ISO31000-2009国际标准详细版.doc

''引 言所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素和影响这种不确定性所具有的对组织目标的影响就是“风险”组织的所有活动都涉及风险组织通过识别、分析和评定是否运用风险处理修正风险以满足它们的风险准则，来管理风险通过这个过程，它们与利益相关方进行沟通和协商，监测和评审风险，以及为确保不再进一步需求风险处理而修正风险的控制措施本国际标准详细描述了这一系统的和逻辑的过程尽管所有的组织在某种程度上都在管理风险，本国际标准建立了一些为使风险管理变得有效而需要满足的原则本国际标准建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中风险管理可以在组织多个领域和层次、任何时间，应用到整个组织，以及具体职能、项目和活动尽管在过去一段时间在许多行业，为满足不同的需要，已经开展了风险管理实践，但在一个综合框架内采用一致性过程有助于确保在组织内有效、有效率和结合性地管理风险本国际标准中所描述的通用方法提供了在任何范围和状况下，以系统、清晰、可靠的方式管理风险的原则和指南每一个具体行业或风险管理的应用都产生了各自的需求、受众、观念和准则。

因此，本国际标准的主要特点是将所包含“确定状况”作为通用风险管理过程开始的活动确定状况将捕获组织的目标，组织所追求目标的环境，组织的利益相关方和风险准则的多样性，所有这些都将帮助揭示和评价风险的性质和复杂性 本国际标准描述的风险管理原则、框架和风险管理过程之间的关系，如图1所示当依据本国际标准实施和保持风险管理时，能够使组织，例如：—— 提高实现目标的可能性；—— 鼓励主动性管理;—— 在整个组织意识到识别和处理风险的需求;—— 改进机会和威胁的识别能力；—— 符合相关法律法规要求和国际规范；—— 改进强制性和自愿性报告；—— 改善治理；—— 提高利益相关方的信心和信任；—— 为决策和规划建立可靠的根基；—— 加强控制；—— 有效地分配和利用风险处理的资源；—— 提高运营的效果和效率；—— 增强健康安全绩效，以及环境保护;—— 改善损失预防和事件管理；—— 减少损失；—— 提高组织的学习能力—— 提高组织的应变能力本国际标准旨在满足众多利益相关方的需求，包括：a）负责制定组织风险管理方针的人员;b）负责确保在组织整体、或者某一特定区域、项目或者活动内有效开展风险管理的人员;c）需要评定组织风险管理有效性的人员；d）整体或部分地实施风险管理的标准、指南、程序和操作规范的开发者。

目前许多组织的管理实践和过程包含了风险管理的要素，许多组织针对特定类型的风险或环境下已经采用了正式的风险管理过程在这种情况下，组织可以决定对照本国际标准对其现有的实践和过程开展严格的评审在本国际标准中，“风险管理（risk management）”和“管理风险（managing risk）”都在使用在通常的术语意义上，“风险管理（risk management）”涉及的有效管理风险的构架（原则，框架和过程），而“管理风险（managing risk）”指的是运用该架构管理特定风险监控和评审a) 创造价值b) 整合在组织过程中的部分c) 支持决策d) 明晰解决不确定问题e) 系统、结构化和及时性f) 基于最可用信息g) 量体裁衣h) 考虑人文因素i) 透明和包容j) 动态、迭代和应对变化k) 实现组织的持续改进和强化原则过程框架指令和承诺（4.2）风险管理框架设计计实施风险管理框架的持续改进框架的监测和评审沟通和协商明确状况风险评价风险识别风险分析风险评定风险处理监测和评审风险管理-原则和指南1范围本国际标准提供了风险管理的原则和通用性指南本国际标准可用于任何公共、私有或公有企业、协会，团体或个体。

因此，本国际标准不针对任何特定行业或部门注：为方便起见，本国际标准涉及的所有不同的用户以通用术语“组织”称谓本国际标准可用于整个组织的生命周期及广泛的活动，包括战略和决策、运营、过程、职能、项目、产品、服务和资产本国际标准可以应用于任何类型的风险，无论其性质及是否有积极或消极的后果尽管本国际标准提供了风险管理的通用性指南，但不意针对组织促进风险管理的统一性风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标，状况、结构、运营、过程、职能、项目、产品、服务、或资产以及展开的具体实践意在运用本国际标准来协调现有和将来标准的风险管理过程本标准提供了一个支持其他标准处理特定风险和行业风险的通用方法，而不是取代这些标准本国际标准不意针对认证意图 2 术语和定义下列术语和定义适用本标准2.1 风险 risk不确定性对目标的影响注1：影响是与期待的偏差——积极和/或消极注2：目标可以有不同方面（如财务、健康安全、以及环境目标），可以体现在不同的层次（如战略、组织范围、项目、产品和过程）注3：风险通常以潜在事件（2.19）和后果（2.20），或它们的组合来描述注4：风险通常以事件（包括环境的变化）后果和发生可能性（2.21）的组合来表达。

注5：不确定性是指，与事件和其后果或可能性的理解或知识相关的信息的缺陷的状态，或不完整[ISO导则 73:2009, 定义1.1]2.2 风险管理 risk management针对风险指挥和控制组织的协调活动[ISO 导则 73:2009, 定义 2.1]2.3 风险管理框架 risk management framework提供在组织内设计、实施、监测（2.28）、评审和持续改进风险管理（2.2）的基本原则和组织安排的要素集合注1：基本原则包括管理风险的方针、目标、指令和承诺注2：组织安排包括计划、关系、责任、资源、过程和活动注3：风险管理框架被嵌入到组织的整个战略和运营的方针和实践中[ISO 导则 73:2009, 定义 2.1.1]2.4 风险管理方针 risk management policy一个组织对风险管理的意图和方向的陈述[ISO 导则73:2009, 定义 2.1.2]2.5 风险态度 risk attitude组织评价、最终追踪、保留、消除或规避风险的方法[ISO 导则 73:2009, 定义 3.7.1.1]2.6 风险管理计划 risk management plan在风险管理框架内规定用于风险管理的方法、管理要素、资源的方案。

注1：管理要素一般包括程序、惯例、职责分配、活动顺序和时间安排注2：风险管理计划可应用于特定的产品、过程和项目、组织的部分或整体 [ISO 导则 73:2009, 定义2.1.3]2.7 风险所有者 risk owner具有风险管理权限和责任的个人或实体[ISO 导则 73:2009, 定义 3.5.1.4]2.8 风险管理过程 risk management process管理方针、程序和惯例对沟通、协商、确定状况、以及识别、分析、评价、处理、监测和评审风险活动的系统应用[ISO 导则 73:2009, 定义 3.1]2.9 确定状况 establishing the context界定外部和内部参数，以便在管理风险和设置风险管理方针的范围及风险准则时，予以考虑[ISO 导则 73:2009, 定义 3.3.1]2.10 外部状况 external context组织寻求实现其目标的外部环境注：外部环境可包括：—— 文化、社会、政治、法律法规、财政金融、技术、经济、自然和竞争环境，无论国际、国家、区域或地方—— 对组织目标具有影响的主要驱动和趋势—— 与外部利益相关方的关系和其感受和价值观。

[ISO 导则 73:2009,定义 3.3.1.1]2.11 内部状况 internal context组织寻求实现其目标的外部环境注：内部状况可包括：—— 治理、组织结构、作用和责任；—— 方针、目标、以及实现它们的战略；—— 以资源和知识来理解的能力（如资本、时间、人员、过程、系统和技术）；—— 信息系统、信息流和决策过程（正式和非正式的）；—— 与内部利益相关方的关系、以及他们的感受和价值观；—— 组织的文化；—— 标准、指南和组织采用的模式；—— 合同关系的形式和范围[ISO 导则 73:2009,定义 3.3.1.2]2.12 沟通和协商 communication and consultation组织针对风险管理，提供、共享或获取信息，与利益相关方进行对话的持续和反复的过程注1：信息涉及风险管理的存在、性质、形式、可能性、严重程度、评定、可接受性、处理注2：协商是组织与它的利益相关方，在做出决策或确定某一问题的方向前，针对问题双向有事实依据的沟通的过程协商是：—— 通过影响力而非权力对决策施加影响；—— 作为决策的输入，而非加入决策[ISO 导则 73:2009, 定义 3.2.1]2.13 利益相关方 stakeholder可以影响、被影响、或者觉得自己会被决策或活动影响的个人或组织。

注：决策者可以是利益相关者[ISO 导则 73:2009, 定义 3.2.1.1]2.14 风险评价 risk assessment风险识别（2.15）、风险分析（2.21）和风险评定（2.24）的整个过程 [ISO 导则 73:2009, 定义 3.4.1]2.15 风险识别 risk identification发现、认识、描述风险的过程注1：风险识别包括风险源（2.16）、事件（2.17）、它们的起因及潜在后果的确定注2：风险识别会涉及历史数据、技术分析、有事实依据的和专家的观点、以及利益相关方的需求[ISO 导则 73:2009, 定义 3.5.1]2.16 风险源 risk source单独地或以结合的形式具有产生风险的内在可能性的因素注：一个风险源可以是有形的或者无形的[ISO 导则 73:2009,定义 3.5.1.1]2.17 事件 event特殊系列环境的产生或变化注1：.一个事件可以是一个或多个事变，会有多种原因注2：事件可以由一些不发生的事情构成注3：事件有时被称作“事件（incident）”或“事故（accident）”注4：.没有后果的事件可以被称作“near miss”、“incident”、“near hit” 、 “close call”。

[ISO 导则 73:2009, 定义 3.5.1.2]2.18 后果 consequence事件对目标的影响结果注1：一个事件可以产生一系列的后果注2：后果可以是确定或不确定的，以及对目标具有积极或消极的影响注3：后果可以被定性或定量地表述注4：初步的后果通过连锁效应可以逐步升级 [ISO 导则 73:2009, 定义 3.6.1.3]2.19 可能性 likelihood某事发生的机会注1：在风险管理术语学中，“可能性”是指事情发生的机会，不论是明确的、测量的，还是客观或主观地、定性或定量。