風險管理學習記錄

第一章風險管理概述一、風險與風險管理1、風險：不確定性所具有的對組織目標的影響就是風險。2、風險管理是針對風險指揮和控制組織的協(xié)調(diào)活動。組織的所有活動都涉及風險組織通過識別、分析和評定是否運用風險應對修正風險以滿足它們的風險準則，來管理風險。通過這個過程，它們與利益相關方進行溝通和協(xié)商，監(jiān)測和評審風險，以及為確保不再進一步需求風險應對而修正風險的控制措施。二、風險管理的起源和發(fā)展20世紀30年代，世界經(jīng)濟危機，美國40%左右的銀行和企業(yè)破產(chǎn)，保險為風險應對主要手段。20世紀50年代，風險管理在美國以學科形式發(fā)展，并逐步形成了獨立的理論體系。70年代后逐漸掀起了20世紀90年代開始隨著國際資產(chǎn)證券化、債券的風險進一步擴大，風險管理迅速在國際推行。歐美等國先后建立起全國性和地區(qū)性的風險管理協(xié)會。針對安然、世通等財務欺詐事件，美國國會出臺了《2002年薩班斯---奧克斯得法案》來規(guī)范上市公司。1983年，美國風險和保險管理協(xié)會年會上，通過了“101條風險管理準則”，標志著風險管理發(fā)展進入了一個新階段歐洲11個國家成立了“歐洲風險管理委員會”。美國多家專業(yè)團體成立了“反虛假財務報告委員會”和專業(yè)研究內(nèi)部控制的委員會“COSO委員會”。COSO報告《內(nèi)部控制一整體框架》1992和vCOSO—ERM企業(yè)風險管理框架〉2004。是風險管理的重要文獻。全面企業(yè)風險管理框架21世紀，風險管理開始從傳統(tǒng)的點對點式的管理走向全面的、一體化的管理。IASC國際會計準則委員會、BASEL巴塞爾銀行監(jiān)管委員會、美國COSO委員會開發(fā)了一套完整的、適用自己的全面企業(yè)風險管理框架。COSO全面風險管理（ERM）框架的義：企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制定并貫穿于企業(yè)之中，在識別可能會影響主體的潛在事項，管理風險以使其在主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理的保證。三、我國的風險管理1、相對滯后，存在許多問題：缺乏風險意識和策略，管理被動。缺乏風險管理技術、專業(yè)人才和資金。戰(zhàn)略上急于求成，應對變化能力不強，導致個別企業(yè)不能有效應對重大風險事件，在發(fā)展中承擔了自身不能承受的風險。2、2006年國務院資產(chǎn)監(jiān)管委員會發(fā)布了《中央企業(yè)全面風險管理指引》：對中央企業(yè)如何開展全面風險管理提出了明確要求指導范圍并不僅限于央企，對公司也同樣適用標志著我國有了自己的全面風險管理指導文件，進入全面風險管理。四、風險管理標準1、國際大環(huán)境，促進了風險管理標準化和國際化。2、2004年，澳洲和新西蘭聯(lián)合推出AZ/NES4360風險管理標準。是第一個國家級風險管理標準，為國際標準的出臺奠定了基礎。3、 風險管理的國際標準IS031000被業(yè)內(nèi)廣為觀注，歷時5年，從CD至DIS至FDIS稿，于2009.11.13正式發(fā)布了《ISO31000：2009風險管理原則和指南》明確了風險管理的原則和指南為深入開展風險管理工作提供了理論基礎。4、 2009年9月，我國依據(jù)ISO31000標準DIS稿，發(fā)布了國家標準《GB/T24353風險管理原則與實施指南》風險管理主要依據(jù)的標準有：《ISODUIDE732002風險管理術語》與風險有關的術語1個，與風險管理有關的術語4個、與風險管理過程有關的45個?！禝SO31000：2009風險管理原則和指南》5章，范圍，術語和定義29個，風險管理原則11個，風險管理框架，風險管理過程。ISO31000建議，組織制定、實施和持續(xù)改進一個框架，其目的是將風險管理過程整合到組織的整體治理、戰(zhàn)略和規(guī)劃、管理、報告過程、方針、價值觀和文化中?！禝EC/ISO31010風險管理評估技術》對31000的補充，6章節(jié)《GB/T24353風險管理原則與實施指南》范圍、規(guī)范性引用文件、術語和定義（GB/T23694）、風險管理原則8個、風險管理過程、風險管理的實施。風險管理原則風險管理框架風險管理過程：明確環(huán)境信息，風險評估（風險識別、分析、評價），風險應對，監(jiān)督和檢查（沒有溝通與咨詢）《GB/T236942009風險管理術語》idt<ISOGUIDE732002>ISO31000:20091、IS031000:2009提供了在任何范圍和狀況下，以系統(tǒng)的、清晰可靠的方式管理風險的原則和通用

指南。2、ISO31000建立了一些為使風險管理變得有效而需要滿足的原則。3、ISO31000建議，組織制度、實施和持續(xù)改進一個框架，其目的是將風險管理過程整合到組織的整體治理、戰(zhàn)略和規(guī)劃、管理、報告過程、方針、價值觀和文化中。4、 風險管理的每一個特定領域或應用都具有各自的需求、受眾、觀念和準則。因此，IS031000的主要特點是在通用的風險管理過程中將“明確環(huán)境”作為初始活動。5、 “明確環(huán)境”將捕獲組織的目標，組織所追求目標的環(huán)境，組織的利益相關方和風險準則的多樣性，所有這些都將幫助揭示和評價風險的性質(zhì)和復雜性?；A術語8個，受風險影響的組織及個人的相關術語4個，與風險評估的相關術語6個，與風險應對和風險控制相關的術語11。五、 實施風險管理的目的、意義風險管理的目的：通過具有前瞻性的、充分地考慮各類風險的不確定性及其對目標的影響，制定行之有效的應對措施，為組織在運營和決策中有效應對各類突發(fā)事件和風險提供支持和保障，以使組織能有效的配置資源、優(yōu)化過程，及時、恰當、有效地應對風險，提高風險應對的效率和效果，更好地實現(xiàn)組織目標。風險管理的意義：提高實現(xiàn)目標的可能性、鼓勵主動性管理、在整個組織意識到和處理風險的需求、改進對機會和威脅的識別、遵守相關的法律法規(guī)要求及國際規(guī)范、改進強制性和自愿性報告、改善治理、提高利益相關者的信心和信任、為決策和規(guī)劃建立可靠的根基、加強控制、有效地分配和使用風險應對資源、提高運作的效果和效率、加強健康和安全績效以及環(huán)境保護、改善損失、預防事件管理、減少損失、提高組織的學習能力、增強組織的應變能力。六、 風險管理在認證領域中的應用ISO31000中所描述的通用方法提供了在任何范圍和背景下，以系統(tǒng)、清晰、可靠的方式管理風險的原則和指南。作為管理方法論，其原則和指南可以應用到認證的各個領域。OHSAS18000標準包含了風險管理在職業(yè)健康安全專業(yè)領域的應用ISO22000標準包含了風險管理在食品安全專業(yè)領域的應用。也適用于EMS和QMS中。第二章術語和定義（國際45第二章術語和定義（國際45個，我國29個）分三個部分：風險、風險管理、風險管理過程術語一、風險：不確定性對目標的影響。1、影響是與期待的偏差 積極和/或消極。2、目標可以有不同方面（如財務、健康安全、環(huán)境目標），可以體現(xiàn)在不同的層次（如戰(zhàn)略、組織范圍、項目、產(chǎn)品和過程）。3、風險通常以潛在事件和后果，或它們的組合來描述。4、風險通常以事件（包括環(huán)境的變化）后果和發(fā)生可能性的組合不表述。5、不確定性是指對事件、其后果或可能性的識別或了解方面的信息的缺乏或不完整的狀態(tài)。風險特性：未來性、不確定性、目標性、環(huán)境性、信息性、學習性、可管理性R=f（O、U、C）目標、不確定性、影響二、后果：影響目標的事件結果。一個事件可能導致和各種后果。一個后果可能是確定的或不確定的，且對目標可能有正面的或負面影響。可定性或定量地表示后果。通過連鎖效應可以使最初的后果升級。三、可能性：某事發(fā)生的可能程度四、概率：（頻率）某一事件發(fā)生的可能程度。度量某一隨機事件發(fā)生可能性大小的實數(shù)，其值介于0與1之間，它可以用來指在一段相當長的時間內(nèi)，某一事件將要發(fā)生的頻率，或這一事件發(fā)生的可信程度，對于高可信度來說，概率接近1。有關可能性的程度可以用不同的等級不表示極不可能、不大可能、可能、很可能、幾乎確定難以置信、不可能、可能性極小、偶爾、有可能、經(jīng)常五、事件：特定情況的發(fā)生及其變化一個事件可以是一個或更多發(fā)生的事，并且可以眾多原因。一個事件可以由未來發(fā)生的事情組成一個事件有時被稱為不良事件或事故一個未有結果的事件也可以被稱為臨近過失、不良事件、臨近傷害、最后通牒六、風險管理：組織針對風險所采取的指揮和控制的協(xié)調(diào)活動。七、風險管理框架：組織為設計、實施、監(jiān)測、評審和持續(xù)改進風險管理提供基礎和安排的一組構成。基礎包括方針、目標和對管理風險的授權與承諾。組織的安排包括計劃、相互關系、責任、資源、過程和活動。風險管理框架被嵌入到組織的所有戰(zhàn)略、運營策略及實踐中。COSO全面風險管理框架：內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息溝通、監(jiān)測八、 風險管理方針：組織在風險管理方面總的意愿和方向的陳述。九、 風險管理計劃：在風險管理框架中，用于清晰描述風險管理方法、管理構成和資源的方案。管理構成一般包括程序、操作方法、職責分配、活動順序和時間安排。風險管理計劃可被應用到特定產(chǎn)品、過程和項目、組織的部分或全體。十、風險管理過程：將管理方針、程序和操作方法系統(tǒng)地應用到溝通與咨詢、建立環(huán)境、以及識別、評價、應對、監(jiān)測與評審風險的活動中。是構成組織管理整體所必需的一部分，被嵌入組織的文化和實踐中，與組織的運營過程相適應。十一、溝通和協(xié)商：組織針對管理風險所實施的提供信息、共享信息、獲取信息并與利益相關方對話的持續(xù)、往復的過程。信息與風險管理的如下方面相關：現(xiàn)狀、特性、結構、可能性、重要性、評價、可接受性、以及風險管理的應對。咨詢是在組織與其利益相關方之間進行正式溝通的雙向過程，是就優(yōu)先進行決策的某一議題進行溝通，或決定該議題的發(fā)展方向。是通過影響而不是通過權力而對決策施加作用的一個過程；對決策的輸入，而不是參與決策。十二、利益相關者：可能影響、被影響、或自以為可能被一項決定或活動所影響的個人或組織。決策者也是一個利益相關方。包括：組織的決策者組織內(nèi)部負責制定風險管理政策的人員組織或活動中實施管理的人員需要對組織的風險管理實踐進行評估的人員組織中負責制定風險管理標準、指南、程序、應用準則的人員股東、董事會、高級管理人員、員工、債權人、供應商、顧客、銀行、監(jiān)管機構、合作伙伴等。十三、風險感知：利益相關者根據(jù)其價值觀或利害關系看待風險的方式。風險感知取決于利益相關者的需要、關注點及知識。風險感知可能不同于客觀數(shù)據(jù)。風險感知反映利益相關者的需求，問題、知識、信念、和價值利益相關者的需要及關注的問題不同，因而風險感知會有所不同風險感知會存在一定的主觀判斷，因而可能與客觀數(shù)據(jù)有所不同。十四、明確環(huán)境：當組織管理風險管理和為風險管理方針而確定范圍和風險準則時，必須考慮的外部、內(nèi)部參數(shù)。十五、風險準則：評價風險重要性（度）的依據(jù)風險準則包括相關的成本及收益，法律法規(guī)要求，社會及環(huán)境因素，利益相關者的態(tài)度，優(yōu)先次序和在評估過程中的其他要素。風險準則是組織用于評價風險重要度的標準，因此，風險準則需體現(xiàn)組織的風險承受度，并反映組織的價值觀、目標和資源。風險評價準則會涉及到各個方面，如成本收益、法律法規(guī)、利益相關者態(tài)度等。風險準則也會直接或間接反映法律法規(guī)要求或其他需要組織遵循的要求。準則也是使組織對接受風險做出決定的依據(jù)。十六、風險評估：包括風險識別、風險分析和風險評價在內(nèi)的全部過程。十七、風險識別：發(fā)現(xiàn)、辨認和表述風險的過程。風險識別包括對風險源、風險事件、風險原因和它們的潛在后果的識別。風險識別可能包括歷史數(shù)據(jù)、理論分析、有見識的意見、專家意見，以及利益相關方的需求。十八、風險描述：風險的結構化描述通常包含四個要素：來源、事件、因素和結果。十九、風險源：對導致風險具有潛在影響的要素或要素的結合。風險源可能是有形的或是無形的。二十、風險所有者：具有風險管理權限和責任的個人或?qū)嶓w。二十一、風險分析：理解風險的性質(zhì)和確定風險程度的過程。風險分析為風險評價和風險應對決策提供了基礎。風險分析包括風險估測。二十二、風險評價：將風險分析的結果與風險準則進行比較，以確定風險和（或）其量是否可接受或可容許。風險評定有助于有關風險應對的決策。二十三、風險偏好：一個組織愿意追求或保留風險的數(shù)量和類型。COSO2指出：風險偏好是企業(yè)追求目標中愿意接受風險的程度。指導企業(yè)的資源配置。二十四、風險承受：接受某一風險的決定。風險承受取決于風險準則。任何規(guī)模和類型的組織都面臨風險，組織的所有活動都涉及風險。只是組織應通過風險準則，來決定對某一風險是否接受。組織的價值取向和能力不同，因而是否能接受某一風險會有不同的決定，這些決定會依據(jù)風險準則的要求。二十五、風險應對：修正風險的過程。1、風險應包括：通過決定不啟動或停止產(chǎn)生風險的活動而避免風險。為追求機會采取或增加風險。消除風險源。改變可能性。改變后果。與其他方面共同分擔風險（如合同、風險理財、外包）。通過有事實依據(jù)的決策保留風險。2、對消極后果的風險應對有時可以稱為風險減緩、消除、預防、減少3、風險應對可以產(chǎn)生新的風險或修正已存在的風險。4、剩余風險：風險應對后遺留的風險。剩余風險可能包括未識別的風險。剩余風險也可是保留的風險。R剩=R固-R控（+-R其他）VR容二十六、風險規(guī)避：決定不陷入風險，或從風險狀態(tài)中撤離的行為。這個決定可能是以風險評價結果為依據(jù)的。1、在風險評價之后，風險管理者會發(fā)現(xiàn)某些風險發(fā)生損失可能性很大，或一旦發(fā)生且損失的程度非常嚴重時，可以采取主動放棄原來承擔風險或完全氣絕承擔該風險的實施行動，就是對風險的規(guī)避。2、風險規(guī)避是一種主動的行為，但放棄風險同時也意味著收益的損失。二十七、風險理財：為實現(xiàn)風險應對及其他相關活動的費用提供資金的活動。在某些行業(yè)中，風險理財特指對風險造成的財務后果提供資金。1、組織在風險應對（風險規(guī)避、優(yōu)化、轉(zhuǎn)移、自留）過程中，需要支付一定的費用，以實現(xiàn)管理風險或補償損失，因而會采用各種方式融通資金。