风险管理概述

1、第一部分 内容提要 第一章 风险管理概述 第二章 术语和定义 第三章 风险管理原则 第四章 风险管理框架 第五章 风险管理过程 风险管理概述内容提要一、风险与风险管理二、风险管理的起源和发展三、我国的风险管理四、风险管理标准五、实施风险管理的目的和意义六、风险管理在认证领域中的应用一、风险与风险管理 所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素和影响。这种不确定性所具有的对组织目标的影响就是“风险”。 一、风险与风险管理 风险管理是针对风险指挥和控制组织的协调活动。 组织的所有活动都涉及风险。 组织通过识别、分析和评定是否运用风险处理修正风险以满足它们的风险

2、准则，来管理风险。 通过这个过程，它们与利益相关方进行沟通和协商，监测和评审风险，以及为确保不再进一步需求风险处理而修正风险的控制措施 全面企业风险管理框架 风险管理正在从传统的“点对点”式的管理走向全面的、一体化的管理。 国际较知名的国际会计准则委员会（iasc)、巴塞尔银行监管委员会(basel)、美国的coso委员会研究、发展了一整套完整的全面企业风险管理框架。 coso全面风险管理（erm）框架的定义： 企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目

3、标的实现提供合理的保证。三、我国的风险管理 在我国，风险管理理论的发展及应用相对滞后，企业在风险管理上存在诸多问题： 缺乏风险意识和策略，管理被动； 缺乏风险管理技术、专业人才和资金； 战略上急于求成，应对变化能力不强，导致个别企业不能有效应对重大风险事件，在发展中承担了过多自身不可承受风险； 国家对风险管理日益重视，2006年国务院国有资产监督管理委员会发布了中央企业全面风险管理指引 对中央企业如何开展全面风险管理提出了明确要求； 指导范围并不仅限于央企，对公司也同样具有普遍指导意义； 指引的出台标志着我国有了自己的全面风险管理指导性文件，我国企业正向管理的更高阶段全面风险管理迈进。 iso

4、的相关标准和指南iso duide 73 风险管理 词汇 iso31000 风险管理 原则和指南 iec/iso31010 风险管理 风险评估技术 iso guide 73: 2009 风险管理 词汇 与风险有关的术语（1） 与风险管理有关的术语（4） 与风险管理过程有关的术语（45） iso31000:2009iso31000 2009 风险管理 原则和指南 1 范围 2 术语和定义（29） 3 风险管理原则（11） 4 风险管理框架 5 风险管理过程 iso31000:2009 iso31000:2009 风险管理 原则和指南risk management principles and g

5、uideline提供了风险管理的原则和通用性指南。 尽管所有的组织在某种程度上都在管理风险，iso31000建立了一些为使风险管理变得有效而需要满足的原则。 iso31000建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。 iso31000:2009 iso31000:2009提供了在任何范围和状况下，以系统的、清晰可靠的方式管理风险的原则和通用指南。 尽管所有的组织在某种程度上都在管理风险，iso31000建立了一些为使风险管理变得有效而需要满足的原则。 iso31000建议，组织制定、实施和持续改进一个框

6、架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。 风险管理的每一个特定领域或应用都具有各自的需求、受众、观念和准则。因此，iso31000的主要特点是在通用的风险管理过程中将“明确环境”作为初始活动。 “明确环境”将捕获组织的目标，组织所追求目标的环境，组织的利益相关方和风险准则的多样性，所有这些都将帮助揭示和评价风险的性质和复杂性。iso31010:2009iec iso31010 2009 风险管理 风险评估技术 1 范围 2 规范性引用文件 3 术语和定义 4 风险评估的相关概念. 5 风险评估过程. 6 风险评估技术的选择 附录a 风险

7、评估技术的比较 附录b 风险评估技术 国家标准(gb/t23694)gb/t23694 2009 风险管理 术语 idtiso guide 73 2002 1 基础术语（8） 2 受风险影响的组织及个人的相关术语（4） 3 与风险评估的相关术语（6） 4 与风险处理和风险控制相关的术语（11） 国家标准(gb/t24353) 风险管理过程 国家标准(gb/t24353)gb/t24353 2009 风险管理 原则与实施指南 1 范围 2 规范性引用文件 3 术语和定义（gb/t23694） 4 风险管理原则（8） 5 风险管理过程 6 风险管理的实施 风险管理的目的: 通过具有前瞻性的、充分地

8、考虑各类风险的不确定性及其对目标的影响，制定行之有效的应对措施，为组织在运营和决策中有效应对各类突发事件和风险提供支持和保障，以使组织能有效的配置资源、优化过程，及时、恰当、有效地应对风险，提高风险应对的效率和效果，更好地实现组织的目标。 五、实施风险管理的意义 风险管理的意义: 1）提高实现目标的可能性； 2）鼓励主动性管理；3）在整个组织意识到识别和处理风险的需求;4）改进对机会和威胁的识别；5）遵守相关的法律法规要求及国际规范；6）改进强制性和自愿性报告 7）改善治理 8）提高利益相关者的信心和信任；五、实施风险管理的意义 9）为决策和规划建立可靠的根基： 10）加强控制 11）有效地分

9、配和使用风险处理资源； 12）提高运作的效果和效率 13）加强健康和安全绩效，以及环境保护 14）改善损失预防和事件管理； 15）减少损失； 16) 提高组织的学习能力； 17）增强组织的应变能力；六、风险管理在认证领域中的应用 iso31000中所描述的通用方法提供了在任何范围和背景下，以系统、清晰、可靠的方式管理风险的原则和指南。作为管理方法论，其原则和指南可以应用到认证的各个领域 ohsas18000标准包含了风险管理在职业健康安全专业领域的应用。 iso22000标准包含了风险管理在食品安全专业领域的应用。 也适用于ems和qms中。 术语和定义 不确定性对目标的影响 注1：影响是与期

10、待的偏差积极和/或消极注2：目标可以有不同方面（如财务、健康安全、以及环境目 标），可以体现在不同的层次（如战略、组织范围、项 目、产品和过程）。注3：风险通常以潜在事件和后果，或它们的组合来描述。注4：风险通常以事件（包括环境的变化）后果和发生可能性 的组合来表达。注5：不确定性是指，对事件、其后果或可能性的认识或了 解方面的信息的缺乏或不完整的状态。 2.后果 consequence 某一事件的结果。注1：某一事件可能会产生不止一种的后果。注2：后果可以是正面的负面的。然而，从安 全方面来看，后果往往都是负面的。注3：后果可以定性或定量表述。3.可能性：某一事发生的机会4.概率 proba

11、bility 某一事件发生的可能程度。注1：gb/t3358.1-1993 给出了一个关于“概率”的数学定 义，度量某一随机事件发生可能性大小的实数，其值 介于0与1之间，它可以用来指在一段相当长的时间内， 某一事件将要发生的频率，或者这一事件发生的可信 程度。对于高可信度来说，概率接近“1”。注2：在描述风险时，常用“频率”一词而不是用“概率” 一词。注3：有关可能性的程度可以用不同的等级来表示： -极不可能/不大可能/可能/很可能/几乎确定；或者 -难以置信/不可能/可能性极小/偶尔/有可能/经常。 5.事件 event 特定情况的发生。注1：事件可能是确定的，也可能是不确定的。注2：事件

12、可能是单一的，也可能是系列的。注3：对于给定时间内事件发生的概率可以估算出来 确定的事件，是预知的，而不确定的事件，是没有预知的，但也是有可能发生的。 事件可能是明显的，也可能是模糊的，其影响可能是正面的，也可能是负面的。 指导和控制某一组织与风险相关问题的协调活动。 提供在组织内设计、实施、监测、评审和持续改进风险管理的基础和组织安排的要素集合。 注1：基础包括管理风险的方针、目标、指令和承诺 注2：组织安排包括计划、关系、责任、资源、过程 和活动。 注3：风险管理框架被嵌入到组织的整个战略和运营 的方针和实践中 8.风险管理方针 risk management policy 一个组织对风险

13、管理的意图和方向的陈述。 9.风险管理计划 risk management plan 在风险管理框架内规定用于风险管理的方法、管理要素、资源的方案。 注1：管理要素一般包括程序、惯例、职责分配、活 动顺序和时间安排。 注2：风险管理计划可应用于特定的产品、过程和项 目、组织的部分或整体。 管理方针、程序和惯例对沟通、协商、明确环境、以及识别、分析、评价、处理、监测和评审风险活动的系统应用。 组织针对风险管理，提供、共享或获取信息，与利益相关者进行对话的持续和反复的过程。 注1：信息涉及风险管理的存在、性质、形式、可能 性、严重程度、评定、可接受性、处理。 注2：协商是组织与它的利益相关方，在做

14、出决策或 确定某一问题的方向前，针对问题双向有事实 依据的沟通的过程。协商是： 通过影响力而非权力对决策施加影响； 作为决策的输入，而非加入决策。 可以影响风险、受到风险影响或自认为会受到风险影响的任何个人、团体或组织。 注1：决策者也是利益相关者之一。 注2：术语“利益相关者”包括gb/t19000- 2008中定义的“相关方”。组织的利益相关者可以包括 1）组织的决策者；2）组织内部负责制定风险管理政策的人员；3）组织或活动中实施风险管理的人员；4）需要对组织的风险管理实践进行评估的人员；5）组织中负责制定风险管理标准、指南、程序、 应用准则的人员；6）股东、董事会、高级管理人员、员工、债

15、权人、供应商、顾客、银行、监管机构、合作伙伴等. （见gb/t24353:2009前言部分）。13.风险感知 risk perception 利益相关者根据其价值观或利害关 系看待风险的方式。 注1：风险感知取决于利益相关者的需要、关注点及知识。 注2：风险感知可能不同于客观数据。 风险感知反映利益相关者的需求，问题、知识、信念和价值。 利益相关者的需要及关注的问题不同，因而风险感知会有所不同。 风险感知会存在一定的主观判断，因而可能与客观数据有不同。 界定外部和内部参数，以便在管理风险和设置风险管理方针的范围及风险准则时，予以考虑。 评价风险严重性（度）的依据。注：风险准则包括相关的成本及收

16、益，法律法规要求，社会 及环境因素，利益相关者的态度，优先次序和在评估过 程中的其他要素。 风险准则是组织用于评价风险重要度的标准，因此，风险 准则需体现组织的风险承受度，并反映组织的价值观、目 标和资源。 风险评价准则会涉及到各个方面，如成本收益、法律法规、利益相关者态度等。 风险准则也会直接或间接反映法律法规要求或其他需要组 织遵循的要求。准则也是使组织对接受风险做出决定的依据。 包括风险识别、风险分析和风险评价在内的全部过程。 发现、列举和描述风险要素的过程 理解风险的性质和确定风险程度的过程。 注1：风险分析为风险评价和风险处理决策提供了 基础。 注2：风险分析包括风险估测。 将风险分

17、析的结果与风险准则进行比较，以确定风险和（或）其量是否可接受或可容许。 注：风险评定有助于有关风险处理的决策。 一个组织愿意追求或保留风险的数量和类型。 gb/t24353:2009 5.6.1 中提到这一词汇 coso指出： 风险偏好是企业追求目标中愿意接受风险的程度 指导企业的资源配置； 接受某一风险的决定。 注：风险承受取决于风险准则。 任何规模和类型的组织都面临风险，组织的所有 活动都涉及风险。只是组织应通过确定风险准则，来决定对某一风险是否接受。 组织的价值取向和能力不同，因而是否能接受某 一风险会有不同的决定，这些决定会依据风险准 则的要求。修正风险的过程 注1：风险处理可包括：通

18、过决定不启动或停止产生风险的活动而避免风险。为了追求机会采取或增加风险。消除风险源。改变可能性。改变后果。与其他方面共同分担风险（包括合同、风险融资）。通过有事实依据的决策保留风险。注2：对消极后果的风险处理有时可以称为 “风险减缓（risk mitigation）”、 “风险消除（risk eliminate）”、 “风险预防（risk prevention）”和 “风险减小（risk reduction）”。注3：风险处理可以产生新的风险或修正已 存在的风险。 决定不陷入风险，或者从风险状 态中撤离的行为。 注：这个决定可能是以风险评价结果为依据的。 在风险评价之后，风险管理者会发现某些风

19、险发生损失的可 能性很大，或者一旦发生且损失的程度非常严重时，可以采 取主动放弃原来承担风险或完全拒绝承担该风险的实施行动， 就是对风险的规避。 风险规避是一种主动的行为，但放弃风险同时也意味着收 益的丧失。 为实现风险处理及其他相关活动的费用提供资金的活动。 注：在某些行业中，风险融资特指对风险造成 的财务后果提供资金。 组织在风险处理（风险规避、风险优化、风险转移、风险自留）过程中，需要支付一定的费用，以实现管理风险或补偿损失，因而会采用各种方式融通资金。 融通资金是为风险管理对资金的筹措，也是风险的一种财务补偿机制。风险估计和风险评价是融资的主要数据依据。 接受某一特定风险带来的损失或收

20、益。注1：风险自留包括接受那些没有得到识别的风险。注2：风险自留不包括运用保险或者其他方法进行 的风险转移的处理。注3：对风险的接受程度和对风险准则的依赖程度 可能会有变化。 不断检查、监督、严格观察或确定状态，以识别所要求或期待的绩效水平的变化。 注：监测可应用于风险管理框架、风险管理 过程、风险或控制措施。 为达到所建立的目标，确定有关事务的适宜性、充分性和有效性所采取的活动。 注：评审可应用于风险管理框架、风险管理过 程、风险或控制措施。 风险管理原则风险管理原则、框架和过程关系图风险管理原则原则一：风险管理创造并保护价值原则二：风险管理嵌入组织的管理过程原则三：风险管理支持决策过程原则

21、四：明确风险管理涉及的不确定性原则五：风险管理是系统的，结构化的 和及时的原则六：风险管理是基于最可用的信息原则七：风险管理是定制的原则八：风险管理考虑人文因素原则九：风险管理是透明的和包 容的原则十：风险管理是动态的，迭 代的和适应变化的原则十一：风险管理有利于组织 持续改进 风险管理创造并保护价值 以控制损失、创造价值为目标的风险管理，有助于组织实现目标、取得具体可见的成绩和改善各方面的业绩，包括人员健康和安全、合规经营、信用程度、社会认可、环境保护、财务绩效、产品质量、项目管理、运行效率和公司治理等方面。 这项原则的价值在于风险管理的目的就是为了创造并保护价值，控制损失。 风险是客观存在

22、的，任何组织都面临风险，组织的所有活动都涉及风险，风险会影响组织目标的实现。 在组织的运营活动中，机遇和威胁并存，风险管理就是要趋利避害，创造价值。在某些特定领域，如金融业、从风险管理的角度出发，币值波动既能造成潜在损失，又是可能盈利的机会。 因此风险管理过程越来越多地被认为是既要关注不确定因素带来的消极影响，又要关注这些不确定性因素的积极影响。 风险管理嵌入组织的管理过程 风险管理不是独立于组织主要活动和各项管理过程的单独的活动，而是组织管理过程不可缺少的重要组织部分，包括战略规划、所有项目、变更管理过程。 组织的管理是一个综合管理，风险管理是组织综合管理的一个组成部分。 组织应把风险管理的

23、各项要求融入企业管理和业务流程中，如：企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、变更管理、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等。 coso于2001年起开始进行企业风险管理研究，强调风险管理框架必须和内部控制框架相一致，把内部控制目标和要素整合到企业全面风险管理过程中。 因此，全面风险管理（erm）框架是对内部控制框架的扩展和延伸，它涵盖了内部控制，并且比内部控制更完整、有效。 首先，该框架扩展了内部控制框架，强调风险管理与企业战略目标相协调，并最终融人企业文化之中； 其次，该框架更强调风险管理贯穿于企业运行过程的各个方面，涉及到企业的治

24、理、管理和操作等所有层级，扩展了单纯的内部控制职能； 最后，引入了风险组合、风险和机会的区分、风险应对、风险偏好、风险容量等风险管理理论新的研究成果。 风险管理支持决策过程 组织的所有决策都应考虑风险和风险管理。风险管理旨在将风险控制在组织可接受的范围内，有助于判断风险应当是否充分、有效，有助于决定行动的优先顺序并选择可行的行动方案，从而帮助决策者做出合理的决策 风险识别、风险分析和风险评价是为了认识、评价风险管理单位的风险状况，解决风险管理中的各种问题，制定管理风险的决策方案。风险管理支持决策过程。 风险管理目标的确定、风险识别、风险衡量、风险评价和风险控制等，都是为了确定最终的风险管理方案

25、。从这一角度来看，风险管理过程实际上是一个管理决策过程 明确风险管理涉及的不确定性 风险管理明确的考虑到不确定性及这种不确定性的性质，以及如何加以解决。 风险是不确定的，否则，就不能称之为风险。 风险的不确定性指： （1）发生与否不确定； （2）发生的时间不确定； （3）发生的状况不确定； （4）发生的后果严重性程度不确定 风险管理就是要确定这些不确定性，做出对 策，降低风险的影响，确保目标的实现原则五：风险管理是系统的， 结构化的和及时的 系统的、结构化的方法有助于风险管理效率的提升，并产生一致、可比、可靠的结果。 风险管理是一个过程，就符合过程管理的原则，组织的风险管理是由许多风险管理过程

26、组成，在风险管理的过程中，要将多个风险管理过程按照一个统一的风险管理系统来管理，这样能够取得最优的效率和结果 组织体系是风险管理的保障 风险管理是及时的，有组织的 风险管理是基于 最可用的信息 风险管理过程要以有效的信息为基 础。这些信息可通过经验、反馈、观察、 预测和专家判断等多种渠道获取，但使 用时要考虑数据、模型和专家意见的局 限性。 风险管理过程是以信息为基础的。风险的各个过程要收集大量的信息，确保风险识别的充分性和风险决策的有效性。 组织应该建立获取风险有效信息的渠道，可以通过各种渠道，包括经验、反馈、观察、预测、专家判断等获取有效、有用的信息，确保风险管理过程的充分性和有效性。 在

