ISO31000中文版Word文档下载推荐.docx
《ISO31000中文版Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《ISO31000中文版Word文档下载推荐.docx(27页珍藏版)》请在冰点文库上搜索。
b)负责确保在组织整体、或某一特定区域、项目或活动内有效开展风险治理的人员;
c)需要评定组织风险治理有效性的人员;
d)整体或部份地实施风险治理的标准、指南、程序和操作标准的开发者。
目前许多组织的治理实践和过程包含了风险治理的要素,许多组织针对特定类型的风险或环境下已经采纳了正式的风险治理进程。
在这种情形下,组织能够决定对照本国际标准对其现有的实践和进程开展严格的评审。
在本国际标准中,“风险治理(riskmanagement)”和“治理风险(managingrisk)”都在利用。
在通常的术语意义上,“风险治理(riskmanagement)”涉及的有效治理风险的构架(原那么,框架和过程),而“治理风险(managingrisk)”指的是运用该架构治理特定风险。
风险治理-原那么和指南
1范围
本国际标准提供了风险治理的原那么和通用性指南。
本国际标准可用于任何公共、私有或公有企业、协会,集体或个体。
因此,本国际标准不针对任何特定行业或部门。
注:
为方便起见,本国际标准涉及的所有不同的用户以通用术语“组织”称号。
本国际标准可用于整个组织的生命周期及普遍的活动,包括战略和决策、运营、进程、职能、项目、产品、效劳和资产。
本国际标准能够应用于任何类型的风险,不管其性质及是不是有踊跃或消极的后果。
尽管本国际标准提供了风险治理的通用性指南,但不意针对组织增进风险治理的统一性。
风险治理打算和框架的设计和实施需要考虑到特定组织的不同需求、特定目标,状况、结构、运营、进程、职能、项目、产品、效劳、或资产和展开的具体实践。
意在运用本国际标准来和谐现有和将来标准的风险治理进程。
本标准提供了一个支持其他标准处置
特定风险和行业风险的通用方式,而不是取代这些标准。
本国际标准不意针对认证用意。
2术语和概念
以下术语和概念适用本标准。
风险risk
不确信性对目标的阻碍
注1:
阻碍是与期待的误差——踊跃和/或消极
注2:
目标能够有不同方面(如财务、健康平安、和环境目标),能够体此刻不同的层次(如战略、组织范围、项目、产品和进程)。
注3:
风险通常以潜在事件()和后果(),或它们的组合来描述。
注4:
风险通常以事件(包括环境的转变)后果和发生可能性()的组合来表达。
注5:
不确信性是指,与事件和其后果或可能性的明白得或知识相关的信息的缺点的状态,或不完整。
[ISO导那么73:
2020,概念]
风险治理riskmanagement
针对风险指挥和操纵组织的和谐活动。
[ISO导那么73:
2020,概念]
风险治理框架riskmanagementframework
提供在组织内设计、实施、监测()、评审和持续改良风险治理()的大体原那么和组织安排的要素集合。
大体原那么包括治理风险的方针、目标、指令和许诺。
组织安排包括打算、关系、责任、资源、进程和活动。
风险治理框架被嵌入到组织的整个战略和运营的方针和实践中
2020,概念2.1.1]
风险治理方针riskmanagementpolicy
一个组织对风险治理的用意和方向的陈述。
[ISO导那么73:
2020,概念2.1.2]
风险态度riskattitude
组织评判、最终追踪、保留、排除或规避风险的方式。
2020,概念3.7.1.1]
风险治理打算riskmanagementplan
在风险治理框架内规定用于风险治理的方式、治理要素、资源的方案。
治理要素一样包括程序、老例、职责分派、活动顺序和时刻安排。
风险治理打算可应用于特定的产品、进程和项目、组织的部份或整体。
[ISO导那么73:
2020,概念2.1.3]
风险所有者riskowner
具有风险治理权限和责任的个人或实体。
2020,概念3.5.1.4]
风险治理进程riskmanagementprocess
治理方针、程序和老例对沟通、协商、确信状况、和识别、分析、评价、处置、监测和评审风险活动的系统应用。
确信状况establishingthecontext
界定外部和内部参数,以便在治理风险和设置风险治理方针的范围及风险准那么时,予以考虑。
2020,概念3.3.1]
外部状况externalcontext
组织寻求实现其目标的外部环境。
外部环境可包括:
——文化、社会、政治、法律法规、财政金融、技术、经济、自然和竞争环境,不管国际、国家、区域或地址
——对组织目标具有阻碍的要紧驱动和趋势。
——与外部利益相关方的关系和其感受和价值观。
2020,概念3.3.1.1]
内部状况internalcontext
内部状况可包括:
——治理、组织结构、作用和责任;
——方针、目标、和实现它们的战略;
——以资源和知识来明白得的能力(如资本、时刻、人员、过程、系统和技术);
——信息系统、信息流和决策过程(正式和非正式的);
——与内部利益相关方的关系、和他们的感受和价值观;
——组织的文化;
——标准、指南和组织采纳的模式;
——合同关系的形式和范围
2020,概念3.3.1.2]
沟通和协商communicationandconsultation
组织针对风险治理,提供、共享或获取信息,与利益相关方进行对话的持续和反复的进程。
信息涉及风险治理的存在、性质、形式、可能性、严峻程度、评定、可同意性、处置。
协商是组织与它的利益相关方,在做出决策或确信某一问题的方向前,针对问题双向有事实依据的沟通的进程。
协商是:
——通过阻碍力而非权利对决策施加阻碍;
——作为决策的输入,而非加入决策。
2020,概念3.2.1]
利益相关方stakeholder
能够阻碍、被阻碍、或感觉自己会被决策或活动阻碍的个人或组织。
决策者能够是利益相关者。
2020,概念3.2.1.1]
风险评判riskassessment
风险识别()、风险分析()和风险评定()的整个进程。
2020,概念3.4.1]
风险识别riskidentification
觉察、熟悉、描述风险的进程。
风险识别包括风险源()、事件()、它们的起因及潜在后果的确信。
风险识别会涉及历史数据、技术分析、有事实依据的和专家的观点、和利益相关方的需求。
2020,概念3.5.1]
风险源risksource
单独地或以结合的形式具有产生风险的内在可能性的因素。
一个风险源能够是有形的或无形的。
2020,概念3.5.1.1]
事件event
特殊系列环境的产生或转变。
.一个事件可以是一个或多个事变,会有多种缘故。
事件可以由一些不发生的情形组成。
事件有时被称作“事件(incident)”或“事故(accident)”。
.没有后果的事件能够被称作“nearmiss”、“incident”、“nearhit”、“closecall”。
2020,概念3.5.1.2]
后果consequence
事件对目标的阻碍结果。
一个事件可以产生一系列的后果。
后果可以是确信或不确信的,和对目标具有踊跃或消极的阻碍。
后果可以被定性或定量地表述。
初步的后果通过连锁效应可以慢慢升级。
2020,概念3.6.1.3]
可能性likelihood
某事发生的机缘。
在风险治理术语学中,“可能性”是指情形发生的机缘,不论是明确的、测量的,仍是客观或主观地、定性或定量地确信的,和一样性或精准地描述(如在一按时段内的可能性和频率)。
英文“likelihood”在一些语言中没有直接对应的等同词,而同义词“probability”常常被利用。
可是,在英文中,“probability”通常被狭义地明白得为数学术语。
因此,在风险治理术语学中,“likelihood”以它在许多非英语国家语言中的“probability”所具有的一样的广泛明白得来利用。
2020,概念3.6.1.1]
风险状况riskprofile
任何系列风险()的描述。
该系列风险可包括与整个组织、组织的部份或其他特定部份相关联的风险。
[ISOGuide73:
2020,definition3.8.2.5]
风险分析riskanalysis
明白得风险()的性质和确信风险程度()的进程。
风险分析为风险评定和风险处置决策提供了基础。
风险分析包括风险估测。
2020,概念3.6.1]
风险准那么riskcriteria
评判风险重要性的依据。
.风险准那么基于组织的目标和内外部状况。
风险准那么可出自于标准、法律、方针和其他要求。
2020,概念3.3.1.3]
风险程度risklevel
以后果和可能性的组合表达的风险的量或组合结果。
2020,概念3.6.1.8]
风险评定riskevaluation
将风险分析的结果与风险准那么进行比较,以确信风险和(或)其量是不是可同意或可许诺。
风险评定有助于有关风险处置的决策。
2020,概念3.7.1]
风险处置risktreatment
修正风险的进程。
风险处置可包括:
——通过决定不启动或停止产生风险的活动而幸免风险。
——为了追求机会采取或增加风险。
——排除风险源。
——改变可能性。
——改变后果。
——与其他方面一路分担风险(包括合同、风险融资)。
——通过有事实依据的决策保留风险。
对消极后果的风险处置有时能够称为“风险减缓(riskmitigation)”、“风险排除(riskeliminate)”、“风险预防(riskprevention)”和“风险减小(riskreduction)”。
风险处置可以产生新的风险或修正已存在的风险。
2020,概念3.8.1]
操纵方法control
修正风险的方法。
操纵方法包括任何进程、方针、手腕、老例或其他修正风险的方法。
操纵方法可能不老是产生预期或假想的修正成效。
2020,概念3.8.1.1]
残留风险residualrisk
风险处置后余留下的风险。
残留风险可包括未识别的风险。
残留风险也可被认作“保留的风险(retainrisk)。
2020,概念3.8.1.6]
监测monitoring
不断检查、监督、严格观看或确信状态,以识别所要求或期待的绩效水平的转变。
监测可应用于风险治理框架、风险治理进程、风险或操纵方法。
2020,概念3.8.2.1]
评审review
为达到所成立的目标,确信有关事务的适宜性、充分性和有效性所采取的活动。
评审可应用于风险治理框架、风险治理进程、风险或操纵方法。
2020,概念3.8.2.2]
3原那么
为了风险治理有效,组织宜在各个层次遵循以下原那么。
a)风险治理制造和爱惜价值
风险治理有助于目标明确的实现和绩效的改良,例如,在人员的健康平安、治安、法律法符合性、公众同意性、环境爱惜、产品质量、项目治理、运营效率、治理和声誉方面。
b)风险治理是整合在所有组织进程中的部份
风险治理不是与组织的要紧活动和进程分开的孤立活动。
风险治理是治理职责的部份和整合在所有组织进程中的部份,包括战略打算、所有项目、变更治理进程。
c)风险治理支持决策
风险治理能够帮忙决策者做出明智的选择、优先的方法和分辨行动方向。
d)风险治理明晰解决不确信问题
风险治理明确地论述不确信性、不确信性的性质、和如何加以解决。
e)风险治理具有系统、结构化和及时性
系统、及时和结构化的风险治理方式有助于提高效率和取得一致、可衡量和靠得住的结果。
f)风险治理基于最可用的信息
风险治理进程的输入基于信息源,如历史数据、体会、利益相关方的反馈、观看、预测和专家判定。
可是,决策者宜警告自身和考虑,数据或所利用模型的局限性,或专家之间不合的可能性。
g)风险治理是量文体衣的
风险治理是与组织的外部和内部状况及风险状况相匹配的。
h)风险治理考虑人文因素
风险治理熟悉到能够增进或阻碍组织目标实现的内部和外部人员的能力、观念和用意。
i)风险治理是透明和包容的
利益相关方、尤其是组织各层面的决策者适当、及时的参与,确保了风险治理维持相关和先进性。
参与进程也许诺利益相关方适本地发表意见,并将其观点考虑到风险准那么的确信中。
j)风险治理是动态、迭代和应付转变的
风险治理持续觉察和响应转变。
由于外部和内部事件发生,状况和知识在改变,风险的监测和评审在进行,新的风险显现,一些风险在改变,而另一些风险消失了。
k)风险治理实现组织的持续改良
组织宜制定和实施战略,协同组织的其他方面一路改良风险治理的成熟度。
附件A为希望更有效地实施治理风险的组织提供了进一步的建议。
4框架
总那么
风险治理的成功取决于提供将风险治理嵌入整个组织所有层次的基础和安排的治理框架的有效性。
框架有助于通过在组织不同层次和特定状况内应用风险治理进程,有效地治理风险。
框架确保从风险治理进程取得的风险信息充分地被报告,和作为决策和所有相关组织层次责任的基础。
本条款描述了风险治理框架的必要要素和其以迭代的方式彼此作用的方式,如图2。
图2风险治理框架要素间的彼此关系
本框架目的不是规定一个治理体系,而是有助于组织将风险治理整合到它的整个治理体系中。
因此,组织宜使框架的要素适用于其特定的需求。
假设是组织现存的治理实践和进程包括风险治理要素,或假设是组织已经针对特定的风险或状况采纳了一个正式的风险治理进程,那么对原有的这些实践和进程宜针对本标准进行评审和评判,包括附录A中包括的附加内容,以确信它们的充分性和有效性。
指令和许诺
风险治理的引入和确保它的持续有效需要组织治理着强有力和持续的许诺,和为实现许诺在所有层次战略的和周密的策划。
治理者宜:
确信和签署风险治理方针;
确保组织的文化和风险治理方针一致;
确信与组织绩效参数一致的风险治理绩效参数;
使风险治理目标与组织的目标和战略一致;
确保法律法规的复合性;
在组织内适当的层次分派责任和职责;
确保为风险治理配置必要的资源;
将风险治理的益处通报给所有的利益相关方;
确保风险治理框架持续维持适宜。
风险治理框架的设计
4.3.1明白得组织和其状况
在开始设计和实施风险治理框架前,评判和明白得组织内外部的状况是重要的,因为这会对框架的设计产生显著的阻碍。
评判组织外部状况能够包括,但不限于:
a)社会和文化、政治、法律法规、财务、技术、经济、自然和竞争环境,不管国际、国内、区
域和本地;
b)阻碍组织目标的动力和趋势;
c)与外部利益相关方的关系,和它们的感受和价值观。
评判组织内部状况能够包括,但不限于:
——治理方式、组织结构、作用和责任;
——方针、目标,和为实现它们所制定的战略;
——以资源和知识来明白得的能力(例如,资本、时刻、人员、进程、系统和技术);
——信息系统、信息流和决策进程(正式和非正式的);
——与内部利益相关方的关系,和它们的感受和价值观;
——被组织采纳的标准、指南和模型;
——合同关系的形式和范围。
4.3.2成立风险治理方针
风险治理方针宜清楚说明组织风险治理的目标和许诺,专门要针对:
——组织治理风险的大体原理;
——组织目标和方针与风险治理方针的联系;
——治理风险的责任和职责;
——处置利益冲突的方式;
——提供有助于治理风险必要资源的许诺;
——风险治理绩效测量和报告的方式;
——对按期评审和改良风险治理方针和框架,和对事件和环境转变做出响应的许诺。
风险治理方针宜适本地沟通。
4.3.3责任
