TCVN ISO 31000:2018 (ISO 31000:2018) thay thế cho TCVN ISO 31000:2011 (ISO 31000:2009); TCVN ISO 31000:2018 hoàn toàn tương đương với ISO 31000:2018; TCVN ISO 31000:2011 do Ban kỹ thuật tiêu chuẩn quốc gia TCVN/TC 176 Quản lý chất lượng và đảm bảo chất lượng biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công nghệ công bố. Cùng Luật Trần và Liên danh tìm hiểu về tiêu chuẩn này trong bài viết dưới đây.
ISO 31000 là gì?
Tiêu chuẩn này dùng cho những người tạo lập và bảo vệ các giá trị của tổ chức thông qua việc quản lý rủi ro, ra quyết định, thiết lập và đạt được các mục tiêu, cải tiến kết quả thực hiện.
Các tổ chức ở mọi loại hình và quy mô đều đối mặt với các yếu tố và các ảnh hưởng nội bộ và bên ngoài dẫn đến sự không chắc chắn cho tổ chức trong việc đạt được các mục tiêu của mình.
Quản lý rủi ro có tính lặp lại và hỗ trợ tổ chức trong việc thiết lập chiến lược, đạt được các mục tiêu và ra các quyết định đúng đắn.
Quản lý rủi ro là một phần của việc điều hành, lãnh đạo và là nền tảng cho cách thức tổ chức được quản lý ở mọi cấp. Quản lý rủi ro đóng góp cho việc cải tiến hệ thống quản lý.
Quản lý rủi ro là một phần trong tất cả các hoạt động liên quan đến tổ chức và bao gồm cả sự tương tác với các bên liên quan.
Quản lý rủi ro xem xét bối cảnh nội bộ và bên ngoài của tổ chức, kể cả hành vi của con người và các yếu tố văn hóa.
Quản lý rủi ro dựa trên các nguyên tắc, khuôn khổ và quá trình được nêu trong tiêu chuẩn này, như minh họa trong Hình 1. Những yếu tố cấu thành này hầu như đã có sẵn một phần hoặc toàn bộ ở một tổ chức, tuy nhiên, nó có thể cần được điều chỉnh hoặc cải tiến để quản lý rủi ro một cách hiệu lực, hiệu quả và nhất quán.
Phạm vi áp dụng iso 31000
Tiêu chuẩn này đưa ra hướng dẫn quản lý các rủi ro mà tổ chức phải đối mặt. Việc áp dụng các hướng dẫn này có thể được tùy chỉnh theo tổ chức và bối cảnh của tổ chức.
Tiêu chuẩn này đưa ra cách tiếp cận chung để quản lý mọi loại rủi ro và không cho một ngành công nghiệp hay lĩnh vực cụ thể.
Tiêu chuẩn này có thể được sử dụng trong suốt vòng đời của tổ chức và có thể được áp dụng cho bất kỳ hoạt động nào, kể cả việc ra quyết định ở tất cả các cấp.
Tài liệu viện dẫn
Không có tài liệu viện dẫn.
Thuật ngữ và định nghĩa
Tiêu chuẩn này áp dụng các thuật ngữ và các định nghĩa dưới đây.
Rủi ro (risk)
Ảnh hưởng của sự không chắc chắn tới mục tiêu.
CHÚ THÍCH 1: Ảnh hưởng là sự sai lệch so với dự kiến. Ảnh hưởng có thể tích cực, tiêu cực hoặc cả hai và có thể được giải quyết, có thể tạo ra hay dẫn đến cơ hội và mối đe dọa.
CHÚ THÍCH 2: Các mục tiêu có thể có những khía cạnh và các phạm trù khác nhau và có thể được áp dụng ở các cấp khác nhau.
CHÚ THÍCH 3: Rủi ro thường được thể hiện theo các thuật ngữ nguồn rủi ro (3.4), sự kiện (3.5) tiềm ẩn, hệ quả (3.6) và khả năng xảy ra (3.7) của chúng.
