ISO 31000
ISO 31000是一個與風險管理由國際標準化組織。ISO 31000:2018提供了有關管理風險的原則和通用準則,這些風險可能是組織負面面臨的,因為這些可能在經濟績效和專業聲譽方面具有後果。
ISO 31000試圖為採用風險管理流程的從業者和公司提供普遍認可的範式,以取代行業,主題和地區之間不同的現有標準,方法和範式。為此,可以將ISO 31000中提供的建議定制為任何組織及其上下文[1].
截至2020年,負責該標準家族的委員會ISO/TC 262已發布了五個標準,而提案/發展階段中還有其他四個標準。
- ISO 31000:2018-風險管理 - 準則
- ISO/TR 31004:2013-風險管理 - 實施ISO 31000指南
- IEC 31010:2019-風險管理 - 風險評估技術
- ISO 31022:2020-風險管理 - 管理法律風險的指南
- ISO 31030:2021旅行風險管理 - 組織指南
- IWA 31:2020-風險管理 - 有關在管理系統中使用ISO 31000的指南
正在開發的標準:
- ISO/AWI 31073-風險管理 - 詞彙
- ISO/WD 31050-管理新興風險以增強彈性的指南
- ISO/CD 31070-風險管理 - 核心概念指南
ISO還設計了它的ISO 21500與ISO 31000:2018保持一致的項目管理標準指南。[1]
介紹
ISO 31000於2009年11月13日作為標准出版,並提供了實施風險管理的標準。經過修訂和協調的ISO/IEC指南73同時出版。ISO 31000:2009的目的適用於“任何公共,私人或社區企業,協會,團體或個人”。[2]因此,ISO 31000的一般範圍(作為風險管理家族標準)並未針對特定行業組,管理系統或主題領域開發,而是為與風險管理有關的所有運營提供最佳實踐結構和指導。它開始了2015年5月13日首次修訂的過程。[3]2017年2月17日發布了一份公眾評論的國際標準草案(DIS)。[4]ISO 31000因缺乏牢固性和誤導性語言而受到批評。[5]
2018年初添加了對ISO 31000的更新。該更新不同,因為“ ISO 31000:2018提供了比ISO 31000:2009更多的戰略指導,並且更加重視高級管理人員的參與以及風險管理集成在該領域中組織。”[6]
範圍
ISO 31000:2018提供了一組原則,設計指南,實施風險管理框架以及用於應用風險管理流程的建議。ISO 31000中所述的風險管理過程可以應用於任何活動,包括各個級別的決策[2].
術語之間的區別風險管理框架和風險管理過程ISO描述如下:
風險管理框架 - 為設計,實施,指導,審查和不斷改善整個組織中的風險管理的基礎和組織安排的組件集。在PDCA週期,可以持續改進系統。[7]
風險管理流程 - 系統應用管理政策,程序和實踐在溝通,諮詢,建立環境以及識別,分析,評估,治療,監視和審查風險的活動中[3]。換句話說,ISO 31000的作用是正式化風險管理實踐,這種方法旨在促進需要更廣泛的採用企業風險管理適合多個“以筒倉為中心”的管理系統的標準。[8]
這種風險管理方法的範圍是在整個項目,功能和流程中啟用組織的所有戰略,管理和運營任務,以使其與一套通用的風險管理目標保持一致。
因此,ISO 31000適用於一個廣泛的利益相關者組,包括:
- 執行級別利益相關者
- 企業風險管理小組的約會持有人
- 風險分析師和管理人員
- 線經理和項目經理
- 合規性和內部審計師
- 獨立從業者。
定義
ISO 31000中提出的關鍵範式轉移之一是風險如何概念化和定義的變化。在ISO 31000:2009和ISO指南73下,“風險”的定義不再是“損失的機會或概率”,而是“不確定性對目標的影響” ...因此導致“風險”一詞來指代積極不確定性以及負面的後果。
在ISO 9001:2015中採用了類似的定義(質量管理系統標準[9]),將風險定義為“不確定性的影響”。此外,引入了與風險相關的新要求“基於風險的思維”[10]那裡。
同樣,在ISO 31000中建立了針對利益相關者的廣泛新定義,“可能會影響,或感知自己會受到決策或活動影響的人。”它是ISO 9001:2015中定義的“感興趣的一方”一詞的逐字定義。
框架方法
