Kirjoitimme aiemmin uudesta COSO-ERM:stä ja lupasimme siinä yhteydessä palata riskienhallinnan standardeihin uusitun ISO 31000:n tiimoilta. Olimme muutama viikko sitten Suomen riskienhallintayhdistyksen ja SFS:n yhdessä järjestämässä tilaisuudessa, jossa ruodittiin juurikin tätä riskienhallinnan ISO-standardia (linkki seminaarin videotaltiointiin löytyy tämän kirjoituksen lähteistä). Seminaarista ja standardiin tutustumisesta innostuneena tässä se nyt tulee, katsaus uusittuun ISO 31000:n.
Ensin lyhyesti itse ISO:sta, joka on globaali, kansallisista keskusjärjestöistä muodostuva, standardointiverkosto. Suomen Standardisoimisliitto SFS ry on Suomen standardisoinnin keskusjärjestö, jonka jäseninä on elinkeinoelämän järjestöjä ja Suomen valtio. Paikalliset keskusjärjestöt osallistuvat aina ISO-standardien uudistustyöhön kansallisten työryhmien kautta. ISO31000 uudistukseen Suomesta osallistuttiin SFS/SR 213 riskienhallintaryhmän kautta.
ISO 31000 riskienhallinnan standardiperhe julkaistiin ensimmäisen kerran vuonna 2009 ja se koostuu kolmesta dokumentista, joista tunnetuin ja käytetyin lienee 31000 Riskienhallinta. Ohjeet, josta juuri julkaistiin uusi 2018 versio. Kahdesta muusta voimassa ovat edelleen alkuperäiset vuoden 2009 julkaisut; 31010 Riskienhallinta. Riskien arviointimenetelmät ja SFS-opas 73 Riskienhallinta, sanasto.
Mikä muuttui?
Kaiken kaikkiaan uusi ISO miellyttää meitä hyvin paljon, sillä se vie standardia meille mieleiseen suuntaan: kohti strategisten tavoitteiden saavuttamisen työkalua, jolle johdon ja hallituksen on hyvä allokoida riittävästi aikaa ja huomiota. Samalla se ajatusmaailmallisesti lähenee COSO-ERM:ä. Strategisuus näkyy uudessa ISO 31000:ssa mm. siten, että se:
– korostaa riskienhallinnan sisällyttämistä johtamisjärjestelmään
– painottaa riskienhallinnan sisällyttämistä strategiseen suunnitteluun ja toiminnan operatiivisen ohjauksen järjestelmiin
– painottaa aikaisempaa selkeämmin, että riskienhallinta on keskeisessä roolissa myös arvon luomisessa, ei pelkästään riskien välttämisessä
– korostaa johdon sitoutumista ja tukea riskienhallinnan puitteiden luomisessa
– edellyttää riittäviä riskienhallinnan resursseja joka puolella organisaatiota – ei vain itse riskienhallintatoiminnossa
Lisäksi standardissa on tiivistetty tekstiä ja pyritty välttämään turhaa riskienhallinnan jargonia, mikä näkyy vähentyneenä sivumääränä. COSO ERM:n tapaan myös tässä uudistuksesa on päivitetty visualisointeja (kuva alla) ja näin tuotu vahvemmin esiin ajatus jatkuvasta dynaamisesta riskienhallinnan prosessista ja toisaalta kertaluonteisuuden tai -rupeaman välttämisestä.
Miten -muutokset vaikuttavat minuun?
ISO 31000 on ja on ollut yleisluontoinen kehikko, jonka sisässä on tilaa liikkua ja kohdistaa panokset yrityksen toiminnan kannalta keskeisiin riskilajeihin. Standardi säilytti uudistuksessa roolinsa ohjeena, jota ei tarvitse eikä voi sertifioida. Nämä tekijät yhdessä johtavat siihen, että standardin uudistus ei aiheuta suurta uudistusjumppaa organisaatiolle.
ISO-maailmassa suurempia muutoksia yrityksille on aiheuttanut se, että sertifioitavat ISO standardit kehittyvät jatkuvasti riskilähtöisempään suuntaan. Hyvänä esimerkikkinä ISO 9000 Laadunhallinta standardin uudistus 2015, jossa riskilähtöisyys nostettiin päätöksenteon perustaksi. ISO 31000 standardin hengessä luotu kokonaisvaltainen riskienhallinnan malli tukee etenkin liiketoimintaa, jossa tietyillä erityisosa-alueilla noudatetaan sertifioitua ISO standardin mukaista johtamisjärjestelmää.
COSO-ERM vs. ISO 31000 lyhyesti:
Tässä vertailussa tukeudumme omiin havaintoihimme ja tekstissä aikaisemmin mainitun seminaarin esityksiin (kiitos Isse :)).
Kuten mainittu, standardit ovat lähenemässä toisiaan – ne molemmat korostavat yhä enemmän johdon panosta, tukea ja strategiakytkentää, sekä myös tietyllä tavalla riskinottohalukkuuden työstämistä. Myös uudistusten taustalla ovat samat syyt: ympäröivän maailman nopea muutos ja aikaisempaa monimutkaisempi toimintaympäristö, kuten myös siitä johtuvat uudet riskilajit. Mutta eroavaisuuksiakin vielä löytyy:
– ISO on suunnattu kaikille, jotka ovat tekemisissä riskienhallinnan kanssa, kun taas COSO-ERM:n pääasiallinen kohderyhmä on edelleen organisaation (ylin) johto
– COSO-ERM:ssä näkyy edelleen vahva yksityissektorin painotus, kun taas ISO on selkeästi pyritty koostamaan siten, että sen käytettävyys on mahdollisimman laaja.
– Riskin määrittelyt poikkeavat toisistaan (ehkä olennaisestikin): COSO-ERM ”the possibility that events will occur and affect the achievement of strategy and business objectives” ja ISO 31000: ”effect of uncertainty on objectives”
COSO-ERM: ”The possibility that events will occur and affect the achievement of strategy and business objectives”
ISO 31000: ”effect of uncertainty on objectives”
Ja sitten vielä viimeisenä huomiona teille, jotka aiotte uusittua standardia kahlata läpi: sitä lukiessa tulisi ISO 31010 standardi olla lähettyvillä tai tuoreessa muistissa, näin standardista saa kaikkein eniten irti. Ja kuten olemme aiemminkin erilaisissa yhteyksissä todenneet: standardeista kannattaa aina poimia parhaat ja soveliaimmat palat itselleen ja välttää turhan orjallista noudattamista silloin, kun tuntuu ettei se tuo omalle tekemiselle tai organisaatiolle lisäarvoa.
Lisää tietoa aiheesta löydät esim. näistä linkeistä:
https://www.iso.org/news/ref2263.html
https://livestream.com/infocrea-fi/iso-31000-riskienhallinta
https://www.sfs.fi/files/8496/31000_riskienhallinta_esite_A4_pitkaselitys.pdf
Jätä kommentti