Glosariusz

“A” jak … aktywa

Hasła na literę "A"

Agregacja ryzyka

Powiązanie szeregu zagrożeń (szans) w jedno ryzyko, pozwalające pełniej zrozumieć całościowe ryzyko
ISO Guide 73

Akceptacja ryzyka

Świadoma decyzja dotycząca podjęcia określonego ryzyka i przyjęciu jego konsekwencji: pełnych lub ograniczonych
Nota 1. Akceptacja ryzyka może mieć miejsce bez reagowania na ryzyko lub w ramach procesu reagowania na ryzyko.
Nota 2. Zaakceptowane ryzyko pozostaje przedmiotem monitorowania i przeglądu.
ISO Guide 73


Świadoma decyzja podjęcia określonego ryzyka.
Nota 1: Akceptacja ryzyka może mieć miejsce bez reagowania na ryzyko lub podczas procesu reagowania na ryzyko.
Nota 2: Zaakceptowane ryzyko podlega monitorowaniu i przeglądowi .
ISO 22300:2018


Strategia reagowania na ryzyko polegająca na przyjęciu konsekwencji ryzyka tworząc – lub nie – plan działań na wypadek zmaterializowania się danego zagrożenia. Podejście to wyklucza działania związane z unikaniem wystąpienia określonego zdarzenia.

Akceptowalny poziom ryzyka

Poziom istotności ryzyka, który organizacja jest skłonna zaakceptować i przy którym nie jest wymagane podejmowanie działań zapobiegawczych, a jedynie monitorowanie ryzyka w ramach istniejących mechanizmów kontrolnych


Ustalony poziom ryzyka możliwy do zaakceptowania

Aktywa

Wszystko, co ma wartość dla organizacji.
Nota 1: Aktywa obejmują między innymi zasoby ludzkie, fizyczne, informacyjne oraz, niematerialne i środowiskowe
ISO 22300:2018

Analiza ilościowa ryzyka

Wyrażenie za pomocą miar ilościowych prawdopodobieństwa i/lub konsekwencji ryzyka. Konsekwencje mogą być określane na przykład przy pomocy miar pieniężnych (PLN, Euro…), jednostek czasu (dni, tygodnie…), miar wydajnościowych (dostępność, szybkość…) itp.

Analiza jakościowa ryzyka

Wyrażenie za pomocą miar jakościowych prawdopodobieństwa / konsekwencji ryzyka.

Analiza krytyczności

Proces mający na celu systematyczną identyfikację i ocenę aktywów organizacji na podstawie znaczenia jej misji lub funkcji, grupy osób narażonych na ryzyko, lub znaczenia niepożądanego zdarzenia lub zakłócenia zdolności spełniania oczekiwań.
ISO 22300:2018

Analiza ryzyka

Proces zrozumienia charakteru ryzyka (w tym powiązań z innym ryzykiem) i ustalenia jego poziomu.
Nota 1. Analiza ryzyka stanowi podstawę do oceny ryzyka oraz podjęcia decyzji w zakresie reakcji na ryzyko.
Nota 2. Analiza ryzyka obejmuje oszacowanie ryzyka
ISO Guide 73:2009


Proces mający na celu zrozumienia charakteru ryzyka i określenie poziom ryzyka.
Nota 1: Analiza ryzyka stanowi podstawę oceny ryzyka  i decyzji dotyczących reagowania na ryzyko.
Nota 2: Analiza ryzyka obejmuje oszacowanie ryzyka.
ISO 22300:2018


Systematyczne wykorzystywanie wszystkich dostępnych informacji do identyfikowania zagrożeń i szacowania ryzyka
Rozporządzenie KE nr 402/2013


Proces, którego elementami są: identyfikacja, oszacowanie oraz hierarchizacja pojedynczych zdarzeń (wydarzeń, okoliczności) mogących niekorzystnie wpływać na osiągnięcie określonego celu.
NIK


Dokładne zbadanie zidentyfikowanego ryzyka w celu przekształcenia informacji o potencjalnych zagrożeniach w informacje decyzyjne


Ocena ryzyka związana ze zidentyfikowanymi zagrożeniami


Proces dążący do poznania charakteru ryzyka i określenia poziomu ryzyka oraz podjęcia decyzji w zakresie postępowania ryzykiem


Proces jakościowej i – jeżeli jest to uzasadnione i możliwe – ilościowej oceny prawdopodobieństwa i potencjalnych skutków zidentyfikowanego ryzyka. Obejmuje oszacowanie ekspozycji ryzyka, opracowanie rankingu ryzyka, określenie powiązań pomiędzy ryzykiem jak również określenie niezbędnych rezerw zasobów, rezerw kosztowych i czasowych.


