Shkëmbimi i informacionit dhe konsultimi, përcaktimi i situatës. Parimet dhe udhëzimet e menaxhimit të rrezikut. Dokumentimi i procesit të menaxhimit të rrezikut
Parathënie
1 PËRGATITUR nga Qendra Shkencore dhe Teknike "INTEK" në bazë të përkthimit të saj autentik në rusisht të standardit ndërkombëtar të specifikuar në paragrafin
2 PARAQITUR nga Komiteti Teknik për Standardizim TC 100 “Strategjike dhe menaxhimin e inovacionit»
3 MIRATUAR DHE HYUR NË FUQI me Urdhrin e Agjencisë Federale për Rregullimin Teknik dhe Metrologjinë, datë 21 Dhjetor 2010 Nr. 883-st
2 Termat dhe përkufizimet
Në këtë standard, zbatohen termat e mëposhtëm me përkufizimet përkatëse:
Shënim 5-Pasiguria është një gjendje e pamjaftueshmërisë, qoftë edhe e pjesshme, e informacionit, të kuptuarit ose njohurive në lidhje me një ngjarje, pasojat ose mundësinë e saj.
[Udhëzuesi ISO 73:2009, përkufizimi 1.1]
2.2 menaxhimi i riskut, menaxhimi i riskut(menaxhimi i rrezikut): Veprime të koordinuara për të menaxhuar një organizatë duke marrë parasysh rreziku().
[Udhëzuesi ISO 73:2009, përkufizimi 2.1]
2.3 infrastrukturën e menaxhimit të rrezikut(korniza e menaxhimit të rrezikut): Një grup komponentësh që ofrojnë themelet dhe aranzhimet organizative dhe strukturën për zhvillimin, zbatimin, monitorimi(), rishikim dhe përmirësim të vazhdueshëm menaxhimi i riskut() në të gjithë organizatën.
Shënim 1 — Kuadri përfshin politikat, objektivat, autoritetet dhe përgjegjësitë e menaxhimit. rreziku().
Shënimi 2 i hyrjes: Rregullimet dhe struktura organizative përfshijnë planet, marrëdhëniet, përgjegjësitë, burimet, proceset dhe aktivitetet.
Shënim 3—Infrastruktura e menaxhimit të rrezikut është e integruar në të gjitha strategjitë dhe politikat operacionale dhe praktikat organizative.
[ISO Guide 73:2009, përkufizimi 2.1.1]
2.4 politika e menaxhimit të rrezikut(politika e menaxhimit të rrezikut): Një deklaratë e synimeve të përgjithshme dhe drejtimit të organizatës në lidhje me menaxhimi i riskut().
[ISO Guide 73:2009, përkufizimi 2.1.2]
2.5 qëndrim ndaj rrezikut Qëndrimi i rrezikut: Qasja e një organizate për të vlerësuar dhe në fund të fundit kapjen, mbajtjen, pranimin ose shmangien e mundësive rreziku().
[ISO Guide 73:2009, përkufizimi 3.7.1.1]
2.6 plani i menaxhimit të rrezikut(plani i menaxhimit të rrezikut): Dokument në infrastrukturën e menaxhimit të rrezikut(), duke përcaktuar qasjen, kontrollet dhe burimet e përdorura në menaxhimin e rrezikut ().
SHËNIM 1 Elementet e menaxhimit të rrezikut përfshijnë zakonisht procedurat, praktikat, caktimin e detyrave dhe përgjegjësive, renditjen dhe kohën e aktiviteteve.
SHËNIM 2 Plani i menaxhimit të rrezikut mund të zbatohet për një produkt, proces dhe projekt specifik, si dhe për një pjesë ose të gjithë organizatën.
[Udhëzuesi ISO 73:2009, përkufizimi 2.1.3]
2.7pronar rreziku(pronari i rrezikut): Personi ose njësia organizative që ka autoritetin dhe përgjegjësinë për të menaxhuar rreziqet().
[ISO Guide 73:2009, përkufizimi 3.5.1.5]
[Udhëzuesi ISO 73:2009, përkufizimi 3.1]
2.9vendosja e situatës (konteksti) Përcaktimi i kontekstit: Përcaktimi i parametrave të jashtëm dhe të brendshëm që merren parasysh gjatë menaxhimit të rrezikut dhe përcaktimit të fushëveprimit dhe kriteret e rrezikut() Për politikat e menaxhimit të rrezikut().
[ISO Guide 73:2009, përkufizimi 3.3.1]
SHËNIM 1 Informacioni mund të lidhet me praninë, natyrën, formën, gjasat ose mundësitë(), rëndësia, pranueshmëria, vlerësimet() Dhe ndikim në rrezik().
Shënimi 2 i hyrjes: Konsultimi është një proces i dyanshëm i shkëmbimit të njohurive të informacionit ndërmjet një organizate dhe palëve të saj të interesuara për çdo çështje përpara marrjes së një vendimi ose përpara përcaktimit të drejtimit të çështjes. Konsultimi është:
Një proces që ndikon në një vendim nëpërmjet ndikimit dhe jo pushtetit;
Pika fillestare për marrjen e vendimeve në vend të vendimmarrjes së përbashkët.
[ISO Guide 73:2009, përkufizimi 3.2.1]
Shënim 1 - Identifikimi përfshin njohjen burimet e rrezikut(),ngjarjet(), shkaqet e tyre dhe të mundshme pasojat().
Shënim 2 — Identifikimi i rrezikut mund të përdorë të dhëna historike, analiza teorike, këndvështrimi i informuar dhe mendimet dhe nevojat e ekspertëve e interesuar anët ().
[ISO Guide 73:2009, përkufizimi 3.5.1]
2.16 burim rreziku(burimi i rrezikut): Një element që, i vetëm ose i kombinuar, ka potencialin e tij për të shkaktuar një rrezik ().
Shënim - Burimi i rrezikut mund të jetë material ose jomaterial.
[ISO Guide 73:2009, përkufizimi 3.5.1.2]
2.17 ngjarje(ngjarje): Ndodhja ose ndryshimi i një sërë rrethanash specifike.
Shënim 1 – Një ngjarje mund të ketë një ose më shumë origjinë dhe mund të ketë shumë shkaqe.
Shënimi 2 i hyrjes: Një ngjarje mund të jetë që ndonjë fenomen nuk ka ndodhur.
Shënim 3—Ndonjëherë një ngjarje mund të konsiderohet një "incident" ose një "aksident".
Shënimi 4 - Ngjarja pa pasojat() mund të mendohet gjithashtu si "shmangie aksidentale", "incident", "përafërsisht humbje ose afër humbjes", "pothuajse ndodh".
[ISO Guide 73:2009, përkufizimi 3.5.1.3]
2.18 pasojë(pasojë): Rezultati ngjarjet(), duke ndikuar në qëllimet.
Shënim 1—Një ngjarje mund të çojë në një sërë pasojash.
Shënimi 2 i hyrjes: Një pasojë mund të jetë e sigurt ose e pasigurt dhe mund të ketë efekte pozitive ose negative mbi objektivat.
SHËNIM 3 Pasojat mund të shprehen në mënyrë cilësore ose sasiore.
Shënim 4 - Efektet fillestare mund të përforcohen nga një efekt domino.
[ISO Guide 73:2009, përkufizimi 3.6.1.3]
2.19 probabilitet, mundësi(gjasa): Mundësia që diçka mund të ndodhë.
Shënimi 1 i hyrjes: Në terminologjinë e menaxhimit të rrezikut, termi "probabilitet" ose "mundësi" nënkupton mundësinë që diçka mund të ndodhë, pavarësisht nëse është konstatuar, matur ose përcaktuar objektivisht ose subjektivisht, cilësisht ose sasior, dhe nëse përshkruhet nga konceptet e përgjithshme ose matematikisht (për shembull, si probabilitet ose frekuencë gjatë një periudhe të caktuar kohe).
Shënim 2 - Termi anglisht "gjasa" nuk ka një përkthim të drejtpërdrejtë në disa gjuhë: shpesh përdoret përkthimi i "probabilitetit". Megjithatë, në anglisht Termi (probabilitet) shpesh kuptohet në një kuptim të ngushtë matematikor. Prandaj, në terminologjinë e menaxhimit të rrezikut, termi "gjasa" përdoret për t'i dhënë të njëjtin kuptim të gjerë që ka fjala "probabilitet" në shumë gjuhë të tjera përveç anglishtes.
[ISO Guide 73:2009, përkufizimi 3.6.1.1]
2.20 profilin e rrezikut(profili i rrezikut): Përshkrimi i çdo grupi rreziqesh ().
SHËNIM Ky grup mund të përfshijë rreziqe që vlejnë për të gjithë organizatën, pjesë të saj ose janë të përcaktuara ndryshe.
[ISO Guide 73:2009, përkufizimi 3.8.2.5]
2.21 analiza e riskut(analiza e rrezikut): Procesi i të kuptuarit të natyrës rreziku() dhe përkufizimet niveli i rrezikut().
SHËNIM 1 Analiza e rrezikut ofron bazën për vlerësimi i rrezikut() dhe vendimet në lidhje me ndikim në rrezik().
SHËNIM 2 Analiza e rrezikut përfshin përcaktimin e shkallës së rrezikut.
[ISO Guide 73:2009, përkufizimi 3.6.1]
2.22 kriteret e rrezikut(kriteret e rrezikut): Shenjat sipas të cilave vlerësohet rëndësia rreziku().
Shënim 1 — Kriteret e rrezikut bazohen në objektivat e organizatës dhe e jashtme() Dhe situata e brendshme (konteksti)().
SHËNIM 2 Kriteret e rrezikut mund të rrjedhin nga standardet, ligjet, politikat dhe kërkesa të tjera.
[ISO Guide 73:2009, përkufizimi 3.3.1.3]
2.24 vlerësimi i rrezikut(vlerësimi i rrezikut): Procesi i krahasimit të rezultateve analiza e riskut() me të instaluar kriteret e rrezikut() për të përcaktuar nëse rreziku() dhe/ose vlera e tij është e pranueshme ose e lejueshme.
SHËNIM Vlerësimi i rrezikut kontribuon në marrjen e vendimeve në lidhje me ndikim në rrezik().
[Udhëzuesi ISO 73:2009, përkufizimi 3.7.1]
2.25 ndikim në rrezik(trajtimi i rrezikut): Procesi i modifikimit (ndryshimit) rreziku().
Shënim 1 - Ndikimet e rrezikut mund të përfshijnë:
Shmangia e rrezikut duke vendosur të mos filloni ose të vazhdoni një aktivitet që shkakton rrezik;
Marrja ose rritja e rrezikut për të përfituar nga një mundësi;
Eliminimi burim rreziku();
Ndryshimi në probabilitet ose mundësitë();
Ndryshimi pasojat();
Ndarja e rrezikut me një palë ose palë tjetër (përfshirë kontratat dhe financimin e rrezikut);
Mbajtja e ndërgjegjshme e rrezikut.
Shënimi 2 i hyrjes: Adresimi i një rreziku që ka pasoja negative nganjëherë referohet si "zbutje e rrezikut", "eliminim i rrezikut", "parandalim i rrezikut" dhe "zvogëlim i rrezikut".
SHËNIM 3 Ndikimet e rrezikut mund të krijojnë rreziqe të reja ose të modifikojnë rreziqet ekzistuese.
[ISO Guide 73:2009, përkufizimi 3.8.1]
2.26 kontrollin e rrezikut(kontrolli): Masa që modifikon (ndryshon) rreziku().
SHËNIM 1 Kontrolli i rrezikut mund të përfshijë çdo proces, politikë, procedurë, praktikë ose veprim tjetër që modifikon rrezikun.
SHËNIM 2 Kontrolli i rrezikut mund të mos ketë gjithmonë efektin e dëshiruar ose të pritur.
[ISO Guide 73:2009, përkufizimi 3.8.1.1]
2.27 rreziku i mbetur(rreziku i mbetur): Rreziku(), duke vazhduar pas ndikim në rrezik().
SHËNIM 1 Një rrezik i mbetur mund të përfshijë një rrezik të paidentifikuar.
Shënim 2 – Rreziku i mbetur mund të njihet edhe si “rreziku i mbajtur”.
[ISO Guide 73:2009, përkufizimi 3.8.1.6]
2.28 monitorimi monitorim: Inspektim i vazhdueshëm, mbikëqyrje, vëzhgim kritik ose përcaktim i kushteve për të identifikuar ndryshimet në lidhje me një nivel të kërkuar ose të pritshëm.
SHËNIM Monitorimi mund të zbatohet për infrastrukturën e menaxhimit të rrezikut (), procesi i menaxhimit të rrezikut (), rreziku() ose kontroll rreziku ().
[ISO Guide 73:2009, përkufizimi 3.8.2.1]
2.29 rishikim(rishikim): Aktivitetet e ndërmarra për të përcaktuar përshtatshmërinë, përshtatshmërinë dhe efektivitetin e lëndës në shqyrtim për të arritur objektivat e deklaruara.
Shënim - Mund të zbatohen procedurat e rishikimit struktura e menaxhimit të rrezikut(), procesi i menaxhimit të rrezikut(),rreziku() ose kontrollin e rrezikut().
[ISO Guide 73:2009, përkufizimi 3.8.2.2]
3 Parimet
Për të menaxhuar në mënyrë efektive rrezikun, një organizatë duhet të jetë në përputhje me parimet e mëposhtme në të gjitha nivelet:
a) Menaxhimi i riskut krijon dhe mbron vlerën 1) .
1) Në kontekstin e menaxhimit të rrezikut të korporatës dhe financiare - përkthimi i pranuar përgjithësisht i termit "kosto".
Menaxhimi i rrezikut kontribuon qartë në arritjen e qëllimeve dhe përmirësimin e aktiviteteve, për shembull, sigurimin e shëndetit dhe sigurisë së njerëzve, mbrojtjen, respektimin e kërkesave ligjore dhe të tjera të detyrueshme, njohjen publike, mbrojtjen mjedisi, cilësia e produktit, menaxhimi i projektit, kryerja e funksioneve, lidershipi dhe reputacioni;
b) Menaxhimi i riskut është pjesë përbërëse e të gjitha proceseve organizative.
Menaxhimi i riskut nuk është një aktivitet i veçantë që është i ndarë nga aktivitetet dhe proceset kryesore në organizatë. Menaxhimi i riskut është pjesë e përgjegjësive të menaxhmentit dhe pjesë integrale e të gjitha proceseve organizative, duke përfshirë planifikimin strategjik dhe të gjitha proceset e menaxhimit të projekteve dhe ndryshimeve;
c) menaxhimi i riskut është pjesë e procesit të vendimmarrjes.
Menaxhimi i riskut i ndihmon vendimmarrësit të bëjnë zgjedhje të informuara, të prioritizojnë veprimet dhe të bëjnë dallimin ndërmjet drejtimeve alternative të veprimit;
d) Menaxhimi i rrezikut është i lidhur qartë me pasiguri.
Menaxhimi i rrezikut merr qartë parasysh pasigurinë, natyrën e kësaj pasigurie dhe mënyrën e trajtimit të saj;
e) Menaxhimi i rrezikut është sistematik, i strukturuar dhe në kohë.
Një qasje sistematike, e rregullt dhe e strukturuar për menaxhimin e rrezikut promovon efikasitet dhe rezultate të qëndrueshme, të krahasueshme dhe të besueshme;
f) menaxhimi i rrezikut bazohet në informacionin më të mirë të disponueshëm.
Të dhënat në procesin e menaxhimit të rrezikut bazohen në burime informacioni si të dhënat historike, përvoja, reagimet e palëve të interesuara, vëzhgimet, parashikimet dhe vlerësimet e ekspertëve. Megjithatë, vendimmarrësit duhet të jenë të vetëdijshëm dhe të marrin parasysh çdo kufizim të të dhënave ose modelimit të përdorur, ose mundësinë e mendimeve të ndryshme midis ekspertëve.
g) menaxhimi i rrezikut është i adaptueshëm.
Menaxhimi i rrezikut duhet të jetë në përputhje me situatën e jashtme dhe të brendshme (kontekstin) dhe profilin e rrezikut;
h) menaxhimi i rrezikut merr parasysh faktorët njerëzorë dhe kulturorë.
Menaxhimi i riskut njeh aftësitë, perceptimet dhe synimet e njerëzve jashtë dhe brenda organizatës që mund të ndihmojnë ose pengojnë arritjen e objektivave të organizatës;
i) menaxhimi i riskut është transparent dhe merr parasysh interesat e palëve të interesuara.
Përfshirja e duhur dhe në kohë e palëve të interesuara, dhe veçanërisht e vendimmarrësve, në të gjitha nivelet e organizatës siguron që menaxhimi i rrezikut të mbetet i përshtatshëm dhe i përditësuar. Kjo u mundëson palëve të interesuara të përfaqësohen siç duhet dhe të kenë besim se pikëpamjet e tyre merren parasysh në procesin e përcaktimit të kritereve të rrezikut;
j) menaxhimi i rrezikut është dinamik, përsëritës dhe i përgjigjet ndryshimeve;
Menaxhimi i riskut vazhdimisht njeh dhe i përgjigjet ndryshimeve. Sapo ndodh një ngjarje e jashtme ose e brendshme, konteksti ose njohuritë ndryshojnë, rreziqet monitorohen dhe rishikohen, shfaqen rreziqe të reja, disa ndryshojnë, të tjera zhduken;
k) Menaxhimi i riskut kontribuon në përmirësimin e vazhdueshëm të organizatës.
Organizatat duhet të zhvillojnë dhe zbatojnë strategji për të përmirësuar përsosmërinë e menaxhimit të rrezikut në të njëjtën kohë me aspektet e tjera të menaxhimit të tyre të rrezikut.
Figura 2 - Marrëdhënia ndërmjet elementeve të infrastrukturës së menaxhimit të riskut
Ky kuadër nuk synon të përshkruajë një sistem menaxhimi, por të ndihmojë një organizatë në integrimin e menaxhimit të rrezikut në të sistemi i përbashkët menaxhimit. Kështu, organizatat duhet të përshtatin elementet e infrastrukturës për nevojat e tyre specifike.
Nëse praktikat dhe proceset e menaxhimit që ekzistojnë në organizatë përfshijnë elementë të menaxhimit të rrezikut, ose nëse organizata ka miratuar tashmë një proces formal të menaxhimit të rrezikut për rreziqe ose situata specifike, atëherë ato duhet të rishikohen dhe vlerësohen në mënyrë kritike për përputhjen me këtë Standard Ndërkombëtar. duke përfshirë kriteret e përfshira në aneks për të përcaktuar përshtatshmërinë dhe efektivitetin e tyre.
4.2 Kompetencat dhe detyrimet
Futja e menaxhimit të rrezikut dhe sigurimi i efektivitetit të tij të vazhdueshëm kërkon pranimin nga menaxhmenti i organizatës të angazhimeve të formuluara qartë dhe të zbatuara në mënyrë konsistente për zbatimin e planit të menaxhimit në të gjitha nivelet, si dhe të detajuara. planifikimi strategjik për të përmbushur këto detyrime. Menaxhmenti duhet:
Përcaktoni dhe mirëmbani politikat e menaxhimit të rrezikut;
Sigurimi i konsistencës ndërmjet kulturës së organizatës dhe politikave të saj të menaxhimit të rrezikut;
Përcaktoni kriteret për efektivitetin e menaxhimit të rrezikut, të cilat duhet të lidhen me kriteret për efektivitetin e organizatës në tërësi;
Përafroni objektivat e menaxhimit të rrezikut me qëllimet dhe strategjitë e organizatës;
Sigurimi i pajtueshmërisë ligjore dhe rregullatore;
Vendosni përgjegjësi dhe detyrime në nivelet e duhura në të gjithë organizatën;
Sigurimi i alokimit të burimeve të nevojshme për menaxhimin e rrezikut;
Ofrojë informacion për palët e tij të interesuara në lidhje me përfitimet e menaxhimit të rrezikut dhe
Sigurohuni që infrastruktura e menaxhimit të rrezikut të vazhdojë të jetë e përshtatshme.
4.3 Zhvillimi i infrastrukturës së menaxhimit të rrezikut
Përpara se të filloni të zhvilloni dhe zbatoni një infrastrukturë të menaxhimit të rrezikut, është e rëndësishme të vlerësoni dhe kuptoni situatën e jashtme dhe të brendshme (kontekstin) në organizatë, sepse mund të ndikojë ndjeshëm në zhvillimin e infrastrukturës.
Vlerësimi i situatës së jashtme (konteksti) i organizatës mund të përfshijë, por nuk kufizohet në:
c) marrëdhëniet me aktorët e jashtëm, vlerat dhe perceptimet e tyre.
Vlerësimi i situatës së brendshme (konteksti) i organizatës mund të përfshijë, por nuk kufizohet në:
Marrëdhëniet me aktorët e brendshëm, vlerat dhe perceptimet e tyre;
Kultura organizative;
Standardet, udhëzimet dhe modelet e miratuara nga organizata, dhe
Politika e menaxhimit të rrezikut duhet të përcaktojë qartë objektivat dhe detyrimet e organizatës në lidhje me menaxhimin e rrezikut dhe, si rregull, të përmbajë:
Arsyetimi i nevojës së organizatës për menaxhimin e riskut;
Lidhjet ndërmjet qëllimeve dhe politikave të organizatës dhe politikave të menaxhimit të rrezikut;
Llogaridhënia dhe përgjegjësia në lidhje me menaxhimin e rrezikut;
Metodat për zgjidhjen e konfliktit të interesit;
Angazhimi për të siguruar akses në burimet e nevojshme për të ndihmuar ata që janë përgjegjës dhe përgjegjës për menaxhimin e rrezikut;
Mënyrën në të cilën do të matet dhe raportohet efektiviteti i aktiviteteve të menaxhimit të rrezikut;
Angazhimi për të rishikuar dhe përmirësuar politikat dhe infrastrukturën e menaxhimit të rrezikut në mënyrë periodike dhe kur ndodhin ngjarje ose ndryshojnë rrethanat.
Politika e menaxhimit të rrezikut duhet t'u komunikohet siç duhet palëve të interesuara.
4.3.3 Përgjegjësia
Organizata duhet të sigurojë që ka përgjegjësinë, autoritetin dhe kompetencën e duhur për menaxhimin e rrezikut, duke përfshirë zbatimin dhe mirëmbajtjen e procesit të menaxhimit të rrezikut dhe sigurimin e përshtatshmërisë, efektivitetit dhe efikasitetit të çdo kontrolli. Kjo duhet të lehtësohet nga:
Përcaktimi i pronarëve të rrezikut të cilët janë përgjegjës dhe të autorizuar për të menaxhuar rreziqet;
Identifikimi i personave përgjegjës për zhvillimin, zbatimin dhe mirëmbajtjen e infrastrukturës së menaxhimit të rrezikut;
Vendosja e llojeve të tjera të përgjegjësisë së punonjësve në të gjitha nivelet e organizatës për procesin e menaxhimit të rrezikut;
Krijimi i proceseve të matjes së performancës dhe proceseve të raportimit të jashtëm dhe/ose të brendshëm dhe komunikimi i tij me menaxhmentin;
Siguroni nivele të përshtatshme njohjeje.
4.3.4 Integrimi në proceset organizative
Menaxhimi i riskut duhet të integrohet në të gjitha praktikat dhe proceset e organizatës në mënyrë të tillë që të kryhet në mënyrë adekuate, efektive dhe efikase. Procesi i menaxhimit të riskut duhet të jetë pjesë e këtyre proceseve organizative dhe nuk duhet të ndahet prej tyre. Në veçanti, menaxhimi i rrezikut duhet të ndërtohet në zhvillimin e politikave, proceset e planifikimit strategjik dhe të biznesit, duke përfshirë rregullimet e planeve dhe proceset e menaxhimit të ndryshimeve.
Një plan i menaxhimit të rrezikut duhet të zhvillohet në të gjithë organizatën për të siguruar që politika e menaxhimit të rrezikut zbatohet dhe se menaxhimi i rrezikut është i integruar në të gjitha praktikat dhe proceset e organizatës. Plani i menaxhimit të rrezikut mund të integrohet në plane të tjera të organizatës, siç është plani strategjik.