组织宜确保具有治理风险的责任、权限和适当的能力,包括实施和维持风险治理进程和确保任何操纵方法的充分性、有效性和效率。
这可通过如下途径来实现:
——确信有责任和权利治理风险的风险拥有者;
——确信负责成立、实施和维持风险治理框架的人员;
——确信组织所有层次人员的风险治理进程的其他职责;
——成立绩效测量和内部和外部报告和逐级报告进程;
——确保确信的适合程度。
4.3.4整合到组织的进程
风险治理宜益相关、有效和有效率的方式嵌入到所有组织的实践和进程中。
风险治理进程宜变成组织进程的部份,而不是分离的。
专门是,风险治理宜嵌入方针制定、商业和战略策划和评审和变更治理进程中。
宜具有一个组织的普遍风险治理打算以确保风险治理方针的实施和将风险治理嵌入全数组织的实践和进程中。
风险治理打算能够整合到组织其他的打算中,如战略打算。
4.3.5资源
组织宜为风险治理配置适当的资源。
对如下方面宜予以考虑:
——人员、技术、体会和能力;
——关于风险治理进程的每步骤所需的资源;
——用于治理风险的组织的进程、方式和工具;
——形成文件的进程和程序;
——治理体系的信息和知识;
——培训方案。
4.3.6成立内部沟通和报告机制
组织宜成立内部沟通和报告机制,用于支持和增进风险的责任和归属。
这些机制宜确保:
——风险治理框架的关键要素和任何后续的更改被适本地沟通;
——对框架和其有效性及结果在内部充分地予以报告;
——风险治理的相关信息在适当的层次和时刻予以取得;
——与内部利益相关方的协商进程被予以提供。
适那时,这些机制宜包括基于多源头强化风险信息的进程,和可能需要考虑信息的灵敏性。
4.3.7成立外部沟通和报告机制
组织宜制定和实施一个关于如何与外部利益相关方沟通的打算。
这宜包括:
——吸引适当的外部利益相关方的关注和确保有效的信息交流;
——对外报告法律法规和治理要求的遵守情形;
——对沟通和协商进行报告和反馈;
——运用沟通来成立组织的信心;
——向利益相关方沟通紧急或突发事件。
实施风险治理
4.4.1实施治理风险的框架
在实施组织的治理风险的框架时,组织宜:
——确信实施框架的适那时刻安排和策略;
——将风险治理方针和进程应用到组织的进程;
——遵遵法律法规要求;
——确保决策,包括目标的制定和设立,与风险治理进程输出结果一致;
——举行信息和培训会议;
——与利益相关方进行沟通和协商以确保其风险治理框架维持正确;
4.4.2实施风险治理进程
风险治理宜通过确保将第五章描述的风险治理进程通过风险治理打算作为组织实践和进程的一部份应用到组织相关职能和层次。
框架的监测和评审
为了确保风险治理有效和持续改良组织的绩效,组织宜:
——针对适当按期评审的参数测量风险治理绩效;
——按期测量风险治理打算的进展和偏离;
——基于组织的内部和外部状况,按期评审风险治理框架、方针和打算是不是仍然适宜;
——报告风险、风险治理打算的进展和风险治理方针如何较好地执行;
——评审风险治理框架的有效性。
框架的持续改良
基于监测和评审结果,宜做出如何能够改良风险治理框架、方针和打算的决策。
这些决策宜致使组织的风险治理和风险治理文化的改良。
5进程
风险治理进程宜是:
——整合到治理中的的一部份;
——嵌入文化和实践当中;
——针对组织的经营进程制作。
它由到描述的活动组成。
风险治理进程如图3。
图表3-风险治理进程
沟通和协商
与内、外部利益相关方沟通和协商宜在风险治理进程所有时期进行。
因此,沟通和协商打算宜在初期制定。
该打算宜针对与风险本身、风险成因、风险后果(假设是把握)和处置风险方法相关的问题。
为确保实施风险治理进程的职责明确,和利益相关方明白得决策的基础和特定方法需求的缘故,宜采取有效的外部和内部沟通和协商。
协商团队方式能够:
——适本地帮忙明确状况;
——确保利益相关方的利益被明白得和考虑
升级会员 