Эта статья или раздел содержит подробный перефразирование источника, не защищенного авторским правом, http://andrewromanoff.com/draft_iso_31000_2009_risk_management_principles_and.pdf ( отчет по детектору дублирования ) . ( Август 2020 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения ) |
ISO 31000 - это семейство стандартов, касающихся управления рисками, кодифицированных Международной организацией по стандартизации . ISO 31000: 2018 содержит принципы и общие указания по управлению рисками, с которыми сталкиваются организации.
ISO 31000 стремится предоставить общепризнанную парадигму для практиков и компаний, использующих процессы управления рисками, чтобы заменить множество существующих стандартов, методологий и парадигм, которые различались между отраслями, предметами и регионами. С этой целью рекомендации, представленные в ISO 31000, могут быть адаптированы для любой организации и ее контекста [1] .
По состоянию на 2020 год ISO / TC 262, комитет, ответственный за это семейство стандартов, опубликовал пять стандартов, а четыре дополнительных стандарта находятся на стадии предложения / разработки.
- ISO 31000: 2018 - Менеджмент риска - Руководящие принципы
- ISO / TR 31004: 2013 - Менеджмент рисков - Руководство по внедрению ISO 31000
- IEC 31010: 2019 - Менеджмент риска - Методы оценки риска
- ISO 31022: 2020 - Менеджмент риска - Руководство по управлению юридическим риском
- IWA 31: 2020 - Управление рисками - Руководство по использованию ISO 31000 в системах менеджмента
Стандарты в стадии разработки:
- ISO / AWI 31073 - Менеджмент риска - Словарь
- ISO / CD 31030 - Управление рисками - Управление рисками, связанными с поездками - Руководство для организаций
- ISO / WD 31050 - Руководство по управлению возникающими рисками для повышения устойчивости
- ISO / CD 31070 - Менеджмент риска - Руководящие указания по основным концепциям
ISO также разработал свой стандарт ISO 21500 « Руководство по управлению проектами» в соответствии с ISO 31000: 2018. [1]
Введение [ править ]
ISO 31000 был опубликован в качестве стандарта 13 ноября 2009 года и представляет собой стандарт по внедрению управления рисками. В то же время было опубликовано пересмотренное и согласованное Руководство ISO / IEC 73. Цель ISO 31000: 2009 - быть применимой и адаптируемой для «любого государственного, частного или общественного предприятия, ассоциации, группы или отдельного лица». [2] Соответственно, общая область применения ISO 31000 - как семейства стандартов управления рисками - разрабатывается не для конкретной отраслевой группы, системы менеджмента или предметной области, а для обеспечения структуры передовой практики и руководства для всех соответствующих операций. с управлением рисками. Он начал процесс своей первой редакции 13 мая 2015 года. [3]Проект международного стандарта (DIS), который был открыт для общественного обсуждения, был опубликован 17 февраля 2017 г. [4] ISO 31000 подвергся критике за недостаточную надежность и вводящие в заблуждение формулировки. [5]
Обновление ISO 31000 было добавлено в начале 2018 года. Обновление отличается тем, что «ISO 31000: 2018 предоставляет больше стратегических указаний, чем ISO 31000: 2009, и уделяет больше внимания как вовлечению высшего руководства, так и интеграции управления рисками в организация ". [6]
Сфера [ править ]
ISO 31000: 2018 предоставляет набор принципов, руководящих указаний по разработке, внедрению структуры управления рисками и рекомендаций по применению процесса управления рисками. Процесс менеджмента риска, описанный в ISO 31000, может применяться к любой деятельности, включая принятие решений на всех уровнях [2] .
Разница между терминами « структура управления рисками» и « процесс управления рисками» описывается ISO следующим образом:
Структура управления рисками - набор компонентов, которые обеспечивают основу и организационные механизмы для разработки, внедрения, наставничества, анализа и постоянного улучшения управления рисками во всей организации.
Процесс управления рисками - систематическое применение политик, процедур и практик управления к деятельности по обмену информацией, консультированию, установлению контекста, а также выявлению, анализу, оценке, обработке, мониторингу и анализу риска [3] . Другими словами, стандарт ISO 31000 формализует методы управления рисками, и этот подход призван облегчить более широкое внедрение компаниями, которым требуется стандарт корпоративного управления рисками, в котором предусмотрены несколько «разрозненных» систем управления. [7]
Сфера применения этого подхода к управлению рисками состоит в том, чтобы обеспечить согласование всех стратегических, управленческих и операционных задач организации в рамках проектов, функций и процессов с общим набором целей управления рисками.
Соответственно, ISO 31000 предназначен для широкой группы заинтересованных сторон, включая:
- заинтересованные стороны на исполнительном уровне
- лица, назначенные в группу управления рисками предприятия
- аналитики рисков и менеджеры
- линейные менеджеры и менеджеры проектов
- комплаенс и внутренние аудиторы
- независимые практики.
Определения [ править ]
Одним из ключевых сдвигов парадигмы, предложенных в ISO 31000 является спорным моментом в том, как осмысляются и определенный риск. Как в ISO 31000: 2009, так и в ISO Guide 73 определение «риска» больше не означает «шанс или вероятность потери», а «влияние неопределенности на цели» ... таким образом, слово «риск» относится к положительным последствия неопределенности, а также негативные.
Аналогичное определение было принято в ISO 9001: 2015 (Стандарт системы менеджмента качества [8] ), в котором риск определяется как «эффект неопределенности». Кроме того, там было введено новое требование, связанное с риском, «мышление, основанное на оценке риска» [9] .
Аналогичным образом, новое широкое определение заинтересованной стороны было установлено в стандарте ISO 31000: «Лицо или лица, которые могут влиять, быть затронуты или ощущать себя затронутыми решением или деятельностью». Это дословное определение термина «заинтересованная сторона» согласно определению в ISO 9001: 2015.
Рамочный подход [ править ]
ISO 31000: 2009 был разработан на основе существующего стандарта по управлению рисками AS / NZS 4360: 2004 (в форме AS / NZS ISO 31000: 2009). В то время как первоначальный подход Standards Australia предусматривал процесс, с помощью которого можно было осуществлять управление рисками, ISO 31000: 2009 касается всей системы управления, которая поддерживает разработку, внедрение, поддержание и улучшение процессов управления рисками.
Реализация [ править ]
ISO 31000 предназначен для применения в существующих системах управления для формализации и улучшения процессов управления рисками, в отличие от полной замены устаревших методов управления. Впоследствии при внедрении ISO 31000 следует уделить внимание интеграции существующих процессов управления рисками в новую парадигму, изложенную в стандарте.
В центре внимания многих программ «гармонизации» ISO 31000 [10] были:
- Перенос пробелов в подотчетности в общеорганизационном управлении рисками
- Согласование целей структур управления с ISO 31000
- Внедрение механизмов отчетности системы управления
- Создание единых критериев риска и метрик оценки
Последствия [ править ]
Хотя принятие любого нового стандарта может повлечь за собой реорганизацию существующей практики управления, в этом стандарте не содержится никаких требований к соответствию. Подробно описывается структура, гарантирующая, что у организации будут «основы и механизмы», необходимые для внедрения необходимых организационных возможностей для поддержания успешных практик управления рисками. Основы включают политику управления рисками, цели, полномочия и обязательства высшего руководства. Договоренности включают планы, отношения, отчетность, ресурсы, процессы и действия.
Соответственно, лица, занимающие руководящие должности в организации по управлению рисками предприятия , должны будут осознавать последствия принятия стандарта и уметь разрабатывать эффективные стратегии для внедрения стандарта, встраивая его в качестве неотъемлемой части всех организационных процессов, включая цепочки поставок и коммерческую деятельность. операции. [11] В областях, касающихся управления рисками, которые могут работать с использованием относительно простых процессов управления рисками, таких как безопасность и корпоративная социальная ответственность, потребуются более существенные изменения, такие как создание четко сформулированной политики управления рисками, формализация процессов владения рисками, структурирование рамочные процессы и принятие программ непрерывного улучшения.
Определенные аспекты подотчетности высшего руководства, реализации стратегической политики и эффективных структур управления, включая обмен информацией и консультации, потребуют более пристального внимания со стороны организаций, которые использовали предыдущие методологии управления рисками, в которых такие требования не устанавливались.
Управление рисками [ править ]
ISO 31000 дает список того, как бороться с рисками:
- Избегать риска, решив не начинать или не продолжать деятельность, которая приводит к возникновению риска.
- Принятие или увеличение риска для того, чтобы воспользоваться возможностью
- Удаление источника риска
- Изменение вероятности
- Изменение последствий
- Разделение риска с другой стороной или сторонами (включая контракты и финансирование рисков)
- Удержание риска за счет осознанного решения
Аккредитация [ править ]
ISO 31000 не разрабатывался с целью сертификации. (2009)
История [ править ]
Год | Описание | |
---|---|---|
2009 г. | ISO 31000 (1-е издание) | |
2018 г. | ISO 31000 (2-е издание) |
См. Также [ править ]
- Международная конференция по бедствиям и рискам
- ISO 9000
- ISO 14001
- ISO 19600
- ISO 28000
- PDCA
- Риск
- Инструменты управления рисками
- Риск безопасности
- ISO 55000
Ссылки [ править ]
- ^ «Новый стандарт ISO по управлению проектами» . ISO . 2012 г.
- ^ Каталог ISO 31000 http://www.iso.org/iso/catalogue_detail.htm?csnumber=43170
- ^ «Пересмотр ISO 31000 по управлению рисками начался 13 мая 2015 г.» . ISO . Проверено 23 февраля 2017 .
- ^ «ISO / DIS 31000 - Управление рисками - Руководящие принципы» . ISO . Проверено 23 февраля 2017 .
- ↑ Авен, Терье и Марья Юленен. «Сильная сила стандартов в области безопасности и риска: угроза надлежащему развитию этих областей?». Техника надежности и системная безопасность 189 (2019): 279-286.
- ^ https://www.iso.org/files/live/sites/isoorg/files/store/en/PUB100426.pdf
- ^ "optaresystems.com" . www.optaresystems.com .
- ^ «ISO 9001: 2015 - Только что опубликовано! (2015-09-23)» . ISO . Проверено 23 февраля 2017 .
- ^ «Риск и пересмотр ISO 9001» . Проверено 23 февраля 2017 .
- ^ "optaresystems.com" . www.optaresystems.com .
- ^ Последствия для принятия ISO http://www.optaresystems.com/index.php/optare/publication_detail/iso_31000_update_what_it_will_mean_for_a_cso/
- Airmic / Alarm / IRM (2010) «Структурированный подход к управлению рисками предприятия (ERM) и требованиям ISO 31000»
Внешние ссылки [ править ]
- Стандарт Международной организации по стандартизации
- Стандарт AS / NZS ISO 31000: 2009 Управление рисками - Принципы и руководства
- Обсуждение: дискуссионный форум LinkedIn по ISO 31000: 2009 Управление рисками - Принципы и рекомендации
- Статья ISO 31000: Золотой стандарт, Алекс Дали и Кристофер Лайтха, Стратегические риски, сентябрь 2009 г.
- Статья стандарта ISO 31000: другой взгляд на риски и управление рисками