- Pamięć jest ulotna. Zarządzanie ryzykiem wymaga rejestrowania zarówno działań jak i wyników. To się nazywa odpowiedzialność
Ciągłość działania organizacji to również efekt zapewnienia ciągłości funkcji zarządzania ryzykiem. Bez danych historycznych, bieżących i prognostycznych nie jest możliwe skuteczne reagowanie na pojawiające się zagrożenia i szanse.
Bieżące dokumentowanie analiz, decyzji, działań i ich wyników wspiera rozwój kompetencji organizacji w zakresie zarządzania ryzykiem. Sprzyja również jednoznacznemu ustalaniu zakresów odpowiedzialności w odniesieniu do zarządzania ryzykiem.
ISTOTA
1. Wypełnienie wymagań (zewnętrznych i wewnętrznych) dotyczących ujawniania i sprawozdawczości ryzyka.
2. Zapewnienie śladowalności systemu (mechanizmów) zarządzania ryzykiem.
3. Zapewnienie ciągłości funkcji i zadań związanych z prognozowaniem, identyfikowaniem, analizą i oceną oraz reagowaniem na ryzyka.
4. Rozwój kompetencji (indywidualnych i zespołowych) w dziedzinie zarządzania ryzykiem, odpornością, ciągłością działania i bezpieczeństwem.
5. Rozwój i doskonalenie metod, narzędzi i technik prognozowania, identyfikacji, analizy i oceny ryzyka oraz planowania i realizacji zadań w ramach strategii reagowania na ryzyko.
Risk is just an expensive substitute for information. Adrian Slywotzky
ZAKRES
Dokumentowanie działań i wyników działań podejmowanych w ramach poszczególnych faz cyklu zarządzania ryzykiem, w szczególności:
Faza kreowania świadomości ryzyka
- Architektura organizacji (w tym cele i zamierzenia)
- Środowisko zewnętrzne (w tym oczekiwania i wymagania)
- Relacje i powiązania
Faza kształtowania postawy wobec ryzyka
- Wymagania zewnętrzne (prawo, regulacje, umowy i porozumienia)
- Wymagania wewnętrzne (założenia, limity, ograniczenia)
- Listy kontrolne i wytyczne dotyczące prognozowania i identyfikacji ryzyka
- Listy kontrolne i wytyczne dotyczące analizy ryzyka
- Listy kontrolne i wytyczne dotyczące oceny ryzyka
Faza rozpoznania ryzyka
1. Zakres, założenia i ograniczenia procesów rozpoznania ryzyka
2. Metody, techniki i narzędzia rozpoznania ryzyka
3. Wyniki rozpoznania ryzyka:
- Wyniki prognozowania ryzyka
- Wyniki identyfikacji ryzyka
- Wyniki analizy ryzyka
- Wyniki oceny ryzyka
4. Poziom(y) ryzyka
5. Profil(e) ryzyka
6. Priorytety
Faza planowania i podejmowania działań
- Priorytety
- Strategie i plany zarządzania ryzykiem
- Działania i ich rezultaty
- Plany „na wypadek”
Faza monitorowania
1. Dokumentowanie zmian:
- Architektury organizacji
- Otoczenia organizacji
- Relacji wewnętrznych i zewnętrznych
- Wymagań zewnętrznych i wewnętrznych w odniesieniu do ryzyka
- Postawy wobec ryzyka, w tym limitów i ograniczeń
2. Aktualizacja:
- Rejestru (rejestrów) ryzyka
- Rejestru (rejestrów) zdarzeń i strat operacyjnych
- Strategii i planów
3. Dokumentowanie procesów oceny funkcjonowania systemu zarządzania ryzykiem; ich wyników, wniosków i zmian w systemie zarządzania ryzykiem.
4. Gromadzenie wniosków z doświadczeń.
Faza konsultowania, decydowania i komunikowania
- Pozyskiwanie, gromadzenie i archiwowanie danych, informacji, opinii, ocen, analiz.
- Dokumentowanie zasad, zakresu, metodyk i wytycznych
- Dokumentowanie i komunikowanie decyzji
- Ujawnianie i sprawozdawczość ryzyka
REZULTAT
Zapewnienie ciągłości procesów zarządczych w odniesieniu do ryzyka, odporności organizacji, jej ciągłości działania i bezpieczeństwa.
