2.2 组织中的风险管理

作为其治理监督工作的一部分，组织的治理机构最终负责制定、确认和实施风险偏好和风险管理原则。组织的治理机构还决定哪些风险管理过程在组织战略、范围、环境和内容方面是适当的。

由于成功实现组织战略目标与采用有效的风险管理过程之间存在直接关系，企业风险职能部门通常设于行政管理组织之中。

组织在评估风险或风险组合的严重性时会考虑不确定性以及对工作或目标的影响。不确定性维度通常被描述为查率，而作用通常被称为影响。

根据定义，风险包括：（a）不确定但可以清楚描述的不同事件；（b）不具体但可能导致不确定性的更一般的条件。

根据定义，风险还包括可能对目标产生消极或积极影响的不确定事件。当这两种不确定的情况可能对目标的实现产生消极或积极的影响时，它们都会被视为风险。必须在企业、项目组合、项目集和项目风险管理过程中应对这两种情况。同时应对威胁和机会（在相同的分析中应对威胁和机会，并在二者重叠时对应对措施进行协调），可以实现协同增效。

区分风险与风险相关的特征非常重要。原因是当前存在或未来一定存在可能带来风险的事件或情况。影响是在一定条件下发生的未来事件或情况；如果相关风险发生，这些事件或情况会直接影响一个或多个目标。

风险可能有一个或多个原因；如果风险发生，则可能产生一个或多个影响。当发生风险事件时，风险就不再是不确定的。发生的威胁被称为问题，而发生的机会则对企业有利。项目组合、项目集和项目管理者有责任解决这些问题，并高效且富有成效地管理这些问题。对于问题，可能需要采取项目组合、项目集和项目风险管理流程范围之外的行动；因此，这些问题将根据组织的治理政策上报至更高的管理层级。 5mmAtPIaB6WNzQg7eHR4TE2g6zcfwnwhooQkStVeH5uoM6jLR4fQn2e62FYJXO1P