ИСО 31000

Семейство стандартов, касающихся управления рисками

ISO 31000 — это семейство международных стандартов, касающихся управления рисками , кодифицированных Международной организацией по стандартизации . ^[1] Целью стандарта является предоставление согласованного словаря и методологии для оценки и управления рисками, устранения исторических двусмысленностей и различий в способах описания риска. ^[1]

Введение

ISO 31000 был опубликован в качестве стандарта 13 ноября 2009 года и представляет собой стандарт по внедрению управления рисками. В то же время было опубликовано пересмотренное и гармонизированное Руководство ISO/IEC 73. Цель ISO 31000 — быть применимым и адаптируемым для «любого государственного, частного или общественного предприятия, ассоциации, группы или отдельного лица». ^[2] Соответственно, общая сфера применения ISO 31000 – как семейства стандартов управления рисками – разработана не для конкретной отраслевой группы, системы менеджмента или предметной области, а скорее для обеспечения структуры передовой практики и руководства для всех соответствующих операций. с риск-менеджментом. Процесс его первой редакции начался 13 мая 2015 года. ^[3] Проект международного стандарта (DIS), который был открыт для общественного обсуждения, был опубликован 17 февраля 2017 года. ^[4] ISO 31000 подвергся критике за отсутствие основательности и вводящий в заблуждение язык. ^[5]

Обновление к ISO 31000 было добавлено в начале 2018 года. Обновление отличается тем, что оно «обеспечивает больше стратегического руководства, чем ISO 31000:2009, и уделяет больше внимания как вовлечению высшего руководства, так и интеграции управления рисками в организацию». ^[6]

Объем

ISO 31000 предоставляет набор принципов, руководящих указаний по разработке, внедрению структуры управления рисками и рекомендации по применению процесса управления рисками. Процесс управления рисками, описанный в ISO 31000, может применяться к любой деятельности, включая принятие решений на всех уровнях.

Разница между терминами «структура управления рисками» и «процесс управления рисками» описывается ISO следующим образом:

Структура управления рисками — набор компонентов, которые обеспечивают основу и организационные механизмы для проектирования, внедрения, наставничества, анализа и постоянного улучшения управления рисками во всей организации. С помощью цикла PDCA систему можно совершенствовать на постоянной основе. ^[7]

Процесс управления рисками – систематическое применение политик, процедур и практик управления к деятельности по коммуникации, консультированию, установлению контекста, а также выявлению, анализу, оценке, обработке, мониторингу и рассмотрению рисков. Другими словами, ISO 31000 формализует практику управления рисками, и этот подход призван облегчить более широкое внедрение компаниями, которым требуется стандарт управления рисками предприятия , который включает в себя несколько «разрозненных» систем управления. ^[8]

Сфера применения этого подхода к управлению рисками заключается в том, чтобы обеспечить возможность согласования всех стратегических, управленческих и операционных задач организации в рамках проектов, функций и процессов с общим набором целей управления рисками.

Соответственно, ISO 31000 предназначен для широкой группы заинтересованных сторон, включая:

• заинтересованные стороны исполнительного уровня
• должностные лица в группе управления рисками предприятия
• риск-аналитики и руководители
• линейные менеджеры и менеджеры проектов
• комплаенс и внутренние аудиторы
• независимые практики.

Определения

Одним из ключевых сдвигов парадигмы, предложенных в ISO 31000, является изменение в том, как концептуализируется и определяется риск. Как в ISO 31000, так и в ISO Guide 73 определение «риск» больше не является «шансом или вероятностью потери», а «воздействием неопределенности на цели»… таким образом, слово «риск» относится к положительным последствиям неопределенности, так и отрицательные.

Аналогичное определение было принято в ISO 9001:2015 (Стандарт системы менеджмента качества ^[9] ), в котором риск определяется как «эффект неопределенности». Кроме того, там было введено новое требование, связанное с риском, «мышление, основанное на риске» ^[10] .

Аналогичным образом, в стандарте ISO 31000 было введено новое широкое определение заинтересованной стороны: «Лицо или лица, которые могут влиять, на которых влияют или воспринимают себя как затронутых решением или деятельностью». Это дословное определение термина «заинтересованная сторона», как оно определено в ISO 9001:2015.

Рамочный подход

ISO 31000:2009 был разработан на основе существующего стандарта по управлению рисками AS/NZS 4360:2004 (в форме AS/NZS ISO 31000:2009). В то время как первоначальный подход Standards Australia предусматривал процесс, с помощью которого можно было осуществлять управление рисками, ISO 31000:2009 рассматривает всю систему менеджмента , которая поддерживает проектирование, внедрение, поддержание и улучшение процессов управления рисками.

Выполнение

Целью ISO 31000 является применение в существующих системах управления для формализации и улучшения процессов управления рисками, а не для полной замены устаревших методов управления. Впоследствии, при внедрении ISO 31000, необходимо уделить внимание интеграции существующих процессов управления рисками в новую парадигму, описанную в стандарте.

В центре внимания многих программ «гармонизации» ISO 31000 ^{[11] находятся:}

• Перенос пробелов в подотчетности в управлении рисками предприятия
• Приведение целей систем управления в соответствие с ISO 31000
• Внедрение механизмов отчетности системы управления
• Создание единых критериев риска и метрик оценки

Подразумеваемое

Хотя принятие любого нового стандарта может иметь последствия для реорганизации существующей практики управления, в этом стандарте не установлено никаких требований по его соответствию. Подробная структура описана, чтобы гарантировать, что у организации будут «фундаменты и механизмы», необходимые для внедрения необходимых организационных возможностей для поддержания успешных методов управления рисками. Основы включают политику управления рисками, цели, полномочия и обязательства высшего руководства. Механизмы включают планы, отношения, подотчетность, ресурсы, процессы и действия.

Соответственно, старшие должностные лица в организации по управлению корпоративными рисками должны будут осознавать последствия принятия стандарта и быть в состоянии разработать эффективные стратегии внедрения стандарта, встраивая его в качестве неотъемлемой части всех организационных процессов, включая цепочки поставок и коммерческую деятельность. операции. ^[12] В областях, касающихся управления рисками, которые могут работать с использованием относительно простых процессов управления рисками, таких как безопасность и корпоративная социальная ответственность, потребуются более существенные изменения, такие как создание четко сформулированной политики управления рисками, формализация процессов владения рисками, структурирование рамочные процессы и принятие программ постоянного улучшения.

Определенные аспекты подотчетности высшего руководства, реализации стратегической политики и эффективных механизмов управления, включая коммуникации и консультации, потребуют большего внимания со стороны организаций, которые использовали предыдущие методологии управления рисками, в которых не были указаны такие требования.

Управление рисками

ISO 31000 дает список того, как бороться с рисками:

1. Избегание риска путем принятия решения не начинать и не продолжать деятельность, которая приводит к возникновению риска.
2. Принятие или увеличение риска для реализации возможности
3. Удаление источника риска
4. Изменение вероятности
5. Изменение последствий
6. Разделение риска с другой стороной или сторонами (включая контракты и финансирование рисков)
7. Сохранение риска посредством осознанного решения

Аккредитация

ISO 31000 не был разработан с целью сертификации. (2009)

История

Смотрите также

• Приложение SL
• Международная конференция по катастрофам и рискам
• ИСО 9000
• ИСО 14001
• ИСО 19600
• ИСО 22000
• ИСО 28000
• ИСО 45001
• ИСО 55000
• Управление операционными рисками
• ПДКА
• Оценка риска
• Управление рисками
• Риск безопасности

Рекомендации

1. Перди, Дж. (2010). «ISO 31000:2009 — Устанавливая новый стандарт управления рисками». Анализ риска . 30 (6): 881–886.
2. Каталог ISO 31000 http://www.iso.org/iso/catalogue_detail.htm?csnumber=43170.
3. «Пересмотр стандарта ISO 31000 по управлению рисками начался 13 мая 2015 г.» . ИСО . 13 мая 2015 года . Проверено 23 февраля 2017 г.
4. «ISO/DIS 31000 – Управление рисками – Рекомендации». ИСО . Проверено 23 февраля 2017 г.
5. Авен, Терье и Марья Юленен. «Сильная сила стандартов в области безопасности и риска: угроза правильному развитию этих областей?». Инженерия надежности и системная безопасность 189 (2019): 279-286.
6. https://www.iso.org/files/live/sites/isoorg/files/store/en/PUB100426.pdf ^{[ пустой URL-адрес PDF ]}
7. «Стандартизированное управление рисками: ISO 31000». Руководство по запуску IONOS . 6 августа 2020 г. Проверено 16 июня 2022 г.
8. "optaresystems.com". www.optaresystems.com .
9. «ISO 9001:2015 - Только что опубликовано! (23 сентября 2015 г.)» . ИСО . 23 сентября 2015 года . Проверено 23 февраля 2017 г.
10. «Риск и версия ISO 9001» . Проверено 23 февраля 2017 г.
11. "optaresystems.com". www.optaresystems.com .
12. Последствия принятия ISO http://www.optaresystems.com/index.php/optare/publication_detail/iso_31000_update_what_it_will_mean_for_a_cso/

Внешние ссылки

• Стандарт Международная организация по стандартизации
• Стандарт AS/NZS ISO 31000:2009 Управление рисками. Принципы и рекомендации.
• Обсуждение: Дискуссионный форум LinkedIn по ISO 31000:2009 Управление рисками. Принципы и рекомендации.
• Статья ISO 31000: Золотой стандарт, Алекс Дали и Кристофер Лайта, Стратегический риск, сентябрь 2009 г.
• Статья стандарта ISO 31000: другой взгляд на риск и управление рисками