Celem zarządzania ryzykiem korporacyjnym nie jest budowanie awersji do ryzyka. Organizacje rozumiejące i wykorzystujące ryzyko, mogą bezpiecznie przełknąć go więcej, niż pozostałe firmy z branży.
Kategorie: Wszystkie | Koncepcje | Polemika | Rynek
RSS
czwartek, 02 sierpnia 2012
ISO 31004 Przewodnik wdrażania zarządzania ryzykiem

Kilka dni temu otrzymałem wstepną wersję normy ISO 31004, która jest pomyślana jako przewodnik do normy 31000, mający pomóc w jej implementacji w spółkach, gdzie zarządzanie ryzykiem się jeszcze nie dzieje, lub w ujednoliceniu dotychczasowego "wyspowego" podejścia do zarządzania ryzykiem lub do przejścia np. z mocno już leciwego COSO II na nowy i lśniący ISO 31000.

Dokument jest jednym z najobszerniejszych w swojej klasie, jakie są dostępne na rynku - ma 120 stron. Ale też jest to bardziej książka i przewodnik niż sucha norma, można się z tego dokumentu sporo nauczyć. U dołu tego wpisu podaję spis treści, gdyż na tym etapie obawiam się, że restrykcje związane z prawami autorskimi i regulacjami ISO nie pozwalają na więcej. 

Pokrzepiające jest to, że już w takiej formie (która pewnie będzie jeszcze ewoluować) jest to dokument satysfakcjonujący i rzetelnie przygotowany. Składa się z części głównej, ogólnej i kilkunastu technicznych załączników poświęconych konkretnym aspektom dyscypliny zarządzania ryzykiem. Oprócz "oklepanych" już narzędzi jak HAZOP lub FMEA wspomina się tam równiez o metodzie BowTie. Miałem oczywiście kilkanaście uwag, ale najistotniejsza z nich dotyczy braku konkretnej, jednoznacznej propozycji jak pogodzić rózne definicje ryzyka jakimi posługuje się np. bezpieczeństwo informacji, BHP i zarządzanie ryzykiem korporacyjnym.

ISO 31004

Ostatni aneks (K) adresowany jest do regulatorów - przydałoby się, aby twórcy regulacji dotyczących kontroli zarządczej i zarządzania ryzykiem w sektorze finansów publicznych pochylili się nad ISO 31004 ...

Jeszcze przez 5 dni (do 6 sierpnia) można komentować projekt, a swoje uwagi przesyłać bezpośrednio do Julii Graham, wiceprezydenta FERMA i członka Risk Management Steering Group w AIRMIC ./julia.graham@dlapiper.com/

Wasz w ryzyku,
R

Contents

0.1 Purpose of this International Standard 
0.2 Underlying concepts 
0.3 Audiences 
1 Scope 
2 Normative references
3 Implementing ISO 31000
3.1 General 
3.2 Detailed advice on aspects of ISO 31000
3.3 How to change to ISO 31000
3.4 Transition process
3.4.1 General 
3.4.2 Step 1: Establish clear intent for the change
3.4.3 Step 2: Appreciate the characteristics of the organization to be taken into account in making changes to its existing risk management framework
3.4.4 Step 3: Evaluate existing approaches for managing risk 
3.4.5 Step 4: Develop or amend internal standards
3.4.6 Step 5: Prepare the plan 
3.4.7 Step 6: Implement the plan
3.4.8 Step 7: Periodic review of progress, suitability and effectiveness
3.5 Continual Improvement4 Relationship between this International Standard and ISO 31000:2009

Annex A (informative) How to give effect to the principles
A.1 General 
A.2 The principles 
A.2.1 (a) Risk management creates and protects value
A.2.2 (b) Risk management is an integral part of all organizational processes
A.2.3 (c) Risk management is part of decision making
A.2.4 (d) Risk management explicitly addresses uncertainty
A.2.5 (e) Risk management is systematic, structured and timely
A.2.6 (f) Risk management is based on the best available information
A.2.7 (g) Risk management is tailored
A.2.8 (h) Risk management takes human and cultural factors into account
A.2.9 (i) Risk management is transparent and inclusive
A.2.10 (j) Risk management is dynamic, iterative and responsive to change
A.2.11 (k) Risk management facilitates continual improvement of the organization

