您現在的位置是在:首頁 >> 行業動態
4.1 總則
風險管理的成功取決于提供將風險管理嵌入整個組織所有層次的基礎和安排的管理框架的有效性。框架有助于通過在組織不同層次和特定狀況內應用風險管理過程,有效地管理風險。框架確保從風險管理過程取得的風險信息充分地被報告,以及作為決策和所有相關組織層次責任的基礎。
本條款描述了風險管理框架的必要要素和其以迭代的方式相互作用的方法,如圖2。
圖2 風險管理框架要素間的相互關系
本框架目的不是規定一個管理體系,而是有助于組織將風險管理整合到它的整個管理體系中。因此,組織宜使框架的要素適用于其特定的需求。
如果組織現存的管理實踐和過程包含風險管理要素,或者如果組織已經針對特定的風險或狀況采納了一個正式的風險管理過程,那么對原有的這些實踐和過程宜針對本標準進行評審和評價,包括附錄A中包含的附加內容,以確定它們的充分性和有效性。
4.2 指令和承諾
風險管理的引入和確保它的持續有效需要組織管理著強有力和持續的承諾,以及為實現承諾在所有層次戰略的和嚴密的策劃。管理者宜:
確定和簽署風險管理方針;
確保組織的文化和風險管理方針一致;
確定與組織績效參數一致的風險管理績效參數;
使風險管理目標與組織的目標和戰略一致;
確保法律法規的復合性;
在組織內適當的層次分配責任和職責;
確保為風險管理配置必要的資源;
將風險管理的益處通報給所有的利益相關方;
確保風險管理框架持續保持適宜。
4.3 風險管理框架的設計
4.3.1 理解組織和其狀況
在開始設計和實施風險管理框架前,評價和理解組織內外部的狀況是重要的,因為這會對框架的設計產生顯著的影響。
評價組織外部狀況可以包括,但不限于:
a)社會和文化、政治、法律法規、財務、技術、經濟、自然和競爭環境,無論國際、國內、區
域和當地;
b)影響組織目標的動力和趨勢;
c)與外部利益相關方的關系,以及它們的感受和價值觀。
評價組織內部狀況可以包括,但不限于:
—— 管理方法、組織結構、作用和責任;
—— 方針、目標,以及為實現它們所制定的戰略;
—— 以資源和知識來理解的能力(例如,資本、時間、人員、過程、系統和技術);
—— 信息系統、信息流和決策過程(正式和非正式的);
—— 與內部利益相關方的關系,以及它們的感受和價值觀;
—— 組織的文化;
—— 被組織采用的標準、指南和模型;
—— 合同關系的形式和范圍。
4.3.2 建立風險管理方針
風險管理方針宜清楚闡明組織風險管理的目標和承諾,特別要針對:
—— 組織管理風險的基本原理;
—— 組織目標和方針與風險管理方針的聯系;
—— 管理風險的責任和職責;
—— 處理利益沖突的方法;
—— 提供有助于管理風險必要資源的承諾;
—— 風險管理績效測量和報告的方法;
—— 對定期評審和改進風險管理方針和框架,以及對事件和環境變化做出響應的承諾。
風險管理方針宜適當地溝通。
4.3.3 責任
組織宜確保具備管理風險的責任、權限和適當的能力,包括實施和保持風險管理過程和確保任何控制措施的充分性、有效性和效率。這可通過如下途徑來實現:
—— 確定有責任和權利管理風險的風險擁有者;
—— 確定負責建立、實施和保持風險管理框架的人員;
—— 確定組織所有層次人員的風險管理過程的其他職責;
—— 建立績效測量和內部和外部報告和逐級報告過程;
—— 確保確定的合適程度。
4.3.4 整合到組織的過程
風險管理宜益相關、有效和有效率的方式嵌入到所有組織的實踐和過程中。風險管理過程宜變成組織過程的部分,而不是分離的。特別是,風險管理宜嵌入方針制定、商業和戰略策劃和評審和變更管理過程中。
宜具備一個組織的廣泛風險管理計劃以確保風險管理方針的實施和將風險管理嵌入全部組織的實踐和過程中。風險管理計劃可以整合到組織其他的計劃中,如戰略計劃。
4.3.5 資源
組織宜為風險管理配置適當的資源。
對如下方面宜予以考慮:
—— 人員、技能、經驗和能力;
—— 對于風險管理過程的每步驟所需的資源;
—— 用于管理風險的組織的過程、方法和工具;
—— 形成文件的過程和程序;
—— 管理體系的信息和知識;
—— 培訓方案。
4.3.6 建立內部溝通和報告機制
組織宜建立內部溝通和報告機制,用于支持和促進風險的責任和歸屬。這些機制宜確保:
—— 風險管理框架的關鍵要素和任何后續的更改被適當地溝通;
—— 對框架和其有效性及結果在內部充分地予以報告;
—— 風險管理的相關信息在適當的層次和時間予以獲得;
—— 與內部利益相關方的協商過程被予以提供。
適當時,這些機制宜包括基于多源頭強化風險信息的過程,以及可能需要考慮信息的敏感性。
4.3.7 建立外部溝通和報告機制
組織宜制定和實施一個關于如何與外部利益相關方溝通的計劃。
這宜包括:
—— 吸引適當的外部利益相關方的關注和確保有效的信息交流;
—— 對外報告法律法規和管理要求的遵守情況;
—— 對溝通和協商進行報告和反饋;
—— 運用溝通來建立組織的信心;
—— 向利益相關方溝通緊急或突發事件。
適當時,這些機制宜包括基于多源頭強化風險信息的過程,以及可能需要考慮信息的敏感性。
4.4 實施風險管理
4.4.1 實施管理風險的框架
在實施組織的管理風險的框架時,組織宜:
—— 確定實施框架的適當時間安排和策略;
—— 將風險管理方針和過程應用到組織的過程;
—— 遵守法律法規要求;
—— 確保決策,包括目標的制定和設立,與風險管理過程輸出結果一致;
—— 舉行信息和培訓會議;
—— 與利益相關方進行溝通和協商以確保其風險管理框架保持正確;
4.4.2 實施風險管理過程
風險管理宜通過確保將第五章描述的風險管理過程通過風險管理計劃作為組織實踐和過程的一部分應用到組織相關職能和層次。
4.5 框架的監測和評審
為了確保風險管理有效和持續改進組織的績效,組織宜:
—— 針對適當定期評審的參數測量風險管理績效;
—— 定期測量風險管理計劃的進展和偏離;
—— 基于組織的內部和外部狀況,定期評審風險管理框架、方針和計劃是否仍然適宜;
—— 報告風險、風險管理計劃的進展和風險管理方針如何較好地執行;
—— 評審風險管理框架的有效性。
4.6 框架的持續改進
基于監測和評審結果,宜做出如何可以改進風險管理框架、方針和計劃的決策。這些決策宜致使組織的風險管理和風險管理文化的改進。
5 過程
5.1 總則
風險管理過程宜是:
—— 整合到管理中的的一部分;
—— 嵌入文化和實踐之中;
—— 針對組織的經營過程制作。
它由5.2到5.6描述的活動組成。風險管理過程如圖3。
圖表3-風險管理過程
5.2 溝通和協商
與內、外部利益相關方溝通和協商宜在風險管理過程所有階段進行。
因此,溝通和協商計劃宜在早期制定。該計劃宜針對與風險本身、風險成因、風險后果(如果掌握)以及處理風險措施相關的問題。為確保實施風險管理過程的職責明確,以及利益相關方理解決策的基礎和特定措施需求的原因,宜采取有效的外部和內部溝通和協商。
協商團隊方法可以:
—— 適當地幫助明確狀況;
—— 確保利益相關方的利益被理解和考慮;
—— 幫助確保風險充分地被識別;
—— 將不同領域的專業知識一并用于分析風險;
—— 確保在界定風險準則和評定風險時,不同的觀點被恰當地考慮;
—— 確保認同和支持處理計劃;
—— 加強在風險管理過程中的變更管理;
—— 制定一個恰當的內部和外部溝通和協商計劃。
與利益相關方的溝通協商是重要的,由于他們基于對風險的感知,做出了對風險的判斷。這些感知可以由于利益相關方的價值觀、需求、臆斷、概念和關注點的不同而變化。由于利益相關方的觀點會對決策產生重大影響,因此他們的感知以被識別、記錄、以及在決策過程中考慮。
溝通和協商宜提供真實的、相關的、準確的、便于理解的交流信息,同時宜考慮到保密和個人誠實因素。
5.3 明確狀況
5.3.1 總則
通過明確狀況,組織明確其目標,界定管理風險要考慮的外部和內部參數,確定風險管理過程的范圍和風險準則。盡管許多此類參數與風險管理框架設計時所考慮的參數類似(參見4.3.1),但在明確風險管理過程的狀況時,這些參數需要細致地,特別是與特定風險管理過程聯系起來考慮。
5.3.2 明確外部狀況
外部狀況是指組織尋求實現其目標的外部環境。
為了確保在建立風險準則時,目標和外部利益相關方的關注點被予以考慮,理解外部狀況是重要的。它基于組織寬泛的狀況,但具備法律法規要求的具體細節、利益相關方的觀點、風險管理過程范圍風險的其他因素。
外部狀況可以包括,但不局限于:
—— 社會、文化、政治、法律法規、金融、技術、經濟、自然和競爭環境,無論國際、國內、區域,還是本地的;
—— 影響組織目標的主要動力和趨勢;
—— 與外部利益相關方的關系,外部利益相關方的觀點和價值觀。
5.3.3 明確內部狀況
內部狀況是指組織尋求實現其目標的內部環境。
風險管理過程宜與組織的文化、過程、結構和戰略相一致。內部狀況是組織內能夠影響管理風險方法的方面。內部狀況宜明確,因為:
a)風險管理是在組織的目標狀況下進行;
b)具體項目、過程或活動的目標和準則,宜依據組織的整體目標予以考慮;
c)一些組織未能意識到實現它們戰略、項目或經營目標的機會,這影響了持續的組織承諾、信譽、誠信和價值觀。
理解內部狀況是必要的,這可包括,但不僅限于:
—— 治理、組織結構、作用和責任;
—— 方針、目標,為實現方針和目標制定的戰略;
—— 基于資源和知識理解的能力(如:資金、時間、人員、過程、系統和技術);
—— 與內部利益相關方的關系,內部利益相關方的觀點和價值觀;
—— 組織的文化;
—— 信息系統、信息流和決策過程(正式與非正式);
—— 組織所采用的標準、指南和模式;
—— 合同關系的形式與范圍。
5.3.4明確風險管理過程狀況
宜確立組織活動的目標、策略、范圍和參數,或風險管理過程應用到的組織的那些部分。風險管理宜充分考慮滿足開展風險管理的資源需求。所需的資源、職責、權限和要保存的記錄也宜予以規定。
風險管理過程的狀況根據組織需求而變化。它可以包括,但不僅限于:
—— 確定風險管理活動的目標;
—— 確定風險管理過程的職責;
—— 確定所要開展的風險管理活動的范圍以及深度、廣度,包括具體的內涵和外延;
—— 以時間和地點,界定活動、過程、職能、項目、產品、服務或資產;
—— 界定組織特定項目、過程或活動與其他項目、過程或活動之間的關系;
—— 確定風險評價的方法;
—— 確定評價風險管理的績效和有效性的方法;
—— 識別和規定所必須要做出的決策;
—— 確定所需的范圍或框架性研究,它們的程度和目標,以及此種研究所需資源。
對這些和其他相關因素的關注,有助于確保所采用的風險管理方法適合于環境、組織、以及影響目標實現的風險。
5.3.5 確定風險準則
組織宜確定用于評定風險重要性的準則。該準則宜反映組織的價值觀、目標和資源。一些準則可以服從或引用法律法規要求或組織簽署的其他要求。風險準則宜與組織風險管理方針一致(見4.3.2),在風險管理過程開始時予以確定,并予以持續評審。
當確定風險準則時,要考慮的因素宜包括如下:
—— 可以出現的致因和后果的性質和類別,以及如何予以測量;
—— 可能性如何確定;
—— 可能性和(或)后果的時間范圍;
—— 風險程度如何確定;
—— 利益相關方的觀點;
—— 風險可接受或可容許的程度;
—— 多種風險的組合是否予以考慮,如果是,如何考慮及哪種風險組合宜予以考慮。
5.4 風險評價
5.4.1 總則
風險評價是風險識別、風險分析和風險評定的總的過程。
注:ISO/IEC 31010 提供了風險評價技術指南。
5.4.2 風險識別
組織宜識別風險源、影響區域、事件(包括環境變化)以及致因和潛在后果。此步驟的目的是產生一個基于哪些可能產生、增強、阻礙、加快或推遲目標實現的事件的風險的綜合表格。識別與不尋求機會相關的風險是重要的。綜合識別是非常重要的,因為此階段沒有識別的風險將不會包含在進一步的分析中。
識別宜包括其源是否在組織的控制下的風險,即使風險源或致因可能不明顯。風險識別宜包括考查特定后果直接影響,包括聯鎖和累積影響。也要考慮寬范圍的后果,即使風險源或致因可能不明顯。也要識別什么可能發生,考慮表明什么后果可以出現的可能致因和場景是必要的。所有重要的致因和后果宜予以考慮。
組織宜應用適合其目標、能力及所面臨風險的風險識別工具和技術。在識別風險時,相關和最新的信息是重要的。這宜包括可能的適當背景信息。具有適當知識的人員宜參與到識別風險中。
5.4.3 風險分析
風險分析涉及開展風險的理解。風險分析為風險評定和確定風險是否需要處理以及最適合的風險處理策略和方法,提供了輸入。風險分析也可以為必須做出選擇及選擇涉及不同類型和程度的風險的決策,提供輸入。
風險分析包括考慮風險的致因和來源,以及所帶來的正面和負面的后果及這些后果發生的可能性。影響后果的因素和可能性宜被識別。通過確定后果和其可能性、以及其他風險特性,來進行風險分析。一個事件可以有多種結果并可以影響多重目標。現存的控制措施和其效果和效率也宜被考慮在內。
后果和可能性的表述方式,以及它們組合確定風險程度的方式,宜反映風險類型、可獲得的信息、以及運用風險評價輸出的意圖。這些全部都宜符合風險準則。考慮不同風險和其源的相互依賴也是重要的。
風險程度的確定和其前提和假設的敏感性的信心,宜在風險分析中予以考慮,并有效溝通給決策者以及適當的利益相關方。諸如專家間觀點的分歧、不確定性、可用性、質量、數量、信息的持續相關性、或模型的局限性等因素,宜予以闡述和可以重點強調。
風險分析可以在不同程度的細節上進行,這取決于風險本身、分析目的、可用的信息、數據和來源。依據環境條件,分析可以定性的、半定量或定量的,也可以是組合的方式。
后果和其可能性可以通過模擬一個或一系列事件的結果,或由實驗研究或可用數據推斷確定。后果可基于有形和無形的影響表述。在某些情況下,一個以上的數值或描述,需要界定對于不同時間、地點、團體或狀況的后果和其可能性。
5.4.4 風險評定
風險評價的目的是,基于風險分析的結果,幫助做出有關風險需要處理和處理實施優先的決策。
風險評定包括將分析過程中確定的風險程度與在明確狀況時建立的風險準則進行比較。基于這種比較,處理需求可予以考慮。
決策宜考慮更為寬泛風險含義,包括考慮風險獲益組織外的團體對風險的容忍性。決策宜依據法律法規和其他要求做出。
在某些情況下,風險評定可導致對決策的進一步分析。風險評定也可導致,除了保持現存措施,不以任何方式處理風險的決策。通過組織的風險態度和已建立的風險準則,對此決策施加影響。
5.5 風險處理
5.5.1 總則
