澳大利亚和新西兰风险管理标准.doc

澳大利亚风险管理标准AS/NZS 4360:1999本澳大利亚、新西兰联合标准，由联合技术委员会B-007风险管理Risk Management制订。它于1999年4月2日经澳大利亚标准委员会批准，1999年3月22日经新西兰标准委员会批准；并于1999年4月12日颁布。OB-007委员会由下列各界代表组成：澳大利亚计算机学会澳大利亚海关澳大利亚风险管理学会联邦科学与工业研究机构澳大利亚行政部澳大利亚国防部新西兰环境风险管理局澳大利亚工程师学会新西兰专业工程师学会澳大利亚保险委员会新西兰保险学会新西兰农业和林业部新西兰商业部新西兰应急措施和民防部新西兰地方政府新南威尔士州城市事务和计划部新南威尔士州财政部管理基金会澳大利亚全国保险经纪人协会澳大利亚证券学会澳大利亚风险和保险管理人协会新南威尔士大学本标准的征求意见稿为DR 98549。第一次颁布为 AS/NZS 4360:1995修订版为 AS/NZS 4360:1999澳大利亚标准的评审为跟上工业界的步伐，澳大利亚标准需定期评审，并通过出版修正案或必要时出版新的版本进行更新。因此，标准的使用者要确保拥有最新的版本及其修正案。所有澳大利亚标准和相关出版物的完整细目，可在澳大利亚标准出版物目录Standards Australia Catalogue of Publications找到；订户收到的月刊澳大利亚标准Australian Standards每月对这一资料加以补充，并且提供新出版物、新版本和修正案，以及撒消标准的细目。欢迎对澳大利亚标准提出改进的建议，建议请寄澳大利亚标准协会总部。如发现澳大利亚标准中有任何不精确或不明确之处，请立即告知，以便对事情进行调查并采取适当措施。ISBN 0 7337 3978 4 Australian Standard 是注册商标。澳大利亚标准协会版权所有。保留一切版权。事先未经发行人书面同意，本澳大利亚标准的任何部分不得以任何方式，或采用任何手段，包括影印、扫描或其他机械或电子方法进行复制、复印、储存、分发或传送。澳大利亚标准协会出版，GPO Box 5420，Sydney NSW 2001本标准草案由澳大利亚标准/新西兰标准B-007风险管理联合委员会制订，它是对AS/NZS 4360:1995的修订。因此，它的目的仍是为建立风险的环境、鉴定、分析、评价、处理、监控和信息交流等提供通用的架构。本标准应与其他适用或相关的标准一起阅读。本标准规定了风险管理过程的各个要素，但本标准的目的并不是要强制执行统一的风险管理体系。本标准是通用的，并不从属于任何一个特定的行业或经济部门。风险管理系统的设计和实施会受到一个机构变化着的需求、它特定的目标、产品和服务、以及所采用的工艺和具体做法的影响。风险管理是由多个定义明确的步骤所组成的一个反复过程，这些步骤以较深入地洞察风险及其影响为更好的决策提供支持。任何可能会出现不希望有的或意想不到重大后果的场合、或机会已被识别的场合均可应用风险管理程序。决策者们需要了解可能出现的后果，并采取措施控制其影响。风险管理被认为是良好管理的一个组成部分。为达到最佳效果，风险管理应成为机构文化的一部分。它应与机构的宗旨、实践和业务计划结合在一起，而不应被当作是一个单独的程序来看待或实施。做到了这一点，风险管理就成为机构中每个人的事。如因任何原因，不能将风险管理结合到整个机构中去，将它成功地应用于个别部门、过程或项目仍是可能的。本标准中尽可能地选用在风险和风险管理学科中广为接受的术语。风险管理各分科中含义稍有不同的那些词已避免使用，而采用目前实际上可能不太常用，但可以被定义为具有精确的共通含义的那些词来代替。例如风险处理这一术语，其定义所涵盖的内容比“风险控制risk control”这一术语通常的含义要多。在本标准中使用了“提示”这一术语来规定附录所适用的场合。“提示”附录仅供参考和指引。目录1范围，应用和定义2风险管理要求2.1. 目的2.2. 风险管理方针2.3. 计划和资源2.4. 实施计划2.5. 管理部门评审3风险管理概观3.1. 总则3.2. 主要因素4风险管理过程4.1. 建立环境4.2. 风险鉴定4.3. 风险分析4.4. 风险评价4.5. 风险处理4.6. 监控和评审4.7. 信息交流和咨询5形成文件5.1. 总则5.2. 形成文件的理由附录A 风险管理的应用B制订和实施风险管理计划的步骤.C (风险)承担者D风险的一般来源和它们的影响范围E 风险定义和分类举例F 风险定量表达举例G 鉴定风险处理的选项H 风险管理文件1.