ISO31000風(fēng)險管理標準中文版

1、ISO31000風(fēng)險管理標準中文版引      言所有類型和規(guī)模的組織都面臨內(nèi)部和外部的、使組織不能確定是否及何時實現(xiàn)其目標的因素和影響。這種不確定性所具有的對組織目標的影響就是“風(fēng)險”。組織的所有活動都涉及風(fēng)險。組織通過識別、分析和評定是否運用風(fēng)險處理修正風(fēng)險以滿足它們的風(fēng)險準則，來管理風(fēng)險。通過這個過程，它們與利益相關(guān)方進行溝通和協(xié)商，監(jiān)測和評審風(fēng)險，以及為確保不再進一步需求風(fēng)險處理而修正風(fēng)險的控制措施。本國際標準詳細描述了這一系統(tǒng)的和邏輯的過程。盡管所有的組織在某種程度上都在管理風(fēng)險，本國際標準建立了一些為使風(fēng)險管理變得有效而需要滿足的原

2、則。本國際標準建議，組織制定、實施和持續(xù)改進一個框架，其目的是將風(fēng)險管理過程整合到組織的整體治理、戰(zhàn)略和規(guī)劃、管理、報告過程、方針、價值觀和文化中。風(fēng)險管理可以在組織多個領(lǐng)域和層次、任何時間，應(yīng)用到整個組織，以及具體職能、項目和活動。盡管在過去一段時間在許多行業(yè)，為滿足不同的需要，已經(jīng)開展了風(fēng)險管理實踐，但在一個綜合框架內(nèi)采用一致性過程有助于確保在組織內(nèi)有效、有效率和結(jié)合性地管理風(fēng)險。本國際標準中所描述的通用方法提供了在任何范圍和狀況下，以系統(tǒng)、清晰、可靠的方式管理風(fēng)險的原則和指南。每一個具體行業(yè)或風(fēng)險管理的應(yīng)用都產(chǎn)生了各自的需求、受眾、觀念和準則。因此，本國際標準的主要特點是將所包含“確定狀

3、況”作為通用風(fēng)險管理過程開始的活動。確定狀況將捕獲組織的目標，組織所追求目標的環(huán)境，組織的利益相關(guān)方和風(fēng)險準則的多樣性，所有這些都將幫助揭示和評價風(fēng)險的性質(zhì)和復(fù)雜性。     本國際標準描述的風(fēng)險管理原則、框架和風(fēng)險管理過程之間的關(guān)系，如圖1所示。當(dāng)依據(jù)本國際標準實施和保持風(fēng)險管理時，能夠使組織，例如： 提高實現(xiàn)目標的可能性； 鼓勵主動性管理; 在整個組織意識到識別和處理風(fēng)險的需求; 改進機會和威脅的識別能力； 符合相關(guān)法律法規(guī)要求和國際規(guī)范； 改進強制性和自愿性報告； 改善治理； 提高利益相關(guān)方的信心和信任； 為決策和規(guī)劃建立可靠的根基； 加強控制；

4、有效地分配和利用風(fēng)險處理的資源； 提高運營的效果和效率； 增強健康安全績效，以及環(huán)境保護; 改善損失預(yù)防和事件管理； 減少損失； 提高組織的學(xué)習(xí)能力 提高組織的應(yīng)變能力本國際標準旨在滿足眾多利益相關(guān)方的需求，包括：a）負責(zé)制定組織風(fēng)險管理方針的人員;b）負責(zé)確保在組織整體、或者某一特定區(qū)域、項目或者活動內(nèi)有效開展風(fēng)險管理的人員;c）需要評定組織風(fēng)險管理有效性的人員；d）整體或部分地實施風(fēng)險管理的標準、指南、程序和操作規(guī)范的開發(fā)者。目前許多組織的管理實踐和過程包含了風(fēng)險管理的要素，許多組織針對特定類型的風(fēng)險或環(huán)境下已經(jīng)采用了正式的風(fēng)險管理過程。在這種情況下，組織可以決定對照本國際標準對其現(xiàn)有的實

5、踐和過程開展嚴格的評審。在本國際標準中，“風(fēng)險管理（risk management）”和“管理風(fēng)險（managing risk）”都在使用。在通常的術(shù)語意義上，“風(fēng)險管理（risk management）”涉及的有效管理風(fēng)險的構(gòu)架（原則，框架和過程），而“管理風(fēng)險（managing risk）”指的是運用該架構(gòu)管理特定風(fēng)險。圖表1 風(fēng)險管理原則、框架、過程之間的關(guān)系風(fēng)險管理-原則和指南1 范圍本國際標準提供了風(fēng)險管理的原則和通用性指南。本國際標準可用于任何公共、私有或公有企業(yè)、協(xié)會，團體或個體。因此，本國際標準不針對任何特定行業(yè)或部門。注：為方便起見，本國際標準涉及的所有不同的用戶以通用術(shù)語“

6、組織”稱謂。本國際標準可用于整個組織的生命周期及廣泛的活動，包括戰(zhàn)略和決策、運營、過程、職能、項目、產(chǎn)品、服務(wù)和資產(chǎn)。本國際標準可以應(yīng)用于任何類型的風(fēng)險，無論其性質(zhì)及是否有積極或消極的后果。盡管本國際標準提供了風(fēng)險管理的通用性指南，但不意針對組織促進風(fēng)險管理的統(tǒng)一性。風(fēng)險管理計劃和框架的設(shè)計和實施需要考慮到特定組織的不同需求、特定目標，狀況、結(jié)構(gòu)、運營、過程、職能、項目、產(chǎn)品、服務(wù)、或資產(chǎn)以及展開的具體實踐。意在運用本國際標準來協(xié)調(diào)現(xiàn)有和將來標準的風(fēng)險管理過程。本標準提供了一個支持其他標準處理特定風(fēng)險和行業(yè)風(fēng)險的通用方法，而不是取代這些標準。本國際標準不意針對認證意圖。2 術(shù)語和定義下列術(shù)語和

7、定義適用本標準。2.1 風(fēng)險 risk不確定性對目標的影響注1：影響是與期待的偏差積極和/或消極注2：目標可以有不同方面（如財務(wù)、健康安全、以及環(huán)境目標），可以體現(xiàn)在不同的層次（如戰(zhàn)略、組織范圍、項目、產(chǎn)品和過程）。注3：風(fēng)險通常以潛在事件（2.19）和后果（2.20），或它們的組合來描述。注4：風(fēng)險通常以事件（包括環(huán)境的變化）后果和發(fā)生可能性（2.21）的組合來表達。注5：不確定性是指，與事件和其后果或可能性的理解或知識相關(guān)的信息的缺陷的狀態(tài)，或不完整。ISO導(dǎo)則 73:2009, 定義1.12.2 風(fēng)險管理 risk management針對風(fēng)險指揮和控制組織的協(xié)調(diào)活動。ISO 導(dǎo)則 73

8、:2009, 定義 2.12.3 風(fēng)險管理框架 risk management framework提供在組織內(nèi)設(shè)計、實施、監(jiān)測（2.28）、評審和持續(xù)改進風(fēng)險管理（2.2）的基本原則和組織安排的要素集合。注1：基本原則包括管理風(fēng)險的方針、目標、指令和承諾。注2：組織安排包括計劃、關(guān)系、責(zé)任、資源、過程和活動。注3：風(fēng)險管理框架被嵌入到組織的整個戰(zhàn)略和運營的方針和實踐中ISO 導(dǎo)則 73:2009, 定義 2.1.12.4 風(fēng)險管理方針 risk management policy一個組織對風(fēng)險管理的意圖和方向的陳述。ISO 導(dǎo)則73:2009, 定義 2.1.22.5 風(fēng)險態(tài)度 risk at

9、titude組織評價、最終追蹤、保留、消除或規(guī)避風(fēng)險的方法。ISO 導(dǎo)則 73:2009, 定義 3.7.1.12.6 風(fēng)險管理計劃 risk management plan在風(fēng)險管理框架內(nèi)規(guī)定用于風(fēng)險管理的方法、管理要素、資源的方案。注1：管理要素一般包括程序、慣例、職責(zé)分配、活動順序和時間安排。注2：風(fēng)險管理計劃可應(yīng)用于特定的產(chǎn)品、過程和項目、組織的部分或整體。 ISO 導(dǎo)則 73:2009, 定義2.1.32.7 風(fēng)險所有者 risk owner具有風(fēng)險管理權(quán)限和責(zé)任的個人或?qū)嶓w。ISO 導(dǎo)則 73:2009, 定義 3.5.1.42.8 風(fēng)險管理過程 risk managem

10、ent process管理方針、程序和慣例對溝通、協(xié)商、確定狀況、以及識別、分析、評價、處理、監(jiān)測和評審風(fēng)險活動的系統(tǒng)應(yīng)用。ISO 導(dǎo)則 73:2009, 定義 3.12.9 確定狀況 establishing the context界定外部和內(nèi)部參數(shù)，以便在管理風(fēng)險和設(shè)置風(fēng)險管理方針的范圍及風(fēng)險準則時，予以考慮。ISO 導(dǎo)則 73:2009, 定義 3.3.12.10 外部狀況 external context組織尋求實現(xiàn)其目標的外部環(huán)境。注：外部環(huán)境可包括： 文化、社會、政治、法律法規(guī)、財政金融、技術(shù)、經(jīng)濟、自然和競爭環(huán)境，無論國際、國家、區(qū)域或地方 對組織目標具有影響的主要驅(qū)動和趨勢。

11、與外部利益相關(guān)方的關(guān)系和其感受和價值觀。ISO 導(dǎo)則 73:2009,定義 3.3.1.12.11 內(nèi)部狀況 internal context組織尋求實現(xiàn)其目標的外部環(huán)境。注：內(nèi)部狀況可包括： 治理、組織結(jié)構(gòu)、作用和責(zé)任； 方針、目標、以及實現(xiàn)它們的戰(zhàn)略； 以資源和知識來理解的能力（如資本、時間、人員、過程、系統(tǒng)和技術(shù)）； 信息系統(tǒng)、信息流和決策過程（正式和非正式的）； 與內(nèi)部利益相關(guān)方的關(guān)系、以及他們的感受和價值觀； 組織的文化； 標準、指南和組織采用的模式； 合同關(guān)系的形式和范圍ISO 導(dǎo)則 73:2009,定義 3.3.1.22.12 溝通和協(xié)商 communication and co

12、nsultation組織針對風(fēng)險管理，提供、共享或獲取信息，與利益相關(guān)方進行對話的持續(xù)和反復(fù)的過程。注1：信息涉及風(fēng)險管理的存在、性質(zhì)、形式、可能性、嚴重程度、評定、可接受性、處理。注2：協(xié)商是組織與它的利益相關(guān)方，在做出決策或確定某一問題的方向前，針對問題雙向有事實依據(jù)的溝通的過程。協(xié)商是： 通過影響力而非權(quán)力對決策施加影響； 作為決策的輸入，而非加入決策。ISO 導(dǎo)則 73:2009, 定義 3.2.12.13 利益相關(guān)方 stakeholder可以影響、被影響、或者覺得自己會被決策或活動影響的個人或組織。注：決策者可以是利益相關(guān)者。ISO 導(dǎo)則 73:2009, 定義 3.2.1.12.

13、14 風(fēng)險評價 risk assessment風(fēng)險識別（2.15）、風(fēng)險分析（2.21）和風(fēng)險評定（2.24）的整個過程。 ISO 導(dǎo)則 73:2009, 定義 3.4.12.15 風(fēng)險識別 risk identification發(fā)現(xiàn)、認識、描述風(fēng)險的過程。注1：風(fēng)險識別包括風(fēng)險源（2.16）、事件（2.17）、它們的起因及潛在后果的確定。注2：風(fēng)險識別會涉及歷史數(shù)據(jù)、技術(shù)分析、有事實依據(jù)的和專家的觀點、以及利益相關(guān)方的需求。ISO 導(dǎo)則 73:2009, 定義 3.5.12.16 風(fēng)險源 risk source單獨地或以結(jié)合的形式具有產(chǎn)生風(fēng)險的內(nèi)在可能性的因素。注：一個風(fēng)險源可以是

14、有形的或者無形的。ISO 導(dǎo)則 73:2009,定義 3.5.1.12.17 事件 event特殊系列環(huán)境的產(chǎn)生或變化。注1：.一個事件可以是一個或多個事變，會有多種原因。注2：事件可以由一些不發(fā)生的事情構(gòu)成。注3：事件有時被稱作“事件（incident）”或“事故（accident）”。注4：.沒有后果的事件可以被稱作“near miss”、“incident”、“near hit” 、 “close call”。ISO 導(dǎo)則 73:2009, 定義 3.5.1.22.18 后果 consequence事件對目標的影響結(jié)果。注1：一個事件可以產(chǎn)生一系列的后果。注2：后果可以是確定或不確定的，

15、以及對目標具有積極或消極的影響。注3：后果可以被定性或定量地表述。注4：初步的后果通過連鎖效應(yīng)可以逐步升級。 ISO 導(dǎo)則 73:2009, 定義 3.6.1.32.19 可能性 likelihood某事發(fā)生的機會。注1：在風(fēng)險管理術(shù)語學(xué)中，“可能性”是指事情發(fā)生的機會，不論是明確的、測量的，還是客觀或主觀地、定性或定量地確定的，以及一般性或精確地描述（如在一定時段內(nèi)的可能性和頻率）。注2：英文“l(fā)ikelihood”在一些語言中沒有直接對應(yīng)的等同詞，而同義詞“probability”經(jīng)常被使用。然而，在英文中，“probability”通常被狹義地理解為數(shù)學(xué)術(shù)語。因此，在風(fēng)險管理術(shù)

16、語學(xué)中，“l(fā)ikelihood”以它在許多非英語國家語言中的“probability”所具有的同樣的廣泛理解來使用。 ISO 導(dǎo)則 73:2009, 定義 3.6.1.12.20 風(fēng)險狀況 risk profile任何系列風(fēng)險（2.1）的描述。注：該系列風(fēng)險可包含與整個組織、組織的部分或者其他特定部分相關(guān)聯(lián)的風(fēng)險。ISO Guide 73:2009, definition 3.8.2.52.21 風(fēng)險分析 risk analysis理解風(fēng)險（2.1）的性質(zhì)和確定風(fēng)險程度（2.23）的過程。注1：風(fēng)險分析為風(fēng)險評定和風(fēng)險處理決策提供了基礎(chǔ)。注2：風(fēng)險分析包括風(fēng)險估測。ISO 導(dǎo)則 73

17、:2009, 定義 3.6.12.22 風(fēng)險準則 risk criteria評價風(fēng)險重要性的依據(jù)。注1：.風(fēng)險準則基于組織的目標和內(nèi)外部狀況。注2：風(fēng)險準則可出自于標準、法律、方針和其他要求。ISO 導(dǎo)則 73:2009, 定義 3.3.1.32.23 風(fēng)險程度 risk level以后果和可能性的組合表達的風(fēng)險的量或組合結(jié)果。ISO 導(dǎo)則 73:2009, 定義 3.6.1.82.24 風(fēng)險評定 risk evaluation將風(fēng)險分析的結(jié)果與風(fēng)險準則進行比較，以確定風(fēng)險和（或）其量是否可接受或可容許。注：風(fēng)險評定有助于有關(guān)風(fēng)險處理的決策。ISO 導(dǎo)則 73:2009, 定義 3.7.12.