Quản lý rủi ro (risk management)
Các hoạt động có phối hợp để định hướng và kiểm soát một tổ chức về rủi ro (3.1).
Bên liên quan (stakeholder)
Cá nhân hoặc tổ chức có thể gây ảnh hưởng, chịu ảnh hưởng hoặc cảm thấy bị ảnh hưởng bởi một quyết định hay hoạt động.
CHÚ THÍCH 1: Thuật ngữ “Bên quan tâm” có thể được dùng thay thế cho “Bên liên quan”.
Nguồn rủi ro (risk source)
Yếu tố mà tự nó hoặc khi kết hợp có tiềm năng nội tại làm nảy sinh rủi ro (3.1).
Sự kiện (event)
Sự xuất hiện hoặc thay đổi của một tập hợp các tình huống cụ thể.
CHÚ THÍCH 1: Một sự kiện có thể xảy ra một hoặc nhiều lần và có thể có nhiều nguyên nhân và hệ quả (3.6).
CHÚ THÍCH 2: Một sự kiện cũng có thể là điều được mong đợi mà không xảy ra, hoặc điều không mong đợi nhưng lại xảy ra.
CHÚ THÍCH 3: Một sự kiện có thể là một nguồn rủi ro.
Hệ quả (consequence)
Kết quả của một sự kiện (3.5) ảnh hưởng đến các mục tiêu.
CHÚ THÍCH 1: Một hệ quả có thể chắc chắn hoặc không chắc chắn và có thể có tác động tích cực hoặc tiêu cực đến các mục tiêu.
CHÚ THÍCH 2: Hệ quả có thể được biểu thị một cách định tính hoặc định lượng.
CHÚ THÍCH 3: Bất kỳ hệ quả nào cũng có thể gia tăng theo những hiệu ứng dây chuyền và tích lũy.
Khả năng xảy ra (likelihood)
Cơ hội xảy ra điều gì đó
CHÚ THÍCH 1: Trong thuật ngữ về quản lý rủi ro (3.2), từ “khả năng xảy ra” được sử dụng để chỉ cơ hội xảy ra điều gì đó, có thể được định rõ, đo lường hay xác định một cách khách quan hoặc chủ quan, định tính hoặc định lượng và được mô tả bằng cách sử dụng thuật ngữ chung hay theo toán học (như xác suất trong một khoảng thời gian cho trước).
CHÚ THÍCH 2: Từ “khả năng xảy ra” trong tiếng Anh có thể không có từ tương đương trực tiếp trong những ngôn ngữ khác, thay vào đó thường dùng từ “xác suất”. Tuy nhiên, từ “xác suất” được diễn giải hẹp hơn trong thuật ngữ toán học. Vì vậy, trong quản lý rủi ro sử dụng thuật ngữ “khả năng xảy ra” với mục đích diễn đạt cùng phạm vi với thuật ngữ “xác suất” được dùng nhiều hơn trong các ngôn ngữ khác với tiếng Anh.
Kiểm soát (control)
Biện pháp kiềm chế và/hoặc điều chỉnh rủi ro (3.1).
CHÚ THÍCH 1: Kiểm soát bao gồm, nhưng không giới hạn ở, mọi quá trình, chính sách, thiết bị, thực hành hoặc các điều kiện và/hoặc các hành động khác có thể kiềm chế và/hoặc điều chỉnh rủi ro.
CHÚ THÍCH 2: Kiểm soát có thể không luôn tạo ra tác dụng điều chỉnh dự kiến hoặc được giả định.
Nguyên tắc áp dụng iso 31000
Mục đích của quản lý rủi ro là tạo lập và bảo vệ giá trị. Quản lý rủi ro cải tiến kết quả thực hiện, khuyến khích đổi mới và hỗ trợ việc đạt được các mục tiêu.
