2022/06/07
在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中,企業(yè)會面臨各種各樣的風(fēng)險,包括戰(zhàn)略風(fēng)險、財務(wù)風(fēng)險、市場風(fēng)險、運營風(fēng)險、法律風(fēng)險等。為了管理風(fēng)險,企業(yè)需要在識別風(fēng)險的基礎(chǔ)上,對風(fēng)險加以分析及評定,并根據(jù)它們的風(fēng)險程度高低制定并執(zhí)行相應(yīng)不同的應(yīng)對控制方案。
ISO 31000提供了一種普遍適用的風(fēng)險管理總體框架和管理風(fēng)險的指導(dǎo)方針,可以定制給任何組織及其環(huán)境,供那些在組織中通過管理風(fēng)險、做出決策、確定和實現(xiàn)目標(biāo)以及提高績效來創(chuàng)造和保持價值的人使用。ISO 31000可以在組織的整個生命周期中使用,并且可以應(yīng)用于任何活動,包括所有級別的決策。ISO 31000還提供了一種管理任何類型風(fēng)險的通用方法,而不是行業(yè)或部門特定的風(fēng)險。
一、ISO 31000總體框架
ISO31000:2018總體框架形似一個“三輪車”,三個輪子分別表示風(fēng)險管理的原則、框架和流程。
原則輪中,最核心的內(nèi)容為“價值的創(chuàng)造和保護Value Creation and Protection”,體現(xiàn)為八個原則:
1、整合的 Integrated;
2、結(jié)構(gòu)化和全面性 Structured and Comprehensive;
3、定制化 Customized;
4、包容性 Inclusive;
5、動態(tài)的 Dynamic;
6、有效信息利用 Best Available Information;
7、人員與文化因素 Human and Cultural Factors;
8、持續(xù)改進 Continual Improvement。
框架輪中,最核心的為“領(lǐng)導(dǎo)力與承諾Leadership and Commitment”,體現(xiàn)為五個步驟:
1、整合 Integration;
2、設(shè)計 Design;
3、實施 Implementation;
4、評價 Evaluation;
5、改進 Improvement。
流程輪中,包含了:
1、對范圍、背景和標(biāo)準(zhǔn)的定義 Scope、Context、Criteria;
2、風(fēng)險評估的經(jīng)典流程-風(fēng)險識別、風(fēng)險分析、風(fēng)險評價 Risk Assessment:Risk Identification、Risk Analysis、Risk Evaluation;
3、風(fēng)險應(yīng)對 Risk Treatment;
4、風(fēng)險記錄與報告 Recording & Reporting;
5、溝通與咨詢 Communication & Consultation;
6、監(jiān)控與評價 Monitoring & Review。
這個三輪車圖提煉了整個ISO31000風(fēng)險管理標(biāo)準(zhǔn)的所有內(nèi)容,標(biāo)準(zhǔn)的全文都是圍繞著這個三輪車圖來展開論述的。
ISO31000風(fēng)險管理標(biāo)準(zhǔn)的發(fā)展歷史:
1、2002年1月,ISO發(fā)布ISO/IEC GUIDE 73:2002《風(fēng)險管理 詞匯 標(biāo)準(zhǔn)使用指南 Risk management — Vocabulary — Guidelines for use in standards》
2、2009年11月,ISO/TC262(國際標(biāo)準(zhǔn)化組織風(fēng)險管理技術(shù)委員會)發(fā)布ISO 31000:2009《風(fēng)險管理 原則和指南Risk management — Principles and guidelines》
