2.2 风险管理标准ISO 31000
ISO/TC 262制定的风险管理标准ISO 31000:2018《风险管理—指南》于2018年2月正式发布。该标准为组织管理所面临的风险提供了指南,提供了管理任何类型风险的通用方法,与行业无关。I SO 31000提供了风险管理的原则、框架和过程,它可以被任何组织使用,不管组织的大小、活动或领域。
使用ISO 31000,可以帮助组织增加实现目标的可能性,更好地识别威胁,有效地分配和使用资源来进行风险管理。I SO 31000可以为内部审计或外部审计项目提供指导,但不能用于认证目的。ISO 31000可以在组织的整个生命周期中使用,并且可以应用于任何活动,包括所有级别的决策。与ISO 31000配套的还有另外两个标准,构成ISO 31000系列标准,如表2-1所示。
表2-1 ISO 31000系列标准
2.2.1 风险管理历史沿革
2.2.1.1 ISO 31000的推出
1995年,澳大利亚/新西兰标准联合技术委员会发布了风险管理标准AS/NZS 4360,掀起了研究和制定风险管理标准的热潮。AS/NZS 4360于1999年和2004年进行了两次版本更新。在第二版中借鉴了加拿大CAN/CSA-Q850《风险管理—决策者指南》的内容,增加了沟通与咨询要素;在第三版中把风险识别纳入了风险评估的范畴。
1996年,国际标准化组织(ISO)和国际电工委员会(IEC)曾组织过一个国际会议,讨论根据AS/NZS 4360制定国际标准,但由于部分国家和组织考虑自身利益的原因,并未成功。但是,这次会议促使了ISO/IEC的指南——ISO Guide 73:2002《风险管理—词汇》的发布。直到2004年,澳大利亚、新西兰和日本重新提出要求,希望ISO采用AS/NZS 4360作为国际标准。国际标准化组织(ISO)在2005年9月份,成立了由各个国家专家代表组成的专门研究风险管理标准的工作组,开始着手将澳大利亚和新西兰的经验转化为国际通行的风险管理标准。
2009年,经过四年的研究和反复讨论,国际标准化组织(ISO)终于推出了ISO 31000:2009。该标准采用了原则、框架和过程的整体结构,制定了风险管理的原则,框架采用PDCA的管理模式,过程参照了AS/NZS 4360中的管理流程。2018年,国际标准化组织(ISO)对该标准进行了修订,更名为ISO 31000:2018《风险管理—指南》,并替代了ISO 31000:2009。
2.2.1.2 ISO 31000范围
ISO 31000适用于任何组织,与组织的规模或业务无关。ISO 31000可以用于公共组织或者私有组织中,可以用在各种集团、协会、企业中。ISO 31000并不面向特殊的领域或者行业,可应用于任何类型的风险。ISO 31000可以应用于战略层面,协助决策;也可以用于项目、服务、资产等具体业务层面。如何应用ISO 31000取决于组织的需要、目的和面临的挑战。
2.2.1.3 ISO 31000的益处
组织采用ISO 31000,会带来如下好处:
● 增加组织达成目标的可能性;
● 提高组织识别威胁与机会的能力;
● 提高组织的整体弹性;
● 提高组织的运营效率与效果;
● 鼓励个体识别并处理风险;
● 改进分析管理控制措施;
● 符合法律法规的要求;
● 提高组织治理活动的有效性;
● 为组织进行决策与计划提供良好基础;
● 改善事件管理,预防损失发生;
● 鼓励并支持组织不断学习;
● 提高相关方的信任与信心;
● 推进必须与自愿地报告;
● 遵守国际标准与准则。
2.2.2 ISO 31000:2018主要内容
ISO 31000:2018虽然只有短短十几页的内容(英文版16页),但都是定位、原则、方向、方针等关键内容,这些内容对任何情况下开展风险管理工作均适用。其定位为“任何组织、任何类型、全生命周期、任何活动”。
(1)定制。ISO 31000:2018为组织管理风险提供了指南,在应用这些指南时要进行定制,以适应不同类型的组织,以及组织所处的环境。
(2)通用。ISO 31000:2018提供了一种通用的方法来管理任何类型的风险,并非面向某一具体的行业,也不是面向某种类型的风险。
(3)全生命周期。ISO 31000:2018可以在组织的整个生命周期中使用。
(4)任何活动。ISO 31000:2018可以应用于组织的任何活动,包括各种层次的决策活动。
2.2.2.1 ISO 31000:2018的框架
图2-3是ISO 31000:2018的框架图,该图提炼了该标准的主要内容。ISO 31000:2018的全文都是围绕着这个“三轮车”图来展开论述的。图中用分别称为原则轮、框架轮和过程轮的三个圆形图表示该标准的原则、框架和流程。
在图2-3的三个轮中,原则轮核心内容为“创造和保护价值”,体现八大原则;框架轮核心内容为“领导力与承诺”,包含五个过程;过程轮中则包含六个环节。
图2-3 ISO 31000:2018的框架图
2.2.2.2 风险管理的原则
图2-4概述了ISO 31000风险管理的八大原则。这些原则是管理风险的基础,应在建立组织的风险管理框架和流程时予以考虑,使组织能够管理不确定性对其目标的影响。这8大原则分别是:整合的、结构化和综合性、定制化、兼容性、动态的、信息利用、人员文化因素和持续改进,最核心的内容为“创造和保护价值”。
图2-4 ISO 31000风险管理原则
八大原则进一步解释如下。
1.整合的
整合的,是指风险管理是所有组织活动的组成部分,必须整合到组织管理活动中,而不是单独存在。
2.结构化和综合性
结构化和综合性,是指风险管理的结构化和综合性方法有助于获得一致和可比较的结果。风险管理的结构化原则,体现在必须包括若干职责清晰的风险管理过程,这些过程综合在一起,共同实现风险管理。
3.定制化
定制化,是指风险管理框架和流程是根据组织与其目标相关的外部和内部环境定制的,并与其相适应。风险管理的框架和流程必须与组织的内部环境和外部环境相适应,体现组织的特殊性,符合组织的目标。
4.兼容性
兼容性,是指利益相关方及时、恰当地参与到风险管理中,使他们的知识、观点和看法在风险管理中被认真考虑。这样,使得所有人的风险管理意识得到提高,风险管理的信息也更为全面。
5.动态的
动态的,是指随着组织内部和外部环境的变化,风险可能会出现、变化或消失。风险管理会以适当的方式及时预测、检测、承认和响应这些变化和事件。
6.信息利用
信息利用,是指风险管理是基于历史和当前的信息,以及对未来的预期,要明确考虑到与这些信息和期望相关的任何限制和不确定性。信息应及时、清晰地提供给相关的利益相关方。如果信息不及时或者信息不完整,甚至信息有错误,都会影响利益相关方的风险的判断。
7.人员文化因素
人员文化因素,是指风险管理与人的素质、意识、教育等息息相关,还与社会环境的约束有关。因此,风险管理受人员文化因素的影响。
8.持续改进
持续改进,是指通过学习和实践不断提高风险管理水平。持续改进符合PDCA(计划、执行、检查、处理)原则,即通过迭代逐步提高风险管理水平。
2.2.2.3 风险管理的框架
图2-5说明了ISO 31000风险管理框架的组件。风险管理的有效性取决于是否将风险管理纳入组织治理和决策过程中。所以想要让风险管理产生效果,形式上要在组织治理层面考虑风险管理,内容上要支持组织的各类决策行为。这需要利益相关方,特别是最高管理层的支持。风险管理提高了绩效,鼓励创新并支持实现目标,实现目标必须有合理的框架做支撑。在ISO 31000中,风险管理框架的核心是“领导力和承诺”,包含整合、设计、实施、评价和改进五个过程。
图2-5 ISO 31000风险管理框架
1.领导力和承诺
领导力和承诺是风险管理框架的核心。在标准中制定了领导层的职责及应该有的承诺。领导重视是第一要务,推动风险管理工作的责任方是最高管理层。在适当的情况下,还需要有监督机构负责监督风险管理,监督最高管理层将风险管理融入组织所有活动。
2.整合
风险管理框架的第一个过程是整合。风险管理框架的目的是协助组织将风险管理纳入重要的活动和职能。组织架构中的每个部分都需要进行风险管理,组织中的每个人都有责任管理风险。而整合的意义就在于,使得风险管理成为组织目的、治理、领导力和承诺、战略、目标和运营的一部分,而不是相互分离。说到底,就是明确在组织中随时随地都不能忘了风险管理。
3.设计
风险管理框架的第二个过程是设计。
在设计风险管理框架时,组织应该检视并理解其内部和外部环境。
高级管理层和监督机构在适当情况下应通过政策、声明或其他形式清楚地表达组织的目标和对风险管理的承诺,并把承诺传达给内部和利益相关方。
设计的第三个内容是分配角色、权限和职责,并强调风险管理和核心责任。
第四个内容是分配资源,包括:人员、技能、经验和能力,组织用于风险管理的流程、方法和工具,记录过程和程序,信息和知识管理系统,专业发展和培训需求。
组织在设计阶段还应建立一个经过批准的沟通与咨询方法。其内容应反映相关利益方的期望。
4.实施
风险管理框架的第三个过程是实施。组织应当制定适当的计划,包括时间表和资源配置;在整个组织内,确定在什么地点、什么时间、由谁来进行不同类型的决策;在必要时调整适用的决策程序;确保组织的风险管理安排得到清晰的理解和实施。
框架的成功实施需要利益相关方的参与和了解。这使组织能够明确地应对决策中的不确定性,同时确保在出现任何新的不确定性时可以将其考虑在内。通过正确地设计和实施风险管理框架,可以确保风险管理流程是整个组织所有活动(包括决策)的一部分,并将充分反映内外部环境的变化。
5.评价
风险管理框架的第四个过程是评价。为了评价风险管理框架的有效性,组织应当根据风险管理框架的目的、实施计划、指标和预期行为定期衡量风险管理框架的绩效;确定其是否仍然适合支持实现组织的目标。
6.改进
风险管理的第五个过程是改进,改进包括两个方面。
一是适应性:组织应不断监视和调整风险管理框架,以适应外部和内部变化。这样做,组织可以提高其价值。
二是持续改进:组织应持续改进风险管理框架的适宜性、充分性和有效性,以及改进风险管理流程的整合方式。
一旦相关差距或改进条件已经确定,组织应制定计划和任务,并将其分配给负责实施的人员。这些改进措施一旦实施,应有助于加强风险管理。
2.2.2.4 风险管理的过程
ISO 3100风险管理过程如图2-6所示。风险管理过程应该成为管理和决策的一个组成部分,并融入组织的结构、运作和流程中。它可以应用于战略、运营、计划或项目层面。组织内部可以有很多风险管理流程的应用,这些应用是为实现目标而定制的,并适合它们所应用的外部和内部环境。在整个风险管理过程中,应考虑人类行为和文化的动态性和变化性。
虽然风险管理过程通常表现为按顺序的,但实际上是迭代的。风险管理过程包括以下六个环节。
图2-6 ISO 31000风险管理过程
1.范围、环境、准则
风险管理过程的第一个环节是范围、环境、准则。该环节的目的是有针对性地设置风险管理流程,实现有效的风险评估和适当的风险处置。范围、环境、准则涉及确定流程的范围,并了解外部和内部的背景。
这个环节中要确定风险准则。相对于目标而言,组织应该明确承担风险的数量和类型。还应该定义评估风险重要性水平和支持决策过程的准则。风险准则应与风险管理框架相一致,并根据具体活动的目的和范围进行针对性的设计。风险准则还应反映组织的价值观、目标和资源,并与风险管理的政策和声明保持一致。根据组织的义务和利益相关方的考虑来定义准则。
2.风险评估
风险管理过程的第二个环节是风险评估。风险评估是风险识别、风险分析和风险评价的整个过程。风险评估应该利用利益相关者的知识和观点,系统地、迭代地和协作地进行。它应该使用最好的可用信息,并在必要时辅以进一步的调查。
风险识别的目的是发现、识别和描述可能有助于或妨碍组织实现目标的风险。
风险分析的目的是理解包括风险水平在内的风险性质和特征。风险分析涉及对不确定性、风险源、后果、可能性、事件、情景、控制及其有效性的详细考虑。
风险评价的目的是支持决策。风险评价涉及将风险分析的结果与既定的风险准则进行比较,以确定需要采取何种应对措施。
3.风险处置
风险管理过程的第三个环节是风险处置。风险处置的目的是选择和实施处置风险的选项。风险处置涉及以下迭代过程:制定和选择风险处置方案、规划和实施风险处置、评估处置的有效性、确定残余风险是否可接受来不断反复优化,直至将风险降低到用户可接受的水平范围内。
选择最合适的风险处置方案,强调的是成本收益之间的一种经济平衡,同时还应该考虑到组织的义务、自愿承诺和利益相关方的观点。
4.沟通与咨询
风险管理过程的第四个环节是沟通与咨询。沟通与咨询的目的是协助利益相关方理解风险,做出决策的依据,以及需要采取特定行动的原因。沟通旨在促进对风险的认识和风险意识,而咨询涉及获取反馈和信息以支持决策。两者之间的密切协调应该促进真实的、及时的、实质性的、准确和可理解的信息交换,同时考虑到信息的保密性和完整性,以及个人的隐私权。
从风险管理框架的设计阶段到风险管理过程的起始,ISO 31000始终强调沟通与咨询的重要性,特别是和利益相关方的沟通与咨询,这些都是风险管理工作开展的基础。利益相关方的诉求对设计整个风险管理框架和制定风险管理范围、评估标准都具有参考意义。而且在整个风险管理流程中,都要与利益相关方保持一定的沟通与咨询。
5.监视与评审
风险管理过程的第五个环节是监视与评审。监视与评审的目的是确保和改进过程设计、实施和结果的质量和有效性。对风险管理过程及其结果的持续监视和定期评审应该是职责明确的风险管理过程部分。监视与评审应该在过程的所有阶段进行。监视与评审过程包括规划、收集和分析信息,记录结果和提供反馈。其结果应纳入整个组织的绩效管理、衡量和报告活动中。
6.记录和报告
风险管理过程的第六个环节是记录和报告。应通过适当的机制记录和报告风险管理过程及其结果。记录和报告的目的是:在整个组织内传达风险管理活动和结果;为决策提供信息;改进风险管理活动;协助与利益相关方的互动,包括对风险管理活动负责任人员和有职责的人员。
2.2.3 新旧版本标准比较
图2-7是ISO 31000:2009的“三框图”框架,与图2-3所示的“三轮车”框架相比较,可以发现两者有着明显的不同。
图2-7 ISO 31000:2009的“三框图”框架
对ISO 31000进行修订的主要出发点是:昔日的风险管理经验对于应对今天的威胁未必是合适的,因此需要不断升级。从篇幅上看,新版风险管理标准比第一版共减少了7页,缩减了将近三分之一。国际标准化组织(ISO)一直宣称,ISO 31000:2018的修订使风险管理标准更简洁、更清晰,更利于理解和运用,具体表现在以下方面。
(1)原则部分:重新审阅了所有的风险管理原则,由11项原则缩减为8项,这些原则是风险管理是否能够取得成功的关键。ISO 31000:2009(图2-7)的原则仅指向框架中的指令和承诺,没有指向过程;但是ISO 31000:2018(图2-3)的原则已经指向了框架和过程。
(2)框架部分:重点强调了高级管理层的职责,以及各项管理活动整合的重要性,应确保风险管理从组织管理开始纳入所有组织活动中。在ISO 31000:2018(图2-3)的框架中,领导力和承诺是框架的核心;而在ISO 31000:2009(图2-7)的框架中,领导力和承诺是切入点,没有成为核心。
(3)流程部分:强调了对范围和标准的定义,以及对于记录与报告的突出。更加强调风险管理工作的迭代性质,提示了在每一个流程环节,利用新的经验、知识和分析对流程要素、方案和控制的修正。
(4)整体上看:新版示意图更能体现原则、框架、过程三者之间的相互作用关系。精简内容,更加注重维持开放系统模式,定期与外部环境交换反馈,以适应多种需要和背景。