ISO FDIS31000风险管理最终发布版中文翻译稿8609646694.doc

INTERNATIONAL STANDARD ISO/FDIS31000Risk management Principles and guidelinesForeword前言国际标准化组织（ISO）是各国标准化团体（ISO成员团体）组成的世界性的联合。制定国际标准工作通常由ISO的技术委员会完成。个成员团体若对某技术委员会确定的项目感兴趣，均由权参加该委员会的工作。与ISO保持联系的各国际组织（官方的或非官方的）也可参加有关工作。ISO与国际电工委员会（IEC）在电工技术标准化方面保持密切合作的关系。国际标准是根据ISO/IEC导则第2部分的规则起草的。由技术委员会通过的国际标准草案提交各成员团体投票表决，需取得了至少3/4参加表决的成员团体的同意，国际标准草案才能作为国际标准证实发布。本标准中的某些内容有可能涉及一些专利权问题，这一点应引起注意，ISO不负责识别任何这样的专利权问题。ISO 31000由ISO技术管理委员会风险管理工作组编写。所有类型和规模的组织都面临内部和外部因素的影响，使得它不能确定是否及何时实现其目标。这种对一个组织的目标影响的不确定性既是“风险”。一个组织的所有活动都涉及风险。组织通过识别、分析、评价风险以及处理风险，以满足他们的风险标准。在这个过程中，他们与利益相关者沟通协商，监测和审查风险控制，并不断的修正风险，以确保风险处理不再是必需的。本标准详细描述了这一系统的和符合逻辑的过程。尽管所有的组织在某种程度上都在管理风险，本标准规定了一些原则，以使风险管理变得有效。本标准建议，组织制定，实施和不断完善的框架，其目的是将风险管理纳入到组织的治理，战略和规划，管理，报告程序，政策，价值观和文化等综合管理的整个过程。风险管理可以应用到整个组织，它的许多领域和层次，在任何时间，以及具体职能，项目和活动。尽管在过去这段时间内的许多部门，以满足不同的需要的风险管理的做法是成熟的，但是通过采用一致性流程的综合框架有助于确保风险管理的有效性，并且有效和连贯整个组织。在本标准规定的一般性的原则和方针，目的在于在任何的环境和背景下，系统的、清晰的、可靠的方式管理风险。每一个具体部门或风险管理的应用都产生了独自的需要，受众，观念和标准。因此，这一国际标准的主要特点是将风险管理“环境建设”列入其管理过程的开始活动。环境建设方面将捕获该组织的目标，它所追求目标的环境，它的利益相关者和风险标准的多样性，所有这些都将帮助揭示和评估风险的性质和复杂性。本标准描述了风险管理的原则、框架、风险管理的流程之间的关系，如图1所示。当按照这一国际标准实施和维护时，风险的管理者需使一个组织加强，例如： 增加实现目标的可能性鼓励主动性管理; 在组织中，意识到识别和对待风险的需要;提高的机会和威胁识别能力 符合有关法律及监管要求和国际规范 改进财务报告 改善治理提高利益相关者的信心和信任建立决策和规划提供可靠的根基加强控制有效地分配和使用资源处理风险提高运营的效果和效率加强健康和安全业绩，以及环境的保护;改善防损和事件管理减少损失提高组织的学习能力 提高组织的应变能力本标准是为了满足广大利益相关者需要，包括：a）开发者对其机构内的风险管理政策负责;b）有人对组织作为一个整体、或者某一特定范围、项目或者活动的风险管理的有效性负责;c）有人需要对风险管理评估的有效性负责; d）标准，指南，程序和守则的开发者，应该对在特定的环境下风险管理整体的或部分的文件得以实施负责；目前许多组织的管理实践和流程包括风险管理的组成部分，并且许多组织对特殊类型的风险或环境下已经采用了正式的风险管理流程。在这种情况下，组织可以在本标准下开展对其现有的做法和程序严格审查。在本国际标准中，“风险管理”和“管理风险”同时使用。一般来说，“风险管理”是指管理风险的有效性架构（原则，框架和流程），而“管理风险”是指运用该架构管理特定风险。Risk management Principles and guidelines风险管理-原则和指导方针1 Scope范围本标准提供了风险管理的原则和一般准则。