Standard ISO 31000 Zarządzanie ryzykiem zasady i wytyczne to jeden z ważniejszych dokumentów dla każdego menadżera ryzyka i każdego, kto zainteresowany jest systematycznym, zintegrowanym, holistycznym podejściem do ryzyka. Jest to w istocie zbiór zasad, reguł, spisanych dobrych praktyk, które pokazują zainteresowanym jak można efektywnie, najbardziej sensownie wdrożyć zarządzanie ryzykiem w swojej organizacji. I bez znaczenia czy jest to przedsiębiorstwo, sektor publiczny czy organizacja trzeciego sektora.
W Polsce jak się wydaje są dobre podstawy do wdrażania ISO 3100 nie tylko dlatego że ma status Polskiej Normy (PN), ale również, dlatego że normowane z ISO jest w ogóle u nas dobrze zakorzenione. Bardzo wiele organizacji wdraża u siebie standardy ISO najczęściej chyba te z rodziny 9000 ale oczywiście nie tylko; standardów na różne okoliczności nam nie brakuje.
Osobiście mam swoje odrębne zdanie na temat powszechnego pędu do certyfikowania wszystkiego, a w szczególności złożonych systemów zarządzania, zdaje się nie ma badań potwierdzających, że samo posiadanie ładnego dyplomu z kolorowymi pieczątkami powieszonego w gabinecie Szefa Szefów daje przepustkę do sukcesów w biznesie. No, nie. Może natomiast dawać złudne poczucie, że standardy myślą za nas, zarządzają jakością, bezpieczeństwem, informacją. Niby każdy się zgodzi z tymi zastrzeżeniami, ale…
No, ale nie o tym miało być dzisiaj, ale o naszym ryzykonomicznym case study, którym są pojawiające się tu i ówdzie informacje nt. „certyfikacja ISO 31000″. Tymczasem już w rozdziale 1 polskiego wydania normy na stronie 15 czytamy:
Uzasadnienie tego prostego stwierdzenia, które jest jak mi się wydaje jest kontestowane tu i ówdzie przez zapalonych certyfikatorów, jest dosyć proste i każdy, kto wdrażał w praktyce zarządzanie ryzykiem (jak choćby Wasz Zespól Ryzykonomii) zdaje sobie sprawę, że systemy zarządzania ryzykiem, aby dobrze działały muszą być zawsze dopasowane, uszyte na miarę organizacji. A certyfikacja ISO31000 musi być garniturem nie na miarę, ale z natury rzeczy – z „siecówki”.
Różne są zwykle „driver’y” wdrożenia zarządzania ryzykiem. Raz to wymóg dostawcy, innym razem parenta, innym wolna wola światłego zarządu. Mamy też zupełną dowolność w zaprojektowaniu jak ma wyglądać struktura ramowa (framework) zarządzania ryzykiem w organizacji, jak ma się ono w niej „dziać”. Tego po prostu nie da się z-certyfikować. Oczywiście, jakiś certyfikat zawsze można wypuścić, potwierdzający chociażby, że „jest zrobiona identyfikacja, komunikacja i konsultacja”.
Tylko, co z tego praktycznego wynika? Oficjalne zapewnienie, że wszystkie koncepcje znalazły miejsce w naszym regulaminie wewnetrznym? Można i tak, ale chyba nie o to chodzi we wdrożeniu. Tak naprawdę, realna certyfikacja ISO31000 będą to te ryzykonomiczne business case-y, które pokażą czy zbudowaliśmy (jakąś) odporność naszej organizacji na ryzyko.
Ostatecznie przecież, weryfikacja efektywności sytemu zarządzania ryzykiem, powinna następować zarówno przez wewnętrzne mechanizmy samokontroli wpisane w sam standard jak i audyt wewnętrzny czy zewnętrzny.
Pliki cookie Aby zapewnić sprawne funkcjonowanie tego portalu, używamy pliki cookies („ciasteczka”). Jeśli nie wyrażasz na to zgody opuść portal.