全面风险管理iso31000中文版

全面风险管理iso31000中文版内容摘要：

管理流程（见第 5 款）在不同层级在组织特定环境的实施，确保管理风险的有效性。 该框架确保在流程中派生出来的风险信息得以适当的报告，并将其用来做出决策和使组织相关层级保持职责相关。 本条款描述了框架中风险管理的各组成部分，及其相互联系，如图 2 所示。 图二 风险管理框架中各组成部分的关系本框架并非规定一个管理系统，目的在于协助组织将风险管理与其整个管理系统相整合。 因此，组织可以采用框架适当的部分以适应其特殊的需要。 如果一个组织的现有管理方法和程序包括风险管理的组成部分，或者该组织针对特殊类型的风险和环境采用了正式的风险管理流程，那么，这些措施应严格审查，并参照这一国际标准，包括附件 A 中的内容进行评估，以确保其充分性和有效性。 任务和承诺 风险管理的引进和确保其持续有效都需要组织的管理层强有力的、持续的承诺，以及严格的战略规划，实现组织各级成员的认同感。 管理层应该：确保组织文化和风险管理政策相一致ۛ确保使风险管理绩效指标与组织绩效指标相一致ۛ使风险管理目标与组织目标和战略相一致ۛ确保为风险管理分配必要的资源ۛ协调风险管理利益相关者之间的利益ۛ确保风险管理框架稳步进行。 风险管理框架的设计 在开始设计和实施风险管理框架之前，评价和了解组织的外部和内部环境是非常重要的，因为这可以显显著影响框架的设计。 评价组织的外部环境包括但不限于：a)社会和文化、法律、监管，财政，技术，经济，自然和竞争环境，无论是国际，国家，区域或地方。 b)影响组织目标的主要驱动因素和趋势 c)与组织有相关观念和价值的外部利益相关者 评价组织的内部环境包括但不限于：治理、组织结构、角色和责任 ۛ可以实现这些目标的政策、目标和战略措施 ۛ能力，资源和知识方面的理解（如资本、时间、人力、流程、系统和技术） ۛ信息系统、信息流和决策流程（包括正式和非正式） ۛ关系、观念、内部利益相关者和组织文化 ۛ标准、指导方针、组织采用的模型 ۛ合同关系的形式和程度 建立风险管理政策 风险管理政策应该清晰的阐述组织的目标和承诺，通常阐述以下：组织风险管理的基本原理。 关联组织目标和政策与风险管理政策。 利益冲突的处理方法对风险管理执行者提供必需的资源承诺风险管理绩效测量和报告的方式ۛ承诺定期检讨和改善风险管理政策和框架，并对环境的变化作出响应风险管理政策应当适当的沟通传达。 职责 组织应确保有责任，权力和适当的能力来实施风险管理，包括实施和维护的风险管理程序，确保充分性，确保任何控制的妥善、效率和效果。 这可以通过： ۛ识别风险拥有者，并赋予其职责和权力管理风险 ۛ识别对风险管理框架的开发、实施和维护富有责任的人 ۛ识别组织的各个层级对风险管理流程富有其他责任的人 融入组织流程 风险管理应以相关、效率、效果等方式嵌入组织的各个活动和流程之中。 风险管理流程应该成为部分而非独立于组织的流程。 尤其，风险管理应植入组织的政策发展、业务和战略规划和回顾，及流程变更。 应该有一个组织范围内的风险管理计划，以确保风险管理政策的执行和风险管理被嵌入该组织的实践和流程之中。 风险管理计划，可以集成到其他组织计划，如战略计划。 资源 组织应为风险管理分配适当的资源，应该考虑以下方面：人力、技能、经验和能力 ۛۛ保障每个风险管理流程的步骤所需资源 ۛ组织的风险流程、方法和工具用于管理风险 ۛ信息和知识管理系统培训 建立内部沟通与报告机制 阻止应该建立内部沟通和报告机制以支持和激励风险的责任和所有权，这些机制应该保证：风险管理框架的组成部分的确定及随后的修正应适当的沟通 ۛ框架的有效性和产出应做出适当的内部报告 ۛ组织适当的层级及时了解风险管理实施中的相关信息 ۛ与内部有利益相关者协商的流程 这些机制应包括一些流程，以巩固从各种方面来风险信息适当的考虑到敏感性。 建立外部沟通和报告机制 组织应该设计和实施如何与外部利益相关者沟通的计划，包括：ۛ鼓励适当的外部利益相关者参与，并确保有效的信息交流 ۛ外部报告应该合法、合规，符合公司治理的需要 ۛ提供沟通和协商的反馈机制 ۛ运用沟通建立组织的信息在发生危机和紧急事件时，和利益相关者相沟通 这些机制应包括一些流程，以巩固从各种方面来风险信息适当的考虑到敏感性。 风险管理的实施 风险管理框架的实施 在实施风险管理框架过程中，组织应该：确定实施该框架的适当时机和策略 ۛ运用风险管理政策和程序于组织程序符合法律法规的需要确保决策，包括制定和确定目标与风险管理流程的输出相一致举办信息和培训课程ۛ与利益相关者沟通和协商，以确保其风险管理框架仍然适用 风险管理流程的实施 风险管理的实施，应该确保条款 5 中规定的风险管理流程要点通过风险管理计划，并做为组织的活动和流程的组成部分贯穿于组织的相关层面和功能。 框架的监控和检查 为确保风险管理的有效性并且持续支撑组织的绩效，组织应该： ۛ衡量风险管理绩效与指标之间的差异，并开展定期检查 ۛ定期衡量进展与风险管理计划之间的偏差ۛ结合组织的内外部环境，对风险管理框架、政策和计划的合理性进行定期检查和回顾ۛ对风险管理中的风险和进展进行报告，以及它们是如何与风险管理政策相一致的ۛ检查风险管理框架的有效性 根据监测和检查结果，决定应如何改善风险管理框架，政策和计划。 这些决定将提升该组织的风险管理和风险管理文化。 5 流程 概述 管理的一个组成部分植入组织的文化和实践 ۛۛ根据组织的业务流程定制 它包括 ‐ 所描述的活动，风险管理流程如图 3 所示。 图三 风险管理流程 沟通和协商 与内外部利益相关者的沟通和协商贯穿于风险管理的每个阶段。 因此，沟通和协商的计划应该提前制定。 其内容应该包括风险本身、风险成因，风险后果（如果可以预料）和对待风险的措施。 开展有效的内外部沟通和协商，可以确保风险管理流程实施流程的责任明确、利益相关者理解决策制定的基础和为什么需要采取特殊行动的原因。 一个协商工作组的方法可以：有助于建立适合的环境 确保利益相关者的利益可以被理解和被考虑ۛ将不同领域的专业知识融入风险分析ۛ在风险标准的制定和风险评价过程中，确保不同的意见都给与适当的考虑ۛ期间加强风险管理流程适当的变更管理； ۛ制定适当的外部和内部沟通和协商计划 与利益相关者。