風(fēng)險管理 原則與實施指南

 
1 范圍
本標(biāo)準(zhǔn)提供了風(fēng)險管理的原則和通用的實施指南。
本標(biāo)準(zhǔn)適用于各種類型和規(guī)模的組織，適用于組織的全生命周期及其各階段，也適用于組織的各種活動，包括流程管理、職能行為、項目管理以及與產(chǎn)品、服務(wù)、資產(chǎn)、運作和決策等有關(guān)的各項活動。
本標(biāo)準(zhǔn)提供實施風(fēng)險管理的通用指南，但風(fēng)險管理的具體實施取決于組織的實際需要和具體實踐。
2 規(guī)范性引用文件
下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而鼓勵根據(jù)本標(biāo)準(zhǔn)達成協(xié)議的各方研究是否可使用這些文件的*新版本。凡是不注日期的引用文件，其*新版本適用于本標(biāo)準(zhǔn)。
GB/T23694  風(fēng)險管理 術(shù)語。
3 術(shù)語和定義
GB/T23694確定的術(shù)語和定義適用于本標(biāo)準(zhǔn)。
4 風(fēng)險管理原則
為有效管理風(fēng)險，組織在實施風(fēng)險管理時，可遵循下列原則；
    a)控制損失，創(chuàng)造價值
以控制損失、創(chuàng)造價值為目標(biāo)的風(fēng)險管理，有助于組織實現(xiàn)目標(biāo)、取得具體可見的成績和改善各方面的業(yè)績，包括人員健康和**、合規(guī)經(jīng)營、信用程度、社會認(rèn)可、環(huán)境保護、財務(wù)績效、產(chǎn)品質(zhì)量、運營效率和公司治理等方面。
b)融入組織管理過程
風(fēng)險管理不是獨立于組織主要活動和各項管理過程的單獨的活動，而是組織管理過程不可缺少的重要組成部分。
c)支持決策過程
組織的所有決策都應(yīng)考慮風(fēng)險和風(fēng)險管理。風(fēng)險管理旨在將風(fēng)險控制在組織可接受的范圍內(nèi)，有助于判斷風(fēng)險應(yīng)對是否充分、有效,有助于決定行動優(yōu)先順序并選擇可行的行動方案，從而幫助決策者做出合理的決策。
d)應(yīng)用系統(tǒng)的、結(jié)構(gòu)化的方法
系統(tǒng)的、結(jié)構(gòu)化的方法有助于風(fēng)險管理效率的提升，并產(chǎn)生一致、可比、可靠的結(jié)果。
e）以信息為基礎(chǔ)
風(fēng)險管理過程要以有效的信息為基礎(chǔ)。這些信息可通過經(jīng)驗、反饋、觀察、預(yù)測和專家判斷等多種渠道獲取，但使用時要考慮數(shù)據(jù)、模型和專家意見的局限性。
f）環(huán)境依賴
風(fēng)險取決于組織所處的內(nèi)部和外部環(huán)境以及組織所承擔(dān)的風(fēng)險。需要特別指出的是，風(fēng)險管理受人文因素的影響。
g）廣泛參與、充分溝通
組織的利益相關(guān)者之間的溝通，尤其是決策者在風(fēng)險管理中適當(dāng)、及時的參與，有助于保證風(fēng)險管理的針對性和有效性。
利益相關(guān)者的廣泛參與有助于其觀點在風(fēng)險管理過程中得到體現(xiàn)，其利益訴求在決定組織的風(fēng)險偏好時得到充分考慮。利益相關(guān)者的廣泛參與要建立在對其權(quán)利和責(zé)任明確認(rèn)可的基礎(chǔ)上。
利益相關(guān)者之間需要進行持續(xù)、雙向和及時的溝通，尤其是在重大風(fēng)險事件和風(fēng)險管理有效性等方面需要及時溝通。
h）持續(xù)改進
風(fēng)險管理是適應(yīng)環(huán)境變化的動態(tài)過程，其各步驟之間形成一個信息反饋的閉環(huán)。隨著內(nèi)部和外部事件的發(fā)生、組織環(huán)境和知識的改變以及監(jiān)督和檢查的執(zhí)行，有些風(fēng)險可能會發(fā)生變化，一些新的風(fēng)險可能會出現(xiàn)，另一些風(fēng)險則可能消失。因此，組織應(yīng)持續(xù)不斷地對各種變化保持敏感并做出恰當(dāng)反應(yīng)。組織通過績效測量、檢查和調(diào)整等手段，使風(fēng)險得到持續(xù)改進。
5 風(fēng)險管理過程
5.1概述
風(fēng)險管理過程是組織管理的有機組成部分，嵌入在組織文化和實踐當(dāng)中，貫穿于組織的經(jīng)營過程。風(fēng)險管理過程由5.2到5.5所描述的活動組成，即明確環(huán)境信息、風(fēng)險評估、風(fēng)險應(yīng)對、監(jiān)督和檢查，如圖1所示。其中，風(fēng)險評估包括風(fēng)險識別、風(fēng)險分析和風(fēng)險評價等三個步驟。
溝通和記錄，應(yīng)貫穿于風(fēng)險管理過程的各項活動中，5.6將對其進行詳細說明。
5.2明確環(huán)境信息
5.2.1概述
通過明確環(huán)境信息，組織可明確其風(fēng)險管理的目標(biāo)，確定與組織相關(guān)的內(nèi)部和外部參數(shù)，并設(shè)定風(fēng)險管理的范圍和有關(guān)風(fēng)險準(zhǔn)則。
5.2.2外部環(huán)境信息
外部環(huán)境信息是組織在實現(xiàn)目標(biāo)過程中所面臨的外部環(huán)境的歷史、現(xiàn)在和未來的各種相關(guān)信息。
為保證在制定風(fēng)險準(zhǔn)則時能充分考慮外部利益相關(guān)者的目標(biāo)和關(guān)注點，組織需要了解外部環(huán)境信息。外部環(huán)境信息以組織所處的整體環(huán)境為基礎(chǔ)，包括法律和監(jiān)管要求、利益相關(guān)者的訴求和與具體風(fēng)險管理過程相關(guān)的其他方面的信息等。
外部環(huán)境信息包括但不限于：
——國際、國內(nèi)、地區(qū)及當(dāng)?shù)氐恼巍⒔?jīng)濟、文化、法律、法規(guī)、技術(shù)、金融以及自然環(huán)境和競爭環(huán)境；
——影響組織目標(biāo)實現(xiàn)的外部關(guān)鍵因素及其歷史和變化趨勢；
——外部利益相關(guān)者及其訴求、價值觀、風(fēng)險承受度；
——外部利益相關(guān)者與組織的關(guān)系等。
5.2.3內(nèi)部環(huán)境信息
內(nèi)部環(huán)境信息是組織在實現(xiàn)目標(biāo)過程中所面臨的內(nèi)在環(huán)境的歷史、現(xiàn)在和未來的各種相關(guān)信息。
風(fēng)險管理過程要與組織的文化、經(jīng)營過程和結(jié)構(gòu)相適應(yīng)，包括組織內(nèi)影響其風(fēng)險管理的任何事物。組織需明確內(nèi)部環(huán)境信息，因為：
——風(fēng)險可能會影響組織戰(zhàn)略、日常經(jīng)營或項目運營等各個方面，從而進一步會影響組織的價值、信用和承諾等；
——風(fēng)險管理在組織的特定目標(biāo)和管理條件下進行；
——具體活動的目標(biāo)和有關(guān)準(zhǔn)則應(yīng)放到組織整體目標(biāo)的環(huán)境中考慮；
內(nèi)部環(huán)境信息可包括：
——組織的方針、目標(biāo)以及經(jīng)營戰(zhàn)略；
——資源和知識方面的能力（如資金、時間、人力、過程、系統(tǒng)和技術(shù)）;
——信息系統(tǒng)、信息流和決策過程（包括正式的和非正式的）;
——內(nèi)部利益相關(guān)者及其訴求，價值觀、風(fēng)險承受度；
——采用的標(biāo)準(zhǔn)和模型；
——組織結(jié)構(gòu)（包括治理結(jié)構(gòu)、任何和責(zé)任等）、管理過程和措施；
——與風(fēng)險管理實施過程有關(guān)的環(huán)境信息等。
其中，風(fēng)險管理過程的環(huán)境信息根據(jù)組織的需要而改變，它包括但不限于：
——所開展的風(fēng)險管理工作的范圍和目標(biāo)，以及所需要的資源；
——風(fēng)險管理過程的職責(zé)；
——應(yīng)執(zhí)行的風(fēng)險管理活動的深度和廣度；
——風(fēng)險管理活動與組織其他活動之間的關(guān)系；
——風(fēng)險評估的方法和使用的數(shù)據(jù)；
——風(fēng)險管理績效的評價方法；
——需要制定的決策；
——風(fēng)險準(zhǔn)則等。
5.2.4 確定風(fēng)險準(zhǔn)則
風(fēng)險準(zhǔn)則是組織用于評價風(fēng)險重要程度的標(biāo)準(zhǔn)。因此，風(fēng)險準(zhǔn)則需體現(xiàn)組織的風(fēng)險承受度，應(yīng)反映組織的價值觀、目標(biāo)和資源。有些風(fēng)險準(zhǔn)則直接或間接反映了法律和法規(guī)要求或其他需要組織遵循的要求。風(fēng)險準(zhǔn)則應(yīng)當(dāng)與組織的風(fēng)險管理方針一致。具體的風(fēng)險準(zhǔn)則應(yīng)盡可能在風(fēng)險管理過程開始時制定，并持續(xù)不斷地檢查和完善。
確定風(fēng)險準(zhǔn)則時要考慮以下因素：
——可能發(fā)生的后果的性質(zhì)、類型以及后果的度量；
——可能性的度量；
——可能性和后果的時限；
——風(fēng)險的度量方法；
——風(fēng)險等級的確定；
——利益相關(guān)者可接受的風(fēng)險或可允許的風(fēng)險等級；
——多種風(fēng)險的組織的影響。
通過對以上因素及其他相關(guān)因素的關(guān)注，將有助于保證組織所采取的風(fēng)險管理方法適合于組織現(xiàn)狀及其所面臨的風(fēng)險。
5.3風(fēng)險評估
5.3.1概述
風(fēng)險評估包括風(fēng)險識別、風(fēng)險分析和風(fēng)險評價三個步驟。
5.3.2風(fēng)險識別
風(fēng)險識別是通過識別風(fēng)險源、影響范圍、事件及其原因和潛在的后果等，生存一個**的風(fēng)險列表。識別風(fēng)險不僅要考慮有關(guān)事件可能帶來的損失，也要考慮其中蘊含的機會。
進行風(fēng)險識別時要掌握相關(guān)的和*新的信息，必要時，需包括適用的背景信息。除了識別可能發(fā)生的風(fēng)險事件外，還要考慮其可能的原因和可能導(dǎo)致的后果，包括所有重要的原因和后果。不論風(fēng)險事件的風(fēng)險源是否在組織的控制之下，或其原因是否已知，都應(yīng)對其進行識別。此外，要關(guān)注已經(jīng)發(fā)生的風(fēng)險事件，特別是新近發(fā)生的風(fēng)險事件。
識別風(fēng)險需要所有相關(guān)人員的參與。組織所采取的風(fēng)險識別工具和技術(shù)應(yīng)當(dāng)適合于其目標(biāo)、能力及其所處環(huán)境。
5.3.3風(fēng)險分析
風(fēng)險分析根據(jù)風(fēng)險類型、獲得的信息和風(fēng)險評估結(jié)果的使用目的，對識別出的風(fēng)險進行定性和定量的分析，為風(fēng)險評價和風(fēng)險應(yīng)對提供支持。風(fēng)險分析要考慮導(dǎo)致風(fēng)險的原因和風(fēng)險源、事件的正面和負面的后果及其發(fā)生的可能性、影響后果和可能性的因素、不同風(fēng)險及其風(fēng)險源的相關(guān)關(guān)系以及風(fēng)險的其他特性，還要考慮現(xiàn)有的管理措施及其效果和效率。
在風(fēng)險分析中，應(yīng)考慮組織的風(fēng)險承受度及其對前提和假設(shè)的敏感性，并適時與決策者和其他利益相關(guān)者有效地溝通。另外，還要考慮可能存在的專家觀點中的分歧及數(shù)據(jù)和模型的局限性。
根據(jù)風(fēng)險分析的目的、獲得的信息數(shù)據(jù)和資源，風(fēng)險分析可以是定性的、半定量的、定量的或以上方法的組合。一般情況下，首先采取定性分析，初步了解風(fēng)險等級和揭示主要風(fēng)險。適當(dāng)時，進行更具體的定量的風(fēng)險分析。
后果和可能性可通過專家意見確定，或通過對事件或事件組合的結(jié)果建模確定，也可通過對實驗研究或可獲得的數(shù)據(jù)的推導(dǎo)確定。對后果的描述可表達為有形或無形的影響，在某些情況下，可能需要多個指標(biāo)來確切描述不同時間、地點、類別或情形的后果。
5.3.4風(fēng)險評價
風(fēng)險評價是將風(fēng)險分析的結(jié)果與組織的風(fēng)險準(zhǔn)則比較，或者在各種風(fēng)險的分析結(jié)果之間進行比較，確定風(fēng)險等級，以及做出風(fēng)險應(yīng)對的決策。如果風(fēng)險是新識別的風(fēng)險，則應(yīng)當(dāng)制定相應(yīng)的風(fēng)險準(zhǔn)則，以便評價該風(fēng)險。
風(fēng)險評價的結(jié)果應(yīng)滿足風(fēng)險應(yīng)對的需要，否則，應(yīng)作進一步分析。有時，根據(jù)已經(jīng)制定的風(fēng)險準(zhǔn)則，風(fēng)險評價使組織做出維持現(xiàn)有的風(fēng)險應(yīng)對措施，不采取其他新的措施的決定。
5.4風(fēng)險應(yīng)對
5.4.1概述
風(fēng)險應(yīng)對是選擇并執(zhí)行一種或多種改變風(fēng)險的措施，包括改變風(fēng)險事件發(fā)生的可能性或后果的措施。風(fēng)險應(yīng)對決策應(yīng)當(dāng)考慮各種環(huán)境信息，包括內(nèi)部和外部利益相關(guān)者的風(fēng)險承受度，以及法律、法規(guī)和其他方面的要求等。
風(fēng)險應(yīng)對措施的制訂和評估可能是一個遞進的過程。對于風(fēng)險應(yīng)對措施，應(yīng)評估其剩余風(fēng)險是否可以承受。如果剩余風(fēng)險不可承受，應(yīng)調(diào)整或制定新的風(fēng)險應(yīng)對措施，并評估新的風(fēng)險應(yīng)對措施的效果，直到剩余風(fēng)險可能承受。執(zhí)行風(fēng)險應(yīng)對措施會引起組織風(fēng)險的改變，需要跟蹤、監(jiān)督風(fēng)險應(yīng)對的效果和組織的有關(guān)環(huán)境信息，并對變化的風(fēng)險進行評估，必要時重新制定風(fēng)險應(yīng)對措施。
可能的風(fēng)險應(yīng)對措施之間不一定相互排斥。一個風(fēng)險應(yīng)對措施也不一定在所有條件下都適合。風(fēng)險應(yīng)對措施可包括下列各項：
——決定停止或退出可能導(dǎo)致風(fēng)險的活動以規(guī)避風(fēng)險；
——增加風(fēng)險或承擔(dān)新的風(fēng)險以尋求機會；
——消除具有負面影響的風(fēng)險源；
——改變風(fēng)險事件發(fā)生的可能性的大小及其分布的性質(zhì)；
——改變風(fēng)險事件發(fā)生的可能后果；
——轉(zhuǎn)移風(fēng)險；
——分擔(dān)風(fēng)險；
——保留風(fēng)險等。
5.4.2風(fēng)險應(yīng)對措施
選擇適當(dāng)?shù)娘L(fēng)險應(yīng)對措施時需考慮很多方面，比如：
——法律、法規(guī)、社會責(zé)任和環(huán)境保護等方面的要求；
——風(fēng)險應(yīng)對措施的實施成本與收益（有些風(fēng)險可能需要組織考慮采取經(jīng)濟上看起來不合理的風(fēng)險應(yīng)對決策，例如可能帶來嚴(yán)重的負面后果但發(fā)生可能性低的風(fēng)險事件）；
——選擇幾種應(yīng)對措施，將其單獨或組合使用；
——利益相關(guān)者的訴求和價值觀，對風(fēng)險的認(rèn)知和承受度以及對某一些風(fēng)險應(yīng)對措施的偏好。
風(fēng)險應(yīng)對措施的實施過程中可能會失靈或無效。因此，要把監(jiān)督作為風(fēng)險應(yīng)對措施的實施計劃的有機組成部分，以保證應(yīng)對措施持續(xù)有效。
風(fēng)險應(yīng)對措施可能引起次生風(fēng)險，對次生風(fēng)險也需要評估、應(yīng)對、監(jiān)督和檢查。在原有的風(fēng)險應(yīng)對計劃中要加入這些次生風(fēng)險的內(nèi)容，而不應(yīng)將其作為新風(fēng)險而獨立對待。為此需要識別并檢查原有風(fēng)險與次生風(fēng)險之間的聯(lián)系。但風(fēng)險應(yīng)對措施影響到組織內(nèi)部其他領(lǐng)域的或影響到其他利益相關(guān)者時，要評估這些影響，并與有關(guān)利益相關(guān)者溝通，必要時調(diào)整風(fēng)險應(yīng)對措施。
決策者和其他利益相關(guān)者應(yīng)當(dāng)清楚在采取風(fēng)險應(yīng)對措施后的剩余風(fēng)險的性質(zhì)和程度。
5.4.3制定風(fēng)險應(yīng)對計劃
在選擇了風(fēng)險應(yīng)對措施之后，需要制定相應(yīng)的風(fēng)險應(yīng)對計劃。風(fēng)險應(yīng)對計劃中應(yīng)當(dāng)包括以下信息：
——預(yù)期的收益；
——績效指標(biāo)及其考核方法；
——風(fēng)險管理責(zé)任人及實施風(fēng)險應(yīng)對措施的人員安排；
——風(fēng)險應(yīng)對措施涉及的具體業(yè)務(wù)和管理活動；
——選擇多種可能的風(fēng)險應(yīng)對措施時，實施風(fēng)險應(yīng)對措施的優(yōu)先次序；
——報告和監(jiān)督、檢查的要求；
——與適當(dāng)?shù)睦嫦嚓P(guān)者的溝通安排；
——資源需要，包括應(yīng)急機制的資源需求；
——執(zhí)行時間等；
風(fēng)險應(yīng)對計劃要與組織的管理過程整合。
5.5監(jiān)督和檢查
組織應(yīng)明確界定監(jiān)督和檢查的責(zé)任。
監(jiān)督和檢查可能包括：
——監(jiān)測事件，分析變化及其趨勢并從中吸取教訓(xùn)；
——發(fā)現(xiàn)內(nèi)部和外部環(huán)境信息的變化，包括風(fēng)險本身的變化，可能導(dǎo)致的風(fēng)險應(yīng)對措施及其實施優(yōu)先次序的改變；
——監(jiān)督并記錄風(fēng)險應(yīng)對措施實施后的剩余風(fēng)險，以便在適當(dāng)時做進一步處理；
——適用時，對照風(fēng)險應(yīng)對計劃，檢查工作進度與計劃的偏差，保證風(fēng)險應(yīng)對措施的設(shè)計和執(zhí)行有效；
——報告關(guān)于風(fēng)險、風(fēng)險應(yīng)對計劃的進度和風(fēng)險管理方針的遵循情況；
——實施風(fēng)險管理績效評估。
風(fēng)險管理績效評估應(yīng)被納入到組織的績效管理以及組織對內(nèi)、對外的報告體系之中。
監(jiān)督和檢查活動包括常規(guī)檢查、監(jiān)控已知的風(fēng)險、定期或不定期檢查。定期或不定期檢查都應(yīng)被列入風(fēng)險應(yīng)對計劃。
適當(dāng)時，監(jiān)督和檢查的結(jié)果應(yīng)當(dāng)有記錄并對內(nèi)或?qū)ν鈭蟾妗?br> 5.6溝通和記錄
6.5.1溝通
組織在風(fēng)險管理過程的每一個階段都應(yīng)當(dāng)與內(nèi)部和外部利益相關(guān)者有效溝通，以保證實施風(fēng)險管理的責(zé)任人和利益相關(guān)者能夠理解組織風(fēng)險管理決策的依據(jù)，以及需要采取某些行動的原因。
由于利益相關(guān)者的價值觀、訴求、假設(shè)、認(rèn)知和關(guān)注點不同，其風(fēng)險偏好也不同，并可能對決策有重要影響。因此，組織在決策過程中應(yīng)當(dāng)與利益相關(guān)者進行充分溝通，識別并記錄利益相關(guān)者的風(fēng)險偏好。
5.6.2記錄
在風(fēng)險管理過程中，記錄是實施和改進整個風(fēng)險管理過程的基礎(chǔ)。
建立記錄應(yīng)當(dāng)考慮以下方面：
——出于管理的目的而重復(fù)使用信息的需要；
——進一步分析風(fēng)險和調(diào)整風(fēng)險應(yīng)對措施的需要；
——風(fēng)險管理活動的可追溯要求；
——溝通的需要；
——法律、法規(guī)和操作上對記錄的需要；
——組織本身持續(xù)學(xué)習(xí)的需要；
——建立和維護記錄所需的成本和工作量；
——獲取信息的方法、讀取信息的容易程度和儲存媒介；
——記錄保留期限；
——信息的敏感性。
6 風(fēng)險管理的實施
6.1概述
組織實施風(fēng)險管理過程（見第5章）需要一個風(fēng)險管理體系，包括相關(guān)方針、組織結(jié)構(gòu)、工作程序、資源配置、信息溝通機制以及相關(guān)的技術(shù)手段等基礎(chǔ)設(shè)施，以便將風(fēng)險管理嵌入到組織的各個層次和活動之中。在組織的不同層次和特定環(huán)境內(nèi)實施風(fēng)險管理過程，風(fēng)險管理體系幫助組織有效地管理風(fēng)險。組織的風(fēng)險管理體系可能由在各層次和特定環(huán)境內(nèi)實施風(fēng)險管理過程的子體系構(gòu)成，如內(nèi)部控制體系等。風(fēng)險管理體系應(yīng)當(dāng)保證風(fēng)險管理過程中的風(fēng)險信息的充分溝通，并且在相關(guān)的組織層次范圍內(nèi)作為決策和問責(zé)的依據(jù)使用。組織要在檢查的基礎(chǔ)上，做出如何改進風(fēng)險管理體系、方針和風(fēng)險應(yīng)對計劃的決策，引導(dǎo)組織的風(fēng)險管理和風(fēng)險管理文化的改進。
風(fēng)險管理體系的要素主要包括：
-——風(fēng)險管理方針；
——適當(dāng)?shù)闹贫群统绦?，使風(fēng)險管理嵌入到組織的所有活動和過程中；
