgeneralnychpodejśćwobeczagrożeńizakłóceńorazokreśleniudrogi(metoda,zasady,odpowiedzialność)wypracowaniakonkret-nychrozwiązań,redagowanychwpostacipolitykipostępowaniazzakłóceniami.Precyzujetakżestrukturęorganizacyjną,którejpowierzasięadministrowanietymproblemem.

Rysunek 6.2. Modelowe postępowanie z zagrożeniami


ZapobieganiePlan zapewniania ciągłości działania

Tolerowanie Monitorowanie

Małe prawdopodobieństwolub częstość wystąpienia

Duże prawdopodobieństwolub częstość wystąpienia

Duży wpływ(destrukcyjny)

Mały wpływ


Tolerowanie oznaczapogodzeniesięzprzejściowyminiedogodnościami.Mo-nitorowanieoznacza,żewiedzaozakłóceniu jestdostatecznadouruchomieniamechanizmukompensacjinazasadzieorganizacyjnejhomeostazy.Zapobieganieoznacza działania inwestycyjne i techniczne w celu zapobieżenia negatywnymskutkomzakłócenia. Planowanie zapewniania ciągłości działania jest zestawemscenariuszyprzewidywanegomaterializowaniasięzagrożeńorazdziałańzaplano-wanychnatakąokoliczność.

Podejścietolerowaniazakłóceńodnosisiędopostępowaniazzakłóceniamiwswejnaturzezewnętrznymiwobecdanejorganizacji,atylkowtórniejejdoty-czącymi,wszczególnościnieinwazyjnymi,azwłaszczaniedestrukcyjnymi.Przy-kład:firmatransportowa,którazajmujesiękolportażemprasy–jeślidochodzidozakłóceniapolegającegonawystąpieniuintensywnejmgły,tonaturalnymrozwią-zaniemjestpostępowaniepolegającenaprzeczekaniudomomentuustąpienialubzmniejszeniaintensywnościmgłyipóźniejszerozwiezieniegazet.Przyjętaworga-nizacjitzw.politykatolerowania(zasadypostępowania) powinnaokreślaćpodsta-woweregułypogodzeniasięzzaistniałymzakłóceniem,badaniaprzesłanekjegoutrzymywania się, stwierdzania jego ustąpienia oraz powrotu do rutynowegofunkcjonowania.Dokumentowipolitykipowinnytowarzyszyćproceduryszczegó-łowookreślającekoniecznedziałaniakomórekorganizacjiwsytuacjachzakłóceńzakwalifikowanychdopoddaniaichtejpolityce.Przykładoweuregulowanie–mimoże reakcja organizacji na zakłóceniemożew skrajnymprzypadku polegać nazawieszeniuwypełnianiastatutowychfunkcji,tobyćmożenależypoinformowaćo tympartnerówhandlowych lubopiniępubliczną, skierowaćpracownikówdopraczastępczychniepoddającychsiędziałaniuzakłócenia,uruchomićrozwiązaniaśledzące stopień intensywności zakłócenia.Natomiastwmomencieustąpieniazakłócenianależydokonaćweryfikacji, czy jestmożliwepodjęciezawieszonychdotądczynności/funkcji.

Podejściemonitorowaniaodnosisiędopostępowaniazzakłóceniamiwswejnaturze drobnymi, choć częstymi (przez conależy zakładać ich incydentalniewiększywpływprzezkumulacjęzdarzeńwkrótkimczasie),alewyraźnieniede-strukcyjnymi.Ztegopodejściamawynikaćobowiązekszczegółowegorozwiązaniaprzez posunięcia organizacyjne oraz nawet drobiazgowe regulacjewewnętrznereakcjinawszelkie typowezakłócenia. Istotą jestnikły lubwręczżadenwzrostkosztuztytułurozwiązańreagowania,przedewszystkimmająonebowiemcharak-terorganizacyjny.Przykład:nieobecnościchorobowepracowników–zapewnienieadekwatnejreakcjinatakiezakłóceniepoleganawprowadzeniu,przynajmniejwstosunkudonewralgicznychstanowiskpracy,obowiązkujaknajszybszegoza-wiadamianiazakładupracyoraznaopracowaniuzasadorganizowaniazastępstw.Przyjętaworganizacjitzw.politykamonitorowania(zasadypostępowania) powinna określaćpodstawoweregułyreagowaniaorganizacjinazakłócenia,codoktórychświadomość ichzaistnieniawpołączeniuz istniejącymiproceduramizachowańpowinnawdostatecznymstopniuuruchamiaćorganizacyjnemechanizmykom-pensacjizakłócenia.Dokumentowipolitykipowinnytowarzyszyćproceduryszcze-gółowookreślającekoniecznedziałaniakomórekorganizacjiwsytuacjachzakłóceńzakwalifikowanychdopoddaniaichtejpolityce.


Podejściezapobieganiaodnosisiędopostępowaniazzakłóceniamiistotnymi,destrukcyjnymiipotencjalnieczęstowystępującymi.Jesttopodejścieprewencji,jegonaturalnymikonsekwencjamisąinwestycjeirozwiązaniaograniczająceryzykozagrożenia.Przyjętaworganizacjitzw.politykazapobiegania(zasadypostępowania) powinnaokreślaćplanyorganizacjidotyczącedziałańprewencyjnych,którewod-niesieniudoszczególnieistotnychelementówdziałalnościorganizacji,azwłaszczaszczególniewrażliwychelementówjej infrastrukturytechnicznej,majązniwelo-waćdestrukcyjnywpływzakłóceń.Typowymidziałaniamipodejmowanymiwtymcelusą:tworzenierozwiązańzapasowych,nadmiarowych,zwielokrotnionychwsto-sunkudoprzeciętnychzapotrzebowań.Dokumentowipolitykipowinnytowarzyszyć analizyszczegółowookreślającestopieńizakreswrażliwościrozwiązańistniejących,plany rozwiązańzmniejszającychzagrożenia,procedury/instrukcje szczegółowookreślająceorganizacjęizasadydziałaniabieżącegoorazspecjalnychinterwencjispecjalistycznychzespołówdozwalczaniaspecyficznychzagrożeń(pożar,atakhakerski, awaria informatyczna). Przykłady – zapasowy ośrodek komputerowy,dublowaneliniekomunikacyjneprowadzonefizycznieróżnymidrogamii/lubzwykorzystaniemodmiennychmediówtransmisji,takżedyżuryspecjalnychekipinterwencyjnychostosownychkwalifikacjach.

Podejścieplanowaniazapewnianiaciągłościdziałaniaodnosisiędopostępo-waniazzakłóceniami istotnymi,destrukcyjnymi, leczrzadkowystępującymi,coekonomicznieuzasadniadecyzjęorezygnacjizpodejściazapobieganiaiświado-mepodejmowanieryzykazagrożeń.Przykład:giełdapapierówwartościowych–światowe statystyki mówią, że zawieszenie notowań z powodu niesprawnościsystemukomputerowegozdarzasięnieczęściejniżraznakilkalatitrwaniedłu-żejniż jedendzień,uzasadnione jestwięcpoleganiena scenariuszuzastępczegofunkcjonowaniawtrakcieusuwaniatakrzadkozdarzającejsię,poważnejawarii.Przyjętaworganizacjitzw.politykaplanowaniaciągłościdziałania(zasadypo-stępowania) powinnaokreślaćplanyorganizacjidotyczącedziałańkoniecznychwprzypadkuzmaterializowaniasięzagrożeniawpostacikonkretnegozakłócenia.Plany powinny obejmować rozwiązania organizacyjnedotyczące prowadzeniasamejpolitykiorazscenariuszeprzypadkówzakłóceńizakładanychwobecnichdziałań,mającychnaceluzapewnieniekontynuacjiprzynajmniejpodstawowejaktywnościbiznesowejorganizacji.Ponadtopolitykaplanowaniaciągłościdziała-niapowinnaokreślaćzasadyreagowaniaad hocnazdarzenia,którychniestetynieudałosięprzewidziećwscenariuszach(wogólelubcodoskali).Dokumentowipolitykiplanowaniaciągłościdziałaniapowinnytowarzyszyćprocedury/instrukcjeszczegółowookreślająceorganizacjęsłużbodpowiedzialnychzaplanyciągłościdziałania, podstawowe reguły komunikowania sięwwarunkach awarii, zasadyreagowanianatypowezagrożenia,scenariuszeprzewidywanychrozległychzakłó-ceńireagowaniananie,zasadyuwzględnianiawnowychwersjachplanówawa-ryjnychdoświadczeńzezwalczaniaświeżozaszłychzakłóceń. Wpraktyceplanytedzielisięnadwieklasy.JednąstanowiąplanyDRP(disaster recovery plans),któreodnosząsiędopostępowaniawprzypadkuoczywistychawariitechnicznych(wtyminformatycznych) i związanych z tymubytkówwbieżącej dyspozycyjności ele-mentówinfrastrukturytechnicznej.PlanyDRPokreślająsposóbpostępowaniapo-

6.2. Organizacja zapewniania ciągłości działania 105

legającynanaprawiebądźwymianieelementuinfrastrukturytechnicznej.DrugąklasęstanowiąwłaściweplanyBCP(business continuity plans),które określają,jakwwarunkachpoważnegozakłóceniadziałalnościbiznesowejzapewnićwarunkizastępcze dla tej działalności oraz jak zorganizować tok przywracania sytuacjisprzedzakłócenia.PlanyBCPkorzystają zplanówDRP,które sąwykonywanesamoistniewprzypadku awarii technicznych lub też są realizowanew ramachplanówBCPwprzypadkupoważnychzakłóceńdziałalnościbiznesowej,jeśliichelementemjestawariatechniczna.

6.2. Organizacja zapewniania ciągłości działania Zasadnicząideęprzypisaniakompetencjisłużbodpowiadającychzabieżącezarzą-dzanieproblematykąprzygotowywaniapolitykpostępowaniazzakłóceniamiorazorganizacjęzarządzaniakryzysowegouaktywnianegowprzypadkuawariiprzed-stawiononarysunku6.3.

Rysunek 6.3. Zarządzanie zapewnianiem ciągłości działania


PokazanynanimKoordynatorBCM(zwanyteżZespołemAntykryzysowym)jestkomórkąlubrolą47operacyjno-sztabowąustanowionąnastałeworganizacji,powołanądobieżącegokoordynowaniaprzygotowańorganizacjidoświadomego

47 Przezkomórkę rozumiesię jednostkęorganizacyjną formalnie funkcjonującąwstrukturzeorganizacyjnej.Przezrolęrozumiesiękomplekszadańdodatkowych,przypisanychdostanowiskalubjednostkiorganizacyjnej,któreposzerzajązakresdotychczasowychzadaństanowiska/jednostki.

A1 B1

A2 B2

Komitet Kryzysowy

Koordynator BCM

Zarząd

Pion A Pion B Pion C

C1

C3

C2

ZA1

ZA3

ZA2


iplanowegostawianiaczołazakłóceniomdziałalnościbiznesowej,wtymopraco-wywaniadokumentacjiscenariuszysytuacjikryzysowych,kompletnychprocedurdotyczących realizacji rutynowej lub awaryjnej procesów biznesowych oraz in-strukcji postępowania.Między kolejnymi posiedzeniami Komitetu KryzysowegobieżącokoordynujerealizacjęzadańnałożonychprzezKomitetnaposzczególnekomórkiorganizacyjne,odpowiadazaprowadzenieidystrybuowanieaktualnejdokumentacjiBCP(plany,scenariusze)iodpowiadazaorganizowanieszkoleńoraztestów.WsytuacjiwystąpieniasytuacjikryzysowejwspieradziałaniaKomitetuKryzysowego.

KomitetKryzysowy (zwany też sztabemkryzysowym) to ciało zadaniowe,którezbierasięokresowo,regularniewramachplanowychpracnadprzygoto-wywaniemzdolnościdoskutecznegozapewnianiaciągłościdziałanialubad hoc wprzypadkachnadzwyczajnych.Mapolecać(irozliczaćzwykonania)poszcze-gólnym komórkom organizacyjnym konkretne zadania w ramach stopniowegoprzygotowywaniarozwiązańBCMorazdokumentacjiBCPiDRPoraznabywaniaumiejętnościpostępowaniawsytuacjachkryzysowych.Sampowinienprzygoto-wywaćsiędokierowaniawychodzeniemzkryzysu,jeślitakowywystąpi.Powinienmiećmocnepełnomocnictwakierownictwaorganizacji(najlepiejgdywskładziebędzie jedenzczłonków tegokierownictwa).Wwielu, zwłaszczamniejszych,organizacjach rolękomitetupełni zarząd.Pozaistnieniupoważnegozakłóceniakomitetstajesięsztabemkryzysowymodużychkompetencjachwzakresiebieżą-cegozarządzania,gdyżpowagazdarzeniamożewymagaćszybkiegopodjęcianie-standardowych działań związanych z okresową zmianą praktyki biznesowej,podległościizadańkomórekorganizacyjnychorazpracowników,szybkichścieżekdecyzyjnychorazspecjalnychinwestycji.

ZespołyAwaryjnetociałazadaniowepotrzebnewposzczególnychjednost-kachterenowychlubwybranychkomórkach,podporządkowaneKomitetowiKry-zysowemu, działające lokalnie na podobnych zasadach jak komitet centralnie.Także,wraziepotrzeby,wcentraliteciałazadaniowewkomórkachoszczególnymznaczeniu,wwypadkuwystąpieniakryzysunp.działadministracjiczydziałinfor-matyki.PożądanejestteżpowoływaniezawczasuZespołówAwaryjnychwnajważ-niejszychkomórkachorganizacyjnych,zwłaszczatakichjakpionyodpowiedzialnezainformatykę(biura,działy,ośrodki)lubspecjalnegoznaczeniajednostkiterenowe.Potrzebnejesttakżestosowneszkolenieczłonkówtychzespołów.

Powołującczłonkówwyżejwymienionychciałorganizacyjnychzajmującychsięciągłościądziałania,należyzadbać,abywichskładzieznalazłysięosoby:

decyzyjne, reprezentująceistotnekomórkiorganizacyjne, kluczowetechnicznie(np.specjaliściodinstalacjielektrycznych,telekomu-nikacji,materiałówniebezpiecznych,informacjispecjalnegoznaczeniaitp.), rzutkie, odpornenastres.


Ponadtopożądanejest,abywzespołachtychznaleźlisię: prawnik, przedstawicielkomórkiadministracjiizaopatrzenia, wewnętrzniaudytorzydziedzinowi.Podstawowezałożeniazapewnianiaciągłościiichimplementacjadladanej

organizacjizawartesąwspecjalnymdokumencie„Politykazapewnianiaciągłościdziałania”,opisanymdalej.Punktemwyjściadlaopracowaniapolitykijestrozpo-znaniezagrożeńoraznewralgicznychskładowychinfrastrukturytechnicznejorga-nizacji,wyodrębnionychwświetleanalizyprocesówbiznesowychorganizacjiiichumiejscowienianaplanieinfrastruktury.Nałożenietychelementówprowadzidookreśleniamapypotencjalnychzakłóceń,którymnależyzaradzićprzedichwystąpie-niemlubponim.Wtymwłaśniecelutworzysiędokumentywykonawczepolitykizapewnianiaciągłościdziałaniaorazspecjalneprocedury.Strukturadokumentówprzedstawionajestnarysunku6.4.

Rysunek 6.4. Hierarchia dokumentów w zarządzaniu zapewnianiem ciągłości działania


Zasady zarządzania zapewnianiem ciągłości działania

Bezpieczeństwo fizyczne i techniczne

Bezpieczeństwo osobowe

Bezpieczeństwo informacji

Zapewnianie ciągłości działania

Polityka Bezpieczeństwa Operacyjnego

Polityka tolerowania

Polityka monitorowania

Polityka zapobiegania

Polityka planowania ciągłości działania

Scenariusze sytuacyjne

Scenariusze sytuacyjne Plan inwestycyjny Scenariusze

sytuacyjne

Plan zapewniania ciągłości działania

Procedury i instrukcje




Regulamin zapewniania ciągłości organizacji

Regulaminy zapewniania ciągłości jednostek organizacyjnych


Modelowastrukturadokumentu„Politykazapewnianiaciągłościdziałania”jestnastępująca:

intencjezapewnianiaciągłościdziałania, zasadyanalizyryzykazakłóceniadziałalności, zasadyzarządzaniazapewnianiemciągłościdziałania, organizacjazarządzaniaprocesamizapewnianiaciągłościdziałania, zasadyzapewnianiaciągłościdziałania, specyfikacjaaktówprawnychiwzorcówdobrychpraktyk.Modelowa struktura dokumentacji „Plan zapewniania ciągłości działania”

jestopisanaponiżej. RozdziałI.Zakres,celeiprocedurysystemuzapewnianiaciągłościdziała-nia(BCMS,wgnormISO22301 i BS25999punkty3.4.1.1oraz3.2.1). – ZakresBCMS. – CeleBCM. – Analizainteresariuszy. – Kluczoweprocesy/funkcje/usługi. RozdziałII,Politykazapewnianiaciągłościdziałania(BCM,wgnormISO22301 i BS25999punkty3.4.1.1oraz3.2.2). – Deklaracjastosowania„Politykizapewnianiaciągłościdziałania”. – Politykazapewnianiaciągłościdziałania(wynikającezPolitykiszczegó-łowe zadania i kompetencje poszczególnych komórek organizacyjnychokreślanesąwzamieszczonymwZałączniku„RegulaminBCM”).

RozdziałIII.Zapewnianiezasobów(wgnormISO22301 i BS25999punk-ty3.4.1.1oraz3.2.3). – Zasobyosobowe. – Zasobyfinansowe. – Zasobymaterialne. – Zasobyinformacyjne. Rozdział IV. Kompetencje personelu (wg norm ISO 22301 i BS 25999 punkty3.4.1.1oraz3.2.4). – Koniecznekompetencje. – Plan/realizacjaszkoleń. – Prowadzeniezapisówdotyczącychkwalifikacji. RozdziałV.Analizawpływunabiznes(BIA,wgnormISO22301 i BS25999 punkty3.4.1.1oraz4.1.1). – Opismetodyanalizy. – Wyniki analizy. – Przeglądyanalizy.


Rozdział VI. Szacowanie ryzyka (TSM-ORA, wg norm ISO 22301 i BS25999punkty4.1.1oraz4.1.2). – Opismetodyszacowania. – Wynikiszacowania. – Przeglądyszacowaniaryzyka. RozdziałVII.Modelzapewnianiaciągłościdziałania(wgnormISO22301 i BS25999punkty3.4.1.1oraz4.2). – Zasady. – Strukturaorganizacyjna. – Zarządzanierelacjamizinteresariuszami(elementytypowychkontaktówzinteresariuszamizawiera„Plankomunikacji”wRozdzialeVIIIoraz„Li-stakontaktów”wZałączniku4).

Rozdział VIII. Struktura reakcji na incydent (wg norm ISO 22301 i BS25999punkty3.4.1.1oraz4.3.2). – Rekomendowanepostępowanie. – Plankomunikacji. RozdziałIX.ScenariuszeawaryjneBCPiDRP(wgnormISO22301 i BS25999punkty3.4.1.1oraz4.3.3). – ScenariuszeBCP. – ScenariuszeDRP. RozdziałX.Testowaniezarządzaniazapewnianiemciągłościdziałania(wgnormISO22301 i BS25999punkty3.4.1.1oraz4.4.2). – Zasadytestowania. – Plantestów. Rozdział XI.Utrzymanie i przegląd ustaleń związanych z zarządzaniemzapewnianiemciągłościdziałania(wgnormISO22301 i BS25999punkty3.4.1.1oraz4.4.3). – Zasadyutrzymaniaiprzeglądów(technikasamooceny). – Planprzeglądów. RozdziałXII.Audytwewnętrzny(wgnormISO22301 i BS25999punkty3.4.1.1oraz5.1). – Zasadyaudytowania. – Planaudytów. – Przebiegaudytu. Rozdział XIII. Przeglądy zarządzania systemem zapewniania ciągłościdziałania(wgnormISO22301 i BS25999punkty3.4.1.1oraz5.2). – Zasadyprzeprowadzaniaprzeglądówzarządzania. – Planprzeglądówzarządzania. – Przebiegprzegląduzarządzania.


RozdziałXIV.Działaniazapobiegawczeikorygujące(wgnormISO22301 i BS25999punkty3.4.1.1oraz6.1). RozdziałXV.Ciągłedoskonalenie(wgnormISO22301 i BS25999punkty3.4.1.1oraz6.2). – Uświadamianie. – Szkolenia. – Przeglądy,audyty,analizy. – OcenadojrzałościzarządzaniaBCM. Załącznik1.Regulaminy,procedury,instrukcje,metody. – Struktura organizacyjna zarządzania zapewnianiem ciągłości działania(KomitetKryzysowy,KoordynatorBCM,ZespołyAwaryjne). – Regulaminzapewnianiaciągłościdziałania. – RegulaminKomitetuKryzysowego. – ProceduraprowadzeniadokumentacjiBCM. – OpismetodyszacowaniaryzykaoperacyjnegoTSM-ORA. Załącznik2.ScenariuszeawaryjneklasyBCP. Załącznik3.ScenariuszeawaryjneklasyDRP. – Wzywanieserwisów. – Naprawyawariiinfrastrukturytechnicznej. Załącznik4.Zasoby. – Listakontaktów. – Szkoleniapracowników. – ZasobyfinansoweBCM. – ZasobymaterialneBCM. – ZasobyinformacyjneBCM. Załącznik5.Wymaganiaiźródładobrychpraktyk. – Ważniejszeprzepisy. – Źródładobrychpraktyk(normy,stronyinternetowe,publikacje). Załącznik6.Planyiraporty. – PlanyiraportyroczneKomitetuKryzysowego. – PlanyiraportybieżąceorazprotokołyposiedzeńKomitetuKryzysowego. – Planyiraportyztestów. – Planyiraportyzaudytów. – Planyiraportyzprzeglądówzarządzania. – Planoddziaływanianainteresariuszy. Załącznik7.Rejestrybieżące. – Rejestrincydentów. – Rejestrdziałańkorygujących.

6.3. Tok postępowania analitycznego i projektowego 111

– Rejestrdziałańzapobiegawczych. – Rejestrdoświadczeń. Historiadokumentacji. – specyfikacjazmian. – inne.

6.3. Tok postępowania analitycznego i projektowegoWdrażaniepolitykizapewnianiaciągłościdziałanianapotykatypowebarieryza-rządzaniawyjątkami(zakłóceniasąrodzajemwyjątkówwrutynowymprzebieguwykonywaniapracyworganizacji).Ważniejszymibarieramisą:

brakświadomościpotrzebypodejściaprocesowego, brakzarządzaniaryzykiemworganizacji, brakintegracjizarządzaniaryzykiem,bezpieczeństwemiciągłością, brakpoparciawysokiegokierownictwadlazarządzaniaryzykiem,bezpie-czeństwemiciągłością, brakdoświadczeniawtegotypuprzedsięwzięciach, traktowanieproblematykizapewnianiaciągłościdziałaniajakotypowegoproblemu do rozwiązania jednorazowym projektem opracowania planuawaryjnego,anieustanowieniaprocesustałegodoskonaleniaumiejętno-ściradzeniasobiezincydentami, pospiesznezajęciesięproblemembezwcześniejszegodoborumetodyroz-wiązywaniaproblemuorazmetodyprowadzeniaprojektu, niedocenianieznaczeniadokumentacjiijejsystematycznejaktualizacji.Przyuwzględnieniuprzełamywaniatakichbarier,podstawąwdrożeniapoli-

tykipostępowaniazzakłóceniamijestodpowiedniplan,którypowstajewdrodzeczynnościanalityczno-projektowych,wśródktórychmożnazwłaszczawyróżnić:

analizęprocesówworganizacji, identyfikacjęinteresariuszy, analizęzagrożeńdlaorganizacji(jakoanalizaBIAlubanalizaryzyka), analizępodatnościorganizacjinazakłócenia(jakoanalizaBIAlubanalizaryzyka), opracowaniemapyzakłóceń, opracowanieregulaminów,procedur,instrukcji, realizacjępodejściazapobieganiazakłóceniom, realizacjępodejściaplanowaniaciągłościdziałania, realizacjępodejściamonitorowaniazakłóceń, realizacjępodejściatolerowaniazakłóceń, wdrażanieprzyjętegopostępowaniazzakłóceniami, testowanieplanówzapewnianiaciągłościdziałania.


Możnatozorganizowaćtak,jaktopokazanonarysunku6.5.Częśćtychpracstanowicykl,którypowtarzanycopewienczasnazasadziespiralidoskonaleniapozwalautrzymywaćirozwijaćrozwiązaniazapewnianiaciągłościdziałania.

Rysunek 6.5. Projektowanie wg metody TSM-BCP


Faza wstępna• Powołanie ciał zadaniowych (Komitet, Sztab, Pełno-

mocnik) i zespołu projektowego• Szkolenie zespołu projektowego z metody

Faza przygotowania• Analiza dotychczasowych rozwiązań i proste po-

sunięcia doskonalące• Projekty dokumentów regulujących prace w za-

kresie zapewniania BCP (regulaminy, procedura prowadzenia dokumentacji)

• Plan prac nad pierwszą wersją Planu BCP• Szkolenia szerokiego kręgu osób przewidywa-

nych do zajmowania się zagadnieniem BCP • Przyjęcie struktury dokumentacji Planu BCP

Faza analizy• Inwentaryzacja rozwiązań istnie-

jących• Analiza ryzyka w ujęciu: procesów,

zagrożenia, podatności• Opracowanie scenariusza wyjścio-

wego dla projektu „Stało się coś poważnego”

Faza kontroli• Ustalenie modelu okresowych au-

dytów (kto, jak, zakres, terminy)• Przeprowadzanie testów• Przeprowadzanie (samo) audytów• Wnioski z testów, audytów, incy-

dentów

Faza wdrażania• Szkolenia osób przewidzianych do

zajmowania się BCP• Opracowanie zasad testowania

rozwiązań BCP• Podsumowanie projektu• Zasady i plan działań stałego do-

skonalenia

Faza projektowania• Plan (lista, terminy, wykonawcy)

scenariuszy do opracowania jako wynik analizy ryzyka

• Wytyczne pilnych usprawnień (zmiany w organizacji pracy, in-westycje) wynikających z analizy ryzyka

• Opracowanie scenariuszy • Testy sztabowe

Spirala doskonalenia


Zasadadoskonaleniarozwiązańzapewnianiaciągłościdziałaniajestpostulo-wanaprzezwszystkieźródładobrychpraktykwtejdyscyplinie,ponieważwszystkieoneczerpiązwzorcapodejściajakościowego,takjegozasad,jakicykluDeminga[Hamrol,2005]),którywzastosowaniudozarządzaniabezpieczeństwem(turo-zumianegoszerokoiobejmującegotakżezapewnianieciągłościdziałania)zostałpokazanynarysunku6.6.Ciągłośćdziałaniajestteżprzedmiotemwymagaństa-wianychprzezprzepisyUEorazposzczególnychjejczłonków,przedmiotemreko-mendacjibranżowych(oBaselIIiSolvencyIIbyłajużmowa).Istniejeteższeregmetod projektowania rozwiązań zapewniania ciągłości działaniaw znaczeniuszerokopojmowanejpolitykialbowąskopojmowanychplanówawaryjnych,któretometodysąsystematycznierozwijaneprzezfirmydoradczespecjalizującesięwzagadnieniachzarządzaniaryzykiemoperacyjnym.

Rysunek 6.6. Wytyczne wdrażania Systemu Zarządzania Bezpieczeństwem Informacji wg modelu PDCA

Źródło: [ISO 27005:2011].

Analiza procesów w organizacji

Koncepcjapostrzeganiaorganizacji jako systemudziałania,wktórymkluczowejestprawidłoweiefektywnezarządzanieprocesami,jestcharakterystycznącechąwspółczesnegozarządzania[Dahlgaard,Kristensen,Kanji,2000; Waters,2001]. Tradycyjnepodejściedoorganizacjiwidzianejprzezpryzmatefektywnościdziała-niaposzczególnychpionówfunkcjonalnychikomórekorganizacyjnychprowadzidoatomizacjitychjednostekorganizacyjnych,aichdbałośćowłasnąwewnętrzną

PLANUJ

WYKONAJ

DZIAŁAJ

SPRAWDŹ

Ciągłe doskonalenie

Faza działania• podjąć działania korygujące

i zapobiegawcze• przeprowadzić dochodzenie

• wdrożyć identyfikowane usprawnienia

• upewnić się, że osiągnięto oczekiwane rezultaty

Faza sprawdzania• realizować procedury

monitorowania• przeprowadzać audyty

wewnętrzne w zaplanowanych odstępach czasu

• przeprowadzać regularne przeglądy wykonywane przez kierownictwo

Faza planowania• zdefiniować zakres SZBI• zdefiniować politykę bezpieczeństwa • zdefiniować ryzyko• oszacować ryzyko• zdefiniować plan

postępowania z ryzykiem• wybrać cele

i zabezpieczenia

Faza wykonywania• wdrożyć plan

postępowania z ryzykiem• wdrożyć wybrane

zabezpieczenia, aby osiągnąć cele i wymagania

• szkolić i wprowadzać programy uświadamiające

• zarządzać eksploatacją SZBI


efektywnośćparadoksalnieniepodnosiefektywnościcałejorganizacji,leczjąob-niża.Cowięcej,dążnośćdomikrodoskonałościwewnętrznejkomórekorganiza-cyjnychseparujejeodotoczenia,wtym–coszczególniekrytyczne–odklientów,kooperantówikonkurencji.

Natomiast podejście procesowe, pozostawiającw kompetencjach komórekorganizacyjnychdoskonaleniewykonywaniafunkcji,oznaczakoncentracjęzarzą-dzanianakoordynacjidziałańtychkomórekorazichrelacjizotoczeniemwświetlewyraźnieokreślonychcelów:organizacji,procesówistanowiskpracy.Wkrańcowymwydaniuprowadzitodomodeluzarządzaniamacierzowego[Górska,Lewandowski,2002].Wtensposób:

osiągasięoptymizacjędziałaniaorganizacji, osiągasięracjonalnośćwspółdziałaniakomórekorganizacyjnych, uwzględniasiępotrzebyklientówjakonajwyższycelorganizacji, uwzględniasięusługijakowynikpowiązańzotoczeniem, zdobywasięwiedzęotym,jakwykonywanajestpraca.Chodziprzedewszystkimoto,żepracajestwidzianaiorganizowanajako

proces,tj.ciągczynności,wwynikuktórychpowstajeproduktlubusługa.Procesjestprzytymłańcuchemdodawaniawartościwtokukolejnychskładającychsięnaniegooperacji.

Wynikiemanalizyprocesówsątzw.mapyogółuprocesówiposzczególnychprocesów.Dlapojedynczegoprocesutakamapajestsekwencjąoperacji,któredo-prowadzajądoprzekształceniaokreślonychzasobówwefekty.Wprzypadkuanalizzwiązanychzzapewnianiemciągłościdziałaniaraczejdokonujesięzmapowaniaistniejącegokształtuprocesu,aniekoniecznieweryfikujesięjegopoprawnośćme-rytoryczną,efektywnośćorganizacyjnąitp.cechyjakościzarządzania,choćbywa,żeanalizytakieprowadząpośredniodoreengineeringuprocesówiorganizacjipracy[Hamrol,2005].Tworzeniemapyprocesurozpoczynasięodzidentyfikowaniawszystkichpodmiotów(komórekorganizacyjnych, stanowisk)uczestniczącychwprocesie,anastępnieopisujesię,jakiekolejneczynnościskładająsięnaprocesiprzezjakiekomórkiorganizacyjnesąwykonywane.

