风险管理框架的设计与实施ppt课件.ppt
2022/11/15,中国新时代认证中心,1,风险管理框架,2022/11/15,中国新时代认证中心,2,主要内容,风险管理框架总则风险管理的指令与承诺风险管理框架的设计风险管理的实施框架的监视与评审框架的持续改进,2022/11/15,中国新时代认证中心,3,框架在风险管理中的角色,2022/11/15,中国新时代认证中心,4,4.1 总 则,-风险管理的成功取决于提供将风险管理嵌入整 个组织所有层次的基础和安排的管理框架的有 效性。框架有助于通过在组织不同层次和特定 状况内应用风险管理过程,有效地管理风险。-框架确保从风险管理过程取得的风险信息充分 地被报告,以及作为决策和所有相关组织层次 责任的基础。-本条款描述了风险管理框架的必要要素和其以 迭代的方式相互作用的方法。,2022/11/15,中国新时代认证中心,5,风险管理框架的含义,1、什么是“框架”?通常意义上的理解边界、基础要素、结构的集合,2022/11/15,中国新时代认证中心,6,风险管理框架的含义,2、风险管理框架提供在整个组织范围内设计、实施、监测、评审和持续改进风险管理的基本原则和组织安排的要素集合。,2022/11/15,中国新时代认证中心,7,风险管理框架的含义,基本原则包括风险管理的:方针目标指令和承诺等;组织层面的安排包括风险管理的:计划、关系、职责、资源、过程和活动,2022/11/15,中国新时代认证中心,8,风险管理框架的含义,嵌入到组织整体的战略以及运营方针和实践之中嵌入: 非孤立存在; 成为运行对象的一部分; 整合高度成熟的一种状态;,风险管理框架要素间的相互关系,2022/11/15,中国新时代认证中心,10,4.1 总 则,-本框架目的不是规定一个管理体系,而是有助 于组织将风险管理整合到它的整个管理体系中。 因此,组织宜使框架的要素适用于其特定的需 求。-如果组织现存的管理实践和过程包含风险管理 要素,或者如果组织已经针对特定的风险或状 况采纳了一个正式的风险管理过程,那么对原 有的这些实践和过程宜针对本标准进行评审和 评价,以确定它们的充分性和有效性。,2022/11/15,中国新时代认证中心,11,4.2 指令和承诺,-风险管理的引入和确保它的持续有效需要组织管 理者强有力和持续的承诺,以及为实现承诺在所 有层次战略的和严密的策划。-管理者宜: 确定和签署风险管理方针 确保组织的文化和风险管理方针一致 确定与组织绩效参数一致的风险管理绩效参数 使风险管理目标与组织的目标和战略一致 确保法律法规的复合性 在组织内适当的层次分配责任和职责 确保为风险管理配置必要的资源 将风险管理的益处通报给所有的利益相关方 确保风险管理框架持续保持适宜,2022/11/15,中国新时代认证中心,12,4.3风险管理框架的设计,2022/11/15,中国新时代认证中心,13,4.3.1 理解组织和其状况,-在开始设计和实施风险管理框架前,评价和理 解组织内外部的状况是重要的,因为这会对框 架的设计产生显著的影响。-评价组织外部状况可以包括,但不限于: a) 社会和文化、政治、法律法规、财务、技术、 经济、自然和竞争环境,无论国际、国内、区 域和当地 b) 影响组织目标的动力和趋势 C) 与外部利益相关方的关系,以及它们的感受和 价值观,2022/11/15,中国新时代认证中心,14,4.3.1 理解组织和其状况,评价组织内部状况可以包括,但不限于: 管理方法、组织结构、作用和责任 方针、目标,以及为实现它们所制定的战略 以资源和知识来理解的能力(例如,资本、时 间、人员、过程、系统和技术) 信息系统、信息流和决策过程(正式和非正式 的) 与内部利益相关方的关系,以及它们的感受和 价值观 组织的文化 被组织采用的标准、指南和模型 合同关系的形式和范围,2022/11/15,中国新时代认证中心,15,4.3.2 建立风险管理方针,风险管理方针宜清楚阐明组织风险管理的目标和承诺,特别要针对: 组织管理风险的基本原理; 组织目标和方针与风险管理方针的联系; 管理风险的责任和职责; 处理利益冲突的方法; 提供有助于管理风险必要资源的承诺; 风险管理绩效测量和报告的方法; 对定期评审和改进风险管理方针和框架,以 及对事件和环境变化做出响应的承诺。 风险管理方针宜适当地沟通。,2022/11/15,中国新时代认证中心,16,4.3.3 责任,组织宜确保具备管理风险的责任、权限和适当的能力,包括实施和保持风险管理过程和确保任何控制措施的充分性、有效性和效率。这可通过如下途径来实现: 确定有责任和权利管理风险的风险拥有者 确定负责建立、实施和保持风险管理框架的 人员 确定组织所有层次人员的风险管理过程的其 他职责 建立绩效测量和内部和外部报告和逐级报告 过程 确保确定的合适程度,2022/11/15,中国新时代认证中心,17,4.3.4 整合到组织的过程,-风险管理宜益相关、有效和有效率的方式嵌入 到所有组织的实践和过程中。风险管理过程宜 变成组织过程的部分,而不是分离的。特别 是,风险管理宜嵌入方针制定、商业和战略策 划和评审和变更管理过程中。-宜具备一个组织的广泛风险管理计划以确保风 险管理方针的实施和将风险管理嵌入全部组织 的实践和过程中。-风险管理计划可以整合到组织其他的计划中, 如战略计划。,2022/11/15,中国新时代认证中心,18,4.3.5 资 源,-组织宜为风险管理配置适当的资源。-对如下方面宜予以考虑: 人员、技能、经验和能力 对于风险管理过程的每步骤所需的资源 用于管理风险的组织的过程、方法和工具 形成文件的过程和程序 管理体系的信息和知识 培训方案,2022/11/15,中国新时代认证中心,19,4.3.6 建立内部沟通和报告机制,组织宜建立内部沟通和报告机制,用于支持和促进风险的责任和归属。这些机制宜确保:风险管理框架的关键要素和任何后续的更改被 适当地沟通对框架和其有效性及结果在内部充分地予以报 告风险管理的相关信息在适当的层次和时间予以 获得与内部利益相关方的协商过程被予以提供 适当时,这些机制宜包括基于多源头强化风险信息的过程,以及可能需要考虑信息的敏感性。,2022/11/15,中国新时代认证中心,20,4.3.7 建立外部沟通和报告机制,组织宜制定和实施一个关于如何与外部利益相关方沟通的计划。 这宜包括:吸引适当的外部利益相关方的关注和确保有效 的信息交流对外报告法律法规和管理要求的遵守情况对沟通和协商进行报告和反馈运用沟通来建立组织的信心向利益相关方沟通紧急或突发事件 适当时,这些机制宜包括基于多源头强化风险信息的过程,以及可能需要考虑信息的敏感性。,2022/11/15,中国新时代认证中心,21,4.4实施风险管理,2022/11/15,中国新时代认证中心,22,4.4.1 实施管理风险的框架,在实施组织的管理风险的框架时,组织宜:确定实施框架的适当时间安排和策略将风险管理方针和过程应用到组织的过程遵守法律法规要求确保决策,包括目标的制定和设立,与风险管 理过程输出结果一致举行信息和培训会议与利益相关方进行沟通和协商以确保其风险管 理框架保持正确,2022/11/15,中国新时代认证中心,23,4.4.1 实施管理风险的框架,定义合适的实施该框架的时间表和策略;为组织的过程应用风险管理方针和过程;符合法律法规要求;确保决策、包括建立和设定目标等与风险管理过程的输出相协调;保持信息和培训机制与相关方沟通和协商以确保其风险管理框架保持适宜,2022/11/15,中国新时代认证中心,24,4.4.2 实施管理风险过程,风险管理宜通过确保将第五章描述的风险管理过程通过风险管理计划作为组织实践和过程的一部分应用到组织相关职能和层次。,25,风险管理过程组成,2022/11/15,中国新时代认证中心,26,4.5 框架的监测和评审,为了确保风险管理有效和持续改进组织的绩效,组织宜:针对适当定期评审的参数测量风险管理绩效定期测量风险管理计划的进展和偏离基于组织的内部和外部状况,定期评审风险管 理框架、方针和计划是否仍然适宜报告风险、风险管理计划的进展和风险管理方 针如何较好地执行评审风险管理框架的有效性,2022/11/15,中国新时代认证中心,27,4.5 框架的监测和评审,目的:持续有效地支持组织绩效手段:与指标进行对照评价风险管理计划的实施情况基于内外部环境的变化,对框架、方针和计划的持续适宜性进行评审风险报告、方针得到遵循的程度风险管理框架的有效性频次:周期性,2022/11/15,中国新时代认证中心,28,4.6 框架的持续改进,基于监测和评审结果,宜做出如何可以改进风险管理框架、方针和计划的决策。这些决策宜致使组织的风险管理和风险管理文化的改进。,2022/11/15,中国新时代认证中心,29,4.6 框架的持续改进,改进的输入:监视和评审的结果改进的领域:改进风险管理的框架、方针和 计划。改进的输出:组织风险管理和其风险管理文化的改进。,