企业风险管理体系 有什么意义

声誉或受损、网络犯罪、风险和，是世界各地各种类型和规模的私营和公共组织不得不日益频繁地面临的一些风险。版本的ISO 31000发布，可用以帮助管理不确定性。生活中的每一个决定都有风险，但显然有些决定需要一个结构化的方法。例如，行政人员或官员可能需要对非常复杂的情况作出风险判断。处理风险是管理和的一部分，对组织的各级管理至关重要。以前的风险管理做法已经不足以应对现在的威胁，需要不断改进。这些考虑是ISO 31000《风险管理指南》修订的，该指南的版本刚刚发布。ISO 31000 : 2018提供了清晰、简短和简洁的指南，可帮助组织使用风险管理原则来改进规划、做出好的决策。以下是新版标准的主要变:
——审查风险管理原则，这些原则是风险管理成功的关键标准
——关注高层管理人员的，他们应确保风险管理从组织管理开始纳入所有组织活动
——加强调风险管理的迭代性质，利用新的经验、知识和分析修订各个阶段诸如行动和控制这样的的过程要素。
——精简内容，加注重维持开放系统模式，定期与外部环境交换反馈，以适应多种需要和背景
负责该标准的ISO风险管理技术会(ISO/TC 262)杰森·布朗(Jason Brown) 表示: “ISO 31000修订版侧重与组织的整合以及的角色和责任。风险从业者往往处于组织管理的边缘，这种强调将有助于他们风险管理是业务的一个组成部分。”
风险管理框架的目的是协助组织将风险管理纳入重要的活动和职能。风险管理的有效性取决于是否将其融入组织治理和决策中。这需要利益相关方，特别是管理层的支持。新框架强化了层的职责和整合的重要性，其是力与承诺，明确规定管理层和监督机构应确保风险管理融入组织所有活动。框架部分有以下的步骤。
1、了解组织及其环境；在设计风险管理框架时，组织应该考察并理解其内外部环境。外部环境包括：国内外或地方的社会、文化、、法律、宏观调控、财政、科技、经济、环境等因素；影响组织目标的推动力和趋势；外部利益相关方的关系、看法、需求和预期；契约关系及义务等。内部环境包括：组织愿景、使命及；组织治理、组织结构、组织角色及其责任；组织战略目标及政策；组织文化；与组织配套的各项标准和模式；与组织内部利益相关方的关系，并考虑内部利益相关方利益和诉求等。
2、明确风险管理承诺；在适当情况下，管理层和监督机构应通过政策、声明或其他方式明确地表达组织的目标和对风险管理的持续承诺，包括：与组织目标和政策相关的风险管理目的；提高将风险管理融入整个组织文化的必要性；风险管理与组织业务活动和决策之间的整合；组织权限和职责；衡量和报告组织内部绩效指标等。组织对风险管理的承诺应适时传达给组织内部及外部的各利益相关方。
3、分配组织角色、权限和职责；在适当情况下，管理层和监督机构应确保在组织各层级分配和传达有关风险管理的权限和职责，应强调风险管理是责任，并明确具有管理风险职责和权限的个人。
4、分源；在适当的情况下，管理层和监督机构应确保为风险管理分配适当资源，包括：人员、技能、经验和能力；组织用于风险管理的流程、方法和工具；记录过程和程序；信息和知识管理系统；发展和培训需求等，组织应考虑现有资源的潜力和局限等。
5、建立沟通和协商；为支持框架和促进风险管理的有效应用，组织应建立一个被认可、批准的沟通和协商方法。沟通涉及与目标受众共享信息，协商包括参与者提供信息反馈，从而期望对决策或其他活动做出贡献。沟通和协商方法和内容应尽可能反映相关利益方的期望和利益。沟通和协商应及时进行，确保相关信息得以适时地收集、整理、汇总和分享，及时提供反馈意见并做出改进。
6、实施：
l 组织应通过以下方式实施风险管理框架：
l 一个包括时间表和资源配置在内的适当计划；
l 确定组织内部不同类型决策的时间、地点及做出决策的人员；
l 必要时应适时调整决策程序；
l 确保组织的风险管理安排得到清晰的理解和实施。
框架的成功实施需要利益相关方的参与和了解。这使组织能够明确地定位决策中的不确定性，同时确保在出现任何新的、持续的不确定性时也应将利益相关方的参与和了解考虑在内。
通过正确的设计和实施风险管理框架，可以确保风险管理流程是整个组织所有活动的一部分，并充分反映内外部环境及其变化。
7、评价；为了评估风险管理框架的有效性，应依据组织的目的、实施计划、指标和预期行为定期评价风险管理框架的绩效，确定风险管理框架是否仍然适合于支撑组织目标的实现。
8、改进：
8.1适应性；组织应持续和调整风险管理框架以使其适应内外部环境的变化，以利于组织提升其。
8.2不断改进；组织应不断改善其风险管理框架的适用性、充分性和有效性，并改进风险管理流程的整合方式。
如果已经确定了差距或改进的机会，组织应计划和任务，并将其分配给负责实施的人员和机构。这些改进措施一旦实施，将有助于加强风险管理的作用

SO9001:2015哪些条款涉及到风险?
