Standard ISO 31000 Zarządzanie ryzykiem zasady i wytyczne to jeden z ważniejszych dokumentów dla każdego menadżera ryzyka i każdego, kto zainteresowany jest systematycznym, zintegrowanym, holistycznym podejściem do ryzyka. Jest to w istocie zbiór zasad, reguł, spisanych dobrych praktyk, które pokazują zainteresowanym jak można efektywnie, najbardziej sensownie wdrożyć zarządzanie ryzykiem w swojej organizacji. I bez znaczenia czy jest to przedsiębiorstwo, sektor publiczny czy organizacja trzeciego sektora.

W Polsce jak się wydaje są dobre podstawy do wdrażania ISO 3100 nie tylko dlatego że ma status Polskiej Normy (PN), ale również, dlatego że normowane z ISO jest w ogóle u nas dobrze zakorzenione. Bardzo wiele organizacji wdraża u siebie standardy ISO najczęściej chyba te z rodziny 9000 ale oczywiście nie tylko; standardów na różne okoliczności nam nie brakuje.

Osobiście mam swoje odrębne zdanie na temat powszechnego pędu do certyfikowania wszystkiego, a w szczególności złożonych systemów zarządzania, zdaje się nie ma badań potwierdzających, że samo posiadanie ładnego dyplomu z kolorowymi pieczątkami powieszonego w gabinecie Szefa Szefów daje przepustkę do sukcesów w biznesie. No, nie. Może natomiast dawać złudne poczucie, że standardy myślą za nas, zarządzają jakością, bezpieczeństwem, informacją. Niby każdy się zgodzi z tymi zastrzeżeniami, ale…

No, ale nie o tym miało być dzisiaj, ale o naszym ryzykonomicznym case study, którym są pojawiające się tu i ówdzie informacje nt. “certyfikacja ISO 31000″. Tymczasem już w rozdziale 1 polskiego wydania normy na stronie 15 czytamy:

„Niniejsza Norma Międzynarodowa nie jest przeznaczona do stosowania na potrzeby certyfikacji”

Uzasadnienie tego prostego stwierdzenia, które jest jak mi się wydaje jest kontestowane tu i ówdzie przez zapalonych certyfikatorów, jest dosyć proste i każdy, kto wdrażał w praktyce zarządzanie ryzykiem (jak choćby Wasz Zespól Ryzykonomii) zdaje sobie sprawę, że systemy zarządzania ryzykiem, aby dobrze działały muszą być zawsze dopasowane, uszyte na miarę organizacji. A certyfikacja ISO31000 musi być garniturem nie na miarę, ale z natury rzeczy – z “siecówki”.

Różne są zwykle „driver’y” wdrożenia zarządzania ryzykiem. Raz to wymóg dostawcy, innym razem parenta, innym wolna wola światłego zarządu. Mamy też zupełną dowolność w zaprojektowaniu jak ma wyglądać struktura ramowa (framework) zarządzania ryzykiem w organizacji, jak ma się ono w niej „dziać”. Tego po prostu nie da się z-certyfikować. Oczywiście, jakiś certyfikat zawsze można wypuścić, potwierdzający chociażby, że “jest zrobiona identyfikacja, komunikacja i konsultacja”.
Tylko, co z tego praktycznego wynika? Oficjalne zapewnienie, że wszystkie koncepcje znalazły miejsce w naszym regulaminie wewnetrznym? Można i tak, ale chyba nie o to chodzi we wdrożeniu. Tak naprawdę, realna certyfikacja ISO31000 będą to te ryzykonomiczne business case-y, które pokażą czy zbudowaliśmy (jakąś) odporność naszej organizacji na ryzyko.

Ostatecznie przecież, weryfikacja efektywności sytemu zarządzania ryzykiem, powinna następować zarówno przez wewnętrzne mechanizmy samokontroli wpisane w sam standard jak i audyt wewnętrzny czy zewnętrzny.

Kończąc ten krótki wywód “w temacie” certyfikacja ISO31000, (przynajmniej w obecnym stanie rzeczy, bo przecież różne rzeczy może jeszcze ISO odnośnie opublikować, taki mały disclaimer), dodamy przy okazji, że gdybyście jednak chcieli uzyskać zapewnienie, że na temat certyfikacji dostarczyliśmy wam w powyższym tekście odpowiedniej informacji chętnie wyślemy wam stosowny certyfikat, piszcie.

Dodaj komentarz

Be the First to Comment!

Notify of
avatar
wpDiscuz