Kilka dni temu, za sprawą jednej z firm doradczych poruszających się na rynku „kolejowym”, trafiło do mnie „Rozporządzenie Komisji Europejskiej dotyczące wspólnej metody oceny bezpieczeństwa w zakresie wyceny i oceny ryzyka”. Za tym długaśnym i trochę niezrozumiałym tytułem kryje się przepis wykonawczy, będący konsekwencją dyrektywy 2004/49/WE Parlamentu Europejskiego, dotyczący po prostu zasad szacowania ryzyka związanego z operacjami i infrastrukturą kolejową oraz ustalania progu tolerancji na ryzyko. Dla zainteresowanych – dokument jest dostępny tutaj.
Motywy przewodnie tego dokumentu i proponowanej tam strategii zarządzania ryzykiem to zmiana, tolerowany poziom ryzyka i ograniczony zakres dozwolonych metod i narzędzi zarządzania ryzykiem. Oczywiście, zanim czytelnik do tego wniosku dojdzie, musi przetłumaczyć sobie na język risk managementu sporo dziwacznych terminów, np.:
- wycena ryzyka – to porównanie jego wielkości z założonym, dopuszczalnym progiem tolerancji na ryzyko (czyli „po naszemu” ewaluacja, ocena ryzyka)
- ocena ryzyka – to złożenie jego identyfikacji oraz oszacowania (czyli analizy ryzyka) oraz jego porównania z tolerancją na ryzyko (czyli po „kolejowemu” – wyceną ryzyka)
- środki bezpieczeństwa to inaczej „nasze” środki kontroli (są rozumiane jako działania służące minimalizacji ryzyka – jego częstotliwości oraz skutków)
- kodeks postępowania to „procedury monitorowania ryzyka” (zbiór zasad służących do nadzorowania zagrożenia).
Ta próbka terminologii zaczerpniętej z rozporządzenia pokazuje, w jakim stopniu czytelnik musi się przestawić z mainstreamowego ERM na specyfikę kolejową.
Znamienne jest, że „ryzyko” zdefiniowano jako częstotliwość wypadków i incydentów oraz stopień powagi szkody, do jakiej prowadzą. Nie ma więc mowy o prawdopodobieństwie (likelihood) ani o tzw. emerging risks oraz unknowns – nieuznawanie zjawisk jeszcze niepoznanych i metod innowacyjnych, przez nikogo jeszcze nie sprawdzonych – to druga cecha charakterystyczna tego dokumentu. Prawie odruchowo pojawia się pytanie: a co z zagrożeniami, które się jeszcze nigdy nie zmaterializowały ? I z metodami radzenia sobie z nimi, których nikt jeszcze nie przetestował ? W „metodologii kolejowej” nie ma na nie miejsca …
Jak wspomniałem, motywem przewijającym się przez cały dokument jest zmiana, rozumiana jako odstępstwo od status quo, sprawdzonych stanów, metod, rozwiązań technicznych. Każde jej wystąpienie jest obiektem troski kolejowych risk managerów, jest traktowana podobnie jak cele biznesowe w ERM, będące punktem odniesienia do oceny (ewaluacji) ryzyka. Każda zmiana wymaga zastosowania kolejowych zasad zarządzania ryzykiem. Jeden z zapisów (oczywiście po przetłumaczeniu go na język zrozumiały dla risk managera) jest w tym kontekście bardzo zdrowy: jeśli zmiana nie ma wpływu na bezpieczeństwo, nie podlega rygorom zarządzania ryzykiem.
W procesie i metodologii zarządzania ryzykiem (które zostały opisane w załączniku 1), na pierwszy rzut oka można znaleźć elementy podobne do tych, które znajdziemy np w AS/NZS 4360 lub ISO 31000, lecz są znaczące różnice jeśli chodzi logikę ich zastosowania i szczegóły.
Pierwszym etapem metodologii jest „zdefiniowanie systemu” – podobnie jak w AS/NZS jest nim zdefiniowanie kontekstu biznesowego. Systemem są tu:
- „element ludzki, technologiczny i operacyjny”,
- tzw interfejsy (obszary stykania się zakresu działania różnych systemów i kompetencji podmiotów),
- istniejące środki kontroli (bezpieczeństwa), oraz
- otoczenie systemu generujące zagrożenia (hazards, exposures).
Kolejne etapy procesu to:
- identyfikacja zagrożenia
- określenie zarówno wymogów jak i środków bezpieczeństwa (co przypomina wymóg ASNZS określenia istniejących środków kontroli, jakie należy uwzględnić podczas szacowania ryzyka)
- wykazanie zgodności systemu (czyli stanu ryzyk, zagrożeń) z wymogami bezpieczeństwa (czyli poziomem tolerancji na ryzyko)
- zarządzanie zagrożeniami i środkami bezpieczeństwa (czyli decydowanie o środkach kontroli ryzyka i monitorowanie ryzyka).
Etap identyfikacji ryzyk zakłada prawdziwie holistyczne podejście: ocenie podlegają wszystkie zagrożenia w całym systemie (element ludzki, technologiczny i operacyjny) oraz w jego interfejsach. Etap oceny ryzyk (portfela ryzyk) zakłada pewną formę risk mappingu, gdyż każe oddzielić pozostałych ryzyka dopuszczalne, które nie muszą być bardziej szczegółowo analizowane. Podczas decydowania o dopuszczalności ryzyka regulacja każe stosować logiczną zasadę, znaną w dyscyplinie zintegrowanego zarządzania ryzykiem pod nazwą ALARP (ryzyko jest na tyle małe, że wprowadzanie dodatkowych środków bezpieczeństwa jest już nieracjonalne).
Niestety, stwierdzenie, że „proces (zarządzania ryzykiem) kończy się z chwilą wykazania zgodności systemu z wymogami bezpieczeństwa”, nawet po przetłumaczeniu tego wymogu na język risk managementu (proces kończy z chwilą, gdy ryzyko mieści się poniżej progu tolerancji na ryzyko) pozostaje naganny i niezgodny z dobrą praktyką ERM. Nie wolno zakładać, że raz opanowane ryzyko na zawsze takie pozostanie – portfel ryzyk to zjawisko mniej czy bardziej dynamiczne w każdej firmie, i powinien być nadal obserwowany.
Dość kuriozalne jest ograniczenie dozwolonych „metod lub narzędzi oceny ryzyka” do tych, które:
- zostały zaakceptowane przez „krajowy organ ds bezpieczeństwa”, oraz
- są zgodne z publicznie dostępnymi normami.
Z tego i wcześniejszych przepisów wynika dość przerażający obraz: nie ma miejsca na nowe, dotąd nieznane ryzyka (zagrożenia) oraz na nowe, innowacyjne narzędzia ich analizy. Przecież to jest utrwalanie status quo i odarcie ERM z tego co tam najcenniejsze: potencjału reagowania na zmienne otoczenie i na innowację; kolejowi menedżerowi ryzyka są skazani na archaizmy.
Z kolei dobrze uporządkowano obszar administrowania procesem zarządzania ryzykiem: dokument stawia przed instytucją kolejową będącą podmiotem regulacji wymóg:
- prowadzenia rejestru ryzyk
- koordynowania działań korygujących ryzyko pomiędzy zaangażowanymi podmiotami (mowa o tzw interfejsach).
Rejestry zagrożeń powinny uwzględniać:
- ich źródło oraz ich dynamikę (rejestrować zmiany)
- właściciela ryzyka (tzw. „podmiot odpowiedzialny”)
- uzasadnienie, dlaczego ryzyko zostało zaakceptowane
- informacje na temat środków zaradczych oraz wyników monitorowania ryzyk.
Ściśle określono sposób decydowania, czy dane ryzyko mieści się jeszcze w granicach tolerancji – mowa tu o trzech „zasadach akceptacji ryzyka”. Ryzyko jest akceptowalne, m.in. jeśli:
- stosuje się tzw kodeksy postępowania (po naszemu – procedury służące monitorowaniu ryzyk), lub
- istnieją podobne systemy (infrastruktury, organizacje) i mają się dobrze.
Niestety, muszę po raz kolejny skrytykować: monitorowanie ryzyk nie wystarczy, żeby zapewnić, iż te ryzyka się nie zrealizują; potrzeba proaktywnego oddziaływania na ryzyko, żeby nad nim zapanować – to elementarz ERM. Również fakt, że podobne systemy nie miały incydentów wcale nie znaczy, że są incydento-odporne i że nigdy nie zawiodą.
