探索推进ISO 31000风险管理系列标准的运用途径

◆严卓明 / 文

认证沙龙

探索推进ISO 31000风险管理系列标准的运用途径

◆严卓明 / 文

国际标准化组织（ISO）和国际电工委员会（IEC）于2009年末发布了适用于各种组织的风险管理国际标准ISO31000:2009《风险管理：原则与指南》（以下简称ISO31000）和ISO/IEC 31010:2009《风险管理 风险评估技术》等系列标准。在同年我国正式发布了国家标准GB/T 24353—2009《风险管理原则与实施指南》，作为我国各组织实施风险管理的标准，而该标准正是参照ISO/DIS 31000编制的；随后于2011年12月30日发布的GB/T 27921—2011《风险管理 风险评估技术》为参照ISO/IEC 31010:2009而编制。

一、lSO 31000风险管理标准核心内容

ISO31000是ISO于2004年着手开始制定，在广泛汇聚各国的风险管理成果的基础上，历时五年打造出的一套极其精炼的风险管理标准。该标准的核心内容由“原则”、“框架”及“过程”三部分构成（参见图1）。

ISO 31000标准提出了全面风险管理的首要原则是：它必须要为组织创造价值。换言之，提升正面影响和降低负面风险对组织的净效应要大于管理和控制风险的花费。该标准有助于各类组织有效管理风险。此外，ISO31000标准提出，全面风险管理是以一种相容性的、结构化的、增值性的方式来处理风险，它通过风险识别、风险分析、风险评价来确定这些风险是否需要处理以满足风险准则，而在整个风险管理流程中，都应与利益相关方保持定期的沟通与协商。

全面风险管理兴起于本世纪初，是目前风险管理发展的主流趋势。全面风险管理是一种站在整个组织角度所进行的整体化风险管理方式，其核心思想是：一个组织的风险来自很多方面，最终对组织产生影响的不仅仅是某一种风险，而是所有风险联合作用的结果，所以只有从组织整体角度进行风险管理才是最有效的。通过全面风险管理，组织能够更加明确自身的经营目标，更好地聚焦管理信息，更好地理解风险—收益平衡，从而提升组织的各种决策基础。

二、风险管理——风险评估技术的运用

ISO 31000系列标准中的ISO 31010:2009《风险管理——风险评估技术》，为依据ISO 31000开展风险管理活动的组织提供技术支持，用于指导组织选择合适的风险评估工具并正确使用。风险评估活动旨在通过提供基于事实的信息并进行分析，就如何处理特定风险以及如何选择风险应对策略进行科学决策。在风险管理过程中，风险评估并非一项独立的活动，必须整合到风险管理过程的其它组成部分中。通过风险评估，决策者及有关各方可以更深刻地认识那些可能影响组织目标实现的风险以及现有风险控制措施的充分性和有效性，为确定最合适的风险应对方法奠定基础。风险评估的结果可作为组织决策过程的输入。风险评估是由风险识别、风险分析及风险评价构成的一个完整过程。该过程的开展方式不仅取决于风险管理过程的背景，还取决于开展风险评估工作所使用的方法与技术。

图1

我们知道，各种类型和规模的组织在经营发展中都面临内部和外部的使组织不能确定是否及何时实现目标的因素和影响。这种不确定性所具有的对组织目标的影响就定义为“风险”。因此，任何类型和规模的组织都面临风险，组织的所有活动也都涉及风险。风险会影响组织目标的实现。风险管理适用于组织的全生命周期及其任何阶段，为组织的运营和决策及有效应对各类突发事件提供支持。许多活动、项目和产品被认为具有生命周期，即显示出从最初的概念和定义、实现到最终结束的过程。风险评估可以应用于生命周期的所有阶段，而且通常以不同的详细程度被应用多次，以便为每一阶段做出的决策提供帮助。

ISO 31010:2009《风险管理——风险评估技术》可用于指导组织选择合适的风险评估技术，该标准的附录A按适用阶段和影响因素，对常用的31种风险评估技术进行了分类比较。通过标准描述我们可以知道，在风险识别、风险分析和风险评价过程中，并非31种方法均能适用，而应根据实际情况选择合适的风险评估技术，复杂情况下可能需要同时采用多种评估技术和方法。在附录B中，对这些常用的风险评估技术和方法展开了进一步的详细介绍，为组织如何在特定情况下选择合适的风险评估技术提供参考。

三、运用风险管理标准的实践

根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会于2008年6月28日颁布了《企业内部控制基本规范》，自2009年7月1日起开始实施。按照此规范要求，目前我国大多数组织所实施的风险管理还侧重于资财方面的风险管理，而未正式开展全面风险管理工作。

上海质量体系审核中心日前接受一家公司的委托，对该公司的风险管理过程实施现场评价，了解其风险管理过程是否已整合到组织的整体治理、战略和规划、管理、报告过程、方针和文件化中。通过采用GB/T 19004—2011《追求组织持续成功——质量管理方法》管理体系成熟度评价方法，参照ISO31000:2009《风险管理 原则与指南》标准要求，对该公司的风险管理绩效进行评价，包括实施风险管理关键要素和具体要素两个部分的内容要求，对照获取的信息内容进行差距分析和评估，由《风险管理实践指数定量评价软件系统》给出量化评价结果。

表1 风险管理关键要素评价分值

图2 风险管理关键要素评价雷达图

基于现场评价采集获取的信息和数据，借助《风险管理实践指数定量评价软件系统》对风险管理的内容进行差距分析和评估，获得评价结果如下：

风险管理关键要素评价指数710分、风险管理具体要素评价指数为715分，得出综合风险管理评价指数712.5分（满分1000分），风险管理级别为A-（详见表1、表2、图2、图3）。

通过图、表，我们可以清楚地获悉并分析其存在的差距。从图、表中可以看出，该公司存在的差距主要在于组织内的风险评价过程和控制措施尚不够完善，以及组织缺乏系统的内部控制等方面。

四、结束语

随着企业的发展，一些组织暴露出缺乏对控制制度进行动态的更新以及外部环境发生变化时的应对策略，对一些重要事项缺乏事前谨慎论证的制度约束问题。对于风险的评估，多数组织采用了风险矩阵法实施对风险的评估，作为一种简单、易用的结构性风险管理方法，在项目管理实践中具有优势；而在管理过程中结合实际情况我们还可以采用诸如失效模式和效应分析、危险与可操作性分析、以可靠性为中心的维修等适用于风险评估过程的方法，以达到充分识别各类潜在的风险并加以有效地控制。

表2 风险管理具体要素评价分值

图3 风险管理具体要素评价雷达图

我们相信随着对ISO 31000系列标准的进一步深入了解，风险管理标准明确组织应当设计适当的制度和行为规范，建立风险管理工作程序，特别是整个组织层面的风险管理计划，以保证风险管理嵌入到组织的所有活动和过程之中，尤其是组织的战略策划、运营过程以及变革管理之中，而不是要求再单独建立一整套管理体系，风险管理过程宜是整合到管理中的一部分。现今为组织所掌握并运用的ISO9001质量管理体系、ISO 14000环境管理体系、OHSAS 18001职业健康安全管理体系以及ISO/IEC 27001信息安全管理体系等标准从质量风险、环境影响的风险、员工健康安全风险和信息安全风险的预防控制方面为组织的管理起到了一定的推进作用。正在修订中的ISO 9001：2015标准（CD稿）其中的一项重大变化也已明确要求通过建立系统化的方法进行风险识别并降低组织的风险。

风险管理基于事前预防，是一种规避组织风险的决策管理方式。在今后的组织管理活动中ISO 31000系列标准将不断为我们熟知和运用，嵌入组织文化和实践之中并针对组织的管理过程进行运作，通过评价公司风险管理的成熟度等级，识别改进机会，帮助组织有效地管理风险。

（作者单位：上海质量体系审核中心）