IATF 16949中提到風險管理的要求,更多的是風險思維。
引 言
所有類型和規模的組織都面臨內部和外部的、使組織不能確定是否及何時實現其目標的因素和影響。這種不確定性所具有的對組織目標的影響就是“風險”。
組織的所有活動都涉及風險。組織通過識別、分析和評定是否運用風險處理修正風險以滿足它們的風險準則,來管理風險。通過這個過程,它們與利益相關方進行溝通和協商,監測和評審風險,以及為確保不再進一步需求風險處理而修正風險的控制措施。本國際標準詳細描述了這一系統的和邏輯的過程。
盡管所有的組織在某種程度上都在管理風險,本國際標準建立了一些為使風險管理變得有效而需要滿足的原則。本國際標準建議,組織制定、實施和持續改進一個框架,其目的是將風險管理過程整合到組織的整體治理、戰略和規劃、管理、報告過程、方針、價值觀和文化中。
風險管理可以在組織多個領域和層次、任何時間,應用到整個組織,以及具體職能、項目和活動。
盡管在過去一段時間在許多行業,為滿足不同的需要,已經開展了風險管理實踐,但在一個綜合框架內采用一致性過程有助于確保在組織內有效、有效率和結合性地管理風險。本國際標準中所描述的通用方法提供了在任何范圍和狀況下,以系統、清晰、可靠的方式管理風險的原則和指南。
每一個具體行業或風險管理的應用都產生了各自的需求、受眾、觀念和準則。因此,本國際標準的主要特點是將所包含“確定狀況”作為通用風險管理過程開始的活動。確定狀況將捕獲組織的目標,組織所追求目標的環境,組織的利益相關方和風險準則的多樣性,所有這些都將幫助揭示和評價風險的性質和復雜性。
本國際標準描述的風險管理原則、框架和風險管理過程之間的關系,如圖1所示。
當依據本國際標準實施和保持風險管理時,能夠使組織,例如:
—— 提高實現目標的可能性;
—— 鼓勵主動性管理;
—— 在整個組織意識到識別和處理風險的需求;
—— 改進機會和威脅的識別能力;
—— 符合相關法律法規要求和國際規范;
—— 改進強制性和自愿性報告;
—— 改善治理;
—— 提高利益相關方的信心和信任;
—— 為決策和規劃建立可靠的根基;
—— 加強控制;
—— 有效地分配和利用風險處理的資源;
—— 提高運營的效果和效率;
—— 增強健康安全績效,以及環境保護;
—— 改善損失預防和事件管理;
—— 減少損失;
—— 提高組織的學習能力
—— 提高組織的應變能力
本國際標準旨在滿足眾多利益相關方的需求,包括:
a)負責制定組織風險管理方針的人員;
b)負責確保在組織整體、或者某一特定區域、項目或者活動內有效開展風險管理的人員;
c)需要評定組織風險管理有效性的人員;
d)整體或部分地實施風險管理的標準、指南、程序和操作規范的開發者。
目前許多組織的管理實踐和過程包含了風險管理的要素,許多組織針對特定類型的風險或環境下已經采用了正式的風險管理過程。在這種情況下,組織可以決定對照本國際標準對其現有的實踐和過程開展嚴格的評審。
在本國際標準中,“風險管理(risk management)”和“管理風險(managing risk)”都在使用。在通常的術語意義上,“風險管理(risk management)”涉及的有效管理風險的構架(原則,框架和過程),而“管理風險(managing risk)”指的是運用該架構管理特定風險。
圖表1 風險管理原則、框架、過程之間的關系
風險管理-原則和指南
1 范圍
本國際標準提供了風險管理的原則和通用性指南。
本國際標準可用于任何公共、私有或公有企業、協會,團體或個體。因此,本國際標準不針對任何特定行業或部門。
注:為方便起見,本國際標準涉及的所有不同的用戶以通用術語“組織”稱謂。
本國際標準可用于整個組織的生命周期及廣泛的活動,包括戰略和決策、運營、過程、職能、項目、產品、服務和資產。
本國際標準可以應用于任何類型的風險,無論其性質及是否有積極或消極的后果。
盡管本國際標準提供了風險管理的通用性指南,但不宜針對組織促進風險管理的統一性。風險管理計劃和框架的設計和實施需要考慮到特定組織的不同需求、特定目標,狀況、結構、運營、過程、職能、項目、產品、服務、或資產以及展開的具體實踐。
意在運用本國際標準來協調現有和將來標準的風險管理過程。本標準提供了一個支持其他標準處理特定風險和行業風險的通用方法,而不是取代這些標準。
本國際標準不宜針對認證意圖。
2 術語和定義
下列術語和定義適用本標準。
2.1 風險 risk
不確定性對目標的影響
注1:影響是與期待的偏差——積極和/或消極
注2:目標可以有不同方面(如財務、健康安全、以及環境目標),可以體現在不同的層次(如戰略、組織范圍、項目、產品和過程)。
