企航顧問ISO31000全面風險管理服務

2022/06/07

在企業管理的各個環節和經營過程中，企業會面臨各種各樣的風險，包括戰略風險、財務風險、市場風險、運營風險、法律風險等。為了管理風險，企業需要在識別風險的基礎上，對風險加以分析及評定，并根據它們的風險程度高低制定并執行相應不同的應對控制方案。

ISO 31000提供了一種普遍適用的風險管理總體框架和管理風險的指導方針，可以定制給任何組織及其環境，供那些在組織中通過管理風險、做出決策、確定和實現目標以及提高績效來創造和保持價值的人使用。ISO 31000可以在組織的整個生命周期中使用，并且可以應用于任何活動，包括所有級別的決策。ISO 31000還提供了一種管理任何類型風險的通用方法，而不是行業或部門特定的風險。

封面.jpg

一、ISO 31000總體框架

ISO31000:2018總體框架形似一個“三輪車”，三個輪子分別表示風險管理的原則、框架和流程。

【圖1】ISO31000的三輪框架.png

原則輪中，最核心的內容為“價值的創造和保護Value Creation and Protection”，體現為八個原則：

1、整合的 Integrated；
2、結構化和全面性 Structured and Comprehensive；
3、定制化 Customized；
4、包容性 Inclusive；
5、動態的 Dynamic；
6、有效信息利用 Best Available Information；
7、人員與文化因素 Human and Cultural Factors；
8、持續改進 Continual Improvement。

框架輪中，最核心的為“領導力與承諾Leadership and Commitment”，體現為五個步驟：

1、整合 Integration；
2、設計 Design；
3、實施 Implementation；
4、評價 Evaluation；
5、改進 Improvement。

流程輪中，包含了：

1、對范圍、背景和標準的定義 Scope、Context、Criteria；
2、風險評估的經典流程-風險識別、風險分析、風險評價 Risk Assessment：Risk Identification、Risk Analysis、Risk Evaluation；
3、風險應對 Risk Treatment；
4、風險記錄與報告 Recording & Reporting；
5、溝通與咨詢 Communication & Consultation；
6、監控與評價 Monitoring & Review。

這個三輪車圖提煉了整個ISO31000風險管理標準的所有內容，標準的全文都是圍繞著這個三輪車圖來展開論述的。

ISO31000風險管理標準的發展歷史：

1、2002年1月，ISO發布ISO/IEC GUIDE 73:2002《風險管理詞匯標準使用指南 Risk management — Vocabulary — Guidelines for use in standards》

2、2009年11月，ISO/TC262（國際標準化組織風險管理技術委員會）發布ISO 31000:2009《風險管理原則和指南Risk management — Principles and guidelines》

3、2018年2月，ISO/TC262發布ISO 31000:2018《風險管理指南Risk management — Guidelines》

ISO 31000風險管理系列標準：

1、ISO GUIDE 73:2009《風險管理詞匯 Risk management — Vocabulary》

2、ISO/IEC 31010:2019《風險管理風險評估技術Risk management — Risk assessment techniques》

3、ISO/TR 31004:2013《風險管理 ISO 31000實施指南 Risk management — Guidance for the implementation of ISO 31000》

4、ISO 31022:2020《風險管理法律風險管理指南 Risk management — Guidelines for the management of legal risk》

……

二、ISO 31000風險管理原則

風險管理的目的是創造和保護價值。管理風險能夠提升績效、鼓勵創新并為組織目標的實現提供支持。基于創造和保護價值的目的，ISO 31000建立了高效并且有效地實施風險管理的八項原則。風險管理原則是管理風險的基礎，組織在建立風險管理框架和流程時應當加以考慮。具體的風險管理原則及其釋義如下：

【圖2：原則】.png

1、整合的（Integrated）：風險管理是組織所有活動的組成部分；

2、結構化和全面性（Structured and Comprehensive）：結構化和全面性的風險管理方法有助于獲得一致和可比較的結果；

3、定制化（Customized）：風險管理框架和流程是定制化的，以適應與組織目標相關的外部和內部環境；

4、包容性（Inclusive）：利益相關方的適當、及時參與能夠使他們的知識、觀點和看法得到考慮，這可以使相關方提高風險管理意識并明智地管理風險；

5、動態的（Dynamic）：隨著組織內部和外部環境的變化，風險可能會出現、變化或消失。風險管理應當以適當和及時的方式預測、監控、確認和響應這些變化和事件；

6、有效信息利用（Best Available Information）：風險管理的輸入是基于歷史的和當前的信息，以及對未來的期望。風險管理明確地考慮與此類信息和期望相關的任何約束和不確定性。信息應及時、清晰、可供相關利益相關方使用；

7、人員與文化因素（Human and Cultural Factors）：人類行為和文化在每個層面和階段都顯著地影響著風險管理的各個方面；

8、持續改進（Continual Improvement）：通過學習和經驗積累，不斷提高風險管理水平。

三、ISO 31000風險管理框架

風險管理框架的目的是幫助組織將風險管理整合到重要的活動和職能中。風險管理的有效性取決于它是否被納入組織治理和決策中，這需要來自利益相關方尤其是高層管理人員的支持。ISO 31000:2018的框架強化了領導層的職責和整合的重要性，核心是領導力與承諾，明確高級管理層和監督機構應確保風險管理融入組織所有活動。

【圖3：框架】.png

框架開發包括整合、設計、實施、評價和改進整個組織的風險管理。組織應評價其現有的風險管理實踐和流程，評價任何差距并解決框架內的這些差距。框架的組成部分和它們共同工作的方式應該根據組織的需要進行定制。

1、整合（Integration）：風險管理應該是組織目標、治理、領導力和承諾、戰略、目標和運營的一部分，而不是相互分離。組織結構的每一個部分和每一個層級都要進行風險管理，組織中的每個人都有管理風險的責任，而合理確定組織內的風險管理責任和監督職責是組織治理的組成部分。將風險管理整合到組織中是一個動態的、迭代的過程，并且應該根據組織的需要和文化進行定制。

2、設計（Design）：在設計風險管理框架時，組織首先應調查和理解其外部和內部環境；其次，最高管理層和監督機構以聲明或其他形式，明確地傳達組織目標和風險管理承諾；第三，最高管理層和監督機構應確保在組織所有層級分配風險管理角色，并明確其職責和權限；第四，最高管理層和監督機構應確保為風險管理分配適當的資源；最后，組織應建立溝通和咨詢渠道，以支持風險管理框架并促進風險管理的有效應用。溝通包括與目標受眾分享信息，咨詢包括參與者期望對組織決策和其他活動作出貢獻，以便更好地為決策反饋信息。溝通和咨詢應當及時進行，確保相關信息的收集、整理、匯總和適當共享，以及提供反饋并進行改進。溝通和咨詢的方法和內容應反映利益相關方的期望。

3、實施（Implementation）：風險管理的成功實施需要利益相關者的參與和理解。組織在實施風險管理框架過程中應該：

——制定適當的計劃，包括時間安排和資源配置；

——識別組織在何處、何時以及如何作出不同類型的決策；

——在必要時修改適用的決策程序；

——確保組織管理風險的安排被清楚地理解和實踐。

適當地設計和實施風險管理框架，將確保風險管理過程是整個組織中所有活動（包括決策制定）的一部分，并且將充分考慮到外部和內部環境的變化。

4、評價（Evaluation）：為了評估風險管理框架的有效性，組織應根據目標、實施計劃、指標和預期行為，定期衡量風險管理框架的績效，以確定它是否仍然能支持組織目標的實現。

5、改進（Improvement）：組織應持續監測和調整風險管理框架，以應對外部和內部變化。如此，組織可以提高其價值。在此基礎上，組織應不斷改進風險管理框架的適用性、充分性和有效性，以及風險管理流程的整合方式。當發現相關的差距或改進機會時，組織應制定計劃和任務，并將其分配給負責實施的人員。一經實施，這些改進應該有助于加強風險管理的作用。

四、ISO 31000風險管理流程

風險管理流程涉及到系統的應用政策、程序和實踐，通過溝通和咨詢活動，建立環境和評估、處理、監控、審查、記錄和報告風險。風險管理流程應當是管理和決策制定的組成部分，并融入到組織的結構、運營和流程中。它可以應用于戰略、業務、計劃或項目層面。雖然風險管理流程通常是按順序呈現的，但實際上它經常是循環往復地進行。

【圖4：流程】.png

1、溝通與咨詢（Communication & Consultation）：溝通和咨詢的目的是為了幫助利益相關方理解風險、明確決策的基礎以及需要采取特定行動的原因。溝通旨在提高對風險的認識和理解，而咨詢涉及到獲得反饋和信息以支持決策。兩者之間的密切協調應促成真實、及時、相關、準確和可理解的信息交流，同時考慮到信息的保密性和完整性以及個人的隱私權。在風險管理流程的所有步驟以及整個過程中，應與適當的外部和內部利益相關方進行溝通和咨詢。

2、范圍、環境和標準（Scope、Context、Criteria）：確定范圍、環境和標準的目的是有針對性地設置風險管理流程，從而有效地評估風險和恰當地應對風險。

1）、首先，組織應確定其風險管理活動的范圍。由于風險管理過程可以在不同層級（例如，戰略、運行、方案、項目或其他活動）應用，因此必須明確所考慮的范圍、要考慮的相關目標以及它們與組織目標的一致性。
2）、其次，建立風險管理流程的外部和內部環境。內外部環境是組織制定和實現目標的基礎，風險管理流程的背景應該建立在對組織運營的內外部環境的理解之上，并應反映風險管理流程中適用活動的具體環境。
3）、第三，定義風險標準。組織應明確與目標相關的風險的數量和類型，還應該定義評估風險重要性和支持決策過程的標準。風險標準應與風險管理框架保持一致，并根據相應活動的具體目的和范圍進行定制。風險標準應反映組織的價值觀、目標和資源，并與風險管理的政策和聲明保持一致。標準的定義還應該考慮到組織的義務和利益相關方的觀點。

3、風險評估（Risk Assessment）：風險評估是風險識別、風險分析和風險評估的整個過程。風險識別的目的是發現、識別和描述可能有助于或妨礙組織實現目標的風險。風險分析的目的是理解包括適當的風險水平在內的風險性質及其特征。風險分析涉及對不確定性、風險來源、后果、可能性、事件、場景、控制及其有效性的詳細考慮。風險評估的目的是支持決策。風險評估涉及將風險分析的結果與已確定的風險標準進行比較，以確定需要采取哪些額外行動。

4、風險應對（Risk Treatment）：風險應對的目的是選擇和實施應對風險的方案。風險應對涉及以下迭代過程∶制定和選擇風險應對方案——風險應對方案的規劃和實施——評估應對的有效性——決定剩余風險是否可接受——如果不能接受，采取進一步的應對。

5、監督與審查（Monitoring & Review）：監督和審查的目的是保證和提高流程設計、實施和結果的質量和有效性。對風險管理過程及其結果的持續監控和定期審查應是風險管理流程中計劃的一部分，其職責應明確界定。流程的所有階段均應被監督和審查。監督和審查包括計劃、收集和分析信息、記錄結果并提供反饋。監督和審查的結果應納入整個組織的績效管理、計量和報告活動。

6、記錄與報告（Recording & Reporting）：組織應通過適當的機制來記錄和報告風險管理的流程和結果。記錄和報告旨在∶在整個組織內傳達風險管理活動和成果；為決策提供信息；改進風險管理活動；協助與利益相關方的互動，包括對風險管理活動負責的人。

五、ISO 31000的收益

1、最高管理層

ISO 31000:2018強調了對組織價值創造的貢獻，在公司治理層面突出了最高管理層對此項工作的職責，提供了明確的職責清單。并且有跡象顯示，企業風險管理的好壞有可能會成為未來檢驗企業管理能力和有效性的一項非常重要內容。從內外部環境來看，這些都將有助于推動高級管理層在更好的履行風險管理職能的同時，更加重視企業的風險管理工作。

2、以風險管理、內控部門為首的第二道防線

以往的風險管理職能在定位上會有一定的灰色地帶，ISO 31000:2018突出了最高管理層的風險管理職責，推動職責的落實和實施，自然也就會帶動相關風險管理職能部門的上位，所以會對第二道防線的風險管理職能部門有一定推動作用。

3、內部審計部門為主的第三道防線

“風險導向”的內部審計是近些年來內部審計工作發展的主要方向之一，那么如何更好的幫助企業建立一套有效的風險管理體系也是內部審計的職責所在。一個擁有良好風險管理能力的企業和一個較差風險管理能力的企業，其審計風險的高低不言而喻。

六、ISO 31000的適用范圍

ISO 31000為風險管理提供了一個綱領性的文件，也是任何組織、任何類型、全壽命周期、任何活動都應該遵循的風險管理工作指南。

ISO 31000明確提出了風險管理的基本原則、風險管理的框架和風險管理過程，但是ISO 31000是風險管理指南，不是風險管理體系要求或指南，企業并不能通過對風險管理指南和系列標準的學習指導如何搭建全面風險管理體系，尤其是如何進行全面風險的識別、分析和評價。

七、企航顧問風險管理案例

一、企航顧問提供的風險管理的服務項目