1.风险管理的原则
1)控制损失,创造价值。
2)融入组织管理过程。
3)支持决策过程。
4)应用系统的、结构化的方法。
5)以信息为基础。
6)环境依赖。
7)广泛参与、充分沟通。
8)持续改进。
2.风险管理过程
1)风险评估:风险评估包括风险识别、风险分析和风险评价三个步骤。
风险识别是通过识别风险源、影响范围、事件及其原因和潜在的后果等,生成一个全面的风险列表。
风险分析是根据风险类型、获得的信息和风险评估结果的使用目的,对识别出的风险进行定性和定量的分析,为风险评价和风险应对提供支持。
风险评价是将风险分析的结果与组织的风险准则比较,或者在各种风险的分析结果之间进行比较,确定风险等级,以便做出风险应对的决策。
2)风险应对
风险应对是选择并执行一种或多种改变风险的措施,包括改变风险事件发生的可能性或后果的措施。
3)监督和检查
监督和检查可能包括:监测事件,分析变化及其趋势并从中吸取教训;发现内部和外部环境信息的变化,包括风险本身的变化、可能导致的风险应对措施及其实施优先次序的改变;监督并记录风险应对措施实施后的剩余风险,以便在适当时做进一步处理。
4)沟通和记录
组织在风险管理过程的每一个阶段都应当与内部和外部利益相关者有效沟通,组织在决策过程中应当与利益相关者进行充分沟通,识别并记录利益相关者的风险偏好。