ISO31000中文版.docx

1、ISO31000中文版引 言所有类型和规模的组织都面临内部和外部的、使组织不能确信是不是及何时实现其目标的因素和阻碍。这种不确信性所具有的对组织目标的阻碍就是“风险”。组织的所有活动都涉及风险。组织通过识别、分析和评定是不是运用风险处置修正风险以知足它们的风险准那么，来治理风险。通过那个进程，它们与利益相关方进行沟通和协商，监测和评审风险，和为确保再也不进一步需求风险处置而修正风险的操纵方法。本国际标准详细描述了这一系统的和逻辑的进程。尽管所有的组织在某种程度上都在治理风险，本国际标准成立了一些为使变得有效而需要知足的原那么。本国际标准建议，组织制定、和持续改良一个框架，其目的是将风险治理进程

2、整合到组织的整体治理、战略和打算、治理、报告进程、方针、和中。风险治理能够在组织多个领域和层次、任何时刻，应用到整个组织，和具体职能、项目和活动。尽管在过去一段时刻在许多行业，为知足不同的需要，已经开展了风险治理实践，但在一个综合框架内采纳一致性进程有助于确保在组织内有效、有效率和结合性地治理风险。本国际标准中所描述的通用方式提供了在任何范围和状况下，以系统、清楚、靠得住的方式治理风险的原那么和指南。每一个具体行业或风险治理的应用都产生了各自的需求、受众、观念和准那么。因此，本国际标准的要紧特点是将所包括“确信状况”作为通用风险治理进程开始的活动。确信状况将捕捉组织的目标，组织所追求目标的环境

3、，组织的利益相关方和风险准那么的多样性，所有这些都将帮忙揭露和价风险的性质和复杂性。 本国际标准描述的风险治理原那么、框架和风险治理进程之间的关系，如图1所示。当依据本国际标准实施和维持风险治理时，能够使组织，例如： 提高实现目标的可能性； 鼓舞主动性治理; 在整个组织意识到识别和处置风险的需求; 改良机缘和要挟的识别能力； 符合相关法律法规要求和国际标准； 改良强制性和志愿性报告； 改善治理； 提高利益相关方的信心和信任； 为决策和打算成立靠得住的根基； 增强操纵； 有效地分派和利用风险处置的资源； 提高运营的成效和效率； 增强健康平安绩效，和环境爱惜; 改善损失预防和事件治理； 减少损失；

4、 提高组织的学习能力 提高组织的应变能力本国际标准旨在知足众多利益相关方的需求，包括：a）负责制定组织风险治理方针的人员;b）负责确保在组织整体、或某一特定区域、项目或活动内有效开展风险治理的人员;c）需要评定组织风险治理有效性的人员；d）整体或部份地实施风险治理的标准、指南、程序和操作标准的开发者。目前许多组织的治理实践和过程包含了风险治理的要素，许多组织针对特定类型的风险或环境下已经采纳了正式的风险治理进程。在这种情形下，组织能够决定对照本国际标准对其现有的实践和进程开展严格的评审。在本国际标准中，“风险治理（risk management）”和“治理风险（managing risk）”都

5、在利用。在通常的术语意义上，“风险治理（risk management）”涉及的有效治理风险的构架（原那么，框架和过程），而“治理风险（managing risk）”指的是运用该架构治理特定风险。风险治理-原那么和指南1范围本国际标准提供了风险治理的原那么和通用性指南。本国际标准可用于任何公共、私有或公有企业、协会，集体或个体。因此，本国际标准不针对任何特定行业或部门。注：为方便起见，本国际标准涉及的所有不同的用户以通用术语“组织”称号。本国际标准可用于整个组织的生命周期及普遍的活动，包括战略和决策、运营、进程、职能、项目、产品、效劳和资产。本国际标准能够应用于任何类型的风险，不管其性质及是不

6、是有踊跃或消极的后果。尽管本国际标准提供了风险治理的通用性指南，但不意针对组织增进风险治理的统一性。风险治理打算和框架的设计和实施需要考虑到特定组织的不同需求、特定目标，状况、结构、运营、进程、职能、项目、产品、效劳、或资产和展开的具体实践。意在运用本国际标准来和谐现有和将来标准的风险治理进程。本标准提供了一个支持其他标准处置特定风险和行业风险的通用方式，而不是取代这些标准。本国际标准不意针对认证用意。 2 术语和概念以下术语和概念适用本标准。 风险 risk不确信性对目标的阻碍注1：阻碍是与期待的误差踊跃和/或消极注2：目标能够有不同方面（如财务、健康平安、和环境目标），能够体此刻不同的层次

