ISO風險管理標準中文版

1、I SO31000 風 險 管 理 標 準中文版）添 加 日 期 ：2009-7-29作者I SO 來 源 ： 本 網 整 理風險管理原則與實施指導準則1、適用范圍本標準制定了風險管理的原則與通用的實施指導準則。本標準適用于任何公共、私有或社會企業(yè)、協(xié)會、團體或個人。因此，這一標準是通用的，而不局限于特定行業(yè)或部門。為便于陳述，本標準將所有不同的對象都稱之為“組織”。本標準應用于組織的整個生命過程，以及一系列廣泛的活動、流程、職能、項目、產品、服務、資產、業(yè)務和決策。雖然本標準提供了通用的指導準則，但并不建議所有組織實行統(tǒng)一的風險管理。風險管理的設計和實施取決于特定組織的不同需要、組織特定的目

2、標、范圍、組織結構、產品、服務項目、業(yè)務流程和具體操作。本標準將協(xié)調與統(tǒng)一現有的和未來的風險管理標準。本標準提供了一個通用的處理具體風險/ 或部門的方法，但并不是取代那些標準。此外，本標準將不用于認證。2、規(guī)范性引用本標準將引用以下文件。若引用的文件標有日期，只有引用的版本適用。ISO / IEC 導則 73 ，風險管理詞匯 13 術語和定義本文采用ISO / IEC 導則 73 給出的術語和定義。4 風險管理的原則為達到最大的效益，組織的風險管理應遵循以下原則：a ）風險管理創(chuàng)造價值。風險管理有助于目標的實現和改進，例如，人類健康和安全、法律和法規(guī)、公眾認同、環(huán)境保護、財務、產品質量、業(yè)務效

3、率、公司治理和聲譽。b ）風險管理是組織進程中不可分割的組成部分。風險管理是管理職責中的一部分，同所有項目、變更管理流程一樣是組織進程中不可分割的一部分。風險管理不是與組織主要活動和組織進程分離的獨立活動。c ）風險管理是決策的一部分。風險管理有助于決策者作出明智的選擇。風險管理有助于確立優(yōu)選方案以及對各備選方案的判斷。最后，風險管理有助于決策者確定風險的可接受程度以及風險處理的合理性與有效性。d ）風險管理明確地將不確定性表達出來。風險管理可以處理決策中的不確定性、不確定性因素，以及這些不確定性如何表達。e ）風險管理應系統(tǒng)化、結構化、及時化。系統(tǒng)、及時、結構化的風險管理方法有助于提高效率和

4、可持續(xù)發(fā)展，增加可靠性。f ）風險管理依賴于信息的有效程度。風險管理所需的信息來源于如經驗、反饋、觀察、預測和專家的判斷等。但是，決策者應考慮到數據或模型的局限性以及專家之間產生分歧的可能性。g ）風險管理應適應組織。風險管理應符合組織的外部、內部環(huán)境和風險狀況。h ）風險管理應考慮人力和文化因素。風險管理應考慮外部和內部人員的能力、觀點和傾向，這些因素可以促進或阻礙組織目標的實現。i ）風險管理應該是透明的、包容的。風險管理應包括利益相關者，尤其組織的各級決策者，以確保風險管理工作的相關性并及時更新。允許利益相關者對風險管理提出自己的觀點，在風險標準的確定中應考慮他們的意見。j ）風險管理應

5、該是動態(tài)的、反復的以及適應變化的。由于內部和外部事件的不斷發(fā)生、背景和知識的不斷改變、監(jiān)控和審查的出現、新風險的發(fā)生，以及其它一些影響因素的變化或消失。因此，組織應保持風險管理的敏感性并及時響應變革。k ）風險管理應不斷改善和加強。組織應當制定和實施戰(zhàn)略，來完善組織各方面的風險管理。附件A “加強風險管理屬性”提供了進一步的信息。5 風險管理框架5.1 概述要取得成功，風險管理應在一個風險管理框架內發(fā)揮作用，該框架提供了基礎和組織安排，并貫穿于整個組織的各個層級。該框架通過在組織各個層級，根據具體情況應用風險管理過程（見第6 條），幫助組織有效的管理風險。該框架應確保來自這些過程的風險信息是準

