文档介绍:ISO31000-2009风险管理原则与实施指南
引言
所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素和影响。这种不确定性所具有的对组织目标的影响就是“风险”。
组织的所有活动都涉及风险。组织通过识别、分析和评定是否运用风险处理修正风险以满足它们的风险准则,来管理风险。通过这个过程,它们与利益相关方进行沟通和协商,监测和评审风险,以及为确保不再进一步需求风险处理而修正风险的控制措施。本国际标准详细描述了这一系统的和逻辑的过程。
尽管所有的组织在某种程度上都在管理风险,本国际标准建立了一些为使风险管理变得有效而需要满足的原则。本国际标准建议,组织制定、实施和持续改进一个框架,其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。
风险管理可以在组织多个领域和层次、任何时间,应用到整个组织,以及具体职能、项目和活动。
尽管在过去一段时间在许多行业,为满足不同的需要,已经开展了风险管理实践,但在一个综合框架内采用一致性过程有助于确保在组织内有效、有效率和结合性地管理风险。本国际标准中所描述的通用方法提供了在任何范围和状况下,以系统、清晰、可靠的方式管理风险的原则和指南。
每一个具体行业或风险管理的应用都产生了各自的需求、受众、观念和准则。因此,本国际标准的主要特点是将所包含“确定状况”作为通用风险管理过程开始的活动。确定状况将捕获组织的目标,组织所追求目标的环境,组织的利益相关方和风险准则的多样性,所有这些都将帮助揭示和评价风险的性质和复杂性。
本国际标准描述的风险管理原则、框架和风险管理过程之间的关系,如图1所示。
当依据本国际标准实施和保持风险管理时,能够使组织,例如:
——提高实现目标的可能性;
——鼓励主动性管理;
——在整个组织意识到识别和处理风险的需求;
——改进机会和威胁的识别能力;
——符合相关法律法规要求和国际规范;
——改进强制性和自愿性报告;
——改善治理;
——提高利益相关方的信心和信任;
——为决策和规划建立可靠的根基;
——加强控制;
——有效地分配和利用风险处理的资源;
——提高运营的效果和效率;
——增强健康安全绩效,以及环境保护;
——改善损失预防和事件管理;
——减少损失;
——提高组织的学****能力
——提高组织的应变能力
本国际标准旨在满足众多利益相关方的需求,包括:
a)负责制定组织风险管理方针的人员;
b)负责确保在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人员;
c)需要评定组织风险管理有效性的人员;
d)整体或部分地实施风险管理的标准、指南、程序和操作规范的开发者。
目前许多组织的管理实践和过程包含了风险管理的要素,许多组织针对特定类型的风险或环境下已经采用了正式的风险管理过程。在这种情况下,组织可以决定对照本国际标准对其现有的实践和过程开展严格的评审。
在本国际标准中,“风险管理(risk management)”和“管理风险(managing risk)”都在使用。在通常的术语意义上,“风险管理(risk management)”涉及的有效管理风险的构架(原则,框架和过程),而“管理风险(managing risk)”指的是运用该架构管理特定风险。
监控和评审
创造价值
整合在组织过程中的部分
支持决策
明晰解决不确定问题
系统、结构化和及时性
基于最可用信息
量体裁衣
考虑人文因素
透明和包容
动态、迭代和应对变化
实现组织的持续改进和强化
原则
过程
框架
指令和承诺()
风险管理框架设计计
实施风险管理
框架的持续改进
框架的监测和评审
沟通和协商
明确状况
风险评价
风险识别
风险分析
风险评定
风险处理
监测和评审
风险管理-原则和指南
1范围
本国际标准提供了风险管理的原则和通用性指南。
本国际标准可用于任何公共、私有或公有企业、协会,团体或个体。因此,本国际标准不针对任何特定行业或部门。
注:为方便起见,本国际标准涉及的所有不同的用户以通用术语“组织”称谓。
本国际标准可用于整个组织的生命周期及广泛的活动,包括战略和决策、运营、过程、职能、项目、产品、服务和资产。
本国际标准可以应用于任何类型的风险,无论其性质及是否有积极或消极的后果。
尽管本国际标准提供了风险管理的通用性指南,但不意针对组织促进风险管理的统一性。风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标,状况、结构、运营、过程、职能、项目、产品、服务、或资产以及展开的具体实践。
意在运用本国际标准来协调现有和将来标准的风险管理过程。本标准提供了一个支持其他标