Przypowszechnymobecniestosowaniuinformatyki,należymiećświadomość,żewłaściwiezaprojektowanezintegrowanesystemyinformatycznedokładnieod-zwierciedlająprzebiegiprocesów,któresąrealizowanekolejnoprzezposzczególnestanowiskapracyobsługiwaneprzezdanysystem[Byczkowski,Zawiła-Niedźwiecki,2009].Takwięcanaliza takich systemów informacyjnychpowinna towarzyszyćanalizieprocesówwcelu:

identyfikacjiprocesówlubichelementów,jeślikompletnaichanalizajestutrudniona; weryfikacji,czysysteminformacyjny/informatycznywłaściwieidostatecz-nieobsługujeanalizowaneprocesy;


identyfikacjidrógfizycznych48(główniepołożenieokablowaniaiurządzeńłączności)przepływuinformacji,którezasilająproces,towarzysząmu(sąelementem)lubsąjegowynikiem.

Potrzebaanalizysystemówinformacyjnychiinformatycznychwynikateżzeszczególnejroliinformacjiwzarządzaniu,którajakoczynnikzwiększającywiedzęootaczającejrzeczywistości,zwanajestniekiedy„krwioobiegiemzarządzania”.Informacje stanowiąpodstawę (zasilanie) zarządzaniaprocesami, opisująprze-biegprocesów,sąjednymzzasileńprocesówijednymzichrezultatów.Przepływyinformacjiodbywająsiętradycyjnymidrogamifizycznymi(kanałami),wynikają-cymizprzyjętegosposobuzorganizowaniaprocesu,lubdrogamiwyznaczonymiprzezinfrastrukturętelekomunikacyjną.Potencjalnieprowadzitodofizycznejroz-bieżności dróg przekazu informacjiwukładzie informatycznymw stosunkudoprzekazutradycyjnego,zgodnegozprzebiegiemprocesujakorelacjimiędzykolej-nymistanowiskamipracy.Tarozbieżnośćjestistotnymczynnikiemzwiększającymkrytycznąpodatnośćnazakłócenia[Byczkowski,Zawiła-Niedźwiecki,2009].Ana-lizując przepływy informacji, w odniesieniu do wszystkich kanałów przekazu,zwracasięuwagęna:

spójność i dyskretność przepływu informacjiw ramach danego procesubiznesowego, stopieńtowarzyszeniaprzepływuinformacjiprocesowibiznesowemu, środkiprzekazuinformacjiiichpodatnośćnazakłócenia, stopieńzastępowalnościśrodkówpodstawowychprzezinne, krytyczneelementyprzepływuinformacji.

Analiza zagrożeń wobec organizacji

Analizęzagrożeńprzeprowadzasię,posługującsięwzorcowąlistązagrożeń(zob.tabela6.1).Napoczątkunależyskreślićzniejzagrożenianieadekwatnedosytu-acjidanejorganizacjiorazewentualniedodaćinne,specyficznedlatejorganizacji.Następnie ocenia się, czy dane zagrożeniema charakter zewnętrzny czy teżwewnętrznyzpunktuwidzeniaorganizacji.Chodzioto,czyzagrożeniewewnątrzorganizacjimaterializujesięwswejwłaściwejpostaciistanowitoproblemorga-nizacji,np.czyhuraganjestprawidłowozidentyfikowanymzagrożeniem,czyra-czejpowinnonimbyćuszkodzeniebudynku.Jesttościślepowiązanezpodziałemryzykanaujęcieprzyczynoweiskutkowe–przyczynowejestbliższeposzukiwaniurozwiązańzabezpieczającychimonitorowania,skutkowezaśbliższerozwiązaniomzapewnianiaciągłościdziałania.Zagrożeniazewnętrzneskutkująwewnętrznymiipodkątemzapewnianiaciągłościdziałaniadążymydoustaleniatychostatnich.Mogąwięcbyćpotrzebnekolejneiteracjeoceny(weryfikacje)wceluskreślenia

48 Problemdrógfizycznychprzekazywaniainformacjijestbardzoważnydlazapewnianiaciągłościdziałania,gdyżdotyczyustalaniamiejsclubrozwiązańtechnicznych,któremogąbyćzagrożoneod-działywaniemczynnikówzakłócających.


pewnychzagrożeńzewnętrznychjakomałoprawdopodobnychlubzastąpieniaichprzezprecyzyjniejokreślonezagrożeniawewnętrzne.Zagrożeniawujęciuprzy-czynowympowinnybyćujętewpolitycebezpieczeństwaiobjętemonitorowaniemiprewencją.

Wkolejnymkrokuoceniasię,czyzagrożeniejestbezpośrednie,czypośrednie.Chodzioustalenie,czyzakłóceniewswejistociedotyczyorganizacji,czyteżwpływananiączynnikpochodny,np.czyzakłóceniemjestsamademonstracjauliczna,czyde factobrakdostępudosiedzibyspowodowanytądemonstracją.Iwtymwypadkuzagrożeniawujęciuprzyczynowymwskazująpotrzebywzakresiemonitorowaniaiprewencjiwramachpolitykibezpieczeństwa.

Nakoniecprzygotowujesięzweryfikowanąostatecznielistęzagrożeń,kwali-fikujączagrożeniawujęciuprzyczynowymdoobsłużeniawramachpolitykibez-pieczeństwa,natomiastzagrożeniawujęciuskutkowymdoopracowaniaplanówzapewnianiaciągłościdziałania.

Tabela 6.1. Wzorcowa lista zagrożeń

Zagrożenia

Katastrofy naturalne• trzęsienie ziemi• skażenie środowiska naturalnego• powódź• huragan• wyładowania atmosferyczne• inne

Terroryzm• szantaż• zamach• inne

Zakłócenia fizyczne• brak dostępu do siedziby• uszkodzenie budynku• za niska / wysoka temperatura powietrza• za duża wilgotność powietrza• pożar• zalanie• inne

Zakłócenia funkcjonalne• strajk• sabotaż• niedostępność pracowników• wypadek• inne


Zagrożenia

Zakłócenia techniczne• wyczerpanie zapasów materiałowych• brak zasilania• awaria klimatyzacji• inne

Zakłócenia informatyczne Infrastruktura techniczna:• awaria serwerów• awaria stacji roboczych• awaria urządzeń pomocniczych• awaria urządzeń sieciowych• awaria okablowania• brak połączenia z sieciami zewnętrznymi• inneOprogramowanie:• wygaśnięcie licencji• nieautoryzowane usunięcie• wadliwe działanie• inneSzkodliwe oprogramowanie:• wirusy• inneDane:• utrata lub zniszczenie danych• nieautoryzowany dostęp do danych• nieautoryzowane powielanie danych• nieautoryzowana modyfikacja danych• inne

Inne zakłócenia • brak zasobów osobowych• brak zasobów finansowych• brak zasobów materiałowych• brak usług zewnętrznych• inne

Źródło: [Zawiła-Niedźwiecki, 2008]49.

49 Innepropozycjelistzagrożeńmożnaznaleźćwnormach:ISO27005:2009orazISO/IECTR13335-3:1998.


Analiza podatności organizacji na zakłócenia

Analizę50tęprzeprowadzasię,posługującsięwzorcowąlistąkrytycznychzasobów(zob.tab.6.2).Napoczątkunależyzweryfikowaćisprecyzowaćklasyfikacjękate-gorii zasobówwsposóbodpowiednidla specyficznej sytuacjidanejorganizacji.Następnienależyzidentyfikowaćwszelkiezasoby,którewkażdejlokalizacjijedno-stekorganizacji(siedzibagłówna+ewentualnielokalizacjeterenoweipomocni-cze), w świetle analizy procesów oraz dróg przepływu informacji, mogą miećwpływnaciągłośćprocesówbiznesowych iprocesówprzetwarzania informacji.Jakoumowneobiektyoszczególnymwpływienawarunkifunkcjonowaniaorgani-zacji trzeba uwzględniać usługi obce,w tymuniwersalne typu: dostawywody,gazu,prądu,łącznościtelefonicznej,jakispecyficzne,typu:kooperacja,dostawymateriałów,usługiserwisowe.

Wwynikuanalizyprzygotowujesięzweryfikowanelistykrytycznychobiek-tówodrębniedlakażdejlokalizacjiorazanalizęichpodatnościnaczynnikiryzykaoperacyjnego.

Tabela 6.2. Przykładowa lista krytycznych zasobów (obiektów)

Kategorie Przykład

A. Budynki Własny biurowiec

B. Obiekty przemysłowe, techniczne Hala fabryczna, kotłownia, ośrodek komputerowy

C. Ośrodki biurowe Powierzchnia biurowa wynajęta w obcym budynku

D. Zewnętrzne urządzenia techniczne Zewnętrzny wolnostojący generator napięcia

E. Wewnętrzne urządzenia techniczne Wewnętrzny klimatyzator albo generator

F. Infrastruktura informatyczna Urządzenia informatyczne

G. Zewnętrzne urządzenia telekomunikacyjne Antena satelitarna na dachu

H. Usługi obce Telekomunikacja

I. Obiekty logiczne podmiotów/rozwiązań wirtualnych Zobowiązania niematerialne

J. Pracownicy o kluczowych kompetencjach Licencjonowany doradca inwestycyjny w firmie finansowej

X. Inne


50 Podatnośćorganizacjinadanezagrożeniewynikazjejbieżącegozorganizowania,ocenianegow świetle znaczenia procesówbiznesowych orazmożliwości negatywnegowpływuposzczególnychzagrożeńnateprocesy.


Opracowanie mapy zakłóceń

Natymetapienastępujesporządzeniemapyzakłóceńdlaposzczególnychzasobów,choćczęściejdlalokalizacjiorazobiektówtechnicznychilogicznych51potencjalniedotkniętychposzczególnymizagrożeniami(czynniki:proces–obiekt–zagroże-nie,ideętrójwymiarowejmapyzakłóceńprzedstawiarys.6.7).Bardzoprzydatnajestklasyfikacjaryzykaprzedstawionawtabeli3.2.Każdyzpodanychwniejro-dzajówryzykaoperacyjnegosłużydospojrzenianamożliwezakłóceniazoptykiswoistychcechtegoryzyka.

Mapasłużyostatecznejweryfikacji,którezzagrożeńmogąbyćnajdotkliwszeorazktórezobiektówsąbiznesowonajwrażliwsze.Wagępotencjalnegozakłóce-nianależyoceniaćiweryfikowaćprzezpryzmatutrzymaniastabilnościprocesów.

Mapazakłóceńjestnajobszerniejszymdokumentemanalitycznym.Jejdokładneprzygotowaniepozwalanakompleksowerozwiązaniezadaniazapewnianiacią-głościdziałania.Nienależyjednakobawiaćsię,żeanalizataprowadzidoopraco-wywania scenariuszydlakażdegozidentyfikowanegopotencjalnegozakłócenia.Kolejnezescenariuszyopisująpostępowanienaprawczezwiązanezgrupązakłó-ceńtraktowanychłączniewzwiązkuzewspólnymiprzyczynamilubskutkami.

Rysunek 6.7. Czynniki kształtujące zakłócenia


Poszczególnympozycjommapyzakłóceń przypisujesięjednozmodelowychpostępowańzzakłóceniamipokazanychnarysunku6.2.

Opracowanie regulaminów, procedur, instrukcji

Procesyiskładającesięnaniedziałaniawymagająutrzymaniaichpowtarzalności,dokładnietakjakzostałyzaprojektowaneiprzyjętejakowłaściwe.Dlauzyskania

51 Obiektylogicznetoelementyoprogramowaniainformatycznego,systemyinformatycznelubichczęści.

Zagrożenia

Podatności

Procesy


takiejstabilnościdziałaniaorganizacjinależystosowaćzasadędokumentowaniawłaściwejpraktykidziałania.Głównymirodzajamistosowanychdokumentówsąregulaminy,proceduryiinstrukcje.

Regulaminymają charakter wymagań formalnych stawianych poszczegól-nymkomórkom,stanowiskomiosobom.NatomiastproblemutrwalaniawłaściwejpraktykizostałnajpełniejujętywzasadachkompleksowegozarządzaniajakościąTQM[Hamrol,2005].Itak„procedurytoustalonysposóbprzeprowadzaniadzia-łanialubprocesu/…/,niezależnieodpostaci,wjakiejjeustanowimy,stanowiąintegralnączęśćdokumentacjisystemuiwyrażająokreślonysposóbwykonywaniadziałań”.Zkolei„instrukcje,sątodokumenty,opisująceszczegółowojakelementyustanowionewprocedurachsąrealizowaneprzezkomórkifunkcyjneworganizacji”[Łańcucki,2006,s.127–132].Należywięcdążyćdoudokumentowaniawszyst-kichistotnychdziałańwformieproceduriinstrukcji.Jesttoszczególnieważnewkontekściezapewnianiaciągłościdziałania,zarównocodopowtarzalnościdziałańrutynowych,jakiprawidłowegowykonywaniadziałańincydentalnych,zaplano-wanychnawypadeksytuacjinadzwyczajnych.Potrzebnyjestlogicznyprocesre-dagowania,weryfikowaniaizatwierdzaniaprocedur/instrukcji,takabyzapewnićichkompletnośćispójność,zarównowewnętrznąwramachdanegodokumentu,jakiogólnąwramachcałegoichzestawu.Najlepiejjesttozapewnićprzezodrębnąprocedurę/instrukcjędefiniującąwzorzectakiegoprocesuorazwzorzecstrukturyposzczególnychtypówdokumentów.Procedurydziałaniasąpodstawowymodniesie-niemdlaaudytuorganizacyjnegojakowewnętrznanormapoprawnegodziałania.

Typowekategoriedokumentówtworzącychkompleksowyzestawregulami-nów,proceduriinstrukcjisąnastępujące:

regulaminy, proceduryogólnedotyczącecałejorganizacji, procedurymiędzydziałoweregulującewspółpracęikompetencjedwulubwięcejkomórekorganizacji, procedurydziałowedotyczącekwestiipowierzonychdanejkomórceorga-nizacji, instrukcjeopisującedziałaniaregulowaneprocedurami, instrukcjesamoistne,nieodwołującesiędoprocedur.Podziałnakategorieimplikujeodpowiedniprocesopracowywania,weryfikacji

izatwierdzaniaprocedurorazwyznaczawłaściwyszczebelichautoryzacji.Kompleksoweobjęciecałościdziałaniaorganizacjizestawemprocedurpolega

naokreśleniuzagadnień,procesówipodobszarówdoprzeanalizowaniaiuregulo-wania.Dokonujesię tegoprzezwybórpodstawowychkryteriówwyodrębnianiazagadnieńiewentualnąsuperpozycjęniektórychspośródnich.Kryteriamisąnaprzykład:

strukturaorganizacyjna(funkcjonalna), strukturaprocesowa, rodzajezasobów,


podsystemysystemuinformacyjnego, ciągłośćdziałania,bezpieczeństwo,poprawnośćeksploatacji.Ważnejestprzyjęciejednolitychzasadredagowaniaprocedurwczęścidlawszyst-

kichwspólnejiumieszczenietaminformacjiidentyfikującychprocedurę(symbole),jejhistorię,procespowstawania,opiniowania,zatwierdzania.Każdaprocedurapowinnamiećswegowłaściciela,awięckomórkę(stanowisko)odpowiadającązajejredakcję,kierowaniedoopiniowania,dystrybucjępozatwierdzeniuitp.Wyznaczasiędotegobądźkomórkęmerytorycznienajbardziejodpowiadającązagadnieniomregulowanymprzezdanąprocedurę,bądźkomórkęcentralnieodpowiedzialnązazestawprocedur.

Koniecznejestprowadzeniearchiwumwszystkichkolejnychwersjiposzcze-gólnychprocedur. Potrzeba takawynikanp. zwymogówaudytu, który każdąocenianąwątpliwąsytuację(problem)zprzeszłościpowinienmócodnieśćdoobo-wiązującejwówczasnormyregulacyjnej.

Realizacja podejścia zapobiegania zakłóceniom

Podejścietoobejmujeprzedewszystkimdziałaniaocharakterzeinwestycyjnym,adoczasurealizacjiinwestycjidziałaniazzakresupodejściaplanowaniazapew-nianiaciągłościdziałania.Zmapyzakłóceńwynikaswoistalistasłabychpunktóworganizacji(wsensieproblematykiciągłościdziałania).Wieleztychsłabościmożnaograniczyćlubusunąćprzezinwestycjetechniczne.Ichrealizacjajestjednakistot-nieograniczonaprzezpotrzebęwnikliwychbadańcodozakresudanejinwestycjiorazfinalnejskutecznościnowegorozwiązaniatechnicznego,którepowinnowpełniusunąćpodatnośćorganizacjinarozważanezakłócenie.Ostatecznaracjonalnośćproponowanego rozwiązania jestweryfikowanaw świetlemożliwości budżeto-wychorganizacji,okresuzwrotuzinwestycjiitp.kryteriówekonomicznych.Typowekierunkitakichinwestycjito:

dublowaniesprzętu, dublowanieośrodkówkomputerowych(budowaośrodkazapasowego), zwielokrotnienieliniikomunikacyjnych, zwielokrotnieniepunktówdostępudosieciusługpublicznych, zapasoweźródłaenergiielektrycznej, separacjafizyczna,energetycznailogicznaserwerówlubcentrówsterowa-niaśrodowiskamiinformatycznymi, mimospecjalizacjiserwerówzachowywaniemożliwościograniczeniapracydomniejszejichliczby, asynchronicznośćzabezpieczaniadanych, dyżuryspecjalistów.


Planinwestycyjnyprzyjętychprzezdecydentówrozwiązańtechnicznychjestzasadniczymdokumentem,najakimopierająsiędziałaniastanowiąceotympo-dejściu.

Realizacja podejścia planowania zapewniania ciągłości działania

Działaniatedzielisięjakwtabeli6.3.

Tabela 6.3. Podział zadań w reagowaniu na zakłócenia

Komórka organizacyjna Przed wystąpieniem zakłócenia Po wystąpieniu zakłócenia

Koordynator BCM oraz wszyst-kie jednostki organizacyjne

Opracowywanie planu ciągłości działania

Analiza i korekta planu ciągłości działania

Komitet Kryzysowy (Sztab Kry-zysowy)

Testowanie planu ciągłości dzia-łania

Zapewnianie ciągłości działania, usuwanie przyczyn i skutków za-kłócenia


Zwieńczeniemplanówzapewnianiaciągłościdziałaniasąscenariuszesytu-acyjne.Dzielisięjena:

scenariuszezewnętrzne,któreopisująmożliwewersjerozwojuzdarzeńwprzyszłości,naktóreorganizacjaniemawpływu, scenariuszewewnętrzne,któresąprzyczynowymsposobemrozumowania,łączącymwybórdziałaniazcelem,aokreślonerezultatysąpreferowaneprzezorganizacjęzgodniezhierarchiąjejcelów[vanderHeijden,2000].

Opracowującscenariusze,zwłaszczaprzypierwszymtworzeniuplanuciągłościdziałania,należyprzyjąćbardzozasadniczy,sięgającydopodstawwiedzyoorga-nizacjiijejcelach,tokrozumowaniawedlezasadytop-down.Kolejnekrokitakiegorozumowania(niektóremożnaopuszczać)to:

ustaleniecelów(nawetmisjiorganizacji), ustalenieistotydziałaniaorganizacji(procesypodstawowe)nabazieana-lizyprocesowej, ustaleniegranicyograniczaniadziałalnościwprzypadkuzakłócenia(codozakresufunkcjiniezbędnychorazminimalnej,jeszczeakceptowalnej,jakościdziałania), ocenazagrożeńiwynikającychznichzakłóceń(weryfikacjamapyzakłóceń), ocenabieżącejzdolnościorganizacjidoreagowaniaad hocnazakłócenia, przyjęcie rozwiązańorganizacyjnychobliczonychna stawianie czoła za-


kłóceniom(powołanieKoordynatoraBCM iKomitetuKryzysowegoorazopracowaniestosownychregulaminów,ichuprawnieńiodpowiedzialności), opracowaniescenariuszyzakłóceńidziałańbędącychreakcjąnanie, testowaniesytuacjiopisanychwscenariuszach, weryfikacjaprzedstawionegopostępowanianapodstawietestówlubwnio-skówzzaistnieniazakłócenia.

Schematscenariuszasytuacyjnegojestprzedstawionynarysunku6.8.

Rysunek 6.8. Schemat scenariusza sytuacyjnego reagowania na zakłócenie


Scenariuszesytuacyjneporządkująprzewidywania,mobilizujądokonkretnego,precyzyjnegomyśleniaidziałania,umożliwiająsymulowaniesytuacjikrytycznychitestowanieprzygotowanychplanów.Równocześnienależypamiętać,żescenariuszereagowanianazakłócenianiegwarantująpełnejskutecznościprzewidywańanicodozakłóceń,ani codoprzebiegu sytuacji krytycznych,ani codoadekwatnościplanówdorzeczywistychzdarzeń,awymagajązostawianiaelastycznegomarginesunaczynniki/wydarzenianieprzewidziane.

Schemat reakcji

Kto uczestniczy?

Kogo i czego dotyczy?

Opis właściwej reakcji

Plan przygotowań do wdrożenia takiej reakcji

Jakie to zakłócenie?

Identyfikacja szkód

Istota zakłócenia

Schemat usuwania szkód

Plan przywracania stanu sprzed zakłócenia


Realizacja podejścia monitorowania zakłóceń

Obejmujeonoprzedewszystkimdziałaniaocharakterzeorganizacyjnym,awna-stępnejkolejnościregulacyjnym.Kluczowewnimjestmonitorowaniestopniaza-kłóceńoraztego,czywrelacjidoniegomechanizmrutynowejkompensacjijestdostateczny.Opracowywanierozwiązańpolitykipolegaprzedewszystkimnafor-malnympotwierdzeniurozwiązańorganizacyjnychstanowiącychokompensowa-niuzakłóceń,awięcspisaniu,przeanalizowaniuiewentualnympoprawieniulubrozwinięciuistniejącejpraktykiorazrozważeniu,jakierozwiązaniasąpotrzebnewzakresiekształtowaniastrukturyorganizacyjnej,zadańposzczególnychkomórek,regulaminów,proceduriinstrukcji.Monitorowaniezakłóceńpowinnozostaćtakuregulowaneprocedurami/instrukcjami,abybyłomożliweocenienieipodjęciedecyzji,kiedystopieńzakłóceniaprzekraczagranicęobjęciagomonitorowaniemiwobectegonależyzastosowaćdoniegopodejście(plan)ciągłościdziałania.

Realizacja podejścia tolerowania zakłóceń

Podejścietoobejmujeprzedewszystkimdziałaniaocharakterzeprawnym,awna-stępnejkolejnościorganizacyjnym.Zasadniczoniepolegaononaistotnejreakcjinazakłócenie,niemniejjednakkoniecznejesturegulowanieszeregukwestiidwurodzajów.

Popierwsze,należyrozstrzygnąć,jakustalasiępomiarintensywnościzakłó-ceniaorazkto,wjakisposóbinajakiejpodstawiedecydujeorozpoczęciudziałaniabędącegoplanowąreakcjąorganizacjinazakłócenieoraz,analogicznie,decydujeozaprzestaniutegodziałania ipowrociedorutynowegowykonywaniazadań.Działanieorganizacji,będącewswejnaturzetolerowaniemzakłócenia,polegananieznacznymzmodyfikowaniulubchwilowymprzerwaniurutynowejpracy,oczymzazwyczaj trzebazawiadomićpracowników,klientów,kooperantówitp.–powi-nientoprzewidywaćstosownyscenariuszsytuacyjny.

Podrugie,ważnejest,abybiznesowaodpowiedzialnośćwobecpartnerów(klientów,pracownikówiusługodawców)byłazdefiniowanaiograniczonazgod-niezesformułowanąpolityką.Możetopolegaćna:

umieszczeniuwumowachklauzulowpływie„siływyższej”naodpowie-dzialnośćzaświadczoneusługi; wystandaryzowaniuwarunkówświadczeniausług(service level agreement),któreokreślajądopuszczalnypoziomniedostępnościusług(np.1godzinawciąguroku)czyakceptowalnerozwiązaniazastępcze; wyraźnymzdefiniowaniugranicwłasnychrozwiązańiodpowiedzialnościzanie(np.tylkodowęzładostępowegopublicznejsiecitelekomunikacyjnej); zastrzeżeniu prawamonitorowania lub nawet ingerencjiw rozwiązaniapartnerów; stopniowaniuzakresu,jakościicenyusługorazautomatycznymichogra-niczaniuwprzypadkuzakłócenia.


Wdrażanie przyjętego postępowania z zakłóceniami

Nawdrażaniepolitykipostępowaniazzakłóceniamiskładająsiętrzynurtyak-tywności:

powołanieformalnychstrukturorganizacyjnych, określenie zasad monitorowania zagrożeń i reagowania na zakłócenia,planówinwestycyjnychorazmodeliscenariuszyawarii, opracowanieregulaminów,proceduriinstrukcjiorazszczegółowychsce-nariuszypostępowaniawsytuacjizaistnieniazakłócenia.

Wkwestiistrukturorganizacyjnychdedykowanychdozarządzaniaproblema-tykąciągłościdziałanianależyuwzględnićdwiekwestie.Popierwszesygnalizowanyjużpodziałnasystematyczneprowadzenieczynnościprzygotowaniaiadministro-waniapolitykązapewnianiaciągłościdziałania(KoordynatorBCM)orazuaktyw-nianieKomitetuKryzysowegowmomenciezaistnieniakryzysu.Podrugienależyuwzględnićdoświadczenia teorii zarządzania ryzykiem idobrepraktykiniektó-rychbranż,np.bankowości.Wtymkontekściezakłóceniaciągłościdziałaniamoż-naodbieraćjakomaterializację,poczęściryzykabiznesowego,aprzedewszystkimryzykaoperacyjnego.Takiespojrzenieprowadzidopostrzeganiazagadnieniaciągłościdziałaniajakoelementuzarządzaniaoperacyjnegoodnoszonegoprzedewszystkimdodziałalnościkomórekpomocniczychorganizacji,azapewniającychkomórkombiznesowymwszelkiewarunkidodziałania:techniczne,organizacyjne,logistyczneiformalne.

Wdrażaniepolitykipostępowaniazzakłóceniaminależyoprzećnakilku,dalejscharakteryzowanych,zasadach.Popierwsze,ważnejestdążeniedowpełniświa-domegozarządzaniaproblematykąciągłościdziałaniaprzez:

identyfikacjęistotydziałaniaorganizacji, ustaleniegradacjiważnościfunkcjiiprocesów, ocenę determinacji zapewnienia ciągłości działania z uwzględnieniemczynnikakosztów, wyznaczeniegranicykompromisówcodosprawnościijakościdziałania.Podrugie,wposzukiwaniuwłaściwychrozwiązań,należydoceniaćśrodkipo-

zainżynierskie,bowiem: rozwiązaniatechnicznesąskomplikowane,najdroższe,anigdyniesąwpełniskuteczne (coniewyklucza sytuacji, że tylko rozwiązania techniczne sąwłaściwe), wmiejscerozwiązańtechnicznychrozsądniejjestposzukiwaćrozwiązańprawnychiorganizacyjnych.

Potrzecie,bardzoważnajestdbałośćoadekwatnośćrozwiązańdorealnych,bieżącychmożliwościorganizacji,kwalifikacjipracowników,elastycznościorgani-zacjipracy,możliwościmodyfikowaniadziałaniarozwiązańtechnicznych.Dlategoteżwobliczuzakłócenialepiejjestupraszczaćproblemijeślitomożliwerozsądnieiplanowoograniczyćdziałalność.


Poczwarte(wzwiązkuzpowyższymizasadami)wartodążyćdoprostotyrozwiązań,gdyż:

każdenowerozwiązanieniesienowezagrożenia, nowerozwiązania,zwłaszczatechniczne,sąrównieżzawodne, istniejezawszegroźbaniemożnościzrealizowaniaskomplikowanegoroz-wiązania.

Popiąte,należydoceniaćsiłęintelektualną,jakatkwiwinwencjiludzkiej,awtymcelupamiętać,że:

wybitni specjaliści są nieodzowni w rozwiązaniach nadzwyczajnych,zwłaszczajeślizakłócenieodbiegaodzaplanowanychscenariuszy, specjalistązostajesięprzezkumulacjędoświadczeńorazdziękiszkoleniom, problemyczęstopojawiająsięnastykutypowychspecjalnościiwymagająwiedzyonich, opróczspecjalistówwłasnychmogąbyćprzydatnikonsultancizewnętrzni.Wewdrażaniuważnejest,abystalepamiętać,żeposzczególnerozwiązania

politykipostępowaniazzakłóceniaminależywprowadzaćzarównodlacałejorga-nizacji,jakidlaposzczególnychoddziałówterenowych.Równocześnienależyrozważaćspojrzenienaposzczególneplanowanewydarzeniaidziałaniaorazdoku-mentyjeopisujące,zarównozperspektywycałejorganizacji,jakiposzczególnychkomórekorganizacyjnych,zidentyfikowanychwtokuanalizyprocesówbiznesowychjakozaangażowanewdanyproblem.Planowanescenariuszewydarzeńizacho-wańpowinnytakżeuwzględniaćwariantyzależneodporyzaistnieniazakłócenia.Wreszcienienależyzapominać,aniodkładaćjakomniejważnej,kwestiipowrotudosytuacjisprzedzaistnieniazakłócenia.

Testowanie planów zapewniania ciągłości działania

Scenariuszesytuacyjnesąwłaściwąpodstawądoorganizowaniatestowaniagoto-wościorganizacjidostawianiaczołazakłóceniom.Tezaśmogąbyćnaużytektestówodpowiednio symulowane, a nawet rozmyślniewywoływane. Testy [Kaszubski,Romańczuk,2012]sąelementemdoskonaleniarozwiązańciągłościdziałaniaidlategopowinnybyćplanowaneregularnieimożliwieczęsto.Testymająróżnycharakter:

zewzględunaprzyjętąstrategiętestowania; zewzględunaobiektpoddawanytestowaniu; zewzględunaprzyjętąmetodętestowania; wzależnościodosóbtestujących; zewzględunacel,wjakimsąprowadzone; zewzględunasposóbprzeprowadzenia.


Testowanieplanówzapewnianiaciągłościdziałaniazwiększapoczucie,żesąone[Myers,Sandler,Badgett,Thomas,2005; Skroban,2010]:

kompletne–sprawdzanajestzawartośćplanówidokonywanaweryfikacjakrokpokroku, dokładne–sprawdzanajestprawidłowośćproponowanegoplanu,wskazy-wanesąbraki, spójne–sprawdzanajestzgodnośćzregulacjamiiinnymiplanami, istotne–sprawdzanajestspójnośćzcałymsystememzarządzaniazapew-nianiemciągłościdziałania(BCMS), wykonywalne–sprawdzanajestmożliwośćwykorzystaniaplanówwsytuacjirzeczywistej, dającesięprzetestować.Dzięki testowaniu sprawdzane są samerozwiązania, ichadekwatnośćdo

sytuacji,ichkompletność,dostatecznośćposiadanychzasobów,rezerwikwalifikacji.Dodatkowotestowaniesłużywytrenowaniupracownikówikomórekorganizacyj-nychwstosowaniuzaplanowanychscenariuszyiposługiwaniusięrozwiązaniamiawaryjnymi.

Niemniejjednaknależyzachowywaćdużąostrożnośćztestamiwwarunkachrzeczywistychiprzeprowadzaćjetylko,gdyuzyskasiędobrewynikiwtestachsztabowych(„nasucho”)itestachfragmentarycznych.Wobliczuwątpliwościcodojakościprzygotowańdotestówlubplanutestulepiejtestodłożyć,niżryzyko-waćutratękontrolinadsytuacją.

