第一章 风险管理基础
第一节 ISO风险管理标准族概述
国际标准化组织(International Organization for Standardization,ISO)是由各国标准化团体组成的世界性联合会,成立于1947年2月23日,负责除电工、电子领域和军事工业、石油、船舶制造外多种重要领域的标准化活动。ISO亦与国际电工委员会(International Electrotechnical Commission,IEC)在电工技术标准化方面保持密切的合作关系。
ISO的宗旨是在世界上促进标准化及其想关活动的发展,以便进行商品和服务的国际交换,且在智力、科学、技术和经济领域开展合作。
制定国际标准工作通常由ISO技术委员会完成。ISO有800多个技术委员会和分委员会,其各设有一个主席和一个秘书处,秘书处由各成员国分别设立。目前,承担秘书处工作的成员团体有30个,各秘书处与位于日内瓦的ISO中央秘书处保持直接联系。
我国于1978年正式加入ISO。在2008年10月召开的第31届ISO大会上,我国正式成为其常任理事国,代表组织为中国国家标准化管理委员会(Standardization Administration of The People's Republic of China,SAC)。
本章主要介绍ISO风险管理标准族,以便读者在阅读本书时尽快形成对ISO风险管理标准族的整体认识。
一、ISO风险管理标准族一览
截止2011年底,ISO风险管理标准族共包含如下3个正式标准。
(1)ISO Guide 73:
2009风险管理术语(riskmanagement vocabulary);
(2)ISO 31000:
2009风险管理原则与指南(risk management-principle and Guide-lines);
(3)ISO/IEC 31010:
2009风险管理 风险评估技术(risk management-risk assessment techniques)。
2011年下半年,ISO风险管理标准族拟添加新标准——ISO 31004,暂定名称为“风险管理实施指南”。
从上述标准的名称可以看出,各标准的定位和功能不同。其中ISO Guide 73:2009最为基本和重要,它为阅读和理解族里的其他标准提供定义和解释;ISO 31000:2009是风险管理标准族的核心,它为风险管理明确原则、框架和过程;ISO 31010:2009内容侧重于风险评估方法与技术,是读者使用ISO 31000:2009时的技术补充;ISO 31004则是风险管理框架和过程的实施指南。以上4个标准对于组织开展风险管理工作,既提供了统一的语言,又提供了一套完整的解决方案。
图1-1描述了ISO推荐的风险管理的原则、框架和过程,这是ISO风险管理标准族的核心内容。
图1-1 风险管理的原则、框架和过程及相互关系
二、ISO Guide 73:2009简介
ISO Guide 73:
2009共包括50个风险管理术语。该标准分三部分对这50个术语进行定义和注解。
第一部分仅涉及一个术语,即“风险”。
第二部分包括4个与风险管理想关的术语,分别是“风险管理”、“风险管理框架”、“风险管理方针”、“风险管理计划”。
第三部分包括45个与风险管理过程想关的术语,涵盖了风险管理过程的5个基本活动(沟通与咨询、建立环境、风险评估、风险应对、监督与评审)。其中,沟通与咨询活动有3个术语,建立环境活动有4个术语,风险评估活动有23个术语,风险应对活动有8个术语,监测与评审活动有6个术语;另外,还有1个术语,即“风险管理过程”。由图1-2可知,风险评估是风险管理过程的核心内容。
ISO Cuide 73:
2009的最大贡献是对“风险”这一术语的完整定义,“风险就是不确定性对目标的影响”。该定义指出了风险的目标性、不确定性和影响后果的双重性。该双重性包括威胁或机遇,财务上多指损失或收益。
三、ISO 31000:2009简介
ISO风险管理标准族的核心标准为ISO 31000:
2009,始建于2005年。2005年9月,ISO正式成立风险管理工作委员会,由澳大利亚任主席国,日本任秘书长国。
图1-2 ISO Guide 73:2009风险管理术语结构图
ISO 31000是以澳大利亚—新西兰风险管理标准(AS/NZS)4360:
2004为蓝本起草和修订的。究其原因,正是因为澳大利亚的风险管理标准在当时最为完整和成熟,也最具代表性。与会的28个委员国专家在Kevin主席的领导下,历经4年多的研究和论证,于2009年11月达成共识并发布正式标准。
ISO 31000:
2009主要包括风险管理原则、风险管理框架、风险管理过程三部分(图1-1)。
图1-1中,ISO 31000:2009为风险管理明示了以下11条原则。
原则1:风险管理创造并保护价值;
原则2:风险管理是构成组织所有过程所必需的一部分;
原则3:风险管理是决策的一部分;
原则4:风险管理清晰地阐明不确定性;
原则5:风险管理是系统的、结构化的和适时的;
原则6:风险管理以最可利用的信息为基础;
原则7:风险管理具有适应性;
原则8:风险管理考虑人和文化因素;
原则9:风险管理是透明的、包容的;
原则10:风险管理是动态的、往复的,并对变化保持响应;
原则11:风险管理促进组织的持续改进。
这11条原则可以说是ISO 31000在风险管理领域对全球的最大贡献,它指明了风险管理的意义、目标、特点,并为组织开展风险管理工作明确了方式和要求等。
图1-1中的“框架”部分是ISO 31000:2009标准的主体,也是组织开展风险管理工作的主体。组织应对“框架”给予高度重视。“框架”包括授权与承诺、框架的设计、实施风险管理、框架的监测与评审、框架的持续改进5个部分。
图1-1中的右侧部分是“过程”。该“过程”指组织的“风险管理过程”,是组织在实施风险管理时应遵循的基本流程,包括“沟通与咨询”以及1个主循环。主循环从“建立环境”开始,依次经过“风险评估”、“风险应对”、“监测与评审”,最后再返回“建立环境”。
ISO 31000:
2009发布后,获得了许多国家的重视,有些国家直接等同采用了ISO 31000:2009标准,如英国、加拿大、日本、澳大利亚和新西兰。为进一步指导风险管理的实施,ISO于2011年决定通过开发1个新标准来落实ISO 31000:2009的实施,并指定该工作由ISO/PC 262负责,其主席国为澳大利亚,秘书长国为英国。具体工作内容包括以下方面,但并不仅限于此。
(1)实施风险管理框架和过程;
(2)风险管理战略(或策略)(risk management strategy);
(3)发展风险管理文化(developing a risk management culture);
(4)创建风险管理能力(building capability and competence);
(5)应对和管理已识别风险;
(6)风险治理(governance);
(7)提升组织风险管理绩效;
(8)最大化组织机会,最小化其损失。
四、ISO/IEC 31010:2009简介
为了支持ISO 31000的应用,IEC负责起草和修订IEC 31010标准,并于2009年12月和ISO联合发布了ISO/IEC 31010:2009《风险管理风险评估技术》标准。该技术标准从操作性的角度详细阐述了ISO 31000风险评估过程中各环节的操作要点,并对如何进行风险识别、风险分析和风险评价做了详细说明。
ISO/IEC 31010明确定义了风险评估的全过程,全过程主要包括风险识别、风险分析和风险评价3个子过程,如图1-3所示。同时,ISO/IEC 31010还为组织开展风险管理工作提供了31种方法和技术。
ISO/IEC 31010对各项风险评估技术进行了适用性的比较分析,并给出了各种方法和技术的适用场合。在这些方法和技术中,有的适合风险识别,有的适合风险分析,有的则适合风险评价。读者可在风险管理实践工作中根据自己的实际情况选用。
图1-3 风险评估过程
五、ISO 31004简介
ISO 31004将和ISO 31000一样,适合各种类型、各种规模的组织。在2011年9月召开的ISO 31004会议上,共有30余个成员国参加。
据悉,ISO 31004很可能参考英国BS 31100:2011标准开发。
英国是开发风险管理国家标准较早的国家之一。在英国,BS 31100:2011是组织实施ISO 31000:2009标准的指南,它通过实际案例把风险管理效果的关键原则嵌入组织和组织的各项活动中,并给出实用和详细建议,例如,如何开发、实施、维护一个适当且有效的风险管理框架与过程。这些内容的通用性很强,适合企业、学校、医院和政府机构等各种组织。