企航顾问ISO31000全面风险管理服务

2022/06/07

在企业管理的各个环节和经营过程中，企业会面临各种各样的风险，包括战略风险、财务风险、市场风险、运营风险、法律风险等。为了管理风险，企业需要在识别风险的基础上，对风险加以分析及评定，并根据它们的风险程度高低制定并执行相应不同的应对控制方案。

ISO 31000提供了一种普遍适用的风险管理总体框架和管理风险的指导方针，可以定制给任何组织及其环境，供那些在组织中通过管理风险、做出决策、确定和实现目标以及提高绩效来创造和保持价值的人使用。ISO 31000可以在组织的整个生命周期中使用，并且可以应用于任何活动，包括所有级别的决策。ISO 31000还提供了一种管理任何类型风险的通用方法，而不是行业或部门特定的风险。

封面.jpg

一、ISO 31000总体框架

ISO31000:2018总体框架形似一个“三轮车”，三个轮子分别表示风险管理的原则、框架和流程。

【图1】ISO31000的三轮框架.png

原则轮中，最核心的内容为“价值的创造和保护Value Creation and Protection”，体现为八个原则：

1、整合的 Integrated；
2、结构化和全面性 Structured and Comprehensive；
3、定制化 Customized；
4、包容性 Inclusive；
5、动态的 Dynamic；
6、有效信息利用 Best Available Information；
7、人员与文化因素 Human and Cultural Factors；
8、持续改进 Continual Improvement。

框架轮中，最核心的为“领导力与承诺Leadership and Commitment”，体现为五个步骤：

1、整合 Integration；
2、设计 Design；
3、实施 Implementation；
4、评价 Evaluation；
5、改进 Improvement。

流程轮中，包含了：

1、对范围、背景和标准的定义 Scope、Context、Criteria；
2、风险评估的经典流程-风险识别、风险分析、风险评价 Risk Assessment：Risk Identification、Risk Analysis、Risk Evaluation；
3、风险应对 Risk Treatment；
4、风险记录与报告 Recording & Reporting；
5、沟通与咨询 Communication & Consultation；
6、监控与评价 Monitoring & Review。

这个三轮车图提炼了整个ISO31000风险管理标准的所有内容，标准的全文都是围绕着这个三轮车图来展开论述的。

ISO31000风险管理标准的发展历史：

1、2002年1月，ISO发布ISO/IEC GUIDE 73:2002《风险管理词汇标准使用指南 Risk management — Vocabulary — Guidelines for use in standards》

2、2009年11月，ISO/TC262（国际标准化组织风险管理技术委员会）发布ISO 31000:2009《风险管理原则和指南Risk management — Principles and guidelines》

3、2018年2月，ISO/TC262发布ISO 31000:2018《风险管理指南Risk management — Guidelines》

ISO 31000风险管理系列标准：

1、ISO GUIDE 73:2009《风险管理词汇 Risk management — Vocabulary》

2、ISO/IEC 31010:2019《风险管理风险评估技术Risk management — Risk assessment techniques》

3、ISO/TR 31004:2013《风险管理 ISO 31000实施指南 Risk management — Guidance for the implementation of ISO 31000》

4、ISO 31022:2020《风险管理法律风险管理指南 Risk management — Guidelines for the management of legal risk》

……

二、ISO 31000风险管理原则

风险管理的目的是创造和保护价值。管理风险能够提升绩效、鼓励创新并为组织目标的实现提供支持。基于创造和保护价值的目的，ISO 31000建立了高效并且有效地实施风险管理的八项原则。风险管理原则是管理风险的基础，组织在建立风险管理框架和流程时应当加以考虑。具体的风险管理原则及其释义如下：

【图2：原则】.png

1、整合的（Integrated）：风险管理是组织所有活动的组成部分；

2、结构化和全面性（Structured and Comprehensive）：结构化和全面性的风险管理方法有助于获得一致和可比较的结果；

3、定制化（Customized）：风险管理框架和流程是定制化的，以适应与组织目标相关的外部和内部环境；

4、包容性（Inclusive）：利益相关方的适当、及时参与能够使他们的知识、观点和看法得到考虑，这可以使相关方提高风险管理意识并明智地管理风险；

5、动态的（Dynamic）：随着组织内部和外部环境的变化，风险可能会出现、变化或消失。风险管理应当以适当和及时的方式预测、监控、确认和响应这些变化和事件；

6、有效信息利用（Best Available Information）：风险管理的输入是基于历史的和当前的信息，以及对未来的期望。风险管理明确地考虑与此类信息和期望相关的任何约束和不确定性。信息应及时、清晰、可供相关利益相关方使用；

7、人员与文化因素（Human and Cultural Factors）：人类行为和文化在每个层面和阶段都显著地影响着风险管理的各个方面；

8、持续改进（Continual Improvement）：通过学习和经验积累，不断提高风险管理水平。

三、ISO 31000风险管理框架

风险管理框架的目的是帮助组织将风险管理整合到重要的活动和职能中。风险管理的有效性取决于它是否被纳入组织治理和决策中，这需要来自利益相关方尤其是高层管理人员的支持。ISO 31000:2018的框架强化了领导层的职责和整合的重要性，核心是领导力与承诺，明确高级管理层和监督机构应确保风险管理融入组织所有活动。

【图3：框架】.png

框架开发包括整合、设计、实施、评价和改进整个组织的风险管理。组织应评价其现有的风险管理实践和流程，评价任何差距并解决框架内的这些差距。框架的组成部分和它们共同工作的方式应该根据组织的需要进行定制。

1、整合（Integration）：风险管理应该是组织目标、治理、领导力和承诺、战略、目标和运营的一部分，而不是相互分离。组织结构的每一个部分和每一个层级都要进行风险管理，组织中的每个人都有管理风险的责任，而合理确定组织内的风险管理责任和监督职责是组织治理的组成部分。将风险管理整合到组织中是一个动态的、迭代的过程，并且应该根据组织的需要和文化进行定制。

2、设计（Design）：在设计风险管理框架时，组织首先应调查和理解其外部和内部环境；其次，最高管理层和监督机构以声明或其他形式，明确地传达组织目标和风险管理承诺；第三，最高管理层和监督机构应确保在组织所有层级分配风险管理角色，并明确其职责和权限；第四，最高管理层和监督机构应确保为风险管理分配适当的资源；最后，组织应建立沟通和咨询渠道，以支持风险管理框架并促进风险管理的有效应用。沟通包括与目标受众分享信息，咨询包括参与者期望对组织决策和其他活动作出贡献，以便更好地为决策反馈信息。沟通和咨询应当及时进行，确保相关信息的收集、整理、汇总和适当共享，以及提供反馈并进行改进。沟通和咨询的方法和内容应反映利益相关方的期望。

3、实施（Implementation）：风险管理的成功实施需要利益相关者的参与和理解。组织在实施风险管理框架过程中应该：

——制定适当的计划，包括时间安排和资源配置；

——识别组织在何处、何时以及如何作出不同类型的决策；

——在必要时修改适用的决策程序；

——确保组织管理风险的安排被清楚地理解和实践。

适当地设计和实施风险管理框架，将确保风险管理过程是整个组织中所有活动（包括决策制定）的一部分，并且将充分考虑到外部和内部环境的变化。

4、评价（Evaluation）：为了评估风险管理框架的有效性，组织应根据目标、实施计划、指标和预期行为，定期衡量风险管理框架的绩效，以确定它是否仍然能支持组织目标的实现。

5、改进（Improvement）：组织应持续监测和调整风险管理框架，以应对外部和内部变化。如此，组织可以提高其价值。在此基础上，组织应不断改进风险管理框架的适用性、充分性和有效性，以及风险管理流程的整合方式。当发现相关的差距或改进机会时，组织应制定计划和任务，并将其分配给负责实施的人员。一经实施，这些改进应该有助于加强风险管理的作用。

四、ISO 31000风险管理流程

风险管理流程涉及到系统的应用政策、程序和实践，通过沟通和咨询活动，建立环境和评估、处理、监控、审查、记录和报告风险。风险管理流程应当是管理和决策制定的组成部分，并融入到组织的结构、运营和流程中。它可以应用于战略、业务、计划或项目层面。虽然风险管理流程通常是按顺序呈现的，但实际上它经常是循环往复地进行。

【图4：流程】.png

1、沟通与咨询（Communication & Consultation）：沟通和咨询的目的是为了帮助利益相关方理解风险、明确决策的基础以及需要采取特定行动的原因。沟通旨在提高对风险的认识和理解，而咨询涉及到获得反馈和信息以支持决策。两者之间的密切协调应促成真实、及时、相关、准确和可理解的信息交流，同时考虑到信息的保密性和完整性以及个人的隐私权。在风险管理流程的所有步骤以及整个过程中，应与适当的外部和内部利益相关方进行沟通和咨询。

2、范围、环境和标准（Scope、Context、Criteria）：确定范围、环境和标准的目的是有针对性地设置风险管理流程，从而有效地评估风险和恰当地应对风险。

1）、首先，组织应确定其风险管理活动的范围。由于风险管理过程可以在不同层级（例如，战略、运行、方案、项目或其他活动）应用，因此必须明确所考虑的范围、要考虑的相关目标以及它们与组织目标的一致性。
2）、其次，建立风险管理流程的外部和内部环境。内外部环境是组织制定和实现目标的基础，风险管理流程的背景应该建立在对组织运营的内外部环境的理解之上，并应反映风险管理流程中适用活动的具体环境。
3）、第三，定义风险标准。组织应明确与目标相关的风险的数量和类型，还应该定义评估风险重要性和支持决策过程的标准。风险标准应与风险管理框架保持一致，并根据相应活动的具体目的和范围进行定制。风险标准应反映组织的价值观、目标和资源，并与风险管理的政策和声明保持一致。标准的定义还应该考虑到组织的义务和利益相关方的观点。

3、风险评估（Risk Assessment）：风险评估是风险识别、风险分析和风险评估的整个过程。风险识别的目的是发现、识别和描述可能有助于或妨碍组织实现目标的风险。风险分析的目的是理解包括适当的风险水平在内的风险性质及其特征。风险分析涉及对不确定性、风险来源、后果、可能性、事件、场景、控制及其有效性的详细考虑。风险评估的目的是支持决策。风险评估涉及将风险分析的结果与已确定的风险标准进行比较，以确定需要采取哪些额外行动。

4、风险应对（Risk Treatment）：风险应对的目的是选择和实施应对风险的方案。风险应对涉及以下迭代过程∶制定和选择风险应对方案——风险应对方案的规划和实施——评估应对的有效性——决定剩余风险是否可接受——如果不能接受，采取进一步的应对。

5、监督与审查（Monitoring & Review）：监督和审查的目的是保证和提高流程设计、实施和结果的质量和有效性。对风险管理过程及其结果的持续监控和定期审查应是风险管理流程中计划的一部分，其职责应明确界定。流程的所有阶段均应被监督和审查。监督和审查包括计划、收集和分析信息、记录结果并提供反馈。监督和审查的结果应纳入整个组织的绩效管理、计量和报告活动。

6、记录与报告（Recording & Reporting）：组织应通过适当的机制来记录和报告风险管理的流程和结果。记录和报告旨在∶在整个组织内传达风险管理活动和成果；为决策提供信息；改进风险管理活动；协助与利益相关方的互动，包括对风险管理活动负责的人。

五、ISO 31000的收益

1、最高管理层

ISO 31000:2018强调了对组织价值创造的贡献，在公司治理层面突出了最高管理层对此项工作的职责，提供了明确的职责清单。并且有迹象显示，企业风险管理的好坏有可能会成为未来检验企业管理能力和有效性的一项非常重要内容。从内外部环境来看，这些都将有助于推动高级管理层在更好的履行风险管理职能的同时，更加重视企业的风险管理工作。

2、以风险管理、内控部门为首的第二道防线

以往的风险管理职能在定位上会有一定的灰色地带，ISO 31000:2018突出了最高管理层的风险管理职责，推动职责的落实和实施，自然也就会带动相关风险管理职能部门的上位，所以会对第二道防线的风险管理职能部门有一定推动作用。

3、内部审计部门为主的第三道防线

“风险导向”的内部审计是近些年来内部审计工作发展的主要方向之一，那么如何更好的帮助企业建立一套有效的风险管理体系也是内部审计的职责所在。一个拥有良好风险管理能力的企业和一个较差风险管理能力的企业，其审计风险的高低不言而喻。

六、ISO 31000的适用范围

ISO 31000为风险管理提供了一个纲领性的文件，也是任何组织、任何类型、全寿命周期、任何活动都应该遵循的风险管理工作指南。

ISO 31000明确提出了风险管理的基本原则、风险管理的框架和风险管理过程，但是ISO 31000是风险管理指南，不是风险管理体系要求或指南，企业并不能通过对风险管理指南和系列标准的学习指导如何搭建全面风险管理体系，尤其是如何进行全面风险的识别、分析和评价。

七、企航顾问风险管理案例

一、企航顾问提供的风险管理的服务项目