1、1ISO31000-2009 风险管理原则与实施指南引 言所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素和影响。这种不确定性所具有的对组织目标的影响就是“风险”。组织的所有活动都涉及风险。组织通过识别、分析和评定是否运用风险处理修正风险以满足它们的风险准则,来管理风险。通过这个过程,它们与利益相关方进行沟通和协商,监测和评审风险,以及为确保不再进一步需求风险处理而修正风险的控制措施。本国际标准详细描述了这一系统的和逻辑的过程。尽管所有的组织在某种程度上都在管理风险,本国际标准建立了一些为使风险管理变得有效而需要满足的原则。本国际标准建议,组织制定、实施和持续改
2、进一个框架,其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。风险管理可以在组织多个领域和层次、任何时间,应用到整个组织,以及具体职能、项目和活动。尽管在过去一段时间在许多行业,为满足不同的需要,已经开展了风险管理实践,但在一个综合框架内采用一致性过程有助于确保在组织内有效、有效率和结合性地管理风险。本国际标准中所描述的通用方法提供了在任何范围和状况下,以系统、清晰、可靠的方式管理风险的原则和指南。每一个具体行业或风险管理的应用都产生了各自的需求、受众、观念和准则。因此,本国际标准的主要特点是将所包含“确定状况”作为通用风险管理过程开始的活动。确定状
3、况将捕获组织的目标,组织所追求目标的环境,组织的利益相关方和风险准则的多样性,所有这些都将帮助揭示和评价风险的性质和复杂性。本国际标准描述的风险管理原则、框架和风险管理过程之间的关系,如图 1 所示。当依据本国际标准实施和保持风险管理时,能够使组织,例如: 提高实现目标的可能性; 鼓励主动性管理; 在整个组织意识到识别和处理风险的需求; 改进机会和威胁的识别能力; 符合相关法律法规要求和国际规范; 改进强制性和自愿性报告; 改善治理; 提高利益相关方的信心和信任; 为决策和规划建立可靠的根基; 加强控制; 有效地分配和利用风险处理的资源; 提高运营的效果和效率; 增强健康安全绩效,以及环境保护
4、;2 改善损失预防和事件管理; 减少损失; 提高组织的学习能力 提高组织的应变能力本国际标准旨在满足众多利益相关方的需求,包括:a)负责制定组织风险管理方针的人员;b)负责确保在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人员;c)需要评定组织风险管理有效性的人员;d)整体或部分地实施风险管理的标准、指南、程序和操作规范的开发者。目前许多组织的管理实践和过程包含了风险管理的要素,许多组织针对特定类型的风险或环境下已经采用了正式的风险管理过程。在这种情况下,组织可以决定对照本国际标准对其现有的实践和过程开展严格的评审。在本国际标准中, “风险管理(risk management)
5、 ”和“管理风险(managing risk) ”都在使用。在通常的术语意义上, “风险管理(risk management) ”涉及的有效管理风险的构架(原则,框架和过程) ,而“管理风险(managing risk) ”指的是运用该架构管理特定风险。监控和评审a) 创造价值b) 整合在组织过程中的部分c) 支持决策d) 明晰解决不确定问题e) 系统、结构化和及时性f) 基于最可用信息g) 量体裁衣h) 考虑人文因素i) 透明和包容j) 动态、迭代和应对变化k) 实现组织的持续改进和强化原则 过程框架指令和承诺(4.2)风险管理框架设计计实施风险管理框架的持续改进框架的监测和评审沟通和协商明
6、确状况风险评价风险识别风险分析风险评定风险处理监测和评审3风险管理-原则和指南1 范围本国际标准提供了风险管理的原则和通用性指南。本国际标准可用于任何公共、私有或公有企业、协会,团体或个体。因此,本国际标准不针对任何特定行业或部门。注:为方便起见,本国际标准涉及的所有不同的用户以通用术语“组织”称谓。本国际标准可用于整个组织的生命周期及广泛的活动,包括战略和决策、运营、过程、职能、项目、产品、服务和资产。本国际标准可以应用于任何类型的风险,无论其性质及是否有积极或消极的后果。尽管本国际标准提供了风险管理的通用性指南,但不意针对组织促进风险管理的统一性。风险管理计划和框架的设计和实施需要考虑到特
7、定组织的不同需求、特定目标,状况、结构、运营、过程、职能、项目、产品、服务、或资产以及展开的具体实践。意在运用本国际标准来协调现有和将来标准的风险管理过程。本标准提供了一个支持其他标准处理特定风险和行业风险的通用方法,而不是取代这些标准。本国际标准不意针对认证意图。 2 术语和定义下列术语和定义适用本标准。2.1 风险 risk不确定性对目标的影响注1:影响是与期待的偏差积极和/或消极注2:目标可以有不同方面(如财务、健康安全、以及环境目标),可以体现在不同的层次(如战略、组织范围、项目、产品和过程)。注3:风险通常以潜在事件(2.19)和后果(2.20),或它们的组合来描述。注4:风险通常以
