Открыть сервис

ГОСТ Р ИСО 31000

ГОСТ Р ИСО 31000 — это национальный стандарт Российской Федерации, идентичный международному стандарту ISO 31000:2018 «Менеджмент риска. Принципы и руководство» (Risk management — Guidelines). Он устанавливает принципы, структуру и процесс управления рисками, которые могут применяться любой организацией независимо от её размера, отрасли или вида деятельности. Стандарт носит рекомендательный характер и не содержит обязательных требований, а предлагает общую методологию для интеграции управления рисками в систему управления организацией.

История

Разработка стандарта ISO 31000 началась в 2005 году на основе предшествующих документов, таких как AS/NZS 4360 (австралийско-новозеландский стандарт по управлению рисками). Первая версия международного стандарта была опубликована в 2009 году (ISO 31000:2009). В России на её основе был принят ГОСТ Р ИСО 31000-2010, который вступил в силу 1 сентября 2010 года.

В 2018 году Международная организация по стандартизации (ISO) выпустила обновлённую редакцию ISO 31000:2018. В ней были уточнены принципы, упрощена структура и сделан акцент на лидерство руководства и интеграцию управления рисками во все процессы организации. Российская Федерация, как член ISO, адаптировала эту версию в качестве национального стандарта ГОСТ Р ИСО 31000-2019, который вступил в силу 1 января 2020 года и заменил предыдущий ГОСТ Р ИСО 31000-2010. Текущая версия стандарта соответствует международному изданию 2018 года.

Структура стандарта

ГОСТ Р ИСО 31000-2019 состоит из трёх основных компонентов: принципов, структуры и процесса. Они взаимосвязаны и образуют единую систему.

Принципы управления рисками

Стандарт формулирует восемь принципов, которые должны соблюдаться для эффективного управления рисками:

  1. Интегрированностьуправление рисками является неотъемлемой частью всех видов деятельности организации.
  2. Структурированность и всесторонность — систематический и своевременный подход, обеспечивающий сопоставимость результатов.
  3. Адаптированностьпроцесс управления рисками должен соответствовать внешнему и внутреннему контексту организации.
  4. Вовлечённость — участие заинтересованных сторон (стейкхолдеров) позволяет учитывать их мнение и знания.
  5. Динамичность — управление рисками должно реагировать на изменения внешней и внутренней среды.
  6. Использование наилучшей доступной информации — решения основываются на исторических данных, прогнозах и экспертных оценках.
  7. Учёт человеческого фактора — поведение, культура и восприятие людей влияют на процесс управления рисками.
  8. Постоянное улучшение — организация должна непрерывно совершенствовать свою систему управления рисками.

Структура управления рисками

Структура описывает, как организация должна выстраивать, внедрять, поддерживать и улучшать систему управления рисками. Она включает следующие элементы:

  • Лидерство и приверженность — высшее руководство должно демонстрировать поддержку и выделять ресурсы.
  • Интеграция — встраивание управления рисками во все бизнес-процессы (стратегическое планирование, операционная деятельность, проекты, закупки и т.д.).
  • Проектирование — анализ внешнего и внутреннего контекста, определение политики в области управления рисками, распределение ролей и ответственности.
  • Внедрение — практическая реализация разработанной структуры.
  • Оценка — периодическая проверка эффективности системы управления рисками.
  • Улучшение — корректировка и адаптация структуры на основе результатов оценки.

Процесс управления рисками

Процесс представляет собой последовательность шагов, которые организация выполняет для управления конкретными рисками. Он включает:

  1. Коммуникация и консультирование — обмен информацией с заинтересованными сторонами на всех этапах.
  2. Установление контекста — определение внешних и внутренних параметров, в рамках которых будет оцениваться риск.
  3. Оценка риска:
  • Идентификация — выявление событий, которые могут повлиять на достижение целей.
  • Анализпонимание природы и характеристик риска (вероятность, последствия, уровень).
  • Сравнительная оценка — сопоставление уровня риска с установленными критериями для принятия решения о необходимости обработки.
  1. Воздействие на риск — выбор и реализация мер по изменению уровня риска (избегание, снижение, передача, принятие).
  2. Мониторинг и пересмотр — постоянное наблюдение за рисками и эффективностью мер.
  3. Документирование и отчётность — фиксация результатов и предоставление информации руководству.

Применение

ГОСТ Р ИСО 31000 используется в качестве методической основы для построения систем управления рисками в организациях различных форм собственности. Он не является обязательным для применения, но его рекомендации часто берутся за основу при разработке внутренних регламентов и политик.

Стандарт применяется в следующих областях:

Связь с другими стандартами

ГОСТ Р ИСО 31000 является базовым стандартом в области управления рисками. На его основе разработаны более специализированные документы, например:

  • ГОСТ Р ИСО/МЭК 31010 — «Менеджмент риска. Методы оценки риска», который содержит описание конкретных методов (например, HAZOP, FMEA, «галстук-бабочка»).
  • ГОСТ Р ИСО 31004 — «Менеджмент риска. Руководство по внедрению ИСО 31000».
  • ГОСТ Р 58771 — «Менеджмент риска. Технологии оценки риска» (национальный стандарт, дополняющий ИСО/МЭК 31010).

Кроме того, стандарт гармонизирован с требованиями к системам менеджмента качества (ГОСТ Р ИСО 9001), экологического менеджмента (ГОСТ Р ИСО 14001) и менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001), где управление рисками является обязательным элементом.

Критика

Несмотря на широкое признание, ГОСТ Р ИСО 31000 подвергается критике по нескольким направлениям:

  • Отсутствие обязательных требований — из-за рекомендательного характера организации могут формально декларировать следование стандарту, не внедряя реальных механизмов управления рисками.
  • Сложность применения в малом бизнесе — описанные процессы могут быть избыточными для небольших компаний с ограниченными ресурсами.
  • Общий характер — стандарт не даёт конкретных количественных методов оценки рисков, отсылая к другим документам (например, ГОСТ Р ИСО/МЭК 31010).
  • Недостаточная интеграция с отраслевыми требованиями — в некоторых сферах (например, в банковской или атомной) существуют более жёсткие и детализированные регуляторные требования, которые могут противоречить общему подходу ISO 31000.

Интересные факты

  • ГОСТ Р ИСО 31000-2019 является аутентичным переводом ISO 31000:2018. Текст стандарта на русском языке официально утверждён и имеет одинаковую юридическую силу с международным оригиналом.
  • Стандарт не содержит термина «управление рисками» в привычном понимании, а использует термин «менеджмент риска», что подчёркивает системный и стратегический характер процесса.
  • В 2021 году Международная организация по стандартизации начала работу над новой редакцией ISO 31000, которая, как ожидается, будет опубликована после 2024 года.

Источники

  • ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство». — М.: Стандартинформ, 2019.
  • ISO 31000:2018 «Risk management — Guidelines». — ISO, 2018.
  • ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска». — М.: Стандартинформ, 2012.
  • Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании» (в части применения национальных стандартов на добровольной основе).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →