风险管理-实施BS ISO 31000：2018的实施规程和指南(2022-雷泽佳译)

引言任何类型和规模的组织都面临各种影响其目标实现的风险。虽然“"风险”"通常被认为是负面的，但风险管理既要利用潜在的机会，也要预防潜在的威胁。在管理风险和阅读本文件时，谨记这一点。有效的风险管理可持续、系统、适当地应对与组织活动的紧密相关已知风险。它离不开组织的文化。风险管理包括基于BSISO31000:2018中描述的八项核心原则的框架和过程。本标准已进行修订以与BSISO31000:2018相一致，并增加了补充材料（示例、概念）。这些旨在帮助组织从战略、项目集、项目和运营角度有效、高效和系统地管理不确定性，并支持持续改进。风险管理适用于组织的所有层级和所有活动。风险管理是良好管理的一部分，管理好风险的组织更有可能实现其目标。范围本标准为实施BSISO31000:2018中有关制定风险管理框架和相关过程的原则和指南提供了建议。它为整个组织理解、开发、实施和保持适当和有效的风险管理提供了基础，以提高组织实现其目标的可能性。本标准适用于所有负责或参与以下事项的人：确保组织实现其目标并加强决策；确保在特定领域或活动中主动管理风险；监督组织的风险管理；为组织风险管理的有效性提供保证；和/或向相关方报告。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本标准；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。BSISO31000:2018风险管理——指南术语和定义以下术语和定义适用于本标准。后果consequence某事件（3.4）对目标影响的结果。注1：后果可以是确定的，也可以是不确定的；对目标的影响可以是正面的，也可以是负面的；可以是直接的，也可以是间接的。注2：后果可以定性或定量表述。注3：任何后果都可能通过连锁反应和累积效应升级。[来源：BSISO31000:2018，3.6，修改]控制control保持和（或）改变风险（3.7）的措施。注1：控制包括但不限于保持和/或改变风险的任何流程、策略、措施、操作或其他措施。注2：控制并非总能取得预期的改变效果。[来源：BSISO31000:2018，3.8，修改]控制框架controlframework对组织的内部控制进行组织和分类的结构。注：这有助于识别和评估风险，并影响组织应对措施。事件event某些特定情形的产生或变化。注1：一个事件可以包括一个或多个情形，并且可以由多个原因导致和产生多个后果（3.1）。注2：事件可能是预期会发生但没发生的事情，也可能是预期不会发生但却发生的事情。注3：某事件有可能是风险源。[来源：BSISO31000:2018，3.5]可能性likelihood某件事发生的概率。注1：在风险管理（3.8）术语中，无论是以客观的或主观的、定性或定量的方式来定义、度量或确定，还是用一般词汇或数学术语来描述（如概率，或一定时间内的频率），“可能性”都用来表示某件事发生的概率。注2：“可能性（likelihood）这一英语词汇在一些语言中没有直接与之对应的词汇，因此经常用“概率（probability）”这个词代替。不过，在英语中，“概率”常常被狭义地理解为一个数学词汇。因此，在风险管理术语中，“可能性”有着与许多语言中使用的“概率”一词相同的解释，而不局限于英语中“概率”一词的意义。[来源：BSISO31000:2018，3.7J全组织风险管理organization-wideriskmanagement与实现战略目标相关的风险管理（3.2）。注：也称为“全企业风险管理”。风险risk不确定性对目标的影响。注1：影响是指偏离预期，偏离可以是正面的和/或负面的，可能带来机会和威胁。注2：目标可有不同维度和类型，可应用在不同层级。注3：通常风险可以用风险源（3.11）、潜在事件（3.4）及其后果（3.1）和可能性（3.5）来描述。[来源：BSISO31000:2018，3.1]风险管理riskmanagement指导和控制组织与风险（3.7）相关的协调活动。[来源：BSISO31000:2018,3.2]风险管理框架riskmanagementframework通过整体应用方针、程序、行为准则和成文信息以及价值观和信含、沟通方式和资源来构建建立体系所需支持的架构。风险管理方针riskmanagementpolicy组织在风险管理3.8)方面的总体意图和方向的表述。[来源：PDISO指南73:2009，2.1.2]风险源risksource可能单独或共同引发风险（3.7）的要素。[来源：BSISO31000:2018,3.4]相关方stakeholder可以影响、被影响或自认为会被某一决策或活动影响的个人或组织。注：“interestedparty”可用来替代英文对应词“stakeholder”。[来源：BSISO31000:2018，3.3]最高管理者topmanagement在最高层指挥和控制组织的一个人或一组人注：最高管理者通常是指组织的高级管理人员（“公司决策层”）。如果一个大型组织分布在多个地区或司法管辖区，则可以更宽泛地使用该术语。例如，位于英国的业务单位的管理体系的范围可能会将其最高管理者定义为英国业务单位的高级管理团队，尽管组织来自美国，其公司决策层也在该地区。风险管理原则创造和保护价值为了创造和保护价值、改进绩效和可持续性、鼓励创新并支持实现组织目标，应实施4.2至4.9（见图1）中所规定的原则。这些原则应成为管理风险和建立组织风险管理框架和过程的基础。图1风险管理原则注：该图的核心是“价值创造和保护”理念，反映了风险管理的目的，即通过管理不确定性创造价值。创造价值可以用多种方式表达，包括目标的实现情况。价值保护旨对目标的风险持续识别、理解和管理。八项单独的原则围绕这一中心理念，使价值创造和保护得以实现（见412至4.9）。整合风险管理应是所有组织活动和过程的一部分，包括战略规划、ESG（环境、社会和治理）、运营、财务、法律、IT（信息技术）以及项目和变更管理。应将其整合到决策和进行讨论的任何地方，以使组织能够把握新的机会，同时以可控的方式降低业务威胁的风险。注1：管理体系对于实现风险管理的整合非常重要，但可以说更关键的是员工、社会和其他相关方的参与和共享所有权，无论职能部门或业务单位的报告线如何。有关风险管理与管理体系的整合，请参见PDISOIWA31。注2：风险管理可完全整合到三线框架（所有权、监督和保证，以前称为“三道防线”）中，以确保对控制措施的有效性提供有力保证。结构化和全面性应在组织的不同部分以一致和结构化的方式管理风险，从而能够自信地做出决策，并通过有效利用资源和管理工具避免重复工作。风险管理框架应全面涵盖与组织相关的所有内部和外部风险领域。虽然期望框架将为具有风险角色和责任的工作人员提供明确的指导，但它不应过于官僚而妨碍执行。定制化风险管理框架和过程应定制化，以补充和满足组织外部和内部环境的需要。风险管理框架没有唯一的正确方法；每个组织都应该根据其文化、使命、愿景和目标以及其规模和复杂程度来定制设计和实施。注：例如，在核工业等复杂环境中工作的组织具有比小型零售商更复杂的风险管理方法。企业所有权和增长轨迹也是重要的考虑因素，例如，寻求首次公开募股（IPO）的私人企业的框架与合作伙伴拥有的组织的框架大不相同。包容性4.5注解相关方适当、及时的参与，可以使他们的知识、观点和认知得到充分考虑。这将导致提高意识、知情的风险管理和决策。组织的一些相关方可能对风险管理负有正式的责任和职责。最高管理者应确认所有内部和外部相关方均已识别并保持有效沟通。对于相关方所识别的风险，组织应有一个程序来进一步探讨这些风险，并证明已听取了相关方的意见。应告知组织中的每个人，他们在理解、管理和沟通风险、因素、未遂事件和事故方面发挥着一定的作用。动态性4.6注解世界变化越来越快速、复杂、相关和不确定。潜在的业务动态正在快速变化，这种情况会引发重新调整和平衡风险管理的需要，而且频率越来越高。在这个不断变化的世界中，ESG和“新兴”风险的概念越来越受到关注。简单地说，新兴风险是指新的风险或重要性发生变化的风险。它们可能的轨迹显示出高度的不确定性。同样，它们往往会导致多重连带后果。本主题将在 附件A中进一步探讨。随着组织内外部环境的变化，组织面临的风险可能会出现、变化或消失，因此风险管理应以适当、及时的方式预测、发现、确认和应对这些变化和事件。认识到一些风险可能会频繁变化，而另一些风险可能长期保持不变，风险管理框架应能够促进对变化的持续识别和应对。最佳可用信息组织中的每个人都应积极主动地获取最佳可用信息，利用相关的组织和外部信息为其风险管理决策提供信息，并与其他相关方合作。应鼓励与他人合作，以防止人们在应对风险时陷入孤立。应记录风险数据的来源，包括主观意见、经验数据和预测信息。数据应尽可能准确，并了解其局限性（新兴风险数据永远不能完全依赖，因为新的和不稳定的风险存在太多的不稳定性），数据应及时且可验证并有质量保证。注：可以使用涉及相关前瞻性指标组合的水平扫描。风险认知和态度在整个组织中可能存在很大差异，人们应该意识到可能导致错误决策的偏见。人和文化因素为了有效，风险管理应嵌入组织的文化中。所有在组织内部或代表组织工作的人员都应了解自己的角色和职责以帮助组织实现其短期和长期目标。风险文化应包括：最高管理者在承担和规避风险方面有明确和一致的基调；承诺遵守道德原则，并在决策中考虑到更广泛的相关方立场；注：不良行为的示例包括欺凌和不当的销售激励。整个组织共同接受风险管理，包括对具体风险和风险领域的明确责任和所有权；透明和及时的风险信息在组织上下流动，负面消息迅速传播，无需担心受到指责；通过鼓励风险事件报告和举报，从错误和未遂事件中积极学习；保证任何过程或活动都不会太庞大、太复杂或太晦涩以至于风险不易理解；奖励和鼓励适当的冒险行为，并处理不适当的行为；重视、鼓励和发展风险管理技能和知识；观点、价值观和信念的充分多样性，以确保现状受到一贯和严格的挑战；和适当的员工参与，允许关注业务和个人需求。持续改进风险管理框架应与其他业务过程一起定期评审，也许每年一次。组织应采用以下方法实施促进持续改进的过程：评审风险管理信息，以确定数据的准确性和有效性，例如，风险影响估计是否准确反映了发生事件的后果；从自身和他人的经验（未遂事件）、已发生的事件（正面和负面）和保险索赔中学习，以验证根本原因已被理解，并采取措施控制未来事件；一个吸取经验教训的过程，以系统地评审良好实践和不良实践，并确定传播良好实践或减轻不良实践的措施；将组织与同一部门内的其他组织以及其他部门的良好实践组织进行比较和对标；和将实际发生的风险与上一时期开始时预测的风险进行比较，注意评价的准确性，并采取措施从中吸取教训。注：随着时间的推移，组织目标会发生变化，以反映变化的内部和外部环境。因此，拥有一个相对容易适应的敏捷风险管理框架是有益的。变化是不可避免的，而且重要的是，风险框架要反映组织的结构并能直观地使用，以确保整个组织的有效性。应定期评审风险管理原则的应用方式，考虑到从相关事件、技术变化和相关方的期望中吸取的经验教训，以确保风险管理方法继续支持和驱动新的目标。风险管理框架总则组织应建立风险管理框架，以帮助将风险管理整合到重要活动和职能中。框架的组件（如图2所示）应支持：在整个组织实施和长期发展风险管理；和对组织的风险管理过程的一个或多个应用进行持续管理。每个组织在其外部和内部环境中都是独一无二的，这取决于其规模和复杂程度，风险管理框架应反映这一点。框架应允许较小组织或个体经营者遵循更简单的风险管理过程，或允许较大组织创建过程的多个应用。根据变化（如增长或收购），框架应允许组织酌情启动、调整或终止风险过程。注1：大型项目集和项目可以以相同的方式进行处理，特别是如果项目像新业务单位一样运作的话。当在整个组织中首次开展风险管理活动时，活动顺序应为：框架设计；风险管理整合；实施风险管理；风险管理评价；改进。一旦有了框架，就应保持和改进这些活动。承诺和评价应随着时间推移不断保持，但可以按策划时间间隔定期对正式授权进行评审。注2：风险管理的初步实施可能需要一些时间才能实现。注3：随后的小改进可以在出现时实施，也可以定期进行重新设计和重新实施。图2：风险管理框架示例1由于外包，风险管理过程可能需要采取多种方法。一家总部位于英国的资金管理机构每天要执行数千次资金转账，合同要求及时、准确、完整和可追溯性。几年来，处理工作一直外包给印度，最近又将监督工作外包给了英国的另一家公司。因此，这项工作的风险管理包括五个层面：整个企业；资金转帐的内部监视；资金转帐的外包监视；处理转帐的印度公司；监督转账的印度公司。示例2一家出版集团承接了一个翻译项目，该项目从一名项目经理发展到200多名员工，在两年内恢复到最初的项目经理。该项目的风险管理过程从一个小部门开始的，就好像它是一个新的业务部门，而不仅仅是使用项目管理风险技术。更广泛的集团使用了跨部门支持职能（如IT财务和人力资源），因此在这些情况下，风险管理过程保持不变。当项目结束时，所吸取的经验教训被记录下来，以便围绕这类项目风险的知识能够在更广泛的集团内传播。领导作用和承诺最高管理者应推动风险管理承诺，在每个层级嵌入良好实践和有效治理。最高管理者应以身作则，展示风险管理是战略、战术和运营活动的自然组成部分。培养对使用风险管理行为方法、实践和工具的理解，以适应本组织的个人特点和目的，并通过方针表达出来；这应是建立和实施风险管理框架的起点。任何权限、职责和责任的角色都应在框架内明确分配，以便在组织内工作的人充分了解他们在框架内的角色以及他们的角色与其他人的关系。通过积极的领导作用和承诺，应该强调：风险管理创造和保护价值；风险管理增强组织的治理和运营管理；将风险管理整合到所有过程和活动；风险管理是组织内所有人的职责，最终由董事会负责。最高管理者应批准风险管理方针并支持其实施。组织制定并经最高管理者批准的方针应以相关方易于获取的方式呈现。注：为了实现组织的目标，该方针可能是简短的，以便于理解，任何细节都可以通过以下方式进行扩展：风险管理框架的设计；其他方针或规范；或其他工作方式。该方针应包括以下部分或全部内容，以及根据组织的规模、复杂程度、现有风险管理能力和成熟度而认为必要的任何其他要素：风险管理的方向、范围和目标；各种后果结果的风险准则，包括可持续性；风险管理能力水平；所需资源，包括人员、知识和预算；为在组织中加强和嵌入风险管理而采取的具体活动；和如何根据方针对风险管理进行监视、测量和评审并进行沟通。整合组织内的每个人都应该理解风险管理人人有责任，无论是从治理和合规的角度，还是从管理的角度（战略和运营）。有效的风险管理应该是组织文化和行为的自然组成部分，如以下特征所示：嵌入到过程、工具和员工行为中的控制措施；将基于风险的思维融入其他管理活动，包括用于管理绩效的活动；在其他管理活动的同时建立风险管理团队；风险管理与综合管理一起包含在会议中，不作为单独的、独立的活动进行报告；为决策提供风险分析，以便在适当时间为其他管理领域提供信息和见解。设计理解组织及其环境组织应对其外部和内部环境进行彻底审视，以便充分理解这些环境，并设计适当的风险管理框架。为了有效地开展这项工作，组织应与有关相关方协商，确定法律和法规要求，并了解对其履行能力的任何约束。注：对其自身过程和体系的评估允许组织确定可利用的任何资源或经验，包括已建立的工具和文件（见附录B）。示例在对外部环境进行分析后，一个志愿组织确定了社会对保障的看法发生了范式转变。有了这些知识，并考虑到这一领域的风险增加，开展了一项对标活动，在该活动中，将来自其他两个组织的保障方针与组织自身的方针进行了比较。这突出了强项和弱项，从而改进了对所有相关组织的评审，并因此进行了后续修改。明确风险管理承诺组织应通过相关方针或其他适当方法表达其对风险管理的承诺。注：例如，年度报告或组织网站上发布的新闻稿中可能有关于承诺的章节。相关政策甚至可以在公共场所或现场或建筑物的相关场所展示。承诺的表达不一定要非常详细；它可以是一份广泛的意图声明，详细信息在相关过程或程序中公布。示例一家在同一地点设有办公室和印刷机的印刷企业，在主楼的接待区展示了其风险管理体系证书。更高层级的方针声明显示在每个管理体系的证书旁边，给出了每个案例中风险管理的意图和承诺的高层级声明。现场周围还提供了其他承诺声明，如急救设备旁边或印刷机上警告标志旁边显示的健康和安全方针声明。分配组织角色、权限、职责和责任组织应确定风险评估的角色、权限、职责和责任。这些应予以记录和报告。示例一个大型组织可能已经在其结构中确立了牢固的角色、权限、职责和责任，而一个较小的组织可能需要人员承担多重角色或分担责任以及相关的权限和责任（视情况而定）。外包虽然有利，但也会带来自身的挑战，因为在这种安排中，责任仍然可能属于客户而不是供应商。注：根据组织的规模和复杂程度，组织可能会有专门的经理或风险管理部门来支持其风险管理。风险经理和/或风险管理职能部门的职责包括：制定、实施和评审风险管理框架和过程；促进组织各级的有效风险管理；鼓励适当的风险文化，为组织内的风险管理开发资源，例如提供教育和培训；协调就风险管理的具体方面提供建议的其他职能；协调风险影响多个领域的应对措施，如安全、业务连续性、信息通信、健康和安全以及供应链安全；向关键相关方报告、上报和沟通风险管理问题；为组织内的风险管理提供保证。分配资源在进行框架设计步骤时，组织应确定各种资源，以用于：随着时间的推移加强风险管理；和管理风险管理过程的应用程序。注1：风险管理框架可确定用于运行已实施或计划的风险管理过程的应用的资源。适当时，框架还应影响开发和保证活动以及以下方面的资源需求：运行风险管理过程的其他应用（例如，尚未计划的项目）；和/或实施和运行风险应对措施。框架应提供帮助人们管理风险的工具。注2：工具示例包括软件、风险管理模型和方法、标准、文件和模板。框架应包括安排，以确保执行风险管理任务的人员有能力根据适当的经验、技能和知识执行风险管理。在可能的情况下，应分享经验和知识，并鼓励员工具备多种技能。组织知识应是予以保护的重要资源。注3：当员工离开时，组织可能会失去很难替代的隐性知识。风险资源分配应该是积极主动的而不是事后才想到的。建立沟通和协商在建立风险管理框架时，应明确表达组织的风险管理要求。注：风险管理框架内的有效沟通和协商对于建立反馈回路非常重要。应识别关键相关方，以便根据个人和组织需求及时向相关方提供适当信息。应建立正式和非正式的沟通和协商渠道，以便能够执行有关风险管理的积极信息，并有效收集情报。实施组织应根据其策划的活动和预算实施其风险管理框架，验证相关方是否适当参与以及是否促进决策。示例实施框架的一种有效方法是进行审核或成熟度模型/差距分析，以确定缺失的内容，并确定存在但有效且可以重复使用的内容。评价为了保持有效，应持续监视和测量风险管理框架，同时考虑到组织不断变化的要求和相关方的反馈。示例评价框架有效性的方法有：按策划间隔进行成熟度评估；和评审组织的损失状况，并使用基于风险的方法定期进行保证评价。改进调整风险管理应该是动态的，并且随着组织根据其环境适应不断变化的需求而不断发展。注：组织可能需要或可能决定向适用的相关方报告，规定其风险管理方针和框架及其有效性。组织应识别具体的外部风险报告义务、期限和要求，包括：组织的风险管理框架，包括风险管理的管理职责；关键风险和管理这些风险的主要控制体系；监视和评审现有的控制体系；发现任何重大缺陷以及为解决这些缺陷而采取的步骤。持续改进应根据监视和评价制定和实施风险管理的改进措施。对风险管理框架进行全面分析并做出积极的改变应成为保持风险管理相关性和有效性所需级变的常规部分。注：示例包括：评审过程；从风险结果和控制措施的应用中学习；内部审核（如果存在内部审核职能）；独立来源的审核。风险管理过程总则风险管理过程（见图3）应包括系统和协调的活动，包括风险评估（识别、理解和决定如何应对风险）和风险应对（实施一个或多个应对风险应对方案）。注1：成熟组织可能已存在风险管理活动或过程，无论是正式的还是非正式的，以应对需要加强和符合BSISO31000风险管理过程的风险。注2：可以使用关键绩效指标或风险管理成熟度来表示风险管理过程的成功应用和持续改进的评估进展。该评估有助于策划和实施风险管理过程的变更，以使其更加有效和高效。评估进度和风险成熟度包括在附件C中，图3风险管理过程风险管理过程与风险管理框架之间的关系风险管理过程与风险管理框架之间的关系应包括以下方面：信息要求；风险管理方针与程序和实践相结合，应提供反映最高管理和监督机构（如适用）职位的授权。风险管理过程应用中活动应产生与该职位相称的结果。注1：可以有共同的组织信息（如职权范围、指南、说明、规则）来整合、策划、启动、变更、执行、保证和终止应用程序一个应用程序。对于同一组织层级（如战略、规划、项目、运营）或职能（如财务、健康和安全、信息技术、可持续性）的应用，需要针对特定应用进行利用或调整，尤其需要这种通用信息。注2此后，术语“应用”用于指风险管理过程的应用。在应用的沟通、协商、记录和报告阶段，有关相关方之间应保持信息流。应提供有关组织外部和内部环境相关方面的信息。注3：相关方包括负责风险管理框架和应用的个人和群体；在小微组织中，这些人可以是同一个人或群体。注4：如果设计和实施得当，风险管理框架可以将风险管理过程整合到组织的所有相关方面，包括所有活动和决策，确保充分捕捉外部和内部环境的变化。阶段和循环往复；风险管理过程应该是循环往复的，并以协调的方式进行（图3显示了典型的顺序）。注5：在某些情况下，应用的各个阶段不必按照图3规定的顺序进行。示例包括：对响应紧急情况（如供应批次中的污染食品、汽车的内在故障）的风险管理过程；在风险评价期间，确定需要进一步分析以更好地了解风险；在风险应对过程中，如果确定风险应对方案不可用或不充分，则重新评价行动方案或目标。如果要求和情况需要，应重复应用各个阶段，例如：根据新的经验、信息、见解和想法重新评估风险；内部和外部环境的变化；由于事件的发生，风险应对被修改。特定/定制化应用；应用程序应适应其运行环境，如不同的组织层级和职能，并与组织的相关方面（如目标、文化）相一致。注6：始终有一个应用程序是组织范围的风险管理。在小微组织中，这可能是唯一的应用程序，而在大型组织中，可以有许多应用程序，包括组织范围的风险管理。应用程序应由对应用程序负有职责和权限的个人或群体整合、应用和拥有。例如，项目经理应在项目期间多次评估风险。注7：比较相关应用程序以实现改进和一致性可能是有益的。可能还需要相关应用程序之间的协调。策划和实施应用程序。应规定策划和实施应用程序的基础（如以下方面），并在应用过程中根据需要予以加强。目标和战略；时间表（如计划风险分析、关键路径、里程碑）；要求和资源（如财务、人力、信息、工具）；成本和效益；工作事项；依赖性；互联性；绩效和成功准则和措施；优先事项；约束；组织领域和有关相关方。计划应明确有关相关方的角色、职责和权限。应用程序的完整计划应得到有关相关方的认可、沟通，并在实施后定期评审其充分性和遵从性。注8：应用程序的实施后保证可以采取自我评估、内部审核和独立外部专家的详细评审的形式。任何不足之处（如合规性差、整合不力、成就和绩效不理想）和机会都都应由有关相关方识别和解决。注9：过程中可以使用一些风险技术（见图8.1）。沟通和协商在实施沟通和协商安排时，组织应：确定有关的内部和外部相关方，并理解所有这些相关方：提供和接收什么信息；寻求不同的观点、看法、建议和专业知识；有效沟通和协商的价值。识别触发因素（例如时间、事件）；确定信息质量（例如相关性、准确性、及时性、清晰度）和数量（例如深度、广度）；注1：非正式沟通（如办公室聊天）对支持决策很有价值。识别信息流（例如渠道、内容、格式、目标受众）；评价获取信息的成本和收益；验证沟通和协商活动是否反映了每个阶段和循环往复的需求，例如，沟通应用程序实施中的成功和经验教训，以确定实施是否：充分；超越预期；存在缺陷并已纠正。注2：信息质量和数量的不足可能是由于缺乏数据、缺乏调查和/或主观信息来源的分歧（例如意见、偏见、看法、判断）。这些差距和遗漏可以部分或完全纠正。范围、环境和准则总则参与应用的人员应根据范围、内部和外部环境以及可能的风险标准，理解应用的独特方面，以便开发定制的应用，为重点突出、适当和有效的风险管理过程奠定基础。界定范围在界定风险管理活动范围时，组织应验证：范围与应用的相关方面（如目标、战略、要求）和组织相关联。制定界定和变更范围的过程/程序；应用范围在决策和活动的包含和删减方面界定了其边界；评价策划方法的因素（见BSISO31000:2018，6.3.2）。示例一家拥有并行软件开发项目的成熟的软件开发公司希望生产和销售一个新的软件应用程序，该程序具有独特的卖点和新颖的功能。其范围是负责其生产的内部专用软件开发项目（简称“软件项目**”）。外部和内部环境组织应验证：组织内部和外部环境得到充分规定，并与应用的环境和范围一致；对应用的内部和外部环境应进行主动监测，并评审可能影响应用的变更。示例软件项目的内部环境可以包括：软件目标（例如成本、收益、完成时间、质量和功能）；人的因素目标（如文化、动机、满意度、技能和知识）资源（例如预算、人力资源、信息、软件开发工具）；角色（例如项目经理、分析师和程序员）。软件项目的外部环境可以是：更广泛的组织（例如组织目标、内部相关方）；和组织外部环境（如现有和新客户、竞争、不断变化的技术环境、不断增长的可持续性议程）。规定风险准则6.4.4注解在确定每种情况下使用的最合适的风险评估准则之前，组织可能会发现表达其风险偏好和风险容忍度是有用的。风险偏好的表达揭示了组织想要承受、追求或保留的风险的数量和类型。然而，在某些情况或条件下，可能只能容忍一定程度的风险。表达风险偏好和风险容忍度可以进一步帮助决策。示例1在世界其他地区开设分支机构的金融机构对其所有交易中的贿赂行为零容忍。组织对法律风险的偏好可以被描述为“厌恶”《贿赂法2010》，因为无论贿赂行为在哪里发生，它都可能在英国被起诉。在实施确定风险准则的安排时，组织应确定：要使用的测量范围（例如目标、一个或多个阈值、频带）；要使用的测量类型（例如定性、半定量或定量）；对设定风险准则因素的评价（见BSISO31000:2018，6.3.4）。组织应根据环境和可用的专业知识选择适当的方法。注1：建立风险准则在风险评价和风险应对阶段特别有用，因为它支持共同理解和评价。示例2软件开发公司希望对软件项目进行财务定量风险分析和评价。正面风险敞口和负面风险敞口分别基于可能性乘以财务收益和损失。可以进一步调整风险敞口，以说明潜在的高估或低估。公司使用5×5矩阵对软件项目进行定性风险分析和评价。它对积极和/或消极后果[（即：1）不严重，2）轻微，3）中等，4）严重，5）特别严重]和可能性[即：1）罕见，2）不太可能，3）有可能，4）很可能，5）几乎确定]进行了分类。相关的风险准则是基于负面和正面后果以及可能性的组合。注2：根据组织的独特环境，组织不可避免地会面临许多财务风险。其中一些示例包括市场风险、利率风险、汇率风险、流动性风险和价格风险等。比率用于评估财务风险。例如：营运资本=流动资产-流动负债这是一个流动比率，帮助组织评估其将资产转换为现金的能力。使用许多不同的比率来评估各种场景（参见示例3）。示例3在检查委员会的企业规划部门，财务比率被用来评估市场上产品的风险。如果一个新的或修订的产品正在评审中，就会进行现金流折现计算，以了解投资回报率。在向董事们提出开发哪些产品和搁置哪些产品的建议之前，还要进行敏感性分析。风险评估总则6.5.1注解风险评估包括风险识别、风险分析和风险评价，这些工作可能会或可能不会按顺序进行。风险评估中使用的信息可来自组织的外部环境。在某些情况下，风险评估技术可以在风险识别、风险分析和风险评价过程中使用软件工具实现自动化（见附录B）。但是应当确定所使用的任何技术的优点和局限性。示例软件开发公司基于低、中或高风险为软件项目制定了三种方法。该公司从每种方法中得出了成本和收益。在风险识别过程中，确定了每种方法的相关风险，其中一些仅具有负面后果，另一些同时具有负面和正面后果。在风险分析过程中，风险水平通过可能性以及各自的积极和消极后果的组合来计算。在风险评价过程中，将每个风险等级与风险准则进行比较，并决定评审风险应对方案。结合该方法的总成本和收益，对选定控制措施后的风险水平（如剩余风险）进行评审。根据情景分析，考虑风险敞口的平均分布和其他分布。这包括在风险应对阶段做出的决定。这导致软件开发公司有足够的信息来选择方法。风险识别在实施风险识别安排时，组织应验证：风险识别与需求相适应；影响目标实现的重大风险得到识别和充分描述，在信息受限的情况下，没有非预期的缺口或重叠；风险识别方法是彻底、持续和主动的；为每个风险分配至少一个风险责任人；具备能力、技能和知识的合适人员为过程提供输入；评价识别风险的因素及其关系（见BSISO31000:2018，6.4.2）。注1：最初识别的风险可被拆分、汇总或分组为主题。这些在存在大量风险的情况下特别有用，也可以突出具有潜在未识别风险的类别。注2：风险识别主要是基于对风险的认识，包括新兴风险（见附录A）。示例软件开发公司已识别出软件项目有形和无形目标的风险。风险来源（例如人员、技术、财务、过程/程序）基于公司的内部和/或外部环境。风险分析在实施风险分析安排时，组织应验证：对所有风险进行风险分析，包括可能发生变化的现有风险；风险分析包括风险之间的相互作用（例如组合、连锁、影响）；确定了共同的原因和影响；根据风险准则适当理解风险的严重程度；剩余风险反映了所有相关控制措施的效果；采取一种方法来缓解对风险严重程度的偏见，包括主观信息的一致性是基于多人的贡献；当风险水平在积极后果和消极后果（如商业破产、生命威胁）方面非常重要时，可通过沟通渠道报告风险状态；评价分析风险的因素（见BSISO31000:2018，6.4.3）。注1：了解在缺乏控制措施的情况下存在的风险量，有助于评估如果现有控制措施失效，风险敞口将是什么以及控制措施对风险修改的贡献。注2：错误估计风险严重程度的影响可能包括：低估导致潜在重大损失的负面后果；和高估负面后果，而不利用/增强正面后果，从而错失潜在的高利润。注3：风险可以定性、半定量或定量描述。可以相应地表达对描述准确性的信心，可能需要进一步分析。注4：风险可根据其重要性进行优先级排序。这种优先顺序有助于适当（例如及时、有效）分配资源，并进行重点监视和评审。示例软件开发公司已使用财务量化风险方法，根据风险对软件项目软件目标的正面和/或负面影响来确定风险水平。它使用了一种评分矩阵方法，根据风险对软件项目人的因素目标的正面和/或负面影响来确定风险水平，并评估了总体风险以及可识别风险和不同类型风险之间的相互作用。风险评价6.5.4注解风险评价是风险评估过程的一部分，有助于组织排列风险应对次序。为进行风险优先级排序，组织应：评价风险之间的相互依赖性以及一种风险如何导致另一种风险；评价同时发生多个风险的可能性；除了风险之外，还要考虑因素（例如不稳定性、敏感性、时间相关）；和验证每种风险类型的风险准则是最新的和相关的。注：情景分析技术的使用可以支持这种评价和优先排序。示例1软件开发公司已将风险水平与风险准则进行了比较。它已决定评审风险应对方案，如果具有负面后果的风险属于需要进一步应对的领域，和/或具有正面影响的风险属于公司希望追求和加强潜在后果的领域。示例2图4显示了如何使用风险准则来确定需要采取哪些额外措施来解决风险。图4确定需要采取额外措施的风险准则可能性几乎可以确定（5）(5)低中等中等高高很可能(4)低低中等的中等高有可能（3）低低低中等中等不太可能发生(2)(2)低低低低的中等罕见（1）低低低低低不严重（a）轻微（b）中等（c）严重（d）特别严重（e）负面后果风险准则如下：低风险水平是可接受的：不需要额外的风险应对方案，但有必要保持任何现有控制措施；中等风险水平是可以容忍的：风险应对方案可以尽快实施或推迟到稍后日期；高风险水平是不可接受的：应尽快实施风险应对方案。风险应对总则在实施之前，应对所有相关和可用的风险应对方案进行评价。注：一个风险可以有多个风险应对方案，可以与其他风险组合或相互作用。选择和实施一个或多个风险应对方案的结果是消除风险的负面后果，或将风险水平修改为可接受或可容忍的水平，并且可以重复选择。有时风险应对方案在财务上不可行、不实用或不合适。此外，如果剩余风险是不可接受的，并且无法使用一个或多个风险应对方案解决，则可以上报风险以待进一步评审。选择风险应对方案应根据对风险的预期影响选择风险应对方案（见BSISO31000:2018，6.5.2）。注1：现有风险应对通常被称为“控制”，而需要开发以改进风险管理的风险应对通常称为“行动”。在实施选择风险应对方案或设计安排时，组织应验证：对现有风险应对方案进行评审，以：确定重新应用或分享其他应用的应对方案是否有益；确定这些应对方案是否存在需要纠正的缺陷；环境（例如法规要求、社会责任、可持续性）需要或阻止特定的风险应对方案；实施效益与成本进行比较，成本可以是财务性的，也可以是非财务性的，还可以是两者兼而有之：新的或现有的应对方案；相互冲突的应对方案。应对方案的性质定义为定期启动和/或响应事件、重复或一次性；评价风险应对方案之间的相互作用；确定控制措施的有效性和效率；控制措施在组织方面进行整合；每项控制措施都有责任人，他可能与具有更高权力的风险责任人不是同一人；已经与有关相关方进行了充分的接触，并且至少注意到任何重大的冲突观点。注2：一个风险可以有多个风险应对方案，相同的风险应对方案可以适用于多个风险。注3：不构成控制措施的示例包括避免风险、消除风险源和保留风险。注4：控制措施可以按照风险发生前和/或发生后的应用情况进行分类和组织，在不同的组织层面和职能部门应用，并针对某个方面（如活动、流程）和目的进行分类。这样的分类有助于突出控制措施可能存在可能存在和可识别的领域，并可改进已识别的风险和控制措施之间的联系。示例1软件开发公司已决定实施控制（例如，评价内部和外部培训以解决知识差距，根据频繁的绩效和进度测量采取纠正措施，遵循最佳实践软件开发和项目管理方法，确保有效的沟通和协商，仅使用在充分支持下试用和测试的软件开发工具）。这些选定的控制措施基于公司的目标、风险准则和可用资源，其效果是一个或多个控制措施基于负面后果降低风险水平和/或基于正面后果提高风险水平。确定选定控制措施后的风险水平，选定控制措施的成本计入软件项目的总成本。示例2由于开发能力的成本较低和可扩展性，软件开发公司将部分软件开发外包给了一家外国公司。该决定将部分成本超支风险转移给了外包公司，因为外包开发的成本是根据合同确定的。示例3该软件开发公司接受了一位风险投资家的财务投资和业务指导，通过开发更多的软件来换取股权和所有权，从而扩大公司规模。这一决定与风险投资家分担了公司长期财务收益和损失的风险。示例4合规团队将对所有业务领域进行合规检查。该团队由四名员工组成，包括一名经理。该团队将向高级财务委员会报告。董事会已同意提供资金。这将通过更一致和及时地识别和解决不合规情况，降低风险发生的可能性。制定和实施风险应对计划6.6.3注解以下扩展了应对计划中提供的信息示例（见BSISO31000:2018，6.5.3）：行动的协调；成功完成的目标和准则；优先事项；费用。在制定和实施风险应对计划时，组织应验证：根据应用的规模和复杂程度以及将要进行的变更，充分详细地制定风险应对计划；及时发现与风险应对计划的偏差并进行相应纠正；对实施的风险应对方案进行评价，包括单独和组合测试，确定其状态，并纠正任何缺陷；如果应对风险的应对计划低于设定的绩效标准，则可以使用应急方案。注：风险应对有效性的保证可以采取多种形式，如自我评价和内部审核或独立外部专家的详细评审。组织应验证其内部审核职能与组织面临的风险是否一致。当与外部审核报告相结合时，这应为关键相关方提供应对计划有效性和控制框架应用的充分保证。监视和评审6.7注解以下重复并扩展了作为循环往复过程一部分的监视和评审步骤（见BSISO31000:2018，6.6）：策划；发现；收集；分析；测量；与标准进行比较；如有需要，采取措施；记录结果；提供反馈。在实施监视和评审安排时，组织应验证：这些安排提供了适应和改进应用的信息；这些安排是有效的、适当的，并对变化作出响应；这些安排反映了每个阶段和循环往复的需求，包括：识别应用中的重大风险；风险仍然可接受或可容忍；风险应对方案仍然有效；应用仍然是相关的。应根据要求确定监视和评审的及时性。记录和报告6.8注解以下是报告中考虑的因素示例（见BSISO31000:2018，6.7）：环境；内容（质量、数量）；报告线；和诱因（事件、时间）。在实施风险流程的记录和报告部分时，组织应验证以下内容：与其他信息（如联合报告、会议议程项目）的协调和整合，可能需要交流/交换格式；记录和报告活动反映了每个阶段和循环往复的要求（强制性和自愿性）；评价报告的因素。注1：记录和报告内容可包括：应用计划；风险准则；风险（例如，出现、识别、可能性、后果、时间跨度、连通性、责任人）；风险应对响应（例如选择、计划、所有者、充分性、有效性、进度）；剩余风险；重大非预期变化和异常；作为每个阶段实施的一部分所采取的决定和措施的理由；应用的进展和绩效；从先前循环往复中吸取的经验教训，注2：记录和报告可以数字化，支持工具可以实现集中存储、版本控制、协作工作以及以仪表盘形式显示报告。组织应该有一种方法来评价所吸取的教训的后续措施，并将其记录和报告。记录和报告的要求可能涉及共同的信息，这些信息应保持一致或进行合并。BSBS31100:2021 BRITISHSTANDARD附录A（资料性附录）：新兴风险引言全球活动的某些方面越来越不稳定、不确定、复杂和模糊（VUCA）。尽管从表面上看，风险管理实践似乎不受这种变化环境的影响，但社会、技术、环境、监管和经济因素日益活跃。逐渐被理解的风险可能会突然加快速度，产生新的不确定性。例如，Covid-19显著提高了新兴数字风险的速度，新的创新迅速在市场上出现。这一新的环境促使各组织评审其对风险的总体反应。一方面，存在着知识和经验已经存在的风险；另一方面，有些风险可以称为新兴风险，其后果模式与其他风险产生的后果模式不同。历史数据不存在，适当管理所需的知识体系也不可用或不明确。新兴风险不包括个人或组织根本不知道可用知识的情况，但包括数据、信息和知识首次在全球范围内为人所知的情况。新兴风险的特征在一个动态的环境中，随着复杂程度和速度的不断增加，风险可能以意想不到的方式发生。新兴风险可能：是新的风险或已知的风险，且情况发生变化；以快速或缓慢的速度浮出水面。风险出现的速度会影响管理风险所需的控制措施、水平扫描的频率、频率控制评审和所做的变更。新兴风险属于3.7中给出的风险定义，与其他类型的风险处于同一范围内，该子类的边界非常模糊，几乎不可能达成一致。然而，新兴风险具有某些特点，在实际层面上，需要不同的技术、方法和应对措施。因此，对新兴风险进行实际管理的出发点是评审可以识别的特征差异。使新兴风险难以通过管理所有风险的通用方法解决的特点是缺乏既定的知识体系。管理风险需要了解很多事情，包括风险的表现模式：风险的可能性有多大，风险会产生什么样的影响，哪些控制措施有效，如何监视风险，以及许多其他因素。这种信息是随着时间的推移而建立的，因此，当一个新的风险被识别为来自一个新来源，或者作为一个先前建立的风险被抛入一个明显的新环境时，那么模式、信息和支持数据还不存在。新兴风险的来源新的科学、技术、社会科学和其他快速发展，包括经济和地缘政治变化，往往会出现新的风险。对于气候变化、移动通信和由新型冠状病毒疫情引发的工作实践革命，这些风险源被认定为新发风险的情况再次常见，但实际上，这些都是来源，实际风险与许多可能的未来事件有关。其中一些来源的动态性质增加了管理新兴风险的难度，因为变化的速度意味着一些风险可能很快出现，构成重大威胁或在短时间内提供重要机会。有效的业务连续性计划（如BSENISO22301所述）可以为这些事件提供适当的响应。然而，并非所有新兴风险都会迅速变化，在应对气候变化时，尽管许多因素会影响全球应对的及时性，但国际社会仍可以及时采取措施抵消许多风险影响。一些最初被认定为高度重大的新兴风险随着环境的变化而逐渐消失并变得微不足道。这里的示例可以从激光光盘等技术中得到，这些技术在造成承诺的破坏之前就被其他技术所超越。管理新兴风险风险识别应对可能影响组织的新风险需要在评估外部环境方面付出额外的努力。不断监视外部环境的过程，包括监视来源和社会反应，已被广泛称为“地平线扫描”。这被认为是一种良好的实践，因为大多数新兴风险开始时都是微弱的信号，其重要性会增加。发现（地平线上的）新兴风险当信号微弱且后果尚远时，可以提供战略优势。当组织将措施与特定的外部触发事件联系起来时，地平线扫描也很重要。风险分析和评价在管理新兴风险的风险分析阶段，情景分析等技术与风险评价一起变得重要，因为可能无法得出可信的影响和可能性值。因此，随着风险的出现，后果和合理性的概念往往成为讨论的基础和行动的驱动力。风险应对在应对新兴风险（其中一些风险可能是动态的）时，组织需要既灵活又有韧性。敏捷性可以帮助实现威胁和机会，其中韧性是一项计划措施，允许组织：预测代表威胁的可能不利情景/事件，做好准备，承受/吸收其影响，从中最佳恢复并适应不断变化的条件；应对并适应从机遇和积极变化中获得的利益，创造内部价值，满怀信心地承担可测量的风险。除了韧性措施外，各组织还需要确定其他转移方案，如专属保险工具和参数保险，以管理风险资本。在管理新兴风险时，组织可以将新兴风险分为三个或三个以上的时间集群，以便更有效地分配资源，其中使用的范围取决于风险和组织的视角。例如，缓慢发展的新兴风险由海平面变化引起的损失已经影响到保险公司，但对渔业来说并不是迫在眉睫的问题。附录B（资料性附录）：风险工具工具可以是有效理解和管理风险的有力工具。它们能够以一致的方式捕获信息；与相关方接触，提供全面可靠的分析，明确与不同方案相关的风险，确定措施的优先顺序，改进沟通，并产生可靠的审核线索。有许多工具可用，每种工具都适用于特定情况下的特定任务（示例见图B.l）。所选择的工具需要与需求成比例，并适合其使用的环境。工具选择可基于：用户特征：工具的能力和经验；理解使用工具的好处的能力；愿意使用该工具；任务特点：风险管理活动的目的；期望输出；风险管理输出的用途；所开展活动的阶段；风险研究的可用时间；所涉风险的重要性；要求的详细程度；工具的特点：提供关于工具生产性使用的信息；工具功能信息的可用性；易于使用；费用。组织内风险管理的特点：风险管理嵌入组织的程度；其框架的复杂程度及其过程的应用数量；应用程序的复杂程度。

图B.lBSISO31000风险管理过程中的技术应用注：关于这些技术的进一步信息在BSENIEC31010:2019，附件B中给出（本图中提到的子条款与BSENIEC31010:2019的附件有关）。附录C（资料性附录）：评估进度和风险成熟度C.1引言评估风险管理的进展及其与组织的整合是持续改进的重要因素。相关方需要评估风险管理方式的有效性，并测量风险管理原则、框架和过程融入所有组织流程和目标的进展情况。这一评估将导致制定计划以推进和发展。由于风险管理是针对每个组织的文化和目标而制定的，因此没有一种确定的方法来确定组织的风险管理原则、框架和过程是否有效。然而BSISO31000:2018的关键要素提供了可定制并适用于任何组织的起点。对风险管理有监管要求的组织或在从事风险管理实践基准制定的行业中运营的组织可能需要使用特定的风险成熟度模型，该模型是这方面的预期标准。本附件提供了有关如何选择与BSISO31000:2018相协调的适当风险成熟度模型的建议，在该模型中，组织有更多的选择。C.2使用原则评估进展这些原则是风险管理的基础和基础。组织如何证明每项原则的证据可以为风险管理计划的评估提供依据。重要的是，为证明支持每项原则而选择的证据必须针对组织的文化、环境和运营。外部保证可用于测试假设和验证结果。该评审过程需要根据组织的需求、结构和要求进行定制。评审可以由评审小组通过单独访谈或调查的组合进行，也可以由一组相关方在研讨会环境中完成。将结果传达给适当的相关方是该过程的关键部分。如果评审结果表明需要改进，则制定行动计划以改进绩效，并安排后续评审。C.3人和文化因素的影响有效的风险管理依赖于共同的价值观、信念、知识和对风险的理解。因此，尽管BSISO31000:2018中的所有原则都很重要，但原则g）（见第4条）。它强调人类和文化因素的根本影响。组织的风险文化既有其国家文化，也有组织内部可接受的人类行为规范。组织文化和风险文化是有机发展的，但会受到领导层意图的影响或改变。在这种情况下，领导作用可以来自组织中的任何层级，而不一定来自最高管理者。可以采取以下措施来改进风险管理方面的组织文化。有条件和/或定期评审并确定是否需要对最高管理者定义的当前组织文化和风险管理要素进行改进，如果不同，则在运营层面进行改进；向具有共同目的和/或在组织范围内