【原创】ISO31000:2017《风险管理原则与指南》送审版先睹为快
2017年上半年,国际标准化组织(ISO)完成了ISO31000《风险管理原则与指南》的修订版草稿(DIS)。按照ISO对于国际标准的管理惯例,是5年审阅一次。第一版ISO31000是在2009年11月份发布的,这么算来,2014年ISO组织就应该启动了ISO31000的修订工作。2015年3月份,ISO31000完成了委员会草稿(CD)。
一、ISO31000是什么标准
ISO31000是ISO组织在2009年发布的全球性的第一个风险管理标准,它的结构和基础主要是参考了澳大利亚和新西兰1995年联合发布风险管理标准AS/NZS 4360,这也是全球第一个国家层面的风险管理标准。此标准在1999年、2004年被重新修订出版。
ISO31000: 2009起草的过程以及我国的参与情况如下图所示:
二、ISO31000修订稿与2009年版的主要变化
1、更简洁
按照ISO发布的消息称,修订ISO31000的其中一个最重要的变化是比上一版变得更加清晰和简洁,所以从修订版草稿上来看,整个的篇幅减少了3-4页。一些名词的定义被删除,需要参考ISO Guide73 《风险管理术语》中的相关定义。有些复杂的语言和描述也被改善,所以整体文本更精简和精确,以期让读者更容易理解。但有一些重要的定义还是被保留在ISO31000正文中,如:
风险—定义没变动,但注释有变化;
风险管理—没变动;
利益相关方—没变动;
风险源—定义没变动,但注释有变化;
事件—定义没变动,但注释有变化;
后果—定义没变动,但注释有变化;
可能性—没变动;
控制—定义没变动,但注释有变化。
2、框架的展现方式大变样
ISO31000的草稿为我们展示了一个全新的框架图,让人感觉耳目一新,先来看一下ISO31000:2009年的框架结构:
新版的框架被更新为如下表示,形式进行了变化,我们简单将其称为“三轮车”框架。在2009年的基础上,有些要素被简化了,强化了原则和流程之间的关联,原则方面则突出了对价值创造和保护的总原则。
三、ISO31000与中国风险管理标准GB/T24353的关系
中国在2009年9月也发布了风险管理国家标准,GB/T24353-2009《风险管理-原则与实施指南》,需要注意的是,中国的国家标准并不是对ISO31000标准的正式采用,从时间上可以看出,中国的国家标准比国际标准要早1个半月发布,中国的风险管理标准主要是参考的ISO31000的最终草案稿(FDIS)。
中国风险管理标准的起草组在参加国际风险管理标准制定的同时,也在起草风险管理国家标准。
随着ISO对31000标准的更新,相信中国的风险管理标准也会随之进行更新和修订工作。
四、ISO31000与COSO ERM的关系
在2017年之前,如果对比ISO31000:2009和COSO ERM:2004,我们认为ISO31000是基于管理流程的,通过为每个组织制定管理流程,将其集成到现有的战略和管理计划中。 而
COSO ERM的模式是基于控制和合规的“大内控框架”。因为COSO ERM是由审计师、会计师和控制专家编写,而ISO由国际标准专家和各类风险管理从业者共同编写。在COSO发布革命性变革框架COSO ERM:2017之前,我们认为ISO31000对风险管理工作的定位更好一些。
2017年,ISO和COSO都对风险管理文件和标准进行了更新,特别是COSO ERM框架的翻天覆地的变化,使其更加注重对企业战略和愿景的支撑、与价值创造紧密关联,更加强调和业务活动的融合。我们也从这种变化上看到了非常好的一个趋势、一种趋同性,就是风险管理活动对主体创造、保持价值的目标都是一致的。ISO旨在建立一个全球各种主体和组织都通用的风险管理适用性标准,而COSO则主要聚焦在企业的风险管理层面,尽管其宣称新标准将适用于任何主体,但显然企业仍是其目标重点。
目前,ISO31000已经进入国际标准最终草案(FDIS)阶段,新版ISO31000预计将于2017年底或2018年初发布,我们待正式版发布之后再详细解读。
点击公众号下方按钮,获取送审稿原版英文目录,如需ISO31000:2009原版文件,请留言邮箱地址,我们将免费提供!
原创文章,如需转载,请查阅本公众号菜单栏转载说明!
延伸阅读:
1. 【原创】首次全面解析2017 COSO 正式版《企业风险管理框架》
2. 【原创】从COSO ERM的演变看企业风险管理工作的定位