管理风险创造价值-ISO31000
G0161 教育
2.1 风险 risk
不确定性对目标的影响。
2.2 风险管理 risk management
一个组织针对风险所采取的智慧和控制的协调的活动。
协调的活动 coordinate activities
指挥以为这领导作用及其承担的责任,控制在标准中属于风险管理术语,主要指该表风险的措施
2.3 风险管理框架 risk management framework
全组织内为设计、实验、检测、评审和持续性改进风险管理提供基础和安排的一组构成 注1 基础包括方针、目标、对管理风险的授权与承诺。
注2 组织的安排包括计划、相互关系、责任、资源、过程和活动。 注3 风险管理框架被嵌入到组织的所有战略、运营方针及实践中。
2.4 风险管理方针 risk management policy
一个组织在风险管理方面总的医院和方向的陈述。
2.8 风险管理计划 risk management plan
在风险管理框架中,清晰描述用于风险管理的方法、管理构成和资源的方案。 注1 管理构成一般包括程序、操作方法、职责分配、活动的顺序和时间安排 注2 风险管理计划可被应用到特定产品、过程和项目、组织的部分或全体。
2.8 风险管理过程 risk management process
将管理方针、程序和操作方法系统地应用到沟通与咨询、建立环境,以及识别、分析、评价、应对、检测与评审风险的活动中。
以上即为风险管理过程的字过程
2.9 建立环境 establishing the context
当管理风险和为风险管理方针而确定范围和风险准则是,组织必须考虑到外部、内部参数。
2.12 沟通与咨询 communication and consultation
组织针对风险管理所实施的提供信息、共享信息、获取信息并与利益相关方对话的持续、往复的过程。
注1 信息与风险管理的如下方面相关:现状、特征、种类、可能性、重要性、评价、可接受性以及风险管理的应对。
注2 咨询是组织与其利益相关方之间进行正式沟通的双向过程,是就优先进行决策的某一议题进行沟通,或决定该议题的发展方向。咨询是:
——通过影响而不是通过权力对决策施加作用的一个过程;
——对决策的输入,而不是参与决策;
2.13 利益相关方 stakeholder
可能影响、或被影响或意识到其自身可能被一项决定或活动所影响的个人或组织。 注 一个决策者可能是一个利益相关方。
2.14 风险评估 risk assessment
风险识别、风险分析和风险评价的全过程。
风险评价意味仅仅是说风险评价过程,对风险的重要性做出评价。
2.17 事件 event
一些特定情况发生的事情及其变化。
注1 一个事件可以是一个或更多发生的事,并且可以有众多原因。
注2 一个事件可以由未发生的事情组成。
注3 一个事件有时被称为“不良事件”或“事故”
注4 一个未有后果的事件也可以被称为“临近过失”、“不良事件”、“临近伤害”或“最后通牒”。
2.18 后果 consequence
一个影响目标的事件后果
注1 一个事件可能导致各种后果
注2 一个后果可能是确定的或不确定的,且对目标有正面的或负面的影响。
注3 可定性或定量地表示后果。
注4 通过连锁效应可以是最初的后果升级。
2.19 可能性 likelihood
某事发生的可能程度
注1 无论如何定义、测量或以目标的、学科的、定性的、定量的确定,还是一般词汇或数学上的描述(如概率或在给定时间范围的频率),在风险管理的专用术语中,“可能性”一词被指定用于某事发生的可能程度。
2.22 风险准则 risk criteria
评价风险重要性的参照依据
注1 风险准则基于组织的目标、外部和内部环境。
注2 风险准则可能来自于标准、法律、政策和其他要求。
由于不确定性对目标影响的程度不同,组织面对风险的重要性也有所不同。所以组织在实施风险管理中,必须要对已识别出的风险进行重要性评价。评价风险的重要性,就必须建立重要性评价的依据,按照所指定的依据对各个风险进行重要性评价。这一评价依据就是“风险准则”。
2.25 风险应对 risk treatment
改变风险的过程
注1 风险应对包括:
