【文章內(nèi)容簡介】 ] 評審 review為達到所建立的目標，確定有關事務的適宜性、充分性和有效性所采取的活動。注：評審可應用于風險管理框架、風險管理過程、風險或控制措施。[ISO 導則73:2009, ]3 原則為了風險管理有效，組織宜在各個層次遵循以下原則。a）風險管理創(chuàng)造和保護價值風險管理有助于目標明確的實現(xiàn)和績效的改進，例如，在人員的健康安全、治安、法律法符合性、公眾接受性、環(huán)境保護、產(chǎn)品質(zhì)量、項目管理、運營效率、治理和聲譽方面。b）風險管理是整合在所有組織過程中的部分風險管理不是與組織的主要活動和過程分開的孤立活動。風險管理是管理職責的部分和整合在所有組織過程中的部分，包括戰(zhàn)略規(guī)劃、所有項目、變更管理過程。c）風險管理支持決策風險管理可以幫助決策者做出明智的選擇、優(yōu)先的措施和辨別行動方向。d）風險管理明晰解決不確定問題風險管理明確地闡述不確定性、不確定性的性質(zhì)、以及如何加以解決。e）風險管理具備系統(tǒng)、結(jié)構(gòu)化和及時性系統(tǒng)、及時和結(jié)構(gòu)化的風險管理方法有助于提高效率和取得一致、可衡量和可靠的結(jié)果。f）風險管理基于最可用的信息風險管理過程的輸入基于信息源，如歷史數(shù)據(jù)、經(jīng)驗、利益相關方的反饋、觀察、預測和專家判斷。然而，決策者宜告誡自身和考慮，數(shù)據(jù)或所使用模型的局限性，或者專家之間分歧的可能性。g）風險管理是量體裁衣的風險管理是與組織的外部和內(nèi)部狀況及風險狀況相匹配的。h）風險管理考慮人文因素風險管理認識到可以促進或阻礙組織目標實現(xiàn)的內(nèi)部和外部人員的能力、觀念和意圖。i）風險管理是透明和包容的利益相關方、尤其是組織各層面的決策者適當、及時的參與，確保了風險管理保持相關和先進性。參與過程也允許利益相關方適當?shù)匕l(fā)表意見，并將其觀點考慮到風險準則的確定中。j）風險管理是動態(tài)、迭代和應對變化的風險管理持續(xù)察覺和響應變化。由于外部和內(nèi)部事件發(fā)生，狀況和知識在改變，風險的監(jiān)測和評審在進行，新的風險出現(xiàn)，一些風險在改變，而另一些風險消失了。k）風險管理實現(xiàn)組織的持續(xù)改進組織宜制定和實施戰(zhàn)略，協(xié)同組織的其他方面共同改進風險管理的成熟度。附件A為希望更有效地實施管理風險的組織提供了進一步的建議。4 框架 總則風險管理的成功取決于提供將風險管理嵌入整個組織所有層次的基礎和安排的管理框架的有效性。框架有助于通過在組織不同層次和特定狀況內(nèi)應用風險管理過程，有效地管理風險?？蚣艽_保從風險管理過程取得的風險信息充分地被報告，以及作為決策和所有相關組織層次責任的基礎。本條款描述了風險管理框架的必要要素和其以迭代的方式相互作用的方法，如圖2。圖2 風險管理框架要素間的相互關系本框架目的不是規(guī)定一個管理體系，而是有助于組織將風險管理整合到它的整個管理體系中。因此，組織宜使框架的要素適用于其特定的需求。如果組織現(xiàn)存的管理實踐和過程包含風險管理要素，或者如果組織已經(jīng)針對特定的風險或狀況采納了一個正式的風險管理過程，那么對原有的這些實踐和過程宜針對本標準進行評審和評價，包括附錄A中包含的附加內(nèi)容，以確定它們的充分性和有效性。 指令和承諾風險管理的引入和確保它的持續(xù)有效需要組織管理著強有力和持續(xù)的承諾，以及為實現(xiàn)承諾在所有層次戰(zhàn)略的和嚴密的策劃。