4.3.5 Burimet
Organizata duhet të sigurojë burime të mjaftueshme për qëllime të menaxhimit të rrezikut.
Gjërat për t'u marrë parasysh:
Njerëzit, aftësitë, përvoja dhe kompetenca;
Burimet e nevojshme për çdo fazë të procesit të menaxhimit të rrezikut;
Proceset, metodat dhe mjetet e organizatës që duhet të përdoren për menaxhimin e rrezikut;
Proceset dhe procedurat e dokumentuara;
Sistemet e menaxhimit të informacionit dhe njohurive;
Programet e trajnimit.
4.3.6 Krijimi i mekanizmave të brendshëm të shkëmbimit dhe raportimit të informacionit
Organizata do të krijojë mekanizma të brendshëm të komunikimit për të mbështetur dhe lehtësuar shpërndarjen e përgjegjësive dhe autoriteteve të menaxhimit të rrezikut. Këta mekanizma duhet të sigurojnë që:
Informacioni në lidhje me elementët kryesorë të infrastrukturës së menaxhimit të rrezikut dhe çdo modifikim pasues jepet sipas rastit;
Ekziston një raportim i brendshëm adekuat për infrastrukturën, efektivitetin dhe rezultatet e saj;
Informacioni përkatës i marrë në bazë të aplikimit të menaxhimit të rrezikut ofrohet në nivelet e duhura dhe në kohën e duhur;
Përdoren proceset e konsultimit me palët e brendshme të interesit.
Këta mekanizma duhet, aty ku është e përshtatshme, të përfshijnë procese për mbledhjen e informacionit të rrezikut nga një shumëllojshmëri burimesh dhe mund të kërkojnë verifikimin e burimeve të informacionit.
4.3.7 Krijimi i mekanizmave të shkëmbimit dhe raportimit të informacionit të jashtëm
Organizata do të zhvillojë dhe zbatojë një plan për komunikimin me palët e jashtme të interesuara. Ai duhet të përfshijë:
Përfshirja e palëve përkatëse të interesit dhe sigurimi i komunikimit efektiv;
Raportimi i jashtëm në përputhje me kërkesat ligjore, rregullatore dhe të qeverisjes;
Siguria reagime dhe raportimi mbi shkëmbimin e informacionit dhe konsultimet;
Përdorimi i shkëmbimit të informacionit për të arritur besimin në organizatë;
Ndarja e informacionit me palët e interesuara në rast krize ose rrethanash të paparashikuara.
Këta mekanizma duhet, aty ku është e përshtatshme, të përfshijnë procese për mbledhjen e informacionit të rrezikut nga një shumëllojshmëri burimesh dhe mund të kërkojnë verifikimin e burimeve të këtij informacioni.
4.4 Zbatimi i menaxhimit të rrezikut
4.4.1 Zbatimi i infrastrukturës së menaxhimit të rrezikut
Kur zbaton një infrastrukturë të menaxhimit të rrezikut organizativ, organizata duhet:
Përcaktimi i kohës dhe strategjisë së duhur për aplikimin e infrastrukturës;
Zbatoni politikën dhe procesin e menaxhimit të rrezikut për proceset organizative;
Pajtohuni me kërkesat ligjore dhe të tjera rregullatore;
Sigurohuni që vendimmarrja, duke përfshirë zhvillimin dhe përcaktimin e objektivave, të jenë në përputhje me rezultatet e proceseve të menaxhimit të rrezikut;
Kryerja e sesioneve të informacionit dhe trajnimit;
Shkëmbeni informacionin dhe konsultohuni me palët e interesuara për të siguruar që infrastruktura e menaxhimit të rrezikut të mbetet e përshtatshme.
4.4.2 Zbatimi i një procesi të menaxhimit të rrezikut
Gjatë zbatimit të menaxhimit të rrezikut, është e nevojshme të sigurohet që procesi i menaxhimit të rrezikut i përshkruar në seksionin 1 të kryhet në përputhje me planin e menaxhimit të rrezikut në të gjitha nivelet e duhura funksionale të organizatës si pjesë e aktiviteteve dhe proceseve të saj.
4.5 Monitorimi dhe rishikimi i infrastrukturës së menaxhimit të riskut
Për të siguruar që menaxhimi i rrezikut është efektiv dhe vazhdon të mbështesë operacionet e organizatës, organizata duhet:
Vlerësoni cilësinë e menaxhimit të rrezikut duke përdorur tregues që rishikohen periodikisht për të ruajtur rëndësinë;
Krahasoni periodikisht progresin me planin e menaxhimit të rrezikut dhe identifikoni devijimet prej tij;
Rishikoni periodikisht infrastrukturën, politikën dhe planin e menaxhimit të rrezikut për të siguruar përshtatshmërinë e tyre brenda kontekstit të brendshëm dhe të jashtëm të organizatës;
Siguroni informacion në lidhje me rreziqet, ekzekutimin e planit të menaxhimit të rrezikut dhe sa mirë organizata po i përmbahet politikës së menaxhimit të rrezikut;
Vlerësoni efektivitetin e infrastrukturës së menaxhimit të rrezikut.
4.6 Përmirësimi i vazhdueshëm i infrastrukturës
Bazuar në rezultatet e monitorimit dhe rishikimit, duhet të merren vendime në lidhje me përmirësimet në infrastrukturën e menaxhimit të rrezikut, politikën dhe planin e menaxhimit të rrezikut. Këto vendime duhet të çojnë në përmirësime në menaxhimin e rrezikut dhe zhvillimin e kulturës së tij në organizatë.
5 Procesi
5.1 Dispozitat e përgjithshme
Procesi i menaxhimit të rrezikut duhet të jetë:
Një pjesë integrale e menaxhimit;
Pjesë e kulturës dhe praktikave të organizatës;
Pajtohuni me proceset e biznesit të organizatës.
Ai përfshin aktivitetet e përshkruara në - . Procesi i menaxhimit të rrezikut është paraqitur në figurë.
Figura 3 - Procesi i menaxhimit të rrezikut
5.2 Shkëmbimi dhe konsultimi i informacionit
Shkëmbimi i informacionit dhe konsultimi me palët e interesuara të jashtme dhe të brendshme kryhen në të gjitha fazat e procesit të menaxhimit të rrezikut.
Prandaj, planet për shkëmbimin e informacionit dhe konsultimin duhet të zhvillohen në një fazë të hershme. Ata duhet të marrin në konsideratë çështjet që lidhen me vetë rrezikun, shkaqet e tij, pasojat e tij (nëse dihen) dhe masat e marra për ta trajtuar atë. Komunikimi dhe konsultimi efektiv i jashtëm dhe i brendshëm duhet të bëhet për të siguruar që personat përgjegjës ndaj procesit të menaxhimit të rrezikut dhe palët e interesuara të kuptojnë bazën mbi të cilën merren vendimet dhe të kuptojnë arsyet pse kërkohen veprime specifike.
Një qasje e grupit këshillues mund të:
Ndihmoni për të përcaktuar siç duhet situatën (kontekstin);
Sigurohuni që interesat e palëve të interesuara njihen dhe merren parasysh;
Promovimi i identifikimit të duhur të rrezikut;
Të bashkojë fusha të ndryshme të ekspertizës për të analizuar rreziqet;
Siguroni konsideratën e duhur pika të ndryshme vizionin gjatë përcaktimit të kritereve të rrezikut dhe vlerësimit të rreziqeve;
Të sigurojë miratimin dhe mbështetjen për planin e menaxhimit të rrezikut;
Përmirësimi i menaxhimit të duhur të ndryshimeve gjatë procesit të menaxhimit të rrezikut;
Zhvilloni planin e duhur të komunikimit dhe konsultimit të jashtëm dhe të brendshëm.
Komunikimi dhe konsultimi me palët e interesuara është i rëndësishëm sepse ndihmon për të nxjerrë përfundime rreth rrezikut bazuar në perceptimet e tyre për rrezikun. Këto perceptime mund të ndryshojnë për shkak të dallimeve në vlerat, nevojat, supozimet, konceptet dhe shqetësimet e palëve të interesuara. Për shkak se pikëpamjet e tyre mund të kenë një ndikim të rëndësishëm në vendimet e marra, perceptimet e palëve të interesuara duhet të identifikohen, regjistrohen, regjistrohen dhe merren parasysh në procesin e vendimmarrjes.
Komunikimi dhe konsultimi duhet të lehtësojnë shkëmbimin e informacionit të vërtetë, përkatës, të saktë dhe të kuptueshëm, duke marrë parasysh konsideratat e konfidencialitetit dhe privatësisë.
5.3 Përkufizimi i situatës
5.3.1 Dispozitat e përgjithshme
Duke vendosur situatën (kontekstin), organizata formulon objektivat e saj, përcakton parametrat e jashtëm dhe të brendshëm që duhet të merren parasysh gjatë menaxhimit të rreziqeve dhe përcakton qëllimin dhe kriteret e rrezikut për procesin e mbetur. Meqenëse shumë prej këtyre parametrave janë të ngjashëm me ata që merren parasysh gjatë zhvillimit të një kuadri të menaxhimit të rrezikut (shih ), në këtë rast, kur vendoset situata (konteksti) për procesin e menaxhimit të rrezikut, ato duhet të konsiderohen më në detaje dhe, në veçanti, si ato lidhen me fushën specifike të procesit të menaxhimit të rrezikut.
5.3.2 Përcaktimi i situatës së jashtme
Situata e jashtme (konteksti) është mjedisi i jashtëm në të cilën organizata përpiqet të arrijë qëllimet e saj.
Kuptimi i situatës së jashtme (konteksti) është i rëndësishëm për të siguruar që qëllimet dhe shqetësimet e aktorëve të jashtëm të merren parasysh gjatë zhvillimit të kritereve të rrezikut. Kjo bazohet në situatën (kontekstin) në të gjithë organizatën, por me detaje specifike të kërkesave ligjore dhe rregullatore, perceptimet e palëve të interesuara dhe aspekte të tjera të rrezikut specifike për qëllimin e procesit të menaxhimit të rrezikut të veçantë.
Situata (konteksti) i jashtëm i organizatës mund të përfshijë, por nuk kufizohet në:
a) mjedisin social dhe kulturor, politik, ligjor, rregullator, financiar, teknologjik, ekonomik, natyror dhe të tregut në nivel ndërkombëtar, kombëtar, rajonal ose lokal;
b) nxitësit dhe tendencat kryesore që ndikojnë në objektivat e organizatës;
c) marrëdhëniet me aktorët e jashtëm, vlerat dhe perceptimet e tyre.
5.3.3 Krijimi i situatës së brendshme
Situata e brendshme (konteksti) është mjedisi i brendshëm në të cilin organizata përpiqet të arrijë qëllimet e saj.
Procesi i menaxhimit të rrezikut duhet të jetë në përputhje me kulturën, proceset, strukturën dhe strategjinë e organizatës. Situata e brendshme (konteksti) është çdo gjë brenda organizatës që mund të ndikojë në mënyrën se si organizata do të menaxhojë rrezikun. Situata e brendshme (konteksti) duhet të përcaktohet për faktin se:
a) menaxhimi i rrezikut bëhet në kontekstin e objektivave të organizatës;
b) objektivat dhe kriteret e një projekti, procesi ose aktiviteti të caktuar duhet të merren parasysh në dritën e objektivave të organizatës në tërësi;
c) disa organizata e kanë të vështirë të njohin mundësitë për të arritur qëllimet e tyre strategjike, të projektit ose të biznesit, dhe kjo ndikon në angazhimin, aftësitë, besimin dhe vlerën aktuale të 1) organizatës.
1) Në kontekstin e menaxhimit të rrezikut të korporatës dhe atij financiar, koncepti i "kostos" është më i përshtatshmi për këtë term.
Është e nevojshme të kuptohet situata e brendshme (konteksti). Mund të përfshijë, por nuk kufizohet në, komponentët e mëposhtëm:
Kontrolli, struktura organizative, rolet dhe përgjegjësitë;
Politikat, synimet dhe strategjitë e nevojshme për të arritur këto qëllime;
Aftësitë, të kuptuara si burime dhe njohuri (p.sh. kapitali, koha, njerëzit, proceset, sistemet dhe teknologjia);
Sistemet e informacionit, rrjedhat e informacionit dhe proceset e vendimmarrjes (formale dhe joformale);
Marrëdhëniet me aktorët e brendshëm, vlerat dhe perceptimet e tyre;
Kultura organizative;
Standardet, udhëzimet dhe modelet e miratuara nga organizata;
5.3.4 Përcaktimi i situatës së procesit të menaxhimit të rrezikut
Është e nevojshme të përcaktohen qëllimet, strategjitë, qëllimi dhe parametrat e organizatës ose ato pjesë të saj ku zbatohet procesi i menaxhimit të rrezikut. Menaxhimi i rrezikut duhet të kryhet duke marrë parasysh plotësisht nevojën për të justifikuar burimet e përdorura në zbatimin e tij. Burimet, përgjegjësitë dhe autoritetet e kërkuara, si dhe procedurat e kontabilitetit duhet gjithashtu të identifikohen.
Situata (konteksti) i procesit të menaxhimit të rrezikut ndryshon në varësi të nevojave të organizatës. Kjo mund të përfshijë, por nuk kufizohet në:
Përcaktimi i detyrave dhe qëllimeve të aktiviteteve të menaxhimit të rrezikut;
Përcaktimi i përgjegjësive për procesin e menaxhimit të riskut dhe brenda këtij procesi;
Përcaktimi i fushës, thellësisë dhe gjerësisë së aktiviteteve të menaxhimit të rrezikut që do të ndërmerren, duke përfshirë përfshirjet dhe përjashtimet e veçanta;
Përcaktimi i një aktiviteti, procesi, funksioni, projekti, produkti, shërbimi ose aktivi bazuar në kohën dhe vendndodhjen;
Përcaktimi i marrëdhënieve ndërmjet një projekti, procesi ose aktiviteti specifik dhe projekteve, proceseve ose aktiviteteve të tjera të organizatës;
Përcaktimi i metodologjive të vlerësimit të rrezikut;
Përcaktimi i një metode për vlerësimin e performancës dhe efektivitetit të menaxhimit të rrezikut;
Identifikimi dhe specifikimi i vendimeve që duhet të merren;
Identifikimi, qëllimi ose qëllimi i trajnimit të kërkuar, nivelet dhe objektivat e tij, burimet e nevojshme për një trajnim të tillë.
Marrja në konsideratë e këtyre dhe faktorëve të tjerë të rëndësishëm duhet të sigurojë që qasja e adoptuar e menaxhimit të rrezikut është e përshtatshme për rrethanat, organizatën dhe rreziqet që ndikojnë në arritjen e objektivave të saj.
5.3.5 Përcaktimi i kritereve të rrezikut
Organizata do të përcaktojë kriteret që do të përdoren për të vlerësuar rëndësinë e rrezikut. Kriteret duhet të pasqyrojnë vlerat, qëllimet dhe burimet e organizatës. Disa kritere mund të bazohen ose lindin nga kërkesat ligjore dhe rregullatore dhe kërkesat e tjera që organizata ka ndërmarrë. Kriteret e rrezikut duhet të jenë në përputhje me politikën e menaxhimit të rrezikut të organizatës (shih ), duhet të përcaktohen në fillim të çdo procesi të menaxhimit të rrezikut dhe duhet të rishikohen vazhdimisht.
Gjatë përcaktimit të kritereve të rrezikut, faktorët që duhen marrë parasysh duhet të përfshijnë sa vijon:
Natyrën dhe llojet e shkaqeve dhe efekteve që mund të ndodhin dhe si duhet të maten ato;
Si duhet të përcaktohet një mundësi?
Afati kohor i mundësisë dhe/ose pasojave;
Si duhet të përcaktohet niveli i rrezikut;
Perspektivat e palëve të interesuara;
Niveli në të cilin rreziku bëhet i pranueshëm ose i tolerueshëm;
Nëse dhe si duhet të merren parasysh rreziqet e shumta dhe cilat kombinime duhet të merren parasysh.
5.4 Vlerësimi i rrezikut
5.4.1 Të përgjithshme
Vlerësimi i rrezikut është procesi i plotë i identifikimit të rrezikut, analizës së rrezikut dhe vlerësimit të rrezikut.
SHËNIM ISO/IEC 31010 ofron udhëzime për metodat e vlerësimit të rrezikut.
5.4.2 Identifikimi i rrezikut
Organizata duhet të identifikojë burimet e rrezikut, fushat e ndikimit, ngjarjet (duke përfshirë ndryshimet në rrethana) dhe shkaqet e tyre, dhe pasojat e mundshme. Qëllimi i kësaj faze është të hartojë një listë gjithëpërfshirëse të rreziqeve bazuar në ato ngjarje që mund të krijojnë, rrisin, parandalojnë, zvogëlojnë, përshpejtojnë ose vonojnë arritjen e qëllimeve. Është e rëndësishme të identifikohen rreziqet që lidhen me vendosjen për të mos ndjekur mundësitë. Identifikimi gjithëpërfshirës është kritik sepse një rrezik që nuk është identifikuar në këtë fazë nuk do të përfshihet në analizat e ardhshme.
Identifikimi duhet të përfshijë rreziqe, pavarësisht nëse organizata e kontrollon burimin e tyre apo jo, edhe pse burimi ose shkaku i tyre mund të mos jenë të qartë. Identifikimi i rrezikut duhet të përfshijë marrjen në konsideratë të efekteve domino, duke përfshirë kaskadën dhe efektet kumulative. Është gjithashtu e nevojshme të merret parasysh një gamë e gjerë pasojash, edhe nëse burimi i rrezikut mund të mos jetë i dukshëm. Përveç identifikimit të asaj që mund të ndodhë, është e nevojshme të merret parasysh arsyet e mundshme dhe skenarë që tregojnë se çfarë pasojash mund të ndodhin. Duhet të merren parasysh të gjitha shkaqet dhe pasojat e rëndësishme.
Organizata duhet të aplikojë mjete dhe teknika që janë të përshtatshme për objektivat dhe aftësitë e saj, si dhe për rreziqet me të cilat përballet. Në fazën e identifikimit të rrezikut vlerë të madhe ka informacion përkatës dhe të përditësuar. Kjo duhet të përfshijë informacionin përkatës të sfondit kurdo që është e mundur. Për të identifikuar rreziqet, është e nevojshme të përfshihen njerëz me njohuri të përshtatshme.
5.4.3 Analiza e rrezikut
Analiza e rrezikut përfshin ndërgjegjësimin e mëtejshëm të rrezikut. Analiza e rrezikut ofron të dhëna për vlerësimet dhe vendimet e rrezikut në lidhje me nevojën për të adresuar më tej këto rreziqe, si dhe strategjitë dhe metodat më të përshtatshme të ndërhyrjes. Analiza e rrezikut mund të sigurojë gjithashtu të dhëna për vendimmarrjen kur nevojiten zgjedhje dhe disponueshmëri opsionet alternative, duke përfshirë lloje dhe nivele të ndryshme rreziku.
Analiza e rrezikut përfshin shqyrtimin e shkaqeve dhe burimeve të rrezikut, pasojat e tyre pozitive dhe negative, dhe mundësinë që këto pasoja të ndodhin. Duhet të identifikohen faktorët që ndikojnë në pasojat dhe fizibilitetin. Risku analizohet duke përcaktuar pasojat dhe mundësitë, si dhe karakteristikat e tjera të rrezikut. Një ngjarje mund të ketë pasoja të shumta dhe mund të ndikojë në objektiva të ndryshëm. Duhet të merren parasysh gjithashtu kontrollet ekzistuese dhe efektiviteti dhe efikasiteti i tyre.
Mënyra në të cilën shprehen pasojat dhe mundësitë, dhe mënyra se si ato kombinohen për të përcaktuar nivelin e rrezikut, duhet të pasqyrojë llojin e rrezikut, informacionin në dispozicion dhe qëllimin për të cilin do të përdoret rezultati i vlerësimit të rrezikut. E gjithë kjo duhet të jetë në përputhje me kriteret e rrezikut. Është gjithashtu e rëndësishme të merret parasysh ndërvarësia e rreziqeve të ndryshme dhe burimeve të tyre.
Gjatë analizës, është e nevojshme të merret parasysh besueshmëria në përcaktimin e nivelit të rrezikut dhe ndjeshmëria e tij ndaj parakushtet dhe supozon dhe komunikon në mënyrë efektive me vendimmarrësit dhe, sipas rastit, me palët e tjera të interesuara. Faktorë të tillë si prania e një sërë opinionesh ekspertësh, pasiguria, disponueshmëria, cilësia, sasia, pajtueshmëria informacion aktual ose kufizimet e modelimit duhet të vihen re dhe, kur është e mundur, të adresohen vëmendje të veçantë.
Analiza e rrezikut mund të kryhet në shkallë të ndryshme detajesh, në varësi të rrezikut, qëllimit të analizës dhe informacionit, të dhënave dhe burimeve të disponueshme. Analiza mund të jetë cilësore, gjysmë sasiore ose sasiore, ose një kombinim i tyre, në varësi të rrethanave.
Pasojat dhe gjasat (mundësia) mund të përcaktohen duke modeluar rezultatet e ngjarjeve ose një sërë ngjarjesh, ose duke ekstrapoluar nga studimet eksperimentale ose të dhënat e disponueshme. Pasojat mund të shprehen në terma të ndikimeve të prekshme ose të paprekshme. Në disa raste, kërkohet më shumë se një vlerë numerike ose parametër përshkrues për të treguar pasojat dhe shkallën në të cilën ato janë të realizueshme për kohë, vendndodhje, grupe ose situata të ndryshme.
5.4.4 Vlerësimi i rrezikut
Qëllimi i vlerësimit të rrezikut është të lehtësojë vendimmarrjen, bazuar në rezultatet fillestare të analizës së riskut, në lidhje me nevojën për adresimin e rrezikut dhe prioritizimin e ndërhyrjeve në rrezik.
Vlerësimi i rrezikut përfshin krahasimin e nivelit të rrezikut të identifikuar gjatë procesit të analizës me kriteret e përcaktuara të rrezikut gjatë shqyrtimit të situatës (konteksti). Shqyrtimi i nevojës për të adresuar rrezikun duhet të bazohet në këtë krahasim.
Vendimet duhet të kenë një pamje më të gjerë të kontekstit të rrezikut dhe të marrin parasysh tolerancën ndaj rrezikut jo vetëm të organizatës që përfiton nga rreziku, por edhe të palëve të tjera. Vendimet duhet të merren në përputhje me kërkesat ligjore, rregullatore dhe të tjera.
Në disa rrethana, një vlerësim i rrezikut mund të çojë në një vendim për të kryer analiza të mëtejshme. Vlerësimi i rrezikut mund të çojë gjithashtu në një vendim për të mos adresuar rrezikun në asnjë mënyrë tjetër përveç mbajtjes së kontrolleve ekzistuese. Ky vendim ndikohet nga qëndrimi i vetë organizatës ndaj rrezikut dhe kriteret e përcaktuara të rrezikut.
5.5 Ndikimi në rrezik
5.5.1 Të përgjithshme
Menaxhimi i rrezikut përfshin zgjedhjen e një ose më shumë opsioneve të modifikimit të rrezikut dhe zbatimin e këtyre opsioneve. Pasi të aplikohet, efekti i rrezikut vendos ose modifikon kontrollet.
Menaxhimi i rrezikut përfshin një proces ciklik që përbëhet nga fazat e mëposhtme:
Vlerësimet e ndikimit të rrezikut;
Diskutoni nëse nivelet e rrezikut të mbetur janë të pranueshme;
Nëse ato nuk janë të pranueshme, atëherë krijoni një lloj të ri ndikimi në rrezik;
Vlerësimi i efektivitetit të këtij ndikimi.
Opsionet alternative të menaxhimit të rrezikut nuk janë domosdoshmërisht reciprokisht ekskluzive ose të përshtatshme në të gjitha rrethanat. Opsionet alternative mund të përfshijnë:
a) shmangia e rrezikut duke vendosur të mos fillojë ose të mos vazhdojë aktivitetin që shkakton rrezikun;
b) marrjen ose rritjen e rrezikut për të shfrytëzuar një mundësi;
c) eliminimin e burimit të rrezikut ();
f) ndarjen e rrezikut me një palë ose palë tjetër (përfshirë kontratat dhe financimin e rrezikut);
g) mbajtje e vetëdijshme e rrezikut.
