ISO31000：2009《風險管理-原則與指南》標準由國際標準化組織于2009年11月15日發(fā)布，開啟了人類標準化風險管理的新起點。雖然目前在中國沒有推出正式版本，在中國企業(yè)管理界推廣應(yīng)用也較少，但其對風險、風險評估、風險管理與應(yīng)對等的詮釋及原則性指引具有很好的借鑒意義。

1. 風險管理原則、框架、過程之間的關(guān)系

標準中給出了風險管理原則、總體框架及風險管理過程，三者之間的關(guān)系，這也是ISO31000標準的核心構(gòu)成與核心思路。

2. “風險”的最新定義與內(nèi)涵

ISO31000對“風險”一詞的最新定義，賦予了“風險”豐富的且不同以往的內(nèi)涵，誕生了一個全新的“風險觀”。

（1）風險的未來屬性：風險直接與未來有關(guān)，談?wù)擄L險就是談?wù)撐磥恚l(fā)現(xiàn)風險就是發(fā)現(xiàn)未來，面對風險就是面對未來，應(yīng)對風險就是應(yīng)對未來，贏得風險就是贏得未來。

（2）風險的兩重性：標準中賦予了風險中性特性，既具有威脅，也具有機會，糾正了以往偏向負面的風險內(nèi)涵。

（3）風險的不確定性：不確定性是風險一詞的內(nèi)核，管理風險即使管理不確定性，所以風險管理更關(guān)注未來，必須識別和管理不確定性，以期改變它對目標的影響。

（4）風險的事件性：由于風險的未來屬性，與風險相關(guān)的事件一定是“潛在事件”，是今天沒有發(fā)生的，可能在未來某一時間點發(fā)生的事件。

（5）風險的二維表示：風險的評價通過發(fā)生可能性和發(fā)生后果兩個維度表示，而且，要完成一個風險的表示，需要對這兩個維度進行賦值，確定它們的數(shù)值標準（可以定量也可以半定量），這便是風險準則中最為核心的內(nèi)容。

（6）風險的信息性：不確定性的根源在于缺乏信息，如果有了對潛在事件、后果、可能性的足夠信息，就可以實現(xiàn)對它們的認識和了解，變“不確定性”為“確定性”。

3. 風險管理的框架各組成部分之間的關(guān)系

ISO31000中給出了管理風險框架設(shè)計的七個主要內(nèi)容，即了解組織及其環(huán)境、建立風險管理方針、責任、整合入組織過程、資源、建立內(nèi)部溝通和報告機制、建立外部溝通和報告機制。同時，對授權(quán)與承諾、管理風險框架、實施風險管理、監(jiān)測與評審、持續(xù)改進等內(nèi)容之間的循環(huán)關(guān)系進行了詮釋。

4.  風險管理過程

標準中對風險管理過程進行了闡述，其主循環(huán)流程由“建立環(huán)境? 風險評估 ? 風險應(yīng)對 ?監(jiān)測與評審”構(gòu)成，其中，風險評估又分為風險識別、風險分析與風險評價三個階段，監(jiān)測與評審不僅是循環(huán)流程中的一個子過程，還需要嵌入“建立環(huán)境、風險評估、風險應(yīng)對“三個子過程，同時，這三個子過程還要嵌入到溝通與咨詢、監(jiān)測與評審兩個子過程中。

整個風險管理過程特別強調(diào)建立環(huán)境（包括內(nèi)部環(huán)境與外部環(huán)境）階段的重要性，每個循環(huán)的起點都是建立環(huán)境，終點是監(jiān)測與評審，其結(jié)果還應(yīng)對風險管理框架的評審提供輸出。

5.  記錄風險管理過程

標準中特別提出風險管理活動應(yīng)可追溯，與所有過程一樣，在風險管理進程中，記錄相關(guān)過程信息，便于風險管理活動的追溯。同時，創(chuàng)建、保留、維護記錄是要有資源投入的，應(yīng)考慮到記錄的成本與記錄效果之間的關(guān)系，在一定的記錄成本下，發(fā)揮記錄的最大作用。