1、ISO31000風險管理標準（中文版）風險管理原則與實施指導準則1、適用范圍 本標準制定了風險管理的原則與通用的實施指導準則。本標準適用于任何公共、私有或社會企業(yè)、協(xié)會、團體或個人。因此，這一標準是通用的，而不局限于特定行業(yè)或部門。為便于陳述，本標準將所有不同的對象都稱之為“組織”。本標準應用于組織的整個生命過程，以及一系列廣泛的活動、流程、職能、項目、產(chǎn)品、服務、資產(chǎn)、業(yè)務和決策。雖然本標準提供了通用的指導準則，但并不建議所有組織實行統(tǒng)一的風險管理。風險管理的設(shè)計和實施取決于特定組織的不同需要、組織特定的目標、范圍、組織結(jié)構(gòu)、產(chǎn)品、服務項目、業(yè)務流程和具體操作。本標準將協(xié)調(diào)與統(tǒng)一現(xiàn)有的和未來

2、的風險管理標準。本標準提供了一個通用的處理具體風險/或部門的方法，但并不是取代那些標準。此外，本標準將不用于認證。2、規(guī)范性引用 本標準將引用以下文件。若引用的文件標有日期，只有引用的版本適用。 ISO / IEC導則73 ，風險管理詞匯13 術(shù)語和定義 本文采用ISO / IEC導則73給出的術(shù)語和定義。4 風險管理的原則 為達到最大的效益，組織的風險管理應遵循以下原則：a ）風險管理創(chuàng)造價值。風險管理有助于目標的實現(xiàn)和改進，例如，人類健康和安全、法律和法規(guī)、公眾認同、環(huán)境保護、財務、產(chǎn)品質(zhì)量、業(yè)務效率、公司治理和聲譽。b ）風險管理是組織進程中不可分割的組成部分。 風險管理是管理職責中的一

3、部分，同所有項目、變更管理流程一樣是組織進程中不可分割的一部分。風險管理不是與組織主要活動和組織進程分離的獨立活動。 c ）風險管理是決策的一部分。 風險管理有助于決策者作出明智的選擇。風險管理有助于確立優(yōu)選方案以及對各備選方案的判斷。最后，風險管理有助于決策者確定風險的可接受程度以及風險處理的合理性與有效性。d ）風險管理明確地將不確定性表達出來。 風險管理可以處理決策中的不確定性、不確定性因素，以及這些不確定性如何表達。 e ）風險管理應系統(tǒng)化、結(jié)構(gòu)化、及時化。系統(tǒng)、及時、結(jié)構(gòu)化的風險管理方法有助于提高效率和可持續(xù)發(fā)展，增加可靠性。 f ）風險管理依賴于信息的有效程度。 風險管理所需的信息

4、來源于如經(jīng)驗、反饋、觀察、預測和專家的判斷等。但是，決策者應考慮到數(shù)據(jù)或模型的局限性以及專家之間產(chǎn)生分歧的可能性。g ）風險管理應適應組織。風險管理應符合組織的外部、內(nèi)部環(huán)境和風險狀況。 h ）風險管理應考慮人力和文化因素。 風險管理應考慮外部和內(nèi)部人員的能力、觀點和傾向，這些因素可以促進或阻礙組織目標的實現(xiàn)。 i ）風險管理應該是透明的、包容的。 風險管理應包括利益相關(guān)者，尤其組織的各級決策者，以確保風險管理工作的相關(guān)性并及時更新。允許利益相關(guān)者對風險管理提出自己的觀點，在風險標準的確定中應考慮他們的意見。j ）風險管理應該是動態(tài)的、反復的以及適應變化的。 由于內(nèi)部和外部事件的不斷發(fā)生、背景

5、和知識的不斷改變、監(jiān)控和審查的出現(xiàn)、新風險的發(fā)生，以及其它一些影響因素的變化或消失。因此，組織應保持風險管理的敏感性并及時響應變革。k ）風險管理應不斷改善和加強。 組織應當制定和實施戰(zhàn)略，來完善組織各方面的風險管理。附件A “加強風險管理屬性”提供了進一步的信息。5 風險管理框架5.1概述 要取得成功，風險管理應在一個風險管理框架內(nèi)發(fā)揮作用，該框架提供了基礎(chǔ)和組織安排，并貫穿于整個組織的各個層級。該框架通過在組織各個層級，根據(jù)具體情況應用風險管理過程（見第6條），幫助組織有效的管理風險。該框架應確保來自這些過程的風險信息是準確報導的，以及決策是以該信息為基礎(chǔ)制定的，并明確相關(guān)各級組織的責任關(guān)

