请选择 进入手机版 | 继续访问电脑版

优米医谷

快捷导航
优米医谷 门户 指导原则 查看内容

ISO31000风险管理原则与实施指南(二)

2017-7-4 21:23| 发布者: 枫儿| 查看: 332| 评论: 5|原作者: 枫儿

摘要: 4.4 实施风险管理4.4.1 实施管理风险的框架在实施组织的管理风险的框架时,组织宜:—— 确定实施框架的适当时间安排和策略;—— 将风险管理方针和过程应用到组织的过程;—— 遵守法律法规要求;—— 确保决策,包 ...
4.4 实施风险管理
4.4.1 实施管理风险的框架
在实施组织的管理风险的框架时,组织宜:
—— 确定实施框架的适当时间安排和策略;
—— 将风险管理方针和过程应用到组织的过程;
—— 遵守法律法规要求;
—— 确保决策,包括目标的制定和设立,与风险管理过程输出结果一致;
—— 举行信息和培训会议;
—— 与利益相关方进行沟通和协商以确保其风险管理框架保持正确;
4.4.2 实施风险管理过程
风险管理宜通过确保将第五章描述的风险管理过程通过风险管理计划作为组织实践和过程的一部分应用到组织相关职能和层次。
4.5 框架的监测和评审
为了确保风险管理有效和持续改进组织的绩效,组织宜:
—— 针对适当定期评审的参数测量风险管理绩效;
—— 定期测量风险管理计划的进展和偏离;
—— 基于组织的内部和外部状况,定期评审风险管理框架、方针和计划是否仍然适宜;
—— 报告风险、风险管理计划的进展和风险管理方针如何较好地执行;
—— 评审风险管理框架的有效性。
4.6 框架的持续改进
基于监测和评审结果,宜做出如何可以改进风险管理框架、方针和计划的决策。这些决策宜致使组织的风险管理和风险管理文化的改进。
5  过程
5.1 总则
风险管理过程宜是:
—— 整合到管理中的的一部分;
—— 嵌入文化和实践之中;
—— 针对组织的经营过程制作。
它由5.25.6描述的活动组成。风险管理过程如图3



