風險管理 原則與實施指南

 
1 范圍
本標準提供了風險管理的原則和通用的實施指南。
本標準適用于各種類型和規(guī)模的組織，適用于組織的全生命周期及其各階段，也適用于組織的各種活動，包括流程管理、職能行為、項目管理以及與產(chǎn)品、服務、資產(chǎn)、運作和決策等有關(guān)的各項活動。
本標準提供實施風險管理的通用指南，但風險管理的具體實施取決于組織的實際需要和具體實踐。
2 規(guī)范性引用文件
下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的*新版本。凡是不注日期的引用文件，其*新版本適用于本標準。
GB/T23694  風險管理 術(shù)語。
3 術(shù)語和定義
GB/T23694確定的術(shù)語和定義適用于本標準。
4 風險管理原則
為有效管理風險，組織在實施風險管理時，可遵循下列原則；
    a)控制損失，創(chuàng)造價值
以控制損失、創(chuàng)造價值為目標的風險管理，有助于組織實現(xiàn)目標、取得具體可見的成績和改善各方面的業(yè)績，包括人員健康和**、合規(guī)經(jīng)營、信用程度、社會認可、環(huán)境保護、財務績效、產(chǎn)品質(zhì)量、運營效率和公司治理等方面。
b)融入組織管理過程
風險管理不是獨立于組織主要活動和各項管理過程的單獨的活動，而是組織管理過程不可缺少的重要組成部分。
c)支持決策過程
組織的所有決策都應考慮風險和風險管理。風險管理旨在將風險控制在組織可接受的范圍內(nèi)，有助于判斷風險應對是否充分、有效,有助于決定行動優(yōu)先順序并選擇可行的行動方案，從而幫助決策者做出合理的決策。
d)應用系統(tǒng)的、結(jié)構(gòu)化的方法
系統(tǒng)的、結(jié)構(gòu)化的方法有助于風險管理效率的提升，并產(chǎn)生一致、可比、可靠的結(jié)果。
e）以信息為基礎
風險管理過程要以有效的信息為基礎。這些信息可通過經(jīng)驗、反饋、觀察、預測和專家判斷等多種渠道獲取，但使用時要考慮數(shù)據(jù)、模型和專家意見的局限性。
f）環(huán)境依賴
風險取決于組織所處的內(nèi)部和外部環(huán)境以及組織所承擔的風險。需要特別指出的是，風險管理受人文因素的影響。
g）廣泛參與、充分溝通
組織的利益相關(guān)者之間的溝通，尤其是決策者在風險管理中適當、及時的參與，有助于保證風險管理的針對性和有效性。
利益相關(guān)者的廣泛參與有助于其觀點在風險管理過程中得到體現(xiàn)，其利益訴求在決定組織的風險偏好時得到充分考慮。利益相關(guān)者的廣泛參與要建立在對其權(quán)利和責任明確認可的基礎上。
利益相關(guān)者之間需要進行持續(xù)、雙向和及時的溝通，尤其是在重大風險事件和風險管理有效性等方面需要及時溝通。
h）持續(xù)改進
風險管理是適應環(huán)境變化的動態(tài)過程，其各步驟之間形成一個信息反饋的閉環(huán)。隨著內(nèi)部和外部事件的發(fā)生、組織環(huán)境和知識的改變以及監(jiān)督和檢查的執(zhí)行，有些風險可能會發(fā)生變化，一些新的風險可能會出現(xiàn)，另一些風險則可能消失。因此，組織應持續(xù)不斷地對各種變化保持敏感并做出恰當反應。組織通過績效測量、檢查和調(diào)整等手段，使風險得到持續(xù)改進。
5 風險管理過程
5.1概述
風險管理過程是組織管理的有機組成部分，嵌入在組織文化和實踐當中，貫穿于組織的經(jīng)營過程。風險管理過程由5.2到5.5所描述的活動組成，即明確環(huán)境信息、風險評估、風險應對、監(jiān)督和檢查，如圖1所示。其中，風險評估包括風險識別、風險分析和風險評價等三個步驟。
溝通和記錄，應貫穿于風險管理過程的各項活動中，5.6將對其進行詳細說明。
5.2明確環(huán)境信息
5.2.1概述
通過明確環(huán)境信息，組織可明確其風險管理的目標，確定與組織相關(guān)的內(nèi)部和外部參數(shù)，并設定風險管理的范圍和有關(guān)風險準則。
5.2.2外部環(huán)境信息
外部環(huán)境信息是組織在實現(xiàn)目標過程中所面臨的外部環(huán)境的歷史、現(xiàn)在和未來的各種相關(guān)信息。
為保證在制定風險準則時能充分考慮外部利益相關(guān)者的目標和關(guān)注點，組織需要了解外部環(huán)境信息。外部環(huán)境信息以組織所處的整體環(huán)境為基礎，包括法律和監(jiān)管要求、利益相關(guān)者的訴求和與具體風險管理過程相關(guān)的其他方面的信息等。
外部環(huán)境信息包括但不限于：
——國際、國內(nèi)、地區(qū)及當?shù)氐恼?、?jīng)濟、文化、法律、法規(guī)、技術(shù)、金融以及自然環(huán)境和競爭環(huán)境；
——影響組織目標實現(xiàn)的外部關(guān)鍵因素及其歷史和變化趨勢；
——外部利益相關(guān)者及其訴求、價值觀、風險承受度；
——外部利益相關(guān)者與組織的關(guān)系等。
5.2.3內(nèi)部環(huán)境信息
內(nèi)部環(huán)境信息是組織在實現(xiàn)目標過程中所面臨的內(nèi)在環(huán)境的歷史、現(xiàn)在和未來的各種相關(guān)信息。
風險管理過程要與組織的文化、經(jīng)營過程和結(jié)構(gòu)相適應，包括組織內(nèi)影響其風險管理的任何事物。組織需明確內(nèi)部環(huán)境信息，因為：
——風險可能會影響組織戰(zhàn)略、日常經(jīng)營或項目運營等各個方面，從而進一步會影響組織的價值、信用和承諾等；
——風險管理在組織的特定目標和管理條件下進行；
——具體活動的目標和有關(guān)準則應放到組織整體目標的環(huán)境中考慮；
內(nèi)部環(huán)境信息可包括：
——組織的方針、目標以及經(jīng)營戰(zhàn)略；
——資源和知識方面的能力（如資金、時間、人力、過程、系統(tǒng)和技術(shù)）;
——信息系統(tǒng)、信息流和決策過程（包括正式的和非正式的）;
——內(nèi)部利益相關(guān)者及其訴求，價值觀、風險承受度；
——采用的標準和模型；
——組織結(jié)構(gòu)（包括治理結(jié)構(gòu)、任何和責任等）、管理過程和措施；
——與風險管理實施過程有關(guān)的環(huán)境信息等。
其中，風險管理過程的環(huán)境信息根據(jù)組織的需要而改變，它包括但不限于：
——所開展的風險管理工作的范圍和目標，以及所需要的資源；
——風險管理過程的職責；
——應執(zhí)行的風險管理活動的深度和廣度；
——風險管理活動與組織其他活動之間的關(guān)系；
——風險評估的方法和使用的數(shù)據(jù)；
——風險管理績效的評價方法；
——需要制定的決策；
——風險準則等。
5.2.4 確定風險準則
風險準則是組織用于評價風險重要程度的標準。因此，風險準則需體現(xiàn)組織的風險承受度，應反映組織的價值觀、目標和資源。有些風險準則直接或間接反映了法律和法規(guī)要求或其他需要組織遵循的要求。風險準則應當與組織的風險管理方針一致。具體的風險準則應盡可能在風險管理過程開始時制定，并持續(xù)不斷地檢查和完善。
確定風險準則時要考慮以下因素：
——可能發(fā)生的后果的性質(zhì)、類型以及后果的度量；
——可能性的度量；
——可能性和后果的時限；
——風險的度量方法；
——風險等級的確定；
——利益相關(guān)者可接受的風險或可允許的風險等級；
——多種風險的組織的影響。
通過對以上因素及其他相關(guān)因素的關(guān)注，將有助于保證組織所采取的風險管理方法適合于組織現(xiàn)狀及其所面臨的風險。
5.3風險評估
5.3.1概述
風險評估包括風險識別、風險分析和風險評價三個步驟。
5.3.2風險識別
風險識別是通過識別風險源、影響范圍、事件及其原因和潛在的后果等，生存一個**的風險列表。識別風險不僅要考慮有關(guān)事件可能帶來的損失，也要考慮其中蘊含的機會。
進行風險識別時要掌握相關(guān)的和*新的信息，必要時，需包括適用的背景信息。除了識別可能發(fā)生的風險事件外，還要考慮其可能的原因和可能導致的后果，包括所有重要的原因和后果。不論風險事件的風險源是否在組織的控制之下，或其原因是否已知，都應對其進行識別。此外，要關(guān)注已經(jīng)發(fā)生的風險事件，特別是新近發(fā)生的風險事件。
識別風險需要所有相關(guān)人員的參與。組織所采取的風險識別工具和技術(shù)應當適合于其目標、能力及其所處環(huán)境。
5.3.3風險分析
風險分析根據(jù)風險類型、獲得的信息和風險評估結(jié)果的使用目的，對識別出的風險進行定性和定量的分析，為風險評價和風險應對提供支持。風險分析要考慮導致風險的原因和風險源、事件的正面和負面的后果及其發(fā)生的可能性、影響后果和可能性的因素、不同風險及其風險源的相關(guān)關(guān)系以及風險的其他特性，還要考慮現(xiàn)有的管理措施及其效果和效率。
在風險分析中，應考慮組織的風險承受度及其對前提和假設的敏感性，并適時與決策者和其他利益相關(guān)者有效地溝通。另外，還要考慮可能存在的專家觀點中的分歧及數(shù)據(jù)和模型的局限性。
根據(jù)風險分析的目的、獲得的信息數(shù)據(jù)和資源，風險分析可以是定性的、半定量的、定量的或以上方法的組合。一般情況下，首先采取定性分析，初步了解風險等級和揭示主要風險。適當時，進行更具體的定量的風險分析。
后果和可能性可通過專家意見確定，或通過對事件或事件組合的結(jié)果建模確定，也可通過對實驗研究或可獲得的數(shù)據(jù)的推導確定。對后果的描述可表達為有形或無形的影響，在某些情況下，可能需要多個指標來確切描述不同時間、地點、類別或情形的后果。
5.3.4風險評價
風險評價是將風險分析的結(jié)果與組織的風險準則比較，或者在各種風險的分析結(jié)果之間進行比較，確定風險等級，以及做出風險應對的決策。如果風險是新識別的風險，則應當制定相應的風險準則，以便評價該風險。
風險評價的結(jié)果應滿足風險應對的需要，否則，應作進一步分析。有時，根據(jù)已經(jīng)制定的風險準則，風險評價使組織做出維持現(xiàn)有的風險應對措施，不采取其他新的措施的決定。
5.4風險應對
5.4.1概述
風險應對是選擇并執(zhí)行一種或多種改變風險的措施，包括改變風險事件發(fā)生的可能性或后果的措施。風險應對決策應當考慮各種環(huán)境信息，包括內(nèi)部和外部利益相關(guān)者的風險承受度，以及法律、法規(guī)和其他方面的要求等。
風險應對措施的制訂和評估可能是一個遞進的過程。對于風險應對措施，應評估其剩余風險是否可以承受。如果剩余風險不可承受，應調(diào)整或制定新的風險應對措施，并評估新的風險應對措施的效果，直到剩余風險可能承受。執(zhí)行風險應對措施會引起組織風險的改變，需要跟蹤、監(jiān)督風險應對的效果和組織的有關(guān)環(huán)境信息，并對變化的風險進行評估，必要時重新制定風險應對措施。
可能的風險應對措施之間不一定相互排斥。一個風險應對措施也不一定在所有條件下都適合。風險應對措施可包括下列各項：
——決定停止或退出可能導致風險的活動以規(guī)避風險；
——增加風險或承擔新的風險以尋求機會；
——消除具有負面影響的風險源；
——改變風險事件發(fā)生的可能性的大小及其分布的性質(zhì)；
——改變風險事件發(fā)生的可能后果；
——轉(zhuǎn)移風險；
——分擔風險；
——保留風險等。
5.4.2風險應對措施
選擇適當?shù)娘L險應對措施時需考慮很多方面，比如：
——法律、法規(guī)、社會責任和環(huán)境保護等方面的要求；
——風險應對措施的實施成本與收益（有些風險可能需要組織考慮采取經(jīng)濟上看起來不合理的風險應對決策，例如可能帶來嚴重的負面后果但發(fā)生可能性低的風險事件）；
——選擇幾種應對措施，將其單獨或組合使用；
——利益相關(guān)者的訴求和價值觀，對風險的認知和承受度以及對某一些風險應對措施的偏好。
風險應對措施的實施過程中可能會失靈或無效。因此，要把監(jiān)督作為風險應對措施的實施計劃的有機組成部分，以保證應對措施持續(xù)有效。
風險應對措施可能引起次生風險，對次生風險也需要評估、應對、監(jiān)督和檢查。在原有的風險應對計劃中要加入這些次生風險的內(nèi)容，而不應將其作為新風險而獨立對待。為此需要識別并檢查原有風險與次生風險之間的聯(lián)系。但風險應對措施影響到組織內(nèi)部其他領(lǐng)域的或影響到其他利益相關(guān)者時，要評估這些影響，并與有關(guān)利益相關(guān)者溝通，必要時調(diào)整風險應對措施。
決策者和其他利益相關(guān)者應當清楚在采取風險應對措施后的剩余風險的性質(zhì)和程度。
5.4.3制定風險應對計劃
在選擇了風險應對措施之后，需要制定相應的風險應對計劃。風險應對計劃中應當包括以下信息：
——預期的收益；
——績效指標及其考核方法；
——風險管理責任人及實施風險應對措施的人員安排；
——風險應對措施涉及的具體業(yè)務和管理活動；
——選擇多種可能的風險應對措施時，實施風險應對措施的優(yōu)先次序；
——報告和監(jiān)督、檢查的要求；
——與適當?shù)睦嫦嚓P(guān)者的溝通安排；
——資源需要，包括應急機制的資源需求；
——執(zhí)行時間等；
風險應對計劃要與組織的管理過程整合。
5.5監(jiān)督和檢查
組織應明確界定監(jiān)督和檢查的責任。
監(jiān)督和檢查可能包括：
——監(jiān)測事件，分析變化及其趨勢并從中吸取教訓；
——發(fā)現(xiàn)內(nèi)部和外部環(huán)境信息的變化，包括風險本身的變化，可能導致的風險應對措施及其實施優(yōu)先次序的改變；
——監(jiān)督并記錄風險應對措施實施后的剩余風險，以便在適當時做進一步處理；
——適用時，對照風險應對計劃，檢查工作進度與計劃的偏差，保證風險應對措施的設計和執(zhí)行有效；
——報告關(guān)于風險、風險應對計劃的進度和風險管理方針的遵循情況；
——實施風險管理績效評估。
風險管理績效評估應被納入到組織的績效管理以及組織對內(nèi)、對外的報告體系之中。
監(jiān)督和檢查活動包括常規(guī)檢查、監(jiān)控已知的風險、定期或不定期檢查。定期或不定期檢查都應被列入風險應對計劃。
適當時，監(jiān)督和檢查的結(jié)果應當有記錄并對內(nèi)或?qū)ν鈭蟾妗?br> 5.6溝通和記錄
6.5.1溝通
組織在風險管理過程的每一個階段都應當與內(nèi)部和外部利益相關(guān)者有效溝通，以保證實施風險管理的責任人和利益相關(guān)者能夠理解組織風險管理決策的依據(jù)，以及需要采取某些行動的原因。
由于利益相關(guān)者的價值觀、訴求、假設、認知和關(guān)注點不同，其風險偏好也不同，并可能對決策有重要影響。因此，組織在決策過程中應當與利益相關(guān)者進行充分溝通，識別并記錄利益相關(guān)者的風險偏好。
5.6.2記錄
在風險管理過程中，記錄是實施和改進整個風險管理過程的基礎。
建立記錄應當考慮以下方面：
——出于管理的目的而重復使用信息的需要；
——進一步分析風險和調(diào)整風險應對措施的需要；
——風險管理活動的可追溯要求；
——溝通的需要；
——法律、法規(guī)和操作上對記錄的需要；
——組織本身持續(xù)學習的需要；
——建立和維護記錄所需的成本和工作量；
——獲取信息的方法、讀取信息的容易程度和儲存媒介；
——記錄保留期限；
——信息的敏感性。
6 風險管理的實施
6.1概述
組織實施風險管理過程（見第5章）需要一個風險管理體系，包括相關(guān)方針、組織結(jié)構(gòu)、工作程序、資源配置、信息溝通機制以及相關(guān)的技術(shù)手段等基礎設施，以便將風險管理嵌入到組織的各個層次和活動之中。在組織的不同層次和特定環(huán)境內(nèi)實施風險管理過程，風險管理體系幫助組織有效地管理風險。組織的風險管理體系可能由在各層次和特定環(huán)境內(nèi)實施風險管理過程的子體系構(gòu)成，如內(nèi)部控制體系等。風險管理體系應當保證風險管理過程中的風險信息的充分溝通，并且在相關(guān)的組織層次范圍內(nèi)作為決策和問責的依據(jù)使用。組織要在檢查的基礎上，做出如何改進風險管理體系、方針和風險應對計劃的決策，引導組織的風險管理和風險管理文化的改進。
風險管理體系的要素主要包括：
-——風險管理方針；
——適當?shù)闹贫群统绦?，使風險管理嵌入到組織的所有活動和過程中；
——與組織結(jié)構(gòu)相關(guān)的職責，以及有關(guān)的與組織的績效指標一致的風險管理績效指標；
——資源分配；
——與所有利益相關(guān)者溝通風險管理的機制；
——技術(shù)手段、方法、工具等。
6.2風險管理方針
風險管理方針應明確下列事項：
——組織的風險管理理念；
——組織的*高管理者對風險管理的承諾；
——組織的風險管理目標；
——組織的風險偏好；
——風險管理方針與組織的目標及其他方針之間的關(guān)系；
——風險管理的職責分配；
——管理風險的程序和方法；
——風險管理的資源配置；
——測量和報告風險管理績效的方式；
——建立風險管理體系的計劃；
——持續(xù)改進的承諾。
6.3風險管理工作程序
組織應當設計適當?shù)闹贫群托袨橐?guī)范，建立風險管理工作程序，特別是整個組織層面的風險管理計劃，以保證風險管理嵌入到組織的所有活動和過程之中，尤其是組織的戰(zhàn)略規(guī)劃、運營過程以及變革管理之中。
6.4風險管理相關(guān)組織結(jié)構(gòu)
組織可通過以下方法保證風險管理的責任認定和授權(quán)，從而能夠執(zhí)行風險管理過程，并保證風險管理的充分性和有效性：
——明確風險管理體系的制定、實施和維護人員的職責；
——明確執(zhí)行風險應對措施、維護風險管理體系和報告相關(guān)風險信息人員的職責；
——建立批準、授權(quán)制度；
——建立績效測量及相應的合適的獎勵、懲罰制度；
——建立對內(nèi)對外的報告機制等。
6.5風險管理的資源配置
組織需根據(jù)風險管理計劃制定可行的方法，為風險管理分配適當?shù)馁Y源。具體要考慮下列各項：
——人員、技術(shù)、經(jīng)驗和能力；
——風險管理過程每一階段所需要的資金及各種資源；
——數(shù)據(jù)記錄的過程和程序步驟；
——信息和知識管理系統(tǒng)。
6.6溝通和報告機制
6.6.1內(nèi)部溝通和報告機制
組織要建立內(nèi)部溝通和報告機制，以保證：
——風險管理體系的關(guān)鍵組成部分及其調(diào)整得到適當?shù)臏贤ǎ?br> ——在組織內(nèi)部充分報告風險應對計劃實施的效果和效率；
——在適當?shù)膶哟魏蜁r間提供風險管理的相關(guān)信息；
——建立與內(nèi)部利益相關(guān)者協(xié)商的程序。
內(nèi)部溝通和報告機制還包括在考慮到組織敏感程度的基礎上，適當整合從各內(nèi)部渠道得到的風險信息的程序。
6.6.2 外部溝通和報告機制
組織需建立與外部利益相關(guān)者溝通的機制。這種機制應當保證：
——組織的對外報告符合法律、法規(guī)和公司治理要求；
——組織與外部利益相關(guān)者保持有效的信息溝通；
——在外部利益相關(guān)者中建立對組織的信心；
——在發(fā)生突發(fā)事件、危機和緊急狀況時與利益相關(guān)者溝通。
——為組織提供外部利益相關(guān)者的報告和反饋。