1、领导力和承诺要求高层管理者和监督机构应确保风险管理融入组织的所有活动。整合风险管理依赖于对组织架构和环境的理解,组织架构的每个部分都需要风险管理, 组织中的每个人都有责任管理风险。风险管理应成为组织目的、治理、领导力和承诺、战略、目标和运营的一部分。设计设计包括如下五个方面的内容。(1) 理解组织及其环境。标准在这里特别强调了时间要求和活动要求。时间要求。这部分工作在“ 开始设计和实施管理风险的框架之前 , 也就是“ 设计之前” 和“ 实施之前”。“ 设计之前”是指组织在最初建立风险管理框架时的设计之前;“ 实施之前” 是指风险管理的框架建立完成后, 在开始实施该框架前。活动要求。要求做两项工
2、作,一是 评价,二是“ 清楚了解, 两者缺一不可。这两项活动发生在“ 开始设计和实施管理风险的框架之前, 活动的内容是” 组织的外部和内部环境” 。对“ 环境” 的强调是本标准的一个重要特征。任何组织都有其赖以生存的外部环境和内部环境。ISO 31000: 2018 标准把组织看成环境中的一分子。组织在设计管理风险的框架时, 应该首先搞清楚内、外部环境。为了帮助组织全面、系统地认识和了解自己所处的环境, 标准针对内、外部环境分别列示了相关内容。了解组织及其环境的途径有:媒体(报纸、互联网、博客等);与风险管理相关的图书、杂志、内刊等;相关报告;相关活动(访谈、专家演讲、学术交流、评比等)。(2
3、) 明确管理风险承诺。ISO 历来重视“管理承诺,在其发布的管理标准中,一般都含有对组织管理者”承诺”方面的要求,且都居于标准的重要位置。“承诺”意味着责任和权力,“承诺”也意味着公开;就某一特定领域的管理而言,“承诺往往意味着在这一管理领域中组织的管理方向、总体要求和责任分配。“承诺”是整个风险管理框架的“上层建筑,在整个组织的风险管理活动中非常重要。组织在开展风险管理工作时,应明确承诺的表示方法和具体内容,还应包括决策层(董事)和执行层(CEO 、COO 等)对风险管理方针政策的陈述与声明。(3) 分配组织角色、权限、职责和责任。主要针对的是组织内部的利益相关方,组织应确保有责任、权力及适
4、当的能力来管理风险,这包括实施和维护风险管理过程,还包括确保任何一种控制方式都是充分的、有效力和有效率的。(4) 分配资源。本标准在风险管理原则、框架等处,皆提到“资源”问题,标准列示了五大类资源:心人员、技能、经验和能力;组织用于管理风险的过程、方法和工具;文件化的过程和程序;信息和知识的管理系统;培训策划或计划。(5) 建立沟通与咨询机制。在本标准中,沟通”一般与“咨询”对应, ISO 把组织的沟通计划“视为组织”建立沟通和咨询机制”的手段,并给出该计划应该包括的内容。首先应该包括适当的外部利益相关者的参与,以确保有一个有效的信息交流;然后把沟通与咨询的结果反馈和报告给外部利益相关方,并通
5、过沟通建立其对组织的信心;最后,还应包括在危机或突发事件中与外部利益相关方的沟通。所以组织在实施风险管理框架时,应制订一个有效的“风险管理框架实施计划,该计划应满足:基于风险的方法整合入现有业务流程的适应性;组织高管层对风险管理的不断支持;员工对风险管理的支持,尤其是在各个活动的初始设计和试验阶段过)按照学习、反馈、改进的过程分步实施。实施组织通过制订适当的计划,包括时间和资源的分配,在整个组织内确定在什么地点、时间有谁进行不同类型的决策,在必要时调整适用的决策程序,确保整个组织的风险管理安排得到清晰的理解和实施。框架的成功实施需要利益相关方参与和了解,以应对决策中的不确定性。评价为评估框架的有效性,组织应根据其目的、计划、指标和预期行为衡量框架的绩效,确定其适用性。改进框架的适应性是通过持续的监视风险管理框架,解决内外部环境变化的。组织应不断改进框架的适应性、有效性和充分性以及风险管理流程的整合方式,发现改进机会并通过制订计划和任务,分配责任人员,有效推进持续改进。
免费区 