ISO31000风险管理原则指南

引言所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素和影响。

这种不确定性所具有的对组织目标的影响就是“风险”。

组织的所有活动都涉及风险。

组织通过识别、分析和评定是否运用风险处理修正风险以满足它们的风险准则，来管理风险。

通过这个过程，它们与利益相关方进行沟通和协商，监测和评审风险，以及为确保不再进一步需求风险处理而修正风险的控制措施。

本国际标准详细描述了这一系统的和逻辑的过程。

尽管所有的组织在某种程度上都在管理风险，本国际标准建立了一些为使风险管理变得有效而需要满足的原则。

本国际标准建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。

风险管理可以在组织多个领域和层次、任何时间，应用到整个组织，以及具体职能、项目和活动。

尽管在过去一段时间在许多行业，为满足不同的需要，已经开展了风险管理实践，但在一个综合框架内采用一致性过程有助于确保在组织内有效、有效率和结合性地管理风险。

本国际标准中所描述的通用方法提供了在任何范围和状况下，以系统、清晰、可靠的方式管理风险的原则和指南。

每一个具体行业或风险管理的应用都产生了各自的需求、受众、观念和准则。

因此，本国际标准的主要特点是将所包含“确定状况”作为通用风险管理过程开始的活动。

确定状况将捕获组织的目标，组织所追求目标的环境，组织的利益相关方和风险准则的多样性，所有这些都将帮助揭示和评价风险的性质和复杂性。

本国际标准描述的风险管理原则、框架和风险管理过程之间的关系，如图1所示。

当依据本国际标准实施和保持风险管理时，能够使组织，例如：——提高实现目标的可能性；——鼓励主动性管理;——在整个组织意识到识别和处理风险的需求;——改进机会和威胁的识别能力；——符合相关法律法规要求和国际规范；——改进强制性和自愿性报告；——改善治理；——提高利益相关方的信心和信任；——为决策和规划建立可靠的根基；——加强控制；——有效地分配和利用风险处理的资源；——提高运营的效果和效率；——增强健康安全绩效，以及环境保护;——改善损失预防和事件管理；——减少损失；——提高组织的学习能力——提高组织的应变能力本国际标准旨在满足众多利益相关方的需求，包括：a）负责制定组织风险管理方针的人员;b）负责确保在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人员;c）需要评定组织风险管理有效性的人员；d）整体或部分地实施风险管理的标准、指南、程序和操作规范的开发者。

2011.726中国内部审计企业风险管理是一个复杂而抽象的实践过程，这方面的专业技术仅是组织开展日常工作的工具。

就像一句隽语，即使是理解企业风险管理框架（ＥＲＭ）的人们，最后还是要理解那几个易于掌握的基本原则，其中一个原则就是风险管理是每个人工作的一部分。

事实也是如此，如果不了解如何进行风险管理，那么在日常工作中就不可能始终关注工作中的风险，就不可能很好地履行职责。

但问题在于，不是所有的ＥＲＭ专家都认可这些基本原则，即使认可也会有不同的理解。

两个组织即使风险管理起点相同、原则相同、使用术语相同，也不会按照相同的方式实施ＥＲＭ。

事实上，ＥＲＭ也没有要求两个组织使用同样的方法，因为风险管理实务在组织之间是存在差异的，有各种各样的风险管理方法。

深谙风险管理复杂性并接受ＥＲＭ方法有效地控制风险的需要是风险管理新的推动力。

这就是，全球经济衰退使许多包括金融服务行业在内的组织，暴露了自身风险管理的不足，而税收和政府财政压力也促使公共机构和非营利组织重新审视自身风险管理的实施情况。

ＩＳＯ３１０００标准提供了风险管理的原则与实施指南◆ （英）尼尔·贝克◆ 夏青 编译一般来讲，如果一个组织打算尽可能地提升风险管理水平，就要运用风险管理最佳实践的模型，并将其作为基准点。

确定风险管理模型是内部审计师对所在组织风险管理质量进行评价的第一步。

现在，有许多风险管理模型可供考虑，如特恩布尔指南（ＴｈｅＴｕｒｎｂｕｌｌ　Ｇｕｉｄａｎｃｅ）在英国就非常普遍地使用，ＣＯＳＯ指南也被广泛应用于美国和其他国家。

但要建立一套国际风险管理标准却很困难。

２００９年，日内瓦的国际标准化组织发布了ＩＳＯ３１０００标准（以下简称ＩＳＯ３１０００）：风险管理——原则与实施指南，提供了风险管理的原则和一般性指导方针，可适用于任何类型组织的风险管理。