Wramachdługofalowegoprogramutestównależyzczasemstopniowoprze-chodzićod:

testówfragmentarycznychdotestówkompleksowych, testówwwarunkachkreowanychdotestówwwarunkachrzeczywistych, testówwczasiewolnymodpracydotestówwtokuzwykłejpracy, testówzudziałemwybranychpracownikówdotestówzudziałemwszystkich.Ogromnieważnejest,abywplanowaniutestówpamiętać,żesamtestmoże

staćsięzakłóceniem,aszczególnieważnejestzaplanowanieizweryfikowaniezasadpowrotuodwarunkówwykreowanychnaużytektestówdowarunkówruty-nowejpracy.

Ciągłe doskonalenie

Fundamentem kultury organizacji jest stałe doskonalenie wcześniej opracowa-nych iwdrożonychrozwiązań,kwalifikacji iprzygotowaniapracownikówdowykonywaniazadań,poprawianiem i rozwijaniem.Jest to teżzasadawyraźniezapisanawnajnowszejgeneracjinormjakościseriiISO900Xirodzinnormzwią-zanychzbezpieczeństwemiciągłościądziałania.Dotyczyonawpełnizarządzaniazapewnianiemciągłościdziałania.


KierującsiętakimpodejściemnależyustanowićKoordynatoraBCM,któregonajogólniejformułowanymzadaniemjestwłaśnieopracowywanieiciągłedosko-nalenierozwiązańsłużącychzapewnieniuciągłościdziałania.Równocześniepo-trzebne jest szerzenie kultury organizacyjnej w kierunku pełnej świadomościpracownikówcodopotrzebyzapewnianiaciągłościdziałaniaorganizacjiiumie-jętności poszczególnych pracowników postępowania w sytuacjach nadzwyczaj-nych. Prowadzą do tego szkolenia oraz bezpośredni udział w doskonaleniurozwiązań,planowaniuiprzeprowadzaniutestóworazsystematyczneanalizowa-nie adekwatności istniejących rozwiązań i dotąd przeprowadzonych testów dofaktyczniezaistniałychzakłóceń.

Idei tej służy szereg technik doskonalenia [Dahlgaard, Kristensen, Kanji,2004; Hamrol,2005]wsensieanalizyprzyczynniedostatecznejjakościorazwy-znaczaniadrógosiąganiarozwiązańlepszych.Bazątegodoskonaleniasąludzie,ichwiedzaizaangażowanie,któremożnakształtować,orazskutecznaorganiza-cja,którąmożnaustanawiaćirozwijać.

6.4. Ocena dojrzałości zarządzania zapewnianiem ciągłości działania Zarządzaniezapewnianiemciągłościdziałaniajestwciążmłodąkoncepcjąteoriizarządzania,mimotoposzukiwanesąjużwzorceocenytrafnościzarządzaniawtymzakresie.NajbardziejznanąjestmetodaBCMM52(tab.6.4).Wswejkoncepcjiprzypomina onamodel oceniania dojrzałości zarządzania ryzykiem [Zawiła--Niedźwiecki,2007a] opisany w podrozdziale2.6.

Tabela 6.4. Metoda oceny dojrzałości zarządzania zapewnianiem ciągłości działania

Poziom dojrzałości zarządzania zapewnianiem ciągłości działania

Zakres podstawowy Zakres zaawansowany

Przyzwolenie wysokiego

kierownictwa

Profesjonalne wsparcie

Zarządzanie Powszechny udział

Planowanie działań

Współ--działanie

Poziom 1 Intuicyjny Nie Nie Nie Nie Nie Nie

Poziom 2 Popierany Marginalne Częściowe Nie Nie Nie Nie

Poziom 3 Centralnie kierowany Częściowe Tak Częściowe Nie Nie Nie

Poziom 4 Świadomy Tak Tak Tak Tak Nie Nie

Poziom 5 Doskonalony Tak Tak Tak Tak Tak Nie

Poziom 6 Zintegrowany Tak Tak Tak Tak Tak Tak

Źródło: opracowanie własne na podstawie Virtual Corporation.

52 BCMM–BusinessContinuityMaturityModel,metodatazostałaopracowana przez amerykań-ską firmę Virtual Corporation, Inc.Zob.www.virtual-corp.net

6.4. Ocena dojrzałości zarządzania zapewnianiem ciągłości działania 129

Ideametodyjesttaka,żeprzedsiębiorstwo(organizacja)stopniowoosiągacorazwyższepoziomydojrzałości,wprowadzająctrwaleumocowanestrukturyor-ganizacyjne,określającroleuczestnikóworazzasadyiplandziałań.Równocześniemożliwajestutratajużosiągniętegopoziomudojrzałościwsytuacjach,gdywor-ganizacji dochodzi do głębokich zmian technologicznych, organizacyjnychlubwotoczeniu.Poziomydojrzałościoznaczają:

Poziom1.ProblematykaBCPniejestpostrzeganaprzeznajwyższekierow-nictwojakoznaczącaiwymagającacentralnegokierowania.Zajmująsiętymposzczególnekomórkiorganizacyjnewedługwłasnegorozeznaniaiwstop-niu,którysameuznajązasłuszny. Poziom2.StrategiczneznaczenieproblematykiBCPjestdostrzeganeprzezjednązkomórekorganizacyjnych.Worganizacjilubwśródwspierającychjądoradcówjestjakiśspecjalista,którymożewspieraćpracenadBCP.Naj-wyższekierownictwowiejuż,żejesttoproblempoważny,alejeszczenienadajemuodpowiedniegopriorytetu. Poziom3.NajbardziejzainteresowaneproblematykąkomórkiorganizacyjneprowadząwspólnedziałanianadprogramemBCP,niejesttojednakPlanBCPcałejfirmy.Najwyższekierownictwojestświadomepodejmowanychdziałań,sprzyjaim,ale jeszczeniejestzdolnedoustanowieniastruktur,zadańiPlanuBCP. Poziom4.Najwyższekierownictwojestświadomestrategicznegoznacze-niazarządzaniaBCP.PowstajestałebiurozarządzaniaproblematykąBCP.Pracujesięnadzintegrowanymirozwiązaniami,wspólnymiwcałejfirmie.Zidentyfikowanokrytyczneprocesyorazopracowanoplany ichochrony.Sąonetestowaneirutynowoaktualizowane. Poziom5.WszystkiekomórkiorganizacyjneprzetestowałypozytywnieplanyBCP,wtymzasadydokonywaniazmianwplanach.Najwyższekie-rownictwotakżeuczestniczyłowtestach.OpracowanokilkuletniprogramrozwojurozwiązańBCP. Poziom6.Wszystkiekomórkiorganizacyjneuzyskaływysokieocenyprzy-gotowaniaBCP.Testujesięwspółdziałaniekomórek.WszelkiezmianyfaktycznewprocesachbiznesowychsąbieżącośledzoneiadaptowanewplanachBCP.

Podsumowanie Każdaorganizacjagospodarczapowstajezmyśląookreślonejużyteczności.Ocze-kiwaniatewpierwszejkolejnościodnoszonesądorezultatówdziałaniaorganizacji,alerównieważnejest,abysamodziałaniebyłosprawne,awkonsekwencjirozsądnekosztowo.Zamierzeniemjestwięcutworzenieorganizacjiskutecznejiefektywnej.Wpraktycejednakjejdziałalnośćnapotykaprzeszkodywrealizacjizadańbizne-sowych.Sąoneczęściowopochodnąryzyka,któretowarzyszykonkurowaniulicz-nychnarynkupodmiotów,aodnosisiędoproduktów(usług)organizacjiorazjejklientówirelacjiznimi.Równocześnieczęśćprzeszkóddotykawewnętrznychrozwiązańorganizacjiijestpochodnąryzykaoperacyjnego.Zprzeszkodamitymiorganizacjamusiumiećsobieradzić.

Szczególnąkategorięzorganizowanegoreagowanianaryzykooperacyjnestanowizapewnianieciągłościdziałania.Problematykętęmożnapostrzegaćtakzperspektywytechnicznej,jakibiznesowejorazspołecznej.Wkażdejperspektywiemechanizmnaruszeniaciągłościdziałaniapozostajetakisam.Jegopraprzyczynąjeststanniepewności,jakąodznaczasięnaszarzeczywistość.Stądkażdedziałanieorganizacji i związaneznimdecyzje rodząryzykoprzejawiającesiępewnymizagrożeniami.Te,gdywregułachdziałanialubstrukturzeorganizacjinatrafiąnapodatności,przekształcająsięwkonkretnezakłócenia,któreprowadządopertur-bacjidziałalnościorganizacjiidookreślonychszkód.Całośćstanowiciągkonse-kwencjiryzykawdziałaniu.

Logicznąreakcjąorganizacjinazakłóceniajestbudowaniemechanizmuho-meostazy,opartejnamonitorowaniuzagrożeń,neutralizowaniuich,agdytosięnieuda,naprzywracaniustanusprzedzakłócenia,adotegoczasuzapewnianiuformdziałaniazastępczego.Postępowaniatakiejestwyrazemracjonalnegoreago-waniananieuniknioneryzyko,copowinnouwzględniaćzintegrowaniezapewnia-nia bezpieczeństwa jako prewencjiwobec zagrożeń oraz zapewniania ciągłościdziałaniajakoterapiiwobeczakłóceń(zob.rys.P.1).

131Podsumowanie

Rysunek P.1. Zintegrowane zarządzanie ryzykiem operacyjnym, zapewnianiem bezpieczeństwa i zapewnianiem ciągłości działania


Legenda do rysunku P.1.

TSM (total security management) – zintegrowane zarządzanie ryzykiem operacyjnym, bezpieczeń-stwem i ciągłością działania [Blim, Byczkowski, Zawiła-Niedźwiecki, 2005].

ISMS (information security management system) – zarządzanie zapewnianiem bezpieczeństwa infor-macji [ISO 27001:2007].

Opis w tej kolumnie na podsta-wie rysunku 4.2

Opis w tej kolumnie na podstawie [Byczkowski, Zawiła-Niedźwiecki, 2009])

Opis w tej kolumnie na podsta-wie rysunku 6.5.

R1 – identyfikacja ryzyka B1 – analiza potrzeb i rozwiązań C1 – wstępne rozpoznanie zadania

R2 – analiza i oszacowanie ryzyka B2 – określanie standardów wewnętrznych

C2 – przygotowanie projektu

R3 – monitorowanie ryzyka B3 – audytowanie przestrzega-nia standardów

C3 – analiza potrzeb i rozwiązań

R4 – manipulowanie ryzykiem B4 – wykrywanie prób naruszania bezpieczeństwa, powrót do analizy

C4 – projektowanie rozwiązań

R5 – planowanie doskonalenia C5 – wdrażanie rozwiązań

C6 – kontrola, po jej zakończe-niu powrót do fazy analizy

R1 R2 R3Zarządzanie ryzykiem operacyjnym

R4

TSM

w tym ISMS

R5

B4

B1

B3B2

C5 C6 C1

C3C4 C2

Zarządzanie zapewnianiem bezpieczeństwa

Zarządzanie zapewnianiem ciągłości działania

Ocena dojrzałości zarządzania ryzykiem

Ocena dojrzałości zarządzania zapewnianiem bezpieczeństwem

Ocena dojrzałości zarządzania zapewnianiem ciągłości działania

Podsumowanie 132

Szczegółoweprzeanalizowaniemechanizmutakiegopostępowaniabyłoprzed-miotembadańautora,którychrezultatyumożliwiłypowstanieniniejszejrozprawy.Oryginalnywkładautorskiobejmuje:

Zaproponowanie podejścia prowadzącego do kompleksowej klasyfikacjiujmującejetapyspełnianiasięryzykaorazspecyfikęposzczególnychbranżgospodarkiiaktywnościspołecznych(podrozdz.2.3).Wtensposóbwska-zanyzostałkierunekbadańnadzintegrowanymzarządzaniemryzykiem.Sporządzenietakiejklasyfikacjijestjeszczesprawąotwartą. Wskazanie triady problemowej „Ryzyko operacyjne – Bezpieczeństwo –Ciągłośćdziałania”jakopragmatycznegoujęciaistotywyzwańmenedżer-skichzwiązanychzezmiennością środowiskaprowadzeniadziałalnościgospodarczej, szczególnie będących pochodną postępującej globalizacjiorazrosnącejkonkurencjirynkowej(rozdz.1 i podrozdz.3.1). Zaproponowaniedefinicjiryzykaoperacyjnego,zmodyfikowanejwstosunkudoprzeważniespotykanejwersjiautorstwaKomitetuBazylejskiego(pod-rozdz.3.3). Zaproponowanie klasyfikacji rodzajów ryzyka operacyjnego opartej nakryteriachtypowychdlateoriiorganizacji(podrozdz.3.3). Przedstawienie zalet jakościowego analizowania ryzyka oraz kwalifika-tywnegoszacowaniawielkościryzykaoperacyjnego,jakouzupełniającegowobecszacowaniaadekwatnościkapitałowej(podrozdz.4.2).Ujęcieja-kościowejestprostsze,arównocześniezupełniewystarczającewramachsystematycznegowypracowywania rozwiązańorganizacyjnych zabezpie-czającychprzedprzejawamiryzyka. Zaproponowanieodnośniedomonitorowaniaryzykaczterowarstwowegopodejściauczącego,umocowanegownajnowszychkoncepcjachzarządza-niawiedzą. Zaproponowanie ipraktycznezweryfikowanieautorskiejmetodyanalizyryzyka/zagrożeńopartejnakolejnym: – identyfikowaniu,analizowaniuiszacowaniuryzyka/zagrożeńnazasadziewykorzystywaniaposzczególnychkategoriiautorskiejklasyfikacjiryzyka(opisanejwpodrozdz.3.3)jakokażdorazowychperspektywoceny; – dobieraniu rozwiązań zabezpieczających dla poszczególnych kategoriiryzyka/zagrożeńnaogólnieprzyjętychzasadach; – weryfikowaniukompletnościzabezpieczeńnapodstawieautorskodobra-negozestawuzasadzapewnianiabezpieczeństwazasobowego(opisanegow podrozdz.5.1); – projektowaniurozwiązańzapewnianiaciągłościdziałaniawgautorskiejmetodyopisanejwpodrozdziale6.3.Wykorzystywanesąkryteriaintensyw-nościryzyka,tj.siłyjegowpływuorazczęstościoddziaływania(rys.6.2).Wynikającez tegoczterygeneralnepostawywobeczagrożeńwyrażająekonomicznieuzasadnionereakcje,odprewencji,przezmonitorowanie,poplanowaniescenariuszyawaryjnych.

133Podsumowanie

Wnioski

1. Zarządzanieryzykiemoperacyjnymrozumianejakotriada„Ryzykoopera-cyjne–Bezpieczeństwo–Ciągłośćdziałania”jestkwintesencjązarządzania,podejmującwsamejswejistociekwestieskuteczności,sprawnościiefek-tywnościdziałaniaorganizatorskiego(rozdz.1 i podrozdz.3.1).

2. Zarządzaniezapewnianiemciągłościdziałaniajestczęściąnaukiozarządza-niuodocelowejroliiwartościanalogicznejdoznaczeniateoriiniezawod-nościwdziedzinienauk technicznych,utrwalonej jużwdziejachnauki(rys.1.1).

3. Zperspektywyspołecznejzarządzaniezapewnianiemciągłościdziałania,odnoszonedopojedynczejorganizacji,uzupełniateorięzarządzaniakryzy-sowegoprzypisanądoskaliregionalnejlubkrajowej(wstępdorozdz.5).

4. Zarządzaniezapewnianiemciągłościdziałaniajestrównocześnieprzeciw-działaniemryzykuoperacyjnemu.Pozostajeprzytymwzwiązkuzpozosta-łymiobszaramitakiegoprzeciwdziałania,tj.zarządzaniemzapewnianiembezpieczeństwemizarządzaniemjakością(rys.P.2).Ponieważryzykoope-racyjne jestwyrazemniedoskonałości organizacji, to zarządzanie za-pewnianiemciągłościdziałaniajestjednązdrógdoskonaleniaorganizacjiiwtymsensiewpisujesięwszerokierozumieniezarządzaniaprzezjakość.

5. Ryzykojestzwiązanezkażdymcelowymdziałaniemorganizacji,awynikaz ogólnej niepewności, jaka towarzyszy każdej działalności człowieka(podrozdz.2.1).Ryzykoprzejawiasięwzagrożeniach,zktórychjednakniewszystkiemająznaczeniedladanejorganizacji.Ustalenie,któreznichtakieznaczeniemają,opiera sięnaanalizieprocesóworazpodatnościorganizacji jako systemu działania i jej zasobów (podrozdz. 6.1 i 6.3).Analizatakasłużyopracowaniumapypotencjalnychzakłóceń,copozwalaograniczać działania prowadzone w ramach zarządzania ciągłością, doprzewidywalnychincydentów(zakłóceńoznanymcharakterzeiintensyw-ności,zachodzącychwrozpoznanychmiejscachisytuacjach).

6. Modelowereagowanienamożliwośćzaistnieniazakłóceńsprowadzasiędoczterechpostawreagowaniazwanych:tolerowaniem,monitorowaniem,zapobieganiemiplanowaniem(rys.6.2).

7. Zarządzaniezapewnianiemciągłościdziałaniajestprocesem,którywymagaprzypisaniadedykowanejstrukturyorganizacyjnej,określeniazasaddzia-łania,zadańiodpowiedzialnościorazprzydzieleniazasobów(rys.6.3).

8. Zarządzaniezapewnianiemciągłościdziałaniawymagastałegodoskonale-niarozwiązań,czegopowodemjestzmiennośćwewnętrznaorganizacji,jejprocesów i zasobóworaz zmiennośćotoczenia zewnętrznego i jegood-działywanianaorganizację.Ważnymelementem tegodoskonalenia jestsystematycznegromadzenieuporządkowanejwiedzyozjawiskachzagro-żeń,ozaistniałychzakłóceniach,awtymkontekścieocenastosowanychdotądidostępnychwprzyszłościrozwiązańzaradczych.Podobnieistotnejest ćwiczenie (testowanie) sprawności organizacji w rozwiązywaniu

Podsumowanie 134

sytuacjikrytycznychnadrodzesymulowaniasytuacjipojawieniasięzakłó-ceń(podrozdz.6.3).

Rysunek P.2. Związki Total Security Management z Total Quality Management


9. Postępowanieorganizatorskie,mającezapewnićciągłośćdziałania,odnosisiędonastępującychkwestii,którepowinnybyćuwzględnionebądźza-pewnione(podrozdz.6.1 i 6.3): gdydanezagrożeniewpływanasystemdziałanialubjegobezpośrednieotoczenie,asystemstajesiępodatnynato,mamydoczynieniazzakłó-ceniem,które: – jestskutkieminterakcjizagrożeniazsystememdziałanialubotocze-niemtegosystemu, – skutkujeistotnymizmianamiwobszarzedziałaniasystemu,

Zarządzanie organizacją

Zintegrowane zarządzanie przez jakość TQM (total quality management)

Zarządzanie ryzykiem działalności statutowej/biznesowej

Zintegrowane zarządzanie zapewnianiem bezpieczeństwa TSM (total security management)

Zarządzanie ryzykiem operacyjnym

Zarządzanie zapewnianiem ciągłości działania TSM-BCP (business continuity planning)

Zarządzanie zapewnianiem bezpieczeństwa osobowego

Zarządzanie zapewnianiem bezpieczeństwa fizycznego

Zarządzanie zapewnianiem bezpieczeństwa informacji TISM (total information security management)

Zarządzanie zapewnianiem bezpieczeństwa systemów

informatycznych

135Podsumowanie

– niepoddajesięocenieobiektywnej,asubiektywnadokonywanajestzperspektywysystemudziałania;

wdziałalnościorganizacjinależysięliczyćzmożliwościązaistnieniaza-kłóceń,któreuniemożliwiąnormalnekontynuowanietejdziałalności; niezależnieodcharakteruprzyczyntychwydarzeń,wramachformalnegolubpostrzeganegowkategoriachbiznesowychobowiązkudołożeniana-leżytej starannościwwypełnianiu swych zadań, organizacja powinnadążyćdochoćbyograniczonegokontynuowaniadziałalności; staranietakiepowinnoopieraćsięnauprzednioopracowanym,konse-kwentniedoskonalonymitestowanymplanieciągłościdziałania,zwanymteżniekiedy(alewwęższymznaczeniu)planemawaryjnym,tj.planemusunięciadysfunkcjonalności; zapewnianie ciągłości działania to przewidywanie scenariuszy poten-cjalnychzakłóceńorazrozdzielneprojektowanie: – rozwiązańzapobiegającychsamymzagrożeniom(główniezapewnia-jącychbezpieczeństwo), – rozwiązańsłużącychjaknajszybszemuusuwaniuskutkówzakłóceń, – rozwiązań kontynuowania ograniczonej działalności w warunkachkrytycznych;

podejściedoproblemuciągłościdziałaniapowinnobyćracjonalne,tzn.obliczone na zapewnienie równowagimiędzy oczekiwanym stopniempewnościzachowaniaciągłościdziałaniaakosztamijegouzyskania;ko-niecznejestwięctakżeprzyjęciezałożeniastopniowegorezygnowaniazkolejnychelementównormalnejdziałalnościstosowniedozidentyfiko-wanychrozmiarówsytuacjikrytycznej(niezawszemasens,zwłaszczaekonomiczny,uporczywestaranieoutrzymanieciągłościdziałania). planciągłościpowinienbyćnatyleelastyczny,abyumożliwiaładapta-tywnereagowanienazakłóceniaodbiegająceodprzewidywańbędącychpodstawąplanu; koniecznejestzdefiniowanieprocesowejistotydziałalnościdanejorgani-zacjijakominimumczynności,któremożnajeszczeuznaćzawypełnianieprzezniąjejobowiązków;niemożnośćkontynuowaniatakiegominimumczynnościjestpodstawądecyzjiorezygnacjizkorzystaniazrozwiązańzastępczychiskupieniusiętylkonausuwaniuskutkówzakłóceń; wramachprzygotowywaniaplanuciągłościrozważasięwpierwszymrzędzieaspektybiznesowe,prawneiorganizacyjne,boonedecydująokoniecznymzakresierozwiązańtechnicznych; analiza biznesowa dotyczyćmoże kwestii prestiżu firmy, a na pewnoswoistegobilansuryzykaorazśrodkówfinansowychprzeznaczonychnajegoograniczenie;rozsądnejestpotraktowanieplanuciągłościjakopro-cesustałegodoskonalenia,wktórymzałożonecelebędąosiąganestop-niowo, kolejnymi przybliżeniami (wersjami planu ciągłości działaniaangażującymistopniowanezokresunaokresnakłady);

Podsumowanie 136

analiza prawna jest szczególnieważna przy tworzeniu założeń planuciągłości,pozwalabowiemzdefiniowaćzakresodpowiedzialnościfirmyzaposzczególneobszaryjejdziałalności,wskazaćobszarynewralgiczneorazdobraćpozatechniczneformyzabezpieczeń; analizaorganizacyjnapozwalawyodrębnićkadręosóbwłaściwądlapo-sługiwaniasięplanemciągłościwwarunkachkrytycznych,przyznaćimodpowiednizakresautonomiidecyzyjnejwtakiejsytuacji,awwarun-kachcodziennychumożliwićprzygotowywaniesiędotakiejtrudnejroli; żadenzelementówanalizy,apodobnieiprojektowaniarozwiązańtech-nicznych,niejestetapemzamkniętym;doskonalenieplanuciągłościpo-legabowiemnastałymponawianiuanaliziprojektowaniurozwiązańwodniesieniudozmianwdziałalnościorganizacji,rozwojuplanucią-głościorazwnioskówzwystąpieniafaktycznychzakłóceń.

10. ZgodnieznormamiseriiISO2700X,ISO22301zarządzającdziałaniemorganizacji,należyopracowywać rozwiązania skuteczniezapewniającezachowanieciągłościtegodziałania(podrozdz.6.3).Przezanalogiędoorganizmówżywychrozwiązaniatakiemająstanowićozdolnościdoho-meostazytj.oceszeorganizacjipolegającejnauruchamianiuwłasnegowewnętrznegomechanizmuprzeciwdziałaniazakłóceniuwceluprzywró-ceniastanusprzedpojawieniasiętegozakłócenia.Skutecznośćrozwiązańantycypującychzakłóceniaiichadekwatnośćdofaktycznychzdarzeńpo-winnasięplasowaćpowyżejproguminimalnejakceptacjiprzezdecyden-tów,którzyocenydokonujązwyklewświetledwukryteriów: prestiżuorganizacji i stopnia jegopodważeniawwynikuzawieszenialubograniczeniadziałania; relacjikosztówrozwiązańzabezpieczającychdokosztówpotencjalnychstratiprzywracaniadziałanianaruszonegozakłóceniem.

11. Racjonalniepojmowanahomeostazasystemudziałaniaprowadzidoświa-domegookresowego(naczaswystępowaniaczynnikazakłócającegolubskutówzakłócenia)ograniczeniajakościdziałaniadopoziomuzawczasuustalonegowświetletakichwyznaczników,jak: utratanieusatysfakcjonowanegolubposzkodowanegoklienta; benchmarkingwobeckonkurentówlubnajlepszychpraktykrynkowych; solidnestandardywspółpracyzpartneramiiklientami,tzw.service level agreement.

12. Systematycznepostępowaniezzakłóceniamipoleganaokreśleniu: jakiezakłócenia(zagrożeniawinterakcjizsystememdziałania)podle-gająprzeciwdziałaniu,tj.sąobjęteproceduramizapobieganialubproce-duramizapewnianiaciągłości; jakieobiektyinfrastrukturytechnicznejobjętesąochronąprzedzagro-żeniami; jakieprocesybiznesoweobjętesąochronąprzedzagrożeniami;

137Podsumowanie

jakieprzepływyinformacjiobjętesąochronąprzedzagrożeniami; ktojestodpowiedzialnyzaprzywracanieciągłościdziałaniawsytuacjizaistnieniazakłócenia.

13. Ograniczeniejakościfunkcjonowanianiepowinnotrwaćdłużejaniżeliczaspotrzebnynausunięcieprzyczyniskutkówzakłócenia,przyczymniekiedytepierwszemogąustąpićsamoistnie,jeślitakijestcharakterzakłócenia.

Zagadnienia do dalszych badań

Niepewność – zdefiniowanie syntezy koncepcji właściwych dla różnych dyscyplin naukowych. Pojęcieniepewnościjestwróżnysposóbformułowanewramachtakichdyscyplinjak:filozofia,fizyka,astronomia,ekonomia,zarządza-nie.Pożytecznebyłobyprzeanalizowanietychinterpretacjiipokuszeniesięosfor-mułowanieujęciasyntetycznego.

Kompleksowe sklasyfikowanie ryzyka, cowpostaci propozycji kierunkubadańopisanowpodrozdziale2.3.

Identyfikacja ryzyka (zagrożeń) w zarządzaniu kryzysowym. Zagadnie-nie to stanowina razie lukęw teorii zarządzania kryzysowegow sensie brakumetodycznegopodejściadotegoproblemu.MateżdużepraktyczneznaczeniezuwaginawprowadzonewPolsceprawoobligującewszystkieszczebleadmini-stracjipublicznejdosystematycznegoprzeprowadzaniatakiejidentyfikacji.

Zapewnianie ciągłości działania w ujęciu zarządzania strategicznego. Ciągłośćdziałaniapostrzeganajestwdwuperspektywach.Perspektywęoperacyjnąopisanowniniejszejpracy.Natomiastwperspektywiestrategicznejciągłośćdzia-łaniamacharakterpostulatujakościisprawnościdziałaniaorganizacjiizarządza-nianiąwaspekciebliższymdyscyplinieekonomiiniżzarządzania.Kwestiatanaraziepostrzeganajesttylkointuicyjnie.

Zapewnianie ciągłości działania z perspektywy rynkowej. Naruszanieciągłościdziałaniapojedynczejorganizacjimożeoznaczaćkonsekwencjewykra-czającepozajejdziałalność,sięgająceinnychuczestnikówrynkuorazczęścispo-łeczeństwa.Obawaprzedtakimikonsekwencjamipotrafiskłonićdowspółpracykonkurentów53.

Zapewnianie ciągłości działania z perspektywy finansowej. Zagadnienieciągłościdziałaniamazwiązkizdziałalnościąfinansowąprzedsiębiorstwawkilkuaspektach,takichjak:

ochronaprzednadmiernymistratami, kosztyrozwiązańzapewnianiaciągłości, zapewnianiepłynnościfinansowejprzedsiębiorstwajakozabiegzapewnia-niaciągłościdziałania.

53 Zob.teoriakooperencji,np.w[Cygler,2009].

Podsumowanie 138

Związki zapewniania ciągłości działania z zarządzaniem kryzysowym. Zarządzaniekryzysowe(zasygnalizowanewewstępiedorozdz.5)rozwijasięjakoautonomicznadziedzinawiedzyipraktyki.Tymczasemnawetintuicyjnieoczywistesązwiązkiobuzagadnień,gdyżróżnijewłaściwietylkoskalaspołecznegooddzia-ływania,asynergięłatwosobiewyobrazićwprzypadkachkatastrofdotykającychrównocześniepojedyncząorganizacjęiszersząwspólnotęspołeczną.

Związki zapewniania ciągłości działania z zarządzaniem organizacją w kryzysie. Organizacja,któraznalazłasięwkryzysiedowolnejnatury,jestbardziejpodatnanaoddziaływaniezagrożeń,takżetychniezwiązanychbezpośredniozza-chodzącymkryzysem.Możnazałożyć, żepotrzeby takiejorganizacjiwzakresiezapewnianiaciągłościdziałaniasąwyraźniewiększeniżprzeciętne.

Związki zapewniania ciągłości działania z teorią niezawodności. Teorianiezawodnościjestrozwijanaodponadstulat,dotyczyonatechnicznychwytworówczłowieka.Zuwaginapewienzakresanalogiimiędzyzasadamidziałaniaurządzeńtechnicznychaorganizacjamijakorównieżwytworamiczłowieka,możnazakładaćprzydatnośćczęściustaleńteoriiniezawodnościdlateoriizarządzaniaryzykiemoperacyjnym, teorii zapewniania bezpieczeństwa i teorii zapewniania ciągłościdziałania.

Zapewnianie ciągłości działania w relacji do koncepcji organizacji cechu-jących się wysokim poziomem zmian. Jaknależypogodzićzapewnianieciągłościdziałaniazkoniecznościąciągłychzmianorganizacjibędącychreakcjąnazmianyotoczenia?Takiezmianyorganizacyjnezwiązanesązdziałaniamidestrukcyjnymi:najpierwosłabienieistniejącegostanu,jegozmiana,anastępniezastąpieniegonowymrozwiązaniem,którezkoleipowinnozostaćutrwalone.Jakdostosowaćjedokoncepcjizarządzaniazmianami,zarządzaniainnowacjami,organizacjizwin-nych,uczącychsię,awkońcudozarządzaniawiedzą?

Załącznik – Raport z badań

Ramy metodologiczneWnaukachspołecznychbadanianaukowedzieląsięnaprowadzone:wcelachpoznawczychoraznapotrzebypraktyki.Tepierwszezajmująsięproblemamimetodycznymi izmierzajądouogólnieńosiągnięćpoznawczych,tedrugiezaśmająrozwiązywaćkonkretneproblemycodziennegofunkcjonowaniaspołecznego[Grobler,2008].

Prowadzącbadaniapoznawcze,należydokładnieokreślićproblembadawczy,sformułowaćzałożeniametodyczne,przygotowaćprogrambadańizasadywnio-skowania,przyjednoczesnymzachowaniudbałościoobiektywizmnaukowy.Jesttoszczególnieistotnewprzypadkubadaniapodmiotówgospodarczychiadmini-stracyjnychodśrodka,kiedytoniesposóbnieuwzględniaćwpływubadanychpodmiotównabadacza.Wtakichprzypadkachstosuje się specyficznemetodybadawcze,dziękiktórymmożliwyjestwiększyobiektywizmbadań[Frankfort-Na-chmias,Nachmias,2001].

