Racjonalne zapewnienie (poświadczenie)
Koncepcja stanowiąca, że zarządzanie ryzykiem w przedsiębiorstwie, bez względu na to jak dobrze jest zaprojektowane i realizowane, nie może w pełni zagwarantować osiągnięcia celów jednostki.
Poziom satysfakcji daleki od zagwarantowania, ale uznany za adekwatny biorąc pod uwagę koszty kontroli i możliwe do uzyskania korzyści.
ISACA / Cobit
Jest to standard oceny adekwatności procedur ustalonych w celu spełnienia określonych celów kontrolnych. Racjonalne poświadczenie (zapewnienie) pociąga za sobą zastosowanie osądu, wiedzy i doświadczenia w celu wypracowania uzasadnionej opinii. Racjonalne poświadczenie (zapewnienie) wymaga, aby system mechanizmów kontrolnych był skuteczny, ale nie nadmiernie obciążający. Standard racjonalnego poświadczenia (zapewnienia) wymaga również, aby system mechanizmów kontrolnych był wydajny kosztowo
Świadomość, że zarządzanie ryzykiem w przedsiębiorstwie, bez względu na to jak dobrze jest zaprojektowane i użytkowane, nie może zagwarantować spełnienia celów jednostki.
Ramy zarządzania ryzykiem
Zestaw składników, które zapewniają podstawy i organizacyjne ustalenia dotyczące projektowania, wdrażania, monitorowania, przeglądu i ciągłego doskonalenia zarządzania ryzykiem w całej organizacji
Nota 1. Ramy obejmują politykę, cele, upoważnienia i zobowiązanie do zarządzania ryzykiem
Nota 2. Organizacyjne ustalenia obejmują plany, relacje, odpowiedzialności, zasoby, procesy i działania.
Nota 3. Ramy zarządzania ryzykiem są osadzone w ogólnych strategicznych i operacyjnych politykach i praktykach organizacji.
ISO Guide 73
Reagowanie na incydenty
Działania podjęte w celu powstrzymania przyczyn bezpośredniego zagrożenia i / lub złagodzenia skutków potencjalnie destabilizujących zdarzeń lub zakłóceń oraz powrotu do normalnej sytuacji.
Nota 1: Odpowiedź na incydent jest częścią procesu zarządzania nadzwyczajnego.
ISO 22300:2018
Reakcja na ryzyko
Strategia polegająca na podejmowaniu – lub nie – działań związanych z unikaniem, minimalizowaniem, przeniesieniem lub akceptacją ryzyka.
Proces mający na celu zmianę ryzyka .
Nota 1: Reagowanie na ryzyko może obejmować
– unikanie ryzyka poprzez podjęcie decyzji o nie rozpoczynaniu lub kontynuowaniu działalności, która powoduje ryzyko,
– podejmowanie lub zwiększanie ryzyka w celu skorzystania z okazji,
– usunięcie źródła ryzyka,
– zmiana prawdopodobieństwa,
– zmiana konsekwencji ,
– dzielenie ryzyka z inną stroną lub stronami (w tym umowami i finansowaniem ryzyka), oraz
– zachowanie ryzyka poprzez świadome decyzje.
Nota 2: Reagowanie na ryzyko, które dotyczy negatywnych konsekwencji, jest czasami określane jako „ograniczanie ryzyka”, „eliminacja ryzyka”, „zapobieganie ryzyku” i „redukcja ryzyka”.
Nota 3: Reagowanie na ryzyko może wywoływać nowe ryzyko lub modyfikować istniejące ryzyko.
ISO 22300:2018
Proces zmiany ryzyka.
Nota 1. Reakcja na ryzyko może obejmować:
– unikanie ryzyka poprzez podjęcie decyzji o nierozpoczynaniu lub braku kontynuacji działania powodującego powstanie ryzyka
– podejmowanie lub zwiększenie ryzyka w celu wykorzystania szansy
– usunięcie źródła ryzyka
– zmianę możliwości
– zmianę konsekwencji
– podział ryzyka z innymi podmiotami (poprzez umowy i finansowanie ryzyka)
– świadome zatrzymanie ryzyka.
