แลกเปลี่ยนข้อมูลและให้คำปรึกษาการกำหนดสถานการณ์ หลักการและแนวทางการบริหารความเสี่ยง จัดทำเอกสารกระบวนการบริหารความเสี่ยง

คำนำ

1 จัดทำโดยศูนย์วิทยาศาสตร์และเทคนิค "INTEK" บนพื้นฐานของการแปลที่แท้จริงของตัวเองเป็นภาษารัสเซียตามมาตรฐานสากลที่ระบุในย่อหน้า

2 แนะนำโดยคณะกรรมการด้านเทคนิคเพื่อการมาตรฐาน TC 100 “เชิงกลยุทธ์และ การจัดการนวัตกรรม»

3 ได้รับการอนุมัติและมีผลบังคับใช้โดยคำสั่งของหน่วยงานกลางด้านกฎระเบียบทางเทคนิคและมาตรวิทยาลงวันที่ 21 ธันวาคม 2553 หมายเลข 883-st

2 ข้อกำหนดและคำจำกัดความ

ในมาตรฐานนี้ ให้ใช้ข้อกำหนดต่อไปนี้พร้อมคำจำกัดความที่เกี่ยวข้อง:

หมายเหตุ 5 ความไม่แน่นอนคือสถานะของข้อมูล ความเข้าใจ หรือความรู้ไม่เพียงพอแม้แต่บางส่วนเกี่ยวกับเหตุการณ์ ผลที่ตามมา หรือความเป็นไปได้ของเหตุการณ์

[คู่มือ ISO 73:2009 คำจำกัดความ 1.1]

2.2 การบริหารความเสี่ยงการบริหารความเสี่ยง(การบริหารความเสี่ยง): การประสานงานการดำเนินการเพื่อจัดการองค์กรโดยคำนึงถึง เสี่ยง().

[คู่มือ ISO 73:2009 คำจำกัดความ 2.1]

2.3 โครงสร้างพื้นฐานการบริหารความเสี่ยง(กรอบการบริหารความเสี่ยง): ชุดองค์ประกอบที่ให้รากฐานและการจัดการองค์กรและโครงสร้างสำหรับการพัฒนา การดำเนินการ การตรวจสอบ() การแก้ไขและปรับปรุงอย่างต่อเนื่อง การจัดการความเสี่ยง() ทั่วทั้งองค์กร

หมายเหตุ 1—กรอบการทำงานประกอบด้วยนโยบาย วัตถุประสงค์ อำนาจหน้าที่ และความรับผิดชอบของฝ่ายบริหาร เสี่ยง().

หมายเหตุ 2: การจัดการและโครงสร้างองค์กรประกอบด้วยแผน ความสัมพันธ์ ความรับผิดชอบ ทรัพยากร กระบวนการ และกิจกรรม

หมายเหตุ 3—โครงสร้างพื้นฐานการบริหารความเสี่ยงถูกสร้างขึ้นในเชิงกลยุทธ์และ นโยบายการดำเนินงานและแนวปฏิบัติขององค์กร

[คู่มือ ISO 73:2009 คำจำกัดความ 2.1.1]

2.4 นโยบายการบริหารความเสี่ยง(นโยบายการบริหารความเสี่ยง): ข้อความแสดงเจตนารมณ์และทิศทางโดยรวมขององค์กรที่เกี่ยวข้อง การจัดการความเสี่ยง().

[คู่มือ ISO 73:2009 คำจำกัดความ 2.1.2]

2.5 ทัศนคติความเสี่ยงทัศนคติต่อความเสี่ยง: แนวทางขององค์กรในการประเมินและคว้า รักษา ยอมรับ หรือหลีกเลี่ยงโอกาสในท้ายที่สุด เสี่ยง().

[คู่มือ ISO 73:2009 คำจำกัดความ 3.7.1.1]

2.6 แผนบริหารความเสี่ยง(แผนบริหารความเสี่ยง): เอกสาร ในโครงสร้างพื้นฐานการบริหารความเสี่ยง() การกำหนดแนวทาง การควบคุม และทรัพยากรที่ใช้ในการบริหารความเสี่ยง ()

หมายเหตุ 1 โดยทั่วไปองค์ประกอบของการบริหารความเสี่ยงประกอบด้วยขั้นตอน แนวปฏิบัติ การมอบหมายหน้าที่และความรับผิดชอบ ลำดับและระยะเวลาของกิจกรรม

หมายเหตุ 2 แผนการจัดการความเสี่ยงสามารถนำไปใช้กับผลิตภัณฑ์ กระบวนการ และโครงการเฉพาะ และกับบางส่วนหรือทั้งหมดขององค์กร

[คู่มือ ISO 73:2009 คำจำกัดความ 2.1.3]

2.7เจ้าของความเสี่ยง(เจ้าของความเสี่ยง): บุคคลหรือหน่วยงานที่มีอำนาจและความรับผิดชอบในการจัดการ ความเสี่ยง().

[คู่มือ ISO 73:2009 คำจำกัดความ 3.5.1.5]

[คู่มือ ISO 73:2009 คำจำกัดความ 3.1]

2.9การสร้างสถานการณ์ (บริบท)การสร้างบริบท: การกำหนดพารามิเตอร์ภายนอกและภายในที่นำมาพิจารณาเมื่อจัดการความเสี่ยงและกำหนดขอบเขตและ เกณฑ์ความเสี่ยง()สำหรับ นโยบายการบริหารความเสี่ยง().

[คู่มือ ISO 73:2009 คำจำกัดความ 3.3.1]

หมายเหตุ 1 ข้อมูลอาจเกี่ยวข้องกับการมีอยู่ ธรรมชาติ รูปแบบ ความน่าจะเป็น หรือ ความเป็นไปได้() ความสำคัญ การยอมรับ การประเมิน() และ ส่งผลกระทบต่อความเสี่ยง().

หมายเหตุ 2 การปรึกษาหารือเป็นกระบวนการสองทางของการแลกเปลี่ยนความรู้ระหว่างองค์กรและผู้มีส่วนได้เสียในประเด็นใดๆ ก่อนตัดสินใจหรือก่อนที่จะกำหนดทิศทางของปัญหา การให้คำปรึกษาคือ:

กระบวนการที่มีอิทธิพลต่อการตัดสินใจโดยใช้อิทธิพลมากกว่าอำนาจ

จุดเริ่มต้นในการตัดสินใจมากกว่าการตัดสินใจร่วมกัน

[คู่มือ ISO 73:2009 คำจำกัดความ 3.2.1]

หมายเหตุ 1 - การบ่งชี้รวมถึงการรับรู้ แหล่งที่มาของความเสี่ยง(),เหตุการณ์ต่างๆ() สาเหตุและความเป็นไปได้ ผลที่ตามมา().

หมายเหตุ 2—การระบุความเสี่ยงอาจใช้ข้อมูลในอดีต การวิเคราะห์ทางทฤษฎีมุมมองที่แจ้งและความคิดเห็นและความต้องการของผู้เชี่ยวชาญ สนใจด้าน()

[คู่มือ ISO 73:2009 คำจำกัดความ 3.5.1]

2.16 แหล่งที่มาของความเสี่ยง(แหล่งที่มาของความเสี่ยง): องค์ประกอบที่มีศักยภาพที่จะก่อให้เกิดความเสี่ยง () เพียงอย่างเดียวหรือรวมกัน

หมายเหตุ - แหล่งที่มาของความเสี่ยงอาจมีสาระสำคัญหรือไม่มีตัวตนก็ได้

[คู่มือ ISO 73:2009 คำจำกัดความ 3.5.1.2]

2.17 เหตุการณ์(เหตุการณ์): การเกิดขึ้นหรือการเปลี่ยนแปลงของสถานการณ์เฉพาะจำนวนหนึ่ง

หมายเหตุ 1 – เหตุการณ์สามารถมีได้ตั้งแต่หนึ่งจุดขึ้นไปและสามารถมีได้หลายสาเหตุ

หมายเหตุ 2 เหตุการณ์อาจเป็นได้ว่าไม่มีปรากฏการณ์บางอย่างเกิดขึ้น

หมายเหตุ 3—บางครั้งเหตุการณ์อาจถูกพิจารณาว่าเป็น "เหตุการณ์" หรือ "อุบัติเหตุ"

หมายเหตุ 4 - เหตุการณ์ที่ไม่มี ผลที่ตามมา() ยังอาจมองว่าเป็น "การหลีกเลี่ยงโดยไม่ได้ตั้งใจ" "เหตุการณ์" "ใกล้พลาดหรือใกล้พลาด" "เกือบจะเกิดขึ้น"

[คู่มือ ISO 73:2009 คำจำกัดความ 3.5.1.3]

2.18 ผลที่ตามมา(ผลที่ตามมา): ผลลัพธ์ เหตุการณ์ต่างๆ() ส่งผลต่อเป้าหมาย

หมายเหตุ 1—เหตุการณ์สามารถนำไปสู่ผลที่ตามมาหลายประการ

หมายเหตุ 2: ผลที่ตามมาอาจมีความแน่นอนหรือไม่แน่นอน และอาจมีผลกระทบเชิงบวกหรือเชิงลบต่อวัตถุประสงค์

หมายเหตุ 3 ผลที่ตามมาอาจแสดงออกมาในเชิงคุณภาพหรือเชิงปริมาณ

หมายเหตุ 4—เอฟเฟกต์เริ่มต้นอาจถูกขยายด้วยเอฟเฟกต์โดมิโน

[คู่มือ ISO 73:2009 คำจำกัดความ 3.6.1.3]

2.19 ความน่าจะเป็น, ความเป็นไปได้(โอกาส): โอกาสที่บางสิ่งจะเกิดขึ้น

หมายเหตุ 1 ในศัพท์เฉพาะของการบริหารความเสี่ยง คำว่า “ความน่าจะเป็น” หรือ “ความเป็นไปได้” หมายถึงโอกาสที่บางสิ่งบางอย่างอาจเกิดขึ้น ไม่ว่าจะทราบแน่ชัด วัดหรือกำหนดในทางเป็นกลางหรือทางจิตใจ ในเชิงคุณภาพหรือเชิงปริมาณ และไม่ว่าจะอธิบายโดย แนวคิดทั่วไปหรือทางคณิตศาสตร์ (เช่น ความน่าจะเป็นหรือความถี่ในช่วงเวลาที่กำหนด)

หมายเหตุ 2 - คำว่า "โอกาส" ในภาษาอังกฤษไม่มีการแปลโดยตรงในบางภาษา มักใช้คำแปล "ความน่าจะเป็น" แทน อย่างไรก็ตามใน ภาษาอังกฤษคำว่า (ความน่าจะเป็น) มักเข้าใจกันในความหมายทางคณิตศาสตร์ที่แคบ ดังนั้นในศัพท์เฉพาะของการบริหารความเสี่ยง คำว่า “โอกาส” จึงถูกใช้เพื่อให้ความหมายกว้างๆ แบบเดียวกับที่คำว่า “ความน่าจะเป็น” มีในหลายภาษานอกเหนือจากภาษาอังกฤษ

[คู่มือ ISO 73:2009 คำจำกัดความ 3.6.1.1]

2.20 โปรไฟล์ความเสี่ยง(โปรไฟล์ความเสี่ยง): คำอธิบายชุดความเสี่ยงใดๆ ()

หมายเหตุ ชุดนี้อาจรวมถึงความเสี่ยงที่ใช้กับทั้งองค์กร บางส่วน หรือที่กำหนดไว้เป็นอย่างอื่น

[คู่มือ ISO 73:2009 คำจำกัดความ 3.8.2.5]

2.21 การวิเคราะห์ความเสี่ยง(การวิเคราะห์ความเสี่ยง): กระบวนการทำความเข้าใจธรรมชาติ เสี่ยง() และคำจำกัดความ ระดับความเสี่ยง().

หมายเหตุ 1 การวิเคราะห์ความเสี่ยงเป็นพื้นฐานสำหรับ การประเมินความเสี่ยง() และการตัดสินใจเกี่ยวกับ ส่งผลกระทบต่อความเสี่ยง().

หมายเหตุ 2 การวิเคราะห์ความเสี่ยงเกี่ยวข้องกับการกำหนดระดับของความเสี่ยง

[คู่มือ ISO 73:2009 คำจำกัดความ 3.6.1]

2.22 เกณฑ์ความเสี่ยง(เกณฑ์ความเสี่ยง): สัญญาณตามที่มีการประเมินนัยสำคัญ เสี่ยง().

หมายเหตุ 1—เกณฑ์ความเสี่ยงขึ้นอยู่กับวัตถุประสงค์ขององค์กรและ ภายนอก() และ สถานการณ์ภายใน (บริบท)().

หมายเหตุ 2 เกณฑ์ความเสี่ยงอาจได้มาจากมาตรฐาน กฎหมาย นโยบาย และข้อกำหนดอื่นๆ

[คู่มือ ISO 73:2009 คำจำกัดความ 3.3.1.3]

2.24 การประเมินความเสี่ยง(การประเมินความเสี่ยง): กระบวนการเปรียบเทียบผลลัพธ์ การวิเคราะห์ความเสี่ยง() พร้อมติดตั้ง เกณฑ์ความเสี่ยง() เพื่อพิจารณาว่า เสี่ยง() และ/หรือมูลค่าของสิ่งนั้นเป็นที่ยอมรับหรือยอมรับได้

หมายเหตุ การประเมินความเสี่ยงเอื้อต่อการตัดสินใจเกี่ยวกับ ส่งผลกระทบต่อความเสี่ยง().

[คู่มือ ISO 73:2009 คำจำกัดความ 3.7.1]

2.25 ส่งผลกระทบต่อความเสี่ยง(การรักษาความเสี่ยง): กระบวนการแก้ไข (เปลี่ยนแปลง) เสี่ยง().

บันทึก 1 - ผลกระทบความเสี่ยงอาจรวมถึง:

หลีกเลี่ยงความเสี่ยงโดยการตัดสินใจที่จะไม่เริ่มหรือดำเนินกิจกรรมที่ก่อให้เกิดความเสี่ยงต่อไป

การรับหรือเพิ่มความเสี่ยงเพื่อใช้ประโยชน์จากโอกาส

การกำจัด แหล่งที่มาของความเสี่ยง();

การเปลี่ยนแปลงความน่าจะเป็นหรือ ความเป็นไปได้();

เปลี่ยน ผลที่ตามมา();

การแบ่งปันความเสี่ยงกับฝ่ายอื่นหรือฝ่ายอื่น (รวมถึงสัญญาและการจัดหาเงินทุนที่มีความเสี่ยง)

การรักษาความเสี่ยงอย่างมีสติ

หมายเหตุ 2: การจัดการกับความเสี่ยงที่มีผลกระทบเชิงลบบางครั้งเรียกว่า “การลดความเสี่ยง” “การขจัดความเสี่ยง” “การป้องกันความเสี่ยง” และ “การลดความเสี่ยง”

หมายเหตุ 3 ผลกระทบความเสี่ยงอาจสร้างความเสี่ยงใหม่หรือปรับเปลี่ยนความเสี่ยงที่มีอยู่

[คู่มือ ISO 73:2009 คำจำกัดความ 3.8.1]

2.26 การควบคุมความเสี่ยง(ควบคุม): การวัดที่ปรับเปลี่ยน (เปลี่ยนแปลง) เสี่ยง().

หมายเหตุ 1 การควบคุมความเสี่ยงอาจรวมถึงกระบวนการ นโยบาย ขั้นตอน การปฏิบัติ หรือการดำเนินการอื่นใดที่ปรับเปลี่ยนความเสี่ยง

หมายเหตุ 2—การควบคุมความเสี่ยงอาจไม่ได้ผลตามที่ต้องการหรือคาดหวังเสมอไป

[คู่มือ ISO 73:2009 คำจำกัดความ 3.8.1.1]

2.27 ความเสี่ยงที่เหลืออยู่(ความเสี่ยงคงเหลือ): เสี่ยง() คงอยู่หลังจากนั้น ส่งผลกระทบต่อความเสี่ยง().

หมายเหตุ 1 ความเสี่ยงคงเหลืออาจรวมถึงความเสี่ยงที่ไม่สามารถระบุได้

หมายเหตุ 2 – ความเสี่ยงคงเหลืออาจเรียกว่า “ความเสี่ยงที่คงอยู่”

[คู่มือ ISO 73:2009 คำจำกัดความ 3.8.1.6]

2.28 การตรวจสอบการตรวจสอบ: การตรวจสอบอย่างต่อเนื่อง การกำกับดูแล การสังเกตวิกฤต หรือการกำหนดเงื่อนไขเพื่อระบุการเปลี่ยนแปลงที่สัมพันธ์กับระดับที่ต้องการหรือที่คาดหวัง

หมายเหตุ สามารถใช้การตรวจติดตามได้ โครงสร้างพื้นฐานการบริหารความเสี่ยง (), กระบวนการบริหารความเสี่ยง (), เสี่ยง() หรือการควบคุม เสี่ยง ().

[คู่มือ ISO 73:2009 คำจำกัดความ 3.8.2.1]

2.29 การแก้ไข(ทบทวน): กิจกรรมที่ดำเนินการเพื่อกำหนดความเหมาะสม ความเพียงพอ และประสิทธิผลของเรื่องที่อยู่ระหว่างการทบทวนเพื่อให้บรรลุวัตถุประสงค์ที่ระบุไว้

บันทึก - สามารถใช้ขั้นตอนการทบทวนได้ โครงสร้างการบริหารความเสี่ยง(), กระบวนการบริหารความเสี่ยง(),เสี่ยง()หรือ การควบคุมความเสี่ยง().

[คู่มือ ISO 73:2009 คำจำกัดความ 3.8.2.2]

หลักการ 3 ข้อ

เพื่อบริหารความเสี่ยงอย่างมีประสิทธิผล องค์กรต้องปฏิบัติตามหลักการต่อไปนี้ในทุกระดับ:

ก) การบริหารความเสี่ยงสร้างและปกป้องคุณค่า 1) .

1) ในบริบทของการบริหารความเสี่ยงองค์กรและการเงิน - การแปลคำว่า "ต้นทุน" ที่เป็นที่ยอมรับโดยทั่วไป

การบริหารความเสี่ยงมีส่วนช่วยให้บรรลุเป้าหมายอย่างชัดเจนและการปรับปรุงกิจกรรม เช่น การรับรองสุขภาพและความปลอดภัยของผู้คน การป้องกัน การปฏิบัติตามกฎหมายและข้อกำหนดบังคับอื่น ๆ การยอมรับของสาธารณะ การคุ้มครอง สิ่งแวดล้อมคุณภาพผลิตภัณฑ์ การจัดการโครงการ การปฏิบัติหน้าที่ ความเป็นผู้นำและชื่อเสียง

ข) การจัดการความเสี่ยงเป็นส่วนสำคัญของกระบวนการขององค์กรทั้งหมด

การบริหารความเสี่ยงไม่ใช่กิจกรรมแยกต่างหากที่แยกออกจากกิจกรรมและกระบวนการหลักในองค์กร การบริหารความเสี่ยงเป็นส่วนหนึ่งของความรับผิดชอบของฝ่ายบริหารและเป็นส่วนสำคัญของกระบวนการขององค์กรทั้งหมด รวมถึงการวางแผนเชิงกลยุทธ์และกระบวนการจัดการโครงการและการเปลี่ยนแปลงทั้งหมด

ค) การบริหารความเสี่ยงเป็นส่วนหนึ่งของกระบวนการตัดสินใจ

การจัดการความเสี่ยงช่วยให้ผู้มีอำนาจตัดสินใจมีข้อมูลในการตัดสินใจ จัดลำดับความสำคัญของการดำเนินการ และแยกแยะความแตกต่างระหว่างแนวทางปฏิบัติทางเลือกอื่นๆ

ง) การจัดการความเสี่ยงมีความเกี่ยวข้องอย่างชัดเจนกับความไม่แน่นอน

การจัดการความเสี่ยงคำนึงถึงความไม่แน่นอน ลักษณะของความไม่แน่นอนนี้ และวิธีการจัดการกับความไม่แน่นอนอย่างชัดเจน

จ) การบริหารความเสี่ยงเป็นระบบ มีโครงสร้าง และทันเวลา

แนวทางการบริหารความเสี่ยงที่เป็นระบบ สม่ำเสมอ และมีโครงสร้างช่วยส่งเสริมประสิทธิภาพและผลลัพธ์ที่ยั่งยืน เปรียบเทียบได้และเชื่อถือได้

ฉ) การบริหารความเสี่ยงขึ้นอยู่กับข้อมูลที่ดีที่สุดที่มีอยู่

ข้อมูลเข้าสู่กระบวนการบริหารความเสี่ยงขึ้นอยู่กับแหล่งข้อมูล เช่น ข้อมูลในอดีต ประสบการณ์ ความคิดเห็นของผู้มีส่วนได้ส่วนเสีย ข้อสังเกต การคาดการณ์ และ การประเมินโดยผู้เชี่ยวชาญ- อย่างไรก็ตาม ผู้มีอำนาจตัดสินใจควรทราบและคำนึงถึงข้อจำกัดใดๆ ของข้อมูลหรือแบบจำลองที่ใช้ หรือความเป็นไปได้ที่ความคิดเห็นจะแตกต่างระหว่างผู้เชี่ยวชาญ

ก) การบริหารความเสี่ยงสามารถปรับเปลี่ยนได้

การบริหารความเสี่ยงจะต้องสอดคล้องกับสถานการณ์ภายนอกและภายใน (บริบท) และโปรไฟล์ความเสี่ยง

ชม) การบริหารความเสี่ยงคำนึงถึงปัจจัยด้านมนุษย์และวัฒนธรรม

การบริหารความเสี่ยงตระหนักถึงความสามารถ การรับรู้ และความตั้งใจของบุคคลภายนอกและภายในองค์กรที่สามารถช่วยหรือขัดขวางการบรรลุวัตถุประสงค์ขององค์กร

ฉัน) การบริหารความเสี่ยงมีความโปร่งใสและคำนึงถึงผลประโยชน์ของผู้มีส่วนได้เสีย

การมีส่วนร่วมอย่างเหมาะสมและทันท่วงทีของผู้มีส่วนได้ส่วนเสีย และโดยเฉพาะอย่างยิ่งผู้มีอำนาจตัดสินใจ ในทุกระดับขององค์กร ทำให้มั่นใจได้ว่าการบริหารความเสี่ยงยังคงเหมาะสมและเป็นปัจจุบัน ช่วยให้ผู้มีส่วนได้ส่วนเสียสามารถเป็นตัวแทนได้อย่างเหมาะสมและมั่นใจว่าความคิดเห็นของพวกเขาถูกนำมาพิจารณาในกระบวนการกำหนดเกณฑ์ความเสี่ยง

เจ) การบริหารความเสี่ยงเป็นแบบไดนามิก ทำซ้ำ และตอบสนองต่อการเปลี่ยนแปลง

การบริหารความเสี่ยงรับรู้และตอบสนองต่อการเปลี่ยนแปลงอย่างต่อเนื่อง ทันทีที่มีเหตุการณ์ภายนอกหรือภายในเกิดขึ้น บริบทหรือความรู้เปลี่ยนแปลง มีการติดตามและทบทวนความเสี่ยง ความเสี่ยงใหม่ปรากฏขึ้น การเปลี่ยนแปลงบางอย่าง บางอย่างหายไป

ฏ) การบริหารความเสี่ยงมีส่วนช่วยในการพัฒนาองค์กรอย่างต่อเนื่อง

องค์กรต้องพัฒนาและใช้กลยุทธ์เพื่อปรับปรุงความเป็นเลิศในการบริหารความเสี่ยงร่วมกับด้านอื่น ๆ ของการบริหารความเสี่ยง

รูปที่ 2 - ความสัมพันธ์ระหว่างองค์ประกอบของโครงสร้างพื้นฐานการบริหารความเสี่ยง

กรอบการทำงานนี้ไม่ได้มีวัตถุประสงค์เพื่อกำหนดระบบการจัดการ แต่เพื่อช่วยให้องค์กรบูรณาการการบริหารความเสี่ยงเข้ากับระบบ ระบบทั่วไปการจัดการ. ดังนั้นองค์กรจะต้องปรับแต่งองค์ประกอบโครงสร้างพื้นฐานให้ตรงกับความต้องการเฉพาะของตน

หากแนวทางปฏิบัติและกระบวนการจัดการที่มีอยู่ในองค์กรรวมองค์ประกอบของการบริหารความเสี่ยง หรือหากองค์กรได้นำกระบวนการบริหารความเสี่ยงอย่างเป็นทางการสำหรับความเสี่ยงหรือสถานการณ์เฉพาะมาใช้แล้ว พวกเขาจำเป็นต้องได้รับการทบทวนและประเมินอย่างมีวิจารณญาณเพื่อให้เป็นไปตามมาตรฐานสากลนี้ รวมถึงเกณฑ์ที่มีอยู่ในภาคผนวกเพื่อกำหนดความเพียงพอและประสิทธิผล

4.2 อำนาจและภาระผูกพัน

การแนะนำการบริหารความเสี่ยงและการทำให้มั่นใจว่ามีประสิทธิผลอย่างต่อเนื่องต้องได้รับการยอมรับจากฝ่ายบริหารขององค์กรถึงความมุ่งมั่นที่กำหนดไว้อย่างชัดเจนและนำไปปฏิบัติอย่างสม่ำเสมอในการดำเนินการตามแผนการจัดการในทุกระดับตลอดจนรายละเอียด การวางแผนเชิงกลยุทธ์เพื่อปฏิบัติตามภาระผูกพันเหล่านี้ ฝ่ายบริหารควร:

กำหนดและรักษานโยบายการบริหารความเสี่ยง

ตรวจสอบความสอดคล้องระหว่างวัฒนธรรมองค์กรและนโยบายการบริหารความเสี่ยง

กำหนดเกณฑ์ความมีประสิทธิผลของการบริหารความเสี่ยงซึ่งจะต้องสัมพันธ์กับเกณฑ์ความมีประสิทธิผลขององค์กรโดยรวม

จัดวัตถุประสงค์การบริหารความเสี่ยงให้สอดคล้องกับเป้าหมายและกลยุทธ์ขององค์กร

ตรวจสอบการปฏิบัติตามกฎหมายและกฎระเบียบ

กำหนดความรับผิดชอบและพันธกรณีในระดับที่เหมาะสมทั่วทั้งองค์กร

รับรองการจัดสรรทรัพยากรที่จำเป็นสำหรับการบริหารความเสี่ยง

ให้ข้อมูลแก่ผู้มีส่วนได้ส่วนเสียเกี่ยวกับประโยชน์ของการบริหารความเสี่ยงและ

ตรวจสอบให้แน่ใจว่าโครงสร้างพื้นฐานการบริหารความเสี่ยงยังคงมีความเหมาะสมต่อไป

4.3 การพัฒนาโครงสร้างพื้นฐานการบริหารความเสี่ยง

ก่อนที่จะเริ่มพัฒนาและดำเนินการโครงสร้างพื้นฐานการบริหารความเสี่ยง สิ่งสำคัญคือต้องประเมินและทำความเข้าใจสถานการณ์ทั้งภายนอกและภายใน (บริบท) ในองค์กร เนื่องจาก มันสามารถมีอิทธิพลอย่างมากต่อการพัฒนาโครงสร้างพื้นฐาน

การประเมินสถานการณ์ภายนอก (บริบท) ขององค์กรอาจรวมถึงแต่ไม่จำกัดเฉพาะ:

c) ความสัมพันธ์กับผู้มีส่วนได้เสียภายนอก ค่านิยม และการรับรู้ของพวกเขา

การประเมินสถานการณ์ภายใน (บริบท) ขององค์กรอาจรวมถึงแต่ไม่จำกัดเฉพาะ:

ความสัมพันธ์กับผู้มีส่วนได้เสียภายใน ค่านิยม และการรับรู้

วัฒนธรรมองค์กร

มาตรฐาน แนวปฏิบัติ และแบบจำลองที่องค์กรนำมาใช้และ

นโยบายการบริหารความเสี่ยงควรกำหนดวัตถุประสงค์และพันธกรณีขององค์กรที่เกี่ยวข้องกับการบริหารความเสี่ยงอย่างชัดเจนและตามกฎแล้วให้ยึดถือ:

เหตุผลถึงความจำเป็นขององค์กรในการบริหารความเสี่ยง

ความเชื่อมโยงระหว่างเป้าหมายและนโยบายขององค์กรกับนโยบายการบริหารความเสี่ยง

ความรับผิดชอบและความรับผิดชอบที่เกี่ยวข้องกับการบริหารความเสี่ยง

วิธีการแก้ไขความขัดแย้งทางผลประโยชน์

ความมุ่งมั่นในการจัดให้มีการเข้าถึงทรัพยากรที่จำเป็นเพื่อช่วยเหลือผู้รับผิดชอบและรับผิดชอบในการบริหารความเสี่ยง

ลักษณะที่จะวัดและรายงานประสิทธิผลของกิจกรรมการบริหารความเสี่ยง

มุ่งมั่นที่จะทบทวนและปรับปรุงนโยบายการบริหารความเสี่ยงและโครงสร้างพื้นฐานเป็นระยะๆ และตามเหตุการณ์ที่เกิดขึ้นหรือสถานการณ์เปลี่ยนแปลง

นโยบายการบริหารความเสี่ยงจะต้องสื่อสารไปยังผู้มีส่วนได้เสียอย่างเหมาะสม

4.3.3 ความรับผิดชอบ

องค์กรต้องแน่ใจว่าตนมีความรับผิดชอบ อำนาจ และความสามารถที่เหมาะสมในการบริหารความเสี่ยง รวมถึงการนำไปปฏิบัติและรักษากระบวนการบริหารความเสี่ยง และรับรองความเพียงพอ มีประสิทธิผล และประสิทธิผลของการควบคุมใดๆ สิ่งนี้ควรได้รับการอำนวยความสะดวกโดย:

การจัดตั้งเจ้าของความเสี่ยงที่รับผิดชอบและมีอำนาจในการจัดการความเสี่ยง

การระบุผู้รับผิดชอบในการพัฒนา การดำเนินการ และการบำรุงรักษาโครงสร้างพื้นฐานการบริหารความเสี่ยง

กำหนดความรับผิดชอบประเภทอื่นของพนักงานทุกระดับในองค์กรสำหรับกระบวนการบริหารความเสี่ยง

การจัดตั้งกระบวนการวัดผลการปฏิบัติงานและกระบวนการรายงานภายนอกและ/หรือภายใน และการสื่อสารกับฝ่ายบริหาร

รับรองการยอมรับในระดับที่เหมาะสม

4.3.4 การบูรณาการเข้าสู่กระบวนการขององค์กร

การบริหารความเสี่ยงจะต้องบูรณาการเข้ากับแนวทางปฏิบัติและกระบวนการทั้งหมดขององค์กรในลักษณะที่สามารถดำเนินการได้อย่างเพียงพอ มีประสิทธิภาพและประสิทธิผล กระบวนการบริหารความเสี่ยงควรเป็นส่วนหนึ่งของกระบวนการขององค์กรเหล่านี้และไม่ควรแยกออกจากกระบวนการเหล่านี้ โดยเฉพาะอย่างยิ่ง การบริหารความเสี่ยงควรรวมอยู่ในการพัฒนานโยบาย กระบวนการวางแผนเชิงกลยุทธ์และธุรกิจ รวมถึงการปรับเปลี่ยนแผน และกระบวนการจัดการการเปลี่ยนแปลง

