16：2007版M_o_R包含哪些主要内容？

2007版M_o_R框架如图7-1所示：
 

资料来源：中国IT治理研究中心（ITGov），网址：www.itgov.org.cn

M_o_R原则：对公司治理需求中的12个通用原则进行了调整。这些准则从本质上是不断演化的，不能够同时实施。例如某些原则必须在其他原则建立之前就需要完成，有些原则是基础性原则，有些原则是后续性原则。这些原则包括：

♦组织环境；

♦股东参与；

♦ 组织目标；

♦ M_o_R方法；

♦报告；

♦ 角色与责任；

♦支持结构；

♦ 预警指标；

♦评审周期；

♦克服M_o_R的障碍；

♦持续改进。
下图7-2描述了这些原则实现的先后顺序。

          
            资料来源：中国IT治理研究中心（ITGov），网址：ww.itgov.org.cn

M_o_R方法：描述风险管理文档并解释了关键风险概念。上述原则实施的方式随着组织不同而有所变化。总体上，这些原则提供了风险管理实践基础，该实践也描述了风险管理如何在整个组织内实施。

M_o_R过程：与修改的HM财政橘皮书相一致。主要包括四个环节：识别、评估、计划与实施。这些步骤是循环的，在组织的生命周期中可能进行多次。对于每个过程步骤而言，包括如下内容，如图7-3所示
 
 料来源：中国IT治理研究中心（ITGov），网址：www.itgov.org.cn

其中，过程目标是指该过程的主要成果；过程输入是指过程将要处理的信息；过程输出是指过程产生的信息；过程障碍是指该过程完成的限制条件；过程技术是指用于支持风险过程完成的风险管理技术；过程任务是指完成从输入到输出所要执行的行动。


 M_o_R内化与评审：处理风险管理内化并进行评审。主要包括如下内容：


 衡量收益；


 关键成功因素；


 高层管理的承诺与支持；


 识别并建立变更的机会；


 绕风险管理修正行为；


 角色与责任。


 风险管理策略：描述了风险管理如何在整个组织中实现。


 风险管理过程指南：描述了需要针对哪些步骤及其相关活动实施风险管理。


 风险管理计划：针对特定组织行为，描述了将要对其实施的专门的风险管理活动。