Nota 2. Reakcje na ryzyko, które odnoszą się do negatywnych konsekwencji są czasami określane jako „łagodzenia ryzyka”, „eliminacja ryzyka”, „zapobieganie zagrożeniom” i „ograniczanie ryzyka”.
Nota 3. Reakcja na ryzyko może kreować nowe ryzyko lub zmieniać ryzyko istniejące.
ISO Guide 73
Podjęcie działań w wyniku stwierdzenia ryzyka przekraczającego ustalone limity, polegające na:
– przeniesieniu ryzyka na inny podmiot,
– tolerowaniu podwyższonego ryzyka,
– wdrożeniu nowych mechanizmów redukujących ryzyko,
– wycofaniu się z działalności w danym obszarze
Sposób postępowania z ryzykiem, który powinien uwzględniać akceptowalny poziom ryzyka oraz relacje kosztów wdrożenia działań, które stanowiłyby odpowiedź na ryzyko
Redukcja (ograniczenie) ryzyka
Działania podejmowane w celu zmniejszenia prawdopodobieństwa wystąpienia szkody i wagi tej szkody
Działania podjęte w celu zmniejszenia prawdopodobieństwa ryzyka, negatywnych konsekwencji ryzyka, lub obu.
ISO 22300:2018
Redundancja
Zastosowanie więcej niż jednego urządzenia lub systemu, albo też części urządzenia lub części systemu, w celu zapewnienia takiego stanu, że przy defekcie jednego z nich, drugie jest gotowe do wykonania danej funkcji.
Reguły gospodarowania / reguły biznesowe/
Stwierdzenia i ograniczenia funkcjonalne, strukturalne i behawioralne
Rejestr ryzyka
Zapis informacji o zidentyfikowanych ryzykach.
Nota 1: Kompilacja informacji o wszystkich rodzajach ryzyka, zidentyfikowanych, przeanalizowanych i ocenionych w procesie oceny ryzyka, w tym informacji dotyczących prawdopodobieństwa, konsekwencji, reagowania i właścicieli ryzyka.
ISO 22300:2018
Dokument zawierający informacje będące wynikiem prowadzonych działań związanych z identyfikacją, analizą i oceną ryzyka, jak również zawierający zapisy o podejmowanych – w ramach reakcji na rozpoznane ryzyko – decyzjach.
Dokument odzwierciedlający przeprowadzoną identyfikację i analizę ryzyka, a także zaproponowaną reakcję na ryzyko. Stanowi główne źródło informacji dla sporządzanych okresowo raportów i zestawień dotyczących zarządzania ryzykiem
Dokument opracowany przez koordynatora ds. zarządzania ryzykiem, który stanowi zestawienie wszystkich ryzyk przesłanych przez jednostki organizacyjne Spółki, które zidentyfikowały ryzyka w obszarze swojej działalności na cały rok kalendarzowy
Dokument opracowywany przez wszystkie jednostki organizacyjne Spółki, będący wynikiem procesu identyfikacji, oceny i analizy ryzyka
Dokument zawierający informacje opisujące rozpoznane ryzyka.
Dokument zawierający wszystkie informacje o zagrożeniach, ich analizie, przeciwdziałaniach i statusie.
Zapis informacji o rozpoznanym ryzyku.
Nota. Pojęcie “dziennik ryzyka – risk log” bywa czasami używany zamiast pojęcia “rejestr ryzyka”
ISO Guide 73
Rozliczalność
Właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi
ISO 7498-2: 1989
Ryzyko akceptowalne
Poziom ryzyka uznany za bezpieczny dla realizacji celu lub zadania.
