澳大利亚和新西兰风险管理标准

澳大利亚风险管理标准AS/NZS 4360:1999本澳大利亚、新西兰联合标准，由联合技术委员会B-007 风险管理 Risk Management制订。它于 1999 年 4 月 2 日经澳大利亚标准委员会批准，1999 年 3 月 22 日经新西兰标准委员会批准；并于 1999 年 4 月 12 日颁布。OB-007 委员会由下列各界代表组成：澳大利亚计算机学会澳大利亚海关澳大利亚风险管理学会联邦科学与工业研究机构澳大利亚行政部澳大利亚国防部新西兰环境风险管理局澳大利亚工程师学会新西兰专业工程师学会澳大利亚保险委员会新西兰保险学会新西兰农业和林业部新西兰商业部新西兰应急措施和民防部新西兰地方政府新南威尔士州城市事务和计划部新南威尔士州财政部管理基金会澳大利亚全国保险经纪人协会澳大利亚证券学会澳大利亚风险和保险管理人协会新南威尔士大学本标准的征求意见稿为 DR 98549。第一次颁布为 AS/NZS 4360:1995 修订版为 AS/NZS 4360:1999澳大利亚标准的评审为跟上工业界的步伐，澳大利亚标准需定期评审，并通过出版修正案或必要时出版新的版本进行更新。因此，标准的使用者要确保拥有最新的版本及其修正案。所有澳大利亚标准和相关出版物的完整细目，可在澳大利亚标准出版物目录 Standards Australia Catalogue of Publications找到；订户收到的月刊澳大利亚标准 Australian Standards每月对这一资料加以补充，并且提供新出版物、新版本和修正案，以及撒消标准的细目。欢迎对澳大利亚标准提出改进的建议，建议请寄澳大利亚标准协会总部。如发现澳大利亚标准中有任何不精确或不明确之处，请立即告知，以便对事情进行调查并采取适当措施。ISBN 0 7337 3978 4 Australian Standard 是注册商标。澳大利亚标准协会版权所有。保留一切版权。事先未经发行人书面同意，本澳大利亚标准的任何部分不得以任何方式，或采用任何手段，包括影印、扫描或其他机械或电子方法进行复制、复印、储存、分发或传送。澳大利亚标准协会出版，GPO Box 5420， Sydney NSW 2001本标准草案由澳大利亚标准/新西兰标准B-007风险管理联合委员会制订，它是对 AS/NZS 4360:1995 的修订。因此，它的目的仍是为建立风险的环境、鉴定、分析、评价、处理、监控和信息交流等提供通用的架构。本标准应与其他适用或相关的标准一起阅读。本标准规定了风险管理过程的各个要素，但本标准的目的并不是要强制执行统一的风险管理体系。本标准是通用的，并不从属于任何一个特定的行业或经济部门。风险管理系统的设计和实施会受到一个机构变化着的需求、它特定的目标、产品和服务、以及所采用的工艺和具体做法的影响。风险管理是由多个定义明确的步骤所组成的一个反复过程，这些步骤以较深入地洞察风险及其影响为更好的决策提供支持。任何可能会出现不希望有的或意想不到重大后果的场合、或机会已被识别的场合均可应用风险管理程序。决策者们需要了解可能出现的后果，并采取措施控制其影响。风险管理被认为是良好管理的一个组成部分。为达到最佳效果，风险管理应成为机构文化的一部分。它应与机构的宗旨、实践和业务计划结合在一起，而不应被当作是一个单独的程序来看待或实施。做到了这一点，风险管理就成为机构中每个人的事。如因任何原因，不能将风险管理结合到整个机构中去，将它成功地应用于个别部门、过程或项目仍是可能的。本标准中尽可能地选用在风险和风险管理学科中广为接受的术语。风险管理各分科中含义稍有不同的那些词已避免使用，而采用目前实际上可能不太常用，但可以被定义为具有精确的共通含义的那些词来代替。例如风险处理这一术语，其定义所涵盖的内容比“风险控制 risk control”这一术语通常的含义要多。在本标准中使用了“提示”这一术语来规定附录所适用的场合。“提示”附录仅供参考和指引。目录1 范围，应用和定义2 风险管理要求2.1. 目的2.2. 风险管理方针2.3. 计划和资源2.4. 实施计划2.5. 管理部门评审3 风险管理概观3.1. 总则3.2. 主要因素4 风险管理过程4.1. 建立环境4.2. 风险鉴定4.3. 风险分析4.4. 风险评价4.5. 风险处理4.6. 监控和评审4.7. 信息交流和咨询5 形成文件5.1. 总则5.2. 形成文件的理由附录A 风险管理的应用B 制订和实施风险管理计划的步骤.C (风险 )承担者D 风险的一般来源和它们的影响范围E 风险定义和分类举例F 风险定量表达举例G 鉴定风险处理的选项H 风险管理文件1.范围，应用和定义1.1 范围本标准为建立和实施一个包括环境建立、风险鉴定、分析、评价、处理、信息交流以及持续监控的风险管理过程提供通用的指导。1.2 应用风险管理被认为是良好管理的一个组成部分。它是由多个步骤组成的一个反复过程：这些步骤在按顺序地执行时可以对决策不断地加以改进。风险管理是一种逻辑和系统方法的术语；它用一种将损失减小到最低程度而使机会达到最大限度的方式，对与机构的任何活动、功能和过程相关的风险进行环境建立、鉴定、分析、评价、处理、监控和信息交流。风险管理既是为了发现机会，也同样地是为了避免或减轻损失。本标准可以应用于一个活动、功能、项目、产品或资产的整个寿命期的各阶段。通常，从一开始就应用风险管理程序得益最大。往往在一个项目的各个阶段要进行多次不同的研究。注：本标准可以应用于任何公营、私营或社区企业或集团的许多活动或业务。附录 A 给出了一些例子。1.3 定义基于本标准的目的，本标准采用下述定义。1.3.1 后果 Consequence以定性或定量方式表示的一个事件的结果，可以是损失、伤害、失利或者获利。一个事可能会有许多个与其相关的结果。1.3.2 成本 Cost直接或间接涉及活动的任何负面影响，包括金钱、时间、劳工、破坏、信誉、政治和无形的损失。1.3.3 事件 Event在特定的时间间隔内，在特定的地方发生的一个事件或情况。1.3.4 事件树分析 Event tree用来描述一起始事件可能会引起的结果之可能的范围和顺序的一种方法。1.3.5 失效模式及影响分析（FMEA )用来对技术系统潜在的失效模式进行分析的一种程序。失效模式及影响分析（FMEA )可以扩展至进行所谓的失效模式、影响及危急程度分析（FMECA )。在失效模式、影响及危急程度分析中，根据其发生的可能性和后果的严重性的综合影响，对经鉴定的每种失效模式进行等级排列。1.3.6 失效树分析 Failure tree analysis用来表示可导致某一特定事件（称为顶端事件）的各种系统状态和可能原因的逻辑组合的一种系统工程方法。1.3.7 频率 Frequency以规定吋间内所发生的次数来表达的事件发生率的量度。参见可能性和概率。1.3.8 危险 Hazard潜在危害的根源或可能会造成损失的情况。1.3.9 可能性 Likelihood用作对概率或频率的定性描述。1.3.10 损失 Loss任何金融或其他方面的负面影响。1.3.11 监控 Monitor定期检查、监督、紧急观察、或记录一个活动、措施或系统的进展情况，以鉴定是否有变化。1.3.12 机构 Organization具有自己的功能和行政管理的一家公司、商号、企业或协会，或其他法人实体或它的一部分，不管是否组成公司，是公营还是私营。1.3.13 概率 Probability以特定事件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性。概率用数字 0 至 1 来表达，0 表示一个不可能的事件或结果，而 1 则表示一个必然的事件或结果。1.3.14 剩余风险 Residual risk在采取风险处理措施后仍保留的风险程度。1.3.15 风险 Risk对目标有所影响的某个事情发生的可能性。它根据后果和可能性来量度。1.3.16 风险认可 Risk acceptance认可某一具体风险的后果和可能性的有依据的决定。1.3.17 风险分析 Risk analysis系统地使用现有的信息来确定指定事件可能发生的经常性以及其后果的大小程度。1.3.18 风险评估 Risk assessment风险分析和风险评价的整个过程，见图 3.1。1.3.19 风险回避 Risk avoidance不介入风险情况的一种有依据的决定。1.3.20 风险控制 Risk control风险管理中的某部分，其中涉及执行方针、标准、程序和实质性改变以消除或缩小不利风险。1.3.21 风险工程 Risk engineering工程原理和方法在风险管理中的应用。1.3.22 风险评价 Risk evaluation通过将风险程度与预先确定的标准、目标风险的程度或其他准则进行比较，来确定风险管理优先次序的过程。1.3.23 风险资金 Risk financing用以资助风险处理和风险的财政后果的方法。注：在某些行业，风险资金仅涉及对风险的财政后果的资助。1.3.24 风险鉴定 Risk identification确定可能会发生什么、为什么发生和如何发生的程序。1.3.25 风险管理 Risk management旨在对潜在机会和不利影响进行有效管理的文化、程序和结构。1.3.26 风险管理过程 Risk management process系统地将管理方针、程序和实施应用于风险的环境建立、鉴定、分析、评价、处理、监控和信息交流等任务。1.3.27 风险降低 Risk reduction有选择地应用适当的方法和管理原则来减小发生的可能性或它的后果，或使两者都减小。1.3.28 风险保留 Risk retention故意地或非故意地保留在机构内对损失或损失造成的财务负担的责任。1.3.29 风险转移 Risk transfer通过立法、合同、保险或其他手段将损失的责任或负担转移到另一方。风险转移也可认为是将一个实物性风险或它的一部分转移到另外的地方。1.3.30 风险处理 Risk treatment选择并执行适当的选择方案来处理风险。1.3.31 灵敏度分析 Sensitivity analysis检查一个计算或模型的结果是如何随着各种假设的变化而改变。1.3.32 承担者 Stakeholder可以影响一个决定或活动，或受到、或领悟到他们会受到一个决定或活动的影响的那些人和机构。注：风险承担者还可包括 ISO 14050:1998 和 AS/NZS IS014004:1996 中所定义的有关方面。2 风险管理要求2.1 目的本章节的目的是为了描述建立系统的风险管理计划的一种正式程序。为在项目或分机构的层次上提供一个为执行更详细风险管理计划的架构，必须开发机构的风险管理方针和支援机制。2.2 风险管理方针机构的负责人应规定机构的风险管理方针，包括风险管理目标和对风险管理的承诺，并形成文件。风险管理应体现机构的战略环境、它的目标、目的以及它的业务性质。管理部门应确保这一方针在机构的各个层次上得到理解、贯彻和坚持执行。2.3 计划和资源2.3.1 管理部门的义务机构应确保：A.风险管理体系是按照本标准来建立、贯彻和坚持执行；以及B.向机构的管理部门报告风险管理体系的执行绩效，以便评审和作为改进的基础。2.3.2 职责和权限对从事风险管理的执行和验证工作的人员，特别是对需要独立行使机构权力开展下列一项或多项工作的人员，应规定其职责、权限和相互关系，并形成文件：(a)采取措施，防止或减小风险的不利影响；(b)控制对风险的进一步处理，直至风险的程度可以接受；(c)确认和记录与风险管理有关的问题；(d)通过规定的渠道，采取、推荐或提供解决办法；(e)验证解决办法的实施效果；(f)和在内部或外部适当地进行信息交流和咨询。2.3.3 资源对管理、执行工作和验证活动，包括内部审核，机构应确定资源要求并提供足够的资源，包括委派经过培训的人员。2.4 实施计划在机构内实施有效的风险管理体系需要有多个步骤。附录 B 提供一些例子。根据机构的整个风险管理宗旨、文化和结构，某些步骤可以合并或省略。但所有步骤均应得到考虑。2.5 管理部门评审机构的负责人应确保按规定的时间间隔对风险管理体系进行评审，确保持续的适宜性和有效性，以满足本标准的要求和机构订下的风险管理方针和目标（见 2.2)。评审记录应予以保存。3 风险管理概观3.1 总则风险管理是管理过程整体的一部分。风险管理是一个多方面的过程，其相关方面往往最好由一个多学科的小组来实施。它是一个不断改进的反复过程。3.2 主要因素如图 3.1 所示，风险管理过程的要素如下：3.2.1 建立环境建立在过程的其余部分将出现的战略、组织和风险管理的环境。应建立对风险进行评价的准则，并规定分析的结构。3.2.2 鉴定风险鉴定会出现什么事，为什么会出现和如何出现，作为进一步分析的基础。3.2.3 分析风险确定现有的控制，并根据在这些控制的环境中的后果和可能性对风险进行分析。这种分析应考虑到潜在后果的范围和这些后果发生的可能性有多大。可将后果和可能性结合起来得到一个估计的风险程度。3.2.4 评价风险将估计的风险程度与预先建立的准则进行比较。这样可将风险按等级排列，以便鉴定管理的优先次序。如果所建立的风险程度很低，此时的风险可以列入可接受的范畴，而不需要作处理。3.2.5 处理风险认可并监控低优先次序的风险。对于其他风险，则发展并实施一个特定管理计划，其中包括考虑到提供资金。3.2.6 监控和评审对风险管理体系的运行情况以及可能影响其运行的那些变化进行监控和评审。3.2.7 信息交流和咨询在风险管理过程的每个阶段以及在整个过程中，适时与内部和外部的风险承担者进行信息交流和咨询。风险管理可应用于一个机构的多个层次。它既可用于战略层次又可用于运作层次。它可以用于具体的项目，以便协助作出具体的决定，或对特定认可的风险领域加以管理。风险管理是有助于机构改进的一个反复过程。风险准则可以随着每次循环得到提高，从而使风险管理逐步达到更好的水平。过程的每个阶段应作好充分的记录，以满足独立审核的需要。图 3.1 风险管理综述4 风险管理过程4.1 建立环境4.1.1 总则风险管理的详细过程如图 4.1 所示。此过程发生在一个机构的战略、组织和风险管理环境的架构内。风险环境的建立，是为了规定风险管理所必需的基本参数范围，并为在更仔细的风险管理的研究中作出决定提供指导。它为风险管理过程的其余部分设定了范围。4.1.2 建立战略环境规定机构与其所处环境之间的关系，鉴定机构的实力、弱点、机会和威胁。战略环境包括机构职能中的财务、经营、竞争、政治（公众的感觉/形象） 、社会、客户、文化和法律等方面。鉴定内部和外部的风险承担者，考虑他们的目标、注意到他们的感觉、并建立与这些相关方进行信息交流的方针。注：附录 C 给出潜在风险承担者一览表。这一步骤的重点是机构运作所处的环境。机构应设法确定可支持或削弱其处理所面临风险的能力的关键的因素。可从事战略分析。决策层应支持战略分析，设定基本的参数，并为更具体的风险管理过程提供指导。在一个机构的任务或战略目标、与对它所受到的种种风险所进行的管理之间，应该存在一个密切的关系。4.1.3 建立组织环境在开始进行风险管理研究前，有必要了解该机构和它的能力，它的目的和目标，以及为达到这些目的和目标而采取的策略。上述之所以重要，是由于以下原因：A.风险管理是在机构的较广泛的目的、目标和策略环境中进行的；B.未能达到机构或特定活动的、或正在考虑的项目的目标便是一组应予处理的风险。机构的方针和目的有助于定义出决定是否接受一种风险的准则，并有助于形成对处理作出选择的基础。4.1.4 建立风险管理环境应建立某项活动、或正在应用风险管理过程的机构某部分的目的、目标、策略、范围和参数。在这一过程中，应充分考虑到必须对成本、收益和机会作出平衡。对所需的资源和必须保存的记录也应作出规定。为应用风险管理程序而设定的范围和界限包括：A.规定项目或活动，并建立它的目的和目标；B.规定项目在时间和地域上的伸展范围；C.鉴定所需要进行的任何研究，以及它们的范围、目的和所要求的资源。风险的一般来源以及影响范围可为此提供指南。注：风险一般来源及其影响范围范例，见附录 D。D.规定所要进行的风险管理活动之程度和涵盖性；还可以讨论的具体问题包括：a）机构中参加处理风险的各部分的作用和责任；b）此项目与其他项目或与机构各部分之间的关系。4.1.5 制订风险评价准则决定对风险进行评价的准则。可根据运作、技术、财务、法律、社会、人道的或其他标准，对有关风险的可接受性和风险处理的作出决定。这些准则往往取决于机构的内部方针、目的、目标和风险承担者的利益。准则是会受到内部和外部的理解以及法律要求的影响。在一开始就确定适当的准则是很重要的。虽然风险准则的制订最初是建立风险管理环境的一部分，当鉴定出特殊的风险和选择风险分析方法时，可相继地对风险准则作进一步的发展和提高，就是说风险准则必须符合风险的类型和风险程度的表达方式。4.1.6 规定结构这涉及到将活动或项目分成一组要素。这些要素为鉴定和分析提供一个逻辑架构，有助于确保重大的风险不会被忽略。所选择的结构取决于风险的性质和项目或活动的范围。4.2 风险鉴定4.2.1 总则这一步骤是要鉴定所处理的风险。由于在此阶段未鉴定出的潜在风险将被排除在进一步分析之外，采用一种结构良好的系统程序进行广泛综合的鉴定是很关键的。鉴定应包括所有的风险，不管它们是否在机构的控制下。4.2.2 可能发生什么本条文的目的在于制定一个综合性清单，包含那些会影响 4.1.6中提及的每个结构要素的事件。然后对这些事件作更详细的考虑，以鉴定可能会发生什么。注：附录 D 提供有关风险的一般来源及其影响范围的资料。4.2.3 如何和为什么会发生鉴定出一系列事件之后，必须判断可能的原因和可能的情况。事件开始的方式有许多种。重要的是主因不被忽略。4.2.4 工具和方法鉴定风险的途径包括核对表、基于经验和记录的判断、流程图、集体讨论、系统分析、情况分析和系统工程方法。所使用的方法将取决于所评审的活动的性质和风险的类型。4.3 风险分析4.3.1 总则分析的目的是将可以接受的小风险与大风险分开，并提供数据以协助风险评价和风险处理。风险分析包括判断风险的来源、它们的后果以及这些后果发生的可能性。并鉴定对影响后果和可能性的各种因素。将在现有控制措施的环境中估计出来的后果和可能性结合起来，对风险加以分析。可进行初步分析，将类似的或影响低的风险排除在详细研究之外。应尽可能将被排除的风险列出，以示风险分析的完整性。4.3.2 确定现有的控制对现有的管理、技术体系和风险控制程序进行鉴定，并评估它们的优缺点。4.2.4 中所使用的工具以及诸如检查和控制、自我评估法（“CSA ” ）等方法可能是合适的。4.3.3 后果和可能性如果一个事件发生，其后果的大小程度和事件的可能性及其相关的后果，在现有的控制环境中进行评估。后果和可能性结合在一起产生风险的程度。后果和可能性可采用统计分析和计算来确定。在没有历史数据的情况下，也可进行主观估计，这些估计反映个人或一批人相信一特定事件或结果会发生的程度。为避免主观偏误，在对后果和可能性进行分析时，应利用可行的最好信息源和方法。信息源可包括：a. 历史记录；b. 相关的经验；c. 行业实践和经验；d. 已出版的相关文献；e. 试销和市场调查；f. 试验和模拟；g. 经济、工程或其他模型；h. 专家和内行的判断。方法包括：a）. 向相关领域的专家进行有计划的咨询；b）. 使用多学科专家组；c）. 采用问卷进行单独评价；d）. 采用计算机和其他模拟；以及(V) 采用失效树和事件树图示法。可能的情况下，应包括对风险程度估计的置信度。4.3.4 分析的类型可以根据可行的风险信息和数据，对风险分析予以不同的程度的改进。视情况而定，风险分析可以是定性分析、半定量分析或定量分析，或者是这些分析的组合。按递升次序将这些分析的复杂性和成本加以排列，而成为定性、半定量的定量。实际上，定性分析往往首先被采用，以得到风险程度的总的指示。此后，可能需要进行更具体的定量分析。各种类型分析的详情如下：A.定性分析定性分析采用文字形式或叙述性的数值范围来描述潜在后果的大小程度以及这些后果发生的可能性。这些数值范围可修改或调整以适应各种情况，且不同的描述可用于不同的风险。注：附录 E 中的表 E1 和 E2 展示出简单的、可能性和后果的定性或叙述性数值范围的例子。表 E3 是将风险的可能性和后果结合起来，为风险指定出优先等级的矩阵的例子。这些表需要修改，以满足个别机构或风险评估的特定对象的需要。定性分析用于：a）. 初始的筛选活动，以鉴定出需要更详细分析的风险；b）. 风险的程度不能证明要进行更充分的分析所需的吋间和努力是合算的场合；或c）. 数据不足以进行定量分析的场合。B.半定量分析在半定量分析中，上述的那些定性数值范围均为已知值。每项说明所指定的数字并不一定与后果或可能性的实际大小程度具有精确的关系。假如用来进行优先化的系统与选择用来对数字赋值和组合的系统是相匹配的，则可将这些数字采用一系列公式中的任何一个公式加以组合。目的是为了得到比通常在定性分析中所得到的更为详细的优先化，但并非要提出任何在定量分析中所试图得到的风险的实际值。使用半定量分析时必须小心，因为所选择的数字未必能正确地反映会导致不一致结果的相关性。半定量分析可能不能恰当地区分各种风险，尤其是当结果或可能性处于极端状态时。有时，将可能性考虑成是由两个要素组成的较为恰当，通常称为暴露频率和概率。暴露频率是风险来源存在的程度，而概率是随着该风险源的存在而产生的后果的机会。在这两个要素之间的关系并非完全独立的情况下，即暴露频率与概率之间的关系密切时，就必须谨慎。这一方法可适用于半定量和定量分析。C.定量分析定量分析在后果和可能性分析中采用数值（而不是定性分析和半定量分析中所使用的叙述性数值范围） ，并采用从各种各样的来源（如 4.3.3(a)至(h)中提及的来源）得到的数据。分析的的质量取决于所用数值的精确度和完整性。可通过模拟一个事件或一组事件的结果，或对实验性的研究或历史数据使用插补法来估计后果。后果可以用金钱、技术或人道的准则，或 4.1.5 中提及的其他准则来表示。在一些情况下，需要一个以上的数值来规定不同时间、地点、团体或情况的后果。可能性通常以概率、频率、或暴露频率和概率的组合来表示。可能性和后果的表示方法以及它们组合起来规定风险程度的方法，将会根据风险的类型和风险程度的使用环境而有所不同。注：附录 F 中给出风险定量表示的一些例子。4.3.5 灵敏度分析由于定量分析中的某些估计并不精确，应进行灵敏度分析以测试由假设和数据的变化所产生的影响。4.4 风险评价风险评价涉及将分析过程中发现的风险程度与先前建立的风险准则进行比较。风险分析和在风险评价中用来与风险作比较的准则，应在同一基础上进行考虑。这样，定性评价涉及将风险定性的程度与定性准则作比较，而定量评价涉及将风险的数值程度与一些可以表示为具体数字的准则( 诸如死亡率、频率或币值等 )进行比较。风险评价的输出是一份提供进一步措施用的优先化的风险清单。应考虑到机构的目标以及冒此风险所带来的机会之程度。决定必须顾及到较广泛的风险环境，包括考虑得益的机构以外各相关方对风险的忍受能力。如果产生的风险属于低的或可接受的风险范畴，该类风险经最低限度的进一步处理就可被接受。应监控低的和已接受的风险，并定期评审，以确保它们仍可接受。如果风险并不属于低的或可接受的风险范畴，应采用 4.5 中所考虑的一种或几种选择进行处理。4.5 风险处理风险处理包括鉴定处理风险各种选择的范围、对这些选择进行评估、制订风险处理计划并加以实施。4.5.1 鉴定风险处理的各种选择图 4.2 示出风险处理的过程。不一定相互排斥或适合各种情况的选择有下述几种：A.决定不继续进行可能产生风险的活动来避免风险（在可行的情况下） 。回避风险可能是不适当地由于一种厌恶风险的态度，这是许多人的一种倾向（往往受机构内部制度的影响） 。不适当地回避风险可能会增加其他风险的影响性。厌恶风险会导致：a）. 不注意可行的信息和处理该类风险所招致的费用就决定回避或忽视风险。b）. 未能处理风险；c）. 听任其他方作出决定性的选择和/或决定；d）. 推迟作出机构不可避免的决定；或e）. 不顾得益就因潜在风险较低而作出选择。B.降低发生的可能性注：见附录 G 中所示的例子。C.