安全風險管理標準ＩＳＯ　３１０００

吉姆·懷廷　王光遠　寧丙文

在安全風險管理領域，一項新的國際標準《ISO 31000：風險管理原則與實施指南》(以下簡稱ISO 31000)已被國際標準組織(ISO)風險管理技術委員會完成制訂工作，并將于2009年正式公布。

ISO 31000是以澳大利亞和新西蘭風險管理標準《AS/NZS 4360: 2004》為基礎，實現了安全、健康、環境與財務風險管理的一體化，可以應用于任何企業、組織、協會、團體或個體等(以下以“企業”代表所有對象)，并不特別限定于某些行業或部門，具有廣泛的應用范圍。

該標準的最大特征是將“創建背景”作為風險管理程序的開始，這樣可以使該標準滿足多樣性的需要。實施這一新的國際標準，企業可以達到如下目的：鼓勵采取預防性而非被動性的管理；認識到在整個企業辨識和處置風險的必要性；提高辨識各種隱患的水平；符合相關法律法規和國際標準的要求；提高經濟效益；改善企業管理；建立決策和計劃的可靠基礎；改進事故管理和預防；減少損失等。

風險管理的原則、框架和程序

在ISO 31000中，風險管理的原則、框架和程序之間的關系如圖1所示。

圖1風險管理的原則、框架和程序之間的關系

1.原則

1） 風險管理可以創造價值

風險管理有助于企業取得顯著成績，以及提高安全健康、法律法規實施、環境保護、產品質量、經營效率等方面的水平。

2） 風險管理是企業管理的組成部分

風險管理是企業管理層的責任之一，也是企業管理程序的組成部分，而不僅僅是一項單獨的活動。

3） 風險管理是決策程序的組成部分

風險管理可以幫助決策者做出更加睿智的選擇。風險管理有助于企業實施需要優先采取的措施，也有助于判斷風險水平是否可以接受，以及風險處置方法是否適當與有效。

4） 風險管理可以明確地處理不確定性

風險管理可以指出決策過程中具有不確定性的方面，并能提供相應的處理方法。

5）風險管理具有系統性、組織性和適時性的特點

系統性、適時性和組織性的風險管理方法有助于企業提高效率和保持可持續性，并能取得具有可比性和可信賴的結果。

6）風險管理以最有效的信息為基礎

風險管理程序以經驗、反饋、觀察、預測和專家鑒定等信息資源為基礎。決策者應掌握這些信息資料，并考慮這些資料的局限性以及專家之間存在分歧的可能性。

7）風險管理具有適應性

風險管理可以根據企業的外部和內部背景及風險概況作出適當的調整。

8）風險管理應考慮人與文化的因素

企業的風險管理可以辨識出外部與內部相關人員的能力與意圖，這些人對企業目標的實現具有促進或阻礙的作用。

9）風險管理具有透明性和包容性

利益相關者尤其是企業各級決策者的適當和適時參與，可以確保風險管理適合于企業的管理，并能保持更新。

10）風險管理應對變化作出有力和快速的反應

由于諸如內部與外部事件的發生、背景與知識的改變、新風險的出現等情況的不斷變化，企業應當確保風險管理能繼續發揮作用，并對變化作出相應反應。

11）風險管理有助于企業持續改進和提高

企業應當制訂和實施提高風險管理成熟度的戰略，該戰略應當與企業的其他戰略一同實施。

2.框架

風險管理應當在風險管理框架內運行。該框架可以幫助企業在各層面和特定背景下通過應用風險管理程序，以有效管理風險。該框架應當確保來自這些程序的風險信息被適當地報告，并被用作決策的依據。

該框架主要是幫助企業在整個管理系統內將風險管理一體化，因此，企業應改編框架的組成部分以滿足其特殊需求。

1）指令和承諾

風險管理的采用和確保其不斷發揮作用，要求企業的管理者給予有力的和持續的承諾。

2）風險管理框架的設計

了解企業及其背景——在開始設計和實施風險管理框架前，重要的是了解企業的內部與外部背景。企業的外部背景主要包括文化、政治、法律、法規、金融、技術、經濟等環境，以及外部利益相關者的價值觀等。企業的內部背景主要包括了解資源和理解知識方面的能力、決策程序、價值觀和文化等。

風險管理政策——應當闡明企業風險管理的目標和承諾，風險管理政策與企業目標及其他政策之間的聯系，風險管理的責任，風險管理政策應當被適當交流等。

與企業程序實現整合——風險管理應當被應用到企業的所有業務和程序中，以確保其相關性、有效性和高效率。

責任——企業應當確保有責任和職權管理風險，包括實施和保持風險管理程序，保證任何風險控制的適當性和有效性。

資源——企業應當采取實際的手段，為風險管理分配適當的資源，如人力、信息和知識管理系統等。

建立內部溝通和報告機制——這樣可以確保風險管理框架的重要組成部分及其后續修訂內容得到適當的溝通。

建立外部溝通和報告機制——企業應當制訂和實施如何與外部利益相關者進行溝通的計劃，如雇傭適當的外部利益相關者，確保信息的有效交流；提供交流和協商的反饋和報告；在危機事件或意外事故發生時與利益相關者進行溝通等。

圖2風險管理程序

3）風險管理的實施

風險管理框架的實施——企業應當明確實施風險管理框架的適當時間和戰略；在企業的管理程序中應用風險管理政策和程序等。

風險管理程序的實施——在企業的所有相關部門和職能機構應用風險管理程序，并作為企業管理程序的一部分。

4） 框架的監測和評估

為確保風險管理的有效性，企業應：制訂執行的措施；定期估量風險管理計劃的進展；定期評估風險管理框架、政策和計劃是否仍與企業的內部與外部背景相適應等。

5） 框架的持續改進

以評估結果為基礎，作出如何改進風險管理框架、政策和計劃的決定。這些決定應當能夠改進企業的風險管理和風險管理文化。

3.程序

風險管理程序包括5個方面的活動：溝通與協商，創建背景，風險評估，風險處置，監測與評估，如圖2所示。

1)溝通與協商

在風險管理程序的每一個階段，與內部和外部利益相關者進行溝通與協商是十分必要的。在早期階段，應該制訂一個與內部和外部利益相關者進行溝通和協商的計劃，處理與風險本身、風險后果和應當采取的管理措施相關的問題。有效的外部和內部溝通與協商可以明確地解釋實施的風險管理程序，使利益相關者了解做出相關決定的依據，采取的特殊措施的原因。

2）創建背景

通過創建背景，企業在管理風險、制訂風險范圍和標準時，能夠充分考慮內部和外部的影響因素。

創建風險管理程序的背景——風險管理程序的背景將根據企業的需求而發生改變，主要包括：明確風險管理程序的責任；明確被實施風險管理活動的范圍、深度、寬度；明確企業的特別計劃或活動與其他計劃或活動之間的關系；明確風險評估的方法等。

制訂風險標準——企業應當制訂評估風險重要性的標準。該標準應反映企業的價值觀、目標和資源，與企業的風險管理政策相一致。風險標準應當在風險管理程序的開始階段制訂，并不斷被修訂。

3） 風險評估

風險評估就是指風險辨識、風險分析和風險評價的全過程。

風險辨識——企業應當辨識風險的根源、影響的范圍、潛在性的后果等。企業應當根據其目標和能力、面臨的風險，去運用風險辨識工具和技術。

風險分析——即對風險的理解，決定風險是否需要被處置，以及最合適的風險處置戰略和方法。風險分析包括考慮風險產生的原因和根源，其積極與消極結果，這些結果發生的可能性等。

風險評價——風險評價的目的是幫助在風險分析結果的基礎上做出決策，哪些風險需要被優先采取處置措施。

4）風險處置

風險處置的方法主要包括：通過決定不開始或繼續能夠產生風險的活動來避免風險；消除風險產生的根源；通過選擇保留部分風險等。

風險處置包括一個評估風險處置的循環程序，決定剩余風險的程度是否可以容忍。如果不能容忍，將采取新的風險處置方法。評估風險處置的效果，直到剩余風險達到了公司風險標準的要求。

5）監測與評估

監測與評估應當成為風險管理程序的計劃部分，應當明確地規定監測與評估的責任。監測與評估可以包括日常檢查或監督。

ISO 31000可用作認證標準

像ISO 9000質量管理體系、ISO 14000環境管理體系和ISO 18000職業健康安全管理體系那樣，這一新標準將取代有關國際標準，為未來所有與風險相關的ISO和IEC(國際電工委員會)標準提供基礎。

ISO 31000可能不會被廣泛地專門用于風險管理體系的認證。然而，它可以提供一種實用、規范的原則、框架和程序，并涵蓋不同的領域——安全、環境、質量和財務等各種風險的管理。

風險可容忍性和風險偏好

ISO 31000標準不能也不應作為規定企業風險管理的標準，比如什么級別的風險是可以容忍的，什么級別的風險是不可以容忍的，企業還需根據自身的目標和文化來設定具體的標準。

ISO 31000程序的實施，將使企業明確自身所承受的風險級別的標準，即用一個包括成本—效益分析的正式的、結構化的程序確定風險是否在最低可接受限度(ALARP)。這一風險可容忍性概念如圖3所示。

這個三角形的圖示便是風險可容忍性框架，它們的垂直位置表示企業就什么級別的風險是可以容忍的和不可以容忍的而做出的選擇。三角形的寬度表示管理者為被容忍的風險級別所花費的時間、費用和精力的量值。在被選擇的可容忍的范圍內，風險級別越高，管理風險需要花費的費用也就越多。圖3可以這樣來理解，即B公司比A公司控制風險的標準更高(風險偏好更低)。

圖3風險可容忍性框架和風險偏好

即使在同一家公司，對于不同類型的風險(比如安全和財務)，風險可容忍性或偏好也可能是不同的；也可能在一個風險領域內因時間和環境的不同而有所不同，比如企業在面臨經濟壓力的情況下比在較好經濟形勢的情況下可能會容忍更大的風險。風險管理目標以及可容忍性會隨著時間的改變而改變。

編輯 寧 遠