ISO31000-2009風(fēng)險(xiǎn)管理系統(tǒng)原則與實(shí)施指南設(shè)計(jì)

1、實(shí)用標(biāo)準(zhǔn)IS031000-2009風(fēng)險(xiǎn)管理原則與實(shí)施指南引 言所有類型和規(guī)模的組織都面臨內(nèi)部和外部的、使組織不能確定是否及何時(shí)實(shí)現(xiàn)其目標(biāo)的因素和影響。這種不確定性所具有的對(duì)組織目標(biāo)的影響就是“風(fēng)險(xiǎn)”。組織的所有活動(dòng)都涉及風(fēng)險(xiǎn)。組織通過(guò)識(shí)別、分析和評(píng)定是否運(yùn)用風(fēng)險(xiǎn)處理修正風(fēng)險(xiǎn)以滿足它們的風(fēng)險(xiǎn)準(zhǔn)則，來(lái)管理風(fēng)險(xiǎn)。通過(guò)這個(gè)過(guò)程，它們與利益相關(guān)方進(jìn)行溝通和協(xié)商，監(jiān)測(cè)和評(píng)審風(fēng)險(xiǎn),以及為確保不再進(jìn)一步需求風(fēng)險(xiǎn)處理而修正風(fēng)險(xiǎn)的控制措施。本國(guó)際標(biāo)準(zhǔn)詳細(xì)描述了這一系統(tǒng)的和邏輯的過(guò)程。盡管所有的組織在某種程度上都在管理風(fēng)險(xiǎn)，本國(guó)際標(biāo)準(zhǔn)建立了一些為使風(fēng)險(xiǎn)管理變得有效而需要滿足的原則。本國(guó)際標(biāo)準(zhǔn)建議，組織制定、實(shí)施和持

2、續(xù)改進(jìn)一個(gè)框架，其目的是將風(fēng)險(xiǎn)管理過(guò) 程整合到組織的整體治理、戰(zhàn)略和規(guī)劃、管理、報(bào)告過(guò)程、方針、價(jià)值觀和文化中。風(fēng)險(xiǎn)管理可以在組織多個(gè)領(lǐng)域和層次、任何時(shí)間，應(yīng)用到整個(gè)組織，以及具體職能、項(xiàng)目和活 動(dòng)。盡管在過(guò)去一段時(shí)間在許多行業(yè)，為滿足不同的需要，已經(jīng)開(kāi)展了風(fēng)險(xiǎn)管理實(shí)踐，但在一個(gè)綜 合框架內(nèi)采用一致性過(guò)程有助于確保在組織內(nèi)有效、有效率和結(jié)合性地管理風(fēng)險(xiǎn)。本國(guó)際標(biāo)準(zhǔn)中所 描述的通用方法提供了在任何范圍和狀況下，以系統(tǒng)、清晰、可靠的方式管理風(fēng)險(xiǎn)的原則和指南。每一個(gè)具體行業(yè)或風(fēng)險(xiǎn)管理的應(yīng)用都產(chǎn)生了各自的需求、受眾、觀念和準(zhǔn)則。因此，本國(guó)際標(biāo) 準(zhǔn)的主要特點(diǎn)是將所包含“確定狀況”作為通用風(fēng)險(xiǎn)管理過(guò)程開(kāi)始

3、的活動(dòng)。確定狀況將捕獲組織的 目標(biāo)，組織所追求目標(biāo)的環(huán)境，組織的利益相關(guān)方和風(fēng)險(xiǎn)準(zhǔn)則的多樣性，所有這些都將幫助揭示和 評(píng)價(jià)風(fēng)險(xiǎn)的性質(zhì)和復(fù)雜性。本國(guó)際標(biāo)準(zhǔn)描述的風(fēng)險(xiǎn)管理原則、框架和風(fēng)險(xiǎn)管理過(guò)程之間的關(guān)系，如圖1所示。當(dāng)依據(jù)本國(guó)際標(biāo)準(zhǔn)實(shí)施和保持風(fēng)險(xiǎn)管理時(shí)，能夠使組織，例如：文檔實(shí)用標(biāo)準(zhǔn)文檔 提高實(shí)現(xiàn)目標(biāo)的可能性；鼓勵(lì)主動(dòng)性管理；在整個(gè)組織意識(shí)到識(shí)別和處理風(fēng)險(xiǎn)的需求；改進(jìn)機(jī)會(huì)和威脅的識(shí)別能力； 符合相關(guān)法律法規(guī)要求和國(guó)際規(guī)范； 改進(jìn)強(qiáng)制性和自愿性報(bào)告；改善治理； 提高利益相關(guān)方的信心和信任；為決策和規(guī)劃建立可靠的根基；加強(qiáng)控制； 有效地分配和利用風(fēng)險(xiǎn)處理的資源；提高運(yùn)營(yíng)的效果和效率；增強(qiáng)健康安全績(jī)效

4、，以及環(huán)境保護(hù)；改善損失預(yù)防和事件管理；減少損失；提高組織的學(xué)習(xí)能力提高組織的應(yīng)變能力本國(guó)際標(biāo)準(zhǔn)旨在滿足眾多利益相關(guān)方的需求，包括：a） 負(fù)責(zé)制定組織風(fēng)險(xiǎn)管理方針的人員 ；b）負(fù)責(zé)確保在組織整體、或者某一特定區(qū)域、項(xiàng)目或者活動(dòng)內(nèi)有效開(kāi)展風(fēng)險(xiǎn)管理的人員c）需要評(píng)定組織風(fēng)險(xiǎn)管理有效性的人員；d ）整體或部分地實(shí)施風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)、指南、程序和操作規(guī)范的開(kāi)發(fā)者。許多組織針對(duì)特定類型的風(fēng)險(xiǎn)或環(huán)境目前許多組織的管理實(shí)踐和過(guò)程包含了風(fēng)險(xiǎn)管理的要素，下已經(jīng)采用了正式的風(fēng)險(xiǎn)管理過(guò)程。在這種情況下，組織可以決定對(duì)照本國(guó)際標(biāo)準(zhǔn)對(duì)其現(xiàn)有的實(shí)踐和過(guò)程開(kāi)展嚴(yán)格的評(píng)審。在本國(guó)際標(biāo)準(zhǔn)中，風(fēng)險(xiǎn)管理(risk managemen

5、t )”和“管理風(fēng)險(xiǎn)(managing risk )”都在 使用。在通常的術(shù)語(yǔ)意義上，風(fēng)險(xiǎn)管理(risk management )”涉及的有效管理風(fēng)險(xiǎn)的構(gòu)架 (原則, 框架和過(guò)程)，而管理風(fēng)險(xiǎn)(managing risk )”指的是運(yùn)用該架構(gòu)管理特定風(fēng)險(xiǎn)。明確狀況風(fēng)險(xiǎn)評(píng)價(jià) 風(fēng)險(xiǎn)識(shí)別溝通和協(xié)商風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)處理過(guò)程監(jiān)測(cè)和評(píng)審監(jiān)控和評(píng)審風(fēng)險(xiǎn)管理-原則和指南1范圍本國(guó)際標(biāo)準(zhǔn)提供了風(fēng)險(xiǎn)管理的原則和通用性指南。本國(guó)際標(biāo)準(zhǔn)可用于任何公共、私有或公有企業(yè)、協(xié)會(huì)，團(tuán)體或個(gè)體。因此，本國(guó)際標(biāo)準(zhǔn)不針對(duì)任何特定行業(yè)或部門。注：為方便起見(jiàn)，本國(guó)際標(biāo)準(zhǔn)涉及的所有不同的用戶以通用術(shù)語(yǔ)“組織”稱謂。本國(guó)際標(biāo)準(zhǔn)可用于整個(gè)組織的