——规避风险,决定不开始、不继续导致风险的活动;
——为寻求机会而承担或增大风险;
——消除风险源;
——改变可能性
——改变后果
——与其他团体或各方分担风险(包括合同和风险资金);
——以正式决定保留风险。
注2 有负面结果的风险应对有时被称为“风险缓和”、“风险消除”、“风险预防”和“风险降低”。
注3 风险应对可能创造新的风险,或改变现有风险。
2.26 控制 control
正在改变风险的措施
注1 控制包括任何过程、测量、设备、实践或其他改变风险的活动。
注2 控制并非总是希望改变预期或假定的影响。
在标准中,除“控制”一词是动词外,名词均以复数形式出现(controls ),故“控制”指的是控制方法或控制措施。
2.29 评审 review
为实现所建立的目标而进行的决定适应性、充分性、有效性的活动。
注 评审可应用于风险管理框架、风险管理过程、风险或控制。
“评审”是一个风险管理术语、不是通常意义上的“检查”,它有着特定的内涵。“评审”是一项活动,组织通过开展此项活动而对“适宜性、充分性、有效性”做出决定。
风险管理八大原则及其理解
A )风险管理创造并保护价值。(1)
风险管理为组织目标和绩效改进的可证实成绩做出贡献,如人身健康与安全、保安措施、法律法规符合性、公众接受度、环境保护、产品质量、项目管理、运营效率、治理和名誉。 第一原则是组织实施风险管理的核心,任何不创造价值、不保护价值的风险管理是没有意义的。
B )风险管理是构成组织所有过程整体所必需的一部分。(2)
风险管理不是独立的、与组织的主要活动和过程相分离的一项活动。风险管理是管理职责的一部分。是构成组织所有过程整体说必需的一部分,包括战略策划和所有项目以及变更管理过程。
标准以此原则为基础,引入了一个极为重要的概念——“嵌入”(embedded into )。嵌入就是对组织已识别并规定的过程嵌入风险管理的力量、流程、技术和方法,以实现对该过程的风险管理。
C )风险管理是决策的一部分
风险管理帮助决策者进行正式的选择、优化活动顺序并可辨别可选择的行动路线。
D )风险管理清晰地阐明不确定性(4)
风险管理清晰地考虑不确定性、不确定性的特征以及如何能清晰地阐明它。
本原则要求风险管理对“不确定性”进行清晰的阐述,按照“定义”的内涵,风险管理应主要针对“缺乏信息”进行阐述,包括三方面:一是关于时间本身的阐述,重点是事件的发生
有哪些不确定性(这里事件一定是潜在事件,还未发生),如发生的原因、时间、地点和规模等;二是关于事件后果的阐述,重点是事件后果有哪些不确定性,如事件后果的性质,是正面的还是负面的,后果的严重程度、后果的形态等;上市关于事件可能性的阐述,重点是在时间框架、空间框架下事件发生的可能性说明。
E )风险管理是系统的、结构化的和适时的(5)
系统的、适时的、结构化的风险管理方法有助于提高效率,并获得一致的、可比较的和可靠的结果。
f )风险管理以最可利用的信息为基础(6)
管理风险过程的输入以信息源为基础,如历史数据、经验、利益相关方的反馈、观察、预测和专家判断。然而,决策者应提醒自己并考虑说使用数据或模型的局限性,以及专家意见的分散程度。
g )风险管理具有适应性(7)
风险管理与组织的外部和内部环境以及风险状况相适应。
2.20 风险状况 risk profile
对任何一组风险的描述
注 这组风险可能包含整体组织、部分组织或涉及其他方面有关的风险。
h )风险管理考虑人和文化因素(8)
风险管理识别外部和内部人员的能力、感知和医院,这些能促进或阻碍组织目标的实现。 人在风险管理中起决定作用,考虑人的因素,其核心是“以人为本”。在风险管理领域中,全面引入组织的文化,将组织文化作为组织实施风险管理不可或缺的背景和动力。
i )风险管理是透明的、包容的 (9)
利益相关方,特别是组织所有层次的决策者适当、及时参与、以确保风险管理保持在他们密切相关和保持更新。应允许有适当的利益相关方代表参与风险管理,并在决定风险准则中考虑他们的意见。
一方面是说组织的风险管理本身应该是透明的,另一方面是说组织的所有运作过程也应是透明的。
j )风险管理是动态的、往复的,并对变化保持相应(10)
