Сходства и различия в риск-менеджменте стандартов ISO 9001:2015, ISO 31000:2009 и ISO 27001:2013
Источник: автором англоязычной в оригинале статьи является Елена Сице (Jelena Cice, – ред.).
Правильно ли я понимаю, что вы – новичок в риск-менеджменте? Или у вас уже есть определенный багаж в этой теме? В обоих случаях, пари держу, вы стоите на распутье по многим направлениям работы. Возможно, что перед вами как раз стоит задача выполнить требования стандартов систем качества или на СМИБ (системы менеджмента информационной безопасности, – ред.). Не знаете с чего начать? Не только для неопытных коллег, но и для экспертов в сфере систем менеджмента во всем этом много такого, что сбивает с толку. Прежде всего, непонятно, как интерпретировать те или иные аспекты риск-менеджмента. А потом это выливается в недоразумения при внедрении или отладке интегрированной системы менеджмента. Международные добровольные стандарты ISO 9001, ISO 27001, ISO 31000 предлагают разные точки зрения на концепции управления рисками. Так, давайте и мы посмотрим на них с разных ракурсов.
Общие сведения о стандартах
Чтобы разъяснить разность подходов перечисленных стандартов к риск-менеджменту, надо – по моему опыту – сначала коротко остановиться на главных целях каждого из нормативов. Я внедряла различные системы менеджмента в разных компаниях.
ISO 9001:2015. Требования к системам менеджмента качества (СМК, – ред.).
ISO 27001:2013. Требования к системам менеджмента информационной безопасности (СМИБ, – ред.).
ISO 31000:2009. Принципы и руководящие указания по риск-менеджменту.
Стоит отметить, что ISO 9001 и ISO 27001 имеют абсолютно идентичную структуру и названия параграфов, тогда как ISO 31000 выстроен несколько иначе.
Узнайте больше об интеграции СМК и СМИБ, прочтите нашу статью «Как интегрировать ISO 9001 и ISO 27001».
Сравнительная таблица риск-менеджмента в разных стандартах, затрагивающих данный вопрос
Самый ценный совет, который я могу дать, пройдитесь, буквально, по параграфам и, сравнивая схожие ключевые элементы разных нормативов, вы лучше почувствуете нюансы управления рисками в случае каждого из них. Давайте сделаем это вместе:
Риск-менеджмент. Разные подходы в разных стандартах | ||
ISO 9001:2015 | ISO 27001:2013 | ISO 31000:2009 |
Риски и возможности с точки зрения среды организации и целей в области качества предприятия. | Оценка и обработка риска для информационной безопасности, пригодных для нужд вашей организации. | Принципы и руководящие указания по управлению риском в любой его форме. Управление осуществляется на принципах систематичности, прозрачности и надежности. Положения стандарта применимы в организациях с любой спецификой. Он подразумевает проведение оценки рисков, включающей, в свою очередь, идентификацию рисков, анализ и оценку. |
Концепция риска в СМК и в СМИБ
Как я и говорила, параграфы ISO 9001 и ISO 27001, затрагивающие риск-менеджмент – одинаковы, в чем можно легко убедиться из таблицы, представленной ниже:
Раздел стандарта | ISO 9001:2015 | ISO 27001:2013 |
Среда организации (4) | Необходимо учесть риски и возможности, которые оказывают влияние на процесс планирования. Больше внимания, чем рискам, уделяется внешним и внутренним факторам («issues» – 4.1), чем рискам как таковым. | Упоминает «определение стратегического контекста», при учете которого создаются процессы СУИБ. В этом следует ISO 31000. |
Лидерство (5) | Топ-менеджмент должен продемонстрировать лидерство и приверженность внедрению и работе СМК, в том числе, через продвижение в организации передовых подходов «мышления, основанного на рисках». Реагируя на риски и возможности. | / |
Планирование (6) | Проанализируйте внешние и внутренние факторы и идентифицируйте риски и возможности, дабы убедиться, что СМК достигает намеченных результатов, приводит к улучшению целевых показателей, предотвращает или нивелирует неблагоприятные эффекты, помогает внедрять улучшения в работу. | Те же требования, что и для СМК, только есть дополнения, касающиеся оценки и обработки рисков (Эти дополнения приведены в соответствие с ISO 31000). |
Поддержка (7) | / | / |
Операции (8) | / | Стандарт в этом параграфе требует осуществлять оценку рисков информационной безопасности через запланированные интервалы, она нужна и тогда, когда запланированы или случились какие-либо изменения в системе. В соответствии с ISO 27001 необходимо принять «план обработки рисков» (risk treatment plan, – ред.) информационной безопасности. |
Оценка деятельности (9) | Результаты анализа, который мы провели на предыдущих этапах, должен быть применен для оценки эффективности действий, предпринятых, чтобы отреагировать на идентифицированные риски и возможности. Требованием ISO 9001 является планирование процессов анализа со стороны руководства и приведение в жизнь этих процессов. При этом стоит учитывать результативность предпринимаемых действий, осуществляющихся в рамках реагирования на риски и возможности. | Процессы анализа со стороны руководства должны включать анализ результатов оценки рисков и проверку статуса «плана обработки рисков». |
Улучшение (10) | Если случаются несоответствия, например, зафиксирован резкий рост количества жалоб, то организация должна произвести ревизию имеющихся у нее рисков и возможностей, если это необходимо. |
Принципы ISO 31000
ISO 31000 имеет немного другой и, конечно, более углубленный подход к риск-менеджменту (это специальный стандарт ISO по управлению рисками, – ред.). Вот основные принципы, на которых он основан:
- риск-менеджмент создает ценность в компании и защищает ее. Процессы управления рисками в явной форме обеспечивают действия в ответ на неопределенность, в расчет принимаются культурные аспекты и человеческий фактор. Эти процессы позволяют на деле реализовать принцип «постоянного улучшения»;
- риск-менеджмент – неотъемлемая часть общей системы управления организацией: он включается как органическая часть принятия любых решений руководством: результатом этого является то, что процессы выработки тех или иных решений носят систематический характер, упорядочены, решения принимаются своевременно, а в их основе лежит самая полная информация, которую можно получить. Нужно иметь уверенность в том, что учитываются внешние по отношению к организации факторы – контекст, с которым она вынуждена считаться, а также профиль рисков (уровень и сочетание принимаемых рисков, – ред.). Можно считать, что у вас эффективно действует риск-менеджмент, если система принятия решений: прозрачна, итеративна, тесно связана и учитывает все процессы организации, проявляет гибкость к изменениям.
В ISO 9001 нет требований о внедрении формализованной системы управления рисками или о документировании менеджмента рисков. А вот ISO 27001 ссылается и на ISO 31000, и на ISO 27005. Эти два стандарта в ISO 27001 называются нормативами, которые можно использовать как руководящие указания по созданию у себя процессов управления рисками.
Некоторые важные сходные элементы стандартов на системы менеджмента в вопросе риск-менеджмента
Забудем на секундочку о сходствах и различиях между разными стандартами, включающими менеджмент рисков. Одна вещь для любой спецификации остается неизменной: риск – эффект неопределенности в достижении цели». Никто не будет спорить с определением неопределенности: это состояние отсутствия информации, достаточной для понимания события или получения знания о нем. Существует еще одна константа, выполняющаяся вне зависимости от того, какой стандарт вы взяли в руки. Цели в области управления рисками могут быть применены на разных уровнях менеджмента компании: на стратегическом, на операционном, на уровне проекта, конкретных продукции и услуг, процессов. Риски всегда окружают нас. Не в наших силах полностью исключить неприятные ситуации. Разве что ничего не делать, но это ни для кого не выход. В большинстве случаев вам необходимо двигаться к целям, будучи подстегиваемым в этом руководителями. Раз двигаться вперед необходимо, все, что нам остается – воспользоваться проверенными практиками минимизации негативных последствий, которые предлагают нам три известных стандарта Международной организации по стандартизации.
Перевод: сотрудник «Единый Стандарт» Валентин Рахманов.