Помогаем внедрить риск-менеджмент по ГОСТ Р ИСО 31000-2019: принципы, реестр рисков, методика оценки, обработка рисков и отчётность.
Внедрение ГОСТ Р ИСО 31000-2019 нужно компаниям, которые хотят управлять рисками не после аварии, срыва договора или претензии заказчика, а заранее. Этот стандарт не является классической сертификационной моделью с набором требований для выдачи обязательного сертификата. Он даёт принципы и руководство по менеджменту риска: как выявлять неопределённость, оценивать последствия, выбирать меры обработки и встраивать риск-менеджмент в решения руководства.
ГОСТ Р ИСО 31000-2019 идентичен ISO 31000:2018 и действует в России с 1 марта 2020 года. Он заменил ГОСТ Р ИСО 31000-2010. На практике документ используют как основу для внутренней системы управления рисками, подготовки к аудитам заказчика, усиления ISO 9001, ISO 27001, ISO 22301, проектного управления, комплаенса, охраны труда, промышленной и информационной безопасности. Поэтому честнее говорить не о “сертификате ISO 31000”, а о внедрении риск-менеджмента и подтверждении его работы документами.
Внедрение ГОСТ Р ИСО 31000-2019: что должно получиться
Хорошая система риск-менеджмента отвечает на простые вопросы. Какие решения компания принимает с учётом риска? Кто владелец риска? По каким критериям риск считается приемлемым? Что делать с риском: избегать, снижать, передавать, принимать? Как понять, что мера сработала? Если на эти вопросы отвечают только на совещании, а в документах ничего нет, риск-менеджмента как системы фактически нет.
| Блок | Что готовят | Частая проблема |
|---|---|---|
| Контекст | Цели, заинтересованные стороны, внешние и внутренние факторы | Риски пишут отдельно от стратегии и договоров |
| Методика | Критерии вероятности, последствий, уровня риска, приемлемости | Каждый отдел оценивает риск по-своему |
| Реестр рисков | Риск, причина, последствие, владелец, меры, срок контроля | В реестре много общих фраз без ответственных |
| Мониторинг | Периодический пересмотр, отчётность, корректировка мер | Реестр составили один раз и больше не открывали |
Кому нужен риск-менеджмент по ISO 31000
Стандарт подходит производственным компаниям, ИТ-подрядчикам, проектным организациям, логистике, медицинским и образовательным учреждениям, центрам сертификации, импортёрам, экспортёрам, компаниям с госзакупками, холдингам и быстро растущему бизнесу. Особенно там, где ошибки дорого стоят: срыв поставки, простой оборудования, утечка данных, претензия заказчика, штраф по договору, потеря ключевого поставщика.
Часто ГОСТ Р ИСО 31000-2019 внедряют не отдельно, а как управленческий слой над уже существующими системами. Например, в ISO 9001 риск-подход помогает управлять качеством, в ISO 27001 — информационной безопасностью, в ISO 22301 — непрерывностью деятельности, в проектном управлении — сроками и бюджетом. Главное, чтобы реестр рисков не жил отдельно от решений руководства.
Когда ISO 31000 не стоит продавать как сертификат
Если заказчик прямо просит сертификат по системе менеджмента, нужно читать формулировку. ISO 31000 — руководящий стандарт, а не стандарт требований вроде ISO 9001 или ISO 27001. Отдельные коммерческие сертификаты соответствия встречаются, но они не равны аккредитованной сертификации системы менеджмента по требовательному стандарту. Мы предупреждаем об этом заранее, чтобы клиент не купил документ, который потом не примут в тендере.
Если задача — пройти закупку, иногда правильнее оформить ISO 9001, ISO 27001, ISO 22301 или другой стандарт, где риск-менеджмент является частью системы. А ГОСТ Р ИСО 31000-2019 использовать как методическую основу: методика оценки, реестр рисков, правила обработки и отчётность.
Сроки и стоимость
В карточке услуги указана стоимость от 8000 рублей и срок 12-18 рабочих дней. Такой срок подходит для компании, где уже есть управленческие документы, ответственные за процессы и хотя бы часть риск-реестров. Если риски раньше обсуждались только устно, сначала нужно провести интервью, определить контекст, критерии и владельцев рисков.
| Состояние | Что делаем | Ориентир |
|---|---|---|
| Есть риск-реестры | Проверяем методику, владельцев, меры и отчётность | 10-12 рабочих дней |
| Риски есть в разных системах | Сводим подход, критерии и управленческий контроль | 12-18 рабочих дней |
| Риск-менеджмента нет | Строим минимальную модель под процессы компании | после диагностики |
Какие документы готовят
Обычно нужны политика или положение о риск-менеджменте, описание контекста организации, методика оценки рисков, шкалы вероятности и последствий, критерии приемлемости, реестр рисков, планы обработки, формы отчётности, порядок пересмотра рисков, распределение ролей и ответственность владельцев рисков.