Problematykazapewnianiaciągłościdziałaniajestmałoprzebadana,nierozpo-znanojejpodwzględemkoncepcyjnym,apodwzględemempirycznymjejanalizaiopiszostałydokonanetylkoprzezpodmiotydoradczeorazpodmiotystandaryzu-jącezasadypostępowaniaorganizatorskiego.Biorąctopoduwagę,zastosowanokombinowanepodejściebadawcze.Wpierwszejczęścibadań,przyustalaniucha-rakterystykiproblemuciągłościdziałania,podstawowychprawidłowościprocesujejzapewnianiaorazzarządzaniatymprocesem,opartosięnakrytycznympodej-ściubadawczymiposłużonosięmetodamiCase-study i Action-research[Yin,1989; Chrostowski,2006].Natomiastwdrugiejczęścibadań,poświęconychweryfikacjipodstawowychzasadmetodykiprojektowaniarozwiązańzapewnianiaciągłościdziałania,przyjętorealistycznestanowiskobadawczeimetodęankietowegozbie-raniainformacjizpełnejpopulacjipolskiegosektorazakładówubezpieczeniowychorazdokonanoichocenymetodąwielokryterialnegomodeludojrzałościVirtual--corp[Zawiła-Niedźwiecki,2008].

Załącznik – Raport z badań 140

Równocześnietrzebapodkreślić,żeproblematykazapewnianiaciągłościdzia-łaniajesttrudnadowyodrębnieniaspośródelementówskładającychsięnaza-gadnieniazarządzaniaryzykiemoperacyjnymorazzapewnianiabezpieczeństwa.Wbadaniachnależałosięztympogodzić,tymbardziejżewpraktycezarządzaniapodmiotemgospodarującymprzenikaniesięposzczególnychzagadnieńbędącychprzedmiotemoddziaływaniazarządczegojesttypoweitrudnomówićozarządza-niuwybranymelementemdziałalnościprzedsiębiorstwawoderwaniuodinnychelementówtejdziałalności.Ograniczenietakiejesttypowedlaperspektywyonto-logicznejrealistycznegostanowiskabadawczegoioznaczaograniczeniepoznaniadojedyniepogłębieniawiedzyorealnymświeciespołecznymczygospodarczym[Kostera,2003].Wciążaktualnyniedostatekwiedzyibrakobszernychbadańem-pirycznychnadzapewnianiemciągłościdziałania,zwłaszczajakotechnikiograni-czaniaryzykaoperacyjnego,powoduje,żeniniejszapracamacharakterpoznawczyieksploracyjny.Perspektywaepistemologiczna[Sułkowski,2005]przyjętegostano-wiskabadawczegoprzechodziłastopniowoodsubiektywnegodefiniowaniawar-tościdoobiektywizmuzmodyfikowanego,cozwiązanejestzniemożnością–naobecnymetapiewiedzy–pełnegopoznaniakontekstu,specyfikiicechcharaktery-stycznychbadanejproblematyki.

Realistycznepodejściebadawcze,przyjętewdrugiej(końcowej)faziebadań,uznajemożliwośćbudowaniasyntezynaukowejnapodstawiebadańtakilościo-wych(kwantyfikatywnych),jakiopisowych(kwalifikatywnych)54.Ograniczonaliczbaanalizowanychwpierwszejfaziebadańpodmiotówispecyficznasytuacjabadawczazwiązanazobserwacjąrozwiązańdopierotworzonychwramachpro-jektów,wktórychuczestniczyłbadacz/obserwator,uzasadniawybórwymienionychmetod.Sąoneopartenadociekaniachempirycznychiprowadządobadaniauwzględ-niającegokontekstrzeczywistości,cooznaczatakżerozmytegranicemiędzybada-nymfenomenem(ciągłośćdziałania)ajegootoczeniem(ryzyko,bezpieczeństwo,jakość).Podejścietakiejestczęstostosowanewnaukachozarządzaniu[Tharenou,Donohue,Cooper,2007],zwłaszczagdyproblembadawczyjestmałozbadany,awiedzaonimjestograniczona.Dodatkowymargumentemzatakimpodejściemjestbrakmożliwościprzeprowadzeniaeksperymentunapodmiociebieżącodzia-łającym(gospodarującym)ipodlegającymstałejewolucjiozmiennejdynamice.

Wramachobumetodbadawczychwykorzystanoróżnemetodyzbieraniain-formacji–obserwacje,analizędokumentów,wywiady,badaniakwestionariuszowe,analizyiopracowania–jakouznanewświetleteoriiugruntowanej[Konecki,2000]. Choćzzasadytometodyilościowedajądokładnypomiarwybranychelementówbadania,tojednakwielezczynnikówrozpatrywanejproblematykiniepoddajesię

54 Wpolskiejliteraturzenaukowejifachowejpowszechnieużywasięokreślenia„metody/technikijakościowe”.Tymczasemniezawszejesttopoprawne,gdyżpodpojęciemtymumieszczasięzarównometodyopisowe,jakikwalifikatywne.Problemwziąłsięzpochopnegotłumaczenieangielskiegoter-minuqualitative,którym.in.tłumaczysięjako„jakościowy”,alerównież(to be qualified for sth)oznacza„kwalifikowaćsię(doczegoś)”,awięcdojakiegośprzedziałuwartości,cechlubocen,np.:niski-średni--wysokilubczerwony-zielony-niebieskilub1-2-5.Prawidłowejestwięcposługiwaniesięodrębnymiterminami:metodakwalifikatywnalubmetodaopisowa,lubmetodakwantyfikatywna(bądźilościowa)[Wołowski,Zawiła-Niedźwiecki,2012].

Metody badawcze 141

badaniutymimetodami.Wtakichprzypadkachmetodyopisowesprawiają,żecharakterystykaprzedmiotubadaństajesiępełniejsza.

Zastosowanemetodybadawczemająteżswoistewadyzwiązanezczynni-kieminterpretacjiobarczonejnaturalnymbalastemsubiektywizmubadacza,emo-cjonalnościprzekazuiniedostatecznejliczebnościpróbkibadawczej.Ograniczyćjemożnaanalizamiteoretycznymi,którezakreślająpoleinterpretacjiiwskazująkryteriaoceny.Jednakkwestiamałejliczebnościpróbkimożewpraktycebyćnie-rozwiązywalna.

Celempoznawczymprowadzonychbadańbyłopogłębieniewiedzyoistocieiorganizacyjnychwarunkachzapewnianiaciągłościdziałania.Szczególnieważnabyłaidentyfikacjatakichprzesłanektejproblematyki,jak:podatnościorganizacjinazagrożenia,rodzajezagrożeń,rodzajepodejśćdozapewnianiaciągłościdziała-niazwiązanezpodstawowymiczynnikamiryzyka.

Celemmetodycznymbyłowypracowaniepodejściabadawczegoadekwatnegodoprzesłanekzapewnianiaciągłościdziałania.Takiceljestuzasadnionybrakiemnaukowejliteraturypodejmującejtęproblematykę.Spotykasiętylkoopracowaniaporadnikoweautorstwamenedżerów,którzystaralisięintuicyjniezmierzyćzwy-zwaniemzapewnieniaciągłościdziałaniaorganizacjiwpodległym imobszarze.Dlategozagadnienie tonie jest rozpoznane, jeśli chodziometody inarzędziabadawcze.

Metody badawcze Wbadaniachwykorzystanodwiemetody:Action-researchorazCase-study.Posiłko-wanosiętakżetechnikamiankietowymi.MetodęAction-researchzastosowanozewzględunabrakpoczątkowejwiedzyoistocieprzedmiotubadań.MetodaCase-study stosowanabyławtrzechujęciach:eksploracyjnym(badanieindukcyjne)–rozpo-znanieproblemuopartenaniestandardowychnarzędziach(np.wywiadyswobodne),wyjaśniającym(badaniededukcyjne)–zbadanieprzyczynimechanizmubadanegozjawiska,opisowym–wodniesieniudokontekstupowstawaniazjawiska i jegorelacjizotoczeniem.

Metoda Action-research (badanie w trakcie działania)55

Rozumienieaction-researchwynikazeznaczeniasłów.Research(badanie)oznaczasystematyczniepodejmowanywysiłekwkierunkupoznaniadanegozjawiska, na-tomiast action(aktywnedziałanie)oznacza,żebadaniewymagabezpośredniegozaangażowaniajegouczestników.Dlategoaction-researchtoproces,wktórymba-daczewspólniezpraktykami(adresatamibadań),czyliludźmiwywodzącysięześrodowiska,wktórympostawionopytania,systematycznieposzukująodpowiedzi

55 Charakterystykametodyzostałaopartana[Chrostowski,2006].


nanurtująceichproblemy.Uniwersalnadefinicjato–Action-researchjestdemokra-tycznymprocesemmającymnaceluzdobyciewiedzypraktycznej.Maonzazadaniepołączyćakcjeirefleksje,teorięipraktykę,przezdziałaniezinnymi,wprocesieposzukiwaniarozwiązańproblemówodużejdlaludziwadzeorazposzukiwaniemożliwościrozwojuosóbindywidualnychicałychspołeczności”[Reason,Brad-bury,2001].

Pionierzyaction-researchpowiązalipomysłbadaniawtrakciedziałaniazwy-konywaniemeksperymentów.Początkowodotyczyłotobadańterenowych,anielaboratoryjnych.Wymagano,żebyeksperymenttypuaction-researchwyrażałteorięw taki sposób,by rezultatyeksperymentumogłyponowniebyćbezpośrednimodniesieniemdoteorii.Pomysłaction-researchpoczątkowowyłoniłsięzprzypusz-czenia,żeteoriamożebyćbezpośredniowyrażonawdziałaniu.Wprawdzieoba-wianosię,żeuczestnictwowdziałaniuusytuujebadaczajednoznaczniepostroniepraktyki,takżeutracionzdolnośćuczestniczeniawdyskursieteoretycznym,alezczasemobawyterozwiałysię.Przyczyniłsiędotegofakt,żebadaczeteoretycy,zbierającdoświadczeniapraktyczne,jednocześnieaktywnieuczestniczyliwżyciuakademickim.Okazałosię,żemożnapostrzegaćianalizowaćrzeczywistość,nieograniczającsiędojednegopunktuwidzenia–zazwyczajbadaczpotrafibyćjed-nocześnieiteoretykiem,ipraktykiem.Zczasemdyskusjebadaczazpraktykamiprzesunęłysięnapierwszyplanbadaniaistałysiępunktemwyjściadoformułowa-niakryteriówocenycałościprac.Sprawiłoto,iżujawniłsiępodwójnycelbadaniaaction-research.Popierwsze,zdobycieużytecznegozasobuwiedzywynikającegozbadań,apodrugie,zrozumienieprzezludzizaangażowanychwbadaniesytuacji,wktórejsięznajdują,cowprzyszłościmiałobyimułatwiaćrozwiązywaniewła-snychproblemów.Czylidodatkowymcelemaction-research jestprocesuświada-miania[Morgan,2001].

Zasady action-researchto[Argyris,Putnam,Smith,1985]: prowadzeniezmian(eksperymentów)narzeczywistych,konkretnychproblemachwsystemachspołecznych(np.winstytucjach)zintencjąichpozytywnegorozwiązania; zwykle,podobnie jakwdoradztwieorganizacyjnym,stosowaniecyklu:identyfikacjaproblemu,planowanie,działanieioceny; wprowadzaniezmianwprojekcietypuaction-research,którezregułyprzy-czyniasiędoreedukacjijegouczestników,zmuszającichdopostrzeganiawinnejperspektywiedotychczasowychnormiwartościorazzmiansche-matówmyślenia;efektywnareedukacjazależyodzaangażowanegouczest-nictwapraktykówwdiagnozie,planowaniuiwdrażaniu; wyzwanieistniejącemustatus quowdanymsystemieczydanejorganizacji; wzbogacaniewiedzy,zarównownaukachspołecznych,jakiwpraktyce,polegającenaustanowieniuwysokichstandardówrozwojuteoriiorazem-pirycznietestowanychpropozycjidlapraktyki.

Metodaaction-researchjestciągledoskonalona,obecniegłównynaciskkła-dziesięnakolektywne,systematyczneposzukiwanierozwiązań.Ważnąkwestią

Metody badawcze 143

jestzaktywizowaniewszystkichuczestnikówwceluznalezieniarozwiązaniapro-blemu i zmobilizowanie ichdowspółpracyw ramachwspólnie akceptowanychnorm.Istotnącechąaction-researchjestzdobywaniewiedzy,opartejprzedewszyst-kimnazmianachidokonywanychanalizach.

Metodadaje„adresatom”możliwośćuczestniczeniawkształtowaniuwynikubadania,zwiększającjednocześnieichodpowiedzialnośćorazsatysfakcję,atakżewpływnarealizacjęzamierzonegocelu.Samprocesbadaniawyglądanajczęściejnastępująco:badaczi„adresaci”definiująproblem,którymabyćpoddanybada-niu,gromadząinformacjęonim,ucząsiętechnikbadawczychiwprowadzająjewżycie.Następnieinterpretująefektyswojejdziałalnościnapodstawietego,czegosięnauczyli.Metodaaction-researchopierasięnawiedzy,doświadczeniuiprowa-dzonajestwsposóbschematyczny:plan–działanie–refleksja.Procesjestnatyleuporządkowany,bymożnabyłokoordynowaćcałąpracę.Wszystkiestronyuczest-niczącewbadaniumająwpływnatreśćpytańbadawczych.Najczęściejcelem,dojakiegozmierzaaction-research, jestwprowadzeniezmiany społecznej (w tymorganizacyjnej).Wynikibadaniapowinnybyćużytecznedlamiejscowychpartnerówwuzyskiwaniuprzeznichcorazwiększejkontrolinadichwłasnympołożeniemorazpolepszaniemistniejącejsytuacjiprzezzmobilizowaniezróżnicowanychza-sobów[Greenwood,Levin,1998].

Metoda case study (czyli metoda studium przypadku)56

Metodacase-studypozwalauchwycićcałościowerelacjewobrębiedanejjednostkibadania(organizacji),atakżejejrelacjezotoczeniem.Stosowanietejmetodyjestwskazane,gdyzadawanesąpytaniabadawczetypuopisowego,np.dlaczegoijakcośsiędzieje?Ponadtojestonastosowana,gdybadaczmaograniczonąkontrolęnadwydarzeniami,któresąprzedmiotemjegozainteresowania,orazgdyzamierzabadaćzjawiskazachodząceaktualniewpewnejrelacjizotoczeniem.Zewzględunaholistycznepodejściemetodatapozwalanazarejestrowanieznaczącychcechzjawiskaicechwarunkującegojegokształtotoczenia.Należyjednakpamiętać,żewwypadkumetodopisowychtrzebadbaćorealnośćopisywanejrzeczywistości,gdyżmetodytenarażonesąnadwarodzajebłędów[Konecki,2000].Popierwsze,nakreowanierzeczywistościprzezbadacza,cozzałożenia jestnieuniknionezewzględunawchodzeniewbliskieinterakcjebadaczazrespondentami,jednakjakoczynnikuświadomionymożezostaćzminimalizowanelubzobiektywizowane.Drugakwestiasprowadzasiędosubiektywizacjidanych,możesiębowiemzdarzyć,żebadaczprzykładaswójkontekstinterpretacyjnydobadanejrzeczywistości,którawtenkontekstsięniewpisuje.Wsytuacjikiedybadaczpochodziztegosamegoobszarukulturowegocobadany(respondent),toproblemjestjednakznikomy.

Postępowanieempirycznewprzypadkudanegoprojektucharakteryzujewielośćużywanych technik badawczych orazwielość źródeł, z których są pozyskiwane

56 Charakterystykametodyzostałaopartana[Yin,1989].


dane.Wtrakcieanalizypotrzebnajesttriangulacja57metodologicznaitriangulacjadanych,pozwalająceuzyskaćwiarygodnewyniki.Analizaempirycznapoprzedzonajestanaliząteoretyczną,któradostarczawskazówekdlaprocesuzbieraniadanychiichpóźniejszejanalizy.Generalizacjeprowadzonewramachmetodycase-study sąanalityczne,wprzeciwieństwiedogeneralizacjistatystycznej,wktórejwynikibadania(wpostaciilościowej)uogólnianesąnapopulacjęidotycząrozpowszech-nienialubczęstościwystępowaniadanegozjawiska.Generalizacjaanalitycznapo-leganaprzeniesieniuwynikówbadanianateorię(uogólnienieteoretyczne).Wtymsensieposzczególneprzypadkisądobieranedobadaniawsposóbcelowy,nazasa-dziequasi-eksperymentalnej,toznaczytak,bypozwalałynazbadanieiopisdanegozjawiska/zależności.

Projektbadaniaprzygotowywanyjestzdwupespektyw,tj.zarównoholistic case-study,gdzieuwagępoświęcasiępojedynczejjednostce,jakimultiple case-study,czyliwielokrotnegostudiumprzypadku.Dobórprzypadkówwtymostatnimcha-rakteryzujelogikaeksperymentu–napodstawieteoriidobieranesątakieprzypadki,któremogąjąpotwierdzićlubobalić.Oznaczato,żeramyteoretycznemusząbyćdopracowanedotegostopnia,żebędąwstaniepodaćprzewidywaniawarunków,wktórychdanezjawiskomożesiępojawić(replikacjadosłowna)orazwktórychdanezjawiskoniemaracjibytu(replikacjateoretyczna).Podobniejakwbadaniutypueksperymentalnego,odmiennośćzaobserwowanychrelacjiodtychprzewidy-wanychwedługteoriiskutkujekoniecznościąmodyfikacjiteorii(przyzałożeniużeprzeprowadzonebadaniejesttrafneirzetelne).Prócztypologiikierującejsiękry-teriumilościbadanychprzypadkówianalizowanychjednostek,stosujesiętypologięopartąnakryteriumcelupostępowaniaempirycznego,dzielącstudiaprzypadkówna:eksploracyjne,wyjaśniająceideskryptywno-teoretyczne.

Opis badańBadaniaprowadzonodwuetapowo.Wpierwszym,któregocelembyłowypraco-wanienapodstawierzeczywistychprzedsięwzięćprojektowychmetodykiprojek-towaniarozwiązańzapewnianiaciągłościdziałania(nazwanejpotemTSM-BCP,tj.total security management – business continuity planning),zastosowanopodejściebadawczebazującenametodzie case-study, adodatkowo, zuwaginaznaczącyudziałtechnikiobserwacjiuczestniczącej,posiłkowanosięregułamimetodyaction research.Drugietapbadańmiałposłużyćweryfikacjiustaleńzpierwszegoetapu.Wykorzystanotutechnikęankietowązpytaniamiotwartymiizamkniętymi.

Badaniaprzeprowadzonewramachrozprawynależądodeskryptywno-teo-retycznych. Przed przystąpieniem do drugiego etapu badań opracowany zostałhipotetycznyopisteoretycznyzjawiska.Przebadanezjawiskaopisanozuwzględ-

57 Triangulacja–więcejniżjedensposóbkorzystaniazmetodbadawczychorazzbieraniadanychwramachjednolitegoplanubadawczegowceluprzetestowaniatejsamejhipotezy.Zob.[Frankfort--Nachmias,Nachmias,2001].

Opis badań 145

nieniemszerokiegokontekstu,anastępnieporównanozesobąorazzmodelemteoretycznym.

Opisowepodejściebadawczewybranezostałozrozmysłem.Celembadanianiebyłostwierdzenie,na ilepowszechne jestdanezjawisko, jakirozkładcechymożnaobserwowaćwpopulacji,anistwierdzenie,czyistniejezwiązekmiędzynp.wielkościąfirmya jej polityką zarządzania ryzykiem,bezpieczeństwemczyciągłościądziałania.Obiektemzainteresowańbył samproces zarządzania ryzy-kiemoperacyjnym,stanowiącyo funkcjonowaniuorganizacji.Technikiwybranedozbieraniadanychtoanalizadokumentów(przepisów,norm,dokumentacjipro-jektowejorazdokumentówfirmowych,takichjak:regulaminy,procedury,umowy,zarządzenia)iobserwacjauczestnicząca(udziałwspotkaniachstronprojektu,na-radachprojektowychiwsamymprojektowaniu).

Wśródczynnikówistotnychdlaanalizyproblematykizapewnianiaciągłościdziałaniaznalazłysiętakie,jak:otoczenieprawne,społeczne,środowiskoweiin-stytucjonalne organizacji, organizacjawewnętrzna, świadomość ryzyka i formyorganizacyjnezajmowaniasięnimorazcharakteruwarunkowańprawnychizwy-czajowych,któreregulujądziałaniapodejmowaneprzezorganizacjęwsytuacjachpojawianiasięzakłóceń.

Wdrugimetapie,zewzględunaistnienieopracowanegowzorcateoretycz-nego,analizęopartowpierwszejkolejnościnakategoriachwyłonionychzanalizteoretycznych(podejściededukcyjne).Niskastandaryzacjanarzędziabadawczegoumożliwiłapozyskaniemateriałuwychodzącegopozaprzewidywanewmodeluteoretycznymzależności,stądczęśćdanychwpostępowaniuempirycznymoceniononazasadziewyłonieniaichkategoriinapodstawieanalizy(podejścieindukcyjne).

BadaneprojektyzostałyscharakteryzowanewtabeliZ.2. Projektyułożyłysięwtrzyfazybadań.Wpierwszejfazie,bazującnadoświad-

czeniumenedżerskimautorazwiązanymzwieloletniąpracąwośrodkachkompu-terowych kilku znaczących firm oraz zarządzaniem czterema z nich, przyjętozałożeniadotycząceprocesuwprowadzaniakompleksowychrozwiązańzapew-nianiaciągłościdziałaniaiwtokukilkuprojektówdoprecyzowanoje.Projektytebyłyprowadzonedlanastępującychcelówcząstkowych:

ustaleniestanufaktycznegozapewnianiaciągłościdziałaniaorazjegozgod-nościzmetodologią, określenieiocenapracwcześniejprzeprowadzonych, opracowanierekomendacji, opracowanieharmonogramudziałańdot.ewentualnychmodyfikacji, zaproponowanieprogramuszkoleń

orazwpodzialenatrzyetapywykonawcze.Pierwszyztychetapówsłużyłrealizacjitrzechpierwszychcelów,drugietaprealizacjisłużyłcelompozostałym,awtrze-cimetapiedokonywanopodsumowaniaprojektu,abyjegobeneficjentmógłdalejsamodzielniepowtarzaćpracekontrolne,analityczne,projektowe,wdrożenioweitestowe,poświęconerozwijaniurozwiązańzapewnianiaciągłościdziałania.Do-datkowopowinienbyćonwkażdejchwiligotowydozastosowaniatychrozwiązańnawypadekwystąpieniasytuacjikrytycznej.


Tabe

la Z

.1. P

rojek

ty p

odda

ne b

adan

iu

Faza

ba

dań

Orga

niza

cja

Okre

sTe

mat

yka

proj

ektu

Ro

la a

utor

aCh

arak

ter p

roje

ktu,

oce

na d

ojrz

ałoś

ci w

g m

odel

u BC

MM

or

az ro

dzaj

e w

prow

adzo

nych

rozw

iąza

ńRo

dzaj

e op

raco

wan

ych

doku

men

tów

1. Opracowywanie pierwszego modelu metodyki zapewniania ciągłości

Giełd

a Pa

pier

ów

War

tośc

iow

ych

w W

arsz

awie

SA

1994

–19

99

Plan

zape

wnian

ia ci

ągło

ści d

ziała

-ni

a

Kier

owni

k pro

cesu

po

stro

nie

klien

ta (

pro-

jekt w

ykon

ywan

y prz

ez

zagr

anicz

ną fi

rmę

do-

radc

zą, n

astę

pnie

we-

wnę

trzni

e cy

klicz

nie

rozw

ijany

)

Char

akte

r (da

lej C

). Pr

oblem

atyk

a be

zpiec

zeńs

twa

i ciąg

łośc

i dzia

łani

a by

ły tr

akto

wan

e łą

czni

e; n

ie ro

zróż

nian

o te

rmi-

nolo

gicz

nie

ryzy

ka, z

agro

żeń

i zak

łóce

ń; w

iększ

ość

dział

ań b

yła

prow

adzo

na in

tuic

yjnie,

opi

eran

o się

na

mod

nej w

ów-

czas

met

odzie

Woo

dsa*

def

inio

wan

ia po

lityki

bezp

iecze

ństw

a or

gani

zacj

i, z d

zisiej

szej

pers

pekt

ywy

zbyt

szc

zegó

łow

ej i m

iesza

jące

j kw

estie

stra

tegi

czne

z o

pera

cyjn

ymi.

Oba

zaga

dnien

ia ko

jarz

ono

wyłą

czni

e ze

spr

awno

ścią

i niez

awod

-no

ścią

syst

emów

info

rmat

yczn

ych.

Plan

y pr

zygo

tow

ywan

e by

ły w

pio

nie

info

rmat

yki,

audy

t nad

test

ami s

praw

ował

a ko

mór

ka k

ontro

li wew

nętrz

nej,

a za

rząd

zani

e w

syt

uacj

i kry

zysu

prz

ewid

ziane

był

o w

kom

pete

ncja

ch za

rząd

u sp

ółki.

Stop

ień

dojrz

ałoś

ci (d

alej D

): Ni

e fu

nkcj

onow

ały

wów

czas

mod

ele te

go ty

pu, z

póź

niejs

zej p

ersp

ekty

wy

moż

na o

ceni

ć po

ziom

doj

rzał

ości

jako

naj

wyż

ej dr

ugi (

wg

tab.

6.4

).

Rozw

iąza

nia

(dale

j R).

Polity

ka b

ezpi

ecze

ństw

a in

form

atyc

zneg

o

Com

iesięc

zne

audy

ty b

ezpi

ecze

ństw

a, w

tym

ciąg

łośc

i us

ług

info

rmat

yczn

ych

(aud

ytor

zew

nętrz

ny)

Proc

edur

y dz

iałan

ia op

erac

yjneg

o

Rozw

iązan

ia za

pew

nian

ia ci

ągło

ści d

ziała

nia

Scen

ariu

sze

post

ępow

ania

w p

rzyp

adku

typ

owyc

h za

kłóce

ń

Scen

ariu

sze

okre

sow

o po

wta

rzan

ych

test

ów

Info

rmat

yczn

e dz

iennik

i zda

rzeń

i w

yjaśn

ienia

do n

ich

1998

–19

99Pr

oblem

roku

20

00 (t

zw. Y

2K)

Kier

owni

k pr

ojek

tu

wew

nętrz

nego

C. P

rzep

row

adzo

no s

zcze

góło

we

bada

nie

doku

men

tacj

i i s

yste

mów

info

rmat

yczn

ych

oraz

opr

acow

ano

rapo

rt pr

zed-

staw

iając

y ro

dzaj

e ry

zyka

zw

iązan

e ze

spo

soba

mi z

apisu

dat

w s

yste

mac

h in

form

atyc

znyc

h or

az r

ekom

endo

wan

e dz

iałan

ia ko

rygu

jące

. Nas

tępn

ie pr

zygo

tow

ano

i prz

epro

wad

zono

pro

jekt d

osto

sow

ania

syst

emów

info

rmat

yczn

ych

do

praw

idło

weg

o in

terp

reto

wan

ia da

t ora

z wye

gzek

wow

ano

od d

osta

wcó

w o

prog

ram

owan

ia na

rzęd

ziow

ego

analo

gicz

ne

zmian

y. Op

raco

wan

o ta

kże

scen

ariu

sz p

ostę

pow

ania

w ra

mac

h pl

anu

ciąg

łośc

i dzia

łani

a na

wyp

adek

, gdy

by je

dnak

nie

zadz

iałał

pra

wid

łow

o jed

en z

syst

emów

Gieł

dy lu

b sy

stem

ów p

odm

iotó

w w

spół

prac

ując

ych.

Pro

jekt z

osta

ł zak

ończ

ony

jeszc

ze w

199

9 r.

Zost

ał u

znan

y prz

ez ó

wcz

esną

Kom

isję P

apier

ów W

arto

ścio

wyc

h i G

iełd

za w

zorc

owy d

la po

dobn

ych

proj

ektó

w, d

o kt

óryc

h zo

stał

y zo

blig

owan

e po

dmio

ty n

adzo

row

ane

prze

z Ko

misj

ę. P

onad

to z

osta

ł zap

reze

ntow

any

Prez

yden

tow

i RP

oraz

Pre

zeso

wi N

BP c

elem

zob

razo

wan

ia pr

oblem

u Y2

K or

az w

łaśc

iwej

drog

i prz

ygot

owan

ia się

do

nieg

o.

W w

yniku

tych

pro

jektó

w s

form

ułow

ano

podz

iał n

a cz

tery

pod

ejścia

w za

pew

nianiu

ciąg

łośc

i dzia

łania

(zob

. rys

. 6.2

) wyw

odzo

ne z

dwu

pods

taw

owyc

h sk

ładnik

ów o

ceny

ryzy

ka o

raz w

zorc

ową

listę

zagr

ożeń

(zob

. tab

. 6.1

).

* Tahistorycznieważna,alemerytoryczniejużprzebrzmiałapozycjatoWoodsCh.E

ffect

ive

Info

rmat

ion

Secu

rity

Man

agem

ent,

Else

vier

Adv

ance

d Te

chno

logy,

Oxford1991.

Opis badań 147

Faza

ba

dań

Orga

niza

cja

Okre

sTe

mat

yka

proj

ektu

Ro

la a

utor

aCh

arak

ter p

roje

ktu,

oce

na d

ojrz

ałoś

ci w

g m

odel

u BC

MM

or

az ro

dzaj

e w

prow

adzo

nych

rozw

iąza

ńRo

dzaj

e op

raco

wan

ych

doku

men

tów

Tow

arzy

stw

o Ub

ezpi

ecze

niow

e Po

lisa

SA19

99Pr

oblem

roku

20

00Ki

erow

nik

proj

ektu

st

rony

usłu

gow

ej

C. P

rzep

row

adzo

no s

zcze

góło

we

bada

nie

doku

men

tacj

i i s

yste

mów

info

rmat

yczn

ych

oraz

opr

acow

ano

rapo

rt pr

zed-

staw

iając

y ro

dzaj

e ry

zyka

zw

iązan

e ze

spo

soba

mi z

apisu

dat

w s

yste

mac

h in

form

atyc

znyc

h or

az r

ekom

endo

wan

e dz

iałan

ia ko

rygu

jące

. W ty

m o

kres

ie ro

zpoc

zął s

ię pr

oces

upa

dłoś

ci fi

rmy

i nie

podj

ęto

żadn

ych

dział

ań n

apra

wcz

ych,

co

miał

o og

rom

ne zn

acze

nie

bada

wcz

e, g

dyż u

moż

liwiło

po

1.01

.200

0 r.

doko

nani

e po

rów

nani

a us

taleń

rapo

rtu z

rze-

czyw

istym

i wyd

arze

niam

i. Pr

zew

idyw

ania

rapo

rtu w

dra

mat

yczn

y dl

a fir

my

spos

ób w

pełn

i się

potw

ierdz

iły. B

yły je

d-ny

m z

niel

iczn

ych

w p

olsk

iej g

ospo

darc

e pr

zypa

dków

dow

odzą

cych

rzec

zyw

istej

potrz

eby

prze

prow

adze

nia

dział

ań

kory

gują

cych

w za

kres

ie pr

oblem

u Y2

K.

