COSO czyli ISO? Wiemy, że niejednemu się narazimy, ale uważamy, że być może najbardziej wartościową publikacją (pominąwszy publikacje Ryzykonomii) jaki ukazał się w związku z Kontrolą zarządczą w sektorze publicznym jest „Zarządzanie ryzykiem w sektorze publicznym” zwany też czasami „Polskim Podręcznikiem” autorstwa tajemniczego Bentleya Jennisona.
No, może nie tak tajemniczego, bo o ile słyszeliśmy, to brytyjska
firma współpracująca onegdaj z ojcami i matkami KZ-u w Polsce z samego Ministerstwa oczywiście w ramach stosownego EUprojektu. Anglosaskie pochodzenie Podręcznika używane jest jako jeden z argumentów sugerujących jego „niedostosowanie” do „polskich realiów”, co jest zupełnie bezpodstawne, bo ów „Podręcznik” to zbiór dobrych praktyk i porad,
a nie opracowanie nakazowo-rozdzielcze. Nie mowiąc o tym, że anglosasi to akurat bardzo dobre źródło w temacie.
Jego słabością jest być może to, że trzeba go dokładnie
przeczytać (co zdaje się niewielu uczyniło) i ZROZUMIEĆ. A to zrozumienie jest niestety bardzo trudne bez pomocy wykwalifikowanego risk managera albo specjalisty jak kto woli, choć nie takiego kto pracował tu i ówdzie zna się i na audycie i na kopycie, a w ogóle to zarządzaniem ryzykiem zajmuje się od 32 lat.
Niestety, „tłumacze” i „wdrażacze” zarządzania ryzykiem nie
poprzestają na dezawuowaniu porad płynących z Podręcznika ale postanowili tworzyć sami swoje objaśnienia kontroli zarządczej i zarządzania ryzykiem też, które choć zawierają całą masę tabelek do wypełnienia (widzieliśmy nawet książkę składająca się z samych chyba tabelek, bagatela ponad stówę kosztowało to cudeńko, przy tym ostatni nasz e-book bestseller, dla prostych ludzi, przez prostego człowieka napisany, jest jak za darmo ), no więc takie „wdroż-pomocniki”, przynajmniej w kwestii zarządzania ryzykiem nie dają kompletnie NIC oprócz instrukcji… wypełnienia tabelki.
Ale przez zapełnianie tabelki zarządzanie ryzykiem nie działa – i niech się nikt nie zdziwi, że nie zadziała.
Polski podręcznik nie jest oczywiście doskonały, szczególnie
mamy pretensje o wprowadzające w błąd i NIELOGICZNE skale ryzyka, ale to o zgrozo ! jest jednym z elementów najczęściej kopiowanych do różnych procedur .
Wartościowe są za to na pewno różnorodne wskazówki dotyczące
organizacji struktury ramowej zarządzania ryzykiem i samego procesu, przykłady opisów ryzyka i sekwencje działań, ankietowe metody identyfikacji ryzyka (mocno niedoskonałe ale całkiem do wykorzystania – jak na pierwszy ogień). I podkreślanie roli leadershipu, komunikacji, monitoringu i ewaluacji ale to
znowu niezrozumiałe przez tabelkowiczów umyka, a to kolejny klucz do zadziałania systemu. I nie działa.
Inny ciekawy element to przykład rejestru ryzyka, znowu
traktowany wybiorczo przez wdrażaczy jak Polska długa i szeroka (dlaczego ? – dlaczegoś !) choćby sekwencja opisu ryzyk root –cause jest pomijana na rzecz jakiś „czynników” czy „źródeł” ryzyka i innych ubezpieczeniowych hazardów. COSO czyli ISO?
Wreszcie, o dziwo, i na szczęście mało kto robi w rejestrze
analizę ryzyka inherentnego i rezydualnego i przez przypadek najwyraźniej nie jest to najgorsze bo jak donoszą najnowsze jaskółki ze świata i sama IIA w najnowszym opracowaniu (do tematu powrócimy jeszcze) ma to ograniczony sens.
Nie ma już zresztą ryzyka inherentnego w ISO 31000 Zarządzanie
ryzykiem i tu dochodzimy do kolejnego odkrycia, a tego mianowicie, że Podręcznik mający pomagać we wdrożeniu Kontroli zarządczej opartej na COSO wcale nie jest z COSO tylko z ISO, a dokładniej z jego poprzednika i ojca – matki bardzo dobrego skądinąd standardu australijsko nowozelandzkiego AS/NZS 4360 co każdy, kto te standardy zna, zaraz z ducha i litery wyczuje. Nie mówiąc o schemacie procesu na jednej z pierwszych stron właśnie z AS/NZS i jak byk definicji procesu zarządzania ryzykiem.
Także mamy Kontrolę według COSO a podręcznik z ISO, per qui
pas, a póki co kończymy ten odcinek objaśnień KZ-u, bo jesteśmy na kolejnym projekcie, siedzimy w hotelu lekko wyczerpani, to i „literowki” mamy nadzieję nam P.T. Czytelnicy wybaczą ….
COSO czyli ISO?