ISO 31000-2018 风险管理指南（中文版）

ISO 31000:2018 内部学习稿目前言介绍 1 适用范围 2 规范性引用文件 3 术语和定义 4 原则 5 框架 5.1 概述 5.2 领导力和承诺 5.3 整合 5.4 设计 5.5 实施 5.6 评价 5.7 改进 6 流程 6.1 概述 6.2 沟通和咨询 6.3 范围、环境和准则 6.4 风险评估 6.5 风险应对 6.6 监督和审查 6.7 记录和报告参考书目 1 录 ISO 31000:2018 内部学习稿前言 ISO（国际标准化组织）是一个全球联合的国际标准组织（ISO 成员机构）。制定国际标准的工作通常通过 ISO 技术委员会进行。对不同主题的技术委员会的感兴趣的每个成员机构，均有权参加该委员会的代表大会。与 ISO 有联系的国际组织、政府和非政府组织也参与了这项工作。ISO 与国际电工委员会（IEC）就电工标准化的所有事宜密切合作。 ISO / IEC 指令第 1 部分描述了用于开发和维护此文件的程序。尤其应注意不同类型 ISO 文件所需的不同批准标准。本文件是根据 ISO/IEC 指令第 2 部分（见 www.iso.org/directives）的编辑规则起草的。请注意本文件的某些内容可能涉及某些专利权。ISO 不负责识别任何和此有关的专利权。在文件制定过程中确定的任何专利权的细节将在介绍和/或 ISO 收到的专利声明清单中（见 www.iso.org/patents）。本文档中使用的任何名称都是为了方便用户而提供的信息，并不构成对此进行背书。关于标准的自愿性质的解释，与合格评定相关的 ISO 特定术语和表达的含义，以及关于 ISO 遵守世界贸易组织（WTO）在技术性贸易壁垒（TBT）原则中的信息参见网址如下： www.iso.org/iso/foreword.html。本文件由 ISO/TC 262 风险管理技术委员会编写。本第二版标准用于代替第一版标准（ISO 31000：2009）。与前一版本相比的主要变化如下： -审阅了风险管理原则，这是其成功的关键标准； -从组织治理开始，突出高层管理人员的领导职责和风险管理的整合； -更加强调风险管理的反复优化性质，指出新的经验、知识和分析可以促使对流程各个阶段的流程要素、行动和控制进行调整； -精简内容，更加注重保持开放系统模式以适应多种需求和环境。 2 ISO 31000:2018 内部学习稿介绍此文件供那些通过管理风险来制定决策、设定和实现目标，以及通过提升绩效来创造和保护组织价值的人员使用。各种类型和规模的组织都面临着外部和内部因素及影响，这些因素和影响使得组织实现其目标面临一定的不确定性。风险管理是反复优化的，有助于组织制定战略、实现目标和做出明智的决策。管理风险是治理和领导力的一部分，对于组织在各个层面的管理至关重要。它有助于改进管理体系。管理风险是组织所有活动的一部分，包括与利益相关方的交流和沟通。管理风险考虑了组织的外部和内部环境，包括人员行为和文化因素。如图 1 所示，管理风险基于本文档中描述的原则、框架和流程。这些要素可能已经全部或部分存在于组织内了，但是，为了更高效、有效和一致的管理风险，他们可能需要进行调整和改进。图 1 - 原则、框架和流程 3 ISO 31000:2018 内部学习稿风险管理 – 指南 1 适用范围本文件提供了组织管理面临的风险的指南。这些指南的应用可以针对任何组织及其背景环境进行定制。本文件提供了管理任何类型风险的通用方法，并非行业或某一领域特定的。该文件可用于组织的整个生命周期，可应用于任何活动，包括各层级决策。 2 规范性引用文件本文档中没有规范性引用文件。 3 术语和定义就本文件而言，下列术语和定义适用。 ISO 和 IEC 维护了用于标准化术语数据库，地址如下： - ISO 在线浏览平台：http：//www.iso.org/obp - IEC Electropedia：可在 http://www.electropedia.org 上找到 3.1 风险不确定性对目标的影响注 1：影响是与预期的偏差。它可以是积极的、消极的或两者兼而有之，并且可以锁定、创造机遇或导致威胁。注 2：目标可以有不同的方面和类别，并且可以在不同的层面应用。注 3：风险通常以风险源（3.4）、潜在事件（3.5）、后果（3.6）及其可能性（3.7）表示。 3.2 风险管理指导和控制组织风险（3.1）的协调活动 4 ISO 31000:2018 内部学习稿 3.3 利益相关方对一个决策或活动可以产生影响或受其影响、亦或将会受影响的个人或组织注 1：“利害关系方”一词可以用作代替“利益相关方”。 3.4 风险源单独或组合在一起可能会导致风险的要素（3.1） 3.5 事件一系列特殊状况的发生或变化注 1：事件可能是一次或多次事件，并可能有多个原因和多个后果（3.6）。注 2：事件可以是预期不会发生的事情，也可以是没有预期一定会发生的事情。注 3：事件可能是风险源。 3.6 后果事件（3.5）影响目标的结果注 1：后果可能是确定的或不确定的，可能对目标产生正面或负面、直接或间接的影响。注 2：后果可以定性或定量表示。注 3：任何后果都可能通过连锁和累积效应升级。 3.7 可能性事情发生的几率 5 ISO 31000:2018 内部学习稿注 1：在风险管理（3.2）术语中，“可能性”一词用于指发生事件的几率，无论是客观地还是主观地、定性地或定量地进行定义、测度或确定，并且使用一般术语或数学描述（例如给定时间段内的概率或频率）。注 2：英文术语“可能性”在某些语言中没有直接的同义词；有时会使用术语“概率”来代替。然而，在英语中，“概率”通常被狭义地解释为数学术语。因此，在风险管理术语中，“可能性”应该与“概率”一词在除英语以外的语言中，具有相同的广义解释。 3.8 控制保持和/或调整风险的措施（3.1）注 1：控制包括但不限于保持和/或修改风险的任何流程、政策、设备、实践或其他条件和/或行动。注 2：控制可能并不总是能发挥到预期或假定的调整效果。 4 原则风险管理的目的是创造和保护价值。它提升了绩效，鼓励创新并支持目标实现。图 2 中描述的原则为有效和高效的风险管理的特点提供了指导，传达其价值并解释其意图和目的。这些原则是管理风险的基础，应在建立组织的风险管理框架和流程时予以考虑。这些原则可以使组织能够管理不确定性对其目标的影响。 6 ISO 31000:2018 内部学习稿图 2 - 原则有效的风险管理需要图 2 中的要素，可以进一步解释如下。 a）整合的风险管理是所有组织活动的组成部分。 b）结构化和全面性风险管理的结构化和综合性方法有助于获得一致的和可比较的结果。 c）定制化风险管理框架和流程是根据组织与其目标相关的外部和内部环境来制定的，并与其密切相关。 d）包容的需要考虑利益相关方的适当和及时的参与，融入他们的知识、观点和看法。这可以提高风险意识并明智的管理风险。 e）动态的随着组织内部和外部环境的变化，风险可能会出现、变化或消失。风险管理会以适当和及时的方式预测、监督、掌握和响应这些变化和事件。 f）最佳可用信息 7 ISO 31000:2018 内部学习稿风险管理的输入是基于历史和当前的信息以及未来的预期。风险管理应明确考虑到与这些信息和期望相关的任何限制和不确定性。信息应及时、清晰地提供给相关的利益相关方。 g）人员及文化因素人员行为和文化明显影响着各级和各阶段风险管理的各个方面。 h）持续改进通过学习和经验积累，不断提高风险管理水平。 5 框架 5.1 概述风险管理框架的目的是协助组织将风险管理纳入重要的活动和职能。风险管理的有效性取决于是否将其纳入组织治理和决策中。这需要利益相关方，特别是最高管理层的支持。框架开发包括在整个组织内整合、设计、实施、评价和改进风险管理。图 3 说明了框架的要素。图 3 - 框架组织应评估其现有的风险管理实践和流程，评估任何差距并依照框架解决这些差距。框架的组成要素和它们协同作用的方式应该根据组织的具体需求进行定制。 5.2 领导力和承诺 8 ISO 31000:2018 内部学习稿在适当的情况下，高级管理层和监督机构应确保风险管理融入组织所有活动，并应通过以下方式表现出领导力和承诺： - 针对性的设计和实施框架的所有要素； - 发布建立风险管理方法、计划或行动方案的声明或政策； - 确保为管理风险分配必要的资源； - 在组织内的相应级别分配权限和职责。这将有助于组织： - 将风险管理与其目标、战略和文化相结合； - 承担和界定所有义务及其自愿承诺； - 确定风险的数量和类型，指导风险准则制定，确保将风险准则传达给组织及利益相关方； - 将风险管理的价值传达给组织及其利益相关方； - 促进系统的对风险进行监测； - 确保风险管理框架适合组织环境。最高管理层负责管理风险，而监督机构负责监督风险管理。对监督机构的期望或是要求： - 确保组织在确定组织目标时充分考虑风险； - 了解组织追求目标所面临的风险； - 确保管理风险的体系得到有效实施和运行； - 确保组织在当前的目标下承担了适当的风险； - 确保有关这些风险及其管理的信息得到适当传达。 5.3 整合整合风险管理依赖于对组织架构和环境的理解。架构因组织的目的、目标和复杂程度而异。组织架构中的每个部分都需要进行风险管理。组织中的每个人都有责任管理风险。 9 ISO 31000:2018 内部学习稿治理为组织如何处理内外部关系，设置规则、流程和实践以实现其目的提供了指引。管理架构将治理的方向转化为战略和相关目标，来实现组织理想水平的绩效和永续经营。确定组织内部的风险管理责任和监督角色是组织治理的一部分。将风险管理整合到组织中是一个动态和反复优化的过程，应该根据组织的需求和文化进行定制。风险管理应该成为组织目的、治理、领导力和承诺、战略、目标和运营的一部分，而不是相互分离。 5.4 设计 5.4.1 了解组织及其环境在设计风险管理框架时，组织应该检视并理解其内部和外部环境。检查组织的外部环境可能包括但不限于： - 社会、文化、政治、法律、监管、财务、技术、经济和环境因素，无论是全球的、国家的、区域的、还是本地的； - 影响组织目标的关键驱动因素和趋势； - 外部利益相关方的关系、意见、价值观、需求和期望； - 合同关系和承诺； - 网络和依赖关系的复杂性。检查组织的内部环境可能包括但不限于： - 愿景、使命和价值观； - 治理、组织架构、角色和责任； -