ISO：31000 風(fēng)險管理標(biāo)準(zhǔn) 摘要

目錄一、 風(fēng)險定義： 1二、 風(fēng)險管理的11項原則： 2三、 風(fēng)險管理過程： 2四、 建立環(huán)境： 2五、 風(fēng)險準(zhǔn)則： 3六、 風(fēng)險評估： 4七、 風(fēng)險識別： 4八、 風(fēng)險分析： 5九、 可能性分析和概率估計： 6十、 風(fēng)險源： 7十一、 風(fēng)險暴露： 7十二、 風(fēng)險評價： 7十三、 風(fēng)險容忍 7十四、 風(fēng)險接受： 8十五、 剩余風(fēng)險： 8十六、 概率與不確定性： 8十七、 風(fēng)險應(yīng)對： 8十八、 風(fēng)險應(yīng)對計劃： 9十九、 風(fēng)險監(jiān)測與評審： 9二十、 風(fēng)險管理成熟度： 9二十一、風(fēng)險管理方針： 10二十二、風(fēng)險評估報告： 10二十三、對風(fēng)險評估的監(jiān)測與評審： 11二十四、風(fēng)險評估方法的結(jié)構(gòu)化模式： 11二十五、ISO/IEC31010:2009標(biāo)準(zhǔn)列舉的風(fēng)險評估方法 11二十六、影響風(fēng)險評估技術(shù)選擇的主要因素： 14二十七、風(fēng)險評估在生命周期各階段的應(yīng)用： 14二十八、風(fēng)險評估方法的比較 15二十九、風(fēng)險評估技術(shù)特征 16三十、重點研究的風(fēng)險定量評估模型 18風(fēng)險定義：ISOGuide73:2009對風(fēng)險的完整定義：風(fēng)險就是不確定性對目標(biāo)的影響。該定義給出了風(fēng)險的目標(biāo)性、不確定性和影響后果的二重性。該二重性包括威脅或機遇，在財務(wù)上，該二重性多體現(xiàn)為損失或收益。ISO對風(fēng)險的新定義給出以下五個注解：注1：影響可能偏離預(yù)期——正面的或負(fù)面的注2：目標(biāo)可以是不同的方面（如財務(wù)、健康安全以及環(huán)境目標(biāo)），并應(yīng)用于不同層次（如戰(zhàn)略、組織整體、項目、產(chǎn)品和過程）注3：風(fēng)險常具有潛在事件和后果或二者結(jié)合的特征注4：風(fēng)險經(jīng)常用一個事件的后果（包括情況變化）和對應(yīng)的發(fā)生可能性這二者的結(jié)合來表示注5：不確定性是缺乏或部分缺乏對一個事件、后果或發(fā)生可能性的相關(guān)信息、了解或認(rèn)識的狀態(tài)。風(fēng)險管理的11項原則：ISO31000：2009為風(fēng)險管理明示了11條原則：原則1：風(fēng)險管理創(chuàng)造并保護(hù)價值原則2：風(fēng)險管理是構(gòu)成組織所有過程所必需的一部分原則3：風(fēng)險管理是決策的一部分原則4：風(fēng)險管理清晰地闡明不確定性原則5：風(fēng)險管理是系統(tǒng)的、結(jié)構(gòu)化的和適時的原則6：風(fēng)險管理以最可利用的信息為基礎(chǔ)原則7：風(fēng)險管理具有適應(yīng)性原則8：風(fēng)險管理考慮人和文化因素原則9：風(fēng)險管理是透明、包容的原則10：風(fēng)險管理是動態(tài)的、往復(fù)的，并對變化保持相應(yīng)原則11：風(fēng)險管理促進(jìn)組織的持續(xù)改進(jìn)。風(fēng)險管理過程：風(fēng)險管理過程是組織在實施風(fēng)險管理時應(yīng)遵循的基本流程。該流程包括了“溝通與咨詢”以及一個主循環(huán)。該主循環(huán)從“建立環(huán)境”開始，依次經(jīng)過“風(fēng)險評估、風(fēng)險應(yīng)對、監(jiān)測與評審”，最后返回“建立環(huán)境”。建立環(huán)境：建立環(huán)境是風(fēng)險管理過程的第一個子過程，它包括建立四個方面的環(huán)境，也就是外部環(huán)境、內(nèi)部環(huán)境、風(fēng)險管理過程環(huán)境以及風(fēng)險準(zhǔn)則。建立環(huán)境包括與組織整體相關(guān)的內(nèi)外部環(huán)境參數(shù)，以及被評估的特定風(fēng)險的內(nèi)外部環(huán)境的參數(shù)。對于一個特定的風(fēng)險評估，建立環(huán)境應(yīng)該從外部環(huán)境、內(nèi)部環(huán)境、風(fēng)險管理過程環(huán)境及風(fēng)險準(zhǔn)則四個方面入手：建立外部環(huán)境，包括與組織運營和系統(tǒng)運營密切相關(guān)的環(huán)境，比如：文化、政治、法律、監(jiān)管、財務(wù)、經(jīng)濟和競爭環(huán)境因素，它們可能是國際、國家、地區(qū)或本地的。