ISO31000風險管理標準中文版

1、第 頁共23頁風險管理原則與實施指南ISO31000-2009ISO31000風險管理標準中文版引言所有類型和規(guī)模的組織都面臨內(nèi)部和外部的、使組織不能確定是否及何時實現(xiàn)其目標的因素和影響。這種不確定性所具有的對組織目標的影響就是“風險”。組織的所有活動都涉及風險。組織通過識別、分析和評定是否運用風險處理修正風險以滿足它們的風險準則，來管理風險。通過這個過程，它們與利益相關方進行溝通和協(xié)商，監(jiān)測和評審風險，以及為確保不再進一步需求風險處理而修正風險的控制措施。本國際標準詳細描述了這一系統(tǒng)的和邏輯的過程。盡管所有的組織在某種程度上都在管理風險，本國際標準建立了一些為使風險管理變得有效而需要滿足的原

2、則。本國際標準建議，組織制定、實施和持續(xù)改進一個框架，其目的是將風險管理過程整合到組織的整體治理、戰(zhàn)略和規(guī)劃、管理、報告過程、方針、價值觀和文化中。風險管理可以在組織多個領域和層次、任何時間，應用到整個組織，以及具體職能、項目和活動。盡管在過去一段時間在許多行業(yè)，為滿足不同的需要，已經(jīng)開展了風險管理實踐，但在一個綜合框架內(nèi)采用一致性過程有助于確保在組織內(nèi)有效、有效率和結(jié)合性地管理風險。本國際標準中所描述的通用方法提供了在任何范圍和狀況下，以系統(tǒng)、清晰、可靠的方式管理風險的原則和指南。每一個具體行業(yè)或風險管理的應用都產(chǎn)生了各自的需求、受眾、觀念和準則。因此，本國際標準的主要特點是將所包含“確定狀

3、況”作為通用風險管理過程開始的活動。確定狀況將捕獲組織的目標，組織所追求目標的環(huán)境，組織的利益相關方和風險準則的多樣性，所有這些都將幫助揭示和評價風險的性質(zhì)和復雜性。本國際標準描述的風險管理原則、框架和風險管理過程之間的關系，如圖1所示。當依據(jù)本國際標準實施和保持風險管理時，能夠使組織，例如：提高實現(xiàn)目標的可能性；鼓勵主動性管理；在整個組織意識到識別和處理風險的需求；改進機會和威脅的識別能力；第2頁共23頁符合相關法律法規(guī)要求和國際規(guī)范；改進強制性和自愿性報告；改善治理；提高利益相關方的信心和信任；為決策和規(guī)劃建立可靠的根基；加強控制；有效地分配和利用風險處理的資源；提高運營的效果和效率；增強

4、健康安全績效，以及環(huán)境保護;改善損失預防和事件管理；減少損失；提高組織的學習能力提高組織的應變能力本國際標準旨在滿足眾多利益相關方的需求，包括：負責制定組織風險管理方針的人員；負責確保在組織整體、或者某一特定區(qū)域、項目或者活動內(nèi)有效開展風險管理的人員；需要評定組織風險管理有效性的人員；整體或部分地實施風險管理的標準、指南、程序和操作規(guī)范的開發(fā)者。目前許多組織的管理實踐和過程包含了風險管理的要素，許多組織針對特定類型的風險或環(huán)境下已經(jīng)采用了正式的風險管理過程。在這種情況下，組織可以決定對照本國際標準對其現(xiàn)有的實踐和過程開展嚴格的評審。在本國際標準中，“風險管理(riskmanagement)和管

5、理風險(managingrisk)”都在使用。在通常的術語意義上，“風險管理(riskmanagement)涉及的有效管理風險的構(gòu)架(原則，框架和過程)，而“管理風險(managingrisk)”指的是運用該架構(gòu)管理特定風險。第 頁共23頁第 頁共23頁f創(chuàng)造價值小f谿臺在組織過程申的部勞-*支持決策a明噺解決不確定問題f系統(tǒng)、結(jié)構(gòu)化和聶時性屮-基干最可用信息中-*童體裁衣+J-考慮人文因耒1)-+透明和包容+JD動態(tài)、迭代和應對變化中總f實現(xiàn)組織的持續(xù)改進和強化4指子和承諾鳳險管理框架設計框架的監(jiān)框架的梓實施風險續(xù)改進4管理屮測和評審2溝通和協(xié)商七原則屮框架屮圖表1風險管理原則、框架、過程之

6、間的關系第 頁共23頁第 頁共23頁第 頁共23頁風險管理-原則和指南范圍本國際標準提供了風險管理的原則和通用性指南。本國際標準可用于任何公共、私有或公有企業(yè)、協(xié)會，團體或個體。因此本國際標準不針對任何特定行業(yè)或部門。注：為方便起見，本國際標準涉及的所有不同的用戶以通用術語“組織”稱謂。本國際標準可用于整個組織的生命周期及廣泛的活動，包括戰(zhàn)略和決策、運營、過程、職能、項目、產(chǎn)品、服務和資產(chǎn)。本國際標準可以應用于任何類型的風險，無論其性質(zhì)及是否有積極或消極的后果。盡管本國際標準提供了風險管理的通用性指南，但不意針對組織促進風險管理的統(tǒng)一性。風險管理計劃和框架的設計和實施需要考慮到特定組織的不同需

7、求、特定目標，狀況、結(jié)構(gòu)、運營、過程、職能、項目、產(chǎn)品、服務、或資產(chǎn)以及展開的具體實踐。意在運用本國際標準來協(xié)調(diào)現(xiàn)有和將來標準的風險管理過程。本標準提供了一個支持其他標準處理特定風險和行業(yè)風險的通用方法，而不是取代這些標準。本國際標準不意針對認證意圖。術語和定義下列術語和定義適用本標準。風險risk不確定性對目標的影響注1：影響是與期待的偏差積極和/或消極注2：目標可以有不同方面（如財務、健康安全、以及環(huán)境目標），可以體現(xiàn)在不同的層次（如戰(zhàn)略、組織范圍、項目、產(chǎn)品和過程）。注3：風險通常以潛在事件（2.19）和后果（2.20），或它們的組合來描述。注4：風險通常以事件（包括環(huán)境的變化）后果和發(fā)

8、生可能性（2.21）的組合來表達。注5：不確定性是指，與事件和其后果或可能性的理解或知識相關的信息的缺陷的狀態(tài)，或不完整。風險管理riskmanagement針對風險指揮和控制組織的協(xié)調(diào)活動。風險管理框架riskmanagementframework提供在組織內(nèi)設計、實施、監(jiān)測（2.28）、評審和持續(xù)改進風險管理（2.2）的基本原則和組織安排的要素集合。注1：基本原則包括管理風險的方針、目標、指令和承諾。注2：組織安排包括計劃、關系、責任、資源、過程和活動。注3：風險管理框架被嵌入到組織的整個戰(zhàn)略和運營的方針和實踐中。風險管理方針riskmanagementpolicy一個組織對風險管理的意圖

9、和方向的陳述。風險態(tài)度riskattitude組織評價、最終追蹤、保留、消除或規(guī)避風險的方法。風險管理計劃riskmanagementplan在風險管理框架內(nèi)規(guī)定用于風險管理的方法、管理要素、資源的方案。注1：管理要素一般包括程序、慣例、職責分配、活動順序和時間安排。注2：風險管理計劃可應用于特定的產(chǎn)品、過程和項目、組織的部分或整體。風險所有者riskowner具有風險管理權限和責任的個人或?qū)嶓w。風險管理過程riskmanagementprocess管理方針、程序和慣例對溝通、協(xié)商、確定狀況、以及識別、分析、評價、處理、監(jiān)測和評審風險活動的系統(tǒng)應用。確定狀況establishingthecon

10、text界定外部和內(nèi)部參數(shù)，以便在管理風險和設置風險管理方針的范圍及風險準則時，予以考慮。外部狀況externalcontext組織尋求實現(xiàn)其目標的外部環(huán)境。注：外部環(huán)境可包括：文化、社會、政治、法律法規(guī)、財政金融、技術、經(jīng)濟、自然和競爭環(huán)境，無論國際、國家、區(qū)域或地方對組織目標具有影響的主要驅(qū)動和趨勢。與外部利益相關方的關系和其感受和價值觀。內(nèi)部狀況internalcontext組織尋求實現(xiàn)其目標的外部環(huán)境。注：內(nèi)部狀況可包括：治理、組織結(jié)構(gòu)、作用和責任；方針、目標、以及實現(xiàn)它們的戰(zhàn)略；以資源和知識來理解的能力（如資本、時間、人員、過程、系統(tǒng)和技術）；信息系統(tǒng)、信息流和決策過程（正式和非正式

11、的）；與內(nèi)部利益相關方的關系、以及他們的感受和價值觀；組織的文化；標準、指南和組織采用的模式；合同關系的形式和范圍溝通和協(xié)商communicationandconsultation組織針對風險管理，提供、共享或獲取信息，與利益相關方進行對話的持續(xù)和反復的過程。注1：信息涉及風險管理的存在、性質(zhì)、形式、可能性、嚴重程度、評定可接受性、處理。注2：協(xié)商是組織與它的利益相關方，在做出決策或確定某一問題的方向前，針對問題雙向有事實依據(jù)的溝通的過程。協(xié)商是：通過影響力而非權力對決策施加影響；作為決策的輸入，而非加入決策。利益相關方stakeholder可以影響、被影響、或者覺得自己會被決策或活動影響的個

12、人或組織。注：決策者可以是利益相關者。風險評價riskassessment風險識別（2.15）、風險分析（2.21）和風險評定（2.24）的整個過程。風險識別riskidentification發(fā)現(xiàn)、認識、描述風險的過程。注1：風險識別包括風險源（2.16）、事件（2.17）、它們的起因及潛在后果的確定。注2：風險識別會涉及歷史數(shù)據(jù)、技術分析、有事實依據(jù)的和專家的觀點、以及利益相關方的需求。風險源risksource單獨地或以結(jié)合的形式具有產(chǎn)生風險的內(nèi)在可能性的因素。注：一個風險源可以是有形的或者無形的。事件event特殊系列環(huán)境的產(chǎn)生或變化。注1：一個事件可以是一個或多個事變，會有多種原因。

13、注2：事件可以由一些不發(fā)生的事情構(gòu)成。注3：事件有時被稱作“事件(incident)”或“事故(accident)”。注4：沒有后果的事件可以被稱作“nearmiss”、“incident”、“nearhit”、“closecall”。后果consequence事件對目標的影響結(jié)果。注1：一個事件可以產(chǎn)生一系列的后果。注2：后果可以是確定或不確定的，以及對目標具有積極或消極的影響。注3：后果可以被定性或定量地表述。注4：初步的后果通過連鎖效應可以逐步升級?？赡苄詌ikelihood某事發(fā)生的機會。注1：在風險管理術語學中，“可能性”是指事情發(fā)生的機會，不論是明確的、測量的，還是客觀或主觀地、定

14、性或定量地確定的，以及一般性或精確地描述(如在一定時段內(nèi)的可能性和頻率)。注2：英文“l(fā)ikelihood”在一些語言中沒有直接對應的等同詞，而同義詞“probability”經(jīng)常被使用。然而，在英文中，“probability”通常被狹義地理解為數(shù)學術語。因此，在風險管理術語學中，“l(fā)ikelihood”以它在許多非英語國家語言中的“probability”所具有的同樣的廣泛理解來使用。風險狀況riskprofile任何系列風險(2.1)的描述。注：該系列風險可包含與整個組織、組織的部分或者其他特定部分相關聯(lián)的風險。風險分析riskanalysis理解風險(2.1)的性質(zhì)和確定風險程度(2.

15、23)的過程。注1：風險分析為風險評定和風險處理決策提供了基礎。注2：風險分析包括風險估測。風險準則riskcriteria評價風險重要性的依據(jù)。注1：.風險準則基于組織的目標和內(nèi)外部狀況。注2：風險準則可出自于標準、法律、方針和其他要求。風險程度risklevel以后果和可能性的組合表達的風險的量或組合結(jié)果。風險評定riskevaluation將風險分析的結(jié)果與風險準則進行比較，以確定風險和(或)其量是否可接受或可容許。注：風險評定有助于有關風險處理的決策。風險處理risktreatment修正風險的過程。注1：風險處理可包括：通過決定不啟動或停止產(chǎn)生風險的活動而避免風險。為了追求機會采取或

16、增加風險。消除風險源。改變可能性。改變后果。與其他方面共同分擔風險(包括合同、風險融資)。通過有事實依據(jù)的決策保留風險。注2：對消極后果的風險處理有時可以稱為“風險減緩(riskmitigation)”、“風險消除(riskeliminate)”、“風險預防(riskprevention)”和“風險減小(riskreduction)”。注3：風險處理可以產(chǎn)生新的風險或修正已存在的風險?？刂拼胧ヽontrol修正風險的措施。第 頁共23頁第 頁共23頁注1：控制措施包括任何過程、方針、手段、慣例或其他修正風險的措施。注2：控制措施可能不總是產(chǎn)生預期或設想的修正效果。殘留風險residualris

17、k風險處理后余留下的風險。注1：殘留風險可包括未識別的風險。注2：殘留風險也可被認作“保留的風險（retainrisk）。監(jiān)測monitoring不斷檢查、監(jiān)督、嚴格觀察或確定狀態(tài)，以識別所要求或期待的績效水平的變化。注：監(jiān)測可應用于風險管理框架、風險管理過程、風險或控制措施。評審review為達到所建立的目標，確定有關事務的適宜性、充分性和有效性所采取的活動。注：評審可應用于風險管理框架、風險管理過程、風險或控制措施。原則為了風險管理有效，組織宜在各個層次遵循以下原則。a）風險管理創(chuàng)造和保護價值風險管理有助于目標明確的實現(xiàn)和績效的改進，例如，在人員的健康安全治安、法律法符合性、公眾接受性、環(huán)

18、境保護、產(chǎn)品質(zhì)量、項目管理、運營效率、治理和聲譽方面。b）風險管理是整合在所有組織過程中的部分風險管理不是與組織的主要活動和過程分開的孤立活動。風險管理是管理職責的部分和整合在所有組織過程中的部分，包括戰(zhàn)略規(guī)劃、所有項目、變更管理過程。c）風險管理支持決策風險管理可以幫助決策者做出明智的選擇、優(yōu)先的措施和辨別行動方向。d）風險管理明晰解決不確定問題風險管理明確地闡述不確定性、不確定性的性質(zhì)、以及如何加以解決。e）風險管理具備系統(tǒng)、結(jié)構(gòu)化和及時性系統(tǒng)、及時和結(jié)構(gòu)化的風險管理方法有助于提高效率和取得一致、可衡量和可靠的結(jié)果。f）風險管理基于最可用的信息風險管理過程的輸入基于信息源，如歷史數(shù)據(jù)、經(jīng)驗

19、、利益相關方的反饋觀察、預測和專家判斷。然而，決策者宜告誡自身和考慮，數(shù)據(jù)或所使用模型的局限性，或者專家之間分歧的可能性。g）風險管理是量體裁衣的風險管理是與組織的外部和內(nèi)部狀況及風險狀況相匹配的。h）風險管理考慮人文因素風險管理認識到可以促進或阻礙組織目標實現(xiàn)的內(nèi)部和外部人員的能力、觀念和意圖。i）風險管理是透明和包容的利益相關方、尤其是組織各層面的決策者適當、及時的參與，確保了風險管理保持相關和先進性。參與過程也允許利益相關方適當?shù)匕l(fā)表意見，并將其觀點考慮到風險準則的確定中。j）風險管理是動態(tài)、迭代和應對變化的風險管理持續(xù)察覺和響應變化。由于外部和內(nèi)部事件發(fā)生，狀況和知識在改變，風險的監(jiān)測

20、和評審在進行，新的風險出現(xiàn)，一些風險在改變，而另一些風險消失了。k）風險管理實現(xiàn)組織的持續(xù)改進組織宜制定和實施戰(zhàn)略，協(xié)同組織的其他方面共同改進風險管理的成熟度。附件A為希望更有效地實施管理風險的組織提供了進一步的建議。框架總則風險管理的成功取決于提供將風險管理嵌入整個組織所有層次的基礎和安排的管理框架的有效性。框架有助于通過在組織不同層次和特定狀況內(nèi)應用風險管理過程，有效地管理風險?？蚣艽_保從風險管理過程取得的風險信息充分地被報告，以及作為決策和所有相關組織層次責任的基礎。本條款描述了風險管理框架的必要要素和其以迭代的方式相互作用的方法，如圖2。本框架目的不是規(guī)定一個管理體系，而是有助于組織將

21、風險管理整合到它的整個管理體系中。因此，組織宜使框架的要素適用于其特定的需求。如果組織現(xiàn)存的管理實踐和過程包含風險管理要素，或者如果組織已經(jīng)針對特定的風險或狀況采納了一個正式的風險管理過程，那么對原有的這些實踐和過程宜針對本標準進行評審和評價，包括附錄A中包含的附加內(nèi)容，以確定它們的充分性和有效性。指令和承諾風險管理的引入和確保它的持續(xù)有效需要組織管理著強有力和持續(xù)的承諾，以及為實現(xiàn)承諾在所有層次戰(zhàn)略的和嚴密的策劃。管理者宜：確定和簽署風險管理方針；確保組織的文化和風險管理方針一致；確定與組織績效參數(shù)一致的風險管理績效參數(shù)；使風險管理目標與組織的目標和戰(zhàn)略一致；確保法律法規(guī)的復合性；在組織內(nèi)適

22、當?shù)膶哟畏峙湄熑魏吐氊?；確保為風險管理配置必要的資源；將風險管理的益處通報給所有的利益相關方；確保風險管理框架持續(xù)保持適宜。風險管理框架的設計理解組織和其狀況在開始設計和實施風險管理框架前，評價和理解組織內(nèi)外部的狀況是重要的，因為這會對框架的設計產(chǎn)生顯著的影響。評價組織外部狀況可以包括，但不限于：社會和文化、政治、法律法規(guī)、財務、技術、經(jīng)濟、自然和競爭環(huán)境，無論國際、國內(nèi)、區(qū)域和當?shù)?；影響組織目標的動力和趨勢；與外部利益相關方的關系，以及它們的感受和價值觀。評價組織內(nèi)部狀況可以包括，但不限于：管理方法、組織結(jié)構(gòu)、作用和責任；方針、目標，以及為實現(xiàn)它們所制定的戰(zhàn)略；以資源和知識來理解的能力(例如

23、，資本、時間、人員、過程、系統(tǒng)和技術)；信息系統(tǒng)、信息流和決策過程(正式和非正式的)；與內(nèi)部利益相關方的關系，以及它們的感受和價值觀；組織的文化；被組織采用的標準、指南和模型；合同關系的形式和范圍。建立風險管理方針風險管理方針宜清楚闡明組織風險管理的目標和承諾，特別要針對：組織管理風險的基本原理；組織目標和方針與風險管理方針的聯(lián)系；管理風險的責任和職責；處理利益沖突的方法；提供有助于管理風險必要資源的承諾；風險管理績效測量和報告的方法；對定期評審和改進風險管理方針和框架，以及對事件和環(huán)境變化做出響應的承諾。風險管理方針宜適當?shù)販贤?。責任組織宜確保具備管理風險的責任、權限和適當?shù)哪芰Γ▽嵤┖?/p>

24、保持風險管理過程和確保任何控制措施的充分性、有效性和效率。這可通過如下途徑來實現(xiàn)：確定有責任和權利管理風險的風險擁有者；確定負責建立、實施和保持風險管理框架的人員；確定組織所有層次人員的風險管理過程的其他職責；建立績效測量和內(nèi)部和外部報告和逐級報告過程；確保確定的合適程度。整合到組織的過程風險管理宜益相關、有效和有效率的方式嵌入到所有組織的實踐和過程中。風險管理過程宜變成組織過程的部分，而不是分離的。特別是，風險管理宜嵌入方針制定、商業(yè)和戰(zhàn)略策劃和評審和變更管理過程中。宜具備一個組織的廣泛風險管理計劃以確保風險管理方針的實施和將風險管理嵌入全部組織的實踐和過程中。風險管理計劃可以整合到組織其他

25、的計劃中，如戰(zhàn)略計劃。資源組織宜為風險管理配置適當?shù)馁Y源。對如下方面宜予以考慮：人員、技能、經(jīng)驗和能力；對于風險管理過程的每步驟所需的資源；用于管理風險的組織的過程、方法和工具；形成文件的過程和程序；管理體系的信息和知識；培訓方案。建立內(nèi)部溝通和報告機制組織宜建立內(nèi)部溝通和報告機制，用于支持和促進風險的責任和歸屬。這些機制宜確保：風險管理框架的關鍵要素和任何后續(xù)的更改被適當?shù)販贤?；對框架和其有效性及結(jié)果在內(nèi)部充分地予以報告；風險管理的相關信息在適當?shù)膶哟魏蜁r間予以獲得；與內(nèi)部利益相關方的協(xié)商過程被予以提供。適當時，這些機制宜包括基于多源頭強化風險信息的過程，以及可能需要考慮信息的敏感性。建立外

26、部溝通和報告機制組織宜制定和實施一個關于如何與外部利益相關方溝通的計劃。這宜包括：吸引適當?shù)耐獠坷嫦嚓P方的關注和確保有效的信息交流；對外報告法律法規(guī)和管理要求的遵守情況；對溝通和協(xié)商進行報告和反饋；運用溝通來建立組織的信心；向利益相關方溝通緊急或突發(fā)事件。適當時，這些機制宜包括基于多源頭強化風險信息的過程，以及可能需要考慮信息的敏感性。實施風險管理實施管理風險的框架在實施組織的管理風險的框架時，組織宜：確定實施框架的適當時間安排和策略；將風險管理方針和過程應用到組織的過程；遵守法律法規(guī)要求；確保決策，包括目標的制定和設立，與風險管理過程輸出結(jié)果一致舉行信息和培訓會議；與利益相關方進行溝通和協(xié)

27、商以確保其風險管理框架保持正確；實施風險管理過程風險管理宜通過確保將第五章描述的風險管理過程通過風險管理計劃作為組織實踐和過程的一部分應用到組織相關職能和層次?？蚣艿谋O(jiān)測和評審為了確保風險管理有效和持續(xù)改進組織的績效，組織宜：針對適當定期評審的參數(shù)測量風險管理績效；定期測量風險管理計劃的進展和偏離；基于組織的內(nèi)部和外部狀況，定期評審風險管理框架、方針和計劃是否仍然適宜；報告風險、風險管理計劃的進展和風險管理方針如何較好地執(zhí)行；評審風險管理框架的有效性。框架的持續(xù)改進基于監(jiān)測和評審結(jié)果，宜做出如何可以改進風險管理框架、方針和計劃的決策。這些決策宜致使組織的風險管理和風險管理文化的改進。過程總則風

28、險管理過程宜是：整合到管理中的的一部分；嵌入文化和實踐之中；針對組織的經(jīng)營過程制作。它由5.2到5.6描述的活動組成。風險管理過程如圖3。圖表3-風險管理過程溝通和協(xié)商與內(nèi)、外部利益相關方溝通和協(xié)商宜在風險管理過程所有階段進行。因此，溝通和協(xié)商計劃宜在早期制定。該計劃宜針對與風險本身、風險成因、風險后果（如果掌握）以及處理風險措施相關的問題。為確保實施風險管理過程的職責明確，以及利益相關方理解決策的基礎和特定措施需求的原因，宜采取有效的外部和內(nèi)部溝通和協(xié)商。協(xié)商團隊方法可以：適當?shù)貛椭鞔_狀況；確保利益相關方的利益被理解和考慮；幫助確保風險充分地被識別；將不同領域的專業(yè)知識一并用于分析風險；確

29、保在界定風險準則和評定風險時，不同的觀點被恰當?shù)乜紤]；確保認同和支持處理計劃；加強在風險管理過程中的變更管理；制定一個恰當?shù)膬?nèi)部和外部溝通和協(xié)商計劃。與利益相關方的溝通協(xié)商是重要的，由于他們基于對風險的感知，做出了對風險的判斷。這些感知可以由于利益相關方的價值觀、需求、臆斷、概念和關注點的不同而變化。由于利益相關方的觀點會對決策產(chǎn)生重大影響，因此他們的感知以被識別、記錄、以及在決策過程中考慮。溝通和協(xié)商宜提供真實的、相關的、準確的、便于理解的交流信息，同時宜考慮到保密和個人誠實因素。明確狀況總則通過明確狀況，組織明確其目標，界定管理風險要考慮的外部和內(nèi)部參數(shù)確定風險管理過程的范圍和風險準則。盡

30、管許多此類參數(shù)與風險管理框架設計時所考慮的參數(shù)類似（參見4.3.1），但在明確風險管理過程的狀況時，這些參數(shù)需要細致地，特別是與特定風險管理過程聯(lián)系起來考慮。明確外部狀況外部狀況是指組織尋求實現(xiàn)其目標的外部環(huán)境。為了確保在建立風險準則時，目標和外部利益相關方的關注點被予以考慮，理解外部狀況是重要的。它基于組織寬泛的狀況，但具備法律法規(guī)要求的具體細節(jié)、利益相關方的觀點、風險管理過程范圍風險的其他因素。外部狀況可以包括，但不局限于：社會、文化、政治、法律法規(guī)、金融、技術、經(jīng)濟、自然和競爭環(huán)境，無論國際、國內(nèi)、區(qū)域，還是本地的；影響組織目標的主要動力和趨勢；與外部利益相關方的關系，外部利益相關方的觀

31、點和價值觀。明確內(nèi)部狀況內(nèi)部狀況是指組織尋求實現(xiàn)其目標的內(nèi)部環(huán)境。風險管理過程宜與組織的文化、過程、結(jié)構(gòu)和戰(zhàn)略相一致。內(nèi)部狀況是組織內(nèi)能夠影響管理風險方法的方面。內(nèi)部狀況宜明確，因為：a）風險管理是在組織的目標狀況下進行；b）具體項目、過程或活動的目標和準則，宜依據(jù)組織的整體目標予以考慮；c）一些組織未能意識到實現(xiàn)它們戰(zhàn)略、項目或經(jīng)營目標的機會，這影響了持續(xù)的組織承諾、信譽、誠信和價值觀。理解內(nèi)部狀況是必要的，這可包括，但不僅限于：治理、組織結(jié)構(gòu)、作用和責任；方針、目標，為實現(xiàn)方針和目標制定的戰(zhàn)略；基于資源和知識理解的能力（如：資金、時間、人員、過程、系統(tǒng)和技術）；與內(nèi)部利益相關方的關系，內(nèi)部

32、利益相關方的觀點和價值觀；組織的文化；信息系統(tǒng)、信息流和決策過程（正式與非正式）；組織所采用的標準、指南和模式；合同關系的形式與范圍。明確風險管理過程狀況宜確立組織活動的目標、策略、范圍和參數(shù)，或風險管理過程應用到的組織的那些部分。風險管理宜充分考慮滿足開展風險管理的資源需求。所需的資源、職責、權限和要保存的記錄也宜予以規(guī)定。風險管理過程的狀況根據(jù)組織需求而變化。它可以包括，但不僅限于：確定風險管理活動的目標；確定風險管理過程的職責；確定所要開展的風險管理活動的范圍以及深度、廣度，包括具體的內(nèi)涵和外延；以時間和地點，界定活動、過程、職能、項目、產(chǎn)品、服務或資產(chǎn)界定組織特定項目、過程或活動與其他

33、項目、過程或活動之間的關系；確定風險評價的方法；確定評價風險管理的績效和有效性的方法；識別和規(guī)定所必須要做出的決策；確定所需的范圍或框架性研究，它們的程度和目標，以及此種研究所需資源。對這些和其他相關因素的關注，有助于確保所采用的風險管理方法適合于環(huán)境、組織、以及影響目標實現(xiàn)的風險。確定風險準則組織宜確定用于評定風險重要性的準則。該準則宜反映組織的價值觀、目標和資源。一些準則可以服從或引用法律法規(guī)要求或組織簽署的其他要求。風險準則宜與組織風險管理方針一致（見4.3.2），在風險管理過程開始時予以確定，并予以持續(xù)評審。當確定風險準則時，要考慮的因素宜包括如下：可以出現(xiàn)的致因和后果的性質(zhì)和類別，以

34、及如何予以測量；可能性如何確定；可能性和（或）后果的時間范圍；風險程度如何確定；利益相關方的觀點；風險可接受或可容許的程度；多種風險的組合是否予以考慮，如果是，如何考慮及哪種風險組合宜予以考慮。5.4風險評價總則風險評價是風險識別、風險分析和風險評定的總的過程。注：ISO/IEC31010提供了風險評價技術指南。風險識別組織宜識別風險源、影響區(qū)域、事件（包括環(huán)境變化）以及致因和潛在后果。此步驟的目的是產(chǎn)生一個基于哪些可能產(chǎn)生、增強、阻礙、加快或推遲目標實現(xiàn)的事件的風險的綜合表格。識別與不尋求機會相關的風險是重要的。綜合識別是非常重要的，因為此階段沒有識別的風險將不會包含在進一步的分析中。識別宜

35、包括其源是否在組織的控制下的風險，即使風險源或致因可能不明顯。風險識別宜包括考查特定后果直接影響，包括聯(lián)鎖和累積影響。也要考慮寬范圍的后果，即使風險源或致因可能不明顯。也要識別什么可能發(fā)生，考慮表明什么后果可以出現(xiàn)的可能致因和場景是必要的。所有重要的致因和后果宜予以考慮。組織宜應用適合其目標、能力及所面臨風險的風險識別工具和技術。在識別風險時，相關和最新的信息是重要的。這宜包括可能的適當背景信息。具有適當知識的人員宜參與到識別風險中。風險分析風險分析涉及開展風險的理解。風險分析為風險評定和確定風險是否需要處理以及最適合的風險處理策略和方法，提供了輸入。風險分析也可以為必須做出選擇及選擇涉及不同

36、類型和程度的風險的決策，提供輸入。風險分析包括考慮風險的致因和來源，以及所帶來的正面和負面的后果及這些后果發(fā)生的可能性。影響后果的因素和可能性宜被識別。通過確定后果和其可能性、以及其他風險特性，來進行風險分析。一個事件可以有多種結(jié)果并可以影響多重目標?，F(xiàn)存的控制措施和其效果和效率也宜被考慮在內(nèi)。后果和可能性的表述方式，以及它們組合確定風險程度的方式，宜反映風險類型、可獲得的信息、以及運用風險評價輸出的意圖。這些全部都宜符合風險準則?？紤]不同風險和其源的相互依賴也是重要的。風險程度的確定和其前提和假設的敏感性的信心，宜在風險分析中予以考慮，并有效溝通給決策者以及適當?shù)睦嫦嚓P方。諸如專家間觀點的

37、分歧、不確定性、可用性、質(zhì)量、數(shù)量、信息的持續(xù)相關性、或模型的局限性等因素，宜予以闡述和可以重點強調(diào)。風險分析可以在不同程度的細節(jié)上進行，這取決于風險本身、分析目的可用的信息、數(shù)據(jù)和來源。依據(jù)環(huán)境條件，分析可以定性的、半定量或定量的也可以是組合的方式。后果和其可能性可以通過模擬一個或一系列事件的結(jié)果，或由實驗研究或可用數(shù)據(jù)推斷確定。后果可基于有形和無形的影響表述。在某些情況下，一個以上的數(shù)值或描述，需要界定對于不同時間、地點、團體或狀況的后果和其可能性。風險評定風險評價的目的是，基于風險分析的結(jié)果，幫助做出有關風險需要處理和處理實施優(yōu)先的決策。風險評定包括將分析過程中確定的風險程度與在明確狀況時建立的風險準則進行比較?；谶@種比較，處理需求可予以考慮。決策宜考慮更為寬泛風險含義，包括考慮風險獲益組織外的團體對風險的容忍性。決策宜依據(jù)法律法規(guī)和其他要求做出。在某些情況下，風險評定可導致對決策的進一步分析。風險評定也可導致除了保持現(xiàn)存措施，不以任何方式處理風險的決策。通過組織的風險態(tài)度和已建立的風險準則，對此決策施加影響。風險處理總則風險處理包括選擇一種或幾種修正風險的方案，以及實施那些方案。一旦實施了方案，處理提供或改進了控制措施。風險處理包括了一個循環(huán)過程：評價風險處理；確定殘留風險程度是否可容許；如果不可容許，產(chǎn)生新的風險處理；評價該處理的有