Annex B (informative) How to express mandate and commitment (including defining risk management policy)
B.1 General 
B.2 Methods for expressing mandate and commitment
B.2.1 Required characteristics
B.2.2 Useful methods
B.2.3 Framework considerations
B.3 Tips and Examples
B.3.1 Example of risk management policy announcement — small organization
B.3.2 Example of policy statement — large organization — set by directors
B.3.3 Example of policy statement — large organization — set by the CEO
B.3.4 Example of policy for managing risk – Government department – set by chief executive
B.3.5 Tips

Annex C (informative) How to ensure that the framework remains current
C.1 General
C.2 Methods
C.2.1 Assess implementation
C.2.2 Assess if the characteristics and context of the organization have changed
C.2.3 Monitoring of implementation
C.2.4 Monitoring against performance indicators
C.2.5 Acting to improve the framework
C.3 Examples of how internal or external changes can require adjustment of the framework

Annex D (informative) How to establish the context (including defining risk criteria)
D.1 General
D.2 Methods for establishing the context 
D.2.1 How to articulate objectives 
D.2.2 How to articulate the external and internal environment 
D.2.3 How to identify stakeholders and their objectives
D.2.4 Articulating the context of the risk management process 
D.2.5 Defining risk criteria 
D.2.6 The statement of context
D.3 Illustrative examples

Annex E (informative) How to make risk assessment effective
E.1 Risk assessment
E.1.1 General
E.1.2 Method 
E.1.3 Implementation considerations
E.2 Risk identification 
E.2.1 General
E.2.2 Method 
E.2.3 Implementation considerations
E.3 Risk analysis 
E.3.1 General
E.3.2 Method 
E.3.3 Implementation considerations
E.4 Control effectiveness
E.5 Consequence analysis
E.6 Likelihood analysis
E.7 Risk evaluation
E.7.1 General
E.7.2 Method
E.7.3 Implementation considerations

Annex F (informative) How to consider uncertainties around risk treatments and controls
F.1 General
F.2 Methods for considering uncertainty
F.2.1 Recognising how uncertainty arises 
F.2.2 Taking uncertainty into account 
F.3 Framework considerations 
F.4 Tools to assist consideration of uncertainty

Annex G (informative) How to monitor and review the risk management framework and process
G.1 General
G.2 Method
G.2.1 Monitoring and reviewing the framework 
G.2.2 Monitoring and reviewing the process
G.3 Framework considerations
G.3.1 General
G.3.2 Independent audit
G.4 Process considerations

Annex H (informative) Effectively communicating and consulting with stakeholders
H.1 General
H.2 Method
H.3 Framework and implementation considerations
H.4 Examples and applications

Annex I (informative) How to use ISO 31000:2009, Annex A, to maintain and improve risk management effectiveness
I.1 General 
I.2 Methods for using Annex A to maintain and improve performance 
I.2.1 General 
I.2.2 Outcome tests
I.2.3 Attributes tests 
I.3 Framework considerations

Annex J (informative) How to harmonize risk management processes in other standards with ISO 31000:2009 
J.1 Background
J.1.1 General 
J.1.2 Benefits of harmonization
J.1.3 Types of standards that include risk management processes
J.2 Method for achieving the harmonization role of ISO 31000
J.2.1 General
J.2.2 Specific challenges
J.2.3 Guidance 
J.3 Framework considerations
J.4 Particular tools 
J.4.1 Useful “filtering” tools

Annex K (informative) How to apply ISO 31000 to legislating and to regulatory activity
K.1 General 
K.1.1 Purpose 
K.1.2 Expected benefits
K.2 Method 
K.2.1 Giving effect to ISO 31000 principles 
K.2.2 Enhancing the risk management framework
K.2.3 Applying the risk management process
K.2.3.1 General guidance on aspects of applying the risk management process 
K.3 Implications for framework 
K.4 Other information 
K.4.1 Advisory organizations 
K.4.2 Proportionality 

Annex L (informative) Frequently asked questions

00:39, rudnicki.com.pl , Polemika
Link Komentarze (2) »
Creative Commons License
Rudnicki

View Rafał Rudnicki's profile on LinkedIn