全面風險管理系統(tǒng)篇

全面風險管理系統(tǒng)篇第1頁，課件共173頁，創(chuàng)作于2023年2月內容提要第一章風險管理概述第二章術語和定義第三章風險管理原則第四章風險管理框架第五章風險管理過程22第2頁，課件共173頁，創(chuàng)作于2023年2月

風險管理概述第一章3第3頁，課件共173頁，創(chuàng)作于2023年2月內容提要一、風險與風險管理二、風險管理的起源和發(fā)展三、我國的風險管理四、風險管理標準五、實施風險管理的目的和意義六、風險管理在認證領域中的應用4第4頁，課件共173頁，創(chuàng)作于2023年2月一、風險與風險管理所有類型和規(guī)模的組織都面臨內部和外部的、使組織不能確定是否及何時實現(xiàn)其目標的因素和影響。這種不確定性所具有的對組織目標的影響就是“風險”。

5第5頁，課件共173頁，創(chuàng)作于2023年2月一、風險與風險管理風險管理是針對風險指揮和控制組織的協(xié)調活動。組織的所有活動都涉及風險。組織通過識別、分析和評定是否運用風險處理修正風險以滿足它們的風險準則，來管理風險。通過這個過程，它們與利益相關方進行溝通和協(xié)商，監(jiān)測和評審風險，以及為確保不再進一步需求風險處理而修正風險的控制措施66第6頁，課件共173頁，創(chuàng)作于2023年2月20世紀30年代在美國開始萌芽受當時世界性經濟危機的影響，美國經濟大蕭條，約有40％左右的銀行和企業(yè)破產，為應對經營上的危機，美國許多大中型企業(yè)都在內部設立了保險管理部門，負責安排企業(yè)的各種保險項目，保險成為當時企業(yè)處理風險的主要方法。20世紀50年代，風險管理在美國以學科的形式發(fā)展，并逐步形成了獨立的理論體系。1970年代以后逐漸掀起了全球性的風險管理運動。美國一些大公司的重大損失使公司高層決策者開始認識到風險管理的重要性。二、風險管理的起源和發(fā)展

7第7頁，課件共173頁，創(chuàng)作于2023年2月20世紀90年代開始隨著國際資產證券化、債券的風險進一步擴大，使風險管理更迅速地在國際推行。歐美等國家先后建立起全國性和地區(qū)性的風險管理協(xié)會。針對安然、世通等財務欺詐事件，美國國會出臺了著名的《2002年薩班斯—奧克斯利法案》來規(guī)范上市公司的行為1983年美國風險和保險管理協(xié)會年會上，通過了“101條風險管理準則”，標志著風險管理發(fā)展進入了一個新階段歐洲11個國家成立了“歐洲風險管理委員會”美國多家專業(yè)團體成立了“反虛假財務報告委員會”和著名的專門研究內部控制的委員會“COSO委員會”COSO著名報告《內部控制-整體框架》(1992)和《COSO-ERM企業(yè)風險管理框架》(2004)，是風險管理的重要文獻。二、風險管理的起源和發(fā)展

8第8頁，課件共173頁，創(chuàng)作于2023年2月

全面企業(yè)風險管理框架風險管理正在從傳統(tǒng)的“點對點”式的管理走向全面的、一體化的管理。國際較知名的國際會計準則委員會（IASC)、巴塞爾銀行監(jiān)管委員會(BASEL)、美國的COSO委員會研究、發(fā)展了一整套完整的全面企業(yè)風險管理框架。COSO全面風險管理（ERM）框架的定義：企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現(xiàn)提供合理的保證。

9二、風險管理的起源和發(fā)展9第9頁，課件共173頁，創(chuàng)作于2023年2月三、我國的風險管理在我國，風險管理理論的發(fā)展及應用相對滯后，企業(yè)在風險管理上存在諸多問題：缺乏風險意識和策略，管理被動；缺乏風險管理技術、專業(yè)人才和資金；戰(zhàn)略上急于求成，應對變化能力不強，導致個別企業(yè)不能有效應對重大風險事件，在發(fā)展中承擔了過多自身不可承受風險；國家對風險管理日益重視，2006年國務院國有資產監(jiān)督管理委員會發(fā)布了《中央企業(yè)全面風險管理指引》對中央企業(yè)如何開展全面風險管理提出了明確要求；指導范圍并不僅限于央企，對公司也同樣具有普遍指導意義；《指引》的出臺標志著我國有了自己的全面風險管理指導性文件，我國企業(yè)正向管理的更高階段—全面風險管理邁進。10第10頁，課件共173頁，創(chuàng)作于2023年2月國際大環(huán)境，促進了風險管理的標準化和國際化2004年澳洲和新西蘭聯(lián)合推出AZ/NZS4360風險管理標準，是第一個國家級的風險管理標準,并為國際標準的出臺奠定了基礎風險管理的國際標準ISO31000為業(yè)界廣為關注，ISO歷時四年，從CD到DIS再到FDIS稿，不斷完善標準，于2009年11月13日正式發(fā)布了《ISO31000：2009風管理原則和指南》

該標準明確了風險管理的原則和指南為深入開展風險管理工作提供了理論基礎2002年，我國已經依據ISO31000標準的DIS稿，頒布了國家標準《GB/T24353風險管理原則與實施指南》

四、風險管理標準11第11頁，課件共173頁，創(chuàng)作于2023年2月ISO的相關標準和指南《ISOGUIDE73風險管理詞匯》《ISO31000

風險管理原則和指南》《IEC/ISO31010

風險管理風險評估技術》1212第12頁，課件共173頁，創(chuàng)作于2023年2月《ISOGUIDE

73:2009風險管理詞匯》與風險有關的術語（1）與風險管理有關的術語（4）與風險管理過程有關的術語（45）13ISOGUIDE

73

13第13頁，課件共173頁，創(chuàng)作于2023年2月ISO31000:2009《ISO31000

2009

風險管理原則和指南》

1范圍

2術語和定義（29）

3風險管理原則（11）

4風險管理框架

5風險管理過程1414第14頁，課件共173頁，創(chuàng)作于2023年2月15ISO31000：2009風險管理原則、框架和過程關系圖1515第15頁，課件共173頁，創(chuàng)作于2023年2月ISO31000:2009ISO31000:2009風險管理原則和指南《Riskmanagement–Principlesandguideline》提供了風險管理的原則和通用性指南。盡管所有的組織在某種程度上都在管理風險，ISO31000建立了一些為使風險管理變得有效而需要滿足的原則。ISO31000建議，組織制定、實施和持續(xù)改進一個框架，其目的是將風險管理過程整合到組織的整體治理、戰(zhàn)略和規(guī)劃、管理、報告過程、方針、價值觀和文化中。

1616第16頁，課件共173頁，創(chuàng)作于2023年2月ISO31000:2009ISO31000:2009提供了在任何范圍和狀況下，以系統(tǒng)的、清晰可靠的方式管理風險的原則和通用指南。

盡管所有的組織在某種程度上都在管理風險，ISO31000建立了一些為使風險管理變得有效而需要滿足的原則。ISO31000建議，組織制定、實施和持續(xù)改進一個框架，其目的是將風險管理過程整合到組織的整體治理、戰(zhàn)略和規(guī)劃、管理、報告過程、方針、價值觀和文化中。風險管理的每一個特定領域或應用都具有各自的需求、受眾、觀念和準則。因此，ISO31000的主要特點是在通用的風險管理過程中將“明確環(huán)境”作為初始活動?！懊鞔_環(huán)境”將捕獲組織的目標，組織所追求目標的環(huán)境，組織的利益相關方和風險準則的多樣性，所有這些都將幫助揭示和評價風險的性質和復雜性。17第17頁，課件共173頁，創(chuàng)作于2023年2月ISO31010:2009《IECISO31010

2009

風險管理風險評估技術》

1范圍

2規(guī)范性引用文件

3術語和定義

4風險評估的相關概念.