范围，应用和定义1.1范围本标准为建立和实施一个包括环境建立、风险鉴定、分析、评价、处理、信息交流以及持续监控的风险管理过程提供通用的指导。1.2应用风险管理被认为是良好管理的一个组成部分。它是由多个步骤组成的一个反复过程：这些步骤在按顺序地执行时可以对决策不断地加以改进。风险管理是一种逻辑和系统方法的术语；它用一种将损失减小到最低程度而使机会达到最大限度的方式，对与机构的任何活动、功能和过程相关的风险进行环境建立、鉴定、分析、评价、处理、监控和信息交流。风险管理既是为了发现机会，也同样地是为了避免或减轻损失。本标准可以应用于一个活动、功能、项目、产品或资产的整个寿命期的各阶段。通常，从一开始就应用风险管理程序得益最大。往往在一个项目的各个阶段要进行多次不同的研究。注：本标准可以应用于任何公营、私营或社区企业或集团的许多活动或业务。附录A给出了一些例子。1.3定义基于本标准的目的，本标准采用下述定义。1.3.1后果 Consequence以定性或定量方式表示的一个事件的结果，可以是损失、伤害、失利或者获利。一个事可能会有许多个与其相关的结果。1.3.2成本 Cost直接或间接涉及活动的任何负面影响，包括金钱、时间、劳工、破坏、信誉、政治和无形的损失。1.3.3事件 Event在特定的时间间隔内，在特定的地方发生的一个事件或情况。1.3.4事件树分析Event tree用来描述一起始事件可能会引起的结果之可能的范围和顺序的一种方法。1.3.5失效模式及影响分析（FMEA )用来对技术系统潜在的失效模式进行分析的一种程序。失效模式及影响分析（FMEA )可以扩展至进行所谓的失效模式、影响及危急程度分析（FMECA )。在失效模式、影响及危急程度分析中，根据其发生的可能性和后果的严重性的综合影响，对经鉴定的每种失效模式进行等级排列。1.3.6失效树分析 Failure tree analysis用来表示可导致某一特定事件（称为顶端事件）的各种系统状态和可能原因的逻辑组合的一种系统工程方法。1.3.7频率 Frequency以规定吋间内所发生的次数来表达的事件发生率的量度。参见可能性和概率。1.3.8危险 Hazard潜在危害的根源或可能会造成损失的情况。1.3.9可能性 Likelihood用作对概率或频率的定性描述。1.3.10损失 Loss任何金融或其他方面的负面影响。1.3.11监控 Monitor定期检查、监督、紧急观察、或记录一个活动、措施或系统的进展情况，以鉴定是否有变化。1.3.12机构 Organization具有自己的功能和行政管理的一家公司、商号、企业或协会，或其他法人实体或它的一部分，不管是否组成公司，是公营还是私营。1.3.13概率 Probability以特定事件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性。概率用数字0至1来表达，0表示一个不可能的事件或结果，而1则表示一个必然的事件或结果。1.3.14剩余风险 Residual risk在采取风险处理措施后仍保留的风险程度。1.3.15风险 Risk对目标有所影响的某个事情发生的可能性。它根据后果和可能性来量度。1.3.16风险认可 Risk acceptance认可某一具体风险的后果和可能性的有依据的决定。1.3.17风险分析 Risk analysis系统地使用现有的信息来确定指定事件可能发生的经常性以及其后果的大小程度。1.3.18风险评估 Risk assessment风险分析和风险评价的整个过程，见图3.1。1.3.19风险回避 Risk avoidance不介入风险情况的一种有依据的决定。1.3.20风险控制 Risk control风险管理中的某部分，其中涉及执行方针、标准、程序和实质性改变以消除或缩小不利风险。1.3.21风险工程 Risk engineering工程原理和方法在风险管理中的应用。1.3.22风险评价 Risk evaluation通过将风险程度与预先确定的标准、目标风险的程度或其他准则进行比较，来确定风险管理优先次序的过程。1.3.23风险资金 Risk financing用以资助风险处理和风险的财政后果的方法。注：在某些行业，风险资金仅涉及对风险的财政后果的资助。1.3.24风险鉴定 Risk identification确定可能会发生什么、为什么发生和如何发生的程序。1.3.25风险管理 Risk management旨在对潜在机会和不利影响进行有效管理的文化、程序和结构。1.3.26风险管理过程 Risk management process系统地将管理方针、程序和实施应用于风险的环境建立、鉴定、分析、评价、处理、监控和信息交流等任务。1.3.27风险降低 Risk reduction有选择地应用适当的方法和管理原则来减小发生的可能性或它的后果，或使两者都减小。1.3.28风险保留 Risk retention故意地或非故意地保留在机构内对损失或损失造成的财务负担的责任。1.3.29风险转移 Risk transfer通过立法、合同、保险或其他手段将损失的责任或负担转移到另一方。风险转移也可认为是将一个实物性风险或它的一部分转移到另外的地方。1.3.30风险处理 Risk treatment选择并执行适当的选择方案来处理风险。1.3.31灵敏度分析 Sensitivity analysis检查一个计算或模型的结果是如何随着各种假设的变化而改变。1.3.32承担者 Stakeholder可以影响一个决定或活动，或受到、或领悟到他们会受到一个决定或活动的影响的那些人和机构。注：风险承担者还可包括ISO 14050:1998和AS/NZS IS014004:1996中所定义的有关方面。2风险管理要求2.1目的本章节的目的是为了描述建立系统的风险管理计划的一种正式程序。为在项目或分机构的层次上提供一个为执行更详细风险管理计划的架构，必须开发机构的风险管理方针和支援机制。2.2风险管理方针机构的负责人应规定机构的风险管理方针，包括风险管理目标和对风险管理的承诺，并形成文件。风险管理应体现机构的战略环境、它的目标、目的以及它的业务性质。管理部门应确保这一方针在机构的各个层次上得到理解、贯彻和坚持执行。2.3计划和资源2.3.1管理部门的义务机构应确保：A.风险管理体系是按照本标准来建立、贯彻和坚持执行；以及B.向机构的管理部门报告风险管理体系的执行绩效，以便评审和作为改进的基础。2.3.2职责和权限对从事风险管理的执行和验证工作的人员，特别是对需要独立行使机构权力开展下列一项或多项工作的人员，应规定其职责、权限和相互关系，并形成文件：(a)采取措施，防止或减小风险的不利影响；(b)控制对风险的进一步处理，直至风险的程度可以接受；(c)确认和记录与风险管理有关的问题；(d)通过规定的渠道，采取、推荐或提供解决办法；(e)验证解决办法的实施效果；(f)和在内部或外部适当地进行信息交流和咨询。2.3.3资源对管理、执行工作和验证活动，包括内部审核，机构应确定资源要求并提供足够的资源，包括委派经过培训的人员。2.4实施计划在机构内实施有效的风险管理体系需要有多个步骤。附录B提供一些例子。根据机构的整个风险管理宗旨、文化和结构，某些步骤可以合并或省略。但所有步骤均应得到考虑。2.5管理部门评审机构的负责人应确保按规定的时间间隔对风险管理体系进行评审，确保持续的适宜性和有效性，以满足本标准的要求和机构订下的风险管理方针和目标（见2.2)。评审记录应予以保存。3风险管理概观3.1总则风险管理是管理过程整体的一部分。风险管理是一个多方面的过程，其相关方面往往最好由一个多学科的小组来实施。它是一个不断改进的反复过程。3.2主要因素如图3.1所示，风险管理过程的要素如下：3.2.1建立环境建立在过程的其余部分将出现的战略、组织和风险管理的环境。应建立对风险进行评价的准则，并规定分析的结构。3.2.2鉴定风险鉴定会出现什么事，为什么会出现和如何出现，作为进一步分析的基础。3.2.3分析风险确定现有的控制，并根据在这些控制的环境中的后果和可能性对风险进行分析。这种分析应考虑到潜在后果的范围和这些后果发生的可能性有多大。可将后果和可能性结合起来得到一个估计的风险程度。3.2.4评价风险将估计的风险程度与预先建立的准则进行比较。这样可将风险按等级排列，以便鉴定管理的优先次序。如果所建立的风险程度很低，此时的风险可以列入可接受的范畴，而不需要作处理。3.2.5处理风险认可并监控低优先次序的风险。对于其他风险，则发展并实施一个特定管理计划，其中包括考虑到提供资金。3.2.6监控和评审对风险管理体系的运行情况以及可能影响其运行的那些变化进行监控和评审。3.2.7信息交流和咨询在风险管理过程的每个阶段以及在整个过程中，适时与内部和外部的风险承担者进行信息交流和咨询。风险管理可应用于一个机构的多个层次。它既可用于战略层次又可用于运作层次。它可以用于具体的项目，以便协助作出具体的决定，或对特定认可的风险领域加以管理。风险管理是有助于机构改进的一个反复过程。风险准则可以随着每次循环得到提高，从而使风险管理逐步达到更好的水平。过程的每个阶段应作好充分的记录，以满足独立审核的需要。图3.1风险管理综述4风险管理过程4.1建立环境4.1.1总则风险管理的详细过程如图4.1所示。此过程发生在一个机构的战略、组织和风险管理环境的架构内。风险环境的建立，是为了规定风险管理所必需的基本参数范围，并为在更仔细的风险管理的研究中作出决定提供指导。它为风险管理过程的其余部分设定了范围。4.1.2建立战略环境规定机构与其所处环境之间的关系，鉴定机构的实力、弱点、机会和威胁。战略环境包括机构职能中的财务、经营、竞争、政治（公众的感觉/形象）、社会、客户、文化和法律等方面。鉴定内部和外部的风险承担者，考虑他们的目标、注意到他们的感觉、并建立与这些相关方进行信息交流的方针。注：附录C给出潜在风险承担者一览表。这一步骤的重点是机构运作所处的环境。机构应设法确定可支持或削弱其处理所面临风险的能力的关键的因素。可从事战略分析。决策层应支持战略分析，设定基本的参数，并为更具体的风险管理过程提供指导。在一个机构的任务或战略目标、与对它所受到的种种风险所进行的管理之间，应该存在一个密切的关系。4.1.3建立组织环境在开始进行风险管理研究前，有必要了解该机构和它的能力，它的目的和目标，以及为达到这些目的和目标而采取的策略。上述之所以重要，是由于以下原因：A.风险管理是在机构的较广泛的目的、目标和策略环境中进行的；B.未能达到机构或特定活动的、或正在考虑的项目的目标便是一组应予处理的风险。机构的方针和目的有助于定义出决定是否接受一种风险的准则，并有助于形成对处理作出选择的基础。4.1.4建立风险管理环境应建立某项活动、或正在应用风险管理过程的机构某部分的目的、目标、策略、范围和参数。在这一过程中，应充分考虑到必须对成本、收益和机会作出平衡。对所需的资源和必须保存的记录也应作出规定。为应用风险管理程序而设定的范围和界限包括：A.规定项目或活动，并建立它的目的和目标；B.规定项目在时间和地域上的伸展范围；C.鉴定所需要进行的任何研究，以及它们的范围、目的和所要求的资源。风险的一般来源以及影响范围可为此提供指南。注：风险一般来源及其影响范围范例，见附录D。D.规定所要进行的风险管理活动之程度和涵盖性；还可以讨论的具体问题包括：a）机构中参加处理风险的各部分的作用和责任；b）此项目与其他项目或与机构各部分之间的关系。4.1.5制订风险评价准则决定对风险进行评价的准则。可根据运作、技术、财务、法律、社会、人道的或其他标准，对有关风险的可接受性和风险处理的作出决定。这些准则往往取决于机构的内部方针、目的、目标和风险承担者的利益。准则是会受到内部和外部的理解以及法律要求的影响。在一开始就确定适当的准则是很重要的。虽然风险准则的制订最初是建立风险管理环境的一部分，当鉴定出特殊的风险和选择风险分析方法时，可相继地对风险准则作进一步的发展和提高，就是说风险准则必须符合风险的类型和风险程度的表达方式。4.1.6 规定结构这涉及到将活动或项目分成一组要素。这些要素为鉴定和分析提供一个逻辑架构，有助于确保重大的风险不会被忽略。所选择的结构取决于风险的性质和项目或活动的范围。4.2风险鉴定4.2.1总则这一步骤是要鉴定所处理的风险。由于在此阶段未鉴定出的潜在风险将被排除在进一步分析之外，采用一种结构良好的系统程序进行广泛综合的鉴定是很关键的。鉴定应包括所有的风险，不管它们是否在机构的控制下。4.2.2可能发生什么本条文的目的在于制定一个综合性清单，包含那些会影响4.1.6中提及的每个结构要素的事件。然后对这些事件作更详细的考虑，以鉴定可能会发生什么。注：附录D提供有关风险的一般来源及其影响范围的资料。4.2.3如何和为什么会发生鉴定出一系列事件之后，必须判断可能的原因和可能的情况。事件开始的方式有许多种。重要的是主因不被忽略。4.2.4工具和方法鉴定风险的途径包括核对表、基于经验和记录的判断、流程图、集体讨论、系统分析、情况分析和系统工程方法。所使用的方法将取决于所评审的活动的性质和风险的类型。4.3风险分析4.3.1 总则分析的目的是将可以接受的小风险与大风险分开，并提供数据以协助风险评价和风险处理。风险分析包括判断风险的来源、它们的后果以及这些后果发生的可能性。并鉴定对影响后果和可能性的各种因素。将在现有控制措施的环境中估计出来的后果和可能性结合起来，对风险加以分析。可进行初步分析，将类似的或影响低的风险排除在详细研究之外。应尽可能将被排除的风险列出，以示风险分析的完整性。4.3.2确定现有的控制对现有的管理、技术体系和风险控制程序进行鉴定，并评估它们的优缺点。4.2.4中所使用的工具以及诸如检查和控制、自我评估法（“CSA” ）等方法可能是合适的。4.3.3后果和可能性如果一个事件发生，其后果的大小程度和事件的可能性及其相关的后果，在现有的控制环境中进行评估。后果和可能性结合在一起产生风险的程度。后果和可能性可采用统计分析和计算来确定。在没有历史数据的情况下，也可进行主观估计，这些估计反映个人或一批人相信一特定事件或结果会发生的程度。为避免主观偏误，在对后果和可能性进行分析时，应利用可行的最好信息源和方法。信息源可包括：a. 历史记录；b. 相关的经验；c. 行业实践和经验；d. 已出版的相关文献；e. 试销和市场调查；f. 试验和模拟；g. 经济、工程或其他模型；h. 专家和内行的判断。方法包括：a）. 向相关领域的专家进行有计划的咨询；b）. 使用多学科专家组；c）. 采用问卷进行单独评价；d）. 采用计算机和其他模拟；以及(V) 采用失效树和事件树图示法。可能的情况下，应包括对风险程度估计的置信度。4.3.4分析的类型可以根据可行的风险信息和数据，对风险分析予以不同的程度的改进。视情况而定，风险分析可以是定性分析、半定量分析或定量分析，或者是这些分析的组合。按递升次序将这些分析的复杂性和成本加以排列，而成为定性、半定量的定量。实际上，定性分析往往首先被采用，以得到风险程度的总的指示。此后，可能需要进行更具体的定量分析。各种类型分析的详情如下：A.定性分析定性分析采用文字形式或叙述性的数值范围来描述潜在后果的大小程度以及这些后果发生的可能性。这些数值范围可修改或调整以适应各种情况，且不同的描述可用于不同的风险。注：附录E中的表E1和E2展示出简单的、可能性和后果的定性或叙述性数值范围的例子。表E3是将风险的可能性和后果结合起来，为风险指定出优先等级的矩阵的例子。这些表需要修改，以满足个别机构或风险评估的特定对象的需要。定性分析用于：a）. 初始的筛选活动，以鉴定出需要更详细分析的风险；b）. 风险的程度不能证明要进行更充分的分析所需的吋间和努力是合算的场合；或c）. 数据不足以进行定量分析的场合。B.半定量分析在半定量分析中，上述的那些定性数值范围均为已知值。每项说明所指定的数字并不一定与后果或可能性的实际大小程度具有精确的关系。假如用来进行优先化的系统与选择用来对数字赋值和组合的系统是相匹配的，则可将这些数字采用一系列公式中的任何一个公式加以组合。目的是为了得到比通常在定性分析中所得到的更为详细的优先化，但并非要提出任何在定量分析中所试图得到的风险的实际值。使用半定量分析时必须小心，因为所选择的数字未必能正确地反映会导致不一致结果的相关性。半定量分析可能不能恰当地区分各种风险，尤其是当结果或可能性处于极端状态时。有时，将可能性考虑成是由两个要素组成的较为恰当，通常称为暴露频率和概率。暴露频率是风险来源存在的程度，而概率是随着该风险源的存在而产生的后果的机会。在这两个要素之间的关系并非完全独立的情况下，即暴露频率与概率之间的关系密切时，就必须谨慎。这一方法可适用于半定量和定量分析。C.定量分析定量分析在后果和可能性分析中采用数值（而不是定性分析和半定量分析中所使用的叙述性数值范围），并采用从各种各样的来源（如4.3.3(a)至(h)中提及的来源）得到的数据。分析的的质量取决于所用数值的精确度和完整性。可通过模拟一个事件或一组事件的结果，或对实验性的研究或历史数据使用插补法来估计后果。后果可以用金钱、技术或人道的准则，或4.1.5中提及的其他准则来表示。在一些情况下，需要一个以上的数值来规定不同时间、地点、团体或情况的后果。可能性通常以概率、频率、或暴露频率和概率的组合来表示。可能性和后果的表示方法以及它们组合起来规定风险程度的方法，将会根据风险的类型和风险程度的使用环境而有所不同。注：附录F中给出风险定量表示的一些例子。4.3.5 灵敏度分析由于定量分析中的某些估计并不精确，应进行灵敏度分析以测试由假设和数据的变化所产生的影响。