——與組織結(jié)構(gòu)相關(guān)的職責(zé)，以及有關(guān)的與組織的績效指標(biāo)一致的風(fēng)險管理績效指標(biāo)；
——資源分配；
——與所有利益相關(guān)者溝通風(fēng)險管理的機制；
——技術(shù)手段、方法、工具等。
6.2風(fēng)險管理方針
風(fēng)險管理方針應(yīng)明確下列事項：
——組織的風(fēng)險管理理念；
——組織的*高管理者對風(fēng)險管理的承諾；
——組織的風(fēng)險管理目標(biāo)；
——組織的風(fēng)險偏好；
——風(fēng)險管理方針與組織的目標(biāo)及其他方針之間的關(guān)系；
——風(fēng)險管理的職責(zé)分配；
——管理風(fēng)險的程序和方法；
——風(fēng)險管理的資源配置；
——測量和報告風(fēng)險管理績效的方式；
——建立風(fēng)險管理體系的計劃；
——持續(xù)改進的承諾。
6.3風(fēng)險管理工作程序
組織應(yīng)當(dāng)設(shè)計適當(dāng)?shù)闹贫群托袨橐?guī)范，建立風(fēng)險管理工作程序，特別是整個組織層面的風(fēng)險管理計劃，以保證風(fēng)險管理嵌入到組織的所有活動和過程之中，尤其是組織的戰(zhàn)略規(guī)劃、運營過程以及變革管理之中。
6.4風(fēng)險管理相關(guān)組織結(jié)構(gòu)
組織可通過以下方法保證風(fēng)險管理的責(zé)任認(rèn)定和授權(quán)，從而能夠執(zhí)行風(fēng)險管理過程，并保證風(fēng)險管理的充分性和有效性：
——明確風(fēng)險管理體系的制定、實施和維護人員的職責(zé)；
——明確執(zhí)行風(fēng)險應(yīng)對措施、維護風(fēng)險管理體系和報告相關(guān)風(fēng)險信息人員的職責(zé)；
——建立批準(zhǔn)、授權(quán)制度；
——建立績效測量及相應(yīng)的合適的獎勵、懲罰制度；
——建立對內(nèi)對外的報告機制等。
6.5風(fēng)險管理的資源配置
組織需根據(jù)風(fēng)險管理計劃制定可行的方法，為風(fēng)險管理分配適當(dāng)?shù)馁Y源。具體要考慮下列各項：
——人員、技術(shù)、經(jīng)驗和能力；
——風(fēng)險管理過程每一階段所需要的資金及各種資源；
——數(shù)據(jù)記錄的過程和程序步驟；
——信息和知識管理系統(tǒng)。
6.6溝通和報告機制
6.6.1內(nèi)部溝通和報告機制
組織要建立內(nèi)部溝通和報告機制，以保證：
——風(fēng)險管理體系的關(guān)鍵組成部分及其調(diào)整得到適當(dāng)?shù)臏贤ǎ?br> ——在組織內(nèi)部充分報告風(fēng)險應(yīng)對計劃實施的效果和效率；
——在適當(dāng)?shù)膶哟魏蜁r間提供風(fēng)險管理的相關(guān)信息；
——建立與內(nèi)部利益相關(guān)者協(xié)商的程序。
內(nèi)部溝通和報告機制還包括在考慮到組織敏感程度的基礎(chǔ)上，適當(dāng)整合從各內(nèi)部渠道得到的風(fēng)險信息的程序。
6.6.2 外部溝通和報告機制
組織需建立與外部利益相關(guān)者溝通的機制。這種機制應(yīng)當(dāng)保證：
——組織的對外報告符合法律、法規(guī)和公司治理要求；
——組織與外部利益相關(guān)者保持有效的信息溝通；
——在外部利益相關(guān)者中建立對組織的信心；
——在發(fā)生突發(fā)事件、危機和緊急狀況時與利益相關(guān)者溝通。
——為組織提供外部利益相關(guān)者的報告和反饋。