ICS 03.100.01 CCS A 02 中华人民共和国国家标准 GB/T24353—2022/ISO31000:2018 代替GB/T24353—2009 风险管理 指南 Risk managementGuidelines (ISO31000:2018,IDT) 2022-10-12发布 2022-10-12实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T24353—2022/ISO31000:2018 目 次 前言 II 引言 范围 2 规范性引用文件 术语和定义 原则 5 框架 5.1 概述 5.2 领导作用和承诺 5.3 整合 5.4 设计 5.5 实施 5.6 评价 5.7 改进 6 过程 6.1 概述 6.2 沟通和咨询 6.3 范围、环境、准则 6.4 风险评估 6.5 风险应对 6.6 监督和检查 6.7 记录和报告 参考文献 GB/T24353—2022/ISO31000:2018 前 言 本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替GB/T24353—2009《风险管理原则与实施指南》。与GB/T24353—2009相比，除了 编辑性改动外，主要技术变化如下： 增加了第3章的八个术语（见3.1～3.8）； 更改了第4章的内容，调整了原则的数量（见第4章，2009年版的第4章）、补充了原则的内 容、增加了原则的示意图（见第4章）。 第5章由“风险管理过程”改为“框架”；第6章由“风险管理的实施”改为“过程”（见第5章、第 6章，2009版的第5章、第6章）。 本文件等同采用ISO31000：2018《风险管理 ！指南》。 本文件做了下列最小限度的编辑性改动： 增加了4a)条款说明“注”。 本文件由全国风险管理标准化技术委员会（SAC/TC310）提出并归口。 本文件起草单位：中国标准化研究院、蒙娜丽莎集团股份有限公司、三门核电有限公司、三只松鼠股 份有限公司、北京大学、中共中央党校（国家行政学院）、中国核能电力股份有限公司、第一会达（北京）数 据技术有限公司、达信评（北京)风险管理咨询有限公司、国家科技风险开发事业中心、国务院国有资产 监督管理委员会研究中心、中国矿业大学（北京）。 本文件主要起草人：高晓红、陆小伟、孙保均、徐涵、孙友文、吕多加、刘剑、施颖、支东生、游志斌、 刘新立、张杰军、吴昕、郭小娟、项京锋、张旗康、顾千辉。 本文件及其所代替文件的历次版本发布情况为： -2009年首次发布为GB/T24353—2009； —本次为第一次修订。 GB/T24353—2022/ISO31000:2018 引 言 任何类型和规模的组织都受到各种内外部因素的影响，导致其目标的实现存在不确定性。这些目 标关系到组织中从战略决策到运营的各种活动，表现在战略、运营、财务、环境、社会、声誉等各个方面。 风险管理通过考虑不确定性及其对目标的影响，采取相应的措施，为组织的决策和运营以及有效应 对各类突发事件提供支持。风险管理旨在保证组织恰当地应对风险，提高风险应对的效率和效果，增强 决策和行动的合理性，有效地配置资源 管理风险是一个循环提升的过程，有助于组织制定战略、实现目标和做出合理的决策。管理风险是 组织治理和领导作用的一 一部分，为组织所有层级的管理提供基础，有助于管理体系的改善。管理风险是 组织所有相关活动的有机组成部分，包括与利益相关者的沟通。 管理风险时要考虑组织的内、外部环境，包括人的行为和文化因素。 图1列出了管理风险所依据的原则、框架和过程。这些原则、框架和过程可能全部或部分地存在 于组织内，但可根据需要进行调整或改善，从而使管理风险的效果好、效率高，并且具有 一致性。 本文件后在帮助组织在制定决策设定和实现标以及提升绩效的过程中管理风险，创造和保护 价值。 人 结构化 文化国来 和全面性 创造和保护价位 最佳可用 原则（第4章） 微围、环境、准姆 风险评售 风险识别 领导作用 风险分析 与承诺 风险评价 风阶应对 配录和报贷 框架（第5章） 过程（第6章） 图1原则、框架和过程 IV GB/T24353—2022/ISO31000:2018 风险管理 指南 1范围 本文件为组织管理其所面临的风险提供指南，组织可根据其具体环境，有针对性地应用。 本文件为管理各种类型的风险提供了一种通用方法，而非仅针对某些特定行业或领域。 本文件适用于组织全生命周期的任何活动，包括所有层级的决策制定， 2规范性引用文件 本文件没有规范性引用文件。 3术语和定义 下列术语和定义适用于本文件。 3.1 风险risk 不确定性对目标的影响。 注1：影响是指偏离预期，偏离可以是正面的和/或负面的，可能带来机会和威胁。 注2：目标可有不同维度和类型，可应用在不同层级。 注3：通常风险可以用风险源、潜在事件及其后果和可能性来描述。 3.2 风险管理 里riskmanagement 指导和控制组织与风险（3.1)相关的协调活动。 3.3 利益相关者 stakeholder;interestedparty 可以影响、被影响或自认为会被某一决策或活动影响的个人或组织。 注：“interestedparty”可用来替代英文对应词"stakeholder”。 3.4 风险源risksource 可能单独或共同引发风险（3.1)的要素。 3.5 事件event 某些特定情形的产生或变化。 注1：一个事件可包括一个或多个情形，并且可由多个原因导致。 注2：事件可能是预期会发生但没发生的事情，也可能是预期不会发生但却发生的事情。 注3：某事件有可能是风险源。 3.6 后果 consequence 某事件（3.5)对目标影响的结果。 注1：后果可以是确定的，也可以是不确定的；对目标的影响可以是正面的，也可以是负面的；可以是直接的，也可以 1 GB/T24353—2022/ISO31000:2018 是间接的。 注2：后果可以定性或定量表述。 注3：任何后果都可能通过连锁反应和累积效应升级。 3.7 可能性likelihood 某件事发生的概率。 注1：在风险管理术语中，无论是以客观的或主观的、定性或定量的方式来定义、度量或确定，还是用一般词汇或数 学术语来描述（如概率，或一定时间内的频率），“可能性”都用来表示某件事发生的概率。 注2：“可能性（likelihood)”这一英语词汇在一些语言中没有直接与之对应的词汇，因此经常用“概率（probability)” 这个词代替。不过，在英语中，“概率”常常被狭义地理解为一个数学词汇。因此，在风险管理术语中，“可能 性”有着与许多语言中使用的“概幸 试相的解释，而不局限于英语中“概率”一词的意义。 3.8 控制control 保持和（或）改变风险（3.1）的措施。 注1：控制包括但不限于保持和/或改变风险的任何流程、策略、措施、操作或其他行动。 注2：控制并非总能取得预期的改变效果。 4原则 风险管理的目的是创造和保理理循，风险實理能够改善效受励创新支持组织目标的实现。 图2列出的这些原则 为在效而高效的！ 风险 管理 供指导，还风险管理的意图、目的和价值。 这些原则是风险管理的基在确立组织风管理 和过程时真考虑。 这些原则有助于组织管 理不确定性对目标的影响 特续改进 人和 结构化 文化因素 和全面性 创造和保护价值 最佳可用 定制化 信息 动态性 包容性 图2原则 有效的风险管理需要满足图2中列举的原则，其进一步解释如下。 a）整合 风险管理是组织所有活动的有机组成部分。 2 GB/T24353—2022/ISO31000:2018 注：将风险管理的原则、框架和过程融人组织其他管理活动及其制度办法，有助于推动风险管理的落实 b）结构化和全面性 采用结构化和全面性的方法开展风险管理，有助于获得一致的和可比较的结果。 c） 定制化 组织根据自身目标所对应的内外部环境，定制设计风险管理框架和过程。 d）包容性 利益相关者适当、及时的参与，可以使他们的知识、观点和认知得到充分考虑。这样有助于提 高组织的风险意识，并促进风险管理信息的充分沟通。 e） 动态性 随着组织内外部环境的变化，组织面临的风险可能会出现、变化或消失。风险管理以适当、及 时的方式预测、发现、确认和应对这些变化和事件。 D 最佳可用信息 风险管理的信息输人是基于历史信息、当前信息和未来预期的。在风险管理过程中宜明确考 虑与这些信息和预期相关的限制条件和不确定性。信息宜及时、清晰，并且是有关的利益相关 者可获得的。 g）人和文化因素 人的行为和文化在各个层级和阶段显著影响着风险管理的各个方面。 h）持续改进 通过不断学习和实践，持续改进风险管理。 5框架 5.1概述 风险管理框架的目的是协助组织将风险管理纳入重要的活动和职能中。风险管理的有效性取决于 其与组织治理及决策制定的整合情况。这需要利益相关者尤其是最高管理层的支持 框架制定包含在整个组织中整合、设计、实施、评价和改进风险管理。图3列举了风险管理框架的 要素。 领导作用 与承诺 改进 实施 图3框架 3