ISO FDIS31000风险管理最终发布版中文翻译稿8609646694hoj.docx

《ISO FDIS31000风险管理最终发布版中文翻译稿8609646694hoj.docx》由会员分享，可在线阅读，更多相关《ISO FDIS31000风险管理最终发布版中文翻译稿8609646694hoj.docx（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、INTERNATIONAL STANDARD ISO/FDIS31000Risk management Principles and guidelinesForeword前言国际标准化化组织（IISO）是是各国标标准化团团体（IISO成成员团体体）组成成的世界界性的联联合。制制定国际际标准工工作通常常由ISSO的技技术委员员会完成成。个成成员团体体若对某某技术委委员会确确定的项项目感兴兴趣，均均由权参参加该委委员会的的工作。与与ISOO保持联联系的各各国际组组织（官官方的或或非官方方的）也也可参加加有关工工作。IISO与与国际电电工委员员会（IIEC）在在电工技技术标准准化方面面保持密密切合作

2、作的关系系。国际标准是是根据IISO/IECC导则第第2部分分的规则则起草的的。由技术委员员会通过过的国际际标准草草案提交交各成员员团体投投票表决决，需取取得了至至少3/4参加加表决的的成员团团体的同同意，国国际标准准草案才才能作为为国际标标准证实实发布。本标准中的的某些内内容有可可能涉及及一些专专利权问问题，这这一点应应引起注注意，IISO不不负责识识别任何何这样的的专利权权问题。ISO 3310000由IISO技技术管理理委员会会风险管管理工作作组编写写。所有类型和和规模的的组织都都面临内内部和外外部因素素的影响响，使得得它不能能确定是是否及何何时实现现其目标标。这种种对一个个组织的的目标

3、影影响的不不确定性性既是“风险”。一个组织的的所有活活动都涉及风风险。组组织通过过识别、分分析、评评价风险险以及处处理风险险，以满满足他们们的风险险标准。在这个过程程中，他他们与利利益相关关者沟通通协商，监监测和审审查风险险控制，并不断的修正风险，以确保风险处理不再是必需的。本标准详细描述了这一系统的和符合逻辑的过程。尽管所有的的组织在在某种程程度上都都在管理理风险，本本标准规规定了一一些原则则，以使风险险管理变变得有效效。本标准建建议，组组织制定定，实施施和不断断完善的的框架，其其目的是是将风险险管理纳纳入到组织的的治理，战战略和规规划，管管理，报报告程序序，政策策，价值值观和文文化等综综合

4、管理理的整个个过程。风险管理可可以应用用到整个个组织，它它的许多多领域和和层次，在在任何时时间，以以及具体体职能，项项目和活活动。尽管在过去去这段时时间内的的许多部部门，以以满足不不同的需需要的风风险管理理的做法法是成熟熟的，但是通通过采用用一致性性流程的的综合框框架有助助于确保保风险管管理的有有效性，并并且有效效和连贯贯整个组组织。在在本标准准规定的的一般性性的原则则和方针针，目的的在于在在任何的的环境和和背景下下，系统统的、清清晰的、可可靠的方方式管理理风险。每一个具体体部门或或风险管管理的应应用都产产生了独独自的需需要，受受众，观观念和标标准。因因此，这这一国际际标准的的主要特特点是将将

5、风险管管理“环境建建设”列入其其管理过过程的开开始活动动。环境境建设方方面将捕捕获该组组织的目目标，它它所追求求目标的的环境，它它的利益益相关者者和风险险标准的的多样性性，所有这这些都将将帮助揭揭示和评评估风险险的性质质和复杂杂性。本标准描述述了风险险管理的的原则、框框架、风风险管理理的流程程之间的的关系，如如图1所所示。当按照这一一国际标标准实施施和维护护时，风风险的管理者需需使一个个组织加加强，例例如： 增加实实现目标标的可能能性鼓励主动动性管理理; 在组织织中，意意识到识识别和对对待风险险的需要要;提高的机机会和威威胁识别别能力 符合有有关法律律及监管管要求和和国际规规范 改进财财务报告

6、告 改善治治理提高利益益相关者者的信心心和信任任建立决策策和规划划提供可可靠的根根基加强控制制有效地分分配和使使用资源源处理风风险提高运营营的效果果和效率率加强健康康和安全全业绩，以以及环境境的保护护;改善防损损和事件件管理减少损失失提高组织织的学习习能力 提高组组织的应应变能力力本标准是为为了满足足广大利利益相关关者需要要，包括括：a）开发者者对其机机构内的的风险管管理政策策负责;b）有人对对组织作作为一个个整体、或或者某一一特定范范围、项项目或者者活动的的风险管管理的有有效性负负责;c）有人需需要对风风险管理理评估的的有效性性负责; d）标准准，指南南，程序序和守则则的开发发者，应该对对在

7、特定定的环境境下风险险管理整整体的或或部分的的文件得得以实施施负责；目前许多组组织的管管理实践践和流程程包括风风险管理理的组成成部分，并且许多组织对特殊类型的风险或环境下已经采用了正式的风险管理流程。在这种情况下，组织可以在本标准下开展对其现有的做法和程序严格审查。在本国际标标准中，“风险管理”和“管理风险”同时使用。一般来说，“风险管理”是指管理风险的有效性架构（原则，框架和流程），而“管理风险”是指运用该架构管理特定风险。Risk mannageemennt Prrincciplles andd guuideelinnes风风险管理理-原则则和指导导方针1 Scoope范范围本标准提供供了

8、风险险管理的的原则和和一般准准则。本标准可用用于任何何公共，私私人或社社区组织织，协会会，团体体或个体体。因此此，这个个国际标标准是不不针对特特殊行业业或部门门。为方便起见见，本国国际标准准提到的的所有不不同的用用户通用用术语为为“组织”。本标准可用用于整个个组织生生活及各各种活动动，包括括战略和和决策，运运营，流流程，职职能，范范围广泛泛的项目目，产品品，服务务和资产产。本标准可以以适用于于任何类类型的风风险，无无论其性性质是否否有积极极或消极极的后果果。尽管本国际际标准提提供了风风险管理理的一般般准则，但不是为了促进各组织风险管理的统一性。设计和风险管理计划和框架的实施需要考虑到特定组织的

9、不同需要，具体做法受其特定的目标，环境，结构，业务，流程，功能，项目，产品，服务或资产等影响。本国际标准准目的是是用来协协调风险险管理与与现有的和未来来的标准准之间的的流程。它它提供了了一个支支持处理理特定风风险和/或部分分风险的的通用方方法，而而不是取取代这些些标准。本标准不适适合认证证目的。 2 Terrms andd deefinnitiionss术语和和定义下列术语和和定义适适用本文文件。2.1riisk 风险:不确定定性对目目标的影影响注1：影响响是与预预期的偏偏差积极和和/或消消极注2：目标标可以有有不同方方面（如如财务，健健康和安安全，以以及环境境目标），可可以体现现在不同同的层

10、次次（如战战略，组组织范围围，项目目，产品品和流程程）。注3：风险险通常被被描述为为潜在事事件（22.199）和后后果（22.200），或或它们的的组合。注4：风险险往往表表达了对对事件后后果（包包括环境境的变化）和和相关的的可能性性概率（22.211）。2.2riisk mannageemennt风险险管理一个组织对对风险的的指挥和和控制的的一系列列协调活活动2.3riisk mannageemennt fframmewoork风风险管理理框架组织对风险险管理的的设计、实实施、监监控、检检查和持持续改进进等进行行的一系系列基础础的组织织安排2.1).基础包包括管理理风险的的政策、目目标、任任

11、务和承承诺组织安排包包括计划划、关系系、职责责、资源源、流程程和活动动2.4riisk mannageemennt ppoliicy风风险管理理政策(2.2) 一个个组织对对风险管管理的意意图和指指导方向向的陈述述2.5riisk atttituude风风险态度度(2.1)组织评评估、追追求、保保留、采采取或避避开风险险的处理理手段2.6riisk apppetiite风风险偏好好一个组织追追求、保保留或采采取风险险的数量量和类型型2.7riisk aveersiion风风险规避避 (2.11)避开开风险的的态度2.8riisk mannageemennt pplann风险管管理计划划(2.1

12、)为风险管理理框架方方案指定定方法、管管理措施施、资源源以用于于管理风风险管理措施一一般包括括程序、做做法、职职责分配配、序列列和及时时的行动动风险管理计计划适用用于特定定的产品品、流程程和项目目、部分分或整个个组织 2.9riisk ownner风风险所有有者 (2.11)对风风险管理理持有权权力和责责任的个个人或实实体2.10rriskk maanaggemeent proocesss风险险管理流流程系统的应用用管理政政策，程程序和沟沟通协商商，在建建立的风风险管理理环境下下，识别别，分析析，评价价，处理理，监测测和审查查风险2.11eestaabliishiing thee coonte

13、ext环环境建设设界定风险管管理应该该考虑的的外部和和内部参参数，并并设置风风险管理理政策的的范围和和风险的的标准2.12 extternnal conntexxt外部部环境外部环境包包括文化、社会会、政治治、法律律、监管管、财政政金融、技技术、经经济、自自然和竞竞争环境境，无论论是国际际，国家家，区域域或地方方影响该组组织的主主要驱动动和趋势势与外部利利益相关关者之间间的关系系和价值值观2.13iinteernaal cconttextt内部环环境内部环境包包括治理、组组织结构构、角色色和责任任政策、目目标、实实现目标标的战略略能力、资资源和知知识（如如资本、时时间、人人、流程程、系统统和技

14、术术）内部利益益相关者者的价值值观信息系统统、信息息流和（正正式的和和非正式式的）决决策流程程内部利益益相关者者价值观观之间的的关系组织文化化标准、指指引和组组织采用用的模式式合同关系系的形成成和范围围2.14ccommmuniicattionn annd cconssulttatiion沟沟通和协协商一个组织提提供，共共享或获获取信息息，与利利益相关关者和其其他风险险管理者者持续和和反复对对话的流流程信息涉及存存在、性性质、形形式、可可能性、严严重程度度、评价价、可接接受性、处处理或者者其他与与管理风风险相关关的方面面协商是一个个组织与与它的利利益相关关者或其其他利益益相关者者双向沟沟通的过

15、过程，目目的在于于就以问问题提前前做出决决策或就就某一问问题决定定方向。协协商是：通过影响响而非权权力影响响决策的的过程加入决策策而非共共同决策策2.15sstakkehooldeer利益益相关者者可以影响、被被影响或或者觉得得自己会会被决策策或者活活动影响响的个人人或组织织决策者可以以是利益益相关者者2.16rriskk asssesssmeent风风险评估估风险识别，风风险分析析和风险险评价的的整个过过程 2.17rriskk iddenttifiicattionn风险识识别 (2.11)发现现、识别别、描述述风险的的过程风险识别包包括风险险源的识识别、风风险事件件的识别别、风险险原因及及

16、潜在后后果的识识别风险识别涉涉及历史史数据、技技术分析析、知情情人、专专家和利利益相关关者的意意见2.18rriskk soourcce风险险源单独或联合合具有内内在的潜潜在引起起危险的的因素.一个风险险源可以以是有形形的或者者无形的的2.19eevennt事件件特别环境的的产生或或者变化化一个事件可可能是一一个或多多个事情情组成，并并且会有有多种原原因一个事件可可能有一一些不会会发生一个事件有有时被称称为“偶然事事件”或“事故”.一个不会会产生后后果的事事件可以以被称为为“近乎为为零”、“偶然事事件”、2.20cconssequuencce后果果事件对目标标的影响响结果一个事件可可能产生生一

17、些列列的后果果后果可能对对目标是是确定或或非确定定的、积积极或消消极的后果可能是是质量上上的，也也可能是是数量上上的初步的后果果可能升升级，产产生连锁锁效应2.21llikeelihhoodd可能性性某事发生的的机会在风险管理理术语中中，“可能性性”是指事事情发生生的机会会，不论论是界定定，衡量量或客观观或主观观的确定定，定性性或定量量、一般般的或精精确的描描述（如如在一定定时期内内事情发发生的几几率和频频率）N英文“可可能性”在有些些语言中中没有直直接对应应，而同同义词“概率”经常被被使用。然然而，在在英语中中，“概率”通常被被狭义解解释为数数学术语语。因此此，在风风险管理理术语中中，“可能

18、性性”，被富富有同非非英语国国家的“概率”同样的的广义解解释。2.22rriskk prrofiile风风险描述述 (2.11)每一一种风险险的描述述该风险是指指那些可可与整个个组织、组组织的部部分或者者其他特特定部分分向关联联的风险险2.23rriskk annalyysiss风险分分析充分理解风风险的性性质和确确定风险险等级的的过程 (2.227).风险分分析是风风险评价价和风险险处理决决策的基基础风险分析包包括风险险判断2.24rriskk crriteeriaa风险标标准对风险评价价具有重重要意义义的条款款 (2.113).风险标标准建立立以组织织目标、外外部及内内部环境境为基础础风险

19、标准可可以从标标准、法法律、政政策和其其他要求求中产生生2.25lleveel oof rriskk风险等等级(2.211)风险险的重要要度，所所风险组组合所产产生的后后果和其其可能性性2.26 rissk eevalluattionn风险评评价对比风险分分析和风风险标准准的过程程，以决决定风险险及其级级数是否否能够接受和和容忍风险评价帮帮助风险险处理决决策2.27rriskk trreattmennt风险险处理 (2.11)修正正风险的的流程风险处理包包括：通过避开开或停止止可以产产生风险险的活动动避免风风险为了追求求机遇采采取或增增加风险险 (2.18);消除除风险源源 2.221);改变

20、可可能性 (2.20);改变变后果与其他团团体风险险共担（包包括合同同、风险险融资） 通过知知情维持持风险对消极后果果的风险险处理可可以归为为“风险缓缓和”、“风险消消除”、“风险预预防”和“风险减减小”风险处理可可能产生生新的风风险或修修正已存存在的风风险2.28cconttroll控制(2.1)修正风风险的措措施控制包括任任何流程程、政策策、策略略、时间间或其他他修正风风险的行行动控制可能不不总是符符合产生生预期或或假定的的修正效效果2.29rresiiduaal rriskk剩余风风险(2.277)通过过风险处处理后仍仍然存在在的风险险.剩余的风风险包括括未识别别的风险险.剩余风险险也可

21、以以成为风风险残留留2.30mmoniitorringg监控不断检查，监监督，审审慎地观观察或明明确现状状，以确确保识别别与要求求的或预预期的绩绩效的变变化情况况 (2.228).监控适适用于风风险管理理框架、风风险管理理流程、风风险和控控制2.31rreviiew检检查采取适当、足足够、有有效的活活动以保保障已设设目标的的达成检查适用于于风险管管理框架架、风险险管理流流程、风风险和控控制3 Priinciiplees原则则为了确保风风险管理理富有成成效，组组织的各各个层面面应该遵遵循以下下原则。a) Riisk mannageemennt ccreaatess annd pprottectt

22、s vvaluue.风风险管理理创造并并保护价价值风险管理有有助于目目标达成成和绩效效的明显改改善，例例如，人人类健康康和安全全，保安安，法律律和法规规遵从性性，公众众接受性性，环保保，产品品质量，项项目管理理，运营营效率，治治理和声声誉。b) Riisk mannageemennt iis aan iinteegraal ppartt off alll oorgaanizzatiionaal pproccessses.风险管理理是整个个组织流流程的组组成部分分风险管理不不是一个个从组织织的主要要活动和和流程中中分开的的孤立活活动。风风险管理理是管理理的一部部分，是是组织流流程如战战略规划划、

23、所有有项目、变变更管理理流程的的组成部部分，包包括。c) Riisk mannageemennt iis ppartt off deecissionn maakinng.风险管理理是决策策的一部部分风险管理可可以帮助助决策者者作出明明智的选选择，优优先行动动和区分分备选行行动方针针。d) Riisk mannageemennt eexplliciitlyy adddreessees uunceertaaintty.明确风险险管理涉涉及的不不确定性性风险管理明明确的考考虑到不不确定性性及这种种不确定定性的性性质，以以及如何何加以解解决。e) Riisk mannageemennt iis ssy

24、sttemaaticc, sstruuctuuredd annd ttimeely.风险管管理是系系统的，有有组织和和及时的的有系统的，及及时的和和结构性性的风险险管理方方法有助助于提高高效率和和连贯一一致的，可可衡量的的和可靠靠的结果果。f) Riisk mannageemennt iis bbaseed oon tthe besst aavaiilabble infformmatiion.风险管管理是基基于适当当的有效效信息风险管理流流程的输输入基于于信息资资源，如如历史数数据，经经验，利利益相关关者的反反馈，观观察，预预测和专专家判断断。然而而，决策策者应该该了解并并应考虑虑到，数数据或

25、模模型的局局限性以以及专家家之家分分歧的可可能性。g) Riisk mannageemennt iis ttailloreed.风险管理理是定制制的风险管理与与该组织织的外部部和内部部环境及及风险状状况是相相匹配的的。h) Riisk mannageemennt ttakees hhumaan aand cullturral facctorrs iintoo acccouunt.风险管管理考虑虑到人类类和文化化因素风险管理意意识到可可以促进进或阻碍碍组织目目标的实实现的内内部和外外部人的的能力，观观念和意意图。i) Riisk mannageemennt iis ttrannspaarennt

26、 aand incclussivee.风险管理理是透明明的和包包容的及时的、适适当的吸吸收利益益相关者者，尤其其是组织织各层面面的决策策者参与与风险管管理，确确保风险险管理是是相关的的和跟得得上形式式的。参参与过程程允许利利益相关关者提出出异议，并并将其意意见考虑虑到风险险标准的的决定过过程之中中。j) Riisk mannageemennt iis ddynaamicc, iiterratiive andd reespoonsiive to chaangee.风险管管理是动动态的，迭迭代的和和适应环环境变迁迁由于外部和和内部事事情的发发生时，环环境和知知识在改改变，监监测和审审查过程程中，新

27、新的风险险出现，一一些风险险在改变变，而另另一些风风险消失失了。因此此，风险险管理需需要持续续的意识识和不断断响应以以应对变变化。k) Riisk mannageemennt ffaciilittatees cconttinuual impprovvemeent of thee orrgannizaatioon.风险管理理有利于于组织的的持续改改进组织应制订订和实施施战略，以以改善组组织各个个方面的的风险管管理的成成熟。附附件A提提供了组组织希望望更有效效的管理理风险的的进一步步意见。4 Fraamewworkk框架4.1 GGeneerall概述风险管理的的成功取取决于管管理框架架的有效效性

28、，这这个框架架提供基基础和安安排并使使其嵌入入到组织织的各个个层级。该框架通过过风险管管理流程程（见第第5款）在在不同层层级在组组织特定定环境的的实施，确确保管理理风险的的有效性性。该框框架确保保在流程程中派生生出来的的风险信信息得以以适当的的报告，并并将其用用来做出出决策和和使组织织相关层层级保持持职责相相关。本条款描述述了框架架中风险险管理的的各组成成部分，及及其相互互联系，如如图2所所示。风险管理框框架中各各组成部部分的关关系本框架并非非规定一一个管理理系统，目目的在于于协助组组织将风风险管理理与其整整个管理理系统相相整合。因此，组织可以采用框架适当的部分以适应其特殊的需要。如果一个组组

29、织的现现有管理理方法和和程序包包括风险险管理的的组成部部分，或或者该组组织针对对特殊类类型的风风险和环环境采用用了正式式的风险险管理流流程，那那么，这这些措施施应严格格审查，并并参照这这一国际际标准，包包括附件件A中的的内容进进行评估估，以确确保其充充分性和和有效性性。4.2 MManddatee annd ccommmitmmentt任务和和承诺风险管理的的引进和和确保其其持续有有效都需需要组织织的管理理层强有力力的、持续的的承诺，以以及严格格的战略略规划，实实现组织织各级成员员的认同同感。管管理层应应该：制定风险险管理政政策确保组织织文化和和风险管管理政策策相一致致确保使风风险管理理绩效指

30、指标与组组织绩效效指标相相一致使风险管管理目标标与组织织目标和和战略相相一致确保与法法律法规规相一致致确保为风风险管理理分配必必要的资资源协调风险险管理利利益相关关者之间间的利益益确保风险险管理框框架稳步步进行。4.3 DDesiign of fraamewworkk foor mmanaaginng rriskk风险管管理框架架的设计计4.3.11理解组织织及组织织的环境境在开始设计计和实施施风险管管理框架架之前，评评价和了了解组织织的外部部和内部部环境是是非常重重要的，因因为这可可以显显显著影响响框架的的设计。评价组织的的外部环环境包括括但不限限于：a)社会和和文化、法法律、监监管，财财政

31、，技技术，经经济，自自然和竞竞争环境境，无论论是国际际，国家家，区域域或地方方;b)影响组组织目标标的主要要驱动因因素和趋趋势c)与组织织有相关关观念和和价值的的外部利利益相关关者评价组织的的内部环环境包括括但不限限于：治理、组组织结构构、角色色和责任任可以实现现这些目目标的政政策、目目标和战战略措施施能力，资资源和知知识方面面的理解解（如资资本、时时间、人人力、流流程、系系统和技技术）信息系统统、信息息流和决决策流程程（包括括正式和和非正式式）关系、观观念、内内部利益益相关者者和组织织文化标准、指指导方针针、组织织采用的的模型合同关系系的形式式和程度度4.3.22 Esstabblisshi

32、nng rriskk maanaggemeent pollicyy建立风险险管理政政策风险管理政政策应该该清晰的的阐述组组织的目目标和承承诺，通通常阐述述以下：组织风险险管理的的基本原原理关联组织织目标和和政策与与风险管管理政策策风险管理理的职责责和义务务利益冲突突的处理理方法对风险管管理执行行者提供供必需的的资源承承诺风险管理理绩效测测量和报报告的方方式承诺定期期检讨和和改善风风险管理理政策和和框架，并并对环境境的变化化作出响响应风险管理政政策应当当适当的的沟通传传达。4.3.33 Acccouuntaabillityy职责组织应确保保有责任任，权力力和适当当的能力力来实施施风险管管理，包包

33、括实施施和维护护的风险险管理程程序，确确保充分分性，确确保任何何控制的的妥善、效效率和效效果。这这可以通通过：识别风险险拥有者者，并赋赋予其职职责和权权力管理理风险识别对风风险管理理框架的的开发、实实施和维维护富有有责任的的人识别组织织的各个个层级对对风险管管理流程程富有其其他责任任的人建立绩效效测量、外外部和/或内部部报告及及升级流流程确保对风风险管理理有一定定的认知知4.3.44 Innteggrattionn innto orgganiizattionnal proocesssess融入组组织流程程风险管理应应以相关关、效率率、效果果等方式式嵌入组组织的各各个活动动和流程程之中。风风险管

34、理理流程应应该成为为部分而而非独立立于组织织的流程程。尤其其，风险险管理应应植入组组织的政政策发展展、业务务和战略略规划和和回顾，及及流程变变更。应该有一个个组织范范围内的的风险管管理计划划，以确确保风险险管理政政策的执执行和风风险管理理被嵌入入该组织织的实践践和流程程之中。风风险管理理计划，可可以集成成到其他他组织计计划，如如战略计计划。4.3.55 Reesouurcees资源源组织应为风风险管理理分配适适当的资资源，应应该考虑虑以下方方面：人力、技技能、经经验和能能力保障每个个风险管管理流程程的步骤骤所需资资源组织的风风险流程程、方法法和工具具用于管管理风险险流程和程程序文件件化信息和知

35、知识管理理系统培训4.3.66 Esstabblisshinng iinteernaal ccommmuniicattionn annd rrepoortiing mecchannismms建立立内部沟沟通与报报告机制制阻止应该建建立内部部沟通和和报告机机制以支支持和激激励风险险的责任任和所有有权，这这些机制制应该保保证：风险管理理框架的的组成部部分的确确定及随随后的修修正应适适当的沟沟通框架的有有效性和和产出应应做出适适当的内内部报告告组织适当当的层级级及时了了解风险险管理实实施中的的相关信信息与内部有有利益相相关者协协商的流流程这些机制应应包括一一些流程程，以巩巩固从各各种方面面来风险险信

