消防安全评估-风险管理

四、风险管理过程

风险管理过程是组织管理的有机组成部分，嵌入在组织文化和实践当中，贯穿于组织的经营过程。风险管理过程包括明确环境信息、风险评估、风险应对、监督和检查。其中风险评估包括风险识别、风险分析和风险评价。沟通和记录应贯穿于风险管理全过程。风险管理过程如图5-1-1所示。

图5-1-1 风险管理流程图

（一）风险评估

风险评估包括风险识别、风险分析和风险评价三个步骤。风险识别是通过识别风险源、影响范围、事件及其原因和潜在的后果等，生成一个全面的风险列表。

进行风险识别时要掌握相关的和最新的信息。除了识别可能发生的风险事件外，还要考虑其可能的原因和可能导致的后果。不论风险事件的风险源是否在组织的控制之下，或者原因是否已知，都应对其进行识别。此外，要关注已经发生的风险事件，特别是新近发生的风险事件。识别风险需要所有相关人员的参与。组织所采用的风险识别工具和技术应当适合于其目标、能力及其所处环境。

风险分析是根据风险类型、获得的信息和风险评估结果的使用目的，对识别出的风险进行定性和定量的分析，为风险评价和风险应对提供支持。风险分析要考虑导致风险的原因和风险源、风险事件的正面和负面的后果及其发生的可能性、影响后果和可能性的因素、不同风险及其风险源的相互关系以及风险的其他特征，还要考虑现有的管理措施及其效果和效率。在风险分析中，应考虑组织的风险承受度及其对前提和假设的敏感性，并适时与决策者和其他利益相关者有效地沟通。另外，还要考虑可能存在的专家观点中的分歧及数据和模型的局限性。根据风险分析的目的、获得的信息数据和资源，风险分析可以是定性的、半定量的、定量的或以上方法的组合。一般情况下，首先采用定性分析，初步了解风险等级和揭示主要风险。适当时，进行更具体和定量的风险分析。后果和可能性可通过专家意见确定，或通过对事件或事件组合的结果建模确定，也可通过对实验研究或可获得的数据的推导确定。对后果的描述可表达为有形或无形的影响。在某些情况下，可能需要多个指标来确切描述不同时间、地点、类别或情形的后果。

风险评价是将风险分析的结果与组织的风险准则比较，或者在各种风险的分析结果之间进行比较，确定风险等级，以便做出风险应对的决策。如果该风险是新识别的风险，则应当制定相应的风险准则，以便评价该风险。风险评价的结果应满足风险应对的需要，否则，应做进一步分析。

（二）风险应对

风险应对是选择并执行一种或多种改变风险的措施，包括改变风险事件发生的可能性或后果的措施。风险应对决策应当考虑各种环境信息，包括内部和外部利益相关者的风险承受度，以及法律、法规和其他方面的要求等。

（三）监督和检查

组织应当明确界定监督和检查的责任。监督和检查可能包括：监测事件，分析变化及其趋势并从中吸取教训；发现内部和外部环境信息的变化，包括风险本身的变化、可能导致的风险应对措施及其实施优先次序的改变；监督并记录风险应对措施实施后的剩余风险，以便在适当时做进一步处理。适当时，对照风险应对计划，检查工作进度与计划的偏差，保证风险应对措施的设计和执行有效；报告关于风险、风险应对计划的进度和风险管理方针的遵循情况；实施风险管理绩效评估。风险管理绩效评估应被纳入到组织的绩效管理以及组织对内、对外的报告体系中。

监督和检查活动包括常规检查、监控已知的风险、定期或不定期检查。定期或不定期检查都应被列入风险应对计划。

（四）沟通和记录

组织在风险管理过程的每一个阶段都应当与内部和外部利益相关者有效沟通，以保证实施风险管理的责任人和利益相关者能够理解组织风险管理决策的依据，以及需要采取某些行动的原因；由于利益相关者的价值观、诉求、假设、认知和关注点不同，其风险偏好也不同，并可能对决策有重要影响。因此，组织在决策过程中应当与利益相关者进行充分沟通，识别并记录利益相关者的风险偏好。

在风险管理过程中，记录是实施和改进整个风险管理过程的基础。建立记录应当考虑以下方面：出于管理的目的而重复使用信息的需要；进一步分析风险和调整风险应对措施的需要；风险管理活动的可追溯要求；沟通的需要；法律、法规和操作上对记录的需要；组织本身持续学习的需要；建立和维护记录所需的成本和工作量；获取信息的方法、读取信息的容易程度和储存媒介；记录保留期限；信息的敏感性