Открыть сервис

ISO 31000

ISO 31000 — это семейство международных стандартов, содержащих принципы, структуру и руководящие указания по управлению рисками. Стандарт не предназначен для сертификации, а служит рамочной основой, которую организации могут адаптировать под свою специфику, отрасль и масштаб деятельности. Основная цель ISO 31000 — помочь организациям интегрировать управление рисками в процессы управления, стратегическое планирование и принятие решений, повышая вероятность достижения целей и устойчивость.

История

Разработка единого международного стандарта по управлению рисками началась в начале 2000-х годов. До этого существовали различные национальные и отраслевые стандарты, такие как австралийско-новозеландский AS/NZS 4360 (первая версия — 1995 год), который послужил одной из основ для будущего международного документа.

Первая редакция стандарта ISO 31000:2009 была опубликована 13 ноября 2009 года. Она была разработана техническим комитетом ISO/TC 262 «Управление рисками». Этот стандарт заменил многие национальные и отраслевые руководства, предложив универсальный подход.

В 2018 году была выпущена вторая, пересмотренная версия — ISO 31000:2018. В ней были уточнены принципы управления рисками, сделан больший акцент на лидерство и приверженность высшего руководства, а также на интеграцию управления рисками во все виды деятельности организации. В 2024 году вышла третья редакция — ISO 31000:2024, которая сохранила преемственность с предыдущей версией, но дополнительно акцентировала внимание на человеческом факторе, культуре риска и использовании данных в управлении рисками.

Структура и содержание

Стандарт ISO 31000:2024, как и его предшественники, построен на трёх ключевых элементах: принципы, структура и процесс.

Принципы управления рисками

В основе стандарта лежат восемь принципов, которые должны соблюдаться для эффективного управления рисками:

  1. Интегрированность — управление рисками является неотъемлемой частью всех видов деятельности организации, а не отдельной функцией.
  2. Структурированность и всесторонность — систематический, структурированный и своевременный подход способствует получению сопоставимых и надёжных результатов.
  3. Адаптированность — структура и процесс управления рисками должны соответствовать внешнему и внутреннему контексту организации, её целям и профилю риска.
  4. Инклюзивность — вовлечение заинтересованных сторон (стейкхолдеров) на всех этапах процесса позволяет учитывать различные точки зрения и знания.
  5. Динамичность — управление рисками должно быть гибким и реагировать на изменения внешней и внутренней среды.
  6. Использование лучшей доступной информации — решения должны основываться на исторических и текущих данных, а также на прогнозах и экспертных оценках.
  7. Учёт человеческого и культурного факторов — поведение, ценности и культура людей существенно влияют на эффективность управления рисками.
  8. Постоянное улучшение — управление рисками должно непрерывно совершенствоваться на основе обучения и опыта.

Структура (Framework)

Структура управления рисками — это система, которая помогает организации интегрировать управление рисками в свои основные процессы. Она включает следующие компоненты:

  • Лидерство и приверженность — высшее руководство должно демонстрировать приверженность управлению рисками, устанавливать политику, распределять ресурсы и полномочия.
  • Интеграция — встраивание управления рисками в управление организацией, стратегическое планирование, операционные процессы, управление проектами и т.д.
  • Проектированиепонимание контекста организации (внешнего и внутреннего), формулирование политики в области управления рисками, определение ролей и ответственности.
  • Внедрение — практическая реализация разработанной структуры, включая обучение персонала и применение процесса управления рисками.
  • Оценка — периодическая проверка эффективности структуры управления рисками.
  • Улучшение — корректировка и совершенствование структуры на основе результатов оценки и изменений в контексте.

Процесс управления рисками

Процесс — это практическая последовательность действий по выявлению, анализу, оценке и обработке рисков.

  1. Коммуникация и консультирование — непрерывный обмен информацией с заинтересованными сторонами на всех этапах процесса.
  2. Определение контекста — установление внешних и внутренних параметров, которые необходимо учитывать при управлении рисками, а также определение критериев риска.
  3. Оценка риска — центральный этап, который включает три подэтапа:
  • Идентификация риска — выявление источников риска, событий, их причин и потенциальных последствий.
  • Анализ риска — определение уровня риска (вероятности и последствий) с учётом существующих мер контроля.
  • Сравнительная оценка риска — сравнение уровня риска с установленными критериями для принятия решения о необходимости обработки риска.
  1. Воздействие на риск (обработка риска) — выбор и реализация мер по изменению уровня риска (избегание, снижение, разделение, принятие).
  2. Мониторинг и пересмотр — постоянное наблюдение за рисками, эффективностью мер контроля и изменениями в контексте.
  3. Документирование и отчётность — фиксация процесса и его результатов для обеспечения прозрачности и подотчётности.

Применение

ISO 31000 является универсальным стандартом и может применяться в любых организациях: государственных, частных, коммерческих и некоммерческих, а также для любых видов деятельности, проектов, продуктов и услуг. Он не привязан к какой-либо конкретной отрасли.

Стандарт часто используется как основа для разработки корпоративных политик и процедур по управлению рисками. Он также служит базой для создания отраслевых стандартов, например, в области информационной безопасности (ISO/IEC 27005) или управления проектами (ISO 21500). В России на основе ISO 31000 разработан национальный стандарт ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство».

Критика и ограничения

Несмотря на широкое признание, ISO 31000 имеет ряд ограничений:

  • Отсутствие сертификации — стандарт не предназначен для сертификации третьей стороной, что затрудняет формальную оценку соответствия организации его требованиям.
  • Рамочный характер — стандарт предлагает общие принципы и процесс, но не даёт конкретных методик или инструментов для количественной оценки рисков. Организациям приходится самостоятельно разрабатывать или выбирать подходящие методы.
  • Сложность внедрения — для малых организаций внедрение полномасштабной системы управления рисками в соответствии с ISO 31000 может быть избыточным и ресурсоёмким.
  • Абстрактность — некоторые критики отмечают, что формулировки стандарта носят слишком общий характер, что может приводить к различным интерпретациям и затруднять практическое применение без дополнительных разъяснений.

Источники

  1. ISO 31000:2024 «Risk management — Guidelines».
  2. ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство».
  3. ISO 31000:2009 «Risk management — Principles and guidelines».
  4. AS/NZS 4360:2004 «Risk management».
  5. Airmic, Alarm, IRM. «A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →