1. Trang chủ
  2. Thể loại khác

TCVN ISO 31000 2011

19 19 0
TCVN ISO 31000 2011

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

TIÊU CHUẨN QUỐC GIA TCVN 31000:2011 ISO 31000:2009 QUẢN LÝ RỦI RO - NGUYÊN TẮC VÀ HƯỚNG DẪN Risk management - Principles and Guidelines Lời nói đầu TCVN ISO 31000:2011 hoàn toàn tương đương với ISO 31000:2009; TCVN ISO 31000:2011 Ban kỹ thuật tiêu chuẩn quốc gia TCVN/TC 176 Quản lý chất lượng đảm bảo chất lượng biên soạn, Tổng cục Tiêu chuẩn đo lường Chất lượng đề nghị, Bộ Khoa học Công nghệ công bố Lời giới thiệu Mọi loại hình tổ chức, dù lớn hay nhỏ, phải đối mặt với yếu tố ảnh hưởng bên bên làm cho tổ chức khơng chắn liệu có đạt mục tiêu hay không đạt mục tiêu Tác động không chắn lên mục tiêu tổ chức "rủi ro" Mọi hoạt động tổ chức có rủi ro Tổ chức quản lý rủi ro cách xác định, phân tích đánh giá xem liệu có cần thay đổi rủi ro cách xử lý rủi ro để đáp ứng tiêu chí rủi ro tổ chức hay khơng Trong tồn q trình này, tổ chức trao đổi thông tin tham vấn bên liên quan, theo dõi, xem xét rủi ro kiểm soát thay đổi rủi ro nhằm bảo đảm không cần xử lý rủi ro thêm Tiêu chuẩn mơ tả chi tiết q trình có tính hệ thống lơ gíc Trong tất tổ chức quản lý rủi ro mức độ đó, tiêu chuẩn thiết lập số nguyên tắc cần đáp ứng để làm cho hoạt động quản lý rủi ro đạt hiệu Tiêu chuẩn khuyến nghị tổ chức xây dựng, áp dụng cải tiến liên tục khn khổ với mục đích tích hợp q trình quản lý rủi ro với toàn hoạt động quản trị, chiến lược hoạch định, quản lý, q trình báo cáo, sách, giá trị văn hóa tổ chức Quản lý rủi ro áp dụng cho tồn tổ chức, nhiều lĩnh vực cấp độ, thời điểm, cho chức năng, dự án hoạt động cụ thể Mặc dù thực tiễn quản lý rủi ro phát triển theo thời gian nhiều lĩnh vực để đáp ứng nhu cầu đa dạng, việc chấp nhận q trình qn khn khổ tồn diện giúp đảm bảo việc quản lý rủi ro đạt hiệu lực, hiệu chặt chẽ tồn tổ chức Phương pháp tiếp cận chung mơ tả tiêu chuẩn đưa nguyên tắc hướng dẫn để quản lý loại hình rủi ro cách hệ thống, minh bạch đáng tin cậy lĩnh vực bối cảnh Mỗi lĩnh vực ứng dụng quản lý rủi ro cụ thể có nhu cầu, đối tượng, nhận thức tiêu chí riêng Vì vậy, yếu tố quan trọng tiêu chuẩn việc đưa "thiết lập bối cảnh" thành hoạt động khởi đầu trình quản lý rủi ro chung Thiết lập bối cảnh nắm bắt mục tiêu tổ chức, môi trường mà tổ chức theo đuổi mục tiêu này, bên liên quan đa dạng tiêu chí rủi ro - tất điều giúp phát hiện, đánh giá chất tính phức tạm rủi ro tổ chức Mối quan hệ nguyên tắc quản lý rủi ro, khn khổ mối quan hệ diễn q trình quản lý rủi ro mơ tả tiêu chuẩn thể Hình Khi thực trì theo tiêu chuẩn này, quản lý rủi ro cho phép tổ chức có thể, ví dụ: - tăng khả đạt mục tiêu; - khuyến khích quản lý chủ động; - nhận thức nhu cầu xác định xử lý rủi ro toàn tổ chức; - cải thiện việc xác định hội mối đe dọa; - tuân thủ yêu cầu luật định, chế định chuẩn mực quốc tế liên quan; - cải tiến việc lập báo cáo tự nguyện bắt buộc; - cải tiến việc quản trị; - nâng cao lòng tin tin tưởng bên liên quan; - thiết lập sở tin cậy cho việc định lập kế hoạch; - cải tiến việc kiểm soát; - phân bổ sử dụng hiệu nguồn lực để xử lý rủi ro; - cải tiến hiệu lực hiệu hoạt động; - nâng cao hoạt động đảm bảo an toàn sức khỏe, bảo vệ môi trường; - cải tiến việc ngăn ngừa tổn thất quản lý cố; - giảm thiểu thiệt hại; - nâng cao việc học hỏi tổ chức; - nâng cao tính kiên cường tổ chức Tiêu chuẩn nhằm đáp ứng nhu cầu loạt bên liên quan, bao gồm: a) người chịu trách nhiệm xây dựng sách quản lý rủi ro tổ chức; b) người có trách nhiệm đảm bảo rủi ro quản lý hiệu phạm vi toàn tổ chức lĩnh vực, dự án hay hoạt động cụ thể c) người cần đánh giá hiệu lực quản lý rủi ro tổ chức; d) người xây dựng tiêu chuẩn, hướng dẫn, thủ tục quy phạm thực hành, tồn phần, lập cách thức quản lý rủi ro bối cảnh cụ thể tài liệu Các trình thực tiễn quản lý hành nhiều tổ chức bao gồm thành phần quản lý rủi ro nhiều tổ chức chấp nhận q trình quản lý rủi ro thức cho loại rủi ro tình cụ thể Trong trường hợp này, tổ chức định tiến hành xem xét thực tiễn trình có theo tiêu chuẩn Hình - Quan hệ nguyên tắc, khuôn khổ trình quản lý rủi ro QUẢN LÝ RỦI RO - NGUYÊN TẮC VÀ HƯỚNG DẪN Risk management - Principles and Guidelines Phạm vi áp dụng Tiêu chuẩn đưa nguyên tắc hướng dẫn chung quản lý rủi ro Tiêu chuẩn sử dụng cho doanh nghiệp công, tư hay doanh nghiệp cộng đồng, hiệp hội, nhóm cá nhân Vì vậy, tiêu chuẩn không cụ thể cho ngành công nghiệp lĩnh vực CHÚ THÍCH: Để thuận tiện, tất đối tượng khác sử dụng tiêu chuẩn gọi thuật ngữ chung "tổ chức" Tiêu chuẩn áp dụng toàn thời gian tồn tổ chức, cho loạt hoạt động, bao gồm chiến lược định, vận hành, trình, chức năng, dự án, sản phẩm, dịch vụ tài sản Tiêu chuẩn áp dụng cho loại hình rủi ro, chất, có hệ tích cực hay tiêu cực Mặc dù tiêu chuẩn đưa hướng dẫn chung, khơng nhằm tạo nên đồng quản lý rủi ro tất tổ chức Việc thiết kế thực khuôn khổ kế hoạch quản lý rủi ro cần phải tính đến nhu cầu khác tổ chức cụ thể, mục tiêu cụ thể, bối cảnh, cấu, hoạt động, trình, chức năng, dự án, sản phẩm, dịch vụ tài sản công việc cụ thể triển khai Tiêu chuẩn sử dụng để hài hịa q trình quản lý rủi ro tiêu chuẩn tương lai Tiêu chuẩn đưa cách tiếp cận chung để hỗ trợ tiêu chuẩn đề cập đến rủi ro và/hoặc lĩnh vực cụ thể khơng thay cho tiêu chuẩn Tiêu chuẩn khơng sử dụng cho mục đích chứng nhận Thuật ngữ định nghĩa Tiêu chuẩn áp dụng thuật ngữ định nghĩa 2.1 Rủi ro (Risk) Tác động không chắn lên mục tiêu CHÚ THÍCH 1: Tác động sai lệch so với dự kiến - tích cực và/hoặc tiêu cực CHÚ THÍCH 2: Mục tiêu có khía cạnh khác (như mục tiêu tài chính, sức khỏe, an tồn mơi trường) áp dụng cấp độ khác (như chiến lược, toàn tổ chức, dự án, sản phẩm q trình) CHÚ THÍCH 3: Rủi ro thường đặc trưng dẫn chiếu đến kiện (2.17) hệ (2.18) tiềm ẩn, kết hợp chúng CHÚ THÍCH 4: Rủi ro thường thể kết nối hệ kiện (bao gồm thay đổi hoàn cảnh) khả xảy (2.19) kèm theo CHÚ THÍCH 5: Sự khơng chắn tình trạng, chí phần, thiếu hụt thơng tin liên quan tới việc hiểu biết nhận thức kiện, hệ quả, khả xảy [ISO Guide 73:2009, định nghĩa 1.1] 2.2 Quản lý rủi ro (Risk management) Các hoạt động điều phối để định hướng kiểm soát tổ chức mặt rủi ro (2.1) [ISO Guide 73:2009, định nghĩa 2.1] 2.3 Khuôn khổ quản lý rủi ro (Risk management framework) Tập hợp thành phần tạo tảng xếp tổ chức để thiết kế, thực hiện, theo dõi (2.28), xem xét cải tiến liên tục quản lý rủi ro (2.2) tồn tổ chức CHÚ THÍCH 1: Nền tảng bao gồm sách, mục tiêu, nghĩa vụ cam kết để quản lý rủi ro (2.1) CHÚ THÍCH 2: Sự xếp mặt tổ chức bao gồm kế hoạch, mối quan hệ, trách nhiệm, nguồn lực, q trình hoạt động CHÚ THÍCH 3: Khn khổ quản lý rủi ro đưa vào sách chiến lược chiến thuật tổng thể thực tiễn hoạt động tổ chức [ISO Guide 73:2009, định nghĩa 2.1.1] 2.4 Chính sách quản lý rủi ro (Risk management policy) Tuyên bố ý định định hướng tổng thể tổ chức liên quan đến quản lý rủi ro (2.2) [ISO Guide 73:2009, định nghĩa 2.1.2] 2.5 Thái độ rủi ro (Risk attitude) Phương pháp tiếp cận tổ chức để đánh giá cuối theo đuổi, kiềm chế, đối mặt né tránh rủi ro (2.1) [ISO Guide 73:2009, định nghĩa 3.7.1.1] 2.6 Kế hoạch quản lý rủi ro (Risk management plan) Chương trình phạm vi khn khổ quản lý rủi ro (2.3) quy định phương pháp tiếp cận, yếu tố quản lý nguồn lực sử dụng cho việc quản lý rủi ro (2.1) CHÚ THÍCH 1: Các yếu tố quản lý thường bao gồm thủ tục, hoạt động thực tiễn, phân cơng trách nhiệm, trình tự thời gian hoạt động CHÚ THÍCH 2: Kế hoạch quản lý rủi ro áp dụng cho sản phẩm, trình dự án cụ thể, cho phần toàn tổ chức [ISO Guide 73:2009, định nghĩa 2.3.1] 2.7 Chủ sở hữu rủi ro (Risk owner) Người thực thể có trách nhiệm thẩm quyền quản lý rủi ro (2.1) [ISO Guide 73:2009, định nghĩa 3.5.1.5] 2.8 Quá trình quản lý rủi ro (Risk management process) Việc áp dụng cách hệ thống sách, thủ tục thực tiễn quản lý hoạt động trao đổi thông tin, tư vấn, thiết lập bối cảnh xác định, phân tích, xác định mức độ, xử lý, theo dõi (2.28) xem xét rủi ro (2.1) [ISO Guide 73:2009, định nghĩa 3.1] 2.9 Thiết lập bối cảnh (Establishing the context) Xác định tham số bên nội cần tính đến quản lý rủi ro thiết lập phạm vi tiêu chí rủi ro (2.22) cho sách quản lý rủi ro (2.4) 2.10 Bối cảnh bên ngồi (External context) Mơi trường bên ngồi tổ chức theo đuổi để đạt mục tiêu CHÚ THÍCH: Bối cảnh bên ngồi bao gồm: - mơi trường văn hóa, xã hội, trị, pháp lý, chế định, tài chính, cơng nghệ, kinh tế, tự nhiên cạnh tranh, dù quốc tế, quốc gia, khu vực địa phương; - xu hướng động lực tác động đến mục tiêu tổ chức; - mối quan hệ, nhận thức giá trị bên liên quan (2.13) bên [ISO Guide 73:2009, định nghĩa 3.3.1.1] 2.11 Bối cảnh nội (Internal context) Môi trường bên tổ chức theo đuổi để đạt mục tiêu CHÚ THÍCH: Bối cảnh nội bao gồm: - quản trị, cấu tổ chức, vai trị trách nhiệm; - sách, mục tiêu chiến lược đặt để đạt mục tiêu; - khả năng, am hiểu nguồn lực kiến thức (ví dụ vốn, thời gian, người, q trình, hệ thống cơng nghệ); - hệ thống thông tin, luồng thông tin trình định (cả thức khơng thức); - mối quan hệ, nhận thức giá trị bên liên quan tổ chức; - văn hóa tổ chức; - tiêu chuẩn, hướng dẫn mơ hình tổ chức áp dụng; - hình thức mức độ mối quan hệ hợp đồng [ISO Guide 73:2009, định nghĩa 3.3.1.2] 2.12 Trao đổi thông tin tham vấn (Communication and consultation) Quá trình liên tục lặp lặp lại tổ chức thực để cung cấp, chia sẻ có thông tin để tham gia vào đối thoại với bên liên quan (2.13) quản lý rủi ro (2.1) CHÍ THÍCH 1: Thơng tin liên quan đến tồn tại, chất, hình thức, khả xảy (2.19), ý nghĩa, xác định mức độ, khả chấp nhận xử lý quản lý rủi ro CHÍ THÍCH 2: Tư vấn trình trao đổi thơng tin hai chiều tổ chức bên liên quan vấn đề trước đưa định xác định định hướng vấn đề Tư vấn là: - trình tác động lên định thơng qua ảnh hưởng quyền lực; - đầu vào để định, không tham gia vào việc định [ISO Guide 73:2009, định nghĩa 3.2.1] 2.13 Bên liên quan (Stakeholder) Người tổ chức gây ảnh hưởng, chịu ảnh hưởng tự nhận thấy bị ảnh hưởng định hay hoạt động CHÚ THÍCH: Người định bên liên quan [ISO Guide 73:2009, định nghĩa 3.2.1.1] 2.14 Đánh giá rủi ro (Risk assessment) Quá trình tổng thể nhận diện rủi ro (2.15), phân tích rủi ro (2.21) xác định mức độ rủi ro (2.24) [ISO Guide 73:2009, định nghĩa 3.4.1] 2.15 Nhận diện rủi ro (Risk identification) Quá trình tìm kiếm, nhận biết mơ tả rủi ro (2.1) CHÚ THÍCH 1: Việc xác định rủi ro địi hỏi phải xác định nguồn rủi ro (2.16), kiện (2.17), nguyên nhân hệ (2.18) tiềm ẩn chúng CHÚ THÍCH 2: Xác định rủi ro cần phân tích liệu khứ, lý thuyết, ý kiến chun mơn có hiểu biết nhu cầu bên liên quan (2.13) [ISO Guide 73:2009, định nghĩa 3.5.1] 2.16 Nguồn rủi ro (Risk source) Yếu tố mà tự kết hợp, có tiềm nội để làm phát sinh rủi ro (2.1) CHÚ THÍCH: Nguồn rủi ro hữu hình vơ hình [ISO Guide 73:2009, định nghĩa 3.5.1.2] 2.17 Sự kiện (Even) Sự xuất thay đổi tập hợp tình cụ thể CHÚ THÍCH 1: Một kiện xảy nhiều lần có nhiều ngun nhân CHÚ THÍCH 2: Một kiện bao gồm việc khơng xảy CHÚ THÍCH 3: Một kiện đơi gọi "sự cố" hay "tai nạn" CHÚ THÍCH 4: Một kiện mà khơng có hệ (2.18) gọi "thoát nạn" "thoát hiểm" [ISO Guide 73:2009, định nghĩa 3.5.1.3] 2.18 Hệ (Consequence) Kết kiện (2.17) ảnh hưởng đến mục tiêu CHÚ THÍCH 1: Một kiện dẫn đến loạt hệ CHÚ THÍCH 2: Một hệ chắn khơng chắn có tác động tích cực tiêu cực đến mục tiêu CHÚ THÍCH 3: Hệ biểu thị định tính định lượng CHÚ THÍCH 4: Hệ ban đầu tăng theo hiệu ứng dây chuyền [ISO Guide 73:2009, định nghĩa 3.6.1.3] 2.19 Khả xảy (Likelihood) Cơ hội xảy điều CHÚ THÍCH: Trong thuật ngữ quản lý rủi ro, từ "khả xảy ra" sử dụng để hội xảy điều đó, dù xác định, đo lường hay định cách khách quan chủ quan, định tính hay định lượng, mô tả cách sử dụng thuật ngữ chung hay theo toán học (như xác suất tần suất khoảng thời gian cho trước) [ISO Guide 73:2009, định nghĩa 3.6.1.1] 2.20 Đặc trưng rủi ro (Risk profile) Mô tả tập hợp rủi ro (2.1) CHÚ THÍCH: Tập hợp rủi ro bao gồm rủi ro liên quan đến toàn tổ chức, phận tổ chức, phần xác định khác [ISO Guide 73:2009, định nghĩa 3.8.2.5] 2.21 Phân tích rủi ro (Risk analysis) Q trình tìm hiểu chất rủi ro (2.1) xác định mức rủi ro (2.23) CHÚ THÍCH 1: Phân tích rủi ro cung cấp sở để xác định mức độ rủi ro (2.24) định xử lý rủi ro (2.25) CHÚ THÍCH 2: Phân tích rủi ro bao gồm ước lượng rủi ro [ISO Guide 73:2009, định nghĩa 3.6.1] 2.22 Tiêu chí rủi ro (Risk criteria) Điều khoản tham chiếu dựa vào xác định mức độ nghiêm trọng rủi ro (2.1) CHÚ THÍCH 1: Tiêu chí rủi ro dựa vào mục tiêu tổ chức, bối cảnh bên (2.10) bối cảnh nội (2.21) CHÚ THÍCH 2: Tiêu chí rủi ro bắt nguồn từ tiêu chuẩn, luật, sách yêu cầu khác [ISO Guide 73:2009, định nghĩa 3.3.1.3] 2.23 Mức rủi ro (Level of risk) Mức độ rủi ro (2.1) hay tập hợp rủi ro, thể kết hợp hệ (2.18) khả xảy (2.19) chúng [ISO Guide 73:2009, định nghĩa 3.6.1.8] 2.24 Xác định mức độ rủi ro (Risk evaluation) Quá trình so sánh kết phân tích rủi ro (2.21) với tiêu chí rủi ro (2.22) để xác định xem rủi ro (2.1) và/hoặc mức độ chấp nhận hay chịu đựng hay khơng CHÚ THÍCH: Xác định mức độ rủi ro hỗ trợ định xử lý rủi ro (2.25) [ISO Guide 73:2009, định nghĩa 3.7.1] 2.25 Xử lý rủi ro (Risk treatment) Quá trình thay đổi rủi ro (2.1) CHÚ THÍCH 1: Xử lý rủi ro liên quan đến: - tránh rủi ro cách định không bắt đầu tiếp tục hoạt động làm phát sinh rủi ro; - đối mặt làm tăng rủi ro để theo đuổi hội; - loại bỏ nguồn rủi ro (2.16); - thay đổi khả xảy (2.19); - thay đổi hệ (2.18); - chia sẻ rủi ro với bên nhiều bên khác (bao gồm hợp đồng tài trợ rủi ro); - kiềm chế rủi ro định đắn CHÚ THÍCH 2: Xử lý rủi ro hệ tiêu cực gọi "giảm nhẹ rủi ro", "loại bỏ rủi ro", "ngăn ngừa rủi ro" "giảm bớt rủi ro" CHÚ THÍCH 3: Xử lý rủi ro tạo rủi ro làm thay đổi rủi ro có [ISO Guide 73:2009, định nghĩa 3.8.1] 2.26 Kiểm soát (control) Biện pháp làm thay đổi rủi ro (2.1) CHÚ THÍCH 1: Kiểm sốt bao gồm q trình, sách, thiết bị, thực tiễn, hành động khác làm thay đổi rủi ro CHÚ THÍCH 2: Kiểm sốt khơng ln tạo tác dụng thay đổi theo dự kiến giả định [ISO Guide 73:2009, định nghĩa 3.8.1.1] 2.27 Rủi ro tồn đọng (Residual risk) Rủi ro (2.1) lại sau xử lý rủi ro (2.25) CHÚ THÍCH 1: Rủi ro tồn đọng gồm rủi ro chưa nhận diện CHÚ THÍCH 2: Rủi ro tồn đọng gọi "rủi ro lại" [ISO Guide 73:2009, định nghĩa 3.8.1.6] 2.28 Theo dõi (Monitoring) Kiểm tra, giám sát liên tục, quan sát nghiêm ngặt xác định tình trạng nhằm nhận biết thay đổi so với mức độ thực yêu cầu mong đợi CHÚ THÍCH: Theo dõi áp dụng cho khn khổ quản lý rủi ro (2.3), trình quản lý rủi ro (2.8), rủi ro (2.1) kiểm soát (2.26) [ISO Guide 73:2009, định nghĩa 3.8.2.1] 2.29 Xem xét (Review) Hoạt động thực để xác định phù hợp, thỏa đáng hiệu vấn đề liên quan để đạt mục tiêu đề CHÚ THÍCH: Xem xét áp dụng cho khuôn khổ quản lý rủi ro (2.3), trình quản lý rủi ro (2.8), rủi ro (2.1) kiểm soát (2.26) [ISO Guide 73:2009, định nghĩa 3.8.2.2] Nguyên tắc Để quản lý rủi ro có hiệu quả, tất cấp tổ chức cần tuân thủ nguyên tắc a) Quản lý rủi ro tạo bảo vệ giá trị Quản lý rủi ro góp phần vào việc đạt mục tiêu cải tiến việc thực hiện, an toàn sức khỏe người, an ninh, tuân thủ luật định chế định, chấp nhận công chúng, bảo vệ môi trường, chất lượng sản phẩm, quản lý dự án, hiệu hoạt động, quản trị uy tín b) Quản lý rủi ro phần thiếu tất trình tổ chức Quản lý rủi ro khơng phải hoạt động độc lập, tách biệt với hoạt động q trình tổ chức Quản lý rủi ro phần trách nhiệm quản lý phần thiếu tất trình tổ chức, bao gồm trình hoạch định chiến lược, tất dự án quản lý thay đổi c) Quản lý rủi ro phần việc định Quản lý rủi ro giúp người định đưa lựa chọn sáng suốt, hành động ưu tiên phân biệt kế hoạch hành động thay d) Quản lý rủi ro đặc biệt trọng vấn đề khơng chắn Quản lý rủi ro tính đến không chắn, chất không chắn cách thức giải e) Quản lý rủi ro có tính hệ thống, cấu trúc kịp thời Phương pháp tiếp cận kịp thời, có cấu trúc mang tính hệ thống quản lý rủi ro tạo hiệu kết quán, so sánh đáng tin cậy f) Quản lý rủi ro dựa thông tin tốt sẵn có Đầu vào cho q trình quản lý rủi ro dựa nguồn thông tin liệu khứ, kinh nghiệm, phản hồi bên liên quan, quan trắc, dự báo phán đoán chuyên gia Tuy nhiên, người định nên tự tìm hiểu, xem xét hạn chế liệu hay mơ hình sử dụng khả bất đồng chuyên gia g) Quản lý rủi ro cần phù hợp Quản lý rủi ro phù hợp với bối cảnh bên bên tổ chức đặc trưng rủi ro h) Quản lý rủi ro có tính đến yếu tố người văn hóa Quản lý rủi ro thừa nhận khả năng, nhận thức ý định người bên bên ngồi tổ chức tạo thuận lợi cản trở việc đạt mục tiêu tổ chức i) Quản lý rủi ro cần minh bạch có tham gia bên Việc tham gia thích hợp kịp thời bên liên quan, đặc biệt người định cấp tổ chức, đảm bảo việc quản lý rủi ro trì phù hợp cập nhật Việc tham gia cho phép bên liên quan có đại diện thích hợp quan điểm họ xem xét xác định tiêu chí rủi ro j) Quản lý rủi ro cần động, lặp lại đáp ứng với thay đổi Việc quản lý rủi ro cảm nhận đáp ứng liên tục với thay đổi Vì kiện nội bên xảy ra, bối cảnh