风险管理对变化保持持续感觉和响应。随着外部和内部事件的发生、环境和知识的变化以及风险监测和评审的进行,新的风险会出现,某些风险可能发生变化,另一些风险则可能消逝。
K )风险管理促进组织的持续改进(11)
组织应制定并实施战略以改进其风险管理成熟度以及组织的所有其他领域。
风险管理成熟度(RMM )的含义是指一个组织在风险管理方面的能力成熟程度,将组织的风险管理成熟度分为以下四个等级:
第一级为特定级(Ad Hoc):未认识到风险管理的需求
第二级为起步级(Initial ):意识到管理风险的潜在收益,但未有效地实行。
第三级为可重复级(Repeatable ):风险管理成为所有组织流程的一部分,在大部分或所有
项目中已实施。
第四级为管理级(Managed ):组织在各个方面具有风险管理的前置方法和风险意识文化,积极运用风险信息改进组织流程并获得竞争优势。
对“风险”术语最新定义的认识
1、 风险的未来属性
2、 风险的两重性——机会与威胁
3、 风险的不确定性(风险的唯一确定性就是其所具有的不确定性)
4、 风险的事件性
5、 风险的二维表示(一维是事件的后果,另一维是发生的可能性)
6、 风险的信息性。(不确定性的根源在于缺乏信息,如果有了对潜在事件、后果、可能性
的足够信息,就可以实现对它们的认识和了解,就可以变“不确定性”为“确定性”
风险管理的新特征
1、 风险管理的未来性
2、 风险管理的目标性
3、 风险管理的嵌入性
4、 风险管理的主动性
5、 风险管理的信息性
风险管理的框架
4.1 总则
风险管理的成功取决于风险管理框架的有效性。风险管理框架为组织提供了基础和安排,这些基础和安排将风险管理框架嵌入到全组织的所有层次。本框架通过在组织特定的环境和不同层次中应用风险管理过程,而有助于组织有效的管理风险。本框架确保从风险管理过程中所获得的风险信息被充分的报告,并将其作为在组织的所有相关层次进行决策和责任的基础。
此框架并不试图描述一个管理体系,而是协助组织将风险管理整合入组织的所有管理体系之中。因此,组织应将框架的组成部分应用于他们的特有需求。
4.2 授权与承诺
引入风险管理并确保其有效,需要组织管理者强有力和持续性的承诺,与此同时,为履行在各层次上的承诺,应进行战略性的缜密策划。管理者应当:
——阐明并签署风险管理方针
——确保组织的文化与风险管理方针一致
——决定风险管理的绩效目标,该指标应与组织的绩效指标一致
——风险管理目标与组织的目标和战略一致;
——确保法律法规符合性;
——在组织内的适当层次分配管理责任和职责
——-确保风险管理中必要的资源配置
——与所有利益相关方沟通风险管理的益处;
——确保管理风险框架持续适宜
管理风险框架的设计
4.3.1了解组织及其环境
在开始设计和实施管理风险框架之前,评价和了解外部、内部环境十分重要,因此对框架的设计有着显著的影响。
近几年一些企业开展的风险管理大多是从“梳理流程”、“识别风险”等开始的,在此之前对环境的关注较少。按照ISO31000标准中开展“批判性的评审和评估”以决定“充分性和有效性”的要求,组织应“评价和了解组织的外部、内部环境”,为组织的“梳理流程”、“识别风险”等提供准确的“环境标准”。
评价组织的外部环境可包含,但不限于:
A ) 社会和文化、政治、法律、法规、金融、技术、经济、自然环境、竞争环境、无论是国
际的、国内的、区域的或局部的;
B ) 对组织的目标有影响的关键驱动者(key drivers)和趋势(trends );
C ) 与外部利益相关方的关系、他们的感知和价值观。
评价组织的外部环境可包含,但不限于:
——治理、组织结构、角色与责任;
——方针、目标,以及实现它们的战略;
——能力、对资源和知识的理解(如资本、时机、人员、过程、系统和技术);
——信息系统、信息流和决策过程(正式的或非正式的);
——与内部利益相关方的关系,他们的感知和价值观;
——组织的文化;
——组织所采用的标准、指南和模型;
——合同关系的种类和程度。
4.3.2建立风险管理方针
风险管理方针应清晰阐明组织的风险管理目标和对风险管理的承诺。风险管理方针通常应明确如下内容:
——组织管理风险的依据;
——组织的目标、方针与风险管理方针的联系;
——管理风险的责任和职责;
——处理利益冲突的方式;
——承诺向管理风险负有责任和履行职责的人员提供必要的资源;
——测量和报告风险管理绩效的方式;
——承诺定期评审和改进风险管理方针和框架,以及对事件或情况变化的响应; 应对风险管理方针进行适当的沟通。
4.3.3 责任
为管理风险,组织应确保具有责任、权力及适当的能力,包括实施和维持风险管理过程,并确保任何控制方式的重复性、有效性和高效率。
这可以通过一些内容得到促进:
——识别对管理风险负有责任和权力的风险责任人;
——识别对开发、实施、保持管理风险框架负有责任的人;
——识别组织内所有层次的人员在风险管理过程中的其他职责;
——建立绩效测量、外部和/或内部报告以及升级过程;
——确保适当程度的承认。
2.7风险责任人 risk owner
对管理风险负有责任并且具有权力的个人或实体。
4.3.4 整合入组织的过程
风险管理应以关联的、有效的和高效率的方式嵌入组织的所有实践和过程。风险管理应成为组织过程的一部分而不是与其分离。尤其是风险管理应嵌入方针的指导、业务与战略的策划及评审,以及变更管理过程。
在整个组织范围内应有一个风险管理计划,以确保风险管理方针得到实施和风险管理嵌入组织的所有实践及过程。风险管理计划可以被整合入组织的其他计划,如战略计划。
4.3.5 资源
组织应为风险管理配置适当的资源。应考虑如下方面:
——人员、技能、经验和能力;
——风险管理过程的每一步骤所需要的资源;
——用于管理风险的过程、方法和工具;
——已记载的过程和程序
——信息和知识的管理系统
——培训计划
4.3.6 建立内部沟通和报告机制
组织应建立内部沟通和报告机制以支持和鼓励对风险的问责和责任人。这些机制应确保: ——适当沟通风险管理框架的关键构成及其后续的任何修改;
——对风险管理框架、其有效性、结果进行充分的内部报告;
——在适当的层次和时间,可以获取来自实施风险管理的相关信息;
——应有向内部利益相方咨询的过程
适当时,这些机制应包括对来自一些风险信息加以合并的过程,还可能需要考虑信息的敏感性。
机制的内涵是体制+制度,它的一个突出特征是可以使一个系统接近与一个自适应系统,但外部环境发生变化、系统的不确定性增大时,可以通过机制迅速做出反应,进行相应的调整,使组织从不利中恢复过来。
4.3.7 建立外部沟通和报告机制
组织应建立并实施与外部利益相关方沟通的计划。该计划应包括:
——明确适当的外部利益相关方,确保有效的信息交流;
——外部报告以符合法律、监管和治理要求;
——就沟通和咨询提供反馈和报告;
——通过沟通在组织建立信任;
——就危机或突发事件与外部利益相关方沟通。
适当时,这些机制应包括对来自一些风险源的风险信息加以合并的过程,还可能需要考虑信息的敏感性。
实施风险管理
4.4.1 实施管理风险框架
实施组织的管理风险框架时,组织应:
——为实施此框架,确定适当的时间安排和战略;
——将风险管理方针和过程应用到组织的过程中;
——符合法律和监管的要求;
——确保决策,包括开发和制定目标,与风险管理过程的结果相一致;
——掌握信息和培训课程;
——与利益相关方沟通、咨询,以确保风险管理框架保持适宜。
4.4.2 实施风险管理过程
作为组织活动和过程的一部分,组织应实施风险管理。实施风险管理可通过在组织所有层次和职能上实施风险管理计划,以确保本标准条款5所描述的风险管理过程得到应用。
2.28 监测 monitoring
持续的监测、监督,批评性的观察或决定绩效的状态,以识别所要求或期望的绩效水平的变化。
注 监测可应用与风险管理框架、风险管理过程、风险或控制
4.5 框架的监测与评审
为确保风险管理有效和对组织的绩效提供持续支持,组织应:
——按所确定的指标测量风险管理绩效并定期评审其适宜性;
——定期测量风险管理计划的进展以及进展与计划的偏离程度;
——在组织所处的外部、内部环境下,定期评审风险管理框架、方针、计划是否适宜; ——报告风险、风险管理计划的进展,以及组织的风险管理方针遵循程度;
——评审风险管理框架的有效性。
4.6 框架的持续改进
以监测和评审的结果为基础,决定风险管理框架、方针和计划如何改进,这些决定可导致组织的风险管理和风险管理文化的改进。
风险管理过程
5.1 总则
风险管理的过程应是:
——构成组织管理整体所必需的一部分;
——被嵌入组织的文化和实践中;
——与组织的运营过程相适应。
风险管理过程包含由5.2-5.6所描述的活动。
5.2 沟通和咨询
在风险管理过程的所有阶段,都应与内部和外部的利益相关方沟通和咨询。
因此,组织应在早期阶段制订沟通与这些计划。该计划应阐明与风险本身、风险原因以及风险后果(如已知)有关的事项,以及对其所采取的应对措施。应进行有效的内部和外部的沟
通与咨询,以确保对实施风险管理过程负有责任的人和利益相关方理解有关决定的基础,以及需要特殊措施的原因。
组织拥有一支咨询团队可以:
——帮助建立适当的环境;
——确保利益相关方的利益得到理解和考虑;
——有助于确保风险得到充分识别
——集合不同领域的重要知识用于分析风险
——确保在确定风险准则和评价风险时能够恰当地考虑不同意见;
——确保风险应对计划的认可和支持;
——在风险管理过程中加强适当的变更管理;
——有助于制订恰当的外部和内部的沟通与咨询计划。
利益相关方基于他们的风险感知(risk perception)而对风险进行判断,所以与他们的沟通和咨询十分重要。风险感知随利益相关方的价值观、需求、加上、概念和关注点的不同而改变。利益相关方的意见对组织的决策有重要影响,因而利益相关方的风险感知应被识别、记录,并在决策中给予考虑。
沟通与咨询应促进真实、相关、准确和易于理解的信息交流,并将报名和个人诚信因素考虑在内。
5.3 建立环境
5.3.1 总则
通过建立环境,组织清楚地表达其目标,确定内、外部参数,这是当管理风险和为维持风险管理过程而制定范围、风险准则时必须考虑的。当这些参数与风险管理框架设计(4.3.1)时考虑的参数相似是,当为风险管理过程建立环境时,需要更加细致地考虑这些参数,尤其是这些参数如何与特定风险管理过程的范围相当。
2.10 外部环境(external context)
组织追求实现其目标所处的外部环境。
注 外部环境包括:
——文化、社会、政治、法律、法规、金融、技术、经济、自然环境和竞争环境,无论是国际的、国内的、区域的或局部的;
——对组织目标有影响的关键驱动器和趋势;
——与外部利益相关方(2.13)的关系以及他们的感知和价值观。
5.3.2 建立外部环境
外部环境是指组织旨在实现其目标所处的外部环境
在制定风险准则是,为了确保将外部利益相关方的目标和关注点考虑在呢,了解外部环境非常重要。外部环境以组织的广阔背景为基础,但是强调了他的法律法规要求的具体细节、利益相关方的感知以及在风险管理过程范围中具体风险的其他方面。
外部环境包括,但不限于:
——社会、文化、政治、法律、法规、金融、技术、经济、责任环境和竞争性环境,无论是
国际的、国内的、区域的、局部的;
——对组织有目标有影响的关键驱动器和发展趋势;
——与外部利益相关方的关系,以及他们的感知和价值观。
1. 建立环境是主动管理的体现,标准要求组织将自己的环境建立起来,而不仅仅是识别现
有环境。
2. 此处的环境不是组织风险管理“框架”所处的大的环境,而是风险管理过程“嵌入”的
业务过程所处的环境。
3. 建立现有的环境——组织应以文件的形式将已建立的现有环境描述出来,并保留下来。
4. 发展环境。一是要考虑到已建立的现有环境是否发生变化,如法律环境的变化;二是要
积极主动地改造环境、创造环境,如争取“定价权”、参与“规则”的制定等。
2.11 内部环境 internal context
组织追求实现其目标所处的内部环境。
注 内部环境包括:
——治理、组织结构、角色、责任;
——方针、目标、以及实现他们的战略;
——能力、对资源和知识的理解(如资本、时机、人员、过程、系统、技术);
——信息系统、信息流、决策过程(正式的和非正式的);
——与内部利益相关方的关系,以及他们的感知和价值观;
——组织的文化;
——组织所采用的标准、指南和模型;
——合同关系的种类和程度。
5.3.3 建立内部环境
内部环境是指组织旨在实现其目标而所处的内部环境。
风险管理过程应与组织的文化、过程、结构和战略相一致。内部环境是组织内部可能影响管理风险方式的任何事情。
建立内部环境是因为:
——风险管理在组织的目标环境中实施;
——一个特定项目、过程或活动的目标和准则应在组织的整体目标下进行考虑;
——一些组织未能识别实现其战略、项目或经营目标的机会,并且仍在影响着组织的承诺、信誉、信任和价值。
理解内部环境十分必要。内部环境包括,但不限于:
——治理、组织结构、角色和责任;
——方针、目标及确定实现它们的战略;
——能力、对资源和知识的理解(如资本、时机、人员、过程、系统、技术);
——与内部利益相关方的关系,以及他们的感知和价值观;
——组织的文化
——信息系统、信息流和决策过程(正式及非正式的);
——组织所采用的标准、指南和参考模型;
——合同关系的种类和程度。
5.3.4 建立风险管理过程的环境
对实施风险管理过程的组织,组织应对其活动建立或部分建立目标、战略、范围和参数。在实施风险管理是,组织需要判断在执行风险管理中所使用的资源。应明确规定资源需求、职责、权限,以及应保存的记录。
风险管理过程的环境随组织的需求而变化,它包括但不限于: ——确定风险管理活动的目的和目标;
——在风险管理过程内、为风险管理过程确定职责;
——确定范围、开展风险管理活动的深度和广度,包括特殊情况下的内涵和外延; ——按照时间和地点确定活动、过程、职能、项目、产品、服务或资产; ——确定组织的特殊项目、过程或活动与其他项目、过程或活动的关系; ——确定风险评估方法;
——确定在风险管理中评价绩效和有效性的方式; ——识别和明确必须做出的决定;
——所需的识别方法、确定范围或框架建立的研究,他们的程度和目标,以及研究所需要的资源。
关注这些及其他相关因素有助于确保组织所采用的风险管理方法对有关情况、组织和影响目标实现的风险是适当的。
第三方面:风险管理过程的范围往往会超出业务过程本身的范围,这就是标准所说的在一些“特殊情况下”风险管理过程的“内涵和外延”,也就是在确定风险管理过程的范围后,存在着实施的“深度和广度”问题。
第五方面:与常规的业务活动或过程相比,组织的某些项目、活动或过程具有特殊性。对此,标准提出要识别它们。
第七方面,评价方式应考虑风险管理框架的总体要求,并结合业务过程的特点和实际情况。
确定风险准则
1. 风险准则是组织的环境之一 2. 风险准则是特定过程的风险准则 3. 风险准则应是文件化的
5.3.5 确定风险准则
组织应确定风险准则,用于评价风险的重要性。风险准则应反映组织的价值观、目标和资源。某些风险准则直接或间接反映了法律、法规要求和组织需要遵循的其他要求。风险准则应与组织的风险管理方针相一致,并应在开始任何风险管理过程之前确定,且得到持续评审。
在确定风险准则时,考虑的因素应包括如下方面:
——风险的特性和原因的种类,可能出现的后果以及如何对其进行测量; ——如何确定风险发生的可能性; ——可能性和/或后果的时限; ——如何确定风险等级;
——利益相关方的意见;
——风险可接受或可容忍的等级;
——考虑是否需要组合多个风险,如需要,应考虑如何组合和哪些组合方式。
第三方面,标准中的“时限”应引起重视,对于确定的风险后果、可能性,一般来说,时间敞口越大,风险也就越大。
2.23 风险等级 level of risk
一个风险或组合风险的大小,以结果和可能性的二者结合来表示
风险评估 5.4.1 总则
风险评估是风险识别、风险分析和风险评价的全过程。
2.15 风险识别 risk identification
发现、辨认和表述风险的过程。
注1 风险识别包括对风险源、风险事件、风险原因和他们的潜在后果的识别。
注2 风险识别可包括历史数据、理论风险、有见识的意见,专家的意见,以及利益相关方的需求。
5.4.2 风险识别
组织应识别风险源、风险影响的范围、相关事件(包括变化的情况)、原因以及潜在的后果。风险识别的目的是要建立一个基于风险事件的全面风险清单,这些事件可能创造、加强、阻碍、降级、加速或延误目标的实现。识别与不需要追踪的机会相关的风险十分重要。因为在这一过程未被识别的风险将不会进行后续的风险风险,所以全面识别是关键。
2.16 风险源 risk source
对导致风险具有潜在影响的要素或要素的结合。 注 风险源可以是有形的或无形的。
即使风险源或风险原因是不明显的,但风险识别应包括无论风险源是否在组织控制之下的风险。风险识别应包括对特定后果连锁反应的测量,包括级联效应和累积效应。虽然风险源或原因可能并不明显,也应考虑其大范围的后果。就像识别可能会发生什么一样,考虑可能的原因和导致后果发生的事态是非常必要的。应考虑所有重要的原因和后果。
组织应采用与其目标、能力、所面对风险相适应的风险识别工具和技术。在识别风险过程中,相关与最新的信息十分重要。还应包括对可能地点的适当背景信息。适当专业知识人员应参与识别风险。
风险评估的技术方法有两类,一种是“强烈适用”(strong applicable ):如头脑风暴法、结构化/本结构化访谈、德尔菲法、情景分析和检查表法等;一种是“可使用”(applicable ):如业务影响分析、根原因分析和潜在通路分析等。
2.21 风险分析risk analysis
理解风险特性和确定风险等级的过程
注1 风险分析为风险评价和风险应对决定提供基础。 注2 风险分析包括风险估计。
实际工作中,对风险进行分析时,要对风险进行数值的估计,尤其是对风险后果、可能性的数值进行估计,深化对风险特性的理解,并为确定风险等级提供数据支持。
5.4.3 风险分析
风险分析是要建立对风险的理解。风险分析为风险评价,为是否有必要进行风险应对和做出最恰当的风险点应对战略和方法的决定提供输入。风险分析还可以对必须做出选择的决策提供输入。可选择的风险分析方法适用于不同种类和程度的风险。
风险分析要考虑风险发生的原因,风险源、它们的正面、负面后果,以及各种结果发生的可能性。应识别影响后果和可能性的各种因素。风险分析就是要去顶风险后果、发生的可能性以及风险的其他属性。某一事件可以有多个后果,可能会影响多个目标。现行的控制方法以及它们的效果和效率也应被考虑在内。
风险后果和可能性的表示方式以及二者结合决定风险等级的方式应反映风险的类型、获得的信息,以及风险评估输出的目的。这些均应与风险准则相一致。同样重要的是应考虑不同风险和其风险源的相互依存。
在进行风险分析时,应考虑决定风险等级的信心以及风险等级对先决条件和假设条件的敏感性,并以决策者有效沟通,是当时,与其他利益相关方沟通。应阐述和高度关注有关因素,如专家意见的分散程度、信息的不确定性、可用性、质量、 数量以及持续的相关性,或选用模型的局限性。
风险分析应考虑分析的详细程度及变化、与风险本身的依赖性、分析的目的、信息、数据、可得到的资源。风险分析依情况而定,可以是定性、半定量或定量的,或它们的组合。
风险的后果及可能性的确定可通过对一个事件或一系列事件引发结果的模拟,或通过实验研究以及可获得的数据外推。风险后果可以有形的和无形的影响表示。在某些情况下,可能需要多个指标来确切描述不同时间、地点、类别或情形的后果和可能性。
2.24 风险评价 risk evaluation
风险分析结果与风险准则相比较,以决定风险和/或其大小是否可接受的或可容忍的过程。 注 风险评价协助进行风险应对的决定。
风险偏好:一个组织准备追求、保留或承担的风险数量和种类。
5.4.4 风险评价
风险评价的目的是协助决策,决策基于风险分析的结果,根据风险需要应对和实施应对的优先顺序进行决策。
风险评价包括风险分析过程中所发现的风险等级与在考虑所处环境后所建立的风格准则进
行比较。以这种比较为基础,考虑应对的需要
在某些情况下,风险评价可能会导致开展进一步分析的决定。风险评价也可能导致不进行任何风险应对的决定,而不是维持现有的控制措施。决策受组织的风险态度和已经建立的风险准则的影响。
风险态度 risk attitude
组织在评估、追踪、保留、承担或规避风险方面的处理方式
标准对“风险评价”共推荐了10中“强烈适用”的方法,如危险与可操作性风险、危险分析与关键控制点、结构化假设分析、贝叶斯分析等。推荐了10中“可适用”的方法,如风险矩阵、人因可靠性分析、故障树分析、决策树分析等。
风险应对 5.5.1 总则
风险应对包括选择一个或多个改变风险的方式,并实施这些方式。一旦付诸实施,这些方式就会提供或改进控制措施。 风险应对是一个循环过程: ——评估风险应对;
——决定剩余风险的等级是否是可容忍的; ——如果不可容忍,应提出新的风险应对; ——评估应对的有效性。
2.27 剩余风险 residual risk 风险应对后遗留的风险
注1 剩余风险可能包括未识别的风险。 注2 剩余风险也可以认为是“保留的风险”。
组织应在实现风险应对后,确定剩余风险的等级,并将该等级与“风险准则”中的“可容忍等级”相比较,以决定剩余风险是否可容忍。
在许多情况下,风险应对方式不是相互排斥或适宜所有情况。风险应对方式包括: ——通过不开始或不继续导致风险的活动而规避风险; ——为追求机会而承担或增大风险; ——消除风险源; ——改变可能性; ——改变后果;
——与其他团体或各方分担风险(包括合同和风险资金); ——以正式的决定保留风险。
5.5.2 选择风险应对方式
选择最适当的应对方式应平衡应对成本与所得到收益的实施效果,并考虑法律、法规和其他要求,如社会责任和自然环境保护。应考虑对这种风险做出决定;仅从经济方面考虑是不恰当的,但需要实施风险应对的风险,如非常严重(高负面后果)但罕见(低可能性)的风险。
可以考虑多种的应对方式并单独或组合他们使用。组织通常可采用应对方式的组合而从中获益。
在选择应对方式时,组织应考虑利益相关方的价值观、感知和以最适当的方式与他们沟通。如果风险应对方式对组织或利益相关方其他地方的风险有影响,这些应对方式应在决策中给予考虑。虽然一些应对方式均是有效的,但比较而言,利益相关方可能更易于接受某种应对方式。
应对计划应清晰地识别实施每一项风险应对的优先顺序。
风险应对本身可引入新的风险。其中一个重大风险可能导致风险点应对措施的失败或无效。监测是构成风险应对计划整体所必需的一部分,以保证测量持续有效。
风险应对可引入次级风险,对他们需要评估、应对、监测和评审。应将这些刺激风险纳入与原风险相同的应对计划,而不是作为新的风险给予应对。应识别并保持这两种风险的相互联系。
5.5.3 编制和实施风险管理应对计划
风险应对计划的目的是将如何实施所选择的应对方式形成文件。风险应对计划所提供的信息应包括:
——选择应对方式的原因,包括要获得的预期收益; ——对计划批准负有责任的和对实施计划负有职责的人; ——建议的活动;
——资源需求,包括突发事件的资源需求; ——绩效的测量方法和限制条件; ——报告和监测要求; ——时机、日程安排。
风险应对计划应被整合如组织的管理过程中并与适当的利益相关方进行讨论。 决策者和其他利益相关方应意识到在风险应对后剩余风险的性质和程度。应记载剩余风险并进行检测、评审,适当时应进一步应对。
监测与评审
监测与评审是风险管理过程中策划的一部分,包括日常的检查和监督。监测与评审可以是定期的或临时的。
应清晰确定监测与评审的职责。
组织所进行的监测与评审应包含组织风险管理过程的所有方面,其目的是: ——确保在设计和运营两个方面控制措施是有效的和高效率的; ——为改进风险评估而获取进一步的信息; ——在事件(包括临近发生)、变化、趋势、成功和失败中进行风险并获取教训;
——察觉外部、内部的环境变化,包括风险准则和风险本身的变化,这些变化可能需要修改风险应对方式和优先顺序;
——识别正在显露的风险。
风险应对计划的实施进展提供了绩效测量。测量结果可以被纳入到组织的所有绩效管理、测量及外部、内部报告活动中。
监测与评审的结果应被记录和适当的向内部、外部报告,以及应将用来作为风险管理框架评审的输入。
5.7 记录风险管理过程
风险管理活动应可追溯。与所有过程一样,在风险管理进程中,记录为方法和工具的改进提供基础。
创建记录的决定应考虑:
——在持续学习方面组织的需求;
——出于管理的目的而重复使用信息的益处; ——创建和维护记录所需的成本与效果; ——法律、法规和操作方面对记录的需求;
——获取信息的方法、读取信息的难易程度和储存媒介; ——保留期限; ——信息的敏感性。
主要风险法规 国际部分
Coso 内部控制——整合框架 Coso 企业内部管理——整合框架
AS/NZS 4360:2004澳大利亚-新西兰风险管理标准 萨班斯-奥克斯利法案 巴塞尔资本协议
国内部分
中央企业全面风险管理指引
上海证券交易所上市公司内部控制指引 深圳证券交易所上市公司内部控制指引 企业内部控制基本规范
企业内部控制应用指引 企业内部控制评价指引 企业内部控制审计指引 GBT24353——2009《风险管理原则与实施指南》