แผนการจัดการความเสี่ยงควรได้รับการพัฒนาทั่วทั้งองค์กรเพื่อให้แน่ใจว่ามีการใช้นโยบายการบริหารความเสี่ยงและการบริหารความเสี่ยงถูกบูรณาการเข้ากับแนวทางปฏิบัติและกระบวนการทั้งหมดขององค์กร แผนบริหารความเสี่ยงสามารถบูรณาการเข้ากับแผนอื่นๆ ขององค์กรได้ เช่น แผนกลยุทธ์

4.3.5 ทรัพยากร

องค์กรต้องจัดหาทรัพยากรให้เพียงพอเพื่อวัตถุประสงค์ในการบริหารความเสี่ยง

สิ่งที่ต้องพิจารณา:

ผู้คน ทักษะ ประสบการณ์ และความสามารถ

ทรัพยากรที่จำเป็นสำหรับแต่ละขั้นตอนของกระบวนการบริหารความเสี่ยง

กระบวนการ วิธีการ และเครื่องมือขององค์กรที่ต้องใช้ในการบริหารความเสี่ยง

กระบวนการและขั้นตอนปฏิบัติที่จัดทำเป็นเอกสาร

ระบบการจัดการข้อมูลและความรู้

โปรแกรมการฝึกอบรม

4.3.6 สร้างกลไกการแบ่งปันและการรายงานข้อมูลภายใน

องค์กรต้องจัดให้มีกลไกการสื่อสารภายในเพื่อสนับสนุนและอำนวยความสะดวกในการจัดสรรความรับผิดชอบและอำนาจการบริหารความเสี่ยง กลไกเหล่านี้ควรให้แน่ใจว่า:

ข้อมูลเกี่ยวกับองค์ประกอบสำคัญของโครงสร้างพื้นฐานการบริหารความเสี่ยงและการปรับเปลี่ยนใดๆ ที่ตามมาจะมีให้ตามความเหมาะสม

มีการรายงานภายในที่เพียงพอเกี่ยวกับโครงสร้างพื้นฐาน ความมีประสิทธิภาพและผลลัพธ์

ข้อมูลที่เกี่ยวข้องที่ได้รับจากการประยุกต์ใช้การบริหารความเสี่ยงนั้นจัดให้มีในระดับที่เหมาะสมและทันเวลา

ใช้กระบวนการปรึกษาหารือกับผู้มีส่วนได้ส่วนเสียภายใน

กลไกเหล่านี้ควรรวมกระบวนการรวบรวมข้อมูลความเสี่ยงจากแหล่งต่างๆ ไว้ตามความเหมาะสม และอาจต้องมีการตรวจสอบแหล่งข้อมูลด้วย

4.3.7 สร้างกลไกการแบ่งปันและการรายงานข้อมูลภายนอก

องค์กรต้องพัฒนาและดำเนินการตามแผนในการสื่อสารกับผู้มีส่วนได้เสียภายนอก ควรรวมถึง:

การมีส่วนร่วมของผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องและรับรองการสื่อสารที่มีประสิทธิภาพ

การรายงานภายนอกเพื่อให้สอดคล้องกับข้อกำหนดทางกฎหมาย กฎระเบียบ และการกำกับดูแล

ความปลอดภัย ข้อเสนอแนะและการรายงานการแลกเปลี่ยนข้อมูลและการปรึกษาหารือ

การใช้การแลกเปลี่ยนข้อมูลเพื่อให้เกิดความไว้วางใจในองค์กร

การแบ่งปันข้อมูลกับผู้มีส่วนได้ส่วนเสียในกรณีเกิดวิกฤติหรือสถานการณ์ที่ไม่คาดฝัน

กลไกเหล่านี้ควรรวมกระบวนการรวบรวมข้อมูลความเสี่ยงจากแหล่งต่างๆ ไว้ตามความเหมาะสม และอาจต้องมีการตรวจสอบแหล่งที่มาของข้อมูลดังกล่าวตามความเหมาะสม

4.4 การดำเนินการบริหารความเสี่ยง

4.4.1 การดำเนินการโครงสร้างพื้นฐานการบริหารความเสี่ยง

เมื่อใช้โครงสร้างพื้นฐานการบริหารความเสี่ยงขององค์กร องค์กรควร:

กำหนดเวลาและกลยุทธ์ที่เหมาะสมสำหรับการประยุกต์ใช้โครงสร้างพื้นฐาน

นำนโยบายและกระบวนการบริหารความเสี่ยงไปใช้ กระบวนการขององค์กร;

ปฏิบัติตามข้อกำหนดทางกฎหมายและข้อกำหนดอื่น ๆ

ตรวจสอบให้แน่ใจว่าการตัดสินใจ รวมถึงการพัฒนาและการกำหนดวัตถุประสงค์ สอดคล้องกับผลลัพธ์ของกระบวนการบริหารความเสี่ยง

ดำเนินการข้อมูลและการฝึกอบรม

แลกเปลี่ยนข้อมูลและปรึกษากับผู้มีส่วนได้ส่วนเสียเพื่อให้แน่ใจว่าโครงสร้างพื้นฐานการบริหารความเสี่ยงยังคงเพียงพอ

4.4.2 การดำเนินการตามกระบวนการบริหารความเสี่ยง

เมื่อดำเนินการบริหารความเสี่ยง จำเป็นต้องตรวจสอบให้แน่ใจว่ากระบวนการบริหารความเสี่ยงที่ระบุไว้ในส่วนที่ 1 เป็นไปตามแผนการบริหารความเสี่ยงในทุกระดับการทำงานที่เหมาะสมขององค์กร โดยเป็นส่วนหนึ่งของกิจกรรมและกระบวนการต่างๆ

4.5 ติดตามและทบทวนโครงสร้างพื้นฐานการบริหารความเสี่ยง

เพื่อให้มั่นใจว่าการบริหารความเสี่ยงมีประสิทธิผลและสนับสนุนการดำเนินงานขององค์กรอย่างต่อเนื่อง องค์กรควร:

ประเมินคุณภาพการบริหารความเสี่ยงโดยใช้ตัวชี้วัดที่ได้รับการทบทวนเป็นระยะเพื่อรักษาความเกี่ยวข้อง

เปรียบเทียบความคืบหน้ากับแผนการจัดการความเสี่ยงเป็นระยะและระบุความเบี่ยงเบนจากแผนนั้น

ทบทวนโครงสร้างพื้นฐาน นโยบาย และแผนการจัดการความเสี่ยงเป็นระยะๆ เพื่อให้มั่นใจว่ามีความเพียงพอภายในบริบทภายในและภายนอกขององค์กร

ให้ข้อมูลเกี่ยวกับความเสี่ยง การดำเนินการตามแผนบริหารความเสี่ยง และองค์กรปฏิบัติตามนโยบายการบริหารความเสี่ยงได้ดีเพียงใด

ประเมินประสิทธิผลของโครงสร้างพื้นฐานการบริหารความเสี่ยง

4.6 การปรับปรุงโครงสร้างพื้นฐานอย่างต่อเนื่อง

จากผลการติดตามและทบทวน ควรมีการตัดสินใจเกี่ยวกับการปรับปรุงโครงสร้างพื้นฐานการบริหารความเสี่ยง นโยบายและแผนการจัดการความเสี่ยง การตัดสินใจเหล่านี้ควรนำไปสู่การปรับปรุงการบริหารความเสี่ยงและการพัฒนาวัฒนธรรมในองค์กร

5 กระบวนการ

5.1 ข้อกำหนดทั่วไป

กระบวนการบริหารความเสี่ยงควรเป็น:

เป็นส่วนสำคัญของการจัดการ

ส่วนหนึ่งของวัฒนธรรมและแนวปฏิบัติขององค์กร

ปฏิบัติตามกระบวนการทางธุรกิจขององค์กร

รวมถึงกิจกรรมที่อธิบายไว้ใน - กระบวนการบริหารความเสี่ยงดังแสดงในรูป

รูปที่ 3 - กระบวนการบริหารความเสี่ยง

5.2 การแลกเปลี่ยนข้อมูลและการให้คำปรึกษา

การแลกเปลี่ยนข้อมูลและการปรึกษาหารือกับผู้มีส่วนได้ส่วนเสียทั้งภายนอกและภายในจะดำเนินการในทุกขั้นตอนของกระบวนการบริหารความเสี่ยง

ดังนั้นแผนการแบ่งปันข้อมูลและการปรึกษาหารือจึงควรได้รับการพัฒนาตั้งแต่ระยะเริ่มต้น พวกเขาควรพิจารณาประเด็นที่เกี่ยวข้องกับความเสี่ยง สาเหตุ ผลที่ตามมา (หากทราบ) และมาตรการที่ใช้เพื่อแก้ไข การสื่อสารและการปรึกษาหารือทั้งภายนอกและภายในที่มีประสิทธิผลควรเกิดขึ้นเพื่อให้แน่ใจว่าผู้ที่รับผิดชอบในกระบวนการบริหารความเสี่ยงและผู้มีส่วนได้เสียเข้าใจพื้นฐานในการตัดสินใจและเข้าใจเหตุผลว่าทำไมจึงต้องมีการดำเนินการเฉพาะ

แนวทางกลุ่มที่ปรึกษาสามารถ:

ช่วยกำหนดสถานการณ์อย่างเหมาะสม (บริบท)

ตรวจสอบให้แน่ใจว่าผลประโยชน์ของผู้มีส่วนได้ส่วนเสียได้รับการยอมรับและพิจารณา

ส่งเสริมการระบุความเสี่ยงที่เหมาะสม

รวบรวมความเชี่ยวชาญด้านต่างๆ เพื่อวิเคราะห์ความเสี่ยง

รับรองการพิจารณาอย่างถูกต้อง จุดต่างๆวิสัยทัศน์ในการกำหนดเกณฑ์ความเสี่ยงและประเมินความเสี่ยง

จัดให้มีการอนุมัติและสนับสนุนแผนบริหารความเสี่ยง

ปรับปรุงการจัดการการเปลี่ยนแปลงที่เหมาะสมในระหว่างกระบวนการบริหารความเสี่ยง

พัฒนาแผนการสื่อสารและการให้คำปรึกษาทั้งภายนอกและภายในที่เหมาะสม

การสื่อสารและการปรึกษาหารือกับผู้มีส่วนได้ส่วนเสียเป็นสิ่งสำคัญเนื่องจากช่วยให้ได้ข้อสรุปเกี่ยวกับความเสี่ยงตามการรับรู้ความเสี่ยงของพวกเขา การรับรู้เหล่านี้อาจแตกต่างกันเนื่องจากความแตกต่างในค่านิยม ความต้องการ สมมติฐาน แนวคิด และข้อกังวลของผู้มีส่วนได้ส่วนเสีย เนื่องจากความคิดเห็นของพวกเขาสามารถมีผลกระทบอย่างมีนัยสำคัญต่อการตัดสินใจ การรับรู้ของผู้มีส่วนได้ส่วนเสียจึงจำเป็นต้องได้รับการระบุ บันทึก บันทึก และนำมาพิจารณาในกระบวนการตัดสินใจ

การสื่อสารและการให้คำปรึกษาควรอำนวยความสะดวกในการแลกเปลี่ยนข้อมูลที่เป็นจริง เกี่ยวข้อง ถูกต้องและเข้าใจได้ โดยคำนึงถึงการรักษาความลับและความเป็นส่วนตัว

5.3 คำจำกัดความของสถานการณ์

5.3.1 บทบัญญัติทั่วไป

ด้วยการสร้างสถานการณ์ (บริบท) องค์กรจะกำหนดวัตถุประสงค์ กำหนดพารามิเตอร์ภายนอกและภายในที่ควรคำนึงถึงเมื่อจัดการความเสี่ยง และกำหนดขอบเขตและเกณฑ์ความเสี่ยงสำหรับกระบวนการที่เหลือ เนื่องจากพารามิเตอร์เหล่านี้จำนวนมากคล้ายคลึงกับที่พิจารณาเมื่อพัฒนากรอบการบริหารความเสี่ยง (ดู ) ในกรณีนี้ เมื่อสร้างสถานการณ์ (บริบท) สำหรับกระบวนการบริหารความเสี่ยง ควรพิจารณารายละเอียดเพิ่มเติมและโดยเฉพาะอย่างยิ่งอย่างไร เกี่ยวข้องกับกระบวนการบริหารความเสี่ยงเฉพาะขอบเขต

5.3.2 การสร้างสถานการณ์ภายนอก

สถานการณ์ภายนอก (บริบท) คือ สภาพแวดล้อมภายนอกซึ่งองค์กรมุ่งมั่นที่จะบรรลุเป้าหมาย

การทำความเข้าใจสถานการณ์ภายนอก (บริบท) เป็นสิ่งสำคัญเพื่อให้แน่ใจว่าเป้าหมายและข้อกังวลของผู้มีส่วนได้ส่วนเสียภายนอกได้รับการพิจารณาเมื่อพัฒนาเกณฑ์ความเสี่ยง ขึ้นอยู่กับสถานการณ์ (บริบท) ทั่วทั้งองค์กร แต่มีรายละเอียดเฉพาะของข้อกำหนดทางกฎหมายและข้อบังคับ การรับรู้ของผู้มีส่วนได้ส่วนเสีย และด้านความเสี่ยงอื่น ๆ ที่เฉพาะเจาะจงในขอบเขตของกระบวนการบริหารความเสี่ยงโดยเฉพาะ

สถานการณ์ภายนอก (บริบท) ขององค์กรอาจรวมถึงแต่ไม่จำกัดเฉพาะ:

ก) สภาพแวดล้อมทางสังคมและวัฒนธรรม การเมือง กฎหมาย กฎระเบียบ การเงิน เทคโนโลยี เศรษฐกิจ ธรรมชาติและตลาดในระดับนานาชาติ ระดับชาติ ภูมิภาคหรือท้องถิ่น

b) แรงผลักดันหลักและแนวโน้มที่ส่งผลต่อวัตถุประสงค์ขององค์กร

c) ความสัมพันธ์กับผู้มีส่วนได้เสียภายนอก ค่านิยม และการรับรู้ของพวกเขา

5.3.3 การสร้างสถานการณ์ภายใน

สถานการณ์ภายใน (บริบท) คือสภาพแวดล้อมภายในที่องค์กรมุ่งมั่นที่จะบรรลุเป้าหมาย

กระบวนการบริหารความเสี่ยงจะต้องสอดคล้องกับวัฒนธรรม กระบวนการ โครงสร้าง และกลยุทธ์ขององค์กร สถานการณ์ภายใน (บริบท) คือสิ่งใดก็ตามภายในองค์กรที่สามารถมีอิทธิพลต่อวิธีที่องค์กรจะบริหารความเสี่ยง ต้องกำหนดสถานการณ์ภายใน (บริบท) เนื่องจาก:

ก) การบริหารความเสี่ยงเกิดขึ้นในบริบทของวัตถุประสงค์ขององค์กร

b) วัตถุประสงค์และเกณฑ์ของโครงการ กระบวนการ หรือกิจกรรมใดโดยเฉพาะควรได้รับการพิจารณาโดยคำนึงถึงวัตถุประสงค์ขององค์กรโดยรวม

c) บางองค์กรพบว่าเป็นการยากที่จะตระหนักถึงโอกาสในการบรรลุเป้าหมายเชิงกลยุทธ์ โครงการ หรือทางธุรกิจ และสิ่งนี้ส่งผลต่อความมุ่งมั่น ความสามารถ ความไว้วางใจ และคุณค่าของ 1) องค์กรในปัจจุบัน

1) ในบริบทของการบริหารความเสี่ยงองค์กรและการเงิน แนวคิดเรื่อง "ต้นทุน" เหมาะสมที่สุดสำหรับคำนี้

จำเป็นต้องเข้าใจสถานการณ์ภายใน (บริบท) อาจรวมถึงแต่ไม่จำกัดเฉพาะส่วนประกอบต่อไปนี้:

ควบคุม, โครงสร้างองค์กรบทบาทและความรับผิดชอบ

นโยบาย เป้าหมาย และกลยุทธ์ที่จำเป็นเพื่อให้บรรลุเป้าหมายเหล่านี้

ความสามารถ เข้าใจว่าเป็นทรัพยากรและความรู้ (เช่น ทุน เวลา ผู้คน กระบวนการ ระบบ และเทคโนโลยี)

ระบบสารสนเทศ การไหลของข้อมูลและกระบวนการตัดสินใจ (ทั้งที่เป็นทางการและไม่เป็นทางการ)

ความสัมพันธ์กับผู้มีส่วนได้เสียภายใน ค่านิยม และการรับรู้

วัฒนธรรมองค์กร

มาตรฐาน แนวปฏิบัติ และแบบจำลองที่องค์กรนำมาใช้

5.3.4 จัดทำสถานการณ์กระบวนการบริหารความเสี่ยง

มีความจำเป็นต้องกำหนดเป้าหมาย กลยุทธ์ ขอบเขต และพารามิเตอร์ขององค์กรหรือส่วนต่างๆ ขององค์กรที่ใช้กระบวนการบริหารความเสี่ยง การบริหารความเสี่ยงควรดำเนินการโดยคำนึงถึงความจำเป็นในการปรับทรัพยากรที่ใช้ในการดำเนินการอย่างเต็มที่ ควรระบุทรัพยากร ความรับผิดชอบและอำนาจหน้าที่ที่จำเป็น และขั้นตอนการบัญชีด้วย

สถานการณ์ (บริบท) ของกระบวนการบริหารความเสี่ยงเปลี่ยนแปลงไปตามความต้องการขององค์กร ซึ่งอาจรวมถึงแต่ไม่จำกัดเฉพาะ:

การกำหนดภารกิจและเป้าหมายของกิจกรรมบริหารความเสี่ยง

การกำหนดความรับผิดชอบสำหรับกระบวนการบริหารความเสี่ยงและภายในกระบวนการนี้

การกำหนดขอบเขตและความลึกและความกว้างของกิจกรรมการบริหารความเสี่ยงที่จะดำเนินการ รวมถึงการรวมและข้อยกเว้นพิเศษ

การกำหนดกิจกรรม กระบวนการ ฟังก์ชัน โครงการ ผลิตภัณฑ์ บริการ หรือสินทรัพย์ตามเวลาและสถานที่

การกำหนดความสัมพันธ์ระหว่างโครงการ กระบวนการ หรือกิจกรรมเฉพาะกับโครงการ กระบวนการ หรือกิจกรรมอื่น ๆ ขององค์กร

คำจำกัดความของวิธีการประเมินความเสี่ยง

กำหนดวิธีการประเมินผลการดำเนินงานและประสิทธิผลของการบริหารความเสี่ยง

การระบุและระบุการตัดสินใจที่ต้องทำ

การระบุ ขอบเขตหรือขอบเขตของการฝึกอบรมที่ต้องการ ระดับและวัตถุประสงค์ ทรัพยากรที่จำเป็นสำหรับการฝึกอบรมดังกล่าว

การพิจารณาปัจจัยเหล่านี้และปัจจัยอื่นๆ ที่เกี่ยวข้องควรทำให้มั่นใจว่าแนวทางการบริหารความเสี่ยงที่นำมาใช้นั้นเหมาะสมกับสถานการณ์ องค์กร และความเสี่ยงที่ส่งผลต่อการบรรลุวัตถุประสงค์

5.3.5 การกำหนดเกณฑ์ความเสี่ยง

องค์กรต้องกำหนดเกณฑ์ที่จะใช้ในการประเมินความสำคัญของความเสี่ยง เกณฑ์ควรสะท้อนถึงคุณค่า เป้าหมาย และทรัพยากรขององค์กร เกณฑ์บางอย่างอาจขึ้นอยู่กับหรือเกิดขึ้นจากข้อกำหนดทางกฎหมายและข้อบังคับและข้อกำหนดอื่น ๆ ที่องค์กรได้ดำเนินการ เกณฑ์ความเสี่ยงควรสอดคล้องกับนโยบายการบริหารความเสี่ยงขององค์กร (ดู ) ควรกำหนดไว้ตั้งแต่เริ่มต้นกระบวนการบริหารความเสี่ยงแต่ละกระบวนการ และควรได้รับการทบทวนอย่างต่อเนื่อง

ในการกำหนดเกณฑ์ความเสี่ยง ปัจจัยที่ต้องพิจารณาควรมีดังต่อไปนี้

ลักษณะและประเภทของสาเหตุและผลกระทบที่อาจเกิดขึ้นและวิธีที่ควรวัด

ควรกำหนดโอกาสอย่างไร?

กรอบเวลาของโอกาสและ/หรือผลที่ตามมา

ควรกำหนดระดับความเสี่ยงอย่างไร

มุมมองของผู้มีส่วนได้ส่วนเสีย

ระดับที่ความเสี่ยงสามารถยอมรับหรือยอมรับได้

ควรคำนึงถึงความเสี่ยงหลายประการหรือไม่และอย่างไร และควรพิจารณาการผสมผสานแบบใด

5.4 การประเมินความเสี่ยง

5.4.1 ทั่วไป

การประเมินความเสี่ยงเป็นกระบวนการที่สมบูรณ์ของการระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการประเมินความเสี่ยง

หมายเหตุ ISO/IEC 31010 ให้คำแนะนำเกี่ยวกับวิธีการประเมินความเสี่ยง

5.4.2 การระบุความเสี่ยง

องค์กรต้องระบุแหล่งที่มาของความเสี่ยง พื้นที่ของผลกระทบ เหตุการณ์ (รวมถึงการเปลี่ยนแปลงในสถานการณ์) และสาเหตุ และเหตุการณ์เหล่านั้น ผลที่ตามมาที่อาจเกิดขึ้น- วัตถุประสงค์ของขั้นตอนนี้คือเพื่อจัดทำรายการความเสี่ยงที่ครอบคลุมโดยพิจารณาจากเหตุการณ์ที่สามารถสร้าง เพิ่ม ป้องกัน ลด เร่ง หรือชะลอการบรรลุเป้าหมาย การระบุความเสี่ยงที่เกี่ยวข้องกับการตัดสินใจไม่แสวงหาโอกาสเป็นสิ่งสำคัญ การระบุอย่างครอบคลุมเป็นสิ่งสำคัญเนื่องจากความเสี่ยงที่ไม่ได้ระบุในขั้นตอนนี้จะไม่ถูกรวมไว้ในการวิเคราะห์ในอนาคต

การระบุควรรวมถึงความเสี่ยง ไม่ว่าองค์กรจะควบคุมแหล่งที่มาหรือไม่ก็ตาม แม้ว่าแหล่งที่มาหรือสาเหตุอาจไม่ชัดเจนก็ตาม การระบุความเสี่ยงควรรวมถึงการพิจารณาผลกระทบของโดมิโน รวมถึงผลกระทบแบบเรียงซ้อนและผลกระทบสะสม จำเป็นต้องพิจารณาผลที่ตามมาหลายประการ แม้ว่าแหล่งที่มาของความเสี่ยงอาจไม่ชัดเจนก็ตาม นอกจากการระบุสิ่งที่อาจเกิดขึ้นแล้วยังจำเป็นต้องพิจารณาด้วย เหตุผลที่เป็นไปได้และสถานการณ์ที่แสดงให้เห็นว่าผลที่ตามมาที่อาจเกิดขึ้น ต้องคำนึงถึงสาเหตุและผลกระทบที่สำคัญทั้งหมด

องค์กรต้องใช้เครื่องมือและเทคนิคที่เหมาะสมกับวัตถุประสงค์และความสามารถตลอดจนความเสี่ยงที่เผชิญ อยู่ในขั้นตอนการระบุความเสี่ยง คุ้มค่ามากมีข้อมูลที่เกี่ยวข้องและอัปเดต ซึ่งควรรวมข้อมูลความเป็นมาที่เกี่ยวข้องทุกครั้งที่เป็นไปได้ เพื่อระบุความเสี่ยงจำเป็นต้องให้บุคคลที่มีความรู้ที่เหมาะสมเข้ามามีส่วนร่วม

5.4.3 การวิเคราะห์ความเสี่ยง

การวิเคราะห์ความเสี่ยงเกี่ยวข้องกับการตระหนักถึงความเสี่ยงเพิ่มเติม การวิเคราะห์ความเสี่ยงให้ข้อมูลสำหรับการประเมินความเสี่ยงและการตัดสินใจเกี่ยวกับความจำเป็นในการจัดการกับความเสี่ยงเหล่านั้นเพิ่มเติม ตลอดจนกลยุทธ์และวิธีการการแทรกแซงที่เหมาะสมที่สุด การวิเคราะห์ความเสี่ยงยังสามารถให้ข้อมูลในการตัดสินใจเมื่อจำเป็นต้องมีตัวเลือกและความพร้อม ตัวเลือกอื่นรวมถึงประเภทและระดับความเสี่ยงต่างๆ

การวิเคราะห์ความเสี่ยงเกี่ยวข้องกับการพิจารณาถึงสาเหตุและแหล่งที่มาของความเสี่ยง ผลที่ตามมาทั้งเชิงบวกและเชิงลบ และความเป็นไปได้ที่จะเกิดผลที่ตามมาเหล่านี้ ต้องระบุปัจจัยที่มีอิทธิพลต่อผลที่ตามมาและความเป็นไปได้ การวิเคราะห์ความเสี่ยงโดยการพิจารณาผลที่ตามมาและความเป็นไปได้ ตลอดจนลักษณะความเสี่ยงอื่นๆ เหตุการณ์สามารถมีผลกระทบหลายอย่างและอาจส่งผลกระทบต่อเป้าหมายที่แตกต่างกัน การควบคุมที่มีอยู่และประสิทธิผลและประสิทธิผลจะต้องนำมาพิจารณาด้วย

วิธีการแสดงผลลัพธ์และโอกาส และวิธีการรวมเข้าด้วยกันเพื่อกำหนดระดับความเสี่ยง ควรสะท้อนถึงประเภทของความเสี่ยง ข้อมูลที่มีอยู่ และวัตถุประสงค์ที่จะใช้ผลลัพธ์ของการประเมินความเสี่ยง ทั้งหมดนี้จะต้องสอดคล้องกับเกณฑ์ความเสี่ยง สิ่งสำคัญคือต้องพิจารณาการพึ่งพาซึ่งกันและกันของความเสี่ยงต่างๆ และแหล่งที่มา

เมื่อวิเคราะห์จำเป็นต้องคำนึงถึงความน่าเชื่อถือในการกำหนดระดับความเสี่ยงและความอ่อนไหวต่อ เงื่อนไขเบื้องต้นและสมมติฐานและสื่อสารอย่างมีประสิทธิผลกับผู้มีอำนาจตัดสินใจและผู้มีส่วนได้เสียอื่นๆ ตามความเหมาะสม ปัจจัยต่างๆ เช่น การมีอยู่ของความคิดเห็นของผู้เชี่ยวชาญ ความไม่แน่นอน ความพร้อมใช้งาน คุณภาพ ปริมาณ การปฏิบัติตามข้อกำหนด ข้อมูลปัจจุบันหรือข้อจำกัดในการสร้างแบบจำลองต้องได้รับการสังเกตและแก้ไขหากเป็นไปได้ ความสนใจเป็นพิเศษ.

การวิเคราะห์ความเสี่ยงสามารถดำเนินการได้ในระดับรายละเอียดที่แตกต่างกัน ขึ้นอยู่กับความเสี่ยง วัตถุประสงค์ของการวิเคราะห์ และข้อมูล ข้อมูล และทรัพยากรที่มีอยู่ การวิเคราะห์อาจเป็นเชิงคุณภาพ กึ่งปริมาณ หรือเชิงปริมาณ หรือทั้งสองอย่างรวมกัน ขึ้นอยู่กับสถานการณ์

ผลที่ตามมาและความน่าจะเป็น (ความเป็นไปได้) สามารถกำหนดได้โดยการสร้างแบบจำลองผลลัพธ์ของเหตุการณ์หรือชุดของเหตุการณ์ หรือโดยการอนุมานจากการศึกษาเชิงทดลองหรือข้อมูลที่มีอยู่ ผลที่ตามมาสามารถแสดงออกมาในรูปของผลกระทบที่จับต้องได้หรือจับต้องไม่ได้ ในบางกรณี จำเป็นต้องมีค่าตัวเลขหรือพารามิเตอร์อธิบายมากกว่าหนึ่งค่าเพื่อระบุผลที่ตามมาและขอบเขตที่จะเกิดขึ้นในเวลา สถานที่ กลุ่ม หรือสถานการณ์ที่แตกต่างกัน

5.4.4 การประเมินความเสี่ยง

วัตถุประสงค์ของการประเมินความเสี่ยงคือเพื่ออำนวยความสะดวกในการตัดสินใจ โดยพิจารณาจากผลลัพธ์เบื้องต้นของการวิเคราะห์ความเสี่ยง เกี่ยวกับความจำเป็นในการจัดการกับความเสี่ยงและการจัดลำดับความสำคัญของการแทรกแซงความเสี่ยง

การประเมินความเสี่ยงเกี่ยวข้องกับการเปรียบเทียบระดับความเสี่ยงที่ระบุในระหว่างกระบวนการวิเคราะห์กับเกณฑ์ความเสี่ยงที่กำหนดไว้ระหว่างการพิจารณาสถานการณ์ (บริบท) การพิจารณาความจำเป็นในการจัดการกับความเสี่ยงควรอิงจากการเปรียบเทียบนี้

การตัดสินใจต้องใช้มุมมองที่กว้างขึ้นของบริบทความเสี่ยง และคำนึงถึงการยอมรับความเสี่ยงไม่เพียงแต่องค์กรที่ได้รับประโยชน์จากความเสี่ยงเท่านั้น แต่ยังรวมถึงฝ่ายอื่นๆ ด้วย การตัดสินใจจะต้องเป็นไปตามข้อกำหนดทางกฎหมาย ข้อบังคับ และข้อกำหนดอื่นๆ

ในบางกรณี การประเมินความเสี่ยงอาจนำไปสู่การตัดสินใจดำเนินการวิเคราะห์เพิ่มเติม การประเมินความเสี่ยงอาจนำไปสู่การตัดสินใจว่าจะไม่จัดการกับความเสี่ยงในทางอื่นใดนอกเหนือจากการรักษาการควบคุมที่มีอยู่ การตัดสินใจครั้งนี้ได้รับอิทธิพลจากทัศนคติความเสี่ยงขององค์กรและเกณฑ์ความเสี่ยงที่กำหนดไว้

5.5 ผลกระทบต่อความเสี่ยง

5.5.1 ทั่วไป

การจัดการความเสี่ยงเกี่ยวข้องกับการเลือกตัวเลือกการปรับเปลี่ยนความเสี่ยงอย่างน้อยหนึ่งตัวเลือกและนำตัวเลือกเหล่านั้นไปใช้ เมื่อนำไปใช้แล้ว ผลกระทบต่อความเสี่ยงจะสร้างหรือปรับเปลี่ยนการควบคุม

การจัดการความเสี่ยงเกี่ยวข้องกับกระบวนการที่เป็นวัฏจักรซึ่งประกอบด้วยขั้นตอนต่อไปนี้:

การประเมินผลกระทบความเสี่ยง

อภิปรายว่าระดับความเสี่ยงคงเหลือเป็นที่ยอมรับหรือไม่

หากไม่เป็นที่ยอมรับ ให้สร้างผลกระทบรูปแบบใหม่ต่อความเสี่ยง

การประเมินประสิทธิผลของผลกระทบนี้

ทางเลือกการจัดการความเสี่ยงทางเลือกไม่จำเป็นต้องแยกจากกันหรือเหมาะสมในทุกสถานการณ์ ทางเลือกอื่นอาจรวมถึง:

ก) หลีกเลี่ยงความเสี่ยงโดยการตัดสินใจที่จะไม่เริ่มหรือดำเนินกิจกรรมที่ก่อให้เกิดความเสี่ยงต่อไป

b) การรับหรือเพิ่มความเสี่ยงในการใช้ประโยชน์จากโอกาส;

c) ขจัดแหล่งที่มาของความเสี่ยง ();

f) แบ่งปันความเสี่ยงกับฝ่ายอื่นหรือฝ่ายอื่น (รวมถึงสัญญาและการจัดหาเงินทุนความเสี่ยง)

g) การรักษาความเสี่ยงอย่างมีสติ

5.5.2 การเลือกตัวเลือกเพื่อจัดการกับความเสี่ยง

การเลือกตัวเลือกการจัดการความเสี่ยงที่เหมาะสมที่สุดเกี่ยวข้องกับการสร้างสมดุลระหว่างต้นทุนและความพยายามในการดำเนินการกับผลประโยชน์ที่ได้รับ โดยคำนึงถึงกฎหมาย ข้อบังคับ และข้อกำหนดอื่น ๆ เช่น ความรับผิดชอบต่อสังคมและการคุ้มครองสิ่งแวดล้อม กระบวนการตัดสินใจควรมีโครงสร้างเพื่อให้แน่ใจว่ามีการดำเนินการกับความเสี่ยงที่ไม่สมเหตุสมผลในแง่ของการจัดการ จุดเศรษฐกิจตัวอย่างเช่น การมองเห็นที่มีนัยสำคัญ (ที่มีผลกระทบเชิงลบที่มีนัยสำคัญ) แต่ความเสี่ยงที่เกิดขึ้นน้อย (มีโอกาสน้อยหรือมีโอกาสเกิดขึ้น)

ตัวเลือกการจัดการความเสี่ยงจำนวนหนึ่งสามารถพิจารณาและนำไปใช้ได้ทั้งแบบเดี่ยวหรือแบบรวมกัน โดยปกติองค์กรจะได้รับประโยชน์จากการนำตัวเลือกความเสี่ยงมาผสมผสานกัน

เมื่อเลือกตัวเลือกเพื่อจัดการกับความเสี่ยง องค์กรควรพิจารณาความหมายและการรับรู้ของผู้มีส่วนได้เสีย และวิธีการสื่อสารกับพวกเขาอย่างเหมาะสมที่สุด หากทางเลือกความเสี่ยงทางเลือกอาจส่งผลกระทบต่อความเสี่ยงในส่วนอื่นในองค์กรหรือกับผู้มีส่วนได้เสีย ควรคำนึงถึงเรื่องนี้เมื่อทำการตัดสินใจ แม้ว่าจะมีประสิทธิผลเท่าเทียมกัน แต่ตัวเลือกความเสี่ยงบางอย่างอาจเป็นที่ยอมรับของผู้มีส่วนได้ส่วนเสียบางรายมากกว่าตัวเลือกอื่น ๆ

แผนบริหารความเสี่ยงควรระบุลำดับความสำคัญของการรักษาความเสี่ยงรายบุคคลอย่างชัดเจน

การเปิดรับความเสี่ยงอาจทำให้เกิดความเสี่ยงได้ ความเสี่ยงที่สำคัญอาจเกิดจากการไม่มีหรือไม่มีประสิทธิผลของมาตรการในการจัดการกับความเสี่ยง การติดตามผลควรเป็นส่วนสำคัญของแผนบริหารความเสี่ยงเพื่อให้แน่ใจว่ามาตรการต่างๆ ยังคงมีประสิทธิภาพ

ความเสี่ยงยังอาจก่อให้เกิดความเสี่ยงรองที่จำเป็นต้องได้รับการประเมิน แก้ไข ติดตาม และวิเคราะห์ ความเสี่ยงรองดังกล่าวควรรวมอยู่ในแผนความเสี่ยงเดียวกันกับความเสี่ยงเดิม และไม่ควรถือเป็นความเสี่ยงใหม่ ควรระบุและพิจารณาความสัมพันธ์ระหว่างความเสี่ยงทั้งสองนี้

5.5.3 การจัดทำและการดำเนินการตามแผนบริหารความเสี่ยง

วัตถุประสงค์ของแผนความเสี่ยงคือเพื่อจัดทำเอกสารว่าควรดำเนินการทางเลือกความเสี่ยงที่เลือกไว้อย่างไร ข้อมูลที่ให้ไว้ในแผนบริหารความเสี่ยงควรประกอบด้วย:

เหตุผลในการเลือกตัวเลือกการจัดการความเสี่ยง รวมถึงผลประโยชน์ที่คาดว่าจะได้รับ

ผู้รับผิดชอบในการอนุมัติแผนและผู้รับผิดชอบในการดำเนินการตามแผน

การดำเนินการที่แนะนำ

ข้อกำหนดด้านทรัพยากร รวมถึงเหตุฉุกเฉินที่อาจเกิดขึ้น

ตัวชี้วัดคุณภาพของผลกระทบต่อความเสี่ยงและข้อจำกัด

ข้อกำหนดการรายงานและการติดตาม

กำหนดเวลาและกำหนดการดำเนินการ

แผนการจัดการความเสี่ยงควรรวมอยู่ในกระบวนการจัดการขององค์กรและหารือกับผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้อง

ผู้มีอำนาจตัดสินใจและผู้มีส่วนได้เสียอื่นๆ ควรตระหนักถึงลักษณะและขอบเขตของความเสี่ยงที่เหลืออยู่ภายหลังการสัมผัส ความเสี่ยงที่เหลืออยู่ควรได้รับการจัดทำเป็นเอกสารและติดตาม ทบทวน และแก้ไขเพิ่มเติมตามความเหมาะสม

5.6 การติดตามและทบทวน

การติดตามและทบทวนควรเป็นส่วนหนึ่งของกระบวนการบริหารความเสี่ยงที่วางแผนไว้ และรวมถึงการทบทวนหรือการเฝ้าระวังอย่างสม่ำเสมอ อาจเป็นเป็นระยะหรือตามอำเภอใจ

ต้องกำหนดความรับผิดชอบในการติดตามและทบทวนไว้อย่างชัดเจน

กระบวนการติดตามและทบทวนขององค์กรควรรวมกระบวนการบริหารความเสี่ยงทุกด้านเพื่อ:

ตรวจสอบให้แน่ใจว่าการควบคุมมีประสิทธิภาพและประสิทธิผลทั้งในด้านการออกแบบและการดำเนินงาน

การได้รับข้อมูลเพิ่มเติมเพื่อปรับปรุงการประเมินความเสี่ยง

วิเคราะห์และเรียนรู้จากกรณีต่างๆ (รวมถึงความเสี่ยงที่ไม่มีผลกระทบ) การเปลี่ยนแปลง แนวโน้ม ความสำเร็จและความล้มเหลว

การระบุการเปลี่ยนแปลงในสถานการณ์ภายนอกและภายใน (บริบท) รวมถึงการเปลี่ยนแปลงเกณฑ์ความเสี่ยงและความเสี่ยงเองซึ่งอาจต้องมีการแก้ไขวิธีการที่มีอิทธิพลต่อความเสี่ยงและลำดับความสำคัญ

การระบุความเสี่ยงใหม่หรือความเสี่ยงที่เกิดขึ้น

ความคืบหน้าในการนำแผนการจัดการความเสี่ยงไปปฏิบัติช่วยให้มั่นใจว่าตัวชี้วัดประสิทธิภาพจะบรรลุผลสำเร็จ ผลลัพธ์อาจรวมอยู่ใน การจัดการทั่วไปและการประเมินผลการปฏิบัติงาน การรายงานภายในและภายนอกองค์กร

ผลลัพธ์ของการติดตามและทบทวนควรได้รับการจัดทำเป็นเอกสารและบันทึกอย่างเหมาะสมทั้งภายนอกและภายใน และใช้เป็นข้อมูลนำเข้าเพื่อตรวจสอบโครงสร้างพื้นฐานการบริหารความเสี่ยง (ดู )

5.7 บันทึกกระบวนการบริหารความเสี่ยง

กิจกรรมการจัดการความเสี่ยงจะต้องติดตามได้ ในกระบวนการบริหารความเสี่ยง การบันทึกจะเป็นพื้นฐานสำหรับการปรับปรุงวิธีการและเครื่องมือตลอดจนกระบวนการทั้งหมด

เมื่อตัดสินใจเกี่ยวกับการสร้างเรกคอร์ด ควรพิจารณาสิ่งต่อไปนี้:

ความต้องการการฝึกอบรมอย่างต่อเนื่องขององค์กร

ประโยชน์ของการนำข้อมูลกลับมาใช้ซ้ำเพื่อวัตถุประสงค์ในการจัดการ

ต้นทุนและความพยายามที่เกี่ยวข้องกับการสร้างและดูแลรักษาบันทึก

ความต้องการด้านบัญชีทางกฎหมาย ข้อบังคับ และการปฏิบัติงาน

วิธีการเข้าถึง ความง่ายในการกู้คืน และวิธีการจัดเก็บข้อมูล

ระยะเวลาการเก็บรักษา

การตรวจสอบแหล่งข้อมูล

ภาคผนวก ก
(ข้อมูล)

ก.1 บทบัญญัติทั่วไป

ทุกองค์กรควรมุ่งมั่นที่จะบรรลุระดับการทำงานที่เหมาะสมของโครงสร้างพื้นฐานการบริหารความเสี่ยงของตน ในเวลาเดียวกันกับความวิพากษ์วิจารณ์ของการตัดสินใจที่ต้องทำ รายการสัญญาณด้านล่างแสดงถึงการบริหารความเสี่ยงในระดับสูง เพื่อช่วยองค์กรในการวัดประสิทธิภาพการบริหารความเสี่ยงของตนเองตามเกณฑ์เหล่านี้ จึงมีการระบุตัวบ่งชี้หลายตัวสำหรับแต่ละคุณลักษณะ

A.2 ผลลัพธ์ที่สำคัญ

ก.2.1 องค์กรมีความเข้าใจความเสี่ยงขององค์กรที่ทันสมัย ​​ถูกต้อง และครอบคลุม

ก.2.2 ความเสี่ยงขององค์กรอยู่ในเกณฑ์ความเสี่ยง

ก.3 ป้าย

ก.3.1 การปรับปรุงอย่างต่อเนื่อง

สิ่งสำคัญคือการปรับปรุงการบริหารความเสี่ยงอย่างต่อเนื่องผ่านการกำหนดเป้าหมายการปฏิบัติงานขององค์กร การวัด การทบทวน และการเปลี่ยนแปลงกระบวนการ ระบบ ทรัพยากร ความสามารถ และทักษะในภายหลัง

สิ่งนี้สามารถยืนยันได้โดยการมีเป้าหมายด้านประสิทธิภาพที่แน่นอนตามการวัดผลการปฏิบัติงานขององค์กรและผู้จัดการแต่ละคน ข้อมูลเกี่ยวกับกิจกรรมขององค์กรอาจถูกเผยแพร่และเปิดเผยต่อสาธารณะ โดยปกติแล้ว อย่างน้อยจะมีการทบทวนกิจกรรมประจำปี จากนั้นจึงทบทวนกระบวนการและการกำหนดเป้าหมายการปฏิบัติงานในช่วงถัดไป

การประเมินคุณภาพการบริหารความเสี่ยงเป็นส่วนสำคัญของการประเมินกิจกรรมทั้งหมดขององค์กรและระบบการวัดคุณภาพงานของแผนกและพนักงานแต่ละคน

ก.3.2 ความรับผิดชอบอย่างเต็มที่สำหรับความเสี่ยง

การบริหารความเสี่ยงที่ได้รับการปรับปรุงประกอบด้วยการรายงานที่ครอบคลุม กำหนดไว้ครบถ้วน และเป็นที่ยอมรับ และความรับผิดชอบต่อความเสี่ยง การควบคุม และวัตถุประสงค์ความเสี่ยง บุคคลที่ได้รับมอบหมายซึ่งยอมรับความรับผิดชอบอย่างเต็มที่มีทักษะและทรัพยากรที่จำเป็นในการทบทวนกิจกรรมเหล่านี้ ติดตามความเสี่ยง ปรับปรุงกิจกรรมการจัดการความเสี่ยง และสื่อสารความเสี่ยงและการบริหารความเสี่ยงอย่างมีประสิทธิภาพไปยังผู้มีส่วนได้ส่วนเสียทั้งภายนอกและภายใน

สิ่งนี้สามารถแสดงให้เห็นได้โดยสมาชิกทุกคนในองค์กรโดยตระหนักถึงความเสี่ยง การควบคุม และงานที่พวกเขารับผิดชอบ โดยทั่วไปสิ่งนี้ควรสะท้อนให้เห็นในคำอธิบายลักษณะงานและมีอยู่ในฐานข้อมูลหรือระบบข้อมูล บทบาทในการจัดการความเสี่ยง ความรับผิดชอบ และความรับผิดควรเป็นส่วนหนึ่งของโครงการสร้างความตระหนักรู้ขององค์กรทั้งหมด

องค์กรต้องแน่ใจว่าผู้รับผิดชอบมีความพร้อมที่จะปฏิบัติหน้าที่ของตน และได้รับอำนาจ เวลา การฝึกอบรม ทรัพยากร และทักษะที่เพียงพอที่จะรับผิดชอบ

ก.3.3 ใช้การบริหารความเสี่ยงกับการตัดสินใจทั้งหมด

การตัดสินใจทั้งหมดในองค์กรโดยไม่คำนึงถึงระดับความสำคัญและนัยสำคัญ เกี่ยวข้องกับการพิจารณาความเสี่ยงโดยละเอียดและการประยุกต์ใช้การบริหารความเสี่ยงในระดับหนึ่ง

สิ่งนี้อาจระบุไว้ในบันทึกการประชุมและการอภิปราย เพื่อยืนยันว่ามีการอภิปรายโดยละเอียดเกี่ยวกับความเสี่ยงเกิดขึ้น จำเป็นต้องสามารถมองเห็นองค์ประกอบทั้งหมดของการบริหารความเสี่ยงได้แสดงออกมา กระบวนการสำคัญการตัดสินใจภายในองค์กร เช่น การอภิปรายเรื่องการจัดสรรทุน โครงการขนาดใหญ่การปรับโครงสร้าง และการเปลี่ยนแปลงองค์กร ด้วยเหตุผลเหล่านี้ จึงควรมองว่าการบริหารความเสี่ยงที่ดีทั่วทั้งองค์กรเป็นพื้นฐานสำหรับการจัดการที่มีประสิทธิผล

ก.3.4 มีการแลกเปลี่ยนข้อมูลอย่างต่อเนื่อง

การบริหารความเสี่ยงที่ได้รับการปรับปรุงประกอบด้วยการสื่อสารอย่างต่อเนื่องกับผู้มีส่วนได้ส่วนเสียทั้งภายนอกและภายใน รวมถึงการรายงานกิจกรรมการบริหารความเสี่ยงที่ครอบคลุมและเป็นระยะซึ่งเป็นส่วนหนึ่งของการกำกับดูแลที่ดี

สิ่งนี้สามารถแสดงให้เห็นได้ด้วยการแบ่งปันข้อมูลกับผู้มีส่วนได้ส่วนเสียซึ่งเป็นองค์ประกอบสำคัญและสำคัญในการบริหารความเสี่ยง การแบ่งปันข้อมูลถูกมองว่าเป็นกระบวนการสองทางอย่างเหมาะสม เพื่อให้สามารถตัดสินใจโดยใช้ข้อมูลอย่างเหมาะสมเกี่ยวกับระดับความเสี่ยงและความจำเป็นในการจัดการกับความเสี่ยงตามเกณฑ์ความเสี่ยงที่กำหนดไว้อย่างเหมาะสมและครอบคลุม

การรายงานความเสี่ยงที่สำคัญทั้งภายนอกและภายในที่ครอบคลุมและเป็นระยะและผลลัพธ์ของกิจกรรมการบริหารความเสี่ยงมีส่วนอย่างมากต่อการจัดการที่มีประสิทธิภาพทั่วทั้งองค์กร

ก.3.5 การบูรณาการเข้ากับโครงสร้างความเป็นผู้นำขององค์กรอย่างสมบูรณ์

การบริหารความเสี่ยงถือเป็นกระบวนการจัดการส่วนกลางขององค์กร และความเสี่ยงจะพิจารณาจากมุมมองของผลกระทบของความไม่แน่นอนต่อเป้าหมาย โครงสร้างและกระบวนการกำกับดูแลอยู่บนพื้นฐานของการบริหารความเสี่ยง ผู้จัดการพิจารณาการบริหารความเสี่ยงที่มีประสิทธิผลซึ่งจำเป็นต่อการบรรลุเป้าหมายขององค์กร

สิ่งนี้อาจได้รับการสนับสนุนจากภาษาของผู้จัดการและเอกสารสำคัญที่เป็นลายลักษณ์อักษรภายในองค์กรโดยใช้คำว่า "ความไม่แน่นอน" ที่เกี่ยวข้องกับความเสี่ยง คุณลักษณะนี้ยังสะท้อนให้เห็นโดยทั่วไปในคำแถลงนโยบายขององค์กร โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับการบริหารความเสี่ยง โดยทั่วไป คุณลักษณะนี้สามารถทดสอบได้โดยการสัมภาษณ์ผู้จัดการและขึ้นอยู่กับการกระทำและคำพูดของพวกเขา

บรรณานุกรม

คู่มือ ISO 73:2009 การจัดการความเสี่ยง - คำศัพท์ (ISO Guide 73:2009 คำศัพท์) *

ISO/IEC 31010:2009 การบริหารความเสี่ยง - เทคนิคการประเมินความเสี่ยง (ISO/IEC 31010 การบริหารความเสี่ยง วิธีการประเมินความเสี่ยง) *

* คำแปลอย่างเป็นทางการของมาตรฐานนี้มีอยู่ใน Federal Information Foundation สำหรับกฎระเบียบและมาตรฐานทางเทคนิค

คำสำคัญ: ความเสี่ยง โครงการ การประเมิน การบริหารความเสี่ยง หลักการบริหารจัดการ ความเป็นผู้นำ

การให้คำปรึกษาเป็นกิจกรรมประเภทหนึ่งที่มีประวัติค่อนข้างยาวนาน ภาคเรียน การให้คำปรึกษา จาก lat การให้คำปรึกษา- ปรึกษาหารือ; ความหมายของพจนานุกรมเน้นคุณลักษณะต่างๆ เช่น การให้คำแนะนำและการแลกเปลี่ยนข้อมูล แนวคิดดังกล่าวเป็นกฎหมาย การให้คำปรึกษาทางการแพทย์ กระบวนการให้คำปรึกษาใน กิจกรรมทางการเมือง- อย่างไรก็ตาม เข้ามาปรึกษา. ทรงกลมทางสังคมปรากฏค่อนข้างเร็ว ๆ นี้ ผู้เชี่ยวชาญส่วนใหญ่มองว่านี่เป็นปรากฏการณ์ในศตวรรษที่ 20 ที่เกิดขึ้นเพื่อตอบสนองต่อเงื่อนไขที่ก่อให้เกิด การปฏิวัติทางเทคโนโลยีปลาย XIX ต้นศตวรรษที่ XX นอกเหนือจากความกังวลของมนุษย์ที่เป็นสากลต่อชะตากรรมของผู้คนที่กำลังดิ้นรนเพื่อหาปัจจัยยังชีพแล้ว อุตสาหกรรมที่กำลังพัฒนายังได้พัฒนาความต้องการทรัพยากรแรงงานที่มีคุณสมบัติสูงที่หลากหลาย ความจำเป็นในการแก้ปัญหาสองข้อนี้กระตุ้นให้เกิดพื้นที่การให้คำปรึกษาแห่งแรกในแวดวงสังคม - การให้คำปรึกษาอย่างมืออาชีพ (การแนะแนวอาชีพ, การเลือกสายอาชีพ)

ในทางกลับกัน การปฏิวัติทางเทคโนโลยีได้นำไปสู่การเปลี่ยนแปลงระดับโลกใน ชีวิตสาธารณะซึ่งไม่สามารถส่งผลกระทบต่อกลไกการปรับตัวของจิตใจมนุษย์ได้ ความจำเป็นในการให้ความช่วยเหลือด้านจิตวิทยาเชิงปฏิบัติแก่บุคคล (การเอาชนะสภาวะทางอารมณ์เชิงลบ ความขัดแย้งระหว่างบุคคลและภายในบุคคล การเอาชนะสถานการณ์วิกฤต การพัฒนาทักษะชีวิตเฉพาะ ฯลฯ) ได้ก่อให้เกิดเทคนิคจิตบำบัดหลากหลายรูปแบบที่รองรับการให้คำปรึกษาทางจิตวิทยาหลายประเภท

ปัจจุบันบริการให้คำปรึกษาในด้านสังคมได้ขยายออกไปอย่างมาก ตัวอย่างเช่น ในสหรัฐอเมริกา ที่ปรึกษา งานสังคมสงเคราะห์ขยายกิจกรรมไปยังด้านต่างๆ เช่น การดูแลสุขภาพ การศึกษา และประกันสังคม ขอเชิญนักสังคมสงเคราะห์ สถาบันการศึกษาและทำสัญญากับพวกเขา พวกเขาให้คำแนะนำแก่ผู้อำนวยการโรงเรียน ครู ผู้ปกครองในประเด็นต่างๆ มากมาย: ความขัดแย้ง พฤติกรรมของนักเรียน ผลการเรียน ฯลฯ ที่ปรึกษางานสังคมสงเคราะห์ในโรงพยาบาล นอกเหนือจากประเด็นการให้คำปรึกษาทั่วไปแล้ว ยังมีส่วนร่วมในการวางแผนการรักษาและการดูแลผู้ป่วย บุคลากรทางการแพทย์หันไปหาที่ปรึกษาทางสังคมในสถานการณ์ที่ยากลำบาก เช่น เพื่อทำงานกับครอบครัวตั้งแต่แรกเกิดที่มีเด็กที่มีโรคร้ายแรง

ในบ้านเราปรึกษาเรื่อง ประเด็นทางสังคมยังคงดำเนินก้าวแรก ประสบการณ์ที่ยิ่งใหญ่ที่สุดได้ถูกสั่งสมมาในด้านการให้คำปรึกษาแนะแนวอาชีพและการให้คำปรึกษาเพื่อให้ความช่วยเหลือด้านจิตใจแก่ผู้ที่ไม่มีความผิดปกติทางคลินิก แต่กำลังประสบปัญหาในชีวิตประจำวัน อย่างไรก็ตาม การให้คำปรึกษาประเภทนี้ไม่ได้ครอบคลุมทุกคน ปัญหาสังคมชีวิตสมัยใหม่

การให้คำปรึกษาแสดงถึง ปฏิสัมพันธ์ระหว่างบุคคลตั้งแต่สองคนขึ้นไปซึ่งใช้ความรู้เฉพาะทางของที่ปรึกษาเพื่อช่วยผู้ให้คำปรึกษาในการแก้ปัญหาในปัจจุบันหรือในการเตรียมโปรแกรมที่มีแนวโน้ม บางครั้งการกระทำของที่ปรึกษาได้รับการประเมินว่าเป็นตัวเร่งปฏิกิริยาที่ช่วยอำนวยความสะดวกในการทำงาน กำหนดแรงจูงใจและบทบาทของมัน อธิบายผลที่ตามมาของทางเลือกต่างๆ ช่วยให้ที่ปรึกษาประเมินปัญหาที่เขาเผชิญอย่างเป็นระบบและเป็นกลางมากขึ้น เพื่อขยายทางเลือกของตัวเลือกพฤติกรรมที่เป็นไปได้ ; ที่ปรึกษาแจ้งให้ลูกค้าทราบเกี่ยวกับข้อมูลใหม่หรือรีเฟรชความรู้เก่า

คณะกรรมการการออกใบอนุญาตของสมาคมพนักงานและผู้จัดการแห่งสหรัฐอเมริกา ซึ่งออกใบอนุญาตให้ การปฏิบัติส่วนตัวให้คำจำกัดความต่อไปนี้: “การให้คำปรึกษาเป็นชุดของกระบวนการที่มุ่งช่วยเหลือบุคคลในการแก้ปัญหาและตัดสินใจเกี่ยวกับ อาชีพการงานการแต่งงาน ครอบครัว การพัฒนาตนเอง และความสัมพันธ์ระหว่างบุคคล”

การให้คำปรึกษามีสองประเภท: 1) การให้คำปรึกษาเฉพาะกรณี; 2) องค์กรที่ปรึกษาในการพัฒนาด้านต่างๆ โปรแกรมโซเชียล- ในกรณีแรก ที่ปรึกษาจะให้บริการแก่ลูกค้าโดยตรง หรือช่วยเหลือพนักงานในการช่วยเหลือลูกค้า และจุดเน้นหลักอยู่ที่ลูกค้ารายใดรายหนึ่ง ไม่ว่าจะเป็นบุคคล ครอบครัว หรือกลุ่มทางสังคม

การให้คำปรึกษาด้านซอฟต์แวร์เกี่ยวข้องกับการทำงานด้วย เจ้าหน้าที่ธุรการเพื่อพัฒนานโยบาย แผนงาน และขั้นตอนการปรับปรุงการให้บริการแก่ประชาชน E. Watkins, T. Hochland, R. Ritvo ให้นิยามโปรแกรมการให้คำปรึกษาว่าเป็น “กระบวนการแก้ไขปัญหาแบบสองทาง ซึ่งที่ปรึกษาจะช่วยให้สถาบันหรือองค์กรวิเคราะห์ความต้องการ กลุ่มสังคมปรับปรุงกิจกรรมขององค์กรปรับปรุงคุณภาพการบริการ” การหารือประเภทนี้จะเน้นไปที่โครงสร้าง การเมือง ปัญหาองค์กรมากกว่าปัญหาเฉพาะของลูกค้า ตัวอย่างของการให้คำปรึกษาด้านโปรแกรมอาจเป็นคำขอของ บริษัท ต่อที่ปรึกษาเกี่ยวกับปัญหาในการจัดตั้งกำลังสำรองบุคลากร (แหล่งที่มาของกำลังสำรองข้อกำหนดสำหรับผู้สมัคร) ร้องขอจากบริษัทเดียวกันให้คัดเลือกผู้สมัครเข้าศึกษา สำรองบุคลากรอาจเรียกได้ว่าเป็นการปรึกษาหารือในประเด็นเฉพาะ อย่างไรก็ตาม บ่อยครั้งที่กระบวนการให้คำปรึกษาเป็นการสังเคราะห์แนวทางเฉพาะและแบบเป็นโปรแกรม เมื่อที่ปรึกษาเริ่มต้นจากปัญหาเฉพาะเจาะจง ช่วยให้ลูกค้าแก้ไขปัญหาในวงกว้างขึ้น

เมื่อดำเนินการให้คำปรึกษาใด ๆ จะต้องปฏิบัติตามสิ่งต่อไปนี้: หลักการ:

1) การปรึกษาหารือจะต้องมีเป้าหมายเฉพาะ แก้ไขปัญหา และเป็นตัวแทนของกระบวนการเฉพาะ

2) ประสิทธิผลของการปรึกษาหารือขึ้นอยู่กับคุณค่าของแนวคิด ไม่ใช่ขึ้นอยู่กับสถานะของที่ปรึกษา

3) พื้นฐานของกระบวนการให้คำปรึกษาคือความสัมพันธ์ระหว่างที่ปรึกษาและผู้ให้คำปรึกษา

ในอนาคต ที่ปรึกษาเราจะโทรหาผู้เชี่ยวชาญที่ให้บริการให้คำปรึกษา และบุคคลที่รับคำปรึกษา (รายบุคคล กลุ่มบุคคล องค์กร) - ลูกค้า.

โครงสร้างของกระบวนการให้คำปรึกษาแม้ว่าการปรึกษาหารือจะมีหลายประเภท แต่ทั้งหมดไม่ว่าจะในระดับใดระดับหนึ่งก็ต้องผ่านชุดขั้นตอนที่ประกอบขึ้นเป็นโครงสร้างของกระบวนการให้คำปรึกษา ที่ปรึกษาจะต้องรู้อย่างชัดเจนว่าเขาอยู่ในขั้นตอนใดของการให้คำปรึกษา ขณะเดียวกันก็ทำงานร่วมกับลูกค้าเพื่อให้แน่ใจว่าเขาพึงพอใจในทุกขั้นตอน ในรูป รูปที่ 1.1 แสดงแผนภาพกระบวนการให้คำปรึกษา

การจัดการความเสี่ยงไม่ใช่แค่เพียง กระบวนการทางเทคนิคการดำเนินการตามอัลกอริธึมที่เป็นทางการซึ่งช่วยให้สามารถตัดสินใจความเสี่ยงที่ชัดเจนและกำหนดได้ จำเป็นต้องมีการบริหารความเสี่ยง การทำงานเป็นทีมซึ่งดำเนินการในบริบทการสื่อสารเป็นหลัก ปฏิสัมพันธ์และการปรึกษาหารือระหว่างผู้เข้าร่วมการบริหารความเสี่ยงถือเป็นคุณลักษณะสำคัญของกระบวนการนี้และควรเป็นเช่นนั้นเสมอ แบบฟอร์มเปิด- ประสิทธิผลของกระบวนการบริหารความเสี่ยงโดยตรงขึ้นอยู่กับขอบเขตที่ผู้มีส่วนได้ส่วนเสียทั้งหมดเข้าใจมุมมองของกันและกัน และหากจำเป็น จะต้องมีส่วนร่วมอย่างแข็งขันในกระบวนการตัดสินใจ การให้คำปรึกษาถือเป็นข้อกำหนดที่สำคัญในแต่ละขั้นตอนของการบริหารความเสี่ยง เมื่อรวมกับการมีปฏิสัมพันธ์ หมายถึง การเจรจาระหว่างผู้เข้าร่วมในกระบวนการบริหารความเสี่ยง โดยเน้นการปรึกษาหารือ มากกว่าการส่งข้อมูลในทิศทางเดียวจากผู้มีอำนาจตัดสินใจไปยังผู้มีส่วนได้เสียอื่นๆ รูปที่ 12 แสดงเป้าหมายหลักของการมีปฏิสัมพันธ์และการให้คำปรึกษาเมื่อนำกระบวนการบริหารความเสี่ยงไปใช้

รูปที่ 12 เป้าหมายหลักของการมีปฏิสัมพันธ์และการปรึกษาหารือ

ในขั้นตอนของการสร้างแบบจำลองกระบวนการบริหารความเสี่ยง จำเป็นต้องพัฒนาแผนสำหรับการมีปฏิสัมพันธ์ของผู้เข้าร่วม แผนนี้ควรกล่าวถึงทั้งความเสี่ยงและกระบวนการในการจัดการ แผนการสื่อสารควรสะท้อนถึงขั้นตอนในการสื่อสาร อภิปรายความเสี่ยง และดำเนินการให้คำปรึกษา

การสื่อสารภายในและภายนอกรับประกันความเข้าใจในสาระสำคัญของการตัดสินใจและเหตุผลของการดำเนินการเฉพาะทั้งในส่วนของผู้รับผิดชอบในการดำเนินกระบวนการบริหารความเสี่ยงและผู้มีส่วนได้เสียทั้งหมด ความมีประสิทธิภาพขึ้นอยู่กับประสิทธิผลของกระบวนการข้อมูลภายในโดยตรงสำหรับผู้เข้าร่วมการบริหารความเสี่ยง

ผู้เข้าร่วมในการบริหารความเสี่ยงมักจะตัดสินความเสี่ยงตามการรับรู้และประสบการณ์ชีวิตของตนเอง การรับรู้ความเสี่ยงอาจแตกต่างกันไปในแต่ละฝ่าย เหตุผลอยู่ที่ความแตกต่างในมุมมองของสิ่งที่เกิดขึ้น ในความแตกต่างในความคิด ความต้องการ ปัญหา และข้อกังวลของผู้ได้รับผลกระทบในขณะที่พวกเขาเข้ามา การติดต่อกับความเสี่ยงหรือประเด็นที่กำลังหารือ เนื่องจากฝ่ายต่างๆ สามารถมีอิทธิพลอย่างมีนัยสำคัญต่อการตัดสินใจ จึงเป็นสิ่งสำคัญที่จะต้องมีการกำหนด เขียน และรวมตัวบ่งชี้ความเสี่ยงไว้อย่างชัดเจนในกระบวนการตัดสินใจ

ในทางกลับกัน แนวทางการให้คำปรึกษา:

– ช่วยให้คุณสามารถกำหนดองค์ประกอบหลักของแบบจำลองกระบวนการบริหารความเสี่ยงได้อย่างชัดเจน

– มีส่วนช่วยในการกำหนดความเพียงพอของความเสี่ยงที่ระบุ

– รวบรวมความเชี่ยวชาญด้านต่างๆ ในการวิเคราะห์ความเสี่ยง

– เมื่อประเมินความเสี่ยงจะช่วยให้คำนึงถึงมุมมองที่แตกต่างกันอย่างถูกต้อง

– ช่วยให้คุณปรับกระบวนการจัดการได้อย่างถูกต้องเมื่อให้บริการความเสี่ยง

การดูแลให้มีความสนใจในกระบวนการบริหารความเสี่ยงทำให้คุณสามารถ "กระจาย" ความเสี่ยงไปยังผู้จัดการแต่ละรายได้ เช่นเดียวกับการมีส่วนร่วมของผู้เข้าร่วมการบริหารความเสี่ยงทั้งหมดในกระบวนการเหล่านี้ วิธีการให้คำปรึกษาช่วยประเมินประโยชน์ของวิธีการควบคุมแต่ละวิธีและความจำเป็นในการอนุมัติและสนับสนุนการตัดสินใจเกี่ยวกับความเสี่ยง

วัฒนธรรมธุรกิจขององค์กร ความสำคัญและความสำคัญของสถานการณ์ความเสี่ยง ความจำเป็นและขอบเขตของการเก็บบันทึก (การลงทะเบียนข้อมูล) ในขั้นตอนการโต้ตอบและการให้คำปรึกษาขึ้นอยู่กับกระบวนการบริหารความเสี่ยงโดยเฉพาะ

ปฏิสัมพันธ์ในด้านความเสี่ยงเป็นกระบวนการโต้ตอบในการแลกเปลี่ยนข้อมูลและการประเมินโดยผู้เชี่ยวชาญเกี่ยวกับตัวแปรหลักของความเสี่ยงและการจัดการ ก็ควรสังเกตว่า กระบวนการนี้จะต้องดำเนินการพร้อมกันและขนานกันในสองทิศทาง: (1) - โดยตรงภายในบริษัท; (2) - ระหว่างบริษัทกับผู้เข้าร่วมภายนอกในการบริหารความเสี่ยง

ปฏิสัมพันธ์ภายในบริษัทควรดำเนินการทั้งผ่านโครงสร้างลำดับชั้นแนวตั้งของการจัดการด้านการบริหาร และผ่านการเชื่อมต่อข้ามสายงานเชิงเส้นระหว่าง การแบ่งส่วนโครงสร้างบริษัท (ดูรูปที่ 13)

รูปที่ 13 การสร้างระบบปฏิสัมพันธ์ในระดับภายในองค์กรขององค์กร

การให้คำปรึกษาโดยเนื้อแท้เป็นส่วนหนึ่งของกระบวนการปฏิสัมพันธ์ และแสดงถึงการแลกเปลี่ยนความคิดเห็นระหว่างผู้เข้าร่วมการบริหารความเสี่ยงบนพื้นฐานข้อมูลในประเด็นต่างๆ ก่อนการตัดสินใจ หรือเพื่อสร้างลำดับความสำคัญในประเด็นเฉพาะ /1/ หนึ่งในวิธีการประยุกต์ที่มีประสิทธิผลมากที่สุดสำหรับการใช้ความคิดเห็นรวมที่ได้รับระหว่างการปรึกษาหารือคือวิธีการประเมินโดยผู้เชี่ยวชาญ

การให้คำปรึกษามีดังต่อไปนี้ คุณสมบัติลักษณะ:

– ประการแรก กิจกรรมเหล่านี้มุ่งเป้าไปที่การบรรลุผลขั้นสุดท้าย และไม่ใช่จุดสิ้นสุดของการบริหารความเสี่ยง

– ผลลัพธ์ของการปรึกษาหารือเป็นฐานข้อมูลสำหรับการตัดสินใจที่มีความเสี่ยง แต่ไม่ได้มีอิทธิพลควบคุมต่อการตัดสินใจครั้งนี้

การแบ่งปันข้อมูลและมุมมองเกี่ยวกับความเสี่ยงภายในบริษัททำให้เกิดการพัฒนาการเชื่อมโยงการสื่อสารภายในองค์กร ซึ่งจะช่วยระบุพื้นที่ที่ต้องให้ความสนใจเป็นพิเศษซึ่งจำเป็นต้องมีความร่วมมือและการพัฒนากลยุทธ์ทั่วไปเพื่อให้บรรลุผลตามที่วางแผนไว้ ซึ่งทำให้สามารถกำหนดกลไกในการติดตามกระบวนการบริหารความเสี่ยงได้อย่างชัดเจน ปฏิสัมพันธ์ข้ามสายงานเปิดโอกาสให้มีการเจรจาระหว่างนักแสดงธรรมดา ผู้จัดการระดับสูง และผู้บริหารระดับสูง อิทธิพลและการให้คำปรึกษาสามารถดำเนินการได้ในระดับที่แตกต่างกัน ขึ้นอยู่กับสถานการณ์ โดยเฉพาะอย่างยิ่งเมื่อ:

– ปฏิสัมพันธ์ทางเดียว

– การให้ข้อมูล เช่น รายงานประจำปี เอกสารข้อมูล รายงานการประชุม เป็นต้น

– ปฏิสัมพันธ์ทวิภาคี - การแลกเปลี่ยนความคิดเห็นและจุดยืนระหว่างผู้เข้าร่วมการบริหารความเสี่ยง

ประสบการณ์ของผู้เข้าร่วมการบริหารความเสี่ยงในกรณีส่วนใหญ่เป็นพื้นฐานในการกำหนดสาเหตุและปัจจัยของสถานการณ์ความเสี่ยง ปฏิสัมพันธ์และการให้คำปรึกษาช่วยเพิ่มความเป็นกลางของการประเมินความเสี่ยงและกำจัดการคิดแบบ "เทมเพลต" ตัวอย่างเช่น ผู้บริหารระดับสูงกำหนดทิศทางการลงทุนในโครงการจำนวนหนึ่งตามแนวคิดของตนเองเกี่ยวกับพารามิเตอร์ความเสี่ยง ในขณะเดียวกัน ผู้จัดการระดับสูงขององค์กรจะประเมินปริมาณความเสี่ยงที่แตกต่างจากผู้บริหารระดับสูง ในบางกรณี พนักงานของบริษัทที่ทำงานในระดับปฏิบัติการของการผลิตจะระบุความเสี่ยงหลายประการที่ "มองข้าม" ของผู้จัดการของตน การมีคำติชมเป็นองค์ประกอบที่สำคัญที่สุดของการปฏิสัมพันธ์ภายในองค์กร และช่วยให้เราพัฒนาแบบจำลองและวิธีการบริหารความเสี่ยงที่มีประสิทธิภาพ

การสื่อสารและการให้คำปรึกษาเป็นส่วนสำคัญของกระบวนการบริหารความเสี่ยงโดยรวม และควรนำไปใช้ในทุกขั้นตอนของกระบวนการ เมื่อจัดการความเสี่ยง จะให้ความสนใจเป็นพิเศษกับประเด็นการระบุผู้เข้าร่วมการบริหารความเสี่ยงอย่างเพียงพอ โดยกำหนดระดับและลักษณะของความสนใจในขั้นตอนเฉพาะของกระบวนการ จากข้อมูลที่ได้รับ จะมีการจัดทำแผนการโต้ตอบ แผนนี้ควรกำหนดวัตถุประสงค์ของการปฏิสัมพันธ์ ซึ่งให้คำแนะนำแก่ใคร เมื่อเกิดขึ้น กระบวนการเกิดขึ้นอย่างไร และประเมินอย่างไร ภายในองค์กร การสื่อสารที่ดีถือเป็นสิ่งสำคัญในการพัฒนา “วัฒนธรรมการบริหารความเสี่ยง” ที่จะแยกแยะระหว่างความเสี่ยงด้านบวกและด้านลบ การทำงานร่วมกันในด้านความเสี่ยงทำให้องค์กรสามารถพัฒนาแนวคิดเฉพาะของตนเองเกี่ยวกับความเสี่ยงที่ยอมรับได้

การมีส่วนร่วมของผู้เข้าร่วมคนอื่นๆ ในกระบวนการบริหารความเสี่ยง (เช่น ผู้เชี่ยวชาญใน ปัญหาเฉพาะทาง) หรืออย่างน้อยการได้รับความคิดเห็นจากผู้เชี่ยวชาญถือเป็นเงื่อนไขที่สำคัญและชี้ขาดสำหรับประสิทธิผลของการบริหารความเสี่ยง การโต้ตอบกับผู้เข้าร่วมการบริหารความเสี่ยงทำให้การบริหารความเสี่ยงมีความสมดุลมากขึ้น วางอยู่บนพื้นฐานเชิงคุณภาพ และให้ความสำคัญกับองค์กร เหตุการณ์นี้จะถือเป็นการตัดสินใจหากผู้เข้าร่วมการบริหารความเสี่ยง:

– มีอิทธิพลต่อประสิทธิผลของมาตรการบริหารความเสี่ยงที่นำเสนอ

– ได้รับผลกระทบจากความเสี่ยง

– นำมูลค่าเพิ่มมาสู่กระบวนการประเมินขนาดของความเสี่ยง

– ทำให้เกิดการสูญเสียเพิ่มขึ้นภายหลังสถานการณ์ความเสี่ยง

– ได้รับอิทธิพลจากการดำเนินการควบคุมความเสี่ยง

การโต้ตอบกับผู้เข้าร่วมการบริหารความเสี่ยงภายนอกทำให้มั่นใจได้ว่าประเด็นที่สนใจร่วมอยู่ภายใต้การควบคุม ปฏิสัมพันธ์ดังกล่าวจะเพิ่มศักยภาพขององค์กรในการสร้างความร่วมมือเพิ่มเติมกับหน่วยงานอื่นๆ กิจกรรมผู้ประกอบการและเพื่อให้บรรลุ ผลลัพธ์ที่เป็นบวก- ตัวอย่างเช่น ผู้เข้าร่วมภายนอกในการบริหารความเสี่ยงอาจมีความเสี่ยงทั่วไปที่สามารถจัดการร่วมกันได้อย่างมีประสิทธิภาพ

ในบางกรณี องค์กรอาจพิจารณาปฏิสัมพันธ์กับผู้เข้าร่วมการบริหารความเสี่ยงที่ไม่เหมาะสมด้วยเหตุผลทางเศรษฐกิจและความปลอดภัย ในกรณีนี้ แผนการปฏิสัมพันธ์ควรสะท้อนถึงการตัดสินใจอย่างมีสติที่จะไม่ให้ผู้เข้าร่วมการบริหารความเสี่ยงมีส่วนร่วมในการโต้ตอบ แต่อาจยังคำนึงถึงมุมมองของพวกเขาในรูปแบบอื่น เช่น ในรูปแบบของข้อมูลทางปัญญาหรือเชิงพาณิชย์

ขั้นตอนการกำหนดตำแหน่ง (มุมมองเกี่ยวกับความเสี่ยงและระดับที่ยอมรับได้) และการพัฒนารูปแบบและวิธีการโต้ตอบจะต้องดำเนินการแบบคู่ขนานและสอดคล้องซึ่งกันและกัน เมื่อพัฒนาแผนการปฏิสัมพันธ์จำเป็นต้องคำนึงถึงตำแหน่งของผู้เข้าร่วมการบริหารความเสี่ยงด้วย ผู้มีส่วนได้ส่วนเสียจะมองสถานการณ์ความเสี่ยงเดียวกันจากมุมมองที่แตกต่างกัน (ดูตารางที่ 3) ด้วยเหตุนี้จึงจำเป็นต้องคำนึงถึงตำแหน่งของผู้เข้าร่วมทั้งหมดในการบริหารความเสี่ยงเพื่อพัฒนาแนวทางที่เหมาะสมที่สุดในการโต้ตอบและการนำเสนอข้อมูล

ตารางที่ 3. ตัวอย่างการพัฒนาวิธีการสื่อสารระหว่างผู้เข้าร่วมหลักในการโต้ตอบ

เลขที่	กลุ่มผู้เข้าร่วม	มุมมองที่กำหนดเกี่ยวกับความเสี่ยง	วิธีการโต้ตอบและรูปแบบการแลกเปลี่ยนข้อมูล
	ผู้ก่อตั้ง	รับรองการรับเงินปันผล	ประชุมผู้ก่อตั้ง คณะกรรมการ / จัดทำรายงาน
	หน่วยงานราชการ สาขาผู้บริหาร	การปฏิบัติตามข้อกำหนดทางกฎหมายและอุตสาหกรรม	การติดต่ออย่างเป็นทางการ การประชุมร่วมกัน / จัดทำรายงานการปฏิบัติตามข้อกำหนดบังคับ
	สถาบันการธนาคาร	การค้ำประกันการชำระคืนเงินกู้	การติดต่อทางธุรกิจ, การประชุมร่วม / รายงานการชำระเงิน, ข้อมูลความมั่นคงทางการเงินขององค์กร
	นักลงทุน	รับประกันผลตอบแทนจากการลงทุน	ขยายเวลาประชุมผู้บริหารระดับสูง / จัดทำรายงานผลการดำเนินงานตามโครงการลงทุน
	ลูกค้า	การปฏิบัติตามเงื่อนไขสัญญา (ภาระผูกพันตามสัญญา) โดยองค์กร	ประชุม โต้ตอบทางธุรกิจกับลูกค้า จัดประชุม นิทรรศการ สัมมนา ประชุมร่วมกัน / จัดทำรายงานความคืบหน้า
	ผู้รับเหมา รวมถึงซัพพลายเออร์และผู้รับเหมาช่วง	ความทันเวลาของการชำระเงินภายใต้ข้อตกลงคู่สัญญา	การประชุมร่วมกับคู่สัญญา / ให้คำแนะนำแก่คู่สัญญา
	พันธมิตร	รับประกันความน่าเชื่อถือของการดำเนินโครงการร่วมกัน	การประชุมร่วมกับพันธมิตร / การรายงานข้อมูลโครงการร่วม
	ผู้บริหารระดับสูงขององค์กร	การปฏิบัติตามข้อผูกพันตามสัญญาต่อลูกค้าโดยปฏิบัติตามงบประมาณและรับรองความสามารถในการทำกำไรและ/หรืออัตรากำไร	ดำเนินการประชุมทั้งภายในองค์กรและมีส่วนร่วมของคู่ค้าและผู้รับเหมา / รายงานการดำเนินการตามสัญญาและงบประมาณ ประเมินระดับความเสี่ยงทั่วทั้งองค์กร
	ผู้จัดการระดับสูง	การดำเนินการตามแผนธุรกิจ	การประชุมผู้บริหารระดับต่างๆ / การรายงานข้อมูลการดำเนินการตามกระบวนการทางธุรกิจ ประเมินระดับความเสี่ยงภายในกระบวนการทางธุรกิจ ตัวเลือกการแก้ปัญหาความเสี่ยงคำสั่งซื้อ
	ผู้จัดการระดับปฏิบัติการ (ผู้จัดการโครงการ)	สร้างความมั่นใจในการดำเนินกระบวนการทางธุรกิจภายใต้เงื่อนไขที่ได้รับการควบคุม	ปฏิบัติการ “ประชุมวางแผน” วิธีการ “ การระดมความคิด"และ "Delphic oracle" / รายงานเกี่ยวกับงานที่ทำ; การประเมินระดับความเสี่ยงในระดับปฏิบัติการของฝ่ายบริหาร, คำสั่ง
	ผู้ดำเนินการที่รับผิดชอบตามพื้นฐานหน้าที่	การปฏิบัติงานที่ได้รับจากระดับการจัดการที่สูงขึ้น	วิธีดำเนินการ "การประชุมการวางแผน" "การระดมความคิด" และ "Delphic oracle" / รายงานเกี่ยวกับงานที่ดำเนินการ บันทึกช่วยจำ รายงาน
	ผู้ประเมินภายนอกและที่ปรึกษา	ช่วงความเชื่อมั่นที่ยอมรับได้ของการประมาณการและคำแนะนำที่ทำขึ้น	ดำเนินการประชุมร่วม วิธี “ระดมความคิด” และ “Delphic oracle” / จัดทำรายงานการประเมินระดับความเสี่ยงโดยผู้เชี่ยวชาญ ให้คำแนะนำในการเลือกทางเลือกในการแก้ปัญหาความเสี่ยง

ความถี่ของการโต้ตอบตลอดจนขอบเขตของการบันทึกผลลัพธ์นั้นขึ้นอยู่กับระดับของการตัดสินใจในการควบคุมที่เกิดขึ้นจากการโต้ตอบนี้ เช่น การประชุมร่วมกับนักลงทุน ผู้ก่อตั้ง และพันธมิตรจะจัดขึ้นในความถี่น้อยกว่า “การประชุมวางแผน” ในระดับปฏิบัติการ ดังนั้นการประชุมที่จัดขึ้นในระดับผู้บริหารระดับสูงจึงควรบันทึกไว้ในนั้น บังคับอย่างไรก็ตาม การประชุมเชิงปฏิบัติการไม่จำเป็นต้องมีรายงานการประชุมบังคับเสมอไป

การประเมินประสิทธิผลของการโต้ตอบช่วยให้เราได้ภาพวัตถุประสงค์ของความเพียงพอของความเป็นไปได้ในทางปฏิบัติของการใช้วิธีการโต้ตอบที่เลือก ตารางด้านบนนำเสนอวิธีการสื่อสารหลักระหว่างผู้เข้าร่วมในกระบวนการบริหารความเสี่ยง ในขั้นตอนต่างๆ ของกระบวนการ วิธีการที่กล่าวถึงสามารถปรับเปลี่ยนได้ตามลักษณะเฉพาะของขั้นตอนนี้

สิ้นสุดการทำงาน -

หัวข้อนี้เป็นของส่วน:

ทบทวนประเด็นหลักในการบริหารความเสี่ยง

ตาม ประมวลกฎหมายแพ่ง สหพันธรัฐรัสเซียกิจกรรมของผู้ประกอบการเป็นกิจกรรมอิสระที่ดำเนินการด้วยความเสี่ยงของตัวเอง.. การดำเนินกิจกรรมของผู้ประกอบการประเภทใดประเภทหนึ่งในทางใดทางหนึ่ง.. จากมุมมองของทฤษฎีการบริหารความเสี่ยงคุณสมบัติที่โดดเด่นของการเป็นผู้ประกอบการที่ควรคำนึงถึงเมื่อ ..

หากคุณต้องการ วัสดุเพิ่มเติมในหัวข้อนี้หรือคุณไม่พบสิ่งที่คุณกำลังมองหาเราขอแนะนำให้ใช้การค้นหาในฐานข้อมูลผลงานของเรา:

เราจะทำอย่างไรกับเนื้อหาที่ได้รับ:

หากเนื้อหานี้มีประโยชน์สำหรับคุณ คุณสามารถบันทึกลงในเพจของคุณบนโซเชียลเน็ตเวิร์ก:

การถอดเสียง

1 สัปดาห์ระดับชาติ; หน่วยงานสหพันธ์เพื่อการควบคุมทางเทคนิคและมาตรฐานมาตรวิทยาของสหพันธรัฐรัสเซีย GOST R ISO หลักการและแนวทางการจัดการความเสี่ยง ISO 31000:2009 หลักการและแนวทางการจัดการความเสี่ยง (IDT) สิ่งพิมพ์อย่างเป็นทางการของมอสโก Standartinform 2012

2 คำนำ เป้าหมายและหลักการของการกำหนดมาตรฐานในสหพันธรัฐรัสเซียกำหนดโดยกฎหมายของรัฐบาลกลางเมื่อวันที่ 27 ธันวาคม 2545 184-FZ "ในกฎระเบียบทางเทคนิค" และกฎสำหรับการใช้มาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย GOST R "มาตรฐานใน สหพันธรัฐรัสเซีย บทบัญญัติพื้นฐาน" ข้อมูลเกี่ยวกับมาตรฐาน 1 จัดทำโดยศูนย์วิทยาศาสตร์และเทคนิค "INTEK" บนพื้นฐานของการแปลที่แท้จริงของตัวเองเป็นภาษารัสเซียของมาตรฐานสากลที่ระบุไว้ในวรรค 4 2 แนะนำโดยคณะกรรมการด้านเทคนิคเพื่อการมาตรฐาน TC 100 "กลยุทธ์และนวัตกรรม การจัดการ" 3 ได้รับการอนุมัติและบังคับใช้ตามคำสั่งของหน่วยงานกลางด้านกฎระเบียบทางเทคนิคและมาตรวิทยาลงวันที่ 21 ธันวาคม 2553 883-st 4 มาตรฐานนี้เหมือนกับมาตรฐานสากล ISO 31000:2009 “การบริหารความเสี่ยง หลักการและแนวทาง" (ISO 31000:2009 "หลักการและแนวทางการจัดการความเสี่ยง") 5 ได้รับการแนะนำเป็นครั้งแรก ข้อมูลเกี่ยวกับการเปลี่ยนแปลงมาตรฐานนี้ได้รับการเผยแพร่ในดัชนีข้อมูลที่เผยแพร่เป็นประจำทุกปี "มาตรฐานแห่งชาติ" และข้อความของการเปลี่ยนแปลงและการแก้ไขใน ดัชนีข้อมูลที่เผยแพร่รายเดือน "มาตรฐานแห่งชาติ" " ในกรณีที่มีการแก้ไข (แทนที่) หรือยกเลิกมาตรฐานนี้ ประกาศที่เกี่ยวข้องจะถูกเผยแพร่ในดัชนีข้อมูลที่เผยแพร่รายเดือน "มาตรฐานแห่งชาติ" ข้อมูล ประกาศ และข้อความที่เกี่ยวข้องยังถูกโพสต์ในระบบข้อมูลสาธารณะบนเว็บไซต์อย่างเป็นทางการของ Federal Agency for Technical Regulation and Metrology on the Internet Standardinform, 2012 มาตรฐานนี้ไม่สามารถทำซ้ำ ทำซ้ำ และแจกจ่ายทั้งหมดหรือบางส่วนเป็นสิ่งพิมพ์อย่างเป็นทางการได้ โดยไม่ได้รับอนุญาตจากหน่วยงานกลางด้านกฎระเบียบทางเทคนิคและมาตรวิทยา

3 RUSSIAN STATE LIBRARY 2012 L... เนื้อหา 1 ขอบเขต 1 2 ข้อกำหนดและคำจำกัดความ 1 3 หลักการ 6 4 โครงสร้างพื้นฐาน อำนาจทั่วไปและภาระผูกพัน การพัฒนาโครงสร้างพื้นฐานการบริหารความเสี่ยง การดำเนินการตามการบริหารความเสี่ยง การติดตามและทบทวนโครงสร้างพื้นฐานการบริหารความเสี่ยง การปรับปรุงโครงสร้างพื้นฐานอย่างต่อเนื่อง 10 5 กระบวนการ บทบัญญัติทั่วไป การสื่อสารและการให้คำปรึกษา การกำหนดสถานการณ์ การประเมินความเสี่ยง การดำเนินการกับความเสี่ยง การติดตามและทบทวน การบันทึกกระบวนการบริหารความเสี่ยง 16 ภาคผนวก A (ข้อมูล) คุณลักษณะของการบริหารความเสี่ยงที่ได้รับการปรับปรุง 17 บรรณานุกรม

4 บทนำ องค์กรทุกประเภทและทุกขนาดต้องเผชิญกับภายในและ ปัจจัยภายนอกและผลกระทบที่สร้างความไม่แน่นอนว่าพวกเขาจะบรรลุเป้าหมายหรือไม่และเมื่อใด ผลกระทบของความไม่แน่นอนดังกล่าวต่อเป้าหมายขององค์กรคือ “ความเสี่ยง” กิจกรรมทั้งหมดขององค์กรมีความเสี่ยง องค์กรจัดการความเสี่ยงโดยการระบุ วิเคราะห์ และประเมินว่าความเสี่ยงจะได้รับการแก้ไขโดยการแทรกแซงเพื่อให้ตรงตามเกณฑ์ความเสี่ยงที่กำหนดไว้หรือไม่ ตลอดกระบวนการนี้ พวกเขาแลกเปลี่ยนข้อมูลและปรึกษากับผู้มีส่วนได้ส่วนเสีย ติดตามและทบทวนความเสี่ยงและการดำเนินการควบคุมที่เปลี่ยนแปลงความเสี่ยงเพื่อให้แน่ใจว่าไม่จำเป็นต้องดำเนินการกับความเสี่ยงเพิ่มเติม มาตรฐานนี้อธิบายกระบวนการที่เป็นระบบและเชิงตรรกะนี้โดยละเอียด เนื่องจากทุกองค์กรจัดการความเสี่ยงได้ในระดับหนึ่ง มาตรฐานสากลนี้จึงกำหนดหลักการหลายประการที่ต้องปฏิบัติตามเพื่อให้การบริหารความเสี่ยงมีประสิทธิผล มาตรฐานสากลนี้แนะนำให้องค์กรพัฒนา นำไปใช้ และปรับปรุงโครงสร้างพื้นฐานอย่างต่อเนื่องโดยมีวัตถุประสงค์เพื่อรวมกระบวนการบริหารความเสี่ยงเข้ากับการกำกับดูแลโดยรวม กลยุทธ์และการวางแผน การจัดการ กระบวนการรายงาน นโยบาย ค่านิยม และวัฒนธรรม การบริหารความเสี่ยง 1) สามารถนำไปใช้กับทั้งองค์กรได้ตลอดเวลาในหลายพื้นที่และหลายระดับตลอดจนหน้าที่โครงการและกิจกรรมเฉพาะ แม้จะมีการพัฒนาแนวทางการจัดการอย่างต่อเนื่องในหลายอุตสาหกรรมเพื่อตอบสนองความต้องการที่แตกต่างกันในการดำเนินการ กระบวนการถาวรภายในโครงสร้างพื้นฐานโดยรวมสามารถรองรับการบริหารความเสี่ยงที่มีประสิทธิภาพและประสิทธิผลทั่วทั้งองค์กร แนวทางทั่วไปที่อธิบายไว้ในมาตรฐานนี้กำหนดหลักการและแนวทางในการจัดการความเสี่ยงในรูปแบบใดๆ ในลักษณะที่เป็นระบบ โปร่งใส และเชื่อถือได้ และภายในขอบเขตและเนื้อหาใดๆ แต่ละอุตสาหกรรมหรือการประยุกต์ใช้การจัดการความเสี่ยงโดยเฉพาะมีความต้องการ ผู้บริโภค การรับรู้ และหลักเกณฑ์ที่แตกต่างกันไป ดังนั้น คุณลักษณะที่สำคัญของมาตรฐานนี้คือการรวม "การกำหนดสถานการณ์ (บริบท)" ไว้ในกิจกรรมที่ดำเนินการเมื่อเริ่มต้นกระบวนการบริหารความเสี่ยงโดยรวม เมื่อกำหนดสถานการณ์ (บริบท) จำเป็นต้องพิจารณาเป้าหมายขององค์กร สภาพแวดล้อมที่บรรลุเป้าหมายเหล่านี้ ผู้มีส่วนได้ส่วนเสีย และเกณฑ์ความเสี่ยงที่หลากหลาย ซึ่งทั้งหมดนี้ช่วยในการระบุและประเมินลักษณะและความซับซ้อนของสิ่งเหล่านี้ ความเสี่ยง รูปที่ 1 แสดงความสัมพันธ์ระหว่างหลักการบริหารความเสี่ยง โครงสร้างพื้นฐาน และกระบวนการบริหารความเสี่ยงที่อธิบายไว้ในมาตรฐานนี้ เมื่อประยุกต์และรักษาไว้ตามมาตรฐานสากลนี้ การบริหารความเสี่ยงจะช่วยให้องค์กร: - เพิ่มความสามารถในการบรรลุวัตถุประสงค์; - สนับสนุนการจัดการเชิงรุก — ตระหนักถึงความจำเป็นในการระบุและจัดการกับความเสี่ยงทั่วทั้งองค์กร - ปรับปรุงการระบุโอกาสและภัยคุกคาม - ปฏิบัติตามข้อกำหนดทางกฎหมายที่เกี่ยวข้องและข้อกำหนดบังคับอื่น ๆ และมาตรฐานสากล - ปรับปรุงบังคับและ การรายงานการจัดการ- - ปรับปรุงการจัดการ - เสริมสร้างความไว้วางใจของผู้มีส่วนได้ส่วนเสีย - สร้างพื้นฐานที่เชื่อถือได้สำหรับการตัดสินใจและการวางแผน - ปรับปรุงการจัดการ - กระจายและใช้ทรัพยากรอย่างมีประสิทธิภาพเพื่อจัดการกับความเสี่ยง - เพิ่มประสิทธิภาพและประสิทธิผลในการทำงาน 1> ด้วยเหตุนี้ แนวปฏิบัติการใช้งานที่แตกต่างกันจึงถูกสร้างขึ้นในหลายพื้นที่เกี่ยวกับแนวคิดของ "การจัดการความเสี่ยง" ดังนั้นวลี "การบริหารความเสี่ยง" จึงมักพบในวรรณกรรมทางวิทยาศาสตร์และทางเทคนิค นอกจากนี้ ในข้อความของมาตรฐาน หากเหมาะสม เพื่อความง่าย วลีนี้จะถูกใช้ควบคู่กับวลีที่ยอมรับโดยทั่วไป

5 - เพิ่มระดับความปลอดภัย สุขภาพ และการคุ้มครองสิ่งแวดล้อม - ปรับปรุงการป้องกันการสูญเสียและการจัดการเหตุการณ์ - ลดการสูญเสียให้เหลือน้อยที่สุด - ปรับปรุงการฝึกอบรมในองค์กร - เพิ่มความยั่งยืนขององค์กร มาตรฐานสากลนี้มีจุดมุ่งหมายเพื่อตอบสนองความต้องการของผู้มีส่วนได้เสียที่หลากหลาย รวมถึง: ก) ผู้ที่รับผิดชอบในการพัฒนานโยบายการบริหารความเสี่ยงภายในองค์กร b) ผู้รับผิดชอบในการรับรองการบริหารความเสี่ยงที่มีประสิทธิผลภายในองค์กรโดยรวมหรือภายในพื้นที่ โครงการ หรือกิจกรรมเฉพาะ ค) บุคคลที่ต้องการประเมินประสิทธิผลขององค์กรในการบริหารความเสี่ยง ง) ผู้พัฒนามาตรฐาน แนวปฏิบัติ ขั้นตอนปฏิบัติ และแนวปฏิบัติที่ดีทั้งหมดหรือบางส่วน กำหนดวิธีการดำเนินการบริหารความเสี่ยงภายในสถานการณ์เฉพาะในเอกสารเหล่านี้ แนวทางปฏิบัติและกระบวนการจัดการในปัจจุบันของหลายองค์กรรวมถึงองค์ประกอบของการบริหารความเสี่ยง และหลายองค์กรใช้กระบวนการบริหารความเสี่ยงอย่างเป็นทางการสำหรับประเภทความเสี่ยงหรือสถานการณ์เฉพาะอยู่แล้ว ในกรณีเหล่านี้ องค์กรอาจตัดสินใจที่จะดำเนินการทบทวนแนวทางปฏิบัติและกระบวนการอย่างมีวิจารณญาณตามมาตรฐานสากลนี้ มาตรฐานนี้ใช้ทั้งคำว่า "การบริหารความเสี่ยง" และคำว่า "การจัดการความเสี่ยง" ใน โครงร่างทั่วไป"การบริหารความเสี่ยง" หมายถึงสถาปัตยกรรม (หลักการ โครงสร้างพื้นฐาน และกระบวนการ) ของการบริหารความเสี่ยงที่มีประสิทธิผล ในขณะที่ "การบริหารความเสี่ยง" หมายถึงการนำสถาปัตยกรรมนั้นไปประยุกต์ใช้กับความเสี่ยงเฉพาะ มาตรฐานสากลจัดทำโดยคณะทำงานบริหารความเสี่ยงของสำนักงานกำกับดูแลด้านเทคนิคไอเอสโอ (TMB) a) สร้างคุณค่า b) เป็นส่วนสำคัญของกระบวนการขององค์กร c) เป็นส่วนหนึ่งของการตัดสินใจ d) จัดการกับความไม่แน่นอนโดยเฉพาะ e) เป็นระบบ มีโครงสร้างและทันเวลา f) ขึ้นอยู่กับข้อมูลที่ดีที่สุดที่มีอยู่ e) ได้รับการปรับแต่ง h) คำนึงถึงมนุษย์และ ปัจจัยทางวัฒนธรรม i) มีความโปร่งใสและครอบคลุม j) มีพลวัต เป็นรูปธรรม และตอบสนองต่อการเปลี่ยนแปลง j) ส่งเสริมการปรับปรุงและปรับปรุงอย่างต่อเนื่องขององค์กร การปรับปรุงโครงสร้างพื้นฐานอย่างต่อเนื่อง (4.6) การวางแผนและความมุ่งมั่น (4.2) กรอบโครงสร้างพื้นฐานการบริหารความเสี่ยง (4.3) การติดตามโครงสร้างพื้นฐาน และการวิเคราะห์ (4.5) โครงสร้างพื้นฐาน (ส่วนที่ 4) การประยุกต์การบริหารความเสี่ยง (4.4) คำจำกัดความของสถานการณ์ (5.3) การประเมินความเสี่ยง (5.4) การระบุความเสี่ยง (5.4.2) การวิเคราะห์ความเสี่ยง (5.4.3) การประเมินความเสี่ยง (5.4.4) ความเสี่ยง (5.5) กระบวนการ (ส่วนที่ 5 ) รูปที่ 1 ความสัมพันธ์ระหว่างหลักการบริหารความเสี่ยง โครงสร้างพื้นฐาน และกระบวนการ

6 GOST R มาตรฐาน ISO แห่งชาติของสหพันธรัฐรัสเซีย หลักการและแนวทางการจัดการความเสี่ยง การจัดการความเสี่ยง หลักการและแนวปฏิบัติ วันที่แนะนำ ขอบเขต มาตรฐานนี้ให้หลักการและคำแนะนำทั่วไปสำหรับการบริหารความเสี่ยง มาตรฐานนี้อาจนำไปใช้โดยภาครัฐ เอกชน หรือ รัฐวิสาหกิจสมาคม คณะบุคคล หรือ รายบุคคล- มาตรฐานนี้ไม่เฉพาะเจาะจงกับอุตสาหกรรมหรือภาคส่วนใดๆ หมายเหตุ ผู้ใช้มาตรฐานนี้ที่แตกต่างกันทั้งหมดจะเรียกเพื่อความสะดวกโดยใช้คำว่า "องค์กร" มาตรฐานนี้สามารถนำไปใช้ได้ตลอด วงจรชีวิตองค์กรและกิจกรรมต่างๆ มากมาย รวมถึงกลยุทธ์และการตัดสินใจ การดำเนินงาน กระบวนการ หน้าที่ โครงการ ผลิตภัณฑ์ บริการ และสินทรัพย์ มาตรฐานนี้สามารถนำไปใช้กับความเสี่ยงทุกประเภท โดยไม่คำนึงถึงลักษณะของความเสี่ยง และไม่ว่าจะมีผลกระทบเชิงลบหรือเชิงบวกก็ตาม แม้ว่ามาตรฐานสากลนี้จะให้แนวทางทั่วไป แต่ก็ไม่ได้มีจุดมุ่งหมายเพื่อให้มั่นใจว่ามีการบริหารความเสี่ยงที่สม่ำเสมอในทุกองค์กร เมื่อสร้างและใช้แผนโครงสร้างพื้นฐานการบริหารความเสี่ยงจำเป็นต้องคำนึงถึงความต้องการที่หลากหลายขององค์กรเฉพาะวัตถุประสงค์เฉพาะสถานการณ์ (บริบท) โครงสร้างการดำเนินงานกระบวนการกระบวนการฟังก์ชันโครงการผลิตภัณฑ์บริการหรือสินทรัพย์และ แนวทางปฏิบัติเฉพาะที่นำมาใช้ในองค์กร ควรเข้าใจสิ่งนี้หมายความว่าควรใช้มาตรฐานนี้เพื่อให้กระบวนการบริหารความเสี่ยงที่อธิบายไว้ในมาตรฐานที่มีอยู่และในอนาคตสอดคล้องกัน มันตั้งค่า วิธีการทั่วไปเพื่อรองรับมาตรฐานที่ครอบคลุมความเสี่ยงและ/หรืออุตสาหกรรมเฉพาะ และไม่แทนที่มาตรฐานเหล่านั้น มาตรฐานนี้ไม่ได้มีวัตถุประสงค์เพื่อการรับรอง 2 ข้อกำหนดและคำจำกัดความ ข้อกำหนดและคำจำกัดความต่อไปนี้ใช้ตลอดมาตรฐานนี้: 2.1 ความเสี่ยง: ผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์ หมายเหตุ 1 ผลกระทบคือการเบี่ยงเบนไปจากสิ่งที่คาดหวัง (เชิงบวกและ/หรือเชิงลบ) หมายเหตุ 2 เป้าหมายอาจมี ด้านต่างๆ(เช่น วัตถุประสงค์ทางการเงิน สิ่งแวดล้อม สุขภาพ และความปลอดภัย) และสามารถนำไปใช้ได้ในระดับที่แตกต่างกัน (เชิงกลยุทธ์ องค์กร โครงการ ผลิตภัณฑ์ หรือกระบวนการ) หมายเหตุ 3: ความเสี่ยงมักมีลักษณะโดยการอ้างอิงถึงเหตุการณ์ที่อาจเกิดขึ้น (2.17) และผลที่ตามมา (2.18) หรือการรวมกันของสิ่งเหล่านี้ สิ่งพิมพ์อย่างเป็นทางการ

7 หมายเหตุ 4 ความเสี่ยงมักแสดงเป็นการรวมกันของผลของเหตุการณ์ (รวมถึงการเปลี่ยนแปลงในสถานการณ์) และความน่าจะเป็นที่เกี่ยวข้องหรือความเป็นไปได้ที่จะเกิดขึ้น (2.19) หมายเหตุ 5 ความไม่แน่นอนคือสภาวะของข้อมูล ความเข้าใจ หรือความรู้ไม่เพียงพอแม้แต่บางส่วนเกี่ยวกับเหตุการณ์ ผลที่ตามมา หรือความเป็นไปได้ของเหตุการณ์ [ISO Guide 73:2009 คำจำกัดความ 1.1] 2.2 การบริหารความเสี่ยง การบริหารความเสี่ยง: การดำเนินการประสานงานเพื่อจัดการองค์กรโดยคำนึงถึงความเสี่ยง (2.1) [ISO Guide 73:2009, คำจำกัดความ 2.1] 2.3 ชุดกรอบการบริหารความเสี่ยงของส่วนประกอบที่ให้กรอบงานและการจัดเตรียมองค์กรและโครงสร้างสำหรับการพัฒนา การนำไปปฏิบัติ ติดตาม (2.28) การทบทวนและปรับปรุงการบริหารความเสี่ยงอย่างต่อเนื่อง (2.2) ในองค์กร- มาตราส่วนกว้าง หมายเหตุ 1 กรอบการทำงานประกอบด้วยนโยบายการบริหารความเสี่ยง วัตถุประสงค์ อำนาจหน้าที่ และพันธกรณี (2.1) หมายเหตุ 2: การจัดการและโครงสร้างองค์กรประกอบด้วยแผน ความสัมพันธ์ ความรับผิดชอบ ทรัพยากร กระบวนการ และกิจกรรม หมายเหตุ 3 โครงสร้างพื้นฐานการบริหารความเสี่ยงฝังอยู่ในนโยบายและแนวปฏิบัติเชิงกลยุทธ์และการดำเนินงานทั้งหมดขององค์กร [ISO Guide 73:2009, คำจำกัดความ 2.1.1] 2.4 คำแถลงนโยบายการบริหารความเสี่ยงเกี่ยวกับความตั้งใจโดยรวมและทิศทางขององค์กรที่เกี่ยวข้องกับการบริหารความเสี่ยง (2.2) [ISO Guide 73:2009 คำจำกัดความ 2.1.2] 2.5 ทัศนคติต่อความเสี่ยง: แนวทางขององค์กรในการประเมินและคว้าโอกาสในท้ายที่สุด การรักษา การยอมรับ หรือหลีกเลี่ยงความเสี่ยง (2.1) [ISO Guide 73:2009, คำจำกัดความ] 2.6 เอกสารแผนการจัดการความเสี่ยงในกรอบการบริหารความเสี่ยง (2.3) ที่กำหนดแนวทาง การควบคุม และทรัพยากรที่ใช้ในการจัดการความเสี่ยง (2.1) หมายเหตุ 1 โดยทั่วไปองค์ประกอบของการบริหารความเสี่ยงประกอบด้วยขั้นตอน แนวปฏิบัติ การมอบหมายหน้าที่และความรับผิดชอบ ลำดับและระยะเวลาของกิจกรรม หมายเหตุ 2: แผนการจัดการความเสี่ยงสามารถนำไปใช้กับผลิตภัณฑ์ กระบวนการ และโครงการเฉพาะ และกับบางส่วนหรือทั้งหมดขององค์กร [ISO Guide 73:2009 คำจำกัดความ 2.1.3] 2.7 บุคคลที่เป็นเจ้าของความเสี่ยงหรือหน่วยงานองค์กรที่มีอำนาจและความรับผิดชอบในการบริหารความเสี่ยง (2.1) [ISO Guide 73:2009 คำจำกัดความ] 2.8 กระบวนการบริหารความเสี่ยง: การประยุกต์ใช้นโยบาย ขั้นตอน และแนวปฏิบัติการจัดการอย่างเป็นระบบกับกิจกรรมการสื่อสาร การให้คำปรึกษา การสร้างสถานการณ์ (บริบท) และการระบุ การวิเคราะห์ การประเมิน และการจัดการความเสี่ยง การติดตาม ( 2. 28) และการทบทวนความเสี่ยง (2.1) [คู่มือ ISO 73:2009 คำจำกัดความ 3.1]

8 2.9 การกำหนดบริบทที่กำหนดพารามิเตอร์ภายนอกและภายในที่จะนำมาพิจารณาในการบริหารความเสี่ยงและกำหนดขอบเขตและเกณฑ์ความเสี่ยง (2.22) สำหรับนโยบายการบริหารความเสี่ยง (2.4) [ISO Guide 73:2009, คำจำกัดความ 3.3.1] 2.10 บริบทภายนอก: สภาพแวดล้อมภายนอกที่องค์กรมุ่งมั่นที่จะบรรลุเป้าหมาย หมายเหตุ สถานการณ์ภายนอก (บริบท) อาจรวมถึง: - วัฒนธรรม สังคม กฎหมาย กฎระเบียบ การเงิน เทคโนโลยี เศรษฐกิจ ธรรมชาติ และสภาพแวดล้อมทางการตลาดในระดับนานาชาติ ระดับชาติ ภูมิภาค หรือท้องถิ่น; - แรงผลักดันหลักและแนวโน้มที่มีอิทธิพลต่อเป้าหมายขององค์กร - ความสัมพันธ์กับผู้มีส่วนได้ส่วนเสีย (2.13) ความคาดหวังและค่านิยมของพวกเขา [ISO Guide 73:2009, คำจำกัดความ] 2.11 บริบทภายใน: สภาพแวดล้อมภายในที่องค์กรมุ่งมั่นที่จะบรรลุวัตถุประสงค์ หมายเหตุ สถานการณ์ภายใน (บริบท) อาจรวมถึง: - การจัดการ โครงสร้างองค์กร บทบาทและความรับผิดชอบ - - นโยบาย เป้าหมาย และกลยุทธ์ที่มีในแง่ของความสำเร็จ - ความสามารถที่เข้าใจเกี่ยวกับทรัพยากรและความรู้ (เช่น ทุน เวลา ผู้คน กระบวนการ ระบบ และเทคโนโลยี) - ระบบสารสนเทศการไหลของข้อมูลและกระบวนการตัดสินใจ (ทั้งที่เป็นทางการและไม่เป็นทางการ) - ความสัมพันธ์กับผู้มีส่วนได้ส่วนเสียภายใน ความคาดหวัง และค่านิยมของพวกเขา - วัฒนธรรมองค์กร- — มาตรฐาน แนวปฏิบัติ และแบบจำลองที่องค์กรนำมาใช้ - รูปแบบและเนื้อหาของความสัมพันธ์ตามสัญญา [ISO Guide 73:2009, คำจำกัดความ] 2.12 การสื่อสารและการให้คำปรึกษาอย่างต่อเนื่องและกระบวนการวนซ้ำที่องค์กรดำเนินการเพื่อให้ แบ่งปัน หรือรับข้อมูลและการหารือกับผู้มีส่วนได้เสีย (2.13) ที่เกี่ยวข้องกับการบริหารความเสี่ยง (2.1) หมายเหตุ 1: ข้อมูลอาจเกี่ยวข้องกับการมีอยู่ ธรรมชาติ รูปแบบ ความน่าจะเป็นหรือความเป็นไปได้ (2.19) ความสำคัญ การยอมรับ การประเมิน (2.24) และผลกระทบต่อความเสี่ยง (2.25) หมายเหตุ 2 การปรึกษาหารือเป็นกระบวนการสองทางในการแลกเปลี่ยนข้อมูลที่มีคุณสมบัติเหมาะสมระหว่างองค์กรและผู้มีส่วนได้เสียในประเด็นใดๆ ก่อนตัดสินใจหรือก่อนกำหนดทิศทางของปัญหา การให้คำปรึกษาคือ: - กระบวนการที่มีอิทธิพลต่อการตัดสินใจโดยใช้อิทธิพล ไม่ใช่อำนาจ - จุดเริ่มต้นของการตัดสินใจมากกว่าการตัดสินใจร่วมกัน [ISO Guide 73:2009 คำจำกัดความ 3.2.1] 2.13 ผู้มีส่วนได้ส่วนเสีย: บุคคลหรือองค์กรที่อาจส่งผลกระทบ ได้รับผลกระทบจาก หรือเชื่อว่าพวกเขาได้รับผลกระทบจากการตัดสินใจหรือกิจกรรม หมายเหตุ ผู้มีอำนาจตัดสินใจอาจเป็นผู้มีส่วนได้เสีย [ISO Guide 73:2009, คำจำกัดความ] 2.14 กระบวนการประเมินความเสี่ยงโดยรวมของการระบุความเสี่ยง (2.15), การวิเคราะห์ความเสี่ยง (2.21) และการประเมินความเสี่ยง (2.24) [คู่มือ ISO 73:2009 คำจำกัดความ 3.4.1]

9 2.15 การระบุความเสี่ยง: กระบวนการตรวจจับ รับรู้ และอธิบายความเสี่ยง (2.1) หมายเหตุ 1 การระบุรวมถึงการรับรู้แหล่งที่มาของความเสี่ยง (2.16) เหตุการณ์ (2.17) สาเหตุ และ ผลที่ตามมาที่เป็นไปได้ (2.18) หมายเหตุ 2: การระบุความเสี่ยงสามารถใช้ข้อมูลในอดีต การวิเคราะห์ทางทฤษฎี มุมมองที่มีข้อมูล และความคิดเห็นของผู้เชี่ยวชาญ และความต้องการของผู้มีส่วนได้เสีย (2.13) [ISO Guide 73:2009, คำจำกัดความ 3.5.1] 2.16 แหล่งที่มาของความเสี่ยง: องค์ประกอบที่อาจก่อให้เกิดความเสี่ยงโดยลำพังหรือรวมกันก็ได้ (2.1) หมายเหตุ แหล่งที่มาของความเสี่ยงอาจมีสาระสำคัญหรือไม่มีตัวตน [ISO Guide 73:2009, คำจำกัดความ] 2.17 เหตุการณ์: การเกิดขึ้นหรือการเปลี่ยนแปลงชุดของสถานการณ์เฉพาะ หมายเหตุ 1 เหตุการณ์สามารถมีได้ตั้งแต่หนึ่งจุดขึ้นไปและสามารถมีได้หลายสาเหตุ หมายเหตุ 2 เหตุการณ์หนึ่งอาจเป็นได้ว่าไม่มีปรากฏการณ์บางอย่างเกิดขึ้น หมายเหตุ 3 บางครั้งเหตุการณ์อาจถูกพิจารณาว่าเป็น "เหตุการณ์" หรือ "อุบัติเหตุ" หมายเหตุ 4 เหตุการณ์ที่ไม่เป็นผลตามมา (2.18) ยังถือเป็น “โอกาส” “เหตุการณ์” “ใกล้พลาด” หรือ “ใกล้พลาด” ได้เช่นกัน [ISO Guide 73:2009, คำจำกัดความ] 2.18 ผลที่ตามมา: ผลลัพธ์ของเหตุการณ์ (2.17) ที่ส่งผลต่อวัตถุประสงค์ หมายเหตุ 1 เหตุการณ์สามารถนำไปสู่ผลที่ตามมาหลายประการ หมายเหตุ 2: ผลที่ตามมาอาจมีความชัดเจนหรือไม่แน่นอน และอาจมีผลกระทบเชิงบวกหรือเชิงลบต่อวัตถุประสงค์ หมายเหตุ 3 ผลที่ตามมาอาจแสดงออกมาในเชิงคุณภาพหรือเชิงปริมาณ หมายเหตุ 4 เอฟเฟ็กต์เริ่มต้นอาจถูกขยายโดยเอฟเฟ็กต์โดมิโน [ISO Guide 73:2009 คำจำกัดความ] 2.19 ความน่าจะเป็น ความน่าจะเป็น: โอกาสที่บางสิ่งจะเกิดขึ้น หมายเหตุ 1 ในศัพท์เฉพาะของการบริหารความเสี่ยง คำว่า “ความน่าจะเป็น” หรือ “ความเป็นไปได้” หมายถึงโอกาสที่บางสิ่งอาจเกิดขึ้น ไม่ว่าจะทราบแน่ชัด วัดผล หรือกำหนดโดยเป็นกลางหรือทางอัตวิสัย ในเชิงคุณภาพหรือเชิงปริมาณ และไม่ว่าจะอธิบายไว้ในแนวคิดทั่วไปหรือ ในทางคณิตศาสตร์ (เช่น ความน่าจะเป็นหรือความถี่ในช่วงเวลาที่กำหนด) หมายเหตุ 2 คำศัพท์ภาษาอังกฤษ "likelihood" ไม่มีการแปลโดยตรงในบางภาษา มักใช้คำแปล "ความน่าจะเป็น" แทน อย่างไรก็ตาม ในภาษาอังกฤษ คำว่า (ความน่าจะเป็น) มักเข้าใจกันในความหมายทางคณิตศาสตร์ที่แคบ ดังนั้นในศัพท์เฉพาะของการบริหารความเสี่ยง คำว่า “โอกาส” จึงถูกใช้เพื่อให้ความหมายกว้างๆ แบบเดียวกับที่คำว่า “ความน่าจะเป็น” มีในหลายภาษานอกเหนือจากภาษาอังกฤษ [ISO Guide 73:2009, คำจำกัดความ] 2.20 โปรไฟล์ความเสี่ยง: คำอธิบายชุดความเสี่ยง (2. 1) หมายเหตุ ชุดนี้อาจรวมถึงความเสี่ยงที่ใช้กับทั้งองค์กร บางส่วน หรือถูกกำหนดไว้เป็นอย่างอื่น [คู่มือ ISO 73:2009 คำจำกัดความ]

10 2.21 การวิเคราะห์ความเสี่ยง: กระบวนการทำความเข้าใจลักษณะของความเสี่ยง (2.1) และการกำหนดระดับความเสี่ยง (2.23) หมายเหตุ 1: การวิเคราะห์ความเสี่ยงเป็นพื้นฐานสำหรับการประเมินความเสี่ยง (2.24) และการตัดสินใจเกี่ยวกับการบริหารความเสี่ยง (2.25) หมายเหตุ 2 การวิเคราะห์ความเสี่ยงเกี่ยวข้องกับการกำหนดระดับความเสี่ยง [ISO Guide 73:2009, คำจำกัดความ 3.6.1] 2.22 เกณฑ์ความเสี่ยง: คุณลักษณะที่ใช้ประเมินความสำคัญของความเสี่ยง (2.1) หมายเหตุ 1 เกณฑ์ความเสี่ยงขึ้นอยู่กับวัตถุประสงค์ขององค์กรและสถานการณ์ภายนอก (2.10) และสถานการณ์ภายใน (บริบท) (2.11) หมายเหตุ 2 เกณฑ์ความเสี่ยงอาจได้มาจากมาตรฐาน กฎหมาย นโยบาย และข้อกำหนดอื่นๆ [ISO Guide 73:2009, คำจำกัดความ] 2.23 ระดับขนาดความเสี่ยงของความเสี่ยง (2.1) หรือความเสี่ยงรวมกัน ซึ่งแสดงเป็นผลที่ตามมารวมกัน (2.18) และความน่าจะเป็นหรือความเป็นไปได้ (2.19) [ISO Guide 73:2009, คำจำกัดความ] 2.24 กระบวนการประเมินความเสี่ยงในการเปรียบเทียบผลลัพธ์ของการวิเคราะห์ความเสี่ยง (2.21) กับเกณฑ์ความเสี่ยงที่กำหนดไว้ (2.22) เพื่อพิจารณาว่าความเสี่ยง (2.1) และ/หรือขนาดของความเสี่ยงนั้นเป็นที่ยอมรับหรือยอมรับได้ หมายเหตุ การประเมินความเสี่ยงมีส่วนช่วยในการตัดสินใจเกี่ยวกับการรักษาความเสี่ยง (2.25) [ISO Guide 73:2009, คำจำกัดความ 3.7.1] 2.25 กระบวนการบำบัดความเสี่ยงในการปรับเปลี่ยนความเสี่ยง (2.1) หมายเหตุ 1 การจัดการความเสี่ยงอาจรวมถึง: - การหลีกเลี่ยงความเสี่ยงโดยการตัดสินใจไม่เริ่มต้นหรือดำเนินกิจกรรมที่ก่อให้เกิดความเสี่ยงต่อไป - การรับหรือเพิ่มความเสี่ยงเพื่อใช้ประโยชน์จากโอกาส - ขจัดแหล่งที่มาของความเสี่ยง (2.16) - การเปลี่ยนแปลงความน่าจะเป็นหรือความเป็นไปได้ (2.19) - การเปลี่ยนแปลงผลที่ตามมา (2.18) - แบ่งปันความเสี่ยงกับฝ่ายอื่นหรือฝ่ายอื่น (รวมถึงสัญญาและการจัดหาเงินทุนความเสี่ยง) - การรักษาความเสี่ยงอย่างมีสติ หมายเหตุ 2: การจัดการกับความเสี่ยงที่มีผลกระทบเชิงลบบางครั้งเรียกว่า “การลดความเสี่ยง” “การขจัดความเสี่ยง” “การป้องกันความเสี่ยง” และ “การลดความเสี่ยง” หมายเหตุ 3 การแทรกแซงความเสี่ยงอาจสร้างความเสี่ยงใหม่หรือเปลี่ยนแปลงความเสี่ยงที่มีอยู่ [ISO Guide 73:2009, คำจำกัดความ 3.8.1] 2.26 การควบคุมความเสี่ยง: มาตรการที่ปรับเปลี่ยนความเสี่ยง (2.1) หมายเหตุ 1 การควบคุมความเสี่ยงอาจรวมถึงกระบวนการ นโยบาย ขั้นตอน แนวปฏิบัติ หรือการดำเนินการอื่นใดที่ปรับเปลี่ยนความเสี่ยง หมายเหตุ 2 การควบคุมความเสี่ยงอาจไม่ได้ผลตามที่ต้องการหรือคาดหวังเสมอไป [คู่มือ ISO 73:2009 คำจำกัดความ]

11 2.27 ความเสี่ยงคงเหลือ: ความเสี่ยง (2.1) คงเหลือหลังจากได้รับความเสี่ยง (2.25) หมายเหตุ หมายเหตุ 1 ความเสี่ยงคงเหลืออาจมีความเสี่ยงที่ไม่สามารถระบุได้ 2 ความเสี่ยงคงเหลืออาจเรียกว่า “ความเสี่ยงที่คงอยู่” [ISO Guide 73:2009, คำจำกัดความ] 2.28 การตรวจสอบ: การตรวจสอบอย่างต่อเนื่อง การเฝ้าระวัง การสังเกตวิกฤต หรือการกำหนดสภาวะเพื่อระบุการเปลี่ยนแปลงที่สัมพันธ์กับระดับที่ต้องการหรือที่คาดหวัง หมายเหตุ การติดตามสามารถนำไปใช้กับโครงสร้างพื้นฐานการบริหารความเสี่ยง (2.3) กระบวนการบริหารความเสี่ยง (2.8) ความเสี่ยง (2.1) หรือการควบคุมความเสี่ยง (2.26) [ISO Guide 73:2009, คำจำกัดความ] 2.29 การทบทวน: กิจกรรมที่ดำเนินการเพื่อพิจารณาความเหมาะสม ความเพียงพอ และประสิทธิผลของเรื่องที่อยู่ระหว่างการทบทวนเพื่อให้บรรลุวัตถุประสงค์ที่ระบุ หมายเหตุ กระบวนการทบทวนสามารถนำไปใช้กับกรอบการบริหารความเสี่ยง (2.3) กระบวนการบริหารความเสี่ยง (2.8) ความเสี่ยง (2.1) หรือการควบคุมความเสี่ยง (2.26) [ISO Guide 73:2009, คำจำกัดความ] หลักการ 3 ประการ เพื่อบริหารความเสี่ยงอย่างมีประสิทธิผล องค์กรควรปฏิบัติตามหลักการต่อไปนี้ในทุกระดับ: ก) การบริหารความเสี่ยงสร้างและปกป้องคุณค่า 1. การบริหารความเสี่ยงมีส่วนช่วยให้บรรลุวัตถุประสงค์และปรับปรุงประสิทธิภาพได้อย่างแสดงให้เห็น เช่น การรับรองสุขภาพและความปลอดภัยของมนุษย์ การป้องกัน การปฏิบัติตามข้อกำหนดทางกฎหมายและกฎระเบียบอื่น ๆ การยอมรับของสาธารณะ การคุ้มครองสิ่งแวดล้อม คุณภาพผลิตภัณฑ์ การจัดการโครงการ การปฏิบัติหน้าที่ การกำกับดูแล และชื่อเสียง b) การบริหารความเสี่ยงเป็นส่วนสำคัญของกระบวนการบริหารความเสี่ยงขององค์กรทั้งหมด . ไม่ใช่กิจกรรมแยกต่างหากที่แยกจากกิจกรรมหลักและกระบวนการขององค์กร การบริหารความเสี่ยงเป็นส่วนหนึ่งของความรับผิดชอบของฝ่ายบริหารและเป็นส่วนสำคัญของกระบวนการขององค์กรทั้งหมด รวมถึงการวางแผนเชิงกลยุทธ์และกระบวนการจัดการโครงการและการเปลี่ยนแปลงทั้งหมด เป็นส่วนหนึ่งของกระบวนการยอมรับ การจัดการความเสี่ยงช่วยให้ผู้มีอำนาจตัดสินใจมีข้อมูลในการตัดสินใจ จัดลำดับความสำคัญของการดำเนินการ และแยกแยะความแตกต่างระหว่างแนวทางปฏิบัติทางเลือกอื่นๆ d) การบริหารความเสี่ยงเกี่ยวข้องกับความไม่แน่นอนอย่างชัดเจน การจัดการความเสี่ยงคำนึงถึงความไม่แน่นอน ลักษณะของความไม่แน่นอนนี้ และวิธีการจัดการกับความไม่แน่นอนอย่างชัดเจน จ) การบริหารความเสี่ยงเป็นระบบ มีโครงสร้าง และทันเวลา แนวทางการบริหารความเสี่ยงที่เป็นระบบ สม่ำเสมอ และมีโครงสร้างช่วยส่งเสริมประสิทธิภาพและผลลัพธ์ที่ยั่งยืน เปรียบเทียบได้และเชื่อถือได้ f) การบริหารความเสี่ยงขึ้นอยู่กับข้อมูลที่ดีที่สุดที่มีอยู่ ข้อมูลป้อนเข้าสู่กระบวนการบริหารความเสี่ยงขึ้นอยู่กับแหล่งข้อมูล เช่น ข้อมูลในอดีต ประสบการณ์ ความคิดเห็นของผู้มีส่วนได้ส่วนเสีย ข้อสังเกต การคาดการณ์ และการตัดสินของผู้เชี่ยวชาญ อย่างไรก็ตาม ผู้มีอำนาจตัดสินใจควรทราบและคำนึงถึงข้อจำกัดใดๆ ของข้อมูลหรือแบบจำลองที่ใช้ หรือความเป็นไปได้ที่ความคิดเห็นจะแตกต่างระหว่างผู้เชี่ยวชาญ e) การบริหารความเสี่ยงสามารถปรับเปลี่ยนได้ การบริหารความเสี่ยงจะต้องสอดคล้องกับสถานการณ์ภายนอกและภายใน (บริบท) และโปรไฟล์ความเสี่ยง 1) ในบริบทของการบริหารความเสี่ยงองค์กรและการเงิน การแปลคำว่า "ต้นทุน" ที่เป็นที่ยอมรับโดยทั่วไป