5風險評估過程.

6風險評估技術的選擇附錄A風險評估技術的比較附錄B風險評估技術1818第18頁，課件共173頁，創(chuàng)作于2023年2月

國家標準(GB/T23694)《GB/T23694

2009風險管理術語》idt《ISOGUIDE732002》1基礎術語（8）2受風險影響的組織及個人的相關術語（4）3與風險評估的相關術語（6）4與風險處理和風險控制相關的術語（11）1919第19頁，課件共173頁，創(chuàng)作于2023年2月國家標準(GB/T24353)風險管理過程

2020第20頁，課件共173頁，創(chuàng)作于2023年2月國家標準(GB/T24353)《GB/T243532009風險管理原則與實施指南》1

范圍

2規(guī)范性引用文件

3術語和定義（GB/T23694）

4風險管理原則（8）

5風險管理過程

6風險管理的實施2121第21頁，課件共173頁，創(chuàng)作于2023年2月風險管理的目的:通過具有前瞻性的、充分地考慮各類風險的不確定性及其對目標的影響，制定行之有效的應對措施，為組織在運營和決策中有效應對各類突發(fā)事件和風險提供支持和保障，以使組織能有效的配置資源、優(yōu)化過程，及時、恰當、有效地應對風險，提高風險應對的效率和效果，更好地實現(xiàn)組織的目標。五、實施風險管理的目的

22第22頁，課件共173頁，創(chuàng)作于2023年2月風險管理的意義:

1）提高實現(xiàn)目標的可能性；

2）鼓勵主動性管理；

3）在整個組織意識到識別和處理風險的需求; 4）改進對機會和威脅的識別；

5）遵守相關的法律法規(guī)要求及國際規(guī)范；

6）改進強制性和自愿性報告

7）改善治理

8）提高利益相關者的信心和信任；

五、實施風險管理的意義23第23頁，課件共173頁，創(chuàng)作于2023年2月

9）為決策和規(guī)劃建立可靠的根基：

10）加強控制11）有效地分配和使用風險處理資源；

12）提高運作的效果和效率13）加強健康和安全績效，以及環(huán)境保護

14）改善損失預防和事件管理；

15）減少損失；16)提高組織的學習能力；

17）增強組織的應變能力；五、實施風險管理的意義

24第24頁，課件共173頁，創(chuàng)作于2023年2月六、風險管理在認證領域中的應用ISO31000中所描述的通用方法提供了在任何范圍和背景下，以系統(tǒng)、清晰、可靠的方式管理風險的原則和指南。作為管理方法論，其原則和指南可以應用到認證的各個領域OHSAS18000標準包含了風險管理在職業(yè)健康安全專業(yè)領域的應用。ISO22000標準包含了風險管理在食品安全專業(yè)領域的應用。也適用于EMS和QMS中。2525第25頁，課件共173頁，創(chuàng)作于2023年2月

術語和定義26第二章2626第26頁，課件共173頁，創(chuàng)作于2023年2月

不確定性對目標的影響

注1：影響是與期待的偏差——積極和/或消極注2：目標可以有不同方面（如財務、健康安全、以及環(huán)境目標），可以體現(xiàn)在不同的層次（如戰(zhàn)略、組織范圍、項目、產品和過程）。注3：風險通常以潛在事件和后果，或它們的組合來描述。注4：風險通常以事件（包括環(huán)境的變化）后果和發(fā)生可能性的組合來表達。注5：不確定性是指，對事件、其后果或可能性的認識或了解方面的信息的缺乏或不完整的狀態(tài)。

271.風險risk2727第27頁，課件共173頁，創(chuàng)作于2023年2月2.后果consequence某一事件的結果。注1：某一事件可能會產生不止一種的后果。注2：后果可以是正面的負面的。然而，從安全方面來看，后果往往都是負面的。注3：后果可以定性或定量表述。3.可能性：某一事發(fā)生的機會2828第28頁，課件共173頁，創(chuàng)作于2023年2月4.概率probability某一事件發(fā)生的可能程度。注1：GB/T3358.1-1993給出了一個關于“概率”的數(shù)學定義，度量某一隨機事件發(fā)生可能性大小的實數(shù)，其值介于0與1之間，它可以用來指在一段相當長的時間內，某一事件將要發(fā)生的頻率，或者這一事件發(fā)生的可信程度。對于高可信度來說，概率接近“1”。注2：在描述風險時，常用“頻率”一詞而不是用“概率”一詞。注3：有關可能性的程度可以用不同的等級來表示：

------極不可能/不大可能/可能/很可能/幾乎確定；或者

------難以置信/不可能/可能性極小/偶爾/有可能/經常。2929第29頁，課件共173頁，創(chuàng)作于2023年2月

5.事件event

特定情況的發(fā)生。注1：事件可能是確定的，也可能是不確定的。注2：事件可能是單一的，也可能是系列的。注3：對于給定時間內事件發(fā)生的概率可以估算出來確定的事件，是預知的，而不確定的事件，是沒有預知的，但也是有可能發(fā)生的。事件可能是明顯的，也可能是模糊的，其影響可能是正面的，也可能是負面的。3030第30頁，課件共173頁，創(chuàng)作于2023年2月指導和控制某一組織與風險相關問題的協(xié)調活動。

316.風險管理riskmanagement3131第31頁，課件共173頁，創(chuàng)作于2023年2月提供在組織內設計、實施、監(jiān)測、評審和持續(xù)改進風險管理的基礎和組織安排的要素集合。注1：基礎包括管理風險的方針、目標、指令和承諾注2：組織安排包括計劃、關系、責任、資源、過程和活動。注3：風險管理框架被嵌入到組織的整個戰(zhàn)略和運營的方針和實踐中

327.風險管理框架

riskmanagement

framework3232第32頁，課件共173頁，創(chuàng)作于2023年2月指令和承諾風險管理框架的設計理解組織和其狀況建立風險管理方針責任嵌入組織的過程資源建立內部溝通和報告機制建立外部溝通和報告機制框架的持續(xù)改進實施風險管理實施風險管理框架實施風險管理過程框架的監(jiān)測和評審ISO31000：2009標準給出的風險管理框架33第33頁，課件共173頁，創(chuàng)作于2023年2月內部環(huán)境信息溝通監(jiān)測控制活動風險應對風險評估事項識別目標設定戰(zhàn)略經營報告合規(guī)公司層面科室業(yè)務單位子公司《COSO全面風險管理框架》（三維圖）風險管理的目標有四個：報告類目標、經營類目標、遵循性目標以及戰(zhàn)略目標。風險管理的組成要素有八個：內部環(huán)境、目的設定、事件識別、風險評估、風險對策、控制活動、信息與溝通和監(jiān)控。34第34頁，課件共173頁，創(chuàng)作于2023年2月8.風險管理方針

riskmanagementpolicy

一個組織對風險管理的意圖和方向的陳述。

353535第35頁，課件共173頁，創(chuàng)作于2023年2月9.風險管理計劃riskmanagementplan

在風險管理框架內規(guī)定用于風險管理的方法、管理要素、資源的方案。注1：管理要素一般包括程序、慣例、職責分配、活動順序和時間安排。注2：風險管理計劃可應用于特定的產品、過程和項目、組織的部分或整體。

363636第36頁，課件共173頁，創(chuàng)作于2023年2月

管理方針、程序和慣例對溝通、協(xié)商、明確環(huán)境、以及識別、分析、評價、處理、監(jiān)測和評審風險活動的系統(tǒng)應用。

373710.風險管理過程

riskmanagementprocess37第37頁，課件共173頁，創(chuàng)作于2023年2月

組織針對風險管理，提供、共享或獲取信息，與利益相關者進行對話的持續(xù)和反復的過程。注1：信息涉及風險管理的存在、性質、形式、可能性、嚴重程度、評定、可接受性、處理。注2：協(xié)商是組織與它的利益相關方，在做出決策或確定某一問題的方向前，針對問題雙向有事實依據的溝通的過程。協(xié)商是：——通過影響力而非權力對決策施加影響；——作為決策的輸入，而非加入決策。

3811.溝通和協(xié)商

communicationandconsultation3838第38頁，課件共173頁，創(chuàng)作于2023年2月

可以影響風險、受到風險影響或自認為會受到風險影響的任何個人、團體或組織。注1：決策者也是利益相關者之一。注2：術語“利益相關者”包括GB/T19000-2008中定義的“相關方”。3912.利益相關者stakeholder3939第39頁，課件共173頁，創(chuàng)作于2023年2月組織的利益相關者可以包括

1）組織的決策者；2）組織內部負責制定風險管理政策的人員；3）組織或活動中實施風險管理的人員；4）需要對組織的風險管理實踐進行評估的人員；5）組織中負責制定風險管理標準、指南、程序、應用準則的人員；6）股東、董事會、高級管理人員、員工、債權人、供應商、顧客、銀行、監(jiān)管機構、合作伙伴等.（見GB/T24353:2009前言部分）。404040第40頁，課件共173頁，創(chuàng)作于2023年2月13.風險感知riskperception

利益相關者根據其價值觀或利害關系看待風險的方式。

注1：風險感知取決于利益相關者的需要、關注點及知識。注2：風險感知可能不同于客觀數(shù)據。風險感知反映利益相關者的需求，問題、知識、信念和價值。利益相關者的需要及關注的問題不同，因而風險感知會有所不同。風險感知會存在一定的主觀判斷，因而可能與客觀數(shù)據有不同。4141第41頁，課件共173頁，創(chuàng)作于2023年2月界定外部和內部參數(shù)，以便在管理風險和設置風險管理方針的范圍及風險準則時，予以考慮。

4214.明確環(huán)境establishingthecontext4242第42頁，課件共173頁，創(chuàng)作于2023年2月

評價風險嚴重性（度）的依據。注：風險準則包括相關的成本及收益，法律法規(guī)要求，社會及環(huán)境因素，利益相關者的態(tài)度，優(yōu)先次序和在評估過程中的其他要素。風險準則是組織用于評價風險重要度的標準，因此，風險準則需體現(xiàn)組織的風險承受度，并反映組織的價值觀、目標和資源。風險評價準則會涉及到各個方面，如成本收益、法律法規(guī)、利益相關者態(tài)度等。風險準則也會直接或間接反映法律法規(guī)要求或其他需要組織遵循的要求。準則也是使組織對接受風險做出決定的依據。4315.風險準則riskcriteria4343第43頁，課件共173頁，創(chuàng)作于2023年2月

包括風險識別、風險分析和風險評價在內的全部過程。

4416.風險評估riskassessment

風險評估風險識別風險分析風險評價4444第44頁，課件共173頁，創(chuàng)作于2023年2月發(fā)現(xiàn)、列舉和描述風險要素的過程

4517.風險識別

risk

identification

4545第45頁，課件共173頁，創(chuàng)作于2023年2月風險的結構化描述通常包含四要素：來源、事件、因素和結果。

18.風險描述riskdescription4646第46頁，課件共173頁，創(chuàng)作于2023年2月導致風險的單獨或組合的內在可能性的因素注：風險源可能是有形的或者是無形的。

19.風險源（來源）risk

source4747第47頁，課件共173頁，創(chuàng)作于2023年2月

具有風險管理權限和責任的個人或實體。

20.風險所有者riskowner4848第48頁，課件共173頁，創(chuàng)作于2023年2月

理解風險的性質和確定風險程度的過程。注1：風險分析為風險評價和風險處理決策提供了基礎。注2：風險分析包括風險估測。

4921.風險分析riskanalysis4949第49頁，課件共173頁，創(chuàng)作于2023年2月

將風險分析的結果與風險準則進行比較，以確定風險和（或）其量是否可接受或可容許。注：風險評定有助于有關風險處理的決策。5022.風險評價riskevaluation5050第50頁，課件共173頁，創(chuàng)作于2023年2月一個組織愿意追求或保留風險的數(shù)量和類型。GB/T24353:20095.6.1中提到這一詞匯COSOⅡ指出：風險偏好是企業(yè)追求目標中愿意接受風險的程度指導企業(yè)的資源配置；5123.風險偏好riskappetite5151第51頁，課件共173頁，創(chuàng)作于2023年2月

接受某一風險的決定。注：風險承受取決于風險準則。任何規(guī)模和類型的組織都面臨風險，組織的所有活動都涉及風險。只是組織應通過確定風險準則，來決定對某一風險是否接受。組織的價值取向和能力不同，因而是否能接受某一風險會有不同的決定，這些決定會依據風險準則的要求。5224.風險承受riskacceptance5252第52頁，課件共173頁，創(chuàng)作于2023年2月

注1：風險處理可包括：——通過決定不啟動或停止產生風險的活動而避免風險?！獮榱俗非髾C會采取或增加風險。——消除風險源?！淖兛赡苄??！淖兒蠊?。——與其他方面共同分擔風險（包括合同、風險融資）?！ㄟ^有事實依據的決策保留風險。修正風險的過程5325.風險處理risktreatment5353第53頁，課件共173頁，創(chuàng)作于2023年2月注2：對消極后果的風險處理有時可以稱為“風險減緩（riskmitigation）”、“風險消除（risk

eliminate）”、“風險預防（riskprevention）”和“風險減小（riskreduction）”。注3：風險處理可以產生新的風險或修正已存在的風險。545425.風險處理risktreatment54第54頁，課件共173頁，創(chuàng)作于2023年2月

決定不陷入風險，或者從風險狀態(tài)中撤離的行為。注：這個決定可能是以風險評價結果為依據的。在風險評價之后，風險管理者會發(fā)現(xiàn)某些風險發(fā)生損失的可能性很大，或者一旦發(fā)生且損失的程度非常嚴重時，可以采取主動放棄原來承擔風險或完全拒絕承擔該風險的實施行動，就是對風險的規(guī)避。風險規(guī)避是一種主動的行為，但放棄風險同時也意味著收益的喪失。5526.風險規(guī)避

risktransfer5555第55頁，課件共173頁，創(chuàng)作于2023年2月為實現(xiàn)風險處理及其他相關活動的費用提供資金的活動。注：在某些行業(yè)中，風險融資特指對風險造成的財務后果提供資金。組織在風險處理（風險規(guī)避、風險優(yōu)化、風險轉移、風險自留）過程中，需要支付一定的費用，以實現(xiàn)管理風險或補償損失，因而會采用各種方式融通資金。融通資金是為風險管理對資金的籌措，也是風險的一種財務補償機制。風險估計和風險評價是融資的主要數(shù)據依據。5627.風險融資riskfinancing5656第56頁，課件共173頁，創(chuàng)作于2023年2月

