ISO31000认证 阐述风险管理体系各要素之间的逻辑关系
ISO31000:2009《风险管理-原则与指南》标准由国际标准化组织于2009年11月15日发布,开启了人类标准化风险管理的新起点。虽然目前在中国没有推出正式版本,在中国企业管理界推广应用也较少,但其对风险、风险评估、风险管理与应对等的诠释及原则性指引具有很好的借鉴意义。
1. 风险管理原则、框架、过程之间的关系
标准中给出了风险管理原则、总体框架及风险管理过程,三者之间的关系,这也是ISO31000标准的核心构成与核心思路。
2. “风险”的最新定义与内涵
ISO31000对“风险”一词的最新定义,赋予了“风险”丰富的且不同以往的内涵,诞生了一个全新的“风险观”。
(1)风险的未来属性:风险直接与未来有关,谈论风险就是谈论未来,发现风险就是发现未来,面对风险就是面对未来,应对风险就是应对未来,赢得风险就是赢得未来。
(2)风险的两重性:标准中赋予了风险中性特性,既具有威胁,也具有机会,纠正了以往偏向负面的风险内涵。
(3)风险的不确定性:不确定性是风险一词的内核,管理风险即使管理不确定性,所以风险管理更关注未来,必须识别和管理不确定性,以期改变它对目标的影响。
(4)风险的事件性:由于风险的未来属性,与风险相关的事件一定是“潜在事件”,是今天没有发生的,可能在未来某一时间点发生的事件。
(5)风险的二维表示:风险的评价通过发生可能性和发生后果两个维度表示,而且,要完成一个风险的表示,需要对这两个维度进行赋值,确定它们的数值标准(可以定量也可以半定量),这便是风险准则中最为核心的内容。
(6)风险的信息性:不确定性的根源在于缺乏信息,如果有了对潜在事件、后果、可能性的足够信息,就可以实现对它们的认识和了解,变“不确定性”为“确定性”。
3. 风险管理的框架各组成部分之间的关系
ISO31000中给出了管理风险框架设计的七个主要内容,即了解组织及其环境、建立风险管理方针、责任、整合入组织过程、资源、建立内部沟通和报告机制、建立外部沟通和报告机制。同时,对授权与承诺、管理风险框架、实施风险管理、监测与评审、持续改进等内容之间的循环关系进行了诠释。
4. 风险管理过程
标准中对风险管理过程进行了阐述,其主循环流程由“建立环境→ 风险评估 → 风险应对 →监测与评审”构成,其中,风险评估又分为风险识别、风险分析与风险评价三个阶段,监测与评审不仅是循环流程中的一个子过程,还需要嵌入“建立环境、风险评估、风险应对“三个子过程,同时,这三个子过程还要嵌入到沟通与咨询、监测与评审两个子过程中。
整个风险管理过程特别强调建立环境(包括内部环境与外部环境)阶段的重要性,每个循环的起点都是建立环境,终点是监测与评审,其结果还应对风险管理框架的评审提供输出。
5. 记录风险管理过程
标准中特别提出风险管理活动应可追溯,与所有过程一样,在风险管理进程中,记录相关过程信息,便于风险管理活动的追溯。同时,创建、保留、维护记录是要有资源投入的,应考虑到记录的成本与记录效果之间的关系,在一定的记录成本下,发挥记录的最大作用。
ISO31000认证流程
ISO31000认证流程主要包括以下几个步骤:
1. 申请认证
首先,企业需要向认证机构提交ISO31000认证的申请,并提供必要的材料和资料。这些资料可能包括但不限于企业营业执照、组织架构图、企业简介等。
2. 初步评估
认证机构会对企业的申请进行初步评估,确定企业是否符合ISO31000标准要求。
3. 系统评估
认证机构会对企业的风险管理体系进行现场评估和审核,评估包括风险管理策略、风险评估、风险控制、风险信息管理等。
4. 评估报告
认证机构会根据评估结果,编写评估报告,评估报告包括评估结论、建议和评估报告总结等。
5. 认证决定
认证机构会根据评估报告,决定是否颁发ISO31000体系认证证书。
6. 监督评估
认证机构会定期或不定期地对企业风险管理体系进行监督评估,以确保企业一直符合ISO31000标准要求。
注意事项
时间要求:一般来说,企业需要至少运行三个月,并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部质量体系审核。
资料准备:企业需要准备好相关的资质证明、生产许可证复印件等6.
认证周期:ISO31000认证的周期可能会因为企业的具体情况和认证机构的工作进度而有所不同,一般情况下,从申请到获得证书,整个过程可能需要几个月的时间。
以上信息仅供参考,具体的认证流程可能会因认证机构的不同而有所差异。因此,在申请认证之前,建议企业详细咨询相关的认证机构,以便了解具体的流程和要求。
