GB∕T 24353-2022 《风险管理　指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）

GB/T24353-2022《风险管理指南》之4:

“5框架”专业深度解读和实践应用培训指导材料

(2025C1一升级版)

GB/T24353-2022《风险管理指南》

5风险管理框架

5.1总则

风险管理框架的目的是协助组织将风险管理纳入重要的活动和职能中。风险管理的有效性取决于其与

组织治理及决策制定的整合情况。这需要相关方尤其是最高管理者的支持。

框架制定包含在整个组织中整合、设计、实施、评价和改进风险管理。图3列举了风险管理框架的要

素。

整合

设计

领导作用

与承诺

改进

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdf

实施

评价

图3框架

组织宜对其现有的风险管理实践及过程进行评价，并在上述框架内对评价出的差距进行改进优化。框

架内各要素及其协同运作的方式宜结合组织需求进行针对性的设计。

5风险管理框架

5.1总则

(1)“风险管理框架”的定义；

(a)风险管理框架定义；

风险管理框架是通过系统化应用方针、程序、行为准则和成文信息，结合价值观、信念、沟通机制及

资源配置，为组织建立风险管理体系提供结构化支持的架构。其核心目的是协助组织将风险管理整合到所

有重要活动和职能中，确保风险管理与组织治理、决策制定及日常运营紧密结合，从而提升风险管理的有

效性、一致性和可持续性。框架的设计需反映组织内外部环境，并强调最高管理层和相关方的支持，以实

现风险管理的战略目标。

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdfGB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）

(b)风险管理框架的构成要素。风险管理框架的构成要素包括但不限于以下内容，这些要素相互关联、

协同运作，共同支持风险管理的整合、设计、实施、评价和改进。各要素需根据组织的规模、行业、文化

及风险偏好进行定制化设计，以确保适用性和有效性；

——方针：明确组织对风险管理的总体态度、原则、目标和承诺，为风险管理活动提供方向性指导。

方针应与组织战略一致，并传达至所有层级，确保全员理解风险管理的价值和优先级；

——程序：规定风险管理活动的具体操作步骤、流程和方法，包括风险识别、分析、评价、应对及监

督等环节，确保风险管理活动的规范性、有序性和可重复性。程序应嵌入现有业务流程，避免孤立运作；

——行为准则：确立组织在风险管理过程中应遵循的道德规范、职业操守和决策原则，确保风险管理

活动的公正性、诚信性和透明度。行为准则需强化责任分配，明确各级人员的角色和权限。;

——成文信息：记录风险管理活动的证据、依据和结果，包括风险登记册、评估报告、应对计划等，

便于决策、审查、审计和持续改进。成文信息应确保准确性、及时性和可追溯性；

——价值观和信念：塑造组织对风险的文化认知和态度，影响风险偏好、容忍度及决策方式。价值观

需通过领导作用强化，培育积极的风险意识文化，鼓励开放沟通和主动报告；

——沟通机制：确定组织与内外部相关方(如员工、管理层、董事会、监管机构、客户等)交流风险

信息的方式和渠道，包括协商、报告和反馈循环，确保信息传递的准确性、及时性和双向互动。沟通机制

应支持风险透明化和快速响应。

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdf

——资源配置：为风险管理活动提供必要的支持，包括人力、技能、财务、技术和时间等资源。资源

配置需与风险管理优先级匹配，并定期评审其充分性，以保障风险管理框架的有效运行；

——整合机制：确保风险管理与组织治理、战略制定、绩效管理和日常运营的深度融合。整合机制强

调将风险管理嵌入决策过程，避免“事后补救”,而是作为创造和保护价值的核心工具。;

——评价与改进流程：建立对风险管理框架和过程持续监视、评审和改进的机制，包括定期评估框架

的有效性、识别差距、优化实践，并适应内外部环境变化。评价应基于绩效指标(如风险覆盖率、应对及

时性),确保框架的动态适应性。

(c)框架的协同运作：上述要素需通过结构化方式协同运作(如图3所示),例如：

——方针和价值观引导行为准则和沟通机制；

——程序和成文信息支持整合机制的实施；

——资源配置和评价流程确保框架的可持续改进。

——组织应定期评审现有风险管理实践，针对差距(如文化薄弱、资源不足)优化框架，以增强韧性

和决策质量。

(2)风险管理框架的目的与重要性；

风险管理框架的核心目的是协助组织将风险管理系统地纳入所有重要活动和职能中，确保风险管理成

为组织运营不可或缺的组成部分，从而支持组织创造和保护价值。风险管理的有效性直接取决于其与组织

治理及决策制定的深度整合，这需要相关方(尤其是最高管理层)的坚定支持和领导作用。框架不仅提供

结构化方法，还促进风险治理与组织战略的协同，帮助组织在不确定性环境中提升韧性和绩效。

181GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）

——框架的支撑作用：风险管理框架不仅支持在整个组织中实施和长期发展风险管理，还允许对风险

管理过程进行持续管理。这意味着框架不仅关注风险管理的初期建立，还强调其持续性、适应性和系统性。

框架的制定包含整合、设计、实施、评价和改进五个关键要素(如图3所示),这些要素协同运作，确保

风险管理从规划到优化形成闭环。例如，整合要素强调风险管理与组织治理、文化及日常活动的融合；设

计要素要求框架根据组织内外部环境定制；实施要素涉及资源配置和职责分配；评价要素通过定期评审确

保框架有效性：改进要素则驱动持续学习与调整。这种全生命周期管理确保了风险管理能够动态响应变化，

并为组织决策提供可靠依据；

——组织的独特性：每个组织都因其外部环境(如法规、市场趋势)和内部环境(如规模、文化、复

杂性)的差异而独一无二。因此，风险管理框架应充分反映组织的独特性，遵循“定制化”原则，允许较

小组织或个体经营者采用简化的风险管理过程，而较大或复杂组织则可根据需要创建多个风险管理应用实

例。框架设计需结合组织需求进行针对性调整，例如，通过差距分析评估现有实践，优化框架要素的协同

方式，确保其与组织目标、风险偏好和资源能力相匹配。这种定制化设计避免了“一刀切”的弊端，提升

了框架的适用性和效率；

——框架的灵活性：随着组织的变化(如增长、收购、战略转型或外部冲击),风险管理框架应具备

高度灵活性，允许组织酌情启动、调整或终止风险管理过程。这种灵活性体现了“动态性”原则，要求框

架能够及时预测、识别和响应新兴风险。例如，在组织并购过程中，框架可通过快速评审机制整合新实体

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdf

的风险准则；在技术变革中，利用最佳可用信息更新风险评估。灵活性确保了框架的韧性和可持续性，支

持组织在动态环境中维持风险治理的连贯性；

——大型项目集和项目的处理：对于大型项目集和项目，特别是那些像新业务单位一样运作的项目，

风险管理框架同样适用，并应以相同的方式进行处理。框架提供统一方法论，确保项目风险管理与组织整

体框架一致，例如通过定义项目特定风险准则和整合项目生命周期各阶段的风险评估。这避免了孤岛效应，

促进了组织级风险组合视图的形成；

——评价与改进机制：组织宜对其现有风险管理实践及过程进行定期评价，识别差距，并在框架内实

施改进优化。这包括基于绩效指标(如风险控制有效性、框架与目标的契合度)的监视和评审，以及通过

内部审计或标杆学习驱动持续改进。评价机制确保框架不仅静态存在，还能动态提升，增强组织在复杂环

境中的适应能力。

(3)风险管理有效性与组织治理及决策制定的整合；

(a)风险管理有效性的核心要素；

风险管理的有效性并非孤立存在，而是与组织治理及决策制定的整合情况紧密相关。这种整合是风险

管理成功的关键，能够确保风险管理活动与组织战略目标保持一致，并为决策制定提供有力支持。风险管

理的有效性直接依赖于其与组织治理结构的深度整合，包括治理机制、文化、领导作用及决策流程的协同。

这种整合确保了风险管理从战略层面到运营层面的贯穿，为组织创造和保护价值。

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdfGB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）

——风险管理与组织治理的整合：组织治理是指组织内部权力分配、决策制定和监督控制的机制。风

险管理应与组织治理紧密结合，确保风险管理策略、政策和程序能够得到有效执行。通过整合，风险管理

能够成为组织治理的有机组成部分，例如在董事会监督、最高管理层承诺和资源配置中体现。这包括将风

险管理纳入治理政策、风险偏好设定和监督角色，确保风险管理支持组织的使命、愿景和核心价值观，并

为组织的稳健运营提供保障。整合的关键在于明确治理机构(如董事会)对风险管理的监督职责，以及管

理层对风险管理的执行责任：

——风险管理与决策制定的关联：决策制定是组织运营的核心环节，风险管理应为决策制定提供准确、

及时的风险信息。通过风险评估、风险监控和风险报告等手段，风险管理能够帮助决策者识别潜在风险、

评估风险影响，并制定相应的风险应对措施，从而确保决策的科学性和合理性。风险管理过程(包括风险

识别、分析、评价和应对)应嵌入所有层级的决策中，从战略规划到日常运营。例如，在战略决策中，风

险管理通过提供不确定性分析，支持备选方案评估和资源分配；在运营决策中，通过风险准则和容忍度设

定，确保决策在可接受风险范围内。决策制定需考虑风险的正面(机会)和负面(威胁)影响，实现风险

与收益的平衡。

(4)建立全面且持续的风险管理框架；

(a)风险管理框架的建立与整合目标；

组织应建立一套全面、系统的风险管理框架，其核心目的是协助组织将风险管理深度纳入所有重要活

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdf

动和职能中，确保风险管理成为组织运营、决策和治理的有机组成部分。风险管理的有效性高度依赖于其

与组织治理结构及决策制定的整合，这需要相关方(尤其是最高管理层)的持续支持与承诺。

——框架的建立：组织需明确框架的建立原则(见第4章原则)、目标、范围和流程，确保框架的科

学性、实用性与定制化。框架应涵盖风险识别、分析、评价、应对、监视和报告等关键环节，形成闭环管

理。同时，框架设计需考虑组织的内外部环境(如战略、文化、资源),以支持动态适应变化；

——风险管理的整合：风险管理框架必须与组织的战略目标、业务流程、管理体系(如内部控制、合

规)紧密结合，确保风险管理活动渗透至所有层级和环节。通过整合，组织能更有效地识别和管理风险(包

括机会与威胁),提升整体韧性和价值创造能力(参考ISO31000:2018原则a“整合”)。

(b)风险管理框架的组件与支持功能；

风险管理框架由相互关联的组件构成，共同支持风险管理的系统实施。框架组件(如图3所示)包括整

合、设计、实施、评价和改进，其协同运作需结合组织需求定制化设计。框架的核心功能包括：

——在整个组织实施和长期发展风险管理；

·支持全面实施：框架组件应确保风险管理活动覆盖组织全范围(战略、运营、项目等),无论组

织规模或复杂度，均提供一致性支持。例如，通过明确角色职责(如风险责任人)和资源配置，实现跨部

门协作；

·支持长期发展：组件需具备前瞻性和可扩展性，适应组织发展(如并购、数字化转型)。通过持

续监视内外部环境变化(如新兴风险),框架能动态调整，保持风险管理有效性。

——对风险管理过程的持续管理。

181GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）

·过程管理：框架组件应对风险管理过程(沟通、风险评估、应对等)进行持续跟踪，确保稳定性。

包括定期评审风险应对措施的有效性、剩余风险的可接受性，以及绩效指标的达成度；

·应用灵活性：组件设计需支持组织根据业务特点、风险状况定制应用(如单一项目或全组织层面)。

例如，通过模块化工具(如风险评估技术)吧，提升针对性和效率。

(c)风险管理框架的评价与改进。整命

霞

组织应定期评价现有风险管理实程，识别差距并优化

——评价机制：通过成熟度评效指标(导不除控制有效。审计，分析框架与目标的契合度。

与承诺

评价需考虑治理整合度、资源适配政进出一致性：

——持续改进：基于评价结果改进计划(如更新风险实强化培训)。改进应聚焦框架的适

沃

用性、充分性和有效性，确保其持续i职目标。

(5)定制化风险管理框架以适应组织特性；

(a)组织独特性与风险管理框架的灵活性；

风险管理框架的设计必须反映组织的独特性，包括其规模、复杂程度、行业背景、文化及战略目标。

框架的灵活性是其关键特征，允许组织根据自身需求调整风险管理过程的深度和广度，避免“一刀切”的

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdf

方法。

——组织独特性与风险管理框架的灵活性：每个组织在其外部(如市场、法规、技术趋势)和内部环

境(如治理结构、资源能力、文化)中都是独一无二的。风险管理框架应充分体现这种独特性；

·组织独特性的体现：规模(如小微企业vs.大型集团)、业务范围、市场地位、管理风格和文化

等因素直接影响风险管理的需求和方式。例如，小型组织可采用简化的风险管理过程，降低实施成本；大

型组织则需支持多层级、多部门的风险管理应用，确保一致性和可扩展性；

·框架的灵活性：框架应提供可扩展的结构，允许组织根据风险成熟度调整复杂度。例如，通过模块

化设计，组织可选择性整合风险评估工具或报告机制，避免冗余。这确保了框架在不同场景下的适用性，

如初创企业聚焦核心风险，而跨国企业需处理地缘政治或供应链风险。

(b)风险管理框架的适应性与动态调整；

风险管理框架必须具备动态适应性，以响应内外部环境的变化，如增长、并购、法规更新或新兴风险

(如ESG或网络安全)力。

——适应组织变化：框架应内置机制，支持组织在战略转型时启动、调整或终止风险管理过程。例如，

收购后需快速整合新实体的风险准则，或业务扩张时扩展风险覆盖范围；

——动态调整机制：组织应建立定期评审(如年度审计)和触发机制(如重大事件后),评估框架的

适用性。这包括监控风险指标(如关键风险指标KRI)和利用情景分析预测变化，确保框架持续有效。

(c)大型项目集与项目的特殊处理。

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdfGB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）

对于大型项目集或项目(如基础设施开发或数字化转型),风险管理框架需提供针对性处理，确保与

组织整体风险管理的一致性。

——项目的独特性：项目常涉及高不确定性、跨职能依赖和时限压力，需强化风险识别和应对。例如，

项目特有风险(如进度延误或资源短缺)应纳入组织风险组合视图，避免孤立管理；

——统一整合方式：框架要求项目风险管理采用与组织相同的原则和工具(如风险登记册或蒙特卡洛

模拟),确保数据可比性和决策协同。项目风险责任人需与组织风险管理部门紧密协作，定期报告风险状

况，支持战略对齐。

(6)最高管理者的支持对风险管理的重要性；

风险管理的有效性在很大程度上取决于相关方，尤其是最高管理者的支持。最高管理者的支持和参与

是风险管理成功的关键因素，具体体现在以下方面。

——领导作用与承诺(见5.2):最高管理者和监督机构需通过设计框架、发布风险管理方针、配置

资源及分配职责等活动，展现对风险管理的坚定承诺和领导力。这包括确保风险管理全面融入组织文化、

战略和日常运营中，并通过有效沟通传递其价值，促进系统性监视和持续改进；

——最高管理者的角色与责任：作为组织决策的核心，最高管理者负责制定战略、分配资源和监督执

行。在风险管理方面，他们应明确风险管理的战略地位，确保其获得足够的资源和支持；同时，积极参与

关键风险管理活动(如风险评估、风险监控和风险报告),以实时了解风险状况并做出知情决策；

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdf

——最高管理者对风险管理的推动作用：最高管理者的示范和引领能推动风险管理在组织内部的普及

和深化。通过其言行，组织员工能更重视风险管理，积极参与相关活动，形成全员风险意识的文化氛围，

从而增强组织韧性和价值创造能力。

(7)风险管理框架的制定过程；

风险管理框架的制定涵盖在整个组织中整合、设计、实施、评价和改进风险管理的全过程。如图3所示，

框架包括以下关键要素：

(a)当在整个组织中首次开展风险管理活动时，应遵循以下顺序进行：

——领导作用与承诺：最高管理层和监督机构需展现对风险管理的领导作用，通过制定方针、分配资

源和明确职责，确保框架的权威性和执行力(见5.2);

——整合：风险管理应嵌入组织治理、战略制定、运营流程和文化中，成为所有活动的有机组成部分，

而非孤立职能(见5.3);

——设计：基于组织内外部环境(如战略目标、风险偏好、资源能力)定制框架，确保其与组织需求

一致(见5.4);

——实施：通过系统化的计划将框架转化为行动，包括资源配置、过程执行和监控(见5.5);

——评价：定期评估框架的有效性，分析其与组织目标的契合度，识别改进机会(见5.6);

——改进：根据评价结果持续优化框架，适应内外部变化，提升风险管理成熟度(见5.7)。

这些要素并非线性顺序，而是动态循环、相互协同的过程(如图3所示),确保风险管理框架的适应性、

持续性和一致性。

181GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）

(b)框架制定与持续改进过程；

风险管理框架的制定是一个系统化、迭代的过程，适用于组织首次实施或优化现有框架。其核心步骤

包括：

——框架设计：根据组织规模、行业特性和风险概况，定制框架结构和要素。此步骤是风险管理的基

础，需明确框架的政策、角色职责和风险准则(见5.4)。设计应遵循风险管理原则，包括整合性、结构化、

定制化和包容性，确保框架与组织文化兼容；

——风险管理整合：将风险管理融入组织关键活动和职能(如战略规划、运营决策),梳理现有流程，

明确责任分配和接口机制(见5.3)。整合需考虑治理结构(如三线模型),确保风险管理与内部控制、合

规管理协同；

——实施风险管理：在框架指导下，执行风险管理过程(包括风险识别、分析、评价、应对和监控),

配置必要资源(如技术工具、培训)(见5.5)。实施强调动态性，需建立沟通机制(如风险报告系统),

确保及时响应变化；

——风险管理评价：定期(如年度)评审框架和过程的有效性，通过绩效指标(如风险事件减少率、

目标达成度)评估成果，识别不足(见5.6)。评价应结合定量与定性方法(如成熟度评估),确保结果客

观；

——改进：基于评价结果，优化框架要素和过程，推动持续学习与创新(见5.7)。改进不仅是纠正差

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdf

距，更应关注新兴风险和机会，提升组织韧性。

此过程需灵活应用：首次实施时按顺序推进；已建立框架的组织可并行或循环执行步骤，强调持续改

进(如通过PDCA循环)。最高管理层的监督和资源保障是成功关键。

风险管理框架各构件之间的逻辑关系说明

框架构件框架构件主要内容框架构件之间逻辑关联关系

界定框架目的、范围及核心要素，确立风险管一作为所有构件的共同基础，贯穿框架全

5.1总则理原则(如整合性、结构化、定制化等),为生命周期；

框架提供理论基础。-为5.2-5.7的执行提供原则性指引。

-为5.3整合提供治理基础与组织承诺；

最高管理层和监视机构确保风险管理融入所有

5.2领导作-为5.4设计提供战略方向与资源保障；

活动，发布风险管理声明，配置资源，分配权

用和承诺-是5.5实施、5.6评价和5.7改进的决

限、职责和责任。

策前提。

-依赖5.2的治理承诺实现跨职能协同；

风险管理与组织结构及内外部环境相整合，建

-为5.4设计提供组织文化与组织环境；

5.3整合立风险责任体系(含三道防线),确保风险管

-是5.5-5.7的运作基础，确保风险管

理成为运营有机组成部分。

理与业务融合。

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdfGB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）

框架构件框架构件主要内容框架构件之间逻辑关联关系

-基于5.2的战略导向制定可操作方案；

理解组织及其环境，明确风险管理承诺，定义-依赖5.3的整合基础确保设计贴合实际；

5.4设计风险准则与偏好，配置资源，建立沟通协商机-为5.5实施提供执行蓝图与资源配置方

制。案；

-是5.6评价和5.7改进的直接对象。

-依赖5.2的资源支持与5.4的技术方案；

制定实施计划，识别决策制定要素，调整决策-将5.3的整合要求转化为具体行动；

5.5实施

程序，嵌入业务流程并监控执行有效性-产生5.6评价所需的绩效数据：

-为5.7改进提供实践依据。

-依赖5.5的实施输出进行效果验证：

-揭示5.4设计缺陷及5.3整合不足；

5.6评价定期基于绩效指标分析框架实施效果，评审内

外部环境变化影响，确定适用性。-是5.7改进的决策输入；

-向5.2反馈治理有效性，构成闭环管理。

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdf

-依据5.6的评价结论制定优化措施；

通过PDCA循环持续优化框架，包括调整(适应-驱动5.2-5.6构件的动态迭代；

5.7改进

性变更)与持续改进(有效性提升)。-确保框架持续符合ISO31000原则(如

动态性、持续改进)。

(c)后续维护与改进：

风险管理框架的长期有效性依赖于系统化的维护与改进机制。组织应建立持续改进的文化，将风险管

理活动嵌入日常运营，确保其与组织目标、战略及外部环境变化同步演进。具体实践包括以下关键方面：

——保持风险管理活动的持续性和有效性：组织应通过制度化承诺确保风险管理活动的持续性，定期

评价风险管理效能(如采用平衡计分卡、KPI等工具)。评价应覆盖风险管理过程与结果的符合性、有效性

及效率，将评价结果纳入绩效管理体系，以驱动风险管理活动与组织战略的动态对齐。同时，组织需关注

风险管理的韧性属性，确保其能有效应对新兴风险和不确定性；

——定期评审正式授权，确保合规性和适应性：组织应按策划的时间间隔(如年度或半年度)对风险

管理框架的正式授权进行评审，评审需结合法律法规、行业标准、组织内部政策及相关方期望，评估框架

的合规性与适应性。评审过程应包含内外部环境扫描(如PESTLE分析)、控制措施有效性验证及风险准

则更新，确保框架始终适应组织发展需求；

181GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）

——耐心推进风险管理的初步实施：风险管理框架的初步实施需视为渐进式变革过程。组织应借鉴COSO

框架的变革管理原则，通过培训、沟通激励及文化培育(如建立“风险意识月”活动),提升员工对风险

管理的认知与参与度。针对常见挑战(如员工接受度低、流程缺陷),组织可采用试点项目积累经验，逐

步推广，确保风险管理融入日常运营；

——即时实施小改进，定期重新设计和实施：组织应建立敏捷的改进机制：对识别出的微小缺陷(如

流程漏洞或控制失效),通过PDCA循环即时修正；同时，定期(如每2-3年)对框架进行全面重新设计，

整合战略调整、风险图谱变化及最佳实践。重新设计需包含情景分析和压力测试，验证框架在极端条件下

的韧性。

(8)风险管理实践与过程的评价及改进优化。

风险管理框架的评价与改进是确保风险管理持续有效的基础。组织应通过系统化的方法，定期评估风

险管理活动的成熟度、效率和效果，并基于评价结果优化框架要素及其协同运作。

(a)组织风险管理实践与过程的评价；

组织应定期对其现有风险管理实践及过程进行全面、客观的评价，以识别存在的不足之处和潜在改进

空间。这一评价过程是风险管理持续改进的基石，有助于组织确保风险管理活动的适应性、有效性和效率。

——评价的目的与意义。评价旨在验证风险管理框架的实施效果，确保其与组织目标、风险偏好和外

部环境(如法规、市场变化)保持一致。通过评价，组织可以：

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdf

·评估风险识别、分析、应对和监控等过程的全面性与准确性，识别薄弱环节(如风险覆盖不全或控

制失效);

·确定风险管理活动是否有效支持决策制定，例如通过减少意外事件或提升机会捕获能力：

·满足合规要求，并为风险管理资源的优化配置提供依据。

评价的核心意义在于为持续改进提供数据驱动的基础，避免风险管理流于形式。

——评价的方法与流程。组织应采用定性与定量相结合的方法，确保评价的客观性和可操作性。推荐

流程包括：

·确定评价目标：明确评价范围(如全组织、特定项目或流程)、评价标准及预期输出(如成熟度评

分或改进建议);

·制定评价计划：定义时间表、资源分配、责任主体(如风险管理部门或外部审计)和评价工具(如

调查问卷、访谈指南或绩效指标);

·收集评价数据：通过多源数据收集，包括文档审查(如风险登记册、审计报告)、利益相关者访谈

(如管理层、员工、外部专家)、绩效指标分析(如风险事件频率、控制有效性指标)及标杆对比；

·分析评价结果：使用技术如SWOT分析或风险成熟度模型，识别优势、劣势、机会与威胁(SWOT),

并聚焦与框架要求的差距(如领导作用缺失或沟通不足);

·撰写评价报告：总结发现，包括风险管理的有效性、效率及与组织战略的契合度，并优先改进领域。

在评价过程中，组织应确保客观性，避免认知偏见(如过度乐观),并通过独立复核(如内部审计)

增强可信度。

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdfGB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）

(b)框架内差距的改进优化。

基于评价结果，组织应在风险管理框架内对识别出的差距进行针对性改进优化。这涉及调整框架要素

及其协同运作方式，以确保风险管理与组织需求同步演进，体现“定制化”和“持续改进”原则。

——差距的识别与分析。组织应系统分析评价结果，识别风险管理实践与框架要求之间的差距。常见

差距包括：

·流程层面：风险识别不全面、风险评估方法不一致或风险应对措施滞后。

·资源层面：人员技能不足、工具(如风险信息系统)缺乏或预算约束。

·文化层面：风险意识薄弱、沟通机制失效或责任分配模糊。

·整合层面：风险管理未嵌入业务流程(如战略规划或项目管理),导致“孤岛”现象。

深入分析差距根源(如外部环境变化或内部治理缺陷),使用根因分析技术(如鱼骨图),以制定精

准的改进措施。

——改进优化的方法与措施。针对差距，组织应采取结构化改进措施，确保与框架要素协同；

·完善风险管理流程：优化风险识别技术(如情景分析)、引入量化评估工具(如蒙特卡洛模拟),

或简化风险报告机制；

·强化资源保障：提供培训提升员工能力，部署风险管理软件，或调整资源配置；

●增强文化整合：通过沟通计划提升风险意识，明确风险责任人职责，并建立激励机制；

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdf

·促进框架协同：确保改进措施支持框架要素的互动，例如通过评价反馈优化设计(如风险准则更新)

或实施(如整合到新项目)。

——针对性地设计框架要素。组织应根据评价结论，对框架要素进行定制化设计：

·风险管理目标与政策：调整以反映组织风险偏好(如可接受风险水平)和外部合规要求；

·流程与资源：设计灵活流程适应业务变化，配置资源支持高风险领域(如供应链或网络安全);

·监督机制：建立持续监视指标(如关键风险指标KRI),确保改进措施落地；

·通过迭代优化，组织能提升框架韧性，确保其动态适应环境变化，最终实现风险管理的“持续改进”

循环)。

改进措施应设定可衡量的目标(如降低风险事件率20%)和时间表，并通过试点测试验证可行性。

(9)cOSO的组织风险管理框架。

5.吸引、培养和留住人才14.建立组合观点

COSO组织风险管理框架解读表

核心模块具体内容

企业风险管理(ERM)是组织在创造、保持、实现价值的过程中，通过整合战略制定

和执行的文化、能力和实践，管理风险的系统性框架；

框架定义

-核心目标：将风险与战略、绩效联动，提升决策质量，优化资源分配，增强组织韧

性；

181GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）

核心模块具体内容

-适用范围：适用于各类实体(营利、非营利、政府),不受规模、行业限制。

1)风险治理和文化；

-原则1:董事会行使风险监督；

-董事会需独立监督战略风险，评估企业风险管理适宜性，挑战管理层偏见；

-原则2:建立治理和运营模式；

-明确权责分配，确保合规职能独立(如首席风险官直接向董事会报告):

-原则3:定义期望的组织行为；

一塑造风险意识文化，通过行为准则、培训强化道德标准：

-原则4:证实对诚实和道德的承诺；

-高层以身作则，建立举报机制，严惩违规行为；

-原则5:吸引、发展并留住优秀个体；

一招聘具备风险管理能力的人才，定期培训提升专业素养；

2)风险、战略和目标设定

-原则6:考虑风险和业务环境；GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdf

-分析内外部环境(如PESTLE因素),识别战略风险；

五大核心要素及原-原则7:定义风险偏好；

则-明确组织愿意承担的风险类型及数量(如设定风险容量、容忍度);

