《风险管理过程讲义》由会员分享,可在线阅读,更多相关《风险管理过程讲义(69页珍藏版)》请在金锄头文库上搜索。
1、第五章第五章 风险管理过程风险管理过程1 1 1 1风险管理过程风险管理过程 risk management processrisk management process管理方针、程序和惯例对沟通、协商、明管理方针、程序和惯例对沟通、协商、明确环境、以及识别、分析、评价、处理、确环境、以及识别、分析、评价、处理、监测和评审风险活动的系统应用监测和评审风险活动的系统应用。 风险管理过程风险管理过程2 2 2 2风险管理过程风险管理过程3 3 3 3 风险管理过程风险管理过程风险管理过程组成风险管理过程组成沟通和协商沟通和协商明确环境明确环境风险评估风险评估风险处理风险处理监测和评审监测和评审记录
2、风险管理过程记录风险管理过程4 4 4 4 风险管理过程风险管理过程风险管理过程组成风险管理过程组成沟通和协商沟通和协商明确环境明确环境风险评估风险评估风险处理风险处理监测和评审监测和评审记录风险管理过程记录风险管理过程5 5 5 5风险管理过程组成风险管理过程组成风险管理过程是组织管理的有机组成部分,风险管理过程是组织管理的有机组成部分,嵌入在组织文化和实践当中,贯穿于组织的嵌入在组织文化和实践当中,贯穿于组织的经营过程。经营过程。风险管理过程由明确环境信息、风险评估、风险管理过程由明确环境信息、风险评估、风险处理、监测和评审所描述的活动组成。风险处理、监测和评审所描述的活动组成。风险评估包
3、括风险识别、风险分析和风险评风险评估包括风险识别、风险分析和风险评价等三个步骤。价等三个步骤。沟通和记录,应贯穿于风险管理过程沟通和记录,应贯穿于风险管理过程6 6 6 6风险管理过程组成风险管理过程组成7 7 7 7 风险管理过程组成活动风险管理过程组成活动(1 1)沟通和协商(咨询)沟通和协商(咨询)(2 2)明确环境)明确环境(3 3)风险评估)风险评估(4 4)风险处理(应对)风险处理(应对)(5 5)监测和评审(监督和检查)监测和评审(监督和检查)(6 6)记录风险管理过程)记录风险管理过程8 8 8 8 风险管理过程风险管理过程风险管理过程组成风险管理过程组成沟通和协商沟通和协商明
4、确环境明确环境风险评估风险评估风险处理风险处理监测和评审监测和评审记录风险管理过程记录风险管理过程9 9 9 91.1.与利益相关者沟通和协商与利益相关者沟通和协商沟通和协商沟通和协商 communication and consultationcommunication and consultation组织针对风险管理,提供、共享或获取信息,与组织针对风险管理,提供、共享或获取信息,与利益相关方进行对话的持续和反复的过程。利益相关方进行对话的持续和反复的过程。在风险管理过程的每一个阶段都应当与内部和外在风险管理过程的每一个阶段都应当与内部和外部利益相关者有效沟通和协商。沟通和协商计划部利益相
5、关者有效沟通和协商。沟通和协商计划宜在早期制定。该计划针对与风险本身、风险成宜在早期制定。该计划针对与风险本身、风险成因、风险后果(如果掌握)以及处理风险措施相因、风险后果(如果掌握)以及处理风险措施相关的问题。为确保实施风险管理过程的职责明确,关的问题。为确保实施风险管理过程的职责明确,以及利益相关者理解决策的基础和特定措施需求以及利益相关者理解决策的基础和特定措施需求的原因,采取有效的外部和内部沟通和协商。的原因,采取有效的外部和内部沟通和协商。沟通和协商沟通和协商101010101.1.与利益相关者沟通和协商与利益相关者沟通和协商与利益相关者的沟通协商是重要的,由于他们基与利益相关者的沟
6、通协商是重要的,由于他们基于对风险的感知,做出了对风险的判断。这些感于对风险的感知,做出了对风险的判断。这些感知可以由于利益相关者的价值观、需求、臆断、知可以由于利益相关者的价值观、需求、臆断、概念和关注点的不同而变化。概念和关注点的不同而变化。由于利益相关者的观点会对决策产生重大影响,由于利益相关者的观点会对决策产生重大影响,因此他们的感知以被识别、记录、以及在决策过因此他们的感知以被识别、记录、以及在决策过程中考虑。程中考虑。沟通和协商宜提供真实的、相关的、准确的、便沟通和协商宜提供真实的、相关的、准确的、便于理解的交流信息,同时宜考虑到保密和个人诚于理解的交流信息,同时宜考虑到保密和个人
7、诚实因素。实因素。沟通和协商沟通和协商111111112.2.协商团队方法协商团队方法适当地帮助明确环境;适当地帮助明确环境;确保利益相关者的利益被理解和考虑;确保利益相关者的利益被理解和考虑;帮助确保风险充分地被识别;帮助确保风险充分地被识别;将不同领域的专业知识一并用于分析风险;将不同领域的专业知识一并用于分析风险;确保在界定风险准则和评定风险时,不同的观点被恰当地确保在界定风险准则和评定风险时,不同的观点被恰当地考虑;考虑;确保认同和支持风险处理(应对)计划;确保认同和支持风险处理(应对)计划;加强在风险管理过程中的变更管理;加强在风险管理过程中的变更管理;制定一个恰当的内部和外部沟通和
8、协商计划。制定一个恰当的内部和外部沟通和协商计划。沟通和协商沟通和协商12121212 风险管理过程风险管理过程风险管理过程组成风险管理过程组成沟通和协商沟通和协商明确环境明确环境风险评估风险评估风险处理风险处理监测和评审监测和评审记录风险管理过程记录风险管理过程131313131.1.明确组织环境(背景)明确组织环境(背景)明确环境(状况)明确环境(状况)establishing the contextestablishing the context通过明确环境,组织明确其目标,界定风险管通过明确环境,组织明确其目标,界定风险管理应该考虑的外部和内部参数,并设置风险管理应该考虑的外部和内部参
9、数,并设置风险管理过程的范围和风险准则。理过程的范围和风险准则。尽管许多此类参数与风险管理框架设计时所考尽管许多此类参数与风险管理框架设计时所考虑的参数类似,但在明确风险管理过程的状况虑的参数类似,但在明确风险管理过程的状况时,这些参数需要细致地,特别是与特定风险时,这些参数需要细致地,特别是与特定风险管理过程联系起来考虑。管理过程联系起来考虑。明确环境明确环境141414142.2.明确外部环境明确外部环境外部环境是组织在实现目标过程中所面临的外外部环境是组织在实现目标过程中所面临的外界环境的历史、现在和未来的各种相关信息。界环境的历史、现在和未来的各种相关信息。为保证在制定风险准则时能充分
10、考虑外部利益为保证在制定风险准则时能充分考虑外部利益相关者的目标和关注点,组织需要了解外部环相关者的目标和关注点,组织需要了解外部环境。外部环境以组织所处的整体环境为基础,境。外部环境以组织所处的整体环境为基础,包括法律和监管要求、利益相关者的诉求和与包括法律和监管要求、利益相关者的诉求和与具体风险管理过程相关的其他方面的信息等。具体风险管理过程相关的其他方面的信息等。明确环境明确环境15151515外部环境信息包括但不限于:外部环境信息包括但不限于:国际、国内、地区及当地的政治、经济、国际、国内、地区及当地的政治、经济、 文化、法律、法规、技术、金融以及自然文化、法律、法规、技术、金融以及自
11、然 环境和竞争环境;环境和竞争环境;影响组织目标实现的外部关键因素及其历影响组织目标实现的外部关键因素及其历 史和变化趋势;史和变化趋势;外部利益相关者及其诉求、价值观、风险外部利益相关者及其诉求、价值观、风险 承受度;外部利益相关者与组织的关系等。承受度;外部利益相关者与组织的关系等。明确环境明确环境161616162.2.明确内部环境明确内部环境内部环境是组织在实现目标过程中所面临内部环境是组织在实现目标过程中所面临的内在环境的历史、现在和未来的各种相的内在环境的历史、现在和未来的各种相关信息。关信息。风险管理过程要与组织的文化、经营过程风险管理过程要与组织的文化、经营过程和结构相适应,包
12、括组织内影响其风险管和结构相适应,包括组织内影响其风险管理的任何事物。理的任何事物。明确环境明确环境171717172.2.明确内部环境明确内部环境组织需明确内部环境信息,因为:组织需明确内部环境信息,因为: 风险可能会影响组织战略、日常经营或风险可能会影响组织战略、日常经营或项目运营等各个方面,从而进一步会影响组织项目运营等各个方面,从而进一步会影响组织的价值、信用和承诺等;的价值、信用和承诺等; 风险管理在组织的特定目标和管理条件风险管理在组织的特定目标和管理条件下进行;下进行; 具体活动的目标和有关准则应放到组织具体活动的目标和有关准则应放到组织整体目标的环境中考虑。整体目标的环境中考虑
13、。明确环境明确环境18181818理解内部环境是必要的,可包括,但不仅限于:理解内部环境是必要的,可包括,但不仅限于: 治理、组织结构、作用和责任;治理、组织结构、作用和责任; 方针、目标,为实现方针和目标制定的战略;方针、目标,为实现方针和目标制定的战略; 基于资源和知识理解的能力(如:资金、时间、基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);人员、过程、系统和技术); 与内部利益相关方的关系,内部利益相关者的与内部利益相关方的关系,内部利益相关者的观点和价值观;观点和价值观; 组织的文化;组织的文化; 信息系统、信息流和决策过程;信息系统、信息流和决策过程; 组织所采
