ISO 31000 PBSG

Zarządzanie Ryzykiem według normy ISO 31000 – najnowszy standard zarządzania ryzykiem opublikowany. Komentarz ekspertów PBSG.

13.11.2009 ISO opublikowało najnowszy standard dotyczący systemowego zarządzania ryzykiem. Do tej pory w żadnej normie ISO, w której mówiono o zarządzaniu ryzykiem nie było szczegółowych wytycznych opisujących ten proces. ISO 31000, bo o tej normie mowa, jest zbiorem zasad jakich należy się trzymać przy wdrażaniu procesu analizy ryzyka w organizacji. Norma określa ramy jakich należy się trzymać przy, jednocześnie wskazując, że każda analiza ryzyka, nie ważne, czy jest to analiza ryzyka dotycząca bezpieczeństwa informacji, ryzyka finansowego, czy innego obszaru, powinna trzymać się wytycznych nowej normy. Głównym celem ISO 31000 nie jest zamiana wymagań innych standardów, lecz  ujednolicenie w nich procesów zarządzania ryzykiem.

Norma wskazuje jedenaście zasad, dzięki którym w organizacji można zarządzać ryzykiem bardziej efektywnie. Odnoszą się one między innymi do integracji procesu zarządzania ryzykiem z innymi procesami, konieczności brania go pod uwagę przy podejmowaniu decyzji czy systematyczności jego działań.

W standardzie opisano metodykę do wdrożenia procesowego podejścia zarządzania ryzykiem, którą można implementować w każdej organizacji. Duży nacisk położony jest na zrozumienie i wyznaczenie otoczenia wewnętrznego i zewnętrznego. Organizacja powinna zdawać sobie sprawę z istoty otoczenia i jego wpływu. Należy pamiętać, że w dużej mierze to właśnie ono kształtuje ryzyka. W standardzie zawarto również wymagania dotyczące komunikacji i konsultacji wewnętrznej i zewnętrznej, które to powinny być prowadzone podczas całego procesu zarządzania ryzykiem. Organizacja musi dostosować strukturę zarządzania ryzykiem do własnych potrzeb. Należy określić obszar jaki ona obejmuje i odpowiedzialności związane z zarządzaniem ryzykiem. Standard zawiera wymagania dotyczące odpowiedzialności i uprawnień pracowników oraz kierownictwa.

Szczegółowe wymagania dotyczące analizy ryzyka opisują każdy jej etap, od identyfikacji ryzyk po ich szacowanie. Każdy z tych tematów został przez autorów wyczerpany, a wymagania są jasne i przejrzyste. Wskazano także informacje jakie powinny być brane pod uwagę podczas analizy ryzyka oraz co powinno być jej wynikiem.

Po zbudowaniu struktury oraz przeprowadzeniu analizy rozpoczyna się etap postępowania z ryzykiem. ISO 31000 daje pełen obraz, jak można działać na ryzyka nieakceptowane, co muszą zawierać plany postępowania oraz jak dokumentować podjęte działania. Jest to niezwykle ważne, gdyż do tej pory nie było konkretnych wymogów i wskazówek dotyczących oddziaływania na ryzyko.

Podejście nowej normy podobnie jak innych skierowane jest w stronę ciągłego doskonalenia PDCA. Dlatego też po etapie analizy ryzyka i rozpoczęciu postępowania, należy ryzyko monitorować i wyciągać wnioski. Niezwykle ważne jest aby wszelkie działania opisane w normie były zintegrowane z innymi procesami istniejącymi w organizacji. Zarządzanie ryzykiem nie może być procesem, który istnieje sam dla siebie i nie ma wpływu na cele ani działania. Wyniki analizy ryzyka i monitorowania ryzyk powinny być rzetelnie przeglądane i brane pod uwagę przy planowaniu działalności. Wszelkie decyzje związane z monitoringiem i przeglądem ryzyk organizacja powinna dokumentować i przechowywać.

W obecnej rzeczywistości wystąpienie nieprzewidzianych zdarzeń ma miejsce bardzo często. Dotyczą one każdego obszaru działalności firm produkcyjnych, usługowych, sektora bankowego, jednostek administracji publicznej oraz wielu innych. Skutki ryzyk praktycznie zawsze związane są ze stratami w wymiarze finansowym. Zdecydowanie bardziej szkodliwe dla organizacji mogą być jednak skutki jakościowe. Reputacja jest wszak najcenniejszym z zasobów na rynku. Zarządzanie ryzykiem jest dowodem na przejrzystość funkcjonowania organizacji, poznania szans i zagrożeń. Proces wdrożenia zarządzania ryzykiem może być długotrwały i skomplikowany. Norma ISO 31000 ułatwia jego implementację gdyż jako jedyna, skupia się wyłącznie na kwestii zarządzania ryzykiem . Dzięki wdrożeniu procesowego podejścia do zarządzania ryzykiem według nowego standardu organizacja jest w stanie przewidzieć zdarzenia mogące mieć negatywny wpływ na jej działalność, a co za tym idzie zmniejszyć straty.

Zapewne ten długo oczekiwany standard, który obecnie dostępny jest w wersji angielskiej, wprowadzi porządek w kwestii zarządzania ryzykiem. Należy pamiętać, że norma ta nie jest przeznaczona do celów certyfikacyjnych, pomimo tego każda organizacja posiadająca lub wdrażająca proces zarządzania ryzykiem powinna kierować się wytycznymi normy ISO 31000.

Eksperci PBSG od samego początku powstawania normy prowadzili szereg badań i ekspertyz związanych z możliwością implementacji wytycznych i wymagań normy ISO 31000 w kontekście istniejących dobrych praktyk w tym zakresie np. COSO II. W związku z tym Departament Zarządzania Ryzykiem uruchomił specjalistyczne szkolenia w zakresie interpretacji wymagań normy ISO 31000 oraz serię praktycznych warsztatów pozwalających na wdrożenie mechanizmów zarządzania i analizy ryzyka w oparciu o międzynarodowe wymagania. W przypadku zainteresowania katalogiem szkoleń wraz z ich opisem prosimy o kontakt mailowy lub telefoniczny: firma@pbsg.pl, (061) 8451511