ISO 31000 označuje skupinu standardů řízení rizik kodifikovanou Mezinárodní organizací pro normalizaci . Cílem normy ISO 31000 je poskytnout zásady a pokyny pro řízení rizik a implementační procesy na strategické a provozní úrovni. Jeho cílem není podporovat standardizaci řízení rizik v organizacích, ale spíše harmonizovat nesčetné množství existujících přístupů, standardů a metodik v oblasti řízení rizik.
V současné době zahrnuje rodina ISO 31000:
V listopadu 2009 byl publikován mezinárodní standard řízení rizik ISO 31000, který byl rychle převeden do francouzského standardu agenturou AFNOR pod referencí NF ISO 31000: 2018. Tato norma navrhuje zásady a pokyny pro řízení rizik a pro zavádění implementačních procesů na strategické a provozní úrovni.
Cílem normy ISO 31000: 2018 je aplikovat a přizpůsobit se „jakékoli veřejné, jakékoli veřejné nebo soukromé společnosti, jakékoli komunitě, jakékoli asociaci, jakékoli skupině nebo jednotlivci. "
Nejde o standardizaci postupů, ani o vytvoření paralelního systému řízení. Naopak, standard ISO 31000, i když nabízí jediné úložiště, je přizpůsobivý a flexibilní.
Navrhovaný přístup spočívá ve formalizaci postupů řízení rizik a zároveň umožňuje společnostem zřídit rámec ERM ( řízení podnikových rizik ) , čímž se zabrání přístupu k řízení rizik „sily“.
Nová definice opouští vizi inženýra ( „riziko je kombinací pravděpodobnosti události a jejího následku“ ) vztahovat rizika k cílům organizace: „Riziko je účinek nejistoty na dosažení cílů. "
Evropské středisko pro normalizaci vypracovalo přibližně 60 norem souvisejících se slovem „riziko“. Jedná se o „neshodu“ z hlediska kvality, „znečištění“ životního prostředí, „poruchu“ zařízení, „intoxikaci“ nebo „újmu na zdraví“. Z hlediska osobní bezpečnosti, ale také „ návratnost “ve financích nebo„ příležitost “pro obchodního manažera. Proto byla současně provedena revize „Příručky ISO 73 - Slovník řízení rizik“, aby se usnadnily diskuse mezi odborníky na rizika a všemi sektory dohromady.
1 - Řízení rizik vytváří hodnotu a zachovává ji .
Řízení rizik hmatatelně přispívá k dosahování cílů a zlepšování výkonnosti organizace prostřednictvím kontroly jejího systému řízení a procesů.2 - Řízení rizik je integrováno do organizačních procesů .
Řízení rizik musí být integrováno do stávajícího systému řízení na strategické i provozní úrovni.3 - Řízení rizik je integrováno do rozhodovacího procesu .
Řízení rizik je pomůckou při rozhodování, aby bylo možné učinit rozumná rozhodnutí, definovat priority a vybrat nejvhodnější opatření4 - Řízení rizik se výslovně zabývá nejistotou .
Identifikací potenciálních rizik může organizace zavést nástroje pro snižování a financování rizik s cílem maximalizovat šance na úspěch a minimalizovat možnosti ztrát.5 - Řízení rizik je systematické, strukturované a používané včas .
Procesy řízení rizik by měly být v celé organizaci konzistentní, aby byla zajištěna účinnost, relevance, konzistence a spolehlivost výsledků.6 - Řízení rizik je založeno na nejlepších dostupných informacích .
Pro efektivní řízení rizik je důležité zvážit a porozumět všem dostupným a relevantním informacím pro danou činnost a zároveň si uvědomit omezení použitých dat a modelů.7 - Řízení rizik je přizpůsobeno .
Řízení rizik organizace musí být přizpůsobeno podle dostupných zdrojů - personálních, finančních a časových zdrojů - a také podle jejího interního a externího prostředí.8 - Řízení rizik integruje lidské a kulturní faktory .
Řízení rizik musí uznat příspěvek lidí a kulturních faktorů k dosažení cílů organizace.9 - Řízení rizik je transparentní a participativní .
Zapojením zúčastněných stran, interních i externích, do procesů řízení rizik, organizace uznává důležitost komunikace a konzultací během fází identifikace, hodnocení a léčby rizik.10 - Řízení rizik je dynamické, iterativní a reaguje na změny .
Řízení rizik musí být flexibilní. Konkurenční prostředí nutí organizaci přizpůsobit se vnitřnímu a vnějšímu kontextu, zejména když se objeví nová rizika, když se některá rizika změní, zatímco jiná zmizí.11 - Řízení rizik usnadňuje neustálé zlepšování organizace .
Organizace se vyspělostí v oblasti řízení rizik jsou ty, které dlouhodobě investují a prokazují pravidelné plnění svých cílů.Standard je strukturován do tří částí, a to na principy, organizační rámec a proces řízení (viz diagram):
Norma navrhuje přístup k vývoji rámce umožňujícího společnostem integrovat řízení rizik. Vstupním bodem je sladit cíle organizace, politiku řízení rizik a právní a smluvní odpovědnost. Rámec řízení rizik musí být integrován do rozhodovacích a organizačních procesů všech činností společnosti, přičemž se musí starat o vnitřní a vnější kontexty, odpovědnosti každého z nich a zdroje dostupné na strategické a provozní úrovni.
1 - Strategické cíle
Generální vedení a jeho výkonný výbor jsou odpovědní za strategická rozhodnutí společnosti. Tento přístup, obecně dlouhodobý, popisuje jeho vizi řízení rizik a celkové cíle, kterých má být dosaženo.2 - Operativní cíle
Vyšší vedoucí pracovníci jsou obvykle zodpovědní za nasazení širokých strategických cílů do organizačních plánů k dosažení výsledků. Plány vypracované na této úrovni pro každou obchodní jednotku definují výsledky, kterých má být dosaženo.3 - Cíle produkce
Podobně mají manažeři odpovědnost za vypracování konkrétnějších operačních plánů s dosažením krátkodobých výsledků. Tyto plány podrobně předepisují, jak budou výsledky obchodních procesů nebo činností implementovány a dosaženy.ISO 31000 není certifikovatelná norma; je užitečným návodem pro vývoj a implementaci programů interního nebo externího auditu, jakož i pro hodnocení postupů řízení.