ISO 31000 ialah sebuah keluarga piawaian yang berkaitan dengan pengurusan risiko yang dikodkan oleh Organisasi Antarabangsa untuk Standardisasi. ISO 31000:2018 menyediakan prinsip dan garis panduan mengenai pengurusan risiko yang mungkin negatif dihadapi oleh organisasi kerana ini boleh membawa akibat dari segi prestasi ekonomi dan reputasi profesional.
ISO 31000 bertujuan untuk menyediakan paradigma yang diiktiraf secara universal untuk pengamal dan syarikat yang menggunakan proses pengurusan risiko untuk menggantikan pelbagai piawaian, metodologi dan paradigma sedia ada yang berbeza antara industri, perkara dan wilayah. Untuk tujuan ini, pengesyoran yang termaktub dalam ISO 31000 boleh disesuaikan dengan mana-mana organisasi mengikut konteksyang mereka mahukan.[1] .
Sehingga tahun 2020, ISO/TC 262, jawatankuasa yang bertanggungjawab untuk menyemak keluarga standard ini, telah menerbitkan lima buah piawai, manakala empat piawai tambahan sedang dalam peringkat cadangan/pembangunan.
Piawaian dalam pembangunan:
ISO juga mereka bentuk Standard ISO 21500 Guidance on Project Management agar sejajar dengan pelaksanaan ISO 31000:2018. [1]
ISO 31000 telah diterbitkan sebagai sebuah piawai pada 13 November 2009, dan menyediakan piawaian mengenai pelaksanaan pengurusan risiko. Panduan ISO/IEC 73 yang disemak dan diselaraskan telah diterbitkan pada masa yang sama. Tujuan ISO 31000:2009 adalah untuk digunakan dan disesuaikan untuk "mana-mana perusahaan awam, swasta atau komuniti, persatuan, kumpulan atau individu." [2] Sehubungan itu, skop umum ISO 31000 – sebagai keluarga piawaian pengurusan risiko – tidak dibangunkan untuk kumpulan industri dan sistem pengurusan tertentu, sebaliknya pawai ini menyediakan struktur amalan terbaik dan panduan kepada semua operasi yang berkaitan dengan pengurusan risiko. Ia memulakan proses untuk semakan pertamanya pada 13 Mei 2015. [3] Draf piawaian Antarabangsa (DIS), yang dibuka untuk ulasan umum, telah diterbitkan pada 17 Februari 2017. [4] ISO 31000 telah dikritik kerana kekurangan keteguhan dan bahasa yang mengelirukan. [5]
Kemas kini kepada ISO 31000 telah ditambahkan pada awal tahun 2018. Semakanini berbeza kerana "ISO 31000:2018 menyediakan lebih banyak panduan strategik daripada ISO 31000:2009 dan lebih menekankan penglibatan pengurusan kanan dan penyepaduan pengurusan risiko ke dalam organisasi."
ISO 31000:2018 menyediakan satu set prinsip, garis panduan untuk reka bentuk, pelaksanaan rangka kerja pengurusan risiko dan cadangan untuk penerapan proses pengurusan risiko. Proses pengurusan risiko seperti yang diterangkan dalam ISO 31000 boleh digunakan untuk sebarang aktiviti, termasuk membuat keputusan di semua peringkat[2].
Perbezaan antara istilah rangka kerja pengurusan risiko dan proses pengurusan risiko diterangkan oleh ISO adalah seperti berikut:
Rangka kerja pengurusan risiko (Risk management framework) - set komponen yang menyediakan asas dan pengaturan organisasi untuk mereka bentuk, melaksana, membimbing, menyemak dan menambah baik pengurusan risiko secara berterusan di seluruh organisasi. Dengan bantuan kitaran PDCA, sistem boleh dipertingkatkan secara berterusan. [6]
Proses pengurusan risiko (Risk management process) - aplikasi sistematik dasar pengurusan, prosedur dan amalan kepada aktiviti komunikasi, perundingan, mewujudkan konteks, dan mengenal pasti, menganalisis, menilai, merawat, memantau dan menyemak risiko [3] . Dalam erti kata lain, apa yang dilakukan oleh ISO 31000 ialah ia memformalkan amalan pengurusan risiko, dan pendekatan ini bertujuan untuk memudahkan penggunaan lebih luas oleh syarikat yang memerlukan piawaian pengurusan risiko perusahaan yang menampung pelbagai sistem pengurusan 'silo-centric'.[7]
Skop pendekatan pengurusan risiko ini adalah untuk membolehkan semua tugas strategik, pengurusan dan operasi sesebuah organisasi di sebuah projek, berfungsi dan proses diselaraskan dengan set objektif pengurusan risiko yang sama.