36、息适适当的考考虑到敏敏感性。4.3.77 Esstabblisshinng eexteernaal ccommmuniicattionn annd rrepoortiing mecchannismms建立立外部沟沟通和报报告机制制组织应该设设计和实实施如何何与外部部利益相相关者沟沟通的计计划，包包括： 鼓励适适当的外外部利益益相关者者参与，并并确保有有效的信信息交流流外部报告告应该合合法、合合规，符符合公司司治理的的需要提供沟通通和协商商的反馈馈机制运用沟通通建立组组织的信信息在发生危危机和紧紧急事件件时，和和利益相相关者相相沟通这些机制应应包括一一些流程程，以巩巩固从各各种方面面来风险险信息

37、适适当的考考虑到敏敏感性。4.4 IImpllemeentiing rissk mmanaagemmentt风险管管理的实实施4.4.11风险管管理框架架的实施施在实施风险险管理框框架过程程中，组组织应该该： 确定实实施该框框架的适适当时机机和策略略运用风险险管理政政策和程程序于组组织程序序符合法律律法规的的需要确保决策策，包括括制定和和确定目目标与风风险管理理流程的的输出相相一致举办信息息和培训训课程 与利益益相关者者沟通和和协商，以以确保其其风险管管理框架架仍然适适用4.4.22 Immpleemenntinng tthe rissk mmanaagemmentt prroceess风风险

38、管理理流程的的实施风险管理的的实施，应应该确保保条款55中规定定的风险险管理流流程要点点通过风风险管理理计划，并做为组织的活动和流程的组成部分贯穿于组织的相关层面和功能。4.5 MMoniitorringg annd rreviiew of thee frrameeworrk框架架的监控控和检查查为确保风险险管理的的有效性性并且持持续支撑撑组织的的绩效，组组织应该该：衡量风险险管理绩绩效与指指标之间间的差异异，并开开展定期期检查定期衡量量进展与与风险管管理计划划之间的的偏差结合组织织的内外外部环境境，对风风险管理理框架、政政策和计计划的合合理性进进行定期期检查和和回顾对风险管管理中的的风险和和

39、进展进进行报告告，以及及它们是是如何与与风险管管理政策策相一致致的检查风险险管理框框架的有有效性4.6 CConttinuual impprovvemeent of thee frrameeworrk框架架的持续续改进根据监测和和检查结结果，决决定应如如何改善善风险管管理框架架，政策策和计划划。这些些决定将将提升该组组织的风风险管理理和风险险管理文文化。5 Proocesss流程程5.1 GGeneerall概述管理的一一个组成成部分植入组织织的文化化和实践践根据组织织的业务务流程定定制它包括5.2-55.6所所描述的的活动，风风险管理理流程如如图3所所示。Figurre 33 Riisk m

40、annageemennt pproccesss5.2 CCommmuniicattionn annd cconssulttatiion沟沟通和协协商与内外部利利益相关关者的沟沟通和协协商贯穿穿于风险险管理的的每个阶阶段。因此，沟通通和协商商的计划划应该提提前制定定。其内内容应该该包括风风险本身身、风险险成因，风风险后果果（如果果可以预预料）和和对待风风险的措措施。开开展有效效的内外外部沟通通和协商商，可以以确保风风险管理理流程实实施流程程的责任任明确、利利益相关关者理解解决策制制定的基基础和为为什么需需要采取取特殊行行动的原原因。一个协商工工作组的的方法可可以有助于建建立适合合的环境境确保利益

41、益相关者者的利益益可以被被理解和和被考虑虑有助于风风险的有有效识别别将不同领领域的专专业知识识融入风风险分析析在风险标标准的制制定和风风险评价价过程中中，确保保不同的的意见都都给与适适当的考考虑提高风处处理计划划的赞同同和支持持期间加强强风险管管理流程程适当的的变更管管理； 制定适适当的外外部和内内部沟通通和协商商计划与利益相关关者的沟沟通和协协商是重重要的，因因为他们们可以根根据自己己对风险险的理解解对风险险作出判判断。这这些理解解因利益益相关者者价值观观、需求求、假设设和关注注点的不不同而不不同。由由于他们们的观点点可能对对决策产产生重大大影响，所所以在决决策制定定过程中中，应该该注意识识