3、2018年2月,ISO/TC262發(fā)布ISO 31000:2018《風(fēng)險管理 指南Risk management — Guidelines》
ISO 31000風(fēng)險管理系列標(biāo)準(zhǔn):
1、ISO GUIDE 73:2009《風(fēng)險管理 詞匯 Risk management — Vocabulary》
2、ISO/IEC 31010:2019《風(fēng)險管理 風(fēng)險評估技術(shù)Risk management — Risk assessment techniques》
3、ISO/TR 31004:2013《風(fēng)險管理 ISO 31000實施指南 Risk management — Guidance for the implementation of ISO 31000》
4、ISO 31022:2020《風(fēng)險管理 法律風(fēng)險管理指南 Risk management — Guidelines for the management of legal risk》
……
二、ISO 31000風(fēng)險管理原則
風(fēng)險管理的目的是創(chuàng)造和保護價值。管理風(fēng)險能夠提升績效、鼓勵創(chuàng)新并為組織目標(biāo)的實現(xiàn)提供支持。基于創(chuàng)造和保護價值的目的,ISO 31000建立了高效并且有效地實施風(fēng)險管理的八項原則。風(fēng)險管理原則是管理風(fēng)險的基礎(chǔ),組織在建立風(fēng)險管理框架和流程時應(yīng)當(dāng)加以考慮。具體的風(fēng)險管理原則及其釋義如下:
1、整合的(Integrated):風(fēng)險管理是組織所有活動的組成部分;
2、結(jié)構(gòu)化和全面性(Structured and Comprehensive):結(jié)構(gòu)化和全面性的風(fēng)險管理方法有助于獲得一致和可比較的結(jié)果;
3、定制化(Customized):風(fēng)險管理框架和流程是定制化的,以適應(yīng)與組織目標(biāo)相關(guān)的外部和內(nèi)部環(huán)境;
4、包容性(Inclusive):利益相關(guān)方的適當(dāng)、及時參與能夠使他們的知識、觀點和看法得到考慮,這可以使相關(guān)方提高風(fēng)險管理意識并明智地管理風(fēng)險;
5、動態(tài)的(Dynamic):隨著組織內(nèi)部和外部環(huán)境的變化,風(fēng)險可能會出現(xiàn)、變化或消失。風(fēng)險管理應(yīng)當(dāng)以適當(dāng)和及時的方式預(yù)測、監(jiān)控、確認(rèn)和響應(yīng)這些變化和事件;
6、有效信息利用(Best Available Information):風(fēng)險管理的輸入是基于歷史的和當(dāng)前的信息,以及對未來的期望。風(fēng)險管理明確地考慮與此類信息和期望相關(guān)的任何約束和不確定性。信息應(yīng)及時、清晰、可供相關(guān)利益相關(guān)方使用;
7、人員與文化因素(Human and Cultural Factors):人類行為和文化在每個層面和階段都顯著地影響著風(fēng)險管理的各個方面;
8、持續(xù)改進(Continual Improvement):通過學(xué)習(xí)和經(jīng)驗積累,不斷提高風(fēng)險管理水平。
三、ISO 31000風(fēng)險管理框架
風(fēng)險管理框架的目的是幫助組織將風(fēng)險管理整合到重要的活動和職能中。風(fēng)險管理的有效性取決于它是否被納入組織治理和決策中,這需要來自利益相關(guān)方尤其是高層管理人員的支持。ISO 31000:2018的框架強化了領(lǐng)導(dǎo)層的職責(zé)和整合的重要性,核心是領(lǐng)導(dǎo)力與承諾,明確高級管理層和監(jiān)督機構(gòu)應(yīng)確保風(fēng)險管理融入組織所有活動。
框架開發(fā)包括整合、設(shè)計、實施、評價和改進整個組織的風(fēng)險管理。組織應(yīng)評價其現(xiàn)有的風(fēng)險管理實踐和流程,評價任何差距并解決框架內(nèi)的這些差距。框架的組成部分和它們共同工作的方式應(yīng)該根據(jù)組織的需要進行定制。
1、整合(Integration):風(fēng)險管理應(yīng)該是組織目標(biāo)、治理、領(lǐng)導(dǎo)力和承諾、戰(zhàn)略、目標(biāo)和運營的一部分,而不是相互分離。組織結(jié)構(gòu)的每一個部分和每一個層級都要進行風(fēng)險管理,組織中的每個人都有管理風(fēng)險的責(zé)任,而合理確定組織內(nèi)的風(fēng)險管理責(zé)任和監(jiān)督職責(zé)是組織治理的組成部分。將風(fēng)險管理整合到組織中是一個動態(tài)的、迭代的過程,并且應(yīng)該根據(jù)組織的需要和文化進行定制。
2、設(shè)計(Design):在設(shè)計風(fēng)險管理框架時,組織首先應(yīng)調(diào)查和理解其外部和內(nèi)部環(huán)境;其次,最高管理層和監(jiān)督機構(gòu)以聲明或其他形式,明確地傳達(dá)組織目標(biāo)和風(fēng)險管理承諾;第三,最高管理層和監(jiān)督機構(gòu)應(yīng)確保在組織所有層級分配風(fēng)險管理角色,并明確其職責(zé)和權(quán)限;第四,最高管理層和監(jiān)督機構(gòu)應(yīng)確保為風(fēng)險管理分配適當(dāng)?shù)馁Y源;最后,組織應(yīng)建立溝通和咨詢渠道,以支持風(fēng)險管理框架并促進風(fēng)險管理的有效應(yīng)用。溝通包括與目標(biāo)受眾分享信息,咨詢包括參與者期望對組織決策和其他活動作出貢獻(xiàn),以便更好地為決策反饋信息。溝通和咨詢應(yīng)當(dāng)及時進行,確保相關(guān)信息的收集、整理、匯總和適當(dāng)共享,以及提供反饋并進行改進。溝通和咨詢的方法和內(nèi)容應(yīng)反映利益相關(guān)方的期望。
3、實施(Implementation):風(fēng)險管理的成功實施需要利益相關(guān)者的參與和理解。組織在實施風(fēng)險管理框架過程中應(yīng)該:
——制定適當(dāng)?shù)挠媱潱〞r間安排和資源配置;
——識別組織在何處、何時以及如何作出不同類型的決策;
——在必要時修改適用的決策程序;
——確保組織管理風(fēng)險的安排被清楚地理解和實踐。
適當(dāng)?shù)卦O(shè)計和實施風(fēng)險管理框架,將確保風(fēng)險管理過程是整個組織中所有活動(包括決策制定)的一部分,并且將充分考慮到外部和內(nèi)部環(huán)境的變化。
4、評價(Evaluation):為了評估風(fēng)險管理框架的有效性,組織應(yīng)根據(jù)目標(biāo)、實施計劃、指標(biāo)和預(yù)期行為,定期衡量風(fēng)險管理框架的績效,以確定它是否仍然能支持組織目標(biāo)的實現(xiàn)。
5、改進(Improvement):組織應(yīng)持續(xù)監(jiān)測和調(diào)整風(fēng)險管理框架,以應(yīng)對外部和內(nèi)部變化。如此,組織可以提高其價值。在此基礎(chǔ)上,組織應(yīng)不斷改進風(fēng)險管理框架的適用性、充分性和有效性,以及風(fēng)險管理流程的整合方式。當(dāng)發(fā)現(xiàn)相關(guān)的差距或改進機會時,組織應(yīng)制定計劃和任務(wù),并將其分配給負(fù)責(zé)實施的人員。一經(jīng)實施,這些改進應(yīng)該有助于加強風(fēng)險管理的作用。
四、ISO 31000風(fēng)險管理流程