本标准可用于任何公共，私人或社区组织，协会，团体或个体。因此，这个国际标准是不针对特殊行业或部门。为方便起见，本国际标准提到的所有不同的用户通用术语为“组织”。本标准可用于整个组织生活及各种活动，包括战略和决策，运营，流程，职能，范围广泛的项目，产品，服务和资产。本标准可以适用于任何类型的风险，无论其性质是否有积极或消极的后果。尽管本国际标准提供了风险管理的一般准则，但不是为了促进各组织风险管理的统一性。设计和风险管理计划和框架的实施需要考虑到特定组织的不同需要，具体做法受其特定的目标，环境，结构，业务，流程，功能，项目，产品，服务或资产等影响。本国际标准目的是用来协调风险管理与现有的和未来的标准之间的流程。它提供了一个支持处理特定风险和/或部分风险的通用方法，而不是取代这些标准。本标准不适合认证目的。 2 Terms and definitions术语和定义下列术语和定义适用本文件。2.1risk 风险:不确定性对目标的影响注1：影响是与预期的偏差积极和/或消极注2：目标可以有不同方面（如财务，健康和安全，以及环境目标），可以体现在不同的层次（如战略，组织范围，项目，产品和流程）。注3：风险通常被描述为潜在事件（2.19）和后果（2.20），或它们的组合。注4：风险往往表达了对事件后果（包括环境的变化）和相关的可能性概率（2.21）。2.2risk management风险管理一个组织对风险的指挥和控制的一系列协调活动2.3risk management framework风险管理框架组织对风险管理的设计、实施、监控、检查和持续改进等进行的一系列基础的组织安排2.1).基础包括管理风险的政策、目标、任务和承诺组织安排包括计划、关系、职责、资源、流程和活动2.4risk management policy风险管理政策(2.2) 一个组织对风险管理的意图和指导方向的陈述2.5risk attitude风险态度(2.1)组织评估、追求、保留、采取或避开风险的处理手段2.6risk appetite风险偏好一个组织追求、保留或采取风险的数量和类型2.7risk aversion风险规避 (2.1)避开风险的态度2.8risk management plan风险管理计划(2.1)为风险管理框架方案指定方法、管理措施、资源以用于管理风险管理措施一般包括程序、做法、职责分配、序列和及时的行动风险管理计划适用于特定的产品、流程和项目、部分或整个组织 2.9risk owner风险所有者 (2.1)对风险管理持有权力和责任的个人或实体2.10risk management process风险管理流程系统的应用管理政策，程序和沟通协商，在建立的风险管理环境下，识别，分析，评价，处理，监测和审查风险2.11establishing the context环境建设界定风险管理应该考虑的外部和内部参数，并设置风险管理政策的范围和风险的标准2.12 external context外部环境外部环境包括文化、社会、政治、法律、监管、财政金融、技术、经济、自然和竞争环境，无论是国际，国家，区域或地方影响该组织的主要驱动和趋势与外部利益相关者之间的关系和价值观2.13internal context内部环境内部环境包括治理、组织结构、角色和责任政策、目标、实现目标的战略能力、资源和知识（如资本、时间、人、流程、系统和技术）内部利益相关者的价值观信息系统、信息流和（正式的和非正式的）决策流程内部利益相关者价值观之间的关系组织文化标准、指引和组织采用的模式合同关系的形成和范围2.14communication and consultation沟通和协商一个组织提供，共享或获取信息，与利益相关者和其他风险管理者持续和反复对话的流程信息涉及存在、性质、形式、可能性、严重程度、评价、可接受性、处理或者其他与管理风险相关的方面协商是一个组织与它的利益相关者或其他利益相关者双向沟通的过程，目的在于就以问题提前做出决策或就某一问题决定方向。