注3:風險通常以潛在事件(2.19)和后果(2.20),或它們的組合來描述。
注4:風險通常以事件(包括環境的變化)后果和發生可能性(2.21)的組合來表達。
注5:不確定性是指,與事件和其后果或可能性的理解或知識相關的信息的缺陷的狀態,或不完整。
[ISO導則 73:2009. 定義1.1]
2.2 風險管理 risk management
針對風險指揮和控制組織的協調活動。
[ISO 導則 73:2009. 定義 2.1]
2.3 風險管理框架 risk management framework
提供在組織內設計、實施、監測(2.28)、評審和持續改進風險管理(2.2)的基本原則和組織安排的要素集合。
注1:基本原則包括管理風險的方針、目標、指令和承諾。
注2:組織安排包括計劃、關系、責任、資源、過程和活動。
注3:風險管理框架被嵌入到組織的整個戰略和運營的方針和實踐中
[ISO 導則 73:2009. 定義 2.1.1]
2.4 風險管理方針 risk management policy
一個組織對風險管理的意圖和方向的陳述。
[ISO 導則73:2009. 定義 2.1.2]
2.5 風險態度 risk attitude
組織評價、最終追蹤、保留、消除或規避風險的方法。
[ISO 導則 73:2009. 定義 3.7.1.1]
2.6 風險管理計劃 risk management plan
在風險管理框架內規定用于風險管理的方法、管理要素、資源的方案。
注1:管理要素一般包括程序、慣例、職責分配、活動順序和時間安排。
注2:風險管理計劃可應用于特定的產品、過程和項目、組織的部分或整體。
[ISO 導則 73:2009. 定義2.1.3]
2.7 風險所有者 risk owner
具有風險管理權限和責任的個人或實體。
[ISO 導則 73:2009. 定義 3.5.1.4]
2.8 風險管理過程 risk management process
管理方針、程序和慣例對溝通、協商、確定狀況、以及識別、分析、評價、處理、監測和評審風險活動的系統應用。
[ISO 導則 73:2009. 定義 3.1]
2.9 確定狀況 establishing the context
界定外部和內部參數,以便在管理風險和設置風險管理方針的范圍及風險準則時,予以考慮。
[ISO 導則 73:2009. 定義 3.3.1]
2.10 外部狀況 external context
組織尋求實現其目標的外部環境。
注:外部環境可包括:
—— 文化、社會、政治、法律法規、財政金融、技術、經濟、自然和競爭環境,無論國際、國家、區域或地方
—— 對組織目標具有影響的主要驅動和趨勢。
—— 與外部利益相關方的關系和其感受和價值觀。
[ISO 導則 73:2009.定義 3.3.1.1]
2.11 內部狀況 internal context
組織尋求實現其目標的外部環境。
注:內部狀況可包括:
—— 治理、組織結構、作用和責任;
—— 方針、目標、以及實現它們的戰略;
—— 以資源和知識來理解的能力(如資本、時間、人員、過程、系統和技術);
—— 信息系統、信息流和決策過程(正式和非正式的);
—— 與內部利益相關方的關系、以及他們的感受和價值觀;
—— 組織的文化;
—— 標準、指南和組織采用的模式;
—— 合同關系的形式和范圍
[ISO 導則 73:2009.定義 3.3.1.2]
2.12 溝通和協商 communication and consultation
組織針對風險管理,提供、共享或獲取信息,與利益相關方進行對話的持續和反復的過程。
注1:信息涉及風險管理的存在、性質、形式、可能性、嚴重程度、評定、可接受性、處理。
注2:協商是組織與它的利益相關方,在做出決策或確定某一問題的方向前,針對問題雙向有事實依據的溝通的過程。協商是:
—— 通過影響力而非權力對決策施加影響;
—— 作為決策的輸入,而非加入決策。
[ISO 導則 73:2009. 定義 3.2.1]
2.13 利益相關方 stakeholder
可以影響、被影響、或者覺得自己會被決策或活動影響的個人或組織。
注:決策者可以是利益相關者。
[ISO 導則 73:2009. 定義 3.2.1.1]
2.14 風險評價 risk assessment
風險識別(2.15)、風險分析(2.21)和風險評定(2.24)的整個過程。
[ISO 導則 73:2009. 定義 3.4.1]
