Zarządzanie ryzykiem w systemie zarządzania bezpieczeństwem organizacji

ISSN: 1896-382X | www.wnus.edu.pl/pl/epu/ DOI: 10.18276/epu.2016.123-30 | strony: 321-336

JERZY STANIK, ROMUAL'+2))0$11-$526à$: NAPIÓRKOWSKI Wojskowa Akademia Techniczna1

=$5=ą'=$1,(5<=<.,(0

:6<67(0,(=$5=ą'=$1,$%(=3,(&=(Ĕ67:(02RGANIZACJI

Streszczenie

W artykule autorzy podejmują SUREOHPDW\NĊ DQDOL]\ U\]\ND L ]DU]ąG]DQLD U\]y-NLHPZRJyOQLHUR]XPLDQHMRUJDQL]DFMLRUD]ZSá\ZXQDMHMEH]SLHF]HĔVWZR3RGNUHĞODMą ZDJĊ i znaczenie SURZDG]HQLDFLąJáHMDQDOL]\istotnych czynników ryzyka, ich identyfi-NDFMLRUD]VSRVREXSRVWĊSRZDQLD]QLPL $UW\NXá]DZLHUDWDNĪHSU]HJOąG procesu zarzą dzania ryzykiem ] XZ]JOĊGQLHQLHP W]Z ÄGREU\FK SUDNW\N´ PDMąF\FK Z QLP ]DVWRVo-wanie. Podsumowanie przedstawia pozytywne konsekwencje prowadzenia procesu ]DU]ąG]DQLDU\]\NLHPSU]H]RUJDQL]DFMH DWDNĪHSUREOHP\]ZLą]DQH]MHJRSUDNW\F]Qą UHDOL]DFMą

6áRZDNOXF]RZHDQDOL]DU\]\ND]DU]ąG]DQLHU\]\NLHPPRGHOH ]DU]ąG]DQLDU\]\NLHP,

]DU]ąG]DQLHU\]\NLHPZEH]SLHF]HĔVWZLHRUJDQL]DFML

Wprowadzenie

:UD] ] QDVLODQLHP VLĊ ]PLDQ Z\VWĊSXMąF\FK Z RWRF]HQLX ]DU]ąG\ SU]HdsiĊ ELRUVWZLILUPZ\UDĨQLHMGRVWU]HJDMąUyĪQHJRURG]DMXU\]\ND]ZLą]DQH]SURZDG]o-Qą G]LDáDOQRĞFLą JRVSRGDUF]ą RUD] SRĞZLĊFDMą ZLĊFHM XZDJL WHPDW\FH ]DU]ąG]DQLD U\]\NLHP.ZHVWLH]DU]ąG]DQLDU\]\NLHPVWDMąVLĊLVWRWQąF]ĊĞFLą]DU]ąG]DQLDVWUa-tegicznego pr]HGVLĊELRUVWZHPLZ ZLHOXZ\SDGNDFKVąNOXF]RZHGOD]UDFMRQDOL]o-ZDQLDG]LDáDOQRĞFLRUJDQL]DFMLRUD]FLąJáRĞFLMHJRG]LDáDQLD

&]ĊVW\PEáĊGHPZSURFHVLH]DU]ąG]DQLDRUJDQL]DFMąMHVWRGVHSDURZDQLHV\s-temu/procesu ]DU]ąG]DQLDU\]\NLHPLWUDNWRZDQLDJRMDNRGUĊEQHMZ\VS\3U]HFLHĪ

Z QDV]\FK RUJDQL]DFMDFK IXQNFMRQXMą MXĪ V\VWHP\ ]DU]ąG]DQLD SURFHVDPL ]DU]ą G]DQLD MDNRĞFLą ]DU]ąG]DQLa projektami, ]DU]ąG]DQLa celami, kontrola i audyt we-ZQĊWU]Q\NWyUH]MHGQHMVWURQ\VąGRVNRQDá\PĨUyGáHPGDQ\FKGRDQDOL]\U\]\ND D]GUXJLHMVWURQ\DQDOL]DU\]\NDGRVWDUF]DQDPZLHG]\QDWHPDW]DJURĪHĔSRGDt-QRĞFLLSRWHQFMDáyZGODW\FKREV]DUyZ

:LHOHG\VNXV\MQ\FKQLHSRUR]XPLHĔZRFHQLHEH]SLHF]HĔVWZa organizacji jest F]ĊVWRVNXWNLHPEUDNXĞZLDGRPRĞFLLQLHZáDĞFLZHJRWRNXUR]XPRZDQLD:IHUZo-U]H SURZDG]RQ\FK VSRUyZ L XGRZDGQLDQLD VZRLFK UDFML UR]PyZF\ ]DSRPLQDMą R W\P ĪH EH]SLHF]HĔVWZR QLH MHVW VWDQHP DOH FLąJOH ]PLHQLDMąF\P VLĊ SURFHVHP którego wHZQĊWU]QH L ]HZQĊWU]QH XZDUXQNRZDQLD Vą Z UyĪQ\P F]DVDPL GXĪ\P VWRSQLX ]DOHĪQH RG RUJDQL]DFML NWyUHM EH]SRĞUHGQLR GRW\F]ą 'ODWHJR LVWRWQ\P HOHPHQWHP Z SURFHVLH ]DSHZQLHQLD EH]SLHF]HĔVWZD ZHZQĊWU]QHJR F]\ WHĪ ]e-ZQĊWU]QHJR MHVW V\VWHP ]DU]ąG]DQLD EH]SLHF]HĔVWZHP LQIRUPDFML VSHáQLDMąF\ NOu-F]RZąUROĊZUR]ZLą]\ZDQLXV\WXDFMLNU\W\F]Q\FKOXENU\]\VRZ\FK

1. .RQVWUXNFMDPRGHOX6\VWHPX%H]SLHF]HĔVWZD2UJDQL]DFML

:XMĊFLXDQDOL]\V\VWHPRZHM (Sienkiewicz 2007, s. 47) EH]SLHF]HĔVWZRRUJDQL]a-FMLPRĪQDUR]SDWU\ZDüMDNRZáDVQRĞüRELHNWXFKDUDNWHU\]XMąFą MHJRRGSRUQRĞüQDSo- ZVWDQLHV\WXDFMLQLHEH]SLHF]QHMSU]\F]\PXZDJĊNRQFHQWUXMHVLĊZWHG\QD]DZRGQo-ĞFL EH]SLHF]HĔVWZD RELHNWX F]\OL MHJR SRGDWQRZVWDQLHV\WXDFMLQLHEH]SLHF]QHMSU]\F]\PXZDJĊNRQFHQWUXMHVLĊZWHG\QD]DZRGQo-ĞFL QD SRZVWDQLH V\WXDFML QLHEH]SLHFz-nych i jego funkcjonowania Z RNUHĞORQ\P F]DVLH = GUXJLHM VWURQ\ QDWRPLDVW EH]SLe-F]HĔVWZR RUJDQL]DFML QDOHĪ\ WUDNWRZDü MDNR MHM ]GROQRĞü GR RFKURQ\ ZHZQĊWU]Q\FK ZDUWRĞFL DNW\ZyZ ZUDĪOLZ\FK SU]HG ]DJURĪHQLDPL 1DVWĊSXMH ZWHG\ EH]SRĞUHGQL ]ZLą]HN]WDNLPLFHFKDPLV\VWHPRZ\PLMDNMDNRĞüQLH]DZRGQRĞüVWDELOQRĞüUyZQo-ZDJDĪ\ZRWQRĞü'ODWHJRWHĪ]DU]ąG]DQLHEH]SLHF]HĔVWZHPRUJDQL]DFMLMHVWLQWHJUDOQą F]ĊĞFLą ]DU]ąG]DQLD V\VWHPRZHJR L MHVW ]ZLą]DQH ] UDFMRQDOL]DFMą Z\ERUX ĞURGNyZ ]DSHZQLDMąF\FKEH]SLHF]QHIXQNFMRQRZDQLHRUJDQL]DFMLZ niebezpiecznym ĞURGRZLVNX TworzeQLHV\VWHPXEH]SLHF]HĔVWZDU\VXQHN) ma natomiast na celu zmniejszenie ludz-kich obaw i strachu przed tym, FRQLHVLHSU]\V]áRĞüSU]\]DáRĪHQLXĪH]DSHZQLHQLHVWu-SURFHQWRZHJRVWDQXEH]SLHF]HĔVWZDMHVWQLHPRĪOLZH&KRG]Lzatem jedynie o ogranicze-QLHDQLHFDáNRZLWąOLNZLGDFMĊ]DJURĪHĔNWyUHVąLPPDQHQWQąVWURQąOXG]NLHJRĪ\FLD

