全面风险管理系统篇精选ppt

企业风险管理经验分享 风险管理体系 企业全面风险管理系统篇 2 内容提要 第一章风险管理概述第二章术语和定义第三章风险管理原则第四章风险管理框架第五章风险管理过程 2 3 风险管理概述 第一章 4 内容提要 一 风险与风险管理二 风险管理的起源和发展三 我国的风险管理四 风险管理标准五 实施风险管理的目的和意义六 风险管理在认证领域中的应用 5 一 风险与风险管理 所有类型和规模的组织都面临内部和外部的 使组织不能确定是否及何时实现其目标的因素和影响 这种不确定性所具有的对组织目标的影响就是 风险 6 一 风险与风险管理 风险管理是针对风险指挥和控制组织的协调活动 组织的所有活动都涉及风险 组织通过识别 分析和评定是否运用风险处理修正风险以满足它们的风险准则 来管理风险 通过这个过程 它们与利益相关方进行沟通和协商 监测和评审风险 以及为确保不再进一步需求风险处理而修正风险的控制措施 6 7 20世纪30年代在美国开始萌芽受当时世界性经济危机的影响 美国经济大萧条 约有40 左右的银行和企业破产 为应对经营上的危机 美国许多大中型企业都在内部设立了保险管理部门 负责安排企业的各种保险项目 保险成为当时企业处理风险的主要方法 20世纪50年代 风险管理在美国以学科的形式发展 并逐步形成了独立的理论体系 1970年代以后逐渐掀起了全球性的风险管理运动 美国一些大公司的重大损失使公司高层决策者开始认识到风险管理的重要性 二 风险管理的起源和发展 8 20世纪90年代开始随着国际资产证券化 债券的风险进一步扩大 使风险管理更迅速地在国际推行 欧美等国家先后建立起全国性和地区性的风险管理协会 针对安然 世通等财务欺诈事件 美国国会出台了著名的 2002年萨班斯 奥克斯利法案 来规范上市公司的行为1983年美国风险和保险管理协会年会上 通过了 101条风险管理准则 标志着风险管理发展进入了一个新阶段欧洲11个国家成立了 欧洲风险管理委员会 美国多家专业团体成立了 反虚假财务报告委员会 和著名的专门研究内部控制的委员会 COSO委员会 COSO著名报告 内部控制 整体框架 1992 和 COSO ERM企业风险管理框架 2004 是风险管理的重要文献 二 风险管理的起源和发展 9 全面企业风险管理框架风险管理正在从传统的 点对点 式的管理走向全面的 一体化的管理 国际较知名的国际会计准则委员会 IASC 巴塞尔银行监管委员会 BASEL 美国的COSO委员会研究 发展了一整套完整的全面企业风险管理框架 COSO全面风险管理 ERM 框架的定义 企业风险管理是一个过程 它由一个主体的董事会 管理当局和其他人员实施 应用于战略制定并贯穿于企业之中 旨在识别可能会影响主体的潜在事项 管理风险以使其在该主体的风险容量之内 并为主体目标的实现提供合理的保证 9 二 风险管理的起源和发展 10 三 我国的风险管理 在我国 风险管理理论的发展及应用相对滞后 企业在风险管理上存在诸多问题 缺乏风险意识和策略 管理被动 缺乏风险管理技术 专业人才和资金 战略上急于求成 应对变化能力不强 导致个别企业不能有效应对重大风险事件 在发展中承担了过多自身不可承受风险 国家对风险管理日益重视 2006年国务院国有资产监督管理委员会发布了 中央企业全面风险管理指引 对中央企业如何开展全面风险管理提出了明确要求 指导范围并不仅限于央企 对公司也同样具有普遍指导意义 指引 的出台标志着我国有了自己的全面风险管理指导性文件 我国企业正向管理的更高阶段 全面风险管理迈进 11 国际大环境 促进了风险管理的标准化和国际化2004年澳洲和新西兰联合推出AZ NZS4360风险管理标准 是第一个国家级的风险管理标准 并为国际标准的出台奠定了基础风险管理的国际标准ISO31000为业界广为关注 ISO历时四年 从CD到DIS再到FDIS稿 不断完善标准 于2009年11月13日正式发布了 ISO31000 2009风管理原则和指南 该标准明确了风险管理的原则和指南为深入开展风险管理工作提供了理论基础2002年 我国已经依据ISO31000标准的DIS稿 颁布了国家标准 GB T24353风险管理原则与实施指南 四 风险管理标准 12 ISO的相关标准和指南 ISOGUIDE73风险管理词汇 ISO31000风险管理原则和指南 IEC ISO31010风险管理风险评估技术 12 13 ISOGUIDE73 2009风险管理词汇 与风险有关的术语 1 与风险管理有关的术语 4 与风险管理过程有关的术语 45 13 ISOGUIDE73 14 ISO31000 2009 ISO310002009风险管理原则和指南 1范围2术语和定义 29 3风险管理原则 11 4风险管理框架5风险管理过程 14 15 15 ISO31000 2009风险管理原则 框架和过程关系图 15 16 ISO31000 2009 ISO31000 2009风险管理原则和指南 Riskmanagement Principlesandguideline 提供了风险管理的原则和通用性指南 尽管所有的组织在某种程度上都在管理风险 ISO31000建立了一些为使风险管理变得有效而需要满足的原则 ISO31000建议 组织制定 实施和持续改进一个框架 其目的是将风险管理过程整合到组织的整体治理 战略和规划 管理 报告过程 方针 价值观和文化中 16 17 ISO31000 2009 ISO31000 2009提供了在任何范围和状况下 以系统的 清晰可靠的方式管理风险的原则和通用指南 尽管所有的组织在某种程度上都在管理风险 ISO31000建立了一些为使风险管理变得有效而需要满足的原则 ISO31000建议 组织制定 实施和持续改进一个框架 其目的是将风险管理过程整合到组织的整体治理 战略和规划 管理 报告过程 方针 价值观和文化中 风险管理的每一个特定领域或应用都具有各自的需求 受众 观念和准则 因此 ISO31000的主要特点是在通用的风险管理过程中将 明确环境 作为初始活动 明确环境 将捕获组织的目标 组织所追求目标的环境 组织的利益相关方和风险准则的多样性 所有这些都将帮助揭示和评价风险的性质和复杂性 18 ISO31010 2009 IECISO310102009风险管理风险评估技术 1范围2规范性引用文件3术语和定义4风险评估的相关概念 5风险评估过程 6风险评估技术的选择附录A风险评估技术的比较附录B风险评估技术 18 19 国家标准 GB T23694 GB T236942009风险管理术语 idt ISOGUIDE732002 1基础术语 8 2受风险影响的组织及个人的相关术语 4 3与风险评估的相关术语 6 4与风险处理和风险控制相关的术语 11 19 20 国家标准 GB T24353 风险管理过程 20 21 国家标准 GB T24353 GB T243532009风险管理原则与实施指南 1范围2规范性引用文件3术语和定义 GB T23694 4风险管理原则 8 5风险管理过程6风险管理的实施 21 22 风险管理的目的 通过具有前瞻性的 充分地考虑各类风险的不确定性及其对目标的影响 制定行之有效的应对措施 为组织在运营和决策中有效应对各类突发事件和风险提供支持和保障 以使组织能有效的配置资源 优化过程 及时 恰当 有效地应对风险 提高风险应对的效率和效果 更好地实现组织的目标 五 实施风险管理的目的 23 风险管理的意义 1 提高实现目标的可能性 2 鼓励主动性管理 3 在整个组织意识到识别和处理风险的需求 4 改进对机会和威胁的识别 5 遵守相关的法律法规要求及国际规范 6 改进强制性和自愿性报告7 改善治理8 提高利益相关者的信心和信任 五 实施风险管理的意义 24 9 为决策和规划建立可靠的根基 10 加强控制11 有效地分配和使用风险处理资源 12 提高运作的效果和效率13 加强健康和安全绩效 以及环境保护14 改善损失预防和事件管理 15 减少损失 16 提高组织的学习能力 17 增强组织的应变能力 五 实施风险管理的意义 25 六 风险管理在认证领域中的应用 ISO31000中所描述的通用方法提供了在任何范围和背景下 以系统 清晰 可靠的方式管理风险的原则和指南 作为管理方法论 其原则和指南可以应用到认证的各个领域OHSAS18000标准包含了风险管理在职业健康安全专业领域的应用 ISO22000标准包含了风险管理在食品安全专业领域的应用 也适用于EMS和QMS中 25 26 术语和定义 26 第二章 26 27 不确定性对目标的影响注1 影响是与期待的偏差 积极和 或消极注2 目标可以有不同方面 如财务 健康安全 以及环境目标 可以体现在不同的层次 如战略 组织范围 项目 产品和过程 注3 风险通常以潜在事件和后果 或它们的组合来描述 注4 风险通常以事件 包括环境的变化 后果和发生可能性的组合来表达 注5 不确定性是指 对事件 其后果或可能性的认识或了解方面的信息的缺乏或不完整的状态 27 1 风险risk 27 28 2 后果consequence某一事件的结果 注1 某一事件可能会产生不止一种的后果 注2 后果可以是正面的负面的 然而 从安全方面来看 后果往往都是负面的 注3 后果可以定性或定量表述 3 可能性 某一事发生的机会 28 29 4 概率probability某一事件发生的可能程度 注1 GB T3358 1 1993给出了一个关于 概率 的数学定义 度量某一随机事件发生可能性大小的实数 其值介于0与1之间 它可以用来指在一段相当长的时间内 某一事件将要发生的频率 或者这一事件发生的可信程度 对于高可信度来说 概率接近 1 注2 在描述风险时 常用 频率 一词而不是用 概率 一词 注3 有关可能性的程度可以用不同的等级来表示 极不可能 不大可能 可能 很可能 几乎确定 或者 难以置信 不可能 可能性极小 偶尔 有可能 经常 29 30 5 事件event特定情况的发生 注1 事件可能是确定的 也可能是不确定的 注2 事件可能是单一的 也可能是系列的 注3 对于给定时间内事件发生的概率可以估算出来确定的事件 是预知的 而不确定的事件 是没有预知的 但也是有可能发生的 事件可能是明显的 也可能是模糊的 其影响可能是正面的 也可能是负面的 30 31 指导和控制某一组织与风险相关问题的协调活动 31 6 风险管理riskmanagement 31 32 提供在组织内设计 实施 监测 评审和持续改进风险管理的基础和组织安排的要素集合 注1 基础包括管理风险的方针 目标 指令和承诺注2 组织安排包括计划 关系 责任 资源 过程和活动 注3 风险管理框架被嵌入到组织的整个战略和运营的方针和实践中 32 7 风险管理框架riskmanagementframework 32 33 ISO31000 2009标准给出的风险管理框架 34 内部环境 信息沟通 监测 控制活动 风险应对 风险评估 事项识别 目标设定 战略 经营 报告 合规 公司层面 科室 业务单位 子公司 COSO全面风险管理框架 三维图 风险管理的目标有四个 报告类目标 经营类目标 遵循性目标以及战略目标 风险管理的组成要素有八个 内部环境 目的设定 事件识别 风险评估 风险对策 控制活动 信息与沟通和监控 35 8 风险管理方针riskmanagementpolicy一个组织对风险管理的意图和方向的陈述 35 35 36 9 风险管理计划riskmanagementplan在风险管理框架内规定用于风险管理的方法 管理要素 资源的方案 注1 管理要素一般包括程序 惯例 职责分配 活动顺序和时间安排 注2 风险管理计划可应用于特定的产品 过程和项目 组织的部分或整体 36 36 37 管理方针 程序和惯例对沟通 协商 明确环境 以及识别 分析 评价 处理 监测和评审风险活动的系统应用 37 37 10 风险管理过程riskmanagementprocess 38 组织针对风险管理 提供 共享或获取信息 与利益相关者进行对话的持续和反复的过程 注1 信息涉及风险管理的存在 性质 形式 可能性 严重程度 评定 可接受性 处理 注2 协商是组织与它的利益相关方 在做出决策或确定某一问题的方向前 针对问题双向有事实依据的沟通的过程 协商是 通过影响力而非权力对决策施加影响 作为决策的输入 而非加入决策 38 11 沟通和协商communicationandconsultation 38 39 可以影响风险 受到风险影响或自认为会受到风险影响的任何个人 团体或组织 注1 决策者也是利益相关者之一 注2 术语 利益相关者 包括GB T19000 2008中定义的 相关方 39 12 利益相关者stakeholder 39 40 组织的利益相关者可以包括1 组织的决策者 2 组织内部负责制定风险管理政策的人员 3 组织或活动中实施风险管理的人员 4 需要对组织的风险管理实践进行评估的人员 5 组织中负责制定风险管理标准 指南 程序 应用准则的人员 6 股东 董事会 高级管理人员 员工 债权人 供应商 顾客 银行 监管机构 合作伙伴等 见GB T24353 2009前言部分 40 40 41 13 风险感知riskperception利益相关者根据其价值观或利害关系看待风险的方式 注1 风险感知取决于利益相关者的需要 关注点及知识 注2 风险感知可能不同于客观数据 风险感知反映利益相关者的需求 问题 知识 信念和价值 利益相关者的需要及关注的问题不同 因而风险感知会有所不同 风险感知会存在一定的主观判断 因而可能与客观数据有不同 41 42 界定外部和内部参数 以便在管理风险和设置风险管理方针的范围及风险准则时 予以考虑 42 14 明确环境establishingthecontext 42 43 评价风险严重性 度 的依据 注 风险准则包括相关的成本及收益 法律法规要求 社会及环境因素 利益相关者的态度 优先次序和在评估过程中的其他要素 风险准则是组织用于评价风险重要度的标准 因此 风险准则需体现组织的风险承受度 并反映组织的价值观 目标和资源 风险评价准则会涉及到各个方面 如成本收益 法律法规 利益相关者态度等 风险准则也会直接或间接反映法律法规要求或其他需要组织遵循的要求 准则也是使组织对接受风险做出决定的依据 43 15 风险准则riskcriteria 43 44 包括风险识别 风险分析和风险评价在内的全部过程 44 16 风险评估riskassessment 44 45 发现 列举和描述风险要素的过程 45 17 风险识别riskidentification 45 46 风险的结构化描述通常包含四要素 来源 事件 因素和结果 18 风险描述riskdescription 46 47 导致风险的单独或组合的内在可能性的因素注 风险源可能是有形的或者是无形的 19 风险源 来源 risksource 47 48 具有风险管理权限和责任的个人或实体 20 风险所有者riskowner 48 49 理解风险的性质和确定风险程度的过程 注1 风险分析为风险评价和风险处理决策提供了基础 注2 风险分析包括风险估测 49 21 风险分析riskanalysis 49 50 将风险分析的结果与风险准则进行比较 以确定风险和 或 其量是否可接受或可容许 注 风险评定有助于有关风险处理的决策 50 22 风险评价riskevaluation 50 51 一个组织愿意追求或保留风险的数量和类型 GB T24353 20095 6 1中提到这一词汇COSO 指出 风险偏好是企业追求目标中愿意接受风险的程度指导企业的资源配置 51 23 风险偏好riskappetite 51 52 接受某一风险的决定 注 风险承受取决于风险准则 任何规模和类型的组织都面临风险 组织的所有活动都涉及风险 只是组织应通过确定风险准则 来决定对某一风险是否接受 组织的价值取向和能力不同 因而是否能接受某一风险会有不同的决定 这些决定会依据风险准则的要求 52 24 