ISO 认证标准制定了风险管理的原则与通用的实施指导准则。本标准适用于***公共、私有或社会企业、协会、团体或个人。因此,这一标准是通用的,而不局限于特定行业或部门。为便于陈述,本标准将***不同的对象都称之为“组织”。
ISO 认证标准应用于组织的整个生命过程,以及一系列***的活动、流程、职能、项目、产品、服务、资产、业务和决策。虽然本标准提供了通用的指导准则,但并不建议***组织实行统一的风险管理。风险管理的设计和实施取决于特定组织的不同需要、组织特定的目标、范围、组织结构、产品、服务项目、业务流程和具体操作。
IS0 风险管理认证框架的全部要素是强制性的.并且组织的董事会和***高管理者应对风险管理如何实施、评审和持续改进作出承诺。***终目标是:在实现目标的过程中确保风险得到***的关注。IS0 :风险管理框架倡导清楚地了解组织运作的关联度:风险管理政策必需清楚陈述组织对风险管理的承诺。更重要的是IS0 :标准要求组织识别其内部的风险.以确保责任和权限得到落实.例如.该标准对管理风险的责任人与负责特殊任务的人做了区分。
风险管理框架也提出如何将风险管理纳人组织结构中.风险管理需要成为组织管理体系的组成部分.它与业务的主流管理是一体的。
IS0 :包括的风险管理过程很好地参照了AS/NZS标准提供的方法.以下过程组成:沟通与咨询;建立关联度;由识别、分析和评价3步所构成的风险评估;风险处理;监测和评审。
IS0 :所提出的过程需要成为组织***层面如何管理业务的组成部分。组织的业务过程必须进行裁剪.并加入到组织的文化和实践中.从而使组织更具竞争力。组织***的活动应通过记录的方式实现可追溯性.以便为方法、工具以及***过程的改进提供基础。***终.IS:资料性附录给出了已经从事其风险管理并致力于实现较高水准的一些组织强化风险管理的特点。
