【正文】 生變化，一些新的風險可能會出現(xiàn)，另一些風險則可能會消失。 風險管理原則九 風險管理是透明的和包容的 利益相關(guān)方、尤其是組織各層面的決策者適當、及時的參與，確保了風險管理保持相關(guān)和先進性。風險管理與組織的行業(yè)、產(chǎn)品、經(jīng)營模式、客戶、競爭對象風險水平等相適應(yīng)。 在利用收集到的各種信息時，要考慮各種信息來源的局限性。這些信息可通過經(jīng)驗、反饋、觀察、 預(yù)測和專家判斷等多種渠道獲取，但使 用時要考慮數(shù)據(jù)、模型和專家意見的局 限性。從這一角度來看，風險管理過程實際上是一個管理 決策過程 風險管理原則四 明確風險管理涉及的不確定性 風險管理明確的考慮到不確定性及這種不確定性的性質(zhì)，以及如何加以解決。 風險管理原則三 風險管理支持決策過程 組織的所有決策都應(yīng)考慮風險和風險管理。 組織的管理是一個綜合管理，風險管理是組織綜合管理的一個組成部分。 在組織的運營活動中，機遇和威脅并存，風險管理就是要趨利避害，創(chuàng)造價值。 review 為達到所建立的目標，確定有關(guān)事務(wù)的適宜性、充分性和有效性所采取的活動。 注 2：風險自留不包括運用保險或者其他方法進行 的風險轉(zhuǎn)移的處理。 融通資金是為風險管理對資金的籌措，也是風險的一種財務(wù)補償機制。 風險規(guī)避是一種主動的行為，但放棄風險同時也意味著收 益的喪失。 注 3：風險處理可以產(chǎn)生新的風險或修正已 存在的風險。 —— 改變后果。 risk treatment 修正風險的過程 注 1：風險處理可包括： —— 通過決定不啟動或停止產(chǎn)生風險的活動而避免風險。 注：風險承受取決于風險準則。 risk evaluation 將風險分析的結(jié)果與風險準則進 行比 較，以確定風險和（或）其量是否可接受 或可容許。 （來源） risk source 導致風險的單獨或組合的內(nèi)在可能性的因素 注：風險源可能是有形的或者是無形的 risk owner 具有風險管理權(quán)限和責任的個人或?qū)嶓w。 風險準則也會直接或間接反映法律法規(guī)要求或其他需要組 織遵循的要求。 risk criteria 評價風險嚴重性（度）的依據(jù)。 風險感知反映利益相關(guān)者的需求，問題、知識、信念和價值。 組織的利益相關(guān)者可以包括 1）組織的決策者； 2）組織內(nèi)部負責制定風險管理政策的人員； 3）組織或活動中實施風險管理的人員； 4）需要對組織的風險管理實踐進行評估的人員； 5）組織中負責制 定風險管理標準、指南、程序、 應(yīng)用準則的人員； 6）股東、董事會、高級管理人員、員工、債權(quán)人、供應(yīng)商、顧客、銀行、監(jiān)管機構(gòu)、合作伙伴等 . （見 GB/T24353:2020 前言部分）。協(xié)商是： —— 通過影響力而非權(quán)力對決策施加影響 ； —— 作為決策的輸入，而非加入決策。 risk managementprocess 管理方針、程序和慣例對溝通、協(xié)商、明確環(huán)境、以及識別、分析、評 價、處理、監(jiān)測和評審風險活動的系統(tǒng)應(yīng)用。 注 3：風險管理框架被嵌入到組織的整個戰(zhàn)略和運營 的方針和實踐中 ISO31000： 2020 標準給出的風險管理框架 指令和承諾 風險管理框架的設(shè)計 理解組織和其狀況 建立風險管理方針 責任 嵌入組織的過程 資源 建立內(nèi)部溝通和報告機制 建立外部溝通和報告機制框架的持續(xù)改進實施風險管理實施風險管理框架實施風險管理過程框架的監(jiān)測和評審 risk management policy 一個組織對風險管理的意圖和方向的陳述。 事件可能是明顯的，也可能是模糊的，其影響可能是正面的，也可能是負面的。 event 特定情況的發(fā)生。 注 1： GB/ 給出了一個關(guān)于“概率”的數(shù)學定 義，度量某一隨機事件發(fā)生可能性大小的實數(shù)，其值 介于 0 與 1 之間，它可以用來指在一段相當長的時間內(nèi)， 某一事件將要發(fā)生的頻率，或者這一事件發(fā)生的可信 程度。 注 2：后果可以是正面的負面的。 注 4：風險通常以事件（包括環(huán)境的變化）后果和發(fā)生可能性 的組合來表達。 ISO22020 標準包含了風險管理在食品安全專業(yè)領(lǐng)域的應(yīng)用。 《 IEC ISO31010 2020 風險管理 風險評估技術(shù)》 1 范圍 2 規(guī)范性引用文件 3 術(shù)語和定義 4 風險評估的相關(guān)概念 . 5 風險評估過程 . 6 風險評估技術(shù)的選擇 附錄 A 風險評估技術(shù)的 比較 附錄 B 風險評估技術(shù) 國家標準 (GB/T23694) 《 GB/T23694 2020 風險管理 術(shù)語 》 idt《 ISO GUIDE 73 2020 》 1 基礎(chǔ)術(shù)語（ 8） 2 受風險影響的組織及個人的相關(guān)術(shù)語（ 4） 3 與風險評估的相關(guān)術(shù)語（ 6） 4 與風險處理和風險控制相關(guān)的術(shù)語（ 11） 風險管理過程 5 . 2 明確環(huán)境信息 5 . 