下载掌阅APP,畅读海量书库
立即打开
ISO 31000:2018虽然只有短短十几页的内容(英文版16页),但都是定位、原则、方向、方针等关键内容,这些内容对任何情况下开展风险管理工作均适用。其定位为“任何组织、任何类型、全生命周期、任何活动”。
(1)定制。ISO 31000:2018为组织管理风险提供了指南,在应用这些指南时要进行定制,以适应不同类型的组织,以及组织所处的环境。
(2)通用。ISO 31000:2018提供了一种通用的方法来管理任何类型的风险,并非面向某一具体的行业,也不是面向某种类型的风险。
(3)全生命周期。ISO 31000:2018可以在组织的整个生命周期中使用。
(4)任何活动。ISO 31000:2018可以应用于组织的任何活动,包括各种层次的决策活动。
图2-3是ISO 31000:2018的框架图,该图提炼了该标准的主要内容。ISO 31000:2018的全文都是围绕着这个“三轮车”图来展开论述的。图中用分别称为原则轮、框架轮和过程轮的三个圆形图表示该标准的原则、框架和流程。
在图2-3的三个轮中,原则轮核心内容为“创造和保护价值”,体现八大原则;框架轮核心内容为“领导力与承诺”,包含五个过程;过程轮中则包含六个环节。
图2-3 ISO 31000:2018的框架图
图2-4概述了ISO 31000风险管理的八大原则。这些原则是管理风险的基础,应在建立组织的风险管理框架和流程时予以考虑,使组织能够管理不确定性对其目标的影响。这8大原则分别是:整合的、结构化和综合性、定制化、兼容性、动态的、信息利用、人员文化因素和持续改进,最核心的内容为“创造和保护价值”。
图2-4 ISO 31000风险管理原则
八大原则进一步解释如下。
整合的,是指风险管理是所有组织活动的组成部分,必须整合到组织管理活动中,而不是单独存在。
结构化和综合性,是指风险管理的结构化和综合性方法有助于获得一致和可比较的结果。风险管理的结构化原则,体现在必须包括若干职责清晰的风险管理过程,这些过程综合在一起,共同实现风险管理。
定制化,是指风险管理框架和流程是根据组织与其目标相关的外部和内部环境定制的,并与其相适应。风险管理的框架和流程必须与组织的内部环境和外部环境相适应,体现组织的特殊性,符合组织的目标。
兼容性,是指利益相关方及时、恰当地参与到风险管理中,使他们的知识、观点和看法在风险管理中被认真考虑。这样,使得所有人的风险管理意识得到提高,风险管理的信息也更为全面。
动态的,是指随着组织内部和外部环境的变化,风险可能会出现、变化或消失。风险管理会以适当的方式及时预测、检测、承认和响应这些变化和事件。
信息利用,是指风险管理是基于历史和当前的信息,以及对未来的预期,要明确考虑到与这些信息和期望相关的任何限制和不确定性。信息应及时、清晰地提供给相关的利益相关方。如果信息不及时或者信息不完整,甚至信息有错误,都会影响利益相关方的风险的判断。
人员文化因素,是指风险管理与人的素质、意识、教育等息息相关,还与社会环境的约束有关。因此,风险管理受人员文化因素的影响。
持续改进,是指通过学习和实践不断提高风险管理水平。持续改进符合PDCA(计划、执行、检查、处理)原则,即通过迭代逐步提高风险管理水平。
图2-5说明了ISO 31000风险管理框架的组件。风险管理的有效性取决于是否将风险管理纳入组织治理和决策过程中。所以想要让风险管理产生效果,形式上要在组织治理层面考虑风险管理,内容上要支持组织的各类决策行为。这需要利益相关方,特别是最高管理层的支持。风险管理提高了绩效,鼓励创新并支持实现目标,实现目标必须有合理的框架做支撑。在ISO 31000中,风险管理框架的核心是“领导力和承诺”,包含整合、设计、实施、评价和改进五个过程。
图2-5 ISO 31000风险管理框架
领导力和承诺是风险管理框架的核心。在标准中制定了领导层的职责及应该有的承诺。领导重视是第一要务,推动风险管理工作的责任方是最高管理层。在适当的情况下,还需要有监督机构负责监督风险管理,监督最高管理层将风险管理融入组织所有活动。
风险管理框架的第一个过程是整合。风险管理框架的目的是协助组织将风险管理纳入重要的活动和职能。组织架构中的每个部分都需要进行风险管理,组织中的每个人都有责任管理风险。而整合的意义就在于,使得风险管理成为组织目的、治理、领导力和承诺、战略、目标和运营的一部分,而不是相互分离。说到底,就是明确在组织中随时随地都不能忘了风险管理。
风险管理框架的第二个过程是设计。
在设计风险管理框架时,组织应该检视并理解其内部和外部环境。
高级管理层和监督机构在适当情况下应通过政策、声明或其他形式清楚地表达组织的目标和对风险管理的承诺,并把承诺传达给内部和利益相关方。
设计的第三个内容是分配角色、权限和职责,并强调风险管理和核心责任。
第四个内容是分配资源,包括:人员、技能、经验和能力,组织用于风险管理的流程、方法和工具,记录过程和程序,信息和知识管理系统,专业发展和培训需求。
组织在设计阶段还应建立一个经过批准的沟通与咨询方法。其内容应反映相关利益方的期望。
风险管理框架的第三个过程是实施。组织应当制定适当的计划,包括时间表和资源配置;在整个组织内,确定在什么地点、什么时间、由谁来进行不同类型的决策;在必要时调整适用的决策程序;确保组织的风险管理安排得到清晰的理解和实施。
框架的成功实施需要利益相关方的参与和了解。这使组织能够明确地应对决策中的不确定性,同时确保在出现任何新的不确定性时可以将其考虑在内。通过正确地设计和实施风险管理框架,可以确保风险管理流程是整个组织所有活动(包括决策)的一部分,并将充分反映内外部环境的变化。
风险管理框架的第四个过程是评价。为了评价风险管理框架的有效性,组织应当根据风险管理框架的目的、实施计划、指标和预期行为定期衡量风险管理框架的绩效;确定其是否仍然适合支持实现组织的目标。
风险管理的第五个过程是改进,改进包括两个方面。
一是适应性:组织应不断监视和调整风险管理框架,以适应外部和内部变化。这样做,组织可以提高其价值。
二是持续改进:组织应持续改进风险管理框架的适宜性、充分性和有效性,以及改进风险管理流程的整合方式。
一旦相关差距或改进条件已经确定,组织应制定计划和任务,并将其分配给负责实施的人员。这些改进措施一旦实施,应有助于加强风险管理。
ISO 3100风险管理过程如图2-6所示。风险管理过程应该成为管理和决策的一个组成部分,并融入组织的结构、运作和流程中。它可以应用于战略、运营、计划或项目层面。组织内部可以有很多风险管理流程的应用,这些应用是为实现目标而定制的,并适合它们所应用的外部和内部环境。在整个风险管理过程中,应考虑人类行为和文化的动态性和变化性。
虽然风险管理过程通常表现为按顺序的,但实际上是迭代的。风险管理过程包括以下六个环节。
图2-6 ISO 31000风险管理过程
风险管理过程的第一个环节是范围、环境、准则。该环节的目的是有针对性地设置风险管理流程,实现有效的风险评估和适当的风险处置。范围、环境、准则涉及确定流程的范围,并了解外部和内部的背景。
这个环节中要确定风险准则。相对于目标而言,组织应该明确承担风险的数量和类型。还应该定义评估风险重要性水平和支持决策过程的准则。风险准则应与风险管理框架相一致,并根据具体活动的目的和范围进行针对性的设计。风险准则还应反映组织的价值观、目标和资源,并与风险管理的政策和声明保持一致。根据组织的义务和利益相关方的考虑来定义准则。
风险管理过程的第二个环节是风险评估。风险评估是风险识别、风险分析和风险评价的整个过程。风险评估应该利用利益相关者的知识和观点,系统地、迭代地和协作地进行。它应该使用最好的可用信息,并在必要时辅以进一步的调查。
风险识别的目的是发现、识别和描述可能有助于或妨碍组织实现目标的风险。
风险分析的目的是理解包括风险水平在内的风险性质和特征。风险分析涉及对不确定性、风险源、后果、可能性、事件、情景、控制及其有效性的详细考虑。
风险评价的目的是支持决策。风险评价涉及将风险分析的结果与既定的风险准则进行比较,以确定需要采取何种应对措施。
风险管理过程的第三个环节是风险处置。风险处置的目的是选择和实施处置风险的选项。风险处置涉及以下迭代过程:制定和选择风险处置方案、规划和实施风险处置、评估处置的有效性、确定残余风险是否可接受来不断反复优化,直至将风险降低到用户可接受的水平范围内。
选择最合适的风险处置方案,强调的是成本收益之间的一种经济平衡,同时还应该考虑到组织的义务、自愿承诺和利益相关方的观点。
风险管理过程的第四个环节是沟通与咨询。沟通与咨询的目的是协助利益相关方理解风险,做出决策的依据,以及需要采取特定行动的原因。沟通旨在促进对风险的认识和风险意识,而咨询涉及获取反馈和信息以支持决策。两者之间的密切协调应该促进真实的、及时的、实质性的、准确和可理解的信息交换,同时考虑到信息的保密性和完整性,以及个人的隐私权。
从风险管理框架的设计阶段到风险管理过程的起始,ISO 31000始终强调沟通与咨询的重要性,特别是和利益相关方的沟通与咨询,这些都是风险管理工作开展的基础。利益相关方的诉求对设计整个风险管理框架和制定风险管理范围、评估标准都具有参考意义。而且在整个风险管理流程中,都要与利益相关方保持一定的沟通与咨询。
风险管理过程的第五个环节是监视与评审。监视与评审的目的是确保和改进过程设计、实施和结果的质量和有效性。对风险管理过程及其结果的持续监视和定期评审应该是职责明确的风险管理过程部分。监视与评审应该在过程的所有阶段进行。监视与评审过程包括规划、收集和分析信息,记录结果和提供反馈。其结果应纳入整个组织的绩效管理、衡量和报告活动中。
风险管理过程的第六个环节是记录和报告。应通过适当的机制记录和报告风险管理过程及其结果。记录和报告的目的是:在整个组织内传达风险管理活动和结果;为决策提供信息;改进风险管理活动;协助与利益相关方的互动,包括对风险管理活动负责任人员和有职责的人员。