Biała księga ISO 31000 ZARZĄDZANIE RYZYKIEM ZASADY I WSKAZÓWKI. www.cts.com.pl



Podobne dokumenty
ISO BIAŁA KSIĘGA. When Recognition Matters

ISO Biała Księga. Systemy Zarządzania Bezpieczeństwem Informacji

Specjalistyczne szkolenia dla branży IT.

PRINCE2 Foundation - szkolenie z egzaminem certyfikacyjnym

When Recognition Matters BIAŁA KSIĘGA ISO/IEC :2011 WYMAGANIA DLA SYSTEMU ZARZĄDZANIA USŁUGAMI.

Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000

PRINCE2 Foundation & Practitioner - szkolenie z egzaminem certyfikacyjnym

Zarządzanie projektami a zarządzanie ryzykiem

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Ocena jakości działań rozwojowych i usług szkoleniowych

ISO 9001:2015 przegląd wymagań

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

PODEJŚCIE STRATEGICZNE >>

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

Bezpieczeństwo dziś i jutro Security InsideOut

Maciej Byczkowski ENSI 2017 ENSI 2017

Międzynarodowa Rada Inżynierii Wymagań. The International Requirements Engineering Board (IREB e.v.) Szkolenia IREB w CTS.

Komunikat nr 115 z dnia r.

Szkolenie pt. Wprowadzenie do nowelizacji normy ISO 9001:2015

Szkolenie Ocena ryzyka w Bezpieczeństwie Danych Osobowych ODO-03

kompetencji zawodowych Dobrze poprowadzone na bazie PMBOK Guide, 6th Edition Grzegorza Szałajko. zespół Indeed wzmocnić korzyści

Launch. przygotowanie i wprowadzanie nowych produktów na rynek

Prowadzący: Bartosz Górczyński, CTPartners S.A, itsmf Polska. Miedzeszyn, wrzesień 2010

Nie o narzędziach a o rezultatach. czyli skuteczny sposób dokonywania uzgodnień pomiędzy biznesem i IT. Władysławowo, 6 października 2011 r.

Polska. Efektywność i profesjonalizm dzięki szkoleniom GS1

M_o_R - zarządzanie ryzykiem

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Niniejsze sprawozdanie z przejrzystości spełnia wymogi Ustawy i obejmuje rok obrotowy zakończony dnia roku.

BAKER TILLY POLAND CONSULTING

PRINCE Foundation

Wprowadzenie. Przedstawiciel kierownictwa (Zgodnie z PN-EN ISO 9001:2009, pkt )

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

Zarządzanie ryzykiem teoria i praktyka. Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r.

Co się zmieni w nowej wersji normy ISO 9001

INSTRUKCJA ZARZĄDZANIA RYZYKIEM W PROJEKTACH I PROGRAMACH STRATEGICZNYCH

Pierwszy w Polsce System Zarządzania Energią (SZE) w oparciu o normę PN-EN ISO w Dzierżoniowie. Warszawa 8 maja 2013 r.

ISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania

Szkolenie Stowarzyszenia Polskie Forum ISO Zmiany w normie ISO i ich konsekwencje dla organizacji Warszawa,

MIERZENIE EFEKTYWNOŚCI DZIAŁAŃ SPOŁECZNYCH

Polityka biznesu społecznie odpowiedzialnego (CSR)

Jak budować zaplecze społeczne dla powstających Polskich Ram Kwalifikacji. Warszawa, 3 grudnia 2009 r.

Kontekst sytuacyjny: Pytanie pozostaje tylko w jakich obszarach ich rozwijać?

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

STANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013

BUDOWANIE PARTNERSTWA PONADNARODOWEGO. Wrocław, 13 maja 2010r.

Cykl szkoleń z zarządzania projektami z certyfikacją IPMA poziom D - IV

Księga Zintegrowanego Systemu Zarządzania ODPOWIEDZIALNOŚĆ KIEROWNICTWA

REGULAMIN WEWNĘTRZNEGO SYSTEMU ZAPEWNIANIA JAKOŚCI W INSTYTUCIE HISTORII I POLITOLOGII AKADEMII POMORSKIEJ W SŁUPSKU

Standard ISO 9001:2015

Szkolenie Wdrożenie Systemu Zarządzania Bezpieczeństwem Danych Osobowych ODO-02

Organizacja i funkcjonowanie Systemu Kontroli Wewnętrznej w HSBC Bank Polska S.A.