Sehubungan itu, ISO 31000 ditujukan untuk kumpulan berkepentingan yang pelbagai termasuk:
Salah satu anjakan paradigma utama yang dicadangkan dalam ISO 31000 ialah perubahan dalam cara risiko dikonseptualisasikan dan ditakrifkan. Di bawah kedua-dua ISO 31000:2009 dan Panduan ISO 73, takrifan "risiko" bukan lagi bermaksud "peluang atau kebarangkalian kerugian", tetapi "kesan ketidakpastian terhadap objektif" ... sehingga menyebabkan perkataan "risiko" juga merujuk kepada positif akibat ketidakpastian, dan juga akibat negatif.
Takrifan serupa telah diterima pakai dalam ISO 9001:2015 (Standard Sistem Pengurusan Kualiti [8] ), di mana risiko ditakrifkan sebagai, "kesan ketidakpastian." Selain itu, keperluan berkaitan risiko baharu, "pemikiran berasaskan risiko" telah diperkenalkan [9] di dalam piawai tersebut.
Begitu juga, takrifan baharu yang luas untuk pihak berkepentingan telah diwujudkan dalam ISO 31000, "Orang atau orang yang boleh menjejaskan, terjejas oleh, atau menganggap diri mereka terjejas oleh keputusan atau aktiviti." Ia adalah takrifan verbatim yang diberikan untuk istilah "pihak yang berkepentingan" seperti yang ditakrifkan dalam ISO 9001:2015.
ISO 31000:2009 telah dibangunkan berdasarkan piawaian pengurusan risiko sedia ada, AS/NZS 4360:2004 (Dalam bentuk AS/NZS ISO 31000:2009). Walaupun pendekatan Standards Australia menyediakan proses di mana pengurusan risiko boleh dilaksanakan, ISO 31000:2009 menangani keseluruhan sistem pengurusan yang menyokong reka bentuk, pelaksanaan, penyelenggaraan dan penambahbaikan proses pengurusan risiko.
Hasrat ISO 31000 adalah untuk piawai ini digunakan dalam sistem pengurusan sedia ada untuk memformalkan dan menambah baik proses pengurusan risiko berbanding dengan penggantian borong amalan pengurusan warisan. Selepas itu, apabila melaksanakan ISO 31000, perhatian perlu diberikan kepada penyepaduan proses pengurusan risiko sedia ada dalam paradigma baharu yang ditangani dalam piawai.
Tumpuan pelbagai program 'pengharmonian' ISO 31000 [10] telah tertumpu pada:
Pelaksanaan mana-mana piawai yang baharu mungkin akan mempunyai implikasi kepada amalan pengurusan sedia ada. Maka piawai ini telah menetapkan tiada keperluan untuk mematuhi piawaian ini. Rangka kerja terperinci diterangkan untuk memastikan bahawa organisasi akan mempunyai "asas dan pengaturan" yang diperlukan untuk membenamkan keupayaan organisasi yang diperlukan untuk mengekalkan amalan pengurusan risiko yang berjaya. Perkara asas termasuk dasar pengurusan risiko, objektif dan mandat serta komitmen oleh pengurusan atasan. Pengaturan termasuk rancangan, perhubungan, akauntabiliti, sumber, proses dan aktiviti.
Sehubungan itu, pemegang jawatan kanan dalam organisasi pengurusan risiko perusahaan perlu menyedari implikasi untuk menerima pakai piawai dan dapat membangunkan strategi yang berkesan untuk melaksanakan piawaian, membenamkannya sebagai bahagian penting dalam semua proses organisasi termasuk rantaian bekalan dan operasi pengkormesialan. [11] Dalam domain yang melibatkan pengurusan risiko yang mungkin beroperasi menggunakan proses pengurusan risiko yang agak tidak canggih, seperti keselamatan dan tanggungjawab sosial korporat, lebih banyak perubahan material akan diperlukan, seperti mewujudkan dasar pengurusan risiko yang dinyatakan dengan jelas, memformalkan proses pemilikan risiko, menstrukturkan proses rangka kerja dan menerima pakai program penambahbaikan berterusan.
Aspek-aspek tertentu seperti kebertanggungjawaban pengurusan atasan, pelaksanaan dasar strategik dan rangka kerja tadbir urus yang berkesan termasuk komunikasi dan perundingan, akan memerlukan lebih pertimbangan oleh organisasi yang telah menggunakan metodologi pengurusan risiko terdahulu yang tidak menyatakan keperluan tersebut.
ISO 31000 memberikan senarai tentang cara menangani risiko:
ISO 31000 belum dibangunkan dengan tujuan untuk pensijilan. (2009)
tahun | Penerangan | |
---|---|---|
2009 | ISO 31000 (Edisi Pertama) | |
2018 | ISO 31000 (Edisi ke-2) |