ISO31000风险管理标准(中文版)

ISO31000风险管理标准（中文版）

风险管理——原则与实施指导准则

1、适用范围

本标准制定了风险管理的原则与通用的实施指导准则。本标准适用于任何公共、私有或社会企业、协会、团体或个人。因此，这一标准是通用的，而不局限于特定行业或部门。为便于陈述，本标准将所有不同的对象都称之为“组织”。

本标准应用于组织的整个生命过程，以及一系列广泛的活动、流程、职能、项目、产品、服务、资产、业务和决策。虽然本标准提供了通用的指导准则，但并不建议所有组织实行统一的风险管理。风险管理的设计和实施取决于特定组织的不同需要、组织特定的目标、范围、组织结构、产品、服务项目、业务流程和具体操作。

本标准将协调与统一现有的和未来的风险管理标准。本标准提供了一个通用的处理具体风险/或部门的方法，但并不是取代那些标准。此外，本标准将不用于认证。

2、规范性引用

本标准将引用以下文件。若引用的文件标有日期，只有引用的版本适用。

ISO / IEC导则73 ，风险管理——词汇1

3 术语和定义

本文采用ISO / IEC导则73给出的术语和定义。

4 风险管理的原则

为达到最大的效益，组织的风险管理应遵循以下原则：

a ）风险管理创造价值。

风险管理有助于目标的实现和改进，例如，人类健康和安全、法律和法规、公众认同、环境保护、财务、产品质量、业务效率、公司治理和声誉。

b ）风险管理是组织进程中不可分割的组成部分。

风险管理是管理职责中的一部分，同所有项目、变更管理流程一样是组织进程中不可分割的一部分。风险管理不是与组织主要活动和组织进程分离的独立活动。

c ）风险管理是决策的一部分。

风险管理有助于决策者作出明智的选择。风险管理有助于确立优选方案以及对各备选方案的判断。最后，风险管理有助于决策者确定风险的可接受程度以及风险处理的合理性与有效性。

d ）风险管理明确地将不确定性表达出来。

风险管理可以处理决策中的不确定性、不确定性因素，以及这些不确定性如何表达。

e ）风险管理应系统化、结构化、及时化。

系统、及时、结构化的风险管理方法有助于提高效率和可持续发展，增加可靠性。

f ）风险管理依赖于信息的有效程度。

风险管理所需的信息来源于如经验、反馈、观察、预测和专家的判断等。但是，决策者应考虑到数据或模型的局限性以及专家之间产生分歧的可能性。

g ）风险管理应适应组织。

风险管理应符合组织的外部、内部环境和风险状况。

h ）风险管理应考虑人力和文化因素。

风险管理应考虑外部和内部人员的能力、观点和倾向，这些因素可以促进或阻碍组织目标的实现。

i ）风险管理应该是透明的、包容的。

风险管理应包括利益相关者，尤其组织的各级决策者，以确保风险管理工作的相关性并及时更新。允许利益相关者对风险管理提出自己的观点，在风险标准的确定中应考虑他们的意见。

j ）风险管理应该是动态的、反复的以及适应变化的。

由于内部和外部事件的不断发生、背景和知识的不断改变、监控和审查的出现、新风险的发生，以及其它一些影响因素的变化或消失。因此，组织应保持风险管理的敏感性并及时响应变革。

k ）风险管理应不断改善和加强。

组织应当制定和实施战略，来完善组织各方面的风险管理。附件A “加强风险管理属性”提供了进一步的信息。

5 风险管理框架

5.1概述

要取得成功，风险管理应在一个风险管理框架内发挥作用，该框架提供了基础和组织安排，并贯穿于整个组织的各个层级。该框架通过在组织各个层级，根据具体情况应用风险管理过程（见第6条），帮助组织有效的管理风险。该框架应确保来自这些过程的风险信息是准确报导的，以及决策是以该信息为基础制定的，并明确相关各级组织的责任关系。