42、别、记记录和考考虑利益益相关者者的观点点。沟通和协商商的信息息交流过过程中应应保持真真实、相相关、准准确和可可理解，同同事也要要考虑到到保密和和人格方方面。5.3 EEstaabliishiing thee coonteext环环境的建建立5.3.11 Geenerral概概述通过环境建建设，组组织明确确了目标标、并将将内外部部因素考考虑考风风险管理理之中，另另外也为为风险管管理流程程设定了了范围和和风险标标准。虽虽然这些些参数很很多与风风险管理理框架的的参数相相类似，但但当风险险管理流流程环境境时，它它们需要要更进一一步的被被考虑，尤尤其是如如何与特特定的风风险管理理流程的的范围内内相关联联

43、。5.3.22 Esstabblisshinng tthe extternnal conntexxt外部部环境的的建立外部环境是是组织为为了组织织目标能能够实现现所面临临的外部部情况。理理解外部部环境的的重要性性在于确确保风险险标准制制定过程程中外部部利益相相关者的的目标和和关注点点被给予予考虑。它不仅是根据特定法律和监管的要求，更是基于全组织范围的环境，利益相关者的看法以及其对风险管理流程特定范围的一些细节都应给与考虑。外部环境包包括但不不限于社会和文文化、政政治、法法律、监监管、金金融、技技术、经经济、自自然环境境和竞争争环境，无无论是国国际，国国家，区区域或地地方影响组织织目标的的主要驱

44、驱动和趋趋势与外部利利益相关关者的价价值观的的关系5.3.33 Esstabblisshinng tthe intternnal conntexxt内部部环境的的建立风险管理流流程应该该与组织织的文化化、流程程、组织织结构和和战略相相匹配。内内部环境境是组织织可以影影响风险险管理方方式的任任何事情情。内部部环境应应该建立立，因为为a)风险管管理产生生与组织织目标的的环境中中b)一个特特定项目目、流程程和活动动的目标标和标准准应该以以组织目目标为整整体得以以考虑；c)一些组组织错失失了实现现其战略略，项目目或业务务目标的的机会，这这影响到到正在进进行的组组织承诺诺，信誉誉，信任任和价值值。理解内

45、部环环境是非常有有必要的的，他们们包括但但不限于于：治理、组组织结构构、角色色和责任任政策、目目标、实现这这些目标标的战略略能力、资资源和知知识（如如资本、时时间、人人、流程程、系统统和技术术）内部利益益相关者者的价值值观与组组织文化化之间的的关系信息系统统、信息息流和（正正式的和和非正式式的）决决策流程程标准、指指引和组组织采用用的模式式合同关系系的形成成和范围围5.3.44 Esstabblisshinng tthe conntexxt oof tthe rissk mmanaagemmentt prroceess风风险管理理流程环环境的建建立组织的目标标、战略略、活动动的范围围和因素素，

46、或者者其他部部分，都都应该建建立风险险管理流流程。风风险管理理实施过过程中应应该充分分的考虑虑需求因因素确保保风险管管理。所所需资源源，责任任和权力力，保存存记录也也应指定定。随着组织需需求的变变化，风风险管理理流程的的环境也也随之变变化，它它包含但但不局限限于：识别风险险管理活活动的目目标界定风险险管理流流程中的的责任界定风险险管理活活动的范范围、深深度和广广度、内内涵和外外延及时准确确的识别别活动、流流程、功功能、项项目、产产品、服服务和资资产界定组织织的特定定项目，流流程或活活动和其其他项目目，流程程或活动动的关系系确定风险险评估方方法界定风险险管理评评估的方方式和有有效性识别和判判定不得得不做出出的决定定组织需要要识别，确确定范围围和框架架的研究究，同时时应该提提供研究究的范围围和目标标，所需需的资源源注意，这些些及其他他相关因因素应该该确保所所采取的的风险管管理方法法在环境境、组织织和风险险方面都都会影响响风险管管理目标标的完成成。5.3.55 Deefinningg riisk criiterria定定义风险险标准组织应该定定义风险险的标准准，以便便用于评评价风险险的意义义。标准准应该反反映组