讲解一下风险管理框架的概念：

•为设计、实施、 监测 和持续改进整个组织的风险管理提供基础，是由组织安排的一组组件构成。其中基础 包括 方针 目标以及对管理风险的授权和承诺，而安排包括 计划 相互关系 责任 资源 过程和活动。

上面这个图，从左往右看，管理原则与授权和承诺是单向箭头，所以风险管理原则为授权和承诺提供支撑， 从上往下看，授权与承诺和管理风险的框架设计是双向箭头，代表授权和承诺与框架设计之间是相辅相成，授权和承诺对框架设计有指导作用，而设计的成果也要反馈给管理者

授权与承诺

概念：引入风险管理并确保其有效进行，需要组织的管理者提供强有力的支持和持续性的承诺。管理者不仅仅 包括组织的高级管理人员，对企业而言，还应该包括对组织有出资、控制、监督职能的董事会和管理委员会等人员。 承诺，意味着责任和权力，意味着公开，意味着在这一管理领域中组织的管理方向、总体要求和责任分配

授权与承诺的措施

阐明并签署风险管理方针；

确保组织文化和组织的风险管理方针一致；

决定组织的绩效指标应与组织的绩效指标相一致 – 风险管理需要绩效考核，风险管理绩效不能脱离组织的绩效指标，否则没有体现风险管理的嵌入性

是风险管理目标与组织的目标和战略一致；

确保法律法规的符合性；

在组织内的适当层次分配管理责任和职责；

确保风险管理中的必要的资源配置；

与所有利益相关方沟通风险管理的益处；

确保管理风险的框架始终保持适宜- 在风险管理过程中，根据组织内外部环境变化，识别正在运行的风险管理框架是否对变化有适当的响应，通过监测和评审可以实现这个目标；

1. 了解组织及其环境：

   了解组织及其环境，在开始设计和实施风险管理框架之前，评价和了解组织的外部、内部环境十分重要

   •时间要求： 是在设计和实施风险管理框架之前
   •活动要求： 包含两项工作。评价 和 了解 环境

   •途径：媒体、与风险相关的图书、杂志和内刊、相关报告、相关活动，如访谈、学术交流等

2. 制定风险管理方针:

   清晰阐明组织的风险管理目标和对风险管理的承诺，风险管理方针通常包括以下几个方面：

   •明确组织风险管理的依据- 依据为组织风险管理的建立、实施和评价提供准绳
   •明确风险管理方针和组织的目标和方针的关系- 组织的风险管理目标应该包含于组织的风险管理方针之中
   •对风险管理的责任和职责做出规定
   •明确处理利益相关方之间利益冲突的方式
   •承诺向对管理风险负有责任和履行职责的人提供必要的资源
   •明确测量和报告风险管理绩效的方式- 测量方式指绩效指标的设定，测试方法等，而报告包括报告的方法，途径。周期和责任等
   •承诺定期评审和改进风险管理方针和框架，并对时间或环境的变化做出相应
   •组织应该把风险管理方针与利益相关方进行适当的沟通
3. 明确责任：

   组织应确保有责任、权力以及适当的能力来管理风险，包括实施和维护风险管理过程，白包裹确保任何一种控制方式都是充分的，有效力和有效率的，包括以下几个方面：

   •识别对管理风险负有责任和权力的风险所有人
   •识别对管理风险框架开发或指定、实施和维护负有责任的人
   •识别组织内所有层级的人员在风险管理中的其他职责
   •建立在绩效测量、外部和内部报告以及升级等方面的过程
   •确保适当程度的认可- 包括对某风险的接受，或者对魔种应对措施的接受，或者是对某种授权带来后果的接受等。
4. 把风险管理整合入组织的所有过程：
   •风险管理应该以关联的，有效力和有效率的方式嵌入到组织的所有实践和过程，风险管理过程应该是这些过程的一部分而不是独立于这些过程，尤其是风险管理应该嵌入组织方针的指定，业务与战略的策划以及评审，以及变更管理过程。
5. 明确资源：

   组织应该为风险管理配置适当的资源

   •人员 技能 经验和能力
   •风险管理过程每一步所需要的资源
   •组织用于管理风险的过程方法和工具
   •文档化的过程和程序
   •信息和只是的管理系统
   •培训策划或计划
6. 建立内部沟通和报告机制：

   组织应该建立内部沟通和报告机制以支持和鼓励对风险的责任和所有权，（沟通可以是正式的，也可以是非正式的，而报告往往是制度化或者强制的）确保：

   •风险管理框架的关键构成及其后续的任何修改都能得意适当的沟通
   •对风险管理框架及其有效性和结果能够进行充分的内部报告
   •在各个适当的层级和时间，可以获取来自风险管理应用的相关信息
   •与内部利益相关方有咨询的过程
7. 建立外部沟通和报告机制：

   组织应建立并实施一个计划，该计划用于回答如何与外部利益相关方进行沟通，包括：

   •吸引适当的外部利益相关方，确保有效的信息交流
   •外部报告遵从法律、监管和治理等要求
   •为沟通的咨询提供反馈和报告
   •通过沟通建立对组织的信心
   •在危机或突发事件中与外部利益相关方沟通

实施风险管理

1. 实施管理风险的框架：

•确定实施框架的时机和策略

•把风险管理方针和过程应用到组织的所有过程中

•遵从法律和监管的要求

•确保决策，包括目标的开发和指定，与风险管理的过程一致

•举办通知和培训会议

•与利益相关方沟通与咨询，确保组织的风险管理框架保持适宜

2.实施管理风险的过程：

•作为活动与过程一部分，组织应实施风险管理。实施风险管理可以通过在组织所有层次和职能上实施风险管理计划，确保风险管理过程得到应用

框架的检测和评审

概念：为确保风险管理有效并且持续纸质组织的绩效，组织应针对各种指标衡量风险管理绩效，并定期评审这些指标的适宜性。

•       针对风险管理计划定期测量其进展和偏差

•       在给定的组织内部和外部环境下，定期评审风险管理框架、方针、计划是否仍然适宜

•       报告风险、风险管理计划的进展情况，以及组织的风险管理方针遵循情况

•       评审风险管理的有效性

指南：

•       建立风险管理的绩效指标，定期评审指标的适宜性，利用这些指标对风险管理的绩效进行测量，并对测量的结果进行分析和评价

•       对风险管理计划的检测和评审

•       对风险管理框架，风险管理方针，风险管理计划的适宜性进行定期评审

•       报告风险，报告风险管理计划的进展情况，报告风险管理方针被遵循的情况

•       对框架的整体有效性进行评审

评审方式

•       有框架的所有者对框架进行常规评审

•       有独立的第三方进行评审

•       有合作伙伴或合同方进行评审

•       阶段性或周期性的审计

框架的持续改进

基于检测与评审的结果，组织应该就如何改善风险管理框架，方针，计划作出决策，这些决定应导致组织的风险管理和风险文化的改善

·         持续改进的基础：基于 框架的监测与评审的结果

·         持续改进的主要内容： 风险管理框架、风险管理方针、风险管理计划

·         持续改进的目标： 一是要促使组织风险管理的改善，二十要促使组织风险管理文化的改善