ISO-31000风险管理英文版

2011.726中国内部审计企业风险管理是一个复杂而抽象的实践过程，这方面的专业技术仅是组织开展日常工作的工具。

就像一句隽语，即使是理解企业风险管理框架（ＥＲＭ）的人们，最后还是要理解那几个易于掌握的基本原则，其中一个原则就是风险管理是每个人工作的一部分。

事实也是如此，如果不了解如何进行风险管理，那么在日常工作中就不可能始终关注工作中的风险，就不可能很好地履行职责。

但问题在于，不是所有的ＥＲＭ专家都认可这些基本原则，即使认可也会有不同的理解。

两个组织即使风险管理起点相同、原则相同、使用术语相同，也不会按照相同的方式实施ＥＲＭ。

事实上，ＥＲＭ也没有要求两个组织使用同样的方法，因为风险管理实务在组织之间是存在差异的，有各种各样的风险管理方法。

深谙风险管理复杂性并接受ＥＲＭ方法有效地控制风险的需要是风险管理新的推动力。

这就是，全球经济衰退使许多包括金融服务行业在内的组织，暴露了自身风险管理的不足，而税收和政府财政压力也促使公共机构和非营利组织重新审视自身风险管理的实施情况。

ＩＳＯ３１０００标准提供了风险管理的原则与实施指南◆ （英）尼尔·贝克◆ 夏青 编译一般来讲，如果一个组织打算尽可能地提升风险管理水平，就要运用风险管理最佳实践的模型，并将其作为基准点。

确定风险管理模型是内部审计师对所在组织风险管理质量进行评价的第一步。

现在，有许多风险管理模型可供考虑，如特恩布尔指南（ＴｈｅＴｕｒｎｂｕｌｌ　Ｇｕｉｄａｎｃｅ）在英国就非常普遍地使用，ＣＯＳＯ指南也被广泛应用于美国和其他国家。

但要建立一套国际风险管理标准却很困难。

２００９年，日内瓦的国际标准化组织发布了ＩＳＯ３１０００标准（以下简称ＩＳＯ３１０００）：风险管理——原则与实施指南，提供了风险管理的原则和一般性指导方针，可适用于任何类型组织的风险管理。

一、ＩＳＯ３１０００应用的广泛性澳大利亚和新西兰风险管理委员会主席格兰特·珀迪，参与了ＩＳＯ３１０００的编制并在其中发挥了重要作用。

所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素和影响。

这种不确定性所具有的对组织目标的影响就是“风险”。

组织的所有活动都涉及风险。

组织通过识别、分析和评定是否运用风险处理修正风险以满足它们的风险准则，来管理风险。

通过这个过程，它们与利益相关方进行沟通和商议，监测和评审风险，以及为确保再也不进一步需求风险处理而修正风险的控制措施。

本国际标准详细描述了这一系统的和逻辑的过程。

尽管所有的组织在某种程度上都在管理风险，本国际标准建立了一些为使风险管理变得有效而需要满足的原则。

本国际标准建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体管理、战略和规划、管理、报告过程、方针、价值观和文化中。

