SIST ISO 31000:2018

Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SLOVENSKI SIST ISO 31000
STANDARD maj 2018
Obvladovanje tveganja – Smernice
Risk management – Guidelines
Management du risque – Lignes directrices
Referenčna oznaka
ICS 03.100.01 SIST ISO 31000:2018 (en,sl)
Nadaljevanje na straneh 2 do 32
© 2018-12. Slovenski inštitut za standardizacijo. Razmnoževanje ali kopiranje celote ali delov tega standarda ni dovoljeno.

Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
NACIONALNI UVOD
Standard SIST ISO 31000 (sl, en), Obvladovanje tveganja – Smernice, 2018, ima status slovenskega
standarda in je enakovreden mednarodnemu standardu ISO 31000, Risk management – Guidelines,
2018.
Ta standard nadomešča SIST ISO 31000:2011.

NACIONALNI PREDGOVOR
Mednarodni standard ISO 31000:2018 je pripravil tehnični odbor ISO/TC 262 Obvladovanje tveganja.
Slovenski standard SIST ISO 31000:2018 je prevod angleškega besedila mednarodnega standarda ISO
31000:2018. V primeru spora glede besedila slovenskega prevoda v tem standardu je odločilen izvirni
mednarodni standard v angleškem jeziku. Slovensko-angleško izdajo standarda je pripravil SIST/TC
VZK Vodenje in zagotavljanje kakovosti.

Odločitev za izdajo tega standarda je dne 26. marca 2018 sprejel SIST/TC VZK Vodenje in
zagotavljanje kakovosti.
ZVEZE S STANDARDI
Ta dokument ne vsebuje zvez s standardi.
OSNOVA ZA IZDAJO STANDARDA
– privzem standarda ISO 31000:2018

PREDHODNA IZDAJA
‒ SIST ISO 31000:2011, Obvladovanje tveganja – Načela in smernice

OPOMBE
– Povsod, kjer se v besedilu standarda uporablja izraz "mednarodni standard", v SIST ISO
31000:2018 to pomeni "slovenski standard".
– Nacionalni uvod in nacionalni predgovor nista sestavni del standarda.

Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
VSEBINA Stran CONTENTS Page
Predgovor . 5 Foreword . 5
Uvod . 7 Introduction . 7
1 Področje uporabe . 9 1 Scope . 9
2 Zveze s standardi . 9 2 Normative references . 9
3 Izrazi in definicije . 9 3 Terms and definitions . 9
4 Načela. 14 4 Principles . 14
5 Okvir . 14 5 Framework . 14
5.1 Splošno . 14 5.1 General . 14
5.2 Voditeljstvo in zavezanost . 16 5.2 Leadership and commitment . 16
5.3 Vključevanje . 17 5.3 Integration . 17
5.4 Zasnova . 17 5.4 Design . 17
5.4.1 Razumevanje organizacije in njenega 5.4.1 Understanding the organization and its
konteksta . 17 context . 17
5.4.2 Izražanje zavezanosti obvladovanju 5.4.2 Articulating risk management
tveganja . 18 commitment . 18
5.4.3 Dodeljevanje organizacijskih vlog, 5.4.3 Assigning organizational roles,
pooblastil in odgovornosti . 19 authorities, responsibilities and
accountabilities . 19

5.4.4 Razporejanje virov . 19 5.4.4 Allocating resources . 19
5.4.5 Vzpostavljanje komuniciranja in 5.4.5 Establishing communication and
posvetovanja . 20 consultation . 20
5.5 Izvajanje . 20 5.5 Implementation . 20
5.6 Ovrednotenje . 21 5.6 Evaluation . 21
5.7 Izboljševanje . 21 5.7 Improvement . 21
5.7.1 Prilagajanje . 21 5.7.1 Adapting . 21
5.7.2 Nenehno izboljševanje . 21 5.7.2 Continually improving . 21
6 Proces. 21 6 Process . 21
6.1 Splošno . 21 6.1 General . 21
6.2 Komuniciranje in posvetovanje . 23 6.2 Communication and consultation . 23
6.3 Obseg, kontekst in merila . 24 6.3 Scope, context and criteria . 24
6.3.1 Splošno . 24 6.3.1 General . 24
6.3.2 Določanje obsega . 24 6.3.2 Defining the scope . 24
6.3.3 Zunanji in notranji kontekst . 24 6.3.3 External and internal context. 24
6.3.4 Določanje meril tveganja . 25 6.3.4 Defining risk criteria . 25
6.4 Ocenjevanje tveganja . 26 6.4 Risk assessment . 26
6.4.1 Splošno . 26 6.4.1 General . 26
6.4.2 Identifikacija tveganja . 26 6.4.2 Risk identification . 26
6.4.3 Analiza tveganja . 27 6.4.3 Risk analysis . 27
6.4.4 Ovrednotenje tveganja . 28 6.4.4 Risk evaluation . 28
6.5 Obravnavanje tveganja . 28 6.5 Risk treatment . 28
Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
6.5.1 Splošno . 28 6.5.1 General . 28
6.5.2 Izbira možnosti obravnavanja 6.5.2 Selection of risk treatment options . 28
tveganja . 28

6.5.3 Priprava in izvajanje načrtov za 6.5.3 Preparing and implementing risk
obravnavanje tveganja . 30 treatment plans . 30
6.6 Spremljanje in pregled . 30 6.6 Monitoring and review . 30
6.7 Zapisovanje in poročanje . 31 6.7 Recording and reporting . 31
Literatura. 32 Bibliography . 32

Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
Predgovor Foreword
ISO (Mednarodna organizacija za ISO (the International Organization for
standardizacijo) je svetovna zveza nacionalnih Standardization) is a worldwide federation of
organov za standarde (članov ISO). Mednarodne national standards bodies (ISO member bodies).
standarde navadno pripravljajo tehnični odbori The work of preparing International Standards is
ISO. Vsak član, ki želi delovati na določenem normally carried out through ISO technical
področju, za katerega je bil ustanovljen tehnični committees. Each member body interested in a
odbor, ima pravico biti zastopan v tem odboru. Pri subject for which a technical committee has been
delu sodelujejo tudi mednarodne vladne in established has the right to be represented on that
nevladne organizacije, povezane z ISO. ISO v committee. International organizations,
vseh zadevah, ki so povezane s standardizacijo governmental and non-governmental, in liaison
na področju elektrotehnike, tesno sodeluje z with ISO, also take part in the work. ISO
Mednarodno elektrotehniško komisijo (IEC). collaborates closely with the International
Electrotechnical Commission (IEC) on all matters
of electrotechnical standardization.
Postopki, uporabljeni pri razvoju tega dokumenta, The procedures used to develop this document
in postopki, predvideni za njegovo nadaljnje and those intended for its further maintenance are
vzdrževanje, so opisani v Direktivah ISO/IEC, 1. described in the ISO/IEC Directives, Part 1. In
del. Posebna pozornost naj se nameni različnim particular the different approval criteria needed for
kriterijem odobritve, potrebnim za različne vrste the different types of ISO documents should be
dokumentov ISO. Ta dokument je bil pripravljen v noted. This document was drafted in accordance
skladu z uredniškimi pravili Direktiv ISO/IEC, 2. del with the editorial rules of the ISO/IEC Directives,
(glej www.iso.org/directives). Part 2 (see www.iso.org/directives).
Opozoriti je treba na možnost, da je lahko nekaj Attention is drawn to the possibility that some of
elementov tega dokumenta predmet patentnih the elements of this document may be the subject
pravic. ISO ne prevzema odgovornosti za of patent rights. ISO shall not be held responsible
identifikacijo katerihkoli ali vseh takih patentnih for identifying any or all such patent rights. Details
pravic. Podrobnosti o morebitnih patentnih of any patent rights identified during the
pravicah, identificiranih med pripravo tega development of the document will be in the
dokumenta, bodo navedene v uvodu in/ali na Introduction and/or on the ISO list of patent
seznamu patentnih izjav, ki jih je prejela declarations received (see www.iso.org/patents).
organizacija ISO (glej www.iso.org/patents).
Morebitna trgovska imena, uporabljena v tem Any trade name used in this document is
dokumentu, so informacije za uporabnike in ne information given for the convenience of users
pomenijo podpore blagovni znamki. and does not constitute an endorsement.
Za razlago prostovoljne narave standardov, For an explanation on the voluntary nature of
pomena specifičnih pojmov in izrazov ISO, standards, the meaning of ISO specific terms and
povezanih z ugotavljanjem skladnosti, ter informacij expressions related to conformity assessment, as
o tem, kako ISO spoštuje načela Mednarodne well as information about ISO’s adherence to the
trgovinske organizacije (WTO) v Tehničnih ovirah World Trade Organization (WTO) principles in the
pri trgovanju (TBT), glej naslednji naslov URL: Technical Barriers to Trade (TBT) see the
www.iso.org/foreword.html. following URL: www.iso.org/iso/foreword.html.
Ta dokument je pripravil tehnični odbor ISO/TC This document was prepared by Technical
262 Obvladovanje tveganja. Committee ISO/TC 262, Risk management.
Ta druga izdaja razveljavlja in nadomešča prvo This second edition cancels and replaces the first
izdajo (ISO 31000:2009), ki je bila tehnično edition (ISO 31000:2009) which has been
revidirana. technically revised.

Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
Glavne spremembe glede na predhodno različico The main changes compared to the previous
so naslednje: edition are as follows:
– review of the principles of risk management,
‒ prenovljena načela obvladovanja tveganja,
which are the key criteria for its success;
ki so ključna merila za njegovo uspešnost,
‒ highlighting of the leadership by top
‒ poudarjanje voditeljstva najvišjega vodstva
management and the integration of risk
in vključevanja obvladovanja tveganja,
management, starting with the governance
začenši z vodenjem organizacije,
of the organization;
– greater emphasis on the iterative nature of
‒ večji poudarek na ponavljajoči se naravi
risk management, noting that new
obvladovanja tveganja, pri čemer lahko nove
experiences, knowledge and analysis can
izkušnje, znanje in analize vodijo do revizije
lead to a revision of process elements,
elementov procesa, ukrepov in ukrepov za
actions and controls at each stage of the
obvladovanje tveganja na posamezni stopnji
process;
procesa,
– streamlining of the content with greater focus
‒ poenostavitev vsebine z večjo osredo-
on sustaining an open systems model to fit
točenostjo na ohranjanju modela odprtega
multiple needs and contexts.
sistema, ki ustreza več potrebam in
kontekstom.
Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
Uvod Introduction
Ta dokument je pripravljen, da ga uporabljajo This document is for use by people who create
osebe, ki z obvladovanjem tveganj, and protect value in organizations by managing
sprejemanjem odločitev, postavljanjem in risks, making decisions, setting and achieving
doseganjem ciljev ter izboljšanjem delovanja objectives and improving performance.
ustvarjajo in varujejo vrednost v organizacijah.
Organizacije vseh vrst in velikosti se soočajo z Organizations of all types and sizes face external
zunanjimi in notranjimi dejavniki ter vplivi, ki jih and internal factors and influences that make it
postavljajo v negotovost, ali bodo dosegle svoje uncertain whether they will achieve their
cilje. objectives.
Obvladovanje tveganja je ponavljajoč se proces Managing risk is iterative and assists
in organizacijam pomaga pri vzpostavljanju organizations in setting strategy, achieving
strategije, doseganju ciljev in sprejemanju objectives and making informed decisions.
informiranih odločitev.
Obvladovanje tveganja je del vodenja in Managing risk is part of governance and
voditeljstva ter predstavlja podlago za vodenje leadership, and is fundamental to how the
organizacije na vseh ravneh. Prispeva k organization is managed at all levels. It
izboljšanju sistemov vodenja. contributes to the improvement of management
systems.
Obvladovanje tveganja je del vseh aktivnosti, Managing risk is part of all activities associated
povezanih z organizacijo, in vključuje interakcijo with an organization and includes interaction
z deležniki. with stakeholders.
Obvladovanje tveganja upošteva zunanji in Managing risk considers the external and
notranji kontekst organizacije, vključno s internal context of the organization, including
človeškim vedenjem in kulturnimi dejavniki. human behaviour and cultural factors.
Obvladovanje tveganja temelji na načelih, okviru Managing risk is based on the principles,
in procesu, opisanih v tem dokumentu, kot framework and process outlined in this
prikazuje slika 1. Te komponente morda že document, as illustrated in Figure 1. These
obstajajo v organizaciji v celoti ali deloma, components might already exist in full or in part
vendar jih je morda treba prilagoditi ali izboljšati, within the organization, however, they might
tako da je obvladovanje tveganja učinkovito, need to be adapted or improved so that
uspešno in konsistentno. managing risk is efficient, effective and
consistent.
Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
Slika 1: Načela, okvir in proces

Figure 1 – Principles, framework and process
Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
Obvladovanje tveganja – Smernice Risk management – Guidelines
Uvod Introduction
1 Področje uporabe 1 Scope
Ta dokument zagotavlja smernice o This document provides guidelines on managing
obvladovanju tveganja, s katerim se soočajo risk faced by organizations. The application of
organizacije. Uporabo teh smernic je mogoče these guidelines can be customized to any
prilagoditi vsaki organizaciji in njenemu organization and its context.
kontekstu.
Ta dokument zagotavlja splošni pristop k This document provides a common approach to
obvladovanju vseh vrst tveganja in ni specifičen managing any type of risk and is not industry or
za neko industrijo ali sektor. sector specific.
Ta dokument se lahko uporablja v celotnem This document can be used throughout the life
življenju organizacije in za katerokoli aktivnost, of the organization and can be applied to any
vključno s sprejemanjem odločitev na vseh activity, including decision-making at all levels.
ravneh.
2 Zveze s standardi 2 Normative references
Ta dokument ne vsebuje zvez s standardi. There are no normative references in this
document.
3 Izrazi in definicije 3 Terms and definitions
V tem dokumentu se uporabljajo naslednji izrazi For the purposes of this document, the following
in definicije. terms and definitions apply.
ISO in IEC vzdržujeta terminološke zbirke ISO and IEC maintain terminological databases
podatkov za uporabo v standardizaciji na for use in standardization at the following
naslednjih naslovih: addresses:

‒ platforma za brskanje po spletu ISO: ‒ ISO Online browsing platform: available at
dostopna na http://www.iso.org/obp http://www.iso.org/obp
‒ IEC Electropedia: dostopna na ‒ IEC Electropedia: available at
http://www.electropedia.org http:// www.electropedia.org
3.1 3.1
tveganje risk
vpliv negotovosti na doseganje ciljev effect of uncertainty on objectives
OPOMBA 1: Vpliv je odstopanje od pričakovanega. Note 1 to entry: An effect is a deviation from the

Lahko je pozitiven, negativen ali oboje ter se expected. It can be positive, negative
lahko nanaša na priložnosti in grožnje, jih or both, and can address, create or
ustvarja ali jih povzroči. result in opportunities and threats.
Note 2 to entry: Objectives can have different aspects
OPOMBA 2: Cilji imajo lahko različne vidike in kategorije
and categories, and can be applied at
ter se lahko nanašajo na različne ravni.
different levels.
OPOMBA 3: Tveganje je navadno izraženo v obliki virov Note 3 to entry: Risk is usually expressed in terms of
tveganja (3.4), potencialnih dogodkov risk sources (3.4), potential events
(3.5), njihovih posledic (3.6) in njihove (3.5), their consequences (3.6) and
verjetnosti (3.7). their likelihood (3.7).
3.2 3.2
obvladovanje tveganja risk management
usklajene aktivnosti za usmerjanje in nadzo- coordinated activities to direct and control an
rovanje organizacije v zvezi s tveganjem (3.1) organization with regard to risk (3.1)
Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
3.3 3.3
deležnik stakeholder
oseba ali organizacija, ki lahko vpliva na person or organization that can affect, be
odločitev ali aktivnost ali na katero odločitev ali affected by, or perceive themselves to be
aktivnost vpliva ali ji daje občutek, da vpliva affected by a decision or activity
nanjo
OPOMBA 1: Namesto izraza "deležnik" se lahko Note 1 to entry: The term "interested party" can be
uporablja izraz "zainteresirana stran". used as an alternative to
"stakeholder".
3.4 3.4
vir tveganja risk source
element, ki je sam ali v kombinaciji z drugimi element which alone or in combination has the
elementi sposoben povzročiti tveganje (3.1) potential to give rise to risk (3.1)
3.5 3.5
dogodek event
pojav ali sprememba določenega spleta occurrence or change of a particular set of
okoliščin circumstances
OPOMBA 1: Dogodek lahko zajema enega ali več Note 1 to entry: An event can have one or more
pojavov ter ima lahko več vzrokov in več occurrences, and can have several
posledic (3.6). causes and several consequences
(3.6).
OPOMBA 2: Dogodek je lahko tudi nekaj, kar je
Note 2 to entry: An event can also be something that is
pričakovano, a se ne zgodi, ali nekaj, kar ni
expected which does not happen, or
pričakovano, a se zgodi.
something that is not expected which
does happen.
OPOMBA 3: Dogodek je lahko vir tveganja.
Note 3 to entry: An event can be a risk source.
3.6 3.6
posledica consequence
izid nekega dogodka (3.5), ki vpliva na cilje outcome of an event (3.5) affecting objectives
OPOMBA 1: Posledica je lahko gotova ali negotova in ima Note 1 to entry: A consequence can be certain or
lahko pozitivne ali negativne neposredne ali uncertain and can have positive or
posredne vplive na cilje. negative direct or indirect effects on
objectives.
OPOMBA 2: Posledice se lahko izražajo kakovostno ali
Note 2 to entry: Consequences can be expressed
količinsko.
qualitatively or quantitatively.
Note 3 to entry: Any consequence can escalate
OPOMBA 3: Vsaka posledica se lahko stopnjuje s
through cascading and cumulative
kaskadnimi in kumulativnimi vplivi.
effects.
3.7 3.7
verjetnost likelihood
možnost, da se bo nekaj zgodilo chance of something happening
Note 1 to entry: In risk management (3.2)
OPOMBA 1: V terminologiji obvladovanja tveganja (3.2)
terminology, the word "likelihood" is
se beseda "verjetnost" uporablja za
used to refer to the chance of
označevanje možnosti, da se bo nekaj
something happening, whether
zgodilo, ki se lahko določi, izmeri ali ugotovi
defined, measured or determined
objektivno ali subjektivno, kakovostno ali
objectively or subjectively,
količinsko ter opiše s pomočjo splošnih
qualitatively or quantitatively, and
izrazov ali matematično (kot verjetnost ali
described using general terms or
pogostnost v danem časovnem obdobju).
mathematically (such as a probability
or a frequency over a given time
period).
OPOMBA 2: Angleški izraz "likelihood" v nekaterih jezikih Note 2 to entry: The English term "likelihood" does not
nima neposredne ustreznice, namesto njega have a direct equivalent in some
se pogosto uporablja ustreznica za izraz languages; instead, the equivalent of
"probability". V angleščini pa se "probability" the term "probability" is often used.
pogosto ožje razlaga kot matematični izraz. However, in English, "probability" is
Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
Zato se v terminologiji obvladovanja often narrowly interpreted as a
tveganja "likelihood« uporablja z namenom, mathematical term. Therefore, in risk
da bi imel enako širšo razlago, kot ga ima management terminology, "likelihood"
izraz "probability" v številnih jezikih, razen v is used with the intent that it should
angleškem. have the same broad interpretation as
the term "probability" has in many
languages other than English.
3.8 3.8
ukrep za obvladovanje tveganja control
ukrep, ki ohranja in/ali spreminja tveganje (3.1) measure that maintains and/or modifies risk (3.1)
OPOMBA 1: Ukrepi za obvladovanje tveganja med Note 1 to entry: Controls include, but are not limited to,

drugim vključujejo vsak proces, politiko, any process, policy, device, practice,
napravo, prakso ali druge pogoje in/ali or other conditions and/or actions
ukrepe, ki ohranjajo in/ali spremenijo which maintain and/or modify risk.
tveganje.
Note 2 to entry: Controls may not always exert the
intended or assumed modifying effect.
OPOMBA 2: Ukrepi za obvladovanje tveganja mogoče ne
bodo vedno imeli nameravanega ali
pričakovanega spreminjajočega učinka.
4 Načela 4 Principles
Namen obvladovanja tveganja je ustvarjati in The purpose of risk management is the creation
varovati vrednost. Izboljšuje delovanje, spodbuja and protection of value. It improves
inovativnost in podpira doseganje ciljev. performance, encourages innovation and
supports the achievement of objectives.
Načela, zapisana na sliki 2, podajajo napotke za The principles outlined in Figure 2 provide
značilnosti uspešnega in učinkovitega guidance on the characteristics of effective and
obvladovanja tveganja, sporočanje njegove efficient risk management, communicating its
vrednosti in razlago njegovega namena. Načela value and explaining its intention and purpose.
so temelj za obvladovanje tveganja in naj se The principles are the foundation for managing
upoštevajo ob vzpostavljanju okvira in procesov risk and should be considered when establishing
za obvladovanje tveganja v organizaciji. Ta the organization’s risk management framework
načela naj organizaciji omogočajo obvladovati and processes. These principles should enable
vplive negotovosti na doseganje ciljev. an organization to manage the effects of
uncertainty on its objectives.

Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
Slika 2: Načela
Figure 2 – Principles
Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
Za uspešno obvladovanje tveganja so potrebni Effective risk management requires the
elementi s slike 2, ki jih je mogoče dodatno elements of Figure 2 and can be further
razložiti, kot sledi. explained as follows.
a) Vključeno a) Integrated
Obvladovanje tveganja je sestavni del vseh Risk management is an integral part of all
organizacijskih aktivnosti. organizational activities.
b) Strukturirano in celovito b) Structured and comprehensive
Strukturiran in celovit pristop k A structured and comprehensive approach
obvladovanju tveganja prispeva h to risk management contributes to
konsistentnim in primerljivim rezultatom. consistent and comparable results.
c) Prilagojeno c) Customized
Okvir in proces obvladovanja tveganja sta The risk management framework and
prilagojena in sorazmerna z zunanjim in process are customized and proportionate
notranjim kontekstom organizacije, to the organization’s external and internal
povezanim z njenimi cilji. context related to its objectives.
d) Vključujoče d) Inclusive
Ustrezno in pravočasno vključevanje Appropriate and timely involvement of
deležnikov omogoča upoštevanje njihovega stakeholders enables their knowledge,
znanja, pogledov in dojemanja. To se views and perceptions to be considered.
odraža v izboljšanem zavedanju in This results in improved awareness and
informiranem obvladovanju tveganja. informed risk management.
e) Dinamično e) Dynamic
Tveganja se lahko pojavijo, spremenijo ali Risks can emerge, change or disappear as
izginejo, ko se spremenita notranji in an organization’s external and internal
zunanji kontekst organizacije. Obvlado- context changes. Risk management
vanje tveganja vključuje ustrezno in anticipates, detects, acknowledges and
pravočasno pričakovanje, zaznavanje in responds to those changes and events in an
sprejemanje teh sprememb in dogodkov ter appropriate and timely manner.
odzivanje nanje.
f) Najboljše razpoložljive informacije f) Best available information
Vhodi v obvladovanje tveganja temeljijo na The inputs to risk management are based
preteklih in trenutnih informacijah ter tudi na on historical and current information, as well
pričakovanjih za prihodnost. Obvladovanje as on future expectations. Risk
tveganja izrecno upošteva vse omejitve in management explicitly takes into account
negotovosti v zvezi s takšnimi informacijami any limitations and uncertainties associated
in pričakovanji. Informacije naj bodo with such information and expectations.
pravočasne, jasne in na voljo ustreznim Information should be timely, clear and
deležnikom. available to relevant stakeholders.
g) Človeški in kulturni dejavniki g) Human and cultural factors
Človeško vedenje in kultura pomembno Human behaviour and culture significantly
vplivata na vse vidike obvladovanja influence all aspects of risk management at
tveganja na vseh ravneh in stopnjah. each level and stage.
h) Nenehno izboljševanje h) Continual improvement
Obvladovanje tveganja se nenehno Risk management is continually improved
izboljšuje z učenjem in izkušnjami. through learning and experience.

Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
5 Okvir 5 Framework
5.1 Splošno 5.1 General
Namen okvira obvladovanja tveganja je The purpose of the risk management framework
pomagati organizaciji pri vključevanju is to assist the organization in integrating risk
obvladovanja tveganja v pomembne aktivnosti in management into significant activities and
funkcije. Uspeh obvladovanja tveganja bo functions. The effectiveness of risk management
odvisen od njegove vključenosti v vodenje will depend on its integration into the governance
organizacije, vključno s sprejemanjem odločitev. of the organization, including decision-making.
To zahteva podporo deležnikov, še posebej This requires support from stakeholders,
najvišjega vodstva. particularly top management.
Razvoj okvira obsega vključevanje, zasnovo, Framework development encompasses
izvajanje, ovrednotenje in izboljševanje integrating, designing, implementing, evaluating
obvladovanja tveganja v organizaciji. Slika 3 and improving risk management across the
prikazuje komponente okvira. organization. Figure 3 illustrates the components
of a framework.
Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
Slika 3: Okvir
Figure 3 – Framework
Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
Organizacija naj ovrednoti obstoječe prakse in The organization should evaluate its existing risk
procese obvladovanja tveganja, ovrednoti management practices and processes, evaluate
morebitne vrzeli in jih obravnava v tem okviru. any gaps and address those gaps within the
framework.
Komponente okvira in način, na katerega The components of the framework and the way
delujejo skupaj, naj se prilagodijo potrebam in which they work together should be
organizacije. customized to the needs of the organization.
5.2 Voditeljstvo in zavezanost 5.2 Leadership and commitment
Najvišje vodstvo in po potrebi nadzorni organi Top management and oversight bodies, where
naj, kjer je to primerno, zagotovijo, da je applicable, should ensure that risk management
obvladovanje tveganja vključeno v vse is integrated into all organizational activities and
organizacijske aktivnosti, pri tem pa naj dokažejo should demonstrate leadership and commitment
sposobnost vodenja in zavezanost: by:

‒ s prilagajanjem in izvajanjem vseh ‒ customizing and implementing all
komponent okvira, components of the framework;
‒ z izjavo ali politiko, ki vzpostavlja pristop, ‒ issuing a statement or policy that
načrt in potek ukrepanja na področju establishes a risk management approach,
obvladovanja tveganja, plan or course of action;
‒ z zagotovitvijo, da so obvladovanju ‒ ensuring that the necessary resources are
tveganja dodeljena potrebna sredstva, allocated to managing risk;
‒ z dodelitvijo pooblastil in odgovornosti na ‒ assigning authority, responsibility and
ustreznih ravneh v organizaciji. accountability at appropriate levels within
the organization.
To bo pomagalo organizaciji pri: This will help the organization to:

‒ uskladitvi obvladovanja tveganja z njenimi ‒ align risk management with its objectives,
cilji, strategijo in kulturo, strategy and culture;
‒ prepoznavanju in obravnavanju vseh ‒ recognize and address all obligations, as
obveznosti in tudi prostovoljnih zavez, well as its voluntary commitments;
‒ vzpostavljanju količine in vrste tveganja, ki ‒ establish the amount and type of risk that
se lahko ali ne upošteva kot vodilo pri may or may not be taken to guide the
razvoju meril tveganja, kar zagotavlja, da so development of risk criteria, ensuring that
organizacija in njeni deležniki o njih they are communicated to the organization
obveščeni, and its stakeholders;

‒ obveščanju organizacije in njenih ‒ communicate the value of risk management
deležnikov o vrednosti obvladovanja to the organization and its stakeholders;
tveganja,
‒ spodbujanju sistematičnega nadzorovanja ‒ promote systematic monitoring of risks;
tveganj,
‒ zagotavljanju, da okvir obvladovanja ‒ ensure that the risk management
tveganja še naprej ustreza kontekstu framework remains appropriate to the
organizacije. context of the organization.
Najvišje vodstvo je odgovorno za obvladovanje Top management is accountable for managing
tveganja, medtem ko so nadzorni organi r
risk while oversight bodies are accountable fo
odgovorni za nadzorovanje obvladovanja overseeing risk management. Oversight bodies
tveganja. Od nadzornih organov se navadno are often expected or required to:
pričakuje ali zahteva, da:
Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
‒ zagotavljajo, da so tveganja ustrezno ‒ ensure that risks are adequately considered
upoštevana pri postavljanju ciljev when setting the organization’s objectives;
organizacije;
‒ understand the risks facing the organization
‒ razumejo tveganja, s katerimi se srečuje in pursuit of its objectives;
organizacija pri sledenju ciljev;

‒ zagotavljajo, da so sistemi za obvladovanje ‒ ensure that systems to manage such risks
takšnih tveganj vzpostavljeni in učinkovito are implemented and operating effectively;
delujejo;
‒ zagotavljajo, da so takšna tveganja ‒ ensure that such risks are appropriate in the
ustrezna v kontekstu ciljev organizacije; context of the organization’s objectives;
‒ zagotavljajo, da so informacije o takšnih ‒ ensure that information about such risks
tveganjih in njihovem obvladovanju pravilno and their management is properly
posredovane. communicated.
5.3 Vključevanje 5.3 Integration
Vključevanje obvladovanja tveganja temelji na Integrating risk management relies on an
razumevanju organizacijskih struktur in understanding of organizational structures and
konteksta. Strukture se razlikujejo glede na context. Structures differ depending on the
namen, cilje in kompleksnost organizacije. organization’s purpose, goals and complexity.
Tveganje se obvladuje v vsakem delu strukture Risk is managed in every part of the
organizacije. Vsi v organizaciji so odgovorni za organization’s structure. Everyone in an
obvladovanje tveganja. organization has responsibility for managing
risk.
Vodenje usmerja organizacijo, njene zunanje in Governance guides the course of the
notranje odnose ter pravila, procese in prakse, organization, its external and internal
potrebne za doseganje njenega namena. relationships, and the rules, processes and
Strukture vodenja prevajajo usmeritev vodenja v practices needed to achieve its purpose.
strategijo in povezane cilje, potrebne za Management structures translate governance
doseganje želenih ravni trajnostnega delovanja direction into the strategy and associated
in dolgoročne uspešnosti. Določevanje objectives required to achieve desired levels of
odgovornosti za obvladovanje tveganja in vloge sustainable performance and long-term viability.
za nadzor v organizaciji so sestavni deli vodenja Determining risk management accountability
organizacije. and oversight roles within an organization are
integral parts of the organization’s governance.
Vključevanje obvladovanja tveganja v Integrating risk management into an
organizacijo je dinamičen in ponavljajoč se organization is a dynamic and iterative process,
proces, ki naj se prilagodi potrebam in kulturi and should be customized to the organization’s
organizacije. Obvladovanje tveganja naj bo del needs and culture. Risk management should be
organizacijskega namena, vodenja, voditeljstva a part of, and not separate from, the
in zavezanosti, strategije, ciljev in operacij ter naj organizational purpose, governance, leadership
od njih ne bo ločen. and commitment, strategy, objectives and
operations.
5.4 Zasnova 5.4 Design
5.4.1 Razumevanje organizacije in njenega 5.4.1 Understanding the organization and
konteksta its context
Pri zasnovi okvira za obvladovanje tveganja naj When designing the framework for managing
organizacija preuči in razume svoj zunanji in risk, the organization should examine and
notranji kontekst. understand its external and internal context.

Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
Preučevanje zunanjega konteksta organizacije Examining the organization’s external context
lahko med drugim vključuje: may include, but is not limited to:

‒ družbene, kulturne, politične, pravne, ‒ the social, cultural, political, legal,
regulativne, finančne, tehnološke, regulatory, financial, technological,
ekonomske in okoljske dejavnike, ki so economic and environmental factors,
lahko mednarodni, nacionalni, regionalni ali whether international, national, regional or
lokalni, local;
‒ ključna gonila in trende, ki vplivajo na cilje ‒ key drivers and trends affecting the
organizacije, objectives of the organization;

‒ odnose z zunanjimi deležniki, njihovo ‒ external stakeholders’ relationships,
dojemanje, vrednote, potrebe in perceptions, values, needs and
pričakovanja, expectations;
‒ pogodbene odnose in zaveze, ‒ contractual relationships and commitments;
‒ kompleksnost omrežij in odvisnosti. ‒ the complexity of networks and
dependencies.
Preučevanje notranjega konteksta organizacije Examining the organization’s internal context
lahko med drugim vključuje: may include, but is not limited to:

‒ vizijo, poslanstvo in vrednote, ‒ vision, mission and values;
‒ vodenje, organizacijsko strukturo, vloge in ‒ governance, organizational structure, roles
odgovornosti, and accountabilities;
‒ strategijo, cilje in politike, ‒ strategy, objectives and policies;

‒ kulturo organizacije, ‒ the organization’s culture;
‒ standarde, smernice in modele, ki jih je ‒ standards, guidelines and models adopted
organizacija sprejela, by the organization;
‒ zmogljivosti v pomenu virov in znanja (npr. ‒ capabilities, understood in terms of
kapital, čas, ljudje, intelektualna lastnina, resources and knowledge (e.g. capital,
procesi, sistemi in tehnologije), time, people, intellectual property,
processes, systems and technologies);

‒ podatke, informacijske sisteme in ‒ data, information systems and information
informacijske tokove, flows;
‒ odnose z notranjimi deležniki ter ‒ relationships with internal stakeholders,
upoštevanje njihovega dojemanja in taking into account their perceptions and
vrednot, values;
‒ pogodbene odnose in zaveze, ‒ contractual relationships and commitments;
‒ medsebojne odvisnosti in medsebojne ‒ interdependencies and interconnections.
povezave.
5.4.2 Izražanje zavezanosti obvladovanju 5.4.2 Articulating risk management
tveganja commitment
Najvišje vodstvo in nadzorni organi naj, kjer je to Top management and oversight bodies, where
primerno, dokažejo in izrazijo nenehno applicable, should demonstrate and articulate
zavezanost obvladovanju tveganja s politiko, their continual commitment to risk management
izjavo ali drugimi oblikami, ki jasno sporočajo through a policy, a statement or other forms that
cilje organizacije in njeno zavezanost clearly convey an organization’s objectives and
obvladovanju tveganja. Zavezanost naj med commitment to risk management. The
drugim vključuje: commitment should include, but is not limited to:
Posebna objava SIST z dovoljenjem CEN, CENELEC, ISO in IEC: Za potrebe zagotavljanja brezplačnega dostopa do vsebin standardov v času epidemije COVID-19.
Samo za branje. Kopiranje in posredovanje prepovedano. © SIST 2020-04-10
SIST ISO 31000 : 2018
‒ namen organizacije pri obvladovanju ‒ the organization’s purpose for managing
tveganja in povezave z njenimi cilji in risk and links to its objectives and other
drugimi politikami, policies;
‒ okrepitev potrebe po vključitvi obvladovanja ‒ reinforcing the need to integrate risk
tveganja v celovito kulturo organizacije, management into the overall culture of the
organization;
‒ vključevanje obvladovanja tveganja v ‒ leading the integration of risk management
temeljne poslovne aktivnosti in odločanje, into core business activities and decision-
making;
‒ pooblastila in odgovornosti,
‒ authorities, responsibilities and
accountabilities;
‒ zagotovitev potrebnih virov, ‒ making the necessary resources available;

‒ način obravnavanja nasprotujočih si ciljev, ‒ the way in which conflicting objectives are
dealt with;
‒ merjenje in poročanje v okviru kazalnikov ‒ measurement and reporting within the
delovanja organizacije, organization’s performance indicators;
‒ pregle
...