8、事件(包括环境的变化)后果和发生可能性(2.21)的组合来表达。注5:不确定性是指,与事件和其后果或可能性的理解或知识相关的信息的缺陷的状态,或不完整。ISO导则 73:2009, 定义1.12.2 风险管理 risk management针对风险指挥和控制组织的协调活动。ISO 导则 73:2009, 定义 2.12.3 风险管理框架 risk management framework提供在组织内设计、实施、监测(2.28)、评审和持续改进风险管理(2.2)的基本原则和组织安排的要素集合。注1:基本原则包括管理风险的方针、目标、指令和承诺。4注2:组织安排包括计划、关系、责任、资源、过程和活
9、动。注3:风险管理框架被嵌入到组织的整个战略和运营的方针和实践中ISO 导则 73:2009, 定义 2.1.12.4 风险管理方针 risk management policy一个组织对风险管理的意图和方向的陈述。ISO 导则73:2009, 定义 2.1.22.5 风险态度 risk attitude组织评价、最终追踪、保留、消除或规避风险的方法。ISO 导则 73:2009, 定义 3.7.1.12.6 风险管理计划 risk management plan在风险管理框架内规定用于风险管理的方法、管理要素、资源的方案。注1:管理要素一般包括程序、惯例、职责分配、活动顺序和时间安排。注2:
10、风险管理计划可应用于特定的产品、过程和项目、组织的部分或整体。ISO 导则 73:2009, 定义2.1.32.7 风险所有者 risk owner具有风险管理权限和责任的个人或实体。ISO 导则 73:2009, 定义 3.5.1.42.8 风险管理过程 risk management process管理方针、程序和惯例对沟通、协商、确定状况、以及识别、分析、评价、处理、监测和评审风险活动的系统应用。ISO 导则 73:2009, 定义 3.12.9 确定状况 establishing the context界定外部和内部参数,以便在管理风险和设置风险管理方针的范围及风险准则时,予以考虑。I
11、SO 导则 73:2009, 定义 3.3.12.10 外部状况 external context组织寻求实现其目标的外部环境。注:外部环境可包括: 文化、社会、政治、法律法规、财政金融、技术、经济、自然和竞争环境,无论国际、国家、区域或地方 对组织目标具有影响的主要驱动和趋势。 与外部利益相关方的关系和其感受和价值观。ISO 导则 73:2009,定义 3.3.1.12.11 内部状况 internal context组织寻求实现其目标的外部环境。注:内部状况可包括: 治理、组织结构、作用和责任;5 方针、目标、以及实现它们的战略; 以资源和知识来理解的能力(如资本、时间、人员、过程、系统和
12、技术); 信息系统、信息流和决策过程(正式和非正式的); 与内部利益相关方的关系、以及他们的感受和价值观; 组织的文化; 标准、指南和组织采用的模式; 合同关系的形式和范围ISO 导则 73:2009,定义 3.3.1.22.12 沟通和协商 communication and consultation组织针对风险管理,提供、共享或获取信息,与利益相关方进行对话的持续和反复的过程。注1:信息涉及风险管理的存在、性质、形式、可能性、严重程度、评定、可接受性、处理。注2:协商是组织与它的利益相关方,在做出决策或确定某一问题的方向前,针对问题双向有事实依据的沟通的过程。协商是: 通过影响力而非权力对
13、决策施加影响; 作为决策的输入,而非加入决策。ISO 导则 73:2009, 定义 3.2.12.13 利益相关方 stakeholder可以影响、被影响、或者觉得自己会被决策或活动影响的个人或组织。注:决策者可以是利益相关者。ISO 导则 73:2009, 定义 3.2.1.12.14 风险评价 risk assessment风险识别(2.15)、风险分析( 2.21)和风险评定(2.24)的整个过程。 ISO 导则 73:2009, 定义 3.4.12.15 风险识别 risk identification发现、认识、描述风险的过程。注1:风险识别包括风险源(2.16)、事件(2.17)、