5.5.2 Zgjedhja e opsioneve për të adresuar rrezikun
Zgjedhja e opsionit më të përshtatshëm të menaxhimit të rrezikut përfshin balancimin e kostove dhe përpjekjeve të zbatimit me përfitimet e arritura, duke marrë parasysh kërkesat ligjore, rregullatore dhe kërkesa të tjera si përgjegjësia sociale dhe mbrojtja e mjedisit. Procesi i vendimmarrjes duhet të projektohet për të siguruar që të ndërmerren veprime për rreziqet që nuk justifikohen në aspektin e menaxhimit. pikë ekonomike vizion, për shembull, rreziqe të rëndësishme (me pasoja të rëndësishme negative), por të rralla (me probabilitet ose mundësi të ulët të ndodhjes).
Një sërë opsionesh të menaxhimit të rrezikut mund të merren parasysh dhe zbatohen individualisht ose në kombinim. Një organizatë zakonisht mund të përfitojë nga miratimi i një kombinimi të opsioneve të rrezikut.
Kur zgjedh opsionet për të adresuar rrezikun, një organizatë duhet të marrë parasysh kuptimet dhe perceptimet e palëve të interesuara dhe mënyrat më të përshtatshme për të komunikuar me to. Nëse opsionet alternative të rrezikut mund të ndikojnë në rrezik diku tjetër në organizatë ose me palët e interesuara, atëherë kjo duhet të merret parasysh kur merret një vendim. Ndonëse janë po aq efektive, disa opsione rreziku mund të jenë më të pranueshme për disa palë të interesuara sesa të tjerët.
Plani i menaxhimit të rrezikut duhet të tregojë qartë rendin e prioritetit në të cilin duhen zbatuar trajtimet individuale të rrezikut.
Ekspozimi ndaj rrezikut mund të shkaktojë vetë rreziqe. Një rrezik i rëndësishëm mund të jetë mungesa ose joefektiviteti i masave për të adresuar rrezikun. Monitorimi duhet të jetë pjesë integrale e planit të menaxhimit të rrezikut për të siguruar që masat të mbeten efektive.
Ekspozimi ndaj rrezikut mund të gjenerojë gjithashtu rreziqe dytësore që duhet të vlerësohen, adresohen, monitorohen dhe analizohen. Rreziqe të tilla dytësore duhet të përfshihen në të njëjtin plan rreziku si rreziku fillestar dhe nuk duhet të trajtohen si një rrezik i ri. Marrëdhënia midis të dy këtyre rreziqeve duhet të identifikohet dhe të merret parasysh.
5.5.3 Përgatitja dhe zbatimi i planeve të menaxhimit të riskut
Qëllimi i planeve të rrezikut është të dokumentojë se si duhet të zbatohen alternativat e përzgjedhura të rrezikut. Informacioni i dhënë në planet e menaxhimit të rrezikut duhet të përfshijë:
Arsyet për zgjedhjen e opsioneve të menaxhimit të rrezikut, duke përfshirë përfitimet e pritshme që do të arrihen;
Personat përgjegjës për miratimin e planit dhe personat përgjegjës për zbatimin e planit;
Veprimet e sugjeruara;
Kërkesat për burime, duke përfshirë rastet e mundshme;
Treguesit e cilësisë së ndikimit në rrezik dhe kufizime;
Kërkesat e raportimit dhe monitorimit;
Afatet dhe orari i zbatimit.
Planet e menaxhimit të rrezikut duhet të përfshihen në proceset e menaxhimit të organizatës dhe të diskutohen me palët përkatëse të interesit.
Vendimmarrësit dhe palët e tjera të interesuara duhet të jenë të vetëdijshëm për natyrën dhe shtrirjen e rrezikut të mbetur pas ekspozimit. Rreziku i mbetur duhet të dokumentohet dhe monitorohet, rishikohet dhe, sipas rastit, të adresohet më tej.
5.6 Monitorimi dhe rishikimi
Monitorimi dhe rishikimi duhet të jetë pjesë e planifikuar e procesit të menaxhimit të rrezikut dhe të përfshijë rishikimin ose mbikëqyrjen e rregullt. Ato mund të jenë periodike ose arbitrare.
Përgjegjësitë për monitorimin dhe rishikimin duhet të përcaktohen qartë.
Proceset e monitorimit dhe rishikimit të organizatës duhet të përfshijnë të gjitha aspektet e procesit të menaxhimit të rrezikut për:
Siguron që kontrollet janë efektive dhe efikase si në projektim ashtu edhe në funksionim;
Marrja e informacionit shtesë për të përmirësuar vlerësimin e rrezikut;
Analizoni dhe mësoni nga rastet (përfshirë rreziqet pa pasoja), ndryshimet, tendencat, sukseset dhe dështimet;
Identifikimi i ndryshimeve në situatën e jashtme dhe të brendshme (konteksti), duke përfshirë ndryshimet në kriteret e rrezikut dhe vetë rrezikun, i cili mund të kërkojë një rishikim të metodave të ndikimit të rrezikut dhe prioriteteve;
Identifikimi i rreziqeve të reja ose të reja.
Progresi në zbatimin e planeve të menaxhimit të rrezikut siguron arritjen e treguesve të performancës. Rezultatet mund të përfshihen në menaxhimi i përgjithshëm dhe vlerësimin e performancës, raportimin e brendshëm dhe të jashtëm të organizatës.
Rezultatet e monitorimit dhe rishikimit duhet të dokumentohen dhe regjistrohen siç duhet nga jashtë dhe brenda, dhe të përdoren si të dhëna për të rishikuar infrastrukturën e menaxhimit të rrezikut (shih ).
5.7 Regjistrimi i procesit të menaxhimit të riskut
Aktivitetet e menaxhimit të rrezikut duhet të jenë të gjurmueshme. Në procesin e menaxhimit të rrezikut, regjistrimi ofron bazën për përmirësimin e metodave dhe mjeteve, si dhe të gjithë procesit.
Kur merrni vendime për krijimin e regjistrave, duhet të merren parasysh sa vijon:
nevojat për trajnim të vazhdueshëm të organizatës;
Përfitimet e ripërdorimit të informacionit për qëllime menaxheriale;
Kostot dhe përpjekjet e përfshira në krijimin dhe mbajtjen e të dhënave;
Nevojat ligjore, rregullatore dhe operative të kontabilitetit;
Metoda e aksesit, lehtësia e rikuperimit dhe mjetet e ruajtjes së informacionit;
Periudha e ruajtjes;
Kontrollimi i burimeve të informacionit.
Shtojca A
(informative)
A.1 Dispozitat e përgjithshme
Të gjitha organizatat duhet të përpiqen të arrijnë një nivel të përshtatshëm të funksionimit të infrastrukturës së tyre të menaxhimit të rrezikut në të njëjtën kohë me kritikën e vendimeve që duhet të merren. Lista e shenjave më poshtë paraqet një nivel të lartë tregues të menaxhimit të rrezikut. Për të ndihmuar organizatat të masin performancën e tyre të menaxhimit të rrezikut kundrejt këtyre kritereve, disa tregues janë dhënë për secilin atribut.
A.2 Rezultatet kryesore
A.2.1 Organizata ka një kuptim modern, korrekt dhe gjithëpërfshirës të rreziqeve të saj.
A.2.2 Rreziqet e organizatës janë brenda kritereve të saj të rrezikut.
A.3 Shenjat
A.3.1 Përmirësim i vazhdueshëm
Theksi vihet në përmirësimin e vazhdueshëm të menaxhimit të rrezikut përmes përcaktimit të qëllimeve të performancës organizative, matjes, rishikimit dhe më pas modifikimit të proceseve, sistemeve, burimeve, aftësive dhe aftësive.
Kjo mund të konfirmohet nga prania e qëllimeve të caktuara të performancës, sipas të cilave matet performanca e organizatës dhe çdo menaxheri individual. Të dhënat për aktivitetet e organizatës mund të publikohen dhe të vihen në dispozicion të publikut. Në mënyrë tipike, kryhet të paktën një rishikim vjetor i aktiviteteve dhe më pas një rishikim i proceseve dhe vendosja e qëllimeve të performancës për periudhën e ardhshme.
Vlerësimi i cilësisë së menaxhimit të rrezikut është pjesë përbërëse e vlerësimit të të gjithë veprimtarisë së organizatës dhe sistemit për matjen e cilësisë së punës së departamenteve dhe punonjësve individualë.
A.3.2 Përgjegjësi e plotë për rreziqet
Menaxhimi i përmirësuar i rrezikut përfshin raportim gjithëpërfshirës, plotësisht të përcaktuar dhe të pranuar dhe përgjegjësi për rreziqet, kontrollet dhe objektivat e rrezikut. Individët e caktuar që pranojnë përgjegjësinë e plotë kanë aftësitë dhe burimet e nevojshme për të rishikuar këto aktivitete, për të monitoruar rreziqet, për të përmirësuar aktivitetet e menaxhimit të rrezikut dhe për të komunikuar në mënyrë efektive menaxhimin e rrezikut dhe rrezikut me palët e interesuara të jashtme dhe të brendshme.
Kjo mund të demonstrohet nga të gjithë anëtarët e organizatës që janë plotësisht të vetëdijshëm për rreziqet, kontrollet dhe detyrat për të cilat ata janë përgjegjës. Zakonisht kjo duhet të pasqyrohet në përshkrimet e punës dhe të përfshihet në bazat e të dhënave ose sistemet e informacionit. Ndarja e roleve në menaxhimin e rreziqeve, përgjegjësive dhe detyrimeve duhet të jetë pjesë e të gjitha programeve të ndërgjegjësimit të organizatës.
Organizata duhet të sigurojë që personat përgjegjës janë të pajisur për të kryer rolin e tyre dhe u jepet autoriteti, koha, trajnimi, burimet dhe aftësitë e mjaftueshme për të marrë përgjegjësinë.
A.3.3 Zbatoni menaxhimin e rrezikut për të gjitha vendimet
Të gjitha vendimet e marra në një organizatë, pavarësisht nga niveli i rëndësisë dhe rëndësisë, përfshijnë shqyrtimin e detajuar të rreziqeve dhe zbatimin e menaxhimit të rrezikut në një masë të caktuar.
Kjo mund të tregohet në shënimet e takimeve dhe diskutimeve, duke konfirmuar se janë zhvilluar diskutime të hollësishme rreth rreziqeve. Është e nevojshme të mund të shihet se të gjithë elementët e menaxhimit të rrezikut janë të përfaqësuar në proceset kryesore vendimet e marra brenda organizatës, të tilla si diskutimet për shpërndarjen e kapitalit projekte të mëdha, ristrukturimi dhe ndryshimet organizative. Për këto arsye, menaxhimi i shëndoshë i rrezikut duhet parë në të gjithë organizatën si një bazë për menaxhim efektiv.
A.3.4 Shkëmbimi i vazhdueshëm i informacionit
Menaxhimi i përmirësuar i rrezikut përfshin komunikimin e vazhdueshëm me aktorët e jashtëm dhe të brendshëm, duke përfshirë raportimin gjithëpërfshirës dhe periodik të aktiviteteve të menaxhimit të rrezikut si pjesë e qeverisjes së mirë.
Kjo mund të konfirmohet nga shkëmbimi i informacionit me palët e interesuara si një element integral dhe i rëndësishëm i menaxhimit të rrezikut. Shkëmbimi i informacionit shihet siç duhet si një proces i dyanshëm, i tillë që mund të merren vendime të informuara siç duhet në lidhje me nivelin e rrezikut dhe nevojën për të adresuar rrezikun në përputhje me kriteret e përcaktuara siç duhet dhe gjithëpërfshirëse të rrezikut.
Raportimi gjithëpërfshirës dhe periodik i jashtëm dhe i brendshëm i rreziqeve të rëndësishme dhe rezultateve të aktiviteteve të menaxhimit të rrezikut kontribuon në mënyrë të konsiderueshme në menaxhimin efektiv në të gjithë organizatën.
A.3.5 Integrimi i plotë në strukturën drejtuese të organizatës
Menaxhimi i rrezikut trajtohet si një proces qendror i menaxhimit të një organizate, dhe rreziqet konsiderohen nga pikëpamja e ndikimit të pasigurisë në qëllimet. Struktura dhe procesi i qeverisjes bazohen në menaxhimin e rrezikut. Menaxherët e konsiderojnë menaxhimin efektiv të rrezikut thelbësor për arritjen e qëllimeve organizative.
Kjo mund të mbështetet nga gjuha e menaxherëve dhe materialet e rëndësishme të shkruara brenda organizatës duke përdorur termin "pasiguri" në lidhje me rreziqet. Ky atribut gjithashtu pasqyrohet zakonisht në deklaratat e politikave të organizatës, veçanërisht ato që lidhen me menaxhimin e rrezikut. Në mënyrë tipike, ky atribut mund të testohet përmes intervistave me menaxherët dhe bazuar në veprimet dhe deklaratat e tyre.
Bibliografia
ISO Guide 73:2009, Risk Management - Vocabulary (ISO Guide 73:2009. Vocabulary) *
ISO/IEC 31010:2009, Menaxhimi i rrezikut - Teknikat e vlerësimit të rrezikut (ISO/IEC 31010 Menaxhimi i rrezikut. Metodat e vlerësimit të rrezikut) *
* Përkthimi zyrtar i këtij standardi gjendet në Fondacionin Federal të Informacionit për Rregulloret Teknike dhe Standardet.
Fjalët kyçe: risk, projekt, vlerësim, menaxhim risku, parime menaxhimi, lidership
Konsultimi si lloj aktiviteti ka një histori mjaft të gjatë. Afati konsultimi nga lat. konsultimi- konsulto, këshillo; Kuptimi i fjalorit thekson veçori të tilla si dhënia e këshillave dhe shkëmbimi i informacionit. Koncepte të tilla si juridike, konsultime mjekësore, procese këshillimore në veprimtarinë politike. Megjithatë, duke u konsultuar në sfera sociale u shfaq relativisht kohët e fundit. Shumica e ekspertëve e shohin atë si një fenomen të shekullit të 20-të që u ngrit si përgjigje ndaj kushteve që krijuan revolucioni teknologjik fundi i XIX fillimi i shekullit XX. Përveç shqetësimit universal njerëzor për fatin e njerëzve që luftojnë për të gjetur një mjet jetese, industria në zhvillim ka zhvilluar një nevojë për një sërë burimesh pune shumë të kualifikuara. Nevoja për të zgjidhur këtë problem të dyfishtë nxiti shfaqjen e një prej fushave të para të konsultimit në sferën sociale - këshillimi profesional (udhëzim në karrierë, përzgjedhje profesionale).
Nga ana tjetër, revolucioni teknologjik ka çuar në ndryshime globale në jeta publike, e cila nuk mund të mos ndikonte në mekanizmat e përshtatjes së psikikës njerëzore. Nevoja për të ofruar ndihmë praktike psikologjike për një person (tejkalimi i gjendjeve negative emocionale, konfliktet ndërpersonale dhe ndërpersonale, tejkalimi i situatave të krizës, zhvillimi i aftësive specifike të jetës, etj.) inicioi shfaqjen e teknikave të ndryshme psikoterapeutike që qëndrojnë në themel të shumë llojeve të këshillimit psikologjik.
Aktualisht, gama e shërbimeve të konsulencës në sferën sociale është zgjeruar ndjeshëm. Për shembull, në SHBA, konsulentët punë sociale zgjeruan aktivitetet e tyre në fusha të tilla si kujdesi shëndetësor, arsimi dhe sigurimet shoqërore. Punonjësit socialë janë të ftuar në institucionet arsimore dhe të lidhin kontrata me ta. Ata këshillojnë drejtorët e shkollave, mësuesit, prindërit për një sërë çështjesh: konflikte, sjellje të nxënësve, performancë akademike, etj. Konsulentët e punës sociale në spitale, përveç çështjeve të këshillimit të përgjithshëm, marrin pjesë në planifikimin e trajtimit dhe kujdesit për pacientët. Personeli mjekësor i drejtohet konsulentëve socialë në situata të vështira, për shembull, për të punuar me një familje në lindjen e një fëmije me patologji të rëndë.
Në vendin tonë, konsultimi për çështje socialeështë ende duke hedhur hapat e parë. Përvoja më e madhe është grumbulluar në fushën e këshillimit dhe këshillimit për drejtimin e karrierës për të ofruar asistencë psikologjike për personat që nuk kanë çrregullime klinike, por që po përjetojnë vështirësi në jetën e përditshme. Megjithatë, këto lloj këshillimesh nuk i mbulojnë të gjithë. problemet sociale jeta moderne.
Konsultimi përfaqëson ndërveprim ndërmjet dy ose më shumë personave në të cilët përdoren njohuri të caktuara të specializuara të konsulentit për të ndihmuar të këshilluarin në zgjidhjen e problemeve aktuale ose në përgatitjen e programeve premtuese. Ndonjëherë veprimet e konsulentit vlerësohen si një katalizator që lehtëson punën, duke formuluar motivet dhe rolin e tij, duke shpjeguar pasojat e alternativave të ndryshme, duke e ndihmuar konsulentin të vlerësojë në mënyrë më sistematike dhe objektive problemet me të cilat përballet për të zgjeruar zgjedhjen e opsioneve të mundshme të sjelljes. ; Konsulenti informon klientin për informacione të reja ose rifreskon njohuritë e vjetra.
Komisioni i Licencimit i Shoqatës së Punonjësve dhe Menaxherëve të Shteteve të Bashkuara, i cili lëshon leje për praktikë private, jep përkufizimin e mëposhtëm: “Këshillimi është një grup procedurash që synojnë të ndihmojnë një person të zgjidhë problemet dhe të marrë vendime në lidhje me karrierën profesionale, martesa, familja, zhvillimi personal dhe marrëdhëniet ndërpersonale.”
Ekzistojnë dy lloje konsultimesh: 1) konsultime për raste specifike; 2) organizatat konsultuese për zhvillimin e të ndryshme programet sociale. Në rastin e parë, konsulenti ofron drejtpërdrejt shërbime për klientin, ose ndihmon punonjësit për të ndihmuar klientët, dhe theksi kryesor është te një klient specifik, qoftë individ, familje apo grup shoqëror.
Konsultimi i softuerit përfshin punën me stafi administrativ për të zhvilluar politika, programe dhe procedura për të përmirësuar shërbimet për publikun. E. Watkins, T. Hochland, R. Ritvo e përkufizojnë konsultimin e programit si “një proces i dyanshëm i zgjidhjes së problemeve në të cilin konsulenti ndihmon një institucion ose organizatë të analizojë nevojat grup social, përmirësoni aktivitetet e organizatës, përmirësoni cilësinë e shërbimeve.” Theksi në këtë lloj konsultimi është strukturor, politik, çështjet organizative në vend të problemeve specifike të klientëve. Një shembull i këshillimit të programit mund të jetë kërkesa e një kompanie për konsulentët për problemet e formimit të një rezerve personeli (burimet e rezervës, kërkesat për kandidatët). Kërkoni nga e njëjta kompani për të përzgjedhur kandidatët për t'u regjistruar në rezervë personeli mund të referohen si konsultime për çështje specifike. Megjithatë, shpesh procesi këshillimor është një lloj sinteze e qasjeve specifike dhe programatike, kur konsulenti, duke filluar nga çështje specifike, ndihmon klientët të zgjidhin një gamë më të gjerë problemesh.
Gjatë kryerjes së çdo konsultimi, zbatohen sa vijon: parimet:
1) konsultimi duhet të ketë një qëllim specifik, të zgjidhë një problem dhe të përfaqësojë një proces specifik;
2) efektiviteti i konsultimit varet nga vlera e ideve, dhe jo nga statusi i konsulentit;
3) baza e procesit të konsultimit është marrëdhënia ndërmjet konsulentit dhe të konsultuarit.
Në të ardhmen konsulent ne do të thërrasim specialistin që ofron shërbime konsulence dhe personin që konsultohet (individ, grup njerëzish, organizatë) - klient.
Struktura e procesit të konsultimit. Megjithëse ka shumë lloje të ndryshme konsultimesh, të gjitha, në një shkallë ose në një tjetër, kalojnë nëpër një sërë fazash që përbëjnë strukturën e procesit të konsultimit. Konsulenti duhet të dijë qartë se në cilën fazë të këshillimit ndodhet, ndërkohë që njëkohësisht punon me klientin për të siguruar kënaqësinë e tij në të gjitha fazat. Në Fig. Figura 1.1 tregon një diagram të procesit të konsultimit.
Menaxhimi i rrezikut nuk është vetëm proces teknik veprime duke përdorur algoritme të formalizuara që lejojnë marrjen e një vendimi të paqartë dhe përcaktues të rrezikut. Menaxhimi i riskut kërkon punë ekipore, e cila kryhet kryesisht në një kontekst komunikues. Ndërveprimi dhe konsultimi ndërmjet pjesëmarrësve në menaxhimin e rrezikut janë atribute integrale të këtij procesi dhe duhet të jenë gjithmonë formë e hapur. Efektiviteti i procesit të menaxhimit të rrezikut varet drejtpërdrejt nga shkalla në të cilën të gjithë palët e interesuara kuptojnë pikëpamjet e njëri-tjetrit dhe, nëse është e nevojshme, marrin pjesë aktive në procesin e vendimmarrjes. Konsultimi është një kërkesë e rëndësishme në çdo fazë të menaxhimit të rrezikut. Së bashku me ndërveprimin, ai nënkupton dialog midis pjesëmarrësve në procesin e menaxhimit të rrezikut, me theks në konsultim, në vend të një rrjedhje të njëanshme informacioni nga vendimmarrësi te palët e tjera të interesuara. Figura 12 tregon qëllimet kryesore të ndërveprimit dhe konsultimit gjatë zbatimit të procesit të menaxhimit të rrezikut.
Figura 12. Qëllimet kryesore të ndërveprimit dhe konsultimit
Në fazën e modelimit të proceseve të menaxhimit të rrezikut, është e nevojshme të zhvillohet një plan për ndërveprimin e pjesëmarrësve të tij. Ky plan duhet të trajtojë si vetë rreziqet ashtu edhe proceset për menaxhimin e tyre. Plani i komunikimit duhet të pasqyrojë procedurat për komunikimin, diskutimin e rreziqeve dhe kryerjen e konsultimeve.
Komunikimet e brendshme dhe të jashtme garantojnë një kuptim të thelbit të vendimeve të marra dhe arsyet e veprimeve specifike, si nga ana e atyre që janë përgjegjës për zbatimin e proceseve të menaxhimit të rrezikut, ashtu edhe nga të gjitha palët e interesuara. Efektiviteti i tij varet drejtpërdrejt nga efektiviteti i proceseve të brendshme të informacionit për pjesëmarrësit në menaxhimin e rrezikut.
Pjesëmarrësit në menaxhimin e rrezikut zakonisht gjykojnë rreziqet bazuar në perceptimet e tyre dhe përvojat e jetës. Perceptimi i rreziqeve mund të jetë i ndryshëm për palë të ndryshme, arsyeja për këtë qëndron në ndryshimin e këndvështrimeve për atë që po ndodh, në ndryshimin e ideve, nevojave, problemeve dhe shqetësimeve të palëve të prekura në momentin kur ato vijnë në kontakti me rrezikun ose çështjet në diskutim. Për shkak se palët mund të kenë ndikim të rëndësishëm mbi vendimet, është e rëndësishme që treguesit e rrezikut të përcaktohen qartë, të shënohen dhe të përfshihen në procesin e vendimmarrjes.
Nga ana tjetër, qasja konsultative:
- ju lejon të përcaktoni pa mëdyshje përbërësit kryesorë të modelit të procesit të menaxhimit të rrezikut;
– ndihmon në përcaktimin e përshtatshmërisë së rreziqeve të identifikuara;
– bashkon fusha të ndryshme të ekspertizës në analizën e rrezikut;
– gjatë vlerësimit të rreziqeve, ndihmon në marrjen e saktë të pikëpamjeve të ndryshme;
– ju lejon të rregulloni saktë procesin e menaxhimit gjatë servisimit të rreziqeve.
Sigurimi i interesit në proceset e menaxhimit të rrezikut ju lejon të "shpërndani" rreziqet midis menaxherëve individualë, si dhe të përfshini të gjithë pjesëmarrësit e menaxhimit të rrezikut në këto procese. Një qasje konsultative ndihmon në vlerësimin e përfitimeve të metodave individuale të kontrollit dhe nevojës për miratim dhe mbështetje për një vendim rreziku.
Në varësi të specifikave të proceseve të menaxhimit të rrezikut, përcaktohet kultura e biznesit të organizatës, rëndësia dhe rëndësia e situatave të rrezikut, nevoja dhe shtrirja e mbajtjes së të dhënave (regjistrimit të të dhënave) në fazën e ndërveprimit dhe konsultimit.
Ndërveprimi në fushën e rreziqeve është një proces ndërveprues i shkëmbimit të informacionit dhe vlerësimeve të ekspertëve të parametrave kryesorë të rrezikut dhe menaxhimit të tij. Duhet theksuar se këtë proces duhet të kryhet njëkohësisht dhe paralelisht në dy drejtime: (1) - drejtpërdrejt brenda kompanisë; (2) - ndërmjet kompanisë dhe pjesëmarrësve të jashtëm në menaxhimin e rrezikut.
Ndërveprimi brenda kompanisë duhet të kryhet si përmes strukturës vertikale hierarkike të menaxhimit administrativ, ashtu edhe nëpërmjet lidhjeve lineare ndërfunksionale ndërmjet ndarjet strukturore firmat (shih Figurën 13).
Figura 13. Ndërtimi i një sistemi ndërveprimi në nivele brendaorganizative të ndërmarrjes.
Konsultimi është në thelb pjesë e procesit të ndërveprimit dhe përfaqëson një shkëmbim pikëpamjesh midis pjesëmarrësve të menaxhimit të rrezikut mbi një bazë informacioni mbi çështjet përpara vendimmarrjes, ose për të vendosur prioritete në një çështje të caktuar /1/. Një nga metodat më efektive të aplikuara për përdorimin e opinionit të konsoliduar të marrë gjatë konsultimeve është metoda e vlerësimeve të ekspertëve.
Konsultimi ka si më poshtë tipare karakteristike:
– Para së gjithash, këto janë aktivitete që synojnë arritjen e rezultatit përfundimtar dhe jo qëllimin në vetvete të menaxhimit të rrezikut;
– Rezultatet e konsultimit ofrojnë një bazë informacioni për marrjen e vendimeve të rrezikshme, por ato nuk janë një ndikim kontrollues në këtë vendim.
Shkëmbimi i informacionit dhe pikëpamjeve mbi rreziqet brenda firmës lejon zhvillimin e lidhjeve të komunikimit brenda organizatës. Kjo ndihmon në identifikimin e fushave me vëmendje të veçantë që kërkojnë bashkëpunim dhe zhvillimin e strategjive të përbashkëta për të arritur rezultate të planifikuara, gjë që bën të mundur përcaktimin e qartë të mekanizmave për monitorimin e procesit të menaxhimit të rrezikut. Ndërveprimi ndërfunksional ofron mundësinë për dialog midis interpretuesve të zakonshëm, menaxherëve të lartë dhe menaxhmentit të lartë. Ndikimi dhe konsultimi mund të kryhen në nivele të ndryshme në varësi të situatës, veçanërisht kur:
– ndërveprim njëkahësh
– sigurimi i informacionit, si raportet vjetore, fletët informative, procesverbalet e takimeve, etj.;
– ndërveprimi dypalësh – shkëmbimi i opinioneve dhe qëndrimeve ndërmjet pjesëmarrësve në menaxhimin e riskut.
Përvoja e pjesëmarrësve në menaxhimin e rrezikut në shumicën e rasteve është baza përcaktuese për përcaktimin e shkaqeve dhe faktorëve të situatave të rrezikut. Ndërveprimi dhe konsultimi ndihmon në rritjen e objektivitetit të vlerësimit të rrezikut dhe eliminon të menduarit "shabllon". Për shembull, menaxhmenti i lartë përcakton drejtimin e investimit në një numër projektesh bazuar në idetë e tyre rreth parametrave të rrezikut. Në të njëjtën kohë, menaxherët e lartë të organizatës vlerësojnë sasinë e rrezikut ndryshe nga menaxhmenti i lartë. Në disa raste, punonjësit e kompanisë që operojnë në nivelin operacional të prodhimit identifikojnë një sërë rreziqesh që "kanë rënë jashtë syve" të menaxherëve të tyre. Prania e reagimeve është elementi më i rëndësishëm i ndërveprimit ndër-organizativ dhe na lejon të zhvillojmë modele dhe metoda efektive të menaxhimit të rrezikut.
Komunikimi dhe konsultimi janë pjesë integrale e procesit të përgjithshëm të menaxhimit të rrezikut dhe duhet të zbatohen në çdo fazë të procesit. Gjatë menaxhimit të rreziqeve, vëmendje e veçantë i kushtohet çështjeve të identifikimit adekuat të pjesëmarrësve në menaxhimin e rrezikut, duke përcaktuar shkallën dhe natyrën e interesit të tyre në një fazë të caktuar të procesit. Bazuar në të dhënat e marra, zhvillohet një plan ndërveprimi. Ky plan duhet të përcaktojë qëllimin e ndërveprimit, kush i jep këshilla kujt, kur ndodh, si ndodh procesi dhe si vlerësohet. Brenda një organizate, komunikimi i mirë është thelbësor për zhvillimin e një "kulture të menaxhimit të rrezikut" që bën dallimin midis aspekteve pozitive dhe negative të rrezikut. Bashkëpunimi në fushën e rrezikut lejon një organizatë të zhvillojë konceptin e saj unik të rrezikut të pranueshëm.
Përfshirja e pjesëmarrësve të tjerë në procesin e menaxhimit të rrezikut (për shembull, ekspertë në çështje të specializuara) ose, të paktën, marrja e opinioneve të ekspertëve, është një kusht thelbësor dhe vendimtar për efektivitetin e menaxhimit të rrezikut. Ndërveprimi me pjesëmarrësit e menaxhimit të rrezikut e bën menaxhimin e rrezikut më të balancuar, e vendos atë në një bazë cilësore dhe i jep rëndësi organizatës. Kjo rrethanë është vendimtare nëse pjesëmarrësit e menaxhimit të rrezikut:
– të ndikojë në efektivitetin e masave të propozuara për menaxhimin e rrezikut;
– vuajti nga rreziqe;
– të sjellë vlerë të shtuar në procesin e vlerësimit të madhësisë së rreziqeve;
– të shkaktojë një rritje të humbjeve pas situatave të rrezikut;
– ndikohen nga veprimet e kontrollit mbi rrezikun.
Ndërveprimi me pjesëmarrësit e jashtëm të menaxhimit të rrezikut siguron që fushat e përbashkëta të interesit të jenë nën kontroll. Një ndërveprim i tillë rrit potencialin e organizatës për të krijuar partneritete të mëtejshme me subjekte të tjera aktiviteti sipërmarrës dhe për të arritur rezultate pozitive. Për shembull, pjesëmarrësit e jashtëm në menaxhimin e rrezikut mund të kenë rreziqe të përbashkëta që mund të menaxhohen në mënyrë efektive së bashku.
Në disa raste, një organizatë mund ta konsiderojë të papërshtatshme ndërveprimin me pjesëmarrësit e menaxhimit të rrezikut për arsye ekonomike dhe sigurie. Në këtë rast, plani i ndërveprimit duhet të pasqyrojë një vendim të ndërgjegjshëm për të mos përfshirë pjesëmarrësit e menaxhimit të rrezikut në ndërveprim, por mund të marrë ende parasysh këndvështrimin e tyre në mënyra të tjera, për shembull, në formën e informacionit intelektual ose tregtar.
Fazat e përcaktimit të pozicioneve (pikëpamjet mbi rrezikun dhe nivelin e tij të pranueshëm) dhe zhvillimin e modeleve dhe metodave të ndërveprimit duhet të zbatohen paralelisht dhe të korrespondojnë reciprokisht me njëra-tjetrën. Gjatë zhvillimit të planeve të ndërveprimit, është e nevojshme të merren parasysh pozicionet e pjesëmarrësve në menaxhimin e rrezikut. E njëjta situatë rreziku do të shihet nga palët e interesuara nga këndvështrime të ndryshme (shih Tabelën 3). Si rezultat, është e nevojshme të merren parasysh pozicionet e të gjithë pjesëmarrësve në menaxhimin e rrezikut në mënyrë që të zhvillohet një qasje optimale për ndërveprimin dhe prezantimin e informacionit.
Tabela 3. Shembuj të zhvillimit të metodave të komunikimit ndërmjet pjesëmarrësve kryesorë në ndërveprim
| Nr. | Grupi i pjesëmarrësve | Një perspektivë përcaktuese mbi rrezikun | Mënyra e ndërveprimit dhe forma e shkëmbimit të informacionit |
| Themeluesit | Sigurimi i marrjes së dividentëve | Mbledhja e themeluesve, bordi i drejtorëve / Dhënia e raporteve | |
| Organet qeveritare dega ekzekutive | Pajtueshmëria me kërkesat ligjore dhe të industrisë | Korrespondencë zyrtare, takime të përbashkëta / Ofrimi i raporteve për respektimin e kërkesave të detyrueshme | |
| Institucionet bankare | Garancitë për shlyerjen e kredisë | Korrespondencë biznesi, takime të përbashkëta / Raporte pagesash, të dhëna për stabilitetin financiar të ndërmarrjes | |
| Investitorët | Kthim i garantuar i investimit | Takimi i zgjeruar në nivel të lartë drejtues / Dhënia e një raporti mbi zbatimin e programit të investimeve | |
| Klientët | Plotësimi i kushteve kontraktuale (detyrimeve kontraktuale) nga organizata | Takime, korrespondencë biznesi me klientin, mbajtja e konferencave, ekspozitave, seminareve, takimeve të përbashkëta / Ofrimi i një raporti progresi | |
| Kontraktorët, duke përfshirë furnitorët dhe nënkontraktorët | Afatet kohore të pagesave sipas marrëveshjeve të palëve | Takime të përbashkëta me palët / Ofrimi i udhëzimeve për palët | |
| Partnerët | Garancia e besueshmërisë së zbatimit të projekteve të përbashkëta | Takime të përbashkëta me partnerë / Raportimi i të dhënave për projektet e përbashkëta | |
| Drejtimi i lartë i organizatës | Përmbushja e detyrimeve kontraktuale ndaj klientit me respektim të detyrueshëm të buxhetit dhe sigurimin e përfitimit dhe/ose marzheve të fitimit | Kryerja e takimeve si brenda organizatës ashtu edhe me pjesëmarrjen e partnerëve dhe kontraktorëve / Raporte mbi zbatimin e kontratës dhe buxhetin e saj; niveli i vlerësuar i rrezikut në të gjithë organizatën | |
| Menaxherët e lartë | Zbatimi i planit të biznesit | Takime në nivele të ndryshme të menaxhimit / Raportimi i të dhënave për zbatimin e proceseve të biznesit; niveli i vlerësuar i rrezikut brenda procesit të biznesit; opsionet e zgjidhjes së rrezikut, porositë | |
| Menaxherët e nivelit operacional (menaxherët e projektit) | Sigurimi i zbatimit të proceseve të biznesit në kushte të kontrolluara | "Takimet e planifikimit" operacional, metodat " stuhi mendimesh“dhe “Orakulli i Delfit”/raporton për punën e kryer; vlerësimi i nivelit të rrezikut në nivelin operacional të menaxhimit, porositë | |
| Zbatuesit përgjegjës sipas bazës funksionale | Ekzekutimi i detyrave të marra nga një nivel më i lartë drejtues | Metodat operacionale të "takimeve të planifikimit", "stuhi mendimesh" dhe "Orakullit Delphic" / Raporte mbi punën e kryer, memorandume, raporte | |
| Vlerësues dhe konsulentë të jashtëm | Interval i pranueshëm i besueshmërisë së vlerësimeve dhe rekomandimeve të bëra | Kryerja e takimeve të përbashkëta, metodat e “brainstorming” dhe “Delphic oracle” / Dhënia e raporteve mbi vlerësimet e ekspertëve të nivelit të rrezikut; duke dhënë rekomandime për zgjedhjen e opsioneve të zgjidhjes së rrezikut |
Frekuenca e ndërveprimit, si dhe shkalla e dokumentimit të rezultateve të tij, varen nga niveli i vendimeve të kontrollit që formohen si rezultat i këtij ndërveprimi. Për shembull, takimet e përbashkëta me investitorët, themeluesit dhe partnerët do të mbahen me më pak frekuencë sesa "takimet e planifikimit" operacional në nivel operacional. Prandaj, takimet e mbajtura në nivel të lartë të menaxhmentit duhet të regjistrohen në të detyrueshme Megjithatë, takimet operative jo gjithmonë kërkojnë procesverbal të detyrueshëm.
Vlerësimi i efektivitetit të ndërveprimit na lejon të marrim një pamje objektive të përshtatshmërisë së fizibilitetit praktik të përdorimit të metodave të zgjedhura të ndërveprimit. Tabela e mësipërme paraqet metodat kryesore të komunikimit ndërmjet pjesëmarrësve në procesin e menaxhimit të rrezikut. Në faza të ndryshme të procesit, metodat e diskutuara mund të modifikohen në përputhje me specifikat e kësaj faze.
Fundi i punës -
Kjo temë i përket seksionit:
Rishikimi i aspekteve kryesore të menaxhimit të rrezikut
Sipas kodi civil Federata Ruse Veprimtaria sipërmarrëse është një veprimtari e pavarur e kryer me rrezikun e dikujt.. zbatimi i çdo lloj aktiviteti sipërmarrës në njërin apo tjetrin.. nga pikëpamja e teorisë së menaxhimit të rrezikut, veçoritë dalluese të sipërmarrjes që duhen marrë parasysh kur ..
Nëse keni nevojë material shtesë për këtë temë, ose nuk e gjetët atë që po kërkoni, ju rekomandojmë të përdorni kërkimin në bazën e të dhënave tona të veprave:
Çfarë do të bëjmë me materialin e marrë:
Nëse ky material ishte i dobishëm për ju, mund ta ruani në faqen tuaj në rrjetet sociale:
Transkripti
1 w KOMBËTARE; AGJENSIA FEDERALE PËR RREGULLIM TEKNIK DHE STANDARD METROLOGJIKE E FEDERATISË RUSE GOST R ISO PARIMET DHE UDHËZIMET e menaxhimit të rrezikut ISO 31000:2009 Parimet dhe udhëzimet e menaxhimit të rrezikut (IDT) Publikimi zyrtar2 Moskë01
2 Parathënie Qëllimet dhe parimet e standardizimit në Federatën Ruse përcaktohen me Ligjin Federal të 27 dhjetorit 2002 184-FZ "Për rregullimin teknik", dhe rregullat për zbatimin e standardeve kombëtare të Federatës Ruse GOST R "Standardizimi në Federata Ruse. Dispozitat themelore" Informacion rreth standardit 1 PËRGATITUR nga Qendra Shkencore dhe Teknike "INTEK" në bazë të përkthimit të saj autentik në Rusisht të standardit ndërkombëtar të specifikuar në paragrafin 4 2 PARAQITUR nga Komiteti Teknik për Standardizim TC 100 "Strategjike dhe Inovacion". Menaxhmenti" 3 MIRATUAR DHE VËN NË EFEKT Me Urdhër të Agjencisë Federale për Rregullimin Teknik dhe Metrologjinë datë 21 Dhjetor 2010 883-st 4 Ky standard është identik me standardin ndërkombëtar ISO 31000:2009 “Menaxhimi i rrezikut. Parimet dhe udhëzimet" (ISO 31000:2009 "Parimet dhe udhëzimet e menaxhimit të rrezikut") 5 PARAQET PËR HERË TË PARË Informacioni mbi ndryshimet në këtë standard publikohet në indeksin e informacionit të publikuar çdo vit "Standardet Kombëtare", dhe teksti i ndryshimeve dhe ndryshimeve në indeksi i informacionit të publikuar mujor "Standardet Kombëtare" " Në rast rishikimi (zëvendësimi) ose anulimi të këtij standardi, njoftimi përkatës do të publikohet në indeksin mujor të informacionit të publikuar “Standardet Kombëtare”. Informacioni, njoftimi dhe tekstet përkatëse janë postuar gjithashtu në sistemin e informacionit publik në faqen zyrtare të Agjencisë Federale për Rregullimin Teknik dhe Metrologjinë në Internet Standardinform, 2012 Ky standard nuk mund të riprodhohet plotësisht ose pjesërisht, të përsëritet dhe të shpërndahet si botim zyrtar. pa lejen e Agjencisë Federale për rregullimin teknik dhe metrologjinë
3 BIBLIOTEKA SHTETËRORE RUSE 2012 L... Përmbajtja 1 Fushëveprimi 1 2 Termat dhe përkufizimet 1 3 Parimet 6 4 Infrastruktura Fuqitë dhe detyrimet e përgjithshme Zhvillimi i infrastrukturës së menaxhimit të rrezikut Zbatimi i menaxhimit të rrezikut Monitorimi dhe rishikimi i infrastrukturës së menaxhimit të rrezikut Përmirësimi i vazhdueshëm i infrastrukturës 10 5 Procesi Dispozita të përgjithshme Komunikimi dhe konsultimi Përcaktimi i situatës Vlerësimi i rrezikut Veprimi mbi rrezikun Monitorimi dhe rishikimi Regjistrimi i procesit të menaxhimit të rrezikut 16 Shtojca A (informative) Karakteristikat e menaxhimit të përmirësuar të rrezikut 17 Bibliografia
4 Hyrje Organizatat e të gjitha llojeve dhe madhësive përballen me të brendshme dhe faktorët e jashtëm dhe ndikimet që krijojnë pasiguri nëse dhe kur do t'i arrijnë qëllimet e tyre. Ndikimi i një pasigurie të tillë në qëllimet e organizatës është "rrezik". Të gjitha aktivitetet e një organizate përfshijnë rrezik. Organizatat menaxhojnë rrezikun duke e identifikuar atë, duke e analizuar dhe më pas duke vlerësuar nëse rreziku do të modifikohet nga ndërhyrja për të përmbushur kriteret e përcaktuara të rrezikut. Gjatë gjithë këtij procesi, ata shkëmbejnë informacione dhe konsultohen me palët e interesuara, si dhe monitorojnë dhe rishikojnë rrezikun dhe veprimet e kontrollit që ndryshojnë rrezikun për të siguruar që çdo ndërhyrje e mëtejshme e rrezikut nuk kërkohet më. Ky standard përshkruan në detaje këtë proces sistematik dhe logjik. Për shkak se të gjitha organizatat menaxhojnë rrezikun në një farë mase, ky Standard Ndërkombëtar përcakton një sërë parimesh që duhen ndjekur në mënyrë që menaxhimi i rrezikut të jetë efektiv. Ky standard ndërkombëtar rekomandon që organizatat të zhvillojnë, zbatojnë dhe përmirësojnë vazhdimisht një infrastrukturë, qëllimi i së cilës është të integrojë procesin e menaxhimit të rrezikut në qeverisjen e përgjithshme, strategjinë dhe planifikimin, menaxhimin, proceset e raportimit, politikat, vlerat dhe kulturën. Menaxhimi i rrezikut 1) mund të zbatohet për të gjithë organizatën në çdo kohë në shumë fusha dhe në shumë nivele të saj, si dhe për funksione, projekte dhe aktivitete specifike. Pavarësisht zhvillimit të vazhdueshëm të praktikave të menaxhimit në shumë industri, për të përmbushur nevojat e ndryshme, zbatimi proceset e përhershme si pjesë e një infrastrukture të përgjithshme, mund të mbështesë menaxhimin efektiv dhe efikas të rrezikut në të gjithë organizatën. Qasja e gjerë e përshkruar në këtë standard vendos parime dhe udhëzime për menaxhimin e rrezikut të çdo forme në një mënyrë sistematike, transparente dhe të besueshme dhe brenda çdo qëllimi dhe përmbajtjeje. Çdo industri specifike ose aplikim i menaxhimit të rrezikut ka nevojat, konsumatorët, perceptimet dhe kriteret e veta individuale. Prandaj, një tipar kyç i këtij standardi është përfshirja e “përcaktimit të situatës (konteksit)” si një aktivitet i kryer në fillim të procesit të përgjithshëm të menaxhimit të rrezikut. Gjatë përcaktimit të situatës (konteksit), është e nevojshme të merren parasysh qëllimet e organizatës, mjedisi në të cilin arrihen këto qëllime, palët e interesuara dhe një sërë kriteresh rreziku, të cilat të gjitha ndihmojnë në identifikimin dhe vlerësimin e natyrës dhe kompleksitetit të këtyre. rreziqet. Figura 1 tregon marrëdhëniet midis parimeve të menaxhimit të rrezikut, infrastrukturës dhe proceseve të menaxhimit të rrezikut të përshkruara në këtë standard. Kur zbatohet dhe mbahet në përputhje me këtë Standard Ndërkombëtar, menaxhimi i rrezikut i mundëson organizatës që: - të rrisë aftësinë e saj për të arritur objektivat e saj; - të mbështesë menaxhimin aktiv; — të njohë nevojën për të identifikuar dhe adresuar rreziqet në të gjithë organizatën; - të përmirësojë identifikimin e mundësive dhe kërcënimeve; - të përmbushë kërkesat përkatëse legjislative dhe të tjera të detyrueshme dhe standardet ndërkombëtare; - përmirësimin e detyrueshëm dhe raportimi i menaxhmentit; - përmirësimi i menaxhimit; - të forcojë besimin e palëve të interesuara; - të krijojë një bazë të besueshme për vendimmarrje dhe planifikim; - përmirësimi i menaxhimit; - shpërndajnë dhe përdorin në mënyrë efektive burimet për të adresuar rrezikun; - të rrisë efikasitetin dhe efektivitetin funksional; 1> Për shkak të kësaj, praktika të ndryshme përdorimi janë krijuar në shumë fusha në lidhje me konceptin e "menaxhimit të rrezikut". Prandaj, shprehja "menaxhimi i rrezikut" gjendet shumë shpesh në literaturën shkencore dhe teknike. Më tej në tekstin e standardit, sipas rastit, edhe për thjeshtësi, kjo frazë përdoret së bashku me atë të pranuar përgjithësisht.
5 - Rritja e nivelit të sigurisë, shëndetit dhe mbrojtjes së mjedisit; - të përmirësojë parandalimin e humbjeve dhe menaxhimin e incidenteve; - minimizoni humbjet; - të përmirësojë trajnimin në organizatë; - të rrisë qëndrueshmërinë e organizatës. Ky standard ndërkombëtar synon të plotësojë nevojat e një game të gjerë palësh të interesuara, duke përfshirë: a) ata përgjegjës për zhvillimin e politikave të menaxhimit të rrezikut brenda një organizate; b) ata që janë përgjegjës për sigurimin e menaxhimit efektiv të rrezikut brenda organizatës në tërësi ose brenda një zone, projekti ose aktiviteti të caktuar; c) personat që duhet të vlerësojnë efektivitetin e organizatës në menaxhimin e rrezikut; d) hartuesit e standardeve, udhëzimeve, procedurave dhe praktikave të mira që, tërësisht ose pjesërisht, përcaktojnë mënyrën e kryerjes së menaxhimit të rrezikut brenda situatave specifike në këto dokumente. Praktikat dhe proceset aktuale të menaxhimit të shumë organizatave përfshijnë komponentë të menaxhimit të rrezikut dhe shumë organizata tashmë përdorin një proces formal të menaxhimit të rrezikut për lloje ose rrethana specifike të rrezikut. Në këto raste, organizata mund të vendosë të ndërmarrë një rishikim kritik të praktikave dhe proceseve të saj në dritën e këtij Standardi Ndërkombëtar. Ky standard përdor si termin "menaxhimi i rrezikut" dhe termin "menaxhimi i rrezikut". NË skicë e përgjithshme"Menaxhimi i rrezikut" i referohet arkitekturës (parimeve, infrastrukturës dhe procesit) të menaxhimit efektiv të rrezikut, ndërsa "menaxhimi i rrezikut" i referohet aplikimit të asaj arkitekture për rreziqe specifike. Standard ndërkombëtarështë përgatitur nga grupi i punës për menaxhimin e rrezikut të Zyrës Drejtuese Teknike ISO (TMB). a) Krijon vlerë b) Është pjesë integrale e proceseve organizative c) Është pjesë e vendimmarrjes d) Adreson ekskluzivisht pasigurinë e) Është sistematik, i strukturuar dhe në kohë f) Bazuar në informacionin më të mirë në dispozicion e) Është i përshtatur h) Merr parasysh njerëzimin dhe Faktorët kulturorë i) Është transparent dhe gjithëpërfshirës j) Është dinamik, material dhe i përgjegjshëm ndaj ndryshimeve j) Promovon përmirësimin dhe përmirësimin e vazhdueshëm të organizatës Përmirësimi i vazhdueshëm i infrastrukturës (4.6) Planifikimi dhe angazhimi (4.2) Korniza e infrastrukturës së menaxhimit të rrezikut (4.3) Monitorimi i infrastrukturës dhe analiza (4.5) Infrastruktura (Seksioni 4) Aplikimi i menaxhimit të rrezikut (4.4) Përkufizimi i situatës (5.3) Vlerësimi i rrezikut (5.4) Identifikimi i rrezikut (5.4.2) Analiza e rrezikut (5.4.3) Vlerësimi i rrezikut (5.4.4) Ekspozimi ndaj rrezikut (5.5) Procesi (Seksioni 5 ) Figura 1 Marrëdhëniet ndërmjet parimeve të menaxhimit të rrezikut, infrastrukturës dhe procesit
6 GOST R ISO STANDARD KOMBËTAR I FEDERATES RUSE PARIMET DHE UDHËZIMET e menaxhimit të rrezikut Menaxhimi i rrezikut. Parimet dhe udhëzimet Data e prezantimit Fushëveprimi Ky standard ofron parime dhe udhëzime të përgjithshme për menaxhimin e rrezikut. Ky standard mund të përdoret nga çdo publik, privat ose ndërmarrje publike, shoqatë, grup personash ose individuale. Ky standard nuk është specifik për asnjë industri apo sektor. Shënim Të gjithë përdoruesit e ndryshëm të këtij standardi referohen për lehtësi me termin e përgjithshëm "organizatë". Ky standard mund të zbatohet kudo cikli jetësor organizatat dhe për një gamë të gjerë aktivitetesh, duke përfshirë strategjitë dhe vendimet, operacionet, proceset, funksionet, projektet, produktet, shërbimet dhe asetet. Ky standard mund të zbatohet për çdo lloj rreziku, pavarësisht nga natyra e tij dhe nëse ka pasoja negative apo pozitive. Megjithëse ky standard ofron udhëzime të përgjithshme, ai nuk synon të sigurojë menaxhim uniform të rrezikut në të gjitha organizatat. Gjatë krijimit dhe aplikimit të planeve të infrastrukturës së menaxhimit të rrezikut, është e nevojshme të merren parasysh nevojat e ndryshme të organizatës specifike, objektivat e saj specifike, situata (konteksti), struktura, operacionet, proceset, funksionet, projektet, produktet, shërbimet ose asetet, dhe praktikat specifike të adoptuara në organizatë. Kjo duhet të kuptohet se do të thotë se ky standard duhet të përdoret për të harmonizuar proceset e menaxhimit të rrezikut të përshkruara në standardet ekzistuese aktuale dhe të ardhshme. Ajo vendos qasje e përgjithshme për të mbështetur standardet që mbulojnë rreziqe specifike dhe/ose industri dhe nuk i zëvendësojnë ato standarde. Ky standard nuk është menduar për qëllime certifikimi. 2 Termat dhe përkufizimet Termat dhe përkufizimet e mëposhtme zbatohen në të gjithë këtë standard: 2.1 rreziku: Efekti i pasigurisë mbi objektivat. i Shënim 1 Ndikimi është një devijim nga ajo që pritet (pozitive dhe/ose negative). Shënimi 2 Qëllimet mund të kenë aspekte të ndryshme(p.sh. objektivat financiare, mjedisore dhe të shëndetit dhe sigurisë) dhe mund të zbatohen në nivele të ndryshme (strategjike, organizative, projekti, produkti ose procesi). Shënim 3: Rreziku karakterizohet shpesh duke iu referuar ngjarjeve të mundshme (2.17) dhe pasojave (2.18) ose kombinimeve të tyre. Publikimi zyrtar
7 Shënimi 4 Rreziku shpesh shprehet si një kombinim i pasojave të ngjarjeve (përfshirë ndryshimet në rrethana) dhe probabilitetit ose mundësisë së shfaqjes (2.19). Shënim 5 Pasiguria është një gjendje e pamjaftueshmërisë, qoftë edhe e pjesshme, e informacionit, të kuptuarit ose e njohurive në lidhje me një ngjarje, pasojat ose mundësinë e saj. [ISO Guide 73:2009, përkufizimi 1.1] 2.2 menaxhimi i rrezikut, menaxhimi i riskut: Veprimet e koordinuara për të menaxhuar një organizatë duke marrë parasysh rrezikun (2.1). [ISO Guide 73:2009, përkufizimi 2.1] 2.3 kuadri i administrimit të rrezikut grup komponentësh që ofrojnë kornizën dhe rregullimet organizative dhe strukturën për zhvillimin, zbatimin, monitorimin (2.28), rishikimin dhe përmirësimin e vazhdueshëm të menaxhimit të rrezikut (2.2) në një organizatë- shkallë të gjerë. Shënim 1 Kuadri përfshin politikat, objektivat, autoritetet dhe detyrimet e menaxhimit të rrezikut (2.1). Shënim 2: Rregullimet dhe struktura organizative përfshijnë planet, marrëdhëniet, përgjegjësitë, burimet, proceset dhe aktivitetet. Shënim 3 Infrastruktura e menaxhimit të rrezikut është e përfshirë në të gjitha politikat dhe praktikat strategjike dhe operacionale të organizatës. [ISO Guide 73:2009, përkufizimi 2.1.1] 2.4 Deklarata e politikës së menaxhimit të rrezikut të synimeve të përgjithshme dhe drejtimit të një organizate në lidhje me menaxhimin e rrezikut (2.2). [ISO Guide 73:2009, përkufizimi 2.1.2] 2.5 Qëndrimi ndaj rrezikut: Qasja e një organizate për vlerësimin dhe përfundimin e shfrytëzimit të mundësive, mbajtjen, pranimin ose shmangien e rreziqeve (2.1). [ISO Guide 73:2009, përkufizim] 2.6 Dokumenti i planit të menaxhimit të rrezikut në kuadrin e menaxhimit të rrezikut (2.3) që përcakton qasjen, kontrollet dhe burimet e përdorura për të menaxhuar rrezikun (2.1). SHËNIM 1 Elementet e menaxhimit të rrezikut përfshijnë zakonisht procedurat, praktikat, caktimin e detyrave dhe përgjegjësive, renditjen dhe kohën e aktiviteteve. Shënim 2: Plani i menaxhimit të rrezikut mund të zbatohet për një produkt, proces dhe projekt specifik, si dhe për një pjesë ose të gjithë organizatën. [ISO Guide 73:2009, përkufizimi 2.1.3] 2.7 Pronari i rrezikut personi ose njësia organizative që ka autoritetin dhe përgjegjësinë për menaxhimin e rrezikut (2.1) [ISO Guide 73:2009, definicion] 2.8 Procesi i menaxhimit të rrezikut: Zbatimi sistematik i politikave, procedurave dhe praktikave të menaxhimit në aktivitetet e komunikimit, konsultimit, vendosjes së situatës (kontekstit) dhe identifikimit, analizimit, vlerësimit dhe trajtimit të rrezikut, monitorimit ( 2. 28) dhe rishikimi i rrezikut (2.1). [Udhëzuesi ISO 73:2009, përkufizimi 3.1]
8 2.9 vendosja e kontekstit që përcakton parametrat e jashtëm dhe të brendshëm të marrë parasysh gjatë menaxhimit të rrezikut dhe vendosjen e fushës dhe kritereve të rrezikut (2.22) për politikën e menaxhimit të rrezikut (2.4) [ISO Guide 73:2009, përkufizimi 3.3.1] 2.10 konteksti i jashtëm: Mjedisi i jashtëm në të cilin organizatat përpiqen të arrijnë qëllimet e tyre. Shënim Situata e jashtme (konteksti) mund të përfshijë: - mjedisin kulturor, social, ligjor, rregullator, financiar, teknologjik, ekonomik, natyror dhe të tregut në nivel ndërkombëtar, kombëtar, rajonal ose lokal; - forcat kryesore lëvizëse dhe tendencat që ndikojnë në qëllimet e organizatës; - marrëdhëniet me palët e interesuara (2.13), pritshmëritë dhe vlerat e tyre. [ISO Guide 73:2009, përkufizim] 2.11 konteksti i brendshëm: Mjedisi i brendshëm në të cilin një organizatë përpiqet të arrijë objektivat e saj. Shënim Situata e brendshme (konteksti) mund të përfshijë: - menaxhimin, strukturën organizative, rolet dhe përgjegjësitë; - politikat, synimet dhe strategjitë e disponueshme për sa i përket arritjes së tyre; - aftësitë, të kuptuara në lidhje me burimet dhe njohuritë (p.sh. kapitali, koha, njerëzit, proceset, sistemet dhe teknologjia); - sistemet e informacionit, flukset e informacionit dhe proceset e vendimmarrjes (formale dhe joformale); - marrëdhëniet me palët e brendshme të interesit, pritshmëritë dhe vlerat e tyre; - kultura organizative; — standardet, udhëzimet dhe modelet e miratuara nga organizata; - forma dhe përmbajtja e marrëdhënieve kontraktore. [ISO Guide 73:2009, definicion] 2.12 komunikimi dhe konsultimi proceset e vazhdueshme dhe përsëritëse që një organizatë ndërmerr për të ofruar, ndarë ose marrë informacion dhe dialog me palët e interesuara (2.13) në lidhje me menaxhimin e rrezikut (2.1). Shënimi 1 i hyrjes: Informacioni mund të lidhet me praninë, natyrën, formën, gjasat ose mundësinë (2.19), rëndësinë, pranueshmërinë, vlerësimin (2.24) dhe ndikimin në rrezik (2.25). Shënimi 2 Konsultimi është një proces i dyanshëm i shkëmbimit të kualifikuar të informacionit ndërmjet një organizate dhe palëve të saj të interesuara për çdo çështje përpara marrjes së një vendimi ose para përcaktimit të drejtimit të çështjes. Konsultimi është: - një proces që ndikon në vendimin e marrë nëpërmjet ndikimit, jo pushtetit; - pika fillestare e vendimmarrjes dhe jo e vendimmarrjes së përbashkët. [ISO Guide 73:2009, përkufizimi 3.2.1] 2.13 palët e interesuara: Personi ose organizata që mund të ndikojë, të ndikohet ose të besojë se janë të prekur nga një vendim ose aktivitet. Shënim Vendimmarrësi mund të jetë një palë e interesuar. [ISO Guide 73:2009, definicion] 2.14 vlerësimi i rrezikut procesi i përgjithshëm i identifikimit të rrezikut (2.15), analiza e rrezikut (2.21) dhe vlerësimi i rrezikut (2.24) [ISO Guide 73:2009, përkufizimi 3.4.1]
9 2.15 identifikimi i rrezikut: Procesi i zbulimit, njohjes dhe përshkrimit të rreziqeve (2.1). Shënimi 1 i hyrjes: Identifikimi përfshin njohjen e burimeve të rrezikut (2.16), ngjarjeve (2.17), shkaqeve të tyre dhe pasojat e mundshme (2.18). Shënimi 2 i hyrjes: Identifikimi i rrezikut mund të përdorë të dhëna historike, analiza teorike, pikëpamjet e informuara dhe opinionet e ekspertëve dhe nevojat e palëve të interesuara (2.13). [ISO Guide 73:2009, përkufizimi 3.5.1] 2.16 Burimi i rrezikut: Një element që, i vetëm ose i kombinuar, ka potencialin e tij për të shkaktuar një rrezik (2.1). Shënim Burimi i rrezikut mund të jetë material ose jomaterial. [ISO Guide 73:2009, definition] 2.17 Ngjarja: Ndodhja ose ndryshimi i një sërë rrethanash specifike. Shënim 1 Një ngjarje mund të ketë një ose më shumë origjinë dhe mund të ketë shumë shkaqe. Shënim 2 Një ngjarje mund të jetë që ndonjë fenomen nuk ka ndodhur. Shënim 3 Ndonjëherë një ngjarje mund të konsiderohet si një "incident" ose "aksident". Shënim 4 Një ngjarje jo-pasojë (2.18) mund të konsiderohet gjithashtu si një "shansi", "incident", "përafërsisht humbje" ose "pranë humbje". [ISO Guide 73:2009, përkufizim] 2.18 Pasoja: Rezultati i një ngjarjeje (2.17) që ndikon në objektivat. Shënim 1 Një ngjarje mund të çojë në një sërë pasojash. Shënim 2: Një pasojë mund të jetë e caktuar ose e pasigurt dhe mund të ketë efekte pozitive ose negative mbi objektivat. Shënim 3 Pasojat mund të shprehen në mënyrë cilësore ose sasiore. Shënim 4 Efektet fillestare mund të përforcohen nga një efekt domino. [ISO Guide 73:2009, përkufizim] 2.19 probabiliteti, gjasat: Mundësia që diçka mund të ndodhë. Shënimi 1 i hyrjes: Në terminologjinë e menaxhimit të rrezikut, termi "probabilitet" ose "mundësi" nënkupton mundësinë që diçka mund të ndodhë, qoftë e konstatuar, matur ose përcaktuar në mënyrë objektive ose subjektive, cilësore ose sasiore, dhe nëse përshkruhet në terma të përgjithshëm ose matematikisht (për shembull, si probabilitet ose frekuencë gjatë një periudhe të caktuar kohe). Shënim 2 Termi anglisht "gjasa" nuk ka një përkthim të drejtpërdrejtë në disa gjuhë: shpesh përdoret përkthimi i "probabilitetit". Sidoqoftë, në anglisht termi (probabilitet) shpesh kuptohet në një kuptim të ngushtë matematikor. Prandaj, në terminologjinë e menaxhimit të rrezikut, termi "gjasa" përdoret për t'i dhënë të njëjtin kuptim të gjerë që ka fjala "probabilitet" në shumë gjuhë të tjera përveç anglishtes. [ISO Guide 73:2009, përkufizim] 2.20 Profili i rrezikut: Përshkrimi i një grupi rreziqesh (2. 1). Shënim Ky grup mund të përfshijë rreziqe që vlejnë për të gjithë organizatën, pjesë të saj ose janë të përcaktuara ndryshe. [ISO Guide 73:2009, përkufizim]
10 2.21 Analiza e rrezikut: Procesi i të kuptuarit të natyrës së rrezikut (2.1) dhe përcaktimit të nivelit të rrezikut (2.23). Shënimi 1 i hyrjes: Analiza e rrezikut ofron bazën për vlerësimin e rrezikut (2.24) dhe vendimet në lidhje me menaxhimin e rrezikut (2.25). Shënimi 2 Analiza e rrezikut përfshin përcaktimin e shkallës së rrezikut. [ISO Guide 73:2009, përkufizimi 3.6.1] 2.22 kriteret e rrezikut: Atributet sipas të cilave vlerësohet rëndësia e një rreziku (2.1). Shënim 1 Kriteret e rrezikut bazohen në objektivat e organizatës dhe në situatën e jashtme (2.10) dhe të brendshme (konteksti) (2.11). Shënim 2 Kriteret e rrezikut mund të rrjedhin nga standardet, ligjet, politikat dhe kërkesat e tjera. [ISO Guide 73:2009, definition] 2.23 niveli i madhësisë së rrezikut të një rreziku (2.1) ose kombinimi i rreziqeve, i shprehur si një kombinim i pasojave (2.18) dhe gjasat ose mundësitë e tyre (2.19) [ISO Guide 73:2009, përkufizim] 2.24 Procesi i vlerësimit të rrezikut i krahasimit të rezultateve të një analize rreziku (2.21) me kriteret e përcaktuara të rrezikut (2.22) për të përcaktuar nëse rreziku (2.1) dhe/ose madhësia e tij është e pranueshme ose e tolerueshme. Shënim Vlerësimi i rrezikut kontribuon në marrjen e vendimeve në lidhje me trajtimin e rrezikut (2.25). [ISO Guide 73:2009, përkufizimi 3.7.1] 2.25 Procesi i trajtimit të rrezikut të modifikimit të rrezikut (2.1). Shënim 1: Adresimi i rrezikut mund të përfshijë: - shmangien e rrezikut duke vendosur të mos fillojë ose të mos vazhdojë aktivitetin që shkakton rrezikun; - marrjen ose rritjen e rrezikut për të përfituar nga një mundësi; - eliminimi i burimit të rrezikut (2.16); - ndryshimi i probabilitetit ose mundësisë (2.19); - ndryshimi i pasojave (2.18); - ndarjen e rrezikut me një palë ose palë tjetër (përfshirë kontratat dhe financimin e rrezikut); - mbajtje e vetëdijshme e rrezikut. Shënim 2: Adresimi i një rreziku që ka pasoja negative nganjëherë referohet si "zbutje e rrezikut", "eliminim i rrezikut", "parandalim rreziku" dhe "ulje rreziku". Shënim 3 Ndërhyrjet në rrezik mund të krijojnë rreziqe të reja ose të ndryshojnë rreziqet ekzistuese. [ISO Guide 73:2009, përkufizimi 3.8.1] 2.26 Kontrolli i rrezikut: Një masë që modifikon një rrezik (2.1). Shënim 1 Kontrolli i rrezikut mund të përfshijë çdo proces, politikë, procedurë, praktikë ose veprim tjetër që modifikon rrezikun. Shënim 2 Kontrolli i rrezikut mund të mos ketë gjithmonë efektin e dëshiruar ose të pritur. [ISO Guide 73:2009, përkufizim]
11 2.27 risku i mbetur: Rreziku (2.1) i mbetur pas ekspozimit ndaj rrezikut (2.25). Shënim Shënim 1 Një rrezik i mbetur mund të përmbajë një rrezik të paidentifikuar. 2 Rreziku i mbetur mund të njihet edhe si “rreziku i mbajtur”. [ISO Guide 73:2009, definicion] 2.28 monitorimi i inspektimit të vazhdueshëm, mbikëqyrjes, vëzhgimit kritik ose përcaktimit të kushteve për të identifikuar ndryshimet në lidhje me një nivel të kërkuar ose të pritshëm. Shënim Monitorimi mund të zbatohet për infrastrukturën e menaxhimit të rrezikut (2.3), procesin e menaxhimit të rrezikut (2.8), rrezikun (2.1) ose kontrollin e rrezikut (2.26). [ISO Guide 73:2009, përkufizim] 2.29 Rishikimi: Aktivitetet e ndërmarra për të përcaktuar përshtatshmërinë, përshtatshmërinë dhe efektivitetin e lëndës në shqyrtim për të arritur objektivat e specifikuara. Shënim Procedurat e rishikimit mund të zbatohen për kuadrin e menaxhimit të rrezikut (2.3), procesin e menaxhimit të rrezikut (2.8), rrezikun (2.1) ose kontrollin e rrezikut (2.26). [ISO Guide 73:2009, definition] 3 Parimet Për të menaxhuar në mënyrë efektive rrezikun, një organizatë duhet t'u përmbahet parimeve të mëposhtme në të gjitha nivelet: a) Menaxhimi i rrezikut krijon dhe mbron vlerën 1. Menaxhimi i rrezikut kontribuon në mënyrë të dukshme në arritjen e objektivave dhe përmirësimin e performancës, p.sh. sigurimi i shëndetit dhe sigurisë së njerëzve, mbrojtja, pajtueshmëria me kërkesat ligjore dhe rregullat e tjera, njohja publike, mbrojtja e mjedisit, cilësia e produktit, menaxhimi i projektit, kryerja e funksioneve, qeverisja dhe reputacioni b) menaxhimi i rrezikut është pjesë përbërëse e të gjitha proceseve të menaxhimit të rrezikut organizativ; Nuk është një aktivitet i veçantë që është i ndarë nga aktivitetet dhe proceset kryesore të organizatës është pjesë e procesit të pranimit; Menaxhimi i riskut i ndihmon vendimmarrësit të bëjnë zgjedhje të informuara, të prioritizojnë veprimet dhe të bëjnë dallimin ndërmjet drejtimeve alternative të veprimit; d) menaxhimi i rrezikut ka të bëjë në mënyrë eksplicite me pasigurinë. Menaxhimi i rrezikut merr qartë parasysh pasigurinë, natyrën e kësaj pasigurie dhe mënyrën e trajtimit të saj; e) menaxhimi i rrezikut është sistematik, i strukturuar dhe në kohë. Një qasje sistematike, e rregullt dhe e strukturuar për menaxhimin e rrezikut promovon efikasitet dhe rezultate të qëndrueshme, të krahasueshme dhe të besueshme; f) menaxhimi i rrezikut bazohet në informacionin më të mirë të disponueshëm. Të dhënat në procesin e menaxhimit të rrezikut bazohen në burime informacioni si të dhënat historike, përvoja, reagimet e palëve të interesuara, vëzhgimet, parashikimet dhe gjykimi i ekspertëve. Megjithatë, vendimmarrësit duhet të jenë të vetëdijshëm dhe të marrin parasysh çdo kufizim të të dhënave ose modelimit të përdorur, ose mundësinë e mendimeve të ndryshme midis ekspertëve. e) menaxhimi i rrezikut është i adaptueshëm. Menaxhimi i rrezikut duhet të jetë në përputhje me situatën e jashtme dhe të brendshme (kontekstin) dhe profilin e rrezikut; 1) Në kontekstin e menaxhimit të rrezikut të korporatës dhe financiare, përkthimi i pranuar përgjithësisht i termit "kosto".
12 h) Menaxhimi i riskut merr parasysh faktorët njerëzorë dhe kulturorë. Menaxhimi i riskut njeh aftësitë, perceptimet dhe synimet e njerëzve jashtë dhe brenda organizatës që mund të ndihmojnë ose pengojnë arritjen e objektivave të organizatës; i) menaxhimi i rrezikut është transparent dhe merr parasysh interesat e palëve të interesuara. Përfshirja e duhur dhe në kohë e palëve të interesuara dhe, veçanërisht, e vendimmarrësve në të gjitha nivelet e organizatës siguron që menaxhimi i rrezikut të mbetet i përshtatshëm dhe i përgjegjshëm. kërkesat moderne. Kjo u mundëson palëve të interesuara të përfaqësohen siç duhet dhe të kenë besim se pikëpamjet e tyre merren parasysh në procesin e përcaktimit të kritereve të rrezikut; j) menaxhimi i rrezikut është dinamik, përsëritës dhe i përgjigjet ndryshimeve; Menaxhimi i riskut vazhdimisht njeh dhe i përgjigjet ndryshimeve. Sapo ndodh një ngjarje e jashtme ose e brendshme, konteksti ose njohuritë ndryshojnë, rreziqet monitorohen dhe rishikohen, shfaqen rreziqe të reja, disa ndryshojnë, të tjera zhduken; j) menaxhimi i riskut kontribuon në përmirësimin e vazhdueshëm të organizatës. Organizatat duhet të zhvillojnë dhe zbatojnë strategji për të përmirësuar përsosmërinë e menaxhimit të rrezikut në të njëjtën kohë me aspektet e tjera të menaxhimit të tyre të rrezikut. Shtojca A ofron udhëzime të mëtejshme për organizatat që dëshirojnë të menaxhojnë rrezikun në mënyrë më efektive. 4 Infrastruktura 4.1 Të përgjithshme Suksesi i menaxhimit të riskut varet nga efektiviteti i ofrimit të infrastrukturës së menaxhimit bazat themelore dhe aktivitetet që do të përdoren në të gjithë organizatën në të gjitha nivelet. Infrastruktura lehtëson menaxhim efektiv rreziqet nëpërmjet aplikimit të procesit të menaxhimit të riskut (shih Seksionin 5) në nivele të ndryshme dhe brenda situatës (konteksit) specifike në organizatë. Infrastruktura siguron që informacioni i rrezikut që rrjedh nga procesi i menaxhimit të rrezikut regjistrohet siç duhet dhe përdoret si bazë për vendimmarrje dhe raportim në të gjitha nivelet përkatëse të organizatës. Ky seksion paraqet elementët e nevojshëm të infrastrukturës së menaxhimit të rrezikut dhe mënyrën se si ato janë të ndërlidhura në një mënyrë përsëritëse, siç tregohet në figurën 2. Autoriteti dhe angazhimi (4.2) Harta e infrastrukturës së menaxhimit të rrezikut (4.3) Kuptimi i organizatës dhe kontekstit të saj (4.3.1 ) Përcaktimi i politikave të menaxhimit të rrezikut (4.3.2) Raportimi (4.3.3) Integrimi në proceset organizative (4.3.4) Burimet (4.3.5) Krijimi i shkëmbimit të informacionit të brendshëm dhe mekanizmave të raportimit (4.3.6) Krijimi i shkëmbimit të informacionit të jashtëm dhe mekanizmave të raportimit (4.3. 7) Përmirësimi i vazhdueshëm i infrastrukturës (4.6) Aplikimi i menaxhimit të rrezikut (4.4) Aplikimi i infrastrukturës së menaxhimit të rrezikut (4.4.1) Aplikimi i procesit të menaxhimit të rrezikut (4.4.2) Monitorimi dhe analiza e infrastrukturës (4.5 ) Figura 2 Marrëdhënia ndërmjet elementeve të infrastrukturës së menaxhimit të riskut
13 Ky kuadër nuk synon të përshkruajë një sistem menaxhimi, por të ndihmojë një organizatë në integrimin e menaxhimit të rrezikut në sistemin e saj të përgjithshëm të menaxhimit. Kështu, organizatat duhet të përshtatin elementet e infrastrukturës për nevojat e tyre specifike. Nëse praktikat dhe proceset e menaxhimit që ekzistojnë në organizatë përfshijnë elementë të menaxhimit të rrezikut, ose nëse organizata ka miratuar tashmë një proces formal të menaxhimit të rrezikut për rreziqe ose situata specifike, atëherë ato duhet të rishikohen dhe vlerësohen në mënyrë kritike për përputhjen me këtë Standard Ndërkombëtar. duke përfshirë kriteret e përfshira në aneks Dhe për të përcaktuar përshtatshmërinë dhe efektivitetin e tyre. 4.2 Autoriteti dhe Përgjegjësitë Zbatimi i menaxhimit të rrezikut dhe sigurimi i efektivitetit të tij të vazhdueshëm kërkon një angazhim të qartë dhe të qëndrueshëm nga menaxhmenti i organizatës për të zbatuar planin e menaxhimit në të gjitha nivelet, si dhe planifikim të detajuar strategjik për zbatimin e këtyre angazhimeve. Menaxhmenti duhet: - të përcaktojë dhe të mbajë politikën e menaxhimit të rrezikut; — të sigurojë konsistencë midis kulturës së organizatës dhe politikave të saj të menaxhimit të rrezikut; - të përcaktojë kriteret për efektivitetin e menaxhimit të rrezikut, të cilat duhet të lidhen me kriteret për efektivitetin e organizatës në tërësi; - të koordinojë qëllimet e menaxhimit të rrezikut me qëllimet dhe strategjitë e organizatës; - të sigurojë pajtueshmërinë ligjore dhe rregullatore; — të krijojë përgjegjësi dhe detyrime në nivelet e duhura në të gjithë organizatën; - të sigurojë alokimin e burimeve të nevojshme për menaxhimin e rrezikut; — t'u japë informacion palëve të interesit për përfitimet e menaxhimit të rrezikut dhe — të sigurojë që infrastruktura e menaxhimit të rrezikut të vazhdojë të jetë e përshtatshme; 4.3 Zhvillimi i një infrastrukture të menaxhimit të rrezikut Kuptimi i organizatës dhe situatës së saj (konteksti) Përpara se të zhvillohet dhe zbatohet një infrastrukturë e menaxhimit të rrezikut, është e rëndësishme të vlerësohet dhe të kuptohet si situata (konteksti) i jashtëm dhe i brendshëm i organizatës, pasi mund të ndikojë ndjeshëm në ndikim zhvillimin e infrastrukturës. Vlerësimi i situatës së jashtme (konteksti) i organizatës mund të përfshijë, por nuk kufizohet në: a) mjedisin social dhe kulturor, politik, ligjor, rregullator, financiar, teknologjik, ekonomik, natyror dhe të tregut në mjedisin ndërkombëtar, kombëtar, rajonal ose të tregut. nivelet lokale; b) nxitësit dhe tendencat kryesore që ndikojnë në objektivat e organizatës; c) marrëdhëniet me aktorët e jashtëm, vlerat dhe perceptimet e tyre. Vlerësimi i situatës së brendshme (konteksti) i organizatës mund të përfshijë, por nuk kufizohet në: - menaxhimin, strukturën organizative, rolet dhe përgjegjësitë; - politikat, synimet dhe strategjitë e nevojshme për arritjen e këtyre qëllimeve; - aftësitë, të kuptuara si burime dhe njohuri (për shembull, kapitali, koha, njerëzit, proceset, sistemet dhe teknologjitë); - sistemet e informacionit, rrjedhat e informacionit dhe proceset e vendimmarrjes (formale dhe joformale); - marrëdhëniet me aktorët e brendshëm, vlerat dhe perceptimet e tyre; - kultura e organizatës; - standardet, udhëzimet dhe modelet e miratuara nga organizata, dhe - forma dhe përmbajtja e marrëdhënieve kontraktuale Krijimi i një politike të menaxhimit të rrezikut Një politikë e menaxhimit të rrezikut duhet të përcaktojë qartë objektivat dhe detyrimet e organizatës në lidhje me menaxhimin e rrezikut dhe, si rregull, të vendosë: - arsyetimin për nevojën e organizatës për menaxhimin e rrezikut; — marrëdhëniet ndërmjet objektivave dhe politikave të organizatës dhe politikës së menaxhimit të rrezikut;
14 - llogaridhënia dhe përgjegjësia në lidhje me menaxhimin e rrezikut; - mënyrat për zgjidhjen e konfliktit të interesit; - një angazhim për të siguruar akses në burimet e nevojshme për të ndihmuar ata që janë përgjegjës dhe përgjegjës për menaxhimin e rrezikut; — mënyrën në të cilën do të matet dhe raportohet efektiviteti i aktiviteteve të menaxhimit të rrezikut; - një angazhim për të rishikuar dhe përmirësuar politikën dhe infrastrukturën e menaxhimit të rrezikut në mënyrë periodike dhe në rast të ngjarjeve ose ndryshimeve në rrethana. Politika e menaxhimit të rrezikut duhet t'u komunikohet siç duhet palëve të interesuara. Përgjegjësia Organizata duhet të sigurojë që ka përgjegjësi, autoritet dhe kompetencë të përshtatshme për menaxhimin e rrezikut, duke përfshirë zbatimin dhe mirëmbajtjen e procesit të menaxhimit të rrezikut dhe sigurimin e përshtatshmërisë, efektivitetit dhe efikasitetit të çdo kontrolli. Kjo duhet të lehtësohet nga: - identifikimi i pronarëve të rrezikut që janë përgjegjës dhe të autorizuar për të menaxhuar rreziqet; - identifikimin e personave përgjegjës për zhvillimin, zbatimin dhe mirëmbajtjen e infrastrukturës së menaxhimit të rrezikut; - vendosjen e llojeve të tjera të përgjegjësisë së punonjësve në të gjitha nivelet e organizatës për procesin e menaxhimit të rrezikut; - vendosjen e proceseve për matjen e performancës dhe proceset e raportimit të jashtëm dhe/ose të brendshëm dhe komunikimin e tyre me menaxhmentin; — sigurimi i niveleve të duhura të njohjes Integrimi në proceset organizative Menaxhimi i rrezikut duhet të integrohet në të gjitha praktikat dhe proceset e organizatës në mënyrë të tillë që të kryhet në mënyrë adekuate, efektive dhe efikase. Procesi i menaxhimit të riskut duhet të jetë pjesë e këtyre proceseve organizative dhe nuk duhet të ndahet prej tyre. Në veçanti, menaxhimi i rrezikut duhet të ndërtohet në zhvillimin e politikave, proceset e planifikimit strategjik dhe të biznesit, duke përfshirë rregullimet e planeve dhe proceset e menaxhimit të ndryshimeve. Një plan i menaxhimit të rrezikut duhet të zhvillohet në të gjithë organizatën për të siguruar që politika e menaxhimit të rrezikut zbatohet dhe se menaxhimi i rrezikut është i integruar në të gjitha praktikat dhe proceset e organizatës. Plani i menaxhimit të rrezikut mund të integrohet në plane të tjera të organizatës, për shembull një plan strategjik Burimet Organizata duhet të sigurojë burime të mjaftueshme për qëllime të menaxhimit të rrezikut. Është e nevojshme të merren parasysh: - njerëzit, aftësitë, përvoja dhe kompetenca; - burimet e nevojshme për çdo fazë të procesit të menaxhimit të rrezikut; - proceset, metodat dhe mjetet e organizatës që duhet të përdoren për menaxhimin e rrezikut; - proceset dhe procedurat e dokumentuara; - sistemet e menaxhimit të informacionit dhe njohurive; - programet e trajnimit Krijimi i mekanizmave të komunikimit të brendshëm dhe raportimit Organizata duhet të krijojë mekanizma të brendshëm të komunikimit për të mbështetur dhe lehtësuar shpërndarjen e përgjegjësive dhe autoriteteve të menaxhimit të rrezikut. Këta mekanizma duhet të sigurojnë që: - informacioni në lidhje me elementët kyç të infrastrukturës së menaxhimit të rrezikut dhe çdo modifikim të mëvonshëm të sigurohet në mënyrë të përshtatshme; - ka raportim të brendshëm të duhur për infrastrukturën, efektivitetin dhe rezultatet e saj; - informacioni përkatës i marrë në bazë të aplikimit të menaxhimit të rrezikut jepet në nivelet e duhura dhe në kohën e duhur; - Përdoren proceset e konsultimit me palët e brendshme të interesit. Këta mekanizma duhet, aty ku është e përshtatshme, të përfshijnë procese për mbledhjen e informacionit të rrezikut nga një shumëllojshmëri burimesh dhe mund të kërkojnë verifikimin e burimeve të informacionit.
15 4.3.7 Krijimi i mekanizmave të komunikimit dhe raportimit të jashtëm Organizata duhet të zhvillojë dhe zbatojë një plan për komunikimin me palët e jashtme të interesuara. Kjo duhet të përfshijë: - angazhimin e aktorëve përkatës dhe sigurimin e komunikimit efektiv; - Raportimi i jashtëm në përputhje me kërkesat ligjore, rregullatore dhe të qeverisjes; - ofrimi i komenteve dhe raportimi për shkëmbimin dhe konsultimin e informacionit; - përdorimi i shkëmbimit të informacionit për të arritur besimin në organizatë; - shkëmbimi i informacionit me palët e interesuara në rast krize ose rrethanash të paparashikuara. Këta mekanizma duhet, aty ku është e përshtatshme, të përfshijnë procese për mbledhjen e informacionit të rrezikut nga një shumëllojshmëri burimesh dhe mund të kërkojnë verifikimin e burimeve të këtij informacioni. 4.4 Zbatimi i menaxhimit të rrezikut Zbatimi i infrastrukturës së menaxhimit të rrezikut Gjatë zbatimit të një infrastrukture të menaxhimit të rrezikut organizativ, organizata duhet: - të përcaktojë kohën dhe strategjinë e duhur për aplikimin e infrastrukturës; - të zbatojë politikën dhe procesin e menaxhimit të rrezikut në proceset organizative; - të jetë në përputhje me kërkesat ligjore dhe të tjera rregullatore; — të sigurojë që vendimmarrja, duke përfshirë zhvillimin dhe përcaktimin e objektivave, të jetë në përputhje me rezultatet e proceseve të menaxhimit të rrezikut; - të zhvillojë sesione informimi dhe trajnimi; - shkëmbejnë informacione dhe konsultohen me palët e interesuara për t'u siguruar që infrastruktura e menaxhimit të rrezikut të mbetet adekuate. planin e menaxhimit në të gjitha nivelet e duhura funksionale të organizatës si pjesë e aktiviteteve dhe proceseve të saj. 4.5 Monitorimi dhe rishikimi i infrastrukturës së menaxhimit të rrezikut Për të siguruar që menaxhimi i rrezikut është efektiv dhe vazhdon të mbështesë aktivitetet e organizatës, organizata duhet: - të vlerësojë cilësinë e menaxhimit të rrezikut duke përdorur tregues që rishikohen periodikisht për të ruajtur rëndësinë; - të krahasojë periodikisht progresin me planin e menaxhimit të rrezikut dhe të përcaktojë devijimet prej tij; — rishikoni periodikisht infrastrukturën, politikën dhe planin e menaxhimit të rrezikut për të siguruar përshtatshmërinë e tyre brenda kontekstit të brendshëm dhe të jashtëm të organizatës; — të japë informacion në lidhje me rreziqet, zbatimin e planit të menaxhimit të rrezikut dhe sa mirë organizata po i përmbahet politikës së menaxhimit të rrezikut; - të vlerësojë efektivitetin e infrastrukturës së menaxhimit të rrezikut. 4.6 Përmirësimi i vazhdueshëm i infrastrukturës Bazuar në rezultatet e monitorimit dhe rishikimit, duhet të merren vendime në lidhje me përmirësimin e infrastrukturës së menaxhimit të rrezikut, politikën dhe planin e menaxhimit të rrezikut. Këto vendime duhet të çojnë në përmirësime në menaxhimin e rrezikut dhe zhvillimin e kulturës së tij në organizatë. 5 Procesi 5.1 Të përgjithshme Procesi i menaxhimit të rrezikut duhet të jetë: - pjesë përbërëse e menaxhimit; - pjesë e kulturës dhe praktikës së organizatës; - në përputhje me proceset e biznesit të organizatës. Ai përfshin aktivitetet e përshkruara në Procesi i menaxhimit të rrezikut është paraqitur në Figurën 3.
16 Figura 3 Procesi i menaxhimit të rrezikut 5.2 Komunikimi dhe konsultimi Komunikimi dhe konsultimi me palët e jashtme dhe të brendshme ndodhin në të gjitha fazat e procesit të menaxhimit të rrezikut. Prandaj, planet për shkëmbimin e informacionit dhe konsultimin duhet të zhvillohen në një fazë të hershme. Ata duhet të marrin në konsideratë çështjet që lidhen me vetë rrezikun, shkaqet e tij, pasojat e tij (nëse dihen) dhe masat e marra për ta trajtuar atë. Duhet të ketë komunikim dhe konsultim efektiv të jashtëm dhe të brendshëm për të siguruar që mbajtësit dhe palët e interesuara të përgjegjshme të procesit të menaxhimit të rrezikut të kuptojnë bazën mbi të cilën merren vendimet dhe të kuptojnë arsyet pse kërkohen veprime specifike. Një qasje e grupit këshillues mund: - të ndihmojë në vendosjen e duhur të situatës (kontekstit); - të sigurojë që interesat e palëve të interesuara njihen dhe merren parasysh; - promovojnë identifikimin e duhur të rreziqeve; - të bashkojë fusha të ndryshme të ekspertizës për të analizuar rreziqet; — të sigurojë që t'i kushtohet vëmendje e duhur pikëpamjeve të ndryshme kur përcaktohen kriteret e rrezikut dhe kur vlerësohen rreziqet; - të sigurojë miratimin dhe mbështetjen e planit të menaxhimit të rrezikut; - të përmirësojë menaxhimin e duhur të ndryshimeve gjatë procesit të menaxhimit të rrezikut; - të zhvillojë planin e duhur të komunikimit dhe konsultimit të jashtëm dhe të brendshëm. Komunikimi dhe konsultimi me palët e interesuara është i rëndësishëm sepse ndihmon për të nxjerrë përfundime rreth rrezikut bazuar në perceptimet e tyre për rrezikun. Këto perceptime mund të ndryshojnë për shkak të dallimeve në vlerat, nevojat, supozimet, konceptet dhe shqetësimet e palëve të interesuara. Për shkak se pikëpamjet e tyre mund të kenë një ndikim të rëndësishëm në vendimet e marra, perceptimet e palëve të interesuara duhet të identifikohen, regjistrohen, regjistrohen dhe merren parasysh në procesin e vendimmarrjes.
17 Komunikimi dhe konsultimi duhet të lehtësojnë shkëmbimin e informacionit të vërtetë, përkatës, të saktë dhe të kuptueshëm, duke marrë parasysh konsideratat e konfidencialitetit dhe privatësisë. 5.3 Përcaktimi i situatës Të përgjithshme Duke vendosur situatën (kontekstin), organizata formulon objektivat e saj, përcakton parametrat e jashtëm dhe të brendshëm që duhet të merren parasysh gjatë menaxhimit të rreziqeve dhe përcakton qëllimin dhe kriteret e rrezikut për procesin e mbetur. Meqenëse shumë prej këtyre parametrave janë të ngjashëm me ata që merren parasysh gjatë zhvillimit të një kuadri të menaxhimit të rrezikut (shih), ato duhet të konsiderohen më në detaje kur vendoset konteksti për procesin e menaxhimit të rrezikut dhe, në veçanti, se si lidhen me qëllimin e një kuadri të caktuar. Procesi i menaxhimit të rrezikut Procesi i menaxhimit të rrezikut Krijimi i situatës së jashtme Situata e jashtme (konteksti) është mjedisi i jashtëm në të cilin organizata përpiqet të arrijë qëllimet e saj. Kuptimi i situatës së jashtme (konteksti) është i rëndësishëm për të siguruar që qëllimet dhe shqetësimet e aktorëve të jashtëm të merren parasysh gjatë zhvillimit të kritereve të rrezikut. Kjo bazohet në situatën (kontekstin) në të gjithë organizatën, por me detaje specifike të kërkesave ligjore dhe rregullatore, perceptimet e palëve të interesuara dhe aspekte të tjera të rrezikut specifike për qëllimin e procesit të menaxhimit të rrezikut të veçantë. Situata (konteksti) i jashtëm i organizatës mund të përfshijë, por nuk kufizohet në: a) mjedisin social dhe kulturor, politik, ligjor, rregullator, financiar, teknologjik, ekonomik, natyror dhe të tregut në mjedisin ndërkombëtar, kombëtar, rajonal ose lokal. nivelet; b) nxitësit dhe tendencat kryesore që ndikojnë në objektivat e organizatës; c) marrëdhëniet me aktorët e jashtëm, vlerat dhe perceptimet e tyre Krijimi i situatës së brendshme Situata e brendshme (konteksti) është mjedisi i brendshëm në të cilin organizata përpiqet të arrijë qëllimet e saj. Procesi i menaxhimit të rrezikut duhet të jetë në përputhje me kulturën, proceset, strukturën dhe strategjinë e organizatës. Situata e brendshme (konteksti) është çdo gjë brenda organizatës që mund të ndikojë në mënyrën se si organizata do të menaxhojë rrezikun. Situata e brendshme (konteksti) duhet të përcaktohet për faktin se: a) menaxhimi i riskut bëhet në kuadrin e qëllimeve të organizatës; b) objektivat dhe kriteret e një projekti, procesi ose aktiviteti të caktuar duhet të merren parasysh në dritën e objektivave të organizatës në tërësi; c) Disa organizata e kanë të vështirë të njohin mundësitë për të arritur objektivat e tyre strategjike, të projektit ose të biznesit, dhe kjo ndikon në angazhimin, aftësitë, besueshmërinë dhe vlerën aktuale të organizatës. Është e nevojshme të kuptohet situata e brendshme (konteksti). Ai mund të përfshijë, por nuk kufizohet në, komponentët e mëposhtëm: - menaxhimin, strukturën organizative, rolet dhe përgjegjësitë; - politikat, synimet dhe strategjitë e nevojshme për arritjen e këtyre qëllimeve; - aftësitë, të kuptuara si burime dhe njohuri (për shembull, kapitali, koha, njerëzit, proceset, sistemet dhe teknologjitë); - sistemet e informacionit, rrjedhat e informacionit dhe proceset e vendimmarrjes (formale dhe joformale); - marrëdhëniet me aktorët e brendshëm, vlerat dhe perceptimet e tyre; - kultura e organizatës; — standardet, udhëzimet dhe modelet e miratuara nga organizata; - forma dhe përmbajtja e marrëdhënieve kontraktore. 2) Në kontekstin e menaxhimit të rrezikut të korporatës dhe atij financiar, koncepti i "kostos" është më i përshtatshmi për këtë term.
18 5.3.4 Vendosja e situatës së procesit të menaxhimit të riskut Është e nevojshme të përcaktohen qëllimet, strategjitë, qëllimi dhe parametrat e organizatës ose të atyre pjesëve të saj ku zbatohet procesi i menaxhimit të riskut. Menaxhimi i rrezikut duhet të kryhet duke marrë parasysh plotësisht nevojën për të justifikuar burimet e përdorura në zbatimin e tij. Burimet, përgjegjësitë dhe autoritetet e kërkuara, si dhe procedurat e kontabilitetit duhet gjithashtu të identifikohen. Situata (konteksti) i procesit të menaxhimit të rrezikut ndryshon në varësi të nevojave të organizatës. Ai mund të përfshijë, por nuk kufizohet në: - përcaktimin e detyrave dhe qëllimeve të aktiviteteve të menaxhimit të rrezikut; - përcaktimin e përgjegjësive për procesin e menaxhimit të riskut dhe brenda këtij procesi; — përcaktimi i fushës, thellësisë dhe gjerësisë së aktiviteteve të menaxhimit të rrezikut që do të kryhen, duke përfshirë përfshirjet dhe përjashtimet e veçanta; - përcaktimi i një aktiviteti, procesi, funksioni, projekti, produkti, shërbimi ose aseti, duke marrë parasysh kohën dhe vendndodhjen; — identifikimi i marrëdhënieve ndërmjet një projekti, procesi ose aktiviteti specifik dhe projekteve, proceseve ose aktiviteteve të tjera të organizatës; - përcaktimi i metodologjive të vlerësimit të rrezikut; - përcaktimin e një metode për vlerësimin e performancës dhe efektivitetit të menaxhimit të rrezikut; - identifikimin dhe specifikimin e vendimeve që do të merren; - identifikimin, qëllimin ose vëllimet e trajnimit të kërkuar, nivelet dhe objektivat e tyre, burimet e nevojshme për një trajnim të tillë. Marrja në konsideratë e këtyre dhe faktorëve të tjerë të rëndësishëm duhet të sigurojë që qasja e menaxhimit të rrezikut të jetë e përshtatshme për rrethanat, organizatën dhe rreziqet që ndikojnë në arritjen e objektivave të saj të rrezikut. Kriteret duhet të pasqyrojnë vlerat, qëllimet dhe burimet e organizatës. Disa kritere mund të bazohen ose lindin nga kërkesat ligjore dhe rregullatore dhe kërkesat e tjera që organizata ka ndërmarrë. Kriteret e rrezikut duhet të jenë në përputhje me politikën e menaxhimit të rrezikut të organizatës (shih), duhet të përcaktohen në fillim të çdo procesi të menaxhimit të rrezikut dhe duhet të rishikohen vazhdimisht. Në përcaktimin e kritereve të rrezikut, faktorët që duhen marrë parasysh duhet të përfshijnë si më poshtë: - natyrën dhe llojet e shkaqeve dhe pasojave që mund të ndodhin dhe si duhet të maten ato; - si duhet përcaktuar një mundësi; - afati kohor i mundësisë dhe/ose pasojave; - si duhet të përcaktohet niveli i rrezikut; - pikëpamjet e palëve të interesuara; - niveli në të cilin rreziku bëhet i pranueshëm ose i tolerueshëm; - nëse duhet të merren parasysh rreziqe të shumta dhe, nëse po, si dhe cilat kombinime duhet të merren parasysh. 5.4 Vlerësimi i rrezikut Vlerësimi i përgjithshëm i rrezikut është procesi i plotë i identifikimit të rrezikut, analizës së rrezikut dhe vlerësimit të rrezikut. Shënim Standardi ISO/IEC ofron udhëzime për metodat e vlerësimit të rrezikut Organizata duhet të identifikojë burimet e rrezikut, fushat e ndikimit, ngjarjet (përfshirë ndryshimet në rrethana) dhe shkaqet e tyre dhe pasojat e tyre të mundshme. Qëllimi i kësaj faze është të hartojë një listë gjithëpërfshirëse të rreziqeve bazuar në ato ngjarje që mund të krijojnë, rrisin, parandalojnë, zvogëlojnë, përshpejtojnë ose vonojnë arritjen e qëllimeve. Është e rëndësishme të identifikohen rreziqet që lidhen me vendosjen për të mos ndjekur mundësitë. Identifikimi gjithëpërfshirës është kritik sepse një rrezik që nuk është identifikuar në këtë fazë nuk do të përfshihet në analizat e ardhshme.
