风险管理框架

风险管理框架2019/8/251中国新时代认证中心主要内容风险管理框架总则风险管理的指令与承诺风险管理框架的设计风险管理的实施框架的监视与评审框架的持续改进2019/8/252中国新时代认证中心框架在风险管理中的角色2019/8/253中国新时代认证中心4.1总则----风险管理的成功取决于提供将风险管理嵌入整个组织所有层次的基础和安排的管理框架的有效性。框架有助于通过在组织不同层次和特定状况内应用风险管理过程，有效地管理风险。----框架确保从风险管理过程取得的风险信息充分地被报告，以及作为决策和所有相关组织层次责任的基础。----本条款描述了风险管理框架的必要要素和其以迭代的方式相互作用的方法。2019/8/254中国新时代认证中心风险管理框架的含义1、什么是“框架”？通常意义上的理解边界、基础要素、结构的集合2019/8/255中国新时代认证中心风险管理框架的含义2、风险管理框架提供在整个组织范围内设计、实施、监测、评审和持续改进风险管理的基本原则和组织安排的要素集合。2019/8/256中国新时代认证中心风险管理框架的含义基本原则包括风险管理的：方针目标指令和承诺等；组织层面的安排包括风险管理的：计划、关系、职责、资源、过程和活动2019/8/257中国新时代认证中心风险管理框架的含义嵌入到组织整体的战略以及运营方针和实践之中嵌入：非孤立存在；成为运行对象的一部分；整合高度成熟的一种状态；2019/8/258中国新时代认证中心风险管理框架要素间的相互关系指令和承诺(4.2)风险管理框架的设计(4.3)理解组织和其状况(4.3.1)建立风险管理方针(4.3.2)责任(4.3.2)融入组织的过程(4.3.4)资源(4.3.5)建立内部沟通和报告机制(4.3.6)建立外部沟通和报告机制(4.3.7)框架的持续改进(4.6)框架的监测和评审(4.5)实施风险管理(4.4)实施风险管理框架(4.4.1)实施风险管理过程(4.4.2)2019/8/259中国新时代认证中心4.1总则----本框架目的不是规定一个管理体系，而是有助于组织将风险管理整合到它的整个管理体系中。因此，组织宜使框架的要素适用于其特定的需求。----如果组织现存的管理实践和过程包含风险管理要素，或者如果组织已经针对特定的风险或状况采纳了一个正式的风险管理过程，那么对原有的这些实践和过程宜针对本标准进行评审和评价，以确定它们的充分性和有效性。2019/8/2510中国新时代认证中心4.2指令和承诺----风险管理的引入和确保它的持续有效需要组织管理者强有力和持续的承诺，以及为实现承诺在所有层次战略的和严密的策划。----管理者宜：确定和签署风险管理方针确保组织的文化和风险管理方针一致确定与组织绩效参数一致的风险管理绩效参数使风险管理目标与组织的目标和战略一致确保法律法规的复合性在组织内适当的层次分配责任和职责确保为风险管理配置必要的资源将风险管理的益处通报给所有的利益相关方确保风险管理框架持续保持适宜2019/8/2511中国新时代认证中心4.3风险管理框架的设计2019/8/25中国新时代认证中心124.3.1理解组织和其状况----在开始设计和实施风险管理框架前，评价和理解组织内外部的状况是重要的，因为这会对框架的设计产生显著的影响。----评价组织外部状况可以包括，但不限于：a)社会和文化、政治、法律法规、财务、技术、经济、自然和竞争环境，无论国际、国内、区域和当地b)影响组织目标的动力和趋势C)与外部利益相关方的关系，以及它们的感受和价值观2019/8/2513中国新时代认证中心4.3.1理解组织和其状况评价组织内部状况可以包括，但不限于：——管理方法、组织结构、作用和责任——方针、目标，以及为实现它们所制定的战略——以资源和知识来理解的能力（例如，资本、时间、人员、过程、系统和技术）——信息系统、信息流和决策过程（正式和非正式的）——与内部利益相关方的关系，以及它们的感受和价值观——组织的文化——被组织采用的标准、指南和模型——合同关系的形式和范围2019/8/2514中国新时代认证中心4.3.2建立风险管理方针风险管理方针宜清楚阐明组织风险管理的目标和承诺，特别要针对：——组织管理风险的基本原理；——组织目标和方针与风险管理方针的联系；——管理风险的责任和职责；——处理利益冲突的方法；——提供有助于管理风险必要资源的承诺；——风险管理绩效测量和报告的方法；——对定期评审和改进风险管理方针和框架，以及对事件和环境变化做出响应的承诺。风险管理方针宜适当地沟通。2019/8/2515中国新时代认证中心4.3.3责任组织宜确保具备管理风险的责任、权限和适当的能力，包括实施和保持风险管理过程和确保任何控制措施的充分性、有效性和效率。这可通过如下途径来实现：——确定有责任和权利管理风险的风险拥有者——确定负责建立、实施和保持风险管理框架的人员——确定组织所有层次人员的风险管理过程的其他职责——建立绩效测量和内部和外部报告和逐级报告过程——确保确定的合适程度2019/8/2516中国新时代认证中心4.3.4整合到组织的过程----风险管理宜益相关、有效和有效率的方式嵌入到所有组织的实践和过程中。风险管理过程宜变成组织过程的部分，而不是分离的。特别是，风险管理宜嵌入方针制定、商业和战略策划和评审和变更管理过程中。----宜具备一个组织的广泛风险管理计划以确保风险管理方针的实施和将风险管理嵌入全部组织的实践和过程中。----风险管理计划可以整合到组织其他的计划中，如战略计划。2019/8/2517中国新时代认证中心4.3.5资源----组织宜为风险管理配置适当的资源。----对如下方面宜予以考虑：——人员、技能、经验和能力——对于风险管理过程的每步骤所需的资源——用于管理风险的组织的过程、方法和工具——形成文件的过程和程序——管理体系的信息和知识——培训方案2019/8/2518中国新时代认证中心4.3.6建立内部沟通和报告机制组织宜建立内部沟通和报告机制，用于支持和促进风险的责任和归属。这些机制宜确保：——风险管理框架的关键要素和任何后续的更改被适当地沟通——对框架和其有效性及结果在内部充分地予以报告——风险管理的相关信息在适当的层次和时间予以获得——与内部利益相关方的协商过程被予以提供适当时，这些机制宜包括基于多源头强化风险信息的过程，以及可能需要考虑信息的敏感性。2019/8/2519中国新时代认证中心4.3.7建立外部沟通和报告机制组织宜制定和实施一个关于如何与外部利益相关方沟通的计划。这宜包括：——吸引适当的外部利益相关方的关注和确保有效的信息交流——对外报告法律法规和管理要求的遵守情况——对沟通和协商进行报告和反馈——运用沟通来建立组织的信心——向利益相关方沟通紧急或突发事件适当时，这些机制宜包括基于多源头强化风险信息的过程，以及可能需要考虑信息的敏感性。2019/8/2520中国新时代认证中心4.4实施风险管理2019/8/25中国新时代认证中心214.4.1实施管理风险的框架在实施组织的管理风险的框架时，组织宜：——确定实施框架的适当时间安排和策略——将风险管理方针和过程应用到组织的过程——遵守法律法规要求——确保决策，包括目标的制定和设立，与风险管理过程输出结果一致——举行信息和培训会议——与利益相关方进行沟通和协商以确保其风险管理框架保持正确2019/8/2522中国新时代认证中心4.4.1实施管理风险的框架定义合适的实施该框架的时间表和策略；为组织的过程应用风险管理方针和过程；符合法律法规要求；确保决策、包括建立和设定目标等与风险管理过程的输出相协调；保持信息和培训机制与相关方沟通和协商以确保其风险管理框架保持适宜2019/8/25中国新时代认证中心234.4.2实施管理风险过程风险管理宜通过确保将第五章描述的风险管理过程通过风险管理计划作为组织实践和过程的一部分应用到组织相关职能和层次。2019/8/2524中国新时代认证中心风险管理过程组成254.5框架的监测和评审为了确保风险管理有效和持续改进组织的绩效，组织宜：——针对适当定期评审的参数测量风险管理绩效——定期测量风险管理计划的进展和偏离——基于组织的内部和外部状况，定期评审风险管理框架、方针和计划是否仍然适宜——报告风险、风险管理计划的进展和风险管理方针如何较好地执行——评审风险管理框架的有效性2019/8/2526中国新时代认证中心4.5框架的监测和评审目的：持续有效地支持组织绩效手段：与指标进行对照评价风险管理计划的实施情况基于内外部环境的变化，对框架、方针和计划的持续适宜性进行评审风险报告、方针得到遵循的程度风险管理框架的有效性频次：周期性2019/8/25中国新时代认证中心274.6框架的持续改进基于监测和评审结果，宜做出如何可以改进风险管理框架、方针和计划的决策。这些决策宜致使组织的风险管理和风险管理文化的改进。2019/8/2528中国新时代认证中心4.6框架的持续改进改进的输入：监视和评审的结果改进的领域：改进风险管理的框架、方针和计划。改进的输出：组织风险管理和其风险管理文化的改进。2019/8/25中国新时代认证中心29