6、生命周期及廣泛的活動(dòng)，包括戰(zhàn)略和決策、運(yùn)營(yíng)、過(guò)程、職能、項(xiàng)目產(chǎn)品、服務(wù)和資產(chǎn)。本國(guó)際標(biāo)準(zhǔn)可以應(yīng)用于任何類型的風(fēng)險(xiǎn)，無(wú)論其性質(zhì)及是否有積極或消極的后果。盡管本國(guó)際標(biāo)準(zhǔn)提供了風(fēng)險(xiǎn)管理的通用性指南，但不意針對(duì)組織促進(jìn)風(fēng)險(xiǎn)管理的統(tǒng)一性。風(fēng)險(xiǎn)管理計(jì)劃和框架的設(shè)計(jì)和實(shí)施需要考慮到特定組織的不同需求、特定目標(biāo)，狀況、結(jié)構(gòu)、運(yùn)營(yíng)、過(guò) 程、職能、項(xiàng)目、產(chǎn)品、服務(wù)、或資產(chǎn)以及展開(kāi)的具體實(shí)踐。意在運(yùn)用本國(guó)際標(biāo)準(zhǔn)來(lái)協(xié)調(diào)現(xiàn)有和將來(lái)標(biāo)準(zhǔn)的風(fēng)險(xiǎn)管理過(guò)程。本標(biāo)準(zhǔn)提供了一個(gè)支持其他標(biāo)準(zhǔn)處理特定風(fēng)險(xiǎn)和行業(yè)風(fēng)險(xiǎn)的通用方法，而不是取代這些標(biāo)準(zhǔn)。本國(guó)際標(biāo)準(zhǔn)不意針對(duì)認(rèn)證意圖。2術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用本標(biāo)準(zhǔn)。2.1 風(fēng)險(xiǎn) risk不

7、確定性對(duì)目標(biāo)的影響注1 ：影響是與期待的偏差 積極和 /或消極注2 :目標(biāo)可以有不同方面（如財(cái)務(wù)、健康安全、以及環(huán)境目標(biāo)），可以體現(xiàn)在不同的層次（如戰(zhàn)略、組織范圍、項(xiàng)目、產(chǎn)品和過(guò)程）。注3 :風(fēng)險(xiǎn)通常以潛在事件（2.19 ）和后果（2.20 ），或它們的組合來(lái)描述。注4 :風(fēng)險(xiǎn)通常以事件（包括環(huán)境的變化）后果和發(fā)生可能性（2.21 ）的組合來(lái)表達(dá)。注5 :不確定性是指，與事件和其后果或可能性的理解或知識(shí)相關(guān)的信息的缺陷的狀態(tài)，或不完整。ISO 導(dǎo)則 73:2009,定義 1.122 風(fēng)險(xiǎn)管理 risk management針對(duì)風(fēng)險(xiǎn)指揮和控制組織的協(xié)調(diào)活動(dòng)。ISO 導(dǎo)則 73:2009, 定義

8、2.12.3 風(fēng)險(xiǎn)管理框架 risk management framework提供在組織內(nèi)設(shè)計(jì)、實(shí)施、監(jiān)測(cè)（2.28 ）、評(píng)審和持續(xù)改進(jìn)風(fēng)險(xiǎn)管理（2.2 ）的基本原則和組織安排的要素集合。注1 ：基本原則包括管理風(fēng)險(xiǎn)的方針、目標(biāo)、指令和承諾。注2 :組織安排包括計(jì)劃、關(guān)系、責(zé)任、資源、過(guò)程和活動(dòng)。注3 :風(fēng)險(xiǎn)管理框架被嵌入到組織的整個(gè)戰(zhàn)略和運(yùn)營(yíng)的方針和實(shí)踐中ISO 導(dǎo)則 73:2009, 定義 2.1.12.4 風(fēng)險(xiǎn)管理方針risk management policy一個(gè)組織對(duì)風(fēng)險(xiǎn)管理的意圖和方向的陳述。ISO 導(dǎo)則 73:2009,定義 2.1.22.5 風(fēng)險(xiǎn)態(tài)度 risk attitude

9、組織評(píng)價(jià)、最終追蹤、保留、消除或規(guī)避風(fēng)險(xiǎn)的方法。ISO 導(dǎo)則 73:2009,定義 3.7.1.12.6 風(fēng)險(xiǎn)管理計(jì)劃risk management plan在風(fēng)險(xiǎn)管理框架內(nèi)規(guī)定用于風(fēng)險(xiǎn)管理的方法、管理要素、資源的方案。注1 ：管理要素一般包括程序、慣例、職責(zé)分配、活動(dòng)順序和時(shí)間安排。注2 :風(fēng)險(xiǎn)管理計(jì)劃可應(yīng)用于特定的產(chǎn)品、過(guò)程和項(xiàng)目、組織的部分或整體。ISO 導(dǎo)則 73:2009,定義 2.1.32.7風(fēng)險(xiǎn)所有者 risk own er具有風(fēng)險(xiǎn)管理權(quán)限和責(zé)任的個(gè)人或?qū)嶓w。ISO 導(dǎo)則 73:2009,定義 3.5.1.42.8 風(fēng)險(xiǎn)管理過(guò)程risk management process管理方

10、針、程序和慣例對(duì)溝通、協(xié)商、確定狀況、以及識(shí)別、分析、評(píng)價(jià)、處理、監(jiān)測(cè)和評(píng)審 風(fēng)險(xiǎn)活動(dòng)的系統(tǒng)應(yīng)用。ISO 導(dǎo)則 73:2009,定義 3.12.9 確定狀況 establish ing the con text界定外部和內(nèi)部參數(shù)，以便在管理風(fēng)險(xiǎn)和設(shè)置風(fēng)險(xiǎn)管理方針的范圍及風(fēng)險(xiǎn)準(zhǔn)則時(shí)，予以考慮。ISO 導(dǎo)則 73:2009,定義 3.3.12.10 外部狀況 external context組織尋求實(shí)現(xiàn)其目標(biāo)的外部環(huán)境。注：外部環(huán)境可包括： 文化、社會(huì)、政治、法律法規(guī)、財(cái)政金融、技術(shù)、經(jīng)濟(jì)、自然和競(jìng)爭(zhēng)環(huán)境，無(wú)論國(guó)際、國(guó)家、區(qū)域或地方 對(duì)組織目標(biāo)具有影響的主要驅(qū)動(dòng)和趨勢(shì)。與外部利益相關(guān)方的關(guān)系和其感

11、受和價(jià)值觀。ISO 導(dǎo)則 73:2009,定義 3.3.1.12.11 內(nèi)部狀況 in ternal con text組織尋求實(shí)現(xiàn)其目標(biāo)的外部環(huán)境。注：內(nèi)部狀況可包括： 治理、組織結(jié)構(gòu)、作用和責(zé)任；方針、目標(biāo)、以及實(shí)現(xiàn)它們的戰(zhàn)略； 以資源和知識(shí)來(lái)理解的能力（如資本、時(shí)間、人員、過(guò)程、系統(tǒng)和技術(shù)）；信息系統(tǒng)、信息流和決策過(guò)程（正式和非正式的）； 與內(nèi)部利益相關(guān)方的關(guān)系、以及他們的感受和價(jià)值觀；組織的文化； 標(biāo)準(zhǔn)、指南和組織采用的模式；合同關(guān)系的形式和范圍ISO 導(dǎo)則 73:2009,定義 3.3.1.22.12 溝通和協(xié)商 commu ni cation and con sultati on組織

12、針對(duì)風(fēng)險(xiǎn)管理，提供、共享或獲取信息，與利益相關(guān)方進(jìn)行對(duì)話的持續(xù)和反復(fù)的過(guò)程。注1 ：信息涉及風(fēng)險(xiǎn)管理的存在、性質(zhì)、形式、可能性、嚴(yán)重程度、評(píng)定、可接受性、處理。注2 :協(xié)商是組織與它的利益相關(guān)方，在做岀決策或確定某一問(wèn)題的方向前，針對(duì)問(wèn)題雙向有事實(shí)依據(jù)的溝通 的過(guò)程。協(xié)商是：通過(guò)影響力而非權(quán)力對(duì)決策施加影響；作為決策的輸入，而非加入決策。ISO 導(dǎo)則 73:2009,定義 3.2.12.13 利益相關(guān)方 stakeholder可以影響、被影響、或者覺(jué)得自己會(huì)被決策或活動(dòng)影響的個(gè)人或組織。注：決策者可以是利益相關(guān)者。ISO 導(dǎo)則 73:2009,定義 3.2.1.12.14 風(fēng)險(xiǎn)評(píng)價(jià) risk

13、assessme nt風(fēng)險(xiǎn)識(shí)別（2.15 ）、風(fēng)險(xiǎn)分析（2.21 ）和風(fēng)險(xiǎn)評(píng)定（2.24 ）的整個(gè)過(guò)程。ISO 導(dǎo)則 73:2009,定義 3.4.12.15 風(fēng)險(xiǎn)識(shí)別 risk ide ntificatio n發(fā)現(xiàn)、認(rèn)識(shí)、描述風(fēng)險(xiǎn)的過(guò)程。注1 :風(fēng)險(xiǎn)識(shí)別包括風(fēng)險(xiǎn)源（2.16 ）、事件（2.17 ）、它們的起因及潛在后果的確定。注2 :風(fēng)險(xiǎn)識(shí)別會(huì)涉及歷史數(shù)據(jù)、技術(shù)分析、有事實(shí)依據(jù)的和專家的觀點(diǎn)、以及利益相關(guān)方的需求。ISO 導(dǎo)則 73:2009,定義 3.5.12.16 風(fēng)險(xiǎn)源 risk source單獨(dú)地或以結(jié)合的形式具有產(chǎn)生風(fēng)險(xiǎn)的內(nèi)在可能性的因素。注：一個(gè)風(fēng)險(xiǎn)源可以是有形的或者無(wú)形的。IS

14、O 導(dǎo)則 73:2009,定義 3.5.1.12.17 事件 event特殊系列環(huán)境的產(chǎn)生或變化。注1 :.一個(gè)事件可以是一個(gè)或多個(gè)事變，會(huì)有多種原因。注2 :事件可以由一些不發(fā)生的事情構(gòu)成。注3 :事件有時(shí)被稱作事件（incident ）或事故（accident ） ”。注4 :.沒(méi)有后果的事件可以被稱作“ near miss ”、“ incident ”、“ near hit ” 、“ close callISO 導(dǎo)則 73:2009,定義 3.5.1.22.18 后果 consequenee事件對(duì)目標(biāo)的影響結(jié)果。注1 :一個(gè)事件可以產(chǎn)生一系列的后果。注2 :后果可以是確定或不確定的，以及

15、對(duì)目標(biāo)具有積極或消極的影響。注3 :后果可以被定性或定量地表述。注4 :初步的后果通過(guò)連鎖效應(yīng)可以逐步升級(jí)。ISO 導(dǎo)則 73:2009,定義 361.32.19 可能性 likelihood某事發(fā)生的機(jī)會(huì)。注1 ：在風(fēng)險(xiǎn)管理術(shù)語(yǔ)學(xué)中，“可能性”是指事情發(fā)生的機(jī)會(huì)，不論是明確的、測(cè)量的，還是客觀或主觀地、 定性或定量地確定的，以及一般性或精確地描述（如在一定時(shí)段內(nèi)的可能性和頻率）。注2 :英文“ likelihood ”在一些語(yǔ)言中沒(méi)有直接對(duì)應(yīng)的等同詞，而同義詞“probability ”經(jīng)常被使用。然而，在英文中，“ probability ”通常被狹義地理解為數(shù)學(xué)術(shù)語(yǔ)。因此，在風(fēng)險(xiǎn)管理術(shù)語(yǔ)

16、學(xué)中，“l(fā)ikelihood ”以它在許多非英語(yǔ)國(guó)家語(yǔ)言中的“ probability ”所具有的同樣的廣泛理解來(lái)使用。ISO 導(dǎo)則 73:2009,定義 3.6.1.12.20 風(fēng)險(xiǎn)狀況 risk profile任何系列風(fēng)險(xiǎn)（2.1 ）的描述。注：該系列風(fēng)險(xiǎn)可包含與整個(gè)組織、組織的部分或者其他特定部分相關(guān)聯(lián)的風(fēng)險(xiǎn)。ISO Guide 73:2009, definition 3.8252.21 風(fēng)險(xiǎn)分析 risk an alysis理解風(fēng)險(xiǎn)（2.1 ）的性質(zhì)和確定風(fēng)險(xiǎn)程度（2.23 ）的過(guò)程。注1 ：風(fēng)險(xiǎn)分析為風(fēng)險(xiǎn)評(píng)定和風(fēng)險(xiǎn)處理決策提供了基礎(chǔ)。注2 :風(fēng)險(xiǎn)分析包括風(fēng)險(xiǎn)估測(cè)。ISO 導(dǎo)則 73:

17、2009,定義 3.6.12.22 風(fēng)險(xiǎn)準(zhǔn)則 risk criteria評(píng)價(jià)風(fēng)險(xiǎn)重要性的依據(jù)。注1 :.風(fēng)險(xiǎn)準(zhǔn)則基于組織的目標(biāo)和內(nèi)外部狀況。注2 :風(fēng)險(xiǎn)準(zhǔn)則可岀自于標(biāo)準(zhǔn)、法律、方針和其他要求。ISO 導(dǎo)則 73:2009,定義 3.3.1.32.23 風(fēng)險(xiǎn)程度 risk level以后果和可能性的組合表達(dá)的風(fēng)險(xiǎn)的量或組合結(jié)果。ISO 導(dǎo)則 73:2009,定義 3.6.1.82.24 風(fēng)險(xiǎn)評(píng)定 risk evaluatio n將風(fēng)險(xiǎn)分析的結(jié)果與風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較，以確定風(fēng)險(xiǎn)和（或）其量是否可接受或可容許。注：風(fēng)險(xiǎn)評(píng)定有助于有關(guān)風(fēng)險(xiǎn)處理的決策。ISO 導(dǎo)則 73:2009,定義 3.7.12.25

