IATF 16949中提到風(fēng)險管理的要求，更多的是風(fēng)險思維。今天帶大家全面了解一下風(fēng)險管理體系!

引      言

所有類型和規(guī)模的組織都面臨內(nèi)部和外部的、使組織不能確定是否及何時實現(xiàn)其目標的因素和影響。這種不確定性所具有的對組織目標的影響就是“風(fēng)險”。

組織的所有活動都涉及風(fēng)險。組織通過識別、分析和評定是否運用風(fēng)險處理修正風(fēng)險以滿足它們的風(fēng)險準則，來管理風(fēng)險。通過這個過程，它們與利益相關(guān)方進行溝通和協(xié)商，監(jiān)測和評審風(fēng)險，以及為確保不再進一步需求風(fēng)險處理而修正風(fēng)險的控制措施。本國際標準詳細描述了這一系統(tǒng)的和邏輯的過程。

盡管所有的組織在某種程度上都在管理風(fēng)險，本國際標準建立了一些為使風(fēng)險管理變得有效而需要滿足的原則。本國際標準建議，組織制定、實施和持續(xù)改進一個框架，其目的是將風(fēng)險管理過程整合到組織的整體治理、戰(zhàn)略和規(guī)劃、管理、報告過程、方針、價值觀和文化中。

風(fēng)險管理可以在組織多個領(lǐng)域和層次、任何時間，應(yīng)用到整個組織，以及具體職能、項目和活動。

盡管在過去一段時間在許多行業(yè)，為滿足不同的需要，已經(jīng)開展了風(fēng)險管理實踐，但在一個綜合框架內(nèi)采用一致性過程有助于確保在組織內(nèi)有效、有效率和結(jié)合性地管理風(fēng)險。本國際標準中所描述的通用方法提供了在任何范圍和狀況下，以系統(tǒng)、清晰、可靠的方式管理風(fēng)險的原則和指南。

每一個具體行業(yè)或風(fēng)險管理的應(yīng)用都產(chǎn)生了各自的需求、受眾、觀念和準則。因此，本國際標準的主要特點是將所包含“確定狀況”作為通用風(fēng)險管理過程開始的活動。確定狀況將捕獲組織的目標，組織所追求目標的環(huán)境，組織的利益相關(guān)方和風(fēng)險準則的多樣性，所有這些都將幫助揭示和評價風(fēng)險的性質(zhì)和復(fù)雜性。

本國際標準描述的風(fēng)險管理原則、框架和風(fēng)險管理過程之間的關(guān)系，如圖1所示。

當(dāng)依據(jù)本國際標準實施和保持風(fēng)險管理時，能夠使組織，例如：

—— 提高實現(xiàn)目標的可能性;

—— 鼓勵主動性管理;

—— 在整個組織意識到識別和處理風(fēng)險的需求;

—— 改進機會和威脅的識別能力;

—— 符合相關(guān)法律法規(guī)要求和國際規(guī)范;

—— 改進強制性和自愿性報告;

—— 改善治理;

—— 提高利益相關(guān)方的信心和信任;

—— 為決策和規(guī)劃建立可靠的根基;

—— 加強控制;

—— 有效地分配和利用風(fēng)險處理的資源;

—— 提高運營的效果和效率;

—— 增強健康安全績效，以及環(huán)境保護;

—— 改善損失預(yù)防和事件管理;

—— 減少損失;

—— 提高組織的學(xué)習(xí)能力

—— 提高組織的應(yīng)變能力

本國際標準旨在滿足眾多利益相關(guān)方的需求，包括：

a)負責(zé)制定組織風(fēng)險管理方針的人員;

b)負責(zé)確保在組織整體、或者某一特定區(qū)域、項目或者活動內(nèi)有效開展風(fēng)險管理的人員;

c)需要評定組織風(fēng)險管理有效性的人員;

d)整體或部分地實施風(fēng)險管理的標準、指南、程序和操作規(guī)范的開發(fā)者。

目前許多組織的管理實踐和過程包含了風(fēng)險管理的要素，許多組織針對特定類型的風(fēng)險或環(huán)境下已經(jīng)采用了正式的風(fēng)險管理過程。在這種情況下，組織可以決定對照本國際標準對其現(xiàn)有的實踐和過程開展嚴格的評審。

在本國際標準中，“風(fēng)險管理(risk management)”和“管理風(fēng)險(managing risk)”都在使用。在通常的術(shù)語意義上，“風(fēng)險管理(risk management)”涉及的有效管理風(fēng)險的構(gòu)架(原則，框架和過程)，而“管理風(fēng)險(managing risk)”指的是運用該架構(gòu)管理特定風(fēng)險。

圖表1 風(fēng)險管理原則、框架、過程之間的關(guān)系

風(fēng)險管理-原則和指南

1 范圍

本國際標準提供了風(fēng)險管理的原則和通用性指南。

本國際標準可用于任何公共、私有或公有企業(yè)、協(xié)會，團體或個體。因此，本國際標準不針對任何特定行業(yè)或部門。

注：為方便起見，本國際標準涉及的所有不同的用戶以通用術(shù)語“組織”稱謂。

本國際標準可用于整個組織的生命周期及廣泛的活動，包括戰(zhàn)略和決策、運營、過程、職能、項目、產(chǎn)品、服務(wù)和資產(chǎn)。

本國際標準可以應(yīng)用于任何類型的風(fēng)險，無論其性質(zhì)及是否有積極或消極的后果。

盡管本國際標準提供了風(fēng)險管理的通用性指南，但不宜針對組織促進風(fēng)險管理的統(tǒng)一性。風(fēng)險管理計劃和框架的設(shè)計和實施需要考慮到特定組織的不同需求、特定目標，狀況、結(jié)構(gòu)、運營、過程、職能、項目、產(chǎn)品、服務(wù)、或資產(chǎn)以及展開的具體實踐。

意在運用本國際標準來協(xié)調(diào)現(xiàn)有和將來標準的風(fēng)險管理過程。本標準提供了一個支持其他標準處理特定風(fēng)險和行業(yè)風(fēng)險的通用方法，而不是取代這些標準。

本國際標準不宜針對認證意圖。

2 術(shù)語和定義

下列術(shù)語和定義適用本標準。

2.1 風(fēng)險 risk

不確定性對目標的影響

注1：影響是與期待的偏差——積極和/或消極

注2：目標可以有不同方面(如財務(wù)、健康安全、以及環(huán)境目標)，可以體現(xiàn)在不同的層次(如戰(zhàn)略、組織范圍、項目、產(chǎn)品和過程)。

注3：風(fēng)險通常以潛在事件(2.19)和后果(2.20)，或它們的組合來描述。

注4：風(fēng)險通常以事件(包括環(huán)境的變化)后果和發(fā)生可能性(2.21)的組合來表達。

注5：不確定性是指，與事件和其后果或可能性的理解或知識相關(guān)的信息的缺陷的狀態(tài)，或不完整。

[ISO導(dǎo)則 73:2009. 定義1.1]

2.2 風(fēng)險管理 risk management

針對風(fēng)險指揮和控制組織的協(xié)調(diào)活動。

[ISO 導(dǎo)則 73:2009. 定義 2.1]

2.3 風(fēng)險管理框架 risk management framework

提供在組織內(nèi)設(shè)計、實施、監(jiān)測(2.28)、評審和持續(xù)改進風(fēng)險管理(2.2)的基本原則和組織安排的要素集合。

注1：基本原則包括管理風(fēng)險的方針、目標、指令和承諾。

注2：組織安排包括計劃、關(guān)系、責(zé)任、資源、過程和活動。

注3：風(fēng)險管理框架被嵌入到組織的整個戰(zhàn)略和運營的方針和實踐中

[ISO 導(dǎo)則 73:2009. 定義 2.1.1]

2.4 風(fēng)險管理方針 risk management policy

一個組織對風(fēng)險管理的意圖和方向的陳述。

[ISO 導(dǎo)則73:2009. 定義 2.1.2]

2.5 風(fēng)險態(tài)度 risk attitude

組織評價、最終追蹤、保留、消除或規(guī)避風(fēng)險的方法。

[ISO 導(dǎo)則 73:2009. 定義 3.7.1.1]

2.6 風(fēng)險管理計劃 risk management plan

在風(fēng)險管理框架內(nèi)規(guī)定用于風(fēng)險管理的方法、管理要素、資源的方案。

注1：管理要素一般包括程序、慣例、職責(zé)分配、活動順序和時間安排。

注2：風(fēng)險管理計劃可應(yīng)用于特定的產(chǎn)品、過程和項目、組織的部分或整體。

[ISO 導(dǎo)則 73:2009. 定義2.1.3]

2.7 風(fēng)險所有者 risk owner

具有風(fēng)險管理權(quán)限和責(zé)任的個人或?qū)嶓w。

[ISO 導(dǎo)則 73:2009. 定義 3.5.1.4]

2.8 風(fēng)險管理過程 risk management process

管理方針、程序和慣例對溝通、協(xié)商、確定狀況、以及識別、分析、評價、處理、監(jiān)測和評審風(fēng)險活動的系統(tǒng)應(yīng)用。

[ISO 導(dǎo)則 73:2009. 定義 3.1]

2.9 確定狀況 establishing the context

界定外部和內(nèi)部參數(shù)，以便在管理風(fēng)險和設(shè)置風(fēng)險管理方針的范圍及風(fēng)險準則時，予以考慮。

[ISO 導(dǎo)則 73:2009. 定義 3.3.1]

2.10 外部狀況 external context

組織尋求實現(xiàn)其目標的外部環(huán)境。

注：外部環(huán)境可包括：

—— 文化、社會、政治、法律法規(guī)、財政金融、技術(shù)、經(jīng)濟、自然和競爭環(huán)境，無論國際、國家、區(qū)域或地方

—— 對組織目標具有影響的主要驅(qū)動和趨勢。

—— 與外部利益相關(guān)方的關(guān)系和其感受和價值觀。

[ISO 導(dǎo)則 73:2009.定義 3.3.1.1]

2.11 內(nèi)部狀況 internal context

組織尋求實現(xiàn)其目標的外部環(huán)境。

注：內(nèi)部狀況可包括：

—— 治理、組織結(jié)構(gòu)、作用和責(zé)任;

—— 方針、目標、以及實現(xiàn)它們的戰(zhàn)略;

—— 以資源和知識來理解的能力(如資本、時間、人員、過程、系統(tǒng)和技術(shù));

—— 信息系統(tǒng)、信息流和決策過程(正式和非正式的);

—— 與內(nèi)部利益相關(guān)方的關(guān)系、以及他們的感受和價值觀;

—— 組織的文化;

—— 標準、指南和組織采用的模式;

—— 合同關(guān)系的形式和范圍

[ISO 導(dǎo)則 73:2009.定義 3.3.1.2]

2.12 溝通和協(xié)商 communication and consultation

組織針對風(fēng)險管理，提供、共享或獲取信息，與利益相關(guān)方進行對話的持續(xù)和反復(fù)的過程。

注1：信息涉及風(fēng)險管理的存在、性質(zhì)、形式、可能性、嚴重程度、評定、可接受性、處理。

注2：協(xié)商是組織與它的利益相關(guān)方，在做出決策或確定某一問題的方向前，針對問題雙向有事實依據(jù)的溝通的過程。協(xié)商是：

—— 通過影響力而非權(quán)力對決策施加影響;

—— 作為決策的輸入，而非加入決策。

[ISO 導(dǎo)則 73:2009. 定義 3.2.1]

2.13 利益相關(guān)方 stakeholder

可以影響、被影響、或者覺得自己會被決策或活動影響的個人或組織。

注：決策者可以是利益相關(guān)者。

[ISO 導(dǎo)則 73:2009. 定義 3.2.1.1]

2.14 風(fēng)險評價 risk assessment

風(fēng)險識別(2.15)、風(fēng)險分析(2.21)和風(fēng)險評定(2.24)的整個過程。

[ISO 導(dǎo)則 73:2009. 定義 3.4.1]

