引言

  所有类型和规模的组织都会面对内部、外部因素及影响，这给组织是否实现、何时实现其目标带来了不确定性。这种不确定性对组织目标的影响是“风险”。

  一个组织的所有活动均含有风险。组织通过识别风险、分析风险，并评价为满足其风险在准则而实现风险应对的风险是否被改变。在这些过程中，组织与利益相关方沟通、监测和评审风险、改变对风险的控制方法，以确保不再需要进一步的风险应对。本国际标准详细表述了这一系统的和逻辑的过程。

  正当所有组织管理的风险达到一定程度时，本标准为使风险挂历有效而建立了组织需满足的一些原则。同时，本国际标准推荐组织开发、实施和持续改进一个框架，该框架的目的是将管理风险的过程整合入组织的所有治理、战略、策划、管理、报告过程、方针、价值及文化中。

  风险管理可以应用于整个组织，包括在组织内的各种区域和层级，在任何时间或特定的职能、项目和活动等。

  虽然为满足各种不同的需求，风险管理已在血多领域进行了一个时期，但在一个综合的框架内采用一致的过程，可以帮助组织确保管理风险的有效性、高效率，并在组织中保持连贯性。本国际标准描述的通用方法以系统、透明、可信的方式为管理任何形式的风险提供原则和指南，它们适合于任何范围和环境。

  风险管理中的每一个特定部分或应用都与特定的需求/应用主体、感知、准则密切相关。因此，本国际标准的一个关键特征是将“建立环境”作为风险管理过程的开始。“建立环境”包含组织的目标、组织追求目标所处的环境、利益相关方以及各种风险准则。所有这些将帮助组织揭示和评估风险的本质及复杂性。

 本标准图1中表述了风险管理原则、风险管理框架、过程之间的关系.

 当执行并保持本标准相一致的风险管理，风险管理能够使组织：

-提供达到目标的可能性‘

--鼓励主动管理；

--意识到在全组织内识别、应对风险的识别；

--改进对机会和威胁的识别；

--遵从相关的法律法国和国际规范；

--改进前执行和资源性报告；

--改进治理；

--增进利益相关方的信心和信任；

--为决策和规划建立可靠的基础；

--改进控制；

--为风险应对有效地配置和使用资源；

-- 改进运营的效力和效率；

--提高健康和安全绩效和环境保护；

--改进损失预防和对不良事件的管理；

--使损失最小化；

--改善组织的学习；和

--增强组织的恢复能力；

本标准试图满足广泛的利益相关方的需求，包括：

（1）       组织内对制定风险管理方针政策负有职责的人，如组织的决策者；

（2）       组织内对整体或特殊领域、项目或活动中确保风险管理而负有责任的人，如实施风险管理的人员；

（3）       需要评价一个组织在管理风险方面的有效性的人，如评估人员、审计人员

（4）       为标准、指南、程序、行为守则等文件制定全部或部分“如何管理风险”内容的编写人员

  其它如股东、员工、债权人、供应商、代理商、监管机构等也是标准的适用人群。

  许多组织在现有的管理实践和过程中已经实施了风险管理，或者已经对某些特定风险或具体领域采用了正是的风险管理过程。在这种情况下，组织可对照本标准对现有的风险管理实践和过程进行平生。

  在本标准中并用了“风险管理(risk management)”和“管理风险（managing risk）”两种表述。就通用术语而言，“风险管理”关注有效管理风险的结构（如原则、框架和过程），而“管理风险”关注的则是把这种结构应用于特定的风险。

 

范围

  本标准为风险管理提供了原则和通用指南。

  本标准适用于各种类型和规模的的组织，包括任何企业（含上市公司、私企等）、协会（社团）、集团等，所以本标准并不特指任何行业或领域。

 注：为方便起见，本标准的所有不同使用者均用通用的“组织”来表示。

  本标准适用于组织的全生命周期及其各阶段，也适用于组织的各种活动。具体包括战略与决策、运营、过程、功能、项目、产品、服务和资产等。

  本标准能够适用于各种类型的风险，无论其本质是正面影响还是负面影响。

  尽管本币哦啊准提供了一个通用的指南，但它并不是鼓吹让所有组织都采用一样的风险管理，风险管理计划的设计和实施，以及风险管理框架的设计与实施，将随不同的组织而异。所以，风险管理的具体实施取决于组织的实际情况（如目标、环境、结构、运营、过程、项目、产品等）和具体实施。

  本标准的另一个目的是使风险管理过程保持一致，无论其在现存的还是未来的标准中。它只是提供一个一般的方法以支持那些处理特定风险或领域的标准，而不是替代这些标准。

  本标准不用于认证目的。

 

