GBT 24353-2009 风险管理 原则与实施指南，参考ISO31000 <风险管理 原则与实施指南>编制而成

风险评估包括风险识别、风险分析和风险评价

风险分析是根据风险类型、获得的信息和风险评估结果的使用目的，对识别出的风险进行定性和定 量的分析，为风险评价和风险应对提供支持。风险分析要考虑导致风险的原因和风险源、风险事件的正 面和负面的后果及其发生的可能性、影响后果和可能性的因素、不同风险及其风险源的相互关系以及风 验的其他特性，还要考意现有的管理措施及其效果和效率。 在风险分析中，应考虑组织的风险承受度及其对前提和假设的敏感性，并适时与决策者和其他利益 相关者有效地沟通。另外，还要考虑可能存在的专家观点中的分歧及数据和模型的局限性， 根据风险分析的自的、获得的息数据和资源，风险分析可以是定性的、半定量的、定量的或以上方 法的组合。一般情况下，首先来用定性分析，初步了解风险等级和揭示主要风险。适当时，进行更具体 和定量的风险分析。 后果和可能性可通过专家意见确定，或通过对事件或事件组合的结果建模确定，也可通过对实验研 究或可获得的数据的推导确定。对后果的描述可表达为有形或无形的影响。在某些情况下，可能需要 多个指标来确切描述不周时间、地点、类别或情形的后果

确定风险等级，以便做出风险应对的决策。如果该风险是新识别的风险，则应当制定相应的风险准则 以便评价该风险。 风险评价的结果应满足风险应对的需要，否则，应做进一步分析。有时，根据已经制定的风险准则 风险评价使组织做出维持现有的风险应对措施，不采取其他新的措施的决定

风险应对是选择并执行一种或多种改变风险的措施，包括改变风险事件发生的可能性或后果的指 施。风险应对决策应当考虑各种环境信息，包括内部和外部利益相关者的风险承受度，以及法律、法规 和其他方面的要求等。 风险应对措施的制订和评估可能是一个递进的过程。对于风险应对措施，应评估其剩余风险是否 可以承受。如果剩余风险不可承受，应调整或制定新的风险应对措施，并评估新的风险应对措施的效 果，直到剩余风险可以承受。执行风险应对措施会引起组织风险的改变，器跟踪、监督风险应对的效

一监督并记录风险应对措施实施后的剩余风险电力弱电技术、方案，以便在适当时做进一步处理 适用时，对照风险应对计划，检查工作进度与计划的偏差，保证风险应对措施的设计和执行 有效； 报告关于风险、风险应对计划的进度和风险管理方针的遵循情况； 实施风险管理绩效评估。 风险管理绩效评估应被纳入到组织的绩效管理以及组织对内、对外的报告体系之中。 监督和检查活动包括常规检查、监控已知的风险、定期或不定期检查，定期或不定期检查都应被列 入风险应对计划。 适当时，监督和检查的结果应当有记录并对内或对外报告

在风险管理过程中，记录是实施和改进整个风险管理过利 建立记录应当考虑以下方面： 出于管理的目的而重复使用信息的需要； 进步分析风险和调整风险应对措施的需要； 风险管理活动的可追溯要求； 沟通的需要； 法律、法规和操作上对记录的需要； 组织本身持续学习的带要； 建立和维护记录所需的成本和工作量； 获取信息的方法、读取信息的容易程度和储存媒介； 记录保留期限； 信息的敏感性

组织实施风险管理过程（见第5章）需要个风险管理体系，包括相关方针、组织结构、工作程序、资 源配置、信息沟通机制以及相关的技术手段等基础设施，以便将风险管理嵌入到组织的各个层次和活动 之中。通过在组织的不同层次和特定环境内实施风险管理过程，风险管理体系帮助组织有效地管理风 验。组织的风险管理体系可能由在各层次和特定环境内实施风险管理过程的子体系构成，如内部控制 本系等。风险管理体系应当保证风险管理过程中的风险信息的充分沟通，并且在相关的组织层次范围 内作为决策和问责的依据使用。组织要在检查的基础上，做出如何改进风险管理体系、方针和风险应对 十划的决策，从而引导组织的风险管理和风险管理文化的改进。 风险管理体系的要素主要包括： 风险管理方针； 适当的制度和程序，使风险管理嵌人到组织的所有活动和过程中； 与组织结构相关的职责，及有关的与组织的绩效指标一致的风险管理绩效指标：

风险管理方针应明确下列事项： 组织的风险管理理念； 组织的最高管理者对风险管理的承诺； 组织的风险管理目标； 组织的风险偏好； 风险管理方针与组织的目标及其他方针之间的关系 风险管理的职责分配； 管理风险的程序和方法； 风险管理的资源配置； 测量和报告风险管理绩效的方式； 建立风险管理体系的计划； 持续改进的承诺。 组组应就风险管理方针同内部和外

6.3风险管理工作程序

组织应当设计适当的制度和行为规范，建立风险管理工作程序，特别是整个组织层面的风险管理下 划，以保证风险管理嵌人到组织的所有活动和过程之中，尤其是组织的战略规划、运营过程以及变革管 理之中

屋面标准规范范本6.4风险管理相关组织结构

组织可通过以下方法保证风险管理的责任认定和授权，从而能够执行风险管理过程，并保证风险管 理的充分性和有效性： 明确风险管理体系的制定、实施和维护人员的职责： 明确执行风险应对措施、维护风险管理体系和报告相关风险信息人员的职责： 建立批准、授权制度； 建立绩效测量及相应的合适的奖励、惩罚制度； 建立对内对外的报告机制等

6.5风险管理资源配置

组织需根据风险管理计划制定可行的方法，为风险管理分配适当的资源。具体要考虑下列各项 人员、技术、经验和能力； 风险管理过程每一阶段所需要的资金及各种资源 数据记录的过程和程序步骤； 信息和知识管理系统。

组织要建立内部沟通和报告机制，以保证： 风险管理体系的关键组成部分及其调整得到适当的沟通； 在组织内部充分报告风险应对计划实施的效果和效率； 在适当的层次和时间提供风险管理的相关信息：

GB/T 243532009

建立与内部利益相关者协商的程序 内部沟通和报告机制还包括在考虑到组织敏感程度的基础上，适当整合从各内部渠道得到的风阅 信息的程序

铁路工程施工组织设计6.6.2外部沟通和报告机制

组织需建立与外部利益相关者沟通的机制。这种机制应当保证： 组织的对外报告符合法律、法规和公司治理要求； 组织与外部利益相关者保持有效的信息沟通； 在外部利益相关者中建立对组织的信心； 在发生突发事件、危机和紧急状况时与利益相关者沟通； 为组织提供外部利益相关者的报告和反馈