ISO 31000 — это семейство международных стандартов, касающихся управления рисками , кодифицированных Международной организацией по стандартизации . [1] Целью стандарта является предоставление согласованного словаря и методологии для оценки и управления рисками, устранения исторических двусмысленностей и различий в способах описания риска. [1]
ISO 31000 был опубликован в качестве стандарта 13 ноября 2009 года и представляет собой стандарт по внедрению управления рисками. В то же время было опубликовано пересмотренное и гармонизированное Руководство ISO/IEC 73. Цель ISO 31000 — быть применимым и адаптируемым для «любого государственного, частного или общественного предприятия, ассоциации, группы или отдельного лица». [2] Соответственно, общая сфера применения ISO 31000 – как семейства стандартов управления рисками – разработана не для конкретной отраслевой группы, системы менеджмента или предметной области, а скорее для обеспечения структуры передовой практики и руководства для всех соответствующих операций. с риск-менеджментом. Процесс его первой редакции начался 13 мая 2015 года. [3] Проект международного стандарта (DIS), который был открыт для общественного обсуждения, был опубликован 17 февраля 2017 года. [4] ISO 31000 подвергся критике за отсутствие основательности и вводящий в заблуждение язык. [5]
Обновление к ISO 31000 было добавлено в начале 2018 года. Обновление отличается тем, что оно «обеспечивает больше стратегического руководства, чем ISO 31000:2009, и уделяет больше внимания как вовлечению высшего руководства, так и интеграции управления рисками в организацию». [6]
ISO 31000 предоставляет набор принципов, руководящих указаний по разработке, внедрению структуры управления рисками и рекомендации по применению процесса управления рисками. Процесс управления рисками, описанный в ISO 31000, может применяться к любой деятельности, включая принятие решений на всех уровнях.
Разница между терминами «структура управления рисками» и «процесс управления рисками» описывается ISO следующим образом:
Структура управления рисками — набор компонентов, которые обеспечивают основу и организационные механизмы для проектирования, внедрения, наставничества, анализа и постоянного улучшения управления рисками во всей организации. С помощью цикла PDCA систему можно совершенствовать на постоянной основе. [7]
Процесс управления рисками – систематическое применение политик, процедур и практик управления к деятельности по коммуникации, консультированию, установлению контекста, а также выявлению, анализу, оценке, обработке, мониторингу и рассмотрению рисков. Другими словами, ISO 31000 формализует практику управления рисками, и этот подход призван облегчить более широкое внедрение компаниями, которым требуется стандарт управления рисками предприятия , который включает в себя несколько «разрозненных» систем управления. [8]
Сфера применения этого подхода к управлению рисками заключается в том, чтобы обеспечить возможность согласования всех стратегических, управленческих и операционных задач организации в рамках проектов, функций и процессов с общим набором целей управления рисками.
Соответственно, ISO 31000 предназначен для широкой группы заинтересованных сторон, включая:
Одним из ключевых сдвигов парадигмы, предложенных в ISO 31000, является изменение в том, как концептуализируется и определяется риск. Как в ISO 31000, так и в ISO Guide 73 определение «риск» больше не является «шансом или вероятностью потери», а «воздействием неопределенности на цели»… таким образом, слово «риск» относится к положительным последствиям неопределенности, так и отрицательные.
Аналогичное определение было принято в ISO 9001:2015 (Стандарт системы менеджмента качества [9] ), в котором риск определяется как «эффект неопределенности». Кроме того, там было введено новое требование, связанное с риском, «мышление, основанное на риске» [10] .
Аналогичным образом, в стандарте ISO 31000 было введено новое широкое определение заинтересованной стороны: «Лицо или лица, которые могут влиять, на которых влияют или воспринимают себя как затронутых решением или деятельностью». Это дословное определение термина «заинтересованная сторона», как оно определено в ISO 9001:2015.
ISO 31000:2009 был разработан на основе существующего стандарта по управлению рисками AS/NZS 4360:2004 (в форме AS/NZS ISO 31000:2009). В то время как первоначальный подход Standards Australia предусматривал процесс, с помощью которого можно было осуществлять управление рисками, ISO 31000:2009 рассматривает всю систему менеджмента , которая поддерживает проектирование, внедрение, поддержание и улучшение процессов управления рисками.
Целью ISO 31000 является применение в существующих системах управления для формализации и улучшения процессов управления рисками, а не для полной замены устаревших методов управления. Впоследствии, при внедрении ISO 31000, необходимо уделить внимание интеграции существующих процессов управления рисками в новую парадигму, описанную в стандарте.
В центре внимания многих программ «гармонизации» ISO 31000 [11] находятся:
Хотя принятие любого нового стандарта может иметь последствия для реорганизации существующей практики управления, в этом стандарте не установлено никаких требований по его соответствию. Подробная структура описана, чтобы гарантировать, что у организации будут «фундаменты и механизмы», необходимые для внедрения необходимых организационных возможностей для поддержания успешных методов управления рисками. Основы включают политику управления рисками, цели, полномочия и обязательства высшего руководства. Механизмы включают планы, отношения, подотчетность, ресурсы, процессы и действия.
Соответственно, старшие должностные лица в организации по управлению корпоративными рисками должны будут осознавать последствия принятия стандарта и быть в состоянии разработать эффективные стратегии внедрения стандарта, встраивая его в качестве неотъемлемой части всех организационных процессов, включая цепочки поставок и коммерческую деятельность. операции. [12] В областях, касающихся управления рисками, которые могут работать с использованием относительно простых процессов управления рисками, таких как безопасность и корпоративная социальная ответственность, потребуются более существенные изменения, такие как создание четко сформулированной политики управления рисками, формализация процессов владения рисками, структурирование рамочные процессы и принятие программ постоянного улучшения.
Определенные аспекты подотчетности высшего руководства, реализации стратегической политики и эффективных механизмов управления, включая коммуникации и консультации, потребуют большего внимания со стороны организаций, которые использовали предыдущие методологии управления рисками, в которых не были указаны такие требования.
ISO 31000 дает список того, как бороться с рисками:
ISO 31000 не был разработан с целью сертификации. (2009)