Ryzyko audytu
Ryzyko wystawienia błędnej opinii audytowej.
ISACA / Cobit
Ryzyko czyste
Ryzyko wywodzące się z sytuacji, gdy alternatywnym stanem wobec obecnego lub przewidywanego jest strata.
Ryzyko detekcji
Ryzyko polegającym na tym, iż analityczne procedury audytowe nie ujawnią błędu, który sam lub w połączeniu z innymi błędami będzie miał istotny wpływ na analizowany obszar.
ISACA / Cobit
Ryzyko dziedziczone
Ryzyko, że istnieje błąd, który może być istotny, a którego nie wykryto w trakcie kontroli stwierdzającej brak odpowiedniej kontroli funkcjonalnej. Podejrzenie istnienia błędów w przypadku braku kontroli funkcjonalnej.
Ryzyko inherentne
Patrz: ryzyko pierwotne
Ryzyko kluczowe
Możliwość wystąpienia zdarzeń (pozytywnych i negatywnych), które mogą mieć wpływ na realizację głównych celów organizacji
Ryzyko kontroli
Możliwość nie zadziałania w zamierzony sposób istniejących mechanizmów kontroli
Ryzyko kontroli polega na braku możliwości uniknięcia błędu, jego wykrycia i skorygowania we właściwym czasie przez system kontroli wewnętrznej.
ISACA / Cobit
Ryzyko nieakceptowalne
Ryzyko wyższe niż akceptowalne, które wymaga ustalenia i podjęcia działań ograniczających ryzyko do poziomu akceptowalnego. Mechanizmy kontrolne mogą obniżać prawdopodobieństwo wystąpienia ryzyka, bądź jego wpływ, ewentualnie oba te elementy łącznie.
Ryzyko niebezpieczeństwa
Nieprzewidziane zdarzenia, które pojawiają się poza normalnym środowiskiem pracy
Ryzyko nieodłączne
Ryzyko, które pozostaje po podjęciu przez kierownictwo działań w kierunku zmniejszenia jego prawdopodobieństwa lub efektów
COSO ERM
Ryzyko operacyjne
Ryzyko straty wynikające z nieodpowiednich lub błędnych procesów wewnętrznych, ludzi i systemów lub ze zdarzeń zewnętrznych. Definicja ta obejmuje ryzyko prawne, ale wyklucza ryzyko strategiczne i ryzyko utraty reputacji
BASEL II
Ryzyko odnoszące się do codziennych, rutynowych działań organizacji.
Ryzyko straty wynikające z nieodpowiednich lub nieudanych procesów wewnętrznych, ludzi i systemów lub ze zdarzeń zewnętrznych, ale jest lepiej postrzegane jako ryzyko wynikające z wykonywania funkcji biznesowych instytucji.
Risk Management Association – RMA
Ryzyko negatywnych skutków finansowych, biznesowych i / lub reputacyjnych wynikających z niewłaściwego lub nieudanego wewnętrznego zarządzania i procesów biznesowych, ludzi, systemów lub zdarzeń zewnętrznych.
European Systemic Risk Board – ESRB
Potencjał poniesienia strat w odniesieniu do pracowników, zarządzania projektami, specyfikacji kontraktowych i ich dokumentacji, technologii, awarii infrastruktury i katastrof, wpływów zewnętrznych i relacji z klientami. Definicja ta obejmuje ryzyko prawne i regulacyjne.
Deutsche Bank Annual Report 2006
Ryzyko pierwotne
Ryzyko, które w sposób nieodłączny związane jest z daną działalnością i które nie uwzględnia istnienia siły mechanizmów kontrolnych
Ryzyko prawne
Ryzyko prawne obejmuje między innymi narażenie na grzywny, kary lub odszkodowania karne wynikające z działań nadzorczych, a także rozliczenia prywatne.
