國際標準《風險管理指南》（ISO31000）的中文版

2/2國際標準《風險管理指南》（ISO31000）的中文版本

2023-06-2419:11引言

任何類型和規(guī)模的組織都受到各種內(nèi)外部因素的影響,導致其目標的實現(xiàn)存在不確定性。這些日標關(guān)系到組織中從戰(zhàn)略決策到運營的各種活動，表現(xiàn)在戰(zhàn)略、運營、財務、環(huán)境、社會、聲譽等各個方面。風險管理通過考慮不確定性及其對目標的影響，采取相應的措施，為組織的決策和運營以及有效應對各類突發(fā)事件提供支持。風險管理旨在保證組織恰當?shù)貞獙︼L險，提高風險應對的效率和效果,增強決策和行動的合理性，有效地配置資源。管理風險是一個循環(huán)提升的過程，有助于組織制定戰(zhàn)略,實現(xiàn)目標和做出合理的決策。管理風險是組織治理和領(lǐng)導作用的一部分，為組織所有層級的管理提供基礎有助干管理體系的改善。管理風險是組織所有相關(guān)活動的有機組成部分,包括與利益相關(guān)者的溝通。管理風險時要考慮組織的內(nèi)、外部環(huán)境，包括人的行為和文化因素。圖1列出了管理風險所依據(jù)的原則、框架和過程。這些原則,框架和過程可能已全部或部分地存在于組織內(nèi),但可根據(jù)需要進行調(diào)整或改善，從而使管理風險的效果好、效率高,并且具有一致性。本文件旨在幫助組織在制定決策、設定和實現(xiàn)目標以及提升績效的過程中管理風險,創(chuàng)造和保護價值。

風險管理指南

1、范圍

本文件為組織管理其所面臨的風險提供指南，組織可根據(jù)其具體環(huán)境,有針對性地應用。本文件為管理各種類型的風險提供了一種通用方法，而非僅針對某些特定行業(yè)或領(lǐng)域。本文件適用于組織全生命周期的任何活動，包括所有層級的決策制定。

2、規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3、術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1風險risk

不確定性對目標的影響。注1:影響是指偏離預期，偏離可以是正面的和/或負面的,可能帶來機會和威脅。注2:目標可有不同維度和類型,可應用在不同層級。注3:通常風險可以用風險源,潛在事件及其后果和可能性來描述，

3.2風險管理riskmanagement

指導和控制組織與風險(3.1)相關(guān)的協(xié)調(diào)活動。

3.3利益相關(guān)者stakeholder;interestedparty

可以影響，被影響或自認為會被某一決策或活動影響的個人或組織。注:"interestedparty"可用來替代英文對應詞*stakeholder”

3.4風險源risksource

可能單獨或共同引發(fā)風險(3.1)的要素。

3.5事件event

某些特定情形的產(chǎn)生或變化。注1:一個事件可包括一個或多個情形,并且可由多個原因?qū)е隆Ｗ?:事件可能是預期會發(fā)生但沒發(fā)生的事情，也可能是預期不會發(fā)生但卻發(fā)生的事情。注3:某事件有可能是風險源。

3.6后果consequence

某事件(3.5)對目標影響的結(jié)果。注1:后果可以是確定的，也可以是不確定的;對目標的影響可以是正面的,也可以是負面的;可以是直接的。也可以是間接的，注2:后果可以定性成定量表述。注3:任何后果都可能通過連鎖反應和累積效應升級。

3.7可能性likelihood

某件事發(fā)生的概率。注1:在風險管理術(shù)語中,無論是以客觀的或主觀的、定性或定量的方式來定義、度量或確定。還是用一般詞匯或數(shù)學術(shù)語來指述(如概率,或一定時間內(nèi)的頻率)，“可能性”都用來表示某件事發(fā)生的概率。注2:"可能性(likelihood)”這一英語詞匯在一北語言中沒有直接與之對應的詞匯,因此經(jīng)常用"概率(probability)*這個詞代善。不過，在英語中，"概率"常常被獨交地理解為一個數(shù)學詞匯。因此,在風險管理術(shù)語中。"可能性"有著與許多語言中使用的“概率”一詞相同的解釋，而不局限于英語中"概率”一詞的意義。