對組織的目標(biāo)有影響的關(guān)鍵驅(qū)動因素和趨勢。外部利益相關(guān)方的認(rèn)知和價值觀。建立內(nèi)部環(huán)境，包括對以下內(nèi)容的理解：組織在風(fēng)險管理資源和知識方面的能力。組織的信息流和決策過程。內(nèi)部利益相關(guān)方（一般包括股東、員工、組織內(nèi)的各個部門等）。組織的各種目標(biāo)，以及達(dá)成他們的戰(zhàn)略。組織內(nèi)部對風(fēng)險的認(rèn)知、價值觀和文化。組織的各項方針和過程（不單是風(fēng)險管理的方針和過程）。適合組織的標(biāo)準(zhǔn)和參考模型（不單是風(fēng)險管理的標(biāo)準(zhǔn)和參考模型）。組織的各種結(jié)構(gòu)（如治理結(jié)構(gòu)、角色劃分、責(zé)任體系等）建立風(fēng)險管理過程環(huán)境的內(nèi)容包括：定義風(fēng)險管理的責(zé)任和義務(wù)。定義被實施的風(fēng)險管理活動的范圍，包括對包含物和非包含物的說明。根據(jù)時間和位置，設(shè)定項目、過程、功能或活動的范圍。定義一個特定的項目與組織的其他項目的關(guān)系。設(shè)定風(fēng)險評估的方法論。定義風(fēng)險準(zhǔn)則。明確風(fēng)險管理績效如何被評估。識別并說明必須要做的決策和行動。識別重要研究的范圍、目標(biāo)及所需的資源。設(shè)定風(fēng)險準(zhǔn)則應(yīng)包括的內(nèi)容：后果的性質(zhì)和類型，以及風(fēng)險后果的度量?？赡苄缘谋硎痉绞?。如何設(shè)定風(fēng)險等級。設(shè)定風(fēng)險應(yīng)對時的風(fēng)險準(zhǔn)則。設(shè)定風(fēng)險被接受或容忍時的風(fēng)險準(zhǔn)則。風(fēng)險在什么時候需要組合分析，如何組合？風(fēng)險準(zhǔn)則：風(fēng)險準(zhǔn)則（riskcriteria）是組織用于評價風(fēng)險重要性的參照依據(jù)（標(biāo)準(zhǔn)）。注1：風(fēng)險準(zhǔn)則基于組織的目標(biāo)、外部環(huán)境和內(nèi)部環(huán)境注2：風(fēng)險準(zhǔn)則可以來自標(biāo)準(zhǔn)、法律、政策和其他要求在風(fēng)險管理實踐中，常用后果及其發(fā)生的可能性這二者的組合用來表示風(fēng)險等級。風(fēng)險準(zhǔn)則可以是定性的，也可以是定量的。在確定風(fēng)險準(zhǔn)則時，被考慮的因素應(yīng)包括如下方面：風(fēng)險原因的性質(zhì)和類型，可能出現(xiàn)的后果及如何對其進(jìn)行測量如何確定可能性可能性和后果的時限如何確定風(fēng)險等級利益相關(guān)方的觀點或意見風(fēng)險可接受或可容忍的等級考慮是否需要組合多個風(fēng)險，如需要，應(yīng)考慮如何組合和哪些組合方式。風(fēng)險準(zhǔn)則是風(fēng)險管理的核心內(nèi)容，沒有風(fēng)險準(zhǔn)則，風(fēng)險評估就無從談起，風(fēng)險等級就無法確定，風(fēng)險管理績效也無從談起。風(fēng)險準(zhǔn)則不是一成不變的，相反，它需要隨組織環(huán)境的變化而變化，所以要對其保持評審。但作為準(zhǔn)則，它應(yīng)有一定的穩(wěn)定性和連續(xù)性。企業(yè)制定風(fēng)險準(zhǔn)則要因地制宜。在風(fēng)險管理初期或組織的資源不足以支撐高精度的定量風(fēng)險準(zhǔn)則時，那就應(yīng)先制定一些定性或半定量的風(fēng)險準(zhǔn)則。風(fēng)險評估：風(fēng)險評估是風(fēng)險識別、風(fēng)險分析和風(fēng)險評價三個活動的全過程。風(fēng)險可以在組織層面被評估，也可以在部門層面被評估，還可以在項目、單個活動或特定風(fēng)險進(jìn)行評估。風(fēng)險識別：風(fēng)險識別是發(fā)現(xiàn)、承認(rèn)和描述風(fēng)險的過程。注1：風(fēng)險識別包括對風(fēng)險源、風(fēng)險事件、風(fēng)險原因及其潛在后果的識別。注2：風(fēng)險識別可包括歷史數(shù)據(jù)、理論分析、有見識的意見、專家的意見，以及利益相關(guān)方的需求。風(fēng)險識別的主要目的是建立一個基于風(fēng)險事件的、綜合的、廣泛的風(fēng)險清單，這些事件可能創(chuàng)造、加強、阻礙、降低、加速或推遲目標(biāo)的實現(xiàn)。值得強調(diào)是：事件是風(fēng)險的載體，風(fēng)險清單以風(fēng)險事件為基礎(chǔ)。風(fēng)險清單應(yīng)力求廣泛、全面，因為不被識別的風(fēng)險將無法進(jìn)入風(fēng)險評估的后續(xù)過程，對組織來說，這是可怕的隱患。