GB/T 24353-2009
基本信息
标准号: GB/T 24353-2009
中文名称:风险管理 原则与实施指南
标准类别:国家标准(GB)
英文名称:Risk management—Principles and guidelines on implementation
标准状态:已作废
发布日期:2009-09-30
实施日期:2009-12-01
作废日期:2022-10-12
出版语种:简体中文
下载格式:.rar .pdf
下载大小:KB
标准分类号
标准ICS号: 社会学、 服务、公司(企业)的组织和管理、行政、运输>>公司(企业)的组织与管理>>03.100.01公司(企业)的组织与管理综合
中标分类号:综合>>标准化管理与一般规定>>A02经济管理
关联标准
替代情况:被GB/T 24353-2022代替
出版信息
出版社:中国标准出版社
页数:16页
标准价格:0.0 元
出版日期:2009-12-01
相关单位信息
首发日期:2009-09-30
起草人:高晓红、吕多加、汤万金、杨颖、汪邦军、刘铁忠、李建平、刘新立
起草单位:全国风险管理标准化技术委员会(SAC/TC 310)
归口单位:全国质量管理和质量保证标准化技术委员会
提出单位:全国质量管理与质量保证标准化技术委员会(SAC/TC151
发布部门:中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
主管部门:国家标准化管理委员会
标准简介
GB/T 24353-2009 风险管理 原则与实施指南 GB/T24353-2009 标准下载解压密码:www.bzxz.net
本标准提供了风险管理的原则和通用的实施指南。 本标准适用于各种类型和规模的组织,适用于组织的全生命周期及其各阶段,也适用于组织的各种 活动,包括流程管理、职能行为、项目管理以及与产品、服务、资产、运作和决策等有关的各项活动。 本标准提供实施风险管理的通用指南,但风险管理的具体实施取决于组织的实际需要和具体实践。
本标准提供了风险管理的原则和通用的实施指南。 本标准适用于各种类型和规模的组织,适用于组织的全生命周期及其各阶段,也适用于组织的各种 活动,包括流程管理、职能行为、项目管理以及与产品、服务、资产、运作和决策等有关的各项活动。 本标准提供实施风险管理的通用指南,但风险管理的具体实施取决于组织的实际需要和具体实践。
标准图片预览
标准内容
ICS 03.100.01
中华人民共和国国家标雅
GB/T24353-2009
风险管理
原则与实施指南
Risk management-Principles and guidelines on implementation2009-09-30发布
数码防动
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
全秋伴网t
2009-12-01实施
GB/T24353-2009
规范性引用文件
3术语和定义
风险管理原则
凤险管理过程
风险管理的实施
参考支献.
http://foodmate.net前言
本标准是风险管理系列标准中的指导性标准本标准参考ISO/DIS81090风险管理原则与实施指南》编制而成本标准由全国质量管理与质量保证标准化技术委员会(SAC/TC15I)提出。本标准由全国风险管理标准化技术委员会(SAC/TC3T0)归口。GB/T24353-2009
本标准起草单位:中国标准化研究院、第一会达风险管理科技有限公司、中国航空综合技术研究所、北京理工大学,中国科学院科技攻策与管理科学研究所、北京人学。本标准主要起草人:高晓红、吕多加、汤万金、杨颖、汪邦军、刘铁忠、李建平、刘新立http://foodmate.neGB/T243532009
任何类型和规模的组织都面临风险,组织的所有活动也都涉及风险。风险会影响组织自标的实现:这出日标可能美系到组织中从战略决策到运营的各种活动,包活各个过程和具体项自:最现在年导,战略、经营、财务、环境、社会、声誉等各个方面。风险管理通过考患不确定性及其对自标的影响,来取相应的错施,为组织的运营利求策及有效应各类突发弱件提供支持:风验管理适用于军织的全生命周期及其任何阶段:其适用范图包括整个组织的所有领域和层饮,也包括组织的具体部门和活动,风险管理旨在保证组织恰当地应对风险,提高风险应对的效率利效果,增强行动的合理性,有效地配置资源。有效的风险管理应当融人到整个组织的理念,治理、管理、程序、方针策略以及文化等各方面,风险管理意识当是整个组织支化的部分虽然风险管理在长期的实践中得到了发展,并在许多行业满足了不同的要,但是目前还缺乏一个设的方法,用来保证风险管理一效有数的实。本标洗提供风险管理的原则朝实证的通用书南,有」组织在任何范围和具体环境中以透明和可靠的方武实施风险管理。本标雅有助子组织做到
提高风险管理意识:
有效配置和使用风险管理资源!实施主动的、前陷性的管理:
改选对机会和威博的限别:
遵守相关法律法规及国际规范的要求改善内部控制;
—政进财务报告
政普公司治理:
:改善运营效果和效率:
提高利益相关者的信心和信任:为计划和决策奠定可靠的基础;一提高健康、安全和环保水平;改进对事放的预防和处理:
-减少损失;
提高组织的学习能力!
增强绝织的生存和持续发展能力:本标准的预期使用者鼎细织的和益相美者,如组织的决策者;
一组织内部负贵制定风险管理政策的人员:一组织或活动中实施风险管理的人员;篇要对组织的风险臂理实践进行评估的人员;红织中负责制定有关风险管现的标准、指南,程序应用准则的人员:一股东、董事会,高级管理人员、员工、债权人、供应商、顾客、银行、监管机构、合作伙伴等,以及其他需要确保组织管理其风险的人员。ht
GB/T24353-2009
考虑到风险的性质,重要程度和复杂性等方面的多样性,在实际应用时,组织可使用本标准提供的方法,识别具体的风险管理环境,以确保风险管理的合理性和适用性。许多组织在现有的管理实践和过程中已经实施了风险管理,或者已经对某些特定风险或具体领域采用了正式的风险管理过程,如内部控制。管理层可对照本标准对现有的风险管理实践和过程进行检查
本标准是通用标准,旨在协调现有的和将来的标准中有关风险管理的内容,本标准美供适用的方法,为制定具体风险或具体行业的标准提供支持,面不是为了替代这些标准。http://foodmate.nt1范
风险管理原则与实施指南
本标准提供了风险管理的原则和用的实施指南。GB/T24353-2009
本标准适用于各种类型和规模的组织,适用于组织的全生命周期及其各阶段,也适用于组织的各利活动,包括流程管理、职能行为、项日管理以及与产品、服务,资产、运作和决策等有关的各项活动,本标准提供实施风险管理的通用指南,但风险管理的具体实施取决于组织的实际寄要和具体实。2规范性引用文件
下列文件中的条款道过本标准的引用而成为本标证的条款。凡是注日期的引用文件:其随后所有的修改单(不包括误的内容惑修订版图不适用于本标准,然而鼓励根据本标推认成协设的备方舒宝是否可使用这些文件的最新版本。凡是不注日期的引用义件,其最新版本适用于本标准。GB/T23694风险管理术语
3术语和定义
(G13/T23691确立的术语利定义适用于本标准。不风险管理原则
为有效智理凤险,组在实施风险管理时,川遵循下列原则:a)控制损失,创造价值
以控制损先创造价循知自标的风险管理,有助于组织实现与标得具体可见的成续和改善各方面的业绩包括大员健康和安全、合规经营,信用程度、社会认可,环境保护财务绩效,产品质量、选营效率和公司治理等方商。融人绝织管理过程
风险管理不是独立于组织主要活动和各项管理过程的单独的活动,而是组织管理过程不可缺少的重要组成部分。
支持决策过程
组织的所有决策都应考患风险和风险管理。风险管理旨在将风险控制在组织可接受的范围内,有励丁判断风险应对是否充分、有效,有助了次定行动优先顺序并选择可行的行动方案,从的帮助决策者做出合理的决策。应用系统的,结构化的方法
系统的,结构化的方法有助于风险管理效率的提升,并产生一致、可比、可靠的结果:e)
即信息为基础
风险臂理过程要以有效的信息为求出。这些信息可通过经验反馈、观察,预测利专家判断等密种渠道获取,但使用时要考患数据,模型和专家意见的局限性,环境依赖
风险管即取决于组织所处的内部利外部环境以及红织所承担的风险。需要特别指出的是,风险管现受人文因素的影响。
广泛参与、充分沟通
组织的利益相关者之间的沟通,尤其是决策在风险普理中适当、及时的参与,有助丁保证风险管现的针对性和有效性。
品伙伴网
GB/T24353-—2009
利益相关者的产泛参与有助于其观点在风险管理过程中得到体现,其利益诉求在决定组织的风险偏好时得到充分考虑。利益相关者的广泛参与要建立在对其权利和责任明确认可的基础上。
利益相关者之间需要进行持续,双向和及时的沟通,无其是在重大风险事件和风险管理有效性等方面需妻及时沟通。
持续改进
风险管理是适应环境变化的动态过程,其各步骤之间形成一个信息反馈的阅环,随署内部利外部事件的发生,组织环境和知识的改变以及监整和检育的执行,有些风险可能会发生变化,些新的风险可能会出现,另一些风险则可能消失。固此,组织应持续不新地对各种变化保持敏感并做出恰当反应,组织适过绩效测量,检查利调整等手段:使风险管理得到持续皮进。5风险管理过程
5.1概述
风险管理过程是红享笔理的有机组康部分,医人组织文化和实哦当中,贯穿于组织的经营过程风险管理过程由5.2到5.所描述的活动组成,即明确环培信息,风险评估、风险应对、监督和检查,如图1所示,其中,风命评
洁包括风险识别凤险分机利风险评价等步骤。
淘通和记录,应贯穿于风险管理过程的各项活动中,6将对其进行详细说明。5.2明确环境信息
5.3风险评器
542风险只别
5.2明确环境信息
5.2. 1概述
53.3风险分机
5.3.4风险评价
东风险应刘
图 1风险管理过程
通过明铆环境信息,组织可明确其风险管的Ⅱ标,确定与组织相关的内部和外部参数,并设定风险管理的范围和有关风险难则,5.2.2外部环境信息
外部环境信息是组织在实现月标过程中所面临的外界环境的历史、现在和未来的各种相关倍息:为保证在制定风险准则附能充分考虑外部利益相关者的且标和关注点,组织需要了解外部环境信2
http:/
wwwfoodmate.net
GB/T24353-2009
息。外部环境信息以组织所处的整体环境为基础,包括法律和监誉要求,利益相关者的诉求和与具体风险管理过程相关的其他方面的信息等。外部环境信息包括但不限于:
一国际、国内、地区及当地的政治、经济、文化、法律、法规、技术,金融以及自然环境和竞争环境;影响组织目标实现的外部关键因素及其历史和变化趋势:外部利益相关者及其诉求、价值观、风险承变度;外部利益相美者与组织的关系等。5.2.3内部环境信息bzxZ.net
内部环境信息是组织在实现日标过程中所面临的内在环境的历更、现在和未来的各种相关信息,风险管理过程要与组织的文化、经营过程和结构相适应,包括组织内影响其风险管理的任何事物组织需明确内部环境信息,固为风险可能会影响组组限略、日常经营或项目运营等各个方面,从而进一步会影响组织的价值、信用利承诺等:
一风险管理在红织的特定日标和管理条件下进行具体活动的目标和有关推则应成到组织整体目标的环境考患。内部环境信息可包括:
组织的方销目标以及经营战略
资额利知识方面的能力(如资金时间、人力、过租系绕和技术);信息系
请息流利决策过程(包括正式的和非正的)益相关者及其诉求价值观风险承受度:内部利
采用的准利模型:
组织给图(包括治理结构、任务和责任等)管理过程和措施;与风险管理实施过程有关的环境信息等其中,风险背理过程的环境信息根据组织的需要而改变,百包括但不限于所开展的风全管理工作的范围和自标,以及所需要的资源,一风险管理利程的职贵;
应执行的风售现活动的深度和广度风险管理活动织其健活动之间的美素:风险评估的方法利使用的数据;风险管理绩效前评价方站:
需要制定的决策,
-风险推则等。
5.2.4确定风险准则
风险准则是组织用于评价风险重要程度的标推,因此,风险准则需体现组织的风险承受度,虚反膜纠织的价值观,日标和资源有些风险准则直接或间接反映了法律和法规要求或其他需要组织遵循的要求。风险准则应当与组织的风险管理力针一致。具休的风险流则应尽可能在风险管理过程开始讨制定,并持续不断地检查和完普。确定风险混则时要考虑以下因素:可能发生的后果的性质,类型以及后果的度量:-可能性的度量:
-可能性和后果的时限;
一风险的度量方法:
-风险等级的确定;
htt
GB/T24353-—2009
一利相关者可接受的风险或可容许的风险等级:多种风险的组合的影响。
通过对以上固素及其他相关因素的关注:将有助于保证组织所采用的风险管理方法适合于组织现状及其所面临的风险.
5.3风险评估
5.3.1概述
风险评估包括风险识别、风险分析和风险评价三个步骤。5.3.2风险识别
凤险识别是通过识别风险源、影响范围,事件及其原因和潜在的后果等,生成一个全面的风险列表。识别风险不仅娶考患有关事件可能带来的损失,也要考患其中蕴含的机会,进行风险识别时要掌相笑的利和最的信息,必要时,音包括适用的背最信息,除识别可能发车的风险事件外,还要考患其可能的原因和可能导致的后果,包括所有重要的原和后果。不论风险事件的风险源是否在组织的控制之下,或其原固是否已知,都应对其进行识别,此外,要关注已经发生的风险事件,特别是新近发生的风险事件。识别风险需要所有相关人员的参与。组织所渠用的风险识别工其和技术应当适合于其目标、能力及其所处环境。
5.3.3风险分析
风险分析是根据风险类型,获得的信息和风险评估结果的使用日的,对识别出的风险进行定性和定量的分析,为风险评价和风险应对提供支特。风险分析要考虑导致风险的原因和风险源,风险事件的正面和负面的后果及其发生的可能性、影响后果和可能性的因素,不同风险及其风险源的相互关系以及风险的其他特性,还要考虑现有的替理措施及其效果和效率。在风险分析中,应考患组织的风险承受度及其对前提和假设的敏感性,并适时与决策者和其他利益关肾有效地沟通。男外,还要考虑可能存在的专家观点中的分歧及数据和模型的局限性根据风险分析的日的、获得的信息数据利资源,风险分析可以尼定性的、半定量的、定量的或以土方法的组合:一般情况下,首先采用定性分析,初步了解风险等级和揭示主要风险。适当时,进行更是件和定量的风险分析。
后和可能性可道过专家意见确定,或通过对事件或享件组合的结果建模确定,也可道过对实验讲究或叫获得的数据的推导确定。对后果的描述可表达为有形或无形的影响。在某些情况下,可能需要系个指标来确切热述不同时间、地点、类别或情形的后果。5.3.4风险评价
风险评价是将风险分析的结果与组织的风险准则比较,者在各种风险的分析结果之间进行比较,赖定风险等级,以使做出风成对的决策:如果该风险是新识别的风险,则应当谢定相应的风险准则,以便评价该风险。
风险评价的结果应满足风险应对的需要,否则,应做进一步分析,有时,根据已经制定的风险准则,风险评价使组织做出继持现有的风险应对措施,不采取其地新的错施的决定。5.4风险应对
5.4.1概述
风险应对是选择并执行一种或多种改变风险的错施,包括改变风险事件发生的可能性或后果的措施,风险应对决策应当考忠各种环境信息,包括内部和外部利益相关者的风险承受度,以及法律,法规和其他方面的要求等:
风险应对措施的制订和评估可能是一个递进的过。对上风险应对措施,应评估其剩余风险是否可以承受,如果剩余风险不可承受,应调整或制定新的风险应对措施,并评估新的风险应对措随的效果,直到翘余风虚以承学。行风险版对措施会起组织风险的敢变,器要跟踪、监督风险应对的效4
品伙伴网
GB/T243532009
果和组的有关环境信息,并对变化的风险进行评估,必要时重新制订风险应对措施可能的风险应对措施之间不一定互相排厅。一个风险应对措施出不一定在所有条件下都适合。风险应对措施可包括下列各项:
决定停止或退出可能导致风险的活动以规避风险:增加风险或承担新的风险以寻求机会:消除具有负面影响的风险源:
改变风险事件发生的可能的大小及其分布的性质;一改变风险事件发生的可能后果:-转移风险:
分担风险:
保留风险等
选择风险应对措施
选择适当的风险成对措随时需考虑很多方面,比如法律,法规社会贵任和环境保护等房面的要求。风险应对普施的实施成本与收益(有些风险可能需要组织考虑采用经流上看起来不合理的风险应对决第,阅如可能带来严重的负面店果但发生可能性低的风险事件选择几种应对措施,将具单独或组合使用;利益相关者的诉求和价值观,对风险的认知和承受度以及对某一些风险应对措施的偏好。风险应对指
中实施过程中司能会
失灵或无效,国此,要把监备作为风险应对昔施的实施计划的有机组成部分,正应对措施持绩有效风险应对指施能引起次生风险,对次生风险也需要评估应对,监督和检查。在原有的风险应对计划中要加入这些次生风险的内容,而不应将其作为新风险而独立对待。为此需要只别并检查原有风险与次生风险之间的联系:当风险应对施影响剑组织内具他领域的风险或影响创其他利益相美者时,要评估这些影响并与有关利益相关者沟通,必要时调整风险应对措施。决策者和其他利费相关者应当清能在采最风险应对措范后的需余风险的性质和程度,5.4.3制定风险应对计划
在选择了风险应对措施之后,需要制定相应的风险应对计划预期的收益:
绩效指标及其考按方法;
风险管理责任人及丽风险应对措施的人员安排:风险应对措施涉及的具体业务和管理活动:风险应对计好中应当包括以下信息:选择多种可能的风险成对措施时,实施风险应对措施的优先次序:报告和监督、检查的要求;
与适当的利益相关者的沟道安排;资源需求,包括应急机制的资源需求:执行时间表等。
风险应对计划要与组织的管理过程凝合。5.5监督和检查
组织应明确界定监督和检查的责任,监肾利检查可能包标:
监测事件,分析变化及基整势并以中吸收教训:发现内部和外部环境信息的变化,包括风险本身的变化、可能男致的风险应对措施及其实施优先次序的改变;
http
fnodmatono
GB/T243532009
一一监管并记录风险应对措施实施后的剩余风险,以便在适当时做进一光处理适用时,对照风险应对计划,检查工作进度与计划的偏差,保证风险应对措施的设计弱执行有效:
一报告关于风险,风险应对计划的进度和风险管理方针的遵循情况;-实施风险管理绩效评估。
风险管理绩效评估应被纳人到组织的绩效管理以及组织对内,对外的报告体系之中。监督和检查活动包搭常规检套、监控已知的风险,定期或不定期检查,定期或不定期检查都应被列人风险应对计划。
适当时,监督和检查的结果应当有记录并对内或对外报告:5.6沟通和记录
5.6.1沟通
组织在风险管理过程的每一个阶段都应当与内部和外部利咨相美者有效离道,以保证实施风险管理的责任人利利益相关者能够理解组织风险管理决策的依据,以及需要采取某些行动的原因。由于利益相关者的价值观,诉求,假设、认知和关注点不同,其风险偏好也不同,并可能对决策有重要影响。因此,组织在决策过理中府当与利益相关者进行充分通,识别并记录利益相关者的风险偏好。
5.6.2记录
在风险管理过程中,记录是实施和改进整个风险管理过秘的基础。建守录成当考愿以下方闻
出于管理的目的而重复使用信息的需要;进-步分析风险和调整风险应对措施的需要;风险管理活动的可追测要求;
淘通的需要;
法律,法规和换作上对记录的需要;组织本身持续学习的需要
一建立和维护记录所需的成本和工作量;一获取信息的方法,读取信息的容易程度和储存媒介;记录保留期限:
。信息的嫩感性
6风险管理的实施
6.1概述
组织实施风险管理过锦(见第5章)需要-个风险管理体系,包插相美方针,组织结构、工作程序,资源配置、信息沟通机制以及相关的技术手段等基础设施,以使将风险管理嵌人到组织的各个层次利活动之中。通过在组织的不同层次和特定环境内实施风险管理过程,风险管理体系帮助组织有效地管理风险。组织的风险管理体系可能由在各层次和特定环境内实施风险管理过程的子体系构成,如内部控制体系等,风险管现体累做当保证风险管理过程中的风险信息的充分沟通,并且在相关的组织层次范圆内作为决策和问责的依据使用。,组织要在检查的基础上,做出如何改进风险管理作系、方针和风险应对计划的契策:从而引导组织的风险管理和风险管理文化的改进。风险管理体系的要素主要包括:一风险管理方;
一适当的制和福序,使风险管理欺人到组织的所有活动和过程中:一与纽织结构相关的职资:及有关的与组织的绩效指标-致的风险臂理绩效指标;6
品伙伴网
资源分配
一与所有利益相关者沟通风险管理的机制:技术手段、方法,工具等。
62风险管理方针
风险管理方针应明确下列事项:组织的风险管理理念
组织的最高管理者对风险管理的承诺:组织的风险管理目标;
组织的风险偏好:
一风险管理方针与组织的目标及其他方针之间的关系:一风险管理的职责分配:
管理风险的程序和方法;
风险管理的资源配置!
