Riskienhallinnan toimintamallin rakentamiseksi on käytettävissä useita viitekehyksiä. SRHY on sitoutunut ISO 31000 standardin mukaisen viitekehyksen sekä siihen liittyvien muiden standardien hyödyntämiseen.

ISO 31000 Riskienhallinta, periaatteet ja ohjeet

ISO 31000 -standardi auttaa kaikkia organisaatioita kehittämään ja ylläpitämään riskienhallintaansa ajan mukaisella tasolla sekä auttaa organisaatioita ottamaan tietoisia riskejä tavoitteidensa saavuttamiseksi luomalla luotettavan tavan tunnistaa ja hallita riskejä.

ISO 31000 -standardin omaksuminen ja sen käyttö lisää

• tavoitteiden saavuttamisen todennäköisyyttä,
• parantaa mahdollisuuksia mm. riskien tunnistamiseen ja käsittelyyn koko organisaatiossa,
• edesauttaa raportoinnin, organisaation hallintotavan ja ennakoivan johtamisen kehittämistä,
• lisää sidosryhmien luottamusta ja
• auttaa kehittämään hallintakeinoja sekä operatiivista vaikuttavuutta ja tehokkuutta.

ISO 31000 -standardia ei ole tarkoitettu käytettäväksi sertifioinnin perustana. Kansainvälisessä standardisointijärjestö ISO:ssa työ riskienhallinnan kehittämisen työkalujen luomiseen jatkuu.

Oheisessa kuvassa on ISO 31000 standardin mukainen viitekehys graafisena.

Kuva: © Suomen Standardisoimisliitto ry

• Uudistettua ja suomennettua SFS-ISO 31000:2018 -kirjasta voi ostaa Suomen Standardoimisliitosta – SFS.
• Jotta standardin soveltaminen olisi helpompaa, niin SFS on julkaissut ISO/TR 31004:fi -kirjasen “Ohjeita standardin ISO 31000 soveltamisesta”, tämäkin on saatavilla Suomen Standardisoimisliitosta.
• Lisäksi myynnissä on myös standardi SFS-EN 31010, Riskien arviointimenetelmät, joka tuo apua erilaisten arviointimenetelmien hyödyntämiseen.

COSO ERM

Enterprise Risk Management – Intergrated Framework keskittyy aikaisempaa selkeämmin ja perusteellisemmin organisaatioiden riskienhallintaan mutta käsittelee myös sisäistä valvontaa kattavasti. COSO ERM:n arkoituksena ei ole syrjäyttää COSO:n sisäisen valvonnan mallia vaan pyrkiä liittämään sisäinen valvonta selkeämmin osaksi riskienhallintaa.

Monet organisaatiot harkinnevat julkaisussa esiteltyä riskienhallinnan mallia parantaakseen omaa sisäistä valvontaansa ja kehittääkseen riskienhallintaprosessia nykyistä kokonaisvaltaisemmaksi. Organisaation johdon vaikeimpia haasteita on päättää, missä määrin se on valmis sietämään riskejä pyrkiessään arvon luomiseen.

Organisaatioiden riskienhallinnassa lähdetään siitä, että jokaisen organisaation tarkoituksena on tuottaa sidosryhmilleen arvoa. Kaikki organisaatiot joutuvat toimimaan epävarmuudessa ja johdon haasteena onkin päättää, kuinka paljon epävarmuutta siedetään pyrittäessä kasvattamaan sidosryhmäarvoa.

Epävarmuus on sekä riski että mahdollisuus, koska se voi sekä vähentää että kasvattaa arvoa. Riskienhallinnan avulla organisaation johto voi tehokkaasti hallita epävarmuutta ja siihen liittyviä riskejä ja mahdollisuuksia, jolloin myös arvoa voidaan kasvattaa tehokkaammin.

Lue lisää COSO:n suomennetusta Enterprise Risk Management – Integrated Framework -yhteenvedosta (pdf).

COSO:n sivuilta löytyy lisäinformaatiota heidän tuottamistaan ohjeituksista.

Alempana “COSO kuutio” -kuvana

• 

A Guide to ISO 31000

AIRMIC / Alarm / IRM have been working together to produce a guide to Enterprise Risk Management (ERM) and the requirements of ISO 31000.

A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000 (2010)

The document is the result of work by a team drawn from the major risk management organisations in the UK – The Institute of Risk Management (IRM),The Association of Insurance and Risk Managers (AIRMIC) and ALARM The National Forum for Risk Management in the Public Sector.

Risk management is a rapidly developing discipline and there are many and varied views and descriptions of what risk management involves, how it should be conducted and what it is for. Some form of standard is needed to ensure that there is an agreed:

• terminology related to the words used
• process by which risk management can be carried out
• organisation structure for risk management
• objective for risk management

Importantly, the standard recognises that risk has both an upside and a downside.

Risk management is not just something for corporations or public organisations, but for any activity whether short or long term. The benefits and opportunities should be viewed not just in the context of the activity itself but in relation to the many and varied stakeholders who can be affected.

There are many ways of achieving the objectives of risk management and it would be impossible to try to set them all out in a single document. Therefore it was never intended to produce a prescriptive standard which would have led to a box ticking approach nor to establish a certifiable process. By meeting the various component parts of this standard, albeit in different ways, organisations will be in a position to report that they are in compliance. The standard represents best practice against which organisations can measure themselves.