2025全面风险管理实施指导手册（2023-01-编制）

(2023年1月编写) 30.1总则 30.2风险管理所依据的原则、框架和过程 41范围 82规范性引用文件 83术语及定义 83.1与风险有关的术语和定义 83.2与风险管理有关的术语和定义 4风险管理原则 4.1风险管理原则的作用 4.2风险管理原则内容及其理解 5风险管理框架 255.1总则 255.2领导作用与承诺 27 305.4风险管理框架设计 325.5风险管理框架实施 41 425.7风险管理框架改进 426风险管理过程 426.1总则 426.2沟通和协商 456.3范围、环境和准则 48 62 796.6监视和评审 6.8风险管理文化建设 0.1总则0.1.1风险管理目的1)创造和保护价值。实施和增强风险管理能支持组织的目标并为组织及其相关方创造和保护价值。风险管理能够预测风险并提前做好准备，注重防范和控制风险可能给组织造成损失和危害，减少意外情况和损失的可能性以及不利(消极)影响，从而降低成本。风险管理能够更高效地使用和分配资金和其他资源，还把机会风险视为组织的特殊资源，通过对其管理，为组织创造价值，促进经营目标的实现。风险管理使增加和保护价值具有长期的确定性；2)降低不确定性并增加确定性，支持组织目标的实现。任何类型和规模的组织都面临各种素和影响，导致其目标的实现存在不确定性。有效管理风险保障经营管理的有效性，提高各项活动的效率和效果，降低实现经营目标的不确定性，为组织策划和活动带来更大确定性，将风险控制在与总体目标相适应并可承受的范围内，从而支持组织目标的实现；3)确保风险受控。风险管理目标是在确定组织风险偏好的基础上，将组织的总体风险和主要风险控制在组织风险容忍度范围之内；知情、符合逻辑、结构化和一致的决策。良好的决策基于对环境和实现目标的潜在确定性的清晰理解。将风险整合到决策中。通常认为一项决策有三个阶段：决策前阶段、主动决策阶段和决策后阶段。风险管理可被整合到这三个阶段中。将不确定性考虑因素整合到决策中会导致更佳的决策和更好的结果；5)确保合规：确保组织遵守有关法律法规、内部规章制度和为实现目标而采取重大措施的贯彻执行；6)改进绩效：风险管理考虑将有助于实现有效和高效的战略、战术、运营和合规，以确保在减少结果波动的情况下取得最佳结果。绩效包括产品和服务质量、安全和健康、环境保护、合规经营、信用程度、社会认可、财务绩效、运营效率和组织治理等方面，保障经营管理的有效性，提高经营活动的效率和效果7)为相关方提供持续的、一致的、真实完整且可靠的信息：内外部实现真实、编制和提供真实、可靠的财务报告；8)确保组织建立针对各项重大风险发生后的危机处理计划，保护组织不因灾害性风险或人为失误而遭49)通过在整个组织中实施和整合风险管理过程，还可以获得以下额外的好处：——更高效地使用和分配资金和其他资源：——具有快速发现、捕获以及响应机会与风险的能力；——更好地理解潜在事件，并具有影响结果的能力；——减少损失的可能性和影响；——更低的合规/审核成本；——通过使用风险信息，简化和改进过程，以节约成本；——更加清晰、知情的的决策；——更好地管理影响绩效的人文因素。0.1.2理解风险管理1)风险管理是组织或个人在决策或实施过程中系统化地应用原则、方法和流程来识别、分析、评价和应对风险，使风险被降低并控制在组织可接受的水平(风险容忍、风险容量或风险承受能力)之内，并为组织目标的实现提供合理保证；2)风险管理是一个过程，是管理过程的一部分。其本身并不是一个目的，而是实现目的的一种方式；3)风险管理是一个连续的、循环的、动态的过程，有助于组织制定战略、实现目标和做出知情决策；4)风险管理是组织所有相关活动的有机组成部分，包括与相关方的沟通与协商；5)风险管理适用于组织的全生命周期及其各阶段，贯穿于整个组织所有领域和层次之中，可应用于组织战略制定和决策在内的任何活动；6)风险管理由组织中各个层级的人员(包括最高管理者、管理层和其他人员)实施，因而受人文因素的影响。风险管理时要考虑组织的内、外部环境，包括人的行为和文化因素，并使风险管理意识成为整个组织文化的一部分；7)涵盖内部控制：内部控制是风险管理不可分割的一部分。风险管理作为内部控制的重要手段，是内部控制更加合理有效进行的前提，内部控制的实质是风险控制，风险管理是内部控制的主要内容。0.2风险管理所依据的原则、框架和过程风险管理所依据的原则、框架和过程如下图所示。风险管理的原则、框架和过程可能已全部或部分地存在于组织内，但可根据需要进行调整或改进，从而使风险管理有效、高效并且具有一致性。和全面性价值定制化动态性包容性原则(第4章)合评价框架(第5章)过程(第6章)人文因素改进森自2保与报告图0-1原则、框架和过程1)整合；2)结构化和全面3)定制化；4)包容性；5)动态性；6)最佳可用信息；7)人文因素；8)持续改进。(第4章)5.4设计5.4.1理解组织及其环境5.4.2明确表达风险管5.7改进5.5实施5.7.2持续改进5.5实施5.6评价(第5章)6.3范围、环境6.3.3理解内外6.3.4确定风险总则(6.4.1)6.5.1总则6.5.2选择风险应对方案6.5.3编制和实6.7记录和报告6.8风险管理文化建设(第6章)原野内容：(1)整合：②结购化和全面性；定制化(0包容性(5动态性份最佳可用信息(7)人文国素0格健改进原野内容：(1)整合：②结购化和全面性；定制化(0包容性(5动态性份最佳可用信息(7)人文国素0格健改进.2第导作用与来端确保为管理风险配置必面啸可承扣成不可承担的风险数量和类型(风险偏好)·确之管理与监督角色职责54.1理解组规及其琢域54.2明确表达风险管理水诺区4最计34.3明确组织角色、核限，非青和责任区4.5建立沟通和势司口制定适当的计划《包括最终期限)-确保组职开履风险管理的工作安排得到清蒂的理口它风险管理旅复是者仍造用于支格部相目标的支现，·镖血提和调参风险管理东架，让应时内外部环境的责化：区.1调整·镖血提和调参风险管理东架，让应时内外部环境的责化：区.7.2持续改遇·为险管理过程的每个步推汇集不同领域的专业知院L3.2养定范指L33明确内外部环境6.4.2风险识腕4.43风险分析6.44风险评价6.4周险评估通过将风险分析结朝和固定风险准则相比牧以确定风险的前要性(风险够细),从而支持决第(确定是香需要采取进6.52选择风险应对方案6.5.3编制和实施风隐应对计划6.52选择风险应对方案6.5.3编制和实施风隐应对计划喉进与相关方的互功8本手册为组织根据《风险管理一指南》、《IS031000-2018风险管理一指南手册》和《风险管理一操作规范和指南》管理其所面临的风险提供指导。本手册可根据各种组织及其环境进行具体的应用。本手册为组织有效管理各种类型的风险提供了一种通用指导，而非仅针对某特定行业或领域。本手册可用于组织的全生命周期，并适用于所有层级包括决策制定在内的任何活动。本手册适用于各类风险管理从业者，主要包括在风险管理过程中发挥直接作用的人员，也适用于其他任何有责任管理风险的人员(包括运营管理层、风险责任人和部门管理人员)。该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。风险管理—术语(ISO31073-2022)风险管理一指南(ISO31000-2018)ISO31000-2018风险管理一指南手册风险管理一操作规范和指南(BS31100-2021)风险管理-风险评估技术(IEC31010-2019)ISO31073-2022《风险管理—术语》中界定的术语和定义适用于本手册。