4.4风险评价风险评价涉及将分析过程中发现的风险程度与先前建立的风险准则进行比较。风险分析和在风险评价中用来与风险作比较的准则，应在同一基础上进行考虑。这样，定性评价涉及将风险定性的程度与定性准则作比较，而定量评价涉及将风险的数值程度与一些可以表示为具体数字的准则(诸如死亡率、频率或币值等)进行比较。风险评价的输出是一份提供进一步措施用的优先化的风险清单。应考虑到机构的目标以及冒此风险所带来的机会之程度。决定必须顾及到较广泛的风险环境，包括考虑得益的机构以外各相关方对风险的忍受能力。如果产生的风险属于低的或可接受的风险范畴，该类风险经最低限度的进一步处理就可被接受。应监控低的和已接受的风险，并定期评审，以确保它们仍可接受。如果风险并不属于低的或可接受的风险范畴，应采用4.5中所考虑的一种或几种选择进行处理。4.5风险处理风险处理包括鉴定处理风险各种选择的范围、对这些选择进行评估、制订风险处理计划并加以实施。4.5.1 鉴定风险处理的各种选择图4.2示出风险处理的过程。不一定相互排斥或适合各种情况的选择有下述几种：A.决定不继续进行可能产生风险的活动来避免风险（在可行的情况下）。回避风险可能是不适当地由于一种厌恶风险的态度，这是许多人的一种倾向（往往受机构内部制度的影响）。不适当地回避风险可能会增加其他风险的影响性。厌恶风险会导致：a）. 不注意可行的信息和处理该类风险所招致的费用就决定回避或忽视风险。b）. 未能处理风险；c）. 听任其他方作出决定性的选择和/或决定；d）. 推迟作出机构不可避免的决定；或e）. 不顾得益就因潜在风险较低而作出选择。B.降低发生的可能性注：见附录G中所示的例子。C.减小后果注：见附录G中所示的例子。D.风险转移这涉及承担或分担部分风险的另一方。方法包括使用合同、保险安排以及诸如合伙和合资等组织结构。将一个风险转移到其他方，或物质转移到其他地方将会降低原机构的风险，但并不减小对社会的风险的总程度。在风险全部或部分转移的情况下，转移风险的机构又制造出一个新的、被转移风险的机构未必能有效地管理的风险。E.保留风险在风险降低或转移后，可能有剩馀的风险保留着。如果出现这样的风险，应安排计划处理这些风险的后果，包括鉴定出为风险提供资金的手段。风险也可能因不履行责任而保留，即未能鉴定和/或适当地转移或处理风险。减低后果和可能性可以称作风险控制。风险控制包括按照现有控制的效果来确定新控制的相对得益。控制可包括效果方针、程序或实物性改变。4.5.2 评估风险处理选择应根据风险减小的程度和任何额外利益或机会的程度，并考虑4.1.5中订立的准则，来对各种选择进行评估。可以个别地或联合地考虑和应用多种选择。选用最适合的选择涉及权衡实施每种选择的成本与其得到的利益。通常，处理风险的成本需要与所得到的利益相称。如果以相对较低的花费可大大减小风险的程度，则应实施这样的选择。其它减小风险的选择可能是不经济的，需要判断它们是否合算。这在图4.3中示出。决定应包括需要仔细考虑那些罕见却很严重的风险，这些风险会保证风险减小的程度，但按严格的经济理由却是不合算的。通常，不管任何绝对的准则，应使风险的不利影响尽可能地低。图4.3 降低风险措施的成本在许多情况下，任何一种风险处理选择不太可能完全解决某一具体问题。往往一个机构大大得益于联合各种选择，例如降低风险的可能性、减小它们的后果以及转移或保留任何剩余风险等。有效利用合同和由风险减小计划支助的风险资金就是一个例子。实施各种风险处理的累计成本超过可用预算时，计划应明确地标明应实施的每种风险处理的优先次序。可采用各种方法来建立优先次序，包括风险评级和成本-效益分析。在可用预算的范围内不能实施的风险处理，就必须等待进一步的资金来源，或当不管什么原因任何或所有剩余的处理被认为是重要的，则必须找理由确保得到额外资金。各种风险处理选择应考虑到受影响的相关方对风险是如何认识的，以及与这些相关方进行信息交流的最适当方法。4.5.3 制订处理计划计划应形成文件，说明所选定的方案是如何实施的。处理计划应要定出责任、进度、处理的预期结果、预算、执行程度和所设定的评审程序。注：详见附录H的H5部分。计划还应包括一个机制，以根据性能标准、个人责任和其他目标，评估对选择的实施情况，和监控实施过程中的重要阶段。4.5.4 实施处理计划理想的做法是由最能控制风险的那些人来负责对风险的处理。在各相关方之间应尽可能早地就责任达成一致。成功地实施风险处理计划要求具备一个有效管理体系，去规定所选的方法、指定各项措施的职责和个人责任，以及按规定准则进行监控的。如在处理后有剩余风险存在，应决定是否保留这一风险或是重复该风险处理过程。4.6监控和评审有必要对风险、风险处理计划的效果、策略以及为控制实施情况而建立的管理体系进行监控。需要监控风险和控制措施的效果，以确保变化着的环境不会改变风险的优先次序。静止不变的风险是极少的。继续的评审是必要的，以确保管理计划保持贴切。正如影响各种处理选择的适宜性或成本的因素一样，能够影响一个结果的可能性和后果的因素可以改变。因此有必要定期反复进行风险管理的循环。评审是风险处理计划整体的一部分。4.7信息交流和咨询信息交流和咨询是风险管理过程中每一步均需要考虑的重要内容。在过程的最初阶段就为内部和外部的(风险)承担者制订一个信息交流的计划是很重要的。这一计划应提出与风险本身和处理风险的过程有关的问题。信息交流和咨询涉及(风险)承担者之间的双向对话，重点在于咨询而不是决策者对其他(风险)承担者的单向信息流动。有效的内部和外部信息交流是很重要的，它确保负责实施风险管理和具有既得利益的那些人，了解决策的基础以及为何需要采取特别的措施。对风险的理解可因为假设和概念的不同，以及承担者对风险和所讨论问题相关的需要、问题和关注有所不同而改变。承担者可能会根据他们对风险的理解来判断风险的可接受程度。由于承担者会对所作的决策有重大影响，将他们对风险的理解以及他们对利益的理解加以鉴定并形成文件，以及了解和为他们表达其根本原因就很重要了。5形成文件5.1总则风险管理过程的每个阶段都应形成文件。文件应包括假设、方法、数据来源和结果。5.2形成文件的理由形成文件的理由如下：a）. 表明过程正常地进行；b）. 为风险鉴定和分析的系统化方法提供证据；c）. 提供风险的记录和开发机构的知识资料库；d）. 向相关的决策者提供风险管理计划，供审批并随后实施；e）. 提供一种责任机制和工具；f）. 便于连续的监控和评审；g）. 提供审核线索；和h）. 分享和交流信息。有关文件编制程度的决定可涉及成本和收益，并应考虑上述的因素。指导：为帮助和指导正确地形成文件，附录H中给出了一些例子。这些例子是指示性的而不是全面的。附录A风险管理的应用(提示附录）A1 机构本标准可用于众多的机构，包括：a）. 社会： 全国的、地区的、当地的；b）. 商业： 公司、合资企业、商号、特许经销代理商、独立事务所；和c）. 志愿： 慈善、社团、体育运动。A2 应用本标准的应用包括，但并不局限于下述场合：a）. 资产管理和资源规划；b）. 业务中断；c）. 变化：机构、技术和政治；d）. 建筑活动；e）. 意外事故、灾难和应急计划；f）. 设计和产品责任；g）. 主管和职员的责任；h）. 聘用程序：培训、歧视和骚扰；i）. 环境问题；j）. 职业规范和诚实问题；k）. 可行性研究；l）. 火灾探测/消防；m）. 外汇业务；n）. 欺诈防止、探测和管理；o）. 人、动物和植物的保健；p）. 信息系统/计算机网络；q）. 投资；r）. 法律的遵守；s）. 职业保健和安全；t）. 运行和维修系统；u）. 项目管理；v）. 公共风险和一般责任；w）. 采购合同管理；x）. 专业咨询；y）. 信誉和形象问题；z）. 保安；(aa)包括海、陆、空和铁路的运输；以及(bb)财政和金融。B制订和实施风险管理计划的步骤(提示附录）B1 步骤1 ：高级管理部门的支持启发机构风险管理的观念和高级管理层的“风险”意识。这可通过培训、教育和高层管理部门的介绍来促进。机构总裁积极和不断的支持是必要的。高级执行经理或相类似的“领导者，(或小组）必须主动。所有高级主管人员应全力支持。B2 步骤2:制订机构的方针制订风险管理的组织方针和架构，由机构的经理主管人员认可，并在整个机构内实施。方针可包括下述的信息：方针的目标以及风险管理的原理；方针与机构战略和组织计划之间的联系；方针可应用的程度或适用于各种问题的范围；有关可接受风险的指导；谁负责管理风险；协助风险管理负责人的可行的支援和专门知识；所要求的文档程度；以及评审机构方针执行情况的计划。B3 步骤3 ：方针的信息交流发展、建立和实施一种基础结构或方案，以确保风险管理成为机构计划、管理过程和总的文化的一个组成部分。这可以包括：建立一个由高级管理人员参加，负责就方针进行内部信息交流的小组；提高对管理风险的意识；在整个机构内，就风险的管理和机构的方针进行信息交流和对话；获取风险管理的技能(如咨询），和通过教育和培训来提高全体职员的技能；确定合适的重视、奖励和处罚标准；以及建立绩效管理程序。