2.15 風險識別 risk identification
發現、認識、描述風險的過程。
注1:風險識別包括風險源(2.16)、事件(2.17)、它們的起因及潛在后果的確定。
注2:風險識別會涉及歷史數據、技術分析、有事實依據的和專家的觀點、以及利益相關方的需求。
[ISO 導則 73:2009. 定義 3.5.1]
2.16 風險源 risk source
單獨地或以結合的形式具有產生風險的內在可能性的因素。
注:一個風險源可以是有形的或者無形的。
[ISO 導則 73:2009.定義 3.5.1.1]
2.17 事件 event
特殊系列環境的產生或變化。
注1:.一個事件可以是一個或多個事變,會有多種原因。
注2:事件可以由一些不發生的事情構成。
注3:事件有時被稱作“事件(incident)”或“事故(accident)”。
注4:.沒有后果的事件可以被稱作“near miss”、“incident”、“near hit” 、 “close call”。
[ISO 導則 73:2009. 定義 3.5.1.2]
2.18 后果 consequence
事件對目標的影響結果。
注1:一個事件可以產生一系列的后果。
注2:后果可以是確定或不確定的,以及對目標具有積極或消極的影響。
注3:后果可以被定性或定量地表述。
注4:初步的后果通過連鎖效應可以逐步升級。
[ISO 導則 73:2009. 定義 3.6.1.3]
2.19 可能性 likelihood
某事發生的機會。
注1:在風險管理術語學中,“可能性”是指事情發生的機會,不論是明確的、測量的,還是客觀或主觀地、定性或定量地確定的,以及一般性或精確地描述(如在一定時段內的可能性和頻率)。
注2:英文“likelihood”在一些語言中沒有直接對應的等同詞,而同義詞“probability”經常被使用。然而,在英文中,“probability”通常被狹義地理解為數學術語。因此,在風險管理術語學中,“likelihood”以它在許多非英語國家語言中的“probability”所具有的同樣的廣泛理解來使用。
[ISO 導則 73:2009. 定義 3.6.1.1]
2.20 風險狀況 risk profile
任何系列風險(2.1)的描述。
注:該系列風險可包含與整個組織、組織的部分或者其他特定部分相關聯的風險。
[ISO Guide 73:2009. definition 3.8.2.5]
2.21 風險分析 risk analysis
理解風險(2.1)的性質和確定風險程度(2.23)的過程。
注1:風險分析為風險評定和風險處理決策提供了基礎。
注2:風險分析包括風險估測。
[ISO 導則 73:2009. 定義 3.6.1]
2.22 風險準則 risk criteria
評價風險重要性的依據。
注1:.風險準則基于組織的目標和內外部狀況。
注2:風險準則可出自于標準、法律、方針和其他要求。
[ISO 導則 73:2009. 定義 3.3.1.3]
2.23 風險程度 risk level
以后果和可能性的組合表達的風險的量或組合結果。
[ISO 導則 73:2009. 定義 3.6.1.8]
2.24 風險評定 risk evaluation
將風險分析的結果與風險準則進行比較,以確定風險和(或)其量是否可接受或可容許。
注:風險評定有助于有關風險處理的決策。
[ISO 導則 73:2009. 定義 3.7.1]
2.25 風險處理 risk treatment
修正風險的過程。
注1:風險處理可包括:
—— 通過決定不啟動或停止產生風險的活動而避免風險。
—— 為了追求機會采取或增加風險。
—— 消除風險源。
—— 改變可能性。
—— 改變后果。
—— 與其他方面共同分擔風險(包括合同、風險融資)。
—— 通過有事實依據的決策保留風險。
注2:對消極后果的風險處理有時可以稱為“風險減緩(risk mitigation)”、“風險消除(risk eliminate)”、“風險預防(risk prevention)”和“風險減小(risk reduction)”。
注3:風險處理可以產生新的風險或修正已存在的風險。
[ISO 導則 73:2009. 定義 3.8.1]
2.26 控制措施 control
修正風險的措施。
注1:控制措施包括任何過程、方針、手段、慣例或其他修正風險的措施。
注2:控制措施可能不總是產生預期或設想的修正效果。
[ISO 導則 73:2009. 定義 3.8.1.1]
2.27 殘留風險 residual risk
風險處理后余留下的風險。
注1:殘留風險可包括未識別的風險。
注2:殘留風險也可被認作“保留的風險(retain risk)。
[ISO 導則 73:2009.定義3.8.1.6]
2.28 監測 monitoring
不斷檢查、監督、嚴格觀察或確定狀態,以識別所要求或期待的績效水平的變化。
注:監測可應用于風險管理框架、風險管理過程、風險或控制措施。
[ISO 導則 73:2009. 定義 3.8.2.1]
2.29 評審 review
為達到所建立的目標,確定有關事務的適宜性、充分性和有效性所采取的活動。
注:評審可應用于風險管理框架、風險管理過程、風險或控制措施。
[ISO 導則73:2009. 定義3.8.2.2]
3 原則
為了風險管理有效,組織宜在各個層次遵循以下原則。
a)風險管理創造和保護價值
風險管理有助于目標明確的實現和績效的改進,例如,在人員的健康安全、治安、法律法符合性、公眾接受性、環境保護、產品質量、項目管理、運營效率、治理和聲譽方面。
b)風險管理是整合在所有組織過程中的部分
風險管理不是與組織的主要活動和過程分開的孤立活動。風險管理是管理職責的部分和整合在所有組織過程中的部分,包括戰略規劃、所有項目、變更管理過程。
c)風險管理支持決策
風險管理可以幫助決策者做出明智的選擇、優先的措施和辨別行動方向。
d)風險管理明晰解決不確定問題
風險管理明確地闡述不確定性、不確定性的性質、以及如何加以解決。
e)風險管理具備系統、結構化和及時性
系統、及時和結構化的風險管理方法有助于提高效率和取得一致、可衡量和可靠的結果。
f)風險管理基于最可用的信息
風險管理過程的輸入基于信息源,如歷史數據、經驗、利益相關方的反饋、觀察、預測和專家判斷。然而,決策者宜告誡自身和考慮,數據或所使用模型的局限性,或者專家之間分歧的可能性。
g)風險管理是量體裁衣的
風險管理是與組織的外部和內部狀況及風險狀況相匹配的。
h)風險管理考慮人文因素
風險管理認識到可以促進或阻礙組織目標實現的內部和外部人員的能力、觀念和意圖。
i)風險管理是透明和包容的
利益相關方、尤其是組織各層面的決策者適當、及時的參與,確保了風險管理保持相關和先進性。參與過程也允許利益相關方適當地發表意見,并將其觀點考慮到風險準則的確定中。
j)風險管理是動態、迭代和應對變化的
風險管理持續察覺和響應變化。由于外部和內部事件發生,狀況和知識在改變,風險的監測和評審在進行,新的風險出現,一些風險在改變,而另一些風險消失了。
k)風險管理實現組織的持續改進
組織宜制定和實施戰略,協同組織的其他方面共同改進風險管理的成熟度。
附件A為希望更有效地實施管理風險的組織提供了進一步的建議。
4 框架
4.1 總則
風險管理的成功取決于提供將風險管理嵌入整個組織所有層次的基礎和安排的管理框架的有效性。框架有助于通過在組織不同層次和特定狀況內應用風險管理過程,有效地管理風險。框架確保從風險管理過程取得的風險信息充分地被報告,以及作為決策和所有相關組織層次責任的基礎。
本條款描述了風險管理框架的必要要素和其以迭代的方式相互作用的方法,如圖2.
圖2 風險管理框架要素間的相互關系
本框架目的不是規定一個管理體系,而是有助于組織將風險管理整合到它的整個管理體系中。因此,組織宜使框架的要素適用于其特定的需求。
如果組織現存的管理實踐和過程包含風險管理要素,或者如果組織已經針對特定的風險或狀況采納了一個正式的風險管理過程,那么對原有的這些實踐和過程宜針對本標準進行評審和評價,包括附錄A中包含的附加內容,以確定它們的充分性和有效性。
4.2 指令和承諾
風險管理的引入和確保它的持續有效需要組織管理著強有力和持續的承諾,以及為實現承諾在所有層次戰略的和嚴密的策劃。管理者宜:
確定和簽署風險管理方針;
確保組織的文化和風險管理方針一致;
確定與組織績效參數一致的風險管理績效參數;
使風險管理目標與組織的目標和戰略一致;
確保法律法規的復合性;
在組織內適當的層次分配責任和職責;
確保為風險管理配置必要的資源;
將風險管理的益處通報給所有的利益相關方;
確保風險管理框架持續保持適宜。
4.3 風險管理框架的設計
4.3.1 理解組織和其狀況
在開始設計和實施風險管理框架前,評價和理解組織內外部的狀況是重要的,因為這會對框架的設計產生顯著的影響。
評價組織外部狀況可以包括,但不限于:
a)社會和文化、政治、法律法規、財務、技術、經濟、自然和競爭環境,無論國際、國內、區
域和當地;
b)影響組織目標的動力和趨勢;
c)與外部利益相關方的關系,以及它們的感受和價值觀。
評價組織內部狀況可以包括,但不限于:
—— 管理方法、組織結構、作用和責任;
—— 方針、目標,以及為實現它們所制定的戰略;
—— 以資源和知識來理解的能力(例如,資本、時間、人員、過程、系統和技術);
—— 信息系統、信息流和決策過程(正式和非正式的);
—— 與內部利益相關方的關系,以及它們的感受和價值觀;
—— 組織的文化;
—— 被組織采用的標準、指南和模型;
—— 合同關系的形式和范圍。
4.3.2 建立風險管理方針
風險管理方針宜清楚闡明組織風險管理的目標和承諾,特別要針對:
—— 組織管理風險的基本原理;
—— 組織目標和方針與風險管理方針的聯系;
—— 管理風險的責任和職責;
—— 處理利益沖突的方法;
—— 提供有助于管理風險必要資源的承諾;
—— 風險管理績效測量和報告的方法;
—— 對定期評審和改進風險管理方針和框架,以及對事件和環境變化做出響應的承諾。
風險管理方針宜適當地溝通。
4.3.3 責任
組織宜確保具備管理風險的責任、權限和適當的能力,包括實施和保持風險管理過程和確保任何控制措施的充分性、有效性和效率。這可通過如下途徑來實現:
—— 確定有責任和權利管理風險的風險擁有者;
—— 確定負責建立、實施和保持風險管理框架的人員;
—— 確定組織所有層次人員的風險管理過程的其他職責;
—— 建立績效測量和內部和外部報告和逐級報告過程;
—— 確保確定的合適程度。
4.3.4 整合到組織的過程
風險管理宜益相關、有效和有效率的方式嵌入到所有組織的實踐和過程中。風險管理過程宜變成組織過程的部分,而不是分離的。特別是,風險管理宜嵌入方針制定、商業和戰略策劃和評審和變更管理過程中。
宜具備一個組織的廣泛風險管理計劃以確保風險管理方針的實施和將風險管理嵌入全部組織的實踐和過程中。風險管理計劃可以整合到組織其他的計劃中,如戰略計劃。
4.3.5 資源
組織宜為風險管理配置適當的資源。
對如下方面宜予以考慮:
—— 人員、技能、經驗和能力;
—— 對于風險管理過程的每步驟所需的資源;
—— 用于管理風險的組織的過程、方法和工具;
—— 形成文件的過程和程序;
—— 管理體系的信息和知識;
—— 培訓方案。
4.3.6 建立內部溝通和報告機制
組織宜建立內部溝通和報告機制,用于支持和促進風險的責任和歸屬。這些機制宜確保:
—— 風險管理框架的關鍵要素和任何后續的更改被適當地溝通;
—— 對框架和其有效性及結果在內部充分地予以報告;
—— 風險管理的相關信息在適當的層次和時間予以獲得;
—— 與內部利益相關方的協商過程被予以提供。
適當時,這些機制宜包括基于多源頭強化風險信息的過程,以及可能需要考慮信息的敏感性。
4.3.7 建立外部溝通和報告機制
組織宜制定和實施一個關于如何與外部利益相關方溝通的計劃。
這宜包括:
—— 吸引適當的外部利益相關方的關注和確保有效的信息交流;
—— 對外報告法律法規和管理要求的遵守情況;
—— 對溝通和協商進行報告和反饋;
—— 運用溝通來建立組織的信心;
—— 向利益相關方溝通緊急或突發事件。
適當時,這些機制宜包括基于多源頭強化風險信息的過程,以及可能需要考慮信息的敏感性。
4.4 實施風險管理
4.4.1 實施管理風險的框架
在實施組織的管理風險的框架時,組織宜:
—— 確定實施框架的適當時間安排和策略;
—— 將風險管理方針和過程應用到組織的過程;
—— 遵守法律法規要求;
—— 確保決策,包括目標的制定和設立,與風險管理過程輸出結果一致;
—— 舉行信息和培訓會議;
—— 與利益相關方進行溝通和協商以確保其風險管理框架保持正確;
4.4.2 實施風險管理過程
風險管理宜通過確保將第五章描述的風險管理過程通過風險管理計劃作為組織實踐和過程的一部分應用到組織相關職能和層次。
4.5 框架的監測和評審
為了確保風險管理有效和持續改進組織的績效,組織宜:
—— 針對適當定期評審的參數測量風險管理績效;
—— 定期測量風險管理計劃的進展和偏離;
—— 基于組織的內部和外部狀況,定期評審風險管理框架、方針和計劃是否仍然適宜;
—— 報告風險、風險管理計劃的進展和風險管理方針如何較好地執行;
—— 評審風險管理框架的有效性。
4.6 框架的持續改進
基于監測和評審結果,宜做出如何可以改進風險管理框架、方針和計劃的決策。這些決策宜致使組織的風險管理和風險管理文化的改進。
5 過程
5.1 總則
風險管理過程宜是:
—— 整合到管理中的的一部分;
—— 嵌入文化和實踐之中;
—— 針對組織的經營過程制作。
它由5.2到5.6描述的活動組成。風險管理過程如圖3.
