请选择 进入手机版 | 继续访问电脑版

优米医谷

快捷导航
优米医谷 门户 文章资讯 查看内容

ISO31000风险管理原则与实施指南(一)

2017-7-4 21:08| 发布者: 枫儿| 查看: 333| 评论: 4|原作者: 枫儿

摘要: 引言所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素和影响。这种不确定性所具有的对组织目标的影响就是“风险”。组织的所有活动都涉及风险。组织通过识别、分析和评定是否运用 ...
引言
所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标因素影响。这种不确定性所具有的对组织目标的影响风险
组织的所有活动都涉及风险。组织通过识别、分析定是否运用风险处理修正风险以满足们的风险准则,来管理风险通过这个过程,们与利益相关方进行沟通协商,监测和评审风险,以及为确保不再进一步需求风险处理而修正风险的控制措施。本国际标准详细描述了这一系统的和逻辑的过程。
尽管所有的组织在某种程度上都在管理风险,本国际标准建立一些为使风险管理变得有效而需要满足的原则。本国际标准建议,组织制定实施持续改进一个框架,其目的是将风险管理过程整合到组织的整体治理战略和规划管理报告过程、方针、价值观文化
风险管理可以在组织领域和层次任何时间应用到整个组织,以及具体职能项目和活动。
尽管在过去段时间许多行业满足不同的需要,已经开展了风险管理实践,但在一个综合框架采用一致性过程有助于确保在组织内有效有效结合性地管理风险。本国际标准中所描述的通用方法提供了在任何范围状况,以系统、清晰、可靠的方式管理风险原则和指南
每一个具体行业或风险管理的应用都产生了自的需求、受众观念和准则。因此,国际标准的主要特点所包含“确定状况”作为通用风险管理过程开始的活动。确定状况将捕获组织的目标,组织所追求目标的环境,组织的利益相关和风险准则的多样性,所有这些都将帮助揭示和风险的性质和复杂性。
     国际标准描述风险管理原则、框架风险管理过程之间的关系,如图1所示。
依据本国际标准实施和保持风险管理时,能够使组织,例如:
—— 提高实现目标的可能性
—— 鼓励主动性管理;
—— 整个组织意识到识别和处理风险的需;
—— 改进机会和威胁识别能力
—— 符合关法律法规要求和国际规范
—— 改进强制性和自愿性报告;
—— 改善治理
—— 提高利益相关的信心和信任
—— 为决策和规划建立可靠的根基;
—— 加强控制;
—— 有效地分配和用风险处理资源
—— 提高运营的效果和效率;
—— 增强健康安全绩效,以及环境保护;
—— 改善损失预防和事件管理
—— 减少损失
—— 提高组织的学习能力
—— 提高组织的应变能力
国际标准旨在满足众多利益相关方的需求,包括:
a负责制定组织风险管理方针的人员;
b负责确保在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人员;
c)需要评定组织风险管理有效性的人员;
d整体或部分地实施风险管理的标准指南程序和操作规范的开发者。
目前许多组织的管理实践和过程含了风险管理的要素许多组织针对特定类型的风险或环境下已经采用了正式的风险管理过程。在这种情况下,组织可以决定对照本国际标准其现有的实践过程开展严格的评审
国际标准中,风险管理risk management)”管理风险managing risk)”都在使用。在通常的术语意义上风险管理risk management)”涉及的有效管理风险的构架(原则,框架和过程),而管理风险managing risk)”运用该架构管理特定风险。
图片1.png



