1、ISO 31000:2018 内部学习稿 1 目目 录录 前言前言 介绍介绍 1 1 适用范围适用范围 2 2 规规范性引用范性引用文件文件 3 3 术语术语和定和定义义 4 4 原则原则 5 5 框架框架 5.1 概述 5.2 领导力和承诺 5.3 整合 5.4 设计 5.5 实施 5.6 评价 5.7 改进 6 6 流程流程 6.1 概述 6.2 沟通和咨询 6.3 范围、环境和准则 6.4 风险评估 6.5 风险应对 6.6 监督和审查 6.7 记录和报告 参考书参考书目目 ISO 31000:2018 内部学习稿 2 前言前言 ISO(国际标准化组织)是一个全球联合的国际标准组织(IS
2、O 成员机构)。制定国际标准的工作通常通过 ISO 技术委员会进行。对不同主题的技术委员会的感兴趣的每个成员机构,均有权参加该委员会的代表大会。与 ISO 有联系的国际组织、政府和非政府组织也参与了这项工作。ISO 与国际电工委员会(IEC)就电工标准化的所有事宜密切合作。ISO/IEC 指令第 1 部分描述了用于开发和维护此文件的程序。尤其应注意不同类型 ISO 文件所需的不同批准标准。本文件是根据 ISO/IEC 指令第 2 部分(见 www.iso.org/directives)的编辑规则起草的。请注意本文件的某些内容可能涉及某些专利权。ISO 不负责识别任何和此有关的专利权。在文件制定
3、过程中确定的任何专利权的细节将在介绍和/或 ISO 收到的专利声明清单中(见www.iso.org/patents)。本文档中使用的任何名称都是为了方便用户而提供的信息,并不构成对此进行背书。关于标准的自愿性质的解释,与合格评定相关的 ISO 特定术语和表达的含义,以及关于 ISO 遵守世界贸易组织(WTO)在技术性贸易壁垒(TBT)原则中的信息参见网址如下:www.iso.org/iso/foreword.html。本文件由 ISO/TC 262 风险管理技术委员会编写。本第二版标准用于代替第一版标准(ISO 31000:2009)。与前一版本相比的主要变化如下:-审阅了风险管理原则,这是其
4、成功的关键标准;-从组织治理开始,突出高层管理人员的领导职责和风险管理的整合;-更加强调风险管理的反复优化性质,指出新的经验、知识和分析可以促使对流程各个阶段的流程要素、行动和控制进行调整;-精简内容,更加注重保持开放系统模式以适应多种需求和环境。ISO 31000:2018 内部学习稿 3 介介绍绍 此文件供那些通过管理风险来制定决策、设定和实现目标,以及通过提升绩效来创造和保护组织价值的人员使用。各种类型和规模的组织都面临着外部和内部因素及影响,这些因素和影响使得组织实现其目标面临一定的不确定性。风险管理是反复优化的,有助于组织制定战略、实现目标和做出明智的决策。管理风险是治理和领导力的一
5、部分,对于组织在各个层面的管理至关重要。它有助于改进管理体系。管理风险是组织所有活动的一部分,包括与利益相关方的交流和沟通。管理风险考虑了组织的外部和内部环境,包括人员行为和文化因素。如图 1 所示,管理风险基于本文档中描述的原则、框架和流程。这些要素可能已经全部或部分存在于组织内了,但是,为了更高效、有效和一致的管理风险,他们可能需要进行调整和改进。图 1-原则、框架和流程 ISO 31000:2018 内部学习稿 4 风险风险管理管理 指南指南 1 1 适用适用范范围围 本文件提供了组织管理面临的风险的指南。这些指南的应用可以针对任何组织及其背景环境进行定制。本文件提供了管理任何类型风险的
6、通用方法,并非行业或某一领域特定的。该文件可用于组织的整个生命周期,可应用于任何活动,包括各层级决策。2 2 规范性引用文件规范性引用文件 本文档中没有规范性引用文件。3 3 术语和定义术语和定义 就本文件而言,下列术语和定义适用。ISO 和 IEC 维护了用于标准化术语数据库,地址如下:-ISO 在线浏览平台:http:/www.iso.org/obp-IEC Electropedia:可在 http:/www.electropedia.org 上找到3.13.1 风险风险 不确定性对目标的影响 注 1:影响是与预期的偏差。它可以是积极的、消极的或两者兼而有之,并且可以锁定、创造机遇或导致威