2 术语和定义

  本标准使用了以下的术语和定义。

2.1 风险 risk

不确定性对目标的影响。

注1.            影响可能偏离预期——正面的和/或负面的。

注2.            目标可以有不同的方面（如财务、健康安全以及环境目标），并应用于不同的层次（如战略、组织整体、项目、产品和过程）。

注3.            风险常具有潜在事件和后果或二者结合的特征。

注4.            风险经常用一个事件的后果（包括情况变化）和对应的发生可能性这二者的结合来表示。

注5.            不确定性是缺乏或者部分缺乏对一个事件、后果或发生可能性的相关信息、了解或认识的状态。

[ ISO Guide 73:2009，definition 1.1]

2.2 风险管理 risk management

   针对风险所采取的智慧和控制组织的协调活动。

[ ISO Guide 73:2009，definition 2.1]

2.3 风险管理框架 risk management framework

  为设计、实施、监测、评审和持续改进整个组织的风险管理而提供基础和组织安排的一组构成。

注1.            基础包括方针、目标以及对管理风险的授权与承诺。

注2.            组织的安排包括计划、相互关系、责任、资源、过程和活动。

注3.            风险管理框架被嵌入到组织的所有战略、运营方针及实践中。

注4.            [ ISO Guide 73:2009，definition 2.1.1]

2.4 风险管理方针 risk management policy

  一个组织在风险管理方面总的意愿和方向的陈述。

[ ISO Guide 73:2009，definition 2.1.2]

2.5 风险态度 risk attitude

  组组在评估及追求、保留、承担或规避风险方面的方式和态度。

  [ ISO Guide 73:2009，definition 3.7.1.1]

2.6 风险管理计划 risk management plan

  在风险管理框架中，用于表述管理风险的方法、管理构成和资源的策划。

注1.            管理构成一般包括程序、实施、职责分配、活动的顺序和时间安排。

注2.            风险管理计划可被应用到特定产品、过程和项目、组织的部分或整体。

 [ ISO Guide 73:2009，definition 2.1.3]

 

2.7 风险所有者 risk owner

  对管理某个风险负有责任和权力的个人或实体。

[ ISO Guide 73:2009，definition 3.5.1.5]

2.8 风险管理过程 risk management process

  将管理方针、程序和操作方法系统地应用到沟通和咨询、建立环境，以及识别、分析、评价、应对、监测和评审风险的活动中。

  [ ISO Guide 73:2009，definition 3.1]

2.9 建立环境 establishing the context

  在管理风险和为风险管理方针设定范围及风险准则时，设定被考虑的外部和内部的参数的过程。

[ ISO Guide 73:2009，definition 3.3.1]

2.10 外部环境 external context

  组织追求实现其目标所处的外部环境。

注，外部环境包括：

—外部、社会、政治、法律、法规、金融、技术、经济、自然环境和竞争环境，无论是国际的、国内的、区域的或本地的；

—      对组织目标有影响的关键驱动因子和趋势；‘

—      与外部利益相关方的关系，以及他们的感知和价值观。

[ ISO Guide 73:2009，definition 3.3.1.1]

2.11 内部环境 internal context

  组织追求实现其目标所处的内部环境。

注，内部环境包括：

—      治理、组织结构、角色、责任；

—      方针、目标，以及实现它们的战略；

—      能力，对资源和知识的理解（如资本、时间、人员、过程、系统、技术）；

—      信息系统、信息流、决策过程（包括证实的和非正式的）；

—      与内部利益相关方的关系，以及他们感知和价值观；

—      组织的文化；

—      组织采用的标准、指南和模型；

—      契约关系的形式和程度。

[ ISO Guide 73:2009，definition 3.3.1.2]

2.12 沟通和咨询 communication and consultation

  组织关于管理风险所实施的提供、共享、获取信息，以及与利益相关方从事对话的持续的和往复的过程。

注1.            信息与管理风险的客观存在、性质、形式、可能性、重要性、评价、可接受性、应对相关。

注2.            咨询是组织与其利益相关方之间就是某一议题决策的优先级或确定某个议题的方向而进行正式沟通那个的双向过程。咨询是：

—      通过影响力而不是权力对决策产生影响的一个过程；

—      对决策的一个输入，而不是联合决策。

   [ ISO Guide 73:2009，definition 3.2.1]

2.13 利益相关方 stakeholder

  可能影响、被影响或感觉其自身可能被某一项决定或活动所影响的个人或组织。

注：决策者能够是一个利益相关方。

    [ ISO Guide 73:2009，definition 3.2.1.1]

2.14 风险评估 risk assessment

  风险识别、风险分析和风险评价的全过程。

[ ISO Guide 73:2009，definition 3.4.1]

2.15 风险识别 risk identification

  发现、承认和表述风险的过程

注1.            风险是被包括对风险源、风险事件、风险原因及其潜在后果的识别。

注2.            风险是被可包括历史数据、理论分析、有见识的意见、专家的意见，以及利益相关方的需求。

    [ ISO Guide 73:2009，definition 3.5.1]