2.15 風(fēng)險識別 risk identification

發(fā)現(xiàn)、認識、描述風(fēng)險的過程。

注1：風(fēng)險識別包括風(fēng)險源(2.16)、事件(2.17)、它們的起因及潛在后果的確定。

注2：風(fēng)險識別會涉及歷史數(shù)據(jù)、技術(shù)分析、有事實依據(jù)的和專家的觀點、以及利益相關(guān)方的需求。

[ISO 導(dǎo)則 73:2009. 定義 3.5.1]

2.16 風(fēng)險源 risk source

單獨地或以結(jié)合的形式具有產(chǎn)生風(fēng)險的內(nèi)在可能性的因素。

注：一個風(fēng)險源可以是有形的或者無形的。

[ISO 導(dǎo)則 73:2009.定義 3.5.1.1]

2.17 事件 event

特殊系列環(huán)境的產(chǎn)生或變化。

注1：.一個事件可以是一個或多個事變，會有多種原因。

注2：事件可以由一些不發(fā)生的事情構(gòu)成。

注3：事件有時被稱作“事件(incident)”或“事故(accident)”。

注4：.沒有后果的事件可以被稱作“near miss”、“incident”、“near hit” 、 “close call”。

[ISO 導(dǎo)則 73:2009. 定義 3.5.1.2]

2.18 后果 consequence

事件對目標的影響結(jié)果。

注1：一個事件可以產(chǎn)生一系列的后果。

注2：后果可以是確定或不確定的，以及對目標具有積極或消極的影響。

注3：后果可以被定性或定量地表述。

注4：初步的后果通過連鎖效應(yīng)可以逐步升級。

[ISO 導(dǎo)則 73:2009. 定義 3.6.1.3]

2.19 可能性 likelihood

某事發(fā)生的機會。

注1：在風(fēng)險管理術(shù)語學(xué)中，“可能性”是指事情發(fā)生的機會，不論是明確的、測量的，還是客觀或主觀地、定性或定量地確定的，以及一般性或精確地描述(如在一定時段內(nèi)的可能性和頻率)。

注2：英文“likelihood”在一些語言中沒有直接對應(yīng)的等同詞，而同義詞“probability”經(jīng)常被使用。然而，在英文中，“probability”通常被狹義地理解為數(shù)學(xué)術(shù)語。因此，在風(fēng)險管理術(shù)語學(xué)中，“likelihood”以它在許多非英語國家語言中的“probability”所具有的同樣的廣泛理解來使用。

[ISO 導(dǎo)則 73:2009. 定義 3.6.1.1]

2.20 風(fēng)險狀況 risk profile

任何系列風(fēng)險(2.1)的描述。

注：該系列風(fēng)險可包含與整個組織、組織的部分或者其他特定部分相關(guān)聯(lián)的風(fēng)險。

[ISO Guide 73:2009. definition 3.8.2.5]

2.21 風(fēng)險分析 risk analysis

理解風(fēng)險(2.1)的性質(zhì)和確定風(fēng)險程度(2.23)的過程。

注1：風(fēng)險分析為風(fēng)險評定和風(fēng)險處理決策提供了基礎(chǔ)。

注2：風(fēng)險分析包括風(fēng)險估測。

[ISO 導(dǎo)則 73:2009. 定義 3.6.1]

2.22 風(fēng)險準則 risk criteria

評價風(fēng)險重要性的依據(jù)。

注1：.風(fēng)險準則基于組織的目標和內(nèi)外部狀況。

注2：風(fēng)險準則可出自于標準、法律、方針和其他要求。

[ISO 導(dǎo)則 73:2009. 定義 3.3.1.3]

2.23 風(fēng)險程度 risk level

以后果和可能性的組合表達的風(fēng)險的量或組合結(jié)果。

[ISO 導(dǎo)則 73:2009. 定義 3.6.1.8]

2.24 風(fēng)險評定 risk evaluation

將風(fēng)險分析的結(jié)果與風(fēng)險準則進行比較，以確定風(fēng)險和(或)其量是否可接受或可容許。

注：風(fēng)險評定有助于有關(guān)風(fēng)險處理的決策。

[ISO 導(dǎo)則 73:2009. 定義 3.7.1]

2.25 風(fēng)險處理 risk treatment

修正風(fēng)險的過程。

注1：風(fēng)險處理可包括：

—— 通過決定不啟動或停止產(chǎn)生風(fēng)險的活動而避免風(fēng)險。

—— 為了追求機會采取或增加風(fēng)險。

—— 消除風(fēng)險源。

—— 改變可能性。

—— 改變后果。

—— 與其他方面共同分擔(dān)風(fēng)險(包括合同、風(fēng)險融資)。

—— 通過有事實依據(jù)的決策保留風(fēng)險。

注2：對消極后果的風(fēng)險處理有時可以稱為“風(fēng)險減緩(risk mitigation)”、“風(fēng)險消除(risk eliminate)”、“風(fēng)險預(yù)防(risk prevention)”和“風(fēng)險減小(risk reduction)”。

注3：風(fēng)險處理可以產(chǎn)生新的風(fēng)險或修正已存在的風(fēng)險。

[ISO 導(dǎo)則 73:2009. 定義 3.8.1]

2.26 控制措施 control

修正風(fēng)險的措施。

注1：控制措施包括任何過程、方針、手段、慣例或其他修正風(fēng)險的措施。

注2：控制措施可能不總是產(chǎn)生預(yù)期或設(shè)想的修正效果。

[ISO 導(dǎo)則 73:2009. 定義 3.8.1.1]

2.27 殘留風(fēng)險 residual risk

風(fēng)險處理后余留下的風(fēng)險。

注1：殘留風(fēng)險可包括未識別的風(fēng)險。

注2：殘留風(fēng)險也可被認作“保留的風(fēng)險(retain risk)。

[ISO 導(dǎo)則 73:2009.定義3.8.1.6]

2.28 監(jiān)測 monitoring

不斷檢查、監(jiān)督、嚴格觀察或確定狀態(tài)，以識別所要求或期待的績效水平的變化。

注：監(jiān)測可應(yīng)用于風(fēng)險管理框架、風(fēng)險管理過程、風(fēng)險或控制措施。

[ISO 導(dǎo)則 73:2009. 定義 3.8.2.1]

2.29 評審 review

為達到所建立的目標，確定有關(guān)事務(wù)的適宜性、充分性和有效性所采取的活動。

注：評審可應(yīng)用于風(fēng)險管理框架、風(fēng)險管理過程、風(fēng)險或控制措施。

[ISO 導(dǎo)則73:2009. 定義3.8.2.2]

3 原則

為了風(fēng)險管理有效，組織宜在各個層次遵循以下原則。

a)風(fēng)險管理創(chuàng)造和保護價值

風(fēng)險管理有助于目標明確的實現(xiàn)和績效的改進，例如，在人員的健康安全、治安、法律法符合性、公眾接受性、環(huán)境保護、產(chǎn)品質(zhì)量、項目管理、運營效率、治理和聲譽方面。

b)風(fēng)險管理是整合在所有組織過程中的部分

風(fēng)險管理不是與組織的主要活動和過程分開的孤立活動。風(fēng)險管理是管理職責(zé)的部分和整合在所有組織過程中的部分，包括戰(zhàn)略規(guī)劃、所有項目、變更管理過程。

c)風(fēng)險管理支持決策

風(fēng)險管理可以幫助決策者做出明智的選擇、優(yōu)先的措施和辨別行動方向。

d)風(fēng)險管理明晰解決不確定問題

風(fēng)險管理明確地闡述不確定性、不確定性的性質(zhì)、以及如何加以解決。

e)風(fēng)險管理具備系統(tǒng)、結(jié)構(gòu)化和及時性

系統(tǒng)、及時和結(jié)構(gòu)化的風(fēng)險管理方法有助于提高效率和取得一致、可衡量和可靠的結(jié)果。

f)風(fēng)險管理基于最可用的信息

風(fēng)險管理過程的輸入基于信息源，如歷史數(shù)據(jù)、經(jīng)驗、利益相關(guān)方的反饋、觀察、預(yù)測和專家判斷。然而，決策者宜告誡自身和考慮，數(shù)據(jù)或所使用模型的局限性，或者專家之間分歧的可能性。

g)風(fēng)險管理是量體裁衣的

風(fēng)險管理是與組織的外部和內(nèi)部狀況及風(fēng)險狀況相匹配的。

h)風(fēng)險管理考慮人文因素

風(fēng)險管理認識到可以促進或阻礙組織目標實現(xiàn)的內(nèi)部和外部人員的能力、觀念和意圖。

i)風(fēng)險管理是透明和包容的

利益相關(guān)方、尤其是組織各層面的決策者適當(dāng)、及時的參與，確保了風(fēng)險管理保持相關(guān)和先進性。參與過程也允許利益相關(guān)方適當(dāng)?shù)匕l(fā)表意見，并將其觀點考慮到風(fēng)險準則的確定中。

j)風(fēng)險管理是動態(tài)、迭代和應(yīng)對變化的

風(fēng)險管理持續(xù)察覺和響應(yīng)變化。由于外部和內(nèi)部事件發(fā)生，狀況和知識在改變，風(fēng)險的監(jiān)測和評審在進行，新的風(fēng)險出現(xiàn)，一些風(fēng)險在改變，而另一些風(fēng)險消失了。

k)風(fēng)險管理實現(xiàn)組織的持續(xù)改進

組織宜制定和實施戰(zhàn)略，協(xié)同組織的其他方面共同改進風(fēng)險管理的成熟度。

附件A為希望更有效地實施管理風(fēng)險的組織提供了進一步的建議。

4 框架

4.1 總則

風(fēng)險管理的成功取決于提供將風(fēng)險管理嵌入整個組織所有層次的基礎(chǔ)和安排的管理框架的有效性?？蚣苡兄谕ㄟ^在組織不同層次和特定狀況內(nèi)應(yīng)用風(fēng)險管理過程，有效地管理風(fēng)險。框架確保從風(fēng)險管理過程取得的風(fēng)險信息充分地被報告，以及作為決策和所有相關(guān)組織層次責(zé)任的基礎(chǔ)。

本條款描述了風(fēng)險管理框架的必要要素和其以迭代的方式相互作用的方法，如圖2.

圖2  風(fēng)險管理框架要素間的相互關(guān)系

本框架目的不是規(guī)定一個管理體系，而是有助于組織將風(fēng)險管理整合到它的整個管理體系中。因此，組織宜使框架的要素適用于其特定的需求。

如果組織現(xiàn)存的管理實踐和過程包含風(fēng)險管理要素，或者如果組織已經(jīng)針對特定的風(fēng)險或狀況采納了一個正式的風(fēng)險管理過程，那么對原有的這些實踐和過程宜針對本標準進行評審和評價，包括附錄A中包含的附加內(nèi)容，以確定它們的充分性和有效性。

4.2 指令和承諾

風(fēng)險管理的引入和確保它的持續(xù)有效需要組織管理著強有力和持續(xù)的承諾，以及為實現(xiàn)承諾在所有層次戰(zhàn)略的和嚴密的策劃。管理者宜：

確定和簽署風(fēng)險管理方針;

確保組織的文化和風(fēng)險管理方針一致;

確定與組織績效參數(shù)一致的風(fēng)險管理績效參數(shù);

使風(fēng)險管理目標與組織的目標和戰(zhàn)略一致;

確保法律法規(guī)的復(fù)合性;

在組織內(nèi)適當(dāng)?shù)膶哟畏峙湄?zé)任和職責(zé);

確保為風(fēng)險管理配置必要的資源;

將風(fēng)險管理的益處通報給所有的利益相關(guān)方;

確保風(fēng)險管理框架持續(xù)保持適宜。

4.3 風(fēng)險管理框架的設(shè)計

4.3.1 理解組織和其狀況

在開始設(shè)計和實施風(fēng)險管理框架前，評價和理解組織內(nèi)外部的狀況是重要的，因為這會對框架的設(shè)計產(chǎn)生顯著的影響。

評價組織外部狀況可以包括，但不限于：

a)社會和文化、政治、法律法規(guī)、財務(wù)、技術(shù)、經(jīng)濟、自然和競爭環(huán)境，無論國際、國內(nèi)、區(qū)

域和當(dāng)?shù)?

b)影響組織目標的動力和趨勢;

c)與外部利益相關(guān)方的關(guān)系，以及它們的感受和價值觀。

評價組織內(nèi)部狀況可以包括，但不限于：

—— 管理方法、組織結(jié)構(gòu)、作用和責(zé)任;

—— 方針、目標，以及為實現(xiàn)它們所制定的戰(zhàn)略;

—— 以資源和知識來理解的能力(例如，資本、時間、人員、過程、系統(tǒng)和技術(shù));

—— 信息系統(tǒng)、信息流和決策過程(正式和非正式的);

—— 與內(nèi)部利益相關(guān)方的關(guān)系，以及它們的感受和價值觀;

—— 組織的文化;

—— 被組織采用的標準、指南和模型;

—— 合同關(guān)系的形式和范圍。

4.3.2 建立風(fēng)險管理方針

風(fēng)險管理方針宜清楚闡明組織風(fēng)險管理的目標和承諾，特別要針對：

—— 組織管理風(fēng)險的基本原理;

—— 組織目標和方針與風(fēng)險管理方針的聯(lián)系;

—— 管理風(fēng)險的責(zé)任和職責(zé);

—— 處理利益沖突的方法;

—— 提供有助于管理風(fēng)險必要資源的承諾;

—— 風(fēng)險管理績效測量和報告的方法;

—— 對定期評審和改進風(fēng)險管理方針和框架，以及對事件和環(huán)境變化做出響應(yīng)的承諾。

風(fēng)險管理方針宜適當(dāng)?shù)販贤ā?/p>

4.3.3 責(zé)任

組織宜確保具備管理風(fēng)險的責(zé)任、權(quán)限和適當(dāng)?shù)哪芰Γ▽嵤┖捅３诛L(fēng)險管理過程和確保任何控制措施的充分性、有效性和效率。這可通過如下途徑來實現(xiàn)：

—— 確定有責(zé)任和權(quán)利管理風(fēng)險的風(fēng)險擁有者;

—— 確定負責(zé)建立、實施和保持風(fēng)險管理框架的人員;

—— 確定組織所有層次人員的風(fēng)險管理過程的其他職責(zé);

—— 建立績效測量和內(nèi)部和外部報告和逐級報告過程;

—— 確保確定的合適程度。

4.3.4 整合到組織的過程

風(fēng)險管理宜益相關(guān)、有效和有效率的方式嵌入到所有組織的實踐和過程中。風(fēng)險管理過程宜變成組織過程的部分，而不是分離的。特別是，風(fēng)險管理宜嵌入方針制定、商業(yè)和戰(zhàn)略策劃和評審和變更管理過程中。

宜具備一個組織的廣泛風(fēng)險管理計劃以確保風(fēng)險管理方針的實施和將風(fēng)險管理嵌入全部組織的實踐和過程中。風(fēng)險管理計劃可以整合到組織其他的計劃中，如戰(zhàn)略計劃。

4.3.5 資源

組織宜為風(fēng)險管理配置適當(dāng)?shù)馁Y源。

對如下方面宜予以考慮：

—— 人員、技能、經(jīng)驗和能力;

—— 對于風(fēng)險管理過程的每步驟所需的資源;

—— 用于管理風(fēng)險的組織的過程、方法和工具;

—— 形成文件的過程和程序;

—— 管理體系的信息和知識;

—— 培訓(xùn)方案。

4.3.6 建立內(nèi)部溝通和報告機制

組織宜建立內(nèi)部溝通和報告機制，用于支持和促進風(fēng)險的責(zé)任和歸屬。這些機制宜確保：

—— 風(fēng)險管理框架的關(guān)鍵要素和任何后續(xù)的更改被適當(dāng)?shù)販贤?

—— 對框架和其有效性及結(jié)果在內(nèi)部充分地予以報告;

—— 風(fēng)險管理的相關(guān)信息在適當(dāng)?shù)膶哟魏蜁r間予以獲得;

—— 與內(nèi)部利益相關(guān)方的協(xié)商過程被予以提供。

適當(dāng)時，這些機制宜包括基于多源頭強化風(fēng)險信息的過程，以及可能需要考慮信息的敏感性。

4.3.7 建立外部溝通和報告機制

組織宜制定和實施一個關(guān)于如何與外部利益相關(guān)方溝通的計劃。

這宜包括：

—— 吸引適當(dāng)?shù)耐獠坷嫦嚓P(guān)方的關(guān)注和確保有效的信息交流;

—— 對外報告法律法規(guī)和管理要求的遵守情況;

—— 對溝通和協(xié)商進行報告和反饋;

—— 運用溝通來建立組織的信心;

—— 向利益相關(guān)方溝通緊急或突發(fā)事件。

適當(dāng)時，這些機制宜包括基于多源頭強化風(fēng)險信息的過程，以及可能需要考慮信息的敏感性。

4.4 實施風(fēng)險管理

4.4.1 實施管理風(fēng)險的框架

在實施組織的管理風(fēng)險的框架時，組織宜：

—— 確定實施框架的適當(dāng)時間安排和策略;

—— 將風(fēng)險管理方針和過程應(yīng)用到組織的過程;

—— 遵守法律法規(guī)要求;

—— 確保決策，包括目標的制定和設(shè)立，與風(fēng)險管理過程輸出結(jié)果一致;

—— 舉行信息和培訓(xùn)會議;

—— 與利益相關(guān)方進行溝通和協(xié)商以確保其風(fēng)險管理框架保持正確;

4.4.2 實施風(fēng)險管理過程

風(fēng)險管理宜通過確保將第五章描述的風(fēng)險管理過程通過風(fēng)險管理計劃作為組織實踐和過程的一部分應(yīng)用到組織相關(guān)職能和層次。

4.5 框架的監(jiān)測和評審

為了確保風(fēng)險管理有效和持續(xù)改進組織的績效，組織宜：

—— 針對適當(dāng)定期評審的參數(shù)測量風(fēng)險管理績效;

—— 定期測量風(fēng)險管理計劃的進展和偏離;

—— 基于組織的內(nèi)部和外部狀況，定期評審風(fēng)險管理框架、方針和計劃是否仍然適宜;

—— 報告風(fēng)險、風(fēng)險管理計劃的進展和風(fēng)險管理方針如何較好地執(zhí)行;

—— 評審風(fēng)險管理框架的有效性。

4.6 框架的持續(xù)改進

基于監(jiān)測和評審結(jié)果，宜做出如何可以改進風(fēng)險管理框架、方針和計劃的決策。這些決策宜致使組織的風(fēng)險管理和風(fēng)險管理文化的改進。

5  過程

5.1 總則

風(fēng)險管理過程宜是：

—— 整合到管理中的的一部分;

—— 嵌入文化和實踐之中;

—— 針對組織的經(jīng)營過程制作。

它由5.2到5.6描述的活動組成。風(fēng)險管理過程如圖3.

圖表3-風(fēng)險管理過程

5.2 溝通和協(xié)商

與內(nèi)、外部利益相關(guān)方溝通和協(xié)商宜在風(fēng)險管理過程所有階段進行。

因此，溝通和協(xié)商計劃宜在早期制定。該計劃宜針對與風(fēng)險本身、風(fēng)險成因、風(fēng)險后果(如果掌握)以及處理風(fēng)險措施相關(guān)的問題。為確保實施風(fēng)險管理過程的職責(zé)明確，以及利益相關(guān)方理解決策的基礎(chǔ)和特定措施需求的原因，宜采取有效的外部和內(nèi)部溝通和協(xié)商。

協(xié)商團隊方法可以：

—— 適當(dāng)?shù)貛椭鞔_狀況;

—— 確保利益相關(guān)方的利益被理解和考慮;

—— 幫助確保風(fēng)險充分地被識別;

—— 將不同領(lǐng)域的專業(yè)知識一并用于分析風(fēng)險;

—— 確保在界定風(fēng)險準則和評定風(fēng)險時，不同的觀點被恰當(dāng)?shù)乜紤];

—— 確保認同和支持處理計劃;

—— 加強在風(fēng)險管理過程中的變更管理;

—— 制定一個恰當(dāng)?shù)膬?nèi)部和外部溝通和協(xié)商計劃。

與利益相關(guān)方的溝通協(xié)商是重要的，由于他們基于對風(fēng)險的感知，做出了對風(fēng)險的判斷。這些感知可以由于利益相關(guān)方的價值觀、需求、臆斷、概念和關(guān)注點的不同而變化。由于利益相關(guān)方的觀點會對決策產(chǎn)生重大影響，因此他們的感知以被識別、記錄、以及在決策過程中考慮。

溝通和協(xié)商宜提供真實的、相關(guān)的、準確的、便于理解的交流信息，同時宜考慮到保密和個人誠實因素。

5.3 明確狀況

5.3.1 總則

通過明確狀況，組織明確其目標，界定管理風(fēng)險要考慮的外部和內(nèi)部參數(shù)，確定風(fēng)險管理過程的范圍和風(fēng)險準則。盡管許多此類參數(shù)與風(fēng)險管理框架設(shè)計時所考慮的參數(shù)類似(參見4.3.1)，但在明確風(fēng)險管理過程的狀況時，這些參數(shù)需要細致地，特別是與特定風(fēng)險管理過程聯(lián)系起來考慮。

5.3.2 明確外部狀況

外部狀況是指組織尋求實現(xiàn)其目標的外部環(huán)境。

為了確保在建立風(fēng)險準則時，目標和外部利益相關(guān)方的關(guān)注點被予以考慮，理解外部狀況是重要的。它基于組織寬泛的狀況，但具備法律法規(guī)要求的具體細節(jié)、利益相關(guān)方的觀點、風(fēng)險管理過程范圍風(fēng)險的其他因素。

外部狀況可以包括，但不局限于：

—— 社會、文化、政治、法律法規(guī)、金融、技術(shù)、經(jīng)濟、自然和競爭環(huán)境，無論國際、國內(nèi)、區(qū)域，還是本地的;

—— 影響組織目標的主要動力和趨勢;

—— 與外部利益相關(guān)方的關(guān)系，外部利益相關(guān)方的觀點和價值觀。

5.3.3 明確內(nèi)部狀況

內(nèi)部狀況是指組織尋求實現(xiàn)其目標的內(nèi)部環(huán)境。

風(fēng)險管理過程宜與組織的文化、過程、結(jié)構(gòu)和戰(zhàn)略相一致。內(nèi)部狀況是組織內(nèi)能夠影響管理風(fēng)險方法的方面。內(nèi)部狀況宜明確，因為：

a)風(fēng)險管理是在組織的目標狀況下進行;

b)具體項目、過程或活動的目標和準則，宜依據(jù)組織的整體目標予以考慮;

c)一些組織未能意識到實現(xiàn)它們戰(zhàn)略、項目或經(jīng)營目標的機會，這影響了持續(xù)的組織承諾、信譽、誠信和價值觀。

理解內(nèi)部狀況是必要的，這可包括，但不僅限于：

—— 治理、組織結(jié)構(gòu)、作用和責(zé)任;

—— 方針、目標，為實現(xiàn)方針和目標制定的戰(zhàn)略;

—— 基于資源和知識理解的能力(如：資金、時間、人員、過程、系統(tǒng)和技術(shù));

—— 與內(nèi)部利益相關(guān)方的關(guān)系，內(nèi)部利益相關(guān)方的觀點和價值觀;

—— 組織的文化;

—— 信息系統(tǒng)、信息流和決策過程(正式與非正式);

—— 組織所采用的標準、指南和模式;

—— 合同關(guān)系的形式與范圍。

5.3.4明確風(fēng)險管理過程狀況

宜確立組織活動的目標、策略、范圍和參數(shù)，或風(fēng)險管理過程應(yīng)用到的組織的那些部分。風(fēng)險管理宜充分考慮滿足開展風(fēng)險管理的資源需求。所需的資源、職責(zé)、權(quán)限和要保存的記錄也宜予以規(guī)定。

風(fēng)險管理過程的狀況根據(jù)組織需求而變化。它可以包括，但不僅限于：

—— 確定風(fēng)險管理活動的目標;

—— 確定風(fēng)險管理過程的職責(zé);

—— 確定所要開展的風(fēng)險管理活動的范圍以及深度、廣度，包括具體的內(nèi)涵和外延;

—— 以時間和地點，界定活動、過程、職能、項目、產(chǎn)品、服務(wù)或資產(chǎn);

—— 界定組織特定項目、過程或活動與其他項目、過程或活動之間的關(guān)系;

—— 確定風(fēng)險評價的方法;

—— 確定評價風(fēng)險管理的績效和有效性的方法;

—— 識別和規(guī)定所必須要做出的決策;

—— 確定所需的范圍或框架性研究，它們的程度和目標，以及此種研究所需資源。

對這些和其他相關(guān)因素的關(guān)注，有助于確保所采用的風(fēng)險管理方法適合于環(huán)境、組織、以及影響目標實現(xiàn)的風(fēng)險。

5.3.5  確定風(fēng)險準則

組織宜確定用于評定風(fēng)險重要性的準則。該準則宜反映組織的價值觀、目標和資源。一些準則可以服從或引用法律法規(guī)要求或組織簽署的其他要求。風(fēng)險準則宜與組織風(fēng)險管理方針一致(見4.3.2)，在風(fēng)險管理過程開始時予以確定，并予以持續(xù)評審。

當(dāng)確定風(fēng)險準則時，要考慮的因素宜包括如下：

—— 可以出現(xiàn)的致因和后果的性質(zhì)和類別，以及如何予以測量;

—— 可能性如何確定;

—— 可能性和(或)后果的時間范圍;

—— 風(fēng)險程度如何確定;

—— 利益相關(guān)方的觀點;

—— 風(fēng)險可接受或可容許的程度;

—— 多種風(fēng)險的組合是否予以考慮，如果是，如何考慮及哪種風(fēng)險組合宜予以考慮。

5.4  風(fēng)險評價

5.4.1 總則

風(fēng)險評價是風(fēng)險識別、風(fēng)險分析和風(fēng)險評定的總的過程。

注：ISO/IEC 31010 提供了風(fēng)險評價技術(shù)指南。

5.4.2 風(fēng)險識別

組織宜識別風(fēng)險源、影響區(qū)域、事件(包括環(huán)境變化)以及致因和潛在后果。此步驟的目的是產(chǎn)生一個基于哪些可能產(chǎn)生、增強、阻礙、加快或推遲目標實現(xiàn)的事件的風(fēng)險的綜合表格。識別與不尋求機會相關(guān)的風(fēng)險是重要的。綜合識別是非常重要的，因為此階段沒有識別的風(fēng)險將不會包含在進一步的分析中。

識別宜包括其源是否在組織的控制下的風(fēng)險，即使風(fēng)險源或致因可能不明顯。風(fēng)險識別宜包括考查特定后果直接影響，包括聯(lián)鎖和累積影響。也要考慮寬范圍的后果，即使風(fēng)險源或致因可能不明顯。也要識別什么可能發(fā)生，考慮表明什么后果可以出現(xiàn)的可能致因和場景是必要的。所有重要的致因和后果宜予以考慮。

組織宜應(yīng)用適合其目標、能力及所面臨風(fēng)險的風(fēng)險識別工具和技術(shù)。在識別風(fēng)險時，相關(guān)和最新的信息是重要的。這宜包括可能的適當(dāng)背景信息。具有適當(dāng)知識的人員宜參與到識別風(fēng)險中。

5.4.3 風(fēng)險分析

風(fēng)險分析涉及開展風(fēng)險的理解。風(fēng)險分析為風(fēng)險評定和確定風(fēng)險是否需要處理以及最適合的風(fēng)險處理策略和方法，提供了輸入。風(fēng)險分析也可以為必須做出選擇及選擇涉及不同類型和程度的風(fēng)險的決策，提供輸入。

風(fēng)險分析包括考慮風(fēng)險的致因和來源，以及所帶來的正面和負面的后果及這些后果發(fā)生的可能性。影響后果的因素和可能性宜被識別。通過確定后果和其可能性、以及其他風(fēng)險特性，來進行風(fēng)險分析。一個事件可以有多種結(jié)果并可以影響多重目標?，F(xiàn)存的控制措施和其效果和效率也宜被考慮在內(nèi)。

后果和可能性的表述方式，以及它們組合確定風(fēng)險程度的方式，宜反映風(fēng)險類型、可獲得的信息、以及運用風(fēng)險評價輸出的意圖。這些全部都宜符合風(fēng)險準則?？紤]不同風(fēng)險和其源的相互依賴也是重要的。

風(fēng)險程度的確定和其前提和假設(shè)的敏感性的信心，宜在風(fēng)險分析中予以考慮，并有效溝通給決策者以及適當(dāng)?shù)睦嫦嚓P(guān)方。諸如專家間觀點的分歧、不確定性、可用性、質(zhì)量、數(shù)量、信息的持續(xù)相關(guān)性、或模型的局限性等因素，宜予以闡述和可以重點強調(diào)。

風(fēng)險分析可以在不同程度的細節(jié)上進行，這取決于風(fēng)險本身、分析目的、可用的信息、數(shù)據(jù)和來源。依據(jù)環(huán)境條件，分析可以定性的、半定量或定量的，也可以是組合的方式。

后果和其可能性可以通過模擬一個或一系列事件的結(jié)果，或由實驗研究或可用數(shù)據(jù)推斷確定。后果可基于有形和無形的影響表述。在某些情況下，一個以上的數(shù)值或描述，需要界定對于不同時間、地點、團體或狀況的后果和其可能性。

