两个通用的风险管理标准，一个是中国的国家风险管理标准GB/T24353—2009，另一个是国际风险管理标准ISO31000:2009。本文简单介绍一下这两个标准间的关系和差别。 

　　国际标准ISO31000从2005年开始制定，于2009年11月13日正式公布。国家标准GB/T24353自2006年在国家标准委立项，于2009年9月30日正式公布。实际上，国标立项的工作始于2006年在澳大利亚悉尼召开的国际标准组织（ISO）风险管理标准的工作小组会议。当时，中国标准化研究院的汤万金博士、高晓红博士和笔者三人一起参加了会议。汤万金博士在会议上了解到国际上风险管理发展的情况，当时就决定要向国家标准委申请立项，开展制定中国的风险管理标准系列的工作。他每天白天参加会议，晚上和高博士琢磨起草立项申请，着实辛苦了一番。

　　回到我们说的两个风险管理标准的关系。了解这两个标准的读者可能发现，这两个标准的内容很相似，但又不完全相同。事实上，国标GB/T24353是“修改”后“采用”国际标准ISO31000的结果。严格的说法，国标GB/T24353是在国际标准DIS稿的基础上修改制定的。这样说就产生两个问题。第一个问题是，为什么是“修改制定”，而不是通常的“等同采用”？第二个问题是，既然是国标“修改制定”国际标准，为何国标反而在国际标准公布之前公布？

　　先回答第二个问题，因为这个问题的答案简单一些。答案在于国标在“修改制定”国际标准时，所根据的版本是国际标准组织风险管理标准的工作小组的最终修改稿（DIS）。该版本包含了工作小组各国专家对标准内容的一致意见。此版本，按ISO规定和给ISO技术管理局的报批稿只有少数文字的差别。所以，国标的工作就基于国际标准的DIS稿展开了，而没有等到国际标准发布以后再开始。但是，由于ISO技术管理局审批的过程费时较长，而在中国这边修改过程和国家标准委的审批程序完成以后，ISO31000还没有公布。这就造成了“修改制定”国际标准后形成的国标反而比国际标准早一个多月公布。

　　再回答第一个问题。从2005年起，中国专家全程参加了国际标准ISO31000的制定工作，同时在国内组织制定中国国家标准的制定。由于在参加国际标准组织风险管理标准的工作小组的工作中，中国专家深深感到体现在国际标准文本中的内容，只是国际上各国专家意见妥协的结果，许多地方并不太合适。所以，中国专家们认为，只要国内的专家们意见一致，在国标中我们应当尽量完善这些不尽人意的地方。于是，我们在国标的制定工作中就采取了“修改制定”国际标准，而非以往国内常见的“等同采用”的方式。

　　在GB/T24353—2009中，对ISO31000:2009的修改主要有三处。

　　第一，修改了ISO31000:2009中的原则部分的处理方式。读者可能会发现，在国际标准中，“原则”一章的内容和附录有重复之处，且附录讲的都是些原则性的东西。事实是，在国际标准组织风险管理标准工作小组讨论“原则”这一章时，各国专家们对内容的意见相当一致。但是，有些专家指出，一些原则虽然正确，但在此时提出恐怕过于超前，使广大的标准使用者接受起来有困难。同时，抛弃这些原则又很可惜。经过反复权衡，工作小组决定，把这些原则从标准的正文中取出来，形成了目前标准的附录。在国标的制定中，我们认为这些原则在中国应当比较容易被接受，所以没有采用国际标准的这种做法，而是整理之后把他们直接放到了国家标准的“原则”一章中。所以，我们现在看到的是国际标准有附录，而国家标准没有该附录。

　　第二，调换了原国际标准中的第五章（风险管理框架）和第六章（风险管理过程）的次序。因为中国专家们认为风险管理过程是风险管理的核心，而风险管理框架则是为了执行风险管理过程必需的基础设施。在叙述风险管理框架时，不可避免会涉及风险管理框架的功能，也就是要涉及风险管理流程的运行。而且，这里的风险管理流程是通用的完全的流程，而这里的风险管理框架并非一个一般意义上的完备的管理体系，需要用户在执行风险管理流程是补充完善。所以，先叙述风险管理流程在程序上会更简洁，更清晰。所以，我们现在看到的国家标准和国际标准的叙述次序有些不同。

　　第三，修改了风险管理过程的叙述方式。国际标准中的这一部分的叙述延续了澳大利亚/新西兰的联合国家标准AS/NZS 4360的说法，使用了如下图的方式：

　　上图中有一个“沟通与协商”步骤，明显是受到了COSO1992年“整合内控框架”的有关内容的影响。而中国专家认为，这不是过程中的一个步骤。上图的目的本来是要描述一个通用的风险管理流程。但是“沟通与协商”的出现，破坏了上图的程序性质，使得上图中的箭头意义变得混乱。例如，本来风险评估的程序中包含顺次的三个步骤，即风险识别，风险分析和风险评价。在上图中，从上到下的连接相应节点的箭头具有明确的顺序性和指向性。但是，上图中连接“沟通与协商”与其它节点的平行的双向箭头则明显没有流程的顺序性和指向性。也就是说，该图的使用者不清楚什么时候要从其它节点走到“沟通与协商”，或从“沟通与协商”走回来。另一方面，“沟通与协商”固然很重要，但它很难成为一个单独的步骤，因为“沟通与协商”是渗入到管理过程的各个环节的。所以，“沟通与协商”应该单独叙述，而不应在此图中出现。

　　以上意见，笔者曾经在国际标准组织风险管理标准工作小组讨论时提出过。当时澳大利亚专家的意见是，笔者所言正确，但是上图已经使用多年，现在改了恐怕影响标准的接受。在场的多数其他国家的专家接受了澳大利亚专家的意见，于是在国际标准里面保留了上图，但还是特地在标准中加了一句话，大意说该图不是一个流程图，而图中的箭头不应作有方向的流动解释。

　　在国内讨论国家标准时，因为我们没有类似AS/NZS 4360的历史包袱，国内的专家们同意采用笔者的意见。所以在国标里面我们看到的风险管理过程的描述是如下图所示。可以看出，下图比上面的国际标准的风险管理过程图更清晰，更有可操作性。

　　除了上面说的三个重要的修改以外，国内专家对国际标准还做了许多文字的调整，以使得国标的文字能够尽量“汉化”，符合汉语的语言习惯。（这方面，高晓红博士做了大量的工作。）

　　应该说，对于国际标准修改后采用，或干脆不予理睬的做法，在国际上很普遍。例如，对于ISO31000，一些国家（如澳大利亚）等同采用ISO31000，即新版的AS/NZS 4360与国际标准是一模一样的；另外一些国家则在“参考”ISO31000的基础上制定他们自己国家的标准（如德国等欧盟的国家）。总之，国际标准的颁布并非意味着一国必须或应当等同采用之。这要看是否有利于该国推动工作而定。

　　当然，在国标GB/T24353公布以后，笔者也听到过一些对我们“修改制定”的不同意见，如认为与国际标准不一致不利于推广等。这些意见，见仁见智，都很宝贵，留待将来国标修改时再一起讨论吧。