测量和报告风险管理绩效的方式:“建立风险管理体系的计划;
持续改进的承诺,
维织应就风险管理方针同内部和外部利益相关者进行充分沟通6.3风险管理工作程序
GB/T24353-2009
组织应当设计适当的制度和行为规范,建立风险管理工作程序,特别是整个组织层面的风险管理计划,以保证风险管理嵌人到组织的所有活动和过程之中,尤其是组织的设略规划、运营过程以及变革管理之中。
6.4风险管理相关组织结构
组织可通过以下方法保证风险管理的责任认定和授权,从而能够执行风险管理过程,并保证风险管理的充分性和有效性:
明确风险管厚体系的制定,实施和维护人员的职责:-明确执行风险应对措施、维护风险管理体系和报告相关风险信息人员的职责:建立批准,授权制度:
建立绩效测量及相应的合适的奖励,惩罚制度:建立对内对外的报告机制等。
6.5风险管理资源配置
组织需根据风险管理计划制定可行的方法,为风险管理分配适当的资源。具体要考虑下列各项人员、技术、经验和能力:
风险管理过程每一阶段所需要的资金及各种资源;数据记录的过程和程序步骤;
- 信息和知识管理系统。
6.6沟通和报告机制
6.6.1内部沟通和报告机制
组织要链立内部沟避利报告机制,以保证风险管理体系的关键组成部分及其调整得到适当的沟通;一在组织内部充分报告风险应对计划实施的效果和效率:在适当的愿饮和时摄供风险誓理的相关信息;合品伙伴网t
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标雅
GB/T24353-2009
风险管理
原则与实施指南
Risk management-Principles and guidelines on implementation2009-09-30发布
数码防动
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
全秋伴网t
2009-12-01实施
GB/T24353-2009
规范性引用文件
3术语和定义
风险管理原则
凤险管理过程
风险管理的实施
参考支献.
http://foodmate.net前言
本标准是风险管理系列标准中的指导性标准本标准参考ISO/DIS81090风险管理原则与实施指南》编制而成本标准由全国质量管理与质量保证标准化技术委员会(SAC/TC15I)提出。本标准由全国风险管理标准化技术委员会(SAC/TC3T0)归口。GB/T24353-2009
本标准起草单位:中国标准化研究院、第一会达风险管理科技有限公司、中国航空综合技术研究所、北京理工大学,中国科学院科技攻策与管理科学研究所、北京人学。本标准主要起草人:高晓红、吕多加、汤万金、杨颖、汪邦军、刘铁忠、李建平、刘新立http://foodmate.neGB/T243532009
任何类型和规模的组织都面临风险,组织的所有活动也都涉及风险。风险会影响组织自标的实现:这出日标可能美系到组织中从战略决策到运营的各种活动,包活各个过程和具体项自:最现在年导,战略、经营、财务、环境、社会、声誉等各个方面。风险管理通过考患不确定性及其对自标的影响,来取相应的错施,为组织的运营利求策及有效应各类突发弱件提供支持:风验管理适用于军织的全生命周期及其任何阶段:其适用范图包括整个组织的所有领域和层饮,也包括组织的具体部门和活动,风险管理旨在保证组织恰当地应对风险,提高风险应对的效率利效果,增强行动的合理性,有效地配置资源。有效的风险管理应当融人到整个组织的理念,治理、管理、程序、方针策略以及文化等各方面,风险管理意识当是整个组织支化的部分虽然风险管理在长期的实践中得到了发展,并在许多行业满足了不同的要,但是目前还缺乏一个设的方法,用来保证风险管理一效有数的实。本标洗提供风险管理的原则朝实证的通用书南,有」组织在任何范围和具体环境中以透明和可靠的方武实施风险管理。本标雅有助子组织做到
提高风险管理意识:
有效配置和使用风险管理资源!实施主动的、前陷性的管理:
改选对机会和威博的限别:
遵守相关法律法规及国际规范的要求改善内部控制;
—政进财务报告
政普公司治理:
:改善运营效果和效率:
提高利益相关者的信心和信任:为计划和决策奠定可靠的基础;一提高健康、安全和环保水平;改进对事放的预防和处理:
-减少损失;
提高组织的学习能力!
增强绝织的生存和持续发展能力:本标准的预期使用者鼎细织的和益相美者,如组织的决策者;
一组织内部负贵制定风险管理政策的人员:一组织或活动中实施风险管理的人员;篇要对组织的风险臂理实践进行评估的人员;红织中负责制定有关风险管现的标准、指南,程序应用准则的人员:一股东、董事会,高级管理人员、员工、债权人、供应商、顾客、银行、监管机构、合作伙伴等,以及其他需要确保组织管理其风险的人员。ht
GB/T24353-2009
考虑到风险的性质,重要程度和复杂性等方面的多样性,在实际应用时,组织可使用本标准提供的方法,识别具体的风险管理环境,以确保风险管理的合理性和适用性。许多组织在现有的管理实践和过程中已经实施了风险管理,或者已经对某些特定风险或具体领域采用了正式的风险管理过程,如内部控制。管理层可对照本标准对现有的风险管理实践和过程进行检查
本标准是通用标准,旨在协调现有的和将来的标准中有关风险管理的内容,本标准美供适用的方法,为制定具体风险或具体行业的标准提供支持,面不是为了替代这些标准。http://foodmate.nt1范
风险管理原则与实施指南
本标准提供了风险管理的原则和用的实施指南。GB/T24353-2009
本标准适用于各种类型和规模的组织,适用于组织的全生命周期及其各阶段,也适用于组织的各利活动,包括流程管理、职能行为、项日管理以及与产品、服务,资产、运作和决策等有关的各项活动,本标准提供实施风险管理的通用指南,但风险管理的具体实施取决于组织的实际寄要和具体实。2规范性引用文件
下列文件中的条款道过本标准的引用而成为本标证的条款。凡是注日期的引用文件:其随后所有的修改单(不包括误的内容惑修订版图不适用于本标准,然而鼓励根据本标推认成协设的备方舒宝是否可使用这些文件的最新版本。凡是不注日期的引用义件,其最新版本适用于本标准。GB/T23694风险管理术语
3术语和定义
(G13/T23691确立的术语利定义适用于本标准。不风险管理原则
为有效智理凤险,组在实施风险管理时,川遵循下列原则:a)控制损失,创造价值
以控制损先创造价循知自标的风险管理,有助于组织实现与标得具体可见的成续和改善各方面的业绩包括大员健康和安全、合规经营,信用程度、社会认可,环境保护财务绩效,产品质量、选营效率和公司治理等方商。融人绝织管理过程
风险管理不是独立于组织主要活动和各项管理过程的单独的活动,而是组织管理过程不可缺少的重要组成部分。
支持决策过程
组织的所有决策都应考患风险和风险管理。风险管理旨在将风险控制在组织可接受的范围内,有励丁判断风险应对是否充分、有效,有助了次定行动优先顺序并选择可行的行动方案,从的帮助决策者做出合理的决策。应用系统的,结构化的方法
系统的,结构化的方法有助于风险管理效率的提升,并产生一致、可比、可靠的结果:e)
即信息为基础
风险臂理过程要以有效的信息为求出。这些信息可通过经验反馈、观察,预测利专家判断等密种渠道获取,但使用时要考患数据,模型和专家意见的局限性,环境依赖
风险管即取决于组织所处的内部利外部环境以及红织所承担的风险。需要特别指出的是,风险管现受人文因素的影响。
广泛参与、充分沟通
组织的利益相关者之间的沟通,尤其是决策在风险普理中适当、及时的参与,有助丁保证风险管现的针对性和有效性。
品伙伴网
GB/T24353-—2009
利益相关者的产泛参与有助于其观点在风险管理过程中得到体现,其利益诉求在决定组织的风险偏好时得到充分考虑。利益相关者的广泛参与要建立在对其权利和责任明确认可的基础上。
利益相关者之间需要进行持续,双向和及时的沟通,无其是在重大风险事件和风险管理有效性等方面需妻及时沟通。
持续改进
风险管理是适应环境变化的动态过程,其各步骤之间形成一个信息反馈的阅环,随署内部利外部事件的发生,组织环境和知识的改变以及监整和检育的执行,有些风险可能会发生变化,些新的风险可能会出现,另一些风险则可能消失。固此,组织应持续不新地对各种变化保持敏感并做出恰当反应,组织适过绩效测量,检查利调整等手段:使风险管理得到持续皮进。5风险管理过程
5.1概述
风险管理过程是红享笔理的有机组康部分,医人组织文化和实哦当中,贯穿于组织的经营过程风险管理过程由5.2到5.所描述的活动组成,即明确环培信息,风险评估、风险应对、监督和检查,如图1所示,其中,风命评
洁包括风险识别凤险分机利风险评价等步骤。
淘通和记录,应贯穿于风险管理过程的各项活动中,6将对其进行详细说明。5.2明确环境信息
5.3风险评器
542风险只别
5.2明确环境信息
5.2. 1概述
53.3风险分机
5.3.4风险评价
东风险应刘
图 1风险管理过程
通过明铆环境信息,组织可明确其风险管的Ⅱ标,确定与组织相关的内部和外部参数,并设定风险管理的范围和有关风险难则,5.2.2外部环境信息
外部环境信息是组织在实现月标过程中所面临的外界环境的历史、现在和未来的各种相关倍息:为保证在制定风险准则附能充分考虑外部利益相关者的且标和关注点,组织需要了解外部环境信2
http:/
wwwfoodmate.net
GB/T24353-2009
息。外部环境信息以组织所处的整体环境为基础,包括法律和监誉要求,利益相关者的诉求和与具体风险管理过程相关的其他方面的信息等。外部环境信息包括但不限于:
一国际、国内、地区及当地的政治、经济、文化、法律、法规、技术,金融以及自然环境和竞争环境;影响组织目标实现的外部关键因素及其历史和变化趋势:外部利益相关者及其诉求、价值观、风险承变度;外部利益相美者与组织的关系等。5.2.3内部环境信息bzxZ.net
内部环境信息是组织在实现日标过程中所面临的内在环境的历更、现在和未来的各种相关信息,风险管理过程要与组织的文化、经营过程和结构相适应,包括组织内影响其风险管理的任何事物组织需明确内部环境信息,固为风险可能会影响组组限略、日常经营或项目运营等各个方面,从而进一步会影响组织的价值、信用利承诺等:
一风险管理在红织的特定日标和管理条件下进行具体活动的目标和有关推则应成到组织整体目标的环境考患。内部环境信息可包括:
组织的方销目标以及经营战略
资额利知识方面的能力(如资金时间、人力、过租系绕和技术);信息系
请息流利决策过程(包括正式的和非正的)益相关者及其诉求价值观风险承受度:内部利
采用的准利模型:
组织给图(包括治理结构、任务和责任等)管理过程和措施;与风险管理实施过程有关的环境信息等其中,风险背理过程的环境信息根据组织的需要而改变,百包括但不限于所开展的风全管理工作的范围和自标,以及所需要的资源,一风险管理利程的职贵;
应执行的风售现活动的深度和广度风险管理活动织其健活动之间的美素:风险评估的方法利使用的数据;风险管理绩效前评价方站:
需要制定的决策,
-风险推则等。
5.2.4确定风险准则
风险准则是组织用于评价风险重要程度的标推,因此,风险准则需体现组织的风险承受度,虚反膜纠织的价值观,日标和资源有些风险准则直接或间接反映了法律和法规要求或其他需要组织遵循的要求。风险准则应当与组织的风险管理力针一致。具休的风险流则应尽可能在风险管理过程开始讨制定,并持续不断地检查和完普。确定风险混则时要考虑以下因素:可能发生的后果的性质,类型以及后果的度量:-可能性的度量:
-可能性和后果的时限;
一风险的度量方法:
-风险等级的确定;
htt
GB/T24353-—2009
一利相关者可接受的风险或可容许的风险等级:多种风险的组合的影响。
通过对以上固素及其他相关因素的关注:将有助于保证组织所采用的风险管理方法适合于组织现状及其所面临的风险.