7、胁。注 2:目标可以有不同的方面和类别,并且可以在不同的层面应用。注 3:风险通常以风险源(3.4)、潜在事件(3.5)、后果(3.6)及其可能性(3.7)表示。3.23.2 风险风险管理管理 指导和控制组织风险(3.1)的协调活动 ISO 31000:2018 内部学习稿 5 3.33.3 利益相关方利益相关方 对一个决策或活动可以产生影响或受其影响、亦或将会受影响的个人或组织 注 1:“利害关系方”一词可以用作代替“利益相关方”。3.43.4 风险风险源源 单独或组合在一起可能会导致风险的要素(3.1)3.53.5 事件事件 一系列特殊状况的发生或变化 注 1:事件可能是一次或多次事件,并
8、可能有多个原因和多个后果(3.6)。注 2:事件可以是预期不会发生的事情,也可以是没有预期一定会发生的事情。注 3:事件可能是风险源。3.63.6 后果后果 事件(3.5)影响目标的结果 注 1:后果可能是确定的或不确定的,可能对目标产生正面或负面、直接或间接的影响。注 2:后果可以定性或定量表示。注 3:任何后果都可能通过连锁和累积效应升级。3.73.7 可能性可能性 事情发生的几率 ISO 31000:2018 内部学习稿 6 注 1:在风险管理(3.2)术语中,“可能性”一词用于指发生事件的几率,无论是客观地还是主观地、定性地或定量地进行定义、测度或确定,并且使用一般术语或数学描述(例如
9、给定时间段内的概率或频率)。注 2:英文术语“可能性”在某些语言中没有直接的同义词;有时会使用术语“概率”来代替。然而,在英语中,“概率”通常被狭义地解释为数学术语。因此,在风险管理术语中,“可能性”应该与“概率”一词在除英语以外的语言中,具有相同的广义解释。3.83.8 控制控制 保持和/或调整风险的措施(3.1)注 1:控制包括但不限于保持和/或修改风险的任何流程、政策、设备、实践或其他条件和/或行动。注 2:控制可能并不总是能发挥到预期或假定的调整效果。4 4 原则原则 风险管理的目的是创造和保护价值。它提升了绩效,鼓励创新并支持目标实现。图 2 中描述的原则为有效和高效的风险管理的特点
10、提供了指导,传达其价值并解释其意图和目的。这些原则是管理风险的基础,应在建立组织的风险管理框架和流程时予以考虑。这些原则可以使组织能够管理不确定性对其目标的影响。ISO 31000:2018 内部学习稿 7 图 2-原则 有效的风险管理需要图 2 中的要素,可以进一步解释如下。a)整合的风险管理是所有组织活动的组成部分。b)结构化和全面性风险管理的结构化和综合性方法有助于获得一致的和可比较的结果。c)定制化风险管理框架和流程是根据组织与其目标相关的外部和内部环境来制定的,并与其密切相关。d)包容的需要考虑利益相关方的适当和及时的参与,融入他们的知识、观点和看法。这可以提高风险意识并明智的管理风
11、险。e)动态的随着组织内部和外部环境的变化,风险可能会出现、变化或消失。风险管理会以适当和及时的方式预测、监督、掌握和响应这些变化和事件。f)最佳可用信息ISO 31000:2018 内部学习稿 8 风险管理的输入是基于历史和当前的信息以及未来的预期。风险管理应明确考虑到与这些信息和期望相关的任何限制和不确定性。信息应及时、清晰地提供给相关的利益相关方。g)人员及文化因素人员行为和文化明显影响着各级和各阶段风险管理的各个方面。h)持续改进通过学习和经验积累,不断提高风险管理水平。5 5 框架框架 5.15.1 概述概述 风险管理框架的目的是协助组织将风险管理纳入重要的活动和职能。风险管理的有效
