风险管理原则与实施指南

风险管理原则和实施指南范围1该标准提供了风险管理原则和一般实施指南。该标准适用于组织的整个生命周期和所有阶段，适用于组织的各种活动，包括流程管理、功能行为、项目管理和与产品、服务、资产、运营和决策相关的活动。本标准附录2规范参考文件以下文档中的条款通过本标准的引用成为本标准的条款。注释中包含的所有文件的后续修订单(勘误表除外)或修订版不适用于此标准，但是建议根据此标准签订合同的一方审查文件的最新版本是否可用。所有未填写日期的参照文件，3术语和定义由GB/T23694确定的术语和定义适用于此标准。4风险管理原则为了有效地管理风险管理，组织在实施风险管理时可以遵循以下原则：a)控制损失，创造价值以控制损失、创造价值为目标的风险管理有助于提高组织目标、实现具体、可见的绩效、员工健康和安全、合规管理、信用水平、社会认可、环境保护、财务绩效、产品质量、运营效率、公司治理等各个方面的绩效b)合并到组织管理流程中风险管理不是组织的主要活动和每个管理过程独立的活动，而是组织管理过程中不可缺少的重要组成部分。c)支持决策过程组织的所有决策都必须考虑风险和风险管理。风险管理的目标是在组织允许的范围内控制风险，有助于确定风险应对是否适当、有效，确定行动优先级，选择可行的行动方案，从而帮助决策者做出合理的决策。d)应用系统，结构化方法系统化、系统化的方法有助于提高风险管理效率，并产生一致、可比较、可靠的结果。e)基于信息风险管理过程必须基于有效的信息。这些信息可以通过多种渠道获得，如经验、反馈、观察、预测和专家判断，但是使用时必须考虑数据、模型和专家意见的限制。f)环境依赖性风险取决于组织所在的内部和外部环境以及组织承担的风险。特别要指出，风险管理受人力因素的影响。g)广泛参与，充分沟通组织利益相关者之间的沟通，尤其是决策相关者对风险管理的及时参与，有助于确保风险管理的目的和效果。利益相关者的广泛参与有助于在风险管理过程中反映相应的观点，在确定组织的风险偏好时，会充分考虑相关利益相关者的利益要求。利益相关者的广泛参与应基于对其权利和责任的明确认识。利益相关者之间需要持续、双向、及时的沟通，特别是重要的风险事件和风险管理的效率等方面，需要及时的沟通。h)持续改进风险管理是适应环境变化的动态过程，形成了信息反馈的闭环。根据内部和外部事件的发生、组织环境和知识的变化、监督检查的执行情况，一些风险可能会发生变化，一些新的风险可能会出现，另一些风险可能会消失。因此，组织必须不断对各种变化敏感，适当应对。组织可以通过绩效衡量、检查和调整等手段持续改善风险。5风险管理流程5.1概述风险管理过程是组织管理的重要组成部分，内置于组织文化和实践中，并通过组织的运营过程运行。风险管理流程包括图1所示的5.2到5.5中描述的活动：明确的环境信息、风险评估、风险响应、监督和检查。其中，风险评估包括风险识别、风险分析和风险评估三个阶段。通信和记录应通过风险管理过程中的各种活动在5.6中详细说明。5.2明确的环境信息5.3风险评估5.32风险识别5.4风险响应5.5监督检查图1？-嗯？风险管理流程5.2明确的环境信息通过明确环境信息，组织可以明确相应风险管理的目标，确定与组织相关的内部和外部参数，设置风险管理的范围和相关风险准则。外部环境信息是组织在实现目标的过程中面临的有关外部环境的历史、当前和未来的各种相关信息。组织在制定风险指导方针时，必须了解外部环境信息，以便充分考虑外部利益相关者的目标和兴趣。外部环境信息基于组织所在的整体环境，包括法律和法规要求、利益相关者的诉求，以及与特定风险管理流程相关的其他方面的信息。外部环境信息包括但不限于：国际、国内、区域和区域政治、经济、文化、法律、法规、技术、金融和自然环境以及竞争环境；影响组织目标实现的外部核心因素和历史、变化趋势；外部利益相关者及其诉求、价值、风险承受度；外部利益相关者和组织的关系等。内部环境信息是组织在实现目标的过程中面临的有关内部环境的历史、当前和未来的各种相关信息。风险管理流程必须适合组织的文化、管理流程和结构，包括组织内影响风险管理的所有内容。组织必须明确内部环境信息，原因如下：风险可能会影响组织的战略、日常运营或项目运营等多个方面，从而进一步影响组织的价值、信用和承诺等。风险管理是在组织的特定目标和管理条件下进行的。特定活动的目标和相关指南应放在构成整体目标的环境中。内部环境信息可能包括：组织的指导、目标和业务战略；资源和知识(例如资金、时间、人员、流程、系统和技术)；信息系统、信息流和决策流程(包括正式和非正式)；内部利益相关者和异议、价值、风险敏感性；使用标准和型号；组织结构(包括治理结构、一切和责任等)、管理流程和措施；与风险管理实施过程相关的环境信息等。其中，风险管理流程中的环境信息会根据组织需要发生变化，包括但不限于：执行的风险管理任务的范围和目标以及所需资源；风险管理过程的责任；需要实施的风险管理活动的深度和宽度；风险管理活动与其他活动组织的关系；风险评估方法和使用的数据；风险管理业绩评价方法；需要制定的决定；危险指南等。5.2.4？确定风险标准风险标准是组织用于评估风险重要性的标准。因此，风险标准必须反映组织的风险敏感度，反映组织的价值、目标和资源。一些风险准则直接或间接反映了法律和法规要求或组织必须遵守的其他要求。风险标准必须符合组织的风险管理准则。具体的风险准则应在风险管理流程开始时开发，并应持续审查和改进。在确定风险标准时，应考虑以下因素：测量可能出现的结果的特性、类型和结果；可能性测量；可能性和结果的时间限制；风险度量方法；确定风险级别；利益相关者可接受的风险或可接受的风险级别；各种风险组合的影响。通过对这些因素和其他相关因素的关注，可以确保组织采用的风险管理方法适合于组织的现状和面临的风险。5.3风险评估风险评估包括三个阶段：风险识别、风险分析和风险评估。风险意识是确定风险的来源、影响范围、事件及其原因、潜在后果等，留下全面的风险列表。您不仅要考虑风险识别事件可能发生的损失，还要考虑其中包含的机会。识别风险时，确定相关信息和最新信息，并在必要时包括适用的背景信息。除了识别可能发生的危险事件外，还必须考虑可能发生的原因和可能的后果，包括所有重要的原因和后果。无论风险事件的风险源是否在组织的控制之下，或者原因是否已知，都必须确定它。此外，必须注意已经发生的风险事件，尤其是新发生的风险事件。识别风险需要所有相关人员的参与。组织采用的风险识别工具和技术必须适合目标、能力及其环境。风险分析根据风险类型、获取的信息和风险评估结果的使用目的定性和定量分析确定的风险，为风险评估和风险响应提供支持。风险分析必须考虑风险的原因和风险来源，事件的正负结果和发生可能性，影响结果和可能性的因素，各种风险及其风险来源的相互关系，风险的其他特性等，还必须考虑现有的管理措施及其效果和效率。在风险分析中，必须考虑组织的风险敏感度、前提和对家庭的敏感度，并与决策者和其他利益相关者进行及时有效的沟通。另外，还应考虑可能存在的专家意见的不一致和数据及模型的局限性。根据风险分析的目的、获取的信息数据和资源，风险分析可以是定性、半定量、定量或更高方法的组合。通常先进行定性分析，初步确定风险等级，揭示主要风险。在适当的时候进行更具体的定量风险分析。结果和可能性可以通过专家意见来确定，也可以通过对事件或事件组合的结果建模，或者通过实验研究或可获取数据的推导来确定。结果的说明可以表示为有形或无形的影响，在某些情况下，可能需要多个指标来准确描述不同时间、位置、类别或情况的结果。风险评估是将风险分析的结果与组织的风险标准进行比较，或在各种风险的分析结果之间进行比较，确定风险等级，并做出风险响应的决定。如果风险是新确定的风险，则必须制定相应的风险标准来评估这些风险。风险评估的结果必须满足风险应对的需要，否则需要进一步分析。有时，根据已经制定的风险标准，风险评估允许组织做出维持现有风险应对措施、不采取其他新措施的决定。5.4风险响应风险响应是选择并执行一个或多个更改风险的措施，包括更改风险事件发生的可能性或结果的措施。