接受某一特定風險帶來的損失或收益。注1：風險自留包括接受那些沒有得到識別的風險。注2：風險自留不包括運用保險或者其他方法進行的風險轉移的處理。注3：對風險的接受程度和對風險準則的依賴程度可能會有變化。5728.風險自留

riskretention5757第57頁，課件共173頁，創(chuàng)作于2023年2月不斷檢查、監(jiān)督、嚴格觀察或確定狀態(tài)，以識別所要求或期待的績效水平的變化。注：監(jiān)測可應用于風險管理框架、風險管理過程、風險或控制措施。5829.監(jiān)測

monitoring5858第58頁，課件共173頁，創(chuàng)作于2023年2月

為達到所建立的目標，確定有關事務的適宜性、充分性和有效性所采取的活動。注：評審可應用于風險管理框架、風險管理過程、風險或控制措施。

5930.評審

review5959第59頁，課件共173頁，創(chuàng)作于2023年2月

風險管理原則第三章60第60頁，課件共173頁，創(chuàng)作于2023年2月風險管理原則、框架和過程關系圖61第61頁，課件共173頁，創(chuàng)作于2023年2月風險管理原則原則一：風險管理創(chuàng)造并保護價值原則二：風險管理嵌入組織的管理過程原則三：風險管理支持決策過程原則四：明確風險管理涉及的不確定性原則五：風險管理是系統(tǒng)的，結構化的和及時的原則六：風險管理是基于最可用的信息62第62頁，課件共173頁，創(chuàng)作于2023年2月原則七：風險管理是定制的原則八：風險管理考慮人文因素原則九：風險管理是透明的和包容的原則十：風險管理是動態(tài)的，迭代的和適應變化的原則十一：風險管理有利于組織持續(xù)改進風險管理原則63第63頁，課件共173頁，創(chuàng)作于2023年2月風險管理創(chuàng)造并保護價值

以控制損失、創(chuàng)造價值為目標的風險管理，有助于組織實現(xiàn)目標、取得具體可見的成績和改善各方面的業(yè)績，包括人員健康和安全、合規(guī)經營、信用程度、社會認可、環(huán)境保護、財務績效、產品質量、項目管理、運行效率和公司治理等方面。風險管理原則一6464第64頁，課件共173頁，創(chuàng)作于2023年2月

這項原則的價值在于風險管理的目的就是為了創(chuàng)造并保護價值，控制損失。風險是客觀存在的，任何組織都面臨風險，組織的所有活動都涉及風險，風險會影響組織目標的實現(xiàn)。

風險管理原則一6565第65頁，課件共173頁，創(chuàng)作于2023年2月在組織的運營活動中，機遇和威脅并存，風險管理就是要趨利避害，創(chuàng)造價值。在某些特定領域，如金融業(yè)、從風險管理的角度出發(fā)，幣值波動既能造成潛在損失，又是可能盈利的機會。因此風險管理過程越來越多地被認為是既要關注不確定因素帶來的消極影響，又要關注這些不確定性因素的積極影響。風險管理原則一6666第66頁，課件共173頁，創(chuàng)作于2023年2月

風險管理嵌入組織的管理過程

風險管理不是獨立于組織主要活動和各項管理過程的單獨的活動，而是組織管理過程不可缺少的重要組織部分，包括戰(zhàn)略規(guī)劃、所有項目、變更管理過程。風險管理原則二6767第67頁，課件共173頁，創(chuàng)作于2023年2月組織的管理是一個綜合管理，風險管理是組織綜合管理的一個組成部分。組織應把風險管理的各項要求融入企業(yè)管理和業(yè)務流程中，如：企業(yè)戰(zhàn)略、規(guī)劃、產品研發(fā)、投融資、市場運營、財務、內部審計、變更管理、法律事務、人力資源、采購、加工制造、銷售、物流、質量、安全生產、環(huán)境保護等。

風險管理原則二6868第68頁，課件共173頁，創(chuàng)作于2023年2月COSO于2001年起開始進行企業(yè)風險管理研究，強調風險管理框架必須和內部控制框架相一致，把內部控制目標和要素整合到企業(yè)全面風險管理過程中。因此，全面風險管理（ERM）框架是對內部控制框架的擴展和延伸，它涵蓋了內部控制，并且比內部控制更完整、有效。69

風險管理原則二69第69頁，課件共173頁，創(chuàng)作于2023年2月首先，該框架擴展了內部控制框架，強調風險管理與企業(yè)戰(zhàn)略目標相協(xié)調，并最終融人企業(yè)文化之中；其次，該框架更強調風險管理貫穿于企業(yè)運行過程的各個方面，涉及到企業(yè)的治理、管理和操作等所有層級，擴展了單純的內部控制職能；最后，引入了風險組合、風險和機會的區(qū)分、風險應對、風險偏好、風險容量等風險管理理論新的研究成果。70

風險管理原則二70第70頁，課件共173頁，創(chuàng)作于2023年2月風險管理支持決策過程

組織的所有決策都應考慮風險和風險管理。風險管理旨在將風險控制在組織可接受的范圍內，有助于判斷風險應當是否充分、有效，有助于決定行動的優(yōu)先順序并選擇可行的行動方案，從而幫助決策者做出合理的決策風險管理原則三7171第71頁，課件共173頁，創(chuàng)作于2023年2月風險識別、風險分析和風險評價是為了認識、評價風險管理單位的風險狀況，解決風險管理中的各種問題，制定管理風險的決策方案。風險管理支持決策過程。風險管理目標的確定、風險識別、風險衡量、風險評價和風險控制等，都是為了確定最終的風險管理方案。從這一角度來看，風險管理過程實際上是一個管理決策過程風險管理原則三7272第72頁，課件共173頁，創(chuàng)作于2023年2月

明確風險管理涉及的不確定性

風險管理明確的考慮到不確定性及這種不確定性的性質，以及如何加以解決。風險管理原則四7373第73頁，課件共173頁，創(chuàng)作于2023年2月風險是不確定的，否則，就不能稱之為風險。風險的不確定性指：（1）發(fā)生與否不確定；（2）發(fā)生的時間不確定；（3）發(fā)生的狀況不確定；（4）發(fā)生的后果嚴重性程度不確定風險管理就是要確定這些不確定性，做出對策，降低風險的影響，確保目標的實現(xiàn)風險管理原則四7474第74頁，課件共173頁，創(chuàng)作于2023年2月原則五：風險管理是系統(tǒng)的，

結構化的和及時的

系統(tǒng)的、結構化的方法有助于風險管理效率的提升，并產生一致、可比、可靠的結果。風險管理原則7575第75頁，課件共173頁，創(chuàng)作于2023年2月風險管理是一個過程，就符合過程管理的原則，組織的風險管理是由許多風險管理過程組成，在風險管理的過程中，要將多個風險管理過程按照一個統(tǒng)一的風險管理系統(tǒng)來管理，這樣能夠取得最優(yōu)的效率和結果組織體系是風險管理的保障風險管理是及時的，有組織的風險管理原則五7676第76頁，課件共173頁，創(chuàng)作于2023年2月風險管理是基于

最可用的信息

風險管理過程要以有效的信息為基礎。這些信息可通過經驗、反饋、觀察、預測和專家判斷等多種渠道獲取，但使用時要考慮數(shù)據、模型和專家意見的局限性。

風險管理原則六7777第77頁，課件共173頁，創(chuàng)作于2023年2月風險管理過程是以信息為基礎的。風險的各個過程要收集大量的信息，確保風險識別的充分性和風險決策的有效性。組織應該建立獲取風險有效信息的渠道，可以通過各種渠道，包括經驗、反饋、觀察、預測、專家判斷等獲取有效、有用的信息，確保風險管理過程的充分性和有效性。在利用收集到的各種信息時，要考慮各種信息來源的局限性。確保信息對決策的有效支持。

風險管理原則六7878第78頁，課件共173頁，創(chuàng)作于2023年2月風險管理是定制的風險管理與組織的內外部環(huán)境及風險環(huán)境是匹配的。風險管理原則七7979第79頁，課件共173頁，創(chuàng)作于2023年2月風險管理與組織的內外部環(huán)境有關。風險管理與組織的行業(yè)、產品、經營模式、客戶、競爭對象風險水平等相適應。組織的風險管理與組織所承擔的風險有關，受組織的文化、地域、歷史、信仰、人員等人文因素的影響不同的組織風險偏好不一樣，風險標準不一樣，風險管理的決策和風險實施就不一樣。

風險管理原則七8080第80頁，課件共173頁，創(chuàng)作于2023年2月

風險管理考慮人文因素風險管理意識是可以促進或阻礙組織目標的實現(xiàn)的內部和外部人的能量、觀念和意圖。風險管理原則八8181第81頁，課件共173頁，創(chuàng)作于2023年2月

組織應該在內部營造一種具有風險意識的企業(yè)文化，培育風險管理文化，樹立正確的風險管理理念，增強員工風險管理意識，將風險管理意識轉化為員工的共同認識和自覺行動，促進企業(yè)建立系統(tǒng)、規(guī)范、高效的風險管理機制。全體員工尤其是各級管理人員和業(yè)務操作人員應通過多種形式，努力傳播企業(yè)風險管理文化，牢固樹立風險無處不在、風險無時不在的意識。風險管理原則八8282第82頁，課件共173頁，創(chuàng)作于2023年2月風險管理是透明的和包容的利益相關方、尤其是組織各層面的決策者適當、及時的參與，確保了風險管理保持相關和先進性。參與過程也允許利益相關方適當?shù)匕l(fā)表意見，并將其觀點考慮到風險準則確定中。風險管理原則九8383第83頁，課件共173頁，創(chuàng)作于2023年2月在組織的風險管理過程中，風險管理的決策者要參與分風險管理過程，要和風險管理過程的人員進行充分的溝通，要在風險管理的各個環(huán)節(jié)明確要求和準則，及時掌握風險動態(tài)，做出準確的決策。風險管理原則九8484第84頁，課件共173頁，創(chuàng)作于2023年2月風險管理過程要進行充分的協(xié)商和溝通，確保各方的觀點能采納，確保各方的利益能保證。當組織在重大風險事件的風險決策過程中，各方尤其要充分溝通，確保決策的有限性和針對性。風險管理原則九8585第85頁，課件共173頁，創(chuàng)作于2023年2月風險管理是動態(tài)的，

迭代的和適應變化的由于內部和外部事件的發(fā)生、環(huán)境和知識的改變，以及監(jiān)視和評審的實施，有的風險會發(fā)生變化，一些新的風險可能會出現(xiàn)，另一些風險則可能會消失。組織應持續(xù)不斷地對各種變化保持敏感并做出恰當反應。風險管理原則十8686第86頁，課件共173頁，創(chuàng)作于2023年2月風險管理是適應環(huán)境變化的動態(tài)過程，其各步驟之間形成一個信息反饋的閉環(huán)。隨著內部和外部事件的發(fā)生、組織環(huán)境和知識的改變以及監(jiān)督和檢查的執(zhí)行，有些風險可能會發(fā)生變化，一些新的風險可能會出現(xiàn)，另一些風險可能消失。組織應持續(xù)不斷地對各種變化保持敏感并做出恰當反應。組織通過績效測量、檢查和調整等手段，使風險管理得到持續(xù)改進。

風險管理原則十8787第87頁，課件共173頁，創(chuàng)作于2023年2月風險管理有利于

組織持續(xù)改進

組織應制定和實施戰(zhàn)略，以改善組織各個方面的風險管理水平。風險管理原則十一8888第88頁，課件共173頁，創(chuàng)作于2023年2月風險管理過程是一個持續(xù)改進，動態(tài)更新的一個過程。風險管理要能夠提高組織的風險管理意識，改進對機會和威脅的識別，有效配置資源，改善運營效果和效率，增強組織的生存和持續(xù)發(fā)展的能力第4章的框架為組織風險管理提供了持續(xù)改進的框架。風險管理原則十一8989第89頁，課件共173頁，創(chuàng)作于2023年2月風險管理原則作用9090第90頁，課件共173頁，創(chuàng)作于2023年2月

風險管理框架第四章91第91頁，課件共173頁，創(chuàng)作于2023年2月1.總則（風險管理框架的含義）2.風險管理的指令與承諾3.風險管理框架的設計4.風險管理的實施5.框架的監(jiān)視與評審6.框架的持續(xù)改進內容提要9292第92頁，課件共173頁，創(chuàng)作于2023年2月通常意義上的理解邊界、基礎要素、結構的集合1.1什么是“框架（framework）”？931.總則93第93頁，課件共173頁，創(chuàng)作于2023年2月1.2風險管理框架的含義提供在組織內設計、實施、監(jiān)測、評審和持續(xù)改進風險管理的基礎和組織安排的要素集合。1.總則（風險管理框架的含義）9494第94頁，課件共173頁，創(chuàng)作于2023年2月基礎包括風險管理的：方針目標指令和承諾等；組織安排包括風險管理的：計劃關系職責資源過程和活動風險管理框架的含義9595第95頁，課件共173頁，創(chuàng)作于2023年2月嵌入到組織整體的戰(zhàn)略以及運營方針和實踐之中嵌入：非孤立存在；成為運行對象的一部分；整合高度成熟的一種狀態(tài)；風險管理框架的含義96組織的運營過程96第96頁，課件共173頁，創(chuàng)作于2023年2月風險管理框架自身并不構成一個單獨的“風險管理體系”；框架追求的結果是將風險管理嵌入到組織整體的管理體系之中；更為有效的方式是在組織現(xiàn)有的體系過程中，整合應用框架內的風險管理要素；風險管理框架9797第97頁，課件共173頁，創(chuàng)作于2023年2月1.3“框架”在風險管理中的角色9898第98頁，課件共173頁，創(chuàng)作于2023年2月指令和承諾風險管理框架的設計理解組織和其狀況建立風險管理方針責任融入組織的過程資源建立內部溝通和報告機制建立外部溝通和報告機制框架的持續(xù)改進實施風險管理實施風險管理框架實施風險管理過程框架的監(jiān)測和評審1.4框架各要素及其關系（PDCA）99第99頁，課件共173頁，創(chuàng)作于2023年2月2.1概述管理層的行為組織“權力”方面的保證目的在于支持：在組織內部引入風險管理保持風險管理的持續(xù)有效性2.指令與承諾

100100第100頁，課件共173頁，創(chuàng)作于2023年2月風險管理方針的制定(統(tǒng)一方向)協(xié)調性的保證風險管理方針VS組織文化風險管理績效指標VS組織的其他指標風險管理目標VS組織的其他目標和戰(zhàn)略2.指令與承諾

2.2主要內容101101第101頁，課件共173頁，創(chuàng)作于2023年2月2.2主要內容合規(guī)性職責權限的分配資源的配置對風險管理收益的溝通框架適宜性的保持2.指令與承諾

102102第102頁，課件共173頁，創(chuàng)作于2023年2月基礎：對組織內外部環(huán)境（狀況）的評價和理解設計的內容涉及：風險管理方針責任與組織過程的融合資源內外部溝通與報告機制3.風險管理框架的設計103103第103頁，課件共173頁，創(chuàng)作于2023年2月外部環(huán)境國際、國內、區(qū)域和當?shù)氐纳鐣臀幕?、政治、法律、法?guī)、財務、技術、經濟、自然和競爭環(huán)境；（客觀存在）對組織目標實現(xiàn)產生關鍵影響的驅動因素和趨勢；（與組織的目標相關聯(lián)）與外部利益相關方的關系以及觀念和價值觀；（與組織的外部利益相關方有關）3.1組織的內外部環(huán)境（狀況）1043.風險管理框架設計104第104頁，課件共173頁，創(chuàng)作于2023年2月公司治理、組織結構、角色和職責；計劃實現(xiàn)的方針、目標和戰(zhàn)略；能力（從資源和知識的角度）（例如，資本、時間、人員、過程系統(tǒng)和技術）；信息系統(tǒng)、信息流和決策過程（正式和非正式的）；與內部利益相關方的關系、他們的觀念和價值觀；組織的文化；組織所采用的標準、指南和業(yè)務模式；合同關系的形式和范圍；內部環(huán)境1053.1組織的內外部環(huán)境（狀況）105第105頁，課件共173頁，創(chuàng)作于2023年2月風險管理方針：組織對風險管理的意圖和方向的陳述建立方針是管理層的職責風險管理方針應清晰表述的內容：風險管理的目標組織對風險管理的承諾方針應得到溝通3.2建立風險管理方針1063.風險管理框架設計106第106頁，課件共173頁，創(chuàng)作于2023年2月風險管理方針應指明的典型內容：組織管理風險的基本原理；組織目標、方針與風險管理方針的聯(lián)系；管理風險的責任和職責；處理利益相關方沖突的方式；為管理風險提供所需資源的承諾；風險管理績效測量和報告的方法；對風險管理方針和框架周期性的評審和改進以及對環(huán)境中的事件或變革進行應對的承諾；3.2風險管理方針1073.風險管理框架設計107第107頁，課件共173頁，創(chuàng)作于2023年2月涵蓋的范圍：職責、權限和能力需要明確定義職責、權限和能力的領域實施和保持風險管理過程；為確保控制的充分性、有效性和效率所需的活動；3.3風險管理的責任1083.風險管理框架設計108第108頁，課件共173頁，創(chuàng)作于2023年2月確定的主要方式：識別風險所有者；識別對風險管理框架負有建立、實施和保持職責的人員；識別組織所有層次在風險管理過程方面的其他職責建立績效測量過程以及外部和或內部報告和分發(fā)過確保適宜的認可程度；3.3風險管理的責任1093.風險管理框架設計109第109頁，課件共173頁，創(chuàng)作于2023年2月基本的方法論：風險管理過程應是組織過程中的一部分；風險管理應融入方針建立、業(yè)務和戰(zhàn)略策劃和評審以及變革管理過程；融合的要求：以緊密相關的、有效的、有效率的方式將風險管理嵌入至組織所有的實踐和過程融合的載體《風險管理計劃》3.4風險管理與組織過程的融合1103.風險管理框架設計110第110頁，課件共173頁，創(chuàng)作于2023年2月組織應為風險管理配置適宜的資源應考慮以下方面的內容：人員、技能、經驗和能力；風險管理過程步驟所需的資源；組織應用于風險管理的過程、方法和工具；文件化的過程和程序；信息和知識管理系統(tǒng)；培訓方案3.5風險管理的資源1113.風險管理框架設計111第111頁，課件共173頁，創(chuàng)作于2023年2月目的：支持和鼓勵風險的職責和責任歸屬；確保：風險管理框架的關鍵組成部分以及任何后續(xù)的修改得到適宜的溝通；存在充分的關于框架的，有效性和輸出的內部報告；來自于風險管理應用所獲得的相關信息在適宜的層次和頻次上可獲得；存在與內部利益相關方協(xié)商的過程；對多來源信息的統(tǒng)一對信息敏感性的考慮

3.6內部溝通和報告機制112

3.風險管理框架設計112第112頁，課件共173頁，創(chuàng)作于2023年2月溝通與報告的對象：外部利益相關方機制的載體：溝通計劃計劃的內容：使適宜的利益相關方參與并確保有效地溝通信息；法律、法規(guī)和政府要求遵守情況的對外通告；為溝通和協(xié)商提供反饋和報告；利用溝通以使組織內建立信任；當危機或意外事故發(fā)生時與利益相關方進行溝通對多來源信息的統(tǒng)一對信息敏感性的考慮3.7建立外部溝通和報告機制1133.風險管理框架設計113第113頁，課件共173頁，創(chuàng)作于2023年2月定義合適的實施該框架的時間表和策略；為組織的過程應用風險管理方針和過程；符合法律和法規(guī)要求；確保決策、包括建立和設定目標等與風險管理過程的輸出相協(xié)調；保持信息和培訓機制并與利益相關方溝通和協(xié)商以確保其風險管理框架保持適宜4.1框架的實施1144.風險管理的實施114第114頁，課件共173頁，創(chuàng)作于2023年2月1154.風險管理的實施115第115頁，課件共173頁，創(chuàng)作于2023年2月4.2風險管理過程的實施風險管理的實施116116第116頁，課件共173頁，創(chuàng)作于2023年2月目的：持續(xù)有效地支持組織績效手段：與指標進行比照評價風險管理計劃的實施情況基于內外部環(huán)境的變化，對框架、方針和計劃的持續(xù)適宜性進行評審風險報告、方針得到遵循的程度風險管理框架的有效性頻次：周期性的4.3框架的監(jiān)視與評審（監(jiān)督與檢查）117117第117頁，課件共173頁，創(chuàng)作于2023年2月改進的輸入：監(jiān)視和評審的結果改進的領域：改進風險管理的框架、方針和計劃。改進的輸出：組織風險管理和其風險管理文化的改進。4.4框架的持續(xù)改進118118第118頁，課件共173頁，創(chuàng)作于2023年2月

風險管理過程第五章119第119頁，課件共173頁，創(chuàng)作于2023年2月內容提要1.概述（總則）2.溝通和協(xié)商3.明確環(huán)境4.風險評估5.風險處理6.監(jiān)測和評審7.記錄風險管理過程120120第120頁，課件共173頁，創(chuàng)作于2023年2月風險管理過程riskmanagementprocess管理方針、程序和慣例對溝通、協(xié)商、明確環(huán)境、以及識別、分析、評價、處理、監(jiān)測和評審風險活動的系統(tǒng)應用。

1.概述

121121第121頁，課件共173頁，創(chuàng)作于2023年2月122風險管理原則、框架和過程關系圖122第122頁，課件共173頁，創(chuàng)作于2023年2月風險管理過程的組成風險管理過程是組織管理的有機組成部分，嵌入在組織文化和實踐當中，貫穿于組織的經營過程。風險管理過程由明確環(huán)境信息、風險評估、風險處理、監(jiān)測和評審所描述的活動組成。風險評估包括風險識別、風險分析和風險評價等三個步驟。溝通和記錄，應貫穿于風險管理過程1231.概述