18、 風(fēng)險(xiǎn)處理 risk treatment修正風(fēng)險(xiǎn)的過(guò)程。注1 ：風(fēng)險(xiǎn)處理可包括：通過(guò)決定不啟動(dòng)或停止產(chǎn)生風(fēng)險(xiǎn)的活動(dòng)而避免風(fēng)險(xiǎn)。為了追求機(jī)會(huì)采取或增加風(fēng)險(xiǎn)。消除風(fēng)險(xiǎn)源。改變可能性。改變后果。 與其他方面共同分擔(dān)風(fēng)險(xiǎn)(包括合同、風(fēng)險(xiǎn)融資)。通過(guò)有事實(shí)依據(jù)的決策保留風(fēng)險(xiǎn)。(risk eliminate )注2 :對(duì)消極后果的風(fēng)險(xiǎn)處理有時(shí)可以稱為“風(fēng)險(xiǎn)減緩( risk mitigation )”、風(fēng)險(xiǎn)消除風(fēng)險(xiǎn)預(yù)防(risk prevention ) ”和風(fēng)險(xiǎn)減小(risk reduction ) ”。注3 :風(fēng)險(xiǎn)處理可以產(chǎn)生新的風(fēng)險(xiǎn)或修正已存在的風(fēng)險(xiǎn)。ISO 導(dǎo)則 73:2009,定義 3.8.12.

19、26控制措施control修正風(fēng)險(xiǎn)的措施。注1 ：控制措施包括任何過(guò)程、方針、手段、慣例或其他修正風(fēng)險(xiǎn)的措施。注2 :控制措施可能不總是產(chǎn)生預(yù)期或設(shè)想的修正效果。ISO 導(dǎo)則 73:2009,定義 3.8.1.12.27 殘留風(fēng)險(xiǎn) residual risk風(fēng)險(xiǎn)處理后余留下的風(fēng)險(xiǎn)。注1 ：殘留風(fēng)險(xiǎn)可包括未識(shí)別的風(fēng)險(xiǎn)。注2 :殘留風(fēng)險(xiǎn)也可被認(rèn)作“保留的風(fēng)險(xiǎn)(retain risk )。ISO 導(dǎo)則 73:2009,定義 3.8.1.62.28 監(jiān)測(cè) monitoring不斷檢查、監(jiān)督、嚴(yán)格觀察或確定狀態(tài)，以識(shí)別所要求或期待的績(jī)效水平的變化。注：監(jiān)測(cè)可應(yīng)用于風(fēng)險(xiǎn)管理框架、風(fēng)險(xiǎn)管理過(guò)程、風(fēng)險(xiǎn)或控制措

20、施。ISO 導(dǎo)則 73:2009,定義 3.8.2.12.29 評(píng)審 review為達(dá)到所建立的目標(biāo)，確定有關(guān)事務(wù)的適宜性、充分性和有效性所采取的活動(dòng)。注：評(píng)審可應(yīng)用于風(fēng)險(xiǎn)管理框架、風(fēng)險(xiǎn)管理過(guò)程、風(fēng)險(xiǎn)或控制措施。ISO 導(dǎo)則 73:2009,定義 3.8223原則為了風(fēng)險(xiǎn)管理有效，組織宜在各個(gè)層次遵循以下原則。a）風(fēng)險(xiǎn)管理創(chuàng)造和保護(hù)價(jià)值風(fēng)險(xiǎn)管理有助于目標(biāo)明確的實(shí)現(xiàn)和績(jī)效的改進(jìn)，例如，在人員的健康安全、治安、法律法符合 性、公眾接受性、環(huán)境保護(hù)、產(chǎn)品質(zhì)量、項(xiàng)目管理、運(yùn)營(yíng)效率、治理和聲譽(yù)方面。b）風(fēng)險(xiǎn)管理是整合在所有組織過(guò)程中的部分風(fēng)險(xiǎn)管理不是與組織的主要活動(dòng)和過(guò)程分開(kāi)的孤立活動(dòng)。風(fēng)險(xiǎn)管理是管理職

21、責(zé)的部分和整合在所有組織過(guò)程中的部分，包括戰(zhàn)略規(guī)劃、所有項(xiàng)目、變更管理過(guò)程。c）風(fēng)險(xiǎn)管理支持決策風(fēng)險(xiǎn)管理可以幫助決策者做出明智的選擇、優(yōu)先的措施和辨別行動(dòng)方向。d）風(fēng)險(xiǎn)管理明晰解決不確定問(wèn)題風(fēng)險(xiǎn)管理明確地闡述不確定性、不確定性的性質(zhì)、以及如何加以解決。e）風(fēng)險(xiǎn)管理具備系統(tǒng)、結(jié)構(gòu)化和及時(shí)性系統(tǒng)、及時(shí)和結(jié)構(gòu)化的風(fēng)險(xiǎn)管理方法有助于提高效率和取得一致、可衡量和可靠的結(jié)果。f）風(fēng)險(xiǎn)管理基于最可用的信息風(fēng)險(xiǎn)管理過(guò)程的輸入基于信息源，如歷史數(shù)據(jù)、經(jīng)驗(yàn)、利益相關(guān)方的反饋、觀察、預(yù)測(cè)和專家判斷。然而，決策者宜告誡自身和考慮，數(shù)據(jù)或所使用模型的局限性，或者專家之間分歧的可能性。g）風(fēng)險(xiǎn)管理是量體裁衣的風(fēng)險(xiǎn)管理是與

22、組織的外部和內(nèi)部狀況及風(fēng)險(xiǎn)狀況相匹配的。h）風(fēng)險(xiǎn)管理考慮人文因素風(fēng)險(xiǎn)管理認(rèn)識(shí)到可以促進(jìn)或阻礙組織目標(biāo)實(shí)現(xiàn)的內(nèi)部和外部人員的能力、觀念和意圖。i）風(fēng)險(xiǎn)管理是透明和包容的利益相關(guān)方、尤其是組織各層面的決策者適當(dāng)、及時(shí)的參與，確保了風(fēng)險(xiǎn)管理保持相關(guān)和先進(jìn) 性。參與過(guò)程也允許利益相關(guān)方適當(dāng)?shù)匕l(fā)表意見(jiàn)，并將其觀點(diǎn)考慮到風(fēng)險(xiǎn)準(zhǔn)則的確定中。j）風(fēng)險(xiǎn)管理是動(dòng)態(tài)、迭代和應(yīng)對(duì)變化的風(fēng)險(xiǎn)管理持續(xù)察覺(jué)和響應(yīng)變化。由于外部和內(nèi)部事件發(fā)生，狀況和知識(shí)在改變，風(fēng)險(xiǎn)的監(jiān)測(cè)和 評(píng)審在進(jìn)行，新的風(fēng)險(xiǎn)出現(xiàn)，一些風(fēng)險(xiǎn)在改變，而另一些風(fēng)險(xiǎn)消失了。k）風(fēng)險(xiǎn)管理實(shí)現(xiàn)組織的持續(xù)改進(jìn)組織宜制定和實(shí)施戰(zhàn)略，協(xié)同組織的其他方面共同改進(jìn)風(fēng)險(xiǎn)管理的成

23、熟度。附件A為希望更有效地實(shí)施管理風(fēng)險(xiǎn)的組織提供了進(jìn)一步的建議。4框架4.1總則風(fēng)險(xiǎn)管理的成功取決于提供將風(fēng)險(xiǎn)管理嵌入整個(gè)組織所有層次的基礎(chǔ)和安排的管理框架的有效性?？蚣苡兄谕ㄟ^(guò)在組織不同層次和特定狀況內(nèi)應(yīng)用風(fēng)險(xiǎn)管理過(guò)程，有效地管理風(fēng)險(xiǎn)?？蚣艽_ 保從風(fēng)險(xiǎn)管理過(guò)程取得的風(fēng)險(xiǎn)信息充分地被報(bào)告，以及作為決策和所有相關(guān)組織層次責(zé)任的基礎(chǔ)。本條款描述了風(fēng)險(xiǎn)管理框架的必要要素和其以迭代的方式相互作用的方法，如圖2。指令和承諾（4.2）風(fēng)險(xiǎn)管理框架的設(shè)計(jì)（4.3） 理解組織和其狀況（431） 建立風(fēng)險(xiǎn)管理方針（432）責(zé)任（4.3.3）融入組織的過(guò)程（4.3.4）資源（4.3.5）建立內(nèi)部溝通和報(bào)告機(jī)制（

24、4.3.6）建立外部溝通和報(bào)告機(jī)制（4.3.7）框架的持續(xù)改進(jìn)（4.6）框架的監(jiān)測(cè)和評(píng)審（4.5）實(shí)施風(fēng)險(xiǎn)管理（4.4）實(shí)施風(fēng)險(xiǎn)管理框架（4.4.1 ）實(shí)施風(fēng)險(xiǎn)管理過(guò)程（4.4.2）圖2風(fēng)險(xiǎn)管理框架要素間的相互關(guān)系本框架目的不是規(guī)定一個(gè)管理體系，而是有助于組織將風(fēng)險(xiǎn)管理整合到它的整個(gè)管理體系中。 因此，組織宜使框架的要素適用于其特定的需求。如果組織現(xiàn)存的管理實(shí)踐和過(guò)程包含風(fēng)險(xiǎn)管理要素，或者如果組織已經(jīng)針對(duì)特定的風(fēng)險(xiǎn)或狀況采納了一個(gè)正式的風(fēng)險(xiǎn)管理過(guò)程，那么對(duì)原有的這些實(shí)踐和過(guò)程宜針對(duì)本標(biāo)準(zhǔn)進(jìn)行評(píng)審和評(píng)價(jià)，包 括附錄A中包含的附加內(nèi)容，以確定它們的充分性和有效性。4.2指令和承諾風(fēng)險(xiǎn)管理的引入和確

25、保它的持續(xù)有效需要組織管理著強(qiáng)有力和持續(xù)的承諾，以及為實(shí)現(xiàn)承諾在所有層次戰(zhàn)略的和嚴(yán)密的策劃。管理者宜：確定和簽署風(fēng)險(xiǎn)管理方針；確保組織的文化和風(fēng)險(xiǎn)管理方針一致；確定與組織績(jī)效參數(shù)一致的風(fēng)險(xiǎn)管理績(jī)效參數(shù)；使風(fēng)險(xiǎn)管理目標(biāo)與組織的目標(biāo)和戰(zhàn)略一致；確保法律法規(guī)的復(fù)合性；在組織內(nèi)適當(dāng)?shù)膶哟畏峙湄?zé)任和職責(zé)；確保為風(fēng)險(xiǎn)管理配置必要的資源；將風(fēng)險(xiǎn)管理的益處通報(bào)給所有的利益相關(guān)方；確保風(fēng)險(xiǎn)管理框架持續(xù)保持適宜。4.3風(fēng)險(xiǎn)管理框架的設(shè)計(jì)4.3.1理解組織和其狀況在開(kāi)始設(shè)計(jì)和實(shí)施風(fēng)險(xiǎn)管理框架前，評(píng)價(jià)和理解組織內(nèi)外部的狀況是重要的，因?yàn)檫@會(huì)對(duì)框架 的設(shè)計(jì)產(chǎn)生顯著的影響。評(píng)價(jià)組織外部狀況可以包括，但不限于：a）社會(huì)和文

26、化、政治、法律法規(guī)、財(cái)務(wù)、技術(shù)、經(jīng)濟(jì)、自然和競(jìng)爭(zhēng)環(huán)境，無(wú)論國(guó)際、國(guó)內(nèi)、區(qū) 域和當(dāng)?shù)兀籦）影響組織目標(biāo)的動(dòng)力和趨勢(shì)；c）與外部利益相關(guān)方的關(guān)系，以及它們的感受和價(jià)值觀。評(píng)價(jià)組織內(nèi)部狀況可以包括，但不限于： 管理方法、組織結(jié)構(gòu)、作用和責(zé)任；方針、目標(biāo)，以及為實(shí)現(xiàn)它們所制定的戰(zhàn)略； 以資源和知識(shí)來(lái)理解的能力（例如，資本、時(shí)間、人員、過(guò)程、系統(tǒng)和技術(shù)）；信息系統(tǒng)、信息流和決策過(guò)程（正式和非正式的）與內(nèi)部利益相關(guān)方的關(guān)系，以及它們的感受和價(jià)值觀；組織的文化； 被組織采用的標(biāo)準(zhǔn)、指南和模型；合同關(guān)系的形式和范圍。432建立風(fēng)險(xiǎn)管理方針風(fēng)險(xiǎn)管理方針宜清楚闡明組織風(fēng)險(xiǎn)管理的目標(biāo)和承諾，特別要針對(duì)：組織管理風(fēng)險(xiǎn)

27、的基本原理；組織目標(biāo)和方針與風(fēng)險(xiǎn)管理方針的聯(lián)系；管理風(fēng)險(xiǎn)的責(zé)任和職責(zé)；處理利益沖突的方法；提供有助于管理風(fēng)險(xiǎn)必要資源的承諾；風(fēng)險(xiǎn)管理績(jī)效測(cè)量和報(bào)告的方法； 對(duì)定期評(píng)審和改進(jìn)風(fēng)險(xiǎn)管理方針和框架，以及對(duì)事件和環(huán)境變化做出響應(yīng)的承諾。風(fēng)險(xiǎn)管理方針宜適當(dāng)?shù)販贤ā?.3.3責(zé)任組織宜確保具備管理風(fēng)險(xiǎn)的責(zé)任、權(quán)限和適當(dāng)?shù)哪芰?，包括?shí)施和保持風(fēng)險(xiǎn)管理過(guò)程和確保任 何控制措施的充分性、有效性和效率。這可通過(guò)如下途徑來(lái)實(shí)現(xiàn)：確定有責(zé)任和權(quán)利管理風(fēng)險(xiǎn)的風(fēng)險(xiǎn)擁有者；確定負(fù)責(zé)建立、實(shí)施和保持風(fēng)險(xiǎn)管理框架的人員； 確定組織所有層次人員的風(fēng)險(xiǎn)管理過(guò)程的其他職責(zé)；建立績(jī)效測(cè)量和內(nèi)部和外部報(bào)告和逐級(jí)報(bào)告過(guò)程；確保確定的合適程

28、度。4.3.4整合到組織的過(guò)程風(fēng)險(xiǎn)管理宜益相關(guān)、有效和有效率的方式嵌入到所有組織的實(shí)踐和過(guò)程中。風(fēng)險(xiǎn)管理過(guò)程宜變 成組織過(guò)程的部分，而不是分離的。特別是，風(fēng)險(xiǎn)管理宜嵌入方針制定、商業(yè)和戰(zhàn)略策劃和評(píng)審和 變更管理過(guò)程中。宜具備一個(gè)組織的廣泛風(fēng)險(xiǎn)管理計(jì)劃以確保風(fēng)險(xiǎn)管理方針的實(shí)施和將風(fēng)險(xiǎn)管理嵌入全部組織 的實(shí)踐和過(guò)程中。風(fēng)險(xiǎn)管理計(jì)劃可以整合到組織其他的計(jì)劃中，如戰(zhàn)略計(jì)劃。435資源組織宜為風(fēng)險(xiǎn)管理配置適當(dāng)?shù)馁Y源。對(duì)如下方面宜予以考慮： 人員、技能、經(jīng)驗(yàn)和能力；對(duì)于風(fēng)險(xiǎn)管理過(guò)程的每步驟所需的資源；用于管理風(fēng)險(xiǎn)的組織的過(guò)程、方法和工具；形成文件的過(guò)程和程序；管理體系的信息和知識(shí)；培訓(xùn)方案。4.3.6建立

29、內(nèi)部溝通和報(bào)告機(jī)制組織宜建立內(nèi)部溝通和報(bào)告機(jī)制，用于支持和促進(jìn)風(fēng)險(xiǎn)的責(zé)任和歸屬。這些機(jī)制宜確保：風(fēng)險(xiǎn)管理框架的關(guān)鍵要素和任何后續(xù)的更改被適當(dāng)?shù)販贤ǎ?對(duì)框架和其有效性及結(jié)果在內(nèi)部充分地予以報(bào)告；風(fēng)險(xiǎn)管理的相關(guān)信息在適當(dāng)?shù)膶哟魏蜁r(shí)間予以獲得； 與內(nèi)部利益相關(guān)方的協(xié)商過(guò)程被予以提供。適當(dāng)時(shí)，這些機(jī)制宜包括基于多源頭強(qiáng)化風(fēng)險(xiǎn)信息的過(guò)程，以及可能需要考慮信息的敏感性。 4.3.7建立外部溝通和報(bào)告機(jī)制組織宜制定和實(shí)施一個(gè)關(guān)于如何與外部利益相關(guān)方溝通的計(jì)劃。這宜包括：吸引適當(dāng)?shù)耐獠坷嫦嚓P(guān)方的關(guān)注和確保有效的信息交流；對(duì)外報(bào)告法律法規(guī)和管理要求的遵守情況；對(duì)溝通和協(xié)商進(jìn)行報(bào)告和反饋； 運(yùn)用溝通來(lái)建立組織

30、的信心；向利益相關(guān)方溝通緊急或突發(fā)事件。適當(dāng)時(shí)，這些機(jī)制宜包括基于多源頭強(qiáng)化風(fēng)險(xiǎn)信息的過(guò)程，以及可能需要考慮信息的敏感性。 4.4實(shí)施風(fēng)險(xiǎn)管理441實(shí)施管理風(fēng)險(xiǎn)的框架在實(shí)施組織的管理風(fēng)險(xiǎn)的框架時(shí)，組織宜：確定實(shí)施框架的適當(dāng)時(shí)間安排和策略；將風(fēng)險(xiǎn)管理方針和過(guò)程應(yīng)用到組織的過(guò)程；遵守法律法規(guī)要求； 確保決策，包括目標(biāo)的制定和設(shè)立，與風(fēng)險(xiǎn)管理過(guò)程輸出結(jié)果一致；舉行信息和培訓(xùn)會(huì)議；與利益相關(guān)方進(jìn)行溝通和協(xié)商以確保其風(fēng)險(xiǎn)管理框架保持正確； 4.4.2實(shí)施風(fēng)險(xiǎn)管理過(guò)程風(fēng)險(xiǎn)管理宜通過(guò)確保將第五章描述的風(fēng)險(xiǎn)管理過(guò)程通過(guò)風(fēng)險(xiǎn)管理計(jì)劃作為組織實(shí)踐和過(guò)程的 一部分應(yīng)用到組織相關(guān)職能和層次。4.5框架的監(jiān)測(cè)和評(píng)審為了

31、確保風(fēng)險(xiǎn)管理有效和持續(xù)改進(jìn)組織的績(jī)效，組織宜：針對(duì)適當(dāng)定期評(píng)審的參數(shù)測(cè)量風(fēng)險(xiǎn)管理績(jī)效；定期測(cè)量風(fēng)險(xiǎn)管理計(jì)劃的進(jìn)展和偏離; 基于組織的內(nèi)部和外部狀況，定期評(píng)審風(fēng)險(xiǎn)管理框架、方針和計(jì)劃是否仍然適宜；報(bào)告風(fēng)險(xiǎn)、風(fēng)險(xiǎn)管理計(jì)劃的進(jìn)展和風(fēng)險(xiǎn)管理方針如何較好地執(zhí)行； 評(píng)審風(fēng)險(xiǎn)管理框架的有效性。4.6框架的持續(xù)改進(jìn)基于監(jiān)測(cè)和評(píng)審結(jié)果，宜做出如何可以改進(jìn)風(fēng)險(xiǎn)管理框架、方針和計(jì)劃的決策。這些決策宜致 使組織的風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)管理文化的改進(jìn)。5過(guò)程5.1總則風(fēng)險(xiǎn)管理過(guò)程宜是： 整合到管理中的的一部分； 嵌入文化和實(shí)踐之中；針對(duì)組織的經(jīng)營(yíng)過(guò)程制作。它由5.2到5.6描述的活動(dòng)組成。風(fēng)險(xiǎn)管理過(guò)程如圖3。圖表3-風(fēng)險(xiǎn)管理過(guò)

32、程5.2溝通和協(xié)商與內(nèi)、外部利益相關(guān)方溝通和協(xié)商宜在風(fēng)險(xiǎn)管理過(guò)程所有階段進(jìn)行。因此，溝通和協(xié)商計(jì)劃宜在早期制定。該計(jì)劃宜針對(duì)與風(fēng)險(xiǎn)本身、風(fēng)險(xiǎn)成因、風(fēng)險(xiǎn)后果（如果 掌握）以及處理風(fēng)險(xiǎn)措施相關(guān)的問(wèn)題。為確保實(shí)施風(fēng)險(xiǎn)管理過(guò)程的職責(zé)明確，以及利益相關(guān)方理解 決策的基礎(chǔ)和特定措施需求的原因，宜采取有效的外部和內(nèi)部溝通和協(xié)商。協(xié)商團(tuán)隊(duì)方法可以：適當(dāng)?shù)貛椭鞔_狀況； 確保利益相關(guān)方的利益被理解和考慮；幫助確保風(fēng)險(xiǎn)充分地被識(shí)別；將不同領(lǐng)域的專業(yè)知識(shí)一并用于分析風(fēng)險(xiǎn)； 確保在界定風(fēng)險(xiǎn)準(zhǔn)則和評(píng)定風(fēng)險(xiǎn)時(shí)，不同的觀點(diǎn)被恰當(dāng)?shù)乜紤]； 確保認(rèn)同和支持處理計(jì)劃；加強(qiáng)在風(fēng)險(xiǎn)管理過(guò)程中的變更管理; 制定一個(gè)恰當(dāng)?shù)膬?nèi)部和外部溝通

33、和協(xié)商計(jì)劃。與利益相關(guān)方的溝通協(xié)商是重要的，由于他們基于對(duì)風(fēng)險(xiǎn)的感知，做出了對(duì)風(fēng)險(xiǎn)的判斷。這些 感知可以由于利益相關(guān)方的價(jià)值觀、需求、臆斷、概念和關(guān)注點(diǎn)的不同而變化。由于利益相關(guān)方的 觀點(diǎn)會(huì)對(duì)決策產(chǎn)生重大影響，因此他們的感知以被識(shí)別、記錄、以及在決策過(guò)程中考慮。溝通和協(xié)商宜提供真實(shí)的、相關(guān)的、準(zhǔn)確的、便于理解的交流信息，同時(shí)宜考慮到保密和個(gè)人 誠(chéng)實(shí)因素。5.3明確狀況5.3.1 總則通過(guò)明確狀況，組織明確其目標(biāo)，界定管理風(fēng)險(xiǎn)要考慮的外部和內(nèi)部參數(shù)，確定風(fēng)險(xiǎn)管理過(guò)程的范圍和風(fēng)險(xiǎn)準(zhǔn)則。盡管許多此類參數(shù)與風(fēng)險(xiǎn)管理框架設(shè)計(jì)時(shí)所考慮的參數(shù)類似（參見(jiàn)431 ），但在明確風(fēng)險(xiǎn)管理過(guò)程的狀況時(shí)，這些參數(shù)需要細(xì)

34、致地，特別是與特定風(fēng)險(xiǎn)管理過(guò)程聯(lián)系起來(lái)考慮。532明確外部狀況外部狀況是指組織尋求實(shí)現(xiàn)其目標(biāo)的外部環(huán)境。為了確保在建立風(fēng)險(xiǎn)準(zhǔn)則時(shí)，目標(biāo)和外部利益相關(guān)方的關(guān)注點(diǎn)被予以考慮，理解外部狀況是重要的。它基于組織寬泛的狀況，但具備法律法規(guī)要求的具體細(xì)節(jié)、禾隘相關(guān)方的觀點(diǎn)、風(fēng)險(xiǎn)管理過(guò) 程范圍風(fēng)險(xiǎn)的其他因素。外部狀況可以包括，但不局限于： 社會(huì)、文化、政治、法律法規(guī)、金融、技術(shù)、經(jīng)濟(jì)、自然和競(jìng)爭(zhēng)環(huán)境，無(wú)論國(guó)際、國(guó)內(nèi)、區(qū)域，還是本地的； 影響組織目標(biāo)的主要?jiǎng)恿挖厔?shì)；與外部利益相關(guān)方的關(guān)系，外部利益相關(guān)方的觀點(diǎn)和價(jià)值觀。533明確內(nèi)部狀況內(nèi)部狀況是指組織尋求實(shí)現(xiàn)其目標(biāo)的內(nèi)部環(huán)境。風(fēng)險(xiǎn)管理過(guò)程宜與組織的文化、過(guò)

35、程、結(jié)構(gòu)和戰(zhàn)略相一致。內(nèi)部狀況是組織內(nèi)能夠影響管理風(fēng) 險(xiǎn)方法的方面。內(nèi)部狀況宜明確，因?yàn)椋篴）風(fēng)險(xiǎn)管理是在組織的目標(biāo)狀況下進(jìn)行；b ）具體項(xiàng)目、過(guò)程或活動(dòng)的目標(biāo)和準(zhǔn)則，宜依據(jù)組織的整體目標(biāo)予以考慮；c） 一些組織未能意識(shí)到實(shí)現(xiàn)它們戰(zhàn)略、項(xiàng)目或經(jīng)營(yíng)目標(biāo)的機(jī)會(huì)，這影響了持續(xù)的組織承諾、 信譽(yù)、誠(chéng)信和價(jià)值觀。理解內(nèi)部狀況是必要的，這可包括，但不僅限于： 治理、組織結(jié)構(gòu)、作用和責(zé)任； 方針、目標(biāo)，為實(shí)現(xiàn)方針和目標(biāo)制定的戰(zhàn)略； 基于資源和知識(shí)理解的能力（如：資金、時(shí)間、人員、過(guò)程、系統(tǒng)和技術(shù)）；與內(nèi)部利益相關(guān)方的關(guān)系，內(nèi)部利益相關(guān)方的觀點(diǎn)和價(jià)值觀；組織的文化； 信息系統(tǒng)、信息流和決策過(guò)程（正式與非正式）

36、； 組織所采用的標(biāo)準(zhǔn)、指南和模式；合同關(guān)系的形式與范圍。5.3.4明確風(fēng)險(xiǎn)管理過(guò)程狀況宜確立組織活動(dòng)的目標(biāo)、策略、范圍和參數(shù)，或風(fēng)險(xiǎn)管理過(guò)程應(yīng)用到的組織的那些部分。風(fēng)險(xiǎn) 管理宜充分考慮滿足開(kāi)展風(fēng)險(xiǎn)管理的資源需求。所需的資源、職責(zé)、權(quán)限和要保存的記錄也宜予以 規(guī)定。風(fēng)險(xiǎn)管理過(guò)程的狀況根據(jù)組織需求而變化。它可以包括，但不僅限于：確定風(fēng)險(xiǎn)管理活動(dòng)的目標(biāo);確定風(fēng)險(xiǎn)管理過(guò)程的職責(zé)； 確定所要開(kāi)展的風(fēng)險(xiǎn)管理活動(dòng)的范圍以及深度、廣度，包括具體的內(nèi)涵和外延； 以時(shí)間和地點(diǎn)，界定活動(dòng)、過(guò)程、職能、項(xiàng)目 產(chǎn)品、服務(wù)或資產(chǎn)； 界定組織特定項(xiàng)目、過(guò)程或活動(dòng)與其他項(xiàng)目、過(guò)程或活動(dòng)之間的關(guān)系；確定風(fēng)險(xiǎn)評(píng)價(jià)的方法；確定評(píng)價(jià)

37、風(fēng)險(xiǎn)管理的績(jī)效和有效性的方法；識(shí)別和規(guī)定所必須要做出的決策； 確定所需的范圍或框架性研究，它們的程度和目標(biāo)，以及此種研究所需資源。對(duì)這些和其他相關(guān)因素的關(guān)注，有助于確保所采用的風(fēng)險(xiǎn)管理方法適合于環(huán)境、組織、以及影 響目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)。5.3.5 確定風(fēng)險(xiǎn)準(zhǔn)則組織宜確定用于評(píng)定風(fēng)險(xiǎn)重要性的準(zhǔn)則。該準(zhǔn)則宜反映組織的價(jià)值觀、目標(biāo)和資源。一些準(zhǔn)則 可以服從或引用法律法規(guī)要求或組織簽署的其他要求。風(fēng)險(xiǎn)準(zhǔn)則宜與組織風(fēng)險(xiǎn)管理方針一致（見(jiàn) 4.3.2），在風(fēng)險(xiǎn)管理過(guò)程開(kāi)始時(shí)予以確定，并予以持續(xù)評(píng)審。當(dāng)確定風(fēng)險(xiǎn)準(zhǔn)則時(shí)，要考慮的因素宜包括如下： 可以出現(xiàn)的致因和后果的性質(zhì)和類別，以及如何予以測(cè)量；可能性如何確定；可

38、能性和（或）后果的時(shí)間范圍；風(fēng)險(xiǎn)程度如何確定；利益相關(guān)方的觀點(diǎn)；風(fēng)險(xiǎn)可接受或可容許的程度； 多種風(fēng)險(xiǎn)的組合是否予以考慮，如果是，如何考慮及哪種風(fēng)險(xiǎn)組合宜予以考慮。5.4 風(fēng)險(xiǎn)評(píng)價(jià)541 總則風(fēng)險(xiǎn)評(píng)價(jià)是風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)定的總的過(guò)程。注：ISO/IEC 31010 提供了風(fēng)險(xiǎn)評(píng)價(jià)技術(shù)指南。542風(fēng)險(xiǎn)識(shí)別組織宜識(shí)別風(fēng)險(xiǎn)源、影響區(qū)域、事件（包括環(huán)境變化）以及致因和潛在后果。此步驟的目的是 產(chǎn)生一個(gè)基于哪些可能產(chǎn)生、增強(qiáng)、阻礙、加快或推遲目標(biāo)實(shí)現(xiàn)的事件的風(fēng)險(xiǎn)的綜合表格。識(shí)別與 不尋求機(jī)會(huì)相關(guān)的風(fēng)險(xiǎn)是重要的。綜合識(shí)別是非常重要的，因?yàn)榇穗A段沒(méi)有識(shí)別的風(fēng)險(xiǎn)將不會(huì)包含 在進(jìn)一步的分析中。識(shí)別宜包括其

39、源是否在組織的控制下的風(fēng)險(xiǎn)，即使風(fēng)險(xiǎn)源或致因可能不明顯。風(fēng)險(xiǎn)識(shí)別宜包括 考查特定后果直接影響，包括聯(lián)鎖和累積影響。也要考慮寬范圍的后果，即使風(fēng)險(xiǎn)源或致因可能不 明顯。也要識(shí)別什么可能發(fā)生，考慮表明什么后果可以出現(xiàn)的可能致因和場(chǎng)景是必要的。所有重要 的致因和后果宜予以考慮。組織宜應(yīng)用適合其目標(biāo)、能力及所面臨風(fēng)險(xiǎn)的風(fēng)險(xiǎn)識(shí)別工具和技術(shù)。在識(shí)別風(fēng)險(xiǎn)時(shí)，相關(guān)和最 新的信息是重要的。這宜包括可能的適當(dāng)背景信息。具有適當(dāng)知識(shí)的人員宜參與到識(shí)別風(fēng)險(xiǎn)中。5.4.3風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析涉及開(kāi)展風(fēng)險(xiǎn)的理解。風(fēng)險(xiǎn)分析為風(fēng)險(xiǎn)評(píng)定和確定風(fēng)險(xiǎn)是否需要處理以及最適合的風(fēng)險(xiǎn)處理策略和方法，提供了輸入。風(fēng)險(xiǎn)分析也可以為必須做出選擇及

40、選擇涉及不同類型和程度的風(fēng) 險(xiǎn)的決策，提供輸入。風(fēng)險(xiǎn)分析包括考慮風(fēng)險(xiǎn)的致因和來(lái)源，以及所帶來(lái)的正面和負(fù)面的后果及這些后果發(fā)生的可能性。影響后果的因素和可能性宜被識(shí)別。通過(guò)確定后果和其可能性、以及其他風(fēng)險(xiǎn)特性，來(lái)進(jìn)行風(fēng) 險(xiǎn)分析。一個(gè)事件可以有多種結(jié)果并可以影響多重目標(biāo)?，F(xiàn)存的控制措施和其效果和效率也宜被考 慮在內(nèi)。后果和可能性的表述方式，以及它們組合確定風(fēng)險(xiǎn)程度的方式，宜反映風(fēng)險(xiǎn)類型、可獲得的信 息、以及運(yùn)用風(fēng)險(xiǎn)評(píng)價(jià)輸出的意圖。這些全部都宜符合風(fēng)險(xiǎn)準(zhǔn)則?？紤]不同風(fēng)險(xiǎn)和其源的相互依賴 也是重要的。風(fēng)險(xiǎn)程度的確定和其前提和假設(shè)的敏感性的信心，宜在風(fēng)險(xiǎn)分析中予以考慮，并有效溝通給決策者以及適當(dāng)?shù)睦嫦?/p>

41、關(guān)方。諸如專家間觀點(diǎn)的分歧、不確定性、可用性、質(zhì)量、數(shù)量、信息的持 續(xù)相關(guān)性、或模型的局限性等因素，宜予以闡述和可以重點(diǎn)強(qiáng)調(diào)。風(fēng)險(xiǎn)分析可以在不同程度的細(xì)節(jié)上進(jìn)行，這取決于風(fēng)險(xiǎn)本身、分析目的、可用的信息、數(shù)據(jù)和來(lái)源。依據(jù)環(huán)境條件，分析可以定性的、半定量或定量的，也可以是組合的方式。后果和其可能性可以通過(guò)模擬一個(gè)或一系列事件的結(jié)果，或由實(shí)驗(yàn)研究或可用數(shù)據(jù)推斷確定。后果可基于有形和無(wú)形的影響表述。在某些情況下，一個(gè)以上的數(shù)值或描述，需要界定對(duì)于不同時(shí)間、地點(diǎn)、團(tuán)體或狀況的后果和其可能性。544風(fēng)險(xiǎn)評(píng)定風(fēng)險(xiǎn)評(píng)價(jià)的目的是，基于風(fēng)險(xiǎn)分析的結(jié)果，幫助做出有關(guān)風(fēng)險(xiǎn)需要處理和處理實(shí)施優(yōu)先的決策。風(fēng)險(xiǎn)評(píng)定包括將分析過(guò)程中確定的風(fēng)險(xiǎn)程度與在明確狀況時(shí)建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較?；谶@種比較，處理需求可予以考慮。決策宜考慮更為寬泛風(fēng)險(xiǎn)含義，包括考慮風(fēng)險(xiǎn)獲益組織外的團(tuán)體對(duì)風(fēng)險(xiǎn)的容忍性。決策宜依據(jù)法律法規(guī)和其他要求做出。在某些情況下，風(fēng)險(xiǎn)評(píng)定可導(dǎo)致對(duì)決策的進(jìn)一步分析。風(fēng)險(xiǎn)評(píng)定也可導(dǎo)致，除了保持現(xiàn)存措施，不以任何方式處理風(fēng)險(xiǎn)的決策。通過(guò)組織的風(fēng)險(xiǎn)態(tài)度和已建立的風(fēng)險(xiǎn)準(zhǔn)則，對(duì)此決策施加影響。5.5 風(fēng)險(xiǎn)處理5.5.1 總則風(fēng)險(xiǎn)處理包括選擇一種或幾