风险承受riskacceptance 52 53 注1 风险处理可包括 通过决定不启动或停止产生风险的活动而避免风险 为了追求机会采取或增加风险 消除风险源 改变可能性 改变后果 与其他方面共同分担风险 包括合同 风险融资 通过有事实依据的决策保留风险 修正风险的过程 53 25 风险处理risktreatment 53 54 注2 对消极后果的风险处理有时可以称为 风险减缓 riskmitigation 风险消除 riskeliminate 风险预防 riskprevention 和 风险减小 riskreduction 注3 风险处理可以产生新的风险或修正已存在的风险 54 54 25 风险处理risktreatment 55 决定不陷入风险 或者从风险状态中撤离的行为 注 这个决定可能是以风险评价结果为依据的 在风险评价之后 风险管理者会发现某些风险发生损失的可能性很大 或者一旦发生且损失的程度非常严重时 可以采取主动放弃原来承担风险或完全拒绝承担该风险的实施行动 就是对风险的规避 风险规避是一种主动的行为 但放弃风险同时也意味着收益的丧失 55 26 风险规避risktransfer 55 56 为实现风险处理及其他相关活动的费用提供资金的活动 注 在某些行业中 风险融资特指对风险造成的财务后果提供资金 组织在风险处理 风险规避 风险优化 风险转移 风险自留 过程中 需要支付一定的费用 以实现管理风险或补偿损失 因而会采用各种方式融通资金 融通资金是为风险管理对资金的筹措 也是风险的一种财务补偿机制 风险估计和风险评价是融资的主要数据依据 56 27 风险融资riskfinancing 56 57 接受某一特定风险带来的损失或收益 注1 风险自留包括接受那些没有得到识别的风险 注2 风险自留不包括运用保险或者其他方法进行的风险转移的处理 注3 对风险的接受程度和对风险准则的依赖程度可能会有变化 57 28 风险自留riskretention 57 58 不断检查 监督 严格观察或确定状态 以识别所要求或期待的绩效水平的变化 注 监测可应用于风险管理框架 风险管理过程 风险或控制措施 58 29 监测monitoring 58 59 为达到所建立的目标 确定有关事务的适宜性 充分性和有效性所采取的活动 注 评审可应用于风险管理框架 风险管理过程 风险或控制措施 59 30 评审review 59 60 风险管理原则 第三章 61 风险管理原则 框架和过程关系图 62 风险管理原则 原则一 风险管理创造并保护价值原则二 风险管理嵌入组织的管理过程原则三 风险管理支持决策过程原则四 明确风险管理涉及的不确定性原则五 风险管理是系统的 结构化的和及时的原则六 风险管理是基于最可用的信息 63 原则七 风险管理是定制的原则八 风险管理考虑人文因素原则九 风险管理是透明的和包容的原则十 风险管理是动态的 迭代的和适应变化的原则十一 风险管理有利于组织持续改进 风险管理原则 64 风险管理创造并保护价值 以控制损失 创造价值为目标的风险管理 有助于组织实现目标 取得具体可见的成绩和改善各方面的业绩 包括人员健康和安全 合规经营 信用程度 社会认可 环境保护 财务绩效 产品质量 项目管理 运行效率和公司治理等方面 风险管理原则一 64 65 这项原则的价值在于风险管理的目的就是为了创造并保护价值 控制损失 风险是客观存在的 任何组织都面临风险 组织的所有活动都涉及风险 风险会影响组织目标的实现 风险管理原则一 65 66 在组织的运营活动中 机遇和威胁并存 风险管理就是要趋利避害 创造价值 在某些特定领域 如金融业 从风险管理的角度出发 币值波动既能造成潜在损失 又是可能盈利的机会 因此风险管理过程越来越多地被认为是既要关注不确定因素带来的消极影响 又要关注这些不确定性因素的积极影响 风险管理原则一 66 67 风险管理嵌入组织的管理过程 风险管理不是独立于组织主要活动和各项管理过程的单独的活动 而是组织管理过程不可缺少的重要组织部分 包括战略规划 所有项目 变更管理过程 风险管理原则二 67 68 组织的管理是一个综合管理 风险管理是组织综合管理的一个组成部分 组织应把风险管理的各项要求融入企业管理和业务流程中 如 企业战略 规划 产品研发 投融资 市场运营 财务 内部审计 变更管理 法律事务 人力资源 采购 加工制造 销售 物流 质量 安全生产 环境保护等 风险管理原则二 68 69 COSO于2001年起开始进行企业风险管理研究 强调风险管理框架必须和内部控制框架相一致 把内部控制目标和要素整合到企业全面风险管理过程中 因此 全面风险管理 ERM 框架是对内部控制框架的扩展和延伸 它涵盖了内部控制 并且比内部控制更完整 有效 69 风险管理原则二 70 首先 该框架扩展了内部控制框架 强调风险管理与企业战略目标相协调 并最终融人企业文化之中 其次 该框架更强调风险管理贯穿于企业运行过程的各个方面 涉及到企业的治理 管理和操作等所有层级 扩展了单纯的内部控制职能 最后 引入了风险组合 风险和机会的区分 风险应对 风险偏好 风险容量等风险管理理论新的研究成果 70 风险管理原则二 71 风险管理支持决策过程 组织的所有决策都应考虑风险和风险管理 风险管理旨在将风险控制在组织可接受的范围内 有助于判断风险应当是否充分 有效 