ISO 31011风险管理原则与指南

ISO31000-2009 风险管理原则与实施指南引 言所有类型和规模的组织都面临内部和外部的、 使组织不能确定是否及何时实现其目标的因素和影 响。

这种不确定性所具有的对组织目标的影响就是“风险” 。

组织的所有活动都涉及风险。

组织通过识别、 分析和评定是否运用风险处理修正风险以满足它们 的风险准则， 来管理风险。

通过这个过程， 它们与利益相关方进行沟通和协商， 监测和评审风险， 以及为确保不再进一步需求风险处理而修正风险的控制措施。

本国际标准详细描述了这一系统的 和逻辑的过程。

尽管所有的组织在某种程度上都在管理风险， 本国际标准建立了一些为使风险管理变得有效而需 要满足的原则。

本国际标准建议，组织制定、 实施和持续改进一个框架， 其目的是将风险管理过 程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。

风险管理可以在组织多个领域和层次、 任何时间， 应用到整个组织， 以及具体职能、 项目和活动。

尽管在过去一段时间在许多行业， 为满足不同的需要， 已经开展了风险管理实践， 但在一个综合 框架内采用一致性过程有助于确保在组织内有效、 有效率和结合性地管理风险。

本国际标准中所 描述的通用方法提供了在任何范围和状况下， 以系统、清晰、可靠的方式管理风险的原则和指南。

每一个具体行业或风险管理的应用都产生了各自的需求、 受众、 观念和准则。

因此， 本国际标准 的主要特点是将所包含 “确定状况” 作为通用风险管理过程开始的活动。

目标， 组织所追求目标的环境， 组织的利益相关方和风险准则的多样性， 和评价风险的性质和复杂性。

本国际标准描述的风险管理原则、框架和风险管理过程之间的关系，如图 当依据本国际标准实施和保持风险管理时，能够使组织，例如： —— 提高实现目标的可能性； —— 鼓励主动性管理 ;—— 在整个组织意识到识别和处理风险的需求 ; —— 改进机会和威胁的识别能力； —— 符合相关法律法规要求和国际规范； —— 改进强制性和自愿性报告； —— 改善治理；—— 提高利益相关方的信心和信任； —— 为决策和规划建立可靠的根基； —— 加强控制；—— 有效地分配和利用风险处理的资源；29842 7492 璒.35031 88D7 裗 il25292 62CC 拌 33245 81DD 臝 —— 提高运营的效果和效率； —— 增强健康安全绩效，以及环境保护 ; —— 改善损失预防和事件管理； —— 减少损失； —— 提高组织的学习能力 —— 提高组织的应变能力本国际标准旨在满足众多利益相关方的需求，包括： a ）负责制定组织风险管理方针的人员 ;b ）负责确保在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人员 c) 需要评定组织风险管理有效性的人员；d) 整体或部分地实施风险管理的标准、指南、程序和操作规范的开发者。

ISO 31010风险管理框架风险管理是企业管理中至关重要的一环，它帮助企业在不确定和风险存在的环境中做出明智的决策，以实现目标。

ISO 31010风险管理框架是国际标准化组织（ISO）制定的旨在提供一种系统的方法来评估和管理风险的指南。

本文将介绍ISO 31010风险管理框架的基本原理、方法和应用。

一、ISO 31010风险管理框架的概述ISO 31010风险管理框架是ISO组织编制的一项国际标准，旨在为组织建立一个系统的风险管理过程提供指导。

该框架提供了一系列的方法和技术，用于识别、评估和处理各种类型和级别的风险。

通过ISO 31010，组织可以更好地了解风险的特征和来源，并制定相应的风险管理策略和措施。

二、ISO 31010风险管理框架的基本原理ISO 31010风险管理框架基于以下几个基本原理：1. 全面性：ISO 31010认为风险管理应该覆盖组织内部和外部的各种风险，并包括从内部和外部获取的信息。

2. 适应性：风险管理方法应根据组织的特定需求和情况进行量身定制，并考虑到不同利益相关者的期望和要求。

3. 结果导向：ISO 31010强调风险管理的目的是为了改善决策和实现组织的目标，因此应该关注风险管理的结果和效果。

三、ISO 31010风险管理框架的方法和技术ISO 31010提供了一系列的方法和技术，用于识别、评估和处理各种类型和级别的风险。

这些方法和技术包括但不限于：1. 风险识别：通过调研、专家访谈、场地考察等方法，识别和收集与组织相关的各种风险信息。

2. 风险评估：采用定性和定量的方法，对风险进行评估，包括风险的概率、影响和严重性等方面的评估。

3. 风险应对：根据评估结果，制定适当的风险应对策略和措施，包括风险规避、风险转移、风险控制等。

4. 风险监控和复审：建立监控机制，及时发现和响应新的和变化的风险，并对已经采取的措施进行复审。

四、ISO 31010风险管理框架的应用ISO 31010风险管理框架可应用于各种类型和规模的组织，无论是公共部门还是私营企业。

2011.726中国内部审计企业风险管理是一个复杂而抽象的实践过程，这方面的专业技术仅是组织开展日常工作的工具。

就像一句隽语，即使是理解企业风险管理框架（ＥＲＭ）的人们，最后还是要理解那几个易于掌握的基本原则，其中一个原则就是风险管理是每个人工作的一部分。

事实也是如此，如果不了解如何进行风险管理，那么在日常工作中就不可能始终关注工作中的风险，就不可能很好地履行职责。

但问题在于，不是所有的ＥＲＭ专家都认可这些基本原则，即使认可也会有不同的理解。

两个组织即使风险管理起点相同、原则相同、使用术语相同，也不会按照相同的方式实施ＥＲＭ。

事实上，ＥＲＭ也没有要求两个组织使用同样的方法，因为风险管理实务在组织之间是存在差异的，有各种各样的风险管理方法。

深谙风险管理复杂性并接受ＥＲＭ方法有效地控制风险的需要是风险管理新的推动力。

这就是，全球经济衰退使许多包括金融服务行业在内的组织，暴露了自身风险管理的不足，而税收和政府财政压力也促使公共机构和非营利组织重新审视自身风险管理的实施情况。

ＩＳＯ３１０００标准提供了风险管理的原则与实施指南◆ （英）尼尔·贝克◆ 夏青 编译一般来讲，如果一个组织打算尽可能地提升风险管理水平，就要运用风险管理最佳实践的模型，并将其作为基准点。

确定风险管理模型是内部审计师对所在组织风险管理质量进行评价的第一步。

现在，有许多风险管理模型可供考虑，如特恩布尔指南（ＴｈｅＴｕｒｎｂｕｌｌ　Ｇｕｉｄａｎｃｅ）在英国就非常普遍地使用，ＣＯＳＯ指南也被广泛应用于美国和其他国家。

但要建立一套国际风险管理标准却很困难。

２００９年，日内瓦的国际标准化组织发布了ＩＳＯ３１０００标准（以下简称ＩＳＯ３１０００）：风险管理——原则与实施指南，提供了风险管理的原则和一般性指导方针，可适用于任何类型组织的风险管理。

一、ＩＳＯ３１０００应用的广泛性澳大利亚和新西兰风险管理委员会主席格兰特·珀迪，参与了ＩＳＯ３１０００的编制并在其中发挥了重要作用。

结合实际阐述对风险管理原则六至十一的理解通过新时代认证中心的此次风险管理培训，使我对风险管理有了一定的认识。

风险是指组织所面临的内部的和外部的、使组织不能确定是否及何时实现其目标的因素和影响。

风险管理是针对风险指挥和控制组织的协调活动，使组织能有效的配置资源、优化过程，及时、恰当、有效地应对风险，提高风险应对的效率和效果。

因此，加强风险意识，认真掌握风险管理原则，提高风险管理水平，对于组织更好的实现其目标具有重大意义。

ISO31000：2009《风险管理原则和指南》制定了风险管理的原则与通用的实施指导准则，其中关于风险管理的十一条原则更是其精髓。

本文主要阐述对于其中的原则六至十一的理解。

原则六：风险管理依赖于信息的有效程度。

风险管理过程要以有效的信息为基础，所需的信息来源于如经验、反馈、观察、预测和专家的判断等。

但是，在利用收集到的各种信息时，决策者应考虑到数据、模型和专家判断的局限性。

因此，风险的各个过程中不仅要收集大量的信息，但不能盲目的全部相信，还要考虑各种信息来源的局限性，并且对此加以分析，以确保信息对决策的有效支持。

原则七：风险管理是定制的。

风险管理应符合组织的外部、内部环境和风险状况。

虽说风险无处不在，但具体落实到每个过程，却又是不尽相同的，其与组织的内外部环境有关，也与组织所承担的风险有关，不同的组织所制定的风险标准不一样，风险管理的决策和风险实施就不一样。