圖表3-風險管理過程
5.2 溝通和協商
與內、外部利益相關方溝通和協商宜在風險管理過程所有階段進行。
因此,溝通和協商計劃宜在早期制定。該計劃宜針對與風險本身、風險成因、風險后果(如果掌握)以及處理風險措施相關的問題。為確保實施風險管理過程的職責明確,以及利益相關方理解決策的基礎和特定措施需求的原因,宜采取有效的外部和內部溝通和協商。
協商團隊方法可以:
—— 適當地幫助明確狀況;
—— 確保利益相關方的利益被理解和考慮;
—— 幫助確保風險充分地被識別;
—— 將不同領域的專業知識一并用于分析風險;
—— 確保在界定風險準則和評定風險時,不同的觀點被恰當地考慮;
—— 確保認同和支持處理計劃;
—— 加強在風險管理過程中的變更管理;
—— 制定一個恰當的內部和外部溝通和協商計劃。
與利益相關方的溝通協商是重要的,由于他們基于對風險的感知,做出了對風險的判斷。這些感知可以由于利益相關方的價值觀、需求、臆斷、概念和關注點的不同而變化。由于利益相關方的觀點會對決策產生重大影響,因此他們的感知以被識別、記錄、以及在決策過程中考慮。
溝通和協商宜提供真實的、相關的、準確的、便于理解的交流信息,同時宜考慮到保密和個人誠實因素。
5.3 明確狀況
5.3.1 總則
通過明確狀況,組織明確其目標,界定管理風險要考慮的外部和內部參數,確定風險管理過程的范圍和風險準則。盡管許多此類參數與風險管理框架設計時所考慮的參數類似(參見4.3.1),但在明確風險管理過程的狀況時,這些參數需要細致地,特別是與特定風險管理過程聯系起來考慮。
5.3.2 明確外部狀況
外部狀況是指組織尋求實現其目標的外部環境。
為了確保在建立風險準則時,目標和外部利益相關方的關注點被予以考慮,理解外部狀況是重要的。它基于組織寬泛的狀況,但具備法律法規要求的具體細節、利益相關方的觀點、風險管理過程范圍風險的其他因素。
外部狀況可以包括,但不局限于:
—— 社會、文化、政治、法律法規、金融、技術、經濟、自然和競爭環境,無論國際、國內、區域,還是本地的;
—— 影響組織目標的主要動力和趨勢;
—— 與外部利益相關方的關系,外部利益相關方的觀點和價值觀。
5.3.3 明確內部狀況
內部狀況是指組織尋求實現其目標的內部環境。
風險管理過程宜與組織的文化、過程、結構和戰略相一致。內部狀況是組織內能夠影響管理風險方法的方面。內部狀況宜明確,因為:
a)風險管理是在組織的目標狀況下進行;
b)具體項目、過程或活動的目標和準則,宜依據組織的整體目標予以考慮;
c)一些組織未能意識到實現它們戰略、項目或經營目標的機會,這影響了持續的組織承諾、信譽、誠信和價值觀。
理解內部狀況是必要的,這可包括,但不僅限于:
—— 治理、組織結構、作用和責任;
—— 方針、目標,為實現方針和目標制定的戰略;
—— 基于資源和知識理解的能力(如:資金、時間、人員、過程、系統和技術);
—— 與內部利益相關方的關系,內部利益相關方的觀點和價值觀;
—— 組織的文化;
—— 信息系統、信息流和決策過程(正式與非正式);
—— 組織所采用的標準、指南和模式;
—— 合同關系的形式與范圍。
5.3.4明確風險管理過程狀況
宜確立組織活動的目標、策略、范圍和參數,或風險管理過程應用到的組織的那些部分。風險管理宜充分考慮滿足開展風險管理的資源需求。所需的資源、職責、權限和要保存的記錄也宜予以規定。
風險管理過程的狀況根據組織需求而變化。它可以包括,但不僅限于:
—— 確定風險管理活動的目標;
—— 確定風險管理過程的職責;
—— 確定所要開展的風險管理活動的范圍以及深度、廣度,包括具體的內涵和外延;
—— 以時間和地點,界定活動、過程、職能、項目、產品、服務或資產;
—— 界定組織特定項目、過程或活動與其他項目、過程或活動之間的關系;
—— 確定風險評價的方法;
—— 確定評價風險管理的績效和有效性的方法;
—— 識別和規定所必須要做出的決策;
