Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 22 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
22
Dung lượng
366 KB
Nội dung
TIÊU CHUẨN QUỐC GIA TCVN 31000:2011 ISO 31000:2009 QUẢNLÝRỦIRO - NGUYÊNTẮCVÀHƯỚNGDẪN Risk management - Principles and Guidelines Lời nói đầu TCVNISO 31000:2011 hoàn toàn tương đương với ISO 31000:2009; TCVNISO 31000:2011 Ban kỹ thuật tiêu chuẩn quốc gia TCVN/TC 176 Quảnlý chất lượng đảm bảo chất lượng biên soạn, Tổng cục Tiêu chuẩn đo lường Chất lượng đề nghị, Bộ Khoa học Công nghệ công bố Lời giới thiệu Mọi loại hình tổ chức, dù lớn hay nhỏ, phải đối mặt với yếu tố ảnh hưởng bên bên làm cho tổ chức khơng chắn liệu có đạt mục tiêu hay không đạt mục tiêu Tác động không chắn lên mục tiêu tổ chức "rủi ro" Mọi hoạt động tổ chức có rủiro Tổ chức quảnlýrủiro cách xác định, phân tích đánh giá xem liệu có cần thay đổi rủiro cách xử lýrủiro để đáp ứng tiêu chí rủiro tổ chức hay khơng Trong tồn q trình này, tổ chức trao đổi thông tin tham vấn bên liên quan, theo dõi, xem xét rủiro kiểm soát thay đổi rủiro nhằm bảo đảm không cần xử lýrủiro thêm Tiêu chuẩn mơ tả chi tiết q trình có tính hệ thống lơ gíc Trong tất tổ chức quảnlýrủiro mức độ đó, tiêu chuẩn thiết lập số nguyêntắc cần đáp ứng để làm cho hoạt động quảnlýrủiro đạt hiệu Tiêu chuẩn khuyến nghị tổ chức xây dựng, áp dụng cải tiến liên tục khn khổ với mục đích tích hợp q trình quảnlýrủiro với toàn hoạt động quản trị, chiến lược hoạch định, quản lý, q trình báo cáo, sách, giá trị văn hóa tổ chức Quảnlýrủiro áp dụng cho tồn tổ chức, nhiều lĩnh vực cấp độ, thời điểm, cho chức năng, dự án hoạt động cụ thể Mặc dù thực tiễn quảnlýrủiro phát triển theo thời gian nhiều lĩnh vực để đáp ứng nhu cầu đa dạng, việc chấp nhận q trình qn khn khổ tồn diện giúp đảm bảo việc quảnlýrủiro đạt hiệu lực, hiệu chặt chẽ tồn tổ chức Phương pháp tiếp cận chung mơ tả tiêu chuẩn đưa nguyêntắchướngdẫn để quảnlý loại hình rủiro cách hệ thống, minh bạch đáng tin cậy lĩnh vực bối cảnh Mỗi lĩnh vực ứng dụng quảnlýrủiro cụ thể có nhu cầu, đối tượng, nhận thức tiêu chí riêng Vì vậy, yếu tố quan trọng tiêu chuẩn việc đưa "thiết lập bối cảnh" thành hoạt động khởi đầu trình quảnlýrủiro chung Thiết lập bối cảnh nắm bắt mục tiêu tổ chức, môi trường mà tổ chức theo đuổi mục tiêu này, bên liên quan đa dạng tiêu chí rủiro - tất điều giúp phát hiện, đánh giá chất tính phức tạm rủiro tổ chức Mối quan hệ nguyêntắcquảnlýrủi ro, khn khổ mối quan hệ diễn q trình quảnlýrủiro mơ tả tiêu chuẩn thể Hình Khi thực trì theo tiêu chuẩn này, quảnlýrủiro cho phép tổ chức có thể, ví dụ: - tăng khả đạt mục tiêu; - khuyến khích quảnlý chủ động; - nhận thức nhu cầu xác định xử lýrủiro toàn tổ chức; - cải thiện việc xác định hội mối đe dọa; - tuân thủ yêu cầu luật định, chế định chuẩn mực quốc tế liên quan; - cải tiến việc lập báo cáo tự nguyện bắt buộc; - cải tiến việc quản trị; - nâng cao lòng tin tin tưởng bên liên quan; - thiết lập sở tin cậy cho việc định lập kế hoạch; - cải tiến việc kiểm soát; - phân bổ sử dụng hiệu nguồn lực để xử lýrủi ro; - cải tiến hiệu lực hiệu hoạt động; - nâng cao hoạt động đảm bảo an toàn sức khỏe, bảo vệ môi trường; - cải tiến việc ngăn ngừa tổn thất quảnlý cố; - giảm thiểu thiệt hại; - nâng cao việc học hỏi tổ chức; - nâng cao tính kiên cường tổ chức Tiêu chuẩn nhằm đáp ứng nhu cầu loạt bên liên quan, bao gồm: a) người chịu trách nhiệm xây dựng sách quảnlýrủiro tổ chức; b) người có trách nhiệm đảm bảo rủiroquảnlý hiệu phạm vi toàn tổ chức lĩnh vực, dự án hay hoạt động cụ thể c) người cần đánh giá hiệu lực quảnlýrủiro tổ chức; d) người xây dựng tiêu chuẩn, hướng dẫn, thủ tục quy phạm thực hành, tồn phần, lập cách thức quảnlýrủiro bối cảnh cụ thể tài liệu Các trình thực tiễn quảnlý hành nhiều tổ chức bao gồm thành phần quảnlýrủiro nhiều tổ chức chấp nhận q trình quảnlýrủiro thức cho loại rủiro tình cụ thể Trong trường hợp này, tổ chức định tiến hành xem xét thực tiễn trình có theo tiêu chuẩn Hình - Quan hệ nguyên tắc, khuôn khổ trình quảnlýrủiroQUẢNLÝRỦIRO - NGUYÊNTẮCVÀHƯỚNGDẪN Risk management - Principles and Guidelines Phạm vi áp dụng Tiêu chuẩn đưa nguyêntắchướngdẫn chung quảnlýrủiro Tiêu chuẩn sử dụng cho doanh nghiệp công, tư hay doanh nghiệp cộng đồng, hiệp hội, nhóm cá nhân Vì vậy, tiêu chuẩn không cụ thể cho ngành công nghiệp lĩnh vực CHÚ THÍCH: Để thuận tiện, tất đối tượng khác sử dụng tiêu chuẩn gọi thuật ngữ chung "tổ chức" Tiêu chuẩn áp dụng toàn thời gian tồn tổ chức, cho loạt hoạt động, bao gồm chiến lược định, vận hành, trình, chức năng, dự án, sản phẩm, dịch vụ tài sản Tiêu chuẩn áp dụng cho loại hình rủi ro, chất, có hệ tích cực hay tiêu cực Mặc dù tiêu chuẩn đưa hướngdẫn chung, khơng nhằm tạo nên đồng quảnlýrủiro tất tổ chức Việc thiết kế thực khuôn khổ kế hoạch quảnlýrủiro cần phải tính đến nhu cầu khác tổ chức cụ thể, mục tiêu cụ thể, bối cảnh, cấu, hoạt động, trình, chức năng, dự án, sản phẩm, dịch vụ tài sản công việc cụ thể triển khai Tiêu chuẩn sử dụng để hài hòa q trình quảnlýrủiro tiêu chuẩn tương lai Tiêu chuẩn đưa cách tiếp cận chung để hỗ trợ tiêu chuẩn đề cập đến rủiro và/hoặc lĩnh vực cụ thể khơng thay cho tiêu chuẩn Tiêu chuẩn khơng sử dụng cho mục đích chứng nhận Thuật ngữ định nghĩa Tiêu chuẩn áp dụng thuật ngữ định nghĩa 2.1 Rủiro (Risk) Tác động không chắn lên mục tiêu CHÚ THÍCH 1: Tác động sai lệch so với dự kiến - tích cực và/hoặc tiêu cực CHÚ THÍCH 2: Mục tiêu có khía