风险管理
二级
7.4.2.1 识别潜在风险
描述
在风险管理中,首先识别并记录潜在的风险,以使项目或组织提前制定风险处置措施,避免或最大限度地减少风险的影响。
检查要点
- 检查项目识别出的风险情况,是否被记录;
- 了解识别项目风险的方式方法等。
7.4.2.2 分析已识别的风险
描述
基于已识别的风险,分析风险发生的可能性、风险起因、预期发生的时间、影响范围、影响程度等因素。
检查要点
- 检查已识别的风险是否进行分析,包括风险发生的可能性、预期发生的时间、影响范围、风险起因等;
- 了解风险分析过程和考虑因素。
7.4.2.3 应对风险
描述
对已识别的风险进行应对,跟踪检查措施的执行情况。
检查要点
- 检查风险监控机制、方式、方法等;
- 检查已识别的风险是否被纳入监控,与监控机制或规程相符或一致;
- 是否能够掌控风险发生的条件;
- 针对风险的监控状态和掌控的发生条件,是否及时与相关方进行沟通等。
三级
7.4.3.1 根据已定义的风险分类,识别潜在风险
描述
通过合理的方法识别组织已定义的风险分类,基于组织级的定义对潜在风险进行归类管理,提高风险管理效率。项目中识别了未定义的潜在风险分类,应及时补充组织级风险库。
检查要点
- 了解项目风险管理的经验和方法;
- 了解风险分类和风险判断的依据;
- 了解识别风险的方式和方法,如持续多方面收集组织内各个项目或者是同类项目的问题和风险数据进行总结;
- 是否建立了组织级风险库;
- 组织级风险库是否在新项目或有关项目上参考使用,如何发挥风险库的价值和作用;
- 是否形成组织级的风险管理机制和规程;
- 项目发生的哪些严重问题,是因为风险识别遗漏导致的。
7.4.3.2 定义和管理风险等级
描述
组织应根据风险的来源及特征,通过发生概率、影响程度、影响范围等定义和管理风险等级;集中有限资源避免或降低高等级风险,提高风险管理的资源利用效率。
检查要点
- 了解组织对风险分级情况;
- 了解组织定义风险的参数或系数;
- 是否按照风险优先级的设置情况,对高级别风险集中资源和力量来缓解或降低风险。
7.4.3.3 选择风险管理策略并制定风险管理计划
描述
基于组织级风险管理规程,选择风险管理的策略,制定风险管理计划,提高风险管理的效率和效果。
检查要点
- 了解组织风险管理机制和规程;
- 是否制定和实施了风险管理的策略,了解风险管理的策略内容;
- 了解形成的风险管理计划内容;
- 项目发生的哪些严重问题,是由风险缓解不充分导致的。
7.4.3.4 按计划实施风险管理活动
描述
根据制定的风险管理计划实施风险管理活动,降低风险给项目带来的负面影响。
检查要点
- 了解开展风险管理工作的方式、方法和过程,如风险监视手段、方法,风险控制方法等;
- 通过策略的实施,降低风险发生的概率,减小风险对项目的影响;
- 了解及时处置(潜在)风险及发生风险的做法;
- 了解风险策略执行的有效性。