ISO 31000 er en international standard, der giver vejledning i at styre risiko. Den er frivillig og kan ikke certificeres, men mange organisationer bruger den som fælles sprog for, hvordan risici identificeres, vurderes og håndteres. Standarden står på tre ben: et sæt principper, et rammeværk forankret i ledelsen og en proces, man gentager løbende. Den seneste udgave er ISO 31000:2018, der på dansk udgives som DS/ISO 31000. Dansk Standard kalder den risikoledelse, og du møder også betegnelsen risikostyring om det samme arbejde.
ISO 31000:2018 hviler på otte principper: risikoledelse skal være integreret i organisationen, struktureret og helhedsorienteret, tilpasset organisationen, inddragende over for interessenter, dynamisk, baseret på den bedste tilgængelige viden, opmærksom på menneskelige og kulturelle forhold og under løbende forbedring. Formålet, der binder dem sammen, er at skabe og beskytte værdi.
ISO 31000:2018, pkt. 4Rammeværket har seks komponenter med ledelse og engagement (leadership and commitment) i centrum: integration, design, implementering, evaluering og forbedring. Topledelsen skal sætte retning, afsætte ressourcer og placere ansvar, så risikoledelse bliver en del af organisationens styring og daglige drift.
ISO 31000:2018, pkt. 5Processen omfatter kommunikation og høring, fastlæggelse af afgrænsning, kontekst og kriterier, risikovurdering (identifikation, analyse og evaluering af risici), risikobehandling samt overvågning, gennemgang, registrering og rapportering. Trinene gentages løbende, efterhånden som forhold ændrer sig.
ISO 31000:2018, pkt. 6ISO 31000 indeholder vejledning (guidelines), ikke krav der kan revideres til certificering. En organisation kan derfor ikke blive ISO 31000-certificeret, men kan bruge standarden internt og lade principperne understøtte certificerbare standarder som ISO 22301 og ISO/IEC 27001.
ISO 31000:2018, indledningISO 31000 er bygget op om tre dele, der hænger sammen. Principperne beskriver, hvad god risikoledelse kendetegnes ved. Rammeværket forankrer arbejdet i ledelse og styring. Processen er de konkrete trin, man gentager i praksis.
I Danmark udgives standarden af Dansk Standard som DS/ISO 31000 og kaldes risikoledelse. Indholdet svarer til den internationale ISO 31000:2018. Dansk Standard udbyder også kurser og vejledningsmateriale.
ISO 31000 er en frivillig standard og ikke lovgivning. Ingen myndighed fører tilsyn med, om en organisation følger den, og der findes ingen certificering. Standarden vedligeholdes internationalt af ISO i den tekniske komité ISO/TC 262 og udgives i Danmark af Dansk Standard.
Da der ikke kan certificeres, dokumenterer organisationer typisk efterlevelse gennem intern eller ekstern revision, hvor risikoledelsen holdes op mod standardens principper og proces.
ISO 31000 er den overordnede, frivillige ramme for risikoledelse og kan ikke certificeres. Den leverer principper og proces, som de mere specifikke standarder bygger videre på: ISO 22301 (driftskontinuitet) og ISO/IEC 27001 (informationssikkerhed) er certificerbare ledelsessystemer, der behandler bestemte risikotyper. Hvor beredskabsloven, NIS2, CER og DORA er bindende lovkrav med myndighedstilsyn, er ISO 31000 et frivilligt fagligt fundament, som organisationer kan bruge til at strukturere det risikoarbejde, lovgivningen forudsætter.
Nej. ISO 31000 indeholder vejledning, ikke krav der kan revideres til certificering. En organisation kan bruge standarden internt og lade den understøtte certificerbare standarder som ISO 22301, men man kan ikke få et ISO 31000-certifikat.
ISO 31000 er en overordnet, vejledende ramme for at styre alle typer risiko. ISO 22301 er et certificerbart ledelsessystem for nødberedskab og driftskontinuitet, der retter sig specifikt mod afbrydelser. Mange bruger ISO 31000 til at identificere risici og ISO 22301 til at håndtere risikoen for driftsstop.
Enhver organisation uanset størrelse, branche eller sektor. Standarden er skrevet til at kunne tilpasses, så både virksomheder, offentlige myndigheder og foreninger kan bruge den som fælles fremgangsmåde for risikoledelse.
Få en uforpligtende gennemgang af, hvad der gælder for jer, og hvordan I dokumenterer beredskabet.
Kontakt for en gennemgang