ISO 31000

ISO 31000


ISO 31000 — семейство стандартов, касающихся риск-ориентированного управления организацией. Семейство стандартов ISO 31000 было разработано Техническим комитетом № 262 «Менеджмент риска» Международной организации по стандартизации (ISO). В феврале 2018 года вышла новая версия стандарта. Представленное второе издание стандарта отменяет и вводится взамен технически пересмотренного первого издания (ISO 31000:2009).

Российским аналогом ISO 31000 является ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство».

В настоящее время семейство стандартов 31000 включает:

  • ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство»;
  • ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска»;
  • ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения».

Одним из ключевых изменений, предложенных ранее в ГОСТ Р ИСО 31000-2010, была концептуализация понятия риска. В соответствии с ГОСТ термин «риск» означает не «шанс или вероятность потерь», а «влияние неопределенности на цели» таким образом слово «риск» применяется для обозначения как позитивных, так и негативных событий. Влияние — это отклонение от того, что ожидается. Оно может быть положительным и/или отрицательным, и может способствовать реализации возможностей и устранению угроз, создавать или приводить к возникновению возможностей и угроз. Цели могут иметь различные аспекты и категории и могут применяться на различных уровнях. Риск обычно определяется в терминах источников риска, потенциальных событий, последствий этих событий и их вероятности. Менеджмент риска — скоординированные действия по управлению организацией с учетом риска.

Принципы управления рисками

Целью риск-менеджмента является создание и защита стоимости. Риск-менеджмент улучшает производительность, стимулирует инновации и способствует достижению целей. Согласно ISO 31000:2018 организация с эффективным риск-менеджментом должна следовать следующим принципам:

  • интегрированный — риск-менеджмент является неотъемлемой частью деятельности организации;
  • структурированный и всеобъемлющий — структурированный и комплексный подход к риск-менеджменту приводит к согласующимся и сопоставимым результатам;
  • адаптируемый — структура и процесс риск-менеджмента соотносятся и настраиваются с учетом внешнего и внутреннего контекста организации, связанного с ее задачами;
  • инклюзивный — соответствующее и своевременное вовлечение заинтересованных сторон позволяет учитывать их знания, взгляды и мнения. Это приводит к повышению осведомленности и обоснованности риск-менеджмента;
  • динамичный — риски могут возникать, меняться или исчезать по мере изменения внешнего и внутреннего контекста организации. Риск-менеджмент предвосхищает, обнаруживает, признает и реагирует на эти изменения и события соответствующим образом и своевременно;
  • основанный на наилучшей доступной информации — в качестве входных данных для процесса риск-менеджмента применяются исторические и фактические данные, а также прогнозные ожидания. Риск-менеджмент явно учитывает любые ограничения и неопределенности, связанные с имеющимися данными и ожиданиями. Используемая информация должна быть актуальной, ясной и доступной для заинтересованных сторон;
  • учитывающий человеческие и культурные факторы — человеческое поведение и культура существенно влияют на все аспекты риск-менеджмента на каждом уровне и этапе;
  • постоянно улучшаемый — риск-менеджмент постоянно совершенствуется благодаря обучению и накоплению опыта.