ГОСТ Р ИСО 31000
ГОСТ Р ИСО 31000 — это национальный стандарт Российской Федерации, идентичный международному стандарту ISO 31000:2018 «Менеджмент риска. Принципы и руководство» (Risk management — Guidelines). Он устанавливает принципы, структуру и процесс управления рисками, которые могут применяться любой организацией независимо от её размера, отрасли или вида деятельности. Стандарт носит рекомендательный характер и не содержит обязательных требований, а предлагает общую методологию для интеграции управления рисками в систему управления организацией.
История
Разработка стандарта ISO 31000 началась в 2005 году на основе предшествующих документов, таких как AS/NZS 4360 (австралийско-новозеландский стандарт по управлению рисками). Первая версия международного стандарта была опубликована в 2009 году (ISO 31000:2009). В России на её основе был принят ГОСТ Р ИСО 31000-2010, который вступил в силу 1 сентября 2010 года.
В 2018 году Международная организация по стандартизации (ISO) выпустила обновлённую редакцию ISO 31000:2018. В ней были уточнены принципы, упрощена структура и сделан акцент на лидерство руководства и интеграцию управления рисками во все процессы организации. Российская Федерация, как член ISO, адаптировала эту версию в качестве национального стандарта ГОСТ Р ИСО 31000-2019, который вступил в силу 1 января 2020 года и заменил предыдущий ГОСТ Р ИСО 31000-2010. Текущая версия стандарта соответствует международному изданию 2018 года.
Структура стандарта
ГОСТ Р ИСО 31000-2019 состоит из трёх основных компонентов: принципов, структуры и процесса. Они взаимосвязаны и образуют единую систему.
Принципы управления рисками
Стандарт формулирует восемь принципов, которые должны соблюдаться для эффективного управления рисками:
- Интегрированность — управление рисками является неотъемлемой частью всех видов деятельности организации.
- Структурированность и всесторонность — систематический и своевременный подход, обеспечивающий сопоставимость результатов.
- Адаптированность — процесс управления рисками должен соответствовать внешнему и внутреннему контексту организации.
- Вовлечённость — участие заинтересованных сторон (стейкхолдеров) позволяет учитывать их мнение и знания.
- Динамичность — управление рисками должно реагировать на изменения внешней и внутренней среды.
- Использование наилучшей доступной информации — решения основываются на исторических данных, прогнозах и экспертных оценках.
- Учёт человеческого фактора — поведение, культура и восприятие людей влияют на процесс управления рисками.
- Постоянное улучшение — организация должна непрерывно совершенствовать свою систему управления рисками.
Структура управления рисками
Структура описывает, как организация должна выстраивать, внедрять, поддерживать и улучшать систему управления рисками. Она включает следующие элементы:
- Лидерство и приверженность — высшее руководство должно демонстрировать поддержку и выделять ресурсы.
- Интеграция — встраивание управления рисками во все бизнес-процессы (стратегическое планирование, операционная деятельность, проекты, закупки и т.д.).
- Проектирование — анализ внешнего и внутреннего контекста, определение политики в области управления рисками, распределение ролей и ответственности.
- Внедрение — практическая реализация разработанной структуры.
- Оценка — периодическая проверка эффективности системы управления рисками.
- Улучшение — корректировка и адаптация структуры на основе результатов оценки.
Процесс управления рисками
Процесс представляет собой последовательность шагов, которые организация выполняет для управления конкретными рисками. Он включает:
- Коммуникация и консультирование — обмен информацией с заинтересованными сторонами на всех этапах.
- Установление контекста — определение внешних и внутренних параметров, в рамках которых будет оцениваться риск.
- Оценка риска:
- Идентификация — выявление событий, которые могут повлиять на достижение целей.
- Анализ — понимание природы и характеристик риска (вероятность, последствия, уровень).
- Сравнительная оценка — сопоставление уровня риска с установленными критериями для принятия решения о необходимости обработки.
- Воздействие на риск — выбор и реализация мер по изменению уровня риска (избегание, снижение, передача, принятие).
- Мониторинг и пересмотр — постоянное наблюдение за рисками и эффективностью мер.
- Документирование и отчётность — фиксация результатов и предоставление информации руководству.
Применение
ГОСТ Р ИСО 31000 используется в качестве методической основы для построения систем управления рисками в организациях различных форм собственности. Он не является обязательным для применения, но его рекомендации часто берутся за основу при разработке внутренних регламентов и политик.
Стандарт применяется в следующих областях:
- Стратегическое планирование — оценка рисков при выборе направлений развития.
- Управление проектами — идентификация и управление проектными рисками.
- Финансовый менеджмент — оценка кредитных, рыночных и операционных рисков.
- Промышленная безопасность и охрана труда — анализ опасностей и управление рисками производственного травматизма.
- Информационная безопасность — управление рисками утечки данных и кибератак.
- Государственное управление — оценка рисков при реализации государственных программ и проектов.
Связь с другими стандартами
ГОСТ Р ИСО 31000 является базовым стандартом в области управления рисками. На его основе разработаны более специализированные документы, например:
- ГОСТ Р ИСО/МЭК 31010 — «Менеджмент риска. Методы оценки риска», который содержит описание конкретных методов (например, HAZOP, FMEA, «галстук-бабочка»).
- ГОСТ Р ИСО 31004 — «Менеджмент риска. Руководство по внедрению ИСО 31000».
- ГОСТ Р 58771 — «Менеджмент риска. Технологии оценки риска» (национальный стандарт, дополняющий ИСО/МЭК 31010).
Кроме того, стандарт гармонизирован с требованиями к системам менеджмента качества (ГОСТ Р ИСО 9001), экологического менеджмента (ГОСТ Р ИСО 14001) и менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001), где управление рисками является обязательным элементом.
Критика
Несмотря на широкое признание, ГОСТ Р ИСО 31000 подвергается критике по нескольким направлениям:
- Отсутствие обязательных требований — из-за рекомендательного характера организации могут формально декларировать следование стандарту, не внедряя реальных механизмов управления рисками.
- Сложность применения в малом бизнесе — описанные процессы могут быть избыточными для небольших компаний с ограниченными ресурсами.
- Общий характер — стандарт не даёт конкретных количественных методов оценки рисков, отсылая к другим документам (например, ГОСТ Р ИСО/МЭК 31010).
- Недостаточная интеграция с отраслевыми требованиями — в некоторых сферах (например, в банковской или атомной) существуют более жёсткие и детализированные регуляторные требования, которые могут противоречить общему подходу ISO 31000.
Интересные факты
- ГОСТ Р ИСО 31000-2019 является аутентичным переводом ISO 31000:2018. Текст стандарта на русском языке официально утверждён и имеет одинаковую юридическую силу с международным оригиналом.
- Стандарт не содержит термина «управление рисками» в привычном понимании, а использует термин «менеджмент риска», что подчёркивает системный и стратегический характер процесса.
- В 2021 году Международная организация по стандартизации начала работу над новой редакцией ISO 31000, которая, как ожидается, будет опубликована после 2024 года.
Источники
- ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство». — М.: Стандартинформ, 2019.
- ISO 31000:2018 «Risk management — Guidelines». — ISO, 2018.
- ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска». — М.: Стандартинформ, 2012.
- Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании» (в части применения национальных стандартов на добровольной основе).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →