U obavljanju svoje delatnosti, sve vrste organizacija, bez obzira na svoju veličinu, se susreću sa internim ili eksternim faktorima koji dovode do neizvesnosti da li će i kada biti ostvareni postavljeni ciljevi. Sve aktivnosti organizacije uključuju postojanje rizika. Organizacija upravlja tim rizicima tako što ih identifikuje, analizira, vrši njihovu evaluaciju i donosi odluke o postupanju sa njima. U toku procesa upravljanja rizicima organizacija komunicira sa zainteresovanim stranama i vrši monitoring i reviziju rizika i kontrola kojima se smanjuje rizik i obezbeđuje nivo rizika na kojem više nije potrebno tretirati takve rizike.
Standard ISO 31000 preporučuje da organizacija razvija, implementira i konstantno unapređuje okvir čija je svrha integracija procesa upravljanja rizicima u čitavoj organizaciji, tj. na kompanijskom nivou (u procesima upravljanja, definisanja strategije i planiranja, procesima izveštavanja, politikama, vrednostima kompanije i korporativnoj kulturi). Integracija procesa upravljanja rizicima na nivou čitave organizacije se u literaturi često sreće pod pojmovima kompanijsko upravljanje rizicima, upravljanje rizicima kompanije i sl. (eng. Enterprise Risk Management – ERM).
Upravljanje rizicima može biti primenjeno na svim nivoima organizacije – od kompanijskog nivoa, preko pojedinih organizacionih delova, pa sve do pojedinačnih projekata i aktivnosti.
Standard ISO 31000 pruža generičke smernice za upravlјanje rizicima u celoj organizaciji. Ovaj standard je zasnovan na australijsko-novozelandskom standardu AS/NZ 4360:2004. Usvajanjem standarda ISO 31000:2009 prestao je da važi AS/NZ 4360:2004.
Prema standardu ISO 31000 proces upravljanja rizikom obuhvata:
- Komuniciranje i konsultovanje
- Utvrđivanje konteksta (Utvrđivanje elemenata modela koji definiše osnovne parametre upravljanja rizicima i određuje oblasti primene i kriterijume za ostatak procesa)
- Identifikaciju rizika
- Analizu rizika
- Ocenu (vrednovanje) rizika
- Postupanje sa rizicima (tretiranje rizika)
- Monitoring i preispitivanje
Implementacijom procesa upravljanja rizicima prema ISO 31000 organizacija može imati višestruke koristi:
- povećanje verovatnoće ostvarivanja postavljenih poslovnih ciljeva,
- podsticanje proaktivnog delovanja menadžmenta
- povećanje svesti i shvatanja potrebe identifikacije i tretiranja rizika u organizaciji,
- unapređenje sposobnosti identifikovanja šansi i pretnji,
- povećano usklađivanje sa relevantnim zakonskim normama i međunarodnim standardima,
- unapređenje upravljanja, izveštavanja, poverenja zainteresovanih strana,
- ustanovljavanje pouzdane osnove za donošenje odluka i planiranja,
- snižavanje gubitaka, efikasnije korišćenje resursa,
- unapređenje zdravlja i bezbednosti zaposlenih, unapređenje poslovanja, zaštite životne sredine,
- unapređenje otpornosti organizacije prema problemima i dr.