协商是：通过影响而非权力影响决策的过程加入决策而非共同决策2.15stakeholder利益相关者可以影响、被影响或者觉得自己会被决策或者活动影响的个人或组织决策者可以是利益相关者2.16risk assessment风险评估风险识别，风险分析和风险评价的整个过程 2.17risk identification风险识别 (2.1)发现、识别、描述风险的过程风险识别包括风险源的识别、风险事件的识别、风险原因及潜在后果的识别风险识别涉及历史数据、技术分析、知情人、专家和利益相关者的意见2.18risk source风险源单独或联合具有内在的潜在引起危险的因素.一个风险源可以是有形的或者无形的2.19event事件特别环境的产生或者变化一个事件可能是一个或多个事情组成，并且会有多种原因一个事件可能有一些不会发生一个事件有时被称为“偶然事件”或“事故”.一个不会产生后果的事件可以被称为“近乎为零”、“偶然事件”、2.20consequence后果事件对目标的影响结果一个事件可能产生一些列的后果后果可能对目标是确定或非确定的、积极或消极的后果可能是质量上的，也可能是数量上的初步的后果可能升级，产生连锁效应2.21likelihood可能性某事发生的机会在风险管理术语中，“可能性”是指事情发生的机会，不论是界定，衡量或客观或主观的确定，定性或定量、一般的或精确的描述（如在一定时期内事情发生的几率和频率）N英文“可能性”在有些语言中没有直接对应，而同义词“概率”经常被使用。然而，在英语中，“概率”通常被狭义解释为数学术语。因此，在风险管理术语中，“可能性”，被富有同非英语国家的“概率”同样的广义解释。2.22risk profile风险描述 (2.1)每一种风险的描述该风险是指那些可与整个组织、组织的部分或者其他特定部分向关联的风险2.23risk analysis风险分析充分理解风险的性质和确定风险等级的过程 (2.27).风险分析是风险评价和风险处理决策的基础风险分析包括风险判断2.24risk criteria风险标准对风险评价具有重要意义的条款 (2.13).风险标准建立以组织目标、外部及内部环境为基础风险标准可以从标准、法律、政策和其他要求中产生2.25level of risk风险等级(2.21)风险的重要度，所风险组合所产生的后果和其可能性2.26 risk evaluation风险评价对比风险分析和风险标准的过程，以决定风险及其级数是否能够接受和容忍风险评价帮助风险处理决策2.27risk treatment风险处理 (2.1)修正风险的流程风险处理包括：通过避开或停止可以产生风险的活动避免风险为了追求机遇采取或增加风险 (2.18);消除风险源 2.21);改变可能性 (2.20);改变后果与其他团体风险共担（包括合同、风险融资） 通过知情维持风险对消极后果的风险处理可以归为“风险缓和”、“风险消除”、“风险预防”和“风险减小”风险处理可能产生新的风险或修正已存在的风险2.28control控制(2.1)修正风险的措施控制包括任何流程、政策、策略、时间或其他修正风险的行动控制可能不总是符合产生预期或假定的修正效果2.29residual risk剩余风险(2.27)通过风险处理后仍然存在的风险.剩余的风险包括未识别的风险.剩余风险也可以成为风险残留2.30monitoring监控不断检查，监督，审慎地观察或明确现状，以确保识别与要求的或预期的绩效的变化情况 (2.28).监控适用于风险管理框架、风险管理流程、风险和控制2.31review检查采取适当、足够、有效的活动以保障已设目标的达成检查适用于风险管理框架、风险管理流程、风险和控制3 Principles原则为了确保风险管理富有成效，组织的各个层面应该遵循以下原则。a) Risk management creates and protects value.风险管理创造并保护价值风险管理有助于目标达成和绩效的明显改善，例如，人类健康和安全，保安，法律和法规遵从性，公众接受性，环保，产品质量，项目管理，运营效率，治理和声誉。