作者:安全管理網(wǎng) 來源:安全管理網(wǎng) 點擊:
評論:
更新日期:2015年02月11日
四���、風險管理過程
風險管理過程是組織管理的有機組成部分,嵌入在組織文化和實踐當中�����,貫穿于組織的經(jīng)營過程����。風險管理過程包括明確環(huán)境信息�����、風險評估、風險應(yīng)對���、監(jiān)督和檢查�。其中風險評估包括風險識別���、風險分析和風險評價���。溝通和記錄應(yīng)貫穿于風險管理全過程。風險管理過程如圖5-1-1所示�����。
?
圖5-1-1 風險管理流程圖
(一)風險評估
風險評估包括風險識別�、風險分析和風險評價三個步驟。風險識別是通過識別風險源�、影響范圍、事件及其原因和潛在的后果等��,生成一個全面的風險列表���。
進行風險識別時要掌握相關(guān)的和最新的信息�。除了識別可能發(fā)生的風險事件外�,還要考慮其可能的原因和可能導致的后果�。不論風險事件的風險源是否在組織的控制之下����,或者原因是否已知,都應(yīng)對其進行識別��。此外���,要關(guān)注已經(jīng)發(fā)生的風險事件����,特別是新近發(fā)生的風險事件。識別風險需要所有相關(guān)人員的參與。組織所采用的風險識別工具和技術(shù)應(yīng)當適合于其目標�����、能力及其所處環(huán)境�����。
風險分析是根據(jù)風險類型���、獲得的信息和風險評估結(jié)果的使用目的,對識別出的風險進行定性和定量的分析��,為風險評價和風險應(yīng)對提供支持����。風險分析要考慮導致風險的原因和風險源、風險事件的正面和負面的后果及其發(fā)生的可能性���、影響后果和可能性的因素�、不同風險及其風險源的相互關(guān)系以及風險的其他特征�,還要考慮現(xiàn)有的管理措施及其效果和效率。在風險分析中����,應(yīng)考慮組織的風險承受度及其對前提和假設(shè)的敏感性,并適時與決策者和其他利益相關(guān)者有效地溝通����。另外,還要考慮可能存在的專家觀點中的分歧及數(shù)據(jù)和模型的局限性�����。根據(jù)風險分析的目的����、獲得的信息數(shù)據(jù)和資源�,風險分析可以是定性的�、半定量的、定量的或以上方法的組合�����。一般情況下����,首先采用定性分析,初步了解風險等級和揭示主要風險��。適當時�����,進行更具體和定量的風險分析����。后果和可能性可通過專家意見確定,或通過對事件或事件組合的結(jié)果建模確定�����,也可通過對實驗研究或可獲得的數(shù)據(jù)的推導確定。對后果的描述可表達為有形或無形的影響�����。在某些情況下�,可能需要多個指標來確切描述不同時間�、地點、類別或情形的后果�����。
風險評價是將風險分析的結(jié)果與組織的風險準則比較�,或者在各種風險的分析結(jié)果之間進行比較,確定風險等級�,以便做出風險應(yīng)對的決策。如果該風險是新識別的風險��,則應(yīng)當制定相應(yīng)的風險準則�,以便評價該風險。風險評價的結(jié)果應(yīng)滿足風險應(yīng)對的需要���,否則��,應(yīng)做進一步分析����。
(二)風險應(yīng)對
風險應(yīng)對是選擇并執(zhí)行一種或多種改變風險的措施,包括改變風險事件發(fā)生的可能性或后果的措施���。風險應(yīng)對決策應(yīng)當考慮各種環(huán)境信息���,包括內(nèi)部和外部利益相關(guān)者的風險承受度,以及法律��、法規(guī)和其他方面的要求等����。
(三)監(jiān)督和檢查
組織應(yīng)當明確界定監(jiān)督和檢查的責任。監(jiān)督和檢查可能包括:監(jiān)測事件�����,分析變化及其趨勢并從中吸取教訓��;發(fā)現(xiàn)內(nèi)部和外部環(huán)境信息的變化�����,包括風險本身的變化�、可能導致的風險應(yīng)對措施及其實施優(yōu)先次序的改變;監(jiān)督并記錄風險應(yīng)對措施實施后的剩余風險,以便在適當時做進一步處理�����。適當時���,對照風險應(yīng)對計劃���,檢查工作進度與計劃的偏差��,保證風險應(yīng)對措施的設(shè)計和執(zhí)行有效���;報告關(guān)于風險����、風險應(yīng)對計劃的進度和風險管理方針的遵循情況���;實施風險管理績效評估�����。風險管理績效評估應(yīng)被納入到組織的績效管理以及組織對內(nèi)����、對外的報告體系中。
監(jiān)督和檢查活動包括常規(guī)檢查��、監(jiān)控已知的風險����、定期或不定期檢查。定期或不定期檢查都應(yīng)被列入風險應(yīng)對計劃���。
(四)溝通和記錄
組織在風險管理過程的每一個階段都應(yīng)當與內(nèi)部和外部利益相關(guān)者有效溝通�����,以保證實施風險管理的責任人和利益相關(guān)者能夠理解組織風險管理決策的依據(jù)����,以及需要采取某些行動的原因�����;由于利益相關(guān)者的價值觀�����、訴求、假設(shè)��、認知和關(guān)注點不同�,其風險偏好也不同,并可能對決策有重要影響��。因此���,組織在決策過程中應(yīng)當與利益相關(guān)者進行充分溝通�,識別并記錄利益相關(guān)者的風險偏好�����。
在風險管理過程中�����,記錄是實施和改進整個風險管理過程的基礎(chǔ)�。建立記錄應(yīng)當考慮以下方面:出于管理的目的而重復使用信息的需要�����;進一步分析風險和調(diào)整風險應(yīng)對措施的需要���;風險管理活動的可追溯要求����;溝通的需要;法律��、法規(guī)和操作上對記錄的需要��;組織本身持續(xù)學習的需要���;建立和維護記錄所需的成本和工作量���;獲取信息的方法、讀取信息的容易程度和儲存媒介�����;記錄保留期限���;信息的敏感性
?