27、利用收集到的各种信息时，要考虑各种信息来源的局限性。确保信息对决策的有效支持。风险管理是定制的 风险管理与组织的内外部环境及风险环境是匹配的。 风险管理与组织的内外部环境有关。风险管理与组织的行业、产品、经营模式、客户、竞争对象风险水平等相适应。 组织的风险管理与组织所承担的风险有关，受组织的文化、地域、历史、信仰、人员等人文因素的影响不同的组织风险偏好不一样，风险标准不一样，风险管理的决策和风险实施就不一样。 风险管理考虑人文因素 风险管理意识是可以促进或阻碍组织目标的实现的内部和外部人的能量、观念和意图。 组织应该在内部营造一种具有风险意识的企业文化，培育风险管理文化，树立正确的风险管理理

28、念，增强员工风险管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进企业建立系统、规范、高效的风险管理机制。 全体员工尤其是各级管理人员和业务操作人员应通过多种形式，努力传播企业风险管理文化，牢固树立风险无处不在、风险无时不在的意识。 风险管理是透明的和包容的 利益相关方、尤其是组织各层面的决策者适当、及时的参与，确保了风险管理保持相关和先进性。参与过程也允许利益相关方适当地发表意见，并将其观点考虑到风险准则确定中。 在组织的风险管理过程中，风险管理的决策者要参与分风险管理过程，要和风险管理过程的人员进行充分的沟通，要在风险管理的各个环节明确要求和准则，及时掌握风险动态，做出准确的决策

29、。 风险管理过程要进行充分的协商和沟通，确保各方的观点能采纳，确保各方的利益能保证。当组织在重大风险事件的风险决策过程中，各方尤其要充分沟通，确保决策的有限性和针对性。 风险管理是动态的， 迭代的和适应变化的 由于内部和外部事件的发生、环境和知识的改变，以及监视和评审的实施，有的风险会发生变化，一些新的风险可能会出现，另一些风险则可能会消失。组织应持续不断地对各种变化保持敏感并做出恰当反应。 风险管理是适应环境变化的动态过程，其各步骤之间形成一个信息反馈的闭环。随着内部和外部事件的发生、组织环境和知识的改变以及监督和检查的执行，有些风险可能会发生变化，一些新的风险可能会出现，另一些风险可能消失

30、。 组织应持续不断地对各种变化保持敏感并做出恰当反应。组织通过绩效测量、检查和调整等手段，使风险管理得到持续改进。 风险管理有利于 组织持续改进 组织应制定和实施战略，以改善组织各个方面的风险管理水平。 风险管理过程是一个持续改进，动态更新的一个过程。 风险管理要能够提高组织的风险管理意识，改进对机会和威胁的识别，有效配置资源，改善运营效果和效率，增强组织的生存和持续发展的能力 第4章的框架为组织风险管理提供了持续改进的框架。 风险管理框架内容提要1.总则（风险管理框架的含义）2.风险管理的指令与承诺3.风险管理框架的设计4.风险管理的实施5.框架的监视与评审6.框架的持续改进1.1 什么是“

31、框架（framework）”？ 通常意义上的理解 边界、基础要素、结构的集合1.总则（风险管理框架的含义）1.2 风险管理框架的含义 提供在组织内设计、实施、监测、评审和持续改进风险管理的基础和组织安排的要素集合。风险管理框架的含义 基础包括风险管理的：方针目标指令和承诺等； 组织安排包括风险管理的：计划关系职责资源过程和活动风险管理框架的含义 嵌入到组织整体的战略以及运营方针和实践之中 嵌入：非孤立存在；成为运行对象的一部分；整合高度成熟的一种状态；风险管理框架风险管理框架自身并不构成一个单独的“风险管理体系”；框架追求的结果是将风险管理嵌入到组织整体的管理体系之中；更为有效的方式是在组织现

32、有的体系过程中，整合应用框架内的风险管理要素；1.3 “框架”在风险管理中的角色2.指令与承诺 2.1 概述 管理层的行为 组织“权力”方面的保证 目的在于支持：在组织内部引入风险管理保持风险管理的持续有效性2.指令与承诺 2.2 主要内容 风险管理方针的制定(统一方向) 协调性的保证风险管理方针 vs 组织文化风险管理绩效指标 vs 组织的其他指标风险管理目标 vs 组织的其他目标和战略2.指令与承诺 2.2 主要内容 合规性 职责权限的分配 资源的配置 对风险管理收益的沟通 框架适宜性的保持3.风险管理框架的设计 基础：对组织内外部环境（状况）的评价和理解 设计的内容涉及：风险管理方针责任

33、与组织过程的融合资源内外部沟通与报告机制3.1 组织的内外部环境（状况） 外部环境 国际、国内、区域和当地的社会和文化、政治、法律、法规、财务、技术、经济、自然和竞争 环境；（客观存在） 对组织目标实现产生关键影响的驱动因素和趋 势；（与组织的目标相关联） 与外部利益相关方的关系以及观念和价值观； （与组织的外部利益相关方有关） 内部环境 公司治理、组织结构、角色和职责； 计划实现的方针、目标和战略； 能力（从资源和知识的角度）（例如，资本、时间、人员、过程系统和技术）； 信息系统、信息流和决策过程（正式和非正式的）； 与内部利益相关方的关系、他们的观念和价值观； 组织的文化； 组织所采用的标

34、准、指南和业务模式； 合同关系的形式和范围；3.2 建立风险管理方针 风险管理方针：组织对风险管理的意图和方向的陈述 建立方针是管理层的职责 风险管理方针应清晰表述的内容： 风险管理的目标 组织对风险管理的承诺 方针应得到沟通3.2 风险管理方针 风险管理方针应指明的典型内容：组织管理风险的基本原理；组织目标、方针与风险管理方针的联系；管理风险的责任和职责；处理利益相关方冲突的方式；为管理风险提供所需资源的承诺；风险管理绩效测量和报告的方法；对风险管理方针和框架周期性的评审和改进以及对环境中的事件或变革进行应对的承诺；3.3 风险管理的责任 涵盖的范围：职责、权限和能力 需要明确定义职责、权限

35、和能力的领域 实施和保持风险管理过程； 为确保控制的充分性、有效性和效率所需的活动；3.3 风险管理的责任 确定的主要方式： 识别风险所有者； 识别对风险管理框架负有建立、实施和保持职责的 人员； 识别组织所有层次在风险管理过程方面的其他职责 建立绩效测量过程以及外部和或内部报告和分发过 确保适宜的认可程度；3.4 风险管理与组织过程的融合 基本的方法论： 风险管理过程应是组织过程中的一部分； 风险管理应融入方针建立、业务和战略策划和评审以及变革管理过程； 融合的要求： 以紧密相关的、有效的、有效率的方式将风险管理嵌入至组织所有的实践和过程 融合的载体 风险管理计划3.5 风险管理的资源 组织

36、应为风险管理配置适宜的资源 应考虑以下方面的内容： 人员、技能、经验和能力； 风险管理过程步骤所需的资源； 组织应用于风险管理的过程、方法和工具； 文件化的过程和程序； 信息和知识管理系统； 培训方案 3.6 内部沟通和报告机制 目的：支持和鼓励风险的职责和责任归属； 确保： 风险管理框架的关键组成部分以及任何后续的修改得 到适宜的沟通； 存在充分的关于框架的，有效性和输出的内部报告； 来自于风险管理应用所获得的相关信息在适宜的层次 和频次上可获得； 存在与内部利益相关方协商的过程； 对多来源信息的统一 对信息敏感性的考虑3.7 建立外部沟通和报告机制 沟通与报告的对象：外部利益相关方 机制的

37、载体：沟通计划 计划的内容： 使适宜的利益相关方参与并确保有效地沟通信息； 法律、法规和政府要求遵守情况的对外通告； 为沟通和协商提供反馈和报告； 利用沟通以使组织内建立信任； 当危机或意外事故发生时与利益相关方进行沟通 对多来源信息的统一 对信息敏感性的考虑4.1 框架的实施 定义合适的实施该框架的时间表和策略； 为组织的过程应用风险管理方针和过程； 符合法律和法规要求； 确保决策、包括建立和设定目标等与风险管理过程的输出相协调； 保持信息和培训机制并 与利益相关方沟通和协商以确保其风险管理框架保持适宜风险管理的实施4.2 风险管理过程的实施4.3 框架的监视与评审（监督与检查） 目的：持续

38、有效地支持组织绩效 手段：与指标进行比照评价风险管理计划的实施情况基于内外部环境的变化，对框架、方针和计划的持续适宜性进行评审风险报告、方针得到遵循的程度风险管理框架的有效性 频次：周期性的4.4 框架的持续改进 改进的输入：监视和评审的结果 改进的领域：改进风险管理的框架、方针和计划。 改进的输出：组织风险管理和其风险管理文化的改进。 风险管理过程内容提要1.概述（总则）2.沟通和协商3.明确环境4.风险评估5.风险处理6.监测和评审7.记录风险管理过程1.概述 风险管理过程 risk management process 管理方针、程序和惯例对沟通、协商、明确环境、以及识别、分析、评价、处

39、理、监测和评审风险活动的系统应用。 风险管理过程的组成 风险管理过程是组织管理的有机组成部分，嵌入在组织文化和实践当中，贯穿于组织的经营过程。 风险管理过程由明确环境信息、风险评估、风险处理、监测和评审所描述的活动组成。 风险评估包括风险识别、风险分析和风险评价等三个步骤。 沟通和记录，应贯穿于风险管理过程1.概述 -风险管理过程组成2.沟通和协商2.1 与利益相关者沟通和协商 沟通和协商 communication and consultation 组织针对风险管理，提供、共享或获取信息，与利益相关方进行对话的持续和反复的过程。 在风险管理过程的每一个阶段都应当与内部和外部利益相关者有效沟通

40、和协商。 沟通和协商计划宜在早期制定。该计划针对与风险本身、风险成因、风险后果（如果掌握）以及处理风险措施相关的问题。 为确保实施风险管理过程的职责明确，以及利益相关者理解决策的基础和特定措施需求的原因，采取有效的外部和内部沟通和协商。2.1 与利益相关者沟通和协商 与利益相关者的沟通协商是重要的，由于他们基于对风险的感知，做出了对风险的判断。这些感知可以由于利益相关者的价值观、需求、臆断、概念和关注点的不同而变化。 由于利益相关者的观点会对决策产生重大影响，因此他们的感知以被识别、记录、以及在决策过程中考虑。 沟通和协商宜提供真实的、相关的、准确的、便于理解的交流信息，同时宜考虑到保密和个人

41、诚实因素。2.沟通和协商2.2 协商团队方法 适当地帮助明确环境； 确保利益相关者的利益被理解和考虑； 帮助确保风险充分地被识别； 将不同领域的专业知识一并用于分析风险； 确保在界定风险准则和评定风险时，不同的观点被恰当地考虑； 确保认同和支持风险处理（应对）计划； 加强在风险管理过程中的变更管理； 制定一个恰当的内部和外部沟通和协商计划。3.明确环境3.1.总则 通过明确环境，组织明确其目标，界定风险管理应该考虑的外部和内部参数，并设置风险管理过程的范围和风险准则。 尽管许多此类参数与风险管理框架设计时所考虑的参数类似，但在明确风险管理过程的状况时，这些参数需要细致地，特别是与特定风险管理过

42、程联系起来考虑。3.明确环境3.2 明确外部环境 外部环境是组织在实现目标过程中所面临的外界环境的历史、现在和未来的各种相关信息。 为保证在制定风险准则时能充分考虑外部利益相关者的目标和关注点，组织需要了解外部环境。外部环境以组织所处的整体环境为基础，包括法律和监管要求、利益相关者的诉求和与具体风险管理过程相关的其他方面的信息等。3.2 明确外部环境 外部环境信息包括但不限于：国际、国内、地区及当地的政治、经济、 文化、法律、法规、技术、金融以及自然 环境和竞争环境；影响组织目标实现的外部关键因素及其历 史和变化趋势；外部利益相关者及其诉求、价值观、风险 承受度；外部利益相关者与组织的关系等。

43、3.明确环境3.3 明确内部环境 内部环境是组织在实现目标过程中所面临的内在环境的历史、现在和未来的各种相关信息。 风险管理过程要与组织的文化、经营过程和结构相适应，包括组织内影响其风险管理的任何事物。3.3 明确内部环境 组织需明确内部环境信息，因为： 风险可能会影响组织战略、日常经营或项目运营等各个方面，从而进一步会影响组织的价值、信用和承诺等； 风险管理在组织的特定目标和管理条件下进行； 具体活动的目标和有关准则应放到组织整体目标的环境中考虑。3.明确环境 理解内部环境是必要的，可包括，但不仅限于： 治理、组织结构、作用和责任； 方针、目标，为实现方针和目标制定的战略； 基于资源和知识理

44、解的能力（如：资金、时间、人员、过程、系统和技术）； 与内部利益相关方的关系，内部利益相关者的观点和价值观； 组织的文化； 信息系统、信息流和决策过程； 组织所采用的标准、指南和模式； 合同关系的形式与范围。3.明确环境3.4 明确风险管理过程状况 确立组织活动的目标、策略、范围和参数，或风险管理过程应用到的组织的那些部分。风险管理宜充分考虑满足开展风险管理的资源需求。 所需的资源、职责、权限和要保存的记录也宜予以规定。3.4 明确风险管理过程状况 风险管理过程的状况根据组织需求而变化。可以包括，但不仅限于： 确定风险管理活动的目标； 确定风险管理过程的职责； 确定所要开展的风险管理活动的范围

45、以及深度、广度，包括具体的内涵和外延； 以时间和地点，界定活动、过程、职能、项目、产品、服务或资产； 界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系；3.4 明确风险管理过程状况 确定风险评估的方法； 确定评价风险管理的绩效和有效性的方法； 识别和规定所必须要做出的决策； 确定所需的范围或框架性研究，它们的程度和目标，以及此种研究所需资源。 对这些和其他相关因素的关注，有助于确保所采用的风险管理方法适合于环境、组织、以及影响目标实现的风险。3.明确环境3.5 确定风险准则（1）风险准则 risk criteria 评价风险重要程度的依据。 风险准则需体现组织的风险承受度，应反映组

46、织的价值观、目标和资源。有些风险准则直接或间接反映了法律和法规要求或其他需要组织遵循的要求。 风险准则应当与组织的风险管理方针一致。具体的风险准则应尽可能在风险管理过程开始时制定，并持续不断地检查和完善。3.5 确定风险准则（2）确定风险准则时要考虑因素： 可能发生的后果的性质、类型以及后果的度量； 可能性的度量； 可能性和后果的时限； 风险的度量方法； 风险等级的确定； 利益相关者可接受的风险或可容许的风险等级； 多种风险的组合的影响4.风险评估4.1 风险评估过程 风险评估过程包括： 风险识别 风险分析 风险评价4.风险评估 4.1 风险评估过程 风险评估有助于决策者对风险及其原因、后果和

47、可能性有更充分的理解。为以下决策提供信息： （1）是否应该开展某些活动； （2）如何充分利用时机； （3）是否需要应对风险； （4）选择不同风险的应对策略； （5）确定风险应对策略的优先次序； （6）选择最适合的风险应对策略，将风险的不利影响控制在可以接受的水平。4.风险评估4.2 风险识别 风险识别的含义 发现、列举和描述风险要素的过程。 风险识别的过程 风险识别是通过识别风险源、影响范围、事件及其原因和潜在的后果等，生成一个全面的风险列表。识别风险不仅要考虑有关事件可能带来的损失，也要考虑其中蕴含的机会。4.风险评估 4.2 风险识别 风险识别的过程 进行风险识别时要掌握相关的和最新的信息

48、，必要时，需包括适用的背景信息。除了识別可能发生的风险事件外，还要考虑其可能的原因和可能导致的后果，包括所有重要的原因和后果。 不论风险事件的风险源是否在组织控制之下，或其原因是否已知，都应对其进行识别。此外，要关注已经发生的风险事件，特别是新近发生的风险事件 识别风险需要所有相关人员的参与。组织所采用的风险识别工具和技术应当适合于其目标、能力及其所处环境。4.风险评估4.2 风险识别-方法 风险识别方法包括： 基于证据的方法，例如检查表法以及对历史数据的审查； 系统性的团队方法，例如一个专家团队可以借助于一套结构化的提示或问题来系统地识别风险； 归纳推理技术，例如危险与可操作性分析（hazo

49、p）等。 组织可利用各种支持性的技术来提高风险识别工作的准确性和完整性，包括头脑风暴法及德尔菲法等。4.风险评估4.3 风险分析（1）风险分析的含义 系统地运用相关信息来确认风险的来源 ，并对风险进行估计。 风险分析要考虑导致风险的原因和风险源、风险事件的正面和负面的后果及其发生的可能性、影响后果和可能性的因素、不同风险及其风险源的相互关系以及风险的其他特性，还要考虑现有的管理措施及其效果和效率。4.风险评估 4.3 风险分析（2）风险分析的考虑要素 在风险分析中，应考虑组织的风险承受度及其对前提和假设的敏感性，并适时与决策者和其他利益相关者有效地沟通另外，还要考虑可能存在的专家观点中的分歧及

50、数据和模型的局限性。（3）风险分析的方法 根据风险分析的目的、获得的信息数据和资源，风险分析可以是定性的、半定量的、定量的或以上方法的组合。一般情况下，首先采用定性分析，初步了解风险等级和揭示主要风险。适当时，进行更具体和定量的风险分析。4.风险评估 4.3 风险分析（4）风险分析的结果 后果和可能性可通过专家意见确定，或通过对事件或事件组合的结果建模确定，也可通过对实验研究或可获得的数据的推导确定。 对后果的描述可表达为有形或无形的影响。在某些情况下，可能需要多个指标来确切描述不同时间、地点、类别或情形的后果。4.风险评估 4.3 风险分析（4）风险分析的结果 定性评估 半定量法 定量分析（5）控制措施评估（6）后果分析（7）可能性分析和概率估计（风险估计）（8）初步分析（9）不确定性及敏感性因素4.风险评估4.4 风险评价（1）风险评价的含义 将估计后风险与给定的风险准则对比， 来决定风险严重性的过程。 与组织确定的风险准则进行对照，以决定风险的水平并确定控制风险的优先顺序。经过风险评价，确定该风险是可承受还是需进行处理（分别采用风险规避、风险优化、风险转移或风险保留等措施