差旅风险管理 组织指南 征求意见稿

3GB/TXXXXX—XXXX差旅风险管理组织指南本文件为组织和差旅者提供了关于如何管理差旅风险的指南。本文件以体系化的方法来开发、执行、评估和审查以下内容：政策、程序开发、风险识别、机会和优势、风险评估、风险预防和风险降低战略。本文件为管理差旅风险提供了一种通用方法，而非仅针对某特定行业或领域。本文件不适用于与旅游及休闲有关的差旅，但代表其所属的组织出差的差旅者除外。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ISO31000：2018，风险管理-指南3术语和定义下列术语和定义适用于本文件。3.1能力competence能够运用知识和技能达到预期的结果。注1:这是构成ISO管理体系标准协调结构的通用术语和核心定义之一。[来源:IS022300:20213.1.42]3.2危机crisis威胁组织的异常或特殊事件或情况(3.9)，需要战略性、适应性和及时的响应，以保持组织的生存能力和完整性。注1:事件可包括高度不确定性。注2:事件可能超出组织的响应能力或能力。注3:鉴于危机的性质，有可能没有充分或适当的计划来处理该事件，因此需要灵活和动4GB/TXXXXX—XXXX态的方法。3.3危机管理团队crisismanagementteam负责指导和实施组织危机管理能力的工作小组。3.4关照义务dutyofcare组织保护差旅者免受危险(3.5)和威胁(3.17)的道德责任或法律要求(3.09)。3.5危害hazard潜在危险的来源。[来源:IS031073:3.7.5，注1已被删除]3.6事件incident可能是或可能导致中断、损失、紧急情况或危机的不良事件(3.2)。注1：事件可能对差旅者(3.21)的健康、安全和安保产生负面影响。注2：事件可能对组织(3.9)产生负面影响，如声誉损害、财务损失。注3：事件可能对组织弹性产生负面影响。3.7事件管理团队incidentmanagementteam在职能上负责规划事件发生的可能性和管理的组织(3.6)。注1：事件管理团队的职责可包括与外部组织(39)、利益相关者(3.15)和家属的联络。3.8下班的时间off-dutytime出差者(3.21)不从事工作活动但仍在一般监督下的时间。注1:这可能包括一个周末，取决于差旅的持续时间。5GB/TXXXXX—XXXX3.9组织organization有自己的职能、责任、权力和关系以实现其目标的人或一群人。注1：组织的概念包括但不限于：个体经营者、公司、法人公司、企业、权威机构、合伙企业、协会、慈善机构或机构，或其部分或组合，无论是否注册，公共或私人。[来源：IS031022：2020,3.4，修改-注1对条目进行了修改。]3.10事假时间personalleavetime在工作活动或项目的预定时间之前、之后或之内发生的一段时间，不属于组织的监督责任(3.9)。3.11提供者provider组织(3.9)按照约定的规范、条款和条件向组织提供服务或产品，或两者兼而有之。3.12风险risk不确定性对目标的影响。注1：影响是对预期的偏离，它可以是积极的、消极的或两者兼而有之，并可以处理、创造或导致机会和威胁(3.1Z)。注2：目标可以有不同的方面和类别，并可应用于不同的层次。注3：风险通常用风险源、潜在事件、其后果及其可能性来表示。[来源：IS031000：2018,3.1]3.13风险评估riskassessment风险识别、风险分析和风险评价的全过程[来源：IS031073：3.6.1]3.146GB/TXXXXX—XXXX风险处理risktreatment风险修改流程(3.12)。注1：风险处理可包括：——通过决定不开始或不继续导致风险的活动来避免风险；——为了追求机会而承担或增加风险；——消除风险源；——改变可能性；——改变后果；——与另一方或多方(包括合同和风险融资)分担风险；通过知情决策保留风险。注2：处理负面后果的风险处理有时被称为“风险缓解”、“风险消除”、“风险预防”和“风险降低”。注3：风险处理可产生新的风险或修改现有的风险。【来源：IS031073：3.10.1]3.15利益相关者Stakeholder能够影响、被影响或感知自己受决策或活动影响的人或组织(3.9)。注1：术语“相关方”可用作“干系人”的替代词。[来源：IS031000：2018,3.3)3.16学生student作为培训计划的一部分，在就业组织(39)的控制下，或在学校或其他教育机构注册的个人，实习，学徒或以其他方式注1：由于学生可能未达到法定责任年龄，他们可能无法自己做出法律决定。3.17威胁threat潜在的危险、伤害或其他不良后果的来源。7GB/TXXXXX—XXXX[来源：IS031073：3.7.7，修改-删除了条目的注释1和2。]3.18差旅travel代表组织(3.9)，在组织的注意义务(3.4)范围内的人员活动。注1：运动可以是国内的，也可以是国际的。3.19差旅风险travelrisk差旅对目标的不确定性影响(3.18)。3.20差旅风险管理travelriskmanagementTRM在差旅风险(3.19)方面指导和控制组织(3.9)的协调活动。3.21差旅者traveller进行出差的人(3.18)。3.22工作人员worker在组织的直接或间接控制下从事工作或与工作有关的活动的人[3.9]。注1：人员在各种安排下执行工作或与工作相关的活动，有报酬或无报酬，如定期或临时、间歇或季节性、随意或兼职。注2：工作人员包括最高管理者、管理者和非管理者。注3：“在组织控制下进行的工作或与工作相关的活动，可以由组织雇佣的工人、外部供方(3.11)(承包商、子供方)的工人、个人、代理工人，以及组织根据组织的情况共同控制其工作或与工作相关活动的其他人员进行。”[来源：ISO45001：2018,3.3，修改-在定义中增加了“直接或间接”，并在条目的注3中增加了“子供应商”。]8GB/TXXXXX—XXXX4组织及其背景的理解4.1运营背景4.1.1概述组织应对所面临的风险概况、已经运行或计划运行的动态差旅风险管理（TRM）有清晰的理解，包括能够对其差旅风险管理计划目标、包括其外部和内部的运营环境，产生当下的影响或者产生间接的、潜移默化的影响因素。外部环境包括但不限于：a)国际、国家、区域或地方性的政治、社会经济、文化、宗教/道德、法律或监管因b)政治暴力(包括恐怖主义、叛乱、有政治动机的动乱和战争)；c)社会动荡(包括宗派、公共和种族暴力)；d)暴力和轻微犯罪；e)交通运输的质量、可用性和可靠性；f)通信的质量、可用性和可靠性；g)劳资关系状况；h)公立和私立的安全和应急服务的有效性；i)差旅者组织其他各方(例如：客户)的责任；j)自然或地质因素；k)对自然灾害的易感性；l)潜在的健康危害，包括传染病的流行和大流行；m)当地的卫生基础设施和医疗服务的质量；n)信息/网络安全；o)酒店/住宿的质量；p)地面/道路条件。组织的内部环境可以包括，但不限于：——愿景、使命、价值观和文化；——管辖、结构、角色、职责和责任；——战略、目标和政策；——计划、标准、指南、规章和指示；——风险管理策略和风险准则；9GB/TXXXXX—XXXX——差旅活动的范围和类型；——能力，包括差旅者的能力和概况；——管理组织的差旅风险所需的资源、技术和工具；——数据、信息系统和信息流。4.1.2具体的行业/部门一个组织所处的行业/部门是影响差旅者面临的风险的另一个因素。组织应知悉其所属行业/部门、国籍国及其运营项目的属地国有关的法例、规则规定、业务守则等。组织还应考虑到其关照的义务、商业韧性政策和安排、以及可持续性目标，这些都可以对风险应对产生积极影响。