nizationfo ISO 度 31000 Risk-Management ISO31000:2018风险管理指南 中文版 仅供内部参考学习使用，请勿外传和商用 ISO31000:2018内部学习稿 目录 前言 介绍 1适用范围 2规范性引用文件 3术语和定义 4原则 5框架 5.1概述 5.2领导力和承诺 5.3整合 5.4设计 5.5实施 5.6评价 5.7改进 6流程 6.1概述 6.2沟通和咨询 6.3范围、环境和准则 6.4风险评估 6.5风险应对 6.6监督和审查 6.7记录和报告 参考书目 1 ISO31000:2018内部学习稿 前言 ISO（国际标准化组织）是一个全球联合的国际标准组织（ISO成员机构）。制定国际标准的工作 通常通过ISO技术委员会进行。对不同主题的技术委员会的感兴趣的每个成员机构，均有权参加 该委员会的代表大会。与ISO有联系的国际组织、政府和非政府组织也参与了这项工作。ISO与 国际电工委员会（IEC）就电工标准化的所有事宜密切合作。 ISO／IEC指令第1部分描述了用于开发和维护此文件的程序。尤其应注意不同类型ISO文件所 需的不同批准标准。本文件是根据ISo/IEC指令第2部分（见www.iso.org/directives）的编辑 规则起草的。 请注意本文件的某些内容可能涉及某些专利权。ISO不负责识别任何和此有关的专利权。在文件 制定过程中确定的任何专利权的细节将在介绍和/或ISO收到的专利声明清单中（见 www.iso.org/patents) 本文档中使用的任何名称都是为了方便用户而提供的信息，并不构成对此进行背书。 关于标准的自愿性质的解释，与合格评定相关的ISO特定术语和表达的含义，以及关于ISO遵守 世界贸易组织（WTO）在技术性贸易壁垒（TBT）原则中的信息参见网址如下： www.iso.org/iso/foreword.html。 本文件由IS0/TC262风险管理技术委员会编写。 本第二版标准用于代替第一版标准（IS031000：2009）。 与前一版本相比的主要变化如下： 审阅了风险管理原则，这是其成功的关键标准： 一从组织治理开始，突出高层管理人员的领导职责和风险管理的整合 更加强调风险管理的反复优化性质，指出新的经验、知识和分析可以促使对流程各个阶段的流程 要素、行动和控制进行调整； 一精简内容，更加注重保持开放系统模式以适应多种需求和环境 2 ISO31000:2018内部学习稿 介绍 此文件供那些通过管理风险来制定决策、设定和实现目标，以及通过提升绩效来创造和保护组织 价值的人员使用。 各种类型和规模的组织都面临着外部和内部因素及影响，这些因素和影响使得组织实现其目标面 临一定的不确定性。 风险管理是反复优化的，有助于组织制定战略、实现目标和做出明智的决策。 管理风险是治理和领导力的一部分，对于组织在各个层面的管理至关重要。它有助于改进管理体 系。 管理风险是组织所有活动的一部分，包括与利益相关方的交流和沟通。 管理风险考虑了组织的外部和内部环境，包括人员行为和文化因素。 如图1所示，管理风险基于本文档中描述的原则、框架和流程。这些要素可能已经全部或部分存 在于组织内了，但是，为了更高效、有效和一致的管理风险，他们可能需要进行调整和改进。 原则 持续改进 整合的 人员与文 结构化和 化因素 全面性 价值创造 与保护 有效信息 定制化 框架 动态的 包容性 流程 整合 双围、环始、准则 公众号，风险管理世界输泽 风险评估 改进 设计 仅供参考，请勿商用 领导力与 风路分析 承诺 风除评价 风险欣对 评价 实施 图1-原则、框架和流程 3 ISO31000:2018内部学习稿 风险管理－指南 1适用范围 本文件提供了组织管理面临的风险的指南。这些指南的应用可以针对任何组织及其背景环境进行 定制。 本文件提供了管理任何类型风险的通用方法，并非行业或某一领域特定的。 该文件可用于组织的整个生命周期，可应用于任何活动，包括各层级决策。 2规范性引用文件 本文档中没有规范性引用文件。 3术语和定义 就本文件而言，下列术语和定义适用。 ISO和IEC维护了用于标准化术语数据库，地址如下： -ISo在线浏览平台：http：//www.iso.org/obp -IECElectropedia：可在http://www.electropedia.org上找到 3. 1 风险 不确定性对目标的影响 注1：影响是与预期的偏差。它可以是积极的、消极的或两者兼而有之，并且可以锁定、创造机 遇或导致威胁。 注2：目标可以有不同的方面和类别，并且可以在不同的层面应用。 注3：风险通常以风险源（3.4）、潜在事件（3.5）、后果（3.6）及其可能性（3.7）表示。 3. 2 风险管理 指导和控制组织风险（3.1）的协调活动 4 ISO31000:2018内部学习稿 3. 3 利益相关方 对一个决策或活动可以产生影响或受其影响、亦或将会受影响的个人或组织 注1：“利害关系方”一词可以用作代替“利益相关方”。 3. 4 风险源 单独或组合在一起可能会导致风险的要素（3.1） 3. 5 事件 一系列特殊状况的发生或变化 注1：事件可能是一次或多次事件，并可能有多个原因和多个后果（3.6）。 注2：事件可以是预期不会发生的事情，也可以是没有预期一定会发生的事情。 注3：事件可能是风险源。 3. 6 后果 事件（3.5）影响目标的结果 注1：后果可能是确定的或不确定的，可能对目标产生正面或负面、直接或间接的影响。 注2：后果可以定性或定量表示。 注3：任何后果都可能通过连锁和累积效应升级。 3. 7 可能性 事情发生的几率 5 ISO31000:2018内部学习 注1：在风险管理（3.2）术语中，“可能性”一词用于指发生事件的几率，无论是客观地还是主 观地、定性地或定量地进行定义、测度或确定，并且使用一般术语或数学描述（例如给定时间段 内的概率或频率）。 然而，在英语中，“概率”通常被狭义地解释为数学术语。因此，在风险管理术语中，“可能 性”应该与“概率”一词在除英语以外的语言中，具有相同的广义解释。 3. 8 控制 保持和/或调整风险的措施（3.1） 注1：控制包括但不限于保持和/或修改风险的任何流程、政策、设备、实践或其他条件和/或行 动。 注2：控制可能并不总是能发挥到预期或假定的调整效果。 4原则 风险管理的目的是创造和保护价值。它提升了绩效，鼓励创新并支持目标实现。 图2中描述的原则为有效和高效的风险管理的特点提供了指导，传达其价值并解释其意图和目 的。这些原则是管理风险的基础，应在建立组织的风险管理框架和流程时予以考虑。这些原则可 以使组织能够管理不确定性对其目标的影响。 9 ISO31000:2018内部学习稿 持续改进 整合的 人员与文 结构化和 化因素 全面性 价值创造 与保护 有效信息 定制化 利用 动态的 包容性 图2-原则 有效的风险管理需要图2中的要素，可以进一步解释如下。 a）整合的 风险管理是所有组织活动的组成部分。 b）结构化和全面性 风险管理的结构化和综合性方法有助于获得一致的和可比较的结果。 c）定制化 风险管理框架和流程是根据组织与其目标相关的外部和内部环境来制定的，并与其密切相关。 d）包容的 需要考虑利益相关方的适当和及时的参与，融入他们的知识、观点和看法。这可以提高风险意识 并明智的管理风险。 e）动态的 随着组织内部和外部环境的变化，风险可能会出现、变化或消失。风险管理会以适当和及时的方 式预测、监督、掌握和响应这些变化和事件。 f）最佳可用信息 7 ISO31000:2018内部学习稿 风险管理的输入是基于历史和当前的信息以及未来的预期。风险管理应明确考虑到与这些信息和 期望相关的任何限制和不确定性。信息应及时、清晰地提供给相关的利益相关方。 g）人员及文化因素 人员行为和文化明显影响着各级和各阶段风险管理的各个方面。 h）持续改进 通过学习和经验积累，不断提高风险管理水平。 5框架 5.1概述 风险管理框架的目的是协助组织将风险管理纳入重要的活动和职能。风险管理的有效性取决手是 否将其纳入组织治理和决策中。这需要利益相关方，特别是最高管理层的支持。 框架开发包括在整个组织内整合、设计、实施、评价和改进风险管理。图3说明了框架的要素。 整合 改进 设计 领导力与 承诺 评价 实施 图3-框架 组织应评估其现有的风险管理实践和流程，评估任何差距并依照框架解决这些差距。 框架的组成要素和它们协同作用的方式应该根据组织的具体需求进行定制。 5.2领导力和承诺 8