BASEL II
Ryzyko straty wynikające z narażenia na 1) na nieprzestrzeganie obowiązków regulacyjnych i / lub ustawowych i / lub 2) niekorzystną interpretację i / lub wykonalność postanowień umownych. Obejmuje to ekspozycję na nowe przepisy, a także zmiany interpretacji istniejących przepisów przez właściwe organy i przekroczenie uprawnień zawartych w umowie.
ORX: Operational Risk Reporting Standards (ORRS) – Ed. 2011
Ryzyko specyficzne / niesystemowe
Ryzyko związane z przyszłymi zdarzeniami, które możemy częściowo kontrolować albo przewidywać; związane z indywidualnymi decyzjami.
Ryzyko spekulacyjne
Ryzyko wystąpienia zdarzeń mogących spowodować zarówno straty jak i korzyści
Ryzyko systemowe
Ryzyko odnoszące się do ogółu społeczeństwa lub grup ludzi (organizacji), przez co nie może być kontrolowane (nawet częściowo) przez żadną pojedynczą osobę.
Ryzyko szczątkowe
Ryzyko pozostające po reagowaniu na ryzyko.
Nota 1: Ryzyko szczątkowe może zawierać niezidentyfikowane ryzyko.
Nota 2: Ryzyko rezydualne można również określić jako „ryzyko zatrzymane”.
ISO 22300:2018
Ryzyko pozostałe po reakcji na ryzyko.
Nota 1. Ryzyko szczątkowe może zawierać nierozpoznane ryzyko
Nota 2. Ryzyko szczątkowe może być znane jako „ryzyko zatrzymane”
ISO Guide 73:2009
Ryzyko, które pozostaje po podjęciu działań podejmowanych w ramach reagowania na ryzyko.
Ryzyko, pozostałe po podjęciu działań zmiany możliwości wystąpienia lub skutków ryzyka.
Ryzyko jakie pozostaje po zastosowaniu działań zmierzających do zmniejszenia ryzyka w szczególności po zastosowaniu mechanizmów kontrolnych.
Ryzyko pozostałe po podjęciu – przez kierownictwo – działań ograniczających wpływ i prawdopodobieństwo niekorzystnych wydarzeń, włączając w to działania kontrolne podjęte w reakcji na ryzyko.
IIA
Ryzyko pozostałe po podjęciu środków redukcji ryzyka lub bezpieczeństwa.
Nota 1: Po podjęciu środków ograniczających, ryzyko szczątkowe powinno być mniejsze niż ryzyko tolerowalne w ten sposób zapewniając bezpieczeństwo.
ISO/TR 20183:2015
Pozostałe – po wprowadzeniu stosownych środków zaradczych – ryzyko wymagających ochrony aktywów centrum danych.
ISO/IEC TS 22237-6:2018
Ryzyko pozostałe po wprowadzeniu środków bezpieczeństwa.
ISO 26262-1:2018
Ryzyko pozostałe w systemie zakończeniu procesu redukcji zagrożeń i kontroli.
EN 13701:2001
Ryzyko, jakie pozostaje po zastosowaniu (wprowadzeniu) środka ochronnego
EN-1050
Ryzyko wewnętrzne
Ryzyko, na które ma wpływ organizacja.
Jest to podatność na wystąpienie istotnego błędu, który sam lub w połączeniu z innymi błędami będzie miał istotny wpływ na analizowany obszar, przy braku odpowiednich kontroli wewnętrznych.
ISACA / Cobit
Ryzyko, na które ma wpływ zespół zarządzający projektem.
Ryzyko wtórne / pochodne
Ryzyko wynikające bezpośrednio z realizacji wybranej strategii reagowania na ryzyko.
Ryzyko zewnętrzne
Ryzyko, na którego przyczyny nie ma wpływu organizacja.
Rzetelność informacji
Zapewnienie właściwych informacji dla zarządzania jednostką i dla kierownictwa, aby mogło realizować obowiązki finansowe i sprawozdawcze.
ISACA / Cobit
