《ISO 31000：2018风险管理 指南》实用指导手册（雷泽佳译2022-04）

《风险管理指南》实践《风险管理指南》实践指导手册Riskmanagement—APracticalGuideToISO31000：2018Riskmanagement--Guidelines雷泽佳译《ISO31000：2018风险管理指南》实践指导手册本手册由雷泽佳翻译目次TOC\o"1-3"\h\u32622关于本书（译者序） 215113前言 324506序言 424140引言 57871应用ISO31000风险管理原则 6163782领导作用、承诺和职责 685742.1概述 698532.2风险管理在决策中的作用 711022.3风险管理的好处 8102742.4将风险管理与组织战略相整合 8147802.5分配角色与职责 9119962.6领导作用对风险管理的承诺 12118153风险管理框架 13161173.1引言 1383013.2提供风险管理的依据 13165263.3规定商业论证 14209913.4制定适当的框架 15189103.5评估风险管理实践的现状 1762993.6创建风险管理计划 1962773.7管理组织变革 20263234风险管理过程 2067764.1引言 20188874.2沟通和协商 21110894.3规定风险管理的范围和环境 2135194.4确定风险准则 2243534.5风险评估 2321855风险管理计划的有效性 31233535.1外部方法 31163215.2内部方法 3289726持续改进 3347266.1引言 33216436.2通过关键绩效指标测量风险管理的改进 3422406.3吸取经验教训 3414965附件 3516710附件A：差距分析示例 351072附件B：风险分类示例 3529645参考文献 39

国际标准化组织（ISO）有关风险管理的系列标准包括ISO31073：2022《风险管理术语》、ISO31000:2018《风险管理指南》、IEC31010:2019《风险管理风险评估技术》和《<ISO31000:2018《风险管理指南》>实践指南》。其中ISO31000:2018《风险管理指南》是风险管理的核心标准，是开展风险管理最重要的依据性标准，ISO31073《风险管理术语》是术语标准，IEC31010:2019《风险管理风险评估技术》是风险评估技术规范《<ISO31000:2018《风险管理指南》>实践指南》是了帮助更好的理解与有效应用提供具体且具更易于理解的指导手册（中文翻译版本更名为《<ISO31000:2018风险管理指南>实践指导手册》（以下简称本手册），主要内容包括应用ISO31000风险管理原则（第1章）、领导作用、承诺和职责（第2章）、风险管理框架（第3章）、风险管理过程（第4章）、风险管理计划的有效性（第5章）、持续改进（第6章）和附件。本手册由管理体系培训与咨询行业长期从业者雷泽佳翻译，旨在帮助更多中国各行业风险管理从业者（包括组织的各级管理者、全面风险管理人员、内控人员、风险管理专家、管理体系专业人员、国际标准化组织（ISO）有关风险管理的系列标准包括ISO31073：2022《风险管理术语》、ISO31000:2018《风险管理指南》、IEC31010:2019《风险管理风险评估技术》和《<ISO31000:2018《风险管理指南》>实践指南》。其中ISO31000:2018《风险管理指南》是风险管理的核心标准，是开展风险管理最重要的依据性标准，ISO31073《风险管理术语》是术语标准，IEC31010:2019《风险管理风险评估技术》是风险评估技术规范《<ISO31000:2018《风险管理指南》>实践指南》是了帮助更好的理解与有效应用提供具体且具更易于理解的指导手册（中文翻译版本更名为《<ISO31000:2018风险管理指南>实践指导手册》（以下简称本手册），主要内容包括应用ISO31000风险管理原则（第1章）、领导作用、承诺和职责（第2章）、风险管理框架（第3章）、风险管理过程（第4章）、风险管理计划的有效性（第5章）、持续改进（第6章）和附件。本手册由管理体系培训与咨询行业长期从业者雷泽佳翻译，旨在帮助更多中国各行业风险管理从业者（包括组织的各级管理者、全面风险管理人员、内控人员、风险管理专家、管理体系专业人员、学者和其他相关人员等）学习、交流和使用ISO31000:2018《风险管理指南》，在更广的范围内实现自己的最大收益，并帮助组织在创造和保护价值方面获得更丰厚的回报。雷泽佳2022年4月于长沙前言如果风险是机会、威胁和未来不确定性的组合。那么，风险管理则是所有组织知情决策的一个重要知识领域。此外，过去几年见证了各种形式和规模的风险，包括各种规模和潜在的影响；这些风险从日常管理中看到的挑战和机会到重大事件，如物流中断、政治动荡、大规模数据泄露以及全球流行病引发的前所未有的封锁。每一个事件都导致了人们对风险的绝对价值的认知和理解的提高。所有的事件，无论大小，都会对组织、业务以及它们运营所处的市场和经济产生强烈的影响。鉴于目前的不确定性，当各组织努力识别和管理他们的风险时，这并不令人惊讶。有效管理风险就是所有组织如何为其策划和活动带来更大确定性。为了满足这一高度相关的需求，ISO31000:2018《风险管理指南》旨在通过提供如何将有效的决策框架整合到治理、领导力和文化中的指导和方向来帮助组织。管理好风险的组织不仅能够生存而且可以蓬勃发展。作为风险管理的基础标准，ISO31000解释了风险管理的基本概念和原则，描述了框架并概述了风险识别和管理的过程。ISO31000补充了IEC31010:2019《风险管理风险评估技术》和ISO31073《风险管理术语》。这两个ISO标准包含了有关风险管理技术以及术语和定义的宝贵信息和指南。为了进一步帮助组织实施风险管理，我们现在在标准系列中增加了ISO31000:2018《风险管理实践指南》。本手册是应国际标准化组织ISO/TC262风险管理技术委员会的要求编写的，旨在为风险管理国际标准ISO31000提供实施指南。本手册的目的是帮助寻求如何将风险管理整合到其活动中的指导的组织。因此，该手册包括关于风险管理原则、框架、角色和责任、规划、流程、沟通、监视和评审以及持续改进的信息。因此，该手册包括有关风险管理原则、框架、角色和职责、策划、过程、沟通、监视和评审以及持续改进的信息。本手册是由ISO/TC262风险管理下的第6工作组的专家编写的，适用于那些正在开始他们的风险管理之旅或就如何改进其当前风险管理计划需要额外指导的人。我们希望这本由国际标准化组织（ISO）和联合国工业发展组织（UNDIC）联合出版的手册，能够支持贵组织在创造和保护价值方面的努力，以帮助实现ISO31000所提供的多重益处。李勇

塞尔吉奥·穆希卡联合国工业发展组织总干事国际标准化组织（ISO）秘书长序言本手册与ISO31000:2018《风险管理指南》相一致。本手册旨在指导组织实施和实践风险管理。为简洁起见，本手册将该国际标准称为ISO31000。本手册与ISO31000的内容一致，但它并未照搬ISO31000的结构，旨在指导组织实施和实践风险管理。引言实施有效的风险管理支持质量和成功，以及潜在的社会利益。ISO31000将风险定义为不确定性对目标的影响,包括对组织的宗旨、愿景和价值观以及组织不同层面所阐述的目标和指标的影响，还可包括对某一特定决策很重要的因素。本手册为管理任何风险提供了一个通用的方法。并不针对具体行业或部门。本手册提供指导，以帮助组织将有效的风险管理计划整合到其所有活动和职能中。本手册对ISO31000中的条款进行了扩展并提供了环境。本手册提供了关于导入和实施风险管理的建议，包括如何为相关方创造和保护价值。本手册展示了如何：使用风险管理原则有效和高效管理风险；制定计划将风险整合到组织现有安排中；理解组织文化如何影响风险管理的设计和实施；确认当变化影响到组织时，考虑有效风险管理的需求；应用风险管理过程来识别、分析、评价并在需要时应对风险；与相关方进行沟通和协商；监视和评审风险管理计划和过程；根据环境和经验教训持续改进。与ISO31000一样，本手册可用于管理所有类型组织的风险。本手册适用于组织及其活动。本手册适用于那些正在考虑实施ISO31000或寻求改进现有风险管理的组织。与ISO31000一样，本手册可用于管理所有方面的风险组织类型。适用于一个组织及其活动。《风险管理指南》实践指导手册应用ISO31000风险管理原则风险管理原则把风险管理框架和实践与组织的战略目的和目标联系起来。风险管理的核心原则和目的是：风险管理创造和保护价值。原则是风险管理各个方面的基础并已融入本手册的各个部分。风险管理是整合的：在整个组织的正常活动和决策过程中应考虑风险，风险应被整合到组织的整个管理体系之中。风险管理安排是结构化和全面性的：结构化的框架有助于组织理解角色和职责并提供一致的程序，包括识别、理解和应对风险以及沟通信息。风险管理是定制化的：该原则鼓励组织根据其目标和需求进行定制化。风险管理是包容性的：作为风险管理的一部分，相关方适当、及时的参与可以使他们的观点得到考虑，从而产生更加知情的决策。风险管理是动态性的：由于组织环境和情况随着时间而变化，风险也随之变化。该原则强调应定期评审风险以确保风险能应对组织的目标。最佳可用信息：知情的决策需要来自组织和其他来源的相关的和准确的信息，风险管理应反映和考虑内外部相关方的输入。人文因素：风险管理需要相关方的参与和合作。这将促使人们认识到人文因素对组织的成功至关重要，该原则还指出在将风险管理整合到组织中以及设计适当的风险管理过程时，考虑独特的情况和人的需求。持续改进：该原则鼓励组织持续地监视、评审和改进风险管理过程，以确保风险管理过程在支持组织的整体绩效上保持相关、有效和高效。领导作用、承诺和职责概述管理风险通过组织更有效和高效地实现其目标，使增加和保护价值具有长期的确定性。能够预测风险并提前做好准备的组织才会持续成功。实施和增强风险管理能支持组织的目标并为组织创造和保护价值。实施始于认识至哪些价值对组织来说很重要的。风险价值可用市场占有率、利润、服务管理、项目交付或社会服务等词语来表示。没有哪个单一的风险可以实现这些目标。每个组织负责根据组织的使命、愿景、战略目标和主要活动识别价值。风险管理的价值应得到组织的监督机构的支持，由最高管理者和风险责任人付诸实施，并在整个组织的通用框架内予以应用。各组织的框架差距很大，但通常包括领导作用和承诺、资源、明确的责任、沟通、计划、措施和过程。风险管理在决策中的作用总则有效管理一个组织和创造价值的关键是知情的、符合逻辑的、结构化的和一致的决策。决策者在追求组织的目标和期望结果中权衡方案，就需要基于经验、理性和最佳可用信息从多个选项中作出选择。为了确定一个或多个行为方案，风险管理过程为确定一个或多个行动方案提供了知情决策的基础。对于经营管理得良好的组织，决策是其战略、运营管理与控制的基本部分。良好的决策基于对环境和实现目标的潜在确定性的清晰理解。组织面临多种多样的风险，有些风险具有复合或连锁效应。识别和理解单个风险的性质和风险之间的相互作用可支持知情的决策并能更地地认知决策潜在的非预期后果。制定和评价备选方案可减少决策制定中的不确定性并揭示可能发生的未知事件。时间期限和对组织的影响程度决定着决策过程的紧急程度。示例—案例分析为了使用产品安全和有利地进入市场，一家炼油公司需要了解与结构设计、运行、安全、环境、质量、声誉、法规、供应链、经济和这些因素之间的相互关系。为了卓有有效，风险管理需要在组织组织的治理、合规、过程和运行程序环境中加以理解。组织要实现战略和运营目标，风险管理应与组织的治理结构、使命、价值观和文化相一致。组织要兴旺和持续成功，管理实现组织战略和运营目标的不确定性是组织各项活动、职能、过程的有机组成部分。可以采用自上而下和自下而上的方法。因此，在确定风险管理框架时，应清楚地理解和影响决策。将风险整合到决策中通常认为一项决策有三个阶段：决策前阶段、主动决策阶段和决策后阶段。风险管理可被整合到这三个阶段中。例如，在决定是否继续进行一项计划前开展风险评估。在主动决策阶段，设定有关损失承受和收益最大化预期的环境时应考虑风险。一旦作出决策，可评估和应对来自战略实施的风险。有时，当可能的结果可预测和很可能发生时，可从获得的、可靠的证据中简单而直接地得出决策。也有时当信息当前状态处于以下情况下，则在不确定情形中出作决策：事物的顺序与性质未知；状况、条件或事件的后果、范围和大小不可预测；可能结果的可信概率全部不确切；快速的变化和动态的情况影响假设；可获得的信息模糊且不完整。将不确定性考虑因素整合到决策中会导致更佳的决策和更好的结果。为将风险整合到决策中，有必要理解：谁是个人决策者？谁负责实施决策？有关人员承担风险的态度；决策的重要性和相关性；组织各个部分对决策的影响；执行决策所需获得的资源。其他关键考虑因素包括决策的重要性和相关性以及组织各个部分对决策的影响。风险管理的好处有效的风险管理使组织能够通过持续风险评估来实现其目标、减少意外情况和改进绩效。风险管理还可以为相关方提供持续的、一致的和可靠的信息。通过在整个组织中实施和整合管理风险过程，还可以获得以下额外的好处：更高效地使用和分配资金和其他资源；具有快速发现、捕获以及响应机会与风险的能力；减少损失的可能性和影响；更加清晰、知情的的决策；更低的合规/审核成本；通过使用风险信息，简化和改进过程，以节约成本；更好地管理影响绩效的人文因素；更好地理解潜在事件，并具有影响结果的能力。将风险管理与组织战略相整合概述组织的所决策与活动均涉及风险，首先是战略风险。将风险与战略整合能够使管理者选择最佳战略并管理相关的风险。以下子条款说明了将风险管理整合到战略制定的各个步骤。沟通与协商在制定战略时，与相关方协商非常重要，这可为识别风险提供输入，并支持所制定的计划。关于战略的对话和讨论是对组织所面临的风险达成共识的一个机会。在战略规划的开始和整个过程中，与适当的相关方进行沟通和协商，额外的输入将增强对风险的理解并提高对所采取行动的信心。明确战略环境在制定战略时，最高管理者可以考虑当前的内外部环境、历史绩效以及近期、中期和长期的愿景（见3.4.1理解和使用组织环境）。将风险管理整合到战略规划需要深入理解关键业务驱动因素、组织的需求和目标，以及它们如何随时间变化。识别与战略相关的风险在组织制定战略时，他们会考虑机会和威胁以及相关的风险。在确定战略风险时，组织可考虑长期和短期风险以及当前和新兴风险等因素。与战略相关的风险涵盖一个组织的多个要素及其实现目标的能力。示例气候危机导致了极端天气事件的增加，这可能会影响结构的持久性、生产的可靠性、扰乱旅行等。这些影响可能会影响到资产的生命周期管理以及对运营成本和利润的预测。评估战略风险评估与战略相关的风险是一个循环往复的过程。战略选择期间和之后都要对风险进行评估，以便更详细地识别和分析风险。评估包括收集和分析信息、咨询相关方和专家并使用IEC31010:2019《风险管理风险评估技术》确定的技术。与最高管理者和监督机构的访谈使得能够讨论和考虑潜在的战略风险，包括新兴风险。最后确定计划（包括对已识别的风险采取风险应对行动）战略实施计划应包括对已识别的风险的应对。战略需要被整合到组织的各个层面，并与之沟通。监视和评审风险和战略目标作为定期评审的一部分，对风险、战略目标和关键风险绩效措施进行监视（见“6持续改进”）。分配角色与职责概述风险管理要想成功，需要最高管理者（定义为高级行政团队成员）和监督机构（最常见的是董事会）的充分支持。最高管理者对一个组织的风险管理及其成败负有最终责任。管理风险的责任是组织治理的一个重要方面。风险治理结构包括对角色、职责、责任和监督的清晰理解。下列子条款对组织中管理风险的角色进行了概述。监督机构董事会或监督机构代表相关方发挥重要作用，确保组织适当地管理其所面临的风险。监督机构在风险方面的职责包括：监督组织内支持风险管理的文化以及激励措施如何推动这种支持；与最高管理者共同确定组织能够承担的风险数量和类型；保持对可能影响组织目标的风险和控制的监督；采取措施，确保用于沟通风险及其管理的语言在整个组织内是清晰的并得到理解；确保将风险管理嵌入到支持重要决策的过程中；确定风险管理保证的适当结构，包括审核和风险委员会的角色。在小型家族企业的例子中，在某些情况下，董事会由所有者和最高管理者组成，如财务经理和运营经理。对于一个非营利性的初创企业来说，最初的董事会可能包括专业同事、合作伙伴和志愿者。随着非营利组织对其环境、战略目标和风险的进一步了解，可能会产生对董事会在法律、营销和筹款方面的新技能和经验的要求。最高管理者无论是作为一个正式的还是非正式的过程，所有的组织都在管理风险。最高管理者需要证实对管理风险的承诺，强调其在整个组织中的重要性、整合和有效性。最高管理者的职责是：理解组织运营所处的动态风险环境；对组织内的风险有一个总体的理解；在内部制定并沟通风险管理方针，适当时，向相关方沟通；确保风险管理与组织的战略和目标相一致；树立榜样并积极示范如何在决策中考虑风险，以期望组织其他部门遵循相同的程序；确定组织在追求目标时愿意承担的风险数量；在整个组织内分配实施、监视和改进风险管理所需的资源；确保风险管理框架和过程的实施；鼓励人们积极地看待风险识别、分析和应对；管理他们拥有的风险。相关方相关方是指可影响决策或活动、受决策或活动影响，或自认为受决策或活动影响的个人或组织（见ISO31000）。相关方应该有机会提供他们的观点并加以考虑，即使其观点可能与组织的观点不一致。外部相关方可包括：期望获得投资回报和成果的持续绩效的股东；受产品和服务质量影响的顾客；期待持久和可靠关系的供方和合作伙伴；（国家和地方各级）政府、工会、非政府组织；依赖组织的经济和环境绩效、声誉以及对合规义务遵守的公众。内部相关方包括员工、各级管理者和其他参与有效管理风险的人员。具体的职责包括：了解并履行风险管理框架所规定的职责；为风险管理活动提供输入；参与风险管理程序和过程，以识别和分析风险；确保在其责任范围内有效地应对风险；报告风险；遵循方针和程序以确保合规。有时，外部和内部相关方之间可能会有重叠，例如股东。风险责任人风险责任人是具有管理风险的责任和权力的一个人或一个实体。组织的文化和结构在确定风险责任人方面起着重要的作用。风险责任人要有适当级别的决策权来管理其指定的风险。风险所有权可以通过组织的几个层面进行授权，这有助于减少最高管理者的工作量，并在整个组织内培养有关风险和风险管理的思维、行为和行动。示例风险负责人可以是组织中的任何级别，例如，负责一个具体项目的项目经理，或负责一个工厂生产线的预算和资源的流程经理。风险任人需要：对其风险领域有良好的知识和理解；在组织内有适当级别的决策权；获得资源，如人员和/或资金；适当的风险管理培训；对关键相关方的了解和理解。风险领导者风险领导者负责确保风险管理框架和过程的实施，并将其整合到组织的管理体系和过程中。有时，他们被称为风险支持者或协调者。他们了解和理解风险，并提供促进风险过程的能力。在一些组织中，这可能包括设计和定制框架并开发适当的工具和指南，以帮助其他人履行风险管理职责。风险领导者需要。适当的风险管理培训；对组织的使命、宗旨和目标以及其运作环境有良好的理解；对组织的理解包括治理结构、运营、市场、收入和资金来源、技术和人员；有效沟通的能力，以及在日常活动中促进风险管理的能力；具备有效沟通和在日常活动中促进风险管理的能力。领导作用对风险管理的承诺有效的风险管理为最高管理者管理组织提供信息和洞察力，通过承担适当的风险，作出知情的决策和实现目标。证实领导者承诺的问题包括：风险管理是否得到最高管理者的支持？在决策和行动中是否考虑了相关的风险？风险是否在组织的各个层面得到讨论？否有适当的资源分配给整个组织的风险管理？风险责任人是否已经识别了他们的风险，他们是否了解如何管理这些风险？适当的风险是否及时地逐步升级给最高管理者？组织内是否有一个风险职能或风险领导者？风险领导者是否直接向最高管理者和监督机构报告？是否分配了职能和报告责任？监督机构是否及时参与重大的风险议题，特别是关键的战略风险？监督机构是否了解他们在管理风险方面的角色？监督机构是否对监督过程的有效性进行了评价？监督机构是否接收他们所需的风险报告和信息？风险管理框架引言需要清晰规定领导作用、承诺和责任，以实现更好的决策和更少的意外，但这些还不足以将风险管理转化为行动。风险管理框架的目的是帮助组织将风险管理整合到重要的活动和职能中。本章为如何设计并持续改进一个定制的框架以整合和保持组织的风险管理提供指导，这项基础性工作有助于将风险管理整合到现有的治理和管理安排中，并不断改进风险管理活动。风险管理框架包括环境、方针、资源、过程、组织结构和在组织中实施风险管理所需的技术。定制一个动态的框架有助于组织将风险管理整合到治理安排、决策、过程和相关活动中。提供风险管理的依据被指派的和负责任的领导者要制定实施或改进风险管理的依据。这需要对组织的愿景、使命和目标、组织运行环境、组织结构以及风险管理将如何创造和保护价值有坚实的理解。在理解了组织的使命、业务模式和环境之后，负责设计框架的领导者将通过确认最高管理者对整合和承担风险管理责任的承诺而受益。与最高管理者的协商为实施或改进风险管理能力和实践的依据提供了基础。协商可包括风险管理能给领导者个人和组织带来什么预期的讨论。设计一个“适合目的”的风险管理框架需要理解组织如何创造、交付、捕获和保护价值。例如。设计可能包括调查和理解其目的、战略、目标、决策过程、当前的风险管理实践、需求和预期结果。将ISO31000的风险管理原则整合到框架设计中，可以帮助组织关注为什么风险管理是重要的。问一些问题，如“我们目前是如何管理风险的？”和“我们想要达到什么结果，而我们目前没有达到？”，可以帮助确定改变的依据，以改进组织的风险管理实践。根据需求以及当前的治理安排如何支持组织的风险管理目标，或者是否能调整这些安排，而采用不同的方法。提出正当理由并获得承诺的方法是，在预期从风险战略中获得的价值方面，制定清晰、简明、令人信服的信息，并将其与具体的组织目标联系起来。然后，由关键的决策者和影响者参与的商业论证的预演可以完善依据和业务需求。示例组织目标可以是:具体的结果（如一个项目的积极成果：支持增加10%高质量新客户，或评估与销售激励计划相关的风险）；支持更广泛的目标（例如，提高实现和保持收入增长10%的几率，评估与目标市场相关的风险并提高承担风险的能力）；基于过程的目标（例如，评价和报告组织在拨款组合中可以或不能承担的风险的正负偏差）。规定商业论证风险管理的商业论证概述了各种方案，并提供了前进的推荐方法。商业论证可包括以下内容：执行摘要；正式认可和个人授权以管理整合；方案的目的和业务需求；方案的优先事项。战略性的、董事会层面的优先事项；要获得的具体收益。方案的范围说明和定义。目标和预期交付物的清单；工作的描述；假设和制约因素清单；估计的时间表和资源目标措施、日期/里程碑；资本和运营费用要求；所需的主要内外部资源、估计工作时间绩效测量和准则。方案的角色和职责项目发起人、项目负责人、项目经理和相关者名单，以及每个人的权力和责任。说服关键决策者相信风险管理的价值，可以使他们成为整个组织风险管理的早期采用者和倡导者。制定适当的框架适当框架有助于将风险管理活动整合到现有的管理和治理安排中，并持续改进风险管理。建立或更新框架需考虑组织是如何管理风险的。将组织的框架正式化，通常包括对现有风险管理实践的评估以确定差距，作出改进并建立一致性。这种评估可能侧重于实践以及人员、过程和技术。现有风险管理实践可以通过评审方针、实践、报告以及关键运营、部门或场所的活动来确定。其他方法包括与关键人员的访谈、个人观察和调查。在记录和理解了风险管理实践和活动之后，就可以对它们的一致性和有效性进行比较。当识别差距后，就可以制定计划来改进、弥补差距，或缩减不适合某一区域或整个组织的需要的工作。该过程可以识别出那些使用资源超过必要的领域以及缺陷。理解和使用组织环境ISO31000中描述的组织环境要素是全面的。定制有助于使这些要素与特定的组织结构和目的相一致。与该框架相关的其他信息包括组织自身的结构，这可通过组织结构图或关键服务或部门、分支机构和场所的清单来展示。阐述内外部环境的一种方法是编制每个要素的描述书。整体来看，这些描述书清楚地说明如何创建一致的、可持续的结构来管理整个企业的风险。对内外部环境的描述还可以揭示出以下领域值得追求的风险领域或需特别谨慎的领域。对组织环境的透彻理解可以引发对重要信息的收集。示例:案例分析在对运行环境的讨论中，大学的风险委员会识别出一些需要严格遵守的法律法规（外部环境的一个要素）。该大学有多个内部部门受到这些法律法规的影响，而它们之间很少沟通。因此，报告有时是重复的，而且总是效率低下（内部环境的一个要素）。这种组织安排也造成了风险，即相冲突的信息可能会导致监管机构增多的审查、制裁或不良报道。作为这些信息的结果，建立框架以对这些关键风险进行集中的监督。报告和治理过程得到了改进。环境讨论还确定了一个需加以管理的关键风险。另一个例子，来自一家高科技初创公司。某公司创始人和少数员工在制定实施和营销战略时，将内外部环境要素用作作检查单。他们还将风险管理框架直接整合到决策和规划过程中。对组织环境的理解有助于定制和整合风险管理框架，使其在组织内被接受。培训团队有效风险管理的先决条件之一是，组织内的每个人都理解他们在管理风险方面的角色和职责。制定框架需要的决定包括：风险管理是如何结构化的（框架）；如何让人们知悉和参与（通过计划和风险管理过程）；如何实施和报告风险管理过程（风险管理计划的一个要素）。对于任何规模或复杂性的组织，这些都需要群体参与和输入的决定。各组织可以利用共同治理来构建规划和监督功能，以吸收多种观点和组织的知识。组织需要持续评估和解决团体中个人知识的差距。风险管理的依据、对环境的理解以及对相关方的考虑可为组织的治理结构和过程提供信息。示例:案例分析一个大型的城市县政府创建了一个企业风险管理咨询委员会。委员会由代表组织内所有部门的十二位领导人组成。委员会成员的任期为三年，每季度召开一次会议。委员会的工作首先是对其成员进行风险管理的目的、价值和成果的教育。然后，委员会完成了风险管理框架的要素，包括确定通用的定义、目的和过程。委员会记录了他们对运行环境和内部相关方的描述，并利用这些信息来制定该县的多年风险管理实施计划。这些描述还被整合到所有的风险管理过程中。委员会成员发展了能力和经验，能够帮助各部门将风险管理过程应用于决策和项目。随着风险的识别和应对计划的制定，委员会对关键风险进行监督。委员会继续向管理委员会报告关键风险、进展和挑战。考虑关键成功因素关键成功因素是实现使命或宗旨所需的因素。它们是实现预期结果所需的机会、活动或条件的指标。因此，对每个组织都是独特的。关键成功因素可以是物质的（如生产线或供应链能力），也可以是非物质的（技能、市场或声誉）。它们有时通过规模、速度和依赖性来描述。与关键成功因素有关的问题的例子包括：及时性或速度是任何关键成功因素的要素吗？是否存在影响任何关键因素的规模差距？哪些依赖性和相互依赖性会影响目标？哪些定量和定性的参数需要加以理解和管理以获得成功？哪些变化会影响当前或未来目标的实现？如何监视和没量关键因素？哪些方面可能出错，哪些方面需顺利进行？示例:案例分析某全球连锁酒店正在考虑卖掉一些地方以偿还债务。一些关键的成功因素包括它有多少时间来解决其财务问题、该组织不能用运营来源的现金流偿还债务的原因以及资产剥离是否对酒店的品牌和声誉产生影响。作为一个专注于机会管理的小型高科技初创企业，在投资者兴趣的开始阶段，关键取决于通过投资和开发机会来筹集所需资金的成功。成功的关键因素将集中在投资者和银行经理眼中的初创企业的优势和劣势上。在决策和风险管理过程中考虑关键成功因素可以：使可能发生的事件或趋势的积极后果最大化，消极后果最小化；最大限度地利用有限的资源（包括时间）；提高效率和效益；帮助对风险进行排序，并根据组织的战略和目标部署资源。建立一个成功的、适当的风险管理计划的框架，需要广泛的理解、策划和协作的方法来实现组织的风险管理目标。导入或加强风险管理的计划的制定是基于商业论证、组织环境、领导作用承诺的程度、差距分析的结果以及以及组织的目的和期望。风险管理计划的构思风险管理计划帮助组织改进和整合风险管理。该计划通过解释组织在未来状态下的风险管理理念，阐明组织管理风险的愿景。正式的商业论证的要素为这个愿景提供信息，包括依据、计划的目的和业务需求。风险远景陈述的目的规定为什么和如何在组织内管理风险以及战略为什么和如何随着时间的推移逐渐演变。它可以包括描述谁将参与、风险将如何在整个组织内沟通和管理以及对责任和决策的期望。规定和持续沟通远景帮助聚集和组织风险管理计划。评估风险管理实践的现状改进目前的做法，首先要理解目前是如何管理风险的、目前风险方案是如何实行的以及组织在哪里已经建立管理风险的体系或过程。虽然可以使用各种技术，但简单的差距分析试图回答"我们在哪里？(当前状态)和"我们想在哪里"？(未来状态)。风险管理实践清单、基于商定准则的差距分析和以及组织的安排，可用来分析当前状态。评估当前风险管理实践的问题包括：你的组织如何测量和管理某一领域、部门或具体活动的风险？谁对风险管理过程和结果负责？目前有哪些方针和程序来管理风险，它们是否被适当地沟通？人们如何考虑风险、根据风险行动和报告风险？收集和报告哪些风险数据？谁对风险数据的准确性、维护和报告负责？是否有其他涉及风险管理和报告的计划或合规要求？文化是否鼓励公开讨论风险？是否适当地使用了风险评估技术？让知识渊博的的关键相关方参与制定差距分析的绩效准则，评估当前状态，并确定期望的未来状态，这体现了风险管理的包容性、整合和定制化原则。相关方需要就对组织很重要的基本风险管理实践达成一致意见。应基于包括组织风险管理结果在内的讨论，列出实现理想的未来状态（将成为什么）所需的因素，如财务、人员、过程或技术。与相关方的讨论突出需求超过现有资源的数量，以及取得成功需要弥补哪些差距（需考虑什么）。关于差距分析示例，参见附件A。应记录用于分析现有风险做法的证据。示例:案例分析某大型政府组织要求内部审核员完成列入其年度个人发展计划中的风险管理绩效评估的继续教育，以解决知识方面的差距。继续教育学分记录提供了与人员风险评估继续教育方面的证据。在大中型组织中，风险框架要求风险委员会每季度召开一次会议。为了解决治理方面的差距，这些会议纪要提供证据，包括谁参加、多长时间举行一次、讨论的了什么以及行动是否在原定期限内结束。在需要时，各组织可以建立定量或定性的风险偏好声明或战略，以表达追求或保留风险以实现使命、战略或特定目标的意愿。这种声明可视为监管机构、管理优先事项或行业惯例所要求的。在评估当前状态时，可以考虑这些声明。没有建立正式或非正式风险偏好的组织，可以考虑这种声明是否有助于作为未来理想状态的一部分。在调整和改进现有做法的依据方面取得共识，为制定框架和能够实现的的风险管理计划奠定基础。创建风险管理计划风险管理计划详细说明了建立或改进组织的风险管理能力的必要步骤。风险管理计划确保各项活动按连贯的顺序进行，并提供记录进展和跟踪改进的方法。让具有不同职责的广泛的相关方群体参与制定计划，可以提供对预期结果的更全面的看法，并鼓励更好地采用。它还可以帮助组织预测并主动解决潜在的复杂情况和其他问题。分阶段组织计划可以跟踪近期、中期和长期目标。这为实现快速、可测量的结果创造条件，但同时也建立了现实的期望，即全面整合可能是一个长期过程。将这些计划目标与其他组织改进活动整合起来，加强风险管理，使之成为运营有效性的关键组成部分，而不是一项单独的活动。与风险管理的其他方面一样，利用每个机会来影响现有的报告和运营基础设施。评估和管理风险以成功实施计划本身，可以使计划顺利进行。该计划可以包括：计划的范围和目标；商业论证中的要素，如估计的实施时间和资源需求；具体的、可测量、可实现的、相关的和有时限的细节；描述风险管理目标如何与组织的使命和战略相一致；描述风险管理活动如何支持组织目标的实现；关于领导作用对风险管理的承诺的声明，包括对权力和报告关系的讨论；对组织如何将风险管理整合到治理、战略制定、决策、关键业务和运行过程的期望；相关的监督委员会、主管部门和主要相关方以及对这些机构的期望和职责的概述，这可以包括主管部门、审计委员会、风险委员会、最高管理者、部门主管、风险责任人、其他主题专家和组织相关方。实施计划和将风险管理整合到日常运营和决策所需的资源，包括：人员、技能、经验和能力；支持风险管理过程所需的财政和技术资源；管理、监视和报告风险的过程和工具；有效沟通和协商的工具；变革管理的方法；整合风险管理所需的风险管理培训和其他支持活动，识别、分析和评价风险以及分析风险应对和控制有效性和效率的适当过程；解释如何分配风险责任人，如何对风险应对进行优先排序和选择，以及如何测量持续的绩效。每个群体的风险沟通和报告机制，包括报告格式、顺序、起因、频率和受众；针对不正常的结果，规定风险升级程序；讨论组织关于经验教训的理念以及如何识别、评估和体现这些成长机会以支持持续改进和风险管理活动的成熟度；监视和测量持续的绩效。管理组织变革风险管理计划可以包括对工作角色、组织结构、过程和技术所需的变革建议。对这些变革采用变革管理方法，可以提高其成功的可能性。有些人愿意接受将风险管理整合至决策和其他活动中，而有些人则坚决抵制。预测和管理潜在的不同反应可视为整合计划的一部分。变革管理通常包括多个步骤。整合变革和克服阻力的基本步骤是制定有关下列方面的清晰和有说服力的沟通方式：变革的性质和范围；为什么目前有必要进行变革（紧迫性和设想的结果是什么？）；谁发起、支持和参与变革；所期望的变革是如何提高组织（或抵抗个体）实现目标的能力；要消除的障碍，以使变革能够发生；收集反馈和测量采纳变革的方法；如何认可成功的整合和成果；考虑组织变革管理方法如何帮助解决任何项目管理或整合方法中的人类行为挑战。组织可研究和定制不同的变革管理方法，这取决于变革是被认为是渐进的还是转型的。风险管理过程引言结构化的风险管理过程旨在使风险管理与目标相一致，并以一种不偏不倚的方式管理风险。尽管该过程的基本步骤适用于所有风险和组织的所有层级，但可以根据情况使用不同的风险评估技术。风险管理的一个重要关注点是为组织创造价值和更好的决策，然而，在许多情况下，风险是众所周知的，控制也是到位的。在这种情况下，风险管理的关注点可能是确保控制是适当的、有效的，并为情况属实提供保证。沟通和协商采取包容性方法进行沟通和协商，有助于识别风险并获得对有关风险重要性和风险应对决定的接受和积极支持。要识别内部相关方并制定如何与他们沟通和协商的计划。这发生在过程的开始和整个过程的适当阶段。对于任何风险评估，考虑需要哪些专业知识、谁将积极参与以及谁将知悉结果。如果额外的输入会提高对风险的理解或对所采取的行动的信心，就可以在过程中的任何时候开展协商。要识别相关方并决定沟通策略，因为：人文因素可能是不确定性的来源；相关方有权知道风险是否会影响他们；相关方对风险的看法可能是相关的。以下问题可以帮助确定有效和高效的相关方协商：在风险管理过程开始之前，是否确定了适当的内外部相关方？合适的相关方是否在过程的每个阶段都适当地参与？在整个风险管理过程中，是否确定了所有其他相关方？在整个风险评估和应对过程中，与哪些相关方进行了协商？在整个过程中是否与适当的相关方进行了沟通？决策或风险管理过程的结果是否得到适当的沟通？是否考虑了相关方要求的结果？规定风险管理的范围和环境风险管理过程的第一步是规定范围、边界和环境。这可确保更好地利用组织的时间、精力和资源。确定环境包括理解组织环境（见3.4.1理解和使用组织环境）对风险评估的影响。所有风险管理活动都需要考虑到组织的目标和价值以及风险评估过程的具体目标。战略目标转化为财务和非财务目标，由组织根据这些目标来测量绩效。组织内不同层面的目标需要与组织层面的目标、价值和目的相一致。组织层面的目标可以通过不同方式向下层层展开到组织的不同部分，从而使规定的目标具体到各个单位的工作中。不同单位或部门层面目标的共同实现有助于实现组织的整体目标。示例以下是风险评估环境的示例：对于组织层面的风险评估不断变化的法规要求，如新的或改变的移民法规或限制性的税收要求，可能是在多个国家运营的组织的风险源；竞争者收购小型实体和压低价格的行动会对组织的生存构成风险；项目可以有与进度有关的目标，需要识别能够延迟项目或使其提前完成的风险。在组织层面，项目完成时间会影响与利润和声誉有关的目标。对于运营层面的风险评估不受控的成本削减会导致人员不足，并导致运营生产力损失的更大风险；文化问题，如指责文化会导致人们不愿意识别、报告以及接受风险责任。与范围和环境有关的信息是通过与人交谈和引用方针、业务计划和其他整个组织范围的文件而找到的。确定风险准则风险准则是一套规则或陈述，它使整个组织的决策相一致。风险准则的使用支持更好的决策，例如：如何决定一个风险已被充分控制；当一个风险是不可接受的，因此工作必须停止而不考虑收益；何时潜在的收益足以使某个风险被接受；如何判断风险相对于资源分配的重要性；何时将风险的存在告知更高级别的人员；当几个目标受到影响时，如何进行权衡。对于不同类型的风险，风险准则可能不同，风险准则应与组织愿意承担的最大风险敞口相一致。组织在制定准则时可以考虑其优先事项，例如可持续性的三个维度（环境、社会和经济）。示例组织可以设定目标以减少碳足迹。风险准则将考虑到与此目标相关的威胁和机会。组织可能将他们的健康安全风险目标陈述为不发生事故。与该陈述相一致的风险准则将阐明在合理可行的范围内控制风险。如果更多的控制是可行的，则可以采用；金融机构可以根据风险值（VaR）来制定准则(投资组合的风险值是指在一个特定的时间范围内，在预先确定的置信度下，预计损失的最大资金量)。用于比较风险相对不同目标的重要性的准则，可以基于对后果及其可能性的考虑。需要一个普遍使用和相关的尺度来测量和比较风险。例如，可以用定性、半定量或定量的尺度来考虑不同的可能性、水平和后果的类型。后果可以是有形的，也可以是无形的。对规定可能性、后果和决策准则的描述应是不含糊且便于解释。所有的假设都应予以明确地说明。 示例在某些情况下，矩阵有助于比较不同类型的风险。矩阵的一个轴是后果，另一个轴是可能性。每个风险根据其后果的可能性在矩阵上绘制。一般来说，可能性和后果的组合越高，优先级就越高，或越需要将风险提交给组织中的更高层。矩阵还可以显示出风险评估的积极一面，其评分可以捕捉到潜在的影响和机会的可能性。由于后果的性质，具有较高后果的风险可能值得更优先考虑。在极高的后果可能是死亡的情况下，无论失败的可能性有多大，都要考虑减少风险。[注]：矩阵可以帮助描述相对重要性。然而，需要注意确保用于确定结论的基本方法是准确且合乎情理的。在有高度不确定性的方面，例如在长期战略规划或新技术方面，预先确定的风险准则可能不合适。在这些情况下，与机会和威胁有关的风险决定可以从协商和讨论中获益。风险评估不确定性渗透到组织的环境和活动的每一个方面，可以产生积极、消极或中性的结果。对一方的负面结果可能成为另一方的正面结果。可以识别风险，以便在决策中考虑这些风险并制定应对措施，支持积极的结果，减少消极的结果。不确定性影响着个人和组织，包括决策者。对风险的感知是情境式的，因为它产生于对未来事件的理解或认识的不确定性。这包括其对目标的后果以及所涉及的特征和变量的不确定性，包括其发生的可能性。风险评估包括三个步骤:1）风险识别（认知风险）；2）风险分析（理解风险）；3）风险评价（判断其重要性）。所使用的方法应是结构化的、协同的和全面的，并利用现有的最佳信息。在识别和评价风险以及评估控制的有效性时，要考虑到组织文化和偏见。目标和决策时间表决定了如何评估风险。当决策简单和频繁时，一旦充分整合到组织文化，风险评估就会成为决策过程中的一个自动和非正式的部分。当决策变得更重要或更复杂时，应采用慎重的风险评估过程。示例:案例分析作为一个积极和消极结果的例子，雨可以给建筑商带来损失，但给农民带来好处。雨给农民带来的好处是，现有的农作物生长得更好。如果农民选择这样做，雨还提供了种植更多种子的机会。然而，这种机会伴随着风险，即没有后续的雨，种子的成本将被损失。另一方面，下雨可能会延误建筑商的工作，导致时间和金钱的损失。风险取决于情况。同一事件在一种情况下可能没有风险，而在另一种情况下却有风险。根据目标和价值观，一件事对一个人来说可能是低风险，而对另一个人来说可能是高风险。示例如果没有人在那里，一棵树倒在森林里并不是一个风险，但如果它倒在防火道上，就会给那些必须使用防火道的人带来风险，后果的程度将取决于想要使用防火道的原因，即有火还是没有火。可对风险进行评估。对于新的活动或当获得了新知识时；当环境或目标发生重大变化时；定期反映当前已识别的风险的正面和负面结果并识别所有新风险；当控制或风险准则改变时；当作出可能影响组织目标的决定时。风险识别由于对风险的考虑涉及到不确定性对目标的影响，因此，风险识别的出发点是考虑哪些会影响到目标（组织的目标和需要评估的部分的目标）。在实现这些目标的过程中，任何威胁或不确定性都可能有必要进一步评估。识别可能影响目标的不确定性包括各种考虑因素，例如，什么是未知的、未理解的、可变的、被误解的，或已知但不可预测的。不确定性可能来自于自然事件和人性固有的不可预测性，或者由于我们未能完全理解自然和人性。新的、变化的、复杂的、混乱的、罕见的和遥远的情况也是风险源。风险也可以通过认知组织内或其环境中可能导致风险的事物来识别（例子包括物理危害、组织压力或管理体系或风险控制的弱点）。识别风险的方法有很多，包括：收集历史信息，评审其他组织的经验，并咨询具有经验和专业知识的人；应用对未来的想象思维；应用IEC31010中所概述的系统化的识别工具，如鱼骨图、失效模式与影响分析、结构性假设技术（SWIFT）以及危险和可操作性（HAZOP）研究。在识别和记录风险时，把风险看作是表示未来可能发生的情况是很有帮助的。还可能有这样的情况：风险源可以识别，但风险源能够影响目标的机制却无法识别。在某些情况下，后果的性质也可能是未知的。尽管风险不能被完全描述或测量，对这些风险源仍然可以加以管理。界定风险类别一旦识别了风险，一些组织发现对它们进行分类是有帮助的。如果风险数量大到无法管理，这可能是有用的。对风险进行分类可以更好地利用资源，因为类似的风险可以一起应对。这也有助于打破组织单元之间的障碍并鼓励沟通和理解。将风险分门别类，可以帮助识别被忽视的风险领域。所使用的类别可以定制，使其对组织有意义，对整个组织来说是通用的，并以清晰明确的术语表达。在整个组织中，定义风险的语言不一致，使得不同部门的共同风险难以联系起来，也难以关注最重要的风险。一般来说，类别代表了通常遇到的风险类型。在识别风险时，类别并不限制思维，以便将罕见的和新兴风险包括在内。关于风险类别的示例，请参考附件B。风险分析风险分析的目的是为了理解风险，包括理解对目标的后果及其可能性、原因和现有控制措施，并在适当时获得一个风险水平。这种理解可以用于：确定有效的应对方案；将风险与准则进行比较（见“4.4确定风险准则”）；作为对可能涉及多种风险的决策的输入；提供信息，供不同的相关方在评价其环境中的风险时使用。用根本原因技术分析风险源，可以识别直接原因和潜在原因。通过原因分析，有可能核实目前原因得到良好控制的程度。对现有控制的分析可以核实这些控制是否有效。这共同提供了有关需要新的应对方法或改进现有控制措施的信息。评估控制的有效性可能包括以下检查或测试：控制措施是否设计良好：通过对设计准则的评审来确定；控制措施是否已经存在并运行；控制措施是否按预期执行：对其进行测试并运行中加以观察；控制是否可靠：它被评价为潜在的偏差、失效或忽视；控制是否有效：在需要时将按预期发挥作用；控制是高效的：是相关、适宜并与当前的目标和情况相一致。风险分析方式取决于分析的目的和风险评估所依据的准则的性质。示例为了了识别应对方案，用"只要合理可行"准则分析安全风险的原因和现有控制措施，揭示是否采取额外的预防措施；为了解易燃液体蒸馏实验的风险是否可以接受，模拟和分析最坏情况下的爆炸影响，确定防爆安排的有效性；为了决定学校进山远足的风险是否与教育价值相称，要对远足的潜在积极和消极结果进行主观分析，同时考虑到计划将控制措施落实到位。在某些情况下，需要对风险进行测量以分析风险。传统上，这是后果和其可能性的组合。对与目标有关的机会或威胁作出反应或未作出反应都会产生后果。后果可以用以下形式描述。一个或多个离散的结果，每个结果都可能有一个相关的可能性或概率；通常以分布或概率密度函数的形式出现的一系列结果。任何一个场景都可能影响多个目标。一些情景揭示了一连串的事件，其中后果成为其他风险源。后果还会产生连锁和复合效应，例如：极端天气事件可能导致更多的野火；野火可能导致配电系统的损坏和更多的停电；停电可能导致空调系统的故障和更多的热应力案例；频繁停电中的机会可能为当地太阳能发电和储电打开市场。示例:案例分析例如，化学品的泄漏最初会影响生产，造成产品和产量的损失或业务中断。如果化学品是有害的，还会对安全造成影响，如果泄漏进入地下水，还会对环境造成影响。根据泄漏的规模，还可能产生财务后果和对声誉的影响。对后果的测量可以是定性的（例如，描述或评级表）或定量的。在某些情况下，财务或技术模型的输出或一份含有描述性或定量信息的报告，可能是向决策者提供有关后果的信息的最有用的方式。示例量化所表示的后果的例子包括财务后果，如收入生产率和成本。有形的后果有时会对财务和实物计量进行量化。无形后果更有可能用定量来表示，如员工满意度、客户满意度、投资者信心或声誉。有时可以用定量的测量用来说明无形的后果。使用一致和不含糊的语言对于提供对风险的共同理解至关重要。理解一个风险情景的所有组成部分的可能性是有用的，例如，风险源存在的可能性、事件发生的可能性、控制失效的可能性或特定后果的可能性。在任何情况下提到的可能性都要具体说明。当使用历史数据来估计某一特定后果的可能性时，请注意未来不一定遵循过去：仅因为某事尚未发生也并不意味着它明天不可能发生。估计可能性的其他方法包括使用建模技术和专家意见进行预测。可能性可以表示为频率（在一定时期内预期发生的次数）或发生的概率（表示为比率，例如项目的百分比或员工的百分比）。一般来说，用频率来表达可能性的理解更为一致。后果的可能性取决于可能的原因的性质、对这些原因的现有控制的有效性。在某些情况下，还取决于脆弱性。在对可能性进行估计之前需要对这些情况进行分析。可能性和后果可以结合起来表示风险水平。然而，所有这样做的方法，无论是定性的还是定量的，都有一个共同的问题。在存在后果分布的情况下，没有一个有效的统计（或估计）能代表后果。有时会使用平均值，但这忽略了可能是管理层最关心的罕见的高后果事件。用最严重的可信后果来测量风险，忽略了一些常见的事件，当这些事件合在一起，在短期内可能会有很大的影响。要理解对风险大小的估计方式以及估计中的不确定性和潜在偏差。对决策者来说，后果性质的描述性信息和对其可能性的了解可能比综合风险水平更有用。评估可检测性可以帮助识别潜在的低影响风险，并帮助决定预防、纠正和检测措施的资源分配。例如：风险实现的速度（也被称为风险速度）可以增加风险的重要性。如果风险影响大，发生概率高且速度慢组织可能会采取足够的措施来减少影响。但是，如果速度很快，那么就没有足够时间作出反应，风险应对也会有所不同。可检测性对风险措施赋予了额外的权重。可以帮助解释的问题包括有助于解释可检测性的问题包括：“检测一个事件的发生有多容易或多难？“在事件发生之前，我们是否有合理的时间来作出反应？”IEC31010给出了关于风险测量及其使用的进一步信息。无论分析是否由专家进行，偏见和观念都会影响到估计的风险水平以及如何解释可接受性。鉴于所涉及的主观程度，组织可以决定获得风险的测量对他们需要作出的决定是否有价值，因为这可能是一种耗时的活动。在适当的时间间隔和条件变化时，要对风险进行分析。风险评价风险应对的目的是改进现有控制措施或在适用时创建新的控制措施。这包括评审用于改进的方案以及策划、实施和评审任何必要的变更。风险分析的结果可以与风险准则相比较，以确定风险的重要性。对风险及其重要性的理解与任何决策均相关，包括：是否应对某一风险以及应对行动的优先次序；如何应对特定的风险；如何最好地分配资源以实现目标；在涉及一系列风险的方案之间进行选择以及与权衡相关的成本和收益；一项活动的预期回报或结果是否大于潜在的负面影响。对风险源和原因、可能的后果范围以及现有控制措施进行分析，为所需的行动提供信息。在评价风险时要考虑所有可能的后果、消极和积极的影响以及潜在的威胁和机会，还要评价来自威胁且与组织目标相一致的机会。在风险评估过程中识别的机会可以被整合到组织的策划过程中。在评价机会时，组织可考虑对目标的预期收益、不确定性、收益估计可能存在的偏差以及实现这些收益的威胁。风险应对风险应对的目的是为了改进控制，包括评审改进方案以及策划、实施和评审变更。可以实施多种应对方法，可以单独实施或组合实施。在选择具体应对方法之前，考虑所有方案可能会产生更有效和高效的结果。现有风险应对方案可以在修改或不修改的情况下应用。方案可包括：方案描述规避风险消除风险源本身或不开展产生风险的活动、新方案或项目。使用替代方法，消除风险和后果的来源。分担风险与第三方分担风险，可包括合同转让、保证和担保，使用保险、履约保证金或其他金融工具。使用合同分担风险并不总是完全转移风险；在许多情况下，技术风险被与合同履行相关的新风险所取代。一些管辖范围内的某些风险，如与工作场所和安全有关的风险，在任何情况下都不能在任何情况下都不能转移。改变风险开展活动，减少潜在的消极后果或其可能性或增加潜在的积极后果或其可能性。这可包括损失前的预防措施，如减少风险源或降低脆弱性以及损失后的措施，以减轻后果。改变可能性通过应用控制、组织安排和程序以降低频率。改变后果验证控制措施是否到位并按产生预期效果，以改变后果。保留风险通过策划在风险发生时的行动方式而不是试图影响风险的可能性或影响来决定接受风险。利用风险开展活动，寻求最大化风险的积极后果和在实现收益方面的各个可能性。减少不确定性也可以降低风险水平。例如，这种方案可包括通过研究消除一些未知因素，或通过购买期货锁定未来的采购价格。在考虑应对方案后，决定可能需要逐步升级以获得更高的批准。然后为每个分配行动和责任并规定时限。虽然每个应对策略都有一个人负责重要的，但在策划和执行应对策略时，组织需要考虑所有有关的相关方。对应对方案的成本效益分析可包括风险应对成本和由此产生的新风险的相关成本。成本和效益可以可以用社会和环境术语以及经济术语来表示。可能需要识别和解决对成功实施应对的威胁，如组织对变革的抵制。考虑风险应对的非预期后果是否会给组织带来干扰、并发症或成本。通过将建议的应对策略、剩余风险与组织的风险容忍度进行评审和比较，可以确定应对的适当性。如果剩余余风险不可接受，则可重新考虑应对方案。风险可能是多样的。有些风险源不在组织的控制范围之内。尽管进行了严格的评估，但仍有一些风险可能被忽略。因此，组织可能需要为影响那些对实现其目标至关重要的职能和资产的中断准备计划。示例:案例分析一家中等规模公司的呼叫中心的产量低于预期水平。可能的原因被认为是缺勤增加。因此，主管建议更新缺勤政策，这样缺勤时间过长的工人可以被替换。在采取任何行动之前，人力资源部门负责人要求进行风险评估，以确定所建议的行动方案是否合适。进行了根本原因分析，确定高缺勤率是细菌感染发生率高于正常引起工人经常生病。细菌感染的原因是洗手间的清洁工作不达标。经过进一步调查，确定清洁工作不达标的原因是全体清洁人员缺乏培训，以及主管在几个月前作为成本控制措施而减少了清洁日程安排。为了应对员工生病影响生产计划的风险，管理层考虑了几种可能的应对方案。应对方案潜在的应对方法规避只使用基于技术的解决方案——没有工人。转移将项目外包给拥有更健康环境的供应商。改变改善洗手间的清洁度。保留接受现有的条件，看看在工人生病时是否有工作人员提供服务。利用导入预防性的健康措施。管理层确定可以采用多种方案来应对该风险，并决定采取以下行动：避免。作为一个长期的解决方案，调查现有的技术来取代工人。修改。在权衡了增加洗手间清洁的成本和生产损失的后果后，该公司恢复了原来的清洁计划。此外，他们还要求供应商培训清洁工人，在工作站提供手部消毒剂，并加强对清洁承包商的监督。利用。作为可能的中期解决方案，研究内部诊所是否可以提供治疗和预防服务，以改善工人的整体健康状况，并可能为更大的社区提供服务。在某些情况下，有必要将决定升级给组织中的更高层，以确定是否以及如何应对某一风险。这方面的例子有：当风险被认为是特别重要时，当有跨部门的联系需要组合决策时，或者当应对所需的资源超出风险责任人的权限时。实施应对会导致剩余风险。如果剩余风险不在组织的容忍范围内，风险责任人可以考虑重复风险应对的评价和实施过程。一旦达到可接受的风险水平，就应记录不需要进一步应对的原因。这本身就是一种控制，为相关方提供保证并帮助那些在未来评审风险评估的人。不进一步应对的理由可以帮助组织解决普遍存在的偏见，即对风险应对的有效性过于自信。监视和评审风险风险管理过程是动态的。环境、风险和控制的有效性都可能发生变化。变化的关键指标可以被识别和监视。对风险的定期评审有助于鼓励持续改进。需要持续监视应对行动，并定期和任何触发事件后向管理人员报告。可以通过绩效准则和更新的风险分析来评审和验证应对方案的有效性和效率。可以跟踪应对策略实施过程中的延迟或偏差，并定期向有关相关方报告以确保及时实施。记录和报告风险在一个集中的储存库（如风险登记册或信息系统）中记录风险，以方便在组织内传播并提高所提议的应对方法的透明度。指定责任和时间表的风险应对计划可以是同一信息系统的一部分，或者在基于纸质系统的情况下，可以是一个单独的文件。对历史数据分析和未来趋势评价的需求决定了数据保存的时间表。记录和报告风险的重大变化是有益的。记录包括注意到信息的变化，如现有控制措施中的应对实施修改和优先级变化。重要的是，在记录过程中不要混淆风险及其原因。某些风险可能需要以与其他风险不一致的特定方式记录。风险管理计划的有效性卓越的风险管理要求组织定期评估风险管理计划和活动的有效性，并将其整合到决策中。评估的范围可以定制以解决关键的需求领域。它需要理解各种诊断评估方法的范围和适用性。没有一种单一的标准方法来评估组织中风险管理计划的有效性。无论选择什么样的过程或方法，都需要能适应组织的变化。可以用各种外部或内部方法来系统地确定组织风险管理计划的有效性。这些方法包括模型、过程、评审和审核。识别这些方法的适当组合是获得成功结果的关键。评估的目的是为了识别优势、成功、差距和需要改进的领域。这些类型的评估还可以识别风险管理能力没有满足相关方期望的领域。外部方法外部方法可包括：标杆管理:标杆管理是指根据外部参考标准来测量组织的绩效，这些标准经常来自于做类似事情的类似组织。这可以从通过分析行业部门和相关细分市场来识别同行的共同做法开始。通过调查或获取行业或协会出版物与同行的实践进行标杆比较，可以揭示差距、优势和劣势、差异因子和风险陈述。组织通过将竞争对手以及行业合作伙伴的财务报告中指出的风险因素与自身的风险因素进行比较，从而发现更多的见解。成熟度模型：成熟度模型是一个测量概念，用于展示发展的进展，并强调组织间一致的结果。风险管理成熟度模型包含与人员、文化、过程、结构和技术有关的风险管理准则。使用者根据这些准则对其组织进行评分，以向他们提供有关其风险管理实践和过程的优势和改进领域的信息。这些信息可以帮助聚集制定风险管理计划的改进计划。出版物：行业团体、监管机构、协会和学术界就风险管理趋势和方法发表研究和发人深省的论文。这些论文可以涵盖成功组织内的框架、整合、技术、实践和风险管理能力。积极研究、综合和优先考虑被评审组织环境中的实践，是评价其实践有效性的一种手段并为制定风险管理计划的实施计划提供思路；网络：网络技术可以是正式的，也可以是非正式的；可以是通用的，也可以更具体地专注于某个领域的改进。对计划的同行评审是一个范围会受到行业、规模或地区限制的网络评估技术；虽然研究人员通常通过面对面会议来促进评估，但网络评估也可以通过虚拟会议或调查来实现。内部方法风险管理计划的成功可以通过确定是否使用了工具、是否生成了书面材料、是否与相关方进行评审以及是否使用了自我评估方法来进行评估。这些方法的示例包括：绘图：绘图可作为程序、过程、结构或系统的图形表示，描述其不同组成部分之间的安排和关系，并追溯信息、人员和活动的流动。这种方法有助于理解组织内已经存在和可用的活动、人员和能力。它还为风险管理计划的实施计划提供信息，以便与业务领域和现有流程进行潜在的合作。内部调查和访谈：结构化访谈和调查可用于收集有关风险管理计划的有效性和价值的信息。内部审核评审：内部审核通过确定以下内容，向董事会和管理层提供对组织风险管理计划有效性的客观、独立评价：是否有证据表明:作为持续改进的一部分，使用反馈使组织的风险得到了适当的管理；是否有证据表明这些原则已得到了应用。来自内部审核报告的信息有助于确定风险是否得到持续的适当管理。定期评审：[他的方法提供了持续审查项目的机会。讨论可能包括关键相关方并检查结果以识别成功、问题和需要改进的领域。这是阐明经验教训和持续改进的有效工具；ISO31000原则和框架整合的证据：这些原则描述了风险管理计划的关键质量。它们通过记录每项原则的证据来验证风险管理计划的有效性。证据可以具体描述每项原则在组织内的应用。框架要素提供了风险管理计划如何整合、设计、实施、评估和改进的详细信息。每个要素描述了测量和评估的组成部分和属性；评审风险管理过程和能力：风险管理过程使相关方参与进来，评估和应对风险，并在应用于决策、项目、活动和运营领域时报告结果。对这些过程采用一致的准则或问题，有助于组织在整个组织中开发一致的、有效的过程。评审问题可包括：整个风险管理过程是否有效和有用？领导者是否有足够的技能？正确的相关方是否适当地参与？过程中是否应用了适当的风险评估技术？吸取了哪些经验教训，如何根据这些经验教训采取行动？评估实际结果与组织愿意为实现目标而承担的