Rys. 1. àDĔFXFKV\VWHPX]DU]ąG]DQLDMDNRĞFLąQLH]DZRGQRĞFLąU\]\NLHPLEH]SLHF]HĔstwem ħUyGáR oSUDFRZDQLHZáDVQH

%H]SLHF]HĔVWZR L QLH]DZRGQRĞü to dzieG]LQD LQĪ\QLHULL ]DMPXMąFD VLĊ zapo-ELHJDQLHP ]DJURĪHQLRP SRSU]H] RGSRZLHGQLR ]DSURMHNWRZDQH ]DEH]SLHF]HQLD RĞFLĞOHRNUHĞORQ\FKIXQNFMDFK=DSURMHNWRZDQDIXQNFMDPXVLE\üSUHF\]\Mnie peá QLRQDZĞFLĞOHRNUHĞORQ\FKwarunNDFKUHDOQHJR]DJURĪHQLDLZRNUHĞORQ\PF]DVLH %H]SLHF]HĔVWZRLQLH]DZRGQRĞüNDQFHODULLVą uzyskiwane poprzez wbudowanie do HOHPHQWyZ VNáDGRZ\FK NDQFHODULL VSHFMDOL]RZDQ\FK NRQILJXUDFML EH]SLHF]HĔVWZD L QLH]DZRGQRĞFL NWyUH UHDOL]XMą IXQNFMH ]DEH]SLHF]DQLD QD SRGVWDZLH V\JQDáyZ ZHMĞFLRZ\FK– ]DJURĪHĔ3HZQRĞüLMDNRĞüUHDOL]DFMLIXQNFML]DEH]SLHF]DQLDGHWHr-PLQXMH Z\PDJDQ\ SR]LRP EH]SLHF]HĔVWZD IXQNFMRQDOQHJR RUD] SR]LRP UHGXNFML ]DJURĪHQLDVSRZRGRZDQHJRDZDULą

*UDILF]Qą LOXVWUDFMĊ organizacji z punktu wLG]HQLD VWHURZDQLD MHM ELHĪąF\PL ZáDĞFLZRĞFLDPL XĪ\WNRZ\Pi L XWU]\PDQLD ELHĪąFHJR SR]LRPX EH]SLHF]HĔVWZD przedstawiono na rysunku 2.

Rys. 2. ,OXVWUDFMDRUJDQL]DFML]SXQNWXZLG]HQLDVWHURZDQLDMHMZáDĞFLZRĞFLDPLXĪ\WNRZy-PLLSR]LRPHPEH]SLHF]HĔVWwa

ħUyGáR oSUDFRZDQLHZáDVQH

1DU\VXQNXW\PZ\UyĪQLRQRWU]\LVWRWQHHOHPHQW\

1. (OHPHQW\ VNáDGRZHorganizacji UR]XPLDQH MDNR ]HVSyáVLá L ĞURGNyZ RUD] SRZLą]DĔ SRPLĊG]\ QLPL ]DSHZQLDMąF\FK GRVWDUF]DQLH SURGXNWyZXVáXJ biznesowych wyspecyfikowanych w misji lub wizji organizacji;

2. 6\VWHP %H]SLHF]HĔVWZD2UJDQL]DFML UR]XPLDQ\ MDNR ]HVSyá VLá L ĞURGNyZ RUD]SRZLą]DĔSRPLĊG]\QLPL]DSHZQLDMąF\FKSRĪąGDQ\SR]LRPXEH]SLe-F]HĔVWZDorganizacji;

3. 6\VWHP-DNRĞFL2UJDQL]DFMLUR]XPLDQ\MDNR]HVSyáVLáLĞURGNyZRUDz po-ZLą]DĔ SRPLĊG]\ QLPL ]DSHZQLDMąF\FK Z\PDJDQąZ\VRNą Ma-NRĞüQLH]DZRGQRĞü GRVWDUF]DQ\FK SURGXNWyZXVáXJ SRSU]H] PRĪOLZRĞü VWHURZDQLDMHMZáDĞFLZRĞFLDPLXĪ\WNRZ\PL, DZV]F]HJyOQRĞFLMHMHOHPHn-WyZVNáDGRZ\FKG]LHG]LQRZ\FKRUJDQL]DFML

%H]SLHF]HĔVWZR IXQNcjonowania organizacji MHVW Z\SDGNRZą EH]SLHF]HĔVWZD IXQNFMRQRZDQLDMHMHOHPHQWyZVNáDGRZ\FKG]LHG]LQRZ\FKPLĊG]\LQQ\PLtakich jak np.:

– V\VWHP SURGXNF\MQ\Z\NRQDZF]\ NWyU\ VWDQRZLą VLá\ L ĞURGNL UHDOL]XMąFH wykonawcze procesy biznesowe;

– system ]DU]ąG]DQLD NWyU\ UHDOL]XMH SURFHV\ LQIRUPDF\MQR-decyzyjne, de-F\GXMąFH R VSRVRELH IXQNFMRQRZDQLD SRGV\VWHPX SURGXNF\MQHJR wykonawczego;

– V\VWHP\ WHFKQLF]QH ZVSRPDJDMąFH V\VWHP SURGXNF\MQ\ OXE V\VWHP zarzą dzania;

– V\VWHP\LQIRUPDW\F]QHZVSRPDJDMąFHV\VWHPSrodukcyjny lub system za-U]ąG]Dnia.

2SR]LRPLHEH]SLHF]HĔVWZDIXQNFMRQRZDQLDHOHPHQWyZVNáDGRZ\FKRUJDQL]a-FMLVWDQRZLąSR]LRP\LFKEH]SLHF]HĔVWZDG]LHG]LQRZHJR)XQNFMRQRZDQLHNDĪGHJR ]HOHPHQWyZVNáDGRZ\FKRUJDQL]DFMLPRĪHE\ü]DNáyFDQHSU]H]

– ]DJURĪHQLDnaturalne: powodzie, warunki pogodowe, huragany itp.; – DZDULHWHFKQLF]QHXU]ąG]HĔLV\VWHPyZ, np.: energetycznych,

informatycz-nych itp.; – ]DJURĪHQLDF\ZLOL]DF\MQHFKHPLF]QHUDGLDF\MQHNRPXQLNDF\MQHLWS – ]DJURĪHQLDZ\QLNDMąFH]SRáRĪHQLDLVSHF\ILNLUHJLRQDOQHMPLĊG]\LQQ\PL WDNLHMDNQSSU]HP\WXZDUXQNRZDQLDQDURGRZRĞFLRZHUHOLJLMQHLWS – deVWUXNF\MQHG]LDáDQLHF]áRZLHND 3RV]F]HJyOQHURG]DMH]DJURĪHĔPRJąZ\VWĊSRZDüMHGQRF]HĞQLHLRGG]LDá\ZDü GHVWUXNF\MQLH QD HOHPHQW\ VNáDGRZH RUJDQL]DFML3RQDGWR PRĪH Z\VWĊSRZDü HIHNW LFK V\QHUJLL NWyUD Z DQDOL]LH NRPSOHNVRZHJR EH]SLHF]HĔVWZD RUJDQL]DFML QLH So-ZLQQD E\ü SRPLMDQD %H]SLHF]HĔVWZR IXQNFMRQRZDQLD RUJDQL]DFML ]DSHZQLD VLĊ poprzez:

– permanentne zapobieganie powstawaniu poszczególnych rodzajów zagro-ĪHĔIXQNFMRQRZDQLDHOHPHQWyZVNáDGRZ\FKRUJDQL]DFMLRELHNWyZ – VWDáHSU]\JRWRZDQLHRELHNWyZLVáXĪERGSRZLHG]LDOQ\FK]DEH]SLHF]HĔVWZR

G]LHG]LQRZHRUJDQL]DFMLQDHZHQWXDOQRĞüZ\VWąSLHQLDRNUHĞORQ\FKURG]a-MyZ]DJURĪHĔ

– RGWZDU]DQLH ]GROQRĞFL IXQNFMRQDOQ\FK RELHNWyZ GRWNQLĊW\FK ]DJURĪHQLa-mi, po ich wyeliminowaniu.