風險處理包括選擇一種或幾種修正風險的方案,以及實施那些方案。一旦實施了方案,處理提供或改進了控制措施。
風險處理包括了一個循環過程:
—— 評價風險處理;
—— 確定殘留風險程度是否可容許;
—— 如果不可容許,產生新的風險處理;
—— 評價該處理的有效性。
風險處理方案不必互相排斥或適宜所有情況。方案可以包括以下內容:
a)通過決定不開展或停止產生風險的活動,來規避風險;
b)為尋求機會,接受或提高風險;
c)消除風險源;
d)改變可能性;
e)改變后果;
f)與另一方或多方共擔風險(包括合約和風險融資);
g)通過有事實依據的決策,保留風險。
5.5.2 選擇風險處理方案
選擇最合適的風險處理方案包括,針對以法律法規和諸如社會責任和自然環境保護的其他要求所獲得的利益,平衡成本和實施的工作量。決策也宜考慮可以批準在經濟層面上不合理的風險處理的風險,例如,嚴重的(高負面后果)但稀少(低可能性)的風險。
一些方案是可以單獨或綜合考慮或應用。組織一般可以從綜合方案的采用獲益。
當選擇風險處理方案時,組織宜考慮利益相關方的價值觀和觀點,以及與他們溝通最適合的方法。如果風險處理方案可以影響組織別處的風險或與利益相關方關聯的風險,這宜包含在決策中。盡管同樣有效,有些風險處理可以比其他一些更讓一些利益相關方接受。
風險處理計劃宜清晰確定每個風險處理宜實施的優先順序。
風險處理自身會引入風險。重要風險會是風險處理措施的故障或失效。監測需要成為風險處理計劃的整合部分和給出措施持續有效的保證。
風險處理也可引入需要評價、處理、監測和評審的次級風險。宜將這些次級風險結合到與原始風險同樣的處理計劃中,而不是作為新的風險處理。兩種風險的聯系宜確定和保持。
5.5.3 準備和實施風險處理計劃
風險處理計劃的目的是將如何實施已選擇的處理措施形成文件。將要實施的風險處理方案。處理計劃中提供的信息宜包括:
—— 選擇風險處理措施的原因,包括所期待獲得的效益;
—— 負責改進和實施計劃的人員;
—— 建議的措施;
—— 資源需求,包括緊急情況時;
—— 績效測量和控制;
—— 匯報及監測要求;
—— 時間和日程安排。
處理計劃宜組織管理過程整合并與適當的利益相關方討論。
決策者和其他利益相關方宜意識到風險處理后殘留風險的性質和程度。殘留風險宜形成文件并進行監測、評審,適當時,進一步處理。
5.6 監測和評審
監測和評審都宜是風險管理過程的已計劃的部分,包含常規檢查或監督。可以定期或不定期。
監測和評審的職責宜明確界定。
組織的監測和評審過程宜包含風險管理過程的所有方面,目的是:
—— 確保控制措施在設計和運行上有效和有效率;
—— 獲得進一步改進風險評價的信息;
—— 從事件(包括“near-miss)、變化、趨勢、成功和失敗中分析和吸取教訓;
—— 探測內外部狀況的變化,包括風險準則的變化和會需要修正風險處理和優先的風險自身;
—— 識別出現的風險。
在實施風險處理計劃的進程中需要績效測量。可將結果融入組織整體績效管理、測量和外部和內部報告活動中。
監測和評審的結果宜予以記錄和在內外部適當地報告,也可用作風險管理框架評審的輸入(見4.5)。
5.7 記錄風險管理過程
風險管理活動宜可追溯。在風險管理過程及整體過程中,記錄提供了方法和工具改進的基礎。
關于記錄的建立的決定宜考慮:
—— 組織持續學習的需求;
—— 出于管理意圖,重新使用信息益處;
—— 涉及建立和保持記錄的成本和工作量;
—— 對記錄的法律法規和運行需求;
—— 獲取的方法、檢索的難易和儲存媒介;
—— 保存期限;
—— 信息的敏感性。
2017年第2期在線課程已開始接受報名,課程如下:
