ISO31000-2009 风险管理原则与实施指南引 言 所有类型和规模的组织都面临内部和外部的、 使组织不能确定是否及何时实现其目标的因素和影 响。这种不确定性所具有的对组织目标的影响就是“风险” 。 组织的所有活动都涉及风险。 组织通过识别、 分析和评定是否运用风险处理修正风险以满足它们 的风险准则, 来管理风险。 通过这个过程, 它们与利益相关方进行沟通和协商, 监测和评审风险, 以及为确保不再进一步需求风险处理而修正风险的控制措施。 本国际标准详细描述了这一系统的 和逻辑的过程。
尽管所有的组织在某种程度上都在管理风险, 本国际标准建立了一些为使风险管理变得有效而需 要满足的原则。本国际标准建议,组织制定、 实施和持续改进一个框架, 其目的是将风险管理过 程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。 风险管理可以在组织多个领域和层次、 任何时间, 应用到整个组织, 以及具体职能、 项目和活动。 尽管在过去一段时间在许多行业, 为满足不同的需要, 已经开展了风险管理实践, 但
在一个综合 框架内采用一致性过程有助于确保在组织内有效、 有效率和结合性地管理风险。 本国际标准中所 描述的通用方法提供了在任何范围和状况下, 以系统、清晰、可靠的方式管理风险的原则和指南。 每一个具体行业或风险管理的应用都产生了各自的需求、 受众、 观念和准则。 因此, 本国际标准
确定状况将捕获组织的 所有这些都将帮助揭示
1 所示。
的主要特点是将所包含 “确定状况” 作为通用风险管理过程开始的活动。 目标, 组织所追求目标的环境, 组织的利益相关方和风险准则的多样性, 和评价风险的性质和复杂性。本国际标准描述的风险管理原则、框架和风险管理过程之间的关系,如图 当依据本国际标准实施和保持风险管理时,能够使组织,例如:
—— 提高实现目标的可能性;
—— 鼓励主动性管理 ;
—— 在整个组织意识到识别和处理风险的需求 ;
—— 改进机会和威胁的识别能力;
—— 符合相关法律法规要求和国际规范;
—— 改进强制性和自愿性报告;
—— 改善治理;
—— 提高利益相关方的信心和信任;
—— 为决策和规划建立可靠的根基;
—— 加强控制;
—— 有效地分配和利用风险处理的资源;
29842 7492 璒.35031 88D7 裗 il25292 62CC 拌 33245 81DD 臝 —— 提高运营的效果和效率;
—— 增强健康安全绩效,以及环境保护 ;
—— 改善损失预防和事件管理;
—— 减少损失;
—— 提高组织的学习能力
—— 提高组织的应变能力
本国际标准旨在满足众多利益相关方的需求,包括:
a )负责制定组织风险管理方针的人员 ;
b)负责确保在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人员
c)需要评定组织风险管理有效性的人员;
d)整体或部分地实施风险管理的标准、指南、程序和操作规范的开发者。
目前许多组织的管理实践和过程包含了风险管理的要素, 许多组织针对特定类型的风险或环境下
已经采用了正式的风险管理过程。 在这种情况下,组织可以决定对照本国际标准对其现有的实践
和过程开展严格的评审。
在本国际标准中,"风险管理(risk management )”和“管理风险(managing risk )”都
在使用。在通常的术语意义上, "风险管理(risk management )”涉及的有效管理风险的构架
(原则,框架和过程),而"管理风险(man agi ng risk )"指的是运用该架构管理特定风险。
过框 a创造价b整合在组织过程中的部分
c)支持决策诺指令和承 明确状况竣 d)7AE3
-@31459
3 Pz29673 73E9 珩
墪 22698
58AA
理管风险 e)67B3
26547计设框架 风险识别 明晰解决不确定问题 f)鰆9C06枳>39942
g)系统、结构化和及时性监颉 E39049 9889沟监持架的框险实施风控通 基于最可用信息 h)测和 风险分析和和65F5 26101旵评 续改进 管理协评 i)量体裁衣审商审 23868 5D3C崼
考虑人文因素 j)
透明和包容 k)监的框架风险评定风险评价动态、迭代和应对变化 I)测和评审实现组织的持续改进和强 m)
化风险处理原则 原贝y和指南风险管理-范围1本国际标准提供了风险管理的原则和通
用性指南。本国际标准可用于任何公共、私有或公有企业、协会,团体或个体。因此,本国
际标 准不针对任何特定行业 或部门。 注:为方便起见,本国际标准涉及的所有不同的用户以通用术语“组织”称
谓。本国际标准可用于整个组织的生命周期及广泛的活动, 包括战略和决策、 运营、过程、职能、
项目、产品、 服务和资产。 本国际标准可以应用于任何类型的风险, 无论其性质及是否有积极
或消极的后果。风险管理计划和框尽管本国际标准提供了风险管理的通用性指南, 但不意针对组
