对比

ISO 31000 与 COSO ERM：企业风险管理框架

ISO 31000与COSO ERM的比较分析。原则、结构、方法、公司治理整合和在拉丁美洲的应用。

ISO 31000和COSO ERM是企业风险管理的两个主要参考框架。ISO 31000:2018是ISO发布的国际指南标准（不可认证）。COSO ERM框架由Treadway委员会赞助组织委员会开发，在金融和审计领域有深厚根基。

详细对比

方面	ISO 31000:2018	COSO ERM (2017)
哲学方法	基于原则的方法，包含8个基本原则（整合、结构化、定制化、包容性、动态、最佳可用信息、人文和文化因素、持续改进）。灵活且适用于任何类型的组织。	基于组件的方法，与战略和组织绩效整合。定义5个相互关联的组件和20个原则。面向在商业战略背景下保护和创造利益相关方价值。
结构	三个要素：原则（为什么）、框架（组织层面的如何）和过程（操作层面的如何：沟通、范围/背景、风险评估、处理、监测和审查、记录和报告）。	五个组件：治理和文化、战略和目标设定、绩效（风险识别、评估和优先级排序）、审查和监测、信息/沟通/报告。
可认证性	不可认证。是提供风险管理原则和框架的指南标准。用作设计组织风险管理流程的参考。	不可直接认证。但与SOX（萨班斯-奥克斯利法案）下的内部控制要求密切相关，可由外部审计师在财务审计背景下进行评估。
主要适用行业	普遍适用。适用于所有行业：政府、制造、服务、医疗、技术。特别被已实施其他ISO标准的组织采用，以保持方法论的一致性。	主要在金融行业、上市公司和受SOX类法规约束的组织中使用。在北美广泛采用，通过银行监管机构在拉丁美洲的影响力不断增长。
风险偏好	涉及包含容忍阈值的风险标准概念，但未明确使用'风险偏好'一词。组织根据背景定义自己的标准。	风险偏好是核心且明确的概念。COSO ERM要求高级管理层定义与战略一致的风险偏好，并将其用作决策过滤器。

审计师判断

ISO 31000和COSO ERM的选择取决于组织背景。对于拥有现有ISO生态系统的组织，ISO 31000提供方法论一致性。对于金融实体或受SOX法规约束的企业，COSO ERM提供监管机构期望的公司治理结构。两者的结合是可能且常见的。

常见问题

两者都不可直接认证。ISO 31000是指南标准，COSO ERM是参考框架。但ISO 31000在ISO 27001和ISO 22301等可认证标准中被引用，COSO ERM在SOX审计中被间接评估。

取决于行业。对于已采用ISO标准运营的工业、技术或服务企业，建议ISO 31000以保持管理生态系统的一致性。对于银行、保险公司和拥有北美股东的上市公司，COSO ERM是监管机构期望的框架。

可以。这在大型组织中是常见做法。COSO ERM用作董事会和高层管理层级别的风险治理框架，ISO 31000用作业务单元和项目层级的操作性风险管理流程。两者互补而非矛盾。

指南

准备好根据这些发现采取行动了吗？

需要此领域的评估？

申请诊断→查看研究→

Loading content…

方面

ISO 31000:2018

COSO ERM (2017)

哲学方法

基于原则的方法，包含8个基本原则（整合、结构化、定制化、包容性、动态、最佳可用信息、人文和文化因素、持续改进）。灵活且适用于任何类型的组织。

基于组件的方法，与战略和组织绩效整合。定义5个相互关联的组件和20个原则。面向在商业战略背景下保护和创造利益相关方价值。

结构

三个要素：原则（为什么）、框架（组织层面的如何）和过程（操作层面的如何：沟通、范围/背景、风险评估、处理、监测和审查、记录和报告）。

五个组件：治理和文化、战略和目标设定、绩效（风险识别、评估和优先级排序）、审查和监测、信息/沟通/报告。

可认证性

不可认证。是提供风险管理原则和框架的指南标准。用作设计组织风险管理流程的参考。

不可直接认证。但与SOX（萨班斯-奥克斯利法案）下的内部控制要求密切相关，可由外部审计师在财务审计背景下进行评估。

主要适用行业

普遍适用。适用于所有行业：政府、制造、服务、医疗、技术。特别被已实施其他ISO标准的组织采用，以保持方法论的一致性。

主要在金融行业、上市公司和受SOX类法规约束的组织中使用。在北美广泛采用，通过银行监管机构在拉丁美洲的影响力不断增长。

风险偏好

涉及包含容忍阈值的风险标准概念，但未明确使用'风险偏好'一词。组织根据背景定义自己的标准。

风险偏好是核心且明确的概念。COSO ERM要求高级管理层定义与战略一致的风险偏好，并将其用作决策过滤器。

常见问题

两者都不可直接认证。ISO 31000是指南标准，COSO ERM是参考框架。但ISO 31000在ISO 27001和ISO 22301等可认证标准中被引用，COSO ERM在SOX审计中被间接评估。

ISO 31000 与 COSO ERM：企业风险管理框架

详细对比

审计师判断

常见问题

如何在组织中实施ISO 27001

如何实施ISO 42001进行AI管理

风险管理

ISO 31000

影子AI：缺乏正式治理的人工智能使用

认证审核失败：不符合项诊断与恢复计划

准备好根据这些发现采取行动了吗？

ISO 31000 与 COSO ERM：企业风险管理框架

详细对比

审计师判断

常见问题

如何在组织中实施ISO 27001

如何实施ISO 42001进行AI管理

风险管理

ISO 31000

影子AI：缺乏正式治理的人工智能使用

认证审核失败：不符合项诊断与恢复计划

准备好根据这些发现采取行动了吗？

ISO 31000 与 COSO ERM：企业风险管理框架

详细对比

审计师判断

常见问题

相关内容

如何在组织中实施ISO 27001

如何实施ISO 42001进行AI管理

风险管理

ISO 31000

影子AI：缺乏正式治理的人工智能使用

认证审核失败：不符合项诊断与恢复计划

准备好根据这些发现采取行动了吗？

ISO 31000 与 COSO ERM：企业风险管理框架

详细对比

审计师判断

常见问题

相关内容

如何在组织中实施ISO 27001

如何实施ISO 42001进行AI管理

风险管理

ISO 31000

影子AI：缺乏正式治理的人工智能使用

认证审核失败：不符合项诊断与恢复计划

准备好根据这些发现采取行动了吗？