ISO 31000 - ISO 31000
ISO 31000 er en familie af standarder vedrørende risikostyring kodificeret af International Organization for Standardization . ISO 31000: 2018 indeholder principper og generiske retningslinjer for håndtering af risici, som organisationer står over for.
ISO 31000 søger at tilvejebringe et universelt anerkendt paradigme for praktiserende læger og virksomheder, der anvender risikostyringsprocesser til at erstatte utallige eksisterende standarder, metoder og paradigmer, der var forskellige mellem brancher, emner og regioner. Til dette formål kan anbefalingerne i ISO 31000 tilpasses enhver organisation og dens kontekst [1] .
Fra og med 2020 har ISO/TC 262, det udvalg, der er ansvarlig for denne familie af standarder, offentliggjort fem standarder, mens fire yderligere standarder er i forslaget/udviklingsfasen.
- ISO 31000: 2018 - Risikostyring - Retningslinjer
- ISO/TR 31004: 2013 - Risikostyring - Vejledning til implementering af ISO 31000
- IEC 31010: 2019 - Risikostyring - Risikovurderingsteknikker
- ISO 31022: 2020 - Risikostyring - Retningslinjer for håndtering af juridisk risiko
- IWA 31: 2020 - Risikostyring - Retningslinjer for brug af ISO 31000 i styringssystemer
Standarder under udvikling:
- ISO/AWI 31073 - Risikostyring - Ordforråd
- ISO/CD 31030 - Risikostyring - Håndtering af rejserisici - Vejledning til organisationer
- ISO/WD 31050 - Vejledning til håndtering af nye risici for at øge modstandsdygtigheden
- ISO/CD 31070 - Risikostyring - Retningslinjer for kernekoncepter
ISO designet også sin ISO 21500 Guidance on Project Management -standard, så den er i overensstemmelse med ISO 31000: 2018.
Introduktion
ISO 31000 blev offentliggjort som en standard den 13. november 2009 og indeholder en standard om implementering af risikostyring. En revideret og harmoniseret ISO/IEC Guide 73 blev udgivet på samme tid. Formålet med ISO 31000: 2009 er at være anvendeligt og tilpasseligt til "enhver offentlig, privat eller samfundsvirksomhed, forening, gruppe eller person." Følgelig er det generelle anvendelsesområde for ISO 31000 - som en familie af risikostyringsstandarder - ikke udviklet til en bestemt branchegruppe, et styringssystem eller et fagområde i tankerne, snarere for at levere struktur og vejledning til bedste praksis til alle operationer, der beskæftiger sig med risikostyring . Det begyndte processen med sin første revision den 13. maj 2015. Et udkast til international standard (DIS), som var åbent for offentlig kommentar, blev offentliggjort den 17. februar 2017. ISO 31000 er blevet kritiseret for mangel på soliditet og vildledende sprog .
En opdatering til ISO 31000 blev tilføjet i begyndelsen af 2018. Opdateringen er anderledes ved, at "ISO 31000: 2018 giver mere strategisk vejledning end ISO 31000: 2009 og lægger mere vægt på både inddragelse af topledelsen og integration af risikostyring i organisation."
Anvendelsesområde
ISO 31000: 2018 indeholder et sæt principper, retningslinjer for design, implementering af en ramme for risikostyring og anbefalinger til anvendelse af en risikostyringsproces. Risikostyringsprocessen som beskrevet i ISO 31000 kan anvendes på enhver aktivitet, herunder beslutningstagning på alle niveauer [2] .
Forskellen mellem vilkårene risikostyringsramme og risikostyringsproces er beskrevet af ISO som i følgende:
Risikostyringsramme - sæt af komponenter, der danner grundlaget for og organisatoriske arrangementer for at designe, implementere, vejlede, gennemgå og løbende forbedre risikostyring i hele organisationen.
Risikostyringsproces - systematisk anvendelse af ledelsespolitikker, procedurer og praksis på kommunikationsaktiviteter, rådgivning, etablering af konteksten og identifikation, analyse, evaluering, behandling, overvågning og revision af risiko [3] . Med andre ord, hvad ISO 31000 gør, er, at den formaliserer risikostyringspraksis, og denne tilgang er beregnet til at lette bredere vedtagelse af virksomheder, der kræver en virksomhedsrisikostyringsstandard, der rummer flere 'silosentriske' styringssystemer.
Omfanget af denne tilgang til risikostyring er at gøre det muligt for alle organisations strategiske, ledelsesmæssige og operationelle opgaver i hele projekter, funktioner og processer at blive tilpasset et fælles sæt risikostyringsmål.
Derfor er ISO 31000 beregnet til en bred interessentgruppe, der omfatter:
- interessenter på ledelsesniveau
- ansættelsesindehavere i virksomhedsrisikostyringsgruppen
- risikoanalytikere og ledelsesmedarbejdere
- linjeledere og projektledere
- overensstemmelse og interne revisorer
- uafhængige læger.
Definitioner
Et af de vigtigste paradigmeskift, der foreslås i ISO 31000, er en kontroversiel ændring i, hvordan risiko konceptualiseres og defineres. Under både ISO 31000: 2009 og ISO Guide 73 er definitionen af "risiko" ikke længere "chance eller sandsynlighed for tab", men "virkning af usikkerhed på mål" ... hvilket får ordet "risiko" til at henvise til positivt konsekvenser af usikkerhed, såvel som negative.
En lignende definition blev vedtaget i ISO 9001: 2015 (Quality Management System Standard), hvor risiko defineres som "virkning af usikkerhed". Derudover blev der indført et nyt risikorelateret krav, "risikobaseret tænkning".
Ligeledes blev der i ISO 31000 etableret en bred ny definition for interessenter, "Person eller personer, der kan påvirke, blive påvirket af eller opfatte sig selv påvirket af en beslutning eller aktivitet." Det er den ordret definition, der er givet til udtrykket "interesseret part" som defineret i ISO 9001: 2015.
Ramme tilgang
ISO 31000: 2009 er udviklet på grundlag af en eksisterende standard for risikostyring, AS/NZS 4360: 2004 (I form af AS/NZS ISO 31000: 2009). Mens den oprindelige Standard Australia -tilgang gav en proces, hvorved risikostyring kunne gennemføres, henvender ISO 31000: 2009 sig til hele det styringssystem, der understøtter design, implementering, vedligeholdelse og forbedring af risikostyringsprocesser.
Implementering
Hensigten med ISO 31000 skal anvendes inden for eksisterende styringssystemer for at formalisere og forbedre risikostyringsprocesser i modsætning til engros substitution af ældre ledelsespraksis. Ved implementering af ISO 31000 skal der efterfølgende lægges vægt på at integrere eksisterende risikostyringsprocesser i det nye paradigme, der behandles i standarden.
Fokus for mange ISO 31000 'harmoniseringsprogrammer' har været centreret om:
- Overførsel af ansvarlige huller i virksomhedens risikostyring
- Tilpasning af målene for styringsrammerne med ISO 31000
- Indlejring af rapporteringsmekanismer for styringssystemer
- Oprettelse af ensartede risikokriterier og evalueringsmetrik
Implikationer
Selvom vedtagelse af enhver ny standard kan have omlægning af eksisterende ledelsespraksis, er der ikke krav om overensstemmelse i denne standard. En detaljeret ramme beskrives for at sikre, at en organisation vil have "de fundamenter og arrangementer", der kræves for at integrere de nødvendige organisatoriske evner for at opretholde en vellykket risikostyringspraksis. Fonde omfatter risikostyringspolitik, mål og mandat og engagement fra topledelsen. Arrangementer inkluderer planer, relationer, ansvarlighed, ressourcer, processer og aktiviteter.
Derfor skal ledende stillingsholdere i en virksomheds risikostyringsorganisation være opmærksom på konsekvenserne for vedtagelse af standarden og være i stand til at udvikle effektive strategier til implementering af standarden og integrere den som en integreret del af alle organisatoriske processer, herunder forsyningskæder og kommercielle operationer. På områder, der vedrører risikostyring, der kan fungere ved hjælp af relativt usofistikerede risikostyringsprocesser, såsom sikkerhed og virksomheders sociale ansvar, vil der være behov for mere væsentlige ændringer, f.eks. At skabe en klart artikuleret risikostyringspolitik, formalisere risikoejerskabsprocesser, strukturere rammeprocesser og vedtagelse af løbende forbedringsprogrammer.
Visse aspekter af den øverste ledelses ansvarlighed, implementering af strategisk politik og effektive styringsrammer, herunder kommunikation og høring, vil kræve mere overvejelse fra organisationer, der har brugt tidligere risikostyringsmetoder, der ikke har specificeret sådanne krav.
Håndtering af risiko
ISO 31000 giver en liste over, hvordan man håndterer risici:
- Undgå risikoen ved at beslutte ikke at starte eller fortsætte med den aktivitet, der giver anledning til risikoen
- Acceptere eller øge risikoen for at forfølge en mulighed
- Fjernelse af risikokilden
- Ændrer sandsynligheden
- Ændring af konsekvenserne
- At dele risikoen med en eller flere andre parter (herunder kontrakter og risikofinansiering)
- Bevarelse af risikoen ved en informeret beslutning
Akkreditering
ISO 31000 er ikke udviklet med det formål at certificere. (2009)
Historie
| År | Beskrivelse | |
|---|---|---|
| 2009 | ISO 31000 (1. udgave) | |
| 2018 | ISO 31000 (2. udgave) |
Se også
- International katastrofe- og risikokonference
- ISO 9000
- ISO 14001
- ISO 19600
- ISO 28000
- PDCA
- Risiko
- Risikostyringsværktøjer
- Sikkerhedsrisiko
- ISO 55000
Referencer
eksterne links
- Standard International Organization for Standardization
- Standard AS/NZS ISO 31000: 2009 Risikostyring - Principper og retningslinjer
- Diskussion: LinkedIn diskussionsforum om ISO 31000: 2009 Risikostyring - Principper og retningslinjer
- Artikel ISO 31000: Guldstandarden, Alex Dali og Christopher Lajtha, Strategisk risiko, september 2009
- Artikel ISO 31000 -standard: et andet perspektiv på risiko- og risikostyring