Ванчо Апостолски: Систем за управување со ризици: ИСО 31000:2009

Преку овој стандард, компаниите можат полесно да ги постигнат целите за управување со ризици, да ги идентификуваат можностите или, пак, заканите и ефикасно да обезбедат ресурси за отстранување на ризиците.

Автор: Ванчо Апостолски, „ИСО Консалтинг", vanco@isoconsulting.mk

ИСО 31000:2009 претставува систем за управување со ризици, принципи и насоки. Основната причина поради која е создаден овој стандард е да обезбеди принципи, насоки и рамки преку кои ќе се управува со ризиците. Наменет е за сите организации, без разлика на нивната големина или дејност. Организациите преку него можат полесно да ги постигнат целите за управување со ризици, да ги идентификуваат можностите или, пак, заканите и ефикасно да обезбедат ресурси за отстранување на ризиците. Почетоците на управувањето со ризик во стандардизирана форма се јавуваат во Австралија и Нов Зеланд, кои го издаваат стандардот AS/NZS 4360 во 1994 година. Овој стандардe доброприфатен во Канада и Јапонија, од каде што потоа се шири и во остатокот од светот. Во 2004 година, ИСО почнува да работи на стандард за управување со ризици за да го објави по пет години, во 2009, стандардот: ISO 30001:2009 Risk management – Principles and guidelines.

ИСО 31000:2009 препознава дека организациите работат во свет со несигурности. Без разлика дали се вложуваат напори да се постигне одредена цел, секогаш постои можност да се случат нешта што нема да бидат според поставениот план. Секогаш има можност да не се постигне тоа што се очекувало. Секој чекор што го преземаме за постигнување одредена цел повлекува и одреден степен на несигурност. Според овој стандард, преку употреба на систематски пристап, може да се намали степенот на несигурност и управување со ризикот. Принципите врз кои почива ИСО 31000: 2009 се дизајнирани за да помогнат при управувањето со: процесите, активностите, проектите, програмите, производите или услугите.   

Главни принципи на системот за управување со ризици:

• мора да создава и да ги заштитува вредностите;
• мора да биде дел од сите процеси што се одвиваат во организацијата без разлика на нивото во на кое се изведуваат;
• мора да биде дел при донесувањето на одлуки;
• мора да биде дел при справувањето со несигурностите;
• мора да биде систематски и во определени временски рокови;
• мора да биде базиран врз најдобрите расположливи податоци;
• мора да биде во согласност со ризиците од околината во која дејствува организацијата;
• мора да го вклучува и човечкиот фактор;
• мора да биде транспарентен;
• мора да се одзива на настаните и да биде повторлив;
• мора да поддржува постојано подобрување.

• надворешниот (правни регулаторни и финансиски барања);
• внатрешниот (целите на организацијата, политиките,  стандардите и насоките кои организацијата ги прифатила),  и
• контекстот на процеси (целите на процесите, нивниот опсег, одговорностите, како и методите што ги користи за да го дефинира критериумот за ризик, овде влегуваат и мерките на толеранција и нивоата). 

При идентификација на ризиците, организациите треба да ги земат предвид следниве елементи: 

• процесите со кои тие управуваат;
• одредување на ризиците од настаните кои можат да се создадат, спречат, забрзаат или одложат при постигнувањето на целите;
• да се идентификуваат ризиците кои може да произлезат доколку не се следи одредена можност;
• организациите мора да направат анализа на ризикот, во која ќе се одредат природата и нивото на ризикот, земајќи ги предвид причините и изворите на ризикот, нивните позитивни или негативни последици, како и можноста кога тие би се појавиле. Анализата на ризикот вклучува и проценка на ризикот и ја дава основата за евалуација на ризикот;
• основната цел на евалуацијата на ризикот е да послужи како помошна алатка при донесувањето на одлуките, базирана врз излезните резултати од анализата на ризик. Понекогаш, евалуацијата на ризикот може да доведе до преземање дополнителна евалуација или, пак, да нѐ донесе до заклучок дека ризикот не треба да се третира поинаку од веќе одржаните и постојни контроли;
• третирањето на ризикот вклучува избирање на една или повеќе опции за справување со ризици, како и нивна имплементација.

Мерките што ќе се преземат при третирањето на ризикот не секогаш се исклучуваат една со друга. Мерките што можеме да ги преземеме се следниве:

• трансфер (споделување на ризикот со една или повеќе страни);
• избегнување (преку донесување одлука за да не се почне, или да се продолжи со активноста што го зголемува ризикот);
• ублажување (преку промена на можноста за појавување, или пак преку промена на последиците односно влијанието);
• прифаќање (прифаќање на ризикот преку донесување одлука и прифаќање и зголемување на ризикот поради одредена можност во иднина).

• Интегрален дел од процесот на управување со ризик се мониторингот и преиспитувањето. Овој дел од управувањето со ризик вклучува редовни проверки и надзор. Овие мерки се преземаат за да се осигураат ефективноста и ефикасноста на системот за управување со ризик. Служат и за да се детектираат промените во надворешниот и внатрешниот контекст. Покрај тоа, помагаат во процесите за анализа и постојаното подобрување, како и за полесно детектирање на новите ризици.