ISO31000---风险管理--(翻译稿)-中文版

《ISO31000---风险管理--(翻译稿)-中文版》由会员分享，可在线阅读，更多相关《ISO31000---风险管理--(翻译稿)-中文版（22页珍藏版）》请在装配图网上搜索。

1、引 言所有类型和规模的组织都面临内部和外部的、使组织不能拟定与否及何时实现其目的的因素和影响。这种不拟定性所具有的对组织目的的影响就是“风险”。组织的所有活动都波及风险。组织通过辨认、分析和评估与否运用风险解决修正风险以满足它们的风险准则，来管理风险。通过这个过程，它们与利益有关方进行沟通和协商,监测和评审风险，以及为保证不再进一步需求风险解决而修正风险的控制措施。本国际原则具体描述了这一系统的和逻辑的过程。尽管所有的组织在某种限度上都在管理风险，本国际原则建立了某些为使风险管理变得有效而需要满足的原则。本国际原则建议，组织制定、实行和持续改善一种框架，其目的是将风险管理过程整合到组织的整体治

2、理、战略和规划、管理、报告过程、方针、价值观和文化中。风险管理可以在组织多种领域和层次、任何时间,应用到整个组织,以及具体职能、项目和活动。尽管在过去一段时间在许多行业,为满足不同的需要，已经开展了风险管理实践,但在一种综合框架内采用一致性过程有助于保证在组织内有效、有效率和结合性地管理风险。本国际原则中所描述的通用措施提供了在任何范畴和状况下，以系统、清晰、可靠的方式管理风险的原则和指南。每一种具体行业或风险管理的应用都产生了各自的需求、受众、观念和准则。因此，本国际原则的重要特点是将所涉及“拟定状况”作为通用风险管理过程开始的活动。拟定状况将捕获组织的目的,组织所追求目的的环境,组织的利益

3、有关方和风险准则的多样性，所有这些都将协助揭示和评价风险的性质和复杂性。 本国际原则描述的风险管理原则、框架和风险管理过程之间的关系，如图所示。当根据本国际原则实行和保持风险管理时,可以使组织，例如: 提高实现目的的也许性; 鼓励积极性管理; 在整个组织意识到辨认和解决风险的需求; 改善机会和威胁的辨认能力； 符合有关法律法规规定和国际规范； 改善强制性和自愿性报告; 改善治理;提高利益有关方的信心和信任; 为决策和规划建立可靠的根基; 加强控制；有效地分派和运用风险解决的资源; 提高运营的效果和效率; 增强健康安全绩效,以及环保; 改善损失避免和事件管理； 减少损失;提高组织的学习能力 提高

4、组织的应变能力本国际原则旨在满足众多利益有关方的需求，涉及：）负责制定组织风险管理方针的人员;b）负责保证在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人员;c）需要评估组织风险管理有效性的人员；d）整体或部分地实行风险管理的原则、指南、程序和操作规范的开发者。目前许多组织的管理实践和过程涉及了风险管理的要素,许多组织针对特定类型的风险或环境下已经采用了正式的风险管理过程。在这种状况下，组织可以决定对照本国际原则对其既有的实践和过程开展严格的评审。在本国际原则中，“风险管理（r mageent）”和“管理风险（mag sk）”都在使用。在一般的术语意义上,“风险管理(risk

5、mangemen）”波及的有效管理风险的构架(原则，框架和过程），而“管理风险（managing is)”指的是运用该架构管理特定风险。监控和评审a) 发明价值b) 整合在组织过程中的部分c) 支持决策d) 明晰解决不拟定问题e) 系统、构造化和及时性f) 基于最可用信息g) 量体裁衣h) 考虑人文因素i) 透明和包容j) 动态、迭代和应对变化k) 实现组织的持续改善和强化原则过程框架指令和承诺（4.2）风险管理框架设计计实行风险管理框架的持续改善框架的监测和评审沟通和协商明确状况风险评价风险辨认风险分析风险评估风险解决监测和评审风险管理-原则和指南范畴本国际原则提供了风险管理的原则和通用性指

6、南。本国际原则可用于任何公共、私有或公有公司、协会,团队或个体。因此,本国际原则不针对任何特定行业或部门。注：为以便起见,本国际原则波及的所有不同的顾客以通用术语“组织”称谓。本国际原则可用于整个组织的生命周期及广泛的活动，涉及战略和决策、运营、过程、职能、项目、产品、服务和资产。本国际原则可以应用于任何类型的风险，无论其性质及与否有积极或悲观的后果。尽管本国际原则提供了风险管理的通用性指南，但不意针对组织增进风险管理的统一性。风险管理筹划和框架的设计和实行需要考虑到特定组织的不同需求、特定目的，状况、构造、运营、过程、职能、项目、产品、服务、或资产以及展开的具体实践。旨在运用本国际原则来协调

7、既有和将来原则的风险管理过程。本原则提供了一种支持其她原则解决特定风险和行业风险的通用措施,而不是取代这些原则。本国际原则不意针对认证意图。 2 术语和定义下列术语和定义合用本原则。. 风险 rik不拟定性对目的的影响注1:影响是与期待的偏差积极和/或悲观注2:目的可以有不同方面(如财务、健康安全、以及环境目的），可以体目前不同的层次（如战略、组织范畴、项目、产品和过程）。注3：风险一般以潜在事件（29）和后果（22），或它们的组合来描述。注：风险一般以事件(涉及环境的变化)后果和发生也许性(2.21）的组合来体现。注5:不拟定性是指，与事件和其后果或也许性的理解或知识有关的信息的缺陷的状态,

8、或不完整。IS导则3:， 定义11.2 风险管理ris maemnt针对风险指挥和控制组织的协调活动。SO 导则 73：, 定义2.3风险管理框架 rik managemnt frameork提供在组织内设计、实行、监测（.28）、评审和持续改善风险管理（2）的基本原则和组织安排的要素集合。注1:基本原则涉及管理风险的方针、目的、指令和承诺。注：组织安排涉及筹划、关系、责任、资源、过程和活动。注3：风险管理框架被嵌入到组织的整个战略和运营的方针和实践中IS导则 7:, 定义 .124风险管理方针 risk mangmet oliy一种组织对风险管理的意图和方向的陈述。IO导则73:,定义 2.

9、22.5风险态度 rsk attitd组织评价、最后追踪、保存、消除或规避风险的措施。ISO导则 73：, 定义3.7.1.6 风险管理筹划isk manaemnt plan在风险管理框架内规定用于风险管理的措施、管理要素、资源的方案。注：管理要素一般涉及程序、惯例、职责分派、活动顺序和时间安排。注2:风险管理筹划可应用于特定的产品、过程和项目、组织的部分或整体。 导则 73：， 定义21.32.7 风险所有者r ower具有风险管理权限和责任的个人或实体。SO 导则73:， 定义3.5.1.42. 风险管理过程rs maent process管理方针、程序和惯例对沟通、协商、拟定状况、以及辨

10、认、分析、评价、解决、监测和评审风险活动的系统应用。IO 导则73:， 定义3.129拟定状况 etblshing thcoex界定外部和内部参数，以便在管理风险和设立风险管理方针的范畴及风险准则时，予以考虑。ISO 导则 73:, 定义 3.31.0 外部状况tenal cnext组织谋求实现其目的的外部环境。注:外部环境可涉及: 文化、社会、政治、法律法规、财政金融、技术、经济、自然和竞争环境,无论国际、国家、区域或地方 对组织目的具有影响的重要驱动和趋势。 与外部利益有关方的关系和其感受和价值观。SO 导则 7:,定义 3.3.1.12.11 内部状况erna conex组织谋求实现其目

11、的的外部环境。注:内部状况可涉及： 治理、组织构造、作用和责任;方针、目的、以及实现它们的战略； 以资源和知识来理解的能力（如资本、时间、人员、过程、系统和技术)； 信息系统、信息流和决策过程（正式和非正式的）；与内部利益有关方的关系、以及她们的感受和价值观;组织的文化；原则、指南和组织采用的模式； 合同关系的形式和范畴ISO 导则73:,定义 3.1.2212沟通和协商 cmmuiaton d consulato组织针对风险管理,提供、共享或获取信息，与利益有关方进行对话的持续和反复的过程。注1:信息波及风险管理的存在、性质、形式、也许性、严重限度、评估、可接受性、解决。注:协商是组织与它的

12、利益有关方,在做出决策或拟定某一问题的方向前,针对问题双向有事实根据的沟通的过程。协商是： 通过影响力而非权力对决策施加影响； 作为决策的输入,而非加入决策。ISO 导则 :, 定义.22.13 利益有关方stkehoder可以影响、被影响、或者觉得自己会被决策或活动影响的个人或组织。注:决策者可以是利益有关者。IS 导则 73:,定义3.2.12.14 风险评价 rs sesst风险辨认(2.)、风险分析(2.1)和风险评估(.2）的整个过程。 SO 导则 :, 定义 34.1.15风险辨认risk dentifiaion发现、结识、描述风险的过程。注1：风险辨认涉及风险源(.16)、事件(

13、.17）、它们的起因及潜在后果的拟定。注：风险辨认会波及历史数据、技术分析、有事实根据的和专家的观点、以及利益有关方的需求。ISO 导则 73:， 定义 3.5.2.16 风险源 rik source单独地或以结合的形式具有产生风险的内在也许性的因素。注:一种风险源可以是有形的或者无形的。SO 导则 7:,定义 .12.7事件 evnt特殊系列环境的产生或变化。注1:一种事件可以是一种或多种事变,会有多种因素。注2:事件可以由某些不发生的事情构成。注3：事件有时被称作“事件（incident)”或“事故(aiden）”。注4:没有后果的事件可以被称作“near miss”、“incident”

14、、“near hit” 、 “lose cal”。ISO导则 73:， 定义 5.1.2218 后果 csuee事件对目的的影响成果。注1：一种事件可以产生一系列的后果。注2：后果可以是拟定或不拟定的，以及对目的具有积极或悲观的影响。注3：后果可以被定性或定量地表述。注4:初步的后果通过连锁效应可以逐渐升级。 ISO 导则73:，定义3.1.19 也许性likeiho某事发生的机会。注1:在风险管理术语学中，“也许性”是指事情发生的机会，不管是明确的、测量的,还是客观或主观地、定性或定量地拟定的,以及一般性或精确地描述(如在一定期段内的也许性和频率)。注:英文“ikelioo”在某些语言中没有

15、直接相应的等同词，而同义词“probailty”常常被使用。然而，在英文中,“proaiity”一般被狭义地理解为数学术语。因此，在风险管理术语学中,“elihood”以它在许多非英语国家语言中的“probbiliy”所具有的同样的广泛理解来使用。IO 导则 73:, 定义 3.11220 风险状况 rik profile任何系列风险（21)的描述。注：该系列风险可涉及与整个组织、组织的部分或者其她特定部分有关联的风险。SO Gide 3：, defiton 3.2.52.21 风险分析 ris aasis理解风险(1)的性质和拟定风险限度（2.23)的过程。注:风险分析为风险评估和风险解决决

16、策提供了基本。注2：风险分析涉及风险估测。ISO 导则 3:,定义 3.6.12.22 风险准则 i criteri评价风险重要性的根据。注：.风险准则基于组织的目的和内外部状况。注2:风险准则可出自于原则、法律、方针和其她规定。ISO 导则 73：,定义 33.32 风险限度 risk leel后来果和也许性的组合体现的风险的量或组合成果。ISO 导则 73:， 定义 3.6.1.822 风险评估 ris aluatio将风险分析的成果与风险准则进行比较，以拟定风险和(或）其量与否可接受或可容许。注：风险评估有助于有关风险解决的决策。ISO 导则 3:,定义3.7.2.25 风险解决 rsk

17、 treatment修正风险的过程。注：风险解决可涉及： 通过决定不启动或停止产生风险的活动而避免风险。 为了追求机会采用或增长风险。消除风险源。 变化也许性。 变化后果。 与其她方面共同分担风险（涉及合同、风险融资)。 通过有事实根据的决策保存风险。注2：对悲观后果的风险解决有时可以称为“风险减缓(sk mitigatin）”、“风险消除(i eliminte）”、“风险避免（riseenti）”和“风险减小（ris eductn)”。注3：风险解决可以产生新的风险或修正已存在的风险。ISO 导则73:，定义3.8.1.6 控制措施 conto修正风险的措施。注:控制措施涉及任何过程、方针、

18、手段、惯例或其她修正风险的措施。注2：控制措施也许不总是产生预期或设想的修正效果。SO导则 73:, 定义3.1.12.2 残留风险 residul isk风险解决后余留下的风险。注1:残留风险可涉及未辨认的风险。注2：残留风险也可被认作“保存的风险(rean risk）。ISO导则 73:,定义.8.62.28 监测 nioring不断检查、监督、严格观测或拟定状态，以辨认所规定或期待的绩效水平的变化。注:监测可应用于风险管理框架、风险管理过程、风险或控制措施。O 导则 73:, 定义 3.8.2.129 评审 review为达到所建立的目的，拟定有关事务的合适性、充足性和有效性所采用的活动

19、。注:评审可应用于风险管理框架、风险管理过程、风险或控制措施。SO 导则73：,定义3.8.2.23原则为了风险管理有效，组织宜在各个层次遵循如下原则。a）风险管理发明和保护价值风险管理有助于目的明确的实现和绩效的改善，例如，在人员的健康安全、治安、法律法符合性、公众接受性、环保、产品质量、项目管理、运营效率、治理和名誉方面。b)风险管理是整合在所有组织过程中的部分风险管理不是与组织的重要活动和过程分开的孤立活动。风险管理是管理职责的部分和整合在所有组织过程中的部分，涉及战略规划、所有项目、变更管理过程。c）风险管理支持决策风险管理可以协助决策者做出明智的选择、优先的措施和辨别行动方向。d)风

20、险管理明晰解决不拟定问题风险管理明确地论述不拟定性、不拟定性的性质、以及如何加以解决。e)风险管理具有系统、构造化和及时性系统、及时和构造化的风险管理措施有助于提高效率和获得一致、可衡量和可靠的成果。f)风险管理基于最可用的信息风险管理过程的输入基于信息源，如历史数据、经验、利益有关方的反馈、观测、预测和专家判断。然而,决策者宜告诫自身和考虑,数据或所使用模型的局限性，或者专家之间分歧的也许性。g）风险管理是量体裁衣的风险管理是与组织的外部和内部状况及风险状况相匹配的。h）风险管理考虑人文因素风险管理结识到可以增进或阻碍组织目的实现的内部和外部人员的能力、观念和意图。i)风险管理是透明和包容的

21、利益有关方、特别是组织各层面的决策者合适、及时的参与，保证了风险管理保持有关和先进性。参与过程也容许利益有关方合适地刊登意见,并将其观点考虑到风险准则的拟定中。)风险管理是动态、迭代和应对变化的风险管理持续察觉和响应变化。由于外部和内部事件发生,状况和知识在变化，风险的监测和评审在进行，新的风险浮现，某些风险在变化，而另某些风险消失了。k）风险管理实现组织的持续改善组织宜制定和实行战略,协同组织的其她方面共同改善风险管理的成熟度。附件A为但愿更有效地实行管理风险的组织提供了进一步的建议。4 框架1 总则风险管理的成功取决于提供将风险管理嵌入整个组织所有层次的基本和安排的管理框架的有效性。框架有

22、助于通过在组织不同层次和特定状况内应用风险管理过程,有效地管理风险。框架保证从风险管理过程获得的风险信息充足地被报告，以及作为决策和所有有关组织层次责任的基本。本条款描述了风险管理框架的必要要素和其以迭代的方式互相作用的措施，如图2。指令和承诺（4.2）风险管理框架的设计（4.3） 理解组织和其状况（4.3.1） 建立风险管理方针（4.3.2） 责任（4.3.3） 融入组织的过程（4.3.4） 资源（4.3.5） 建立内部沟通和报告机制（4.3.6）建立外部沟通和报告机制（4.3.7）框架的持续改善（4.6）实行风险管理（4.4）实行风险管理框架（4.4.1）实行风险管理过程（4.4.2）框架

23、的监测和评审（4.5）图2 风险管理框架要素间的互相关系本框架目的不是规定一种管理体系,而是有助于组织将风险管理整合到它的整个管理体系中。因此，组织宜使框架的要素合用于其特定的需求。如果组织现存的管理实践和过程涉及风险管理要素,或者如果组织已经针对特定的风险或状况采纳了一种正式的风险管理过程，那么对原有的这些实践和过程宜针对本原则进行评审和评价,涉及附录A中涉及的附加内容,以拟定它们的充足性和有效性。. 指令和承诺风险管理的引入和保证它的持续有效需要组织管理着强有力和持续的承诺,以及为实现承诺在所有层次战略的和严密的筹划。管理者宜:拟定和签订风险管理方针;保证组织的文化和风险管理方针一致；拟定

24、与组织绩效参数一致的风险管理绩效参数;使风险管理目的与组织的目的和战略一致;保证法律法规的复合性;在组织内合适的层次分派责任和职责;保证为风险管理配备必要的资源;将风险管理的益处通报给所有的利益有关方;保证风险管理框架持续保持合适。4.3 风险管理框架的设计4.1 理解组织和其状况在开始设计和实行风险管理框架前,评价和理解组织内外部的状况是重要的，由于这会对框架的设计产生明显的影响。评价组织外部状况可以涉及,但不限于:a）社会和文化、政治、法律法规、财务、技术、经济、自然和竞争环境，无论国际、国内、区域和本地;b)影响组织目的的动力和趋势；c）与外部利益有关方的关系,以及它们的感受和价值观。评

25、价组织内部状况可以涉及，但不限于: 管理措施、组织构造、作用和责任; 方针、目的，以及为实现它们所制定的战略； 以资源和知识来理解的能力(例如，资本、时间、人员、过程、系统和技术）;信息系统、信息流和决策过程(正式和非正式的); 与内部利益有关方的关系,以及它们的感受和价值观； 组织的文化； 被组织采用的原则、指南和模型; 合同关系的形式和范畴。432建立风险管理方针风险管理方针宜清晰阐明组织风险管理的目的和承诺,特别要针对： 组织管理风险的基本原理; 组织目的和方针与风险管理方针的联系； 管理风险的责任和职责; 解决利益冲突的措施；提供有助于管理风险必要资源的承诺； 风险管理绩效测量和报告的

26、措施； 对定期评审和改善风险管理方针和框架,以及对事件和环境变化做出响应的承诺。风险管理方针宜合适地沟通。. 责任组织宜保证具有管理风险的责任、权限和合适的能力,涉及实行和保持风险管理过程和保证任何控制措施的充足性、有效性和效率。这可通过如下途径来实现:拟定有责任和权利管理风险的风险拥有者； 拟定负责建立、实行和保持风险管理框架的人员； 拟定组织所有层次人员的风险管理过程的其她职责; 建立绩效测量和内部和外部报告和逐级报告过程； 保证拟定的合适限度。4.3.4 整合到组织的过程风险管理宜益有关、有效和有效率的方式嵌入到所有组织的实践和过程中。风险管理过程宜变成组织过程的部分，而不是分离的。特别

27、是，风险管理宜嵌入方针制定、商业和战略筹划和评审和变更管理过程中。宜具有一种组织的广泛风险管理筹划以保证风险管理方针的实行和将风险管理嵌入所有组织的实践和过程中。风险管理筹划可以整合到组织其她的筹划中,如战略筹划。. 资源组织宜为风险管理配备合适的资源。对如下方面宜予以考虑： 人员、技能、经验和能力；对于风险管理过程的每环节所需的资源； 用于管理风险的组织的过程、措施和工具； 形成文献的过程和程序; 管理体系的信息和知识;培训方案。4.3.建立内部沟通和报告机制组织宜建立内部沟通和报告机制,用于支持和增进风险的责任和归属。这些机制宜保证: 风险管理框架的核心要素和任何后续的更改被合适地沟通；

28、对框架和其有效性及成果在内部充足地予以报告； 风险管理的有关信息在合适的层次和时间予以获得;与内部利益有关方的协商过程被予以提供。合适时,这些机制宜涉及基于多源头强化风险信息的过程，以及也许需要考虑信息的敏感性。4.7 建立外部沟通和报告机制组织宜制定和实行一种有关如何与外部利益有关方沟通的筹划。这宜涉及: 吸引合适的外部利益有关方的关注和保证有效的信息交流; 对外报告法律法规和管理规定的遵守状况; 对沟通和协商进行报告和反馈； 运用沟通来建立组织的信心;向利益有关方沟通紧急或突发事件。合适时,这些机制宜涉及基于多源头强化风险信息的过程,以及也许需要考虑信息的敏感性。4. 实行风险管理4.41

29、 实行管理风险的框架在实行组织的管理风险的框架时，组织宜：拟定实行框架的合适时间安排和方略； 将风险管理方针和过程应用到组织的过程；遵守法律法规规定；保证决策,涉及目的的制定和设立,与风险管理过程输出成果一致; 举办信息和培训会议； 与利益有关方进行沟通和协商以保证其风险管理框架保持对的；.4.2 实行风险管理过程风险管理宜通过保证将第五章描述的风险管理过程通过风险管理筹划作为组织实践和过程的一部分应用到组织有关职能和层次。4.5 框架的监测和评审为了保证风险管理有效和持续改善组织的绩效，组织宜： 针对合适定期评审的参数测量风险管理绩效；定期测量风险管理筹划的进展和偏离； 基于组织的内部和外部

30、状况，定期评审风险管理框架、方针和筹划与否仍然合适； 报告风险、风险管理筹划的进展和风险管理方针如何较好地执行; 评审风险管理框架的有效性。4.6 框架的持续改善基于监测和评审成果，宜做出如何可以改善风险管理框架、方针和筹划的决策。这些决策宜致使组织的风险管理和风险管理文化的改善。5 过程5. 总则风险管理过程宜是: 整合到管理中的的一部分； 嵌入文化和实践之中； 针对组织的经营过程制作。它由5.2到5描述的活动构成。风险管理过程如图。明确状况（5.3）风险评价 （5.4）风险辨认 （5.4.2）风险分析 （5.4.3）风险评估（5.4.4）风险解决 （5.5）沟通和协商（5.2）监测和评审（

31、5.6）图表3-风险管理过程. 沟通和协商与内、外部利益有关方沟通和协商宜在风险管理过程所有阶段进行。因此,沟通和协商筹划宜在初期制定。该筹划宜针对与风险自身、风险成因、风险后果(如果掌握）以及解决风险措施有关的问题。为保证明施风险管理过程的职责明确,以及利益有关方理解决策的基本和特定措施需求的因素，宜采用有效的外部和内部沟通和协商。协商团队措施可以：合适地协助明确状况; 保证利益有关方的利益被理解和考虑; 协助保证风险充足地被辨认; 将不同领域的专业知识一并用于分析风险; 保证在界定风险准则和评估风险时,不同的观点被恰本地考虑; 保证认同和支持解决筹划； 加强在风险管理过程中的变更管理； 制

32、定一种恰当的内部和外部沟通和协商筹划。与利益有关方的沟通协商是重要的,由于她们基于对风险的感知，做出了对风险的判断。这些感知可以由于利益有关方的价值观、需求、臆断、概念和关注点的不同而变化。由于利益有关方的观点会对决策产生重大影响,因此她们的感知以被辨认、记录、以及在决策过程中考虑。沟通和协商宜提供真实的、有关的、精确的、便于理解的交流信息,同步宜考虑到保密和个人诚实因素。5. 明确状况.3.1总则通过明确状况,组织明确其目的，界定管理风险要考虑的外部和内部参数,拟定风险管理过程的范畴和风险准则。尽管许多此类参数与风险管理框架设计时所考虑的参数类似(参见.3）,但在明确风险管理过程的状况时，这

33、些参数需要细致地,特别是与特定风险管理过程联系起来考虑。5.3.2明确外部状况外部状况是指组织谋求实现其目的的外部环境。为了保证在建立风险准则时，目的和外部利益有关方的关注点被予以考虑，理解外部状况是重要的。它基于组织宽泛的状况，但具有法律法规规定的具体细节、利益有关方的观点、风险管理过程范畴风险的其她因素。外部状况可以涉及，但不局限于: 社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国内、区域，还是本地的; 影响组织目的的重要动力和趋势； 与外部利益有关方的关系，外部利益有关方的观点和价值观。5.3 明确内部状况内部状况是指组织谋求实现其目的的内部环境。风险管理过程

34、宜与组织的文化、过程、构造和战略相一致。内部状况是组织内可以影响管理风险措施的方面。内部状况宜明确，由于:)风险管理是在组织的目的状况下进行;b)具体项目、过程或活动的目的和准则,宜根据组织的整体目的予以考虑；c）某些组织未能意识到实现它们战略、项目或经营目的的机会，这影响了持续的组织承诺、信誉、诚信和价值观。理解内部状况是必要的,这可涉及，但不仅限于: 治理、组织构造、作用和责任； 方针、目的,为实现方针和目的制定的战略；基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术); 与内部利益有关方的关系,内部利益有关方的观点和价值观； 组织的文化； 信息系统、信息流和决策过程（正式

35、与非正式）;组织所采用的原则、指南和模式;合同关系的形式与范畴。5.3明确风险管理过程状况宜确立组织活动的目的、方略、范畴和参数,或风险管理过程应用到的组织的那些部分。风险管理宜充足考虑满足开展风险管理的资源需求。所需的资源、职责、权限和要保存的记录也宜予以规定。风险管理过程的状况根据组织需求而变化。它可以涉及，但不仅限于：拟定风险管理活动的目的； 拟定风险管理过程的职责； 拟定所要开展的风险管理活动的范畴以及深度、广度,涉及具体的内涵和外延；以时间和地点,界定活动、过程、职能、项目、产品、服务或资产; 界定组织特定项目、过程或活动与其她项目、过程或活动之间的关系; 拟定风险评价的措施； 拟定

36、评价风险管理的绩效和有效性的措施; 辨认和规定所必须要做出的决策; 拟定所需的范畴或框架性研究，它们的限度和目的,以及此种研究所需资源。对这些和其她有关因素的关注，有助于保证所采用的风险管理措施适合于环境、组织、以及影响目的实现的风险。5.5 拟定风险准则组织宜拟定用于评估风险重要性的准则。该准则宜反映组织的价值观、目的和资源。某些准则可以服从或引用法律法规规定或组织签订的其她规定。风险准则宜与组织风险管理方针一致（见4.3.2),在风险管理过程开始时予以拟定,并予以持续评审。当拟定风险准则时，要考虑的因素宜涉及如下： 可以浮现的致因和后果的性质和类别，以及如何予以测量；也许性如何拟定；也许性

37、和(或)后果的时间范畴；风险限度如何拟定; 利益有关方的观点;风险可接受或可容许的限度;多种风险的组合与否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。5.4 风险评价5.4. 总则风险评价是风险辨认、风险分析和风险评估的总的过程。注：ISO/IC 31010 提供了风险评价技术指南。54. 风险辨认组织宜辨认风险源、影响区域、事件(涉及环境变化)以及致因和潜在后果。此环节的目的是产生一种基于哪些也许产生、增强、阻碍、加快或推迟目的实现的事件的风险的综合表格。辨认与不谋求机会有关的风险是重要的。综合辨认是非常重要的,由于此阶段没有辨认的风险将不会涉及在进一步的分析中。辨认宜涉及其源与否在

38、组织的控制下的风险,虽然风险源或致因也许不明显。风险辨认宜涉及考察特定后果直接影响,涉及联锁和累积影响。也要考虑宽范畴的后果，虽然风险源或致因也许不明显。也要辨认什么也许发生，考虑表白什么后果可以浮现的也许致因和场景是必要的。所有重要的致因和后果宜予以考虑。 组织宜应用适合其目的、能力及所面临风险的风险辨认工具和技术。在辨认风险时,有关和最新的信息是重要的。这宜涉及也许的合适背景信息。具有合适知识的人员宜参与到辨认风险中。54.3 风险分析 风险分析波及开展风险的理解。风险分析为风险评估和拟定风险与否需要解决以及最适合的风险解决方略和措施，提供了输入。风险分析也可觉得必须做出选择及选择波及不同

39、类型和限度的风险的决策,提供输入。 风险分析涉及考虑风险的致因和来源，以及所带来的正面和负面的后果及这些后果发生的也许性。影响后果的因素和也许性宜被辨认。通过拟定后果和其也许性、以及其她风险特性，来进行风险分析。一种事件可以有多种成果并可以影响多重目的。现存的控制措施和其效果和效率也宜被考虑在内。 后果和也许性的表述方式,以及它们组合拟定风险限度的方式,宜反映风险类型、可获得的信息、以及运用风险评价输出的意图。这些所有都宜符合风险准则。考虑不同风险和其源的互相依赖也是重要的。 风险限度的拟定和其前提和假设的敏感性的信心，宜在风险分析中予以考虑,并有效沟通给决策者以及合适的利益有关方。诸如专家间

40、观点的分歧、不拟定性、可用性、质量、数量、信息的持续有关性、或模型的局限性等因素,宜予以论述和可以重点强调。 风险分析可以在不同限度的细节上进行,这取决于风险自身、分析目的、可用的信息、数据和来源。根据环境条件，分析可以定性的、半定量或定量的,也可以是组合的方式。 后果和其也许性可以通过模拟一种或一系列事件的成果,或由实验研究或可用数据推断拟定。后果可基于有形和无形的影响表述。在某些状况下，一种以上的数值或描述，需要界定对于不同步间、地点、团队或状况的后果和其也许性。5.44 风险评估风险评价的目的是，基于风险分析的成果,协助做出有关风险需要解决和解决实行优先的决策。 风险评估涉及将分析过程中

