3. Normy z zakresu zarządzania ryzykiem
3.2. Norma PKN-ISO Guide 73 Zarządzanie ryzykiem – Terminologia
Norma PKN-ISO Guide 73 Zarządzanie ryzykiem – Terminologia (Risk management – Vocabulary – Guidelines for use in standards) stanowi przewodnik, który obejmuje podstawowe słownictwo niezbędne do ujednolicenia postrzegania zagadnień zwią-zanych z zarządzaniem ryzykiem wśród organizacji i funkcji, biorąc pod uwagę ich różne zastosowania i rodzaje. Zaleca się więc, aby w rozpatrywanym obszarze, w pierwszej kolejności stosować definicje ujęte w przywołanej normie. Niemniej jednak, w uzasadnionych przypadkach dopuszcza się możliwość uzupełnienia ter-minologii przyjętej w niniejszym przewodniku.
Celem normy PKN-ISO Guide 73 jest zachęcenie do wzajemnego zrozumie-nia, przyjęcia zintegrowanego podejścia do opisania działań związanych z zarzą-dzaniem ryzykiem, jak również do użycia jednolitej terminologii odnoszącej się do procesu zarządzania ryzykiem oraz struktury ramowej zarządzania ryzykiem.
Wskazuje się, iż niniejszy przewodnik przeznaczony jest do stosowania przez:
• osoby zaangażowane w zarządzanie ryzykiem,
• osoby zaangażowane w działalność ISO, IEC oraz
• osoby opracowujące krajowe lub sektorowe normy, przewodniki, procedury i kodeksy postępowania związane z zarządzaniem ryzykiem.
Norma PKN-ISO Guide 73 ma charakter ogólny i dotyczy ogólnie pojętej dzie-dziny zarządzania ryzykiem. Przewodnik obejmuje definicje:
• podstawowych pojęć dotyczących zarządzania ryzykiem, w tym: ryzyko, zarzą-dzanie ryzykiem, proces zarządzania ryzykiem, struktura ramowa zarządzania ryzykiem, polityka zarządzania ryzykiem, plan zarządzania ryzykiem,
• pojęć właściwych dla nazw poszczególnych etapów składających się na pro-ces zarządzania ryzykiem oraz terminów towarzyszących tym etapom, w tym:
ustalenie kontekstu, ocena ryzyka, identyfikacja ryzyka, analiza ryzyka, ewa-luacja ryzyka, postępowanie z ryzykiem, komunikacja i konsultacje, monitoro-wanie,
• pojęć specyficznych dla etapu ustalenia kontekstu, w tym: kontekst zewnętrzny, kontekst wewnętrzny, kryteria ryzyka,
• pojęć specyficznych dla etapu identyfikacji ryzyka, w tym: opis ryzyka, źródło ryzyka, zdarzenie, zagrożenie, właściciel ryzyka,
• pojęć specyficznych dla etapu analizy ryzyka, w tym: prawdopodobieństwo, ekspozycja, następstwo, częstość, podatność, macierz ryzyka, poziom ryzyka,
• pojęć specyficznych dla etapu ewaluacji ryzyka, w tym: nastawienie do ryzyka, apetyt na ryzyko, tolerancja ryzyka, awersja do ryzyka, agregacja ryzyka, akcep-tacja ryzyka,
• pojęć specyficznych dla etapu postępowania z ryzykiem, w tym: środek kontroli, unikanie ryzyka, dzielenie ryzyka, finansowanie ryzyka, retencja ryzyka, ryzyko rezydualne, elastyczność,
• pojęć specyficznych dla komunikacji i konsultacji, w tym: interesariusz, postrze-ganie ryzyka,
• pojęć specyficznych dla monitorowania, w tym: przegląd, raportowanie ryzyka, rejestr ryzyka, profil ryzyka, audyt zarządzania ryzykiem.
Poniżej zamieszczono definicje wybranych pojęć zaczerpniętych z normy PKN-ISO Guide 73, zdaniem autorów niezbędnych do właściwego zrozumienia procesu zarządzania ryzykiem i do posługiwania się właściwą terminologią przy przeprowadzaniu analizy ryzyka na potrzeby planowania kryzysowego w obsza-rze zarządzania kryzysowego1:
Ryzyko – wpływ niepewności na cele.
Ryzyko rezydualne – ryzyko pozostające po zastosowaniu działań określonych w postępowaniu z ryzykiem, może zawierać ryzyka niezidentyfikowane; jest również nazy-wane ryzykiem podlegającym retencji.
1 Norma PKN-ISO Guide 73 Zarządzanie ryzykiem – Terminologia.
Retencja ryzyka – akceptacja potencjalnej korzyści z zysku, lub ciężaru straty, wynikają-cych z konkretnego ryzyka.
Zarządzanie ryzykiem – skoordynowane działania dotyczące kierowania i nadzorowania organizacją w odniesieniu do ryzyka.
Proces zarządzania ryzykiem – systematyczne stosowanie polityk, procedur i praktyk za-rządzania do działań w zakresie komunikacji, konsultacji, ustalenia kontekstu, oraz identyfiko-wania, analizoidentyfiko-wania, ewaluacji, postępowania z ryzykiem, monitorowania i przeglądu ryzyka.
Ocena ryzyka – całościowy proces identyfikacji ryzyka, analizy ryzyka oraz ewaluacji ry-zyka.
Identyfikacja ryzyka – proces wyszukiwania, rozpoznawania i opisywania ryzyka.
Polityka zarządzania ryzykiem – deklaracja dotycząca ogółu zamierzeń i ukierunkowa-nia organizacji odnoszących się do zarządzaukierunkowa-nia ryzykiem.
Plan zarządzania ryzykiem – plan zawarty w strukturze ramowej zarządzania ryzykiem określający podejście, elementy zarządzania i zasoby, które będą zastosowane w zarządzaniu ryzykiem.
Zagrożenie – źródło potencjalnej szkody.
Właściciel ryzyka – osoba lub jednostka rozliczana z zarządzania ryzykiem i uprawniona do tego zarządzania.
Analiza ryzyka – proces dążący do poznania charakteru ryzyka oraz określenia poziomu ryzyka.
Prawdopodobieństwo – możliwość, szansa wystąpienia zdarzenia.
Podatność – wewnętrzne właściwości skutkujące narażeniem na źródło ryzyka, które może prowadzić do zdarzenia z jego następstwami.
Macierz ryzyka – narzędzie służące uszeregowaniu i przedstawieniu ryzyk poprzez okre-ślenie zakresów dla następstwa oraz ich prawdopodobieństwa.
Poziom ryzyka – wielkość ryzyka lub kombinacji ryzyk, wyrażona w postaci kombinacji następstw oraz ich prawdopodobieństwa.
Ewaluacja ryzyka – proces porównywania wyników analizy ryzyka z kryteriami ryzyka w celu stwierdzenia, czy ryzyko i/lub jego wielkość są akceptowalne lub tolerowane.
Postępowanie z ryzykiem – proces modyfikacji ryzyka poprzez: unikanie ryzyka w wyni-ku decyzji o nierozpoczynaniu lub niekontynuowaniu działań powodujących ryzyko; pod-jęcie lub zwiększenie ryzyka w celu wykorzystania szansy; usunięcie źródła ryzyka; zmianę prawdopodobieństwa; zmianę następstw; dzielenie ryzyka wraz z inną stroną lub stronami oraz retencję ryzyka na podstawie świadomej decyzji.
Agregacja ryzyka – kombinacja kilku ryzyk w jedno ryzyko w celu uzyskania szerszego spojrzenia na całość ryzyka.
Akceptacja ryzyka – świadoma decyzja o podjęciu danego ryzyka.
Unikanie ryzyka – świadoma decyzja o nieangażowaniu się lub odejściu od ryzyka, działa-nie w celu eliminacji narażenia na konkretne ryzyko.
Struktura ramowa zarządzania ryzykiem – zestaw elementów zapewniających podstawy i ustalenia organizacyjne w zakresie projektowania, wdrażania, monitorowania, dokonywa-nia przeglądów i ciągłego doskonaledokonywa-nia zarządzadokonywa-nia ryzykiem w całej organizacji.
Ustalenie kontekstu – definiowanie zewnętrznych i wewnętrznych parametrów, które powinny być uwzględniane podczas zarządzania ryzykiem, jak również podczas okre-ślania zakresu i kryteriów ryzyka dla polityki zarządzania ryzykiem.
Kontekst zewnętrzny – środowisko zewnętrzne, w którym organizacja dąży do osiągnięcia swoich celów.
Kontekst wewnętrzny – środowisko wewnętrzne, w którym organizacja dąży do osiągnię-cia swoich celów.
Norma ISO Guide 73 ma kluczowe znaczenie dla zarządzania ryzykiem, w tym oceny ryzyka jako istotnego elementu tego procesu. Niniejszy przewodnik pozwa-la bowiem na ujednolicenie słownictwa z zakresu zarządzania ryzykiem, dając tym samym wszystkim potencjalnym interesariuszom, możliwość mówienia wspólnym językiem.