ISO 31000:2018标准有哪些内容
ISO 31000:2018 标准主要包括以下内容:
一、风险管理原则
创造和保护价值:风险管理的核心目的是创造和保护组织的价值。
整合的:风险管理应成为组织所有管理活动的一部分,与组织战略、目标和文化保持一致。
结构化和全面性:风险管理应采用结构化和全面性的方法,确保组织的所有决策都考虑风险。
定制化:风险管理应根据组织的特定环境、目标和风险状况进行定制。
包容性:风险管理应包容各利益相关方的意见和建议,确保风险管理工作的相关性并及时更新。
动态性:风险管理应随着内外部环境和知识的变化而动态调整,及时预测、监督、掌握和响应风险变化。
有效信息利用:风险管理应基于历史和当前信息以及未来的预期,明确考虑到与这些信息和期望相关的任何限制和不确定性。
人员及文化因素:风险管理应考虑人员行为和文化对风险管理的影响。
持续改进:风险管理应是一个持续改进的过程,通过学习和积累经验,不断提高风险管理水平。
二、风险管理框架
风险管理框架的核心是“领导力与承诺”,明确领导层在整个风险管理工作中的角色和职责。框架包括五个步骤:
整合:确定管理责任和监督角色和责任,确保风险管理是整体组织的一部分。
设计:理解组织及其内部和外部环境,阐明风险管理承诺并分配资源,建立沟通和咨询安排。
实施:制定适当的实施计划,包括截止日期,确定何时何地以及由谁做出不同类型决策,并根据需要修改适用的决策制定流程。
评价:根据其目的、实施和行为来衡量框架的性能,并确定是否仍然适合支持目标的实现。
改进:持续监测和调整框架以应对外部和内部变化,采取行动改进风险管理的价值,并提高风险管理框架的适当性、充分性和有效性。
三、风险管理过程
风险管理过程涉及将政策、程序和实践系统地应用于沟通和咨询、建立背景和评估、处理、监测、审查、记录和报告风险的活动。具体包括:
对范围、背景和标准的定义:明确风险管理的范围、背景和标准。
风险评估:包括风险识别、风险分析、风险评价的经典流程。
风险应对:选择最适当的风险处理选项,并设计指定如何实施风险处理选项的风险处理计划。
沟通与咨询:将不同领域的专业知识集合用于风险管理过程的每一步,确保在定义风险标准和评估风险时考虑不同观点。
监控与评价:提高过程设计、实施和结果的质量和有效性,监督风险管理过程及其结果,计划、收集和分析信息、记录结果并提供反馈。
记录与报告:在组织内传达风险管理活动和结果,为决策提供信息,改善风险管理活动,以及提供风险信息并与利益相关者互动。
