全面风险管理ISO31000中文版.doc

风险管理——原则和指导方针
前言
国际标准化组织(ISO)是各国标准化团体(ISO成员团体)组成的世界性的联合组织。制定国际标准工作通常由 ISO 的技术委员会完成。各成员团体若对某技术委员会确定的项目感兴趣,均由权参加该委员会的工作。与ISO保持联系的各国际组织(官方的或非官方的)也可参加有关工作。ISO与国际电工委员会(IEC)在电工技术标准化方面保持密切合作的关系。
国际标准是根据ISO/IEC导则第2部分的规则起草的。
由技术委员会通过的国际标准草案提交各成员团体投票表决,需取得了至少3/4参加表决的成员团体的同意,国际标准草案才能作为国际标准证实发布。
本标准中的某些内容有可能涉及一些专利权问题,这一点应引起注意,ISO不负责识别任何这样的专利权问题。
ISO31000由ISO技术管理委员会风险管理工作组编写。
简介
所有类型和规模的组织都面临内部和外部因素的影响,使得它不能确定是否及何时实现其目标。这种对一个组织的目标影响的不确定性既是“风险”。
一个组织的所有活动都涉及风险。组织通过识别、分析、评价风险以及处理风险,以满足他们的风险标准。
在这个过程中,他们与利益相关者沟通协商,监测和审查风险控制,并不断的修正风险,以确保风险处理不再是必需的。本标准详细描述了这一系统的和符合逻辑的过程。
尽管所有的组织在某种程度上都在管理风险,本标准规定了一些原则,以使风险管理变得有效。本标准建议,组织制定,实施和不断完善的框架,其目的是将风险管理纳入到组织的治理,战略和规划,管理,报告程序,政策,价值观和文化等综合管理的整个过程。
风险管理可以应用到整个组织,它的许多领域和层次,在任何时间,以及具体职能,项目和活动。
尽管在过去这段时间内的许多部门,以满足不同的需要的风险管理的做法是成熟的,但是通过采用一致性流程的综合框架有助于确保风险管理的有效性,并且有效和连贯整个组织。在本标准规定的一般性的原则和方针,目的在于在任何的环境和背景下,系统的、清晰的、可靠的方式管理风险。
每一个具体部门或风险管理的应用都产生了独自的需要,受众,观念和标准。因此,这一国际标准的主要特点是将风险管理“环境建设”列入其管理过程的开始活动。环境建设方面将捕获该组织的目标,它所追求目标的环境,它的利益相关者和风险标准的多样性,所有这些都将帮助揭示和评估风险的性质和复杂性。
本标准描述了风险管理的原则、框架、风险管理的流程之间的关系,如图1所示。
当按照这一国际标准实施和维护时,风险的管理者需使一个组织加强,例如:
增加实现目标的可能性;
鼓励主动性管理;
在组织中,意识到识别和对待风险的需要;
提高的机会和威胁识别能力;
符合有关法律及监管要求;
改进财务报告;
改善治理;
提高利益相关者的信心和信任;
建立决策和规划提供可靠的根基;
加强控制;
有效地分配和使用资源处理风险;
提高运营的效果和效率;
加强健康和安全业绩,以及环境的保护;
改善防损和事件管理;
减少损失;
提高组织的学****能力;
提高组织的应变能力;
本标准是为了满足广大利益相关者需要,包括:
a)开发者对其机构内的风险管理政策负责;
b)有人对组织作为一个整体、或者某一特定范围、项目或者活动的风险管理的有效性负责;
c)有人需要对风险管理评估的有效性负责;和
d)标准,指南,程序和守则的开发者,应该对在特定的环境下风险管理整体的或部分的文件得以实施负责;
目前许多组织的管理实践和流程包括风险管理的组成部分,并且许多组织对特殊类型的风险或环境下已经采用了正式的风险管理流程。在这种情况下,组织可以在本标准下开展对其现有的做法和程序严格审查。
在本国际标准中,“风险管理”和“管理风险”同时使用。一般来说,“风险管理”是指管理风险的有效性架构(原则,框架和流程),而“管理风险”是指运用该架构管理特定风险。
图一风险管理的原则、框架、风险管理的流程之间的关系
1 范围
本标准提供了风险管理的原则和一般准则。
本标准可用于任何公共,私人或社区组织,协会,团体或个体。因此,这个国际标准是不针对特殊行业或部门。
为方便起见,本国际标准提到的所有不同的用户通用术语为“组织”。
本标准可用于整个组织生活及各种活动,包括战略和决策,运营,流程,职能,范围广泛的项目,产品,服务和资产。
本标准可以适用于任何类型的风险,无论其性质是否有积极或消极的后果。
尽管本国际标准提供了风险管理的一般准则,但不是为了促进各组织风险管理的统一性。
设计和风险管理计划和框架的实施需要考虑到特定组织的不同需要,具体做法受其特定的目标,环境,结构,业务,流程,功能,项目,产品,服务或资产等影响。
本国际标准目的是用来协调风险管理与