风险响应决策需要考虑内部和外部利益相关者的风险敏感度以及多种环境信息，如法律、法规和其他要求。风险应对方案的制定和评价可能是进步过程。对于风险应对，必须评估是否能承担剩馀的风险。如果剩馀风险不能承受，则必须调整或开发新的风险应对措施，直到剩馀风险可以承受为止，评估新风险应对措施的效果。执行风险响应措施会引起组织的风险变化，需要跟踪、监督风险响应的效果和组织的环境信息，评估变化的风险，必要时重新制定风险响应措施。可能的风险应对措施之间不一定相互排斥。一种风险应对也不一定在所有条件下都合适。风险响应可能包括：为了避免危险，决定停止或停止可能导致危险的活动；增加风险或冒新的风险寻找机会。消除负面影响的危险因素；改变风险事件发生可能性的大小和分布的性质；改变危险事件的可能结果。以前的风险；风险分担；预约风险等。在选择适当的风险响应方案时，需要考虑以下几个方面：法律、法规、社会责任和环境保护要求；实施风险应对措施的成本和收益(部分风险可能会导致严重的负面后果，但组织可能需要考虑经济上看似不合理的风险应对决策，例如低发生可能性的风险事件)；选择一些措施以用作单独或组合。利益相关者的呼吁和价值，对风险的认识和负担，以及对部分风险应对方案的偏好。风险响应活动实施过程中可能失败或失效。因此，应作为风险应对措施实施计划的关键组成部分进行监督，确保应对措施持续有效。风险应对可能会引发第二次风险，还需要对第二次风险进行评估、应对、监督和检查。这些次要风险的内容应包括在现有风险应对计划中，不能作为新鲜空气风险独立处理。为此，必须确定和检查原始风险和次要风险之间的联系。当风险应对影响组织内其他领域的风险或影响其他利益相关者时，评估这些影响，与相关利益相关者沟通，并在必要时调整风险应对。决策者和其他利益相关者必须熟悉采取风险应对措施后剩下的风险的性质和程度。选择风险应对措施后，必须制定相应的风险应对计划。风险响应计划应包含以下信息：预期收入；绩效指标和评价方法；部署人员实施风险管理负责人和风险应对措施；与风险应对相关的具体业务和管理活动；在选择多个可能的风险响应方案时，实施风险响应措施的优先级：报告和监督、检查要求；与适当利益攸关方的沟通安排；资源需求，包括应急机制的资源需求；执行时间等；风险响应计划必须与组织的管理流程集成。5.5监督检查组织必须明确界定监督检查的责任。监视和检查可能包括：监视事件，分析变化及其趋势，从中吸取教训。发现内部和外部环境信息的变化，包括风险本身的变化、可能发生的风险应对措施和实施优先级的变化。监督和记录实施风险响应措施后剩下的风险，以便在适当的情况下进一步处理。在适用的情况下，与风险响应计划进行比较，检查工作进度和计划的偏差，确保风险响应措施的设计和执行有效。风险、风险应对计划的进展情况及风险管理方针遵守情况报告；实施风险管理绩效评估。风险管理绩效评估应包括在组织的绩效管理以及内部和外部报告系统中。监视和检查活动包括定期检查、已知风险监控、定期或非定期检查。定期或非定期检查都必须包含在风险应对计划中。在适当的情况下，监督检查结果应记录并在内部或外部报告。5.6通信和记录5.6.1通讯组织必须在风险管理过程的每个阶段有效地与内部和外部利益相关者沟通，以便实施风险管理的所有者和利益相关者了解组织风险管理决策的依据和需要特定措施的原因。利益相关者的价值、诉求、家庭、认识和兴趣不同，因此风险偏好不同，可能对决策产生重要影响。因此，组织在决策过程中必须与利益相关者进行充分的沟通，确定和记录利益相关者的风险偏好。在风险管理过程中，记录是实施和改进整个风险管理过程的基础。写入记录必须考虑：需要重用信息以进行管理；需要进一步的风险分析和风险应对措施调整；风险管理活动的可追溯要求；需要沟通；法律、法规和运营方面的记录需要；组织本身持续学习的必要性；建立和维护记录所需的成本和工作量；如何获取信息，信息可读取性和存储介质；记录保存期限；信息的敏感度。6实施风险管理6.1概述组织要实施风险管理流程(请参阅第5章)，需要相关准则、组织结构、工作程序、资源配置、信息通信机