2.1. A kockázatok meghatározása és felmérése

A szabvány külön tárgyalja a kockázatkezelési alapelvek (3. fejezet) megvalósítását támogató kockázatkezelési keretrendszerre (4. fejezet) és az egyes működési és szervezeti szinteken megvalósuló kockázatkezelési folyamatra (5. fejezet) vonatkozó követelményeket.

2.1.1. A szervezetvezetőjének gondoskodnia kell az integrált kockázatkezelési rendszer kialakításáról és működtetéséről, amit szükséges írásban (pl. kockázatkezelési szabályzatban) szabályozni.

4.2 Felhatalmazás és elkötelezettség

A szabvány is a felsővezetés felelősségét hangsúlyozza a kockázatkezelés rendszerének kialakításáért és hatékony működtetéséért. Ide tartozik a szervezet erős vezetői elkötelezettségének folyamatos fenntartása és az elkötelezettség szervezet minden szintjén való elérésének stratégiai tervezése és érvényesítése. Ennek keretében a felsővezetés:

-        meghatározza és jóváhagyja a kockázatkezelési politikát

-        biztosítja a szervezeti kultúra összhangját a kockázatkezelési politikával

-        a szervezet teljesítménymutatóival összhangban meghatározza a kockázatkezelés teljesítménymutatóit

-        összehangolja a kockázatkezelési célkitűzéseket a szervezet stratégiájával és céljaival

-        biztosítja a jogi és szabályozási megfelelőséget

-        a szervezet megfelelő szintjeihez rendeli az elszámoltatható felelősségeket

-        biztosítja, hogy a kockázatkezelés szükséges erőforrásai rendelkezésre álljanak

-        minden érdekelt felé kommunikálja a kockázatkezelés fontosságát és előnyeit

-        biztosítja a kockázatkezelés keretrendszerének folyamatos alkalmazhatóságát

2.1.2. Gondoskodni kell a szervezettevékenységeivel kapcsolatos kockázatok felméréséről, illetve összegyűjtéséről. Hatékony és szükséges, ha a tevékenységekkel mindennapi szinten foglalkozó munkatársak és vezetők bevonásra kerülnek a felmérésbe.

A szabvány a kockázatot a szervezeti célokra pozitívan vagy negatívan ható bizonytalanságként értelmezi. Ennek megfelelően a szervezeti célok vonatkozásában nemcsak a szervezeti tevékenységekkel kapcsolatos belső tényezőket, hanem a célokat érintő külső és belső összefüggéseket is figyelembe kell venni mind a kockázatkezelési rendszer kialakítása, mind pedig az egyes működési és szervezeti szinteken megvalósítandó kockázatkezelési folyamatok végrehajtása során.

4.3.1 A szervezet és összefüggéseinek megértése

A szervezet kockázatkezelési keretrendszerének kialakítása (tervezése és megvalósítása) kapcsán a szervezeti célkitűzések külső és belső összefüggéseinek értékeléséből kell kiindulni.

5.3 Összefüggések megállapítása

Az egyes működési és szervezeti szinteken megvalósuló kockázatkezelési folyamatok részeként a szervezeti célokat érintő külső és belső összefüggések megállapításán túlmenően az adott működési vagy szervezeti szinten megvalósuló kockázatkezelési folyamat specifikus összefüggéseit (5.3.4) is meg kell állapítani, melyek lehetnek például az adott működési vagy szervezeti szintre vonatkozó egyedi (testreszabott):

-        célok, illetve célkitűzések

-        kockázatkezelési felelősségi körök

-        kockázatkezelési hatókör (mélysége)

-        tevékenységek, folyamatok, termékek, szolgáltatások, eszközök, stb. térben és időben való körülhatárolása

-        adott projektek, folyamatok vagy tevékenységek kapcsolódásai más működési vagy szervezeti szinteken megvalósuló projektekkel, folyamatokkal vagy tevékenységekkel

-        kockázatkezelési módszertan

-        kockázatkezelés eredményességét és hatékonyságát mérő teljesítménymutatók és értékelési módszerek

-        döntési helyzetek

-        kutatási igények és erőforrások

5.3.5 Kockázati kritériumok

A kockázatok jelentőségének mérlegeléséhez a szervezet értékeihez, célkitűzéseihez és erőforrásaihoz illeszkedő kockázati kritériumokat kell meghatározni a kockázatkezelési politikával összhangban. Ezek a kritériumok származhatnak jogszabályi vagy más, a szervezet által vállalt követelményekből, melyek meghatározásakor figyelembe veendő tényezők például:

-        a lehetséges okok és okozatok jellege és típusai

-        a bekövetkezési valószínűség meghatározási módja

-        a bekövetkezési gyakoriság és következmény időhorizontja

-        a kockázati szintek meghatározási módja

-        a lehetséges tűréshatárok

-        az ismétlődő vagy párhuzamos kockázatok együttes hatásának meghatározása

-        az érdekeltek véleménye

5.4 Kockázatfelmérés

A kockázatfelmérés a kockázatkezelési folyamat központi eleme, mely magában foglalja a kockázatok meghatározását, elemzését és kiértékelését.

4.3.4. Szervezeti folyamatokba való integrálódás

A szabványban meghatározott alapelvek szerint a kockázatfelmérésnek a kockázatkezelési folyamat részeként minden működési és szervezeti szint irányítási tevékenységeibe integrálódnia kell. Ebből következően nemcsak a helyi vezetők (folyamatgazdák) és munkatársak tapasztalatainak felhasználására, hanem aktív részvételükre is támaszkodni kell a kockázatfelmérés során.

2.1.3. Ajánlott a beazonosított kockázatok és kockázati tényezők egy erre a célra kialakított adatbázisban (integrált kockázati leltár) történő rögzítése.

A szabvány a kockázatkezelés nyilvántartási rendszerével kapcsolatosan közvetlenül nem támaszt követelményeket. Az alapelvekből következően a szervezeti folyamatoktól és a vezetői döntéseket támogató egyéb rendszerektől elkülönült nyilvántartásnak azonban nem sok értelme van.

4.3.4. Szervezeti folyamatokba való integrálódás

A kockázatkezelés működési és szervezeti folyamatok irányításába való integrálásából fakadóan a kockázati tényezők nyilvántartását nem célszerű különválasztani a működési és szervezeti folyamatok nyilvántartásaitól.

A felsővezetésnek biztosítania kell a szervezet kockázatkezelési rendszerével kapcsolatos tervezés összhangját az egyéb (pl. stratégiai, szervezetfejlesztési vagy infrastrukturális projektekre vonatkozó) tervezés folyamataival.

4.3.5 Erőforrások 

A megfelelő erőforrások (ideértve a személyi kapacitás, szakértelem, módszertanok, folyamatleírások, informatikai eszközök és oktatás) rendelkezésre állásának biztosítása a felsővezetés feladata. 

2.1.4. Ajánlott a munkatársak tájékoztatása a beazonosított kockázatokról és kockázati tényezőkről.

A szabvány mind a kockázatkezelési keretrendszer, mind pedig az egyes működési vagy szervezeti szinten megvalósuló kockázatkezelési folyamat vonatkozásában kiemelten kezeli a külső és belső, funkcióját tekintve kétirányú kommunikációval kapcsolatos szempontokat.

4.3.6 A belső kommunikációs és jelentési mechanizmusok megállapítása

A kockázatkezelési keretrendszer tervezése során a felsővezetésnek biztosítania kell a belső kommunikációs és jelentési mechanizmusok megállapítását annak biztosítására, hogy:

-        a kockázatkezelési keretrendszer fő elemei és a későbbi változások megfelelően legyenek kommunikálva

-        a kockázatkezelési keretrendszerre, annak hatékonyságára és eredményeire vonatkozó belső jelentések kielégítőek legyenek

-        a kockázatkezelési rendszer alkalmazásából származó lényegi információk a megfelelő szinteken és időben rendelkezésre álljanak

-        a belső érdekeltekkel való konzultációs folyamatok megvalósuljanak

4.3.7 A külső kommunikációs és jelentési mechanizmusok megállapítása

A felsővezetésnek biztosítania kell, hogy a külső érdekeltekkel való kommunikáció megfelelő terv alapján valósuljon meg az alábbiak figyelembevételével:

-        megfelelő külső érdekeltek bevonása és az eredményes információcsere biztosítása

-        jogi, szabályozási követelményeknek való megfelelés közzététele

-        a kockázatkezelési folyamatban megvalósuló kommunikáció és konzultáció jelentése és visszacsatolása

-        a bizalom erősítése

-        krízishelyzetek érdekeltekkel való kommunikálása (válságkommunikáció)

5.2 Kommunikáció és konzultáció

A kockázatkezelési folyamat adott működési vagy szervezeti szinten történő megvalósításakor biztosítani kell a külső és belső érdekeltekkel való kommunikációt és konzultációt. 

Az érdekeltek bevonásával a konzultáció hozzájárulhat:

-        az összefüggések jobb megismeréséhez

-        az érdekelt felek érdekeinek megértéséhez és figyelembevételéhez

-        a kockázatok pontosabb meghatározásához

-        a tapasztalatok szélesebb körének kockázatelemzésben való hasznosításához

-        a kockázati kritériumok meghatározása és a kockázatértékelés során az eltérő vélemények megfelelő figyelembevételéhez

-        a kockázatkezelési intézkedések jóváhagyásának és támogatásának biztosításához

-        a kockázatkezelési folyamat végrehajtása során szükséges változáskezelés támogatásához

-        a megfelelő külső és belső kommunikációs és konzultációs terv kialakításához

A kommunikációban és konzultációban résztvevő érdekeltek a kockázatok megítélésével kapcsolatos eltérő véleményei természetszerűen adódnak a különböző értékrendekből, igényekből, feltételezésekből, koncepciókból vagy fenntartásokból. Mivel ezek a vélemények jelentős hatással lehetnek a döntéshozatalra, elő kell segíteni az őszinte, lényegre törő, pontos és érthető információk cseréjét, kellő figyelmet fordítva a bizalmas és személyes adatok megfelelő kezelésére.

2.2. A kockázatok elemzése és értékelése

A szabvány a kockázatok elemzésével kapcsolatban is szétválasztja a keretrendszer szintű (4. fejezet) és a kockázatkezelési folyamat szintű (5. fejezet) szempontokat.

2.2.1. Minden egyes beazonosított kockázat vonatkozásában ajánlott a bekövetkezése valószínűségének és a szervezetre gyakorolt hatásának meghatározása.