3.8控制control

保持和(或)改變風險(3.1)的措施。注1:控制包括但不限于保持和/或改變風險的任何流程、策略、措施、操作或其他行動。注2:控制并非總能取得預期的改變效果。

4、原則

風險管理的目的是創(chuàng)造和保護價值。風險管理能夠改善績效，鼓勵創(chuàng)新,支持組織目標的實現(xiàn)。圖2列出的這些原則，為有效和高效的風險管理提供指導，闡述了風險管理的意圖、目的和價值。這些原則是風險管理的基礎,可在確立組織風險管理框架和過程時認真考慮。這些原則有助于組織管理不確定性對目標的影響。

有效的風險管理需要滿足圖2中列舉的原則,其進一步解釋如下。a)整合風險管理是組織所有活動的有機組成部分。注:將風險管理的原則，框架和過程融人組織其他管理活動及其制度辦法。有助于推動風險管理的落實。b)結(jié)構(gòu)化和全面性采用結(jié)構(gòu)化和全面性的方法開展風險管理,有助于獲得一致的和可比較的結(jié)果。c)定制化組織根據(jù)自身目標所對應的內(nèi)外部環(huán)境,定制設計風險管理框架和過程。d)包容性利益相關(guān)者適當、及時的參與,可以使他們的知識、觀點和認知得到充分考慮。這樣有助于提高組織的風險意識，并促進風險管理信息的充分溝通。e)動態(tài)性隨著組織內(nèi)外部環(huán)境的變化，組織面臨的風險可能會出現(xiàn)、變化或消失。風險管理以適當、及時的方式預測、發(fā)現(xiàn)、確認和應對這些變化和事件，f)最佳可用信息風險管理的信息輸入是基于歷史信息,當前信息和未來預期的。在風險管理過程中宜明確考慮與這些信息和預期相關(guān)的限制條件和不確定性。信息宜及時，清晰，并且是有關(guān)的利益相關(guān)者可獲得的。g)人和文化因素人的行為和文化在各個層級和階段顯著影響著風險管理的各個方面。h)持續(xù)改進通過不斷學習和實踐,持續(xù)改進風險管理。

5、框架

5.1概述

風險管理框架的目的是協(xié)助組織將風險管理納人重要的活動和職能中。風險管理的有效性取決于其與組織治理及決策制定的格合情況。這需要利益相關(guān)者尤其是最高管理層的支持。框架制定包含在整個組織中整合、設計、實施、評價和改進風險管理。圖3列舉了風險管理框架的要素。

組織宜對其現(xiàn)有的風險管理實踐及過程進行評價,并在上述框架內(nèi)對評價出的差距進行改進優(yōu)化。框架內(nèi)各要素及其協(xié)同運作的方式宜結(jié)合組織需求進行針對性地設計。

5.2領(lǐng)導作用和承諾最高管理層和監(jiān)督機構(gòu)需確保將風險管理融人所有組織活動中。通過以下活動展現(xiàn)領(lǐng)導作用和承諾:--針對性地設計和實施框架的所有要素:--發(fā)布風險管理聲明或方針,內(nèi)容包括制定風險管理方法計劃或行動方案:--確保為管理風險配置必要的資源;--在組織內(nèi)的相應層級分配權(quán)限、職責和責任。這樣做有助于組織:--使風險管理與自身目標,戰(zhàn)略和文化相協(xié)同:--識別并履行組織的所有義務及自愿承諾:一確定可承擔或不可承擔的風險數(shù)量和類型，以指導風險準則的制定，確保與組織及利益相關(guān)者溝通;--與組織及利益相關(guān)者溝通風險管理的價值:-促進對風險的系統(tǒng)性監(jiān)測:--確保風險管理框架適應組織環(huán)境。最高管理層負責管理風險，監(jiān)督機構(gòu)負責監(jiān)督風險管理。通常對監(jiān)督機構(gòu)的要求或預期是:--一確保組織在設定目標時，充分考慮相關(guān)風險:--了解組織在實現(xiàn)組織目標的過程中所面臨的風險;--確保風險管理體系能夠高效實施和運作;--確保這些風險相對于組織目標而言是適當?shù)?--確保這些風險及其管理的信息得到適當溝通。

5.3整合

風險管理的整合有賴于對組織結(jié)構(gòu)及內(nèi)外部環(huán)境的理解。組織結(jié)構(gòu)因組織目的、目標和復雜程度而異;在組織結(jié)構(gòu)的每一部分都需要進行風險管理。組織內(nèi)部的所有人都有管理風險的責任。組織的治理結(jié)構(gòu)決定組織的運營過程,內(nèi)外部關(guān)系以及實現(xiàn)目標所需的規(guī)章制度,程序和實務。組織的管理架構(gòu)將治理要求轉(zhuǎn)化為戰(zhàn)略和相應的目標。以達到可持續(xù)發(fā)展所需要的績效水平。確定組織內(nèi)部的風險管理職責和監(jiān)督角色是組織治理不可或缺的內(nèi)容。風險管理與組織的整合是一個動態(tài)、循環(huán)提升的過程，宜結(jié)合組織需求和文化量身定制。風險管理不是孤立的，而是組織目的、治理、領(lǐng)導作用和承諾，戰(zhàn)略、目標和運營的一部分。

5.4設計

5.4.1理解組織及其環(huán)境在設計風險管理框架時，組織需審視并了解其內(nèi)外部環(huán)境。需審視的組織外部環(huán)境包括但不限于;--國際、國內(nèi)、區(qū)域或地方的社會、文化、政治、法律、監(jiān)管、金融、技術(shù)、經(jīng)濟、自然環(huán)境;--對組織目標產(chǎn)生影響的關(guān)鍵驅(qū)動因素和趨勢:--與外部利益相關(guān)者的關(guān)系,以及他們的認知、價值取向、需求和期望--合同關(guān)系和承諾:--組織所處關(guān)系網(wǎng)絡的復雜性及依賴關(guān)系。需審視的組織內(nèi)部環(huán)境包括但不限于:--愿景、使命和價值觀;--治理方式組織結(jié)構(gòu)、職能,責任和績效考核:--戰(zhàn)略、目標和方針;--組織文化;--組織采用的標準、指南和模型;--組織在資源和知識方面所具備的能力(即資本、時間、人力、知識產(chǎn)權(quán)、程序、系統(tǒng)和技術(shù)等)數(shù)據(jù)、信息系統(tǒng)和信息流;--與內(nèi)部利益相關(guān)者的關(guān)系,充分考慮其認知和價值取向;合同關(guān)系和承諾;--相互依賴性和相互關(guān)聯(lián)性。5.4.2明確表達風險管理承諾最高管理層和監(jiān)督機構(gòu)可通過政策、聲明或其他形式,表達并展現(xiàn)自身對風險管理的持續(xù)承諾，以明確傳達組織有關(guān)風險管理的目標和承諾。風險管理承諾包括但不限于:--組織的風險管理目的及其與組織目標和其他方針的聯(lián)系:--強化將風險管理融人組織整體文化的要求;--引導將風險管理融人組織核心業(yè)務活動和決策制定過程中;--明確權(quán)限,責任和職責;--配置必要的資源;--處理相互沖突目標的方式:--組織績效指標的度量和報告；--回顧和改進。組織宜在其內(nèi)部傳達風險管理承諾并適時向利益相關(guān)者傳達。5.4.3明確組織角色、權(quán)限、職責和責任最高管理層和監(jiān)督機構(gòu)官明確組織相關(guān)角色的風險管理責任、職責和權(quán)限，并與組織所有層級溝通,且需要;--強調(diào)風險管理是一項核心職責:--指定有責任和權(quán)限管理風險的個人(風險責任人)。5.4.4資源配置最高管理層和監(jiān)督機構(gòu)宜確保為風險管理分配適當?shù)馁Y源,包括但不限于:--人力、技能,經(jīng)驗和能力;--組織用于風險管理的程序,方法和工具:--文件化的過程和程序;--信息和知識管理系統(tǒng):--專業(yè)發(fā)展和培訓需要，組織需考慮現(xiàn)有資源的能力和局限性。5.4.5溝通和咨詢?yōu)橹С诛L險管理框架和促進風險管理的有效運用，組織需建立經(jīng)批準的溝通和咨詢方法。溝通主要是與目標受眾分享信息。咨詢主要是通過獲取參與者的反債，為制定決策或其他活動提供建議。法通和咨詢的方法和內(nèi)容宜反映有關(guān)利益相關(guān)者的期望。溝通和咨詢宜及時,確保相關(guān)信息得到適當?shù)氖占?、整理、匯總和分享,并適時提供反饋和做出改進。

