Во-первых, в ГОСТ 31000 нет термина “система управления рисками”
В международном стандарте ISO31000 и его российской адаптации ГОСТ ИСО 31000 не используется термин система управления рисками. Не путать с системным управлением рисками и необходимостью использовать систематический и регулярный подход к управлению рисками.
Во-вторых, это полностью противоречит принципам, которые изложены в ГОСТ 310000, и практике управления рисками в развитых странах
Начну с того, что напомню вам, что ISO 31000:2009 адаптирован и принят в 88% стран из 50 крупнейших по показателю ВВП. В России стандарт переведен и адаптирован как ГОСТ ИСО 31000:2010. Лично я готов согласиться, что, на данный момент времени, ISO 31000 можно считать основным общепринятым стандартом по управлению рисками в мире.
Так вот в этом самом стандарте написано несколько очень интересных вещей, которые похоже мы, в России, совсем упустили из вида:
Настоящая инфраструктура предназначена не для того, чтобы предписать систему управления, а для того, чтобы оказать содействие организации во внедрении риск-менеджмента в свою общую систему менеджмента.
Или вот еще:
Настоящий стандарт рекомендует, чтобы организации разрабатывали, внедряли и постоянно улучшали инфраструктуру, цель которой заключается в интегрировании процесса менеджмента риска в общее управление, стратегию и планирование, менеджмент, процессы отчетности, политику, ценности и культуру.
При всем уважении к переводчикам стандарта я постараюсь описать вышесказанное своими словами, тем более что в оригинальной, английской версии все намного понятнее.
Управление рисками – это набор принципов, процессов и инструментов, которые должны интегрироваться / встраиваться в существующую в компании систему управления. Это означает, что никакой отдельной системы управления рисками существовать не может, а ведь это именно то, что сделали практически все российские компании – создали систему альтернативную сложившимся в компании бизнес процессам. Мне, например, кажется абсурдно наличие нормативных документов по рискам, отдельной отчетности о рисках или даже мероприятий по управлению рисками. Зачем? Если в организации уже есть нормативные документы, отчетность и планы мероприятий. Нужно менять их с учетом рисков, а не строить свою альтернативную реальность.
Еще в апреле 2010 года я собирал риск-завтрак в PwC и говорил о том, что привычные подходы к управлению рисками должны измениться (http://www.slideshare.net/AlexSidorenko/changing-riskmanagement-landscape). Тогда 42% присутствующих риск менеджеров сказали, что внедренная в организации система управления рисками никак не должна видоизмениться, 38% сказали, что возможно претерпит незначительные изменения (https://ru.scribd.com/doc/59182436/I-Risk-Management-Breakfast-Results-Ru). Ах, как же они заблуждались!
Казалось бы такая мелочь, три слова, а это в корне меняет всю концепцию управления рисками. И теперь мы имеем то, что имеем – Росимущество и целый комитет экспертов при нем выпускают методические указания по подготовке положения о системе управления рисками, в котором все не о том…
Check out other decision making books
RISK-ACADEMY offers online courses

Informed Risk Taking
Learn 15 practical steps on integrating risk management into decision making, business processes, organizational culture and other activities!

ISO31000 Integrating Risk Management
Alex Sidorenko, known for his risk management blog http://www.riskacademy.blog, has created a 25-step program to integrate risk management into decision making, core business processes and the overall culture of the organization.

Advanced Risk Governance
This course gives guidance, motivation, critical information, and practical case studies to move beyond traditional risk governance, helping ensure risk management is not a stand-alone process but a change driver for business.