全面風險管理系統(tǒng)篇

1、企業(yè)風險管理經(jīng)驗分享企業(yè)風險管理經(jīng)驗分享 風險管理概述風險管理概述第第 一一 章章內(nèi)容提要內(nèi)容提要一、風險與風險管理一、風險與風險管理二、風險管理的起源和發(fā)展二、風險管理的起源和發(fā)展三、我國的風險管理三、我國的風險管理四、風險管理標準四、風險管理標準五、實施風險管理的目的和意義五、實施風險管理的目的和意義六、風險管理在認證領(lǐng)域中的應(yīng)用六、風險管理在認證領(lǐng)域中的應(yīng)用一、風險與風險管理一、風險與風險管理所有類型和規(guī)模的組織都面臨內(nèi)部和所有類型和規(guī)模的組織都面臨內(nèi)部和外部的、使組織不能確定是否及何時外部的、使組織不能確定是否及何時實現(xiàn)其目標的因素和影響。這種不確實現(xiàn)其目標的因素和影響。這種不確定性所

2、具有的對組織目標的影響就是定性所具有的對組織目標的影響就是“風險風險”。 一、一、風險與風險管理風險與風險管理風險管理是針對風險指揮和控制組織的協(xié)調(diào)風險管理是針對風險指揮和控制組織的協(xié)調(diào)活動?；顒?。組織的所有活動都涉及風險。組織的所有活動都涉及風險。組織通過識別、分析和評定是否運用風險處組織通過識別、分析和評定是否運用風險處理修正風險以滿足它們的風險準則，來管理理修正風險以滿足它們的風險準則，來管理風險。風險。通過這個過程，它們與利益相關(guān)方進行溝通通過這個過程，它們與利益相關(guān)方進行溝通和協(xié)商，監(jiān)測和評審風險，以及為確保不再和協(xié)商，監(jiān)測和評審風險，以及為確保不再進一步需求風險處理而修正風險的控制

3、措施進一步需求風險處理而修正風險的控制措施 20 20世紀世紀3030年代在美國開始萌芽年代在美國開始萌芽 受當時世界性經(jīng)濟危機的影響，美國經(jīng)濟大蕭條，受當時世界性經(jīng)濟危機的影響，美國經(jīng)濟大蕭條， 約有約有4040左右的銀行和企業(yè)破產(chǎn)，為應(yīng)對經(jīng)營上左右的銀行和企業(yè)破產(chǎn)，為應(yīng)對經(jīng)營上 的危機，美國許多大中型企業(yè)都在內(nèi)部設(shè)立了保的危機，美國許多大中型企業(yè)都在內(nèi)部設(shè)立了保 險管理部門，負責安排企業(yè)的各種保險項目，保險管理部門，負責安排企業(yè)的各種保險項目，保 險成為當時企業(yè)處理風險的主要方法。險成為當時企業(yè)處理風險的主要方法。 20 20世紀世紀5050年代，風險管理在美國以學(xué)科的形式發(fā)年代，風險管理

4、在美國以學(xué)科的形式發(fā) 展，并逐步形成了獨立的理論體系。展，并逐步形成了獨立的理論體系。 1970 1970年代以后逐漸掀起了全球性的風險管理運動。年代以后逐漸掀起了全球性的風險管理運動。 美國一些大公司的重大損失使公司高層決策者開美國一些大公司的重大損失使公司高層決策者開 始認識到風險管理的重要性。始認識到風險管理的重要性。 二、風險管理的起源和發(fā)展二、風險管理的起源和發(fā)展 2020世紀世紀9090年代開始隨著國際資產(chǎn)證券化、債券的風險進一年代開始隨著國際資產(chǎn)證券化、債券的風險進一步擴大，使風險管理更迅速地在國際推行。步擴大，使風險管理更迅速地在國際推行。歐美歐美等國家先后建立起全國性和地區(qū)性

5、的風險管理協(xié)會。等國家先后建立起全國性和地區(qū)性的風險管理協(xié)會。針對安然、世通等財務(wù)欺詐事件，美國國會出臺了著名的針對安然、世通等財務(wù)欺詐事件，美國國會出臺了著名的20022002年薩班斯年薩班斯奧克斯利法案奧克斯利法案來規(guī)范上市公司的行為來規(guī)范上市公司的行為19831983年美國風險和保險管理協(xié)會年會上，通過了年美國風險和保險管理協(xié)會年會上，通過了“101101條條風險管理準則風險管理準則”，標志著風險管理發(fā)展進入了一個新階段，標志著風險管理發(fā)展進入了一個新階段歐洲歐洲1111個國家成立了個國家成立了“歐洲風險管理委員會歐洲風險管理委員會”美國多家專業(yè)團體成立了美國多家專業(yè)團體成立了“反虛假財

6、務(wù)報告委員會反虛假財務(wù)報告委員會”和著和著名的專門研究內(nèi)部控制的委員會名的專門研究內(nèi)部控制的委員會“COSOCOSO委員會委員會”COSOCOSO著名報告內(nèi)部控制著名報告內(nèi)部控制- -整體框架整體框架(1992)(1992)和和COSO-COSO-ERMERM企業(yè)風險管理框架企業(yè)風險管理框架(2004)(2004)，是風險管理的重要文獻，是風險管理的重要文獻。二、風險管理的起源和發(fā)展二、風險管理的起源和發(fā)展 二、風險管理的起源和發(fā)展二、風險管理的起源和發(fā)展 三、我國的風險管理三、我國的風險管理 在我國，風險管理理論的發(fā)展及應(yīng)用相對滯后，企業(yè)在風險管在我國，風險管理理論的發(fā)展及應(yīng)用相對滯后，企業(yè)

7、在風險管理上存在諸多問題：理上存在諸多問題： 缺乏風險意識和策略，管理被動；缺乏風險意識和策略，管理被動； 缺乏風險管理技術(shù)、專業(yè)人才和資金；缺乏風險管理技術(shù)、專業(yè)人才和資金； 戰(zhàn)略上急于求成，應(yīng)對變化能力不強，導(dǎo)致個別企業(yè)不能有效戰(zhàn)略上急于求成，應(yīng)對變化能力不強，導(dǎo)致個別企業(yè)不能有效應(yīng)對重大風險事件，在發(fā)展中承擔了過多自身不可承受風險；應(yīng)對重大風險事件，在發(fā)展中承擔了過多自身不可承受風險； 國家對風險管理日益重視，國家對風險管理日益重視，20062006年國務(wù)院國有資產(chǎn)監(jiān)督管理委年國務(wù)院國有資產(chǎn)監(jiān)督管理委員會發(fā)布了中央企業(yè)全面風險管理指引員會發(fā)布了中央企業(yè)全面風險管理指引 對中央企業(yè)如何開展

8、全面風險管理提出了明確要求；對中央企業(yè)如何開展全面風險管理提出了明確要求； 指導(dǎo)范圍并不僅限于央企，對公司也同樣具有普遍指導(dǎo)意義；指導(dǎo)范圍并不僅限于央企，對公司也同樣具有普遍指導(dǎo)意義； 指引的出臺標志著我國有了自己的全面風險管理指導(dǎo)性文指引的出臺標志著我國有了自己的全面風險管理指導(dǎo)性文件，我國企業(yè)正向管理的更高階段件，我國企業(yè)正向管理的更高階段全面風險管理邁進。全面風險管理邁進。 國際大環(huán)境，促進了風險管理的標準化和國際化國際大環(huán)境，促進了風險管理的標準化和國際化20042004年澳洲和新西蘭聯(lián)合推出年澳洲和新西蘭聯(lián)合推出AZ/NZS 4360AZ/NZS 4360風險管理標風險管理標準，是第

9、一個國家級的風險管理標準準，是第一個國家級的風險管理標準, ,并為國際標準的并為國際標準的出臺奠定了基礎(chǔ)出臺奠定了基礎(chǔ) 風險管理風險管理的的國際標準國際標準ISO31000ISO31000為業(yè)界廣為關(guān)注，為業(yè)界廣為關(guān)注，ISOISO歷歷時四年，時四年，從從CDCD到到DISDIS再到再到FDISFDIS稿，不斷完善標準稿，不斷完善標準，于，于20092009年年1111月月1313日正式發(fā)布了日正式發(fā)布了ISO31000ISO31000：2009 2009 風管理風管理原則和指南原則和指南 該標準該標準明確了風險管理的原則和指南明確了風險管理的原則和指南為深入開展風險管理工作提供了理論基礎(chǔ)為深

10、入開展風險管理工作提供了理論基礎(chǔ)20022002年，我國已經(jīng)依據(jù)年，我國已經(jīng)依據(jù)ISO31000ISO31000標準的標準的DISDIS稿，頒布了稿，頒布了國家標準國家標準GB/T24353 GB/T24353 風險管理風險管理 原則與實施指南原則與實施指南 四、風險管理標準四、風險管理標準ISO的相關(guān)標準和指南的相關(guān)標準和指南 ISO31000:2009 ISO31000:2009ISO31000:2009 ISO31000:2009 風險管理風險管理 原則和指南原則和指南Risk management Principles and guideline提提供了風險管理的原則和通用性指南。供了

11、風險管理的原則和通用性指南。盡管所有的組織在某種程度上都在管理風險，盡管所有的組織在某種程度上都在管理風險，ISO31000ISO31000建立了一些為使風險管理變得有效而需建立了一些為使風險管理變得有效而需要滿足的原則。要滿足的原則。ISO31000ISO31000建議，組織制定、實施和持續(xù)改進一個建議，組織制定、實施和持續(xù)改進一個框架，其目的是將風險管理過程整合到組織的整框架，其目的是將風險管理過程整合到組織的整體治理、戰(zhàn)略和規(guī)劃、管理、報告過程、方針、體治理、戰(zhàn)略和規(guī)劃、管理、報告過程、方針、價值觀和文化中。價值觀和文化中。 ISO31000:2009 ISO31000:2009ISO3

12、1000:2009提供了在任何范圍和狀況下，以系統(tǒng)的、提供了在任何范圍和狀況下，以系統(tǒng)的、清晰可靠的方式管理風險的原則和通用指南。清晰可靠的方式管理風險的原則和通用指南。 盡管所有的組織在某種程度上都在管理風險，盡管所有的組織在某種程度上都在管理風險，ISO31000ISO31000建建立了一些為使風險管理變得有效而需要滿足的原則。立了一些為使風險管理變得有效而需要滿足的原則。 ISO31000ISO31000建議，組織制定、實施和持續(xù)改進一個框架，其建議，組織制定、實施和持續(xù)改進一個框架，其目的是將風險管理過程整合到組織的整體治理、戰(zhàn)略和規(guī)目的是將風險管理過程整合到組織的整體治理、戰(zhàn)略和規(guī)劃

13、、管理、報告過程、方針、價值觀和文化中。劃、管理、報告過程、方針、價值觀和文化中。 風險管理的每一個特定領(lǐng)域或應(yīng)用都具有各自的需求、受風險管理的每一個特定領(lǐng)域或應(yīng)用都具有各自的需求、受眾、觀念和準則。因此，眾、觀念和準則。因此，ISO31000ISO31000的主要特點是在通用的的主要特點是在通用的風險管理過程中將風險管理過程中將“明確環(huán)境明確環(huán)境”作為初始活動。作為初始活動。 “明確環(huán)境明確環(huán)境”將捕獲組織的目標，組織所追求目標的環(huán)境將捕獲組織的目標，組織所追求目標的環(huán)境，組織的利益相關(guān)方和風險準則的多樣性，所有這些都將，組織的利益相關(guān)方和風險準則的多樣性，所有這些都將幫助揭示和評價風險的性

14、質(zhì)和復(fù)雜性。幫助揭示和評價風險的性質(zhì)和復(fù)雜性。ISO31010:2009 國家標準國家標準(GB/T23694)(GB/T23694)GB/T2GB/T236943694 2009 2009 風險管理風險管理 術(shù)語術(shù)語 idt idtISOISO GUIDE GUIDE 73 2002 73 2002 1 1 基礎(chǔ)術(shù)語（基礎(chǔ)術(shù)語（8 8） 2 2 受風險影響的組織及個人的相關(guān)術(shù)語（受風險影響的組織及個人的相關(guān)術(shù)語（4 4） 3 3 與風險評估的相關(guān)術(shù)語（與風險評估的相關(guān)術(shù)語（6 6） 4 4 與風險處理和風險控制相關(guān)的術(shù)語（與風險處理和風險控制相關(guān)的術(shù)語（1111）國家標準國家標準(GB/T2

15、4353)(GB/T24353)國家標準國家標準(GB/T24353)(GB/T24353) 風險管理的目的風險管理的目的: : 通過具有前瞻性的、充分地考慮各類風險的不確通過具有前瞻性的、充分地考慮各類風險的不確定性及其對目標的影響，制定行之有效的應(yīng)對措定性及其對目標的影響，制定行之有效的應(yīng)對措施，為組織在運營和決策中有效應(yīng)對各類突發(fā)事施，為組織在運營和決策中有效應(yīng)對各類突發(fā)事件和風險提供支持和保障，以使組織能有效的配件和風險提供支持和保障，以使組織能有效的配置資源、優(yōu)化過程，及時、恰當、有效地應(yīng)對風置資源、優(yōu)化過程，及時、恰當、有效地應(yīng)對風險，提高風險應(yīng)對的效率和效果，更好地實現(xiàn)組險，提高

16、風險應(yīng)對的效率和效果，更好地實現(xiàn)組織的目標?？椀哪繕恕?五、實施風險管理的目的五、實施風險管理的目的風險管理的意義風險管理的意義: : 1 1）提高實現(xiàn)目標的可能性；）提高實現(xiàn)目標的可能性； 2 2）鼓勵主動性管理；）鼓勵主動性管理；3 3）在整個組織意識到識別和處理風險的需求）在整個組織意識到識別和處理風險的需求; ;4 4）改進對機會和威脅的識別；）改進對機會和威脅的識別；5 5）遵守相關(guān)的法律法規(guī)要求及國際規(guī)范；）遵守相關(guān)的法律法規(guī)要求及國際規(guī)范；6 6）改進強制性和自愿性報告）改進強制性和自愿性報告 7 7）改善治理）改善治理 8 8）提高利益相關(guān)者的信心和信任；）提高利益相關(guān)者的信心

17、和信任；五、實施風險管理的意義五、實施風險管理的意義 9 9）為決策和規(guī)劃建立可靠的根基：）為決策和規(guī)劃建立可靠的根基： 1010）加強控制）加強控制 11 11）有效地分配和使用風險處理資源；）有效地分配和使用風險處理資源； 1212）提高運作的效果和效率）提高運作的效果和效率 13 13）加強健康和安全績效，以及環(huán)境保護）加強健康和安全績效，以及環(huán)境保護 1414）改善損失預(yù)防和事件管理；）改善損失預(yù)防和事件管理； 1515）減少損失；）減少損失； 16) 16) 提高組織的學(xué)習能力；提高組織的學(xué)習能力； 1717）增強組織的應(yīng)變能力；）增強組織的應(yīng)變能力；五、實施風險管理的意義五、實施風

18、險管理的意義 ISO31000ISO31000中所描述的通用方法提供了在任中所描述的通用方法提供了在任何范圍和背景下，以系統(tǒng)、清晰、可靠的何范圍和背景下，以系統(tǒng)、清晰、可靠的方式管理風險的原則和指南。方式管理風險的原則和指南。作為管理方作為管理方法論，其原則和指南可以應(yīng)用到認證的各法論，其原則和指南可以應(yīng)用到認證的各個領(lǐng)域個領(lǐng)域OHSAS18000OHSAS18000標準包含了風險管理在職業(yè)健標準包含了風險管理在職業(yè)健康安全專業(yè)領(lǐng)域的應(yīng)用?？蛋踩珜I(yè)領(lǐng)域的應(yīng)用。ISO22000ISO22000標準包含了風險管理在食品安全標準包含了風險管理在食品安全專業(yè)領(lǐng)域的應(yīng)用。專業(yè)領(lǐng)域的應(yīng)用。也適用于也適用

19、于EMSEMS和和QMSQMS中。中。 不確定性對目標的影響不確定性對目標的影響 注注1 1：影響是與期待的偏差：影響是與期待的偏差積極和積極和/ /或消極或消極注注2 2：目標可以有不同方面（如財務(wù)、健康安全、以及環(huán)境目：目標可以有不同方面（如財務(wù)、健康安全、以及環(huán)境目 標），可以體現(xiàn)在不同的層次（如戰(zhàn)略、組織范圍、項標），可以體現(xiàn)在不同的層次（如戰(zhàn)略、組織范圍、項 目、產(chǎn)品和過程）。目、產(chǎn)品和過程）。注注3 3：風險通常以潛在事件和后果，或它們的組合來描述。：風險通常以潛在事件和后果，或它們的組合來描述。注注4 4：風險通常以事件（包括環(huán)境的變化）后果和發(fā)生可能性：風險通常以事件（包括環(huán)境

20、的變化）后果和發(fā)生可能性 的組合來表達。的組合來表達。注注5 5：不確定性是指，對事件、其后果或可能性的認識或了：不確定性是指，對事件、其后果或可能性的認識或了 解方面的信息的缺乏或不完整的狀態(tài)。解方面的信息的缺乏或不完整的狀態(tài)。 2.2.后果后果 某一事件的結(jié)果。某一事件的結(jié)果。注注1 1：某一事件可能會產(chǎn)生不止一種的后果。：某一事件可能會產(chǎn)生不止一種的后果。注注2 2：后果可以是正面的負面的。然而，從安：后果可以是正面的負面的。然而，從安 全方面來看，后果往往都是負面的。全方面來看，后果往往都是負面的。注注3 3：后果可以定性或定量表述。：后果可以定性或定量表述。3.3.可能性：可能性：某

21、一事發(fā)生的機會某一事發(fā)生的機會4 4. .概率概率 某一事件發(fā)生的可能程度。某一事件發(fā)生的可能程度。注注1 1：GB/T3358.1-1993 GB/T3358.1-1993 給出了一個關(guān)于給出了一個關(guān)于“概率概率”的數(shù)學(xué)定的數(shù)學(xué)定 義，度量某一隨機事件發(fā)生可能性大小的實數(shù)，其值義，度量某一隨機事件發(fā)生可能性大小的實數(shù)，其值 介于介于0 0與與1 1之間，它可以用來指在一段相當長的時間內(nèi)，之間，它可以用來指在一段相當長的時間內(nèi)， 某一事件將要發(fā)生的頻率，或者這一事件發(fā)生的可信某一事件將要發(fā)生的頻率，或者這一事件發(fā)生的可信 程度。對于高可信度來說，概率接近程度。對于高可信度來說，概率接近“1 1

22、”。注注2 2：在描述風險時，常用：在描述風險時，常用“頻率頻率”一詞而不是用一詞而不是用“概率概率” 一詞。一詞。注注3 3：有關(guān)可能性的程度可以用不同的等級來表示：有關(guān)可能性的程度可以用不同的等級來表示： -極不可能極不可能/ /不大可能不大可能/ /可能可能/ /很可能很可能/ /幾幾乎確定；或者乎確定；或者 -難以置信難以置信/ /不可能不可能/ /可能性極小可能性極小/ /偶爾偶爾/ /有可能有可能/ /經(jīng)常。經(jīng)常。 5 5. .事件事件 特定情況的發(fā)生。特定情況的發(fā)生。注注1 1：事件可能是確定的，也可能是不確定的。：事件可能是確定的，也可能是不確定的。注注2 2：事件可能是單一的

23、，也可能是系列的。：事件可能是單一的，也可能是系列的。注注3 3：對于給定時間內(nèi)事件發(fā)生的概率可以估算出來：對于給定時間內(nèi)事件發(fā)生的概率可以估算出來 確定的事件，是預(yù)知的，而不確定的事件，是沒確定的事件，是預(yù)知的，而不確定的事件，是沒有預(yù)知的，但也是有可能發(fā)生的。有預(yù)知的，但也是有可能發(fā)生的。 事件可能是明顯的，也可能是模糊的，其影響可事件可能是明顯的，也可能是模糊的，其影響可能是正面的，也可能是負面的。能是正面的，也可能是負面的。 指導(dǎo)和控制某一組織與風險相指導(dǎo)和控制某一組織與風險相關(guān)問題的協(xié)調(diào)活動。關(guān)問題的協(xié)調(diào)活動。 提供在組織內(nèi)設(shè)計、實施、監(jiān)測、評審提供在組織內(nèi)設(shè)計、實施、監(jiān)測、評審和持

24、續(xù)改進風險管理的基礎(chǔ)和組織安排的要和持續(xù)改進風險管理的基礎(chǔ)和組織安排的要素集合。素集合。 注注1 1：基礎(chǔ)包括管理風險的方針、目標、指令和承諾：基礎(chǔ)包括管理風險的方針、目標、指令和承諾 注注2 2：組織安排包括計劃、關(guān)系、責任、資源、過程：組織安排包括計劃、關(guān)系、責任、資源、過程 和活動。和活動。 注注3 3：風險管理框架被嵌入到組織的整個戰(zhàn)略和運營：風險管理框架被嵌入到組織的整個戰(zhàn)略和運營 的方針和實踐中的方針和實踐中 指令和承諾指令和承諾 風險管理框架的設(shè)計風險管理框架的設(shè)計 理解組織和其狀況理解組織和其狀況 建立風險管理方針建立風險管理方針 責任責任 嵌入組織的過程嵌入組織的過程 資源資

25、源 建立內(nèi)部溝通和報告機制建立內(nèi)部溝通和報告機制 建立外部溝通和報告機制建立外部溝通和報告機制框架的持續(xù)改進框架的持續(xù)改進實施風險管理實施風險管理實施風險管理框架實施風險管理框架實施風險管理過程實施風險管理過程框架的監(jiān)測和評審框架的監(jiān)測和評審內(nèi)部環(huán)境內(nèi)部環(huán)境信息溝通信息溝通 監(jiān)測監(jiān)測控制活動控制活動風險應(yīng)對風險應(yīng)對風險評估風險評估事事項項識別識別目標設(shè)定目標設(shè)定戰(zhàn)略戰(zhàn)略經(jīng)營經(jīng)營報告報告合規(guī)合規(guī)公司層面公司層面科室科室業(yè)業(yè)務(wù)務(wù)單單位位子公司子公司COSO COSO 全面風險管理框架（三維圖）全面風險管理框架（三維圖）風險管理的目標有四個：報告類目標、經(jīng)營類目標、遵循性目標以及戰(zhàn)略目標。風險管理的

26、組成要素有八個：內(nèi)部環(huán)境、目的設(shè)定、事件識別、風險評估、風險對策、控制活動、信息與溝通和監(jiān)控。 一個組織對風險管理的意圖一個組織對風險管理的意圖和方向的陳述。和方向的陳述。 在風險管理框架內(nèi)規(guī)定用于風險管理在風險管理框架內(nèi)規(guī)定用于風險管理的方法、管理要素、資源的方案。的方法、管理要素、資源的方案。 注注1 1：管理要素一般包括程序、慣例、職責分配、活：管理要素一般包括程序、慣例、職責分配、活 動順序和時間安排。動順序和時間安排。 注注2 2：風險管理計劃可應(yīng)用于特定的產(chǎn)品、過程和項：風險管理計劃可應(yīng)用于特定的產(chǎn)品、過程和項 目、組織的部分或整體。目、組織的部分或整體。 管理方針、程序和慣例對溝

27、通、協(xié)管理方針、程序和慣例對溝通、協(xié)商、明確環(huán)境、以及識別、分析、評價商、明確環(huán)境、以及識別、分析、評價、處理、監(jiān)測和評審風險活動的系統(tǒng)應(yīng)、處理、監(jiān)測和評審風險活動的系統(tǒng)應(yīng)用用。 組織針對風險管理，提供、共享或獲取信息，組織針對風險管理，提供、共享或獲取信息，與利益相關(guān)者進行對話的持續(xù)和反復(fù)的過程。與利益相關(guān)者進行對話的持續(xù)和反復(fù)的過程。 注注1 1：信息涉及風險管理的存在、性質(zhì)、形式、可能：信息涉及風險管理的存在、性質(zhì)、形式、可能 性、嚴重程度、評定、可接受性、處理。性、嚴重程度、評定、可接受性、處理。 注注2 2：協(xié)商是組織與它的利益相關(guān)方，在做出決策或：協(xié)商是組織與它的利益相關(guān)方，在做出

28、決策或 確定某一問題的方向前，針對問題雙向有事實確定某一問題的方向前，針對問題雙向有事實 依據(jù)的溝通的過程。協(xié)商是：依據(jù)的溝通的過程。協(xié)商是： 通過影響力而非權(quán)力對決策施加影響；通過影響力而非權(quán)力對決策施加影響； 作為決策的輸入，而非加入決策。作為決策的輸入，而非加入決策。 可以影響風險、受到風險影響或自可以影響風險、受到風險影響或自認為會受到風險影響的任何個人、團體認為會受到風險影響的任何個人、團體或組織?；蚪M織。 注注1 1：決策者也是利益相關(guān)者之一。：決策者也是利益相關(guān)者之一。 注注2 2：術(shù)語：術(shù)語“利益相關(guān)者利益相關(guān)者”包括包括GB/T19000-GB/T19000- 2008 20

29、08中定義的中定義的“相關(guān)方相關(guān)方”。組織的利益相關(guān)者可以包括組織的利益相關(guān)者可以包括 1 1）組織的決策者；）組織的決策者；2 2）組織內(nèi)部負責制定風險管理政策的人員；）組織內(nèi)部負責制定風險管理政策的人員；3 3）組織或活動中實施風險管理的人員；）組織或活動中實施風險管理的人員；4 4）需要對組織的風險管理實踐進行評估的人員；）需要對組織的風險管理實踐進行評估的人員；5 5）組織中負責制定風險管理標準、指南、程序、）組織中負責制定風險管理標準、指南、程序、 應(yīng)用準則的人員；應(yīng)用準則的人員；6 6）股東、董事會、高級管理人員、員工、債權(quán)人、）股東、董事會、高級管理人員、員工、債權(quán)人、供應(yīng)商、顧

30、客、銀行、監(jiān)管機構(gòu)、合作伙伴等供應(yīng)商、顧客、銀行、監(jiān)管機構(gòu)、合作伙伴等. . （見（見GB/T24353:2009GB/T24353:2009前言部分）。前言部分）。1313. .風險感知風險感知 利益相關(guān)者根據(jù)其價值觀或利害關(guān)利益相關(guān)者根據(jù)其價值觀或利害關(guān) 系看待風險的方式。系看待風險的方式。 注注1 1：風險感知取決于利益相關(guān)者的需要、關(guān)注點及知識。：風險感知取決于利益相關(guān)者的需要、關(guān)注點及知識。 注注2 2：風險感知可能不同于客觀數(shù)據(jù)。：風險感知可能不同于客觀數(shù)據(jù)。風險感知反映利益相關(guān)者的需求，問題、知識、信念和風險感知反映利益相關(guān)者的需求，問題、知識、信念和價值價值。利益相關(guān)者的需要及

31、關(guān)注的問題不同，因而風險感知會利益相關(guān)者的需要及關(guān)注的問題不同，因而風險感知會有所不同。有所不同。 風險感知會存在一定的主觀判斷，因而可能與客觀數(shù)據(jù)風險感知會存在一定的主觀判斷，因而可能與客觀數(shù)據(jù)有不同。有不同。 界定外部和內(nèi)部參數(shù)，以便在管界定外部和內(nèi)部參數(shù)，以便在管理風險和設(shè)置風險管理方針的范圍及理風險和設(shè)置風險管理方針的范圍及風險準則時，予以考慮。風險準則時，予以考慮。 1 14.4.明確環(huán)境明確環(huán)境 。注：風險準則包括相關(guān)的成本及收益，法律法規(guī)要求，社會注：風險準則包括相關(guān)的成本及收益，法律法規(guī)要求，社會 及環(huán)境因素，利益相關(guān)者的態(tài)度，優(yōu)先次序和在評估過及環(huán)境因素，利益相關(guān)者的態(tài)度，優(yōu)

32、先次序和在評估過 程中的其他要素。程中的其他要素。風險準則是組織用于評價風險重要度的標準，因此，風險風險準則是組織用于評價風險重要度的標準，因此，風險 準則需體現(xiàn)組織的風險承受度，并反映組織的價值觀、目準則需體現(xiàn)組織的風險承受度，并反映組織的價值觀、目 標和資源。標和資源。風險評價準則會涉及到各個方面，如成本收益、法律法規(guī)、風險評價準則會涉及到各個方面，如成本收益、法律法規(guī)、利益相關(guān)者態(tài)度等。利益相關(guān)者態(tài)度等。風險準則也會直接或間接反映法律法規(guī)要求或其他需要組風險準則也會直接或間接反映法律法規(guī)要求或其他需要組 織遵循的要求。準則也是使組織對接受風險做出決定的依據(jù)織遵循的要求。準則也是使組織對接

33、受風險做出決定的依據(jù)。1 15.5.風險準則風險準則 。 1 16.6.風險評估風險評估 風險評估風險評估 風險識別風險識別 風險分析風險分析 風險評價風險評價 。 注：風險源可能是有形的或者是無形的。 具有風險管理權(quán)限和責任的具有風險管理權(quán)限和責任的個人或?qū)嶓w個人或?qū)嶓w。 注注1 1：風險分析為風險評價和風險處理決策提供了：風險分析為風險評價和風險處理決策提供了 基礎(chǔ)?；A(chǔ)。 注注2 2：風險分析包括風險估測。：風險分析包括風險估測。 注：風險評定有助于有關(guān)風險處理的決策。 一個組織愿意追求或保留風險的一個組織愿意追求或保留風險的數(shù)量和類型。數(shù)量和類型。 GB/T24353:2009 5.6

34、.1 GB/T24353:2009 5.6.1 中提到這一詞匯中提到這一詞匯 COSOCOSO指出：指出： 風險偏好是企業(yè)追求目標中愿意接受風險風險偏好是企業(yè)追求目標中愿意接受風險的程度的程度 指導(dǎo)企業(yè)的資源配置；指導(dǎo)企業(yè)的資源配置；23.23.風險偏好風險偏好 risk appetite 接受某一風險的決定。接受某一風險的決定。 注：風險承受取決于風險準則。注：風險承受取決于風險準則。 任何規(guī)模和類型的組織都面臨風險，組織的所有任何規(guī)模和類型的組織都面臨風險，組織的所有 活動都涉及風險。只是組織應(yīng)通過確定風險準則，活動都涉及風險。只是組織應(yīng)通過確定風險準則，來決定對某一風險是否接受。來決定對

35、某一風險是否接受。 組織的價值取向和能力不同，因而是否能接受某組織的價值取向和能力不同，因而是否能接受某 一風險會有不同的決定，這些決定會依據(jù)風險準一風險會有不同的決定，這些決定會依據(jù)風險準 則的要求。則的要求。24.24.風險承受風險承受 risk acceptance 注注1 1：風險處理可包括：風險處理可包括：通過決定不啟動或停止產(chǎn)生風險的活動而避免風險。通過決定不啟動或停止產(chǎn)生風險的活動而避免風險。為了追求機會采取或增加風險。為了追求機會采取或增加風險。消除風險源。消除風險源。改變可能性。改變可能性。改變后果。改變后果。與其他方面共同分擔風險（包括合同、風險融資）。與其他方面共同分擔風

36、險（包括合同、風險融資）。通過有事實依據(jù)的決策保留風險。通過有事實依據(jù)的決策保留風險。注注2 2：對消極后果的風險處理有時可以稱為：對消極后果的風險處理有時可以稱為 “風險減緩（風險減緩（risk mitigation）”、 “風險消除（風險消除（risk eliminate）”、 “風險預(yù)防（風險預(yù)防（risk prevention）”和和 “風險減?。L險減小（risk reduction）”。注注3 3：風險處理可以產(chǎn)生新的風險或修正已：風險處理可以產(chǎn)生新的風險或修正已 存在的風險。存在的風險。 決定不陷入風險，或者從風險狀決定不陷入風險，或者從風險狀 態(tài)中撤離的行為。態(tài)中撤離的行為。

37、注：這個決定可能是以風險評價結(jié)果為依據(jù)的。注：這個決定可能是以風險評價結(jié)果為依據(jù)的。在風險評價之后，風險管理者會發(fā)現(xiàn)某些風險發(fā)生損失的可在風險評價之后，風險管理者會發(fā)現(xiàn)某些風險發(fā)生損失的可 能性很大，或者一旦發(fā)生且損失的程度非常嚴重時，可以采能性很大，或者一旦發(fā)生且損失的程度非常嚴重時，可以采 取主動放棄原來承擔風險或完全拒絕承擔該風險的實施行動，取主動放棄原來承擔風險或完全拒絕承擔該風險的實施行動， 就是對風險的規(guī)避。就是對風險的規(guī)避。風險規(guī)避是一種主動的行為，但放棄風險同時也意味著收風險規(guī)避是一種主動的行為，但放棄風險同時也意味著收 益的喪失。益的喪失。26.26.風險規(guī)避風險規(guī)避 為實現(xiàn)

38、風險處理及其他相關(guān)活動的為實現(xiàn)風險處理及其他相關(guān)活動的費用提供資金的活動。費用提供資金的活動。 注：在某些行業(yè)中，風險融資特指對風險造成注：在某些行業(yè)中，風險融資特指對風險造成 的財務(wù)后果提供資金。的財務(wù)后果提供資金。 組織在風險處理（風險規(guī)避、風險優(yōu)化、風險轉(zhuǎn)組織在風險處理（風險規(guī)避、風險優(yōu)化、風險轉(zhuǎn)移、風險自留）過程中，需要支付一定的費用，移、風險自留）過程中，需要支付一定的費用，以實現(xiàn)管理風險或補償損失，因而會采用各種方以實現(xiàn)管理風險或補償損失，因而會采用各種方式融通資金。式融通資金。 融通資金是為風險管理對資金的籌措，也是風險融通資金是為風險管理對資金的籌措，也是風險的一種財務(wù)補償機制

39、。風險估計和風險評價是融的一種財務(wù)補償機制。風險估計和風險評價是融資的主要數(shù)據(jù)依據(jù)。資的主要數(shù)據(jù)依據(jù)。27.27.風險融資風險融資 接受某一特定風險帶來的損失或收益。接受某一特定風險帶來的損失或收益。注注1 1：風險自留包括接受那些沒有得到識別的風險。：風險自留包括接受那些沒有得到識別的風險。注注2 2：風險自留不包括運用保險或者其他方法進行：風險自留不包括運用保險或者其他方法進行 的風險轉(zhuǎn)移的處理。的風險轉(zhuǎn)移的處理。注注3 3：對風險的接受程度和對風險準則的依賴程度：對風險的接受程度和對風險準則的依賴程度 可能會有變化。可能會有變化。28.28.風險自留風險自留 2 29.9. monito

40、ring。 30.30. review原則一：風險管理創(chuàng)造并保護價值原則一：風險管理創(chuàng)造并保護價值原則二：風險管理嵌入組織的管理過程原則二：風險管理嵌入組織的管理過程原則三：風險管理支持決策過程原則三：風險管理支持決策過程原則四：明確風險管理涉及的不確定性原則四：明確風險管理涉及的不確定性原則五：風險管理是系統(tǒng)的，結(jié)構(gòu)化的原則五：風險管理是系統(tǒng)的，結(jié)構(gòu)化的 和及時的和及時的原則六：風險管理是基于最可用的信息原則六：風險管理是基于最可用的信息原則七：風險管理是定制的原則七：風險管理是定制的原則八：風險管理考慮人文因素原則八：風險管理考慮人文因素原則九：風險管理是透明的和包原則九：風險管理是透明的

41、和包 容的容的原則十：風險管理是動態(tài)的，原則十：風險管理是動態(tài)的，迭迭 代的和適應(yīng)變化的代的和適應(yīng)變化的原則十一：風險管理有利于組織原則十一：風險管理有利于組織 持續(xù)改進持續(xù)改進 風險管理創(chuàng)造并保護價值風險管理創(chuàng)造并保護價值 這項原則的價值在于風險管理的目的這項原則的價值在于風險管理的目的就是為了就是為了創(chuàng)造并保護價值，控制損失創(chuàng)造并保護價值，控制損失。風險是客觀存在的，任何組織都面臨風險是客觀存在的，任何組織都面臨風險，組織的所有活動都涉及風險，風險，組織的所有活動都涉及風險，風險會影響組織目標的實現(xiàn)。風險會影響組織目標的實現(xiàn)。在組織的運營活動中，機遇和威脅并存在組織的運營活動中，機遇和威脅

42、并存，風險管理，風險管理就是就是要趨利避害，創(chuàng)造價值要趨利避害，創(chuàng)造價值。在某些特定領(lǐng)域，如金融業(yè)、從風險。在某些特定領(lǐng)域，如金融業(yè)、從風險管理的角度管理的角度出發(fā)，幣值波動既能造成潛出發(fā)，幣值波動既能造成潛在損失，又是可能盈利的機會。在損失，又是可能盈利的機會。因此風險管理過程越來越多地被認為是因此風險管理過程越來越多地被認為是既要關(guān)注不確定因素帶來的消極影響，既要關(guān)注不確定因素帶來的消極影響，又要關(guān)注這些不確定性因素的積極影響又要關(guān)注這些不確定性因素的積極影響。 風險管理不是獨立于組織主要活動和風險管理不是獨立于組織主要活動和各項管理過程的單獨的活動，而是組織管各項管理過程的單獨的活動，而

43、是組織管理過程不可缺少的重要組織部分，包括戰(zhàn)理過程不可缺少的重要組織部分，包括戰(zhàn)略規(guī)劃、所有項目、變更管理過程。略規(guī)劃、所有項目、變更管理過程。組織的管理是一個綜合管理，風險管理是組組織的管理是一個綜合管理，風險管理是組織綜合管理的一個組成部分?？椌C合管理的一個組成部分。組織應(yīng)把風險管理的各項要求融入企業(yè)管理組織應(yīng)把風險管理的各項要求融入企業(yè)管理和業(yè)務(wù)流程中，如：企業(yè)戰(zhàn)略、規(guī)劃、產(chǎn)品和業(yè)務(wù)流程中，如：企業(yè)戰(zhàn)略、規(guī)劃、產(chǎn)品研發(fā)、投融資、市場運營、財務(wù)、內(nèi)部審計研發(fā)、投融資、市場運營、財務(wù)、內(nèi)部審計、變更管理、法律事務(wù)、人力資源、采購、變更管理、法律事務(wù)、人力資源、采購、加工制造、銷售、物流、質(zhì)量

44、、安全生產(chǎn)、加工制造、銷售、物流、質(zhì)量、安全生產(chǎn)、環(huán)境保護等。環(huán)境保護等。 COSOCOSO于于20012001年起開始進行企業(yè)風險管理研年起開始進行企業(yè)風險管理研究，強調(diào)風險管理框架必須和內(nèi)部控制框究，強調(diào)風險管理框架必須和內(nèi)部控制框架相一致，把內(nèi)部控制目標和要素整合到架相一致，把內(nèi)部控制目標和要素整合到企業(yè)全面風險管理過程中。企業(yè)全面風險管理過程中。因此，全面風險管理（因此，全面風險管理（ERMERM）框架是對內(nèi)部）框架是對內(nèi)部控制框架的擴展和延伸，它涵蓋了內(nèi)部控控制框架的擴展和延伸，它涵蓋了內(nèi)部控制，并且比內(nèi)部控制更完整、有效制，并且比內(nèi)部控制更完整、有效。首先，該框架擴展了內(nèi)部控制框架

45、，強調(diào)風首先，該框架擴展了內(nèi)部控制框架，強調(diào)風險管理與企業(yè)戰(zhàn)略目標相協(xié)調(diào)，并最終融人險管理與企業(yè)戰(zhàn)略目標相協(xié)調(diào)，并最終融人企業(yè)文化之中；企業(yè)文化之中；其次，該框架更強調(diào)風險管理貫穿于企業(yè)運其次，該框架更強調(diào)風險管理貫穿于企業(yè)運行過程的各個方面，涉及到企業(yè)的治理、管行過程的各個方面，涉及到企業(yè)的治理、管理和操作等所有層級，擴展了單純的內(nèi)部控理和操作等所有層級，擴展了單純的內(nèi)部控制職能；制職能；最后，引入了風險組合、風險和機會的區(qū)分最后，引入了風險組合、風險和機會的區(qū)分、風險應(yīng)對、風險偏好、風險容量等風險管、風險應(yīng)對、風險偏好、風險容量等風險管理理論新的研究成果。理理論新的研究成果。 風險管理是一

46、個過程，就符合過程管理的風險管理是一個過程，就符合過程管理的原則，組織的風險管理是由許多風險管理原則，組織的風險管理是由許多風險管理過程組成，在風險管理的過程中，要將多過程組成，在風險管理的過程中，要將多個風險管理過程按照一個統(tǒng)一的風險管理個風險管理過程按照一個統(tǒng)一的風險管理系統(tǒng)來管理，這樣能夠取得最優(yōu)的效率和系統(tǒng)來管理，這樣能夠取得最優(yōu)的效率和結(jié)果結(jié)果組織體系是風險管理的保障組織體系是風險管理的保障風險管理是及時的，有組織的風險管理是及時的，有組織的 風險管理是定制的風險管理是定制的 風險管理與組織的內(nèi)外部環(huán)境及風險管理與組織的內(nèi)外部環(huán)境及風險環(huán)境是匹配的。風險環(huán)境是匹配的。風險管理與組織的

47、內(nèi)外部環(huán)境有關(guān)。風風險管理與組織的內(nèi)外部環(huán)境有關(guān)。風險管理與組織的行業(yè)、產(chǎn)品、經(jīng)營模式險管理與組織的行業(yè)、產(chǎn)品、經(jīng)營模式、客戶、競爭對象風險水平等相適應(yīng)。、客戶、競爭對象風險水平等相適應(yīng)。組織的風險管理與組織所承擔的風險有組織的風險管理與組織所承擔的風險有關(guān)，受組織的文化、地域、歷史、信仰關(guān)，受組織的文化、地域、歷史、信仰、人員等人文因素的影響不同的組織風、人員等人文因素的影響不同的組織風險偏好不一樣，風險標準不一樣，風險險偏好不一樣，風險標準不一樣，風險管理的決策和風險實施就不一樣。管理的決策和風險實施就不一樣。 風險管理考慮人文因素風險管理考慮人文因素 風險管理意識是可以促進或阻礙組風險管

48、理意識是可以促進或阻礙組織目標的實現(xiàn)的內(nèi)部和外部人的能量、織目標的實現(xiàn)的內(nèi)部和外部人的能量、觀念和意圖。觀念和意圖。 風險管理是透明的和包容的風險管理是透明的和包容的在組織的風險管理過程中，風險管理的決在組織的風險管理過程中，風險管理的決策者要參與分風險管理過程，要和風險管策者要參與分風險管理過程，要和風險管理過程的人員進行充分的溝通，要在風險理過程的人員進行充分的溝通，要在風險管理的各個環(huán)節(jié)明確要求和準則，及時掌管理的各個環(huán)節(jié)明確要求和準則，及時掌握風險動態(tài)，做出準確的決策。握風險動態(tài)，做出準確的決策。 風險管理是動態(tài)的，風險管理是動態(tài)的， 迭代的和適應(yīng)變化的迭代的和適應(yīng)變化的 風險管理有利

49、于風險管理有利于 組織持續(xù)改進組織持續(xù)改進 組織應(yīng)制定和實施戰(zhàn)略，以改善組組織應(yīng)制定和實施戰(zhàn)略，以改善組織各個方面的風險管理水平?？椄鱾€方面的風險管理水平。n1.1.總則（風險管理框架的含義）總則（風險管理框架的含義）2.2.風險管理的指令與承諾風險管理的指令與承諾3.3.風險管理框架的設(shè)計風險管理框架的設(shè)計4.4.風險管理的實施風險管理的實施5.5.框架的監(jiān)視與評審框架的監(jiān)視與評審6.6.框架的持續(xù)改進框架的持續(xù)改進 通常意義上的理解通常意義上的理解 邊界、基礎(chǔ)要素、結(jié)構(gòu)的集合邊界、基礎(chǔ)要素、結(jié)構(gòu)的集合1.2 1.2 風險管理框架的含義風險管理框架的含義 提供在組織內(nèi)設(shè)計、實施、監(jiān)測、提供在

50、組織內(nèi)設(shè)計、實施、監(jiān)測、評審和持續(xù)改進風險管理的基礎(chǔ)和組織評審和持續(xù)改進風險管理的基礎(chǔ)和組織安排的要素集合。安排的要素集合。 基礎(chǔ)基礎(chǔ)包括風險管理的：包括風險管理的：n方針方針n目標目標n指令和承諾等；指令和承諾等； 組織安排組織安排包括風險管理的：包括風險管理的：n計劃計劃n關(guān)系關(guān)系n職責職責n資源資源n過程和活動過程和活動 嵌入嵌入到組織整體的戰(zhàn)略以及運營方針和實踐之中到組織整體的戰(zhàn)略以及運營方針和實踐之中 嵌入：嵌入：n非孤立存在；非孤立存在；n成為運行對象的一部分；成為運行對象的一部分；n整合高度成熟的一種狀態(tài)；整合高度成熟的一種狀態(tài)；組織的運營過程組織的運營過程n風險管理框架自身并不

51、構(gòu)成一個單獨的風險管理框架自身并不構(gòu)成一個單獨的“風險管風險管理體系理體系”；n框架追求的結(jié)果是將風險管理嵌入到組織整體的框架追求的結(jié)果是將風險管理嵌入到組織整體的管理體系之中；管理體系之中；n更為有效的方式是在組織現(xiàn)有的體系過程中，整更為有效的方式是在組織現(xiàn)有的體系過程中，整合應(yīng)用框架內(nèi)的風險管理要素；合應(yīng)用框架內(nèi)的風險管理要素；指令和承諾指令和承諾 風險管理框架的設(shè)計風險管理框架的設(shè)計 理解組織和其狀況理解組織和其狀況 建立風險管理方針建立風險管理方針 責任責任 融入組織的過程融入組織的過程 資源資源 建立內(nèi)部溝通和報告機制建立內(nèi)部溝通和報告機制 建立外部溝通和報告機制建立外部溝通和報告機

52、制框架的持續(xù)改進框架的持續(xù)改進實施風險管理實施風險管理實施風險管理框架實施風險管理框架實施風險管理過程實施風險管理過程框架的監(jiān)測和評審框架的監(jiān)測和評審 管理層的行為管理層的行為 組織組織“權(quán)力權(quán)力”方面的保證方面的保證 目的在于支持：目的在于支持：n在組織內(nèi)部引入風險管理在組織內(nèi)部引入風險管理n保持風險管理的持續(xù)有效性保持風險管理的持續(xù)有效性 風險管理方針的制定風險管理方針的制定( (統(tǒng)一方向統(tǒng)一方向) ) 協(xié)調(diào)性的保證協(xié)調(diào)性的保證n風險管理方針風險管理方針 VS VS 組織文化組織文化n風險管理績效指標風險管理績效指標 VS VS 組織的其他指標組織的其他指標n風險管理目標風險管理目標 VS

53、 VS 組織的其他目標和戰(zhàn)略組織的其他目標和戰(zhàn)略 合規(guī)性合規(guī)性 職責權(quán)限的分配職責權(quán)限的分配 資源的配置資源的配置 對風險管理收益的溝通對風險管理收益的溝通 框架適宜性的保持框架適宜性的保持 基礎(chǔ)：對組織內(nèi)外部環(huán)境（狀況）的評價基礎(chǔ)：對組織內(nèi)外部環(huán)境（狀況）的評價和理解和理解 設(shè)計的內(nèi)容涉及：設(shè)計的內(nèi)容涉及：n風險管理方針風險管理方針n責任責任n與組織過程的融合與組織過程的融合n資源資源n內(nèi)外部溝通與報告機制內(nèi)外部溝通與報告機制 國際、國內(nèi)、區(qū)域和當?shù)氐纳鐣臀幕?、政治、國際、國內(nèi)、區(qū)域和當?shù)氐纳鐣臀幕?、政治、法律、法?guī)、財務(wù)、技術(shù)、經(jīng)濟、自然和競爭法律、法規(guī)、財務(wù)、技術(shù)、經(jīng)濟、自然和競爭

