ISO31000：2009《风险管理-原则与指南》认证标准

ISO31000：2009《风险管理-原则与指南》标准由国际标准化组织于2009年11月15日发布，开启了人类标准化风险管理的新起点。虽然目前在中国没有推出正式版本，在中国企业管理界推广应用也较少，但其对风险、风险评估、风险管理与应对等的诠释及原则性指引具有很好的借鉴意义。

1. 风险管理原则、框架、过程之间的关系

标准中给出了风险管理原则、总体框架及风险管理过程，三者之间的关系，这也是ISO31000标准的核心构成与核心思路。

2. “风险”的最新定义与内涵

ISO31000对“风险”一词的最新定义，赋予了“风险”丰富的且不同以往的内涵，诞生了一个全新的“风险观”。

（1）风险的未来属性：风险直接与未来有关，谈论风险就是谈论未来，发现风险就是发现未来，面对风险就是面对未来，应对风险就是应对未来，赢得风险就是赢得未来。

（2）风险的两重性：标准中赋予了风险中性特性，既具有威胁，也具有机会，纠正了以往偏向负面的风险内涵。

（3）风险的不确定性：不确定性是风险一词的内核，管理风险即使管理不确定性，所以风险管理更关注未来，必须识别和管理不确定性，以期改变它对目标的影响。

（4）风险的事件性：由于风险的未来属性，与风险相关的事件一定是“潜在事件”，是今天没有发生的，可能在未来某一时间点发生的事件。

（5）风险的二维表示：风险的评价通过发生可能性和发生后果两个维度表示，而且，要完成一个风险的表示，需要对这两个维度进行赋值，确定它们的数值标准（可以定量也可以半定量），这便是风险准则中最为核心的内容。

（6）风险的信息性：不确定性的根源在于缺乏信息，如果有了对潜在事件、后果、可能性的足够信息，就可以实现对它们的认识和了解，变“不确定性”为“确定性”。

3. 风险管理的框架各组成部分之间的关系

ISO31000中给出了管理风险框架设计的七个主要内容，即了解组织及其环境、建立风险管理方针、责任、整合入组织过程、资源、建立内部沟通和报告机制、建立外部沟通和报告机制。同时，对授权与承诺、管理风险框架、实施风险管理、监测与评审、持续改进等内容之间的循环关系进行了诠释。

4.  风险管理过程

标准中对风险管理过程进行了阐述，其主循环流程由“建立环境￫ 风险评估 ￫ 风险应对 ￫监测与评审”构成，其中，风险评估又分为风险识别、风险分析与风险评价三个阶段，监测与评审不仅是循环流程中的一个子过程，还需要嵌入“建立环境、风险评估、风险应对“三个子过程，同时，这三个子过程还要嵌入到沟通与咨询、监测与评审两个子过程中。

整个风险管理过程特别强调建立环境（包括内部环境与外部环境）阶段的重要性，每个循环的起点都是建立环境，终点是监测与评审，其结果还应对风险管理框架的评审提供输出。

5.  记录风险管理过程

标准中特别提出风险管理活动应可追溯，与所有过程一样，在风险管理进程中，记录相关过程信息，便于风险管理活动的追溯。同时，创建、保留、维护记录是要有资源投入的，应考虑到记录的成本与记录效果之间的关系，在一定的记录成本下，发挥记录的最大作用。