5.5實施

組織宜通過以下工作實施風險管理框架:--制定適當?shù)膶嵤┯媱?，包括時間和資源等要素;--識別組織內(nèi)各類決策制定的人員、時間,位置和方法;-一必要時,對當前的決策程序進行調(diào)整;--確保組織開展風險管理的工作安排得到清晰的理解和執(zhí)行，風險管理框架的成功實施,需要利益相關(guān)者的參與和重視。這樣能夠使組織明確地處理決策中的不確定性:同時還能確保組織在面對新的或后續(xù)的不確定性時及時做出反應，通過恰當?shù)卦O計和實施風險管理框架，可以確保將風險管理過程融人組織內(nèi)部所有活動(包括決策制定)之中,并將充分考慮內(nèi)外部環(huán)境的變化。

5.6評價

評價風險管理框架的有效性,組織官:--根據(jù)組織設計和實施風險管理框架的目的,實施計劃,結(jié)效指標和預期表現(xiàn)效果，定期分析風險管理框架的實施效果;--確定風險管理框架是否仍適用于支持組織目標的實現(xiàn)。

5.7改進

5.7.1調(diào)整組織宜持續(xù)監(jiān)控和更新風險管理框架，以適應內(nèi)外部環(huán)境的變化,這樣有助于提升組織價值。5.7.2持續(xù)改進組織宜持續(xù)改進風險管理框架的適用性、充分性、有效性以及風險管理過程與其他管理活動的整合方式。當識別出相關(guān)差距或改進空間后，組織宜制定改進計劃和任務,并分配給相關(guān)負責人實施。這些改進計劃和任務的實施,有助于加強組織的風險管理。

6、過程

6.1概述

風險管理過程是將政策、程序和實踐系統(tǒng)地應用于溝通和咨詢，建立環(huán)境、風險評估、風險應對、監(jiān)督和檢查，記錄和報告等活動。圖4給出了風險管理過程。風險管理過程是組織管理和決策的有機組成部分，需融入組織的架構(gòu),運營和流程中。它可以應用在戰(zhàn)略、運營、項目群或單個項目層面。風險管理討程在組織中的應用可以是多方面的，可根據(jù)組織目標定制，并與其所處的內(nèi)外部環(huán)境相適應。在整個風險管理過程中,需要考慮人的行為因素和文化因素的動態(tài)性和多變性，雖然風險管理過程通常表現(xiàn)為按一定的順序開展,但在實踐中是一個循環(huán)提升的過程。

6.2溝通和咨詢

溝通和咨詢的目的是幫助利益相關(guān)者理解風險。明確制定決策的依據(jù)以及采取特定管理措施的原因。溝通是為了促進對風險的認識和理解，咨詢則是為了獲取反饋和信息,以支持決策制定。兩者的密切協(xié)調(diào)將促進信息交換的真實性，及時性、相關(guān)性,準確性和可理解性，并能兼顧到信息的保密性、完整性和個人隱私保護。在風險管理過程的所有階段,均需與相關(guān)的內(nèi)外部利益相關(guān)者溝通并咨詢其意見。溝通和咨詢的目標是:--為風險管理過程的每個步驟匯集不同領(lǐng)域的專業(yè)知識:--確保在界定風險準則和評價風險時適當考慮不同觀點:-提供充分信息,以促進對風險的全面了解和決策制定;--使受風險影響的群體形成包容意識和責任意識。

6.3范圍、環(huán)境、準則

6.3.1概述確定范圍、環(huán)境和準則的目的，在于有針對性地設計風險管理過程，以實現(xiàn)有效的風險評估和恰當?shù)娘L險應對。范圍、環(huán)境和準則包括界定過程范圍、理解內(nèi)外部環(huán)境和界定評定準則。6.3.2界定范圍組織宜界定其風險管理活動的范圍，由于風險管理過程可應用于不同層面(如戰(zhàn)略、運營、項目群、單個項目或其他活動)。所以明確風險管理過程的范圍，目標及其與組織目標的一致性十分重要。規(guī)劃風險管理實施路徑時，所考慮的事項包括:--目標和需要做的決策;--過程中各個步驟的預期結(jié)果;--時間、地點、具體包含和排除的事項。--適當?shù)娘L險評估工具和技術(shù);--所需的資源、責任和需要保留的記錄;--與其他項目、過程和活動的關(guān)系。6.3.3內(nèi)外部環(huán)境內(nèi)外部環(huán)境是指組織設定并實現(xiàn)自身目標所依賴的環(huán)境。風險管理環(huán)境的確定，宜建立在對組織運營所處的內(nèi)外部環(huán)境的理解上，并反映出實施風險管理活動的具體場景。理解環(huán)境之所以重要，是因為:--風險管理是在組織目標和活動的環(huán)境下進行的;--組織方面的因素可能是一種風險源:-風險管理過程的目的和范圍宜與整個組織的目標相互關(guān)聯(lián)。組織可在考慮5.4.1所述因素的基礎上,建立風險管理過程的內(nèi)外部環(huán)境。6.3.4界定風險準則組織宜基于其目標,確定其所能承受的風險數(shù)量和類型;組織還需界定評價風險重要性的準則并支持決策討程。風險準則宜與風險管理框架相一致，并根據(jù)相關(guān)活動的具體目的和范圍進行針對性的識計，風險準則宜反映組織的價值觀，目標和資源，并與組織的風險管理方針和聲明相一致。在界定風險準則時宜考慮組織的義務和利益相關(guān)者的意見。雖然風險準則可在風險評估討程之初確定，但它是動態(tài)變化的，因此宜持續(xù)審視并于必要時進行修改。在設定風險準則時,以下方面宜加以考慮:-可能影響結(jié)果和目標的不確定因素的性質(zhì)和類型(包括有形的和無形的);--如何界定和度量后果(包括正面的和負面的)和可能性。--時間相關(guān)因素;-采用度量標準的一致性;-如何確定風險等級:--如何考慮多項風險的組合及順序:組織的風險容量。

