ISO FDIS31000风险管理最终发布版中文翻译稿hoi.docx

INTERNATIONAL STANDARD ISO/FDIS31000Risk management Principles and guidelinesForeword前言ISO (thee Innterrnattionnal Orgganiizattionn foor SStanndarrdizzatiion) iss a worrldwwidee feederratiion of nattionnal staandaardss boodiees(IISO memmberr boodiees). Thhe wworkk off prrepaarinng IInteernaatioonall Sttanddardds iis nnormmallly ccarrriedd ouut tthrooughh ISSO tecchniicall coommiitteees. Eaach memmberr boody inttereesteed iin aa suubjeect forr whhichh a tecchniicall coommiitteee hhas beeen esttabllishhed hass thhe rrighht tto bbe rreprreseenteed oon tthatt coommiitteee. Intternnatiionaal oorgaanizzatiionss, ggoveernmmenttal andd not-gooverrnmeentaal, in liaaisoon wwithh ISSO, alsso ttakee paart in thee woork. ISSO ccolllaboorattes clooselly wwithh thhe Intternnatiionaal EElecctrootecchniicall Coommiissiion (IEEC) on alll maatteers of eleectrroteechnnicaal sstanndarrdizzatiion.ISO（国国际标准准化组织织）是一个各国国标准化化机构（ISOO成员机构构）组成成的世界界性联合合会。制定定国际标标准的工作通通常由IISO的的技术委委员会完完成。各各成员机构构若对某某技术委委员会确确定的项项目感兴兴趣，有有权派代代表参加加该委员员会。与与ISOO保持联联系的各各国际组组织（官官方的或或非官方方的）也也可参加加有关工工作。IISO与与国际电电工委员员会（IIEC）在在电工技技术标准准化方面面保持密密切合作作的关系系。Interrnattionnal Staandaardss arre ddrafftedd inn acccorrdannce witth tthe rulles givven in thee ISSO/IIEC Dirrecttivees, Parrt 22.国际标准是是根据IISO/IECC导则第第2部分分的规则则起草的的。The mmainn taask of tecchniicall coommiitteees is to preeparre IInteernaatioonall Sttanddardds. Draaft Intternnatiionaal SStanndarrds adoopteed bby tthe tecchniicall coommiitteees aree ciircuulatted to thee meembeer bbodiies forr vootinng. Pubbliccatiion as an Intternnatiionaal SStanndarrd rrequuirees aapprrovaal bby aat lleasst 775% of thee meembeer bbodiies casstinng aa voote.各技术委员员会的主主要工作作是起草草国际标标准。各各技术委委员会通通过的国国际标准准草案要要提交各各成员机机构投票票表决。须须取得至至少755参加加表决的的成员机机构同意意，国际际标准草草案才能能作为国国际标准准证实发发布。Attenntioon iis ddrawwn tto tthe posssibbiliity thaat ssomee off thhe eelemmentts oof tthiss doocummentt maay bbe tthe subbjecct oof ppateent rigghtss. IISO shaall nott bee heeld ressponnsibble forr iddenttifyyingg anny oor aall succh ppateent rigghtss.本标准中的的某些内内容有可可能涉及及一些专专利权问问题，这这一点应应引起注注意，IISO不不负责识识别任何何这样的的专利权权问题。ISO 3310000 wwas preeparred by thee ISSO TTechhniccal Mannageemennt BBoarrd WWorkkingg Grroupp onn riisk mannageemennt.ISO 3310000由ISOO技术管管理委员员会风险险管理工工作组编编写。Introoducctioon简介介Organnizaatioons of alll tyypess annd ssizees ffacee innterrnall annd eexteernaal ffacttorss annd iinflluenncess thhat makke iit uunceertaain wheetheer aand wheen ttheyy wiill achhievve ttheiir oobjeectiivess. TThe efffectt thhis unccerttainnty hass onn ann orrgannizaatioon'ss objjecttivees iis “rriskk”.所有类型和和规模的的组织都都面临内内部和外外部因素素和影响，使使得它不不能确定定是否及及何时实实现其目目标。这这种对一一个组织织目标影影响的不不确定性性即是“风险”。All aactiivittiess off ann orrgannizaatioon iinvoolvee riisk. Orrgannizaatioons mannagee riisk by ideentiifyiing it, annalyysinng iit aand theen evaaluaatinng wwhettherr thhe rriskk shhoulld bbe mmodiifieed bby rriskk trreattmennt iin oordeer tto ssatiisfyy thheirr riisk criiterria.一个组织的的所有活活动都涉及风风险。组组织通过过识别、分分析、评评价风险险以及处处理风险险，以满满足他们们的风险险标准。Throuughoout thiis pproccesss, ttheyy coommuuniccatee annd cconssultt wiith staakehholdderss annd mmoniitorr annd rreviiew thee riisk andd thhe cconttrolls tthatt arre mmodiifyiing thee riisk in ordder to enssuree thhat no furrtheer rriskk trreattmennt iis rrequuireed. Thiis Intternnatiionaal SStanndarrd ddesccribbes thiis ssysttemaaticc annd llogiicall prroceess in dettaill.在这个过程程中，他他们与利利益相关关者沟通通协商，监监测和审审查风险险控制，并不断的修正风险，以确保风险处理不再是必需的。本标准详细描述了这一系统的和符合逻辑的过程。Whilee alll oorgaanizzatiionss maanagge rriskk too soome deggreee, tthiss Innterrnattionnal Staandaard esttabllishhes a nnumbber of priinciiplees tthatt neeed to be sattisffiedd too maake rissk mmanaagemmentt efffecctivve. Thiis IInteernaatioonall Sttanddardd reccommmendds tthatt orrgannizaatioons devveloop, impplemmentt annd cconttinuuoussly impprovve aa frrameeworrk wwhosse ppurpposee iss to inttegrratee thhe pproccesss foor mmanaaginng rriskk innto thee orrgannizaatioon'ss ovveraall govvernnancce, strrateegy andd pllannningg,maanaggemeent, reeporrtinng pproccessses, poolicciess, vvaluues andd cuultuure.尽管所有的的组织在在某种程程度上都都在管理理风险，本本标准规规定了一一些原则则，以使风险险管理变变得有效效。本标准建建议，组组织制定定，实施施和不断断完善的的框架，其其目的是是将风险险管理纳纳入到组组织的治治理，战战略和规规划，管管理，报报告程序序，政策策，价值值观和文文化等综合管管理的整整个过程程。Risk mannageemennt ccan be appplieed tto aan eentiire orgganiizattionn, aat iits manny aareaas aand levvelss, aat aany timme, as welll as to speeciffic funnctiionss, pprojjectts aand acttiviitiees.风险管理可可以应用用到整个个组织，它它的许多多领域和和层次，在在任何时时间，以以及具体体职能，项项目和活活动。Althooughh thhe ppraccticce oof rriskk maanaggemeent hass beeen devveloopedd ovver timme aand witthinn maany secctorrs iin oordeer tto meeet ddiveersee neeedss, tthe adooptiion of connsisstennt pproccessses witthinn a commpreehennsivve fframmewoork cann heelp to enssuree thhat rissk iis mmanaagedd efffecctivvelyy, eeffiicieentlly aand cohhereentlly aacrooss an orgganiizattionn. TThe genneriic appproaach desscriibedd inn thhis Intternnatiionaal SStanndarrd pprovvidees tthe priinciiplees aand guiidellinees ffor mannagiing anyy forrm oof rriskk inn a sysstemmatiic, traansppareent andd crrediiblee maanneer aand witthinn anny sscoppe aand conntexxt.尽管在过去去这段时时间内的的许多部部门，以满足足不同的的需要的的风险管管理的做做法是成成熟的，但是通通过采用用一致性性流程的的综合框框架有助助于确保保风险管管理的有有效性，并并且有效效和连贯贯整个组组织。在在本标准准规定的的一般性性的原则则和方针针，目的的在于在在任何的的环境和和背景下下，系统统的、清清晰的、可可靠的方方式管理理风险。Each speeciffic secctorr orr apppliicattionn off riisk mannageemennt bbrinngs witth iit iindiividduall neeedss, aaudiiencces, peerceeptiionss andd crriteeriaa. TTherrefoore, a keyy feeatuure of thiis IInteernaatioonall Sttanddardd iss thhe iincllusiion of “esstabblisshinng tthe conntexxt” as an acttiviity at thee sttartt off thhis genneriic rriskk maanaggemeent proocesss. Esttabllishhingg thhe cconttextt wiill cappturre tthe objjecttivees oof tthe orgganiizattionn, tthe envviroonmeent in whiich it purrsuees tthosse oobjeectiivess, iits staakehholdderss annd tthe divverssityy off riisk criiterria aall of whiich willl hhelpp reeveaal aand asssesss thhe nnatuure andd coompllexiity of itss riiskss.每一个具体体部门或或风险管管理的应应用都产产生了独独自的需需要，受受众，观观念和标标准。因因此，这这一国际际标准的的主要特特点是将将风险管管理“环境建建设”列列入其管理过过程的开开始活动动。环境境建设方方面将捕捕获该组组织的目目标，它它所追求求目标的的环境，它它的利益益相关者者和风险险标准的的多样性性，所有这这些都将将帮助揭揭示和评评估风险险的性质质和复杂杂性。The rrelaatioonshhip bettweeen tthe priinciiplees ffor mannagiing rissk, thee frrameeworrk iin wwhicch iit ooccuurs andd thhe rriskk mannageemennt pproccesss deescrribeed iin tthiss Innterrnattionnal Staandaard aree shhownn inn Fiigurre 11.本标准描述述了风险险管理的的原则、框框架、风风险管理理的流程程之间的的关系，如如图1所所示。When impplemmentted andd maainttainned in acccorddancce wwithh thhis Intternnatiionaal SStanndarrd, thee maanaggemeent of rissk enaablees aan oorgaanizzatiion to, foor eexammplee:当按照这一一国际标标准实施施和维护护时，风风险的管理者需需使一个个组织加加强，例例如： inccreaase thee liikellihoood of achhievvingg obbjecctivves; 增加加实现目目标的可可能性 enccourragee prroacctivve mmanaagemmentt; 鼓励主动动性管理理; be awaare of thee neeed to ideentiify andd trreatt riisk thrrougghouut tthe orgganiizattionn; 在组织织中，意意识到识识别和对待风险险的需要要; impprovve tthe ideentiificcatiion of oppporttuniitiees aand thrreatts; 提高的的机会和和威胁识识别能力力 commplyy wiith rellevaant leggal andd reegullatoory reqquirremeentss annd iinteernaatioonall noormss; 符符合有关关法律及及监管要要求和国国际规范范 impprovve ffinaanciial repporttingg; 改改进财务务报告 impprovve ggoveernaancee; 改善治治理 impprovve sstakkehooldeer cconffideencee annd ttrusst; 提高利益益相关者者的信心心和信任任 esttabllishh a relliabble bassis forr deecissionn maakinng aand plaanniing; 建立立决策和和规划提提供可靠靠的根基基 impprovve cconttrolls;加加强控制制 efffecttiveely alllocaate andd usse rresoourcces forr riisk treeatmmentt; 有有效地分分配和使使用资源源处理风风险 impprovve ooperratiionaal eeffeectiivennesss annd eeffiicieencyy;提高高运营的的效果和和效率 enhhancce hheallth andd saafetty pperfformmancce, as welll aas eenviironnmenntall prroteectiion; 加强强健康和和安全业业绩，以以及环境境的保护护; impprovve llosss prreveentiion andd innciddentt maanaggemeent; 改善善防损和和事件管管理 minnimiize losssess; 减减少损失失 impprovve oorgaanizzatiionaal llearrninng; andd提高组组织的学学习能力力 impprovve oorgaanizzatiionaal rresiilieencee. 提提高组织织的应变变能力This Intternnatiionaal SStanndarrd iis iinteendeed tto mmeett thhe nneedds oof aa wiide rannge of staakehholdderss, iinclludiing: 本标标准是为为了满足足广大利利益相关关者需要要，包括括：a) thhosee reespoonsiiblee foor ddeveeloppingg riisk mannageemennt ppoliicy witthinn thheirr orrgannizaatioon;a）开发者者对其机构构内的风风险管理理政策负负责;b) thhosee acccouuntaablee foor eensuurinng tthatt riisk is efffecttiveely mannageed wwithhin thee orrgannizaatioon aas aa whholee orr witthinn a speeciffic areea, proojecct oor aactiivitty;b）有人对对组织作作为一个个整体、或或者某一一特定范范围、项项目或者者活动的的风险管管理的有有效性负负责;c) thhosee whho nneedd too evvaluuatee ann orrgannizaatioon eeffeectiivennesss inn maanaggingg riisk; anndc）有人需需要对风险管管理评估估的有效效性负责责;和d) deevellopeers of staandaardss, gguiddes, prroceedurres andd coodess off prractticee thhat, inn whholee orr inn paart, seet oout howw rissk iis tto bbe mmanaagedd wiithiin tthe speeciffic conntexxt oof tthesse ddocuumennts.d）标准，指指南，程程序和守守则的开开发者，应该对对在特定定的环境境下风险险管理整整体的或或部分的的文件得得以实施施负责；The ccurrrentt maanaggemeent praactiicess annd pproccessses of manny oorgaanizzatiionss inncluude commponnentts oof rriskk mannageemennt, andd maany orgganiizattionns hhavee allreaady adoopteed aa foormaal rriskk maanaggemeent proocesss ffor parrticculaar typpes of rissk oor ccirccumsstanncess. IIn ssuchh caasess, aan oorgaanizzatiion cann deecidde tto ccarrry oout a ccritticaal rreviiew of itss exiistiing praactiicess annd pproccessses in thee liightt off thhis Intternnatiionaal SStanndarrd.目前许多组组织的管管理实践践和流程程包括风风险管理理的组成成部分，并且许多组织对特殊类型的风险或环境下已经采用了正式的风险管理流程。在这种情况下，组织可以在本标准下开展对其现有的做法和程序严格审查。In thhis Intternnatiionaal SStanndarrd, thee exxpreessiionss “rriskk maanaggemeent” andd “mmanaaginng rriskk” aare botth uusedd. IIn genneraal ttermms, “riisk mannageemennt” refferss too thhe aarchhiteectuure (prrincciplles, frrameeworrk aand proocesss) forr maanaggingg rissks efffecttiveely, whhilee “mmanaaginng rriskk” rrefeers to appplyiing thaat aarchhiteectuure to parrticculaar rriskks.在本国际标标准中，“风风险管理理”和“管管理风险险”同时时使用。一般来说，“风险管理”是指管理风险的有效性架构（原则，框架和流程），而“管理风险”是指运用该架构管理特定风险。Figurre 11 Rellatiionsshipps bbetwweenn thhe rriskk maanaggemeent priinciiplees, fraamewworkk annd pproccesssRisk mannageemennt Prrincciplles andd guuideelinnes风风险管理理-原则则和指导导方针1 Scoope范范围This Intternnatiionaal SStanndarrd pprovvidees pprinncippless annd ggeneericc guuideelinnes on rissk mmanaagemmentt.本标准提供供了风险险管理的的原则和和一般准准则。This Intternnatiionaal SStanndarrd ccan be useed bby aany pubblicc, pprivvatee orr coommuunitty eenteerprrisee, aassoociaatioon, grooup or inddiviiduaal. Theerefforee, tthiss Innterrnattionnal Staandaard is nott sppeciificc too anny iinduustrry oor ssecttor.本标准可用用于任何何公共，私私人或社社区组织织，协会会，团体体或个体体。因此此，这个个国际标标准是不不针对特特殊行业业或部门门。NOTE Forr coonveenieencee, aall thee diiffeerennt uuserrs oof tthiss Innterrnattionnal Staandaard aree reeferrredd too byy thhe ggeneerall teerm “orrgannizaatioon”.为方便起见见，本国际标标准提到到的所有不不同的用用户通用用术语为为“组织织”。This Intternnatiionaal SStanndarrd ccan be appplieed tthrooughhoutt thhe llifee off ann orrgannizaatioon, andd too a widde rrangge oof acttiviitiees, inccluddingg sttrattegiies andd deecissionns, opeerattionns, proocesssess, ffuncctioons, prrojeectss, pprodductts, serrvicces andd asssetts.本标准可用用于整个个组织生生活及各种活活动，包包括战略略和决策策，运营营，流程程，职能能，范围围广泛的的项目，产产品，服服务和资资产。This Intternnatiionaal SStanndarrd ccan be appplieed tto aany typpe oof rriskk, wwhatteveer iits natturee, wwhettherr haavinng pposiitivve oor neggatiive connseqquenncess.本标准可以以适用于于任何类类型的风风险，无无论其性性质是否否有积极极或消极极的后果果。Althooughh thhis Intternnatiionaal SStanndarrd pprovvidees ggeneericc guuideelinnes, itt iss noot iinteendeed tto pprommotee unnifoormiity of rissk mannageemennt aacrooss orgganiizattionns. Thee deesiggn aand impplemmenttatiion of rissk mmanaagemmentt pllanss annd fraamewworkks wwilll neeed to takke iintoo acccouunt thee vaaryiing neeeds of a sspeccifiic oorgaanizzatiion, itts ppartticuularr obbjecctivves,conntexxt, strructturee, ooperratiionss, pproccessses, fuuncttionns, proojeccts, prroduuctss, sservvicees, or asssetss annd sspeccifiic praactiicess emmplooyedd.尽管本国际际标准提提供了风风险管理理的一般般准则，但不是为了促进各组织风险管理的统一性。设计和风险管理计划和框架的实施需要考虑到特定组织的不同需要，具体做法受其特定的目标，环境，结构，业务，流程，功能，项目，产品，服务或资产等影响。It iss inntenndedd thhat thiis IInteernaatioonall Sttanddardd bee uttiliizedd too haarmoonizze rriskk maanaggemeent proocesssess inn exxisttingg andd fuuturre sstanndarrds. Itt prroviidess a commmonn appprooachh inn suuppoort of staandaardss deealiing witth sspeccifiic rriskks andd/orr seectoors, annd ddoess noot rrepllacee thhosee sttanddardds.本国际标准准目的是是用来协协调风险险管理与与现有的和未来来的标准准之间的的流程。它它提供了了一个支支持处理理特定风风险和/或部分分风险的的通用方方法，而而不是取取代这些些标准。This Intternnatiionaal SStanndarrd iis nnot inttendded forr thhe ppurpposee off ceertiificcatiion.本标准不适适合认证证目的。 2 Terrms andd deefinnitiionss术语和和定义For tthe purrposses of thiis ddocuumennt, thee foolloowinng ttermms aand deffiniitioons appply.下列术语和和定义适适用本文文件。2.1riisk 风险effecct oof uunceertaaintty oon oobjeectiivess不确定性对对目标的的影响NOTE 1 AAn eeffeect is a ddeviiatiion froom tthe exppectted pposiitivve aand/or neggatiive.注1：影响响是与预预期的偏偏差积极和和/或消消极NOTE 2 OObjeectiivess caan hhavee diiffeerennt aaspeectss (ssuchh ass fiinannciaal, heaalthh annd ssafeety, annd eenviironnmenntall gooalss) aand cann appply at diffferrentt leevells (succh aas sstraateggic, orrgannizaatioon-wwidee, pprojjectt, pprodductt annd pproccesss).注2：目标标可以有有不同方方面（如如财务，健健康和安安全，以以及环境境目标），可可以体现现在不同同的层次次（如战战略，组组织范围围，项目目，产品品和流程程）。NOTE 3 RRiskk iss offtenn chharaacteerizzed by reffereencee too pootenntiaal eevennts (2.19) annd cconssequuencces (2.20), oor aa commbinnatiion of theese.注3：风险险通常被被描述为为潜在事事件（22.199）和后后果（22.200），或或它们的的组合。NOTE 4 RRiskk iss offtenn exxpreesseed iin ttermms oof aa coombiinattionn off thhe cconssequuencces of an eveent (inncluudinng cchanngess inn cirrcummstaancees) andd thhe aassoociaatedd liikellihoood (2.21) off occcurrrennce.注4：风险险往往表表达了对对事件后后果（包包括环境境的变化化）和相相关的可可能性概概率（22.211）。NOTE 5 UUnceertaaintty iis tthe staate, evven parrtiaal, of defficiienccy oof iinfoormaatioon rrelaatedd too, uundeersttanddingg orr knnowlledgge oof aan eveent, itts cconssequuencce, or likkeliihoood.ISO Guiide 73:20009, deffiniitioon 11.12.2riisk mannageemennt风险险管理coorddinaatedd acctivvitiies to dirrectt annd cconttroll ann orrgannizaatioon wwithh reegarrd tto rriskk (22.1)一个组织对对风险的的指挥和和控制的的一系列列协调活活动ISO Guiide 73:20009, deffiniitioon 22.12.3riis