第五章風險管理過程1第一頁，共六十八頁。風險管理過程riskmanagementprocess管理方針、程序和慣例對溝通、協商、明確環境、以及識別、分析、評價、處理、監測和評審風險活動的系統應用。

風險管理過程2第二頁，共六十八頁。風險管理過程3第三頁，共六十八頁。

風險管理過程風險管理過程組成溝通和協商明確環境風險評估風險處理監測和評審記錄風險管理過程4第四頁，共六十八頁。

風險管理過程風險管理過程組成溝通和協商明確環境風險評估風險處理監測和評審記錄風險管理過程5第五頁，共六十八頁。風險管理過程組成風險管理過程是組織管理的有機組成部分，嵌入在組織文化和實踐當中，貫穿于組織的經營過程。風險管理過程由明確環境信息、風險評估、風險處理、監測和評審所描述的活動組成。風險評估包括風險識別、風險分析和風險評價等三個步驟。溝通和記錄，應貫穿于風險管理過程6第六頁，共六十八頁。風險管理過程組成7第七頁，共六十八頁。

風險管理過程組成活動（1）溝通和協商（咨詢）（2）明確環境（3）風險評估（4）風險處理（應對）（5）監測和評審（監督和檢查）（6）記錄風險管理過程8第八頁，共六十八頁。

風險管理過程風險管理過程組成溝通和協商明確環境風險評估風險處理監測和評審記錄風險管理過程9第九頁，共六十八頁。1.與利益相關者溝通和協商溝通和協商communicationandconsultation組織針對風險管理，提供、共享或獲取信息，與利益相關方進行對話的持續和反復的過程。在風險管理過程的每一個階段都應當與內部和外部利益相關者有效溝通和協商。溝通和協商計劃宜在早期制定。該計劃針對與風險本身、風險成因、風險后果（如果掌握）以及處理風險措施相關的問題。為確保實施風險管理過程的職責明確，以及利益相關者理解決策的基礎和特定措施需求的原因，采取有效的外部和內部溝通和協商。溝通和協商10第十頁，共六十八頁。1.與利益相關者溝通和協商與利益相關者的溝通協商是重要的，由于他們基于對風險的感知，做出了對風險的判斷。這些感知可以由于利益相關者的價值觀、需求、臆斷、概念和關注點的不同而變化。由于利益相關者的觀點會對決策產生重大影響，因此他們的感知以被識別、記錄、以及在決策過程中考慮。溝通和協商宜提供真實的、相關的、準確的、便于理解的交流信息，同時宜考慮到保密和個人誠實因素。溝通和協商11第十一頁，共六十八頁。2.協商團隊方法適當地幫助明確環境；確保利益相關者的利益被理解和考慮；幫助確保風險充分地被識別；將不同領域的專業知識一并用于分析風險；確保在界定風險準則和評定風險時，不同的觀點被恰當地考慮；確保認同和支持風險處理（應對）計劃；加強在風險管理過程中的變更管理；制定一個恰當的內部和外部溝通和協商計劃。溝通和協商12第十二頁，共六十八頁。

風險管理過程風險管理過程組成溝通和協商明確環境風險評估風險處理監測和評審記錄風險管理過程13第十三頁，共六十八頁。1.明確組織環境（背景）明確環境（狀況）establishingthecontext通過明確環境，組織明確其目標，界定風險管理應該考慮的外部和內部參數，并設置風險管理過程的范圍和風險準則。盡管許多此類參數與風險管理框架設計時所考慮的參數類似，但在明確風險管理過程的狀況時，這些參數需要細致地，特別是與特定風險管理過程聯系起來考慮。明確環境14第十四頁，共六十八頁。2.明確外部環境外部環境是組織在實現目標過程中所面臨的外界環境的歷史、現在和未來的各種相關信息。為保證在制定風險準則時能充分考慮外部利益相關者的目標和關注點，組織需要了解外部環境。外部環境以組織所處的整體環境為基礎，包括法律和監管要求、利益相關者的訴求和與具體風險管理過程相關的其他方面的信息等。明確環境15第十五頁，共六十八頁。外部環境信息包括但不限于：——國際、國內、地區及當地的政治、經濟、

文化、法律、法規、技術、金融以及自然

環境和競爭環境；——影響組織目標實現的外部關鍵因素及其歷

史和變化趨勢；——外部利益相關者及其訴求、價值觀、風險

承受度；外部利益相關者與組織的關系等。明確環境16第十六頁，共六十八頁。2.明確內部環境內部環境是組織在實現目標過程中所面臨的內在環境的歷史、現在和未來的各種相關信息。風險管理過程要與組織的文化、經營過程和結構相適應，包括組織內影響其風險管理的任何事物。明確環境17第十七頁，共六十八頁。2.明確內部環境組織需明確內部環境信息，因為：

——風險可能會影響組織戰略、日常經營或項目運營等各個方面，從而進一步會影響組織的價值、信用和承諾等；——風險管理在組織的特定目標和管理條件下進行；——具體活動的目標和有關準則應放到組織整體目標的環境中考慮。明確環境18第十八頁，共六十八頁。理解內部環境是必要的，可包括，但不僅限于：——治理、組織結構、作用和責任；——方針、目標，為實現方針和目標制定的戰略；——基于資源和知識理解的能力（如：資金、時間、人員、過程、系統和技術）；——與內部利益相關方的關系，內部利益相關者的觀點和價值觀；——組織的文化；——信息系統、信息流和決策過程；——組織所采用的標準、指南和模式；——合同關系的形式與范圍。明確環境19第十九頁，共六十八頁。3.明確風險管理過程狀況確立組織活動的目標、策略、范圍和參數，或風險管理過程應用到的組織的那些部分。風險管理宜充分考慮滿足開展風險管理的資源需求。所需的資源、職責、權限和要保存的記錄也宜予以規定。明確環境20第二十頁，共六十八頁。風險管理過程的狀況根據組織需求而變化。可以包括，但不僅限于：——確定風險管理活動的目標；——確定風險管理過程的職責；——確定所要開展的風險管理活動的范圍以及深度、廣度，包括具體的內涵和外延；——以時間和地點，界定活動、過程、職能、項目、產品、服務或資產；——界定組織特定項目、過程或活動與其他項目、過程或活動之間的關系；明確環境21第二十一頁，共六十八頁。——確定風險評估的方法；——確定評價風險管理的績效和有效性的方法；——識別和規定所必須要做出的決策；——確定所需的范圍或框架性研究，它們的程度和目標，以及此種研究所需資源。對這些和其他相關因素的關注，有助于確保所采用的風險管理方法適合于環境、組織、以及影響目標實現的風險。明確環境22第二十二頁，共六十八頁。4．確定風險準則（1）風險準則riskcriteria

評價風險重要程度的依據。風險準則需體現組織的風險承受度，應反映組織的價值觀、目標和資源。有些風險準則直接或間接反映了法律和法規要求或其他需要組織遵循的要求。風險準則應當與組織的風險管理方針一致。具體的風險準則應盡可能在風險管理過程開始時制定，并持續不斷地檢查和完善。明確環境23第二十三頁，共六十八頁。（2）確定風險準則時要考慮因素：可能發生的后果的性質、類型以及后果的度量；可能性的度量；可能性和后果的時限；風險的度量方法；風險等級的確定；利益相關者可接受的風險或可容許的風險等級；多種風險的組合的影響．明確環境24第二十四頁，共六十八頁。

風險管理過程風險管理過程組成溝通和協商明確環境風險評估風險處理監測和評審記錄風險管理過程25第二十五頁，共六十八頁。風險評估riskassessment包括風險分析和風險評價在內的全部過程。風險評估過程包括：風險識別風險分析風險評價風險評估26第二十六頁，共六十八頁。風險評估有助于決策者對風險及其原因、后果和可能性有更充分的理解。為以下決策提供信息：

（1）是否應該開展某些活動；（2）如何充分利用時機；（3）是否需要應對風險；（4）選擇不同風險的應對策略；（5）確定風險應對策略的優先次序；（6）選擇最適合的風險應對策略，將風險的不利影響控制在可以接受的水平。風險評估27第二十七頁，共六十八頁。1.風險識別（1）風險識別的含義風險識別riskidentification發現、列舉和描述風險要素的過程。風險識別是通過識別風險源、影響范圍、事件及其原因和潛在的后果等，生成一個全面的風險列表。識別風險不僅要考慮有關事件可能帶來的損失，也要考慮其中蘊含的機會。風險評估28第二十八頁，共六十八頁。（2）風險識別的過程進行風險識別時要掌握相關的和最新的信息，必要時，需包括適用的背景信息。除了識別可能發生的風險事件外，還要考慮其可能的原因和可能導致的后果，包括所有重要的原因和后果。不論風險事件的風險源是否在組織的控制之下，或其原因是否已知，都應對其進行識別。此外，要關注已經發生的風險事件，特別是新近發生的風險事件。識別風險需要所有相關人員的參與。組織所采用的風險識別工具和技術應當適合于其目標、能力及其所處環境。風險評估29第二十九頁，共六十八頁。（3）風險識別方法風險識別方法包括：基于證據的方法，例如檢查表法以及對歷史數據的審查；系統性的團隊方法，例如一個專家團隊可以借助于一套結構化的提示或問題來系統地識別風險；歸納推理技術，例如危險與可操作性分析（HAZOP）等。組織可利用各種支持性的技術來提高風險識別工作的準確性和完整性，包括頭腦風暴法及德爾菲法等。風險評估30第三十頁，共六十八頁。2.風險分析（1）風險分析的含義風險分析riskanalysis系統地運用相關信息來確認風險的來源

，并對風險進行估計。風險分析要考慮導致風險的原因和風險源、風險事件的正面和負面的后果及其發生的可能性、影響后果和可能性的因素、不同風險及其風險源的相互關系以及風險的其他特性，還要考慮現有的管理措施及其效果和效率。風險評估31第三十一頁，共六十八頁。（2）風險分析的考慮要素在風險分析中，應考慮組織的風險承受度及其對前提和假設的敏感性，并適時與決策者和其他利益相關者有效地溝通．另外，還要考慮可能存在的專家觀點中的分歧及數據和模型的局限性。（3）風險分析的方法根據風險分析的目的、獲得的信息數據和資源，風險分析可以是定性的、半定量的、定量的或以上方法的組合。一般情況下，首先采用定性分析，初步了解風險等級和揭示主要風險。適當時，進行更具體和定量的風險分析。風險評估32第三十二頁，共六十八頁。（4）風險分析的結果后果和可能性可通過專家意見確定，或通過對事件或事件組合的結果建模確定，也可通過對實驗研究或可獲得的數據的推導確定。對后果的描述可表達為有形或無形的影響。在某些情況下，可能需要多個指標來確切描述不同時間、地點、類別或情形的后果。風險評估33第三十三頁，共六十八頁。（4）風險分析的結果定性評估半定量法定量分析（5）控制措施評估（6）后果分析（7）可能性分析和概率估計（風險估計）（8）初步分析（9）不確定性及敏感性因素風險評估34第三十四頁，共六十八頁。3.風險評價（1）．風險評價的含義風險評價riskevaluation將估計后風險與給定的風險準則對比，來決定風險嚴重性的過程。與組織確定的風險準則進行對照，以決定風險的水平并確定控制風險的優先順序。經過風險評價，確定該風險是可承受還是需進行處理（分別采用風險規避、風險優化、風險轉移或風險保留等措施）。風險評估35第三十五頁，共六十八頁。（2）風險評價決策風險評價利用風險分析過程中所獲得的對風險的認識，來對未來的行動進行決策。道德、法律、資金以及包括風險偏好在內的其它因素也是決策的參考信息。決策包括：

——某個風險是否需要應對；——風險的應對優先次序；——是否應開展某項應對活動；——應該采取哪種途徑。風險評估36第三十六頁，共六十八頁。（3）風險評價結果風險評價的結果應滿足風險應對的需要，否則，應做進一步分析。有時，根據已經制定的風險準則，風險評價使組織做出維持現有的風險應對措施，不采取其他新的措施的決定。風險評估37第三十七頁，共六十八頁。常見的方法是將風險劃分為三個等級段。基礎于“最低合理可行”原則（AsLowAsAeasonablePracticable，簡稱ALARP）。（1）上段是指無論活動能帶來什么利益，風險等級都是無法容忍的，必須不惜代價進行風險處理；（2）中段是指要考慮實施風險應對的成本與收益，并權衡機遇與潛在結果；（3）下段是指風險等級微不足道，或者風險很小，無需采取風險處理措施。風險評價的結果應滿足風險處理的需要，否則，應做進一步分析。風險評估38第三十八頁，共六十八頁。4.風險評估技術的選擇技術的選擇可用資源不確定性的性質和程度復雜性風險評估39第三十九頁，共六十八頁。5.常用風險評估技術ISO/IEC30010《風險管理風險評估技術》標準給出了對于風險評估的每一步，各類技術的適用性被描述為非常適用、適用或者不適用的不同類型。風險評估40第四十頁，共六十八頁。風險評估41

工具及技術

風險評估過程風險識別風險分析

風險評價后果可能性風險等級頭腦風暴法

SAAAAA結構化/半結構化訪談SAAAAA德爾菲法SAAAAA情景分析SAAAAA風險矩陣SASASASAA

FMEASANANANANAHAZOPSASANANASA……

31種技術SA表示：非常適用A表示：適用NA

表示：不適用第四十一頁，共六十八頁。5.常用風險評估技術從ISO/IEC30010《風險管理風險評估技術》標準選擇3個常用的方法。情景分析FMEA風險矩陣風險評估42第四十二頁，共六十八頁。（1）情景分析情景分析（ScenarioAnalysis）是指通過分析未來可能發生的各種情景，以及各種情景可能產生的影響來分析風險的一類方法。換句話說，情景分析是類似“如果-怎樣”的分析方法。未來總是不確定的，而情景分析使我們能夠“預見”將來，對未來的不確定性有一個直觀的認識。用情景分析法來進行預測，不僅能得出具體的預測結果，而且還能分析達到未來不同發展情景的可行性以及提出需要采取的技術、經濟和政策措施，為管理者決策提供依據。風險評估43第四十三頁，共六十八頁。a.輸入b.過程使用一系列情景，關注每個情景參數的合理變化為每個情景編寫一個“故事”，講述如何從此時此地轉向主題情景。這些故事可以包括那些能為情景帶來附加值的合理細節。這些情景可以用來測試或評估最初的問題。這項測試考慮到任何重要但可預測的因素（例如，使用模式），然后分析政策在這種新情景中的“成功”概率，并通過使用以模型假設為基礎的“假定分析”來“預先測定”結果。風險評估44第四十四頁，共六十八頁。c.輸出可能不會有最合適的情景，但可以對最終應對各種選項以及隨著指標的變化而調整行動方案的方法有更清晰的認識。d.PEST分析政治(political)、經濟(economical)、社會(social)、技術(technological)e.基于SWOT分析的道斯矩陣優勢（Strength）、劣勢（Weakness）、外部機會（Opportunity）、外部威脅（Threat）

風險評估45第四十五頁，共六十八頁。風險評估46

威脅第四十六頁，共六十八頁。f.利益相關性分析：相關的利益群體是哪些？

他們有什么樣的利益訴求？這些利益需求的

變化趨勢是怎樣的風險評估47T機會O威脅

S優勢

W劣勢第四十七頁，共六十八頁。（2）失效模式和效應分析（FailureModeandEffectAnalysis，簡稱FMEA）是用來識別組件或系統未能達到其設計意圖的方法。FMEA用于識別：系統各部分所有潛在的失效模式（失效模式是被觀察到的是失誤或操作不當）；這些故障對系統的影響；故障原因；如何避免故障及/或減弱故障對系統的影響。失效模式、效應和危害度分析（FailureModeandEffectandCriticalityAnalysis，簡稱FMECA）拓展了FMEA的使用范圍。根據其重要性和危害程度，FMECA可對每種被識別的失效模式進行排序。風險評估48第四十八頁，共六十八頁。過程a.將系統分成組件或步驟；b.對于列出的各組件或步驟，確認：S:嚴重度severity0:發生頻度occurrenceD:探測度detectionRPN（風險系數）=S

X

O

X

D風險評估49第四十九頁，共六十八頁。（3）風險矩陣風險矩陣（RiskMatrix）是一種將定性或半定量的后果分級與產生一定水平的風險或風險等級的可能性相結合的方式。矩陣格式及適用的定義取決于使用背景，關鍵是要在這種情況下使用合適的設計。通常可以結合FMEA的分析結果。風險評估50第五十頁，共六十八頁。風險評估51第五十一頁，共六十八頁。6.風險評估在壽命周期各階段的應用在概念和定義階段在設計和開發階段在壽命周期的其它階段風險評估52第五十二頁，共六十八頁。

風險管理過程風險管理過程組成溝通和協商明確環境風險評估風險處理監測和評審記錄風險管理過程53第五十三頁，共六十八頁。1.風險處理（應對）風險處理risktreatment修正風險的過程風險處理包括了一個循環過程：——評價風險處理；——確定殘留風險程度是否可容許；——如果不可容許，產生新的風險處理；——評價該處理的有效性。風險處理54第五十四頁，共六十八頁。風險處理方案（應對措施）不必互相排斥或適宜所有情況。方案/措施可以包括以下內容:a.通過決定不開展或停止產生風險的活動，來規避風險；b.為尋求機會，接受或提高風險；c.消除風險源；d.改變可能性；e.改變后果；f.與另一方或多方共擔風險（包括合約和風險融資）；g.通過有事實依據的決策，保留風險。風險處理55第五十五頁，共六十八頁。2.選擇風險處理方案（應對措施）選擇時需考慮：——法律、法規、社會責任和環境保護等方面的要求；——風險應對措施的實施成本與收益（有些風險可能需要組織考慮采用經濟上看起來不合理的風險應對決策，例如可能帶來嚴重的負面后果但發生可能性低的風險事件）；——選擇幾種應對措施，將其單獨或組合使用；——利益相關者的訴求和價值觀、對風險的認知和承受度以及對某一些風險應對措施的偏好。風險處理56第五十六頁，共六十八頁。風險處理方案在實施過程中可能會失靈或無效。因此，要把監督作為風險應對措施的實施計劃的有機組成部分，以保證應對措施持續有效。風險處理方案可能引起次生風險，對次生風險也需要評估、應對、監督和檢查。在原有的風險應對計劃中要加入這些次生風險的內容，而不應將其作為新風險而獨立對待。為此需要識別并檢查原有風險與次生風險之間的關系。當影響到組織內其他領域的風險或影響到其他利益相關者時，要評估這些影響，并與有關利益相關者溝通，必要時調整。決策者和其他利益相關者應當清楚在采取風險處理方案后的剩余風險的性質和程度。風險處理57第五十七頁，共六十八頁。3.制定和實施風險處理（應對）計劃計劃中應當包括以下信息：——預期的收益；——績效指標及其考核方法；——風險管理責任人及實施風險應對措施的人員安排；——風險應對措施涉及的具體業務和管理活動；風險處理58第五十八頁，共六十八頁。計劃中應當包括以下信息（續）——選擇多種可能的風險應對措施時，實施風險應對措施的優先次序；——報告和監督、檢查的要求；——資源需求，包括應急機制的資源需求；——執行時間表等。風險應對計劃要與組織的管理過程整合

風險處理59第五十九頁，共六十八頁。

風險管理過程風險管理過程組成溝通和協商明確環境風險評估風險處理監測和評審記錄風險管理過程60第六十頁，共六十八頁。作為風險管理過程的組成部分，定期對風險與控制進行監測和評審，以確認：（1）有關風險的