6.4風險評估

6.4.1概述風險評估是風險識別，風險分析和風險評價的整個過程。風險評估宜系統(tǒng)地、循環(huán)地、協(xié)作性地開展，并充分考慮利益相關(guān)者的觀點。風險評估宜使用最佳可用信息，在必要時可通過進一步調(diào)查加以補充。6.4.2風險識別風險識別的目的是發(fā)現(xiàn)、確認和描述可能有助于或妨礙組織實現(xiàn)目標的風險。采用相關(guān)、適當、最新的信息對于識別風險非常重要。組織可使用一系列技術(shù)來識別可能影響一個或多個目標的不確定性。識別風險宜考慮以下因素及相互之間的關(guān)系:--有形和無形的風險源;--原因和事件:--威脅和機遇;--脆弱性和應對能力;--內(nèi)外部環(huán)境變化:--新興風險;--資產(chǎn)和資源的性質(zhì)和價值:--后果及其對目標的影響;--知識的局限性和信息的可靠性:--與時間有關(guān)的因素;--識別風險所涉及人員的偏見,假設和看法。不管風險源是否在組織控制范圍內(nèi),都宜對風險進行識別。需考慮風險帶來的多于一種的結(jié)果,這些結(jié)果可能導致各種有形或無形的后果。6.4.3風險分析風險分析的目的是了解風險性質(zhì)及其特征，必要時包括風險等級。風險分析包括對不確定性、風險源.后果，可能性。事件，情境?？刂拼胧┘捌溆行赃M行詳盡考慮。一個事件可能有多種原因和后果，可能影響多個目標。開展風險分析的細致和復雜程度可有所不同，具體取決于分析目的.信息的可獲得性和可靠性以及可用的資源。分析技術(shù)可以是定性的,定量的或者定量和定性相結(jié)合的，具體視情況和預期用途而定。風險分析可考慮以下因素:--事件的可能性及后果:--后果的性質(zhì)及影響程度:--復雜性和關(guān)聯(lián)性;--時間相關(guān)因素及波動性;--現(xiàn)有控制措施的有效性;--敏感性和置信水平。風險分析受觀點分歧、偏見、風險認知及判斷的影響。其他影響包括所使用信息的質(zhì)量、所做的假設和排除情形、所使用技術(shù)的局限性以及開展分析的方式。這些影響均宜考慮,記錄,并與決策者溝通高度不確定的事件可能難以量化。這在分析具有嚴重影響的事件時可能是一個問題。在此情況下,綜合使用多種分析技術(shù)通常能提供更合理的觀點。風險分析可為風險評價提供信息輸入，也可為是否需要和如何應對風險，及采取最適宜的策略和方法提供信息支撐。當面對不同類別和不同等級的風險需要做出抉擇時，風險分析結(jié)果可為決策提供深刻見解。6.4.4風險評價風險評價的目的是支持決策。風險評價是將風險分析結(jié)果和既定風險準則相比較，以確定是否需要采取進一步行動。風險評價可促成以下決定：-不采取進一步行動;--考慮風險應對方案;--開展進一步分析,以更全面地了解風險;--維持現(xiàn)有的控制措施:--重新考慮目標。決策宜考慮到更廣泛的環(huán)境，以及對內(nèi)外部利益相關(guān)者的實際和預期影響。風險評價的結(jié)果宜予以記錄，溝通，然后在組織適當層級予以確認。

6.5風險應對

6.5.1概述風險應對的目的是選擇和實施風險處理方案。風險應對是一個循環(huán)提升的過程,包括:-制定和選擇風險應對方案:--計劃和實施風險應對措施:--評估風險應對措施的成效:--確定剩余風險是否可接受:--若不可接受,采取進一步應對措施。6.5.2選擇風險應對方案選擇最合適的風險應對方案,可在實現(xiàn)目標獲得的潛在收益和付出的成本、耗費的精力或由此引發(fā)的不利后果之間進行權(quán)衡。風險應對方案之間不一定是相互排斥的,也不一定適用于所有情形。風險應對方案涉及以下一個或多個方面:--決定不開始或退出會導致風險的活動，來規(guī)避風險:--承擔或增加風險.以尋求機會;--消除風險源;--改變可能性;--改變后果;--分擔風險(如通過簽訂合同,購買保險):--慎重考慮后決定保留風險，采取風險應對的理由不僅考慮經(jīng)濟因素，還宜考慮所有的組織義務、自愿性承諾和利益相關(guān)者的觀點，可依據(jù)組織目標，風險準則和可用資源選擇風險應對方案。選擇風險應對方案時，組織宜考慮利益相關(guān)者的價值觀,認知和潛在參與程度以及與其溝通和協(xié)商的最佳方式。雖然效果相同.但某些風險應對方案相比其他方案更能被某些利益相關(guān)者接受。雖然經(jīng)過謹慎的設計和實施，但風險應對不一定產(chǎn)生預期結(jié)果