В отдельных проектах мы добавляем карты рисков по процессам, матрицу рисков для договоров, шаблон анализа риска перед запуском проекта, правила эскалации и короткие инструкции для руководителей подразделений. Документы должны быть пригодны для работы, иначе через месяц после внедрения всё снова превращается в таблицу “для аудитора”.
Частые ошибки
Первая ошибка — писать риск как событие без причины и последствий: “срыв поставки”, “утечка данных”, “штраф”. Для управления этого мало. Нужно понимать, из-за чего риск возникает, на что влияет и какая мера действительно снижает вероятность или ущерб. Вторая ошибка — назначать владельцем риска целый отдел. Риск должен иметь конкретного ответственного, иначе его никто не контролирует.
Третья ошибка — делать слишком сложную методику. Если руководитель производства, юрист и коммерческий директор не могут одинаково применить шкалу оценки, реестр быстро перестаёт работать. Лучше начать с понятной модели и дорабатывать её, чем сразу рисовать методику на двадцать страниц.
Кейс из практики
Компания регулярно участвовала в тендерах и проигрывала на этапе оценки управленческой зрелости. Документы по качеству были, но риски в проектах считались “по опыту”. В одном договоре не учли зависимость от импортного компонента, из-за чего срок поставки сорвался, а заказчик выставил претензию.
Мы начали с пяти типовых проектов и разобрали, где возникали потери: поставщики, сроки согласований, технические изменения, валютные колебания, доступность специалистов. После этого сделали простую методику, реестр рисков и правило обязательной оценки перед подписанием крупных договоров. Через несколько недель компания уже использовала этот инструмент на коммерческом комитете, а не только в папке для аудита.
Как помогает «Реестр Гарант»
Мы не обещаем “сертификат ISO 31000”, который решит любую закупку. Сначала выясняем цель: тендер, аудит заказчика, внутреннее управление, интеграция с ISO 9001, ISO 27001 или проектным управлением. Затем готовим документы по ГОСТ Р ИСО 31000-2019 и помогаем встроить риск-менеджмент в реальные решения компании.
Для первичной оценки можно связаться с «Реестр Гарант» по телефону +7 920-898-17-18, написать в WhatsApp или Telegram, либо отправить вводные на reestrgarant@mail.ru. В сообщении полезно указать, зачем нужен ISO 31000, есть ли требование заказчика, какие системы менеджмента уже внедрены и где риски сейчас фиксируются.
Частые вопросы
ISO 31000 можно сертифицировать?
ISO 31000 и ГОСТ Р ИСО 31000-2019 являются руководящими стандартами. Их корректнее использовать для внедрения риск-менеджмента и оценки зрелости подхода, а не как классический стандарт требований для обязательной сертификации организации.
Почему тогда на рынке предлагают сертификат ISO 31000?
Коммерческие документы встречаются, но перед оплатой нужно понять, примет ли их заказчик. Если в тендере нужен сертификат по системе менеджмента, возможно, требуется другой стандарт, где риск-менеджмент является частью требований.
Можно ли внедрить ISO 31000 вместе с ISO 9001?
Да. Риск-подход хорошо дополняет систему менеджмента качества: помогает анализировать поставщиков, договоры, несоответствия, изменения процессов, претензии и управленческие решения.
Что является результатом работы?
Результат — понятная методика, реестр рисков, владельцы, меры обработки, отчётность и правила пересмотра. При необходимости готовим пакет для внутреннего или внешнего аудита заказчика.
Требования и условия
- определить цель внедрения риск-менеджмента и контекст организации;
- разработать методику оценки рисков, критерии приемлемости и роли владельцев;
- сформировать реестр рисков, планы обработки и отчётность;
- встроить риск-менеджмент в договоры, проекты, процессы и управленческие решения.
Необходимые документы
- карточка компании и описание цели внедрения;
- положение о риск-менеджменте, методика оценки, шкалы и критерии;
- реестр рисков, планы обработки, матрица владельцев и отчётные формы;
- примеры применения в проектах, договорах, закупках или системах менеджмента.