3.1与风险有关的术语和定义3.1.1风险——风险包括所有形式的不确定性所造成的影响，不确定性可能带来积极的和/或消极的影响；1)在某些情况下，不确定性与组织环境及其目标相关，任何类型和规模的组织都面临各种内、外部因素和影响，组织内外部因素和影响导致其目标的不确定性：指信息缺失或了解片面的状态；——实现存在不确定性；9——风险的来源包括固有变异性，或者由于多种因素造成的不确定性，包括人因行为、组织结构、社——不确定性是风险的根源，即与有关目标且有重大影响的信息缺失；——不确定性来源于无法明确地决定潜在事件将要发生的可能性及其影响或相应后果。2)影响：指偏离预期。——影响是一个事件的结果或后果：——影响可能是正面(积极、有利)的或负面(消极、不利)的影响，或两者兼有。风险的正面影响可能提供机遇，积极风险称为机会。负面的影响则可能带来威胁，消极风险称为威胁。组织应最大限度地预防、规避或降低威胁，并最大限度地利用或增强出现的机遇。3)目标：指要实现的结果，它与所有相关方需求和期望有关；——必须先有目标，管理者才能识别影响它们实现的风险；——风险是“重要的不确定性”,即影响最终目标、预期用途或目的不确定性。风险是某一特定事件发生的不确定性对目标实现的影响，包括对组织的宗旨(使命)、愿景和价值观以及组织不同层面所阐述——风险是不确定性(约束条件)对不能实现目标的可能性及所导致的后果严重性的度量。风险指一旦发生即可能对一个或多个目标产生积极或消极影响的不确定事件或条件，从而会影响目标的实现：——单个和整体风险可能会对一个或多个目标实现产生影响。整体风险是不确定性对整个组织的影响。整体风险源自所有不确定性来源，包括众多单个风险。整体风险管理旨在将风险敞口保持在可接受(风险偏好和风险容忍)的范围内。4)风险描述：通常风险可以用风险因素、风险事件、事件发生可能性(概率)和事件后果(影响程度，包括损失或收益)的组合来描述；——通常用潜在事件、后果或者两者的组合来区分风险；——通常用事件后果(包括情形的变化)和事件发生可能性的组合来表示风险。原因3风险描述：原因、事件和后果风险事件后果1后果2后果3应对控制影响【后果】风险因素【原因】预防性控制事件厨房火灾5)风险的基本特性：——风险具有客观性和普遍性：任何类型和规模的组织都面临风险，组织的所有活动也些活动包括战略决策到运营的各种活动；——风险的不确定性；——风险具有可变性；——风险具有多样性和多层次性；——机会风险和收益具有相互转化性；——风险具有可管理或可控性。要实现的结果1)目标可以是战略性的、战术性的或操作(运行)层面的；2)目标可以涉及不同的领域、维度和类型(如：财务的、职业健康与安全的和环境的目标);3)目标可应用于不同的层次(如：战略的、组织整体的、项目的、产品/服务和过程的);4)可以采用其他的方式表述目标，例如：采用预期的结果、活动的目的或运行准则作为管理体系目标，或使用其它有类似含意的词(如：目的、终点或标的)。3.1.3不确定性1)不确定性是一种对某个事件及其后果或可能性缺少信息或了解片面的情形，不能事先知道未来某个2)不确定性是指缺乏对问题、事件、要遵循的路径或要追求的解决方案的理解和认识。它涉及替代行动、反应和成果的概率，其中包括未知的未知和黑天鹅事件，它们是完全超出了现有的知识或经验的新兴3)不确定性分类包括：——变异(偶然)不确定性：由于一些现象的固有变异性而造成的不确定性，不能通过进一步研究降——认知不确定性：由于缺乏知识而造成的不确定性，可以通过收集更多数据、定义模型、提高取样·决策不确定性，与风险管理战略尤其相关，表示与价值体系、职业判断、组织价值观和社会规范相关的不确定性。4)不确定性例子包括：——假设条件是否真实的不确定性，包括对人或系统的行动的推测；——决策所基于的各项指标的变异性；——用以预测未来的模型在有效性和准确性方面的不确定性；——事件(包括环境和条件的改变)的发生、特征和结果不确定；——颠覆性事件带来的不确定性；——系统性问题(例如，缺少合格员工的不确定性结果，此类不确定性可能带来无法清晰定义的广泛影——缺乏知识，因此能够发现不确定性，但不能完全理解；——不可预见性；——由于人脑的限制而带来的不确定性，例如，理解复杂数据、预测存在长期影响的情况、做出无偏见的决策等方面。5)不确定性是风险的根源，即与有关目标且有重大影响的信息缺失；——在某些情况下，不确定性与组织环境及其目标相关：——组织内外部因素和影响导致其目标的实现存在不确定性。6)不确定性来源于无法明确地决定潜在事件将要发生的可能性及其影响或相应后果。人们不能理解所有的不确定性，并且很难甚至无法确认或影响不确定性的重要程度。但是，认识到环境中存在不确定性，就可以投入早期预警系统，从而主动、及时地发现改变，并采取行动来适应突发情况；7)所有组织都要面对不确定性。任何活动的影响都无法准确预测，而且可能会产生一系列结果。不确定性会带来负面或正面的影响，既代表风险，也代表机遇，负面影响(风险)可能阻碍价值创造或破坏现有价值，正面影响(机遇)支持创造或保护价值，这些机遇和威胁共同构成了风险。结果1结果1结果2结果3原因3原因23.1.4风险点(风险单元)伴随风险的部位、设施、场所和区域，以及在特定部位、设施、场所和区域实施的伴随风险的作业、操作或管理过程，或以上两者的组合。3.1.5风险源可能单独或共同引发风险的内在要素。要素的组合).3.1.6风险因素导致某一特定风险事件发生，或增加其发生的可能性，或提高其后果(损失)严重程度的原因或条件。1)风险因素包括以下三个方面与风险事件有关的原因或条件：——导致或促成某一特定风险事件发生的原因或条件；——增加风险事件发生的可能性(概率)的的原因或条件；——提高风险事件发生的后果(严重程度、损失程度)的原因或条件。2)风险因素是风险事件发生的诱发因素或潜在原因，是造成后果(损失)的内在的或间接的原因，风险因素与风险事件之间存在因果关系；3)风险因素是一个单独或组合有可能引起风险的因素；4)原因是一个单独或组合有可能引起风险的因素；5)构成风险因素的条件越多，发生损失的可能性就越大，损失就会越严重；6)风险因素分类：——根据风险因素的性质分类，可以划分为有形风险因素(物质、自然、实质性因素)和无形风险因素(人的风险因素，包括道德风险因素和行为与心理风险因素);——根据风险因素的来源分类，可以划分为外部因素和内部因素；——根据风险因素的原因分类，可以划分为自然因素、社会因素、政治因素、法律因素、文化因素、经济因素和技术因素。7)风险因素、风险事件和后果(损失)相互依存、相互作用，风险因素(引发)→风险事件(导致)→后果(损失)。风险因素引起风险事件发生或增加其发生的概率，是造成后果(损失)的内在的或间接的原因；风险事件的发生造成后果(损失),是后果(损失)的直接原因或外在原因；后果(损失)的发生使风险因素和风险事件得以呈现或暴露，使风险最终形成。3.1.7风险动因(风险驱动因素)1)一个事件可以包括一个或多个情形，事件可以包括预期会发生但没发生的事情，也可能是预期不会2)事件可以由多个原因导致和产生多个后果，并可能影响多个目标；已经发生的风险事件，特别是新近发生的风险事件。3.1.9风险事件(风险事项/风险事故)潜在的风险转化为现实并造成组织实际后果(损失)(如财产损失、声誉损害等)的偶发事件。风险事件的发生造成后果(损失),是后果(损失)的直接原因或外在原因。只有通过风险事件的发生，才能导致后果(损失)。风险事味着风险的可能性转化成了现实性。3.1.10可能性对某一风险发生的机会的评价或判断，有时被确定为"概率"或“频率”。