b) Risk management is an integral part of all organizational processes.风险管理是整个组织流程的组成部分风险管理不是一个从组织的主要活动和流程中分开的孤立活动。风险管理是管理的一部分，是组织流程如战略规划、所有项目、变更管理流程的组成部分，包括。c) Risk management is part of decision making.风险管理是决策的一部分风险管理可以帮助决策者作出明智的选择，优先行动和区分备选行动方针。d) Risk management explicitly addresses uncertainty.明确风险管理涉及的不确定性风险管理明确的考虑到不确定性及这种不确定性的性质，以及如何加以解决。e) Risk management is systematic, structured and timely.风险管理是系统的，有组织和及时的有系统的，及时的和结构性的风险管理方法有助于提高效率和连贯一致的，可衡量的和可靠的结果。f) Risk management is based on the best available information.风险管理是基于适当的有效信息风险管理流程的输入基于信息资源，如历史数据，经验，利益相关者的反馈，观察，预测和专家判断。然而，决策者应该了解并应考虑到，数据或模型的局限性以及专家之家分歧的可能性。g) Risk management is tailored.风险管理是定制的风险管理与该组织的外部和内部环境及风险状况是相匹配的。h) Risk management takes human and cultural factors into account.风险管理考虑到人类和文化因素风险管理意识到可以促进或阻碍组织目标的实现的内部和外部人的能力，观念和意图。i) Risk management is transparent and inclusive.风险管理是透明的和包容的及时的、适当的吸收利益相关者，尤其是组织各层面的决策者参与风险管理，确保风险管理是相关的和跟得上形式的。参与过程允许利益相关者提出异议，并将其意见考虑到风险标准的决定过程之中。j) Risk management is dynamic, iterative and responsive to change.风险管理是动态的，迭代的和适应环境变迁由于外部和内部事情的发生时，环境和知识在改变，监测和审查过程中，新的风险出现，一些风险在改变，而另一些风险消失了。因此，风险管理需要持续的意识和不断响应以应对变化。k) Risk management facilitates continual improvement of the organization.风险管理有利于组织的持续改进组织应制订和实施战略，以改善组织各个方面的风险管理的成熟。附件A提供了组织希望更有效的管理风险的进一步意见。4 Framework框架4.1 General概述风险管理的成功取决于管理框架的有效性，这个框架提供基础和安排并使其嵌入到组织的各个层级。该框架通过风险管理流程（见第5款）在不同层级在组织特定环境的实施，确保管理风险的有效性。该框架确保在流程中派生出来的风险信息得以适当的报告，并将其用来做出决策和使组织相关层级保持职责相关。本条款描述了框架中风险管理的各组成部分，及其相互联系，如图2所示。风险管理框架中各组成部分的关系本框架并非规定一个管理系统，目的在于协助组织将风险管理与其整个管理系统相整合。因此，组织可以采用框架适当的部分以适应其特殊的需要。如果一个组织的现有管理方法和程序包括风险管理的组成部分，或者该组织针对特殊类型的风险和环境采用了正式的风险管理流程，那么，这些措施应严格审查，并参照这一国际标准，包括附件A中的内容进行评估，以确保其充分性和有效性。4.2 Mandate and commitment任务和承诺风险管理的引进和确保其持续有效都需要组织的管理层强有力的、持续的承诺，以及严格的战略规划，实现组织各级成员的认同感。