ZARZĄDZANIE STRATEGICZNE OPRACOWANIE

Akredytowane szkolenie i egzamin. Zarządzanie projektami w oparciu o metodykę PRINCE2 Fundation

Agencje zatrudnienia wiele usług w jednym miejscu

Nowa specjalność Zarządzanie badaniami i projektami Research and Projects Management

Przedszkole Nr 30 - Śródmieście

NAZWA KWALIFIKACJI MODUŁY KWALIFIKACJI. Trener Zarządzania. I. Identyfikacja i analiza potrzeb szkoleniowych (IATN) II. III. IV.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Społeczna odpowiedzialność biznesu podejście strategiczne i operacyjne. Maciej Bieńkiewicz

KLIENCI KIENCI. Wprowadzenie normy ZADOWOLE NIE WYRÓB. Pomiary analiza i doskonalenie. Odpowiedzialnoś ć kierownictwa. Zarządzanie zasobami

Zarządzanie Jakością. System jakości jako narzędzie zarządzania przedsiębiorstwem. Dr Mariusz Maciejczak

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

ZARZĄDZANIE MARKĄ. Doradztwo i outsourcing

SYSTEMOWE ZARZĄDZANIE ŚRODOWISKIEM

BEHAVIOR BASED SAFETY BBS (BEHAWIORALNE ZARZĄDZANIE BEZPIECZEŃSTWEM)

Zarządzanie projektem prawnym w praktyce

Wartość audytu wewnętrznego dla organizacji. Warszawa,

Szkolenie System Zarządzania Bezpieczeństwem Informacji (SZBI): Wymagania normy ISO 27001:2013 aspekty związane z wdrażaniem SZBI W-01

Systemy Zarządzania Bezpieczeństwem Żywności (FSMS) Zakres akredytacji

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

EFEKTYWNE ZARZĄDZANIE SOBĄ W CZASIE

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Opis przedmiotu zamówienia

SKZ System Kontroli Zarządczej

Pokłady możliwości. Strategia Społecznej Odpowiedzialności Biznesu (CSR) KGHM na lata

Transport odpadów a standardy bezpieczeństwa. System Zarządzania Bezpieczeństwem Ruchu drogowego. Joanna Bańkowska Dyrektor Zarządzający BSI

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

Wymagania dla środków zarządzania środowiskowego na przykładzie normy ISO 14001:2015. Identyfikacja aspektów środowiskowych.

SPRAWNOŚĆ W ZARZĄDZANIU PROJEKTAMI

Zarządzanie projektem prawnym w praktyce

Promotor: dr inż. Krzysztof Różanowski

Polityka zarządzania zgodnością w Banku Spółdzielczym w Łaszczowie

Proces certyfikacji ISO 14001:2015

ZARZĄDZANIE JAKOŚCIĄ (2 ECTS)

Wstęp 1. Misja i cele Zespołu Szkół Integracyjnych w Siemianowicach Śląskich 2

Zarządzanie jakością. Opis kierunku. Co zyskujesz? Dla kogo? - Kierunek - studia podyplomowe

OPIS PRZEDMIOTU ZAMÓWIENIA

Human Performance Improvementjak HR może podnieść efektywność organizacyjną firmy

Kompleksowe Przygotowanie do Egzaminu CISMP

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Opis przedmiotu zamówienia

Metodyka wdrożenia. System Jakości ISO 9001

KOLEJ NA BIZNES 2017 KOLEJ NA BIZNES PRZEJŚCIE Z IRIS Rev.2.1 NA ISO/TS 22163:2017

ISO bezpieczeństwo informacji w organizacji

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Opisy szkoleń dla certyfikatów Agile Scrum.

PROGRAM WARSZTATÓW DLA MENTORÓW/ TUTORÓW

Wyróżnij się, zwiększ swój zasięg, zautomatyzuj część pracy oraz poznaj nowe, aktywne metody uczenia dorosłych.

Transkrypt:

Biała księga ISO 31000 ZARZĄDZANIE RYZYKIEM ZASADY I WSKAZÓWKI

SZANOWNI PAŃSTWO! Firma CTS Customized Training Solutions od przeszło 20 lat prowadzi wysokospecjalistyczne szkolenia dla osób w branży IT. W CTS uczymy nie tylko technicznych umiejętności przydatnych w pracy programisty, administratora czy specjalisty IT, ale także rozwijamy umiejętności analizowania, kreatywności, samodzielności, dociekliwości, zaangażowania tak bardzo cenionych w dzisiejszych czasach. Dziś branża IT to wyzwanie. W branży IT wszystko zależy od umiejętności ponieważ: rynki bardzo szybko się rozwijają trzeba umieć przewidywać funkcjonowanie konkretnego produktu coraz więcej konsumentów korzysta z elektronicznych usług i produktów innowacyjność to gwarancja sukcesu. Wybór firmy CTS na dostawcę rozwiązań szkoleniowych daje gwarancję otrzymania specjalistycznej wiedzy na najwyższym poziomie poprzez: szeroką ofertę autoryzowanych szkoleń: Microsoft, CompTIA, McAfee, Prince2, ITIL, ISO 27005, 31000, 27001, 22301 dopasowanie programu szkoleń autorskich do wymagań Klienta różne tryby nauki: stacjonarne i autorski remote training (z dowolnego miejsca na świecie i w dowolnym czasie) doświadczoną kadrę trenerską, szkolącą po polsku i angielsku, regularnie odnawiającą certyfikację elastyczne terminy i konkurencyjne ceny ciągłe kontrolowanie jakości pracy trenerów oraz środowiska szkoleniowego (prawie 100% zadowolonych lub bardzo zadowolonych kursantów). Prezes Zarządu Beata Wieczorek 2

Szkolenia z zarządzania normy ISO CTS prowadzi szkolenia akredytowane na mocy umowy certyfikacyjnej zawartej z Professional Evaluation And Certification Board (PECB), zgodnie ze standardami instytucji regulującej wdrażanie norm ISO - The American National Standards Institute (ANSI). W akredytowanych instytucjach proces weryfikacji wiedzy zdobytej przez uczestników podczas szkolenia, jest dogłębniejszy i bardziej szczegółowy. Oznacza to, iż certyfikat zdobyty po pozytywnie zdanym egzaminie jest wartościowszy. Egzamin, najczęściej w formie pisanego eseju, sprawdzany jest przez niezależnych egzaminatorów z PECB. Natomiast w instytucjach szkoleniowych nieposiadających akredytacji egzamin sprawdza zwykle trener, który prowadził szkolenie. Dodatkowo po zdanym egzaminie, PECB weryfikuje doświadczenie zawodowe uczestnika szkolenia, które powinno zostać poparte dokumentami w formie CV, a także ustnymi rekomendacjami od współpracujących z uczestnikiem osobami. PROWADZIMY SZKOLENIA Z ZAKRESU: Risk Management ISO 27005 i ISO 31000 Information Security ISO 27001 Business Continuity ISO 22301 3

SPIS TREŚCI 5 WPROWADZENIE 6 PRZEGLĄD ISO 31000:2009 7 STRUKTURA ISO 31000:2009 7 KLUCZOWE CZĘŚCI ISO 31000:2009 10 ZWIĄZEK POMIĘDZY ISO 31000 I INNYMI STANDARDAMI 10 ZWIĄZEK Z ISO 27005 10 ZARZĄDZANIE RYZYKIEM KORZYŚCI DLA BIZNESU 10 IMPLEMENTACJA PROCESU ZARZĄDZANIA RYZYKIEM ZA POMOCĄ RAM ZARZĄDZANIA RYZYKIEM ORGANIZACJI PECB 11 TRENING ORAZ CERTYFIKACJA GŁÓWNI AUTORZY Eric LACHAPELLE, PECB Besnik HUNDOZI, PECB Prawo do tłumaczenia firma CTS Customized Training Solutions

Wprowadzenie ISO 31000 jest międzynarodowym standardem wprowadzonym w 2009 r. przez ISO (Międzynarodowa Organizacja Normalizacyjna), którego celem jest stworzenie przewodnika dla projektowania, wdrażania i utrzymania procesu zarządzania ryzykiem. Organizacje każdego typu i rozmiaru stykają się z wewnętrznymi i zewnętrznymi czynnikami i wpływami, które powodują poczucie niepewność odnośnie tego, czy uda im się osiągnąć swoje cele. Efekt niepewności w stosunku do celów organizacji to właśnie ryzyko. Ryzyko zawarte jest w każdej sferze aktywności danej organizacji. ISO 31000:2009 opisuje systematyczny oraz logiczny proces, podczas którego organizacje zarządzają ryzykiem poprzez jego określenie, analizę oraz ocenę. Umożliwia to podjęcie decyzji odnośnie tego, czy dane ryzyko powinno być zmodyfikowane dzięki zastosowaniu odpowiedniego sposobu postępowania z ryzykiem poprzez określenie, czy dany rodzaj ryzyka wykracza poza przyjęte normy ryzyka. Zarządzanie ryzykiem może być zastosowane na całej przestrzeni funkcjonowania organizacji, na jej wielu obszarach i poziomach, w dowolnym czasie oraz w stosunku do określonych funkcji, projektów oraz czynności. RYZYKO EFEKT NIEPEWNOŚCI W STOSUNKU DO CELÓW 1. Pozytywne spojrzenie Potencjalna korzyść 2. Neutralne spojrzenie Prawdopodobieństwo zdarzeń RYZYKO 3. Negatywne spojrzenie Zdarzenie szkodliwe 5

PRZEGLĄD ISO 31000:2009 ISO 31000 zapewnia zasady oraz generyczne wytyczne w celu zapewnienia pomocy danej organizacji w tworzeniu, wdrażaniu, zarządzaniu, utrzymaniu oraz ciągłemu polepszaniu ram zarządzania ryzykiem. Ramy te nie są ściśle związane z żadną branżą czy sektorem, więc mogą być używane przez wszelkie przedsiębiorstwa publiczne, prywatne czy społeczne, stowarzyszenia, grupy oraz osoby fizyczne. Standard może być stosowany w trakcie całego cyklu rozwoju organizacji oraz w stosunku do szerokiego zakresu czynności, również w odniesieniu do strategii i decyzji, operacji, procesów, funkcji, projektów, produktów, usług czy różnego rodzaju aktywów. Standard ten nie ma na celu promowania jednolitości zarządzania ryzykiem w organizacjach. Projekt oraz implementacja planów oraz ram zarządzania ryzykiem będą musiały uwzględnić różne potrzeby określonych organizacji, ich szczególnych celów, kontekstu, operacji, procesów, funkcji, projektów, produktów, usług oraz aktywów i konkretnych wdrożonych praktyk. CZYM JEST ZARZĄDZANIE RYZYKIEM? Zarządzanie ryzykiem zostało zdefiniowane jako zbiór skoordynowanych czynności w celu odpowiedniego ukierunkowania organizacji oraz prowadzenia czynności kontrolnych w organizacji pod kątem ryzyka. 6

STRUKTURA ISO 31000 Poniższy obrazek pokazuje związki pomiędzy zasadami zarządzania ryzykiem, ramami oraz procesem. Ocenianie ryzyka a) Tworzy i chroni wartość b) Jest Integralną częścią procesów organizacyjnych c) Stanowi część podejmowanych decyzji d) Wyraźnie odnosi się do kwestii niepewności e) Systematyzuje, strukturyzuje oraz spełnia ramy czasowe f) Opiera się na najlepszej możliwej informacji g) Jest odpowiednio dostosowany h) Uwzględnia czynnik ludzki i kulturowy i) Jest transparentny i kompletny j) Jest dynamiczny, powtarzalny oraz modyfikowalny k) Przyspiesza systematyczny rozwój oraz wzmacnianie organizacji Usankcjonowanie i realizacja (4,2) Ustalenie kontekstu (5, 3) Systematyczne ulepszanie ram (4,6) Projekt ram zarządzania ryzykiem (4,3) Monitorowanie i przeglądanie ram (4,5) Wdrażanie procesu zarządzania ryzykiem (4,4) Komunikacja oraz prowadzenie konsultacji (52) Identyfikacja ryzyka (5, 4, 2) Analiza ryzyka (5, 4, 3) Ewaluacja ryzyka (5, 4, 4) Postępowanie z ryzykiem (5, 5) Monitorowanie oraz prowadzenie przeglądu (5, 6) Zasady (część 3) Ramy (część 4) Proces (część 5) Kluczowe elementy ISO 31000:2009 Standard ISO 31000 składa się z następujących części: Część 3: Zasady Część 4: Ramy Część 5: Proces Podział każdej czynności kluczowej znajduje się poniżej. 7

CZEŚĆ 3: ZASADY ZARZĄDZANIA RYZYKIEM W celu uzyskania skutecznego procesu zarządzania ryzykiem organizacja musi spełniać 11 wymogów. 1. Proces zarządzania ryzykiem tworzy i chroni wartość; 2. Proces zarządzania ryzykiem jest integralną częścią wszystkich procesów organizacyjnych; 3. Proces zarządzania ryzykiem jest częścią procesu podejmowania decyzji; 4. Proces zarządzania ryzykiem wyraźnie odnosi się do kwestii braku pewności; 5. Proces zarządzania ryzykiem jest procesem systematycznym, ustrukturyzowanym i realizującym ramy czasowe 6. Proces zarządzania ryzykiem oparty jest na możliwie najlepszej informacji; 7. Proces zarządzania ryzykiem jest dostosowany do konkretnych potrzeb; 8. Proces zarządzania ryzykiem uwzględnia czynnik ludzi i kulturowy; 9. Proces zarządzania ryzykiem jest transparentny i kompletny 10. Proces zarządzania ryzykiem jest dynamiczny, powtarzalny oraz modyfikowalny 11. Proces zarządzania ryzykiem przyspiesza systematyczny rozwój oraz ulepszanie organizacji CZĘŚĆ 4: RAMY Standard ISO 31000 stanowi, iż sukces zarządzania ryzykiem będzie zależał od efektywności ram zarządzania, które zapewnią podstawy oraz konkretne działania, co spowoduje wdrożenie tego standardu na wszystkich poziomach organizacji. Ramy te: pomagają w zarządzaniu ryzykiem w sposób efektywny poprzez wdrażanie procesu zarządzania ryzykiem; gwarantują, że informacje na temat ryzyka pozyskane z procesu zarządzania ryzykiem są adekwatnie raportowane; gwarantują, że te informacje są używane jako podstawa do podejmowania decyzji oraz ustalania odpowiedzialności na wszystkich poziomach hierarchii w organizacji. Ta część opisuje niezbędne elementy ram zarządzania ryzykiem oraz sposobu, w jaki te elementy wzajemnie na siebie w trybie cyklicznym. Usankcjonowanie i realizacja: Zarządzanie potrzebami organizacji wymaga wykazania silnego i trwałego podejścia do kwestii zarządzania ryzykiem przez określenia polityki zarządzania ryzykiem, celów, zapewnienia zgodności z obowiązującymi przepisami prawa i regulacjami, zapewnienia niezbędnych zasobów dla procesu zarządzania ryzykiem, komunikowania korzyści wynikających z procesu zarządzania ryzykiem dla wszystkich udziałowców/akcjonariuszy. Projekt ram zarządzania ryzykiem: Przed wdrożeniem organizacja musi przygotować projekt ramy zarządzania ryzykiem. W jego skład wchodzą następujące elementy: Zrozumienie organizacji oraz kontekstu, w jakim dana organizacja funkcjonuje Stworzenie polityki zarządzania ryzykiem Ustanowienie struktur odpowiedzialności, hierarchii kierowniczej oraz zakresu posiadania wymaganych kompetencji do zarządzania ryzykiem Wdrażanie procesów zarządzania ryzykiem do procesów organizacyjnych Alokocia odpowiednich zasobów Ustanowienie wewnętrznych i zewnętrznych ścieżek komunikacyjnych oraz mechanizmów raportowania Wdrażanie procesu zarządzania ryzykiem: Organizacja musi wdrożyć ramy zarządzania ryzykiem w celu zapewnienia, że zarządzanie ryzykiem oraz proces zarządzania ryzykiem są odpowiednio realizowane. 8

Monitorowanie oraz prowadzenie przeglądu ram: W celu zapewnienia efektywności procesu zarządzania ryzykiem organizacja powinna mierzyć efekty procesu zarządzania ryzykiem oraz osiągnięty postęp, nadzorować, czy ramy zarządzania ryzykiem, polityka i plan są w dalszym ciągu adekwatne oraz prowadzić przegląd efektywności ram zarządzania ryzykiem. Systematyczne ulepszanie ram: Decyzje odnośnie tego, jak mogą być ulepszane ramy zarządzania ryzykiem, polityka oraz plan, powinny być podejmowane w oparciu o rezultaty monitorowania oraz w oparciu o rezultaty prowadzonego przeglądu. CZĘŚĆ 5: PROCES Zgodnie z ISO 31000 sukces zarządzania ryzykiem będzie zależał od efektywności zarządzania. Proces zarządzania ryzykiem powinien być: integralną częścią zarządzania; dostosowany do danej kultury i stosowanych tam praktyk; dostosowany do procesów biznesowych tej organizacji. Proces zarządzania ryzykiem zawiera następujące czynności: Komunikacja i prowadzenie konsultacji: Poprzez określenie kontekstu organizacja jasno definiuje swoje cele, określa zewnętrzne i wewnętrzne parametry, które powinny być wzięte pod uwagę w przypadku zarządzania ryzykiem oraz określa zakres oraz kryteria ryzyka dla pozostałej części procesu. Określenie kontekstu: Poprzez określenie kontekstu organizacja jasno definiuje swoje cele, określa zewnętrzne i wewnętrzne parametry, które powinny być wzięte pod uwagę w przypadku zarządzania ryzykiem oraz określa zakres oraz kryteria ryzyka dla pozostałej części procesu. Ocenianie ryzyka: Ocenianie ryzyka jest procesem, za pomocą którego organizacja systematycznie precyzuje, analizuje oraz ewaluuje ryzyko. Określenie ryzyka: Na tym etapie organizacja określa źródła ryzyka, obszary wpływu, zdarzenia i ich powody oraz ich potencjalne konsekwencje. Analiza ryzyka: Po określeniu organizacja przystępuje do stworzenia oraz zrozumienia określonego ryzyka, analizuje przyczyny i powody danego typu ryzyka, jego pozytywne i negatywne konsekwencje oraz prawdopodobieństwo, że te konsekwencje mogą mieć konkretny efekt. Wynik przeprowadzonej analizy ryzyka stanowi podstawę ewaluacji ryzyka oraz podstawę do podjęcia decyzji, odnośnie tego, czy danym ryzykiem należy się zająć, a jeżeli tak, to jakie są najbardziej odpowiednie strategie i metody w postępowaniu z tym ryzykiem. Ewaluacja ryzyka: Celem tego kroku jest uzyskanie pomocnej informacji w kwestii podejmowania decyzji odnośnie tego, które ryzyko wymaga tego, aby się nim zająć się wraz z prowadzeniem odpowiedniej selekcji priorytetów. Postępowanie z ryzykiem: Możliwe opcje powinny zostać wybrane w oparciu o rezultat oceny ryzyka, oczekiwanego kosztu wdrożenia konkretnych opcji oraz oczekiwanych korzyści wynikających z wdrożenia tych opcji. Monitorowanie oraz prowadzenie przeglądu: Monitorowanie i prowadzenie przeglądu może odbywać się okresowo i powinno stanowić zaplanowaną część procesu zarządzania ryzykiem. Prowadzenie rejestru procesu zarządzania ryzykiem: Czynności związane z zarządzaniem ryzykiem powinny umożliwiać ich łatwe mierzenie oraz sprawdzanie. W procesie zarządzania ryzykiem prowadzenie rejestru stanowi podstawę do ulepszania zarówno metod i konkretnych narzędzia oraz całościowego procesu. 9