ISO 31000:2009是根據現有風險管理標準為/NZS 4360:2004(以AS/NZS ISO 31000:2009的形式)開發的。而最初澳大利亞標準方法提供了一個可以進行風險管理的過程,ISO 31000:2009解決了整個過程管理系統這支持風險管理流程的設計,實施,維護和改進。
執行
ISO 31000的意圖應在現有管理系統中應用,以正式化和改善風險管理流程,而不是批發替代傳統管理實踐。隨後,當實施ISO 31000時,應注意將現有風險管理流程集成在標準中涉及的新範式中。
許多ISO 31000“協調”程序的重點[11]已經以:
- 轉移企業風險管理中的問責差距
- 將治理框架的目標與ISO 31000保持一致
- 嵌入管理系統報告機制
- 創建統一的風險標準和評估指標
含義
雖然採用任何新標準可能對現有管理實踐具有重新工程含義,但在此標準中沒有規定符合條件的要求。描述了一個詳細的框架,以確保組織將具有“基礎和安排”嵌入所需的組織能力所需的“基礎和安排”,以維持成功的風險管理實踐。基金會包括風險管理政策,目標以及最高管理層的授權和承諾。安排包括計劃,人際關係,會計師,資源,流程和活動。
因此,高級職位持有人企業風險管理組織將需要意識到採用該標準的含義,並能夠制定有效的策略來實施標準,將其嵌入到包括供應鍊和商業運營在內的所有組織過程中的組成部分。[12]在涉及風險管理的領域中,可能會使用相對不老練的風險管理流程(例如安全和企業社會責任)運作的風險管理,需要進行更多的重大變化,例如製定明確明確的風險管理政策,正式化風險所有權流程,結構框架流程和結構化框架流程和採用持續改進計劃。
高層管理責任制,戰略政策實施和有效治理框架在內的某些方面將需要使用以前使用尚未指定此類要求的風險管理方法的組織進行更多考慮。
管理風險
ISO 31000列出瞭如何應對風險:
- 通過決定不開始或繼續引起風險的活動來避免風險
- 接受或增加風險以尋求機會
- 刪除風險來源
- 改變可能性
- 改變後果
- 與另一方或各方分享風險(包括合同和風險融資)
- 通過知情決定保留風險
認證
ISO 31000尚未開發出來認證。(2009)
歷史
年 | 描述 | |
---|---|---|
2009 | ISO 31000(第一版) | |
2018 | ISO 31000(第二版) |
也可以看看
- 附件SL
- 企業風險管理
- 國際災難和風險會議
- ISO 9000
- ISO 14001
- ISO 19600
- ISO 22000
- ISO 28000
- ISO 45001
- ISO 55000
- 操作風險管理
- PDCA
- 風險
- 風險評估
- 風險管理
- 風險管理工具
- 安全風險
參考
- ^“項目管理的新ISO標準”.ISO。 2012。
- ^ISO 31000目錄http://www.iso.org/iso/catalogue_detail.htm?csnumber=43170
- ^“ ISO 31000在2015-05-13開始的風險管理的修訂”.ISO。檢索2017-02-23.
- ^“ ISO/DIS 31000 - 風險管理 - 準則”.ISO。檢索2017-02-23.
- ^Aven,Terje和MarjaYlönen。“標准在安全和風險領域中的強大力量:對這些領域的適當發展的威脅。”可靠性工程與系統安全189(2019):279-286。
- ^https://www.iso.org/files/live/sites/isoorg/files/store/store/en/pub100426.pdf[裸露的URL PDF]
- ^“標準化風險管理:ISO 31000”.Ionos startupguide。檢索2022-06-16.
- ^“ Optaresystems.com”.www.optaresystems.com.
- ^“ ISO 9001:2015 - 剛剛出版!(2015-09-23)”.ISO。檢索2017-02-23.
- ^“風險和ISO 9001修訂”。檢索2017-02-23.
- ^“ Optaresystems.com”.www.optaresystems.com.
- ^對ISO採用的影響http://www.optaresystems.com/index.php/optare/publication_detail/iso_31000_update_what_it_it_it_will_will_mean_mean_for_a_cso/