123第123頁，課件共173頁，創(chuàng)作于2023年2月1.概述-風險管理過程組成124124第124頁，課件共173頁，創(chuàng)作于2023年2月2.1與利益相關者溝通和協(xié)商溝通和協(xié)商communicationandconsultation組織針對風險管理，提供、共享或獲取信息，與利益相關方進行對話的持續(xù)和反復的過程。在風險管理過程的每一個階段都應當與內部和外部利益相關者有效溝通和協(xié)商。溝通和協(xié)商計劃宜在早期制定。該計劃針對與風險本身、風險成因、風險后果（如果掌握）以及處理風險措施相關的問題。為確保實施風險管理過程的職責明確，以及利益相關者理解決策的基礎和特定措施需求的原因，采取有效的外部和內部溝通和協(xié)商。2.溝通和協(xié)商125125第125頁，課件共173頁，創(chuàng)作于2023年2月與利益相關者的溝通協(xié)商是重要的，由于他們基于對風險的感知，做出了對風險的判斷。這些感知可以由于利益相關者的價值觀、需求、臆斷、概念和關注點的不同而變化。由于利益相關者的觀點會對決策產生重大影響，因此他們的感知以被識別、記錄、以及在決策過程中考慮。溝通和協(xié)商宜提供真實的、相關的、準確的、便于理解的交流信息，同時宜考慮到保密和個人誠實因素。2.1與利益相關者溝通和協(xié)商126126第126頁，課件共173頁，創(chuàng)作于2023年2月2.2協(xié)商團隊方法適當?shù)貛椭鞔_環(huán)境；確保利益相關者的利益被理解和考慮；幫助確保風險充分地被識別；將不同領域的專業(yè)知識一并用于分析風險；確保在界定風險準則和評定風險時，不同的觀點被恰當?shù)乜紤]；確保認同和支持風險處理（應對）計劃；加強在風險管理過程中的變更管理；制定一個恰當?shù)膬炔亢屯獠繙贤ê蛥f(xié)商計劃。2.溝通和協(xié)商127127第127頁，課件共173頁，創(chuàng)作于2023年2月3.1.總則通過明確環(huán)境，組織明確其目標，界定風險管理應該考慮的外部和內部參數(shù)，并設置風險管理過程的范圍和風險準則。盡管許多此類參數(shù)與風險管理框架設計時所考慮的參數(shù)類似，但在明確風險管理過程的狀況時，這些參數(shù)需要細致地，特別是與特定風險管理過程聯(lián)系起來考慮。3.明確環(huán)境128128第128頁，課件共173頁，創(chuàng)作于2023年2月3.2明確外部環(huán)境外部環(huán)境是組織在實現(xiàn)目標過程中所面臨的外界環(huán)境的歷史、現(xiàn)在和未來的各種相關信息。為保證在制定風險準則時能充分考慮外部利益相關者的目標和關注點，組織需要了解外部環(huán)境。外部環(huán)境以組織所處的整體環(huán)境為基礎，包括法律和監(jiān)管要求、利益相關者的訴求和與具體風險管理過程相關的其他方面的信息等。3.明確環(huán)境129129第129頁，課件共173頁，創(chuàng)作于2023年2月外部環(huán)境信息包括但不限于：——國際、國內、地區(qū)及當?shù)氐恼?、經濟、文化、法律、法?guī)、技術、金融以及自然環(huán)境和競爭環(huán)境；——影響組織目標實現(xiàn)的外部關鍵因素及其歷史和變化趨勢；——外部利益相關者及其訴求、價值觀、風險承受度；外部利益相關者與組織的關系等。3.2明確外部環(huán)境130130第130頁，課件共173頁，創(chuàng)作于2023年2月3.3明確內部環(huán)境內部環(huán)境是組織在實現(xiàn)目標過程中所面臨的內在環(huán)境的歷史、現(xiàn)在和未來的各種相關信息。風險管理過程要與組織的文化、經營過程和結構相適應，包括組織內影響其風險管理的任何事物。3.明確環(huán)境131131第131頁，課件共173頁，創(chuàng)作于2023年2月組織需明確內部環(huán)境信息，因為：

——風險可能會影響組織戰(zhàn)略、日常經營或項目運營等各個方面，從而進一步會影響組織的價值、信用和承諾等；——風險管理在組織的特定目標和管理條件下進行；——具體活動的目標和有關準則應放到組織整體目標的環(huán)境中考慮。3.3明確內部環(huán)境132132第132頁，課件共173頁，創(chuàng)作于2023年2月理解內部環(huán)境是必要的，可包括，但不僅限于：——治理、組織結構、作用和責任；——方針、目標，為實現(xiàn)方針和目標制定的戰(zhàn)略；——基于資源和知識理解的能力（如：資金、時間、人員、過程、系統(tǒng)和技術）；——與內部利益相關方的關系，內部利益相關者的觀點和價值觀；——組織的文化；——信息系統(tǒng)、信息流和決策過程；——組織所采用的標準、指南和模式；——合同關系的形式與范圍。3.明確環(huán)境133133第133頁，課件共173頁，創(chuàng)作于2023年2月3.4明確風險管理過程狀況確立組織活動的目標、策略、范圍和參數(shù)，或風險管理過程應用到的組織的那些部分。風險管理宜充分考慮滿足開展風險管理的資源需求。所需的資源、職責、權限和要保存的記錄也宜予以規(guī)定。3.明確環(huán)境134134第134頁，課件共173頁，創(chuàng)作于2023年2月風險管理過程的狀況根據組織需求而變化?？梢园ǎ粌H限于：——確定風險管理活動的目標；——確定風險管理過程的職責；——確定所要開展的風險管理活動的范圍以及深度、廣度，包括具體的內涵和外延；——以時間和地點，界定活動、過程、職能、項目、產品、服務或資產；——界定組織特定項目、過程或活動與其他項目、過程或活動之間的關系；3.4明確風險管理過程狀況135135第135頁，課件共173頁，創(chuàng)作于2023年2月——確定風險評估的方法；——確定評價風險管理的績效和有效性的方法；——識別和規(guī)定所必須要做出的決策；——確定所需的范圍或框架性研究，它們的程度和目標，以及此種研究所需資源。對這些和其他相關因素的關注，有助于確保所采用的風險管理方法適合于環(huán)境、組織、以及影響目標實現(xiàn)的風險。3.4明確風險管理過程狀況136136第136頁，課件共173頁，創(chuàng)作于2023年2月3.5確定風險準則（1）風險準則riskcriteria

評價風險重要程度的依據。風險準則需體現(xiàn)組織的風險承受度，應反映組織的價值觀、目標和資源。有些風險準則直接或間接反映了法律和法規(guī)要求或其他需要組織遵循的要求。風險準則應當與組織的風險管理方針一致。具體的風險準則應盡可能在風險管理過程開始時制定，并持續(xù)不斷地檢查和完善。3.明確環(huán)境137137第137頁，課件共173頁，創(chuàng)作于2023年2月（2）確定風險準則時要考慮因素：可能發(fā)生的后果的性質、類型以及后果的度量；可能性的度量；可能性和后果的時限；風險的度量方法；風險等級的確定；利益相關者可接受的風險或可容許的風險等級；多種風險的組合的影響．3.5確定風險準則138138第138頁，課件共173頁，創(chuàng)作于2023年2月4.1風險評估過程

風險評估過程包括：風險識別風險分析風險評價4.風險評估139139第139頁，課件共173頁，創(chuàng)作于2023年2月風險評估有助于決策者對風險及其原因、后果和可能性有更充分的理解。為以下決策提供信息：

（1）是否應該開展某些活動；（2）如何充分利用時機；（3）是否需要應對風險；（4）選擇不同風險的應對策略；（5）確定風險應對策略的優(yōu)先次序；（6）選擇最適合的風險應對策略，將風險的不利影響控制在可以接受的水平。4.風險評估4.1風險評估過程140140第140頁，課件共173頁，創(chuàng)作于2023年2月4.2風險識別風險識別的含義發(fā)現(xiàn)、列舉和描述風險要素的過程。風險識別的過程風險識別是通過識別風險源、影響范圍、事件及其原因和潛在的后果等，生成一個全面的風險列表。識別風險不僅要考慮有關事件可能帶來的損失，也要考慮其中蘊含的機會。4.風險評估141141第141頁，課件共173頁，創(chuàng)作于2023年2月風險識別的過程進行風險識別時要掌握相關的和最新的信息，必要時，需包括適用的背景信息。除了識別可能發(fā)生的風險事件外，還要考慮其可能的原因和可能導致的后果，包括所有重要的原因和后果。不論風險事件的風險源是否在組織控制之下，或其原因是否已知，都應對其進行識別。此外，要關注已經發(fā)生的風險事件，特別是新近發(fā)生的風險事件識別風險需要所有相關人員的參與。組織所采用的風險識別工具和技術應當適合于其目標、能力及其所處環(huán)境。4.風險評估4.2風險識別

142142第142頁，課件共173頁，創(chuàng)作于2023年2月4.2風險識別--方法風險識別方法包括：基于證據的方法，例如檢查表法以及對歷史數(shù)據的審查；系統(tǒng)性的團隊方法，例如一個專家團隊可以借助于一套結構化的提示或問題來系統(tǒng)地識別風險；歸納推理技術，例如危險與可操作性分析（HAZOP）等。組織可利用各種支持性的技術來提高風險識別工作的準確性和完整性，包括頭腦風暴法及德爾菲法等。4.風險評估143143第143頁，課件共173頁，創(chuàng)作于2023年2月4.3風險分析（1）風險分析的含義系統(tǒng)地運用相關信息來確認風險的來源，并對風險進行估計。風險分析要考慮導致風險的原因和風險源、風險事件的正面和負面的后果及其發(fā)生的可能性、影響后果和可能性的因素、不同風險及其風險源的相互關系以及風險的其他特性，還要考慮現(xiàn)有的管理措施及其效果和效率。4.風險評估144144第144頁，課件共173頁，創(chuàng)作于2023年2月（2）風險分析的考慮要素在風險分析中，應考慮組織的風險承受度及其對前提和假設的敏感性，并適時與決策者和其他利益相關者有效地溝通．另外，還要考慮可能存在的專家觀點中的分歧及數(shù)據和模型的局限性。（3）風險分析的方法根據風險分析的目的、獲得的信息數(shù)據和資源，風險分析可以是定性的、半定量的、定量的或以上方法的組合。一般情況下，首先采用定性分析，初步了解風險等級和揭示主要風險。適當時，進行更具體和定量的風險分析。4.風險評估

4.3風險分析145145第145頁，課件共173頁，創(chuàng)作于2023年2月（4）風險分析的結果后果和可能性可通過專家意見確定，或通過對事件或事件組合的結果建模確定，也可通過對實驗研究或可獲得的數(shù)據的推導確定。對后果的描述可表達為有形或無形的影響。在某些情況下，可能需要多個指標來確切描述不同時間、地點、類別或情形的后果。4.風險評估4.3風險分析146146第146頁，課件共173頁，創(chuàng)作于2023年2月（4）風險分析的結果定性評估半定量法定量分析（5）控制措施評估（6）后果分析（7）可能性分析和概率估計（風險估計）（8）初步分析（9）不確定性及敏感性因素4.風險評估4.3風險分析147147第147頁，課件共173頁，創(chuàng)作于2023年2月4.4風險評價（1）風險評價的含義將估計后風險與給定的風險準則對比，來決定風險嚴重性的過程。與組織確定的風險準則進行對照，以決定風險的水平并確定控制風險的優(yōu)先順序。經過風險評價，確定該風險是可承受還是需進行處理（分別采用風險規(guī)避、風險優(yōu)化、風險轉移或風險保留等措施）。4.風險評估148148第148頁，課件共173頁，創(chuàng)作于2023年2月（2）風險評價決策風險評價利用風險分析過程中所獲得的對風險的認識，來對未來的行動進行決策。道德、法律、資金以及包括風險偏好在內的其它因素也是決策的參考信息。決策包括：

——某個風險是否需要應對；——風險的應對優(yōu)先次序；——是否應開展某項應對活動；——應該采取哪種途徑。4.風險評估4.4風險評價149149第149頁，課件共173頁，創(chuàng)作于2023年2月（3）風險評價結果風險評價的結果應滿足風險應對的需要，否則，應做進一步分析。有時，根據已經制定的風險準則，風險評價使組織做出維持現(xiàn)有的風險應對措施，不采取其他新的措施的決定。4.風險評估

4.4風險評價150150第150頁，課件共173頁，創(chuàng)作于2023年2月常見的方法是將風險劃分為三個等級段?；凇白畹秃侠砜尚小痹瓌t（AsLowAsreasonablePracticable，簡稱ALARP）。（1）上段是指無論活動能帶來什么利益，風險等級都是無法容忍的，必須不惜代價進行風險處理；（2）中段是指要考慮實施風險應對的成本與收益，并權衡機遇與潛在結果；（3）下段是指風險等級微不足道，或者風險很小，無需采取風險處理措施。風險評價的結果應滿足風險處理的需要，否則，應做進一步分析。4.4風險評價151151第151頁，課件共173頁，創(chuàng)作于2023年2月4.5常用風險評估技術技術的選擇可用資源不確定性的性質和程度復雜性4.風險評估152152第152頁，課件共173頁，創(chuàng)作于2023年2月4.5常用風險評估技術ISO/IEC30010《風險管理風險評估技術》標準給出了對于風險評估的每一步，各類技術的適用性被描述為非常適用、適用或者不適用的不同類型。4.風險評估153153第153頁，課件共173頁，創(chuàng)作于2023年2月4.風險評估--常用風險評估技術154

工具及技術

風險評估過程風險識別風險分析風險評價后果可能性風險等級頭腦風暴法

SAAA

AA結構化/半結構化訪談SAAAAA德爾菲法SAAAAA情景分析SAAAAA風險矩陣SASASA

SAA

FMEASANANANANAHAZOPSASANANASA……

31種技術SA表示：非常適用A表示：適用NA表示：不適用154第154頁，課件共173頁，創(chuàng)作于2023年2月4.5常用風險評估技術從ISO/IEC31010《風險管理風險評估技術》標準選擇3個常用的方法。情景分析FMEA風險矩陣4.風險評估155155第155頁，課件共173頁，創(chuàng)作于2023年2月（1）情景分析情景分析（ScenarioAnalysis）是指通過分析未來可能發(fā)生的各種情景，以及各種情景可能產生的影響來分析風險的一類方法。換句話說，情景分析是類似“如果-怎樣”的分析方法。未來總是不確定的，而情景分析使我們能夠“預見”將來，對未來的不確定性有一個直觀的認識。用情景分析法來進行預測，不僅能得出具體的預測結果，而且還能分析達到未來不同發(fā)展情景的可行性以及提出需要采取的技術、經濟和政策措施，為管理者決策提供依據。4.5常用風險評估技術156156第156頁，課件共173頁，創(chuàng)作于2023年2月a.輸入b.過程使用一系列情景，關注每個情景參數(shù)的合理變化為每個情景編寫一個“故事”，講述如何從此時此地轉向主題情景。這些故事可以包括那些能為情景帶來附加值的合理細節(jié)。這些情景可以用來測試或評估最初的問題。這項測試考慮到任何重要但可預測的因素（例如，使用模式），然后分析政策在這種新情景中的“成功”概率，并通過使用以模型假設為基礎的“假定分析”來“預先測定”結果。c.輸出可能不會有最合適的情景，但可以對最終應對各種選項以及隨著指標的變化而調整行動方案的方法有更清晰的認識。（1）情景分析157157第157頁，課件共173頁，創(chuàng)作于20