为达到最大的效益,组织的风险管理应遵循以下原则:
a )风险管理创造价值。
风险管理有助于目标的实现和改进,例如,人类健康和安全、法律和法规、公众认同、环境保护、财务、产品质量、业务效率、公司治理和声誉。
b )风险管理是组织进程中不可分割的组成部分。
风险管理是管理职责中的一部分,同所有项目、变更管理流程一样是组织进程中不可分割的一部分。风险管理不是与组织主要活动和组织进程分离的独立活动。
c )风险管理是决策的一部分。
风险管理有助于决策者作出明智的选择。风险管理有助于确立优选方案以及对各备选方案的判断。最后,风险管理有助于决策者确定风险的可接受程度以及风险处理的合理性与有效性。
d )风险管理明确地将不确定性表达出来。
风险管理可以处理决策中的不确定性、不确定性因素,以及这些不确定性如何表达。
e )风险管理应系统化、结构化、及时化。
系统、及时、结构化的风险管理方法有助于提高效率和可持续发展,增加可靠性。
f )风险管理依赖于信息的有效程度。
风险管理所需的信息来源于如经验、反馈、观察、预测和专家的判断等。但是,决策者应考虑到数据或模型的局限性以及专家之间产生分歧的可能性。
g )风险管理应适应组织。
风险管理应符合组织的外部、内部环境和风险状况。
h )风险管理应考虑人力和文化因素。
风险管理应考虑外部和内部人员的能力、观点和倾向,这些因素可以促进或阻碍组织目标的实现。
i )风险管理应该是透明的、包容的。
风险管理应包括利益相关者,尤其组织的各级决策者,以确保风险管理工作的相关性并及时更新。允许利益相关者对风险管理提出自己的观点,在风险标准的确定中应考虑他们的意见。
j )风险管理应该是动态的、反复的以及适应变化的。
由于内部和外部事件的不断发生、背景和知识的不断改变、监控和审查的出现、新风险的发生,以及其它一些影响因素的变化或消失。因此,组织应保持风险管理的敏感性并及时响应变革。
k )风险管理应不断改善和加强。
组织应当制定和实施战略,来完善组织各方面的风险管理。附件A “加强风险管理属性”提供了进一步的信息。
