...

ISO 31050 – Ryzyko i odporność

Picture of Dariusz Rycek

Dariusz Rycek

Wprowadzenie do ISO 31050

Dzisiaj krótka rekomendacja dla tych, dla których budowa odporności organizacji obejmuje w swoim proaktywnym modelu element predykcji różnych zagrożeń mogących rzutować na działanie organizacji. Chociaż w dojrzałej organizacji powinno to być naturalne podejście, to dość często zdarza się, ze niechęć ludzi do takiej percepcji tłumacząc to „wróżeniem z fusów”. Nawet w tych dwóch obecnie najpopularniejszych standardach znajdujących się w centrum zainteresowania organizacji, jak ISO 22301 – ciągłość działania, oraz ISO 27001 (ISO/IEC 27001) – bezpieczeństwo informacji, takie podejście nie jest jednostkowe. Komitet ISO/TC 262 – Risk management, wyszedł naprzeciw takim potrzebom i opublikował normę ISO/TS 31050:2023 – Risk management – Guidelines for managing an emerging risk to enhance resilience (w wolnym tłumaczeniu: Zarządzanie ryzykiem – Wytyczne dotyczące zarządzania pojawiającym się ryzykiem w celu zwiększenia odporności) – dalej w skrócie ISO 31050.

 Dokument ten zawiera wytyczne dotyczące zarządzania pojawiającymi się ryzykami, na które może natrafić organizacja. Ponadto stanowi on uzupełnienie ISO 31000. Ma on także zastosowanie do każdej organizacji, na każdym etapie i do każdej działalności organizacji. Można także powiedzieć, że jego zastosowanie można dopasować do potrzeb różnych organizacji lub kontekstu różnych organizacji. Brzmi zachęcająco, dlatego krótki anons oparty na wprowadzeniu do normy.

Krótka charakterystyka normy

ISO 22301, Resilience, ISO 31050

Ryzyka, które dopiero się pojawiają, charakteryzują się swym nowatorskim charakterem, brakiem wystarczających danych oraz nieobecnością sprawdzonych informacji i wiedzy kluczowej dla procesów decyzyjnych. Z uwagi na to, że tego typu ryzyka mogą ewoluować, przynosząc zarówno duże zagrożenia, jak i możliwości, istotne jest, aby zarządzanie nimi było integralną częścią ogólnego zarządzania ryzykiem w organizacji. Powinno ono uwzględniać zmiany w różnorodnych aspektach zewnętrznego kontekstu organizacji, a także wpływ na jej środowisko wewnętrzne.

Przykładowe pojawiające się zagrożenia mogą obejmować:

  • ryzyko wynikające z niezauważonych zmian w otoczeniu organizacyjnym;
  • ryzyko powstałe na skutek innowacji lub ewolucji społeczno-technologicznej;
  • ryzyko z nowych lub dotychczas nierozpoznanych źródeł;
  • ryzyko związane z nowymi lub zmienionymi procesami, produktami lub usługami.

Konsekwencje tych zagrożeń mogą manifestować się jako:

  • narażenie na nieprzewidziane zagrożenia i niebezpieczeństwa o niejasnych skutkach;
  • zwiększone ryzyko ze znanych źródeł;
  • utrata lub zdobycie nowych możliwości.

Koncentracja na wiedzy

Efektywne zarządzanie ryzykiem, które dopiero się ujawnia, powinno opierać się na solidnej bazie wiedzy oraz zbieraniu potwierdzonych danych i informacji, szczególnie gdy są one ograniczone lub niejednoznaczne. Analiza tych danych przekształca je w cenną wiedzę i inteligencję, niezbędną do podejmowania decyzji strategicznych, taktycznych oraz operacyjnych.

W związku z tym, ISO 31050 dostarcza szczegółowych wytycznych dotyczących adaptacji standardu ISO 31000 do zarządzania nowo pojawiającymi się ryzykami, mając na celu zwiększenie odporności organizacji. Szczególny nacisk położony jest na te ryzyka, które mogą mieć istotny wpływ na organizację i jej cele. Efektywne zastosowanie zasad i procesów ISO 31000 do zarządzania nowym ryzykiem wymaga dogłębnego zrozumienia różnorodnych aspektów kontekstu, w którym organizacja funkcjonuje. Kluczowe kwestie to:

  • Ciągłe skanowanie zmieniających się okoliczności lub warunków, które mogą skutkować pojawiającym się ryzykiem, pomaga rozwijać wiedzę i zapewniać informacje potrzebne do podejmowania strategicznych, taktycznych i operacyjnych decyzji;
  • Identyfikacja zmian w kontekście organizacyjnym jest często wczesnym wskaźnikiem lub sygnałem, który identyfikuje słabe punkty i źródła pojawiających się zagrożeń;
  • Zarządzanie pojawiającym się ryzykiem opiera się na stosowaniu zasad ISO 31000 w warunkach skrajnej niepewności, rosnącej zmienności, złożoności i niejednoznaczności w wielu aspektach kontekstu, w którym działa organizacja.

Szczegółowe wytyczne dotyczą:

  • jak zrozumieć charakter i cechy pojawiających się zagrożeń (patrz punkt 4);
  • w jaki sposób zasady zarządzania ryzykiem mają zastosowanie do pojawiających się zagrożeń (zob. klauzula 5);
  • w jaki sposób proces zarządzania ryzykiem ISO 31000 jest stosowany do pojawiających się ryzyk (patrz punkt 6);
  • w jaki sposób można zwiększyć odporność poprzez zarządzanie pojawiającymi się zagrożeniami (patrz punkt 7);
  • jak korzystać z cyklu analizy ryzyka w przypadku pojawiającego się ryzyka (patrz punkt 8).

Dalsze szczegóły znajdują się w załącznikach od A do F.

ISO 31050

Korzyści dla organizacji z ISO 31050

Zastosowanie ISO 31050 pomaga organizacjom czerpać korzyści:

  • zwiększona świadomość, zmniejszająca prawdopodobieństwo nieprzewidzenia pojawiających się zagrożeń;
  • wczesne rozpoznawanie pojawiających się zagrożeń oraz zwiększony poziom gotowości i odporności;
  • terminowe rozpowszechnianie danych i wymiana informacji między zainteresowanymi stronami;
  • dostosowanie działań do pojawiających się zagrożeń we wszystkich aspektach kontekstu organizacyjnego.

Ten krótki anons jest oparty na wprowadzeniu do ISO 31050, bo każdy sam musi podjąć decyzję, czy potrzebuje pomostu aby użyć w kontekście budowy odporności organizacji, który zapewnia mu standard ISO 31050. W moim odczuciu komitet ten jest jednym z bardziej merytorycznych i konsekwentnych komitetów w ISO, stąd zainteresowanie aby zasygnalizować pojawienie się tej normy w publikacji.

Zapraszamy do współpracy
Zespół Centr of Excellence &QSCert

Bibliografia:

  1. ISO 31050 -Risk Management. Guidelines for managing an emerging risk to enhance resilience.  https://www.iso.org/standard/54224.html
Scroll to Top