23:AS/NZS 4360:1999的实施包含哪些关键步骤?
发布时间:2011年06月15日点击数: 作者:孙强、孟秀转 来源:ITGov中国IT治理研究中心
【字体: 收藏 打印文章
摘要:
主要是定义组织及其机构内的关系,识别组织的优势、劣势、机会和威胁。该环境覆盖了财务、运营、竞争、政治、社会、客户、文化及法律方面的组织职能。同时识别内部和外部的利益相关者,充分考虑他们的目标、构想,并与这些相关方建立联系。在利益相关者的目标之间应当取得平衡,以使企业的目标与其利益相关者的目标相协调。该步骤聚焦在与组织的运营环境,组织需要确定所面临的可能会增强或者削弱风险管理能力的主要因素。

23:AS/NZS 4360:1999的风险管理的7个关键步骤具体包括哪些内容?

1.建立环境

该标准认为,风险管理的首要步骤是建立环境,旨在为后续的风险管理过程提供基本的范围界定。该步骤的主要任务包括:

(1)建立战略环境

主要是定义组织及其机构内的关系,识别组织的优势、劣势、机会和威胁。该环境覆盖了财务、运营、竞争、政治、社会、客户、文化及法律方面的组织职能。同时识别内部和外部的利益相关者,充分考虑他们的目标、构想,并与这些相关方建立联系。在利益相关者的目标之间应当取得平衡,以使企业的目标与其利益相关者的目标相协调。该步骤聚焦在与组织的运营环境,组织需要确定所面临的可能会增强或者削弱风险管理能力的主要因素。

(2)建立组织环境

在开始风险管理研究之前,有必要理解组织的能力、目标及实现目标所采取的战略。

(3)建立风险管理环境

风险管理过程所涵盖的与组织相关的目标、战略、范围和活动的参数等需要建立,并且考虑平衡成本、收益和机会之间的关系。设定风险管理过程的边界时,要定义过程和活动,并且建立过程和活动的目标,确定项目的时间和地点,考虑风险源以及风险的影响范围。同时,定义风险管理活动的复杂性,了解参与风险管理的组织各方的责任和角色,了解风险管理项目与其他项目之间的关系。

(4)制定风险评估准则

确定采用什么准则对风险进行评估,对于风险接受或者风险处理的决策需要遵照运营、技术、财务、法律、社会、人文或其他准则。准则可能受到内部或者外部的法律需求影响,所以要在开始时设定适当的准则。尽管风险准则作为建立风险管理环境的一部分,但是随着特定风险的识别以及风险分析技术的采纳,该准则还要在后续过程中进行细化。比如,风险准则必须要与风险类型以及风险级别的表达方式相符。

(5)确定结构

该步骤主要把活动或者项目分解成一系列要素,这些要素提供了识别和分析的逻辑框架,能够保证重要的风险不被忽略。所选择的结构主要取决于风险的本质以及项目或者活动的范围。

2.风险识别

该步骤的主要目标是识别将要被管理的风险,关键是要采取结构化、系统化的过程进行综合识别。由于该阶段没有识别的风险就被排除在深入分析的范围之外,所以在识别风险时要尽可能全面,不管它们是否在组织的控制范围内。

(1)什么会发生

目标是产生一系列事件的全面列表,这些事件可能会影响到结构中的每个元素。

(2)为什么会发生以及如何发生

识别了事件列表之后,有必要考虑可能的原因和场景。一个事件发起的原因有多种,关键是不要漏掉重要原因。

在该阶段可以采用的工具与方法包括检查表、经验判断、记录、流程图、头脑风暴、系统分析、情景分析和系统工程技术。检查表的使用可以简化风险识别过程,一般可以参照来自同行业的清单,但是单纯依赖风险清单来识别风险可能会忽略重要的风险。在使用核对清单以后,比较受欢迎的风险识别方法是通过小组讨论会头脑风暴的方法征集意见和想法。此外,采访与调查问卷也是比较实际的方法。

3.风险分析

在风险分析阶段,需要考虑所有可以影响风险的已有因素,给每一个风险的重要性划分级别,并尽量采用定量的方法。对于像未来不可预料事件这样的简单风险来说,可以用影响的严重程度、发生可能性,以及两者的各种组合来完成分析。对于涉及几个关联事件和影响的复杂风险来说,模型的应用是必须的。

(1)确定现有控制

(2)确定结果

该步骤主要是评估现有控制环境下事件一旦发生所产生的后果,以及事件及其相关结果出现的可能性。结果和可能性相乘得到风险级别。结果和可能性的确定可以采用概率分析和计算方法,也可以采用历史数据,或者根据经验采用主观评估方法。

为了避免信息判断的主观倾向性,可以借助以下信息来源:

  • 历史数据;
  • 相关经验;
  • 行业实践和经验;
  • 相关发布的文献;
  • 市场研究;
  • 经验和原型;
  • 经济、工程和其他模型;
  • 专家判断。
  • 使用的技术包括:
  • 与相关领域专家进行结构化访谈;
  • 使用多学科的专家组;
  • 使用调查问卷进行单独评估;
  • 使用计算机和其他模型;
  • 使用错误树和事件树。

如果可能的话,需要对所评估的风险级别设置置信度水平。

4.风险评估

(1)对比风险准则

风险评估主要是对风险分析过程中发现的风险级别与风险准则进行比较。定性评估主要是根据定性准则提出风险水平,定量评估主要是根据设定的数量值与实际的风险值进行比较。

(2)设定风险优先级

风险评估的结果是一个风险优先级的列表,以便下一步采取行动。通过历史的数据记录或直观的判断,重要性分配过高或过低的风险应被矫正。通过仔细考虑,很多不很重要的风险都可从清单上除名,从而减轻了繁多信息造成的负担。而有些看上去不重要的风险可能会被认为是重要的,而提交给管理层。

决策需要更广泛地考虑到风险环境,包括对风险承受能力的考虑,而不仅是组织可否从中受益。如果风险落入可接受范畴,可以进一步进行监控,并定期评审,看是否仍在可接受范畴内。如果风险没有落入可接受风险类别中,则要采用风险处理中的措施进行处理。
5.风险处理

(1)识别备选处理方案

风险处理方案主要有四种。一是减少发生的可能性;二是削弱风险的影响结果;三是全部转嫁或者部分转嫁风险;四是规避风险。

(2)选择处理方案

风险处理方案的选择需要权衡削弱风险所需要的成本以及风险发生所带来的损失额,同时也要考虑可能受该方案影响的利益各方,并选择恰当的方式与这些利益相关方进行沟通。

(3)准备风险处理计划

计划应该采用文档的形式记录所选的方案应该如何实施。处理计划需要说明各方的责任、风险处理进度安排、预算、绩效度量以及评审过程等。同时,计划也包括方案的绩效,个人的责任以及其他目标,并监控关键的实施里程碑。

(4)实施处理计划

理想情况下,风险处理的责任应该由那些有能力控制风险的部门或者个人承担。责任应该尽早在各方之间达成协议。为了成功实施风险处理计划,需要有效的管理系统指定哪些方法被选择,指定行动的责任人和问责任,并且对照特定的准则进行监控。如果处理之后还有剩余风险,需要决定是否保留该风险还是再重复风险处理过程。

6.沟通与协商风险

协商与沟通是风险管理过程中关键的组成部分,贯穿风险管理的整个生命周期。成功的风险管理依赖企业中所有员工和业务部门对可靠信息的输入,从而成功获得信息的输出。在风险管理的计划和贯彻中,应给予工作人员足够的机会和对风险认识发展变化的信息。

在风险管理过程的运作中,工作人员有很多经济有效的沟通机会。内容陈述是对这项工作一个简明的概括,其中包括了它的目的、范围、人员、对成功的衡量和分析方法。风险讨论会提供了集中交流的机会,而且很自然地把重点放在应优先考虑的对象上。

7.监督与评审风险

对风险的监控以及对风险处理计划实施的有效性进行监控,是确保控制能够有效实施的机制。很少有风险是静态的,故风险以及控制措施的有效性应该得到持续监控,确保变化的环境没有改变风险的优先级。

同时,也需要对风险管理计划进行评审。由于影响事件发生的因素可能会发生变化,影响各种处理方案的成本也随着变化,所以有必要重复风险管理过程。评审本身就是风险处理计划的完整组成部分。

 

 


京ICP备06004481号   Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved