Organisaation riskien hallintaan on tarjolla useita standardeja ja malleja. Ne auttavat jäsentämään omaa riskienhallintaa ja viestimään hyvien käytäntöjen soveltamisesta. Useat yritykset soveltavat useampaa kuin yhtä standardia tai ohjeistoa ja niistä valittuja osia.
Seuraavassa esittelemme muutamia suosituimpia viitekehyksiä.
COSO ERM
Aiemmin mainittu COSO ERM on kahden organisaation, Society of Corporate Compliance and Ethics ja Health Care Compliance Associationin laatima riskienhallintakehys. Sen taustana on yhdysvaltalainen Treadway Commission, joka edistää julkisten ja yksityisten organisaatioiden vastuullista toimintaa.
COSO ERMin lähtökohtana on toiminnan vaatimustenmukaisuus (Compliance), mutta sen mukaan ERM ei ole vain sisäistä tarkastusta, vaikka se käyttää samoja käsitteitä.
COSO ERM esittää viisi riskienhallinnan elemettiä, jotka jakautuvat 20 periaatteeseen. Se tarjoaa myös konkreettisia malleja riskien arviointiin ja arvottamiseen.
COSO ERM -esittely on ladattavissa seuraavasta osoitteesta:
https://www.coso.org/_files/ugd/3059fc_61ea5985b03c4293960642fdce408eaa.pdf
ISO-standardit ja -ohjeet
International Organization for Standardization, ISO, on julkaissut useita riskienhallintaan liittyviä standardeja ja ohjeita, joista mainittakoon seuraavat:
- ISO 31000 on toimialariippumaton riskienhallintastandardi. Se kuvaa riskienhallinnan käsitteet ja termit, joukon periaatteita, suositukset riskienhallinnan kehyksen ja prosessin luomiselle. Se näkee riskienhallinnan strategisena prosessina, joka tukee päätöksentekoa.
- ISO 31004:2013 on ISO 31000:n soveltamisohje.
- ISO 31010:2009 sisältää riskiarvioinnin systemaattisia tekniikoita.
- ISO 27001 on tietoturvallisuuden hallintajärjestelmän (ISMS) standardi. Järjestelmä on keskeinen osa riskienhallintaa.
- ISO Guide 73:2009 on riskienhallinnan ja -arvioinnin sanasto.
ISO-standardien käytön etuna on niiden universaalisuus ja tunnettuus. Myös monet sertifioinnit tukeutuvat niihin.