应根据一系列因素采取适当的风险处理措施,以减少,消除或保留每种风险,如果组织不可避免,不可避免或处于可接受的风险承受能力范围内,则您的组织可能会选择保留风险。

一个组织的风险承受能力和风险偏好将对风险处理计划产生重大影响,因为如果潜在的积极成果值得考虑,则某些人可能会选择保留比其他人更大的风险。

ISO 31000风险处理涉及一系列过程,包括:

风险治疗的制定和选择;

实施每种风险所需的措施;

剩余风险评估;

确定剩余风险是否仍然过高的进一步控制;

长期评估风险治疗的有效性。

ISO 31000风险处理选项不是通用的,并且可能随着策略或组织的目标或背景的发展而改变。

风险处理的不同类型可能包括:

完全消除风险

更改可能性(例如将服务器移到较高的楼层以减少洪水损坏的风险)

改变后果

通过协议,合伙关系,进一步的保险等方式分担风险

通过明智的决策来保持和减轻风险

由组织决定保留风险的收益(例如竞争优势)与潜在成本,不利影响和实施劣势之间的平衡。

ISO 31000风险控制:

ISO 31000将控制定义为可以改变风险的任何措施或措施。控制措施包括修改或管理风险的任何政策,程序,实践,过程,技术,方法,方法或设备。风险处理措施一旦实施,便成为控制措施,或修改现有控制措施。

两种基本控制类型

预防性控制可防止发生不良事件,例如,通过确保系统已控制访问权限,阻止对敏感信息的未授权访问;

另企服快车面,侦探控件会在不良事件发生后找出它们,例如,这可以通过计划的数据审核或核对来实现。

第6.5.3条:准备和实施风险处理计划

确定,评估风险并确定风险处理措施后,下一步就是将这些信息传达给主要股东。

治疗计划应简明,准确,并及时,清晰地提供信息。它需要概述风险标准,分析和治疗方法,并确定由谁负责确保实施列出的控制措施。良好的风险处理计划将证明:

有什么风险

如何缓解

谁负责

所需的行动时间表

负责人的报告要求

风险处理计划有助于广泛地交流当前的风险管理策略,它将说明有关已删除,减轻或保留的风险以及如何划分责任的决策依据,这与专注于领导力和承诺的条款5.2和沟通与协商的条款6.2紧密相关。

风险处理策略需要集成到总体业务绩效目标和审查中,如果要持续有效并推动整个组织的进步和效率,管理层应该全力以赴。

在我们的ISO 31000博客系列中阅读有关风险管理重要性的更多信息,并注意最后一部分。