ISO31000-2009风险管理原则与实施指南解读.doc

ISO31000-2009风险管理原则与实施指南 引 言 所有类型和规模的组织都面临内部和外部使不能确定是否及何时实现其目标因素影响。这种不确定性对组织目标的影响是“风险”。组织的所有活动都涉及风险。组织通过识别、分析评风险处理风险以满足们的风险。这个过程，们与利益相关沟通协商，监测和风险，风险。本标准详细描述了这一系统的和逻辑的过程。尽管所有的组织在某种程度上都在管理风险，本标准了风险管理变得有效原则。本标准建议，组织制定实施和框架，其目的是将风险管理到组织的治理战略和规划管理报告价值观和文化。风险管理可以多领域和层次任何时间应用到整个组织，以及具体职能项目和活动。尽管在过去段时间许多，满足不同的需要，但综合框架采用一致性有助于确保有效有效和。本标准在任何和下系统、清晰、可靠的方式管理风险原则和。每一个具体或风险管理的应用都产生了自的需受众观念和。因此，国际标准的主要特点将管理过程开始的活动。将捕获组织的目标，所追求目标的环境，的利益相关和风险的多样性，所有这些都将帮助揭示和评风险的性质和复杂性。本标准描述风险管理原则、框架风险管理之间的关系，如图1所示。当国际标准实施和时，，例如：实现目标的可能性鼓励主动性管理;在组织意识到识别和风险的需; —— 改进机会和威胁识别能力符合关法律要求和国际规范改进改善治理利益相关的信心和信任决策和规划建立可靠的 —— 加强控制； —— 有效地分配和用风险处理资源 —— 增强健康安全，以及环境保护; 改善损和事件管理减少损失 —— 提高组织的应变能力本标准满足利益相关，包括：）; b）; c）需要风险管理d）标准指南程序和的开发目前许多组织的管理实践和包风险管理的，在这种情况下，组织可以标准其现有的和开展严格。在国际标准中，风险管理和管理风险使用。，风险管理（原则，框架和，而管理风险指是特定风险。 风险管理-原则和指南 1范围 本标准风险管理原则和。本标准可用于任何公共私或协会，团体或个。因此，国际标准不针对行业或部门。为方便起见，国际标准所有不同的用户通用术语组织。本标准可用于整个组织活动，包括战略和决策职能项目产品服务和资产。本标准可以用于任何类型的风险，无论其性质是否有积极或消极的后果。尽管国际标准，不促进风险管理的统一。风险管理计划和框架的设计和实施需要考虑到特定组织的不同特定目标，结构项目产品服务或资产。国际标准来协调现有和来标准风险管理。提供了一个支持特定风险和取代这些标准。本标准不。 2 下列术语和定义适用。2.1 风险 risk 不确定性对目标的影响 注1 注2：目标（如财务健康安全以及环境目标），可以不同的层次（如战略组织范围项目产品和）。注3：风险（2.19）和后果（2.20），或它们的组合。注4风险事件（包括环境的变化）和可能性（2.21）表达。[ISO导则 73:2009, 定义1.1] 2.2 风险管理 risk management 针对风险指挥和控制组织的协调活动。 [ISO 导则 73:2009, 定义 2.1] 2.3 风险管理框架 risk management framework 提供在组织内设计、实施、监测（2.28）、评审和持续改进风险管理（2.2）的基本原则和组织安排的要素集合。 注1：基本原则包括管理风险的方针、目标、指令和承诺。 注2：组织安排包括计划、关系、责任、资源、过程和活动。 注3：风险管理框架被嵌入到组织的整个战略和运营的方针和实践中 [ISO 导则 73:2009, 定义 2.1.1] 2.4 风险管理方针 risk management policy 一个组织对风险管理的意图和方向的陈述。 [ISO 导则73:2009, 定义 2.1.2] 2.5 风险态度 risk attitude 组织评价、最终追踪、保留、消除或规避风险的方法。 [ISO 导则 73:2009, 定义 3.7.1.1] 2.6 风险管理计划 risk management plan 在风险管理框架内规定用于风险管理的方法、管理要素、资源的方案。 注1：管理要素一般包括程序、惯例、职责分配、活动顺序和时间安排。 注2：风险管理计划可应用于特定的产品、过程和项目、组织的部分或整体。 [ISO 导则 73:2009, 定义2.1.3] 2.7 风险所有者 risk owner 具有风险管理权限和责任的个人或实体。 [ISO 导则 73:2009, 定义 3.5.1.4] 2.8 风险管理过程 risk management process 管理程序和沟通识别分析评监测和风险[ISO 导则 73:2009, 定义 3.1] 2.9 确定状况 establishing the context 界定外部和内部参数，设置风险管理范围风险