收藏级:27年的风险管理标准化之路,一文读透ISO31000的前世今生
最大的风险是不承担任何风险,不承担风险也就失去了明天!
- ISO31000专家组主席 凯文·奈特
上周的最新ISO31000:2018正式版标准解读,得到了业内众多同仁的响应,我们趁热打铁,一次把ISO31000出台的背景给大家说透。这周我们来和大家谈一谈这些年全球风险管理标准化的发展脉络和框架演变,让大家更清晰的了解ISO31000的前世今生。
了解过去,才能更好的理解现在和把握未来。2009年,ISO31000风险管理标准的出台,是全球业内专家数十年共同努力的结果。在这些专家中,离不开一位重量级灵魂人物的巨大贡献,他就是凯文·奈特先生。他曾在风险管理这条路上给我过多次指导,并与我分享了大量珍贵学习材料。本篇风险管理标准化的文章就是参考了凯文先生提供材料的基础上整理形成的。
一、灵魂人物介绍
凯文·奈特先生因其在推动全球风险管理标准化方面所做出的卓越贡献,闻名于世。早在1995年,他就代表澳大利亚/新西兰标准联合技术委员会制定了AS/NZS 4360风险管理标准,这是全球第一个国家层面的风险管理标准,后来成为了ISO31000标准起草的主要参考文件(我原来澳大利亚老板Basset先生,也是此标准的起草人之一,数年前我们有机会在北京交流此标准,后将我招致麾下)。凯文先生作为国际标准化组织(ISO)风险管理技术委员会的主席,带领工作组制定了ISO 31000:2009风险管理 - 原则和指南,即ISO第一版风险管理标准。
可以说,凯文·奈特先生的一生都在致力于风险管理理念、技术和标准的研究、开发和推广。
2008年,澳大利亚总理为其颁发了“服务于风险管理业研究和实践的特殊贡献者”。
美国财政与风险杂志将凯文先生评为最具影响力的100人,以表彰其国际标准工作在金融界产生的深远影响。
时至今日,凯文先生还在ISO和多个全球风险管理组织中担任要职,仍然奋斗在风险管理事业的第一线上。
二、风险管理标准的雏形
全球第一个和风险相关的标准是在1991年,挪威标准机构在奥斯陆发布的《Krav til risikoanalyser》,虽然不是一个典型的风险管理标准,但可以看得出已经开始具备了一些风险管理的要素。幸运的是,这个仅仅14页的标准采用的是挪威语和英语两种语言,这就大大的提升了这个标准的传播范围和阅读人群,但后来标准的更新只有挪威语了,所以看懂的人很少。
其中文后有一张附图如下:
从这个图上可以看出,当时一些要素到今天还仍然存在,只不过最开始描述的是问题和目标,今天取而代之的是风险和目标。
这个标准中强调了如何制定风险分析规划,以及风险分析在安全管理中的作用。
我们今天看到的企业风险管理,在历史上,其源头主要可以追溯到两个行业和两个管理领域:两个行业是金融与保险是两个行业,两个领域是财务管理和安全管理,两两之间又有交叉。
国际上的专家包括凯文先生,习惯将这个1991年发布的风险分析的标准,作为一个起点,延续了到今天27年的风险管理标准化之路。
三、ISO31000出台前传
1、第一份真正意义的风险管理标准
澳大利亚/新西兰标准联合技术委员会经过三年的工作,在1995年发布了AS/NZS 4360。由于1995年还没有大规模的普及电脑和电子文档,1995年的这版标准市面上并无任何电子版文件,凯文先生用相机拍摄了整个文档,并发送给我学习,对此我深表感激。
但这个标准发布后,有部分专家觉得这应该一个适用于某一个行业的标准,比如说保险行业。美国的著名的风险管理评论家菲利克斯·克曼在1971年Best Review发布论文称:“如果破除不了风险管理就是保险的咒语,就不可能成为一名真正的风险管理者”,可见保险业和风险管理在过去的紧密联系。所以技术委员会又专门召集会议澄清,坚决反对将此标准定义为只适用于某一行业的说法,而提出了风险管理一般流程的普遍适用性,不局限于任何行业和部门。
因为如果被定义为某一行业标准,那么风险管理必定会沦为一项工具和技术,而凯文先生宣扬的普遍适用性,正是将人们的视线从眼下聚焦风险管理技术进行了质的提升,将风险管理作为一种艺术、哲学、意识、文化层面进行认知,只有到这样的高度才会具有普适性。
在此标准中,风险被定义为:将会对目标产生影响的事项发生可能性(The chance of something happening that will have animpact on objectives)。
在下面这个框架中,你能找到很多在今天ISO31000中还存在的要素的雏形。
2、各国的风险管理标准化行动
澳大利亚和新西兰国家风险管理标准发布后,在全球各国都引起了一定的关注,凯文先生加拿大的朋友们开始着手制定加拿大的国家标准,并于1997年发布了CAN/CSA-Q850-风险管理:决策者指南。不同的是,加拿大的风险管理专家们在其标准中强调了沟通和咨询的重要性。
在这期间,
1997年,日本标准协会草案风险管理体系标准JIS / TR-Z0001;
1998年,英格兰威尔士特许会计师事务发布了风险研究声明提案;
1998年,加拿大特许会计师公会发布了解风险:选择,连接和能力文件。
1999年,在这样的基础上,澳大利亚标准/新西兰标准联合技术委员会发布了AS/NZS标准的更新版,进一步的细化了风险管理流程,并且借鉴了加拿大标准的内容,修订了下图左臂的沟通和咨询要素。风险的定义仍沿用了上一版1995年的描述,风险评估仍然保持和第一版一样,不包含风险识别环节。
3、ISO31000的前身
实际上,早在1996年,ISO组织和国际电工委员会IEC曾组织过一个国际会议,讨论根据澳大利亚/新西兰的标准制定国际标准,但由于部分国家和组织考虑自身利益的原因,并未成行。但促使了ISO/ IEC指南ISO GUIDE 73:2002风险管理 - 词汇的发布。
直到2004年澳大利亚、新西兰和日本重新提出要求,希望ISO采取AS/NZS 4360作为国际标准。
同时,AS/NZS 4360也发布了第三版更新文件,大家可以看出这版框架已经和2009年的第一版ISO31000的流程非常接近了。
ISO组织终于在2005年9月份,成立了由各个国家专家代表的,专门研究风险管理标准的工作组,开始着手将澳大利亚和新西兰的经验转化为国际通行的风险管理标准。
四、ISO 31000风险管理标准的出台
2009年,经过四年的研究和反复讨论,ISO组织终于推出了ISO31000风险管理-原则与指南文件,采用了如下原则、框架加流程的整体框架。
关于ISO31000的介绍,可以参考公众号前几篇文章(点击打开):
需要说明一点的是,2009年,中国也发布了其国家风险管理标准,即GB/T 24353 风险管理 原则与指南,采用了如下的框架。
这个标准是在ISO31000正式发布前2个月发布,并且参考了ISO31000的草稿。让人感到难以理解的是,为什么要急于在ISO31000之前发布,因为很多国家都是在ISO31000发布后直接采用,比如澳大利亚就是在ISO发布4天后,宣布采用ISO31000代替原来的国家标准。而且中国的框架只采用了其中的一个流程框架,但却砍掉了沟通和咨询的左臂,让人费解。因为风险管理的流程每一步都需要和利益相关方的沟通和咨询。
2018年,ISO再次更新其框架,形成了下图的“三轮车”框架,使标准内容的描述更简洁、更易理解、更加注重和企业管理活动的融入和整合。
五、ISO 31000的系列标准
其实,ISO31000还有一系列和风险管理相关的标准,他们都属于风险管理这个大族谱中,如:
ISO GUIDE 73 风险管理术语;
ISO 31010 风险评估技术(风险评估工具介绍的很详细);
ISO/TR 31004 风险管理标准实施指导;
还有即将推出的ISO 31022 法律风险管理标准。
本篇囊括了这几十年来主要的风险管理标准框架和演变过程,由于文章篇幅的限制,我们只能把发展历程给大家做个简要介绍,具体内容不细展开,希望能够给大家学习的过程中提供一些指引!
知识星球来了!
为了更好的让大家系统学习风险管理知识,我们开通了知识星球,多年收藏的大量经典文献陆续上线,包括COSO和ISO的所有经典,以及正在编译的中文ISO31000: 2018详细解读文件,欢迎风险管理领域终身学习者加入!