- Trzecia zasada akceptacji mówi, że oszacowane „jawne ryzyko” jest wystarczająco małe.
I tutaj bardzo ciekawe jest określenie „twardego” progu tolerancji na ryzyko: zdarzenie o skutku katastroficznym (ofiary w ludziach) nie może zdarzać się częściej niż 1/10(9) razy na godzinę, co przekłada się na prawdopodobieństwo 0,088 % że katastrofa wystąpi w ciągu 100 lat.
Reasumując – trochę ubogo: nie ma mowy o transferze ryzyka, jego unikaniu lub zmniejszeniu jego rozmiarów w inny sposób niż przez zastosowanie procedur obserwacji ryzyka.
Dość dziwaczne jest odwrócenie już usankcjonowanej w środowisku risk managerów logiki:
- najpierw ustal wielkość ryzyka i zdecyduj, czy jest akceptowalne
- jeśli nie jest – ustal wpływ istniejących środków kontroli na jego wielkość i zdecyduj, czy wystarczają aby ryzyko zaakceptować,
- jeśli nie – znajdź podobne organizacje biznesowe z podobnymi ryzykami i ucz się na ich doświadczeniach.
Euro-kolejarze wolą inną kolejność:
- ogarnij stosowane środki zaradcze i zdecyduj czy są wystarczające (co bez pomiaru ryzyka jest moim zdaniem niewykonalne)
- spróbuj udowodnić, że organizacja (infrastruktura) podobna do Twojej przetrwała – wtedy też przetrwasz (co bez rzetelnej znajomości własnych ryzyk i ryzyk organizacji będącej punktem odniesienia jest jeszcze trudniejsze)
- w ostateczności zmierz ryzyko i na tej podstawie zdecyduj, czy nie jest za duże.
Moim zdaniem to nielogiczna i ryzykowna logika.
Czym bliżej szczegółów, tym mniej mi się podoba. Procedury monitorowania ryzyka (dla utrudnienia zwane tutaj kodeksami postępowania) są dobre – czytaj wolno je stosować – tylko wtedy, jeśli:
- są powszechnie uznane w branży kolejowej (czyli stosowane wystarczająco długo)
- są dla wszystkich publicznie dostępne.
Czyli jeśli chciałbym postawić pierwszy w Polsce magazyn z najnowszym systemem tryskaczy p.poż ESFR to mi nie wolno, (bo skoro ich jeszcze w kraju nie ma, to nie miały jak sobie zdobyć uznania), jestem zatem skazany na gaszenie starą, poczciwą polewaczką, bo jest od stuleci uznana. Podobnie, jeśli opatentowałem i jako pierwszy w Polsce operator kolejowy chciałbym zastosować rewolucyjny i ponadprzeciętnie skuteczny system hamowania wykorzystujący np. działania pola elektromagnetycznego to mi nie wolno, bo system nie jest dostępny dla innych – nie ma jak stare, dobre klocki hamulcowe z dębowego drewna (oczywiście trochę przesadzam …).
Dość kontrowersyjna jest zasada porównywania ocenianych systemów i zagrożeń z nimi związanych do systemów podobnych, jako jeden z warunków zaakceptowania ryzyka. Nawet spełnienie wymogów takiego porównania (podobne elementy i interfejsy systemu, podobne otoczenie i warunki eksploatacji) nie gwarantuje, że w ocenianym systemie zagrożenie i ich wielkość oraz charakter będą identyczne jak w systemie, który ma być punktem odniesienia.
Ale na zakończenie akcent pozytywny: bardzo podoba mi się wymóg, aby system zarządzania ryzykiem podlegał audytom. Audytorem może być tylko podmiot gwarantujący wysokie kompetencje, niezależność i uczciwość oceny. W sposób bezpośredni mowa o niedopuszczalności nacisków na audytora (szczególnie finansowych), zakazie uzależniania jego wynagrodzenia od ilości bądź wyników audytu oraz o wymogu posiadania przez niego ubezpieczenia OC. Brawo kolejarze – uczycie się na błędach bankowców !
ryzyko jest piękne 