Các nguyên tắc nêu trong Hình 2 đưa ra hướng dẫn về các đặc trưng của việc quản lý rủi ro hiệu lực và hiệu quả, trao đổi thông tin về giá trị, giải thích ý đồ và mục đích của quản lý rủi ro. Các nguyên tắc này là nền tảng cho việc quản lý rủi ro và cần được xem xét khi thiết lập khuôn khổ quản lý rủi ro và các quá trình quản lý rủi ro của tổ chức. Những nguyên tắc này cần cho phép tổ chức quản lý ảnh hưởng của sự không chắc chắn tới các mục tiêu của mình.
Quản lý rủi ro có hiệu lực, đòi hỏi các yếu tố ở Hình 2 và các yếu tố này có thể được diễn giải như sau:
a) Được tích hợp
Quản lý rủi ro là một phần không thể tách rời của tất cả các hoạt động tổ chức.
b) Cócấu trúc và toàn diện
Một cách tiếp cận toàn diện và có cấu trúc để quản lý rủi ro mang lại kết quả nhất quán và có thể so sánh được.
c) Được tùy chỉnh
Khuôn khổ và quá trình quản lý rủi ro được tùy chỉnh và thích hợp với bối cảnh nội bộ và bên ngoài của tổ chức có liên quan đến các mục tiêu của tổ chức.
d) Sự tham gia
Sự tham gia thích hợp và kịp thời của các bên liên quan cho phép xem xét tri thức, quan điểm và cảm nhận của họ. Điều này dẫn đến việc nâng cao nhận thức và việc quản lý rủi ro có đầy đủ thông tin.
e) Tính động
Rủi ro có thể hình thành, thay đổi hoặc biến mất do bối cảnh nội bộ, bên ngoài của tổ chức thay đổi. Quản lý rủi ro dự đoán, phát hiện, ghi nhận và ứng phó một cách kịp thời, thích hợp với những thay đổi và sự kiện đó.
f) Thông tin sẵn có tốt nhất
Đầu vào cho quản lý rủi ro dựa trên thông tin trong quá khứ, hiện tại, cũng như dự báo trong tương lai. Quản lý rủi ro tính đến một cách rõ ràng mọi hạn chế và sự không chắc chắn gắn liền với những thông tin và dự báo đó. Thông tin cần kịp thời, rõ ràng và có sẵn cho các bên liên quan.
g) Yếu tố con người và văn hóa
Hành vi của con người và văn hóa ảnh hưởng đáng kể đến tất cả các khía cạnh của quản lý rủi ro tại mỗi cấp và giai đoạn.
h) Cải tiến liên tục
Quản lý rủi ro được cải tiến liên tục thông qua học hỏi và kinh nghiệm.
Khuôn khổ quản lý rủi ro theo iso 31000
Khái quát
Mục đích của khuôn khổ quản lý rủi ro là hỗ trợ tổ chức tích hợp quản lý rủi ro vào các hoạt động và các chức năng quan trọng. Hiệu lực của quản lý rủi ro sẽ phụ thuộc việc tích hợp quản lý rủi ro vào hoạt động điều hành của tổ chức, kể cả việc ra quyết định. Điều này đòi hỏi sự hỗ trợ từ các bên liên quan, đặc biệt là lãnh đạo cao nhất.
Việc xây dựng khuôn khổ bao gồm việc tích hợp, thiết kế, thực hiện, đánh giá và cải tiến quản lý rủi ro trong toàn tổ chức. Hình 3 minh họa các thành phần của khuôn khổ.
Tổ chức cần đánh giá các thực hành và các quá trình quản lý rủi ro hiện tại của mình, đánh giá mọi cách biệt và giải quyết những cách biệt đó trong khuôn khổ quản lý rủi ro.
Các thành phần của khuôn khổ quản lý rủi ro và cách thức các thành phần này cùng hoạt động cần được tùy chỉnh theo nhu cầu của tổ chức.