kiến thức thay đổi, việc theo dõi xem xét rủi ro diễn ra, rủi ro xuất hiện, số rủi ro thay đổi rủi ro khác biến k) Quản lý rủi ro tạo thuận lợi cho việc cải tiến liên tục tổ chức Tổ chức cần xây dựng thực chiến lược để nâng cao nhuần nhuyễn việc quản lý rủi ro với tất khía cạnh khác tổ chức Phụ lục A cung cấp thêm dẫn cho tổ chức mong muốn quản lý rủi ro có hiệu Khuôn khổ 4.1 Khái quát Sự thành công quản lý rủi ro phụ thuộc vào hiệu lực khuôn khổ quản lý đưa tảng xếp lồng ghép vào tất cấp tổ chức Khuôn khổ hỗ trợ việc quản lý rủi ro cách hiệu thông qua việc áp dụng trình quản lý rủi ro (xem Điều 5) cấp khác bối cảnh cụ thể tổ chức Khuôn khổ đảm bảo thông tin rủi ro bắt nguồn từ trình quản lý rủi ro báo cáo đầy đủ sử dụng làm sở cho việc định trách nhiệm giải trình cấp có liên quan tổ chức Điều mơ tả thành phần cần thiết khuôn khổ quản lý rủi ro cách mà chúng tương tác với cách lặp lặp lại, thể Hình Khn khổ khơng nhằm quy định hệ thống quản lý, mà hỗ trợ tổ chức tích hợp quản lý rủi ro vào hệ thống quản lý tổng thể Do đó, tổ chức cần phải điều chỉnh thành phần khuôn khổ cho phù hợp với nhu cầu cụ thể Nếu thực tiễn quản lý trình hành tổ chức bao gồm thành phần quản lý rủi ro, tổ chức chấp nhận q trình quản lý rủi ro thức cho loại rủi ro hay toàn cảnh cụ thể, đối tượng phải xem xét đánh giá theo tiêu chuẩn này, bao gồm thuộc tính nêu Phụ lục A, nhằm xác định tính thỏa đáng hiệu lực Hình - Mối quan hệ thành phần khuôn khổ quản lý rủi ro 4.2 Nhiệm vụ cam kết Cần có cam kết mạnh mẽ chắn lãnh đạo tổ chức để đưa đảm bảo hiệu lực liên tục việc quản lý rủi ro, cần hoạch định chiến lược chặt chẽ để đạt cam kết tất cấp Lãnh đạo cần: - xác định thơng qua sách quản lý rủi ro; - đảm bảo sách quản lý rủi ro hài hịa với văn hóa tổ chức; - xác định số thực quản lý rủi ro hài hòa với số thực tổ chức; - hài hòa mục tiêu quản lý rủi ro với mục tiêu chiến lược tổ chức; - đảm bảo việc tuân thủ luật định chế định; - ấn định trách nhiệm giải trình trách nhiệm cấp thích hợp tổ chức; - đảm bảo nguồn lực cần thiết phân bổ để quản lý rủi ro; - trao đổi thơng tin lợi ích quản lý rủi ro tới tất bên liên quan; - đảm bảo khuôn khổ quản lý rủi ro ln trì tính thích hợp 4.3 Thiết kế khuôn khổ quản lý rủi ro 4.3.1 Hiểu tổ chức bối cảnh tổ chức Trước bắt đầu thiết kế thực khuôn khổ quản lý rủi ro, điều quan trọng phải đánh giá hiểu rõ bối cảnh bên bên tổ chức, điều ảnh hưởng đáng kể tới việc thiết kế khuôn khổ Đánh giá bối cảnh bên ngồi tổ chức bao gồm, không giới hạn ở: a) môi trường xã hội văn hóa, trị, luật định, chế định, tài chính, cơng nghệ, kinh tế, tự nhiên cạnh tranh, cho dù quốc tế, quốc gia, khu vực địa phương; b) động lực xu hướng tác động đến mục tiêu tổ chức; c) mối liên hệ, nhận thức giá trị bên liên quan bên Đánh giá bối cảnh bên tổ chức bao gồm, khơng giới hạn ở: - quản trị, cấu tổ chức, vai trị trách nhiệm giải trình; - sách, mục tiêu chiến lược đặt để đạt mục tiêu - khả năng, am hiểu nguồn lực kiến thức (ví dụ vốn, thời gian, người, q trình, hệ thống cơng nghệ); - hệ thống thông tin, luồng thông tin q trình định (cả thức khơng thức); - mối quan hệ, nhận thức giá trị bên liên quan tổ chức; - văn hóa tổ chức; - tiêu chuẩn, hướng dẫn mơ hình tổ chức chấp nhận; - hình thức mức độ mối quan hệ hợp đồng 4.3.2 Thiết lập sách quản lý rủi ro Chính sách quản lý rủi ro cần nêu rõ mục tiêu tổ chức cam kết với việc quản lý rủi ro thường nêu nội dung sau: - lý quản lý rủi ro tổ chức; - liên kết mục tiêu, sách tổ chức sách quản lý rủi ro; - trách nhiệm giải trình trách nhiệm quản lý rủi ro; - cách thức giải xung đột lợi ích; - cam kết sẵn sàng cung cấp nguồn lực cần thiết để hỗ trợ người có trách nhiệm giải trình trách nhiệm với quản lý rủi ro; - cách thức đo lường báo cáo việc thực quản lý rủi ro; - cam kết xem xét cải tiến định kỳ sách khn khổ quản lý rủi ro, đáp ứng kiện thay đổi hoàn cảnh Cần trao đổi thơng tin cách thích hợp sách quản lý rủi ro 4.3.3 Trách nhiệm giải trình Tổ chức cần đảm bảo có trách nhiệm giải trình, thẩm quyền lực thích hợp để quản lý rủi ro, bao gồm việc thực trì trình quản lý rủi ro đảm bảo tính đầy đủ, hiệu lực hiệu kiểm sốt Điều đơn giản hóa nhờ: - xác định chủ sở hữu rủi ro có trách nhiệm quyền hạn quản lý rủi ro; - xác định người chịu trách nhiệm xây dựng, thực trì khn khổ quản lý rủi ro; - xác định trách nhiệm khác người tất cấp tổ chức trình quản lý rủi ro; - thiết lập trình đo lường việc thực hiện, điều chỉnh, báo cáo nội và/hoặc bên ngoài, - đảm bảo cấp nhận biết rủi ro thích hợp 4.3.4 Tích hợp vào trình tổ chức Quản lý rủi ro cần đưa vào tất trình thực tiễn tổ chức theo cách thức thích hợp, hiệu hiệu lực Q trình quản lý rủi ro cần trở thành phần không tách rời trình tổ chức Cụ thể, quản lý rủi ro cần lồng ghép vào trình xây dựng sách, hoạch định, xem xét hoạt động chiến lược quản lý thay đổi Cần có kế hoạch quản lý rủi ro toàn tổ chức nhằm đảm bảo sách quản lý rủi ro thực quản lý rủi ro đưa vào tất trình thực tiễn tổ chức Kế hoạch quản lý rủi ro tích hợp vào kế hoạch khác tổ chức, kế hoạch chiến lược 4.3.5 Nguồn lực Tổ chức cần phân bổ nguồn lực thích hợp cho việc quản lý rủi ro Cần tính đến yếu tố sau: - người, kỹ năng, kinh nghiệm lực; - nguồn lực cần thiết cho bước trình quản lý rủi ro; - q trình tổ chức, phương pháp cơng cụ sử dụng để quản lý rủi ro; - trình thủ tục văn bản; - hệ thống quản lý thông tin tri thức; - chương trình đào tạo 4.3.6 Thiết lập chế báo cáo trao đổi thông tin nội Tổ chức cần thiết lập chế báo cáo trao đổi thông tin nội để hỗ trợ khuyến khích trách nhiệm giải trình quan hệ sở hữu rủi ro Những chế cần đảm bảo: - việc trao đổi thơng tin cách thích hợp thành phần khn khổ quản lý rủi ro thay đổi sau đó; - có báo cáo nội đầy đủ khuôn khổ, hiệu lực kết nó; - sẵn có thơng tin liên lạc rút từ việc áp dụng quản lý rủi ro cấp thời điểm thích hợp, - có q trình tham vấn với bên liên quan nội Khi thích hợp, chế cần bao gồm trình tổng hợp thông tin rủi ro từ nhiều nguồn khác cần xem xét tính nhạy cảm thông tin 4.3.7 Thiết lập chế báo cáo trao đổi thơng tin bên ngồi Tổ chức cần xây dựng thực kế hoạch cách thức trao đổi thông tin với bên liên quan bên Kế hoạch cần liên quan đến: - tham gia bên liên quan thích hợp từ bên ngồi đảm bảo hiệu trao đổi thơng tin; - báo cáo bên tuân thủ yêu cầu pháp lý, luật định quản trị; - cung cấp phản hồi báo cáo trao đổi thông tin tham vấn; - sử dụng việc trao đổi thơng tin để xây dựng lịng tin với tổ chức; - liên hệ với bên liên quan trường hợp khủng hoảng kiện bất thường xảy Khi thích hợp, chế cần bao gồm q trình tổng hợp thơng tin rủi ro có từ nhiều nguồn khác cần xem xét tính nhạy cảm thơng tin 4.4 Thực quản lý rủi ro 4.4.1 Thực khuôn khổ quản lý rủi ro Khi thực khuôn khổ quản lý rủi ro, tổ chức cần: - xác định thời điểm chiến lược thích hợp cho việc thực khn khổ; - áp dụng sách trình quản lý rủi ro vào trình tổ chức; - tuân thủ yêu cầu luật định chế định; - đảm bảo việc định, bao gồm xây dựng thiết lập mục tiêu, phù hợp với kết trình quản lý rủi ro; - tổ chức buổi trao đổi thông tin đào tạo; - trao đổi tham vấn bên liên quan nhằm đảm bảo khn khổ quản lý rủi ro trì tính thích hợp 4.4.2 Thực q trình quản lý rủi ro Quản lý rủi ro cần thực việc đảm bảo trình quản lý rủi ro nêu Điều áp dụng thông qua kế hoạch quản lý rủi ro tất cấp chức liên quan tổ chức phần thực tiễn trình tổ chức 4.5 Theo dõi xem xét khuôn khổ Để đảm bảo quản lý rủi ro có hiệu liên tục hỗ trợ việc thực tổ chức, tổ chức cần: - đo lường việc thực quản lý rủi ro theo số định kỳ xem xét tính phù hợp; - định kỳ đo lường tiến trình sai lệch so với kế hoạch quản lý rủi ro; - định kỳ xem xét khn khổ, sách, kế hoạch quản lý rủi ro có phù hợp hay khơng, bối cảnh bên nội tổ chức; - báo cáo rủi ro, tiến trình với kế hoạch quản lý rủi ro sách quản lý rủi ro tuân thủ tốt đến đâu; - xem xét hiệu lực khuôn khổ quản lý rủi ro 4.6 Cải tiến liên tục khuôn khổ Căn vào kết theo dõi xem xét, cần đưa định cách thức cải tiến khuôn khổ, sách, kế hoạch quản lý rủi ro Những định cần dẫn đến cải tiến quản lý rủi ro tổ chức văn hóa quản lý rủi ro tổ chức Quá trình 5.1 Khái quát Quá trình quản lý rủi ro cần: - phần không tách rời quản lý, - gắn vào văn hóa, việc thực hành, - phù hợp với trình hoạt động tổ chức Quá trình bao gồm hoạt động mơ tả từ 5.2 đến 5.6 Q trình quản lý rủi ro thể Hình Hình - Quá trình quản lý rủi ro 5.2 Trao đổi thông tin tham vấn Trao đổi thông tin tham vấn với bên liên quan bên nội cần diễn tất giai đoạn trình quản lý rủi ro Vì vậy, kế hoạch trao đổi thông tin tham vấn cần xây dựng giai đoạn đầu Những kế hoạch cần đề cập đến vấn đề liên quan đến rủi ro, nguyên nhân rủi ro, hệ (nếu biết), biện pháp thực để xử lý rủi ro Cần thực có hiệu lực việc trao đổi thông tin tham vấn nội bộ, bên nhằm đảm bảo người chịu trách nhiệm thực trình quản lý rủi ro bên liên quan hiểu sở đưa định lý lại yêu cầu hành động cụ thể Phương pháp nhóm tham vấn có thể: - giúp thiết lập bối cảnh thích hợp; - đảm bảo lợi ích bên liên quan hiểu xem xét; - giúp đảm bảo rủi ro xác định đầy đủ; - tập hợp lĩnh vực chun mơn khác lại để phân tích rủi ro; - đảm bảo quan điểm khác xem xét cách thích hợp xác định tiêu chí rủi ro xác định mức độ rủi ro; - đảm bảo việc chấp thuận hỗ trợ phương pháp xử lý; - tăng cường quản lý thay đổi thích hợp q trình quản lý rủi ro; - xây dựng kế hoạch trao đổi thơng tin tham vấn bên ngồi nội thích hợp Trao đổi thơng tin tham vấn với bên liên quan quan trọng họ đánh giá rủi ro dựa nhận thức rủi ro Những nhận thức khác khác biệt giá trị, nhu cầu, giả định, khái niệm mối quan tâm bên liên quan Vì quan điểm họ tác động đáng kể tới việc định, nên nhận thức bên liên quan cần xác định, ghi lại xem xét trình định Trao đổi thông tin tham vấn cần thúc đẩy việc trao đổi thông tin cách trung thực, dễ hiểu xác, có tính đến khía cạnh bảo mật quyền hợp pháp cá nhân 5.3 Thiết lập bối cảnh 5.3.1 Khái quát Bằng việc thiết lập bối cảnh, tổ chức làm rõ mục tiêu, xác định tham số bên nội đưa xem xét quản lý rủi ro, lập phạm vi tiêu chí rủi ro cho q trình cịn lại Trong nhiều tham số tương tự tham số xem xét thiết kế khuôn khổ quản lý rủi ro (xem 4.3.1), thiết lập bối cảnh cho trình quản lý rủi ro, cần phải xem xét tham số mức chi tiết đặc biệt tham số liên quan đến phạm vi trình quản lý rủi ro cụ thể 5.3.2 Thiết lập bối cảnh bên Bối cảnh bên ngồi mơi trường bên ngồi, tổ chức tìm cách để đạt mục tiêu Hiểu biết bối cảnh bên điều quan trọng để đảm bảo mục tiêu mối quan tâm bên liên quan bên xem xét xây dựng tiêu chí rủi ro Nó dựa bối cảnh chung tổ chức, với chi tiết cụ thể yêu cầu luật định chế định, nhận thức bên liên quan khía cạnh khác rủi ro cụ thể liên quan tới phạm vi trình quản lý rủi ro Bối cảnh bên ngồi bao gồm, không giới hạn ở: - môi trường xã hội, văn hóa, trị, luật định, chế định, tài chính, cơng nghệ, kinh tế, tự nhiên cạnh tranh, dù quốc tế, quốc gia, khu vực địa phương; - động lực xu hướng tác động đến mục tiêu tổ chức; - mối liên hệ, nhận thức giá trị bên liên quan bên 5.3.3 Thiết lập bối cảnh nội Bối cảnh nội môi trường bên tổ chức tìm cách để đạt mục tiêu Quá trình quản lý rủi ro cần phải liên kết với văn hóa, trình, cấu chiến lược tổ chức Bối cảnh nội điều bên tổ chức ảnh hưởng đến cách thức quản lý rủi ro tổ chức Nó cần thiết lập, vì: a) quản lý rủi ro xảy bối cảnh mục tiêu tổ chức; b) mục tiêu tiêu chí dự án, trình hay hoạt động cụ thể cần xem xét cách tổng thể theo mục tiêu tổ chức; c) số tổ chức không nhận hội để đạt mục tiêu chiến lược, dự án hoạt động điều ảnh hưởng đến cam kết, uy tín, độ tin cậy giá trị tổ chức Cần hiểu bối cảnh nội Điều bao gồm, không giới hạn ở: - quản trị, cấu tổ chức, vai trị trách nhiệm giải trình; - sách, mục tiêu chiến lược đặt để đạt sách mục tiêu; - khả năng, hiểu biết nguồn lực tri thức (ví dụ vốn, thời gian, người, trình, hệ thống công nghệ); - mối quan hệ, nhận thức giá trị bên liên quan nội bộ; - văn hóa tổ chức; - hệ thống thơng tin, luồng thơng tin q trình định (cả thức khơng thức); - tiêu chuẩn, hướng dẫn mơ hình tổ chức chấp nhận; - hình thức mức độ mối quan hệ hợp đồng 5.3.4 Thiết lập bối cảnh trình quản lý rủi ro Cần thiết lập mục tiêu, chiến lược, phạm vi tham số hoạt động tổ chức, phận tổ chức áp dụng trình quản lý rủi ro Cần thực việc quản lý rủi ro với xem xét đầy đủ nhu cầu cần thiết để định nguồn lực sử dụng việc thực quản lý rủi ro Các nguồn lực cần thiết, trách nhiệm quyền hạn, hồ sơ phải lưu giữ cần quy định rõ Bối cảnh trình quản lý rủi ro thay đổi theo nhu cầu tổ chức Nó bao gồm, không giới hạn việc: - xác định mục đích mục tiêu hoạt động quản lý rủi ro; - xác định trách nhiệm phạm vi trình quản lý rủi ro; - xác định phạm vi mức độ tầm ảnh hưởng hoạt động quản lý rủi ro thực hiện, bao gồm nội dung cụ thể đưa vào loại trừ; - xác định hoạt động, trình, chức năng, dự án, sản phẩm, dịch vụ tài sản theo thời gian địa điểm; - xác định mối quan hệ dự án, trình hay hoạt động cụ thể với dự án, trình hay hoạt động khác tổ chức; - xác định phương pháp luận đánh giá rủi ro; - xác định cách thức đánh giá việc thực hiệu lực quản lý rủi ro; - xác định quy định rõ định phải đưa ra; - xác định, lập phạm vi khuôn khổ nghiên cứu cần thiết, mức độ mục tiêu nghiên cứu, nguồn lực cần thiết cho nghiên cứu Việc quan tâm đến điều yếu tố liên quan khác cần giúp đảm bảo phương pháp tiếp cận quản lý rủi ro chấp nhận phù hợp với hoàn cảnh, với tổ chức với rủi ro ảnh hưởng đến việc đạt mục tiêu tổ chức 5.3.5 Xác định tiêu chí rủi ro Tổ chức cần xác định tiêu chí sử dụng để xác định mức độ nghiêm trọng rủi ro Tiêu chí cần phản ánh giá trị, mục tiêu nguồn lực tổ chức Một số tiêu chí sử dụng bắt nguồn từ yêu cầu luật định chế định yêu cầu khác mà tổ chức quy định Tiêu chí rủi ro cần quán với sách quản lý rủi ro tổ chức (xem 4.3.2), xác định bắt đầu trình quản lý rủi ro xem xét liên tục Khi xác định tiêu chuẩn rủi ro, yếu tố xem xét cần bao gồm: - chất, loại nguyên nhân hệ xảy cách thức đo lường chúng; - cách thức xác định khả xảy rủi ro; - khuôn khổ thời gian khả xảy rủi ro và/hoặc hệ quả; - cách thức xác định mức độ rủi ro; - quan điểm bên liên quan; - mức độ rủi ro chấp nhận chịu được; - có cần xem xét kết hợp nhiều rủi ro với khơng, cần kết hợp kết hợp cần xem xét 5.4 Đánh giá rủi ro 5.4.1 Khái quát Đánh giá rủi ro trình tổng thể việc xác định rủi ro, phân tích rủi ro xác định mức độ rủi ro CHÚ THÍCH: Tiêu chuẩn ISO/IEC 31010 đưa hướng dẫn kỹ thuật đánh giá rủi ro 5.4.2 Nhận diện rủi ro Tỗ chức cần xác định nguồn rủi ro, lĩnh vực chịu tác động, kiện (bao gồm thay đổi hoàn cảnh), nguyên nhân, hệ tiềm ẩn kiện Mục đích bước tạo danh mục đầy đủ rủi ro dựa kiện tạo ra, tăng cường, ngăn ngừa, giảm nhẹ, đẩy mạnh làm chậm việc đạt mục tiêu Quan trọng phải xác định rủi ro gắn với việc không theo đuổi hội Việc xác định cách toàn diện quan trọng, rủi ro khơng xác định giai đoạn khơng có phân tích sau Việc xác định cần bao gồm rủi ro mà nguồn gốc chúng có khơng thuộc kiểm sốt tổ chức, cho dù nguồn hay nguyên nhân gây rủi ro khơng rõ ràng Xác định rủi ro cần bao gồm kiểm tra tác động hệ cụ thể, bao gồm ảnh hưởng theo đợt tích lũy Cũng cần phải xem xét loạt hệ nguồn hay nguyên nhân gây rủi ro không rõ ràng Bên cạnh việc xác định xảy ra, cần phải xem xét nguyên nhân kịch có khả hệ có Tất nguyên nhân hệ nghiêm trọng cần xem xét Tổ chức cần áp dụng công cụ kỹ thuật nhận dạng rủi ro, phù hợp với mục tiêu khả với rủi ro phải đối mặt Thông tin liên lạc cập nhật quan trọng việc xác định rủi ro Khi có thể, điều cần bao gồm thơng tin thích hợp Những người có kiến thức phù hợp cần tham gia vào việc xác định rủi ro 5.4.3 Phân tích rủi ro Phân tích rủi ro đòi hỏi phải xây dựng hiểu biết rủi ro Phân tích rủi ro cung cấp đầu vào để xác định mức độ rủi ro định xem có cần xử lý rủi ro hay khơng, định chiến lược, phương pháp xử lý rủi ro thích hợp Phân tích rủi ro cung cấp đầu vào cho việc định phải thực cá phương án giải pháp liên quan đến loại hình, mức độ rủi ro khác Phân tích rủi ro địi hỏi phải xem xét nguyên nhân nguồn rủi ro, hệ tích cực tiêu cực chúng, khả hệ xảy Cần xác định yếu tố ảnh hưởng đến hệ khả xảy Rủi ro phân tích cách xác định hệ quả, khả xảy thuộc tính khác rủi ro Một kiện có nhiều hệ ảnh hưởng đến nhiều mục tiêu Cũng cần xem xét kiểm soát có, hiệu hiệu lực kiểm soát Cách thức thể hệ khả xảy cách chúng kết hợp để xác định mức độ rủi ro cần phản ánh loại hình rủi ro, thơng tin sẵn có mục đích theo kết đánh giá rủi ro sử dụng Tất phải quán với tiêu chí rủi ro Việc xem xét phụ thuộc lẫn rủi ro nguồn rủi ro khác quan trọng Tính tin cậy việc xác định mức độ rủi ro tính nhạy cảm điều kiện tiên giả định cần xem xét phân tích truyền đạt có hiệu lực đến người định đến bên liên quan khác thích hợp Các yếu tố bất đồng ý kiến chun gia, khơng chắn, tính sẵn có, chất lượng, số lượng, phù hợp liên tục thơng tin, hạn chế mơ hình cần nêu nhấn mạnh Phân tích rủi ro thực với mức độ chi tiết khác nhau, tùy thuộc vào rủi ro, mục đích phân tích, thơng tin, liệu nguồn lực sẵn có Phân tích định tính, bán định lượng hay định lượng, kết hợp dạng này, tùy hoàn cảnh Hệ khả xảy xác định việc mơ hình hóa kết kiện loạt kiện, cách ngoại suy từ nghiên cứu thực nghiệm hay từ liệu có sẵn Hệ thể theo tác động hữu hình vơ hình Trong số trường hợp, cần số giá trị số ký hiệu mô tả để xác định hệ khả xảy thời điểm, địa điểm, nhóm tình khác 5.4.4 Xác định mức độ rủi ro Mục đích xác định mức độ rủi ro hỗ trợ việc định rủi ro cần xử lý ưu tiên thực xử lý, dựa kết phân tích rủi ro Xác định mức độ rủi ro đòi hỏi phải so sánh mức độ rủi ro thấy q trình phân tích với tiêu chí rủi ro thiết lập xem xét bối cảnh Dựa vào so sánh này, xem xét nhu cầu xử lý Quyết định cần tính đến bối cảnh rủi ro rộng bao gồm việc xem xét khả chịu đựng rủi ro bên tổ chức hưởng lợi từ rủi ro Các định phải đưa phù hợp với yêu cầu pháp lý, quản lý yêu cầu khác Trong số trường hợp, việc xác định mức độ rủi ro dẫn đến định thực phân tích kỹ Việc xác định mức độ rủi ro dẫn đến định khơng xử lý rủi ro theo cách khác việc trì kiểm sốt có Quyết định bị ảnh hưởng thái độ tổ chức rủi ro tiêu chí rủi ro thiết lập 5.5 Xử lý rủi ro 5.5.1 Khái quát Xử lý rủi ro liên quan đến việc chọn nhiều phương án để thay đổi rủi ro thực phương án Khi thực hiện, xử lý cung cấp thay đổi kiểm soát Xử lý rủi ro liên quan đến trình theo chu kỳ gồm: - đánh giá việc xử lý rủi ro; - định mức độ rủi ro tồn đọng có chấp nhận hay khơng; - không chấp nhận được, tạo xử lý rủi ro mới; - đánh giá hiệu lực việc xử lý Các phương án xử lý rủi ro không thiết phải loại trừ lẫn thích hợp tình Các phương án bao gồm: a) tránh rủi ro cách định không bắt đầu tiếp tục hoạt động làm phát sinh rủi ro; b) tiếp nhận làm tăng rủi ro để theo đuổi hội; c) loại bỏ nguồn rủi ro; d) thay đổi khả xảy ra; e) thay đổi hệ quả; f) chia sẻ rủi ro với nhiều bên khác (bao gồm hợp đồng tài trợ rủi ro); g) kiềm chế rủi ro định sáng suốt 5.5.2 Lựa chọn phương án xử lý rủi ro Lựa chọn phương án xử lý rủi ro thích hợp liên quan đến việc cân đối chi phí nỗ lực thực lợi ích thu yêu cầu luật định, chế định yêu cầu khác trách nhiệm xã hội bảo vệ môi trường tự nhiên Các định cần phải tính đến rủi ro đảm bảo việc xử lý không thuyết phục mặt kinh tế, ví dụ rủi ro có hệ nghiêm trọng khó xảy Một số phương án xử lý xem xét áp dụng riêng lẻ kết hợp Bình thường, tổ chức lợi từ việc chấp nhận kết hợp phương án xử lý Khi chọn lựa phương án xử lý rủi ro, tổ chức nên xem xét giá trị nhận thức bên liên quan cách thích hợp để trao đổi thơng tin với họ Khi phương án xử lý rủi ro tác động đến rủi ro nơi khác tổ chức với bên liên quan, phương án cần tính đến định Mặc dù hiệu lực nhau, số xử lý rủi ro số bên liên quan chấp nhận so với xử lý khác Phương án xứ lý cần xác định rõ thứ tự ưu tiên, xử lý rủi ro riêng lẻ cần thực Bản thân xử lý rủi ro gây rủi ro Một rủi ro đáng kể thất bại không hiệu biện pháp xử lý rủi ro Theo dõi cần phần thiếu phương án xử lý rủi ro để đảm bảo trì hiệu lực biện pháp Xử lý rủi ro gây rủi ro thứ phát cần phải đánh giá, xử lý, theo dõi xem xét Những rủi ro thứ phát cần đưa vào phương án xử lý rủi ro ban đầu không xử lý rủi ro Cần phải xác định trì mối liên hệ hai rủi ro 5.5.3 Chuẩn bị thực kế hoạch xử lý rủi ro Mục đích kế hoạch xử lý rủi ro văn hóa cách thức thực thi phương án xử lý chọn Các thông tin cung cấp kế hoạch xử lý cần bao gồm: - lý lựa chọn phương án xử lý, bao gồm lợi ích mong muốn đạt được; - người có trách nhiệm giải trình việc phê duyệt kế hoạch người chịu trách nhiệm thực kế hoạch; - hành động đề xuất; - yêu cầu nguồn lực bao gồm dự phòng; - biện pháp thực ràng buộc; - yêu cầu việc báo cáo theo dõi; - thời gian lịch trình Kế hoạch xử lý cần tích hợp với trình quản lý tổ chức thảo luận với bên liên quan thích hợp Người định bên liên quan khác cần biết chất mức độ rủi ro tồn đọng sau xử lý Rủi ro tồn đọng cần lập thành văn chịu theo dõi, xem xét thích hợp, có xử lý thêm 5.6 Theo dõi xem xét Cả theo dõi xem xét phải phần hoạch định trình quản lý rủi ro bao gồm hoạt động kiểm tra giám sát thường xuyên Nó mang tính định kỳ đột xuất Trách nhiệm theo dõi xem xét cần xác định rõ ràng Các trình theo dõi xem xét tổ chức cần bao gồm tất khía cạnh trình quản lý rủi ro với mục đích: - đảm bảo hoạt động kiểm sốt có hiệu hiệu lực thiết kế vận hành; - có thêm thơng tin để cải tiến việc đánh giá rủi ro; - phân tích rút học từ kiện (bao gồm lần thoát nạn), thay đổi, xu hướng, thành công thất bại; - phát thay đổi bối cảnh bên nội bộ, bao gồm thay đổi tiêu chí rủi ro thân rủi ro yêu cầu xem xét lại việc xử lý rủi ro thứ tự ưu tiên; - xác định rủi ro hình thành Tiến hành thực phương án xử lý rủi ro cung cấp thước đo việc thực Các kết đưa vào quản lý, đo lường tổng thể việc thực tổ chức hoạt động báo cáo bên ngoài, nội Kết theo dõi xem xét cần ghi lại báo cáo bên ngồi, nội thích hợp, cần sử dụng làm đầu vào cho việc xem xét khuôn khổ quản lý rủi ro (xem 4.5) 5.7 Lập hồ sơ trình quản lý rủi ro Các hoạt động quản lý rủi ro cần có khả truy tìm nguồn gốc Trong trình quản lý rủi ro, hồ sơ cung cấp tảng cho việc cải tiến phương pháp công cụ, trình tổng thể Các định liên quan đến việc lập hồ sơ cần tính đến: - nhu cầu học hỏi liên tục tổ chức; - lợi ích việc tái sử dụng thơng tin cho mục đích quản lý; - chi phí nỗ lực liên quan tới việc lập trì hồ sơ; - nhu cầu hồ sơ theo luật định, chế định hoạt động; - phương pháp truy cập, dễ dàng khôi phục phương tiện bảo quản; - thời gian lưu trữ; - tính nhạy cảm thông tin PHỤ LỤC A (tham khảo) CÁC THUỘC TÍNH CỦA QUẢN