專家解讀 | 一文讀懂ISO 31000:2018風險管理指南

2022年10月12日國家市場監督管理總局、國家標準化管理委員會發布GB/T 24353-2022《風險管理指南》，該標準等同采用ISO 31000 :2018《風險管理指南》。

ISO 31000新舊版對比

ISO 31000:2009 風險管理的原則、框架和過程及其之間的相互關系

ISO 31000:2018 風險管理的原則、框架和過程及其之間的相互關系

ISO 31000:2018原則、框架、過程“三輪車圖”與ISO 31000:2009 “方框圖”相比表現形式變化明顯，新版用三個圓形分別表示了原則、框架和過程。

——“原則輪”核心內容為“創造與保護價值”，另外有八項原則。

——“框架輪”核心為“領導力與承諾”，包含五個步驟：整合、設計、實施、評價、改進，這個框架遵循PDCA循環。

——“過程輪”包含了：對范圍、背景和標準的定義，風險評估的主流程——風險識別、風險分析、風險評價，風險應對，溝通與咨詢，監控與評價，以及記錄與報告。這些要素形成一個閉環流程。

ISO 31000:2018與ISO 31000:2009相比：

——風險管理原則由11項原則縮減為9項，突出了“整合”的風險管理原則，注重“價值創造與保護”這一核心原則和目的，明確將組織的風險管理工作聚焦到創造和保護價值。

——框架部分，仍然采用PDCA模型，但強化了“領導力與承諾”的核心作用，明確領導層在整個風險管理工作中的角色和職責；增加了“整合”這一環節，從組織治理層面著眼，強調風險管理與各項管理活動的整合。

——“原則輪”與“過程輪” 相互作用，強調風險管理原則要嵌入到風險管理過程之中。

——“記錄與報告”被列為風險管理“過程輪”的一部分，貫穿于整個風險管理過程。

——更加強化了風險管理工作的迭代性質，提示了在每一個流程環節，隨著新的實踐、知識和分析能力下對流程要素、方案和控制的修正。

——為了滿足多樣化的需求，保持一個更加開放和包容的系統，精簡了一部分內容。

ISO 31000的作用

ISO 31000向組織提供了一個開發、實施和持續改進風險管理的框架及方法，幫助組織實現有效的風險管理，從而為組織的決策和運營以及有效應對突發事件提供支持。

有效的風險管理能夠改善組織績效、鼓勵創新、支持組織實現目標。通過在組織中實施和整合管理風險過程，還可以獲得以下好處：

——為相關方提供持續的、一致的和可靠的信息；

——更加清晰、知情的決策；

——快速發現、捕獲以及響應機會與風險；

——更高效地使用和分配資金和其他資源；

——減少損失的可能性和影響；

——更低的合規/審核成本；

——通過使用風險信息，簡化和改進過程，節約成本，提高運行效率。

ISO 31000的適用性

ISO 31000不是管理體系標準，不用于認證，但組織可依據該標準進行自評或委托第二方開展成熟度評估。

ISO 31000適用于任何形式的組織，包括任何公共、私有或社會企業、協會、團體或個人，也適用于組織全生命周期的任何活動，包括所有層級的決策制定、活動、流程、項目、產品、服務和業務等。

很多企業已經建立了質量管理體系、環境管理體系、職業健康安全管理體系，有些還建立了資產管理體系、信息安全管理體系，有些正在考慮建立合規管理體系、業務連續性管理體系。這些管理體系幫助企業識別和管控到了某些方面的風險，并不能做到全面風險管理，而ISO 31000提供了一個風險管理的框架和方法。

企業依據ISO 31000建立適合自身的風險管理框架，將風險管理原則及實施流程整合入各項活動中，包括治理、戰略、策劃、管理、報告等經營活動，同時也將風險管理文化嵌入到組織文化和實踐中，通過系統地識別風險，開展專業風險分析與評估，制定與采取風險應對措施，幫助組織實現有效的風險管理，從而支持組織實現目標。

SGS可以提供哪些ISO 31000相關服務？

● 風險管理體系培訓：講解ISO 31000基本框架、流程，風險的識別、分析和評價方法，風險管理體系建立以及與現有管理體系整合。

● 風險管理體系建立輔導：依照ISO 31000原則、框架和流程，協助企業建立風險管理體系。

● 風險管理體系成熟度評估：對企業風險管理體系進行成熟度評估，協助企業發現改進機會。