ISO 31000:2018 Risk Management Guidelines สำหรับองค์กรไทย
Last updated: 20 Apr 2026
83 Views
ISO 31000:2018 เป็นมาตรฐานสากลสำหรับ Risk Management ที่ Non-prescriptive ไม่ได้บอกว่า "ต้องทำอะไร" แต่บอก "ควรคำนึงอะไร"
โครงสร้าง 3 ส่วน
1. Principles (8 หลัก)
2. Framework (6 องค์ประกอบ)
3. Process (การปฏิบัติ)
Principles 8 ข้อ
1. Integrated บูรณาการกับทุกกิจกรรม
2. Structured and Comprehensive มีโครงสร้าง ครอบคลุม
3. Customized ปรับตามบริบท
4. Inclusive รวมผู้มีส่วนได้เสีย
5. Dynamic ปรับตัวตามสถานการณ์
6. Best Available Information ใช้ข้อมูลที่ดีที่สุด
7. Human and Cultural Factors คำนึงถึงคนและวัฒนธรรม
8. Continual Improvement ปรับปรุงต่อเนื่อง
Framework 6 องค์ประกอบ
1. Leadership & Commitment ผู้นำสนับสนุน
2. Integration บูรณาการใน Decision Making
3. Design ออกแบบให้เหมาะกับบริบท
4. Implementation นำไปใช้จริง
5. Evaluation ประเมินประสิทธิผล
6. Improvement ปรับปรุง
Process การบริหารความเสี่ยง
1. Communication & Consultation
2. Scope, Context, Criteria
3. Risk Assessment (Identify, Analyze, Evaluate)
4. Risk Treatment
5. Monitoring & Review
6. Recording & Reporting
ข้อแตกต่างจาก ISO 31000:2009
- สั้นลง (Concise)
- หลัก Principle ลดเหลือ 8
- เน้น Leadership มากขึ้น
- เน้น Integration มากขึ้น
- ไม่มี Certification (เป็น Guideline)
การนำไปใช้
ISO 31000 ใช้คู่กับมาตรฐานอื่นได้ เช่น
- ISO 22301 (BCM) + ISO 31000 (Risk)
- ISO 27001 (InfoSec) + ISO 31000 (Risk)
- COSO ERM + ISO 31000
องค์กรไทยส่วนใหญ่ใช้ ISO 31000 เป็น Foundation แล้วต่อด้วย Framework เฉพาะตามความต้องการ
ไม่มี Certification แต่...
แม้ ISO 31000 ไม่มี Certification ตัวมาตรฐาน แต่ ISO 31000 Professional Certification จาก PECB เป็นที่นิยมในไทย ช่วย Risk Officer เพิ่มคุณวุฒิ
Risk Assessment Techniques
ISO 31000 มี Companion Standard คือ IEC 31010:2019 Risk Assessment Techniques ครอบคลุมกว่า 40 เทคนิค เช่น
- Brainstorming
- SWIFT
- FMEA
- HAZOP
- Bow-tie Analysis
- Monte Carlo Simulation
BCP GURU ให้บริการ ISO 31000
เราช่วยองค์กรไทยวาง Risk Management Framework ตาม ISO 31000 พร้อม Training Certification
สรุป
ISO 31000 เป็น Foundation ของการบริหารความเสี่ยงที่ยืดหยุ่นที่สุด Implementable ในทุกองค์กร ทุกขนาด
สนใจบริการจาก BCP GURU? ติดต่อเราได้ที่ www.bcpguru.com เพื่อคำปรึกษาฟรี
โครงสร้าง 3 ส่วน
1. Principles (8 หลัก)
2. Framework (6 องค์ประกอบ)
3. Process (การปฏิบัติ)
Principles 8 ข้อ
1. Integrated บูรณาการกับทุกกิจกรรม
2. Structured and Comprehensive มีโครงสร้าง ครอบคลุม
3. Customized ปรับตามบริบท
4. Inclusive รวมผู้มีส่วนได้เสีย
5. Dynamic ปรับตัวตามสถานการณ์
6. Best Available Information ใช้ข้อมูลที่ดีที่สุด
7. Human and Cultural Factors คำนึงถึงคนและวัฒนธรรม
8. Continual Improvement ปรับปรุงต่อเนื่อง
Framework 6 องค์ประกอบ
1. Leadership & Commitment ผู้นำสนับสนุน
2. Integration บูรณาการใน Decision Making
3. Design ออกแบบให้เหมาะกับบริบท
4. Implementation นำไปใช้จริง
5. Evaluation ประเมินประสิทธิผล
6. Improvement ปรับปรุง
Process การบริหารความเสี่ยง
1. Communication & Consultation
2. Scope, Context, Criteria
3. Risk Assessment (Identify, Analyze, Evaluate)
4. Risk Treatment
5. Monitoring & Review
6. Recording & Reporting
ข้อแตกต่างจาก ISO 31000:2009
- สั้นลง (Concise)
- หลัก Principle ลดเหลือ 8
- เน้น Leadership มากขึ้น
- เน้น Integration มากขึ้น
- ไม่มี Certification (เป็น Guideline)
การนำไปใช้
ISO 31000 ใช้คู่กับมาตรฐานอื่นได้ เช่น
- ISO 22301 (BCM) + ISO 31000 (Risk)
- ISO 27001 (InfoSec) + ISO 31000 (Risk)
- COSO ERM + ISO 31000
องค์กรไทยส่วนใหญ่ใช้ ISO 31000 เป็น Foundation แล้วต่อด้วย Framework เฉพาะตามความต้องการ
ไม่มี Certification แต่...
แม้ ISO 31000 ไม่มี Certification ตัวมาตรฐาน แต่ ISO 31000 Professional Certification จาก PECB เป็นที่นิยมในไทย ช่วย Risk Officer เพิ่มคุณวุฒิ
Risk Assessment Techniques
ISO 31000 มี Companion Standard คือ IEC 31010:2019 Risk Assessment Techniques ครอบคลุมกว่า 40 เทคนิค เช่น
- Brainstorming
- SWIFT
- FMEA
- HAZOP
- Bow-tie Analysis
- Monte Carlo Simulation
BCP GURU ให้บริการ ISO 31000
เราช่วยองค์กรไทยวาง Risk Management Framework ตาม ISO 31000 พร้อม Training Certification
สรุป
ISO 31000 เป็น Foundation ของการบริหารความเสี่ยงที่ยืดหยุ่นที่สุด Implementable ในทุกองค์กร ทุกขนาด
สนใจบริการจาก BCP GURU? ติดต่อเราได้ที่ www.bcpguru.com เพื่อคำปรึกษาฟรี
Related Content
ในการประชุม BCP คำศัพท์ที่ได้ยินบ่อยที่สุดคือ RTO, RPO, MTPD แต่หลายผู้บริหารยังสับสน วันนี้มาเคลียร์ให้จบ
ในปี 2026 Cyber Attack ไม่ใช่คำถามว่า "ถ้าเกิด" แต่เป็น "เมื่อไหร่จะเกิด" องค์กรไทยโดน Ransomware เฉลี่ย 1 ราย/วัน การมี Cyber Incident Response Plan (CIRP) คือหน้าที่
BCP GURU อธิบาย Tabletop Exercise วิธีจัด Crisis Simulation และตัวอย่างช่องว่างที่พบในองค์กรไทย พร้อมความถี่ที่แนะนำตามมาตรฐาน ISO 22301