3R]LRPEH]SLHF]HĔVWZDRUJDQL]DFMLZUR]XPLHQLXNRPSOHNVRZ\P]DOHĪ\RG dziedzinowych SR]LRPyZ EH]SLHF]HĔVWZD 2NUHĞORQ\ SR]LRP EH]SLHF]HĔVWZD G]LHG]LQRZHJRRUJDQL]DFMLPRĪHP\X]\VNDüQDZLHOHVSRVREyZ– nie tylko poprzez ]DSHZQLHQLH RNUHĞORQHM VNXWHF]QRĞFL EH]SRĞUHGQLHJR SU]HFLZG]LDáDQLD ]DLVWQLDá\P zdarzeniom G]LĊNL systemowi zabezpieczeĔ 1D MHJR ZDUWRĞü PRĪHP\ ZSá\ZDü UyZQLHĪSRSU]H]

– ]DSRELHJDQLHSRZVWDZDQLXGDQHJRURG]DMX]DJURĪHQLDEH]SLHF]HĔVWZD – przygotowanie podmiotu na wypadek uaktywnienia danego rodzaju

zagro-ĪHQLD EH]SLHF]HĔVWZD Z SRVWDFL ]GDU]HQLD HGXNDFMD UR]PLHV]F]HQLH i dRVWĊSQRĞüVLáLĞURGNyZSU]HFLZG]LDáDQLD

– ]ZLĊNV]DQLH VNXWHF]QRĞFL VLá L ĞURGNyZ PHFKDQL]PyZ EH]SLHF]HĔVWZD ZWUDNFLHSU]HFLZG]LDáDQLDVNXWNRPGDQHJR]GDU]HQLD

– VNXWHF]QRĞüG]LDáDĔZXVXZDQLXQDVWĊSVWZGDQHJR]GDU]HQLD

0DP\ ]DWHP PRĪOLZRĞü NV]WDáWRZDQLD SR]LRPX EH]SLHF]HĔVWZD G]LHG]LQo-ZHJRLNRPSOHNVRZHJR:LHONRĞFLami VWHURZDOQ\PLZW\PSU]\SDGNXVąSDUDPe-WU\ FKDUDNWHU\]XMąFH F]\QQLNL ZSá\ZDMąFH QD SR]LRP EH]SLHF]HĔVWZD RUJDQL]DFML WRMHVW]ZLą]DQH]

– ]DSRELHJDQLHPPRĪOLZ\FKGODQLHM]DJURĪHĔEH]SLHF]HĔVWZD – przygotowaniem kancelarii QDZ\SDGHNXDNW\ZQLHQLDW\FK]DJURĪHĔ – mechanizmami EH]SLHF]HĔVWZDSU]HFLZG]LDáDMąFymi W\P]DJURĪHQLRP – XVXZDQLHPQDVWĊSVWZGDQHJR]GDU]HQLD

.DĪGDRUJDQL]DFMDPXVL]DWHPF]\QLüVWDUDQLDR]DSHZQLHQLHVRELHVWDELOQRĞFL stDQXEH]SLHF]HĔVWZD:W\PFHOXWZRU]RQ\MHVWV\VWHPEH]SLHF]HĔVWZDRUJDQL]DFML 6%2:XMĊFLXPRGHORZ\PZ6\VWHPLH%H]SLHF]HĔVWZD2UJDQL]DFMLZ\UyĪQLDP\ dwa podsystemy (rysunek 3):

– Z\NRQDZF]\ NWyU\ VWDQRZLą VLá\ L ĞURGNL UHDOL]XMąFH SURFHV\ Z\No-nawcze;

– SRGV\VWHP ]DU]ąG]DQLD EH]SLHF]HĔVWZHP NDQFHODULL NWyU\ UHDOL]XMH procesy informacyjno-GHF\]\MQH GHF\GXMąFH R VSRVRELH ]DSHZQLDQLD EH]SLHF]HĔVWZD SRV]F]HJyOQ\P RELHNWRP NDQFHODULL SU]H] SRGV\VWHP wykonawczy.

=DNáDGD VLĊ ĪH FHOHP G]LDáDQLD 3RGV\VWHPX =DU]ąG]DQLD %H]SLHF]HĔVWZHP 2UJDQL]DFML3=%2MHVWXWU]\PDQLHZ\PDJDQHJRSR]LRPXEH]SLHF]HĔVWZDorgani-zacji MDNRFDáRĞFLIXQNFMRQDOQHMRUD]]DSHZQLHQLHEH]SLHF]HĔVWZD]DVREyZZUDĪOi-Z\FK &HO WHQ PRĪQD RVLąJQąü SRSU]H] ELHĪąFH VWHURZDQLH SRGV\VWHPHP Z\No-nawczyP XĪ\WNRZDQLD ]DEH]SLHF]HĔ : VNáDG 3RGV\VWHPX =DU]ąG]DQLD %H]SLe-F]HĔVWZHP2UJDQL]DFML3=%2ZFKRG]ąGZDSodsystemy (rysunek 3).

Rys. 3. 6WUXNWXUDIXQNFMRQDOQD6\VWHPX%H]SLHF]HĔVWZDOrganizacji ħUyGáR oSUDFRZDQLHZáDVQH

Zadanie, jakie ma do VSHáQLHQLD 6\VWHP %H]SLHF]HĔVWZD 2UJDQL]DFML, to SU]HGHZV]\VWNLPSU]\JRWRZDQLHRNUHĞORQHJRSRGPLRWX organizacji – VáXĪEEH]SLe-F]HĔVWZD – QD PRĪOLZRĞü Z\VWąSLHQLD ]DJURĪHĔ UDG]HQLD VRELH z nimi w odpo-wiedni sposób oraz przywracanie sytuacji do stanu pierwotnego VSU]HGZ\VWąSLHQLD WHJR]DJURĪHQLD3URFHV]DU]ąG]DQLDEH]SLHF]HĔVWZHPw organizacji SRZLQLHQE\ü SURZDG]RQ\ Z VSRVyE FLąJá\ VWDOH XGRVNRQDODQ\ L UHDOL]RZDQ\ SODQRZR z jedno-F]HVQ\P RNUHĞOHQLHP VWRSQLD U\]\ND MHJR DNFHSWDFML SRSU]H] RNUHĞOHQLH progu WROHUDQFMLSRSU]HNURF]HQLXNWyUHJRNRQLHF]QHEĊG]LH]DU]ąG]DQLH tym ryzykiem.

2. Zarządzanie ryzykiem w organizacji

„ZDU]ąG]DQLH U\]\NLHP´ R]QDF]D SODQRZH VWRVRZDQLH SROLW\NL SURFHGXU L SUDNW\N ]DU]ąGF]\FK Z UDPDFK ]DGDĔ GRW\F]ąF\FK Dnalizy, wyceny i nadzoru ryzyka (rysunek 4).

Rys. 4. Model procesu ]DU]ąG]Dnia ryzykiem w organizacji ħUyGáR oSUDFRZDQLHZáDVQH

=DU]ąG]DQLHU\]\NLHPZVSLHUDLZSá\ZDQDZLĊNV]ąHIHNW\ZQRĞü]DU]ąG]DQLD RUJDQL]DFMąSRQLHZDĪSRPDJD]UR]XPLHüLRFHQLüJURĨQH czynniki ryzyka. Dlatego FHOHP]DU]ąG]DQLDU\]\NLHPZRUJDQL]DFMLSRZLQQRE\ü

– SR]\VNDQLH LQIRUPDFML R PRĪOLZ\FK ]DJURĪHQLDFK L LFK ZSá\ZLH QD SU]y-V]á\NV]WDáWRWRF]HQLD]HZQĊWU]QHJRSRGPLRWX;

– RNUHĞOHQLH VNXWNyZ Z\QLNDMąF\FK ] ELHĪąF\FK ]GDU]HĔ NWyUH PRJą PLHü MDNLNROZLHNZSá\ZQDIXQNFMRQRZDQLHLZ\QLNLRUJDQL]DFML;

– RSUDFRZDQLH ZáDĞFLZ\FK SURFHGXU SRVWĊSRZDQLD SU]\JRWRZDQLH GR QDVWĊSVWZ Z V\WXDFMDFK DZDU\MQ\FK Z V]F]HJyOQRĞFL GR U\]\N QLe-przewidywalnych.

=DU]ąG]DQLH U\]\NLHP MHVW SURFHVHP FLąJá\P L SRZLQQR E\ü ORJLF]QLH XSo-U]ąGNRZDQ\P FLąJLHP QDVWĊSXMąF\FK SR VRELH ]GDU]HĔ G]LDáDĔ GHF\]ML NWyU\FK HIHNWHPMHVWSRZVWDQLHSHZQHMZDUWRĞFLGRGDQHMMDNąMHVWEH]SLHF]HĔVWZRSRGPLo-tu. 'ODWHJRWHĪLGHQW\ILNRZDQLHPRĪOLZHJRU\]\NDNU\]\VXMHVWNOXF]RZ\P zada-QLHPPDMąF\PQDFHOXXQLNQLĊFLH]DVNRF]HQLDMDNLPPRĪHE\üQDJáDV\WXDFMD kry-zysowa. 3RZLQQLĞP\PLHüĞZLDGRPRĞüĪHDE\HIHNW\ZQLH]DMąüVLĊDQDOL]ąU\]\ND QDOHĪ\WRU\]\NRZPLDUĊSUHF\]\MQ\VSRVyE]GHILQLRZDüXVWDODMąFMHJRSU]\F]\Q\ zakres, JUDQLFHRUD]RNUHĞOLüURG]DMPRĪOLZ\FK]DJURĪHĔPRJąF\FKPLHüZSá\Z na UHDOL]DFMĊFHOyZSRVWDZLRQ\FKSU]H]SRGPLRWHP 3RZLQQLĞP\]GDZDüVRELHVSUDZĊĪHDQDOL]DU\]\NDMHVWSRGVWDZRZ\P ele-mentem V\VWHPX]DU]ąG]DQLDU\]\NLHPZRUJDQL]DFMLSRQLHZDĪZSURFHsie analizy U\]\ND WZRU]\ VLĊ LQIRUPDFMH QLH]EĊGQH GR SRGHMPRZDQLD ZáDĞFLZ\FK GHF\]ML w zakresie: VWUDWHJLL SRVWĊSRZDQLD ] U\]\NLHP HIHNW\ZQHJR GRERUX ĞURGNyZ Ue-dukcji ryzyka, RFHQ\]DVDGQRĞFLWUDQVIHUXDNFHSWDFMLOXEXQLNDQLDWHJRĪU\]\ND. Te istotne informacje, z punktu widzenia ]DU]ąG]DQLD RUJDQL]DFMą D Z\SUDFRZDQH ZWUDNFLHSURZDG]RQHMDQDOL]\U\]\NDZVND]XMąWDNĪHSULRU\WHW\GODUR]ZRMXV\s-temów EH]SLHF]HĔVWZD]DEH]SLHF]HĔLNRQWUROLZRUJDQL]DFML=DVDGQHZ\GDMHVLĊ ]DWHPVWZLHUG]HQLHĪHDQDOL]DU\]\NDVáXĪ\GRPLQLPDOL]DFMLRSW\PDOL]DFMLVWUDW ]ZLą]DQ\FK]U\]\NLHPRSHUDF\MQ\P:W\PPLHMVFXPRĪHP\SRVWDZLüVRELHSy-tanie: GODF]HJR REHFQLH REVHUZXMHP\ VWDOH URVQąF\ QDFLVN QD ]DU]ąG]DQLH U\]y-kiem? 2GSRZLHGĨMHVWSURVWDSRQLHZDĪSU]\NáDG\]Ī\FLDSRND]Dá\ĪHZV\WXDFML QLHSHZQRĞFLRUD]PRĪOLZRĞFLRSW\PDOL]DFMLU\]\NDSRSU]H]XVXQLĊFLHF]ĊVWR]EĊd-nych, QLHVNXWHF]Q\FK DOH NRV]WRZQ\FK ]DEH]SLHF]HĔ í WDNLH SRGHMĞFLH MHVW So-prawne. %RZLHPWUDG\F\MQH]DEH]SLHF]DQLHZV]\VWNLFKREV]DUyZG]LDáDĔRUJDQiza-cji RND]XMHVLĊQDGPLHUQLHNRV]WRZQHLQLHVNXWHF]QHíER]D]Z\F]DM]DZV]H braku-MH]DVREyZZDULDQW\RV]F]ĊGQH.RQLHF]QH]DWHPMHVWQLHW\ONRXQLNDQLH i redu-NRZDQLHU\]\NDDOHVSUDZQH]DU]ąG]DQLHW\PU\]\NLHP

3. 3U]HJOąGVWDQGDUGyZ]DU]ąG]DQLDU\]ykiem

:]DNUHVLH]DU]ąG]DQLDU\]\NLHPQLHPD]QDF]ąF\FKSROVNLFKUR]ZLą]DĔ, ale LVWQLHMH NLOND REF\FK VWDQGDUGyZ XWZRU]RQ\FK SU]H] UyĪQHJR URG]DMX RUJDQL]DFMH ]DMPXMąFH VLĊ Z\PLHQLRQą SUREOHPDW\Ną 0LĊG]\QDURGRZ\P VWDQGDUGHP RNUHĞOa-MąF\P SRGHMĞFLH GR SURFHVX ]DU]ąG]DQLD U\]\NLHP MHVW QRUPD ,62  'RNXPHQWWHQ]DZLHUDRJyOQH]DVDG\LZ\W\F]QHGRW\F]ąFH]DU]ąG]DQLDU\]\NLHP NWyUHPRJąE\üVWRVRZDQHZHZV]\VWNLFKRUJDQL]DFMDFK, SRQLHZDĪQLHVąRQHVSe-F\ILF]QH GOD NRQNUHWQHM EUDQĪ\ F]\ VHNWRUD : ]ZLą]NX ] W\P ĪH ,62  QLH SURPXMH MHGQROLWHJR PRGHOX ]DU]ąG]DQLD U\]\NLHP VWDQGDUG WHQ QLH MHVW SU]H]Qa-F]RQ\ GR FHOyZ FHUW\ILNDFML 6áXĪ\ RQ SU]HGH ZV]\VWNLP GR ]KDUPRQL]RZDQLD

LZVSDUFLDLQQ\FKQRUP,62]ZLą]DQ\FK]XMĊW\PLZ nich i opisanymi konkretnymi URG]DMDPL]DJURĪHĔ

:HGáXJQRUP\,62]DU]ąG]DQLHU\]\NLHPMDNRHOHPHQWVWUDWHJLF]QHJR ]DU]ąG]DQLDSU]HGVLĊELRUVWZHPPXVLE\üSRSU]HG]RQHVLOQ\PLWUZDá\P]DDQJDĪo-ZDQLHP ]DU]ąGX SU]HGVLĊELRUVWZD RUD] SR]RVWDáHM NDGU\ NLHURZQLF]HM RGSRZLe-G]LDOQHM ]D ZV]\VWNLH SR]LRP\ ]DU]ąG]DQLD =DDQJDĪRZDQLH WR VWDQRZL VZHJR Uo-G]DMXZHMĞFLHZSĊWOĊGRGDWQLHJRVSU]ĊĪHQLD]ZURWQHJRNWyUDREHMPXMHFDá\SURFHV ]DU]ąG]DQLDU\]\NLHPLSU]HELHJDSU]H]ZV]\VWNLHMHJRHWDS\1DSURFHVWHQVNáDGa-Mą VLĊ SURMHNWRZDQLH VWUXNWXU\ GOD ]DU]ąG]DQLD U\]\NLHP ZGUDĪDQLH ]DU]ąG]DQLD U\]\NLHPPRQLWRURZDQLHLSU]HJOąGLVWQLHMąFHMVWUXNWXU\RUD]MHMFLąJáHGRVNRQDOe- QLH1DVWĊSQLHQLH]EĊGQHMHVWVSU]ĊĪHQLH]ZURWQHG]LĊNLNWyUHPXLQIRUPDFMDRNo-niecznych zmianach struktury zaU]ąG]DQLD U\]\NLHP SU]HND]\ZDQD MHVW GR HWDSX ponownego jej projektowania. Standard ISO 31000 zaleca projektowanie struktury UDPRZHM GOD ]DU]ąG]DQLD U\]\NLHP NWyUD REHMPXMH DQDOL]Ċ VWUDWHJLF]Qą RWRF]HQLD RUJDQL]DFML RUD] MHM ZQĊWU]D, D WDNĪH V\VWHP FHOyZ SU]HGVLĊELRUVWZD SRZLą]DQ\FK wzajemnymi relacjami.

2SUyF] PLĊG]\QDURGRZHM QRUP\ ,62 LVWQLHMH UyZQLHĪ NLOND LQQ\FK VWDQGDr-GyZ ]DU]ąG]DQLD U\]\NLHP WDNLFK MDN VWDQGDUG RSUDFRZDQ\ Z :LHONLHM %U\WDQLL RSXEOLNRZDQ\SU]H] )HGHUDFMĊ(XURSHMVNLFK6WRZDU]\V]HĔ=DU]ąG]DQLD5\]\NLHP (Federation of European Risk Management Associations, FERMA) czy amerykaĔ ski Enterprise Risk Management – ,QWHJUDWHG )UDPHZRUN =DU]ąG]DQLH 5\]\NLHP Korporacyjnym – ]LQWHJURZDQD VWUXNWXUD UDPRZD ]ZDQ\ &262 ,, NWyU\ ]RVWDá opracowany przez Committee of Sponsoring Organizations of the Treadway Com-mission (COSO).

:\PLHQLRQH VWDQGDUG\ ]LQWHJURZDQHJR ]DU]ąG]DQLD U\]\NLHP RUJDQL]DFML ZVND]XMąQDNRQLHF]QRĞüLGHQW\ILNDFMLF]\QQLNyZZSá\ZDMąF\FKQD]GDU]HQLDNWyUH Z\ZLHUDMąZSá\ZQDUHDOL]DFMĊVWUDWHJLLLRVLąJDQLHSRVWDZLRQ\FKSU]H]RUJDQL]DFMĊ FHOyZ6DPR]LGHQW\ILNRZDQLHF]\QQLNyZU\]\NDL]ZLą]DQ\FK]QLPL]GDU]HĔQLH Z\F]HUSXMHMHGQDNSURFHVX]DU]ąG]DQLDU\]\NLHP3U]\WRF]RQHVWDQGDUG\SRGNUHĞOa-MąNRQLHF]QRĞüSURZDG]HQLDSURFHVXDQDOL]y i oceny ryzyka oraz reakcji na ryzyko, a ZLĊFRGSRZLHGQLHJRSRVWĊSRZDQLDZREHFU\]\ND3RVWXOXMąWDNĪHZ\EyUZVSyOQ\FK PHWRG RFHQ\ EH]SLHF]HĔVWZD &60 NWyU\FK FHOHP MHVW EXGRZDQLH MHGQROLWHJR SRGHMĞFLDGRNZHVWLLEH]SLHF]HĔVWZD-HGQ\P]WDNLFKQDU]ĊG]i jest wspólna metoda EH]SLHF]HĔVWZD Z ]DNUHVLH Z\FHQ\ L RFHQ\ U\]\ND &60 RSLVDQD Z RERZLą]XMą F\PRGPDMDUUR]SRU]ąG]HQLXZ\NRQDZF]\P.RPLVML8(QU] GQLDNZLHWQLDUZVSUDZLHZVSyOQHMPHWRG\RFHQ\EH]SLHF]HĔVWZDZ]a-kresie Z\FHQ\LRFHQ\U\]\NDLXFK\ODMąFHUR]SRU]ąG]HQLH:(QU&60 w zakresie wyceny i oceny ryzyka znajduje zastosowanie:

1) MHĪHOLRFHQDU\]\NDMHVWZ\PDJDQDZRGSRZLHGQLFKWHFKQLF]Q\FKVSHF\Ii- NDFMDFKLQWHURSHUDF\MQRĞFL76,ZWDNLPSU]\SDGNX76,RNUHĞODMąZUa-]LHSRWU]HE\NWyUHHOHPHQW\&60PDMą]DVWRVRZDQLH

2) DE\ ]DSHZQLü EH]SLHF]Qą LQWHJUDFMĊ SRGV\VWHPyZ VWUXNWXUDOQ\FK GR NWó-U\FKPDMą]DVWRVRZDQLH76,]LVWQLHMąF\PV\VWHPHP]JRGQLH]DUWXVW 1 dyrektywy 2008/57/WE.

-HGQDNĪHVWRVRZDQLH&60 w przypadku, o którym mowa w akapicie pierw-V]\POLWEQLHPRĪHSURZDG]LüGRZ\PRJyZVSU]HF]Q\FK]Z\PRJDPLNWyUHVą RNUHĞORQHZRGSRZLHGQLFK76,LPDMąFKDUDNWHUREOLJDWRU\MQ\

3RGVWDZą RSUDFRZDQLD ZVSyOQHM PHWRG\ EH]SLHF]HĔVWZD Z ]DNUHVLH Z\FHQ\ i oFHQ\U\]\NDE\áDSRWU]HED]KDUPRQL]RZDQLDQDSR]LRPLH8QLL(XURSHMVNLHMPe-WRGVWRVRZDQ\FKSU]H]SRGPLRW\NROHMRZHXF]HVWQLF]ąFHZUR]ZRMXLHNVSORDWDFML V\VWHPXNROHMRZHJRZFHOXLGHQW\ILNDFMLU\]\NDL]DU]ąG]DQLDQLPRUD]PHWRGZy-ND]\ZDQLD]JRGQRĞFLV\VWHPXNROHMRZHJR]Z\PRJDPLEH]SLHF]HĔVWZD

4. 3URFHV]DU]ąG]DQLDU\]\NLHPZEH]SLHF]HĔVWZLHLQIRUPDFML – elementy dobrej praktyki

3URFHV ]DU]ąG]DQLD U\]\NLHP UR]SRF]\QD VLĊ RG XVWDOHQLDZVND]DQLD systemu SRGOHJDMąFHJRRFHQLHQS6\VWHP%H]SLHF]HĔVWZD2rganizacji, LREHMPXMHQDVWĊSu-MąFHG]LDáDQLD

– SURFHVRFHQ\U\]\NDREHMPXMąF\GHILQLFMĊV\VWHPXLMHJRJUDQLFHDQDOL]Ċ U\]\ND Z W\P LGHQW\ILNDFMĊ ]DJURĪHĔ U\]\NR ]ZLą]DQH ] QLPL ĞURGNL EH]SLHF]HĔVWZD RUD] Z\PRJL EH]SLHF]HĔVWZD NWyUH SRZLQLHQ VSHáQLDü oceniany system;

– Z\ND]DQLH ]JRGQRĞFL V\VWHPX Z ]DNUHVLH EH]SLHF]HĔVWZD ]H ]LGHQW\ILNo-ZDQ\PLZ\PRJDPLEH]SLHF]HĔVWZD – ]DU]ąG]HQLHZV]\VWNLPL]LGHQW\ILNRZDQ\PL]DJURĪHQLDPLRUD]]ZLą]DQy-PL]QLPLĞURGNDPLEH]SLHF]HĔVWZD 3URFHV]DU]ąG]DQLDU\]\NLHPPDFKDUDNWHUZLHORHWDSRZ\-HJRSU]HELHJSU]Hd- stawiRQRQDU\VXQNX3URFHVWHQNRĔF]\VLĊ]FKZLOąZ\ND]DQLD]JRGQRĞFLV\VWe-PX ]H ZV]\VWNLPL Z\PRJDPL EH]SLHF]HĔVWZD NRQLHF]Q\PL GR ]DDNFHSWRZDQLD U\]\ND]ZLą]DQHJR]H]LGHQW\ILNRZDQ\PL]DJURĪHQLDPL'R]ELRUXSRGVWDZRZ\FK G]LDáDĔ Z ]DNUHVLH ]DU]ąG]Dnia ryzyNLHP Z EH]SLHF]HĔVWZLH LQIRUPDFML PLĊG]\ LQQ\PLPRĪQD]DOLF]\ü

1. Ustanowienie kontekstu – zebranie wszystkich informacji o organizacji ma-MąFych RGQLHVLHQLHGR]DU]ąG]DQLDU\]\NLHPZEH]SLHF]HĔVWZLHRUJDQL]DFML 2. Analiza ryzyka – systematyczne wykorzystywaniHZV]\VWNLFKGRVWĊSQ\FK

LQIRUPDFML GR LGHQW\ILNRZDQLD ]DJURĪHĔ L V]DFRZDQLD U\]\ND RNUHĞOHQLH ]ELRUXF]\QQLNyZU\]\NDZĞURGRZLVNXZHZQĊWU]Q\PL]HZQĊWU]Q\PRr-JDQL]DFML RUD] XVWDOHQLH ]ELRUX G]LDáDĔ VNLHURZDQ\FK QD REQLĪHQLH QHJa-W\ZQHJR ZSá\ZX ]LGHQW\ILNRwanych czynników ryzyka na

funkcjonowa- QLHRUJDQL]DFMLLSRGHMPRZDQLHRGSRZLHGQLFKG]LDáDĔVáXĪąF\FKSU]HFLw-G]LDáDQLXLRJUDQLF]DQLXU\]\ND

3. Szacowanie/estymacja ryzyka – SROHJDQDSU]\SLVDQLXZDUWRĞFLSUDZGRSo-GRELHĔVWZXLQDVWĊSVWZRPU\]\ND:DUWRĞFLami tymi PRJąE\ü: rachunek zysków i strat, obawy uczestników i inne zmienne, odpowiednie do oceny U\]\ND(VW\PRZDQHU\]\NRMHVWSRáąF]HQLHPSUDZGRSRGRELHĔVWZDVFHQa-ULXV]DLQF\GHQWXLMHJRQDVWĊSVWZ Przykáady ryĪnych metod i podejĞü do estymacji ryzyka w bezpieczeĔstwie informacji moĪna znaleĨü w zaáączni-ku E normy ISO/IEC 27005:2014 =DU]ąG]DQLH U\]\NLHP Z EH]SLHF]HĔ stwie informacji. .RGHNVSRVWĊSRZDQLD oznacza spisany zbiór zasad, które PRJą E\ü Z\NRU]\VW\ZDQH GR QDG]RURZDQLD RNUHĞORQHJR ]DJURĪHQLD OXE RNUHĞORQ\FK]DJURĪHĔSRGZDUXQNLHPLFKSUDZLGáRZHJRVWRVRZDQLD; „sys- WHPRGQLHVLHQLD´R]QDF]DV\VWHPNWyU\VSUDZG]LáVLĊZSUDNW\FHMDNRV\s- WHPRGRSXV]F]DOQ\PSR]LRPLHEH]SLHF]HĔVWZDL]NWyU\PPRĪQDSRUyw-Q\ZDüV\VWHPRFHQLDQ\SRGNąWHPGRSXV]F]DOQRĞFLUyzyka.

4. Wycena ryzyka – R]QDF]DSURFHGXUĊRSLHUDMąFąVLĊQDDQDOL]LHU\]\NDNWó-UD PD QD FHOX XVWDOHQLH F]\ RVLąJQLĊWR SR]LRP GRSXV]F]DOQHJR U\]\ND – SRUyZQDQLHMHJRZLHONRĞFL]]DáRĪRQ\PGRSXV]F]DOQ\PSURJLHPWROHUDn-cji na ryzyko.

5. Estymacja ryzyka polega na przypisaniu wartoĞci prawdopodobieĔstwu i nastĊpstwom ryzyka. WartoĞci te mogą byü iloĞciowe lub jakoĞciowe. Es-tymacja ryzyka jest oparta na oszacowanych nastĊpstwach i prawdopodo-bieĔstwie. Dodatkowo moĪna braü pod uwagĊ rachunek zysków i strat, obawy uczestników i inne zmienne, odpowiednie do oceny ryzyka. Esty-mowane ryzyko jest poáączeniem prawdopodobieĔstwa scenariusza incy-dentu i jego nastĊpstw.

6. 8VWDOHQLH ]DEH]SLHF]HĔÄĞURGNL EH]SLHF]HĔVWZD´ – SDNLHW G]LDáDĔ ]PQLHj-V]DMąF\FKF]ĊVWRWOLZRĞü]DJURĪHĔDOERáDJRG]ąF\FKLFKVNXWNLNWyU\PDQD FHOXRVLąJQLĊFLHOXEXWU]\PDQLHGRSXV]F]DOQHJRSR]LRPXU\]\ND

Rys. 5. (OHPHQW\ GREUHM SUDNW\NL Z SURFHVLH ]DU]ąG]DQLD U\]\NLHP Z EH]SLHF]HĔVWZLH organizacji

7. Akceptacja ryzyka/kryteria akceptacji ryzyka – ]DVDG\NWyUHVąVWRVRZDQH Z FHOX Z\FLąJQLĊFLD ZQLRVNX R GRSXV]F]DOQRĞFL OXE QLHGRSXV]F]DOQRĞFL U\]\ND ]ZLą]DQHJR ] RNUHĞORQ\P ]DJURĪHQLHP OXE RNUHĞORQ\PL ]DJURĪe-niami. „Kryteria akceptacji ryzyka” – kryteria, na podstawie których oce- QLDQDMHVWGRSXV]F]DOQRĞüGDQHJRU\]\NDNU\WHULDWHVWRVXMHVLĊDE\XVWa- OLüF]\SR]LRPU\]\NDMHVWQDW\OHQLVNLĪHQLHMHVWNRQLHF]QHSRGHMPRZa-QLHQDW\FKPLDVWRZ\FKG]LDáDĔZFHOXMHJR]UHGXNRZDQLD

8. Informowanie o ryzyku – prowDG]HQLH UHMHVWUX ]DJURĪHĔ Z NWyU\P UHMe-VWUXMH VLĊ L RSDWUXMH RGQLHVLHQLDPL ]LGHQW\ILNRZDQH ]DJURĪHQLD ]ZLą]DQH ]QLPLĞURGNLLĨUyGáR]DJURĪHĔRUD]ZVND]XMHRUJDQL]DFMĊNWyUDPDQLPL ]DU]ąG]Dü

=DU]ąG]DQLHU\]\NLHPMHVW]DNUHVHPG]LDáDĔNWyUHPXVLSRGMąüSRGPLRWG]La-áDQLD RUJDQL]DFML DE\ Z\VWĊSXMąFH U\]\NR E\áR QD SR]LRPLH DNFHSWRZDOQ\P GOD EH]SLHF]HĔVWZDGDQHMRUJDQL]DFML-HVWWRSURFHVÄSURZDG]HQLD´U\]\NDSRGNRQWUo-OąREHMPXMąF\]DNUHVG]LDáDĔ]ZLą]DQ\FK]DQDOL]ąWHJRU\]\NDMHJRUHGXNFMLOXE tUDQVIHUHP RUD] PLQLPDOL]DFMą VWUDW MHĞOL MXĪ Z\VWąSL =DU]ąG]DQLH U\]\NLHP MHVW SURFHVHP FLąJá\P L SRZLQQR E\ü ORJLF]QLH XSRU]ąGNRZDQ\P FLąJLHP QDVWĊSXMą F\FK SR VRELH ]GDU]HĔ G]LDáDĔ GHF\]ML NWyU\FK HIHNWHP MHVW SRZVWDQLH SHZQHM ZDUWRĞFLGRGDQHMMDNąMHVWEH]SLHF]HĔVWZRSRGPLRWX2

.

Podsumowanie

3URFHV\ ]DU]ąG]DQLD U\]\NLHP Z EH]SLHF]HĔVWZLH SRZLQQ\ E\ü QLHRGáąF]Qą F]ĊĞFLąĪ\FLDNDĪGHMRUJDQL]DFML$E\SURFHV]DU]ąG]DQLDU\]\NLHP PyJáE\ü MHd-QDNVNXWHF]Q\QDOHĪ\]DVWDQRZLüVLĊMDNLHG]LDáDQLDmetody, techniki lub narzĊ dzia ]DU]ąG]DQLDGODRUJDQL]DFMLEĊGąQDMOHSV]H$E\VNXWHF]QLHSURZDG]LüSROLW\NĊ ]DU]ąG]DQLDU\]\NLHPZRUJDQL]DFMLQDOHĪ\QDMSLHUZRNUHĞOLü, MDNLHVąFHOHL]DGa-QLDWHMMHGQRVWNLZ]DNUHVLH]DU]ąG]DQLDU\]\NLHPLX]JRGQLüMH] RJyOQąVWUDWHJLą RUJDQL]DFML -DNR ĪH U\]\NR MHVW QLHRGáąF]QLH ZSLVDQH Z IXQNFMRQRZDQLH NDĪGHM RUJDQL]DFML]DU]ąG]DQLHQLPSRZLQQRE\üQDWXUDOQąF]\QQRĞFLąQDNDĪG\PSR]Lo-PLH NLHURZDQLD &]ĊVWR SRZLHODQH Vą RSLQLH ĪH U\]\NLHP ]DU]ąG]D VLĊ ]DZV]H jednakĪHQLH]DZV]HZVSRVyEĞZLDGRP\

$QDOL]D U\]\ND L ]DU]ąG]DQLH U\]\NLHP MHVW SRGVWDZRZ\P HOHPHQWHP ]DU]ą G]DQLDZRUJDQL]DFMLVáXĪąF\PGRPLQLPDOL]DFMLVWUDW]ZLą]DQ\FK]Z\VWąSLHQLHP V\WXDFML NU\]\VRZHM L U\]\NLHP RSHUDF\MQ\P -HVW QDU]ĊG]LHP HOHPHQWHP

wspo-2

Zgodnie z przepisami Unii Europejskiej Ä]DU]ąG]DQLH U\]\NLHP” oznacza planowane stosowanie polityki, SURFHGXU L SUDNW\N ]DU]ąGF]\FK Z UDPDFK DQDOL]\ U\]\ND RFHQ\ L QDG]RUX (DzU nr 108/4, art. 3.6).

PDJDMąF\PZ\]QDF]DQLHW\FKREV]DUyZG]LDáDOQRĞFLRUJDQL]DFMLNWyUHZSLHUZV]HM NROHMQRĞFLSRZLQQ\E\üSRGGDQHVSUDZG]HQLXLDQDOL]LH

$QDOL]D U\]\ND L ]DU]ąG]DQLH SURZDG]RQH V\VWHPDW\F]QLH L Z VSRVyE FLąJá\ przyczyniaMą VLĊ GR SRSUDZ\ HIHNW\ZQRĞFL Rraz uzyskania spójnych, porównywal-Q\FKLZLDU\JRGQ\FKUH]XOWDWyZ1DOHĪ\VRELHXĞZLDGRPLüĪHDNF\MQHSRGHMĞFLHGR ]DU]ąG]DQLD U\]\NLHP PRĪH SURZDG]Lü GR ]PDWHULDOL]RZDQLD VLĊ SRZDĪQ\FK QLe-Z\NU\W\FK U\]\N 1LHVWHW\ MHVW WR ]DJDGQLHQLH WUXGQH L Z\PDJDMąFH Vtarannego SU]\JRWRZDQLDLRNUHĞOHQLD]ELRUXPRĪOLZ\FKF]\QQLNyZU\]\NDEXGRZDQLDĞZLa- GRPRĞFLLRGSRZLHGQLHJRPHU\WRU\F]QHJRSU]\JRWRZDQLDRVyEGRNRQXMąF\FKDQa-OL]\ U\]\ND Z SURFHVLH ]DU]ąG]DQLD EH]SLHF]HĔVWZHP L MDNRĞFLą RUJDQL]DFML .o-nieczne jest stosowDQLH SRGHMĞFLD REHMPXMąFHJR NRPSOHNVRZH ]DU]ąG]DQLH U\]y-kiem w organizacji, a nie ocena ryzyka tylko dla poszczególnych obszarów. W tym PLHMVFXZDUWRSU]HDQDOL]RZDüSRGVWDZRZH]DVDG\]DU]ąG]DQLDU\]\NLHPZNRQWHk-ĞFLHMDNLHLFK]DVWRVRZDQLHSU]\QRVLNRU]\Ğci organizacji:

Analiza ryzykiem jest skáadową SURFHVX SRGHMPRZDQLD GHF\]ML XáDWZLDMąFą NLHUXMąF\PSRGHMPRZDQLHĞZLDGRP\FKLZáDĞFLZ\FKZ\ERUyZXVWDOHQLDSULRU\We-WyZ G]LDáDĔ RUD] UR]SR]QDZDQLD DOWHUQDW\ZQ\FK NLHUXQNyZ G]LDáDĔ Z SU]\SDGNX ]DLVWQLDá\FK ]DJURĪHĔ ]GDU]HĔ L V\WXDFML NU\]\VRZ\FK 3UDZLGáRZR SURZDG]RQD analiza ryzyka bazuje na najlepszych praktykach oraz dostĊpnych Ĩródáach infor-macji, takich MDN GDQH KLVWRU\F]QH GRĞZLDGF]HQLD LQIRUPDFMH ]ZURWQH RG ZV]\Vt-kich interesariuszy, obserwacje, progQR]\LRSLQLHHNVSHUWyZ]XZ]JOĊGQLHQLHPLFK UyĪQRURGQRĞFL L RJUDQLF]HĔ F]\OL UyZQRF]HĞQLH SU]\F]\QLD VLĊ GR JURPDG]HQLD LQIRUPDFML ] ZLHOX ĨUyGHá ] XZ]JOĊGQLHQLHP L Z\UDĨQ\P RNUHĞOHQLHP VWRSQLD WHM QLHSHZQRĞFL

$QDOL]DU\]\NDL]DU]ąG]DQLHQLPSRZLQQ\E\üGRVWRVRZDQHGR]HZQĊWU]Q\FK LZHZQĊWU]Q\FKXZDUXQNRZDĔRUJDQL]DFMLLSURILOLU\]\NMDNLHZ\VWĊSXMąZGDQHM organizacji, bo tylko wtedy przynosi oczekiwane wyniki. Automatyczne przenosze-QLHPHWRG\NLZ\QLNyZGRLQQ\FKREV]DUyZVNXWNXMHSRP\áNDPLZNRQVHkwencji SURZDG]ąF\PLGRV\WXDFMLNU\]\VRZ\FKRQLHZ\REUDĪDOQ\FKVNXWNDFK

$QDOL]XMąFryzyko, PXVLP\EUDüWDNĪHSRGXZDJĊF]\QQLNLOXG]NLHLNXOWXUo-ZH UR]SR]QDMąF W\P VDP\P PRĪOLZRĞFL SHUFHSFMĊ L LQWHQFMH RVyE ]DUyZQR Ze-ZQąWU]MDNLQD]HZQąWU]RUJDQL]DFMLNWyUHPRJąXáDWZLüEąGĨXWUXGQLüRVLąJQLĊFLH FHOyZRUJDQL]DFML:WHQVSRVyE]PQLHMV]\P\U\]\NRLQLHSHZQRĞüZSRGHMPRZa-QLXGHF\]MLLZ\ERU]HPRĪOLZRĞFLSU]HFLZG]LDáDQLD

3U]HMU]\VWD RUD] NRPSOHNVRZD DQDOL]D U\]\ND GDMH QDP JZDUDQFMĊ G]LĊNL odpowiedQLHPX RNUHĞORQHPX F]DVRZR ]DDQJDĪRZDQLX NLHUXMąF\FK QD ZV]\VWNLFK SR]LRPDFK]DU]ąG]DQLDZRUJDQL]DFMLHIHNW\ZQHJRLZF]HVQHJRRNUHĞOHQLDPRĪOi-Z\FK V\WXDFML NU\]\VRSR]LRPDFK]DU]ąG]DQLDZRUJDQL]DFMLHIHNW\ZQHJRLZF]HVQHJRRNUHĞOHQLDPRĪOi-Z\FK D Z HIHNFLH VSRZRGXMH PLQLPDOL]DFMĊ RF]HNLZDQ\FK w wyniku zdarzenia strat.

Analiza ry]\ND SRZLQQD E\ü G\QDPLF]QD SRZWDU]DOQD RUD] UHDJRZDü QD ]PLDQ\ SRQLHZDĪ ZHZQĊWU]QH L ]HZQĊWU]QH U\]\ND ]PLHQLDMą VLĊ SRMDZLDMą VLĊ

QRZHU\]\NDDQLHNWyUH]DQLNDMą:áDĞFLZHLFKPRQLWRURZDQLHLSU]HJOąG]DSHZQLD RUJDQL]DFML VWDáą DNWXDOQą ZLHG]Ċ FR GR QLHSHZQRĞFL L U\]\ND G]LDáDĔ RUD] PRĪOi-ZRĞüSRGMĊFLDVNXWHF]Q\FKSU]HFLZG]LDáDĔ

']LĊNL DQDOL]LH L ]DU]ąG]DQLX U\]\NLHP PRĪQD GRVNRQDOLü ]LQWHJURZDQ\ V\s-WHP]DU]ąG]DQLDEH]SLHF]HĔVWZHPLMDNRĞFLąZVND]DüNLHUXQNLNRQLHF]Q\FK]PLDQ w otoczeniu, priorytety SRGHMPRZDQLD G]LDáDĔ RUD] PRĪOLZH VWUDW\ JG\E\ WH ]Ga-U]HQLD Z\VWąSLá\ $QDOL]D XPRĪOLZLD WDNĪH SRGHMPRZDQLH G]LDáDĔ ]DSRELHJDw-F]\FKSURZDG]ąF\FKGRPLQLPDOL]DFMLSRQLHVLRQ\FKVWUDW

$QDOL]DLV]DFRZDQLHU\]\NDMHVWSLHUZV]\PHOHPHQWHPZSURFHVLH]DU]ąGza-QLD U\]\NLHP :\QLNL WHJR SURFHVX Vą SRPRFQH Z Z\ERU]H RGSRZLHGQLFK V\VWe-PyZ OXE VSRVREyZ ]DEH]SLHF]HĔ SRPDJDMą ]PLQLPDOL]RZDü OXE Z\HOLPLQRZDü zidentyfikowane czynniki ryzyka.

3ROLW\ND]DU]ąG]DQLDU\]\NLHP]DOHĪ\ZGXĪHMPLHU]HRGFKDUDNWHUXG]LDáDOQo- ĞFLRGMHMSRGHMĞFLDLVNáRQQRĞFLGRSRGHMPRZDQLDU\]\ND]ZDQHMUyZQLHĪÄDSHWy-tem” na ryzyko, RUD] RG XZDUXQNRZDĔ RWRF]HQLD : FHOX ZVSRPRĪHQLD SURFHVX ZSURZDG]DQLDLXWU]\PDQLDHIHNW\ZQHJR]DU]ąG]DQLDU\]\NLHPQLH]EĊGQHMHVWXVWa-lenie „wspólnego zrozumiHQLD´GRW\F]ąFHJRU\]\NZVNDOLFDáHMMHGQRVWNLRUJDQL]a-F\MQHMLMHMRWRF]HQLD%H]XVWDOHQLDZVSyOQHMSáDV]F]\]Q\G\VNXVMLQDWHPDWU\]\N WRZDU]\V]ąF\FK G]LDáDOQRĞFL RUJDQL]DFML QLH MHVW PRĪOLZH ]DUyZQR ]DSHZQLHQLH efektywnej komunikacji, jak i wprowadzenLH HIHNW\ZQHJR SURFHVX ]DU]ąG]DQLD U\]\NLHP Z VNDOL FDáHM MHGQRVWNL RUJDQL]DF\MQHM QLH PRĪQD ERZLHP ]DU]ąG]Dü F]\PĞ FR QLH MHVW MHGQR]QDF]QLH ]GHILQLRZDQH L ]LGHQW\ILNRZDQH RUD] Z WHQ VDP VSRVyEUR]XPLDQHSU]H]SUDFRZQLNyZRUJDQL]DFML5yĪQLHERZLHPSRVWrzegane jest U\]\NRSU]H]SUDFRZQLNyZIXQNFMRQXMąF\FKQDUyĪQ\FKV]F]HEODFKVWUXNWXU\RUJa-QL]DF\MQHM Z\ĪV]H NLHURZQLFWZR ĞUHGQLH NLHURZQLFWZR V]HUHJRZL SUDFRZQLF\ RGSRZLHG]LDOQ\FK]DSRV]F]HJyOQHSURFHV\EL]QHVRZHSURFHV\JáyZQHSRPRFQi-cze) lub zlokDOL]RZDQ\FK Z UyĪQ\FK MHGQRVWNDFK RUJDQL]DF\MQ\FK FHQWUDOD Rd-dziaá\ WHM VDPHM RUJDQL]DFML 3UDNW\F]Q\P UR]ZLą]DQLHP ZGURĪHQLD ÄZVSyOQHJR ]UR]XPLHQLD´GRW\F]ąFHJRU\]\NZVNDOLFDáHMRUJDQL]DFMLMHVWZ\NRU]\VWDQLHVWDn-dardowego modelu wyceny i oceny ryzyka.

Literatura

1. %LDáDV $ (2007), %H]SLHF]HĔVWZR LQIRUPDFML L XVáXJ Z QRZRF]HVQHM LQVW\WXFML L

firmie, WNT.

2. Jajuga K. (2009), =DU]ąG]DQLHU\]\NLHP, PWN, Warszawa.

3. Matkowski P. (2006), =DU]ąG]DQLHU\]\NLHPRSHUDF\MQ\P, Wolters Kluwer Polska. 4. Monkiewicz J.*ąVLRUNLHZLF]/ (2010),

=DU]ąG]DQLHU\]\NLHPG]LDáDOQRĞFLRUJa-nizacji, Uczelnie Techniczne.

6. PKN-ISO GUIDE 73, =DU]ąG]DQLHU\]\NLHP– Terminologia.

7. PN ISO/IEC 27005, 7HFKQLNDLQIRUPDW\F]QD7HFKQLNLEH]SLHF]HĔVWZD=DU]ąG]a-QLHU\]\NLHPZEH]SLHF]HĔVWZLHLQIRUPDFML

8. PN-ISO 31000, =DU]ąG]DQLHU\]\NLHP– Zasady i wytyczne.

9. Sienkiewicz P. (2007), %DGDQLDQDXNRZHEH]SLHF]HĔVWZDV\VWHPyZ, w: Wyzwania

EH]SLHF]HĔVWZD cywilnego XXI wieku – ,QĪ\QLHUD G]LDáDĔZ REV]DUDFK QDXNL Gy-daktyki i praktyki, red. B. Kosowski, A. :áRGDUVNL, Wyd. Fundacja Edukacja

i Technika Ratownictwa. Warszawa.

10. Stanik J., Kiedrowicz M., Selected aspects of risk management in respect of

securi-ty of the document lifecycle management system with multiple levels of sensitivisecuri-ty,

w: Information Management in Practice 2015, red. B.).XELDN-0DĞODQNRZVNL, Chapter 18, s. 231–251. 11. http://software.softblue.pl/content/system-zarzadzania-ryzykiem-1. 12. www.coso.org [GRVWĊS2010]. 13. www.coso.org/documents/COSO_ERM_ExecutiveSummary_Polish.pdf [GRVWĊS 05.2010]. 14. www.ferma.eu/AboutFERMA/ARiskManagementStandard/tabid/195/Default.aspx. 15. www.4pm.pl/upload/artykuly/InLab.pdf. 16. www.ryzyko.biz/standardy_zarzadzania_ryzykiem.pdf.

THE RISK ANALYSIS AND THE RISK MANAGEMENT AS BASIC COMPONENTS

OF THE SAFETY MANAGEMENT SYSTEM OF THE ORGANIZATION

Summary

In the article authors are taking issues of the risk analysis and of risk management in the generally understood organization and of the influence on her safety. They are emphasizing the weight and the significance of conducting constant analysis of essential risk factors, their identification and the manner with them. The article contains also an inspection of the process of the risk management with so-called taking into account “best practices” being applicable to it. The summary is showing positive consequences of leading the process of the risk management by organizations, as well as the problems associated with his practical accomplishment.

Keywords: risk analysis, risk management, models of the risk management, risk

man-agement in the safety of the organization.

Translated by Jerzy Stanik