◆嚴卓明 / 文

認證沙龍

探索推進ISO 31000風險管理系列標準的運用途徑

◆嚴卓明 / 文

國際標準化組織（ISO）和國際電工委員會（IEC）于2009年末發(fā)布了適用于各種組織的風險管理國際標準ISO31000:2009《風險管理：原則與指南》（以下簡稱ISO31000）和ISO/IEC 31010:2009《風險管理 風險評估技術》等系列標準。在同年我國正式發(fā)布了國家標準GB/T 24353—2009《風險管理原則與實施指南》，作為我國各組織實施風險管理的標準，而該標準正是參照ISO/DIS 31000編制的；隨后于2011年12月30日發(fā)布的GB/T 27921—2011《風險管理 風險評估技術》為參照ISO/IEC 31010:2009而編制。

一、lSO 31000風險管理標準核心內容

ISO31000是ISO于2004年著手開始制定，在廣泛匯聚各國的風險管理成果的基礎上，歷時五年打造出的一套極其精煉的風險管理標準。該標準的核心內容由“原則”、“框架”及“過程”三部分構成（參見圖1）。

ISO 31000標準提出了全面風險管理的首要原則是：它必須要為組織創(chuàng)造價值。換言之，提升正面影響和降低負面風險對組織的凈效應要大于管理和控制風險的花費。該標準有助于各類組織有效管理風險。此外，ISO31000標準提出，全面風險管理是以一種相容性的、結構化的、增值性的方式來處理風險，它通過風險識別、風險分析、風險評價來確定這些風險是否需要處理以滿足風險準則，而在整個風險管理流程中，都應與利益相關方保持定期的溝通與協(xié)商。

全面風險管理興起于本世紀初，是目前風險管理發(fā)展的主流趨勢。全面風險管理是一種站在整個組織角度所進行的整體化風險管理方式，其核心思想是：一個組織的風險來自很多方面，最終對組織產(chǎn)生影響的不僅僅是某一種風險，而是所有風險聯(lián)合作用的結果，所以只有從組織整體角度進行風險管理才是最有效的。通過全面風險管理，組織能夠更加明確自身的經(jīng)營目標，更好地聚焦管理信息，更好地理解風險—收益平衡，從而提升組織的各種決策基礎。

二、風險管理——風險評估技術的運用

ISO 31000系列標準中的ISO 31010:2009《風險管理——風險評估技術》，為依據(jù)ISO 31000開展風險管理活動的組織提供技術支持，用于指導組織選擇合適的風險評估工具并正確使用。風險評估活動旨在通過提供基于事實的信息并進行分析，就如何處理特定風險以及如何選擇風險應對策略進行科學決策。在風險管理過程中，風險評估并非一項獨立的活動，必須整合到風險管理過程的其它組成部分中。通過風險評估，決策者及有關各方可以更深刻地認識那些可能影響組織目標實現(xiàn)的風險以及現(xiàn)有風險控制措施的充分性和有效性，為確定最合適的風險應對方法奠定基礎。風險評估的結果可作為組織決策過程的輸入。風險評估是由風險識別、風險分析及風險評價構成的一個完整過程。該過程的開展方式不僅取決于風險管理過程的背景，還取決于開展風險評估工作所使用的方法與技術。

圖1

我們知道，各種類型和規(guī)模的組織在經(jīng)營發(fā)展中都面臨內部和外部的使組織不能確定是否及何時實現(xiàn)目標的因素和影響。這種不確定性所具有的對組織目標的影響就定義為“風險”。因此，任何類型和規(guī)模的組織都面臨風險，組織的所有活動也都涉及風險。風險會影響組織目標的實現(xiàn)。風險管理適用于組織的全生命周期及其任何階段，為組織的運營和決策及有效應對各類突發(fā)事件提供支持。許多活動、項目和產(chǎn)品被認為具有生命周期，即顯示出從最初的概念和定義、實現(xiàn)到最終結束的過程。風險評估可以應用于生命周期的所有階段，而且通常以不同的詳細程度被應用多次，以便為每一階段做出的決策提供幫助。

ISO 31010:2009《風險管理——風險評估技術》可用于指導組織選擇合適的風險評估技術，該標準的附錄A按適用階段和影響因素，對常用的31種風險評估技術進行了分類比較。通過標準描述我們可以知道，在風險識別、風險分析和風險評價過程中，并非31種方法均能適用，而應根據(jù)實際情況選擇合適的風險評估技術，復雜情況下可能需要同時采用多種評估技術和方法。在附錄B中，對這些常用的風險評估技術和方法展開了進一步的詳細介紹，為組織如何在特定情況下選擇合適的風險評估技術提供參考。

三、運用風險管理標準的實踐

根據(jù)國家有關法律法規(guī)，財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會于2008年6月28日頒布了《企業(yè)內部控制基本規(guī)范》，自2009年7月1日起開始實施。按照此規(guī)范要求，目前我國大多數(shù)組織所實施的風險管理還側重于資財方面的風險管理，而未正式開展全面風險管理工作。

上海質量體系審核中心日前接受一家公司的委托，對該公司的風險管理過程實施現(xiàn)場評價，了解其風險管理過程是否已整合到組織的整體治理、戰(zhàn)略和規(guī)劃、管理、報告過程、方針和文件化中。通過采用GB/T 19004—2011《追求組織持續(xù)成功——質量管理方法》管理體系成熟度評價方法，參照ISO31000:2009《風險管理 原則與指南》標準要求，對該公司的風險管理績效進行評價，包括實施風險管理關鍵要素和具體要素兩個部分的內容要求，對照獲取的信息內容進行差距分析和評估，由《風險管理實踐指數(shù)定量評價軟件系統(tǒng)》給出量化評價結果。

表1 風險管理關鍵要素評價分值

圖2 風險管理關鍵要素評價雷達圖

基于現(xiàn)場評價采集獲取的信息和數(shù)據(jù)，借助《風險管理實踐指數(shù)定量評價軟件系統(tǒng)》對風險管理的內容進行差距分析和評估，獲得評價結果如下：

風險管理關鍵要素評價指數(shù)710分、風險管理具體要素評價指數(shù)為715分，得出綜合風險管理評價指數(shù)712.5分（滿分1000分），風險管理級別為A-（詳見表1、表2、圖2、圖3）。

通過圖、表，我們可以清楚地獲悉并分析其存在的差距。從圖、表中可以看出，該公司存在的差距主要在于組織內的風險評價過程和控制措施尚不夠完善，以及組織缺乏系統(tǒng)的內部控制等方面。

四、結束語

隨著企業(yè)的發(fā)展，一些組織暴露出缺乏對控制制度進行動態(tài)的更新以及外部環(huán)境發(fā)生變化時的應對策略，對一些重要事項缺乏事前謹慎論證的制度約束問題。對于風險的評估，多數(shù)組織采用了風險矩陣法實施對風險的評估，作為一種簡單、易用的結構性風險管理方法，在項目管理實踐中具有優(yōu)勢；而在管理過程中結合實際情況我們還可以采用諸如失效模式和效應分析、危險與可操作性分析、以可靠性為中心的維修等適用于風險評估過程的方法，以達到充分識別各類潛在的風險并加以有效地控制。

表2 風險管理具體要素評價分值

圖3 風險管理具體要素評價雷達圖

我們相信隨著對ISO 31000系列標準的進一步深入了解，風險管理標準明確組織應當設計適當?shù)闹贫群托袨橐?guī)范，建立風險管理工作程序，特別是整個組織層面的風險管理計劃，以保證風險管理嵌入到組織的所有活動和過程之中，尤其是組織的戰(zhàn)略策劃、運營過程以及變革管理之中，而不是要求再單獨建立一整套管理體系，風險管理過程宜是整合到管理中的一部分?，F(xiàn)今為組織所掌握并運用的ISO9001質量管理體系、ISO 14000環(huán)境管理體系、OHSAS 18001職業(yè)健康安全管理體系以及ISO/IEC 27001信息安全管理體系等標準從質量風險、環(huán)境影響的風險、員工健康安全風險和信息安全風險的預防控制方面為組織的管理起到了一定的推進作用。正在修訂中的ISO 9001：2015標準（CD稿）其中的一項重大變化也已明確要求通過建立系統(tǒng)化的方法進行風險識別并降低組織的風險。

風險管理基于事前預防，是一種規(guī)避組織風險的決策管理方式。在今后的組織管理活動中ISO 31000系列標準將不斷為我們熟知和運用，嵌入組織文化和實踐之中并針對組織的管理過程進行運作，通過評價公司風險管理的成熟度等級，識別改進機會，幫助組織有效地管理風險。

（作者單位：上海質量體系審核中心）