ISO31000风险管理原则的指南

2011.726中国内部审计企业风险管理是一个复杂而抽象的实践过程，这方面的专业技术仅是组织开展日常工作的工具。

就像一句隽语，即使是理解企业风险管理框架（ＥＲＭ）的人们，最后还是要理解那几个易于掌握的基本原则，其中一个原则就是风险管理是每个人工作的一部分。

事实也是如此，如果不了解如何进行风险管理，那么在日常工作中就不可能始终关注工作中的风险，就不可能很好地履行职责。

但问题在于，不是所有的ＥＲＭ专家都认可这些基本原则，即使认可也会有不同的理解。

两个组织即使风险管理起点相同、原则相同、使用术语相同，也不会按照相同的方式实施ＥＲＭ。

事实上，ＥＲＭ也没有要求两个组织使用同样的方法，因为风险管理实务在组织之间是存在差异的，有各种各样的风险管理方法。

深谙风险管理复杂性并接受ＥＲＭ方法有效地控制风险的需要是风险管理新的推动力。

这就是，全球经济衰退使许多包括金融服务行业在内的组织，暴露了自身风险管理的不足，而税收和政府财政压力也促使公共机构和非营利组织重新审视自身风险管理的实施情况。

ＩＳＯ３１０００标准提供了风险管理的原则与实施指南◆ （英）尼尔·贝克◆ 夏青 编译一般来讲，如果一个组织打算尽可能地提升风险管理水平，就要运用风险管理最佳实践的模型，并将其作为基准点。

确定风险管理模型是内部审计师对所在组织风险管理质量进行评价的第一步。

现在，有许多风险管理模型可供考虑，如特恩布尔指南（ＴｈｅＴｕｒｎｂｕｌｌ　Ｇｕｉｄａｎｃｅ）在英国就非常普遍地使用，ＣＯＳＯ指南也被广泛应用于美国和其他国家。

但要建立一套国际风险管理标准却很困难。

２００９年，日内瓦的国际标准化组织发布了ＩＳＯ３１０００标准（以下简称ＩＳＯ３１０００）：风险管理——原则与实施指南，提供了风险管理的原则和一般性指导方针，可适用于任何类型组织的风险管理。

一、ＩＳＯ３１０００应用的广泛性澳大利亚和新西兰风险管理委员会主席格兰特·珀迪，参与了ＩＳＯ３１０００的编制并在其中发挥了重要作用。

ISO 31010风险管理框架风险管理是企业管理中至关重要的一环，它帮助企业在不确定和风险存在的环境中做出明智的决策，以实现目标。

ISO 31010风险管理框架是国际标准化组织（ISO）制定的旨在提供一种系统的方法来评估和管理风险的指南。

本文将介绍ISO 31010风险管理框架的基本原理、方法和应用。

一、ISO 31010风险管理框架的概述ISO 31010风险管理框架是ISO组织编制的一项国际标准，旨在为组织建立一个系统的风险管理过程提供指导。

该框架提供了一系列的方法和技术，用于识别、评估和处理各种类型和级别的风险。

通过ISO 31010，组织可以更好地了解风险的特征和来源，并制定相应的风险管理策略和措施。

二、ISO 31010风险管理框架的基本原理ISO 31010风险管理框架基于以下几个基本原理：1. 全面性：ISO 31010认为风险管理应该覆盖组织内部和外部的各种风险，并包括从内部和外部获取的信息。

