2022年10月12日国家市场监督管理总局、国家标准化管理委员会发布GB/T 24353-2022《风险管理指南》,该标准等同采用ISO 31000 :2018《风险管理指南》。
ISO 31000新旧版对比
ISO 31000:2009 风险管理的原则、框架和过程及其之间的相互关系
ISO 31000:2018 风险管理的原则、框架和过程及其之间的相互关系
ISO 31000:2018原则、框架、过程“三轮车图”与ISO 31000:2009 “方框图”相比表现形式变化明显,新版用三个圆形分别表示了原则、框架和过程。
——“原则轮”核心内容为“创造与保护价值”,另外有八项原则。
——“框架轮”核心为“领导力与承诺”,包含五个步骤:整合、设计、实施、评价、改进,这个框架遵循PDCA循环。
——“过程轮”包含了:对范围、背景和标准的定义,风险评估的主流程——风险识别、风险分析、风险评价,风险应对,沟通与咨询,监控与评价,以及记录与报告。这些要素形成一个闭环流程。
ISO 31000:2018与ISO 31000:2009相比:
——风险管理原则由11项原则缩减为9项,突出了“整合”的风险管理原则,注重“价值创造与保护”这一核心原则和目的,明确将组织的风险管理工作聚焦到创造和保护价值。
——框架部分,仍然采用PDCA模型,但强化了“领导力与承诺”的核心作用,明确领导层在整个风险管理工作中的角色和职责;增加了“整合”这一环节,从组织治理层面着眼,强调风险管理与各项管理活动的整合。
——“原则轮”与“过程轮” 相互作用,强调风险管理原则要嵌入到风险管理过程之中。
——“记录与报告”被列为风险管理“过程轮”的一部分,贯穿于整个风险管理过程。
——更加强化了风险管理工作的迭代性质,提示了在每一个流程环节,随着新的实践、知识和分析能力下对流程要素、方案和控制的修正。
——为了满足多样化的需求,保持一个更加开放和包容的系统,精简了一部分内容。
ISO 31000的作用
ISO 31000向组织提供了一个开发、实施和持续改进风险管理的框架及方法,帮助组织实现有效的风险管理,从而为组织的决策和运营以及有效应对突发事件提供支持。
有效的风险管理能够改善组织绩效、鼓励创新、支持组织实现目标。通过在组织中实施和整合管理风险过程,还可以获得以下好处:
——为相关方提供持续的、一致的和可靠的信息;
——更加清晰、知情的决策;
——快速发现、捕获以及响应机会与风险;
——更高效地使用和分配资金和其他资源;
——减少损失的可能性和影响;
——更低的合规/审核成本;
——通过使用风险信息,简化和改进过程,节约成本,提高运行效率。
ISO 31000的适用性
ISO 31000不是管理体系标准,不用于认证,但组织可依据该标准进行自评或委托第二方开展成熟度评估。
ISO 31000适用于任何形式的组织,包括任何公共、私有或社会企业、协会、团体或个人,也适用于组织全生命周期的任何活动,包括所有层级的决策制定、活动、流程、项目、产品、服务和业务等。
很多企业已经建立了质量管理体系、环境管理体系、职业健康安全管理体系,有些还建立了资产管理体系、信息安全管理体系,有些正在考虑建立合规管理体系、业务连续性管理体系。这些管理体系帮助企业识别和管控到了某些方面的风险,并不能做到全面风险管理,而ISO 31000提供了一个风险管理的框架和方法。
企业依据ISO 31000建立适合自身的风险管理框架,将风险管理原则及实施流程整合入各项活动中,包括治理、战略、策划、管理、报告等经营活动,同时也将风险管理文化嵌入到组织文化和实践中,通过系统地识别风险,开展专业风险分析与评估,制定与采取风险应对措施,帮助组织实现有效的风险管理,从而支持组织实现目标。
SGS可以提供哪些ISO 31000相关服务?
● 风险管理体系培训:讲解ISO 31000基本框架、流程,风险的识别、分析和评价方法,风险管理体系建立以及与现有管理体系整合。
● 风险管理体系建立辅导:依照ISO 31000原则、框架和流程,协助企业建立风险管理体系。
● 风险管理体系成熟度评估:对企业风险管理体系进行成熟度评估,协助企业发现改进机会。