风险管理可以在组织多个领域和层次、任何时间，应用到整个组织，以及具体职能、项目和活动。

尽管在过去一段时间在许多行业，为满足不同的需要，已经开展了风险管理实践，但在一个综合框架内采用一致性过程有助于确保在组织内有效、有效率和结合性地管理风险。

本国际标准中所描述的通用方法提供了在任何范围和状况下，以系统、清晰、可靠的方式管理风险的原则和指南。

每一个具体行业或者风险管理的应用都产生了各自的需求、受众、观念和准则。

因此，本国际标准的主要特点是将所包含“确定状况”作为通用风险管理过程开始的活动。

确定状况将捕获组织的目标，组织所追求目标的环境，组织的利益相关方和风险准则的多样性，所有这些都将匡助揭示和评价风险的性质和复杂性。

本国际标准描述的风险管理原则、框架和风险管理过程之间的关系，如图 1 所示。

当依据本国际标准实施和保持风险管理时，能够使组织，例如：——提高实现目标的可能性；——鼓励主动性管理;——在整个组织意识到识别和处理风险的需求;——改进机会和威胁的识别能力；——符合相关法律法规要求和国际规范；——改进强制性和自愿性报告；——改善管理；——提高利益相关方的信心和信任；——为决策和规划建立可靠的根基；——加强控制；——有效地分配和利用风险处理的资源；——提高运营的效果和效率；——增强健康安全绩效，以及环境保护;——改善损失预防和事件管理；——减少损失；——提高组织的学习能力——提高组织的应变能力本国际标准旨在满足众多利益相关方的需求，包括：a)负责制定组织风险管理方针的人员;b)负责确保在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人员;c)需要评定组织风险管理有效性的人员；d)整体或者部份地实施风险管理的标准、指南、程序和操作规范的开辟者。

2018版ISO31000《风险管理指南》标准2018年2月15日，国际标准组织ISO发布了ISO31000《风险管理指南》标准2018版正式文件，这是自其2009年发布的全球第一版风险管理指南之后，第一次对其文件进行的更新和升级。

ISO31000新标准概览新版风险管理标准中的框架图称为为“三轮车”图，并首次对其进行了汉化处理。

这个“三轮车”图和2009年第一版的三个方框图相比可谓变化明显，此次正式版的发布，没用了征求意见稿中的“三轮车”图形展示方式，但内容上相比征求意见稿还是有所变动。

我们首先来看一下正式版的三轮车框架图。

用三个圆形图分别表示了新标准中的原则、框架和流程。

其中原则轮中，最核心的内容为“价值的创造和保护”，体现为八个原则：▪整合的；▪结构化和全面性；▪定制化；▪包容性；▪动态的；▪有效信息利用；▪人员与文化因素；▪持续改进。

框架轮中，最核心的为“领导力与承诺”，体现为五个步骤：▪整合；▪设计；▪实施；▪评价；▪改进。

流程轮中，包含了：▪对范围、背景和标准的定义；▪风险评估的经典流程-风险识别、风险分析、风险评价；▪风险应对；▪风险记录与报告；▪沟通与咨询；▪监控与评价。

这个三轮车图提炼了整个ISO31000风险管理标准的所有内容，标准的全文都是围绕着这个三轮车图来展开论述的。

新标准与老标准的异同按照ISO组织自己的论述，新标准和老标准的异同主要体现在四个方面：▪重新审阅了所有的风险管理原则，这是其是否能够取得成功的关键标准；▪重点强调了高级管理层的职责以及和各项管理活动的整合，从组织的治理着眼；▪更加强化了风险管理工作的迭代性质，提示了在每一个流程环节，随着新的实践、知识和分析能力下对流程要素、方案和控制的修正；▪对了满足多样化的需求，保持一个更加开放和包容的系统，精简了一部分内容。

对于这4点而言，ISO组织一直宣称，这次修订风险管理标准的一大初衷是使内附管理标准更简洁，更利于理解和运用，所以删除了很多复杂的语句和句子。

ISO 31000：2009 风险管理3. 原则为使风险管理有效，组织应在所有层次上遵循如下原则。

a) 风险管理创造并保护价值。

风险管理对组织可证实的目标达成和业绩提升做出贡献，这些目标包括人身健康与安全、保安措施、法律法规符合性、公众接受度、环境保护、产品质量、财务绩效、项目管理、运营效率、治理和名誉等。

