風險管理 原則與實施指南

 
1 范圍
本標準提供了風險管理的原則和通用的實施指南。
本標準適用于各種類型和規模的組織，適用于組織的全生命周期及其各階段，也適用于組織的各種活動，包括流程管理、職能行為、項目管理以及與產品、服務、資產、運作和決策等有關的各項活動。
本標準提供實施風險管理的通用指南，但風險管理的具體實施取決于組織的實際需要和具體實踐。
2 規范性引用文件
下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而鼓勵根據本標準達成協議的各方研究是否可使用這些文件的*新版本。凡是不注日期的引用文件，其*新版本適用于本標準。
GB/T23694  風險管理 術語。
3 術語和定義
GB/T23694確定的術語和定義適用于本標準。
4 風險管理原則
為有效管理風險，組織在實施風險管理時，可遵循下列原則；
    a)控制損失，創造價值
以控制損失、創造價值為目標的風險管理，有助于組織實現目標、取得具體可見的成績和改善各方面的業績，包括人員健康和**、合規經營、信用程度、社會認可、環境保護、財務績效、產品質量、運營效率和公司治理等方面。
b)融入組織管理過程
風險管理不是獨立于組織主要活動和各項管理過程的單獨的活動，而是組織管理過程不可缺少的重要組成部分。
c)支持決策過程
組織的所有決策都應考慮風險和風險管理。風險管理旨在將風險控制在組織可接受的范圍內，有助于判斷風險應對是否充分、有效,有助于決定行動優先順序并選擇可行的行動方案，從而幫助決策者做出合理的決策。
d)應用系統的、結構化的方法
系統的、結構化的方法有助于風險管理效率的提升，并產生一致、可比、可靠的結果。
e）以信息為基礎
風險管理過程要以有效的信息為基礎。這些信息可通過經驗、反饋、觀察、預測和專家判斷等多種渠道獲取，但使用時要考慮數據、模型和專家意見的局限性。
f）環境依賴
風險取決于組織所處的內部和外部環境以及組織所承擔的風險。需要特別指出的是，風險管理受人文因素的影響。
g）廣泛參與、充分溝通
組織的利益相關者之間的溝通，尤其是決策者在風險管理中適當、及時的參與，有助于保證風險管理的針對性和有效性。
利益相關者的廣泛參與有助于其觀點在風險管理過程中得到體現，其利益訴求在決定組織的風險偏好時得到充分考慮。利益相關者的廣泛參與要建立在對其權利和責任明確認可的基礎上。
利益相關者之間需要進行持續、雙向和及時的溝通，尤其是在重大風險事件和風險管理有效性等方面需要及時溝通。
h）持續改進
風險管理是適應環境變化的動態過程，其各步驟之間形成一個信息反饋的閉環。隨著內部和外部事件的發生、組織環境和知識的改變以及監督和檢查的執行，有些風險可能會發生變化，一些新的風險可能會出現，另一些風險則可能消失。因此，組織應持續不斷地對各種變化保持敏感并做出恰當反應。組織通過績效測量、檢查和調整等手段，使風險得到持續改進。
5 風險管理過程
5.1概述
風險管理過程是組織管理的有機組成部分，嵌入在組織文化和實踐當中，貫穿于組織的經營過程。風險管理過程由5.2到5.5所描述的活動組成，即明確環境信息、風險評估、風險應對、監督和檢查，如圖1所示。其中，風險評估包括風險識別、風險分析和風險評價等三個步驟。
溝通和記錄，應貫穿于風險管理過程的各項活動中，5.6將對其進行詳細說明。
5.2明確環境信息
5.2.1概述
通過明確環境信息，組織可明確其風險管理的目標，確定與組織相關的內部和外部參數，并設定風險管理的范圍和有關風險準則。
5.2.2外部環境信息
外部環境信息是組織在實現目標過程中所面臨的外部環境的歷史、現在和未來的各種相關信息。
為保證在制定風險準則時能充分考慮外部利益相關者的目標和關注點，組織需要了解外部環境信息。外部環境信息以組織所處的整體環境為基礎，包括法律和監管要求、利益相關者的訴求和與具體風險管理過程相關的其他方面的信息等。
外部環境信息包括但不限于：
——國際、國內、地區及當地的政治、經濟、文化、法律、法規、技術、金融以及自然環境和競爭環境；
——影響組織目標實現的外部關鍵因素及其歷史和變化趨勢；
——外部利益相關者及其訴求、價值觀、風險承受度；
——外部利益相關者與組織的關系等。
5.2.3內部環境信息
內部環境信息是組織在實現目標過程中所面臨的內在環境的歷史、現在和未來的各種相關信息。
風險管理過程要與組織的文化、經營過程和結構相適應，包括組織內影響其風險管理的任何事物。組織需明確內部環境信息，因為：
——風險可能會影響組織戰略、日常經營或項目運營等各個方面，從而進一步會影響組織的價值、信用和承諾等；
——風險管理在組織的特定目標和管理條件下進行；
——具體活動的目標和有關準則應放到組織整體目標的環境中考慮；
內部環境信息可包括：
——組織的方針、目標以及經營戰略；
——資源和知識方面的能力（如資金、時間、人力、過程、系統和技術）;
——信息系統、信息流和決策過程（包括正式的和非正式的）;
——內部利益相關者及其訴求，價值觀、風險承受度；
——采用的標準和模型；
——組織結構（包括治理結構、任何和責任等）、管理過程和措施；
——與風險管理實施過程有關的環境信息等。
其中，風險管理過程的環境信息根據組織的需要而改變，它包括但不限于：
——所開展的風險管理工作的范圍和目標，以及所需要的資源；
——風險管理過程的職責；
——應執行的風險管理活動的深度和廣度；
——風險管理活動與組織其他活動之間的關系；
——風險評估的方法和使用的數據；
——風險管理績效的評價方法；
——需要制定的決策；
——風險準則等。
5.2.4 確定風險準則
風險準則是組織用于評價風險重要程度的標準。因此，風險準則需體現組織的風險承受度，應反映組織的價值觀、目標和資源。有些風險準則直接或間接反映了法律和法規要求或其他需要組織遵循的要求。風險準則應當與組織的風險管理方針一致。具體的風險準則應盡可能在風險管理過程開始時制定，并持續不斷地檢查和完善。
確定風險準則時要考慮以下因素：
——可能發生的后果的性質、類型以及后果的度量；
——可能性的度量；
——可能性和后果的時限；
——風險的度量方法；
——風險等級的確定；
——利益相關者可接受的風險或可允許的風險等級；
——多種風險的組織的影響。
通過對以上因素及其他相關因素的關注，將有助于保證組織所采取的風險管理方法適合于組織現狀及其所面臨的風險。
5.3風險評估
5.3.1概述
風險評估包括風險識別、風險分析和風險評價三個步驟。
5.3.2風險識別
風險識別是通過識別風險源、影響范圍、事件及其原因和潛在的后果等，生存一個**的風險列表。識別風險不僅要考慮有關事件可能帶來的損失，也要考慮其中蘊含的機會。
進行風險識別時要掌握相關的和*新的信息，必要時，需包括適用的背景信息。除了識別可能發生的風險事件外，還要考慮其可能的原因和可能導致的后果，包括所有重要的原因和后果。不論風險事件的風險源是否在組織的控制之下，或其原因是否已知，都應對其進行識別。此外，要關注已經發生的風險事件，特別是新近發生的風險事件。
識別風險需要所有相關人員的參與。組織所采取的風險識別工具和技術應當適合于其目標、能力及其所處環境。
5.3.3風險分析
風險分析根據風險類型、獲得的信息和風險評估結果的使用目的，對識別出的風險進行定性和定量的分析，為風險評價和風險應對提供支持。風險分析要考慮導致風險的原因和風險源、事件的正面和負面的后果及其發生的可能性、影響后果和可能性的因素、不同風險及其風險源的相關關系以及風險的其他特性，還要考慮現有的管理措施及其效果和效率。
在風險分析中，應考慮組織的風險承受度及其對前提和假設的敏感性，并適時與決策者和其他利益相關者有效地溝通。另外，還要考慮可能存在的專家觀點中的分歧及數據和模型的局限性。
根據風險分析的目的、獲得的信息數據和資源，風險分析可以是定性的、半定量的、定量的或以上方法的組合。一般情況下，首先采取定性分析，初步了解風險等級和揭示主要風險。適當時，進行更具體的定量的風險分析。
后果和可能性可通過專家意見確定，或通過對事件或事件組合的結果建模確定，也可通過對實驗研究或可獲得的數據的推導確定。對后果的描述可表達為有形或無形的影響，在某些情況下，可能需要多個指標來確切描述不同時間、地點、類別或情形的后果。
5.3.4風險評價
風險評價是將風險分析的結果與組織的風險準則比較，或者在各種風險的分析結果之間進行比較，確定風險等級，以及做出風險應對的決策。如果風險是新識別的風險，則應當制定相應的風險準則，以便評價該風險。
風險評價的結果應滿足風險應對的需要，否則，應作進一步分析。有時，根據已經制定的風險準則，風險評價使組織做出維持現有的風險應對措施，不采取其他新的措施的決定。
5.4風險應對
5.4.1概述
風險應對是選擇并執行一種或多種改變風險的措施，包括改變風險事件發生的可能性或后果的措施。風險應對決策應當考慮各種環境信息，包括內部和外部利益相關者的風險承受度，以及法律、法規和其他方面的要求等。
風險應對措施的制訂和評估可能是一個遞進的過程。對于風險應對措施，應評估其剩余風險是否可以承受。如果剩余風險不可承受，應調整或制定新的風險應對措施，并評估新的風險應對措施的效果，直到剩余風險可能承受。執行風險應對措施會引起組織風險的改變，需要跟蹤、監督風險應對的效果和組織的有關環境信息，并對變化的風險進行評估，必要時重新制定風險應對措施。
可能的風險應對措施之間不一定相互排斥。一個風險應對措施也不一定在所有條件下都適合。風險應對措施可包括下列各項：
——決定停止或退出可能導致風險的活動以規避風險；
——增加風險或承擔新的風險以尋求機會；
——消除具有負面影響的風險源；
——改變風險事件發生的可能性的大小及其分布的性質；
——改變風險事件發生的可能后果；
——轉移風險；
——分擔風險；
——保留風險等。
5.4.2風險應對措施
選擇適當的風險應對措施時需考慮很多方面，比如：
——法律、法規、社會責任和環境保護等方面的要求；
——風險應對措施的實施成本與收益（有些風險可能需要組織考慮采取經濟上看起來不合理的風險應對決策，例如可能帶來嚴重的負面后果但發生可能性低的風險事件）；
——選擇幾種應對措施，將其單獨或組合使用；
——利益相關者的訴求和價值觀，對風險的認知和承受度以及對某一些風險應對措施的偏好。
風險應對措施的實施過程中可能會失靈或無效。因此，要把監督作為風險應對措施的實施計劃的有機組成部分，以保證應對措施持續有效。
風險應對措施可能引起次生風險，對次生風險也需要評估、應對、監督和檢查。在原有的風險應對計劃中要加入這些次生風險的內容，而不應將其作為新風險而獨立對待。為此需要識別并檢查原有風險與次生風險之間的聯系。但風險應對措施影響到組織內部其他領域的或影響到其他利益相關者時，要評估這些影響，并與有關利益相關者溝通，必要時調整風險應對措施。
決策者和其他利益相關者應當清楚在采取風險應對措施后的剩余風險的性質和程度。
5.4.3制定風險應對計劃
在選擇了風險應對措施之后，需要制定相應的風險應對計劃。風險應對計劃中應當包括以下信息：
——預期的收益；
——績效指標及其考核方法；
——風險管理責任人及實施風險應對措施的人員安排；
——風險應對措施涉及的具體業務和管理活動；
——選擇多種可能的風險應對措施時，實施風險應對措施的優先次序；
——報告和監督、檢查的要求；
——與適當的利益相關者的溝通安排；
——資源需要，包括應急機制的資源需求；
——執行時間等；
風險應對計劃要與組織的管理過程整合。
5.5監督和檢查
組織應明確界定監督和檢查的責任。
監督和檢查可能包括：
——監測事件，分析變化及其趨勢并從中吸取教訓；
——發現內部和外部環境信息的變化，包括風險本身的變化，可能導致的風險應對措施及其實施優先次序的改變；
——監督并記錄風險應對措施實施后的剩余風險，以便在適當時做進一步處理；
——適用時，對照風險應對計劃，檢查工作進度與計劃的偏差，保證風險應對措施的設計和執行有效；
——報告關于風險、風險應對計劃的進度和風險管理方針的遵循情況；
——實施風險管理績效評估。
風險管理績效評估應被納入到組織的績效管理以及組織對內、對外的報告體系之中。
監督和檢查活動包括常規檢查、監控已知的風險、定期或不定期檢查。定期或不定期檢查都應被列入風險應對計劃。
適當時，監督和檢查的結果應當有記錄并對內或對外報告。
5.6溝通和記錄
6.5.1溝通
組織在風險管理過程的每一個階段都應當與內部和外部利益相關者有效溝通，以保證實施風險管理的責任人和利益相關者能夠理解組織風險管理決策的依據，以及需要采取某些行動的原因。
由于利益相關者的價值觀、訴求、假設、認知和關注點不同，其風險偏好也不同，并可能對決策有重要影響。因此，組織在決策過程中應當與利益相關者進行充分溝通，識別并記錄利益相關者的風險偏好。
5.6.2記錄
在風險管理過程中，記錄是實施和改進整個風險管理過程的基礎。
建立記錄應當考慮以下方面：
——出于管理的目的而重復使用信息的需要；
——進一步分析風險和調整風險應對措施的需要；
——風險管理活動的可追溯要求；
——溝通的需要；
——法律、法規和操作上對記錄的需要；
——組織本身持續學習的需要；
——建立和維護記錄所需的成本和工作量；
——獲取信息的方法、讀取信息的容易程度和儲存媒介；
——記錄保留期限；
——信息的敏感性。
6 風險管理的實施
6.1概述
組織實施風險管理過程（見第5章）需要一個風險管理體系，包括相關方針、組織結構、工作程序、資源配置、信息溝通機制以及相關的技術手段等基礎設施，以便將風險管理嵌入到組織的各個層次和活動之中。在組織的不同層次和特定環境內實施風險管理過程，風險管理體系幫助組織有效地管理風險。組織的風險管理體系可能由在各層次和特定環境內實施風險管理過程的子體系構成，如內部控制體系等。風險管理體系應當保證風險管理過程中的風險信息的充分溝通，并且在相關的組織層次范圍內作為決策和問責的依據使用。組織要在檢查的基礎上，做出如何改進風險管理體系、方針和風險應對計劃的決策，引導組織的風險管理和風險管理文化的改進。
風險管理體系的要素主要包括：
-——風險管理方針；
——適當的制度和程序，使風險管理嵌入到組織的所有活動和過程中；
——與組織結構相關的職責，以及有關的與組織的績效指標一致的風險管理績效指標；
——資源分配；
——與所有利益相關者溝通風險管理的機制；
——技術手段、方法、工具等。
6.2風險管理方針
風險管理方針應明確下列事項：
——組織的風險管理理念；
——組織的*高管理者對風險管理的承諾；
——組織的風險管理目標；
——組織的風險偏好；
——風險管理方針與組織的目標及其他方針之間的關系；
——風險管理的職責分配；
——管理風險的程序和方法；
——風險管理的資源配置；
——測量和報告風險管理績效的方式；
——建立風險管理體系的計劃；
——持續改進的承諾。
6.3風險管理工作程序
組織應當設計適當的制度和行為規范，建立風險管理工作程序，特別是整個組織層面的風險管理計劃，以保證風險管理嵌入到組織的所有活動和過程之中，尤其是組織的戰略規劃、運營過程以及變革管理之中。
6.4風險管理相關組織結構
組織可通過以下方法保證風險管理的責任認定和授權，從而能夠執行風險管理過程，并保證風險管理的充分性和有效性：
——明確風險管理體系的制定、實施和維護人員的職責；
——明確執行風險應對措施、維護風險管理體系和報告相關風險信息人員的職責；
——建立批準、授權制度；
——建立績效測量及相應的合適的獎勵、懲罰制度；
——建立對內對外的報告機制等。
6.5風險管理的資源配置
組織需根據風險管理計劃制定可行的方法，為風險管理分配適當的資源。具體要考慮下列各項：
——人員、技術、經驗和能力；
——風險管理過程每一階段所需要的資金及各種資源；
——數據記錄的過程和程序步驟；
——信息和知識管理系統。
6.6溝通和報告機制
6.6.1內部溝通和報告機制
組織要建立內部溝通和報告機制，以保證：
——風險管理體系的關鍵組成部分及其調整得到適當的溝通；
——在組織內部充分報告風險應對計劃實施的效果和效率；
——在適當的層次和時間提供風險管理的相關信息；
——建立與內部利益相關者協商的程序。
內部溝通和報告機制還包括在考慮到組織敏感程度的基礎上，適當整合從各內部渠道得到的風險信息的程序。
6.6.2 外部溝通和報告機制
組織需建立與外部利益相關者溝通的機制。這種機制應當保證：
——組織的對外報告符合法律、法規和公司治理要求；
——組織與外部利益相關者保持有效的信息溝通；
——在外部利益相關者中建立對組織的信心；
——在發生突發事件、危機和緊急狀況時與利益相關者溝通。
——為組織提供外部利益相關者的報告和反饋。