5.3风险评估
5.3.1概述
风险评估包括风险识别、风险分析和风险评价三个步骤。5.3.2风险识别
凤险识别是通过识别风险源、影响范围,事件及其原因和潜在的后果等,生成一个全面的风险列表。识别风险不仅娶考患有关事件可能带来的损失,也要考患其中蕴含的机会,进行风险识别时要掌相笑的利和最的信息,必要时,音包括适用的背最信息,除识别可能发车的风险事件外,还要考患其可能的原因和可能导致的后果,包括所有重要的原和后果。不论风险事件的风险源是否在组织的控制之下,或其原固是否已知,都应对其进行识别,此外,要关注已经发生的风险事件,特别是新近发生的风险事件。识别风险需要所有相关人员的参与。组织所渠用的风险识别工其和技术应当适合于其目标、能力及其所处环境。
5.3.3风险分析
风险分析是根据风险类型,获得的信息和风险评估结果的使用日的,对识别出的风险进行定性和定量的分析,为风险评价和风险应对提供支特。风险分析要考虑导致风险的原因和风险源,风险事件的正面和负面的后果及其发生的可能性、影响后果和可能性的因素,不同风险及其风险源的相互关系以及风险的其他特性,还要考虑现有的替理措施及其效果和效率。在风险分析中,应考患组织的风险承受度及其对前提和假设的敏感性,并适时与决策者和其他利益关肾有效地沟通。男外,还要考虑可能存在的专家观点中的分歧及数据和模型的局限性根据风险分析的日的、获得的信息数据利资源,风险分析可以尼定性的、半定量的、定量的或以土方法的组合:一般情况下,首先采用定性分析,初步了解风险等级和揭示主要风险。适当时,进行更是件和定量的风险分析。
后和可能性可道过专家意见确定,或通过对事件或享件组合的结果建模确定,也可道过对实验讲究或叫获得的数据的推导确定。对后果的描述可表达为有形或无形的影响。在某些情况下,可能需要系个指标来确切热述不同时间、地点、类别或情形的后果。5.3.4风险评价
风险评价是将风险分析的结果与组织的风险准则比较,者在各种风险的分析结果之间进行比较,赖定风险等级,以使做出风成对的决策:如果该风险是新识别的风险,则应当谢定相应的风险准则,以便评价该风险。
风险评价的结果应满足风险应对的需要,否则,应做进一步分析,有时,根据已经制定的风险准则,风险评价使组织做出继持现有的风险应对措施,不采取其地新的错施的决定。5.4风险应对
5.4.1概述
风险应对是选择并执行一种或多种改变风险的错施,包括改变风险事件发生的可能性或后果的措施,风险应对决策应当考忠各种环境信息,包括内部和外部利益相关者的风险承受度,以及法律,法规和其他方面的要求等:
风险应对措施的制订和评估可能是一个递进的过。对上风险应对措施,应评估其剩余风险是否可以承受,如果剩余风险不可承受,应调整或制定新的风险应对措施,并评估新的风险应对措随的效果,直到翘余风虚以承学。行风险版对措施会起组织风险的敢变,器要跟踪、监督风险应对的效4
品伙伴网
GB/T243532009
果和组的有关环境信息,并对变化的风险进行评估,必要时重新制订风险应对措施可能的风险应对措施之间不一定互相排厅。一个风险应对措施出不一定在所有条件下都适合。风险应对措施可包括下列各项:
决定停止或退出可能导致风险的活动以规避风险:增加风险或承担新的风险以寻求机会:消除具有负面影响的风险源:
改变风险事件发生的可能的大小及其分布的性质;一改变风险事件发生的可能后果:-转移风险:
分担风险:
保留风险等
选择风险应对措施
选择适当的风险成对措随时需考虑很多方面,比如法律,法规社会贵任和环境保护等房面的要求。风险应对普施的实施成本与收益(有些风险可能需要组织考虑采用经流上看起来不合理的风险应对决第,阅如可能带来严重的负面店果但发生可能性低的风险事件选择几种应对措施,将具单独或组合使用;利益相关者的诉求和价值观,对风险的认知和承受度以及对某一些风险应对措施的偏好。风险应对指
中实施过程中司能会
失灵或无效,国此,要把监备作为风险应对昔施的实施计划的有机组成部分,正应对措施持绩有效风险应对指施能引起次生风险,对次生风险也需要评估应对,监督和检查。在原有的风险应对计划中要加入这些次生风险的内容,而不应将其作为新风险而独立对待。为此需要只别并检查原有风险与次生风险之间的联系:当风险应对施影响剑组织内具他领域的风险或影响创其他利益相美者时,要评估这些影响并与有关利益相关者沟通,必要时调整风险应对措施。决策者和其他利费相关者应当清能在采最风险应对措范后的需余风险的性质和程度,5.4.3制定风险应对计划
在选择了风险应对措施之后,需要制定相应的风险应对计划预期的收益:
绩效指标及其考按方法;
风险管理责任人及丽风险应对措施的人员安排:风险应对措施涉及的具体业务和管理活动:风险应对计好中应当包括以下信息:选择多种可能的风险成对措施时,实施风险应对措施的优先次序:报告和监督、检查的要求;
与适当的利益相关者的沟道安排;资源需求,包括应急机制的资源需求:执行时间表等。
风险应对计划要与组织的管理过程凝合。5.5监督和检查
组织应明确界定监督和检查的责任,监肾利检查可能包标:
监测事件,分析变化及基整势并以中吸收教训:发现内部和外部环境信息的变化,包括风险本身的变化、可能男致的风险应对措施及其实施优先次序的改变;
http
fnodmatono
GB/T243532009
一一监管并记录风险应对措施实施后的剩余风险,以便在适当时做进一光处理适用时,对照风险应对计划,检查工作进度与计划的偏差,保证风险应对措施的设计弱执行有效:
一报告关于风险,风险应对计划的进度和风险管理方针的遵循情况;-实施风险管理绩效评估。
风险管理绩效评估应被纳人到组织的绩效管理以及组织对内,对外的报告体系之中。监督和检查活动包搭常规检套、监控已知的风险,定期或不定期检查,定期或不定期检查都应被列人风险应对计划。
适当时,监督和检查的结果应当有记录并对内或对外报告:5.6沟通和记录
5.6.1沟通
组织在风险管理过程的每一个阶段都应当与内部和外部利咨相美者有效离道,以保证实施风险管理的责任人利利益相关者能够理解组织风险管理决策的依据,以及需要采取某些行动的原因。由于利益相关者的价值观,诉求,假设、认知和关注点不同,其风险偏好也不同,并可能对决策有重要影响。因此,组织在决策过理中府当与利益相关者进行充分通,识别并记录利益相关者的风险偏好。
5.6.2记录
在风险管理过程中,记录是实施和改进整个风险管理过秘的基础。建守录成当考愿以下方闻
出于管理的目的而重复使用信息的需要;进-步分析风险和调整风险应对措施的需要;风险管理活动的可追测要求;
淘通的需要;
法律,法规和换作上对记录的需要;组织本身持续学习的需要
一建立和维护记录所需的成本和工作量;一获取信息的方法,读取信息的容易程度和储存媒介;记录保留期限:
。信息的嫩感性
6风险管理的实施
6.1概述
组织实施风险管理过锦(见第5章)需要-个风险管理体系,包插相美方针,组织结构、工作程序,资源配置、信息沟通机制以及相关的技术手段等基础设施,以使将风险管理嵌人到组织的各个层次利活动之中。通过在组织的不同层次和特定环境内实施风险管理过程,风险管理体系帮助组织有效地管理风险。组织的风险管理体系可能由在各层次和特定环境内实施风险管理过程的子体系构成,如内部控制体系等,风险管现体累做当保证风险管理过程中的风险信息的充分沟通,并且在相关的组织层次范圆内作为决策和问责的依据使用。,组织要在检查的基础上,做出如何改进风险管理作系、方针和风险应对计划的契策:从而引导组织的风险管理和风险管理文化的改进。风险管理体系的要素主要包括:一风险管理方;
一适当的制和福序,使风险管理欺人到组织的所有活动和过程中:一与纽织结构相关的职资:及有关的与组织的绩效指标-致的风险臂理绩效指标;6
品伙伴网
资源分配
一与所有利益相关者沟通风险管理的机制:技术手段、方法,工具等。
62风险管理方针
风险管理方针应明确下列事项:组织的风险管理理念
组织的最高管理者对风险管理的承诺:组织的风险管理目标;
组织的风险偏好:
一风险管理方针与组织的目标及其他方针之间的关系:一风险管理的职责分配:
管理风险的程序和方法;
风险管理的资源配置!
测量和报告风险管理绩效的方式:“建立风险管理体系的计划;
持续改进的承诺,
维织应就风险管理方针同内部和外部利益相关者进行充分沟通6.3风险管理工作程序
GB/T24353-2009
组织应当设计适当的制度和行为规范,建立风险管理工作程序,特别是整个组织层面的风险管理计划,以保证风险管理嵌人到组织的所有活动和过程之中,尤其是组织的设略规划、运营过程以及变革管理之中。
6.4风险管理相关组织结构
组织可通过以下方法保证风险管理的责任认定和授权,从而能够执行风险管理过程,并保证风险管理的充分性和有效性:
明确风险管厚体系的制定,实施和维护人员的职责:-明确执行风险应对措施、维护风险管理体系和报告相关风险信息人员的职责:建立批准,授权制度:
建立绩效测量及相应的合适的奖励,惩罚制度:建立对内对外的报告机制等。
6.5风险管理资源配置
组织需根据风险管理计划制定可行的方法,为风险管理分配适当的资源。具体要考虑下列各项人员、技术、经验和能力:
风险管理过程每一阶段所需要的资金及各种资源;数据记录的过程和程序步骤;
- 信息和知识管理系统。
6.6沟通和报告机制
6.6.1内部沟通和报告机制
组织要链立内部沟避利报告机制,以保证风险管理体系的关键组成部分及其调整得到适当的沟通;一在组织内部充分报告风险应对计划实施的效果和效率:在适当的愿饮和时摄供风险誓理的相关信息;合品伙伴网t
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。