需要真正掌握了个体的具体情况，再结合其外部、内部环境和具体的风险标准进行风险管理，才能发挥其有效性。

例如，对于建筑大楼防火的问题，需针对每幢房屋的具体结构，以及其内部设施摆设和外部环境等情况，做出具体的防火险安排。

原则八：风险管理考虑人文因素。

风险管理意识是可以促进或阻碍组织目标的实现的内部和外部人的能量、观念和意图，是一把双刃剑，即可以促进也可以阻碍组织目标的实现。

如果不加以重视和培养的话，由于个人知识、素养、成长环境、教育经历、工作背景等因素影响，我们的思维会出现各种偏差，都有可能导致错误的决策及风险的产生。

安全风险管理标准ＩＳＯ３１０００作者：吉姆·怀廷王光远宁丙文劳动保护年2期字数：3735 字体：【大中小】在安全风险管理领域，一项新的国际标准《ISO 31000：风险管理原则与实施指南》(以下简称ISO 31000)已被国际标准组织(ISO)风险管理技术委员会完成制订工作，并将于2009年正式公布。

ISO 31000是以澳大利亚和新西兰风险管理标准《AS/NZS 4360: 2004》为基础，实现了安全、健康、环境与财务风险管理的一体化，可以应用于任何企业、组织、协会、团体或个体等(以下以“企业”代表所有对象)，并不特别限定于某些行业或部门，具有广泛的应用范围。

该标准的最大特征是将“创建背景”作为风险管理程序的开始，这样可以使该标准满足多样性的需要。

实施这一新的国际标准，企业可以达到如下目的：鼓励采取预防性而非被动性的管理；认识到在整个企业辨识和处置风险的必要性；提高辨识各种隐患的水平；符合相关法律法规和国际标准的要求；提高经济效益；改善企业管理；建立决策和计划的可靠基础；改进事故管理和预防；减少损失等。

风险管理的原则、框架和程序在ISO 31000中，风险管理的原则、框架和程序之间的关系如图1所示。

图1风险管理的原则、框架和程序之间的关系1.原则1）风险管理可以创造价值风险管理有助于企业取得显著成绩，以及提高安全健康、法律法规实施、环境保护、产品质量、经营效率等方面的水平。

2）风险管理是企业管理的组成部分风险管理是企业管理层的责任之一，也是企业管理程序的组成部分，而不仅仅是一项单独的活动。

3）风险管理是决策程序的组成部分风险管理可以帮助决策者做出更加睿智的选择。

风险管理有助于企业实施需要优先采取的措施，也有助于判断风险水平是否可以接受，以及风险处置方法是否适当与有效。

4）风险管理可以明确地处理不确定性风险管理可以指出决策过程中具有不确定性的方面，并能提供相应的处理方法。

5）风险管理具有系统性、组织性和适时性的特点系统性、适时性和组织性的风险管理方法有助于企业提高效率和保持可持续性，并能取得具有可比性和可信赖的结果。

ISOFDIS31000风险管理最终发布版中文翻译稿ISO/FDIS31000Risk management — Principles and guidelinesForeword前言ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies(ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and not-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.ISO（国际标准化组织）是一个各国标准化机构（ISO成员机构）组成的世界性联合会。

制定国际标准的工作通常由ISO的技术委员会完成。

各成员机构若对某技术委员会确定的项目感爱好，有权派代表参加该委员会。

iso31000-2018 风险管理标准中文版概述ISO31000-2018风险管理标准是一套全面、系统的风险管理原则和指导原则，旨在帮助组织有效识别、评估、管理和减轻风险，确保组织在安全、可靠的环境中持续、稳定地发展。