这一条款描述了风险管理框架的组成部分，以及它们之间的相互关系(如图2所示)。

5.2 任务和承诺

5.3风险管理框架设计

5.3.1了解组织及其背景

5.3.2 风险管理政策

5.3.3 整合组织过程

5.3.4 责任

5.3.5 资源

5.3.6 建立内部沟通与报告机制

5.3.7 建立外部沟通与报告机制

5.6 持续改善框架

5..4 实施风险管理

5.4.1实施风险管理框架

5.4.2实施风险管理过程

5.5 监控与审查框架

图2 风险管理框架的组成部分

这个框架不是描述一个管理系统，只是协助组织将风险管理整合到整个管理系统中。因此,组织应该根据自己的需求来确定框架的组成部分。

如果组织现有的管理措施和程序中已包含了部分风险管理的组成部分，或者组织已经采用了应对某些特定类型风险或状况的风险管理，这时，组织就应以本标准为基准，严格审查和评估自身的不足。

5.2 任务和承诺

风险管理的引用并确保其持续的有效，需要组织强烈和持续的承诺，以及在战略的高度严格的规划。管理层应做到：

——明确表达并认同风险管理政策；

——确定风险管理绩效指标，并使之符合组织的绩效指标；

——确保风险管理的目标与组织的目标和战略一致；

——符合法律和法规；

——明确管理责任，将责任适当的分配到组织各级；

——确保必要的资源分配给风险管理；

——向利益相关者传达风险管理的益处；

——确保该框架对风险的管理仍然是合适的。

5.3 风险管理框架设计

5.3.1 了解组织及其环境

在开始设计、实施风险管理的框架之前，了解组织外部与内部环境是很重要的，因为这些对风险管理框架的设计影响非常显著。组织外部环境包括如下几个方面，但并不局限于此：

——文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境，无论是国际、国内、区域或地方；

——影响组织目标的主要驱动因素和发展趋势；

——外部利益相关者的观点和价值观。

组织内部环境包括如下几个方面，但并不局限于此：

——资源与知识的理解能力（如：资本、时间、人力、流程、系统和技术）；

——信息系统、信息流动以及决策过程（包括正式和非正式的）；

——内部利益相关者；

——政策，为实现的目标及战略；

——观念、价值观、文化；

——组织通过的标准以及参考模型；

——结构（如：治理、角色、责任）。

5.3.2 风险管理政策

风险管理政策应明确地表达组织的目标，以及对风险管理的承诺，具体如下：

——风险管理政策、组织目标以及其它政策之间的联系；

——组织风险管理的理由；

——风险管理的职责；

——处理利益冲突的方式；

——组织的风险偏好或风险规避；

——风险管理的流程、工具和方法；

——支持风险管理的资源；

——衡量和报告风险管理结果的形式；

——承诺定期审查和核实风险管理政策和框架，并不断改善；

——适当的沟通交流风险管理政策。

5.3.3 整合组织流程

风险管理应融入到组织活动与业务流程中，使其保持相关性、有效且高效率。风险管理过程应成为组织过程中的一部分，而不是脱离。特别是，风险管理应融入到政策制定、商业和战略规划、以及管理流程的变革中。

组织应有一个涉及整个组织的风险管理计划，以确保风险管理政策的实施和风险管理融入到组织的活动和业务流程中。

5.3.4 职责

组织应确保风险管理的职责与权利，包括风险管理的实施与维护，并确保足够的风险控制及其有效性。以下措施将有助于此：——指定风险管理框架的制定、实施和维护的责任人；

——指定风险应对、风险控制和报告风险信息的责任人；

——建立绩效评估、内部和外部报告体系，并对流程进行升级；

——确保适当的认可、奖励、考核和制裁。

5.3.5 资源

组织应制定切实可行的方法，为风险管理调配适当的资源。应考虑以下内容：

——人力、技能、经验和能力；

——风险管理过程中每个步骤需要的资源；

——记录在案的过程和程序；

——信息和知识管理系统。

5.3.6 建立内部沟通与报告机制

组织应建立内部沟通与报告机制，应确定以下内容：

——对风险管理框架的关键组成部分，以及其后的任何修改进行适当的沟通；

——确保足够的内部报告，并确保其是有效和富有成果的；

——来源于风险管理过程中的相关信息在一定程度上是有效的；

——向内部利益相关者咨询。

这些机制应包括巩固组织内部风险信息的各种来源，并保持对风险信息的敏感性。

5.3.7 建立外部沟通与报告机制

组织应制定并实施如何与外部利益相关者进行沟通的计划。其应包括：

——适当联络外部利益相关者，并确保有效的进行信息交流；

——外部报告遵守法律法规、监管和公司治理的要求；

——按法律规定批露信息；

——提供沟通和咨询的反馈和报告；

——在组织中通过沟通建立信任；

——发生危机或紧急状况时与利益相关者进行沟通。

5.4 风险管理实施

5.4.1风险管理实施框架

在风险管理框架的实施中，组织应做到：

——确定执行风险管理框架的合理时机与战略；

——适用于风险管理政策和流程的组织程序；

——遵守法律和法规的要求；

——决策目标的制定应与风险管理的应用效果一致；

——召开信息发布、交流和相关的培训会议；

——与利益相关者沟通以确保风险管理框架仍然合适。

5.4.2 风险管理实施流程

风险管理的实施必须确保第6条所述的风险管理流程应用于组织所有相关层级，这是组织的职能之一，也是组织的必要组成部分。

5.5 监控与审查框架

为确保风险管理的有效性和对组织业绩的持续支持，组织应：

——建立绩效评估；

——定期衡量风险管理进展情况以及风险管理计划的偏差程度；

——定期审查风险管理框架、政策、及计划是否仍适用于组织的内部与外部环境；

——风险报告应须包含风险描述、风险管理计划的进度和风险管理政策的遵循程度；

——审查风险管理框架的有效性。

5.6 持续改善框架

根据审查结果，决定如何改善风险管理的框架、政策、及计划。这些决策有助于风险管理和风险管理文化的改善，使组织得到提升。

6 风险管理过程

6.1 概述

风险管理过程是企业管理不可分割的一部分，且应融入到组织的文化和活动中，并与组织的业务流程相适应。它包括从6.2至6.7所述的活动。风险管理过程包括五个活动：沟通与协商、确定环境状况、风险评估、风险处理、监控与审查，如图3所示。这些活动记录了风险管理的过程，具体描述如下。

6．4 风险评估

6．2

沟通与协商

6．6

监控与审查

6．3 确定环境

6．4．2 风险识别

6．5风险处理

6．4．3风险分析

6．4．4风险评价

图3 风险管理过程

6.2 沟通与协商

在风险管理过程中的每一个阶段，都需要与内部、外部利益相关者进行沟通与协商。因此，应在初期阶段建立与内部、外部利益相关者沟通和协商的计划。这个计划应提出风险本身的问题、后果（如果已知）以及处理方法。

组织通过内部、外部有效的沟通与协商，确保风险管理实施责任人和利益相关者能够理解决策的基础以及必须采取特别行动的原因。

团队协商的方式有助于如下几点：

——有助于风险环境状况的确定；

——确保利益相关者的利益得到理解和考虑；

——从不同的角度分析风险；

——有助于风险的正确识别；

——有助于风险评估中不同的观点被考虑进来；

——在风险管理过程中，促进管理的完善；

——使实施计划得到拥护和支持；

——制定适当的内部以及外部的沟通和协商计划。

与利益相关者进行沟通与协商是非常重要的，因为他们可以根据自己的风险认知对风险进行判断。他们对风险的认知取决于他们的价值观、需求、设想、观念和对利益相关者的考虑。由于他们的观点对决策有着深远的影响，因此在决策过程中确认、记录并考虑利益相关者的看法是非常重要的。

沟通和协商计划应包括如下几点，但并不局限于此：

——与利益相关者交换信息；

——诚实、准确、直接、可靠的传达信息；

——评估贡献的价值。

6.3 确定环境

6.3.1 概述

6.3.2 确定外部环境

6.3.3确定内部环境

6.3.4 确定风险管理过程环境

6.3.5制定风险标准

6.4风险评估6.4.1概述

6.4.2风险识别

6.4.3风险分析

6.4.4风险评价

6.5风险处理6.5.1概述