|
新版ISO 31000可简化风险管理
) I2 u9 p- l8 c0 b3 Y
' v6 @0 i8 w7 R5 O! i时间:2018-03-30 来源:国家认监委
6 Z9 [' W+ y i* q7 n% z摘要:" |* ^2 D- \0 K* R. b( b" u/ `% ]! L2 z: X
(来源:国际标准化组织) 声誉或品牌受损、网络犯罪、政治风险和恐怖主义,是世界各地各种类型和规模的私营和公共组织不得不日益频繁地面临的一些风险。最新版本的ISO 31000刚刚发布,用以帮助管理不确定性。
' }! _; ^6 |$ p- h; q6 ]2 N! Y6 K3 X- u
生活中的每一个决定都有风险,但显然有些决定需要一个结构化的方法。例如,高级行政人员或政府官员可能需要对非常复杂的情况作出风险判断。处理风险是管理和领导的一部分,对组织的各级管理至关重要。
- o: a) ]$ H1 H6 k3 w
' S* ~# A2 ]& J7 l/ A- r 以前的风险管理做法已经不足以应对现在的威胁,需要不断改进。这些考虑是ISO 31000《风险管理指南》修订的核心,该指南的最新版本刚刚发布。ISO 31000 : 2018提供了更清晰、更简短和更简洁的指南,可帮助组织使用风险管理原则来改进规划、做出更好的决策。以下是新版标准的主要变更:
: l. |5 C2 r! F' u! m5 ` ——审查风险管理原则,这些原则是风险管理取得成功的关键标准( b! V' X" h+ F+ A
5 l0 X9 {7 R k, i. z$ A9 i! \ ——重点关注高层管理人员的领导,他们应确保风险管理从组织管理开始纳入所有组织活动0 e' X* \/ e0 s, p6 _( T1 P7 ^
$ F3 x. ?/ B* W3 m ——更加强调风险管理的迭代性质,利用新的经验、知识和分析修订各个阶段诸如行动和控制这样的的过程要素。
5 ^$ r' Q) M+ n" w8 B/ {: c+ i6 P$ }; w* O" n: G$ X
——精简内容,更加注重维持开放系统模式,定期与外部环境交换反馈,以适应多种需要和背景
5 u" g- [% ?9 ]% D' D
: M8 `& x! y7 D0 T$ @3 x 负责制定该标准的ISO风险管理技术委员会(ISO/TC 262)主席杰森·布朗(Jason Brown) 表示: “ISO 31000修订版侧重与组织的整合以及领导者的角色和责任。风险从业者往往处于组织管理的边缘,这种强调将有助于他们证明风险管理是业务的一个组成部分。”
7 g4 y$ J9 N" \) W; f4 @# ~" F y- p
2018年版本更加注重创造和保护价值,将其作为风险管理的关键驱动力,并体现了其他相关原则,如持续改进、利益攸关方参与、针对组织定制以及考虑人力和文化因素。2 F3 e* a) ]+ f: y. b; f4 }7 l) T
! `" Y4 \0 V7 x, C
风险现在被定义为“不确定性对目标的影响",其重点是对事件或情况的不完全了解对组织决策的影响。这需要组织改变对风险的传统理解,迫使其根据需求和目标定制风险管理—这是标准的一个关键优势。Jason Brown解释说:“ISO 31000提供了一个支持所有活动的风险管理框架,包括组织所有级别的决策。ISO 31000框架及其流程应与管理系统集成,以确保组织所有领域管理控制的一致性和有效性。“这将包括战略和规划、组织复原力、信息科技和产业、企业管理、人力资源、合规性、质量、健康和安全、业务连续性、危机管理和安全。
' i0 J q" \5 ?" b
% L. O/ [9 ~; g6 n4 L: P+ S ISO 31000的新版本超越了简单的修订,给未来管理风险的方式赋予了新的意义。关于认证,ISO 31000 : 2018提供的是指南,而不是要求,因此不适用于认证目的。这使管理人员能够灵活地以适合其组织需要和目标的方式实施标准。
5 B1 ^% F' f" ?# k9 Q
4 F$ ?1 t. B; j# u( U7 H3 | Brown补充说,ISO/TC 262的主要目标是通过提供良好的风险管理做法,帮助各组织从所有利益攸关方的利益出发,确保其长期的生存能力和成功。因为“管理风险失败本身就有失败的风险。”
: X) d- H: K E8 s8 c& v" Y' K B" R1 I9 m3 g1 t3 w# g' _
$ m2 N* e( c0 b! |+ o+ @
% W0 B4 j3 d% J9 q: j |
|