ISO 31000 Risikostyring – Retningslinjer

Risiko er en nødvendig del av virksomheten, og i en verden hvor enorme mengder data behandles i stadig raskere takt, er det å identifisere og håndtere risikoer en utfordring for enhver organisasjon.

Vi lever i en stadig skiftende verden hvor vi er nødt til å håndtere usikkerhet. Hvordan organisasjonen takler denne usikkerheten, kan være avgjørende for om den lykkes med å nå målene sine eller ikke. Det er ikke rart at mange kontrakter og forsikringsavtaler stiller krav om risikostyring.

ISO 31000 gir veiledning om hvordan organisasjoner kan integrere risikobasert beslutningstaking i styring, planlegging, ledelse, rapportering, policy, verdier og kultur. Det er et åpent, prinsippbasert system, som betyr at det er mulig for organisasjonen å anvende prinsippene i standarden i forhold til egen kontekst.

Hvem er ISO 31000 for?

ISO 31000 kan brukes av alle organisasjoner, uavhengig av type, størrelse, aktivitet og lokalisering, og standarden er beregnet for alle typer risiko og kan brukes av alle som håndterer risiko, ikke bare de som er profesjonelle aktører innen risikostyringsfaget.

Hva er fordelene for virksomheten min?

ISO 31000 er et verktøy for organisasjoner som vil utvikle en strategi for risikostyring for å identifisere og begrense risikoer, og derved øke sannsynligheten for å nå mål og bedre beskyttelsen av anlegg og verdier. Det overordnede målet er å utvikle en risikostyringskultur der ansatte og interessenter er klar over viktigheten av å overvåke og håndtere risiko.

ISO 31000 hjelper også organisasjonen til å se både de positive mulighetene og negative konsekvensene forbundet med risiko, og således bli en mer informert beslutningstaker.  I tillegg kan standarden være et verktøy for å forbedre en organisasjons styring og, i siste instans, bedre resultatene.

Hvorfor er ISO 31000 revidert?

Alle ISO-standarder blir vurdert hvert femte år og deretter revidert om nødvendig. Dette bidrar til at standardene forblir relevante, nyttige verktøy for markedet. ISO 31000 ble revidert for å ta hensyn til markedsutviklingen og nye utfordringer som bedrifter og organisasjoner nå står overfor sammenlignet med da standarden ble utgitt første gang i 2009. Et eksempel på dette er økt kompleksitet i økonomiske systemer og framvekst av risikofaktorer som f.eks. digital valuta.

Hva er de viktigste forskjellene?

ISO 31000:2018 gir mer strategisk veiledning enn forgjengeren og legger større vekt på både involvering av toppledelsen og integrering av risikostyring i organisasjonen. Dette inkluderer anbefalingen om å utarbeide en erklæring eller policy som bekrefter forpliktelsen til risikostyring, tildeling av myndighet, ansvar og ansvarlighet på de rette nivåene i organisasjonen, og å sikre at det finnes nødvendige ressursene for å vurdere og håndtere risiko.

Den reviderte standarden anbefaler at risikostyring er en del av organisasjonens struktur, prosesser, mål, strategi og aktiviteter. Den legger større vekt på at det å skape og beskytte verdier er nøkkeldrivere for risikostyring, og understreker nødvendigheten av å ta hensyn til åtte prinsipper for risikostyring, bl.a. kontinuerlig forbedring, involvering av interesseparter, tilpasning til organisasjonens behov og å ta hensyn menneskelige og kulturelle faktorer.

Hovedmålet er å gjøre standarden klarere og enklere, ved å bruke vanlig språk for å forklare grunnleggende risikostyring på en måte som er forståelig for leseren. Terminologien er nå mer konsis og bare de viktigste termene og definisjonene er tatt med i dokumentet. For andre termer og definisjoner vises det til SN-ISO Guide 73, Risikostyring – Vokabular.

Arbeidet med en ny terminologistandard og en håndbok om implementering av ISO 31000 for å forbedre forståelsen og anvendeligheten til standarden, har nylig startet.

Hva med sertifisering?

ISO 31000 gir retningslinjer, ikke krav. Standarden er derfor ikke beregnet for sertifiseringsformål.

Hvordan kommer jeg i gang?

Vær oppmerksom på organisasjonens hovedmål. Det vil hjelpe deg å klargjøre målene og kravene til risikostyringssystemet.

Vurder organisasjonens nåværende styringsstruktur. Det vil sikre at du tildeler rette roller, ansvar og rapporteringsprosedyrer når det gjelder risiko.

Bestem ambisjonsnivå. Hvilke ressurser vil du kunne avsette for å implementere og vedlikeholde et risikostyringssystem.

Standardens innhold

ISO 31000 inneholder følgende kapitler:

  1. Omfang
  2. Normative referanser
  3. Termer og definisjoner
  4. Prinsipper
  5. Rammeverk
    Generelt
    Lederskap og forpliktelser
    Integrering
    Utforming
    Implementering
    Evaluering
    Forbedring
  6. Prosess
    Generelt
    Kommunikasjon og konsultering
    Omfang, kontekst og kriterier
    Risikovurdering
    Risikohåndtering
    Overvåking og gjennomgåelse
    Registrering og rapportering

Hvem har deltatt i utviklingen av ISO 31000?

ISO 31000 ble utviklet av ISOs tekniske komité for risikostyring, ISO / TC 262.

Andre standarder i i ISO 31000-serien er teknisk rapport ISO/TR 31004, Risikostyring - Veiledning for implementering av ISO 31000 og ISO/IEC 31010, Risikostyring - Risikovurderingsteknikker, utviklet i samarbeid med International Electrotechnical Commission (IEC). Denne standarden er under revisjon, ny utgave forventes utgitt i 2019.

Standard Norges komité SN/K 239 Risiko er nasjonal speilkomite for ISO/TC 262 og har gitt kommentarer til ISO 31000 i utarbeidelsesfasen.

Kontakt

Standard Norges prosjektleder Guri Kjørven kan kontaktes dersom du har spørsmål om standarden.

Sist oppdatert: 2019-05-07

NOK 1 103,00 (eks. mva)

Risikostyring - Retningslinjer

SpråkNorskUtgave: 1 (2018-04-01)

Produktinformasjon

Information Overvåk standarden
basket Skriv ut på papir basket Trykket og innbundet
Vis abonnementsmuligheter

NOK 779,00 (eks. mva)

Risikostyring - Retningslinjer

SpråkEngelskUtgave: 1 (2018-04-01)

Produktinformasjon

Information Overvåk standarden
basket Skriv ut på papir basket Trykket og innbundet
Vis abonnementsmuligheter