2018版ISO31000《风险管理指南》标准

2018版ISO31000《风险管理指南》标准2018年2月15日，国际标准组织ISO发布了ISO31000《风险管理指南》标准2018版正式文件，这是自其2009年发布的全球第一版风险管理指南之后，第一次对其文件进行的更新和升级。ISO31000新标准概览新版风险管理标准中的框架图称为为“三轮车”图，并首次对其进行了汉化处理。这个“三轮车”图和2009年第一版的三个方框图相比可谓变化明显，此次正式版的发布，没用了征求意见稿中的“三轮车”图形展示方式，但内容上相比征求意见稿还是有所变动。我们首先来看一下正式版的三轮车框架图。用三个圆形图分别表示了新标准中的原则、框架和流程。其中原则轮中，最核心的内容为“价值的创造和保护”，体现为八个原则：整合的；结构化和全面性；定制化；包容性；动态的；有效信息利用；人员与文化因素；持续改进。框架轮中，最核心的为“领导力与承诺”，体现为五个步骤：整合；设计；实施；评价；改进。流程轮中，包含了：对范围、背景和标准的定义；风险评估的经典流程-风险识别、风险分析、风险评价；风险应对；风险记录与报告；沟通与咨询；监控与评价。这个三轮车图提炼了整个ISO31000风险管理标准的所有内容，标准的全文都是围绕着这个三轮车图来展开论述的。新标准与老标准的异同按照ISO组织自己的论述，新标准和老标准的异同主要体现在四个方面：重新审阅了所有的风险管理原则，这是其是否能够取得成功的关键标准；重点强调了高级管理层的职责以及和各项管理活动的整合，从组织的治理着眼；更加强化了风险管理工作的迭代性质，提示了在每一个流程环节，随着新的实践、知识和分析能力下对流程要素、方案和控制的修正；对了满足多样化的需求，保持一个更加开放和包容的系统，精简了一部分内容。对于这4点而言，ISO组织一直宣称，这次修订风险管理标准的一大初衷是使内附管理标准更简洁，更利于理解和运用，所以删除了很多复杂的语句和句子。从篇幅上也能看得出来，新版风险管理标准比第一版共减少了7页，缩减了将近三分之一。那么在具体内容上与上一版到底有什么变化？我们先来看一下第一版的框架图。比较来看，原则部分，由11项原则缩减为8项；框架部份，强化了领导层的职责和整合的重要性；流程部份，强调了对于范围和标准的定义，以及对于记录与报告的突出；整体上看，新版“三轮车”示意图比第一版示意图更能体现原则、框架、流程三者之间的相互作用关系。新标准划重点➀“价值”聚焦风险管理工作要聚焦在组织的价值创造活动，支持或协助组织更好的进行价值创造和保护，COSO组织发布的新版企业风险管理框架也是将企业的风险管理工作聚焦到企业价值的创造、保护和实现；同样“三道防线”理论，也强调第二道防线和第三道防线利益的一致性，都是聚焦于企业价值的创造最为最终目标。本次ISO31000的修订，将原则的核心定位为价值的创造和保护，可见国际主流的思想是趋于一致的，风险管理工作的定位就是为了更好的帮助企业创造价值。➁“决策”为核新版ISO风险管理标准数次在不同章节中强调了风险管理对于决策支持的重要性，指出任何组织和个人无时无刻不在面临做出决策的情况。如果说风险管理聚焦到了价值的创造和保护，那这个目标是组织通做出一系列的决策而达到价值实现的。风险管理让我们可以更好的管理不确定性，从而为更好的做出决策，应对不确定性提供支持。这样的观点同样在COSO新版风险管理框架中被强调和突出。在企业实践界应该考虑如何加快构建决策过程中的风险考量政策和程序。➂“整合”为重新版的标准中，原则轮和框架轮都将“整合”作为第一个要素，可见其重要性，ISO从其第一版文件中，就强调了风险管理工作不是一项孤立的管理活动，是和其他管理活动紧密结合的一项工作。但ISO组织显然觉得这样的提醒还不足够，本次特意将其立意放在第一位来阐述，希望能够“整合”的含义传递的更加清晰和明确。孤立的风险管理工作并无实际意义，按照ISO的建议，风险管理工作应该与组织的所有管理活动整合，成为任何管理经营活动的一部分，包括但不限于：战略和规划、公司治理、人力资源、合规、质量、健康与安全、业务连续性、危机管理与安全管理、组织抗风险能力，IT等等。➃领导层担当在框架轮中，最核心的内容为“领导力与承诺”，强化了对于领导层在风险管理工作中的角色和职责。按照ISO技术风险管理委员会现任主席JasonBrown所言：以前风险管理从业者往往处于组织管理的边缘，这种强调将帮助他们证明风险管理是企业管理不可分割的一部分。“领导力与承诺”的提法同样出现在ISO9000质量管理体系中，都是强调管理层对此项工作的重要责任。某行业的质量管理认证体系中，更是将风险管理作为质量体系认证是否通过的第一个KO项（一票否决项），可见管理界对风险管理工作的认识和重要性等级在快速提升。谁将受益➀最高管理层如上分析内容所述，新标准强调了组织价值创造的贡献，在公司治理层面突出了最高管理层对此项工作的职责，提供了明确的职责清单。并且有迹象显示，企业风险管理的好坏有可能会成为未来检验企业管理能力和有效性的一项非常重要内容。从内外部环境来看，这些都将有助于推动高级管理层在更好的履行风险管理职能的同时，更加重视企业的风险管理工作。➁以风险管理、内控部门为首的第二道防线以往的风险管理职能在定位上会有一定的灰色地带，新标准突出了最高管理层的风险职责，推动职责的落实和实施，自然也就会带动相关风险管理职能部门的上位，所以会对第二道防线的风险管理职能部门有一定推动作用。➂内部审计部门为主的第三道防线“风险导向”的内部审计是近些年来内部审计工作发展的主要方向之一，那么如何更好的帮助企业建立一套有效的风险管理体系也是内部审计的职责所在。一个拥有良好风险管理能力的企业和一个较差风险管理能力的企业，其审计风险的高低不言而喻。其实，ISO组织早在2010年就和国际内部审计协会IIA展开了合作，编制了基于ISO31000的内部审计职能对于企业风险管理能力确认或保证的相关指导文件。新标准的发布在推动企业建立和完善企业风险管理体系的同时，也一定会推动以“风险为导向”的内部审计工作的进一步发展。一个被广泛采纳的国际标准根据ISO风险管理技术委员会前主席KevinKnight先生给我提供的统计信息，ISO31000自2009年发布以来，得到了全球各个国家的支持和响应。截至目前，已经有57个国家采纳了ISO31000风险管理标准并在此基础上发布了其国家风险管理标准，如中国的GB/T24353，相信下一步国家标准委也会相应地修订其标准。随着ISO31000的更新和发展，相信会有更多的国家重视风险管理工作，加入到ISO31000的大家庭中。正如ISO风险管理技术委员会现任主席JasonBrown先生所言，任何的组织都应该重视风险管理，更好的管理好本身面临的风险以达成其目标，因为“风险管理的失败即是承受着经营失败的风险。SA8000:2008社会责任中文标准I.目的与范围本标准规定公司应该遵守的社会责任，以帮助公司:a)发展、维持和加强公司的政策和程序，在公司可以控制或影响的范围内，管理有关社会责任的议题；b)向利益团体证明公司政策、程序和措施符合本标准的规定。本标准之规定具有普遍适用性，不受地域、产业类别和公司规模的限制。II.规范网要与诠释公司应该遵守国家和其它适用的法律、公司签署的其它规章和本标准。当国家和其它适用的法律、公司签署的规章和本标准所规范的议题相同时，应该采用其中最严格的条款。公司也应该尊重下列国际协议的原则：※国际劳工组织公约第29和105条（强迫性和奴役性劳动）※国际劳工组织公约第87条（组织工会的自由）※国际劳工组织公约第98条规（集体谈判的权利）※国际劳工组织公约第100和111条规（男女同工同酬；歧视）※国际劳工组织公约第135条规（工人代表公约）※国际劳工组织公约第138条和建议款第146条规（最低年龄和建议）※国际劳工组织公约第155条和建议条款第164条(职业安全和健康）※国际劳工组织公约第159条（职业训练与雇用／伤残人士）※国际劳工组织公约第177条（家庭工作）※国际劳工组织公约第182条（最恶劣儿童）※世界人权宣言※联合国儿童权利公约※联合国消除一切形式歧视妇女行为公约III.定义1.公司的定义：任何负责实施本标准中各项规定组织或企业的整体，包括公司所有的员工（即董事、决策阶层、经理、监督和非管理人员，不论是直接雇用、合约性质或以其它方式代表公司的人）。2.供货商/分包商的定义：提供货物或服务给公司的实体，它所提供的货物或服务构成公司生产的货物或服务的一部分，或被利用来生产公司的货物或服务。3.下级供货商的定义：在供应链中直接或间接向供货商提供货物或服务的实体，它所提供的货物或服务构成供货商或公司生产的货物或服务的一部分，或被利用生产釆生产供货商或公司的货物或服务．4.补救行动的定义：给SA8000所涵盖权益受侵害的工人或前雇员的补救行动。5.纠正行动的定义：为确保给不符合提供及时、持续补救而实施的系统化改进或解决措施。6.利益团体的定义：关心公司的社会表现或受到公司社会表现所影响的个人或团体。7.儿童的定义：任何十五岁以下的人．若当地法律规定最低工作年龄或义务教育年龄高于十五岁，则以较高年龄为准．若当地法律规定最低工作年龄是十四岁，符合国际劳工组织公约第138条有关发展中国家的例外规定，则以较低年龄为准。8.青少年工人的定义：任何超过上述定义的儿童年龄,但不满十八岁的工人。9.童工的定义：任何属于上述定义的儿童年龄的人所从事的劳动，除非符合国际劳工组织建议条款第146条。10.强迫性劳动的定义：任何人在任何受惩罚威胁下被榨取的非志愿性工作或服务或作为偿债方法的工作或服务。11.拯救儿童的定义：为了保障曾经担任童工并遭遣散的儿童的安全、健康、教育和发展，而采取的所有必要的支持和行动。12.居家工人的定义：在直接或间接合同下，不在公司场地内为公司做工的人。不论由谁提供设备、原料或其它物料，只要提供了雇主界定的产品或服务并为报酬而做工的人。IV.社会责任之规定1.童工1.1公司不可雇用童工或支持雇用童工的行为。1.2若发现有童工，公司应该建立、纪录、保留旨在拯救童工的政策和程序，和有效的传达这些政策和程序给员工和其它利益团体，并且应该提供足够的支持来促使童工接受学校教育，直到他们超过儿童年龄为止。1.3公司应该建立、纪录、维持国际劳工组织建议条款第146条所涉及的旨在推广儿童教育和青少年工人教育的政策和措施，并将其向员工及利益团体有效传达．政策和措施还应包括一些具体措施来保证在上课时间内不雇用童工或青少年工人，而且童工和青少年工人的每日交通（来回工作地点和学校）、上学和工作时间加起来不得超过十小时。1.4无论工作地点内外，公司不可置儿童或青少年工人于危险、不安全或不健康的环境中。2.强迫性劳动2.1公司不可雇用或支持雇用强制性劳工的行为，也不可要求员工在受雇之时交纳（押金）或存放身分证于公司。3.健康与安全3.1公司应该考虑到产业中普遍认知的危险和任何特定的危险，而提供一个健康与安全的工作环境，并应采取适当的措施，在可能条件下最大限度地降低工作环境中的危害隐患，以避免在工作中或由于工作发生或与工作有关的事故对健康的危害。3.2公司应该指定一个高级管理代表，来负责所有员工的健康与安全，并且负责实施本标准中有关健康与安全的规定。3.3公司应该保证所有的员工都接受定期和有纪录的健康与安全训练，并为新进的和调职的员工重新进行培训。3.4公司应该建立系统来侦查、防范或反应可能危害员工健康与安全的潜在威胁。3.5公司应该提供所有员工干净的厕所、可饮用的水，在适当的情形下，并提供员工储藏食物的卫生设备。3.6如果公司提供员工宿舍的话，应该保证宿舍设备干净、安全，并能满足员工的基本需求。4.组织工会的自由与集体谈判的权利4.1公司应该尊重所有员工自由成立和参加工会，以及集体谈判的权利。4.2当自由组织工会和集体谈判的权利受到法律限制的时候，公司应该协助员工采用类似的方法来达到独立和自由结社