管理层应该：制定风险管理政策确保组织文化和风险管理政策相一致确保使风险管理绩效指标与组织绩效指标相一致使风险管理目标与组织目标和战略相一致确保与法律法规相一致确保为风险管理分配必要的资源协调风险管理利益相关者之间的利益确保风险管理框架稳步进行。4.3 Design of framework for managing risk风险管理框架的设计4.3.1理解组织及组织的环境在开始设计和实施风险管理框架之前，评价和了解组织的外部和内部环境是非常重要的，因为这可以显显著影响框架的设计。评价组织的外部环境包括但不限于：a)社会和文化、法律、监管，财政，技术，经济，自然和竞争环境，无论是国际，国家，区域或地方;b)影响组织目标的主要驱动因素和趋势c)与组织有相关观念和价值的外部利益相关者评价组织的内部环境包括但不限于：治理、组织结构、角色和责任可以实现这些目标的政策、目标和战略措施能力，资源和知识方面的理解（如资本、时间、人力、流程、系统和技术）信息系统、信息流和决策流程（包括正式和非正式）关系、观念、内部利益相关者和组织文化标准、指导方针、组织采用的模型合同关系的形式和程度4.3.2 Establishing risk management policy建立风险管理政策风险管理政策应该清晰的阐述组织的目标和承诺，通常阐述以下：组织风险管理的基本原理关联组织目标和政策与风险管理政策风险管理的职责和义务利益冲突的处理方法对风险管理执行者提供必需的资源承诺风险管理绩效测量和报告的方式承诺定期检讨和改善风险管理政策和框架，并对环境的变化作出响应风险管理政策应当适当的沟通传达。4.3.3 Accountability职责组织应确保有责任，权力和适当的能力来实施风险管理，包括实施和维护的风险管理程序，确保充分性，确保任何控制的妥善、效率和效果。这可以通过：识别风险拥有者，并赋予其职责和权力管理风险识别对风险管理框架的开发、实施和维护富有责任的人识别组织的各个层级对风险管理流程富有其他责任的人建立绩效测量、外部和/或内部报告及升级流程确保对风险管理有一定的认知4.3.4 Integration into organizational processes融入组织流程风险管理应以相关、效率、效果等方式嵌入组织的各个活动和流程之中。风险管理流程应该成为部分而非独立于组织的流程。尤其，风险管理应植入组织的政策发展、业务和战略规划和回顾，及流程变更。应该有一个组织范围内的风险管理计划，以确保风险管理政策的执行和风险管理被嵌入该组织的实践和流程之中。风险管理计划，可以集成到其他组织计划，如战略计划。4.3.5 Resources资源组织应为风险管理分配适当的资源，应该考虑以下方面：人力、技能、经验和能力保障每个风险管理流程的步骤所需资源组织的风险流程、方法和工具用于管理风险流程和程序文件化信息和知识管理系统培训4.3.6 Establishing internal communication and reporting mechanisms建立内部沟通与报告机制阻止应该建立内部沟通和报告机制以支持和激励风险的责任和所有权，这些机制应该保证：风险管理框架的组成部分的确定及随后的修正应适当的沟通框架的有效性和产出应做出适当的内部报告组织适当的层级及时了解风险管理实施中的相关信息与内部有利益相关者协商的流程这些机制应包括一些流程，以巩固从各种方面来风险信息适当的考虑到敏感性。4.3.7 Establishing external communication and reporting mechanisms建立外部沟通和报告机制组织应该设计和实施如何与外部利益相关者沟通的计划，包括： 鼓励适当的外部利益相关者参与，并确保有效的信息交流外部报告应该合法、合规，符合公司治理的需要提供沟通和协商的反馈机制运用沟通建立组织的信息在发生危机和紧急事件时，和利益相关者相沟通这些机制应包括一些流程，以巩固从各种方面来风险信息适当的考虑到敏感性。