ISO31000---风险管理--(翻译稿)-中文版.doc

引 　　　　 言所有类型和规模的组织都面临内部和外部的、使组织不能拟定与否及何时实现其目的的因素和影响这种不拟定性所具有的对组织目的的影响就是“风险”组织的所有活动都波及风险组织通过辨认、分析和评估与否运用风险解决修正风险以满足它们的风险准则，来管理风险通过这个过程，它们与利益有关方进行沟通和协商,监测和评审风险，以及为保证不再进一步需求风险解决而修正风险的控制措施本国际原则具体描述了这一系统的和逻辑的过程尽管所有的组织在某种限度上都在管理风险，本国际原则建立了某些为使风险管理变得有效而需要满足的原则本国际原则建议，组织制定、实行和持续改善一种框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中风险管理可以在组织多种领域和层次、任何时间,应用到整个组织,以及具体职能、项目和活动尽管在过去一段时间在许多行业,为满足不同的需要，已经开展了风险管理实践,但在一种综合框架内采用一致性过程有助于保证在组织内有效、有效率和结合性地管理风险本国际原则中所描述的通用措施提供了在任何范畴和状况下，以系统、清晰、可靠的方式管理风险的原则和指南每一种具体行业或风险管理的应用都产生了各自的需求、受众、观念和准则。

因此，本国际原则的重要特点是将所涉及“拟定状况”作为通用风险管理过程开始的活动拟定状况将捕获组织的目的,组织所追求目的的环境,组织的利益有关方和风险准则的多样性，所有这些都将协助揭示和评价风险的性质和复杂性 　 本国际原则描述的风险管理原则、框架和风险管理过程之间的关系，如图１所示当根据本国际原则实行和保持风险管理时,可以使组织，例如:—— 提高实现目的的也许性;—— 鼓励积极性管理;—— 在整个组织意识到辨认和解决风险的需求;—— 改善机会和威胁的辨认能力；—— 符合有关法律法规规定和国际规范；—— 改善强制性和自愿性报告;—— 改善治理;——　提高利益有关方的信心和信任;—— 为决策和规划建立可靠的根基;—— 加强控制；——　有效地分派和运用风险解决的资源;—— 提高运营的效果和效率;—— 增强健康安全绩效,以及环保;—— 改善损失避免和事件管理；—— 减少损失;——　提高组织的学习能力—— 提高组织的应变能力本国际原则旨在满足众多利益有关方的需求，涉及：ａ）负责制定组织风险管理方针的人员;b）负责保证在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人员;c）需要评估组织风险管理有效性的人员；d）整体或部分地实行风险管理的原则、指南、程序和操作规范的开发者。

目前许多组织的管理实践和过程涉及了风险管理的要素,许多组织针对特定类型的风险或环境下已经采用了正式的风险管理过程在这种状况下，组织可以决定对照本国际原则对其既有的实践和过程开展严格的评审在本国际原则中，“风险管理（rｉｓｋ maｎａgeｍent）”和“管理风险（mａｎaｇｉｎg ｒｉsk）”都在使用在一般的术语意义上,“风险管理(risk manａgemenｔ）”波及的有效管理风险的构架(原则，框架和过程），而“管理风险（managing ｒisｋ)”指的是运用该架构管理特定风险监控和评审a) 发明价值b) 整合在组织过程中的部分c) 支持决策d) 明晰解决不拟定问题e) 系统、构造化和及时性f) 基于最可用信息g) 量体裁衣h) 考虑人文因素i) 透明和包容j) 动态、迭代和应对变化k) 实现组织的持续改善和强化原则过程框架指令和承诺（4.2）风险管理框架设计计实行风险管理框架的持续改善框架的监测和评审沟通和协商明确状况风险评价风险辨认风险分析风险评估风险解决监测和评审风险管理-原则和指南１范畴本国际原则提供了风险管理的原则和通用性指南本国际原则可用于任何公共、私有或公有公司、协会,团队或个体。

因此,本国际原则不针对任何特定行业或部门注：为以便起见,本国际原则波及的所有不同的顾客以通用术语“组织”称谓本国际原则可用于整个组织的生命周期及广泛的活动，涉及战略和决策、运营、过程、职能、项目、产品、服务和资产本国际原则可以应用于任何类型的风险，无论其性质及与否有积极或悲观的后果尽管本国际原则提供了风险管理的通用性指南，但不意针对组织增进风险管理的统一性风险管理筹划和框架的设计和实行需要考虑到特定组织的不同需求、特定目的，状况、构造、运营、过程、职能、项目、产品、服务、或资产以及展开的具体实践旨在运用本国际原则来协调既有和将来原则的风险管理过程本原则提供了一种支持其她原则解决特定风险和行业风险的通用措施,而不是取代这些原则本国际原则不意针对认证意图 2 术语和定义下列术语和定义合用本原则２.１ 风险 riｓk不拟定性对目的的影响注1:影响是与期待的偏差——积极和/或悲观注2:目的可以有不同方面(如财务、健康安全、以及环境目的），可以体目前不同的层次（如战略、组织范畴、项目、产品和过程）注3：风险一般以潜在事件（2．１9）和后果（2．2０），或它们的组合来描述注４：风险一般以事件(涉及环境的变化)后果和发生也许性(2.21）的组合来体现。

注5:不拟定性是指，与事件和其后果或也许性的理解或知识有关的信息的缺陷的状态,或不完整[ISＯ导则　７3:， 定义1．1]２.2 风险管理　risｋ maｎａｇemｅnt针对风险指挥和控制组织的协调活动[ＩSO 导则 73：, 定义　2.１]２.3　风险管理框架 riｓk managemｅnt frameｗork提供在组织内设计、实行、监测（２.28）、评审和持续改善风险管理（２．2）的基本原则和组织安排的要素集合注1:基本原则涉及管理风险的方针、目的、指令和承诺注２：组织安排涉及筹划、关系、责任、资源、过程和活动注3：风险管理框架被嵌入到组织的整个战略和运营的方针和实践中[ISＯ　导则 7３:, 定义 ２．１.1]2．4　风险管理方针 risk manａgｅmeｎt ｐoliｃy一种组织对风险管理的意图和方向的陈述[IＳO　导则73:,　定义 2.１.2］2.5　风险态度 rｉsk attitｕdｅ组织评价、最后追踪、保存、消除或规避风险的措施[ISO　导则 73：, 定义　3.7.１．1]２.6 风险管理筹划　ｒisk manaｇemｅnt plan在风险管理框架内规定用于风险管理的措施、管理要素、资源的方案。

注１：管理要素一般涉及程序、惯例、职责分派、活动顺序和时间安排注2:风险管理筹划可应用于特定的产品、过程和项目、组织的部分或整体　[ＩＳＯ 导则 73：， 定义2．1.3]2.7 风险所有者　rｉｓｋ owｎer具有风险管理权限和责任的个人或实体[ＩSO 导则　73:， 定义　3.5.1.4]2.８ 风险管理过程　rｉsｋ mａｎaｇeｍｅnt process管理方针、程序和惯例对沟通、协商、拟定状况、以及辨认、分析、评价、解决、监测和评审风险活动的系统应用[IＳO 导则　73:， 定义　3.1]2．9　拟定状况 eｓtａblｉshing thｅ　coｎｔexｔ界定外部和内部参数，以便在管理风险和设立风险管理方针的范畴及风险准则时，予以考虑[ISO 导则 73:, 定义 3.3．1］２.１0 外部状况　ｅｘteｒnal cｏnｔext组织谋求实现其目的的外部环境注:外部环境可涉及:—— 文化、社会、政治、法律法规、财政金融、技术、经济、自然和竞争环境,无论国际、国家、区域或地方—— 对组织目的具有影响的重要驱动和趋势—— 与外部利益有关方的关系和其感受和价值观［ＩSO 导则 7３:,定义 3.3.1.1]2.11 内部状况　ｉｎｔernaｌ conｔexｔ组织谋求实现其目的的外部环境。

注:内部状况可涉及：—— 治理、组织构造、作用和责任;——　方针、目的、以及实现它们的战略；—— 以资源和知识来理解的能力（如资本、时间、人员、过程、系统和技术)；—— 信息系统、信息流和决策过程（正式和非正式的）；——　与内部利益有关方的关系、以及她们的感受和价值观;——　组织的文化；——　原则、指南和组织采用的模式；—— 合同关系的形式和范畴［ISO 导则　73:,定义 3.３．1.2］2．12　沟通和协商 cｏmmuｎiｃatｉon ａｎd consulｔatｉoｎ组织针对风险管理,提供、共享或获取信息，与利益有关方进行对话的持续和反复的过程注1:信息波及风险管理的存在、性质、形式、也许性、严重限度、评估、可接受性、解决注２:协商是组织与它的利益有关方,在做出决策或拟定某一问题的方向前,针对问题双向有事实根据的沟通的过程协商是：—— 通过影响力而非权力对决策施加影响；—— 作为决策的输入,而非加入决策［ISO 导则 ７３:, 定义　３.2．１]2.13 利益有关方　stａkehoｌder可以影响、被影响、或者觉得自己会被决策或活动影响的个人或组织注:决策者可以是利益有关者[ISＯ 导则 73:,　定义　3.2．１.1]2.14 风险评价 rｉsｋ ａsｓessｍｅｎt风险辨认(2.１５)、风险分析(2.２1)和风险评估(２.2４）的整个过程。

[ＩSO 导则 ７３:, 定义 3．4.1]２.15　风险辨认　risk ｉdentifiｃaｔion发现、结识、描述风险的过程注1：风险辨认涉及风险源(２.16)、事件(２.17）、它们的起因及潜在后果的拟定注２：风险辨认会波及历史数据、技术分析、有事实根据的和专家的观点、以及利益有关方的需求[ISO 导则 73:， 定义 3.5.１］2.16 风险源 riｓk source单独地或以结合的形式具有产生风险的内在也许性的因素注:一种风险源可以是有形的或者无形的［ＩSO 导则 7３:,定义 ３.５.１．1]2.１7　事件 evｅnt特殊系列环境的产生或变化注1:．一种事件可以是一种或多种事变,会有多种因素注2:事件可以由某些不发生的事情构成注3：事件有时被称作“事件（incident)”或“事故(aｃｃidenｔ）”注4:．没有后果的事件可以被称作“near miss”、“incident”、“near hit” 、 “ｃlose calｌ”［ISO　导则 73:， 定义 ３．5.1.2]2．18 后果 cｏｎsｅｑueｎｃe事件对目的的影响成果注1：一种事件可以产生一系列的后果注2：后果可以是拟定或不拟定的，以及对目的具有积极或悲观的影响。

注3：后果可以被定性或定量地表述注4:初步的后果通过连锁效应可以逐渐升级 [ISO 导则　73:，　定义　3.６.1.３]２.19 也许性　likeｌihｏoｄ某事发生的机会注1:在风险管理术语学中，“也许性”是指事情发生的机会，不管是明确的、测量的,还是客观或主观地、定性或定量地拟定的,以及一般性或精确地描述(如在一定期段内的也许性和频率)注２:英文“ｌikeliｈooｄ”在某些语言中没有直接相应的等同词，而同义词“prob。