Стандарт ISO 31000:2009 „Управление на риска – принципи и указания”

Стандарт ISO 31000:2009 определя принципите и общите насоки за управление на риска.

ISO 31000:2009 може да се използва от всички публични, частни или обществени предприятия, асоциации, групи или отделни личности. Ето защо ISO 31000:2009 не е специфичен за всяка индустрия или сектор.
ISO 31000:2009 може да се прилага през целия жизнен цикъл на организацията, и в по-широк спектър от дейности, включително стратегии и решения, дейности, процеси, функции, проекти, продукти, услуги и активи.
ISO 31000:2009 може да се прилага към всеки вид на риска, независимо от неговия характер, независимо дали има положителни или отрицателни последици.
Въпреки, че ISO 31000:2009 предвижда общи насоки, той няма за цел да насърчава еднообразието при управление на риска в организациите. При проектирането и изпълнението на плановете за управление на рисковете трябва да се вземат предвид различните нужди на определена организация, нейните конкретни цели, контекст и структура, дейности, процеси, функции, проекти, продукти, услуги или активи и специфични практики .
Предвижда се ISO 31000:2009 да се използва  за хармонизиране на процесите на управление на риска в съществуващите и бъдещите стандарти. Този стандарт осигурява общ подход при прилагането на стандартите за управление на специални рискове и / или сектори, и не замества тези стандарти.

ISO 31000:2009 не е предназначен за целите на сертифицирането.

Стандартът се прилага за оценяване и управление на рисковете при бизнес планиране, управление на проекти и други дейности, като управление на информационната сигурност, управление на здравето и безопасността при работа, управление на околната среда, оценка на риска в критични точки и други дейности, при които има необходимост от стандартизиране на процеса.
Във философията и основните принципи на този стандарт е залегнал стандарта за управление на риска AS/NZS 4360:2004 на съвместния орган по стандартизация на Австралия и Нова Зеландия.
Международният стандарт ISO 31000 препоръчва организациите да развиват, прилагат и непрекъснато подобряват рамката, чиято цел е да интегрира процеса на управление на риска в цялостното управление на организацията – стратегия и планиране, управление, отчитане на процесите, политиките, ценностите и културата на организацията.
Управление на риска може да се приложи за цялата организация, или за някои от нейните области на действие, за всичките или само за някои нива на управление, по всяко време, както и за специфични функции, проекти или дейности.
При идентифициране, оценяване и управление на рисковете, организациите непрекъсното се консултират и комуникират със заинтересованите страни. За която и да е организация заинтересовани страни от управление на риска са:

  • отговорните лица за развитието на политиката за управление на риска в рамките на тяхната организация;
  • отговорни лица за ефективното управление на риска в рамките на организацията като цяло или в рамките на определени области, проекти или дейности;
  • служителите,  които трябва да преценят ефективността на организацията за управление на риска,
    разработващите стандарти, наръчници, процедури и кодекси за добра практика, в които изцяло или частично, се определя как да бъде управляван рискът в рамките на конкретния контекст на тези документи.

За ефективно управление на риска, всяка организация трябва да спазва следните принципите на всички нива:

  • Управлението на риска създава и защитава стойност;
  • Управлението на риска е неразделна част от всички  организационни процеси;
  • Управлението на риска е част от процеса на вземане на решения;
  • Управление на риска е насочено  срещу несигурността;
  • Управлението на риска е систематично, структурирано и навременно;
  • Управлението на риска се основава на най-добрата налична информация;
  • Управлението на риска е приспособено към организацията;
  • Управлението на риска отчита човешките и културните фактори;
  • Управлението на риска е прозрачно и всеобхватно;
  • Управлението на риска е динамично, повтарящо се и отговарящо на промените;
  • Управлението на риска улеснява постоянното усъвършенстване на организацията.

Процесът за управление на риска трябва да бъде:

  • Неразделна част от цялостното управление на дейността;
  • Вграден в културата и практиките на организацията;
  • Съобразен с бизнес процесите на организацията.
  • Оптимизиран и подобряван процес, който се усъвършенства заедно с развитието на фирмената управленска култура.

Оценяването на риска е неразделна част от управлението на риска. Представлява структуриран процес, който позволява на организациите да установят как рисковете могат да повлияят или засегнат целите на организацията. Той се използва за анализ на риска по отношение на вероятностите от възникването му  и последиците от него, преди организация да реши как по-нататък ще управлява оценения вече риск и какви възможности за неговото третиране съществуват.

Процесът на оценяване на рисковете е засегнат обстойно в стандарт  ISO / IEC 31010:2009, Управление на риска – техники за оценка на риска. Той е разработен съвместно от ISO и IEC.
Когато възникнат рискове, организацията винаги трябва да си задава въпроса: “Дали нивото на рисковете е допустимо и приемливо, и не е ли нуждо по-нататъшно им третиране?”
Оценката на риска предоставя възможност на хората, които вземат решения  да разбират  по-добе рисковете, които могат да засегнат достигането на целите, както и на адекватността и ефективността на наличния вече  контрол  и методи за третиране на оценените рискове. Стандартът представлява основа за прилагане на най-подходящ подход за въздействие върху  определените рискове. Той дава възможност да се избере някоя от съществуващите възможности за тяхното управление.
ISO / IEC 31010:2009 помага на организациите при прилагането на управленските принципи, като спазват насоките, дадени в него.
При прилагането на широк спектър от техники за оценяване на рисковете се въвеждат  специфични препратки към други международни стандарти, когато в тях концепцията и прилагането на методи за оценяване на специфичните рискове са описани по-подробно, или техниката е по-подходяща за целите на управлението. Оценяването на риска не е самостоятелна дейност и трябва да бъде изцяло интегрирана в другите компоненти по управление на риска.
Управлението (третирането)  на риска  включва избирането на една или повече възможности за промяна на риска.  Възможностите могат да включват следното:

  • избягване на риска, като се реши да не се започне или да се продължи с дейност, която поражда риск;
  • приемане или дори повишаване на риска, за да се ползва някаква благоприятна (макар и рискова) възможност (като се определят механизми за наблюдение и контрол на риска);
  • отстраняване на източника на риска (когато оценените рискове не могат да бъдат управлявани в достатъчна степен);
  • промяна на вероятността за поява на риск;
  • промяна на последствията от проява на риска;
  • споделяне на риска с друга страна или страни (използване на ресурсите на избраните партньори за управление на риска, когато това е по ефективно за организацията);
  • запазване на риска при информирано решение (като се определят механизми за наблюдение и контрол на риска).

Зрялост на управлението на риска се постига в процеса на изграждане на култура на управление на всички нива в организацията.

Comments are closed.