Jak zarządzać ryzykiem prawnym? Norma ISO 31022:2020

Nowy członek rodziny ISO 31000 zarządzanie ryzykami

ISO 31022 Zarządzanie ryzykiem – Wytyczne dotyczące zarządzania ryzykiem prawnym, jest nowym członkiem rodziny ISO 31000. Podczas gdy ISO 31000 zawiera ogólne zasady i wytyczne dotyczące wszystkich grup ryzyk, na które są narażone organizacje, ISO 31022 dotyczy określonej kategorii –ryzyka w obszarze prawnym. Oczywiste jest, że wszystkie rodzaje ryzyka muszą być skutecznie zarządzane, aby zapewnić bezpieczeństwo i rozwój organizacji. Ale na ryzyko prawne jest narażona każda organizacja i najczęściej stanowi ono duże wyzwanie. Norma ISO 31022 opierając się na zasadach określonych w ISO 31000 adaptuje zarządzanie ryzykiem oraz procesy na  potrzeby zarządzania ryzykiem prawnym. ISO 31022 ma taką samą strukturę jak ISO 31000.

Struktura normy ISO 31022

Norma składa się z sześciu głównych rozdziałów oraz pięciu załączników:

Przedmowa

Wprowadzenie

  1. Zakres normy
  2. Powołania normatywne
  3. Terminy i definicje
  4. Zasady
  5. Proces zarządzania ryzykiem prawnym
  6. Wdrożenie zarządzania ryzykiem prawnym

Załącznik A: Przykład metodyki identyfikacji zagrożeń prawnych

Załącznik B: Przykład rejestru ryzyka prawnego

Dodatek C: Ocena prawdopodobieństwa zdarzeń związanych z ryzykiem prawnym

Dodatek D: Ocena konsekwencji zdarzeń związanych z ryzykiem prawnym

Załącznik E: Kluczowe kwestie do rozważenia podczas przeglądu umów

Bibliografia

 

Zarządzanie ryzykiem prawnym w praktyce

Rozpatrzmy krok po kroku co należy zrobić, aby stosując normę ISO 31022 wdrożyć w organizacji zarządzanie ryzykiem prawnym.

Zobacz podobne  Nowa norma ISO/IEC 27001:2022

Zaczynamy!

 

Krok 1

Określenie kontekstu

Zrozumienie otoczenia zewnętrznego:

  • przepisy prawa krajowego i międzynarodowego (w tym w krajach prowadzenia działalności i świadczenia usług; eksterytorialne stosowanie lokalnych przepisów prawa);
  • porozumienia,
  • działania i wymagania (ew. pozwy i roszczenia)
  • strony trzecie,
  • akcjonariusze/udziałowcy zewnętrzni,
  • inne strony zainteresowane (doradcy zewnętrzni, regulatory, związki zawodowe itp.)

Zrozumienie środowiska wewnętrznego:

  • organizacja i struktura,
  • model biznesowy i kondycja finansowa
  • procedury/kodeky postępowania i polityk,
  • własność intelektualna i inne aktywa prawne,
  • przeszłe doświadczenia i spory
  • wykonanie zobowiązań kontraktowych

 

Krok 2

Definiowanie metodyki oceny ryzyka, ustalenie kryteriów.

Część ogólnych kryteriów ryzyka

  • zdefiniowana tolerancja dla ryzyka prawnego w oparciu o cele, wartości, zasoby i preferencje
  • w oparciu o kategorie ryzyk prawnych
  • uwzględnia zarządzanie, zasady, relacje i polityki.

 

Można wziąć jako kryteria: prawdopodobieństwo, skutek (wpływ finansowy) i ustalić dla nich wartości, np. od 1 do 5. Ryzyko będzie ustalane za pomocą przemnożenia tych wartości.

Krok 3

Ocena i analiza ryzyka prawnego.

3.1 Identyfikacja i opis rzeczywistych i potencjalnych zdarzeń wywołanych przez czynniki wewnętrzne lub zewnętrzne, znane lub nieznane, mające wpływ na cele związane z procesem

Źródłem informacji do identyfikacji ryzyk prawnych służą:

  • cele organizacyjne
  • organizacyjna struktura i zasady i postępowania w zakresie etyki i działań operacyjnych
  • konsultacje z interesariuszami
  • naruszenia prawa
  • odpowiedzialność karna i cywilna oraz kary finansowe
  • stosowanie określonych przepisów
  • monitorowanie zmian prawnych
Zobacz podobne  Norma ISO 29993: 2017

 

3.2 Analiza ryzyk prawnych

Wykonanie estymacji ryzyka. Danymi wejściowymi do tego etapu są prawdopodobieństwo wystąpienia zdarzenia oraz jego konsekwencje i wpływ.

Użycie danych historycznych i/lub symulacji, analityki biznesowej, sztucznej inteligencji i modelowania, ekspertyzy itp., wzięcie pod uwagę danych dot. konsekwencji przeszłych strat i korzyści z zaistniałych ryzyk prawnych.

 

3.3 Ocena ryzyk prawnych

W tym kroku dokonuje się porównania wyznaczonych poziomów ryzyka z ustalonymi kryteriami oraz nadaje się priorytety poszczególnym ryzykom. Nie jest to nic innego jak przyporządkowanie ryzyk do danej grupy. W zależności od przyjętej metodyki, zazwyczaj ryzyka są dzielone na niskie, średnie i wysokie. Wynikiem tego etapu powinna być lista ryzyk (tabela ryzyk).

Krok 4

Ustalenie priorytetów

Na podstawie otrzymanych wyników z analizy i oceny ryzyk (wynik może być przedstawiony w postaci tabeli ryzyk) określamy odpowiednie postępowanie. Szczególną uwagę trzeba zwrócić na ryzyka wymagające podjęcia działań (redukujących ich wartość do akceptowalnego poziomu).

Możliwości postępowania z ryzykiem najczęściej sprowadzają się do wyboru z czterech opcji: redukcja, akceptacja, unikanie, przeniesienie.

 

Krok 5

Odpowiednie zarządzanie dostępem do informacji związanych z analizowanymi ryzykami (tabela ryzyk i plany postępowania z ryzykami) w celu ochrony informacji wrażliwych i zapobieganie nieuprawnionym zmianom informacji i poszczególnych dokumentów.

Zobacz podobne  Planowanie ciągłości działania w organizacjach cz.1

 

Krok 6

Komunikacja wewnętrzna i zewnętrzna

Komunikacja wewnętrzna dotyczy prowadzenie zapisów, sprawozdawczości, raportowania szkoleń dot. ryzyk i postępowania z nimi itp. Komunikacja zewnętrza głównie skupia się na przestrzeganiu poufności, tajemnicy zawodowej; współpracy z organami regulacyjnymi, ustawodawczymi i sądowniczymi.

 

Krok 7

Monitorowanie i przegląd ryzyk.

Monitorowanie powinno zapewnić, że wszystkie nowe ryzyka i ich czynniki zostaną zidentyfikowane w odpowiednim czasie, który umożliwi ich analizę i przyjęcie adekwatnego postępowania.

Należy być na bieżąco ze zmianami w kontekście prawnym, identyfikując sygnały wczesnego ostrzegania wśród interesariuszy.

W przypadku zidentyfikowania zmiany jakiegokolwiek z czynników mających wpływ na ryzyko, powinno się dokonać ponownego przeglądu ryzyk oraz zaktualizowania ich wartości, jeżeli zostanie to uznane za zasadne.

Poza przeglądem ryzyk rekomendowane jest okresowe monitorowanie i przegląd całego procesu zarządzania ryzykiem (szczególnie w przypadku zmian organizacyjnych, wymagań biznesowych lub środowiska zewnętrznego), dlatego że obecna metodyka zarządzania ryzykiem może zostać nieadekwatna i/lub nieskuteczna z upływem czasu i zmian.

 

Autor: Maryna Kuczyńska (4824)

 

 

 

 


 

Masz pytania związane z Systemem  Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.

 

 

Scroll to Top