|
最大的風險是不承擔任何風險�,不承擔風險也就失去了明天! - ISO31000專家組主席 凱文·奈特 上周的最新ISO31000:2018正式版標準解讀,得到了業(yè)內(nèi)眾多同仁的響應�,我們趁熱打鐵,一次把ISO31000出臺的背景給大家說透��。這周我們來和大家談一談這些年全球風險管理標準化的發(fā)展脈絡和框架演變�����,讓大家更清晰的了解ISO31000的前世今生����。 了解過去,才能更好的理解現(xiàn)在和把握未來�����。2009年�,ISO31000風險管理標準的出臺�,是全球業(yè)內(nèi)專家數(shù)十年共同努力的結(jié)果。在這些專家中�,離不開一位重量級靈魂人物的巨大貢獻,他就是凱文·奈特先生�。他曾在風險管理這條路上給我過多次指導,并與我分享了大量珍貴學習材料����。本篇風險管理標準化的文章就是參考了凱文先生提供材料的基礎上整理形成的���。 一、靈魂人物介紹 
凱文·奈特先生因其在推動全球風險管理標準化方面所做出的卓越貢獻����,聞名于世。早在1995年,他就代表澳大利亞/新西蘭標準聯(lián)合技術委員會制定了AS/NZS 4360風險管理標準���,這是全球第一個國家層面的風險管理標準�����,后來成為了ISO31000標準起草的主要參考文件(我原來澳大利亞老板Basset先生�,也是此標準的起草人之一����,數(shù)年前我們有機會在北京交流此標準,后將我招致麾下)。凱文先生作為國際標準化組織(ISO)風險管理技術委員會的主席�����,帶領工作組制定了ISO 31000:2009風險管理 - 原則和指南��,即ISO第一版風險管理標準����。 可以說�,凱文·奈特先生的一生都在致力于風險管理理念����、技術和標準的研究����、開發(fā)和推廣。 2008年�,澳大利亞總理為其頒發(fā)了“服務于風險管理業(yè)研究和實踐的特殊貢獻者”����。 美國財政與風險雜志將凱文先生評為最具影響力的100人,以表彰其國際標準工作在金融界產(chǎn)生的深遠影響���。 時至今日����,凱文先生還在ISO和多個全球風險管理組織中擔任要職�,仍然奮斗在風險管理事業(yè)的第一線上����。 二����、風險管理標準的雛形 全球第一個和風險相關的標準是在1991年,挪威標準機構在奧斯陸發(fā)布的《Krav til risikoanalyser》�,雖然不是一個典型的風險管理標準,但可以看得出已經(jīng)開始具備了一些風險管理的要素�。幸運的是,這個僅僅14頁的標準采用的是挪威語和英語兩種語言�,這就大大的提升了這個標準的傳播范圍和閱讀人群,但后來標準的更新只有挪威語了���,所以看懂的人很少����。 其中文后有一張附圖如下: 
從這個圖上可以看出�,當時一些要素到今天還仍然存在,只不過最開始描述的是問題和目標�,今天取而代之的是風險和目標。 這個標準中強調(diào)了如何制定風險分析規(guī)劃���,以及風險分析在安全管理中的作用�。 我們今天看到的企業(yè)風險管理,在歷史上����,其源頭主要可以追溯到兩個行業(yè)和兩個管理領域:兩個行業(yè)是金融與保險是兩個行業(yè)��,兩個領域是財務管理和安全管理��,兩兩之間又有交叉�����。 國際上的專家包括凱文先生����,習慣將這個1991年發(fā)布的風險分析的標準,作為一個起點�����,延續(xù)了到今天27年的風險管理標準化之路�。 三、ISO31000出臺前傳 1��、第一份真正意義的風險管理標準 澳大利亞/新西蘭標準聯(lián)合技術委員會經(jīng)過三年的工作�����,在1995年發(fā)布了AS/NZS 4360。由于1995年還沒有大規(guī)模的普及電腦和電子文檔�����,1995年的這版標準市面上并無任何電子版文件�,凱文先生用相機拍攝了整個文檔,并發(fā)送給我學習�,對此我深表感激。 但這個標準發(fā)布后����,有部分專家覺得這應該一個適用于某一個行業(yè)的標準,比如說保險行業(yè)�。美國的著名的風險管理評論家菲利克斯·克曼在1971年Best Review發(fā)布論文稱:“如果破除不了風險管理就是保險的咒語,就不可能成為一名真正的風險管理者”��,可見保險業(yè)和風險管理在過去的緊密聯(lián)系��。所以技術委員會又專門召集會議澄清�,堅決反對將此標準定義為只適用于某一行業(yè)的說法,而提出了風險管理一般流程的普遍適用性����,不局限于任何行業(yè)和部門�。 因為如果被定義為某一行業(yè)標準�����,那么風險管理必定會淪為一項工具和技術�����,而凱文先生宣揚的普遍適用性�,正是將人們的視線從眼下聚焦風險管理技術進行了質(zhì)的提升,將風險管理作為一種藝術�����、哲學、意識����、文化層面進行認知,只有到這樣的高度才會具有普適性����。
在此標準中�,風險被定義為:將會對目標產(chǎn)生影響的事項發(fā)生可能性(The chance of something happening that will have animpact on objectives)。 在下面這個框架中�����,你能找到很多在今天ISO31000中還存在的要素的雛形�。 
2����、各國的風險管理標準化行動 澳大利亞和新西蘭國家風險管理標準發(fā)布后,在全球各國都引起了一定的關注�,凱文先生加拿大的朋友們開始著手制定加拿大的國家標準,并于1997年發(fā)布了CAN/CSA-Q850-風險管理:決策者指南�����。不同的是,加拿大的風險管理專家們在其標準中強調(diào)了溝通和咨詢的重要性����。 
在這期間���, 1997年,日本標準協(xié)會草案風險管理體系標準JIS / TR-Z0001; 1998年,英格蘭威爾士特許會計師事務發(fā)布了風險研究聲明提案; 1998年�����,加拿大特許會計師公會發(fā)布了解風險:選擇����,連接和能力文件。
1999年�,在這樣的基礎上,澳大利亞標準/新西蘭標準聯(lián)合技術委員會發(fā)布了AS/NZS標準的更新版���,進一步的細化了風險管理流程��,并且借鑒了加拿大標準的內(nèi)容����,修訂了下圖左臂的溝通和咨詢要素。風險的定義仍沿用了上一版1995年的描述�,風險評估仍然保持和第一版一樣,不包含風險識別環(huán)節(jié)����。 
3���、ISO31000的前身 實際上�,早在1996年���,ISO組織和國際電工委員會IEC曾組織過一個國際會議,討論根據(jù)澳大利亞/新西蘭的標準制定國際標準��,但由于部分國家和組織考慮自身利益的原因�����,并未成行。但促使了ISO/ IEC指南ISO GUIDE 73:2002風險管理 - 詞匯的發(fā)布��。 直到2004年澳大利亞�、新西蘭和日本重新提出要求,希望ISO采取AS/NZS 4360作為國際標準。 同時,AS/NZS 4360也發(fā)布了第三版更新文件�����,大家可以看出這版框架已經(jīng)和2009年的第一版ISO31000的流程非常接近了����。 
ISO組織終于在2005年9月份��,成立了由各個國家專家代表的,專門研究風險管理標準的工作組����,開始著手將澳大利亞和新西蘭的經(jīng)驗轉(zhuǎn)化為國際通行的風險管理標準��。
四、ISO 31000風險管理標準的出臺 2009年���,經(jīng)過四年的研究和反復討論���,ISO組織終于推出了ISO31000風險管理-原則與指南文件�,采用了如下原則、框架加流程的整體框架。 
關于ISO31000的介紹,可以參考公眾號前幾篇文章(點擊打開): 1�、ISO31000:2017 修訂送審版解讀����; 2、ISO31000:2018 正式版解讀 需要說明一點的是����,2009年,中國也發(fā)布了其國家風險管理標準�,即GB/T 24353 風險管理 原則與指南,采用了如下的框架。 
這個標準是在ISO31000正式發(fā)布前2個月發(fā)布�,并且參考了ISO31000的草稿�。讓人感到難以理解的是,為什么要急于在ISO31000之前發(fā)布�,因為很多國家都是在ISO31000發(fā)布后直接采用,比如澳大利亞就是在ISO發(fā)布4天后���,宣布采用ISO31000代替原來的國家標準�。而且中國的框架只采用了其中的一個流程框架,但卻砍掉了溝通和咨詢的左臂�����,讓人費解��。因為風險管理的流程每一步都需要和利益相關方的溝通和咨詢����。
2018年,ISO再次更新其框架����,形成了下圖的“三輪車”框架,使標準內(nèi)容的描述更簡潔���、更易理解���、更加注重和企業(yè)管理活動的融入和整合。 
五����、ISO 31000的系列標準
其實,ISO31000還有一系列和風險管理相關的標準����,他們都屬于風險管理這個大族譜中�����,如: ISO GUIDE 73 風險管理術語; ISO 31010 風險評估技術(風險評估工具介紹的很詳細)���; ISO/TR 31004 風險管理標準實施指導���; 還有即將推出的ISO 31022 法律風險管理標準。 本篇囊括了這幾十年來主要的風險管理標準框架和演變過程����,由于文章篇幅的限制,我們只能把發(fā)展歷程給大家做個簡要介紹����,具體內(nèi)容不細展開,希望能夠給大家學習的過程中提供一些指引���!
|