本标准适用于各种类型和规模的组织，包括企业、政府机构、非营利组织等。

主要内容1.风险管理原则ISO31000-2018风险管理标准提出了七项风险管理原则，包括：*全面风险管理：组织应全面识别、评估和管理各种类型和来源的风险。

*风险平衡：组织应综合考虑风险控制和业务机会，确保在风险和机遇之间达成平衡。

*风险可接受标准：组织应根据自身风险承受能力和业务目标，设定可接受的风险水平。

*风险管理过程：组织应建立和完善风险管理过程，包括风险识别、评估、控制、监控等环节。

*风险管理文化：组织应培养员工的风险意识，提高员工的风险管理水平。

*风险管理与其他管理过程的整合：组织应将风险管理融入日常管理过程，与其他管理过程相互支持、协调一致。

2.风险识别风险识别是风险管理过程中的重要环节，组织应通过各种途径和方法，识别各种类型和来源的风险。

风险识别应考虑组织内部和外部因素，包括但不限于：*组织内部因素：包括人员、流程、技术、管理等方面的风险。

*组织外部因素：包括市场、法律、环境、社会等方面的风险。

3.风险评估风险评估是确定风险大小和严重程度的过程，包括定性评估和定量评估。

定性评估通常采用风险概率和影响程度分析方法，定量评估则采用统计方法和模型进行计算和分析。

评估结果可用于制定风险管理策略和措施。

4.风险管理策略和措施根据风险评估结果，组织应制定相应的风险管理策略和措施，包括：*风险控制：采用各种控制措施，降低风险发生的概率或减轻其影响。

*风险转移：通过购买保险、合同等方式，将部分或全部风险责任转移给其他方。

*风险规避：改变业务活动或管理流程，以规避某些特定风险。

*风险接受：在符合法律法规和业务目标的前提下，接受一定水平的风险。

101条风险管理原则（风险和保险管理国际协会1983年年会通过）一般准则１．一个组织的风险管理规划方案必需配合企业之整体目标，且应随着目标之改变而改变．２．假如您要安稳地经营（亦即免除相当程度的经济萧条，破产或产品市场转换之冲撃）您的风险管理方案最好能够更具冒险性及成本最低性．３．不要冒自己所不能够承担之风险．４．切勿冒因小利而受大害之风险.５．多加考虑损失发生之可能性．６．必需要有明确之风险管理目标且此目标需与企业目标一致．７．风险管理部门是属服务部门，因此该部门对企业利润之回馈应以其执行能力之高低为认定之基础．８．对任何重大之风险仅以控制对策或理财对策处理是不够的,必需将此两类对策做适当比例正确之搭配始可．风险辨认衡量准则９．评估财务报表有助于辨认和衡量风险．１０．使用流程图分析有助于辨认一个供货商所引发之风险或其他连带营业中断风险．１１．如果要能更完整地辨认和评估风险，风险管理人员应亲身访问工厂和有关之操作人员．１２．可靠之数据储存库对估计机率和幅度是相当重要的．１３．正确和及时之风险信息有助于降低风险．１４．风险管理人员应涉及任何新计划之设计规划或任何新购置方案之工作，俾便事先能确保不产生风险管理上之问题．１５．企业在合并、购买和短期合营事业上应确定已完成环境风险之评估工作．１６．选择处理具有危险性之废弃物之厂商时应以该厂商在处理废弃物时所采取之风险控制手段是否良好，他们本身之财务结构是否稳定，或从事此危险工作所引发之责任或损失是否良好之保险保障为主要之考虑依据．１７．在重要的风险区域范围内，积极寻求可能涉及的非所愿事件．（重要的风险区域范围指的是航空和核子科技产品，医疗作业失误、工程设计等工作而言．）风险控制准则１８．风险控制是项积极改善风险单位本身性质之工作．它可使成本做最有效之运用同时亦有助单位或部门营运成本之控制．１９．风险控制首要的（和无可置疑的）理由乃是对人们生命的保护．２０．财产保全维护计划是为了保护公司的资产而设计的──并非为了保全人而设计的．２１．对重要工厂和单一供货商应予留意也许它们需要超过HPR正常要求标准的防护措施．２２．要把保险经纪人和保险人所提供之风险控制服务视为自己公司的风险控制规划方案延伸的一部份．不能让他们突然地改变既有之服务内容．２３．质量控制不应视为全部产品责任损失控制方案之替代品．所谓质量控制仅是能确保产品是依据既定之规格制造，不管此一规格是好是坏．２４．政府机关所订有关的安全法规或标准应视为风险控制之最低要求．２５．复制并分开储存有价值之数据文件且储备许多计算机处理数据上需要的软硬件零件．２６．避免安排许多重要主管同乘一架航空器从事旅游或考察.风险理财准则２７．风险管理应着重一次损失之发生，企业能承受之最大损失能力之水平或范围下所分开的两个不同之风险范围．．低于此一范围水平之风险－求取保险与非保险对策之适切成本组合．．高于此一范围水平之风险－尽最大可能转移风险（通常利用保险）此时成本之有效性非决策标准而以存活之机会为决策标准．２８．较少预算限制之经济个体只要对所有之风险管理方案采取预期收益现值大于预期成本现值之方案即可获益．２９．当为了有限之预算或实际之理由时，经济个体在选取互相冲突之风险管理方案时，经济个体应选择预期收益现值与预期成本现值差额最大的风险管理方案．３０．公开竞标易引起市场崩溃应予避免．３１．不要单单依赖某一保险人提供之保险．３２．超过一年以上之追溯费率计划反而妨碍弹性程度．３３．税负减轻之优点仅能视为有利因子－它不是风险理财决策之主要理由．３４．冒风险意谓着在经济上获益之机会．索赔管理准则３５．对任何重大或潜在之损失，风险经理应立即（24小时内）获得通知．３６．对于重大责任损失查勘之适当性和损失准备之正确性应特别注意评估．３７．特别留意涉及各地工厂部门之财产和责任索赔案件．因为各地工厂部门之人员容易为了减低其损失发失之责任而隐瞒实情以致重大之索赔关键无法正确评估．３８．对于重大的财产和营业中断损失及早要求保险人预付部份赔款．３９．对于自行承担之车辆实体毁损应尽可能获取数种之估价数据．４０．主动积极运用代位求偿（不管是被保损失之索赔或未保损失之理贴）可降低理赔成本．４１．索赔和伤残管理规划中应尽可能使员工回复原有之工作，即使员工无法胜任原有所有之工作但可使企业组织节省金钱之花费．４２．定期审查保险人和自我保险人所设立的损失理赔准备．４３．最好的索赔就是结束索赔．员工福利准则４４．员工福利方案的成本和条款应该时常清楚地与员工沟通．４５．当设计一项新的福利项目时，要了解清楚的是将福利给付或项目缩减比事后改善福利项目和内容还难．４６．一个差劲的员工福利计划会比不设立员工福利计划产生更多的人事关系纠纷之问题．４７．员工醵出额即使很小也能有助于评估员工福利方案真正被接受支持之普遍程度．４８．应深切了解在人力市场上与自己公司互相竞争的同业公司之员工福利计划．４９．福利顾问和经纪人无法有效取代内部专业职员之功能．５０．员工福利在集体议商制定时，公司的福利专业人员应积极涉入参与．５１．政府之立法和管理规定对员工福利具有重大实质之影响．故立法通过和执行前，自己企业公司之意见应让政府单位知道．退休年金准则５２．任何退休计划终极成本等于给付支出额加上行政处理费用扣除资金之投资收益．５３．对于大部份不同的精算成本方法和（或）精算假设也许改变了每年退休成本的偶然不同性，但很少改变终极成本之水平．５４．明确确认公司目标与退休计划方案之关系．５５．确认退休计划是属长期之责任义务，这种计划涵盖了许多政治的、经济的和社会的层面环境．５６．做任何有关退休债务之取或舍之决定前，应认清该退休债务之性质和程度范围．５７．应正式以书面建立与退休基金有关之投资目标，此目标应包括投资所可能产生风险之范围，投资项目之多元化之内容和肯定会影响投资绩效之因素有那些．５８．应以投资书面目标评估退休基金之投资绩效．５９．辨认和评估因参加任何同业之合同退休计划所可能产生之不利影响．国际性风险管理准则６０．多国籍企业应逐步提升国际性风险管理之责任．６１．多国籍企业应设立全球性风险和保险管理规划方案；不可完全仰赖条款差异保险．６２．被认可保险与不被认可保险之组合通常提供了最佳的全球性保险计划．６３．避免使用海外之长期保单．６４．在执行全球性风险管理方案时，尤需保持警觉，并且不能低估国家主义所致之严重问题．６５．不要忽视海外当地对全球性计划方案之反对．风险管理行政准则６６．透过一份管理策略说明书建立起不同的权责标准．６７．编制并普通分发公司的风险管理手册．６８．与您的经纪人，保险人和厂商设立实际具体可完成之年度目标俾便评估其成效和结果．６９．应证实您所获取所有有关信息之精确性．７０．仔细阅读每一张保险单．７１．应尽量保持风险管理方案设计之简明化．７２．如果行政工作程序合并简化具积极意义时就该合并．７３．应发展一套纪录保存之程序．７４．公司单位部门间之保费分摊应使人信服。