2、融通資金是為風險管理對資金的籌措，也是風險的一種財務補償機制。風險估計和風險評價是融資的主要數(shù)據(jù)依據(jù)。二十八、風險自留：接受某一特定風險帶來的損失或收益。1、風險自留包括接受那些沒有識別的風險。2、風險自留不包括運用保險或其他方法進行的風險轉(zhuǎn)移的處理。3、對風險的接受程度和對風險準則的依賴程度可能會有變化。二十九、監(jiān)測：來斷檢查、監(jiān)督、嚴格觀察或確定狀態(tài)，以識別所要求或期待的績效水平變化。監(jiān)測可應用于風險管理框架、風險管理過程、風險或控制措施。三十、評審：為達到所建立的目標，確定有關事務的適宜性、充分性、和有效性所采取的活動。評審可應用于風險管理框架、風險管理過程、風險或控制措施。第三章風險管理原則一、風險管理創(chuàng)造并保護價值以控制損失、創(chuàng)造價值為目標的風險管理，有助于組織實現(xiàn)目標、取得具體可見的成績和改善各方面的業(yè)績，包括人員康健和安全、合規(guī)經(jīng)營、信用程度、社會認可、環(huán)境保護、財務績效、產(chǎn)品質(zhì)量、項目管理、運行效率和公司治理等方面。1、在組織的運營活動中，機遇和威脅并存，風險管理就是要趨利避害，創(chuàng)造價值。在某些特定領域，如金融業(yè)、從風險管理的角度出發(fā)，幣值波動既能造成潛在損失，又是可能盈利的機會。2、因此風險管理過程越來越多地被認為是既要關注不確定因素帶來的消極影響，又要關注這些不確定性因素的積極影響。二、風險管理嵌入組織的管理過程風險管理不是獨立于組織主要活動和各項管理過程的單獨的活動，而是組織管理過程不可缺少的重要組織部分，包括戰(zhàn)略規(guī)劃、所有項目、變更管理過程。1、組織的管理是一個綜合管理，風險管理是組織綜合管理的一個組成部分。2、組織應把風險管理的各項要求融入企業(yè)管理和業(yè)務流程中，如：企業(yè)戰(zhàn)略、規(guī)劃、產(chǎn)品和研發(fā)、投融資、市場運營、財務、內(nèi)部審計、變更管理、銷售、物流、質(zhì)量、安全生產(chǎn)、環(huán)境保護等。3、COSO于2011年開始研究風險管理，強調(diào)風險管理框架必須和內(nèi)部控制框架相一致，把內(nèi)部控制目標和要素整合到企業(yè)全面風險管理過程中，4、 因此，全面風險管理（ERM）框架是對內(nèi)部控制框架的擴展和延伸，它涵蓋了內(nèi)部控制，且比內(nèi)部控制理完整、有效。5、 首先，該框架擴展了內(nèi)部控制框架，強調(diào)風險管理與企業(yè)戰(zhàn)略目標相協(xié)調(diào)，并最終融入企業(yè)文化中。其次，該框架更強調(diào)風險管理貫穿于企業(yè)運行過程的各個方面，涉及到企業(yè)的治理、管理和操作等所有層級，擴展了單純的內(nèi)部控制職能。最后，引入了風險組合、風險和機會的區(qū)分、風險應對、風險偏好、風險容量等風險管理論新的研究成果。三、 風險管理支持決策過程組織的所有決策都應該考慮風險和風險管理。風險管理旨在將風險控制在組織可接受的范圍內(nèi)，有助于判斷風險應當是否充分、有效，有助于決定行動的優(yōu)先順序并選擇可行的行動方案，從而幫助決策者做出合理的決策。1、 風險識別、風險分析和風險評價是為了認識、評價風險管理單位的風險狀況，解決風險管理中的各種問題，制定管理風險的決策方案。風險管理支持決策過程。2、 風險管理目標的確定、風險識別、風險衡量四、 明確風險管理涉及的不確定性風險管理管理明確的考慮到不確定性及這種不確定性的性質(zhì)，以及如何加以解決。1、 風險是不確定的，否則，就不能稱這為風險。2、 風險的不確定性指：發(fā)生與否、發(fā)生的時間、發(fā)生的狀況、發(fā)生后果嚴重性程度不確定。3、風險管理就是要確定這些不確定性，做出對策，降低風險的影響，確保目標的實現(xiàn)。五、風險管理是系統(tǒng)的，結構化的和及時的系統(tǒng)的、結構化的方法有助于風險管理效率的提升，并產(chǎn)生一致、可比、可靠的結果。1、風險管理是一個過程，就符合過程管理的原則，組織的風險管理是由許多風險管理過程組成，在風險管理的過程中，要將多個風險管理過程按照一個統(tǒng)一的風險管理系統(tǒng)來管理，這樣能取得最優(yōu)的效率和結果。2、組織體系是風險管理的保障。3、風險管理是及時的，有組織的。六、風險管理是基于最可用的信息風險管理過程要以有效的信息為基礎。這些信息可通過經(jīng)驗、反饋、觀察、預測和專家判斷等多種渠道獲取，但使用時要考慮數(shù)據(jù)、模型和專家意見的局限性。1、風險管理過程是以信息基礎的。風險的各個過程要收集大量的信息，確保風險識別的充分性和風險決策的有效性。2、組織應建立獲取風險有效信息的渠道，可通過各種渠道，包括經(jīng)驗、反饋、觀察、預測和專家判斷等獲取有效、有用的信息，確保風險管理過程的充分性和有效性。3、在利用收集于的各種信息時，要充分考慮信息來源的局限性，確保信息對決策的有效支持。七、風險管理是定制的風險管理與組織的內(nèi)外部環(huán)境及風險環(huán)境是匹配的。1、風險管理與組織的內(nèi)外部環(huán)境有關。風險管理與組織的行業(yè)、產(chǎn)品、經(jīng)營模式、客戶、競爭對象風險水平等相適應。2、組織的風險管理與組織所承擔的風險有關，受組織的文化、地域、歷史、信仰、人員等人文因素影響不同的組織風險偏好不一樣，風險標準不一樣，風險管理的決策和風險實施就不一樣。八、風險管理考慮人文因素風險管理意識是可以促進或阻礙組織目標的實現(xiàn)的內(nèi)部和外部人的能量、觀念和意圖。1、組織應在內(nèi)部營造一種具有風險意識的企業(yè)文化，培育風險管理文化，樹立正確的風險管理理念，增強員工風險管理意識，將風險管理意識轉(zhuǎn)化為員工的共同言聽計從和自覺行動，促進企業(yè)建立系統(tǒng)、規(guī)范、高效的風險管理機制。2、全體員工尤其是各級管理人員和業(yè)務操作人員應通過各種形式，努力傳播企業(yè)風險管理文化，牢固樹立風險無處不在、無時不在的意識。九、風險管理是透明的和包容的利益相關方、尤其是組織各層面的決策者適當、及時的參與，確保了風險管理保持相關和先進性。參與過程也允許利益相關方適當?shù)匕l(fā)表意見，并將其觀點考慮到風險準則確定中。1、在組織的風險管理過程中，風險管理的決策者要參與風險管理過程，要和風險管理過程的人員進行充分的溝通，要在風險管理的各個環(huán)節(jié)明確要求和準則，及時掌握風險動態(tài)，做出準確的決策。2、風險管理過程要進行充分的協(xié)商和溝通，確保各方的觀點能采納，確保各方的利益能保證。當組織的重大風險事件的風險決策過程中，各方尤其要充分溝通，確保決策的有限和針對性。十、風險管理是動態(tài)的，迭代的和適應變化的由于內(nèi)部和外部事件的發(fā)生、環(huán)境和知識的變化，以及監(jiān)視和評審的實施，有的風險會發(fā)生變化，一些新的風險可能會出現(xiàn)，另一些風險可能會消失。組織應持續(xù)不斷地對各種變化保持敏感并做出恰當反應。1、風險管理是適應環(huán)境變化的動態(tài)過程，其各步驟間形成一個信息反饋的閉環(huán)。隨著內(nèi)外部事件的發(fā)生、組織環(huán)境和知識的改變以及監(jiān)督和檢查的執(zhí)行，有些風險可能發(fā)生變化，一些新的風險可能會出現(xiàn)，另一些風險可能消失。2、組織應持續(xù)不斷地對各種變化保持敏感并做出恰當反應。組織通過績效測量、檢查和調(diào)整手段，使風險管理得到持續(xù)改進。十一、風險管理有利于組織持續(xù)改進組織應制定和實施戰(zhàn)略，以改善組織各方面的風險管理水平。1、風險管理過程是一個持續(xù)改進，動態(tài)更新的一個過程2、風險管理要能提高組織的風險管理意識，改進對機會和威脅的識別，有效配置資源，改善運營效果和效率，增強組織的生存和持續(xù)發(fā)展能力。3、第4章框架為組織風險管理提供了持續(xù)改進的框架。第四章風險管理框架一、總則（風險管理框架的含義）1、框架：邊界、基礎要素、結構的集合。2、風險管理框架：提供在組織內(nèi)設計、實施、監(jiān)測、評審和持續(xù)改進風險管理的基礎和組織安排的要素集合?；A包括：方針、目標、指令（授權）和承諾等組織安排包括：計劃、關系、職責、資源、過程和活動。嵌入到組織整體的戰(zhàn)略以及運營方針和實踐之中，嵌入指：非孤立存在、成為運行對象的一部分、整合高度成熟的一種狀態(tài)。風險管理框架并不構成單獨體系：追求的結果是將風險管理嵌入整合管理體系，更為有效的方式是在組織現(xiàn)有的體系中整合風險管理要素。二、風險管理的授權與承諾概述：管理層行為；組織權力方面的保證；目的在于支持在組織內(nèi)部引入風險管理、保持風險管理的持續(xù)有效性。主要內(nèi)容包括：1）風險管理方針的制定（統(tǒng)一方向）。2）協(xié)調(diào)性的保證：風險管理方針VS組織文件、風險管理績效指標VS組織的其他指標、風險管理目標VS組織的其他目標和戰(zhàn)略。主要內(nèi)容：方針的制定、確保文化與風險管理相一致、確定風險管理績效指標、與其他目標相一致、合規(guī)性、職責權限的分配、資源配置、對風險管理收益的溝通、框架適宜性的保持。三、風險管理框架的設計基礎：對組織內(nèi)外部環(huán)境的評價和理解1、 設計包括：風險管理方針、責任、與組織過程的融合、資源、內(nèi)外部溝通與報告機制。2、 外部環(huán)境：國際、國內(nèi)，區(qū)域和當?shù)氐纳鐣臀幕?、政治、法?guī)、財務、技術、經(jīng)濟、自然和競爭環(huán)境（客觀存在）對組織目標實現(xiàn)產(chǎn)生關鍵影響的驅(qū)動因素和趨勢（與組織的目標相關聯(lián)）與外部利益相關方的關系以及觀念和價值觀（與組織的外部利益相關方有關）3、內(nèi)部環(huán)境1）公司治理、組織結構、角色和職責。包括：規(guī)章制度、業(yè)務流程等；計劃實現(xiàn)的方針、目標和戰(zhàn)略；能力（從資源和知識的角度），如資本、時間、人員、過程系統(tǒng)和技術；信息系統(tǒng)、信息流和決策過程（正式和非正式）；與內(nèi)部利益相關方的關系、他們的觀念和價值觀；組織的文化；組織所采用的標準、指南和業(yè)務模式；合同關系的形式和范圍。4、建立風險管理方針1）風險管理方針：組織對風險管理的意圖和方向的陳述；2）建立方針是管理層的職責3）風險管理方針應清晰表述內(nèi)容：風險管理目標、組織對風險管理的承諾4）方針應明確以下內(nèi)容：組織管理風險的依據(jù)（基礎原理）；組織目標、方針與風險管理方針之間的關系；管理風險的責任和職責；處理利益相關方?jīng)_突方式；為管理風險提供所需資源的承諾；風險管理績效測量和報告的方法；對風險管理方針和框架周期性的評審和改進以及對環(huán)境中的事件或變革進行應對的承諾。5）方針應得到溝通5、風險管理的責任1）涵蓋的范圍：職責、權限和能力2）需要明確職責、權限和能力的領域（實施和保持風險管理過程；為確?？刂频某浞中?、有效性、和效率所需的活動）3）確定的主要方式識別風險所有者；識別對風險管理框架負有建立、實施和保持職責的人員；識別組織的所有層次在風險管理過程方面的其他職責；建立績效測量過程以及外部和或內(nèi)部報告和分發(fā)過程中所保持的認可度。4）風險管理與組織過程的融合基本的方法論：風險管理過程應是組織過程中的一部分；風險管理應融入方針建立、業(yè)務和戰(zhàn)略策劃和評審以有變革管理過程。融合的要求：以緊密相關的、有效的、有效率的方式將風險管理嵌入至組織所有實踐和過程。融合的載體：《風險管理計劃》。5）風險管理的資源組織應為風險管理配置適宜的資源；應考慮以下方面內(nèi)容：人員、技能、經(jīng)驗和能力；風險管理過程步驟所需資源；組織應用于風險管理的過程、方法和工具；文件化的過程和程序；信息和知識管理系統(tǒng)；培訓方案。6）內(nèi)部溝通和報告機制目的：支持和鼓勵風險的職責和責任歸屬。確保：風險管理框架的關鍵組成部分以及任何后續(xù)的修改得到適宜的溝通；存在充分的關于框架的，有效性和輸出的內(nèi)部報告；來自于風險管理應用所獲得的相關信息在適宜的層次和頻次上可獲得；存在與內(nèi)部利益相關方協(xié)商的過程。對多不源信息的統(tǒng)一。對信息敏感性的考慮。7）建立外部溝通和報告機制溝通與報告的對象：外部利益相關方。機制的載體：溝通計劃計劃的內(nèi)容使適宜的利益相關方參與并確保有效地溝通信息。法律、法規(guī)和政府要求遵守情況的對外通告；為溝通和協(xié)商提供反饋和報告；利用溝通以使組織內(nèi)建立信任；當危機或意外事故發(fā)生時與利益相關方進行溝通。對多來源信息的統(tǒng)一。對信息敏感性的考慮。四、風險管理的實施1、框架的實施（的意義）定義合適的實施該框架的時間表和策略；為組織的過程應用風險管理方針和過程；符合法律和法規(guī)要求；確保決策、包括建立和設定目標等與風險管理過程的輸出相協(xié)調(diào)；保持信息和培訓機制；與利益相關方溝通和協(xié)商以確保其風險管理框架保持適宜。2、風險管理過程的實施（見附件）五、框架的監(jiān)視與評審1、目的：持續(xù)有效地支持組織績效2、手段：與指標進行比照；評價風險管理計劃的實施情況；基于內(nèi)外部環(huán)境的變化，對框架、方針和計劃的持續(xù)適宜性進行評審；風險報告、方針得到遵循的程度；風險管理框架的有效性。3、頻次：周期性的4、應按所確定的指標測量其績效定期測量計劃的進展及偏離在內(nèi)外部環(huán)境下定期評價計劃的適宜性報告風險管理計劃的進展及對風險管理方針的遵循程度評價框架的有效性。六、框架的持續(xù)改進改進的輸入：監(jiān)視和評審的結果；改進的領域：改進風險管理的框架、方針和計劃；改進的輸出：組織風險管理和其風險管理文化的改進。第五章風險管理過程一、概述/總則1、風險管理過程：管理方針、程序和慣例對溝通、協(xié)商、明確環(huán)境、以及識別、分析、評價、處理、監(jiān)測和評審風險管理活動的系統(tǒng)應用。2、風險管理過程的組成：風險管理過程是組織管理的有機組成部分，嵌入組織文化和實踐當中，貫穿中組織的經(jīng)營過程。風險管理過程由明確環(huán)境信息、風險評估、風險處理、監(jiān)測和評審所描述的活動的組成。風險評估包括風險識別、分析和評價三步。溝通和記錄應貫穿于風險管理過程。二、溝通和協(xié)商1、與利益相關方溝通和協(xié)商1）溝通和協(xié)商：組織針對風險管理，提供、共享或獲取信息，與利益相關方進行對話的持續(xù)和反復的過程。2）在風險管理過程的每一個階段應與內(nèi)外部利益相關者有效溝通和協(xié)商。3）溝通和協(xié)商計劃宜在早期制定。計劃針對與風險本身、風險成因、風險后果（如掌握）以及處理風險措施相關問題。4）為確保實施風險管理過程的職責明確，以及利益相關方理解決策的基礎和特定措施需求的原因，采取有效的內(nèi)外部溝通和協(xié)商。5）關注原因：與利益相關者的溝通是重要的。由于他們基于對風險的感知，做出了對風險的判斷。這些感知可以由于利益相關者的價值觀、需求、臆斷、概念和關注點的不同而變化。由于利益相關者的觀點會對決策產(chǎn)生重大影響，因此他們的感知以被識別、記錄、以及在決策過程中考慮。溝通和協(xié)商宜提供真實的、相關的、準確的、便于理解的交流信息，同時宜考慮到保密和個人誠實因素。2、協(xié)商團隊方法適當?shù)貛椭鞔_環(huán)境確保利益相關者的利益被理解和考慮幫助確保風險充分被識別將不同領域的專業(yè)知識一并用于分析風險確保在界定風險準則和評定風險時，不同觀點被恰當考慮確保認同和支持風險處理（應對）計劃加強在風險管理過程中的變更管理制定一恰當內(nèi)外部溝通和協(xié)商計劃。三、明確環(huán)境1、總則：通過明確環(huán)境，組織明確其目標，界定風險管理應考慮的內(nèi)外部參數(shù)，并設置風險管理過程的范圍和準則。盡管許多此類參數(shù)與風險管理框架設計時所考慮的參數(shù)類似，但在明確風險管理過程的狀況時，這些參數(shù)需要細致地，特別是與特定風險管理過程聯(lián)系起來考慮。2、明確外部環(huán)境1）外部環(huán)境是組織在實現(xiàn)目標過程中所面臨的外部環(huán)境的歷史、現(xiàn)在和未來的各種相關信息。2）為保證在制定風險準則時能充分考慮外部利益相關者的目標和關注點，組織需了解外部環(huán)境。外部環(huán)境以組織所處的整體環(huán)境為基礎，包括法律和監(jiān)管要求、利益相關者的訴求和與風險管理過程相關其他方面的信息等。3）包括但不限于：國際、國內(nèi)、地區(qū)及當?shù)氐恼?、?jīng)濟、文化、法律、法規(guī)、技術、金融以及自然環(huán)境和競爭環(huán)境影響組織目標實現(xiàn)的外部關鍵因素及其歷史的變化趨勢；外部利益相關者及其訴求、價值觀、風險承受度，外部利益相關與組織的關系。2、明確內(nèi)部環(huán)境1）內(nèi)部環(huán)境是組織在實現(xiàn)目標過程中所面臨的內(nèi)在環(huán)境的歷史、現(xiàn)在和未來的各種相關信息；2）風險管理過程要與組織的文化、經(jīng)營過程和結構相適應，包括組織內(nèi)影響其風險管理的任何事物；3）需明確內(nèi)部環(huán)境的原因：風險可能會影響組織戰(zhàn)略、日常經(jīng)營或項目運營等方面，從而進一步會影響組織的價值、信用和承諾等；風險管理在組織的特定目標和管理條件下進行；具體活動的目標和有關準則應入到組織整體目標的環(huán)境中考慮。3、包括：治理、組織結構、作用和責任；方針、目標，為實現(xiàn)方針和目標制定的戰(zhàn)略；基于資源和知識理解的能力，如資金、時間、人員、過程、系統(tǒng)和技術等；與內(nèi)部利益相關方的關系，內(nèi)部利益相關方的觀點和價值觀；組織的文化；信息系統(tǒng)、信息流和決策過程；組織所采用的標準、指南和模式；合同關系的形式與范圍。4、明確風險管理過程環(huán)境1）確立、組織活動的目標、策略、范圍和參數(shù)，或風險管理過程應用到2）風險管理過程的環(huán)境根據(jù)組織需求而變化，可包括：確定風險管理活動的目標、職責；確定所需開展的風險管理活動的范圍以及深度、廣度，包括具體的內(nèi)涵和外延；以時間和地點，界定活動、過程、職能、項目、產(chǎn)品、服務或資產(chǎn)；界定組織特定項目、過程或活動與其他項目、過程或活動間的關系；確定風險評估的方法；確定評價風險管理的績效和有效性的方法；識別和規(guī)定所必須做出的決策；確定所需的范圍或框架性研究，它們的程度和目標，以及此種研究所需資源。3）對這引起和其他相關因素的關注，有助于確保所采用的風險管理方法適合于環(huán)境、組織、以及影響目標實現(xiàn)的風險。5、確定風險準則1、風險準則：評價風險重要程度的依據(jù)。1）風險準則需體現(xiàn)組織的風險承受度，應反映組織的價值觀、目標和資源。有些風險準則直接或間接反映了法律和法規(guī)要求或其他需要組織遵循的要求。2）風險準則應與組織的風險管理方針一致。具體的風險準則應盡可能在風險管理過程開始時制定并持續(xù)不斷地檢查和完善。2、確定風險準則需考慮的因素可能發(fā)生的后果的性質(zhì)、類型及后果的度量；可能性的度量；可能性和后果的時限；風險的度量方法；風險等級的確定；利益相關者可接受的風險或可容許的風險等級；多種風險的組合的影響。四、風險評估1、風險評估過程包括：風險識別、分析、評價2、風險評估有助于決策者對風險及其原因、后果和可能性有更充分理解。為以下決策提供信息，即評估的目的：是否應開展某些活動如何充分利用時機是否需要應對風險選擇不同風險的應對策略確定風險應對策略的優(yōu)先次序選擇最適合的風險應對策略，將風險不利影響控制在可接受水平。3、風險識別1）風險識別：發(fā)現(xiàn)、列舉和描述風險要素的過程。2）風險識別的過程：風險識別是通過識別風險源、影響范圍、事件及其原因和潛在后果等，生成一個全面的風險列表。識別風險不僅要考慮有關事件可能帶來的損失，也要考慮其中蘊含的機會。風險描述應做結構化的描述：風險來源、事件、因素、結果。進行風險識別時要掌握相關的和最新的信息，必要時，需包括適用的背景信息。除識別可能發(fā)生的風險事件外，還要考慮其可能的原因和可能導致的后果，包括所有重要的原因和后果。不論風險事件的風險源是否在組織控制之下，或其原因是否已知，都應對其進行識別。此外，要關注已經(jīng)發(fā)生的風險事件，特別是新近發(fā)生的風險事件。識別風險需要所有相關人員參與。組織所采用的風險識別工具和技術應適合于其目標、能力及所處環(huán)境。3）風險識別方法基于證據(jù)的方法，如檢查表、對歷史數(shù)據(jù)的審查；系統(tǒng)性的團隊方法，如一個專家隊可借助一套結構化的提示或問題來系統(tǒng)識別風險；歸納推理技術，如危險與可操作性分析（HAZOP）等組織可利用各種支持性的技術來提高風險識別工作的準確性和完整性，包括頭腦風暴法及德爾菲法等。4、風險分析：系統(tǒng)地運用相關信息來確定風險的來源，并對風險進行估計。1） 風險分析要考慮導致風險的原因和風險源、風險事件的正負面后果及其發(fā)生的可能性、影響后果和可能性因素、不同風險及風險源的相互關系及風險的其他特性，還要考慮現(xiàn)有的管理措施及其效果和效率。2） 風險分析考慮要素在風險分析中，應考慮組織的風險承受度及對前提和假設的敏感性，并適時與決策者和其他利益者有效的溝通。另還要考慮可能存在的專家觀點中的分歧及數(shù)據(jù)和模型的局限性。3） 風險分析方法根據(jù)風險分析的目的、獲得的信息數(shù)據(jù)和資源，風險分析可是定性的、半定量、定量的或以上方法的組合。一般情況下，首先采用定性分析，初步了解風險等級和提示主要風險。適當時，進行更具體和定量的分析。4） 風險分析結果后果和可能性可通過專家意見確定，或通過對事件或事件組合的結果建模確定，也可通過對實驗研究或可獲得的數(shù)據(jù)的推導確定；對后果的描述可表達為有形或無形的影響。在某些情況下，可能需要多個指標來確切描述不同時間、地點、類別或情形的后果。分析有：定性評估、半定量法、定量分析5）控制措施評估6）后果分析7）可能性分析和概率估計8）初步分析9）不確定性及敏感性因素4、風險評價：將估計后風險與給定的風險準則對比，來決定風險嚴重性的過程。1）與組織確定的風險準則進行對照，以決定風險的水平并確定控制優(yōu)先順序。經(jīng)風險評價，確定風險是可承受還是需進行處理（分別采用風險規(guī)避、優(yōu)化、轉(zhuǎn)移或保留等措施）。2）風險評價決策風險評價利用風險分析過程中所獲得的認識，來對未來的行動進行決策。道德、法律、資金及風險偏好在內(nèi)的其它因素也是決策的參考信息。決策包括：某個風險是否需應對；應對優(yōu)先次序；是否應開展某項應對活動；采取哪種途徑。3）風險評價結果風險評價的結果應滿足風險應對的需要，否需進一步分析。有時，根據(jù)已定的準則，也可維持現(xiàn)有措施，不采取新的措施。常見的方法是將風險分為三個等級，基于“最低合理可行”原則：上段是指無論活動能帶來什么利益，風險等級都是無法容忍的，必須不惜一切代價處理；中段是指要考慮實施風險應對的成本與收益，并權衡機遇與潛在結果；下段是指風險等級微不足道，或很小，無需采取措施處理。風險評價評價的結果應滿足風險處理需要，否則，應做進一步分析。5、常用風險評估技術技術的選擇、可用資源、不確定性的性質(zhì)和程度、復雜性。ISO/IEC31010《風險管理風險評估技術》標準給出了對風險評估的每一步，各類技術的適用性被描述為非常適用、適用或不適用的不同類型。常用的方法：1） 情景分析：分析未來可能發(fā)生的情景，及可種情景可能產(chǎn)生的影響來分析。類似“如果—怎樣”。使我們能預見將來，對未來有個直觀的認識。輸入：關注參數(shù)變化過程：編寫一個故事，以預測結果輸出：可能不會最適合的情景，但可應對各選項及隨時調(diào)整方案有更清晰認識。PEST分析：如政治、經(jīng)濟、社會、技術的變化基于SWOT分析的道斯矩陳：優(yōu)勢、劣勢、外部機會、外部威脅。利益相關性分析2） 失效模式和效應分析：是用來識別組件或系統(tǒng)未能達到其設計意圖的方法FMEA用于識別：系統(tǒng)各部分所潛在的失效模式，這些故障對系統(tǒng)的影響，故障原