本公司只提供咨询服务!
风险管理体系合理性审计的范围包括战略支撑、职责分工与组织架构、能力与风险文化、绩效考核与激励、评估方法、应对与控制、信息技术、监督与汇报等领域。具体来说,风险管理体系合理性审计可以大致分为四个步骤审计标准及发展目标,为加强审计的逻辑性与可视性,内审人员根据审计范围,设计“风险管理能力矩阵”评价模型,将审计对象划分为维度,并与能力水平等级**结合。基于多年风险管理经验、意见以及大数据分析结果,在“风险管理能力矩阵”中设置8个一级维度,以及起步、初级、确立、高阶与实践等5个能力水平等级。在一级维度的基础上,进一步设置了33个二级维度,涉及56项具体审计对象,对应280项详细评价规则。
(一)ISO 风险管理标准族概述
标准化组织(Internationnal Organization for Standardization, ISO)是由各准化团体组成的世界性的联合会,成立于1947年2月23日,负责除电工、电子领域和、石油、船舶制造之外的很多重要领域的标准化活动。ISO的宗旨是“在世界上促进标准化及其相关活动的发展,以便于商品和服务的交换,在智力、科学、技术和经济领域开展合作。标准工作通常由ISO的技术会完成。ISO有800多个技术和分会,他们各有一个和一个秘书处,秘书处由各成员国分别担任。目前承担秘书处工作的成员团体有30个,各秘书处与位于日内瓦的ISO秘书处保持直接联系。ISO与电工会(IEC)在电工技术标准化方面保持密切的合作关系。中国是ISO的正式成员,1978年加入ISO。
在2008年10月召开的31届化标准组织的大会上,中国正式成为ISO的常任理事国。代表中国的组织为中国国家标准化管理会(SAC)。
★★★风险管理标准族一览;目前,ISO风险管理标准族共包含以下4个正式标准:
★ISO Guide73:
2009 风险管理术语
★ISO 31000:
2009 风险管理原则与指南
★ISO/IEC 31010:
2009 风险管理技术
★ISO 31004:
2014(2015)风险管理实施指南
概念和术语是认识事物的基础,ISO Guide73:2009 标准一共列示了50个术语,这50个术语被划分为三个类别:
个类别是“风险”,且只有风险这一个术语;
二个类别是“风险管理”,有风险管理、风险管理框架、风险管理方针、风险管理计划四个术语;
三个类别是“包含风险管理过程”等45个术语。这些术语的关系如下图所示:
1.风险
风险这个术语是ISO风险管理标准族的和基石,其定义的内涵和外延直接影响到风险管理工作的目标、内容和边界。在ISO Guide73:2009中是这样定义风险的:风险:即不确定性对目标的影响。(说明风险是一种影响,该影响可能是正面的,也可能是的,因此,我们才说风险具有二重性。正面的影响意味着机会和收益,的影响则意味着威胁和损失。)(说明风险是对目标而言的。没有目标,就谈不上风险。这些目标不是抽象的,二是很具体的,如财务目标、健康安全目标、项目目标、产品目标等)。(说明了风险的事件性。事件是风险的载体。在风险评估的风险识别中,必须识别潜在事件。没有潜在事件就谈不上后果和可能性,也就无从对风险进行研究和计量。)
(给出了风险的表示方法。在风险管理实践中,人们常用后果及其可能性的乘积表示风险的大小。风险的大小也称为风险的等级。)(解释了风险的不确定性。从风险的定义可以看出:不确定性是风险的基本特性。不确定性是一种缺乏或部分缺乏相关信息或认知的状态。也就是说,不知道或不清楚某个事件会不会发生;不知道或不清楚某个事件发生的后果会怎么样,程度有多大?不知道或不清楚该后果发生的可能性有多大,等等。从不确定性的定义中可以看出,“信息”和“认识”对不确定性来说至关重要。之所以存在不确定性,就是因为缺乏相关的“信息”,缺少对事物的“认识”,所以不确定性是对于主观的认知而言的。
定义:针对风险所采取的指挥和控制组织的协调活动。ISO定义“管理”为指挥和控制组织的协调活动。如果是对特定对象的管理,在其定义中加入特定的对象即可。例如,对质量管理的定义就是:“针对质量所采取的指挥和控制组织的协调活动。
中国对“企业全面风险管理”的定义:在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面的风险管理体系,包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。该定义认为风险管理是一种过程和方法。围绕企业总体目标,做好三件事:一是在企业所有活动过程中执行风险管理的基本流程,二是培育良好的风险管理文化,三是建立健全风险管理体系。同时该定义指出了风险管理体系包括五个部分:风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。
在策划质量管理体系时,组织应考虑到各种因素和要求,并确定需要应对的风险和机遇:
a)确保质量管理体系能够实现其预期结果;
b)增强有利影响;
c)避免或减少不利影响;
d)实现改进。
组织应策划:
1) 在质量管理体系过程中整合并实施这些措施;
2) 评价这些措施的有效性。
应对风险和机遇的措施应与其对于产品和服务符合性的潜在影响相适应。
注1:应对风险可选择风险,为寻求机遇承担风险,消除风险源,改变风险的可能性或后果,分担风险,或通过信息充分的决策保留风险。
注2:机遇可能导致采用新实践,推出新产品,开辟新市场,赢得新顾客,建立合作伙伴关系,利用新技术以及其他可取和可行的事物,以应对组织或其顾客需求。”
风险和机遇应该是无处不在、无时不在的,只不过是我们怎么看待它的问题。标准要求,我们在策划QMS的时候,在考虑组织的环境、相关方要求时,应充分识别需要应对的风险和机遇。这和环境管理体系、职业健康安全管理体系的套路是一样的,这二个体系也要求在策划时识别环境因素和危险源。企业应该针对已经确定的风险和机遇,策划预防措施、应急计划等,一旦发生,应能立即启用。并需要在事后对这些措施是否有效进行评价。这和环境、职业健康安全体系都是一致的套路。什么叫在体系过程中整合并实施呢?意指可以将这些策划的措施与其它工作要求、文件整合在一起宣贯、实施。每一个措施在实施时,都有成本和风险的问题。所以标准说:采取的措施要与问题的严重性相适应。用重金去处理轻微的风险,不一定是值得的。企业也不可能、消灭所有的风险。
企业风险管理计划的
合理的风险管理计划是风险管理的步。风险管理计划除了风险管理目标以外,还有以下内容:
,确定风险管理人员的职责。风险管理计划中要列明风险管理人员和所涉及各个部门人员的职责,并规定风险管理部门向上级和有关部门的报告制度。
二,确定风险管理部门的内部组织结构。在小企业里,从事风险管理的人员也许只有一个人,但规模大的企业则要设置专职的风险管理部门。
三,与其他部门合作。风险管理部门一般需要与以下部门进行合作:一是会计部门。风险管理部门一般会同会计部门处理财产和责任保险以及员工福利计划的索赔事务。二是数据处理部门。数据处理部门的设备、数据和产品耗费大,甚至是难以复制的。风险管理部门和数据处理部门的人员应尽力合作以减少其财产、净收入和责任风险。三是法律事务部门。该部门的人员能提供关于责任风险的情况,有助于风险管理人员识别责任风险。四是人事部门。人事部门一般在风险管理部门的配合之下负责管理员工福利计划。五是生产部门。风险管理人员应与生产部门人员紧密合作,识别、消除或减少这些危险因素。
四,风险管理计划的控制。它包括以下三方面:先是制订业绩标准。风险管理的业绩有效果标准和作用标准两种,风险管理的业绩可以用金额、百分比、损失或索赔次数来加以评价,也可以用其作业来加以评价。其次是把实际执行情况与业绩标准加以比较,当实际执行情况与标准发生偏离时,根据其结果来调整标准。是采取纠正措施。当某种损失增加后,调查其原因,然后采取纠正措施。