54、環(huán)境；（客觀存在）環(huán)境；（客觀存在） 對組織目標實現(xiàn)產(chǎn)生關(guān)鍵影響的驅(qū)動因素和趨對組織目標實現(xiàn)產(chǎn)生關(guān)鍵影響的驅(qū)動因素和趨 勢；（與組織的目標相關(guān)聯(lián)）勢；（與組織的目標相關(guān)聯(lián)） 與外部利益相關(guān)方的關(guān)系以及觀念和價值觀；與外部利益相關(guān)方的關(guān)系以及觀念和價值觀； （與組織的外部利益相關(guān)方有關(guān)）（與組織的外部利益相關(guān)方有關(guān)）公司治理、組織結(jié)構(gòu)、角色和職責；公司治理、組織結(jié)構(gòu)、角色和職責；計劃實現(xiàn)的方針、目標和戰(zhàn)略；計劃實現(xiàn)的方針、目標和戰(zhàn)略；能力（從資源和知識的角度）（例如，資本、時間能力（從資源和知識的角度）（例如，資本、時間、人員、過程系統(tǒng)和技術(shù)）；、人員、過程系統(tǒng)和技術(shù)）；信息系統(tǒng)、信息流和決策過

55、程（正式和非正式的）信息系統(tǒng)、信息流和決策過程（正式和非正式的）；與內(nèi)部利益相關(guān)方的關(guān)系、他們的觀念和價值觀；與內(nèi)部利益相關(guān)方的關(guān)系、他們的觀念和價值觀；組織的文化；組織的文化；組織所采用的標準、指南和業(yè)務(wù)模式；組織所采用的標準、指南和業(yè)務(wù)模式；合同關(guān)系的形式和范圍；合同關(guān)系的形式和范圍； 風險管理方針：組織對風險管理的意圖和風險管理方針：組織對風險管理的意圖和方向的陳述方向的陳述 建立方針是管理層的職責建立方針是管理層的職責 風險管理方針應(yīng)清晰表述的內(nèi)容：風險管理方針應(yīng)清晰表述的內(nèi)容： 風險管理的目標風險管理的目標 組織對風險管理的承諾組織對風險管理的承諾 方針應(yīng)得到溝通方針應(yīng)得到溝通 風險

56、管理方針應(yīng)指明的典型內(nèi)容：風險管理方針應(yīng)指明的典型內(nèi)容：n組織管理風險的基本原理；組織管理風險的基本原理；n組織目標、方針與風險管理方針的聯(lián)系；組織目標、方針與風險管理方針的聯(lián)系；n管理風險的責任和職責；管理風險的責任和職責；n處理利益相關(guān)方?jīng)_突的方式；處理利益相關(guān)方?jīng)_突的方式；n為管理風險提供所需資源的承諾；為管理風險提供所需資源的承諾；n風險管理績效測量和報告的方法；風險管理績效測量和報告的方法；n對風險管理方針和框架周期性的評審和改進以對風險管理方針和框架周期性的評審和改進以及對環(huán)境中的事件或變革進行應(yīng)對的承諾；及對環(huán)境中的事件或變革進行應(yīng)對的承諾； 涵蓋的范圍：職責、權(quán)限和能力涵蓋的范

57、圍：職責、權(quán)限和能力 需要明確定義職責、權(quán)限和能力的領(lǐng)域需要明確定義職責、權(quán)限和能力的領(lǐng)域 實施和保持風險管理過程；實施和保持風險管理過程； 為確?？刂频某浞中?、有效性和效率為確?？刂频某浞中浴⒂行院托仕璧幕顒?；所需的活動； 確定的主要方式：確定的主要方式： 識別風險所有者；識別風險所有者； 識別對風險管理框架負有建立、實施和保持職責的識別對風險管理框架負有建立、實施和保持職責的 人員；人員； 識別組織所有層次在風險管理過程方面的其他職責識別組織所有層次在風險管理過程方面的其他職責 建立績效測量過程以及外部和或內(nèi)部報告和分發(fā)過建立績效測量過程以及外部和或內(nèi)部報告和分發(fā)過 確保適宜的認可程

58、度；確保適宜的認可程度； 基本的方法論：基本的方法論： 風險管理過程應(yīng)是組織過程中的一部分；風險管理過程應(yīng)是組織過程中的一部分； 風險管理應(yīng)融入方針建立、業(yè)務(wù)和戰(zhàn)略策劃和評風險管理應(yīng)融入方針建立、業(yè)務(wù)和戰(zhàn)略策劃和評審以及變革管理過程；審以及變革管理過程； 融合的要求：融合的要求： 以緊密相關(guān)的、有效的、有效率的方式將風險管以緊密相關(guān)的、有效的、有效率的方式將風險管理嵌入至組織所有的實踐和過程理嵌入至組織所有的實踐和過程 融合的載體融合的載體 風險管理計劃風險管理計劃 組織應(yīng)為風險管理配置適宜的資源組織應(yīng)為風險管理配置適宜的資源 應(yīng)考慮以下方面的內(nèi)容：應(yīng)考慮以下方面的內(nèi)容： 人員、技能、經(jīng)驗和能

59、力；人員、技能、經(jīng)驗和能力； 風險管理過程步驟所需的資源；風險管理過程步驟所需的資源； 組織應(yīng)用于風險管理的過程、方法和工具；組織應(yīng)用于風險管理的過程、方法和工具； 文件化的過程和程序；文件化的過程和程序； 信息和知識管理系統(tǒng)；信息和知識管理系統(tǒng)； 培訓(xùn)方案培訓(xùn)方案 目的：支持和鼓勵風險的職責和責任歸屬；目的：支持和鼓勵風險的職責和責任歸屬； 確保：確保：風險管理框架的關(guān)鍵組成部分以及任何后續(xù)的修改得風險管理框架的關(guān)鍵組成部分以及任何后續(xù)的修改得 到適宜的溝通；到適宜的溝通；存在充分的關(guān)于框架的，有效性和輸出的內(nèi)部報告；存在充分的關(guān)于框架的，有效性和輸出的內(nèi)部報告；來自于風險管理應(yīng)用所獲得的相

60、關(guān)信息在適宜的層次來自于風險管理應(yīng)用所獲得的相關(guān)信息在適宜的層次 和頻次上可獲得；和頻次上可獲得；存在與內(nèi)部利益相關(guān)方協(xié)商的過程；存在與內(nèi)部利益相關(guān)方協(xié)商的過程； 對多來源信息的統(tǒng)一對多來源信息的統(tǒng)一 對信息敏感性的考慮對信息敏感性的考慮 溝通與報告的對象：外部利益相關(guān)方溝通與報告的對象：外部利益相關(guān)方 機制的載體：溝通計劃機制的載體：溝通計劃 計劃的內(nèi)容：計劃的內(nèi)容： 使適宜的利益相關(guān)方參與并確保有效地溝通信息；使適宜的利益相關(guān)方參與并確保有效地溝通信息；法律、法規(guī)和政府要求遵守情況的對外通告；法律、法規(guī)和政府要求遵守情況的對外通告；為溝通和協(xié)商提供反饋和報告；為溝通和協(xié)商提供反饋和報告；利