—— 確定所需的范圍或框架性研究,它們的程度和目標,以及此種研究所需資源。
對這些和其他相關因素的關注,有助于確保所采用的風險管理方法適合于環境、組織、以及影響目標實現的風險。
5.3.5 確定風險準則
組織宜確定用于評定風險重要性的準則。該準則宜反映組織的價值觀、目標和資源。一些準則可以服從或引用法律法規要求或組織簽署的其他要求。風險準則宜與組織風險管理方針一致(見4.3.2),在風險管理過程開始時予以確定,并予以持續評審。
當確定風險準則時,要考慮的因素宜包括如下:
—— 可以出現的致因和后果的性質和類別,以及如何予以測量;
—— 可能性如何確定;
—— 可能性和(或)后果的時間范圍;
—— 風險程度如何確定;
—— 利益相關方的觀點;
—— 風險可接受或可容許的程度;
—— 多種風險的組合是否予以考慮,如果是,如何考慮及哪種風險組合宜予以考慮。
5.4 風險評價
5.4.1 總則
風險評價是風險識別、風險分析和風險評定的總的過程。
注:ISO/IEC 31010 提供了風險評價技術指南。
5.4.2 風險識別
組織宜識別風險源、影響區域、事件(包括環境變化)以及致因和潛在后果。此步驟的目的是產生一個基于哪些可能產生、增強、阻礙、加快或推遲目標實現的事件的風險的綜合表格。識別與不尋求機會相關的風險是重要的。綜合識別是非常重要的,因為此階段沒有識別的風險將不會包含在進一步的分析中。
識別宜包括其源是否在組織的控制下的風險,即使風險源或致因可能不明顯。風險識別宜包括考查特定后果直接影響,包括聯鎖和累積影響。也要考慮寬范圍的后果,即使風險源或致因可能不明顯。也要識別什么可能發生,考慮表明什么后果可以出現的可能致因和場景是必要的。所有重要的致因和后果宜予以考慮。
組織宜應用適合其目標、能力及所面臨風險的風險識別工具和技術。在識別風險時,相關和最新的信息是重要的。這宜包括可能的適當背景信息。具有適當知識的人員宜參與到識別風險中。
5.4.3 風險分析
風險分析涉及開展風險的理解。風險分析為風險評定和確定風險是否需要處理以及最適合的風險處理策略和方法,提供了輸入。風險分析也可以為必須做出選擇及選擇涉及不同類型和程度的風險的決策,提供輸入。
風險分析包括考慮風險的致因和來源,以及所帶來的正面和負面的后果及這些后果發生的可能性。影響后果的因素和可能性宜被識別。通過確定后果和其可能性、以及其他風險特性,來進行風險分析。一個事件可以有多種結果并可以影響多重目標。現存的控制措施和其效果和效率也宜被考慮在內。
后果和可能性的表述方式,以及它們組合確定風險程度的方式,宜反映風險類型、可獲得的信息、以及運用風險評價輸出的意圖。這些全部都宜符合風險準則。考慮不同風險和其源的相互依賴也是重要的。
風險程度的確定和其前提和假設的敏感性的信心,宜在風險分析中予以考慮,并有效溝通給決策者以及適當的利益相關方。諸如專家間觀點的分歧、不確定性、可用性、質量、數量、信息的持續相關性、或模型的局限性等因素,宜予以闡述和可以重點強調。
風險分析可以在不同程度的細節上進行,這取決于風險本身、分析目的、可用的信息、數據和來源。依據環境條件,分析可以定性的、半定量或定量的,也可以是組合的方式。
后果和其可能性可以通過模擬一個或一系列事件的結果,或由實驗研究或可用數據推斷確定。后果可基于有形和無形的影響表述。在某些情況下,一個以上的數值或描述,需要界定對于不同時間、地點、團體或狀況的后果和其可能性。
5.4.4 風險評定
風險評價的目的是,基于風險分析的結果,幫助做出有關風險需要處理和處理實施優先的決策。
風險評定包括將分析過程中確定的風險程度與在明確狀況時建立的風險準則進行比較。基于這種比較,處理需求可予以考慮。
決策宜考慮更為寬泛風險含義,包括考慮風險獲益組織外的團體對風險的容忍性。決策宜依據法律法規和其他要求做出。
在某些情況下,風險評定可導致對決策的進一步分析。風險評定也可導致,除了保持現存措施,不以任何方式處理風險的決策。通過組織的風險態度和已建立的風險準則,對此決策施加影響。
5.5 風險處理
5.5.1 總則
風險處理包括選擇一種或幾種修正風險的方案,以及實施那些方案。一旦實施了方案,處理提供或改進了控制措施。
風險處理包括了一個循環過程:
—— 評價風險處理;
—— 確定殘留風險程度是否可容許;
—— 如果不可容許,產生新的風險處理;
—— 評價該處理的有效性。
風險處理方案不必互相排斥或適宜所有情況。方案可以包括以下內容:
a)通過決定不開展或停止產生風險的活動,來規避風險;
b)為尋求機會,接受或提高風險;
c)消除風險源;
d)改變可能性;
e)改變后果;
f)與另一方或多方共擔風險(包括合約和風險融資);
g)通過有事實依據的決策,保留風險。
5.5.2 選擇風險處理方案
選擇最合適的風險處理方案包括,針對以法律法規和諸如社會責任和自然環境保護的其他要求所獲得的利益,平衡成本和實施的工作量。決策也宜考慮可以批準在經濟層面上不合理的風險處理的風險,例如,嚴重的(高負面后果)但稀少(低可能性)的風險。
一些方案是可以單獨或綜合考慮或應用。組織一般可以從綜合方案的采用獲益。
當選擇風險處理方案時,組織宜考慮利益相關方的價值觀和觀點,以及與他們溝通最適合的方法。如果風險處理方案可以影響組織別處的風險或與利益相關方關聯的風險,這宜包含在決策中。盡管同樣有效,有些風險處理可以比其他一些更讓一些利益相關方接受。
風險處理計劃宜清晰確定每個風險處理宜實施的優先順序。
風險處理自身會引入風險。重要風險會是風險處理措施的故障或失效。監測需要成為風險處理計劃的整合部分和給出措施持續有效的保證。
風險處理也可引入需要評價、處理、監測和評審的次級風險。宜將這些次級風險結合到與原始風險同樣的處理計劃中,而不是作為新的風險處理。兩種風險的聯系宜確定和保持。
5.5.3 準備和實施風險處理計劃
風險處理計劃的目的是將如何實施已選擇的處理措施形成文件。將要實施的風險處理方案。處理計劃中提供的信息宜包括:
—— 選擇風險處理措施的原因,包括所期待獲得的效益;
—— 負責改進和實施計劃的人員;
—— 建議的措施;
—— 資源需求,包括緊急情況時;
—— 績效測量和控制;
—— 匯報及監測要求;
—— 時間和日程安排。
處理計劃宜組織管理過程整合并與適當的利益相關方討論。
決策者和其他利益相關方宜意識到風險處理后殘留風險的性質和程度。殘留風險宜形成文件并進行監測、評審,適當時,進一步處理。
5.6 監測和評審
監測和評審都宜是風險管理過程的已計劃的部分,包含常規檢查或監督。可以定期或不定期。
監測和評審的職責宜明確界定。
組織的監測和評審過程宜包含風險管理過程的所有方面,目的是:
—— 確保控制措施在設計和運行上有效和有效率;
—— 獲得進一步改進風險評價的信息;
—— 從事件(包括“near-miss)、變化、趨勢、成功和失敗中分析和吸取教訓;
—— 探測內外部狀況的變化,包括風險準則的變化和會需要修正風險處理和優先的風險自身;
—— 識別出現的風險。
在實施風險處理計劃的進程中需要績效測量。可將結果融入組織整體績效管理、測量和外部和內部報告活動中。
監測和評審的結果宜予以記錄和在內外部適當地報告,也可用作風險管理框架評審的輸入(見4.5)。
5.7 記錄風險管理過程
風險管理活動宜可追溯。在風險管理過程及整體過程中,記錄提供了方法和工具改進的基礎。
關于記錄的建立的決定宜考慮:
—— 組織持續學習的需求;
—— 出于管理意圖,重新使用信息益處;
—— 涉及建立和保持記錄的成本和工作量;
—— 對記錄的法律法規和運行需求;
—— 獲取的方法、檢索的難易和儲存媒介;
—— 保存期限;
—— 信息的敏感性。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!