Grup

a Pa

ribas

w

Pol

sce

(Fun

d Se

rvic

es

Sp. z

o.o

.,PT

E Po

cztyl

ion S

A,TU

Car

dif

Polsk

a SA

)

1999

Prob

lem ro

ku

2000

Kier

owni

k pr

ojek

tu

wew

nętrz

nego

C. P

rojek

t był

częś

cią

proj

ektu

duż

ej eu

rope

jskiej

kor

pora

cji,

w p

rzew

ażaj

ącej

częś

ci b

ył pr

zepr

owad

zany

zdaln

ie pr

zez

służb

y inf

orm

atyc

zne c

entra

li kor

pora

cji. W

ram

ach

bada

nia o

bser

wow

ano

pode

jście

met

odyc

zne c

entra

li. Ni

e było

one

op

arte

na

szer

szym

pod

ejści

u te

oret

yczn

ym. B

azow

ano

na ty

pow

ym d

ośw

iadcz

eniu

sta

rszy

ch w

iekiem

pro

gram

istów

i s

yste

mat

yczn

ie w

yław

iano

pote

ncja

lne

źród

ła b

łędów

. Plan

ciąg

łośc

i w o

ddzia

le w

Pol

sce

zakła

dał n

adzw

ycza

jne

dyżu

ry i

prac

ę po

d zd

alnym

nad

zore

m c

entra

li kor

pora

cji.

Nie

zaist

niał

y ża

dne

zdar

zeni

a kr

ytyc

zne.

2000

Polity

ka

bezp

iecze

ństw

aKi

erow

nik

proj

ektu

w

ewnę

trzne

go

C. O

gran

iczo

ny z

rac

ji ni

edaw

nego

pow

stan

ia fir

my

i jej

niew

ielkie

go ro

zmiar

u, g

łów

nie a

naliz

a zag

roże

ń. C

o w

ięcej,

św

iadom

ość

zagr

ożeń

w p

olsk

ich

firm

ach

korp

orac

ji by

ła

znac

znie

wyż

sza

niż w

cen

trali.

Na ty

m tl

e do

szło

naw

et d

o ko

nflik

tu ko

mpe

tenc

yjneg

o, kt

óry b

ył w

yjaśn

iany p

rzez

spe-

cjaln

ą in

spek

cję

kom

órki

kont

roli

z ce

ntra

li ko

rpor

acji.

In-

spek

cja

ta b

yła n

a ty

le rz

eteln

a, ż

e w

jej k

onklu

zji z

nalaz

ła

się re

kom

enda

cja

pow

ielen

ia po

lskieg

o ro

związ

ania

w fi

r-m

ach

korp

orac

ji w

inny

ch k

raja

ch.

Proje

kt sa

mej

polity

ki be

zpiec

zeńs

twa

był o

party

na

meto

dyce

TI

SM, e

lemen

ty za

pew

nian

ia ci

ągło

ści p

owiel

ały

konc

epcj

e zr

ealiz

owan

e wcz

eśnie

j dla

Giełd

y Pap

ierów

War

tośc

iow

ych.

D. N

ie fu

nkcj

onow

ały

wów

czas

mod

ele te

go ty

pu, z

póź

-ni

ejsze

j per

spek

tyw

y m

ożna

oce

nić

pozio

m d

ojrz

ałoś

ci ja

ko

najw

yżej

drug

i (w

g ta

b. 6

.4).

R.

Polity

ka b

ezpi

ecze

ństw

a in

form

atyc

zneg

o

Okre

sow

e au

dyty

bez

piec

zeńs

twa,

nie

częś

ciej

niż

raz

na k

war

tał (

audy

tor z

cen

trali k

orpo

racj

i)

Proc

edur

y dz

iałan

ia op

erac

yjneg

o

Rozw

iązan

ia za

pew

nian

ia ci

ągło

ści d

ziała

nia

Testo

wanie

opr

ogra

mow

ania

po ka

żdej

zmian

ie w

spec

jal-

nym

śro

dow

isku

bliźn

iaczy

m u

trzym

ywan

ym w

ośr

odku

ko

mpu

tero

wym

w c

entra

li kor

pora

cji

Scen

ariu

sze

post

ępow

ania

w p

rzyp

adku

typ

owyc

h za

kłóce

ń

Info

rmat

yczn

e dz

iennik

i zda

rzeń

i w

yjaśn

ienia

do n

ich

Rapo

rty z

test

ów w

spe

cjaln

ym ś

rodo

wisk

u bl

iźnia-

czym

w o

środ

ku k

ompu

tero

wym

w c

entra

li kor

pora

cji


Faza

ba

dań

Orga

niza

cja

Okre

sTe

mat

yka

proj

ektu

Ro

la a

utor

aCh

arak

ter p

roje

ktu,

oce

na d

ojrz

ałoś

ci w

g m

odel

u BC

MM

or

az ro

dzaj

e w

prow

adzo

nych

rozw

iąza

ńRo

dzaj

e op

raco

wan

ych

doku

men

tów

Grup

a PZ

U

(PZU

SA

oraz

Ce

ntru

m

Info

rmat

yki

Grup

y PZ

U SA

)

2001

Polity

ka

zape

wni

ania

bezp

iecze

ństw

a i n

iezale

żnie

polity

ka

zape

wni

ania

ciąg

łośc

i dz

iałan

ia

Obse

rwac

ja

zew

nętrz

na

C. P

rzed

sięwz

ięcie

było

prow

adzo

ne z

ogro

mny

m ro

zmac

hem

, od

deleg

owan

o do

nieg

o po

nad

100

osób

. Pr

ojek

t sa

mej

polity

ki be

zpiec

zeńs

twa

był o

party

na

met

odyc

e TI

SM fi

rmy

ENSI

. Pro

jekt p

olityk

i zap

ewnia

nia c

iągłoś

ci dz

iałan

ia by

ł opa

rty

na m

etody

ce D

RII.

Z uw

agi n

a zm

iany

orga

nizac

yjne

w fir

mie,

po

wod

owan

e ba

rdzie

j pol

ityką

wła

ścic

ielsk

ą (s

pore

m a

k-cj

onar

iusz

y) n

iż po

trzeb

ami,

proj

ekt n

ie p

rzei

stoc

zył s

ię

w p

roce

s, c

o pi

erw

otnie

było

zam

ierze

niem

prz

edsię

wzię

cia.

D. N

ie fu

nkcjo

now

ały w

ówcz

as m

odele

tego

typu

, z p

óźni

ej-sz

ej pe

rspe

ktyw

y m

ożna

oce

nić

pozio

m d

ojrz

ałoś

ci ja

ko n

a pe

wno

dru

gi, z

prz

esłan

kam

i na

pozio

m tr

zeci

(wg

tab.

6.4

).R.

Zasa

dy za

pew

nian

ia be

zpiec

zeńs

twa

Map

a do

kum

entó

w z

arzą

dczy

ch i

oper

acyjn

ych

zape

w-

nian

ia be

zpiec

zeńs

twa

Zasa

dy za

pew

nian

ia ci

ągło

ści d

ziała

nia

Ogóln

a ana

liza r

yzyk

a i je

go po

tencja

lnego

wpły

wu na

bizn

es

Rozw

iązan

ia za

pew

nian

ia ci

ągło

ści d

ziała

nia

Szko

lenia

Polity

ka b

ezpi

ecze

ństw

a

Polity

ka

bezp

iecze

ństw

a in

form

acji

(wyd

zielen

ie gr

up in

form

acji)

Polity

ka b

ezpi

ecze

ństw

a fiz

yczn

ego

i tec

hnic

zneg

o

Polity

ka b

ezpi

ecze

ństw

a os

obow

ego

Zasa

dy b

ezpi

ecze

ństw

a i

zarz

ądza

nia

bezp

iecze

ń-st

wem

(re

gulam

iny)

dla

posz

czeg

ólny

ch o

bsza

rów

in

form

acyjn

ych

(w ty

m d

anyc

h os

obow

ych)

Zalec

enia

konf

igur

acyjn

e dl

a sy

stem

ów IT

Inst

rukc

je i p

roce

dury

ope

racy

jne

Zasa

dy a

udyt

owan

ia ro

związ

ań i

wyk

ryw

ania

naru

-sz

eń b

ezpi

ecze

ństw

a

Polity

ka za

pew

nian

ia ci

ągło

ści d

ziała

nia

Anali

za b

usin

ess

impa

ct a

nalys

is

Scen

ariu

sz m

aksy

maln

ej ka

tast

rofy

Górn

ośląs

ki Ba

nkGo

spod

arcz

y SA

2003

Polity

ka i

plan

za

pew

nian

ia ci

ągło

ści

dział

ania

Opra

cow

anie

pl

anu

i org

aniza

cji p

rojek

tu

z po

zycj

i kon

sulta

n-ta

zew

nętrz

nego

ora

z au

dyt z

reali

zow

aneg

o w

ewnę

trzni

e pr

ojek

tu

C. P

ierw

szy

proj

ekt w

ksz

tałc

ie ba

rdzo

blis

kim k

szta

łtow

i m

etod

yki T

SM-B

CP. N

a po

cząt

ku o

soby

odp

owied

zialn

e za

pr

ojekt

prze

szły

szko

lenie

(pro

wadz

one

prze

z aut

ora)

z za

sad

proje

ktowa

nia. N

astęp

nie w

firm

ie pr

zepr

owad

zono

włas

nym

i sił

ami p

rojek

t. Na

kon

iec a

utor

prz

epro

wadz

ił aud

yt ro

związ

ań

i prz

edst

awił

rapo

rt za

rząd

owi b

anku

. Pro

jekt w

tym

mo-

men

cie z

osta

ł prz

erw

any w

związ

ku z

zaku

pem

ban

ku p

rzez

in

ny b

ank,

jede

n z n

ajw

iększ

ych

w P

olsc

e.D.

Nie

zast

osow

ano

form

alnej

ocen

y do

jrzał

ości

zar

ządz

a-ni

a ci

ągło

ścią,

ale

z obe

cnej

pers

pekt

ywy

moż

na g

o oc

enić

ja

ko n

a pe

wno

poz

iom

trze

ci, w

dod

atku

z p

rogr

amem

do-

skon

aleni

a pi

loto

wan

ym p

rzez

zarz

ąd.

R.

Zasa

dy za

pew

nian

ia ci

ągło

ści d

ziała

nia

Ogóln

a ana

liza r

yzyk

a i je

go po

tencja

lnego

wpły

wu na

bizn

es

Orga

niza

cja

kryz

ysow

a

Szko

lenia

Polity

ka za

pew

nian

ia ci

ągło

ści d

ziała

nia

Regu

lamin

zape

wni

ania

ciąg

łośc

i dzia

łani

a

Anali

za b

usin

ess

impa

ct a

nalys

is

Plan

zape

wni

ania

ciąg

łośc

i dzia

łani

a

Scen

ariu

sze

sytu

acji

kryz

ysow

ych

(o c

hara

kter

ze

naru

szen

ia pr

oces

ów d

ziała

nia

lub

spra

wno

ści o

rga-

niza

cji)

Opis badań 149

Faza

ba

dań

Orga

niza

cja

Okre

sTe

mat

yka

proj

ektu

Ro

la a

utor

aCh

arak

ter p

roje

ktu,

oce

na d

ojrz

ałoś

ci w

g m

odel

u BC

MM

or

az ro

dzaj

e w

prow

adzo

nych

rozw

iąza

ńRo

dzaj

e op

raco

wan

ych

doku

men

tów

Agen

cja

Rest

rukt

uryz

acji

i Mod

erni

zacj

i Ro

lnic

twa

2003

Polity

ka

zape

wni

ania

ciąg

łośc

i dz

iałan

ia

Opra

cowa

nie k

once

p-cji

i do

kum

entó

w wi

o-dą

cych

C. za

kres

pro

jektu

był

ogra

niczo

ny d

o sy

stem

u IA

CS, k

tóry

był

sz

ykow

any

do w

droż

enia

okoł

o 6

mies

ięcy

późn

iej, a

plan

w

droż

enia

obejm

ował

zgo

dnie

z w

ytyc

znym

i fin

anso

wan

ia z f

undu

szy a

kces

yjnyc

h Unii

Euro

pejsk

iej ta

kże p

olityk

ę och

rony

da

nych

oso

bow

ych,

pol

itykę

bez

piec

zeńs

twa

info

rmat

ycz-

nego

ora

z pl

any

zape

wni

ania

ciąg

łośc

i dzia

łani

a na

wyp

a-de

k aw

arii s

yste

mu.

D. N

ie za

stos

owan

o fo

rmaln

ej oc

eny

dojrz

ałoś

ci z

arzą

dza-

nia

ciąg

łośc

ią, a

le z o

becn

ej pe

rspe

ktyw

y m

ożna

go

ocen

ić

jako

blisk

i poz

iom

owi 4

(wg

tab.

6.4

), z t

ym że

była

to o

cena

ro

związ

ania

plan

owan

ego

dopi

ero

do w

droż

enia.

R.

Zasa

dy za

pew

nian

ia ci

ągło

ści d

ziała

nia

Ogóln

a ana

liza r

yzyk

a i je

go po

tencja

lnego

wpły

wu na

bizn

es

Orga

niza

cja

kryz

ysow

a

Rozw

iązan

ia za

pew

nian

ia ci

ągło

ści d

ziała

nia

Polity

ka za

pew

nian

ia ci

ągło

ści d

ziała

nia

Regu

lamin

zape

wni

ania

ciąg

łośc

i dzia

łani

a

Regu

lamin

pra

cy k

omite

tu k

ryzy

sow

ego

Anali

za b

usin

ess

impa

ct a

nalys

is

Plan

zape

wni

ania

ciąg

łośc

i dzia

łani

a

Scen

ariu

sze

sytu

acji

kryz

ysow

ych

(o c

hara

kter

ze

naru

szen

ia pr

oces

ów d

ziała

nia

lub

spra

wno

ści o

rga-

niza

cji)

Po ty

m e

tapi

e ba

dań

sfor

muł

owan

o pi

erw

szą

wer

sję m

etod

yki T

SM/B

CP (z

ob. r

ys. 6

.5 o

raz [

Zaw

iła-N

iedźw

iecki,

200

3a])

2. Korygowanie modelu metodyki do aktualnej postaci nazwanej TSM/BCP

Carls

berg

Po

lska

SA

2004

Polity

ka i

plan

za

pew

nian

ia ci

ągło

ści

dział

ania

Opra

cow

anie

pl

anu

i org

aniza

cji p

rojek

tu

z po

zycj

i kon

sulta

n-ta

zew

nętrz

nego

ora

z au

dyt z

reali

zow

aneg

o w

ewnę

trzni

e pr

ojek

tu

C. P

rojek

t BCM

był

prow

adzo

ny w

pełn

ym za

kres

ie m

etod

yki

TSM

-BCP

, wra

z z ró

wnole

gle p

rowa

dzon

ym p

rojek

tem za

pew

-ni

ania

bezp

iecze

ństw

a in

form

acji.

Sku

tkow

ało

to ko

ordy

no-

wan

iem d

ziała

ń na

d an

alizą

wym

agań

, ana

lizą

istni

ejący

ch

rozw

iązań

, ana

lizą

proc

esów

i ich

kryt

yczn

ości,

a ta

kże p

rzy-

jęciem

wsp

ólneg

o za

rząd

zania

bez

piecz

eństw

em i

ciągło

ścią.

Pr

ojek

t odn

osił

się d

o ce

ntra

li w

War

szaw

ie or

az d

o jed

no-

stek

pro

dukc

yjnyc

h i d

ystry

bucy

jnyc

h na

tere

nie c

ałej P

olsk

i.D.

Nie

zast

osow

ano

form

alnej

ocen

y do

jrzał

ości

zar

ządz

a-ni

a ci

ągło

ścią,

ale

z obe

cnej

pers

pekt

ywy

moż

na g

o oc

enić

jak

o bl

iski p

ozio

mow

i 4 (w

g ta

b. 6

.4),

z tym

że b

yła to

oce

na

rozw

iązan

ia pl

anow

aneg

o do

pier

o do

wdr

ożen

ia.R.

Anali

za d

okum

entó

w i r

ozw

iązań

sto

sow

anyc

h w

spó

łce

Zasa

dy za

pew

nian

ia ci

ągło

ści d

ziała

nia

Ogóln

a ana

liza r

yzyk

a i je

go po

tencja

lnego

wpły

wu na

bizn

es

Orga

niza

cja

kryz

ysow

a

Rozw

iązan

ia za

pew

nian

ia ci

ągło

ści d

ziała

nia

Szko

lenia

Wsz

ystk

ie te

pro

jekty

reali

zow

ano

w p

odzia

le na

3 e

tapy

op

isane

w te

kści

e za t

abelą

. We w

szys

tkic

h op

raco

wan

o ze

staw

dok

umen

tów

o s

trukt

urze

okr

eślo

nej m

odelo

wo

w m

etod

yce

TSM

-BCP

, a w

pro

jekci

e ad

apto

wan

ej do

w

arun

ków

loka

lnyc

h. S

ą to

:

Polity

ka B

CP w

war

ianci

e ro

zwin

iętym

ora

z w

wa-

rianc

ie sy

ntet

yczn

ej de

klara

cji k

ierow

nict

wa

Plan

zape

wni

ania

ciąg

łośc

i dzia

łani

a

Prze

wodn

ik wd

raża

nia po

lityki

i plan

u ciąg

łości

dział

ania

Inst

rukc

ja p

row

adze

nia

doku

men

tacj

i plan

u ci

ągło

ści

dział

ania

Regu

lamin

ogó

lny

BCP

okre

ślają

cy r

ole,

obo

wiąz

ki i u

praw

nien

ia

Regu

lamin

Kom

itetu

Kry

zyso

weg

o

Stru

ktur

a or

gani

zacy

jna

zarz

ądza

nia

BCP

Scen

ariu

sze

post

ępow

ania

w p

rzyp

adku

pos

zcze

gól-

nych

zakłó

ceń


Faza

ba

dań

Orga

niza

cja

Okre

sTe

mat

yka

proj

ektu

Ro

la a

utor

aCh

arak

ter p

roje

ktu,

oce

na d

ojrz

ałoś

ci w

g m

odel

u BC

MM

or

az ro

dzaj

e w

prow

adzo

nych

rozw

iąza

ńRo

dzaj

e op

raco

wan

ych

doku

men

tów

Agro

s No

va S

A20

05

Polity

ka i

plan

za

pew

nian

ia ci

ągło

ści

dział

ania

Opra

cow

anie

plan

u i o

rgan

izacj

i pro

jektu

z

pozy

cji k

onsu

ltant

a ze

wnę

trzne

go

oraz

au

dyt z

reali

zow

aneg

o w

ewnę

trzni

e pr

ojek

tu

C. P

rojek

t BCM

był

prow

adzo

ny w

pełn

ym za

kres

ie m

etod

yki

TSM

-BCP

, wra

z z ró

wnole

gle p

rowa

dzon

ym p

rojek

tem za

pew

-ni

ania

bezp

iecze

ństw

a in

form

acji.

Sku

tkow

ało

to ko

ordy

no-

wan

iem d

ziała

ń na

d an

alizą

wym

agań

, ana

lizą

istni

ejący

ch

rozw

iązań

, ana

lizą

proc

esów

i ich

kryt

yczn

ości,

a ta

kże p

rzy-

jęciem

wsp

ólneg

o za

rząd

zania

bez

piecz

eństw

em i

ciągło

ścią.

Pr

ojek

t odn

osił

się d

o ce

ntra

li w

War

szaw

ie or

az d

o dw

u za

kładó

w p

rodu

kcyjn

ych

w in

nych

miej

scow

ości

ach.

Pro

-jek

t był

koor

dyno

wan

y z r

ozw

iązan

iami s

toso

wan

ej w

spó

łce

(pop

arte

cer

tyfik

atem

ISO

9001

) pol

ityki

jako

ści.

D. N

ie za

stos

owan

o fo

rmaln

ej oc

eny

dojrz

ałoś

ci z

arzą

dza-

nia

ciąg

łośc

ią, a

le z o

becn

ej pe

rspe

ktyw

y m

ożna

go

ocen

ić

jako

poz

iom

4 (w

g ta

b. 6

.4).

R.

Anali

za d

okum

entó

w i r

ozw

iązań

sto

sow

anyc

h w

spó

łce

Zasa

dy za

pew

nian

ia ci

ągło

ści d

ziała

nia

Ogóln

a ana

liza r

yzyk

a i je

go po

tencja

lnego

wpły

wu na

bizn

es

Orga

niza

cja

kryz

ysow

a

Rozw

iązan

ia za

pew

nian

ia ci

ągło

ści d

ziała

nia

Szko

lenia

FIAT

Bank

Po

lska

SA20

06

Polity

ka i

plan

za

pew

nian

ia ci

ągło

ści

dział

ania

Opra

cow

anie

plan

u i o

rgan

izacj

i pro

jektu

z

pozy

cji k

onsu

ltan-

ta z

ewnę

trzne

go o

raz

audy

t zre

alizo

wan

ego

wew

nętrz

nie

proj

ektu

C. P

rojek

t BCM

był

prow

adzo

ny w

pełn

ym za

kres

ie m

etod

yki

TSM

-BCP

, wra

z z ró

wnole

gle p

rowa

dzon

ym p

rojek

tem za

pew

-ni

ania

bezp

iecze

ństw

a in

form

acji.

Sku

tkow

ało

to ko

ordy

no-

wan

iem d

ziała

ń na

d an

alizą

wym

agań

, ana

lizą

istni

ejący

ch

rozw

iązań

, ana

lizą

proc

esów

i ich

kryt

yczn

ości,

a ta

kże p

rzy-

jęciem

wsp

ólneg

o za

rząd

zania

bez

piecz

eństw

em i

ciągło

ścią.

Do

datk

owo

uwzg

lędni

ono

reko

men

dacj

e Ba

sel I

I, kt

óre

na

podm

ioty

z s

ekto

ra b

anko

weg

o na

kłada

ją o

bow

iązki

w z

a-kr

esie

stos

owan

ia za

sad

zarz

ądza

nia ry

zykie

m o

pera

cyjn

ym

(w ty

m za

pew

nian

ia be

zpiec

zeńs

twa

i ciąg

łośc

i dzia

łani

a).

D. N

ie za

stos

owan

o fo

rmaln

ej oc

eny

dojrz

ałoś

ci z

arzą

dza-

nia

ciąg

łośc

ią, a

le z o

becn

ej pe

rspe

ktyw

y m

ożna

go

ocen

ić

jako

poz

iom

4 (w

g ta

b. 6

.4) z

per

spek

tyw

ą, p

o us

tabi

lizo-

wan

iu ro

związ

ań w

ypra

cow

anyc

h w

pro

jekci

e, n

a po

ziom

w

yższ

y.

Opis badań 151

Faza

ba

dań

Orga

niza

cja

Okre

sTe

mat

yka

proj

ektu

Ro

la a

utor

aCh

arak

ter p

roje

ktu,

oce

na d

ojrz

ałoś

ci w

g m

odel

u BC

MM

or

az ro

dzaj

e w

prow

adzo

nych

rozw

iąza

ńRo

dzaj

e op

raco

wan

ych

doku

men

tów

R.

Anali

za d

okum

entó

w i r

ozw

iązań

sto

sow

anyc

h w

spó

łce

Zasa

dy za

pew

nian

ia ci

ągło

ści d

ziała

nia

Ogóln

a ana

liza r

yzyk

a i je

go po

tencja

lnego

wpły

wu na

bizn

es

Orga

niza

cja

kryz

ysow

a

Rozw

iązan

ia za

pew

nian

ia ci

ągło

ści d

ziała

nia

Szko

lenia,

Wyt

yczn

e au

dyto

wan

ia

MPW

iK W

rocł

aw20

06

Polity

ka i

plan

za

pew

nian

ia ci

ągło

ści

dział

ania

Opra

cow

anie

pl

anu

i or

gani

zacj

i pro

jektu

z

pozy

cji k

onsu

ltan-

ta z

ewnę

trzne

go o

raz

audy

t zre

alizo

wan

ego

wew

nętrz

nie

proj

ektu

C. P

rojek

t BCM

tow

arzy

szył

prze

dsięw

zięci

u m

oder

niza

cji

infra

stru

ktur

y w

odoc

iągow

ej m

iasta

, fin

anso

wan

ej pr

zez

UE, w

kons

ekw

encj

i szk

ód w

trak

cie

pow

odzi

z 199

7 r.

Pro-

jekt b

ył pr

owad

zony

w p

ełnym

zakr

esie

met

odyk

i TSM

-BCP

, w

raz

z ró

wno

legle

prow

adzo

nym

pro

jekte

m z

apew

nian

ia be

zpiec

zeńs

twa

infor

mac

ji. Sk

utko

wało

to k

oord

ynow

aniem

dz

iałań

nad

ana

lizą

wym

agań

, ana

lizą

istni

ejący

ch ro

zwią-

zań,

ana

lizą

proc

esów

i ic

h kr

ytyc

znoś

ci, a

takż

e pr

zyję-

ciem

wsp

ólne

go za

rząd

zani

a bez

piec

zeńs

twem

i ciąg

łośc

ią.

Po ra

z pier

wsz

y do

wyp

raco

wan

ia sc

enar

iusz

y po

stęp

owa-

nia

w p

rzyp

adku

syt

uacj

i kry

tycz

nych

zas

toso

wan

o fo

rmę

war

szta

tu p

rojek

tow

ego,

w k

tóry

m u

czes

tnic

zyło

30

spe-

cjali

stów

z ró

żnyc

h ko

mór

ek M

PWiK

.D.

Nie

zast

osow

ano

form

alnej

ocen

y do

jrzał

ości

zar

ządz

a-ni

a ci

ągło

ścią,

ale

z obe

cnej

pers

pekt

ywy

moż

na g

o oc

enić

jak

o po

ziom

4 (w

g ta

b. 6

.4) z

per

spek

tyw

ą, p

o us

tabi

lizow

a-niu

rozw

iązań

wyp

raco

wany

ch w

proje

kcie,

na po

ziom

wyż

szy.

R.

Anali

za d

okum

entó

w i r

ozw

iązań

sto

sow

anyc

h w

spó

łce

Zasa

dy za

pew

nian

ia ci

ągło

ści d

ziała

nia

Ogóln

a ana

liza r

yzyk

a i je

go po

tencja

lnego

wpły

wu na

bizn

es

Orga

niza

cja

kryz

ysow

a

Rozw

iązan

ia za

pew

nian

ia ci

ągło

ści d

ziała

nia

Szko

lenia

Wyt

yczn

e au

dyto

wan

ia

Pow

yższ

e pr

ojek

ty u

znan

o za

dos

tate

czni

e w

eryf

ikują

ce k

ompl

etno

ść m

etod

yki,

z za

strz

eżen

iem ż

e w

żad

nym

z n

ich

proj

ekt n

ie ob

jął t

estó

w in

nych

niż

pods

taw

owe

prow

adzo

ne w

form

ule

szta

bow

ej.

Doda

tkow

o ud

ało

się w

tym

okr

esie

prze

prow

adzić

dw

a du

że b

adan

ia pr

zeds

iębio

rstw

ube

zpiec

zeni

owyc

h (d

ziału

I –

ubez

piec

zeni

a m

ająt

kow

e, d

ziału

II –

ube

zpiec

zeni

a na

życi

e or

az fu

ndus

zy e

mer

ytal-

nych

), kt

óre

nie

były

obj

ęte

dotą

d ta

kim o

bow

iązkie

m p

row

adze

nia

BCM

jak

bank

i, ale

z uw

agi n

a św

iadom

ość

szyk

owan

ia ta

kiego

obo

wiąz

ku w

ram

ach

prac

nad

dyr

ekty

wą

UE zw

aną

Solve

ncy

II sa

mo-

dziel

nie

opra

cow

ywał

y ro

związ

ania

BCP.

Zbad

ano

wob

ec te

go s

tan

tych

prz

ygot

owań

ora

z pr

zyjęt

e po

dsta

wy

met

odyc

zne.

Wyn

ik ba

dań

poka

zano

w ta

belac

h Z.

3, Z

.4, Z

.5, Z

.6 o

raz

w ic

h op

isie.

Ko

ntyn

uow

ano

nast

ępni

e ba

dani

a ko

lejny

ch p

rojek

tów

w c

elu zw

eryf

ikow

ania

aplik

acyjn

ości

met

odyk

i w ró

żnyc

h za

stos

owan

iach,

zwła

szcz

a gd

y au

tor p

ozos

taw

ał z

boku

głó

wne

go w

ykon

awst

wa.


Faza

ba

dań

Orga

niza

cja

Okre

sTe

mat

yka

proj

ektu

Ro

la a

utor

aCh

arak

ter p

roje

ktu,

oce

na d

ojrz

ałoś

ci w

g m

odel

u BC

MM

or

az ro

dzaj

e w

prow

adzo

nych

rozw

iąza

ńRo

dzaj

e op

raco

wan

ych

doku

men

tów

3. Wykorzystywanie metodyki TSM/BCP, ocena aplikacyjności

Aste

r City

2007

Polity

ka i

plan

za

pew

nian

ia ci

ągło

ści

dział

ania

Opra

cow

anie

konc

ep-

cji r

ozw

iązan

ia

C. P

rojek

t BCM

był

prow

adzo

ny w

pełn

ym za

kres

ie m

etod

yki

TSM

-BCP

, wra

z z ró

wnole

gle p

rowa

dzon

ym p

rojek

tem za

pew

-ni

ania

bezp

iecze

ństw

a in

form

acji.

Sku

tkow

ało

to ko

ordy

no-

wan

iem d

ziała

ń na

d an

alizą

wym

agań

, ana

lizą

istni

ejący

ch

rozw

iązań

, ana

lizą

proc

esów

i ich

kryt

yczn

ości,

a ta

kże p

rzy-

jęciem

wsp

ólneg

o za

rząd

zania

bez

piecz

eństw

em i

ciągło

ścią.

Pr

ojek

t odn

osił

się d

o ce

ntra

li w

War

szaw

ie or

az d

o dw

u za

kładó

w ś

wiad

czen

ia us

ług

w in

nych

miej

scow

ości

ach.

Zo

stał

prz

ejęty

prz

ez s

łużb

y w

ewnę

trzne

spó

łki p

o op

raco

-w

aniu

kon

cepc

ji i d

alej s

amod

zieln

ie ko

ntyn

uow

any.

Mus

iał

uwzg

lędni

ać o

bow

iązki

w za

kres

ie te

reno

weg

o za

rząd

zani

a kr

yzys

oweg

o, ja

kie n

a pr

zeds

iębio

rców

tele

kom

unika

cyj-

nych

nak

łada

ust

awa

Praw

o te

lekom

unika

cyjn

e.D.

Zre

zygn

owan

o z t

akiej

oce

ny –

z uw

agi n

a m

ałe

zaaw

an-

sow

anie

proj

ektu

była

by p

rzed

wcz

esna

.R.

Anali

za d

okum

entó

w i r

ozw

iązań

sto

sow

anyc

h w

spó

łce

Zasa

dy za

pew

nian

ia ci

ągło

ści d

ziała

nia

Orga

niza

cja

kryz

ysow

a

Polity

ka B

CP w

war

ianci

e sy

ntet

yczn

ej de

klara

cji k

ie-ro

wni

ctw

a

Stru

ktur

a pl

anu

ciąg

łośc

i dzia

łani

a

Prze

wodn

ik wd

raża

nia po

lityki

i plan

u ciąg

łości

dział

ania

Stru

ktur

a or

gani

zacy

jna

zarz

ądza

nia

BCP

Allia

nz B

ank

Po

lska

SA20

07

Polity

ka i

plan

za

pew

nian

ia ci

ągło

ści

dział

ania

Opra

cow

anie

pl

anu

i org

aniza

cji p

rojek

tu

z po

zycj

i kon

sulta

n-ta

zew

nętrz

nego

ora

z au

dyt z

reali

zow

aneg

o w

ewnę

trzni

e pr

ojek

tu

C. P

rojek

t BCM

był

przy

goto

wyw

any

w ra

mac

h sz

ykow

ania

prze

z ban

k wni

osku

o lic

encj

ę M

inist

ra Fi

nans

ów n

a dz

iałal-

ność

ban

kow

a w

Pol

sce.

