国际标准组织发布ISO31000《风险管理指南》标准
一、ISO31000新标准概览
我在去年解读征求意见稿时,将新版风险管理标准中的框架图称为“三轮车”图,并首次对其进行了汉化处理。这个“三轮车”图和2009年第一版的三个方框图相比可谓变化明显,此次正式版的发布,沿用了征求意见稿中的“三轮车”图形展示方式,但内容上相比征求意见稿还是有所变动。
我们首先来看一下正式版的三轮车框架图。
用三个圆形图分别表示了新标准中的原则、框架和流程。
其中原则轮中,最核心的内容为“价值的创造和保护”,体现为八个原则:
整合的;
结构化和全面性;
定制化;
包容性;
动态的;
有效信息利用;
人员与文化因素;
持续改进。
框架轮中,最核心的为“领导力与承诺”,体现为五个步骤:
整合;
设计;
实施;
评价;
改进。
流程轮中,包含了:
对范围、背景和标准的定义;
风险评估的经典流程-风险识别、风险分析、风险评价;
风险应对;
风险记录与报告;
沟通与咨询;
监控与评价。
这个三轮车图提炼了整个ISO31000风险管理标准的所有内容,标准的全文都是围绕着这个三轮车图来展开论述的。
二、新标准与老标准的异同
按照ISO组织自己的论述,新标准和老标准的异同主要体现在四个方面:
重新审阅了所有的风险管理原则,这是其是否能够取得成功的关键标准;
重点强调了高级管理层的职责以及和各项管理活动的整合,从组织的治理着眼;
更加强化了风险管理工作的迭代性质,提示了在每一个流程环节,随着新的实践、知识和分析能力下对流程要素、方案和控制的修正;
对了满足多样化的需求,保持一个更加开放和包容的系统,精简了一部分内容。
对于第4点而言,ISO组织一直宣称,这次修订风险管理标准的一大初衷是使风险管理标准更简洁,更利于理解和运用,所以删除了很多复杂的语句和句子。从篇幅上也能看得出来,新版风险管理标准比第一版共减少了7页,缩减了将近三分之一。
那么在具体内容上与上一版到底有什么变化?我们先来看一下第一版的框架图。
比较来看,原则部分,由11项原则缩减为8项;
框架部分,强化了领导层的职责和整合的重要性;
流程部分,强调了对于范围和标准的定义,以及对于记录与报告的突出;
整体上看,新版“三轮车”示意图比第一版示意图更能体现原则、框架、流程三者之间的相互作用关系。
三、新标准划重点
1、“价值”聚焦
我们曾多次在公众号的前期文章中提及,风险管理工作要聚焦在组织的价值创造活动,支持或协助组织更好的进行价值创造和保护。COSO组织发布的新版企业风险管理框架也是将企业的风险管理工作聚焦到企业价值的创造、保护和实现;同样,“三道防线”理论(请参考风险管理世界公众号前期文章),也强调第二道防线和第三道防线利益的一致性,都是聚焦于企业价值的创造最为最终目标。
本次ISO31000的修订,将原则的核心定位为价值的创造和保护,可见国际主流的思想是趋于一致的,风险管理工作的定位就是为了更好的帮助企业创造价值。
2、“决策”为核
新版ISO风险管理标准数次在不同的章节中强调了风险管理对于决策支持的重要性,指出任何组织和个人无时无刻不在面临做出决策的情况。如果说风险管理聚焦到了价值的创造和保护,那这个目标是组织通过做出一系列的决策而达到价值实现的。风险管理让我们可以更好的管理不确定性,从而为更好的做出决策,应对不确定性提供支持。
这样的观点同样在COSO新版风险管理框架中被强调和突出。在企业实践界应该考虑如何加快构建决策过程中的风险考量政策和程序。
3、“整合”为重
新版的标准中,原则轮和框架轮都将“整合”作为第一个要素,可见其重要性,ISO从其第一版文件中,就强调了风险管理工作不是一项孤立的管理活动,是和其他管理活动紧密结合的一项工作。但ISO组织显然觉得这样的提醒还不足够,本次特意将其立意放在第一位来阐述,希望能够将“整合”的含义传递的更加清晰和明确。
孤立的风险管理工作并无实际意义,按照ISO的建议,风险管理工作应该与组织的所有管理活动整合,成为任何管理经营活动的一部分,包括但不限于:战略和规划、公司治理、人力资源、合规、质量、健康与安全、业务连续性、危机管理与安全管理、组织抗风险能力,IT等等。
4、领导层担当
在框架轮中,最核心的内容为“领导力与承诺”,强化了对于领导层在风险管理工作中的角色和职责。按照ISO技术风险管理委员会现任主席Jason Brown所言:以前风险管理从业者往往处于组织管理的边缘,这种强调将帮助他们证明风险管理是企业管理不可分割的一部分。
“领导力与承诺”的提法同样出现在ISO9000质量管理体系中,都是强调管理层对此项工作的重要责任。某行业的质量管理认证体系中,更是将风险管理作为质量体系认证是否通过的第一个KO项(一票否决项),可见管理界对风险管理工作的认识和重要性等级在快速提升。
四、谁将受益
1、最高管理层
如上分析内容所述,新标准强调了对组织价值创造的贡献,在公司治理层面突出了最高管理层对此项工作的职责,提供了明确的职责清单。并且有迹象显示,企业风险管理的好坏有可能会成为未来检验企业管理能力和有效性的一项非常重要内容。从内外部环境来看,这些都将有助于推动高级管理层在更好的履行风险管理职能的同时,更加重视企业的风险管理工作。
2、以风险管理、内控部门为首的第二道防线
以往的风险管理职能在定位上会有一定的灰色地带,新标准突出了最高管理层的风险管理职责,推动职责的落实和实施,自然也就会带动相关风险管理职能部门的上位,所以会对第二道防线的风险管理职能部门有一定推动作用。第二道防线的涵盖范畴请参考公众号前期文章:企业风险管理“三道防线”含义已变!(点击打开)。
3、内部审计部门为主的第三道防线
“风险导向”的内部审计是近些年来内部审计工作发展的主要方向之一,那么如何更好的帮助企业建立一套有效的风险管理体系也是内部审计的职责所在。一个拥有良好风险管理能力的企业和一个较差风险管理能力的企业,其审计风险的高低不言而喻。关于内部审计职能在企业风险管理工作中的具体职责,请参加公众号前期文章:如何准确定位内部审计在企业风险管理工作中的职能?(点击打开)。
其实,ISO组织早在2010年就和国际内部审计协会IIA展开了合作,编制了基于ISO31000的内部审计职能对于企业风险管理能力确认或保证的相关指导文件。新标准的发布在推动企业建立和完善企业风险管理体系的同时,也一定会推动以“风险为导向”的内部审计工作的进一步发展。
五、一个被广泛采纳的国际标准
根据ISO风险管理技术委员会前主席Kevin Knight先生给我提供的统计信息,ISO31000自2009年发布以来,得到了全球各个国家的支持和响应。截至目前,已经有57个国家采纳了ISO31000风险管理标准并在此基础上发布了其国家风险管理标准,如中国的GB/T24353,相信下一步国家标准委也会相应地修订其标准。
随着ISO31000的更新和发展,相信会有更多的国家重视风险管理工作,加入到ISO31000的大家庭中。正如ISO风险管理技术委员会现任主席Jason Brown先生所言,任何的组织都应该重视风险管理,更好的管理好本身面临的风险以达成其目标,因为 “ failure to manage risks is inherently risking failure. ”
“ 风险管理的失败即是承受着经营失败的风险。”