2018風險管理指南中文版ISO31000

ISO31000:2018中文版ISO31000:2018ISO31000:2018PAGEPAGE8目 錄1適用范圍2規(guī)范性引用文件3術語和定義5框架

1概述5.2整合設計實施評價7改進6流程

1概述6.2范圍、環(huán)境和準則應對監(jiān)督和審查6.7記錄和報告參考書目前言國際標準化組織）是一個全球聯合的國際標準組織(ISO成員機構）制定國際標準的工作通常通過ISO技術委員會進行。對不同主題的技術委員會的感興趣的每個成員機構，均有權參加該委員會的代表大會。與ISO有聯系的國際組織、政府和非政府組織ftISO與IE)就電工標準化的所有事宜密切合作。ISO/IEC指令第1部分描述了用于開發(fā)和維護此文件的程序。尤其應注意不同類型ISO文件所需的不同批準標準。本文件是根據ISO/IEC指令第2部分（見/directives)的編輯規(guī)則起草的。請注意本文件的某些內容可能涉及某些專利權。ISO不負責識別任何和此有關的專利權。在文件制定過程中確定的任何專利權的細節(jié)將在介紹和／或ISO收到的專利聲明清單中（見/patents)。本文檔中使用的任何名稱都是為了方便用戶而提供的信息，并不構成對此進行背書。關千標準的自愿性質的解釋，與合格評定相關的ISO特定術語和表達的含義，以及關于ISO遵守世界貿易組織(WTO)在技術性貿易壁壘(TBT)原則中的信息參見網址如下：/iso/foreword.html。本文件由ISC2編寫。本第二版標準用于代替第一版標準(ISO31000:2009)。與前一版本相比的主要變化如下：－審閱了風險管理原則，這是其成功的關鍵標準；－從組織治理開始，突出高層管理人員的領導職責和風險管理的整合；－更加強調風險管理的反復優(yōu)化性質，指出新的經驗、知識和分析可以促使對流程各個階段的流程要素、行動和控制進行調整；－精簡內容，更加注重保持開放系統模式以適應多種需求和環(huán)境。介紹此文件供那些通過管理風險來制定決策、設定和實現目標，以及通過提升績效來創(chuàng)造和保護組織價值的人員使用。各種類型和規(guī)模的組織都面臨著外部和內部因素及影響，這些因素和影響使得組織實現其目標面臨一定的不確定性。風險管理是反復優(yōu)化的，有助千組織制定戰(zhàn)略、實現目標和做出明智的決策。管理風險是治理和領導力的一部分，對于組織在各個層面的管理至關重要。它有助千改進管理體系。管理風險是組織所有活動的一部分，包括與利益相關方的交流和溝通。管理風險考慮了組織的外部和內部環(huán)境，包括人員行為和文化因素。如圖1原則流程流程公眾號·風險節(jié)開小界線譯僅供參芍，請勿商用圖1-原則、框架和流程風險管理－指南l適用范圍本文件提供了組織管理面臨的風險的指南。這些指南的應用可以針對任何組織及其背景環(huán)境進行定制。本文件提供了管理任何類型風險的通用方法，并非行業(yè)或某一領域特定的。該文件可用于組織的整個生命周期，可應用于任何活動，包括各層級決策。2規(guī)范性引用文件本文檔中沒有規(guī)范性引用文件。3術語和定義就本文件而言，下列術語和定義適用。ISO和IEC維護了用于標準化術語數據庫，地址如下：ISO在線瀏覽平臺：http:///obpIECElectropedia:可在上找到3.1風險不確定性對目標的影響注1注2:目標可以有不同的方面和類別，并且可以在不同的層面應用。注3:風險通常以風險源(34)、潛在事件(3.5)、果(3.6)及其可能性(37)表示。3.2風險管理指導和控制組織風險(3.1)的協調活動3.3利益相關方一個決策或活動可以產生影響或受其影響、亦或將會受影響的個人或組織注1: "利害關系方”一詞可以用作代替“利益相關方”。3.4風險源單獨或組合在一起可能會導致風險的要素C3.1)3.5事件一系列特殊狀況的發(fā)生或變化:事件可能一次或多次事件，并可能有多個原因和多個后(3.6)。