犐犆犛０３．１００．０１

犃０２

中華人民共和國國家標準

犌犅／犜２４３５３—２００９

風險管理原則與實施指南

犚犻狊犽犿犪狀犪犵犲犿犲狀狋—犘狉犻狀犮犻狆犾犲狊犪狀犱犵狌犻犱犲犾犻狀犲狊狅狀犻犿狆犾犲犿犲狀狋犪狋犻狅狀

２００９０９３０發布２００９１２０１實施

中華人民共和國國家質量監督檢驗檢疫總局

發布

中國國家標準化管理委員會

書

犌犅／犜２４３５３—２００９

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅰ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅱ

１范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２規范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

４風險管理原則!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

５風險管理過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

６風險管理的實施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

書

犌犅／犜２４３５３—２００９

前言

本標準是風險管理系列標準中的指導性標準。

本標準參考ＩＳＯ／ＤＩＳ３１０００《風險管理原則與實施指南》編制而成。

本標準由全國質量管理與質量保證標準化技術委員會（ＳＡＣ／ＴＣ１５１）提出。

本標準由全國風險管理標準化技術委員會（ＳＡＣ／ＴＣ３１０）歸口。

本標準起草單位：中國標準化研究院、第一會達風險管理科技有限公司、中國航空綜合技術研究所、

北京理工大學、中國科學院科技政策與管理科學研究所、北京大學。

本標準主要起草人：高曉紅、呂多加、湯萬金、楊穎、汪邦軍、劉鐵忠、李建平、劉新立。

Ⅰ

犌犅／犜２４３５３—２００９

引言

任何類型和規模的組織都面臨風險，組織的所有活動也都涉及風險。風險會影響組織目標的實現，

這些目標可能關系到組織中從戰略決策到運營的各種活動，包括各個過程和具體項目，表現在領導、戰

略、經營、財務、環境、社會、聲譽等各個方面。

風險管理通過考慮不確定性及其對目標的影響，采取相應的措施，為組織的運營和決策及有效應對

各類突發事件提供支持。風險管理適用于組織的全生命周期及其任何階段，其適用范圍包括整個組織

的所有領域和層次，也包括組織的具體部門和活動。

風險管理旨在保證組織恰當地應對風險，提高風險應對的效率和效果，增強行動的合理性，有效地

配置資源。有效的風險管理應當融入到整個組織的理念、治理、管理、程序、方針策略以及文化等各方

面。風險管理意識應當是整個組織文化的一部分。

雖然風險管理在長期的實踐中得到了發展，并在許多行業滿足了不同的需要，但是目前還缺乏一個

一般性的方法，用來保證風險管理一致、有效的實施。本標準提供了風險管理的原則和實施的通用指

南，有助于組織在任何范圍和具體環境中以透明和可靠的方式實施風險管理。

本標準有助于組織做到：

———提高風險管理意識；

———有效配置和使用風險管理資源；

———實施主動的、前瞻性的管理；

———改進對機會和威脅的識別；

———遵守相關法律法規及國際規范的要求；

———改善內部控制；

———改進財務報告；

———改善公司治理；

———改善運營效果和效率；

———提高利益相關者的信心和信任；

———為計劃和決策奠定可靠的基礎；

———提高健康、安全和環保水平；

———改進對事故的預防和處理；

———減少損失；

———提高組織的學習能力；

———增強組織的生存和持續發展能力。

本標準的預期使用者是組織的利益相關者，如：

———組織的決策者；

———組織內部負責制定風險管理政策的人員；

———組織或活動中實施風險管理的人員；

———需要對組織的風險管理實踐進行評估的人員；

———組織中負責制定有關風險管理的標準、指南、程序、應用準則的人員；

———股東、董事會、高級管理人員、員工、債權人、供應商、顧客、銀行、監管機構、合作伙伴等，以及其

他需要確保組織管理其風險的人員。

Ⅱ

犌犅／犜２４３５３—２００９

考慮到風險的性質、重要程度和復雜性等方面的多樣性，在實際應用時，組織可使用本標準提供的

方法，識別具體的風險管理環境，以確保風險管理的合理性和適用性。

許多組織在現有的管理實踐和過程中已經實施了風險管理，或者已經對某些特定風險或具體領域

采用了正式的風險管理過程，如內部控制。管理層可對照本標準對現有的風險管理實踐和過程進行

檢查。

本標準是通用標準，旨在協調現有的和將來的標準中有關風險管理的內容。本標準提供通用的方

法，為制定具體風險或具體行業的標準提供支持，而不是為了替代這些標準。

Ⅲ

犌犅／犜２４３５３—２００９

風險管理原則與實施指南

１范圍

本標準提供了風險管理的原則和通用的實施指南。

本標準適用于各種類型和規模的組織，適用于組織的全生命周期及其各階段，也適用于組織的各種

活動，包括流程管理、職能行為、項目管理以及與產品、服務、資產、運作和決策等有關的各項活動。

本標準提供實施風險管理的通用指南，但風險管理的具體實施取決于組織的實際需要和具體實踐。

２規范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有

的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而鼓勵根據本標準達成協議的各方研究

是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。

ＧＢ／Ｔ２３６９４風險管理術語

３術語和定義

ＧＢ／Ｔ２３６９４確立的術語和定義適用于本標準。

４風險管理原則

為有效管理風險，組織在實施風險管理時，可遵循下列原則：

ａ）控制損失，創造價值

以控制損失、創造價值為目標的風險管理，有助于組織實現目標、取得具體可見的成績和改善

各方面的業績，包括人員健康和安全、合規經營、信用程度、社會認可、環境保護、財務績效、產

品質量、運營效率和公司治理等方面。

ｂ）融入組織管理過程