ISO31000风险管理标准(中文版)

ISO31000风险管理标准（中文版）

添加日期：2009-7-29 作者：ISO 来源：本网整理

风险管理——原则与实施指导准则

1、适用范围

本标准制定了风险管理的原则与通用的实施指导准则。本标准适用于任何公共、私有或社会企业、协会、团体或个人。因此，这一标准是通用的，而不局限于特定行业或部门。为便于陈述，本标准将所有不同的对象都称之为“组织”。

本标准应用于组织的整个生命过程，以及一系列广泛的活动、流程、职能、项目、产品、服务、资产、业务和决策。虽然本标准提供了通用的指导准则，但并不建议所有组织实行统一的风险管理。风险管理的设计和实施取决于特定组织的不同需要、组织特定的目标、范围、组织结构、产品、服务项目、业务流程和具体操作。

本标准将协调与统一现有的和未来的风险管理标准。本标准提供了一个通用的处理具体风险/或部门的方法，但并不是取代那些标准。 此外，本标准将不用于认证。

2、规范性引用

本标准将引用以下文件。若引用的文件标有日期，只有引用的版本适用。

ISO / IEC导则73 ，风险管理——词汇

3 术语和定义

本文采用ISO / IEC导则73给出的术语和定义。

4 风险管理的原则

为达到最大的效益，组织的风险管理应遵循以下原则：

a ）风险管理创造价值。

风险管理有助于目标的实现和改进，例如，人类健康和安全、法律和法规、公众认同、环境保护、财务、产品质量、业务效率、公司治理和声誉。

b ）风险管理是组织进程中不可分割的组成部分。

风险管理是管理职责中的一部分，同所有项目、变更管理流程一样是组织进程中不可分割的一部分。风险管理不是与组织主要活动和组织进程分离的独立活动。

c ）风险管理是决策的一部分。

风险管理有助于决策者作出明智的选择。风险管理有助于确立优选方案以及对各备选方案的判断。最后，风险管理有助于决策者确定风险的可接受程度以及风险处理的合理性与有效性。

d ）风险管理明确地将不确定性表达出来。

风险管理可以处理决策中的不确定性、不确定性因素，以及这些不确定性如何表达。

e ）风险管理应系统化、结构化、及时化。

系统、及时、结构化的风险管理方法有助于提高效率和可持续发展，增加可靠性。

f ）风险管理依赖于信息的有效程度。

风险管理所需的信息来源于如经验、反馈、观察、预测和专家的判断等。但是，决策者应考虑到数据或模型的局限性以及专家之间产生分歧的可能性。

g ）风险管理应适应组织。

风险管理应符合组织的外部、内部环境和风险状况。

h ）风险管理应考虑人力和文化因素。

风险管理应考虑外部和内部人员的能力、观点和倾向，这些因素可以促进或阻碍组织目标的实现。

i ）风险管理应该是透明的、包容的。

风险管理应包括利益相关者，尤其组织的各级决策者，以确保风险管理工作的相关性并及时更新。允许利益相关者对风险管理提出自己的观点，在风险标准的确定中应考虑他们的意见。 1

j ）风险管理应该是动态的、反复的以及适应变化的。

由于内部和外部事件的不断发生、背景和知识的不断改变、监控和审查的出现、新风险的发生，以及其它一些影响因素的变化或消失。因此，组织应保持风险管理的敏感性并及时响应变革。

k ）风险管理应不断改善和加强。

组织应当制定和实施战略，来完善组织各方面的风险管理。附件A “加强风险管理属性”提供了进一步的信息。

5 风险管理框架

5.1概述

要取得成功，风险管理应在一个风险管理框架内发挥作用，该框架提供了基础和组织安排，并贯穿于整个组织的各个层级。该框架通过在组织各个层级，根据具体情况应用风险管理过程（见第6条），帮助组织有效的管理风险。该框架应确保来自这些过程的风险信息是准确报导的，以及决策是以该信息为基础制定的，并明确相关各级组织的责任关系。

这一条款描述了风险管理框架的组成部分，以及它们之间的相互关系(如图2所示)。

5.2 任务和承诺

5.3风险管理框架设计

5.3.1了解组织及其背景

5.3.2 风险管理政策

5.3.3 整合组织过程

5.3.4 责任

5.3.5 资源

5.3.6 建立内部沟通与报告机制

5.3.7 建立外部沟通与报告机制

5.6 持续改善框架

5..4 实施风险管理

5.4.1实施风险管理框架

5.4.2实施风险管理过程

5.5 监控与审查框架

图2 风险管理框架的组成部分

这个框架不是描述一个管理系统，只是协助组织将风险管理整合到整个管理系统中。因此,组织应该根据自己的需求来确定框架的组成部分。

如果组织现有的管理措施和程序中已包含了部分风险管理的组成部分，或者组织已经采用了应对某些特定类型风险或状况的风险管理，这时，组织就应以本标准为基准，严格审查和评估自身的不足。

5.2 任务和承诺

风险管理的引用并确保其持续的有效，需要组织强烈和持续的承诺，以及在战略的高度严格的规划。管理层应做到：

——明确表达并认同风险管理政策；

——确定风险管理绩效指标，并使之符合组织的绩效指标；

——确保风险管理的目标与组织的目标和战略一致；

——符合法律和法规；

——明确管理责任，将责任适当的分配到组织各级；

——确保必要的资源分配给风险管理；

——向利益相关者传达风险管理的益处；

——确保该框架对风险的管理仍然是合适的。

5.3 风险管理框架设计

5.3.1 了解组织及其环境

在开始设计、实施风险管理的框架之前，了解组织外部与内部环境是很重要的，因为这些对风险管理框架的设计影响非常显著。 组织外部环境包括如下几个方面，但并不局限于此：

——文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境，无论是国际、国内、区域或地方；

——影响组织目标的主要驱动因素和发展趋势；

——外部利益相关者的观点和价值观。

组织内部环境包括如下几个方面，但并不局限于此：

——资源与知识的理解能力（如：资本、时间、人力、流程、系统和技术）；

——信息系统、信息流动以及决策过程（包括正式和非正式的）；

——内部利益相关者；

——政策，为实现的目标及战略；

——观念、价值观、文化；

——组织通过的标准以及参考模型；

——结构（如：治理、角色、责任）。

5.3.2 风险管理政策

风险管理政策应明确地表达组织的目标，以及对风险管理的承诺，具体如下：

——风险管理政策、组织目标以及其它政策之间的联系；

——组织风险管理的理由；

——风险管理的职责 ；

——处理利益冲突的方式；

——组织的风险偏好或风险规避；

——风险管理的流程、工具和方法；

——支持风险管理的资源；

——衡量和报告风险管理结果的形式；

——承诺定期审查和核实风险管理政策和框架，并不断改善；

——适当的沟通交流风险管理政策。

5.3.3 整合组织流程

风险管理应融入到组织活动与业务流程中，使其保持相关性、有效且高效率。风险管理过程应成为组织过程中的一部分，而不是脱离。特别是，风险管理应融入到政策 …… 此处隐藏：2274字，全部文档内容请下载后查看。喜欢就下载吧 ……