14、用的标准、指南和模式;组织所采用的标准、指南和模式; 合同关系的形式与范围。合同关系的形式与范围。明确环境明确环境191919193.3.明确风险管理过程状况明确风险管理过程状况确立组织活动的目标、策略、范围和参数,确立组织活动的目标、策略、范围和参数,或风险管理过程应用到的组织的那些部分。或风险管理过程应用到的组织的那些部分。风险管理宜充分考虑满足开展风险管理的风险管理宜充分考虑满足开展风险管理的资源需求。资源需求。所需的资源、职责、权限和要保存的记录所需的资源、职责、权限和要保存的记录也宜予以规定。也宜予以规定。明确环境明确环境20202020风险管理过程的状况根据组织需求而变化。风险管理
15、过程的状况根据组织需求而变化。可以包括,但不仅限于:可以包括,但不仅限于: 确定风险管理活动的目标;确定风险管理活动的目标; 确定风险管理过程的职责;确定风险管理过程的职责; 确定所要开展的风险管理活动的范围以确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延;及深度、广度,包括具体的内涵和外延; 以时间和地点,界定活动、过程、职能、以时间和地点,界定活动、过程、职能、项目、产品、服务或资产;项目、产品、服务或资产; 界定组织特定项目、过程或活动与其他界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系;项目、过程或活动之间的关系;明确环境明确环境21212121 确
16、定风险评估的方法;确定风险评估的方法; 确定评价风险管理的绩效和有效性的方确定评价风险管理的绩效和有效性的方法;法; 识别和规定所必须要做出的决策;识别和规定所必须要做出的决策; 确定所需的范围或框架性研究,它们的确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源。程度和目标,以及此种研究所需资源。对这些和其他相关因素的关注,有助于确保所对这些和其他相关因素的关注,有助于确保所采用的风险管理方法适合于环境、组织、以及采用的风险管理方法适合于环境、组织、以及影响目标实现的风险。影响目标实现的风险。明确环境明确环境222222224 4确定风险准则确定风险准则(1 1)风险准则)风
17、险准则 risk criteriarisk criteria 评价风险重要程度的依据。评价风险重要程度的依据。风险准则需体现组织的风险承受度,应反映组风险准则需体现组织的风险承受度,应反映组织的价值观、目标和资源。有些风险准则直接织的价值观、目标和资源。有些风险准则直接或间接反映了法律和法规要求或其他需要组织或间接反映了法律和法规要求或其他需要组织遵循的要求。遵循的要求。风险准则应当与组织的风险管理方针一致。具风险准则应当与组织的风险管理方针一致。具体的风险准则应尽可能在风险管理过程开始时体的风险准则应尽可能在风险管理过程开始时制定,并持续不断地检查和完善制定,并持续不断地检查和完善。明确环境
18、明确环境23232323(2 2)确定风险准则时要考虑因素:)确定风险准则时要考虑因素:可能发生的后果的性质、类型以及后果的度量;可能发生的后果的性质、类型以及后果的度量;可能性的度量;可能性的度量;可能性和后果的时限;可能性和后果的时限;风险的度量方法;风险的度量方法;风险等级的确定;风险等级的确定;利益相关者可接受的风险或可容许的风险等级;利益相关者可接受的风险或可容许的风险等级;多种风险的组合的影响多种风险的组合的影响明确环境明确环境24242424 风险管理过程风险管理过程风险管理过程组成风险管理过程组成沟通和协商沟通和协商明确环境明确环境风险评估风险评估风险处理风险处理监测和评审监测
19、和评审记录风险管理过程记录风险管理过程25252525风险评估风险评估 risk assessment risk assessment 包括风险分析和风险评价在内的全部过程。包括风险分析和风险评价在内的全部过程。风险评估过程包括:风险评估过程包括:风险识别风险识别风险分析风险分析风险评价风险评价风险评估风险评估26262626风险评估有助于决策者对风险及其原因、风险评估有助于决策者对风险及其原因、后果和可能性有更充分的理解。为以下决后果和可能性有更充分的理解。为以下决策提供信息:策提供信息: (1 1)是否应该开展某些活动;)是否应该开展某些活动; (2 2)如何充分利用时机;)如何充分利用时
20、机; (3 3)是否需要应对风险;)是否需要应对风险; (4 4)选择不同风险的应对策略;)选择不同风险的应对策略; (5 5)确定风险应对策略的优先次序;)确定风险应对策略的优先次序; (6 6)选择最适合的风险应对策略,将风险的不利)选择最适合的风险应对策略,将风险的不利影响控制在可以接受的水平。影响控制在可以接受的水平。风险评估风险评估272727271.1.风险识别风险识别(1 1)风险识别的含义)风险识别的含义 风险识别风险识别 risk identificationrisk identification发现、列举和描述风险要素的过程。发现、列举和描述风险要素的过程。风险识别是通过识
21、别风险源、影响范围、风险识别是通过识别风险源、影响范围、事件及其原因和潜在的后果等,生成一个事件及其原因和潜在的后果等,生成一个全面的风险列表。识别风险不仅要考虑有全面的风险列表。识别风险不仅要考虑有关事件可能带来的损失,也要考虑其中蕴关事件可能带来的损失,也要考虑其中蕴含的机会。含的机会。风险评估风险评估28282828(2 2)风险识别的过程)风险识别的过程进行风险识别时要掌握相关的和最新的信息,必要进行风险识别时要掌握相关的和最新的信息,必要时,需包括适用的背景信息。除了识別可能发生的时,需包括适用的背景信息。除了识別可能发生的风险事件外,还要考虑其可能的原因和可能导致的风险事件外,还要
22、考虑其可能的原因和可能导致的后果,包括所有重要的原因和后果。不论风险事件后果,包括所有重要的原因和后果。不论风险事件的风险源是否在组织的控制之下,或其原因是否已的风险源是否在组织的控制之下,或其原因是否已知,都应对其进行识别。此外,要关注已经发生的知,都应对其进行识别。此外,要关注已经发生的风险事件,特别是新近发生的风险事件。风险事件,特别是新近发生的风险事件。识别风险需要所有相关人员的参与。组织所采用的识别风险需要所有相关人员的参与。组织所采用的风险识别工具和技术应当适合于其目标、能力及其风险识别工具和技术应当适合于其目标、能力及其所处环境。所处环境。风险评估风险评估29292929(3 3
23、)风险识别方法)风险识别方法风险识别方法包括:风险识别方法包括:基于证据的方法,例如检查表法以及对历史数据的基于证据的方法,例如检查表法以及对历史数据的审查;审查;系统性的团队方法,例如一个专家团队可以借助于系统性的团队方法,例如一个专家团队可以借助于一套结构化的提示或问题来系统地识别风险;一套结构化的提示或问题来系统地识别风险;归纳推理技术,例如危险与可操作性分析归纳推理技术,例如危险与可操作性分析(HAZOPHAZOP)等。)等。组织可利用各种支持性的技术来提高风险识别工作组织可利用各种支持性的技术来提高风险识别工作的准确性和完整性,包括头脑风暴法及德尔菲法的准确性和完整性,包括头脑风暴法
24、及德尔菲法等。等。风险评估风险评估303030302.2.风险分析风险分析(1 1)风险分析的含义)风险分析的含义 风险分析风险分析 risk analysisrisk analysis系统地运用相关信息来确认风险的来源系统地运用相关信息来确认风险的来源 ,并对风,并对风险进行估计。险进行估计。风险分析要考虑导致风险的原因和风险源、风险风险分析要考虑导致风险的原因和风险源、风险事件的正面和负面的后果及其发生的可能性、影事件的正面和负面的后果及其发生的可能性、影响后果和可能性的因素、不同风险及其风险源的响后果和可能性的因素、不同风险及其风险源的相互关系以及风险的其他特性,还要考虑现有的相互关系以
25、及风险的其他特性,还要考虑现有的管理措施及其效果和效率。管理措施及其效果和效率。风险评估风险评估31313131(2 2)风险分析的考虑要素)风险分析的考虑要素在风险分析中,应考虑组织的风险承受度及其对在风险分析中,应考虑组织的风险承受度及其对前提和假设的敏感性,并适时与决策者和其他利前提和假设的敏感性,并适时与决策者和其他利益相关者有效地沟通另外,还要考虑可能存在益相关者有效地沟通另外,还要考虑可能存在的专家观点中的分歧及数据和模型的局限性。的专家观点中的分歧及数据和模型的局限性。(3 3)风险分析的方法)风险分析的方法根据风险分析的目的、获得的信息数据和资源,根据风险分析的目的、获得的信息
26、数据和资源,风险分析可以是定性的、半定量的、定量的或以风险分析可以是定性的、半定量的、定量的或以上方法的组合。一般情况下,首先采用定性分析,上方法的组合。一般情况下,首先采用定性分析,初步了解风险等级和揭示主要风险。适当时,进初步了解风险等级和揭示主要风险。适当时,进行更具体和定量的风险分析。行更具体和定量的风险分析。风险评估风险评估32323232(4 4)风险分析的结果)风险分析的结果后果和可能性可通过专家意见确定,或通后果和可能性可通过专家意见确定,或通过对事件或事件组合的结果建模确定,也过对事件或事件组合的结果建模确定,也可通过对实验研究或可获得的数据的推导可通过对实验研究或可获得的数
27、据的推导确定。确定。对后果的描述可表达为有形或无形的影响。对后果的描述可表达为有形或无形的影响。在某些情况下,可能需要多个指标来确切在某些情况下,可能需要多个指标来确切描述不同时间、地点、类别或情形的后果。描述不同时间、地点、类别或情形的后果。风险评估风险评估33333333(4 4)风险分析的结果)风险分析的结果定性评估定性评估半定量法半定量法定量分析定量分析(5 5)控制措施评估)控制措施评估(6 6)后果分析)后果分析(7 7)可能性分析和概率估计(风险估计)可能性分析和概率估计(风险估计)(8 8)初步分析)初步分析(9 9)不确定性及敏感性因素)不确定性及敏感性因素风险评估风险评估3
28、43434343.3.风险评价风险评价(1 1)风险评价的含义)风险评价的含义风险评价风险评价 risk evaluationrisk evaluation将估计后风险与给定的风险准则对比,来将估计后风险与给定的风险准则对比,来决定风险严重性的过程。决定风险严重性的过程。与组织确定的风险准则进行对照,以决定与组织确定的风险准则进行对照,以决定风险的水平并确定控制风险的优先顺序。风险的水平并确定控制风险的优先顺序。经过风险评价,确定该风险是可承受还是经过风险评价,确定该风险是可承受还是需进行处理(分别采用风险规避、风险优需进行处理(分别采用风险规避、风险优化、风险转移或风险保留等措施)。化、风险
29、转移或风险保留等措施)。风险评估风险评估35353535(2 2)风险评价决策)风险评价决策风险评价利用风险分析过程中所获得的对风险评价利用风险分析过程中所获得的对风险的认识,来对未来的行动进行决策。风险的认识,来对未来的行动进行决策。道德、法律、资金以及包括风险偏好在内道德、法律、资金以及包括风险偏好在内的其它因素也是决策的参考信息。的其它因素也是决策的参考信息。决策包括:决策包括: 某个风险是否需要应对;某个风险是否需要应对; 风险的应对优先次序;风险的应对优先次序; 是否应开展某项应对活动;是否应开展某项应对活动; 应该采取哪种途径。应该采取哪种途径。风险评估风险评估36363636(3
30、 3)风险评价结果)风险评价结果风险评价的结果应满足风险应对的需要,风险评价的结果应满足风险应对的需要,否则,应做进一步分析。否则,应做进一步分析。有时,根据已经制定的风险准则,风险评有时,根据已经制定的风险准则,风险评价使组织做出维持现有的风险应对措施,价使组织做出维持现有的风险应对措施,不采取其他新的措施的决定。不采取其他新的措施的决定。风险评估风险评估37373737常见的方法是将风险划分为三个等级段。常见的方法是将风险划分为三个等级段。基础于基础于“最低合理可行最低合理可行”原则(原则(As Low As As Low As Aeasonable PracticableAeasonab
31、le Practicable,简称,简称ALARPALARP)。)。(1 1)上段是指无论活动能带来什么利益,风险等级)上段是指无论活动能带来什么利益,风险等级都是无法容忍的,必须不惜代价进行风险处理;都是无法容忍的,必须不惜代价进行风险处理;(2 2)中段是指要考虑实施风险应对的成本与收益,)中段是指要考虑实施风险应对的成本与收益,并权衡机遇与潜在结果;并权衡机遇与潜在结果;(3 3)下段是指风险等级微不足道,或者风险很小,)下段是指风险等级微不足道,或者风险很小,无需采取风险处理措施。无需采取风险处理措施。风险评价的结果应满足风险处理的需要,否则,风险评价的结果应满足风险处理的需要,否则,
32、应做进一步分析。应做进一步分析。风险评估风险评估383838384.4.风险评估技术的选择风险评估技术的选择技术的选择技术的选择可用资源可用资源不确定性的性质和程度不确定性的性质和程度复杂性复杂性风险评估风险评估393939395.5.常用风险评估技术常用风险评估技术ISO/IEC30010 ISO/IEC30010 风险管理风险管理 风险评估技术风险评估技术标准给出了对于风险评估的每一步,各标准给出了对于风险评估的每一步,各类技术的适用性被描述为非常适用、适用类技术的适用性被描述为非常适用、适用或者不适用的不同类型。或者不适用的不同类型。风险评估风险评估40404040风险评估风险评估工具工
33、具及技术及技术风险评估过程风险评估过程风险识别风险识别风险分析风险分析风险评价风险评价后果后果可能性可能性风险等级风险等级头脑风暴法头脑风暴法 SAAA AA结构化结构化/ /半结半结构化访谈构化访谈SAAAAA德尔菲法德尔菲法SAAAAA 情景分析情景分析SAAAAA 风险矩阵风险矩阵SA SA SA SA A FMEAFMEA SANANANANAHAZOPSASANANASA 3131种技术种技术SA 表示:非常适用表示:非常适用A表示:适用表示:适用NA 表示:不适用表示:不适用414141415.5.常用风险评估技术常用风险评估技术从从ISO/IEC30010 ISO/IEC3001
34、0 风险管理风险管理 风险评估技风险评估技术术标准选择标准选择3 3个常用的方法。个常用的方法。情景分析情景分析FMEAFMEA风险矩阵风险矩阵风险评估风险评估42424242(1 1)情景分析)情景分析情景分析(情景分析(Scenario AnalysisScenario Analysis)是指通过分析未)是指通过分析未来可能发生的各种情景,以及各种情景可能产生来可能发生的各种情景,以及各种情景可能产生的影响来分析风险的一类方法。换句话说,情景的影响来分析风险的一类方法。换句话说,情景分析是类似分析是类似“如果如果- -怎样怎样”的分析方法。未来总的分析方法。未来总是不确定的,而情景分析使我
35、们能够是不确定的,而情景分析使我们能够“预见预见”将将来,对未来的不确定性有一个直观的认识。来,对未来的不确定性有一个直观的认识。用情景分析法来进行预测,不仅能得出具体的预用情景分析法来进行预测,不仅能得出具体的预测结果,而且还能分析达到未来不同发展情景的测结果,而且还能分析达到未来不同发展情景的可行性以及提出需要采取的技术、经济和政策措可行性以及提出需要采取的技术、经济和政策措施,为管理者决策提供依据施,为管理者决策提供依据。风险评估风险评估43434343a.a.输入输入b.b.过程过程使用一系列情景,关注每个情景参数的合理变化使用一系列情景,关注每个情景参数的合理变化为每个情景编写一个为
36、每个情景编写一个“故事故事”,讲述如何从此时,讲述如何从此时此地转向主题情景。这些故事可以包括那些能为此地转向主题情景。这些故事可以包括那些能为情景带来附加值的合理细节。情景带来附加值的合理细节。这些情景可以用来测试或评估最初的问题。这项这些情景可以用来测试或评估最初的问题。这项测试考虑到任何重要但可预测的因素(例如,使测试考虑到任何重要但可预测的因素(例如,使用模式),然后分析政策在这种新情景中的用模式),然后分析政策在这种新情景中的“成成功功”概率,并通过使用以模型假设为基础的概率,并通过使用以模型假设为基础的“假假定分析定分析”来来“预先测定预先测定”结果。结果。风险评估风险评估4444
37、4444c.c.输出输出可能不会有最合适的情景,但可以对最终应对各可能不会有最合适的情景,但可以对最终应对各种选项以及随着指标的变化而调整行动方案的方种选项以及随着指标的变化而调整行动方案的方法有更清晰的认识。法有更清晰的认识。d.PESTd.PEST分析分析 政治政治(political)(political)、经济、经济(economical)(economical)、社会、社会(social)(social)、技术、技术(technological) (technological) e.e.基于基于SWOTSWOT分析的道斯矩阵分析的道斯矩阵优势(优势(StrengthStrength)
38、、劣势()、劣势(WeaknessWeakness)、外部机)、外部机会(会(OpportunityOpportunity)、外部威胁()、外部威胁(ThreatThreat) 风险评估风险评估45454545风险评估风险评估 威胁威胁威胁威胁46464646f.f.利益相关性分析:相关的利益群体是哪些?利益相关性分析:相关的利益群体是哪些? 他们有什么样的利益诉求?这些利益需求的他们有什么样的利益诉求?这些利益需求的 变化趋势是怎样的变化趋势是怎样的 风险评估风险评估TT机会机会机会机会OO威胁威胁威胁威胁SS优势优势优势优势W劣势劣势47474747(2 2)失效模式和效应分析()失效模式
39、和效应分析(Failure Mode and Failure Mode and Effect AnalysisEffect Analysis,简称,简称FMEAFMEA)是用来识别组)是用来识别组件或系统未能达到其设计意图的方法。件或系统未能达到其设计意图的方法。FMEA FMEA 用于识别:系统各部分所有潜在的失效模式用于识别:系统各部分所有潜在的失效模式(失效模式是被观察到的是失误或操作不当);这(失效模式是被观察到的是失误或操作不当);这些故障对系统的影响;故障原因;如何避免故障及些故障对系统的影响;故障原因;如何避免故障及/ /或减弱故障对系统的影响。或减弱故障对系统的影响。失效模式、
40、效应和危害度分析(失效模式、效应和危害度分析(Failure Mode and Failure Mode and Effect and Criticality AnalysisEffect and Criticality Analysis,简称,简称FMECAFMECA)拓展了拓展了FMEA FMEA 的使用范围。根据其重要性和危害程的使用范围。根据其重要性和危害程度,度,FMECA FMECA 可对每种被识别的失效模式进行排序。可对每种被识别的失效模式进行排序。风险评估风险评估48484848过程过程a.a.将系统分成组件或步骤;将系统分成组件或步骤;b.b.对于列出的各组件或步骤,确认:对
41、于列出的各组件或步骤,确认:S:S:严重度严重度 severity severity0:0:发生频度发生频度 occurrence occurrence D:D:探测度探测度 detectiondetectionRPNRPN(风险系数)(风险系数)= = S S X O O X D D风险评估风险评估49494949(3 3)风险矩阵)风险矩阵风险矩阵(风险矩阵(Risk MatrixRisk Matrix)是一种将定性或)是一种将定性或半定量的后果分级与产生一定水平的风险半定量的后果分级与产生一定水平的风险或风险等级的可能性相结合的方式。或风险等级的可能性相结合的方式。矩阵格式及适用的定义取
42、决于使用背景,矩阵格式及适用的定义取决于使用背景,关键是要在这种情况下使用合适的设计。关键是要在这种情况下使用合适的设计。通常可以结合通常可以结合FMEAFMEA的分析结果。的分析结果。风险评估风险评估50505050风险评估风险评估515151516.6.风险评估在寿命周期各阶段的应用风险评估在寿命周期各阶段的应用在概念和定义阶段在概念和定义阶段在设计和开发阶段在设计和开发阶段在寿命周期的其它阶段在寿命周期的其它阶段风险评估风险评估52525252 风险管理过程风险管理过程风险管理过程组成风险管理过程组成沟通和协商沟通和协商明确环境明确环境风险评估风险评估风险处理风险处理监测和评审监测和评审
43、记录风险管理过程记录风险管理过程535353531.1.风险处理(应对)风险处理(应对)风险处理风险处理 risk treatmentrisk treatment修正风险的过程修正风险的过程风险处理包括了一个循环过程:风险处理包括了一个循环过程: 评价风险处理;评价风险处理; 确定残留风险程度是否可容许;确定残留风险程度是否可容许; 如果不可容许,产生新的风险处理;如果不可容许,产生新的风险处理; 评价该处理的有效性。评价该处理的有效性。风险处理风险处理54545454风险处理方案(应对措施)不必互相排斥或适风险处理方案(应对措施)不必互相排斥或适宜所有情况。方案宜所有情况。方案/ /措施可以
44、包括以下内容措施可以包括以下内容: :a.a.通过决定不开展或停止产生风险的活动,来规避风险;通过决定不开展或停止产生风险的活动,来规避风险; b.b.为寻求机会,接受或提高风险;为寻求机会,接受或提高风险; c.c.消除风险源;消除风险源;d.d.改变可能性;改变可能性;e.e.改变后果;改变后果;f.f.与另一方或多方共担风险(包括合约和风险融资);与另一方或多方共担风险(包括合约和风险融资);g.g.通过有事实依据的决策,保留风险。通过有事实依据的决策,保留风险。风险处理风险处理555555552.2.选择风险处理方案(应对措施)选择风险处理方案(应对措施)选择时需考虑:选择时需考虑:
45、法律、法规、社会责任和环境保护等方面的法律、法规、社会责任和环境保护等方面的要求;要求; 风险应对措施的实施成本与收益(有些风险风险应对措施的实施成本与收益(有些风险可能需要组织考虑采用经济上看起来不合理的风可能需要组织考虑采用经济上看起来不合理的风险应对决策,例如可能带来严重的负面后果但发险应对决策,例如可能带来严重的负面后果但发生可能性低的风险事件);生可能性低的风险事件); 选择几种应对措施,将其单独或组合使用;选择几种应对措施,将其单独或组合使用; 利益相关者的诉求和价值观、对风险的认知利益相关者的诉求和价值观、对风险的认知和承受度以及对某一些风险应对措施的偏好。和承受度以及对某一些风
46、险应对措施的偏好。风险处理风险处理56565656风险处理方案在实施过程中可能会失灵或无效。因风险处理方案在实施过程中可能会失灵或无效。因此,要把监督作为风险应对措施的实施计划的有机此,要把监督作为风险应对措施的实施计划的有机组成部分,以保证应对措施持续有效。组成部分,以保证应对措施持续有效。风险处理方案可能引起次生风险,对次生风险也需风险处理方案可能引起次生风险,对次生风险也需要评估、应对、监督和检查。在原有的风险应对计要评估、应对、监督和检查。在原有的风险应对计划中要加入这些次生风险的内容,而不应将其作为划中要加入这些次生风险的内容,而不应将其作为新风险而独立对待。为此需要识别并检查原有风
47、险新风险而独立对待。为此需要识别并检查原有风险与次生风险之间的关系。当影响到组织内其他领域与次生风险之间的关系。当影响到组织内其他领域的风险或影响到其他利益相关者时,要评估这些影的风险或影响到其他利益相关者时,要评估这些影响,并与有关利益相关者沟通,必要时调整。响,并与有关利益相关者沟通,必要时调整。决策者和其他利益相关者应当清楚在采取风险处理决策者和其他利益相关者应当清楚在采取风险处理方案后的剩余风险的性质和程度。方案后的剩余风险的性质和程度。风险处理风险处理575757573.3.制定和实施风险处理(应对)计划制定和实施风险处理(应对)计划计划中应当包括以下信息:计划中应当包括以下信息:
48、预期的收益;预期的收益; 绩效指标及其考核方法;绩效指标及其考核方法; 风险管理责任人及实施风险应对措施风险管理责任人及实施风险应对措施的人员安排;的人员安排; 风险应对措施涉及的具体业务和管理风险应对措施涉及的具体业务和管理活动;活动;风险处理风险处理58585858计划中应当包括以下信息(续)计划中应当包括以下信息(续) 选择多种可能的风险应对措施时,实施选择多种可能的风险应对措施时,实施风险应对措施的优先次序;风险应对措施的优先次序; 报告和监督、检查的要求;报告和监督、检查的要求; 资源需求,包括应急机制的资源需求;资源需求,包括应急机制的资源需求; 执行时间表等。执行时间表等。风险应
49、对计划要与组织的管理过程整合风险应对计划要与组织的管理过程整合 风险处理风险处理59595959 风险管理过程风险管理过程风险管理过程组成风险管理过程组成沟通和协商沟通和协商明确环境明确环境风险评估风险评估风险处理风险处理监测和评审监测和评审记录风险管理过程记录风险管理过程60606060作为风险管理过程的组成部分,定期对风作为风险管理过程的组成部分,定期对风险与控制进行监测和评审,以确认:险与控制进行监测和评审,以确认: (1 1)有关风险的假定仍然有效;)有关风险的假定仍然有效; (2 2)风险评估所依据的假定,包括内外部)风险评估所依据的假定,包括内外部环境,仍然有效;环境,仍然有效;
50、(3 3)正在实现预期结果;)正在实现预期结果; (4 4)风险评估的结果符合实际经验;)风险评估的结果符合实际经验; (5 5)风险评估技术被正确使用;)风险评估技术被正确使用; (6 6)风险处理(应对)有效。)风险处理(应对)有效。监测和评审监测和评审61616161监测和评审可能包括:监测和评审可能包括: 监测事件,分析变化及其趋势并从中吸取教监测事件,分析变化及其趋势并从中吸取教训;训; 发现内部和外部环境信息的变化,包括风险发现内部和外部环境信息的变化,包括风险本身的变化、可能导致的风险应对措施及其实施本身的变化、可能导致的风险应对措施及其实施优先次序的改变;优先次序的改变; 监测
51、并记录风险处理方案实施后的剩余风险,监测并记录风险处理方案实施后的剩余风险,以便在适当时做进一步处理;以便在适当时做进一步处理; 适用时,对照风险处理计划,检查工作进度适用时,对照风险处理计划,检查工作进度与计划的偏差,保证风险处理计划的设计和执行与计划的偏差,保证风险处理计划的设计和执行有效;有效;监测和评审监测和评审62626262 报告关于风险、风险处理计划的进度和风险报告关于风险、风险处理计划的进度和风险管理方针的遵循情况;管理方针的遵循情况; 实施风险管理绩效评估实施风险管理绩效评估风险管理绩效评估应被纳入到组织的绩效管理以风险管理绩效评估应被纳入到组织的绩效管理以及组织对内、对外的
52、报告体系之中。及组织对内、对外的报告体系之中。监测和评审活动包括常规检查、监控已知的风险、监测和评审活动包括常规检查、监控已知的风险、定期或不定期检查。定期或不定期检查都应被列定期或不定期检查。定期或不定期检查都应被列入风险应对计划。入风险应对计划。适当时,监测和评审的结果应当有记录并对内或适当时,监测和评审的结果应当有记录并对内或对外报告。也可用作风险管理框架评审的输入。对外报告。也可用作风险管理框架评审的输入。监测和评审监测和评审63636363 风险管理过程风险管理过程风险管理过程组成风险管理过程组成沟通和协商沟通和协商明确环境明确环境风险评估风险评估风险处理风险处理监测和评审监测和评审
53、记录风险管理过程记录风险管理过程64646464风险管理活动宜可追溯。在风险管理过程风险管理活动宜可追溯。在风险管理过程及整体过程中,记录提供了方法和工具改及整体过程中,记录提供了方法和工具改进的基础。进的基础。关于记录的建立的决定宜考虑:关于记录的建立的决定宜考虑: 组织持续学习的需求;组织持续学习的需求; 出于管理意图,重新使用信息益处;出于管理意图,重新使用信息益处; 涉及建立和保持记录的成本和工作量;涉及建立和保持记录的成本和工作量; 对记录的法律法规和运行需求;对记录的法律法规和运行需求; 获取的方法、检索的难易和储存媒介;获取的方法、检索的难易和储存媒介; 保存期限;保存期限; 信息的敏感性。信息的敏感性。记录风险管理过程记录风险管理过程65656565风险管理风险管理66666666回顾回顾培训培训内容内容时时 间间 分分 配配风险风险管理管理概述概述术语和术语和定义定义风险管理风险管理原则原则风险管理风险管理框架框架风险管理风险管理过程过程0.50.5小时小时2 2小时小时1 1小时小时1.51.5小时小时3 3小时小时67676767谢谢! 2010 2010年认证认可继续教育课题工作小组年认证认可继续教育课题工作小组演讲完毕,谢谢观看!
