一、ISO31000:2018產生的背景和意義
有些企業一直關注質量風險、安全風險,卻忽視了合規風險、業務連續性風險;或者關注了環境風險、信息安全風險,忽視了資產風險、創新風險。任何重大風險得不到識別和控制,我們都會面臨嚴重的影響和損失。我們是否問過我們自己:除此之外,我們還會面臨哪些風險?我們是否已經識別和控制了我們所有可能面臨的重大風險?我們很多企業已經建立了質量管理體系、環境管理體系、職業健康安全管理體系,有些還建立了資產管理體系、信息安全管理體系,有些正在考慮建立合規管理體系、業務連續性管理體系,這些管理體系也只是幫助企業識別和管控到了某些方面的風險,根本談不上識別和控制企業的所有重大風險,因此企業需要識別管控的是全面風險。
針對企業全面風險管控的問題,國家相關部委也出臺了相應的文件和要求,如:2006年6月6日國資委印發了《中央企業全面風險管理指引》(國資發改革[2006]108號)要求中央企業開展全面風險管理工作,具備條件的企業應全面推進,盡快建立全面風險管理體系。2016年9月27日銀監會發布了《銀行業金融機構全面風險管理指引》銀監發〔2016〕44號,要求銀行業金融機構應當建立全面風險管理體系。因此全面風險管理體系的建立就成為一些管理成熟度較高企業的必然選擇。
二、ISO31000:2018的基本原則、框架和過程
三、Intertek天祥集團可以提供的有關風險管理的研究成果
很多企業希望建立全面風險管理體系,但是我們并沒有建立全面風險管理體系所依據的標準。雖然ISO于2009年發布了ISO31000《風險管理指南》和ISO31010《風險管理-風險評價方法》,并于2018年將ISO31000進行了換版。ISO31000也明確提出了風險管理的基本原則、風險管理的框架和風險管理過程,但是ISO31000是風險管理指南,根本不是風險管理體系要求或指南,企業并不能通過對風險管理指引和系列標準的學習指導如何搭建全面風險管理體系,尤其是如何進行全面風險的識別、分析和評價。為了滿足企業對全面風險管控的需求,我們Intertek天祥集團的專家對對風險管理的相關標準和最佳實踐進行了深入研究,在權威雜志發表了多篇有關風險管理的論文:
四、Intertek天祥集團可以提供的有關風險管理的服務項目
1、“企業如何建立全面風險管理體系”的免費研討會(2個小時),內容包括:
2、“企業如何建立全面風險管理體系”的實戰培訓(3天)
3、全面風險管理體系評價
依據ISO31000:2018,參考我們研究的基于ISO高級結構的全面風險管理體系框架和一些最佳實踐,對企業的全面風險管理體系進行評價,為企業發現改進的機會。
