To main content
Interteks revisorer treffer daglig organisasjoner som lurer på hvordan de kan bli bedre på risikostyring. Mye inspirasjoin og støtte finnes i ISO’s Ledelsessystem standarder. En ISO-sertifisering gir rammeverket, prinsipper, moduser og verktøyene for og systematisk forbedre en organisasjons risikostyring.
Standarder støtter risikostyring

De senere år har risikoer – hvordan man identifiserer, helt unngår eller i det miste minimerer dem – seilet opp som et viktig emne på dagsorden for mange bedrifter og organisasjoner. Nesten daglig mates vi med truslene mot vår eksistens økes: klimaforandringer og andre miljørelaterte risikoer, terror, migrasjon og politisk ustabilitet er bare noen eksempler. Nærmere den daglige virksomheten ligger risikoer som påvirker for eksempel en organisasjons kapasitet til å levere for varemerket på markedet. På høy tid å ta tak i problemet, altså. Men hvordan? – For den som vil øke risikobevissthet og arbeide systematisk med risikohåndtering finnes mye inspirasjon og støtte i ISO’s Ledelsessystem standarder, sier Peter Olausson, Lead Auditor innen informasjonssikkerhet, kvalitet, miljø og arbeidsmiljø hos Intertek. I 2015 publiserte ISO’s første standard fokusert på risikostyring, ISO 31000, men også i ISO 27001 om informasjonssikkerhet og ISO 22301 om kontinuetsplanlegging finnes mye å hente.

Integrert del i virksomheten

Felles for disse standardene er at risikohåndtering ikke ses som et separat problem. For å fungere behøver prosessen for risikohåndtering finnes integrert i alle virksomheter øvrig prosesser.
– For det grunnleggende i hvordan man bygger opp og innfører en risikohåndteringprosess gir ISO 31000 en utmerket veiledning, sier Peter Olausson.
Den gir både prinsipper og rammeverk for risikohåndteringen og beskriver hvordan en risikohåndteringsprosess kan utformes. I korthet handler risikohåndtering av ISO 31000 at utifra den sammenhengen organisasjonen vil identifisere, analysere og evaluere de risikoene man kan tenkes å bli utsatt for, siden kunne håndtere dem på beste mulig måte og også følge opp resultatet av håndteringen.
Hva gjelder om hvordan man best analyserer og evaluerer risikoer finnes det god veiledning for i standarden ISO 22301 (kontinuetsplanlegging).
– Den gir en modell for det man kaller Business Impact Analysis, eller konsekvensanalyse, som er mye anvendt verktøy for å sikre at organisasjonen fokuserer sitt arbeid på de rette risikoene, det vil si at de risikoene som har størst påvirkning for virksomheten, sier Peter Olausson.
Det er imidlertid viktig å komme på at risikohåndtering ikke bare handler om å forhindre, begrense eller håndtere skader. Med et risikobasert Ledelsessystem får organisasjonen et arbeidsett som på bakgrunn av produkter, tjenester og ulike interessenters krav og forbedringer kan identifisere, vurdere og prioritere forretningsprosesser med utgangspunkt i virksomhetens risikoer og muligheter.
– Gjør man det på rett måte bidrar risikohåndteringen altså på en konkret måte til å realisere muligheter sier Peter Olausson.

Slik etablerer du risikobevissthet i din organisasjon
  • Utnevne risikoeieren – en person eller enhet som har ansvar for og har makten til å håndtere en risiko.
  •  Integrere risikohåndtering i ledningssytemets øvrige prosesser.
  • Sikre mandat og engasjement.
  • Etablere og sikre en god risikokultur og åpenhet i virksomheten.
  • Med ISO-sertifisering får dere et helhetsgrep over risikohåndteringen med verktøy og støtte for risikominimering, konstante forbedringer og overholdelse av lovkrav.
  • En ISO-sertifisering bidrar med et par erfaren ekspertise på organisasjonens risikohåndtering.

Lær deg mer om risikohåndtering!

Vil du lære deg mer om hvordan standarder kan støtte din organisasjons risikohåndteringarbeid? Da kan du laste ned et kostnadsfritt webinar der Peter Olausson og Per Sundqvist, Program Manager Informasjonssikkerhet og Lead Auditor innen informasjonssikkerhet, kvalitet, miljø og arbeidsmiljø hos Intertek delersin kunnskap i emnet.

Last ned her

Hva sier ISO 9001 om risikohåndtering?

I den siste utgaven av kvalitetsstandarden ISO 9001 som kom i 2015 og i alle andre ISO-standarder som følger ISO’s såkalte High Level Structure, finnes et tydelig krav at den sertifisserte organisasjonen skal ha en prosess for å håndtere risikoer. Derimot finnes det ingen direkte krav på hvordan prosessen skal være utformet eller dokumentert.