风险管理 原则与实施指南
风险管理 原则与实施指南
1 范围
本标准提供了风险管理的原则和通用的实施指南。
本标准适用于各种类型和规模的组织,适用于组织的全生命周期及其各阶段,也适用于组织的各种活动,包括流程管理、职能行为、项目管理以及与产品、服务、资产、运作和决策等有关的各项活动。
本标准提供实施风险管理的通用指南,但风险管理的具体实施取决于组织的实际需要和具体实践。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而鼓励根据本标准达成协议的各方研究是否可使用这些文件的*新版本。凡是不注日期的引用文件,其*新版本适用于本标准。
GB/T23694 风险管理 术语。
3 术语和定义
GB/T23694确定的术语和定义适用于本标准。
4 风险管理原则
为有效管理风险,组织在实施风险管理时,可遵循下列原则;
a)控制损失,创造价值
以控制损失、创造价值为目标的风险管理,有助于组织实现目标、取得具体可见的成绩和改善各方面的业绩,包括人员健康和**、合规经营、信用程度、社会认可、环境保护、财务绩效、产品质量、运营效率和公司治理等方面。
b)融入组织管理过程
风险管理不是独立于组织主要活动和各项管理过程的单独的活动,而是组织管理过程不可缺少的重要组成部分。
c)支持决策过程
组织的所有决策都应考虑风险和风险管理。风险管理旨在将风险控制在组织可接受的范围内,有助于判断风险应对是否充分、有效,有助于决定行动优先顺序并选择可行的行动方案,从而帮助决策者做出合理的决策。
d)应用系统的、结构化的方法
系统的、结构化的方法有助于风险管理效率的提升,并产生一致、可比、可靠的结果。
e)以信息为基础
风险管理过程要以有效的信息为基础。这些信息可通过经验、反馈、观察、预测和专家判断等多种渠道获取,但使用时要考虑数据、模型和专家意见的局限性。
f)环境依赖
风险取决于组织所处的内部和外部环境以及组织所承担的风险。需要特别指出的是,风险管理受人文因素的影响。
g)广泛参与、充分沟通
组织的利益相关者之间的沟通,尤其是决策者在风险管理中适当、及时的参与,有助于保证风险管理的针对性和有效性。
利益相关者的广泛参与有助于其观点在风险管理过程中得到体现,其利益诉求在决定组织的风险偏好时得到充分考虑。利益相关者的广泛参与要建立在对其权利和责任明确认可的基础上。
利益相关者之间需要进行持续、双向和及时的沟通,尤其是在重大风险事件和风险管理有效性等方面需要及时沟通。
h)持续改进
风险管理是适应环境变化的动态过程,其各步骤之间形成一个信息反馈的闭环。随着内部和外部事件的发生、组织环境和知识的改变以及监督和检查的执行,有些风险可能会发生变化,一些新的风险可能会出现,另一些风险则可能消失。因此,组织应持续不断地对各种变化保持敏感并做出恰当反应。组织通过绩效测量、检查和调整等手段,使风险得到持续改进。
5 风险管理过程
5.1概述
风险管理过程是组织管理的有机组成部分,嵌入在组织文化和实践当中,贯穿于组织的经营过程。风险管理过程由5.2到5.5所描述的活动组成,即明确环境信息、风险评估、风险应对、监督和检查,如图1所示。其中,风险评估包括风险识别、风险分析和风险评价等三个步骤。
沟通和记录,应贯穿于风险管理过程的各项活动中,5.6将对其进行详细说明。
5.2明确环境信息
5.2.1概述
通过明确环境信息,组织可明确其风险管理的目标,确定与组织相关的内部和外部参数,并设定风险管理的范围和有关风险准则。
5.2.2外部环境信息
外部环境信息是组织在实现目标过程中所面临的外部环境的历史、现在和未来的各种相关信息。
为保证在制定风险准则时能充分考虑外部利益相关者的目标和关注点,组织需要了解外部环境信息。外部环境信息以组织所处的整体环境为基础,包括法律和监管要求、利益相关者的诉求和与具体风险管理过程相关的其他方面的信息等。
外部环境信息包括但不限于:
——国际、国内、地区及当地的政治、经济、文化、法律、法规、技术、金融以及自然环境和竞争环境;
——影响组织目标实现的外部关键因素及其历史和变化趋势;
——外部利益相关者及其诉求、价值观、风险承受度;
——外部利益相关者与组织的关系等。
5.2.3内部环境信息
内部环境信息是组织在实现目标过程中所面临的内在环境的历史、现在和未来的各种相关信息。
风险管理过程要与组织的文化、经营过程和结构相适应,包括组织内影响其风险管理的任何事物。组织需明确内部环境信息,因为:
——风险可能会影响组织战略、日常经营或项目运营等各个方面,从而进一步会影响组织的价值、信用和承诺等;
——风险管理在组织的特定目标和管理条件下进行;
——具体活动的目标和有关准则应放到组织整体目标的环境中考虑;
内部环境信息可包括:
——组织的方针、目标以及经营战略;
——资源和知识方面的能力(如资金、时间、人力、过程、系统和技术);
——信息系统、信息流和决策过程(包括正式的和非正式的);
——内部利益相关者及其诉求,价值观、风险承受度;
——采用的标准和模型;
——组织结构(包括治理结构、任何和责任等)、管理过程和措施;
——与风险管理实施过程有关的环境信息等。
其中,风险管理过程的环境信息根据组织的需要而改变,它包括但不限于:
——所开展的风险管理工作的范围和目标,以及所需要的资源;
——风险管理过程的职责;
——应执行的风险管理活动的深度和广度;
——风险管理活动与组织其他活动之间的关系;
——风险评估的方法和使用的数据;
——风险管理绩效的评价方法;
——需要制定的决策;
——风险准则等。
5.2.4 确定风险准则
风险准则是组织用于评价风险重要程度的标准。因此,风险准则需体现组织的风险承受度,应反映组织的价值观、目标和资源。有些风险准则直接或间接反映了法律和法规要求或其他需要组织遵循的要求。风险准则应当与组织的风险管理方针一致。具体的风险准则应尽可能在风险管理过程开始时制定,并持续不断地检查和完善。
确定风险准则时要考虑以下因素:
——可能发生的后果的性质、类型以及后果的度量;
——可能性的度量;
——可能性和后果的时限;
——风险的度量方法;
——风险等级的确定;
——利益相关者可接受的风险或可允许的风险等级;
——多种风险的组织的影响。
通过对以上因素及其他相关因素的关注,将有助于保证组织所采取的风险管理方法适合于组织现状及其所面临的风险。
5.3风险评估
5.3.1概述
风险评估包括风险识别、风险分析和风险评价三个步骤。
5.3.2风险识别
风险识别是通过识别风险源、影响范围、事件及其原因和潜在的后果等,生存一个**的风险列表。识别风险不仅要考虑有关事件可能带来的损失,也要考虑其中蕴含的机会。
进行风险识别时要掌握相关的和*新的信息,必要时,需包括适用的背景信息。除了识别可能发生的风险事件外,还要考虑其可能的原因和可能导致的后果,包括所有重要的原因和后果。不论风险事件的风险源是否在组织的控制之下,或其原因是否已知,都应对其进行识别。此外,要关注已经发生的风险事件,特别是新近发生的风险事件。
识别风险需要所有相关人员的参与。组织所采取的风险识别工具和技术应当适合于其目标、能力及其所处环境。
5.3.3风险分析
风险分析根据风险类型、获得的信息和风险评估结果的使用目的,对识别出的风险进行定性和定量的分析,为风险评价和风险应对提供支持。风险分析要考虑导致风险的原因和风险源、事件的正面和负面的后果及其发生的可能性、影响后果和可能性的因素、不同风险及其风险源的相关关系以及风险的其他特性,还要考虑现有的管理措施及其效果和效率。
在风险分析中,应考虑组织的风险承受度及其对前提和假设的敏感性,并适时与决策者和其他利益相关者有效地沟通。另外,还要考虑可能存在的专家观点中的分歧及数据和模型的局限性。
根据风险分析的目的、获得的信息数据和资源,风险分析可以是定性的、半定量的、定量的或以上方法的组合。一般情况下,首先采取定性分析,初步了解风险等级和揭示主要风险。适当时,进行更具体的定量的风险分析。
后果和可能性可通过专家意见确定,或通过对事件或事件组合的结果建模确定,也可通过对实验研究或可获得的数据的推导确定。对后果的描述可表达为有形或无形的影响,在某些情况下,可能需要多个指标来确切描述不同时间、地点、类别或情形的后果。
5.3.4风险评价
风险评价是将风险分析的结果与组织的风险准则比较,或者在各种风险的分析结果之间进行比较,确定风险等级,以及做出风险应对的决策。如果风险是新识别的风险,则应当制定相应的风险准则,以便评价该风险。
风险评价的结果应满足风险应对的需要,否则,应作进一步分析。有时,根据已经制定的风险准则,风险评价使组织做出维持现有的风险应对措施,不采取其他新的措施的决定。
5.4风险应对
5.4.1概述
风险应对是选择并执行一种或多种改变风险的措施,包括改变风险事件发生的可能性或后果的措施。风险应对决策应当考虑各种环境信息,包括内部和外部利益相关者的风险承受度,以及法律、法规和其他方面的要求等。
风险应对措施的制订和评估可能是一个递进的过程。对于风险应对措施,应评估其剩余风险是否可以承受。如果剩余风险不可承受,应调整或制定新的风险应对措施,并评估新的风险应对措施的效果,直到剩余风险可能承受。执行风险应对措施会引起组织风险的改变,需要跟踪、监督风险应对的效果和组织的有关环境信息,并对变化的风险进行评估,必要时重新制定风险应对措施。
可能的风险应对措施之间不一定相互排斥。一个风险应对措施也不一定在所有条件下都适合。风险应对措施可包括下列各项:
——决定停止或退出可能导致风险的活动以规避风险;
——增加风险或承担新的风险以寻求机会;
——消除具有负面影响的风险源;
——改变风险事件发生的可能性的大小及其分布的性质;
——改变风险事件发生的可能后果;
——转移风险;
——分担风险;
——保留风险等。
5.4.2风险应对措施
选择适当的风险应对措施时需考虑很多方面,比如:
——法律、法规、社会责任和环境保护等方面的要求;
——风险应对措施的实施成本与收益(有些风险可能需要组织考虑采取经济上看起来不合理的风险应对决策,例如可能带来严重的负面后果但发生可能性低的风险事件);
——选择几种应对措施,将其单独或组合使用;
——利益相关者的诉求和价值观,对风险的认知和承受度以及对某一些风险应对措施的偏好。
风险应对措施的实施过程中可能会失灵或无效。因此,要把监督作为风险应对措施的实施计划的有机组成部分,以保证应对措施持续有效。
风险应对措施可能引起次生风险,对次生风险也需要评估、应对、监督和检查。在原有的风险应对计划中要加入这些次生风险的内容,而不应将其作为新风险而独立对待。为此需要识别并检查原有风险与次生风险之间的联系。但风险应对措施影响到组织内部其他领域的或影响到其他利益相关者时,要评估这些影响,并与有关利益相关者沟通,必要时调整风险应对措施。
决策者和其他利益相关者应当清楚在采取风险应对措施后的剩余风险的性质和程度。
5.4.3制定风险应对计划
在选择了风险应对措施之后,需要制定相应的风险应对计划。风险应对计划中应当包括以下信息:
——预期的收益;
——绩效指标及其考核方法;
——风险管理责任人及实施风险应对措施的人员安排;
——风险应对措施涉及的具体业务和管理活动;
——选择多种可能的风险应对措施时,实施风险应对措施的优先次序;
——报告和监督、检查的要求;
——与适当的利益相关者的沟通安排;
——资源需要,包括应急机制的资源需求;
——执行时间等;
风险应对计划要与组织的管理过程整合。
5.5监督和检查
组织应明确界定监督和检查的责任。
监督和检查可能包括:
——监测事件,分析变化及其趋势并从中吸取教训;
——发现内部和外部环境信息的变化,包括风险本身的变化,可能导致的风险应对措施及其实施优先次序的改变;
——监督并记录风险应对措施实施后的剩余风险,以便在适当时做进一步处理;
——适用时,对照风险应对计划,检查工作进度与计划的偏差,保证风险应对措施的设计和执行有效;
——报告关于风险、风险应对计划的进度和风险管理方针的遵循情况;
——实施风险管理绩效评估。
风险管理绩效评估应被纳入到组织的绩效管理以及组织对内、对外的报告体系之中。
监督和检查活动包括常规检查、监控已知的风险、定期或不定期检查。定期或不定期检查都应被列入风险应对计划。
适当时,监督和检查的结果应当有记录并对内或对外报告。
5.6沟通和记录
6.5.1沟通
组织在风险管理过程的每一个阶段都应当与内部和外部利益相关者有效沟通,以保证实施风险管理的责任人和利益相关者能够理解组织风险管理决策的依据,以及需要采取某些行动的原因。
由于利益相关者的价值观、诉求、假设、认知和关注点不同,其风险偏好也不同,并可能对决策有重要影响。因此,组织在决策过程中应当与利益相关者进行充分沟通,识别并记录利益相关者的风险偏好。
5.6.2记录
在风险管理过程中,记录是实施和改进整个风险管理过程的基础。
建立记录应当考虑以下方面:
——出于管理的目的而重复使用信息的需要;
——进一步分析风险和调整风险应对措施的需要;
——风险管理活动的可追溯要求;
——沟通的需要;
——法律、法规和操作上对记录的需要;
——组织本身持续学习的需要;
——建立和维护记录所需的成本和工作量;
——获取信息的方法、读取信息的容易程度和储存媒介;
——记录保留期限;
——信息的敏感性。
6 风险管理的实施
6.1概述
组织实施风险管理过程(见第5章)需要一个风险管理体系,包括相关方针、组织结构、工作程序、资源配置、信息沟通机制以及相关的技术手段等基础设施,以便将风险管理嵌入到组织的各个层次和活动之中。在组织的不同层次和特定环境内实施风险管理过程,风险管理体系帮助组织有效地管理风险。组织的风险管理体系可能由在各层次和特定环境内实施风险管理过程的子体系构成,如内部控制体系等。风险管理体系应当保证风险管理过程中的风险信息的充分沟通,并且在相关的组织层次范围内作为决策和问责的依据使用。组织要在检查的基础上,做出如何改进风险管理体系、方针和风险应对计划的决策,引导组织的风险管理和风险管理文化的改进。
风险管理体系的要素主要包括:
-——风险管理方针;
——适当的制度和程序,使风险管理嵌入到组织的所有活动和过程中;
——与组织结构相关的职责,以及有关的与组织的绩效指标一致的风险管理绩效指标;
——资源分配;
——与所有利益相关者沟通风险管理的机制;
——技术手段、方法、工具等。
6.2风险管理方针
风险管理方针应明确下列事项:
——组织的风险管理理念;
——组织的*高管理者对风险管理的承诺;
——组织的风险管理目标;
——组织的风险偏好;
——风险管理方针与组织的目标及其他方针之间的关系;
——风险管理的职责分配;
——管理风险的程序和方法;
——风险管理的资源配置;
——测量和报告风险管理绩效的方式;
——建立风险管理体系的计划;
——持续改进的承诺。
6.3风险管理工作程序
组织应当设计适当的制度和行为规范,建立风险管理工作程序,特别是整个组织层面的风险管理计划,以保证风险管理嵌入到组织的所有活动和过程之中,尤其是组织的战略规划、运营过程以及变革管理之中。
6.4风险管理相关组织结构
组织可通过以下方法保证风险管理的责任认定和授权,从而能够执行风险管理过程,并保证风险管理的充分性和有效性:
——明确风险管理体系的制定、实施和维护人员的职责;
——明确执行风险应对措施、维护风险管理体系和报告相关风险信息人员的职责;
——建立批准、授权制度;
——建立绩效测量及相应的合适的奖励、惩罚制度;
——建立对内对外的报告机制等。
6.5风险管理的资源配置
组织需根据风险管理计划制定可行的方法,为风险管理分配适当的资源。具体要考虑下列各项:
——人员、技术、经验和能力;
——风险管理过程每一阶段所需要的资金及各种资源;
——数据记录的过程和程序步骤;
——信息和知识管理系统。
6.6沟通和报告机制
6.6.1内部沟通和报告机制
组织要建立内部沟通和报告机制,以保证:
——风险管理体系的关键组成部分及其调整得到适当的沟通;
——在组织内部充分报告风险应对计划实施的效果和效率;
——在适当的层次和时间提供风险管理的相关信息;
——建立与内部利益相关者协商的程序。
内部沟通和报告机制还包括在考虑到组织敏感程度的基础上,适当整合从各内部渠道得到的风险信息的程序。
6.6.2 外部沟通和报告机制
组织需建立与外部利益相关者沟通的机制。这种机制应当保证:
——组织的对外报告符合法律、法规和公司治理要求;
——组织与外部利益相关者保持有效的信息沟通;
——在外部利益相关者中建立对组织的信心;
——在发生突发事件、危机和紧急状况时与利益相关者沟通。
——为组织提供外部利益相关者的报告和反馈。