风险管理指南GB T 24353-2022.docx

《风险管理指南GB T 24353-2022.docx》由会员分享，可在线阅读，更多相关《风险管理指南GB T 24353-2022.docx（18页珍藏版）》请在优知文库上搜索。

1、ICS03.100.01CCSA02中华人民共和国国家标准GB/T243532022ZISO31000：2018代替GB/T243532009风险管理指南RiskmanagementGuidelines(ISO31000:2018,IDT)2022-1012实施2022-10-12发布三IS1I黯昌发布前言in引言IV1范围12规范性引用文件13术语和定义14原则25框架35.1概述35. 2领导作用和承诺45.3 整合45.4 设计45.5 实施65.6 评价65.7 改进66过程66. 1概述66.2沟通和咨询76.3范围、环境、准则76.4 风险评估86.5 风险应对106.6 监督和检

2、查116.7 记录和报告1112参考文献-XX-刖.本文件按照GBTL12020（标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件代替GB/T243532009风险管理原则与实施指南。与GB/T24353-2009相比.除了编辑性改动外，主要技术变化如下：增加了第3章的八个术语（见3.1-3.8）；更改了第4章的内容，调整了原则的数量（见第4章，2009年版的第4章）、补充了原则的内容、增加了原则的示意图（见第4章）。第5章由“风险管理过程”改为“框架”；第6章由“风险管理的实施”改为“过程”（见第5章、第6章，2009版的第5章、第6章）。本文件等同采用ISO31000：

3、2018风险管理指南。本文件做了下列最小限度的编辑性改动：增加r4a）条款说明注。本文件由全国风险管理标准化技术委员会（SAC/TC310）提出并归口。本文件起草单位：中国标准化研究院、蒙娜丽林集团股份有限公司、三门核电有限公司、三只松鼠股份有限公司、北京大学、中共中央党校（国家行政学院）、中国核能电力股份有限公司、第一会达（北京）数据技术有限公司、达信评（北京）风险管理咨询有限公司、国家科技风险开发事业中心、国务院国有资产监督管理委员会研究中心、中国矿业大学（北京）。本文件主要起草人：高晓红、陆小伟、孙保均、徐涵、孙友文、吕多加、刘剑、施颖、支东生、游志斌、刘新立、张杰军、吴昕、郭小娟、项京

4、锋、张旗康、顾千辉。本文件及其所代替文件的历次版本发布情况为：2009年首次发布为GB/T243532009；本次为第一次修订。任何类型和规模的组织都受到各种内外部因素的影响，导致其目标的实现存在不确定性。这些目标关系到组织中从战略决策到运营的各种活动，表现在战略、运营、财务、环境、社会、声誉等各个方面。风险管理通过考虑不确定性及其对目标的影响，采取相应的措施，为组织的决策和运营以及有效应对各类突发事件提供支持。风险管理旨在保证组织恰当地应对风险，提高风险应对的效率和效果，增强决策和行动的合理性，有效地配置资源I：管理风险是一个循梃斤组织蟹汕FlLJ做出合理的羲T管理风险是.咨缪祢额体系的改善

5、。管理风险组织治理和领导作用的组多哂相关活动是肺整翻备峨佛生偎环境.包括人的行为和文化因理罗I监所依据物源也、框架和过程。这些原贝赢云、产行调整或改善，从而使管管理风险时野务品嬴展N、图1列出/.于通淤踹i形效部或部分地存在说：图1原则、框架和过程风险管理指南1范围本文件为组织管理其所面临的风险提供指南，组织可根据其具体环境，有针对性地应用。本文件为管理各种类型的风险提供了一种通用方法，而非仅针对某些特定行业或领域。本文件适用于组织全生命周期的任何活动，包括所有层级的决策制定。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。3. 1风险risk不确定性对目标的

6、影响。注1：影响是指偏离预期.偏离可以是正面的和/或负面的，可能带来机会和威胁。注2：目标可有不同维度和类型，可应用在不同层级。注3：通常风险可以用风险源、潜在事件及其后果和可能性来描述。3.2风险管理riskmanagement指导和控制组织与风险（3.1）相关的协调活动。3.3利益相关者stakeholder；interestedparty可以影响、被影响或自认为会被某一决策或活动影响的个人或组织。注：interestedPaiIy可用来替代英文文寸应词stakeholder”。3.4风险源risksource可能单独或共同引发风险（3.1）的要素。3.5事件event某些特定情形的产生或

7、变化。注1：一个事件可包括一个或多个情形，并且可由多个原因导致。注2：事件可能是预期会发生但没发生的事情，也可能是预期不会发生但却发生的事情。注3：某事件有可能是风险源。3.6后果consequence某事件（3.5）对目标影响的结果。注1：后果可以是确定的，也可以是不确定的：对目标的影响可以是正面的，也可以是负面的；可以是直接的，也可以是间接的。注2：后果可以定性或定量表述。注3：任何后果都可能通过连锁反应和累积效应升级。3.7可能性likelihood某件事发生的概率。注1：在风险管理术语中，无论是以客观的或主观的、定性或定tit的方式来定义、度量或确定，还是用一般词汇或数学术语来描述（如

8、概率，或一定时间内的频率），“可能性”都用来表示某件事发生的概率。注2： “可能性（likelihood） W这英语词汇在一些语言中没直接与之对应的词汇，因此经常用“概率（ProbabiIily）这个词代替,不过，在英语中，“概率”常常被狭义地理解为一个数学词汇。因此，在风险管理术语中，“可能cont,4原则的是创这些原则:这些文化因ZI定制4操作或其能翊。!期的i卿险（3.1厂的措施。 、m体或改变风险的任何流程、策略包容性话中“概率” 一词的意义。保持和（或）改口有效的风险管理需要满足图2中列举的原则，其进一步解释如下。a）整合风险管理是组织所有活动的有机组成部分。注：将风险管理的原则、框

9、架和过程融入组织其他管理活动及其制度办法，有解罐赧解领部及1S031000=2018b）结构化和全面性采用结构化和全面性的方法开展风险管理，有助于获得一致的和可比较的结果。c）定制化组织根据自身目标所对应的内外部环境，定制设计风险管理框架和过程。d）包容性利益相关者适当、及时的参与，可以使他们的知识、观点和认知得到充分考虑。这样有助于提高组织的风险意识,并促进风险管理信息的充分沟通。c）动态性随着组织内外部环境的变化，组织面临的风险可能会出现、变化或消失。风险管理以适当、及时的方式预测、发现、确认和应对这些变化和事件。D最佳可用信息风险管理的信息输入是基于历史信息、当前信息和未来预期的。在风险

10、管理过程中宜明确考虑与这些信息和预期相关的限制条件和不确定性。信息宜及时、清晰，并且是有关的利益相关者可获得的。g）人和文化因素人的行为和文化在各个层级和阶段显著影响着风险管理的各个方面。h）持续改进通过不断学习和实践，持续改进风险管理。5框架5.1概述风险管理框架的目的是协助组织将风险管理纳入重要的活动和职能中。风险管理的有效性取决于其与组织治理及决策制定的整合情况。这需要利益相关者尤其是最高管理层的支持。椎架制定包含在整个组织中整合、设计、实施、评价和改进风险管理。图3列举了风险管理框架的要素。图3框架组织宜对其现有的风险管理实践及过程进行评价，并在上述框架内对评价出的差距进行改进优化。框

11、架内各要素及其协同运作的方式宜结合组织需求进行针对性地设计。5. 2领导作用和承诺最高管理层和监督机构需确保将风险管理融入所有组织活动中，通过以下活动展现领导作用和承诺：针对性地设计和实施框架的所有要素：发布风险管理声明或方针，内容包括制定风险管理方法、计划或行动方案；确保为管理风险配置必要的资源：一在组织内的相应层级分配权限、职责和责任。这样做有助于组织：使风险管理与自身目标、战略和文化相协同；一识别并履行组织的所有义务及自愿承诺；确定可承担或不可承担的风险数量和类型，以指导风险准则的制定，确保与组织及利益相关者沟通；与组织及利益相关者沟通风险管理的价值：促进对风险的系统性监测：确保风险管理

12、框架适应组织环境。最高管理层负责管理风险，监督机构负责监督风险管理。通常对监督机构的要求或预期是：确保组织在设定目标时，充分考虑相关风险：了解组织在实现组织目标的过程中所面临的风险；确保风险管理体系能够高效实施和运作；确保这些风险相对于组织目标而言是适当的：确保这些风险及其管理的信息得到适当沟通。5.3整合风险管理的整合有赖于对组织结构及内外部环境的理解。组织结构因组织目的、目标和复杂程度而异；在组织结构的每一部分都需要进行风险管理。组织内部的所有人都有管理风险的责任。组织的治理结构决定组织的运营过程、内外部关系以及实现目标所需的规章制度、程序和实务。组织的管理架构将治理要求转化为战略和相应的

13、目标，以达到可持续发展所需要的绩效水平。确定组织内部的风险管理职责和监督角色是组织治理不可或缺的内容。风险管理与组织的整合是一个动态、循环提升的过程，宣结合组织需求和文化量身定制。风险管理不是孤立的，而是组织目的、治理、领导作用和承诺、战略、目标和运营的一部分。5.4设计5.4.1理解组织及其环境在设计风险管理框架时,组织需审视并了解其内外部环境。需审视的组织外部环境包括但不限于：一国际、国内、区域或地方的社会、文化、政治、法律、监管、金融、技术、经济、自然环境：对组织目标产生影响的关键驱动因素和趋势：与外部利益相关者的关系，以及他们的认知、价值取向、需求和期望：-合同关系和承诺：组织所处关系

14、网络的复杂性及依赖关系。需审视的组织内部环境包括但不限于：一一愿景、使命和价值观；治理方式、组织结构、职能、责任和绩效考核；一战略、目标和方针：-组织文化：组织采用的标准、指南和模型；组织在资源和知识方而所具备的能力（即资本、时间、人力、知识产权、程序、系统和技术等）：-数据、信息系统和信息流：与内部利益相关者的关系，充分考虑其认知和价值取向；合同关系和承诺；一相互依赖性和相互关联性。5.4.2明确表达风险管理承诺最高管理层和监督机构可通过政策、声明或其他形式，表达并展现自身对风险管理的持续承诺，以明确传达组织有关风险管理的目标和承诺。风险管理承诺包括但不限于：组织的风险管理目的及其与组织目标

15、和其他方针的联系；强化将风险管理融入组织整体文化的要求：一引导将风险管理融入组织核心业务活动和决策制定过程中：明确权限、责任和职责；-配置必要的资源；一处理相互冲突目标的方式；组织绩效指标的度量和报告：问顾和改进。组织宜在其内部传达风险管理承诺并适时向利益相关者传达。5. 4.3明确组织角色、权限、职贲和贲任最高管理层和监督机构宜明确组织相关角色的风险管理责任、职责和权限.并与组织所有层级沟通，且需要：强调风险管理是一项核心职责：指定有责任和权限管理风险的个人（风险责任人）。6. 4.4资源配置最高管理层和监督机构宜确保为风险管理分配适当的资源.包括但不限于：-人力、技能、经验和能力；-组织用于风险管理的程序、方法和工具；文件化的过程和程序；信息和知