图片3.png


图表3-风险管理过程
5.2 沟通和协商
与内、外部利益相关方沟通和协商宜在风险管理过程所有阶段进行。
因此,沟通和协商计划宜在早期制定。该计划宜针对与风险本身、风险成因、风险后果(如果掌握)以及处理风险措施相关的问题。为确保实施风险管理过程的职责明确,以及利益相关方理解决策的基础和特定措施需求的原因,宜采取有效的外部和内部沟通和协商。
协商团队方法可以:
—— 适当地帮助明确状况;
—— 确保利益相关方的利益被理解和考虑;
—— 帮助确保风险充分地被识别;
—— 将不同领域的专业知识一并用于分析风险;
—— 确保在界定风险准则和评定风险时,不同的观点被恰当地考虑;
—— 确保认同和支持处理计划;
—— 加强在风险管理过程中的变更管理;
—— 制定一个恰当的内部和外部沟通和协商计划。
与利益相关方的沟通协商是重要的,由于他们基于对风险的感知,做出了对风险的判断。这些感知可以由于利益相关方的价值观、需求、臆断、概念和关注点的不同而变化。由于利益相关方的观点会对决策产生重大影响,因此他们的感知以被识别、记录、以及在决策过程中考虑。
沟通和协商宜提供真实的、相关的、准确的、便于理解的交流信息,同时宜考虑到保密和个人诚实因素。
5.3 明确状况
5.3.1 总则
通过明确状况,组织明确其目标,界定管理风险要考虑的外部和内部参数,确定风险管理过程的范围和风险准则。尽管许多此类参数与风险管理框架设计时所考虑的参数类似(参见4.3.1),但在明确风险管理过程的状况时,这些参数需要细致地,特别是与特定风险管理过程联系起来考虑。
5.3.2 明确外部状况
外部状况是指组织寻求实现其目标的外部环境。
为了确保在建立风险准则时,目标和外部利益相关方的关注点被予以考虑,理解外部状况是重要的。它基于组织宽泛的状况,但具备法律法规要求的具体细节、利益相关方的观点、风险管理过程范围风险的其他因素。
外部状况可以包括,但不局限于:
—— 社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国内、区域,还是本地的;
—— 影响组织目标的主要动力和趋势;
—— 与外部利益相关方的关系,外部利益相关方的观点和价值观。
5.3.3 明确内部状况
内部状况是指组织寻求实现其目标的内部环境。
风险管理过程宜与组织的文化、过程、结构和战略相一致。内部状况是组织内能够影响管理风险方法的方面。内部状况宜明确,因为:
a)风险管理是在组织的目标状况下进行;
b)具体项目、过程或活动的目标和准则,宜依据组织的整体目标予以考虑;
c)一些组织未能意识到实现它们战略、项目或经营目标的机会,这影响了持续的组织承诺、信誉、诚信和价值观。
理解内部状况是必要的,这可包括,但不仅限于:
—— 治理、组织结构、作用和责任;
—— 方针、目标,为实现方针和目标制定的战略;
—— 基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);
—— 与内部利益相关方的关系,内部利益相关方的观点和价值观;
—— 组织的文化;
—— 信息系统、信息流和决策过程(正式与非正式);
—— 组织所采用的标准、指南和模式;
—— 合同关系的形式与范围。
5.3.4明确风险管理过程状况
宜确立组织活动的目标、策略、范围和参数,或风险管理过程应用到的组织的那些部分。风险管理宜充分考虑满足开展风险管理的资源需求。所需的资源、职责、权限和要保存的记录也宜予以规定。
风险管理过程的状况根据组织需求而变化。它可以包括,但不仅限于:
—— 确定风险管理活动的目标;
—— 确定风险管理过程的职责;
—— 确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延;
—— 以时间和地点,界定活动、过程、职能、项目、产品、服务或资产;
—— 界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系;
—— 确定风险评价的方法;
—— 确定评价风险管理的绩效和有效性的方法;
—— 识别和规定所必须要做出的决策;
—— 确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源。
对这些和其他相关因素的关注,有助于确保所采用的风险管理方法适合于环境、组织、以及影响目标实现的风险。
5.3.5  确定风险准则
组织宜确定用于评定风险重要性的准则。该准则宜反映组织的价值观、目标和资源。一些准则可以服从或引用法律法规要求或组织签署的其他要求。风险准则宜与组织风险管理方针一致(见4.3.2),在风险管理过程开始时予以确定,并予以持续评审。
当确定风险准则时,要考虑的因素宜包括如下:
—— 可以出现的致因和后果的性质和类别,以及如何予以测量;
—— 可能性如何确定;
—— 可能性和(或)后果的时间范围;
—— 风险程度如何确定;
—— 利益相关方的观点;
—— 风险可接受或可容许的程度;
—— 多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。
5.4  风险评价
5.4.1 总则
风险评价是风险识别、风险分析和风险评定的总的过程。
注:ISO/IEC 31010 提供了风险评价技术指南。
5.4.2 风险识别
组织宜识别风险源、影响区域、事件(包括环境变化)以及致因和潜在后果。此步骤的目的是产生一个基于哪些可能产生、增强、阻碍、加快或推迟目标实现的事件的风险的综合表格。识别与不寻求机会相关的风险是重要的。综合识别是非常重要的,因为此阶段没有识别的风险将不会包含在进一步的分析中。
识别宜包括其源是否在组织的控制下的风险,即使风险源或致因可能不明显。风险识别宜包括考查特定后果直接影响,包括联锁和累积影响。也要考虑宽范围的后果,即使风险源或致因可能不明显。也要识别什么可能发生,考虑表明什么后果可以出现的可能致因和场景是必要的。所有重要的致因和后果宜予以考虑。
    组织宜应用适合其目标、能力及所面临风险的风险识别工具和技术。在识别风险时,相关和最新的信息是重要的。这宜包括可能的适当背景信息。具有适当知识的人员宜参与到识别风险中。
5.4.3 风险分析
    风险分析涉及开展风险的理解。风险分析为风险评定和确定风险是否需要处理以及最适合的风险处理策略和方法,提供了输入。风险分析也可以为必须做出选择及选择涉及不同类型和程度的风险的决策,提供输入。
