领导的重视是风险管理工作的首要前提-ISO31000: 2018风险管理指南系列解读(三)

前面，我们介绍ISO31000：2018 风险管理指南的前4部分，本周我们介绍第5部分，风险管理的框架。我们同样先介绍第5部分的重点内容，然后再重点解释几个点：

一、内容概要

5 框架

5.1概述

风险管理框架的目的是协助组织将风险管理纳入重要的活动和职能。风险管理的有效性取决于是否将其纳入组织治理和决策中。这需要利益相关方，特别是最高管理层的支持。

    

图3 - 框架

5.2领导力和承诺

在适当的情况下，高级管理层和监督机构应确保风险管理融入组织所有活动，

最高管理层负责管理风险，而监督机构负责监督风险管理。

5.3整合

整合风险管理依赖于对组织架构和环境的理解。架构因组织的目的、目标和复杂程度而异。组织架构中的每个部分都需要进行风险管理。组织中的每个人都有责任管理风险。

将风险管理整合到组织中是一个动态和反复优化的过程，应该根据组织的需求和文化进行定制。风险管理应该成为组织目的、治理、领导力和承诺、战略、目标和运营的一部分，而不是相互分离。

5.4设计

5.4.1了解组织及其环境

在设计风险管理框架时，组织应该检视并理解其内部和外部环境。

5.4.2明确风险管理承诺

在适当情况下，高级管理层和监督机构应通过政策、声明或其他形式清楚地表达组织的目标和对风险管理的承诺，展示并阐明其对风险管理的持续承诺。

组织对风险管理的承诺应在适当时传达给内部和利益相关方。

5.4.3分配组织角色、权限、职责

在适当情况下，高级管理层和监督机构应确保在组织各级分配和传达有关风险管理的权限和职责，并应：

 - 强调风险管理是核心责任；

 - 确定具有管理风险职责和权限的个人（风险所有者）。

5.4.4分配资源

在适当的情况下，高级管理层和监督机构应确保为风险管理分配适当资源，其中可包括但不限于：

 - 人员、技能、经验和能力；

 - 组织用于风险管理的流程、方法和工具；

 - 记录过程和程序；

 - 信息和知识管理系统；

 - 专业发展和培训需求。

组织应考虑现有资源的能力和局限。

5.4.5建立沟通和咨询

为支持框架和促进风险管理的有效应用，组织应建立一个经过批准的沟通和咨询方法。沟通涉及与目标受众共享信息。咨询包括参与者期望对决策或其他活动作出贡献，以便更好决策的反馈信息。沟通和咨询方法和内容应反映相关利益方的期望。