织促进风险管理的统一性。架的设计和实施需要考虑到特定组织的不同需求、特定目标,状况、 结构、运营、过程、职能、项目、产品、月服 务、或资产以及展开的具体实践。
意在运用本国际标准来协调现有和将来标准的风险管理过程。 本标准提供了一个支持其他标准处
理特定风险和行业风险的通用方法,而不是取代这些标准。
本国际标准不意针对认证意图。
2术语和定义
下列术语和定义适用本标准。
40027 9C5B 鱛 30650 77BA 瞺 d23144 5A68 婨 k22251 56EB 囫 37879
93F7 鏷 27971 6D43 浃
2.1风险 risk 不确定性对目标的影响 注 1 :影响是与期待的偏差——积极和 /或消极
注 2 :目标可以有不同方面(如财务、健康安全、以及环境目标) ,可以体现在不同的层次(如战略、组织范围、项目、 产品和过程)。
注 3 :风险通常以潜在事件( 2.19)和后果( 2.20),或它们的组合来描述。
注 4 :风险通常以事件(包括环境的变化)后果和发生可能性( 2.21)的组合来表达。
注 5 :不确定性是指,与事件和其后果或可能性的理解或知识相关的信息的缺陷的状态,或
不完整。
[ISO 导则 73:2009, 定义 1.1]
risk management
风险管理 2.2 针对风险指挥和控制组织的协调活动。
[ISO 导则 73:2009, 定义 2.1]
risk management framework
风险管理框架 2.3
提供在组织内设计、实施、监测( 2.28 )、评审和持续改进风险管理( 2.2 )的基本原则和组织安 排的要素集合。
注 1 :基本原则包括管理风险的方针、目标、指令和承诺。
注 2 :组织安排包括计划、关系、责任、资源、过程和活动。
注 3 :风险管理框架被嵌入到组织的整个战略和运营的方针和实践中
[ISO 导则 73:2009, 定义 2.1.1]
risk management policy
风险管理方针 2.4
36455 8E67 蹧 34753 87C1 蟁
32798 801E 耞 26994 6972 楲 31905 7CA1 粡 t
一个组织对风险管理的意图和方向的陈述。
[ISO 导则 73:2009, 定义 2.1.2]
2.5风险态度 risk attitude 组织评价、最终追踪、保留、消除或规避风险的方法。
[ISO 导则 73:2009, 定义 3.7.1.1]
2.6风险管理计划 risk management plan 在风险管理框架内规定用于风险管理的方法、管理要素、资源的方案。 .
注 1 :管理要素一般包括程序、惯例、职责分配、活动顺序和时间安排。
注 2 :风险管理计划可应用于特定的产品、过程和项目、组织的部分或整体。
[ISO 导则 73:2009, 定义 2.1.3]
2.7风险所有者 risk owner 具有风险管理权限和责任的个人或实体。
[ISO 导则 73:2009, 定义 3.5.1.4]
2.8风险管理过程 risk management process 管理方针、程序和惯例对沟通、协商、确定状况、以及识别、分析、评价、处理、监测和评审风 险活动的系统应用。
[ISO 导则 73:2009, 定义 3.1]
2.9确定状况 establishing the context 界定外部和内部参数,以便在管理风险和设置风险管理方针的范围及风险准则时,予以考虑。
kQ 36901 9025 逥 23422 5B7E 孾 I30735 780F 砏 20827 515B 兛
[ISO 导则 73:2009, 定义 3.3.1]
2.10外部状况 external context 组织寻求实现其目标的外部环境。 注:外部环境可包括:
—— 文化、社会、政治、法律法规、财政金融、技术、经济、自然和竞争环境,无论国际、国家、区域或地方
—— 对组织目标具有影响的主要驱动和趋势。
—— 与外部利益相关方的关系和其感受和价值观。
[ISO 导则 73:2009,定义 3.3.1.1]
2.11内部状况 internal context 组织寻求实现其目标的外部环境。 注:内部状况可包括:
—— 治理、组织结构、作用和责任;
—— 方针、目标、以及实现它们的战略;
—— 以资源和知识来理解的能力(如资本、时间、人员、过程、系统和技术) ;
—— 信息系统、信息流和决策过程(正式和非正式的) ;
—— 与内部利益相关方的关系、以及他们的感受和价值观;
—— 组织的文化;
—— 标准、指南和组织采用的模式;
,27609 6BD9 毙 28949 7115 焕 25654 6436 搶 35200 8980 覀 dN24930 6162 慢
—— 合同关系的形式和范围
[ISO 导则 73:2009,定义 3.3.1.2]
2.12沟通和协商 communication and consultation 组织针对风险管理,提供、共享或获取信息,与利益相关方进行对话的持续和反复的过程。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议