風(fēng)險管理流程涉及到系統(tǒng)的應(yīng)用政策、程序和實踐,通過溝通和咨詢活動,建立環(huán)境和評估、處理、監(jiān)控、審查、記錄和報告風(fēng)險。風(fēng)險管理流程應(yīng)當(dāng)是管理和決策制定的組成部分,并融入到組織的結(jié)構(gòu)、運營和流程中。它可以應(yīng)用于戰(zhàn)略、業(yè)務(wù)、計劃或項目層面。雖然風(fēng)險管理流程通常是按順序呈現(xiàn)的,但實際上它經(jīng)常是循環(huán)往復(fù)地進行。
1、溝通與咨詢(Communication & Consultation):溝通和咨詢的目的是為了幫助利益相關(guān)方理解風(fēng)險、明確決策的基礎(chǔ)以及需要采取特定行動的原因。溝通旨在提高對風(fēng)險的認(rèn)識和理解,而咨詢涉及到獲得反饋和信息以支持決策。兩者之間的密切協(xié)調(diào)應(yīng)促成真實、及時、相關(guān)、準(zhǔn)確和可理解的信息交流,同時考慮到信息的保密性和完整性以及個人的隱私權(quán)。在風(fēng)險管理流程的所有步驟以及整個過程中,應(yīng)與適當(dāng)?shù)耐獠亢蛢?nèi)部利益相關(guān)方進行溝通和咨詢。
2、范圍、環(huán)境和標(biāo)準(zhǔn)(Scope、Context、Criteria):確定范圍、環(huán)境和標(biāo)準(zhǔn)的目的是有針對性地設(shè)置風(fēng)險管理流程,從而有效地評估風(fēng)險和恰當(dāng)?shù)貞?yīng)對風(fēng)險。
1)、首先,組織應(yīng)確定其風(fēng)險管理活動的范圍。由于風(fēng)險管理過程可以在不同層級(例如,戰(zhàn)略、運行、方案、項目或其他活動)應(yīng)用,因此必須明確所考慮的范圍、要考慮的相關(guān)目標(biāo)以及它們與組織目標(biāo)的一致性。
2)、其次,建立風(fēng)險管理流程的外部和內(nèi)部環(huán)境。內(nèi)外部環(huán)境是組織制定和實現(xiàn)目標(biāo)的基礎(chǔ),風(fēng)險管理流程的背景應(yīng)該建立在對組織運營的內(nèi)外部環(huán)境的理解之上,并應(yīng)反映風(fēng)險管理流程中適用活動的具體環(huán)境。
3)、第三,定義風(fēng)險標(biāo)準(zhǔn)。組織應(yīng)明確與目標(biāo)相關(guān)的風(fēng)險的數(shù)量和類型,還應(yīng)該定義評估風(fēng)險重要性和支持決策過程的標(biāo)準(zhǔn)。風(fēng)險標(biāo)準(zhǔn)應(yīng)與風(fēng)險管理框架保持一致,并根據(jù)相應(yīng)活動的具體目的和范圍進行定制。風(fēng)險標(biāo)準(zhǔn)應(yīng)反映組織的價值觀、目標(biāo)和資源,并與風(fēng)險管理的政策和聲明保持一致。標(biāo)準(zhǔn)的定義還應(yīng)該考慮到組織的義務(wù)和利益相關(guān)方的觀點。
3、風(fēng)險評估(Risk Assessment):風(fēng)險評估是風(fēng)險識別、風(fēng)險分析和風(fēng)險評估的整個過程。風(fēng)險識別的目的是發(fā)現(xiàn)、識別和描述可能有助于或妨礙組織實現(xiàn)目標(biāo)的風(fēng)險。風(fēng)險分析的目的是理解包括適當(dāng)?shù)娘L(fēng)險水平在內(nèi)的風(fēng)險性質(zhì)及其特征。風(fēng)險分析涉及對不確定性、風(fēng)險來源、后果、可能性、事件、場景、控制及其有效性的詳細(xì)考慮。風(fēng)險評估的目的是支持決策。風(fēng)險評估涉及將風(fēng)險分析的結(jié)果與已確定的風(fēng)險標(biāo)準(zhǔn)進行比較,以確定需要采取哪些額外行動。
4、風(fēng)險應(yīng)對(Risk Treatment):風(fēng)險應(yīng)對的目的是選擇和實施應(yīng)對風(fēng)險的方案。風(fēng)險應(yīng)對涉及以下迭代過程∶制定和選擇風(fēng)險應(yīng)對方案——風(fēng)險應(yīng)對方案的規(guī)劃和實施——評估應(yīng)對的有效性——決定剩余風(fēng)險是否可接受——如果不能接受,采取進一步的應(yīng)對。