管理者宜：確定和簽署風險管理方針；確保組織的文化和風險管理方針一致；確定與組織績效參數(shù)一致的風險管理績效參數(shù)；使風險管理目標與組織的目標和戰(zhàn)略一致；確保法律法規(guī)的復合性；在組織內(nèi)適當?shù)膶哟畏峙湄熑魏吐氊?；確保為風險管理配置必要的資源；將風險管理的益處通報給所有的利益相關方；確保風險管理框架持續(xù)保持適宜。 風險管理框架的設計 理解組織和其狀況在開始設計和實施風險管理框架前，評價和理解組織內(nèi)外部的狀況是重要的，因為這會對框架的設計產(chǎn)生顯著的影響。評價組織外部狀況可以包括，但不限于：a)社會和文化、政治、法律法規(guī)、財務、技術(shù)、經(jīng)濟、自然和競爭環(huán)境，無論國際、國內(nèi)、區(qū)域和當?shù)?；b)影響組織目標的動力和趨勢；c)與外部利益相關方的關系，以及它們的感受和價值觀。評價組織內(nèi)部狀況可以包括，但不限于：—— 管理方法、組織結(jié)構(gòu)、作用和責任；—— 方針、目標，以及為實現(xiàn)它們所制定的戰(zhàn)略；—— 以資源和知識來理解的能力（例如，資本、時間、人員、過程、系統(tǒng)和技術(shù)）；—— 信息系統(tǒng)、信息流和決策過程（正式和非正式的）；—— 與內(nèi)部利益相關方的關系，以及它們的感受和價值觀；—— 組織的文化；—— 被組織采用的標準、指南和模型；—— 合同關系的形式和范圍。 建立風險管理方針風險管理方針宜清楚闡明組織風險管理的目標和承諾，特別要針對：—— 組織管理風險的基本原理；—— 組織目標和方針與風險管理方針的聯(lián)系；—— 管理風險的責任和職責；—— 處理利益沖突的方法；—— 提供有助于管理風險必要資源的承諾；—— 風險管理績效測量和報告的方法；—— 對定期評審和改進風險管理方針和框架，以及對事件和環(huán)境變化做出響應的承諾。風險管理方針宜適當?shù)販贤ā?責任組織宜確保具備管理風險的責任、權(quán)限和適當?shù)哪芰Γ▽嵤┖捅３诛L險管理過程和確保任何控制措施的充分性、有效性和效率。這可通過如下途徑來實現(xiàn)：—— 確定有責任和權(quán)利管理風險的風險擁有者；—— 確定負責建立、實施和保持風險管理框架的人員；—— 確定組織所有層次人員的風險管理過程的其他職責；—— 建立績效測量和內(nèi)部和外部報告和逐級報告過程；—— 確保確定的合適程度。 整合到組織的過程風險管理宜益相關、有效和有效率的方式嵌入到所有組織的實踐和過程中。風險管理過程宜變成組織過程的部分，而不是分離的。特別是，風險管理宜嵌入方針制定、商業(yè)和戰(zhàn)略策劃和評審和變更管理過程中。宜具備一個組織的廣泛風險管理計劃以確保風險管理方針的實施和將風險管理嵌入全部組織的實踐和過程中。風險管理計劃可以整合到組織其他的計劃中，如戰(zhàn)略計劃。 資源組織宜為風險管理配置適當?shù)馁Y源。對如下方面宜予以考慮：—— 人員、技能、經(jīng)驗和能力；—— 對于風險管理過程的每步驟所需的資源；—— 用于管理風險的組織的過程、方法和工具；—— 形成文件的過程和程序；—— 管理體系的信息和知識；—— 培訓方案。 建立內(nèi)部溝通和報告機制組織宜建立內(nèi)部溝通和報告機制，用于支持和促進風險的責任和歸屬。這些機制宜確保：—— 風險管理框架的關鍵要素和任何后續(xù)的更改被適當?shù)販贤?；—?對框架和其有效性及結(jié)果在內(nèi)部充分地予以報告；—— 風險管理的相關信息在適當?shù)膶哟魏蜁r間予以獲得；—— 與內(nèi)部利益相關方的協(xié)商過程被予以提供。適當時，這些機制宜包括基于多源頭強化風險信息的過程，以及可能需要考慮信息的敏感性。 建立外部溝通和報