《ISO31000风险管理原则与实施指南(翻译稿)》由会员分享,可在线阅读,更多相关《ISO31000风险管理原则与实施指南(翻译稿)(19页珍藏版)》请在金锄头文库上搜索。
1、引言所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标的 因素和影响。这种不确定性所具有的对组织目标的影响就是 “风险”。组织的所有活动都涉及风险。 组织通过识别、 分析和评定是否运用风险处理修正风险以 满足它们的风险准则,来管理风险。 通过这个过程,它们与利益相关方进行沟通和商议,监 测和评审风险, 以及为确保再也不进一步需求风险处理而修正风险的控制措施。本国际标准 详 细描述了这一系统的和逻辑的过程。尽管所有的组织在某种程度上都在管理风险,本国际标准建立了一些为使风险管理变得 有效而需要满足的原则。本国际标准建议,组织制定、实施和持续改进一个框架,其目的是 将风险管
2、理过程整合到组织的整体管理、战略和规划、管理、报告过程、方针、价值观和 文 化中。风险管理可以在组织多个领域和层次、任何时间, 应用到整个组织,以及具体职能、项 目和活动。尽管在过去一段时间在许多行业,为满足不同的需要,已经开展了风险管理实践,但在 一个综合框架内采用一致性过程有助于确保在组织内有效、有效率和结合性地管理风险。本 国际标准中所描述的通用方法提供了在任何范围和状况下,以系统、 清晰、 可靠的方式管理 风险的原则和指南。每一个具体行业或者风险管理的应用都产生了各自的需求、受众、观念和准则。因此, 本 国际标准的主要特点是将所包含“确定状况”作为通用风险管理过程开始的活动。 确定 状
3、况 将捕获组织的目标, 组织所追求目标的环境, 组织的利益相关方和风险准则的多样性 所有 这些都将匡助揭示和评价风险的性质和复杂性。本国际标准描述的风险管理原则、框架和风险管理过程之间的关系,如图 1 所示。 当依据本国际标准实施和保持风险管理时,能够使组织,例如: 提高实现目标的可能性; 鼓励主动性管理 ; 在整个组织意识到识别和处理风险的需求 ; 改进机会和威胁的识别能力; 符合相关法律法规要求和国际规范; 改进强制性和自愿性报告; 改善管理; 提高利益相关方的信心和信任; 为决策和规划建立可靠的根基; 加强控制; 有效地分配和利用风险处理的资源; 提高运营的效果和效率; 增强健康安全绩效
4、,以及环境保护 ; 改善损失预防和事件管理; 减少损失; 提高组织的学习能力 提高组织的应变能力本国际标准旨在满足众多利益相关方的需求,包括:a)负责制定组织风险管理方针的人员;b)负责确保在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人 员;C)需要评定组织风险管理有效性的人员;d)整体或者部份地实施风险管理的标准、指南、程序和操作规范的开辟者。目前许多组织的管理实践和过程包含了风险管理的要素,许多组织针对特定类型的风险 或者环境下已经采用了正式的风险管理过程。在这种情况下,组织可以决定对照本国际标准 对 其现有的实践和过程开展严格的评审。在本国际标准中,“风险管理(risk
5、 management) ”和“管理风险(managing risk) 都在使用。在通常的术语意义上,“风险管理(risk managemen t)”涉及的有效管理风险 的构架(原则,框架和过程),而“管理风险(managing risk) ”指的是运用该架构管理 特定风险。a)创造价值b)整合在组织过程中的部份c)支持决策d)明晰解决不确定问题e)系统、结构化和及时性f)基于最可用信息g)量体裁衣h)考虑人文因素i)透明和包容j)动态、迭代和应对变化k)实现组织的持续改进和强化原则风险管理指令和承诺框架的持实施风险续改进管理丿框架的监*丿测和评审框架框架设计沟通和商议明确状况风险评价风险识別
6、风险分析风险评定风险处理过程监测和评审t风险管理原则和指南本国际标准提供了风险管理的原则和通用性指南。本国际标准可用于任何公共、私有或者公有企业、协会,团体或者个体。因此,本国际 标准 不针对任何特定行业或者部门。注:为方便起见,本国际标准涉及的所有不同的用户以通用术语“组织”称谓。本国际标准可用于整个组织的生命周期及广泛的活动,包括战略和决策、运营、过程、 职能、项目、产品、服务和资产。本国际标准可以应用于任何类型的风险,无论其性质及是否有积极或者消极的后果。 尽管本国际标准提供了风险管理的通用性指南,但不意针对组织促进风险管理的统一 性。风险管理计划和框架的设计和实施需要考虑到特定组织的不
7、同需求、特定目标,状况、 结构、运营、过程、职能、项目、产品、服务、或者资产以及展开的具体实践。意在运用本国际标准来协调现有和将来标准的风险管理过程。本标准提供了一个支持其 他标准处理特定风险和行业风险的通用方法,而不是取代这些标准。本国际标准不意针对认证意图。2术语和定义下列术语和定义合用本标准。2.1 风险 risk不确定性对目标的影响注1:影响是与期待的偏差积极和/或者消极注2:目标可以有不同方面(如财务、健康安全、以及环境目标 ),可以体现在不同的层次(如战略、 组织范围、项目、产品和过程)。注3:风险通常以潜在事件 (2.19 )和后果(2.20 ),或者它们的组合来描述。注4:风险
8、通常以事件 (包括环境的变化)后果和发生可能性(2.21)的组合来表达。注5:不确定性是指,与事件和其后果或者可能性的理解或者知识相关的信息的缺陷的状态,或者不完 整。ISO导则 73:2022,定义 1.12.2 风险管理 risk management针对风险指挥和控制组织的协调活动。ISO 导则 73:2022, 定义 2.12.3 风险管理框架 risk management framework提供在组织内设计、实施、监测 (2.28)、评审和持续改进风险管理 (2.2 )的基本原则 和组织安排的要素集合。注1 :基本原则包括管理风险的方针、目标、指令和承诺。 注2:组织安排包括计划、
9、关系、责任、资源、过程和活动。 注3:风险管理框架被嵌入到组织的整个战略和运营的方针和实践中ISO 导则 73:2022, 定义 2.1.12.4 风险管理方针 risk management policy一个组织对风险管理的意图和方向的陈述。ISO 导则73:2022, 定义 2.1.22.5 风险态度 risk attitude组织评价、最终追踪、保留、消除或者规避风险的方法。ISO 导则 73:2022, 定义 3.7.1.12.6 风险管理计划 risk management plan在风险管理框架内规定用于风险管理的方法、管理要素、资源的方案。 注1:管理要素普通包括程序、惯例、职责
10、分配、活动顺序和时间安排。注2:风险管理计划可应用于特定的产品、过程和项目、组织的部份或者整体。ISO 导则 73:2022, 定义2.1.32.7风险所有者risk owner具有风险管理权限和责任的个人或者实体。ISO 导则 73:2022, 定义 3.5.1.42.8 风险管理过程 risk management process管理方针、程序和惯例对沟通、商议、确定状况、以及识别、分析、评价、处理、监测 和评审风险活动的系统应用。ISO 导则 73:2022, 定义 3.12.9 确定状况 establishing the context界定外部和内部参数,以便在管理风险和设置风险管理方
11、针的范围及风险准则时,予以 考虑。ISO 导则 73:2022, 定义 3.3.12.10 外部状况 external context组织寻求实现其目标的外部环境。注:外部环境可包括: 文化、社会、政治、法律法规、财政金融、技术、经济、自然和竞争环境,无论国际、国家、区 域或者地方 对组织目标具有影响的主要驱动和趋势。 与外部利益相关方的关系和其感受和价值观。ISO 导则 73:2022,定义 3.3.1.12.11 内部状况 internal context组织寻求实现其目标的外部环境。注:内部状况可包括: 管理、组织结构、作用和责任; 方针、目标、以及实现它们的战略; 以资源和知识来理解的
12、能力(如资本、时间、人员、过程、系统和技术 ); 信息系统、信息流和决策过程 (正式和非正式的); 与内部利益相关方的关系、以及他们的感受和价值观; 组织的文化; 标准、指南和组织采用的模式; 合同关系的形式和范围ISO 导则 73:2022,定义 3.3.1.22.12 沟通和商议 communication and consultation组织针对风险管理,提供、 共享或者获取信息, 与利益相关方进行对话的持续和反复的 过 程。注1:信息涉及风险管理的存在、性质、形式、可能性、严重程度、评定、可接受性、处理。 注2:商议是组织与它的利益相关方,在做出决策或者确定某一问题的方向前,针对问题双
13、向有事实依 据 的沟通的过程。商议是: 通过影响力而非权力对决策施加影响; 作为决策的输入,而非加入决策。ISO 导则 73:2022, 定义 3.2.12.13利益相关方stakeholder可以影响、被影响、或者觉得自己会被决策或者活动影响的个人或者组织。 注:决策者可以是利益相关者。ISO 导则 73:2022, 定义 3.2.1.12.14 风险评价 risk assessment风险识别(2.15 )、风险分析 (2.21 )和风险评定 (2.24 )的整个过程。ISO 导则 73:2022, 定义 3.4.12 15 风险识别 risk identification发现、认识、描述
14、风险的过程。注1:风险识别包括风险源 (2.16 )、事件(2.17 )、它们的起因及潜在后果的确定。 注2:风险识别会涉及历史数据、技术分析、有事实依据的和专家的观点、以及利益相关方的需求。 ISO 导则 73:2022, 定义 3.5.126风险源risk source单独地或者以结合的形式具有产生风险的内在可能性的因素。 注:一个风险源可以是有形的或者无形的。ISO 导则 73:2022,定义 3.5.1.12.17 事件 event特殊系列环境的产生或者变化。 注1:.一个事件可以是一个或者多个事变,会有多种原因。 注2:事件可以由一些不发生的事情构成。注3 :事件有时被称作“事件(i
15、ncident) ”或者“事故(accident)”。注4:.没有后果的事件可以被称作 near misS、“incident、“near hit、“close ca”。ISO 导则 73:2022, 定义 3.5.1.22.18 后果 consequence事件对目标的影响结果。注1:一个事件可以产生一系列的后果。注2:后果可以是确定或者不确定的,以及对目标具有积极或者消极的影响。 注3:后果可以被定性或者定量地表述。注4:初步的后果通过连锁效应可以逐步升级。ISO 导则 73:2022, 定义 3.6.1.32.19 可能性 likelihood某事发生的机会。注1:在风险管理术语学中, “可能性”是指事情发生
