一、ISO31000新標準概覽

我在去年解讀征求意見(jiàn)稿時(shí)，將新版風(fēng)險管理標準中的框架圖稱(chēng)為“三輪車(chē)”圖，并首次對其進(jìn)行了漢化處理。這個(gè)“三輪車(chē)”圖和2009年第一版的三個(gè)方框圖相比可謂變化明顯，此次正式版的發(fā)布，沿用了征求意見(jiàn)稿中的“三輪車(chē)”圖形展示方式，但內容上相比征求意見(jiàn)稿還是有所變動(dòng)。

我們首先來(lái)看一下正式版的三輪車(chē)框架圖。

用三個(gè)圓形圖分別表示了新標準中的原則、框架和流程。

其中原則輪中，最核心的內容為“價(jià)值的創(chuàng )造和保護”，體現為八個(gè)原則：

• 整合的；

• 結構化和全面性；

• 定制化；

• 包容性；

• 動(dòng)態(tài)的；

• 有效信息利用；

• 人員與文化因素；

• 持續改進(jìn)。

框架輪中，最核心的為“領(lǐng)導力與承諾”，體現為五個(gè)步驟：

• 整合；

• 設計；

• 實(shí)施；

• 評價(jià)；

• 改進(jìn)。

流程輪中，包含了：

• 對范圍、背景和標準的定義；

• 風(fēng)險評估的經(jīng)典流程-風(fēng)險識別、風(fēng)險分析、風(fēng)險評價(jià)；

• 風(fēng)險應對；

• 風(fēng)險記錄與報告；

• 溝通與咨詢(xún)；

• 監控與評價(jià)。
  

這個(gè)三輪車(chē)圖提煉了整個(gè)ISO31000風(fēng)險管理標準的所有內容，標準的全文都是圍繞著(zhù)這個(gè)三輪車(chē)圖來(lái)展開(kāi)論述的。

二、新標準與老標準的異同

按照ISO組織自己的論述，新標準和老標準的異同主要體現在四個(gè)方面：

1. 重新審閱了所有的風(fēng)險管理原則，這是其是否能夠取得成功的關(guān)鍵標準；

2. 重點(diǎn)強調了高級管理層的職責以及和各項管理活動(dòng)的整合，從組織的治理著(zhù)眼；

3. 更加強化了風(fēng)險管理工作的迭代性質(zhì)，提示了在每一個(gè)流程環(huán)節，隨著(zhù)新的實(shí)踐、知識和分析能力下對流程要素、方案和控制的修正；

4. 對了滿(mǎn)足多樣化的需求，保持一個(gè)更加開(kāi)放和包容的系統，精簡(jiǎn)了一部分內容。

對于第4點(diǎn)而言，ISO組織一直宣稱(chēng)，這次修訂風(fēng)險管理標準的一大初衷是使風(fēng)險管理標準更簡(jiǎn)潔，更利于理解和運用，所以刪除了很多復雜的語(yǔ)句和句子。從篇幅上也能看得出來(lái)，新版風(fēng)險管理標準比第一版共減少了7頁(yè)，縮減了將近三分之一。

那么在具體內容上與上一版到底有什么變化？我們先來(lái)看一下第一版的框架圖。

比較來(lái)看，原則部分，由11項原則縮減為8項；

框架部分，強化了領(lǐng)導層的職責和整合的重要性；

流程部分，強調了對于范圍和標準的定義，以及對于記錄與報告的突出；

整體上看，新版“三輪車(chē)”示意圖比第一版示意圖更能體現原則、框架、流程三者之間的相互作用關(guān)系。

三、新標準劃重點(diǎn)

1、“價(jià)值”聚焦

我們曾多次在公眾號的前期文章中提及，風(fēng)險管理工作要聚焦在組織的價(jià)值創(chuàng )造活動(dòng)，支持或協(xié)助組織更好的進(jìn)行價(jià)值創(chuàng )造和保護。COSO組織發(fā)布的新版企業(yè)風(fēng)險管理框架也是將企業(yè)的風(fēng)險管理工作聚焦到企業(yè)價(jià)值的創(chuàng )造、保護和實(shí)現；同樣，“三道防線(xiàn)”理論（請參考風(fēng)險管理世界公眾號前期文章），也強調第二道防線(xiàn)和第三道防線(xiàn)利益的一致性，都是聚焦于企業(yè)價(jià)值的創(chuàng )造最為最終目標。

本次ISO31000的修訂，將原則的核心定位為價(jià)值的創(chuàng )造和保護，可見(jiàn)國際主流的思想是趨于一致的，風(fēng)險管理工作的定位就是為了更好的幫助企業(yè)創(chuàng )造價(jià)值。

2、“決策”為核

新版ISO風(fēng)險管理標準數次在不同的章節中強調了風(fēng)險管理對于決策支持的重要性，指出任何組織和個(gè)人無(wú)時(shí)無(wú)刻不在面臨做出決策的情況。如果說(shuō)風(fēng)險管理聚焦到了價(jià)值的創(chuàng )造和保護，那這個(gè)目標是組織通過(guò)做出一系列的決策而達到價(jià)值實(shí)現的。風(fēng)險管理讓我們可以更好的管理不確定性，從而為更好的做出決策，應對不確定性提供支持。

這樣的觀(guān)點(diǎn)同樣在COSO新版風(fēng)險管理框架中被強調和突出。在企業(yè)實(shí)踐界應該考慮如何加快構建決策過(guò)程中的風(fēng)險考量政策和程序。

3、“整合”為重

新版的標準中，原則輪和框架輪都將“整合”作為第一個(gè)要素，可見(jiàn)其重要性，ISO從其第一版文件中，就強調了風(fēng)險管理工作不是一項孤立的管理活動(dòng)，是和其他管理活動(dòng)緊密結合的一項工作。但ISO組織顯然覺(jué)得這樣的提醒還不足夠，本次特意將其立意放在第一位來(lái)闡述，希望能夠將“整合”的含義傳遞的更加清晰和明確。

孤立的風(fēng)險管理工作并無(wú)實(shí)際意義，按照ISO的建議，風(fēng)險管理工作應該與組織的所有管理活動(dòng)整合，成為任何管理經(jīng)營(yíng)活動(dòng)的一部分，包括但不限于：戰略和規劃、公司治理、人力資源、合規、質(zhì)量、健康與安全、業(yè)務(wù)連續性、危機管理與安全管理、組織抗風(fēng)險能力，IT等等。

4、領(lǐng)導層擔當

在框架輪中，最核心的內容為“領(lǐng)導力與承諾”，強化了對于領(lǐng)導層在風(fēng)險管理工作中的角色和職責。按照ISO技術(shù)風(fēng)險管理委員會(huì )現任主席Jason Brown所言：以前風(fēng)險管理從業(yè)者往往處于組織管理的邊緣，這種強調將幫助他們證明風(fēng)險管理是企業(yè)管理不可分割的一部分。

“領(lǐng)導力與承諾”的提法同樣出現在ISO9000質(zhì)量管理體系中，都是強調管理層對此項工作的重要責任。某行業(yè)的質(zhì)量管理認證體系中，更是將風(fēng)險管理作為質(zhì)量體系認證是否通過(guò)的第一個(gè)KO項（一票否決項），可見(jiàn)管理界對風(fēng)險管理工作的認識和重要性等級在快速提升。

四、誰(shuí)將受益

1、最高管理層

如上分析內容所述，新標準強調了對組織價(jià)值創(chuàng )造的貢獻，在公司治理層面突出了最高管理層對此項工作的職責，提供了明確的職責清單。并且有跡象顯示，企業(yè)風(fēng)險管理的好壞有可能會(huì )成為未來(lái)檢驗企業(yè)管理能力和有效性的一項非常重要內容。從內外部環(huán)境來(lái)看，這些都將有助于推動(dòng)高級管理層在更好的履行風(fēng)險管理職能的同時(shí)，更加重視企業(yè)的風(fēng)險管理工作。

2、以風(fēng)險管理、內控部門(mén)為首的第二道防線(xiàn)

以往的風(fēng)險管理職能在定位上會(huì )有一定的灰色地帶，新標準突出了最高管理層的風(fēng)險管理職責，推動(dòng)職責的落實(shí)和實(shí)施，自然也就會(huì )帶動(dòng)相關(guān)風(fēng)險管理職能部門(mén)的上位，所以會(huì )對第二道防線(xiàn)的風(fēng)險管理職能部門(mén)有一定推動(dòng)作用。第二道防線(xiàn)的涵蓋范疇請參考公眾號前期文章：企業(yè)風(fēng)險管理“三道防線(xiàn)”含義已變?。c(diǎn)擊打開(kāi)）。

3、內部審計部門(mén)為主的第三道防線(xiàn)

“風(fēng)險導向”的內部審計是近些年來(lái)內部審計工作發(fā)展的主要方向之一，那么如何更好的幫助企業(yè)建立一套有效的風(fēng)險管理體系也是內部審計的職責所在。一個(gè)擁有良好風(fēng)險管理能力的企業(yè)和一個(gè)較差風(fēng)險管理能力的企業(yè)，其審計風(fēng)險的高低不言而喻。關(guān)于內部審計職能在企業(yè)風(fēng)險管理工作中的具體職責，請參加公眾號前期文章：如何準確定位內部審計在企業(yè)風(fēng)險管理工作中的職能？（點(diǎn)擊打開(kāi)）。

其實(shí)，ISO組織早在2010年就和國際內部審計協(xié)會(huì )IIA展開(kāi)了合作，編制了基于ISO31000的內部審計職能對于企業(yè)風(fēng)險管理能力確認或保證的相關(guān)指導文件。新標準的發(fā)布在推動(dòng)企業(yè)建立和完善企業(yè)風(fēng)險管理體系的同時(shí)，也一定會(huì )推動(dòng)以“風(fēng)險為導向”的內部審計工作的進(jìn)一步發(fā)展。

五、一個(gè)被廣泛采納的國際標準

根據ISO風(fēng)險管理技術(shù)委員會(huì )前主席Kevin Knight先生給我提供的統計信息，ISO31000自2009年發(fā)布以來(lái)，得到了全球各個(gè)國家的支持和響應。截至目前，已經(jīng)有57個(gè)國家采納了ISO31000風(fēng)險管理標準并在此基礎上發(fā)布了其國家風(fēng)險管理標準，如中國的GB/T24353，相信下一步國家標準委也會(huì )相應地修訂其標準。

隨著(zhù)ISO31000的更新和發(fā)展，相信會(huì )有更多的國家重視風(fēng)險管理工作，加入到ISO31000的大家庭中。正如ISO風(fēng)險管理技術(shù)委員會(huì )現任主席Jason Brown先生所言，任何的組織都應該重視風(fēng)險管理，更好的管理好本身面臨的風(fēng)險以達成其目標，因為 “ failure to manage risks is inherently risking failure. ” 
“ 風(fēng)險管理的失敗即是承受著(zhù)經(jīng)營(yíng)失敗的風(fēng)險?！?/strong>