风险管理原则是指在实施风险管理过程中的“所有层次”，所有人员都必须遵循的行为准则，是全体员工的行为规范，否则谁想怎么干就怎么干，风险管理难以取得成效。ISO“标准”提出了管理风险必须遵循的11条原则：

㈠风险管理创造并保护价值

任何一个企业要生存和发展首先要有“剩余价值”，也就是利润。否则，它就要灭亡，这是企业的最大风险，也是风险管理的首要责任，也是考核企业风险管理成功与否的重要标志，因此也是风险管理必须遵循的首要原则。

㈡风险管理是构成组织所有过程所必需的一部分

风险嵌入企业的各项业流程与业务活动之中，这一过程中时时处处都潜在风险，要实现其目标就必须对这一过程中的潜在风险进行管理，是这一业务过程中必不可少的一部分。

㈢风险管理是决策的一部分

它要求决策者对业务活动达成的目标及行动方针作出决定时，它可以帮助决策者考虑会遇到那些风险?如何管理及应对这些风险等等。不考虑风险及其应对的决策不是一个完整的、有效的科学决策。

㈣风险管理清晰地说明不确定性

它要求在考虑风险时就要对“不确定性”进行详细分析，说明有哪些潜在风险因素、风险转化的条件、发生的可能性、影响后果等等，都要尽可能搞清楚，这就是风险管理主要内容。

㈤风险管理是系统的、结构化的和适时的

它要求风险管理必须是系统的、结构化的和适时的。所谓系统是指同类事物按一定的内在关系组成的整体，结构是指系统内存在的各个组成部分以及它们之间相互联系、相互作用的框架，适时是指风险管理要考虑时间、空间及企业所处的内外部环境。

㈥风险管理以最可利用的信息为基础

要管理和改变不确定性就必须各种必要信息，包括历史数据、经验、利益相关方反馈、观察、预测、和专家判断等。同时，管理者还应提醒自己并考虑所使用数据和模型的局限性，以及专家意见的分散程度。这都是管理风险的基础。

㈦风险管理具有适应性

它要求风险管理必须与企业自身的实际情况(即内外部环境与风险状况)相适应，否则就会出现“两张皮”，风险管理就不能取得应有的效果。

㈧风险管理考虑人和文化因素

它要求实施风险管理必须与考虑人员的能力、素质、感知和意愿，以及相关方人的因素，同时要全面引入企业的风险文化，他是企业实施风险管理不可或缺的背景和源动力。不考人的思想意识的风险管理是不能够取得成功的。

㈨风险管理是透明、包容的

这里的透明、包容是针对“利益相关方而言”，企业的各项活动越透明，越有利于企业创造价值及吸引投资者，对企业的正确估值也会越高。它也是企业运作良好的基本要素。也是评价企业管理是否有效的重要制度之一。

㈩风险管理是动态的、往复的，并对变化保持响应

风险管理是一个过程，是由输入资源、通过加工转化，输出产品或服务的动态过程。在通常情况下这一过程不是一次运行就能达到预期的目标，而是要经过多次、反复、迭代的，通过螺旋式上升，通过风险管理实现向更高层次过程运转。它要求风险管理对这一过程中的任何变化都能及时作出相应 “响应”。

(十一)风险管理促进组织的持续改进

随科技的进步时代的发展，企业的风险管理也要不断地发展与提高，才能适应形势的需要，因此“持续改进总体业绩应当是组织的一个永恒目标”。持续改进的重点一是“风险管理的成熟度”;二是“组织的所有其它领域”。

在实施风险管理过程中只有认真贯彻上述原则，才能取得较好的成效。