A szabvány a szervezeti célokra hatást gyakorló bizonytalansági tényezőkre helyezi a hangsúlyt, ennek megfelelően a bekövetkezési valószínűség és szervezeti célra vonatkozó hatás együttes (kvalitatív vagy kvantitatív) jellemzését nem emeli ki a kockázatok jelentőségének mérlegelésére alkalmazott kockázati kritériumok megállapítása kapcsán figyelembe veendő tényezők közül. 

5.3.5 Kockázati kritériumok

A kockázatok jelentőségének mérlegeléséhez a szervezet értékeihez, célkitűzéseihez és erőforrásaihoz illeszkedő kockázati kritériumokat kell meghatározni a kockázatkezelési politikával összhangban. Ezek a kritériumok származhatnak jogszabályi vagy más, a szervezet által vállalt követelményekből, melyek meghatározásakor figyelembe veendő tényezők például:

-        a lehetséges okok és okozatok jellege és típusai

-        a bekövetkezési valószínűség meghatározási módja

-        a bekövetkezési gyakoriság és következmény időhorizontja

-        a kockázati szintek meghatározási módja

-        a lehetséges tűréshatárok

-        az ismétlődő vagy párhuzamos kockázatok együttes hatásának meghatározása

-        az érdekeltek véleménye

Az előzetesen az adott működési vagy szervezeti szinten megvalósításra kerülő kockázatkezelési folyamatra megállapított kockázati kritériumok segítségével a kockázatfelmérés első lépéseként kerülnek meghatározásra a kockázati tényezők.

5.4.2 Kockázatok azonosítása

A kockázatazonosítás során a kockázatok forrását és hatóköreit, az eseményeket vagy a körülmények változásait, a kiváltó okokat és a lehetséges következményeket kell meghatározni. A kockázatazonosítás célja olyan, mind teljesebb körű kockázati lista összeállítása, mely a szervezeti célok elérését támogató vagy akadályozó, illetve gyorsító vagy késleltető eseményeken alapul. A mind teljesebb körű kockázati lista összeállítása és karbantartása azért fontos, hogy csökkenjen a kockázatelemzésből esetleg kimaradó tételek súlya.

A kockázatokat attól függetlenül be kell azonosítani, hogy a kockázat forrására vonatkozóan a szervezet alkalmaz-e meglévő kontrollt, vagyis a nem nyilvánvaló kockázati forrásokat és okokat is fel kell tárni. Ehhez mind szélesebb körű és aktuális háttér információknak, valamint szaktudásnak kell rendelkezésre állnia. 

2.2.2. Ajánlott a kockázatokhoz rendelt értékek írásos vagy elektronikus formában történő rögzítése.

Az alkalmazandó kockázatazonosítási technikákat és eszközöket a szervezeti céloknak, képességeknek és a kockázati kitettségnek megfelelően kell kiválasztani és alkalmazni.

2.2.3. A szervezetvezetőjének meg kell határoznia az egyes folyamatok, illetve a szervezet kockázati tűréshatárának szintjét.

A kockázatviselési szintek és a kockázati toleranciák - bár a szabvány ezeket a fogalmakat nem alkalmazza - a működési és szervezeti szintek szerinti célok és a kapcsolódó vezetői felelősségek mentén kell, hogy meghatározásra kerüljenek. Ezt egyrészről a kockázatkezelési keretrendszer kialakítása során figyelembe vett külső és belső összefüggések megállapítása és a jóváhagyott kockázatkezelési politika, másrészről a működési és szervezeti szintek irányításában az integrált kockázatkezelési folyamat által megállapításra kerülő külső és belső összefüggések és az ezek mentén kialakított kockázati kritériumok alkalmazása biztosítja.

A szervezet felsővezetésének kettős szerepe van. Egyrészről a kockázatkezelési keretrendszer célkitűzéseivel kapcsolatos kockázati kritériumok kapcsán a tűréshatárok meghatározása, másrészt a szervezetet átfogó működési és szervezeti szintek mentén a kockázatkezelési folyamatok belső összefüggéseinek keretet adó szervezetirányítási célkitűzések megállapítása, melyek alapján az egyes kockázatkezelési folyamatok által alkalmazandó kockázati kritériumok is kidolgozhatóak - a kockázatkezelési folyamat végrehajtásáért felelős vezető feladat- és hatáskörében. 

4.2 Felhatalmazás és elkötelezettség

A szabvány a felsővezetés felelősségét hangsúlyozza a kockázatkezelés rendszerének kialakításáért és hatékony működtetéséért. Ide tartozik a szervezet erős vezetői elkötelezettségének folyamatos fenntartása és az elkötelezettség szervezet minden szintjén való elérésének stratégiai tervezése és érvényesítése. Ennek keretében a felsővezetés:

-        meghatározza és jóváhagyja a kockázatkezelési politikát

-        biztosítja a szervezeti kultúra összhangját a kockázatkezelési politikával

-        a szervezet teljesítménymutatóival összhangban meghatározza a kockázatkezelés teljesítménymutatóit

-        összehangolja a kockázatkezelési célkitűzéseket a szervezet stratégiájával és céljaival

-        biztosítja a jogi és szabályozási megfelelőséget

-        a szervezet megfelelő szintjeihez rendeli az elszámoltatható felelősségeket

-        biztosítja, hogy a kockázatkezelés szükséges erőforrásai rendelkezésre álljanak

-        minden érdekelt felé kommunikálja a kockázatkezelés fontosságát és előnyeit

-        biztosítja a kockázatkezelés keretrendszerének folyamatos alkalmazhatóságát

4.3.1 A szervezet és összefüggéseinek megértése

A szervezet kockázatkezelési keretrendszerének kialakítása (tervezése és megvalósítása) kapcsán a szervezeti célkitűzések külső és belső összefüggéseinek értékeléséből kell kiindulni.

4.3.2 A kockázatkezelési politika kialakítása

A felsővezetés által a kockázatkezelési keretrendszer tervezése kapcsán jóváhagyott kockázatkezelési politika, mely meghatározza a kockázatkezelés céljait és biztosítja a vezetői elkötelezettség fenntartását, tipikusan tartalmazza az alábbiakat:

-        a kockázatkezelés értelmezését a szervezet vonatkozásában

-        a szervezeti célok és politikák kapcsolatát a kockázatkezelési politikával

-        a kockázatkezelési felelősségeket

-        az érdekellentétek kezelési módját

-        a felelősségek ellátásához szükséges erőforrások rendelkezésre bocsátására vonatkozó elkötelezettséget

-        a kockázatkezelés teljesítménymérési és jelentési módját

-        a kockázatkezelési politika és keretrendszer rendszeres és szükség szerinti áttekintése és javítása iránti elkötelezettséget

5.3 Összefüggések megállapítása

Az egyes működési és szervezeti szinteken megvalósuló kockázatkezelési folyamatok részeként meg kell állapítani a szervezeti célokat érintő külső és belső összefüggéseket és az adott működési vagy szervezeti szinten megvalósuló kockázatkezelési folyamat specifikus összefüggéseit.

5.3.5 Kockázati kritériumok

A kockázatok jelentőségének mérlegeléséhez a szervezet értékeihez, célkitűzéseihez és erőforrásaihoz illeszkedő kockázati kritériumokat kell meghatározni a kockázatkezelési politikával összhangban. Ezek a kritériumok származhatnak jogszabályi vagy más, a szervezet által vállalt követelményekből, melyek meghatározásakor figyelembe veendő tényezők például:

-        a lehetséges okok és okozatok jellege és típusai

-        a bekövetkezési valószínűség meghatározási módja

-        a bekövetkezési gyakoriság és következmény időhorizontja

-        a kockázati szintek meghatározási módja

-        a lehetséges tűréshatárok

-        az ismétlődő vagy párhuzamos kockázatok együttes hatásának meghatározása

-        az érdekeltek véleménye

2.2.4. Meg kell határozni azokat a kockázatokat, illetve kockázati tényezőket, amelyek a szervezet kockázati tűréshatárain (szervezeti szinten, illetve szervezeti egység szinten vagy egyes folyamatokra vonatkozóan) belül, illetve azon kívül helyezkednek el (kockázati térkép).

A szabvány a kockázati térkép alkalmazását ugyan nem zárja ki, de nem is preferálja. Ennek alapja az, hogy a kockázati kritériumok meghatározása lényegesen összetettebb és tágabb értelmű, mint a vélelmezett hatás és a bekövetkezési valószínűség egyszerű szorzata. A kockázati térkép alkalmazásának lényeges problémája, hogy a nem azonos működési vagy szervezeti szintekhez tartozó célok és azok eltérő időhorizontjai esetén a kockázati térképen feltüntetett kockázati tényezők lényegében egymással sem összehasonlíthatóak, továbbá a viszonyítás alapjául szolgáló kockázatviselési szintek ilyen módon nem számszerűsíthetőek. Egy nagyon magas bekövetkezési valószínűségű és egyben számszerűsíthetően nagy kihatású - tehát lényegében jól ismert lefolyású, de a hagyományos kockázati térképen magas kockázatúnak besorolt - esemény vonatkozásában nyilvánvalóan kisebb a bizonytalanság hatása, mint egy ritkán bekövetkező és nagyságát tekintve fel nem mérhető - váratlan - eseményé. 

A kockázati térkép valójában nem a kockázatelemzés, hanem a kontrolldokumentálás grafikus szemléltető eszköze, ezért is alkalmazzák előszeretettel a „kockázat-alapú”, valójában inkább kontroll-alapú ellenőrzési tervek alátámasztására.

2.3. A kockázatok integrált kezelése

A szabvány értelmezésében - az egyes működési és szervezeti szinteken megvalósuló kockázatkezelési folyamat elemeként - a kockázatkezelési intézkedés a kockázatot módosító egy vagy több lehetőség kiválasztását és megvalósítását jelenti. A megvalósított intézkedések támogathatják vagy módosíthatják a kontrollok kialakítását, illetve megvalósítását.

A kockázatkezelési intézkedés („risk treatment”) egy olyan ciklikus folyamat, mely során:

-        értékelik a kockázatkezelési intézkedést

-        döntenek a maradványkockázat szintjeinek elfogadhatóságáról

-        amennyiben nem elfogadható a maradványkockázat valamely szintje, új kockázatkezelési intézkedésre kerül sor, és 

-        újraértékelik ezt az intézkedést is

2.3.1. A kockázatkezelési rendszer fő célja, hogy a tűréshatáron belüli értékre csökkentse a

szervezet kockázati tűréshatárán kívül elhelyezkedő kockázatokat.

A kockázat(vállalás) pozitív hatásainak kívánatos érvényesítése céljából a szabvány nemcsak a kockázatcsökkentő, hanem a kockázatnövelő kockázatkezelési intézkedéseket is értelmezi. Továbbá a kockázati szintek és tűréshatárok meghatározása és szükség szerinti változtatása is része a kockázatkezelési folyamat megvalósításának (ld. 5.3 Összefüggések megállapítása). Például a külső körülmények megváltozására való gyors reagálási képesség támogatására a szervezeti és működési folyamatok újra tervezése, vagy új termék, illetve szolgáltatás fejlesztése magasabb kockázatviselési szintek figyelembevételével valósulhat meg. 

Hatékonyság szempontjából elképzelhető az is, hogy bizonyos kockázatokra újonnan kialakított kockázati intézkedések feleslegessé tesznek más kockázatokra vonatkozó meglévő kontrollokat. Például kiszervezés esetén az adott működési területre alkalmazott szolgáltatási szerződésekkel és érvényesített szolgáltatási szint követelményekkel kiváltható a jogszabályi megfelelőség biztosítása kapcsán korábban szabályozott és foganatosított kontrollintézkedések egy része. A költségmegtakarítás megvalósítása céljából foganatosított intézkedések is rendszerint kockázatnövelőek, ezért az esetleges negatív hatás csökkentése érdekében célszerű lehet a helyettesítő kontrollok figyelembevétele, illetve kialakítása és alkalmazása.

2.3.2. A kockázatok kezelésének módját (elfogadás, áthárítás, megszüntetés, kezelés) minden egyes kockázat esetében külön kell meghatározni.

A kockázat felvállalása esetén olyan, a lehetőségek megvalósulását támogató kockázatkezelési intézkedések is lehetségesek, melyek nem csökkentik, hanem növelik a kockázati szintek egyes mutatóit (ld. gyakoriság, hatás, vagy a kockázat forrására jellemző egy mérőszám).

2.3.3. Figyelembe kell venni, hogy adott kockázatra adott válasz (intézkedés) mértéke és költségei arányban legyenek a kockázat által jelentett negatív következmények mértékével és költségvetési hatásával.

A költségeken túl azt is figyelembe kell venni, hogy a kockázatkezelési intézkedés új kockázatot is generálhat (esetleg a szervezet működésének más területén). Ugyancsak új kockázat forrása lehet, ha a kockázatkezelési intézkedés eredményessége és hatékonysága nem, vagy csak rosszul mérhető.

2.3.4. Az egyes kockázatokra adott válaszlépések kidolgozásáért és végrehajtásáért felelős személyeknek rendelkezniük kell a feladat ellátásához szükséges eszközökkel és a megfelelő szaktudással

.

A szükséges általános erőforrások rendelkezésre bocsátásáért a felsővezetés felelős a kockázatkezelési keretrendszer kialakítása és fenntartása során.

4.3.5 Erőforrások 

A megfelelő erőforrások (ideértve a személyi kapacitás, szakértelem, módszertanok, folyamatleírások, informatikai eszközök és oktatás) rendelkezésre állásának biztosítása a felsővezetés feladata.

Az egyes működési és szervezeti szinteken megvalósuló kockázatkezelési folyamat - specifikus - erőforrásigénye nem különíthető el az adott szint működését biztosító erőforrásokétól. Ezen erőforrások biztosítása az adott szint felelős vezetőjének hatáskörébe tartozik.

2.3.5. Ajánlott a feladatellátás folytonosságát veszélyeztető tényezők (humán erőforrás hiánya, technikai eszközök hiánya, új informatikai rendszerre való áttérés, jogszabályi változások stb. folytán előálló fennakadások) megelőzése, illetve mielőbbi megszüntetése.

A szabvány tervszerű intézkedést ír elő mind a kockázatkezelési keretrendszer, mind pedig az egyes működési és szervezeti szinten megvalósuló kockázatkezelési folyamatok vonatkozásában. 

4.2 Felhatalmazás és elkötelezettség

A szabvány a felsővezetés felelősségét hangsúlyozza a kockázatkezelés rendszerének kialakításáért és hatékony működtetéséért. Ide tartozik a szervezet erős vezetői elkötelezettségének folyamatos fenntartása és az elkötelezettség szervezet minden szintjén való elérésének stratégiai tervezése és érvényesítése. Ennek keretében a felsővezetés:

-        meghatározza és jóváhagyja a kockázatkezelési politikát

-        biztosítja a szervezeti kultúra összhangját a kockázatkezelési politikával

-        a szervezet teljesítménymutatóival összhangban meghatározza a kockázatkezelés teljesítménymutatóit

-        összehangolja a kockázatkezelési célkitűzéseket a szervezet stratégiájával és céljaival

-        biztosítja a jogi és szabályozási megfelelőséget

-        a szervezet megfelelő szintjeihez rendeli az elszámoltatható felelősségeket

-        biztosítja, hogy a kockázatkezelés szükséges erőforrásai rendelkezésre álljanak

-        minden érdekelt felé kommunikálja a kockázatkezelés fontosságát és előnyeit

-        biztosítja a kockázatkezelés keretrendszerének folyamatos alkalmazhatóságát 

5.5.3 Kockázatkezelési intézkedési tervek készítése és megvalósítása

A kockázatkezelési tervek készítésének célja a kockázatkezelési lehetőségek közül kiválasztott intézkedések megvalósítási módjának dokumentálása az alábbi információtartalommal:

-        a kockázatkezelési intézkedések lehetséges opciók közüli kiválasztásának okai és várható előnyei

-        a terv elfogadásáért és végrehajtásáért felelős személyek

-        javasolt tevékenységek

-        erőforrás követelmények, ideértve az előre nem látható kiadásokat is

-        teljesítménymutatók és megkötések

-        beszámolási és nyomon követési (monitoring) követelmények

-        időzítés és ütemterv

Az intézkedési terveket a szervezet vezetői folyamataiba kell integrálni, és az érdekelt felekkel meg kell vitatni.

A döntéshozóknak és az egyéb érintett feleknek tisztában kell lenniük a kockázatkezelési intézkedés után fennmaradó (maradvány) kockázat jellegével és mértékével. A maradványkockázatot dokumentálni kell, biztosítva a nyomon követést és felülvizsgálatot, melyek alapján, ha szükséges további intézkedést kell kezdeményezni.

2.3.6. A szabályszerű és hatékony működéshez hozzájárulásuk érdekében a külső-, belső szabályozóknak nem megfelelő működés kiváltó okait meg kell szüntetni, illetve intézkedéseket kell kidolgozni az előirányzatokkal, vagyonnal való gazdálkodás szabályozókkal szükséges összhang biztosítása érdekében.

A szabályozóknak és a vagyongazdálkodási szempontoknak nem megfelelő működés (szabálytalanság) megakadályozása az értékmegőrzésre vonatkozó első alapelv érvényesítéseként a keretrendszer kialakításakor és megvalósításakor elsődleges elkötelezettségi szempont, továbbá beépül a működési és szervezeti szinteken megvalósuló kockázatkezelési folyamatokba (összefüggések megállapítása, kockázati kritériumok meghatározása, kockázatok kiértékelése, kockázatkezelési opciók kiválasztása, a kockázatkezelési folyamat dokumentálása).

2.4. A kockázatkezelés teljes folyamatának felülvizsgálata

A szabvány mind a kockázatkezelési keretrendszer kialakításának és megvalósításának folyamatos javítása, mind pedig az egyes kockázatkezelési folyamatok valamennyi lépéseinek eredményes megvalósulása érdekében előírja a tervszerű monitorozást és a felülvizsgálatot (ld. 4.5 és 5.6 fejezetek).

4.5 A keretrendszer monitorozása és felülvizsgálata

A szervezetnek végre kell hajtania az alábbiakat annak érdekében, hogy a kockázatkezelés eredményes legyen:

-        a kockázatkezelés teljesítményét mérő mutatószámok alkalmazása és ezek rendszeres megfelelőségi felülvizsgálata

-        a kockázatkezelési terv előrehaladásának és a tervtől való eltérések rendszeres mérése

-        a kockázatkezelési keretrendszer, politika és terv a szervezet külső és belső összefüggéseinek való megfelelőségének rendszeres felülvizsgálata

-        beszámoló készítése a kockázatokról, a kockázatkezelési terv előrehaladásáról, és arról, hogy a kockázatkezelési politika milyen mértékben kerül betartásra

-        a kockázatkezelési keretrendszer eredményességének felülvizsgálata

5.6 Monitorozás és felülvizsgálat

A monitorozást és felülvizsgálatokat a kockázatkezelési folyamat részeként meg kell tervezni, ideértve az állandó ellenőrzéseket és a felügyeletet. A szabvány rendszeres és ad hoc felülvizsgálatokat javasol. 

A monitorozásra és felülvizsgálatokra vonatkozó felelősségi köröket világosan meg kell határozni.

A monitorozási és felülvizsgálati eljárásoknak a kockázatkezelési folyamat minden aspektusát le kell fednie annak érdekében, hogy:

-        a kontrollok kialakításának és működésének eredményessége és hatékonysága biztosítva legyen

-        a kockázatfelmérés további javításához szükséges információk rendelkezésre álljanak

-        az esetek, változások, trendek, sikerek, illetve kudarcok elemzése és a tanulságok levonása megtörténjen

-        a külső és belső összefüggésekben bekövetkező változások feltárásra kerüljenek, ideértve a kockázati intézkedések és prioritások felülvizsgálatát igénylő kockázati kritériumok, illetve a kockázatok változásait is

-        az újonnan felmerülő kockázatok beazonosításra kerüljenek

A kockázatkezelési intézkedési tervek megvalósításának előrehaladási mértéke teljesítménymérésre alkalmazható. Az eredmények beépülhetnek a szervezet átfogó teljesítménymérési rendszerébe és a külső és belső jelentésekbe.

Az egyes kockázatkezelési folyamatok felülvizsgálati eredményeit fel kell használni a kockázatkezelési keretrendszer terv szerinti monitorozásához és felülvizsgálatához is (4.5).

2.4.1. Gondoskodni kell az egyes kockázati tényezők csökkentése érdekében hozott intézkedések megvalósításának nyomon követéséről.

A kockázatkezelési intézkedések tervezésekor kell a nyomon követés (monitorozás) módját és gyakoriságát meghatározni. 

5.5.3 Kockázatkezelési intézkedési tervek készítése és megvalósítása

A kockázatkezelési tervek készítésének célja a kockázatkezelési lehetőségek közül kiválasztott intézkedések megvalósítási módjának dokumentálása az alábbi információtartalommal:

-        a kockázatkezelési intézkedések lehetséges opciók közüli kiválasztásának okai és várható előnyei

-        a terv elfogadásáért és végrehajtásáért felelős személyek

-        javasolt tevékenységek

-        erőforrás követelmények, ideértve az előre nem látható kiadásokat is

-        teljesítménymutatók és megkötések

-        beszámolási és nyomon követési (monitoring) követelmények

-        időzítés és ütemterv

Az intézkedési terveket a szervezet vezetői folyamataiba kell integrálni, és az érdekelt felekkel meg kell vitatni.

A döntéshozóknak és az egyéb érintett feleknek tisztában kell lenniük a kockázatkezelési intézkedés után fennmaradó (maradvány) kockázat jellegével és mértékével. A maradványkockázatot dokumentálni kell, biztosítva a nyomon követést és felülvizsgálatot, melyek alapján, ha szükséges további intézkedést kell kezdeményezni.

5.7 A kockázatkezelési folyamat rögzítése

A szabvány a kockázatkezelési folyamat kapcsán kötelező elemként előírja a kockázatkezelési tevékenységek rögzítését, mely alapul szolgál mind a módszerek és eszközök, mind pedig a teljes folyamat javításához.

A feljegyzések készítésekor figyelembe veendő tényezők:

-        a szervezet folyamatos tanulási igényei

-        az információk vezetési célú újra hasznosításának előnyei

-        a feljegyzések készítésének és karbantartásának költségei és ráfordításai

-        a feljegyzések készítésével kapcsolatos jogi, szabályozási és működési igények

-        a hozzáférési módok, elérhetőség és tároló eszközök

-        a megőrzési időszak

-        az információk érzékenysége

2.4.2. Ajánlott, hogy a szervezet a beazonosított kockázatokat év közben legalább egyszer felülvizsgálja.

A kockázatok a célokra ható bizonytalanság forrásaira és a külső és belső összefüggésekre jellemző időhorizontok figyelembevételével, a végrehajtási ciklusok szerinti gyakorisággal kerülnek beazonosításra és felülvizsgálatra - a kockázatkezelési folyamat részeként.

5.6 Monitorozás és felülvizsgálat

A monitorozást és felülvizsgálatokat a kockázatkezelési folyamat részeként meg kell tervezni, ideértve az állandó ellenőrzéseket és a felügyeletet. A szabvány rendszeres és ad hoc felülvizsgálatokat javasol.

5.4.2 Kockázatok azonosítása

A kockázatazonosítás során a kockázatok forrását és hatóköreit, az eseményeket vagy a körülmények változásait, a kiváltó okokat és a lehetséges következményeket kell meghatározni. A kockázatazonosítás célja olyan, mind teljesebb körű kockázati lista összeállítása, mely a szervezeti célok elérését támogató vagy akadályozó, illetve gyorsító vagy késleltető eseményeken alapul. A mind teljesebb körű kockázati lista összeállítása és karbantartása azért fontos, hogy csökkenjen a kockázatelemzésből esetleg kimaradó tételek súlya.

A kockázatokat attól függetlenül be kell azonosítani, hogy a kockázat forrására vonatkozóan a szervezet alkalmaz-e meglévő kontrollt, vagyis a nem nyilvánvaló kockázati forrásokat és okokat is fel kell tárni. Mindehhez mind szélesebb körű és aktuális háttér információknak, valamint szaktudásnak kell rendelkezésre állnia.

2.4.3. Ajánlott a kockázatkezelési folyamat minden egyes elemének (kockázatok felmérése, elemzése, kezelése) legalább évenkénti teljes felülvizsgálata.

A felülvizsgálatokat kiváltó okokat mind a kockázatkezelési keretrendszer, mind pedig az egyes kockázatkezelési folyamatok vonatkozásában az összefüggések figyelembevételével kell a tervezéskor meghatározni.

5.6 Monitorozás és felülvizsgálat

A monitorozást és felülvizsgálatokat a kockázatkezelési folyamat részeként meg kell tervezni, ideértve az állandó ellenőrzéseket és a felügyeletet. A szabvány rendszeres és ad hoc felülvizsgálatokat javasol. 

A monitorozásra és felülvizsgálatokra vonatkozó felelősségi köröket világosan meg kell határozni. 

A monitorozási és felülvizsgálati eljárásoknak a kockázatkezelési folyamat minden aspektusát le kell fednie annak érdekében, hogy:

-        a kontrollok kialakításának és működésének eredményessége és hatékonysága biztosítva legyen

-        a kockázatfelmérés további javításához szükséges információk rendelkezésre álljanak

-        az esetek, változások, trendek, sikerek illetve kudarcok elemzése és a tanulságok levonása megtörténjen

-        a külső és belső összefüggésekben bekövetkező változások feltátásra kerüljenek, ideértve a kockázati intézkedések és prioritások felülvizsgálatát igénylő kockázati kritériumok illetve a kockázatok változásait is

-        az újonnan felmerülő kockázatok beazonosításra kerüljenek

A kockázatkezelési intézkedési tervek megvalósításának előrehaladási mértéke teljesítménymérésre alkalmazható. Az eredmények beépülhetnek a szervezet átfogó teljesítménymérési rendszerébe és a külső és belső jelentésekbe.