14、它们的起因及潜在后果的确定。注2:风险识别会涉及历史数据、技术分析、有事实依据的和专家的观点、以及利益相关方的需求。ISO 导则 73:2009, 定义 3.5.12.16 风险源 risk source单独地或以结合的形式具有产生风险的内在可能性的因素。注:一个风险源可以是有形的或者无形的。ISO 导则 73:2009,定义 3.5.1.12.17 事件 event特殊系列环境的产生或变化。注1:.一个事件可以是一个或多个事变,会有多种原因。注2:事件可以由一些不发生的事情构成。6注3:事件有时被称作“事件(incident)”或“事故(accident)”。注4:.没有后果的事件可以被称作
15、“near miss ”、“incident”、“near hit” 、 “close call”。ISO 导则 73:2009, 定义 3.5.1.22.18 后果 consequence事件对目标的影响结果。注1:一个事件可以产生一系列的后果。注2:后果可以是确定或不确定的,以及对目标具有积极或消极的影响。注3:后果可以被定性或定量地表述。注4:初步的后果通过连锁效应可以逐步升级。 ISO 导则 73:2009, 定义 3.6.1.32.19 可能性 likelihood某事发生的机会。注1:在风险管理术语学中,“可能性” 是指事情发生的机会,不论是明确的、测量的,还是客观或主观地、定性或
16、定量地确定的,以及一般性或精确地描述(如在一定时段内的可能性和频率)。注2:英文“likelihood”在一些语言中没有直接对应的等同词,而同义词“probability”经常被使用。然而,在英文中,“probability”通常被狭义地理解为数学术语。因此,在风险管理术语学中, “likelihood”以它在许多非英语国家语言中的“probability”所具有的同样的广泛理解来使用。ISO 导则 73:2009, 定义 3.6.1.12.20 风险状况 risk profile任何系列风险(2.1)的描述。注:该系列风险可包含与整个组织、组织的部分或者其他特定部分相关联的风险。ISO Gu
17、ide 73:2009, definition 3.8.2.52.21 风险分析 risk analysis理解风险(2.1)的性质和确定风险程度(2.23)的过程。注1:风险分析为风险评定和风险处理决策提供了基础。注2:风险分析包括风险估测。ISO 导则 73:2009, 定义 3.6.12.22 风险准则 risk criteria评价风险重要性的依据。注1:.风险准则基于组织的目标和内外部状况。注2:风险准则可出自于标准、法律、方针和其他要求。ISO 导则 73:2009, 定义 3.3.1.32.23 风险程度 risk level以后果和可能性的组合表达的风险的量或组合结果。ISO
18、导则 73:2009, 定义 3.6.1.82.24 风险评定 risk evaluation7将风险分析的结果与风险准则进行比较,以确定风险和(或)其量是否可接受或可容许。注:风险评定有助于有关风险处理的决策。ISO 导则 73:2009, 定义 3.7.12.25 风险处理 risk treatment修正风险的过程。注1:风险处理可包括: 通过决定不启动或停止产生风险的活动而避免风险。 为了追求机会采取或增加风险。 消除风险源。 改变可能性。 改变后果。 与其他方面共同分担风险(包括合同、风险融资)。 通过有事实依据的决策保留风险。注2:对消极后果的风险处理有时可以称为“风险减缓(ris
19、k mitigation)”、“风险消除(risk eliminate )”、“风险预防(risk prevention)”和“风险减小(risk reduction)”。注3:风险处理可以产生新的风险或修正已存在的风险。ISO 导则 73:2009, 定义 3.8.12.26 控制措施 control修正风险的措施。注1:控制措施包括任何过程、方针、手段、惯例或其他修正风险的措施。注2:控制措施可能不总是产生预期或设想的修正效果。ISO 导则 73:2009, 定义 3.8.1.12.27 残留风险 residual risk风险处理后余留下的风险。注1:残留风险可包括未识别的风险。注2:残
20、留风险也可被认作“保留的风险(retain risk)。ISO 导则 73:2009,定义3.8.1.62.28 监测 monitoring不断检查、监督、严格观察或确定状态,以识别所要求或期待的绩效水平的变化。注:监测可应用于风险管理框架、风险管理过程、风险或控制措施。ISO 导则 73:2009, 定义 3.8.2.12.29 评审 review为达到所建立的目标,确定有关事务的适宜性、充分性和有效性所采取的活动。注:评审可应用于风险管理框架、风险管理过程、风险或控制措施。ISO 导则73:2009, 定义3.8.2.283 原则为了风险管理有效,组织宜在各个层次遵循以下原则。a)风险管理