7、（如战略、组织范围、项目、产品和进程）。注3：风险通常以潜在事件（）和后果（），或它们的组合来描述。注4：风险通常以事件（包括环境的转变）后果和发生可能性（）的组合来表达。注5：不确信性是指，与事件和其后果或可能性的明白得或知识相关的信息的缺点的状态，或不完整。ISO导那么 73:2020, 概念 风险治理 risk management针对风险指挥和操纵组织的和谐活动。ISO 导那么 73:2020, 概念 风险治理框架 risk management framework提供在组织内设计、实施、监测（）、评审和持续改良风险治理（）的大体原那么和组织安排的要素集合。注1：大体原那么包括治理风险

8、的方针、目标、指令和许诺。注2：组织安排包括打算、关系、责任、资源、进程和活动。注3：风险治理框架被嵌入到组织的整个战略和运营的方针和实践中ISO 导那么 73:2020, 概念 2.1.1 风险治理方针 risk management policy一个组织对风险治理的用意和方向的陈述。ISO 导那么73:2020, 概念 2.1.2 风险态度 risk attitude组织评判、最终追踪、保留、排除或规避风险的方式。ISO 导那么 73:2020, 概念 3.7.1.1 风险治理打算 risk management plan在风险治理框架内规定用于风险治理的方式、治理要素、资源的方案。注1：

9、治理要素一样包括程序、老例、职责分派、活动顺序和时刻安排。注2：风险治理打算可应用于特定的产品、进程和项目、组织的部份或整体。 ISO 导那么 73:2020, 概念2.1.3 风险所有者 risk owner具有风险治理权限和责任的个人或实体。ISO 导那么 73:2020, 概念 3.5.1.4 风险治理进程 risk management process治理方针、程序和老例对沟通、协商、确信状况、和识别、分析、评价、处置、监测和评审风险活动的系统应用。ISO 导那么 73:2020, 概念 确信状况 establishing the context界定外部和内部参数，以便在治理风险和设置

10、风险治理方针的范围及风险准那么时，予以考虑。ISO 导那么 73:2020, 概念 3.3.1 外部状况 external context组织寻求实现其目标的外部环境。注：外部环境可包括： 文化、社会、政治、法律法规、财政金融、技术、经济、自然和竞争环境，不管国际、国家、区域或地址 对组织目标具有阻碍的要紧驱动和趋势。 与外部利益相关方的关系和其感受和价值观。ISO 导那么 73:2020,概念 3.3.1.1 内部状况 internal context组织寻求实现其目标的外部环境。注：内部状况可包括： 治理、组织结构、作用和责任； 方针、目标、和实现它们的战略； 以资源和知识来明白得的能力（

11、如资本、时刻、人员、过程、系统和技术）； 信息系统、信息流和决策过程（正式和非正式的）； 与内部利益相关方的关系、和他们的感受和价值观； 组织的文化； 标准、指南和组织采纳的模式； 合同关系的形式和范围ISO 导那么 73:2020,概念 3.3.1.2 沟通和协商 communication and consultation组织针对风险治理，提供、共享或获取信息，与利益相关方进行对话的持续和反复的进程。注1：信息涉及风险治理的存在、性质、形式、可能性、严峻程度、评定、可同意性、处置。注2：协商是组织与它的利益相关方，在做出决策或确信某一问题的方向前，针对问题双向有事实依据的沟通的进程。协商是

12、： 通过阻碍力而非权利对决策施加阻碍； 作为决策的输入，而非加入决策。ISO 导那么 73:2020, 概念 3.2.1 利益相关方 stakeholder能够阻碍、被阻碍、或感觉自己会被决策或活动阻碍的个人或组织。注：决策者能够是利益相关者。ISO 导那么 73:2020, 概念 3.2.1.1 风险评判 risk assessment风险识别（）、风险分析（）和风险评定（）的整个进程。 ISO 导那么 73:2020, 概念 3.4.1 风险识别 risk identification觉察、熟悉、描述风险的进程。注1：风险识别包括风险源（）、事件（）、它们的起因及潜在后果的确信。注2：风险

