风险管理学习记录.doc

《风险管理学习记录.doc》由会员分享，可在线阅读，更多相关《风险管理学习记录.doc（23页珍藏版）》请在三一办公上搜索。

1、第一章 风险管理概述一、风险与风险管理1、风险：不确定性所具有的对组织目标的影响就是风险。2、风险管理是针对风险指挥和控制组织的协调活动。组织的所有活动都 涉及风险组织通过识别、分析和评定是否运用风险应对修正风险以满足它们的风险准则，来管理风险。通过这个过程，它们与利益相关方进行沟通和协商，监测和评审风险，以及为确保不再进一步需求风险应对而修正风险的控制措施。二、风险管理的起源和发展20世纪30年代，世界经济危机，美国40%左右的银行和企业破产，保险为风险应对主要手段。 20世纪50年代，风险管理在美国以学科形式发展，并逐步形成了独立的理论体系。70年代后逐渐掀起了20世纪90年代开始随着国际

2、资产证券化、债券的风险进一步扩大，风险管理迅速在国际推行。欧美等国先后建立起全国性和地区性的风险管理协会。针对安然、世通等财务欺诈事件，美国国会出台了2002年萨班斯-奥克斯得法案来规范上市公司。1983年，美国风险和保险管理协会年会上，通过了“101条风险管理准则”，标志着风险管理发展进入了一个新阶段欧洲11个国家成立了“欧洲风险管理委员会”。美国多家专业团体成立了“反虚假财务报告委员会”和专业研究内部控制的委员会“COSO委员会”。COSO报告内部控制整体框架1992和COSOERM企业风险管理框架2004。 是风险管理的重要文献。全面企业风险管理框架21世纪，风险管理开始从传统的点对点式

3、的管理走向全面的、一体化的管理。IASC国际会计准则委员会、BASEL巴塞尔银行监管委员会、美国COSO委员会开发了一套完整的、适用自己的全面企业风险管理框架。COSO全面风险管理（ERM）框架的义：企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，在识别可能会影响主体的潜在事项，管理风险以使其在主体的风险容量之内，并为主体目标的实现提供合理的保证。三、我国的风险管理1、相对滞后，存在许多问题：缺乏风险意识和策略，管理被动。缺乏风险管理技术、专业人才和资金。战略上急于求成，应对变化能力不强，导致个别企业不能有效应对重大风险事件，在发展中承担了

4、自身不能承受的风险。2、2006年国务院资产监管委员会发布了中央企业全面风险管理指引：对中央企业如何开展全面风险管理提出了明确要求指导范围并不仅限于央企，对公司也同样适用标志着我国有了自己的全面风险管理指导文件，进入全面风险管理。四、风险管理标准1、国际大环境，促进了风险管理标准化和国际化。2、2004年，澳洲和新西兰联合推出AZ/NES4360风险管理标准。是第一个国家级风险管理标准，为国际标准的出台奠定了基础。3、风险管理的国际标准ISO31000被业内广为观注，历时5年，从CD至DIS至FDIS稿，于2009.11.13正式发布了ISO31000：2009风险管理原则和指南明确了风险管理

5、的原则和指南为深入开展风险管理工作提供了理论基础。4、2009年9月，我国依据ISO31000标准DIS稿，发布了国家标准GB/T24353风险管理原则与实施指南风险管理主要依据的标准有：ISO DUIDE 73 2002 风险管理 术语与风险有关的术语1个，与风险管理有关的术语4个、与风险管理过程有关的45个。ISO31000：2009 风险管理 原则和指南5章，范围，术语和定义29个，风险管理原则11个，风险管理框架，风险管理过程。ISO31000建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。IEC/I

6、SO31010 风险管理 评估技术对31000的补充，6章节GB/T24353风险管理原则与实施指南范围、规范性引用文件、术语和定义（GB/T23694）、风险管理原则8个、风险管理过程、风险管理的实施。风险管理原则风险管理框架风险管理过程：明确环境信息，风险评估（风险识别、分析、评价），风险应对，监督和检查（没有沟通与咨询）GB/T23694 2009 风险管理 术语 idtISO31000:20091、ISO31000:2009提供了在任何范围和状况下，以系统的、清晰可靠的方式管理风险的原则和通用指南。2、ISO31000建立了一些为使风险管理变得有效而需要满足的原则。3、ISO31000

7、建议，组织制度、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。4、风险管理的每一个特定领域或应用都具有各自的需求、受众、观念和准则。因此，ISO31000的主要特点是在通用的风险管理过程中将“明确环境”作为初始活动。5、“明确环境”将捕获组织的目标，组织所追求目标的环境，组织的利益相关方和风险准则的多样性，所有这些都将帮助揭示和评价风险的性质和复杂性。基础术语8个，受风险影响的组织及个人的相关术语4个，与风险评估的相关术语6个，与风险应对和风险控制相关的术语11。五、实施风险管理的目的、意义风险管理的目的：通过具有前瞻性的

8、、充分地考虑各类风险的不确定性及其对目标的影响，制定行之有效的应对措施，为组织在运营和决策中有效应对各类突发事件和风险提供支持和保障，以使组织能有效的配置资源、优化过程，及时、恰当、有效地应对风险，提高风险应对的效率和效果，更好地实现组织目标。风险管理的意义：提高实现目标的可能性、鼓励主动性管理、在整个组织意识到和处理风险的需求、改进对机会和威胁的识别、遵守相关的法律法规要求及国际规范、改进强制性和自愿性报告、改善治理、提高利益相关者的信心和信任、为决策和规划建立可靠的根基、加强控制、有效地分配和使用风险应对资源、提高运作的效果和效率、加强健康和安全绩效以及环境保护、改善损失、预防事件管理、减

9、少损失、提高组织的学习能力、增强组织的应变能力。六、风险管理在认证领域中的应用ISO31000中所描述的通用方法提供了在任何范围和背景下，以系统、清晰、可靠的方式管理风险的原则和指南。作为管理方法论，其原则和指南可以应用到认证的各个领域。OHSAS18000标准包含了风险管理在职业健康安全专业领域的应用ISO22000标准包含了风险管理在食品安全专业领域的应用。也适用于EMS和 QMS中。第二章 术语和定义（国际45个，我国29个）分三个部分：风险、风险管理、风险管理过程术语一、风险：不确定性对目标的影响。1、影响是与期待的偏差-积极和/或消极。2、目标可以有不同方面（如财务、健康安全、环境目

10、标），可以体现在不同的层次（如战略、组织范围、项目、产品和过程）。3、风险通常以潜在事件和后果，或它们的组合来描述。4、风险通常以事件（包括环境的变化）后果和发生可能性的组合不表述。5、不确定性是指对事件、其后果或可能性的识别或了解方面的信息的缺乏或不完整的状态。风险特性：未来性、不确定性、目标性、环境性、信息性、学习性、可管理性R=f(O、U、C) 目标、不确定性、影响二、后果：影响目标的事件结果。一个事件可能导致和各种后果。一个后果可能是确定的或不确定的，且对目标可能有正面的或负面影响。可定性或定量地表示后果。通过连锁效应可以使最初的后果升级。三、可能性：某事发生的可能程度四、概率：（频率

11、）某一事件发生的可能程度。度量某一随机事件发生可能性大小的实数，其值介于0与1之间，它可以用来指在一段相当长的时间内，某一事件将要发生的频率，或这一事件发生的可信程度，对于高可信度来说，概率接近1。有关可能性的程度可以用不同的等级不表示极不可能、不大可能、可能、很可能、几乎确定难以置信、不可能、可能 性极小、偶尔、有可能、经常五、事件：特定情况的发生及其变化一个事件可以是一个或更多发生的事，并且可以众多原因。一个事件可以由未来发生的事情组成一个事件有时被称为不良事件或事故一个未有结果的事件也可以被称为临近过失、不良事件、临近伤害、最后通牒六、风险管理：组织针对风险所采取的指挥和控制的协调活动。

12、七、风险管理框架：组织为设计、实施、监测、评审和持续改进风险管理提供基础和安排的一组构成。基础包括方针、目标和对管理风险的授权与承诺。组织的安排包括计划、相互关系、责任、资源、过程和活动。风险管理框架被嵌入到组织的所有战略、运营策略及实践中。COSO全面风险管理框架：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息沟通、监测八、风险管理方针：组织在风险管理方面总的意愿和方向的陈述。九、风险管理计划：在风险管理框架中，用于清晰描述风险管理方法、管理构成和资源的方案。管理构成一般包括程序、操作方法、职责分配、活动顺序和时间安排。风险管理计划可被应用到特定产品、过程和项目、组织的部分

13、或全体。十、风险管理过程：将管理方针、程序和操作方法系统地应用到沟通与咨询、建立环境、以及识别、评价、应对、监测与评审风险的活动中。是构成组织管理整体所必需的一部分，被嵌入组织的文化和实践中，与组织的运营过程相适应。十一、沟通和协商：组织针对管理风险所实施的提供信息、共享信息、获取信息并与利益相关方对话的持续、往复的过程。信息与风险管理的如下方面相关：现状、特性、结构、可能性、重要性、评价、可接受性、以及风险管理的应对。咨询是在组织与其利益相关方之间进行正式沟通的双向过程，是就优先进行决策的某一议题进行沟通，或决定该议题的发展方向。是通过影响而不是通过权力而对决策施加作用的一个过程；对决策的输

14、入，而不是参与决策。十二、利益相关者：可能影响、被影响 、或自以为可能被一项决定或活动所影响的个人或组织。决策者也是一个利益相关方。包括：组织的决策者组织内部负责制定风险管理政策的人员组织或活动中实施管理的人员需要对组织的风险管理实践进行评估的人员组织中负责制定风险管理标准、指南、程序、应用准则的人员股东、董事会、高级管理人员、员工、债权人、供应商、顾客、银行、监管机构、合作伙伴等。十三、风险感知：利益相关者根据其价值观或利害关系看待风险的方式。风险感知取决于利益相关者的需要、关注点及知识。风险感知可能不同于客观数据。风险感知反映利益相关者的需求，问题、知识、信念、和价值利益相关者的需要及关注

15、的问题不同，因而风险感知会有所不同风险感知会存在一定的主观判断，因而可能与客观数据有所不同。十四、明确环境：当组织管理风险管理和为风险管理方针而确定范围和风险准则时，必须考虑的外部、内部参数。十五、风险准则：评价风险重要性（度）的依据风险准则包括相关的成本及收益，法律法规要求，社会及环境因素，利益相关者的态度，优先次序和在评估过程中的其他要素。风险准则是组织用于评价风险重要度的标准，因此，风险准则需体现组织的风险承受度，并反映组织的价值观、目标和资源。风险评价准则会涉及到各个方面，如成本收益、法律法规、利益相关者态度等。风险准则也会直接或间接反映法律法规要求或其他需要组织遵循的要求。准则也是使

16、组织对接受风险做出决定的依据。十六、风险评估：包括风险识别、风险分析和风险评价在内的全部过程。十七、风险识别：发现、辨认和表述风险的过程。风险识别包括对风险源、风险事件、风险原因和它们的潜在后果的识别。风险识别可能包括历史数据、理论分析、有见识的意见、专家意见，以及利益相关方的需求。十八、风险描述：风险的结构化描述通常包含四个要素：来源、事件、因素和结果。十九、风险源：对导致风险具有潜在影响的要素或要素的结合。风险源可能是有形的或是无形的。二十、风险所有者：具有风险管理权限和责任的个人或实体。二十一、风险分析：理解风险的性质和确定风险程度的过程。风险分析为风险评价和风险应对决策提供了基础。风险

17、分析包括风险估测。二十二、风险评价：将风险分析的结果与风险准则进行比较，以确定风险和（或）其量是否可接受或可容许。风险评定有助于有关风险应对的决策。二十三、风险偏好：一个组织愿意追求或保留风险的数量和类型。COSO2指出：风险偏好是企业追求目标中愿意接受风险的程度。指导企业的资源配置。二十四、风险承受：接受某一风险的决定。风险承受取决于风险准则。任何规模和类型的组织都面临风险，组织的所有活动都 涉及风险。只是组织应通过风险准则，来决定对某一风险是否接受。组织的价值取向和能力不同，因而是否能接受某一风险会有不同的决定，这些决定会依据风险准则的要求。二十五、风险应对：修正风险的过程。1、风险应包括

18、：通过决定不启动或停止产生风险的活动而避免风险。为追求机会采取或增加风险。消除风险源。改变可能性。改变后果。与其他方面共同分担风险（如合同、风险理财、外包）。通过有事实依据的决策保留风险。2、对消极后果的风险应对有时可以称为风险减缓、消除、预防、减少3、风险应对可以产生新的风险或修正已存在的风险。4、剩余风险：风险应对后遗留的风险。剩余风险可能包括未识别的风险。剩余风险也可是保留的风险。R剩 = R固 - R控 (+-R其他) R容二十六、风险规避：决定不陷入风险，或从风险状态中撤离的行为。这个决定可能是以风险评价结果为依据的。1、在风险评价之后，风险管理者会发现某些风险发生损失可能性很大，或

19、一旦发生且损失的程度非常严重时，可以采取主动放弃原来承担风险或完全气绝承担该风险的实施行动，就是对风险的规避。2、风险规避是一种主动的行为，但放弃风险同时也意味着收益的损失。二十七、风险理财：为实现风险应对及其他相关活动的费用提供资金的活动。在某些行业中，风险理财特指对风险造成的财务后果提供资金。1、组织在风险应对（风险规避、优化、转移、自留）过程中，需要支付一定的费用，以实现管理风险或补偿损失，因而会采用各种方式融通资金。2、融通资金是为风险管理对资金的筹措，也是风险的一种财务补偿机制。风险估计和风险评价是融资的主要数据依据。二十八、风险自留：接受某一特定风险带来的损失或收益。1、风险自留包

20、括接受那些没有识别的风险。2、风险自留不包括运用保险或其他方法进行的风险转移的处理。3、对风险的接受程度和对风险准则的依赖程度可能会有变化。二十九、监测：来断检查、监督、严格观察或确定状态，以识别所要求或期待的绩效水平变化。监测可应用于风险管理框架、风险管理过程、风险或控制措施。三十、评审：为达到所建立的目标，确定有关事务的适宜性、充分性、和有效性所采取的活动。评审可应用于风险管理框架、风险管理过程、风险或控制措施。第三章 风险管理原则一、风险管理创造并保护价值以控制损失、创造价值为目标的风险管理，有助于组织实现目标、取得具体可见的成绩和改善各方面的业绩，包括人员康健和安全、合规经营、信用程度

21、、社会认可、环境保护、财务绩效、产品质量、项目管理、运行效率和公司治理等方面。1、在组织的运营活动中，机遇和威胁并存，风险管理就是要趋利避害，创造价值。在某些特定领域，如金融业、从风险管理的角度出发，币值波动既能造成潜在损失，又是可能盈利的机会。2、因此风险管理过程越来越多地被认为是既要关注不确定因素带来的消极影响，又要关注这些不确定性因素的积极影响。二、风险管理嵌入组织的管理过程风险管理不是独立于组织主要活动和各项管理过程的单独的活动，而是组织管理过程不可缺少的重要组织部分，包括战略规划、所有项目、变更管理过程。1、组织的管理是一个综合管理，风险管理是组织综合管理的一个组成部分。2、组织应把

22、风险管理的各项要求融入企业管理和业务流程中，如：企业战略、规划、产品和研发、投融资、市场运营、财务、内部审计、变更管理、销售、物流、质量、安全生产、环境保护等。3、COSO于2011年开始研究风险管理，强调风险管理框架必须和内部控制框架相一致，把内部控制目标和要素整合到企业全面风险管理过程中，4、因此，全面风险管理（ERM）框架是对内部控制框架的扩展和延伸，它涵盖了内部控制，且比内部控制理完整、有效。5、首先，该框架扩展了内部控制框架，强调风险管理与企业战略目标相协调，并最终融入企业文化中。其次，该框架更强调风险管理贯穿于企业运行过程的各个方面，涉及到企业的治理、管理和操作等 所有层级，扩展了

23、单纯的内部控制职能。最后，引入了风险组合、风险和机会的区分、风险应对、风险偏好、风险容量等风险管理论新的研究成果。三、风险管理支持决策过程组织的所有决策都应该考虑风险和风险管理。风险管理旨在将风险控制在组织可接受的范围内，有助于判断风险应当是否充分、有效，有助于决定行动的优先顺序并选择可行的行动方案，从而帮助决策者做出合理的决策。1、风险识别、风险分析和风险评价是为了认识、评价风险管理单位的风险状况，解决风险管理中的各种问题，制定管理风险的决策方案。风险管理支持决策过程。2、风险管理目标的确定、风险识别、风险衡量四、明确风险管理涉及的不确定性风险管理管理明确的考虑到不确定性及这种不确定性的性质

24、，以及如何加以解决。1、风险是不确定的，否则，就不能称这为风险。2、风险的不确定性指：发生与否、发生的时间、发生的状况、发生后果严重性程度不确定。3、风险管理就是要确定这些不确定性，做出对策，降低风险的影响，确保目标的实现。五、风险管理是系统的，结构化的和及时的系统的、结构化的方法有助于风险管理效率的提升，并产生一致、可比、可靠的结果。1、风险管理是一个过程，就符合过程管理的原则，组织的风险管理是由许多风险管理过程组成，在风险管理的过程中，要将多个风险管理过程按照一个统一的风险管理系统来管理，这样能取得最优的效率和结果。2、组织体系是风险管理的保障。3、风险管理是及时的，有组织的。六、风险管理

25、是基于最可用的信息风险管理过程要以有效的信息为基础。这些信息可通过经验、反馈、观察、预测和专家判断等多种渠道获取，但使用时要考虑数据、模型和专家意见的局限性。1、风险管理过程是以信息基础的。风险的各个过程要收集大量的信息，确保风险识别的充分性和风险决策的有效性。2、组织应建立获取风险有效信息的渠道，可通过各种渠道，包括经验、反馈、观察、预测和专家判断等获取有效、有用的信息，确保风险管理过程的充分性和有效性。3、在利用收集于的各种信息时，要充分考虑信息来源的局限性，确保信息对决策的有效支持。七、风险管理是定制的风险管理与组织的内外部环境及风险环境是匹配的。1、风险管理与组织的内外部环境有关。风险

26、管理与组织的行业、产品、经营模式、客户、竞争对象风险水平等相适应。2、组织的风险管理与组织所承担的风险有关，受组织的文化、地域、历史、信仰、人员等人文因素影响不同的组织风险偏好不一样，风险标准不一样，风险管理的决策和风险实施就不一样。八、风险管理考虑人文因素风险管理意识是可以促进或阻碍组织目标的实现的内部和外部人的能量、观念和意图。1、组织应在内部营造一种具有风险意识的企业文化，培育风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，将风险管理意识转化为员工的共同言听计从和自觉行动，促进企业建立系统、规范、高效的风险管理机制。2、全体员工尤其是各级管理人员和业务操作人员应通过各种形式，

27、努力传播企业风险管理文化，牢固树立风险无处不在、无时不在的意识。九、风险管理是透明的和包容的利益相关方、尤其是组织各层面的决策者适当、及时的参与，确保了风险管理保持相关和先进性。参与过程也允许利益相关方适当地发表意见，并将其观点考虑到风险准则确定中。1、在组织的风险管理过程中，风险管理的决策者要参与风险管理过程，要和风险管理过程的人员进行充分的沟通，要在风险管理的各个环节明确要求和准则，及时掌握风险动态，做出准确的决策。2、风险管理过程要进行充分的协商和沟通，确保各方的观点能采纳，确保各方的利益能保证。当组织的重大风险事件的风险决策过程中，各方尤其要充分沟通，确保决策的有限和针对性。十、风险管

28、理是动态的，迭代的和适应变化的由于内部和外部事件的发生、环境和知识的变化，以及监视和评审的实施，有的风险会发生变化，一些新的风险可能会出现，另一些风险可能会消失。组织应持续不断地对各种变化保持敏感并做出恰当反应。1、风险管理是适应环境变化的动态过程，其各步骤间形成一个信息反馈的闭环。随着内外部事件的发生、组织环境和知识的改变以及监督和检查的执行，有些风险可能发生变化，一些新的风险可能会出现，另一些风险可能消失。2、组织应持续不断地对各种变化保持敏感并做出恰当反应。组织通过绩效测量、检查和调整手段，使风险管理得到持续改进。十一、风险管理有利于组织持续改进组织应制定和实施战略，以改善组织各方面的风

29、险管理水平。1、风险管理过程是一个持续改进，动态更新的一个过程2、风险管理要能提高组织的风险管理意识，改进对机会和威胁的识别，有效配置资源，改善运营效果和效率，增强组织的生存和持续发展能力。3、第4章框架为组织风险管理提供了持续改进的框架。第四章 风险管理框架一、总则（风险管理框架的含义）1、框架：边界、基础要素、结构的集合。2、风险管理框架：提供在组织内设计、实施、监测、评审和持续改进风险管理的基础和组织安排的要素集合。基础包括：方针、目标、指令（授权）和承诺等组织安排包括：计划、关系、职责、资源、过程和活动。嵌入到组织整体的战略以及运营方针和实践之中，嵌入指：非孤立存在、成为运行对象的一部

30、分、整合高度成熟的一种状态。风险管理框架并不构成单独体系：追求的结果是将风险管理嵌入整合管理体系，更为有效的方式是在组织现有的体系中整合风险管理要素。二、风险管理的授权与承诺概述：管理层行为；组织权力方面的保证；目的在于支持在组织内部引入风险管理、保持风险管理的持续有效性 。 主要内容包括：1）风险管理方针的制定（统一方向）。2）协调性的保证：风险管理方针VS组织文件、风险管理绩效指标VS组织的其他指标、风险管理目标VS组织的其他目标和战略。主要内容：方针的制定、确保文化与风险管理相一致、确定风险管理绩效指标、与其他目标相一致、合规性、职责权限的分配、资源配置、对风险管理收益的沟通、框架适宜性

31、的保持。三、风险管理框架的设计基础：对组织内外部环境的评价和理解1、设计包括：风险管理方针、责任、与组织过程的融合、资源、内外部沟通与报告机制。2、外部环境：国际、国内，区域和当地的社会和文化、政治、法规、财务、技术、经济、自然和竞争环境（客观存在）对组织目标实现产生关键影响的驱动因素和趋势（与组织的目标相关联）与外部利益相关方的关系以及观念和价值观（与组织的外部利益相关方有关）3、内部环境1）公司治理、组织结构、角色和职责。包括：规章制度、业务流程等；计划实现的方针、目标和战略；能力（从资源和知识的角度），如资本、时间、人员、过程系统和技术；信息系统、信息流和决策过程（正式和非正式）；与内部

32、利益相关方的关系、他们的观念和价值观；组织的文化；组织所采用的标准、指南和业务模式；合同关系的形式和范围。4、建立风险管理方针1）风险管理方针：组织对风险管理的意图和方向的陈述；2）建立方针是管理层的职责3）风险管理方针应清晰表述内容：风险管理目标、组织对风险管理的承诺4）方针应明确以下内容：组织管理风险的依据（基础原理）；组织目标、方针与风险管理方针之间的关系；管理风险的责任和职责；处理利益相关方冲突方式；为管理风险提供所需资源的承诺；风险管理绩效测量和报告的方法；对风险管理方针和框架周期性的评审和改进以及对环境中的事件或变革进行应对的承诺。5）方针应得到沟通5、风险管理的责任1）涵盖的范围

33、：职责、权限和能力2）需要明确职责、权限和能力的领域（实施和保持风险管理过程；为确保控制的充分性、有效性、和效率所需的活动）3）确定的主要方式识别风险所有者；识别对风险管理框架负有建立、实施和保持职责的人员；识别组织的所有层次在风险管理过程方面的其他职责；建立绩效测量 过程以及外部和或内部报告和分发过程中所保持的认可度。4）风险管理与组织过程的融合基本的方法论：风险管理过程应是组织过程中的一部分；风险管理应融入方针建立、业务和战略策划和评审以有变革管理过程。融合的要求：以紧密相关的、有效的、有效率的方式将风险管理嵌入至组织所有实践和过程。融合的载体：风险管理计划。5）风险管理的资源组织应为风险

34、管理配置适宜的资源；应考虑以下方面内容：人员、技能、经验和能力；风险管理过程步骤所需资源；组织应用于风险管理的过程、方法和工具；文件化的过程和程序；信息和知识管理系统；培训方案。6）内部沟通和报告机制目的： 支持和鼓励风险的职责和责任归属。确保： 风险管理框架的关键组成部分以及任何后续的修改得到适宜的沟通；存在充分的关于框架的，有效性和输出的内部报告；来自于风险管理应用所获得的相关信息在适宜的层次和频次上可获得；存在与内部利益相关方协商的过程。对多不源信息的统一。对信息敏感性的考虑。7）建立外部沟通和报告机制沟通与报告的对象： 外部利益相关方。机制的载体： 沟通计划计划的内容使适宜的利益相关方

35、参与并确保有效地沟通信息。 法律、法规和政府要求遵守情况的对外通告；为沟通和协商提供反馈和报告；利用沟通以使组织内建立信任；当危机或意外事故发生时与利益相关方进行沟通。对多来源信息的统一。对信息敏感性的考虑。四、风险管理的实施1、框架的实施（的意义）定义合适的实施该框架的时间表和策略；为组织的过程应用风险管理方针和过程；符合法律和法规要求；确保决策、包括建立和设定目标等与风险管理过程的输出相协调；保持信息和培训机制；与利益相关方沟通和协商以确保其风险管理框架保持适宜。2、风险管理过程的实施（见附件）五、框架的监视与评审1、目的：持续有效地支持组织绩效2、手段：与指标进行比照；评价风险管理计划的

36、实施情况；基于内外部环境的变化，对框架、方针和计划的持续适宜性进行评审；风险报告、方针得到遵循的程度；风险管理框架的有效性。3、频次：周期性的4、应按所确定的指标测量其绩效定期测量计划的进展及偏离在内外部环境下定期评价计划的适宜性报告风险管理计划的进展及对风险管理方针的遵循程度评价框架的有效性。六、框架的持续改进改进的输入：监视和评审的结果；改进的领域：改进风险管理的框架、方针和计划；改进的输出：组织风险管理和其风险管理文化的改进。第五章 风险管理过程一、概述/总则1、风险管理过程：管理方针、程序和惯例对沟通、协商、明确环境、以及识别、分析、评价、处理、监测和评审风险管理活动的系统应用。2、风

37、险管理过程的组成：风险管理过程是组织管理的有机组成部分，嵌入组织文化和实践当中，贯穿中组织的经营过程。风险管理过程由明确环境信息、风险评估、风险处理、监测和评审所描述的活动的组成。风险评估包括风险识别、分析和评价三步。沟通和记录应贯穿于风险管理过程。二、沟通和协商1、与利益相关方沟通和协商1）沟通和协商：组织针对风险管理，提供、共享或获取信息，与利益相关方进行对话的持续和反复的过程。2）在风险管理过程的每一个阶段应与内外部利益相关者有效沟通和协商。3）沟通和协商计划宜在早期制定。计划针对与风险本身、风险成因、风险后果（如掌握）以及处理风险措施相关问题。4）为确保实施风险管理过程的职责明确，以及

38、利益相关方理解决策的基础和特定措施需求的原因，采取有效的内外部沟通和协商。5）关注原因：与利益相关者的沟通是重要的。由于他们基于对风险的感知，做出了对风险的判断。这些感知可以由于利益相关者的价值观、需求、臆断、概念和关注点的不同而变化。由于利益相关者的观点会对决策产生重大影响，因此他们的感知以被识别、记录、以及在决策过程中考虑。沟通和协商宜提供真实的、相关的、准确的、便于理解的交流信息，同时宜考虑到保密和个人诚实因素。2、协商团队方法适当地帮助明确环境确保利益相关者的利益被理解和考虑帮助确保风险充分被识别将不同领域的专业知识一并用于分析风险确保在界定风险准则和评定风险时，不同观点被恰当考虑确保

39、认同和支持风险处理（应对）计划加强在风险管理过程中的变更管理制定一恰当内外部沟通和协商计划。三、明确环境1、总则：通过明确环境，组织明确其目标，界定风险管理应考虑的内外部参数，并设置风险管理过程的范围和准则。尽管许多此类参数与风险管理框架设计时所考虑的参数类似，但在明确风险管理过程的状况时，这些参数需要细致地，特别是与特定风险管理过程联系起来考虑。2、明确外部环境1）外部环境是组织在实现目标过程中所面临的外部环境的历史、现在和未来的各种相关信息。2）为保证在制定风险准则时能充分考虑外部利益相关者的目标和关注点，组织需了解外部环境。外部环境以组织所处的整体环境为基础，包括法律和监管要求、利益相关

40、者的诉求和与风险管理过程相关其他方面的信息等。3）包括但不限于：国际、国内、地区及当地的政治、经济、文化、法律、法规、技术、金融以及自然环境和竞争环境；影响组织目标实现的外部关键因素及其历史的变化趋势；外部利益相关者及其诉求、价值观、风险承受度，外部利益相关与组织的关系。2、明确内部环境1）内部环境是组织在实现目标过程中所面临的内在环境的历史、现在和未来的各种相关信息；2）风险管理过程要与组织的文化、经营过程和结构相适应，包括组织内影响其风险管理的任何事物；3）需明确内部环境的原因：风险可能会影响组织战略、日常经营或项目运营等方面，从而进一步会影响组织的价值、信用和承诺等；风险管理在组织的特定

41、目标和管理条件下进行；具体活动的目标和有关准则应入到组织整体目标的环境中考虑。3、包括：待添加的隐藏文字内容3治理、组织结构、作用和责任；方针、目标，为实现方针和目标制定的战略；基于资源和知识理解的能力，如资金、时间、人员、过程、系统和技术等；与内部利益相关方的关系，内部 利益相关方的观点和价值观；组织的文化；信息系统、信息流和决策过程；组织所采用的标准、指南和模式；合同关系的形式与范围。4、明确风险管理过程环境1）确立、组织活动的目标、策略、范围和参数，或风险管理过程应用到2）风险管理过程的环境根据组织需求而变化，可包括：确定风险管理活动的目标、职责；确定所需开展的风险管理活动的范围以及深度

42、、广度，包括具体的内涵和外延；以时间和地点，界定活动、过程、职能、项目、产品、服务或资产；界定组织特定项目、过程或活动与其他项目、过程或活动间的关系；确定风险评估的方法；确定评价风险管理的绩效和有效性的方法；识别和规定所必须做出的决策；确定所需的范围或框架性研究，它们的程度和目标，以及此种研究所需资源。3）对这引起和其他相关因素的关注，有助于确保所采用的风险管理方法适合于环境、组织、以及影响目标实现的风险。5、确定风险准则1、风险准则：评价风险重要程度的依据。1）风险准则需体现组织的风险承受度，应反映组织的价值观、目标和资源。有些风险准则直接或间接反映了法律和法规要求或其他需要组织遵循的要求。

43、2）风险准则应与组织的风险管理方针一致。具体的风险准则应尽可能在风险管理过程开始时制定，并持续不断地检查和完善。2、确定风险准则需考虑的因素可能发生的后果的性质、类型及后果的度量；可能性的度量；可能性和后果的时限；风险的度量方法；风险等级的确定；利益相关者可接受的风险或可容许的风险等级；多种风险的组合的影响。四、风险评估1、风险评估过程包括：风险识别、分析、评价2、风险评估有助于决策者对风险及其原因、后果和可能性有更充分理解。为以下决策提供信息，即评估的目的：是否应开展某些活动如何充分利用时机是否需要应对风险选择不同风险的应对策略确定风险应对策略的优先次序选择最适合的风险应对策略，将风险不利影

44、响控制在可接受水平。3、风险识别1）风险识别：发现、列举和描述风险要素的过程。2）风险识别的过程：风险识别是通过识别风险源、影响范围、事件及其原因和潜在后果等，生成一个全面的风险列表。识别风险不仅要考虑有关事件可能带来的损失，也要考虑其中蕴含的机会。风险描述应做结构化的描述：风险来源、事件、因素、结果。进行风险识别时要掌握相关的和最新的信息，必要时，需包括适用的背景信息。除识别可能发生的风险事件外，还要考虑其可能的原因和可能导致的后果，包括所有重要的原因和后果。不论风险事件的风险源是否在组织控制之下，或其原因是否已知，都应对其进行识别。此外，要关注已经发生的风险事件，特别是新近发生的风险事件。

45、识别风险需要所有相关人员参与。组织所采用的风险识别工具和技术应适合于其目标、能力及所处环境。3）风险识别方法基于证据的方法，如检查表、对历史数据的审查；系统性的团队方法，如一个专家队可借助一套结构化的提示或问题来系统识别风险；归纳推理技术，如危险与可操作性分析（HAZOP）等组织可利用各种支持性的技术来提高风险识别工作的准确性和完整性，包括头脑风暴法及德尔菲法等。4、风险分析：系统地运用相关信息来确定风险的来源，并对风险进行估计。1）风险分析要考虑导致风险的原因和风险源、风险事件的正负面后果及其发生的可能性、影响后果和可能性因素、不同风险及风险源的相互关系及风险的其他特性，还要考虑现有的管理措

46、施及其效果和效率。2）风险分析考虑要素在风险分析中，应考虑组织的风险承受度及对前提和假设的敏感性，并适时与决策者和其他利益者有效的沟通。另还要考虑可能存在的专家观点中的分歧及数据和模型的局限性。3）风险分析方法根据风险分析的目的、获得的信息数据和资源，风险分析可是定性的、半定量、定量的或以上方法的组合。一般情况下，首先采用定性分析，初步了解风险等级和提示主要风险。适当时，进行更具体和定量的分析。4）风险分析结果后果和可能性可通过专家意见确定，或通过对事件或事件组合的结果建模确定，也可通过对实验研究或可获得的数据的推导确定；对后果的描述可表达为有形或无形的影响。在某些情况下，可能需要多个指标来确切描述不同时间、地点、类别或情形的后果。分析有：定性评估