6、確報導的，以及決策是以該信息為基礎制定的，并明確相關各級組織的責任關系。這一條款描述了風險管理框架的組成部分，以及它們之間的相互關系（ 如圖 2 所示 ） 。5.2 任務和承諾5.3 風險管理框架設計5.3.1 了解組織及其背景5.3.2 風險管理政策5.3.3 整合組織過程5.3.4 責任5.3.5 資源5.3.6 建立內部溝通與報告機制5.3.7 建立外部溝通與報告機制5.6 持續(xù)改善框架5.1. 實施風險管理5.1.1 實施風險管理框架5.1.2 實施風險管理過程5.5 監(jiān)控與審查框架圖 2 風險管理框架的組成部分這個框架不是描述一個管理系統(tǒng)，只是協(xié)助組織將風險管理整合到整個管理系統(tǒng)中。

7、因此, 組織應該根據自己的需求來確定框架的組成部分。如果組織現有的管理措施和程序中已包含了部分風險管理的組成部分，或者組織已經采用了應對某些特定類型風險或狀況的風險管理，這時，組織就應以本標準為基準，嚴格審查和評估自身的不足。5.2 任務和承諾風險管理的引用并確保其持續(xù)的有效，需要組織強烈和持續(xù)的承諾，以及在戰(zhàn)略的高度嚴格的規(guī)劃。管理層應做到：明確表達并認同風險管理政策；確定風險管理績效指標，并使之符合組織的績效指標；確保風險管理的目標與組織的目標和戰(zhàn)略一致；符合法律和法規(guī)；明確管理責任，將責任適當的分配到組織各級；確保必要的資源分配給風險管理；向利益相關者傳達風險管理的益處；確保該框架對風險

8、的管理仍然是合適的。5.3 風險管理框架設計5.3.1 了解組織及其環(huán)境在開始設計、實施風險管理的框架之前，了解組織外部與內部環(huán)境是很重要的，因為這些對風險管理框架的設計影響非常顯著。組織外部環(huán)境包括如下幾個方面，但并不局限于此：文化、政治、法律、規(guī)章、金融、技術、經濟、自然環(huán)境以及競爭環(huán)境，無論是國際、國內、區(qū)域或地方；影響組織目標的主要驅動因素和發(fā)展趨勢；外部利益相關者的觀點和價值觀。組織內部環(huán)境包括如下幾個方面，但并不局限于此：資源與知識的理解能力（如：資本、時間、人力、流程、系統(tǒng)和技術）；信息系統(tǒng)、信息流動以及決策過程（包括正式和非正式的）；內部利益相關者；政策，為實現的目標及戰(zhàn)略；觀

9、念、價值觀、文化；組織通過的標準以及參考模型；結構（如：治理、角色、責任）。5.3.2 風險管理政策風險管理政策應明確地表達組織的目標，以及對風險管理的承諾，具體如下：風險管理政策、組織目標以及其它政策之間的聯(lián)系；組織風險管理的理由；風險管理的職責 ；處理利益沖突的方式；組織的風險偏好或風險規(guī)避；風險管理的流程、工具和方法；支持風險管理的資源；衡量和報告風險管理結果的形式；承諾定期審查和核實風險管理政策和框架，并不斷改善；適當的溝通交流風險管理政策。5.3.3 整合組織流程而不是脫離。風險管理應融入到組織活動與業(yè)務流程中，使其保持相關性、有效且高效率。風險管理過程應成為組織過程中的一部分，特別

10、是，風險管理應融入到政策制定、商業(yè)和戰(zhàn)略規(guī)劃、以及管理流程的變革中。組織應有一個涉及整個組織的風險管理計劃，以確保風險管理政策的實施和風險管理融入到組織的活動和業(yè)務流程中。5.3.4 職責組織應確保風險管理的職責與權利，包括風險管理的實施與維護，并確保足夠的風險控制及其有效性。以下措施將有助于此：指定風險管理框架的制定、實施和維護的責任人；指定風險應對、風險控制和報告風險信息的責任人；建立績效評估、內部和外部報告體系，并對流程進行升級；確保適當的認可、獎勵、考核和制裁。5.3.5 資源組織應制定切實可行的方法，為風險管理調配適當的資源。應考慮以下內容：人力、技能、經驗和能力；風險管理過程中每個