Proces złożony z identyfikacji ryzyka, opisu ryzyka oraz pomiaru ryzyka w odniesieniu do jego oddziaływania, jeśli ryzyko wystąpi oraz prawdopodobieństwa wystąpienia tego ryzyka


Główny proces zarządzania ryzykiem: identyfikuje ryzyko, które ma być kontrolowane lub akceptowane. Analiza ryzyka obejmuje ocenę wartości zasobów, zagrożeń, podatności i następstw w aspekcie naruszenia poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności


Całościowa identyfikacja zagrożeń i podatności dla aktywów systemu informacyjnego oraz określenie potrzeby ich kontrolowania lub akceptowania na wyznaczonym poziomie. Celem analizy ryzyka jest dostarczanie informacji niezbędnej do podejmowania decyzji o podjęciu środków przeciwdziałania zagrożeniom i/lub zmniejszania podatności systemu


Identyfikacja i oszacowanie zagrożeń dla projektu i organizacji realizujących , jej słabości oraz metod minimalizowania lub eliminowania strat lub zniszczeń wskutek tych zagrożeń


Proces jakościowej i – jeżeli jest to uzasadnione i możliwe – ilościowej oceny prawdopodobieństwa i potencjalnych konsekwencji zidentyfikowanego ryzyka. Obejmuje oszacowanie ekspozycji ryzyka, opracowanie rankingu ryzyka, określenie powiązań pomiędzy rodzajami ryzyka jak również określenie niezbędnych rezerw zasobów, rezerw kosztowych i czasowych.

Analiza wpływu / konsekwencji

Proces analizowania wszystkich funkcji operacyjnych i wpływu, jaki może mieć na nie przerwa operacyjna.
Nota 1: Analiza wpływu jest częścią procesu oceny ryzyka i obejmuje analizę wpływu na biznes. Analiza wpływu określa, w jaki sposób przejawia się strata lub uszkodzenie; stopień potencjalnej eskalacji szkód lub strat w czasie po incydencie; minimalne usługi i zasoby (ludzkie, fizyczne i finansowe) niezbędne do umożliwienia procesom biznesowym dalszego działania na minimalnym akceptowalnym poziomie; oraz ramy czasowe i zakres, w jakim działania, funkcje i usługi organizacji powinny zostać przywrócone.
ISO 22300:2018

Analiza wpływu na działalność

Proces obejmujący analizę działalności i wpływu zakłócenia na działalność.
ISO 22300:2018


Analiza zarządcza identyfikująca wpływ utraconych zasobów jednostki. Analiza ocenia skutki utraty zasobów i eskalacji strat w czasie i dostarcza wiarygodnych danych niezbędnych do podjęcia decyzji co do ograniczania zagrożeń, strategii przywracania działalności i planowania ciągłości.
NFPA 1600


Identyfikuje, ocenia jakościowo i ilościowo wpływ strat, przerw lub zakłóceń procesów biznesowych i dostarcza danych, na podstawie których organizacja może określić właściwe strategie dotyczące zapewnienia ciągłości działania.
CSA Z1600


BIA jest procesem oceny jakościowej i ilościowej  wpływu na działalność lub utraty procesów w przypadku zdarzeń powodujących zakłócenia. Jest niezbędny do ustalenia priorytetów przywracania działalności, wymaganych zasobów, kluczowego personelu i opracowania planu ciągłości działania.
BASEL II


BIA identyfikuje potencjalny wpływ niekontrolowanych, nieokreślonych zdarzeń na procesy biznesowe organizacji. BIA również określa co i jak bardzo jest narażone na ryzyko poprzez identyfikację krytycznych funkcji biznesowych i określenie ich priorytetów.  Powinna również określić maksymalny dopuszczalny czas wstrzymania krytycznych procesów biznesowych, cele dotyczące przywracania i zaległych transakcji oraz kosztów związanych z zatrzymaniem działalności.
Kierownictwo powinno określić priorytety przywracania w odniesieniu do procesów biznesowych ze wskazaniem kluczowego personelu, technologii, urządzeń, systemów komunikacji, zapisów i danych. BIA również rozpatruje wpływ wymagań prawnych i regulacyjnych takich jak dotyczących prywatności i danych osobowych i wymagających potwierdzenia przez podmioty nadzoru oraz klientów w przypadku relokacji urządzeń.
Federal Financial Institutions Examination Council – FFIEC

