GB/T24353-2022《風險管理指南》之5:

6風險管理過程-6.1總則專業(yè)深度解讀和實踐應用培訓指導材料

(2025C1一升級版)

GB/T24353-2022《風險管理指南》

6過程

6.1總則

風險管理過程是將政策、程序和實踐系統(tǒng)地應用于溝通和協(xié)商、建立環(huán)境、風險評估、風險應對、監(jiān)

視和評審、記錄和報告等活動。圖4給出了風險管理過程。

風險管理過程是組織管理和決策的有機組成部分，需融入組織的架構、運營和流程中。它可以應用在

戰(zhàn)略、運營、項目群或單個項目層面。

風險管理過程在組織中的應用可以是多方面的，可根據(jù)組織目標定制，并與其所處的內外部環(huán)境相適

應。

在整個風險管理過程中，需要考慮人的行為因素和文化因素的動態(tài)性和多變性。

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdf

雖然風險管理過程通常表現(xiàn)為按一定的順序開展，但在實踐中是一個循環(huán)提升的過程。

范圍、環(huán)境、準則

風險評估

溝風險識別監(jiān)

通視

與與

協(xié)風險分析評

商審

風險評價

風險應對

記錄與報告

6風險管理過程

6.1總則

(1)“風險管理過程”目的和意圖；

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdfGB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）

條款號與主題核心目的意圖說明

明確風險確保風險管理作為組織管理和決策的有機組成部分，

6(風險管理)過程管理過程通過政策、程序和實踐的系統(tǒng)應用，實現(xiàn)與組織架構、

(6.1總則)的系統(tǒng)性運營和流程的深度融合，避免風險管理成為獨立于業(yè)

與整合性務的孤立活動。

風險管理過程是將政策、程序和實踐

規(guī)范風險通過定義標準化的活動流程(溝通協(xié)商、環(huán)境建立、

系統(tǒng)地應用于溝通和協(xié)商、建立環(huán)

管理的實風險評估等),為組織提供結構化的風險管理操作路

境、風險評估、風險應對、監(jiān)視和評

施框架徑，確保風險管理活動的規(guī)范性和可重復性。

審、記錄和報告等活動。

風險管理過程是組織管理和決策的強化風險強調風險管理需貫穿組織戰(zhàn)略制定、運營執(zhí)行等全流

有機組成部分，需融入組織的架構、管理的戰(zhàn)程，使風險管理決策與業(yè)務決策同步形成，避免“兩

運營和流程中。略嵌入性張皮”現(xiàn)象，提升組織整體管理效能。

明確風險管理的多層級適用性，允許組織根據(jù)戰(zhàn)略目

拓展風險

它可以應用在戰(zhàn)略、運營、項目群或標、運營需求或項目特性，在不同管理維度(戰(zhàn)略層、

管理的應

單個項目層面。操作層、項目層)靈活部署風險管理活動，實現(xiàn)針對

用場景

性風險管控。

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdf

要求組織基于自身目標、行業(yè)屬性、資源能力及內外

風險管理過程在組織中的應用可以突出風險

部環(huán)境(如政策、市場、技術)的動態(tài)變化，量身定

是多方面的，可根據(jù)組織目標定制，管理的定

制風險管理方案，避免“一刀切”,提升風險管理的

并與其所處的內外部環(huán)境相適應。制化特性

適配性。

強調人的行為習慣、決策偏好及組織文化(如風險偏

在整個風險管理過程中，需要考慮人關注風險

好、合規(guī)意識)對風險管理效果的直接影響，要求組

的行為因素和文化因素的動態(tài)性和管理的人

織在設計和執(zhí)行風險管理過程時，將人文因素作為關

多變性。文維度

鍵變量納入考量，增強風險管理的落地性。

確立風險表明風險管理并非線性一次性活動，而是通過“評估

雖然風險管理過程通常表現(xiàn)為按一

管理的持-應對-監(jiān)視-評審-優(yōu)化”的循環(huán)迭代，不斷適應內外

定的順序開展，但在實踐中是一個循

續(xù)改進機部風險環(huán)境的變化，推動風險管理能力的螺旋式提

環(huán)提升的過程。

制升。

(2)理解“風險管理過程”的涵義；

——風險管理過程是將組織的風險管理方針、程序和實踐系統(tǒng)地應用于溝通和協(xié)商、建立環(huán)境、風險

評估(包括識別、分析和評價)、風險應對、監(jiān)視和評審、記錄和報告等活動中。其中，溝通和協(xié)商、監(jiān)

視和評審、記錄和報告貫穿于風險管理過程的始終；

22GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）

——風險管理過程是組織管理和決策的有機組成部分，旨在協(xié)調一系列活動，將管理方針、程序和操

作方法系統(tǒng)地融入組織的架構、運營和流程之中。它是一個循環(huán)提升的過程，從初步建立風險管理環(huán)境開

始，覆蓋風險的識別、分析、評價、應對，直至持續(xù)的監(jiān)視、評審和改進，確保風險得到有效管理。

(a)系統(tǒng)性應用；

——風險管理過程不是零散的、隨意的活動集合，而是將風險管理方針、程序和操作方法(實踐)系

統(tǒng)地、結構化地應用于所有相關環(huán)節(jié)：

——這要求組織在實施風險管理時，建立并遵循清晰的框架和過程，確保管理的連貫性、一致性和效

率。風險管理過程需融入組織的整體管理體系和業(yè)務流程中。

(b)風險管理過程的重要輸入要素和依據(jù)；

——風險管理方針：是組織風險管理的頂層指導思想和原則，為整個風險管理過程提供戰(zhàn)略方向和基

本要求。所有風險管理活動都必須在方針的指導下進行，確保其與組織的整體目標和價值觀相一致；

——程序：規(guī)定了執(zhí)行風險管理活動的具體步驟、職責和流程。風險管理活動需要嚴格遵循既定的程

序，確?；顒拥囊?guī)范性、可重復性和可追溯性；

——操作方法(實踐):指實施具體風險管理活動所采用的技術、工具和方法(例如風險識別技術、

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdf

風險分析方法、風險評估標準、風險應對策略等)。選擇恰當、有效的操作方法是確保風險管理活動質量

和效果的關鍵。

(c)風險管理過程核心活動；

——風險管理過程包括溝通、協(xié)商、明確環(huán)境以及識別、分析、評價、應對、監(jiān)視與評審風險等一系

列主要活動。這些活動相互關聯(lián)，共同構成風險管理過程的完整鏈條：

·溝通和協(xié)商：貫穿全過程的關鍵活動。溝通確保風險相關信息(如風險本身、其成因、后果、應

對措施、職責分配等)在組織內部及與外部相關方之間及時、有效地傳遞和共享。協(xié)商是在溝通的基礎上，

與內外部相關方進行互動，就風險管理相關事宜(如風險準則、風險接受度、應對策略等)尋求共識、協(xié)

調立場、獲取支持。該活動對于理解和考慮人的行為及文化因素至關重要。

·建立環(huán)境：明確風險管理過程所應用范圍的內外部環(huán)境(包括組織的目標、戰(zhàn)略、文化、相關方

及其期望、法規(guī)要求、運營環(huán)境等),為后續(xù)的風險識別、分析和評價設定邊界和基礎準則(如風險準則);

·風險評估：一個包含三個步驟的整合活動：

風險識別：系統(tǒng)查找、描述并記錄可能影響組織目標實現(xiàn)的風險源、風險事件、風險原因及

其潛在后果；

風險分析：深入理解已識別風險的性質，評估其發(fā)生的可能性(概率)和可能導致的后果(影

響),為風險評價提供輸入；

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdfGB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）

明確范圍、環(huán)境、準則

(6.3)

風險評估

風險識別

(6.4)溝通和協(xié)商

(6.2)

可能性風險分析后果

監(jiān)視和評審

(6.6)

風險評價

記錄和報告

(6.7)

選擇風險應對方案

風險

對I

(應6．5)編制和實施風險應對計劃

在所有過程中

實施這些活動

剩余風險和行生風險處置

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdf

風險管理各個過程之間的關系說明：

——溝通和協(xié)商(6.2):作為風險管理的基礎性、持續(xù)性活動，貫穿于風險管理全生命周期的各個階

段(6.3至6.7)。它促進與內外部相關方的雙向信息交換和共識建立，為所有其他過程(尤其是范圍/環(huán)

境/準則確立、風險評估、風險應對決策、監(jiān)視評審以及記錄報告)提供必要的信息輸入、反饋渠道和決策

支持，確保風險管理的相關性與可接受性；

——明確范圍、環(huán)境、準則(6.3):此過程是風險管理的初始和定義階段。它確立風險管理的政策、

目標、范圍邊界、內外部環(huán)境以及評價風險的準則。這為后續(xù)所有過程(特別是風險評估(6.4)和風險應

對(6.5))提供了根本性的框架、評價基準和決策依據(jù)，其清晰度和適當性直接影響整個風險管理活動的

方向與效能；

——風險評估(6.4):這是風險管理流程的核心分析階段，包含風險識別、風險分析(評估可能性和

后果)和風險評價(對照準則確定風險等級和優(yōu)先級)。風險評估依據(jù)6.3確立的范圍、環(huán)境和準則進行，

其產生的風險概況、優(yōu)先級排序和決策需求是啟動和制定風險應對(6.5)方案的直接依據(jù)。風險評估過程

本身也可能觸發(fā)進一步的溝通與協(xié)商(6.2),以澄清信息或獲取輸入；

22GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）

——風險應對(6.5):此過程基于風險評估(6.4)的輸出(特別是風險優(yōu)先級和決策需求)展開。

其核心是選擇和實施處理風險(如規(guī)避、降低、轉移、接受等)的具體方案，并編制相應的應對計劃。該

過程必須考慮并處理剩余風險(實施應對后仍存在的風險)和潛在的衍生風險(應對措施可能引發(fā)的新風

險)。風險應對方案的選擇與實施效果是監(jiān)視和評審(6.6)的重點對象；

——監(jiān)視和評審(6.6):作為一項持續(xù)性和循環(huán)性的活動，它貫穿于風險管理全過程的實施階段(尤

其是6.4風險評估、6.5風險應對的實施)。其核心作用在于：

·動態(tài)監(jiān)控：跟蹤風險管理活動(包括風險本身、控制措施、環(huán)境變化)的執(zhí)行情況和狀態(tài)；

·系統(tǒng)性評審：定期或根據(jù)需要評估風險管理過程(6.3-6.5)及框架本身的有效性、充分性和適宜

性：

·提供反饋：將監(jiān)控和評審的結果反饋給相關過程(如調整范圍/環(huán)境/準則(6.3)、更新風險評估

(6.4)、優(yōu)化風險應對(6.5)),并驅動溝通協(xié)商(6.2)和記錄報告(6.7)。它是確保風險管理持續(xù)

適應變化和實現(xiàn)改進的關鍵機制。

——記錄和報告(6.7):此過程是風險管理信息管理的基礎，貫穿于所有其他過程(6.2-6.6)。它

系統(tǒng)地捕獲、維護風險管理活動(決策、分析、結果、行動)的證據(jù)和信息，并生成、分發(fā)適當?shù)膱蟾妗?/p>

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdf

記錄為風險管理的可追溯性、可審計性和經驗積累提供支持；報告則向管理層、治理機構及相關方傳達風

險管理狀況、績效和成果，為組織治理、決策和監(jiān)督(包括監(jiān)視評審(6.6))提供關鍵信息輸入，并促進

與相關方的溝通協(xié)商(6.2)。

(e)基于PDCA的風險管理過程循環(huán)；

PDCA階段核心任務對應的風險管理過程(示意圖編號)

-溝通與協(xié)商(6.2):貫穿全程，為策劃提供信息支持；

一明確范圍、環(huán)境、準則(6.3):確立風險管理框架、目標、邊界、評

建立框架與規(guī)劃分

P(策劃)價基準及決策依據(jù)；

析

-風險評估(6.4):完成風險識別→分析(可能性/后果)→評價(優(yōu)先

級判定)。

-風險應對(6.5);

·選擇風險應對方案(規(guī)避/降低/轉移/接受等);

D(實施)執(zhí)行風險應對措施

·編制并實施應對計劃/措施：

·處置剩余風險及衍生風險。

-監(jiān)視和評審(6.6):

監(jiān)控過程有效性及

C(檢查)一動態(tài)跟蹤風險變化、控制措施有效性及環(huán)境變動；

風險狀態(tài)

一系統(tǒng)性評審風險管理過程(6.3-6.5)與框架的適宜性。

A(處置)驅動改進與知識固一監(jiān)視和評審(6.6)輸出反饋；

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdfGB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）

PDCA階段核心任務對應的風險管理過程(示意圖編號)

化·調整框架(6.3)、更新風險評估(6.4)、優(yōu)化應對措施(6.5);

·觸發(fā)新一輪PDCA循環(huán)。

-記錄和報告(6.7)。

·固化經驗證據(jù)，支持審計與決策；

·通過報告推動組織學習與持續(xù)改進。

(3)結構化風險管理過程的核心理念與實施策略；

(a)結構化風險管理過程的目標與原則；

——目標一致性：結構化的風險管理過程旨在確保風險管理與組織的整體目標相一致。風險管理活動

應緊密圍繞組織的戰(zhàn)略目標、業(yè)務目標和運營目標展開，確保風險管理成為推動組織實現(xiàn)其目標的有力工

具；

——不偏不倚的管理方式：在風險管理過程中，應堅持公正、客觀的原則，避免主觀偏見和利益沖突

的影響。這要求風險管理者以事實為依據(jù)，基于數(shù)據(jù)和信息進行決策，確保風險管理的公正性和有效性。

(4)風險管理過程在組織中的應用；

(a)風險管理過程的整合應用；

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdf

——核心原則：風險管理過程必須是組織管理和決策體系中的有機組成部分和持續(xù)活動，而非臨時性

或孤立的任務。為實現(xiàn)這一目標，風險管理應系統(tǒng)性地融入組織的治理架構、戰(zhàn)略規(guī)劃、所有層級的運營

活動(包括項目群與項目)以及核心業(yè)務流程中，確保其與組織的目標、文化和價值創(chuàng)造活動緊密相連；

——目標：通過將風險管理嵌入組織的“肌理”,使其成為日常工作的自然組成部分，從而提升決策

質量、增強韌性、保障目標實現(xiàn)并創(chuàng)造和保護價值。

——作為有機組成部分的理解與應用：風險管理過程本質上是組織整體管理體系不可分割的內在要素，

它貫穿并服務于組織的戰(zhàn)略制定、運營執(zhí)行和績效評估等核心環(huán)節(jié)；

·價值導向：風險管理活動必須始終與組織的價值創(chuàng)造、戰(zhàn)略目標實現(xiàn)和可持續(xù)性相關聯(lián)，聚焦于

對目標實現(xiàn)構成威脅或機遇的不確定性；

·全員參與：風險管理責任不局限于特定部門，而是需要組織中各層級、各職能人員的理解、參與

和協(xié)作，形成“人人有責”的風險意識與文化基礎；

·動態(tài)持續(xù)：風險管理是一個持續(xù)的、適應性的循環(huán)過程(識別、分析、評價、應對、監(jiān)控與評審),

需貫穿組織活動的全生命周期，而非一次性事件。

——與組織治理架構的整合：

·目標：在組織治理框架內明確并落實風險管理的職責、權限與問責機制，確保風險管理的獨立性、

有效性和高層監(jiān)督；

22GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）

·明確治理職責與角色；

董事會(或等效治理機構)承擔風險治理的最終責任，負責監(jiān)督風險管理框架的有效性、設

定風險偏好和風險承受度；

在組織架構中清晰界定風險管理相關的職責、權限和角色。這包括考慮設立專門的風險管理

職能部門(如風險管理委員會、首席風險官CRO)或明確指定風險管理負責人(尤其在中小型組

織中),以確保風險管理工作的專業(yè)性、獨立性和客觀性；

明確業(yè)務部門負責人及一線管理者在其職責范圍內管理風險的首要責任。

·高層管理的承諾、支持與參與：

高層管理(執(zhí)行管理層)必須展現(xiàn)出對風險管理的堅定承諾和領導力，將其視為組織戰(zhàn)略管

理不可或缺的一部分；

高層管理者需積極參與關鍵風險決策，確保風險管理目標、活動與組織的整體戰(zhàn)略目標和運

營重點高度一致，并為風險管理活動提供必要的資源(人、財、物、信息);

培育積極的風險文化：將風險管理理念、原則和實踐深度融入組織文化基因。通過持續(xù)的教

育、培訓、溝通(如內部宣傳、案例分享)和領導層示范，不斷增強全員的風險意識、責任感

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdf

和應對能力，營造鼓勵透明溝通風險信息、主動管理風險、從經驗中學習的文化氛圍。

優(yōu)化組織架構與協(xié)作機制：根據(jù)組織的規(guī)模、復雜性、行業(yè)特性及風險管理成熟度，設計和

調整組織架構，確保風險管理部門/職能與戰(zhàn)略、財務、運營、合規(guī)、內審、人力資源、信息技

術等其他關鍵職能部門之間建立清晰、高效的溝通渠道、協(xié)作流程和信息共享機制(如定期的

風險聯(lián)席會議、跨部門風險評估小組)。

——與組織運營流程的整合：風險管理在組織運營中的嵌入實踐；

·目標：將風險管理活動無縫嵌入核心業(yè)務流程和日常運營管理中，實現(xiàn)對運營風險的主動識別和

有效管控，保障運營的穩(wěn)定性、效率與合規(guī)性；

·風險識別、分析與評價的制度化與持續(xù)化；

將風險識別、分析與評價作為組織所有關鍵運營活動的常規(guī)環(huán)節(jié)和制度性要求，結合定期(如

年度/季度評審)與不定期(如新項目啟動、重大變更、外部環(huán)境劇變時)的方式進行。

確保及時、系統(tǒng)地發(fā)現(xiàn)、評估和記錄可能影響運營目標達成的潛在風險(威脅與機遇)。

·風險管理與業(yè)務運營的深度耦合；

將具體的風險管理措施(如控制活動、應急預案、審批流程)直接整合到相關的日常運營活

動中，例如生產計劃制定與執(zhí)行、供應鏈管理、市場營銷活動、客戶服務、財務管理、研發(fā)創(chuàng)

新等環(huán)節(jié)；

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdfGB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）

確保風險管理活動與業(yè)務運營同步規(guī)劃、同步執(zhí)行、同步監(jiān)控，避免“兩張皮”現(xiàn)象。

·風險信息的有效流動與透明共享；

建立清晰、高效的風險信息報告、傳遞與溝通機制(包括報告路線、頻率、格式、內容和責

任主體);

確保相關、準確、及時的風險信息能夠在組織內部各相關層級和部門間順暢流動和共享，為

各級管理者的運營決策提供充分、可靠的支持。

·風險應對的敏捷性與韌性建設。

建立健全的風險應對預案(包括規(guī)避、降低、轉移、接受等策略的具體實施方案)和快速響

應機制(清晰的觸發(fā)條件、指揮鏈、行動步驟、資源調配方案);

確保在風險事件實際發(fā)生或即將發(fā)生時，能夠迅速、有序、有效地啟動應對措施，最大限度

減少負面影響或抓住機遇。定期演練和更新預案以保持其有效性；

將業(yè)務連續(xù)性管理(BCM)和危機管理作為風險應對的重要組成部分。

——與組織管理決策流程的整合。

·目標：確保風險管理信息和分析成為所有重要管理決策(戰(zhàn)略決策、投資決策、運營決策等)的必

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdf

備輸入和核心考慮因素，提升決策的科學性和穩(wěn)健性。

·流程風險的主動管理：

在組織核心業(yè)務流程(如采購、研發(fā)、生產、銷售、服務交付、財務結算、人力資源管理等)

的設計、優(yōu)化或再造過程中，必須系統(tǒng)性地識別、評估流程本身固有的風險點(如操作風險、

合規(guī)風險、欺詐風險、中斷風險);

針對識別出的關鍵流程風險點，設計和嵌入有效的內部控制措施、關鍵績效指標(KPIs)和

關鍵風險指標(KRIs),以監(jiān)控流程運行狀態(tài)并確保流程的安全性、效率性、合規(guī)性和穩(wěn)定性。

·風險管理活動與業(yè)務流程的深度融合：

將風險管理的關鍵步驟(特別是風險評估和關鍵控制活動)直接嵌入業(yè)務流程的各個關鍵節(jié)

點(例如合同評審點、付款審批點、新客戶準入點、產品發(fā)布關口、項目里程碑評審點);

通過流程優(yōu)化和自動化手段，提高風險管理活動的效率和效果，降低因流程缺陷或人為失誤

導致的運營風險。

·風險管理信息系統(tǒng)的賦能作用：

積極利用信息技術，構建或集成風險管理信息系統(tǒng)(RMIS)、治理、風險與合規(guī)(GRC)平臺

或利用企業(yè)現(xiàn)有系統(tǒng)(如ERP)的風險管理模塊；

22GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）

實現(xiàn)風險數(shù)據(jù)的實時采集、集中存儲、自動化分析(如風險建模、情景分析、預警閾值監(jiān)控)、

可視化展示和定制化報告；

通過信息系統(tǒng)為各級管理者提供及時、準確、全面的風險洞察，顯著提升風險管理決策和應

對的科學性、準確性和時效性。

·決策框架中的風險考慮：

將風險評估結果(包括對目標的影響程度、發(fā)生可能性以及組織當前的應對能力)作為所有

重要決策(如戰(zhàn)略選擇、重大項目審批、重大投資、資源配置、并購、新產品上市等)的強制

性輸入和關鍵評估標準；

在決策過程中明確應用組織的風險偏好和風險承受度作為決策邊界；

在績效評估和責任追究機制中納入風險管理成效的考慮。

——風險管理過程的應用層面：風險管理過程可以應用在戰(zhàn)略、運營、項目群或單個項目層面。

·戰(zhàn)略層面；

風險融入戰(zhàn)略規(guī)劃：風險管理過程應作為戰(zhàn)略規(guī)劃的組成部分，確保在制定長期發(fā)展目標、

市場定位、資源配置等戰(zhàn)略決策時，充分考慮潛在的風險因素；

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdf

風險識別與評估：在戰(zhàn)略層面，需識別可能影響組織長期發(fā)展的外部風險(如政策變化、市

場競爭、技術革新)和內部風險(如組織能力、資源限制、管理缺陷),并對這些風險進行全

面評估；

風險應對策略：基于風險評估結果，制定相應的風險應對策略，如風險規(guī)避、減輕、轉移或

接受，確保戰(zhàn)略目標的可實現(xiàn)性和可持續(xù)性。

·運營層面；

日常風險管理：風險管理過程應融入組織的日常運營活動中，確保對運營過程中的風險進行

持續(xù)監(jiān)控和管理；

流程優(yōu)化與內部控制：通過風險管理，識別運營流程中的薄弱環(huán)節(jié)，優(yōu)化流程設計，加強內

部控制，提高運營效率和風險抵御能力；

應急響應機制：建立運營風險的應急響應機制，確保在風險發(fā)生時能夠迅速、有效地應對，

減少損失。

·項目群層面；

協(xié)同風險管理：對于項目群，風險管理過程應考慮項目之間的相互依賴和關聯(lián)風險，實現(xiàn)項

目群風險的協(xié)同管理；

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdfGB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）

資源優(yōu)化配置：根據(jù)項目群的風險狀況，合理配置資源，確保關鍵項目的順利進行和整體項

目群的成功；

整體風險視圖：建立項目群的整體風險視圖，為管理層提供全面的風險信息，支持決策制定。

·單個項目層面。

項目全生命周期管理：風險管理過程應貫穿項目的全生命周期，從項目啟動、規(guī)劃、執(zhí)行到

收尾，確保項目目標的順利實現(xiàn)；

詳細風險識別與分析：針對單個項目，需進行詳細的風險識別和分析，包括項目范圍、時間、

成本、質量等方面的風險；

定制化風險應對策略：根據(jù)項目的具體特點和風險狀況，制定定制化的風險應對策略，確保

項目的成功實施。

(b)風險管理過程的應用層面；

——核心原則：風險管理過程具有普適性和適應性，能夠并應當系統(tǒng)性地應用于組織不同層級和性質

的活動中，包括但不限于戰(zhàn)略設定與執(zhí)行、核心運營管理、項目群協(xié)調以及單個項目交付。選擇和應用的

具體方法、深度與范圍需與特定層面的目標、復雜性和不確定性水平相適應；

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdf

——目標：通過在各個層面有效應用風險管理，組織能夠更全面地識別不確定性，做出更明智的決策，

提升目標實現(xiàn)的確定性和組織整體的韌性。

——戰(zhàn)略層面：聚焦于影響組織整體長期愿景、使命、目標、可持續(xù)性和價值創(chuàng)造的根本性不確定性。

·風險融入戰(zhàn)略規(guī)劃與決策：

將風險管理過程深度嵌入戰(zhàn)略規(guī)劃周期的核心環(huán)節(jié)(環(huán)境掃描、SWOT分析、目標設定、戰(zhàn)略

選擇、資源配置);

確保在制定和評估重大戰(zhàn)略方向(如市場進入/退出、并購重組、重大投資、技術創(chuàng)新路徑、

長期資源規(guī)劃)時，對相關的重大風險(威脅與機遇)進行系統(tǒng)性識別、評估和考慮，并將其

作為決策的關鍵輸入。

·戰(zhàn)略風險識別與綜合評估；

系統(tǒng)識別可能深刻影響組織長期生存、競爭地位和戰(zhàn)略目標實現(xiàn)的外部風險(如宏觀經濟波

動、地緣政治變化、顛覆性技術革新、行業(yè)監(jiān)管趨勢、重大自然災害、聲譽危機、關鍵生態(tài)系

統(tǒng)變化)和內部風險(如核心能力缺口、重大治理失效、關鍵人才流失、重大運營中斷、文化

沖突、戰(zhàn)略執(zhí)行偏差、財務穩(wěn)健性不足);

>對這些戰(zhàn)略風險進行全面評估，分析其潛在影響程度、發(fā)生可能性、相互關聯(lián)性、演變趨勢

以及對組織風險偏好和承受度的符合度。

22GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）

·制定與執(zhí)行戰(zhàn)略風險應對策略；

基于戰(zhàn)略風險評估結果和組織的風險偏好，制定、選擇并優(yōu)先執(zhí)行相應的風險應對策略(如

規(guī)避、尋求機遇、降低可能性或影響、轉移/分擔、接受);

將選定的風險應對措施整合到戰(zhàn)略計劃、年度業(yè)務計劃和預算中，明確責任主體、時間表和

資源需求，確保戰(zhàn)略目標的穩(wěn)健性和可持續(xù)性。

·監(jiān)控戰(zhàn)略風險環(huán)境與績效。

建立戰(zhàn)略風險儀表盤和關鍵風險指標(KRIs),持續(xù)監(jiān)控戰(zhàn)略風險環(huán)境的變化和應對措施的

執(zhí)行效果；

定期(通常為董事會層級)評審戰(zhàn)略風險狀況及其對組織績效的影響，并根據(jù)需要調整戰(zhàn)略

或風險應對策略。

——運營層面：聚焦于影響組織日常業(yè)務活動、流程效率、合規(guī)性、資產安全和短期目標達成的運營

不確定性；

·嵌入日常運營管理與監(jiān)控；

將風險管理活動(特別是風險識別、評估和關鍵控制)制度化并深度融入日常運營活動、管

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdf

理流程和崗位職責中；

確保對核心業(yè)務流程(如采購、生產、銷售、服務、財務、人力資源、IT運維)中的風險進

行持續(xù)、主動的監(jiān)控和管理。

·流程優(yōu)化、內部控制與效率提升；

通過持續(xù)的風險評估，識別運營流程中的瓶頸、缺陷、漏洞和合規(guī)差距等薄弱環(huán)節(jié)。

針對性地優(yōu)化流程設計，強化內部控制措施(如職責分離、授權審批、實物控制、訪問控制、

對賬復核),在保障運營安全、合規(guī)與資產完整性的同時，提升流程效率和效果。

·建立韌性運營與響應機制；

建立健全的運營風險應急預案、業(yè)務連續(xù)性計劃(BCP)和危機管理機制，涵蓋關鍵業(yè)務中斷

場景(如IT系統(tǒng)故障、供應鏈中斷、安全事故、自然災害、輿情事件);

確保在運營風險事件發(fā)生時或即將發(fā)生時，能夠依據(jù)預案迅速、有序、有效地啟動響應，最

大限度減少損失、恢復運營并抓住可能的改進機會。定期進行演練和預案更新。

·運營風險信息驅動決策：確保運營層面的風險信息(包括事件、損失、控制失效、KRIs)能夠及時、

準確地報告給相關管理層，為日常運營決策和資源調配提供依據(jù)。

——項目群層面：聚焦于管理一組相互關聯(lián)、需要協(xié)同管理以實現(xiàn)整體戰(zhàn)略收益的項目所面臨的復雜

性和不確定性：

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdfGB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）

·協(xié)同風險管理與風險聚合；

識別并管理項目群內各項目之間、項目與項目群整體目標之間的相互依賴關系、接口風險和

協(xié)同效應風險(如資源沖突、技術路線沖突、進度依賴風險);