有助于决定行动的优先顺序并选择可行的行动方案 从而帮助决策者做出合理的决策 风险管理原则三 71 72 风险识别 风险分析和风险评价是为了认识 评价风险管理单位的风险状况 解决风险管理中的各种问题 制定管理风险的决策方案 风险管理支持决策过程 风险管理目标的确定 风险识别 风险衡量 风险评价和风险控制等 都是为了确定最终的风险管理方案 从这一角度来看 风险管理过程实际上是一个管理决策过程 风险管理原则三 72 73 明确风险管理涉及的不确定性 风险管理明确的考虑到不确定性及这种不确定性的性质 以及如何加以解决 风险管理原则四 73 74 风险是不确定的 否则 就不能称之为风险 风险的不确定性指 1 发生与否不确定 2 发生的时间不确定 3 发生的状况不确定 4 发生的后果严重性程度不确定风险管理就是要确定这些不确定性 做出对策 降低风险的影响 确保目标的实现 风险管理原则四 74 75 原则五 风险管理是系统的 结构化的和及时的 系统的 结构化的方法有助于风险管理效率的提升 并产生一致 可比 可靠的结果 风险管理原则 75 76 风险管理是一个过程 就符合过程管理的原则 组织的风险管理是由许多风险管理过程组成 在风险管理的过程中 要将多个风险管理过程按照一个统一的风险管理系统来管理 这样能够取得最优的效率和结果组织体系是风险管理的保障风险管理是及时的 有组织的 风险管理原则五 76 77 风险管理是基于最可用的信息 风险管理过程要以有效的信息为基础 这些信息可通过经验 反馈 观察 预测和专家判断等多种渠道获取 但使用时要考虑数据 模型和专家意见的局限性 风险管理原则六 77 78 风险管理过程是以信息为基础的 风险的各个过程要收集大量的信息 确保风险识别的充分性和风险决策的有效性 组织应该建立获取风险有效信息的渠道 可以通过各种渠道 包括经验 反馈 观察 预测 专家判断等获取有效 有用的信息 确保风险管理过程的充分性和有效性 在利用收集到的各种信息时 要考虑各种信息来源的局限性 确保信息对决策的有效支持 风险管理原则六 78 79 风险管理是定制的 风险管理与组织的内外部环境及风险环境是匹配的 风险管理原则七 79 80 风险管理与组织的内外部环境有关 风险管理与组织的行业 产品 经营模式 客户 竞争对象风险水平等相适应 组织的风险管理与组织所承担的风险有关 受组织的文化 地域 历史 信仰 人员等人文因素的影响不同的组织风险偏好不一样 风险标准不一样 风险管理的决策和风险实施就不一样 风险管理原则七 80 81 风险管理考虑人文因素风险管理意识是可以促进或阻碍组织目标的实现的内部和外部人的能量 观念和意图 风险管理原则八 81 82 组织应该在内部营造一种具有风险意识的企业文化 培育风险管理文化 树立正确的风险管理理念 增强员工风险管理意识 将风险管理意识转化为员工的共同认识和自觉行动 促进企业建立系统 规范 高效的风险管理机制 全体员工尤其是各级管理人员和业务操作人员应通过多种形式 努力传播企业风险管理文化 牢固树立风险无处不在 风险无时不在的意识 风险管理原则八 82 83 风险管理是透明的和包容的 利益相关方 尤其是组织各层面的决策者适当 及时的参与 确保了风险管理保持相关和先进性 参与过程也允许利益相关方适当地发表意见 并将其观点考虑到风险准则确定中 风险管理原则九 83 84 在组织的风险管理过程中 风险管理的决策者要参与分风险管理过程 要和风险管理过程的人员进行充分的沟通 要在风险管理的各个环节明确要求和准则 及时掌握风险动态 做出准确的决策 风险管理原则九 84 85 风险管理过程要进行充分的协商和沟通 确保各方的观点能采纳 确保各方的利益能保证 当组织在重大风险事件的风险决策过程中 各方尤其要充分沟通 确保决策的有限性和针对性 风险管理原则九 85 86 风险管理是动态的 迭代的和适应变化的 由于内部和外部事件的发生 环境和知识的改变 以及监视和评审的实施 有的风险会发生变化 一些新的风险可能会出现 另一些风险则可能会消失 组织应持续不断地对各种变化保持敏感并做出恰当反应 风险管理原则十 86 87 风险管理是适应环境变化的动态过程 其各步骤之间形成一个信息反馈的闭环 随着内部和外部事件的发生 组织环境和知识的改变以及监督和检查的执行 有些风险可能会发生变化 一些新的风险可能会出现 另一些风险可能消失 组织应持续不断地对各种变化保持敏感并做出恰当反应 组织通过绩效测量 检查和调整等手段 使风险管理得到持续改进 风险管理原则十 87 88 风险管理有利于组织持续改进 组织应制定和实施战略 以改善组织各个方面的风险管理水平 风险管理原则十一 88 89 风险管理过程是一个持续改进 动态更新的一个过程 风险管理要能够提高组织的风险管理意识 改进对机会和威胁的识别 有效配置资源 改善运营效果和效率 增强组织的生存和持续发展的能力第4章的框架为组织风险管理提供了持续改进的框架 风险管理原则十一 89 90 风险管理原则作用 90 91 风险管理框架 第四章 92 1 总则 风险管理框架的含义 2 风险管理的指令与承诺3 风险管理框架的设计4 风险管理的实施5 框架的监视与评审6 框架的持续改进 内容提要 92 93 通常意义上的理解边界 基础要素 结构的集合 1 1什么是 框架 framework 93 1 总则 94 1 2风险管理框架的含义提供在组织内设计 实施 监测 评审和持续改进风险管理的基础和组织安排的要素集合 1 总则 风险管理框架的含义 94 95 基础包括风险管理的 方针目标指令和承诺等 组织安排包括风险管理的 计划关系职责资源过程和活动 风险管理框架的含义 95 96 嵌入到组织整体的战略以及运营方针和实践之中嵌入 非孤立存在 成为运行对象的一部分 整合高度成熟的一种状态 风险管理框架的含义 96 组织的运营过程 97 风险管理框架自身并不构成一个单独的 风险管理体系 框架追求的结果是将风险管理嵌入到组织整体的管理体系之中 更为有效的方式是在组织现有的体系过程中 整合应用框架内的风险管理要素 风险管理框架 97 98 1 3 框架 在风险管理中的角色 98 99 1 4框架各要素及其关系 PDCA 100 2 1概述管理层的行为组织 权力 方面的保证目的在于支持 在组织内部引入风险管理保持风险管理的持续有效性 2 指令与承诺 100 101 风险管理方针的制定 统一方向 协调性的保证风险管理方针VS组织文化风险管理绩效指标VS组织的其他指标风险管理目标VS组织的其他目标和战略 2 指令与承诺2 2主要内容 101 102 2 2主要内容合规性职责权限的分配资源的配置对风险管理收益的沟通框架适宜性的保持 2 指令与承诺 102 103 基础 对组织内外部环境 状况 的评价和理解设计的内容涉及 风险管理方针责任与组织过程的融合资源内外部沟通与报告机制 3 风险管理框架的设计 103 104 外部环境国际 国内 区域和当地的社会和文化 政治 法律 法规 财务 技术 经济 自然和竞争环境 客观存在 对组织目标实现产生关键影响的驱动因素和趋势 与组织的目标相关联 与外部利益相关方的关系以及观念和价值观 与组织的外部利益相关方有关 3 1组织的内外部环境 状况 104 3 风险管理框架设计 105 公司治理 组织结构 角色和职责 计划实现的方针 目标和战略 能力 从资源和知识的角度 例如 资本 时间 人员 过程系统和技术 信息系统 信息流和决策过程 正式和非正式的 与内部利益相关方的关系 他们的观念和价值观 组织的文化 组织所采用的标准 指南和业务模式 合同关系的形式和范围 内部环境 105 3 1组织的内外部环境 状况 106 风险管理方针 组织对风险管理的意图和方向的陈述建立方针是管理层的职责风险管理方针应清晰表述的内容 风险管理的目标组织对风险管理的承诺方针应得到沟通 3 2建立风险管理方针 106 3 风险管理框架设计 107 风险管理方针应指明的典型内容 组织管理风险的基本原理 组织目标 方针与风险管理方针的联系 管理风险的责任和职责 处理利益相关方冲突的方式 为管理风险提供所需资源的承诺 风险管理绩效测量和报告的方法 对风险管理方针和框架周期性的评审和改进以及对环境中的事件或变革进行应对的承诺 3 2风险管理方针 107 3 风险管理框架设计 108 涵盖的范围 职责 权限和能力需要明确定义职责 权限和能力的领域实施和保持风险管理过程 为确保控制的充分性 有效性和效率所需的活动 3 3风险管理的责任 108 3 风险管理框架设计 109 确定的主要方式 识别风险所有者 识别对风险管理框架负有建立 实施和保持职责的人员 识别组织所有层次在风险管理过程方面的其他职责建立绩效测量过程以及外部和或内部报告和分发过确保适宜的认可程度 3 3风险管理的责任 109 3 风险管理框架设计 110 基本的方法论 风险管理过程应是组织过程中的一部分 风险管理应融入方针建立 业务和战略策划和评审以及变革管理过程 融合的要求 以紧密相关的 有效的 有效率的方式将风险管理嵌入至组织所有的实践和过程融合的载体 风险管理计划 3 4风险管理与组织过程的融合 110 3 风险管理框架设计 111 组织应为风险管理配置适宜的资源应考虑以下方面的内容 人员 技能 经验和能力 风险管理过程步骤所需的资源 组织应用于风险管理的过程 方法和工具 文件化的过程和程序 信息和知识管理系统 培训方案 3 5风险管理的资源 111 3 风险管理框架设计 112 目的 支持和鼓励风险的职责和责任归属 确保 风险管理框架的关键组成部分以及任何后续的修改得到适宜的沟通 存在充分的关于框架的 有效性和输出的内部报告 来自于风险管理应用所获得的相关信息在适宜的层次和频次上可获得 存在与内部利益相关方协商的过程 对多来源信息的统一对信息敏感性的考虑 3 6内部沟通和报告机制 112 3 风险管理框架设计 113 沟通与报告的对象 外部利益相关方机制的载体 沟通计划计划的内容 使适宜的利益相关方参与并确保有效地沟通信息 法律 法规和政府要求遵守情况的对外通告 为沟通和协商提供反馈和报告 利用沟通以使组织内建立信任 当危机或意外事故发生时与利益相关方进行沟通对多来源信息的统一对信息敏感性的考虑 3 7建立外部沟通和报告机制 113 3 风险管理框架设计 114 定义合适的实施该框架的时间表和策略 为组织的过程应用风险管理方针和过程 符合法律和法规要求 确保决策 包括建立和设定目标等与风险管理过程的输出相协调 保持信息和培训机制并与利益相关方沟通和协商以确保其风险管理框架保持适宜 4 1框架的实施 114 4 风险管理的实施 115 115 4 风险管理的实施 116 4 2风险管理过程的实施 风险管理的实施 116 117 目的 持续有效地支持组织绩效手段 与指标进行比照评价风险管理计划的实施情况基于内外部环境的变化 对框架 方针和计划的持续适宜性进行评审风险报告 方针得到遵循的程度风险管理框架的有效性频次 周期性的 4 3框架的监视与评审 监督与检查 117 118 改进的输入 监视和评审的结果改进的领域 改进风险管理的框架 方针和计划 改进的输出 组织风险管理和其风险管理文化的改进 4 4框架的持续改进 118 119 风险管理过程 第五章 120 内容提要 1 概述 总则 2 沟通和协商3 明确环境4 风险评估5 风险处理6 监测和评审7 记录风险管理过程 120 121 风险管理过程riskmanagementprocess管理方针 程序和惯例对沟通 协商 明确环境 以及识别 分析 评价 处理 监测和评审风险活动的系统应用 1 概述 121 122 122 风险管理原则 框架和过程关系图 123 风险管理过程的组成 风险管理过程是组织管理的有机组成部分 嵌入在组织文化和实践当中 贯穿于组织的经营过程 风险管理过程由明确环境信息 风险评估 风险处理 监测和评审所描述的活动组成 风险评估包括风险识别 风险分析和风险评价等三个步骤 沟通和记录 应贯穿于风险管理过程 123 1 概述 124 1 概述 风险管理过程组成 124 125 2 1与利益相关者沟通和协商沟通和协商communicationandconsultation组织针对风险管理 提供 共享或获取信息 与利益相关方进行对话的持续和反复的过程 在风险管理过程的每一个阶段都应当与内部和外部利益相关者有效沟通和协商 沟通和协商计划宜在早期制定 该计划针对与风险本身 风险成因 风险后果 如果掌握 以及处理风险措施相关的问题 为确保实施风险管理过程的职责明确 以及利益相关者理解决策的基础和特定措施需求的原因 采取有效的外部和内部沟通和协商 2 沟通和协商 125 126 与利益相关者的沟通协商是重要的 由于他们基于对风险的感知 做出了对风险的判断 这些感知可以由于利益相关者的价值观 需求 臆断 概念和关注点的不同而变化 由于利益相关者的观点会对决策产生重大影响 因此他们的感知以被识别 记录 以及在决策过程中考虑 沟通和协商宜提供真实的 相关的 准确的 便于理解的交流信息 同时宜考虑到保密和个人诚实因素 2 1与利益相关者沟通和协商 126 127 2 2协商团队方法适当地帮助明确环境 确保利益相关者的利益被理解和考虑 帮助确保风险充分地被识别 将不同领域的专业知识一并用于分析风险 确保在界定风险准则和评定风险时 不同的观点被恰当地考虑 确保认同和支持风险处理 应对 计划 加强在风险管理过程中的变更管理 制定一个恰当的内部和外部沟通和协商计划 2 沟通和协商 127 128 3 1 总则通过明确环境 组织明确其目标 界定风险管理应该考虑的外部和内部参数 并设置风险管理过程的范围和风险准则 尽管许多此类参数与风险管理框架设计时所考虑的参数类似 但在明确风险管理过程的状况时 这些参数需要细致地 特别是与特定风险管理过程联系起来考虑 3 明确环境 128 129 3 2明确外部环境外部环境是组织在实现目标过程中所面临的外界环境的历史 现在和未来的各种相关信息 为保证在制定风险准则时能充分考虑外部利益相关者的目标和关注点 组织需要了解外部环境 外部环境以组织所处的整体环境为基础 包括法律和监管要求 利益相关者的诉求和与具体风险管理过程相关的其他方面的信息等 3 明确环境 129 130 外部环境信息包括但不限于 国际 国内 地区及当地的政治 经济 文化 法律 法规 技术 金融以及自然环境和竞争环境 影响组织目标实现的外部关键因素及其历史和变化趋势 外部利益相关者及其诉求 价值观 风险承受度 外部利益相关者与组织的关系等 3 2明确外部环境 130 131 3 3明确内部环境内部环境是组织在实现目标过程中所面临的内在环境的历史 现在和未来的各种相关信息 风险管理过程要与组织的文化 经营过程和结构相适应 包括组织内影响其风险管理的任何事物 3 明确环境 131 132 组织需明确内部环境信息 因为 风险可能会影响组织战略 日常经营或项目运营等各个方面 从而进一步会影响组织的价值 信用和承诺等 风险管理在组织的特定目标和管理条件下进行 具体活动的目标和有关准则应放到组织整体目标的环境中考虑 3 3明确内部环境 132 133 理解内部环境是必要的 可包括 但不仅限于 治理 组织结构 作用和责任 方针 目标 为实现方针和目标制定的战略 基于资源和知识理解的能力 如 资金 时间 人员 过程 系统和技术 与内部利益相关方的关系 内部利益相关者的观点和价值观 组织的文化 信息系统 信息流和决策过程 组织所采用的标准 指南和模式 合同关系的形式与范围 3 明确环境 133 134 3 4明确风险管理过程状况确立组织活动的目标 策略 范围和参数 或风险管理过程应用到的组织的那些部分 风险管理宜充分考虑满足开展风险管理的资源需求 所需的资源 职责 权限和要保存的记录也宜予以规定 3 明确环境 134 135 风险管理过程的状况根据组织需求而变化 可以包括 但不仅限于 确定风险管理活动的目标 确定风险管理过程的职责 确定所要开展的风险管理活动的范围以及深度 广度 包括具体的内涵和外延 以时间和地点 界定活动 过程 职能 项目 产品 服务或资产 界定组织特定项目 过程或活动与其他项目 过程或活动之间的关系 3 4明确风险管理过程状况 135 136 确定风险评估的方法 确定评价风险管理的绩效和有效性的方法 识别和规定所必须要做出的决策 确定所需的范围或框架性研究 它们的程度和目标 以及此种研究所需资源 对这些和其他相关因素的关注 有助于确保所采用的风险管理方法适合于环境 组织 以及影响目标实现的风险 3 4明确风险管理过程状况 136 137 3 5确定风险准则 1 风险准则riskcriteria评价风险重要程度的依据 风险准则需体现组织的风险承受度 应反映组织的价值观 目标和资源 有些风险准则直接或间接反映了法律和法规要求或其他需要组织遵循的要求 风险准则应当与组织的风险管理方针一致 具体的风险准则应尽可能在风险管理过程开始时制定 并持续不断地检查和完善 3 明确环境 137 138 2 确定风险准则时要考虑因素 可能发生的后果的性质 类型以及后果的度量 可能性的度量 可能性和后果的时限 风险的度量方法 风险等级的确定 利益相关者可接受的风险或可容许的风险等级 多种风险的组合的影响 3 5确定风险准则 138 139 4 1风险评估过程风险评估过程包括 风险识别风险分析风险评价 4 风险评估 139 140 风险评估有助于决策者对风险及其原因 后果和可能性有更充分的理解 为以下决策提供信息 1 是否应该开展某些活动 2 如何充分利用时机 3 是否需要应对风险 4 选择不同风险的应对策略 5 确定风险应对策略的优先次序 6 选择最适合的风险应对策略 将风险的不利影响控制在可以接受的水平 4 风险评估4 1风险评估过程 140 141 4 2风险识别风险识别的含义发现 列举和描述风险要素的过程 风险识别的过程风险识别是通过识别风险源 影响范围 事件及其原因和潜在的后果等 生成一个全面的风险列表 识别风险不仅要考虑有关事件可能带来的损失 也要考虑其中蕴含的机会 4 风险评估 141 142 风险识别的过程进行风险识别时要掌握相关的和最新的信息 必要时 需包括适用的背景信息 除了识別可能发生的风险事件外 还要考虑其可能的原因和可能导致的后果 包括所有重要的原因和后果 不论风险事件的风险源是否在组织控制之下 或其原因是否已知 都应对其进行识别 此外 要关注已经发生的风险事件 特别是新近发生的风险事件识别风险需要所有相关人员的参与 组织所采用的风险识别工具和技术应当适合于其目标 能力及其所处环境 4 风险评估4 2风险识别 142 143 4 2风险识别 方法风险识别方法包括 基于证据的方法 例如检查表法以及对历史数据的审查 系统性的团队方法 例如一个专家团队可以借助于一套结构化的提示或问题来系统地识别风险 归纳推理技术 例如危险与可操作性分析 HAZOP 等 组织可利用各种支持性的技术来提高风险识别工作的准确性和完整性 包括头脑风暴法及德尔菲法等 4 风险评估 143 144 4 3风险分析 1 风险分析的含义系统地运用相关信息来确认风险的来源 并对风险进行估计 风险分析要考虑导致风险的原因和风险源 风险事件的正面和负面的后果及其发生的可能性 影响后果和可能性的因素 不同风险及其风险源的相互关系以及风险的其他特性 还要考虑现有的管理措施及其效果和效率 4 风险评估 144 145 2 风险分析的考虑要素在风险分析中 应考虑组织的风险承受度及其对前提和假设的敏感性 并适时与决策者和其他利益相关者有效地沟通 另外 还要考虑可能存在的专家观点中的分歧及数据和模型的局限性 3 风险分析的方法根据风险分析的目的 获得的信息数据和资源 风险分析可以是定性的 半定量的 定量的或以上方法的组合 一般情况下 首先采用定性分析 初步了解风险等级和揭示主要风险 适当时 进行更具体和定量的风险分析 4 风险评估4 3风险分析 145 146 4 风险分析的结果后果和可能性可通过专家意见确定 或通过对事件或事件组合的结果建模确定 也可通过对实验研究或可获得的数据的推导确定 对后果的描述可表达为有形或无形的影响 在某些情况下 可能需要多个指标来确切描述不同时间 地点 类别或情形的后果 4 风险评估4 3风险分析 146 147 4 风险分析的结果定性评估半定量法定量分析 5 控制措施评估 6 后果分析 7 可能性分析和概率估计 风险估计 8 初步分析 9 不确定性及敏感性因素 4 风险评估4 3风险分析 147 148 4 4风险评价 1 风险评价的含义将估计后风险与给定的风险准则对比 来决定风险严重性的过程 与组织确定的风险准则进行对照 以决定风险的水平并确定控制风险的优先顺序 经过风险评价 确定该风险是可承受还是需进行处理 分别采用风险规避 风险优化 风险转移或风险保留等措施 4 风险评估 148 149 2 风险评价决策风险评价利用风险分析过程中所获得的对风险的认识 来对未来的行动进行决策 道德 法律 资金以及包括风险偏好在内的其它因素也是决策的参考信息 决策包括 某个风险是否需要应对 风险的应对优先次序 是否应开展某项应对活动 应该采取哪种途径 4 风险评估4 4风险评价 149 150 3 风险评价结果风险评价的结果应满足风险应对的需要 否则 应做进一步分析 有时 根据已经制定的风险准则 风险评价使组织做出维持现有的风险