21、创造和保护价值风险管理有助于目标明确的实现和绩效的改进,例如,在人员的健康安全、治安、法律法符合性、公众接受性、环境保护、产品质量、项目管理、运营效率、治理和声誉方面。b)风险管理是整合在所有组织过程中的部分风险管理不是与组织的主要活动和过程分开的孤立活动。风险管理是管理职责的部分和整合在所有组织过程中的部分,包括战略规划、所有项目、变更管理过程。c)风险管理支持决策风险管理可以帮助决策者做出明智的选择、优先的措施和辨别行动方向。d)风险管理明晰解决不确定问题风险管理明确地阐述不确定性、不确定性的性质、以及如何加以解决。e)风险管理具备系统、结构化和及时性系统、及时和结构化的风险管理方法有助于
22、提高效率和取得一致、可衡量和可靠的结果。f)风险管理基于最可用的信息风险管理过程的输入基于信息源,如历史数据、经验、利益相关方的反馈、观察、预测和专家判断。然而,决策者宜告诫自身和考虑,数据或所使用模型的局限性,或者专家之间分歧的可能性。g)风险管理是量体裁衣的风险管理是与组织的外部和内部状况及风险状况相匹配的。h)风险管理考虑人文因素风险管理认识到可以促进或阻碍组织目标实现的内部和外部人员的能力、观念和意图。i)风险管理是透明和包容的利益相关方、尤其是组织各层面的决策者适当、及时的参与,确保了风险管理保持相关和先进性。参与过程也允许利益相关方适当地发表意见,并将其观点考虑到风险准则的确定中。
23、j)风险管理是动态、迭代和应对变化的风险管理持续察觉和响应变化。由于外部和内部事件发生,状况和知识在改变,风险的监测和评审在进行,新的风险出现,一些风险在改变,而另一些风险消失了。k)风险管理实现组织的持续改进组织宜制定和实施战略,协同组织的其他方面共同改进风险管理的成熟度。附件A为希望更有效地实施管理风险的组织提供了进一步的建议。94 框架4.1 总则风险管理的成功取决于提供将风险管理嵌入整个组织所有层次的基础和安排的管理框架的有效性。框架有助于通过在组织不同层次和特定状况内应用风险管理过程,有效地管理风险。框架确保从风险管理过程取得的风险信息充分地被报告,以及作为决策和所有相关组织层次责任
24、的基础。本条款描述了风险管理框架的必要要素和其以迭代的方式相互作用的方法,如图 2。指令和承诺(4.2)风险管理框架的设计(4.3)理解组织和其状况(4.3.1)建立风险管理方针(4.3.2)责任(4.3.3)融入组织的过程(4.3.4)资源(4.3.5)建立内部沟通和报告机制(4.3.6)建立外部沟通和报告机制(4.3.7)框架的持续改进(4.6) 实施风险管理(4.4) 实施风险管理框架(4.4.1)实施风险管理过程(4.4.2)框架的监测和评审(4.5)图 2 风险管理框架要素间的相互关系本框架目的不是规定一个管理体系,而是有助于组织将风险管理整合到它的整个管理体系中。因此,组织宜使框架
25、的要素适用于其特定的需求。如果组织现存的管理实践和过程包含风险管理要素,或者如果组织已经针对特定的风险或状10况采纳了一个正式的风险管理过程,那么对原有的这些实践和过程宜针对本标准进行评审和评价,包括附录 A 中包含的附加内容,以确定它们的充分性和有效性。4.2 指令和承诺风险管理的引入和确保它的持续有效需要组织管理着强有力和持续的承诺,以及为实现承诺在所有层次战略的和严密的策划。管理者宜:确定和签署风险管理方针;确保组织的文化和风险管理方针一致;确定与组织绩效参数一致的风险管理绩效参数;使风险管理目标与组织的目标和战略一致;确保法律法规的复合性;在组织内适当的层次分配责任和职责;确保为风险管
26、理配置必要的资源;将风险管理的益处通报给所有的利益相关方;确保风险管理框架持续保持适宜。4.3 风险管理框架的设计4.3.1 理解组织和其状况在开始设计和实施风险管理框架前,评价和理解组织内外部的状况是重要的,因为这会对框架的设计产生显著的影响。评价组织外部状况可以包括,但不限于:a)社会和文化、政治、法律法规、财务、技术、经济、自然和竞争环境,无论国际、国内、区域和当地;b)影响组织目标的动力和趋势;c)与外部利益相关方的关系,以及它们的感受和价值观。评价组织内部状况可以包括,但不限于: 管理方法、组织结构、作用和责任; 方针、目标,以及为实现它们所制定的战略; 以资源和知识来理解的能力(例如,资本、时间、人员、过程、系统和技术) ; 信息系统、信息流和决策过程(正式和非正式的) ; 与内部利益相关方的关系,以及它们的感受和价值观; 组织的文化; 被组织采用的标准、指南和模型; 合同关系的形式和范围。4.3.2 建立风险管理方针风险管理方针宜清楚阐明组织风险管理的目标和承诺,特别要针对: 组织管理风险的基本原理; 组织目标和方针与风险管理方针的联系;