GB T 24353-2009 风险管理.原则与实施指南.pdf
《GB T 24353-2009 风险管理.原则与实施指南.pdf》由会员分享,可在线阅读,更多相关《GB T 24353-2009 风险管理.原则与实施指南.pdf(14页珍藏版)》请在麦多课文档分享上搜索。
1、ICS 0310001A 02 雪雪中华人民共和国国家标准GBT 24353-2009风险管理 原则与实施指南Risk management-Principles and guidelines on implementation2009-09-30发布 2009-12-01实施丰瞀鹳紫瓣警糌瞥星发布中国国家标准化管理委员会仅19GBT 24353-2009目 次目口言T引言1范围12规范性引用文件13术语和定义14风险管理原则15风险管理过程26风险管理的实施6参考文献9刖 吾GBT 24353-2009本标准是风险管理系列标准中的指导性标准。本标准参考ISODIS 31000风险管理原则与实
2、施指南编制而成。本标准由全国质量管理与质量保证标准化技术委员会(SACTC 151)提出。本标准由全国风险管理标准化技术委员会(SACTC 310)归口。本标准起草单位:中国标准化研究院、第一会达风险管理科技有限公司、中国航空综合技术研究所、北京理工大学、中国科学院科技政策与管理科学研究所、北京大学。本标准主要起草人:高晓红、吕多加、汤万金、杨颖、汪邦军、刘铁忠、李建平、刘新立。GBT 24353-2009引 言任何类型和规模的组织都面临风险,组织的所有活动也都涉及风险。风险会影响组织目标的实现,这些目标可能关系到组织中从战略决策到运营的各种活动,包括各个过程和具体项目,表现在领导、战略、经营
3、、财务、环境、社会、声誉等各个方面。风险管理通过考虑不确定性及其对目标的影响,采取相应的措施,为组织的运营和决策及有效应对各类突发事件提供支持。风险管理适用于组织的全生命周期及其任何阶段,其适用范围包括整个组织的所有领域和层次,也包括组织的具体部门和活动。风险管理旨在保证组织恰当地应对风险,提高风险应对的效率和效果,增强行动的合理性,有效地配置资源。有效的风险管理应当融人到整个组织的理念、治理、管理、程序、方针策略以及文化等各方面。风险管理意识应当是整个组织文化的一部分。虽然风险管理在长期的实践中得到了发展,并在许多行业满足了不同的需要,但是目前还缺乏一个一般性的方法,用来保证风险管理一致、有
4、效的实施。本标准提供了风险管理的原则和实施的通用指南,有助于组织在任何范围和具体环境中以透明和可靠的方式实施风险管理。本标准有助于组织做到:提高风险管理意识;有效配置和使用风险管理资源;实施主动的、前瞻性的管理;改进对机会和威胁的识别;遵守相关法律法规及国际规范的要求;改善内部控制;改进财务报告;改善公司治理;改善运营效果和效率;提高利益相关者的信心和信任;为计划和决策奠定可靠的基础;提高健康、安全和环保水平;改进对事故的预防和处理;减少损失;提高组织的学习能力;增强组织的生存和持续发展能力。本标准的预期使用者是组织的利益相关者,如:组织的决策者;组织内部负责制定风险管理政策的人员;组织或活动
5、中实施风险管理的人员;需要对组织的风险管理实践进行评估的人员;组织中负责制定有关风险管理的标准、指南、程序、应用准则的人员;股东、董事会、高级管理人员、员工、债权人、供应商、顾客、银行、监管机构、合作伙伴等,以及其他需要确保组织管理其风险的人员。GBT 24353-2009考虑到风险的性质、重要程度和复杂性等方面的多样性,在实际应用时,组织可使用本标准提供的方法,识别具体的风险管理环境,以确保风险管理的合理性和适用性。许多组织在现有的管理实践和过程中已经实施了风险管理,或者已经对某些特定风险或具体领域采用了正式的风险管理过程,如内部控制。管理层可对照本标准对现有的风险管理实践和过程进行检查。本
6、标准是通用标准,旨在协调现有的和将来的标准中有关风险管理的内容。本标准提供通用的方法,为制定具体风险或具体行业的标准提供支持,而不是为了替代这些标准。1范围风险管理原则与实施指南GBT 24353-2009本标准提供了风险管理的原则和通用的实施指南。本标准适用于各种类型和规模的组织,适用于组织的全生命周期及其各阶段,也适用于组织的各种活动,包括流程管理、职能行为、项目管理以及与产品、服务、资产、运作和决策等有关的各项活动。本标准提供实施风险管理的通用指南,但风险管理的具体实施取决于组织的实际需要和具体实践。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注El期的引用文
7、件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GBT 23694风险管理术语3术语和定义GBT 23694确立的术语和定义适用于本标准。4风险管理原则为有效管理风险,组织在实施风险管理时,可遵循下列原则:a)控制损失,创造价值以控制损失、创造价值为目标的风险管理,有助于组织实现目标、取得具体可见的成绩和改善各方面的业绩,包括人员健康和安全、合规经营、信用程度、社会认可、环境保护、财务绩效、产品质量、运营效率和公司治理等方面。b)融人组织管理过程风险管理不是独立
8、于组织主要活动和各项管理过程的单独的活动,而是组织管理过程不可缺少的重要组成部分。c)支持决策过程组织的所有决策都应考虑风险和风险管理。风险管理旨在将风险控制在组织可接受的范围内,有助于判断风险应对是否充分、有效,有助于决定行动优先顺序并选择可行的行动方案,从而帮助决策者做出合理的决策。d)应用系统的、结构化的方法系统的、结构化的方法有助于风险管理效率的提升,并产生一致、可比、可靠的结果。e) 以信息为基础风险管理过程要以有效的信息为基础。这些信息可通过经验、反馈、观察、预测和专家判断等多种渠道获取,但使用时要考虑数据、模型和专家意见的局限性。f)环境依赖风险管理取决于组织所处的内部和外部环境
9、以及组织所承担的风险。需要特别指出的是,风险管理受人文因素的影响。g) 广泛参与、充分沟通组织的利益相关者之间的沟通,尤其是决策者在风险管理中适当、及时的参与,有助于保证风险管理的针对性和有效性。GBT 24353-2009利益相关者的广泛参与有助于其观点在风险管理过程中得到体现,其利益诉求在决定组织的风险偏好时得到充分考虑。利益相关者的广泛参与要建立在对其权利和责任明确认可的基础上。利益相关者之间需要进行持续、双向和及时的沟通,尤其是在重大风险事件和风险管理有效性等方面需要及时沟通。h)持续改进风险管理是适应环境变化的动态过程,其各步骤之间形成一个信息反馈的闭环。随着内部和外部事件的发生、组
10、织环境和知识的改变以及监督和检查的执行,有些风险可能会发生变化,一些新的风险可能会出现,另一些风险则可能消失。因此,组织应持续不断地对各种变化保持敏感并做出恰当反应。组织通过绩效测量、检查和调整等手段,使风险管理得到持续改进。5风险管理过程51概述风险管理过程是组织管理的有机组成部分,嵌入在组织文化和实践当中,贯穿于组织的经营过程。风险管理过程由52到55所描述的活动组成,即明确环境信息、风险评估、风险应对、监督和检查,如图1所示。其中,风险评估包括风险识别、风险分析和风险评价等三个步骤。沟通和记录,应贯穿于风险管理过程的各项活动中,56将对其进行详细说明。图1风险管理过程52明确环境信息52
11、1概述通过明确环境信息,组织可明确其风险管理的目标,确定与组织相关的内部和外部参数,并设定风险管理的范围和有关风险准则。522外部环境信息外部环境信息是组织在实现目标过程中所面临的外界环境的历史、现在和未来的各种相关信息。为保证在制定风险准则时能充分考虑外部利益相关者的目标和关注点,组织需要了解外部环境信2GBT 24353-2009息。外部环境信息以组织所处的整体环境为基础,包括法律和监管要求、利益相关者的诉求和与具体风险管理过程相关的其他方面的信息等。外部环境信息包括但不限于:国际、国内、地区及当地的政治、经济、文化、法律、法规、技术、金融以及自然环境和竞争环境;影响组织目标实现的外部关键
12、因素及其历史和变化趋势;外部利益相关者及其诉求、价值观、风险承受度;外部利益相关者与组织的关系等。523内部环境信息内部环境信息是组织在实现目标过程中所面临的内在环境的历史、现在和未来的各种相关信息。风险管理过程要与组织的文化、经营过程和结构相适应,包括组织内影响其风险管理的任何事物。组织需明确内部环境信息,因为:风险可能会影响组织战略、日常经营或项目运营等各个方面,从而进一步会影响组织的价值、信用和承诺等;风险管理在组织的特定目标和管理条件下进行;具体活动的目标和有关准则应放到组织整体目标的环境中考虑。内部环境信息可包括:组织的方针、目标以及经营战略;资源和知识方面的能力(如资金、时间、人力
13、、过程、系统和技术);信息系统、信息流和决策过程(包括正式的和非正式的);内部利益相关者及其诉求、价值观、风险承受度;采用的标准和模型;组织结构(包括治理结构、任务和责任等)、管理过程和措施;与风险管理实施过程有关的环境信息等。其中,风险管理过程的环境信息根据组织的需要而改变,它包括但不限于:所开展的风险管理工作的范围和目标,以及所需要的资源;风险管理过程的职责;应执行的风险管理活动的深度和广度;风险管理活动与组织其他活动之间的关系;风险评估的方法和使用的数据;风险管理绩效的评价方法;需要制定的决策;风险准则等。524确定风险准则风险准则是组织用于评价风险重要程度的标准。因此,风险准则需体现组
14、织的风险承受度,应反映组织的价值观、目标和资源。有些风险准则直接或间接反映了法律和法规要求或其他需要组织遵循的要求。风险准则应当与组织的风险管理方针一致。具体的风险准则应尽可能在风险管理过程开始时制定,并持续不断地检查和完善。确定风险准则时要考虑以下因素:可能发生的后果的性质、类型以及后果的度量;可能性的度量;可能性和后果的时限;风险的度量方法;风险等级的确定;3GBT 24353-2009利益相关者可接受的风险或可容许的风险等级;多种风险的组合的影响。通过对以上因素及其他相关因素的关注,将有助于保证组织所采用的风险管理方法适合于组织现状及其所面临的风险。53风险评估531概述风险评估包括风险
15、识别、风险分析和风险评价三个步骤。532风险识别风险识别是通过识别风险源、影响范围、事件及其原因和潜在的后果等,生成一个全面的风险列表。识别风险不仅要考虑有关事件可能带来的损失,也要考虑其中蕴含的机会。进行风险识别时要掌握相关的和最新的信息,必要时,需包括适用的背景信息。除了识别可能发生的风险事件外,还要考虑其可能的原因和可能导致的后果,包括所有重要的原因和后果。不论风险事件的风险源是否在组织的控制之下,或其原因是否已知,都应对其进行识别。此外,要关注已经发生的风险事件,特别是新近发生的风险事件。识别风险需要所有相关人员的参与。组织所采用的风险识别工具和技术应当适合于其目标、能力及其所处环境。
16、533风险分析风险分析是根据风险类型、获得的信息和风险评估结果的使用目的,对识别出的风险进行定性和定量的分析,为风险评价和风险应对提供支持。风险分析要考虑导致风险的原因和风险源、风险事件的正面和负面的后果及其发生的可能性、影响后果和可能性的因素、不同风险及其风险源的相互关系以及风险的其他特性,还要考虑现有的管理措施及其效果和效率。在风险分析中,应考虑组织的风险承受度及其对前提和假设的敏感性,并适时与决策者和其他利益相关者有效地沟通。另外,还要考虑可能存在的专家观点中的分歧及数据和模型的局限性。根据风险分析的目的、获得的信息数据和资源,风险分析可以是定性的、半定量的、定量的或以上方法的组合。一般
17、情况下,首先采用定性分析,初步了解风险等级和揭示主要风险。适当时,进行更具体和定量的风险分析。后果和可能性可通过专家意见确定,或通过对事件或事件组合的结果建模确定,也可通过对实验研究或可获得的数据的推导确定。对后果的描述可表达为有形或无形的影响。在某些情况下,可能需要多个指标来确切描述不同时间、地点、类别或情形的后果。534风险评价风险评价是将风险分析的结果与组织的风险准则比较,或者在各种风险的分析结果之间进行比较,确定风险等级,以便做出风险应对的决策。如果该风险是新识别的风险,则应当制定相应的风险准则,以便评价该风险。风险评价的结果应满足风险应对的需要,否则,应做进一步分析。有时,根据已经制
18、定的风险准则,风险评价使组织做出维持现有的风险应对措施,不采取其他新的措施的决定。54风险应对541概述风险应对是选择并执行一种或多种改变风险的措施,包括改变风险事件发生的可能性或后果的措施。风险应对决策应当考虑各种环境信息,包括内部和外部利益相关者的风险承受度,以及法律、法规和其他方面的要求等。风险应对措施的制订和评估可能是一个递进的过程。对于风险应对措施,应评估其剩余风险是否可以承受。如果剩余风险不可承受,应调整或制定新的风险应对措施,并评估新的风险应对措施的效果,直到剩余风险可以承受。执行风险应对措施会引起组织风险的改变,需要跟踪、监督风险应对的效4GBT 24353-2009果和组织的
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
5000 积分 0人已下载
下载 | 加入VIP,交流精品资源 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB 24353 2009 风险 管理 原则 实施 指南