LÝ RỦI RO NÂNG CAO A.1 Khái quát Mọi tổ chức cần hướng tới mức độ thực khuôn khổ quản lý rủi ro phù hợp với tầm quan trọng định đưa Danh mục thuộc tính thể mức độ thực cao quản lý rủi ro Để hỗ trợ tổ chức việc đo lường việc thực theo tiêu chí này, số số hữu hình đưa cho thuộc tính A.2 Các kết A.2.1 Tổ chức có hiểu biết xác, tồn vẹn thực tế rủi ro A.2.2 Các rủi ro tổ chức nằm phạm vi tiêu chí rủi ro A.3 Các thuộc tính A.3.1 Cải tiến liên tục Trọng tâm đặt vào cải tiến liên tục việc quản lý rủi ro thông qua việc thiết lập mục đích, đo lường, xem xét việc thực thay đổi sau q trình, hệ thống, nguồn lực, khả kỹ tổ chức Điều tồn mục đích thực rõ ràng theo đo lường việc thực tổ chức nhà quản lý riêng lẻ Có thể cơng bố trao đổi thông tin việc thực tổ chức Thơng thường, có xem xét hàng năm việc thực sau sửa đổi trình thiết lập mục tiêu thực sửa đổi cho giai đoạn Đánh giá việc thực quản lý rủi ro phần thiếu đánh giá việc thực tổng thể tổ chức hệ thống đo lường cho phòng ban cá nhân A.3.2 Trách nhiệm đầy đủ rủi ro Quản lý rủi ro nâng cao bao gồm trách nhiệm toàn diện xác định chấp nhận đầy đủ rủi ro, kiểm soát, nhiệm vụ xử lý rủi ro Cá nhân định chấp nhận hồn tồn trách nhiệm, có kỹ phù hợp có đủ nguồn lực để kiểm tra việc kiểm soát, theo dõi rủi ro, cải tiến việc kiểm sốt trao đổi thơng tin rủi ro việc quản lý rủi ro cách hiệu với bên liên quan bên nội Điều tất thành viên tổ chức nhận thức đầy đủ rủi ro, kiểm soát nhiệm vụ mà họ có trách nhiệm Thơng thường, điều ghi lại mô tả công việc/vị trí, sở liệu hệ thống thơng tin Định nghĩa vai trị, trách nhiệm giải trình, trách nhiệm quản lý rủi ro cần phần tất chương trình giới thiệu ban đầu tổ chức Tổ chức đảm bảo người chịu trách nhiệm trang bị để thực vai trị thơng qua việc giao cho họ quyền hạn, thời gian, đào tạo, nguồn lực kỹ đầy đủ để đảm nhận trách nhiệm A.3.3 Áp dụng quản lý rủi ro lần định Tất định đưa tổ chức, mức độ quan trọng ý nghĩa liên quan đến việc xem xét rủi ro áp dụng quản lý rủi ro mức độ thích hợp Điều thể hồ sơ họp định thấy có thảo luận cụ thể rủi ro Ngồi ra, thấy tất thành phần quản lý rủi ro thể trình việc định tổ chức, ví dụ định việc phân bố vốn, dự án quan trọng, việc tái cấu trúc thay đổi tổ chức Vì lý này, quản lý rủi ro sở vững nhìn nhận phạm vi tổ chức, tạo sở cho việc quản lý có hiệu A.3.4 Trao đổi thông tin liên lạc Quản lý rủi ro nâng cao bao gồm trao đổi thông tin liên tục với bên liên quan nội bên ngoài, bao gồm việc báo cáo thường xuyên toàn diện thực quản lý rủi ro, phần quản trị tốt Điều thể qua việc trao đổi thông tin với bên liên quan phần thiết yếu thiếu quản lý rủi ro Trao đổi thông tin thực xem q trình hai chiều cho định đắn cách phù hợp mức độ rủi ro nhu cầu xử lý rủi ro theo tiêu chí rủi ro thiết lập phù hợp toàn diện Lập báo cáo bên nội thường xuyên toàn diện rủi ro nghiêm trọng việc thực quản lý rủi ro góp phần đáng kể vào quản trị có hiệu lực tổ chức A.3.5 Tích hợp đầy đủ cấu quản trị tổ chức Quản lý rủi ro xem trung tâm trình quản lý tổ chức, cho rủi ro xem xét ảnh hưởng không chắn tới mục tiêu Cơ cấu trình quản trị dựa việc quản lý rủi ro Quản lý rủi ro hiệu có hiệu lực nhà quản lý xem thiết yếu cho việc đạt mục tiêu tổ chức Điều thể ngôn ngữ nhà quản lý văn tài liệu quan trọng tổ chức sử dụng thuật ngữ "sự không chắn" liên quan đến rủi ro Thuộc tính thường phản ánh tuyên bố sách tổ chức, đặc biệt tuyên bố liên quan đến quản lý rủi ro Thơng thường, thuộc tính xác nhận qua vấn nhà quản lý thông qua chứng hành động tuyên bố họ THƯ MỤC TÀI LIỆU THAM KHẢO [1] ISO Guide 73:2009, Risks management - Vocabulary (Quản lý rủi ro - Từ vựng) [2] ISO/IEC 31010, Risks management - Risks assessment techniques (Quản lý rủi ro - Kỹ thuật đánh giá rủi ro) MỤC LỤC Lời nói đầu Lời giới thiệu Phạm vi áp dụng Thuật ngữ định nghĩa Nguyên tắc Khuôn khổ 4.1 Khái quát 4.2 Nhiệm vụ cam kết 4.3 Thiết kế khuôn khổ quản lý rủi ro 4.4 Thực quản lý rủi ro 4.5 Theo dõi xem xét khuôn khổ 4.6 Cải tiến liên tục khuôn khổ Quá trình 5.1 Khái qt 5.2 Trao đổi thơng tin tham vấn 5.3 Thiết lập bối cảnh 5.4 Đánh giá rủi ro 5.5 Xử lý rủi ro 5.6 Theo dõi xem xét 5.7 Lập hồ sơ trình quản lý rủi ro Phụ lục A (tham khảo) Các thuộc tính Quản lý rủi ro nâng cao Thư mục tài liệu tham khảo ... kiện, hệ quả, khả xảy [ISO Guide 73:2009, định nghĩa 1.1] 2.2 Quản lý rủi ro (Risk management) Các hoạt động điều phối để định hướng kiểm soát tổ chức mặt rủi ro (2.1) [ISO Guide 73:2009, định... tổ chức [ISO Guide 73:2009, định nghĩa 2.1.1] 2.4 Chính sách quản lý rủi ro (Risk management policy) Tuyên bố ý định định hướng tổng thể tổ chức liên quan đến quản lý rủi ro (2.2) [ISO Guide... thể, cho phần toàn tổ chức [ISO Guide 73:2009, định nghĩa 2.3.1] 2.7 Chủ sở hữu rủi ro (Risk owner) Người thực thể có trách nhiệm thẩm quyền quản lý rủi ro (2.1) [ISO Guide 73:2009, định nghĩa

Ngày đăng: 28/10/2020, 14:28

Xem thêm: TCVN ISO 31000 2011

Hình ảnh liên quan

Hình 1- Quan hệ giữa nguyên tắc, khuôn khổ và quá trình quản lý rủi ro. - TCVN ISO 31000 2011

Hình 1.

Quan hệ giữa nguyên tắc, khuôn khổ và quá trình quản lý rủi ro Xem tại trang 2 của tài liệu.
Hình 2- Mối quan hệ giữa các thành phần trong khuôn khổ quản lý rủi ro 4.2. Nhiệm vụ và cam kết - TCVN ISO 31000 2011

Hình 2.

Mối quan hệ giữa các thành phần trong khuôn khổ quản lý rủi ro 4.2. Nhiệm vụ và cam kết Xem tại trang 9 của tài liệu.
Hình 3- Quá trình quản lý rủi ro 5.2. Trao đổi thông tin và tham vấn - TCVN ISO 31000 2011

Hình 3.

Quá trình quản lý rủi ro 5.2. Trao đổi thông tin và tham vấn Xem tại trang 12 của tài liệu.

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan