風險管理——原則與實施指導準則
1 、適用範圍
本標準制定了風險管理的原則與通用的實施指導準則。本標準適用於任何公共、私有或社會企業、協會、團體或個人。因此,這一標準是通用的,而不局限於特定行業或部門。為便於陳述,本標準將所有不同的對象都稱之為“組織”。
本標準套用於組織的整個生命過程,以及一系列廣泛的活動、流程、職能、項目、產品、服務、資產、業務和決策。雖然本標準提供了通用的指導準則,但並不建議所有組織實行統一的風險管理。風險管理的設計和實施取決於特定組織的不同需要、組織特定的目標、範圍、組織結構、產品、服務項目、業務流程和具體操作。
本標準將協調與統一現有的和未來的風險管理標準。本標準提供了一個通用的處理具體風險/或部門的方法,但並不是取代那些標準。
2 、規範性引用
本標準將引用以下檔案。若引用的檔案標有日期,只有引用的版本適用。
ISO / IEC導則73 ,風險管理——辭彙
3 術語和定義
本文採用ISO / IEC導則73給出的術語和定義。
4 風險管理的原則
為達到最大的效益,組織的風險管理應遵循以下原則:
a )風險管理創造價值。
風險管理有助於目標的實現和改進,例如,人類健康和安全、法律和法規、公眾認同、環境保護、財務、產品質量、業務效率、公司治理和聲譽。
b )風險管理是組織進程中不可分割的組成部分。
風險管理是管理職責中的一部分,同所有項目、變更管理流程一樣是組織進程中不可分割的一部分。風險管理不是與組織主要活動和組織進程分離的獨立活動。
c )風險管理是決策的一部分。
風險管理有助於決策者作出明智的選擇。風險管理有助於確立優選方案以及對各備選方案的判斷。最後,風險管理有助於決策者確定風險的可接受程度以及風險處理的合理性與有效性。
d )風險管理明確地將不確定性表達出來。
風險管理可以處理決策中的不確定性、不確定性因素,以及這些不確定性如何表達。
e )風險管理應系統化、結構化、及時化。
系統、及時、結構化的風險管理方法有助於提高效率和可持續發展,增加可靠性。
f )風險管理依賴於信息的有效程度。
風險管理所需的信息來源於如經驗、反饋、觀察、預測和專家的判斷等。但是,決策者應考慮到數據或模型的局限性以及專家之間產生分歧的可能性。
g )風險管理應適應組織。
風險管理應符合組織的外部、內部環境和風險狀況。
h )風險管理應考慮人力和文化因素。
風險管理應考慮外部和內部人員的能力、觀點和傾向,這些因素可以促進或阻礙組織目標的實現。
i )風險管理應該是透明的、包容的。
風險管理應包括利益相關者,尤其組織的各級決策者,以確保風險管理工作的相關性並及時更新。允許利益相關者對風險管理提出自己的觀點,在風險標準的確定中應考慮他們的意見。
j )風險管理應該是動態的、反覆的以及適應變化的。
由於內部和外部事件的不斷發生、背景和知識的不斷改變、監控和審查的出現、新風險的發生,以及其它一些影響因素的變化或消失。因此,組織應保持風險管理的敏感性並及時回響變革。
k )風險管理應不斷改善和加強。
組織應當制定和實施戰略,來完善組織各方面的風險管理。附屬檔案A “加強風險管理屬性”提供了進一步的信息。
5 風險管理框架
5.1 概述
要取得成功,風險管理應在一個風險管理框架內發揮作用,該框架提供了基礎和組織安排,並貫穿於整個組織的各個層級。該框架通過在組織各個層級,根據具體情況套用風險管理過程(見第6條),幫助組織有效的管理風險。該框架應確保來自這些過程的風險信息是準確報導的,以及決策是以該信息為基礎制定的,並明確相關各級組織的責任關係。
