GB/T 24353-2022 风险管理 指南.pdf

  • GB/T 24353-2022  风险管理 指南.pdf为pdf格式
  • 文件大小:3.9 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2022-11-13
  • 发 布 人: 13648167612
  • 文档部分内容预览:
  • GB/T 24353-2022  风险管理 指南

    5.4.1理解组织及其环境

    在设计风险管理框架时,组织需审视并了解其内外部环境。 需审视的组织外部环境包括但不限于: 国际、国内、区域或地方的社会、文化、政治、法律、监管、金融、技术、经济、自然环境; 对组织目标产生影响的关键驱动因素和趋势; 与外部利益相关者的关系,以及他们的认知、价值取向、需求和期望; 合同关系和承诺:

    组织所处关系网络的复杂性及依赖关系。 需审视的组织内部环境包括但不限于: 愿景、使命和价值观; 治理方式、组织结构、职能、责任和绩效考核; 战略、目标和方针; 组织文化; 组织采用的标准、指南和模型; 组织在资源和知识方面所具备的能力(即资本、时间、人力、知识产权、程序、系统和技术等): 数据、信息系统和信息流; 与内部利益相关者的关系,充分考虑其认知和价值取向; 合同关系和承诺; 相互依赖性和相互关联性

    组织所处关系网络的复杂性及依赖关系。 需审视的组织内部环境包括但不限于: 愿景、使命和价值观; 治理方式、组织结构、职能、责任和绩效考核; 战略、目标和方针; 组织文化; 组织采用的标准、指南和模型; 组织在资源和知识方面所具备的能力(即资本、时间、人力、知识产权、程序、系统和技术等); 数据、信息系统和信息流; 与内部利益相关者的关系安全网标准,充分考虑其认知和价值取向; 合同关系和承诺; 相互依赖性和相互关联性

    5.4.2明确表达风险管理承诺

    最高管理层和监督机构可通过政策、声明或其他形式,表达并展现自身对风险管理的持续承诺,以 确传达组织有关风险管理的目标和承诺。风险管理承诺包括但不限于: 组织的风险管理目的及其与组织目标和其他方针的联系; 强化将风险管理融人组织整体文化的要求; 引导将风险管理融人组织核心业务活动和决策制定过程中; 明确权限、责任和职责; 配置必要的资源; 处理相互冲突目标的方式; 组织绩效指标的度量和报告; 回顾和改进。 组织宜在其内部传达风险管理承诺并适时向利益相关者传达。

    5.4.3明确组织角色、权限、职责和责任

    最高管理层和监督机构宜明确组织相关角色的风险管理责任、职责和权限,并与组织所有层级沟 通,且需要: 强调风险管理是一项核心职责; 指定有责任和权限管理风险的个人(风险责任人)

    最高管理层和监督机构宜确保为风险管理分配适当的资源,包括但不限于: 人力、技能、经验和能力; 组织用于风险管理的程序、方法和工具; 文件化的过程和程序; 信息和知识管理系统; 专业发展和培训需要。 组织需考虑现有资源的能力和局限性

    为支持风险管理框架和促进风险管理的有效运用,组织需建立经批准的沟通和咨询方法。沟

    要是与目标受众分享信息。咨询主要是通过获取参与者的反馈,为制定决策或其他活动提供建议。沟 通和咨询的方法和内容宜反映有关利益相关者的期望。 沟通和咨询宜及时,确保相关信息得到适当的收集、整理、汇总和分享,并适时提供反馈和做出 改进。

    组织宜通过以下工作实施风险管理框架: 制定适当的实施计划,包括时间和资源等要素; 识别组织内各类决策制定的人员、时间、位置和方法: 必要时,对当前的决策程序进行调整; 确保组织开展风险管理的工作安排得到清晰的理解和执行, 风险管理框架的成功实施,需要利益相关者的参与和重视。这样能够使组织明确地处理决策中的 不确定性;同时还能确保组织在面对新的或后续的不确定性时及时做出反应。 通过恰当地设计和实施风险管理框架,可以确保将风险管理过程融人组织内部所有活动(包括决策 制定)之中,并将充分考虑内外部环境的变化

    评价风险管理框架的有效性,组织宜: 根据组织设计和实施风险管理框架的目的、实施计划、绩效指标和预期表现效果,定期分析风 险管理框架的实施效果; 确定风险管理框架是否仍适用于支持组织目标的实现

    组织宜持续监控和更新风险管理框架,以适应内外部环境的变化,这样有助于提升组织价值。

    组织宜持续改进风险管理框架的适用性、充分性、有效性以及风险管理过程与其他管理活动的整合 方式。 当识别出相关差距或改进空间后,组织宜制定改进计划和任务,并分配给相关负责人实施。这些改 进计划和任务的实施,有助于加强组织的风险管理

    风险管理过程是将政策、程序和实践系统地应用于沟通和咨询、建立环境、风险评估、风险应对、监 督和检查、记录和报告等活动。图4给出了风险管理过程。 风险管理过程是组织管理和决策的有机组成部分,需融入组织的架构、运营和流程中。它可以应用 在战略、运营、项目群或单个项目层面。 风险管理过程在组织中的应用可以是多方面的,可根据组织目标定制,并与其所处的内外部环境相 适应。 在整个风险管理过程中,需要考虑人的行为因素和文化因素的动态性和多变性。

    虽然风险管理过程通常表现为按一定的顺序开展,但在实践中是一个循环提升的过程,

    组织宜界定其风险管理活动的范围。 由于风险管理过程可应用于不同层面(如战略、运营、项目群、单个项目或其他活动),所以明确风险 管理过程的范围、目标及其与组织目标的一致性十分重要。 规划风险管理实施路径时,所考虑的事项包括: 目标和需要做的决策; 过程中各个步骤的预期结果; 时间、地点、具体包含和排除的事项; 适当的风险评估工具和技术:

    所需的资源、责任和需要保留的记录; 与其他项目、过程和活动的关系。

    内外部环境是指组织设定并实现自身目标所依赖的环境。 风险管理环境的确定,宜建立在对组织运营所处的内外部环境的理解上,并反映出实施风险管理活 动的具体场景。理解环境之所以重要,是因为: 风险管理是在组织目标和活动的环境下进行的: 组织方面的因素可能是一种风险源; 风险管理过程的目的和范围宜与整个组织的目标相互关联。 组织可在考虑5.4.1所述因素的基础上 程的内外部环境

    6.3.4界定风险准则

    组织宜基于其目标,确定其所能承受的风险数量和类型;组织还需界定评价风险重要性的准则并支 持决策过程。风险准则宜与风险管理框架相一致,并根据相关活动的具体目的和范围进行针对性的设 计。风险准则宜反映组织的价值观、目标和资源,并与组织的风险管理方针和声明相一致。在界定风险 隹则时宜考虑组织的义务和利益相关者的意见。 虽然风险准则可在风险评估过程之初确定,但它是动态变化的,因此宜持续审视并于必要时进行 修改。 在设定风险准则时,以下方面宜加以考虑: 可能影响结果和目标的不确定因素的性质和类型(包括有形的和无形的); 如何界定和度量后果(包括正面的和负面的)和可能性; 时间相关因素; 采用度量标准的一致性; 如何确定风险等级; 如何考虑多项风险的组合及顺序; 组织的风险容量。

    风险评估是风险识别、风险分析和风险评价的整个过程。 风险评估宜系统地、循环地、协作性地开展,并充分考虑利益相关者的观点。风险评估宜使用最 用信息,在必要时可通过进一步调查加以补充

    能有助于或妨碍组织实现目标的风险。采用相关、适当、最 新的信息对于识别风险非常重要 组织可使用一系列技术来识别可能影响一个或多个目标的不确定性。识别风险宜考虑以下因素及 相互之间的关系: 有形和无形的风险源; 原因和事件; 威胁和机遇:

    GB/T24353—2022/ISO31000:2018

    脆弱性和应对能力; 内外部环境变化; 新兴风险; 资产和资源的性质和价值: 后果及其对目标的影响; 知识的局限性和信息的可靠性; 与时间有关的因素; 识别风险所涉及人员的偏见、假设和看法。 不管风险源是否在组织控制范围内,都宜对风险进行识别。需考虑风险带来的多于一种的结果,这

    风险评价的目的是支持决策。风险评价是将风险分析结果和既定风险准则相比较,以确定是否需 要采取进一步行动。风险评价可促成以下决定: 不采取进一步行动; 考虑风险应对方案; 开展进一步分析,以更全面地了解风险; 维持现有的控制措施; 重新考虑目标。 决策宜考虑到更广泛的环境,以及对内外部利益相关者的实际和预期影响。 风险评价的结果宜予以记录、沟通、然后在组织适当层级予以确认

    风险应对的目的是选择和实施风险处理方案。 风险应对是一个循环提升的过程,包括: 制定和选择风险应对方案; 计划和实施风险应对措施; 评估风险应对措施的成效; 确定剩余风险是否可接受; 若不可接受,采取进一步应对措施

    风险应对的目的是选择和实施风险处理方案。 风险应对是一个循环提升的过程,包括: 制定和选择风险应对方案; 计划和实施风险应对措施; 评估风险应对措施的成效; 确定剩余风险是否可接受; 若不可接受,采取进一步应对措施

    6.5.2选择风险应对方案

    选择最合适的风险应对方案,可在实现目标获得的潜在收益和付出的成本、耗费的精力或由此引发 的不利后果之间进行权衡。 风险应对方案之间不一定是相互排斥的,也不一定适用于所有情形。风险应对方案涉及以下一个 成多个方面: 决定不开始或退出会导致风险的活动,来规避风险; 承担或增加风险,以寻求机会; 消除风险源; 一改变可能性; 一改变后果; 一分担风险(如通过签订合同,购买保险); 慎重考虑后决定保留风险玻璃钢管标准, 采取风险应对的理由不仅考虑经济因素,还宜考虑所有的组织义务、自愿性承诺和利益相关者的观 点。可依据组织目标、风险准则和可用资源选择风险应对方案。 选择风险应对方案时,组织宜考虑利益相关者的价值观、认知和潜在参与程度以及与其沟通和协商 的最佳方式。虽然效果相同,但某些风险应对方案相比其他方案更能被某些利益相关者接受。 虽然经过谨慎的设计和实施,但风险应对不一定产生预期结果,甚至可能产生意外的后果。监督和 检查宜作为风险应对实施的一部分,以确保不同形式的风险应对持续有效。 风险应对还可能产生需要加以管理的新风险。 如果没有可用的应对方案或者应对方案不足以改变风险,组织可将这些风险记录下来,并持续 银踪。 决策者和其他利益相关者宜了解经风险应对后剩余风险的性质和程度。组织可记录剩余风险,对 其进行监督和检查,并适时采取进一步应对措施。

    6.5.3编制和实施风险应对计划

    风险应对计划的目的是明确如何实施所选定的应对方案,以便相关人员了解应对计划,并监测计划 实施进度。应对计划宜明确指明实施风险应对的顺序。 应对计划宜纳人管理计划和组织运营过程中,并征询利益相关者意见。 应对计划中提供的信息应包括: 选择应对方案的理由,包括可获得的预期收益; 批准和实施计划的责任人:

    拟采取的措施行动,包括应急预案; 所需要的资源,包括风险准备; 绩效考核的标准和方法; 限制因素; 必要的报告和监测; 行动预期开展和完成的时间。

    拟采取的措施行动,包括应急预案; 所需要的资源,包括风险准备; 绩效考核的标准和方法; 限制因素; 必要的报告和监测; 行动预期开展和完成的时间。

    监督和检查的目的是确保和提升风险管理过程设计、实施和结果的质量和成效。宜将对风险管理 过程的持续监督和定期检查及其结果作为风险管理过程内计划性工作的组成部分,并明确界定责任。 监督和检查宜贯穿于风险管理过程的所有阶段。监督和检查包括计划、收集和分析信息、记录结果 和提供反馈, 监督和检查的结果宜纳人组织绩效管理、考核和报告活动中

    宜通过适当的工作机制,记录和报告风险管理过程及其结果。记录和报告旨在: 在组织各层级通报风险管理活动及结果; 为决策制定提供信息; 改进风险管理活动; 促进与利益相关者的互动,包括各层级的风险责任人。 在决定创建、留存和处理所记录信息时,宜考虑(但不限于)信息的用途、敏感性及内外部环境。 报告是组织治理不可或缺的一部分,可提升与利益相关者的沟通质量,并为最高管理层和监督机构 履行职责提供支持。报告的考虑因素包括但不限于: 区分利益相关者及其具体信息需求和要求; 报告成本、频率和及时性; 报告方式; 信息与组织目标和决策的相关性

    产品质量标准GB/T243532022/ISO31000.2018

    ....
  • 相关专题: 风险  

相关下载

常用软件