b) 风险管理是组织所有过程整体性的一部分。

风险管理不是独立的、与组织的主要活动和过程相分离的一项活动。

风险管理是管理职责的一部分，是构成组织所有过程整体性所必需的一部分，包括战略策划、所有项目以及变更管理过程。

c) 风险管理是决策的一部分。

风险管理帮助决策者进行正式的选择、优化活动顺序并辨别可选择的行动路线。

d) 风险管理清晰地阐明不确定性。

风险管理清晰地考虑不确定性、不确定性的性质，以及如何能清晰地阐明它。

e) 风险管理是系统的、结构化的和适时的。

系统的、适时的、结构化的风险管理方法有助于提高效率，并获得一致的、可比较的和可靠的结果。

f) 风险管理基于最可利用的信息。

管理风险的过程的输入基于以下信息来源，如历史数据、经验、利益相关方的反馈、观察、预测和专家判断。

然而，决策者应提醒自己并考虑所使用数据或模型的局限性或各专家之间的分歧可能性。

g) 风险管理是定制的。

风险管理与组织的外部和内部环境以及风险状况相适应。

h) 风险管理考虑人文因素。

风险管理识别外部和内部人员的能力、感知和意愿，这些能促进或阻碍目标的实现。

i) 风险管理是透明、包容的。

利益相关方（特别是组织所有层级的决策者）对风险管理工作的适当和及时参与，可以确保组织的风险管理策略是适当的和最新的。

所以，应允许有适当的利益相关方代表参与风险管理，并在决定风险准则中考虑他们的意见。

j) 风险管理动态的、往复的，并对变化保持相应。

随着外部和内部事件的变化，环境和知识的变化，另一些风险则可能消逝。

所以，风险管理应该对变化保持持续的感应和相应。

iso31000风险管理标准及方法ISO 31000是国际标准化组织（ISO）制定的风险管理标准，旨在帮助组织有效地管理和减少各种类型的风险。

ISO 31000提供了一个通用的方法和框架，可以应用于各种组织和行业，以确保风险管理的一致性和有效性。

ISO 31000标准主要包括以下几个方面：1. 风险管理原则：ISO 31000明确了风险管理的核心原则，包括综合性、动态性、透明性、包容性、最佳利益和连续性等。

这些原则提供了指导和框架，帮助组织在风险管理过程中做出明智的决策。

2. 风险管理框架：ISO 31000提供了一个通用的风险管理框架，包括风险管理的组织结构、职责和过程。

这个框架可以根据组织的需求进行定制，确保风险管理的有效实施。

3. 风险管理过程：ISO 31000定义了风险管理的过程，包括风险识别、风险评估、风险处理和风险监控等。

这些过程帮助组织识别和评估风险，并采取适当的措施来降低风险的影响。

4. 风险管理工具和技术：ISO 31000提供了一系列的风险管理工具和技术，包括风险矩阵、风险评估模型、风险沟通和风险监控等。

这些工具和技术可以帮助组织更好地理解和管理风险。

5. 风险管理的监督和审查：ISO 31000强调了风险管理的监督和审查的重要性，以确保风险管理的有效性和持续改进。

组织应定期评估和审查风险管理过程，并根据需要进行调整和改进。

总之，ISO 31000提供了一个全面和系统的方法来管理和减少风险。

通过遵循ISO 31000标准，组织可以更好地识别、评估和处理风险，从而提高业务的稳定性和可持续发展能力。

BS31100:2021目次引言 (1)1范围 (1)2规范性引用文件 (1)3术语和定义 (1)4风险管理原则 (3)4.1创造和保护价值 (3)4.2整合 (4)4.3结构化和全面性 (4)4.4定制化 (4)4.5包容性 (5)4.6动态性 (5)4.7最佳可用信息 (5)4.8人和文化因素 (5)4.9持续改进 (6)5风险管理框架 (6)5.1总则 (6)5.2领导作用和承诺 (8)5.3整合 (8)5.4设计 (9)5.5实施 (10)5.6评价 (11)BS31100:20215.7改进 (11)6风险管理过程 (11)6.1总则 (11)6.2风险管理过程与风险管理框架之间的关系 (12)6.3沟通和协商 (13)6.4范围、环境和准则 (14)6.5风险评估 (16)6.6风险应对 (18)6.7监视和评审 (20)6.8记录和报告 (20)附录A（资料性附录）：新兴风险 (21)附录B（资料性附录）：风险工具 (24)附录C（资料性附录）：评估进度和风险成熟度 (26)参考文献 (29)引言任何类型和规模的组织都面临各种影响其目标实现的风险。