12、性取决于是否将其纳入组织治理和决策中。这需要利益相关方,特别是最高管理层的支持。框架开发包括在整个组织内整合、设计、实施、评价和改进风险管理。图 3 说明了框架的要素。图 3-框架 组织应评估其现有的风险管理实践和流程,评估任何差距并依照框架解决这些差距。框架的组成要素和它们协同作用的方式应该根据组织的具体需求进行定制。5.25.2 领导领导力力和承和承诺诺 ISO 31000:2018 内部学习稿 9 在适当的情况下,高级管理层和监督机构应确保风险管理融入组织所有活动,并应通过以下方式表现出领导力和承诺:-针对性的设计和实施框架的所有要素;-发布建立风险管理方法、计划或行动方案的声明或政策;
13、-确保为管理风险分配必要的资源;-在组织内的相应级别分配权限和职责。这将有助于组织:-将风险管理与其目标、战略和文化相结合;-承担和界定所有义务及其自愿承诺;-确定风险的数量和类型,指导风险准则制定,确保将风险准则传达给组织及利益相关方;-将风险管理的价值传达给组织及其利益相关方;-促进系统的对风险进行监测;-确保风险管理框架适合组织环境。最高管理层负责管理风险,而监督机构负责监督风险管理。对监督机构的期望或是要求:-确保组织在确定组织目标时充分考虑风险;-了解组织追求目标所面临的风险;-确保管理风险的体系得到有效实施和运行;-确保组织在当前的目标下承担了适当的风险;-确保有关这些风险及其管理
14、的信息得到适当传达。5.35.3 整合整合 整合风险管理依赖于对组织架构和环境的理解。架构因组织的目的、目标和复杂程度而异。组织架构中的每个部分都需要进行风险管理。组织中的每个人都有责任管理风险。ISO 31000:2018 内部学习稿 10 治理为组织如何处理内外部关系,设置规则、流程和实践以实现其目的提供了指引。管理架构将治理的方向转化为战略和相关目标,来实现组织理想水平的绩效和永续经营。确定组织内部的风险管理责任和监督角色是组织治理的一部分。将风险管理整合到组织中是一个动态和反复优化的过程,应该根据组织的需求和文化进行定制。风险管理应该成为组织目的、治理、领导力和承诺、战略、目标和运营的
15、一部分,而不是相互分离。5.45.4 设计设计 5.4.15.4.1 了解组织了解组织及其及其环境环境 在设计风险管理框架时,组织应该检视并理解其内部和外部环境。检查组织的外部环境可能包括但不限于:-社会、文化、政治、法律、监管、财务、技术、经济和环境因素,无论是全球的、国家的、区域的、还是本地的;-影响组织目标的关键驱动因素和趋势;-外部利益相关方的关系、意见、价值观、需求和期望;-合同关系和承诺;-网络和依赖关系的复杂性。检查组织的内部环境可能包括但不限于:-愿景、使命和价值观;-治理、组织架构、角色和责任;-战略、目标和政策;-组织的文化;-组织采用的标准、指南和模式;-根据资源和知识(
16、例如资本,时间,人员,知识产权,流程,系统和技术)来理解能力;-数据、信息系统和信息的流动;ISO 31000:2018 内部学习稿 11-与内部利益相关方的关系,考虑他们的意见和价值观;-合同关系和承诺;-相互依赖和相互关联。5.4.25.4.2 明确风险明确风险管理承管理承诺诺 在适当情况下,高级管理层和监督机构应通过政策、声明或其他形式清楚地表达组织的目标和对风险管理的承诺,展示并阐明其对风险管理的持续承诺。承诺应包括但不限于:-组织管理风险的目的以及与其目标和政策的联系;-加强将风险管理理念纳入组织整体文化的需要;-带领风险管理整合到核心业务活动和决策中;-权限、职责;-保证必要资源的充足性;-处理相互冲突的目标;-组织绩效指标衡量和报告;-审查和改进。组织对风险管理的承诺应在适当时传达给内部和利益相关方。5.4.35.4.3 分配分配组织组织角色角色、权权限限、职责职责 在适当情况下,高级管理层和监督机构应确保在组织各级分配和传达有关风险管理的权限和职责,并应:-强调风险管理是核心责任;-确定具有管理风险职责和权限的个人(风险所有者)。5.4.45.4.4 分配分配资资源源
