風險管理-原則與實施指南

1、精選優(yōu)質(zhì)文檔-傾情為你奉上風險管理 原則與實施指南1 范圍本標準提供了風險管理的原則和通用的實施指南。本標準適用于組織的全生命周期及其各階段，也適用于組織的各種活動，包括流程管理、職能行為、項目管理以及與產(chǎn)品、服務(wù)、資產(chǎn)、運作和決策等有關(guān)的各項活動。本標準提2 規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件， 3 術(shù)語和定義GB/T23694確定的術(shù)語和定義適用于本標準。4 風險管理原則為有效管理風險，

2、組織在實施風險管理時，可遵循下列原則：a)控制損失，創(chuàng)造價值以控制損失、創(chuàng)造價值為目標的風險管理，有助于組織實現(xiàn)目標、取得具體可見的成績和改善各方面的業(yè)績，包括人員健康和安全、合規(guī)經(jīng)營、信用程度、社會認可、環(huán)境保護、財務(wù)績效、產(chǎn)品質(zhì)量、運營效率和公司治理等方面。b)融入組織管理過程風險管理不是獨立于組織主要活動和各項管理過程的單獨的活動，而是組織管理過程不可缺少的重要組成部分。c)支持決策過程組織的所有決策都應(yīng)考慮風險和風險管理。風險管理旨在將風險控制在組織可接受的范圍內(nèi)，有助于判斷風險應(yīng)對是否充分、有效,有助于決定行動優(yōu)先順序并選擇可行的行動方案，從而幫助決策者做出合理的決策。d)應(yīng)用系統(tǒng)的

3、、結(jié)構(gòu)化的方法系統(tǒng)的、結(jié)構(gòu)化的方法有助于風險管理效率的提升，并產(chǎn)生一致、可比、可靠的結(jié)果。e）以信息為基礎(chǔ)風險管理過程要以有效的信息為基礎(chǔ)。這些信息可通過經(jīng)驗、反饋、觀察、預(yù)測和專家判斷等多種渠道獲取，但使用時要考慮數(shù)據(jù)、模型和專家意見的局限性。f）環(huán)境依賴風險取決于組織所處的內(nèi)部和外部環(huán)境以及組織所承擔的風險。需要特別指出的是，風險管理受人文因素的影響。g）廣泛參與、充分溝通組織的利益相關(guān)者之間的溝通，尤其是決策者在風險管理中適當、及時的參與，有助于保證風險管理的針對性和有效性。利益相關(guān)者的廣泛參與有助于其觀點在風險管理過程中得到體現(xiàn)，其利益訴求在決定組織的風險偏好時得到充分考慮。利益相關(guān)者

4、的廣泛參與要建立在對其權(quán)利和責任明確認可的基礎(chǔ)上。利益相關(guān)者之間需要進行持續(xù)、雙向和及時的溝通，尤其是在重大風險事件和風險管理有效性等方面需要及時溝通。h）持續(xù)改進風險管理是適應(yīng)環(huán)境變化的動態(tài)過程，其各步驟之間形成一個信息反饋的閉環(huán)。隨著內(nèi)部和外部事件的發(fā)生、組織環(huán)境和知識的改變以及監(jiān)督和檢查的執(zhí)行，有些風險可能會發(fā)生變化，一些新的風險可能會出現(xiàn)，另一些風險則可能消失。因此，組織應(yīng)持續(xù)不斷地對各種變化保持敏感并做出恰當反應(yīng)。組織通過績效測量、檢查和調(diào)整等手段，使風險得到持續(xù)改進。5 風險管理過程5.1概述風險管理過程是組織管理的有機組成部分，嵌入在組織文化和實踐當中，貫穿于組織的經(jīng)營過程。風險

5、管理過程由5.2到5.5所描述的活動組成，即明確環(huán)境信息、風險評估、風險應(yīng)對、監(jiān)督和檢查，如圖1所示。其中，風險評估包括風險識別、風險分析和風險評價等三個步驟。溝通和記錄，應(yīng)貫穿于風險管理過程的各項活動中，5.6將對其進行詳細說明。 5.2 明確環(huán)境信息5.3風險評價5.32風險識別5.3.3風險分析5.3.4風險評定5.4風險應(yīng)對5.5監(jiān)督和檢查圖1  風險管理過程5.2明確環(huán)境信息5.2.1概述通過明確環(huán)境信息，組織可明確其風險管理的目標，確定與組織相關(guān)的內(nèi)部和外部參數(shù)，并設(shè)定風險管理的范圍和有關(guān)風險準則。5.2.2外部環(huán)境信息外部環(huán)境信息是組織在實現(xiàn)目標過程

6、中所面臨的外部環(huán)境的歷史、現(xiàn)在和未來的各種相關(guān)信息。為保證在制定風險準則時能充分考慮外部利益相關(guān)者的目標和關(guān)注點，組織需要了解外部環(huán)境信息。外部環(huán)境信息以組織所處的整體環(huán)境為基礎(chǔ)，包括法律和監(jiān)管要求、利益相關(guān)者的訴求和與具體風險管理過程相關(guān)的其他方面的信息等。外部環(huán)境信息包括但不限于：國際、國內(nèi)、地區(qū)及當?shù)氐恼?、?jīng)濟、文化、法律、法規(guī)、技術(shù)、金融以及自然環(huán)境和競爭環(huán)境；影響組織目標實現(xiàn)的外部關(guān)鍵因素及其歷史和變化趨勢；外部利益相關(guān)者及其訴求、價值觀、風險承受度；外部利益相關(guān)者與組織的關(guān)系等。5.2.3內(nèi)部環(huán)境信息內(nèi)部環(huán)境信息是組織在實現(xiàn)目標過程中所面臨的內(nèi)在環(huán)境的歷史、現(xiàn)在和未來的各種相關(guān)信

7、息。風險管理過程要與組織的文化、經(jīng)營過程和結(jié)構(gòu)相適應(yīng)，包括組織內(nèi)影響其風險管理的任何事物。組織需明確內(nèi)部環(huán)境信息，因為：風險可能會影響組織戰(zhàn)略、日常經(jīng)營或項目運營等各個方面，從而進一步會影響組織的價值、信用和承諾等；風險管理在組織的特定目標和管理條件下進行；具體活動的目標和有關(guān)準則應(yīng)放到組織整體目標的環(huán)境中考慮；內(nèi)部環(huán)境信息可包括：組織的方針、目標以及經(jīng)營戰(zhàn)略；資源和知識方面的能力（如資金、時間、人力、過程、系統(tǒng)和技術(shù)）;信息系統(tǒng)、信息流和決策過程（包括正式的和非正式的）;內(nèi)部利益相關(guān)者及其訴求，價值觀、風險承受度；采用的標準和模型；組織結(jié)構(gòu)（包括治理結(jié)構(gòu)、任何和責任等）、管理過程和措施；與風

8、險管理實施過程有關(guān)的環(huán)境信息等。其中，風險管理過程的環(huán)境信息根據(jù)組織的需要而改變，它包括但不限于：所開展的風險管理工作的范圍和目標，以及所需要的資源；風險管理過程的職責；應(yīng)執(zhí)行的風險管理活動的深度和廣度；風險管理活動與組織其他活動之間的關(guān)系；風險評估的方法和使用的數(shù)據(jù)；風險管理績效的評價方法；需要制定的決策；風險準則等。5.2.4 確定風險準則風險準則是組織用于評價風險重要程度的標準。因此，風險準則需體現(xiàn)組織的風險承受度，應(yīng)反映組織的價值觀、目標和資源。有些風險準則直接或間接反映了法律和法規(guī)要求或其他需要組織遵循的要求。風險準則應(yīng)當與組織的風險管理方針一致。具體的風險準則應(yīng)盡可能在風

9、險管理過程開始時制定，并持續(xù)不斷地檢查和完善。確定風險準則時要考慮以下因素：可能發(fā)生的后果的性質(zhì)、類型以及后果的度量；可能性的度量；可能性和后果的時限；風險的度量方法；風險等級的確定；利益相關(guān)者可接受的風險或可容許的風險等級；多種風險的組合的影響。通過對以上因素及其他相關(guān)因素的關(guān)注，將有助于保證組織所采取的風險管理方法適合于組織現(xiàn)狀及其所面臨的風險。5.3風險評估5.3.1概述風險評估包括風險識別、風險分析和風險評價三個步驟。5.3.2風險識別風險識別是通過識別風險源、影響范圍、事件及其原因和潛在的后果等，生存一個全面的風險列表。識別風險不僅要考慮有關(guān)事件可能帶來的損失，也要考慮其中蘊含的機會

10、。進行風險識別時要掌握相關(guān)的和最新的信息，必要時，需包括適用的背景信息。除了識別可能發(fā)生的風險事件外，還要考慮其可能的原因和可能導(dǎo)致的后果，包括所有重要的原因和后果。不論風險事件的風險源是否在組織的控制之下，或其原因是否已知，都應(yīng)對其進行識別。此外，要關(guān)注已經(jīng)發(fā)生的風險事件，特別是新近發(fā)生的風險事件。識別風險需要所有相關(guān)人員的參與。組織所采取的風險識別工具和技術(shù)應(yīng)當適合于其目標、能力及其所處環(huán)境。5.3.3風險分析風險分析根據(jù)風險類型、獲得的信息和風險評估結(jié)果的使用目的，對識別出的風險進行定性和定量的分析，為風險評價和風險應(yīng)對提供支持。風險分析要考慮導(dǎo)致風險的原因和風險源、事件的正面和負面的后

11、果及其發(fā)生的可能性、影響后果和可能性的因素、不同風險及其風險源的相互關(guān)系以及風險的其他特性，還要考慮現(xiàn)有的管理措施及其效果和效率。在風險分析中，應(yīng)考慮組織的風險承受度及其對前提和假設(shè)的敏感性，并適時與決策者和其他利益相關(guān)者有效地溝通。另外，還要考慮可能存在的專家觀點中的分歧及數(shù)據(jù)和模型的局限性。根據(jù)風險分析的目的、獲得的信息數(shù)據(jù)和資源，風險分析可以是定性的、半定量的、定量的或以上方法的組合。一般情況下，首先采取定性分析，初步了解風險等級和揭示主要風險。適當時，進行更具體的定量的風險分析。后果和可能性可通過專家意見確定，或通過對事件或事件組合的結(jié)果建模確定，也可通過對實驗研究或可獲得的數(shù)據(jù)的推導(dǎo)

12、確定。對后果的描述可表達為有形或無形的影響，在某些情況下，可能需要多個指標來確切描述不同時間、地點、類別或情形的后果。5.3.4風險評價風險評價是將風險分析的結(jié)果與組織的風險準則比較，或者在各種風險的分析結(jié)果之間進行比較，確定風險等級，以及做出風險應(yīng)對的決策。如果風險是新識別的風險，則應(yīng)當制定相應(yīng)的風險準則，以便評價該風險。風險評價的結(jié)果應(yīng)滿足風險應(yīng)對的需要，否則，應(yīng)作進一步分析。有時，根據(jù)已經(jīng)制定的風險準則，風險評價使組織做出維持現(xiàn)有的風險應(yīng)對措施，不采取其他新的措施的決定。5.4風險應(yīng)對5.4.1概述風險應(yīng)對是選擇并執(zhí)行一種或多種改變風險的措施，包括改變風險事件發(fā)生的可能性或后果的措施。風

13、險應(yīng)對決策應(yīng)當考慮各種環(huán)境信息，包括內(nèi)部和外部利益相關(guān)者的風險承受度，以及法律、法規(guī)和其他方面的要求等。風險應(yīng)對措施的制訂和評估可能是一個遞進的過程。對于風險應(yīng)對措施，應(yīng)評估其剩余風險是否可以承受。如果剩余風險不可承受，應(yīng)調(diào)整或制定新的風險應(yīng)對措施，并評估新的風險應(yīng)對措施的效果，直到剩余風險可能承受。執(zhí)行風險應(yīng)對措施會引起組織風險的改變，需要跟蹤、監(jiān)督風險應(yīng)對的效果和組織的有關(guān)環(huán)境信息，并對變化的風險進行評估，必要時重新制定風險應(yīng)對措施?？赡艿娘L險應(yīng)對措施之間不一定相互排斥。一個風險應(yīng)對措施也不一定在所有條件下都適合。風險應(yīng)對措施可包括下列各項：決定停止或退出可能導(dǎo)致風險的活動以規(guī)避風險；增加

14、風險或承擔新的風險以尋求機會；消除具有負面影響的風險源；改變風險事件發(fā)生的可能性的大小及其分布的性質(zhì)；改變風險事件發(fā)生的可能后果；轉(zhuǎn)移風險；分擔風險；保留風險等。5.4.2風險應(yīng)對措施選擇適當?shù)娘L險應(yīng)對措施時需考慮很多方面，比如：法律、法規(guī)、社會責任和環(huán)境保護等方面的要求；風險應(yīng)對措施的實施成本與收益（有些風險可能需要組織考慮采取經(jīng)濟上看起來不合理的風險應(yīng)對決策，例如可能帶來嚴重的負面后果但發(fā)生可能性低的風險事件）；選擇幾種應(yīng)對措施，將其單獨或組合使用；利益相關(guān)者的訴求和價值觀，對風險的認知和承受度以及對某一些風險應(yīng)對措施的偏好。風險應(yīng)對措施的實施過程中可能會失靈或無效。因此，要把監(jiān)督作為風險

15、應(yīng)對措施的實施計劃的有機組成部分，以保證應(yīng)對措施持續(xù)有效。風險應(yīng)對措施可能引起次生風險，對次生風險也需要評估、應(yīng)對、監(jiān)督和檢查。在原有的風險應(yīng)對計劃中要加入這些次生風險的內(nèi)容，而不應(yīng)將其作為新風險而獨立對待。為此需要識別并檢查原有風險與次生風險之間的聯(lián)系。當風險應(yīng)對措施影響到組織內(nèi)部其他領(lǐng)域的風險或影響到其他利益相關(guān)者時，要評估這些影響，并與有關(guān)利益相關(guān)者溝通，必要時調(diào)整風險應(yīng)對措施。決策者和其他利益相關(guān)者應(yīng)當清楚在采取風險應(yīng)對措施后的剩余風險的性質(zhì)和程度。5.4.3制定風險應(yīng)對計劃在選擇了風險應(yīng)對措施之后，需要制定相應(yīng)的風險應(yīng)對計劃。風險應(yīng)對計劃中應(yīng)當包括以下信息：預(yù)期的收益；績效指標及其考

16、核方法；風險管理責任人及實施風險應(yīng)對措施的人員安排；風險應(yīng)對措施涉及的具體業(yè)務(wù)和管理活動；選擇多種可能的風險應(yīng)對措施時，實施風險應(yīng)對措施的優(yōu)先次序；報告和監(jiān)督、檢查的要求；與適當?shù)睦嫦嚓P(guān)者的溝通安排；資源需要，包括應(yīng)急機制的資源需求；執(zhí)行時間等；風險應(yīng)對計劃要與組織的管理過程整合。5.5監(jiān)督和檢查組織應(yīng)明確界定監(jiān)督和檢查的責任。監(jiān)督和檢查可能包括：監(jiān)測事件，分析變化及其趨勢并從中吸取教訓(xùn)；發(fā)現(xiàn)內(nèi)部和外部環(huán)境信息的變化，包括風險本身的變化，可能導(dǎo)致的風險應(yīng)對措施及其實施優(yōu)先次序的改變；監(jiān)督并記錄風險應(yīng)對措施實施后的剩余風險，以便在適當時做進一步處理；適用時，對照風險應(yīng)對計劃，檢查工作進度與計劃

17、的偏差，保證風險應(yīng)對措施的設(shè)計和執(zhí)行有效；報告關(guān)于風險、風險應(yīng)對計劃的進度和風險管理方針的遵循情況；實施風險管理績效評估。風險管理績效評估應(yīng)被納入到組織的績效管理以及組織對內(nèi)、對外的報告體系之中。監(jiān)督和檢查活動包括常規(guī)檢查、監(jiān)控已知的風險、定期或不定期檢查。定期或不定期檢查都應(yīng)被列入風險應(yīng)對計劃。適當時，監(jiān)督和檢查的結(jié)果應(yīng)當有記錄并對內(nèi)或?qū)ν鈭蟾妗?.6溝通和記錄5.6.1溝通組織在風險管理過程的每一個階段都應(yīng)當與內(nèi)部和外部利益相關(guān)者有效溝通，以保證實施風險管理的責任人和利益相關(guān)者能夠理解組織風險管理決策的依據(jù)，以及需要采取某些行動的原因。由于利益相關(guān)者的價值觀、訴求、假設(shè)、認知和關(guān)注點不同，

18、其風險偏好也不同，并可能對決策有重要影響。因此，組織在決策過程中應(yīng)當與利益相關(guān)者進行充分溝通，識別并記錄利益相關(guān)者的風險偏好。5.6.2記錄在風險管理過程中，記錄是實施和改進整個風險管理過程的基礎(chǔ)。建立記錄應(yīng)當考慮以下方面：出于管理的目的而重復(fù)使用信息的需要；進一步分析風險和調(diào)整風險應(yīng)對措施的需要；風險管理活動的可追溯要求；溝通的需要；法律、法規(guī)和操作上對記錄的需要；組織本身持續(xù)學(xué)習(xí)的需要；建立和維護記錄所需的成本和工作量；獲取信息的方法、讀取信息的容易程度和儲存媒介；記錄保留期限；信息的敏感性。6 風險管理的實施6.1概述組織實施風險管理過程（見第5章）需要一個風險管理體系，包括相關(guān)方針、組

19、織結(jié)構(gòu)、工作程序、資源配置、信息溝通機制以及相關(guān)的技術(shù)手段等基礎(chǔ)設(shè)施，以便將風險管理嵌入到組織的各個層次和活動之中。通過在組織的不同層次和特定環(huán)境內(nèi)實施風險管理過程，風險管理體系幫助組織有效地管理風險。組織的風險管理體系可能由在各層次和特定環(huán)境內(nèi)實施風險管理過程的子體系構(gòu)成，如內(nèi)部控制體系等。風險管理體系應(yīng)當保證風險管理過程中的風險信息的充分溝通，并且在相關(guān)的組織層次范圍內(nèi)作為決策和問責的依據(jù)使用。組織要在檢查的基礎(chǔ)上，做出如何改進風險管理體系、方針和風險應(yīng)對計劃的決策，從而引導(dǎo)組織的風險管理和風險管理文化的改進。風險管理體系的要素主要包括：風險管理方針；適當?shù)闹贫群统绦颍癸L險管理嵌入到組織的所有活動和過程中；與組織結(jié)構(gòu)相關(guān)的職責，以及有關(guān)的與組織的績效指標一致的風險管理績效指標；資源分配；與所有利益相關(guān)者溝通風險管理的機制；技術(shù)手段、方法、工具等。6.2風險管理方針風險管理方針應(yīng)明確下列事項：組織的風險管理理念；組織的最高管理者對風險管理的承諾；組織的風險管理目標；組織的風險偏好；風險管理方針與組織的目標及其他方針之間的關(guān)系；風險管理的職責分配； 管理風險的程序和方法；風險管理的資源配置；測量和報告風險管理績效的方式；建立風險管理體系的計劃；持續(xù)改進的承諾。6.3風險管理工作程序組織應(yīng)當設(shè)計適當?shù)闹贫群托袨橐?guī)范，建立風險管理工作程序，特別是整個組織層面的風險管