Az ISO 31000 a Nemzetközi Szabványügyi Szervezet által kodifikált kockázatkezelési standardok családját jelöli . Az ISO 31000 szabvány célja a kockázatkezelés, valamint a stratégiai és operatív szintű végrehajtási folyamatok alapelveinek és iránymutatásainak biztosítása. Nem célja a kockázatkezelés szabványosításának elősegítése a szervezeteken belül, hanem a számtalan meglévő megközelítés, szabvány és módszer harmonizálása a kockázatkezelés szempontjából.
Jelenleg az ISO 31000 család a következőket tartalmazza:
2009 novemberében az ISO 31000 nemzetközi kockázatkezelési szabványt tették közzé, mielőtt az AFNOR gyorsan átültette volna egy francia szabványba az NF ISO 31000: 2018 hivatkozással. Ez a szabvány elveket és irányelveket javasol a kockázatkezeléshez, valamint a végrehajtási folyamatok kialakításához stratégiai és operatív szinten.
Az ISO 31000: 2018 szabvány célja, hogy alkalmazkodjon és alkalmazkodjon "minden állami, bármely állami vagy magáncéghez, közösséghez, egyesülethez, csoporthoz vagy egyénhez. "
Nem a gyakorlatok egységesítéséről, sem egy párhuzamos irányítási rendszer létrehozásáról van szó. Éppen ellenkezőleg, az ISO 31000 szabvány, bár egyetlen adattárat kínál, alkalmazkodó és rugalmas.
A javasolt megközelítés a kockázatkezelési gyakorlatok formalizálásából áll, miközben lehetővé teszi a vállalatok számára az ERM ( vállalati kockázatkezelés ) keretrendszer felállítását, elkerülve ezzel a „silók” kockázatkezelési megközelítését.
Az új meghatározás elhagyja a mérnök nézetét ( „a kockázat az esemény valószínűségének és következményének kombinációja” ), hogy a kockázatokat a szervezet célkitűzéseihez kapcsolja: „A kockázat a bizonytalanság hatása a célok elérésére. "
Az Európai Szabványügyi Központ mintegy 60 szabványt sorolt fel a „kockázat” szóval kapcsolatban. Ez a minőség szempontjából "nem megfelelőség", a környezet "szennyezése", a berendezés "meghibásodása", "mérgezés" vagy "testi sérülés" a személyes biztonság szempontjából, de egyben "visszatérés" is. pénzügyekben vagy az üzleti vezető „lehetősége”. Ezért egyszerre hajtották végre az „ISO Guide 73 - Kockázatkezelési szókincs” felülvizsgálatát, hogy megkönnyítsék a kockázati szakemberek, az összes szektor együttes vitáját.
1 - A kockázatkezelés értéket teremt és megőriz .
A kockázatkezelés kézzelfoghatóan hozzájárul a célok eléréséhez és a szervezet teljesítményének javításához az irányítási rendszer és folyamatok áttekintésével.2 - A kockázatkezelés beépül a szervezeti folyamatokba .
A kockázatkezelést mind stratégiai, mind operatív szinten be kell építeni a meglévő irányítási rendszerbe.3 - A kockázatkezelés beépül a döntéshozatali folyamatba .
A kockázatkezelés döntési segítséget nyújt az indokolt döntések meghozatalához, a prioritások meghatározásához és a legmegfelelőbb intézkedések kiválasztásához4 - A kockázatkezelés kifejezetten foglalkozik a bizonytalansággal .
A lehetséges kockázatok azonosításával a szervezet kockázatcsökkentő és finanszírozási eszközöket vezethet be a siker esélyeinek maximalizálása és a veszteségek lehetőségeinek minimalizálása céljából.5 - A kockázatkezelés szisztematikus, strukturált és megfelelő időben használható .
A kockázatkezelési folyamatoknak következetesnek kell lenniük a szervezetben az eredmények hatékonyságának, relevanciájának, következetességének és megbízhatóságának biztosítása érdekében.6 - A kockázatkezelés a rendelkezésre álló legjobb információkon alapul .
A hatékony kockázatkezelés érdekében fontos figyelembe venni és megérteni az összes rendelkezésre álló és egy tevékenység szempontjából releváns információt, felismerve ugyanakkor a felhasznált adatok és modellek korlátait.7 - A kockázatkezelés kiigazításra került .
A szervezet kockázatkezelését a rendelkezésre álló erőforrásoknak - személyi, pénzügyi és időbeli erőforrásoknak, valamint a belső és külső környezetnek megfelelően kell igazítani.8 - A kockázatkezelés integrálja az emberi és kulturális tényezőket .
A kockázatkezelésnek el kell ismernie az emberek és a kulturális tényezők hozzájárulását a szervezet céljainak eléréséhez.9 - A kockázatkezelés átlátható és részvételen alapuló .
A belső és külső érdekelt felek bevonásával a kockázatkezelési folyamatokba a szervezet felismeri a kommunikáció és a konzultáció fontosságát a kockázatok azonosításának, értékelésének és kezelésének szakaszában.10 - A kockázatkezelés dinamikus, iteratív és reagál a változásokra .
A kockázatkezelésnek rugalmasnak kell lennie. A versenykörnyezet arra kényszeríti a szervezetet, hogy alkalmazkodjon a belső és külső kontextushoz, különösen akkor, ha új kockázatok jelennek meg, amikor egyes kockázatok megváltoznak, mások eltűnnek.11 - A kockázatkezelés megkönnyíti a szervezet folyamatos fejlesztését .
A kockázatkezelésben lejárt szervezetek azok, amelyek hosszú távra fektetnek be, és igazolják céljaik rendszeres megvalósítását.A szabvány három részből áll, nevezetesen az alapelvekből, a szervezeti keretrendszerből és a menedzsment folyamatból (lásd a diagramot):
A szabvány olyan megközelítés kidolgozását javasolja, amely lehetővé teszi a vállalatok számára a kockázatkezelés integrálását. A belépési pont a szervezet célkitűzéseinek, a kockázatkezelési politikának, valamint a jogi és szerződéses felelősségek összehangolása. A kockázatkezelési keretet integrálni kell a vállalat minden tevékenységének döntéshozatali és szervezési folyamataiba, ügyelve a belső és külső összefüggésekre, mindegyikük felelősségére, valamint a stratégiai és operatív szinten rendelkezésre álló erőforrásokra.
1 - Stratégiai célok
Az általános menedzsment és a végrehajtó bizottság felelős a társaság stratégiai döntéseiért. Az általában hosszú távú megközelítés leírja a kockázatkezelésről alkotott jövőképét és az elérendő átfogó célokat.2 - Operatív célok
Általában a vezető beosztású vezetők felelősek azért, hogy az eredmények elérése érdekében átfogó stratégiai célokat helyezzenek szervezeti tervekbe. Az ezen a szinten kidolgozott tervek az egyes üzleti egységek számára meghatározzák az elérendő eredményeket.3 - Termelési célok
Hasonlóképpen, a menedzserek feladata konkrétabb operatív tervek kidolgozása rövid távú elérendő eredmények mellett. Ezek a tervek részletesen előírják az üzleti folyamatok vagy tevékenységek eredményeinek megvalósítását és elérését.Az ISO 31000 nem tanúsítható szabvány, hasznos útmutatás a belső vagy külső ellenőrzési programok kidolgozásához és megvalósításához, valamint a menedzsment gyakorlatok értékeléséhez.