19 Identifikimi duhet të përfshijë rreziqe, pavarësisht nëse organizata e kontrollon burimin e tyre apo jo, edhe pse burimi ose shkaku i tyre mund të mos jenë të qartë. Identifikimi i rrezikut duhet të përfshijë marrjen në konsideratë të efekteve domino, duke përfshirë kaskadën dhe efektet kumulative. Është gjithashtu e nevojshme të merret parasysh një gamë e gjerë pasojash, edhe nëse burimi i rrezikut mund të mos jetë i dukshëm. Përveç identifikimit të asaj që mund të ndodhë, është e nevojshme të merren parasysh shkaqet dhe skenarët e mundshëm që tregojnë se çfarë pasojash mund të ndodhin. Duhet të merren parasysh të gjitha shkaqet dhe pasojat e rëndësishme. Organizata duhet të aplikojë mjete dhe teknika që janë të përshtatshme për objektivat dhe aftësitë e saj, si dhe për rreziqet me të cilat përballet. Në fazën e identifikimit të rrezikut, informacioni përkatës dhe i përditësuar është i një rëndësie të madhe. Kjo duhet të përfshijë informacionin përkatës të sfondit kurdo që është e mundur. Njerëzit me njohuri të përshtatshme duhet të përfshihen për të identifikuar rreziqet. Analiza e rrezikut ofron të dhëna për vlerësimet dhe vendimet e rrezikut në lidhje me nevojën për të adresuar më tej këto rreziqe, si dhe strategjitë dhe metodat më të përshtatshme të ndërhyrjes. Analiza e rrezikut mund të sigurojë gjithashtu të dhëna për vendimmarrjen kur nevojiten zgjedhje dhe disponueshmërinë e opsioneve alternative që përfshijnë lloje dhe nivele të ndryshme rreziku. Analiza e rrezikut përfshin shqyrtimin e shkaqeve dhe burimeve të rrezikut, pasojat e tyre pozitive dhe negative, dhe mundësinë që këto pasoja të ndodhin. Duhet të identifikohen faktorët që ndikojnë në pasojat dhe fizibilitetin. Risku analizohet duke përcaktuar pasojat dhe mundësitë, si dhe karakteristikat e tjera të rrezikut. Një ngjarje mund të ketë pasoja të shumta dhe mund të ndikojë në objektiva të ndryshëm. Duhet të merren parasysh gjithashtu kontrollet ekzistuese dhe efektiviteti dhe efikasiteti i tyre. Mënyra në të cilën shprehen pasojat dhe mundësitë, dhe mënyra se si ato kombinohen për të përcaktuar nivelin e rrezikut, duhet të pasqyrojë llojin e rrezikut, informacionin në dispozicion dhe qëllimin për të cilin do të përdoret rezultati i vlerësimit të rrezikut. E gjithë kjo duhet të jetë në përputhje me kriteret e rrezikut. Është gjithashtu e rëndësishme të merret parasysh ndërvarësia e rreziqeve të ndryshme dhe burimeve të tyre. Analiza duhet të marrë në konsideratë besimin në përcaktimin e nivelit të rrezikut dhe ndjeshmërinë e tij ndaj parakushteve dhe supozimeve dhe të komunikojë në mënyrë efektive me vendimmarrësit dhe, sipas rastit, me palët e tjera të interesuara. Faktorë të tillë si diversiteti i opinionit të ekspertëve, pasiguria, disponueshmëria, cilësia, sasia, konsistenca me informacionin aktual ose kufizimet e modelimit duhet të njihen dhe, aty ku është e mundur, t'i kushtohet vëmendje e veçantë. Analiza e rrezikut mund të kryhet në shkallë të ndryshme detajesh, në varësi të rrezikut, qëllimit të analizës dhe informacionit, të dhënave dhe burimeve të disponueshme. Analiza mund të jetë cilësore, gjysmë sasiore ose sasiore, ose një kombinim i tyre, në varësi të rrethanave. Pasojat dhe gjasat (mundësia) mund të përcaktohen duke modeluar rezultatet e ngjarjeve ose një sërë ngjarjesh, ose duke ekstrapoluar nga studimet eksperimentale ose të dhënat e disponueshme. Pasojat mund të shprehen në terma të ndikimeve të prekshme ose të paprekshme. Në disa raste, kërkohet më shumë se një vlerë numerike ose parametër përshkrues për të treguar pasojat dhe shkallën në të cilën ato janë të realizueshme për kohë, vendndodhje, grupe ose situata të ndryshme. Vlerësimi i rrezikut Qëllimi i vlerësimit të rrezikut është të lehtësojë vendimmarrjen. bazuar në rezultatet fillestare të analizës së rrezikut, në lidhje me nevojën për të ndikuar në rrezik dhe për të prioritizuar ndikimin në rrezik. Vlerësimi i rrezikut përfshin krahasimin e nivelit të rrezikut të identifikuar gjatë procesit të analizës me kriteret e përcaktuara të rrezikut gjatë shqyrtimit të situatës (konteksti). Shqyrtimi i nevojës për të adresuar rrezikun duhet të bazohet në këtë krahasim. Vendimet duhet të kenë një pamje më të gjerë të kontekstit të rrezikut dhe të marrin parasysh tolerancën ndaj rrezikut jo vetëm të organizatës që përfiton nga rreziku, por edhe të palëve të tjera. Vendimet duhet të merren në përputhje me kërkesat ligjore, rregullatore dhe të tjera.
PARIMET DHE UDHËZIMET E MENAXHIMIT TË RREZIKUT STANDARD KOMBËTAR TË FEDERATËS RUSE Menaxhimi i rrezikut. Parimet dhe udhëzimet GOST R ISO 31000-2010 Miratuar dhe vënë në fuqi me Urdhrin e Agjencisë Federale
STANDARD SHTETËROR I REPUBLIKËS SË Bjellorusisë STB ISO 31000/PR_1 MENAXHIMI I RREZIKUT Parimet dhe udhëzimet GJUHËT E MENAXHIMIT Parimet dhe rregulloret (ISO 31000:2009, IDT) Ky draft standard
Përkthimi në rusisht i Fjalorit të menaxhimit të rrezikut GUIDA ISO 73:2009 nga Shoqëria Ruse e Menaxhimit të Riskut ()- HSE Moskë 1 Terma të lidhura me rrezikun 1.1 Risku: ndikimi i pasigurisë në objektiva
AGJENSIA FEDERALE PËR RREGULLIMIN TEKNIK DHE METROLOGJI w STANDARD KOMBËTAR I FEDERATISË RUSE GOSTR 54871-2011 KËRKESAT E MENAXHIMIT TË PROJEKTIT PËR MENAXHIMIN E PROGRAMIT Publikim zyrtar
AGJENSIA FEDERALE PËR RREGULLIMIN TEKNIK DHE METROLOGJI STANDARD KOMBËTAR ARTRO FEDERATA RUSIANE GOST R 54869 2011 KËRKESAT E MENAXHIMIT TË MENAXHIMIT TË PROJEKTIT
AGJENCIA FEDERALE PËR RREGULLIMIN TEKNIK DHE METROLOGJI STANDARD KOMBËTAR I FEDERATISË RUSE GOST R 51901.2 2005 (IEC 60300-1:2003) Menaxhimi i rrezikut SISTEM MENAXHIMI I BESUESHMËRISË:300С
AGJENCIA FEDERALE PËR RREGULLIM TEKNIK DHE METROLOGJI STANDARD KOMBËTAR I FEDERATISË RUSE GOST R ISO 10015 2007 UDHËZIME TRAJNIMORE për menaxhimin organizativ ISO 10015:1999
GOST R ISO 17666-2006. Menaxhimi i riskut. Sistemet hapësinore GOST R ISO 17666-2006 Grupi T59 STANDARD KOMBËTAR I FEDERATES RUSE Menaxhimi i rrezikut SISTEMET HAPËSIRORE Menaxhimi i rrezikut. Sistemet hapësinore
AGJENCIA FEDERALE w STANDARD KOMBËTAR PËR RREGULLIMIN TEKNIK DHE METROLOGJI E FEDERATISË RUSE GOSTR 54869-2011 KËRKESAT E MENAXHIMIT TË PROJEKTIT PËR MENAXHIMIN E PROJEKTIT Publikimi zyrtar
AGJENSIA FEDERALE PËR RREGULLIM TEKNIK DHE METROLOGJI STANDARD KOMBËTAR ARTRO FEDERATA RUSIANE GOST R 54871 2011 KËRKESAT E MENAXHIMIT TË MENAXHIMIT TË PROJEKTIT
AGJENSIA FEDERALE PËR RREGULLIM TEKNIK DHE METROLOGJI STANDARD KOMBËTAR ARTRO FEDERATA RUSIANE GOST R 54870 2011 KËRKESAT E MENAXHIMIT TË MENAXHIMIT TË PROJEKTIT
Standardet e Menaxhimit të Mjedisit, Shëndetit dhe Sigurisë dhe të Performancës siguria industriale Standardet e Menaxhimit Standardi i Menaxhimit 1: Udhëheqja dhe Përgjegjësia. Në kompaninë tonë
Parathënie 1. Zhvilluar nga: Qendra për Menaxhimin e Cilësisë së Arsimit UOKOD 2. Realizues: Udhëheqës i CMKO UOKOD Zv. Shef i CMKO UOKOD Specialist i CMKO UOKOD M.S. Magomedova Yu.V. Bykova V.A. Solovyova
AGJENCIA FEDERALE PËR RREGULLIM TEKNIK DHE METROLOGJI STANDARD KOMBËTAR I FEDERATISË RUSE GO S TR 54869-2011 KËRKESAT E MENAXHIMIT TË PROJEKTIT PËR MENAXHIMIN E PROJEKTIT Publikim zyrtar
AGJENCIA FEDERALE PËR RREGULLIM TEKNIK DHE METROLOGJI STANDARD PARAPRAK KOMBETAR PNST1 5 1-2016 MENAXHIMI I ZHVILLIMIT TË QËNDRUESHËM I ORGANIZATAVE Baza për vlerësimin në përputhje me GOST
AGJENCIA FEDERALE PËR RREGULLIM TEKNIK DHE METROLOGJI STANDARD KOMBËTAR I FEDERATISË RUSE GOST STR 55.0.00 2014 MENAXHIMI I ASETIT Sistemi kombëtar i standardeve Dispozitat bazë Botim
Tendencat aktuale zhvillimi i standardeve ISO për sistemet e menaxhimit Kryetari Zhdankina Irina Zinovievna Drejtor i përgjithshëm ANO "SC Svyaz-certifikata" eksperti kryesor për certifikimin e sistemeve të menaxhimit
Organizimi i një sistemi të menaxhimit të rrezikut në Projekt ligji federal"Për kontrollin federal, rajonal dhe komunal në Federatën Ruse" Eduard Churkin, anëtar i grupit ndërdepartamental të punës për
GOST R 51897-2002 STANDARD SHTETËROR TË MENAXHIMIT TË RREZIKUT TË FEDERATËS RUSE Termat dhe përkufizimet GOSSTANDARD I RUSSIS Moskë Parathënie 1 ZHVILLUAR DHE PARAQITUR nga Komiteti Teknik për Standardizim
GOST R 51897-2002 UDC 006.1:006.354 T00 STANDARD SHTETËROR TË FEDERATISË RUSE OKS 01.040.03 03.100.50 OKSTU 0090 MENAXHIMI I RREZIKUT Termat dhe përkufizimet e menaxhimit të rrezikut. Termat dhe përkufizimet Data
Republika e Moldavisë MINISTRIA E FINANCAVE Urdhër Nr. 113, datë 12 tetor 2012 për miratimin e standardeve kombëtare auditimi i brendshëm Në përputhje me dispozitat e Art. 29, ndezur. b) Ligji 229 i datës 23 shtator 2010
Miratuar me Vendim të Bordit të Drejtorëve të PJSC Moscow United kompania e energjisë elektrike» datë 29 Prill 2016 (Procesverbal 287 datë 30 Prill 2016) Politika e menaxhimit të rrezikut të PJSC "MOESK" ( botim i ri)
PËRMIRËSIMI I VAZHDUESHËM I AKTIVITETEVE TË ORGANIZATAVE 27-29 tetor 2015 NUST MISIS, Moskë KASTORSKAYA Lyubov Vladimirovna specialisti kryesor i Qendrës Prioriteti CJSC “Aftësia për të menaxhuar rrezikun
AGJENSIA FEDERALE PËR RREGULLIMIN TEKNIK DHE METROLOGJI STANDARD KOMBËTAR I FEDERATISË RUSE GOSTR 5 7 5 4 5-2017/ ISO/IEC TS 17021-5: 2014 KËRKESAT PËR VLERËSIM TË KOSOVËS PËR KONTROLLET
AGJENCIA FEDERALE PËR RREGULLIM TEKNIK DHE METROLOGJI KOMBËTARE (Y T L STANDARD V J TË FEDERATISË RUSE GOSTR 55269-2012 SISTEMET E MENAXHIMIT TË ORGANIZATAVE Rekomandime për ndërtim
Shtojca 5 MIRATUAR me vendim të Bordit të Drejtorëve të Sh.A. TransContainer, mbajtur më 18 dhjetor 2013 (procesverbali 6) Kryetari i Bordit të Drejtorëve Zh.B. Rymzhanova Koncepti i sistemit të menaxhimit të korporatës
AGJENSIA FEDERALE PËR RREGULLIMIN TEKNIK DHE METROLOGJI STANDARD KOMBËTAR RUSE GOST R ISO/IEC 17030-2007 FEDERATA KËRKESAT TË PËRGJITHSHME PËR SHENJAT E KONFORMITETIT KUR KRYET VLERËSIMI B.
REZULTATET E ANALIZËS SË PËRSËRTUESHMËRISË SË ISO 9001:2008 KËRKESAT NË ISO 9001:2015 ISO 9001:2008 ISO 9001:2015 Shtojca 8. 4 Sistemi i menaxhimit të cilësisë 4.1 Kërkesat e përgjithshme 4.1 Kërkesat e përgjithshme Organizimi
AGJENCIA FEDERALE PËR RREGULLIM TEKNIK DHE METROLOGJI STANDARD KOMBËTAR I FEDERATISË RUSE GOSTR 51901. 7-2017/ ISO/TR 31004:2013 MENAXHIMI I RREZIKUT Udhëzime për zbatimin e ISO 31000 (ISO 310TR
Analiza e gjendjes së jashtme dhe mjedisi i brendshëm proceset makro të universitetit për formimin e politikës së menaxhimit të rrezikut Raporti synon të testojë dispozitat kryesore të ligjit të ri. udhëzimet metodologjike MI-20
AGJENCIA FEDERALE w STANDARD KOMBËTAR PËR RREGULLIMIN TEKNIK DHE METROLOGJI E FEDERATISË RUSE GOSTR 54870-2011 KËRKESAT E MENAXHIMIT TË PROJEKTIT PËR MENAXHIMIN E PORTOFOLIT TË PROJEKTIT Publikimi zyrtar
AGJENCIA FEDERALE PËR RREGULLIM TEKNIK DHE METROLOGJI STANDARD KOMBËTAR I FEDERATISË RUSE GOST R 52807-2007 UDHËZIME PËR VLERËSIMIN E KOMPETENCAVE TË MENAXHERËVE TË PROJEKTIT Moskë Standardinform
“MIRATUAR” me vendim të Bordit Drejtues të Shoqërisë Aksionare “ Kompania kombëtare“Kazakhstan Temir Zholy” datë 19 tetor 2009, protokolli 6 “MIRATUAR” me vendim të Komitetit të Riskut të Shoqërisë Aksionare.
MIRATUAR me vendim të bordit të administrimit shoqëri aksionare"KazTransOil" Procesverbali 3 i datës 1 Mars 2011 POLITIKA E MENAXHIMIT TË RREZIKUT të KAZTRANSOIL SHA Astana 2011 1. Dispozitat e përgjithshme 1. Aktivitetet
AGJENCIA FEDERALE PËR RREGULLIMIN TEKNIK DHE METROLOGJI STANDARD KOMBËTAR I FEDERATISË RUSE GOSTR 54870-2011 KËRKESAT E MENAXHIMIT TË PROJEKTIT PËR MENAXHIMIN E PORTOFOLIT TË PROJEKTIT Publikimi zyrtar
AGJENCIA FEDERALE PËR RREGULLIMIN TEKNIK DHE METROLOGJI MBI REKOMANDIMET E STANDARDIZIMIT R 5 0.1.0 9 3-2014 PARIMET E administrimit të rrezikut për vlerësimin e efektshmërisë së ndikimeve në publik
REZULTATET E ANALIZËS SË PËRSËRTUESHMËRISË SË ISO 14001:2004 KËRKESAT NË ISO 14001:2015 Shtojca 9. ISO 14001:2008 ISO 14001:2015 4. Kërkesat e përgjithshme për sistemin e menaxhimit mjedisor.1.
SIGURIA E BIZNESIT ISO 14001:2015 Përmbledhje e ndryshimeve të mëdha 1 MË SIGURTË, MË I SMART, MË GJELBËR Përmbajtja Drejtimet kryesore të evolucionit të standardit ISO 14001 Struktura e unifikuar e nivelit të lartë të reja dhe të ndryshuara
UDHËZIME PËR AUDITIN MJEDISOR Parime të përgjithshme Kyiv GOSSTANDARD I UKRAINE 1997 PARATHËNIE DSTU ISO 14010-97 1 ZHVILLUAR DHE PARAQITUR nga Komiteti Teknik për Standardizim "Menaxhimi
Version i ri Standardi ISO 14001 Rishikimi i ndryshimeve kryesore Dolgova O.V. eksperti kryesor i SDS "Regjistri Ushtarak", konsulent ekspert i LLC "Consult-OPK" ISO 14001 i pari ndërkombëtar mjedisor në botë
PYETËSORI Objektivat: 1 Vlerësimi paraprak i përputhshmërisë së sistemit ekzistues të menaxhimit të cilësisë (SMC) të Organizatës me kërkesat e -2015. 2 Përcaktimi i gatishmërisë së organizatës për certifikim
Ky artikull është vazhdim i materialit të botuar në numrin 1, 2015 të revistës. Ne i kujtojmë lexuesve se artikulli ofron një analizë të detajuar, të detajuar, eksperte të dallimeve tani standardi aktual
Faqe 1 nga 5 POLITIKAT NË FUSHËN E SISTEMIT TË INTEGRUAR TË MENAXHIMIT TË UNIVERSITETIT MJEKËSOR ASTANA SHA Astana Medical University SHA, duke vepruar si një njësi e madhe arsimore, shkencore dhe mjekësore
Sistemet e KUFIZUARA të Menaxhimit të Sigurisë së Aviacionit (ASMS) Publikuar nën autoritetin e Sekretarit të Përgjithshëm gusht 2015 Organizata ndërkombëtare aviacioni civil SISTEMET E MENAXHIMIT TË AVIACIONIT
[email i mbrojtur] Universiteti Pedagogjik i qytetit të Moskës Instituti i Matematikës, Informatikës dhe Shkencave të Natyrës Departamenti i Informatikës së Aplikuar Puna laboratorike 90 Tema: “Studimi i kërkesave të ndërkombëtare
AGJENCIA FEDERALE PËR RREGULLIMIN TEKNIK DHE METROLOGJI STANDARDET KOMBËTARE E FEDERATISË RUSE GOSTR 56245 2014 REKOMANDIME PËR ZHVILLIMIN E STANDARDEVE PËR SISTEMET E MENAXHIMIT Botim
Dokumenti [ /22/3/771/ ]: GOST R ISO 10006-2005 Sistemet e menaxhimit të cilësisë. Udhëzime për menaxhimin e cilësisë në dizajn GOST R ISO 10006-2005 Sistemet e menaxhimit të cilësisë. Udhëzues menaxhimi
AGJENCIA FEDERALE PËR RREGULLIMET TEKNIKE DHE REKOMANDIME METROLOGJIKE PËR STANDARDIZIMIN R 5 0.1.0 8 4-2012 REGJISTRI I RREZIQVE për menaxhimin e rrezikut Udhëzues për krijimin e regjistrit të rrezikut të një organizate Publikim
AGJENCIA FEDERALE PËR RREGULLIM TEKNIK DHE METROLOGJI STANDARD KOMBËTAR I FEDERATISË RUSE GOST R ISO 22310-2009 Sistemi i standardeve për informacionin, bibliotekën dhe INFORMACIONET botuese
MIRATUAR me vendim të Bordit Drejtues të PJSC TGC-1 Procesverbali 2 datë 03 Korrik 2017 PAJTUAR ME vendimin e Komitetit të Auditimit të Bordit Drejtues të PJSC TGC-1 Procesverbali 5 datë 30 maj 2017 POLITIKA E MENAXHIMIT
AGJENSIA FEDERALE PËR RREGULLIM TEKNIK DHE METROLOGJI STANDARD KOMBËTAR I FEDERATISË RUSE GOST R ISO 10007-2007 UDHËZIME ME NAXHIMIN E Organizatës PËR MENAXHIMIN E KONFIGURIMIT
Auditimet e sistemit të menaxhimit (bazuar në udhëzimet e auditimit të sistemit të menaxhimit ISO 19011:2011) Auditimi teknik sistemet e menaxhimit të sigurisë në trafik ekzaminim i pavarur kryera
Shtojca 4 e Urdhrit të 2018 Ministria e Arsimit dhe Shkencës e Buxhetit Federal të Shtetit të Federatës Ruse (MAI) Procedura e dokumentuar OD-078-SMK-DP-004 MIRATUAR nga Zëvendës Rektori për
AGJENSIA FEDERALE PËR RREGULLIMIN TEKNIK DHE METROLOGJI STANDARD KOMBËTAR ARTRO FEDERATA RUSIANE DHE GOST RISO 50001 -2012 SISTEMET E MENAXHIMIT TË ENERGJISË
UDC 33 PARIMET DHE PROCESET E MENAXHIMIT TË RREZIKUT BAZUARA NË KËRKESAT E STANDARDIT NDËRKOMBËTAR ISO 31000 Nekrasov A.G., Ataev K.I. Organizatat e të gjitha llojeve dhe madhësive përballen me faktorë të brendshëm dhe të jashtëm
STANDARD SHTETËROR I UZBEKISTANIT Teknologjia e informacionit METODAT E SIGURIMIT TË SIGURISË. MENAXHIMI I RREZIKUT TË SIGURISË TË INFORMACIONIT (ISO/IEC 27005:2011, MOD) Publikimi zyrtar Agjencia Uzbekistan
“MIRATUAR” nga Mbledhja e Përgjithshme e Anëtarëve të PK “StroyRegion” Procesverbali 3 i datës 22 tetor 2009 Standardi i NP “StroyRegion” Përgjegjësia e menaxhimit në zhvillimin, zbatimin dhe përmirësimin e sistemeve të menaxhimit të cilësisë
Procesi i menaxhimit të rrezikut duhet të jetë:
Një pjesë integrale e menaxhimit;
Integrimi në aktivitete dhe procedura; Dhe
Pajtohuni me proceset e biznesit të organizatës.
Procesi i menaxhimit të rrezikut është paraqitur në Figurën 3.
Figura 3 – Procesi i menaxhimit të rrezikut
Shkëmbimi dhe konsultimi i informacionit
Komunikimi dhe konsultimi me palët e interesuara të jashtme dhe të brendshme ndodhin në të gjitha fazat e procesit të menaxhimit të rrezikut.
Prandaj, planet për shkëmbimin e informacionit dhe konsultimin duhet të zhvillohen në një fazë të hershme. Ata duhet të marrin në konsideratë çështjet që lidhen me vetë rrezikun, shkaqet e tij, pasojat e tij (nëse dihen) dhe masat e marra për trajtimin e tij. Duhet të ketë komunikim dhe konsultim efektiv të jashtëm dhe të brendshëm për të siguruar që përgjegjësit për zbatimin e procesit të menaxhimit të rrezikut dhe palët e interesuara të kuptojnë bazën mbi të cilën merren vendimet dhe të kuptojnë arsyet pse kërkohen veprime specifike.
Një qasje e grupit këshillues mund të:
Ndihmoni në vendosjen e duhur të kontekstit;
Sigurohuni që interesat e palëve të interesuara njihen dhe merren parasysh;
Sigurohuni që rreziqet janë identifikuar në përputhje me rrethanat;
Të bashkojë fusha të ndryshme të vlerësimit për të analizuar rreziqet;
Sigurohuni që t'u jepet konsiderata e duhur perspektivave të ndryshme kur përcaktohen kriteret e rrezikut dhe kur vlerësohen rreziqet;
Të sigurojë miratimin dhe justifikimin e planit të trajtimit të rrezikut;
Përmirësimi i menaxhimit të duhur të ndryshimeve gjatë procesit të menaxhimit të rrezikut; Dhe
Zhvilloni planin e duhur të komunikimit dhe konsultimit të jashtëm dhe të brendshëm.
Komunikimi dhe konsultimi me palët e interesuara është një aspekt i rëndësishëm pasi konkluzionet e rrezikut bazohen në perceptimet e palëve të interesuara për rrezikun. Këto perceptime mund të ndryshojnë për shkak të dallimeve në vlerat, nevojat, supozimet, konceptet dhe interesat e palëve të interesuara. Për shkak se pikëpamjet mund të kenë një ndikim të rëndësishëm në vendimet e marra, perceptimet e palëve të interesuara duhet të identifikohen, dokumentohen dhe të përfshihen në procesin e vendimmarrjes.
Komunikimi dhe konsultimi duhet të sigurojnë shkëmbim të përshtatshëm, të mirëpërcaktuar dhe të aksesueshëm të informacionit, duke marrë parasysh konsideratat e konfidencialitetit dhe sigurisë.
Përcaktimi i kontekstit
Duke vendosur kontekstin, organizata artikulon objektivat e saj, përcakton menaxhimin e rrezikut dhe përcakton qëllimin dhe kriteret e rrezikut për procesin. Për shkak se shumë prej këtyre parametrave janë të ngjashëm me ato që merren parasysh gjatë zhvillimit të një kuadri të menaxhimit të rrezikut, kur përcaktohen konteksti i procesit të menaxhimit të rrezikut, ato duhet të konsiderohen më në detaje dhe, në veçanti, se si lidhen me qëllimin e menaxhimit të rrezikut të veçantë. procesi.
Krijimi i kontekstit të jashtëm
Konteksti i jashtëm është mjedisi i jashtëm në të cilin një organizatë kërkon të arrijë qëllimet e saj.
Kuptimi i kontekstit të jashtëm është i rëndësishëm për të siguruar që qëllimet dhe interesat e aktorëve të jashtëm të merren parasysh gjatë zhvillimit të kritereve të rrezikut. Ai bazohet në kontekstin e të gjithë organizatës, por me detaje specifike të kërkesave ligjore dhe rregullatore, perceptimet e palëve të interesuara dhe aspekte të tjera të rrezikut specifike për qëllimin e procesit të menaxhimit të rrezikut.
Konteksti i jashtëm mund të përfshijë:
Mjedisi social, kulturor, politik, ligjor, legjislativ, financiar, teknologjik, ekonomik, natyror dhe tregu në nivel ndërkombëtar, rajonal, kombëtar ose lokal;
Faktorët dhe tendencat kryesore që ndikojnë në qëllimet e organizatës; Dhe
Marrëdhëniet me aktorët e jashtëm, perceptimet dhe vlerat e tyre.
Krijimi i kontekstit të brendshëm
Konteksti i brendshëm është mjedisi i brendshëm në të cilin një organizatë kërkon të arrijë qëllimet e saj.
Procesi i menaxhimit të rrezikut duhet të jetë në përputhje me aktivitetet, proceset, strukturën dhe strategjinë e organizatës. Konteksti i brendshëm është çdo gjë brenda organizatës që mund të ndikojë në mënyrën se si organizata do të menaxhojë rrezikun. Duhet të përcaktohet sepse:
a) menaxhimi i rrezikut bëhet në kontekstin e objektivave të organizatës;
b) objektivat dhe kriteret e një projekti, procesi ose aktiviteti të caktuar duhet të merren parasysh në lidhje me objektivat e organizatës në tërësi; Dhe
c) Disa organizata nuk krijojnë aftësinë për të arritur objektivat e tyre strategjike, projektore ose ekonomike, dhe kjo ndikon në angazhimin, besueshmërinë, besimin dhe vlerën e organizatës.
Është e nevojshme të kuptohet konteksti i brendshëm. Mund të përfshijë:
Udhëheqja, struktura organizative, funksionet dhe përgjegjësitë;
Politikat, qëllimet dhe strategjitë e disponueshme për arritjen e këtyre qëllimeve;
Aftësitë e bazuara në burime dhe njohuri (p.sh. kapitali, koha, njerëzit, proceset, sistemet dhe teknologjia);
Marrëdhëniet me palët e brendshme të interesit, perceptimet dhe vlerat e tyre;
Aktivitetet e organizatës;
Sistemet e informacionit, rrjedhat e informacionit dhe proceset e vendimmarrjes (formale dhe joformale);
Standardet, udhëzimet dhe modelet e miratuara nga organizata; Dhe
Forma dhe fushëveprimi i marrëdhënieve kontraktuale.
Përcaktimi i kontekstit të procesit të menaxhimit të rrezikut
Është e nevojshme të përcaktohen objektivat, strategjitë, qëllimi dhe parametrat e organizatës ose të atyre pjesëve të saj ku zbatohet procesi i menaxhimit të rrezikut. Menaxhimi i rrezikut duhet të ndërmerret duke marrë parasysh plotësisht nevojën për të justifikuar burimet e përdorura në kryerjen e menaxhimit të rrezikut. Burimet, përgjegjësitë dhe autoritetet e kërkuara dhe të dhënat që duhen mbajtur duhet gjithashtu të identifikohen.
Konteksti i procesit të menaxhimit të rrezikut ndryshon në varësi të nevojave të organizatës. Mund të përfshijë:
Përcaktimi i objektivave dhe qëllimeve të menaxhimit të rrezikut;
Përcaktimi i përgjegjësive për procesin e menaxhimit të riskut dhe brenda këtij procesi;
Përcaktimi i fushës, si dhe kufijtë e menaxhimit të rrezikut, duke përfshirë shtesat dhe kufizimet individuale;
Përcaktimi i një aktiviteti, procesi, funksioni, projekti, produkti, shërbimi ose aktivi bazuar në kohën dhe vendndodhjen;
Përcaktimi i marrëdhënieve ndërmjet një projekti, procesi ose aktiviteti specifik dhe projekteve, proceseve ose aktiviteteve të tjera të organizatës;
Përcaktimi i metodologjisë së vlerësimit të rrezikut;
Përcaktimi i një metode për vlerësimin e treguesve dhe efektivitetit të menaxhimit të rrezikut;
Vendosja dhe përcaktimi i vendimeve që duhet të merren; Dhe
Përcaktimi, analiza dhe përcaktimi i kufijve të kërkimit të nevojshëm, qëllimi dhe objektivat e tij, si dhe burimet e nevojshme për një kërkim të tillë.
Rishikimi i të dhënave dhe të tjera faktorë të rëndësishëm duhet të ndihmojë në sigurimin që qasja e adoptuar e menaxhimit të rrezikut është e përshtatshme për rrethanat, organizatën dhe rreziqet që ndikojnë në arritjen e objektivave të saj.
Përcaktimi i kritereve të rrezikut
Organizata do të përcaktojë kriteret që do të përdoren për të vlerësuar rëndësinë e rrezikut. Kriteret duhet të pasqyrojnë vlerat, qëllimet dhe burimet e organizatës. Disa kritere mund të vendosen bazuar në kërkesat ligjore dhe rregullatore dhe kërkesat e tjera për të cilat organizata është angazhuar. Kriteret e rrezikut duhet të jenë në përputhje me politikën e menaxhimit të rrezikut të organizatës (shih 4.3.2), të përcaktuara në fillim të çdo procesi të menaxhimit të rrezikut dhe t'i nënshtrohen rishikimit të vazhdueshëm.
Gjatë përcaktimit të kritereve të rrezikut, duhet të merren parasysh faktorët e mëposhtëm:
Natyrën dhe llojet e shkaqeve dhe efekteve që mund të ndodhin dhe si duhet të maten ato;
Si duhet të përcaktohet probabiliteti?
Afati kohor i gjasave dhe/ose pasojave;
Si duhet të përcaktohet niveli i rrezikut;
Pikëpamjet e palëve të interesuara;
Niveli në të cilin rreziku bëhet i pranueshëm ose i tolerueshëm; Dhe
Nëse duhet të merren parasysh kombinimet e rreziqeve të shumta dhe, nëse po, si dhe cilat kombinime duhet të merren parasysh.
Vlerësimi i rrezikut
Vlerësimi i rrezikut është një proces gjithëpërfshirës i identifikimit të rrezikut, analizës së rrezikut dhe vlerësimit të rrezikut.
SHËNIM ISO/IEC 31010 ofron udhëzime për metodat e vlerësimit.
Identifikimi i rrezikut
Organizata duhet të identifikojë burimet e rrezikut, fushat e ndikimit, ngjarjet (duke përfshirë ndryshimet në rrethana) dhe shkaqet e tyre, si dhe pasojat e tyre të mundshme. Qëllimi i kësaj faze është të zhvillojë një listë të detajuar të rreziqeve bazuar në ato ngjarje që mund të krijojnë, rrisin, parandalojnë, zvogëlojnë, përshpejtojnë ose ngadalësojnë arritjen e qëllimeve. Është e rëndësishme të identifikohen rreziqet që lidhen me devijimin nga një ngjarje e favorshme. Identifikimi i plotë është i rëndësishëm pasi një rrezik që nuk është identifikuar në këtë fazë nuk do të përfshihet në analiza të mëtejshme.
Identifikimi duhet të përfshijë rreziqe, pavarësisht nëse organizata e kontrollon burimin apo jo, edhe pse burimi i rrezikut ose shkaku i tij mund të mos jenë të qartë. Identifikimi i rrezikut duhet të përfshijë një ekzaminim të ndikimeve të pasojave specifike, duke përfshirë efektet kaskaduese dhe kumulative. Është gjithashtu e nevojshme të merret parasysh një gamë e gjerë pasojash, edhe pse burimi i rrezikut ose shkaku i tij mund të mos jenë të dukshme. Përveç identifikimit të ngjarjeve që mund të ndodhin, është e nevojshme të merren parasysh shkaqet dhe skenarët e mundshëm që tregojnë se cilat pasoja mund të ndodhin. Duhet të merren parasysh të gjitha shkaqet dhe pasojat e rëndësishme.
Organizata duhet të aplikojë mjete dhe teknika për identifikimin e rrezikut që janë të përshtatshme për objektivat dhe aftësitë e saj dhe të përshtatshme për rreziqet me të cilat përballet. Informacioni përkatës dhe i përditësuar ka një rëndësi të madhe kur identifikohen rreziqet. Nëse është e nevojshme, duhet të përfshijë të përshtatshme informacione shtesë. Njerëzit me njohuritë e duhura duhet të përfshihen për të identifikuar rreziqet.
Analiza e Riskut
Analiza e rrezikut ofron një kuptim të rrezikut. Analiza e rrezikut ofron të dhëna për vlerësimin e rrezikut dhe vendimmarrjen në lidhje me trajtimin e rrezikut, dhe për zgjedhjen e strategjive dhe metodave më të përshtatshme të trajtimit të rrezikut. Analiza e rrezikut mund të japë gjithashtu të dhëna për vendimmarrjen kur duhen bërë zgjedhje dhe opsionet përfshijnë lloje dhe nivele të ndryshme rreziku.
Analiza e rrezikut përfshin shqyrtimin e shkaqeve dhe burimeve të rrezikut, pasojat e tyre pozitive dhe negative dhe gjasat që këto pasoja të ndodhin. Duhet të identifikohen faktorët që ndikojnë në pasojat dhe gjasat e shfaqjes së tyre. Risku analizohet duke përcaktuar pasojat dhe mundësinë e shfaqjes së tyre, si dhe tregues të tjerë të rrezikut. Një ngjarje mund të ketë pasoja të ndryshme dhe mund të ndikojë në qëllime të ndryshme. Gjithashtu duhet të merren parasysh kontrollet ekzistuese dhe efektiviteti dhe efikasiteti i tyre.
Mënyra në të cilën shprehen pasojat dhe gjasat e shfaqjes së tyre, dhe mënyra se si ato kombinohen për të përcaktuar nivelin e rrezikut, duhet të pasqyrojë llojin e rrezikut, informacionin në dispozicion dhe qëllimin për të cilin rezultati i vlerësimit të rrezikut është të përdoret. E gjithë kjo duhet të plotësojë kriteret e rrezikut. Është gjithashtu e rëndësishme të merret parasysh ndërvarësia e rreziqeve të ndryshme dhe burimeve të tyre.
Analiza merr në konsideratë besueshmërinë e përcaktimit të nivelit të rrezikut dhe ndjeshmërinë e tij ndaj supozimeve dhe supozimeve, si dhe u komunikon informacion vendimmarrësve dhe, nëse është e nevojshme, palëve të tjera të interesuara. Është e nevojshme të identifikohen dhe të nënvizohen faktorë të tillë si prania e këndvështrimeve të ndryshme midis ekspertëve, pasiguria, disponueshmëria, cilësia, sasia dhe rëndësia e informacionit, si dhe kufizimet e modelimit.
Analiza e rrezikut mund të kryhet në nivele të ndryshme të detajeve të analizës, në varësi të rrezikut, qëllimit të analizës dhe informacionit, të dhënave dhe burimeve të disponueshme. Analiza mund të jetë cilësore, gjysmë sasiore ose sasiore, ose një kombinim i tyre, në varësi të rrethanave.
Pasojat dhe gjasat e shfaqjes së tyre mund të përcaktohen duke modeluar rezultatet e një ngjarjeje ose një serie ngjarjesh, ose duke ekstrapoluar nga studimet eksperimentale ose të dhënat e disponueshme. Pasojat mund të shprehen në terma të ndikimeve të prekshme ose të paprekshme. Në disa raste, kërkohen disa vlera ose atribute numerike për të përcaktuar pasojat dhe gjasat e shfaqjes së tyre për kohë, vende, grupe ose situata të ndryshme.
Vlerësimi i rrezikut
Qëllimi i vlerësimit të rrezikut është të lehtësojë vendimmarrjen, bazuar në rezultatet e analizës së rrezikut, në lidhje me nevojën për trajtimin e rrezikut dhe të prioritizojë zbatimin e trajtimit të rrezikut.
Vlerësimi i rrezikut përfshin krahasimin e nivelit të rrezikut të identifikuar gjatë procesit të analizës me kriteret e rrezikut të përcaktuara duke marrë parasysh kontekstin. Bazuar në këtë krahasim, përcaktohet nevoja për trajtimin e rrezikut.
Vendimmarrja duhet të marrë parasysh kontekstin më të gjerë të rrezikut dhe të përfshijë marrjen në konsideratë të tolerancës së rrezikut të palëve të ndryshme nga njësia ekonomike që përfiton nga rreziku. Vendimet duhet të merren në përputhje me kërkesat ligjore, rregullatore dhe të tjera.
Në disa rrethana, vlerësimi i rrezikut çon në një vendim për të kryer analiza shtesë. Vlerësimi i rrezikut mund të çojë gjithashtu në një vendim për të mos trajtuar rrezikun në asnjë mënyrë tjetër përveç aplikimit të kontrolleve. Ky vendim ndikohet nga qëndrimi i organizatës ndaj rrezikut dhe kriteret e përcaktuara të rrezikut.
Trajtimi i rrezikut
Trajtimi i rrezikut përfshin zgjedhjen e një ose më shumë opsioneve të modifikimit të rrezikut dhe zbatimin e këtyre opsioneve. Masat e trajtimit zbatojnë kontrollet ose ndryshojnë kontrollet.
Trajtimi i rrezikut përfshin një proces ciklik:
Vlerësimet e trajtimit të rrezikut;
Vendosja nëse nivelet e rrezikut të mbetur janë të pranueshme;
Kryerja e trajtimit të ri të rrezikut nëse nivelet e mbetura të rrezikut nuk janë të pranueshme; Dhe
Vlerësimi i efektivitetit të këtij përpunimi.
Opsionet e trajtimit të rrezikut mund të mos jenë domosdoshmërisht reciprokisht ekskluzive ose të përshtatshme në të gjitha rrethanat. Opsionet mund të përfshijnë:
a) parandalimi i rrezikut duke vendosur të mos fillojë ose të mos vazhdojë aktivitetin që shkakton rrezikun;
b) marrjen ose rritjen e rrezikut për të arritur një qëllim;
c) eliminimin e burimit të rrezikut;
d) ndryshimi i probabilitetit;
e) modifikimin e pasojave;
f) ndarjen e rrezikut me një palë ose palë tjetër (përfshirë kontratat dhe financimin e rrezikut); Dhe
g) marrjen e rreziqeve bazuar në një vendim të informuar.
Zgjedhja e opsioneve të trajtimit të rrezikut
Zgjedhja e opsionit më të përshtatshëm të trajtimit të rrezikut përfshin peshimin e kostove dhe përpjekjet e zbatimit kundrejt përfitimeve të arritura, duke marrë parasysh kërkesat ligjore, rregullatore dhe kërkesa të tjera si përgjegjësia sociale dhe mbrojtja e mjedisit. Gjatë marrjes së një vendimi, duhet të merren parasysh rreziqet që kërkojnë trajtim të rrezikut që nuk justifikohet nga pikëpamja ekonomike, për shembull, rreziqet që janë serioze (pasoja të rëndësishme negative), por të rralla (probabiliteti i ulët i shfaqjes).
Opsionet e trajtimit mund të merren parasysh dhe aplikohen individualisht ose në kombinim. Një organizatë zakonisht mund të përfitojë nga miratimi i një kombinimi të opsioneve të përpunimit.
Kur zgjedh opsionet e trajtimit të rrezikut, një organizatë duhet të marrë parasysh interesat dhe perceptimet e palëve të interesuara dhe mjetet më të përshtatshme për të komunikuar me to. Nëse opsionet e trajtimit të rrezikut mund të ndikojnë në rrezik diku tjetër në organizatë, ose me palët e interesuara, atëherë kjo duhet të merret parasysh kur merret një vendim. Edhe pse po aq efektive, disa trajtime rreziku mund të jenë më të pranueshme për disa palë të interesuara sesa për të tjerët.
Plani i trajtimit të rrezikut duhet të përcaktojë qartë rendin në të cilin do të aplikohen opsionet individuale të trajtimit të rrezikut.
Vetë trajtimi i rrezikut mund të shkaktojë rreziqe. Një rrezik i rëndësishëm mund të jetë mungesa ose joefektiviteti i masave të trajtimit të rrezikut. Monitorimi duhet të jetë një pjesë integrale e planit të trajtimit të rrezikut për të siguruar që masat të mbeten efektive.
Trajtimi i rrezikut mund të shkaktojë gjithashtu rreziqe dytësore që duhet të vlerësohen, trajtohen, kontrollohen dhe analizohen. Këto rreziqe dytësore duhet të përfshihen në të njëjtin plan trajtimi si rreziku fillestar dhe nuk duhet të trajtohen si një rrezik i ri. Marrëdhënia midis dy rreziqeve duhet të identifikohet dhe të ruhet.
Përgatitja dhe zbatimi i planeve të trajtimit të rrezikut
Qëllimi i planeve të trajtimit të rrezikut është të dokumentojë se si duhet të zbatohen opsionet e zgjedhura të trajtimit. Informacioni i dhënë në planet e trajtimit të rrezikut duhet të përfshijë:
Baza për zgjedhjen e opsioneve të trajtimit të rrezikut, duke përfshirë përfitimet e pritshme që do të arrihen;
Personat përgjegjës për miratimin e planit, si dhe personat përgjegjës për zbatimin e planit;
Veprimet e sugjeruara;
Kërkesat për burime, duke përfshirë rastet e mundshme;
Treguesit dhe kufizimet e performancës;
Kërkesat e raportimit dhe monitorimit; Dhe
Afatet dhe orari i zbatimit.
Planet e trajtimit të rrezikut duhet të integrohen me proceset e menaxhimit të organizatës dhe të diskutohen me palët përkatëse të interesit.
Vendimmarrësit dhe palët e tjera të interesuara duhet të jenë të vetëdijshëm për natyrën dhe shtrirjen e rrezikut të mbetur pas trajtimit të rrezikut. Rreziku i mbetur duhet të dokumentohet dhe t'i nënshtrohet monitorimit, analizës dhe, nëse është e nevojshme, trajtimit shtesë.
Monitorimi dhe analiza
Monitorimi dhe rishikimi duhet të jetë pjesë e planifikuar e procesit të menaxhimit të rrezikut dhe të përfshijë rishikimin ose kontrollin e rregullt. Ato mund të jenë periodike ose të veçanta.
Përgjegjësitë për monitorimin dhe analizën duhet të përcaktohen qartë.
Proceset e monitorimit dhe rishikimit të organizatës duhet të përfshijnë të gjitha aspektet e procesit të menaxhimit të rrezikut për:
Sigurimi që kontrollet janë efektive dhe efikase si për projektimin ashtu edhe për funksionimin;
Marrja e informacionit shtesë për të përmirësuar vlerësimin e rrezikut;
Analiza dhe studimi i ngjarjeve (përfshirë incidentet pa pasoja), ndryshimet, drejtimet kryesore të zhvillimit, sukseset dhe dështimet;
Identifikoni ndryshimet në kontekstin e jashtëm dhe të brendshëm, duke përfshirë ndryshimet në kriteret e rrezikut, si dhe rreziqet që mund të kërkojnë rishikime të trajtimeve dhe prioriteteve të rrezikut; Dhe
Identifikimi i rreziqeve në zhvillim.
Zbatimi i planeve të trajtimit të rrezikut përcakton vlerësimin e performancës. Rezultatet mund të përfshihen në menaxhimin e përgjithshëm të organizatës, vlerësimin dhe aktivitetet e komunikimit të jashtëm dhe të brendshëm.
Rezultatet e monitorimit dhe analizës duhet të dokumentohen dhe, nëse është e nevojshme, të komunikohen nga jashtë dhe brenda, dhe duhet të përdoren si të dhëna për rishikimin e kornizës së menaxhimit të rrezikut.
Dokumentimi i procesit të menaxhimit të rrezikut
Aktivitetet e menaxhimit të rrezikut duhet të jenë të gjurmueshme. Në procesin e menaxhimit të rrezikut, të dhënat ofrojnë bazën për përmirësimin e metodave dhe mjeteve, si dhe të procesit të përgjithshëm.
Kur merrni vendime për mbajtjen e të dhënave, duhet të merren parasysh sa vijon:
Nevojat e organizatës për akumulimin e vazhdueshëm të njohurive;
Përfitimet e ripërdorimit të informacionit për qëllime menaxheriale;
Kostot dhe përpjekjet e përfshira në krijimin dhe mbajtjen e të dhënave;
Kërkesat legjislative, rregullatore dhe të biznesit në lidhje me të dhënat;
Metoda e aksesit, lehtësia e rikuperimit dhe mediave të ruajtjes;
Afati i ruajtjes; Dhe
Konfidencialiteti i informacionit.
