Nowy członek rodziny ISO 31000 zarządzanie ryzykami
ISO 31022 Zarządzanie ryzykiem – Wytyczne dotyczące zarządzania ryzykiem prawnym, jest nowym członkiem rodziny ISO 31000. Podczas gdy ISO 31000 zawiera ogólne zasady i wytyczne dotyczące wszystkich grup ryzyk, na które są narażone organizacje, ISO 31022 dotyczy określonej kategorii –ryzyka w obszarze prawnym. Oczywiste jest, że wszystkie rodzaje ryzyka muszą być skutecznie zarządzane, aby zapewnić bezpieczeństwo i rozwój organizacji. Ale na ryzyko prawne jest narażona każda organizacja i najczęściej stanowi ono duże wyzwanie. Norma ISO 31022 opierając się na zasadach określonych w ISO 31000 adaptuje zarządzanie ryzykiem oraz procesy na potrzeby zarządzania ryzykiem prawnym. ISO 31022 ma taką samą strukturę jak ISO 31000.
Struktura normy ISO 31022
Norma składa się z sześciu głównych rozdziałów oraz pięciu załączników:
Przedmowa
Wprowadzenie
- Zakres normy
- Powołania normatywne
- Terminy i definicje
- Zasady
- Proces zarządzania ryzykiem prawnym
- Wdrożenie zarządzania ryzykiem prawnym
Załącznik A: Przykład metodyki identyfikacji zagrożeń prawnych
Załącznik B: Przykład rejestru ryzyka prawnego
Dodatek C: Ocena prawdopodobieństwa zdarzeń związanych z ryzykiem prawnym
Dodatek D: Ocena konsekwencji zdarzeń związanych z ryzykiem prawnym
Załącznik E: Kluczowe kwestie do rozważenia podczas przeglądu umów
Bibliografia
Zarządzanie ryzykiem prawnym w praktyce
Rozpatrzmy krok po kroku co należy zrobić, aby stosując normę ISO 31022 wdrożyć w organizacji zarządzanie ryzykiem prawnym.
Zaczynamy!
Krok 1
Określenie kontekstu
Zrozumienie otoczenia zewnętrznego:
- przepisy prawa krajowego i międzynarodowego (w tym w krajach prowadzenia działalności i świadczenia usług; eksterytorialne stosowanie lokalnych przepisów prawa);
- porozumienia,
- działania i wymagania (ew. pozwy i roszczenia)
- strony trzecie,
- akcjonariusze/udziałowcy zewnętrzni,
- inne strony zainteresowane (doradcy zewnętrzni, regulatory, związki zawodowe itp.)
Zrozumienie środowiska wewnętrznego:
- organizacja i struktura,
- model biznesowy i kondycja finansowa
- procedury/kodeky postępowania i polityk,
- własność intelektualna i inne aktywa prawne,
- przeszłe doświadczenia i spory
- wykonanie zobowiązań kontraktowych
Krok 2
Definiowanie metodyki oceny ryzyka, ustalenie kryteriów.
Część ogólnych kryteriów ryzyka
- zdefiniowana tolerancja dla ryzyka prawnego w oparciu o cele, wartości, zasoby i preferencje
- w oparciu o kategorie ryzyk prawnych
- uwzględnia zarządzanie, zasady, relacje i polityki.
Można wziąć jako kryteria: prawdopodobieństwo, skutek (wpływ finansowy) i ustalić dla nich wartości, np. od 1 do 5. Ryzyko będzie ustalane za pomocą przemnożenia tych wartości.
Krok 3
Ocena i analiza ryzyka prawnego.
3.1 Identyfikacja i opis rzeczywistych i potencjalnych zdarzeń wywołanych przez czynniki wewnętrzne lub zewnętrzne, znane lub nieznane, mające wpływ na cele związane z procesem
Źródłem informacji do identyfikacji ryzyk prawnych służą:
- cele organizacyjne
- organizacyjna struktura i zasady i postępowania w zakresie etyki i działań operacyjnych
- konsultacje z interesariuszami
- naruszenia prawa
- odpowiedzialność karna i cywilna oraz kary finansowe
- stosowanie określonych przepisów
- monitorowanie zmian prawnych
3.2 Analiza ryzyk prawnych
Wykonanie estymacji ryzyka. Danymi wejściowymi do tego etapu są prawdopodobieństwo wystąpienia zdarzenia oraz jego konsekwencje i wpływ.
Użycie danych historycznych i/lub symulacji, analityki biznesowej, sztucznej inteligencji i modelowania, ekspertyzy itp., wzięcie pod uwagę danych dot. konsekwencji przeszłych strat i korzyści z zaistniałych ryzyk prawnych.
3.3 Ocena ryzyk prawnych
W tym kroku dokonuje się porównania wyznaczonych poziomów ryzyka z ustalonymi kryteriami oraz nadaje się priorytety poszczególnym ryzykom. Nie jest to nic innego jak przyporządkowanie ryzyk do danej grupy. W zależności od przyjętej metodyki, zazwyczaj ryzyka są dzielone na niskie, średnie i wysokie. Wynikiem tego etapu powinna być lista ryzyk (tabela ryzyk).
Krok 4
Ustalenie priorytetów
Na podstawie otrzymanych wyników z analizy i oceny ryzyk (wynik może być przedstawiony w postaci tabeli ryzyk) określamy odpowiednie postępowanie. Szczególną uwagę trzeba zwrócić na ryzyka wymagające podjęcia działań (redukujących ich wartość do akceptowalnego poziomu).
Możliwości postępowania z ryzykiem najczęściej sprowadzają się do wyboru z czterech opcji: redukcja, akceptacja, unikanie, przeniesienie.
Krok 5
Odpowiednie zarządzanie dostępem do informacji związanych z analizowanymi ryzykami (tabela ryzyk i plany postępowania z ryzykami) w celu ochrony informacji wrażliwych i zapobieganie nieuprawnionym zmianom informacji i poszczególnych dokumentów.
Krok 6
Komunikacja wewnętrzna i zewnętrzna
Komunikacja wewnętrzna dotyczy prowadzenie zapisów, sprawozdawczości, raportowania szkoleń dot. ryzyk i postępowania z nimi itp. Komunikacja zewnętrza głównie skupia się na przestrzeganiu poufności, tajemnicy zawodowej; współpracy z organami regulacyjnymi, ustawodawczymi i sądowniczymi.
Krok 7
Monitorowanie i przegląd ryzyk.
Monitorowanie powinno zapewnić, że wszystkie nowe ryzyka i ich czynniki zostaną zidentyfikowane w odpowiednim czasie, który umożliwi ich analizę i przyjęcie adekwatnego postępowania.
Należy być na bieżąco ze zmianami w kontekście prawnym, identyfikując sygnały wczesnego ostrzegania wśród interesariuszy.
W przypadku zidentyfikowania zmiany jakiegokolwiek z czynników mających wpływ na ryzyko, powinno się dokonać ponownego przeglądu ryzyk oraz zaktualizowania ich wartości, jeżeli zostanie to uznane za zasadne.
Poza przeglądem ryzyk rekomendowane jest okresowe monitorowanie i przegląd całego procesu zarządzania ryzykiem (szczególnie w przypadku zmian organizacyjnych, wymagań biznesowych lub środowiska zewnętrznego), dlatego że obecna metodyka zarządzania ryzykiem może zostać nieadekwatna i/lub nieskuteczna z upływem czasu i zmian.
Autor: Maryna Kuczyńska (4824)
Masz pytania związane z Systemem Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.