Risikostyring – ISO 31000
Risiko er en nødvendig del av virksomheten, og i en verden hvor enorme mengder data behandles i stadig raskere takt, er det å identifisere og håndtere risikoer en utfordring for enhver organisasjon.
Vi lever i en stadig skiftende verden hvor vi er nødt til å håndtere usikkerhet. Hvordan organisasjonen takler denne usikkerheten, kan være avgjørende for om den lykkes med å nå målene sine eller ikke. Det er mange kontrakter og forsikringsavtaler som stiller krav om risikostyring.
ISO 31000 gir veiledning om hvordan organisasjoner kan integrere risikobasert beslutningstaking i styring, planlegging, ledelse, rapportering, policy, verdier og kultur. Det er et åpent, prinsippbasert system, som betyr at det er mulig for organisasjonen å anvende prinsippene i standarden til egen kontekst.
Hvem er ISO 31000 for?
ISO 31000 kan brukes av alle organisasjoner, uavhengig av type, størrelse, aktivitet og lokalisering, og standarden er beregnet for alle typer risiko og kan brukes av alle som håndterer risiko, ikke bare de som er profesjonelle aktører innen risikostyringsfaget.
Hva er fordelene for virksomheten min?
ISO 31000 er et verktøy for organisasjoner som vil utvikle en strategi for risikostyring for å identifisere og begrense risikoer, og derved øke sannsynligheten for å nå mål og bedre beskyttelsen av anlegg og verdier. Det overordnede målet er å utvikle en risikostyringskultur der ansatte og interessenter er klar over viktigheten av å overvåke og håndtere risiko.
ISO 31000 hjelper også organisasjonen til å se både de positive mulighetene og negative konsekvensene forbundet med risiko, og således bli en mer informert beslutningstaker. I tillegg kan standarden være et verktøy for å forbedre en organisasjons styring og, i siste instans, bedre resultatene.
Hvorfor ble ISO 31000 revidert i 2018?
Alle ISO-standarder blir vurdert hvert femte år og deretter revidert om nødvendig. Dette bidrar til at standardene forblir relevante, nyttige verktøy for markedet. ISO 31000 ble revidert for å ta hensyn til markedsutviklingen og nye utfordringer som bedrifter og organisasjoner nå står overfor sammenlignet med da standarden ble utgitt første gang i 2009. Et eksempel på dette er økt kompleksitet i økonomiske systemer og framvekst av risikofaktorer som f.eks. digital valuta.
Hva er de viktigste forskjellene?
ISO 31000:2018 gir mer strategisk veiledning enn forgjengeren og legger større vekt på både involvering av toppledelsen og integrering av risikostyring i organisasjonen. Dette inkluderer anbefalingen om å utarbeide en erklæring eller policy som bekrefter forpliktelsen til risikostyring, tildeling av myndighet, ansvar og ansvarlighet på de rette nivåene i organisasjonen, og å sikre at det finnes nødvendige ressursene for å vurdere og håndtere risiko.
Den reviderte standarden anbefaler at risikostyring er en del av organisasjonens struktur, prosesser, mål, strategi og aktiviteter. Den legger større vekt på at det å skape og beskytte verdier er nøkkeldrivere for risikostyring, og understreker nødvendigheten av å ta hensyn til åtte prinsipper for risikostyring, bl.a. kontinuerlig forbedring, involvering av interesseparter, tilpasning til organisasjonens behov og å ta hensyn menneskelige og kulturelle faktorer.
Hovedmålet er å gjøre standarden klarere og enklere, ved å bruke vanlig språk for å forklare grunnleggende risikostyring på en måte som er forståelig for leseren. Terminologien er nå mer konsis og bare de viktigste termene og definisjonene er tatt med i dokumentet. For andre termer og definisjoner vises det til SN-ISO Guide 73, Risikostyring – Vokabular.
Hva med sertifisering?
ISO 31000 gir retningslinjer, ikke krav. Standarden er derfor ikke beregnet for sertifiseringsformål.
Hvordan kommer jeg i gang?
Vær oppmerksom på organisasjonens hovedmål. Det vil hjelpe deg å klargjøre målene og kravene til risikostyringssystemet.
Vurder organisasjonens nåværende styringsstruktur. Det vil sikre at du tildeler rette roller, ansvar og rapporteringsprosedyrer når det gjelder risiko.
Bestem ambisjonsnivå. Hvilke ressurser vil du kunne avsette for å implementere og vedlikeholde et risikostyringssystem.
Hvem har deltatt i utviklingen av ISO 31000?
ISO 31000 ble utviklet av ISOs tekniske komité for risikostyring, ISO / TC 262.
Andre standarder i i ISO 31000-serien er teknisk rapport ISO/TR 31004, Risikostyring - Veiledning for implementering av ISO 31000 og ISO/IEC 31010, Risikostyring - Risikovurderingsteknikker, utviklet i samarbeid med International Electrotechnical Commission (IEC). Denne standarden er under revisjon, ny utgave forventes utgitt i 2019.
Standard Norges komité SN/K 239 Risiko er nasjonal speilkomite for ISO/TC 262 og har gitt kommentarer til ISO 31000 i utarbeidelsesfasen.
Kontakt
Standard Norge kan kontaktes på info@standard.no dersom du har spørsmål om standarden.