iso31000风险管理标准(中文版) (2)

iso31000风险管理标准(中文版) (2) ISO31000风险管理标准(中) 期:2009-7-29 者:ISO 来:本理 风险管理——原与实施准 1、适 本标准制定风险管理的原与通的实施准。本标准适于任、有、协、团个人。因此，这一标准是通的，不局限于特定行部。为于述，本标准有不同的对都为组织。 本标准应于组织的个过程，以及一的动、程、能、、、、、和决策。本标准提 通的准，但并不建有组织实行一的风险管理。风险管理的设计和实施取决于特定组织的不同需要、组织特定的标、、组织、、、程和。 本标准协与一有的和来的风险管理标准。本标准提一个通的处理风险/部的方法，但并不是取标准。 此外，本标准不于认。 2、 本标准以下。的标有期，有的本适。 1 ISO / IEC73 ，风险管理—— 3 和定 本采ISO / IEC73出的和定。 4 风险管理的原 为达到的效益，组织的风险管理应以下原: a )风险管理价值。 风险管理有助于标的实和进，如，人和、法和法、认同、环境保护、、、效、 理和。 b )风险管理是组织进程中不可分的组部分。 风险管理是管理责中的一部分，同有、管理程一是组织进程中不可分的一部分。风险管理不是与组织要动和组织进程分的立动。 c )风险管理是决策的一部分。 风险管理有助于决策者出的。风险管理有助于确立方以及对方的判断。后，风险管理有助于决策者确定风险的可接程度以及风险处理的理与有效。 d )风险管理确不确定达出来。 风险管理可以处理决策中的不确定、不确定因，以及这不确定如达。 e )风险管理应、、及。 、及、的风险管理方法有助于提效和可持，可靠。 )风险管理于信息的有效程度。 f 风险管理需的信息来于如、、观、和的判断。但是，决策者应考虑到据的局限以及 分的可能。 g )风险管理应适应组织。 风险管理应组织的外部、内部环境和风险状况。 h )风险管理应考虑人和因。 风险管理应考虑外部和内部人的能、观点和，这因可以促进组织标的实。 i )风险管理应是的、包的。 风险管理应包括利益相关者，组织的决策者，以确保风险管理的相关并及。利益相关者对风险管理提出自己的观点，在风险标准的确定中应考虑他们的。 j )风险管理应是动的、的以及适应的。 由于内部和外部的不断、和知识的不断、和的出、风险的，以及一影响因的。因此，组织应保持风险管理的并及响应。 k )风险管理应不断善和。 组织应当制定和实施，来完善组织方的风险管理。风险管理提进一的信息。 5 风险管理 5.1概述 要取得，风险管理应在一个风险管理内，提基础和组织，并于个组织的个。通过在组织个，根据况应风险管理过程(6)，助组织有效的管理风险。应确保来自这过程的风险信 息是准确的，以及决策是以信息为基础制定的，并确相关组织的责任关。 这一述风险管理的组部分，以及们的相关(如图2)。 5.2 任和 5.3风险管理设计 5.3.1解组织及 5.3.2 风险管理策 5.3.3 组织过程 5.3.4 责任 5.3.5 5.3.6 建立内部沟通与制 5.3.7 建立外部沟通与制 5.6 持善 5..4 实施风险管理 5.4.1实施风险管理 5.4.2实施风险管理过程 5.5 与 图2 风险管理的组部分 这个不是述一个管理，是协助组织风险管理到个管理中。因此,组织应根据自己的需求来确定的组 部分。 如果组织有的管理施和程中已包部分风险管理的组部分，者组织已采应对特定风险状况的风险管理，这，组织应以本标准为基准，和评估自身的不。 5.2 任和 风险管理的并确保持的有效，需要组织和持的，以及在的度的划。管理应到: ——确达并认同风险管理策; ——确定风险管理效标，并使组织的效标; ——确保风险管理的标与组织的标和一; ——法和法; ——确管理责任，责任适当的分到组织; ——确保必要的分风险管理; ——利益相关者传达风险管理的益处; ——确保对风险的管理是适的。 5.3 风险管理设计 5.3.1 解组织及环境 在设计、实施风险管理的，解组织外部与内部环境是重要的，因为这对风险管理的设计影响非常。 组织外部环境包括如下几个方，但并不局限于此: ——、、法、、、、、自环境以及环境，是、内、方; ——影响组织标的要动因和; ——外部利益相关者的观点和价值观。 组织内部环境包括如下几个方，但并不局限于此: ——与知识的理解能(如:本、、人、程、和); ——信息、信息动以及决策过程(包括正式和非正式的); ——内部利益相关者; ——策，为实的标及; ——观念、价值观、; ——组织通过的标准以及考; ——(如:理、角、责任)。 5.3.2 风险管理策 风险管理策应确达组织的标，以及对风险管理的，如下: ——风险管理策、组织标以及策的; ——组织风险管理的理由; ——风险管理的责 ; ——处理利益的方式; ——组织的风险风险; ——风险管理的程、和方法; ——支持风险管理的; ——和风险管理果的式; ——定期和实风险管理策和，并不断善; ——适当的沟通交风险管理策。 5.3.3 组织程 风险管理应到组织动与程中，使保持相关、有效效。风险管理过程应为组织过程中的一部分，不是 。特别是，风险管理应到策制定、商和划、以及管理程的中。 组织应有一个及个组织的风险管理计划，以确保风险管理策的实施和风险管理到组织的动和程中。 5.3.4 责 组织应确保风险管理的责与利，包括风险管理的实施与护，并确保够的风险制及有效。以下施有助于此: ——定风险管理的制定、实施和护的责任人; ——定风险应对、风险制和风险信息的责任人; ——建立效评估、内部和外部，并对程进行; ——确保适当的认可、、考和制。 5.3.5 组织应制定实可行的方法，为风险管理适当的。应考虑以下内: ——人、能、和能; ——风险管理过程中每个需要的; ——记录在的过程和程; ——信息和知识管理。 5.3.6 建立内部沟通与制 组织应建立内部沟通与制，应确定以下内: ——对风险管理的关组部分，以及后的任进行适当的沟通; ——确保够的内部，并确保是有效和有果的; ——来于风险管理过程中的相关信息在一定程度是有效的; ——内部利益相关者。 这制应包括组织内部风险信息的来，并保持对风险信息的。 5.3.7 建立外部沟通与制 组织应制定并实施如与外部利益相关者进行沟通的计划。应包括: ——适当外部利益相关者，并确保有效的进行信息交; ——外部法法、管和理的要求; ——法定信息; ——提沟通和的和; ——在组织中通过沟通建立信任; ——状况与利益相关者进行沟通。 5.4 风险管理实施 5.4.1风险管理实施 在风险管理的实施中，组织应到: ——确定行风险管理的理与; ——适于风险管理策和程的组织程; ——法和法的要求; ——决策标的制定应与风险管理的应效果一; ——信息、交和相关的; ——与利益相关者沟通以确保风险管理适。 5.4.2 风险管理实施程 风险管理的实施必须确保6述的风险管理程应于组织有相关，这是组织的能一，是组织的必要组部分。 5.5 与 为确保风险管理的有效和对组织的持支持，组织应: ——建立效评估; ——定期风险管理进况以及风险管理计划的程度; ——定期风险管理、策、及计划是适于组织的内部与外部环境; ——风险应须包风险述、风险管理计划的进度和风险管理策的程度; ——风险管理的有效。 5.6 持善 根据果，决定如善风险管理的、策、及计划。这决策有助于风险管理和风险管理的善，使组织得到提。 6 风险管理过程 6.1 概述 风险管理过程是管理不可分的一部分，应到组织的和动中，并与组织的程相适应。包括从6.26.7 述的动。风险管理过程包括个动:沟通与协商、确定环境状况、风险评估、风险处理、与，如图3。这动记 录风险管理的过程，述如下。 6(4 风险评估 6(2 沟 通 与 协 商 6(6 与 6(3 确定环境 6(4(2 风险识别 6(5风险处理 6(4(3风险分析 6(4(4风险评价 图3 风险管理过程 6.2 沟通与协商 在风险管理过程中的每一个阶段，都需要与内部、外部利益相关者进行沟通与协商。因此，应在初期阶段建立与内部、外部利益相 关者沟通和协商的计划。这个计划应提出风险本身的问题、后果(如果已知)以及处理方法。 组织通过内部、外部有效的沟通与协商，确保风险管理实施责任人和利益相关者能够理解决策的基础以及必须采取特别行动的原因。 团队协商的方式有助于如下几点: ——有助于风险环境状况的确定; ——确保利益相关者的利益得到理解和考虑; ——从不同的角度分析风险; ——有助于风险的正确识别; ——有助于风险评估中不同的观点被考虑进来; ——在风险管理过程中，促进管理的完善; ——使实施计划得到拥护和支持; ——制定适当的内部以及外部的沟通和协商计划。 与利益相关者进行沟通与协商是非常重要的，因为他们可以根据自己的风险认知对风险进行判断。他们对风险的认知取决于他们的 价值观、需求、设想、观念和对利益相关者的考虑。由于他们的观点对决策有着深远的影响，因此在决策过程中确认、记录并考虑利益 相关者的看法是非常重要的。 沟通和协商计划应包括如下几点，但并不局限于此: ——与利益相关者交换信息; ——诚实、准确、直接、可靠的传达信息; ——评估贡献的价值。 6.3 确定环境 6.3.1 概述 6.3.2 确定外部环境 6.3.3确定内部环境 6.3.4 确定风险管理过程环境 6.3.5制定风险标准 6.4风险评估 6.4.1概述 6.4.2风险识别 6.4.3风险分析 6.4.4风险评价 6.5风险处理 6.5.1概述