日前,国际标准化组织ISO正式发布了用于风险管理的国际标准ISO 31000:2009讽险管理原则与指南》。该标准是在经济全球化的新环境下,“特定事件”和“特定法规”的基拙上产生的,体现了世界范围内风险管理的最新理论和最佳实践。在全球金融危机尚未结束的今天,该标准的发布具有重要意义。本文从6 个方面论述了我国“等同采用”ISO 31000:2009 标准的必要性,并指出我国尽早“等同采用”该标准既有实践的基础,又有现实的意义。
国际标准化组织ISO于2009年11月13日正式发布了用于风险管理的国际标准——ISO 31000:2009《风险管理——原则与指南》。鉴于ISO 31000:2009 标准对我国风险管理工作理论和实践的指导意义,我国应尽早“等同采用”ISO31000:2009标准。本文从以下6个方面论述其必要性。
1、经济全球化催生风险管理标准国际化
近20年来,由于IT技术的日趋成熟所导致的网络媒体的全球化,进而演变而成的世界经济全球化、一体化,极大地改变了世界政治、经济和文化的原有面貌和格局,致使世界各国企业面对从未有过的内、外部环境变化。而正是在这一历史时期,世界范围内的风险管理理论和实践得到了迅猛发展,并以在这一时期所发生的“特定事件”和所发布的“特定法规”为重要标志。“特定事件”如:近年来美国的“安然事件”、“世通事件”和“华尔街雷曼兄弟事件”,所引发的世界范围的金融危机。“特定法规”如:1992年9月,美国COSO委员会发布《内部控制——整合框架》(简称COSO报告); 1995年,澳大利亚和新西兰发布全球第一个在企业层面的风险管理标准AS/NZS 4360(2004年重新修订,成为起草ISO 31000:2009标准的重要参考); 2004年6月,巴塞尔银行监管委员会发布《新巴塞尔协议》;2002年7月,美国国会发布《萨班斯法案》;2004年9月,coso发布《企业风险管理——整合框架》;2006年6月,我国国有资产监督管理委员会发布《中央企业全面风险管理指引》;2006年6月、9月,上交所和深交所分别发布《上市公司内部控制指引》;2008年6月,财政部等5部委联合发布《企业内部控制基本规范》,等等。据统计,在ISO 31000:2009标准正式发布之前,世界上已有30多个国家或地区制定了风险管理标准。在这一历史背景下,加之20多年来ISO所发布的其他管理标准在世界范围内所获得的巨大成功,使得世界各国期望有一个ISO层面的国际标准,用以指导世界各国的风险管理实践。
自2004年ISO/IEC发布指南73《风险管理术语》标准之后,ISO成员国纷纷提出建议,希望制定一个专门用于风险管理的国际标准。经过ISO技术管理局(TMB)2005年6月对此议题进行多次讨论,风险管理工作组(RMWG)正式成立。ISO 31000:2009《风险管理——原则与指南》历经近5年的努力,于2009年11月15日正式发布。该标准由5章组成,分别为:“范围、术语和定义、原则、框架、过程”。在标准正文前,还有在整个标准中具有不可忽视作用的“引言”部分,其中实施ISO 31000:2009标准对企业风险管理的“17 项帮助”,尤为引人关注。
ISO 31000:2009 标准及时总结和汲取了世界范围内风险管理的最新理论和最佳实践,代表了国际标准所应具有的先进性,是企业处于经济全球化的环境中采用国际标准、步入“标准化”风险管理的新起点。该标准制定的后两年,正值美国次贷危机和在全球蔓延的金融危机。在此背景下,各国经济发展放缓,世界经济体系、金融体系遭受严重质疑,这就使该标准的制定显得尤为迫切。ISO/TMB风险管理工作组主席Kevin在谈到当前的金融危机时,曾说道:“全球范围的金融危机是由董事会到执行管理层未能有效管理风险而导致的。”该标准正式发布之时,这场全球性的金融危机尚未结束。ISO此时发布此标准,“就是试图帮助各种组织从这场危机中解脱出来”。
2、风险管理是中国企业在新环境下持续发展的迫切需要
在经济全球化、网络媒体全球化的大背景下,企业生存、发展的内、外部环境发生了极大变化,所面临的不确定性日益突出。不断加剧的不确定性严重影响着企业实现其战略目标。按照ISO指南73:2009《风险管理术语》标准(此标准与ISO 31000:2009 标准同时发布)对风险的最新定义,“不确定性对目标的影响”就是风险。所以,企业必须对影响其战略目标实现的不确定性进行有效管理。不确定性对目标的影响可能是正面的,也可能是负面的,这便是新的风险观一风险的两重性”。在急剧变化的内、外部环境下,企业应有效管理风险,使负面影响给企业造成的损失降到最低,同时积极地识别具有正面影响的“机会”,因势利导,“提高实现目标的可能性”,并通过风险管理而创造更大的价值。不确定性是言及未来的,企业的目标也是预期的。显然,新的风险定义赋予了风险的“未来属性”。所以,管理风险在一定意义上说,就是“管理未来”,就是“对未来负责”,就是要“赢得未来”。中国企业赶上了中国历史上改革开放的黄金时代,又恰逢机遇与挑战共存的经济全球化的外部环境。企业要实现其使命、愿望和价值,建立持续发展的长效机制,那么,有效地管理风险就显得尤为迫切。
对一般的企业而言,已有一定的风险管理要求和风险控制方法,这时“组织能够将自己的风险管理实践与一个被国际上普遍承认的风险管理标杆相比较”十分必要。正如ISO 31000:2009标准中所指出的:“如果组织已有现存的风险管理实践和过程,或组织己经采用了其他风险管理过程,组织应按照本国际标准对这些实践和过程进行批判性的审核及评估,以作为决定其充分性的基础”。人类开展风险管理的历史还不长,风险管理的理论和实践仍在发展之中,但ISO 31000:2009 标准作为第一个国际层面的风险管理标准,是“被国际上普遍承认”的风险管理标准,它“已可以帮助一个组织开始和改进自己的风险管理过程”。从我国经济处于关键的转型时期考虑,从改变经济增长方式考虑,从建立发展的长效机制考虑,从在发展中可能进入并不熟悉的未知领域考虑,我国企业都面对管理风险的迫切需要,尽早“等同采用”ISO 31000:2009 标准就成为必然。
3、我国实施ISO 31000:2009标准具有实践基础
从1994年我国“等同采用”ISO 9000标准,已有15年的历史,占据了改革开放30年的半数历程。如果前推至我国“等效采用”的1987年版ISO 9000标准(国标为GB/T 10300)开始至今已有20余年的时间。应该承认,在我国“贯标”的进程中,存在一定的偏差,特别是贯标的有效性很不平衡。但20多年贯标的实践证明:ISO管理标准在中国的引进和实施,极大促进了我国的各类企业从计划经济向市场经济的转变,同时,也极大提高了企业的管理水平。作为改革开放的重要成果之一,中国政府、中国企业初步认识了ISO、了解了ISO、熟悉了ISO, 在采用ISO管理标准的领域内,己不存在“与国际接轨”的问题,我国在采用ISO管理标准方面己走在世界前列。ISO 在制定31000:2009标准的同时,也启动了2004年版ISO/IEC指南73《 风险管理术语》标准的修订工作。修订后的ISO指南73:2009《风险管理术语》标准已与ISO 31000:2009 标准同时正式发布。我国政府已等同采用了2004年版的ISO/IEC指南73《风险管理术语》标准。修订后的ISO指南73:2009《风险管理术语》 标准仍被我国等同采用,对应的国家标准GB/T 23694一2009正在修订之中。在此种情况下,ISO 31000:2009 标准也应该“等同采用”。
在经济全球化、网络媒体全球化的今天,在中国改革开放30年后的今天,在全球金融危机尚未结束的今天,在中国的众多企业希望尽快从危机中解脱出来、有效应对各种风险的今天,我国若等同采用ISO31000:2009标准,应该说是既有实践基础,又有现实意义的。
4、我国应是ISO 31000:2009标准的积极使用者和推广者
据笔者所知,自2005年6月ISO/TMB成立制定ISO 31000标准的工作组以来,中国作为工作组28个成员国之一,积极参与了ISO 31000标准的起草和修改工作,为该标准的最终完成做出了很大贡献。特别是在2007年4月于加拿大握太华召开的ISO/TMB/RMWG的第四次会议上,我国代表提出的风险管理核心术语一风险一的定义,被工作组成员国投票通过,形成了人类对“风险”一词的最新定义,这反映了人类对“风险”的最新认识。与此同时,“风险”定义的完成也为标准的下一步修改明确了方向。当时,网络媒体等广泛报道此事,一时间传为佳话。有人说,金融危机将中国向世界推进了一大步。事实上,自2006年以来,中国各级政府部门所发布的内部控制、风险管理的法规性文件其密度、强度令世界瞩目,尤其是风险术语定义被ISO采纳,在风险管理领域,将中国向世界推进了一大步。
在这种势态下,中国应成为ISO 31000:2009标准的积极使用者、推广者。而且,从我国参与制定ISO3 1000:2009标准的一致性考虑,从国家的战略层面考虑,从我们应逐步建立的“大国意识”考虑,我国都应该尽早“等同采用”ISO 31000:2009标准。
5、国标GB/T 24353一2009不是对ISO 31000:2009标准的正式采用
我国国家标准GB/T 24353一2009《风险管理原则与实施指南》于2009年9月30日发布,并于2009年12月1日开始实施。该标准的发布对指导我国各类组织的风险管理工作具有重要的指导意义。但尽管GB/T 24353一2009 中的内容大多出自ISO31000:2009 标准(标准的DIS稿),但就国标的性质而言,该标准与我国是否正式采用ISO31000:2009标准并没有直接联系。GB/T 24353一2009 标准在“前言”中有一句话:“本标准参考ISO/DIS 31000(风险管理原则与实施指南》 编制而成”。此句话事实上己清楚地说明国标GB/T 24353一2009 与150 31000:2009标准不是正式的采用关系。其中的“参考”两字,只能理解为编制该标准参考了ISO 31000标准的有关内容,而不能理解为我国对ISO 31000:2009标准的正式采用性质。如果是正式采用,按惯例,该标准的编号一定是“双编号”,以体现与ISO 31000:2009标准的对应关系,且要注明采用的性质。而国标《风险管理原则与实施指南》只有一个编号GB/T 24353一2009 。所以,就标准的采用性质而言,该标准不是我国正式采用ISO 31000:2009标准转化后的国家标准。ISO 31000:2009标准《风险管理——原则与指南》的核心内容是“管理风险框架”,但这一框架并未在国标GB/T 24353一2009中明确体现,这也说明国标GB/T 24353一2009与ISO 31000:2009标准不是“采用”关系。
6、国际经济活动需要我国等同采用ISO 31000:2009标准
如果在我国仅实施国标GB/T 24353一2009,不可避免地会遇到一个问题:在改革开放、加入WTO、经济全球化以后,许多企业走出国门,国际间的贸易活动和商业往来越来越多,不仅在海外上市的一些公司要接受外国或国际组织的各种法律法规的监管,即使在境内经营的许多企业也会受到国外有关法规的约束。在这种外部环境下,仅实施国家标准GB/T 24353一2009已不能满足这些企业的需要,实施一个被国际普遍承认的国际标准应是合理的选择。我国最初引入1987年版ISO 9000标准,采用的性质是“等效”采用,由于未能与国际标准“等同”接轨,使得我国许多企业在国际贸易和商业往来中,蒙受了损失。我国政府汲取这一教训,自1994 年以后,始终坚持等同采用ISO管理标准。从这一点考虑,在风险管理领域,我国只实施国家标准GB/T 24353一2009还是不够的,面对国际间的商业往来越来越多、国际间的监管越来越多、国际间的相互评价越来越多,选择一个通用的国际标准势在必行。美国标准普尔对组织的信任评级已纳入风险管理的内容。ISO 31000:2009 作为国际风险管理标准,很有可能被选作评级的依据。2009 年11 月23 日(ISO 31000:2009标准发布后10天),笔者应中国海洋石油总公司海外上市公司(美国、香港上市)的邀请,专程到深圳讲授了为期一天的ISO 31000:2009标准。之所以去讲,其中一个重要原因是该公司即将接受萨班斯法案的404测试,他们认为在此之前应了解ISO 31000:2009标准,做出相应的准备。
7 结语
以上从6 个方面说明了我国等同采用ISO 31000:2009标准《风险管理——原则与指南》的必要性。我们可以得出这样的结论:ISO 31000:2009标准的产生适应了世界各国风险管理的需要,是人类在风险管理领域取得的巨大进展。改革开放后的中国,面对经济全球化的挑战和机遇,需要一个用于管理风险的、被世界各国普遍承认的国际标准——ISO 31000:2009标准。今天的中国企业有实施ISO 31000:2009标准的基础,有实施ISO 31000:2009 标准、有效管理风险和创造更大价值的现实意义。
就标准在我国的实施而言,有些具体问题还有待解决。ISO 31000:2009标准与我国企业已熟悉的ISO管理标准(如ISO 9001、ISO 14001等)在性质上有较大的不同。如,该标准不是“要求”而是“指南”, 该标准不是管理“体系”标准,该标准不以“认证”为目的,等等。对这样一个用于管理风险的、在性质上我们并不熟悉的ISO管理标准,无论在理论上,还是在实践上,都是‘贯标”以来我们面对的新课题。