5.4.4 風(fēng)險評定

風(fēng)險評價的目的是，基于風(fēng)險分析的結(jié)果，幫助做出有關(guān)風(fēng)險需要處理和處理實施優(yōu)先的決策。

風(fēng)險評定包括將分析過程中確定的風(fēng)險程度與在明確狀況時建立的風(fēng)險準則進行比較?；谶@種比較，處理需求可予以考慮。

決策宜考慮更為寬泛風(fēng)險含義，包括考慮風(fēng)險獲益組織外的團體對風(fēng)險的容忍性。決策宜依據(jù)法律法規(guī)和其他要求做出。

在某些情況下，風(fēng)險評定可導(dǎo)致對決策的進一步分析。風(fēng)險評定也可導(dǎo)致，除了保持現(xiàn)存措施，不以任何方式處理風(fēng)險的決策。通過組織的風(fēng)險態(tài)度和已建立的風(fēng)險準則，對此決策施加影響。

5.5   風(fēng)險處理

5.5.1  總則

風(fēng)險處理包括選擇一種或幾種修正風(fēng)險的方案，以及實施那些方案。一旦實施了方案，處理提供或改進了控制措施。

風(fēng)險處理包括了一個循環(huán)過程：

—— 評價風(fēng)險處理;

—— 確定殘留風(fēng)險程度是否可容許;

—— 如果不可容許，產(chǎn)生新的風(fēng)險處理;

—— 評價該處理的有效性。

風(fēng)險處理方案不必互相排斥或適宜所有情況。方案可以包括以下內(nèi)容:

a)通過決定不開展或停止產(chǎn)生風(fēng)險的活動，來規(guī)避風(fēng)險;

b)為尋求機會，接受或提高風(fēng)險;

c)消除風(fēng)險源;

d)改變可能性;

e)改變后果;

f)與另一方或多方共擔(dān)風(fēng)險(包括合約和風(fēng)險融資);

g)通過有事實依據(jù)的決策，保留風(fēng)險。

5.5.2  選擇風(fēng)險處理方案

選擇最合適的風(fēng)險處理方案包括，針對以法律法規(guī)和諸如社會責(zé)任和自然環(huán)境保護的其他要求所獲得的利益，平衡成本和實施的工作量。決策也宜考慮可以批準在經(jīng)濟層面上不合理的風(fēng)險處理的風(fēng)險，例如，嚴重的(高負面后果)但稀少(低可能性)的風(fēng)險。

一些方案是可以單獨或綜合考慮或應(yīng)用。組織一般可以從綜合方案的采用獲益。

當(dāng)選擇風(fēng)險處理方案時，組織宜考慮利益相關(guān)方的價值觀和觀點，以及與他們溝通最適合的方法。如果風(fēng)險處理方案可以影響組織別處的風(fēng)險或與利益相關(guān)方關(guān)聯(lián)的風(fēng)險，這宜包含在決策中。盡管同樣有效，有些風(fēng)險處理可以比其他一些更讓一些利益相關(guān)方接受。

風(fēng)險處理計劃宜清晰確定每個風(fēng)險處理宜實施的優(yōu)先順序。

風(fēng)險處理自身會引入風(fēng)險。重要風(fēng)險會是風(fēng)險處理措施的故障或失效。監(jiān)測需要成為風(fēng)險處理計劃的整合部分和給出措施持續(xù)有效的保證。

風(fēng)險處理也可引入需要評價、處理、監(jiān)測和評審的次級風(fēng)險。宜將這些次級風(fēng)險結(jié)合到與原始風(fēng)險同樣的處理計劃中，而不是作為新的風(fēng)險處理。兩種風(fēng)險的聯(lián)系宜確定和保持。

5.5.3 準備和實施風(fēng)險處理計劃

風(fēng)險處理計劃的目的是將如何實施已選擇的處理措施形成文件。將要實施的風(fēng)險處理方案。處理計劃中提供的信息宜包括：

—— 選擇風(fēng)險處理措施的原因，包括所期待獲得的效益;

—— 負責(zé)改進和實施計劃的人員;

—— 建議的措施;

—— 資源需求，包括緊急情況時;

—— 績效測量和控制;

—— 匯報及監(jiān)測要求;

—— 時間和日程安排。

處理計劃宜組織管理過程整合并與適當(dāng)?shù)睦嫦嚓P(guān)方討論。

決策者和其他利益相關(guān)方宜意識到風(fēng)險處理后殘留風(fēng)險的性質(zhì)和程度。殘留風(fēng)險宜形成文件并進行監(jiān)測、評審，適當(dāng)時，進一步處理。

5.6 監(jiān)測和評審

監(jiān)測和評審都宜是風(fēng)險管理過程的已計劃的部分，包含常規(guī)檢查或監(jiān)督?？梢远ㄆ诨虿欢ㄆ凇?/p>

監(jiān)測和評審的職責(zé)宜明確界定。

組織的監(jiān)測和評審過程宜包含風(fēng)險管理過程的所有方面，目的是：

—— 確保控制措施在設(shè)計和運行上有效和有效率;

—— 獲得進一步改進風(fēng)險評價的信息;

—— 從事件(包括“near-miss)、變化、趨勢、成功和失敗中分析和吸取教訓(xùn);

—— 探測內(nèi)外部狀況的變化，包括風(fēng)險準則的變化和會需要修正風(fēng)險處理和優(yōu)先的風(fēng)險自身;

—— 識別出現(xiàn)的風(fēng)險。

在實施風(fēng)險處理計劃的進程中需要績效測量?？蓪⒔Y(jié)果融入組織整體績效管理、測量和外部和內(nèi)部報告活動中。

監(jiān)測和評審的結(jié)果宜予以記錄和在內(nèi)外部適當(dāng)?shù)貓蟾?，也可用作風(fēng)險管理框架評審的輸入(見4.5)。

5.7 記錄風(fēng)險管理過程

風(fēng)險管理活動宜可追溯。在風(fēng)險管理過程及整體過程中，記錄提供了方法和工具改進的基礎(chǔ)。

關(guān)于記錄的建立的決定宜考慮：

—— 組織持續(xù)學(xué)習(xí)的需求;

—— 出于管理意圖，重新使用信息益處;

—— 涉及建立和保持記錄的成本和工作量;

—— 對記錄的法律法規(guī)和運行需求;

—— 獲取的方法、檢索的難易和儲存媒介;

—— 保存期限;

—— 信息的敏感性。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202208/ccaa_40612.html