Mada je ta norma u biti direktno proistekla iz nacionalne norme AS/NZ4360:2004, mnogo je uzbuđenja oko izlaska norme ISO 31000. Razlog je što ona donosi globalni koncenzus sadržan na 20-tak stranica teksta. Uključeni su u biti svi oblici rizika, kao npr. financijski, sigurnosni, zdravlje, okoliš, itd. Prema normi, rizik nije uvijek negativan – s negativnim posljedicama, nego se rizik promatra kao "efekt nesigurnosti u postizanju planiranih ciljeva."
Proces upravljanja rizicima
Norma ISO 31000 za upravljanje rizikom u biti predlaže i definira proces za upravljanje rizicima, a osnovna struktura procesa je prikana na slici. Taj proces je kompatibilan sa EHS (Environmental Health and Safety). Na primjer, definicija za higijenu rada iz American Industrial Hygiene Association (AIHA) uključuje "predviđanje, prepoznavanje, vrednovanje i kontrolu" od opasnosti okoliša koji mogu imati posljedice za zaposlenike. Iako se riječi koje koriste AIHA i ISO mogu razlikovati, njihov smisao ostaje isti. Na primjer, "obrada" prema ISO je ekvivalent 'kontrola' kod AIHA. Norma ISO 31000 je takođe potpuno sukladna i s normom ISO 27005:2008 koja je namijenjena za upravljanje rizicima u području informacijske sigurnosti (ISMS). Blok shema procesa za upravljanje rizicima kako se predlaže u normi ISO 31000 prikazana je na slici 1.
Slika 1. Proces upravljanja rizicima prema ISO 31000
Osnovni opis elemenata procesa za upravljanje rizicima prema slici 1 su:
Komunikacija i konzultacija: Komunikacija i konzultacija s internim i eksternim ulagačima – zainteresiranim stranama, kako je primjereno (tehnološki), na svakom stupnju procesa upravljanja rizikom i razmatranje procesa kao cjeline.
Utvrđivanje konteksta: Utvrđivanje eksternog, internog i konteksta upravljanja rizikom u kojem će se odvijati ostatak procesa. Treba utvrditi kriterije prema kojima će se procjenjivati rizik i definirati struktura analize.
Identifikacija rizika: Identifikacija gdje, kada, zašto i kako bi događaji mogli spriječiti, umanjiti, odložiti ili povećati postizanje ciljeva.
Analiza rizika: Identifikacija i procjena postojećih kontrola. Određivanje posljedica i vjerojatnosti i zatim razine rizika. Ova analiza treba razmotriti područje potencijalnih posljedica i kako bi se one mogle pojaviti.
Procjena rizika: Usporedba procijenjenih razina rizika s prethodno utvrđenim kriterijima i razmatranje ravnoteže između potencijalnih koristi i nepovoljnih rezultata. To omogućuje donošenje odluka o opsegu i prirodi potrebnih obrada i o prioritetima.
Obrada rizika: Izrada i primjena specifičnih troškovno učinkovitih strategija i akcijskih planova za povećanje potencijalnih koristi i smanjenje potencijalnih troškova.
Praćenje i preispitivanje: Neophodno je pratiti učinkovitost svih koraka procesa upravljanja rizikom. To je važno za neprekidno poboljšavanje. Potrebno je pratiti rizike i učinkovitost mjera obrade kako bi se osiguralo da promjena uvjeta ne mijenja prioritete.
Kao i s ostalim ISO normama, prvi će primjenu ove norme napraviti napredne organizacije, posebno one koje prema prirodi posla rade u uvjetima povećanog rizika obavljanja svojih aktivnosti. Takve organizacije su i do sada koristile na neki način barem neki oblik procjene rizika. Uz pomoć ove norme se dobiva kompletno okruženje za proces upravljanja rizicima i realna osnova za kontinuirano poboljšanje uvjeta rada organizacije u smislu nesigurnosti. ISO 31000 navodi da je upravljanje rizicima treba (čitaj MORA) sadržavati sljedeće principe:
- učešće u stvaranju viška vrijednosti vrijednosti,
- sastavni dio ostalih poslovnih procesa procesa,
- učešće u donošenja odluka,
- izričito adresira nesigurnosti;
- sustavnost, strukturiranost i pravovremenost,
- organizira i provodi na temelju najbolje dostupne informacije,
- prilagođen potrebama organizacije i djelatnosti gdje se koristi
- uzimanje ljudskih i kulturnih elemenata u obzir,
- transparentnost i inkluzivnost
- dinamičnost, iterativnost i odgovore na promjene, i,
- omogućavanje stalnog unapređenja i poboljšanja organizacije.
U koliko cjelokupni sustav upravljanja rizicima eksplicitno ne podržava navedene principe, onda on nema svrhe i koristi za organizaciju.
Okvir upravljanja rizicima
Okvir za upravljanje rizikom prema ISO 31000 je jednostavan. Jednom kada su uspostavljene metodologija i obveze stvara se petlja koja uključuje:
- dizajn okvira,
- provođenje upravljanja rizikom,
- nadzor i pregled okvira, i
- stalno poboljšanje okvira.
Ovo direktno upućuje na PDCA krug za upravljanje poslovnim procesima kako je navedeno u temeljnoj normi za upravljanje sustavima kvalitete ISO9001.
Treba li koristiti ISO 31000?
U svakoj organizaciji postoji niz profesionalnih ciljeva. Nesigurnosti koje mogu utjecati na realizaciju tih ciljeva imaju svoje rizike. Treba imati na umu: "Neiskorištenje poslovnih prilika" je rizik koji se prema ISO 31000 također treba identificirati. Zato treba stalno postavljati pitanje: postoje li pojedinačne mogućnosti koje niste identificirali, analizirali i vrednovali?
Često puta se dešava da poslodavac ne osjeća potrebu za primjenom, ili sporo uvodi, načela i smjernice potrebne za provedbu upravljanja rizikom u skladu s ISO 31000. To je realnost. Međutim, ne znači da ne koristi neke pojedinačne elemente upravljanja rizicima za planiranje i provođenje svoji poslovnih ciljeva. Ako se pročita ISO 31000 s ovim na umu, postaje lakše shvatiti njegovu primjenu i vrijednost.
Neke od prednosti primjene upravljanja rizicima se mogu opisati kroz slijedeće efekte: poboljšava se ugled, bolja strateška svijest, definiranje vlasništva nad rizičnom imovinom, manja nepovoljna medijska pokrivenost, bolja kontrola utjecaja promjene, pomoć pri promjeni poslovne kulture, viši nivo transparentnosti odluka, omogućuje se bolje poslovno planiranje, olakšava se analiza osjetljivosti, bolja korporativna svijest, bolji prijenos informacija, izbjegavanje zbunjujućih sustavnih grešaka, poboljšava se razumijevanje ranjivosti, povećavanje šansi da će se ciljevi ostvariti, formalna dokumentacija rizika, bolje upravljanje financijskim rizikom, smanjivanje nadzora, poboljšava se poštenost, redoviti pregled i monitoring, poboljšana sigurnost, poboljšava se pružanje usluga, bolje projektiranje, manje birokracije, smanjuju se iznenađenja, bolje planiranje kontinuiteta poslovanja, minimizacija troškova osiguranja, itd.
No, razmatranje prednosti nebi imalo smisla ako to nije moguće na neki način mjeriti. Evo nekoliko primjera kako se mjerenjem može iskazati prednost upravljanja rizicima: manje otpada, štednja na osiguranju, smanjenje potraživanja i ostalih (neplaniranih) troškova, smanjenje troškove vanjske revizije, realizacija projekata uz zadovoljavanje cilja – manje penala i troškova, smanjenje pritužbi, manje izostajanje, smanjenje stresa, bolji ugovor o cijenama i sl., bolje anketa o zadovoljstvu, manje nepovoljnih novinskih članaka, bolje potkrepljena korporacijska izjava o upravljanju, smanjenje prijevara, poboljšanje korporativne politike, manje katastrofa i iznenađenja, smanjenje troškova u nepredviđena sredstva, bolje generiranje prihoda, bolje upravljanje projektom, itd.
Zaključak
Iz gore navedenog može se lako zaključiti da upravljanje rizicima predstavlja izuzetno važan dio u cjelokupnom upravljanju organizacijom i njenim aktivnostima. Praktički ne postoji ni jedna organizacija koja ne koristi u nekom obliku procjene rizika, mada često puta nisu ni svjesne toga. ISO 31000 pruža mogućnost da se definira princip upravljanja rizicima, odnosno poslovni proces za to sa svim elementima sustavnosti i dokumentiranosti. Izuzetna vrijednost norme ISO 31000 je u tome da ona predstavlja u biti sveopći koncenzus u svijetu u smislu primjenljivoti. Niz godina već se praktički ta norma primjenjivala u ogromnom broju, ali kroz formu nacionalne norme AS/NZ 4360:2004. Pored toga, norma ISO 31000 je harmonizirana s ostalim ISO normama, kao što su npr. ISO 9001, ISO 14001, ISO 27001, ISO 20000, ISO 22000, itd. To samo znači da pruža relativno jednostavnu mogućnost integracije u IMS (Integrated Management System).