公司实施企业风险管理需要九个步骤:
步:高层任务。在一个正式的工作秩序和记录企业风险管理过程中,必须由公司董事会授权的董事,执行官和其他组织的高层进行管理。
二步:关于企业风险管理部门。企业风险管理的过程中应该有多个层次的管理者,高层经理必须为企业风险管理部门的发展负责。企业风险管理的重要任务是决定适当的资源水平和时间需求。一个经理团队必须评估已经的项目计划。企业风险管理过程的执行,将由管理团队在企业各个层次中实施。一个有现实意义的时间表必须建立正式程序。该企业的所有成员都必须参与,以保证所有风险都被了解,而重要风险必须由风险管理部门进行管理。内部审计部门不能负责风险管理,但可以参与监测工作。所有权也意味着责任。监督各部门的风险管理活动都必须为他们的风险报告和风险管理活动的质量负责。
三步:决定控制框架。为了企业风险管理工作的有效进行,企业必须确内部控制框架。一个令人满意的内部控制框架的存在会降低错误和违规行为发生的可能性。
四步:确定所有的风险。必须努力使整个企业收集所有已知或预期的风险。对风险预知的不足可能导致企业撞上隐藏的冰山。所有员工要为识别和共享潜在的企业风险负责。在整个讨论的基础上组织,应当风险词典,使每个人在同一风险上用词的含义相同。
五步:评估风险。通过使用风险测绘技术为企业和业务部门确定风险的次序。这个过程完成后才能考虑其他风险。必须评估每一个风险的潜在损失或对企业的风险后果的影响。根据风险对金融资产的损失或潜在的影响,风险分类应分为:微小的、有损害的、灾难性的。风险的可能性应分为:不大可能、可能的、很有可能,然后映射到表格中进行分析。
六步:业务单位实现目标的措施。在这一阶段,执行团队需要与公司各个业务部门共同审查企业战略,以确定企业目标是如何实现的。部门级别的目标必须是确定的,使得企业的战略顺利实施。
七步:每月企业风险管理报告制度。拥有一个风险管理计划并实施并不能充分保证公司可以控制企业风险。一个反馈机制的存在,使得风险管理报告及时传达回风险管理部门经理、董事会,具有十分重要的意义。
八步:企业风险管理部门进行分析。月度部门风险和业绩报告可以用于诸多方面。该报告可以监测控制过程并衡量对企业目标实现作出贡献的关键环节。这一过程可以用来纠正战略实施的一些问题,并提高风险领域的被关注程度。
九步:持续监测过程。企业风险管理部门应当持续对企业内部及外部事件进行分析,以调整企业整体战略。各部门需要评价这些调整对自身部门的目标及风险有何种影响。
风险管理是企业治理的一部分,同时也是企业战略性绩效能力的一部分。一些风险会阻碍企业理想的绩效,而以上所列的九个步骤正是帮助企业确认、控制并管理这些风险的大体框架。从评估监测风险中获得的绩效及知识收益已远远过了创建全风险管理系统的花费,而正是这些绩效及知识收益确保了企业长短期战略目标的成功实现。
根据ISO表述,风险管理是企业治理和力的一部分,表明了风险管理工作应该从企业的层从点,从上往下贯彻,而不是自下而上的形成。自下而上传递的是反馈,而不是工作开展的依据。
http://haolinhl.b2b168.com
欢迎来到广东昊霖企业管理有限公司网站, 具体地址是广东省深圳市宝安区松岗街道芙蓉路9号,联系人是陆。
主要经营ISO9001质量管理体系认证,售后服务认证。
单位注册资金单位注册资金人民币 500 - 1000 万元。
你有什么需要?我们都可以帮你一一解决!我们公司主要的特色服务是:ISO9001质量管理体系认证,售后服务认证等,“诚信”是我们立足之本,“创新”是我们生存之源,“便捷”是我们努力的方向,用户的满意是我们较大的收益、用户的信赖是我们较大的成果。