一、ＩＳＯ３１０００应用的广泛性澳大利亚和新西兰风险管理委员会主席格兰特·珀迪，参与了ＩＳＯ３１０００的编制并在其中发挥了重要作用。

iso风险管理标准ISO风险管理标准。

ISO 31000是国际标准化组织发布的风险管理标准，旨在为组织提供一个统一的风险管理框架，帮助组织有效识别、评估和应对各种风险，以实现其目标和使命。

本文将从ISO 31000标准的基本原则、框架和过程等方面对其进行介绍和解读。

首先，ISO 31000标准的基本原则包括全面性、定制性、透明性、包容性和持续性。

全面性要求组织在风险管理中考虑所有相关方面，包括战略、操作、财务、合规和环境等；定制性要求组织根据自身特点和需求设计和实施风险管理框架；透明性要求组织在风险管理过程中保持信息的透明和公开；包容性要求组织在风险管理中充分考虑各方利益相关者的意见和需求；持续性要求组织将风险管理作为一项持续改进的过程，不断优化和完善。

其次，ISO 31000标准提出了风险管理的框架，包括上下文分析、风险识别、风险评估、风险应对和监控与审查等环节。

上下文分析要求组织在风险管理中考虑外部和内部环境的变化和影响；风险识别要求组织识别所有可能影响其目标实现的事件和情况；风险评估要求组织对风险的概率和影响进行评估，确定其重要性和优先级；风险应对要求组织制定和实施相应的风险管理措施，包括避免、减轻、转移和接受等；监控与审查要求组织对风险管理过程进行监控和评估，及时调整和改进风险管理措施。

最后，ISO 31000标准规定了风险管理的过程，包括建立风险管理政策、建立风险管理框架、进行风险评估、进行风险处理和进行监控与审查。

建立风险管理政策要求组织确定风险管理的目标、原则和方法；建立风险管理框架要求组织建立风险管理的组织结构、责任分工和流程；进行风险评估要求组织识别和评估风险；进行风险处理要求组织制定和实施风险管理措施；进行监控与审查要求组织对风险管理过程进行监控和评估，及时调整和改进风险管理措施。

在实践中，组织可以根据ISO 31000标准的要求，建立和完善自身的风险管理体系，提高风险管理的有效性和效率，保障组织的可持续发展和稳健经营。

ISO 31010风险管理框架风险管理是企业管理中至关重要的一环，它帮助企业在不确定和风险存在的环境中做出明智的决策，以实现目标。

ISO 31010风险管理框架是国际标准化组织（ISO）制定的旨在提供一种系统的方法来评估和管理风险的指南。

本文将介绍ISO 31010风险管理框架的基本原理、方法和应用。

一、ISO 31010风险管理框架的概述ISO 31010风险管理框架是ISO组织编制的一项国际标准，旨在为组织建立一个系统的风险管理过程提供指导。

该框架提供了一系列的方法和技术，用于识别、评估和处理各种类型和级别的风险。

通过ISO 31010，组织可以更好地了解风险的特征和来源，并制定相应的风险管理策略和措施。

二、ISO 31010风险管理框架的基本原理ISO 31010风险管理框架基于以下几个基本原理：1. 全面性：ISO 31010认为风险管理应该覆盖组织内部和外部的各种风险，并包括从内部和外部获取的信息。

2. 适应性：风险管理方法应根据组织的特定需求和情况进行量身定制，并考虑到不同利益相关者的期望和要求。

3. 结果导向：ISO 31010强调风险管理的目的是为了改善决策和实现组织的目标，因此应该关注风险管理的结果和效果。

三、ISO 31010风险管理框架的方法和技术ISO 31010提供了一系列的方法和技术，用于识别、评估和处理各种类型和级别的风险。

这些方法和技术包括但不限于：1. 风险识别：通过调研、专家访谈、场地考察等方法，识别和收集与组织相关的各种风险信息。

2. 风险评估：采用定性和定量的方法，对风险进行评估，包括风险的概率、影响和严重性等方面的评估。

3. 风险应对：根据评估结果，制定适当的风险应对策略和措施，包括风险规避、风险转移、风险控制等。

4. 风险监控和复审：建立监控机制，及时发现和响应新的和变化的风险，并对已经采取的措施进行复审。

四、ISO 31010风险管理框架的应用ISO 31010风险管理框架可应用于各种类型和规模的组织，无论是公共部门还是私营企业。

2018版ISO31000《风险管理指南》标准2018年2月15日，国际标准组织ISO发布了ISO31000《风险管理指南》标准2018版正式文件，这是自其2009年发布的全球第一版风险管理指南之后，第一次对其文件进行的更新和升级。