41、拟定的风险限度与在明确状况时建立的风险准则进行比较。基于这种比较，解决需求可予以考虑。 决策宜考虑更为宽泛风险含义，涉及考虑风险获益组织外的团队对风险的容忍性。决策宜根据法律法规和其她规定做出。在某些状况下，风险评估可导致对决策的进一步分析。风险评估也可导致，除了保持现存措施，不以任何方式解决风险的决策。通过组织的风险态度和已建立的风险准则，对此决策施加影响。5.5 风险解决5.1 总则风险解决涉及选择一种或几种修正风险的方案,以及实行那些方案。一旦实行了方案,解决提供或改善了控制措施。风险解决涉及了一种循环过程: 评价风险解决； 拟定残留风险限度与否可容许； 如果不可容许,产生新的风险解决；

42、 评价该解决的有效性。风险解决方案不必互相排斥或合适所有状况。方案可以涉及如下内容：）通过决定不开展或停止产生风险的活动，来规避风险;b）为谋求机会,接受或提高风险； c）消除风险源;d）变化也许性;e）变化后果；f）与另一方或多方共担风险(涉及合约和风险融资);g)通过有事实根据的决策，保存风险。2 选择风险解决方案选择最合适的风险解决方案涉及,针对以法律法规和诸如社会责任和自然环保的其她规定所获得的利益,平衡成本和实行的工作量。决策也宜考虑可以批准在经济层面上不合理的风险解决的风险，例如，严重的（高负面后果)但稀少（低也许性)的风险。 某些方案是可以单独或综合考虑或应用。组织一般可以从综合

43、方案的采用获益。当选择风险解决方案时,组织宜考虑利益有关方的价值观和观点，以及与她们沟通最适合的措施。如果风险解决方案可以影响组织别处的风险或与利益有关方关联的风险，这宜涉及在决策中。尽管同样有效,有些风险解决可以比其她某些更让某些利益有关方接受。风险解决筹划宜清晰拟定每个风险解决宜实行的优先顺序。风险解决自身会引入风险。重要风险会是风险解决措施的故障或失效。监测需要成为风险解决筹划的整合部分和给出措施持续有效的保证。风险解决也可引入需要评价、解决、监测和评审的次级风险。宜将这些次级风险结合到与原始风险同样的解决筹划中，而不是作为新的风险解决。两种风险的联系宜拟定和保持。55.3 准备和实行风

44、险解决筹划风险解决筹划的目的是将如何实行已选择的解决措施形成文献。将要实行的风险解决方案。解决筹划中提供的信息宜涉及:选择风险解决措施的因素,涉及所期待获得的效益；负责改善和实行筹划的人员; 建议的措施； 资源需求，涉及紧急状况时； 绩效测量和控制； 报告及监测规定;时间和日程安排。解决筹划宜组织管理过程整合并与合适的利益有关方讨论。决策者和其她利益有关方宜意识到风险解决后残留风险的性质和限度。残留风险宜形成文献并进行监测、评审，合适时,进一步解决。5.6监测和评审监测和评审都宜是风险管理过程的已筹划的部分，涉及常规检查或监督。可以定期或不定期。监测和评审的职责宜明确界定。组织的监测和评审过程

45、宜涉及风险管理过程的所有方面,目的是: 保证控制措施在设计和运营上有效和有效率;获得进一步改善风险评价的信息； 从事件（涉及“nearmiss）、变化、趋势、成功和失败中分析和吸取教训； 探测内外部状况的变化，涉及风险准则的变化和会需要修正风险解决和优先的风险自身； 辨认浮现的风险。在实行风险解决筹划的进程中需要绩效测量。可将成果融入组织整体绩效管理、测量和外部和内部报告活动中。监测和评审的成果宜予以记录和在内外部合适地报告，也可用作风险管理框架评审的输入（见4.5)。5.7 记录风险管理过程风险管理活动宜可追溯。在风险管理过程及整体过程中,记录提供了措施和工具改善的基本。有关记录的建立的决定宜考虑： 组织持续学习的需求； 出于管理意图,重新使用信息益处； 波及建立和保持记录的成本和工作量； 对记录的法律法规和运营需求；获取的措施、检索的难易和储存媒介; 保存期限； 信息的敏感性。