4.4 Implementing risk management风险管理的实施4.4.1风险管理框架的实施在实施风险管理框架过程中，组织应该： 确定实施该框架的适当时机和策略运用风险管理政策和程序于组织程序符合法律法规的需要确保决策，包括制定和确定目标与风险管理流程的输出相一致举办信息和培训课程 与利益相关者沟通和协商，以确保其风险管理框架仍然适用4.4.2 Implementing the risk management process风险管理流程的实施风险管理的实施，应该确保条款5中规定的风险管理流程要点通过风险管理计划，并做为组织的活动和流程的组成部分贯穿于组织的相关层面和功能。4.5 Monitoring and review of the framework框架的监控和检查为确保风险管理的有效性并且持续支撑组织的绩效，组织应该：衡量风险管理绩效与指标之间的差异，并开展定期检查定期衡量进展与风险管理计划之间的偏差结合组织的内外部环境，对风险管理框架、政策和计划的合理性进行定期检查和回顾对风险管理中的风险和进展进行报告，以及它们是如何与风险管理政策相一致的检查风险管理框架的有效性4.6 Continual improvement of the framework框架的持续改进根据监测和检查结果，决定应如何改善风险管理框架，政策和计划。这些决定将提升该组织的风险管理和风险管理文化。5 Process流程5.1 General概述管理的一个组成部分植入组织的文化和实践根据组织的业务流程定制它包括5.2-5.6所描述的活动，风险管理流程如图3所示。Figure 3 Risk management process5.2 Communication and consultation沟通和协商与内外部利益相关者的沟通和协商贯穿于风险管理的每个阶段。因此，沟通和协商的计划应该提前制定。其内容应该包括风险本身、风险成因，风险后果（如果可以预料）和对待风险的措施。开展有效的内外部沟通和协商，可以确保风险管理流程实施流程的责任明确、利益相关者理解决策制定的基础和为什么需要采取特殊行动的原因。一个协商工作组的方法可以有助于建立适合的环境确保利益相关者的利益可以被理解和被考虑有助于风险的有效识别将不同领域的专业知识融入风险分析在风险标准的制定和风险评价过程中，确保不同的意见都给与适当的考虑提高风处理计划的赞同和支持期间加强风险管理流程适当的变更管理； 制定适当的外部和内部沟通和协商计划与利益相关者的沟通和协商是重要的，因为他们可以根据自己对风险的理解对风险作出判断。这些理解因利益相关者价值观、需求、假设和关注点的不同而不同。由于他们的观点可能对决策产生重大影响，所以在决策制定过程中，应该注意识别、记录和考虑利益相关者的观点。沟通和协商的信息交流过程中应保持真实、相关、准确和可理解，同事也要考虑到保密和人格方面。5.3 Establishing the context环境的建立5.3.1 General概述通过环境建设，组织明确了目标、并将内外部因素考虑考风险管理之中，另外也为风险管理流程设定了范围和风险标准。虽然这些参数很多与风险管理框架的参数相类似，但当风险管理流程环境时，它们需要更进一步的被考虑，尤其是如何与特定的风险管理流程的范围内相关联。5.3.2 Establishing the external context外部环境的建立外部环境是组织为了组织目标能够实现所面临的外部情况。理解外部环境的重要性在于确保风险标准制定过程中外部利益相关者的目标和关注点被给予考虑。它不仅是根据特定法律和监管的要求，更是基于全组织范围的环境，利益相关者的看法以及其对风险管理流程特定范围的一些细节都应给与考虑。外部环境包括但不限于社会和文化、政治、法律、监管、金融、技术、经济、自然环境和竞争环境，无论是国际，国家，区域或地方影响组织目标的主要驱动和趋势与外部利益相关者的价值观的关系5.3.3 Establishing the internal context内部环境的建立风险管理流程应该与组织的文化、流程、组织结构和战略相匹配。内部环境是组织可以影响风险管理方式的任何事情。内部环境应该建立，因为a)风险管理产生与组织目标的环境中b)一个特定项目、流程和活动的目标和标准应该以组织目标为整体得以考虑；c)一些组织错失了实现其战略，项目或业务目标的机会，这影响到正在进行的组织承诺，信誉，信任和价值。理解内部环境是非常有必要的，他们包括但不限于：治理、组织结构、角色和责任政策、目标、实现这些目标的战略能力、资源和知识（如资本、时间、人、流程、系统和技术）内部利益相关者的价值观与组织文化之间的关系信息系统、信息流和（正式的和非正式的）决策流程标准、指引和组织采用的模式合同关系的形成和范围5.3.4 Establishing the context of the risk management process风险管理流程环境的建立组织的目标、战略、活动的范围和因素，或者其他部分，都应该建立风险管理流程。风险管理实施过程中应该充分的考虑需求因素确保风险管理。所需资源，责任和权力，保存记录也应指定。随着组织需求的变化，风险管理流程的环境也随之变化，它包含但不局限于：识别风险管理活动的目标界定风险管理流程中的责任界定风险管理活动的范围、深度和广度、内涵和外延及时准确的识别活动、流程、功能、项目、产品、服务和资产界定组织的特定项目，流程或活动和其他项目，流程或活动的关系确定风险评估方法界定风险管理评估的方式和有效性识别和判定不得不做出的决定组织需要识别，确定范围和框架的研究，同时应该提供研究的范围和目标，所需的资源注意，这些及其他相关因素应该确保所采取的风险管理方法在环境、组织和风险方面都会影响风险管理目标的完成。5.3.5 Defining risk criteria定义风险标准组织应该定义风险的标准，以便用于评价风险的意义。标准应该反映组织的价值、目标和资源。一些标准来自法律和监管的要求，一些则来自组织对它的要求。风险标准在制定风险管理流程并持续检查的过程中应与组织风险管理政策保持一致。定义风险标准应考虑以下因素可能发生的原因和后果的本质和类型以及如何来衡量可能性的定义可能性和/或后果的时间表风险等级的确定利益相关者的见解哪些风险等级是可接受的或可容忍的是否考虑风险组合，如果有，如何以及那些组合应该考虑5.4 Risk assessment风险评估5.4.1 General概述风险评估是风险识别、风险分析和风险评价的全部过程。5.4.2 Risk identification风险识别组织应识别风险源、影响的区域、事件（包括环境的变化）和其所产生的原因及潜在的后果。它的目标在这些时间的基础上建立完整的风险清单以建立，加强，预防，降低，加速或延缓目标的实现。重要的是要查明不追求机会的风险。综合识别非常重要，因为一个在此阶段没有界定的风险在下一步分析中同样不会出现。Id尽管风险来源或原因可能并不明显，但识别应包括风险源是否在组织的控制范围内。风险识别应包括撞击影响检验，包括级联效应和累积效应的影响。同事也应该考虑即使尽管风险来源或原因可能并不明显情况下产生跟广度的影响。以及查明可能发生的事情，有必要考虑可能的原因和情况，显示可能会发生什么后果。所有重要的原因和后果应该加以考虑。考虑可能的原因和情况时，显示可能会发生什么后果是非常必要的。所有重要的原因和后果都应该加以考虑。组织应采用风险识别工具和技术以满足其目标、能力和风险面对的需要。在进行风险识别时，相关的和最新的信息显得异常的重要。其包括在可能的情况下的适当的背景资料。适当常识的人应该参与风险识别。5.4.3 Risk analysis风险分析风险分析包括建立一个对风险的认识。不管风险是否需要处理、是否需要一个适当的风险处理战略和方法，风险分析都是作为风险评价和风险决策的输入条件。不管在不同类型和等级的风险需要进行选择，分析分析同样是决策过程的输入条件。风险分析涉及对风险成因和风险源、积极和消极的后果，后果发生的可能性的考虑。影响后果和可能性的因素应该识别出来。通过确定后果、可能性以及风险的其他属性，风险得以分析。一个事件可以有多个后果，可能会影响多个目标。现行的管制和他们的效果和效率也应考虑。风险的类型，现有的信息和风险评估的目的应该反映风险的后果和可能性的表达的方式和他们的组合所产生的风险等级。