B4 步骤4 ：机构这一层次的风险管理通过运用第2章所描述的风险管理体系，发展和建立一个计划去管理机构这一层次的风险。管理风险的程序应与机构的战略规划和管理的程序相结合。这包括形成下述文件：机构和风险管理的环境；经鉴定的，机构的风险；对这些风险的分析和评价；处理策略；评审计划的机构；以及增强意识、获取技能、培训和教育的策略。B5 步骤5 :计划、项目和小组这一层次的风险管理通过运用第4章中所描述的风险管理程序，发展和建立一个计划去管理各分机构领域、计划、项目或小组活动的风险。管理风险的程序应与其他规划和管理活动相结合。所遵照的程序，所作出的决定和所策划的措施，均应形成文件。B6 步骤 6：监控和评审发展和运用各种机制确保对风险进行持续的评审。这将确保风险管理的实施与方针保持恰当和贴切。由于情况总是在变化，评审先前的决定是极为重要的。风险并不是静止不变的。也应监控和评审风险管理过程的效果。C (风险)承担者(提示附录）(风险)承担者是那些受到或认为他们会受到某一决定或活动影响的个人。他们可包括：机构内的个人，如雇员、管理人员、高级管理人员和志愿人员；决策者；业务或商业上的相应方；雇员团体；工会团体；金融机构；保险机构；对活动可行使职权的管理机构或其他政府机构；可能具有选举或官职利益的（各级政府）政治家；非政府机构如环境团体和公共利益团体；顾客；该类活动的供应商、服务商和承包商；作为潜在承担者和将信息传递到其他承担者的媒体；对与建议相关的问题感兴趣的个人或团体；地方团体；以及整个社会。随着时间的过去，承担者的成分可能会变化。新的承担者会加入并希望被包括在任何需考虑的事项中，而其他一些人可能不再卷入这一过程而离去。因此，对承担者的分析过程应该持续不断，同样，它应是风险管理过程整体的一部分。因承担者的需要和关注已得到表达，或因新的信息产生新的需要、问题或关注，承担者关注的程度会随着新的信息而变化。还应注意的是不同的承担者，对一个特定的问题会有不同的看法和不同程度的认识。D风险的一般来源和它们的影响范围(提示附录）D1 概述对风险来源和影响范围的鉴定，可为风险的鉴定和分析提供一个架构。由于潜在着许多的来源和影响，制订通用清单时，焦点集中在风险鉴定活动上，有助于对它进行较为有效的管理。一般的风险来源及其影响范围（见4.1.4和4.2.2 )，可根据它们与所研究活动的关联性来选择。每一范畴的各组成部分，可构成对风险进行透彻研究的基础。D2 风险来源每个一般来源都有许多组成部分，任何一个组成部分都会引起风险。有些组成部分将在进行研究的机构的控制之下，而另一些则不在它的控制下。在鉴定风险时，对这两种成分都要作考虑。一般风险来源包括：a）. 商业和法律关系 机构与其他机构之间，如供应商、承包商，租赁人。b）. 经济环境 机构、国家、国际的经济环境，以及造成这些环境的因素，如汇率。c）. 人类行为 与机构有关和无关的那些人的行为。d）. 自然事件e）. 政治环境 包括立法的变化以及可影响其他风险来源的因素。f）. 科技和技术问题 机构内部和外部的科技和技术问题。g）. 管理活动和控制h）. 个人活动D3 影响范围风险分析可集中在一个影响的范围或集中在几个可能的影响范围。影响范围包括：a）. 资产和资源基础 机构的资产和资源基础，包括人员。b）. 收入和权利c）. 成本 直接和间接活动的成本。d）. 人员e）. 社区f）. 绩效g）. 活动的时间安排和进度h）. 环境i）. 无形因素 如声誉、信誉、生活质量。j）. 机构行为D4 风险鉴定利用表D1中所示的那种风险鉴定样板，是总结机构中风险发生方式的一种方法。可采用表示风险在何处发生的勾号或用较详细的叙述性注释来进行登录。D5 风险的其他分类法不同的学科往往采用其他的手段对风险的来源加以分类，采用诸如危险或风险暴露等术语。这些分类可以是前述D2中所列风险来源的子集。举例如下：a）. 疾病 例如影响人、动物和植物的疾病。b）. 经济的 例如币值波动、利率、股市。c）. 环境的 例如噪音、沾污、污染。d）. 金融的 例如合同风险、盗用资金、欺诈、罚款。e）. 人为的 例如骚乱、罢工、怠工、过失。f）. 自然灾害例如气候条件、地震、林区大火、虫灾、火山活动。g）. 职业保健和安全 例如不足够的安全措施、低劣的安全管理。h）. 产品责任 例如设计误差、质量控制不合规格、测试不充分。i）. 职业责任 例如错