1)事件发生后的后果是事件影响目标的结果，可以是确定的或不确定的，可以对目标产生积极(正面)或消极(负面)的、直接或间接的影响；2)后果可以定性或定量表述；全面风险管理实施指导手册3)后果可能在最初是无法识别、无法测量的，但会逐渐累积。通过连锁反应，最初的后果可能升级。3.1.12固有风险(原始风险/初始风险)采取风险应对措施之前已存在的风险。注1:在管理层没有采取任何直接或重点行动来改变其严重性的情况下，实体所面临的风险。注2:在不考虑风险管控措施的情况下，基于客观因素对风险源进行量化的风险。固有风险的高低主要与事件(事故)后果的严重程度和事件(事故)诱发因素的固有复杂程度相关。注3:固有风险的大小取决于行业特征、内部因素影响和资产属性。注4:固有风险的高低主要与事件后果的严重程度和事件诱发因素的固有复杂程度相关。注5:组织应该同时关注固有风险和剩余风险。固有风险的大小决定着组织将采用何种应对措施，而剩余风险的大小决定着组织最终面临的风险大小。3.1.13剩余风险(残余风险/残留风险/留存风险/现有风险)在风险应对(即采取风险缓解、风险消除、风险预防、风险降低等风险控制措施)之后仍然存在(自留注：将风险控制在可承受范围之内是指将剩余风险控制在可承受度之内。3.1.14衍生风险(次生风险/二级风险)依据组织合规义务和其方针与目标，认为已降至其可以容许注：可接受风险无需采取改进措施。注：不可接受风险仅针对剩余风险(残余风险、现有风险)而言，只有当风险点的现有管控措施存在缺失或缺陷时，才可能评价出不可接受风险。对于不可接受风险需要尽可能采取安全措施，降低风险。发生事件(事故)可能性与事件(事故)后果二者结合后风险值被认定为重大的风险类型。发生事件(事故)可能性与事件(事故)后果二者结合后风险值被认定为较大的风险类型。组织根据自身战略、业务特点和风险管理要求，以表单形式进行风险识别、风险分析和评价、风险应对措施、风险报告和沟通等管理活动的工具方法。1)风险清单适用于各类组织及组织内部各个层级和各类型风险的管理：2)组织应用风险清单工具方法的主要目标，是使组织从整体上了解自身风险概况和存在的重大风险，明晰各相关部门的风险管理责任，规范风险管理流程，并为组织构建风险预警和风险考评机制奠定基础；3)组织一般按单位整体层面和部门两个层级编制风险清单。单位整体层面风险清单的编制一般按照构建风险清单基本框架、识别风险、分析和评价风险、制定重大风险应对措施等程序进行：部门风险清单的编制可根据单位整体风险清单，梳理出与本部门相关的重大风险，依照上述流程进行。3.2与风险管理有关的术语和定义3.2.1风险管理指导和控制组织与风险相关的协调活动。3.2.2全面风险管理组织在创造、保存和实现价值时，用于管理风险的、与战略制定和绩效相结合的文化、能力和实践。3.2.3风险评估指风险识别、风险分析和风险评价的整个过程。3.2.4风险识别采用适当的工具、技术和方法发现、确认和描述风险的过程。3.2.5风险分析理解风险性质(属性)、确定风险水平的过程。3.2.6风险评价对比风险分析结果和风险准则，以确定风险和/或其大小是否可以接受或容忍的过程。3.2.7风险应对处理风险的过程。3.2.8风险控制保持和/或处理风险的措施。3.2.9风险管控措施为将风险降低至可接受程度，针对该风险而采取的相应控制方法和措施。3.2.10风险态度组织评估进而寻求、保留、承担或规避风险的方式。组织在实现其目标的过程中而一般愿意承担或拒绝风险类型和数量。1)为了实现目标或寻求价值，组织在承担或拒绝风险(即风险种类或类型)及相应的风险水平(即风险大小、数量)等方面的基本态度；2)风险偏好考虑实体为实现其战略远景而需要承担或避免的风险类型(战略、运营、财务、合规);3)风险偏好是决策者心理上对待风险的一种态度，强调的是接受风险意愿或态度，是决策层综合考虑多种风险因素后作出的一种更高层次的承诺。风险偏好由董事会负责决策，这是由企业治理结构及现代公司制度决定的。风险偏好定位于战略层面之上，所以应具备较强的稳定性和一贯性；4)风险偏好是为了实现目标，组织在承担风险的种类(类型)、大小(数量)等方面的基本态度。风险偏好是组织希望承受的风险范围(组织希望承担什么风险，即种类或类型)以及组织希望承担多少风险 (大小或数量);5)一般来讲，风险偏好和风险承受度是针对组织的重大风险制定的，对非重大风险的风险偏好和风险承受度不一定要十分明确，甚至可以先不提出；6)根据人们对风险的偏好将其分为风险厌恶(规避)型、风险追求(爱好)型和风险中立(中性)型7)既然风险偏好是组织愿意接受的风险类型和数量，那么,当组织愿意接受的风险相对较高时，其设定的风险容忍度可以相对宽松，当组织愿意接受的风险相对较低时，设定的风险容忍度就会相对严格；8)在风险的优次排序和选择风险应对措施时，考虑组织的风险偏好极为重要。这有助于周全地部署资源，避免制定超出风险偏好的目标。风险管理从业者将潜在风险的严重性与自身的风险偏好进行比较。如果严重性在偏好范围之内，那么实体通常会接受或寻求该风险。如果严重性大于其偏好，则会避免、减少或分担风险。3.2.12风险厌恶(Riskaverse)规避风险的态度。3.2.13风险容忍/承受(度)/风险容量(risktolerance)组织或相关方为实现目标在风险应对之后承担(剩余)风险的意1)风险容忍(度)是在组织绩效执行过程中与经营目标相关的可接受的偏离边界。组织在风险偏好的基础上，设定的风险管理目标值的可容忍波动范围；2)组织愿意承担的风险限度，也是组织风险偏好的边界，是对风险最高水平的边界限制，强调的是风险承受/接受能力或可接受水平，风险容忍度是对风险偏好的具体化和量化，表现为组织在不同业务板块和不同控制维度上的总体边界。风险容忍度表现为一整套风险控制指标，它涵盖了组织所有风险类别；3)风险容忍(度)是考虑到风险状况的不断变化，而为每一个具体的风险因素设定的量化的可接受水4)分析风险承受度可以将其作为组织采取行动的预警指标，组织可以设置若干承受度指标，以显示不5)风险容忍会受到法律法规要求的影响；6)当组织具有较高的风险能力时，其设定的风险容忍度可以相对宽松，反之就需要设置较严格的风险7)风险容忍度应在风险偏好的指导下，由高管层根据业务发展的实际情况研究制定，并报董事会审批；8)风险容忍度只须保持相对稳定，可根据市场环境和经营状况的变化，作出相应调整。而基于风险容忍度确定的风险限额应具备较强的灵活性。4风险管理原则4.1风险管理原则的作用1)风险管理原则为有效和高效管理风险提供指导，沟通风险管理的价值并解释风险管理的意图和目的；2)风险管理原则是风险管理各个方面的基础，应在确立组织风险管理框架和风险管理过程时认真考虑：3)风险管理原则把风险管理框架和实践与组织的战略目的和目标联系起来，有助于组织管理不确定性对目标的影响。4.2风险管理原则内容及其理解4.2.1风险管理原则内容结构化结构化3)结构化和全面性；4)定制化；最佳可用最佳可用信息6)动态性；8)人文因素；9)持续改进。4.2.2风险管理原则的理解4.2.2.1创造和保护价值每一个组织存在的目的都是为其相关方提供价值，风险管理的目的是创造、保护和保持价值，控制损失。所有组织都要面对不确定性，不确定性可能会破坏或增加价值。不确定性既代表风险(负面影响),它会妨碍价值创造或破坏现有价值，存在使组织减值的风险；风险也代表机遇(正面影响),支持价值创造或保持，存在使组织增值的可能。风险管理使管理者能够有效地应对不确定性以及由此带来的风险和机遇，增进创造价值的能力。因此，风险管理过程既是一个发现和积极地利用机遇、将纯粹风险变为机会风险，进而创造价值的过程；也是一个减少意外和损失、降低风险成本，进而保护保护价值(既有经营成果)的过程。从战略的制定到组织的日常经营，管理者都需要决策，而决策的本质就是确认风险和机遇，管理者的有效的风险管理还能够改进绩效、鼓励创新、支持组织预期目标的实现，为组织目标的实现提供合理的保证。4.2.2.2整合风险管理是组织所有活动的有机组成部分。——风险管理不是从组织的主要活动和过程中分离出来的一个孤立或单独的活动，而是组织管理过程不可缺少的重要组成部分，嵌入组织文化和实践当中，贯穿于组织的整个经营过程；——风险管理过程应是组织管理和决策的有机组成部分，应将风险整合到组织的整个管理体系、运营、过程(流程)及相关活动、职能、项目、现有治理(含组织的机构)和管理安排、战略制定(规划)、决策过程、组织文化和绩效报告中。4.2.2.3结构化和全面性采用结构化和全面性的方法开展风险管理，有助于获得一致的和可比较的结果。——风险管理是结构化的：●风险管理框架要素是结构化的。风险管理框架包含领导作用与承诺、风险管理的整合、风险管理框架设计、风险管理框架实施、风险管理框架评价和风险管理框架改进6个部分；●风险管理过程是结构化的。风险管理过程包括沟通和协商，明确环境、环境与准识别风险、分析风险和评价风险)、风险应对，风险监视与评审，风险记录和报告等7个子过程。——风险管理是全面性：●风险管理覆盖组织的全生命周期及其各阶段。组织从创立、发展到变老，直至死亡的过程，包括四个主要阶段：开创期、成长期、正规化以及衰退期；●风险管理覆盖所有领域、活动与过程(包括决策制定)。从战略决策到运营的各种活动，包括各个过程和具体项目，表现在领导、战略、经营、财务、环境、社会、声誉等各个方面；●风险管理覆盖整个组织的所有层次。组织内部的所有人都有管理风险的责任，需要组织治理层、●风险管理覆盖组织所有类别的风险。组织风险一般可分为战略风险、财务风险、市场风险、运营风险、合规风险等；也可以能否为组织带来盈利等机遇为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机遇风险(带来损失和盈利的可能性并存)。4.2.2.4定制化风险管理框架和过程应定制化，并与组织目标、需求以及相关的内外部环境相适应。——风险管理框架应定制化。风险管理框架内各要素及共同运行的方式应结合组织需求进行针对性的——风险管理及其整合应定制化。风险管理取决于组织所处的内外部环境、组织所承担的风险、组织——风险管理过程应定制化。根据风险管理活动的范围、内外部环境和风险准则，有针对性的设计风——风险管理过程的应用应定制化。风险管理过程在组织中的应用，应根据组织的目标需求进行针对性设计，并与其所应用的内外部环境相适应。4.2.2.5包容性相关方适当、及时的参与，可以使他们的知识、观点和认知得到充分考虑，这样有助于提高组织的风险意识和促进更加知情的决策。——包容性涉及多样化、开放、合作与参与、和谐，包容性应是组织文化的重要特征；——组织的相关方(尤其是各层次决策者)在风险管理中适当、及时的参与，有助于保证风险管理的针——相关方适当、及时的参与有助于：●确保在规定风险准则、风险评估和风险应对时充分考虑相关方的知识、价值观、需求和期望(含利益诉求)、假设、认知、关注点以及观点、意见和建议：●风险管理过程及其结果记录和报告时应考虑持有不同观点的相关方及其具体信息需求和要求；4.2.2.6动态性随着组织内外部环境的变化，组织面临的风险可能会出现、变化或消失。风险管理能以适当、及时的方式预测、发现、确认这些变化和事件，并作出响应。——风险管理取决于组织所处的内外部环境，风险管理是适应环境变化的动态过程，并对新出现的和——随着内部和外部事件的发生、组织环境和知识的改变以及定期监视和评审的执行，有些风险可能会发生变化，一些新的风险可能会出现，另一些风险则可能消失；——风险管理能以适当、及时的方式预测、发现、确认这些变化和事件，持续不断地对变化保持敏感——应定期评审风险以确保风险能应对组织的目标。4.2.2.7最佳可用信息风险管理的信息输入要基于历史信息、当前信息以及未来预期。在风险管理过程中应明确考虑与这些信息和预期相关的制约条件和不确定性。信息应及时、清晰，并且是有关相关方可获得的。——大量数据信息资源来源存在信息不对称、信息质量不一等局限性，收集全面、筛选精确的信息是——风险管理应确保提供适当的基于风险的信息以支持决策。知情的决策需要来自组织和其他来源的相关的和准确的信息，风险管理过程要以最佳可用的信息为基础，风险管理应反映和考虑内外部相关方的输入，输入要基于历史信息、当前信息以及未来预期；——信息应及时或最新的、真实可靠的、完整的、准确的、相关的、清晰且可理解的，并且是有关相——在风险管理过程中应明确考虑与这些信息和预期相关的制约条件和不确定性；——风险管理应反映和考虑内外部内外部相关方的输入，信息来自于组织以及其他各种来源，信息可通过经验、反馈、观察、预测和专家判断等多种渠道获取。4.2.2.8人文因素人的行为和文化在各个层级和阶段显著影响若风险管理的各个方面。——风险管理受人文因素的影响。风险管理是通过组织内的人来完成的，风险管理需要相关方的合作和参与，人文因素在各个层级和阶段显著影响着风险管理的各个方面，理解人文因素对组织成功至关重要；——风险文化来源于组织的风险哲学和风险偏好。风险文化是组织所有人员共同的态度、价值观和惯例的组合，表明组织在其日常活动中看待风险的方式；——风险管理过程应嵌入在组织文化中。在整个风险管理过程中，应考虑人的行为和文化的动态性和——风险管理文化是整个组织文化的一部分。风险管理意识应成为整个组织文化的一部分，组织应注2022-10B版重建立具有风险意识的组织文化，培育良好的风险管理文化，在内部各个层级营造风险管理文化氛围，风险管理文化建设应融入组织文化建设全过程。4.2.2.9持续改进通过学习和经验，风险管理可以得到不断改进。——动态适应变化。适应组织内外部环境变化、风险变化动态的过程，其各步骤之间形成一个循环往复的闭环。风险管理对持续不断地对各种变化保持敏感并做出恰当反应是十分重要的；——为实现预期的未来状态而驱动变革。变革是使受影响者做好准备，以采用和维持新的和不同的行为和过程，即从当前状态过渡到项目成果所带来的预期未来状态所需的行为和过程；——管理组织知识。知识管理是使用现有知识并生成新知识，以实现组织目标，并且帮助组织学习的过程。积累知识并传达给目标受众，以防止知识流失。知识管理最重要的环节就是营造一种相互信任的氛围，激励人们分享知识或关注他人的知识。经验教训登记册提供了有效的知识管理实践；——吸取经验教训。在组织生命周期中吸取以前的经验教训，采取纠正措施。主动寻求值得吸取的经验教训而不是等待其他人来提供这些经验教训，是组织每个成员的责任；——持续改进。组织要在评价风险管理框架的有效性以及风险管理过程及其结果的持续监视和定期评审的基础上，做出如何改进风险管理框架和风险管理过程、方针和风险应对计划的决策，持续改进风险管理框架的适宜性、充分性和有效性，改进风险管理过程设计、实施和结果的质量和有效性，以确保风险管理过程在支持组织的整体绩效上保持相关、有效和高效。4.2.3风险管理原则应用原则●风险管理方针【5.4.2制定并沟通风险管理方针】;风险管理过程的应用【6风险管理过程】。·使命声明；●治理框架【5.3.2治理】;·规划和预算【5.4.4配置资源】:·资本分配和配给【5.4.4配置资源】;●风险应对的选择【6.5.3制定和选择风险应对方案/策略】;·治理机制【5.3.2治理】;●战略和业务规划阶段的指示；·正式的管理程序(例如：项目管理手册);●授权【5.2领导作用与承诺、5.3.2治理】。