-原则8:评估备选战略；

一对比不同战略的风险概况，选择与风险偏好一致的方案：

-原则9:制定业务目标；

-将战略拆解为可衡量的目标，确保与风险偏好一致；

-原则10:规定可接受的绩效波动；

一设定目标偏差范围(如±10%的利润波动),平衡风险与绩效；

3)执行中的风险

-原则11:识别执行中的风险；

一通过流程分析、数据追踪识别运营风险(如供应链中断、技术故障);

-原则12:评估风险的严重程度；

-从可能性和影响两方面量化风险(如建立风险矩阵);

-原则13:对风险进行优先排序；

-按严重程度排序，聚焦高优先级风险(如红色区域风险优先应对);

-原则14:识别和选择风险应对措施；

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdfGB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）

核心模块具体内容

-采取接受、规避、降低、分担等策略(如购买保险分担风险);

-原则15:建立风险组合观；

-从整体视角评估风险相互作用(如行业风险与市场风险的叠加效应);

4)风险信息、沟通和报告

-原则16:使用相关风险信息；

-收集内外部数据(如客户投诉、监管动态),确保信息质量；

-原则17:充分利用信息系统；

-利用数据分析工具(如AI风险预警),提升风险监控效率；

-原则18:沟通风险信息；

-跨部门共享风险信息，促进协同决策；

-原则19:报告风险、文化和绩效；

-向董事会提交风险报告，披露风险应对进展；

5)监视风险管理绩效

-原则20:监视重在变更；

一跟踪战略、环境变化对风险的影响GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdf(如政策调整、技术革新);

-原则21:监视企业风险管理。

一通过内部审计、自我评估验证ERM有效性，持续改进；

1)战略整合：将风险评估融入战略制定，避免战略与风险偏好脱节；

2)价值保护与创造：通过风险应对减少损失(如合规风险罚款),同时抓住风险中的

机遇(如新兴市场拓展);

框架核心价值

3)绩效优化：通过设定可接受的绩效波动，平衡风险与增长(如研发投入与市场风险

的权衡);

4)文化驱动：通过高层承诺和问责制，塑造全员风险意识。

与内部控制的关系：ERM包含内部控制，后者是风险应对措施的一部分(如控制活

动);

-与合规管理的整合：合规风险是ERM的重要组成部分，需通过政策、培训、监控

与其他框架的关联

确保合规(如《反海外腐败法》合规);

与ESG的融合：将环境、社会、治理风险纳入ERM框架，如气候风险对供应链的

影响。

实施步骤建议1)建立治理架构：明确董事会、管理层、风险职能部门的职责；

181GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）

核心模块具体内容

2)定义风险偏好：结合战略设定风险容量和容忍度；

3)风险评估与排序：通过研习会、数据建模识别并按优先级排序风险；

4)设计应对措施：针对高风险制定具体策略(如风险转移、控制);

5)信息系统支持：部署风险监控工具，实现数据集成与报告自动化；

6)持续监视与改进：定期评审ERM有效性，迭代优化流程。

GB/T24353-2022《风险管理指南》

5.2领导作用和承诺

最高管理者和监督机构需确保将风险管理融入所有组织活动中，通过以下活动证实领导作用和承诺：

——针对性地设计和实施框架的所有要素；

——发布风险管理声明或方针，内容包括制定风险管理方法、计划或行动方案；

——确保为管理风险配置必要的资源；

——在组织内的相应层级分配权限、职责和责任。

这样做有助于组织：

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdf

——使风险管理与自身目标、战略和文化相协同；

——识别并履行组织的所有义务及自愿承诺；

——确定可承担或不可承担的风险数量和类型，以指导风险准则的制定，确保与组织及相关方沟通；

——与组织及相关方沟通风险管理的价值；

——促进对风险的系统性监视；

——确保风险管理框架适应组织环境。

最高管理者负责管理风险，监督机构负责监视风险管理。通常对监督机构的要求或预期是：

——确保组织在设定目标时，充分考虑相关风险；

——了解组织在实现组织目标的过程中所面临的风险；

——确保风险管理体系能够高效实施和运作；

——确保这些风险相对于组织目标而言是适当的；

——确保这些风险及其管理的信息得到适当沟通。

5.2领导作用与承诺

(1)最高管理层和监视机构在风险管理中的领导作用；

(a)最高管理者在风险管理中的领导作用；

最高管理层(如CEO及执行团队)需通过以下行动展现领导作用和承诺：

——制定并批准风险管理战略：确保风险管理战略与组织使命、愿景、核心价值观及整体战略目标一

致，明确风险管理的优先级、资源分配原则及风险偏好声明；

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdfGB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）

——发布风险管理方针：正式签署并传达方针文件，阐明组织对风险管理的态度、原则、目标及责任

分配，强调风险管理对价值创造与保护的核心作用。方针内容需包括风险管理方法、计划或行动方案；

——示范引领与持续承诺：通过决策行为(如重大投资、战略调整)展示对风险管理的重视，将风险

管理纳入组织文化，倡导全员风险意识。最高管理层需亲自参与框架设计，确保风险管理整合到所有组织

活动中；

——配置必要资源：确保为风险管理提供充分的人力、财务、技术及信息资源，支持风险管理框架的

设计、实施与持续改进。资源包括风险管理部门建设、风险管理信息系统(如GRC平台)及专业培训体系；

——明确权限与职责：在组织各层级分配风险管理权限、职责和责任，指定风险责任人(如风险所有

者),确保责任到岗到人。需强调“风险责任不可委托”原则，即所有员工均承担风险管理职责。

(b)监视机构在风险管理中的领导作用；

监视机构(如董事会、监事会)需履行以下监督职能：

——确保目标设定充分考虑风险：评审战略目标与业务计划的风险关联性，确保目标与风险承受能力

匹配。监视机构需确认组织在设定目标时已评估相关风险；

——监督风险管理体系有效性：定期评估风险管理框架的运行效能，包括其与组织治理的整合程度、

资源充足性及绩效指标达成情况。重点监控框架是否适应内外部环境变化(如法规更新、市场波动);

——监控重大风险暴露：了解组织在实现目标过程中的关键风险，确保风险水平与组织风险偏好一致。

GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdf

通过风险组合观评估风险相互依赖性及整体影响；

——保障风险信息沟通：建立风险报告机制，确保重大风险及其管理进展及时、透明地传达至治理机

构及相关方。报告需包括风险准则执行情况、剩余风险状态及改进措施；

——审批风险准则与政策：核准组织风险准则、风险偏好声明及重大风险应对策略，确保其符合治理

要求。监视机构需定期评审风险偏好是否与组织战略同步调整(COS0框架“风险偏好”原则；GB/T42339-2023

4.3.6)。

(c)领导作用的核心价值。

通过有效的领导作用与承诺，组织可实现以下核心价值：

——战略协同：将风险管理融入战略制定与执行，确保风险应对支撑业务目标实现(如通过风险调整

的资本分配优化投资回报)。风险管理框架需与组织目标、战略和文化相协同；

——合规与责任履行：识别并履行法律、法规及自愿承诺(如ESG承诺),降低违规风险。组织需通

过风险管理满足所有义务及自愿承诺；

——风险决策透明化：明确可承担/不可承担的风险类型与数量，指导风险准则制定，并与内外部相关

方有效沟通。这包括定义风险承受度和风险容忍度；

——价值传递：向员工、投资者等相关方传达风险管理对组织韧性与可持续发展的贡献。风险管理不

仅保护价值，更能通过把握机会风险创造价值；

——系统性风险监控：建立风险预警指标(如KRI看板)与持续监测机制，提升风险前瞻性管理能力。

促进对风险的系统性监视是领导作用的核心产出之一；

181GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）

——框架适应性：定期评审风险管理框架的适用性，确保其动态响应业务模式、技术变革及市场波动。

风险管理框架需持续改进以支持组织目标。

(2)实施“领导作用和承诺”的关键要点；

(a)价值创造与价值保护的双重使命；

风险管理是组织战略价值的核心驱动力，最高管理者应：

——通过风险偏好声明明确组织可接受的风险边界，将风险管理与战略决策直接挂钩(如市场拓展、

重大投资);

——建立系统性价值保护机制，包括关键资产保护流程、危机预警系统及声誉防护体系，确保组织核

心价值免受重大风险冲击；

——识别风险转化机遇(如将合规要求转化为竞争优势),避免将“机会风险”排除在管理范畴外，

需符合“不确定性对目标的双向影响”定义。

(b)治理结构与资源保障；

——治理层监督：董事会定期评审风险管理框架的有效性及剩余风险状态；监视机构独立评估重大风

险应对效能(如基于KRI仪表盘的季度报告),确保与组织目标一致性；

——资源投入要素：

·人力资源：设立专职风险管理部门，明确首席风险官(CRO)向最高管理层或董事会的直接汇报路

径；GB∕T24353-2022《风险管理指南》之4：“5框架”专业深度解读和实践应用培训指导材料（2025C1升级版）.pdf

·技术工具：部署集成化风险管理平台(如GRC系统),支持风险动态监测与数据驱动决策；

·能力建设：开发分层培训体系(高管聚焦风险战略、员工掌握风险控制工具)。)