组织需要主动地监控和审查已识别的、正在发展的和新兴的风险。组织应考虑这些风险对组织差旅风险管理的影响，并记录所有变化并据此采取行动。4.1.3风险概况一个组织应该清楚地了解它的风险概况和它所运行或计划运行的动态TRM景观。为此，组织应审查与以下方面相关的TRM目标：——组织背景；——组织的运营部门，——具体的业务或任务，或两者兼而有之；——目的地；——个人差旅者简介和目标。风险概况可以包含相互依存的不同风险。应定期审查差旅风险概况，在内部和外部操作环境发生重大变化后，应通过内部和外部沟通告知结果。4.2利益相关者组织应确定与差旅风险管理相关的内部及外部利益相关者见表1。根据组织的规模及其组织差旅需求，TRM功能可以与其他功能相结合，某些功能也可以由专业的第三方提供商提供支持。表1内部及外部利益相关者举例内部利益相关者(包括职能相关者)外部利益相关者——健康与安全/环境、健康与安全/职业健康与安全——公司安全/信息安全——数据隐私——市场营销和沟通——董事会——采购和寻找资源——合规——保险供应商——差旅管理公司——差旅风险管理公司——相关的政府机构GB/TXXXXX—XXXX——业务连续性——危机管理——事件管理——企业社会责任/可持续性——全球差旅/商务差旅——人力资源内部流动/培训——区域管理——风险管理——运营——员工/学生——保险——财务——审计——法务——工会/员工委员会——差旅和人员流动——医疗——安保——监管机构和应急服务——供应商和子供应商——客户——差旅者的指定紧急联络人——差旅者的家属——当地合作伙伴或社区4.3差旅人员需要注意差旅者与目的地有关的个人资料，因为种族、能力、国籍、文化身份、性别、性取向、宗教、年龄、职业、职位、残疾或病史等因素都可能影响与差旅有关的风险。风险可能超出安全和安保范围，还可能引发医疗和其他需要。一个组织可能有几种不同类型的差旅者或差旅群体，分别对应不同的关照和义务的要求。TRM职能部门应与组织的人力资源部门或法律部门紧密联系，以充分了解不同类型的差旅者。其中包括：——直接工作者——组织及其供应链中的其他工作者；——该组织的实习生和客人；——与主要差旅者一起出差的家庭(以及其他依靠该差旅者支持的人员，例如财政支持)；——大学/学校的学生。还应考虑差旅的方式，例如：——区分短期和长期差旅者(包括外籍人士)；——在本国居住的，边远地区工作者；——轮岗工作者。4.4业务目标、风险偏好和标准一个组织应在其业务目标和机会与采取必要的步骤进行风险管理之间进行平衡。风险应对方案应与可预见的、或预期的风险水平相符合。组织应考虑其准备接受的风险水平，从而在利用所有机会来满足其业务目标的同时，能够采取适当的措施来有效地和高效地管理风险。有些情况下，风险水平是不可接受的，不应进行差旅。组织的差旅风险准则应记录在差旅风险管理政策中。GB/TXXXXX—XXXX4.5差旅风险管理和实施一个组织的差旅风险的性质和规模将决定其如何管理差旅风险并予实施。偶尔前往低风险地点的组织与经常在高风险地点工作的组织的风险概况是非常不同的。风险概况还将使组织获悉在何种程度上可以利用自身资源来管理风险，或将需要依靠第三方供应商的支持来协助或实施必要的职能。这将是在制定和实施差旅风险管理政策和方案时需要解决的一个重要因素。应适当考虑进行成本效益分析，以协助决策过程。关于成本效益分析的进一步指南，详见IEC31010。5管理差旅风险5.1领导作用和承诺最高管理层应承担并展现其对组织差旅风险的责任，并通过以下方式证明其对有效管理的承诺和支持：——对差旅风险管理过程的有效性负责；——确保差旅风险管理政策和差旅风险管理目标的制定，并与组织的战略方向相一致；——确保将差旅风险管理纳入组织的业务流程；——确保提供差旅风险管理计划所需的资源；——有效沟通差旅风险管理的重要性、以及遵守差旅风险管理流程及其法律责任的重要——确保差旅风险管理/计划达到预期效果；——指导和支持他人对差旅风险管理计划的有效性作出贡献；——支持其他相关管理人员在其职责范围内展示其领导能力；——按计划的时间间隔对差旅风险管理计划进行管理评审；——持续改进。组织应提供指示和充足的资源，以开发和实施差旅风险管理计划。5.2政策差旅风险管理(TRM)政策应作为一个高级文件，指明组织的差旅风险管理战略，这是其更广泛的风险管理战略的组成部分。该政策应与组织的意图和方向完全一致，且最高管理层作出同样的正式表达。最高管理层应建立一个TRM政策：GB/TXXXXX—XXXX——该政策规定了实现目标的总体原则、意图和方向——该政策适合组织的需要和资源条件；——该政策成为本组织管理政策的组成部分；——该政策与组织的风险管理、业务连续性、差旅采购和可持续发展政策保持一致；——该政策涉及有关法律、标准、政策及业务守则；——该政策为风险评估过程制定原则；——该政策考虑(或建立)组织的风险准则；——该政策定义所有相关利益相关者的角色、职责和责任，包括他们的能力；——该政策陈述组织在与任何差旅有关的非工作时间及私人休假时间(两者有时均被称为“休闲时间”)方面的政策；和——考虑多名差旅者和随行人员政策，如相关。TRM政策应：——得到最高管理层的批准；——可被所有适合的利益相关者使用——通过信息、教育和培训，在组织内进行定义和有效沟通；——与更广泛的风险管理框架相结合，以确保组织内的风险管理方法一致；——定期审查政策的相关性和政策应用的连续性。为了赋予组织灵活度，以及响应组织切实存在的需求，TRM政策应包括特例过程。设计特例过程是为了确保政策要求的任何例外情况能够得以进行：——根据该组织的风险偏好、优先次序和其他有关标准加以考虑；——被提交至相关的利益相关者并获得批准；——在必要时进行补偿性控制措施；——记录和报告。例如，由于某些原因，差旅者可能需要在TRM政策之外预订差旅。在这些情况下，他们能够提交政策例外请求至关重要。政策特例请求的提交、批准或不批准以及任何相关的控制措施或建议必须得到确认和记录非常重要。如果组织使用差旅管理公司进行差旅预订，则必须将政策、政策例外流程和变化以清晰和及时的方式传达给差旅管理公司。GB/TXXXXX—XXXX5.3角色、责任和义务风险的最终责任由最高管理层承担，即使责任已经被委派给其他人。最高管理层的“刑事责任”概念在某些司法管辖区可能存在。如果有授权，则应以书面形式记录授权。差旅风险管理职能应由具有必要能力的个人或团队管理担任。该职能可以是一个专门的角色，也可以是附加的责任。TRM政策应列出各种内部和外部利益相关者的责任，这些利益相关者在日常运营和非日常情况(如事件期间)的实施中都需发挥一定的作用。条款4.2提供了内部利益相关者的职能的列表，这些职能可能发挥作用。还应规定差旅者需遵循组织的TRM政策和程序进行合作和行动的责任。该责任有时被称为“忠诚义务”。政策中概述的职责可以在TRM计划中更详细地展开。TRM政策的首要目标应是确保差旅者能够在尽可能安全和有保障的环境中以最佳方式履行职责，并制定应对紧急情况的程序。TRM政策应制定计划并界定目标。5.5计划/建立计划在制定TRM计划时，组织应：a)确保有来自最高管理层的充分支持和恰当的资源。b)确保开发过程能如4.2所述，包括内部利益相关者的参与、和来自内外部利益相关者的输入，还包括适当时来自外部利益相关者的输入。c)确保TRM职能部门与相关领域的员工建立长期的专业了解，以促进未来的持续对话。d)概述关键过程及其相互作用。e)确定TRM职能部门是独立的还是现有组织结构的一部分。f)建立与实施计划有关的所有职责和角色。g)确保计划（包括以项目为导向的运营/作业）的健康、安全和安保风险，得以尽早识别并为其编列预算。例如，在报价阶段，招投标团队应与TRM职能部门进行主动对话，以确定运营风险并编制预算。h)建立确定差旅风险级别所需的措施。这些措施应包括但不限于：1)确定组织与差旅风险目的地相关的总体风险概况。应包括国际和国内差旅(如国籍国存在被认为对差旅者有风险的地区)。2)列出可能影响组织(包括差旅者)的风险类别，例如：GB/TXXXXX—XXXXi)人员风险—受伤和疾病(包括与工作相关的)、殴打、拘留、绑架、盗窃、抢劫、死亡；ii)法律风险-刑事诉讼或民事法律后果，或两者皆有；iii)业务连续性风险—未能克服事件和或未能恢复正常的运营、系统和基础设施问题；iv)声誉风险—不良的事件响应或者因TRM失败导致的重大的声誉损害；v)财务风险—派遣失败、差旅扰乱、税收、签证/工作许可状态、民事索赔、保险费用、转运费用、医疗送返；vi)数据、知识产权和信息资产风险—数据泄露、违反保密性、网络、系统或资产损失、间谍活动；vii)对生产效率/行程有效性的风险—行程失败、延误、公司活动失败。3)在风险级别、建议的行程和风险应对是否合适等方面存在意见分歧时，确定决策标准。关于TRM计划的前期规划和开发的更详细的指南，见附录A。5.6实施组织应创建一个实施计划。该计划应得到最高管理层的批准，并应将TRM职能整合到组织的运营中。通常包括：a)目的地和时间框架1)根据最新的风险评估对目的地进行审查和分类。目的地或许需要在城市/省/地区级别上考虑，因为即使是在同一国家，不同地方的情况可能有很大差异。通常情况下，信息将包括内乱、犯罪问题、恐怖主义风险、极端天气风险等细节。可以借助政府和商业资源来实施该过程。2)确定可能对差旅者的健康、安全和安保产生影响并影响本组织目标的事件的日期和时间框架。3)确保差旅者了解组织或相关供应商对保险、送返、使用公司资源、应避免的特定地点等施加的任何限制或极限。b)与差旅者本人相关的事项1)差旅者的具体风险概况。需要特别注意没有法定监护人同行的未成年人差旅者。相关指南详见附录B。2)说明如何管理/覆盖在非工作时间或私人休假时间(两者有时被称为“休闲时间”)发生的风险，如果有相关的风险的话，组织的差旅风险管理过程需对此管理/覆盖。3)对差旅者进行适当的评估和提供相关培训c)过程1)建立可行和有效的方案，包括建立一个适当的系统，用以准备和记录需妥善记录的文档，并为已完成的工作和已作出的决定提供证据。2)为参与方案执行的所有人员以及差旅者提高安全意识、提供培训或其他资源。GB/TXXXXX—XXXX3)差旅人员的出差前授权、差旅和住宿预订程序。如果可以的话，使用集中系统预订差旅可以提高管理差旅以及管理出差计划潜在变化的效率。4)与内部和外部利益相关者进行正常和紧急沟通的线路、方法和程序。5)预算归属和预算管理。6)确保相关信息(情报)的收集和分析。该工作可以通过内部资源、第三方供应商或专门从事这方面工作的政府部门指导来完成。7)识别和分配内部员工和安全顾问/供应商之间的职责。8)考虑全球性扰乱事件对差旅的影响。附录C提供了此方面的指南。d)事件管理1)确保组织具备事件和危机管理团队或能力，由拥有必要的沟通技能、技术工具、指示和授权的合格员工组成，在适当的时候、以妥善的方式采取行动。2)提前确保在差旅者需要时，组织有能力提供妥善援助，以解决或许可能发生的安全和健康问题。这些问题包括差旅期间的安全协助、有关事件的通知、紧急的安全、安保和医疗援助、转运、和差旅后的援助和支持。3)进行应急管理和沟通。沟通应包括运营的要求、事件发生后对员工的责任承担、以及管理与当地政府部门的交流活动和公共关系。4)在适当情况下，须及时向员工事先指定的紧急联络人或亲属提供信息。6差旅风险评估6.1概述风险评估是包括风险识别、风险分析和风险评价在内的整个过程。该过程是以对该组织背景的了解(见第4条)和在考虑之中的某个特定的旅程安排为基础。所有的差旅均应进行风险评估。风险评估的要素、方法和技术各不相同。整体环境、组织政策中确定的原则、以及计划中的差旅的特定特征都影响着风险评估的复杂程度。应确定评估的范围，具体说明所需评估的差旅日期、地点和差旅方式，以及所作的任何假设。这有助于确保差旅不超出相关风险评估的范围。差旅数量较少的组织可以通过临时方法针对每次差旅活动进行风险评估。大量出差的组织可以使用相关技术对低风险地点进行自动化风险评估，并对高风险地点启动单独的详细的风险评估。此过程也可以用来生成差旅前的建议，将之提供给差旅者(见7.4.3)。风险评估主要用于：——了解差旅者和组织所面临的风险的重要性；——确定事件发生的可能性，以及如果发生，其正面或负面后果的范围；——对需要采取行动的风险进行优先排序；——通知差旅者是否可以按计划进行差旅；——使组织能够就是否批准计划的差旅作出明智的决定；——遵循该组织预先商定的风险标准，以及在差旅前和差旅期间妥善和充分的风险应对方式；——改变差旅的性质及/或改变指定的差旅者。差旅风险评估应包括安保威胁和安全和健康危害。威胁是一种特殊的风险源。例如，如果存在特定的威胁，前往原本是低风险国家的差旅则被视为高风险差旅，并需要据此制定相应的措施。GB/TXXXXX—XXXX注：当一名有动机的犯罪分子在合适的时间和地点遇到合适的目标，而对该犯罪分子又没有适当的对策时，犯罪风险和安全风险会更大。差旅期间的安全威胁包括：——犯罪(从机会主义的轻微犯罪到有组织的绑架勒索)；——恐怖主义；——网络犯罪；——激进主义(例如政治、宗教、意识形态)；——国家压迫/镇压；——社会工程行为；——根据差旅者的个人情况或组织情况作出的攻击性或负面行为(见4.3)。潜在的危害包括：——与传染病及其暴发、当地卫生条件或食源性疾病有关的健康危害；——交通事故(地面、海上或航空差旅)；——由环境引起的事件(不利的天气条件、障碍物、设备故障，如突然发生的自动扶梯或电梯技术事件)；——工业灾害(例如爆炸、倒塌、火灾)；——非故意/过失行为。安保威胁和安全与健康危害都有可能对差旅者的身心健康和本组织的业务目标产生影同样重要的是，要注意差旅者本身可能成为一种危害，因为当差旅者来自或前往可能有地方病或流行病的地方时，可能成为将疾病传播给其他工作人员的媒介。差旅风险评估的开展，建议与差旅者及相关的内部利益相关者通过包容和协作的方式完成。对于风险增高的差旅，包括高风险目的地差旅、高关注度的访问或涉及高风险活动的差旅，组织可以使用外部专业供应商。风险评估的结果应予以记录，从而据此发布有关风险应对方案的决定。如果组织使用技术手段来授权低风险差旅，或许可以通过让差旅者认可其收到和阅读了他们的差旅前建议来实现。关于风险评估的更多信息详见ISO31000：2018,6.4和IEC31010。6.2风险识别风险识别的目的是发现、识别和描述能够影响组织实现其目标的能力的风险。相关的、适当的和最新的信息对于识别风险至关重要。有各种信息来源可用于识别与差旅有关的风险。其中包括开源信息和有产权的信息。国际来源和当地来源的信息，例如公开性的政府统计数据，可以提供与犯罪统计、地缘政治和正在评估的地点的风险评级有关的客观数据。也可以向此前或许有相关经验的差旅者的组织进行咨询。外交部和大使馆可以成为有用的信息和建议来源。此外，地方政府机构可以提供更多的、与具体地点有关的健康、安全和安保事项的关键信息，包括与特定差旅有关的立法。组织可以决定聘请外部差旅安全专家为组织承担部分风险识别工作。风险可以与差旅者的安全、安保和健康目标相关联，也可以与组织的其他目标相关联。如果这些目标之间存在潜在的冲突，组织应优先考虑保护差旅者。例如5.5h)2)中的清单列出的风险类别，可能是有用的。但是，这些风险类别不应限制住组织的思维，因为或许需要考虑到与差旅背景有关的其他的特定因素。IEC31010中描述的工具可用于帮助识别风险。GB/TXXXXX—XXXX组织应考虑可能导致差旅者和运营风险的新兴风险或发展中的风险。这些风险具有高度的不确定性，具有一个或多个具体特征(例如，不稳定的、复杂的、模糊的、混乱的、相互关联的、相互依赖的、中/长期的、不可控的、广泛的)。新兴风险或发展中的风险的例子包括网络风险；恶劣天气的频率或强度增加；传染病流行或大流行。6.3风险分析风险分析的目的是了解所识别的风险的性质(见6.2)及其特征。分析技术可以是定性的、定量的或两者的结合，这取决于环境和需要作出的决定。风险分析涉及对不确定性、风险的来源、原因和驱动因素、后果、可能性、事件、场景、控制措施及其有效性的考虑。风险分析的情报来源包括历史信息、专家建议和统计数据。风险分析应考虑以下因素：——事件及其后果的可能性；——后果的性质和规模；——复杂性和关联性；——与时间有关的因素和波动性；——现有控制措施的有效性；——敏感度和置信度范围。如果识别出的风险水平显著，特别是对生命构成威胁时，该政策应包括一个升级过程。6.4风险评估风险评估的目的是为了支持决策。风险评估包括将风险分析的结果(见6.3)与已建立的组织风险准则进行比较，以确定采取额外行动的价值。决策可能包括评估是否应该继续差旅、或取消差旅，或者以其他接触或交流的方式取代差旅。也可能包括修改目标。假设差旅将会发生，则需要进一步评估以下内容：——现有的通用控制措施是否适用于特定情形和已识别的风险；——新的控制措施是否能更好地应对风险，例如：——更改行程，以限制风险暴露；——调整差旅人数/类型，以限制风险暴露；——调整交通方式(例如飞行而非陆路)；——减少差旅天数。——应根据风险、费用和利益来选择进行何种差旅安排；——应重新考虑剩余风险是否可接受或是否决定继续差旅。应参考以下因素做出决策：——差旅的背景和目的；——更广泛的背景，以及对外部和内部利益相关者的实际的和可感知到的后果；——涉及的成本和利益；——差旅者的背景；——所涉风险的性质和程度。对于常见的情况，或许可以根据经验和组织的政策和规则做出决策，或者使用简单的风险准则表达。在面临新情况或高度不确定性的情况下(这些情况往往导致高风险的后果)，风险评估通常需要结合风险分析的详细信息，以及涉及更多的协商和咨询的过程。为了做出一个好的决定，可能需要寻求进一步的信息和进一步的分析。GB/TXXXXX—XXXX7差旅风险应对7.1概述在风险评估的基础上，组织应确保其控制措施能够在差旅前、差旅中、事件中、事件后以及差旅完成后处理风险。控制措施应根据目的地和差旅者的个人情况、他们的活动和他们所携带的信息资料而定。或许需要一种或几种处理方案将风险调整到可接受的水平。同样的处理方案也可能影响多种差旅相关风险。因此，在选择处理方案时，应考虑到影响具体拟议差旅的风险范围，而不是孤立地考虑每一种风险。与差旅风险相关的一系列处理方案在此条款中列出。最高管理层有责任确保与差旅相关的风险管理安排到位。多个个人，包括管理层、签约供应商和差旅者本人，都有责任管理这些风险。这包括确保实施将风险调整到可接受水平的风险应对措施的责任。对风险处理方案做出选择和决定，需要权衡可能出现的总体优势(有形和无形的)和劣势(不成比例的费用和其他不利影响)，以及需要判断这些优劣势如对拟议差旅的目标和组织的总目标的影响。然而，当对风险处理方案的选择关乎差旅者的风险时，这就不仅仅是一个经济问题了。一个风险可以有多个风险应对方案，一个风险应对方案可以适用于多个风险。风险应对需要被不断监测和审查，以确保：——风险的情况或风险性质的任何变化都需要被考虑是否需要据此进一步修改风险应对方案；——风险应对战略仍需符合商定的应对目标；——组织有足够的能力继续实施风险处理并实现目标；——风险应对不会对其他控制措施产生不利影响或改变其他风险的性质。7.2风险规避7.2.1差旅前授权应建立差旅前授权和预订程序，以确保所有计划的差旅都得以记录，记录向TRM职能部门开放，TRM职能部门根据商定的政策、计划和风险准则进行评估和批准。该程序也可以用来降低风险。该程序应通过识别相关的医疗(如接种疫苗)或签证要求，来协助计划相关差旅。该程序还应该为TRM职能部门提供在事件发生时快速反应所需的数据。该程序是一种用于批准组织所面临的总体风险的方式，而不仅仅是批准差旅者的目标。这可以通过确保由高级行政管理人员或通常的职能管理人员批准来实现。具有批准权限的人员级别资历应与差旅相关的风险正相关。应制定一个强制性的预订流程，明确列出可适用于各种形式的差旅、交通和住宿的预订渠道。注：根据差旅的性质和数量，组织可以选择使用技术平台进行预订。技术平台也可以用于分类管理差旅，例如低风险差旅可触发系统自动授权，同时标记其他差旅，并对之进行更仔细的审查。7.2.2限制限制可用于应对各种差旅风险。例如：——使用远程会议技术可避免高风险差旅；GB/TXXXXX—XXXX——特定的安全相关风险可通过以下措施加以避免：——在特定的地点和情况下使用的交通工具类型；——每天允许人员移动的时间；——在目的地某一特定地点的移动；——限制差旅时所携带的信息资料、设备和资产，可降低与信息保护和隐私保护有关的风险；——可通过限制同一交通工具(如飞机、船只、汽车)一起运送旅客的人数来避免关键人员的损失或延误，及其对业务连续性的潜在影响；——限制旅客在高风险地点逗留的时间，以及考虑旅客的个人背景，可将低旅客在高风险地点所面临的风险；——可考虑有关地点的公众假期及环境因素，以降低行程有效性风险及安全和安保风险。限制也适用于住宿的类型。见附录E。注：避免一种风险可能涉及引入新的风险，也可能限制机会。7.3风险分担7.3.1概述在差旅风险管理的背景下，可以通过在合同条款中规定风险分配和连带责任的方式来实现风险分担。使用第三方合同的，应当写明是否可以通过合同转让、赔偿或者商业保险进行风险分配。风险分担应被视为差旅风险管理的补充，而不是替代。7.3.2保险考虑到不同的国家的要求和国际要求，组织应确保拥有与其风险评估相适应的充分和适当的保险覆盖。应提供包括责任险在内的保险来覆盖一系列可能的问题，例如：——航班取消/延误，行李丢失；——受伤、急诊、死亡；——恐怖主义、网络犯罪、盗窃和刑事损害；——转运，送返。组织应了解保单范围内的任何特殊除外责任。组织还应验证所有服务供应商是否有充分和适当的保险。如果任何第三方供应商没有合理的保险覆盖，组织的保险供应商应该知情。7.3.3特殊保险特殊风险保险可用于为冲突风险、绑架和赎金以及关键人员的损失提供保险。绑架和赎金保险是组织派遣差旅者前往已知的、具有绑架和赎金威胁地点差旅的一个重要考虑因素。这种保险通常还会提供专家顾问的服务，以帮助制定计划和管理事故。使用这种保险通常是高度敏感和机密的事情，组织中只有极少数人知道保险范围。TRM职能部门和危机管理团队的适当成员应参与此类保险服务的采购过程，以便能够设计升级程序并将其纳入事件管理计划。在有些国家，特定的“关键人员保险”是合法的，可以为组织损失关键人员或商业上重要的人员提供保险。注：在一些国家，立法禁止绑架和赎金保险。在这种情况下，本款将不适用。GB/TXXXXX—XXXX7.4降低风险7.4.1选择应对方案最为常见是通过识别和选择风险应对方案，以处理风险的来源。例如，风险来源可能包括：a)差旅目的地或差旅目的地的情况/风险；b)住宿；c)差旅路线；d)行程；e)差旅时间；f)差旅者和组织的背景；g)相关的地缘政治环境；h)有关的政府/监管建议；i)网络威胁；j)显著的文化和宗教差异；k)获得关键基础设施和资源；l)关联风险因素，如极端天气、自然灾害、冲突、传染病流行/大流行、通信可靠性7.4.2能力组织应具备的能力：a)为差旅者和负责差旅管理或应对影响组织的差旅安全、健康和安保绩效以及合规要求事件的人员设置最低能力要求。b)定期审查差旅者和参与差旅风险管理人员的能力。应确定评估的要素。这可以包括审查文件，例如事件记录、风险评估、良好做法和来自其他组织(如援助服务供应商、保险供应商、政府和其他机构)的建议。c)在能力评估中考虑适当的教育、培训和经验。d)确定与差旅安全、安保和健康相关的培训需求。关于培训的进一步指南见附录F。e)采取支持行动以获得必要的能力(如果合适的话)，并评估所采取行动的有效性(例如培训、教导、重新派遣差旅人员、雇用或与有能力的供应商签订合同)。f)在选择供应商和子供应商时，确保验证其能力和经验：1）适宜的认可、认证和执照；2）既往相关经验及其专业和道德声誉的证据(如果适当，还应包括审查过程)；3）服务所能覆盖的地理范围使其能够在潜在的差旅者欲前往的地点提供支持。组织应妥善保留记录作为能力的证据。7.4.3信息、建议和更新组织应做到以下几点：——在差旅前和差旅期间，主动向差旅者提供相关信息和建议，其中重点评估出差地的医疗、安全等风险。——明确服务和步骤，以保障及时向差旅者提供影响差旅安全的信息。——实施步骤以确保差旅者收到并确认所提供的信息和建议。GB/TXXXXX—XXXX7.4.4通讯协议/平台通信协议在应对任何事件中都是至关重要的，关键的利益相关者应该在他们职责范围内得到良好的培训和实践，他们应该有知识和能力使用指定的平台来触发事件管理响应。其中，通信协议中应该包括其被胁迫时使用的程序(例如，使用可识别的代码或表达来表明个人遇到了麻烦)。在计划中，组织应考虑可用于大众传播的方法。如利用专业工具或服务提供商、内部网和社会媒体平台来快速传播信息。组织应考虑到，某些特定的技术设备的使用应考虑到当地法律限制。7.4.5住宿的选择组织应基于风险制定TRM政策和选择住宿，包括酒店、服务式公寓、短期租赁或“共享经济”，但并非所有情况下都需要进行单独的现场评估。对于低风险地点的住宿，可以使用基于证据问卷进行评估，以确认住宿提供者的健康、安全和安保标准。TRM功能应参与设计问卷和分析结果。如果认为个人评估或现场评估是合适的，组织应使用有能力的内部或外部评估人员。对于高风险地点的住宿，应评估额外的特定安全和安保能力，以及任何可预见的事件(见一些组织在其差旅方案中提到“首选”或“批准”的住宿，一般考虑的事房型、价格、取消政策、可用服务范围等方面，并不一定涉及本文件所述的健康、安全和安保风险。因此，组织应明确如果使用这些术语，应包括健康、安全和安保方面的考虑。对于第三方保证方案，对酒店的健康、安全和安保安排标准进行结构化的、基于证据的评估，这些可称为“认证”和“认可”。当一个组织选择使用这样的保证方案时，应该进行尽职调查，以确保其范围、设计和操作。需要考虑的事项包括：——方案的范围；——方案如何收集评估所依据的证据，例如基于问卷调查或现场验证；——是基于对单个酒店的评估，还是基于适用于连锁酒店的公司政策的评估；——详细评估的频次；——方案如何考虑变化或新出现的风险；——方案本身是否以某种方式单独验证。GB/TXXXXX—XXXX7.4.6信息安全和隐私保护组织应仔细考虑与其业务、任务和差旅者相关的数据保护、信息安全和隐私要求，并实施适当的措施来管理这些风险。组织应确保其已考虑同意，并获得有关信息安全和隐私保护的主管建议。这可以在组织内部获得，也可以在外部专家的帮助下获得，或者两者兼而有之。各组织应确保信息得到适当保护和保障，以避免影响差旅者健康、安全、安保、隐私或组织目标的后果。组织应确定相关的数据隐私立法。健康保险可移植性和责任法案(HIPPA)和欧洲的通用数据保护条例(GDPR)，并相应地计划和推进。信息来源包括：——由组织或第三方生成、收集、存储或处理的信息，如差旅者、行程和位置数据；——差旅者在出差期间和返程期间携带或使用的信息。信息安全和隐私保护的关键考虑因素应包括：a）知识产权；b）医疗数据和个人资料数据，尤其是高度敏感的个人数据，可能需要额外的控制，这些数据可能受到不同司法管辖区的监管；c）生命证明文件需以高级别的安全储存，并制定紧急访问协议；d）组织与第三方之间的数据传输；e）用于存储信息的信息系统或媒体的安全性；f）确保组织或第三方通过平台、工具和应用程序生成、收集、存储或处理的所有数据的安全性；g）确保所有差旅者的隐私问题得到解决；h）确保所有系统和流程定期审查和审计；i）确保在差旅期间使用安全的通信方法，以避免使用不安全的网络，特别是在传递敏感信息时；j）出于工作目的使用个人设备的潜在影响；k）在海外差旅期间远程访问与工作相关的信息或数据；l）在目的地使用信息技术(IT)以及可能适用的任何限制；m）确保差旅者了解可能泄露信息的情况，例如在进入某些国家时被要求解锁移动设备或输入笔记本电脑密码(包括社交媒体帐户)，这也可能发生在受到当局突然检查(例如黎明突击检查)的商务差旅者身上；GB/TXXXXX—XXXXn）确保差旅者意识到社会工程、妥协情况、诱饵等有关信息安全、网络安全和隐私保护的更多信息，请参阅ISO/IEC27000系列标准。7.4.7运输组织应评估差旅者使用的所有合适的交通方式，包括航空、海运、火车、公共汽车、出租车和共享经济交通。组织应制定使用航空公司的政策。除了航线、定价、服务质量、及时性等，该政策还可以考虑安全记录、卫生措施、财务状况、信用等因素，可以参考外部开源网站，如国际航空运输协会(IATA)或国家航空运输监管机构。对于低风险地点，组织应概述需要使用预先安排的交通工具或官方和授权的公共出租车。在高风险地点，应仔细规划地面运输，并应使用适当的服务提供商，风险评估应确定是否需要安全运输。组织应将使用拼车公司的服务作为一般和特定的地方政策进行评估。这应该考虑到差旅者面临的潜在安全风险，特别是在高犯罪率地区和拼车服务的使用受到争议或有效监管的地方。7.4.8路费管理在某些情况下，组织应在差旅前制定加强的差旅管理安排，如到高风险地区出差。风险目的地或差旅者在特定地点的形象。具体措施包括详细的出差路线评估、迎接服务、额外的安全援助、安全住宿选择等，以反映差旅者的情况和地面风险水平。分析组织应该制定计划来管理任何意想不到的行程变化，应该完成分析，以确定旅程管理中可能存在的风险。行程管理可以通过内部资源或第三方提供商来实现。7.4.9医疗健康风险概述组织应对所有差旅者进行适当的检查，以确保制定与差旅者自身医疗(身体上和精神上)适合的差旅计划，并能够应对差旅者可能带来的额外压力，这种检查应考虑到先前存在或多重共存的健康状况。差旅后检查也是必要的，特别是差旅者正在或曾经经历过紧张的情况或事件。在不熟悉的地方出差、工作以及在有限的时间内完成多项任务的压力会让人感到压力。组织应采取措施减轻压力(例如，商务会议以确保有时间适应新的日常工作或时区)，并为差旅者提供适当的建议，使他们意识到自己的身心极限。GB/TXXXXX—XXXX组织应评估目的地国家支持突发事件和已有疾病差旅者的能力。当差旅者来自或前往可能因地方病或流行病而对其他工作人员构成风险的地方时，应在差旅前后考虑适当的治疗方案，措施示例可包括差旅前后的检测和隔离。对差旅者和同事的预防性治疗：健康证明、检测结果和疫苗接种卡可根据差旅者的需要以纸质或数字格式保密提供。各组织应考虑利用职业健康和安全专业知识来评估规划要求，并支持医疗风险评估和治疗。差旅者休养组织应做到以下几点：——考虑频繁的商务差旅对商务差旅者健康的影响。我们应该考虑咨询或雇佣职业健康从业人员来评估与差旅有关的压力、伤害、疾病和休养的需要，这种评估还应该包括检查长途飞行或公路、铁路差旅的影响。——明确差旅者在差旅后有权获得哪些休息和休养。休息和休养的时间应根据差旅的具体情况而定，并应考虑：——飞行时间长短，包括中途停留和转机；——时间差异；——航空差旅的等级(包括休息/睡眠能力)；——差旅期间承担的活动强度；——目的地(如高风险或非高风险)；——任何身体或心理健康状况——差旅中可能发生的事件医疗组织应确保差旅者获得专业医疗建议，以确定是否建议在其差旅中使用药物或接种疫苗，或者在中途停留或目的地是否认为任何药物是非法的。差旅者应确保他们在计划的差旅期间有足够的药物，并在差旅中断时预留数量，这既包括他们经常服用的药物，也包括他们需要服用的药物，以应对不规律和不可预测的健康状况。药物许可安排在不同国家之间可能有很大差异，无论是在非处方药物还是处方药物方面。同一种药物的商品名称在不同国家也可能不同，需考虑到以下方面：GB/TXXXXX—XXXX——差旅者携带适当的医疗证明和有关其随身携带的任何药物的主要成分和剂量的信——差旅者携带医疗证明(或其他可接受的证据)，以证明其持有和使用的合理性，例如携带的药物在前往的地方未经批准；——如果打算在出差地区采购药物，提前获得在要访问的国家可以获得药物(以及以什么名义)的保证。组织应协助提供与差旅相关的疫苗接种和药物，并根据专家建议提供任何差旅前检测要组织应确保差旅者认为敏感的任何医疗信息得到尊重，并被严格保密，见7.4.6。目的地的偏远和对差旅者进行医疗疏散的能力可能会加剧许多风险因素。为减轻这些风险，在适当情况下为差旅者提供医疗包是一种良好做法。有特殊需要的差旅者对于一些差旅者来说，如果他们在国外遇到健康问题，准备一份具体的医疗应对计划是合适的。组织应考虑对有特殊需要的差旅者是否有必要提出特殊要求。例如，它应确保航空公司和酒店能够提供所需的帮助，特别注意轮椅、服务性动物等。7.4.10医疗和安全支持服务在进行风险评估后，组织应考虑其在持续医疗和安全支助服务方面的需求和能力，第三方服务提供者和分提供者可在需要时协助提供差旅前、差旅期间和差旅后的医疗和安全咨询和支助，这种支助可包括评估、提供和传播信息、咨询和最新情况，并酌情包括实际和后勤支助。许多医疗急救提供者都有工具/应用程序，可以找到和定位差旅目的地、医生、医院和其他医疗提供者。这些工具可以帮助差旅者自我保护。该组织应作出安排，确保任何必要的医疗和安全援助能够得到保障和资助。安全援助可包括：——现场简报；——保安司机(有或没有武装或非武装保安人员的支援)；——公开或隐蔽的贴身保护；——与公安机关的联络。GB/TXXXXX—XXXX组织应确保与当地和组织本身的此类提供者进行适当的协调。应仔细选择这些提供者和子提供者，以确保他们的能力和经验。7.4.2款列出的f)项对需要考虑的事项提供了指导。主题专家和TRM职能部门应严格审查正在传播的建议和第三方服务提供商提供的服务，以确认其充分和客观。组织应该意识到它对第三方服务提供者所做的决定负责。关于安全服务提供商合同的进一步信息可在lS018788：2015和参考文献[9]和[10]中找到。7.4.11事件管理规划事件管理措施应以风险评估为基础，并应与地点相称。组织应提供清晰的事件和未遂事件报告程序和模板。组织应处理全球和本地事件响应计划并实施适当的措施，这些措施应解决：——准备；——治疗；——反应；——复苏；——适应性；——事件的评论。组织应该有一份书面的事件响应计划，描述包括事件管理团队在内的关键人员的权力和职责，该团队的组成和资源应用于管理需要国际或本地协调的情况，或两者都需要。该计划应适当沟通。事件管理团队应该是多学科的，由最高管理层领导，并由指定的事件管理协调员和通信专业人员(或其指定人员)提供支持。理想情况下，事件管理团队的成员应包括从4.2中列出的具有处理相关领域经验的内部利益相关者列表中选择的人员。组织应评估其应对重大事件的能力，并启动其事件响应和疏散/遣返计划。评估应包括：——培训；——定期演习，以协调及时的方式模拟事件和演练反应场景；——获取信息；GB/TXXXXX—XXXX——融资和地方资源；——适当的现场医疗和安全援助(另见7.4.10)，其中应包括但不限于：——组织的专用资源(当地或可部署的)；——医疗、安全和应急服务；——外部供应商；——合适的政府机构。组织应将通信协议定义为事件管理计划的一部分。此类协议应涵盖利益相关者之间的通信以及技术措施。从需要干预或援助的事件以及未遂事件的调查中得出的报告应作为预防或减少未来发生的严重程度的信息来源。注：关于业务连续性的更多信息可查ISO22301。7.4.12事故和紧急联络点组织应制定程序，使差旅者在遇到任何安全、安保或健康问题时能够紧急联系。通常情况下，这将涉及一个指定的紧急联络点，随时可以从他们所在的地方获得，并应包括具体的升级协议。这些程序可确保将差旅者转介给最有能力提供即时支持的人员。这将根据事件或紧急情况的性质和严重性而有所不同，但可以包括：——医疗救助提供者；——当地警察；——主机；——安全提供者。与任何签约的外部供应商建立流程是非常重要的，以确认当任何差旅者联系他们寻求紧急援助时，该组织将得到通知。各组织应考虑酌情利用当地应急服务作为联络点。联络点可由内部或外部提供者提供。如果联系点是组织外部的，重要的是要有与内部利益相关者联络的程序。应向差旅者提供实施这些程序的充分和适当的说明，这应包括一个方便和可访问的手段，以参考他们的紧急联系协议，如塑料卡。所选择的通信系统应便于差旅者使用，并应在有关地点可操作使用。如果无法与紧急联络点取得联系，应根据具体情况事先制定备用程序。GB/TXXXXX—XXXX在紧急情况下，通信系统、网络或个人设备可能受到影响，因此，考虑其他通信方式(电话、短信、通知)是很重要的。7.4.13差旅者跟踪差旅者跟踪安排，或基于手动报告的跟踪，在TRM中非常重要。了解人员的位置对于提醒他们可能存在的威胁和危险，并在事件发生期间和之后保护他们是至关重要的。这些安排的性质在不同的组织之间会因差旅工作量而有所不同。大公司的高业务量可以使用基于ai的系统，而小公司的低业务量手动系统就足够。有三种方法可以跟踪差旅者基于行程的：a)基于行程：通过系统可以整理与各种交通和住宿有关的预订信息。它们只是差旅者应该在哪里的一个指示，但可以通过差旅者在约定的地点和频率办理登机手续来补充。通过系统可以帮助实施差旅前授权程序，并在当地传统通信系统无法使用的灾难恢复情况下提供协助。b）基于费用：通过系统可以监测开支、行程。可以作为差旅者去过的地方的一个指标。c）基于技术：这使用技术来跟踪、监控和记录移动和精确位置。它们提供关于差旅者实际位置的最准确数据。然而，它们受可用性、用户容量、电源和连接要求的限制，在某些地点发生事故期间或之后，这些要求可能会受到影响。需要注意的是，所有这些技术只跟踪装载电子设备的电子设备，而不跟踪携带电子设备的人。组织应评估主动跟踪差旅者的必要性。在实施技术解决方案之前，应仔细考虑隐私和信息安全问题、成本、同意、数据保护和任何其他相关立法。只有在高风险地点，或在特殊情况下，对非常高风险的档案人员，才能以这种方式跟踪差旅者，这可能被认为是更可以接受的。在差旅者无法在事件发生后报告的情况下(例如，因为他们遭受了严重伤害)，组织应该有一个适当的流程来跟进和干预。7.4.14绑架和赎金计划适当时，组织应确保将绑架和赎金纳入事件管理计划。这应预先确定该组织在获得资金方面的地位，并在发生此类事件时，在合法的国家，提供专业保险。提供绑架和赎金保险不仅是一种保险政策，而且可以作为一种对策。这是因为它通常提供专业和经验丰富的危机管理团队，以协助规划，核实和处理已确认的事件。GB/TXXXXX—XXXX绑架和赎金保险有时还为TRM职能部门和其他关键利益相关者提供专业培训。了解绑架和赎金保险可以作为一种激励。组织必须确保对差旅者有关保险单和保险范围的知识有强有力的控制。在发生绑架、绑架或拘留的情况下，组织应评估和考虑是否需要适当的手段来确认差旅者的身份，这可以包括“生命证明”文件或其他个人或身体标识符，以帮助核实事件，以及与紧急联系人的联络，这可能需要相关专家的支持，例如专业保险提供商提供的支持。