Az egyes kockázatkezelési folyamatok felülvizsgálati eredményeit fel kell használni a kockázatkezelési keretrendszer tervszerinti monitorozásához és felülvizsgálatához is (4.5).

A.3.1 Folyamatos fejlesztés (Függelék)

A keretrendszer, illetve a folyamatok felülvizsgálatát célszerű összekötni a szervezet, illetve a kockázatkezelési folyamat szervezeti szintjéhez tartozó célok teljesítésének értékelésével, valamint a vezetők teljesítményértékelésével. 

A fejlett kockázatkezelési rendszer megvalósításának egyik attribútuma a kockázatkezelési teljesítményt mérő mutatók meghatározása és alkalmazása. A rendszeres felülvizsgálat során tűzhetőek ki a következő időszak teljesítménycéljai.

2.4.4. Ajánlott a felülvizsgálatok során feltárt hiányosságok mielőbbi kijavítása, illetve a hatékonyabb feladatellátást biztosító módszerek és eszközök lehetőség szerinti bevezetése.

A kockázatkezelési keretrendszer és a kockázatkezelési folyamatok megvalósításának kötelező eleme a folyamatos javítást célzó tevékenységek előírása és a végrehajtás nyomon követése.

4.6 A keretrendszer folyamatos javítása

A monitorozás és felülvizsgálatok alapján döntéseket kell hozni arról, hogy a kockázatkezelési keretrendszer, a politika és a terv miként fejleszthető. Ezekkel a döntésekkel kell elérni, hogy a szervezet kockázatkezelése és kockázatkezelési kultúrája folyamatosan javuljon.

5.5.3 Kockázatkezelési intézkedési tervek készítése és megvalósítása

A kockázatkezelési tervek készítésének célja a kockázatkezelési lehetőségek közül kiválasztott intézkedések megvalósítási módjának dokumentálása az alábbi információtartalommal:

-        a kockázatkezelési intézkedések lehetséges opciók közüli kiválasztásának okai és várható előnyei

-        a terv elfogadásáért és végrehajtásáért felelős személyek

-        javasolt tevékenységek

-        erőforrás követelmények, ideértve az előre nem látható kiadásokat is

-        teljesítménymutatók és megkötések

-        beszámolási és nyomon követési (monitoring) követelmények

-        időzítés és ütemterv

Az intézkedési terveket a szervezet vezetői folyamataiba kell integrálni, és az érdekelt felekkel meg kell vitatni.

A döntéshozóknak és az egyéb érintett feleknek tisztában kell lenniük a kockázatkezelési intézkedés után fennmaradó (maradvány) kockázat jellegével és mértékével. A maradványkockázatot dokumentálni kell, biztosítva a nyomon követést és felülvizsgálatot, melyek alapján, ha szükséges további intézkedést kell kezdeményezni.

2.5. Szervezeti integritást sértő események

A szervezeti integritás a felelős szervezetirányítással szembeni közösségi elvárásnak feleltethető meg, így a szabvány által meghatározott összes alapelv alkalmazható az integritási kockázatok megfelelő kezelésére - a testreszabott irányítási célkitűzéseket megvalósítását támogató megfelelés-irányítási forgatókönyvek megvalósításával.

2.5.1. Kiemelt figyelmet kell fordítani a szervezeten belül a súlyos szervezeti integritást sértő események (csalás, illetve korrupciós bűncselekmények) mint kiemelt kockázatok kezelésére.

A szabvány nem nevesít kiemelt kockázati típusokat. A szabálytalanság kezelése kapcsán tett korábbi megállapításunk szerint a szabályozóknak és a vagyongazdálkodási szempontoknak nem megfelelő működés (szabálytalanság) megakadályozása az értékmegőrzésre vonatkozó első alapelv érvényesítéseként a keretrendszer kialakításakor és megvalósításakor elsődleges elkötelezettségi szempont, továbbá beépül a működési és szervezeti szinteken megvalósuló kockázatkezelési folyamatokba (összefüggések megállapítása, kockázati kritériumok meghatározása, kockázatok kiértékelése, kockázatkezelési opciók kiválasztása, a kockázatkezelési folyamat dokumentálása).

A kockázatkezelési politika összehangolása a szervezeti célkitűzésekkel és politikákkal biztosítja, hogy a kiemelt kockázati területek kellő súllyal jelenjenek meg.

4.3.2 A kockázatkezelési politika kialakítása

A felsővezetés által a kockázatkezelési keretrendszer tervezése kapcsán jóváhagyott kockázatkezelési politika, mely meghatározza a kockázatkezelés céljait és biztosítja a vezetői elkötelezettség fenntartását, tipikusan tartalmazza az alábbiakat:

-        a kockázatkezelés értelmezését a szervezet vonatkozásában

-        a szervezeti célok és politikák kapcsolatát a kockázatkezelési politikával

-        a kockázatkezelési felelősségeket

-        az érdekellentétek kezelési módját

-        a felelősségek ellátásához szükséges erőforrások rendelkezésre bocsátására vonatkozó elkötelezettséget

-        a kockázatkezelés teljesítménymérési és jelentési módját

-        a kockázatkezelési politika és keretrendszer rendszeres és szükség szerinti áttekintése és javítása iránti elkötelezettséget