沟通和咨询应该及时进行，确保收集、整理、汇总和分享相关信息，提供反馈意见并改进。

5.5实施

组织应通过以下方式实施风险管理框架：

 - 制定适当的计划，包括时间表和资源配置；

 - 在整个组织内，确定在什么地点、什么时间、由谁来进行不同类型的决策；

 - 在必要时，调整适用的决策程序；

 - 确保组织的风险管理安排得到清晰的理解和实施。

框架的成功实施需要利益相关方的参与和了解。这使组织能够明确地应对决策中的不确定性，同时确保在出现任何新的不确定性时可以将其考虑在内。

通过正确的设计和实施风险管理框架，可以确保风险管理流程是整个组织所有活动（包括决策）的一部分，并将充分反映内外部环境的变化。

5.6评价

为了评估风险管理框架的有效性，组织应该：

 - 根据其目的、实施计划、指标和预期行为定期衡量风险管理框架的绩效；

 - 确定它是否仍然适合支撑组织目标的实现。

5.7改进

5.7.1适应性

组织应持续监控和调整风险管理框架，以解决内外部的变化。这样做，组织可以提升其价值。

5.7.2不断改进

组织应不断改善风险管理框架的适用性、充分性和有效性，以及风险管理流程的整合方式。

如果已经确定了差距或改进的机会，组织应制定计划和任务，并将其分配给负责实施的人员。这些改进措施一旦实施，将有助于加强风险管理的作用。

二、重点拾遗

1、领导重视是第一要务

新版风险管理标准的框架部分，核心为领导力和承诺，首先明确了推动风险管理工作的责任方是最高管理层，而且列出了领导层的职责和承诺包括哪些内容：

领导层的职责：

- 针对性的设计和实施框架的所有要素；

- 发布建立风险管理方法、计划或行动方案的声明或政策；

- 确保为管理风险分配必要的资源；

- 在组织内的相应级别分配权限和职责。

领导层的承诺：

- 组织管理风险的目的以及与其目标和政策的联系；

- 加强将风险管理理念纳入组织整体文化的需要；

- 带领风险管理整合到核心业务活动和决策中；

- 权限、职责；

- 保证必要资源的充足性；

- 处理相互冲突的目标；

- 组织绩效指标衡量和报告；

- 审查和改进。

另外，框架中列示了监督机构的职责，我们看了一下监督机构的职责内容，内容和国际内部审计协会IIA定义的审计职能在风险管理中的职责。可以判断这些职责其实是给“内部审计”机构使用的职责，也就是我们可以将其认定为对企业“第三道防线”的职责：

- 确保组织在确定组织目标时充分考虑风险；

- 了解组织追求目标所面临的风险；

- 确保管理风险的体系得到有效实施和运行；

- 确保组织在当前的目标下承担了适当的风险；

- 确保有关这些风险及其管理的信息得到适当传达。

2、风险管理与治理和决策的关系

ISO在文件中强调了风险管理生效的标准是是否将风险管理纳入了组织治理和决策过程。

所以想要让风险管理产生效果，形式上要在组织治理层面考虑风险管理，内容上要支持组织的各类决策行为。

那什么是治理？

COSO新版风险管理框架的表述是：通常来讲，治理指的是利益相关方、董事会、管理层之间在角色、授权、职责的分配。

ISO31000没有给出治理的定义，但指出了治理为组织如何处理内外部关系，设置规则、流程和实践以实现其目的提供了指引。阐述了利用治理和公司架构，来驱动战略和经营目标的实现。

在治理层面考虑风险管理，就是指在最高管理层确定公司治理结构和架构时，将风险管理考虑在内，这是其不可分割的一部分。

如何支持决策？

在第一篇对ISO31000进行全文介绍的文章了，我总结了几个最明显的变化，其中有一条就是支持决策为核心，全文请参考：ISO31000国际风险管理指南全文概览，点击打开。

为什么强调支持决策？如何科学的决策也是一个专门的学科，这门学科的研究历史不比风险管理短，而衡量风险和收益几乎是所有决策过程的必备一环。为什么需要决策，是因为需要做选择，没有选择就没有必要做决策。有选择就表明选项不止一个，不止一个就涉及权衡利弊。从决策的选择和实施来讲，决策的选择要比实施重要的多，这是方向问题，和实施过程面临的不确定性不是一个维度的不确定性。

企业运行过程中，最关键的就是需要不时的做出不同层面的决策行为，来决定发展的方向和结果，这一系列的决策可以说是企业最具含金量的一组活动。而ISO强调将风险管理作为决策过程中的一份子，也是凸显了风险管理工作对做出明智决策的重要性。其实不管ISO是否强调，风险管理作为决策的一部分，这也是普遍做法。我们看到很多研究和学术机构将风险管理研究作为科学决策学科的一部分，如沃顿商学院的风险管理研究就在其决策过程研究院。

3、整合要求引领框架

我在第一篇全文解读的内容中，也提到了ISO此次重点强调“整合”的重要性，在原则和框架中两次提到了整合，而且在框架中不惜打破原有的PDCA框架，生生的给加了一个整合的框架要素作为首要内容。

整合什么？

ISO指出，风险管理框架的目的是协助组织将风险管理纳入重要的活动和职能，组织架构中的每个部分都需要进行风险管理。组织中的每个人都有责任管理风险。

风险管理应该成为组织目的、治理、领导力和承诺、战略、目标和运营的一部分，而不是相互分离。

整合的意思就是希望明确，在企业中，横到边、纵到底，都不能忘了风险管理，我是你们的一个组成部分。

关于“整合”的含义，COSO和ISO都大书特书，到底这个定位准不准，是不是恰当，后面我们会专门开一篇来论述，看一看全球风险管理专家们“整合风险管理”下的苦恼、疑问、彷徨的根源在哪里！