Sự lãnh đạo và cam kết
Lãnh đạo cao nhất và bộ phận giám sát nếu có, cần đảm bảo rằng quản lý rủi ro được tích hợp vào tất cả các hoạt động của tổ chức và cần chứng tỏ sự lãnh đạo và cam kết bằng cách:
– tùy chỉnh và áp dụng tất cả các thành phần của khuôn khổ;
– ban hành tuyên bố hoặc chính sách thiết lập cách tiếp cận, kế hoạch hoặc lộ trình hành động quản lý rủi ro;
– đảm bảo rằng các nguồn lực cần thiết được phân bổ cho việc quản lý rủi ro;
– phân công quyền hạn, trách nhiệm và trách nhiệm giải trình ở các cấp thích hợp trong tổ chức.
Điều này sẽ giúp tổ chức:
– thống nhất quản lý rủi ro với với các mục tiêu, chiến lược và văn hóa của tổ chức;
– nhận biết và giải quyết mọi nghĩa vụ, cũng như các cam kết tự nguyện của tổ chức;
– thiết lập số lượng về loại rủi ro được phép hoặc không được phép đưa vào hướng dẫn xây dựng các tiêu chí rủi ro, đảm bảo rằng chúng được trao đổi thông tin trong tổ chức và với các bên liên quan;
– trao đổi thông tin về giá trị của quản lý rủi ro trong tổ chức và với các bên liên quan;
– thúc đẩy việc theo dõi một cách hệ thống các rủi ro;
– đảm bảo rằng khuôn khổ quản lý rủi ro giữ được sự phù hợp với bối cảnh của tổ chức.
Lãnh đạo cao nhất chịu trách nhiệm giải trình về quản lý rủi ro còn bộ phận giám sát chịu trách nhiệm giải trình đối với việc giám sát quản lý rủi ro. Bộ phận giám sát thường được kỳ vọng hoặc yêu cầu:
– đảm bảo rằng các rủi ro được xem xét một cách thỏa đáng khi thiết lập các mục tiêu của tổ chức;
– hiểu những rủi ro mà tổ chức phải đối mặt khi theo đuổi các mục tiêu của mình;
– đảm bảo rằng hệ thống để quản lý những rủi ro này được triển khai và vận hành một cách hiệu lực;
– đảm bảo rằng những rủi ro này thích hợp với bối cảnh các mục tiêu của tổ chức;
– đảm bảo rằng thông tin về những rủi ro này và việc quản lý chúng được trao đổi một cách thích hợp.
Tích hợp
Việc tích hợp quản lý rủi ro dựa bên sự hiểu biết về cơ cấu và bối cảnh của tổ chức. Cơ cấu khác nhau tùy thuộc vào mục đích, mục tiêu và sự phức tạp của tổ chức. Rủi ro được quản lý tại từng phần trong cơ cấu của tổ chức. Mọi người trong tổ chức đều có trách nhiệm quản lý rủi ro.
Việc điều hành giúp định hướng cho tổ chức, các mối quan hệ nội bộ, bên ngoài, các quy tắc, quá trình và thực hành cần thiết để đạt được mục đích của tổ chức. Cơ cấu quản lý chuyển định hướng điều hành thành chiến lược và các mục tiêu liên quan cần thiết để đạt được các mức mong muốn về kết quả thực hiện bền vững và khả năng tồn tại lâu dài. Xác định trách nhiệm giải trình về quản lý rủi ro và vai trò giám sát trong tổ chức là một phần không thể thiếu trong điều hành của tổ chức.
Tích hợp quản lý rủi ro vào tổ chức là một quá trình động, lặp lại và cần được tùy chỉnh theo nhu cầu và văn hóa của tổ chức. Quản lý rủi ro cần là một phần không tách biệt với mục đích, việc điều hành, sự lãnh đạo và cam kết, chiến lược, mục tiêu và hoạt động của tổ chức.
Trên đây là bài viết về iso 31000 của Luật Trần và Liên danh. Nếu có thắc mắc hãy gọi cho chúng tôi theo số Hotline: 0969 078 234 để được tư vấn miễn phí.