1、标准本身并不要求形成文件化的风险管理程序,如果基于管理的需要形成文件时,可从程序文件的基本要素及风险管理的过程特点进行参考编写。
2、一般的过程程序类文件可包括:目的、范围、涉及到的职责权限、相关需要统一的术语定义、基本的管理流程、相应的工作标准、监督检查要求、改进方法、记录证据、异常管理等。可根据使用单位的员工能力、组织规模、产品服务的复杂程序等有所取舍。
3、具体的管理程序可参考正式的风险管理方法,如ISO31000系列标准。如可包括风险和机遇的识别、定性或定量分析、风险优先级确认、应对措施的制定、预案或应急的培训实施、措施有效性的评审、更新等流程。也可结合组织的具体特点采用成熟的方法工具,如FMEA、FMECA、HACCP、SWIFT、头脑风暴等工具;
4、程序中宜考虑与其他管理环节的衔接,以提高管理的有效性。如:风险和机遇来源于组织内外部环境的变化、相关方需求和期望及要求的变化,使用基于风险的思维帮助组织建立起主动积极的企业文化等。应将风险和机遇与组织的各层级管理实务结合起来,通过4.4过程方法、8.1运行的策划和控制、8.5.1变更、6.3变更的控制等有效运行。