12 ชั่วโมง) การบริหารความเสี่ยงคำนึงถึงปัจจัยด้านมนุษย์และวัฒนธรรม การบริหารความเสี่ยงตระหนักถึงความสามารถ การรับรู้ และความตั้งใจของบุคคลภายนอกและภายในองค์กรที่สามารถช่วยหรือขัดขวางการบรรลุวัตถุประสงค์ขององค์กร i) การบริหารความเสี่ยงมีความโปร่งใสและคำนึงถึงผลประโยชน์ของผู้มีส่วนได้ส่วนเสีย การมีส่วนร่วมของผู้มีส่วนได้ส่วนเสียอย่างเหมาะสมและทันเวลา โดยเฉพาะอย่างยิ่งผู้มีอำนาจตัดสินใจในทุกระดับขององค์กร จะทำให้มั่นใจว่าการบริหารความเสี่ยงยังคงเหมาะสมและตอบสนอง ข้อกำหนดที่ทันสมัย- ช่วยให้ผู้มีส่วนได้ส่วนเสียสามารถเป็นตัวแทนได้อย่างเหมาะสมและมั่นใจว่าความคิดเห็นของพวกเขาถูกนำมาพิจารณาในกระบวนการกำหนดเกณฑ์ความเสี่ยง j) การบริหารความเสี่ยงเป็นแบบไดนามิก ทำซ้ำ และตอบสนองต่อการเปลี่ยนแปลง การบริหารความเสี่ยงรับรู้และตอบสนองต่อการเปลี่ยนแปลงอย่างต่อเนื่อง ทันทีที่มีเหตุการณ์ภายนอกหรือภายในเกิดขึ้น บริบทหรือความรู้เปลี่ยนแปลง มีการติดตามและทบทวนความเสี่ยง ความเสี่ยงใหม่ปรากฏขึ้น การเปลี่ยนแปลงบางอย่าง บางอย่างหายไป j) การบริหารความเสี่ยงมีส่วนช่วยในการพัฒนาองค์กรอย่างต่อเนื่อง องค์กรต้องพัฒนาและใช้กลยุทธ์เพื่อปรับปรุงความเป็นเลิศในการบริหารความเสี่ยงร่วมกับด้านอื่น ๆ ของการบริหารความเสี่ยง ภาคผนวก A ให้คำแนะนำเพิ่มเติมสำหรับองค์กรที่ต้องการจัดการความเสี่ยงอย่างมีประสิทธิภาพมากขึ้น 4 โครงสร้างพื้นฐาน 4.1 ทั่วไป ความสำเร็จของการบริหารความเสี่ยงขึ้นอยู่กับประสิทธิผลของโครงสร้างพื้นฐานการจัดการที่มอบให้ พื้นฐานพื้นฐานและกิจกรรมที่จะใช้ทั่วทั้งองค์กรทุกระดับ โครงสร้างพื้นฐานอำนวยความสะดวก การจัดการที่มีประสิทธิภาพความเสี่ยงผ่านการประยุกต์ใช้กระบวนการบริหารความเสี่ยง (ดูหัวข้อที่ 5) ในระดับต่างๆ และภายในสถานการณ์เฉพาะ (บริบท) ในองค์กร โครงสร้างพื้นฐานช่วยให้แน่ใจว่าข้อมูลความเสี่ยงที่ได้รับจากกระบวนการบริหารความเสี่ยงได้รับการบันทึกอย่างเหมาะสมและใช้เป็นพื้นฐานในการตัดสินใจและการรายงานในทุกระดับที่เกี่ยวข้องขององค์กร ในส่วนนี้นำเสนอองค์ประกอบที่จำเป็นของโครงสร้างพื้นฐานการบริหารความเสี่ยงและวิธีเชื่อมโยงองค์ประกอบเหล่านั้นในลักษณะวนซ้ำ ดังแสดงในรูปที่ 2 อำนาจและความมุ่งมั่น (4.2) แผนที่โครงสร้างพื้นฐานการบริหารความเสี่ยง (4.3) การทำความเข้าใจองค์กรและบริบทขององค์กร (4.3.1) ) การกำหนดนโยบายการบริหารความเสี่ยง (4.3.2) การรายงาน (4.3.3) การบูรณาการเข้าสู่กระบวนการขององค์กร (4.3.4) ทรัพยากร (4.3.5) การจัดตั้งกลไกการแลกเปลี่ยนข้อมูลภายในและการรายงาน (4.3.6) การจัดตั้งกลไกการแลกเปลี่ยนข้อมูลภายนอกและการรายงาน (4.3.7) การปรับปรุงโครงสร้างพื้นฐานอย่างต่อเนื่อง (4.6) การประยุกต์ใช้การบริหารความเสี่ยง (4.4) การประยุกต์ใช้โครงสร้างพื้นฐานการบริหารความเสี่ยง (4.4.1) การประยุกต์ใช้กระบวนการบริหารความเสี่ยง (4.4.2) การติดตามและวิเคราะห์โครงสร้างพื้นฐาน (4.5 ) รูปที่ 2 ความสัมพันธ์ระหว่างองค์ประกอบของโครงสร้างพื้นฐานการบริหารความเสี่ยง

กรอบการทำงานนี้ไม่ได้มีวัตถุประสงค์เพื่อกำหนดระบบการจัดการ แต่เพื่อช่วยให้องค์กรบูรณาการการบริหารความเสี่ยงเข้ากับระบบการจัดการโดยรวม ดังนั้นองค์กรจะต้องปรับแต่งองค์ประกอบโครงสร้างพื้นฐานให้ตรงกับความต้องการเฉพาะของตน หากแนวทางปฏิบัติและกระบวนการจัดการที่มีอยู่ในองค์กรรวมองค์ประกอบของการบริหารความเสี่ยง หรือหากองค์กรได้นำกระบวนการบริหารความเสี่ยงอย่างเป็นทางการสำหรับความเสี่ยงหรือสถานการณ์เฉพาะมาใช้แล้ว พวกเขาจำเป็นต้องได้รับการทบทวนและประเมินอย่างมีวิจารณญาณเพื่อให้เป็นไปตามมาตรฐานสากลนี้ รวมถึงหลักเกณฑ์ที่มีอยู่ในภาคผนวก และเพื่อกำหนดความเพียงพอและประสิทธิผล 4.2 อํานาจและความรับผิดชอบ การนําการบริหารความเสี่ยงไปปฏิบัติและรับรองประสิทธิผลอย่างต่อเนื่อง จําเป็นต้องมีความมุ่งมั่นที่ชัดเจนและสม่ำเสมอจากฝ่ายบริหารในการนําแผนการจัดการไปปฏิบัติในทุกระดับ รวมถึงการวางแผนเชิงกลยุทธ์โดยละเอียดเพื่อปฏิบัติตามข้อผูกพันเหล่านั้น ฝ่ายบริหารควร: - กำหนดและรักษานโยบายการบริหารความเสี่ยง; — สร้างความมั่นใจในความสอดคล้องระหว่างวัฒนธรรมองค์กรและนโยบายการบริหารความเสี่ยง - กำหนดเกณฑ์ความมีประสิทธิผลของการบริหารความเสี่ยงซึ่งจะต้องสัมพันธ์กับเกณฑ์ความมีประสิทธิผลขององค์กรโดยรวม - ประสานงานเป้าหมายการบริหารความเสี่ยงกับเป้าหมายและกลยุทธ์ขององค์กร - รับประกันการปฏิบัติตามกฎหมายและกฎระเบียบ — กำหนดความรับผิดชอบและพันธกรณีในระดับที่เหมาะสมทั่วทั้งองค์กร - รับประกันการจัดสรรทรัพยากรที่จำเป็นสำหรับการบริหารความเสี่ยง — ให้ข้อมูลแก่ผู้มีส่วนได้ส่วนเสียเกี่ยวกับประโยชน์ของการบริหารความเสี่ยง และ — ตรวจสอบให้แน่ใจว่าโครงสร้างพื้นฐานการบริหารความเสี่ยงยังคงมีความเหมาะสม 4.3 การพัฒนาโครงสร้างพื้นฐานการบริหารความเสี่ยง การทำความเข้าใจองค์กรและสถานการณ์ (บริบท) ก่อนที่จะพัฒนาและดำเนินการโครงสร้างพื้นฐานการบริหารความเสี่ยง สิ่งสำคัญคือต้องประเมินและทำความเข้าใจสถานการณ์ทั้งภายนอกและภายใน (บริบท) ขององค์กร เนื่องจากอาจส่งผลกระทบอย่างมีนัยสำคัญต่ออิทธิพล การพัฒนาโครงสร้างพื้นฐาน การประเมินสถานการณ์ภายนอก (บริบท) ขององค์กรอาจรวมถึงแต่ไม่จำกัดเพียง ก) สภาพแวดล้อมทางสังคมและวัฒนธรรม การเมือง กฎหมาย กฎระเบียบ การเงิน เทคโนโลยี เศรษฐกิจ ธรรมชาติ และตลาดในระดับนานาชาติ ระดับชาติ ภูมิภาค หรือ ระดับท้องถิ่น b) แรงผลักดันหลักและแนวโน้มที่ส่งผลต่อวัตถุประสงค์ขององค์กร c) ความสัมพันธ์กับผู้มีส่วนได้เสียภายนอก ค่านิยม และการรับรู้ของพวกเขา การประเมินสถานการณ์ภายใน (บริบท) ขององค์กรอาจรวมถึงแต่ไม่จำกัดเฉพาะ: - การจัดการ โครงสร้างองค์กร บทบาทและความรับผิดชอบ - นโยบาย เป้าหมาย และกลยุทธ์ที่จำเป็นเพื่อให้บรรลุเป้าหมายเหล่านี้ - ความสามารถ ซึ่งเข้าใจว่าเป็นทรัพยากรและความรู้ (เช่น ทุน เวลา บุคลากร กระบวนการ ระบบ และเทคโนโลยี) - ระบบสารสนเทศ การไหลของข้อมูล และกระบวนการตัดสินใจ (ทั้งที่เป็นทางการและไม่เป็นทางการ) - ความสัมพันธ์กับผู้มีส่วนได้เสียภายใน ค่านิยม และการรับรู้ของพวกเขา - วัฒนธรรมองค์กร - มาตรฐาน แนวปฏิบัติ และแบบจำลองที่องค์กรนำมาใช้ และ - รูปแบบและเนื้อหาของความสัมพันธ์ตามสัญญา การสร้างนโยบายการบริหารความเสี่ยง นโยบายการบริหารความเสี่ยงควรระบุวัตถุประสงค์และพันธกรณีขององค์กรอย่างชัดเจนที่เกี่ยวข้องกับการบริหารความเสี่ยง และตามกฎแล้ว กำหนด: - เหตุผลสำหรับความต้องการขององค์กรในการบริหารความเสี่ยง — ความสัมพันธ์ระหว่างวัตถุประสงค์และนโยบายขององค์กรกับนโยบายการบริหารความเสี่ยง

14 - ความรับผิดชอบและความรับผิดชอบที่เกี่ยวข้องกับการบริหารความเสี่ยง - วิธีการแก้ไขความขัดแย้งทางผลประโยชน์ - ความมุ่งมั่นที่จะรับรองการเข้าถึงทรัพยากรที่จำเป็นเพื่อช่วยเหลือผู้ที่รับผิดชอบและรับผิดชอบในการบริหารความเสี่ยง — วิธีการวัดและรายงานประสิทธิผลของกิจกรรมการบริหารความเสี่ยง - ความมุ่งมั่นที่จะทบทวนและปรับปรุงนโยบายการบริหารความเสี่ยงและโครงสร้างพื้นฐานเป็นระยะ ๆ และในกรณีที่มีเหตุการณ์หรือการเปลี่ยนแปลงในสถานการณ์ นโยบายการบริหารความเสี่ยงจะต้องได้รับการสื่อสารอย่างเหมาะสมไปยังผู้มีส่วนได้เสีย ความรับผิดชอบ องค์กรต้องมั่นใจว่ามีความรับผิดชอบ อำนาจ และความสามารถที่เหมาะสมในการบริหารความเสี่ยง รวมถึงการดำเนินการและรักษากระบวนการบริหารความเสี่ยง และรับรองความเพียงพอ ประสิทธิผล และประสิทธิผลของการควบคุมใดๆ สิ่งนี้ควรได้รับการอำนวยความสะดวกโดย: - ระบุเจ้าของความเสี่ยงที่รับผิดชอบและมีอำนาจในการจัดการความเสี่ยง - การระบุบุคคลที่รับผิดชอบในการพัฒนา การดำเนินการ และการบำรุงรักษาโครงสร้างพื้นฐานการบริหารความเสี่ยง - กำหนดความรับผิดชอบประเภทอื่นของพนักงานทุกระดับในองค์กรสำหรับกระบวนการบริหารความเสี่ยง - สร้างกระบวนการสำหรับการวัดประสิทธิภาพและกระบวนการรายงานภายนอกและ/หรือภายใน และสื่อสารกับฝ่ายบริหาร — การรับรองระดับการรับรู้ที่เหมาะสม การบูรณาการเข้ากับกระบวนการขององค์กร การจัดการความเสี่ยงจะต้องบูรณาการเข้ากับแนวทางปฏิบัติและกระบวนการทั้งหมดขององค์กรในลักษณะที่ดำเนินการอย่างเพียงพอ มีประสิทธิภาพ และประสิทธิผล กระบวนการบริหารความเสี่ยงควรเป็นส่วนหนึ่งของกระบวนการขององค์กรเหล่านี้และไม่ควรแยกออกจากกระบวนการเหล่านี้ โดยเฉพาะอย่างยิ่ง การบริหารความเสี่ยงควรรวมอยู่ในการพัฒนานโยบาย กระบวนการวางแผนเชิงกลยุทธ์และธุรกิจ รวมถึงการปรับเปลี่ยนแผน และกระบวนการจัดการการเปลี่ยนแปลง แผนการจัดการความเสี่ยงควรได้รับการพัฒนาทั่วทั้งองค์กรเพื่อให้แน่ใจว่ามีการใช้นโยบายการบริหารความเสี่ยงและการบริหารความเสี่ยงถูกบูรณาการเข้ากับแนวทางปฏิบัติและกระบวนการทั้งหมดขององค์กร แผนบริหารความเสี่ยงอาจบูรณาการเข้ากับแผนอื่นขององค์กร เช่น แผนกลยุทธ์ ทรัพยากร องค์กรควรจัดหาทรัพยากรให้เพียงพอเพื่อวัตถุประสงค์ในการบริหารความเสี่ยง มีความจำเป็นต้องคำนึงถึง: - ผู้คน ทักษะ ประสบการณ์ และความสามารถ; - ทรัพยากรที่จำเป็นสำหรับแต่ละขั้นตอนของกระบวนการบริหารความเสี่ยง - กระบวนการ วิธีการ และเครื่องมือขององค์กรที่ต้องใช้ในการบริหารความเสี่ยง - กระบวนการและขั้นตอนปฏิบัติที่จัดทำเป็นเอกสาร; - ระบบการจัดการข้อมูลและความรู้ - โปรแกรมการฝึกอบรม การสร้างกลไกการสื่อสารและการรายงานภายใน องค์กรควรสร้างกลไกการสื่อสารภายในเพื่อสนับสนุนและอำนวยความสะดวกในการจัดสรรความรับผิดชอบและอำนาจการบริหารความเสี่ยง กลไกเหล่านี้ควรให้แน่ใจว่า: - ข้อมูลเกี่ยวกับองค์ประกอบสำคัญของโครงสร้างพื้นฐานการบริหารความเสี่ยงและการแก้ไขใด ๆ ที่ตามมาได้รับการจัดเตรียมอย่างเหมาะสม - มีการรายงานภายในที่เพียงพอเกี่ยวกับโครงสร้างพื้นฐาน ประสิทธิผล และผลลัพธ์ - ข้อมูลที่เกี่ยวข้องที่ได้รับจากการประยุกต์ใช้การบริหารความเสี่ยงนั้นถูกจัดเตรียมไว้ในระดับที่เหมาะสมและทันเวลา - ใช้กระบวนการปรึกษาหารือกับผู้มีส่วนได้ส่วนเสียภายใน กลไกเหล่านี้ควรรวมกระบวนการรวบรวมข้อมูลความเสี่ยงจากแหล่งต่างๆ ไว้ตามความเหมาะสม และอาจต้องมีการตรวจสอบแหล่งข้อมูลด้วย

15 4.3.7 สร้างกลไกการสื่อสารและการรายงานภายนอก องค์กรต้องพัฒนาและดำเนินการแผนการสื่อสารกับผู้มีส่วนได้เสียภายนอก ซึ่งควรรวมถึง: - การมีส่วนร่วมของผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องและประกันการสื่อสารที่มีประสิทธิผล; - การรายงานภายนอกเพื่อให้สอดคล้องกับข้อกำหนดทางกฎหมาย กฎระเบียบ และการกำกับดูแล - ให้ข้อเสนอแนะและการรายงานเกี่ยวกับการแลกเปลี่ยนข้อมูลและการให้คำปรึกษา - การใช้การแลกเปลี่ยนข้อมูลเพื่อให้เกิดความไว้วางใจในองค์กร - การแลกเปลี่ยนข้อมูลกับผู้มีส่วนได้ส่วนเสียในกรณีเกิดวิกฤติหรือสถานการณ์ที่ไม่คาดฝัน กลไกเหล่านี้ควรรวมกระบวนการรวบรวมข้อมูลความเสี่ยงจากแหล่งต่างๆ ไว้ตามความเหมาะสม และอาจต้องมีการตรวจสอบแหล่งที่มาของข้อมูลดังกล่าวตามความเหมาะสม 4.4 การดำเนินการบริหารความเสี่ยง การดำเนินการโครงสร้างพื้นฐานการบริหารความเสี่ยง เมื่อดำเนินการโครงสร้างพื้นฐานการบริหารความเสี่ยงขององค์กร องค์กรจะต้อง: - กำหนดเวลาและกลยุทธ์ที่เหมาะสมสำหรับการใช้โครงสร้างพื้นฐาน; - นำนโยบายและกระบวนการบริหารความเสี่ยงมาประยุกต์ใช้กับกระบวนการขององค์กร - ปฏิบัติตามข้อกำหนดทางกฎหมายและข้อกำหนดอื่น ๆ - ตรวจสอบให้แน่ใจว่าการตัดสินใจ รวมถึงการพัฒนาและการกำหนดวัตถุประสงค์ สอดคล้องกับผลลัพธ์ของกระบวนการบริหารความเสี่ยง - ดำเนินการข้อมูลและการฝึกอบรม - แลกเปลี่ยนข้อมูลและปรึกษากับผู้มีส่วนได้เสียเพื่อให้มั่นใจว่าโครงสร้างพื้นฐานการบริหารความเสี่ยงยังคงเพียงพอ การดำเนินการตามกระบวนการบริหารความเสี่ยง ในการดำเนินการบริหารความเสี่ยงจำเป็นต้องตรวจสอบให้แน่ใจว่ากระบวนการบริหารความเสี่ยงที่กำหนดในข้อ 5 เป็นไปตามความเสี่ยง แผนการจัดการในระดับสายงานที่เหมาะสมทั้งหมดขององค์กรโดยเป็นส่วนหนึ่งของกิจกรรมและกระบวนการ 4.5 การติดตามและทบทวนโครงสร้างพื้นฐานการบริหารความเสี่ยง เพื่อให้มั่นใจว่าการบริหารความเสี่ยงมีประสิทธิผลและยังคงสนับสนุนกิจกรรมขององค์กร องค์กรควร: - ประเมินคุณภาพของการบริหารความเสี่ยงโดยใช้ตัวชี้วัดที่ได้รับการทบทวนเป็นระยะๆ เพื่อรักษาความเกี่ยวข้อง - - เปรียบเทียบความคืบหน้ากับแผนการจัดการความเสี่ยงเป็นระยะและพิจารณาความเบี่ยงเบนจากแผนนั้น — ทบทวนโครงสร้างพื้นฐาน นโยบาย และแผนการจัดการความเสี่ยงเป็นระยะๆ เพื่อให้มั่นใจว่ามีความเพียงพอภายในบริบทภายในและภายนอกขององค์กร — ให้ข้อมูลเกี่ยวกับความเสี่ยง การดำเนินการตามแผนบริหารความเสี่ยง และองค์กรปฏิบัติตามนโยบายการบริหารความเสี่ยงได้ดีเพียงใด - ประเมินประสิทธิผลของโครงสร้างพื้นฐานการบริหารความเสี่ยง 4.6 การปรับปรุงโครงสร้างพื้นฐานอย่างต่อเนื่อง จากผลการติดตามและทบทวน ควรมีการตัดสินใจเกี่ยวกับการปรับปรุงโครงสร้างพื้นฐานการบริหารความเสี่ยง นโยบายและแผนการจัดการความเสี่ยง การตัดสินใจเหล่านี้ควรนำไปสู่การปรับปรุงการบริหารความเสี่ยงและการพัฒนาวัฒนธรรมในองค์กร 5 กระบวนการ 5.1 ทั่วไป กระบวนการบริหารความเสี่ยงควรเป็น: - เป็นส่วนหนึ่งของการจัดการ; - เป็นส่วนหนึ่งของวัฒนธรรมและแนวปฏิบัติขององค์กร - ปฏิบัติตามกระบวนการทางธุรกิจขององค์กร รวมถึงกิจกรรมที่อธิบายไว้ในกระบวนการบริหารความเสี่ยงแสดงในรูปที่ 3

16 รูปที่ 3 กระบวนการบริหารความเสี่ยง 5.2 การสื่อสารและการให้คำปรึกษา การสื่อสารและการปรึกษาหารือกับผู้มีส่วนได้ส่วนเสียทั้งภายนอกและภายในเกิดขึ้นในทุกขั้นตอนของกระบวนการบริหารความเสี่ยง ดังนั้นแผนการแบ่งปันข้อมูลและการปรึกษาหารือจึงควรได้รับการพัฒนาตั้งแต่ระยะเริ่มต้น พวกเขาควรพิจารณาประเด็นที่เกี่ยวข้องกับความเสี่ยง สาเหตุ ผลที่ตามมา (หากทราบ) และมาตรการที่ใช้เพื่อแก้ไข ควรมีการสื่อสารและการให้คำปรึกษาทั้งภายนอกและภายในที่มีประสิทธิภาพเพื่อให้แน่ใจว่าผู้ถือกระบวนการบริหารความเสี่ยงและผู้มีส่วนได้ส่วนเสียที่รับผิดชอบเข้าใจพื้นฐานการตัดสินใจและเข้าใจเหตุผลว่าทำไมจึงต้องมีการดำเนินการเฉพาะ แนวทางกลุ่มที่ปรึกษาสามารถ: - ช่วยกำหนดสถานการณ์ (บริบท) อย่างเหมาะสม - - ตรวจสอบให้แน่ใจว่าผลประโยชน์ของผู้มีส่วนได้เสียได้รับการยอมรับและพิจารณา - ส่งเสริมการระบุความเสี่ยงอย่างเหมาะสม - รวบรวมความเชี่ยวชาญด้านต่าง ๆ เพื่อวิเคราะห์ความเสี่ยง - ตรวจสอบให้แน่ใจว่าการพิจารณาที่เหมาะสมได้รับมุมมองที่แตกต่างกันเมื่อกำหนดเกณฑ์ความเสี่ยงและเมื่อประเมินความเสี่ยง - ให้การอนุมัติและสนับสนุนแผนบริหารความเสี่ยง - ปรับปรุงการจัดการการเปลี่ยนแปลงที่เหมาะสมในระหว่างกระบวนการบริหารความเสี่ยง - พัฒนาแผนการสื่อสารและการให้คำปรึกษาทั้งภายนอกและภายในที่เหมาะสม การสื่อสารและการปรึกษาหารือกับผู้มีส่วนได้ส่วนเสียเป็นสิ่งสำคัญเนื่องจากช่วยให้ได้ข้อสรุปเกี่ยวกับความเสี่ยงตามการรับรู้ความเสี่ยงของพวกเขา การรับรู้เหล่านี้อาจแตกต่างกันเนื่องจากความแตกต่างในค่านิยม ความต้องการ สมมติฐาน แนวคิด และข้อกังวลของผู้มีส่วนได้ส่วนเสีย เนื่องจากความคิดเห็นของพวกเขาสามารถมีผลกระทบอย่างมีนัยสำคัญต่อการตัดสินใจ การรับรู้ของผู้มีส่วนได้ส่วนเสียจึงจำเป็นต้องได้รับการระบุ บันทึก บันทึก และนำมาพิจารณาในกระบวนการตัดสินใจ

17 การสื่อสารและการให้คำปรึกษาควรอำนวยความสะดวกในการแลกเปลี่ยนข้อมูลที่เป็นจริง เกี่ยวข้อง ถูกต้องและเข้าใจได้ โดยคำนึงถึงการรักษาความลับและความเป็นส่วนตัว 5.3 การกำหนดสถานการณ์ ทั่วไป โดยการสร้างสถานการณ์ (บริบท) องค์กรกำหนดวัตถุประสงค์ กำหนดพารามิเตอร์ภายนอกและภายในที่ควรคำนึงถึงเมื่อจัดการความเสี่ยง และกำหนดขอบเขตและเกณฑ์ความเสี่ยงสำหรับกระบวนการที่เหลือ เนื่องจากพารามิเตอร์เหล่านี้หลายตัวคล้ายคลึงกับที่พิจารณาเมื่อพัฒนากรอบการบริหารความเสี่ยง (ดู) จึงควรพิจารณารายละเอียดเพิ่มเติมเมื่อสร้างบริบทสำหรับกระบวนการบริหารความเสี่ยง และโดยเฉพาะอย่างยิ่ง เกี่ยวข้องกับขอบเขตของเฉพาะอย่างไร กระบวนการบริหารความเสี่ยง กระบวนการบริหารความเสี่ยง การสร้างสถานการณ์ภายนอก สถานการณ์ภายนอก (บริบท) คือสภาพแวดล้อมภายนอกที่องค์กรมุ่งมั่นที่จะบรรลุเป้าหมาย การทำความเข้าใจสถานการณ์ภายนอก (บริบท) เป็นสิ่งสำคัญเพื่อให้แน่ใจว่าเป้าหมายและข้อกังวลของผู้มีส่วนได้ส่วนเสียภายนอกได้รับการพิจารณาเมื่อพัฒนาเกณฑ์ความเสี่ยง ขึ้นอยู่กับสถานการณ์ (บริบท) ทั่วทั้งองค์กร แต่มีรายละเอียดเฉพาะของข้อกำหนดทางกฎหมายและข้อบังคับ การรับรู้ของผู้มีส่วนได้ส่วนเสีย และด้านความเสี่ยงอื่น ๆ ที่เฉพาะเจาะจงในขอบเขตของกระบวนการบริหารความเสี่ยงโดยเฉพาะ สถานการณ์ภายนอก (บริบท) ขององค์กรอาจรวมถึงแต่ไม่จำกัดเพียง ก) สภาพแวดล้อมทางสังคมและวัฒนธรรม การเมือง กฎหมาย กฎระเบียบ การเงิน เทคโนโลยี เศรษฐกิจ ธรรมชาติและตลาดในระดับนานาชาติ ระดับชาติ ภูมิภาคหรือท้องถิ่น ระดับ; b) แรงผลักดันหลักและแนวโน้มที่ส่งผลต่อวัตถุประสงค์ขององค์กร ค) ความสัมพันธ์กับผู้มีส่วนได้ส่วนเสียภายนอก ค่านิยม และการรับรู้ การสร้างสถานการณ์ภายใน สถานการณ์ภายใน (บริบท) คือสภาพแวดล้อมภายในที่องค์กรมุ่งมั่นที่จะบรรลุเป้าหมาย กระบวนการบริหารความเสี่ยงจะต้องสอดคล้องกับวัฒนธรรม กระบวนการ โครงสร้าง และกลยุทธ์ขององค์กร สถานการณ์ภายใน (บริบท) คือสิ่งใดก็ตามภายในองค์กรที่สามารถมีอิทธิพลต่อวิธีที่องค์กรจะบริหารความเสี่ยง ต้องกำหนดสถานการณ์ภายใน (บริบท) เนื่องจาก: ก) การบริหารความเสี่ยงเกิดขึ้นในบริบทของเป้าหมายขององค์กร; b) วัตถุประสงค์และเกณฑ์ของโครงการ กระบวนการ หรือกิจกรรมใดโดยเฉพาะควรได้รับการพิจารณาโดยคำนึงถึงวัตถุประสงค์ขององค์กรโดยรวม ค) บางองค์กรพบว่าเป็นการยากที่จะตระหนักถึงโอกาสในการบรรลุวัตถุประสงค์เชิงกลยุทธ์ โครงการ หรือทางธุรกิจ และสิ่งนี้ส่งผลต่อความมุ่งมั่น ความสามารถ ความน่าเชื่อถือ และคุณค่าขององค์กรในปัจจุบัน จำเป็นต้องเข้าใจสถานการณ์ภายใน (บริบท) อาจรวมถึงแต่ไม่จำกัดเพียงองค์ประกอบต่อไปนี้: - การจัดการ โครงสร้างองค์กร บทบาทและความรับผิดชอบ - - นโยบาย เป้าหมาย และกลยุทธ์ที่จำเป็นเพื่อให้บรรลุเป้าหมายเหล่านี้ - ความสามารถ ซึ่งเข้าใจว่าเป็นทรัพยากรและความรู้ (เช่น ทุน เวลา บุคลากร กระบวนการ ระบบ และเทคโนโลยี) - ระบบสารสนเทศ การไหลของข้อมูล และกระบวนการตัดสินใจ (ทั้งที่เป็นทางการและไม่เป็นทางการ) - ความสัมพันธ์กับผู้มีส่วนได้เสียภายใน ค่านิยม และการรับรู้ของพวกเขา - วัฒนธรรมองค์กร — มาตรฐาน แนวปฏิบัติ และแบบจำลองที่องค์กรนำมาใช้ - รูปแบบและเนื้อหาของความสัมพันธ์ตามสัญญา 2) ในบริบทของการบริหารความเสี่ยงองค์กรและการเงิน แนวคิดเรื่อง “ต้นทุน” เหมาะสมที่สุดสำหรับคำนี้