虽然“"风险”"通常被认为是负面的，但风险管理既要利用潜在的机会，也要预防潜在的威胁。

在管理风险和阅读本文件时，谨记这一点。

有效的风险管理可持续、系统、适当地应对与组织活动的紧密相关已知风险。

它离不开组织的文化。

风险管理包括基于BS ISO31000:2018中描述的八项核心原则的框架和过程。

本标准已进行修订以与BS ISO 31000:2018相一致，并增加了补充材料（示例、概念）。

这些旨在帮助组织从战略、项目集、项目和运营角度有效、高效和系统地管理不确定性，并支持持续改进。

风险管理适用于组织的所有层级和所有活动。

风险管理是良好管理的一部分，管理好风险的组织更有可能实现其目标。

1范围本标准为实施BS ISO31000:2018中有关制定风险管理框架和相关过程的原则和指南提供了建议。

ISOFDIS31000风险管理最终发布版中文翻译稿ISO/FDIS31000Risk management — Principles and guidelinesForeword前言ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies(ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and not-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.ISO（国际标准化组织）是一个各国标准化机构（ISO成员机构）组成的世界性联合会。

制定国际标准的工作通常由ISO的技术委员会完成。

各成员机构若对某技术委员会确定的项目感爱好，有权派代表参加该委员会。

21世紀企業經營特質●Our-sourcing, off-shoring●Doing more with less風險與管理基本概念●天有不測風雲、人有旦夕禍福●人無遠慮必有近憂●兩權其害取其輕●AS/NZS 4360:1999 Risk Management standard ●AS/NZS 4360:2004修訂並製訂HB 436 Risk Management Guidelines●BS 31100:2008 Risk Management –Code of practice●ISO 31000:2009 Risk Management –Principles and guidelines●ISO/IEC 31010:2009 Risk management –Risk assessment techniquesAS/NZS 4360 Risk Management ProcessBS 31100 Risk Management ModelBS 31100 Risk Management FrameworkBS 31100 Risk Management Process風險管理相關系統●BS 25999-1:2006 Code of practice for business continuity management●BS 25999-2:2007 Specification for business continuity managementNote: business continuity concerns the facilitation of continuous operation of key business functions in a crisis situation while risk management is perceived as a much broader discipline and one that effectively sets out to identify and manage risks that affect an organization .a)創造及保障價值b)組織作業程序的一部分c)決策的一部分d)明確陳述不確定性e)系統性、結構性和即時性f)根據最可靠的資料g)客製化h)考慮人性和文化因素i)透明化和全面性j)動態的、循環的和因應改變的k)促進持續改善設計風險管理架構(4.3)任務與決心(4.2)執行風險管理(4.4)持續改善架構(4.6)監測和審查架構(4.5)確認環境狀況(5.3)風險評估(5.4)風險辨識(5.4.2)風險分析(5.4.3)風險評量(5.4.4)風險處理(5.5)監測和審查(5.6)執行程序(第5章)管理架構(第4章)指導原則(第3章)溝通與諮詢( 5. 