风险管理-原则和指南1范围
国际标准提供了风险管理原则和通用性指南
国际标准可用于任何公共公有企业、协会,团体或个。因此,国际标准不针对任何特定行业或部门。
注:为方便起见,国际标准涉及的所有不同的用户通用术语组织”称谓
国际标准可用于整个组织的生命周期及广泛的活动,包括战略和决策、运营、过程、职能项目产品服务和资产。
国际标准可以用于任何类型的风险,无论其性质是否有积极或消极的后果。
尽管国际标准提供了风险管理的通用性指南意针对组织促进风险管理的统一。风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标,状况、结构、运营、过程、职能、项目产品服务或资产以及展开的具体实践
意在运用本国际标准来协调现有和来标准风险管理过程本标准提供了一个支持其他标准处理特定风险和行业风险的通用方法,而不是取代这些标准。
国际标准不意针对认证意图
2 术语和定义
下列术语和定义适用本标准
2.1 风险 risk
不确定性对目标的影响
1:影响是与期待的偏差——积极和/或消极
2:目标可以有不同方面(如财务健康安全以及环境目标),可以体现在不同的层次(如战略组织范围项目产品和过程)。
3:风险通常以潜在事件2.19)和后果(2.20),或它们的组合来描述
4风险通常以事件(包括环境的变化)后果发生可能性(2.21的组合来表达。
5:不确定性是指,与事件和其后果或可能性的理解或知识相关的信息的缺陷的状态,或不完整。
[ISO导则 73:2009, 定义1.1]
2.2 风险管理risk management
针对风险指挥和控制组织的协调活动。
[ISO 导则 73:2009, 定义 2.1]
2.3 风险管理框架risk management framework
提供在组织内设计、实施、监测(2.28)、评审和持续改进风险管理(2.2)的基本原则和组织安排的要素集合。
1:基本原则包括管理风险的方针、目标、指令和承诺。
2:组织安排包括计划、关系、责任、资源、过程和活动。
3:风险管理框架被嵌入到组织的整个战略和运营的方针和实践中
[ISO 导则 73:2009, 定义 2.1.1]
2.4 风险管理方针risk management policy
一个组织对风险管理的意图和方向的陈述。
[ISO 导则73:2009, 定义 2.1.2]
2.5 风险态度 risk attitude
组织评价、最终追踪、保留、消除或规避风险的方法。
[ISO 导则 73:2009, 定义 3.7.1.1]
2.6 风险管理计划 risk management plan
在风险管理框架内规定用于风险管理的方法、管理要素、资源的方案。
1:管理要素一般包括程序、惯例、职责分配、活动顺序和时间安排。
2:风险管理计划可应用于特定的产品、过程和项目、组织的部分或整体。
[ISO 导则 73:2009, 定义2.1.3]
2.7 风险所有者 risk owner
具有风险管理权限和责任的个人或实体。
[ISO 导则 73:2009, 定义 3.5.1.4]
2.8 风险管理过程 risk management process
管理方针、程序和惯例对沟通、协商、确定状况、以及识别分析价、处理、监测和评审风险活动的系统应用。
[ISO 导则 73:2009, 定义 3.1]
2.9 确定状况 establishing the context
界定外部和内部参数,以便在管理风险和设置风险管理方针的范围风险准则时,予以考虑。
[ISO 导则 73:2009, 定义 3.3.1]
2.10 外部状况 external context
组织寻求实现其目标的外部环境。
注:外部环境可包括:
—— 文化、社会、政治、法律法规、财政金融、技术、经济、自然和竞争环境,无论国际国家区域或地方
—— 对组织目标具有影响的主要驱动和趋势。
—— 与外部利益相关方的关系和其感受和价值观。
[ISO 导则 73:2009,定义 3.3.1.1]
2.11 内部状况 internal context
组织寻求实现其目标的外部环境。
注:内部状况可包括:
—— 治理、组织结构、作用和责任;
—— 方针、目标、以及实现它们的战略;
—— 以资源和知识来理解的能力(如资本、时间、人员、过程、系统和技术);
—— 信息系统、信息流和决策过程(正式和非正式的);
—— 与内部利益相关方的关系、以及他们的感受和价值观;
—— 组织的文化;
—— 标准、指南和组织采用的模式;
—— 合同关系的形式和范围
[ISO 导则 73:2009,定义 3.3.1.2]
2.12 沟通和协商 communication and consultation
组织针对风险管理,提供共享或获取信息,利益相关方进行对话的持续和反复的过程。
1:信息涉及风险管理的存在、性质、形式、可能性、严重程度、评定、可接受性、处理。
2:协商组织与它的利益相关方,在做出决策或确定某一问题的方向前,针对问题双向有事实依据的沟通过程。协商是:
—— 通过影响力而非权力对决策施加影响;
—— 作为决策的入,而非加入决策。
[ISO 导则 73:2009, 定义 3.2.1]
2.13 利益相关方 stakeholder
可以影响、被影响、或者觉得自己会被决策或活动影响的个人或组织。
注:决策者可以是利益相关者。
[ISO 导则 73:2009, 定义 3.2.1.1]
2.14 风险评价 risk assessment
风险识别2.15)、风险分析2.21和风险评定(2.24的整个过程
[ISO 导则 73:2009, 定义 3.4.1]
2.15 风险识别 risk identification
发现、认识、描述风险的过程。
1:风险识别包括风险源(2.16)、事件(2.17)、它们的起因及潜在后果的确定。
2:风险识别会涉及历史数据、技术分析、有事实依据的和专家的观点、以及利益相关方的需求。
[ISO 导则 73:2009, 定义 3.5.1]
2.16 风险源 risk source
单独以结合的形式具有产生风险的内在可能性的因素。
注:一个风险源可以是有形的或者无形的。
[ISO 导则 73:2009,定义 3.5.1.1]
2.17 事件 event
特殊系列环境的产生或变化。
1.一个事件可以是一个或多个事变,会有多种原因。
2:事件可以由一些不发生的事情构成。
3:事件有时被称作“事件(incident)”或“事故(accident)”。
4.没有后果的事件可以被称作near miss”、“incident”、“near hit” “close call”
[ISO 导则 73:2009, 定义 3.5.1.2]
2.18 后果 consequence
事件对目标的影响结果。
1:一个事件可以产生一系列的后果。
2:后果可以是确定或不确定的,以及对目标具有积极或消极的影响。
3:后果可以被定性或定量地表述。
4:初步的后果通过连锁效应可以逐步升级。
[ISO 导则 73:2009, 定义 3.6.1.3]
2.19 可能性 likelihood
某事发生的机会。
1:在风险管理术语学中,可能性是指事情发生的机会,不论是明确的、测量的,还是客观主观地、定性或定量地确定的以及一般性或精确地描述(如在一定时段内的可能性和频率)。
2英文likelihood些语言中没有直接对应的等同词,而同义词probability经常被使用。然而,在英文中probability通常狭义地理解为数学术语。因此,在风险管理术语学中,“likelihood”以它在许多非英语国家语言中的“probability”所具有的同样的广泛理解来使用。
[ISO 导则 73:2009, 定义 3.6.1.1]
2.20 风险状况 risk profile
任何系列风险(2.1)的描述。
注:该系列风险可包含与整个组织、组织的部分或者其他特定部分相关联的风险。
[ISO Guide 73:2009, definition 3.8.2.5]
2.21 风险分析 risk analysis
理解风险(2.1)的性质和确定风险程度(2.23)的过程。
1:风险分析为风险评定和风险处理决策提供了基础。
2:风险分析包括风险估测。
[ISO 导则 73:2009, 定义 3.6.1]
2.22 风险准则 risk criteria
评价风险重要性的依据。
1.风险准则基于组织的目标和内外部状况。
2:风险准则可出自于标准、法律、方针和其他要求。
[ISO 导则 73:2009, 定义 3.3.1.3]
2.23 风险程度 risk level
以后果和可能性的组合表达的风险的量或组合结果。
[ISO 导则 73:2009, 定义 3.6.1.8]
2.24 风险评定 risk evaluation
将风险分析的结果与风险准则进行比较,以确定风险和(或)其量是否可接受或可容许。
注:风险评定有助于有关风险处理的决策。
[ISO 导则 73:2009, 定义 3.7.1]
2.25 风险处理 risk treatment
修正风险的过程。
1:风险处理可包括:
—— 通过决定不启动或停止产生风险的活动而避免风险。
—— 为了追求机会采取或增加风险。
—— 消除风险源。
—— 改变可能性。
—— 改变后果。
—— 与其他方面共同分担风险(包括合同、风险融资)。
—— 通过有事实依据的决策保留风险。
2:对消极后果的风险处理有时可以称为“风险减缓(risk mitigation)”、“风险消除(risk eliminate)”、“风险预防(risk prevention)”和“风险减小(risk reduction)”。
3:风险处理可以产生新的风险或修正已存在的风险。
[ISO 导则 73:2009, 定义 3.8.1]
2.26 控制措施 control
修正风险的措施。
1:控制措施包括任何过程、方针、手段、惯例或其他修正风险的措施。
2控制措施可能不总是产生预期或设想的修正效果
[ISO 导则 73:2009, 定义 3.8.1.1]
2.27 残留风险 residual risk
风险处理后余留下的风险。
1:残留风险可包括未识别的风险。
2:残留风险也可被认作“保留的风险(retain risk)。
[ISO 导则 73:2009,定义3.8.1.6]
2.28 监测 monitoring
不断检查监督、严格观察或确定状态,以识别所要求或期待的绩效水平的变化。
注:监测可应用于风险管理框架、风险管理过程、风险或控制措施。
[ISO 导则 73:2009, 定义 3.8.2.1]
2.29 评审 review
为达到所建立的目标,确定有关事务的适宜性、充分性和有效性所采取的活动。
注:评审可应用于风险管理框架、风险管理过程、风险或控制措施。
[ISO 导则73:2009, 定义3.8.2.2]
3原则
为了风险管理有效,组织宜在各个层次遵循以下原则。
a风险管理创造和保护价值
风险管理有助于目标明确的实现和绩效的改进,例如,在人员的健康安全、治安、法律法符合性、公众接受性、环境保护、产品质量项目管理运营效率治理和声誉方面
b风险管理是整合在所有组织过程中的部分
风险管理不是组织主要活动和过程分开孤立活动。风险管理是管理职责的部分整合在所有组织过程中的部分,包括战略规划所有项目变更管理过程
c风险管理支持决策
风险管理可以帮助决策者出明智的选择优先的措施辨别行动方
d风险管理明晰解决不确定问题
风险管理明确地阐述不确定性不确定性的性质以及如何加以解决。
e风险管理具备系统、结构化和及时性
系统及时和结构的风险管理方法有助于提高效率和取得一致衡量和可靠的结果
f风险管理基于最可用的信息
风险管理过程的输入基于信息源,如历史数据经验利益相关的反馈观察预测和专家判断。然而,决策者宜告诫自身和考虑,数据或所使用模型的局限性,或者专家之间分歧的可能性。
g风险管理是量体裁衣的
风险管理是与组织的外部和内部状况及风险状况相匹配的
h风险管理考虑人文因素
风险管理认识到可以促进或阻碍组织目标实现的内部和外部人员的能力观念和意图。i风险管理是透明和包容的
利益相关方、尤其是组织各层面的决策者适当、及时的参与,确保了风险管理保持相关和先进性。参与过程也允许利益相关方适当地发表意见,并将其观点考虑到风险准则的确定中。
j风险管理是动态、迭代和应对变化的
风险管理持续察觉和响应变化。由于外部和内部事件发生,状况和知识在改变,风险的监测和评审在进行,新的风险出现,一些风险在改变,而另一些风险消失
k风险管理实现组织的持续改进
组织和实施战略,协同组织的其他方面共同改进风险管理的成熟度。
附件A希望更有效地实施管理风险组织提供了进一步的建议
4 框架
4.1 总则
风险管理的成功取决于提供将风险管理嵌入整个组织所有层次的基础和安排的管理框架的有效性。框架有助于通过在组织不同层次和特定状况内应用风险管理过程,有效地管理风险。框架确保从风险管理过程取得的风险信息充分地被报告,以及作为决策和所有相关组织层次责任的基础。
本条款描述了风险管理框架的必要要素和其以迭代的方式相互作用的方法,如图2
图片2.png

2  风险管理框架要素间的相互关系
本框架目的不是规定一个管理体系,而是有助于组织将风险管理整合到它的整个管理体系中。因此,组织宜使框架的要素适用于其特定的需求。
如果组织现存的管理实践和过程包含风险管理要素,或者如果组织已经针对特定的风险或状况采纳了一个正式的风险管理过程,那么对原有的这些实践和过程宜针对本标准进行评审和评价,包括附录A中包含的附加内容,以确定它们的充分性和有效性。
4.2 指令和承诺
风险管理的引入和确保它的持续有效需要组织管理着强有力和持续的承诺,以及为实现承诺在所有层次战略的和严密的策划。管理者宜:
确定和签署风险管理方针;
确保组织的文化和风险管理方针一致;
确定与组织绩效参数一致的风险管理绩效参数;
使风险管理目标与组织的目标和战略一致;
确保法律法规的符合性;
在组织内适当的层次分配责任和职责;
确保为风险管理配置必要的资源;
将风险管理的益处通报给所有的利益相关方;
确保风险管理框架持续保持适宜。
4.3 风险管理框架的设计
4.3.1 理解组织和其状况
在开始设计和实施风险管理框架前,评价和理解组织内外部的状况是重要的,因为这会对框架的设计产生显著的影响。
评价组织外部状况可以包括,但不限于:
a) 社会和文化、政治、法律法规、财务、技术、经济、自然和竞争环境,无论国际、国内、区域和当地;
b) 影响组织目标的动力和趋势;
c) 与外部利益相关方的关系,以及它们的感受和价值观。
评价组织内部状况可以包括,但不限于:
—— 管理方法、组织结构、作用和责任;
—— 方针、目标,以及为实现它们所制定的战略;
—— 以资源和知识来理解的能力(例如,资本、时间、人员、过程、系统和技术);
—— 信息系统、信息流和决策过程(正式和非正式的);
—— 与内部利益相关方的关系,以及它们的感受和价值观;
—— 组织的文化;
—— 被组织采用的标准、指南和模型;
—— 合同关系的形式和范围。
4.3.2 建立风险管理方针
风险管理方针宜清楚阐明组织风险管理的目标和承诺,特别要针对:
—— 组织管理风险的基本原理;
—— 组织目标和方针与风险管理方针的联系;
—— 管理风险的责任和职责;
—— 处理利益冲突的方法;
—— 提供有助于管理风险必要资源的承诺;
—— 风险管理绩效测量和报告的方法;
—— 对定期评审和改进风险管理方针和框架,以及对事件和环境变化做出响应的承诺。
风险管理方针宜适当地沟通。
4.3.3 责任
组织宜确保具备管理风险的责任、权限和适当的能力,包括实施和保持风险管理过程和确保任何控制措施的充分性、有效性和效率。这可通过如下途径来实现:
—— 确定有责任和权利管理风险的风险拥有者;
—— 确定负责建立、实施和保持风险管理框架的人员;
—— 确定组织所有层次人员的风险管理过程的其他职责;
—— 建立绩效测量和内部和外部报告和逐级报告过程;
—— 确保确定的合适程度。
4.3.4 整合到组织的过程
风险管理宜益相关、有效和有效率的方式嵌入到所有组织的实践和过程中。风险管理过程宜变成组织过程的部分,而不是分离的。特别是,风险管理宜嵌入方针制定、商业和战略策划和评审和变更管理过程中。
宜具备一个组织的广泛风险管理计划以确保风险管理方针的实施和将风险管理嵌入全部组织的实践和过程中。风险管理计划可以整合到组织其他的计划中,如战略计划。
4.3.5 资源
组织宜为风险管理配置适当的资源。
对如下方面宜予以考虑:
—— 人员、技能、经验和能力;
—— 对于风险管理过程的每步骤所需的资源;
—— 用于管理风险的组织的过程、方法和工具;
—— 形成文件的过程和程序;
—— 管理体系的信息和知识;
—— 培训方案。
4.3.6 建立内部沟通和报告机制
组织宜建立内部沟通和报告机制,用于支持和促进风险的责任和归属。这些机制宜确保:
—— 风险管理框架的关键要素和任何后续的更改被适当地沟通;
—— 对框架和其有效性及结果在内部充分地予以报告;
—— 风险管理的相关信息在适当的层次和时间予以获得;
—— 与内部利益相关方的协商过程被予以提供。
适当时,这些机制宜包括基于多源头强化风险信息的过程,以及可能需要考虑信息的敏感性。
4.3.7 建立外部沟通和报告机制
组织宜制定和实施一个关于如何与外部利益相关方沟通的计划。
这宜包括:
—— 吸引适当的外部利益相关方的关注和确保有效的信息交流;
—— 对外报告法律法规和管理要求的遵守情况;
—— 对沟通和协商进行报告和反馈;
1

鲜花

握手

雷人

路过

鸡蛋

刚表态过的朋友 (1 人)

收藏 邀请
发表评论

最新评论

客服热线
QQ:2394554903周一至周日:09:00 - 21:00
公司地址:苏州工业园区顺达商业广场1幢

优米医谷是一个旨为人类健康服务,专注于医疗行业的共享平台!

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.

Archiver|手机版|小黑屋|优米医谷. ( 苏ICP备18031907号 )

GMT+8, 2018-9-23 11:20 , Processed in 0.216472 second(s), 52 queries .

返回顶部