ZWIĄZEK POMIĘDZY ISO 31000 I INNYMI STANDARDAMI Standard ISO 31000 związany jest z innymi standardami zarządzania ryzykiem, np. ISO Guide 73:2009 Risk management vocabulary oraz ISO/IEC 31010 :2009 Risk management Risk assessment techniques. Standard ISO/IEC 31010 jest standardem wspierającym ISO 31000 i zapewnia wytyczne odnośnie wyboru oraz stosowania metodycznych technik oceny ryzyka. ZWIĄZEK Z ISO 27005 Standard ISO 27005 oparty jest na ramach ISO 31000 i szczegółowo wyjaśnia, jak przeprowadzać ocenę ryzyka oraz jak należy reagować na ryzyko w kontekście bezpieczeństwa informacji. ZARZĄDZANIE RYZYKIEM KORZYŚCI BIZNESOWE Każde większe przedsięwzięcie w jakiejkolwiek organizacji musi uprzednio uzyskać aprobatę oraz wsparcie finansowe szczebla kierowniczego. Najlepszym możliwym sposobem na osiągnięcie tego celu jest zilustrowanie korzyści posiadania efektywnych i działających ram zarządzania ryzykiem niż podkreślanie negatywnych aspektów nieposiadania procesu zarządzania ryzykiem w ogóle. Zarządzanie ryzykiem umożliwia organizacji zagwarantowanie, że zna i rozumie ryzyko z odpowiednich zakresów. Wdrożenie sprawnego procesu zarządzania ryzykiem w organizacji przyniesie korzyści w wielu dziedzinach, np.: zwiększy prawdopodobieństwo osiągnięcia celów będzie promować zarządzanie proaktywne promuje świadomą potrzebę określenia oraz odpowiedniego reagowania na ryzyko na przestrzeni całej organizacji usprawni proces określania możliwości i zagrożeń zapewni zgodność z określonymi przepisami prawa, regulacjami i normami międzynarodowymi usprawni obowiązkowe i dobrowolne procesy sprawozdawcze usprawni zarządzanie zwiększy zaufanie oraz zadowolenie akcjonariuszy stworzy odpowiednie podstawy dla podejmowania decyzji oraz planowania ulepszy i usprawni procesy kontrolne zapewni efektywną alokację zasobów oraz wykorzystywanie zasobów w odniesieniu do danego typu ryzyka IMPLEMENTACJA PROCESU ZARZĄDZANIA RYZYKIEM ZA POMOCĄ RAM ZARZĄDZANIA RYZYKIEM ORGANIZACJI PECB Podjęcie decyzji o wdrożeniu ram zarządzania ryzykiem opartych na ISO 31000 jest decyzją, którą podejmuje się bardzo łatwo, gdyż korzyści z tego płynące są bardzo dobrze udokumentowane. Poprzez stosowanie ustrukturyzowanej i efektywnej metodologii organizacja ma pewność, że realizuje wszystkie absolutnie niezbędne praktyki wymagane do wdrożenia systemu zarządzania ryzykiem. Nie istnieje jeden prosty schemat wdrożenia standardu ISO 31000, który będzie skuteczny w przypadku każdej firmy, ale istnieje kilka uniwersalnych kroków, które umożliwią Państwu pogodzenie ze sobą wiele często sprzecznych ze sobą wymogów oraz pomogą przejść pozytywnie przez proces certyfikacyjny. Organizacja PECB stworzyła ramy zarządzania ryzykiem. Ich oficjalna nazwa to Ramy Zarządzania Ryzykiem organizacji PECB, które oparte są na najlepszych i stosowanych praktykach. 10

Ocenianie ryzyka 3. Identyfikacja ryzyka 4. Analiza ryzyka 5. Ewaluacja ryzyka 6. Postępowanie z ryzykiem 1. Ramy Zarządzania ryzykiem 2. Określenie kontekstu 3.1. Określenie źródeł ryzyka, zdarzeń oraz konsekwencji 4.1. Oszacowanie konsekwencji 4.2. Oszacowanie prawdopodobieństwa zdarzenia 4.3. Poziom oszacowania ryzyka 5.1 Ewaluacja poziomów ryzyka w oparciu o kryteria ewaluacji ryzyka 6.1. Możliwości postępowanie z ryzykiem 6.2. Plan postępowania z ryzykiem 6.3 Ewaluacja ryzyka rezydualnego 7. Komunikowanie ryzyka oraz prowadzenie konsultacji 8. Monitorowanie ryzyka oraz prowadzenie przeglądu TRENING ORAZ CERTYFIKACJA Organizacja PECB stworzyła rekomendowany projekt szkoleniowej mapy drogowej oraz szereg systemów certyfikacyjnych dla osób sprawujących stanowiska kierownicze w organizacji, które chcą wykazać zgodność z ISO 31000. Mimo że celem standardu ISO 31000 nie jest wykorzystywanie go do certyfikowania organizacji, wiele z nich stosuje go, gdyż stanowi to dowód na to, że dane organizacje wypracowały standaryzowane procesy oparte na najlepszych praktykach. Certyfikowanie pracowników stanowi dowód posiadania przez nich kompetencji zawodowych oraz doświadczenia dzięki temu, że wcześniej uczestniczyły w przedmiotowych kursach oraz egzaminach. Również służy to do zademonstrowania, że certyfikowany specjalista posiada zdefiniowane kompetencje w oparciu o najlepsze praktyki. Umożliwia to organizacjom przeprowadzenie świadomej selekcji pracowników bądź zakupu usług w oparciu o kompetencje wykazane w określonym kierunku certyfikacyjnym. Ponadto stanowi to zachętę dla danego specjalisty do ciągłego rozwoju swoich umiejętności oraz wiedzy, gdyż pełni rolę narzędzia dla pracodawców chcących zagwarantować sobie, że szkolenie i pozyskane wiadomości były skuteczne. Kursy szkoleniowe organizacji PECB są oferowane na całym świecie przez sieć autoryzowane jednostki szkoleniowe i są dostępne w kilku językach. Tabela poniżej stanowi krótki opis oficjalnych kursów szkoleniowych organizacji PECB dotyczących zarządzania ryzykiem w oparciu o ISO 31000. 11

Nazwa szkolenia Krótki opis Kto powinien uczestniczyć? Wprowadzenie do ISO 31000 Szkolenie jednodniowe Wprowadzenie do pojęć związanych z zarządzeniem ryzykiem Nie kończy się uzyskaniem certyfikatu Pracownicy chcący zrozumieć ISO 31000 oraz pozyskać większą wiedzę na temat procesów dot. zarządzania ryzykiem zgodnie z międzynarodowym standardem Pracownicy zaangażowani w jakikolwiek etap programu zarządzania ryzykiem Manager ds. ryzyka ISO 31000 Szkolenie trzydniowe Zarządzanie implementacją oraz ramami zarządzania ryzykiem Dwugodzinny egzamin Menedżerzy ds. ryzyka Dyrektorzy procesów Dyrektorzy finansowi Menedżerzy ds. ryzyka biznesowego Dyrektorzy działu Compliance Menedżerzy projektów WYBÓR ODPOWIEDNIEJ CERTYFIKACJI: Certyfikat ISO 31000 jest certyfikatem zawodowym dla specjalistów chcących wykazać swoje kompetencje do wdrażania, utrzymania oraz zarządzania programem zarządzania ryzykiem zgodnie z ISO 31000. Certyfikat Egzamin Doświadczenie zawodowe Doświadczenie w zarządzaniu ryzykiem Provisional Risk Manager Egzamin na certyfikat Risk Manager ISO 31000 brak brak Risk Manager Egzamin na certyfikat Risk Manager ISO 31000 Dwa lata Rok doświadczenia zawodowego w zarządzaniu ryzykiem Zajęcia z zarządzania ryzykiem; łącznie 200 godzin 12

Masz pytania? Skontakuj się z nami! CTS Customized Training Solutions Sp z o.o. ul. Filipinki 20 02-207 Warszawa tel./fax: +48 12 655 17 36

PECB Centrum Ewaluacji Zawodowej oraz Certyfikacji 6683 Jean Talon Est, Suite 336 Montreal, QC H1S 0A5 CANADA Tel: 1-438-288-0477 Fax: 1-888-603-9595 customer@pecb.org www.pecb.org

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres