风险管理原则与实施指引

风风险险管管理理原原则则与与实实施施指指 南南 HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】 风险管理风险管理 原则与实施指南原则与实施指南 1 1 范围范围 本标准提供了风险管理的原则和通用的实施指南。 本标准适用于组织的全生命周期及其各阶段，也适用于组织的各种活动，包括流程 管理、职能行为、项目管理以及与产品、服务、资产、运作和决策等有关的各项活动。 本标准提2 2 规范性引用文件 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文 件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而鼓励 根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用 文件， 3 3 术语和定义术语和定义 GB/T23694确定的术语和定义适用于本标准。 4 4 风险管理原则风险管理原则 为有效管理风险，组织在实施风险管理时，可遵循下列原则： a)a)控制损失，创造价值控制损失，创造价值 以控制损失、创造价值为目标的风险管理，有助于组织实现目标、取得具体可见的 成绩和改善各方面的业绩，包括人员健康和安全、合规经营、信用程度、社会认可、环 境保护、财务绩效、产品质量、运营效率和公司治理等方面。 b)b)融入组织管理过程融入组织管理过程 风险管理不是独立于组织主要活动和各项管理过程的单独的活动，而是组织管理过 程不可缺少的重要组成部分。 c) c)支持决策过程支持决策过程 组织的所有决策都应考虑风险和风险管理。风险管理旨在将风险控制在组织可接受 的范围内，有助于判断风险应对是否充分、有效,有助于决定行动优先顺序并选择可行的 行动方案，从而帮助决策者做出合理的决策。 d)d)应用系统的、结构化的方法应用系统的、结构化的方法 系统的、结构化的方法有助于风险管理效率的提升，并产生一致、可比、可靠的结 果。 e e）以信息为基础）以信息为基础 风险管理过程要以有效的信息为基础。这些信息可通过经验、反馈、观察、预测和 专家判断等多种渠道获取，但使用时要考虑数据、模型和专家意见的局限性。 f f）环境依赖）环境依赖 风险取决于组织所处的内部和外部环境以及组织所承担的风险。需要特别指出的 是，风险管理受人文因素的影响。 g g）广泛参与、充分沟通）广泛参与、充分沟通 组织的利益相关者之间的沟通，尤其是决策者在风险管理中适当、及时的参与，有 助于保证风险管理的针对性和有效性。 利益相关者的广泛参与有助于其观点在风险管理过程中得到体现，其利益诉求在决 定组织的风险偏好时得到充分考虑。利益相关者的广泛参与要建立在对其权利和责任明 确认可的基础上。 利益相关者之间需要进行持续、双向和及时的沟通，尤其是在重大风险事件和风险 管理有效性等方面需要及时沟通。 h h）持续改进）持续改进 风险管理是适应环境变化的动态过程，其各步骤之间形成一个信息反馈的闭环。随 着内部和外部事件的发生、组织环境和知识的改变以及监督和检查的执行，有些风险可 能会发生变化，一些新的风险可能会出现，另一些风险则可能消失。因此，组织应持续 不断地对各种变化保持敏感并做出恰当反应。组织通过绩效测量、检查和调整等手段， 使风险得到持续改进。 5 5 风险管理过程风险管理过程 5.15.1 概述概述 风险管理过程是组织管理的有机组成部分，嵌入在组织文化和实践当中，贯穿于组 织的经营过程。风险管理过程由 5.2到 5.5 所描述的活动组成，即明确环境信息、风险 评估、风险应对、监督和检查，如图 1所示。其中，风险评估包括风险识别、风险分析 和风险评价等三个步骤。 沟通和记录，应贯穿于风险管理过程的各项活动中，5.6将对其进行详细说明。 5.2 明确环境信息5.5 监 5.3风险评价 5.32 风险识别 督 和 检 查 5.4风险应对 图 1风险管理过程 5.25.2 明确环境信息明确环境信息 通过明确环境信息，组织可明确其风险管理的目标，确定与组织相关的内部和外部 参数，并设定风险管理的范围和有关风险准则。 外部环境信息是组织在实现目标过程中所面临的外部环境的历史、现在和未来的各 种相关信息。 为保证在制定风险准则时能充分考虑外部利益相关者的目标和关注点，组织需要了 解外部环境信息。外部环境信息以组织所处的整体环境为基础，包括法律和监管要求、 利益相关者的诉求和与具体风险管理过程相关的其他方面的信息等。 外部环境信息包括但不限于： ——国际、国内、地区及当地的政治、经济、文化、法律、法规、技术、金融以及 自然环境和竞争环境； ——影响组织目标实现的外部关键因素及其历史和变化趋势； ——外部利益相关者及其诉求、价值观、风险承受度； ——外部利益相关者与组织的关系等。 内部环境信息是组织在实现目标过程中所面临的内在环境的历史、现在和未来的各 种相关信息。 风险管理过程要与组织的文化、经营过程和结构相适应，包括组织内影响其风险管 理的任何事物。组织需明确内部环境信息，因为： ——风险可能会影响组织战略、日常经营或项目运营等各个方面，从而进一步会影 响组织的价值、信用和承诺等； ——风险管理在组织的特定目标和管理条件下进行； ——具体活动的目标和有关准则应放到组织整体目标的环境中考虑； 内部环境信息可包括： ——组织的方针、目标以及经营战略； ——资源和知识方面的能力（如资金、时间、人力、过程、系统和技术）; ——信息系统、信息流和决策过程（包括正式的和非正式的）; ——内部利益相关者及其诉求，价值观、风险承受度； ——采用的标准和模型； ——组织结构（包括治理结构、任何和责任等）、管理过程和措施； ——与风险管理实施过程有关的环境信息等。 其中，风险管理过程的环境信息根据组织的需要而改变，它包括但不限于： ——所开展的风险管理工作的范围和目标，以及所需要的资源； ——风险管理过程的职责； ——应执行的风险管理活动的深度和广度； ——风险管理活动与组织其他活动之间的关系； ——风险评估的方法和使用的数据； ——风险管理绩效的评价方法； ——需要制定的决策； ——风险准则等。 5.2.45.2.4 确定风险准则确定风险准则 风险准则是组织用于评价风险重要程度的标准。因此，风险准则需体现组织的风险 承受度，应反映组织的价值观、目标和资源。有些风险准则直接或间接反映了法律和法 规要求或其他需要组织遵循的要求。风险准则应当与组织的风险管理方针一致。具体的 风险准则应尽可能在风险管理过程开始时制定，并持续不断地检查和完善。 确定风险准则时要考虑以下因素： ——可能发生的后果的性质、类型以及后果的度量； ——可能性的度量； ——可能性和后果的时限； ——风险的度量方法； ——风险等级的确定； ——利益相关者可接受的风险或可容许的风险等级； ——多种风险的组合的影响。 通过对以上因素及其他相关因素的关注，将有助于保证组织所采取的风险管理方法 适合于组织现状及其所面临的风险。 5.35.3 风险评估风险评估 风险评估包括风险识别、风险分析和风险评价三个步骤。 风险识别是通过识别风险源、影响范围、事件及其原因和潜在的后果等，生存一个 全面的风险列表。识别风险