2. 适应性：风险管理方法应根据组织的特定需求和情况进行量身定制，并考虑到不同利益相关者的期望和要求。

3. 结果导向：ISO 31010强调风险管理的目的是为了改善决策和实现组织的目标，因此应该关注风险管理的结果和效果。

三、ISO 31010风险管理框架的方法和技术ISO 31010提供了一系列的方法和技术，用于识别、评估和处理各种类型和级别的风险。

这些方法和技术包括但不限于：1. 风险识别：通过调研、专家访谈、场地考察等方法，识别和收集与组织相关的各种风险信息。

2. 风险评估：采用定性和定量的方法，对风险进行评估，包括风险的概率、影响和严重性等方面的评估。

3. 风险应对：根据评估结果，制定适当的风险应对策略和措施，包括风险规避、风险转移、风险控制等。

4. 风险监控和复审：建立监控机制，及时发现和响应新的和变化的风险，并对已经采取的措施进行复审。

四、ISO 31010风险管理框架的应用ISO 31010风险管理框架可应用于各种类型和规模的组织，无论是公共部门还是私营企业。

ISO 31000：2009 风险管理3. 原则为使风险管理有效，组织应在所有层次上遵循如下原则。

a) 风险管理创造并保护价值。

风险管理对组织可证实的目标达成和业绩提升做出贡献，这些目标包括人身健康与安全、保安措施、法律法规符合性、公众接受度、环境保护、产品质量、财务绩效、项目管理、运营效率、治理和名誉等。

b) 风险管理是组织所有过程整体性的一部分。

风险管理不是独立的、与组织的主要活动和过程相分离的一项活动。

风险管理是管理职责的一部分，是构成组织所有过程整体性所必需的一部分，包括战略策划、所有项目以及变更管理过程。

c) 风险管理是决策的一部分。

风险管理帮助决策者进行正式的选择、优化活动顺序并辨别可选择的行动路线。

d) 风险管理清晰地阐明不确定性。

风险管理清晰地考虑不确定性、不确定性的性质，以及如何能清晰地阐明它。

e) 风险管理是系统的、结构化的和适时的。

系统的、适时的、结构化的风险管理方法有助于提高效率，并获得一致的、可比较的和可靠的结果。

f) 风险管理基于最可利用的信息。

管理风险的过程的输入基于以下信息来源，如历史数据、经验、利益相关方的反馈、观察、预测和专家判断。

然而，决策者应提醒自己并考虑所使用数据或模型的局限性或各专家之间的分歧可能性。

g) 风险管理是定制的。

风险管理与组织的外部和内部环境以及风险状况相适应。

h) 风险管理考虑人文因素。

风险管理识别外部和内部人员的能力、感知和意愿，这些能促进或阻碍目标的实现。

i) 风险管理是透明、包容的。

利益相关方（特别是组织所有层级的决策者）对风险管理工作的适当和及时参与，可以确保组织的风险管理策略是适当的和最新的。

所以，应允许有适当的利益相关方代表参与风险管理，并在决定风险准则中考虑他们的意见。

j) 风险管理动态的、往复的，并对变化保持相应。

随着外部和内部事件的变化，环境和知识的变化，另一些风险则可能消逝。

所以，风险管理应该对变化保持持续的感应和相应。

Forum学术论坛 2018年7月165DOI:10.19699/ki.issn2096-0298.2018.20.1652018版ISO31000《风险管理指南》综述与解析中国海洋石油集团有限公司 卢新瑞摘 要：本文介绍ISO31000最新版《风险管理指南》与原版本的主要变化，综述新标准的主要内容，探讨解析新理念，以期使组织管理更加标准和科学。

关键词：风险管理 框架 战略 目标 绩效中图分类号：F239.45 文献标识码：A 文章编号：2096-0298(2018)07(b)-165-021 背景及变化自2009年发布全球第一版风险管理指南，时隔9年，国际标准组织(ISO)于2018年2月15日更新发布ISO31000《风险管理指南》这一关键标准(下称指南或标准)。

新指南仍然定位于“任何 组织、任何类型、全生命周期、任何活动”，强调指南在风险管理领域的普遍适用性。

新标准相对老标准变化主要体现在四个方面：(1)风险管理原则审查，这是其成功的关键标准；(2)从组织治理入手，强调高级管理层的领导以及风险管理的整合；(3)更加强化风险管理的迭代性质，提出在每一个流程环节，新的实践、知识和分析可以引发对流程要素、行动和控制的修正；(4)精简内容，更加注重支撑一个开放的系统模型，以适应多样化的需求和环境。

2 主要内容新指南采用三轮圆形(如图1所示)呈现，三个圆形图分别表示风险管理的原则、框架和流程。

该三轮圆形模式比第一版示意图形式(如图2所示)更能体现原则、框架和流程三部分之间的相互作用关系，也使指南内容的描述更清晰简洁、更易理解、更加注重和企业管理活动的融入与整合。

新指南对每部分内容进行了较大修改。

图1 新标准风险管理原则、框架和流程及相互关系图2 原标准风险管理原则、框架和流程及相互关系其中，关于风险管理原则部分，第一版共有十一项，分别为：(1)创造价值；(2)组织流程的组成部分；(3)决策的一部分；(4)明确指出不确定性；(5)系统性、结构性和时效性；(6)最佳可用信息；(7)定制化；(8)考虑人员和文化因素；(9)透明度和包容性；(10)动态、持续的应对变化；(11)持续改进与强化。

ISO31000标准提供了风险管理的原则与实施指南
尼尔·贝克;夏青（编译）
【期刊名称】《中国内部审计》
【年(卷),期】2011(000)007
【摘要】企业风险管理是一个复杂而抽象的实践过程，这方面的专业技术仅是组织开展日常工作的工具。

就像一句隽语，即使是理解企业风险管理框架（ERM）的人们，最后还是要理解那几个易于掌握的基本原则，其中一个原则就是风险管理是每个人工作的一部分。

【总页数】2页(P26-27)
【作者】尼尔·贝克;夏青（编译）
【作者单位】不详
【正文语种】中文
【中图分类】F275
【相关文献】
1.风险管理原则在医疗器械标准制修订过程中的应用 [J], 吴平;刘成虎;施燕平
2.基于ISO31000标准的铁路电务段安全风险管理体系建设 [J], 陈辛怡;杨翠坤
3.基于ISO31000标准的P2P网贷平台风险管理研究——以拍拍贷为例 [J], 江乾坤;鲁筱
4.基于ISO31000标准的P2P平台风险管理流程分析 [J], 江乾坤;王燕洁
5.风险管理再造价值\r——对ISO31000风险管理标准下风险导向内部审计的思考[J], 侯俊
因版权原因，仅展示原文概要，查看原文内容请购买。

2011.726中国内部审计企业风险管理是一个复杂而抽象的实践过程，这方面的专业技术仅是组织开展日常工作的工具。

就像一句隽语，即使是理解企业风险管理框架（ＥＲＭ）的人们，最后还是要理解那几个易于掌握的基本原则，其中一个原则就是风险管理是每个人工作的一部分。

事实也是如此，如果不了解如何进行风险管理，那么在日常工作中就不可能始终关注工作中的风险，就不可能很好地履行职责。

但问题在于，不是所有的ＥＲＭ专家都认可这些基本原则，即使认可也会有不同的理解。

两个组织即使风险管理起点相同、原则相同、使用术语相同，也不会按照相同的方式实施ＥＲＭ。

事实上，ＥＲＭ也没有要求两个组织使用同样的方法，因为风险管理实务在组织之间是存在差异的，有各种各样的风险管理方法。

深谙风险管理复杂性并接受ＥＲＭ方法有效地控制风险的需要是风险管理新的推动力。

这就是，全球经济衰退使许多包括金融服务行业在内的组织，暴露了自身风险管理的不足，而税收和政府财政压力也促使公共机构和非营利组织重新审视自身风险管理的实施情况。

ＩＳＯ３１０００标准提供了风险管理的原则与实施指南◆ （英）尼尔·贝克◆ 夏青 编译一般来讲，如果一个组织打算尽可能地提升风险管理水平，就要运用风险管理最佳实践的模型，并将其作为基准点。

确定风险管理模型是内部审计师对所在组织风险管理质量进行评价的第一步。

现在，有许多风险管理模型可供考虑，如特恩布尔指南（ＴｈｅＴｕｒｎｂｕｌｌ　Ｇｕｉｄａｎｃｅ）在英国就非常普遍地使用，ＣＯＳＯ指南也被广泛应用于美国和其他国家。

但要建立一套国际风险管理标准却很困难。

２００９年，日内瓦的国际标准化组织发布了ＩＳＯ３１０００标准（以下简称ＩＳＯ３１０００）：风险管理——原则与实施指南，提供了风险管理的原则和一般性指导方针，可适用于任何类型组织的风险管理。

一、ＩＳＯ３１０００应用的广泛性澳大利亚和新西兰风险管理委员会主席格兰特·珀迪，参与了ＩＳＯ３１０００的编制并在其中发挥了重要作用。

安全风险管理标准ＩＳＯ３１０００作者：吉姆·怀廷王光远宁丙文劳动保护年2期字数：3735 字体：【大中小】在安全风险管理领域，一项新的国际标准《ISO 31000：风险管理原则与实施指南》(以下简称ISO 31000)已被国际标准组织(ISO)风险管理技术委员会完成制订工作，并将于2009年正式公布。

ISO 31000是以澳大利亚和新西兰风险管理标准《AS/NZS 4360: 2004》为基础，实现了安全、健康、环境与财务风险管理的一体化，可以应用于任何企业、组织、协会、团体或个体等(以下以“企业”代表所有对象)，并不特别限定于某些行业或部门，具有广泛的应用范围。

该标准的最大特征是将“创建背景”作为风险管理程序的开始，这样可以使该标准满足多样性的需要。

实施这一新的国际标准，企业可以达到如下目的：鼓励采取预防性而非被动性的管理；认识到在整个企业辨识和处置风险的必要性；提高辨识各种隐患的水平；符合相关法律法规和国际标准的要求；提高经济效益；改善企业管理；建立决策和计划的可靠基础；改进事故管理和预防；减少损失等。

风险管理的原则、框架和程序在ISO 31000中，风险管理的原则、框架和程序之间的关系如图1所示。

图1风险管理的原则、框架和程序之间的关系1.原则1）风险管理可以创造价值风险管理有助于企业取得显著成绩，以及提高安全健康、法律法规实施、环境保护、产品质量、经营效率等方面的水平。

2）风险管理是企业管理的组成部分风险管理是企业管理层的责任之一，也是企业管理程序的组成部分，而不仅仅是一项单独的活动。

3）风险管理是决策程序的组成部分风险管理可以帮助决策者做出更加睿智的选择。

风险管理有助于企业实施需要优先采取的措施，也有助于判断风险水平是否可以接受，以及风险处置方法是否适当与有效。

4）风险管理可以明确地处理不确定性风险管理可以指出决策过程中具有不确定性的方面，并能提供相应的处理方法。

5）风险管理具有系统性、组织性和适时性的特点系统性、适时性和组织性的风险管理方法有助于企业提高效率和保持可持续性，并能取得具有可比性和可信赖的结果。

21世紀企業經營特質●Our-sourcing, off-shoring●Doing more with less風險與管理基本概念●天有不測風雲、人有旦夕禍福●人無遠慮必有近憂●兩權其害取其輕●AS/NZS 4360:1999 Risk Management standard ●AS/NZS 4360:2004修訂並製訂HB 436 Risk Management Guidelines●BS 31100:2008 Risk Management –Code of practice●ISO 31000:2009 Risk Management –Principles and guidelines●ISO/IEC 31010:2009 Risk management –Risk assessment techniquesAS/NZS 4360 Risk Management ProcessBS 31100 Risk Management ModelBS 31100 Risk Management FrameworkBS 31100 Risk Management Process風險管理相關系統●BS 25999-1:2006 Code of practice for business continuity management●BS 25999-2:2007 Specification for business continuity managementNote: business continuity concerns the facilitation of continuous operation of key business functions in a crisis situation while risk management is perceived as a much broader discipline and one that effectively sets out to identify and manage risks that affect an organization .a)創造及保障價值b)組織作業程序的一部分c)決策的一部分d)明確陳述不確定性e)系統性、結構性和即時性f)根據最可靠的資料g)客製化h)考慮人性和文化因素i)透明化和全面性j)動態的、循環的和因應改變的k)促進持續改善設計風險管理架構(4.3)任務與決心(4.2)執行風險管理(4.4)持續改善架構(4.6)監測和審查架構(4.5)確認環境狀況(5.3)風險評估(5.4)風險辨識(5.4.2)風險分析(5.4.3)風險評量(5.4.4)風險處理(5.5)監測和審查(5.6)執行程序(第5章)管理架構(第4章)指導原則(第3章)溝通與諮詢( 5. 2)名詞與定義●Risk風險不確定性對目標的效應●Risk management 風險管理監督和控制組織風險協調性的作業●Risk management framework 風險管理架構提供組織風險管理設計、執行、監測、評估和持續改善基礎和組織運作的組合●Risk management policy 風險管理政策組織整體風險管理意圖和方向的聲明●Risk attitude 風險態度組織評估並進而追求、保有、接受或迴避風險的作法●Risk management plan 風險管理計畫風險管理架構中詳述風險管理作法、管理組合和所需資源的方案●Risk owner 風險擁有者具有風險管理責任和權責的個人或部門●Risk management process風險管理程序系統化運用管理政策、步驟和實務，執行溝通、諮詢、確定背景、辨識、分析、評估、處理、監督和審查風險相關作業●Establishing the context 確認環境界定風險管理應考量的外部和內部因素，並設定風險管理政策適用範圍和風險判定基準●External context 外部環境組織尋求目標達成的外在環境●Internal context 內部環境組織尋求達成目標的內部環境●Communication and consultation 溝通和諮詢組織持續和重複執行的程序，目的在於提供、分享或獲得資訊，並和利益關係人尌風險管理相關課題充分溝通●Stakeholder 利益關係人決策或活動可能影響、受到影響或認為會受到影響的個人或組織●Risk assessment 風險評估整合風險辨識、風險分析和風險評量相關作業的程序●Risk identification 風險辨識辨識、確定和敘述風險的程序，包括辨識風險的來源、事件、事件發生的原因和可能的後果●Risk source 風險來源可能會造成風險的獨立或綜合因素●Event 事件一組特定情況的發生或改變●Consequence 後果影響目標之事件結果●Likelihood 可能性可能發生的機會●Risk profile 風險圖像描述或表達一組風險的方式●Risk analysis 風險分析理解風險特性和判斷風險等級的程序●Risk criteria 風險判定基準判斷風險重要性的依據或參考值●Level of risk 風險等級以後果和可能性描述之獨立或整合風險的等級●Risk evaluation 風險評量比較風險判定基準和風險分析結果以判斷是否風險和/或其程度為可接受或容忍的程序●Risk treatment 風險處理修正風險的程序●Control 控制改變風險的措施●Residual risk 殘餘風險經處理後存在的風險●Monitoring 監測持續審查、監督、嚴格觀察或判斷狀態以辨識需要或預期成效程度的變化Review 審查決定為達到既定目標相關主題適合性、充分性和有效性的作業風險管理的效益及目的●提高達成目標的可能性;●鼓勵主動性管理;●了解組織風險辯識和處理的需求；●改善辨識機會和威脅的能力;●遵循法律規章及國際標準;風險管理的效益及目的(續1)●改善義務性和自發性的宣告或報導;●改善組織治理;●改善利益關係人的信心與信任;●建立決策和規劃可靠的依據;●改善控制;●有效分配和使用風險管理資源;●改善運作效率和成效;風險管理的效益及目的(續2)●加強衛生安全和環境保護績效;●提升損害防阻和意外事件管理能力;●減少損失；●提升組織學習意願；和●提升組織適應能力。

最新ISO31000风险管理体系程序文件1. 简介该文档旨在介绍并制定最新的ISO风险管理体系程序文件。

ISO是国际标准化组织（ISO）发布的风险管理指南，该标准适用于各种组织类型，帮助组织有效管理和减少风险。

2. 风险管理程序2.1 风险识别风险识别是风险管理的第一步。

组织应该建立一个系统化的过程，用于识别与组织目标相关的潜在风险。

这包括收集相关信息，评估现有风险和进行风险分类。

2.2 风险评估风险评估是确定风险的严重程度和优先级的过程。

组织应该使用相应的评估方法和工具，考虑风险的概率和影响，并将风险进行分类。

2.3 风险处理风险处理是在明确的决策框架下选择和实施适当的风险应对措施的过程。

组织应根据风险评估的结果，制定并实施风险处理计划，以减少风险的概率和/或影响。

2.4 监控与审查监控与审查是定期评估和跟踪组织风险管理体系的有效性和适应性的过程。

组织应该设立监测机制，收集足够的信息来评估风险管理措施的有效性，并根据需要调整和改进现有程序。

3. 文件控制为确保组织的风险管理体系程序文件的可靠性和更新性, 需要实施以下文件控制措施:- 对所有相关文档进行版本控制，并确保文档在组织内部的发布一致性。

- 定期检查和审查文件内容，以保持其与实际操作的一致性，并根据需要进行更新和修改。

- 确定文件存档和访问权限，并限制文件访问的范围，以维护机密性和敏感性。

4. 培训与沟通为确保风险管理体系程序的有效实施和持续运作，必须进行相关的培训和沟通:- 向组织内部的相关人员提供风险管理培训，使其了解和掌握风险管理的基本原则和操作规程。

- 建立沟通机制，确保及时传达和共享风险管理相关信息，并促进组织内外部的合作与协调。

5. 持续改进组织应该建立一个持续改进的机制，以保持风险管理体系程序的有效性和适应性:- 监测和评估风险管理体系的绩效，收集相关反馈和建议，并通过反馈来改进和完善程序。

- 定期进行内部和外部的审核和评估，以确保符合ISO标准要求和组织自身的需要。

ISO31000-2009风险管理原则与实施指南引言所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素和影响。

这种不确定性所具有的对组织目标的影响就是“风险”。

组织的所有活动都涉及风险。

组织通过识别、分析和评定是否运用风险处理修正风险以满足它们的风险准则，来管理风险。

通过这个过程，它们与利益相关方进行沟通和协商，监测和评审风险，以及为确保不再进一步需求风险处理而修正风险的控制措施。

本国际标准详细描述了这一系统的和逻辑的过程。

尽管所有的组织在某种程度上都在管理风险，本国际标准建立了一些为使风险管理变得有效而需要满足的原则。

本国际标准建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。

风险管理可以在组织多个领域和层次、任何时间，应用到整个组织，以及具体职能、项目和活动。

尽管在过去一段时间在许多行业，为满足不同的需要，已经开展了风险管理实践，但在一个综合框架内采用一致性过程有助于确保在组织内有效、有效率和结合性地管理风险。

本国际标准中所描述的通用方法提供了在任何范围和状况下，以系统、清晰、可靠的方式管理风险的原则和指南。

每一个具体行业或风险管理的应用都产生了各自的需求、受众、观念和准则。

因此，本国际标准的主要特点是将所包含“确定状况”作为通用风险管理过程开始的活动。

确定状况将捕获组织的目标，组织所追求目标的环境，组织的利益相关方和风险准则的多样性，所有这些都将帮助揭示和评价风险的性质和复杂性。

本国际标准描述的风险管理原则、框架和风险管理过程之间的关系，如图1所示。

当依据本国际标准实施和保持风险管理时，能够使组织，例如：——提高实现目标的可能性；——鼓励主动性管理;——在整个组织意识到识别和处理风险的需求;——改进机会和威胁的识别能力；——符合相关法律法规要求和国际规范；——改进强制性和自愿性报告；——改善治理；——提高利益相关方的信心和信任；——为决策和规划建立可靠的根基；——加强控制；——有效地分配和利用风险处理的资源；29842 7492 璒.35031 88D7 裗il25292 62CC 拌33245 81DD 臝——提高运营的效果和效率；——增强健康安全绩效，以及环境保护;——改善损失预防和事件管理；——减少损失；——提高组织的学习能力——提高组织的应变能力本国际标准旨在满足众多利益相关方的需求，包括：a）负责制定组织风险管理方针的人员;b）负责确保在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人员;c）需要评定组织风险管理有效性的人员；d）整体或部分地实施风险管理的标准、指南、程序和操作规范的开发者。