Pro

jekt b

ył pr

owad

zony

w p

ełnym

za

kres

ie m

etod

yki T

SM-B

CP, w

raz

z ró

wno

legle

prow

adzo

-ny

m p

rojek

tem

zap

ewni

ania

bezp

iecze

ństw

a in

form

acji.

Sk

utko

wał

o to

koo

rdyn

owan

iem d

ziała

ń na

d an

alizą

wym

a-ga

ń, a

naliz

ą ist

nieją

cych

rozw

iązań

, ana

lizą

proc

esów

i ic

h kr

ytyc

znoś

ci,

a ta

kże

przy

jęciem

wsp

ólne

go z

arzą

dzan

ia be

zpiec

zeńs

twem

i c

iągło

ścią.

Dod

atko

wo

uwzg

lędni

ono

reko

men

dacj

e Ba

sel I

I, kt

óre

na p

odm

ioty

z se

ktor

a ba

nko-

weg

o na

kłada

ją o

bow

iązki

w z

akre

sie s

toso

wan

ia za

sad

zarz

ądza

nia

ryzy

kiem

ope

racy

jnym

(w

tym

zap

ewni

ania

bezp

iecze

ństw

a i c

iągło

ści d

ziała

nia)

. D.

Zrez

ygno

wan

o z t

akiej

oce

ny z

uwag

i na m

ałe z

aaw

anso

-w

anie

proj

ektu

była

by p

rzed

wcz

esna

.R.

Anali

za p

rzep

isów

obo

wiąz

ując

ych

spół

kę o

raz

rozw

ią-za

ń ju

ż zap

rojek

tow

anyc

h

Polity

ka B

CP w

war

ianci

e sy

ntet

yczn

ej de

klara

cji k

ie-ro

wni

ctw

a

Stru

ktur

a pl

anu

ciąg

łośc

i dzia

łani

a

Prze

wodn

ik wd

raża

nia po

lityki

i plan

u ciąg

łości

dział

ania

Stru

ktur

a or

gani

zacy

jna

zarz

ądza

nia

BCP

Opis badań 153

Faza

ba

dań

Orga

niza

cja

Okre

sTe

mat

yka

proj

ektu

Ro

la a

utor

aCh

arak

ter p

roje

ktu,

oce

na d

ojrz

ałoś

ci w

g m

odel

u BC

MM

or

az ro

dzaj

e w

prow

adzo

nych

rozw

iąza

ńRo

dzaj

e op

raco

wan

ych

doku

men

tów

Zasa

dy za

pew

nian

ia ci

ągło

ści d

ziała

nia

Orga

niza

cja

kryz

ysow

a

Wyty

czne

prz

ygot

owan

ia ro

związ

ań za

pewn

iania

ciągło

ści

dział

ania

i szk

oleń

CEPi

K-M

SWiA

2008

Polity

ka i

plan

za

pew

nian

ia ci

ągło

ści

dział

ania

Audy

t roz

wiąz

ania

Tylko

aud

yt d

okum

enta

cji

C. P

rojek

t obe

jmow

ał ty

lko o

kres

owy

audy

t dok

umen

tacj

i, co

prz

ewid

ywał

a um

owa

wła

ścic

iela

CEPi

K z

wyk

onaw

ca

syst

emu.

D. Z

uw

agi n

a zb

yt m

ałe

zaan

gażo

wan

ie kie

row

nict

wa

oce-

niono

, że r

ozwi

ązan

ia od

powi

adają

poz

iomow

i 3 (w

g tab

. 6.4

), ch

oć z

pers

pekt

ywą,

po

usta

biliz

owan

iu ro

zwią

zań

wyp

ra-

cow

anyc

h w

pro

jekci

e, n

a po

ziom

wyż

szy.

R. O

pini

owan

ie ro

związ

ań B

CM i

BCP.

Opin

ia nt

rozw

iązań

.

Ubez

piec

zeni

owy

Fund

usz

Gwar

ancy

jny

2008

Polity

ka i

plan

za

pew

nian

ia ci

ągło

ści

dział

ania

Opra

cow

anie

pl

anu

i org

aniza

cji p

rojek

tu

z po

zycj

i kon

sulta

n-ta

zew

nętrz

nego

ora

z au

dyt z

reali

zow

aneg

o w

ewnę

trzni

e pr

ojek

tu

C. P

rojek

t BCM

był

prow

adzo

ny w

pełn

ym za

kres

ie m

etod

yki

TSM

-BCP

, wra

z z ró

wnole

gle p

rowa

dzon

ym p

rojek

tem za

pew

-ni

ania

bezp

iecze

ństw

a in

form

acji.

Sku

tkow

ało

to ko

ordy

no-

wan

iem d

ziała

ń na

d an

alizą

wym

agań

, ana

lizą

istni

ejący

ch

rozw

iązań

, ana

lizą

proc

esów

i ich

kryt

yczn

ości,

a ta

kże p

rzy-

jęciem

wsp

ólneg

o za

rząd

zania

bez

piecz

eństw

em i

ciągło

ścią.

Do

wyp

raco

wan

ia sc

enar

iusz

y po

stęp

owan

ia w

prz

ypad

ku

sytu

acji

kryt

yczn

ych

zast

osow

ano

form

ę w

arsz

tatu

pro

jek-

tow

ego,

w k

tóry

m u

czes

tnic

zyło

15

spec

jalis

tów

z ró

żnyc

h ko

mór

ek U

FG.

D. N

ie za

stos

owan

o fo

rmaln

ej oc

eny

dojrz

ałoś

ci z

arzą

dza-

nia

ciąg

łośc

ią, a

le z o

becn

ej pe

rspe

ktyw

y m

ożna

go

ocen

ić

jako

pozio

m 4

(wg

tab.

6.4

) z p

ersp

ekty

wą,

po

usta

biliz

owa-

niu ro

związ

ań w

ypra

cowa

nych

w p

rojek

cie, n

a poz

iom w

yższ

y.R.

Anali

za d

okum

entó

w i r

ozw

iązań

sto

sow

anyc

h w

spó

łce

Zasa

dy za

pew

nian

ia ci

ągło

ści d

ziała

nia

Ogóln

a ana

liza r

yzyk

a i je

go po

tencja

lnego

wpły

wu na

bizn

es

Orga

niza

cja

kryz

ysow

a

Rozw

iązan

ia za

pew

nian

ia ci

ągło

ści d

ziała

nia

Szko

lenia,

Wyt

yczn

e au

dyto

wan

ia

Polity

ka B

CP w

war

ianci

e ro

zwin

iętym

ora

z w

wa-

rianc

ie sy

ntet

yczn

ej de

klara

cji k

ierow

nict

wa

Plan

zape

wni

ania

ciąg

łośc

i dzia

łani

a

Prze

wodn

ik wd

raża

nia po

lityki

i plan

u ciąg

łości

dział

ania

Inst

rukc

ja p

row

adze

nia

doku

men

tacj

i plan

u ci

ągło

ści

dział

ania

Regu

lamin

ogó

lny

BCP

okre

ślają

cy ro

le, o

bow

iązki

i up

raw

nien

ia

Regu

lamin

Kom

itetu

Kry

zyso

weg

o

Stru

ktur

a or

gani

zacy

jna

zarz

ądza

nia

BCP

Scen

ariu

sze

post

ępow

ania

w p

rzyp

adku

pos

zcze

gól-

nych

zakłó

ceń


Faza

ba

dań

Orga

niza

cja

Okre

sTe

mat

yka

proj

ektu

Ro

la a

utor

aCh

arak

ter p

roje

ktu,

oce

na d

ojrz

ałoś

ci w

g m

odel

u BC

MM

or

az ro

dzaj

e w

prow

adzo

nych

rozw

iąza

ńRo

dzaj

e op

raco

wan

ych

doku

men

tów

Bank

Raif

feise

n Po

lska

SA20

08

Syst

em

info

rmat

yczn

y w

spom

agaj

ący

zarz

ądza

nie

utrz

ymyw

aniem

do

kum

enta

cji

plan

ów

zape

wni

ania

ciąg

łośc

i dz

iałan

ia

Kons

ultac

je dla

wyk

o-na

wcy

sys

tem

u

C. Z

ałoż

enia

zgod

ne z

BCM

sys

tem

u in

form

atyc

zneg

o w

spier

ania

zarz

ądza

nia

zape

wni

aniem

ciąg

łośc

i dzia

łani

a,

niez

ależn

ego

od m

etod

y pr

ojek

tow

ania

D. N

ie oc

enian

o.R.

Wyt

yczn

e zb

liżon

e do

zało

żeń

proj

ektu

info

rmat

yczn

ego.

Zało

żeni

a sy

stem

u in

form

atyc

zneg

o AT

MEU

S w

ykon

a-ne

go i

ofer

owan

ego

jako

pak

iet u

żytk

owy

opro

gram

o-w

ania

prze

z firm

ę AT

M S

A.

Libe

rty D

irect

SA

2008

Polity

ka i

plan

za

pew

nian

ia ci

ągło

ści

dział

ania

Opra

cowa

nie k

once

p-cj

i roz

wiąz

ania

C. P

rojek

t BCM

był

prow

adzo

ny w

pełn

ym za

kres

ie m

etod

y-ki

TSM

-BCP

, w

raz

z ró

wno

legle

prow

adzo

nym

pro

jekte

m

zape

wni

ania

bezp

iecze

ństw

a in

form

acji.

Sku

tkow

ało

to k

o-or

dyno

wan

iem

dzia

łań

nad

anal

izą w

ymag

ań, a

naliz

ą is

t-ni

ejąc

ych

rozw

iąza

ń, a

naliz

ą pr

oces

ów i

ich

kryt

yczn

ości

, a t

akże

prz

yjęcie

m w

spól

nego

zarz

ądza

nia b

ezpi

ecze

ństw

em

i ciąg

łośc

ią.

D. N

ie ba

dano

.R.

Opr

acow

anie

tylko

konc

epcj

i, dale

j wyk

onaw

stw

o sa

mo-

dziel

ne p

rzez

siły

wew

nętrz

ne s

półki

bez

aud

ytu

auto

ra.

Polity

ka B

CP w

war

ianci

e sy

ntet

yczn

ej de

klara

cji k

ie-ro

wni

ctw

a

Stru

ktur

a pl

anu

ciąg

łośc

i dzia

łani

a

Prze

wodn

ik wd

raża

nia po

lityki

i plan

u ciąg

łości

dział

ania

Inst

rukc

ja p

row

adze

nia

doku

men

tacj

i plan

u ci

ągło

ści

dział

ania

Stru

ktur

a or

gani

zacy

jna

zarz

ądza

nia

BCP

Urzą

d M

arsz

ałko

wsk

i W

ojew

ództw

a M

azow

ieckie

go

2008

Polity

ka i

plan

za

pew

nian

ia ci

ągło

ści

dział

ania

Szko

lenia

przy

goto

wu-

jące d

o sa

mod

zielne

go

prze

prow

adze

nia p

ro-

jektu

.

Tylko

szk

olen

ie i w

arsz

tat,

wyk

onaw

stw

o w

łasn

eC.

Pro

jekt B

CM b

ył pr

owad

zony

w p

ełnym

zakr

esie

met

odyk

i TS

M-B

CP w

zw

iązku

z o

bow

iązka

mi w

ynika

jący

mi z

ust

a-w

y o

zarz

ądza

niu

kryz

ysow

ym.

D. N

ie ba

dano

.R.

Prz

epro

wad

zono

szk

olen

ia dl

a ka

dry

kiero

wni

czej

oraz

dla

zesp

ołu de

dyko

wane

go do

opra

cowa

nia pl

anów

zape

wnia-

nia ci

ągłoś

ci dz

iałan

ia, w

tym

takż

e zas

ady p

rowa

dzen

ia w

arsz

-tat

ów p

rojek

towa

nia ro

związ

ań za

pewn

iania

ciągło

ści d

ziała

nia.

Zasa

dy za

pew

nian

ia ci

ągło

ści d

ziała

nia

Prze

wodn

ik wd

raża

nia po

lityki

i plan

u ciąg

łości

dział

ania

Inst

rukc

ja p

row

adze

nia

doku

men

tacj

i plan

u ci

ągło

ści

dział

ania

Stru

ktur

a or

gani

zacy

jna

zarz

ądza

nia

BCP

Zasa

dy p

roje

ktow

ania

sce

nariu

szy

post

ępow

ania

w

prz

ypad

ku p

oszc

zegó

lnyc

h za

kłóce

ń

Zasa

dy te

stow

ania

rozw

iązań

Wsz

ystk

ie ba

dane

w fa

zie 3

pro

jekty

wyk

azał

y ap

likac

yjnoś

ć m

etod

yki T

SM-B

CP. K

ażdy

z pr

ojek

tów

był

niep

ełny

i niet

ypow

y. Za

stos

owan

ie m

etod

yki p

ozw

alało

sto

sunk

owo

łatw

o po

djąć

pro

jekt,

prze

ka-

zać

zasa

dy m

etod

yczn

e uc

zest

niko

m p

rojek

tu, k

onty

nuow

ać w

e w

łasn

ym za

kres

ie na

wet

prz

y og

rani

czon

ym d

ośw

iadcz

eniu

w te

go ty

pu p

rzed

sięw

zięci

ach.

Kwes

tią n

adal

otw

artą

i ni

e do

koń

ca zb

adan

ą jes

t dok

ładn

e te

stow

anie.

Moż

na n

a ra

zie za

kłada

ć, że

test

owan

ie ni

e jes

t pod

ejmow

ane

w p

oważ

niejs

zym

wym

iarze

(poz

a te

stam

i szta

bow

ymi,

czy

wym

u-sz

anym

i np.

prz

ez P

ańst

wow

ą St

raż

Poża

rną)

. Pra

wdo

podo

bnie

pow

odem

jest

oba

wa

prze

d w

prow

adze

niem

niep

rzew

idzia

nego

zak

łóce

nia.

Nie

spos

ób o

dmów

ić ra

cjon

alnoś

ci ta

kiem

u ro

zum

owan

iu.

Dalek

o po

suni

ęte

test

y bę

dą m

ożliw

e w

każ

dym

prz

ypad

ku d

opier

o po

ust

abiliz

owan

iu ro

związ

ań B

CP, a

le za

pew

ne te

ż po

dop

recy

zow

aniu

, sfo

rmali

zow

aniu

i us

tabi

lizow

aniu

zw

ykłyc

h pr

oced

ur o

pera

-cy

jnyc

h, k

tóre

w w

iększ

ości

prz

ypad

ków

są

na ra

zie p

row

adzo

ne s

pont

anic

znie,

bez

szc

zegó

łow

ej an

alizy

i w

zorc

a re

aliza

cyjn

ego.

Źród

ło: o

prac

owan

ie w

łasn

e.

Opis badań 155

Etap1,zwanyanaliząprzedwdrożeniową,odpoczątkubadańuznawanozanajważniejszy. Podejmowanow jego ramach krytycznedecyzje, zarówno codoocenypoziomuistotnościprocesówbiznesowychorganizacji,dopuszczalnegoob-niżeniapoziomuświadczonychusług,jakisamegozakresuplanóworazprocedurzapewnianiaciągłościdziałania(początkowoprzeważniezwanychawaryjnymi).Wszystkietedecyzjemusiałybyćświadomiepodjęteprzezkierownictwobenefi-cjentaprojektunapodstawieprzedstawionejanalizyryzykaorazocenyzagrożeńimiałyzasadniczywpływnakolejneprace(m.in.oszacowanieichpracochłonnościikosztu),aprzedewszystkimnazakresikosztwdrożeniaproponowanychrozwiązańtechnicznychiutrzymaniaplanuzachowaniaciągłościdziałania.Ponadtoopróczprzeprowadzeniaanalizyryzykaprzygotowywanokoncepcjębudowyiwdrożeniaplanuzachowaniaciągłościdziałania,opracowanąnapodstawiedecyzjikierun-kowych beneficjenta projektu. Przygotowywano również propozycję strukturyorganizacyjnejdedykowanejdozarządzaniaplanamiciągłościdziałaniawrazzprzy-pisaniemzakresuobowiązkówikwalifikacjidoposzczególnychrólzarządczychiwykonawczych,atakżelistędokumentówplanuzachowaniaciągłościdziałaniawrazzichzakresemmerytorycznym.Etaptenwzałożeniachmiałykończyćdecyzjebeneficjentaprojektuprowadzącedoakceptacjikoncepcjibudowyiwdrożeniaplanuzachowaniaciągłościdziałaniaorazzatwierdzenia:rólwprojekcie,pracochłonnościikosztówpozostałychetapów,harmonogramudalszychprac.

Etap2,zwanywykonawczym,obejmowałmodyfikacjęistniejącychrozwiązańorganizacyjnychorazopracowanieplanówzachowaniaciągłościdziałaniaiproce-durawaryjnych.Rozpoczynałogopowołaniezespołupracownikówbeneficjentaprojektuw celu bezpośredniegouczestnictwaw szczegółowymopracowywaniuproceduridokumentówoperacyjnegopostępowaniawsytuacjachkryzysowych.Takiepodejściedo tworzenia szczegółowychdokumentówoperacyjnychzostałowielokrotniesprawdzonewpraktyceipokazało,żeodpowiednipracownicybe-neficjentaprojektu(np.administratorzysystemówinformatycznych)sąwstanieopracowaćbardziejdokładne,praktyczneirealneprocedury/dokumentyopera-cyjneniżekspercizewnętrzni.Wynikatozichznajomościlokalnejspecyfiki,adajetębezpośredniąkorzyść,żewprzypadkuwystąpieniaawarii,towłaśnieteosobybędąnajważniejszewprocesieprzywracaniastanusprzedawarii, jakrównieżnajprawdopodobniejonebędąodpowiedzialnezaaktualizacjęwspomnianychdo-kumentówwkontekściewnioskówzpóźniejszejanalizyokolicznościawarii.Dokumenty,októrychmowa,toprzedewszystkimplanzachowaniaciągłościdzia-łania,scenariuszesytuacjikrytycznychiszczegółoweproceduryoperacyjne.Roląprowadzącegoprojektkonsultantajestproponowaniezakresutreścidokumentóworazkonsultacjeinadzórwtokuichopracowywania.

Etap3,zwanywdrożeniowym,obejmowałpomocwprzeprowadzeniuszkoleńitestówfunkcjonowaniaplanuzachowaniaciągłościdziałaniaiprocedurawa-ryjnych.Aktywneszkoleniapolegałyczęstonietylkonauporządkowaniuwiedzyteoretycznej,aleinapraktycznymsprawdzaniuskutecznościopracowanychroz-wiązań.Wpajanoteżprzekonanieopotrzebieregularnegoprzeprowadzaniatestówjakonajpewniejszymsposobie zapewnianiaaktualności i skutecznościdziałaniaprocedurawaryjnychorazsprawdzaniaumiejętnościpracownikówiadekwatności


dokumentacji.Wszczególnościstaranosię,bypowstawałydokumentyopisującezasadyprzeprowadzaniatakichtestówiprzykładowescenariuszesymulowanychsytuacjiawaryjnych.

Bardziejszczegółowozakresprojektówprzebiegałwdalejopisanychkrokach.

Etap 1. Analiza przedwdrożeniowa

Określeniekrytycznych,zpunktuwidzeniazachowaniaciągłościdziała-nia,procesówbiznesowychorganizacji. Zaszeregowaniezdefiniowanychprocesówdoodpowiednichgruppilnościodtwarzania.Zaszeregowanietowynikazkoniecznościodtworzeniapro-cesówwokreślonymczasieorazzależnościmiędzyprocesami. Analizaryzykaiocenazagrożeńdlaprzerwaniaciągłościfunkcjonowaniazdefiniowanychprocesówbiznesowych. Zidentyfikowaniepotencjalnychtypówzagrożeńorazokreślenieichwpływunaprocesybiznesoweorganizacji. Określeniedopuszczalnegopoziomuczasowegoobniżeniajakościusługświadczonychprzezorganizację. Opracowaniekoncepcjibudowyiwdrożeniaplanuzachowaniaciągłościdziałania. Zaproponowaniestrukturodpowiedzialnychzazarządzanieplanamicią-głościdziałaniairozwiązywaniesytuacjikryzysowych. Przygotowanieramowegoregulaminuprowadzenia,aktualizacjiidystry-bucjiplanuzachowaniaciągłościdziałania. Przygotowanielistydokumentówdoopracowania. Ustaleniezakresuopisywanegowdokumentachplanuzachowaniaciągłościdziałania. Przedstawieniepropozycjiharmonogramuopracowaniaiwdrożeniaplanuzachowaniaciągłościdziałania.

Na koniec tego etapu składany jest pisemny raport odnoszący się doww.punktów.Zadaniembeneficjentaprojektujest:

zatwierdzeniekoncepcjiprzebudowyiwdrożeniaplanuzachowaniacią-głościdziałania, zatwierdzenieszczegółowegoharmonogramuwdrożeniaproponowanychrozwiązańplanuzachowaniaciągłościdziałania.

Etap 2. Wykonanie

Powołaniezespołukoordynującegoiopracowującegoszczegółoweproce-durypostępowaniawsytuacjachawaryjnych.

Opis badań 157

Opracowaniewstosownymzakresiedokumentówplanuzachowaniacią-głościdziałania.Planorazscenariuszepostępowaniawsytuacjachawaryj-nychsąopracowywanenapodstawieinformacjizebranychwpierwszymetapieprac. Opracowaniewytycznychdla szczegółowychproceduroperacyjnychpo-stępowaniawsytuacjachawaryjnych. Konsultacjeprzyopracowywaniu szczegółowychproceduroperacyjnych,któresąprzygotowywaneprzezpracownikówbeneficjentaprojektu. Przedstawieniepropozycjizakresu,scenariuszyiharmonogramuwykony-waniatestówplanuzachowaniaciągłościdziałania.

Efektempowyższychpracsągotoweskorygowaneplanyzachowaniaciągłościdziałaniaikompletyprocedurpostępowaniawsytuacjachawaryjnych.

Etap 3. Szkolenia i testy

Przeszkolenieosóbodpowiedzialnychzazarządzanieplanamizachowaniaciągłościdziałaniairozwiązywaniesytuacjikryzysowychorazinnychosób,potencjalnychuczestnikówtakichdziałań. Przedstawieniezasadizakresutestówmającychnacelusprawdzeniemoż-liwości zapewnienia zachowania ciągłości działania i odtworzenia stanusprzedawarii. Przeprowadzenie testu ćwiczeniowego wystąpienia sytuacji kryzysowej,bezjejwywoływaniaczysymulowania.

Projektstaranosięzawszezakończyćkrótkimszkoleniemdlakierownictwabeneficjenta projektu, abywskazać kierunki dalszego doskonalenia powstałychrozwiązań.Zdrugiejstronydoświadczeniakolejnychprojektówbyłyuwzględnianewszczegółowychprogramachorganizacjikolejnegoprojektu.StopniowozebranawiedzapozwoliłasformułowaćstabilnyzestawregułmetodykiTSM-BCP.

Wdrugiejfaziebadańprojektów,ogółdoświadczeńzprojektówpoprzedniejfazypoddanoweryfikacji isformułowanometodykęTSM-BCPzapewnianiaroz-wiązań ciągłościdziałania.W tokukilkukolejnychprojektówweryfikowano jejadekwatnośćdokonkretnychsytuacjiprojektowych,zakładającjeszczewzględnieelastycznestanowiskocodojejstrukturyizakresu.Metodykata,jakowynikba-dań,jestdokładnieopisanawpodrozdziale6.3.Reprezentujeonapodejściepro-porcjonalnepozostającewopozycjidopodejściamaksymalnegoscenariusza.

Wtrzeciejfaziebadańprojektów,przyjętobardzorygorystycznestanowiskowobecsytuacjiprojektowychwmyślzałożenia,żedojrzałenarzędzie(metodyka)powinnobyćstosowanewpełnymjegozakresieiprojektpowinienbyćdoniegodostosowywanyjakodowzorcadobrychpraktyk.Tafazapotwierdziłaaplikacyj-nośćmetodyki, zwłaszczaw sytuacjach, gdywprowadzenie zarządzania za-pewnianiemciągłościądziałaniaprzeprowadzanejestprzezorganizacjęomałymdoświadczeniuwtymzakresie.


TakżewceluweryfikacjipodstawowychzałożeńmetodykiTSM-BCPwdrugiejpołowie2006rokuwramachprogramubadańnadryzykiemubezpieczeniowym,składającegosięnamiędzynarodowyprogramopracowywaniarekomendacjitzw.SolvencyII,awPolsceprowadzonegopodkierunkiemUrzęduKomisjiNadzoruFinansowego,autorprzeprowadził samodzielniebadaniaankietowedwusekto-rówrynkufinansowego,tj.wpierwotwartychipracowniczychfunduszyemerytal-nychoraznastępniezakładówubezpieczeńobudziałów(nażycieimajątkowych).Badaniemiałopokazać,nailepodstawoweelementyzarządzaniaryzykiemopera-cyjnymorazmechanizmuspełnianiasiętegoryzyka,wywołującegopotrzebęsto-sowaniarozwiązańzapewnianiaciągłościdziałania,ujętewzałożeniachmetodykiTSM-BCPsprawdzająsię,tj.nailepojawiąsięwdziałaniachfirmsektoraświeżozobowiązanegodoszerokiegowprowadzeniazarządzaniazapewnianiemciągłościdziałania.

Na ankietę składało się 6 podstawowych pytań, które odwoływały się dogłównychaspektówzarządzaniazapewnianiemciągłościdziałaniawujęciuwów-czasobowiązującychnormPN-ISO/IEC17799orazPN-I 27001,tj.świadomościryzyka operacyjnego, analizy ryzyka, zarządzania bezpieczeństwem i ciągłościądziałania,dokumentowaniategozarządzaniaianaliz,doskonaleniarozwiązań,zgodnościzprawem.Pytaniagłównezostałyobudowanepytaniamiszczegóło-wymipomagającymidoprecyzowaćodpowiedzi,comiałonaceluumożliwieniedokładniejszejocenystanuzarządzaniazapewnianiemciągłościdziałaniawod-niesieniudowzorcaBCMM(por.tab.6.4).OczekiwaniemKNF,któremiałobyćzweryfikowanebadaniem,było,abykażdypodmiotnadzorowanywskazałlubw krótkim czasie powołał struktury organizacyjne dedykowanedo zarządzaniazapewnianiemciągłościądziałaniaorazustanowiłprocestworzeniaiutrzymywania(stałegodoskonalenia)planówzapewnianiaciągłościdziałania.Chodziłozarównoodeklaratywnezweryfikowanietychfaktów,jakiustaleniestopniaichzaawanso-wania.Badaniaankietowepoprzedzonokilkugodzinnymispotkaniamiszkolenio-wymi,któresłużyłylepszemuzrozumieniuprzezankietowanychistotyoczekiwańankietującego.

Należypodkreślić,żebadaniuzostałpoddanysektorpodmiotów,któreobjętojużwcześniejprogramemprzyszłegowdrożeniadobrychpraktykwzakresieza-rządzaniaryzykiemoperacyjnym,naktóreskładasiętakżezapewnianieciągłościdziałania.Oczekiwanowięc,żeistniejejużpewnapraktykapodejściadotegopro-blemuwtychpodmiotach.

Badania,opróczwynikówstatystycznychprzedstawionychwtabelach,wyka-zały,żepowszechnetowarzystwaemerytalneizakładyubezpieczeńwprzytłaczającejwiększości:

identyfikujątękategorięryzykaizajmująsięzarządzaniemnią, traktujązapewnianieciągłościdziałaniajakoczęśćzarządzaniaryzykiemoperacyjnym, zajmująsięciągłościądziałaniajakoodrębnymwyzwaniemorganizacyjnym,

Opis badań 159

stosująjednązdwuzasadniczychmetodyk,tj.„maksymalną”lub„propor-cjonalną”,zwyraźnąprzewagątejdrugiej, posługującsięmetodyką„proporcjonalną”,stosująpodejścia:tolerowania,monitorowania,zapobieganiaiplanowania,awięctraktująproblemszeroko,zuwzględnieniemaspektówprewencjiorazintegracjizzarządzaniembez-pieczeństwem.

Badanie towarzystw emerytalnych

Badaniatezostałyprzeprowadzonewokresie8.09–31.10.2006r.Ankietazostałaskierowanadowszystkichtowarzystwemerytalnych(15powszechnych i5pra-cowniczych)działającychnapolskimrynku.Wszystkieoneudzieliłyodpowiedzinapytaniazawartewankiecie.Badaniezostałopoprzedzonespotkaniemkonsul-tacyjnymzorganizowanymzpomocąIzbyGospodarczejTowarzystwEmerytalnych.Analizazostaładokonanaodrębniedlapowszechnych,aodrębniedlapracowni-czychtowarzystwemerytalnych,gdyżzodpowiedziwynikaładużaorganizacyjnaniesamodzielność tychostatnich(silneorganizacyjneprzenikaniezpodmiotamiwłaścicielskimi).

DokonującocenywświetlemodeludojrzałościBCMM,wziętopoduwagęspecyficzniewysokistopieńzinformatyzowaniaobsługidziałalnościfunduszyemerytalnychbędącyskutkiemtego,żeorganizowanewroku1999towarzystwaemerytalneiichagencitransferowikorzystaliznajnowocześniejszychrozwiązańinformatycznych iwspółczesnegopoziomuwiedzyoorganizacjiusług informa-tycznych.Byłotowdodatkuspotęgowanekońcowymokresemprzygotowańdorozwiązaniatzw.„problemuroku2000”.Wsumiespowodowałoto,żedodziśtaczęść sektora finansowego zdecydowanie góruje nowoczesnością i profesjonali-zmemzastosowańinformatykinadresztąsektoraorazresztągospodarki(uwagatanieodnosisiędopracowniczychfunduszyemerytalnych).

Pochodnąpowyższegofaktujestteżzjawiskonegatywne,tj.wświadomościmenedżerówfunduszyemerytalnychproblemybezpieczeństwaiciągłościdziała-niaorazzarządzaniaryzykiemztymzwiązanymsąkojarzoneprzedewszystkimzdziałalnościąagentówtransferowychorazsystemówinformatycznych,bezpo-działutegonaaspekttechnicznejsprawności(zaktórąrzeczywiścieodpowiadająagenci)orazaspektformalno-biznesowejodpowiedzialności,którajednoznaczniedotyczytowarzystwzarządzającychfunduszami.Zjawiskopowyższejestwyraźniewidocznewbadanychodpowiedziachnaankietę.Wynikzbiorczyoceny,przepro-wadzonejwgmodeludojrzałościzarządzaniaBCMM,przedstawionowtabelachZ.2 i Z.3(tylkopowszechnetowarzystwaemerytalne,bezpracowniczychtowa-rzystwemerytalnych58).

58 Zwypełnionychankietwynikało,żepracowniczychtowarzystwjestzbytmało(sąonenie-wielkieiorganizacyjnieniesamodzielne),abybadaniemogłobyćuznanezamiarodajne.


Tabela Z.2. Zbiorcze wyniki oceny dojrzałości zarządzania zapewnianiem ciągłości działania w to-warzystwach emerytalnych

Liczba PTE

Zakres podstawowy Zakres zaawansowanyPoziom

dojrzałościPrzyzwolenie wysokiego

kierownictwaProfesjonalne

wsparcie Zarządzanie Powszechny udział


Współ--działanie

1 Nie Nie Nie Nie Nie Nie Intuicyjny

4 Marginalny Częściowy Nie Nie Nie Nie Popierany

4 Częściowy Tak Częściowy Nie Nie Nie Centralnie kierowany

3 Tak Tak Tak Tak Nie Nie Świadomy

-- Tak Tak Tak Tak Tak Nie Doskonalony

3 Tak Tak Tak Tak Tak Tak Zintegrowany

Źródło: [Zawiła-Niedźwiecki, 2006a].

Tabela Z.3. Zbiorcze wyniki badania zarządzania zapewnianiem ciągłości działania w towarzystwach emerytalnych

Pytanie 1.Czy w praktyce bieżącego zarządzania towarzystwem emerytalnym stosowane jest pojęcie ryzyka ope-racyjnego oraz pojęcie zapewniania ciągłości działania (zwane też: BCP – business continuity planning, DRP – disaster recovery planning) oraz czy wprowadzone są wyodrębnione lub wskazane w formalnych uregulowaniach wewnętrznych towarzystwa rozwiązania zarządzania zapewnianiem ciągłości działania?

Nie 1 (7%)

Zdecydowanie tak

Trwa wdrażanie

Nie ma, nie jest

Tak Wyróżniają pojęcie i problem ryzyka pera-cyjnego

13 (87%) 1 –

Zajmują się ciągłością działania 13 (87%) 1 –

Istnieje forum kierownicze zarządzania za-pewnianiem ciągłości działania

9 (60%) 4 1

Istnieje sztab kryzysowy 11 (73%) 2 1

Istnieje dokument deklaracji polityki zapew-niania ciągłości działania

8 (53%) 5 1

Istnieje rozpisanie ról i zadań między ko-mórki organizacyjne

10 (67%) 4 –

Okresowo jest powtarzana analiza ryzyka 8 (53%) 2 4

Istnieją spisane scenariusze awaryjne (sy-tuacji krytycznych)

8 (53%) 6 –

Prowadzone są testy sytuacji awaryjnych (krytycznych)

8 (53%) 4 2

Opis badań 161

Pytanie 2.Czy w praktyce zarządzania zapewnianiem ciągłości działania prowadzona jest wszechstronna i syste-matyczna analiza ryzyka operacyjnego, potencjalnie skutkującego zakłóceniami ciągłości działania?

Nie 2 (13%)

Zdecydowanie tak

Trwa wdrażanie

Nie

Tak Zdefiniowano krytyczne procesy 10 (67%) 3 –

Określono maksymalny dopuszczalny czas zatrzymania procesów krytycznych

8 (53%) 3 2

Zidentyfikowano potencjalne zagrożenia 8 (53%) 4 1

Zidentyfikowano podatności 6 (40%) 5 2

Istnieje komórka odpowiedzialna za taką jw. analizę ryzyka

7 (47%) 5 1

Pytanie 3.Czy w praktyce zarządzania zapewnianiem ciągłości działania stosowane są zróżnicowane podejścia wykorzystujące zasady prewencji oraz racjonalności ekonomicznej rozwiązań?

Nie 2 (13%)

Zdecydowanie tak

Nie

Tak Podejście tolerowania 11 (73%) 2

Podejście monitorowania 7 (47%) 6

Podejście zapobiegania 12 (80%) 1

Podejście planowania zapewniania ciągłości działania 13 (87%) –

inne 3 (20%) –

Pytanie 4.Czy w praktyce zarządzania zapewnianiem ciągłości działania zadbano o jednolitość, kompletność i łatwą dostępność dokumentacji planów i/lub scenariuszy reagowania na zakłócenia lub sytuacje kryzysowe?

Nie 1 (7%)

Zdecydowanie tak

Trwa wdrażanie

Nie ma

Tak Jedna komórka organizacyjna odpowiada za dokumentację

10 (67%) 3 –

Istnieje jednolity wzór dokumentacji 4 (27%) 5 3

Istnieje procedura dystrybucji zaktualizo-wanej dokumentacji

3 (20%) 5 5


Istnieje przypisanie indywidualnej odpowie-dzialności za merytoryczną zawartość pla-nów i scenariuszy

7 (47%) 3 3

Istnieje obowiązek rejestrowania wydarzeń nadzwyczajnych (baza incydentów)

6 (40%) 3 4

Istnieje obowiązek dokumentowania dzia-łań w toku sytuacji kryzysowej

6 (40%) 2 5

Nie wiadomo 1 (7%)

Pytanie 5.Czy zadbano, aby uregulowania oraz rozwiązania zapewniania ciągłości działania były zgodne z przepi-sami prawa, zwłaszcza prawem pracy i przepisami bhp?

Nie 1 (7%)

Zdecydowanie tak

Trwa weryfikacja

Tak 13 (87%) 1

Pytanie 6.Zarządzanie zapewnianiem ciągłości działania jest częścią zarządzania ryzykiem operacyjnym. Dlatego też prosimy o ocenę z perspektywy doświadczeń Państwa towarzystwa emerytalnego, czy zarządzanie ryzykiem operacyjnym jest w relacji do ryzyka biznesowego problemem/wyzwaniem:Tej samej wagi 4 (27%)Zbliżonej wagi 10 (67%)Wyraźnie mniejszej wagi –Znikomej wagi –Brak odpowiedzi 1 (7%)

Źródło: [Zawiła-Niedźwiecki, 2006a].

Badanie zakładów ubezpieczeń

Tobadaniezostałoprzeprowadzonewokresie9.08–20.10.2006r.Ankietazostałaskierowanadowszystkich67zakładówubezpieczeńdziałającychnapolskimrynkuwchwiliankietowania.Ankietazostałapoprzedzonadwomaspotkaniamikonsul-tacyjnymi.Odpowiedzinaankietęudzieliło48zakładów.Jednaztychodpowiedziniemogła zostać uwzględnionaw analizie. Dodatkowow trakcie prowadzeniaanalizydoszłodofuzjidwuzakładów,udzieloneprzeznichodpowiedzibyłyjednaknatylepodobne,żezdecydowanopotraktowaćjełącznie,abywynikistatystyczneanalizybyłyzgodnezliczbązakładównakoniec2006roku.Ostateczniewięcwana-lizieprzyjęto,żeodpowiedziudzieliło46zakładówna66działającychnarynku.Analizaodpowiedzizostaładokonanazuwzględnieniemustawowejklasyfikacjizakładówubezpieczeńnadziały:I(tzw.ubezpieczenianażycie)iII(tzw.ubezpie-czeniamajątkowe).Wynikzbiorczyoceny,przeprowadzonejwgmodeludojrzałości

Opis badań 163

zarządzaniaBCMM,przedstawiajątabeleZ.4 i Z.5.Procentudziałujestwyliczonywstosunkudo46udzielonychodpowiedzi,66istniejącychzakładóworazwramachdziałuubezpieczeń(odpowiedniowramach20lub26udzielonychodpowiedzi).

Tabela Z.4. Zbiorcze wyniki oceny dojrzałości zarządzania zapewnianiem ciągłości działania w za-kładach ubezpieczeń

Liczba zakładów

ubezpiecze-niowych

Zakres podstawowy Zakres zaawansowanyPoziom

dojrzałościPrzyzwolenie wysokiego

kierownictwa

Profesjonalne wsparcie

Zarzą--dzanie

Powszechny udział


Współ-działanie

0 Nie Nie Nie Nie Nie Nie Intuicyjny 1

49% / 6%w tym:dz. I – 2 (5%)dz. II – 2 (8%)

Marginalny Częściowy Nie Nie Nie Nie Popierany 2

2248% / 33%w tym:dz. I – 8 (40%)dz. II – 14 (54%)

Częściowy TakCzę-ścio-wy

Nie Nie Nie Centralnie kierowny 3

1430% / 21%w tym:dz. I – 7 (35%)dz. II – 7 (27%)

Tak Tak Tak Tak Nie Nie Świadomy 4

49% / 6%w tym:dz. I – 2 (10%)dz. II – 2 (8%)

Tak Tak Tak Tak Tak Nie Doskonalony 5

24% / 3%w tym:dz. I – 2 (10%)dz. II – 0

Tak Tak Tak Tak Tak Tak Zintegrowany 6

Źródło: [Zawiła-Niedźwiecki, 2007b]


Tabela Z.5. Zbiorcze wyniki badania zarządzania zapewnianiem ciągłości działania w zakładach ubezpieczeń

Pytanie 1.Czy w praktyce bieżącego zarządzania towarzystwem emerytalnym stosowane jest pojęcie ryzyka ope-racyjnego oraz pojęcie zapewniania ciągłości działania (zwane też: BCP – business continuity planning, DRP – disaster recovery planning) oraz czy wprowadzone są wyodrębnione lub wskazane w formalnych uregulowaniach wewnętrznych towarzystwa rozwiązania zarządzania zapewnianiem ciągłości działania?

Nie 2 (4%)

Zdecydowanie tak

Trwa wdrażanie

Nie

Tak Wyróżniają pojęcie i problem ryzyka opera-cyjnego 37 (80%) – 9

Zajmują się ciągłością działania 38 (85%) 6 2

Istnieje forum kierownicze zarządzania za-pewnianiem ciągłości działania 24 (52%) 5 17

Istnieje sztab kryzysowy 23 (50%) 3 20

Istnieje dokument deklaracji polityki zapew-niania ciągłości działania 22 (48%) 3 21

Istnieje rozpisanie ról i zadań między komórki organizacyjne 26 (57%) 7 13

Okresowo jest powtarzana analiza ryzyka 20 (43%) 4 22

Istnieją spisane scenariusze awaryjne (sy-tuacji krytycznych) 25 (54%) 5 16

Prowadzone są testy sytuacji awaryjnych (krytycznych) 20 (43%) 1 25

Pytanie 2.Czy w praktyce zarządzania zapewnianiem ciągłości działania prowadzona jest wszechstronna i syste-matyczna analiza ryzyka operacyjnego, potencjalnie skutkującego zakłóceniami ciągłości działania?

Nie 6 (13%)

Zdecydowanie tak

Trwa wdrażanie

Nie

Tak Zdefiniowano krytyczne procesy 27 (59%) 5 14

Określono maksymalny dopuszczalny czas zatrzymania procesów krytycznych 19 (41%) 1 26

Zidentyfikowano potencjalne zagrożenia 27 (59%) 9 10

Zidentyfikowano podatności 19 (41%) 9 18

Istnieje komórka odpowiedzialna za taką jw. analizę ryzyka 23 (50%) 4 19

Opis badań 165

Pytanie 3.Czy w praktyce zarządzania zapewnianiem ciągłości działania stosowane są zróżnicowane podejścia wykorzystujące zasady prewencji oraz racjonalności ekonomicznej rozwiązań?

Nie 9 (20%)

Zdecydowanie tak

Trwa wdrażanie

Nie

Tak Podejście tolerowania 26 (57%) 2 17

Podejście monitorowania 25 (54%) 2 18

Podejście zapobiegania 19 (41%) 3 23

Podejście planowania zapewniania ciągłości działania 24 (52%) 1 20

inne 5 (11%) –

Nie wiadomo 1 (2%)

Pytanie 4.Czy w praktyce zarządzania zapewnianiem ciągłości działania zadbano o jednolitość, kompletność i łatwą dostępność dokumentacji planów i/lub scenariuszy reagowania na zakłócenia lub sytuacje kryzysowe?

Nie 17 (37%)

Zdecydowanie tak

Trwa wdrażanie

Nie

Tak Jedna komórka organizacyjna odpowiada za dokumentację

22 (48%) 6 18

Istnieje jednolity wzór dokumentacji 9 (20%) 5 32

Istnieje procedura dystrybucji zaktualizo-wanej dokumentacji

9 (20%) 2 35

Istnieje przypisanie indywidualnej odpowie-dzialności za merytoryczna zawartość pla-nów i scenariuszy

15 (33%)3 28

Istnieje obowiązek rejestrowania wydarzeń nadzwyczajnych (baza incydentów)

12 (26%) 3 31

Istnieje obowiązek dokumentowania dzia-łań w toku sytuacji kryzysowej

9 (20%) 4 33

Pytanie 5.Czy zadbano, aby uregulowania oraz rozwiązania zapewniania ciągłości działania były zgodne z przepi-sami prawa, zwłaszcza prawem pracy i przepisami bhp?

Nie 10 (22%)

Zdecydowanie tak

Trwa wdrażanie

Tak 27 (58%) 1

Nie wiadomo 8 (17%)


Pytanie 6.Zarządzanie zapewnianiem ciągłości działania jest częścią zarządzania ryzykiem operacyjnym. Dlatego też prosimy o ocenę z perspektywy doświadczeń Państwa zakładu ubezpieczeń, czy zarządzanie ryzykiem operacyjnym jest w relacji do ryzyka biznesowego problemem/wyzwaniem:

Tej samej wagi 8 (17%)

Zbliżonej wagi 28 (61%)

Wyraźnie mniejszej wagi 5 (11%)

Znikomej wagi 1 (2%)

Brak odpowiedzi 4 (9%)

Źródło: [Zawiła-Niedźwiecki, 2007b].

Model zapewniania ciągłości działania jako wynik badań oraz jego aplikacyjnośćOpismodelu zostałumieszczonyw tekściegłównymmonografiiw rozdziale6. Ciągłość działaniajakotrzykolejnepodrozdziały:Modelowe zapewnianie ciągłości działania,Organizacja zapewniania ciągłości działania i Tok zapewniania ciągłości działania.

Wzorcemw systematycznympodejściudo zapewniania ciągłości działaniajestkoncepcjaBCM(BusinessContinuityManagement)określonaprzezBusinessContinuityInstitute59następująco:

DopowyższejdefinicjiodwołująsięnormyISO22301,BS25777 i BS25999. Rekomendują one spiralny cykl procesu zarządzania zapewnianiem ciągłościądziałania,copokazujerysunekZ.2.

Kolejnerekomendowanekrokito:1. Ustaleniekrytycznychprocesówbiznesowych,grożącegoimryzyka,po-siadanychzasobówizdolnościdoprzeciwstawieniasięryzyku,wymagańwzakresiezapewnianiaciągłości.

2. Wariantoweokreślenie,wjakisposóborganizacjaosiągniecel,jakimjestspełnieniewymagań,zwłaszczabiznesowych,codooczekiwanegopoziomu

59 Zob.www.thebci.org

BCM to holistyczny proces zarządzania, który ma na celu określenie potencjalnego wpływu zakłóceń na organizację i stworzenie warunków budowania odporności na nie oraz zdol-ności skutecznej reakcji w zakresie ochrony kluczowych interesów właścicieli, reputacji i marki organizacji, a także wartości osiągniętych w jej dotychczasowej działalności.

www.thebci.org

167Model zapewniania ciągłości działania jako wynik badań...

Zarz

ądza

nie

ryzy

kiem

Odtw

orze

nie

dział

alnoś

ci –

DR

Zarz

ądza

nie

nier

ucho

moś

ciam

i

Zarz

ądza

nie

łańc

uche

m d

osta

w

Zarz

ądza

nie

jako

ścią

Zarz

ądza

nie

BHP

Zarz

ądza

nie

wied

zą

Zarz

ądza

nie

kryz

ysow

e

Zarz

ądza

nie

bezp

iecze

ństw

em

Kom

unika

cja

kryz

ysow

a &

PR

BCM: Zarządzanie Ciągłością Działania

O

s ad

z en i e

BC M w k u l t u r z e o r g a n

i z ac

j i

1Zrozumienieorganizacji

2Określenie strategii

BCM

4Testowanie utrzymanie

i audyt

3Opracowanie i wdrożenie

BCM

Zarządzanie programem

BCM

Rysunek Z.1. Holistyczny proces zarządzania zapewnianiem ciągłości działania

Źródło: [Business Continuity Institute, 2004].

Rysunek Z.2. Modelowy cykl zarządzania zapewnianiem ciągłości działania (BCM)

Źródło: norma BS 25999.


zapewnianiaciągłościdziałania,czylikwestie:cobędzieodtwarzanewsy-tuacjikryzysowej,gdzie,wjakiejkolejności,wjakigeneralniesposób?

3. Projektowanie rozwiązań zapewniania ciągłości działania jest zadaniemwyodrębnionym,alerównocześnieściślepowiązanymzcharakteremorga-nizacji,jejspecyfiką,otoczeniem,kompetencjamipracowników.

4. Wdrażanierozwiązańinabywanieumiejętnościzapewnianiaciągłościdzia-łaniajestzadaniemspecyficznymprzezfakt,żeodbywasięprzeważnienazasadzie testówwwarunkach symulowanych,anie rzeczywistych.Nie-mniejjednaksłużyzabezpieczeniuprzedrzeczywistymizagrożeniami,awobectegowymagaautentycznychumiejętności.Działanietestoweiwrzeczywistychsytuacjachkryzysowychdostarczadoświadczenia,którejestpodstawąweryfikowaniaorazmodyfikowaniapostępowaniairozwią-zańwszystkichpoprzednichkroków.

5. Osadzeniezagadnieniawkulturzeorganizacjioznaczawprowadzeniege-neralnej zasady, żeproblematyka ciągłościdziałaniadotyczywszystkichpracowników,każdyznichpowinienznaćrozwiązaniadotyczącejegosta-nowiskapracy,alerównieżpowinienaktywnieuczestniczyćwopracowy-waniutakichrozwiązań.

Takierekomendowanepodejściezostałouwzględnionewostatecznejpostacimodeluwypracowanegowtokubadańopisanychwniniejszejpracy.Modelten:

bazujenaprzeświadczeniu,żeryzykojestnieuniknioneiżepewnezdarze-niakrytyczneorazzwiązaneznimistratysąnieuchronne, opierasięnapodejściuprocesowym, realizujemechanizmstałegodoskonalenia,anawetczynizniegoswojąnaczelnącechępostępowaniaorganizatorskiego, wiążenierozerwalniedziałaniaprewencyjne(bezpieczeństwo)zdziała-niaminaprawczymi, niuansujepodejściazapewnianiaciągłościstosowniedoznaczenia iczę-stotliwościwystępowaniaposzczególnychzakłóceń, bazujenakompetencjachiwspieraichrozwijanie, podkreślaznaczenieczynnikaludzkiegoworganizacji,gdyżwwarunkachnadzwyczajnych ten zasób organizacji jest najbardziej elastyczny i kre-atywny.

Pokazanewpracymetodycznepodejściedozarządzaniazapewnianiemcią-głości działaniamoże byćwykorzystanew różnychmetodykach projektowaniarozwiązań.Zależnieodreprezentowanegoprzeznie rozłożeniaakcentówmożeprzyjmować różny kształt koncepcyjny, odmaksymalnego do proporcjonalnego(zakładamy, że nie jest rozważanynihilistycznyprzypadek zaniedbywania tegowyzwaniawzarządzaniuorganizacją).

Podejściemaksymalnecharakteryzujesiętym,żerozwiązaniazapewnianiaciągłościdziałaniasąodrazuopracowywanenapoziomiemaksymalnychwyzwań,jakiewyznaczają zidentyfikowane zagrożenia. Przykładem jestmetodyka DRII.

Model zapewniania ciągłości działania jako wynik badań...

Prezentowanewniej podejście jest przedewszystkimpragmatyczne, opartenawieloletnimdoświadczeniuautorów,praktykówzarządzania.Niepodajeonapod-stawmetodycznych, tylko bezpośredniewskazówki projektowania. Z uwagi nawieloletniestosowaniewlicznychprojektachjestonabardzopopularna,zwłaszczawśródkorporacjiifirmsektorafinansowego[Zawiła-Niedźwiecki,2008]. Podejściemaksymalnestanowizarównoozaletach,jakiwadachmetodyDRII.Czasopraco-wywaniarozwiązaniajestproporcjonalnydorozmiaruorganizacji.Metodatajestzalecanaorganizacjom,które–zwłaszczazuwaginaobowiązującewymogiprawne–chcądokonaćjednorazowegoskokuodstanubrakudojrzałegozarządzaniaza-pewnianiemciągłościdziałaniadostanuposługiwaniasięwyrafinowanymiikom-pleksowymirozwiązaniamizapewnianiaciągłościdziałania.Zreguływdrażaniezarządzania zapewnianiem ciągłości działania tą metodą wymaga pomocy do-świadczonychdoradcówzewnętrznych.

PrzykłademzkoleipodejściaproporcjonalnegojestjużobszernieomówionawtejpracymetodykaTSM-BCP(patrzpodrozdz.6.3 i rys.6.2),któraprzyjmuje,żepierwszerozwiązaniazapewnianiaciągłościdziałaniapowinnybyćadekwatnedozdolnościprzeciwstawieniasięzagrożeniom,wtymzwłaszczadokompetencjipracowników,apodstawązapewnianiaodpornościnazagrożeniamabyćstałeiharmonijnerozwijanierozwiązańbezpieczeństwaizapewnianiaciągłościorazkompetencjipracowników.

BibliografiaAdamieckiK.[1972],Harmonizacja jako jedna z głównych podstaw organizacji naukowej,[w:]KurnalJ.

(red.)Twórcy naukowych podstaw organizacji,PWE,Warszawa.AndersenB.[1995],Benchmarking,[w:]RolstadasA.(red.),Performance Management,Chapman&Hall,

Londyn.ArgyrisC.,PutnamR.,SmithD.M.[1985],Action Science,Jossey-Bass,SanFrancisco.ArmstrongC.S. [2001],Engineering and Product Development Management. The Holistic Approoach,

CambridgeUniversityPress,Cambridge.BartosiewiczS.,Bogucki J. [2008],Odrzańska droga wodna w obszarze regionu wodnego Środkowej

Odry,RegionalnyZarządGospodarkiWodnejweWrocławiu,Wrocław.BaselCommitteeonBankingSupervision[2010],Sound Practices for the Management and Supervision

of Operational Risk – consultative document,BankforInternationalSettlements,Bazylea.BBA,ISDA,RMA[1999],Operational Risk: The Next Frontier,BritishBankers’Association,Philadelphia.BeckU.[2002],Społeczeństwo ryzyka. Na drodze ku innej nowoczesności,Scholar,Warszawa.BerlińskaJ. [2010],Plany ciągłości działania w systemach produkcyjnych, „Ekonomika iOrganizacja

Przedsiębiorstwa”nr5.BernsteinP.L.[1997],Przeciw bogom. Niezwykłe dzieje ryzyka,WIG-PRESS,Warszawa.BiałasA.[2007],Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie,WNT,Warszawa.Bizon-GóreckaJ.[1998],Monitoring czynników ryzyka w przedsiębiorstwie,TNOiK,Bydgoszcz.Bizon-GóreckaJ.[2001],Strategie zarządzania ryzykiem w organizacji gospodarczej,„PrzeglądOrgani-

zacji”nr1.BlimM.,ByczkowskiM.,Zawiła-NiedźwieckiJ.[2003],TSM – Total Security Management. Zalecenia do

tworzenia Polityki Bezpieczeństwa Operacyjnego,EuropeanNetworkSecurityInstitute,Warszawa.Blim M.,Byczkowski M.,Zawiła-Niedźwiecki J. [2004],Polityka Bezpieczeństwa Informacji (model),

EuropeanNetworkSecurityInstitute,Warszawa.Blim M.,Byczkowski M.,Zawiła-NiedźwieckiJ.[2005],Koncepcja zintegrowanego zarządzania bezpie-

czeństwem organizacji,[w:]MareckiF.,GrabaraJ.,NowakJ.(red.)Systemy informatyczne. Ban-kowość i finanse,WNT,Warszawa.

BocheńskiJ.M.[1993],Przyczynek do filozofii przedsiębiorstwa,[w:]Logika i filozofia,PWN,Warszawa.BorkowskaS.(red.)[2005],Zarządzanie talentami,IPiSS,Warszawa.BorowieckiR.[2009],Zarządzanie zmianami w organizacji w warunkach globalizacji,[w:]Nowicka-

-SkowronM.(red.),Zarządzanie sieciami współdziałania w procesie budowy innowacyjnej organi-zacji i regionu,PolitechnikaCzęstochowska–PAN,Częstochowa.

BorowieckiR.,CzekajJ.(red.)[2010],Zarządzanie zasobami informacyjnymi w warunkach nowej go-spodarki,Difin,Warszawa.

BrzozowskiM.[2010],Organizacja wirtualna,PWE,Warszawa.BusinessContinuityInstitute[2004],Business Continuity Management: Good Practice Guidelines.

Bibliografia 172

Byczkowski M.,Zawiła-NiedźwieckiJ.[2009],Information Security Aspect of Operational Risk Manage-ment„FoundationsofManagement”nr2.

CanJ.[1995],Taxonomy-based Risk Identification,CarnegieMellonUniversity,Pittsburgh.CasualActuarialSociety[2003],Overview of Enterprise Risk Management,EnterpriseRiskManagement

Committee.ChartersI.[2011],A Practical Approach to BIA,BritishStandardsInstitution,Londyn.ChmielewskiJ.M.,SzomańskiB.,WaćkowskiK.[2010],Przegląd wybranych standardów i norm stoso-

wanych w informatyce,[w:]Zawiła-NiedźwieckiJ.,RostekK.,GąsiorkiewiczA.(red.),Informatyka gospodarcza,C.H.Beck,Warszawa.

ChrostowskiA.[2006],Metoda Action research w doradztwie strategicznym,pracadoktorska,UniwersytetWarszawskiWydziałZarządzania,Warszawa.

CiesielskiM.(red.)[2006],Logistyka w biznesie,PWE,Warszawa.ConrowE.H.[2000],Effective Risk Management. Some Keys to Success,AmericanInstituteofAeronautics

andAstronauticsInc.,Reston.CruzM.(red.)[2004],Operational Risk Modelling and Analysis. Theory and Practice,IncisiveMedia,

Londyn.CulpC.L.[2002],The Art of Risk Management: Alternative Risk Transfer, Capital Structure and the Con-

vergence of Insurance and Capital Market,NowyJork.CyglerJ.[2009],Kooperencja przedsiębiorstw,OficynawydawniczaSGH,Warszawa.CzakonW.[2009],Mity o badaniach jakościowych w naukach o zarządzaniu,„PrzeglądOrganizacji”nr9.CzakonW.[2010],Zasobowa teoria firmy w krzywym zwierciadle,„PrzeglądOrganizacji”nr4.CzakonW.[2011],Paradygmat sieciowy w naukach o zarządzaniu,„PrzeglądOrganizacji”nr11.CzekajJ.,ĆwiklickiM.[2009],Infonomika jako dyscyplina naukowa,„E-mentor”nr2.CzekajJ.,DreslerZ.[2008],Podstawy zarządzania finansami firm,WNPWN,Warszawa.CzekajJ.,LisińskiM.(red.)[2011],Rozwój koncepcji i metod zarządzania,FundacjaUniwersytetuEko-

nomicznegowKrakowie.DahlgaardJ.J.,KristensenK.,KanjiG.K.[2004],Podstawy zarządzania jakością,WNPWN,Warszawa.DamodaranA.[2009],Ryzyko strategiczne,WydawnictwoAkademiiLeonaKoźmińskiego,Warszawa.Dańska-BorsiakB.[2011],Dynamiczne modele panelowe w badaniach ekonomicznych,Wydawnictwo

UniwersytetuŁódzkiego,Łódź.DavidsonR.[2010],Zarządzanie ciągłością działania systemów,[w:]Zawiła-NiedźwieckiJ.,RostekK.,

GąsiorkiewiczA.(red.),Informatyka gospodarcza,C.H.Beck,Warszawa.DixitA.K.,NalebuffB.J.[2008],Sztuka strategii,MTBiznes,Warszawa.DoktórK.(red.)[1977],Socjologia organizacji,Wrocław.DöbeliB.,LeippoldM.,VaniniP.[2003],From Operational Risk to Operational Excellence,RiskWaters

Group,Londyn.DruckerP.F.[2000],Wiek nieciągłości, Zarządzanie XXI wieku – wyzwania,Muza,Warszawa.DworzeckiZ.,NogalskiB.(red.)[2011],Przełomy w zarządzaniu. Kontekst strategiczny,TNOiK,Toruń.DyrdaS.,GraniszewskiW.,ŚwiątekG.[2010],Sieci komputerowe,[w:]Zawiła-NiedźwieckiJ.,RostekK.,

GąsiorkiewiczA.(red.),Informatyka gospodarcza,C.H.Beck,Warszawa.FayolH.[1972],Ogólne zasady administracji,[w:]KurnalJ.(red.),Twórcy naukowych podstaw organi-

zacji,PWE,Warszawa.FERMA[2003],Standard zarządzania ryzykiem.ForystekM.[2005],Audyt informatyczny, Infoaudyt,Zgierz.Frankfort-NachmiasC.,NachmiasD.[2001],Metody badawcze w naukach społecznych,ZyskiS-ka,Poznań.GasparskiW.[2007],Wykłady z etyki biznesu: Nowa edycja uzupełniona,WSPiZ,Warszawa.GołąbP.[2009],Business Continuity Management,[w:]Monkiewicz,J.GąsiorkiewiczL.(red.),Risk

Management. Concept-Models-Issues,Elipsa,Warszawa.Gołąb P.,Zawiła-NiedźwieckiJ.[2010],Zapewnianie ciągłości działania jako ograniczanie ryzyka opera-

cyjnego,[w:]MonkiewiczJ.,GąsiorkiewiczL.(red.),Zarządzanie ryzykiem działalności organizacji,C.H.Beck,Warszawa.

173Bibliografia

GoszczyńskaM.,StudenskiR.(red.)[2006],Psychologia zachowań ryzykownych. Koncepcje- badania--praktyka,WydawnictwoAkademickieŻAK,Warszawa.

GórskaE.,LewandowskiJ. [2002],Podstawy zarządzania i kształtowania środowiska pracy,OficynaWydawniczaPolitechnikiWarszawskiej,Warszawa.

GreenwoodD.J.,LevinM.[1998],Introduction to Action Research,SagePublications,Londyn.GroblerA.[2008],Metodologia nauk,Aureus+Znak,Kraków.GrockiR.[2012],Zarządzanie kryzysowe,Difin,Warszawa.GrudzewskiW.,HejdukI.[2000],Przedsiębiorstwo przyszłości,Difin,Warszawa.GrudzewskiW.,HejdukI.,SankowskaA.,WańtuchowiczM.[2009],Zarządzanie zaufaniem w przedsię-

biorstwie,WoltersKluwer,Kraków.GrudzewskiW., Hejduk I., Sankowska A.,WańtuchowiczM. [2010], Sustainability w biznesie czyli

przedsiębiorstwo przyszłości,Poltext,Warszawa.GrudzewskiW.,MerskiJ.[2004],Zarządzanie wiedzą istotą współczesnych organizacji inteligentnych,

WSE,Warszawa.GulskiB.[2010],Zastosowanie koncepcji zapewnienia ciągłości działalności przedsiębiorstwa w wykorzy-

stywaniu okazji,„OrganizacjaiZarządzanie”nr2.HammerM.,ChampyJ.[1996],Reengineering w przedsiębiorstwie,NeumannManagementInstitute,

Warszawa.HamrolA.[2005],Zarządzanie jakością z przykładami,PWN,Warszawa.HandschkeJ.,MonkiewiczJ(red.)[2010],Ubezpieczenia. Teoria i praktyka,Poltext,Warszawa.vanderHeijdenK.[2000],Planowanie scenariuszowe w zarządzaniu strategicznym,OficynaEkonomiczna,

Kraków.Help-desk[2007],OGC,Londyn.HilesA.[1993],Service Level Agreements: Measuring Cost and Quality in Service Relationships,Chapman

&Hall,Londyn.HondenrichT.(red.)[1998],Encyklopedia filozofii,ZyskiS-ka,Poznań.Hopej-KamińskaM.,KamińskiR.[2009],Przeciwdziałanie sytuacjom kryzysowym a kultura organizacyjna,

„PrzeglądOrganizacji”nr3.JabłońskiD.[2013],Identyfikacja czynników niepewności w działalności przedsiębiorstwa,[w:]Mączyńska

E.,Procesy upadłościowe i naprawcze w Polsce na tle doświadczeń Unii Europejskiej,WydawnictwoSGH,Warszawa.

