Co to jest kontekst organizacji i zarządzanie ryzykiem?

W 2015 roku pojawiła się nowa wersja normy ISO 9001 i zaczęła się rewolucja! W normie pojawiły się dwa tajemnicze określenia:

  • kontekst organizacji

  • zarządzanie ryzykiem

Mimo, że od 2015 roku upłynęły już 3 lata, dalej kontekst organizacji i zarządzanie ryzykiem spędza sen z powiek wielu osobom zajmującym się systemami zarządzania!

ISO 9001, jak wirus, zaczęło “infekować” inne normy systemowe tymże kontekstem organizacji, a co gorsza, również zarządzaniem ryzykiem. Od 2015 roku każda aktualizacja normy, która się pojawiła, zawiera te elementy. Dotyczy to:

  • AQAP 2110

  • ISO 13485

  • ISO 14001

  • ISO 45001 (zamiast OHSAS 18001)

  • IATF 16949

  • ISO/IEC 20000-1

  • ISO/IEC 17025

Należy się spodziewać, że każde nowe wydanie normy będzie zawierało wymóg zidentyfikowania kontekstu organizacji i zarządzania ryzykami wynikającymi z kontekstu, a dotyczącymi celów organizacji.

Zobacz podobne  Jak przejść na nową normę ISO 27001:2022

Postaram się Wam wytłumaczyć o co chodzi w kontekście i zarządzaniu ryzykiem.

Co to jest kontekst organizacji?

Każda organizacja działa w środowisku (otoczeniu), na które składają się: dostawcy (firmy, osoby), klienci (firmy, osoby), dostawcy finansujący naszą działalność (banki, leasingodawcy), dostawcy nas asekurujący (ubezpieczyciele), administracja państwowa (KAS, ZUS, NFZ, ministerstwa, urzędy centralne), administracja samorządowa (wojewódzka, powiatowa, gminna), organy ścigania (policja, straż graniczna, wojsko, itd), nasi właściciele lub udziałowcy, naszej kadra kierownicza i nasi pracownicy.

Członków środowiska (otoczenia) nazywamy (za normą ISO 9001) Interesariuszami, bo każdy z nich ma wobec nas oczekiwania (interesy). Czegoś od nas chce.

Naszym zadaniem jest:

  • Określenie czego od nas chce Interesariusz?

  • Określenie, czy jego potrzeby stanowią dla nas zagrożenie? Jeżeli tak, to jakie?

  • Określenie, czy jego potrzeby stanowią dla nas szanse? Czy możemy coś zyskać? Jeżeli tak, to co?

Zobacz podobne  NIS vs NIS2

Gdy wypiszemy naszych Interesariuszy, określimy ich potrzeby wobec nas, zagrożenia jakie dla nas stanowią oraz szanse, które nam stwarzają. Mamy określony kontekst organizacji!

Zapisujemy to i gotowe!

Co to jest zarządzanie ryzykiem?

Gdy znamy zdefiniowane zagrożenia, które stwarza dla nas środowisko (interesariusze), przechodzimy do zarządzania ryzykiem.

Aby móc to uczynić musimy odpowiedzieć sobie na następujące pytania:

  • Co chcemy zyskać?

Odpowiedź, np.: zysk operacyjny rzędu 10%

  • Czego potrzebujemy, aby to uzyskać?

Odpowiedź, np.: procesy, zasoby, wiedzę (są to aktywa)

  • Co chcemy lub musimy chronić, aby to uzyskać?

Odpowiedź, np.: procesy, zasoby, wiedzę

Gdy już wiemy co chcemy uzyskać i co musimy chronić, musimy określić:

  • Co zagraża naszym aktywom? Wymieniamy wszystkie znane nam zagrożenia.

  • Co spowoduje powstanie zagrożeń? Wymieniamy wszystkie znane nam podatności.

  • Co się stanie, gdy wystąpi zagrożenie? Wymieniamy wszystkie znane nam straty.

Zobacz podobne  Co to jest ISO 9001?

Następnie określamy prawdopodobieństwo takiego zdarzenia. Jeżeli prawdopodobieństwo wyjdzie wysokie musimy się przygotować na zagrożenie! Przygotowanie to dzielimy na trzy obszary:

  • Co robić, aby nie dopuścić do wystąpienia zagrożenia?

  • Co robić, gdy wystąpi zagrożenie?

  • Co robić, aby usunąć skutki zagrożenia i przywrócić stan pierwotny?

Gdy mamy te wszystkie informacje i są one u nas wdrożone, zarządzamy ryzykiem!

Autor: Mariusz Mazur


 

 

Masz pytania związane z Systemem  Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.

Scroll to Top