1．風險管理的原則

1)控制損失，創(chuàng)造價值。

2)融入組織管理過程。

3)支持決策過程。

4)應用系統(tǒng)的、結(jié)構(gòu)化的方法。

5)以信息為基礎。

6)環(huán)境依賴。

7)廣泛參與、充分溝通。

8)持續(xù)改進。

2．風險管理過程

1)風險評估：風險評估包括風險識別、風險分析和風險評價三個步驟。

風險識別是通過識別風險源、影響范圍、事件及其原因和潛在的后果等，生成一個全面的風險列表。

風險分析是根據(jù)風險類型、獲得的信息和風險評估結(jié)果的使用目的，對識別出的風險進行定性和定量的分析，為風險評價和風險應對提供支持。

風險評價是將風險分析的結(jié)果與組織的風險準則比較，或者在各種風險的分析結(jié)果之間進行比較，確定風險等級，以便做出風險應對的決策。

2)風險應對

風險應對是選擇并執(zhí)行一種或多種改變風險的措施，包括改變風險事件發(fā)生的可能性或后果的措施。

3)監(jiān)督和檢查

監(jiān)督和檢查可能包括：監(jiān)測事件，分析變化及其趨勢并從中吸取教訓；發(fā)現(xiàn)內(nèi)部和外部環(huán)境信息的變化，包括風險本身的變化、可能導致的風險應對措施及其實施優(yōu)先次序的改變；監(jiān)督并記錄風險應對措施實施后的剩余風險，以便在適當時做進一步處理。

4)溝通和記錄

組織在風險管理過程的每一個階段都應當與內(nèi)部和外部利益相關者有效溝通，組織在決策過程中應當與利益相關者進行充分溝通，識別并記錄利益相關者的風險偏好。