Analiza wrażliwości

Określenie efektów wynikających ze zmiany jednej zmiennej ryzyka jak na przykład opóźnienia lub kosztów materiałów


Określenie efektów wynikających ze zmiany jednej zmiennej ryzyka

Analiza zagrożenia

Proces identyfikowania, kwalifikowania i kwantyfikowania potencjalnej przyczyny niepożądanego zdarzenia, które może spowodować szkodę dla osób fizycznych, zasobów, systemu lub organizacji, środowiska lub społeczności.
ISO 22300:2018

Ankieta

Udokumentowany zestaw dobranych pytań dotyczących określonego zagadnienia, na które respondenci powinny udzielić odpowiedzi lub zestaw tez, co do których adresaci ankiety winni zająć stanowisko.

Apetyt na ryzyko

Wielkość i rodzaj ryzyka, które organizacja jest gotowa poszukiwać lub zatrzymać.
ISO 22300:201


Łączny poziom i rodzaje ryzyka, które instytucja jest skłonna przyjąć w ramach swojej zdolności do podjęcia ryzyka, zgodnie z modelem biznesowym, w celu osiągnięcia celów strategicznych.
European Banking Authority – EBA

Akceptowalny poziom ryzyka

Wielkość, poziom ryzyka i jego skutków, jaką organizacja jest  gotowa w dowolnym czasie zaakceptować, tolerować przy realizacji danego celu, bez wdrożenia dodatkowych mechanizmów kontrolnych bądź usprawnienia już istniejących


Dopuszczalny, maksymalny poziom iloczynu ryzyka i wpływu, jaki organizacja gotowa jest tolerować, zanim uzna, że konieczna jest interwencja


Wielkość ryzyka – na ogólnym poziomie – które Spółka jest gotowa zaakceptować w perspektywie kreowania wartości / osiągania celów i realizacji misji


Wielkość ryzyka, do którego organizacja jest przygotowana przed oceną niezbędnych działań. Nawet ryzyko rozumiane jako szansa jest narażone na zagrożenia, które mogą potencjalnie ograniczyć możliwości wykorzystać szansy i dla którego apetyt w odniesieniu do szansy powinien zostać oceniony. Apetyt na ryzyko może być bardzo szczególny w odniesieniu do konkretnego ryzyka, lub może być bardziej ogólny, w tym sensie, że całkowite ryzyko, które organizacja jest gotowa do przyjęcia w danej chwili powinno mieć limit.


Wielkość ryzyka – na ogólnym poziomie – które organizacja jest gotowa zaakceptować w perspektywie kreowania wartości / osiągania celów i realizacji misji.

Architektura

Struktura składników, ich relacji (wzajemnych i z otoczeniem) oraz zasady i wytyczne rządzące ich projektowaniem i rozwojem w czasie

Architektura gospodarcza

To składniki (wizja – misja – cele długo i krótkoterminowe – strategie – uregulowania /polityki, zasady, pryncypia/ – reguły gospodarcze – plany – produkty i usługi – rynki – klienci – dostawcy – funkcje – procesy – zdarzenia – lokalizacje – struktury organizacyjne – role i odpowiedzialności – umiejętności – wiedza (know-how) – kultura – konkurencja – miary skuteczności – miary efektywności – wyniki – czynniki zewnętrzne) organizacji oraz ich relacje (wzajemne i z otoczeniem politycznym, ekonomicznym, społecznym, technologicznym i środowiskowym) oraz reguły sterujące ich rozwojem w cyklu życia organizacji.

Architektura informacyjna

Określanie kategorii informacji potrzebnych do zarządzania organizacją oraz dobieranie metod pozyskiwania tych informacji i zasad ich przepływu.


Zdefiniowanie głównych składników systemu informacyjnego oraz powiązań między nimi.

