ISO 31000風險管理指南
任何類型和規模的組織都受到各種內外部因素的影響,導致其目標的實現存在不確定性,這些目標涉及到組織從戰略決策到不同層面的各項運營活動。在ISO 31000:2018標準中,這種“不確定性對目標的影響”被定義為“風險”。
Risk Management
風險無處不在。戰略風險、財務風險、市場風險、運營風險、法律風險等各類風險影響著企業的生存與發展,越來越多的企業關注全面風險管理。如何進行風險識別、風險評估與風險應對,如何開展風險管理以支持企業創造和保護價值,ISO 31000提供了解決這些問題的框架方法。
ISO 31000的來源
國際標準化組織(ISO)于2005年成立了由各個國家專家代表組成的專門研究風險管理標準的工作組(ISO/TC 262),開始著手于制定一個國際通行的風險管理標準,在制定過程中參考澳大利亞/新西蘭風險管理標準(AS/NZS 4360:2004)的經驗,經過四年的研究和反復討論,最終在2009年發布了ISO 31000:2009《風險管理——原則和指南》,即ISO第一版風險管理標準。同年國際標準化組織(ISO)還發布了其他兩項風險管理相關的標準:ISO Guide 73:2009《風險管理——術語》、ISO/IEC 31010:2009《風險管理——風險評估技術》。
隨著社會經濟發展及標準應用需求變化,國際標準化組織陸續對風險管理相關標準進行了修訂更新,2018年更新發布了ISO 31000:2018《風險管理指南》,2019年更新發布了ISO 31010:2019《風險管理——風險評估技術》,2022年發布了ISO 31073:2022《風險管理——術語》。
2022年10月12日國家市場監督管理總局、國家標準化管理委員會發布GB/T 24353-2022《風險管理指南》,該標準等同采用ISO 31000 :2018《風險管理指南》。
ISO 31000新舊版對比
ISO 31000:2009風險管理的原則、框架和過程及其之間的相互關系
ISO 31000:2018風險管理的原則、框架和過程及其之間的相互關系
ISO 31000:2018原則、框架、過程“三輪車圖”與ISO 31000:2009 “方框圖”相比表現形式變化明顯,新版用三個圓形分別表示了原則、框架和過程。
——“原則輪”核心內容為“創造與保護價值”,另外有八項原則。
——“框架輪”核心為“領導力與承諾”,包含五個步驟:整合、設計、實施、評價、改進,這個框架遵循PDCA循環。
——“過程輪”包含了:對范圍、背景和標準的定義,風險評估的主流程——風險識別、風險分析、風險評價,風險應對,溝通與咨詢,監控與評價,以及記錄與報告。這些要素形成一個閉環流程。
ISO 31000:2018與ISO 31000:2009相比:
——風險管理原則由11項原則縮減為9項,突出了“整合”的風險管理原則,注重“價值創造與保護”這一核心原則和目的,明確將組織的風險管理工作聚焦到創造和保護價值。
——框架部分,仍然采用PDCA模型,但強化了“領導力與承諾”的核心作用,明確領導層在整個風險管理工作中的角色和職責;增加了“整合”這一環節,從組織治理層面著眼,強調風險管理與各項管理活動的整合。
——“原則輪”與“過程輪” 相互作用,強調風險管理原則要嵌入到風險管理過程之中。
——“記錄與報告”被列為風險管理“過程輪”的一部分,貫穿于整個風險管理過程。
——更加強化了風險管理工作的迭代性質,提示了在每一個流程環節,隨著新的實踐、知識和分析能力下對流程要素、方案和控制的修正。
——為了滿足多樣化的需求,保持一個更加開放和包容的系統,精簡了一部分內容。
ISO 31000的作用
ISO 31000向組織提供了一個開發、實施和持續改進風險管理的框架及方法,幫助組織實現有效的風險管理,從而為組織的決策和運營以及有效應對突發事件提供支持。
有效的風險管理能夠改善組織績效、鼓勵創新、支持組織實現目標。通過在組織中實施和整合管理風險過程,還可以獲得以下好處:
——為相關方提供持續的、一致的和可靠的信息;
——更加清晰、知情的決策;
——快速發現、捕獲以及響應機會與風險;
——更高效地使用和分配資金和其他資源;
——減少損失的可能性和影響;
——更低的合規/審核成本;
——通過使用風險信息,簡化和改進過程,節約成本,提高運行效率。
ISO 31000的適用性
ISO 31000不是管理體系標準,不用于認證,但組織可依據該標準進行自評或委托第二方開展成熟度評估。
ISO 31000適用于任何形式的組織,包括任何公共、私有或社會企業、協會、團體或個人,也適用于組織全生命周期的任何活動,包括所有層級的決策制定、活動、流程、項目、產品、服務和業務等。
很多企業已經建立了質量管理體系、環境管理體系、職業健康安全管理體系,有些還建立了資產管理體系、信息安全管理體系,有些正在考慮建立合規管理體系、業務連續性管理體系。這些管理體系幫助企業識別和管控到了某些方面的風險,并不能做到全面風險管理,而ISO 31000提供了一個風險管理的框架和方法。
企業依據ISO 31000建立適合自身的風險管理框架,將風險管理原則及實施流程整合入各項活動中,包括治理、戰略、策劃、管理、報告等經營活動,同時也將風險管理文化嵌入到組織文化和實踐中,通過系統地識別風險,開展專業風險分析與評估,制定與采取風險應對措施,幫助組織實現有效的風險管理,從而支持組織實現目標。
ISO31000內部審核實施步驟
ISO31000是一個風險管理國際標準,它提供了一個風險管理框架,幫助企業識別、評估和應對風險。雖然用戶詢問的是ISO31000內部審核的實施步驟,但在提供的搜索結果中并未直接提到ISO31000內部審核的步驟。不過,我們可以參考ISO9001內部審核的步驟,因為兩者在認證過程中有相似之處。
1. 審核策劃
制定年度審核計劃:在每年年初,質量負責人組織編制年度審核計劃。審核方式分為管理體系全過程審核及管理體系要素審核,管理體系全過程審核每年至少安排一次,制定的年度計劃應覆蓋管理體系涉及全要素和所有部門。
成立內審組:質量負責人依據管理體系審核年度計劃的審核內容和審核對象組建內審組,內審組成員應經培訓考核合格,取得內審員資格證書6.
編制檢查表:審核前,內審員應根據分工編制檢查表,內審檢查表編制的好壞直接影響內審實施的質量。
2. 審核實施
首次會議:現場審核前由內審組組長召開并主持首次會議,向受審核方負責人介紹內審組成成員及分工;宣讀審核實施計劃及解釋實施計劃中不明確的內容;內審組與受審核部門取得正式聯系6.
收集客觀證據:內審員按照審核實施計劃、內審檢查表規定的檢查內容,通過交談、查閱文件、現場檢查、調查驗證等方法收集客觀證據并逐項實事求是地記錄6.
不符合項及糾正報告:在在現場審核的后期,審核組長主持召開一次審核組內部會議,對在現場審核中收集到的客觀證據進行整理、分析、篩選,得到審核證據。將審核證據與質量體系文件等依據相比較,作出客觀的判斷和綜合評價,形成審核發現,確定不符合項,并根據不符合項的產生原因確定不符合項類型是體系性不符合或是實施性不符合或是效果性不符合。
3. 審核報告的編寫
審核報告:內審報告是內審活動結束后出具的一份關于內審結果的正式文件,審核報告應如實反映本次管理體系審核的方法、審核過程情況、觀察結果和審核結論。
以上步驟是基于ISO9001內部審核的步驟進行推測的,因為搜索結果中沒有直接提到ISO31000內部審核的步驟。如果需要更準確的步驟,建議查詢專門針對ISO31000的認證資料或咨詢專業的認證機構。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!