JagodaH.,LichtarskiJ.[2003],O istocie i ewolucji współczesnych koncepcji i metod zarządzania przed-siębiorstwem,„PrzeglądOrganizacji”nr1.

JajugaK.(red.)[2007],Zarządzanie ryzykiem,WNPWN,Warszawa.JajugaK.,JajugaT.[2008],Inwestycje,WNPWN,Warszawa.JaneczkoS.[1996],Wybrane zagadnienia teorii katastrof,OficynaWydawniczaPolitechnikiWarszaw-

skiej,Warszawa.JaworskiW.L.,ZawadzkaZ.(red.)[2004],Bankowość,Poltext,Warszawa.JedynakP.[2007],Pomiar skuteczności i efektywności procesów jako narzędzie oceny systemów zarządza-

nia jakością,XMiędzynarodowaKonferencjaNaukowa„Zarządzanieprzedsiębiorstwem.Teoriaipraktyka”,UczelnianeWydawnictwoNaukowo-DydaktyczneAGH,Kraków

JedynakP.,SzydłoS.[1997],Zarządzanie ryzykiem,Ossolineum,Wrocław.KaczmarekT.[2003],Zarządzanie zdywersyfikowanym ryzykiem w świetle badań interdyscyplinarnych:

typologia i semantyka,WydawnictwoWyższejSzkołyZarządzaniaiMarketingu,Warszawa.KaczmarekT.[2006],Ryzyko i zarządzanie ryzykiem. Ujęcie interdyscyplinarne,Difin,Warszawa.KaczmarekT.,ĆwiekG.[2009],Ryzyko kryzysu a ciągłość działania,Difin,Warszawa.KaszubskiR.,RomańczukD.(red.)[2012],Księga dobrych praktyk w zakresie zarządzania ciągłością

działania,ZBP,Warszawa.KatzD.,KahnR.L.[1979],Społeczna psychologia organizacji,PWN,Warszawa.KendallR.[2000],Zarządzanie ryzykiem dla menedżerów. Praktyczne podejście do kontrolowania ryzyka,

Liber,Warszawa.

Bibliografia 174

KlimczakK.[2008],Pochodzenie ryzyka,[w:]StaniecI.,Zawiła-NiedźwieckiJ.(red.)Zarządzanie ryzy-kiem operacyjnym,C.H.Beck,Warszawa.

KnightF.H.[1957],Risk, uncertainty and profit,NowyJork.KoneckiK.[2000],Studia z metodologii badań jakościowych. Teoria ugruntowana,WNPWN,Warszawa.KoontzH.,WeihrichH.[2007],Essentials of Management,McGraw-HillPublishing.KorzeniowskiL.F.[2012],Podstawy nauk o bezpieczeństwie. Zarządzanie bezpieczeństwem,Difin,Warszawa.KosieradzkaA.[2012],Zarządzanie produktywnością w przedsiębiorstwie,C.H.Beck,Warszawa.KosieradzkaA.(red.)[2013],Metody i techniki pobudzania kreatywności w organizacji i zarządzaniu,

edu-Libri,Kraków.KosteraM.[2003],Antropologia organizacji. Metodologia badań terenowych,WNPWN,Warszawa.KotarbińskiT.[1973],Traktat o dobrej robocie,Ossolineum,Wrocław.KozieleckiJ.[1977],Psychologiczna teoria decyzji,PWN,Warszawa.KoźmińskiA.[1976],Analiza systemowa organizacji,PWE,Warszawa.KoźmińskiA.[2004],Zarządzanie w warunkach niepewności,WNPWN,Warszawa.KrajewskiW.[1987],Determinizm i indeterminizm[w:]Filozofia i nauka,Ossolineum,Wrocław.KrasodomskaJ.[2008],Zarządzanie ryzykiem operacyjnym w bankach,PWE,Warszawa.KrupskiR.[2011],Okazje w zarządzaniu strategicznym przedsiębiorstwa,„OrganizacjaiKierowanie”nr4.KrupskiR.[2012a],Dwie koncepcje strategii organizacji – razem czy osobno?,„PrzeglądOrganizacji”nr1.KrupskiR.[2012b],Rozwój szkoły zasobów zarządzania strategicznego,„PrzeglądOrganizacji”nr4.KrzyżanowskiL.[1994],Podstawy nauk o organizacji i zarządzaniu,PWN,Warszawa.KrzyżanowskiL.[1999],O podstawach kierowania organizacjami inaczej: paradygmaty, metafory, mo-

dele, filozofia, metodologia, dylematy i trendy,WNPWN,Warszawa.Kubińska-KaletaE.[2008],Zarządzanie ryzykiem w przedsiębiorstwach przemysłowych na przykładzie

huty stali(pracadoktorska),AGH,Kraków.LichtarskiJ.[2010],Profile orientacji w zarządzaniu przedsiębiorstwem i kształtujące je czynniki,[w:]

JagodaH.,LichtarskiJ.(red.)Kierunki i dylematy rozwoju nauki i praktyki zarządzania przedsię-biorstwem,WydawnictwoUniwersytetuEkonomicznegoweWrocławiu,Wrocław

LidermanK.[2012],Bezpieczeństwo informacyjne,WNPWN,WarszawaLidwaW.[2010],Zarządzanie w sytuacjach kryzysowych,WydawnictwoAkademiiObronyNarodowej,

Warszawa.LisieckaK.[2001],Systemy zarządzania jakością i kryteria pomiaru ich efektywności,„Problemyjakości”

nr9.LisińskiM.[2004],Metody planowania strategicznego,PWE,Warszawa.LoaderD.[2006],Operations Risk Managing a Key Component of Operational Risk,Oksford.ŁańcuckiJ.[2006],Podstawy kompleksowego zarządzania jakością TQM,WydawnictwoAkademiiEko-

nomicznejwPoznaniu,Poznań.ŁobejkoS.(red.)[2012],Przedsiębiorstwa sieciowe i inne formy współpracy sieciowej,WydawnictwoSGH,

Warszawa.MacełkoM.[2009],Fenomen sieci,„OrganizacjaiZarządzanie”nr1.MalaraZ.,RzęchowskiJ.[2011],Zarządzanie informacją na rynku globalnym,C.H.Beck,Warszawa.MarciniakS.[2008],Controlling. Teoria, zastosowania,Difin,Warszawa.MarciniakS.[2013],Zarządzanie w dobie kryzysu,artykułzłożonywperiodyku„OrganizacjaiKierowanie”.MaslowA.H.[2004],W stronę psychologii istnienia,Rebis,Poznań.Masłyk-MusiałE.[2003],Organizacje w ruchu. Strategie zarządzania zmianami,OficynaEkonomiczna,

Warszawa.Masłyk-Musiał E. [2005], Zarządzanie kompetencjami w organizacji, Oficyna Wydawnicza Wyższej

SzkołyMenedżerskiej,Warszawa.MatkowskiP.[2006],Zarządzanie ryzykiem operacyjnym,WoltersKluwer,Kraków.MitroffI.I.,PearsonC.M.[1998],Zarządzanie sytuacją kryzysową,BusinessPress,Warszawa.

175Bibliografia

MonkiewiczJ.[2010],Przedsiębiorstwo jako podmiot ryzyka – rozwój koncepcji zarządzania ryzykiem [w:]J.Monkiewicz,L.Gąsiorkiewicz(red.),Zarządzanie ryzykiem działalności organizacji,C.H.Beck,Warszawa.

MonkiewiczJ.(red.)[2004],Podstawy ubezpieczeń,Poltext,Warszawa.Monkiewicz J.,HadyniakB. (red.) [2010],Ubezpieczenia w zarządzaniu przedsiębiorstwem, Poltext,

Warszawa.MonkiewiczM.[2010],Globalizacja systemu ubezpieczeniowego,[w:]HandschkeJ.,MonkiewiczJ.(red.),

Ubezpieczenia. Teoria i praktyka,Poltext,Warszawa.MooreP.G.[1975],Ryzyko w podejmowaniu decyzji,PWE,Warszawa.MorganG.[2001],Wyobraźnia organizacyjna,WNPWN,Warszawa.MyersG.,SandlerC.,BadgettT.,ThomasT.[2005],Sztuka testowania oprogramowania,Gliwice.NadlerG.[1967],Work Systems Design. The Ideals Concept, Irwin,Homewood.NahotkoS.[1996],Diagnozowanie menedżerskie w zarządzaniu przedsiębiorstwem,TNOiK,Bydgoszcz.NoccoB.W.,StultzR.M.[2006],Enterprise Risk Management. Theory and Practice,OhioStateUniversity.NogalskiB.,SzpitterA.,RybakB.[2012],Rozważania o potrzebie elastyczności w zarządzaniu przedsię-

biorstwem w warunkach turbulencji i nieprzewidywalności,[w:]RokitaJ.(red.)., Nauki o zarzą-dzaniu wobec nieprzewidywalności i złożoności zmian, Wydawnictwo Górnośląskiej WyższejSzkołyHandlowej,Katowice.

NowakA.Z.,SteagallJ.,BaliamouneN.[2004],Globalization, International Business and European Integration, Centrum Europejskie UniwersytetuWarszawskiego i Coggin College of BusinessUniversityofNorthFlorida,WarszawaiJacksonville.

NowosielskiS.[2008],Podejście procesowe a współczesne koncepcje i metody zarządzania organizacją,[w:]Kierunki i dylematy rozwoju nauki o przedsiębiorstwie,PracenaukoweUniwersytetuEkono-micznegoweWrocławiunr34.

ObłójK.[2007],Strategia organizacji. W poszukiwaniu trwałej przewagi konkurencyjnej,PWE,Warszawa.ObłójK.[2010],Pasja i dyscyplina strategii,Poltext,Warszawa.OrzełJ.[2012],Zarządzanie ryzykiem operacyjnym za pomocą instrumentów pochodnych,WNPWN,

Warszawa.PencJ.[2000],Decyzje w zarządzaniu,Placet,Warszawa.PencJ.[2010],Strategiczny system zarządzania,Placet,Warszawa.PerechudaK.(red)[2005],Zarządzanie wiedzą w przedsiębiorstwie,WNPWN,Warszawa.PerencJ.,Hołub-IwanJ.[2011],Innowacje w rozwijaniu konkurencyjności firm,C.H.Beck,Warszawa.PerryC.,RiegeA.,BrownL.[2004],Scientific Paradigms in Marketing Research about Networks,[w:]

R.Buber,J.Godner,L.Richards(red.),Applying Qualitative Methods to Marketing Management Research,PalgraveMacmilian,NowyJork.

PihowiczW.[2008],Inżynieria bezpieczeństwa technicznego,WNT,Warszawa.PlebańskaM.[2013],Platforma e-learningowa jako system zarządzania wiedzą,edu-Libri,Kraków.PoznańskaK.,SobieckiR.(red.)[2012],Innowacje w przedsiębiorstwie,WydawnictwoSGH,Warszawa.PritchardC.[2001],Zarządzanie ryzykiem w projektach. Teoria i praktyka,WIG-Press,Warszawa.ProbstG.,RaubS.,RomhardtK.[2002],Zarządzanie wiedzą w organizacji,OficynaEkonomiczna,Kraków.Przybylska-KapuścińskaW.,MozalewskiM.[2011],Kapitał wysokiego ryzyka,PWE,Warszawa.PszczołowskiT.[1978],Mała encyklopedia prakseologii i teorii organizacji,Ossolineum,Wrocław.QuinnJ.B.,MintzbergH.,JamesR.M.[1993],The Strategy Process, Contexts and Cases,Prentince-Hall

InternationalInc,Rijswijk.Ratajczak-MrozekM.[2009],Główne cechy relacji sieciowych przedsiębiorstw (podejście sieciowe, network

approach),„OrganizacjaiKierowanie”nr4.ReasonP.,BradburyH.(red.)[2001],Handbook of Action Research Participative Inquiry and Practice,

SagePublications,Londyn.ReillyF.K.,BrownK.C.[2001],Analiza inwestycji i zarządzanie portfelem,PWE,Warszawa.RomanowskaM.[2009],Planowanie strategiczne w przedsiębiorstwie,PWE,Warszawa.RummlerG.A.,BracheA.P.[2000],Podnoszenie efektywności organizacji,PWE,Warszawa.

Bibliografia 176

RutkowskiK.(red.)[2008],Najlepsze praktyki w zarządzaniu łańcuchem dostaw, WydawnictwoSGH,Warszawa.

SadowskiW.[1960],Teoria podejmowania decyzji,PWE,Warszawa.SchwartzT.[2007],Zarządzaj swoją energią, a nie czasem,„HarvardBusinessReviewPolska”nr12.SengeP.M.[2006],Piąta dyscyplina. Teoria i praktyka organizacji uczących się,WoltersKluwer,Kraków.SierpińskaM.(red.)[2007],System raportowania wyników w controllingu operacyjnym,VIZJAPRESS&IT,

Warszawa.SierpińskaM.,JachnaT.[2007],Metody podejmowania decyzji finansowych,WNPWN,Warszawa.SiwekM.,OnyszczukJ.,BagińskiJ.[2006],Skuteczność, efektywność, a produktywność,„Problemyja-

kości”nr9.Skalik J. [2008],Strategiczne aspekty zarządzania zmianami w przedsiębiorstwie, [w:]KrupskiR.,

Zarządzanie strategiczne. Podstawowe problemy, PraceNaukoweWałbrzyskiejWyższej SzkołyZarządzaniaiPrzedsiębiorczości,Wałbrzych.

SkomraW.[2010],Zarządzanie kryzysowe – praktyczny przewodnik po nowelizacji ustawy,Wyd.PresscomWrocław.

SkrobanK.[2010],Testowanie oprogramowania[w:]Zawiła-NiedźwieckiJ.,RostekK.,GąsiorkiewiczA.,Informatyka gospodarcza,Warszawa.

SkrzypekE.[2000],Jakość i efektywność,WydawnictwoUMCS,Lublin.SkrzypekE.[2003],Efektywność procesów w przedsiębiorstwie,[w:]T.Wawak(red.),Zmieniające się

przedsiębiorstwo w zmieniającej się politycznie Europie,WydawnictwoInformacjiEkonomicznejUniwersytetuJagiellońskiego,Kraków.

Soczko M.,Zawiła-NiedźwieckiJ.[2008],Ryzyko operacyjne i jego szacowanie (współautor),[w:]R.Kno-sala(red.)Komputerowo zintegrowane zarządzanie,WydawnictwoPolitechnikiOpolskiej,Opole.

SołtysikL.[2001],Ryzyko operacyjne – nowe wyzwania,„RynekTerminowy”nr1.StabryłaA.[2011],Model ogólny analizy bezpieczeństwa strategicznego przedsiębiorstwa, „Przegląd

Organizacji”nr9.StabryłaA.(red.)[2006],Doskonalenie systemów zarządzania w społeczeństwie informacyjnym,Wydaw-

nictwoAkademiiEkonomicznej,Kraków.StabryłaA.(red.)[2012],Podstawy organizacji i zarządzania. Podejścia i koncepcje badawcze,Wydaw-

nictwoUniwersytetuEkonomicznegowKrakowie.Staniec I.,Zawiła-NiedźwieckiJ.(red.)[2008],Zarządzanie ryzykiem operacyjnymC.H.Beck,Warszawa.StonerJ.A.,WankelC.[1992],Kierowanie,PWE,Warszawa.StrzelczakS.[2003],Business Planning and Risk Management,[w:]S.Strzelczak(red.),Economic and

Managerial Developments in Asia and Europe. Comparative Studies,OficynaWydawniczaPolitech-nikiWarszawskiej,Warszawa.

SudołS.[2006],Przedsiębiorstwo, podstawy nauki o przedsiębiorstwie, zarządzanie przedsiębiorstwem,PWE,Warszawa.

SułkowskiŁ.[2005],Epistemologia w naukach o zarządzaniu,PWE,Warszawa.SzackiJ.[2006],Historia myśli socjologicznej,WNPWN,Warszawa.SzafrańskiM.[2002],Skuteczność w świetle norm serii ISO 9000,„Problemyjakości”nr12.SzczepańskaK.[2011],Zarządzanie jakością. Dążenie do doskonałości,C.H.Beck,Warszawa.SzczepańskiJ.[1967],Socjologia. Rozwój problematyki i metod,PWN,Warszawa.SzmydJ.[2000],Bezpieczeństwo jako wartość. Refleksja aksjologiczna i etyczna,[w:]TyrałaP.(red.),

Zarządzanie bezpieczeństwem,WydawnictwoProfesjonalnejSzkołyBiznesu,Kraków.SzpitterA.[2011],Koncepcje zarządzania – próba klasyfikacji,„PrzeglądOrganizacji”nr10.TabaszewskaE.[2011],System zarządzania wiedzą – próba definicji,„PrzeglądOrganizacji”nr4.TabaszewskaE.[2012],Wprowadzanie i funkcjonowanie systemów zarządzania wiedzą w przedsiębior-

stwach,WydawnictwoUEweWrocławiu,Wrocław.TarczyńskiW.,MojsiewiczM.[2001],Zarządzanie ryzykiem,PWE,Warszawa.TatarkiewiczW.[2005],Historia filozofii,WNPWN,Warszawa.TaylorF.[1972],Zasady naukowego zarządzania,[w:]J.Kurnal(red.),Twórcy naukowych podstaw

organizacji,PWE,Warszawa.

177Bibliografia

TharenouP.,DonohueR.,CooperB. [2007],Management Research Methods,CambridgeUniversity,Cambridge.

TrockiM.[2001],Outsourcing,PWE,Warszawa.TrockiM.(red.)[2012],Nowoczesne zarządzanie projektami,PWE,Warszawa.TrzcienieckiJ.[1970],Diagnostyczne i prognostyczne projektowanie organizatorskie,„PrzeglądOrgani-

zacji”nr7.TurskiW.M.[2013],Na marginesie – zbiór felietonów,edu-Libri,Kraków.TyrałaP.[2001],Zarządzanie kryzysowe,WydawnictwoAdamMarszałek,Toruń.Urbankowska-BąkK.[2007],Identyfikacja, pomiar i zarządzanie ryzykiem operacyjnym w instytucji

finansowej,pracadoktorskanapisanawKolegiumZarządzaniaiFinansówSGH,Warszawa.UrbańczykE.(red.)[2007],Strategie wzrostu wartości,WydawnictwoNaukoweUniwersytetuSzcze-

cińskiego,Szczecin.VaniniP.,EbnötherS.,McNeilA.,AntolinezP.[2003],Operational Risk: A Practitioners Point of View,

„JournalofRisk”nr5.VaughanE.J.[1997],Risk Management,JohnWiley&SonsInc.,NowyJork.WaścińskiT.,KrasińskiP.[2010],Ryzyko w działalności przedsiębiorstwa – elementy systematyki i identy-

fikacji[w:]J.Monkiewicz,L.Gąsiorkiewicz(red.),Zarządzanie ryzykiem działalności organizacji,C.H.Beck,Warszawa.

WatersD.[2001],Zarządzanie operacyjne. Towary i usługi,WNPWN,Warszawa.WilimowskaZ.,WilimowskiM.[2001],Sztuka zarządzania finansami,OPO,Bydgoszcz.WiniarskiJ.[2007],Zarządzanie ryzykiem w przedsięwzięciach informatycznych,PolskieStowarzyszenie

ZarządzaniaWiedzą,seria:StudiaiMateriałynr8.DeWitB.,MeyerR.[2007],Synteza strategii,PWE,Warszawa.WojtasiakA.[2003],Ryzyko operacyjne na rynku instrumentów pochodnych – podział i metody jego mi-

nimalizacji,„BankiKredyt”nr9.WojtynaA.[2004],Szkice o polityce pieniężnej,PWE,Warszawa.WojtynaA.[2008],Współczesna ekonomia – kontynuacja czy poszukiwanie nowego paradygmatu,„Eko-

nomista”nr1.WojtynaA.(red.)[2011], Kryzys finansowy i jego skutki dla krajów na średnim poziomie rozwoju,PWE,

Warszawa.WołowskiF.,Zawiła-NiedźwieckiJ.[2012], Bezpieczeństwo systemów informacyjnych,edu-Libri,Kraków.WoźniakK.[2010],Problem pomiaru w naukach organizacji i zarządzania,„PrzeglądOrganizacji”nr5.WustP.[1995],Niepewność i ryzyko,PWN,Warszawa.WyrozębskiP.,JuchniewiczM.,MetelskiW.[2012],Wiedza, dojrzałość, ryzyko,OficynaWydawnicza

SGH,Warszawa.YinR.K.[1989],Case Study Research. Design and Methods,SagePubl.,Londyn.ZapłataS.[2003],Skuteczność i efektywność systemu zarządzania jakością,„Problemyjakości”nr2.Zawiła-NiedźwieckiJ.[2003],Propozycja metodyki zarządzania ciągłością działania,„PrzeglądOrgani-

zacji”nr6.Zawiła-NiedźwieckiJ.[2006a],Analiza aktualnego stanu zarządzania ciągłością działania przez towa-

rzystwa emerytalne w Polsce,pracabadawczairaportdlaUrzęduKomisjiNadzoruFinansowego,Warszawa.

Zawiła-Niedźwiecki J. [2006b], Ciągłość działania a teoria zarządzania, „Ekonomika i OrganizacjaPrzedsiębiorstwa”nr4.

Zawiła-NiedźwieckiJ.[2007a],Model oceniania dojrzałości zarządzania ciągłością działania organizacji, „PrzeglądOrganizacji”nr4.

Zawiła-NiedźwieckiJ.[2007b],Stan zarządzania ciągłością działania przez zakłady ubezpieczeń w Polsce, pracabadawczairaportdlaUrzęduKomisjiNadzoruFinansowego,Warszawa.

Zawiła-NiedźwieckiJ.[2008],Ciągłość działania organizacji,OficynaWydawniczaPolitechnikiWar-szawskiej,Warszawa.

Bibliografia 178

Zawiła-NiedźwieckiJ.[2009],Operational risk and the security of an organization,[w:]J.Monkiewicz,L.Gąsiorkiewicz (red.),Risk Management. Concepts, models, issues,DomWydawniczyElipsa,Warszawa.

Zawiła-NiedźwieckiJ.[2010a],Business Continuity,„FoundationsofManagement”nr2.Zawiła-Niedźwiecki J. [2010b],Pojęcie ryzyka operacyjnego i klasyfikacja jego rodzajów, „Przegląd

Organizacji”nr6.ZgajewskiM.iinni[2013],Cloud computing w sektorze finansowym,WydawnictwoZwiązkuBanków

Polskich,edu-Libri,Kraków.ZimniewiczK.[2009],Współczesne koncepcje i metody zarządzania,PWE,Warszawa.ZoleńskiW.[2010],Systemy wczesnego ostrzegania wykorzystujące wiedzę,„OrganizacjaiZarządzanie”

nr3.ZymonikZ.,HamrolA.,GrudowskiP.[2013],Zarządzanie jakością i bezpieczeństwem,PWE,Warszawa.

Strony internetowe miarodajne w kwestiach zapewniania ciągłości działaniawww.bcm-institute.org(BusinessContinuityManagementInstitute)www.continuitycentral.comwww.cramm.com(CCTA’sRiskAnalysisandManagementMethod)www.davislogic.com(DavisLogicInc.–BusinessContinuityManagementInformationandResources)www.drii.org(DRIITheInstituteforContinuityManagement)www.drj.com(DisasterRecoveryJournal)www.globalcontinuity.comwww.gloriamundi.org(zakładkaOperational risk)www.itil-itsm-world.com(InformationTechnologyInfrastructureLibrary–InformationTechnologySe-

curityManagement)www.mit.edu/security(MassachusettsInstituteofTechnology)www.thebci.org(BusinessContinuityInstitute)www.virtual-corp.net(VirtualCorporationInc–BCMM–BusinessContinuityMaturityModel)

Ważniejsze przepisy i normyDyrektywaUniiEuropejskiej2004/39/ECwsprawierynkówiinstrumentówfinansowych.DyrektywaUniiEuropejskiej2006/31/ECzmieniającaDyrektywę2004/39/EC.DyrektywaUniiEuropejskiej2006/48/ECwsprawiepodejmowaniaiprowadzeniadziałalnościprzez

instytucjekredytowe(tzw.CRD-capitalrequirementdirective).DyrektywaUniiEuropejskiej2006/49/ECwsprawieadekwatnościkapitałowejfirminwestycyjnych

iinstytucjikredytowych.DyrektywaUniiEuropejskiej2006/73/WEwprowadzającaśrodkiwykonawczedoDyrektywy2004/39/WE

(tzw.MiFID–marketinfinancialinstrumentsdirective).DyrektywaUniiEuropejskiej2009/138/WE(tzw.SolvencyII).Ustawaoochroniedanychosobowychzdnia29sierpnia1997r.,Dz.U.z2002r.nr101.Ustawaoochronieinformacjiniejawnychzdnia22stycznia1999r.,Dz.U.z1999r.nr11.Ustawaozarządzaniukryzysowymzdnia26kwietnia2007r.,Dz.U.z2007r.nr89.RozporządzenieKomisjinr1287/2006wprowadzająceśrodkiwykonawczedoDyrektywy2004/39/EC.RozporządzenieRadyMinistrówzdnia12kwietnia2012r.wsprawieKrajowychRamInteroperacyj-

ności,minimalnychwymagańdlarejestrówpublicznychiwymianyinformacjiwpostacielektro-nicznejorazminimalnychwymagańdlasystemówteleinformatycznych.Dz.U.z2012r.nr0.

Uchwałanr1/2007KomisjiNadzoruBankowegoz13.03.2007wsprawiezakresu i szczegółowychzasadwyznaczaniawymogówkapitałowychztytułuposzczególnychrodzajówryzyka.

GłównyInspektoratNadzoruBankowegoRekomendacja D dotycząca zarządzania ryzykami towarzyszą-cymi systemom informatycznym i telekomunikacyjnym używanym przez banki,NBP,Warszawa2002.

GłównyInspektoratNadzoruBankowegoRekomendacja M dotycząca zarządzania ryzykiem operacyj-nym w bankach,NBP,Warszawa2004.

Bibliografia

NormaBS25777:2008Information and Communication Technology Continuity Management.NormaBS25999-1:2006Business Continuity Management – Code of practice.NormaBS25999-2:2007Business Continuity Management – Specification.Guide to Business Continuity Management,BritishStandardsInstitution2003.NormaPN-EN/ISO9000:2006Systemy zarządzania jakością. Podstawy i terminologia.NormaPN-EN/ISO9001:2001Systemy zarządzania jakością. Wymagania.NormaISO12207:1995Information technology – Software life cycle processes.Norma(raporttechniczny)ISO/IECTR13355-1:1999Wytyczne do zarządzania bezpieczeństwem syste-

mów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych.Norma(raporttechniczny)ISO/IECTR13335-2:1997Wytyczne do zarządzania bezpieczeństwem syste-

mów informatycznych. Zarządzanie i planowanie bezpieczeństwa systemów informatycznych.Norma(raporttechniczny)ISO/IECTR13335-3:1998Technika informatyczna. Wytyczne do zarządza-

nia bezpieczeństwem systemów informatycznych. Techniki zarządzania bezpieczeństwem systemów informatycznych.

NormaISO14001:2004Environmental management system – Requirements with guidance for use.NormaISO15408-1:1999Information technology – Security techniques – Evaluation criteria for IT security.NormaISO31000:2009Risk management – Principles and guidelines. NormaISO/IEC20000-1:2005(normaBS-15000-1:2002)IT Service Management. Specification for Ser-

vice Management.NormaISO/IEC20000-2:2005(normaBS-15000-2:2003)IT Service Management. Code of practice for

Service Management.NormaISO/IEC27005:2011 Information technology – Security techniques – Information security risk

management.NormaISO22301:2012Societal security – Business continuity management systems – Requirements.NormaISO22313:2012Societal security – Business continuity management systems – Guidance. NormaPN-I27001:2006Systemy zarządzania bezpieczeństwem informacji – Specyfikacja i wytyczne do

stosowania.NormaPN-I27002:2007Systemy zarządzania bezpieczeństwem informacji – Zasady zarządzania bezpie-

czeństwem informacji.

ENSIKANCELARIA EKSPERTÓW

Najbardziej doświadczony w PolsceZespół ekspertów

bezpieczeństwa informacji i systemów informatycznych

Wdrażanie systemów zarządzania bezpieczeńswem informacji

Kompleksowa ochrona danych osobowych

Outsourcing funkcji ABI

Testy i audyty bezpieczeństwa systemów informatycznych

Szkolenia i warsztaty

Prestiżowe konferencje eksperckie

Bezpieczeństwo to kwestia wyboru

WWW.ENSI.NET

Dr inż. Janusz Zawiła-Niedźwiecki

Od kilkunastu lat pracownik naukowy Politechniki Warszawskiej, dawniej Wydziału InżynieriiProdukcji, obecnie Wydziału Zarządzania, członek kolejno obu Rad Wydziału. Gościnnie wy -kła dowca Collegium Civitas. Członek Polskiej Komisji Akredytacyjnej w Zespole Nauk Tech -nicz nych, członek Rady Naukowej Generalnego Inspektora Ochrony Danych Osobowych.

Redaktor naukowy książek Zarządzanie ryzykiem operacyjnym (2008) i Informatyka gospo -darcza (2010). Autor lub współautor książek Ciągłość działania organizacji (2008) i Bezpie -czeństwo systemów informacyjnych (2012) oraz raportów Związku Banków Polskich – Księgadobrych praktyk zarządzania ciągłością działania (2012) i Cloud computing w sektorzefinansowym (2013), a także wielu artykułów i referatów konferencyjnych naukowych i zawo do -wych z zakresu zarządzania ryzykiem operacyjnym, bezpieczeństwem i ciągłością działania.

Równocześnie menedżer praktyk, w przeszłości m.in. w NBP, Pol-Mot, Giełdzie Papierów War -tościowych, Fund Services, Grupie PZU, Komisji Nadzoru Finansowego, Urzędzie Komu nikacjiElektronicznej. Kierownik kilku znaczących projektów informatycznych, organizator ośrod -ków komputerowych oraz autor strategicznych reorganizacji usług informatycznych w kilkuorganizacjach. Obecnie Pełnomocnik Rektora Politechniki Warszawskiej ds. informatyzacji.

W roku 1998 jako dyrektor informatyki Giełdy laureat nagrody „Lider Informatyki” przyznawanejprzez Computerworld. Członek założyciel polskiego oddziału stowarzyszenia ISACA, prze wod -niczący Rady Fundacji im. Prof. Kazimierza Bartla, członek Zespołu Badań i Rozwoju NOT.

www.januszzawilaniedzwiecki.com

ZARZĄDZANIE

ZA

RZ

ĄD

ZA

NIE

Wydawnictwo edu-Libri jest nowoczesną oficyną wydawniczą e-publikacji naukowychi edukacyjnych.

Współpracujemy z doświadczonymi redaktorami merytorycznymi oraz technicznymi specja -lizującymi się w przygotowywaniu publikacji naukowych i edukacyjnych. Stawiamy na jakośći profesjonalizm łączone z nowoczesnością, a najważniejsze dla nas są przyjemność współ -tworzenia i satysfakcja z dobrze wykonanego zadania.

Nasze publikacje elektroniczne są dostępne w księgarniach internetowych oraz w czytelnion-line ibuk.pl

Sprzedaż wysyłkową książek drukowanych prowadzi wydawnictwo (zamówienia na [email protected]) oraz księgarnia drukarni SOWA wyczerpane.pl

www.edu-libri.pl

zarządzanie ryzykiem operacyjnym...proces zarządzania ry-zykiem operacyjnym opracowanie zasad...

Documents