风险管理过程概述
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
14
3.明确环境
➢ 理解内部环境是必要的,可包括,但不仅限于: —— 治理、组织结构、作用和责任; —— 方针、目标,为实现方针和目标制定的战略; —— 基于资源和知识理解的能力(如:资金、时间 、人员、过程、系统和技术); —— 与内部利益相关方的关系,内部利益相关者的 观点和价值观; —— 组织的文化; —— 信息系统、信息流和决策过程; —— 组织所采用的标准、指南和模式; —— 合同关系的形式与范围。
✓ 归纳推理技术,例如危险与可操作性分析(HAZOP )等。
✓ 组织可利用各种支持性的技术来提高风险识别工 作的准确性和完整性,包括头脑风暴法及德尔菲 法等。
25
4.风险评估
4.3 风险分析
(1)风险分析的含义
系统地运用相关信息来确认风险的来源 ,并对 风险进行估计。 ➢ 风险分析要考虑导致风险的原因和风险源、风险 事件的正面和负面的后果及其发生的可能性、影 响后果和可能性的因素、不同风险及其风险源的 相互关系以及风险的其他特性,还要考虑现有的 管理措施及其效果和效率。
15
3.明确环境
3.4 明确风险管理过程状况
➢ 确立组织活动的目标、策略、范围和参数 ,或风险管理过程应用到的组织的那些部 分。风险管理宜充分考虑满足开展风险管 理的资源需求。
➢ 所需的资源、职责、权限和要保存的记录 也宜予以规定。
16
3.4 明确风险管理过程状况
➢ 风险管理过程的状况根据组织需求而变化。 可以包括,但不仅限于:
28
4.风险评估 4.3 风险分析
(4)风险分析的结果 ➢ 定性评估 ➢ 半定量法 ➢ 定量分析 (5)控制措施评估 (6)后果分析 (7)可能性分析和概率估计(风险估计) (8)初步分析 (9)不确定性及敏感性因素
29
4.风险评估
4.4 风险评价
(1)风险评价的含义 将估计后风险与给定的风险准则对比,
22
4.风险评估
4.2 风险识别
➢ 风险识别的含义 发现、列举和描述风险要素的过程。
➢ 风险识别的过程 ✓ 风险识别是通过识别风险源、影响范围、
事件及其原因和潜在的后果等,生成一个 全面的风险列表。识别风险不仅要考虑有 关事件可能带来的损失,也要考虑其中蕴 含的机会。
23
4.风险评估 4.2 风险识别
否则,应做进一步分析。 ➢ 有时,根据已经制定的风险准则,风险评
价使组织做出维持现有的风险应对措施, 不采取其他新的措施的决定。
32
4.4 风险评价
➢ 常见的方法是将风险划分为三个等级段。 基于“最低合理可行”原则(As Low As reasonable Practicable,简称ALARP)。
始时制定,并持续不断地检查和完善。
19
3.5 确定风险准则
(2)确定风险准则时要考虑因素:
➢ 可能发生的后果的性质、类型以及后果的度量; ➢ 可能性的度量; ➢ 可能性和后果的时限; ➢ 风险的度量方法; ➢ 风险等级的确定; ➢ 利益相关者可接受的风险或可容许的风险等级; ➢ 多种风险的组合的影响.
➢ 沟通和协商计划宜在早期制定。该计划针对与风险本 身、风险成因、风险后果(如果掌握)以及处理风险 措施相关的问题。
➢ 为确保实施风险管理过程的职责明确,以及利益相关 者理解决策的基础和特定措施需求的原因,采取有效 的外部和内部沟通和协商。
7
2.1 与利益相关者沟通和协商
➢ 与利益相关者的沟通协商是重要的,由于他们基 于对风险的感知,做出了对风险的判断。这些感 知可以由于利益相关者的价值观、需求、臆断、 概念和关注点的不同而变化。
26
4.风险评估 4.3 风险分析
(2)风险分析的考虑要素
➢ 在风险分析中,应考虑组织的风险承受度及其对 前提和假设的敏感性,并适时与决策者和其他利 益相关者有效地沟通.另外,还要考虑可能存在 的专家观点中的分歧及数据和模型的局限性。
(3)风险分析的方法
➢ 根据风险分析的目的、获得的信息数据和资源, 风险分析可以是定性的、半定量的、定量的或以 上方法的组合。一般情况下,首先采用定性分析 ,初步了解风险等级和揭示主要风险。适当时, 进行更具体和定量的风险分析。
—— 确定风险管理活动的目标; —— 确定风险管理过程的职责; —— 确定所要开展的风险管理活动的范围以 及深度、广度,包括具体的内涵和外延; —— 以时间和地点,界定活动、过程、职能 、项目、产品、服务或资产; —— 界定组织特定项目、过程或活动与其他 项目、过程或活动之间的关系;
17
3.4 明确风险管理过程状况
来决定风险严重性的过程。 ➢ 与组织确定的风险准则进行对照,以决定
风险的水平并确定控制风险的优先顺序。 经过风险评价,确定该风险是可承受还是 需进行处理(分别采用风险规避、风险优 化、风险转移或风险保留等措施)。
30
4.风险评估 4.4 风险评价
(2)风险评价决策 ➢ 风险评价利用风险分析过程中所获得的对
11
3.2 明确外部环境
➢ 外部环境信息包括但不限于:
——国际、国内、地区及当地的政治、经济、 文化、法律、法规、技术、金融以及自然 环境和竞争环境;
——影响组织目标实现的外部关键因素及其历 史和变化趋势;
——外部利益相关者及其诉求、价值观、风险 承受度;外部利益相关者与组织的关系等。
12
3.明确环境
20
4.风险评估
4.1 风险评估过程
➢ 风险评估过程包括: ✓ 风险识别 ✓ 风险分析 ✓ 风险评价
21
4.风险评估 4.1 风险评估过程
➢ 风险评估有助于决策者对风险及其原因、 后果和可能性有更充分的理解。为以下决 策提供信息:
(1)是否应该开展某些活动; (2)如何充分利用时机; (3)是否需要应对风险; (4)选择不同风险的应对策略; (5)确定风险应对策略的优先次序; (6)选择最适合的风险应对策略,将风险的不利 影响控制在可以接受的水平。
10
3.明确环境
3.2 明确外部环境
➢ 外部环境是组织在实现目标过程中所面临 的外界环境的历史、现在和未来的各种相 关信息。
➢ 为保证在制定风险准则时能充分考虑外部 利益相关者的目标和关注点,组织需要了 解外部环境。外部环境以组织所处的整体 环境为基础,包括法律和监管要求、利益 相关者的诉求和与具体风险管理过程相关 的其他方面的信息等。
第五章
风险管理过程
1
内容提要
1.概述(总则) 2.沟通和协商 3.明确环境 4.风险评估 5.风险处理 6.监测和评审 7.记录风险管理过程
2
1.概述
风险管理过程 risk management process 管理方针、程序和惯例对沟通、协商、明
确环境、以及识别、分析、评价、处理、监测 和评审风险活动的系统应用。
(1)上段是指无论活动能带来什么利益,风险等级 都是无法容忍的,必须不惜代价进行风险处理;
(2)中段是指要考虑实施风险应对的成本与收益, 并权Βιβλιοθήκη Baidu机遇与潜在结果;
(3)下段是指风险等级微不足道,或者风险很小, 无需采取风险处理措施。
➢ 风险评价的结果应满足风险处理的需要,否则, 应做进一步分析。
33
4.风险评估
风险的认识,来对未来的行动进行决策。 道德、法律、资金以及包括风险偏好在内 的其它因素也是决策的参考信息。 ➢ 决策包括:
——某个风险是否需要应对; ——风险的应对优先次序; ——是否应开展某项应对活动; ——应该采取哪种途径。
31
4.风险评估 4.4 风险评价
(3)风险评价结果 ➢ 风险评价的结果应满足风险应对的需要,
工具 及技术
风险识别
头脑风暴法
SA
结构化/半结
SA
构化访谈
风险评估过程
后果
A
A
风险分析 可能性 风险等级
3
风险管理原则、框架和过程关系图
4
1.概述
风险管理过程的组成
➢ 风险管理过程是组织管理的有机组成部分, 嵌入在组织文化和实践当中,贯穿于组织的 经营过程。
➢ 风险管理过程由明确环境信息、风险评估、 风险处理、监测和评审所描述的活动组成。
➢ 风险评估包括风险识别、风险分析和风险评 价等三个步骤。
➢ 沟通和记录,应贯穿于风险管理过程
被恰当地考虑; ➢ 确保认同和支持风险处理(应对)计划; ➢ 加强在风险管理过程中的变更管理; ➢ 制定一个恰当的内部和外部沟通和协商计划。
9
3.明确环境
3.1.总则
➢ 通过明确环境,组织明确其目标,界定 风险管理应该考虑的外部和内部参数, 并设置风险管理过程的范围和风险准则。
➢ 尽管许多此类参数与风险管理框架设计 时所考虑的参数类似,但在明确风险管 理过程的状况时,这些参数需要细致地 ,特别是与特定风险管理过程联系起来 考虑。
➢ 由于利益相关者的观点会对决策产生重大影响, 因此他们的感知以被识别、记录、以及在决策过 程中考虑。
➢ 沟通和协商宜提供真实的、相关的、准确的、便 于理解的交流信息,同时宜考虑到保密和个人诚 实因素。
8
2.沟通和协商
2.2 协商团队方法
➢ 适当地帮助明确环境; ➢ 确保利益相关者的利益被理解和考虑; ➢ 帮助确保风险充分地被识别; ➢ 将不同领域的专业知识一并用于分析风险; ➢ 确保在界定风险准则和评定风险时,不同的观点
27
4.风险评估 4.3 风险分析
(4)风险分析的结果 ➢ 后果和可能性可通过专家意见确定,或通
过对事件或事件组合的结果建模确定,也 可通过对实验研究或可获得的数据的推导 确定。 ➢ 对后果的描述可表达为有形或无形的影响 。在某些情况下,可能需要多个指标来确 切描述不同时间、地点、类别或情形的后 果。
4.5 常用风险评估技术
➢ 技术的选择 ➢ 可用资源 ➢ 不确定性的性质和程度 ➢ 复杂性
34
4.风险评估
4.5 常用风险评估技术
➢ ISO/IEC30010 《风险管理 风险评估技术 》标准给出了对于风险评估的每一步,各 类技术的适用性被描述为非常适用、适用 或者不适用的不同类型。
35
4.风险评估--常用风险评估技术
3.3 明确内部环境
➢ 内部环境是组织在实现目标过程中所 面临的内在环境的历史、现在和未来 的各种相关信息。
➢ 风险管理过程要与组织的文化、经营 过程和结构相适应,包括组织内影响 其风险管理的任何事物。
13
3.3 明确内部环境
➢ 组织需明确内部环境信息,因为:
——风险可能会影响组织战略、日常经营或 项目运营等各个方面,从而进一步会影响组 织的价值、信用和承诺等; ——风险管理在组织的特定目标和管理条件 下进行; ——具体活动的目标和有关准则应放到组织 整体目标的环境中考虑。
3.5 确定风险准则
(1)风险准则 risk criteria 评价风险重要程度的依据。 ➢ 风险准则需体现组织的风险承受度,应反映
组织的价值观、目标和资源。有些风险准则 直接或间接反映了法律和法规要求或其他需 要组织遵循的要求。 ➢ 风险准则应当与组织的风险管理方针一致。 具体的风险准则应尽可能在风险管理过程开
5
1.概述 -风险管理过程组成
6
2.沟通和协商
2.1 与利益相关者沟通和协商
➢ 沟通和协商 communication and consultation 组织针对风险管理,提供、共享或获取信息,与利益 相关方进行对话的持续和反复的过程。
➢ 在风险管理过程的每一个阶段都应当与内部和外部利 益相关者有效沟通和协商。
——确定风险评估的方法; ——确定评价风险管理的绩效和有效性的方法; ——识别和规定所必须要做出的决策; ——确定所需的范围或框架性研究,它们的程度 和目标,以及此种研究所需资源。 ➢ 对这些和其他相关因素的关注,有助于确保所采 用的风险管理方法适合于环境、组织、以及影响 目标实现的风险。
18
3.明确环境
➢ 风险识别的过程
✓ 进行风险识别时要掌握相关的和最新的信息,必 要时,需包括适用的背景信息。除了识別可能发 生的风险事件外,还要考虑其可能的原因和可能 导致的后果,包括所有重要的原因和后果。
✓ 不论风险事件的风险源是否在组织控制之下,或 其原因是否已知,都应对其进行识别。此外,要 关注已经发生的风险事件,特别是新近发生的风 险事件
✓ 识别风险需要所有相关人员的参与。组织所采用 的风险识别工具和技术应当适合于其目标、能力 及其所处环境。
24
4.风险评估
4.2 风险识别--方法
➢ 风险识别方法包括: ✓ 基于证据的方法,例如检查表法以及对历史数据
的审查;
✓ 系统性的团队方法,例如一个专家团队可以借助 于一套结构化的提示或问题来系统地识别风险;
3.明确环境
➢ 理解内部环境是必要的,可包括,但不仅限于: —— 治理、组织结构、作用和责任; —— 方针、目标,为实现方针和目标制定的战略; —— 基于资源和知识理解的能力(如:资金、时间 、人员、过程、系统和技术); —— 与内部利益相关方的关系,内部利益相关者的 观点和价值观; —— 组织的文化; —— 信息系统、信息流和决策过程; —— 组织所采用的标准、指南和模式; —— 合同关系的形式与范围。
✓ 归纳推理技术,例如危险与可操作性分析(HAZOP )等。
✓ 组织可利用各种支持性的技术来提高风险识别工 作的准确性和完整性,包括头脑风暴法及德尔菲 法等。
25
4.风险评估
4.3 风险分析
(1)风险分析的含义
系统地运用相关信息来确认风险的来源 ,并对 风险进行估计。 ➢ 风险分析要考虑导致风险的原因和风险源、风险 事件的正面和负面的后果及其发生的可能性、影 响后果和可能性的因素、不同风险及其风险源的 相互关系以及风险的其他特性,还要考虑现有的 管理措施及其效果和效率。
15
3.明确环境
3.4 明确风险管理过程状况
➢ 确立组织活动的目标、策略、范围和参数 ,或风险管理过程应用到的组织的那些部 分。风险管理宜充分考虑满足开展风险管 理的资源需求。
➢ 所需的资源、职责、权限和要保存的记录 也宜予以规定。
16
3.4 明确风险管理过程状况
➢ 风险管理过程的状况根据组织需求而变化。 可以包括,但不仅限于:
28
4.风险评估 4.3 风险分析
(4)风险分析的结果 ➢ 定性评估 ➢ 半定量法 ➢ 定量分析 (5)控制措施评估 (6)后果分析 (7)可能性分析和概率估计(风险估计) (8)初步分析 (9)不确定性及敏感性因素
29
4.风险评估
4.4 风险评价
(1)风险评价的含义 将估计后风险与给定的风险准则对比,
22
4.风险评估
4.2 风险识别
➢ 风险识别的含义 发现、列举和描述风险要素的过程。
➢ 风险识别的过程 ✓ 风险识别是通过识别风险源、影响范围、
事件及其原因和潜在的后果等,生成一个 全面的风险列表。识别风险不仅要考虑有 关事件可能带来的损失,也要考虑其中蕴 含的机会。
23
4.风险评估 4.2 风险识别
否则,应做进一步分析。 ➢ 有时,根据已经制定的风险准则,风险评
价使组织做出维持现有的风险应对措施, 不采取其他新的措施的决定。
32
4.4 风险评价
➢ 常见的方法是将风险划分为三个等级段。 基于“最低合理可行”原则(As Low As reasonable Practicable,简称ALARP)。
始时制定,并持续不断地检查和完善。
19
3.5 确定风险准则
(2)确定风险准则时要考虑因素:
➢ 可能发生的后果的性质、类型以及后果的度量; ➢ 可能性的度量; ➢ 可能性和后果的时限; ➢ 风险的度量方法; ➢ 风险等级的确定; ➢ 利益相关者可接受的风险或可容许的风险等级; ➢ 多种风险的组合的影响.
➢ 沟通和协商计划宜在早期制定。该计划针对与风险本 身、风险成因、风险后果(如果掌握)以及处理风险 措施相关的问题。
➢ 为确保实施风险管理过程的职责明确,以及利益相关 者理解决策的基础和特定措施需求的原因,采取有效 的外部和内部沟通和协商。
7
2.1 与利益相关者沟通和协商
➢ 与利益相关者的沟通协商是重要的,由于他们基 于对风险的感知,做出了对风险的判断。这些感 知可以由于利益相关者的价值观、需求、臆断、 概念和关注点的不同而变化。
26
4.风险评估 4.3 风险分析
(2)风险分析的考虑要素
➢ 在风险分析中,应考虑组织的风险承受度及其对 前提和假设的敏感性,并适时与决策者和其他利 益相关者有效地沟通.另外,还要考虑可能存在 的专家观点中的分歧及数据和模型的局限性。
(3)风险分析的方法
➢ 根据风险分析的目的、获得的信息数据和资源, 风险分析可以是定性的、半定量的、定量的或以 上方法的组合。一般情况下,首先采用定性分析 ,初步了解风险等级和揭示主要风险。适当时, 进行更具体和定量的风险分析。
—— 确定风险管理活动的目标; —— 确定风险管理过程的职责; —— 确定所要开展的风险管理活动的范围以 及深度、广度,包括具体的内涵和外延; —— 以时间和地点,界定活动、过程、职能 、项目、产品、服务或资产; —— 界定组织特定项目、过程或活动与其他 项目、过程或活动之间的关系;
17
3.4 明确风险管理过程状况
来决定风险严重性的过程。 ➢ 与组织确定的风险准则进行对照,以决定
风险的水平并确定控制风险的优先顺序。 经过风险评价,确定该风险是可承受还是 需进行处理(分别采用风险规避、风险优 化、风险转移或风险保留等措施)。
30
4.风险评估 4.4 风险评价
(2)风险评价决策 ➢ 风险评价利用风险分析过程中所获得的对
11
3.2 明确外部环境
➢ 外部环境信息包括但不限于:
——国际、国内、地区及当地的政治、经济、 文化、法律、法规、技术、金融以及自然 环境和竞争环境;
——影响组织目标实现的外部关键因素及其历 史和变化趋势;
——外部利益相关者及其诉求、价值观、风险 承受度;外部利益相关者与组织的关系等。
12
3.明确环境
20
4.风险评估
4.1 风险评估过程
➢ 风险评估过程包括: ✓ 风险识别 ✓ 风险分析 ✓ 风险评价
21
4.风险评估 4.1 风险评估过程
➢ 风险评估有助于决策者对风险及其原因、 后果和可能性有更充分的理解。为以下决 策提供信息:
(1)是否应该开展某些活动; (2)如何充分利用时机; (3)是否需要应对风险; (4)选择不同风险的应对策略; (5)确定风险应对策略的优先次序; (6)选择最适合的风险应对策略,将风险的不利 影响控制在可以接受的水平。
10
3.明确环境
3.2 明确外部环境
➢ 外部环境是组织在实现目标过程中所面临 的外界环境的历史、现在和未来的各种相 关信息。
➢ 为保证在制定风险准则时能充分考虑外部 利益相关者的目标和关注点,组织需要了 解外部环境。外部环境以组织所处的整体 环境为基础,包括法律和监管要求、利益 相关者的诉求和与具体风险管理过程相关 的其他方面的信息等。
第五章
风险管理过程
1
内容提要
1.概述(总则) 2.沟通和协商 3.明确环境 4.风险评估 5.风险处理 6.监测和评审 7.记录风险管理过程
2
1.概述
风险管理过程 risk management process 管理方针、程序和惯例对沟通、协商、明
确环境、以及识别、分析、评价、处理、监测 和评审风险活动的系统应用。
(1)上段是指无论活动能带来什么利益,风险等级 都是无法容忍的,必须不惜代价进行风险处理;
(2)中段是指要考虑实施风险应对的成本与收益, 并权Βιβλιοθήκη Baidu机遇与潜在结果;
(3)下段是指风险等级微不足道,或者风险很小, 无需采取风险处理措施。
➢ 风险评价的结果应满足风险处理的需要,否则, 应做进一步分析。
33
4.风险评估
风险的认识,来对未来的行动进行决策。 道德、法律、资金以及包括风险偏好在内 的其它因素也是决策的参考信息。 ➢ 决策包括:
——某个风险是否需要应对; ——风险的应对优先次序; ——是否应开展某项应对活动; ——应该采取哪种途径。
31
4.风险评估 4.4 风险评价
(3)风险评价结果 ➢ 风险评价的结果应满足风险应对的需要,
工具 及技术
风险识别
头脑风暴法
SA
结构化/半结
SA
构化访谈
风险评估过程
后果
A
A
风险分析 可能性 风险等级
3
风险管理原则、框架和过程关系图
4
1.概述
风险管理过程的组成
➢ 风险管理过程是组织管理的有机组成部分, 嵌入在组织文化和实践当中,贯穿于组织的 经营过程。
➢ 风险管理过程由明确环境信息、风险评估、 风险处理、监测和评审所描述的活动组成。
➢ 风险评估包括风险识别、风险分析和风险评 价等三个步骤。
➢ 沟通和记录,应贯穿于风险管理过程
被恰当地考虑; ➢ 确保认同和支持风险处理(应对)计划; ➢ 加强在风险管理过程中的变更管理; ➢ 制定一个恰当的内部和外部沟通和协商计划。
9
3.明确环境
3.1.总则
➢ 通过明确环境,组织明确其目标,界定 风险管理应该考虑的外部和内部参数, 并设置风险管理过程的范围和风险准则。
➢ 尽管许多此类参数与风险管理框架设计 时所考虑的参数类似,但在明确风险管 理过程的状况时,这些参数需要细致地 ,特别是与特定风险管理过程联系起来 考虑。
➢ 由于利益相关者的观点会对决策产生重大影响, 因此他们的感知以被识别、记录、以及在决策过 程中考虑。
➢ 沟通和协商宜提供真实的、相关的、准确的、便 于理解的交流信息,同时宜考虑到保密和个人诚 实因素。
8
2.沟通和协商
2.2 协商团队方法
➢ 适当地帮助明确环境; ➢ 确保利益相关者的利益被理解和考虑; ➢ 帮助确保风险充分地被识别; ➢ 将不同领域的专业知识一并用于分析风险; ➢ 确保在界定风险准则和评定风险时,不同的观点
27
4.风险评估 4.3 风险分析
(4)风险分析的结果 ➢ 后果和可能性可通过专家意见确定,或通
过对事件或事件组合的结果建模确定,也 可通过对实验研究或可获得的数据的推导 确定。 ➢ 对后果的描述可表达为有形或无形的影响 。在某些情况下,可能需要多个指标来确 切描述不同时间、地点、类别或情形的后 果。
4.5 常用风险评估技术
➢ 技术的选择 ➢ 可用资源 ➢ 不确定性的性质和程度 ➢ 复杂性
34
4.风险评估
4.5 常用风险评估技术
➢ ISO/IEC30010 《风险管理 风险评估技术 》标准给出了对于风险评估的每一步,各 类技术的适用性被描述为非常适用、适用 或者不适用的不同类型。
35
4.风险评估--常用风险评估技术
3.3 明确内部环境
➢ 内部环境是组织在实现目标过程中所 面临的内在环境的历史、现在和未来 的各种相关信息。
➢ 风险管理过程要与组织的文化、经营 过程和结构相适应,包括组织内影响 其风险管理的任何事物。
13
3.3 明确内部环境
➢ 组织需明确内部环境信息,因为:
——风险可能会影响组织战略、日常经营或 项目运营等各个方面,从而进一步会影响组 织的价值、信用和承诺等; ——风险管理在组织的特定目标和管理条件 下进行; ——具体活动的目标和有关准则应放到组织 整体目标的环境中考虑。
3.5 确定风险准则
(1)风险准则 risk criteria 评价风险重要程度的依据。 ➢ 风险准则需体现组织的风险承受度,应反映
组织的价值观、目标和资源。有些风险准则 直接或间接反映了法律和法规要求或其他需 要组织遵循的要求。 ➢ 风险准则应当与组织的风险管理方针一致。 具体的风险准则应尽可能在风险管理过程开
5
1.概述 -风险管理过程组成
6
2.沟通和协商
2.1 与利益相关者沟通和协商
➢ 沟通和协商 communication and consultation 组织针对风险管理,提供、共享或获取信息,与利益 相关方进行对话的持续和反复的过程。
➢ 在风险管理过程的每一个阶段都应当与内部和外部利 益相关者有效沟通和协商。
——确定风险评估的方法; ——确定评价风险管理的绩效和有效性的方法; ——识别和规定所必须要做出的决策; ——确定所需的范围或框架性研究,它们的程度 和目标,以及此种研究所需资源。 ➢ 对这些和其他相关因素的关注,有助于确保所采 用的风险管理方法适合于环境、组织、以及影响 目标实现的风险。
18
3.明确环境
➢ 风险识别的过程
✓ 进行风险识别时要掌握相关的和最新的信息,必 要时,需包括适用的背景信息。除了识別可能发 生的风险事件外,还要考虑其可能的原因和可能 导致的后果,包括所有重要的原因和后果。
✓ 不论风险事件的风险源是否在组织控制之下,或 其原因是否已知,都应对其进行识别。此外,要 关注已经发生的风险事件,特别是新近发生的风 险事件
✓ 识别风险需要所有相关人员的参与。组织所采用 的风险识别工具和技术应当适合于其目标、能力 及其所处环境。
24
4.风险评估
4.2 风险识别--方法
➢ 风险识别方法包括: ✓ 基于证据的方法,例如检查表法以及对历史数据
的审查;
✓ 系统性的团队方法,例如一个专家团队可以借助 于一套结构化的提示或问题来系统地识别风险;