5、監(jiān)督與審查(Monitoring & Review):監(jiān)督和審查的目的是保證和提高流程設(shè)計、實施和結(jié)果的質(zhì)量和有效性。對風(fēng)險管理過程及其結(jié)果的持續(xù)監(jiān)控和定期審查應(yīng)是風(fēng)險管理流程中計劃的一部分,其職責(zé)應(yīng)明確界定。流程的所有階段均應(yīng)被監(jiān)督和審查。監(jiān)督和審查包括計劃、收集和分析信息、記錄結(jié)果并提供反饋。監(jiān)督和審查的結(jié)果應(yīng)納入整個組織的績效管理、計量和報告活動。
6、記錄與報告(Recording & Reporting):組織應(yīng)通過適當(dāng)?shù)臋C制來記錄和報告風(fēng)險管理的流程和結(jié)果。記錄和報告旨在∶在整個組織內(nèi)傳達(dá)風(fēng)險管理活動和成果;為決策提供信息;改進風(fēng)險管理活動;協(xié)助與利益相關(guān)方的互動,包括對風(fēng)險管理活動負(fù)責(zé)的人。
五、ISO 31000的收益
1、最高管理層
ISO 31000:2018強調(diào)了對組織價值創(chuàng)造的貢獻(xiàn),在公司治理層面突出了最高管理層對此項工作的職責(zé),提供了明確的職責(zé)清單。并且有跡象顯示,企業(yè)風(fēng)險管理的好壞有可能會成為未來檢驗企業(yè)管理能力和有效性的一項非常重要內(nèi)容。從內(nèi)外部環(huán)境來看,這些都將有助于推動高級管理層在更好的履行風(fēng)險管理職能的同時,更加重視企業(yè)的風(fēng)險管理工作。
2、以風(fēng)險管理、內(nèi)控部門為首的第二道防線
以往的風(fēng)險管理職能在定位上會有一定的灰色地帶,ISO 31000:2018突出了最高管理層的風(fēng)險管理職責(zé),推動職責(zé)的落實和實施,自然也就會帶動相關(guān)風(fēng)險管理職能部門的上位,所以會對第二道防線的風(fēng)險管理職能部門有一定推動作用。
3、內(nèi)部審計部門為主的第三道防線
“風(fēng)險導(dǎo)向”的內(nèi)部審計是近些年來內(nèi)部審計工作發(fā)展的主要方向之一,那么如何更好的幫助企業(yè)建立一套有效的風(fēng)險管理體系也是內(nèi)部審計的職責(zé)所在。一個擁有良好風(fēng)險管理能力的企業(yè)和一個較差風(fēng)險管理能力的企業(yè),其審計風(fēng)險的高低不言而喻。
六、ISO 31000的適用范圍
ISO 31000為風(fēng)險管理提供了一個綱領(lǐng)性的文件,也是任何組織、任何類型、全壽命周期、任何活動都應(yīng)該遵循的風(fēng)險管理工作指南。
ISO 31000明確提出了風(fēng)險管理的基本原則、風(fēng)險管理的框架和風(fēng)險管理過程,但是ISO 31000是風(fēng)險管理指南,不是風(fēng)險管理體系要求或指南,企業(yè)并不能通過對風(fēng)險管理指南和系列標(biāo)準(zhǔn)的學(xué)習(xí)指導(dǎo)如何搭建全面風(fēng)險管理體系,尤其是如何進行全面風(fēng)險的識別、分析和評價。
七、企航顧問風(fēng)險管理案例
一、企航顧問提供的風(fēng)險管理的服務(wù)項目
二、企航顧問風(fēng)險管理部分案例現(xiàn)場:
企航顧問已完成5,000+課時的風(fēng)險管理課程和200+風(fēng)險管理輔導(dǎo)項目——
世界500強日本神戶制鋼所神鋼壓縮機制造(上海)有限公司
日本愛思帝達(dá)耐時(上海)驅(qū)動系統(tǒng)有限公司
新加坡Hi-P赫比(上海)金屬工業(yè)有限公司
日本日東電工(上海松江)有限公司
艾迪西流體控制集團有限公司
日本日成塑料(上海)有限公司
……