風險管理框架的設計與實施課件

風險管理框架2022/12/31中國新時代認證中心風險管理框架2022/12/21中國新時代認證中心主要內(nèi)容風險管理框架總則風險管理的指令與承諾風險管理框架的設計風險管理的實施框架的監(jiān)視與評審框架的持續(xù)改進2022/12/32中國新時代認證中心主要內(nèi)容風險管理框架總則2022/12/22中國新時代認證中框架在風險管理中的角色2022/12/33中國新時代認證中心框架在風險管理中的角色2022/12/23中國新時代認證中心4.1總則----風險管理的成功取決于提供將風險管理嵌入整個組織所有層次的基礎(chǔ)和安排的管理框架的有效性。框架有助于通過在組織不同層次和特定狀況內(nèi)應用風險管理過程，有效地管理風險。----框架確保從風險管理過程取得的風險信息充分地被報告，以及作為決策和所有相關(guān)組織層次責任的基礎(chǔ)。----本條款描述了風險管理框架的必要要素和其以迭代的方式相互作用的方法。2022/12/34中國新時代認證中心4.1總則----風險管理的成功取決于提供將風險管風險管理框架的含義1、什么是“框架”？通常意義上的理解邊界、基礎(chǔ)要素、結(jié)構(gòu)的集合2022/12/35中國新時代認證中心風險管理框架的含義1、什么是“框架”？2022/12/25中風險管理框架的含義2、風險管理框架提供在整個組織范圍內(nèi)設計、實施、監(jiān)測、評審和持續(xù)改進風險管理的基本原則和組織安排的要素集合。2022/12/36中國新時代認證中心風險管理框架的含義2、風險管理框架2022/12/26中國新風險管理框架的含義基本原則包括風險管理的：方針目標指令和承諾等；組織層面的安排包括風險管理的：計劃、關(guān)系、職責、資源、過程和活動2022/12/37中國新時代認證中心風險管理框架的含義基本原則包括風險管理的：2022/12/2風險管理框架的含義嵌入到組織整體的戰(zhàn)略以及運營方針和實踐之中嵌入：非孤立存在；成為運行對象的一部分；整合高度成熟的一種狀態(tài)；2022/12/38中國新時代認證中心風險管理框架的含義嵌入到組織整體的戰(zhàn)略以及運營方針和實踐之中風險管理框架要素間的相互關(guān)系指令和承諾(4.2)風險管理框架的設計(4.3)

理解組織和其狀況(4.3.1)

建立風險管理方針(4.3.2)

責任(4.3.2)

融入組織的過程(4.3.4)

資源(4.3.5)

建立內(nèi)部溝通和報告機制(4.3.6)

建立外部溝通和報告機制(4.3.7)框架的持續(xù)改進(4.6)框架的監(jiān)測和評審(4.5)實施風險管理(4.4)

實施風險管理框架(4.4.1)

實施風險管理過程(4.4.2)2022/12/39中國新時代認證中心風險管理框架要素間的相互關(guān)系指令和承諾(4.2)風險管理框架4.1總則----本框架目的不是規(guī)定一個管理體系，而是有助于組織將風險管理整合到它的整個管理體系中。因此，組織宜使框架的要素適用于其特定的需求。----如果組織現(xiàn)存的管理實踐和過程包含風險管理要素，或者如果組織已經(jīng)針對特定的風險或狀況采納了一個正式的風險管理過程，那么對原有的這些實踐和過程宜針對本標準進行評審和評價，以確定它們的充分性和有效性。2022/12/310中國新時代認證中心4.1總則----本框架目的不是規(guī)定一個管理體系，4.2指令和承諾----風險管理的引入和確保它的持續(xù)有效需要組織管理者強有力和持續(xù)的承諾，以及為實現(xiàn)承諾在所有層次戰(zhàn)略的和嚴密的策劃。----管理者宜：確定和簽署風險管理方針確保組織的文化和風險管理方針一致確定與組織績效參數(shù)一致的風險管理績效參數(shù)使風險管理目標與組織的目標和戰(zhàn)略一致確保法律法規(guī)的復合性在組織內(nèi)適當?shù)膶哟畏峙湄熑魏吐氊煷_保為風險管理配置必要的資源將風險管理的益處通報給所有的利益相關(guān)方確保風險管理框架持續(xù)保持適宜2022/12/311中國新時代認證中心4.2指令和承諾----風險管理的引入和確保它的持續(xù)有4.3風險管理框架的設計2022/12/312中國新時代認證中心4.3風險管理框架的設計2022/12/212中國新時代認證4.3.1理解組織和其狀況----在開始設計和實施風險管理框架前，評價和理解組織內(nèi)外部的狀況是重要的，因為這會對框架的設計產(chǎn)生顯著的影響。----評價組織外部狀況可以包括，但不限于：

a)社會和文化、政治、法律法規(guī)、財務、技術(shù)、經(jīng)濟、自然和競爭環(huán)境，無論國際、國內(nèi)、區(qū)域和當?shù)?/p>

b)影響組織目標的動力和趨勢

C)與外部利益相關(guān)方的關(guān)系，以及它們的感受和價值觀2022/12/313中國新時代認證中心4.3.1理解組織和其狀況----在開始設計和實施風險4.3.1理解組織和其狀況

評價組織內(nèi)部狀況可以包括，但不限于：

——管理方法、組織結(jié)構(gòu)、作用和責任

——方針、目標，以及為實現(xiàn)它們所制定的戰(zhàn)略

——以資源和知識來理解的能力（例如，資本、時間、人員、過程、系統(tǒng)和技術(shù)）

——信息系統(tǒng)、信息流和決策過程（正式和非正式的）

——與內(nèi)部利益相關(guān)方的關(guān)系，以及它們的感受和價值觀

——組織的文化

——被組織采用的標準、指南和模型

——合同關(guān)系的形式和范圍2022/12/314中國新時代認證中心4.3.1理解組織和其狀況評價組織內(nèi)部狀況可以4.3.2建立風險管理方針

風險管理方針宜清楚闡明組織風險管理的目標和承諾，特別要針對：

——組織管理風險的基本原理；

——組織目標和方針與風險管理方針的聯(lián)系；

——管理風險的責任和職責；

——處理利益沖突的方法；

——提供有助于管理風險必要資源的承諾；

——風險管理績效測量和報告的方法；

——對定期評審和改進風險管理方針和框架，以及對事件和環(huán)境變化做出響應的承諾。風險管理方針宜適當?shù)販贤ā?/p>

2022/12/315中國新時代認證中心4.3.2建立風險管理方針風險管理方針宜清楚4.3.3責任

組織宜確保具備管理風險的責任、權(quán)限和適當?shù)哪芰Γ▽嵤┖捅３诛L險管理過程和確保任何控制措施的充分性、有效性和效率。這可通過如下途徑來實現(xiàn)：

——確定有責任和權(quán)利管理風險的風險擁有者

——確定負責建立、實施和保持風險管理框架的人員

——確定組織所有層次人員的風險管理過程的其他職責

——建立績效測量和內(nèi)部和外部報告和逐級報告過程

——確保確定的合適程度

2022/12/316中國新時代認證中心4.3.3責任組織宜確保具備管理風險的責任、4.3.4整合到組織的過程----風險管理宜益相關(guān)、有效和有效率的方式嵌入到所有組織的實踐和過程中。風險管理過程宜變成組織過程的部分，而不是分離的。特別是，風險管理宜嵌入方針制定、商業(yè)和戰(zhàn)略策劃和評審和變更管理過程中。----宜具備一個組織的廣泛風險管理計劃以確保風險管理方針的實施和將風險管理嵌入全部組織的實踐和過程中。----風險管理計劃可以整合到組織其他的計劃中，如戰(zhàn)略計劃。

2022/12/317中國新時代認證中心4.3.4整合到組織的過程----風險管理宜益相關(guān)、有效4.3.5資源----組織宜為風險管理配置適當?shù)馁Y源。----對如下方面宜予以考慮：

——人員、技能、經(jīng)驗和能力

——對于風險管理過程的每步驟所需的資源

——用于管理風險的組織的過程、方法和工具

——形成文件的過程和程序

——管理體系的信息和知識

——培訓方案2022/12/318中國新時代認證中心4.3.5資源----組織宜為風險管理配置適當?shù)馁Y源4.3.6建立內(nèi)部溝通和報告機制

組織宜建立內(nèi)部溝通和報告機制，用于支持和促進風險的責任和歸屬。這些機制宜確保：——風險管理框架的關(guān)鍵要素和任何后續(xù)的更改被適當?shù)販贤ā獙蚣芎推溆行约敖Y(jié)果在內(nèi)部充分地予以報告——風險管理的相關(guān)信息在適當?shù)膶哟魏蜁r間予以獲得——與內(nèi)部利益相關(guān)方的協(xié)商過程被予以提供適當時，這些機制宜包括基于多源頭強化風險信息的過程，以及可能需要考慮信息的敏感性。

2022/12/319中國新時代認證中心4.3.6建立內(nèi)部溝通和報告機制組織宜建立內(nèi)部溝4.3.7建立外部溝通和報告機制

組織宜制定和實施一個關(guān)于如何與外部利益相關(guān)方溝通的計劃。這宜包括：——吸引適當?shù)耐獠坷嫦嚓P(guān)方的關(guān)注和確保有效的信息交流——對外報告法律法規(guī)和管理要求的遵守情況——對溝通和協(xié)商進行報告和反饋——運用溝通來建立組織的信心——向利益相關(guān)方溝通緊急或突發(fā)事件適當時，這些機制宜包括基于多源頭強化風險信息的過程，以及可能需要考慮信息的敏感性。

2022/12/320中國新時代認證中心4.3.7建立外部溝通和報告機制組織宜制定和實施4.4實施風險管理2022/12/321中國新時代認證中心4.4實施風險管理2022/12/221中國新時代認證中心4.4.1實施管理風險的框架

在實施組織的管理風險的框架時，組織宜：——確定實施框架的適當時間安排和策略——將風險管理方針和過程應用到組織的過程——遵守法律法規(guī)要求——確保決策，包括目標的制定和設立，與風險管理過程輸出結(jié)果一致——舉行信息和培訓會議——與利益相關(guān)方進行溝通和協(xié)商以確保其風險管理框架保持正確2022/12/322中國新時代認證中心4.4.1實施管理風險的框架在實施組織的管理風險4.4.1實施管理風險的框架

定義合適的實施該框架的時間表和策略；為組織的過程應用風險管理方針和過程；符合法律法規(guī)要求；確保決策、包括建立和設定目標等與風險管理過程的輸出相協(xié)調(diào)；保持信息和培訓機制與相關(guān)方溝通和協(xié)商以確保其風險管理框架保持適宜2022/12/323中國新時代認證中心4.4.1實施管理風險的框架

定義合適的實施該框架的時間4.4.2實施管理風險過程

風險管理宜通過確保將第五章描述的風險管理過程通過風險管理計劃作為組織實踐和過程的一部分應用到組織相關(guān)職能和層次。

2022/12/324中國新時代認證中心4.4.2實施管理風險過程風險管理宜通過確保將第風險管理過程組成25風險管理過程組成254.5框架的監(jiān)測和評審

為了確保風險管理有效和持續(xù)改進組織的績效，組織宜：——針對適當定期評審的參數(shù)測量風險管理績效——定期測量風險管理計劃的進展和偏離——基于組織的內(nèi)部和外部狀況，定期評審風險管理框架、方針和計劃是否仍然適宜——報告風險、風險管理計劃的進展和風險管理方針如何較好地執(zhí)行——評審風險管理框架的有效性2022/12/326中國新時代認證中心4.5框架的監(jiān)測和評審為了確保風險管理有效和持續(xù)4.5框架的監(jiān)測和評審

目的：持續(xù)有效地支持組織績效手段：與指標進行對照評價風險管理計劃的實施情況基于內(nèi)外部環(huán)境的變化，對框架、方針和計劃的持續(xù)適宜性進行評審風險報告、方針得到遵循的程度風險管理框架的有效性頻次：周期性2022/12/327中國新時代認證中心4.5框架的監(jiān)測和評審

目的：持續(xù)有效地支持組織績效204.6框架的持續(xù)改進

基于監(jiān)測和評審結(jié)果，宜做出如何可以改進風險管理框架、方針和計劃的決策。這些決策宜致使組織的風險管理和風險管理文化的改進。

2022/12/328中國新時代認證中心4.6框架的持續(xù)改進基于監(jiān)測和評審結(jié)果，宜做出如4.6框架的持續(xù)改進

改進的輸入：監(jiān)視和評審的結(jié)果改進的領(lǐng)域：改進風險管理的框架、方針和計劃。改進的輸出：組織風險管理和其風險管理文化的改進。2022/12/329中國新時代認證中心4.6框架的持續(xù)改進

改進的輸入：監(jiān)視和評審的結(jié)果202風險管理框架2022/12/330中國新時代認證中心風險管理框架2022/12/21中國新時代認證中心主要內(nèi)容風險管理框架總則風險管理的指令與承諾風險管理框架的設計風險管理的實施框架的監(jiān)視與評審框架的持續(xù)改進2022/12/331中國新時代認證中心主要內(nèi)容風險管理框架總則2022/12/22中國新時代認證中框架在風險管理中的角色2022/12/332中國新時代認證中心框架在風險管理中的角色2022/12/23中國新時代認證中心4.1總則----風險管理的成功取決于提供將風險管理嵌入整個組織所有層次的基礎(chǔ)和安排的管理框架的有效性?？蚣苡兄谕ㄟ^在組織不同層次和特定狀況內(nèi)應用風險管理過程，有效地管理風險。----框架確保從風險管理過程取得的風險信息充分地被報告，以及作為決策和所有相關(guān)組織層次責任的基礎(chǔ)。----本條款描述了風險管理框架的必要要素和其以迭代的方式相互作用的方法。2022/12/333中國新時代認證中心4.1總則----風險管理的成功取決于提供將風險管風險管理框架的含義1、什么是“框架”？通常意義上的理解邊界、基礎(chǔ)要素、結(jié)構(gòu)的集合2022/12/334中國新時代認證中心風險管理框架的含義1、什么是“框架”？2022/12/25中風險管理框架的含義2、風險管理框架提供在整個組織范圍內(nèi)設計、實施、監(jiān)測、評審和持續(xù)改進風險管理的基本原則和組織安排的要素集合。2022/12/335中國新時代認證中心風險管理框架的含義2、風險管理框架2022/12/26中國新風險管理框架的含義基本原則包括風險管理的：方針目標指令和承諾等；組織層面的安排包括風險管理的：計劃、關(guān)系、職責、資源、過程和活動2022/12/336中國新時代認證中心風險管理框架的含義基本原則包括風險管理的：2022/12/2風險管理框架的含義嵌入到組織整體的戰(zhàn)略以及運營方針和實踐之中嵌入：非孤立存在；成為運行對象的一部分；整合高度成熟的一種狀態(tài)；2022/12/337中國新時代認證中心風險管理框架的含義嵌入到組織整體的戰(zhàn)略以及運營方針和實踐之中風險管理框架要素間的相互關(guān)系指令和承諾(4.2)風險管理框架的設計(4.3)

理解組織和其狀況(4.3.1)

建立風險管理方針(4.3.2)

責任(4.3.2)