7.4.15疏散规划组织应酌情与相关第三方提供者一起，就可能需要重新安置、就地安置或从受影响地区撤离人员进行规划，这可能是由于多种原因造成的，例如医疗或安全事件、受伤、政治不稳定或自然或环境事件，这些考虑应作为差旅前风险评估的一部分，并纳入任何国家一级的撤离计划。他们应考虑差旅者的概况和国籍，包括其护照信息，这些信息可能会影响到不太可能可行的国际安全港。此类搬迁或撤离可以是国内安全或适当的地点，也可以是另一个国家。撤离计划应考虑目的地国家的任何相关协议。由于一些高风险和中等风险的医疗地点或设施可能不足，因此需要制定与健康相关事件的后送计划，因此需要通过将差旅者运送到国外来满足任何住院要求。医疗遣返可由第三方提供者提供(例如：医务人员)。作为一揽子医疗会员资格或保险单的一部分)、这种遣返可以是最近的有适当医疗服务的国家，而不是回原籍国。安全相关事件的疏散规划对组织来说可能更具挑战性，因为可能无法提供正常的流动运输，例如，外部飞机或船只无法进入机场或海港，这可能导致需要安全的地面运输到邻近的城市或国家，在某些情况下，无法移动，有些地点需要提供一段时间的不移动(有时称为“暂停”)。8沟通与咨询8.1项目/战略交流组织应确保TRM政策和程序的制定和实施，如4.2所述，涉及相关的内部和外部利益相关者。商定的TRM政策和程序应在整个组织内有效沟通，以便潜在的差旅者及其管理者理解这些政策和程序，并且差旅者意识到差旅风险以及组织如何控制和管理这些风险。负责TRM职能和TRM过程(如分配)的个人/团队之间应进行沟通。在微型或小型组织中，这些可以是同一个个人/组。GB/TXXXXX—XXXX足够的信息用于规划和实施，并在相关情况下改变、确保或终止TRM过程(e.8)。应提供并进行沟通。需要考虑的问题包括以下几点。a)TRM政策和方案应传达给差旅者，并得到差旅者的认可；b）差旅者和其他相关利益攸关方应参与风险评估过程以及确定和选择风险处理方法；c)差旅者需要注意：1)差旅风险对其工作效率、安全、安保和健康的实际或潜在影响；2)差旅者在差旅期间可能面临的风险以及如何识别这些风险；3)它们如何有助于有效管理差旅安全、健康和安保。d）差旅者需要了解：1)遵循TRM政策和程序的好处；2)不这样做对风险管理和不符合法律和其他要求的影响；3)要求他们通过遵守现有的政策和程序来履行雇主的注意义务，以保护他们和他们的组织免受可预见的伤害(这有时被称为“忠诚义务”)。e)应考虑多渠道沟通，大众电子邮件或社交媒体也可以是合适的，认识到沟通工具发展迅速，沟通技术应对此作出反应；f）从“一切照旧”的角度来看，电子邮件、团队会议和布告栏等形式可以用来传递信息和更新；g)应提供便利个人通信的手段(可以是双向的)。如果组织使用第三方提供商，则应考虑与他们通信的内容和时间。8.2操作和技术通信根据组织的规模和复杂程度，以及差旅者的情况(例如，在没有智能手机覆盖的偏远农村地区)，应建立详细和健全的运营沟通框架，以提供TRM政策和程序。需要考虑的问题包括以下内容。a）对于特定的差旅，建议如果需要定制的简报/培训/建议，应生成并保存一个可审计的记录；b)应向差旅者提供说明在紧急情况下可启动的过程和程序的备忘录；GB/TXXXXX—XXXXc)在TRM中，及时更新通常是非常重要的。如果旅客身处受自然灾害影响的地区)。在这种情况下，一旦细节得到确认，所有利益相关者都应该被告知与差旅安全、安保和健康有关的问题；d)在紧急情况下，至关重要的是，通信必须立即到达适当的利益攸关方，在某些地方，短信或短信可能比基于互联网的通信更可靠，有一些平台可以发送大量短信或短信(概念上类似于大量电子邮件)，尽管这些平台需要定期审查，因为这些平台也可以撤销；e)在偏远的农村地区，解决办法可以从无线电到卫星电话(但请注意，在某些国家，未经授权使用卫星电话是非法的)；f)如何根据需要激活TRM团队，并在内部升级到公司层面(事件管理团队、危机管理团队或类似团队)；g)如果一个组织正在使用专业的TRM服务提供商的服务，如果需要，应该有一个明确的升级协议来参与这些服务；h)如果组织与专业TRM服务提供商没有安排(保留或类似)，在某些情况下可能需要特别协助。预计到这一点，组织可以提前与TRM专家接触，并提供联系方式。9项目监测和审查9.1概述组织应评估其TRM计划的有效性，包括所有相关的内部利益相关者，以确定优势和劣势，以指导进一步的发展和改进。组织应实施评估、监测和审查流程，以了解其在执行差旅安全、健康和安保政策和安排方面的效率和有效性。这应该由具有必要能力的人员在TRM过程的所有阶段进行。如果服务提供者参与其中，组织应考虑他们如何帮助进行项目监测和审查。监测和评审的范围、频率和触发因素(周期性的、基于事件的或其他情况变化)将取决于需求和背景。至少应每年进行一次全面审查，重点是改进和吸取经验教训。除了预定的年度审查之外，还有各种情况应该触发审查以允许新情况，这些情况可以包括但不限于以下方面的变化：a)需要出差的任务；b)组织将派遣员工的地点；c)组织已经有重大业务的地点的风险水平(例如，某个国家发生了重大的政治变革)；d)组织概况或出差员工的人口统计数据(例如，具有某些国籍/公民身份/种族/宗教的新员工在某些地点可能需要特别考虑)；GB/TXXXXX—XXXXe)法律或监管要求；f)TRM的全球最佳实践，组织内TRM人员的变更或组织内TRM政策的变更；g)在组织或行业中发生重大事件或险情后的知识和经验，或两者兼而有之；h)产品或服务；i)与TRM的外包要素相关的政策或实践。随着审查的完成和TRM计划的更新，确保所有利益相关者都被告知是至关重要的，这可能包括服务提供商，子提供商，内部员工，当然还有差旅者。在相关的情况下，TRM文件应更新适当的细节，包括日期、版本号、更新者和批准者。9.2调查应设计和使用调查来确定差距，提高方案有效性，并突出行为、合规和安全文化方面的变化。调查应涵盖TRM方案的其他重要方面，例如初始简报、培训、差旅期间的支持和差旅后的简报。为了确保最准确的指标，建议对所有相关员工进行调查。自愿提交的调查往往只包括高度负面的评论(偶尔也有高度正面的评论)；然而，大多数差旅者将不会接受调查。实际的调查应该是用户友好的、非侵入性的，最好是基于it的，以便于数据汇编，并且是任何差旅完成的强制性部分(例如，在差旅报销流程结束时附加一个简短的调查或类似的)。汇报、观察和访谈也可用于确定风险态度或文化是否发生了变化。9.3基准测试组织应定期与规模、行业和地理分布相似的组织进行基准测试，以共享知识并比较第三方服务提供商的绩效。这可以通过正式的流程来完成，也可以通过参加研讨会等不那么正式的方式来共享知识和最佳实践。基准测试也可以是内部的，在这个过程中，组织将确定TRM的最佳实践，并将其用于比较和持续改进。9.4指标TRM职能应确定、整理和跟踪方案关键绩效指标，为利益攸关方提供可采取行动的指标，以评价和提高方案效率。关键指标可包括：a)组织个人差旅者的数量和详细信息；b)组织的足迹，包括外派人员和差旅者；c)按类别差旅(例如：风险评级、日期、地点)；GB/TXXXXX—XXXXd)差旅前健康医疗评估的完成情况；e)以下情况的数量(和占总数的百分比)；1)未进行规定的差旅前简报；2)差旅前咨询促使对差旅计划(和相关费用，如果有的话)进行修订；3)由于风险高而不批准差旅；4)提供了针对差旅的培训；5)差旅期间需要援助(以及相关费用，如果有的话)，或者联系了医疗或安全应急服务提供者，或两者兼而有之；6)未按要求进行差旅后简报；7)成本的增加本来是可以避免的。f)第三方服务提供商的绩效——物流、安全、医疗急救等；g)按类型划分的强制性程序合规/不合规情况。10程序记录和报告10.1概述风险管理结果的记录和报告有助于：——满足法律法规要求；——决策；——改进方案活动；——改善跨职能互动；——能够对TRM系统/程序进行审计。记录应按照组织的记录管理规范进行保存。10.2文档文件应包括：a)护照、签证和重要文件的复印件；b)差旅者简介信息，包括疫苗接种记录、紧急联系人、近亲和相关的既往医疗状况；c)差旅者备忘录或重要联系方式，以防无法访问他们的标准联系人数据库(如智能手机)；d）升级程序：1)在公司/战略层面；GB/TXXXXX—XXXX2）针对当地办事处(可能发生事故的地方)；3)给差旅者的备忘录。e)事件管理计划：1)公司/战略层面；2)当地办事处(可能发生事故的地方)；3)给差旅者的备忘录。f）撤离计划：1)公司/战略层面；2)当地办事处(可能发生事件的地方)；3)给差旅者的备忘录。g)生活证明文件(如7.4.14)；h)确保定期(理想情况下每年)审核和更新文件的机制；i)紧急情况下访问文件的程序；j)机密数据和隐私问题—公司/战略层面的最新政策方向力；k)寻求支持的保险联系人；l)描述保险地区的保险摘要。10.3记录和报告作为组织的注意和合规义务的一部分，所有相关数据都得到适当的记录和报告是至关重要的。从良好实践和业务连续性的角度来看，TRM通常会导致大量的过程/程序和数据/指标，这些都应该适当地存储。数据的主要来源是TRM项目文件(见10.2)和度量标准(见9.4)。无论组织的规模或复杂程度如何，记录和报告数据的一些主要考虑因素应该是：a)所有差旅，特别是高风险差旅的详细信息库；b)差旅者在必要时报告他们对差旅后的风险和威胁的亲身经历；c)任何事件的详细记录，为吸取教训和组织应对提供依据；d)所使用的风险评估和控制的详细记录，包括：1)风险的名称(简称)；2)对风险的描述，清楚、明确地解释风险；GB/TXXXXX—XXXX3)所使用的数据和所做的假设(例如，关于风险、其来源和其他潜在原因的附加信息，如行业、组织概况、差旅者概况、经营地点和经营类型)；4)谁参与了风险评估过程；5)风险评估结论；6)商定的风险处理方案。e)知情同意的记录(在充分了解可能的后果的情况下给予的许可……告知差旅者在其活动过程中可能面临的安全和安保风险，并使他们有能力接受或拒绝这些风险的过程。收集和记录这些数据的方法有很多。一种推荐的方法是将每个任务/旅程归类为一次“差旅”(或类似的)，并根据该“差旅”的细节记录数据。根据差旅的数量，使用IT系统记录数据可以提供一种有效的机制来生成报告：——识别TRM的优势和劣势；——分配资源；——根据趋势分析调整程序；——为项目高层提供建议。报告的细节和复杂程度取决于组织差旅的性质和数量。报告的范围可以从内部由小型临时数据库生成，也可以由有能力的外包提供商开发的更详细和复杂的机制。重要的是要有一个有效的双向报告机制，与最高领导层进行标准通信。在发生紧急情况时，建立一个强有力的即时机制至关重要。从事故和未遂事件中分享和记录经验教训是任何风险管理框架的重要组成部分。记录和报告这些数据的确切方法取决于组织的规模和复杂性。例如，可以从差旅后报告中提取经验教训，将其合并到TRM项目级别的数据库中，并作为年度培训的一部分或作为TRM特定提醒的一部分共享(这些可以是临时的或每月的，取决于组织)。GB/TXXXXX—XXXX附录A（信息）制定和实施TRM计划图a.1描述了TRM计划的四个阶段。这些应与任何符合ISO31000或其他风险管理框架的当前风险管理活动相结合。TRM程序也可以被没有正式风险管理程序的组织单独使用，以满足注意义务要求。阶段1通过将设定的范围和目标与现有的风险管理活动联系起来，帮助定义和整合TRM计划到组织中。它侧重于战略方面，并制定组织的政策。这些应与其他管理活动(如危机管理)相结合并加以补充，并确保政策、过程和目标被清楚地理解。阶段2涵盖了有效风险管理所需的关键活动：识别、评估和确定差旅者和组织所需的处理措施。这些活动应符合阶段1的范围和目标，并应用于阶段3。阶段3提供了管理整个企业日常差旅活动的流程。这一阶段为差旅人员和组织提供管理风险所需的运营资源和支持。如果发生影响差旅人员或组织的严重事件，这一阶段应包括明确的升级程序，并应与危机或事件管理流程集成。阶段4为组织提供有关计划有效性和任何服务提供者绩效的信息和反馈，并可以提供来自差旅人员的对绩效发展有用的额外信息，这些信息可以定期与其他适当的利益相关者共享。图a.1差旅风险管理方案概述GB/TXXXXX—XXXX对于有效的TRM计划来说，高层管理人员了解他们的职责，并承诺用适当的时间和资源来支持该计划是至关重要的。最高管理者和其他相关决策者应定期收到报告并审查项目的绩效，定期反映组织的需求及其不断变化的需求。最高管理者负责确保组织能够获得有效决策所必需的适当技能和适当的可靠信息。表A.1举例说明了TRM方案每个阶段的活动。各组织应扩展或调整这些活动以适应其具体需要。表a.1开发和实施指南范围，背景风险标准差旅风险管理过程旅程运营管理记录和报告——收集有关商务差旅的信息，如何管理以及它与组织绩效的关系。——探索差旅人群，了解工作职责要求。——进行差距分析，以评估对健康和安全措施的需求，这些措施适合差旅者和企业的需求，并与组织目标和风险偏好标准保持一致。——通过准备业务计划，确定实施TRM计划的角色和责任，包括利益相关者的支持。——获得利益相关者和高层的支持，包括临时预算。——创建一个与组织的风险、差旅和治理政策相结合的合适的管理流程。——记录决策和支持过程的文件化基本原理。——与相关利益相关者沟通和协商，确定并与那些应该参与风险评估或拥有相关信息和专业知识的人接触。——进行尽职调查，以确保内部和外部供应商的能力和可信度。——开发和维护主动风险识别流程，识别所有运营和差旅人员特定的威胁和风险。——定期分析风险以了解他们的风险性质和特征，包括风险的不确定性、来源、原因和驱动因素、后果、可能性、事件、情景、控制及其有效性。——确保差旅风险处理的控制措施与普遍存在的风险相称，并优先考虑所有健康、安全、安保和照顾者的责任因素。——根据所分配的角色和职责确定胜任标准。——制定一种机制，根据差旅者、地点和业务活动的医疗和安全风险级别进行分类。——识别和来源专业知识或专家指导，可能需要解决某些特殊的风险因素，如绑架和赎金，撤离。——实施风险评估中确定的所有控制措施——通过有效的培训和教育为旅客做好差旅准备。——在差旅前和差旅期间，通过对话和技术手段向差旅者传达风险因素。——建立健全的与已定义的组织和差旅者特定风险相一致的合规流程。——确保所有的差旅都是通过适当的渠道预订的，确保所有计划的差旅都是可见的——建立手动或技术旅客定位和沟通解决方案。——制定和沟通计划的变更，以及紧急和事件管理程序主动监控当地情况，并在适当的时候向旅客提供最新信息。——确保事件管理计划与组织危机管理计划保持一致——识别TRM改进的问题或机会，并考虑改变风险处理方法。——评估风险性，并审查现施。——制作文件以满足法律，司法管辖区和监管要求。为领导和关键利益相关者提供关键指标。——确保差旅风险记录和管得到适当的记录和存储。——定期审查组织的风险管策，适时更新TRMGB/TXXXXX—XXXXGB/TXXXXX—XXXX（信息）无法定监护人差旅的未成年人B.1概述未成年学生或没有父母陪同的儿童不能自行作出法律决定。本附录定义了在处理18岁以下(或根据适用的国家法律定义为未成年人)且没有父母或法定监护人(两者随后被称为“监护人”)陪同的人的TRM时应考虑的因素。本附录进一步提到了组织在两种可能情况下的注意义务：差旅(例如；学校差旅)或依赖差旅者(如外籍人士或商务差旅者)，它适用于国际和国内差旅。该组织的TRM政策应涵盖B.2至B.5所述项目，分三个阶段处理：差旅前、差旅中和差旅后。B.2角色和责任(监护人、监护人和组织)监护人的主要