风险管理过程
概念:将管理方针程序 和操作方法 ,系统的应用到沟通与咨询、 建立环境以及识别 、分析、 评价 、应对 、监测与评审风险的活动中
• 组织管理整体的有机组成部分
• 被嵌入到组织的文化和实践当中
• 可被调整以适应组织的业务过程或经营过程
沟通与咨询
概念:组织关于管理风险所实施的提供,共享,获取信息以及与利益相关方从事对话的 持续和往复的过程
• 咨询是组织与利益相关方之间就某个议题决策的优先级或确定某个议题的方向而进行正式沟通的双向过程,包含两个方面:
1. 利益相关方:可能影响 被影响或感觉资深可能被某一项活动或者决定所影响的个人或者组织
2. 风险感知:利益相关方对风险的观点和意见;反应利益相关方的需求 问题 认知 信仰和价值观
优点:
• 开发沟通计划
• 恰如其分的定义环境
• 确保利益相关方的利益被理解和被考虑
• 汇集不同领域的专业知识以识别和分析风险
• 确保在风险评价时不同的观点被恰当的考虑
• 确保风险得到充分的识别
• 确保风险应对计划得到认可和支持
途径:
• 组建咨询团队
建立环境
外部环境:
组织追求实现其目标所处的外部环境,包括组织运营和系统运营密切相关的环境
• 文化 社会 政治 法律 法规 金融 技术 经济 自然环境和竞争环境,无论是国际 国内 还是本土
• 对组织目标有影响的关键驱动因子和趋势
• 与外部利益相关方的关系,以及他们的感知和价值观
内部环境:
组织追求实现其目标所处的内部环境
• 组织的各种结构(治理结构,角色划分,责任体系)
• 组织的各项方针和过程
• 组织在风险管理资源和知识方面的能力
• 与内部利益相关方的关系,以及他们的感知和价值观
• 组织内部对风险的认知、价值观和文化
• 适合组织的标准和参考模型
• 组织的信息流和决策流
风险管理过程环境:
• 定义风险管理的责任和义务
• 定义被实施的风险管理活动的范围,包括对包含事物和非包含实物的说明
• 根据时间和位置,设定项目,过程,功能或活动的范围
• 定义一个特定的项目与组织的其他项目的关系
• 设定风险评估的方法论
• 定义风险准则:
1. 内容:
o 后果的性质和类型,以及风险后果的度量
o 可能性的表达方式
o 如何设定风险等级
o 设定风险应对时的风险准则
o 设定风险被接受或容忍时的风险准则
o 风险在什么时候需要分析,如何组合
2. 资源:
o 被认可的过程目标
o 在规范书中被描述的准则
o 被接受的通用的行业准则
o 组织的风险偏好
o 法律和其他对设备或应用的要求
• 明确风险管理的绩效如何评定
• 识别并说明必须要做的决策和行动
• 识别重要研究的范围、目标以及所需的资源
风险评估包括3个部分
风险识别,风险分析和风险评价
风险识别:
• 风险源:对导致风险具有内在可能性的元素或者元素的结合
• 风险事件:一组特定情况的发生或者变化,特定情况表明组织在风险识别过程中,应该考虑事件发生的根源和原因
• 风险原因:只描写直接原因,间接的或本质的风险原因在风险分析阶段进行
• 风险后果:后果的形态,关乎财务,健康,安全,声誉,生命和品牌等
• 影响性质:正面或者负面的影响
• 现有的控制措施:只识别 有或者没有,如果有,是什么, 至于控制措施的有效性,在风险分析阶段进行
风险识别的方法:基于证据的方法和系统性的团队方法
风险分析:
理解风险本性和风险等级的过程
• 风险分析为风险评价和风险应对决策提供基础,为风险评价提供输入
• 风险分析包括风险估计,包括对后果大小的估计和可能性的估计
注释
• 可能性:某件事情发生的可能性
• 暴露性:一个组织或者利益相关方受一个风险事件影响的程度
• 后果:影响目标的一个事件的结果、一个事件可能导致多重后果、一个后果可能是确定的或者不确定的,且对目标有正面和负面的影响后果能够被定性或者定量的表示通过连锁效应可以使最初的后果升级
• 概率:用0-1之间的的数表示某个时间发生的可能性程度,其中 0是不可能发生,1是绝对确定发生
风险评价:
• 风险态度:组织在评估及追求 保留 承担或者规避风险方面的方式和态度,如 厌恶 接受等
• 风险偏好:组织愿意追求或保留的风险的数量和种类
• 风险容忍:组织或者利益相关方为达成其目标在风险应对后愿意承受的风险,可能受法律或者监管要求
• 风险聚合:把很多风险组合成一个风险 以促进对全部风险的完整理解
• 风险接受:承担某一风险的正式决定,风险接受可以发生在未进行 风险应对之前或者发生在风险应对过程中,被接受的风险需要接受检测和评审
风险评估
影响评估的因素:
• 问题的复杂性和所需分析方法的复杂性
• 被评估风险的不确定性的性质和程度
• 所需资源的程度,主要涉及时间,专业水平,数据需求或者成本
• 方法是否可以提供一个定量的结果
风险评估的方法:
• 头脑风暴法
• 德尔菲法
• 情景分析
• 检查表
• 预先危险分析
• 失效模式分析
• 危险与可操作性分析
• 危险分析与关键控制点
• 保护层分析法
• 结构化假设分析
风险应对
• 控制:用于改变风险的措施,控制包括任何程序、政策、设备、实践、货其他改变风险的活动控制并不总是对预期或假定的修改效果产生影响
• 风险规避:为了不暴露给某个特定的风险,而被告知不参与或者撤离某项活动的决定
• 风险分担:与其他方协议分配风险
• 风险融资
• 风险保留:从特定风险钟接受潜在的收益或者损失负担,风险保留包括对剩余风险的接受,被保留的风险的等级可能取决于风险准则
• 剩余风险:;在对已识别的风险进行风险应对后剩下的风险;在风险应对前未被识别的风险;在风险应对过程中新产生的风险;
• 恢复力:一个组织在复杂和变化的环境里的适应能力
监测与评审
• 监测
• 对某种状态进行持续的检查,监督 审慎观察以决定,以识别其与所要求或者所期望的绩效水平之间的变化
• 可以检测风险管理框架,风险管理过程,风险或者控制
评审
• 为确定主体事项达到规定目标的适宜性,充分性和有效性进行的活动
• 评审可应用于风险管理框架,风向历活动,风险或控制
• 输出是 评审报告