融入組織的過程(4.3.4)

資源(4.3.5)

建立內(nèi)部溝通和報告機制(4.3.6)

建立外部溝通和報告機制(4.3.7)框架的持續(xù)改進(4.6)框架的監(jiān)測和評審(4.5)實施風險管理(4.4)

實施風險管理框架(4.4.1)

實施風險管理過程(4.4.2)2022/12/338中國新時代認證中心風險管理框架要素間的相互關(guān)系指令和承諾(4.2)風險管理框架4.1總則----本框架目的不是規(guī)定一個管理體系，而是有助于組織將風險管理整合到它的整個管理體系中。因此，組織宜使框架的要素適用于其特定的需求。----如果組織現(xiàn)存的管理實踐和過程包含風險管理要素，或者如果組織已經(jīng)針對特定的風險或狀況采納了一個正式的風險管理過程，那么對原有的這些實踐和過程宜針對本標準進行評審和評價，以確定它們的充分性和有效性。2022/12/339中國新時代認證中心4.1總則----本框架目的不是規(guī)定一個管理體系，4.2指令和承諾----風險管理的引入和確保它的持續(xù)有效需要組織管理者強有力和持續(xù)的承諾，以及為實現(xiàn)承諾在所有層次戰(zhàn)略的和嚴密的策劃。----管理者宜：確定和簽署風險管理方針確保組織的文化和風險管理方針一致確定與組織績效參數(shù)一致的風險管理績效參數(shù)使風險管理目標與組織的目標和戰(zhàn)略一致確保法律法規(guī)的復合性在組織內(nèi)適當?shù)膶哟畏峙湄熑魏吐氊煷_保為風險管理配置必要的資源將風險管理的益處通報給所有的利益相關(guān)方確保風險管理框架持續(xù)保持適宜2022/12/340中國新時代認證中心4.2指令和承諾----風險管理的引入和確保它的持續(xù)有4.3風險管理框架的設計2022/12/341中國新時代認證中心4.3風險管理框架的設計2022/12/212中國新時代認證4.3.1理解組織和其狀況----在開始設計和實施風險管理框架前，評價和理解組織內(nèi)外部的狀況是重要的，因為這會對框架的設計產(chǎn)生顯著的影響。----評價組織外部狀況可以包括，但不限于：

a)社會和文化、政治、法律法規(guī)、財務、技術(shù)、經(jīng)濟、自然和競爭環(huán)境，無論國際、國內(nèi)、區(qū)域和當?shù)?/p>

b)影響組織目標的動力和趨勢

C)與外部利益相關(guān)方的關(guān)系，以及它們的感受和價值觀2022/12/342中國新時代認證中心4.3.1理解組織和其狀況----在開始設計和實施風險4.3.1理解組織和其狀況

評價組織內(nèi)部狀況可以包括，但不限于：

——管理方法、組織結(jié)構(gòu)、作用和責任

——方針、目標，以及為實現(xiàn)它們所制定的戰(zhàn)略

——以資源和知識來理解的能力（例如，資本、時間、人員、過程、系統(tǒng)和技術(shù)）

——信息系統(tǒng)、信息流和決策過程（正式和非正式的）

——與內(nèi)部利益相關(guān)方的關(guān)系，以及它們的感受和價值觀

——組織的文化

——被組織采用的標準、指南和模型

——合同關(guān)系的形式和范圍2022/12/343中國新時代認證中心4.3.1理解組織和其狀況評價組織內(nèi)部狀況可以4.3.2建立風險管理方針

風險管理方針宜清楚闡明組織風險管理的目標和承諾，特別要針對：

——組織管理風險的基本原理；

——組織目標和方針與風險管理方針的聯(lián)系；

——管理風險的責任和職責；

——處理利益沖突的方法；

——提供有助于管理風險必要資源的承諾；

——風險管理績效測量和報告的方法；

——對定期評審和改進風險管理方針和框架，以及對事件和環(huán)境變化做出響應的承諾。風險管理方針宜適當?shù)販贤ā?/p>

2022/12/344中國新時代認證中心4.3.2建立風險管理方針風險管理方針宜清楚4.3.3責任

組織宜確保具備管理風險的責任、權(quán)限和適當?shù)哪芰?，包括實施和保持風險管理過程和確保任何控制措施的充分性、有效性和效率。這可通過如下途徑來實現(xiàn)：

——確定有責任和權(quán)利管理風險的風險擁有者

——確定負責建立、實施和保持風險管理框架的人員

——確定組織所有層次人員的風險管理過程的其他職責

——建立績效測量和內(nèi)部和外部報告和逐級報告過程

——確保確定的合適程度

2022/12/345中國新時代認證中心4.3.3責任組織宜確保具備管理風險的責任、4.3.4整合到組織的過程----風險管理宜益相關(guān)、有效和有效率的方式嵌入到所有組織的實踐和過程中。風險管理過程宜變成組織過程的部分，而不是分離的。特別是，風險管理宜嵌入方針制定、商業(yè)和戰(zhàn)略策劃和評審和變更管理過程中。----宜具備一個組織的廣泛風險管理計劃以確保風險管理方針的實施和將風險管理嵌入全部組織的實踐和過程中。----風險管理計劃可以整合到組織其他的計劃中，如戰(zhàn)略計劃。

2022/12/346中國新時代認證中心4.3.4整合到組織的過程----風險管理宜益相關(guān)、有效4.3.5資源----組織宜為風險管理配置適當?shù)馁Y源。----對如下方面宜予以考慮：

——人員、技能、經(jīng)驗和能力

——對于風險管理過程的每步驟所需的資源

——用于管理風險的組織的過程、方法和工具

——形成文件的過程和程序

——管理體系的信息和知識

——培訓方案2022/12/347中國新時代認證中心4.3.5資源----組織宜為風險管理配置適當?shù)馁Y源4.3.6建立內(nèi)部溝通和報告機制

組織宜建立內(nèi)部溝通和報告機制，用于支持和促進風險的責任和歸屬。這些機制宜確保：——風險管理框架的關(guān)鍵要素和任何后續(xù)的更改被適當?shù)販贤ā獙蚣芎推溆行约敖Y(jié)果在內(nèi)部充分地予以報告——風險管理的相關(guān)信息在適當?shù)膶哟魏蜁r間予以獲得——與內(nèi)部利益相關(guān)方的協(xié)商過程被予以提供適當時，這些機制宜包括基于多源頭強化風險信息的過程，以及可能需要考慮信息的敏感性。

2022/12/348中國新時代認證中心4.3.6建立內(nèi)部溝通和報告機制組織宜建立內(nèi)部溝4.3.7建立外部溝通和報告機制

組織宜制定和實施一個關(guān)于如何與外部利益相關(guān)方溝通的計劃。這宜包括：——吸引適當?shù)耐獠坷嫦嚓P(guān)方的關(guān)注和確保有效的信息交流——對外報告法律法規(guī)和管理要求的遵守情況——對溝通和協(xié)商進行報告和反饋——運用溝通來建立組織的信心——向利益相關(guān)方溝通緊急或突發(fā)事件適當時，這些機制宜包括基于多源頭強化風險信息的過程，以及可能需要考慮信息的敏感性。

2022/12/349中國新時代認證中心4.3.7建立外部溝通和報告機制組織宜制定和實施4.4實施風險管理2022/12/350中國新時代認證中心4.4實施風險管理2022/12/221中國新時代認證中心4.4.1實施管理風險的框架

在實施組織的管理風險的框架時，組織宜：——確定實施框架的適當時間安排和策略——將風險管理方針和過程應用到組織的過程——遵守法律法規(guī)要求——確保決策，包括目標的制定和設立，與風險管理過程輸出結(jié)果一致——舉行信息和培訓會議——與利益