风险管理(第5章)风险管理过程

风险管理过程riskmanagementprocess管理方针、程序和惯例对沟通、协商、明确环境、以及识别、分析、评价、处理、监测和评审风险活动的系统应用。风险管理过程2风险管理过程风险管理过程组成沟通和协商明确环境风险评估风险处理监测和评审记录风险管理过程4风险管理过程风险管理过程组成沟通和协商明确环境风险评估风险处理监测和评审记录风险管理过程5风险管理过程组成风险管理过程是组织管理的有机组成部分，嵌入在组织文化和实践当中，贯穿于组织的经营过程。风险管理过程由明确环境信息、风险评估、风险处理、监测和评审所描述的活动组成。风险评估包括风险识别、风险分析和风险评价等三个步骤。沟通和记录，应贯穿于风险管理过程6风险管理过程组成活动（1）沟通和协商（咨询）（2）明确环境（3）风险评估（4）风险处理（应对）（5）监测和评审（监督和检查）（6）记录风险管理过程8风险管理过程风险管理过程组成沟通和协商明确环境风险评估风险处理监测和评审记录风险管理过程9与利益相关者沟通和协商沟通和协商communicationandconsultation组织针对风险管理，提供、共享或获取信息，与利益相关方进行对话的持续和反复的过程。在风险管理过程的每一个阶段都应当与内部和外部利益相关者有效沟通和协商。沟通和协商计划宜在早期制定。该计划针对与风险本身、风险成因、风险后果（如果掌握）以及处理风险措施相关的问题。为确保实施风险管理过程的职责明确，以及利益相关者理解决策的基础和特定措施需求的原因，采取有效的外部和内部沟通和协商。沟通和协商10与利益相关者沟通和协商与利益相关者的沟通协商是重要的，由于他们基于对风险的感知，做出了对风险的判断。这些感知可以由于利益相关者的价值观、需求、臆断、概念和关注点的不同而变化。由于利益相关者的观点会对决策产生重大影响，因此他们的感知以被识别、记录、以及在决策过程中考虑。沟通和协商宜提供真实的、相关的、准确的、便于理解的交流信息，同时宜考虑到保密和个人诚实因素。沟通和协商11协商团队方法适当地帮助明确环境；确保利益相关者的利益被理解和考虑；帮助确保风险充分地被识别；将不同领域的专业知识一并用于分析风险；确保在界定风险准则和评定风险时，不同的观点被恰当地考虑；确保认同和支持风险处理（应对）计划；加强在风险管理过程中的变更管理；制定一个恰当的内部和外部沟通和协商计划。沟通和协商12风险管理过程风险管理过程组成沟通和协商明确环境风险评估风险处理监测和评审记录风险管理过程13明确组织环境（背景）明确环境（状况）establishingthecontext通过明确环境，组织明确其目标，界定风险管理应该考虑的外部和内部参数，并设置风险管理过程的范围和风险准则。尽管许多此类参数与风险管理框架设计时所考虑的参数类似，但在明确风险管理过程的状况时，这些参数需要细致地，特别是与特定风险管理过程联系起来考虑。明确环境14明确外部环境外部环境是组织在实现目标过程中所面临的外界环境的历史、现在和未来的各种相关信息。为保证在制定风险准则时能充分考虑外部利益相关者的目标和关注点，组织需要了解外部环境。外部环境以组织所处的整体环境为基础，包括法律和监管要求、利益相关者的诉求和与具体风险管理过程相关的其他方面的信息等。明确环境15外部环境信息包括但不限于：——国际、国内、地区及当地的政治、经济、文化、法律、法规、技术、金融以及自然环境和竞争环境；——影响组织目标实现的外部关键因素及其历史和变化趋势；——外部利益相关者及其诉求、价值观、风险承受度；外部利益相关者与组织的关系等。明确环境16明确内部环境内部环境是组织在实现目标过程中所面临的内在环境的历史、现在和未来的各种相关信息。风险管理过程要与组织的文化、经营过程和结构相适应，包括组织内影响其风险管理的任何事物。明确环境17明确内部环境组织需明确内部环境信息，因为：——风险可能会影响组织战略、日常经营或项目运营等各个方面，从而进一步会影响组织的价值、信用和承诺等；——风险管理在组织的特定目标和管理条件下进行；——具体活动的目标和有关准则应放到组织整体目标的环境中考虑。明确环境18理解内部环境是必要的，可包括，但不仅限于：——治理、组织结构、作用和责任；——方针、目标，为实现方针和目标制定的战略；——基于资源和知识理解的能力（如：资金、时间、人员、过程、系统和技术）；——与内部利益相关方的关系，内部利益相关者的观点和价值观；——组织的文化；——信息系统、信息流和决策过程；——组织所采用的标准、指南和模式；——合同关系的形式与范围。明确环境19明确风险管理过程状况确立组织活动的目标、策略、范围和参数，或风险管理过程应用到的组织的那些部分。风险管理宜充分考虑满足开展风险管理的资源需求。所需的资源、职责、权限和要保存的记录也宜予以规定。明确环境20风险管理过程的状况根据组织需求而变化。可以包括，但不仅限于：——确定风险管理活动的目标；——确定风险管理过程的职责；——确定所要开展的风险管理活动的范围以及深度、广度，包括具体的内涵和外延；——以时间和地点，界定活动、过程、职能、项目、产品、服务或资产；——界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系；明确环境21——确定风险评估的方法；——确定评价风险管理的绩效和有效性的方法；——识别和规定所必须要做出的决策；——确定所需的范围或框架性研究，它们的程度和目标，以及此种研究所需资源。对这些和其他相关因素的关注，有助于确保所采用的风险管理方法适合于环境、组织、以及影响目标实现的风险。明确环境22．确定风险准则（1）风险准则riskcriteria评价风险重要程度的依据。风险准则需体现组织的风险承受度，应反映组织的价值观、目标和资源。有些风险准则直接或间接反映了法律和法规要求或其他需要组织遵循的要求。风险准则应当与组织的风险管理方针一致。具体的风险准则应尽可能在风险管理过程开始时制定，并持续不断地检查和完善。明确环境23（2）确定风险准则时要考虑因素：可能发生的后果的性质、类型以及后果的度量；可能性的度量；可能性和后果的时限；风险的度量方法；风险等级的确定；利益相关者可接受的风险或可容许的风险等级；多种风险的组合的影响．明确环境24风险管理过程风险管理过程组成沟通和协商明确环境风险评估风险处理监测和评审记录风险管理过程25包括风险分析和风险评价在内的全部过程。风险评估过程包括：风险识别风险分析风险评价风险评估26风险评估有助于决策者对风险及其原因、后果和可能性有更充分的理解。为以下决策提供信息：（1）是否应该开展某些活动；（2）如何充分利用时机；（3）是否需要应对风险；（4）选择不同风险的应对策略；（5）确定风险应对策略的优先次序；（6）选择最适合的风险应对策略，将风险的不利影响控制在可以接受的水平。风险评估271.风险识别（1）风险识别的含义风险识别riskidentification发现、列举和描述风险要素的过程。风险识别是通过识别风险源、影响范围、事件及其原因和潜在的后果等，生成一个全面的风险列表。识别风险不仅要考虑有关事件可能带来的损失，也要考虑其中蕴含的机会。风险评估28（2）风险识别的过程进行风险识别时要掌握相关的和最新的信息，必要时，需包括适用的背景信息。除了识別可能发生的风险事件外，还要考虑其可能的原因和可能导致的后果，包括所有重要的原因和后果。不论风险事件的风险源是否在组织的控制之下，或其原因是否已知，都应对其进行识别。此外，要关注已经发生的风险事件，特别是新近发生的风险事件。识别风险需要所有相关人员的参与。组织所采用的风险识别工具和技术应当适合于其目标、能力及其所处环境。风险评估29（3）风险识别方法风险识别方法包括：基于证据的方法，例如检查表法以及对历史数据的审查；系统性的团队方法，例如一个专家团队可以借助于一套结构化的提示或问题来系统地识别风险；归纳推理技术，例如危险与可操作性分析（HAZOP）等。组织可利用各种支持性的技术来提高风险识别工作的准确性和完整性，包括头脑风暴法及德尔菲法等。风险评估30风险分析（1）风险分析的含义风险分析riskanalysis系统地运用相关信息来确认风险的来源，并对风险进行估计。风险分析要考虑导致风险的原因和风险源、风险事件的正面和负面的后果及其发生的可能性、影响后果和可能性的因素、不同风险及其风险源的相互关系以及风险的其他特性，还要考虑现有的管理措施及其效果和效率。风险评估31（2）风险分析的考虑要素在风险分析中，应考虑组织的风险承受度及其对前提和假设的敏感性，并适时与决策者和其他利益相关者有效地沟通．另外，还要考虑可能存在的专家观点中的分歧及数据和模型的局限性。（3）风险分析的方法根据风险分析的目的、获得的信息数据和资源，风险分析可以是定性的、半定量的、定量的或以上方法的组合。一般情况下，首先采用定性分析，初步了解风险等级和揭示主要风险。适当时，进行更具体和定量的风险分析。风险评估32（4）风险分析的结果后果和可能性可通过专家意见确定，或通过对事件或事件组合的结果建模确定，也可通过对实验研究或可获得的数据的推导确定。对后果的描述可表达为有形或无形的影响。在某些情况下，可能需要多个指标来确切描述不同时间、地点、类别或情形的后果。风险评估33（4）风险分析的结果定性评估半定量法定量分析（5）控制措施评估（6）后果分析（7）可能性分析和概率估计（风险估计）（8）初步分析（9）不确定性及敏感性因素风险评估34风险评价（1）．风险评价的含义风险评价riskevaluation将估计后风险与给定的风险准则对比，来决定风险严重性的过程。与组织确定的风险准则进行对照，以决定风险的水平并确定控制风险的优先顺序。经过风险评价，确定该风险是可承受还是需进行处理（分别采用风险规避、风险优化、风险转移或风险保留等措施）。风险评估35（2）风险评价决策风险评价利用风险分析过程中所获得的对风险的认识，来对未来的行动进行决策。道德、法律、资金以及包括风险偏好在内的其它因素也是决策的参考信息。决策包括：——某个风险是否需要应对；——风险的应对优先次序；——是否应开展某项应对活动；——应该采取哪种途径。风险评估36（3）风险评价结果风险评价的结果应满足风险应对的需要，否则，应做进一步分析。有时