盧新瑞

摘 要：本文介紹ISO31000最新版《風險管理指南》與原版本的主要變化，綜述新標準的主要內容，探討解析新理念，以期使組織管理更加標準和科學。

關鍵詞：風險管理 框架 戰(zhàn)略 目標 績效

中圖分類號：F239.45 文獻標識碼：A 文章編號：2096-0298（2018）07（b）-165-02

1 背景及變化

自2009年發(fā)布全球第一版風險管理指南，時隔9年，國際標準組織（ISO）于2018年2月15日更新發(fā)布ISO31000《風險管理指南》這一關鍵標準（下稱指南或標準）。

新指南仍然定位于“任何 組織、任何類型、全生命周期、任何活動”，強調指南在風險管理領域的普遍適用性。新標準相對老標準變化主要體現(xiàn)在四個方面：（1）風險管理原則審查，這是其成功的關鍵標準；（2）從組織治理入手，強調高級管理層的領導以及風險管理的整合；（3）更加強化風險管理的迭代性質，提出在每一個流程環(huán)節(jié)，新的實踐、知識和分析可以引發(fā)對流程要素、行動和控制的修正；（4）精簡內容，更加注重支撐一個開放的系統(tǒng)模型，以適應多樣化的需求和環(huán)境。

2 主要內容

新指南采用三輪圓形（如圖1所示）呈現(xiàn)，三個圓形圖分別表示風險管理的原則、框架和流程。該三輪圓形模式比第一版示意圖形式（如圖2所示）更能體現(xiàn)原則、框架和流程三部分之間的相互作用關系，也使指南內容的描述更清晰簡潔、更易理解、更加注重和企業(yè)管理活動的融入與整合。新指南對每部分內容進行了較大修改。

其中，關于風險管理原則部分，第一版共有十一項，分別為：（1）創(chuàng)造價值；（2）組織流程的組成部分；（3）決策的一部分；（4）明確指出不確定性；（5）系統(tǒng)性、結構性和時效性；（6）最佳可用信息；（7）定制化；（8）考慮人員和文化因素；（9）透明度和包容性；（10）動態(tài)、持續(xù)的應對變化；（11）持續(xù)改進與強化。

新版指南明確，風險管理原則最核心的內容為“價值創(chuàng)造和保護”，并在開篇就點出了風險管理工作的第一原則：與組織所有活動的整合。表明風險管理是與組織相關的所有活動的組成部分，不是一項獨立于其他管理和業(yè)務活動的工作。其余八項原則為：（1）整合的。風險管理是組織所有活動的組成部分；（2）結構化和全面性。風險管理的結構化和全面性有助于獲得一致和可比較的結果；（3）定制化。風險管理框架和流程是根據(jù)組織與其目標的外部和內部背景來制定的，并與其密切相關；（4）包容的。需要考慮利益相關方的適當和及時參與，融入他們的知識、觀點和看法。這可以使相關方提高風險管理意識并智慧地管理風險；（5）動態(tài)的。隨著組織內部和外部環(huán)境的變化，風險可能會出現(xiàn)、變化或消失。風險管理會以適當和及時的方式預測、監(jiān)控、掌握和響應這些變化和事件；（6）最佳可用信息。風險管理的輸入是基于歷史和當前的信息以及未來預期。風險管理應明確考慮到與這些信息和期望相關的任何限制和不確定性。信息應及時、清晰地提供給相關的利益相關方；（7）人員與文化因素。人員行為和文化明顯影響風險管理在不同層面和階段的各個方面；（8）持續(xù)改進。通過學習和經(jīng)驗積累，不斷提高風險管理水平。

關于風險管理框架部分，目的是協(xié)助組織將風險管理納入重要的活動和職能。風險管理的有效性取決于是否將其納入組織治理和決策中。這需要利益相關方，特別是最高管理層的支持。此次更新的框架強化了領導層的職責和整合的重要性，核心是領導力與承諾，明確高級管理層和監(jiān)督機構應確保風險管理融入組織所有活動。體現(xiàn)為五個步驟：整合、設計、實施、評價、改進，并前后有序。

風險管理整合是一個動態(tài)和反復優(yōu)化的過程，應該根據(jù)組織的需求和文化進行定制。風險管理應該成為組織目的、治理、領導力和承諾、戰(zhàn)略、目標和運營的一部分。設計風險管理框架時，高級管理層和監(jiān)督機構應通過政策、聲明或其他形式在組織內部和向利益相關方明確表達組織的目標以及對風險管理的持續(xù)承諾，確保分配和傳達有關風險管理的權限和職責，分配適當?shù)馁Y源，建立溝通和咨詢方式以支持框架和促進風險管理的有效應用。

風險管理流程部分，強調了范圍與標準，突出了記錄和報告，包含范圍、背景和標準，風險評估的經(jīng)典流程—風險識別、風險分析、風險評價，風險應對，風險記錄與報告，溝通與咨詢，監(jiān)控與審查。以上六大要素貫穿于整個風險管理過程。

該三輪圓形圖提煉了整個ISO31000風險管理指南的所有內容，指南的全文都圍繞著這個三輪圓形圖來展開論述。

3 探討及理念

3.1 整合

原則部分和框架部分都將“整合”作為第一個要素，其重要性可見一斑。風險管理，不是一項獨立于其他管理和業(yè)務活動的工作，而是與包括和利益相關方互動在內的其他管理活動緊密融合的一項工作，應力戒探索實踐中通常出現(xiàn)的“形式主義”。新版指南希望能夠將“整合”的思想傳遞的更加清晰和明確，促使人們去整合資源，形成合力，解決風險問題。此處整合的概念與2006年6月國務院國資委發(fā)布的《中央企業(yè)全面風險管理指引》中全面風險管理有異曲同工之妙。COSO最新版風險管理框架出臺后，也將其征求意見稿中的“協(xié)調一致”改為“整合”，并強調風險管理對于戰(zhàn)略計劃和嵌入整個組織的重要性。

ISO風險管理技術委員會主席Jason Brown解釋，ISO31000提供了一個風險管理框架，支持所有活動，包括組織內各個層次的決策。ISO31000框架及其流程應與管理系統(tǒng)集成，以確保組織所有領域管理控制的一致性和有效性。孤立的風險管理工作并無實際意義，應該與組織的所有管理活動整合，成為任何管理經(jīng)營活動的一部分，包括但不限于：戰(zhàn)略和規(guī)劃、公司治理、人力資源、合規(guī)、質量、健康與安全、業(yè)務連續(xù)性、危機管理與安全管理、組織抗風險能力，IT等。

3.2 領導力

風險管理框架最核心的內容為“領導力與承諾”，強化了領導層在風險管理工作中的角色。按照ISO風險管理技術委員會主席Jason Brown所言，修訂版重點在于與組織的整合，領導者的角色及其責任，這將有助于強化風險管理是組織管理不可分割的一部分。

指南明確，風險管理是組織治理和領導力的一部分，對于組織在各個層面的管理至關重要，這也表明風險管理工作應自上而下傳導。COSO新版框架在解釋風險管理的定義是一種文化、能力和實踐的具體內容時，也同樣提供了同樣的觀點。

3.3 弱化不確定性

與2009版指南對照，可以看出國際標準組織針對風險管理原則也在不斷深入、擴展。但需要關注的是，新版指南弱化了不確定性，并在風險管理原則中刪除“明確指明不確定性”的內容。而“不確定性”是區(qū)分風險管理與其他管理工作的重要特征，并且老版指南和新版指南均使用的風險定義“不確定性對目標的影響”中關鍵要素之一就是不確定性。

3.4 宏觀定位

系統(tǒng)來看，新指南比上一版更加簡化，更加著重宏觀層面，沒有給出任何實施細則和操作步驟，可以看出，其定位在于試圖解決思想意識和頂層設計問題。

新標準的發(fā)布在推動企業(yè)建立和完善企業(yè)風險管理體系的同時，也一定會推動以“風險為導向”的內部審計工作的進一步發(fā)展。

4 結語

當今社會風云變幻，組織發(fā)展總會需要承擔這樣或那樣的風險，正如ISO31000專家組主席凱文？奈特所講，最大的風險是不承擔任何風險，不承擔風險也就失去了明天。但應該承擔什么樣的風險，承擔多大程度的風險，是組織發(fā)展需要深入研究的課題。組織應該更加重視風險管理，最新發(fā)布的ISO31000《風險管理指南》或許能使組織管理更加標準和科學。

參考文獻

[1] The Committee of Sponsoring Organizations of the Treadway Commission（COSO），2017，“Enterprise Risk Management Integrating with Strategy and Performance Executive Summary”，COSO.

[2] The Committee of Sponsoring Organizations of the Treadway Commission（COSO）， 2017，“Enterprise Risk Management Integrating with Strategy and Performance Frequently Asked Questions”，COSO.

[3] The International Organization for Standardization（ISO），2018，“ISO31000：2018，Risk Management Guidelines”，ISO.