特別關注風險的聚合效應(即單個項目風險在項目群層面可能被放大或產生新的風險)以及

關鍵共性風險(如供應商風險、技術平臺風險、關鍵資源風險)。

·基于風險的資源優(yōu)化與優(yōu)先級排序：

根據(jù)項目群的整體風險評估結果(包括風險暴露程度和風險應對能力),動態(tài)調整和優(yōu)化項

目群內的資源(資金、人力、設備)配置；

對構成項目群的項目進行風險影響評估，據(jù)此確定項目優(yōu)先級，確保高風險或關鍵路徑上的

項目獲得充分支持，保障整體項目群戰(zhàn)略收益的達成。

·建立與維護整體風險視圖；

整合項目群內各項目的風險信息，建立并維護一個集中的、動態(tài)更新的項目群整體風險登記

冊和風險視圖；

向項目群治理機構(如項目群指導委員會)和管理層提供清晰、全面的項目群風險狀況報告

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdf

(包括關鍵風險、應對狀態(tài)、KRIs),支持項目群層面的決策(如范圍變更、預算調整、項目

啟動/終止)。

·治理監(jiān)督與經驗共享。

在項目群治理框架內明確風險管理的監(jiān)督職責；

建立跨項目的風險管理經驗教訓共享機制，促進最佳實踐的推廣和共性風險的協(xié)同應對。

——單個項目層面：聚焦于管理特定項目在限定時間、成本、范圍和質量要求下達成其具體目標所面

臨的不確定性。

·貫穿項目全生命周期的風險管理；

將風險管理過程作為項目管理核心知識領域之一，系統(tǒng)性地應用于項目的整個生命周期(啟

動、規(guī)劃、執(zhí)行、監(jiān)控與控制、收尾)。風險管理活動應隨著項目進展而迭代更新；

確保風險管理計劃在項目啟動階段制定，并在項目關鍵里程碑進行評審和更新。

·詳細的風險識別與情境分析；

針對項目的獨特性(范圍、技術復雜性、環(huán)境、干系人、資源約束等),進行深入、具體的

風險識別工作坊或分析；

詳細識別和分析可能影響項目目標(范圍、進度、成本、質量、資源、安全、合規(guī)、收益實

現(xiàn))的風險因素，包括技術風險、管理風險、外部風險、組織風險等；

22GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）

對關鍵風險進行定性分析(概率與影響評估)和定量分析(如模擬分析),并確定風險優(yōu)先

級。

·制定與執(zhí)行定制化風險應對計劃；

根據(jù)項目的具體風險狀況、優(yōu)先級和可用資源，為關鍵風險制定針對性強、切實可行的應對

策略和具體行動方案(風險應對計劃);

將風險應對措施明確納入項目計劃(如進度計劃、成本預算、資源計劃、采購計劃),分配

責任人，并跟蹤其執(zhí)行效果。

●動態(tài)監(jiān)控與溝通。

在項目執(zhí)行過程中，持續(xù)監(jiān)控已識別風險的狀態(tài)、觸發(fā)條件和新出現(xiàn)的風險。

定期(如在項目狀態(tài)會議中)報告風險狀況、應對措施進展及有效性，確保項目團隊和有關

相關方(尤其是項目經理和項目發(fā)起人)對風險有清晰的認知。

(c)風險管理過程的定制化應用：風險管理過程在組織中的應用可以是多方面的，可根據(jù)組織目標定制，

并與其所處的內外部環(huán)境相適應；

——核心原則：風險管理過程的應用并非千篇一律，其具體范圍、重點、方法和深度必須根據(jù)組織的

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdf

特定目標、獨特的內外部環(huán)境、風險偏好與風險承受度進行定制化設計和實施。這種定制化是確保風險管

理相關、有效、高效并為組織創(chuàng)造和保護價值的關鍵；

——目標：通過定制化的風險管理過程，組織能夠精準聚焦于對其目標實現(xiàn)構成最大不確定性(威脅

與機遇)的關鍵領域，優(yōu)化資源配置，提升決策質量，增強組織韌性，并確保持續(xù)適應不斷變化的格局。

——以組織目標為導向定制風險管理過程：組織目標是風險管理活動的終極指向和評價基準。組織應

清晰定義并溝通其愿景、使命、戰(zhàn)略目標(長期)、戰(zhàn)術目標(中期)和運營目標(短期),以及實現(xiàn)這

些目標所依賴的關鍵成功因素(CSFs)。

·戰(zhàn)略目標(長期):風險管理需前瞻性地識別和評估可能深刻影響組織長期生存能力、競爭優(yōu)勢、

市場地位和價值創(chuàng)造的重大不確定性(如顛覆性技術、重大監(jiān)管變革、戰(zhàn)略聯(lián)盟風險、聲譽危機)。風險

管理活動應支撐戰(zhàn)略選擇、資源配置和重大投資決策的穩(wěn)健性；

·戰(zhàn)術與運營目標(中短期):風險管理需聚焦于保障當前及近期業(yè)務運營的穩(wěn)定性、效率、合規(guī)性

和目標達成，及時識別和應對可能阻礙目標實現(xiàn)的運營障礙和不確定性(如供應鏈中斷、關鍵人才流失、

IT系統(tǒng)故障、財務流動性風險、合規(guī)違規(guī));

·關鍵成功因素(CSFs):風險管理應對組織實現(xiàn)目標最為關鍵的少數(shù)因素(如核心技術、關鍵客戶

關系、品牌聲譽、核心人才、特定許可證、資金鏈)相關的風險給予最高優(yōu)先級和資源投入，確保這些因

素免受重大威脅或能抓住相關機遇；

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdfGB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）

·風險偏好與風險承受度。

組織需明確其在不同目標領域的風險偏好(愿意承擔何種風險以追求目標)和風險承受度(能

夠承擔的最大損失或偏離)。這些聲明是指導風險管理活動定制(如風險應對策略選擇、資源

分配)的核心邊界條件；

通過緊密錨定組織目標及其關鍵成功因素，并應用風險偏好/承受度，風險管理過程才能被精

準定制，確保其活動與組織的價值創(chuàng)造路徑和優(yōu)先級高度一致，避免資源浪費或偏離核心關切。

——適應內外部環(huán)境以定制風險管理：組織所處的內外部環(huán)境是不斷變化的，這些變化可能帶來新的

風險或改變現(xiàn)有風險的重要性。因此，組織需要定期評估其所處的內外部環(huán)境，以識別潛在的風險和機遇。

·內部環(huán)境評估：包括組織的價值觀、文化、組織資源、能力和績效等有關的因素的評估，幫助組

織了解自身優(yōu)勢和劣勢；

·外部環(huán)境評估：包括國際、國內、地區(qū)或當?shù)氐母鞣N法律法規(guī)、技術、競爭、市場、文化、社會

和經濟環(huán)境的因素等方面的評估，幫助組織了解外部機遇和威脅。

·評估結果將為風險管理過程提供重要的輸入信息，幫助組織定制更加符合實際情況和需求的風險

管理過程。通過適應內外部環(huán)境的變化，組織可以確保風險管理活動的有效性和適應性。

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdf

——定制風險管理過程以確保實用性和有效性：根據(jù)組織目標和內外部環(huán)境評估結果，組織可以定制

適合自己的風險管理過程。定制的風險管理過程應符合組織的實際情況和需求，確保其實用性和有效性。

·實用性：風險管理過程應易于理解和實施，與組織的日常運營活動緊密結合。

·有效性：風險管理過程應能夠準確識別、評估和應對組織面臨的風險，確保組織目標的實現(xiàn)。

·通過定制風險管理過程，組織可以建立更加完善的風險管理體系，提高風險管理的效率和效果。

同時，組織還應持續(xù)關注內外部環(huán)境的變化，及時調整風險管理過程，以確保其始終與組織發(fā)展保持一致。

(d)適應內外部環(huán)境以定制風險管理過程；

組織所處的內外部環(huán)境是其風險輪廓的主要塑造者，且處于持續(xù)動態(tài)變化之中。組織必須建立系統(tǒng)性

的環(huán)境掃描與評估機制，定期(至少每年)或在發(fā)生重大內外部事件/變化時，對其環(huán)境進行全面審視，識

別由此產生的新風險、機遇以及現(xiàn)有風險重要性的變化：

——內部環(huán)境深度評估：評估旨在明確組織的內在優(yōu)勢、劣勢及風險管理的起點和能力限制)。深入

分析影響風險管理的內部因素，包括但不限于：

·治理架構、組織文化(特別是風險文化成熟度)、價值觀與道德準則：

·資源稟賦(人力、財務、技術、信息、知識產權);

·核心能力與核心競爭力；

·內部相關方(員工、管理層、所有者)的期望與關切；

22GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）

·信息系統(tǒng)能力與數(shù)據(jù)質量；

·歷史績效、過往風險事件及經驗教訓：

·現(xiàn)有流程、政策、內部控制體系的有效性。

——外部環(huán)境廣度掃描；

·廣泛監(jiān)測和評估組織外部可能帶來風險或機遇的因素，涵蓋：

宏觀環(huán)境：政治與政策法規(guī)、宏觀經濟與金融趨勢、社會文化變遷、人口結構變化、技術進

步、自然環(huán)境與氣候變化、ESG(環(huán)境、社會、治理)因素；

行業(yè)與市場環(huán)境：行業(yè)發(fā)展趨勢、競爭格局、供應商/合作伙伴生態(tài)系統(tǒng)、客戶需求與行為變

化、市場價格波動；

相關方環(huán)境：監(jiān)管機構要求、股東期望、債權人關系、社區(qū)關系、媒體與公眾輿論。

·評估旨在識別外部機遇(0)與威脅(T),理解行業(yè)最佳實踐和監(jiān)管要求。環(huán)境評估結果(SWOT

分析的重要輸入)是定制風險管理過程的關鍵基礎信息源。通過深刻理解環(huán)境及其動態(tài)變化，組織能夠確

保其定制的風險管理過程具有高度的情境相關性和前瞻適應性，能夠有效應對現(xiàn)實的復雜性。

(5)融入人的行為與動態(tài)文化：在整個風險管理過程中，需要考慮人的行為因素和文化因素的動態(tài)性

GB∕T24353-2022《風險管理指南》之5：“6風險管理過程-6.1總則”專業(yè)深度解讀和實踐應用培訓指導材料（2025C1升級版）.pdf

和多變性。

(a)核心原則：相關方風險管理絕非純粹的技術或流程活動，其核心在于人及其所處的文化環(huán)境。相關

方組織必須深刻認識到人的行為模式、認知偏差、動機以及組織文化、亞文化和更廣泛的社會文化背景，

都具有固有的動態(tài)性、復雜性和多變性。這些因素會顯著影響風險如何被識別、感知、評估、應對、溝通

和監(jiān)督的有效性。忽視或低估這些“軟性”因素，是風險管理失效的常見根源；

(b)目標：相關方通過系統(tǒng)地理解、融入和引導人的行為與文化因素，組織能夠提升風險感知的準確性、

增強風險應對措施的接受度和執(zhí)行力、營造開放透明的風險溝通氛圍，并最終構建更具韌性和適應性的風

險管理能力。

(c)建立與深化風險管理文化；

——高層示范與基調設定：組織高層領導應率先垂范，通過言行一致地強調風險管理的重要性，設定

清晰的風險管理基調和期望；

——培育全員風險意識：通過持續(xù)性的培訓、教育、案例分享等方式，提高全體員工對風險的認識、

敏感度和責任感，使風險管理成為每個人的職責；