ISO 31000 - это семейство стандартов, относящихся к управлению рисками, кодифицированных International Организация по стандартизации. ISO 31000: 2018 содержит принципы и общие указания по управлению рисками, с которыми сталкиваются организации.
ISO 31000 стремится предоставить общепризнанную парадигму для практиков и компаний, использующих процессы управления рисками, чтобы заменить множество существующих стандартов, методологий и парадигм, которые различались в разных отраслях, предметных областях и регионах. С этой целью рекомендации, представленные в ISO 31000, могут быть адаптированы для любой организации и ее контекста [1].
По состоянию на 2020 год ISO / TC 262, комитет, ответственный за это семейство стандартов, опубликовал пять стандартов., а еще четыре стандарта находятся на стадии предложения / разработки.
Стандарты в разработке:
ISO также разработала свой стандарт ISO 21500 Руководство по управлению проектами в соответствии с ISO 31000: 2018.
ISO 31000 был опубликован в качестве стандарта 13 ноября 2009 г. и представляет собой стандарт внедрение риск-менеджмента. В то же время было опубликовано пересмотренное и согласованное Руководство ISO / IEC 73. Цель ISO 31000: 2009 - быть применимой и адаптируемой для «любого государственного, частного или общественного предприятия, ассоциации, группы или отдельного лица». Соответственно, общая область применения ISO 31000 - как семейства стандартов управления рисками - разрабатывается не для конкретной отраслевой группы, системы менеджмента или предметной области, а для обеспечения структуры передовой практики и руководства для всех операций, связанных с управлением рисками.. Он начал процесс своей первой редакции 13 мая 2015 года. Проект международного стандарта (DIS), который был открыт для общественного обсуждения, был опубликован 17 февраля 2017 года. ISO 31000 подвергся критике за недостаточную надежность и вводящие в заблуждение формулировки..
Обновление ISO 31000 было добавлено в начале 2018 года. Обновление отличается тем, что «ISO 31000: 2018 предоставляет более стратегическое руководство, чем ISO 31000: 2009, и уделяет больше внимания вовлечению как высшего руководства, так и интеграция управления рисками в организацию ».
ISO 31000: 2018 предоставляет набор принципов, руководящих указаний по разработке, реализации структуры управления рисками и рекомендации по применению процесс управления рисками. Процесс управления рисками, описанный в ISO 31000, может применяться к любой деятельности, включая принятие решений на всех уровнях [2].
Разница между терминами «структура управления рисками» и «процесс управления рисками» описывается ISO следующим образом: следующие:
Структура управления рисками - набор компонентов, которые обеспечивают основы и организационные механизмы для разработки, внедрения, наставничества, анализа и постоянного улучшения управления рисками во всей организации.
Процесс управления рисками - систематическое применение политик, процедур и практик управления к деятельности по обмену информацией, консультированию, установлению контекста, а также выявлению, анализу, оценке, обработке, мониторингу и анализу риска [3]. Другими словами, стандарт ISO 31000 формализует методы управления рисками, и этот подход предназначен для облегчения более широкого внедрения компаниями, которым требуется стандарт управления рисками предприятия, который поддерживает несколько «разрозненных» систем управления..
Сфера применения этого подхода к управлению рисками - обеспечить согласование всех стратегических, управленческих и операционных задач организации в рамках проектов, функций и процессов с общим набором целей управления рисками.
Соответственно, ISO 31000 предназначен для широкой группы заинтересованных сторон, включая:
Один из ключевых сдвигов парадигмы, предложенный в ISO 31000 представляет собой противоречивое изменение в концептуализации и определении риска. Как в ISO 31000: 2009, так и в ISO Guide 73 определение «риска» больше не означает «шанс или вероятность потерь», а «влияние неопределенности на цели»... таким образом, слово «риск» относится к положительным последствия неопределенности, а также негативные.
Аналогичное определение было принято в ISO 9001: 2015 (Стандарт системы менеджмента качества), в котором риск определяется как «эффект неопределенности». Кроме того, было введено новое требование, связанное с риском, «мышление, основанное на оценке риска».
Аналогичным образом, новое широкое определение заинтересованной стороны было установлено в ISO 31000: «Лицо или лица, которые могут влиять, быть затронуты или воспринимать себя как подверженные влиянию решения или деятельности». Это дословное определение термина «заинтересованная сторона», как это определено в ISO 9001: 2015.
ISO 31000: 2009 был разработан на основе существующего стандарта по управлению рисками (в форме AS / NZS ISO 31000: 2009). В то время как первоначальный подход Standards Australia предусматривал процесс, с помощью которого можно было бы осуществлять управление рисками, ISO 31000: 2009 рассматривает всю систему управления, которая поддерживает проектирование, внедрение, поддержание и улучшение рисков. процессы управления.
Целью ISO 31000 является применение в существующих системах управления для формализации и улучшения процессов управления рисками, в отличие от полной замены устаревших методов управления. Впоследствии при внедрении ISO 31000 следует уделить внимание интеграции существующих процессов управления рисками в новую парадигму, изложенную в стандарте.
В центре внимания многих программ «гармонизации» ISO 31000:
Хотя принятие любого нового стандарта может повлечь за собой реорганизацию существующих практик управления, требование соответствия не требуется. изложены в этом стандарте. Подробно описывается структура, гарантирующая, что организация будет иметь «основы и механизмы», необходимые для внедрения необходимых организационных возможностей для поддержания успешных практик управления рисками. Основы включают политику управления рисками, цели, полномочия и обязательства высшего руководства. Договоренности включают планы, отношения, отчетность, ресурсы, процессы и действия.
Соответственно, старшие должностные лица в организации управления рисками предприятия должны будут осознавать последствия принятия стандарта и уметь разрабатывать эффективные стратегии для внедрения стандарта, внедряя его в качестве неотъемлемая часть всех организационных процессов, включая цепочки поставок и коммерческие операции. В областях, касающихся управления рисками, которые могут работать с использованием относительно простых процессов управления рисками, таких как безопасность и корпоративная социальная ответственность, потребуются более существенные изменения, такие как создание четко сформулированной политики управления рисками, формализация процессов владения рисками, структурирование структурных процессов и принятие программ непрерывного совершенствования.
Определенные аспекты подотчетности высшего руководства, реализации стратегической политики и эффективных структур управления, включая обмен информацией и консультации, потребуют большего внимания со стороны организаций, которые использовали предыдущие методологии управления рисками, в которых такие требования не устанавливались.
ISO 31000 дает список того, как бороться с риском:
ISO 31000 не был разработан с целью сертификации. (2009)
Год | Описание | |
---|---|---|
2009 | ISO 31000 (1-е издание) | |
2018 | ISO 31000 ( 2-е издание) |