風險治理原則與實施指南HUAsystemofficeroom【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】1范圍本標準供給了風險治理的原則和通用的實施指南。2標準性引用文件以下文件中的條款通過本標準的引用而成為本標準的條款。但凡注日期的引用文〔不包括訂正的內(nèi)容〕或均不適用于本標準，然而鼓舞文件，術語和定義GB/T23694確定的術語和定義適用于本標準。風險治理原則為有效治理風險，組織在實施風險治理時，可遵循以下原則：掌握損失，制造價值境保護、財務績效、產(chǎn)品質(zhì)量、運營效率和公司治理等方面。融入組織治理過程程不行缺少的重要組成局部。支持決策過程組織的全部決策都應考慮風險和風險治理。風險治理旨在將風險掌握在組織可承受的范圍內(nèi)，有助于推斷風險應對是否充分、有效,有助于打算行動優(yōu)先挨次并選擇可行的行動方案，從而幫助決策者做出合理的決策。應用系統(tǒng)的、構造化的方法系統(tǒng)的、構造化的方法有助于風險治理效率的提升，并產(chǎn)生全都、可比、牢靠的結果。以信息為根底專家推斷等多種渠道獵取，但使用時要考慮數(shù)據(jù)、模型和專家意見的局限性。環(huán)境依靠是，風險治理受人文因素的影響。廣泛參與、充分溝通助于保證風險治理的針對性和有效性。確認可的根底上。治理有效性等方面需要準時溝通。持續(xù)改進使風險得到持續(xù)改進。風險治理過程概述織的經(jīng)營過程。風險治理過程由5.2到5.5所描述的活動組成，即明確環(huán)境信息、風險1所示。其中，風險評估包括風險識別、風險分析和風險評價等三個步驟。溝通和記錄，應貫穿于風險治理過程的各項活動中，5.6將對其進展具體說明。5.25.2明確環(huán)境信息5.5監(jiān)5.3風險評價督5.32風險識別和檢查5.4風險應對1風險治理過程明確環(huán)境信息參數(shù)，并設定風險治理的范圍和有關風險準則。種相關信息。利益相關者的訴求和與具體風險治理過程相關的其他方面的信息等。外部環(huán)境信息包括但不限于：自然環(huán)境和競爭環(huán)境；——影響組織目標實現(xiàn)的外部關鍵因素及其歷史和變化趨勢；——外部利益相關者及其訴求、價值觀、風險承受度；——外部利益相關者與組織的關系等。種相關信息。的任何事物。組織需明確內(nèi)部環(huán)境信息，由于：響組織的價值、信用和承諾等；——風險治理在組織的特定目標和治理條件下進展；內(nèi)部環(huán)境信息可包括：——組織的方針、目標以及經(jīng)營戰(zhàn)略；——資源和學問方面的力量〔如資金、時間、人力、過程、系統(tǒng)和技術〕;——信息系統(tǒng)、信息流和決策過程〔包括正式的和非正式的〕;——內(nèi)部利益相關者及其訴求，價值觀、風險承受度；——承受的標準和模型；——組織構造〔包括治理構造、任何和責任等〕、治理過程和措施；——與風險治理實施過程有關的環(huán)境信息等。其中，風險治理過程的環(huán)境信息依據(jù)組織的需要而轉(zhuǎn)變，它包括但不限于：——所開展的風險治理工作的范圍和目標，以及所需要的資源；——風險治理過程的職責；——應執(zhí)行的風險治理活動的深度和廣度；——風險治理活動與組織其他活動之間的關系；——風險評估的方法和使用的數(shù)據(jù)；——風險治理績效的評價方法；——需要制定的決策；——風險準則等。5.2.4確定風險準則風險準則應盡可能在風險治理過程開頭時制定，并持續(xù)不斷地檢查和完善。確定風險準則時要考慮以下因素：——可能發(fā)生的后果的性質(zhì)、類型以及后果的度量；——可能性的度量；——可能性和后果的時限；——風險的度量方法；——風險等級確實定；——利益相關者可承受的風險或可容許的風險等級；——多種風險的組合的影響。適合于組織現(xiàn)狀及其所面臨的風險。風險評估風險評估包括風險識別、風險分析和風險評價三個步驟。時機。其目標、力量及其所處環(huán)境。緣由和風險源、大事的正面和負面的后果及其發(fā)生的可能性、影響后果和可能性的因其效果和效率。據(jù)和模型的局限性。依據(jù)風險分析的目的、獲得的信息數(shù)據(jù)和資源，風險分析可以是定性的、半定量提醒主要風險。適當時，進展更具體的定量的風險分析。響，在某些狀況下，可能需要多個指標來精準描述不同時間、地點、類別或情形的后果。則應當制定相應的風險準則，以便評價該風險。的打算。風險應對風險承受度，以及法律、法規(guī)和其他方面的要求等。進展評估，必要時重制定風險應對措施。下都適合。風險應對措施可包括以下各項：——打算停頓或退出可能導致風險的活動以躲避風險；——增加風險或擔當?shù)娘L險以尋求時機；——消退具有負面影響的風險源；——轉(zhuǎn)變風險大事發(fā)生的可能性的大小及其分布的性質(zhì)；——轉(zhuǎn)變風險大事發(fā)生的可能后果；——轉(zhuǎn)移風險；——分擔風險；——保存風險等。選擇適當?shù)娘L險應對措施時需考慮很多方面，比方：——法律、法規(guī)、社會責任和環(huán)境保護等方面的要求；〔有些風險可能需要組織考慮實行經(jīng)濟上看起來不合理的風險應對決策，例如可能帶來嚴峻的負面后果但發(fā)生可能性低的風險事件〕；——選擇幾種應對措施，將其單獨或組合使用；施的偏好。的實施打算的有機組成局部，以保證應對措施持續(xù)有效。原有的風險應對打算中要參加這些次生風險的內(nèi)容，而不應將其作為風險而獨立對者溝通，必要時調(diào)整風險應對措施。決策者和其他利益相關者應當清楚在實行風險應對措施后的剩余風險的性質(zhì)和程度。包括以下信息：——預期的收益；——績效指標及其考核方法；——風險治理責任人及實施風險應對措施的人員安排；——風險應對措施涉及的具體業(yè)務和治理活動；——選擇多種可能的風險應對措施時，實施風險應對措施的優(yōu)先次序；——報告和監(jiān)視、檢查的要求；——與適當?shù)睦嫦嚓P者的溝通安排；——資源需要，包括應急機制的資源需求；——執(zhí)行時間等；風險應對打算要與組織的治理過程整合。監(jiān)視和檢查監(jiān)視和檢查可能包括：——監(jiān)測大事，分析變化及其趨勢并從中吸取教訓；措施及其實施優(yōu)先次序的轉(zhuǎn)變；——監(jiān)視并記錄風險應對措施實施后的剩余風險，以便在適當時做進一步處理；的設計和執(zhí)行有效；——報告關于風險、風險應對打算的進度和風險治理方針的遵循狀況；——實施風險治理績效評估。風險治理績效評估應被納入到組織的績效治理以及組織對內(nèi)、對外的報告體系之中。期檢查都應被列入風險應對打算。適當時，監(jiān)視和檢查的結果應當有記錄并對內(nèi)或?qū)ν鈭蟾?。溝通和記錄溝通某些行動的緣由。識別并記錄利益相關者的風險偏好。建立記錄應當考慮以下方面：——出于治理的目的而重復使用信息的需要；——進一步分析風險和調(diào)整風險應對措施的需要；——風險治理活動的可追溯要求；——溝通的需要；——法律、法規(guī)和操作上對記錄的需要；——組織本身持續(xù)學習的需要；——建立和維護記錄所需的本錢和工作量；——獵取信息的方法、讀取信息的簡潔程度和儲存媒介；——記錄保存期限；——信息的敏感性。風險治理的實施概述組織實施風險治理過程〔5章〕需要一個風險治理體系，包括相關方針、組織險應對打算的決策，從而引導組織的風險治理和風險治理文化的改進。風險治理體系的要素主要包括：——風險治理方針；——適當?shù)闹贫群统绦?，使風險治理嵌入到組織的全部活動和過程中；——與組織構造相關的職責，以及有關的與組織的績效指標全都的風險治理績效指標；——資源安排；——與全部利益相關者溝通風險治理的機制；——技術手段、方法、工具等。風險治理方針風險治理方針應明確以下事項：——組織的風險治理理念；——組織的最高治理者對風險治理的承諾；——組織的風險治理目標；——組織的風險偏好；——風險治理方針與組織的目標及其他方針之間的關系；——風險治理的職責安排；——治理風險的程序和方法；——風險治理的資源配置；——測量和報告風險治理績效的方式；——建立風險治理體系的打算；——持續(xù)改進的承諾。風險治理工作程序戰(zhàn)略規(guī)劃、運營過程以及變革治理之中。風險治理相關組織構造程，并保證風險治理的充分性和有效性：——明確風險治理體系的制定、實施和維護人員的職責；——明確執(zhí)行風險應對措施、維護風險治理體系和報告相關風險信息人員的職責；——建立批準、授權制度；——建立績效測量及相應的適宜的嘉獎、懲罰制度；——建立對內(nèi)對外的報告機制等。風險治理的資源配置慮以下各項：——人員、技術、閱歷和力量；——風險治理過程每一階段所需要的資金及各種資源；——數(shù)據(jù)記錄的過程和程序步驟；——信息和學問治理系統(tǒng)。溝通和報告機制組織要建立內(nèi)部溝通和報告機制，以保證：——風險治理體系的關鍵組成局部及其調(diào)整得到適當?shù)臏贤ǎ弧诮M織內(nèi)部充分報告風險應對打算實施的效果和效率；——在適當?shù)膶哟魏蜁r間供給風險治理的相關信息；——建立與內(nèi)