Когда слышишь слова «стандарт ISO» и «менеджмент риска», воображение рисует толстую папку со сложными регламентами, непонятными диаграммами, кучей бюрократии и совещаниями, на которых все засыпают.
На самом деле ISO 31000 — это не про бюрократию. Это про здравый смысл, который помогает организациям (и даже людям) принимать решения осознанно и избегать ненужных неприятностей.
На самом деле ISO 31000 — это не про бюрократию. Это про здравый смысл, который помогает организациям (и даже людям) принимать решения осознанно и избегать ненужных неприятностей.
Что такое ISO 31000 простыми словами
ISO 31000 — это международный стандарт, который рассказывает, как правильно подходить к рискам. Впервые опубликованный в 2009 году, он имеет основную цель – постоянное совершенствование управления рисками в организациях на основе общей модели, предназначенной для адаптации к широкому спектру рисков.
Стандарт не даёт «рецептов» вроде «если это случилось — делай так». Вместо этого он предлагает принципы и логику, чтобы каждая организация могла выстроить свою систему работы с рисками, подходящую именно ей.
Риск в контексте стандарта — это не только опасность, но и возможность. Например:
Структура ISO 31000 на данный момент состоит из:
Помимо упомянутых выше, существует также ISO 21500, в котором подробно описаны рекомендации по интеграции принципов управления проектами с ISO 31000 для управления рисками.
Стандарт не даёт «рецептов» вроде «если это случилось — делай так». Вместо этого он предлагает принципы и логику, чтобы каждая организация могла выстроить свою систему работы с рисками, подходящую именно ей.
Риск в контексте стандарта — это не только опасность, но и возможность. Например:
- Новый продукт может выстрелить (возможность), но может и провалиться (опасность).
- Инвестиция может принести прибыль (возможность), а может — убытки (опасность).
Структура ISO 31000 на данный момент состоит из:
- ISO 31000: 2018 (Принципы и рекомендации по внедрению)
- ISO / IEC 31010: 2009 (Методы оценки рисков)
- ISO Guide 73: 2009 (Словарь по управлению рисками)
Помимо упомянутых выше, существует также ISO 21500, в котором подробно описаны рекомендации по интеграции принципов управления проектами с ISO 31000 для управления рисками.
Зачем это нужно
Если вы думаете, что риск-менеджмент нужен только банкам или нефтяным корпорациям, то ошибаетесь.
ISO 31000 полезен:
ISO 31000 полезен:
- Компаниям — чтобы не терять деньги из-за “сюрпризов”.
- Госорганам — чтобы программы работали и не превращались в провал.
- Некоммерческим организациям — чтобы не растерять ресурсы.
Ключевые принципы ISO 31000
- Риск — часть любых решений
- Управление рисками — не отдельный процесс, а часть культуры
- Рассматриваем и угрозы, и возможности
- Системность и структура
- Адаптивность
Как ситема RiskControl реализует ISO 31000 на практике
ISO 31000 описывает не жесткий регламент, а цикл работы с рисками:
Цикл работы с рисками воплощается в бизнес-процессы организации по управлению рисками, как набор правил и процедур, ролевую модель участников процесса, последовательность действий и распределение зон ответственности. И как любые другие бизнес-процессы организации в современном мире, процессы управления рисками требуют автоматизации, поддержки бизнес-процесса со стороны информационной системы.
- Понять контекст — что за проект, где мы находимся, что на нас влияет.
- Выявить риски — что может пойти не так (или наоборот, слишком хорошо, чтобы быть правдой).
- Оценить риски — насколько это серьезно и вероятно.
- Решить, что делать — избежать, уменьшить, передать (например, застраховать) или принять.
- Следить и обновлять — риски меняются, нельзя всё бросить после первой оценки.
Цикл работы с рисками воплощается в бизнес-процессы организации по управлению рисками, как набор правил и процедур, ролевую модель участников процесса, последовательность действий и распределение зон ответственности. И как любые другие бизнес-процессы организации в современном мире, процессы управления рисками требуют автоматизации, поддержки бизнес-процесса со стороны информационной системы.
- Контекст – в RiskControl «контекст» выглядит как карточка объекта, в контексте которого мы управляем рисками. Состав атрибутов карточки структурировано описывает объект управления – Проект, Бизнес-процесс, Актив и его цели/метрики. А риски или возможности «связываются» с этим контекстом.
- Выявление рисков – совокупность выявленных и описанных рисков формирует реестр рисков, который объединяет риски всех тех «контекстов», для которых мы осуществляем деятельность по управлению рисками.
- Оценка – структурированная форма описания каждого риска предполагает часть с количественной и качественной оценкой, выраженной в баллах. На основе оценки рассчитывается значимость риска, что позволяет использовать матрицу рисков для определения наиболее приоритетных зон приложения усилий и ресурсов для управления рисками.
- Что делать – к риску привязываются «мероприятия» – структурированно описанные действия, которые мы определяем как целесообразные для митигации риска. Мероприятие как задача – имеет целевой срок, ответственного и ожидаемый эффект. Набор мероприятий по управлению риском формирует ПУР – план управления риском.
- Следить и обновлять – автоматизированный процесс, как цепочка из последовательных этапов действий по управлению риском предполагает цикл, в рамках которого мы периодически выполняем переоценку параметров рисков, эффектов исполненных мероприятий. Отражая изменения в карточке риска мы таким образом актуализируем его. А RiskControl сохраняет всю историю изменений для целей аналитики.
Вывод
Тот, кто управляет рисками грамотно, обычно тратит меньше нервов и ресурсов в кризис, потому что неприятности не становятся сюрпризом. ISO 31000 — это не «ещё один стандарт для галочки», а способ выстроить в компании культуру здравого смысла.
Если свести всё к одной фразе, то смысл такой:
Думай наперед, взвешивай последствия, используй возможности и будь готов к неожиданностям.
Если свести всё к одной фразе, то смысл такой:
Думай наперед, взвешивай последствия, используй возможности и будь готов к неожиданностям.
