ISO 31000:2018《风险管理指南》标准解读
- 供应商
- 杭州好又快财务管理有限公司
- 认证
- 好又快
- GOOD
- 专业专注
- 高效快捷
- 高通过率
- 不通过不收费
- 联系电话
- 0571-87911962
- 手机号
- 17764573265
- 经理
- 吴经理
- 所在地
- 浙江省杭州市上城区大唐商务大厦809室
- 更新时间
- 2026-03-22 08:30
ISO31000:2018标准是ISO风险管理标准族的核心标准,为组织提供了一个通用的风险管理框架,帮助组织识别、评估、应对和监控风险,从而确保其战略目标的实现和持续发展。本文主要针对该标准的适用对象、使用说明、风险管理原则、框架和过程进行简要解读。
一、ISO31000:2018标准的适用对象。
(一)负责制定组织风险管理方针的人员,如组织的决策者;
(二)负责确保在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人员,如实施风险管理的人员;
(三)需要评定组织风险管理有效性的人员,如评估人员、审计人员;
(四)整体或部分地实施风险管理的标准、指南、程序和操作规范的开发者。
其他如股东、员工、债权人、供应商、代理商、监管机构等也是本标准的适用人群。不限制任何行业。
二、ISO 31000:2018标准的适用范围。
(一)提供了风险管理的原则和通用性指南,不针对任何特定行业或部门,可用于整个组织的生命周期及广泛的活动,包括战略和决策、运营、过程、职能、项目、产品、服务和资产。
(二)可以应用于任何类型的风险,无论其性质及是否有积极或消极的后果。
(三)尽管提供了风险管理的通用性指南,但风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标,状况、结构、运营、过程、职能、项目、产品、服务、或资产以及展开的具体实践。
(四)本标准是通用标准,旨在协调现有的和将来的标准中有关风险管理的内容。本标准提供通用的方法,主要是为制定具体风险或具体行业的管理标准提供支持,而不是为了替代这些标准。
三、风险管理关系结构
ISO31000:2018的核心框架是风险管理原则、框架与过程之间的关系结构图。如下图所示。
风险管理关系结构图
四、风险管理原则解读:
(一)价值的创造和保护
解读:
这是风险管理的核心原则和目的,将风险管理工作聚焦到组织价值的创造、保护和实现。组织要对风险管理的绩效进行评价。组织的目标和绩效改进可包括:人身健康与安全、治安措施、法律法规符合性、公众接受度、环境保护、产品质量、项目管理、运营效率、治理和名誉。
(二)整合的
解读:
从组织治理层面着眼,强调风险管理与各项管理活动的整合。其一,如果组织的某个过程没有实施风险管理,那么这个过程就是不完整的;其二,组织开展风险管理工作,不应像质量管理体系那样,制定一个独立的体系来运行,而是要把风险管理嵌入组织的其他各项活动中去。
(三)结构化和全面性
解读:
风险管理是结构化的和全面性的。“结构”是指系统内存在各个组成部分,及其它们之间的相互关系,相互作用的框架。结构化的方法是对组织各个组成部分的存在、设置,及其之间的作用进行分析,通过这一结构的运作而实现该结构的功能。
“全面”是指组织的所有决策都应考虑风险和风险管理。风险管理旨在组织内部全面开展,把风险控制在组织可接受的范围内。
(四)定制化
解读:
每个组织都有自己特定的生存环境,都有自己的特殊性,所以风险管理是定制的、个性化的,不可能完全复制或照抄照搬。
(五)包容性
解读:
利益相关方(特别是组织所有层级的决策者)对风险管理工作的适当和及时参与,包容各利益相关方、组织内各层级决策者对风险和风险管理的意见及建议。
(六)动态的
解读:
内外部环境和知识随时发生变化,随着风险监测与评审的执行,新的风险会出现,旧的风险也会发生变化甚至消逝。风险管理应该对变化保持持续的动态响应。
(七)有效信息利用
解读:
组织的信息可包括各类数据、经验、利益相关方的反馈,观察、预测和专家判断等。每个组织都需要建立自己的信息获取策略、信息获取渠道和信息获取手段,并注意识别数据和数据处理模型的缺陷或局限。
(八)人员与文化因素
解读:
人员与文化因素是组织管理的基础因素,人在风险管理中起决定作用。风险管理与组织的所有利益相关者都有密切联系,需要个利益相关方参与。的风险管理文化有利于组织全面提升风险管理能力。
(九)持续改进
解读:
风险管理是封闭的反馈循环过程,是一个能够适应环境变化的动态过程。组织应通过绩效测量、检查、调整、审计等手段,使风险管理得到持续改进。
五、风险管理框架概述。
风险管理框架核心为“领导力与承诺”,明确领导层在整个风险管理工作中的角色和职责;包含五个步骤:整合、设计、实施、评价、改进,这个框架遵循PDCA循环,从组织治理层面强调风险管理与各项管理活动的整合。
六、风险管理过程概述。
风险管理过程包含了:对范围、背景和标准的定义,风险评估的主流程——风险识别、风险分析、风险评价,风险应对,沟通与咨询,监控与评价,以及记录与报告。这些要素形成一个闭环流程。
强化了风险管理工作的迭代性质,提示了在每一个流程环节,随着新的实践、知识和分析能力下对流程要素、方案和控制的修正。
“原则轮”与“过程轮” 相互作用,强调风险管理原则要嵌入到风险管理过程之中。