ISO31000新标准概览新版风险管理标准中的框架图称为为“三轮车”图，并首次对其进行了汉化处理。

这个“三轮车”图和2009年第一版的三个方框图相比可谓变化明显，此次正式版的发布，没用了征求意见稿中的“三轮车”图形展示方式，但内容上相比征求意见稿还是有所变动。

我们首先来看一下正式版的三轮车框架图。

用三个圆形图分别表示了新标准中的原则、框架和流程。

其中原则轮中，最核心的内容为“价值的创造和保护”，体现为八个原则：▪整合的；▪结构化和全面性；▪定制化；▪包容性；▪动态的；▪有效信息利用；▪人员与文化因素；▪持续改进。

框架轮中，最核心的为“领导力与承诺”，体现为五个步骤：▪整合；▪设计；▪实施；▪评价；▪改进。

流程轮中，包含了：▪对范围、背景和标准的定义；▪风险评估的经典流程-风险识别、风险分析、风险评价；▪风险应对；▪风险记录与报告；▪沟通与咨询；▪监控与评价。

这个三轮车图提炼了整个ISO31000风险管理标准的所有内容，标准的全文都是围绕着这个三轮车图来展开论述的。

新标准与老标准的异同按照ISO组织自己的论述，新标准和老标准的异同主要体现在四个方面：▪重新审阅了所有的风险管理原则，这是其是否能够取得成功的关键标准；▪重点强调了高级管理层的职责以及和各项管理活动的整合，从组织的治理着眼；▪更加强化了风险管理工作的迭代性质，提示了在每一个流程环节，随着新的实践、知识和分析能力下对流程要素、方案和控制的修正；▪对了满足多样化的需求，保持一个更加开放和包容的系统，精简了一部分内容。

对于这4点而言，ISO组织一直宣称，这次修订风险管理标准的一大初衷是使内附管理标准更简洁，更利于理解和运用，所以删除了很多复杂的语句和句子。

ISO 31000：2009 风险管理3. 原则为使风险管理有效，组织应在所有层次上遵循如下原则。

a) 风险管理创造并保护价值。

风险管理对组织可证实的目标达成和业绩提升做出贡献，这些目标包括人身健康与安全、保安措施、法律法规符合性、公众接受度、环境保护、产品质量、财务绩效、项目管理、运营效率、治理和名誉等。

b) 风险管理是组织所有过程整体性的一部分。

风险管理不是独立的、与组织的主要活动和过程相分离的一项活动。

风险管理是管理职责的一部分，是构成组织所有过程整体性所必需的一部分，包括战略策划、所有项目以及变更管理过程。

c) 风险管理是决策的一部分。

风险管理帮助决策者进行正式的选择、优化活动顺序并辨别可选择的行动路线。

d) 风险管理清晰地阐明不确定性。

风险管理清晰地考虑不确定性、不确定性的性质，以及如何能清晰地阐明它。

e) 风险管理是系统的、结构化的和适时的。

系统的、适时的、结构化的风险管理方法有助于提高效率，并获得一致的、可比较的和可靠的结果。

f) 风险管理基于最可利用的信息。

管理风险的过程的输入基于以下信息来源，如历史数据、经验、利益相关方的反馈、观察、预测和专家判断。

然而，决策者应提醒自己并考虑所使用数据或模型的局限性或各专家之间的分歧可能性。

g) 风险管理是定制的。

风险管理与组织的外部和内部环境以及风险状况相适应。

h) 风险管理考虑人文因素。

风险管理识别外部和内部人员的能力、感知和意愿，这些能促进或阻碍目标的实现。

i) 风险管理是透明、包容的。

利益相关方（特别是组织所有层级的决策者）对风险管理工作的适当和及时参与，可以确保组织的风险管理策略是适当的和最新的。

所以，应允许有适当的利益相关方代表参与风险管理，并在决定风险准则中考虑他们的意见。

j) 风险管理动态的、往复的，并对变化保持相应。

随着外部和内部事件的变化，环境和知识的变化，另一些风险则可能消逝。

所以，风险管理应该对变化保持持续的感应和相应。

Forum学术论坛 2018年7月165DOI:10.19699/ki.issn2096-0298.2018.20.1652018版ISO31000《风险管理指南》综述与解析中国海洋石油集团有限公司 卢新瑞摘 要：本文介绍ISO31000最新版《风险管理指南》与原版本的主要变化，综述新标准的主要内容，探讨解析新理念，以期使组织管理更加标准和科学。

关键词：风险管理 框架 战略 目标 绩效中图分类号：F239.45 文献标识码：A 文章编号：2096-0298(2018)07(b)-165-021 背景及变化自2009年发布全球第一版风险管理指南，时隔9年，国际标准组织(ISO)于2018年2月15日更新发布ISO31000《风险管理指南》这一关键标准(下称指南或标准)。

新指南仍然定位于“任何 组织、任何类型、全生命周期、任何活动”，强调指南在风险管理领域的普遍适用性。

新标准相对老标准变化主要体现在四个方面：(1)风险管理原则审查，这是其成功的关键标准；(2)从组织治理入手，强调高级管理层的领导以及风险管理的整合；(3)更加强化风险管理的迭代性质，提出在每一个流程环节，新的实践、知识和分析可以引发对流程要素、行动和控制的修正；(4)精简内容，更加注重支撑一个开放的系统模型，以适应多样化的需求和环境。

2 主要内容新指南采用三轮圆形(如图1所示)呈现，三个圆形图分别表示风险管理的原则、框架和流程。

该三轮圆形模式比第一版示意图形式(如图2所示)更能体现原则、框架和流程三部分之间的相互作用关系，也使指南内容的描述更清晰简洁、更易理解、更加注重和企业管理活动的融入与整合。

新指南对每部分内容进行了较大修改。

图1 新标准风险管理原则、框架和流程及相互关系图2 原标准风险管理原则、框架和流程及相互关系其中，关于风险管理原则部分，第一版共有十一项，分别为：(1)创造价值；(2)组织流程的组成部分；(3)决策的一部分；(4)明确指出不确定性；(5)系统性、结构性和时效性；(6)最佳可用信息；(7)定制化；(8)考虑人员和文化因素；(9)透明度和包容性；(10)动态、持续的应对变化；(11)持续改进与强化。

风险管理基础知识ISO31000∶2018风险管理标准1.范围2.规范性引用文献3.术语定义4.原则5.框架6.流程IS031000∶2018风险管理标准1、风险管理原则八项风险管理原则核心目的∶价值的创造和保护1）整合性2）结构化和全面性3）定制化4）包容性5）动态性6）有效信息利用7）人员与文化因素8）持续改进1.范围2.规范性引用文献3.术语定义4.原则5.框架6.流程1、风险管理原则八项风险管理原则核心目的∶价值的创造和保护1）整合性2）结构化和全面性3）定制化4）包容性5）动态性6）有效信息利用7）人员与文化因素8）持续改进5 123453、风险管理过程1）风险管理构成要素：3个过程，6个活动3个过程∶风险识别，风险分析，风险评价6个活动∶沟通与咨询，范围，背景，标准，风险评估，风险应对，监测与评审循环起点是"范围，背景，标准"，终点是"监测与评审"2）各要素的主要内容∶风险识别∶发现，承认和描述风险的过程，包括对风险源、风险事件、风险原因及其潜在后果的识别风险分析∶理解风险性质和确定风险等级，包括对风险的估计，如对后果严重性和可能性大小的估计风险评价∶把风险分析的结果与风险准则相比较，决定风险或其大小是否可接受或可容忍风险应对∶承接风险评估的输出，对需要进行风险应对的风险按优先次序实施风险应对。

监控和评审∶组织对风险管理过程实施监控与评审，目的是为了保证各种控制措施无论在设计方面还是在运行方面都是有效力、有效率的。

（可以是定期，也可以临时实施）记录与报告∶记录可用于文件的可追溯性活动，并为验证、预防措施或纠正措施提供证据。

2、风险管理基础知识1.范围2.规范性引用文献3.术语定义4.原则5.框架6.流程ISO31000∶2018风险管理标准3、风险管理过程1）风险管理构成要素：3个过程，6个活动3个过程∶风险识别，风险分析，风险评价6个活动∶沟通与咨询，范围，背景，标准，风险评估，风险应对，监测与评审循环起点是"范围，背景，标准"，终点是"监测与评审"2）各要素的主要内容∶风险识别∶发现，承认和描述风险的过程，包括对风险源、风险事件、风险原因及其潜在后果的识别风险分析∶理解风险性质和确定风险等级，包括对风险的估计，如对后果严重性和可能性大小的估计风险评价∶把风险分析的结果与风险准则相比较，决定风险或其大小是否可接受或可容忍风险应对∶承接风险评估的输出，对需要进行风险应对的风险按优先次序实施风险应对。