原则·决策过程【5.5.3决策过程】;●项目时间表；·事故调查；●组织环境(包括诸如收购、兼并、重组等变化)【5.4.1理解组织及其环境、6.3.3理解风险管理过程环境】;●决策的制定【5.5.3决策过程】;·风险准则【6.3.4确定风险准则】;●相关方(性质、需求、关切、变更)【5.5.4相关方的参与和理解】;●设计(产品、服务、组织结构、系统、任务);·签订合同；·环境【5.4.1理解组织及其环境、6.3.3理解风险管理过程环境】;●监视和评审活动的设计【5.6风险管理框架评价(监视和评审)、6.6监视和评审】;·沟通和协商的有效性【5.4.5建立沟通和协商、6.2沟通和协商】;·假设(规划、预算、预测、设计、控制和风险应对);●人文因素(行为、文化、假设);·协商与反馈【5.4.5建立沟通和协商、6.2沟通和协商】;·沟通的明确性和完整性【5.4.5建立沟通和协商、6.2沟通和协商】;●风险准则【6.3.4确定风险准则】;·变更管理；●框架评审【5.6风险管理框架评价(监视和评审)】;·最新信息(风险登记册、数据库、环境说明、监视和评审方法);·监视和评审的结果(假设的持续有效性)【6.6监视和评审】;●框架资源【5.4.4配置资源】;·研究工作；·数据(收集、分析、评审、获取)【6.7记录和报告】;2022-10B版原则●监视(环境说明、控制绩效、风险应对的实施)【6.6监视和评审】;●事故调查、分析、报告【6.7记录和报告】;●文化(组织、社会、国家、跨国)【6.8风险管理文化建设】;●员工(行为、技能、态度、偏好、价值观)【6.8风险管理文化建设】;·外部相关方【5.5.4相关方的参与和理解】;·沟通和协商(正式和非正式)【5.4.5建立沟通和协商、6.2沟通和协商】;●监视设计【6.6监视和评审】;●框架评审【5.6风险管理框架评价(监视和评审)】;绩效评审);●年度风险管理改进计划：●定期的外部评审【6.6监视和评审】;·决策速度和效率；别和利用机会的能力。5.1总则5.1.1风险管理框架的目的组织实施风险管理过程(见第6章)需要一个风险管理框架(即风险管理体系),风险管理框架为组织内的风险管理过程提供支持，可帮助组织有效地管理风险，帮助组织将风险管理整合至重要的活动和职能中，确保风险管理过程的输出被传达给内外部相关方。本章为如何设计并持续改进一个定制的框架以整合和保持组织的风险管理提供指导，这项基础性工作有助于将风险管理整合到现有的治理和管理安排中，并不断改进风险管理活动。5.1.2风险管理框架的要素风险管理框架包含领导作用与承诺以及风险管理框架的整合、设计、实施、评价和改进。下图列举了风险管理框架的要素。领导作用改进图4风险管理框架1)风险管理框架整合。风险管理与组织治理以及决策制定的整合需要相关方(尤其是最高管理者)的支持；2)风险管理框架设计。框架内各要素及共同运行的方式应结合组织需求进行针对性的设计；3)风险管理框架实施。实施所设计的风险管理框架；4)风险管理框架有效性评价。组织应评价其现有的风险管理实践及过程，评估框架内的差距并弥补这些差距；5)风险管理框架改进。组织要在监视和评审的基础上，改进风险管理框架的的适宜性、充分性和有效5.1.3COS0的企业风险管理框架1.行使蓝事会风险监督权2.建立运营架构3.定义理想的企业文化4.表明对核心价值观的承诺5.吸引、培养和留住人才10.识别风险11.评估风险的严重性12.对风险进行优次排序13.实施风险应对措施14.建立组合观点15.评估重大改变16.回顾风险和绩效17.寻求企业风险管理的改进18.充分利用信息和技术19.沟通风险信息20.报告风险、文化和绩效6.分析商业背景7.定义风险偏好8.评估备选战略9.设定商业目标5.2领导作用与承诺【框架要素1】5.2.1证实领导作用和承诺对组织的价值发挥领导作用和履行承诺有助于组织：1)使风险管理与自身目标、战略和文化相一致；2)识别并履行组织的所有义务以及自愿承诺；3)确定可承担或不可承担的风险数量和类型，以指导风险准则的制定，确保其与组织及相关方沟通：4)与组织及相关方沟通风险管理的价值；5)促进系统性地监视风险；6)确保风险管理框架与组织环境相适应。5.2.2证实领导作用和承诺应开展的活动通过以下活动证实领导作用和承诺：1)针对性的设计和实施框架的所有要素；2)发布风险管理声明或方针，内容包括制定风险管理方法、计划或行动方案；3)确保为管理风险配置必要的资源；4)在组织内的相应层级分配权限、职责和责任。5.2.3分配角色与职责5.2.3.1风险管理整合是最高管理者和监督机构的职责1)最高管理者负责管理风险，对一个组织的风险管理及其成败负有最终责任；2)管理风险的责任是组织治理的一个重要方面，最高管理者和监督机构应确保将风险管理整合至组织3)最高管理者需要证实对管理风险的承诺，强调其在整个组织中的重要性、整合和有效性。最高管理——理解组织运营所处的动态风险环境；——对组织内的风险有一个总体的理解；——在内部制定并沟通风险管理方针，适当时，向相关方沟通；——确保风险管理与组织的战略和目标相一致；——树立榜样并积极示范如何在决策中考虑风险，以期望组织其他部门遵循相同的程序；——确定组织在追求目标时愿意承担的风险数量；——在整个组织内分配实施、监视和改进风险管理所需的资源；——确保风险管理框架和过程的实施；——鼓励人们积极地看待风险识别、分析和应对；——管理他们拥有的风险。4)监督机构(董事会)负责监督风险管理，通常对监督机构的要求或预期是：——确保将风险管理嵌入到支持重要决策的过程中；——确定风险管理保证的适当结构，包括审核和风险委员会的角色：——确保组织在设定目标时，充分考虑有关风险；——在实现组织目标的过程中，了解组织所面临的风险；——确保风险管理框架能够高效实施和运行；——与最高管理者共同确定组织能够承担的风险数量和类型，确保这些风险相对于组织目标而言是适当的，保持对可能影响组织目标的风险和控制的监督；——采取措施，确保这些风险及其管理的信息在整个组织内得到适当沟通和理解；——监督组织内支持风险管理的文化以及激励措施如何推动这种支持。5.2.3.2内部相关方风险管理职责内部相关方包括员工、各级管理者和其他参与有效管理风险的人员。具体的职责包括：——了解并履行风险管理框架所规定的职责；——为风险管理活动提供输入；——参与风险管理程序和过程，以识别和分析风险；——确保在其责任范围内有效地应对风险；——报告风险；——遵循方针和程序以确保合规。5.2.4对风险领导者与风险责任人的要求5.2.4.1风险领导者风险领导者负责确保风险管理框架和过程的实施，并将其整合到组织的管理体系和过程中。风险领导者需要：——适当的风险管理培训；——对组织的使命、宗旨和目标以及其运作环境有良好的理解；——对组织的理解包括治理结构、运营、市场、收入和资金来源、技术和人员；——有效沟通的能力，以及在日常活动中促进风险管理的能力；——具备有效沟通和在日常活动中促进风险管理的能力。5.2.4.2风险责任人风险责任人是具有管理风险的责任和权力的一个人或一个实体。风险责任人要有适当级别的决策权来管理其指定的风险。风险任人需要：——对其风险领域有良好的知识和理解；——在组织内有适当级别的决策权：——获得资源，如人员和/或资金；——适当的风险管理培训；——对关键相关方的了解和理解。5.3风险管理整合【框架要素2】5.3.1理解组织及其环境风险管理的整合有赖于对组织结构及内外部环境的理解。