ISO31000风险管理原则指南

引言所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素和影响。

这种不确定性所具有的对组织目标的影响就是“风险”。

组织的所有活动都涉及风险。

组织通过识别、分析和评定是否运用风险处理修正风险以满足它们的风险准则，来管理风险。

通过这个过程，它们与利益相关方进行沟通和协商，监测和评审风险，以及为确保不再进一步需求风险处理而修正风险的控制措施。

本国际标准详细描述了这一系统的和逻辑的过程。

尽管所有的组织在某种程度上都在管理风险，本国际标准建立了一些为使风险管理变得有效而需要满足的原则。

本国际标准建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。

风险管理可以在组织多个领域和层次、任何时间，应用到整个组织，以及具体职能、项目和活动。

尽管在过去一段时间在许多行业，为满足不同的需要，已经开展了风险管理实践，但在一个综合框架内采用一致性过程有助于确保在组织内有效、有效率和结合性地管理风险。

本国际标准中所描述的通用方法提供了在任何范围和状况下，以系统、清晰、可靠的方式管理风险的原则和指南。

每一个具体行业或风险管理的应用都产生了各自的需求、受众、观念和准则。

因此，本国际标准的主要特点是将所包含“确定状况”作为通用风险管理过程开始的活动。

确定状况将捕获组织的目标，组织所追求目标的环境，组织的利益相关方和风险准则的多样性，所有这些都将帮助揭示和评价风险的性质和复杂性。

本国际标准描述的风险管理原则、框架和风险管理过程之间的关系，如图1所示。

当依据本国际标准实施和保持风险管理时，能够使组织，例如：——提高实现目标的可能性；——鼓励主动性管理;——在整个组织意识到识别和处理风险的需求;——改进机会和威胁的识别能力；——符合相关法律法规要求和国际规范；——改进强制性和自愿性报告；——改善治理；——提高利益相关方的信心和信任；——为决策和规划建立可靠的根基；——加强控制；——有效地分配和利用风险处理的资源；——提高运营的效果和效率；——增强健康安全绩效，以及环境保护;——改善损失预防和事件管理；——减少损失；——提高组织的学习能力——提高组织的应变能力本国际标准旨在满足众多利益相关方的需求，包括：a）负责制定组织风险管理方针的人员;b）负责确保在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人员;c）需要评定组织风险管理有效性的人员；d）整体或部分地实施风险管理的标准、指南、程序和操作规范的开发者。

2011.726中国内部审计企业风险管理是一个复杂而抽象的实践过程，这方面的专业技术仅是组织开展日常工作的工具。

就像一句隽语，即使是理解企业风险管理框架（ＥＲＭ）的人们，最后还是要理解那几个易于掌握的基本原则，其中一个原则就是风险管理是每个人工作的一部分。

事实也是如此，如果不了解如何进行风险管理，那么在日常工作中就不可能始终关注工作中的风险，就不可能很好地履行职责。

但问题在于，不是所有的ＥＲＭ专家都认可这些基本原则，即使认可也会有不同的理解。

两个组织即使风险管理起点相同、原则相同、使用术语相同，也不会按照相同的方式实施ＥＲＭ。

事实上，ＥＲＭ也没有要求两个组织使用同样的方法，因为风险管理实务在组织之间是存在差异的，有各种各样的风险管理方法。

深谙风险管理复杂性并接受ＥＲＭ方法有效地控制风险的需要是风险管理新的推动力。

这就是，全球经济衰退使许多包括金融服务行业在内的组织，暴露了自身风险管理的不足，而税收和政府财政压力也促使公共机构和非营利组织重新审视自身风险管理的实施情况。

ＩＳＯ３１０００标准提供了风险管理的原则与实施指南◆ （英）尼尔·贝克◆ 夏青 编译一般来讲，如果一个组织打算尽可能地提升风险管理水平，就要运用风险管理最佳实践的模型，并将其作为基准点。

确定风险管理模型是内部审计师对所在组织风险管理质量进行评价的第一步。

现在，有许多风险管理模型可供考虑，如特恩布尔指南（ＴｈｅＴｕｒｎｂｕｌｌ　Ｇｕｉｄａｎｃｅ）在英国就非常普遍地使用，ＣＯＳＯ指南也被广泛应用于美国和其他国家。

但要建立一套国际风险管理标准却很困难。

２００９年，日内瓦的国际标准化组织发布了ＩＳＯ３１０００标准（以下简称ＩＳＯ３１０００）：风险管理——原则与实施指南，提供了风险管理的原则和一般性指导方针，可适用于任何类型组织的风险管理。

一、ＩＳＯ３１０００应用的广泛性澳大利亚和新西兰风险管理委员会主席格兰特·珀迪，参与了ＩＳＯ３１０００的编制并在其中发挥了重要作用。

iso风险管理标准ISO风险管理标准。

ISO 31000是国际标准化组织发布的风险管理标准，旨在为组织提供一个统一的风险管理框架，帮助组织有效识别、评估和应对各种风险，以实现其目标和使命。

本文将从ISO 31000标准的基本原则、框架和过程等方面对其进行介绍和解读。

首先，ISO 31000标准的基本原则包括全面性、定制性、透明性、包容性和持续性。

全面性要求组织在风险管理中考虑所有相关方面，包括战略、操作、财务、合规和环境等；定制性要求组织根据自身特点和需求设计和实施风险管理框架；透明性要求组织在风险管理过程中保持信息的透明和公开；包容性要求组织在风险管理中充分考虑各方利益相关者的意见和需求；持续性要求组织将风险管理作为一项持续改进的过程，不断优化和完善。

其次，ISO 31000标准提出了风险管理的框架，包括上下文分析、风险识别、风险评估、风险应对和监控与审查等环节。

上下文分析要求组织在风险管理中考虑外部和内部环境的变化和影响；风险识别要求组织识别所有可能影响其目标实现的事件和情况；风险评估要求组织对风险的概率和影响进行评估，确定其重要性和优先级；风险应对要求组织制定和实施相应的风险管理措施，包括避免、减轻、转移和接受等；监控与审查要求组织对风险管理过程进行监控和评估，及时调整和改进风险管理措施。

最后，ISO 31000标准规定了风险管理的过程，包括建立风险管理政策、建立风险管理框架、进行风险评估、进行风险处理和进行监控与审查。

建立风险管理政策要求组织确定风险管理的目标、原则和方法；建立风险管理框架要求组织建立风险管理的组织结构、责任分工和流程；进行风险评估要求组织识别和评估风险；进行风险处理要求组织制定和实施风险管理措施；进行监控与审查要求组织对风险管理过程进行监控和评估，及时调整和改进风险管理措施。

在实践中，组织可以根据ISO 31000标准的要求，建立和完善自身的风险管理体系，提高风险管理的有效性和效率，保障组织的可持续发展和稳健经营。

ISO 31010风险管理框架风险管理是企业管理中至关重要的一环，它帮助企业在不确定和风险存在的环境中做出明智的决策，以实现目标。

ISO 31010风险管理框架是国际标准化组织（ISO）制定的旨在提供一种系统的方法来评估和管理风险的指南。

本文将介绍ISO 31010风险管理框架的基本原理、方法和应用。

一、ISO 31010风险管理框架的概述ISO 31010风险管理框架是ISO组织编制的一项国际标准，旨在为组织建立一个系统的风险管理过程提供指导。

该框架提供了一系列的方法和技术，用于识别、评估和处理各种类型和级别的风险。

通过ISO 31010，组织可以更好地了解风险的特征和来源，并制定相应的风险管理策略和措施。

二、ISO 31010风险管理框架的基本原理ISO 31010风险管理框架基于以下几个基本原理：1. 全面性：ISO 31010认为风险管理应该覆盖组织内部和外部的各种风险，并包括从内部和外部获取的信息。

2. 适应性：风险管理方法应根据组织的特定需求和情况进行量身定制，并考虑到不同利益相关者的期望和要求。

3. 结果导向：ISO 31010强调风险管理的目的是为了改善决策和实现组织的目标，因此应该关注风险管理的结果和效果。

三、ISO 31010风险管理框架的方法和技术ISO 31010提供了一系列的方法和技术，用于识别、评估和处理各种类型和级别的风险。

这些方法和技术包括但不限于：1. 风险识别：通过调研、专家访谈、场地考察等方法，识别和收集与组织相关的各种风险信息。

2. 风险评估：采用定性和定量的方法，对风险进行评估，包括风险的概率、影响和严重性等方面的评估。

3. 风险应对：根据评估结果，制定适当的风险应对策略和措施，包括风险规避、风险转移、风险控制等。

4. 风险监控和复审：建立监控机制，及时发现和响应新的和变化的风险，并对已经采取的措施进行复审。

四、ISO 31010风险管理框架的应用ISO 31010风险管理框架可应用于各种类型和规模的组织，无论是公共部门还是私营企业。

2018版ISO31000《风险管理指南》标准2018年2月15日，国际标准组织ISO发布了ISO31000《风险管理指南》标准2018版正式文件，这是自其2009年发布的全球第一版风险管理指南之后，第一次对其文件进行的更新和升级。

ISO31000新标准概览新版风险管理标准中的框架图称为为“三轮车”图，并首次对其进行了汉化处理。

这个“三轮车”图和2009年第一版的三个方框图相比可谓变化明显，此次正式版的发布，没用了征求意见稿中的“三轮车”图形展示方式，但内容上相比征求意见稿还是有所变动。

我们首先来看一下正式版的三轮车框架图。

用三个圆形图分别表示了新标准中的原则、框架和流程。

其中原则轮中，最核心的内容为“价值的创造和保护”，体现为八个原则：▪整合的；▪结构化和全面性；▪定制化；▪包容性；▪动态的；▪有效信息利用；▪人员与文化因素；▪持续改进。

框架轮中，最核心的为“领导力与承诺”，体现为五个步骤：▪整合；▪设计；▪实施；▪评价；▪改进。

流程轮中，包含了：▪对范围、背景和标准的定义；▪风险评估的经典流程-风险识别、风险分析、风险评价；▪风险应对；▪风险记录与报告；▪沟通与咨询；▪监控与评价。

这个三轮车图提炼了整个ISO31000风险管理标准的所有内容，标准的全文都是围绕着这个三轮车图来展开论述的。

新标准与老标准的异同按照ISO组织自己的论述，新标准和老标准的异同主要体现在四个方面：▪重新审阅了所有的风险管理原则，这是其是否能够取得成功的关键标准；▪重点强调了高级管理层的职责以及和各项管理活动的整合，从组织的治理着眼；▪更加强化了风险管理工作的迭代性质，提示了在每一个流程环节，随着新的实践、知识和分析能力下对流程要素、方案和控制的修正；▪对了满足多样化的需求，保持一个更加开放和包容的系统，精简了一部分内容。

对于这4点而言，ISO组织一直宣称，这次修订风险管理标准的一大初衷是使内附管理标准更简洁，更利于理解和运用，所以删除了很多复杂的语句和句子。

ISO 31000：2009 风险管理3. 原则为使风险管理有效，组织应在所有层次上遵循如下原则。

a) 风险管理创造并保护价值。

风险管理对组织可证实的目标达成和业绩提升做出贡献，这些目标包括人身健康与安全、保安措施、法律法规符合性、公众接受度、环境保护、产品质量、财务绩效、项目管理、运营效率、治理和名誉等。

b) 风险管理是组织所有过程整体性的一部分。

风险管理不是独立的、与组织的主要活动和过程相分离的一项活动。

风险管理是管理职责的一部分，是构成组织所有过程整体性所必需的一部分，包括战略策划、所有项目以及变更管理过程。

c) 风险管理是决策的一部分。

风险管理帮助决策者进行正式的选择、优化活动顺序并辨别可选择的行动路线。

d) 风险管理清晰地阐明不确定性。

风险管理清晰地考虑不确定性、不确定性的性质，以及如何能清晰地阐明它。

e) 风险管理是系统的、结构化的和适时的。

系统的、适时的、结构化的风险管理方法有助于提高效率，并获得一致的、可比较的和可靠的结果。

f) 风险管理基于最可利用的信息。

管理风险的过程的输入基于以下信息来源，如历史数据、经验、利益相关方的反馈、观察、预测和专家判断。

然而，决策者应提醒自己并考虑所使用数据或模型的局限性或各专家之间的分歧可能性。

g) 风险管理是定制的。

风险管理与组织的外部和内部环境以及风险状况相适应。

h) 风险管理考虑人文因素。

风险管理识别外部和内部人员的能力、感知和意愿，这些能促进或阻碍目标的实现。

i) 风险管理是透明、包容的。

利益相关方（特别是组织所有层级的决策者）对风险管理工作的适当和及时参与，可以确保组织的风险管理策略是适当的和最新的。

所以，应允许有适当的利益相关方代表参与风险管理，并在决定风险准则中考虑他们的意见。

j) 风险管理动态的、往复的，并对变化保持相应。

随着外部和内部事件的变化，环境和知识的变化，另一些风险则可能消逝。

所以，风险管理应该对变化保持持续的感应和相应。

Forum学术论坛 2018年7月165DOI:10.19699/ki.issn2096-0298.2018.20.1652018版ISO31000《风险管理指南》综述与解析中国海洋石油集团有限公司 卢新瑞摘 要：本文介绍ISO31000最新版《风险管理指南》与原版本的主要变化，综述新标准的主要内容，探讨解析新理念，以期使组织管理更加标准和科学。

关键词：风险管理 框架 战略 目标 绩效中图分类号：F239.45 文献标识码：A 文章编号：2096-0298(2018)07(b)-165-021 背景及变化自2009年发布全球第一版风险管理指南，时隔9年，国际标准组织(ISO)于2018年2月15日更新发布ISO31000《风险管理指南》这一关键标准(下称指南或标准)。

新指南仍然定位于“任何 组织、任何类型、全生命周期、任何活动”，强调指南在风险管理领域的普遍适用性。

新标准相对老标准变化主要体现在四个方面：(1)风险管理原则审查，这是其成功的关键标准；(2)从组织治理入手，强调高级管理层的领导以及风险管理的整合；(3)更加强化风险管理的迭代性质，提出在每一个流程环节，新的实践、知识和分析可以引发对流程要素、行动和控制的修正；(4)精简内容，更加注重支撑一个开放的系统模型，以适应多样化的需求和环境。

2 主要内容新指南采用三轮圆形(如图1所示)呈现，三个圆形图分别表示风险管理的原则、框架和流程。

该三轮圆形模式比第一版示意图形式(如图2所示)更能体现原则、框架和流程三部分之间的相互作用关系，也使指南内容的描述更清晰简洁、更易理解、更加注重和企业管理活动的融入与整合。

新指南对每部分内容进行了较大修改。

图1 新标准风险管理原则、框架和流程及相互关系图2 原标准风险管理原则、框架和流程及相互关系其中，关于风险管理原则部分，第一版共有十一项，分别为：(1)创造价值；(2)组织流程的组成部分；(3)决策的一部分；(4)明确指出不确定性；(5)系统性、结构性和时效性；(6)最佳可用信息；(7)定制化；(8)考虑人员和文化因素；(9)透明度和包容性；(10)动态、持续的应对变化；(11)持续改进与强化。

风险管理基础知识ISO31000∶2018风险管理标准1.范围2.规范性引用文献3.术语定义4.原则5.框架6.流程IS031000∶2018风险管理标准1、风险管理原则八项风险管理原则核心目的∶价值的创造和保护1）整合性2）结构化和全面性3）定制化4）包容性5）动态性6）有效信息利用7）人员与文化因素8）持续改进1.范围2.规范性引用文献3.术语定义4.原则5.框架6.流程1、风险管理原则八项风险管理原则核心目的∶价值的创造和保护1）整合性2）结构化和全面性3）定制化4）包容性5）动态性6）有效信息利用7）人员与文化因素8）持续改进5 123453、风险管理过程1）风险管理构成要素：3个过程，6个活动3个过程∶风险识别，风险分析，风险评价6个活动∶沟通与咨询，范围，背景，标准，风险评估，风险应对，监测与评审循环起点是"范围，背景，标准"，终点是"监测与评审"2）各要素的主要内容∶风险识别∶发现，承认和描述风险的过程，包括对风险源、风险事件、风险原因及其潜在后果的识别风险分析∶理解风险性质和确定风险等级，包括对风险的估计，如对后果严重性和可能性大小的估计风险评价∶把风险分析的结果与风险准则相比较，决定风险或其大小是否可接受或可容忍风险应对∶承接风险评估的输出，对需要进行风险应对的风险按优先次序实施风险应对。

监控和评审∶组织对风险管理过程实施监控与评审，目的是为了保证各种控制措施无论在设计方面还是在运行方面都是有效力、有效率的。

（可以是定期，也可以临时实施）记录与报告∶记录可用于文件的可追溯性活动，并为验证、预防措施或纠正措施提供证据。

2、风险管理基础知识1.范围2.规范性引用文献3.术语定义4.原则5.框架6.流程ISO31000∶2018风险管理标准3、风险管理过程1）风险管理构成要素：3个过程，6个活动3个过程∶风险识别，风险分析，风险评价6个活动∶沟通与咨询，范围，背景，标准，风险评估，风险应对，监测与评审循环起点是"范围，背景，标准"，终点是"监测与评审"2）各要素的主要内容∶风险识别∶发现，承认和描述风险的过程，包括对风险源、风险事件、风险原因及其潜在后果的识别风险分析∶理解风险性质和确定风险等级，包括对风险的估计，如对后果严重性和可能性大小的估计风险评价∶把风险分析的结果与风险准则相比较，决定风险或其大小是否可接受或可容忍风险应对∶承接风险评估的输出，对需要进行风险应对的风险按优先次序实施风险应对。

2011.726中国内部审计企业风险管理是一个复杂而抽象的实践过程，这方面的专业技术仅是组织开展日常工作的工具。

就像一句隽语，即使是理解企业风险管理框架（ＥＲＭ）的人们，最后还是要理解那几个易于掌握的基本原则，其中一个原则就是风险管理是每个人工作的一部分。

事实也是如此，如果不了解如何进行风险管理，那么在日常工作中就不可能始终关注工作中的风险，就不可能很好地履行职责。

但问题在于，不是所有的ＥＲＭ专家都认可这些基本原则，即使认可也会有不同的理解。

两个组织即使风险管理起点相同、原则相同、使用术语相同，也不会按照相同的方式实施ＥＲＭ。

事实上，ＥＲＭ也没有要求两个组织使用同样的方法，因为风险管理实务在组织之间是存在差异的，有各种各样的风险管理方法。

深谙风险管理复杂性并接受ＥＲＭ方法有效地控制风险的需要是风险管理新的推动力。

这就是，全球经济衰退使许多包括金融服务行业在内的组织，暴露了自身风险管理的不足，而税收和政府财政压力也促使公共机构和非营利组织重新审视自身风险管理的实施情况。

ＩＳＯ３１０００标准提供了风险管理的原则与实施指南◆ （英）尼尔·贝克◆ 夏青 编译一般来讲，如果一个组织打算尽可能地提升风险管理水平，就要运用风险管理最佳实践的模型，并将其作为基准点。

确定风险管理模型是内部审计师对所在组织风险管理质量进行评价的第一步。

现在，有许多风险管理模型可供考虑，如特恩布尔指南（ＴｈｅＴｕｒｎｂｕｌｌ　Ｇｕｉｄａｎｃｅ）在英国就非常普遍地使用，ＣＯＳＯ指南也被广泛应用于美国和其他国家。

但要建立一套国际风险管理标准却很困难。

２００９年，日内瓦的国际标准化组织发布了ＩＳＯ３１０００标准（以下简称ＩＳＯ３１０００）：风险管理——原则与实施指南，提供了风险管理的原则和一般性指导方针，可适用于任何类型组织的风险管理。

一、ＩＳＯ３１０００应用的广泛性澳大利亚和新西兰风险管理委员会主席格兰特·珀迪，参与了ＩＳＯ３１０００的编制并在其中发挥了重要作用。

安全风险管理标准ＩＳＯ３１０００作者：吉姆·怀廷王光远宁丙文劳动保护年2期字数：3735 字体：【大中小】在安全风险管理领域，一项新的国际标准《ISO 31000：风险管理原则与实施指南》(以下简称ISO 31000)已被国际标准组织(ISO)风险管理技术委员会完成制订工作，并将于2009年正式公布。

ISO 31000是以澳大利亚和新西兰风险管理标准《AS/NZS 4360: 2004》为基础，实现了安全、健康、环境与财务风险管理的一体化，可以应用于任何企业、组织、协会、团体或个体等(以下以“企业”代表所有对象)，并不特别限定于某些行业或部门，具有广泛的应用范围。

该标准的最大特征是将“创建背景”作为风险管理程序的开始，这样可以使该标准满足多样性的需要。

实施这一新的国际标准，企业可以达到如下目的：鼓励采取预防性而非被动性的管理；认识到在整个企业辨识和处置风险的必要性；提高辨识各种隐患的水平；符合相关法律法规和国际标准的要求；提高经济效益；改善企业管理；建立决策和计划的可靠基础；改进事故管理和预防；减少损失等。

风险管理的原则、框架和程序在ISO 31000中，风险管理的原则、框架和程序之间的关系如图1所示。

图1风险管理的原则、框架和程序之间的关系1.原则1）风险管理可以创造价值风险管理有助于企业取得显著成绩，以及提高安全健康、法律法规实施、环境保护、产品质量、经营效率等方面的水平。

2）风险管理是企业管理的组成部分风险管理是企业管理层的责任之一，也是企业管理程序的组成部分，而不仅仅是一项单独的活动。

3）风险管理是决策程序的组成部分风险管理可以帮助决策者做出更加睿智的选择。

风险管理有助于企业实施需要优先采取的措施，也有助于判断风险水平是否可以接受，以及风险处置方法是否适当与有效。

4）风险管理可以明确地处理不确定性风险管理可以指出决策过程中具有不确定性的方面，并能提供相应的处理方法。

5）风险管理具有系统性、组织性和适时性的特点系统性、适时性和组织性的风险管理方法有助于企业提高效率和保持可持续性，并能取得具有可比性和可信赖的结果。

21世紀企業經營特質●Our-sourcing, off-shoring●Doing more with less風險與管理基本概念●天有不測風雲、人有旦夕禍福●人無遠慮必有近憂●兩權其害取其輕●AS/NZS 4360:1999 Risk Management standard ●AS/NZS 4360:2004修訂並製訂HB 436 Risk Management Guidelines●BS 31100:2008 Risk Management –Code of practice●ISO 31000:2009 Risk Management –Principles and guidelines●ISO/IEC 31010:2009 Risk management –Risk assessment techniquesAS/NZS 4360 Risk Management ProcessBS 31100 Risk Management ModelBS 31100 Risk Management FrameworkBS 31100 Risk Management Process風險管理相關系統●BS 25999-1:2006 Code of practice for business continuity management●BS 25999-2:2007 Specification for business continuity managementNote: business continuity concerns the facilitation of continuous operation of key business functions in a crisis situation while risk management is perceived as a much broader discipline and one that effectively sets out to identify and manage risks that affect an organization .a)創造及保障價值b)組織作業程序的一部分c)決策的一部分d)明確陳述不確定性e)系統性、結構性和即時性f)根據最可靠的資料g)客製化h)考慮人性和文化因素i)透明化和全面性j)動態的、循環的和因應改變的k)促進持續改善設計風險管理架構(4.3)任務與決心(4.2)執行風險管理(4.4)持續改善架構(4.6)監測和審查架構(4.5)確認環境狀況(5.3)風險評估(5.4)風險辨識(5.4.2)風險分析(5.4.3)風險評量(5.4.4)風險處理(5.5)監測和審查(5.6)執行程序(第5章)管理架構(第4章)指導原則(第3章)溝通與諮詢( 5. 2)名詞與定義●Risk風險不確定性對目標的效應●Risk management 風險管理監督和控制組織風險協調性的作業●Risk management framework 風險管理架構提供組織風險管理設計、執行、監測、評估和持續改善基礎和組織運作的組合●Risk management policy 風險管理政策組織整體風險管理意圖和方向的聲明●Risk attitude 風險態度組織評估並進而追求、保有、接受或迴避風險的作法●Risk management plan 風險管理計畫風險管理架構中詳述風險管理作法、管理組合和所需資源的方案●Risk owner 風險擁有者具有風險管理責任和權責的個人或部門●Risk management process風險管理程序系統化運用管理政策、步驟和實務，執行溝通、諮詢、確定背景、辨識、分析、評估、處理、監督和審查風險相關作業●Establishing the context 確認環境界定風險管理應考量的外部和內部因素，並設定風險管理政策適用範圍和風險判定基準●External context 外部環境組織尋求目標達成的外在環境●Internal context 內部環境組織尋求達成目標的內部環境●Communication and consultation 溝通和諮詢組織持續和重複執行的程序，目的在於提供、分享或獲得資訊，並和利益關係人尌風險管理相關課題充分溝通●Stakeholder 利益關係人決策或活動可能影響、受到影響或認為會受到影響的個人或組織●Risk assessment 風險評估整合風險辨識、風險分析和風險評量相關作業的程序●Risk identification 風險辨識辨識、確定和敘述風險的程序，包括辨識風險的來源、事件、事件發生的原因和可能的後果●Risk source 風險來源可能會造成風險的獨立或綜合因素●Event 事件一組特定情況的發生或改變●Consequence 後果影響目標之事件結果●Likelihood 可能性可能發生的機會●Risk profile 風險圖像描述或表達一組風險的方式●Risk analysis 風險分析理解風險特性和判斷風險等級的程序●Risk criteria 風險判定基準判斷風險重要性的依據或參考值●Level of risk 風險等級以後果和可能性描述之獨立或整合風險的等級●Risk evaluation 風險評量比較風險判定基準和風險分析結果以判斷是否風險和/或其程度為可接受或容忍的程序●Risk treatment 風險處理修正風險的程序●Control 控制改變風險的措施●Residual risk 殘餘風險經處理後存在的風險●Monitoring 監測持續審查、監督、嚴格觀察或判斷狀態以辨識需要或預期成效程度的變化Review 審查決定為達到既定目標相關主題適合性、充分性和有效性的作業風險管理的效益及目的●提高達成目標的可能性;●鼓勵主動性管理;●了解組織風險辯識和處理的需求；●改善辨識機會和威脅的能力;●遵循法律規章及國際標準;風險管理的效益及目的(續1)●改善義務性和自發性的宣告或報導;●改善組織治理;●改善利益關係人的信心與信任;●建立決策和規劃可靠的依據;●改善控制;●有效分配和使用風險管理資源;●改善運作效率和成效;風險管理的效益及目的(續2)●加強衛生安全和環境保護績效;●提升損害防阻和意外事件管理能力;●減少損失；●提升組織學習意願；和●提升組織適應能力。

ISO31000-2009风险管理原则与实施指南引言所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素和影响。

这种不确定性所具有的对组织目标的影响就是“风险”。

组织的所有活动都涉及风险。

组织通过识别、分析和评定是否运用风险处理修正风险以满足它们的风险准则，来管理风险。

通过这个过程，它们与利益相关方进行沟通和协商，监测和评审风险，以及为确保不再进一步需求风险处理而修正风险的控制措施。

本国际标准详细描述了这一系统的和逻辑的过程。

尽管所有的组织在某种程度上都在管理风险，本国际标准建立了一些为使风险管理变得有效而需要满足的原则。

本国际标准建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。

风险管理可以在组织多个领域和层次、任何时间，应用到整个组织，以及具体职能、项目和活动。

尽管在过去一段时间在许多行业，为满足不同的需要，已经开展了风险管理实践，但在一个综合框架内采用一致性过程有助于确保在组织内有效、有效率和结合性地管理风险。

本国际标准中所描述的通用方法提供了在任何范围和状况下，以系统、清晰、可靠的方式管理风险的原则和指南。

每一个具体行业或风险管理的应用都产生了各自的需求、受众、观念和准则。

因此，本国际标准的主要特点是将所包含“确定状况”作为通用风险管理过程开始的活动。

确定状况将捕获组织的目标，组织所追求目标的环境，组织的利益相关方和风险准则的多样性，所有这些都将帮助揭示和评价风险的性质和复杂性。

本国际标准描述的风险管理原则、框架和风险管理过程之间的关系，如图1所示。

当依据本国际标准实施和保持风险管理时，能够使组织，例如：——提高实现目标的可能性；——鼓励主动性管理;——在整个组织意识到识别和处理风险的需求;——改进机会和威胁的识别能力；——符合相关法律法规要求和国际规范；——改进强制性和自愿性报告；——改善治理；——提高利益相关方的信心和信任；——为决策和规划建立可靠的根基；——加强控制；——有效地分配和利用风险处理的资源；29842 7492 璒.35031 88D7 裗il25292 62CC 拌33245 81DD 臝——提高运营的效果和效率；——增强健康安全绩效，以及环境保护;——改善损失预防和事件管理；——减少损失；——提高组织的学习能力——提高组织的应变能力本国际标准旨在满足众多利益相关方的需求，包括：a）负责制定组织风险管理方针的人员;b）负责确保在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人员;c）需要评定组织风险管理有效性的人员；d）整体或部分地实施风险管理的标准、指南、程序和操作规范的开发者。

iso31000-2018 风险管理标准中文版概述ISO31000-2018风险管理标准是一套全面、系统的风险管理原则和指导原则，旨在帮助组织有效识别、评估、管理和减轻风险，确保组织在安全、可靠的环境中持续、稳定地发展。

本标准适用于各种类型和规模的组织，包括企业、政府机构、非营利组织等。

主要内容1.风险管理原则ISO31000-2018风险管理标准提出了七项风险管理原则，包括：*全面风险管理：组织应全面识别、评估和管理各种类型和来源的风险。

*风险平衡：组织应综合考虑风险控制和业务机会，确保在风险和机遇之间达成平衡。

*风险可接受标准：组织应根据自身风险承受能力和业务目标，设定可接受的风险水平。

*风险管理过程：组织应建立和完善风险管理过程，包括风险识别、评估、控制、监控等环节。

*风险管理文化：组织应培养员工的风险意识，提高员工的风险管理水平。

*风险管理与其他管理过程的整合：组织应将风险管理融入日常管理过程，与其他管理过程相互支持、协调一致。

2.风险识别风险识别是风险管理过程中的重要环节，组织应通过各种途径和方法，识别各种类型和来源的风险。

风险识别应考虑组织内部和外部因素，包括但不限于：*组织内部因素：包括人员、流程、技术、管理等方面的风险。

*组织外部因素：包括市场、法律、环境、社会等方面的风险。

3.风险评估风险评估是确定风险大小和严重程度的过程，包括定性评估和定量评估。

定性评估通常采用风险概率和影响程度分析方法，定量评估则采用统计方法和模型进行计算和分析。

评估结果可用于制定风险管理策略和措施。

4.风险管理策略和措施根据风险评估结果，组织应制定相应的风险管理策略和措施，包括：*风险控制：采用各种控制措施，降低风险发生的概率或减轻其影响。

*风险转移：通过购买保险、合同等方式，将部分或全部风险责任转移给其他方。

*风险规避：改变业务活动或管理流程，以规避某些特定风险。

*风险接受：在符合法律法规和业务目标的前提下，接受一定水平的风险。

欢迎共阅INTERNATIONALSTANDARDISO/FDIS31000Riskmanagement—PrinciplesandguidelinesForeword前言国际标准化组织（ISO合。

制定国际标准工作通常由ISO3/4本标准中的某些内容有可能涉及一些专利权问题，这一点应引起注意，ISO不负责识别任何这样的专利权问题。

ISO31000由ISO技术管理委员会风险管理工作组编写。

所有类型和规模的组织都面临内部和外部因素的影响，使得它不能确定是否及何时实现其目标。

这种对一个组织的目标影响的不确定性既是“风险”。

一个组织的所有活动都涉及风险。

组织通过识别、分析、评价风险以及处理风险，以满足他们的风险标准。

在这个过程中，他们与利益相关者沟通协商，监测和审查风险控制，并不断的辑的过程。

职能，项目和活动。

尽管在过去这段时间内的许多部门，以满足不同的需要的风险管理的做法是成熟的，但是通过采用一致性流程的综合框架有助于确保风险管理的有效性，并且有效和连贯整个组织。

在本标准规定的一般性的原则和方针，目的在于在任何的环境和背景下，系统的、清晰的、可靠的方式管理风险。

每一个具体部门或风险管理的应用都产生了独自的需要，受众，观念和标准。

因此，这一国际标准的主要特点是将风险管理“环境建设”列入其管理过程的开始活动。

环境建设方面将捕获该组织的目标，它所追求目标的环境，它的利益相关者和本标准描述了风险管理的原则、所示。

???;??符合有关法律及监管要求和国际规范?改进财务报告?改善治理?提高利益相关者的信心和信任?建立决策和规划提供可靠的根基?加强控制?有效地分配和使用资源处理风险?提高运营的效果和效率??改善防损和事件管理???a）开发者对其机构内的风险管理政策负责;b）有人对组织作为一个整体、或者某一特定范围、项目或者活动的风险管理的有效性负责;c）有人需要对风险管理评估的有效性负责;d）标准，指南，程序和守则的开发者，应该对在特定的环境下风险管理整体的或部分的文件得以实施负责；目前许多组织的管理实践和流程包括风险管理的组成部分，并且许多组织对特在本国际标准中，Riskmanagement—Principlesandguidelines风险管理-原则和指导方针1Scope范围为方便起见，无论其性质是否有积极或消极尽管本国际标准提供了风险管理的一般准则，但不是为了促进各组织风险管理的统一性。

企业内训：全面风险管理体系（ISO31000）明阳天下拓展培训主题：ISO31000风险管理标准内部审核控制程序 FMEA失效模式分析天数:2 天课程大纲:一、风险管理概述1、风险与风险管理2、风险管理的起源和发展3、我国的风险管理4、风险管理标准5、实施风险管理的目的和意义6、风险管理在认证领域中的应用二、风险管理术语和定义1、风险2、后果3、可能性4、概率5、事件6、风险管理7、风险管理框架8、风险管理方针9、风险管理计划10、风险管理过程11、沟通与协商12、利益相关者13、风险感知14、明确环境15、风险准则16、风险评估17、风险识别18、风险描述19、风险源（来源)20、风险所有者21、风险分析22、风险评价23、风险偏好24、风险承受25、风险处理26、风险规避27、风险融资28、风险自留29、监测30、评审三、风险管理原则1、原则一:风险管理创造并保护价值2、原则二：风险管理嵌入组织的管理过程3、原则三:风险管理支持决策过程4、原则四:明确风险管理涉及的不确定性5、原则五:风险管理是系统的，结构化的和及时的6、原则六:风险管理是基于最可用的信息7、原则七：风险管理是定制的8、原则八：风险管理考虑人文因素9、原则九：风险管理是透明的和包容的10、原则十：风险管理是动态的，迭代的和适应变化的11、原则十一：风险管理有利于组织持续改进四、风险管理框架1、总则（1）什么是框架（2）风险管理框架的含义（3）“框架"在风险管理中的角色(4）框架各要素及其关系（PDCA)2、风险管理的指令与承诺（1)概述（2）主要内容3、风险管理框架的设计（1）组织的内外部环境（2)建立管理方针(3）风险管理的责任(4）风险管理与组织过程的融合（5）风险管理的资源(6）内部沟通和报告机制（7）建立外部沟通和报告机制4、风险管理的实施（1）框架的实施（2)风险管理过程的实施5、框架的监视与评审6、框架的持续改进五、风险管理过程1、概述(总则）2、沟通和协商(1）与利益相关者沟通和协商（2）协商团队方法3、明确环境（1）总则（2）明确外部环境(3）明确内部环境(4)明确风险管理过程状况(5）确定风险准则4、风险评估(1）风险评估过程(2）风险识别（3）风险分析（4）风险评价（5）常用风险评估技术情景分析失效模式和效应分析风险矩阵5、风险处理（1）风险处理应对（2）选择风险处理方案（应对措施）（3)制定和实施风险处理(应对）计划6、监测和评审7、记录风险管理过程六、风险管理体系练习1、练习1——平衡计分卡2、练习2—-SWOT分析3、练习3——使用风险评估表单4、练习4-—学员运用评估表单上台报告七、风险管理体系审核1、内审的目的2、内部审核的流程和执行审核（1）文件收集（包括ISO31000标准、手册、程序文件、作业指导书、法律法规及其它要求、工厂管理手册等）(2）制定审核计划(由审核组长制定)（3）准备工作文件(包括检查表、不符合报告和会议记录等表格) （4）实施审核：首次会议/收集审核证据/审核发现开不符合项报告/审核组会议/末次会议（5)制作审核报告(由审核组长完成)3、内部审核的方法和审核技巧(1)内部审核的方法提问和交谈的方法查阅文件和记录的方法现场观察的方法（2)内部审核的方式按部门进行按要素进行(3)内部审核的技巧少讲、多看、多听、多问选择正确的对象提问正确地提出问题,注意提问的技巧封闭式问题和开放式问题相结合提问与索看相结合要学会联想和追溯创造一个良好的审核气氛（4）内部审核时要注意的问题内审和外审一样，不是专门找岔子，是寻找符合的证据作审核记录时不符合的要记录下来，符合的情况也应该记录下来审核时各抽样的方式(5）审核中发现不符合的原因文件不符合ISO31000标准和法规等（符合性）没有按ISO31000文件执行(实施性）实施过程或具体工作没有效果(有效性)(6)不符合项的三种类型严重不符合项一般不符合项观察项(7）编写审核报告审核的目的和范围审核组成人员和受审部门及其负责人审核日期审核所依据的文件不合格项的观察结果体系运行有效性的结论性意见审核报告的分发清单4、审核员的要求和职责（1)正直诚实(2)客观公正（3)尊重对方(4）冷静坚毅（不是固执)(5）反应迅速（6）丰富的联想力(7)准确的判断力（8）灵活的把握尺度本文转自明阳天下拓展，转载请注明出处。

2018版ISO31000《风险管理指南》标准2018年2月15日，国际标准组织ISO发布了ISO31000《风险管理指南》标准2018版正式文件，这是自其2009年发布的全球第一版风险管理指南之后，第一次对其文件进行的更新和升级。

ISO31000新标准概览新版风险管理标准中的框架图称为为“三轮车”图，并首次对其进行了汉化处理。

这个“三轮车”图和2009年第一版的三个方框图相比可谓变化明显，此次正式版的发布，没用了征求意见稿中的“三轮车”图形展示方式，但内容上相比征求意见稿还是有所变动。

我们首先来看一下正式版的三轮车框架图。

用三个圆形图分别表示了新标准中的原则、框架和流程。

其中原则轮中，最核心的内容为“价值的创造和保护”，体现为八个原则：▪整合的；▪结构化和全面性；▪定制化；▪包容性；▪动态的；▪有效信息利用；▪人员与文化因素；▪持续改进。

框架轮中，最核心的为“领导力与承诺”，体现为五个步骤：▪整合；▪设计；▪实施；▪评价；▪改进。

流程轮中，包含了：▪对范围、背景和标准的定义；▪风险评估的经典流程-风险识别、风险分析、风险评价；▪风险应对；▪风险记录与报告；▪沟通与咨询；▪监控与评价。

这个三轮车图提炼了整个ISO31000风险管理标准的所有内容，标准的全文都是围绕着这个三轮车图来展开论述的。

新标准与老标准的异同按照ISO组织自己的论述，新标准和老标准的异同主要体现在四个方面：▪重新审阅了所有的风险管理原则，这是其是否能够取得成功的关键标准；▪重点强调了高级管理层的职责以及和各项管理活动的整合，从组织的治理着眼；▪更加强化了风险管理工作的迭代性质，提示了在每一个流程环节，随着新的实践、知识和分析能力下对流程要素、方案和控制的修正；▪对了满足多样化的需求，保持一个更加开放和包容的系统，精简了一部分内容。

对于这4点而言，ISO组织一直宣称，这次修订风险管理标准的一大初衷是使内附管理标准更简洁，更利于理解和运用，所以删除了很多复杂的语句和句子。

ISO 31000是国际标准化组织（ISO）发布的关于风险管理的标准。

2018年版的ISO 31000是其最新版本，该标准提供了一套通用的原则和指南，用于有效地管理各种类型的风险，无论是组织内部的风险还是外部的风险。

ISO 31000旨在帮助组织在不确定性环境中做出明智的决策，并增强其长期可持续性。

以下是ISO 31000:2018版的一些关键要点和原则：1. 风险定义：ISO 31000将风险定义为“关于目标的不确定性的效应”。

这意味着风险是与实现目标相关的不确定性，可以是正面的（机会）或负面的（威胁）。

2. 风险管理原则：ISO 31000提供了一系列风险管理原则，包括集成风险管理进组织的治理结构、定制风险管理过程以适应组织的需求、建立沟通和咨询的机制等。

3. 风险管理框架：标准建议组织建立风险管理框架，以确保风险管理过程得以有效实施。

这个框架应该包括明确定义的角色和责任、风险政策、风险评估方法、风险监测和审计机制等。

4. 风险管理过程：ISO 31000提供了风险管理的具体步骤，包括风险识别、风险评估、风险处理、风险监控和风险沟通。

这些步骤应该循环进行，以不断改进风险管理过程。

5. 风险管理文档：组织应该建立和维护相关的风险管理文档，以记录风险管理活动、决策和结果。

请注意，ISO 31000是一个通用的风险管理标准，可以适用于各种类型的组织和行业。

如果您的组织有特定的行业要求或法规要求，可能需要与ISO 31000结合使用其他标准或指南来满足这些要求。

此外，风险管理是一个持续的过程，需要组织不断地适应变化的环境和情况，以确保风险管理的有效性。

因此，定期审查和更新风险管理过程是至关重要的。

iso31000风险管理标准 2018版
ISO 31000是国际标准化组织（ISO）制定的风险管理标准，
旨在指导组织有效管理风险并取得所期望的成果。

ISO 31000
风险管理标准的最新版是2018年版。

ISO 31000标准提供了一个通用的风险管理框架，适用于各种
类型、规模和领域的组织。

它强调风险管理的整体性，将风险管理视为组织整体运营的一部分，而不仅仅是特定项目或活动的一部分。

此标准主要包括以下内容：
1. 风险管理原则：明确风险管理的基本原则，包括整体性、明确性、动态性、全面性等。

2. 风险管理框架：提供一种结构化方法，用于确定和实施风险管理过程，包括风险识别、评估、处理和监控。

3. 风险管理过程：包括风险管理的各个阶段，如风险识别、风险评估、风险处理、风险监控和风险沟通等。

4. 风险管理的支持工具和技术：提供一些常用的工具和技术，可用于支持风险管理过程，如风险矩阵、风险图、风险评估模型等。

ISO 31000标准的使用有助于组织更好地理解和管理风险，提
高决策的质量和一致性，增强组织的灵活性和适应能力。

此外，
它还可以帮助组织建立透明的风险管理过程，增加对利益相关者的信任和支持。

需要注意的是，ISO 31000标准并不是认证标准，而是一种指导性文件，组织可以根据自身情况和需求进行灵活应用。