18 5.3.4 การสร้างสถานการณ์ของกระบวนการบริหารความเสี่ยง มีความจำเป็นต้องกำหนดเป้าหมาย กลยุทธ์ ขอบเขต และพารามิเตอร์ขององค์กรหรือส่วนต่างๆ ขององค์กรที่ใช้กระบวนการบริหารความเสี่ยง การบริหารความเสี่ยงควรดำเนินการโดยคำนึงถึงความจำเป็นในการปรับทรัพยากรที่ใช้ในการดำเนินการอย่างเต็มที่ ควรระบุทรัพยากร ความรับผิดชอบและอำนาจหน้าที่ที่จำเป็น และขั้นตอนการบัญชีด้วย สถานการณ์ (บริบท) ของกระบวนการบริหารความเสี่ยงเปลี่ยนแปลงไปตามความต้องการขององค์กร อาจรวมถึงแต่ไม่จำกัดเฉพาะ: - การกำหนดงานและเป้าหมายของกิจกรรมการบริหารความเสี่ยง - การกำหนดความรับผิดชอบสำหรับกระบวนการบริหารความเสี่ยงและภายในกระบวนการนี้ — การกำหนดขอบเขตและความลึกและความกว้างของกิจกรรมการบริหารความเสี่ยงที่จะดำเนินการ รวมถึงการผนวกและการยกเว้นเป็นพิเศษ - การกำหนดกิจกรรม กระบวนการ หน้าที่ โครงการ ผลิตภัณฑ์ บริการ หรือทรัพย์สิน โดยคำนึงถึงเวลาและสถานที่ — การระบุความสัมพันธ์ระหว่างโครงการ กระบวนการหรือกิจกรรมเฉพาะกับโครงการ กระบวนการ หรือกิจกรรมอื่นๆ ขององค์กร - การกำหนดวิธีการประเมินความเสี่ยง - กำหนดวิธีการประเมินประสิทธิภาพและประสิทธิผลของการบริหารความเสี่ยง - การระบุและการระบุการตัดสินใจที่จะทำ - การระบุ ขอบเขตหรือปริมาณของการฝึกอบรมที่ต้องการ ระดับและวัตถุประสงค์ ทรัพยากรที่จำเป็นสำหรับการฝึกอบรมดังกล่าว การพิจารณาปัจจัยเหล่านี้และปัจจัยอื่นๆ ที่เกี่ยวข้องควรทำให้มั่นใจว่าแนวทางการบริหารความเสี่ยงที่นำมาใช้นั้นเหมาะสมกับสถานการณ์ องค์กร และความเสี่ยงที่ส่งผลต่อการบรรลุวัตถุประสงค์ การกำหนดเกณฑ์ความเสี่ยง องค์กรควรกำหนดเกณฑ์ที่จะใช้ในการประเมินความสำคัญ ของความเสี่ยง เกณฑ์ควรสะท้อนถึงคุณค่า เป้าหมาย และทรัพยากรขององค์กร เกณฑ์บางอย่างอาจขึ้นอยู่กับหรือเกิดขึ้นจากข้อกำหนดทางกฎหมายและข้อบังคับและข้อกำหนดอื่น ๆ ที่องค์กรได้ดำเนินการ เกณฑ์ความเสี่ยงควรสอดคล้องกับนโยบายการบริหารความเสี่ยงขององค์กร (ดู) ควรกำหนดไว้ตั้งแต่เริ่มต้นกระบวนการบริหารความเสี่ยงแต่ละกระบวนการ และควรได้รับการทบทวนอย่างต่อเนื่อง ในการกำหนดเกณฑ์ความเสี่ยง ปัจจัยที่ต้องพิจารณาควรประกอบด้วย - ลักษณะและประเภทของสาเหตุและผลที่ตามมาที่อาจเกิดขึ้น และวิธีที่ควรวัด - - ควรกำหนดโอกาสอย่างไร - กรอบเวลาของโอกาสและ/หรือผลที่ตามมา - ควรกำหนดระดับความเสี่ยงอย่างไร - มุมมองของผู้มีส่วนได้เสีย - ระดับที่ความเสี่ยงจะยอมรับหรือยอมรับได้ - ควรคำนึงถึงความเสี่ยงหลายประการหรือไม่ และหากเป็นเช่นนั้น ควรพิจารณาการผสมผสานอย่างไรและอย่างไร 5.4 การประเมินความเสี่ยง การประเมินความเสี่ยงทั่วไปเป็นกระบวนการที่สมบูรณ์ของการระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการประเมินความเสี่ยง หมายเหตุ มาตรฐาน ISO/IEC ให้คำแนะนำเกี่ยวกับวิธีการประเมินความเสี่ยง องค์กรควรระบุแหล่งที่มาของความเสี่ยง พื้นที่ของผลกระทบ เหตุการณ์ (รวมถึงการเปลี่ยนแปลงในสถานการณ์) และสาเหตุ และผลที่ตามมาที่อาจเกิดขึ้น วัตถุประสงค์ของขั้นตอนนี้คือเพื่อจัดทำรายการความเสี่ยงที่ครอบคลุมโดยพิจารณาจากเหตุการณ์ที่สามารถสร้าง เพิ่ม ป้องกัน ลด เร่ง หรือชะลอการบรรลุเป้าหมาย การระบุความเสี่ยงที่เกี่ยวข้องกับการตัดสินใจไม่แสวงหาโอกาสเป็นสิ่งสำคัญ การระบุอย่างครอบคลุมเป็นสิ่งสำคัญเนื่องจากความเสี่ยงที่ไม่ได้ระบุในขั้นตอนนี้จะไม่ถูกรวมไว้ในการวิเคราะห์ในอนาคต

19 การระบุควรรวมถึงความเสี่ยง ไม่ว่าองค์กรจะควบคุมแหล่งที่มาหรือไม่ก็ตาม แม้ว่าแหล่งที่มาหรือสาเหตุอาจไม่ชัดเจนก็ตาม การระบุความเสี่ยงควรรวมถึงการพิจารณาผลกระทบของโดมิโน รวมถึงผลกระทบแบบเรียงซ้อนและผลกระทบสะสม จำเป็นต้องพิจารณาผลที่ตามมาหลายประการ แม้ว่าแหล่งที่มาของความเสี่ยงอาจไม่ชัดเจนก็ตาม นอกจากการระบุสิ่งที่อาจเกิดขึ้นแล้ว ยังจำเป็นต้องพิจารณาสาเหตุและสถานการณ์ที่เป็นไปได้ที่บ่งชี้ถึงผลที่ตามมาที่อาจเกิดขึ้น ต้องคำนึงถึงสาเหตุและผลกระทบที่สำคัญทั้งหมด องค์กรต้องใช้เครื่องมือและเทคนิคที่เหมาะสมกับวัตถุประสงค์และความสามารถตลอดจนความเสี่ยงที่เผชิญ ในขั้นตอนการระบุความเสี่ยง ข้อมูลที่เกี่ยวข้องและเป็นปัจจุบันมีความสำคัญอย่างยิ่ง ซึ่งควรรวมข้อมูลความเป็นมาที่เกี่ยวข้องทุกครั้งที่เป็นไปได้ บุคคลที่มีความรู้ที่เหมาะสมจะต้องมีส่วนร่วมในการระบุความเสี่ยง การวิเคราะห์ความเสี่ยงเกี่ยวข้องกับการตระหนักถึงความเสี่ยงเพิ่มเติม การวิเคราะห์ความเสี่ยงให้ข้อมูลสำหรับการประเมินความเสี่ยงและการตัดสินใจเกี่ยวกับความจำเป็นในการจัดการกับความเสี่ยงเหล่านั้นเพิ่มเติม ตลอดจนกลยุทธ์และวิธีการการแทรกแซงที่เหมาะสมที่สุด การวิเคราะห์ความเสี่ยงยังสามารถให้ข้อมูลในการตัดสินใจเมื่อจำเป็นต้องมีทางเลือก และความพร้อมของทางเลือกอื่นที่เกี่ยวข้องกับประเภทและระดับความเสี่ยงที่แตกต่างกัน การวิเคราะห์ความเสี่ยงเกี่ยวข้องกับการพิจารณาถึงสาเหตุและแหล่งที่มาของความเสี่ยง ผลที่ตามมาทั้งเชิงบวกและเชิงลบ และความเป็นไปได้ที่จะเกิดผลที่ตามมาเหล่านี้ ต้องระบุปัจจัยที่มีอิทธิพลต่อผลที่ตามมาและความเป็นไปได้ การวิเคราะห์ความเสี่ยงโดยการพิจารณาผลที่ตามมาและความเป็นไปได้ ตลอดจนลักษณะความเสี่ยงอื่นๆ เหตุการณ์สามารถมีผลกระทบหลายอย่างและอาจส่งผลกระทบต่อเป้าหมายที่แตกต่างกัน การควบคุมที่มีอยู่และประสิทธิผลและประสิทธิผลจะต้องนำมาพิจารณาด้วย วิธีการแสดงผลลัพธ์และโอกาส และวิธีการรวมเข้าด้วยกันเพื่อกำหนดระดับความเสี่ยง ควรสะท้อนถึงประเภทของความเสี่ยง ข้อมูลที่มีอยู่ และวัตถุประสงค์ที่จะใช้ผลลัพธ์ของการประเมินความเสี่ยง ทั้งหมดนี้จะต้องสอดคล้องกับเกณฑ์ความเสี่ยง สิ่งสำคัญคือต้องพิจารณาการพึ่งพาซึ่งกันและกันของความเสี่ยงต่างๆ และแหล่งที่มา การวิเคราะห์ต้องพิจารณาความเชื่อมั่นในการกำหนดระดับความเสี่ยงและความอ่อนไหวต่อเงื่อนไขเบื้องต้นและสมมติฐาน และสื่อสารอย่างมีประสิทธิผลกับผู้มีอำนาจตัดสินใจ และกับผู้มีส่วนได้เสียอื่นๆ ตามความเหมาะสม ปัจจัยต่างๆ เช่น ความหลากหลายของความคิดเห็นของผู้เชี่ยวชาญ ความไม่แน่นอน ความพร้อมใช้งาน คุณภาพ ปริมาณ ความสอดคล้องกับข้อมูลปัจจุบัน หรือข้อจำกัดในการสร้างแบบจำลอง จะต้องได้รับการยอมรับ และให้ความสนใจเป็นพิเศษหากเป็นไปได้ การวิเคราะห์ความเสี่ยงสามารถดำเนินการได้ในระดับรายละเอียดที่แตกต่างกัน ขึ้นอยู่กับความเสี่ยง วัตถุประสงค์ของการวิเคราะห์ และข้อมูล ข้อมูล และทรัพยากรที่มีอยู่ การวิเคราะห์อาจเป็นเชิงคุณภาพ กึ่งปริมาณ หรือเชิงปริมาณ หรือทั้งสองอย่างรวมกัน ขึ้นอยู่กับสถานการณ์ ผลที่ตามมาและความน่าจะเป็น (ความเป็นไปได้) สามารถกำหนดได้โดยการสร้างแบบจำลองผลลัพธ์ของเหตุการณ์หรือชุดของเหตุการณ์ หรือโดยการอนุมานจากการศึกษาเชิงทดลองหรือข้อมูลที่มีอยู่ ผลที่ตามมาสามารถแสดงออกมาในรูปของผลกระทบที่จับต้องได้หรือจับต้องไม่ได้ ในบางกรณี จำเป็นต้องมีค่าตัวเลขหรือพารามิเตอร์อธิบายมากกว่าหนึ่งค่าเพื่อระบุผลที่ตามมาและขอบเขตที่เป็นไปได้สำหรับเวลา สถานที่ กลุ่ม หรือสถานการณ์ที่ต่างกัน การประเมินความเสี่ยงมีวัตถุประสงค์เพื่ออำนวยความสะดวกในการตัดสินใจ ขึ้นอยู่กับผลลัพธ์เบื้องต้นของการวิเคราะห์ความเสี่ยง โดยคำนึงถึงความจำเป็นในการมีอิทธิพลต่อความเสี่ยงและจัดลำดับความสำคัญของผลกระทบต่อความเสี่ยง การประเมินความเสี่ยงเกี่ยวข้องกับการเปรียบเทียบระดับความเสี่ยงที่ระบุในระหว่างกระบวนการวิเคราะห์กับเกณฑ์ความเสี่ยงที่กำหนดไว้ระหว่างการพิจารณาสถานการณ์ (บริบท) การพิจารณาความจำเป็นในการจัดการกับความเสี่ยงควรอิงจากการเปรียบเทียบนี้ การตัดสินใจต้องใช้มุมมองที่กว้างขึ้นของบริบทความเสี่ยง และคำนึงถึงการยอมรับความเสี่ยงไม่เพียงแต่องค์กรที่ได้รับประโยชน์จากความเสี่ยงเท่านั้น แต่ยังรวมถึงฝ่ายอื่นๆ ด้วย การตัดสินใจจะต้องเป็นไปตามข้อกำหนดทางกฎหมาย ข้อบังคับ และข้อกำหนดอื่นๆ

มาตรฐานแห่งชาติของหลักการและแนวทางการจัดการความเสี่ยงของสหพันธรัฐรัสเซีย การบริหารความเสี่ยง หลักการและแนวทางปฏิบัติ GOST R ISO 31000-2010 ได้รับการอนุมัติและบังคับใช้โดยคำสั่งของหน่วยงานรัฐบาลกลาง

มาตรฐานของรัฐของสาธารณรัฐเบลารุส STB ISO 31000/PR_1 การจัดการความเสี่ยง หลักการและแนวทาง ภาษาการจัดการ หลักการและการอ้างอิง (ISO 31000:2009, IDT) ร่างมาตรฐานนี้

การแปลภาษารัสเซียของคำศัพท์การบริหารความเสี่ยง ISO GUIDE 73:2009 โดย Russian Risk Management Society ()- HSE Moscow 1 คำศัพท์ที่เกี่ยวข้องกับความเสี่ยง 1.1 ความเสี่ยง: ผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์

หน่วยงานสหพันธ์เพื่อการควบคุมทางเทคนิคและมาตรวิทยาในมาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย GOSTR 54871-2011 ข้อกำหนดการจัดการโครงการสำหรับการจัดการโปรแกรมสิ่งพิมพ์อย่างเป็นทางการ

หน่วยงานรัฐบาลกลางเพื่อการควบคุมด้านเทคนิคและมาตรวิทยามาตรฐานแห่งชาติ ARTRO RUSSIAN FEDERATION GOST R 54869 2011 ข้อกำหนดการจัดการโครงการ

หน่วยงานสหพันธ์เพื่อการควบคุมทางเทคนิคและมาตรวิทยามาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย GOST R 51901.2 2548 (IEC 60300-1:2003) ระบบการจัดการความเสี่ยงการจัดการความน่าเชื่อถือІЭС 60300-1:20 03

หน่วยงานสหพันธ์เพื่อการควบคุมทางเทคนิคและมาตรวิทยามาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย GOST R ISO 10015 2007 แนวทางการฝึกอบรมการจัดการองค์กร ISO 10015:1999

GOST R ISO 17666-2006 การจัดการความเสี่ยง ระบบอวกาศ GOST R ISO 17666-2006 Group T59 มาตรฐานแห่งชาติของสหพันธรัฐรัสเซียระบบพื้นที่การจัดการความเสี่ยง การจัดการความเสี่ยง ระบบอวกาศ

หน่วยงานของรัฐบาลกลาง w แห่งชาติเพื่อการควบคุมทางเทคนิคและมาตรฐานมาตรวิทยาของสหพันธรัฐรัสเซีย GOSTR 54869-2011 ข้อกำหนดการจัดการโครงการสำหรับการจัดการโครงการสิ่งพิมพ์อย่างเป็นทางการ

หน่วยงานรัฐบาลกลางเพื่อการควบคุมด้านเทคนิคและมาตรวิทยามาตรฐานแห่งชาติ ARTRO RUSSIAN FEDERATION GOST R 54871 2011 ข้อกำหนดการจัดการโครงการ

หน่วยงานของรัฐบาลกลางเพื่อการควบคุมด้านเทคนิคและมาตรวิทยามาตรฐานแห่งชาติ ARTRO RUSSIAN FEDERATION GOST R 54870 2011 ข้อกำหนดการจัดการโครงการ

การจัดการสิ่งแวดล้อม สุขภาพ และความปลอดภัย และมาตรฐานการปฏิบัติงาน ความปลอดภัยทางอุตสาหกรรมมาตรฐานการจัดการ มาตรฐานการจัดการ 1: ความเป็นผู้นำและความรับผิดชอบ ในบริษัทของเรา

คำนำ 1. พัฒนาโดย: ศูนย์บริหารคุณภาพการศึกษา UOKOD 2. นักแสดง: หัวหน้า CMKO UOKOD รอง. หัวหน้า CMKO UOKOD ผู้เชี่ยวชาญของ CMKO UOKOD M.S. มาโกเมโดวา ยู.วี. บายโควา วี.เอ. โซโลวีโอวา

หน่วยงานสหพันธ์เพื่อการควบคุมทางเทคนิคและมาตรวิทยามาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย GO S TR 54869-2011 ข้อกำหนดการจัดการโครงการสำหรับการจัดการโครงการสิ่งพิมพ์อย่างเป็นทางการ

หน่วยงานรัฐบาลกลางเพื่อกฎระเบียบทางเทคนิคและมาตรวิทยา เบื้องต้นมาตรฐานแห่งชาติ PNST1 5 1-2016 การจัดการการพัฒนาที่ยั่งยืนขององค์กร พื้นฐานสำหรับการประเมินตาม GOST

หน่วยงานสหพันธ์เพื่อการควบคุมทางเทคนิคและมาตรวิทยามาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย GOST STR 55.0.00 2014 การจัดการสินทรัพย์ระบบมาตรฐานแห่งชาติบทบัญญัติพื้นฐานฉบับ

แนวโน้มปัจจุบันการพัฒนามาตรฐาน ISO สำหรับระบบการจัดการ วิทยากร Zhdankina Irina Zinovievna ผู้จัดการทั่วไป ANO "ใบรับรอง SC Svyaz" หัวหน้าผู้เชี่ยวชาญเรื่องการรับรองระบบการจัดการ

การจัดระบบบริหารความเสี่ยงในโครงการ กฎหมายของรัฐบาลกลาง“เรื่องการควบคุมของรัฐบาลกลาง ภูมิภาค และเทศบาลในสหพันธรัฐรัสเซีย” Eduard Churkin สมาชิกของคณะทำงานระหว่างแผนกว่าด้วย

GOST R 51897-2002 มาตรฐานสถานะของการจัดการความเสี่ยงของสหพันธรัฐรัสเซียข้อกำหนดและคำจำกัดความ GOSSTANDARD ของรัสเซียมอสโกคำนำ 1 พัฒนาและแนะนำโดยคณะกรรมการด้านเทคนิคเพื่อการมาตรฐาน

GOST R 51897-2002 UDC 006.1:006.354 T00 มาตรฐานของรัฐของสหพันธรัฐรัสเซีย OKS 01.040.03 03.100.50 OKSTU 0090 การจัดการความเสี่ยง ข้อกำหนดและคำจำกัดความ การจัดการความเสี่ยง ข้อกำหนดและคำจำกัดความ วันที่

สาธารณรัฐมอลโดวา กระทรวงการคลัง เลขที่ ฉบับที่ 113 เมื่อวันที่ 12 ตุลาคม พ.ศ. 2555 เกี่ยวกับการอนุมัติมาตรฐานแห่งชาติ การตรวจสอบภายในตามบทบัญญัติแห่งศิลปะ 29, สว่าง. b) กฎหมาย 229 ของวันที่ 23 กันยายน 2010

ได้รับการอนุมัติโดยมติของคณะกรรมการบริหารของ PJSC Moscow United บริษัทไฟฟ้า» ลงวันที่ 29 เมษายน 2559 (รายงานฉบับที่ 287 ลงวันที่ 30 เมษายน 2559) นโยบายการบริหารความเสี่ยงของ PJSC "MOESK" ( ฉบับใหม่)

การปรับปรุงกิจกรรมขององค์กรอย่างต่อเนื่อง 27-29 ตุลาคม 2558 NUST MISIS, มอสโก KASTORSKAYA Lyubov Vladimirovna ผู้เชี่ยวชาญชั้นนำของ Priority Center CJSC “ความสามารถในการจัดการความเสี่ยง

หน่วยงานสหพันธรัฐเพื่อการควบคุมทางเทคนิคและมาตรวิทยา มาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย GOSTR 5 7 5 4 5-2017/ ISO/IEC TS 17021-5: 2014 การประเมินความสอดคล้อง ข้อกำหนดสำหรับการดำเนินการของร่างกาย

หน่วยงานของรัฐบาลกลางเพื่อการควบคุมทางเทคนิคและมาตรวิทยาแห่งชาติ (Y T L มาตรฐาน VJ ของสหพันธรัฐรัสเซีย GOSTR 55269-2012 ระบบการจัดการขององค์กรข้อเสนอแนะสำหรับการก่อสร้าง

ภาคผนวก 5 ได้รับการอนุมัติโดยการตัดสินใจของคณะกรรมการของ JSC TransContainer ซึ่งจัดขึ้นเมื่อวันที่ 18 ธันวาคม 2556 (นาทีที่ 6) ประธานคณะกรรมการ Zh.B. Rymzhanova แนวคิดของระบบการจัดการองค์กร

หน่วยงานรัฐบาลกลางสำหรับกฎระเบียบทางเทคนิคและมาตรวิทยา มาตรฐานแห่งชาติ รัสเซีย GOST R ISO/IEC 17030-2007 ข้อกำหนดทั่วไปของสหพันธรัฐสำหรับเครื่องหมายแห่งความสอดคล้องเมื่อการประเมินดำเนินการโดยบุคคลที่สาม

ผลการวิเคราะห์ความสามารถในการทำซ้ำของข้อกำหนด ISO 9001:2008 ใน ISO 9001:2015 ISO 9001:2008 ISO 9001:2015 ภาคผนวก 8 4 ระบบการจัดการคุณภาพ 4.1 ข้อกำหนดทั่วไป 4.1 ข้อกำหนดทั่วไป องค์กร

หน่วยงานสหพันธรัฐเพื่อการควบคุมทางเทคนิคและมาตรวิทยามาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย GOSTR 51901 7-2017/ ISO/TR 31004:2013 การจัดการความเสี่ยง แนวทางการดำเนินการตาม ISO 31000 (ISO/TR

การวิเคราะห์สภาวะภายนอกและ สภาพแวดล้อมภายในกระบวนการมหภาคของมหาวิทยาลัยในการจัดทำนโยบายการบริหารความเสี่ยง รายงานมีวัตถุประสงค์เพื่อทดสอบบทบัญญัติหลักของใหม่ คำแนะนำระเบียบวิธี MI-20

หน่วยงานของรัฐบาลกลาง w แห่งชาติเพื่อการควบคุมทางเทคนิคและมาตรฐานมาตรวิทยาของสหพันธรัฐรัสเซีย GOSTR 54870-2011 ข้อกำหนดการจัดการโครงการสำหรับการจัดการผลงานโครงการสิ่งพิมพ์อย่างเป็นทางการ

หน่วยงานสหพันธรัฐเพื่อการควบคุมด้านเทคนิคและมาตรวิทยามาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย GOST R 52807-2007 แนวทางในการประเมินความสามารถของผู้จัดการโครงการ มอสโก Standardinform

“อนุมัติ” โดยมติของคณะกรรมการของบริษัทร่วมหุ้น” บริษัทแห่งชาติ“คาซัคสถาน Temir Zholy” ลงวันที่ 19 ตุลาคม 2552 พิธีสาร 6 “อนุมัติ” โดยการตัดสินใจของคณะกรรมการความเสี่ยงของบริษัทร่วมหุ้น

ได้รับการอนุมัติโดยการตัดสินใจของคณะกรรมการ บริษัทร่วมหุ้น"KazTransOil" รายงานการประชุมครั้งที่ 3 ลงวันที่ 1 มีนาคม 2554 นโยบายการจัดการความเสี่ยงของ KAZTRANSOIL JSC Astana 2011 1. ข้อกำหนดทั่วไป 1. กิจกรรม

หน่วยงานสหพันธ์เพื่อการควบคุมทางเทคนิคและมาตรวิทยามาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย GOSTR 54870-2011 ข้อกำหนดการจัดการโครงการสำหรับการจัดการผลงานโครงการสิ่งพิมพ์อย่างเป็นทางการ

หน่วยงานรัฐบาลกลางสำหรับกฎระเบียบทางเทคนิคและมาตรวิทยาเกี่ยวกับคำแนะนำของมาตรฐาน R 5 0.1.0 9 3-2014 หลักการบริหารความเสี่ยงสำหรับการประเมินประสิทธิผลของผลกระทบต่อความเสี่ยง สิ่งพิมพ์อย่างเป็นทางการ

ผลการวิเคราะห์ความสามารถในการทำซ้ำของข้อกำหนด ISO 14001:2004 ในภาคผนวก ISO 14001:2015 9. ISO 14001:2008 ISO 14001:2015 4. ข้อกำหนดสำหรับระบบการจัดการสิ่งแวดล้อม 4.1 ข้อกำหนดทั่วไป 4.1 ทั่วไป

การประกันธุรกิจ ISO 14001:2015 ภาพรวมของการเปลี่ยนแปลงที่สำคัญ 1 ปลอดภัย ฉลาดขึ้น และเป็นมิตรกับสิ่งแวดล้อม เนื้อหา ทิศทางหลักของวิวัฒนาการของมาตรฐาน ISO 14001 โครงสร้างระดับบนสุดแบบครบวงจร ใหม่และที่เปลี่ยนแปลง

แนวทางสำหรับการตรวจสอบสิ่งแวดล้อม หลักการทั่วไป Kyiv GOSSTANDARD ของยูเครน 1997 คำนำ DSTU ISO 14010-97 1 พัฒนาและแนะนำโดยคณะกรรมการด้านเทคนิคเพื่อการมาตรฐาน "การจัดการ

เวอร์ชั่นใหม่มาตรฐาน ISO 14001 การทบทวนการเปลี่ยนแปลงหลัก Dolgova O.V. หัวหน้าผู้เชี่ยวชาญของ SDS "Military Register" ที่ปรึกษาผู้เชี่ยวชาญของ LLC "Consult-OPK" ISO 14001 สิ่งแวดล้อมระดับนานาชาติแห่งแรกของโลก

วัตถุประสงค์ของแบบสอบถาม: 1 การประเมินเบื้องต้นของการปฏิบัติตามระบบการจัดการคุณภาพ (QMS) ที่มีอยู่ขององค์กรตามข้อกำหนด -2015 2 การกำหนดความพร้อมขององค์กรในการรับรอง

บทความนี้เป็นความต่อเนื่องของเนื้อหาที่ตีพิมพ์ในนิตยสารฉบับที่ 1 ปี 2015 เราขอเตือนผู้อ่านว่าบทความนี้มีการวิเคราะห์โดยผู้เชี่ยวชาญโดยละเอียดเกี่ยวกับความแตกต่างในขณะนี้ มาตรฐานปัจจุบัน

หน้าที่ 1 จาก 5 นโยบายในด้านระบบการจัดการแบบบูรณาการของ ASTANA MEDICAL UNIVERSITY JSC Astana Medical University JSC ทำหน้าที่เป็นสถาบันการศึกษา วิทยาศาสตร์ และการแพทย์ขนาดใหญ่

ระบบการจัดการความปลอดภัยการบินที่ถูกจำกัด (ASMS) จัดพิมพ์ภายใต้อำนาจของเลขาธิการเดือนสิงหาคม 2558 องค์กรระหว่างประเทศระบบการจัดการการบินพลเรือน

[ป้องกันอีเมล] Moscow City Pedagogical University Institute of Mathematics, Informatics and Natural Sciences Department of Applied Informatics Laboratory work 90 หัวข้อ: “การศึกษาข้อกำหนดของนานาชาติ

หน่วยงานสหพันธรัฐสำหรับกฎระเบียบทางเทคนิคและมาตรวิทยามาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย GOSTR 56245 2014 คำแนะนำสำหรับการพัฒนามาตรฐานสำหรับรุ่นระบบการจัดการ

เอกสาร [ /22/3/771/ ]: GOST R ISO 10006-2005 ระบบการจัดการคุณภาพ แนวทางการจัดการคุณภาพในการออกแบบ GOST R ISO 10006-2005 ระบบการจัดการคุณภาพ คู่มือการจัดการ

หน่วยงานของรัฐบาลกลางสำหรับกฎระเบียบทางเทคนิคและคำแนะนำมาตรวิทยาสำหรับมาตรฐาน R 5 0.1.0 8 4-2012 การจัดการความเสี่ยง การลงทะเบียนความเสี่ยง คำแนะนำในการสร้างการลงทะเบียนความเสี่ยงขององค์กร สิ่งตีพิมพ์

หน่วยงานสหพันธ์เพื่อการควบคุมทางเทคนิคและมาตรวิทยามาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย GOST R ISO 22310-2009 ระบบมาตรฐานสำหรับข้อมูลห้องสมุดและข้อมูลการเผยแพร่

อนุมัติโดยมติของคณะกรรมการ PJSC TGC-1 รายงานการประชุมครั้งที่ 2 ลงวันที่ 03 กรกฎาคม 2560 ตกลงโดยมติของคณะกรรมการตรวจสอบของคณะกรรมการของ PJSC TGC-1 รายงานการประชุมครั้งที่ 5 ลงวันที่ 30 พฤษภาคม 2560 นโยบายการจัดการ

หน่วยงานสหพันธ์เพื่อการควบคุมทางเทคนิคและมาตรวิทยามาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย GOST R ISO 10007-2007 แนวทางการจัดการองค์กรสำหรับการจัดการการกำหนดค่า

การตรวจสอบระบบการจัดการ (ตามมาตรฐาน ISO 19011:2011 แนวทางการตรวจสอบระบบการจัดการ) การตรวจสอบทางเทคนิคระบบการจัดการความปลอดภัยด้านการจราจร การตรวจสอบอิสระดำเนินการ

ภาคผนวก 4 ถึงคำสั่งของกระทรวงศึกษาธิการและวิทยาศาสตร์ของสหพันธรัฐรัสเซียประจำปี 2561 งบประมาณของรัฐบาลกลาง (MAI) ขั้นตอนเอกสาร OD-078-SMK-DP-004 ได้รับการอนุมัติโดยรองอธิการบดีสำหรับ

หน่วยงานสหพันธรัฐเพื่อการควบคุมทางเทคนิคและมาตรวิทยา มาตรฐานแห่งชาติ สหพันธรัฐรัสเซีย ARTRO และ GOST RISO 50001 -2012 ระบบการจัดการพลังงาน

UDC 33 หลักการและกระบวนการบริหารความเสี่ยงตามข้อกำหนดของมาตรฐานสากล ISO 31000 Nekrasov A.G., Ataev K.I. องค์กรทุกประเภทและขนาดต้องเผชิญกับปัจจัยภายในและภายนอก

มาตรฐานของรัฐอุซเบกิสถาน เทคโนโลยีสารสนเทศวิธีการรับรองความปลอดภัย การจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล (ISO/IEC 27005:2011, MOD) สิ่งพิมพ์อย่างเป็นทางการ Uzbek Agency

“อนุมัติ” โดยที่ประชุมใหญ่สมาชิกของ NP “StroyRegion” รายงานการประชุม 3 ลงวันที่ 22 ตุลาคม 2552 มาตรฐานของ NP “StroyRegion” ความรับผิดชอบด้านการจัดการในการพัฒนา การดำเนินการ และการปรับปรุงระบบการจัดการคุณภาพ

กระบวนการบริหารความเสี่ยงควรเป็น:

เป็นส่วนสำคัญของการจัดการ

บูรณาการเข้ากับกิจกรรมและขั้นตอนต่างๆ และ

ปฏิบัติตามกระบวนการทางธุรกิจขององค์กร

กระบวนการบริหารความเสี่ยงแสดงในรูปที่ 3

รูปที่ 3 – กระบวนการบริหารความเสี่ยง

การแลกเปลี่ยนข้อมูลและการให้คำปรึกษา

การสื่อสารและการปรึกษาหารือกับผู้มีส่วนได้เสียทั้งภายนอกและภายในเกิดขึ้นในทุกขั้นตอนของกระบวนการบริหารความเสี่ยง

ดังนั้นควรมีการพัฒนาแผนการแลกเปลี่ยนข้อมูลและการปรึกษาหารือตั้งแต่ระยะเริ่มต้น พวกเขาควรพิจารณาประเด็นที่เกี่ยวข้องกับความเสี่ยง สาเหตุ ผลที่ตามมา (หากทราบ) และมาตรการที่ใช้ในการรักษา ควรมีการสื่อสารและการปรึกษาหารือทั้งภายนอกและภายในที่มีประสิทธิภาพเพื่อให้แน่ใจว่าผู้ที่รับผิดชอบในการดำเนินกระบวนการบริหารความเสี่ยงและผู้มีส่วนได้เสียเข้าใจพื้นฐานการตัดสินใจและเข้าใจเหตุผลว่าทำไมจึงต้องมีการดำเนินการเฉพาะ

แนวทางกลุ่มที่ปรึกษาสามารถ:

ช่วยกำหนดบริบทให้เหมาะสม

ตรวจสอบให้แน่ใจว่าผลประโยชน์ของผู้มีส่วนได้ส่วนเสียได้รับการยอมรับและพิจารณา

ตรวจสอบให้แน่ใจว่ามีการระบุความเสี่ยงตามนั้น

รวบรวมการประเมินด้านต่างๆ เพื่อวิเคราะห์ความเสี่ยง

ตรวจสอบให้แน่ใจว่ามุมมองที่แตกต่างกันได้รับการพิจารณาอย่างเหมาะสมเมื่อกำหนดเกณฑ์ความเสี่ยงและเมื่อประเมินความเสี่ยง

รับรองการอนุมัติและเหตุผลของแผนการรักษาความเสี่ยง

ปรับปรุงการจัดการการเปลี่ยนแปลงที่เหมาะสมในระหว่างกระบวนการบริหารความเสี่ยง และ

พัฒนาแผนการสื่อสารและการให้คำปรึกษาทั้งภายนอกและภายในที่เหมาะสม

การสื่อสารและการปรึกษาหารือกับผู้มีส่วนได้ส่วนเสียเป็นสิ่งสำคัญ เนื่องจากการสรุปความเสี่ยงจะขึ้นอยู่กับการรับรู้ความเสี่ยงของผู้มีส่วนได้ส่วนเสีย การรับรู้เหล่านี้อาจแตกต่างกันเนื่องจากความแตกต่างในคุณค่า ความต้องการ สมมติฐาน แนวคิด และความสนใจของผู้มีส่วนได้ส่วนเสีย เนื่องจากมุมมองสามารถมีผลกระทบอย่างมีนัยสำคัญต่อการตัดสินใจ การรับรู้ของผู้มีส่วนได้ส่วนเสียจึงจำเป็นต้องได้รับการระบุ บันทึก และรวมไว้ในกระบวนการตัดสินใจ

การสื่อสารและการให้คำปรึกษาควรรับประกันการแลกเปลี่ยนข้อมูลที่เหมาะสม มีการกำหนดชัดเจน และเข้าถึงได้ โดยคำนึงถึงการรักษาความลับและความปลอดภัย

การกำหนดบริบท

โดยการสร้างบริบท องค์กรจะระบุวัตถุประสงค์ กำหนดการบริหารความเสี่ยง และกำหนดขอบเขตและเกณฑ์ความเสี่ยงสำหรับกระบวนการ เนื่องจากพารามิเตอร์เหล่านี้หลายตัวคล้ายคลึงกับที่พิจารณาเมื่อพัฒนากรอบการบริหารความเสี่ยง เมื่อกำหนดบริบทของกระบวนการบริหารความเสี่ยง จึงควรพิจารณารายละเอียดเพิ่มเติม และโดยเฉพาะอย่างยิ่ง เกี่ยวข้องกับขอบเขตของการบริหารความเสี่ยงเฉพาะอย่างไร กระบวนการ.

การสร้างบริบทภายนอก

บริบทภายนอกคือสภาพแวดล้อมภายนอกที่องค์กรพยายามบรรลุเป้าหมาย

การทำความเข้าใจบริบทภายนอกเป็นสิ่งสำคัญเพื่อให้แน่ใจว่าเป้าหมายและผลประโยชน์ของผู้มีส่วนได้ส่วนเสียภายนอกได้รับการพิจารณาเมื่อพัฒนาเกณฑ์ความเสี่ยง ขึ้นอยู่กับบริบทของทั้งองค์กร แต่มีรายละเอียดเฉพาะเกี่ยวกับข้อกำหนดทางกฎหมายและข้อบังคับ การรับรู้ของผู้มีส่วนได้ส่วนเสีย และแง่มุมความเสี่ยงอื่น ๆ ที่เฉพาะเจาะจงกับขอบเขตของกระบวนการบริหารความเสี่ยง

บริบทภายนอกอาจรวมถึง:

สังคม วัฒนธรรม การเมือง กฎหมาย นิติบัญญัติ การเงิน เทคโนโลยี เศรษฐกิจ ธรรมชาติและสภาพแวดล้อมทางการตลาดในระดับนานาชาติ ภูมิภาค ประเทศหรือท้องถิ่น

ปัจจัยสำคัญและแนวโน้มที่มีอิทธิพลต่อเป้าหมายขององค์กร และ

ความสัมพันธ์กับผู้มีส่วนได้ส่วนเสียภายนอก การรับรู้ และค่านิยมของพวกเขา

การสร้างบริบทภายใน

บริบทภายในคือสภาพแวดล้อมภายในที่องค์กรพยายามบรรลุเป้าหมาย

กระบวนการบริหารความเสี่ยงจะต้องสอดคล้องกับกิจกรรม กระบวนการ โครงสร้าง และกลยุทธ์ขององค์กร บริบทภายในคือสิ่งใดก็ตามภายในองค์กรที่สามารถมีอิทธิพลต่อวิธีที่องค์กรจะจัดการความเสี่ยง จำเป็นต้องกำหนดเพราะ:

ก) การบริหารความเสี่ยงเกิดขึ้นในบริบทของวัตถุประสงค์ขององค์กร

b) วัตถุประสงค์และเกณฑ์ของโครงการ กระบวนการ หรือกิจกรรมใดโดยเฉพาะควรได้รับการพิจารณาโดยสัมพันธ์กับวัตถุประสงค์ขององค์กรโดยรวม และ

c) บางองค์กรไม่ได้สร้างความสามารถในการบรรลุวัตถุประสงค์เชิงกลยุทธ์ โครงการ หรือทางเศรษฐกิจ และสิ่งนี้ส่งผลต่อความมุ่งมั่น ความน่าเชื่อถือ ความไว้วางใจ และคุณค่าขององค์กร

จำเป็นต้องเข้าใจบริบทภายใน อาจรวมถึง:

ภาวะผู้นำ โครงสร้างองค์กร หน้าที่และความรับผิดชอบ

นโยบาย เป้าหมาย และกลยุทธ์ที่มีอยู่เพื่อให้บรรลุเป้าหมายเหล่านั้น

ความสามารถบนพื้นฐานของทรัพยากรและความรู้ (เช่น ทุน เวลา บุคลากร กระบวนการ ระบบ และเทคโนโลยี)

ความสัมพันธ์กับผู้มีส่วนได้ส่วนเสียภายใน การรับรู้ และค่านิยมของพวกเขา

กิจกรรมขององค์กร

ระบบสารสนเทศ การไหลของข้อมูล และกระบวนการตัดสินใจ (ทั้งที่เป็นทางการและไม่เป็นทางการ)

มาตรฐาน แนวปฏิบัติ และแบบจำลองที่องค์กรนำมาใช้ และ

รูปแบบและขอบเขตของความสัมพันธ์ตามสัญญา

การสร้างบริบทของกระบวนการบริหารความเสี่ยง

มีความจำเป็นต้องกำหนดวัตถุประสงค์ กลยุทธ์ ขอบเขต และพารามิเตอร์ขององค์กรหรือส่วนต่างๆ ขององค์กรที่ใช้กระบวนการบริหารความเสี่ยง การบริหารความเสี่ยงควรดำเนินการโดยคำนึงถึงความจำเป็นในการปรับทรัพยากรที่ใช้ในการดำเนินการบริหารความเสี่ยงอย่างเต็มที่ ควรระบุทรัพยากร ความรับผิดชอบและอำนาจหน้าที่ที่จำเป็น และบันทึกที่ต้องเก็บรักษาไว้ด้วย

บริบทของกระบวนการบริหารความเสี่ยงเปลี่ยนแปลงไปตามความต้องการขององค์กร อาจรวมถึง:

การกำหนดเป้าหมายและเป้าหมายการบริหารความเสี่ยง

การกำหนดความรับผิดชอบและภายในกระบวนการบริหารความเสี่ยง

การกำหนดขอบเขต ตลอดจนขอบเขตของการบริหารความเสี่ยง รวมถึงการเพิ่มและข้อจำกัดส่วนบุคคล

การกำหนดกิจกรรม กระบวนการ ฟังก์ชัน โครงการ ผลิตภัณฑ์ บริการ หรือสินทรัพย์ตามเวลาและสถานที่

การกำหนดความสัมพันธ์ระหว่างโครงการ กระบวนการ หรือกิจกรรมเฉพาะกับโครงการ กระบวนการ หรือกิจกรรมอื่น ๆ ขององค์กร

คำจำกัดความของวิธีการประเมินความเสี่ยง

การกำหนดวิธีการประเมินตัวชี้วัดและประสิทธิผลของการบริหารความเสี่ยง

การสร้างและกำหนดการตัดสินใจที่ต้องทำ และ

ความหมาย การวิเคราะห์ และการกำหนดขอบเขตของการวิจัยที่จำเป็น ขอบเขตและวัตถุประสงค์ของการวิจัย ตลอดจนทรัพยากรที่จำเป็นสำหรับการวิจัยนั้น

การตรวจสอบข้อมูลและอื่นๆ ปัจจัยสำคัญควรช่วยให้มั่นใจว่าแนวทางการบริหารความเสี่ยงที่นำมาใช้นั้นเหมาะสมกับสถานการณ์ องค์กร และความเสี่ยงที่ส่งผลต่อการบรรลุวัตถุประสงค์

คำจำกัดความของเกณฑ์ความเสี่ยง

องค์กรต้องกำหนดเกณฑ์ที่จะใช้ในการประเมินความสำคัญของความเสี่ยง เกณฑ์ควรสะท้อนถึงคุณค่า เป้าหมาย และทรัพยากรขององค์กร เกณฑ์บางอย่างอาจถูกกำหนดขึ้นตามข้อกำหนดทางกฎหมายและข้อบังคับและข้อกำหนดอื่น ๆ ที่องค์กรมุ่งมั่น เกณฑ์ความเสี่ยงควรสอดคล้องกับนโยบายการบริหารความเสี่ยงขององค์กร (ดู 4.3.2) ที่กำหนดไว้เมื่อเริ่มต้นกระบวนการบริหารความเสี่ยง และอยู่ภายใต้การทบทวนอย่างต่อเนื่อง

ในการกำหนดเกณฑ์ความเสี่ยงควรพิจารณาปัจจัยต่อไปนี้:

ลักษณะและประเภทของสาเหตุและผลกระทบที่อาจเกิดขึ้นและวิธีที่ควรวัด

ควรกำหนดความน่าจะเป็นอย่างไร?

กรอบเวลาของความน่าจะเป็นและ/หรือผลที่ตามมา

ควรกำหนดระดับความเสี่ยงอย่างไร

มุมมองของผู้มีส่วนได้ส่วนเสีย

ระดับที่ความเสี่ยงสามารถยอมรับหรือยอมรับได้ และ

ควรพิจารณาการรวมกันของความเสี่ยงหลายประการหรือไม่ และหากเป็นเช่นนั้น ควรพิจารณาอย่างไรและอย่างไร

การประเมินความเสี่ยง

การประเมินความเสี่ยงเป็นกระบวนการองค์รวมในการระบุความเสี่ยง การวิเคราะห์ความเสี่ยง และการประเมินความเสี่ยง

หมายเหตุ ISO/IEC 31010 ให้คำแนะนำเกี่ยวกับวิธีการประเมิน

การระบุความเสี่ยง

องค์กรต้องระบุแหล่งที่มาของความเสี่ยง พื้นที่ของผลกระทบ เหตุการณ์ (รวมถึงการเปลี่ยนแปลงในสถานการณ์) และสาเหตุ เช่นเดียวกับผลที่ตามมาที่อาจเกิดขึ้น วัตถุประสงค์ของขั้นตอนนี้คือการพัฒนารายการความเสี่ยงโดยละเอียดโดยอิงจากเหตุการณ์เหล่านั้นที่สามารถสร้าง เพิ่ม ป้องกัน ลด เร่งหรือชะลอการบรรลุเป้าหมายได้ การระบุความเสี่ยงที่เกี่ยวข้องกับการเบี่ยงเบนไปจากเหตุการณ์ที่เอื้ออำนวยเป็นสิ่งสำคัญ การระบุตัวตนโดยสมบูรณ์มีความสำคัญเนื่องจากความเสี่ยงที่ไม่ได้ระบุในขั้นตอนนี้จะไม่ถูกรวมไว้ในการวิเคราะห์เพิ่มเติม

การระบุควรรวมถึงความเสี่ยง ไม่ว่าองค์กรจะควบคุมแหล่งที่มาหรือไม่ก็ตาม แม้ว่าแหล่งที่มาของความเสี่ยงหรือสาเหตุของความเสี่ยงอาจไม่ชัดเจนก็ตาม การระบุความเสี่ยงควรรวมถึงการตรวจสอบผลกระทบของผลที่ตามมาเฉพาะ รวมถึงผลกระทบแบบเรียงซ้อนและแบบสะสม จำเป็นต้องพิจารณาผลที่ตามมาหลายประการ แม้ว่าแหล่งที่มาของความเสี่ยงหรือสาเหตุของความเสี่ยงอาจไม่ชัดเจนก็ตาม นอกจากการระบุเหตุการณ์ที่อาจเกิดขึ้นแล้ว ยังจำเป็นต้องพิจารณาสาเหตุและสถานการณ์ที่เป็นไปได้ที่บ่งชี้ถึงผลที่ตามมาที่อาจเกิดขึ้น ควรคำนึงถึงสาเหตุและผลที่ตามมาที่สำคัญทั้งหมด

องค์กรต้องใช้เครื่องมือและเทคนิคการระบุความเสี่ยงที่เหมาะสมกับวัตถุประสงค์และความสามารถและเหมาะสมกับความเสี่ยงที่เผชิญ ข้อมูลที่เกี่ยวข้องและเป็นปัจจุบันมีความสำคัญอย่างยิ่งในการระบุความเสี่ยง หากจำเป็นก็ควรรวมความเหมาะสมด้วย ข้อมูลเพิ่มเติม- ผู้มีความรู้ที่เหมาะสมจะต้องมีส่วนร่วมในการระบุความเสี่ยง

การวิเคราะห์ความเสี่ยง

การวิเคราะห์ความเสี่ยงช่วยให้เข้าใจถึงความเสี่ยง การวิเคราะห์ความเสี่ยงให้ข้อมูลสำหรับการประเมินความเสี่ยงและการตัดสินใจเกี่ยวกับการรักษาความเสี่ยง และสำหรับการเลือกกลยุทธ์และวิธีการรักษาความเสี่ยงที่เหมาะสมที่สุด การวิเคราะห์ความเสี่ยงยังสามารถให้ข้อมูลในการตัดสินใจเมื่อจำเป็นต้องทำทางเลือก และตัวเลือกต่างๆ รวมถึงประเภทและระดับความเสี่ยงที่แตกต่างกัน

การวิเคราะห์ความเสี่ยงเกี่ยวข้องกับการพิจารณาสาเหตุและแหล่งที่มาของความเสี่ยง ผลที่ตามมาทั้งเชิงบวกและเชิงลบ และความน่าจะเป็นที่ผลที่ตามมาเหล่านี้จะเกิดขึ้น ควรระบุปัจจัยที่มีอิทธิพลต่อผลที่ตามมาและความน่าจะเป็นที่จะเกิดขึ้น วิเคราะห์ความเสี่ยงโดยการพิจารณาผลที่ตามมาและความน่าจะเป็นของการเกิดความเสี่ยง ตลอดจนตัวบ่งชี้ความเสี่ยงอื่นๆ เหตุการณ์สามารถมีผลกระทบที่แตกต่างกันและอาจส่งผลกระทบต่อเป้าหมายที่แตกต่างกัน ควรคำนึงถึงการควบคุมที่มีอยู่ ตลอดจนประสิทธิผลและประสิทธิผลด้วย

วิธีการแสดงผลลัพธ์ที่ตามมาและโอกาสที่จะเกิดขึ้น และวิธีที่รวมผลลัพธ์เหล่านี้เข้าด้วยกันเพื่อกำหนดระดับความเสี่ยง ควรสะท้อนถึงประเภทของความเสี่ยง ข้อมูลที่มีอยู่ และวัตถุประสงค์ของผลการประเมินความเสี่ยง ที่จะถูกนำมาใช้ ทั้งหมดนี้จะต้องเป็นไปตามเกณฑ์ความเสี่ยง สิ่งสำคัญคือต้องพิจารณาการพึ่งพาซึ่งกันและกันของความเสี่ยงต่างๆ และแหล่งที่มา

การวิเคราะห์จะพิจารณาความน่าเชื่อถือของการกำหนดระดับความเสี่ยงและความอ่อนไหวต่อสมมติฐานและสมมติฐาน และยังสื่อสารข้อมูลไปยังผู้มีอำนาจตัดสินใจและหากจำเป็น ผู้มีส่วนได้เสียอื่นๆ มีความจำเป็นต้องระบุและเน้นปัจจัยต่างๆ เช่น การมีมุมมองที่แตกต่างกันในหมู่ผู้เชี่ยวชาญ ความไม่แน่นอน ความพร้อมใช้งาน คุณภาพ ปริมาณ และความเกี่ยวข้องของข้อมูล ตลอดจนข้อจำกัดในการสร้างแบบจำลอง

การวิเคราะห์ความเสี่ยงสามารถดำเนินการได้ในระดับต่างๆ ของรายละเอียดการวิเคราะห์ ขึ้นอยู่กับความเสี่ยง วัตถุประสงค์ของการวิเคราะห์ และข้อมูล ข้อมูล และทรัพยากรที่มีอยู่ การวิเคราะห์อาจเป็นเชิงคุณภาพ กึ่งปริมาณ หรือเชิงปริมาณ หรือทั้งสองอย่างรวมกัน ขึ้นอยู่กับสถานการณ์

ผลที่ตามมาและความน่าจะเป็นของการเกิดขึ้นสามารถกำหนดได้โดยการสร้างแบบจำลองผลลัพธ์ของเหตุการณ์หรือชุดของเหตุการณ์ หรือโดยการอนุมานจากการศึกษาเชิงทดลองหรือข้อมูลที่มีอยู่ ผลที่ตามมาสามารถแสดงออกมาในรูปของผลกระทบที่จับต้องได้หรือจับต้องไม่ได้ ในบางกรณีจำเป็นต้องใช้ค่าตัวเลขหรือคุณลักษณะหลายค่าเพื่อกำหนดผลที่ตามมาและความน่าจะเป็นที่จะเกิดขึ้นในเวลา สถานที่ กลุ่ม หรือสถานการณ์ที่แตกต่างกัน

การประเมินความเสี่ยง

วัตถุประสงค์ของการประเมินความเสี่ยงคือเพื่ออำนวยความสะดวกในการตัดสินใจโดยอิงจากผลการวิเคราะห์ความเสี่ยง เกี่ยวกับความจำเป็นในการบำบัดความเสี่ยง และเพื่อจัดลำดับความสำคัญของการดำเนินการจัดการความเสี่ยง

การประเมินความเสี่ยงเกี่ยวข้องกับการเปรียบเทียบระดับความเสี่ยงที่ระบุในระหว่างกระบวนการวิเคราะห์กับเกณฑ์ความเสี่ยงที่กำหนดโดยการพิจารณาบริบท จากการเปรียบเทียบนี้จะกำหนดความจำเป็นในการรักษาความเสี่ยง

การตัดสินใจควรคำนึงถึงบริบทความเสี่ยงที่กว้างขึ้น และรวมถึงการพิจารณาการยอมรับความเสี่ยงของฝ่ายอื่นที่ไม่ใช่องค์กรที่ได้รับประโยชน์จากความเสี่ยงนั้น การตัดสินใจจะต้องเป็นไปตามข้อกำหนดทางกฎหมาย ข้อบังคับ และข้อกำหนดอื่นๆ

ในบางกรณี การประเมินความเสี่ยงจะนำไปสู่การตัดสินใจที่จะดำเนินการวิเคราะห์เพิ่มเติม การประเมินความเสี่ยงยังอาจนำไปสู่การตัดสินใจว่าจะไม่ปฏิบัติต่อความเสี่ยงในทางอื่นใดนอกเหนือจากการใช้การควบคุม การตัดสินใจครั้งนี้ได้รับอิทธิพลจากทัศนคติขององค์กรต่อความเสี่ยงและเกณฑ์ความเสี่ยงที่กำหนดไว้

การรักษาความเสี่ยง

การรักษาความเสี่ยงเกี่ยวข้องกับการเลือกตัวเลือกการปรับเปลี่ยนความเสี่ยงอย่างน้อยหนึ่งตัวเลือกและนำตัวเลือกเหล่านั้นไปใช้ มาตรการบำบัดบังคับใช้การควบคุมหรือการเปลี่ยนแปลงการควบคุม

การรักษาความเสี่ยงเกี่ยวข้องกับกระบวนการที่เป็นวัฏจักร:

การประเมินการรักษาความเสี่ยง

การตัดสินใจว่าระดับความเสี่ยงคงเหลือเป็นที่ยอมรับหรือไม่

ดำเนินการรักษาความเสี่ยงใหม่หากระดับความเสี่ยงคงเหลือไม่สามารถยอมรับได้ และ

การประเมินประสิทธิภาพของการประมวลผลนี้

ตัวเลือกการรักษาความเสี่ยงอาจไม่จำเป็นต้องแยกจากกันหรือเหมาะสมในทุกสถานการณ์ ตัวเลือกอาจรวมถึง:

ก) การป้องกันความเสี่ยงโดยการตัดสินใจที่จะไม่เริ่มหรือดำเนินกิจกรรมที่ก่อให้เกิดความเสี่ยงต่อไป

b) การรับหรือเพิ่มความเสี่ยงเพื่อให้บรรลุเป้าหมาย

c) ขจัดแหล่งที่มาของความเสี่ยง

d) การเปลี่ยนแปลงความน่าจะเป็น

e) การเปลี่ยนแปลงผลที่ตามมา;

f) แบ่งปันความเสี่ยงกับฝ่ายอื่นหรือฝ่ายอื่น (รวมถึงสัญญาและการจัดหาเงินทุนความเสี่ยง) และ

g) การรับความเสี่ยงตามการตัดสินใจที่มีข้อมูลครบถ้วน

การเลือกตัวเลือกการรักษาความเสี่ยง

การเลือกตัวเลือกการรักษาความเสี่ยงที่เหมาะสมที่สุดเกี่ยวข้องกับการชั่งน้ำหนักต้นทุนและความพยายามในการดำเนินการโดยเทียบกับผลประโยชน์ที่ได้รับ โดยคำนึงถึงกฎหมาย ข้อบังคับ และข้อกำหนดอื่นๆ เช่น ความรับผิดชอบต่อสังคมและการคุ้มครองสิ่งแวดล้อม เมื่อทำการตัดสินใจ ควรคำนึงถึงความเสี่ยงที่ต้องได้รับการปฏิบัติต่อความเสี่ยงที่ไม่สมเหตุสมผลจากมุมมองทางเศรษฐกิจ เช่น ความเสี่ยงที่ร้ายแรง (ผลกระทบเชิงลบที่มีนัยสำคัญ) แต่เกิดขึ้นได้ยาก (ความน่าจะเป็นที่จะเกิดขึ้นต่ำ)

ตัวเลือกการรักษาสามารถพิจารณาและนำไปใช้ได้ทั้งแบบเดี่ยวหรือแบบรวมกัน โดยปกติองค์กรจะได้รับประโยชน์จากการนำตัวเลือกการประมวลผลมารวมกัน

เมื่อเลือกตัวเลือกการรักษาความเสี่ยง องค์กรควรคำนึงถึงความสนใจและการรับรู้ของผู้มีส่วนได้เสียและวิธีการสื่อสารกับพวกเขาอย่างเหมาะสมที่สุด หากตัวเลือกการรักษาความเสี่ยงอาจส่งผลกระทบต่อความเสี่ยงในส่วนอื่นในองค์กรหรือกับผู้มีส่วนได้เสีย ควรคำนึงถึงเรื่องนี้เมื่อทำการตัดสินใจ แม้ว่าจะมีประสิทธิผลเท่าเทียมกัน แต่การรักษาความเสี่ยงบางอย่างอาจเป็นที่ยอมรับของผู้มีส่วนได้ส่วนเสียบางรายมากกว่าคนอื่นๆ

แผนการรักษาความเสี่ยงควรกำหนดลำดับที่ชัดเจนในการใช้ตัวเลือกการรักษาความเสี่ยงรายบุคคล

การรักษาความเสี่ยงนั้นอาจทำให้เกิดความเสี่ยงได้ ความเสี่ยงที่สำคัญอาจเกิดจากการไม่มีหรือไม่มีประสิทธิผลของมาตรการรักษาความเสี่ยง การติดตามผลควรเป็นส่วนสำคัญของแผนการรักษาความเสี่ยงเพื่อให้แน่ใจว่ามาตรการต่างๆ ยังคงมีประสิทธิภาพ

การรักษาความเสี่ยงยังอาจก่อให้เกิดความเสี่ยงรองที่จำเป็นต้องได้รับการประเมิน บำบัด ควบคุม และวิเคราะห์ ความเสี่ยงรองเหล่านี้ควรรวมอยู่ในแผนการรักษาเดียวกันกับความเสี่ยงเดิม และไม่ควรถือเป็นความเสี่ยงใหม่ ความสัมพันธ์ระหว่างความเสี่ยงทั้งสองจะต้องได้รับการระบุและรักษาไว้

การจัดทำและการดำเนินการตามแผนการรักษาความเสี่ยง

วัตถุประสงค์ของแผนการรักษาความเสี่ยงคือเพื่อบันทึกวิธีการใช้ตัวเลือกการรักษาที่เลือกไว้ ข้อมูลที่ให้ไว้ในแผนการรักษาความเสี่ยงควรประกอบด้วย:

พื้นฐานในการเลือกตัวเลือกการรักษาความเสี่ยง รวมถึงผลประโยชน์ที่คาดว่าจะได้รับ

ผู้รับผิดชอบในการอนุมัติแผนตลอดจนผู้รับผิดชอบในการดำเนินการตามแผน

การดำเนินการที่แนะนำ

ข้อกำหนดด้านทรัพยากร รวมถึงเหตุฉุกเฉินที่อาจเกิดขึ้น

ตัวบ่งชี้ประสิทธิภาพและข้อจำกัด

ข้อกำหนดการรายงานและการติดตาม และ

กำหนดเวลาและกำหนดการดำเนินการ

แผนการรักษาความเสี่ยงควรบูรณาการกับกระบวนการจัดการขององค์กรและหารือกับผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้อง

ผู้มีอำนาจตัดสินใจและผู้มีส่วนได้เสียอื่นๆ ควรตระหนักถึงลักษณะและขอบเขตของความเสี่ยงที่เหลืออยู่หลังการรักษาความเสี่ยง ความเสี่ยงคงเหลือควรได้รับการบันทึกไว้และอยู่ภายใต้การติดตาม การวิเคราะห์ และการรักษาเพิ่มเติม หากจำเป็น

การติดตามและการวิเคราะห์

การติดตามและทบทวนควรเป็นส่วนหนึ่งของกระบวนการบริหารความเสี่ยงที่วางแผนไว้ และรวมถึงการทบทวนหรือการควบคุมอย่างสม่ำเสมอ อาจเป็นช่วงหรือพิเศษก็ได้

ควรกำหนดความรับผิดชอบในการติดตามและวิเคราะห์ให้ชัดเจน

กระบวนการติดตามและทบทวนขององค์กรควรรวมกระบวนการบริหารความเสี่ยงทุกด้านเพื่อ:

ตรวจสอบให้แน่ใจว่าการควบคุมมีประสิทธิภาพและประสิทธิผลสำหรับทั้งการออกแบบและการดำเนินงาน

การได้รับข้อมูลเพิ่มเติมเพื่อปรับปรุงการประเมินความเสี่ยง

การวิเคราะห์และศึกษาเหตุการณ์ (รวมถึงเหตุการณ์ที่ไม่มีผลกระทบ) การเปลี่ยนแปลง ทิศทางหลักของการพัฒนา ความสำเร็จและความล้มเหลว

ระบุการเปลี่ยนแปลงในบริบทภายนอกและภายใน รวมถึงการเปลี่ยนแปลงเกณฑ์ความเสี่ยง ตลอดจนความเสี่ยงที่อาจต้องมีการแก้ไขการรักษาความเสี่ยงและลำดับความสำคัญ และ

การระบุความเสี่ยงที่เกิดขึ้น

การดำเนินการตามแผนการรักษาความเสี่ยงจะเป็นตัวกำหนดการประเมินประสิทธิภาพ ผลลัพธ์สามารถรวมอยู่ในกิจกรรมการจัดการโดยรวมขององค์กร การประเมินผล และการสื่อสารทั้งภายนอกและภายใน

ผลการติดตามและการวิเคราะห์ควรได้รับการจัดทำเป็นเอกสาร และหากจำเป็น ควรมีการสื่อสารทั้งภายนอกและภายใน และควรใช้เป็นข้อมูลนำเข้าสำหรับการทบทวนกรอบการบริหารความเสี่ยง

จัดทำเอกสารกระบวนการบริหารความเสี่ยง

กิจกรรมการจัดการความเสี่ยงจะต้องติดตามได้ ในกระบวนการบริหารความเสี่ยง บันทึกจะเป็นพื้นฐานสำหรับการปรับปรุงวิธีการและเครื่องมือตลอดจนกระบวนการโดยรวม

เมื่อตัดสินใจเกี่ยวกับการเก็บบันทึก ควรพิจารณาสิ่งต่อไปนี้:

ความต้องการขององค์กรในการสะสมความรู้อย่างต่อเนื่อง

ประโยชน์ของการนำข้อมูลกลับมาใช้ซ้ำเพื่อวัตถุประสงค์ในการจัดการ

ค่าใช้จ่ายและความพยายามที่เกี่ยวข้องกับการสร้างและดูแลรักษาบันทึก

ข้อกำหนดด้านกฎหมาย ข้อบังคับ และธุรกิจที่เกี่ยวข้องกับบันทึก

วิธีการเข้าถึง ความง่ายในการกู้คืนและสื่อจัดเก็บข้อมูล

อายุการเก็บรักษา; และ

การรักษาความลับของข้อมูล