 

2.16 风险源 risk source

  对导致风险具有内在可能性的元素或元素的结合。

注：风险源可以是有形的或无形的。

     [ ISO Guide 73:2009，definition 3.5.1.2]

2.17 事件 event

  一组特定情况的发生或变化。

注1.            一个事件可以是一个或多个的发生，并且可以有多个原因。

注2.            一个事件可以由未发生的事情组成。

注3.            一个事件有时被称为“不良事件”或“事故”

注4.            一个没有后果的事件也可以被称为“临近过失”、“不良事件”、“临近伤害”或“最后通牒”。

   [ ISO Guide 73:2009，definition 3.5.1.3]

2.18 后果 consequence

         影响目标的一个事件的结果。

注1.            一个事件可能导致多种后果。

注2.            一个后果可能是确定的或不确定的，且对目标可能有正面的或负面的影响。

注3.            后果能够被定性或定量表示

注4.            通过连锁效应可以使最初的后果升级。

   [ ISO Guide 73:2009，definition 3.6.1.3]

2.19 可能性 likelihood

  某事发生的机会。

注1.            在风险管理的专用术语中，无论如何定义、测量或以目标的、学科的、定性的、定量的确定，还是用一般词汇或数学上的描述（如概率或在给定时间阶段的频率），“可能性”一词被指定用于某事发生的机会。

注2.            “可能性”这一英语词汇在其他语言中没有直接对应的词汇；作为代替，经常使用“概率”一词。然而，在英语中，“概率”一词经常作为范围较窄的数学词汇。因此，在风险管理专业词汇中，使用“可能性”一词时，应注意它与许多语言中使用的“频率”一词具有相同的内涵解释，而不局限于英语中“概率”一词的意义。

      [ ISO Guide 73:2009，definition 3.6.1.1]

 

2.20 风险状况  risk profile

  对任何一组风险的描述。

注：这组风风险可以包含那些与整个组织、组织的一部分或其他方面有关的风险。

  [ ISO Guide 73:2009，definition 3.8.2.5]

2.21 风险分析 risk analysis

  理解风险本性和确定风险等级的过程。

注1.            风险分析为风险评价和风险应对决策提供基础。

注2.            风险分析包括风险估计。

  [ ISO Guide 73:2009，definition 3.6.1]

2.22 风险准则 risk criteria

  评价风险重要性的参照依据。

注1.            风险准则基于组织的目标、外部环境和内部环境。

注2.            风险准则可以来自标准、法律、政策和其他要求。

   [ ISO Guide 73:2009，definition 3.3.1.3]

 

2.23 风险等级 level of risk

  以结果及其可能性的结合表示的一个风险或组合风险的哦大小或量级。

  [ ISO Guide 73:2009，definition 3.6.1.8]

 

2.24 风险评价 risk evaluation

  把风险分析结果与风险准则相比，已决定风险和/或其大小是否是可接受或可容忍的过程。

注：风险评价有助于风险应对的决策。

[ ISO Guide 73:2009，definition 3.7.1]

 2.25 风险应对 risk treatment

  改变风险的过程。

注1.            风险应对包括：

—规避风险，通过决定不开始或不继续导致风险的活动；

—为寻求机会而承担或增大风险；

—消除风险源；

—改变可能性；

—改变后果；

与另外一方或多方分担风险（包括合同和风险融资）；

—以正式的决定保留风险；

注2.            对有负面结果的风险应对有时被称为“风险缓释”、“风险消除”、“风险预防”或风险降低“。

注3.            风险应对可能造成新的风险，或改变现存的风险。

  [ ISO Guide 73:2009，definition 3.8.1]

2.26 控制 control

  用于改变风险的措施。

注1.            控制包括任何程序、政策、实践、或其他改变风险的活动。

注2.            控制并不总是对预期或假定的修改效果产生影响。

[ ISO Guide 73:2009，definition 3.8.1.1]

 

2.27 剩余风险 residual risk

  风险应对后剩下的风险。

注1.            剩余风险可能包括未识别的风险。

注2.            剩余风险也可以认为是”保留的风险“。

[ ISO Guide 73:2009，definition 3.8.1.6]

 

2.28 监控 monitoring

  对某种状态进行持续的检查、监督，审慎观察或决定，以识别其与所要求或期望的绩效水平之间的变化。

注：监控可应用于风险管理框架、风险管理过程、风险或控制。

   [ ISO Guide 73:2009，definition 3.8.2.1]

2.29 评审 reviewing

  为确定主题事项达到规定目标的适宜性、充分性和有效性进行的活动。

注：评审可应用于风险管理框架、风险管理过程、风险或控制。

   [ ISO Guide 73:2009，definition 3.8.2.2]