任何类型和规模的组织都受到各种内外部因素的影响,导致其目标的实现存在不确定性,这些目标涉及到组织从战略决策到不同层面的各项运营活动。在ISO 31000:2018标准中,这种“不确定性对目标的影响”被定义为“风险”。
风险无处不在。战略风险、财务风险、市场风险、运营风险、法律风险等各类风险影响着企业的生存与发展,越来越多的企业关注全面风险管理。如何进行风险识别、风险评估与风险应对,如何开展风险管理以支持企业创造和保护价值,ISO 31000提供了解决这些问题的框架方法。
ISO 31000的来源
国际标准化组织(ISO)于2005年成立了由各个国家专家代表组成的专门研究风险管理标准的工作组(ISO/TC 262),开始着手于制定一个国际通行的风险管理标准,在制定过程中参考澳大利亚/新西兰风险管理标准(AS/NZS 4360:2004)的经验,经过四年的研究和反复讨论,最终在2009年发布了ISO 31000:2009《风险管理——原则和指南》,即ISO第一版风险管理标准。同年国际标准化组织(ISO)还发布了其他两项风险管理相关的标准:ISO Guide 73:2009《风险管理——术语》、ISO/IEC 31010:2009《风险管理——风险评估技术》。
随着社会经济发展及标准应用需求变化,国际标准化组织陆续对风险管理相关标准进行了修订更新,2018年更新发布了ISO 31000:2018《风险管理指南》,2019年更新发布了ISO 31010:2019《风险管理——风险评估技术》,2022年发布了ISO 31073:2022《风险管理——术语》。
2022年10月12日国家市场监督管理总局、国家标准化管理委员会发布GB/T 24353-2022《风险管理指南》,该标准等同采用ISO 31000 :2018《风险管理指南》。
ISO 31000新旧版对比
ISO 31000:2009 风险管理的原则
框架和过程及其之间的相互关系
ISO 31000:2018 风险管理的原则
框架和过程及其之间的相互关系
ISO 31000:2018原则、框架、过程“三轮车图”与ISO 31000:2009 “方框图”相比表现形式变化明显,新版用三个圆形分别表示了原则、框架和过程。
——“原则轮”核心内容为“创造与保护价值”,另外有八项原则。
——“框架轮”核心为“领导力与承诺”,包含五个步骤:整合、设计、实施、评价、改进,这个框架遵循PDCA循环。
——“过程轮”包含了:对范围、背景和标准的定义,风险评估的主流程——风险识别、风险分析、风险评价,风险应对,沟通与咨询,监控与评价,以及记录与报告。这些要素形成一个闭环流程。
ISO 31000:2018与ISO 31000:2009相比:
——风险管理原则由11项原则缩减为9项,突出了“整合”的风险管理原则,注重“价值创造与保护”这一核心原则和目的,明确将组织的风险管理工作聚焦到创造和保护价值。
——框架部分,仍然采用PDCA模型,但强化了“领导力与承诺”的核心作用,明确领导层在整个风险管理工作中的角色和职责;增加了“整合”这一环节,从组织治理层面着眼,强调风险管理与各项管理活动的整合。
——“原则轮”与“过程轮” 相互作用,强调风险管理原则要嵌入到风险管理过程之中。
——“记录与报告”被列为风险管理“过程轮”的一部分,贯穿于整个风险管理过程。
——更加强化了风险管理工作的迭代性质,提示了在每一个流程环节,随着新的实践、知识和分析能力下对流程要素、方案和控制的修正。
——为了满足多样化的需求,保持一个更加开放和包容的系统,精简了一部分内容。
ISO 31000的作用
ISO 31000向组织提供了一个开发、实施和持续改进风险管理的框架及方法,帮助组织实现有效的风险管理,从而为组织的决策和运营以及有效应对突发事件提供支持。
有效的风险管理能够改善组织绩效、鼓励创新、支持组织实现目标。通过在组织中实施和整合管理风险过程,还可以获得以下好处:
——为相关方提供持续的、一致的和可靠的信息;
——更加清晰、知情的决策;
——快速发现、捕获以及响应机会与风险;
——更高效地使用和分配资金和其他资源;
——减少损失的可能性和影响;
——更低的合规/审核成本;
——通过使用风险信息,简化和改进过程,节约成本,提高运行效率。
ISO 31000的适用性
ISO 31000不是管理体系标准,不用于认证,但组织可依据该标准进行自评或委托第二方开展成熟度评估。
ISO 31000适用于任何形式的组织,包括任何公共、私有或社会企业、协会、团体或个人,也适用于组织全生命周期的任何活动,包括所有层级的决策制定、活动、流程、项目、产品、服务和业务等。
很多企业已经建立了质量管理体系、环境管理体系、职业健康安全管理体系,有些还建立了资产管理体系、信息安全管理体系,有些正在考虑建立合规管理体系、业务连续性管理体系。这些管理体系帮助企业识别和管控到了某些方面的风险,并不能做到全面风险管理,而ISO 31000提供了一个风险管理的框架和方法。
企业依据ISO 31000建立适合自身的风险管理框架,将风险管理原则及实施流程整合入各项活动中,包括治理、战略、策划、管理、报告等经营活动,同时也将风险管理文化嵌入到组织文化和实践中,通过系统地识别风险,开展专业风险分析与评估,制定与采取风险应对措施,帮助组织实现有效的风险管理,从而支持组织实现目标。
SGS可以提供哪些帮助,请进入官网咨询