3 風險評估5 . 3 . 2 風險識別5 . 3 . 3 風險分析5 . 3 . 4 風險評價5 . 4 風險應(yīng)對5 . 5 監(jiān)督和檢查 《 GB/T24353 2020 風險管理 原則與實施指南》 1 范圍 2 規(guī)范性引用文件 3 術(shù)語和定義（ GB/T23694） 4 風險管理 原則（ 8） 5 風險管理過程 6 風險管理的實施 五、實施風險管理的目的 風險管理的目的 : 通過具有前瞻性的、充分地考慮各類風險的不確定性及其對目標的影響，制定行之有效的應(yīng)對措施，為組織在運營和決策中有效應(yīng)對各類突發(fā)事件和風險提供支持和保障，以使組織能有效的配置資源、優(yōu)化過程，及時、恰當、有效地應(yīng)對風險，提高風險應(yīng)對的效率和效果，更好地實現(xiàn)組織的目標。 ISO31000 建議，組織制定、實施和持續(xù)改進一個框架，其目的是將風險管理過程整合到組織的整體治理、戰(zhàn)略和規(guī)劃、管理、報告過程、方針、價值觀和文化中。 盡管所有的組織在某種程度上都在管理風險， ISO31000 建立了一些為使風 險管理變得有效而需要滿足的原則。 國際較知名的國際會計準則委員會（ IASC)、巴塞爾銀行監(jiān)管委員會 (BASEL)、美國的 COSO 委員會研究、發(fā)展了一整套完整的全面企業(yè)風險管理框架。美國一些大公司的重大損失使公司高層決策者開始認識到風險管理的重要性。 組織通過識別、分析和評定是否運用風險處理修正風險以滿足它們的風險準則，來管理風險。風險管理 內(nèi)容提要 第一章 風險管理概述 第二章 術(shù)語和定義 第三章 風險管理原則 第四章 風險管理框架 第五章 風險管理過程 第 一 章 風險管理概述 內(nèi)容提要 一、風險與風險管理 二、風險管理的起源和發(fā)展 三、我國的風險管理 四、風險管理標準 五、實施風險管理的目的和意義 六、風險管理在認證領(lǐng)域中的應(yīng)用 一、 風險與風險管理 所有類型和規(guī)模的組織都面臨內(nèi)部和外部的、使組織不能確定是否及何時實現(xiàn)其目標的因素和影響。 組織的所有活動都涉及風險。 1970 年代以后逐漸掀起了全球性的風險管理運動。 針對安然、世通等財務(wù)欺詐事件，美國國會出臺了著名的《 2020 年薩班斯 — 奧克斯利法案》來規(guī)范上市公司的行為 1983 年美國風險和保險管理協(xié)會年會上，通過了“ 101 條風險管理準則”，標志著風險管理發(fā)展進入了一個新階段 歐洲 11 個國家成立了“歐洲風險管理委員會” 美國多家專業(yè)團體成立了“反虛假財務(wù)報告委員會”和著名的專門研究內(nèi)部控制的委員會“ COSO 委員會” COSO 著名報告《內(nèi)部控制 整體框架》 (1992)和《 COSOERM 企業(yè)風險管理框架》(2020)，是風險管理的重要文獻 全面企業(yè)風險管理框架 風險管理正在從傳統(tǒng)的“點對點”式的管理走向全面的、一體化的管理。 四、 風險管理標準 國際大環(huán)境，促進了風險管理的標準化和國際化 2020 年澳洲和新西蘭聯(lián)合推出 AZ/NZS 4360 風險管理標準，是第一個國家級 的風險管理標準 ,并為國際標準的出臺奠定了基礎(chǔ) 風險管理的國際標準 ISO31000 為業(yè)界廣為關(guān)注， ISO 歷時四年，從 CD 到 DIS 再到 FDIS 稿，不斷完善標準，于 2020 年 11 月 13 日正式發(fā)布了《 ISO31000： 2020 風管理原則和指南》 該標準明確了風險管理的原則和指南 為深入開展風險管理工作提供了理論基礎(chǔ) 2020 年，我國已經(jīng)依據(jù) ISO31000 標準的 DIS 稿，頒布了國家標準《 GB/T24353 風險管理 原則與 實施指南》 ISO 的相關(guān)標準和指南 《 ISO GUIDE 73 風險管理 詞匯》 《 ISO31000 風險管理 原則和指南》 《 IEC/ISO31010 風險管理 風險評估技術(shù)》 ISO GUIDE 73 《 ISO GUIDE 73: 2020 風險管理 詞匯》 與風險有關(guān)的術(shù)語（ 1） 與風險管理有關(guān)的術(shù)語（ 4） 與風險管理過程有關(guān)的術(shù)語（ 45） ISO31000:2020 《 ISO31000 2020 風險管理 原則和指南》 1 范圍 2 術(shù)語和定義（ 29） 3 風險管理原則（ 11） 4 風險管理框架 5 風險管理過程 ISO31000： 2020 風險管理原則、框架和過程關(guān)系圖 ISO31000:2020 ISO31000:2020 風險管理 原則和指南《 Risk management – Principles and guideline》提供了風險管理的原則和通用性指南。 盡管所有的組織在某種程度上都在管理風險， ISO31000 建立了一些為使風險管理變得有效而需要滿足的原則。 “明確環(huán)境”將捕獲組織的目標，組織所追求目標的環(huán)境，組織的利益相關(guān)方和風險準則的多樣性，所有這些都將幫助揭示和評價風險的性質(zhì)和復(fù)雜性。作為管理方法論，其原則和指南可以應(yīng)用到認證的各個領(lǐng)域