ISO31000風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)中文版
引 言
所有類型和規(guī)模的組織都面臨內(nèi)部和外部的、使組織不能確定是否及何時(shí)實(shí)現(xiàn)其目標(biāo)的因素和影響。這種不確定性所具有的對(duì)組織目標(biāo)的影響就是“風(fēng)險(xiǎn)”。
組織的所有活動(dòng)都涉及風(fēng)險(xiǎn)。組織通過識(shí)別、分析和評(píng)定是否運(yùn)用風(fēng)險(xiǎn)處理修正風(fēng)險(xiǎn)以滿足它們的風(fēng)險(xiǎn)準(zhǔn)則,來管理風(fēng)險(xiǎn)。通過這個(gè)過程,它們與利益相關(guān)方進(jìn)行溝通和協(xié)商,監(jiān)測(cè)和評(píng)審風(fēng)險(xiǎn),以及為確保不再進(jìn)一步需求風(fēng)險(xiǎn)處理而修正風(fēng)險(xiǎn)的控制措施。本國(guó)際標(biāo)準(zhǔn)詳細(xì)描述了這一系統(tǒng)的和邏輯的過程。
盡管所有的組織在某種程度上都在管理風(fēng)險(xiǎn),本國(guó)際標(biāo)準(zhǔn)建立了一些為使風(fēng)險(xiǎn)管理變得有效而需要滿足的原則。本國(guó)際標(biāo)準(zhǔn)建議,組織制定、實(shí)施和持續(xù)改進(jìn)一個(gè)框架,其目的是將風(fēng)險(xiǎn)管理過程整合到組織的整體治理、戰(zhàn)略和規(guī)劃、管理、報(bào)告過程、方針、價(jià)值觀和文化中。
風(fēng)險(xiǎn)管理可以在組織多個(gè)領(lǐng)域和層次、任何時(shí)間,應(yīng)用到整個(gè)組織,以及具體職能、項(xiàng)目和活動(dòng)。
盡管在過去一段時(shí)間在許多行業(yè),為滿足不同的需要,已經(jīng)開展了風(fēng)險(xiǎn)管理實(shí)踐,但在一個(gè)綜合框架內(nèi)采用一致性過程有助于確保在組織內(nèi)有效、有效率和結(jié)合性地管理風(fēng)險(xiǎn)。本國(guó)際標(biāo)準(zhǔn)中所描述的通用方法提供了在任何范圍和狀況下,以系統(tǒng)、清晰、可靠的方式管理風(fēng)險(xiǎn)的原則和指南。
每一個(gè)具體行業(yè)或風(fēng)險(xiǎn)管理的應(yīng)用都產(chǎn)生了各自的需求、受眾、觀念和準(zhǔn)則。因此,本國(guó)際標(biāo)準(zhǔn)的主要特點(diǎn)是將所包含“確定狀況”作為通用風(fēng)險(xiǎn)管理過程開始的活動(dòng)。確定狀況將捕獲組織的目標(biāo),組織所追求目標(biāo)的環(huán)境,組織的利益相關(guān)方和風(fēng)險(xiǎn)準(zhǔn)則的多樣性,所有這些都將幫助揭示和評(píng)價(jià)風(fēng)險(xiǎn)的性質(zhì)和復(fù)雜性。
本國(guó)際標(biāo)準(zhǔn)描述的風(fēng)險(xiǎn)管理原則、框架和風(fēng)險(xiǎn)管理過程之間的關(guān)系,如圖1所示。
當(dāng)依據(jù)本國(guó)際標(biāo)準(zhǔn)實(shí)施和保持風(fēng)險(xiǎn)管理時(shí),能夠使組織,例如:
—— 提高實(shí)現(xiàn)目標(biāo)的可能性;
—— 鼓勵(lì)主動(dòng)性管理;
—— 在整個(gè)組織意識(shí)到識(shí)別和處理風(fēng)險(xiǎn)的需求;
—— 改進(jìn)機(jī)會(huì)和威脅的識(shí)別能力;
—— 符合相關(guān)法律法規(guī)要求和國(guó)際規(guī)范;
—— 改進(jìn)強(qiáng)制性和自愿性報(bào)告;
—— 改善治理;
—— 提高利益相關(guān)方的信心和信任;
—— 為決策和規(guī)劃建立可靠的根基;
—— 加強(qiáng)控制;
—— 有效地分配和利用風(fēng)險(xiǎn)處理的資源;
—— 提高運(yùn)營(yíng)的效果和效率;
—— 增強(qiáng)健康安全績(jī)效,以及環(huán)境保護(hù);
—— 改善損失預(yù)防和事件管理;
—— 減少損失;
—— 提高組織的學(xué)習(xí)能力
—— 提高組織的應(yīng)變能力
本國(guó)際標(biāo)準(zhǔn)旨在滿足眾多利益相關(guān)方的需求,包括:
a)負(fù)責(zé)制定組織風(fēng)險(xiǎn)管理方針的人員;
b)負(fù)責(zé)確保在組織整體、或者某一特定區(qū)域、項(xiàng)目或者活動(dòng)內(nèi)有效開展風(fēng)險(xiǎn)管理的人員;
c)需要評(píng)定組織風(fēng)險(xiǎn)管理有效性的人員;
d)整體或部分地實(shí)施風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)、指南、程序和操作規(guī)范的開發(fā)者。
目前許多組織的管理實(shí)踐和過程包含了風(fēng)險(xiǎn)管理的要素,許多組織針對(duì)特定類型的風(fēng)險(xiǎn)或環(huán)境下已經(jīng)采用了正式的風(fēng)險(xiǎn)管理過程。在這種情況下,組織可以決定對(duì)照本國(guó)際標(biāo)準(zhǔn)對(duì)其現(xiàn)有的實(shí)踐和過程開展嚴(yán)格的評(píng)審。
在本國(guó)際標(biāo)準(zhǔn)中,“風(fēng)險(xiǎn)管理(risk management)”和“管理風(fēng)險(xiǎn)(managing risk)”都在使用。在通常的術(shù)語意義上,“風(fēng)險(xiǎn)管理(risk management)”涉及的有效管理風(fēng)險(xiǎn)的構(gòu)架(原則,框架和過程),而“管理風(fēng)險(xiǎn)(managing risk)”指的是運(yùn)用該架構(gòu)管理特定風(fēng)險(xiǎn)。
圖表1 風(fēng)險(xiǎn)管理原則、框架、過程之間的關(guān)系
風(fēng)險(xiǎn)管理-原則和指南
1 范圍
本國(guó)際標(biāo)準(zhǔn)提供了風(fēng)險(xiǎn)管理的原則和通用性指南。
本國(guó)際標(biāo)準(zhǔn)可用于任何公共、私有或公有企業(yè)、協(xié)會(huì),團(tuán)體或個(gè)體。因此,本國(guó)際標(biāo)準(zhǔn)不針對(duì)任何特定行業(yè)或部門。
注:為方便起見,本國(guó)際標(biāo)準(zhǔn)涉及的所有不同的用戶以通用術(shù)語“組織”稱謂。
本國(guó)際標(biāo)準(zhǔn)可用于整個(gè)組織的生命周期及廣泛的活動(dòng),包括戰(zhàn)略和決策、運(yùn)營(yíng)、過程、職能、項(xiàng)目、產(chǎn)品、服務(wù)和資產(chǎn)。
本國(guó)際標(biāo)準(zhǔn)可以應(yīng)用于任何類型的風(fēng)險(xiǎn),無論其性質(zhì)及是否有積極或消極的后果。
盡管本國(guó)際標(biāo)準(zhǔn)提供了風(fēng)險(xiǎn)管理的通用性指南,但不宜針對(duì)組織促進(jìn)風(fēng)險(xiǎn)管理的統(tǒng)一性。風(fēng)險(xiǎn)管理計(jì)劃和框架的設(shè)計(jì)和實(shí)施需要考慮到特定組織的不同需求、特定目標(biāo),狀況、結(jié)構(gòu)、運(yùn)營(yíng)、過程、職能、項(xiàng)目、產(chǎn)品、服務(wù)、或資產(chǎn)以及展開的具體實(shí)踐。