6、系。這一條款描述了風險管理框架的組成部分，以及它們之間的相互關(guān)系(如圖2所示)。5.2 任務和承諾5.3風險管理框架設(shè)計 5.3.1了解組織及其背景 5.3.2 風險管理政策 5.3.3 整合組織過程 5.3.4 責任 5.3.5 資源 5.3.6 建立內(nèi)部溝通與報告機制 5.3.7 建立外部溝通與報告機制5.6 持續(xù)改善框架5.4 實施風險管理 5.4.1實施風險管理框架 5.4.2實施風險管理過程5.5 監(jiān)控與審查框架 圖2 風險管理框架的組成部分 這個框架不是描述一個管理系統(tǒng)，只是協(xié)助組織將風險管理整合到整個管理系統(tǒng)中。因此,組織應該根據(jù)自己的需求來確定框架的組成部分。如果組織現(xiàn)有的管理

7、措施和程序中已包含了部分風險管理的組成部分，或者組織已經(jīng)采用了應對某些特定類型風險或狀況的風險管理，這時，組織就應以本標準為基準，嚴格審查和評估自身的不足。5.2 任務和承諾 風險管理的引用并確保其持續(xù)的有效，需要組織強烈和持續(xù)的承諾，以及在戰(zhàn)略的高度嚴格的規(guī)劃。管理層應做到：明確表達并認同風險管理政策；確定風險管理績效指標，并使之符合組織的績效指標；確保風險管理的目標與組織的目標和戰(zhàn)略一致；符合法律和法規(guī)；明確管理責任，將責任適當?shù)姆峙涞浇M織各級；確保必要的資源分配給風險管理；向利益相關(guān)者傳達風險管理的益處；確保該框架對風險的管理仍然是合適的。5.3 風險管理框架設(shè)計5.3.1 了解組織及其

8、環(huán)境 在開始設(shè)計、實施風險管理的框架之前，了解組織外部與內(nèi)部環(huán)境是很重要的，因為這些對風險管理框架的設(shè)計影響非常顯著。組織外部環(huán)境包括如下幾個方面，但并不局限于此：文化、政治、法律、規(guī)章、金融、技術(shù)、經(jīng)濟、自然環(huán)境以及競爭環(huán)境，無論是國際、國內(nèi)、區(qū)域或地方；影響組織目標的主要驅(qū)動因素和發(fā)展趨勢；外部利益相關(guān)者的觀點和價值觀。組織內(nèi)部環(huán)境包括如下幾個方面，但并不局限于此：資源與知識的理解能力（如：資本、時間、人力、流程、系統(tǒng)和技術(shù)）；信息系統(tǒng)、信息流動以及決策過程（包括正式和非正式的）；內(nèi)部利益相關(guān)者；政策，為實現(xiàn)的目標及戰(zhàn)略；觀念、價值觀、文化；組織通過的標準以及參考模型； 結(jié)構(gòu)（如：治理、角

9、色、責任）。5.3.2 風險管理政策 風險管理政策應明確地表達組織的目標，以及對風險管理的承諾，具體如下：風險管理政策、組織目標以及其它政策之間的聯(lián)系；組織風險管理的理由；風險管理的職責 ；處理利益沖突的方式；組織的風險偏好或風險規(guī)避；風險管理的流程、工具和方法；支持風險管理的資源；衡量和報告風險管理結(jié)果的形式；承諾定期審查和核實風險管理政策和框架，并不斷改善；適當?shù)臏贤ń涣黠L險管理政策。5.3.3 整合組織流程 風險管理應融入到組織活動與業(yè)務流程中，使其保持相關(guān)性、有效且高效率。風險管理過程應成為組織過程中的一部分，而不是脫離。特別是，風險管理應融入到政策制定、商業(yè)和戰(zhàn)略規(guī)劃、以及管理流程的

10、變革中。組織應有一個涉及整個組織的風險管理計劃，以確保風險管理政策的實施和風險管理融入到組織的活動和業(yè)務流程中。5.3.4 職責 組織應確保風險管理的職責與權(quán)利，包括風險管理的實施與維護，并確保足夠的風險控制及其有效性。以下措施將有助于此：指定風險管理框架的制定、實施和維護的責任人；指定風險應對、風險控制和報告風險信息的責任人；建立績效評估、內(nèi)部和外部報告體系，并對流程進行升級；確保適當?shù)恼J可、獎勵、考核和制裁。5.3.5 資源 組織應制定切實可行的方法，為風險管理調(diào)配適當?shù)馁Y源。應考慮以下內(nèi)容：人力、技能、經(jīng)驗和能力；風險管理過程中每個步驟需要的資源；記錄在案的過程和程序；信息和知識管理系統(tǒng)

11、。5.3.6 建立內(nèi)部溝通與報告機制 組織應建立內(nèi)部溝通與報告機制，應確定以下內(nèi)容：對風險管理框架的關(guān)鍵組成部分，以及其后的任何修改進行適當?shù)臏贤?；確保足夠的內(nèi)部報告，并確保其是有效和富有成果的；來源于風險管理過程中的相關(guān)信息在一定程度上是有效的；向內(nèi)部利益相關(guān)者咨詢。這些機制應包括鞏固組織內(nèi)部風險信息的各種來源，并保持對風險信息的敏感性。5.3.7 建立外部溝通與報告機制 組織應制定并實施如何與外部利益相關(guān)者進行溝通的計劃。其應包括：適當聯(lián)絡外部利益相關(guān)者，并確保有效的進行信息交流；外部報告遵守法律法規(guī)、監(jiān)管和公司治理的要求；按法律規(guī)定批露信息；提供溝通和咨詢的反饋和報告；在組織中通過溝通建

12、立信任；發(fā)生危機或緊急狀況時與利益相關(guān)者進行溝通。5.4 風險管理實施5.4.1風險管理實施框架 在風險管理框架的實施中，組織應做到：確定執(zhí)行風險管理框架的合理時機與戰(zhàn)略；適用于風險管理政策和流程的組織程序；遵守法律和法規(guī)的要求；決策目標的制定應與風險管理的應用效果一致；召開信息發(fā)布、交流和相關(guān)的培訓會議；與利益相關(guān)者溝通以確保風險管理框架仍然合適。5.4.2 風險管理實施流程 風險管理的實施必須確保第6條所述的風險管理流程應用于組織所有相關(guān)層級，這是組織的職能之一，也是組織的必要組成部分。5.5 監(jiān)控與審查框架 為確保風險管理的有效性和對組織業(yè)績的持續(xù)支持，組織應：建立績效評估；定期衡量風險

13、管理進展情況以及風險管理計劃的偏差程度；定期審查風險管理框架、政策、及計劃是否仍適用于組織的內(nèi)部與外部環(huán)境；風險報告應須包含風險描述、風險管理計劃的進度和風險管理政策的遵循程度；審查風險管理框架的有效性。5.6 持續(xù)改善框架 根據(jù)審查結(jié)果，決定如何改善風險管理的框架、政策、及計劃。這些決策有助于風險管理和風險管理文化的改善，使組織得到提升。6 風險管理過程6.1 概述 風險管理過程是企業(yè)管理不可分割的一部分，且應融入到組織的文化和活動中，并與組織的業(yè)務流程相適應。它包括從6.2至6.7所述的活動。風險管理過程包括五個活動：溝通與協(xié)商、確定環(huán)境狀況、風險評估、風險處理、監(jiān)控與審查，如圖3所示。這

14、些活動記錄了風險管理的過程，具體描述如下。64 風險評估62溝 通 與 協(xié) 商66監(jiān)控 與 審 查63 確定環(huán)境642 風險識別65風險處理643風險分析644風險評價圖3 風險管理過程 6.2 溝通與協(xié)商 在風險管理過程中的每一個階段，都需要與內(nèi)部、外部利益相關(guān)者進行溝通與協(xié)商。因此，應在初期階段建立與內(nèi)部、外部利益相關(guān)者溝通和協(xié)商的計劃。這個計劃應提出風險本身的問題、后果（如果已知）以及處理方法。 組織通過內(nèi)部、外部有效的溝通與協(xié)商，確保風險管理實施責任人和利益相關(guān)者能夠理解決策的基礎(chǔ)以及必須采取特別行動的原因。團隊協(xié)商的方式有助于如下幾點：有助于風險環(huán)境狀況的確定；確保利益相關(guān)者的利益得到理解和考慮；從不同的角度分析風險；有助于風險的正確識別；有助于風險評估中不同的觀點被考慮進來；在風險管理過程中，促進管理的完善；使實施計劃得到擁護和支持；制定適當?shù)膬?nèi)部以及外部的溝通和協(xié)商計劃。 與利益相關(guān)者進行溝通與協(xié)商是非常重要的，因為他們可以根據(jù)自己的風險認知對風險進行判斷。他們對風險的認知取決于他們的價值觀、需求、設(shè)想、觀念和對利益相關(guān)者的考慮。由于他們的觀