风险管理过程概述.ppt

4.2 风险识别--方法 风险识别方法包括： 基于证据的方法，例如检查表法以及对历史数据的审查； 系统性的团队方法，例如一个专家团队可以借助于一套结构化的提示或问题来系统地识别风险； 归纳推理技术，例如危险与可操作性分析（HAZOP）等。 组织可利用各种支持性的技术来提高风险识别工作的准确性和完整性，包括头脑风暴法及德尔菲法等。 4.风险评估 * 4.3 风险分析 （1）风险分析的含义 系统地运用相关信息来确认风险的来源 ，并对风险进行估计。 风险分析要考虑导致风险的原因和风险源、风险事件的正面和负面的后果及其发生的可能性、影响后果和可能性的因素、不同风险及其风险源的相互关系以及风险的其他特性，还要考虑现有的管理措施及其效果和效率。 4.风险评估 * （2）风险分析的考虑要素 在风险分析中，应考虑组织的风险承受度及其对前提和假设的敏感性，并适时与决策者和其他利益相关者有效地沟通．另外，还要考虑可能存在的专家观点中的分歧及数据和模型的局限性。 （3）风险分析的方法 根据风险分析的目的、获得的信息数据和资源，风险分析可以是定性的、半定量的、定量的或以上方法的组合。一般情况下，首先采用定性分析，初步了解风险等级和揭示主要风险。适当时，进行更具体和定量的风险分析。 4.风险评估 4.3 风险分析 * （4）风险分析的结果 后果和可能性可通过专家意见确定，或通过对事件或事件组合的结果建模确定，也可通过对实验研究或可获得的数据的推导确定。 对后果的描述可表达为有形或无形的影响。在某些情况下，可能需要多个指标来确切描述不同时间、地点、类别或情形的后果。 4.风险评估 4.3 风险分析 * （4）风险分析的结果 定性评估 半定量法 定量分析 （5）控制措施评估 （6）后果分析 （7）可能性分析和概率估计（风险估计） （8）初步分析 （9）不确定性及敏感性因素 4.风险评估 4.3 风险分析 * 4.4 风险评价 （1）风险评价的含义 将估计后风险与给定的风险准则对比， 来决定风险严重性的过程。 与组织确定的风险准则进行对照，以决定风险的水平并确定控制风险的优先顺序。经过风险评价，确定该风险是可承受还是需进行处理（分别采用风险规避、风险优化、风险转移或风险保留等措施）。 4.风险评估 * （2）风险评价决策 风险评价利用风险分析过程中所获得的对风险的认识，来对未来的行动进行决策。道德、法律、资金以及包括风险偏好在内的其它因素也是决策的参考信息。 决策包括： ——某个风险是否需要应对； ——风险的应对优先次序； ——是否应开展某项应对活动； ——应该采取哪种途径。 4.风险评估 4.4 风险评价 * （3）风险评价结果 风险评价的结果应满足风险应对的需要，否则，应做进一步分析。 有时，根据已经制定的风险准则，风险评价使组织做出维持现有的风险应对措施，不采取其他新的措施的决定。 4.风险评估 4.4 风险评价 * 常见的方法是将风险划分为三个等级段。 基于“最低合理可行”原则（As Low As reasonable Practicable，简称ALARP）。 （1）上段是指无论活动能带来什么利益，风险等级 都是无法容忍的，必须不惜代价进行风险处理； （2）中段是指要考虑实施风险应对的成本与收益， 并权衡机遇与潜在结果； （3）下段是指风险等级微不足道，或者风险很小， 无需采取风险处理措施。 风险评价的结果应满足风险处理的需要，否则， 应做进一步分析。 4.4 风险评价 * 4.5 常用风险评估技术 技术的选择 可用资源 不确定性的性质和程度 复杂性 4.风险评估 * 4.5 常用风险评估技术 ISO/IEC30010 《风险管理 风险评估技术》标准给出了对于风险评估的每一步，各类技术的适用性被描述为非常适用、适用或者不适用的不同类型。 4.风险评估 * 4.风险评估--常用风险评估技术 * 工具 及技术 风险评估过程 风险识别 风险分析 风险评价 后果 可能性 风险等级 头脑风暴法 SA A A A A 结构化/半结构化访谈 SA A A A A 德尔菲法 SA A A A A 情景分析 SA A A A A 风险矩阵 SA SA SA SA A FMEA SA NA NA NA NA HAZOP SA SA NA NA SA …… 31种技术 SA 表示：非常适用 A表示：适用 NA 表示：不适用 4.5 常用风险评估技术 从ISO/IEC 31