银行风险管理体系 申请的周期

ISO 31000《风险管理指南》
提供了组织管理面临的风险的指南。这些指南的应用可以针对任何组织及其背景环境进行定制。同时，ISO 31000《风险管理指南》还提供了管理任何类型风险的通用方法（并非行业或某一领域特定的），可用于组织的整个生命周期，可应用于任何活动，包括各层级决策。知识产权风险管理，作为组织管理（尤其是创新型组织）可能面临的典型风险之一，贯穿于组织整个生命周期，涉及各行业各领域的组织各层级的风险决策。因此，知识产权风险管理应适用于 ISO 31000《风险管理指南》。下面我们就先来系统地回顾一下 ISO 31000中对于“风险”、“风险管理”和“风险管理原则”的定义与描述，期望能从中找到知识产权风险管理原则的指引与启示。ISO 31000《风险管理指南》对风险的定义是“不确定性对目标的影响”；从这个意义上来说，知识产权风险所存在的不确定性，在法理上和商业贸易中都是客观存在的，其可以带给组织目标正面的（积的）、的（的）或两者兼而有之的影响。
1、风险（risk）
风险是指不确定性对目标的影响。该影响是与预期的偏差。风险通常依据风险源、潜在事项的可能性及其结果来进行表达。它可以是积的、的或二者兼而有之，并且可以锁定、创造或导致机遇和威胁。
2、风险管理（risk management）
风险管理是指针对风险所采取的指挥和控制协调的活动。
3、利益相关方（stakeholder）
利益相关方是指能够对一个决策或某项活动产生影响或受其影响、或预期会受其影响的个人或组织
4、风险源（risk source）
风险源是指单或组合在一起可能会导致风险产生的要素
5、事件（event）
事件是指某一种特定情况的发生或变化。一个事件可能由一个或多个事情组成，并可能有多个原因引起并可能产生多个后果。事件可能是预期不会发生的事情，也可能是预料之外发生的事情。事件有可能是一个风险源。
6、后果（consequence）
后果即事件的结果，该结果会影响目标的实现。事件的结果可能是确定的，也有可能是不确定的，对目标可能产生正面或、直接或间接的影响。后果可以被定性或定量地表述。后果通过连锁效应可以逐步升级。
7、可能性（likelihood）
可能性指事情发生的几率或可能程度。
8、控制（control）
控制指组织用于保持、调整风险的各项措施。控制包括任何修正风险过程的方针、手段、惯例或措施。控制不一定能达到预期或设定的修正效果
风险管理的目的在于创造、实现和保护价值，它提升绩效，鼓励创新并支持目标的实现。图中描述的原则展示了风险管理工作的价值和宗旨，指出了有序和的风险管理应遵循的原则。原则中核心的内容为“价值创造与保护”，这些原则是管理风险的基础，组织应在建立风险管理框架和流程时予以考虑。
1、整合的
风险管理是组织所有活动不可或缺的组成部分。
2、结构化和全面性
风险管理的结构化和全面性有助于获得一致的和可比较的结果。
3、定制化
风险管理框架和流程是根据组织的内外部环境来制定的，并与其目标密切相关。
4、包容性
风险管理应该做到集思广益并有利益相关方的适时参与，利益相关方的适时参与使得他们的知识和观点被考虑其中，进而提高风险管理的效率效果。
5、动态的
随着组织内部和外部环境的变化，组织面临的风险可能会出现、变化或消失。风险管理应及时而适当地预测、发现和响应这些变化和事件。
6、有效信息利用
风险管理的投入应基于历史和当前的信息以及对未来的预测。风险管理应明确考虑到与这些信息和期望相关的任何限制和不确定性。相关信息应及时、清晰地提供给利益相关方。
7、人员与文化因素
人员行为和文化对风险管理的各个方面、不同层面和阶段均有显著影响。
8、持续改进
通过不断地学习和积累经验，持续提高风险管理水平

ISO 31000:2009《风险管理——原则与指南》为实现的风险管理提供了指南，有助于组织机构发现并处理在追求目标过程中遇到的不确定因素。该标准的适用对象主要是通过管理风险、制定决策、设立目标和提高业绩为组织创造价值的利益相关方。该标准正在修订当中，现已进入标准草案（DIS）阶段。此次修订遵循的宗旨是更简洁明了，即用简洁语言通过通俗易懂的方式来阐述风险管理的基本方法。此次修订统一使用ISO Guide 73:2009《风险管理——术语》中的术语，让用户更易于理解；还建立了风险管理框架，全面覆盖几乎每个潜在用户的需求，针对不同国家和行业增加了具体概念或案例。值得一提的是，一些适用于特定用户的行业术语将继续保留，并附加了详细、准确的细节说明。

（一）ISO 风险管理标准族概述
标准化组织（Internationnal Organization for Standardization, ISO）是由各国标准化团体组成的世界性的联合会，成立于1947年2月23日，负责除电工、电子领域和、石油、船舶制造之外的很多重要领域的标准化活动。ISO的宗旨是“在世界上促进标准化及其相关活动的发展，以便于商品和服务的交换，在智力、科学、技术和经济领域开展合作。制定标准工作通常由ISO的技术会完成。ISO有800多个技术和分会，他们各有一个和一个秘书处，秘书处由各成员国分别担任。目前承担秘书处工作的成员团体有30个，各秘书处与位于日内瓦的ISO秘书处保持直接联系。ISO与电工会（IEC）在电工技术标准化方面保持密切的合作关系。中国是ISO的正式成员，1978年加入ISO。
在2008年10月召开的第31届化标准组织的大会上，中国正式成为ISO的常任理事国。代表中国的组织为中国国家标准化管理会（SAC）。
★★★风险管理标准族一览；目前，ISO风险管理标准族共包含以下4个正式标准：
★ISO Guide73：
2009 风险管理术语
★ISO  31000：
2009 风险管理原则与指南
★ISO/IEC  31010：
2009 风险管理技术
★ISO  31004：
2014（2015）风险管理实施指南
概念和术语是认识事物的基础，ISO Guide73:2009 标准一共列示了50个术语，这50个术语被划分为三个类别：
个类别是“风险”，且只有风险这一个术语；
第二个类别是“风险管理”，有风险管理、风险管理框架、风险管理方针、风险管理计划四个术语；
第三个类别是“包含风险管理过程”等45个术语。这些术语的关系如下图所示：
1.风险
风险这个术语是ISO风险管理标准族的核心和基石，其定义的内涵和外延直接影响到风险管理工作的目标、内容和边界。在ISO Guide73：2009中是这样定义风险的：风险：即不确定性对目标的影响。（说明风险是一种影响，该影响可能是正面的，也可能是的，因此，我们才说风险具有二重性。正面的影响意味着机会和收益，的影响则意味着威胁和损失。）（说明风险是对目标而言的。没有目标，就谈不上风险。这些目标不是抽象的，二是很具体的，如财务目标、健康安全目标、项目目标、产品目标等）。（说明了风险的事件性。事件是风险的载体。在风险评估的风险识别中，必须识别潜在事件。没有潜在事件就谈不上后果和可能性，也就无从对风险进行研究和计量。）
（给出了风险的表示方法。在风险管理实践中，人们常用后果及其可能性的乘积表示风险的大小。风险的大小也称为风险的等级。）（解释了风险的不确定性。从风险的定义可以看出：不确定性是风险的基本特性。不确定性是一种缺乏或部分缺乏相关信息或认知的状态。也就是说，不知道或不清楚某个事件会不会发生；不知道或不清楚某个事件发生的后果会怎么样，程度有多大？不知道或不清楚该后果发生的可能性有多大，等等。从不确定性的定义中可以看出，“信息”和“认识”对不确定性来说至关重要。之所以存在不确定性，就是因为缺乏相关的“信息”，缺少对事物的“认识”，所以不确定性是对于主观的认知而言的。
定义：针对风险所采取的指挥和控制组织的协调活动。ISO定义“管理”为指挥和控制组织的协调活动。如果是对特定对象的管理，在其定义中加入特定的对象即可。例如，对质量管理的定义就是：“针对质量所采取的指挥和控制组织的协调活动。
中国对“企业全面风险管理”的定义：在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面的风险管理体系，包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。该定义认为风险管理是一种过程和方法。围绕企业总体目标，做好三件事：一是在企业所有活动过程中执行风险管理的基本流程，二是培育良好的风险管理文化，三是建立健全风险管理体系。同时该定义指出了风险管理体系包括五个部分：风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。

2018版新标准主要由原则、框架和流程三部分构成，如图所示，可简称为“三轮框架”。原则轮突出了价值创造和保护的总原则，框架轮的核心是力与承诺，强化了层职责和整合的重要性，流程轮强调了风险记录与报告，延续了风险评估的经典流程，包括风险识别、风险分析、风险评价和风险应对等。
适用范围：
该标准提供了组织管理风险的基本指南，提供了一种管理任何类型风险的通用方法，并非工业企业或行业特定的方法。本指南适用于任何类型的组织，可用于组织的整个生命周期，可应用于包括各层级决策在内的任何活动。
根据ISO表述，风险管理是企业治理和力的一部分，表明了风险管理工作应该从企业的层从点，从上往下贯彻，而不是自下而上的形成。自下而上传递的是反馈，而不是工作开展的依据。

广东昊霖企业管理有限公司成立于2021年08月25日，注册地位于四会市大沙镇岗美村委会张屋牌坊对面自编2号(申报制)，法定代表人为何文锋企业管理咨询服务（不含金融、、证券等相关信息咨询）；个人商务服务；信息咨询服务（不含许可类信息咨询服务）。(依法须经批准的项目，经相关部门批准后方可开展经营活动)