《CCAA继续教育 风险管理讲义.doc》由会员分享,可在线阅读,更多相关《CCAA继续教育 风险管理讲义.doc(29页珍藏版)》请在三一办公上搜索。
1、风险管理内容提要第一章 风险管理概述第二章 术语和定义第三章 风险管理原则第四章 风险管理框架第五章 风险管理过程第 一 章 风险管理概述内容提要一、风险与风险管理二、风险管理的起源和发展三、我国的风险管理四、风险管理标准五、实施风险管理的目的和意义六、风险管理在认证领域中的应用一、 风险与风险管理所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素和影响。这种不确定性所具有的对组织目标的影响就是“风险”。风险管理是针对风险指挥和控制组织的协调活动。组织的所有活动都涉及风险。 组织通过识别、分析和评定是否运用风险处理修正风险以满足它们的风险准则,来管理风险。 通过这
2、个过程,它们与利益相关方进行沟通和协商,监测和评审风险,以及为确保不再进一步需求风险处理而修正风险的控制措施二、 风险管理的起源和发展20世纪30年代在美国开始萌芽 受当时世界性经济危机的影响,美国经济大萧条,约有40左右的银行和企业破产,为应对经营上的危机,美国许多大中型企业都在内部设立了保险管理部门,负责安排企业的各种保险项目,保险成为当时企业处理风险的主要方法。 20世纪50年代,风险管理在美国以学科的形式发展,并逐步形成了独立的理论体系。 1970年代以后逐渐掀起了全球性的风险管理运动。美国一些大公司的重大损失使公司高层决策者开始认识到风险管理的重要性。20世纪90年代开始随着国际资产
3、证券化、债券的风险进一步扩大,使风险管理更迅速地在国际推行。 欧美等国家先后建立起全国性和地区性的风险管理协会。 针对安然、世通等财务欺诈事件,美国国会出台了著名的2002年萨班斯奥克斯利法案来规范上市公司的行为 1983年美国风险和保险管理协会年会上,通过了“101条风险管理准则”,标志着风险管理发展进入了一个新阶段 欧洲11个国家成立了“欧洲风险管理委员会” 美国多家专业团体成立了“反虚假财务报告委员会”和著名的专门研究内部控制的委员会“COSO委员会” COSO著名报告内部控制-整体框架(1992)和COSO-ERM企业风险管理框架(2004),是风险管理的重要文献全面企业风险管理框架风
4、险管理正在从传统的“点对点”式的管理走向全面的、一体化的管理。国际较知名的国际会计准则委员会(IASC)、巴塞尔银行监管委员会(BASEL)、美国的COSO委员会研究、发展了一整套完整的全面企业风险管理框架。COSO全面风险管理(ERM)框架的定义: 企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理的保证。三、 我国的风险管理在我国,风险管理理论的发展及应用相对滞后,企业在风险管理上存在诸多问题:缺乏风险意识和策略,管理被动; 缺乏风险管理技术
5、、专业人才和资金; 战略上急于求成,应对变化能力不强,导致个别企业不能有效应对重大风险事件,在发展中承担了过多自身不可承受风险;国家对风险管理日益重视,2006年国务院国有资产监督管理委员会发布了中央企业全面风险管理指引对中央企业如何开展全面风险管理提出了明确要求;指导范围并不仅限于央企,对公司也同样具有普遍指导意义;指引的出台标志着我国有了自己的全面风险管理指导性文件,我国企业正向管理的更高阶段全面风险管理迈进。四、 风险管理标准国际大环境,促进了风险管理的标准化和国际化2004年澳洲和新西兰联合推出AZ/NZS 4360风险管理标准,是第一个国家级的风险管理标准,并为国际标准的出台奠定了基
6、础 风险管理的国际标准ISO31000为业界广为关注,ISO历时四年,从CD到DIS再到FDIS稿,不断完善标准,于2009年11月13日正式发布了ISO31000:2009 风管理原则和指南 该标准明确了风险管理的原则和指南为深入开展风险管理工作提供了理论基础2002年,我国已经依据ISO31000标准的DIS稿,颁布了国家标准GB/T24353 风险管理 原则与实施指南ISO的相关标准和指南ISO GUIDE 73 风险管理 词汇ISO31000 风险管理 原则和指南IEC/ISO31010 风险管理 风险评估技术ISO GUIDE 73 ISO GUIDE 73: 2009 风险管理 词
7、汇与风险有关的术语(1)与风险管理有关的术语(4)与风险管理过程有关的术语(45)ISO31000:2009ISO31000 2009 风险管理 原则和指南 1 范围 2 术语和定义(29) 3 风险管理原则(11) 4 风险管理框架 5 风险管理过程ISO31000:2009风险管理原则、框架和过程关系图ISO31000:2009ISO31000:2009 风险管理 原则和指南Risk management Principles and guideline提供了风险管理的原则和通用性指南。尽管所有的组织在某种程度上都在管理风险,ISO31000建立了一些为使风险管理变得有效而需要满足的原则。
8、ISO31000建议,组织制定、实施和持续改进一个框架,其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。 ISO31000:2009提供了在任何范围和状况下,以系统的、清晰可靠的方式管理风险的原则和通用指南。 尽管所有的组织在某种程度上都在管理风险,ISO31000建立了一些为使风险管理变得有效而需要满足的原则。 ISO31000建议,组织制定、实施和持续改进一个框架,其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。风险管理的每一个特定领域或应用都具有各自的需求、受众、观念和准则。因此,ISO31000
9、的主要特点是在通用的风险管理过程中将“明确环境”作为初始活动。 “明确环境”将捕获组织的目标,组织所追求目标的环境,组织的利益相关方和风险准则的多样性,所有这些都将帮助揭示和评价风险的性质和复杂性。IEC ISO31010 2009 风险管理 风险评估技术 1 范围 2 规范性引用文件 3 术语和定义 4 风险评估的相关概念. 5 风险评估过程. 6 风险评估技术的选择 附录A 风险评估技术的比较 附录B 风险评估技术国家标准(GB/T23694)GB/T23694 2009 风险管理 术语 idtISO GUIDE 73 2002 1 基础术语(8) 2 受风险影响的组织及个人的相关术语(4
10、) 3 与风险评估的相关术语(6) 4 与风险处理和风险控制相关的术语(11)风险管理过程 GB/T24353 2009 风险管理 原则与实施指南 1 范围 2 规范性引用文件 3 术语和定义(GB/T23694) 4 风险管理原则(8) 5 风险管理过程 6 风险管理的实施五、实施风险管理的目的风险管理的目的: 通过具有前瞻性的、充分地考虑各类风险的不确定性及其对目标的影响,制定行之有效的应对措施,为组织在运营和决策中有效应对各类突发事件和风险提供支持和保障,以使组织能有效的配置资源、优化过程,及时、恰当、有效地应对风险,提高风险应对的效率和效果,更好地实现组织的目标。 风险管理的意义: 1
11、)提高实现目标的可能性; 2)鼓励主动性管理; 3)在整个组织意识到识别和处理风险的需求; 4)改进对机会和威胁的识别; 5)遵守相关的法律法规要求及国际规范; 6)改进强制性和自愿性报告 7)改善治理 8)提高利益相关者的信心和信任;9)为决策和规划建立可靠的根基: 10)加强控制 11)有效地分配和使用风险处理资源; 12)提高运作的效果和效率 13)加强健康和安全绩效,以及环境保护 14)改善损失预防和事件管理; 15)减少损失; 16) 提高组织的学习能力; 17)增强组织的应变能力;六、风险管理在认证领域中的应用ISO31000中所描述的通用方法提供了在任何范围和背景下,以系统、清晰
12、、可靠的方式管理风险的原则和指南。作为管理方法论,其原则和指南可以应用到认证的各个领域 OHSAS18000标准包含了风险管理在职业健康安全专业领域的应用。 ISO22000标准包含了风险管理在食品安全专业领域的应用。 也适用于EMS和QMS中。 第 二 章 术语和定义1. 风险 risk不确定性对目标的影响 注1:影响是与期待的偏差积极和/或消极注2:目标可以有不同方面(如财务、健康安全、以及环境目 标),可以体现在不同的层次(如战略、组织范围、项 目、产品和过程)。注3:风险通常以潜在事件和后果,或它们的组合来描述。注4:风险通常以事件(包括环境的变化)后果和发生可能性 的组合来表达。注5
13、:不确定性是指,对事件、其后果或可能性的认识或了 解方面的信息的缺乏或不完整的状态。2.后果 consequence某一事件的结果。注1:某一事件可能会产生不止一种的后果。注2:后果可以是正面的负面的。然而,从安 全方面来看,后果往往都是负面的。注3:后果可以定性或定量表述。3.可能性:某一事发生的机会4.概率 probability某一事件发生的可能程度。注1:GB/T3358.1-1993 给出了一个关于“概率”的数学定 义,度量某一随机事件发生可能性大小的实数,其值 介于0与1之间,它可以用来指在一段相当长的时间内, 某一事件将要发生的频率,或者这一事件发生的可信 程度。对于高可信度来说
14、,概率接近“1”。注2:在描述风险时,常用“频率”一词而不是用“概率” 一词。注3:有关可能性的程度可以用不同的等级来表示: -极不可能/不大可能/可能/很可能/几乎确定;或者 -难以置信/不可能/可能性极小/偶尔/有可能/经常。5.事件 event特定情况的发生。注1:事件可能是确定的,也可能是不确定的。注2:事件可能是单一的,也可能是系列的。注3:对于给定时间内事件发生的概率可以估算出来确定的事件,是预知的,而不确定的事件,是没有预知的,但也是有可能发生的。事件可能是明显的,也可能是模糊的,其影响可能是正面的,也可能是负面的。6.风险管理 risk management指导和控制某一组织与
15、风险相关问题的协调活动。7.风险管理框架 risk management framework提供在组织内设计、实施、监测、评审和持续改进风险管理的基础和组织安排的要素集合。 注1:基础包括管理风险的方针、目标、指令和承诺 注2:组织安排包括计划、关系、责任、资源、过程 和活动。 注3:风险管理框架被嵌入到组织的整个战略和运营 的方针和实践中ISO31000:2009标准给出的风险管理框架8.风险管理方针 risk management policy一个组织对风险管理的意图和方向的陈述。9.风险管理计划 risk management plan在风险管理框架内规定用于风险管理的方法、管理要素、资
16、源的方案。 注1:管理要素一般包括程序、惯例、职责分配、活 动顺序和时间安排。 注2:风险管理计划可应用于特定的产品、过程和项 目、组织的部分或整体。10.风险管理过程 risk managementprocess管理方针、程序和惯例对沟通、协商、明确环境、以及识别、分析、评价、处理、监测和评审风险活动的系统应用。11.沟通和协商 communication and consultation 组织针对风险管理,提供、共享或获取信息,与利益相关者进行对话的持续和反复的过程。 注1:信息涉及风险管理的存在、性质、形式、可能 性、严重程度、评定、可接受性、处理。 注2:协商是组织与它的利益相关方,在
17、做出决策或 确定某一问题的方向前,针对问题双向有事实 依据的沟通的过程。协商是: 通过影响力而非权力对决策施加影响; 作为决策的输入,而非加入决策。12.利益相关者 stakeholder可以影响风险、受到风险影响或自认为会受到风险影响的任何个人、团体或组织。 注1:决策者也是利益相关者之一。 注2:术语“利益相关者”包括GB/T19000- 2008中定义的“相关方”。组织的利益相关者可以包括1)组织的决策者;2)组织内部负责制定风险管理政策的人员;3)组织或活动中实施风险管理的人员;4)需要对组织的风险管理实践进行评估的人员;5)组织中负责制定风险管理标准、指南、程序、 应用准则的人员;6
18、)股东、董事会、高级管理人员、员工、债权人、供应商、顾客、银行、监管机构、合作伙伴等. (见GB/T24353:2009前言部分)。13.风险感知 risk perception利益相关者根据其价值观或利害关 系看待风险的方式。 注1:风险感知取决于利益相关者的需要、关注点及知识。 注2:风险感知可能不同于客观数据。风险感知反映利益相关者的需求,问题、知识、信念和价值。利益相关者的需要及关注的问题不同,因而风险感知会有所不同。 风险感知会存在一定的主观判断,因而可能与客观数据有不同。14.明确环境 establishing the context界定外部和内部参数,以便在管理风险和设置风险管理
19、方针的范围及风险准则时,予以考虑。15.风险准则 risk criteria评价风险严重性(度)的依据。注:风险准则包括相关的成本及收益,法律法规要求,社会 及环境因素,利益相关者的态度,优先次序和在评估过 程中的其他要素。风险准则是组织用于评价风险重要度的标准,因此,风险 准则需体现组织的风险承受度,并反映组织的价值观、目 标和资源。风险评价准则会涉及到各个方面,如成本收益、法律法规、利益相关者态度等。风险准则也会直接或间接反映法律法规要求或其他需要组 织遵循的要求。准则也是使组织对接受风险做出决定的依据。16.风险评估 risk assessment包括风险识别、风险分析和风险评价在内的全
20、部过程。 17.风险识别 risk identification发现、列举和描述风险要素的过程18.风险描述 risk description风险的结构化描述通常包含四要素:来源、事件、因素和结果。19.风险源(来源)risk source导致风险的单独或组合的内在可能性的因素 注:风险源可能是有形的或者是无形的20.风险所有者 risk owner具有风险管理权限和责任的个人或实体。21.风险分析 risk analysis理解风险的性质和确定风险程度的过程。 注1:风险分析为风险评价和风险处理决策提供了 基础。 注2:风险分析包括风险估测。 22.风险评价 risk evaluation将
21、风险分析的结果与风险准则进行比较,以确定风险和(或)其量是否可接受或可容许。 注:风险评定有助于有关风险处理的决策。23.风险偏好 risk appetite一个组织愿意追求或保留风险的数量和类型。GB/T24353:2009 5.6.1 中提到这一词汇COSO指出:风险偏好是企业追求目标中愿意接受风险的程度指导企业的资源配置;24.风险承受 risk acceptance接受某一风险的决定。 注:风险承受取决于风险准则。任何规模和类型的组织都面临风险,组织的所有 活动都涉及风险。只是组织应通过确定风险准则,来决定对某一风险是否接受。组织的价值取向和能力不同,因而是否能接受某 一风险会有不同的
22、决定,这些决定会依据风险准 则的要求。25.风险处理 risk treatment修正风险的过程注1:风险处理可包括:通过决定不启动或停止产生风险的活动而避免风险。为了追求机会采取或增加风险。消除风险源。改变可能性。改变后果。与其他方面共同分担风险(包括合同、风险融资)。通过有事实依据的决策保留风险。注2:对消极后果的风险处理有时可以称为 “风险减缓(risk mitigation)”、 “风险消除(risk eliminate)”、 “风险预防(risk prevention)”和 “风险减小(risk reduction)”。注3:风险处理可以产生新的风险或修正已 存在的风险。26.风险规
23、避 risk transfer决定不陷入风险,或者从风险状 态中撤离的行为。 注:这个决定可能是以风险评价结果为依据的。在风险评价之后,风险管理者会发现某些风险发生损失的可 能性很大,或者一旦发生且损失的程度非常严重时,可以采 取主动放弃原来承担风险或完全拒绝承担该风险的实施行动, 就是对风险的规避。风险规避是一种主动的行为,但放弃风险同时也意味着收 益的丧失。27.风险融资 risk financing为实现风险处理及其他相关活动的费用提供资金的活动。 注:在某些行业中,风险融资特指对风险造成的财务后果提供资金。 组织在风险处理(风险规避、风险优化、风险转移、风险自留)过程中,需要支付一定的
24、费用,以实现管理风险或补偿损失,因而会采用各种方式融通资金。 融通资金是为风险管理对资金的筹措,也是风险的一种财务补偿机制。风险估计和风险评价是融资的主要数据依据。28.风险自留 risk retention接受某一特定风险带来的损失或收益。注1:风险自留包括接受那些没有得到识别的风险。注2:风险自留不包括运用保险或者其他方法进行 的风险转移的处理。注3:对风险的接受程度和对风险准则的依赖程度 可能会有变化。29.监测 monitoring不断检查、监督、严格观察或确定状态,以识别所要求或期待的绩效水平的变化。 注:监测可应用于风险管理框架、风险管理过程、风险或控制措施。30.评审 revie
25、w为达到所建立的目标,确定有关事务的适宜性、充分性和有效性所采取的活动。 注:评审可应用于风险管理框架、风险管理过程、风险或控制措施 第 三 章 风险管理原则风险管理原则、框架和过程关系图风险管理原则原则一:风险管理创造并保护价值原则二:风险管理嵌入组织的管理过程原则三:风险管理支持决策过程原则四:明确风险管理涉及的不确定性原则五:风险管理是系统的,结构化的和及时的原则六:风险管理是基于最可用的信息原则七:风险管理是定制的原则八:风险管理考虑人文因素原则九:风险管理是透明的和包容的原则十:风险管理是动态的,迭代的和适应变化的原则十一:风险管理有利于组织持续改进风险管理原则一 风险管理创造并保护
26、价值以控制损失、创造价值为目标的风险管理,有助于组织实现目标、取得具体可见的成绩和改善各方面的业绩,包括人员健康和安全、合规经营、信用程度、社会认可、环境保护、财务绩效、产品质量、项目管理、运行效率和公司治理等方面。 这项原则的价值在于风险管理的目的就是为了创造并保护价值,控制损失。 风险是客观存在的,任何组织都面临风险,组织的所有活动都涉及风险,风险会影响组织目标的实现。在组织的运营活动中,机遇和威胁并存,风险管理就是要趋利避害,创造价值。在某些特定领域,如金融业、从风险管理的角度出发,币值波动既能造成潜在损失,又是可能盈利的机会。 因此风险管理过程越来越多地被认为是既要关注不确定因素带来的
27、消极影响,又要关注这些不确定性因素的积极影响。风险管理原则二 风险管理嵌入组织的管理过程风险管理不是独立于组织主要活动和各项管理过程的单独的活动,而是组织管理过程不可缺少的重要组织部分,包括战略规划、所有项目、变更管理过程。 组织的管理是一个综合管理,风险管理是组织综合管理的一个组成部分。 组织应把风险管理的各项要求融入企业管理和业务流程中,如:企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、变更管理、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等 COSO于2001年起开始进行企业风险管理研究,强调风险管理框架必须和内部控制框架相一致,把内部控制目标和
28、要素整合到企业全面风险管理过程中。 因此,全面风险管理(ERM)框架是对内部控制框架的扩展和延伸,它涵盖了内部控制,并且比内部控制更完整、有效。首先,该框架扩展了内部控制框架,强调风险管理与企业战略目标相协调,并最终融人企业文化之中; 其次,该框架更强调风险管理贯穿于企业运行过程的各个方面,涉及到企业的治理、管理和操作等所有层级,扩展了单纯的内部控制职能; 最后,引入了风险组合、风险和机会的区分、风险应对、风险偏好、风险容量等风险管理理论新的研究成果。风险管理原则三 风险管理支持决策过程组织的所有决策都应考虑风险和风险管理。风险管理旨在将风险控制在组织可接受的范围内,有助于判断风险应当是否充分
29、、有效,有助于决定行动的优先顺序并选择可行的行动方案,从而帮助决策者做出合理的决策 风险识别、风险分析和风险评价是为了认识、评价风险管理单位的风险状况,解决风险管理中的各种问题,制定管理风险的决策方案。风险管理支持决策过程。 风险管理目标的确定、风险识别、风险衡量、风险评价和风险控制等,都是为了确定最终的风险管理方案。从这一角度来看,风险管理过程实际上是一个管理决策过程风险管理原则四 明确风险管理涉及的不确定性风险管理明确的考虑到不确定性及这种不确定性的性质,以及如何加以解决。风险是不确定的,否则,就不能称之为风险。风险的不确定性指: (1)发生与否不确定; (2)发生的时间不确定; (3)发
30、生的状况不确定; (4)发生的后果严重性程度不确定风险管理就是要确定这些不确定性,做出对策,降低风险的影响,确保目标的实现风险管理原则五 风险管理是系统的,结构化的和及时的系统的、结构化的方法有助于风险管理效率的提升,并产生一致、可比、可靠的结果。风险管理是一个过程,就符合过程管理的原则,组织的风险管理是由许多风险管理过程组成,在风险管理的过程中,要将多个风险管理过程按照一个统一的风险管理系统来管理,这样能够取得最优的效率和结果 组织体系是风险管理的保障 风险管理是及时的,有组织的风险管理原则六 风险管理是基于最可用的信息风险管理过程要以有效的信息为基 础。这些信息可通过经验、反馈、观察、 预
31、测和专家判断等多种渠道获取,但使 用时要考虑数据、模型和专家意见的局 限性。 风险管理过程是以信息为基础的。风险的各个过程要收集大量的信息,确保风险识别的充分性和风险决策的有效性。 组织应该建立获取风险有效信息的渠道,可以通过各种渠道,包括经验、反馈、观察、预测、专家判断等获取有效、有用的信息,确保风险管理过程的充分性和有效性。 在利用收集到的各种信息时,要考虑各种信息来源的局限性。确保信息对决策的有效支持。风险管理原则七 风险管理是定制的风险管理与组织的内外部环境及风险环境是匹配的。风险管理与组织的内外部环境有关。风险管理与组织的行业、产品、经营模式、客户、竞争对象风险水平等相适应。 组织的
32、风险管理与组织所承担的风险有关,受组织的文化、地域、历史、信仰、人员等人文因素的影响不同的组织风险偏好不一样,风险标准不一样,风险管理的决策和风险实施就不一样风险管理原则八 风险管理考虑人文因素风险管理意识是可以促进或阻碍组织目标的实现的内部和外部人的能量、观念和意图。组织应该在内部营造一种具有风险意识的企业文化,培育风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,将风险管理意识转化为员工的共同认识和自觉行动,促进企业建立系统、规范、高效的风险管理机制。 全体员工尤其是各级管理人员和业务操作人员应通过多种形式,努力传播企业风险管理文化,牢固树立风险无处不在、风险无时不在的意识。风险
33、管理原则九 风险管理是透明的和包容的利益相关方、尤其是组织各层面的决策者适当、及时的参与,确保了风险管理保持相关和先进性。参与过程也允许利益相关方适当地发表意见,并将其观点考虑到风险准则确定中在组织的风险管理过程中,风险管理的决策者要参与分风险管理过程,要和风险管理过程的人员进行充分的沟通,要在风险管理的各个环节明确要求和准则,及时掌握风险动态,做出准确的决策。 风险管理过程要进行充分的协商和沟通,确保各方的观点能采纳,确保各方的利益能保证。当组织在重大风险事件的风险决策过程中,各方尤其要充分沟通,确保决策的有限性和针对性。风险管理原则十 风险管理是动态的,迭代的和适应变化的由于内部和外部事件
34、的发生、环境和知识的改变,以及监视和评审的实施,有的风险会发生变化,一些新的风险可能会出现,另一些风险则可能会消失。组织应持续不断地对各种变化保持敏感并做出恰当反应。风险管理是适应环境变化的动态过程,其各步骤之间形成一个信息反馈的闭环。随着内部和外部事件的发生、组织环境和知识的改变以及监督和检查的执行,有些风险可能会发生变化,一些新的风险可能会出现,另一些风险可能消失。 组织应持续不断地对各种变化保持敏感并做出恰当反应。组织通过绩效测量、检查和调整等手段,使风险管理得到持续改进风险管理原则十一 风险管理有利于,组织持续改进组织应制定和实施战略,以改善组织各个方面的风险管理水平。风险管理过程是一
35、个持续改进,动态更新的一个过程。风险管理要能够提高组织的风险管理意识,改进对机会和威胁的识别,有效配置资源,改善运营效果和效率,增强组织的生存和持续发展的能力第4章的框架为组织风险管理提供了持续改进的框架。风险管理原则作用第 四 章 风险管理框架内容提要1.总则(风险管理框架的含义)2.风险管理的指令与承诺3.风险管理框架的设计4.风险管理的实施5.框架的监视与评审6.框架的持续改进1.总则1.1 什么是“框架(framework)”?通常意义上的理解 边界、基础要素、结构的集合1.2 风险管理框架的含义 提供在组织内设计、实施、监测、评审和持续改进风险管理的基础和组织安排的要素集合。风险管理
36、框架的含义基础包括风险管理的:方针目标指令和承诺等;组织安排包括风险管理的:计划关系职责资源过程和活动嵌入到组织整体的战略以及运营方针和实践之中嵌入:非孤立存在;成为运行对象的一部分;整合高度成熟的一种状态;风险管理框架自身并不构成一个单独的“风险管理体系”;框架追求的结果是将风险管理嵌入到组织整体的管理体系之中;更为有效的方式是在组织现有的体系过程中,整合应用框架内的风险管理要素;1.3 “框架”在风险管理中的角色1.4 框架各要素及其关系(PDCA)2. 指令与承诺2.1 概述管理层的行为组织“权力”方面的保证目的在于支持:在组织内部引入风险管理保持风险管理的持续有效性2.2 主要内容风险
37、管理方针的制定(统一方向)协调性的保证风险管理方针 VS 组织文化风险管理绩效指标 VS 组织的其他指标风险管理目标 VS 组织的其他目标和战略合规性职责权限的分配资源的配置对风险管理收益的沟通框架适宜性的保持3. 风险管理框架的设计基础:对组织内外部环境(状况)的评价和理解设计的内容涉及:风险管理方针责任与组织过程的融合资源内外部沟通与报告机制3.1 组织的内外部环境(状况)外部环境国际、国内、区域和当地的社会和文化、政治、法律、法规、财务、技术、经济、自然和竞争 环境;(客观存在) 对组织目标实现产生关键影响的驱动因素和趋势;(与组织的目标相关联) 与外部利益相关方的关系以及观念和价值观(
38、与组织的外部利益相关方有关)内部环境 公司治理、组织结构、角色和职责;计划实现的方针、目标和战略;能力(从资源和知识的角度)(例如,资本、时间、人员、过程系统和技术);信息系统、信息流和决策过程(正式和非正式的);与内部利益相关方的关系、他们的观念和价值观;组织的文化;组织所采用的标准、指南和业务模式;合同关系的形式和范围;3.2 建立风险管理方针风险管理方针:组织对风险管理的意图和方向的陈述建立方针是管理层的职责 风险管理方针应清晰表述的内容: 风险管理的目标组织对风险管理的承诺方针应得到沟通风险管理方针应指明的典型内容:组织管理风险的基本原理;组织目标、方针与风险管理方针的联系;管理风险的
39、责任和职责;处理利益相关方冲突的方式;为管理风险提供所需资源的承诺;风险管理绩效测量和报告的方法;对风险管理方针和框架周期性的评审和改进以及对环境中的事件或变革进行应对的承诺;3.3 风险管理的责任涵盖的范围:职责、权限和能力需要明确定义职责、权限和能力的领域 实施和保持风险管理过程; 为确保控制的充分性、有效性和效率所需的活动;确定的主要方式:识别风险所有者;识别对风险管理框架负有建立、实施和保持职责的 人员;识别组织所有层次在风险管理过程方面的其他职责建立绩效测量过程以及外部和或内部报告和分发过确保适宜的认可程度;3.4 风险管理与组织过程的融合基本的方法论:风险管理过程应是组织过程中的一
40、部分;风险管理应融入方针建立、业务和战略策划和评审以及变革管理过程;融合的要求:以紧密相关的、有效的、有效率的方式将风险管理嵌入至组织所有的实践和 过程融合的载体 风险管理计划3.5 风险管理的资源组织应为风险管理配置适宜的资源应考虑以下方面的内容: 人员、技能、经验和能力; 风险管理过程步骤所需的资源; 组织应用于风险管理的过程、方法和工具; 文件化的过程和程序; 信息和知识管理系统; 培训方案3.6 内部沟通和报告机制目的:支持和鼓励风险的职责和责任归属;确保: 风险管理框架的关键组成部分以及任何后续的修改得到适宜的沟通; 存在充分的关于框架的,有效性和输出的内部报告; 来自于风险管理应用
41、所获得的相关信息在适宜的层次和频次上可获得; 存在与内部利益相关方协商的过程;对多来源信息的统一对信息敏感性的考虑3.7 建立外部沟通和报告机制沟通与报告的对象:外部利益相关方机制的载体:沟通计划计划的内容:使适宜的利益相关方参与并确保有效地沟通信息; 法律、法规和政府要求遵守情况的对外通告; 为沟通和协商提供反馈和报告; 利用沟通以使组织内建立信任; 当危机或意外事故发生时与利益相关方进行沟通对多来源信息的统一对信息敏感性的考虑4. 风险管理的实施4.1 框架的实施定义合适的实施该框架的时间表和策略;为组织的过程应用风险管理方针和过程;符合法律和法规要求;确保决策、包括建立和设定目标等与风险
42、管理过程的输出相协调;保持信息和培训机制并与利益相关方沟通和协商以确保其风险管理框架保持适宜4.2 风险管理过程的实施4.3 框架的监视与评审(监督与检查)目的:持续有效地支持组织绩效手段: 与指标进行比照 评价风险管理计划的实施情况 基于内外部环境的变化,对框架、方针和计划的持续适宜性进行评审 风险报告、方针得到遵循的程度 风险管理框架的有效性频次:周期性的4.4 框架的持续改进改进的输入:监视和评审的结果改进的领域:改进风险管理的框架、方针和计划。改进的输出:组织风险管理和其风险管理文化的改进。 第 五 章 风险管理过程内容提要1.概述(总则)2.沟通和协商3.明确环境4.风险评估5.风险
43、处理6.监测和评审7.记录风险管理过程1.概述风险管理过程 risk management process管理方针、程序和惯例对沟通、协商、明确环境、以及识别、分析、评价、处理、监测和评审风险活动的系统应用。风险管理原则、框架和过程关系图风险管理过程的组成 风险管理过程是组织管理的有机组成部分,嵌入在组织文化和实践当中,贯穿于组织的经营过程。 风险管理过程由明确环境信息、风险评估、风险处理、监测和评审所描述的活动组成。 风险评估包括风险识别、风险分析和风险评价等三个步骤。沟通和记录,应贯穿于风险管理过程2. 沟通和协商2.1 与利益相关者沟通和协商沟通和协商 communication and
44、 consultation 组织针对风险管理,提供、共享或获取信息,与利益相关方进行对话的持续和反复的过程。 在风险管理过程的每一个阶段都应当与内部和外部利益相关者有效沟通和协商。 沟通和协商计划宜在早期制定。该计划针对与风险本身、风险成因、风险后果(如果掌握)以及处理风险措施相关的问题。为确保实施风险管理过程的职责明确,以及利益相关者理解决策的基础和特定措施需求的原因,采取有效的外部和内部沟通和协商。 与利益相关者的沟通协商是重要的,由于他们基于对风险的感知,做出了对风险的判断。这些感知可以由于利益相关者的价值观、需求、臆断、概念和关注点的不同而变化。 由于利益相关者的观点会对决策产生重大影响,因此他们的感知以被识别、记录、以及在决策过程中考虑。沟通和协商宜提供真实的、相关的、准确的、便于理解的交流信息,同时宜考虑到保密和个人诚实因素。2.2 协商团队方法 适当地帮助明确环境; 确保利益相关者的利益被理解和考虑; 帮助确保风险充分地被识别; 将不同领域的专业知识一并用于分析风险; 确保在界定风险准则和评定风险时,不同的观点被恰当地考虑; 确保认同和支持风险处理(应对)计划; 加强在风险管理