    风险分析包括考虑风险的致因和来源,以及所带来的正面和负面的后果及这些后果发生的可能性。影响后果的因素和可能性宜被识别。通过确定后果和其可能性、以及其他风险特性,来进行风险分析。一个事件可以有多种结果并可以影响多重目标。现存的控制措施和其效果和效率也宜被考虑在内。
    后果和可能性的表述方式,以及它们组合确定风险程度的方式,宜反映风险类型、可获得的信息、以及运用风险评价输出的意图。这些全部都宜符合风险准则。考虑不同风险和其源的相互依赖也是重要的。
   风险程度的确定和其前提和假设的敏感性的信心,宜在风险分析中予以考虑,并有效沟通给决策者以及适当的利益相关方。诸如专家间观点的分歧、不确定性、可用性、质量、数量、信息的持续相关性、或模型的局限性等因素,宜予以阐述和可以重点强调。
    风险分析可以在不同程度的细节上进行,这取决于风险本身、分析目的、可用的信息、数据和来源。依据环境条件,分析可以定性的、半定量或定量的,也可以是组合的方式。
    后果和其可能性可以通过模拟一个或一系列事件的结果,或由实验研究或可用数据推断确定。后果可基于有形和无形的影响表述。在某些情况下,一个以上的数值或描述,需要界定对于不同时间、地点、团体或状况的后果和其可能性。
5.4.4 风险评定
风险评价的目的是,基于风险分析的结果,帮助做出有关风险需要处理和处理实施优先的决策。
    风险评定包括将分析过程中确定的风险程度与在明确状况时建立的风险准则进行比较。基于这种比较,处理需求可予以考虑。
    决策宜考虑更为宽泛风险含义,包括考虑风险获益组织外的团体对风险的容忍性。决策宜依据法律法规和其他要求做出。
在某些情况下,风险评定可导致对决策的进一步分析。风险评定也可导致,除了保持现存措施,不以任何方式处理风险的决策。通过组织的风险态度和已建立的风险准则,对此决策施加影响。
5.5   风险处理
5.5.1  总则
风险处理包括选择一种或几种修正风险的方案,以及实施那些方案。一旦实施了方案,处理提供或改进了控制措施。
风险处理包括了一个循环过程:
—— 评价风险处理;
—— 确定残留风险程度是否可容许;
—— 如果不可容许,产生新的风险处理;
—— 评价该处理的有效性。
风险处理方案不必互相排斥或适宜所有情况。方案可以包括以下内容:
a)通过决定不开展或停止产生风险的活动,来规避风险;
b)为寻求机会,接受或提高风险;
c)消除风险源;
d)改变可能性;
e)改变后果;
f)与另一方或多方共担风险(包括合约和风险融资);
g)通过有事实依据的决策,保留风险。
5.5.2  选择风险处理方案
选择最合适的风险处理方案包括,针对以法律法规和诸如社会责任和自然环境保护的其他要求所获得的利益,平衡成本和实施的工作量。决策也宜考虑可以批准在经济层面上不合理的风险处理的风险,例如,严重的(高负面后果)但稀少(低可能性)的风险。
    一些方案是可以单独或综合考虑或应用。组织一般可以从综合方案的采用获益。
当选择风险处理方案时,组织宜考虑利益相关方的价值观和观点,以及与他们沟通最适合的方法。如果风险处理方案可以影响组织别处的风险或与利益相关方关联的风险,这宜包含在决策中。尽管同样有效,有些风险处理可以比其他一些更让一些利益相关方接受。
风险处理计划宜清晰确定每个风险处理宜实施的优先顺序。
风险处理自身会引入风险。重要风险会是风险处理措施的故障或失效。监测需要成为风险处理计划的整合部分和给出措施持续有效的保证。
风险处理也可引入需要评价、处理、监测和评审的次级风险。宜将这些次级风险结合到与原始风险同样的处理计划中,而不是作为新的风险处理。两种风险的联系宜确定和保持。
5.5.3 准备和实施风险处理计划
风险处理计划的目的是将如何实施已选择的处理措施形成文件。将要实施的风险处理方案。处理计划中提供的信息宜包括:
—— 选择风险处理措施的原因,包括所期待获得的效益;
—— 负责改进和实施计划的人员;
—— 建议的措施;
—— 资源需求,包括紧急情况时;
—— 绩效测量和控制;
—— 汇报及监测要求;
—— 时间和日程安排。
处理计划宜组织管理过程整合并与适当的利益相关方讨论。
决策者和其他利益相关方宜意识到风险处理后残留风险的性质和程度。残留风险宜形成文件并进行监测、评审,适当时,进一步处理。
5.6 监测和评审
监测和评审都宜是风险管理过程的已计划的部分,包含常规检查或监督。可以定期或不定期。
监测和评审的职责宜明确界定。
组织的监测和评审过程宜包含风险管理过程的所有方面,目的是:
—— 确保控制措施在设计和运行上有效和有效率;
—— 获得进一步改进风险评价的信息;
—— 从事件(包括“near-miss)、变化、趋势、成功和失败中分析和吸取教训;
—— 探测内外部状况的变化,包括风险准则的变化和会需要修正风险处理和优先的风险自身;
—— 识别出现的风险。
在实施风险处理计划的进程中需要绩效测量。可将结果融入组织整体绩效管理、测量和外部和内部报告活动中。
监测和评审的结果宜予以记录和在内外部适当地报告,也可用作风险管理框架评审的输入(见4.5)。
5.7 记录风险管理过程
风险管理活动宜可追溯。在风险管理过程及整体过程中,记录提供了方法和工具改进的基础。
关于记录的建立的决定宜考虑:
—— 组织持续学习的需求;
—— 出于管理意图,重新使用信息益处;
—— 涉及建立和保持记录的成本和工作量;
—— 对记录的法律法规和运行需求;
—— 获取的方法、检索的难易和储存媒介;
—— 保存期限;
—— 信息的敏感性。
1

鲜花

握手

雷人

路过

鸡蛋

刚表态过的朋友 (1 人)

收藏 邀请
发表评论

最新评论

引用 超、极大宝贝 2018-10-11 09:38
给力的好资料 顶一下
阅读时间2018.10.11

查看全部评论(5)

客服热线
QQ:2394554903周一至周日:09:00 - 21:00
公司地址:苏州工业园区顺达商业广场1幢

优米医谷是一个旨为人类健康服务,专注于医疗行业的共享平台!

Powered by 苏州优医港科技有限公司 © 2001-2013 优米医谷

Archiver|手机版|小黑屋|优米医谷.苏州优医港科技有限公司 ( 苏ICP备18031907号 )

GMT+8, 2018-11-17 17:39 , Processed in 0.220166 second(s), 48 queries .

返回顶部