风险体系管理 网上可查

ISO 31000《风险管理指南》
提供了组织管理面临的风险的指南。这些指南的应用可以针对任何组织及其背景环境进行定制。同时，ISO 31000《风险管理指南》还提供了管理任何类型风险的通用方法（并非行业或某一领域特定的），可用于组织的整个生命周期，可应用于任何活动，包括各层级决策。知识产权风险管理，作为组织管理（尤其是型组织）可能面临的典型风险之一，贯穿于组织整个生命周期，涉及各行业各领域的组织各层级的风险决策。因此，知识产权风险管理应适用于 ISO 31000《风险管理指南》。下面我们就先来系统地回顾一下 ISO 31000中对于“风险”、“风险管理”和“风险管理原则”的定义与描述，期望能从中找到知识产权风险管理原则的指引与启示。ISO 31000《风险管理指南》对风险的定义是“不确定性对目标的影响”；从这个意义上来说，知识产权风险所存在的不确定性，在法理上和商业贸易中都是客观存在的，其可以带给组织目标正面的（积的）、的（的）或两者兼而有之的影响。
风险管理框架的目的是协助组织将风险管理纳入重要的活动和职能。风险管理的有效性取决于是否将其融入组织治理和决策中。这需要利益相关方，特别是管理层的支持。新框架强化了层的职责和整合的重要性，其是力与承诺，明确规定管理层和监督机构应确保风险管理融入组织所有活动。框架部分有以下的步骤。
1、了解组织及其环境；在设计风险管理框架时，组织应该考察并理解其内外部环境。外部环境包括：国内外或地方的社会、文化、、法律、宏观调控、财政、科技、经济、环境等因素；影响组织目标的推动力和趋势；外部利益相关方的关系、看法、需求和预期；契约关系及义务等。内部环境包括：组织愿景、使命及；组织治理、组织结构、组织角色及其责任；组织战略目标及政策；组织文化；与组织配套的各项标准和模式；与组织内部利益相关方的关系，并考虑内部利益相关方利益和诉求等。
2、明确风险管理承诺；在适当情况下，管理层和监督机构应通过政策、声明或其他方式明确地表达组织的目标和对风险管理的持续承诺，包括：与组织目标和政策相关的风险管理目的；提高将风险管理融入整个组织文化的必要性；风险管理与组织业务活动和决策之间的整合；组织权限和职责；衡量和报告组织内部绩效指标等。组织对风险管理的承诺应适时传达给组织内部及外部的各利益相关方。
3、分配组织角色、权限和职责；在适当情况下，管理层和监督机构应确保在组织各层级分配和传达有关风险管理的权限和职责，应强调风险管理是责任，并明确具有管理风险职责和权限的个人。
4、分源；在适当的情况下，管理层和监督机构应确保为风险管理分配适当资源，包括：人员、技能、经验和能力；组织用于风险管理的流程、方法和工具；记录过程和程序；信息和知识管理系统；发展和培训需求等，组织应考虑现有资源的潜力和局限等。
5、建立沟通和协商；为支持框架和促进风险管理的有效应用，组织应建立一个被认可、批准的沟通和协商方法。沟通涉及与目标受众共享信息，协商包括参与者提供信息反馈，从而期望对决策或其他活动做出贡献。沟通和协商方法和内容应尽可能反映相关利益方的期望和利益。沟通和协商应及时进行，确保相关信息得以适时地收集、整理、汇总和分享，及时提供反馈意见并做出改进。
6、实施：
l 组织应通过以下方式实施风险管理框架：
l 一个包括时间表和资源配置在内的适当计划；
l 确定组织内部不同类型决策的时间、地点及做出决策的人员；
l 必要时应适时调整决策程序；
l 确保组织的风险管理安排得到清晰的理解和实施。
框架的成功实施需要利益相关方的参与和了解。这使组织能够明确地定位决策中的不确定性，同时确保在出现任何新的、持续的不确定性时也应将利益相关方的参与和了解考虑在内。
通过正确的设计和实施风险管理框架，可以确保风险管理流程是整个组织所有活动的一部分，并充分反映内外部环境及其变化。
7、评价；为了评估风险管理框架的有效性，应依据组织的目的、实施计划、指标和预期行为定期评价风险管理框架的绩效，确定风险管理框架是否仍然适合于支撑组织目标的实现。
8、改进：
8.1适应性；组织应持续和调整风险管理框架以使其适应内外部环境的变化，以利于组织提升其。
8.2不断改进；组织应不断改善其风险管理框架的适用性、充分性和有效性，并改进风险管理流程的整合方式。
如果已经确定了差距或改进的机会，组织应计划和任务，并将其分配给负责实施的人员和机构。这些改进措施一旦实施，将有助于加强风险管理的作用

（一）ISO 风险管理标准族概述
标准化组织（Internationnal Organization for Standardization, ISO）是由各准化团体组成的世界性的联合会，成立于1947年2月23日，负责除电工、电子领域和、石油、船舶制造之外的很多重要领域的标准化活动。ISO的宗旨是“在世界上促进标准化及其相关活动的发展，以便于商品和服务的交换，在智力、科学、技术和经济领域开展合作。标准工作通常由ISO的技术会完成。ISO有800多个技术和分会，他们各有一个和一个秘书处，秘书处由各成员国分别担任。目前承担秘书处工作的成员团体有30个，各秘书处与位于日内瓦的ISO秘书处保持直接联系。ISO与电工会（IEC）在电工技术标准化方面保持密切的合作关系。中国是ISO的正式成员，1978年加入ISO。
在2008年10月召开的31届化标准组织的大会上，中国正式成为ISO的常任理事国。代表中国的组织为中国国家标准化管理会（SAC）。
★★★风险管理标准族一览；目前，ISO风险管理标准族共包含以下4个正式标准：
★ISO Guide73：
2009 风险管理术语
★ISO  31000：
2009 风险管理原则与指南
★ISO/IEC  31010：
2009 风险管理技术
★ISO  31004：
2014（2015）风险管理实施指南
概念和术语是认识事物的基础，ISO Guide73:2009 标准一共列示了50个术语，这50个术语被划分为三个类别：
个类别是“风险”，且只有风险这一个术语；
二个类别是“风险管理”，有风险管理、风险管理框架、风险管理方针、风险管理计划四个术语；
三个类别是“包含风险管理过程”等45个术语。这些术语的关系如下图所示：
1.风险
风险这个术语是ISO风险管理标准族的和基石，其定义的内涵和外延直接影响到风险管理工作的目标、内容和边界。在ISO Guide73：2009中是这样定义风险的：风险：即不确定性对目标的影响。（说明风险是一种影响，该影响可能是正面的，也可能是的，因此，我们才说风险具有二重性。正面的影响意味着机会和收益，的影响则意味着威胁和损失。）（说明风险是对目标而言的。没有目标，就谈不上风险。这些目标不是抽象的，二是很具体的，如财务目标、健康安全目标、项目目标、产品目标等）。（说明了风险的事件性。事件是风险的载体。在风险评估的风险识别中，必须识别潜在事件。没有潜在事件就谈不上后果和可能性，也就无从对风险进行研究和计量。）
（给出了风险的表示方法。在风险管理实践中，人们常用后果及其可能性的乘积表示风险的大小。风险的大小也称为风险的等级。）（解释了风险的不确定性。从风险的定义可以看出：不确定性是风险的基本特性。不确定性是一种缺乏或部分缺乏相关信息或认知的状态。也就是说，不知道或不清楚某个事件会不会发生；不知道或不清楚某个事件发生的后果会怎么样，程度有多大？不知道或不清楚该后果发生的可能性有多大，等等。从不确定性的定义中可以看出，“信息”和“认识”对不确定性来说至关重要。之所以存在不确定性，就是因为缺乏相关的“信息”，缺少对事物的“认识”，所以不确定性是对于主观的认知而言的。
定义：针对风险所采取的指挥和控制组织的协调活动。ISO定义“管理”为指挥和控制组织的协调活动。如果是对特定对象的管理，在其定义中加入特定的对象即可。例如，对质量管理的定义就是：“针对质量所采取的指挥和控制组织的协调活动。
中国对“企业全面风险管理”的定义：在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面的风险管理体系，包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。该定义认为风险管理是一种过程和方法。围绕企业总体目标，做好三件事：一是在企业所有活动过程中执行风险管理的基本流程，二是培育良好的风险管理文化，三是建立健全风险管理体系。同时该定义指出了风险管理体系包括五个部分：风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。

