报告是组织治理不可或缺的一部分,可提升与利益相关者的沟通质量,并为最高管理层和监督机构履行职责提供支持。报告的考虑因素包括但不限于。
任何类型和规模的组织都受到各种内外部因素的影响, 导致其目标的实现存在不确定性。这些日标关系到组织中从战略决策到运营的各种活动,表现在战略、运营、财务、环境、社会、声誉等各个方面。
风险管理通过考虑不确定性及其对目标的影响,采取对应的措施,为组织的决策和运营以及有效应对各类突发事件提供支持。风险管理旨在保证组织恰当地应对风险,提高风险应对的效率和效果, 增强决策和行动的合理性,有效地配置资源。
管理风险是一个循环提升的过程,有助于组织制定战略, 实现目标和做出合理的决策。管理风险是组织治理和领导作用的一部分,为组织所有层级的管理提供基础有助干管理体系的改善。管理风险是组织所有相关活动的有机组成部分, 包括与利益相关者的沟通。
图1列出了管理风险所依据的原则、框架和过程。这些原则, 框架和过程可能已全部或部分地存在于组织内,但可根据自身的需求进行调整或改善,从而使管理风险的效果好、效率高,并且具有一致性。
本文件旨在帮助组织在制定决策、设定和实现目标以及提升绩效的过程中管理风险, 创造和保护价值。
本文件为组织管理其所面临的风险提供指南,组织可根据其具体环境,有针对性地应用。本文件为管理各种类型的风险提供了一种通用方法,而非仅针对某些特定行业或领域。本文件适用于组织全生命周期的任何活动,包括所有层级的决策制定。
注1:影响是指偏离预期,偏离可以是正面的和/或负面的,可能带来机会和威胁。
可以影响,被影响或自认为会被某一决策或活动影响的个人或组织。注:interested party可用来替代英文对应词*stakeholder”
注2:事件可能是预期会发生但没发生的事情,也可能是预期不会发生但却发生的事情。
注1:后果可以是确定的,也可以是不确定的;对目标的影响可以是正面的,也可以是负面的;可以是直接的。也可以是间接的,
注1:在风险管理术语中,无论是以客观的或主观的、定性或定量的方式来定义、度量或确定。还是用一般词汇或数学术语来指述(如概率,或一定时间内的频率),“可能性”都用来表示某件事发生的概率。
注2:可能性(likelihood)”这一英语词汇在一北语言中没有直接与之对应的词汇,因此经常用概率(probability)*这个词代善。不过,在英语中,概率常常被独交地理解为一个数学词汇。因此,在风险管理术语中。可能性有着与许多语言中使用的“概率”一词相同的解释,而不局限于英语中概率”一词的意义。
注1:控制包括但不限于保持和/或改变风险的任何流程、策略、措施、操作或其他行动。
风险管理的目的是创造和保护价值。风险管理能够改善绩效,鼓励创新,支持组织目标的实现。
图2列出的这些原则,为有效和高效的风险管理提供指导,阐述了风险管理的意图、目的和价值。这些原则是风险管理的基础,可在确立组织风险管理框架和过程时认真考虑。这些原则有助于组织管理不确定性对目标的影响。
注:将风险管理的原则,框架和过程融人组织其他管理活动及其制度办法。有助于推动风险管理的落实。
利益相关者适当、及时的参与,可以使他们的知识、观点和认知得到充分考虑。这样有助于提高组织的风险意识,并促进风险管理信息的充分沟通。
随着组织内外部环境的变化,组织面临的风险可能会出现、变化或消失。风险管理以适当、及时的方式预测、发现、确认和应对这些变化和事件,
风险管理的信息输入是基于历史信息,当前信息和未来预期的。在风险管理过程中宜明确考虑与这些信息和预期相关的限制条件和不确定性。信息宜及时,清晰,并且是有关的利益相关者可获得的。
风险管理框架的目的是协助组织将风险管理纳人重要的活动和职能中。风险管理的有效性取决于其与组织治理及决策制定的格合情况。这需要利益相关者尤其是最高管理层的支持。
框架制定包含在整个组织中整合、设计、实施、评价和改进风险管理。图3列举了风险管理框架的要素。
组织宜对其现有的风险管理实践及过程进行评价,并在上述框架内对评价出的差距进行改进优化。框架内各要素及其协同运作的方式宜结合组织需求进行针对性地设计。
最高管理层和监督机构需确保将风险管理融人所有组织活动中。通过以下活动展现领导作用和承诺:
发布风险管理声明或方针,内容包括制定风险管理方法计划或行动方案: --确保为管理风险配置必要的资源;
使风险管理与自身目标,战略和文化相协同: --识别并履行组织的所有义务及自愿承诺:
确定可承担或不可承担的风险数量和类型,以指导风险准则的制定,确保与组织及利益相关者沟通;
最高管理层负责管理风险,监督机构负责监督风险管理。通常对监督机构的要求或预期是:
风险管理的整合有赖于对组织结构及内外部环境的理解。组织结构因组织目的、目标和复杂程度而异;在组织结构的每一部分都有必要进行风险管理。组织内部的所有人都有管理风险的责任。
组织的治理结构决定组织的运营过程,内外部关系以及实现目标所需的规章制度,程序和实务。组织的管理架构将治理要求转化为战略和相应的目标。以达到可持续发展所需要的绩效水平。确定组织内部的风险管理职责和监督角色是组织治理不可或缺的内容。
风险管理与组织的整合是一个动态、循环提升的过程,宜结合组织需求和文化量身定制。风险管理不是孤立的,而是组织目的、治理、领导作用和承诺,战略、目标和运营的一部分。
在设计风险管理框架时,组织需审视并了解其内外部环境。需审视的组织外部环境包括但不限于;
国际、国内、区域或地方的社会、文化、政治、法律、监管、金融、技术、经济、自然环境;
组织在资源和知识方面所具备的能力(即资本、时间、人力、知识产权、程序、系统和技术等)数据、信息系统和信息流;
最高管理层和监督机构可通过政策、声明或其他形式,表达并展现自身对风险管理的持续承诺,以明确传达组织有关风险管理的目标和承诺。风险管理承诺包括但不限于:
最高管理层和监督机构官明确组织相关角色的风险管理责任、职责和权限,并与组织所有层级沟通,且需要;
最高管理层和监督机构宜确保为风险管理分配适当的资源,包括但不限于: --人力、技能,经验和能力;
为支持风险管理框架和促进风险管理的有效运用,组织需建立经批准的沟通和咨询方法。沟通主要是与目标受众分享信息。咨询主要是通过获取参与者的反债,为制定决策或其他活动提供建议。法通和咨询的方法和内容宜反映有关利益相关者的期望。
沟通和咨询宜及时,确保相关信息得到适当的收集、整理、汇总和分享,并适时提供反馈和做出改进。
风险管理框架的成功实施,需要利益相关者的参与和重视。这样能够使组织明确地处理决策中的不确定性:同时还能确保组织在面对新的或后续的不确定性时及时做出反应,
通过恰当地设计和实施风险管理框架,可以确保将风险管理过程融人组织内部所有活动(包括决策制定)之中,并将充分考虑内外部环境的变化。
根据组织设计和实施风险管理框架的目的,实施计划,结效指标和预期表现效果,定期分析风险管理框架的实施效果;
组织宜持续监控和更新风险管理框架,以适应内外部环境的变化,这样有助于提升组织价值。
组织宜持续改进风险管理框架的适用性、充分性、有效性以及风险管理过程与其他管理活动的整合方式。
当识别出相关差距或改进空间后,组织宜制定改进计划和任务,并分配给相关负责人实施。这些改进计划和任务的实施,有助于加强组织的风险管理。
风险管理过程是将政策、程序和实践系统地应用于沟通和咨询,建立环境、风险评估、风险应对、监督和检查,记录和报告等活动。图4给出了风险管理过程。
风险管理过程是组织管理和决策的有机组成部分,需融入组织的架构,运营和流程中。它可以应用在战略、运营、项目群或单个项目层面。
风险管理讨程在组织中的应用可以是多方面的,可根据组织目标定制,并与其所处的内外部环境相适应。
在整个风险管理过程中,需要考虑人的行为因素和文化因素的动态性和多变性,虽然风险管理过程通常表现为按一定的顺序开展,但在实践中是一个循环提升的过程。
沟通和咨询的目的是帮助利益相关者理解风险。明确制定决策的依据以及采取特定管理措施的原因。沟通是为了促进对风险的认识和理解,咨询则是为了获取反馈和信息, 以支持决策制定。两者的密切协调将促进信息交换的真实性,及时性、相关性 , 准确性和可理解性,并能兼顾到信息的保密性、完整性和个人隐私保护。
在风险管理过程的所有阶段, 均需与相关的内外部利益相关者沟通并咨询其意见。
确定范围、环境和准则的目的,在于有明确的目的性地设计风险管理过程,以实现有效的风险评估和恰当的风险应对。范围、环境和准则包括界定过程范围、理解内外部环境和界定评定准则。
由于风险管理过程可应用于不同层面 ( 如战略、运营、项目群、单个项目或其他活动 ) 。所以明确风险管理过程的范围,目标及其与组织目标的一致性十分重要。
规划风险管理实施路径时,所考虑的事项包括 : -- 目标和需要做的决策 ;
所需的资源、责任和需要保留的记录 ; -- 与其他项目、过程和活动的关系。
风险管理环境的确定,宜建立在对组织运营所处的内外部环境的理解上,并反映出实施风险管理活动的具体场景。理解环境之所以重要,是因为 :
组织可在考虑 5.4.1 所述因素的基础上 , 建立风险管理过程的内外部环境。
组织宜基于其目标 , 确定其所能承受的风险数量和类型 ; 组织还需界定评价风险重要性的准则并支持决策讨程。风险准则宜与风险管理框架相一致,并根据相关活动的具体目的和范围进行针对性的识计,风险准则宜反映组织的价值观,目标和资源,并与组织的风险管理方针和声明相一致。在界定风险准则时宜考虑组织的义务和利益相关者的意见。
虽然风险准则可在风险评估讨程之初确定,但它是动态变化的,因此宜持续审视并于必要时进行修改。
可能影响结果和目标的不确定因素的性质和类型 ( 包括有形的和无形的 );
风险评估宜系统地、循环地、协作性地开展,并最大限度地考虑利益相关者的观点。风险评估宜使用最佳可用信息,在必要时可通过进一步调查加以补充。
风险识别的目的是发现、确认和描述可能有助于或妨碍组织实现目标的风险。采用相关、适当、最新的信息对于识别风险非常重要。
组织可使用一系列技术来识别可能会影响一个或多个目标的不确定性。识别风险宜考虑以下因素及相互之间的关系 :
不管风险源是否在组织控制范围内 , 都宜对风险进行识别。需考虑风险带来的多于一种的结果 , 这些结果可能会引起各种有形或无形的后果。
风险分析的目的是了解风险性质及其特征,必要时包括风险等级。风险分析包括对不确定性、风险源 . 后果,可能性。事件,情境。控制措施及其有效性进行详尽考虑。一个事件可能有多种原因和后果,可能会影响多个目标。
开展风险分析的细致和复杂程度可不一样,具体取决于分析目的 . 信息的可获得性和可靠性以及可用的资源。分析技术能是定性的 , 定量的或者定量和定性相结合的,具体视情况和预期用途而定。
风险分析受观点分歧、偏见、风险认知及判断的影响。其他影响包括所使用信息的质量、所做的假设和排除情形、所使用技术的局限性以及开展分析的方式。这些影响均宜考虑 , 记录 , 并与决策者沟通
高度不确定的事件可能难以量化。这在分析具有严重影响的事件时可能是一个问题。在此情况下 , 综合使用多种分析技术通常能提供更合理的观点。
风险分析可为风险评价提供信息输入,也可为要不要和怎么样应对风险,及采取最适宜的策略和方法提供信息支撑。当面对不同类别和不一样的等级的风险需要做出抉择时,风险分析结果可为决策提供深刻见解。
风险评价的目的是支持决策。风险评价是将风险分析结果和既定风险准则相比较,以确定是不是需要采取进一步行动。风险评价可促成以下决定:
决策宜考虑到更广泛的环境,以及对内外部利益相关者的实际和预期影响。风险评价的结果宜予以记录,沟通,然后在组织适当层级予以确认。
风险应对的目的是选择和实施风险处理方案。风险应对是一个循环提升的过程 , 包括 :
选择最合适的风险应对方案 , 可在实现目标获得的潜在收益和付出的成本、耗费的精力或由此引发的不利后果之间进行权衡。
风险应对方案之间并不全是相互排斥的 , 也不一定适用于所有情形。风险应对方案涉及以下一个或多个方面 :
采取风险应对的理由不仅考虑经济因素,还宜考虑所有的组织义务、自愿性承诺和利益相关者的观点,可依据组织目标,风险准则和可用资源选择风险应对方案。
选择风险应对方案时,组织宜考虑利益相关者的价值观 , 认知和潜在参与程度以及与其沟通和协商的最佳方式。虽然效果相同 . 但某些风险应对方案相比其他方案更能被某些利益相关者接受。
虽然经过谨慎的设计和实施,但风险应对不一定产生预期结果, 甚至有可能产生意外的后果。监督和检查宜作为风险应对实施的一部分,以确保不同形式的风险应对持续有效。
如果没有可用的应对方案或者应对方案不足以改变风险,组织可将这些风险记录下来,并持续跟踪。
决策者和其他利益相关者宜了解经风险应对后剩余风险的性质和程度。组织可记录剩余风险,对其做监督和检查,并适时采取进一步应对措施。
风险应对计划的目的是明确如何实施所选定的应对方案, 以便相关人员了解应对计划 ,并监测计划实施进度。应对计划宜明确指明实施风险应对的顺序,
应对计划宜纳人管理计划和组织运营过程中 , 并征询利益相关者意见。应对计划中提供的信息应包括 :
监督和检查的目的是确保和提升风险管理过程设计,实施和结果的质量和成效。宜将对风险管理过程的持续监督和按时进行检查及其结果作为风险管理过程内计划性工作的组成部分,并明确界定责任。
监督和检查宜贯穿于风险管理过程的所有阶段。监督和检查包括计划、收集和分析信息、记录结果和提供反馈。
宜通过适当的工作机制,记录和报告风险管理过程及其结果。记录和报告旨在 :
在决定创建、留存和处理所记录信息时,宜考虑 ( 但不限于 ) 信息的用途、敏感性及内外部环境。
报告是组织治理不可或缺的一部分,可提升与利益相关者的沟通质量,并为最高管理层和监督机构履行职责提供支持。报告的考虑因素包括但不限于,
区分利益相关者及其具体信息需求和要求 : 报告成本、频率与及时性 : 报告方式 ;