ISO31000对应国标是什么
一、中国首次等同采用ISO31000国际标准
2018年春节,国际标准化组织ISO发布了ISO31000《风险管理 指南》标准正式文件,这是自其2009年发布的全球第一版风险管理指南之后,第一次对其文件进行的更新和升级。
在那之后,我花了很多时间来翻译和解读这份新标准,就是希望中国企业和从业者可以最快了解到这份风,险管理领域的新文件,作为风险管理标准领域的”总纲“,这份标准的重要意义是不言而喻的。
同时,作为国家标准委全国风险管理标准化技术委员会中的一员,我也在同步参与和推动国家标准的转化和更新工作。历经数次翻译/整理/研讨/报批,在ISO31000发布四年半之后,国家标准《风险管理 指南》(GB/T 24353-2022)终于在2022年10月12日发布并实施,用以替代2009年的国标版本,而且与上-版国标”参考编制“不同,本次对ISO31000:2018是等同采用。
本标准的发布,实现了风险管理国家标准和国际标准的首次统一,对于中国企业在此领域与国际企业同步有重要意义。
二 、国内与国际风险管理标准化差异
2009年9月30日,国家标准委发布了第一版《风险管理 原则与实施指南》(GB/T 24353-2009) 国家标准,实施日期为2009年12月1日。当时,ISO31000正在流程审批阶段并发布了征求意见稿(DIS),但还未正式发布,所以第一版的中国国家风险管理标准是参考ISO31000《风险管理 指南》标准而编制的。
2009年11月15日,ISO公布了正式版ISO31000标准。
这是一个尴尬的时间点,为什么?
因为距离中国发布的国家标准刚过去一个半月,而距离中国标准实施还有半个月,ISO却偏偏卡在这两个时间中间发布了。
重新修改国家标准显然已不可能,最关键的问题是,中国的国家风险管理标准文件和ISO的正式版标准差异非常明显。
中国的国家标准中仅包含了一个风险管理过程示意图,仅与ISO标准中的过程部分对应,却缺少其余两个部分的内容,特别是对其中框架部分的内容是有实质性内容缺失的。
其中过程部分只有“监督和检查”,缺少另外一只胳膊“沟通与咨询”(也有专家建议翻译为沟通与协商)
这使很多企业在实施中国标准和国际标准时需要应对这种差异,之前我曾多次收到航空航天系统企业的反馈,他们非常反对国家标准和国际标准有如此大的差异,还是认为国家标准与国际标准实施统一标准是最简便的方式。
三、新版国标给风险管理工作的几点启示
图:新国标原则、框架和过程
新版的国家标准中的原则、框架和过程图如上,我称之为"三轮车”图,和我在ISO刚刚发布时翻译的版本有细微出入,请以此正式版为准。
1、创造与保护价值并重
风险管理的目的是创造和保护价值。风险管理能够改善绩效、鼓励创新、支持组织目标的实现。GB/T24353-2022:4 原则
我们曾多次在前期文章中提及,风险管理工作要聚焦在组织的价值创造活动,支持或协助组织更好的进行价值创造和保护。COSO组织2017年发布的新版企业风险管理框架也是将企业的风险管理工作聚焦到企业价值的创造、保护和实现;同样,新版“三道防线”理论,也强调第二道防线和第一道防线利益的一致性,强调风险管理要赋能核心价值流,都是聚焦于企业价值的实现为最终目标。
企业开展风险管理工作也是一样,一要聚焦如何支持企业“打粮食”,把实现丰收作为第一要务:另外就是要让企业留够“口粮”,年景再差的时候也能够顺利“过冬”
2、抓住“决策”这个牛鼻子
风险管理通过考虑不确定性及其对目标的影响,采取相应的措施,为组织的决策和运营以及有效应对名类突发事件提供支持。风险管理旨在保证组织恰当地应对风险,提高风险应对的效率和效果,增强决策和行动的合理性,有效地配置资源。
本文件旨在帮助组织在制定决策、设定和实现目标以及提升绩效的过程中管理风险,创造和保护价值。
GB/T 24353-2022:引言
新版国标中数次在不同的章节中强调了风险管理对于决策支持的重要性,指出任何组织和个人无时无刻不在面临做出决策的情况。如果说风,险管理聚集到了价值的创造和保护,那这个目标是组织通过做出一系列的决策而达到价值实现的。
风险管理让我们可以更好的管理不确定性,从而为更好的做出决策,应对不确定性提供支持。
这样的观点同样在COSO新版风险管理框架中被强调和突出。
在企业风险管理实践中,首先需要做的就是考虑如何加快构建融入决策过程中的风险政策和程序。
3、“整合”“整合”还是“整合
风险管理是组织所有活动的有机组成部分。GBIT24353-2022:4 原则a风险管理与组织的整合是一个动态、循环提升的过程,宜结合组织需求和文化量身定制。风险管理不是孤立的,而是组织目的、治理、领导作用和承诺、战略、目标和运营的一部分。
GB/T 24353-2022:5.3 整合
新版的标准中,原则轮和框架轮都将“整合”作为第一个要素,可见其重要性,ISO从其第一版文件中,就强调了风险管理工作不是一项孤立的管理活动,是和其他管理活动紧密结合的一项工作。但ISO组织显然觉得这样的提醒还不足够,本次特意将其放在第一个原则来阐述,希望能够将“整合”的含义传递的更加清晰和明确。
而在其框架轮中,不惜把经典的PDCA四个步骤打开,嵌入一个"整合”要求,用意之深。
COSO在新版企业风险管理文件,也将整合一提再提,在引言部分也是单独列示了一部分强调了整合的重要性。
孤立的风险管理工作并无实际意义,按照ISO的建议,风险管理工作应该与组织的所有管理活动整合成为任何管理经营活动的一部分。
如何做到呢?
COSO将风险管理定义为一种文化、能力和实践,这是组织任何管理单元与业务活动都需要具备的要
4、领导身先士卒
管理风险是组织治理和领导作用的一部分。GB/T24353-2022:引言最高管理层和监督机构需确保将风险管理融入所有组织活动中。GB/T 24353-2022:5.2 领导作用与承诺
在框架轮中,最核心的内容为“领导力与承诺”,强化了对于领导层在风,险管理工作中的角色和职责。按照ISO技术风险管理委员会主席Jason Brown所言:以前风险管理从业者往往处于组织管理的边缘,这种强调将帮助他们证明风险管理是企业管理不可分割的一部分。
“领导作用与承诺”的提法同样出现在ISO9000质量管理体系中,都是强调管理层对此项工作的重要责任。某行业的质量管理认证体系中,更是将风险管理作为质量体系认证是否通过的第一个KO项(一票否决项),可见管理界对风险管理工作的认识和重要性等级在快速提升。
风险管理是一把手工程,如果关键领导层不能深刻理解风险管理的作用,在企业推动风,险管理工作将困难重重。
当下风险管理从业者亟需要解决的问题就是如何帮助一把手增强风险意识、树立正确的风险观。
注:暂不提供标准电子版,如需参考标准全文,推荐大家购买正版国家标准。
ISO31000与中国国家标准差异
ISO31000的基本情况
ISO31000是一项国际标准,全称为《风险管理指南》,是由国际标准化组织(ISO)制定的风险管理标准。该标准最初在2009年发布,后来在2018年进行了更新和升级。ISO31000的目的是为组织提供一个框架,帮助他们在制定决策、设定和实现目标以及提升绩效的过程中管理风险,创造和保护价值。
中国国家标准的情况
中国国家标准委在2009年发布了第一版《风险管理原则与实施指南》(GB/T24353—2009),这是对中国国家风险管理标准的首次规定。然而,这一版的国家标准是参考ISO31000《风险管理指南》标准而编制的,与ISO31000存在一定的差异。中国国家标准中的风险管理过程示意图仅包含了“监督和检查”,而缺少了“沟通与咨询”(也有专家建议翻译为沟通与协商)这一环节。
中国国家标准与ISO31000的差异
中国国家标准与ISO31000的主要差异在于风险管理过程的完整性。中国的国家标准中仅包含了一个风险管理过程示意图,且缺少了与ISO标准中的过程部分对应的部分内容,特别是对其中框架部分的内容是有实质性内容缺失的。这意味着在实施中国标准和国际标准时,中国企业需要应对这种差异。
新版国家标准的发布
为了缩小与国际标准的差距,新版的国家标准《风险管理指南》(GB/T24353—2022)在2022年10月12日发布并实施,实现了风险管理国家标准和国际标准的首次统一。新版国家标准被称为“三轮车”图,强调了创造与保护价值、抓住“决策”这个牛鼻子和“整合”这三个方面的内容1.
结论
总的来说,ISO31000与中国国家标准之间的主要差异在于风险管理过程的完整性。中国的国家标准在早期参考了ISO31000.但在某些环节存在缺失。新版的国家标准通过等同采用ISO31000:2018.实现了与国际标准的统一,有助于中国企业更好地进行风险管理。