11、步驟需要的資源；記錄在案的過程和程序；信息和知識管理系統(tǒng)。5.3.6 建立內部溝通與報告機制組織應建立內部溝通與報告機制，應確定以下內容：對風險管理框架的關鍵組成部分，以及其后的任何修改進行適當的溝通；確保足夠的內部報告，并確保其是有效和富有成果的；來源于風險管理過程中的相關信息在一定程度上是有效的；向內部利益相關者咨詢。這些機制應包括鞏固組織內部風險信息的各種來源，并保持對風險信息的敏感性。5.3.7 建立外部溝通與報告機制組織應制定并實施如何與外部利益相關者進行溝通的計劃。其應包括：適當聯(lián)絡外部利益相關者，并確保有效的進行信息交流；外部報告遵守法律法規(guī)、監(jiān)管和公司治理的要求；按法律規(guī)定批露

12、信息；提供溝通和咨詢的反饋和報告；在組織中通過溝通建立信任；發(fā)生危機或緊急狀況時與利益相關者進行溝通。5.4 風險管理實施5.4.1 風險管理實施框架在風險管理框架的實施中，組織應做到：確定執(zhí)行風險管理框架的合理時機與戰(zhàn)略；適用于風險管理政策和流程的組織程序；遵守法律和法規(guī)的要求；決策目標的制定應與風險管理的應用效果一致；召開信息發(fā)布、交流和相關的培訓會議；與利益相關者溝通以確保風險管理框架仍然合適。5.4.2 風險管理實施流程風險管理的實施必須確保第6 條所述的風險管理流程應用于組織所有相關層級，這是組織的職能之一，也是組織的必要組成部分。5.5 監(jiān)控與審查框架為確保風險管理的有效性和對組織

13、業(yè)績的持續(xù)支持，組織應：建立績效評估；定期衡量風險管理進展情況以及風險管理計劃的偏差程度；定期審查風險管理框架、政策、及計劃是否仍適用于組織的內部與外部環(huán)境；風險報告應須包含風險描述、風險管理計劃的進度和風險管理政策的遵循程度；審查風險管理框架的有效性。5.6 持續(xù)改善框架根據審查結果，決定如何改善風險管理的框架、政策、及計劃。這些決策有助于風險管理和風險管理文化的改善，使組織得到提升。6 風險管理過程6.1 概述風險管理過程是企業(yè)管理不可分割的一部分，且應融入到組織的文化和活動中，并與組織的業(yè)務流程相適應。它包括從6.2 至 6.7所述的活動。風險管理過程包括五個活動：溝通與協(xié)商、確定環(huán)境狀

14、況、風險評估、風險處理、監(jiān)控與審查，如圖3 所示。這些活動記錄了風險管理的過程，具體描述如下。6 4 風險評估6 2溝通與協(xié)商6 6監(jiān)控 與 審 查6 3 確定環(huán)境6 4 2 風險識別6 5 風險處理6 4 3 風險分析6 4 4 風險評價6.2 溝通與協(xié)商在風險管理過程中的每一個階段，都需要與內部、外部利益相關者進行溝通與協(xié)商。因此，應在初期階段建立與內部、外部利益相關者溝通和協(xié)商的計劃。這個計劃應提出風險本身的問題、后果（如果已知）以及處理方法。組織通過內部、外部有效的溝通與協(xié)商，確保風險管理實施責任人和利益相關者能夠理解決策的基礎以及必須采取特別行動的原因。團隊協(xié)商的方式有助于如下幾點：有助于風險環(huán)境狀況的確定；確保利益相關者的利益得到理解和考慮；從不同的角度分析風險；有助于風險的正確識別；有助于風險評估中不同的觀點被考慮進來；在風險管理過程中，促進管理的完善；使實施計劃得到擁護和支持；制定適當的內部以及外部的溝通和協(xié)商計劃。與利益相關者進行溝通與協(xié)商是非常重要的，因為他們可以根據自己的風險認知對風險進行判斷。他們對風險的認知取決于他們的價值觀、需求、設想、觀念和對利益相關者的考慮。由于他們的觀