风险管理的六个要素是什么？

风险管理的成功取决于管理框架的有效性， 该管理框架为组织提供了基础和安排， 管理框架通过在组织特定的环境和不同层次中应用风险管理过程， 有助于组织有效地管理风险。

确保从风险管理过程中所获得的风险信息被充分地报告， 并将其作为在组织的所有相关层级决策的基础。

管理风险的框架包括六个要素。

01

领导力和承诺

要求高层管理者和监督机构应确保风险管理融入组织的所有活动。

02

整合

风险管理依赖于对组织架构和环境的理解，组织架构的每个部分都需要风险管理， 组织中的每个人都有责任管理风险。

风险管理应成为组织目的、治理、领导力和承诺、战略、目标和运营的一部分。

03

设计

设计包括如下五个方面的内容。

(1) 理解组织及其环境。

标准在这里特别强调了时间要求和活动要求。

时间要求。这部分工作在“ 开始设计和实施管理风险的框架之前＂ ， 也就是“ 设计之前” 和“ 实施之前”。“ 设计之前”是指组织在Zui初建立风险管理框架时的设计之前；“ 实施之前” 是指风险管理的框架建立完成后， 在开始实施该框架前。

活动要求。要求做两项工作，一是＂ 评价＂，二是“ 清楚了解＂， 两者缺一不可。这两项活动发生在“ 开始设计和实施管理风险的框架之前＂， 活动的内容是” 组织的外部和内部环境” 。对“ 环境” 的强调是本标准的一个重要特征。

任何组织都有其赖以生存的外部环境和内部环境。ISO 31000: 2018 标准把组织看成环境中的一分子。组织在设计管理风险的框架时， 应该首先搞清楚内、外部环境。为了帮助组织全面、系统地认识和了解自己所处的环境， 标准针对内、外部环境分别列示了相关内容。

了解组织及其环境的途径有：媒体（报纸、互联网、博客等）；与风险管理相关的图书、杂志、内刊等；相关报告；相关活动（访谈、专家演讲、学术交流、评比等）。

(2) 明确管理风险承诺。

ISO 历来重视“管理承诺＂，在其发布的管理标准中，一般都含有对组织管理者”承诺”方面的要求，且都居于标准的重要位置。

“承诺”意味着责任和权力，“承诺”也意味着公开；就某一特定领域的管理而言，“承诺＂往往意味着在这一管理领域中组织的管理方向、总体要求和责任分配。“承诺”是整个风险管理框架的“上层建筑＂，在整个组织的风险管理活动中非常重要。

组织在开展风险管理工作时，应明确＂承诺＂的表示方法和具体内容，还应包括决策层（董事）和执行层(CEO 、COO 等）对风险管理方针政策的陈述与声明。

(3) 分配组织角色、权限、职责和责任。

主要针对的是组织内部的利益相关方，组织应确保有责任、权力及适当的能力来管理风险，这包括实施和维护风险管理过程，还包括确保任何一种控制方式都是充分的、有效力和有效率的。

(4) 分配资源。

本标准在风险管理原则、框架等处，皆提到“资源”问题，标准列示了五大类资源：心人员、技能、经验和能力；组织用于管理风险的过程、方法和工具；文件化的过程和程序；信息和知识的管理系统；培训策划或计划。

(5) 建立沟通与咨询机制。

在本标准中，＂沟通”一般与“咨询”对应， ISO 把组织的＂沟通计划“视为组织”建立沟通和咨询机制”的手段，并给出该计划应该包括的内容。

首先应该包括适当的外部利益相关者的参与，以确保有一个有效的信息交流；然后把沟通与咨询的结果反馈和报告给外部利益相关方，并通过沟通建立其对组织的信心；Zui后，还应包括在危机或突发事件中与外部利益相关方的沟通。

所以组织在实施风险管理框架时，应制订一个有效的“风险管理框架实施计划＂，该计划应满足：基于风险的方法整合入现有业务流程的适应性；组织高管层对风险管理的不断支持；员工对风险管理的支持，尤其是在各个活动的初始设计和试验阶段过）按照学习、反馈、改进的过程分步实施。

04

实施

组织通过制订适当的计划，包括时间和资源的分配，在整个组织内确定在什么地点、时间有谁进行不同类型的决策，在必要时调整适用的决策程序，确保整个组织的风险管理安排得到清晰的理解和实施。

框架的成功实施需要利益相关方参与和了解，以应对决策中的不确定性。

05

评价

为评估框架的有效性，组织应根据其目的、计划、指标和预期行为衡量框架的绩效，确定其适用性。

06

改进

框架的适应性是通过持续的监视风险管理框架，解决内外部环境变化的。

组织应不断改进框架的适应性、有效性和充分性以及风险管理流程的整合方式，发现改进机会并通过制订计划和任务，分配责任人员，有效推进持续改进。