2)名詞與定義●Risk風險不確定性對目標的效應●Risk management 風險管理監督和控制組織風險協調性的作業●Risk management framework 風險管理架構提供組織風險管理設計、執行、監測、評估和持續改善基礎和組織運作的組合●Risk management policy 風險管理政策組織整體風險管理意圖和方向的聲明●Risk attitude 風險態度組織評估並進而追求、保有、接受或迴避風險的作法●Risk management plan 風險管理計畫風險管理架構中詳述風險管理作法、管理組合和所需資源的方案●Risk owner 風險擁有者具有風險管理責任和權責的個人或部門●Risk management process風險管理程序系統化運用管理政策、步驟和實務，執行溝通、諮詢、確定背景、辨識、分析、評估、處理、監督和審查風險相關作業●Establishing the context 確認環境界定風險管理應考量的外部和內部因素，並設定風險管理政策適用範圍和風險判定基準●External context 外部環境組織尋求目標達成的外在環境●Internal context 內部環境組織尋求達成目標的內部環境●Communication and consultation 溝通和諮詢組織持續和重複執行的程序，目的在於提供、分享或獲得資訊，並和利益關係人尌風險管理相關課題充分溝通●Stakeholder 利益關係人決策或活動可能影響、受到影響或認為會受到影響的個人或組織●Risk assessment 風險評估整合風險辨識、風險分析和風險評量相關作業的程序●Risk identification 風險辨識辨識、確定和敘述風險的程序，包括辨識風險的來源、事件、事件發生的原因和可能的後果●Risk source 風險來源可能會造成風險的獨立或綜合因素●Event 事件一組特定情況的發生或改變●Consequence 後果影響目標之事件結果●Likelihood 可能性可能發生的機會●Risk profile 風險圖像描述或表達一組風險的方式●Risk analysis 風險分析理解風險特性和判斷風險等級的程序●Risk criteria 風險判定基準判斷風險重要性的依據或參考值●Level of risk 風險等級以後果和可能性描述之獨立或整合風險的等級●Risk evaluation 風險評量比較風險判定基準和風險分析結果以判斷是否風險和/或其程度為可接受或容忍的程序●Risk treatment 風險處理修正風險的程序●Control 控制改變風險的措施●Residual risk 殘餘風險經處理後存在的風險●Monitoring 監測持續審查、監督、嚴格觀察或判斷狀態以辨識需要或預期成效程度的變化Review 審查決定為達到既定目標相關主題適合性、充分性和有效性的作業風險管理的效益及目的●提高達成目標的可能性;●鼓勵主動性管理;●了解組織風險辯識和處理的需求；●改善辨識機會和威脅的能力;●遵循法律規章及國際標準;風險管理的效益及目的(續1)●改善義務性和自發性的宣告或報導;●改善組織治理;●改善利益關係人的信心與信任;●建立決策和規劃可靠的依據;●改善控制;●有效分配和使用風險管理資源;●改善運作效率和成效;風險管理的效益及目的(續2)●加強衛生安全和環境保護績效;●提升損害防阻和意外事件管理能力;●減少損失；●提升組織學習意願；和●提升組織適應能力。

iso31000风险管理标准 2018版
ISO 31000是国际标准化组织（ISO）制定的风险管理标准，
旨在指导组织有效管理风险并取得所期望的成果。

ISO 31000
风险管理标准的最新版是2018年版。

ISO 31000标准提供了一个通用的风险管理框架，适用于各种
类型、规模和领域的组织。

它强调风险管理的整体性，将风险管理视为组织整体运营的一部分，而不仅仅是特定项目或活动的一部分。

此标准主要包括以下内容：
1. 风险管理原则：明确风险管理的基本原则，包括整体性、明确性、动态性、全面性等。

2. 风险管理框架：提供一种结构化方法，用于确定和实施风险管理过程，包括风险识别、评估、处理和监控。

3. 风险管理过程：包括风险管理的各个阶段，如风险识别、风险评估、风险处理、风险监控和风险沟通等。

4. 风险管理的支持工具和技术：提供一些常用的工具和技术，可用于支持风险管理过程，如风险矩阵、风险图、风险评估模型等。

ISO 31000标准的使用有助于组织更好地理解和管理风险，提
高决策的质量和一致性，增强组织的灵活性和适应能力。

此外，
它还可以帮助组织建立透明的风险管理过程，增加对利益相关者的信任和支持。

需要注意的是，ISO 31000标准并不是认证标准，而是一种指导性文件，组织可以根据自身情况和需求进行灵活应用。