18、25 風(fēng)險處理 risk treatment修正風(fēng)險的過程。注1：風(fēng)險處理可包括： 通過決定不啟動或停止產(chǎn)生風(fēng)險的活動而避免風(fēng)險。 為了追求機會采取或增加風(fēng)險。 消除風(fēng)險源。 改變可能性。 改變后果。 與其他方面共同分擔(dān)風(fēng)險（包括合同、風(fēng)險融資）。 通過有事實依據(jù)的決策保留風(fēng)險。注2：對消極后果的風(fēng)險處理有時可以稱為“風(fēng)險減緩（risk mitigation）”、“風(fēng)險消除（risk eliminate）”、“風(fēng)險預(yù)防（risk prevention）”和“風(fēng)險減小（risk reduction）”。注3：風(fēng)險處理可以產(chǎn)生新的風(fēng)險或修正已存在的風(fēng)險。ISO 導(dǎo)則 73:2009, 定義 3.8

19、.12.26 控制措施 control修正風(fēng)險的措施。注1：控制措施包括任何過程、方針、手段、慣例或其他修正風(fēng)險的措施。注2：控制措施可能不總是產(chǎn)生預(yù)期或設(shè)想的修正效果。ISO 導(dǎo)則 73:2009, 定義 3.8.1.12.27 殘留風(fēng)險 residual risk風(fēng)險處理后余留下的風(fēng)險。注1：殘留風(fēng)險可包括未識別的風(fēng)險。注2：殘留風(fēng)險也可被認作“保留的風(fēng)險（retain risk）。ISO 導(dǎo)則 73:2009,定義3.8.1.62.28 監(jiān)測 monitoring不斷檢查、監(jiān)督、嚴格觀察或確定狀態(tài)，以識別所要求或期待的績效水平的變化。注：監(jiān)測可應(yīng)用于風(fēng)險管理框架、風(fēng)險管理過程、風(fēng)險或控制

20、措施。ISO 導(dǎo)則 73:2009, 定義 3.8.2.12.29 評審 review為達到所建立的目標，確定有關(guān)事務(wù)的適宜性、充分性和有效性所采取的活動。注：評審可應(yīng)用于風(fēng)險管理框架、風(fēng)險管理過程、風(fēng)險或控制措施。ISO 導(dǎo)則73:2009, 定義3.8.2.23 原則為了風(fēng)險管理有效，組織宜在各個層次遵循以下原則。a）風(fēng)險管理創(chuàng)造和保護價值風(fēng)險管理有助于目標明確的實現(xiàn)和績效的改進，例如，在人員的健康安全、治安、法律法符合性、公眾接受性、環(huán)境保護、產(chǎn)品質(zhì)量、項目管理、運營效率、治理和聲譽方面。b）風(fēng)險管理是整合在所有組織過程中的部分風(fēng)險管理不是與組織的主要活動和過程分開的孤立活動。風(fēng)險管理是

21、管理職責(zé)的部分和整合在所有組織過程中的部分，包括戰(zhàn)略規(guī)劃、所有項目、變更管理過程。c）風(fēng)險管理支持決策風(fēng)險管理可以幫助決策者做出明智的選擇、優(yōu)先的措施和辨別行動方向。d）風(fēng)險管理明晰解決不確定問題風(fēng)險管理明確地闡述不確定性、不確定性的性質(zhì)、以及如何加以解決。e）風(fēng)險管理具備系統(tǒng)、結(jié)構(gòu)化和及時性系統(tǒng)、及時和結(jié)構(gòu)化的風(fēng)險管理方法有助于提高效率和取得一致、可衡量和可靠的結(jié)果。f）風(fēng)險管理基于最可用的信息風(fēng)險管理過程的輸入基于信息源，如歷史數(shù)據(jù)、經(jīng)驗、利益相關(guān)方的反饋、觀察、預(yù)測和專家判斷。然而，決策者宜告誡自身和考慮，數(shù)據(jù)或所使用模型的局限性，或者專家之間分歧的可能性。g）風(fēng)險管理是量體裁衣的風(fēng)險管

22、理是與組織的外部和內(nèi)部狀況及風(fēng)險狀況相匹配的。h）風(fēng)險管理考慮人文因素風(fēng)險管理認識到可以促進或阻礙組織目標實現(xiàn)的內(nèi)部和外部人員的能力、觀念和意圖。i）風(fēng)險管理是透明和包容的利益相關(guān)方、尤其是組織各層面的決策者適當(dāng)、及時的參與，確保了風(fēng)險管理保持相關(guān)和先進性。參與過程也允許利益相關(guān)方適當(dāng)?shù)匕l(fā)表意見，并將其觀點考慮到風(fēng)險準則的確定中。j）風(fēng)險管理是動態(tài)、迭代和應(yīng)對變化的風(fēng)險管理持續(xù)察覺和響應(yīng)變化。由于外部和內(nèi)部事件發(fā)生，狀況和知識在改變，風(fēng)險的監(jiān)測和評審在進行，新的風(fēng)險出現(xiàn)，一些風(fēng)險在改變，而另一些風(fēng)險消失了。k）風(fēng)險管理實現(xiàn)組織的持續(xù)改進組織宜制定和實施戰(zhàn)略，協(xié)同組織的其他方面共同改進風(fēng)險管理的

23、成熟度。附件A為希望更有效地實施管理風(fēng)險的組織提供了進一步的建議。 4 框架4.1 總則風(fēng)險管理的成功取決于提供將風(fēng)險管理嵌入整個組織所有層次的基礎(chǔ)和安排的管理框架的有效性?？蚣苡兄谕ㄟ^在組織不同層次和特定狀況內(nèi)應(yīng)用風(fēng)險管理過程，有效地管理風(fēng)險。框架確保從風(fēng)險管理過程取得的風(fēng)險信息充分地被報告，以及作為決策和所有相關(guān)組織層次責(zé)任的基礎(chǔ)。本條款描述了風(fēng)險管理框架的必要要素和其以迭代的方式相互作用的方法，如圖2。 圖2  風(fēng)險管理框架要素間的相互關(guān)系本框架目的不是規(guī)定一個管理體系，而是有助于組織將風(fēng)險管理整合到它的整個管理體系中。因此，組織宜使框架的要素適用于其特定

24、的需求。如果組織現(xiàn)存的管理實踐和過程包含風(fēng)險管理要素，或者如果組織已經(jīng)針對特定的風(fēng)險或狀況采納了一個正式的風(fēng)險管理過程，那么對原有的這些實踐和過程宜針對本標準進行評審和評價，包括附錄A中包含的附加內(nèi)容，以確定它們的充分性和有效性。4.2 指令和承諾風(fēng)險管理的引入和確保它的持續(xù)有效需要組織管理著強有力和持續(xù)的承諾，以及為實現(xiàn)承諾在所有層次戰(zhàn)略的和嚴密的策劃。管理者宜：確定和簽署風(fēng)險管理方針；確保組織的文化和風(fēng)險管理方針一致；確定與組織績效參數(shù)一致的風(fēng)險管理績效參數(shù)；使風(fēng)險管理目標與組織的目標和戰(zhàn)略一致；確保法律法規(guī)的復(fù)合性；在組織內(nèi)適當(dāng)?shù)膶哟畏峙湄?zé)任和職責(zé)；確保為風(fēng)險管理配置必要的資源；將風(fēng)險管

25、理的益處通報給所有的利益相關(guān)方；確保風(fēng)險管理框架持續(xù)保持適宜。4.3 風(fēng)險管理框架的設(shè)計4.3.1 理解組織和其狀況在開始設(shè)計和實施風(fēng)險管理框架前，評價和理解組織內(nèi)外部的狀況是重要的，因為這會對框架的設(shè)計產(chǎn)生顯著的影響。評價組織外部狀況可以包括，但不限于：a)社會和文化、政治、法律法規(guī)、財務(wù)、技術(shù)、經(jīng)濟、自然和競爭環(huán)境，無論國際、國內(nèi)、區(qū)域和當(dāng)?shù)?；b)影響組織目標的動力和趨勢；c)與外部利益相關(guān)方的關(guān)系，以及它們的感受和價值觀。評價組織內(nèi)部狀況可以包括，但不限于： 管理方法、組織結(jié)構(gòu)、作用和責(zé)任； 方針、目標，以及為實現(xiàn)它們所制定的戰(zhàn)略； 以資源和知識來理解的能力（例如，資本、時間、人員、過程

26、、系統(tǒng)和技術(shù)）； 信息系統(tǒng)、信息流和決策過程（正式和非正式的）； 與內(nèi)部利益相關(guān)方的關(guān)系，以及它們的感受和價值觀； 組織的文化； 被組織采用的標準、指南和模型； 合同關(guān)系的形式和范圍。4.3.2 建立風(fēng)險管理方針風(fēng)險管理方針宜清楚闡明組織風(fēng)險管理的目標和承諾，特別要針對： 組織管理風(fēng)險的基本原理； 組織目標和方針與風(fēng)險管理方針的聯(lián)系； 管理風(fēng)險的責(zé)任和職責(zé)； 處理利益沖突的方法； 提供有助于管理風(fēng)險必要資源的承諾； 風(fēng)險管理績效測量和報告的方法； 對定期評審和改進風(fēng)險管理方針和框架，以及對事件和環(huán)境變化做出響應(yīng)的承諾。風(fēng)險管理方針宜適當(dāng)?shù)販贤ā?.3.3 責(zé)任組織宜確保具備管理風(fēng)險的責(zé)任、權(quán)限

27、和適當(dāng)?shù)哪芰?，包括實施和保持風(fēng)險管理過程和確保任何控制措施的充分性、有效性和效率。這可通過如下途徑來實現(xiàn)： 確定有責(zé)任和權(quán)利管理風(fēng)險的風(fēng)險擁有者； 確定負責(zé)建立、實施和保持風(fēng)險管理框架的人員； 確定組織所有層次人員的風(fēng)險管理過程的其他職責(zé)； 建立績效測量和內(nèi)部和外部報告和逐級報告過程； 確保確定的合適程度。4.3.4 整合到組織的過程風(fēng)險管理宜益相關(guān)、有效和有效率的方式嵌入到所有組織的實踐和過程中。風(fēng)險管理過程宜變成組織過程的部分，而不是分離的。特別是，風(fēng)險管理宜嵌入方針制定、商業(yè)和戰(zhàn)略策劃和評審和變更管理過程中。宜具備一個組織的廣泛風(fēng)險管理計劃以確保風(fēng)險管理方針的實施和將風(fēng)險管理嵌入全部組織

28、的實踐和過程中。風(fēng)險管理計劃可以整合到組織其他的計劃中，如戰(zhàn)略計劃。4.3.5 資源組織宜為風(fēng)險管理配置適當(dāng)?shù)馁Y源。對如下方面宜予以考慮： 人員、技能、經(jīng)驗和能力； 對于風(fēng)險管理過程的每步驟所需的資源； 用于管理風(fēng)險的組織的過程、方法和工具； 形成文件的過程和程序； 管理體系的信息和知識； 培訓(xùn)方案。4.3.6 建立內(nèi)部溝通和報告機制組織宜建立內(nèi)部溝通和報告機制，用于支持和促進風(fēng)險的責(zé)任和歸屬。這些機制宜確保： 風(fēng)險管理框架的關(guān)鍵要素和任何后續(xù)的更改被適當(dāng)?shù)販贤ǎ?對框架和其有效性及結(jié)果在內(nèi)部充分地予以報告； 風(fēng)險管理的相關(guān)信息在適當(dāng)?shù)膶哟魏蜁r間予以獲得； 與內(nèi)部利益相關(guān)方的協(xié)商過程被予以提供

29、。適當(dāng)時，這些機制宜包括基于多源頭強化風(fēng)險信息的過程，以及可能需要考慮信息的敏感性。4.3.7 建立外部溝通和報告機制組織宜制定和實施一個關(guān)于如何與外部利益相關(guān)方溝通的計劃。這宜包括： 吸引適當(dāng)?shù)耐獠坷嫦嚓P(guān)方的關(guān)注和確保有效的信息交流； 對外報告法律法規(guī)和管理要求的遵守情況； 對溝通和協(xié)商進行報告和反饋； 運用溝通來建立組織的信心； 向利益相關(guān)方溝通緊急或突發(fā)事件。適當(dāng)時，這些機制宜包括基于多源頭強化風(fēng)險信息的過程，以及可能需要考慮信息的敏感性。4.4 實施風(fēng)險管理4.4.1 實施管理風(fēng)險的框架在實施組織的管理風(fēng)險的框架時，組織宜： 確定實施框架的適當(dāng)時間安排和策略； 將風(fēng)險管理方針和過程應(yīng)

30、用到組織的過程； 遵守法律法規(guī)要求； 確保決策，包括目標的制定和設(shè)立，與風(fēng)險管理過程輸出結(jié)果一致； 舉行信息和培訓(xùn)會議； 與利益相關(guān)方進行溝通和協(xié)商以確保其風(fēng)險管理框架保持正確；4.4.2 實施風(fēng)險管理過程風(fēng)險管理宜通過確保將第五章描述的風(fēng)險管理過程通過風(fēng)險管理計劃作為組織實踐和過程的一部分應(yīng)用到組織相關(guān)職能和層次。4.5 框架的監(jiān)測和評審為了確保風(fēng)險管理有效和持續(xù)改進組織的績效，組織宜： 針對適當(dāng)定期評審的參數(shù)測量風(fēng)險管理績效； 定期測量風(fēng)險管理計劃的進展和偏離； 基于組織的內(nèi)部和外部狀況，定期評審風(fēng)險管理框架、方針和計劃是否仍然適宜； 報告風(fēng)險、風(fēng)險管理計劃的進展和風(fēng)險管理方針如何較好地執(zhí)

31、行； 評審風(fēng)險管理框架的有效性。4.6 框架的持續(xù)改進基于監(jiān)測和評審結(jié)果，宜做出如何可以改進風(fēng)險管理框架、方針和計劃的決策。這些決策宜致使組織的風(fēng)險管理和風(fēng)險管理文化的改進。5  過程5.1 總則風(fēng)險管理過程宜是： 整合到管理中的的一部分； 嵌入文化和實踐之中； 針對組織的經(jīng)營過程制作。它由5.2到5.6描述的活動組成。風(fēng)險管理過程如圖3。 圖表3-風(fēng)險管理過程5.2 溝通和協(xié)商與內(nèi)、外部利益相關(guān)方溝通和協(xié)商宜在風(fēng)險管理過程所有階段進行。因此，溝通和協(xié)商計劃宜在早期制定。該計劃宜針對與風(fēng)險本身、風(fēng)險成因、風(fēng)險后果（如果掌握）以及處理風(fēng)險措施相關(guān)的問題。為確保實施風(fēng)險管理過程

32、的職責(zé)明確，以及利益相關(guān)方理解決策的基礎(chǔ)和特定措施需求的原因，宜采取有效的外部和內(nèi)部溝通和協(xié)商。協(xié)商團隊方法可以： 適當(dāng)?shù)貛椭鞔_狀況； 確保利益相關(guān)方的利益被理解和考慮； 幫助確保風(fēng)險充分地被識別； 將不同領(lǐng)域的專業(yè)知識一并用于分析風(fēng)險； 確保在界定風(fēng)險準則和評定風(fēng)險時，不同的觀點被恰當(dāng)?shù)乜紤]； 確保認同和支持處理計劃； 加強在風(fēng)險管理過程中的變更管理； 制定一個恰當(dāng)?shù)膬?nèi)部和外部溝通和協(xié)商計劃。與利益相關(guān)方的溝通協(xié)商是重要的，由于他們基于對風(fēng)險的感知，做出了對風(fēng)險的判斷。這些感知可以由于利益相關(guān)方的價值觀、需求、臆斷、概念和關(guān)注點的不同而變化。由于利益相關(guān)方的觀點會對決策產(chǎn)生重大影響，因此他

33、們的感知以被識別、記錄、以及在決策過程中考慮。溝通和協(xié)商宜提供真實的、相關(guān)的、準確的、便于理解的交流信息，同時宜考慮到保密和個人誠實因素。5.3 明確狀況5.3.1 總則通過明確狀況，組織明確其目標，界定管理風(fēng)險要考慮的外部和內(nèi)部參數(shù)，確定風(fēng)險管理過程的范圍和風(fēng)險準則。盡管許多此類參數(shù)與風(fēng)險管理框架設(shè)計時所考慮的參數(shù)類似（參見4.3.1），但在明確風(fēng)險管理過程的狀況時，這些參數(shù)需要細致地，特別是與特定風(fēng)險管理過程聯(lián)系起來考慮。5.3.2 明確外部狀況外部狀況是指組織尋求實現(xiàn)其目標的外部環(huán)境。為了確保在建立風(fēng)險準則時，目標和外部利益相關(guān)方的關(guān)注點被予以考慮，理解外部狀況是重要的。它基于組織寬泛的

34、狀況，但具備法律法規(guī)要求的具體細節(jié)、利益相關(guān)方的觀點、風(fēng)險管理過程范圍風(fēng)險的其他因素。外部狀況可以包括，但不局限于： 社會、文化、政治、法律法規(guī)、金融、技術(shù)、經(jīng)濟、自然和競爭環(huán)境，無論國際、國內(nèi)、區(qū)域，還是本地的； 影響組織目標的主要動力和趨勢； 與外部利益相關(guān)方的關(guān)系，外部利益相關(guān)方的觀點和價值觀。5.3.3 明確內(nèi)部狀況內(nèi)部狀況是指組織尋求實現(xiàn)其目標的內(nèi)部環(huán)境。風(fēng)險管理過程宜與組織的文化、過程、結(jié)構(gòu)和戰(zhàn)略相一致。內(nèi)部狀況是組織內(nèi)能夠影響管理風(fēng)險方法的方面。內(nèi)部狀況宜明確，因為：a）風(fēng)險管理是在組織的目標狀況下進行；b）具體項目、過程或活動的目標和準則，宜依據(jù)組織的整體目標予以考慮；c）一些

35、組織未能意識到實現(xiàn)它們戰(zhàn)略、項目或經(jīng)營目標的機會，這影響了持續(xù)的組織承諾、信譽、誠信和價值觀。理解內(nèi)部狀況是必要的，這可包括，但不僅限于： 治理、組織結(jié)構(gòu)、作用和責(zé)任； 方針、目標，為實現(xiàn)方針和目標制定的戰(zhàn)略； 基于資源和知識理解的能力（如：資金、時間、人員、過程、系統(tǒng)和技術(shù)）； 與內(nèi)部利益相關(guān)方的關(guān)系，內(nèi)部利益相關(guān)方的觀點和價值觀； 組織的文化； 信息系統(tǒng)、信息流和決策過程（正式與非正式）； 組織所采用的標準、指南和模式； 合同關(guān)系的形式與范圍。5.3.4明確風(fēng)險管理過程狀況宜確立組織活動的目標、策略、范圍和參數(shù)，或風(fēng)險管理過程應(yīng)用到的組織的那些部分。風(fēng)險管理宜充分考慮滿足開展風(fēng)險管理的資源

36、需求。所需的資源、職責(zé)、權(quán)限和要保存的記錄也宜予以規(guī)定。風(fēng)險管理過程的狀況根據(jù)組織需求而變化。它可以包括，但不僅限于： 確定風(fēng)險管理活動的目標； 確定風(fēng)險管理過程的職責(zé)； 確定所要開展的風(fēng)險管理活動的范圍以及深度、廣度，包括具體的內(nèi)涵和外延； 以時間和地點，界定活動、過程、職能、項目、產(chǎn)品、服務(wù)或資產(chǎn)； 界定組織特定項目、過程或活動與其他項目、過程或活動之間的關(guān)系； 確定風(fēng)險評價的方法； 確定評價風(fēng)險管理的績效和有效性的方法； 識別和規(guī)定所必須要做出的決策； 確定所需的范圍或框架性研究，它們的程度和目標，以及此種研究所需資源。對這些和其他相關(guān)因素的關(guān)注，有助于確保所采用的風(fēng)險管理方法適合于環(huán)境

37、、組織、以及影響目標實現(xiàn)的風(fēng)險。5.3.5  確定風(fēng)險準則組織宜確定用于評定風(fēng)險重要性的準則。該準則宜反映組織的價值觀、目標和資源。一些準則可以服從或引用法律法規(guī)要求或組織簽署的其他要求。風(fēng)險準則宜與組織風(fēng)險管理方針一致（見4.3.2），在風(fēng)險管理過程開始時予以確定，并予以持續(xù)評審。當(dāng)確定風(fēng)險準則時，要考慮的因素宜包括如下： 可以出現(xiàn)的致因和后果的性質(zhì)和類別，以及如何予以測量； 可能性如何確定； 可能性和（或）后果的時間范圍； 風(fēng)險程度如何確定； 利益相關(guān)方的觀點； 風(fēng)險可接受或可容許的程度； 多種風(fēng)險的組合是否予以考慮，如果是，如何考慮及哪種風(fēng)險組合宜予以考慮。5.4 

38、風(fēng)險評價5.4.1 總則風(fēng)險評價是風(fēng)險識別、風(fēng)險分析和風(fēng)險評定的總的過程。注：ISO/IEC 31010 提供了風(fēng)險評價技術(shù)指南。5.4.2 風(fēng)險識別組織宜識別風(fēng)險源、影響區(qū)域、事件（包括環(huán)境變化）以及致因和潛在后果。此步驟的目的是產(chǎn)生一個基于哪些可能產(chǎn)生、增強、阻礙、加快或推遲目標實現(xiàn)的事件的風(fēng)險的綜合表格。識別與不尋求機會相關(guān)的風(fēng)險是重要的。綜合識別是非常重要的，因為此階段沒有識別的風(fēng)險將不會包含在進一步的分析中。識別宜包括其源是否在組織的控制下的風(fēng)險，即使風(fēng)險源或致因可能不明顯。風(fēng)險識別宜包括考查特定后果直接影響，包括聯(lián)鎖和累積影響。也要考慮寬范圍的后果，即使風(fēng)險源或致因可能不明顯。也要

39、識別什么可能發(fā)生，考慮表明什么后果可以出現(xiàn)的可能致因和場景是必要的。所有重要的致因和后果宜予以考慮。    組織宜應(yīng)用適合其目標、能力及所面臨風(fēng)險的風(fēng)險識別工具和技術(shù)。在識別風(fēng)險時，相關(guān)和最新的信息是重要的。這宜包括可能的適當(dāng)背景信息。具有適當(dāng)知識的人員宜參與到識別風(fēng)險中。5.4.3 風(fēng)險分析    風(fēng)險分析涉及開展風(fēng)險的理解。風(fēng)險分析為風(fēng)險評定和確定風(fēng)險是否需要處理以及最適合的風(fēng)險處理策略和方法，提供了輸入。風(fēng)險分析也可以為必須做出選擇及選擇涉及不同類型和程度的風(fēng)險的決策，提供輸入。    風(fēng)險分析包括

40、考慮風(fēng)險的致因和來源，以及所帶來的正面和負面的后果及這些后果發(fā)生的可能性。影響后果的因素和可能性宜被識別。通過確定后果和其可能性、以及其他風(fēng)險特性，來進行風(fēng)險分析。一個事件可以有多種結(jié)果并可以影響多重目標?，F(xiàn)存的控制措施和其效果和效率也宜被考慮在內(nèi)。    后果和可能性的表述方式，以及它們組合確定風(fēng)險程度的方式，宜反映風(fēng)險類型、可獲得的信息、以及運用風(fēng)險評價輸出的意圖。這些全部都宜符合風(fēng)險準則?？紤]不同風(fēng)險和其源的相互依賴也是重要的。    風(fēng)險程度的確定和其前提和假設(shè)的敏感性的信心，宜在風(fēng)險分析中予以考慮，并有效溝通給決策者以及適當(dāng)

41、的利益相關(guān)方。諸如專家間觀點的分歧、不確定性、可用性、質(zhì)量、數(shù)量、信息的持續(xù)相關(guān)性、或模型的局限性等因素，宜予以闡述和可以重點強調(diào)。    風(fēng)險分析可以在不同程度的細節(jié)上進行，這取決于風(fēng)險本身、分析目的、可用的信息、數(shù)據(jù)和來源。依據(jù)環(huán)境條件，分析可以定性的、半定量或定量的，也可以是組合的方式。    后果和其可能性可以通過模擬一個或一系列事件的結(jié)果，或由實驗研究或可用數(shù)據(jù)推斷確定。后果可基于有形和無形的影響表述。在某些情況下，一個以上的數(shù)值或描述，需要界定對于不同時間、地點、團體或狀況的后果和其可能性。5.4.4 風(fēng)險評定風(fēng)險評價的目

42、的是，基于風(fēng)險分析的結(jié)果，幫助做出有關(guān)風(fēng)險需要處理和處理實施優(yōu)先的決策。    風(fēng)險評定包括將分析過程中確定的風(fēng)險程度與在明確狀況時建立的風(fēng)險準則進行比較。基于這種比較，處理需求可予以考慮。    決策宜考慮更為寬泛風(fēng)險含義，包括考慮風(fēng)險獲益組織外的團體對風(fēng)險的容忍性。決策宜依據(jù)法律法規(guī)和其他要求做出。在某些情況下，風(fēng)險評定可導(dǎo)致對決策的進一步分析。風(fēng)險評定也可導(dǎo)致，除了保持現(xiàn)存措施，不以任何方式處理風(fēng)險的決策。通過組織的風(fēng)險態(tài)度和已建立的風(fēng)險準則，對此決策施加影響。5.5   風(fēng)險處理5.5.1  總則風(fēng)險處理包括選擇一種或幾種修正風(fēng)險的方案，以及實施那些方案。一旦實施了方案，處理提供或改進了控制措施。風(fēng)險處理包括