ISO31000认证

什么是ISO31000风险管理系统?
ISO31000标准的全名为风险管理原理及指导纲要是个别项目之风险.ISO31000并不期望组织所有部门或活动都适用单一种风险管理的方法,而是可以与其它的风险管理进行协调整合(harmonize)。然而,本标准并不作为管理系统验证之用途。

影响组织的风险可能产生的后果在经济绩效和职业声誉,以及环境,安全和社会成果方面。因此,风险管理有效地帮助企业在一个充满不确定性的环境下表现良好。

ISO31000:2009
ISO31000:2009,风险管理-原则和指导方针,提供了原则,框架和风险管理的过程。它可以由任何组织用于不管其大小,活动或扇区。采用ISO31000可以帮助组织提高实现目标的可能性,提高的机会和威胁的识别和有效地分配和使用资源,风险处理。
但是,ISO31000,不能用于认证目的,但不用于内部或外部审计提供指导节目。使用它组织可以与国际公认的基准测试比较其风险管理实践,提供完善的原则,进行有效的管理和公司治理。

相关标准-其他一些标准也涉及到风险管理。
ISO指南73:2009,风险管理-词汇 补充的ISO 31000提供有关风险管理的术语和定义的集合。
ISO / IEC 31010:2009,风险管理-风险评估技术,专注于风险评估。风险评估可以帮助决策者了解可能影响目标实现的,以及已经到位的控制的适当性风险。ISO / IEC 31010:2009侧重于风险评估的概念,流程和风险评估技术的选择。

适用范围
本标准制定了风险管理的原则与通用的实施指导准则。本标准适用于任何公共、私有或社会企业、协会、团体或个人。因此,这一标准是通用的,而不局限于特定行业或部门。为便于陈述,本标准将所有不同的对象都称之为“组织”。
本标准应用于组织的整个生命过程,以及一系列广泛的活动、流程、职能、项目、产品、服务、资产、业务和决策。虽然本标准提供了通用的指导准则,但并不建议所有组织实行统一的风险管理。风险管理的设计和实施取决于特定组织的不同需要、组织特定的目标、范围、组织结构、产品、服务项目、业务流程和具体操作。
本标准将协调与统一现有的和未来的风险管理标准。本标准提供了一个通用的处理具体风险/或部门的方法,但并不是取代那些标准。

ISO31000十一大原则

为达到最大的效益,组织的风险管理应遵循以下原则:

风险管理创造价值。
风险管理有助于目标的实现和改进,例如,人类健康和安全,法律和法规,公众认同,环境保护,财务,产品品质,业务效率,公司治理和声誉。

风险管理是组织进程中不可分割的组成部分。
风险管理是管理职责中的一部分,同所有项目,变更管理流程一样是组织进程中不可分割的一部分。风险管理不是与组织主要活动和组织进程分离的独立活动。

风险管理是决策的一部分。
风险管理有助于决策者作出明智的选择。风险管理有助于确立优选方案以及对各备选方案的判断。最后,风险管理有助于决策者确定风险的可接受程度以及风险处理的合理性与有效性。

风险管理明确地将不确定性表达出来。
风险管理可以处理决策中的不确定性,不确定性因素,以及这些不确定性如何表达。

风险管理应系统化,结构化,及时化。
系统,及时,结构化的风险管理方法有助于提高效率和可持续发展,增加可靠性。

风险管理依赖于信息的有效程度。
风险管理所需的信息来源于如经验,回馈,观察,预测和专家的判断等。但是,决策者应考虑到数据或模型的局限性以及专家之间产生分歧的可能性。

风险管理应调节组织。
风险管理应符合组织的外部,内部环境和风险状况。

风险管理应考虑人力和文化因素。
风险管理应考虑外部和内部人员的能力,观点和倾向,这些因素可以促进或阻碍组织目标的实现。

风险管理应该是透明的,包容的。
风险管理应包括利益相关者,尤其组织的各级决策者,以确保风险管理工作的相关性并及时更新。允许利益相关者对风险管理提出自己的观点,在风险标准的确定中应考虑他们的意见。

风险管理应该是动态的,反复的以及调节变化的。
由于内部和外部事件的不断发生,背景和知识的不断改变,监控和审查的出现,新风险的发生,以及其它一些影响因素的变化或消失。因此,组织应保持风险管理的敏感性并及时响应变革。

风险管理应不断改善和加强。
组织应当制定和实施战略,来完善组织各方面的风险管理。附件A“加强风险管理属性”提供了进一步的信息。

Leave a Reply