风险管理的有效性取决于其与组织治理以及决策制定的整合情况。组织结构因组织的宗旨、目标和复杂程度而异；在组织结构的每一部分都需要进行风险管理。治理引导组织的行动方向、内外部关系以及实现目标所需采取的规则、过程和实践。管理结构将治理方向转化为战略和相应目标以取得可持续的理想绩效水平和长期活力。确定组织内部的风险管理职责和监督角色是组织治理不可或缺的部分。5.3.3将风险管理整合到组织的所有过程和活动中风险管理与组织的整合是一个动态的、迭代的过程，应结合组织需求和文化进行针对性设计。风险管理应该是组织宗旨、治理、领导作用和承诺、战略规划、业务决策、目标及其实现、运营和变革等管理过程的一部分，而不是相互分割的。表5-1:ISO31000-2018与附件SL对应表工范围范围234框架要素2:“整合”包括确定监督角色和职是组织各个方面的一部分。过程要素2:“范围、环境和准则”包括风险管理的目的、范围、规定风险准则和风险决策。理解相关方的需求和期望确定管理体系的范围管理体系5领导作用框架要素1:”领导作用与承诺”包括使风险管理、声明或方针、2022-10B版资源和风险偏好相一致。框架要素3:“设计”包括内外部环境、角色组织的岗位、职责和权限6策划框架要素1:”领导作用与承诺”包括使风险管理、声明或方针、资源和风险偏好相一致。框架要素3:“设计”包括内外部环境、角色目标及其实现的策划7过程要素1:“沟通和协商”包括参与、风险信息和过程要素6:“沟记录和报告”包括用于决策的信息和提供给相资源能力意识成文信息8框架要素4:”实施”包括实施的最终期限、决策过程要素3:”风险评估”包括风险识别、风险分析运行的策划和控制9框架要素5:”评价”包括评价风险框架绩效内部审核管理评审改进框架要素6:”改进”包括风险管理价值、框风险管理活动2022-10B版1策划2策划风险管理活动的范围并设计风险管理的共同语言3建立风险管理策略、框架、角色和职责4实施采用适当的风险评估工具和一致认可的风险分类机制56789学习5.3.4持续和定制化整合风险管理与组织的整合是一个动态的、迭代的过程，应结合组织需求和文化进行针对性设计。5.4风险管理框架设计【框架要素3】5.4.1理解组织及其环境5.4.1.1内外部环境的定义内外部环境是组织内外部存在的、可能对组织实现其目标的能力产生影响的各种外部和内部因素。这些因素可能包括需要考虑的正面和负面要素或条件。5.4.1.2组织内部环境组织内部环境及其变化包括(但不限于):1)组织的特质(愿景、使命和价值观和文化);2)组织治理、组织结构、职能(角色)和责任；3)方针、目标及其实现的战略；4)组织经营活动的特点；5)从资源、知识和技能的角度充分理解的能力(即资金、时间、人力资源、知识产权、过程、系统和技术);6)数据、信息系统、信息流和决策过程(正式的和非正式的);7)组织的知识；8)组织的绩效；全面风险管理实施指导手册9)与内部相关方的关系，以及他们的意见和价值观；10)组织采用的标准、指南和模型；11)组织内部合同关系和承诺的形式和范围，包括诸如外包活动；12)组织的规模和复杂性；13)产品和服务类型；14)组织内部活动和相关过程及其相互依赖性和相互关联性。5.4.1.3组织外部环境组织外部环境及其变化包括(但不限于):1)国际、国内、地区或当地的政治、经济、社会、技术(创新和进步)、法律法规、自然环金融、基础设施、声誉、市场(FIRM)以及文化、竞争环境、全球化；2)影响组织成功和目标实现的外部关键因素及其历史和变化趋势；3)与外部相关方的关系，以及他们的意见、价值观、需求和期望(含目标、关注点、诉求)、风险承4)合同关系和承诺的形式和范围(包括行业的特定要求和协议)、合同交易对手的信用及履约能力；5)网络的复杂性及依赖关系(组织所处产业链及生态链各组成部分之间相互依赖的关系及其对组织的表5.4.1-1中央企业风险管理初始信息提示风险类别内外部环境描述要点战略风险1)国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；2)科技进步、技术创新的有关内容；3)市场对本企业产品或服务的需求；4)与企业战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；5)本企业主要客户、供应商及竞争对手的有关情况；6)与主要竞争对手相比，本企业实力与差距；7)本企业发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据；8)本企业对外投融资流程中曾发生或易发生错误的业务流程或环节。1)负债、或有负债、负债率、偿债能力；2)现金流、应收账款及其占销售收入的比重、资金周转率；3)产品存货及其占销售成本的比重、应付账款及其占购货额的比重；4)制造成本和管理费用、财务费用、营业费用；5)盈利能力；7)与本企业相关的行业会计政策、会计估算、与国际会计制度的差异与调节(如退休金、递延税项等)等信息。市场风险1)产品或服务的价格及供需变化；2)能源、原材料、配件等物资供应的充足性、稳定性和价格变化；3)主要客户、主要供应商的信用情况；4)税收政策和利率、汇率、股票价格指数的变化；5)潜在竞争者、竞争者及其主要产品、替代品情况。1)产品结构、新产品研发；2)新市场开发，市场营销策略，包括产品或服务定价与销3)企业组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验；4)期货等衍生产品业务中曾发生或易发生失误的流程和环节；5)质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环6)因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵7)给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险8)对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；9)企业风险管理的现状和能力。1)国内外与本企业相关的政治、法律环境；2)影响企业的新法律法规和政策；3)员工道德操守的遵从性；4)本企业签订的重大协议和有关贸易合同；5)本企业发生重大法律纠纷案件的情况；5.4.1.4明确内外部环境信息明确环境信息是应用适当的方法，对组织内外部环境中与风险相关的信息进行收集、分析、整理、归纳的一系列过程，是使后续风险管理活动得以顺利实施的必要基础。在考虑内外部环境因素时，组织应考虑来自过去、现状和其战略方向的相关信息。5.4.1.5持续监视和评审组织内外部环境明确内外部环境信息是一个动态的过程，保持内外部环境信息的持续更新至关重要。在设计风险管理框架时，组织应监视、评审并理解其内外部因素的相关信息。5.4.2制定并沟通风险管理方针5.4.2.1制定风险管理方针最高管理者和监督机构应制定、实施和保持风险管理方针(风险管理承诺)。风险管理方针是组织在风险管理方面的总体意图和方向的表述，风险管理方针应包括(但不限于):1)风险管理方针与组织的目标及其他方针之间的关系；2)组织的风险管理理念；3)组织对风险管理的持续承诺：4)组织的风险管理目标及其处理相互冲突目标的方式；5)引导将风险管理整合至组织整体文化、核心业务活动和决策制定过程中；6)组织的风险偏好；7)风险管理权限、职责和责任的分配；8)管理风险的程序和方法；9)配置风险管理必要的资源；10)监视、测量、评价和报告风险管理绩效的方式：11)评审和持续改进的风险管理框架和风险管理过程承诺。5.4.2.2沟通风险管理方针适宜时，组织应在组织内部并向相关方沟通风险管理方针。5.4.3明确组织角色、权限、职责和责任5.4.3.1国际内部审计师协会(IIA)三线模型重点关注风险管理在完成组织目标、创造价值以及在“防御风险”和保护价值方面做出的贡献。全面风险管理实施指导手册组织治理机构的职能：诚信、领导力、透明度对所有与实现目标相关的事务提供独立和客观的确认和建议。图例：向其负责、报告授权、指导、提供资源和监督采取行动(含风险管理)实现组织目标第二线的职能：为风险相关的事务提供专业知识、支持、监督并提出合理质疑第一线的职能：为客户提供产品/服务；管理风险保持一致、沟通、协调、相互协作高层管理人员第二线防护监督或专门从事风险管理的职能部门独立于管理层风险管理职责第一线防护管理措施内部控制措施内部审计监察机构蒿础设施与项自管理局用家审计署第三线防护5.4.3.3ISO31000:2018《风险管理-指南》及其实践指导手册中规定的风险职责最高管理者和监督机构应确保组织相关角色的权限、职责和责任，在组织所有层级得到分配、沟通和强调风险管理是一项核心职责。组织内部的所有人都有管理风险的责任，组织应确定有责任和权限管理风险的个人(风险责任人)。5.4.3.4(实践指导手册)最高管理者和有关人员的风险管理职责1)(实践指导手册)最高管理者的职责是：——理解组织运营所处的动态风险环境；——对组织内的风险有一个总体的理解；——在内部制定并沟通风险管理方针，适当时，向相关方沟通；——确保风险管理与组织的战略和目标相一致；——树立榜样并积极示范如何在决策中考虑风险，以期望组织其他部门遵循相同的程序；——确定组织在追求目标时愿意承担的风险数量；——在整个组织内分配实施、监视和改进风险管理所需的资源；——确保风险管理框架和过程的实施；——鼓励人们积极地看待风险识别、分析和应对；——管理他们拥有的风险。2)专职管理者或风险管理部门组织应根据其规模和复杂性设立一个专职管理者或风险管理部门来支持其风险管理，风险管理者和/或——建立、实施、保持并改进风险管理框架和风险管理过程；——在组织各层级促进有效的风险管理；——在组织内倡导适当的风险文化，并通过教育和培训开发风险管理资源；——协调风险管理具体方面提出建议的其他职能；——当风险影响涉及多个领域时，协调响应；——向关键相关方报告、升级和沟通风险管理的议题；——在组织内就有关风险管理方面风险管理提供保证。3)(实践指导手册)内部相关方包括员工、各级管理者和其他参与有效管理风险的人员。具体的职责包——了解并履行风险管理框架所规定的职责；——为风险管理活动提供输入；——参与风险管理程序和过程，以识别和分析风险；——确保在其责任范围内有效地应对风险；——遵循方针和程序以确保合规。5.4.3.5中央企业全面风险管理指引(国资发改革[2006]108号)规定的风险管理职责险管理工作职责不部审计中央企业全面风险管理指引(国资发改革[2006]108号)“第七章风险管理组织体系”对全面风险管理职责的规定1)董事会全面风险管理职责；——审议并向股东(大)会提交企业全面风险管理年度工作报告；——确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方——了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策：——批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；——批准重大决策的风险评估报告；——批准内部审计部门提交的风险管理监督评价审计报告；——批准风险管理组织机构设置及其职责方案；——批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为；——督导企业风险管理文化的培育；——全面风险管理其他重大事项。2)风险管理委员会全面风险管理职责；——提交全面风险管理年度报告；——审议风险管理策略和重大风险管理解决方案；——审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；——审议内部审计部门提交的风险管理监督评价审计综合报告；——审议风险管理组织机构设置及其职责方案；——办理董事会授权的有关全面风险管理的其他事项。3)总经理全面风险管理职责；——企业总经理对全面风险管理工作的有效性向董事会负责。——总经理或总经理委托的高级管理人员，负责主持全面风险管理的日常工作，负责组织拟订企业风险管理组织机构设置及其职责方案。4)专职部门或确定相关职能部门全面风险管理职责：——研究提出全面风险管理工作报告；——研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；——研究提出跨职能部门的重大决策风险评估报告；——研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控；——负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案；——负责组织建立风险管理信息系统；——负责组织协调全面风险管理日常工作；——负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作；——办理风险管理其他有关工作。5)审计委员会全面风险管理职责；——企业内部审计部门对审计委员会负责。审计委员会和内部审计部门的职责应符合《中央企业内部审计管理暂行办法》(国资委令第8号)的有关规定。——内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价审计报告。6)企业其他职能部门及各业务单位全面风险管理职责。——执行风险管理基本流程；——研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；——研究提出本职能部门或业务单位的重大决策风险评估报告；——做好本职能部门或业务单位建立风险管理信息系统的工作；——做好培育风险管理文化的有关工作：——建立健全本职能部门或业务单位的风险管理内部控制子系统；——办理风险管理其他有关工作。5.4.4配置资源最高管理者和监督机构应确保为风险管理配置适当资源，包括(但不限于):1)人力、技能、经验和能力；2)组织用于风险管理的流程、方法和工具；3)成文的过程和程序；4)风险管理信息(包括风险管理信息系统)和知识管理系统；5)风险管理人员专业发展和培训需求。组织应考虑现有资源的能力和局限。5.4.5建立沟通和协商5.4.5.1沟通和协商的目的沟通需要与目标受众分享信息，协商还需要参与者提供反馈，以期促进和影响决策或其他活动。5.4.5.2沟通和协商的方法和内容为支持风险管理框架和促进风险管理的有效运用，组织应建立一个一致认可的沟通和协商方法。沟通和协商的方法和内容应反映有关相关方的期望。5.4.5.3沟通和协商的要求应基于个人和组织的需求，建立正式和非正式的沟通和协商渠道，以便加强风险管理的积极信息和有沟通和协商必须及时，确保相关信息得到适当的收集、整理、综合和分享，并提供反馈和做出改进。5.5风险管理框架实施【框架要素4】5.5.1实施风险管理框架的目的通过适当地设计和实施风险管理框架，可以确保风险管理过程成为组织内部所有活动(包括决策制定)的一部分，并充分把握内外部环境的变化。5.5.2制定和实施风险管理框架实施计划1)制定适当的风险管理框架实施计划，包括活动、时机、策略或方法、职责分配、时间和资源(包括预算)等；2)组织应确保风险管理框架实施计划得到清晰的理解和执行。5.5.3决策过程1)确定组织内各类决策由何人、于何处、在何时、如何制定；2)必要时，对适用的决策程序进行调整。5.5.4相关方的参与和理解风险管理框架的成功实施，需要相关方的积极参与和理解。与相关方沟通和协商，以确保其风险管理框架保持适宜。这样能够使组织明确地应对决策中的不确定性；同时还确保组织能够将任何新的或后续出现的不确定性考虑在内。5.6风险管理框架评价(监视和评审)【框架要素5】为了评价风险管理框架的有效性，组织应：1)评价风险框架绩效：根据组织设计和实施风险管理框架的目的、实施计划、绩效指标和预期表现，定期监视和测量风险管理框架的实施情况；2)评价框架的持续适宜性：确定风险管理框架是否仍适用于支持组织目标的实现。5.7风险管理框架改进【框架要素6】5.7.1调整组织应持续监视和调整风险管理框架，以应对内外部环境的变化。这样做可以提高组织价值。5.7.2持续改进1)组织应基于风险管理框架评价的结果，持续改进风险管理框架的适宜性、充分性和有效性以及风险2)当识别出相关差距或改进机会后，组织应制定风险管理框架改进计划和任务，并分配给相关负责人实施。这些改进计划和任务一旦实施，将有助于加强组织的风险管理。6.1.1风险管理过程定义风险管理过程是将方针、程序和实践系统地应用于明确范围/环境/准则以及风险评估(包括风险识别、风险分析和风险评价)、风险应对以及沟通与协商、监视与评审、记录与报告等活动中。其中沟通与协商、监视与评审、记录与报告贯穿于风险管理的全过程。1)风险管理是系统化地应用原则、方法和流程来识别、分析、评价和应对风险，使风险被降低并控制在组织可接受的水平(风险容忍)之内，并为组织目标的实现提供合理保证；2)风险管理通过考虑风险和机遇，采取相应的措施，为组织的运营和决策及有效应对各类风险事件提供支持。风险管理旨在保证组织恰当地应对风险和机遇，提高风险应对的效率和效果，增强行动的合理性，有效地配置资源，增进创造和保护价值的能力。6.1.2风险管理过程通用流程沟通与协商监视与评审沟通与协商监视与评审风险识别记录与报告6.1.3基于PDCA的风险管理过程循环策划沟通与协商确定范围、环境和准则(风险初始信息收集)界定范围记录与明确内外部环境确定风险准则风险识别实施持续的风险监视和评审6.1.4风险管理过程要素关系解读风险管理过程=风险初始信息收集(风险环境+范围+准则)+风险运行控制(风险评估+风险应对)+风险支持过程(沟通与协商+监视和评审记录与报告+风险文化建设+风险信息系统建设与运行),其中尤其注意风险评估=风险识别+风险分析+风险评价。风险应对=制定和选择风险应对方案或策略+策划风险应对措施或解决方案。不能说“风险识别评估”,可以说“风险识别、分析和评价”或“风险评估”风险评估≠风险评价，风险评价是风险评估的一个子流程。风险识别的输出(风险清单1)=风险来源(即风险单元或风险点，如业务单元、各项活动、管控对象等)+风险类别(分类、类型)+风险事件(风险事项)+风险因素(致险情景、展开的风险表现)+风险原因(成因)+潜在后果及其对目标的影响+影响范围或性质(必要时)【最低要素，风险源+风险因素+风险风险分析的输出(风险清单2)=风险识别的输出+风险事件发生的可能性(分析1)+后果(风险影响、严重程度)(分析2)+现有控制制措施及其有效性分析(分析3)+引发次生风险、衍生风险(分析4)+风险水平(可能性分值×后果分值)(分析5)【风险评价的输入】风险评价的输出(风险清单3)=风险分析的输出+风险分级(风险排序)(评价1)+需要重点关注和优先应对的风险(评价2)+作出风险应对的决策(评价3,是否采取行动及采取哪些类型的行动)【风险应对的输入】风险应对的输出(风险清单4)=风险评价的输出+风险应对方案/策略(应对1)+策划风险应对措施/计划(应对2)+实施风险应对措施/计划并评估风险应对的有效性(应对3)监视和评审=风险管理过程的监视和评审=风险初始信息管理(风险环境+范围+准则)监视和评审1+风险运行控制(风险评估+风险应对)监视和评审2+风险支持过程(沟通与协商监视和评审3+记录与报告监视和评审4记录与报告=风险管理过程的记录与报告=风险初始信息管理(风险环境+范围+准则)记录与报告1+风险运行控制(风险评估+风险应对)记录与报告2+风险支持过程(沟通与协商)记录与报告3+监视和评审记录与报告4。6.1.5风险管理过程的应用6.1.5.1风险管理过程应用原则1)融合性(协同整合)原则。风险管理应与组织的战略设定、经营管理与业务流程相结合：风险管理不是一项孤立的管理活动，应与组织的所有管理经营活动协同整合，成为所有管理经营活动的组成部分。管理经营活动包括但不限于：战略和规划、公司治理、人力资源、合规、质量、健康与安全、业务连续性、危机管理与安全管理、组织抗风险能力、IT等。2)全面性原则。风险管理应覆盖组织所有的风险类型、业务流程、操作环节和管理层级与环节；3)重要性原则。组织面临的风险是无限的，也是动态的，但组织可用于防控风险的资源是有限的。这就决定组织的风险管理应坚持重点管理的原则，而不是追求面面俱到。应对风险进行评价，确定需要进行重点管理的风险，并有针对性地实施重点风险监测，及时识别、应对；4)平衡性(成本效益)原则。风险管理活动必须与组织面临的风险水平相称，应权衡风险与回报、成本与收益之间的关系。组织存在的主要目的就是为了追求利润，而风险管理过程是一个利益考量的过程。只有预防风险的成本小于风险爆发带来的综合损失时，风险管理才有意义。对组织的每一个风险进行管理时，都应当进行成本效益的分析。6.1.5.2风险管理过程整合应用1)风险管理过程应是组织管理和决策的有机组成部分，应整合至组织的机构、运营和流程中。它可以应用在战略、运营、项目集、项目或其他活动等层面；2)在整个风险管理过程中，应考虑人的行为和文化的动态性和多变性，将风险管理整合至组织整体文6.1.5.3风险管理过程定制化应用风险管理过程在组织中可以有很多应用，应根据组织目标进行针对性设计，并与其所应用的内外部环境相适应。6.1.5.4风险管理过程流程化与循环往复虽然风险管理过程通常表现为按一定的顺序开展，但在实践中是一个多方向的、循环往复的过程。6.2沟通和协商6.2.1沟通和协商的定义与理解沟通和协商是指组织管理风险时，提供信息、共享信息、获取信息以及与相关方展开对话的持续、往复的过程。信息可能涉及风险的存在、性质、形式、可能性、重要性、评价、可接受性和应对等方面。沟通和协商是风险管理过程的有机组成部分，为组织决策提供信息基础。沟通是交换信息与意见的互动过程，包括单向沟通与双向沟通，沟通力求对风险的认识和理解。沟通沟通活动可按多种维度进行分类，包括(但不限于):1)内部沟通和外部沟通：内部沟通针对组织内部的相关方，外部沟通外部针对外部相关方；2)双向沟通与单向沟通：单向沟通是指没有反馈信息的传递，双向沟通则是指有反馈信息的传递；3)口头沟通、书面沟通和电子媒介沟通；4)正式沟通和非正式沟通：正式沟通包括报告、正式会议(定期及临时)、会议议程和记录、相关方简报和演示等；非正式沟通采用电子邮件、社交媒体、网站，以及非正式临时讨论的一般沟通活动；5)层级沟通：向上沟通、向下沟通和横向/平级/跨团队沟通。沟通方法包括推式沟通、拉式沟通和交互式沟通：——推式沟通：发送给相关方的沟通信息，如备忘录、电子邮件、状态报告、语音邮件等。推式沟通可用于与单个相关方或一组相关方进行单向沟通。推式沟