ISO31000-2009風險管理系統(tǒng)原則與實施指南設計

1、實用標準IS031000-2009風險管理原則與實施指南引 言所有類型和規(guī)模的組織都面臨內部和外部的、使組織不能確定是否及何時實現其目標的因素和影響。這種不確定性所具有的對組織目標的影響就是“風險”。組織的所有活動都涉及風險。組織通過識別、分析和評定是否運用風險處理修正風險以滿足它們的風險準則，來管理風險。通過這個過程，它們與利益相關方進行溝通和協(xié)商，監(jiān)測和評審風險,以及為確保不再進一步需求風險處理而修正風險的控制措施。本國際標準詳細描述了這一系統(tǒng)的和邏輯的過程。盡管所有的組織在某種程度上都在管理風險，本國際標準建立了一些為使風險管理變得有效而需要滿足的原則。本國際標準建議，組織制定、實施和持

2、續(xù)改進一個框架，其目的是將風險管理過 程整合到組織的整體治理、戰(zhàn)略和規(guī)劃、管理、報告過程、方針、價值觀和文化中。風險管理可以在組織多個領域和層次、任何時間，應用到整個組織，以及具體職能、項目和活 動。盡管在過去一段時間在許多行業(yè)，為滿足不同的需要，已經開展了風險管理實踐，但在一個綜 合框架內采用一致性過程有助于確保在組織內有效、有效率和結合性地管理風險。本國際標準中所 描述的通用方法提供了在任何范圍和狀況下，以系統(tǒng)、清晰、可靠的方式管理風險的原則和指南。每一個具體行業(yè)或風險管理的應用都產生了各自的需求、受眾、觀念和準則。因此，本國際標 準的主要特點是將所包含“確定狀況”作為通用風險管理過程開始

3、的活動。確定狀況將捕獲組織的 目標，組織所追求目標的環(huán)境，組織的利益相關方和風險準則的多樣性，所有這些都將幫助揭示和 評價風險的性質和復雜性。本國際標準描述的風險管理原則、框架和風險管理過程之間的關系，如圖1所示。當依據本國際標準實施和保持風險管理時，能夠使組織，例如：文檔實用標準文檔 提高實現目標的可能性；鼓勵主動性管理；在整個組織意識到識別和處理風險的需求；改進機會和威脅的識別能力； 符合相關法律法規(guī)要求和國際規(guī)范； 改進強制性和自愿性報告；改善治理； 提高利益相關方的信心和信任；為決策和規(guī)劃建立可靠的根基；加強控制； 有效地分配和利用風險處理的資源；提高運營的效果和效率；增強健康安全績效

4、，以及環(huán)境保護；改善損失預防和事件管理；減少損失；提高組織的學習能力提高組織的應變能力本國際標準旨在滿足眾多利益相關方的需求，包括：a） 負責制定組織風險管理方針的人員 ；b）負責確保在組織整體、或者某一特定區(qū)域、項目或者活動內有效開展風險管理的人員c）需要評定組織風險管理有效性的人員；d ）整體或部分地實施風險管理的標準、指南、程序和操作規(guī)范的開發(fā)者。許多組織針對特定類型的風險或環(huán)境目前許多組織的管理實踐和過程包含了風險管理的要素，下已經采用了正式的風險管理過程。在這種情況下，組織可以決定對照本國際標準對其現有的實踐和過程開展嚴格的評審。在本國際標準中，風險管理(risk managemen

5、t )”和“管理風險(managing risk )”都在 使用。在通常的術語意義上，風險管理(risk management )”涉及的有效管理風險的構架 (原則, 框架和過程)，而管理風險(managing risk )”指的是運用該架構管理特定風險。明確狀況風險評價 風險識別溝通和協(xié)商風險分析風險處理過程監(jiān)測和評審監(jiān)控和評審風險管理-原則和指南1范圍本國際標準提供了風險管理的原則和通用性指南。本國際標準可用于任何公共、私有或公有企業(yè)、協(xié)會，團體或個體。因此，本國際標準不針對任何特定行業(yè)或部門。注：為方便起見，本國際標準涉及的所有不同的用戶以通用術語“組織”稱謂。本國際標準可用于整個組織的

6、生命周期及廣泛的活動，包括戰(zhàn)略和決策、運營、過程、職能、項目產品、服務和資產。本國際標準可以應用于任何類型的風險，無論其性質及是否有積極或消極的后果。盡管本國際標準提供了風險管理的通用性指南，但不意針對組織促進風險管理的統(tǒng)一性。風險管理計劃和框架的設計和實施需要考慮到特定組織的不同需求、特定目標，狀況、結構、運營、過 程、職能、項目、產品、服務、或資產以及展開的具體實踐。意在運用本國際標準來協(xié)調現有和將來標準的風險管理過程。本標準提供了一個支持其他標準處理特定風險和行業(yè)風險的通用方法，而不是取代這些標準。本國際標準不意針對認證意圖。2術語和定義下列術語和定義適用本標準。2.1 風險 risk不

7、確定性對目標的影響注1 ：影響是與期待的偏差 積極和 /或消極注2 :目標可以有不同方面（如財務、健康安全、以及環(huán)境目標），可以體現在不同的層次（如戰(zhàn)略、組織范圍、項目、產品和過程）。注3 :風險通常以潛在事件（2.19 ）和后果（2.20 ），或它們的組合來描述。注4 :風險通常以事件（包括環(huán)境的變化）后果和發(fā)生可能性（2.21 ）的組合來表達。注5 :不確定性是指，與事件和其后果或可能性的理解或知識相關的信息的缺陷的狀態(tài)，或不完整。ISO 導則 73:2009,定義 1.122 風險管理 risk management針對風險指揮和控制組織的協(xié)調活動。ISO 導則 73:2009, 定義

8、2.12.3 風險管理框架 risk management framework提供在組織內設計、實施、監(jiān)測（2.28 ）、評審和持續(xù)改進風險管理（2.2 ）的基本原則和組織安排的要素集合。注1 ：基本原則包括管理風險的方針、目標、指令和承諾。注2 :組織安排包括計劃、關系、責任、資源、過程和活動。注3 :風險管理框架被嵌入到組織的整個戰(zhàn)略和運營的方針和實踐中ISO 導則 73:2009, 定義 2.1.12.4 風險管理方針risk management policy一個組織對風險管理的意圖和方向的陳述。ISO 導則 73:2009,定義 2.1.22.5 風險態(tài)度 risk attitude

9、組織評價、最終追蹤、保留、消除或規(guī)避風險的方法。ISO 導則 73:2009,定義 3.7.1.12.6 風險管理計劃risk management plan在風險管理框架內規(guī)定用于風險管理的方法、管理要素、資源的方案。注1 ：管理要素一般包括程序、慣例、職責分配、活動順序和時間安排。注2 :風險管理計劃可應用于特定的產品、過程和項目、組織的部分或整體。ISO 導則 73:2009,定義 2.1.32.7風險所有者 risk own er具有風險管理權限和責任的個人或實體。ISO 導則 73:2009,定義 3.5.1.42.8 風險管理過程risk management process管理方

10、針、程序和慣例對溝通、協(xié)商、確定狀況、以及識別、分析、評價、處理、監(jiān)測和評審 風險活動的系統(tǒng)應用。ISO 導則 73:2009,定義 3.12.9 確定狀況 establish ing the con text界定外部和內部參數，以便在管理風險和設置風險管理方針的范圍及風險準則時，予以考慮。ISO 導則 73:2009,定義 3.3.12.10 外部狀況 external context組織尋求實現其目標的外部環(huán)境。注：外部環(huán)境可包括： 文化、社會、政治、法律法規(guī)、財政金融、技術、經濟、自然和競爭環(huán)境，無論國際、國家、區(qū)域或地方 對組織目標具有影響的主要驅動和趨勢。與外部利益相關方的關系和其感

11、受和價值觀。ISO 導則 73:2009,定義 3.3.1.12.11 內部狀況 in ternal con text組織尋求實現其目標的外部環(huán)境。注：內部狀況可包括： 治理、組織結構、作用和責任；方針、目標、以及實現它們的戰(zhàn)略； 以資源和知識來理解的能力（如資本、時間、人員、過程、系統(tǒng)和技術）；信息系統(tǒng)、信息流和決策過程（正式和非正式的）； 與內部利益相關方的關系、以及他們的感受和價值觀；組織的文化； 標準、指南和組織采用的模式；合同關系的形式和范圍ISO 導則 73:2009,定義 3.3.1.22.12 溝通和協(xié)商 commu ni cation and con sultati on組織

12、針對風險管理，提供、共享或獲取信息，與利益相關方進行對話的持續(xù)和反復的過程。注1 ：信息涉及風險管理的存在、性質、形式、可能性、嚴重程度、評定、可接受性、處理。注2 :協(xié)商是組織與它的利益相關方，在做岀決策或確定某一問題的方向前，針對問題雙向有事實依據的溝通 的過程。協(xié)商是：通過影響力而非權力對決策施加影響；作為決策的輸入，而非加入決策。ISO 導則 73:2009,定義 3.2.12.13 利益相關方 stakeholder可以影響、被影響、或者覺得自己會被決策或活動影響的個人或組織。注：決策者可以是利益相關者。ISO 導則 73:2009,定義 3.2.1.12.14 風險評價 risk

13、assessme nt風險識別（2.15 ）、風險分析（2.21 ）和風險評定（2.24 ）的整個過程。ISO 導則 73:2009,定義 3.4.12.15 風險識別 risk ide ntificatio n發(fā)現、認識、描述風險的過程。注1 :風險識別包括風險源（2.16 ）、事件（2.17 ）、它們的起因及潛在后果的確定。注2 :風險識別會涉及歷史數據、技術分析、有事實依據的和專家的觀點、以及利益相關方的需求。ISO 導則 73:2009,定義 3.5.12.16 風險源 risk source單獨地或以結合的形式具有產生風險的內在可能性的因素。注：一個風險源可以是有形的或者無形的。IS

14、O 導則 73:2009,定義 3.5.1.12.17 事件 event特殊系列環(huán)境的產生或變化。注1 :.一個事件可以是一個或多個事變，會有多種原因。注2 :事件可以由一些不發(fā)生的事情構成。注3 :事件有時被稱作事件（incident ）或事故（accident ） ”。注4 :.沒有后果的事件可以被稱作“ near miss ”、“ incident ”、“ near hit ” 、“ close callISO 導則 73:2009,定義 3.5.1.22.18 后果 consequenee事件對目標的影響結果。注1 :一個事件可以產生一系列的后果。注2 :后果可以是確定或不確定的，以及

15、對目標具有積極或消極的影響。注3 :后果可以被定性或定量地表述。注4 :初步的后果通過連鎖效應可以逐步升級。ISO 導則 73:2009,定義 361.32.19 可能性 likelihood某事發(fā)生的機會。注1 ：在風險管理術語學中，“可能性”是指事情發(fā)生的機會，不論是明確的、測量的，還是客觀或主觀地、 定性或定量地確定的，以及一般性或精確地描述（如在一定時段內的可能性和頻率）。注2 :英文“ likelihood ”在一些語言中沒有直接對應的等同詞，而同義詞“probability ”經常被使用。然而，在英文中，“ probability ”通常被狹義地理解為數學術語。因此，在風險管理術語

16、學中，“l(fā)ikelihood ”以它在許多非英語國家語言中的“ probability ”所具有的同樣的廣泛理解來使用。ISO 導則 73:2009,定義 3.6.1.12.20 風險狀況 risk profile任何系列風險（2.1 ）的描述。注：該系列風險可包含與整個組織、組織的部分或者其他特定部分相關聯的風險。ISO Guide 73:2009, definition 3.8252.21 風險分析 risk an alysis理解風險（2.1 ）的性質和確定風險程度（2.23 ）的過程。注1 ：風險分析為風險評定和風險處理決策提供了基礎。注2 :風險分析包括風險估測。ISO 導則 73:

17、2009,定義 3.6.12.22 風險準則 risk criteria評價風險重要性的依據。注1 :.風險準則基于組織的目標和內外部狀況。注2 :風險準則可岀自于標準、法律、方針和其他要求。ISO 導則 73:2009,定義 3.3.1.32.23 風險程度 risk level以后果和可能性的組合表達的風險的量或組合結果。ISO 導則 73:2009,定義 3.6.1.82.24 風險評定 risk evaluatio n將風險分析的結果與風險準則進行比較，以確定風險和（或）其量是否可接受或可容許。注：風險評定有助于有關風險處理的決策。ISO 導則 73:2009,定義 3.7.12.25

18、 風險處理 risk treatment修正風險的過程。注1 ：風險處理可包括：通過決定不啟動或停止產生風險的活動而避免風險。為了追求機會采取或增加風險。消除風險源。改變可能性。改變后果。 與其他方面共同分擔風險(包括合同、風險融資)。通過有事實依據的決策保留風險。(risk eliminate )注2 :對消極后果的風險處理有時可以稱為“風險減緩( risk mitigation )”、風險消除風險預防(risk prevention ) ”和風險減小(risk reduction ) ”。注3 :風險處理可以產生新的風險或修正已存在的風險。ISO 導則 73:2009,定義 3.8.12.

19、26控制措施control修正風險的措施。注1 ：控制措施包括任何過程、方針、手段、慣例或其他修正風險的措施。注2 :控制措施可能不總是產生預期或設想的修正效果。ISO 導則 73:2009,定義 3.8.1.12.27 殘留風險 residual risk風險處理后余留下的風險。注1 ：殘留風險可包括未識別的風險。注2 :殘留風險也可被認作“保留的風險(retain risk )。ISO 導則 73:2009,定義 3.8.1.62.28 監(jiān)測 monitoring不斷檢查、監(jiān)督、嚴格觀察或確定狀態(tài)，以識別所要求或期待的績效水平的變化。注：監(jiān)測可應用于風險管理框架、風險管理過程、風險或控制措

20、施。ISO 導則 73:2009,定義 3.8.2.12.29 評審 review為達到所建立的目標，確定有關事務的適宜性、充分性和有效性所采取的活動。注：評審可應用于風險管理框架、風險管理過程、風險或控制措施。ISO 導則 73:2009,定義 3.8223原則為了風險管理有效，組織宜在各個層次遵循以下原則。a）風險管理創(chuàng)造和保護價值風險管理有助于目標明確的實現和績效的改進，例如，在人員的健康安全、治安、法律法符合 性、公眾接受性、環(huán)境保護、產品質量、項目管理、運營效率、治理和聲譽方面。b）風險管理是整合在所有組織過程中的部分風險管理不是與組織的主要活動和過程分開的孤立活動。風險管理是管理職

21、責的部分和整合在所有組織過程中的部分，包括戰(zhàn)略規(guī)劃、所有項目、變更管理過程。c）風險管理支持決策風險管理可以幫助決策者做出明智的選擇、優(yōu)先的措施和辨別行動方向。d）風險管理明晰解決不確定問題風險管理明確地闡述不確定性、不確定性的性質、以及如何加以解決。e）風險管理具備系統(tǒng)、結構化和及時性系統(tǒng)、及時和結構化的風險管理方法有助于提高效率和取得一致、可衡量和可靠的結果。f）風險管理基于最可用的信息風險管理過程的輸入基于信息源，如歷史數據、經驗、利益相關方的反饋、觀察、預測和專家判斷。然而，決策者宜告誡自身和考慮，數據或所使用模型的局限性，或者專家之間分歧的可能性。g）風險管理是量體裁衣的風險管理是與

22、組織的外部和內部狀況及風險狀況相匹配的。h）風險管理考慮人文因素風險管理認識到可以促進或阻礙組織目標實現的內部和外部人員的能力、觀念和意圖。i）風險管理是透明和包容的利益相關方、尤其是組織各層面的決策者適當、及時的參與，確保了風險管理保持相關和先進 性。參與過程也允許利益相關方適當地發(fā)表意見，并將其觀點考慮到風險準則的確定中。j）風險管理是動態(tài)、迭代和應對變化的風險管理持續(xù)察覺和響應變化。由于外部和內部事件發(fā)生，狀況和知識在改變，風險的監(jiān)測和 評審在進行，新的風險出現，一些風險在改變，而另一些風險消失了。k）風險管理實現組織的持續(xù)改進組織宜制定和實施戰(zhàn)略，協(xié)同組織的其他方面共同改進風險管理的成

23、熟度。附件A為希望更有效地實施管理風險的組織提供了進一步的建議。4框架4.1總則風險管理的成功取決于提供將風險管理嵌入整個組織所有層次的基礎和安排的管理框架的有效性?？蚣苡兄谕ㄟ^在組織不同層次和特定狀況內應用風險管理過程，有效地管理風險?？蚣艽_ 保從風險管理過程取得的風險信息充分地被報告，以及作為決策和所有相關組織層次責任的基礎。本條款描述了風險管理框架的必要要素和其以迭代的方式相互作用的方法，如圖2。指令和承諾（4.2）風險管理框架的設計（4.3） 理解組織和其狀況（431） 建立風險管理方針（432）責任（4.3.3）融入組織的過程（4.3.4）資源（4.3.5）建立內部溝通和報告機制（

24、4.3.6）建立外部溝通和報告機制（4.3.7）框架的持續(xù)改進（4.6）框架的監(jiān)測和評審（4.5）實施風險管理（4.4）實施風險管理框架（4.4.1 ）實施風險管理過程（4.4.2）圖2風險管理框架要素間的相互關系本框架目的不是規(guī)定一個管理體系，而是有助于組織將風險管理整合到它的整個管理體系中。 因此，組織宜使框架的要素適用于其特定的需求。如果組織現存的管理實踐和過程包含風險管理要素，或者如果組織已經針對特定的風險或狀況采納了一個正式的風險管理過程，那么對原有的這些實踐和過程宜針對本標準進行評審和評價，包 括附錄A中包含的附加內容，以確定它們的充分性和有效性。4.2指令和承諾風險管理的引入和確

25、保它的持續(xù)有效需要組織管理著強有力和持續(xù)的承諾，以及為實現承諾在所有層次戰(zhàn)略的和嚴密的策劃。管理者宜：確定和簽署風險管理方針；確保組織的文化和風險管理方針一致；確定與組織績效參數一致的風險管理績效參數；使風險管理目標與組織的目標和戰(zhàn)略一致；確保法律法規(guī)的復合性；在組織內適當的層次分配責任和職責；確保為風險管理配置必要的資源；將風險管理的益處通報給所有的利益相關方；確保風險管理框架持續(xù)保持適宜。4.3風險管理框架的設計4.3.1理解組織和其狀況在開始設計和實施風險管理框架前，評價和理解組織內外部的狀況是重要的，因為這會對框架 的設計產生顯著的影響。評價組織外部狀況可以包括，但不限于：a）社會和文

26、化、政治、法律法規(guī)、財務、技術、經濟、自然和競爭環(huán)境，無論國際、國內、區(qū) 域和當地；b）影響組織目標的動力和趨勢；c）與外部利益相關方的關系，以及它們的感受和價值觀。評價組織內部狀況可以包括，但不限于： 管理方法、組織結構、作用和責任；方針、目標，以及為實現它們所制定的戰(zhàn)略； 以資源和知識來理解的能力（例如，資本、時間、人員、過程、系統(tǒng)和技術）；信息系統(tǒng)、信息流和決策過程（正式和非正式的）與內部利益相關方的關系，以及它們的感受和價值觀；組織的文化； 被組織采用的標準、指南和模型；合同關系的形式和范圍。432建立風險管理方針風險管理方針宜清楚闡明組織風險管理的目標和承諾，特別要針對：組織管理風險

27、的基本原理；組織目標和方針與風險管理方針的聯系；管理風險的責任和職責；處理利益沖突的方法；提供有助于管理風險必要資源的承諾；風險管理績效測量和報告的方法； 對定期評審和改進風險管理方針和框架，以及對事件和環(huán)境變化做出響應的承諾。風險管理方針宜適當地溝通。4.3.3責任組織宜確保具備管理風險的責任、權限和適當的能力，包括實施和保持風險管理過程和確保任 何控制措施的充分性、有效性和效率。這可通過如下途徑來實現：確定有責任和權利管理風險的風險擁有者；確定負責建立、實施和保持風險管理框架的人員； 確定組織所有層次人員的風險管理過程的其他職責；建立績效測量和內部和外部報告和逐級報告過程；確保確定的合適程

28、度。4.3.4整合到組織的過程風險管理宜益相關、有效和有效率的方式嵌入到所有組織的實踐和過程中。風險管理過程宜變 成組織過程的部分，而不是分離的。特別是，風險管理宜嵌入方針制定、商業(yè)和戰(zhàn)略策劃和評審和 變更管理過程中。宜具備一個組織的廣泛風險管理計劃以確保風險管理方針的實施和將風險管理嵌入全部組織 的實踐和過程中。風險管理計劃可以整合到組織其他的計劃中，如戰(zhàn)略計劃。435資源組織宜為風險管理配置適當的資源。對如下方面宜予以考慮： 人員、技能、經驗和能力；對于風險管理過程的每步驟所需的資源；用于管理風險的組織的過程、方法和工具；形成文件的過程和程序；管理體系的信息和知識；培訓方案。4.3.6建立

29、內部溝通和報告機制組織宜建立內部溝通和報告機制，用于支持和促進風險的責任和歸屬。這些機制宜確保：風險管理框架的關鍵要素和任何后續(xù)的更改被適當地溝通； 對框架和其有效性及結果在內部充分地予以報告；風險管理的相關信息在適當的層次和時間予以獲得； 與內部利益相關方的協(xié)商過程被予以提供。適當時，這些機制宜包括基于多源頭強化風險信息的過程，以及可能需要考慮信息的敏感性。 4.3.7建立外部溝通和報告機制組織宜制定和實施一個關于如何與外部利益相關方溝通的計劃。這宜包括：吸引適當的外部利益相關方的關注和確保有效的信息交流；對外報告法律法規(guī)和管理要求的遵守情況；對溝通和協(xié)商進行報告和反饋； 運用溝通來建立組織

30、的信心；向利益相關方溝通緊急或突發(fā)事件。適當時，這些機制宜包括基于多源頭強化風險信息的過程，以及可能需要考慮信息的敏感性。 4.4實施風險管理441實施管理風險的框架在實施組織的管理風險的框架時，組織宜：確定實施框架的適當時間安排和策略；將風險管理方針和過程應用到組織的過程；遵守法律法規(guī)要求； 確保決策，包括目標的制定和設立，與風險管理過程輸出結果一致；舉行信息和培訓會議；與利益相關方進行溝通和協(xié)商以確保其風險管理框架保持正確； 4.4.2實施風險管理過程風險管理宜通過確保將第五章描述的風險管理過程通過風險管理計劃作為組織實踐和過程的 一部分應用到組織相關職能和層次。4.5框架的監(jiān)測和評審為了

31、確保風險管理有效和持續(xù)改進組織的績效，組織宜：針對適當定期評審的參數測量風險管理績效；定期測量風險管理計劃的進展和偏離; 基于組織的內部和外部狀況，定期評審風險管理框架、方針和計劃是否仍然適宜；報告風險、風險管理計劃的進展和風險管理方針如何較好地執(zhí)行； 評審風險管理框架的有效性。4.6框架的持續(xù)改進基于監(jiān)測和評審結果，宜做出如何可以改進風險管理框架、方針和計劃的決策。這些決策宜致 使組織的風險管理和風險管理文化的改進。5過程5.1總則風險管理過程宜是： 整合到管理中的的一部分； 嵌入文化和實踐之中；針對組織的經營過程制作。它由5.2到5.6描述的活動組成。風險管理過程如圖3。圖表3-風險管理過

32、程5.2溝通和協(xié)商與內、外部利益相關方溝通和協(xié)商宜在風險管理過程所有階段進行。因此，溝通和協(xié)商計劃宜在早期制定。該計劃宜針對與風險本身、風險成因、風險后果（如果 掌握）以及處理風險措施相關的問題。為確保實施風險管理過程的職責明確，以及利益相關方理解 決策的基礎和特定措施需求的原因，宜采取有效的外部和內部溝通和協(xié)商。協(xié)商團隊方法可以：適當地幫助明確狀況； 確保利益相關方的利益被理解和考慮；幫助確保風險充分地被識別；將不同領域的專業(yè)知識一并用于分析風險； 確保在界定風險準則和評定風險時，不同的觀點被恰當地考慮； 確保認同和支持處理計劃；加強在風險管理過程中的變更管理; 制定一個恰當的內部和外部溝通

33、和協(xié)商計劃。與利益相關方的溝通協(xié)商是重要的，由于他們基于對風險的感知，做出了對風險的判斷。這些 感知可以由于利益相關方的價值觀、需求、臆斷、概念和關注點的不同而變化。由于利益相關方的 觀點會對決策產生重大影響，因此他們的感知以被識別、記錄、以及在決策過程中考慮。溝通和協(xié)商宜提供真實的、相關的、準確的、便于理解的交流信息，同時宜考慮到保密和個人 誠實因素。5.3明確狀況5.3.1 總則通過明確狀況，組織明確其目標，界定管理風險要考慮的外部和內部參數，確定風險管理過程的范圍和風險準則。盡管許多此類參數與風險管理框架設計時所考慮的參數類似（參見431 ），但在明確風險管理過程的狀況時，這些參數需要細

34、致地，特別是與特定風險管理過程聯系起來考慮。532明確外部狀況外部狀況是指組織尋求實現其目標的外部環(huán)境。為了確保在建立風險準則時，目標和外部利益相關方的關注點被予以考慮，理解外部狀況是重要的。它基于組織寬泛的狀況，但具備法律法規(guī)要求的具體細節(jié)、禾隘相關方的觀點、風險管理過 程范圍風險的其他因素。外部狀況可以包括，但不局限于： 社會、文化、政治、法律法規(guī)、金融、技術、經濟、自然和競爭環(huán)境，無論國際、國內、區(qū)域，還是本地的； 影響組織目標的主要動力和趨勢；與外部利益相關方的關系，外部利益相關方的觀點和價值觀。533明確內部狀況內部狀況是指組織尋求實現其目標的內部環(huán)境。風險管理過程宜與組織的文化、過

35、程、結構和戰(zhàn)略相一致。內部狀況是組織內能夠影響管理風 險方法的方面。內部狀況宜明確，因為：a）風險管理是在組織的目標狀況下進行；b ）具體項目、過程或活動的目標和準則，宜依據組織的整體目標予以考慮；c） 一些組織未能意識到實現它們戰(zhàn)略、項目或經營目標的機會，這影響了持續(xù)的組織承諾、 信譽、誠信和價值觀。理解內部狀況是必要的，這可包括，但不僅限于： 治理、組織結構、作用和責任； 方針、目標，為實現方針和目標制定的戰(zhàn)略； 基于資源和知識理解的能力（如：資金、時間、人員、過程、系統(tǒng)和技術）；與內部利益相關方的關系，內部利益相關方的觀點和價值觀；組織的文化； 信息系統(tǒng)、信息流和決策過程（正式與非正式）

36、； 組織所采用的標準、指南和模式；合同關系的形式與范圍。5.3.4明確風險管理過程狀況宜確立組織活動的目標、策略、范圍和參數，或風險管理過程應用到的組織的那些部分。風險 管理宜充分考慮滿足開展風險管理的資源需求。所需的資源、職責、權限和要保存的記錄也宜予以 規(guī)定。風險管理過程的狀況根據組織需求而變化。它可以包括，但不僅限于：確定風險管理活動的目標;確定風險管理過程的職責； 確定所要開展的風險管理活動的范圍以及深度、廣度，包括具體的內涵和外延； 以時間和地點，界定活動、過程、職能、項目 產品、服務或資產； 界定組織特定項目、過程或活動與其他項目、過程或活動之間的關系；確定風險評價的方法；確定評價

37、風險管理的績效和有效性的方法；識別和規(guī)定所必須要做出的決策； 確定所需的范圍或框架性研究，它們的程度和目標，以及此種研究所需資源。對這些和其他相關因素的關注，有助于確保所采用的風險管理方法適合于環(huán)境、組織、以及影 響目標實現的風險。5.3.5 確定風險準則組織宜確定用于評定風險重要性的準則。該準則宜反映組織的價值觀、目標和資源。一些準則 可以服從或引用法律法規(guī)要求或組織簽署的其他要求。風險準則宜與組織風險管理方針一致（見 4.3.2），在風險管理過程開始時予以確定，并予以持續(xù)評審。當確定風險準則時，要考慮的因素宜包括如下： 可以出現的致因和后果的性質和類別，以及如何予以測量；可能性如何確定；可

38、能性和（或）后果的時間范圍；風險程度如何確定；利益相關方的觀點；風險可接受或可容許的程度； 多種風險的組合是否予以考慮，如果是，如何考慮及哪種風險組合宜予以考慮。5.4 風險評價541 總則風險評價是風險識別、風險分析和風險評定的總的過程。注：ISO/IEC 31010 提供了風險評價技術指南。542風險識別組織宜識別風險源、影響區(qū)域、事件（包括環(huán)境變化）以及致因和潛在后果。此步驟的目的是 產生一個基于哪些可能產生、增強、阻礙、加快或推遲目標實現的事件的風險的綜合表格。識別與 不尋求機會相關的風險是重要的。綜合識別是非常重要的，因為此階段沒有識別的風險將不會包含 在進一步的分析中。識別宜包括其

39、源是否在組織的控制下的風險，即使風險源或致因可能不明顯。風險識別宜包括 考查特定后果直接影響，包括聯鎖和累積影響。也要考慮寬范圍的后果，即使風險源或致因可能不 明顯。也要識別什么可能發(fā)生，考慮表明什么后果可以出現的可能致因和場景是必要的。所有重要 的致因和后果宜予以考慮。組織宜應用適合其目標、能力及所面臨風險的風險識別工具和技術。在識別風險時，相關和最 新的信息是重要的。這宜包括可能的適當背景信息。具有適當知識的人員宜參與到識別風險中。5.4.3風險分析風險分析涉及開展風險的理解。風險分析為風險評定和確定風險是否需要處理以及最適合的風險處理策略和方法，提供了輸入。風險分析也可以為必須做出選擇及

40、選擇涉及不同類型和程度的風 險的決策，提供輸入。風險分析包括考慮風險的致因和來源，以及所帶來的正面和負面的后果及這些后果發(fā)生的可能性。影響后果的因素和可能性宜被識別。通過確定后果和其可能性、以及其他風險特性，來進行風 險分析。一個事件可以有多種結果并可以影響多重目標?，F存的控制措施和其效果和效率也宜被考 慮在內。后果和可能性的表述方式，以及它們組合確定風險程度的方式，宜反映風險類型、可獲得的信 息、以及運用風險評價輸出的意圖。這些全部都宜符合風險準則?？紤]不同風險和其源的相互依賴 也是重要的。風險程度的確定和其前提和假設的敏感性的信心，宜在風險分析中予以考慮，并有效溝通給決策者以及適當的利益相

41、關方。諸如專家間觀點的分歧、不確定性、可用性、質量、數量、信息的持 續(xù)相關性、或模型的局限性等因素，宜予以闡述和可以重點強調。風險分析可以在不同程度的細節(jié)上進行，這取決于風險本身、分析目的、可用的信息、數據和來源。依據環(huán)境條件，分析可以定性的、半定量或定量的，也可以是組合的方式。后果和其可能性可以通過模擬一個或一系列事件的結果，或由實驗研究或可用數據推斷確定。后果可基于有形和無形的影響表述。在某些情況下，一個以上的數值或描述，需要界定對于不同時間、地點、團體或狀況的后果和其可能性。544風險評定風險評價的目的是，基于風險分析的結果，幫助做出有關風險需要處理和處理實施優(yōu)先的決策。風險評定包括將分析過程中確定的風險程度與在明確狀況時建立的風險準則進行比較?；谶@種比較，處理需求可予以考慮。決策宜考慮更為寬泛風險含義，包括考慮風險獲益組織外的團體對風險的容忍性。決策宜依據法律法規(guī)和其他要求做出。在某些情況下，風險評定可導致對決策的進一步分析。風險評定也可導致，除了保持現存措施，不以任何方式處理風險的決策。通過組織的風險態(tài)度和已建立的風險準則，對此決策施加影響。5.5 風險處理5.5.1 總則風險處理包括選擇一種或幾