引言 -- 解释基于风险思维的概念。
要求管理层：
-- 提高基于风险思维的意思；
-- 确定及应对影响产品/服务符合性的风险和机遇
-- 要求组织识别与QMS绩效相关的风险及机遇，并适宜的应对措施。
-- 要求组织确定并提供所需的资源。
-- 要求组织管理其运行过程。
-- 要求组织监视、测量、分析及评价应对风险和机遇措施的效果。
-- 要求组织纠正、预防或减少非预期结果并改进QMS ，新风险和机遇。
注：风险总是存在的，随时都要保持适度的关注（七、八章）。
哪些风险会对企业产生影响？
○ 组织风险：发生在组织实体及其活动层面；
○ 战略风险：发生在组织的战略或业务计划不够周密时；
○ 合规风险：发生不符合法律法规要求的情形时；
○ 运营风险：分为与组织的程序和措施有关的7个分类别。
1.组织风险
实体层面的风险可以是外来的也可以是内部存在的。外来因素包括技术、竞争以及法律环境；内部因素包括安保、信息系统、收发货物遗失、人员能力和责任变化等方面。活动层面的风险对个人和部门发生影响，包括在系统中输入信息或材料时的疏漏；收发货记录遗失；安保控制松懈；缺少熟练技术人员以及员工的疏忽大意等。如果在组织的各个环节活动层面的风险不断，势必形成实体层面的风险。
2.战略风险
战略风险指的是因执行一项不成功的商业计划或战略而可能发生的损失。其原因可能是由于做了糟糕的业务决策、执行决定不力、资源不足或者是因为业务环境发生了变化而未及时进行调整。
3.合规风险
合规风险是与法律法规要求有关的风险。环境、健康和安全要求一直是人们关注的问题，因为一旦这些方面出现问题，轻则罚款，重则停业甚至追究刑事责任都是可能出现的后果。遵守质量和环境方面的标准和规范也在这个范畴之内。环境风险包括液体危险品遗撒、危险气体排放以及固态废弃物的不当处理，包括的情况还可能有以下情形：
采购部将从国内采购改为向国外供应商采购；负责环境的关键管理人员离岗未及时替补；引入新的物料却未编制有关的安全管控记录。
4.运营风险
运营的风险可以具体从6个方面说明：
（1）管理体系风险
（2）顾客满意风险
（3）供应链风险
（4）收入确认风险对利润的影响
（5）信息安全风险
（6）物流风险

在策划质量管理体系时，组织应考虑到各种因素和要求，并确定需要应对的风险和机遇：
a)确保质量管理体系能够实现其预期结果；
b)增强有利影响；
c)避免或减少不利影响；
d)实现改进。
组织应策划：
1） 在质量管理体系过程中整合并实施这些措施；
2） 评价这些措施的有效性。
应对风险和机遇的措施应与其对于产品和服务符合性的潜在影响相适应。
注1：应对风险可选择风险，为寻求机遇承担风险，风险源，改变风险的可能性或后果，分担风险，或通过信息充分的决策保留风险。
注2：机遇可能导致采用新实践，推出新产品，开辟新市场，赢得新顾客，建立合作伙伴关系，利用新技术以及其他可取和可行的事物，以应对组织或其顾客需求。”
风险和机遇应该是无处不在、无时不在的，只不过是我们怎么看待它的问题。标准要求，我们在策划QMS的时候，在考虑组织的环境、相关方要求时，应充分识别需要应对的风险和机遇。这和环境管理体系、职业健康安全管理体系的套路是一样的，这二个体系也要求在策划时识别环境因素和危险源。企业应该针对已经确定的风险和机遇，策划预防措施、应急计划等，一旦发生，应能立即启用。并需要在事后对这些措施是否有效进行评价。这和环境、职业健康安全体系都是一致的套路。什么叫在体系过程中整合并实施呢？意指可以将这些策划的措施与其它工作要求、文件整合在一起宣贯、实施。每一个措施在实施时，都有成本和风险的问题。所以标准说：采取的措施要与问题的严重性相适应。用重金去处理轻微的风险，不一定是值得的。企业也不可能、消灭所有的风险。

SO3100管理标准
所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素和影响。这种不确定性所具有的对组织目标的影响就是组织的所有活动都涉及风险。组织通过识别、分析和评定是否运用风险处理修正风险以满足它们的风险准则，来管理风险。通过这个过程，它们与利益相关方进行沟通和协商，监测和评审风险，以及为确保不再进一步需求风险处理而修正风险的控制措施。本标准详细描述了这一系统的和逻辑的过程。尽管所有的组织在某种程度上管理风险，本标准建立了一些为使风险管理变得有效而需要满足的原则。本标准建议，组织、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、观和文化中。
风险管理可以在组织多个领域和层次、任何时间，应用到整个组织，以及具体职能、项目和活动。尽管在过去一段时间在许多行业，为满足不同的需要，已经开展了风险管理实践，但在一个综合框架内采用一致过程有助于确保在组织内有效、有效率和结合性地管理风险。本标准中所描述的通用方法提供了在任何范围和状况下，以系统、清晰、可靠的方式管理风险的原则和指南。每一个具体行业或风险管理的应用都产生了各自的需求、受众、观念和准则。因此，本标准的主要特点是将所包含“确定状况”作为通用风险管理过程开始的活动。确定状况将捕获组织的目标，组织所追求目标的环境，组织的利益相关方和风险准则的多样性，所有这些都将帮助揭示和评价风险的性质和复杂性。本标准描述的风险管理原则、框架和风险管理过程之间的关系，当依据本标准实施和保持风险管理时，能够使组织，例如：
—— 提高实现目标的可能性；鼓励主动性管理；
—— 在整个组织意识到识别和处理风险的需求；
—— 改进机会和威胁的识别能力；
—— 符合相关法律法规要求和规范；
—— 改进强制性和自愿性报告；
—— 提高利益相关方的信心和信任；
—— 为决策和规划建立可靠的根基；
—— 有效地分配和利用风险处理的资源；
—— 提高运营的效果和效率；
—— 增强健康安全绩效，以及环境保护;
—— 改善损失预防和事件管理；
—— 提高组织的学习能力
—— 提高组织的应变能力
本标准旨在满足众多利益相关方的需求，包括：
a）负责组织风险管理方针的人员；
b）负责确保在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人员；
c）需要评定组织风险管理有效性的人员；
d）整体或部分地实施风险管理的标准、指南、程序和操作规范的。
目前许多组织的管理实践和过程包含了风险管理的要素，许多组织针对特定类型的风险或环境下已经采用了正式风险管理过程。在这种情况下，组织可以决定对照本标准对其现有的实践和过程开展严格的评审。
“风险管理（risk management）”和“管理风险（managing risk）”使用。在通常的术语意义上，“风险管理（risk management）”涉及的有效管理风险的构架（原则，框架和过程），而“管理风险（managing risk）”指的是运用该架构管理特定风险。
各种类型和规模的组织都面临着外部和内部因素及影响，这些因素和影响使得组织实现其目标面临一定的不确定性。
管理风险是治理和力的一部分，对于组织在各个层面的管理至关重要。它有助于改进管理体系。管理风险是组织所有活动的一部分，包括与利益相关方的交流和沟通。