意在運(yùn)用本國(guó)際標(biāo)準(zhǔn)來協(xié)調(diào)現(xiàn)有和將來標(biāo)準(zhǔn)的風(fēng)險(xiǎn)管理過程。本標(biāo)準(zhǔn)提供了一個(gè)支持其他標(biāo)準(zhǔn)處理特定風(fēng)險(xiǎn)和行業(yè)風(fēng)險(xiǎn)的通用方法,而不是取代這些標(biāo)準(zhǔn)。
本國(guó)際標(biāo)準(zhǔn)不宜針對(duì)認(rèn)證意圖。
2 術(shù)語和定義
下列術(shù)語和定義適用本標(biāo)準(zhǔn)。
2.1 風(fēng)險(xiǎn) risk
不確定性對(duì)目標(biāo)的影響
注1:影響是與期待的偏差——積極和/或消極
注2:目標(biāo)可以有不同方面(如財(cái)務(wù)、健康安全、以及環(huán)境目標(biāo)),可以體現(xiàn)在不同的層次(如戰(zhàn)略、組織范圍、項(xiàng)目、產(chǎn)品和過程)。
注3:風(fēng)險(xiǎn)通常以潛在事件(2.19)和后果(2.20),或它們的組合來描述。
注4:風(fēng)險(xiǎn)通常以事件(包括環(huán)境的變化)后果和發(fā)生可能性(2.21)的組合來表達(dá)。
注5:不確定性是指,與事件和其后果或可能性的理解或知識(shí)相關(guān)的信息的缺陷的狀態(tài),或不完整。
[ISO導(dǎo)則 73:2009. 定義1.1]
2.2 風(fēng)險(xiǎn)管理 risk management
針對(duì)風(fēng)險(xiǎn)指揮和控制組織的協(xié)調(diào)活動(dòng)。
[ISO 導(dǎo)則 73:2009. 定義 2.1]
2.3 風(fēng)險(xiǎn)管理框架 risk management framework
提供在組織內(nèi)設(shè)計(jì)、實(shí)施、監(jiān)測(cè)(2.28)、評(píng)審和持續(xù)改進(jìn)風(fēng)險(xiǎn)管理(2.2)的基本原則和組織安排的要素集合。
注1:基本原則包括管理風(fēng)險(xiǎn)的方針、目標(biāo)、指令和承諾。
注2:組織安排包括計(jì)劃、關(guān)系、責(zé)任、資源、過程和活動(dòng)。
注3:風(fēng)險(xiǎn)管理框架被嵌入到組織的整個(gè)戰(zhàn)略和運(yùn)營(yíng)的方針和實(shí)踐中
[ISO 導(dǎo)則 73:2009. 定義 2.1.1]
2.4 風(fēng)險(xiǎn)管理方針 risk management policy
一個(gè)組織對(duì)風(fēng)險(xiǎn)管理的意圖和方向的陳述。
[ISO 導(dǎo)則73:2009. 定義 2.1.2]
2.5 風(fēng)險(xiǎn)態(tài)度 risk attitude
組織評(píng)價(jià)、最終追蹤、保留、消除或規(guī)避風(fēng)險(xiǎn)的方法。
[ISO 導(dǎo)則 73:2009. 定義 3.7.1.1]
2.6 風(fēng)險(xiǎn)管理計(jì)劃 risk management plan
在風(fēng)險(xiǎn)管理框架內(nèi)規(guī)定用于風(fēng)險(xiǎn)管理的方法、管理要素、資源的方案。
注1:管理要素一般包括程序、慣例、職責(zé)分配、活動(dòng)順序和時(shí)間安排。
注2:風(fēng)險(xiǎn)管理計(jì)劃可應(yīng)用于特定的產(chǎn)品、過程和項(xiàng)目、組織的部分或整體。
[ISO 導(dǎo)則 73:2009. 定義2.1.3]
2.7 風(fēng)險(xiǎn)所有者 risk owner
具有風(fēng)險(xiǎn)管理權(quán)限和責(zé)任的個(gè)人或?qū)嶓w。
[ISO 導(dǎo)則 73:2009. 定義 3.5.1.4]
2.8 風(fēng)險(xiǎn)管理過程 risk management process
管理方針、程序和慣例對(duì)溝通、協(xié)商、確定狀況、以及識(shí)別、分析、評(píng)價(jià)、處理、監(jiān)測(cè)和評(píng)審風(fēng)險(xiǎn)活動(dòng)的系統(tǒng)應(yīng)用。
[ISO 導(dǎo)則 73:2009. 定義 3.1]
2.9 確定狀況 establishing the context
界定外部和內(nèi)部參數(shù),以便在管理風(fēng)險(xiǎn)和設(shè)置風(fēng)險(xiǎn)管理方針的范圍及風(fēng)險(xiǎn)準(zhǔn)則時(shí),予以考慮。
[ISO 導(dǎo)則 73:2009. 定義 3.3.1]
2.10 外部狀況 external context
組織尋求實(shí)現(xiàn)其目標(biāo)的外部環(huán)境。
注:外部環(huán)境可包括:
—— 文化、社會(huì)、政治、法律法規(guī)、財(cái)政金融、技術(shù)、經(jīng)濟(jì)、自然和競(jìng)爭(zhēng)環(huán)境,無論國(guó)際、國(guó)家、區(qū)域或地方
—— 對(duì)組織目標(biāo)具有影響的主要驅(qū)動(dòng)和趨勢(shì)。
—— 與外部利益相關(guān)方的關(guān)系和其感受和價(jià)值觀。
[ISO 導(dǎo)則 73:2009.定義 3.3.1.1]
2.11 內(nèi)部狀況 internal context
組織尋求實(shí)現(xiàn)其目標(biāo)的外部環(huán)境。
注:內(nèi)部狀況可包括:
—— 治理、組織結(jié)構(gòu)、作用和責(zé)任;
—— 方針、目標(biāo)、以及實(shí)現(xiàn)它們的戰(zhàn)略;
—— 以資源和知識(shí)來理解的能力(如資本、時(shí)間、人員、過程、系統(tǒng)和技術(shù));
—— 信息系統(tǒng)、信息流和決策過程(正式和非正式的);
—— 與內(nèi)部利益相關(guān)方的關(guān)系、以及他們的感受和價(jià)值觀;
—— 組織的文化;
—— 標(biāo)準(zhǔn)、指南和組織采用的模式;
—— 合同關(guān)系的形式和范圍
[ISO 導(dǎo)則 73:2009.定義 3.3.1.2]
2.12 溝通和協(xié)商 communication and consultation
組織針對(duì)風(fēng)險(xiǎn)管理,提供、共享或獲取信息,與利益相關(guān)方進(jìn)行對(duì)話的持續(xù)和反復(fù)的過程。
注1:信息涉及風(fēng)險(xiǎn)管理的存在、性質(zhì)、形式、可能性、嚴(yán)重程度、評(píng)定、可接受性、處理。
注2:協(xié)商是組織與它的利益相關(guān)方,在做出決策或確定某一問題的方向前,針對(duì)問題雙向有事實(shí)依據(jù)的溝通的過程。協(xié)商是:
—— 通過影響力而非權(quán)力對(duì)決策施加影響;
—— 作為決策的輸入,而非加入決策。
[ISO 導(dǎo)則 73:2009. 定義 3.2.1]
2.13 利益相關(guān)方 stakeholder
可以影響、被影響、或者覺得自己會(huì)被決策或活動(dòng)影響的個(gè)人或組織。
注:決策者可以是利益相關(guān)者。
[ISO 導(dǎo)則 73:2009. 定義 3.2.1.1]
2.14 風(fēng)險(xiǎn)評(píng)價(jià) risk assessment
風(fēng)險(xiǎn)識(shí)別(2.15)、風(fēng)險(xiǎn)分析(2.21)和風(fēng)險(xiǎn)評(píng)定(2.24)的整個(gè)過程。
[ISO 導(dǎo)則 73:2009. 定義 3.4.1]
2.15 風(fēng)險(xiǎn)識(shí)別 risk identification
發(fā)現(xiàn)、認(rèn)識(shí)、描述風(fēng)險(xiǎn)的過程。
注1:風(fēng)險(xiǎn)識(shí)別包括風(fēng)險(xiǎn)源(2.16)、事件(2.17)、它們的起因及潛在后果的確定。
注2:風(fēng)險(xiǎn)識(shí)別會(huì)涉及歷史數(shù)據(jù)、技術(shù)分析、有事實(shí)依據(jù)的和專家的觀點(diǎn)、以及利益相關(guān)方的需求。
[ISO 導(dǎo)則 73:2009. 定義 3.5.1]
2.16 風(fēng)險(xiǎn)源 risk source
單獨(dú)地或以結(jié)合的形式具有產(chǎn)生風(fēng)險(xiǎn)的內(nèi)在可能性的因素。
注:一個(gè)風(fēng)險(xiǎn)源可以是有形的或者無形的。
[ISO 導(dǎo)則 73:2009.定義 3.5.1.1]
2.17 事件 event
特殊系列環(huán)境的產(chǎn)生或變化。
注1:.一個(gè)事件可以是一個(gè)或多個(gè)事變,會(huì)有多種原因。
注2:事件可以由一些不發(fā)生的事情構(gòu)成。
注3:事件有時(shí)被稱作“事件(incident)”或“事故(accident)”。
注4:.沒有后果的事件可以被稱作“near miss”、“incident”、“near hit” 、 “close call”。
[ISO 導(dǎo)則 73:2009. 定義 3.5.1.2]
2.18 后果 consequence
事件對(duì)目標(biāo)的影響結(jié)果。
注1:一個(gè)事件可以產(chǎn)生一系列的后果。
注2:后果可以是確定或不確定的,以及對(duì)目標(biāo)具有積極或消極的影響。
注3:后果可以被定性或定量地表述。
注4:初步的后果通過連鎖效應(yīng)可以逐步升級(jí)。
[ISO 導(dǎo)則 73:2009. 定義 3.6.1.3]
2.19 可能性 likelihood
某事發(fā)生的機(jī)會(huì)。
注1:在風(fēng)險(xiǎn)管理術(shù)語學(xué)中,“可能性”是指事情發(fā)生的機(jī)會(huì),不論是明確的、測(cè)量的,還是客觀或主觀地、定性或定量地確定的,以及一般性或精確地描述(如在一定時(shí)段內(nèi)的可能性和頻率)。
注2:英文“likelihood”在一些語言中沒有直接對(duì)應(yīng)的等同詞,而同義詞“probability”經(jīng)常被使用。然而,在英文中,“probability”通常被狹義地理解為數(shù)學(xué)術(shù)語。因此,在風(fēng)險(xiǎn)管理術(shù)語學(xué)中,“likelihood”以它在許多非英語國(guó)家語言中的“probability”所具有的同樣的廣泛理解來使用。
[ISO 導(dǎo)則 73:2009. 定義 3.6.1.1]
2.20 風(fēng)險(xiǎn)狀況 risk profile
任何系列風(fēng)險(xiǎn)(2.1)的描述。
注:該系列風(fēng)險(xiǎn)可包含與整個(gè)組織、組織的部分或者其他特定部分相關(guān)聯(lián)的風(fēng)險(xiǎn)。
[ISO Guide 73:2009. definition 3.8.2.5]
2.21 風(fēng)險(xiǎn)分析 risk analysis
理解風(fēng)險(xiǎn)(2.1)的性質(zhì)和確定風(fēng)險(xiǎn)程度(2.23)的過程。
注1:風(fēng)險(xiǎn)分析為風(fēng)險(xiǎn)評(píng)定和風(fēng)險(xiǎn)處理決策提供了基礎(chǔ)。
注2:風(fēng)險(xiǎn)分析包括風(fēng)險(xiǎn)估測(cè)。
[ISO 導(dǎo)則 73:2009. 定義 3.6.1]
2.22 風(fēng)險(xiǎn)準(zhǔn)則 risk criteria
評(píng)價(jià)風(fēng)險(xiǎn)重要性的依據(jù)。
注1:.風(fēng)險(xiǎn)準(zhǔn)則基于組織的目標(biāo)和內(nèi)外部狀況。
注2:風(fēng)險(xiǎn)準(zhǔn)則可出自于標(biāo)準(zhǔn)、法律、方針和其他要求。
[ISO 導(dǎo)則 73:2009. 定義 3.3.1.3]
2.23 風(fēng)險(xiǎn)程度 risk level
以后果和可能性的組合表達(dá)的風(fēng)險(xiǎn)的量或組合結(jié)果。
[ISO 導(dǎo)則 73:2009. 定義 3.6.1.8]
2.24 風(fēng)險(xiǎn)評(píng)定 risk evaluation
將風(fēng)險(xiǎn)分析的結(jié)果與風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較,以確定風(fēng)險(xiǎn)和(或)其量是否可接受或可容許。
注:風(fēng)險(xiǎn)評(píng)定有助于有關(guān)風(fēng)險(xiǎn)處理的決策。
[ISO 導(dǎo)則 73:2009. 定義 3.7.1]
2.25 風(fēng)險(xiǎn)處理 risk treatment
修正風(fēng)險(xiǎn)的過程。
注1:風(fēng)險(xiǎn)處理可包括:
—— 通過決定不啟動(dòng)或停止產(chǎn)生風(fēng)險(xiǎn)的活動(dòng)而避免風(fēng)險(xiǎn)。
—— 為了追求機(jī)會(huì)采取或增加風(fēng)險(xiǎn)。
—— 消除風(fēng)險(xiǎn)源。
—— 改變可能性。
—— 改變后果。
—— 與其他方面共同分擔(dān)風(fēng)險(xiǎn)(包括合同、風(fēng)險(xiǎn)融資)。
—— 通過有事實(shí)依據(jù)的決策保留風(fēng)險(xiǎn)。
注2:對(duì)消極后果的風(fēng)險(xiǎn)處理有時(shí)可以稱為“風(fēng)險(xiǎn)減緩(risk mitigation)”、“風(fēng)險(xiǎn)消除(risk eliminate)”、“風(fēng)險(xiǎn)預(yù)防(risk prevention)”和“風(fēng)險(xiǎn)減小(risk reduction)”。
注3:風(fēng)險(xiǎn)處理可以產(chǎn)生新的風(fēng)險(xiǎn)或修正已存在的風(fēng)險(xiǎn)。
[ISO 導(dǎo)則 73:2009. 定義 3.8.1]
2.26 控制措施 control
修正風(fēng)險(xiǎn)的措施。
注1:控制措施包括任何過程、方針、手段、慣例或其他修正風(fēng)險(xiǎn)的措施。
注2:控制措施可能不總是產(chǎn)生預(yù)期或設(shè)想的修正效果。
[ISO 導(dǎo)則 73:2009. 定義 3.8.1.1]
2.27 殘留風(fēng)險(xiǎn) residual risk
風(fēng)險(xiǎn)處理后余留下的風(fēng)險(xiǎn)。
注1:殘留風(fēng)險(xiǎn)可包括未識(shí)別的風(fēng)險(xiǎn)。
注2:殘留風(fēng)險(xiǎn)也可被認(rèn)作“保留的風(fēng)險(xiǎn)(retain risk)。
[ISO 導(dǎo)則 73:2009.定義3.8.1.6]
2.28 監(jiān)測(cè) monitoring
不斷檢查、監(jiān)督、嚴(yán)格觀察或確定狀態(tài),以識(shí)別所要求或期待的績(jī)效水平的變化。
注:監(jiān)測(cè)可應(yīng)用于風(fēng)險(xiǎn)管理框架、風(fēng)險(xiǎn)管理過程、風(fēng)險(xiǎn)或控制措施。
[ISO 導(dǎo)則 73:2009. 定義 3.8.2.1]
2.29 評(píng)審 review
為達(dá)到所建立的目標(biāo),確定有關(guān)事務(wù)的適宜性、充分性和有效性所采取的活動(dòng)。
注:評(píng)審可應(yīng)用于風(fēng)險(xiǎn)管理框架、風(fēng)險(xiǎn)管理過程、風(fēng)險(xiǎn)或控制措施。
[ISO 導(dǎo)則73:2009. 定義3.8.2.2]
3 原則
為了風(fēng)險(xiǎn)管理有效,組織宜在各個(gè)層次遵循以下原則。
a)風(fēng)險(xiǎn)管理創(chuàng)造和保護(hù)價(jià)值
風(fēng)險(xiǎn)管理有助于目標(biāo)明確的實(shí)現(xiàn)和績(jī)效的改進(jìn),例如,在人員的健康安全、治安、法律法符合性、公眾接受性、環(huán)境保護(hù)、產(chǎn)品質(zhì)量、項(xiàng)目管理、運(yùn)營(yíng)效率、治理和聲譽(yù)方面。
b)風(fēng)險(xiǎn)管理是整合在所有組織過程中的部分
風(fēng)險(xiǎn)管理不是與組織的主要活動(dòng)和過程分開的孤立活動(dòng)。風(fēng)險(xiǎn)管理是管理職責(zé)的部分和整合在所有組織過程中的部分,包括戰(zhàn)略規(guī)劃、所有項(xiàng)目、變更管理過程。
c)風(fēng)險(xiǎn)管理支持決策
風(fēng)險(xiǎn)管理可以幫助決策者做出明智的選擇、優(yōu)先的措施和辨別行動(dòng)方向。
d)風(fēng)險(xiǎn)管理明晰解決不確定問題
風(fēng)險(xiǎn)管理明確地闡述不確定性、不確定性的性質(zhì)、以及如何加以解決。
e)風(fēng)險(xiǎn)管理具備系統(tǒng)、結(jié)構(gòu)化和及時(shí)性
系統(tǒng)、及時(shí)和結(jié)構(gòu)化的風(fēng)險(xiǎn)管理方法有助于提高效率和取得一致、可衡量和可靠的結(jié)果。
f)風(fēng)險(xiǎn)管理基于最可用的信息
風(fēng)險(xiǎn)管理過程的輸入基于信息源,如歷史數(shù)據(jù)、經(jīng)驗(yàn)、利益相關(guān)方的反饋、觀察、預(yù)測(cè)和專家判斷。然而,決策者宜告誡自身和考慮,數(shù)據(jù)或所使用模型的局限性,或者專家之間分歧的可能性。
g)風(fēng)險(xiǎn)管理是量體裁衣的
風(fēng)險(xiǎn)管理是與組織的外部和內(nèi)部狀況及風(fēng)險(xiǎn)狀況相匹配的。
h)風(fēng)險(xiǎn)管理考慮人文因素
風(fēng)險(xiǎn)管理認(rèn)識(shí)到可以促進(jìn)或阻礙組織目標(biāo)實(shí)現(xiàn)的內(nèi)部和外部人員的能力、觀念和意圖。
i)風(fēng)險(xiǎn)管理是透明和包容的
利益相關(guān)方、尤其是組織各層面的決策者適當(dāng)、及時(shí)的參與,確保了風(fēng)險(xiǎn)管理保持相關(guān)和先進(jìn)性。參與過程也允許利益相關(guān)方適當(dāng)?shù)匕l(fā)表意見,并將其觀點(diǎn)考慮到風(fēng)險(xiǎn)準(zhǔn)則的確定中。
j)風(fēng)險(xiǎn)管理是動(dòng)態(tài)、迭代和應(yīng)對(duì)變化的
風(fēng)險(xiǎn)管理持續(xù)察覺和響應(yīng)變化。由于外部和內(nèi)部事件發(fā)生,狀況和知識(shí)在改變,風(fēng)險(xiǎn)的監(jiān)測(cè)和評(píng)審在進(jìn)行,新的風(fēng)險(xiǎn)出現(xiàn),一些風(fēng)險(xiǎn)在改變,而另一些風(fēng)險(xiǎn)消失了。
k)風(fēng)險(xiǎn)管理實(shí)現(xiàn)組織的持續(xù)改進(jìn)
組織宜制定和實(shí)施戰(zhàn)略,協(xié)同組織的其他方面共同改進(jìn)風(fēng)險(xiǎn)管理的成熟度。
附件A為希望更有效地實(shí)施管理風(fēng)險(xiǎn)的組織提供了進(jìn)一步的建議。
4 框架
4.1 總則
風(fēng)險(xiǎn)管理的成功取決于提供將風(fēng)險(xiǎn)管理嵌入整個(gè)組織所有層次的基礎(chǔ)和安排的管理框架的有效性。框架有助于通過在組織不同層次和特定狀況內(nèi)應(yīng)用風(fēng)險(xiǎn)管理過程,有效地管理風(fēng)險(xiǎn)。框架確保從風(fēng)險(xiǎn)管理過程取得的風(fēng)險(xiǎn)信息充分地被報(bào)告,以及作為決策和所有相關(guān)組織層次責(zé)任的基礎(chǔ)。
本條款描述了風(fēng)險(xiǎn)管理框架的必要要素和其以迭代的方式相互作用的方法,如圖2.
圖2 風(fēng)險(xiǎn)管理框架要素間的相互關(guān)系
本框架目的不是規(guī)定一個(gè)管理體系,而是有助于組織將風(fēng)險(xiǎn)管理整合到它的整個(gè)管理體系中。因此,組織宜使框架的要素適用于其特定的需求。
如果組織現(xiàn)存的管理實(shí)踐和過程包含風(fēng)險(xiǎn)管理要素,或者如果組織已經(jīng)針對(duì)特定的風(fēng)險(xiǎn)或狀況采納了一個(gè)正式的風(fēng)險(xiǎn)管理過程,那么對(duì)原有的這些實(shí)踐和過程宜針對(duì)本標(biāo)準(zhǔn)進(jìn)行評(píng)審和評(píng)價(jià),包括附錄A中包含的附加內(nèi)容,以確定它們的充分性和有效性。
4.2 指令和承諾
風(fēng)險(xiǎn)管理的引入和確保它的持續(xù)有效需要組織管理著強(qiáng)有力和持續(xù)的承諾,以及為實(shí)現(xiàn)承諾在所有層次戰(zhàn)略的和嚴(yán)密的策劃。管理者宜:
確定和簽署風(fēng)險(xiǎn)管理方針;
確保組織的文化和風(fēng)險(xiǎn)管理方針一致;
確定與組織績(jī)效參數(shù)一致的風(fēng)險(xiǎn)管理績(jī)效參數(shù);
使風(fēng)險(xiǎn)管理目標(biāo)與組織的目標(biāo)和戰(zhàn)略一致;
確保法律法規(guī)的復(fù)合性;
在組織內(nèi)適當(dāng)?shù)膶哟畏峙湄?zé)任和職責(zé);
確保為風(fēng)險(xiǎn)管理配置必要的資源;
將風(fēng)險(xiǎn)管理的益處通報(bào)給所有的利益相關(guān)方;
確保風(fēng)險(xiǎn)管理框架持續(xù)保持適宜。
4.3 風(fēng)險(xiǎn)管理框架的設(shè)計(jì)
4.3.1 理解組織和其狀況
在開始設(shè)計(jì)和實(shí)施風(fēng)險(xiǎn)管理框架前,評(píng)價(jià)和理解組織內(nèi)外部的狀況是重要的,因?yàn)檫@會(huì)對(duì)框架的設(shè)計(jì)產(chǎn)生顯著的影響。
評(píng)價(jià)組織外部狀況可以包括,但不限于:
a)社會(huì)和文化、政治、法律法規(guī)、財(cái)務(wù)、技術(shù)、經(jīng)濟(jì)、自然和競(jìng)爭(zhēng)環(huán)境,無論國(guó)際、國(guó)內(nèi)、區(qū)
域和當(dāng)?shù)?
b)影響組織目標(biāo)的動(dòng)力和趨勢(shì);
c)與外部利益相關(guān)方的關(guān)系,以及它們的感受和價(jià)值觀。
評(píng)價(jià)組織內(nèi)部狀況可以包括,但不限于:
—— 管理方法、組織結(jié)構(gòu)、作用和責(zé)任;
—— 方針、目標(biāo),以及為實(shí)現(xiàn)它們所制定的戰(zhàn)略;
—— 以資源和知識(shí)來理解的能力(例如,資本、時(shí)間、人員、過程、系統(tǒng)和技術(shù));
—— 信息系統(tǒng)、信息流和決策過程(正式和非正式的);
—— 與內(nèi)部利益相關(guān)方的關(guān)系,以及它們的感受和價(jià)值觀;
—— 組織的文化;
—— 被組織采用的標(biāo)準(zhǔn)、指南和模型;
—— 合同關(guān)系的形式和范圍。
4.3.2 建立風(fēng)險(xiǎn)管理方針
風(fēng)險(xiǎn)管理方針宜清楚闡明組織風(fēng)險(xiǎn)管理的目標(biāo)和承諾,特別要針對(duì):
—— 組織管理風(fēng)險(xiǎn)的基本原理;
—— 組織目標(biāo)和方針與風(fēng)險(xiǎn)管理方針的聯(lián)系;
—— 管理風(fēng)險(xiǎn)的責(zé)任和職責(zé);
—— 處理利益沖突的方法;
—— 提供有助于管理風(fēng)險(xiǎn)必要資源的承諾;
—— 風(fēng)險(xiǎn)管理績(jī)效測(cè)量和報(bào)告的方法;
—— 對(duì)定期評(píng)審和改進(jìn)風(fēng)險(xiǎn)管理方針和框架,以及對(duì)事件和環(huán)境變化做出響應(yīng)的承諾。
風(fēng)險(xiǎn)管理方針宜適當(dāng)?shù)販贤ā?/p>
4.3.3 責(zé)任
組織宜確保具備管理風(fēng)險(xiǎn)的責(zé)任、權(quán)限和適當(dāng)?shù)哪芰Γ▽?shí)施和保持風(fēng)險(xiǎn)管理過程和確保任何控制措施的充分性、有效性和效率。這可通過如下途徑來實(shí)現(xiàn):
—— 確定有責(zé)任和權(quán)利管理風(fēng)險(xiǎn)的風(fēng)險(xiǎn)擁有者;
—— 確定負(fù)責(zé)建立、實(shí)施和保持風(fēng)險(xiǎn)管理框架的人員;
—— 確定組織所有層次人員的風(fēng)險(xiǎn)管理過程的其他職責(zé);
—— 建立績(jī)效測(cè)量和內(nèi)部和外部報(bào)告和逐級(jí)報(bào)告過程;
—— 確保確定的合適程度。
4.3.4 整合到組織的過程
風(fēng)險(xiǎn)管理宜益相關(guān)、有效和有效率的方式嵌入到所有組織的實(shí)踐和過程中。風(fēng)險(xiǎn)管理過程宜變成組織過程的部分,而不是分離的。特別是,風(fēng)險(xiǎn)管理宜嵌入方針制定、商業(yè)和戰(zhàn)略策劃和評(píng)審和變更管理過程中。
宜具備一個(gè)組織的廣泛風(fēng)險(xiǎn)管理計(jì)劃以確保風(fēng)險(xiǎn)管理方針的實(shí)施和將風(fēng)險(xiǎn)管理嵌入全部組織的實(shí)踐和過程中。風(fēng)險(xiǎn)管理計(jì)劃可以整合到組織其他的計(jì)劃中,如戰(zhàn)略計(jì)劃。
4.3.5 資源
組織宜為風(fēng)險(xiǎn)管理配置適當(dāng)?shù)馁Y源。
對(duì)如下方面宜予以考慮:
—— 人員、技能、經(jīng)驗(yàn)和能力;
—— 對(duì)于風(fēng)險(xiǎn)管理過程的每步驟所需的資源;
—— 用于管理風(fēng)險(xiǎn)的組織的過程、方法和工具;
—— 形成文件的過程和程序;
—— 管理體系的信息和知識(shí);
—— 培訓(xùn)方案。
4.3.6 建立內(nèi)部溝通和報(bào)告機(jī)制
組織宜建立內(nèi)部溝通和報(bào)告機(jī)制,用于支持和促進(jìn)風(fēng)險(xiǎn)的責(zé)任和歸屬。這些機(jī)制宜確保:
—— 風(fēng)險(xiǎn)管理框架的關(guān)鍵要素和任何后續(xù)的更改被適當(dāng)?shù)販贤?
—— 對(duì)框架和其有效性及結(jié)果在內(nèi)部充分地予以報(bào)告;
—— 風(fēng)險(xiǎn)管理的相關(guān)信息在適當(dāng)?shù)膶哟魏蜁r(shí)間予以獲得;
—— 與內(nèi)部利益相關(guān)方的協(xié)商過程被予以提供。
適當(dāng)時(shí),這些機(jī)制宜包括基于多源頭強(qiáng)化風(fēng)險(xiǎn)信息的過程,以及可能需要考慮信息的敏感性。
4.3.7 建立外部溝通和報(bào)告機(jī)制
組織宜制定和實(shí)施一個(gè)關(guān)于如何與外部利益相關(guān)方溝通的計(jì)劃。
這宜包括:
—— 吸引適當(dāng)?shù)耐獠坷嫦嚓P(guān)方的關(guān)注和確保有效的信息交流;
—— 對(duì)外報(bào)告法律法規(guī)和管理要求的遵守情況;
—— 對(duì)溝通和協(xié)商進(jìn)行報(bào)告和反饋;
—— 運(yùn)用溝通來建立組織的信心;
—— 向利益相關(guān)方溝通緊急或突發(fā)事件。
適當(dāng)時(shí),這些機(jī)制宜包括基于多源頭強(qiáng)化風(fēng)險(xiǎn)信息的過程,以及可能需要考慮信息的敏感性。
4.4 實(shí)施風(fēng)險(xiǎn)管理
4.4.1 實(shí)施管理風(fēng)險(xiǎn)的框架
在實(shí)施組織的管理風(fēng)險(xiǎn)的框架時(shí),組織宜:
—— 確定實(shí)施框架的適當(dāng)時(shí)間安排和策略;
—— 將風(fēng)險(xiǎn)管理方針和過程應(yīng)用到組織的過程;
—— 遵守法律法規(guī)要求;
—— 確保決策,包括目標(biāo)的制定和設(shè)立,與風(fēng)險(xiǎn)管理過程輸出結(jié)果一致;
—— 舉行信息和培訓(xùn)會(huì)議;
—— 與利益相關(guān)方進(jìn)行溝通和協(xié)商以確保其風(fēng)險(xiǎn)管理框架保持正確;
4.4.2 實(shí)施風(fēng)險(xiǎn)管理過程
風(fēng)險(xiǎn)管理宜通過確保將第五章描述的風(fēng)險(xiǎn)管理過程通過風(fēng)險(xiǎn)管理計(jì)劃作為組織實(shí)踐和過程的一部分應(yīng)用到組織相關(guān)職能和層次。
4.5 框架的監(jiān)測(cè)和評(píng)審
為了確保風(fēng)險(xiǎn)管理有效和持續(xù)改進(jìn)組織的績(jī)效,組織宜:
—— 針對(duì)適當(dāng)定期評(píng)審的參數(shù)測(cè)量風(fēng)險(xiǎn)管理績(jī)效;
—— 定期測(cè)量風(fēng)險(xiǎn)管理計(jì)劃的進(jìn)展和偏離;
—— 基于組織的內(nèi)部和外部狀況,定期評(píng)審風(fēng)險(xiǎn)管理框架、方針和計(jì)劃是否仍然適宜;
—— 報(bào)告風(fēng)險(xiǎn)、風(fēng)險(xiǎn)管理計(jì)劃的進(jìn)展和風(fēng)險(xiǎn)管理方針如何較好地執(zhí)行;
—— 評(píng)審風(fēng)險(xiǎn)管理框架的有效性。
4.6 框架的持續(xù)改進(jìn)
基于監(jiān)測(cè)和評(píng)審結(jié)果,宜做出如何可以改進(jìn)風(fēng)險(xiǎn)管理框架、方針和計(jì)劃的決策。這些決策宜致使組織的風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)管理文化的改進(jìn)。
5 過程
5.1 總則
風(fēng)險(xiǎn)管理過程宜是:
—— 整合到管理中的的一部分;
—— 嵌入文化和實(shí)踐之中;
—— 針對(duì)組織的經(jīng)營(yíng)過程制作。
它由5.2到5.6描述的活動(dòng)組成。風(fēng)險(xiǎn)管理過程如圖3.
圖表3-風(fēng)險(xiǎn)管理過程
5.2 溝通和協(xié)商
與內(nèi)、外部利益相關(guān)方溝通和協(xié)商宜在風(fēng)險(xiǎn)管理過程所有階段進(jìn)行。
因此,溝通和協(xié)商計(jì)劃宜在早期制定。該計(jì)劃宜針對(duì)與風(fēng)險(xiǎn)本身、風(fēng)險(xiǎn)成因、風(fēng)險(xiǎn)后果(如果掌握)以及處理風(fēng)險(xiǎn)措施相關(guān)的問題。為確保實(shí)施風(fēng)險(xiǎn)管理過程的職責(zé)明確,以及利益相關(guān)方理解決策的基礎(chǔ)和特定措施需求的原因,宜采取有效的外部和內(nèi)部溝通和協(xié)商。
協(xié)商團(tuán)隊(duì)方法可以:
—— 適當(dāng)?shù)貛椭鞔_狀況;
—— 確保利益相關(guān)方的利益被理解和考慮;
—— 幫助確保風(fēng)險(xiǎn)充分地被識(shí)別;
—— 將不同領(lǐng)域的專業(yè)知識(shí)一并用于分析風(fēng)險(xiǎn);
—— 確保在界定風(fēng)險(xiǎn)準(zhǔn)則和評(píng)定風(fēng)險(xiǎn)時(shí),不同的觀點(diǎn)被恰當(dāng)?shù)乜紤];
—— 確保認(rèn)同和支持處理計(jì)劃;
—— 加強(qiáng)在風(fēng)險(xiǎn)管理過程中的變更管理;
—— 制定一個(gè)恰當(dāng)?shù)膬?nèi)部和外部溝通和協(xié)商計(jì)劃。
與利益相關(guān)方的溝通協(xié)商是重要的,由于他們基于對(duì)風(fēng)險(xiǎn)的感知,做出了對(duì)風(fēng)險(xiǎn)的判斷。這些感知可以由于利益相關(guān)方的價(jià)值觀、需求、臆斷、概念和關(guān)注點(diǎn)的不同而變化。由于利益相關(guān)方的觀點(diǎn)會(huì)對(duì)決策產(chǎn)生重大影響,因此他們的感知以被識(shí)別、記錄、以及在決策過程中考慮。
溝通和協(xié)商宜提供真實(shí)的、相關(guān)的、準(zhǔn)確的、便于理解的交流信息,同時(shí)宜考慮到保密和個(gè)人誠(chéng)實(shí)因素。
5.3 明確狀況
5.3.1 總則
通過明確狀況,組織明確其目標(biāo),界定管理風(fēng)險(xiǎn)要考慮的外部和內(nèi)部參數(shù),確定風(fēng)險(xiǎn)管理過程的范圍和風(fēng)險(xiǎn)準(zhǔn)則。盡管許多此類參數(shù)與風(fēng)險(xiǎn)管理框架設(shè)計(jì)時(shí)所考慮的參數(shù)類似(參見4.3.1),但在明確風(fēng)險(xiǎn)管理過程的狀況時(shí),這些參數(shù)需要細(xì)致地,特別是與特定風(fēng)險(xiǎn)管理過程聯(lián)系起來考慮。
5.3.2 明確外部狀況
外部狀況是指組織尋求實(shí)現(xiàn)其目標(biāo)的外部環(huán)境。
為了確保在建立風(fēng)險(xiǎn)準(zhǔn)則時(shí),目標(biāo)和外部利益相關(guān)方的關(guān)注點(diǎn)被予以考慮,理解外部狀況是重要的。它基于組織寬泛的狀況,但具備法律法規(guī)要求的具體細(xì)節(jié)、利益相關(guān)方的觀點(diǎn)、風(fēng)險(xiǎn)管理過程范圍風(fēng)險(xiǎn)的其他因素。
外部狀況可以包括,但不局限于:
—— 社會(huì)、文化、政治、法律法規(guī)、金融、技術(shù)、經(jīng)濟(jì)、自然和競(jìng)爭(zhēng)環(huán)境,無論國(guó)際、國(guó)內(nèi)、區(qū)域,還是本地的;
—— 影響組織目標(biāo)的主要?jiǎng)恿挖厔?shì);
—— 與外部利益相關(guān)方的關(guān)系,外部利益相關(guān)方的觀點(diǎn)和價(jià)值觀。
5.3.3 明確內(nèi)部狀況
內(nèi)部狀況是指組織尋求實(shí)現(xiàn)其目標(biāo)的內(nèi)部環(huán)境。
風(fēng)險(xiǎn)管理過程宜與組織的文化、過程、結(jié)構(gòu)和戰(zhàn)略相一致。內(nèi)部狀況是組織內(nèi)能夠影響管理風(fēng)險(xiǎn)方法的方面。內(nèi)部狀況宜明確,因?yàn)椋?/p>
a)風(fēng)險(xiǎn)管理是在組織的目標(biāo)狀況下進(jìn)行;
b)具體項(xiàng)目、過程或活動(dòng)的目標(biāo)和準(zhǔn)則,宜依據(jù)組織的整體目標(biāo)予以考慮;
c)一些組織未能意識(shí)到實(shí)現(xiàn)它們戰(zhàn)略、項(xiàng)目或經(jīng)營(yíng)目標(biāo)的機(jī)會(huì),這影響了持續(xù)的組織承諾、信譽(yù)、誠(chéng)信和價(jià)值觀。
理解內(nèi)部狀況是必要的,這可包括,但不僅限于:
—— 治理、組織結(jié)構(gòu)、作用和責(zé)任;
—— 方針、目標(biāo),為實(shí)現(xiàn)方針和目標(biāo)制定的戰(zhàn)略;
—— 基于資源和知識(shí)理解的能力(如:資金、時(shí)間、人員、過程、系統(tǒng)和技術(shù));
—— 與內(nèi)部利益相關(guān)方的關(guān)系,內(nèi)部利益相關(guān)方的觀點(diǎn)和價(jià)值觀;
—— 組織的文化;
—— 信息系統(tǒng)、信息流和決策過程(正式與非正式);
—— 組織所采用的標(biāo)準(zhǔn)、指南和模式;
—— 合同關(guān)系的形式與范圍。
5.3.4明確風(fēng)險(xiǎn)管理過程狀況
宜確立組織活動(dòng)的目標(biāo)、策略、范圍和參數(shù),或風(fēng)險(xiǎn)管理過程應(yīng)用到的組織的那些部分。風(fēng)險(xiǎn)管理宜充分考慮滿足開展風(fēng)險(xiǎn)管理的資源需求。所需的資源、職責(zé)、權(quán)限和要保存的記錄也宜予以規(guī)定。
風(fēng)險(xiǎn)管理過程的狀況根據(jù)組織需求而變化。它可以包括,但不僅限于:
—— 確定風(fēng)險(xiǎn)管理活動(dòng)的目標(biāo);
—— 確定風(fēng)險(xiǎn)管理過程的職責(zé);
—— 確定所要開展的風(fēng)險(xiǎn)管理活動(dòng)的范圍以及深度、廣度,包括具體的內(nèi)涵和外延;
—— 以時(shí)間和地點(diǎn),界定活動(dòng)、過程、職能、項(xiàng)目、產(chǎn)品、服務(wù)或資產(chǎn);
—— 界定組織特定項(xiàng)目、過程或活動(dòng)與其他項(xiàng)目、過程或活動(dòng)之間的關(guān)系;
—— 確定風(fēng)險(xiǎn)評(píng)價(jià)的方法;
—— 確定評(píng)價(jià)風(fēng)險(xiǎn)管理的績(jī)效和有效性的方法;
—— 識(shí)別和規(guī)定所必須要做出的決策;
—— 確定所需的范圍或框架性研究,它們的程度和目標(biāo),以及此種研究所需資源。
對(duì)這些和其他相關(guān)因素的關(guān)注,有助于確保所采用的風(fēng)險(xiǎn)管理方法適合于環(huán)境、組織、以及影響目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)。
5.3.5 確定風(fēng)險(xiǎn)準(zhǔn)則
組織宜確定用于評(píng)定風(fēng)險(xiǎn)重要性的準(zhǔn)則。該準(zhǔn)則宜反映組織的價(jià)值觀、目標(biāo)和資源。一些準(zhǔn)則可以服從或引用法律法規(guī)要求或組織簽署的其他要求。風(fēng)險(xiǎn)準(zhǔn)則宜與組織風(fēng)險(xiǎn)管理方針一致(見4.3.2),在風(fēng)險(xiǎn)管理過程開始時(shí)予以確定,并予以持續(xù)評(píng)審。
當(dāng)確定風(fēng)險(xiǎn)準(zhǔn)則時(shí),要考慮的因素宜包括如下:
—— 可以出現(xiàn)的致因和后果的性質(zhì)和類別,以及如何予以測(cè)量;
—— 可能性如何確定;
—— 可能性和(或)后果的時(shí)間范圍;
—— 風(fēng)險(xiǎn)程度如何確定;
—— 利益相關(guān)方的觀點(diǎn);
—— 風(fēng)險(xiǎn)可接受或可容許的程度;
—— 多種風(fēng)險(xiǎn)的組合是否予以考慮,如果是,如何考慮及哪種風(fēng)險(xiǎn)組合宜予以考慮。
5.4 風(fēng)險(xiǎn)評(píng)價(jià)
5.4.1 總則
風(fēng)險(xiǎn)評(píng)價(jià)是風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)定的總的過程。
注:ISO/IEC 31010 提供了風(fēng)險(xiǎn)評(píng)價(jià)技術(shù)指南。
5.4.2 風(fēng)險(xiǎn)識(shí)別
組織宜識(shí)別風(fēng)險(xiǎn)源、影響區(qū)域、事件(包括環(huán)境變化)以及致因和潛在后果。此步驟的目的是產(chǎn)生一個(gè)基于哪些可能產(chǎn)生、增強(qiáng)、阻礙、加快或推遲目標(biāo)實(shí)現(xiàn)的事件的風(fēng)險(xiǎn)的綜合表格。識(shí)別與不尋求機(jī)會(huì)相關(guān)的風(fēng)險(xiǎn)是重要的。綜合識(shí)別是非常重要的,因?yàn)榇穗A段沒有識(shí)別的風(fēng)險(xiǎn)將不會(huì)包含在進(jìn)一步的分析中。
識(shí)別宜包括其源是否在組織的控制下的風(fēng)險(xiǎn),即使風(fēng)險(xiǎn)源或致因可能不明顯。風(fēng)險(xiǎn)識(shí)別宜包括考查特定后果直接影響,包括聯(lián)鎖和累積影響。也要考慮寬范圍的后果,即使風(fēng)險(xiǎn)源或致因可能不明顯。也要識(shí)別什么可能發(fā)生,考慮表明什么后果可以出現(xiàn)的可能致因和場(chǎng)景是必要的。所有重要的致因和后果宜予以考慮。
組織宜應(yīng)用適合其目標(biāo)、能力及所面臨風(fēng)險(xiǎn)的風(fēng)險(xiǎn)識(shí)別工具和技術(shù)。在識(shí)別風(fēng)險(xiǎn)時(shí),相關(guān)和最新的信息是重要的。這宜包括可能的適當(dāng)背景信息。具有適當(dāng)知識(shí)的人員宜參與到識(shí)別風(fēng)險(xiǎn)中。
5.4.3 風(fēng)險(xiǎn)分析
風(fēng)險(xiǎn)分析涉及開展風(fēng)險(xiǎn)的理解。風(fēng)險(xiǎn)分析為風(fēng)險(xiǎn)評(píng)定和確定風(fēng)險(xiǎn)是否需要處理以及最適合的風(fēng)險(xiǎn)處理策略和方法,提供了輸入。風(fēng)險(xiǎn)分析也可以為必須做出選擇及選擇涉及不同類型和程度的風(fēng)險(xiǎn)的決策,提供輸入。
風(fēng)險(xiǎn)分析包括考慮風(fēng)險(xiǎn)的致因和來源,以及所帶來的正面和負(fù)面的后果及這些后果發(fā)生的可能性。影響后果的因素和可能性宜被識(shí)別。通過確定后果和其可能性、以及其他風(fēng)險(xiǎn)特性,來進(jìn)行風(fēng)險(xiǎn)分析。一個(gè)事件可以有多種結(jié)果并可以影響多重目標(biāo)。現(xiàn)存的控制措施和其效果和效率也宜被考慮在內(nèi)。
后果和可能性的表述方式,以及它們組合確定風(fēng)險(xiǎn)程度的方式,宜反映風(fēng)險(xiǎn)類型、可獲得的信息、以及運(yùn)用風(fēng)險(xiǎn)評(píng)價(jià)輸出的意圖。這些全部都宜符合風(fēng)險(xiǎn)準(zhǔn)則。考慮不同風(fēng)險(xiǎn)和其源的相互依賴也是重要的。
風(fēng)險(xiǎn)程度的確定和其前提和假設(shè)的敏感性的信心,宜在風(fēng)險(xiǎn)分析中予以考慮,并有效溝通給決策者以及適當(dāng)?shù)睦嫦嚓P(guān)方。諸如專家間觀點(diǎn)的分歧、不確定性、可用性、質(zhì)量、數(shù)量、信息的持續(xù)相關(guān)性、或模型的局限性等因素,宜予以闡述和可以重點(diǎn)強(qiáng)調(diào)。
風(fēng)險(xiǎn)分析可以在不同程度的細(xì)節(jié)上進(jìn)行,這取決于風(fēng)險(xiǎn)本身、分析目的、可用的信息、數(shù)據(jù)和來源。依據(jù)環(huán)境條件,分析可以定性的、半定量或定量的,也可以是組合的方式。
后果和其可能性可以通過模擬一個(gè)或一系列事件的結(jié)果,或由實(shí)驗(yàn)研究或可用數(shù)據(jù)推斷確定。后果可基于有形和無形的影響表述。在某些情況下,一個(gè)以上的數(shù)值或描述,需要界定對(duì)于不同時(shí)間、地點(diǎn)、團(tuán)體或狀況的后果和其可能性。
5.4.4 風(fēng)險(xiǎn)評(píng)定
風(fēng)險(xiǎn)評(píng)價(jià)的目的是,基于風(fēng)險(xiǎn)分析的結(jié)果,幫助做出有關(guān)風(fēng)險(xiǎn)需要處理和處理實(shí)施優(yōu)先的決策。
風(fēng)險(xiǎn)評(píng)定包括將分析過程中確定的風(fēng)險(xiǎn)程度與在明確狀況時(shí)建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較。基于這種比較,處理需求可予以考慮。
決策宜考慮更為寬泛風(fēng)險(xiǎn)含義,包括考慮風(fēng)險(xiǎn)獲益組織外的團(tuán)體對(duì)風(fēng)險(xiǎn)的容忍性。決策宜依據(jù)法律法規(guī)和其他要求做出。
在某些情況下,風(fēng)險(xiǎn)評(píng)定可導(dǎo)致對(duì)決策的進(jìn)一步分析。風(fēng)險(xiǎn)評(píng)定也可導(dǎo)致,除了保持現(xiàn)存措施,不以任何方式處理風(fēng)險(xiǎn)的決策。通過組織的風(fēng)險(xiǎn)態(tài)度和已建立的風(fēng)險(xiǎn)準(zhǔn)則,對(duì)此決策施加影響。
5.5 風(fēng)險(xiǎn)處理
5.5.1 總則
風(fēng)險(xiǎn)處理包括選擇一種或幾種修正風(fēng)險(xiǎn)的方案,以及實(shí)施那些方案。一旦實(shí)施了方案,處理提供或改進(jìn)了控制措施。
風(fēng)險(xiǎn)處理包括了一個(gè)循環(huán)過程:
—— 評(píng)價(jià)風(fēng)險(xiǎn)處理;
—— 確定殘留風(fēng)險(xiǎn)程度是否可容許;
—— 如果不可容許,產(chǎn)生新的風(fēng)險(xiǎn)處理;
—— 評(píng)價(jià)該處理的有效性。
風(fēng)險(xiǎn)處理方案不必互相排斥或適宜所有情況。方案可以包括以下內(nèi)容:
a)通過決定不開展或停止產(chǎn)生風(fēng)險(xiǎn)的活動(dòng),來規(guī)避風(fēng)險(xiǎn);
b)為尋求機(jī)會(huì),接受或提高風(fēng)險(xiǎn);
c)消除風(fēng)險(xiǎn)源;
d)改變可能性;
e)改變后果;
f)與另一方或多方共擔(dān)風(fēng)險(xiǎn)(包括合約和風(fēng)險(xiǎn)融資);
g)通過有事實(shí)依據(jù)的決策,保留風(fēng)險(xiǎn)。
5.5.2 選擇風(fēng)險(xiǎn)處理方案
選擇最合適的風(fēng)險(xiǎn)處理方案包括,針對(duì)以法律法規(guī)和諸如社會(huì)責(zé)任和自然環(huán)境保護(hù)的其他要求所獲得的利益,平衡成本和實(shí)施的工作量。決策也宜考慮可以批準(zhǔn)在經(jīng)濟(jì)層面上不合理的風(fēng)險(xiǎn)處理的風(fēng)險(xiǎn),例如,嚴(yán)重的(高負(fù)面后果)但稀少(低可能性)的風(fēng)險(xiǎn)。
一些方案是可以單獨(dú)或綜合考慮或應(yīng)用。組織一般可以從綜合方案的采用獲益。
當(dāng)選擇風(fēng)險(xiǎn)處理方案時(shí),組織宜考慮利益相關(guān)方的價(jià)值觀和觀點(diǎn),以及與他們溝通最適合的方法。如果風(fēng)險(xiǎn)處理方案可以影響組織別處的風(fēng)險(xiǎn)或與利益相關(guān)方關(guān)聯(lián)的風(fēng)險(xiǎn),這宜包含在決策中。盡管同樣有效,有些風(fēng)險(xiǎn)處理可以比其他一些更讓一些利益相關(guān)方接受。
風(fēng)險(xiǎn)處理計(jì)劃宜清晰確定每個(gè)風(fēng)險(xiǎn)處理宜實(shí)施的優(yōu)先順序。
風(fēng)險(xiǎn)處理自身會(huì)引入風(fēng)險(xiǎn)。重要風(fēng)險(xiǎn)會(huì)是風(fēng)險(xiǎn)處理措施的故障或失效。監(jiān)測(cè)需要成為風(fēng)險(xiǎn)處理計(jì)劃的整合部分和給出措施持續(xù)有效的保證。
風(fēng)險(xiǎn)處理也可引入需要評(píng)價(jià)、處理、監(jiān)測(cè)和評(píng)審的次級(jí)風(fēng)險(xiǎn)。宜將這些次級(jí)風(fēng)險(xiǎn)結(jié)合到與原始風(fēng)險(xiǎn)同樣的處理計(jì)劃中,而不是作為新的風(fēng)險(xiǎn)處理。兩種風(fēng)險(xiǎn)的聯(lián)系宜確定和保持。
5.5.3 準(zhǔn)備和實(shí)施風(fēng)險(xiǎn)處理計(jì)劃
風(fēng)險(xiǎn)處理計(jì)劃的目的是將如何實(shí)施已選擇的處理措施形成文件。將要實(shí)施的風(fēng)險(xiǎn)處理方案。處理計(jì)劃中提供的信息宜包括:
—— 選擇風(fēng)險(xiǎn)處理措施的原因,包括所期待獲得的效益;
—— 負(fù)責(zé)改進(jìn)和實(shí)施計(jì)劃的人員;
—— 建議的措施;
—— 資源需求,包括緊急情況時(shí);
—— 績(jī)效測(cè)量和控制;
—— 匯報(bào)及監(jiān)測(cè)要求;
—— 時(shí)間和日程安排。
處理計(jì)劃宜組織管理過程整合并與適當(dāng)?shù)睦嫦嚓P(guān)方討論。
決策者和其他利益相關(guān)方宜意識(shí)到風(fēng)險(xiǎn)處理后殘留風(fēng)險(xiǎn)的性質(zhì)和程度。殘留風(fēng)險(xiǎn)宜形成文件并進(jìn)行監(jiān)測(cè)、評(píng)審,適當(dāng)時(shí),進(jìn)一步處理。
5.6 監(jiān)測(cè)和評(píng)審
監(jiān)測(cè)和評(píng)審都宜是風(fēng)險(xiǎn)管理過程的已計(jì)劃的部分,包含常規(guī)檢查或監(jiān)督。可以定期或不定期。
監(jiān)測(cè)和評(píng)審的職責(zé)宜明確界定。
組織的監(jiān)測(cè)和評(píng)審過程宜包含風(fēng)險(xiǎn)管理過程的所有方面,目的是:
—— 確保控制措施在設(shè)計(jì)和運(yùn)行上有效和有效率;
—— 獲得進(jìn)一步改進(jìn)風(fēng)險(xiǎn)評(píng)價(jià)的信息;
—— 從事件(包括“near-miss)、變化、趨勢(shì)、成功和失敗中分析和吸取教訓(xùn);
—— 探測(cè)內(nèi)外部狀況的變化,包括風(fēng)險(xiǎn)準(zhǔn)則的變化和會(huì)需要修正風(fēng)險(xiǎn)處理和優(yōu)先的風(fēng)險(xiǎn)自身;
—— 識(shí)別出現(xiàn)的風(fēng)險(xiǎn)。
在實(shí)施風(fēng)險(xiǎn)處理計(jì)劃的進(jìn)程中需要績(jī)效測(cè)量。可將結(jié)果融入組織整體績(jī)效管理、測(cè)量和外部和內(nèi)部報(bào)告活動(dòng)中。
監(jiān)測(cè)和評(píng)審的結(jié)果宜予以記錄和在內(nèi)外部適當(dāng)?shù)貓?bào)告,也可用作風(fēng)險(xiǎn)管理框架評(píng)審的輸入(見4.5)。
5.7 記錄風(fēng)險(xiǎn)管理過程
風(fēng)險(xiǎn)管理活動(dòng)宜可追溯。在風(fēng)險(xiǎn)管理過程及整體過程中,記錄提供了方法和工具改進(jìn)的基礎(chǔ)。
關(guān)于記錄的建立的決定宜考慮:
—— 組織持續(xù)學(xué)習(xí)的需求;
—— 出于管理意圖,重新使用信息益處;
—— 涉及建立和保持記錄的成本和工作量;
—— 對(duì)記錄的法律法規(guī)和運(yùn)行需求;
—— **的方法、檢索的難易和儲(chǔ)存媒介;
—— 保存期限;
—— 信息的敏感性。
ISO31000認(rèn)證周期大概多久?
ISO31000認(rèn)證周期概覽
ISO31000是一個(gè)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn),它提供了一個(gè)用于識(shí)別、評(píng)估和管理風(fēng)險(xiǎn)的框架。雖然用戶詢問的是ISO31000認(rèn)證周期,但根據(jù)搜索結(jié)果,并沒有直接提到ISO31000認(rèn)證的具體周期。不過,我們可以參考與ISO9001認(rèn)證相關(guān)的周期信息,因?yàn)檫@兩個(gè)標(biāo)準(zhǔn)的認(rèn)證流程有相似之處。
ISO9001認(rèn)證周期
根據(jù)搜索結(jié)果,ISO9001認(rèn)證的周期一般在1個(gè)月到6個(gè)月之間,具體取決于企業(yè)的原有管理水平和對(duì)ISO9001標(biāo)準(zhǔn)的推行程度3.以下是詳細(xì)的解釋:
快速拿證的企業(yè):這類企業(yè)通常在1個(gè)月內(nèi)就可以完成認(rèn)證,特殊情況可以加急到20個(gè)工作日完成。
全力推行ISO認(rèn)證標(biāo)準(zhǔn)的企業(yè):這類企業(yè)需要3-6個(gè)月的時(shí)間來完成整個(gè)認(rèn)證流程,包括前期培訓(xùn)、組織機(jī)構(gòu)設(shè)置、文件編寫、文件修改以及后期的試運(yùn)行和申請(qǐng)審核發(fā)證等3.
年審周期
ISO體系證書自下證之日起每年需要進(jìn)行一次年審,也就是所謂的三年兩審,每次相距不超過1年,一般為10-12個(gè)月進(jìn)行一次。年審是為了確保企業(yè)的管理體系持續(xù)滿足要求,如果不進(jìn)行年審或逾期不年審,證書將會(huì)被暫停或撤銷6.
結(jié)論
雖然沒有直接提到ISO31000認(rèn)證周期,但我們可以合理推測(cè),由于ISO31000認(rèn)證的流程與ISO9001認(rèn)證類似,因此其認(rèn)證周期可能也在類似的范圍內(nèi)。如果您需要更準(zhǔn)確的信息,建議直接咨詢專業(yè)的認(rèn)證機(jī)構(gòu)或查閱相關(guān)的政策文檔。
中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊,包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識(shí)。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)跟我們聯(lián)系刪除并致歉!