在風(fēng)險評估實務(wù)中，常用的風(fēng)險識別方法和工具有：結(jié)構(gòu)化訪談；頭腦風(fēng)暴法風(fēng)險源分析檢查表情景分析法風(fēng)險識別輸出的基本描述風(fēng)險編號風(fēng)險名稱風(fēng)險事件對應(yīng)的業(yè)務(wù)、項目風(fēng)險源風(fēng)險原因風(fēng)險后果影響范圍影響性質(zhì)控制措施XX-001XX-002XX-003風(fēng)險分析：風(fēng)險分析是理解風(fēng)險性質(zhì)和確定風(fēng)險等級的過程。風(fēng)險分析包括對風(fēng)險的估計，如對后果大小的估計和可能性大小的估計。在風(fēng)險分析過程中，既要分析影響某目標(biāo)的固有風(fēng)險，還要分析組織現(xiàn)有的管理能力和控制措施的有效性，進(jìn)而得出某潛在事件對特定目標(biāo)的實際風(fēng)險值或風(fēng)險等級。在對現(xiàn)有控制措施的效果和效率進(jìn)行分析時，要先分析其設(shè)計有效性，再分析其執(zhí)行的有效性，最后分析其執(zhí)行的效率。風(fēng)險識別風(fēng)險識別分析風(fēng)險的特征分析現(xiàn)有的控制措施估計后果的大小估計可能性的大小確定風(fēng)險等級風(fēng)險評價風(fēng)險分析風(fēng)險分析子過程在風(fēng)險管理實務(wù)中，常用半定量方法估算風(fēng)險等級，也就是把后果的等級與可能性的等級相乘估算風(fēng)險的大小。風(fēng)險分析可以按不同的詳細(xì)程度展開，可以依據(jù)風(fēng)險本身、分析的目的，以及可用的信息、數(shù)據(jù)、資源等展開。分析依據(jù)具體情況而定，可以是定性的、半定量的或定量的，或者是它們的組合。對非金融企業(yè)而言，企業(yè)整體層面的風(fēng)險在今后相當(dāng)長的一段時間都將以半定量的方式來表示。后果及其可能性可以通過模仿一個事件或一系列時間的結(jié)果確定，或通過實驗研究及有用的數(shù)據(jù)推斷。所以需要采用一些方法和手段獲得這些結(jié)果，如情景模擬、實驗研究、邏輯分析、數(shù)據(jù)推算等。

定性評估：定性評估師通過重要性等級“高、中、低”這樣的表述來界定風(fēng)險事件的后果、可能性及風(fēng)險等級，然后將后果和可能性結(jié)合起來，并與定性的風(fēng)險準(zhǔn)則比較，即可評估最終的風(fēng)險等級。半定量法：半定量法可利用數(shù)字分級尺度來測度風(fēng)險的可能性及后果，然后運用公式將二者結(jié)合起來，得出風(fēng)險等級。常見四分量表、五分量表、七分量表等皆屬此類。定量分析：可能性后果可能性后果0Ⅰ23451234ⅡⅢL2：R=7L1：R=2由于相關(guān)信息不夠全面、缺乏數(shù)據(jù)、人為因素影響等，或是因為定量分析工作無法確?；驔]有必要，全面的定量分析未必都是可行的或值得的。在此情況下，由經(jīng)驗豐富的專家對風(fēng)險進(jìn)行半定量或定性的分析可能已經(jīng)足夠有效。如果是定性分析，那么應(yīng)該對使用的術(shù)語進(jìn)行清晰說明，并對風(fēng)險準(zhǔn)則的設(shè)定基礎(chǔ)進(jìn)行記錄。即使實現(xiàn)全面的定量分析，也應(yīng)注意到，此時所獲得的風(fēng)險等級值也只是估計值；還應(yīng)注意確保其精度不會與所使用的原始數(shù)據(jù)及分析方法的精確度之間存在偏差。需要注意風(fēng)險類型和風(fēng)險等級之間的關(guān)系，風(fēng)險等級應(yīng)當(dāng)用于風(fēng)險類型最為匹配的術(shù)語表達(dá)，以利于后續(xù)的評價。如生命安全的風(fēng)險等級、聲譽的風(fēng)險等級、財務(wù)方面的風(fēng)險等級，他們在分析計量時擁有不同的量綱。至于風(fēng)險的大小，則可以通過風(fēng)險后果及其發(fā)生可能性的結(jié)合來表達(dá)。在揭示一個風(fēng)險2，常用下面的等式來表達(dá)：R=R固有-（+）R控制在處理“輕微后果高概率”和“嚴(yán)重后果低概率”這二類截然不同的風(fēng)險其應(yīng)對措施往往有很大的區(qū)別，因此需要分別分析和應(yīng)對這二類風(fēng)險。對于“輕微后果高概率”的風(fēng)險，一般采用“內(nèi)部控制”手段來應(yīng)對；對于“嚴(yán)重后果低概率”的風(fēng)險，一般需要準(zhǔn)備預(yù)案，這種風(fēng)險的應(yīng)對往往屬于BCM（業(yè)務(wù)持續(xù)管理）的范疇?？赡苄苑治龊透怕使烙嫞和ǔＶ饕褂萌N方法來估計“可能性”(L-Likelihood)。這些方法可單獨使用，也可組合使用。第一種：利用相關(guān)歷史數(shù)據(jù)來識別那些過去發(fā)生的事件或情況，借此推斷出它們在未來發(fā)生的可能性。此時，所使用的數(shù)據(jù)應(yīng)當(dāng)與正在分析的系統(tǒng)、設(shè)備、組織或活動的類型密切相關(guān)。第二種：利用故障樹和事件樹等技術(shù)來預(yù)測可能性。當(dāng)歷史數(shù)據(jù)無法獲取或不夠充分時，有必要通過分析活動、系統(tǒng)、設(shè)備或組織及其相關(guān)的失效或成功狀況來推斷風(fēng)險的可能性。第三種：系統(tǒng)化和結(jié)構(gòu)化地利用專家觀點來估計可能性。獲得專家判斷的正式方法眾多，常用方法包括德爾菲法和層次分析法。值得注意的是，專家不一定非得是組織外部的，組織內(nèi)的業(yè)務(wù)骨干和技術(shù)專家也是組織進(jìn)行風(fēng)險分析時應(yīng)重視的資源。風(fēng)險源：風(fēng)險源是對導(dǎo)致風(fēng)險具有內(nèi)在可能性的元素或元素的結(jié)合。風(fēng)險源可以是有形或無形的。風(fēng)險暴露：風(fēng)險暴露是一個組織和利益相關(guān)方受一個風(fēng)險事件影響的程度。在金融行業(yè)，風(fēng)險暴露也叫風(fēng)險敞口，是指金融機構(gòu)在各種業(yè)務(wù)活動中容易受到風(fēng)險因素影響的資產(chǎn)和負(fù)債的價值。金融機構(gòu)常用貨幣數(shù)量來表示風(fēng)險暴露。風(fēng)險評價：風(fēng)險評價的目的是協(xié)助決策，決策基于風(fēng)險分析的結(jié)果，決策的內(nèi)容是風(fēng)險是否需要應(yīng)對以及實施應(yīng)對的優(yōu)先順序。風(fēng)險評價是把風(fēng)險分析結(jié)果與風(fēng)險準(zhǔn)則相比，以決定風(fēng)險和其大小是否可接受或可容忍的過程。風(fēng)險評價（evaluation）是風(fēng)險評估(assessment)過程中的一個環(huán)節(jié)。風(fēng)險容忍風(fēng)險容忍是組織或利益相關(guān)方為達(dá)成目標(biāo)在風(fēng)險應(yīng)對后愿意承受的風(fēng)險。風(fēng)險容忍可能受到法律或監(jiān)管要求的影響。與這個術(shù)語密切相關(guān)的概念是“風(fēng)險容忍度”。風(fēng)險容忍度是一個量化的值，在進(jìn)行風(fēng)險評價時，低于風(fēng)險容忍度的風(fēng)險可能被視為可容忍，其風(fēng)險重要性較低。R容忍=R固有-R應(yīng)對組織在進(jìn)行風(fēng)險評價時，常常把識別出來的風(fēng)險按“風(fēng)險帶”進(jìn)行劃分，劃分的基準(zhǔn)線往往使用“風(fēng)險容忍線”和“風(fēng)險接受線”。影響程度影響程度性上帶中帶下帶R容忍R接受發(fā)生的可能性風(fēng)險帶示意圖上帶的風(fēng)險值都超過可容忍的風(fēng)險等級，無論目標(biāo)活動能帶來哪些利益，其風(fēng)險等級都是無法容忍的，因此，必須不惜一切代價進(jìn)行風(fēng)險應(yīng)對（包括規(guī)避和放棄機會）。下帶的風(fēng)險值小于可接受的風(fēng)險等級，落在這個區(qū)域的風(fēng)險都是風(fēng)險值很小的風(fēng)險，一般無需采取風(fēng)險應(yīng)對措施，保持監(jiān)測即可。但這里要注意二種極端的情況：一是后果的影響程度很高，但其發(fā)生的可能性極低；二是后果的影響程度很低，但發(fā)生的可能性很高。對這二種極端情況就不能只采取監(jiān)測手段進(jìn)行管理。中帶是介于上帶和下帶之間的部分。落在這個區(qū)域的風(fēng)險，一般要考慮實施風(fēng)險應(yīng)對的成本與收益，并權(quán)衡機遇與潛在結(jié)果對目標(biāo)的影響。對這部分風(fēng)險的管理是風(fēng)險管理的核心任務(wù)之一。風(fēng)險接受：風(fēng)險接受是指承擔(dān)某一特定風(fēng)險的正式?jīng)Q定。注1：未進(jìn)行風(fēng)險應(yīng)對或在風(fēng)險應(yīng)對過程中，可發(fā)生風(fēng)險接受。注2：被接受的風(fēng)險應(yīng)進(jìn)行監(jiān)測與評審。風(fēng)險接受是組織在“風(fēng)險評價”后作出的選擇之一，它是一種正式的決定。剩余風(fēng)險：剩余風(fēng)險是風(fēng)險應(yīng)對后剩下的風(fēng)險。注1：剩余風(fēng)險可能包括未識別的風(fēng)險。注2：剩余風(fēng)險也可以認(rèn)為是“保留的風(fēng)險”剩余風(fēng)險與固有風(fēng)險相對應(yīng)。固有風(fēng)險是在無任何風(fēng)險應(yīng)對之前的風(fēng)險，固有風(fēng)險是客觀的。固有風(fēng)險與剩余風(fēng)險的差異就在于組織的管理措施、管理能力和管理水平。R剩余=R固有-R應(yīng)對很顯然，剩余風(fēng)險隨組織的風(fēng)險應(yīng)對水平而變化。概率與不確定性：在風(fēng)險管理實踐中，通常以概率的數(shù)值表示不確定性的程度，概率的取值范圍為【0,1】，它對應(yīng)某事件發(fā)生的可能性從0%到100%。當(dāng)P=0或P=1時均對應(yīng)最大的“確定性”，當(dāng)P=0.5時對應(yīng)最大的不確定性。001MU不確定性P概率風(fēng)險應(yīng)對：風(fēng)險應(yīng)對包括選擇一個或多個改變風(fēng)險的方式，并實施這些方式。一旦付諸實施，這些方式就會提供或改進(jìn)控制措施。風(fēng)險應(yīng)對包含一個循環(huán)過程：評估一個風(fēng)險應(yīng)對；決定剩余風(fēng)險的等級是否可容忍；如果不可容忍，則需產(chǎn)生一個新的風(fēng)險應(yīng)對；評估那個新應(yīng)對的有效性。風(fēng)險應(yīng)對計劃應(yīng)清晰地標(biāo)識每一項被實施的風(fēng)險應(yīng)對的優(yōu)先順序。風(fēng)險應(yīng)對計劃：風(fēng)險應(yīng)對計劃的目的是將如何實施所選擇的應(yīng)對方式形成文件。風(fēng)險應(yīng)對計劃所提供的信息應(yīng)包括：選擇應(yīng)對方式的原因，包括要獲得的預(yù)期收益；對計劃批準(zhǔn)負(fù)有責(zé)任的人和對實施計劃負(fù)有責(zé)任的人；建議的行動；資源需求，包括突發(fā)事件的資源需求；績效的測量方法和限制條件；報告和監(jiān)測要求；時機和日程安排。剩余風(fēng)險應(yīng)被記載并得到監(jiān)測與評審。如果剩余風(fēng)險超出組織的風(fēng)險容忍范圍，那么組織就應(yīng)該采取進(jìn)一步的應(yīng)對措施。風(fēng)險監(jiān)測與評審：監(jiān)測與評審應(yīng)該是風(fēng)險管理過程中一個被計劃的部分，包括日常的檢查或監(jiān)督。監(jiān)測與評審可以是定期的或臨時的。組織應(yīng)清晰確定監(jiān)測與評審的職責(zé)。組織進(jìn)行的監(jiān)測與評審應(yīng)包含組織風(fēng)險管理過程的所有方面，其目的是：確?？刂圃谠O(shè)計和運行方面都是有效力和有效率的為改善風(fēng)險評估而獲得進(jìn)一步的信息從事件、變化、趨勢、成功和失敗中分析并獲取經(jīng)驗教訓(xùn)發(fā)現(xiàn)外部和內(nèi)部的環(huán)境變化，包括風(fēng)險準(zhǔn)則和風(fēng)險本身的變化，這些變化可能需要修改風(fēng)險應(yīng)對方式和優(yōu)先順序識別正在顯露的風(fēng)險監(jiān)測與評審的結(jié)果應(yīng)被記錄并被適當(dāng)?shù)叵騼?nèi)部和外部報告，也應(yīng)用于風(fēng)險管理框架評審的輸入。風(fēng)險管理成熟度：風(fēng)險管理成熟度是個新概念，可理解為“風(fēng)險管理+成熟度”，也就是在通用“成熟度模型”的基礎(chǔ)上，賦予“風(fēng)險管理”的特定要求。關(guān)于成熟度模型，其中最著名的要屬軟件能力成熟度模型CMM，分為五級：一級為初始級，二級為可重復(fù)級，三級為定義級，四級為已管理級，五級為優(yōu)化級。企業(yè)在評價自己的風(fēng)險管理成熟度是，可參照BSI在BS31100:2008中提及的關(guān)鍵指標(biāo)。BS31100:2008為評價企業(yè)的風(fēng)險管理成熟度設(shè)計了以下14個指標(biāo)：企業(yè)的風(fēng)險管理被董事會或高管層下達(dá)指令或授權(quán)風(fēng)險管理的角色和職責(zé)被區(qū)分及建立有風(fēng)險管理方針風(fēng)險管理方針被用于溝通風(fēng)險管理過程被定義對嵌入式的風(fēng)險管理制訂了計劃（即風(fēng)險管理計劃）關(guān)于風(fēng)險報告有明確的要求有適當(dāng)?shù)墓ぞ咧物L(fēng)險管理對風(fēng)險管理信息的捕捉有持續(xù)一致的方式實施風(fēng)險管理的頻率與企業(yè)的業(yè)務(wù)周期相適應(yīng)組織的各項活動包括風(fēng)險管理風(fēng)險管理用于支持企業(yè)對機遇的追求風(fēng)險管理增強了董事會捕捉新機遇的信心有一個關(guān)于持續(xù)改進(jìn)的過程風(fēng)險管理方針：風(fēng)險管理方針是對一個組織在風(fēng)險管理方面總的意愿和方向的陳述。風(fēng)險管理方針應(yīng)清晰闡明組織的風(fēng)險管理目標(biāo)和對風(fēng)險管理的承諾。通常應(yīng)明確如下內(nèi)容：組織管理風(fēng)險的依據(jù)風(fēng)險管理方針與組織的目標(biāo)和方針的聯(lián)系管理風(fēng)險的責(zé)任和職責(zé)處理利益沖突的方式承諾向?qū)芾盹L(fēng)險負(fù)有責(zé)任和履行職責(zé)的人員提供必要的資源測量和報告風(fēng)險管理績效的方式承諾定期評審和改進(jìn)風(fēng)險管理方針和政策，并對事件或環(huán)境的變化作出響應(yīng)。組織應(yīng)該把風(fēng)險管理方針與利益相關(guān)方進(jìn)行適當(dāng)溝通。風(fēng)險評估報告：風(fēng)險評估是一個比較復(fù)雜的過程，所以，在風(fēng)險評估的過程中，我們應(yīng)把整個過程中得到的信息、數(shù)據(jù)及評估結(jié)果一起記錄在案，形成風(fēng)險評估報告。風(fēng)險評估報告需包括以下內(nèi)容：風(fēng)險評估的目標(biāo)和范圍系統(tǒng)相關(guān)部分的說明及它們的功能組織內(nèi)、外環(huán)境描述，以及被評估對象與內(nèi)外環(huán)境的關(guān)系。所使用的風(fēng)險準(zhǔn)則及其合理性。假定及假設(shè)的合理性。評估方法。風(fēng)險識別結(jié)果。數(shù)據(jù)來源與校驗。風(fēng)險分析結(jié)果及評價。敏感性及不確定性分析。關(guān)鍵假定和其他需要加以監(jiān)測的因素。結(jié)果討論。結(jié)論和建議。參考資料。對風(fēng)險評估的監(jiān)測與評審：對風(fēng)險評估進(jìn)行監(jiān)測與評審，主要檢查以下內(nèi)容：內(nèi)外部環(huán)境是否發(fā)生變化有關(guān)假設(shè)是否保持有效風(fēng)險評估技術(shù)是否被正確使用風(fēng)險評估結(jié)果是否與實際經(jīng)驗相符風(fēng)險應(yīng)對是否有效，是否正在實現(xiàn)預(yù)期的結(jié)果？風(fēng)險評估方法的結(jié)構(gòu)化模式：風(fēng)險評估結(jié)構(gòu)化模式分為六個部分：方法概述用途輸入過程輸出優(yōu)點及局限ISO/IEC31010:2009標(biāo)準(zhǔn)列舉的風(fēng)險評估方法序號方法名稱方法的應(yīng)用說明01頭腦風(fēng)暴法一種收集各種觀點及評價并將其在團(tuán)隊內(nèi)進(jìn)行評級的方法。頭腦風(fēng)暴法可由提示、一對一或一對多的訪談技術(shù)激發(fā)。02結(jié)構(gòu)化或半結(jié)構(gòu)化訪談03德爾菲法一種綜合各類專家觀點并促使其統(tǒng)一的方法，這些觀點有利于支持風(fēng)險源及影響的識別、可能性與后果分析以及風(fēng)險評價。需要獨立分析和專家投票。04檢查表法一種簡單的風(fēng)險識別技術(shù)，提供了一系列典型的需要考慮的不確定性因素。使用者可參照以前的風(fēng)險清單、規(guī)定或標(biāo)準(zhǔn)。05初步危險分析（PHA）PHA是一種簡單的歸納分析方法，其目標(biāo)是識別風(fēng)險以及可能危害特定活動、設(shè)備或系統(tǒng)的危險性情況及事項。06危險與可操作性分析（HAZOP）HAZOP是一種綜合性的風(fēng)險評估過程，用于明確可能偏離預(yù)期績效的偏差，并可評估偏離的危害度。它使用一種基于引導(dǎo)詞的系統(tǒng)。07危險分析與關(guān)鍵控制點法（HACCP）HACCP是一種系統(tǒng)的、前瞻性及預(yù)防性的技術(shù)，通過測量并監(jiān)控那些應(yīng)處于規(guī)定限制內(nèi)的具體特征來確保產(chǎn)品質(zhì)量、可靠性以及過程的安全性。08環(huán)境風(fēng)險評估這種方法用于評估暴露在危險環(huán)境下的動物、植物、人的風(fēng)險。用于評價和應(yīng)對決策。09結(jié)構(gòu)化假設(shè)分析（SWIFT）一種激發(fā)團(tuán)隊識別風(fēng)險的技術(shù)，通常在引導(dǎo)式研討班上使用，并可用于風(fēng)險分析及評價。10情景分析在想象和推測的基礎(chǔ)上，對可能發(fā)生的未來情景加以描述?？梢酝ㄟ^正式或非正式的、定性或定量的手段進(jìn)行情景分析。11業(yè)務(wù)影響分析（BIA）分析重要風(fēng)險影響組織運營的方式，同時明確如何對這些風(fēng)險進(jìn)行管理。12根原因分析對發(fā)生的單項損失進(jìn)行分析，以理解造成損失的原因以及如何改進(jìn)系統(tǒng)或過程以避免未來類似的損失。分析應(yīng)考慮發(fā)生損失時可使用的風(fēng)險控制方法以及怎樣改進(jìn)風(fēng)險控制方法。13失效模式和影響分析（FMEA）FMEA是一種識別失效模式、機制及其影響的技術(shù)。有幾類FMEA：設(shè)計或產(chǎn)品FMEA，用于部件及產(chǎn)品；系統(tǒng)FMEA；過程FMEA，用于加工及組裝過程，還有服務(wù)FMEA及軟件FMEA。14故障樹分析（FTA）始于不良事件（頂事件）的分析并確定該事件可能發(fā)生的所有方式，并以邏輯樹形圖的形式進(jìn)行展示。在建立起故障樹后，就應(yīng)考慮如何減輕或消除潛在的風(fēng)險源。15事件樹分析（ETA）運用歸納推理方法將各類初始事件的可能性轉(zhuǎn)化成可能發(fā)生的結(jié)果。16原因/后果分析這種方法是對故障樹分析和事件樹分析的綜合運用，并允許時間延誤。該方法常用Yes/No邏輯門來表示。注意：初始事件的原因和后果都要予以考慮。17原因/影響分析這是一種結(jié)構(gòu)化的方法，用于識別不期望的事件或問題的可能原因。常用魚骨圖或樹圖來表示。18保護(hù)層分析（LOPA）保護(hù)層分析，也被稱作障礙分析，它可以對控制及其效果進(jìn)行評價。19決策樹分析對于決策問題的細(xì)節(jié)提供了一種清楚的圖解說明。20人員可靠性分析（HRA）人員可靠性分析主要關(guān)注系統(tǒng)績效中人為因素的作用，可用于評價人為錯誤對系統(tǒng)的影響。21Bow-tie分析這是一種簡單的描述風(fēng)險路徑的方法，用于描述和分析風(fēng)險從原因到后果的路徑。22以可靠性為中心的維護(hù)以可靠性為中心的維護(hù)（RCM）是一種基于可靠性分析方法實現(xiàn)維護(hù)策略優(yōu)化的技術(shù)，其目標(biāo)是在滿足安全性、環(huán)境技術(shù)要求和使用工作要求的同時，獲得產(chǎn)品的最小維護(hù)資源消耗。通過這項工作，用戶可以找出系統(tǒng)組成中對系統(tǒng)性能影響最大的零部件及其維護(hù)工作方式。23潛在通路分析SCA潛在通路是指能夠?qū)е鲁霈F(xiàn)非期望的功能或抑制期望功能的狀態(tài)，這些不良狀態(tài)的特點具有隨意性，在最嚴(yán)格的標(biāo)準(zhǔn)化系統(tǒng)檢查中也不一定能夠檢測到。24馬爾可夫分析馬爾可夫分析通常用于對那些存在多種狀態(tài)（包括各種降級使用狀態(tài)）的可維修復(fù)雜系統(tǒng)進(jìn)行分析。25蒙特卡羅模擬分析蒙特卡羅模擬分析用于確定系統(tǒng)內(nèi)的綜合變化，該變化產(chǎn)生于多個輸入數(shù)據(jù)的變化，其中每個輸入數(shù)據(jù)都有確定的分布，而且輸入數(shù)據(jù)與輸出結(jié)果有著明確的關(guān)系。該方法能用于那些可將不同輸入數(shù)據(jù)之間相互作用計算確定的模型。根據(jù)輸入數(shù)據(jù)所代表的不確定性的特征，輸入數(shù)據(jù)可以基于各種分布類型。風(fēng)險評估中常用的是三角或貝塔分布。26貝葉斯統(tǒng)計及貝葉斯網(wǎng)絡(luò)貝葉斯分析是一種統(tǒng)計程序，利用先驗分布數(shù)據(jù)來評估結(jié)果的可能性，其推斷的準(zhǔn)確程度依賴于先驗分布的準(zhǔn)確性。貝葉斯信念網(wǎng)絡(luò)通過捕捉那些能產(chǎn)生一定結(jié)果的各種輸入數(shù)據(jù)之間的概率關(guān)系對原因及效果進(jìn)行模擬27FN曲線FN曲線通過區(qū)域塊表示風(fēng)險，并可進(jìn)行風(fēng)險比較，可用于系統(tǒng)或過程設(shè)計以及現(xiàn)有系統(tǒng)的管理28風(fēng)險指數(shù)風(fēng)險指數(shù)可以提供一種有效的劃分風(fēng)險等級的工具29后果/可能性矩陣俗稱風(fēng)險矩陣，是一種將后果分級與可能性相結(jié)合的方式30成本/收益分析這是一種為了選擇最佳或最好的效益，把預(yù)期的成本與預(yù)期的收益進(jìn)行比較的方法。該方法用于風(fēng)險評價31多條件決策分析這是一種在多條件下的決策分析方法，目的是讓決策更加客觀和透明。使用該方法的關(guān)鍵點是要建立一套評價準(zhǔn)則。本標(biāo)準(zhǔn)介紹的方法不是風(fēng)險評估方法的全部。從某種程度上來看，本標(biāo)準(zhǔn)提供的風(fēng)險評估方法更適合于安全生產(chǎn)領(lǐng)域。對“機會風(fēng)險”的風(fēng)險評估，如戰(zhàn)略、市場拓展、并購等領(lǐng)域的風(fēng)險評估，上述很多方法則不一定合適。以下方法有益于對機會風(fēng)險的評估序號方法名稱主要用途01PEST方法主要用于識別組織所處的外部宏觀環(huán)境；分別從政治、經(jīng)濟、社會、技術(shù)四個方面進(jìn)行識別。02SWOT方法主要用于識別組織外部機會和威脅，以及組織的內(nèi)部優(yōu)勢與劣勢，為進(jìn)一步的風(fēng)險分析提供輸入03五力競爭模型這種方法主要用于企業(yè)。用于識別企業(yè)所處的競爭狀態(tài)04波士頓矩陣這種方法主要適用于企業(yè)。主要用于企業(yè)的戰(zhàn)略選擇、業(yè)務(wù)模塊評價、產(chǎn)品評價。另外，像VAR（ValueatRISK）、RAROC(RiskAdjustedReturnonCapital)、效用函數(shù)等技術(shù)的應(yīng)用也都非常廣泛。影響風(fēng)險評估技術(shù)選擇的主要因素：一般來說，合適的風(fēng)險評估技術(shù)應(yīng)具備以下特征：有充分理由的，適應(yīng)相關(guān)的情況或組織，并在組織的考慮中。得出的結(jié)果能夠加深人們對風(fēng)險性質(zhì)及風(fēng)險應(yīng)對策略的認(rèn)識。能按可追溯、可重復(fù)及可驗證的方式使用。在風(fēng)險評估實務(wù)中，影響風(fēng)險評估技術(shù)選擇的因素很多，主要包括以下三個因素：可用的資源和能力風(fēng)險評估團(tuán)隊的技能、經(jīng)驗、規(guī)模及能力信息及數(shù)據(jù)的可獲得性時間以及組織內(nèi)其他資源的限制需要外部資源時的可用預(yù)算不確定性的性質(zhì)和程度在考慮不確定性的性質(zhì)和程度時，需要對所涉及的風(fēng)險，認(rèn)識其可獲得信息的質(zhì)量、數(shù)量和完整性。不確定性可能源于較差的數(shù)據(jù)質(zhì)量或缺乏基本的、可靠的數(shù)據(jù)。不確定性是組織內(nèi)外部環(huán)境中必然存在的情況，現(xiàn)有的數(shù)據(jù)也并不總是能為預(yù)測未來提供可靠的依據(jù)。風(fēng)險的復(fù)雜性風(fēng)險可以由它們自身組合而成，不僅要對系統(tǒng)中的每個部分進(jìn)行評估，更要注意系統(tǒng)各部分之間的相互關(guān)系，應(yīng)注意風(fēng)險可能產(chǎn)生的間接影響。所以，風(fēng)險評估的技術(shù)也具備復(fù)雜性。風(fēng)險評估在生命周期各階段的應(yīng)用：風(fēng)險評估可以應(yīng)用于生命周期的所有階段，而且通常以不同的詳細(xì)程度被多次應(yīng)用，以幫助組織在各個階段做出其需要的決策。在概念和定義階段：當(dāng)識別機會時，可以用風(fēng)險評估決定是否著手進(jìn)行該活動；在有多個方案可供選擇的場合，風(fēng)險評估可用來評價替代方案，幫助決定哪種方案能提供最好的風(fēng)險平衡。在設(shè)計和開發(fā)階段，風(fēng)險評估有助于：保證系統(tǒng)風(fēng)險是可接受的改進(jìn)設(shè)計過程成本效益研究識別影響生命周期后續(xù)階段的風(fēng)險。在生命周期的其他階段，可以用風(fēng)險評估提供必要的信息，以便為正常情況和緊急情況制定應(yīng)對程序。風(fēng)險評估方法的比較SA表示“非常適用”，“NA”表示“不適用”，A表示“適用”。序號方法名稱風(fēng)險評估過程風(fēng)險識別風(fēng)險分析風(fēng)險評價后果可能性風(fēng)險等級01頭腦風(fēng)暴法SANANANANA02結(jié)構(gòu)化或半結(jié)構(gòu)化訪談SANANANANA03德爾菲法SANANANANA04檢查表法SANANANANA05初步危險分析（PHA）SANANANANA06危險與可操作性分析（HAZOP）SASAAAA07危險分析與關(guān)鍵控制點法（HACCP）SASANANASA08環(huán)境風(fēng)險評估SASASASASA09結(jié)構(gòu)化假設(shè)分析（SWIFT）SASASASASA10情景分析SASAAAA11業(yè)務(wù)影響分析（BIA）ASAAAA12根原因分析NASASASASA13失效模式和影響分析（FMEA）SASASASASA14故障樹分析（FTA）ANASAAA15事件樹分析（ETA）ASAAANA16原因/后果分析ASASAAA17原因/影響分析SASANANANA18保護(hù)層分析（LOPA）ASAAANA19決策樹分析NASASAAA20人員可靠性分析（HRA）SASASASAA21Bow-tie分析NAASASAA22以可靠性為中心的維護(hù)SASASASASA23潛在通路分析SCAANANANANA24馬爾可夫分析ASANANANA25蒙特卡羅模擬分析NANANANASA26貝葉斯統(tǒng)計及貝葉斯網(wǎng)絡(luò)NASANANASA27FN曲線ASASAASA28風(fēng)險指數(shù)ASASAASA29后果/可能性矩陣SASASASAA30成本/收益分析ASAAAA31多條件決策分析ASAASAA風(fēng)險評估技術(shù)特征序