Aspekt bezpieczeństwa

Cecha, element lub własność, która zmniejsza ryzyko nieumyślnie, celowo i naturalnie wywołanych kryzysów i katastrof, które zakłócają i wpływają na produkty lub usługi, operacje, krytyczne aktywa i ciągłość działania organizacji i jej zainteresowanych stron.
 ISO 22300:2018

Audyt

Systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów kontroli i ich obiektywnej oceny w celu określenia zakresu, w jakim kryteria audytu są spełnione.
Nota 1: Podstawowe elementy audytu obejmują określenie zgodności obiektu, zgodnie z procedurą realizowaną przez personel nie odpowiadający za badany obiekt.
Nota 2: Audyt może mieć formę audytu wewnętrznego (pierwszej strony) lub audytu zewnętrznego (drugiej lub trzeciej strony) i może to być połączony lub wspólny audyt.
Nota 3: Audyty wewnętrzne, czasami nazywane audytami z pierwszej ręki, są przeprowadzane przez organizację w celu przeprowadzenia przeglądu i innych celów wewnętrznych oraz mogą stanowić podstawę dla deklaracja zgodności organizacji. Niezależność można wykazać poprzez wolność od odpowiedzialności za badane działanie.
Nota 4: Audyty zewnętrzne obejmują audyty ogólnie nazywane audytami drugiej i trzeciej strony. Audyty drugiej strony są przeprowadzane przez zainteresowane podmioty, takie jak klienci, lub przez inne osoby w ich imieniu. Audyty osób trzecich są przeprowadzane przez zewnętrzne, niezależne organizacje audytorskie, takie jak te świadczące certyfikację / rejestrację zgodności lub agencje rządowe.
Nota 5: Gdy dwa (lub więcej) systemy zarządzania są badane razem, jest to określane jako połączony audyt.
Nota 6: Gdy dwie lub więcej organizacji audytorskich współpracuje w celu audytu jednego podmiotu, jest to określane jako audyt wspólny.
Nota 7: „Dowody audytu” i „kryteria audytu” są zdefiniowane w standardzie ISO 19011.
ISO 22300:2018


Systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów i ich obiektywnej oceny w celu określenia zakresu, w jakim kryteria audytu są spełnione.
Nota 1: Audyt może być audytem wewnętrznym (pierwsza strona) lub audytem zewnętrznym (druga strona lub strona trzecia) i może to być audyt łączony (łączący dwie lub więcej dyscyplin).
Nota 2: „Dowody audytu” i „kryteria audytu” są zdefiniowane w ISO 19011
ISO 22301:2012

Audyt wewnętrzny

Audyt przeprowadzony przez organizację lub w imieniu organizacji dla celów przeglądu zarządzania i innych celów wewnętrznych, który może stanowić podstawę dla deklaracji organizacji w zakresie zgodności.
Nota 1: W wielu przypadkach, szczególnie w mniejszych organizacjach, niezależność można wykazać poprzez wolność od odpowiedzialności za badaną działalność.
ISO 22300:2018


Audyt wewnętrzny jest niezależną i obiektywną działalnością oceniającą i doradczą, prowadzoną w celu wniesienia do organizacji wartości dodanej i doskonalenia jej działalności operacyjnej. Pomaga organizacji w osiąganiu założonych celów poprzez dostarczanie w sposób systematyczny i zdyscyplinowany oceny ryzyka celem poprawy skuteczności procesów zarządzania ryzykiem i doskonalenia mechanizmów kontroli i kierowania.
The Institute of Internal Auditors – IIA

Audyt zarządzania ryzykiem

Systematyczny, niezależny i udokumentowany proces pozyskiwania dowodów i ich obiektywnej oceny w celu określenia  stopnia, w jakim ramy zarządzania ryzykiem lub jego wybrane elementy są odpowiednie i skuteczne
ISO Guide 73:2009

Audyt zgodności

Weryfikacja, czy ustalone mechanizmy kontrolne są realizowane w praktyce.

Awaria

W przypadku urządzeń technicznych stan, który uniemożliwia dalszą eksploatację danego urządzenia. Przyczynami awarii mogą być:
– wada fabryczna
– używanie niezgodne z przeznaczeniem
– zużycie
– czynniki zewnętrzne
– nieumiejętna obsługa
– nieprzestrzeganie zaleceń producenta   itp.


Zdarzenie powstałe w wyniku niekontrolowanego rozwoju sytuacji w czasie eksploatacji materiałów, urządzeń lub instalacji, prowadzące do powstania, natychmiast lub z opóźnieniem, na terenie organizacji lub poza jej terenem, poważnego zagrożenia dla zdrowia ludzkiego i/lub środowiska, takie jak: duża emisja substancji szkodliwych lub niebezpiecznych, pożar, wybuch itp.
PN-N-18001

Awersja do ryzyka

Postawa unikania, niechęci wobec ryzyka
ISO Guide 73

 

Peritus

Haurit aquam cribro qui discere vult sine libra. >>Sitem czerpie wodę, kto chce się uczyć bez książki.

Powiązane artykuły