cạnh khác (như mục tiêu tài chính, sức khỏe, an tồn mơi trường) áp dụng cấp độ khác (như chiến lược, toàn tổ chức, dự án, sản phẩm q trình) CHÚ THÍCH 3: Rủiro thường đặc trưng dẫn chiếu đến kiện (2.17) hệ (2.18) tiềm ẩn, kết hợp chúng CHÚ THÍCH 4: Rủiro thường thể kết nối hệ kiện (bao gồm thay đổi hoàn cảnh) khả xảy (2.19) kèm theo CHÚ THÍCH 5: Sự khơng chắn tình trạng, chí phần, thiếu hụt thơng tin liên quan tới việc hiểu biết nhận thức kiện, hệ quả, khả xảy [ISO Guide 73:2009, định nghĩa 1.1] 2.2 Quảnlýrủiro (Risk management) Các hoạt động điều phối để định hướng kiểm soát tổ chức mặt rủiro (2.1) [ISO Guide 73:2009, định nghĩa 2.1] 2.3 Khuôn khổ quảnlýrủiro (Risk management framework) Tập hợp thành phần tạo tảng xếp tổ chức để thiết kế, thực hiện, theo dõi (2.28), xem xét cải tiến liên tục quảnlýrủiro (2.2) tồn tổ chức CHÚ THÍCH 1: Nền tảng bao gồm sách, mục tiêu, nghĩa vụ cam kết để quảnlýrủiro (2.1) CHÚ THÍCH 2: Sự xếp mặt tổ chức bao gồm kế hoạch, mối quan hệ, trách nhiệm, nguồn lực, q trình hoạt động CHÚ THÍCH 3: Khn khổ quảnlýrủiro đưa vào sách chiến lược chiến thuật tổng thể thực tiễn hoạt động tổ chức [ISO Guide 73:2009, định nghĩa 2.1.1] 2.4 Chính sách quảnlýrủiro (Risk management policy) Tuyên bố ý định định hướng tổng thể tổ chức liên quan đến quảnlýrủiro (2.2) [ISO Guide 73:2009, định nghĩa 2.1.2] 2.5 Thái độ rủiro (Risk attitude) Phương pháp tiếp cận tổ chức để đánh giá cuối theo đuổi, kiềm chế, đối mặt né tránh rủiro (2.1) [ISO Guide 73:2009, định nghĩa 3.7.1.1] 2.6 Kế hoạch quảnlýrủiro (Risk management plan) Chương trình phạm vi khn khổ quảnlýrủiro (2.3) quy định phương pháp tiếp cận, yếu tố quảnlý nguồn lực sử dụng cho việc quảnlýrủiro (2.1) CHÚ THÍCH 1: Các yếu tố quảnlý thường bao gồm thủ tục, hoạt động thực tiễn, phân cơng trách nhiệm, trình tự thời gian hoạt động CHÚ THÍCH 2: Kế hoạch quảnlýrủiro áp dụng cho sản phẩm, trình dự án cụ thể, cho phần toàn tổ chức [ISO Guide 73:2009, định nghĩa 2.3.1] 2.7 Chủ sở hữu rủiro (Risk owner) Người thực thể có trách nhiệm thẩm quyền quảnlýrủiro (2.1) [ISO Guide 73:2009, định nghĩa 3.5.1.5] 2.8 Quá trình quảnlýrủiro (Risk management process) Việc áp dụng cách hệ thống sách, thủ tục thực tiễn quảnlý hoạt động trao đổi thông tin, tư vấn, thiết lập bối cảnh xác định, phân tích, xác định mức độ, xử lý, theo dõi (2.28) xem xét rủiro (2.1) [ISO Guide 73:2009, định nghĩa 3.1] 2.9 Thiết lập bối cảnh (Establishing the context) Xác định tham số bên nội cần tính đến quảnlýrủiro thiết lập phạm vi tiêu chí rủiro (2.22) cho sách quảnlýrủiro (2.4) 2.10 Bối cảnh bên ngồi (External context) Mơi trường bên ngồi tổ chức theo đuổi để đạt mục tiêu CHÚ THÍCH: Bối cảnh bên ngồi bao gồm: - mơi trường văn hóa, xã hội, trị, pháp lý, chế định, tài chính, cơng nghệ, kinh tế, tự nhiên cạnh tranh, dù quốc tế, quốc gia, khu vực địa phương; - xu hướng động lực tác động đến mục tiêu tổ chức; - mối quan hệ, nhận thức giá trị bên liên quan (2.13) bên [ISO Guide 73:2009, định nghĩa 3.3.1.1] 2.11 Bối cảnh nội (Internal context) Môi trường bên tổ chức theo đuổi để đạt mục tiêu CHÚ THÍCH: Bối cảnh nội bao gồm: - quản trị, cấu tổ chức, vai trò trách nhiệm; - sách, mục tiêu chiến lược đặt để đạt mục tiêu; - khả năng, am hiểu nguồn lực kiến thức (ví dụ vốn, thời gian, người, q trình, hệ thống cơng nghệ); - hệ thống thông tin, luồng thông tin trình định (cả thức khơng thức); - mối quan hệ, nhận thức giá trị bên liên quan tổ chức; - văn hóa tổ chức; - tiêu chuẩn, hướngdẫn mơ hình tổ chức áp dụng; - hình thức mức độ mối quan hệ hợp đồng [ISO Guide 73:2009, định nghĩa 3.3.1.2] 2.12 Trao đổi thông tin tham vấn (Communication and consultation) Quá trình liên tục lặp lặp lại tổ chức thực để cung cấp, chia sẻ có thông tin để tham gia vào đối thoại với bên liên quan (2.13) quảnlýrủiro (2.1) CHÍ THÍCH 1: Thơng tin liên quan đến tồn tại, chất, hình thức, khả xảy (2.19), ý nghĩa, xác định mức độ, khả chấp nhận xử lýquảnlýrủiro CHÍ THÍCH 2: Tư vấn trình trao đổi thơng tin hai chiều tổ chức bên liên quan vấn đề trước đưa định xác định định hướng vấn đề Tư vấn là: - trình tác động lên định thơng qua ảnh hưởng quyền lực; - đầu vào để định, không tham gia vào việc định [ISO Guide 73:2009, định nghĩa 3.2.1] 2.13 Bên liên quan (Stakeholder) Người tổ chức gây ảnh hưởng, chịu ảnh hưởng tự nhận thấy bị ảnh hưởng định hay hoạt động CHÚ THÍCH: Người định bên liên quan [ISO Guide 73:2009, định nghĩa 3.2.1.1] 2.14 Đánh giá rủiro (Risk assessment) Quá trình tổng thể nhận diện rủiro (2.15), phân tích rủiro (2.21) xác định mức độ rủiro (2.24) [ISO Guide 73:2009, định nghĩa 3.4.1] 2.15 Nhận diện rủiro (Risk identification) Quá trình tìm kiếm, nhận biết mơ tả rủiro (2.1) CHÚ THÍCH 1: Việc xác định rủiro đòi hỏi phải xác định nguồn rủiro (2.16), kiện (2.17), nguyên nhân hệ (2.18) tiềm ẩn chúng CHÚ THÍCH 2: Xác định rủiro cần phân tích liệu khứ, lý thuyết, ý kiến chun mơn có hiểu biết nhu cầu bên liên quan (2.13) [ISO Guide 73:2009, định nghĩa 3.5.1] 2.16 Nguồn rủiro (Risk source) Yếu tố mà tự kết hợp, có tiềm nội để làm phát sinh rủiro (2.1) CHÚ THÍCH: Nguồn rủiro hữu hình vơ hình [ISO Guide 73:2009, định nghĩa 3.5.1.2] 2.17 Sự kiện (Even) Sự xuất thay đổi tập hợp tình cụ thể CHÚ THÍCH 1: Một kiện xảy nhiều lần có nhiều ngun nhân CHÚ THÍCH 2: Một kiện bao gồm việc khơng xảy CHÚ THÍCH 3: Một kiện đơi gọi "sự cố" hay "tai nạn" CHÚ THÍCH 4: Một kiện mà khơng có hệ (2.18) gọi "thoát nạn" "thoát hiểm" [ISO Guide 73:2009, định nghĩa 3.5.1.3] 2.18 Hệ (Consequence) Kết kiện (2.17) ảnh hưởng đến mục tiêu CHÚ THÍCH 1: Một kiện dẫn đến loạt hệ CHÚ THÍCH 2: Một hệ chắn khơng chắn có tác động tích cực tiêu cực đến mục tiêu CHÚ THÍCH 3: Hệ biểu thị định tính định lượng CHÚ THÍCH 4: Hệ ban đầu tăng theo hiệu ứng dây chuyền [ISO Guide 73:2009, định nghĩa 3.6.1.3] 2.19 Khả xảy (Likelihood) Cơ hội xảy điều CHÚ THÍCH: Trong thuật ngữ quảnlýrủi ro, từ "khả xảy ra" sử dụng để hội xảy điều đó, dù xác định, đo lường hay định cách khách quan chủ quan, định tính hay định lượng, mô tả cách sử dụng thuật ngữ chung hay theo toán học (như xác suất tần suất khoảng thời gian cho trước) [ISO Guide 73:2009, định nghĩa 3.6.1.1] 2.20 Đặc trưng rủiro (Risk profile) Mô tả tập hợp rủiro (2.1) CHÚ THÍCH: Tập hợp rủiro bao gồm rủiro liên quan đến toàn tổ chức, phận tổ chức, phần xác định khác [ISO Guide 73:2009, định nghĩa 3.8.2.5] 2.21 Phân tích rủiro (Risk analysis) Q trình tìm hiểu chất rủiro (2.1) xác định mức rủiro (2.23) CHÚ THÍCH 1: Phân tích rủiro cung cấp sở để xác định mức độ rủiro (2.24) định xử lýrủiro (2.25) CHÚ THÍCH 2: Phân tích rủiro bao gồm ước lượng rủiro [ISO Guide 73:2009, định nghĩa 3.6.1] 2.22 Tiêu chí rủiro (Risk criteria) Điều khoản tham chiếu dựa vào xác định mức độ nghiêm trọng rủiro (2.1) CHÚ THÍCH 1: Tiêu chí rủiro dựa vào mục tiêu tổ chức, bối cảnh bên (2.10) bối cảnh nội (2.21) CHÚ THÍCH 2: Tiêu chí rủiro bắt nguồn từ tiêu chuẩn, luật, sách yêu cầu khác [ISO Guide 73:2009, định nghĩa 3.3.1.3] 2.23 Mức rủiro (Level of risk) Mức độ rủiro (2.1) hay tập hợp rủi ro, thể kết hợp hệ (2.18) khả xảy (2.19) chúng [ISO Guide 73:2009, định nghĩa 3.6.1.8] 2.24 Xác định mức độ rủiro (Risk evaluation) Quá trình so sánh kết phân tích rủiro (2.21) với tiêu chí rủiro (2.22) để xác định xem rủiro (2.1) và/hoặc mức độ chấp nhận hay chịu đựng hay khơng CHÚ THÍCH: Xác định mức độ rủiro hỗ trợ định xử lýrủiro (2.25) [ISO Guide 73:2009, định nghĩa 3.7.1] 2.25 Xử lýrủiro (Risk treatment) Quá trình thay đổi rủiro (2.1) CHÚ THÍCH 1: Xử lýrủiro liên quan đến: - tránh rủiro cách định không bắt đầu tiếp tục hoạt động làm phát sinh rủi ro; - đối mặt làm tăng rủiro để theo đuổi hội; - loại bỏ nguồn rủiro (2.16); - thay đổi khả xảy (2.19); - thay đổi hệ (2.18); - chia sẻ rủiro với bên nhiều bên khác (bao gồm hợp đồng tài trợ rủi ro); - kiềm chế rủiro định đắn CHÚ THÍCH 2: Xử lýrủiro hệ tiêu cực gọi "giảm nhẹ rủi ro", "loại bỏ rủi ro", "ngăn ngừa rủi ro" "giảm bớt rủi ro" CHÚ THÍCH 3: Xử lýrủiro tạo rủiro làm thay đổi rủiro có [ISO Guide 73:2009, định nghĩa 3.8.1] 2.26 Kiểm soát (control) Biện pháp làm thay đổi rủiro (2.1) CHÚ THÍCH 1: Kiểm sốt bao gồm q trình, sách, thiết bị, thực tiễn, hành động khác làm thay đổi rủiro CHÚ THÍCH 2: Kiểm sốt khơng ln tạo tác dụng thay đổi theo dự kiến giả định [ISO Guide 73:2009, định nghĩa 3.8.1.1] 2.27 Rủiro tồn đọng (Residual risk) Rủiro (2.1) lại sau xử lýrủiro (2.25) CHÚ THÍCH 1: Rủiro tồn đọng gồm rủiro chưa nhận diện CHÚ THÍCH 2: Rủiro tồn đọng gọi "rủi ro lại" [ISO Guide 73:2009, định nghĩa 3.8.1.6] 2.28 Theo dõi (Monitoring) Kiểm tra, giám sát liên tục, quan sát nghiêm ngặt xác định tình trạng nhằm nhận biết thay đổi so với mức độ thực yêu cầu mong đợi CHÚ THÍCH: Theo dõi áp dụng cho khn khổ quảnlýrủiro (2.3), trình quảnlýrủiro (2.8), rủiro (2.1) kiểm soát (2.26) [ISO Guide 73:2009, định nghĩa 3.8.2.1] 2.29 Xem xét (Review) Hoạt động thực để xác định phù hợp, thỏa đáng hiệu vấn đề liên quan để đạt mục tiêu đề CHÚ THÍCH: Xem xét áp dụng cho khuôn khổ quảnlýrủiro (2.3), trình quảnlýrủiro (2.8), rủiro (2.1) kiểm soát (2.26) [ISO Guide 73:2009, định nghĩa 3.8.2.2] Nguyêntắc Để quảnlýrủiro có hiệu quả, tất cấp tổ chức cần tuân thủ nguyêntắc a) Quảnlýrủiro tạo bảo vệ giá trị Quảnlýrủiro góp phần vào việc đạt mục tiêu cải tiến việc thực hiện, an toàn sức khỏe người, an ninh, tuân thủ luật định chế định, chấp nhận công chúng, bảo vệ môi trường, chất lượng sản phẩm, quảnlý dự án, hiệu hoạt động, quản trị uy tín b) Quảnlýrủiro phần thiếu tất trình tổ chức Quảnlýrủiro khơng phải hoạt động độc lập, tách biệt với hoạt động q trình tổ chức Quảnlýrủiro phần trách nhiệm quảnlý phần thiếu tất trình tổ chức, bao gồm trình hoạch định chiến lược, tất dự án quảnlý thay đổi c) Quảnlýrủiro phần việc định Quảnlýrủiro giúp người định đưa lựa chọn sáng suốt, hành động ưu tiên phân biệt kế hoạch hành động thay d) Quảnlýrủiro đặc biệt trọng vấn đề khơng chắn Quảnlýrủiro tính đến không chắn, chất không chắn cách thức giải e) Quảnlýrủiro có tính hệ thống, cấu trúc kịp thời Phương pháp tiếp cận kịp thời, có cấu trúc mang tính hệ thống quảnlýrủiro tạo hiệu kết quán, so sánh đáng tin cậy f) Quảnlýrủiro dựa thông tin tốt sẵn có Đầu vào cho q trình quảnlýrủiro dựa nguồn thông tin liệu khứ, kinh nghiệm, phản hồi bên liên quan, quan trắc, dự báo phán đoán chuyên gia Tuy nhiên, người định nên tự tìm hiểu, xem xét hạn chế liệu hay mơ hình sử dụng khả bất đồng chuyên gia g) Quảnlýrủiro cần phù hợp Quảnlýrủiro phù hợp với bối cảnh bên bên tổ chức đặc trưng rủiro h) Quảnlýrủiro có tính đến yếu tố người văn hóa Quảnlýrủiro thừa nhận khả năng, nhận thức ý định người bên bên ngồi tổ chức tạo thuận lợi cản trở việc đạt mục tiêu tổ chức i) Quảnlýrủiro cần minh bạch có tham gia bên Việc tham gia thích hợp kịp thời bên liên quan, đặc biệt người định cấp tổ chức, đảm bảo việc quảnlýrủiro trì phù hợp cập nhật Việc tham gia cho phép bên liên quan có đại diện thích hợp quan điểm họ xem xét xác định tiêu chí rủiro j) Quảnlýrủiro cần động, lặp lại đáp ứng với thay đổi Việc quảnlýrủiro cảm nhận đáp ứng liên tục với thay đổi Vì kiện nội bên xảy ra, bối cảnh kiến thức thay đổi, việc theo dõi xem xét rủiro diễn ra, rủiro xuất hiện, số rủiro thay đổi rủiro khác biến k) Quảnlýrủiro tạo thuận lợi cho việc cải tiến liên tục tổ chức Tổ chức cần xây dựng thực chiến lược để nâng cao nhuần nhuyễn việc quảnlýrủiro với tất khía cạnh khác tổ chức Phụ lục A cung cấp thêm dẫn cho tổ chức mong muốn quảnlýrủiro có hiệu 4 Khuôn khổ 4.1 Khái quát Sự thành công quảnlýrủiro phụ thuộc vào hiệu lực khuôn khổ quảnlý đưa tảng xếp lồng ghép vào tất cấp tổ chức Khuôn khổ hỗ trợ việc quảnlýrủiro cách hiệu thông qua việc áp dụng trình quảnlýrủiro (xem Điều 5) cấp khác bối cảnh cụ thể tổ chức Khuôn khổ đảm bảo thông tin rủiro bắt nguồn từ trình quảnlýrủiro báo cáo đầy đủ sử dụng làm sở cho việc định trách nhiệm giải trình cấp có liên quan tổ chức Điều mơ tả thành phần cần thiết khuôn khổ quảnlýrủiro cách mà chúng tương tác với cách lặp lặp lại, thể Hình Khn khổ khơng nhằm quy định hệ thống quản lý, mà hỗ trợ tổ chức tích hợp quảnlýrủiro vào hệ thống quảnlý tổng thể Do đó, tổ chức cần phải điều chỉnh thành phần khuôn khổ cho phù hợp với nhu cầu cụ thể Nếu thực tiễn quảnlý trình hành tổ chức bao gồm thành phần quảnlýrủi ro, tổ chức chấp nhận q trình quảnlýrủiro thức cho loại rủiro hay toàn cảnh cụ thể, đối tượng phải xem xét đánh giá theo tiêu chuẩn này, bao gồm thuộc tính nêu Phụ lục A, nhằm xác định tính thỏa đáng hiệu lực Hình - Mối quan hệ thành phần khuôn khổ quảnlýrủiro 4.2 Nhiệm vụ cam kết Cần có cam kết mạnh mẽ chắn lãnh đạo tổ chức để đưa đảm bảo hiệu lực liên tục việc quảnlýrủi ro, cần hoạch định chiến lược chặt chẽ để đạt cam kết tất cấp Lãnh đạo cần: - xác định thơng qua sách quảnlýrủi ro; - đảm bảo sách quảnlýrủiro hài hòa với văn hóa tổ chức; - xác định số thực quảnlýrủiro hài hòa với số thực tổ chức; - hài hòa mục tiêu quảnlýrủiro với mục tiêu chiến lược tổ chức; - đảm bảo việc tuân thủ luật định chế định; - ấn định trách nhiệm giải trình trách nhiệm cấp thích hợp tổ chức; - đảm bảo nguồn lực cần thiết phân bổ để quảnlýrủi ro; - trao đổi thơng tin lợi ích quảnlýrủiro tới tất bên liên quan; - đảm bảo khuôn khổ quảnlýrủiro ln trì tính thích hợp 4.3 Thiết kế khuôn khổ quảnlýrủiro 4.3.1 Hiểu tổ chức bối cảnh tổ chức Trước bắt đầu thiết kế thực khuôn khổ quảnlýrủi ro, điều quan trọng phải đánh giá hiểu rõ bối cảnh bên bên tổ chức, điều ảnh hưởng đáng kể tới việc thiết kế khuôn khổ Đánh giá bối cảnh bên ngồi tổ chức bao gồm, không giới hạn ở: a) môi trường xã hội văn hóa, trị, luật định, chế định, tài chính, cơng nghệ, kinh tế, tự nhiên cạnh tranh, cho dù quốc tế, quốc gia, khu vực địa phương; b) động lực xu hướngtác động đến mục tiêu tổ chức; c) mối liên hệ, nhận thức giá trị bên liên quan bên Đánh giá bối cảnh bên tổ chức bao gồm, khơng giới hạn ở: - quản trị, cấu tổ chức, vai trò trách nhiệm giải trình; - sách, mục tiêu chiến lược đặt để đạt mục tiêu - khả năng, am hiểu nguồn lực kiến thức (ví dụ vốn, thời gian, người, q trình, hệ thống cơng nghệ); - hệ thống thông tin, luồng thông tin q trình định (cả thức khơng thức); - mối quan hệ, nhận thức giá trị bên liên quan tổ chức; - văn hóa tổ chức; - tiêu chuẩn, hướngdẫn mơ hình tổ chức chấp nhận; - hình thức mức độ mối quan hệ hợp đồng 4.3.2 Thiết lập sách quảnlýrủiro Chính sách quảnlýrủiro cần nêu rõ mục tiêu tổ chức cam kết với việc quảnlýrủiro thường nêu nội dung sau: - lýquảnlýrủiro tổ chức; - liên kết mục tiêu, sách tổ chức sách quảnlýrủi ro; - trách nhiệm giải trình trách nhiệm quảnlýrủi ro; - cách thức giải xung đột lợi ích; - cam kết sẵn sàng cung cấp nguồn lực cần thiết để hỗ trợ người có trách nhiệm giải trình trách nhiệm với quảnlýrủi ro; - cách thức đo lường báo cáo việc thực quảnlýrủi ro; - cam kết xem xét cải tiến định kỳ sách khn khổ quảnlýrủi ro, đáp ứng kiện thay đổi hoàn cảnh Cần trao đổi thơng tin cách thích hợp sách quảnlýrủiro 4.3.3 Trách nhiệm giải trình Tổ chức cần đảm bảo có trách nhiệm giải trình, thẩm quyền lực thích hợp để quảnlýrủi ro, bao gồm việc thực trì trình quảnlýrủiro đảm bảo tính đầy đủ, hiệu lực hiệu kiểm sốt Điều đơn giản hóa nhờ: - xác định chủ sở hữu rủiro có trách nhiệm quyền hạn quảnlýrủi ro; - xác định người chịu trách nhiệm xây dựng, thực trì khn khổ quảnlýrủi ro; - xác định trách nhiệm khác người tất cấp tổ chức trình quảnlýrủi ro; - thiết lập trình đo lường việc thực hiện, điều chỉnh, báo cáo nội và/hoặc bên ngoài, - đảm bảo cấp nhận biết rủiro thích hợp 4.3.4 Tích hợp vào trình tổ chức Quảnlýrủiro cần đưa vào tất trình thực tiễn tổ chức theo cách thức thích hợp, hiệu hiệu lực Q trình quảnlýrủiro cần trở thành phần không tách rời trình tổ chức Cụ thể, quảnlýrủiro cần lồng ghép vào trình xây dựng sách, hoạch định, xem xét hoạt động chiến lược quảnlý thay đổi Cần có kế hoạch quảnlýrủiro toàn tổ chức nhằm đảm bảo sách quảnlýrủiro thực quảnlýrủiro đưa vào tất trình thực tiễn tổ chức Kế hoạch quảnlýrủiro tích hợp vào kế hoạch khác tổ chức, kế hoạch chiến lược 4.3.5 Nguồn lực Tổ chức cần phân bổ nguồn lực thích hợp cho việc quảnlýrủiro Cần tính đến yếu tố sau: - người, kỹ năng, kinh nghiệm lực; - nguồn lực cần thiết cho bước trình quảnlýrủi ro; - q trình tổ chức, phương pháp cơng cụ sử dụng để quảnlýrủi ro; - trình thủ tục văn bản; - hệ thống quảnlý thông tin tri thức; - chương trình đào tạo 4.3.6 Thiết lập chế báo cáo trao đổi thông tin nội Tổ chức cần thiết lập chế báo cáo trao đổi thông tin nội để hỗ trợ khuyến khích trách nhiệm giải trình quan hệ sở hữu rủiro Những chế cần đảm bảo: - việc trao đổi thơng tin cách thích hợp thành phần khn khổ quảnlýrủiro thay đổi sau đó; - có báo cáo nội đầy đủ khuôn khổ, hiệu lực kết nó; - sẵn có thơng tin liên lạc rút từ việc áp dụng quảnlýrủiro cấp thời điểm thích hợp, - có q trình tham vấn với bên liên quan nội Khi thích hợp, chế cần bao gồm trình tổng hợp thông tin rủiro từ nhiều nguồn khác cần xem xét tính nhạy cảm thông tin 4.3.7 Thiết lập chế báo cáo trao đổi thơng tin bên ngồi Tổ chức cần xây dựng thực kế hoạch cách thức trao đổi thông tin với bên liên quan bên Kế hoạch cần liên quan đến: - tham gia bên liên quan thích hợp từ bên ngồi đảm bảo hiệu trao đổi thơng tin; - báo cáo bên tuân thủ yêu cầu pháp lý, luật định quản trị; - cung cấp phản hồi báo cáo trao đổi thông tin tham vấn; - sử dụng việc trao đổi thơng tin để xây dựng lòng tin với tổ chức; - liên hệ với bên liên quan trường hợp khủng hoảng kiện bất thường xảy Khi thích hợp, chế cần bao gồm q trình tổng hợp thơng tin rủiro có từ nhiều nguồn khác cần xem xét tính nhạy cảm thơng tin 4.4 Thực quảnlýrủiro 4.4.1 Thực khuôn khổ quảnlýrủiro Khi thực khuôn khổ quảnlýrủi ro, tổ chức cần: - xác định thời điểm chiến lược thích hợp cho việc thực khn khổ; - áp dụng sách trình quảnlýrủiro vào trình tổ chức; - tuân thủ yêu cầu luật định chế định; - đảm bảo việc định, bao gồm xây dựng thiết lập mục tiêu, phù hợp với kết trình quảnlýrủi ro; - tổ chức buổi trao đổi thông tin đào tạo; - trao đổi tham vấn bên liên quan nhằm đảm bảo khn khổ quảnlýrủiro trì tính thích hợp 4.4.2 Thực q trình quảnlýrủiroQuảnlýrủiro cần thực việc đảm bảo trình quảnlýrủiro nêu Điều áp dụng thông qua kế hoạch quảnlýrủiro tất cấp chức liên quan tổ chức phần thực tiễn trình tổ chức 4.5 Theo dõi xem xét khuôn khổ Để đảm bảo quảnlýrủiro có hiệu liên tục hỗ trợ việc thực tổ chức, tổ chức cần: - đo lường việc thực quảnlýrủiro theo số định kỳ xem xét tính phù hợp; - định kỳ đo lường tiến trình sai lệch so với kế hoạch quảnlýrủi ro; - định kỳ xem xét khn khổ, sách, kế hoạch quảnlýrủiro có phù hợp hay khơng, bối cảnh bên nội tổ chức; - báo cáo rủi ro, tiến trình với kế hoạch quảnlýrủiro sách quảnlýrủiro tuân thủ tốt đến đâu; - xem xét hiệu lực khuôn khổ quảnlýrủiro 4.6 Cải tiến liên tục khuôn khổ Căn vào kết theo dõi xem xét, cần đưa định cách thức cải tiến khuôn khổ, sách, kế hoạch quảnlýrủiro Những định cần dẫn đến cải tiến quảnlýrủiro tổ chức văn hóa quảnlýrủiro tổ chức Quá trình 5.1 Khái quát Quá trình quảnlýrủiro cần: - phần không tách rời quản lý, - gắn vào văn hóa, việc thực hành, - phù hợp với trình hoạt động tổ chức Quá trình bao gồm hoạt động mơ tả từ 5.2 đến 5.6 Q trình quảnlýrủiro thể Hình Hình - Quá trình quảnlýrủiro 5.2 Trao đổi thông tin tham vấn Trao đổi thông tin tham vấn với bên liên quan bên nội cần diễn tất giai đoạn trình quảnlýrủiro Vì vậy, kế hoạch trao đổi thông tin tham vấn cần xây dựng giai đoạn đầu Những kế hoạch cần đề cập đến vấn đề liên quan đến rủi ro, nguyên nhân rủi ro, hệ (nếu biết), biện pháp thực để xử lýrủiro Cần thực có hiệu lực việc trao đổi thông tin tham vấn nội bộ, bên nhằm đảm bảo người chịu trách nhiệm thực trình quảnlýrủiro bên liên quan hiểu sở đưa định lý lại yêu cầu hành động cụ thể Phương pháp nhóm tham vấn có thể: - giúp thiết lập bối cảnh thích hợp; - đảm bảo lợi ích bên liên quan hiểu xem xét; - giúp đảm bảo rủiro xác định đầy đủ; - tập hợp lĩnh vực chun mơn khác lại để phân tích rủi ro; - đảm bảo quan điểm khác xem xét cách thích hợp xác định tiêu chí rủiro xác định mức độ rủi ro; - đảm bảo việc chấp thuận hỗ trợ phương pháp xử lý; - tăng cường quảnlý thay đổi thích hợp q trình quảnlýrủi ro; - xây dựng kế hoạch trao đổi thơng tin tham vấn bên ngồi nội thích hợp Trao đổi thơng tin tham vấn với bên liên quanquan trọng họ đánh giá rủiro dựa nhận thức rủiro Những nhận thức khác khác biệt giá trị, nhu cầu, giả định, khái niệm mối quan tâm bên liên quan Vì quan điểm họ tác động đáng kể tới việc định, nên nhận thức bên liên quan cần xác định, ghi lại xem xét trình định Trao đổi thông tin tham vấn cần thúc đẩy việc trao đổi thông tin cách trung thực, dễ hiểu xác, có tính đến khía cạnh bảo mật quyền hợp pháp cá nhân 5.3 Thiết lập bối cảnh 5.3.1 Khái quát Bằng việc thiết lập bối cảnh, tổ chức làm rõ mục tiêu, xác định tham số bên nội đưa xem xét quảnlýrủi ro, lập phạm vi tiêu chí rủiro cho q trình lại Trong nhiều tham số tương tự tham số xem xét thiết kế khuôn khổ quảnlýrủiro (xem 4.3.1), thiết lập bối cảnh cho trình quảnlýrủi ro, cần phải xem xét tham số mức chi tiết đặc biệt tham số liên quan đến phạm vi trình quảnlýrủiro cụ thể 5.3.2 Thiết lập bối cảnh bên Bối cảnh bên ngồi mơi trường bên ngồi, tổ chức tìm cách để đạt mục tiêu Hiểu biết bối cảnh bên điều quan trọng để đảm bảo mục tiêu mối quan tâm bên liên quan bên xem xét xây dựng tiêu chí rủiro Nó dựa bối cảnh chung tổ chức, với chi tiết cụ thể yêu cầu luật định chế định, nhận thức bên liên quan khía cạnh khác rủiro cụ thể liên quan tới phạm vi trình quảnlýrủiro Bối cảnh bên ngồi bao gồm, không giới hạn ở: - môi trường xã hội, văn hóa, trị, luật định, chế định, tài chính, cơng nghệ, kinh tế, tự nhiên cạnh tranh, dù quốc tế, quốc gia, khu vực địa phương; - động lực xu hướngtác động đến mục tiêu tổ chức; - mối liên hệ, nhận thức giá trị bên liên quan bên 5.3.3 Thiết lập bối cảnh nội Bối cảnh nội môi trường bên tổ chức tìm cách để đạt mục tiêu Quá trình quảnlýrủiro cần phải liên kết với văn hóa, trình, cấu chiến lược tổ chức Bối cảnh nội điều bên tổ chức ảnh hưởng đến cách thức quảnlýrủiro tổ chức Nó cần thiết lập, vì: a) quảnlýrủiro xảy bối cảnh mục tiêu tổ chức; b) mục tiêu tiêu chí dự án, trình hay hoạt động cụ thể cần xem xét cách tổng thể theo mục tiêu tổ chức; c) số tổ chức không nhận hội để đạt mục tiêu chiến lược, dự án hoạt động điều ảnh hưởng đến cam kết, uy tín, độ tin cậy giá trị tổ chức Cần hiểu bối cảnh nội Điều bao gồm, không giới hạn ở: - quản trị, cấu tổ chức, vai trò trách nhiệm giải trình; - sách, mục tiêu chiến lược đặt để đạt sách mục tiêu; - khả năng, hiểu biết nguồn lực tri thức (ví dụ vốn, thời gian, người, trình, hệ thống công nghệ); - mối quan hệ, nhận thức giá trị bên liên quan nội bộ; - văn hóa tổ chức; - hệ thống thơng tin, luồng thơng tin q trình định (cả thức khơng thức); - tiêu chuẩn, hướngdẫn mơ hình tổ chức chấp nhận; - hình thức mức độ mối quan hệ hợp đồng 5.3.4 Thiết lập bối cảnh trình quảnlýrủiro Cần thiết lập mục tiêu, chiến lược, phạm vi tham số hoạt động tổ chức, phận tổ chức áp dụng trình quảnlýrủiro Cần thực việc quảnlýrủiro với xem xét đầy đủ nhu cầu cần thiết để định nguồn lực sử dụng việc thực quảnlýrủiro Các nguồn lực cần thiết, trách nhiệm quyền hạn, hồ sơ phải lưu giữ cần quy định rõ Bối cảnh trình quảnlýrủiro thay đổi theo nhu cầu tổ chức Nó bao gồm, không giới hạn việc: - xác định mục đích mục tiêu hoạt động quảnlýrủi ro; - xác định trách nhiệm phạm vi trình quảnlýrủi ro; - xác định phạm vi mức độ tầm ảnh hưởng hoạt động quảnlýrủiro thực hiện, bao gồm nội dung cụ thể đưa vào loại trừ; - xác định hoạt động, trình, chức năng, dự án, sản phẩm, dịch vụ tài sản theo thời gian địa điểm; - xác định mối quan hệ dự án, trình hay hoạt động cụ thể với dự án, trình hay hoạt động khác tổ chức; - xác định phương pháp luận đánh giá rủi ro; - xác định cách thức đánh giá việc thực hiệu lực quảnlýrủi ro; - xác định quy định rõ định phải đưa ra; - xác định, lập phạm vi khuôn khổ nghiên cứu cần thiết, mức độ mục tiêu nghiên cứu, nguồn lực cần thiết cho nghiên cứu Việc quan tâm đến điều yếu tố liên quan khác cần giúp đảm bảo phương pháp tiếp cận quảnlýrủiro chấp nhận phù hợp với hoàn cảnh, với tổ chức với rủiro ảnh hưởng đến việc đạt mục tiêu tổ chức 5.3.5 Xác định tiêu chí rủiro Tổ chức cần xác định tiêu chí sử dụng để xác định mức độ nghiêm trọng rủiro Tiêu chí cần phản ánh giá trị, mục tiêu nguồn lực tổ chức Một số tiêu chí sử dụng bắt nguồn từ yêu cầu luật định chế định yêu cầu khác mà tổ chức quy định Tiêu chí rủiro cần quán với sách quảnlýrủiro tổ chức (xem 4.3.2), xác định bắt đầu trình quảnlýrủiro xem xét liên tục Khi xác định tiêu chuẩn rủi ro, yếu tố xem xét cần bao gồm: - chất, loại nguyên nhân hệ xảy cách thức đo lường chúng; - cách thức xác định khả xảy rủi ro; - khuôn khổ thời gian khả xảy rủiro và/hoặc hệ quả; - cách thức xác định mức độ rủi ro; - quan điểm bên liên quan; - mức độ rủiro chấp nhận chịu được; - có cần xem xét kết hợp nhiều rủiro với khơng, cần kết hợp kết hợp cần xem xét 5.4 Đánh giá rủiro 5.4.1 Khái quát Đánh giá rủiro trình tổng thể việc xác định rủi ro, phân tích rủiro xác định mức độ rủiro CHÚ THÍCH: Tiêu chuẩn ISO/IEC 31010 đưa hướngdẫn kỹ thuật đánh giá rủiro 5.4.2 Nhận diện rủiro Tỗ chức cần xác định nguồn rủi ro, lĩnh vực chịu tác động, kiện (bao gồm thay đổi hoàn cảnh), nguyên nhân, hệ tiềm ẩn kiện Mục đích bước tạo danh mục đầy đủ rủiro dựa kiện tạo ra, tăng cường, ngăn ngừa, giảm nhẹ, đẩy mạnh làm chậm việc đạt mục tiêu Quan trọng phải xác định rủiro gắn với việc không theo đuổi hội Việc xác định cách toàn diện quan trọng, rủiro khơng xác định giai đoạn khơng có phân tích sau Việc xác định cần bao gồm rủiro mà nguồn gốc chúng có khơng thuộc kiểm sốt tổ chức, cho dù nguồn hay nguyên nhân gây rủiro khơng rõ ràng Xác định rủiro cần bao gồm kiểm tra tác động hệ cụ thể, bao gồm ảnh hưởng theo đợt tích lũy Cũng cần phải xem xét loạt hệ nguồn hay nguyên nhân gây rủiro không rõ ràng Bên cạnh việc xác định xảy ra, cần phải xem xét nguyên nhân kịch có khả hệ có Tất nguyên nhân hệ nghiêm trọng cần xem xét Tổ chức cần áp dụng công cụ kỹ thuật nhận dạng rủi ro, phù hợp với mục tiêu khả với rủiro phải đối mặt Thông tin liên lạc cập nhật quan trọng việc xác định rủiro Khi có thể, điều cần bao gồm thơng tin thích hợp Những người có kiến thức phù hợp cần tham gia vào việc xác định rủiro 5.4.3 Phân tích rủiro Phân tích rủiro đòi hỏi phải xây dựng hiểu biết rủiro Phân tích rủiro cung cấp đầu vào để xác định mức độ rủiro định xem có cần xử lýrủiro hay khơng, định chiến lược, phương pháp xử lýrủiro thích hợp Phân tích rủiro cung cấp đầu vào cho việc định phải thực cá phương án giải pháp liên quan đến loại hình, mức độ rủiro khác Phân tích rủiro đòi hỏi phải xem xét nguyên nhân nguồn rủi ro, hệ tích cực tiêu cực chúng, khả hệ xảy Cần xác định yếu tố ảnh hưởng đến hệ khả xảy Rủiro phân tích cách xác định hệ quả, khả xảy thuộc tính khác rủiro Một kiện có nhiều hệ ảnh hưởng đến nhiều mục tiêu Cũng cần xem xét kiểm soát có, hiệu hiệu lực kiểm soát Cách thức thể hệ khả xảy cách chúng kết hợp để xác định mức độ rủiro cần phản ánh loại hình rủi ro, thơng tin sẵn có mục đích theo kết đánh giá rủiro sử dụng Tất phải quán với tiêu chí rủiro Việc xem xét phụ thuộc lẫn rủiro nguồn rủiro khác quan trọng Tính tin cậy việc xác định mức độ rủiro tính nhạy cảm điều kiện tiên giả định cần xem xét phân tích truyền đạt có hiệu lực đến người định đến bên liên quan khác thích hợp Các yếu tố bất đồng ý kiến chun gia, khơng chắn, tính sẵn có, chất lượng, số lượng, phù hợp liên tục thơng tin, hạn chế mơ hình cần nêu nhấn mạnh Phân tích rủiro thực với mức độ chi tiết khác nhau, tùy thuộc vào rủi ro, mục đích phân tích, thơng tin, liệu nguồn lực sẵn có Phân tích định tính, bán định lượng hay định lượng, kết hợp dạng này, tùy hoàn cảnh Hệ khả xảy xác định việc mơ hình hóa kết kiện loạt kiện, cách ngoại suy từ nghiên cứu thực nghiệm hay từ liệu có sẵn Hệ thể theo tác động hữu hình vơ hình Trong số trường hợp, cần số giá trị số ký hiệu mô tả để xác định hệ khả xảy thời điểm, địa điểm, nhóm tình khác 5.4.4 Xác định mức độ rủiro Mục đích xác định mức độ rủiro hỗ trợ việc định rủiro cần xử lý ưu tiên thực xử lý, dựa kết phân tích rủiro Xác định mức độ rủiro đòi hỏi phải so sánh mức độ rủiro thấy q trình phân tích với tiêu chí rủiro thiết lập xem xét bối cảnh Dựa vào so sánh này, xem xét nhu cầu xử lý Quyết định cần tính đến bối cảnh rủiro rộng bao gồm việc xem xét khả chịu đựng rủiro bên tổ chức hưởng lợi từ rủiro Các định phải đưa phù hợp với yêu cầu pháp lý, quảnlý yêu cầu khác Trong số trường hợp, việc xác định mức độ rủirodẫn đến định thực phân tích kỹ Việc xác định mức độ rủirodẫn đến định khơng xử lýrủiro theo cách khác việc trì kiểm sốt có Quyết định bị ảnh hưởng thái độ tổ chức rủiro tiêu chí rủiro thiết lập 5.5 Xử lýrủiro 5.5.1 Khái quát Xử lýrủiro liên quan đến việc chọn nhiều phương án để thay đổi rủiro thực phương án Khi thực hiện, xử lý cung cấp thay đổi kiểm soát Xử lýrủiro liên quan đến trình theo chu kỳ gồm: - đánh giá việc xử lýrủi ro; - định mức độ rủiro tồn đọng có chấp nhận hay khơng; - không chấp nhận được, tạo xử lýrủiro mới; - đánh giá hiệu lực việc xử lý Các phương án xử lýrủiro không thiết phải loại trừ lẫn thích hợp tình Các phương án bao gồm: a) tránh rủiro cách định không bắt đầu tiếp tục hoạt động làm phát sinh rủi ro; b) tiếp nhận làm tăng rủiro để theo đuổi hội; c) loại bỏ nguồn rủi ro; d) thay đổi khả xảy ra; e) thay đổi hệ quả; f) chia sẻ rủiro với nhiều bên khác (bao gồm hợp đồng tài trợ rủi ro); g) kiềm chế rủiro định sáng suốt 5.5.2 Lựa chọn phương án xử lýrủiro Lựa chọn phương án xử lýrủiro thích hợp liên quan đến việc cân đối chi phí nỗ lực thực lợi ích thu yêu cầu luật định, chế định yêu cầu khác trách nhiệm xã hội bảo vệ môi trường tự nhiên Các định cần phải tính đến rủiro đảm bảo việc xử lý không thuyết phục mặt kinh tế, ví dụ rủiro có hệ nghiêm trọng khó xảy Một số phương án xử lý xem xét áp dụng riêng lẻ kết hợp Bình thường, tổ chức lợi từ việc chấp nhận kết hợp phương án xử lý Khi chọn lựa phương án xử lýrủi ro, tổ chức nên xem xét giá trị nhận thức bên liên quan cách thích hợp để trao đổi thơng tin với họ Khi phương án xử lýrủirotác động đến rủiro nơi khác tổ chức với bên liên quan, phương án cần tính đến định Mặc dù hiệu lực nhau, số xử lýrủiro số bên liên quan chấp nhận so với xử lý khác Phương án xứ lý cần xác định rõ thứ tự ưu tiên, xử lýrủiro riêng lẻ cần thực Bản thân xử lýrủiro gây rủiro Một rủiro đáng kể thất bại không hiệu biện pháp xử lýrủiro Theo dõi cần phần thiếu phương án xử lýrủiro để đảm bảo trì hiệu lực biện pháp Xử lýrủiro gây rủiro thứ phát cần phải đánh giá, xử lý, theo dõi xem xét Những rủiro thứ phát cần đưa vào phương án xử lýrủiro ban đầu không xử lýrủiro Cần phải xác định trì mối liên hệ hai rủiro 5.5.3 Chuẩn bị thực kế hoạch xử lýrủiro Mục đích kế hoạch xử lýrủiro văn hóa cách thức thực thi phương án xử lý chọn Các thông tin cung cấp kế hoạch xử lý cần bao gồm: - lý lựa chọn phương án xử lý, bao gồm lợi ích mong muốn đạt được; - người có trách nhiệm giải trình việc phê duyệt kế hoạch người chịu trách nhiệm thực kế hoạch; - hành động đề xuất; - yêu cầu nguồn lực bao gồm dự phòng; - biện pháp thực ràng buộc; - yêu cầu việc báo cáo theo dõi; - thời gian lịch trình Kế hoạch xử lý cần tích hợp với trình quảnlý tổ chức thảo luận với bên liên quan thích hợp Người định bên liên quan khác cần biết chất mức độ rủiro tồn đọng sau xử lýRủiro tồn đọng cần lập thành văn chịu theo dõi, xem xét thích hợp, có xử lý thêm 5.6 Theo dõi xem xét Cả theo dõi xem xét phải phần hoạch định trình quảnlýrủiro bao gồm hoạt động kiểm tra giám sát thường xuyên Nó mang tính định kỳ đột xuất Trách nhiệm theo dõi xem xét cần xác định rõ ràng Các trình theo dõi xem xét tổ chức cần bao gồm tất khía cạnh trình quảnlýrủiro với mục đích: - đảm bảo hoạt động kiểm sốt có hiệu hiệu lực thiết kế vận hành; - có thêm thơng tin để cải tiến việc đánh giá rủi ro; - phân tích rút học từ kiện (bao gồm lần thoát nạn), thay đổi, xu hướng, thành công thất bại; - phát thay đổi bối cảnh bên nội bộ, bao gồm thay đổi tiêu chí rủiro thân rủiro yêu cầu xem xét lại việc xử lýrủiro thứ tự ưu tiên; - xác định rủiro hình thành Tiến hành thực phương án xử lýrủiro cung cấp thước đo việc thực Các kết đưa vào quản lý, đo lường tổng thể việc thực tổ chức hoạt động báo cáo bên ngoài, nội Kết theo dõi xem xét cần ghi lại báo cáo bên ngồi, nội thích hợp, cần sử dụng làm đầu vào cho việc xem xét khuôn khổ quảnlýrủiro (xem 4.5) 5.7 Lập hồ sơ trình quảnlýrủiro Các hoạt động quảnlýrủiro cần có khả truy tìm nguồn gốc Trong trình quảnlýrủi ro, hồ sơ cung cấp tảng cho việc cải tiến phương pháp công cụ, trình tổng thể Các định liên quan đến việc lập hồ sơ cần tính đến: - nhu cầu học hỏi liên tục tổ chức; - lợi ích việc tái sử dụng thơng tin cho mục đích quản lý; - chi phí nỗ lực liên quan tới việc lập trì hồ sơ; - nhu cầu hồ sơ theo luật định, chế định hoạt động; - phương pháp truy cập, dễ dàng khôi phục phương tiện bảo quản; - thời gian lưu trữ; - tính nhạy cảm thông tin PHỤ LỤC A (tham khảo) CÁC THUỘC TÍNH CỦA QUẢNLÝRỦIRO NÂNG CAO A.1 Khái quát Mọi tổ chức cần hướng tới mức độ thực khuôn khổ quảnlýrủiro phù hợp với tầm quan trọng định đưa Danh mục thuộc tính thể mức độ thực cao quảnlýrủiro Để hỗ trợ tổ chức việc đo lường việc thực theo tiêu chí này, số số hữu hình đưa cho thuộc tính A.2 Các kết A.2.1 Tổ chức có hiểu biết xác, tồn vẹn thực tế rủiro A.2.2 Các rủiro tổ chức nằm phạm vi tiêu chí rủiro A.3 Các thuộc tính A.3.1 Cải tiến liên tục Trọng tâm đặt vào cải tiến liên tục việc quảnlýrủiro thông qua việc thiết lập mục đích, đo lường, xem xét việc thực thay đổi sau q trình, hệ thống, nguồn lực, khả kỹ tổ chức Điều tồn mục đích thực rõ ràng theo đo lường việc thực tổ chức nhà quảnlý riêng lẻ Có thể cơng bố trao đổi thông tin việc thực tổ chức Thơng thường, có xem xét hàng năm việc thực sau sửa đổi trình thiết lập mục tiêu thực sửa đổi cho giai đoạn Đánh giá việc thực quảnlýrủiro phần thiếu đánh giá việc thực tổng thể tổ chức hệ thống đo lường cho phòng ban cá nhân A.3.2 Trách nhiệm đầy đủ rủiroQuảnlýrủiro nâng cao bao gồm trách nhiệm toàn diện xác định chấp nhận đầy đủ rủi ro, kiểm soát, nhiệm vụ xử lýrủiro Cá nhân định chấp nhận hồn tồn trách nhiệm, có kỹ phù hợp có đủ nguồn lực để kiểm tra việc kiểm soát, theo dõi rủi ro, cải tiến việc kiểm sốt trao đổi thơng tin rủiro việc quảnlýrủiro cách hiệu với bên liên quan bên nội Điều tất thành viên tổ chức nhận thức đầy đủ rủi ro, kiểm soát nhiệm vụ mà họ có trách nhiệm Thơng thường, điều ghi lại mô tả công việc/vị trí, sở liệu hệ thống thơng tin Định nghĩa vai trò, trách nhiệm giải trình, trách nhiệm quảnlýrủiro cần phần tất chương trình giới thiệu ban đầu tổ chức Tổ chức đảm bảo người chịu trách nhiệm trang bị để thực vai trò thơng qua việc giao cho họ quyền hạn, thời gian, đào tạo, nguồn lực kỹ đầy đủ để đảm nhận trách nhiệm A.3.3 Áp dụng quảnlýrủiro lần định Tất định đưa tổ chức, mức độ quan trọng ý nghĩa liên quan đến việc xem xét rủiro áp dụng quảnlýrủiro mức độ thích hợp Điều thể hồ sơ họp định thấy có thảo luận cụ thể rủiro Ngồi ra, thấy tất thành phần quảnlýrủiro thể trình việc định tổ chức, ví dụ định việc phân bố vốn, dự án quan trọng, việc tái cấu trúc thay đổi tổ chức Vì lý này, quảnlýrủiro sở vững nhìn nhận phạm vi tổ chức, tạo sở cho việc quảnlý có hiệu A.3.4 Trao đổi thông tin liên lạc Quảnlýrủiro nâng cao bao gồm trao đổi thông tin liên tục với bên liên quan nội bên ngoài, bao gồm việc báo cáo thường xuyên toàn diện thực quảnlýrủi ro, phần quản trị tốt Điều thể qua việc trao đổi thông tin với bên liên quan phần thiết yếu thiếu quảnlýrủiro Trao đổi thông tin thực xem q trình hai chiều cho định đắn cách phù hợp mức độ rủiro nhu cầu xử lýrủiro theo tiêu chí rủiro thiết lập phù hợp toàn diện Lập báo cáo bên nội thường xuyên toàn diện rủiro nghiêm trọng việc thực quảnlýrủiro góp phần đáng kể vào quản trị có hiệu lực tổ chức A.3.5 Tích hợp đầy đủ cấu quản trị tổ chức Quảnlýrủiro xem trung tâm trình quảnlý tổ chức, cho rủiro xem xét ảnh hưởng không chắn tới mục tiêu Cơ cấu trình quản trị dựa việc quảnlýrủiroQuảnlýrủiro hiệu có hiệu lực nhà quảnlý xem thiết yếu cho việc đạt mục tiêu tổ chức Điều thể ngôn ngữ nhà quảnlý văn tài liệu quan trọng tổ chức sử dụng thuật ngữ "sự không chắn" liên quan đến rủiro Thuộc tính thường phản ánh tuyên bố sách tổ chức, đặc biệt tuyên bố liên quan đến quảnlýrủiro Thơng thường, thuộc tính xác nhận qua vấn nhà quảnlý thông qua chứng hành động tuyên bố họ THƯ MỤC TÀI LIỆU THAM KHẢO [1] ISO Guide 73:2009, Risks management - Vocabulary (Quản lýrủiro - Từ vựng) [2] ISO/IEC 31010, Risks management - Risks assessment techniques (Quản lýrủiro - Kỹ thuật đánh giá rủi ro) MỤC LỤC Lời nói đầu Lời giới thiệu Phạm vi áp dụng Thuật ngữ định nghĩa Nguyêntắc Khuôn khổ 4.1 Khái quát 4.2 Nhiệm vụ cam kết 4.3 Thiết kế khuôn khổ quảnlýrủiro 4.4 Thực quảnlýrủiro 4.5 Theo dõi xem xét khuôn khổ 4.6 Cải tiến liên tục khuôn khổ Quá trình 5.1 Khái qt 5.2 Trao đổi thơng tin tham vấn 5.3 Thiết lập bối cảnh 5.4 Đánh giá rủiro 5.5 Xử lýrủiro 5.6 Theo dõi xem xét 5.7 Lập hồ sơ trình quảnlýrủiro Phụ lục A (tham khảo) Các thuộc tính Quảnlýrủiro nâng cao Thư mục tài liệu tham khảo ... khuôn khổ quản lý rủi ro trì tính thích hợp 4.4.2 Thực q trình quản lý rủi ro Quản lý rủi ro cần thực việc đảm bảo trình quản lý rủi ro nêu Điều áp dụng thông qua kế hoạch quản lý rủi ro tất cấp... hoạch quản lý rủi ro Những định cần dẫn đến cải tiến quản lý rủi ro tổ chức văn hóa quản lý rủi ro tổ chức Quá trình 5.1 Khái quát Quá trình quản lý rủi ro cần: - phần không tách rời quản lý, -... đồng chuyên gia g) Quản lý rủi ro cần phù hợp Quản lý rủi ro phù hợp với bối cảnh bên bên tổ chức đặc trưng rủi ro h) Quản lý rủi ro có tính đến yếu tố người văn hóa Quản lý rủi ro thừa nhận khả