13、识别会涉及历史数据、技术分析、有事实依据的和专家的观点、和利益相关方的需求。ISO 导那么 73:2020, 概念 3.5.1 风险源 risk source单独地或以结合的形式具有产生风险的内在可能性的因素。注：一个风险源能够是有形的或无形的。ISO 导那么 73:2020,概念 3.5.1.1 事件 event特殊系列环境的产生或转变。注1：.一个事件可以是一个或多个事变，会有多种缘故。注2：事件可以由一些不发生的情形组成。注3：事件有时被称作“事件（incident）”或“事故（accident）”。注4：.没有后果的事件能够被称作“near miss”、“incident”、“near

14、 hit” 、 “close call”。ISO 导那么 73:2020, 概念 3.5.1.2 后果 consequence事件对目标的阻碍结果。注1：一个事件可以产生一系列的后果。注2：后果可以是确信或不确信的，和对目标具有踊跃或消极的阻碍。注3：后果可以被定性或定量地表述。注4：初步的后果通过连锁效应可以慢慢升级。 ISO 导那么 73:2020, 概念 3.6.1.3 可能性 likelihood某事发生的机缘。注1：在风险治理术语学中，“可能性”是指情形发生的机缘，不论是明确的、测量的，仍是客观或主观地、定性或定量地确信的，和一样性或精准地描述（如在一按时段内的可能性和频率）。注2：

15、英文“likelihood”在一些语言中没有直接对应的等同词，而同义词“probability”常常被利用。可是，在英文中，“probability”通常被狭义地明白得为数学术语。因此，在风险治理术语学中，“likelihood”以它在许多非英语国家语言中的“probability”所具有的一样的广泛明白得来利用。 ISO 导那么 73:2020, 概念 3.6.1.1 风险状况 risk profile任何系列风险（）的描述。注：该系列风险可包括与整个组织、组织的部份或其他特定部份相关联的风险。ISO Guide 73:2020, definition 3.8.2.5 风险分析 risk a

16、nalysis明白得风险（）的性质和确信风险程度（）的进程。注1：风险分析为风险评定和风险处置决策提供了基础。注2：风险分析包括风险估测。ISO 导那么 73:2020, 概念 3.6.1 风险准那么 risk criteria评判风险重要性的依据。注1：.风险准那么基于组织的目标和内外部状况。注2：风险准那么可出自于标准、法律、方针和其他要求。ISO 导那么 73:2020, 概念 3.3.1.3 风险程度 risk level以后果和可能性的组合表达的风险的量或组合结果。ISO 导那么 73:2020, 概念 3.6.1.8 风险评定 risk evaluation将风险分析的结果与风险准

17、那么进行比较，以确信风险和（或）其量是不是可同意或可许诺。注：风险评定有助于有关风险处置的决策。ISO 导那么 73:2020, 概念 3.7.1 风险处置 risk treatment修正风险的进程。注1：风险处置可包括： 通过决定不启动或停止产生风险的活动而幸免风险。 为了追求机会采取或增加风险。 排除风险源。 改变可能性。 改变后果。 与其他方面一路分担风险（包括合同、风险融资）。 通过有事实依据的决策保留风险。注2：对消极后果的风险处置有时能够称为“风险减缓（risk mitigation）”、“风险排除（risk eliminate）”、“风险预防（risk prevention）”

18、和“风险减小（risk reduction）”。注3：风险处置可以产生新的风险或修正已存在的风险。ISO 导那么 73:2020, 概念 3.8.1 操纵方法 control修正风险的方法。注1：操纵方法包括任何进程、方针、手腕、老例或其他修正风险的方法。注2：操纵方法可能不老是产生预期或假想的修正成效。ISO 导那么 73:2020, 概念 3.8.1.1 残留风险 residual risk风险处置后余留下的风险。注1：残留风险可包括未识别的风险。注2：残留风险也可被认作“保留的风险（retain risk）。ISO 导那么 73:2020,概念3.8.1.6 监测 monitoring不

19、断检查、监督、严格观看或确信状态，以识别所要求或期待的绩效水平的转变。注：监测可应用于风险治理框架、风险治理进程、风险或操纵方法。ISO 导那么 73:2020, 概念 3.8.2.1 评审 review为达到所成立的目标，确信有关事务的适宜性、充分性和有效性所采取的活动。注：评审可应用于风险治理框架、风险治理进程、风险或操纵方法。ISO 导那么73:2020, 概念3.8.2.23原那么为了风险治理有效，组织宜在各个层次遵循以下原那么。a）风险治理制造和爱惜价值风险治理有助于目标明确的实现和绩效的改良，例如，在人员的健康平安、治安、法律法符合性、公众同意性、环境爱惜、产品质量、项目治理、运营

20、效率、治理和声誉方面。b）风险治理是整合在所有组织进程中的部份风险治理不是与组织的要紧活动和进程分开的孤立活动。风险治理是治理职责的部份和整合在所有组织进程中的部份，包括战略打算、所有项目、变更治理进程。c）风险治理支持决策风险治理能够帮忙决策者做出明智的选择、优先的方法和分辨行动方向。d）风险治理明晰解决不确信问题风险治理明确地论述不确信性、不确信性的性质、和如何加以解决。e）风险治理具有系统、结构化和及时性系统、及时和结构化的风险治理方式有助于提高效率和取得一致、可衡量和靠得住的结果。f）风险治理基于最可用的信息风险治理进程的输入基于信息源，如历史数据、体会、利益相关方的反馈、观看、预测和

21、专家判定。可是，决策者宜警告自身和考虑，数据或所利用模型的局限性，或专家之间不合的可能性。g）风险治理是量文体衣的风险治理是与组织的外部和内部状况及风险状况相匹配的。h）风险治理考虑人文因素风险治理熟悉到能够增进或阻碍组织目标实现的内部和外部人员的能力、观念和用意。i）风险治理是透明和包容的利益相关方、尤其是组织各层面的决策者适当、及时的参与，确保了风险治理维持相关和先进性。参与进程也许诺利益相关方适本地发表意见，并将其观点考虑到风险准那么的确信中。j）风险治理是动态、迭代和应付转变的风险治理持续觉察和响应转变。由于外部和内部事件发生，状况和知识在改变，风险的监测和评审在进行，新的风险显现，一

22、些风险在改变，而另一些风险消失了。k）风险治理实现组织的持续改良组织宜制定和实施战略，协同组织的其他方面一路改良风险治理的成熟度。附件A为希望更有效地实施治理风险的组织提供了进一步的建议。4 框架 总那么风险治理的成功取决于提供将风险治理嵌入整个组织所有层次的基础和安排的治理框架的有效性。框架有助于通过在组织不同层次和特定状况内应用风险治理进程，有效地治理风险。框架确保从风险治理进程取得的风险信息充分地被报告，和作为决策和所有相关组织层次责任的基础。本条款描述了风险治理框架的必要要素和其以迭代的方式彼此作用的方式，如图2。图2 风险治理框架要素间的彼此关系本框架目的不是规定一个治理体系，而是有

23、助于组织将风险治理整合到它的整个治理体系中。因此，组织宜使框架的要素适用于其特定的需求。假设是组织现存的治理实践和进程包括风险治理要素，或假设是组织已经针对特定的风险或状况采纳了一个正式的风险治理进程，那么对原有的这些实践和进程宜针对本标准进行评审和评判，包括附录A中包括的附加内容，以确信它们的充分性和有效性。 指令和许诺风险治理的引入和确保它的持续有效需要组织治理着强有力和持续的许诺，和为实现许诺在所有层次战略的和周密的策划。治理者宜：确信和签署风险治理方针；确保组织的文化和风险治理方针一致；确信与组织绩效参数一致的风险治理绩效参数；使风险治理目标与组织的目标和战略一致；确保法律法规的复合性

24、；在组织内适当的层次分派责任和职责；确保为风险治理配置必要的资源；将风险治理的益处通报给所有的利益相关方；确保风险治理框架持续维持适宜。 风险治理框架的设计4.3.1 明白得组织和其状况在开始设计和实施风险治理框架前，评判和明白得组织内外部的状况是重要的，因为这会对框架的设计产生显著的阻碍。评判组织外部状况能够包括，但不限于：a)社会和文化、政治、法律法规、财务、技术、经济、自然和竞争环境，不管国际、国内、区域和本地；b)阻碍组织目标的动力和趋势；c)与外部利益相关方的关系，和它们的感受和价值观。评判组织内部状况能够包括，但不限于： 治理方式、组织结构、作用和责任； 方针、目标，和为实现它们所

25、制定的战略； 以资源和知识来明白得的能力（例如，资本、时刻、人员、进程、系统和技术）； 信息系统、信息流和决策进程（正式和非正式的）； 与内部利益相关方的关系，和它们的感受和价值观； 组织的文化； 被组织采纳的标准、指南和模型； 合同关系的形式和范围。4.3.2 成立风险治理方针风险治理方针宜清楚说明组织风险治理的目标和许诺，专门要针对： 组织治理风险的大体原理； 组织目标和方针与风险治理方针的联系； 治理风险的责任和职责； 处置利益冲突的方式； 提供有助于治理风险必要资源的许诺； 风险治理绩效测量和报告的方式； 对按期评审和改良风险治理方针和框架，和对事件和环境转变做出响应的许诺。风险治理方

26、针宜适本地沟通。4.3.3 责任组织宜确保具有治理风险的责任、权限和适当的能力，包括实施和维持风险治理进程和确保任何操纵方法的充分性、有效性和效率。这可通过如下途径来实现： 确信有责任和权利治理风险的风险拥有者； 确信负责成立、实施和维持风险治理框架的人员； 确信组织所有层次人员的风险治理进程的其他职责； 成立绩效测量和内部和外部报告和逐级报告进程； 确保确信的适合程度。4.3.4 整合到组织的进程风险治理宜益相关、有效和有效率的方式嵌入到所有组织的实践和进程中。风险治理进程宜变成组织进程的部份，而不是分离的。专门是，风险治理宜嵌入方针制定、商业和战略策划和评审和变更治理进程中。宜具有一个组织

27、的普遍风险治理打算以确保风险治理方针的实施和将风险治理嵌入全数组织的实践和进程中。风险治理打算能够整合到组织其他的打算中，如战略打算。4.3.5 资源组织宜为风险治理配置适当的资源。对如下方面宜予以考虑： 人员、技术、体会和能力； 关于风险治理进程的每步骤所需的资源； 用于治理风险的组织的进程、方式和工具； 形成文件的进程和程序； 治理体系的信息和知识； 培训方案。4.3.6 成立内部沟通和报告机制组织宜成立内部沟通和报告机制，用于支持和增进风险的责任和归属。这些机制宜确保： 风险治理框架的关键要素和任何后续的更改被适本地沟通； 对框架和其有效性及结果在内部充分地予以报告； 风险治理的相关信息

28、在适当的层次和时刻予以取得； 与内部利益相关方的协商进程被予以提供。适那时，这些机制宜包括基于多源头强化风险信息的进程，和可能需要考虑信息的灵敏性。4.3.7 成立外部沟通和报告机制组织宜制定和实施一个关于如何与外部利益相关方沟通的打算。这宜包括： 吸引适当的外部利益相关方的关注和确保有效的信息交流； 对外报告法律法规和治理要求的遵守情形； 对沟通和协商进行报告和反馈； 运用沟通来成立组织的信心； 向利益相关方沟通紧急或突发事件。适那时，这些机制宜包括基于多源头强化风险信息的进程，和可能需要考虑信息的灵敏性。 实施风险治理4.4.1 实施治理风险的框架在实施组织的治理风险的框架时，组织宜： 确

29、信实施框架的适那时刻安排和策略； 将风险治理方针和进程应用到组织的进程； 遵遵法律法规要求； 确保决策，包括目标的制定和设立，与风险治理进程输出结果一致； 举行信息和培训会议； 与利益相关方进行沟通和协商以确保其风险治理框架维持正确；4.4.2 实施风险治理进程风险治理宜通过确保将第五章描述的风险治理进程通过风险治理打算作为组织实践和进程的一部份应用到组织相关职能和层次。 框架的监测和评审为了确保风险治理有效和持续改良组织的绩效，组织宜： 针对适当按期评审的参数测量风险治理绩效； 按期测量风险治理打算的进展和偏离； 基于组织的内部和外部状况，按期评审风险治理框架、方针和打算是不是仍然适宜； 报

30、告风险、风险治理打算的进展和风险治理方针如何较好地执行； 评审风险治理框架的有效性。 框架的持续改良基于监测和评审结果，宜做出如何能够改良风险治理框架、方针和打算的决策。这些决策宜致使组织的风险治理和风险治理文化的改良。5 进程 总那么风险治理进程宜是： 整合到治理中的的一部份； 嵌入文化和实践当中； 针对组织的经营进程制作。它由到描述的活动组成。风险治理进程如图3。图表3-风险治理进程 沟通和协商与内、外部利益相关方沟通和协商宜在风险治理进程所有时期进行。因此，沟通和协商打算宜在初期制定。该打算宜针对与风险本身、风险成因、风险后果（假设是把握）和处置风险方法相关的问题。为确保实施风险治理进程的职责明确，和利益相关方明白得决策的基础和特定方法需求的缘故，宜采取有效的外部和内部沟通和协商。协商团队方式能够： 适本地帮忙明确状况； 确保利益相关方的利益被明白得和考虑