【文章內(nèi)容簡介】 管理流程（見第 5 款）在不同層級在組織特定環(huán)境的實施，確保管理風險的有效性。該框架確保在流程中派生出來的風險信息得以適當?shù)膱蟾?，并將其用來做出決策和使組織相關層級保持職責相關。本條款描述了框架中風險管理的各組成部分，及其相互聯(lián)系，如圖 2 所示。圖二 風險管理框架中各組成部分的關系本框架并非規(guī)定一個管理系統(tǒng)，目的在于協(xié)助組織將風險管理與其整個管理系統(tǒng)相整合。因此，組織可以采用框架適當?shù)牟糠忠赃m應其特殊的需要。 如果一個組織的現(xiàn)有管理方法和程序包括風險管理的組成部分，或者該組織針對特殊類型的風險和環(huán)境采用了正式的風險管理流程，那么，這些措施應嚴格審查，并參照這一國際標準，包括附件 A 中的內(nèi)容進行評估，以確保其充分性和有效性。 任務和承諾 風險管理的引進和確保其持續(xù)有效都需要組織的管理層強有力的、持續(xù)的承諾，以及嚴格的戰(zhàn)略規(guī)劃，實現(xiàn)組織各級成員的認同感。管理層應該：確保組織文化和風險管理政策相一致?確保使風險管理績效指標與組織績效指標相一致?使風險管理目標與組織目標和戰(zhàn)略相一致?確保為風險管理分配必要的資源?協(xié)調(diào)風險管理利益相關者之間的利益?確保風險管理框架穩(wěn)步進行。 風險管理框架的設計 在開始設計和實施風險管理框架之前，評價和了解組織的外部和內(nèi)部環(huán)境是非常重要的，因為這可以顯顯著影響框架的設計。評價組織的外部環(huán)境包括但不限于：a)社會和文化、法律、監(jiān)管，財政，技術，經(jīng)濟，自然和競爭環(huán)境，無論是國際，國家，區(qū)域或地方。b)影響組織目標的主要驅(qū)動因素和趨勢 c)與組織有相關觀念和價值的外部利益相關者 評價組織的內(nèi)部環(huán)境包括但不限于：治理、組織結(jié)構、角色和責任 ?可以實現(xiàn)這些目標的政策、目標和戰(zhàn)略措施 ?能力，資源和知識方面的理解（如資本、時間、人力、流程、系統(tǒng)和技術） ?信息系統(tǒng)、信息流和決策流程（包括正式和非正式） ?關系、觀念、內(nèi)部利益相關者和組織文化 ?標準、指導方針、組織采用的模型 ?合同關系的形式和程度 建立風險管理政策 風險管理政策應該清晰的闡述組織的目標和承諾，通常闡述以下：組織風險管理的基本原理。關聯(lián)組織目標和政策與風險管理政策。利益沖突的處理方法對風險管理執(zhí)行者提供必需的資源承諾風險管理績效測量和報告的方式?承諾定期檢討和改善風險管理政策和框架，并對環(huán)境的變化作出響應風險管理政策應當適當?shù)臏贤▊鬟_。 職責 組織應確保有責任，權力和適當?shù)哪芰韺嵤╋L險管理，包括實施和維護的風險管理程序，確保充分性，確保任何控制的妥善、效率和效果。這可以通過： ?識別風險擁有者，并賦予其職責和權力管理風險 ?識別對風險管理框架的開發(fā)、實施和維護富有責任的人 ?識別組織的各個層級對風險管理流程富有其他責任的人 融入組織流程 風險管理應以相關、效率、效果等方式嵌入組織的各個活動和流程之中。風險管理流程應該成為部分而非獨立于組織的流程。尤其，風險管理應植入組織的政策發(fā)展、業(yè)務和戰(zhàn)略規(guī)劃和回顧，及流程變更。 應該有一個組織范圍內(nèi)的風險管理計劃，以確保風險管理政策的執(zhí)行和風險管理被嵌入該組織的實踐和流程之中。風險管理計劃，可以集成到其他組織計劃，如戰(zhàn)略計劃。 資源 組織應為風險管理分配適當?shù)馁Y源，應該考慮以下方面：人力、技能、經(jīng)驗和能力 ??保障每個風險管理流程的步驟所需資源 ?組織的風險流程、方法和工具用于管理風險 ?信息和知識管理系統(tǒng)培訓 建立內(nèi)部溝通與報告機制 阻止應該建立內(nèi)部溝通和報告機制以支持和激勵風險的責任和所有權，這些機制應該保證：風險管理框架的組成部分的確定及隨后的修正應適當?shù)臏贤? ?框架的有效性和產(chǎn)出應做出適當?shù)膬?nèi)部報告 ?組織適當?shù)膶蛹壖皶r了解風險管理實施中的相關信息 ?與內(nèi)部有利益相關者協(xié)商的流程 這些機制應包括一些流程，以鞏固從各種方面來風險信息適當?shù)目紤]到敏感性。 建立外部溝通和報告機制 組織應該設計和實施如何與外部利益相關者溝通的計劃，包括：?鼓勵適當?shù)耐獠坷嫦嚓P者參與，并確保有效的信息交流 ?外部報告應該合法、合規(guī)，符合公司治理的需要 ?提供溝通和協(xié)商的反饋機制 ?運用溝通建立組織的信息在發(fā)生危機和緊急事件時，和利益相關者相溝通 這些機制應包括一些流程，以鞏固從各種方面來風險信息適當?shù)目紤]到敏感性。 風險管理的實施 風險管理框架的實施 在實施風險管理框架過程中，組織應該：確定實施該框架的適當時機和策略 ?運用風險管理政策和程序于組織程序符合法律法規(guī)的需要確保決策，包括制定和確定目標與風險管理流程的輸出相一致舉辦信息和培訓課程?與利益相關者溝通和協(xié)商，以確保其風險管理框架仍然適用 風險管理流程的實施 風險管理的實施，應該確保條款 5 中規(guī)定的風險管理流程要點通過風險管理計劃，并做為組織的活動和流程的組成部分貫穿于組織的相關層面和功能。 框架的監(jiān)控和檢查 為確保風險管理的有效性并且持續(xù)支撐組織的績效，組織應該： ?衡量風險管理績效與指標之間的差異，并開展定期檢查 ?定期衡量進展與風險管理計劃之間的偏差?結(jié)合組織的內(nèi)外部環(huán)境，對風險管理框架、政策和計劃的合理性進行定期檢查和回顧?對風險管理中的風險和進展進行報告，以及它們是如何與風險管理政策相一致的?檢查風險管理框架的有效性 根據(jù)監(jiān)測和檢查結(jié)果，決定應如何改善風險管理框架，政策和計劃。這些決定將提升該組織的風險管理和風險管理文化。 5 流程 概述 管理的一個組成部分植入組織的文化和實踐 ??根據(jù)組織的業(yè)務流程定制 它包括 ‐ 所描述的活動，風險管理流程如圖 3 所示。 圖三 風險管理流程 溝通和協(xié)商 與內(nèi)外部利益相關者的溝通和協(xié)商貫穿于風險管理的每個階段。 因此，溝通和協(xié)商的計劃應該提前制定。其內(nèi)容應該包括風險本身、風險成因，風險后果（如果可以預料）和對待風險的措施。開展有效的內(nèi)外部溝通和協(xié)商，可以確保風險管理流程實施流程的責任明確、利益相關者理解決策制定的基礎和為什么需要采取特殊行動的原因。一個協(xié)商工作組的方法可以：有助于建立適合的環(huán)境 確保利益相關者的利益可以被理解和被考慮?將不同領域的專業(yè)知識融入風險分析?在風險標準的制定和風險評價過程中，確保不同的意見都給與適當?shù)目紤]?期間加強風險管理流程適當?shù)淖兏芾恚? ?制定適當?shù)耐獠亢蛢?nèi)部溝通和協(xié)商計劃 與利益相關者