注2:事件可以是預期不會發(fā)生的事情，ft可以是沒有預期一定會發(fā)生的事情。注3:市件可能是風險源。3.6后果事件.5影響目標的結果注1后果可以定性或定量表示。注33.7可能性事情發(fā)生的幾率注1:在風險管理(3.2)術語中，可能性”一詞用于指發(fā)生事件的幾率，無論是客觀地還是主一般術語或數學描述（例如給定時間段內的概率或頻率）。注2:可能概率”一詞在除英語以外的語言中，具有相同的廣義解釋。3.8控制保持和／或調整風險的措施(3.1)注1:控制包括但不限千保待和／或修改風險的任何流程、政策、設備、實踐或其他條件和／或行動。注2:控制可能并不總是能發(fā)揮到預期或假定的調整效果。4原則風險管理的目的是創(chuàng)造和保護價值。它提升了績效，鼓勵創(chuàng)新并支持目標實現。圖2中描述的原則為有效和高效的風險管理的特點提供了指導，傳達其價值并解釋其意圖和目圖2-原則有效的風險管理需要圖2中的要素，可以進一步解釋如下。a)整合的風險管理是所有組織活動的組成部分。b)結構化和全面性風險管理的結構化和綜合性方法有助于獲得一致的和可比較的結果。c)定制化風險管理框架和流程是根據組織與其目標相關的外部和內部環(huán)境來制定的，并與其密切相關。d)包容的動態(tài)的式預測、監(jiān)督、掌握和響應這些變化和事件。最佳可用信息風險管理的輸入是基千歷史和當前的信息以及未來的預期。風險管理應明確考慮到與這些信息和期望相關的任何限制和不確定性。信息應及時、清晰地提供給相關的利益相關方。人員及文化因素人員行為和文化明顯影響著各級和各階段風險管理的各個方面。h)持續(xù)改進通過學習和經驗積累，不斷提高風險管理水平。5框架5.1概述風險管理框架的目的是協助組織將風險管理納入重要的活動和職能。風險管理的有效性取決于是否將其納入組織治理和決策中。這需要利益相關方，特別是最高管理層的支持?？蚣荛_發(fā)包括在整個組織內整合、設計、實施、評價和改進風險管理。圖3說明了框架的要素。領導力與領導力與承諾圖3-框架組織應評估其現有的風險管理實踐和流程，評估任何差距并依照框架解決這些差距?？蚣艿慕M成要素和它們協同作用的方式應該根據組織的具體需求進行定制。5.2領導力和承諾在適當的情況下，高級管理層和監(jiān)督機構應確保風險管理融入組織所有活動，并應通過以下方式表現出領導力和承諾：－針對性的設計和實施框架的所有要素；－發(fā)布建立風險管理方法、計劃或行動方案的聲明或政策；－確保為管理風險分配必要的資源；－在組織內的相應級別分配權限和職責。這將有助于組織：－將風險管理與其目標、戰(zhàn)略和文化相結合；－承擔和界定所有義務及其自愿承諾；－確定風險的數景和類型，指導風險準則制定，確保將風險準則傳達給組織及利益相關方；－將風險管理的價值傳達給組織及其利益相關方；－促進系統的對風險進行監(jiān)測；－確保風險管理框架適合組織環(huán)境。最高管理層負貢管理風險，而監(jiān)督機構負責監(jiān)督風險管理。對監(jiān)督機構的期望或是要求：－確保組織在確定組織目標時充分考慮風險；－了解組織追求目標所面臨的風險；－確保管理風險的體系得到有效實施和運行；－確保組織在當前的目標下承擔了適當的風險；－確保有關這些風險及其管理的信息得到適當傳達。5.3整合架構中的每個部分都需要進行風險管理。組織中的每個人都有責任管理風險。將風險管理整合到組織中是一個動態(tài)和反復優(yōu)化的過程，應該根據組織的需求和文化進行定制。風險管理應該成為組織目的、治理、領導力和承諾、戰(zhàn)略、目標和運營的一部分，而不是相互分離。設計1了解組織及其環(huán)境在設計風險管理框架時，組織應該檢視并理解其內部和外部環(huán)境。檢查組織的外部環(huán)境可能包括但不限于：－影響組織目標的關鍵驅動因素和趨勢；－外部利益相關方的關系、意見、價值觀、需求和期望；－合同關系和承諾；－網絡和依賴關系的復雜性。檢查組織的內部環(huán)境可能包括但不限千：－愿景、使命和價值觀；－治理、組織架構、角色和責任；－戰(zhàn)略、目標和政策；－組織的文化；－組織采用的標準、指南和模式；－根據資源和知識（例如資本，時間，人員，知識產權，流程，系統和技術）來理解能力；－數據、信息系統和信息的流動；－與內部利益相關方的關系，考慮他們的意見和價值觀；－合同關系和承諾；－相互依賴和相互關聯。.2理承諾在適當情況下，高級管理層和監(jiān)督機構應通過政策、聲明或其他形式清楚地表達組織的目標和對風險管理的承諾，展示并闡明其對風險管理的持續(xù)承諾。承諾應包括但不限于：－組織管理風險的目的以及與其目標和政策的聯系；－加強將風險管理理念納入組織整體文化的需要；－帶領風險管理整合到核心業(yè)務活動和決策中；－權限、職責－保證必要資源的充足性；－處理相互沖突的目標；－組織績效指標衡量和報告；－審查和改進。組織對風險管理的承諾應在適當時傳達給內部和利益相關方。在適當情況下，高級管理層和監(jiān)督機構應確保在組織各級分配和傳達有關風險管理的權限和職責，并應： '－強調風險管理是核心責任；—確定具有管理風險職責和權限的個人（風險所有者）。分配資源在適當的情況下，高級管理層和監(jiān)督機構應確保為風險管理分配適當資源，其中可包括但不限于：－人員、技能、經驗和能力；－組織用千風險管理的流程、方法和工具；－記錄過程和程序；－信息和知識管理系統；－專業(yè)發(fā)展和培訓需求。組織應考慮現有資源的能力和局限。55.4.5建立溝通和咨詢?yōu)橹С挚蚣芎痛龠M風險管理的有效應用，息。溝通和咨詢方法和內容應反映相關利益方的期望。溝通和咨詢應該及時進行，確保收集、整理、匯總和分享相關信息，提供反饋意見并改進。實施組織應通過以下方式實施風險管理框架：－制定適當的計劃，包括時間表和資源配置；－在整個組織內，確定在什么地點、什么時間、由誰來進行不同類型的決策；－在必要時，調整適用的決策程序；－確保組織的風險管理安排得到清晰的理解和實施。通過正確的設計和實施風險管理框架，可以確保風險管理流程是整個組織所有活動（包括決策）的一部分，并將充分反映內外部環(huán)境的變化。評價為了評估風險管理框架的有效性，組織應該：－根據其目的、實施計劃、指標和預期行為定期衡量風險管理框架的績效；－確定它是否仍然適合支撐組織目標的實現。5.7改進5.7.1適應性組織應持續(xù)監(jiān)控和調整風險管理框架，以解決內外部的變化。這樣做，組織可以提升其價值。7.2不斷改進組織應不斷改善風險管理框架的適用性、充分性和有效性，以及風險管理流程的整合方式。些改進措施一旦實施，將有助于加強風險管理的作用。6流程概述風險管理流程涉及系統地將政策、程序和實踐應用千溝通和咨詢活動，建立環(huán)境和評估、應對、監(jiān)督、審查、記錄和報告風險。這個流程如圖4所示。圖4-流程用于戰(zhàn)略、運營、計劃或項目層面。組織內部可以有很多風險管理流程的應用方式，這些應用方式是為實現目標而定制的，并適用于其所在的內外部環(huán)境。在整個風險管理流程中，應考慮人員行為和文化因素的動態(tài)性和變化性。雖然風險管理流程通常表現為有一定的順序，但實際上不同流程步驟之間是可以反復交錯使用的。溝通和咨詢溝通和咨詢的目的是協助利益相關方理解風險、明確作出決策的依據以及需要采取特定行動的原整性，以及個人的隱私權。與適當的內外部利益相關方進行溝通和咨詢，應在風險管理流程的所有步驟內和整個流程中進行。溝通和咨詢的目的是：－為風險管理流程的每一步帶來不同領域的專業(yè)知識；－在確定風險準則和評估風險時，確保適當考慮不同的觀點，－提供足夠的信息來促進風險監(jiān)督和決策；－在受風險影響的相關方中建立包容性和責任感。范圍、環(huán)境和準則1概述應對。范圍、環(huán)境和準則涉及界定流程的范圍并理解內外部環(huán)境。6.3.2定義范圍組織應該確定其風險管理活動的范圍。由于風險管理流程可能適用于不同的層面（例如戰(zhàn)略、運營、計劃、項目或其他活動），因此重要的是明確所考慮的范圍、相關目標以及與組織目標的一致性。在規(guī)劃時，考慮事項包括：－目標和需要作的決策；－預期在每一步流程中取得的成果；－時間、地點、具體包含和除外的內容；－適當的風險評估工具和技術；－需要的資源、責任和記錄；－與其它項目、流程和活動的關系。6.3.3外部和內部環(huán)境外部和內部環(huán)境是組織制定和實現其目標的土壤。風險管理流程的環(huán)境應根據對組織運行的外部和內部情況的理解來確定，并反映適用風險管理流程的具體活動情況。了解環(huán)境很重要，因為：－風險管理是在組織目標和各項活動的環(huán)境下進行的；－組織本身的因素可能是風險的來源；－風險管理流程的目的和范圍可能與整個組織的目標相互關聯。組織應考慮5.4.1中提到的因素，建立風險管理流程的外部和內部環(huán)境。.4定義風險準則致，并根據具體活動的目的和范圍進行針對性根據組織的義務和利益相關方的考慮來定義準則。盡管應在風險評估流程開始時制定風險準則，但它們是動態(tài)的，必要時應不斷審查和修訂。要設定風險準則，應考慮以下內容：－可能影響結果和目標（包括有形和無形）的不確定性的性質和類型；－如何定義和衡量結果（包括正面和負面）和可能性；－時間相關因素；－衡量準則使用的一致性；－風險水平如何確定；－如何考慮多種風險的組合和序列；－組織的風險容景。風險評估1概述風險評估是風險識別、風險分析和風險評價的整個過程。風險識別組織可以使用一系列技術來識別可能影響一個或多個目標的不確定性。應考慮以下因素以及這些因素之間的關系：－有形和無形的風險源；－原因和事件；－威脅和機會；－短板和長板；－外部和內部環(huán)境的變化；－新出現的風險征兆；－資產和資源的性質和價值；－后果及其對目標的影響；－知識和信息可靠性的局限；－時間相關因素；－參與者的偏見、假設和個人價值取向。組織應識別風險，不管其來源是否在其控制之下。應該考慮到可能有不止一種類型的表現形式，這可能會導致各種有形或無形的后果。風險分析ft風險分析應考慮以下因素：－事件和后果的可能性；－后果的特征和強度；－復雜性和關聯性；－時間因素和波動性；－現有控制的有效性；－敏感性和置信水平。質量、所做的假設和除外條件、對技術的任何限制以及執(zhí)行情況等。應該考慮、記錄這些影響因素并傳達給決策者。況下，使用各種技術的組合通?？梢蕴峁└嗟膮⒖家庖?。風險評價風險評價的目的是支持決策。風險評價涉及將風險分析的結果與既定的風險準則進行比較，以確定需要采取何種應對措施。這可能會決定：－不需要做任何事情；－考慮風險應對的不同選項；－進一步分析以更好地理解風險；－保持現有的控制；－重新考慮目標。決策應考慮到更廣泛的環(huán)境和背景情況，以及當前和未來對內外部利益相關方的影響。風險評價的結果應該在組織的適當層面進行記錄、傳達和驗證。風險應對1概述風險應對的目的是選擇和實施應對風險的方式。風險應對涉及以下反復優(yōu)化過程：－制定和選擇風險應對方案；－計劃和實施風險應對方案；－評估應對的有效性；－確定剩余風險是否可接受；－如果不能接受，采取進一步應對。選擇風險應對備選方案選擇最合適的風險應對方案，涉及到為實現目標實施此方案帶來的潛在收益，與實施成本或由此帶來的不利因素之間的權衡。在所有情況下，風險應對選項不一定是相互排斥或完全適合的。應對風險的方案可能涉及以下一項或多項：－決定不啟動或停止實施有風險的活動來避免風險；－承擔或增加風險以追求機會；－改變后果；－分擔風險（例如通過合同，購買保險）；－通過明智的決策保留風險。選擇風險應對的理由，不僅要單純的考慮成本，應該考慮到組織的所有義務，自愿承諾和利益相關方的觀點。風險應對備選方案的選擇應根據組織的目標、風險準則和可用資源來進行。ft可能有所偏好。即使經過精心設計和實施，風險應對方案可能達不到預期的效果，而且可能產生預料之外的后風險應對還可能引入需要管理的新風險。如果沒有合適的應