公司实施企业风险管理需要九个步骤：
步：高层任务。在一个正式的工作秩序和记录企业风险管理过程中，必须由公司董事会授权的董事，执行官和其他组织的高层进行管理。
二步：关于企业风险管理部门。企业风险管理的过程中应该有多个层次的管理者，高层经理必须为企业风险管理部门的发展负责。企业风险管理的重要任务是决定适当的资源水平和时间需求。一个经理团队必须评估已经的项目计划。企业风险管理过程的执行，将由管理团队在企业各个层次中实施。一个有现实意义的时间表必须建立正式程序。该企业的所有成员都必须参与，以保证所有风险都被了解，而重要风险必须由风险管理部门进行管理。内部审计部门不能负责风险管理，但可以参与监测工作。所有权也意味着责任。监督各部门的风险管理活动都必须为他们的风险报告和风险管理活动的质量负责。
三步：决定控制框架。为了企业风险管理工作的有效进行，企业必须确内部控制框架。一个令人满意的内部控制框架的存在会降低错误和违规行为发生的可能性。
四步：确定所有的风险。必须努力使整个企业收集所有已知或预期的风险。对风险预知的不足可能导致企业撞上隐藏的冰山。所有员工要为识别和共享潜在的企业风险负责。在整个讨论的基础上组织，应当风险词典，使每个人在同一风险上用词的含义相同。
五步：评估风险。通过使用风险测绘技术为企业和业务部门确定风险的次序。这个过程完成后才能考虑其他风险。必须评估每一个风险的潜在损失或对企业的风险后果的影响。根据风险对金融资产的损失或潜在的影响，风险分类应分为：微小的、有损害的、灾难性的。风险的可能性应分为：不大可能、可能的、很有可能，然后映射到表格中进行分析。
六步：业务单位实现目标的措施。在这一阶段，执行团队需要与公司各个业务部门共同审查企业战略，以确定企业目标是如何实现的。部门级别的目标必须是确定的，使得企业的战略顺利实施。
七步：每月企业风险管理报告制度。拥有一个风险管理计划并实施并不能充分保证公司可以控制企业风险。一个反馈机制的存在，使得风险管理报告及时传达回风险管理部门经理、董事会，具有十分重要的意义。
八步：企业风险管理部门进行分析。月度部门风险和业绩报告可以用于诸多方面。该报告可以监测控制过程并衡量对企业目标实现作出贡献的关键环节。这一过程可以用来纠正战略实施的一些问题，并提高风险领域的被关注程度。
九步：持续监测过程。企业风险管理部门应当持续对企业内部及外部事件进行分析，以调整企业整体战略。各部门需要评价这些调整对自身部门的目标及风险有何种影响。
风险管理是企业治理的一部分，同时也是企业战略性绩效能力的一部分。一些风险会阻碍企业理想的绩效，而以上所列的九个步骤正是帮助企业确认、控制并管理这些风险的大体框架。从评估监测风险中获得的绩效及知识收益已远远过了创建全风险管理系统的花费，而正是这些绩效及知识收益确保了企业长短期战略目标的成功实现。

针对人员责任事故较为的问题，开展企业综合安全风险评估研究，在现有安全性评价工作的基础上，从夯实电网安全物质基础、强化企业安全管理、从防止人身事故和人员责任事故入手，逐步推行企业安全风险评估机制。推进安全风险管理体系建设的意义：
一、统一思想认识，坚定安全风险管理体系建设方向
二、理清工作思路，贯彻安全风险管理体系建设原则
三、加强组织，落实安全风险管理体系建设责任
四、坚持安全发展，深入开展安全性评价
五、坚持以人为本，积推行作业安全风险预控
六、加强督促，扎实做好全年各阶段推进工作
在当前条件下提成开展风险管理，实施危险源辨识、风险分析、风险评估、风险控制，逐步建立基于闭环过程管理的安全风险管理体系，符合企业安全管理发展现状，与管理实践接轨，是企业加推进安全管理从二阶段向三阶段转变，实现安全“可控、能控、在控”的必然要求。企业办理安全风险管理体系，是对现有安全管理体系的进一步总结和提升，将企业目前的各项日常安全管理工作整合到以风险管理为的体系中，并通过体系建设，对一些薄弱环节进行强化和完善，从而实现安全的可控、能控和在控。
各种类型和规模的组织都面临着外部和内部因素及影响，这些因素和影响使得组织实现其目标面临一定的不确定性。
管理风险是治理和力的一部分，对于组织在各个层面的管理至关重要。它有助于改进管理体系。管理风险是组织所有活动的一部分，包括与利益相关方的交流和沟通。