Одним из ключевых изменений в обновленных стандартах ISO 9001 и ISO 14001 и переходе OHSAS 18001 на ISO 45001 является возросшая потребность, придаваемая мышлению на основе риска во всех сферах деятельности предприятия. Таким образом, управление рисками прочно входит в фундаментальные понятия стандартов ISO.

Изменения в этих стандартах требуют большей вовлеченности руководства и особенно – высшего руководства для выявления и управления рисками, связанными с деятельностью предприятия.

Риск присущ каждому предприятию независимо от того, является ли предприятие бизнесом или учреждением, коммерческим или некоммерческим, каждый сделанный выбор и предпринятая операция связаны с элементом риска.

Риски для предприятия могут включать:

  • риски здоровья и безопасности работников и клиентов;
  • риски от стихийных бедствий, таких как пожар и наводнения;
  • экологические риски от хозяйственной деятельности;
  • риски, связанные с отраслевым законодательством;
  • риски безопасности для физических структур, включая IT-инфраструктуру, от киберпреступности;
  • риски для финансовой безопасности организации.

Управление рисками и его планирование

Подготовка плана управления рисками поможет предприятию достичь сертификации в соответствии с вышеуказанными стандартами. Это также даст предприятию основу для определения риска, оценки частоты и воздействия риска и разработки процесса управления риском.

Время и ресурсы должны быть выделены для процесса высшим руководством и реализованы по всему предприятию. Эффективный план повысит доход, сократит количество дорогостоящих инцидентов и создаст более безопасную среду для работников.

План может включать в себя:

  • список рисков, которые могут повлиять на все сферы деятельности предприятия;
  • анализ риска и ранжирования вероятности и уровня эффекта;
  • как предприятие будет управлять риском;
  • осуществление постоянного мониторинга и обзора.

В зависимости от предприятия, хорошим способом начать может быть создание матрицы рисков для ранжирования рисков, выявленных предприятием.

Например, ранжирование воздействия риска на предприятие в диапазоне от «незначительного» до «критического», включая оценку финансовых потерь и сбоев, которые они могут вызвать, предоставит информацию, которая поможет вам управлять и минимизировать рискует идти вперед.

Вышесказанное может обеспечить структуру, которую будет искать аудитор ISO предприятия, когда они будут проверять предприятие на предмет сертификации по пересмотренным стандартам.