这些都应符合风险标准。考虑不同的风险及其来源的相互依存同样重要。在风险分析中，应该建立对风险等级、事前假设的风险敏感性和裕决策者及利益相关者沟通效率的信心。诸如专家意见的分歧、不确定性、可获得性、质量、数量和正在进行的相关信息或模型的局限性等因素，都应该给予突出。根据风险的特点、分析的目的、信息、数据和可用的资源，风险分析可以采取不同的详细程度。分析可以定性，半定量或定量，或它们的组合，视情况而定。后果及其可能性可以通过模拟一个或一系列事件的结果，或由实验研究或可用数据推断确定。后果表现在有形和无形的影响。在某些情况下，一个以上的数值或描述，必须指定其对不同时间、可能性，地点，团体或环境特定后果。5.4.4 Risk evaluation风险评价风险评价的目的是在风险分析输出的基础上支持哪些风险需要处理和处理实施的优先权的决策的制定。风险评价包括在一定的背景下，运用已建立的风险标准的风险分析过程中对比风险的等级。在对比的基础上，考虑风险处理需要。决策应该考虑风险更大范围内的环境和除了组织外的其他团体对风险的容忍性。决策硬挨符合法律法规和其他的需要。在某些情况下，风险评价可能导致决定进行进一步的分析。风险评价也可能导致对风险不采取任何处理而不是持有存在风险的决定。这些决定受组织的风险态度和已建立的风险标准影响。5.5 Risk treatment风险处理5.5.1 General概述风险处理包括选择或实施一项或多项措施修正风险：一旦实施，风险处理提供或者修正控制。风险处理包括一个循环的流程评估风险处理措施判定剩余风险是否是可容忍的如果不能容忍，制定一个新的风险处理措施.评价该风险处理措施的有效性风险处理措施并非在所有环境都是独一的或成熟的。这些措施包括以下：a)通过避免或停止会产生风险的活动避免风险b)为了需求机会持有或增加风险c)消除风险源d);改变可能性e)改变后果f)与其他团体进行风险共担（如合约和风险融资）g)通过知情决策保留风险5.5.2 Selection of risk treatment options选择风险处理方案选择最适当的风险处理措施包括在执行带来的利益和实施的成本之间进行平衡，符合法律法规及其他诸如社会责任和环境保护的需要。决策还应考虑到那些为在经济环境中充分认证但需采取风险处理措施的的风险，如会产生严重后果但发生可能性很小的风险。风险处理措施是单独实施还是组合实施，这些都需考虑到。组织通常可以从风险处理的组合实施中受益。但选择风险处理措施时，组织应该考虑到利益相关者的价值，并选择适当的方式与其进行沟通。风险处理措施在哪里可能影响其他的风险或者利益相关者，这些都应在决策中给以考虑。虽然同样有效，但有些风险处理措施比另一些更能让一些利益相关者接受。风险处理计划应明确确定个别风险处理措施实施的优先顺序。风险处理本身可能产生风险，一个重大的风险可能是失败的或风险处理措施不力的。监控应作为风险处理计划的一部分确保风险处理措施是仍然有效的。风险处理也可能产生需要加以评估，处理，监控和审查的二次风险。这些二次风险应做为原始风险而不是一个新的风险纳入相同的处理方案。两个风险之间的关系应该给予识别和维护。5.5.3 Preparing and implementing risk treatment plans编制和执行风险处理计划风险处理计划的目的是将如何选择风险处理措施以便实施。选择处理方案的理由，包括预期的效益谁对批准计划和实施计划富有责任提议的行动包括应急的资源需求;绩效测量和限制因素报告和监控要求时间和日程处理计划应该与组织的管理流程相集成，并与适当的利益相关者讨论。决策者和其他利益相关者在风险处理后应该了解剩余风险的性质和范围。剩余风险应该备有文件并得以监控、检查以便适当的采取进一步的处理。5.6 Monitoring and review监控和检查监控和检查，应该是对风险管理过程计划的一部分，包括定期检查或监视。可以定期或不定期。监控和检查的责任应该有清晰的界定。组织的监控和检查流程应包括风险管理流程的各个方面，其目的为：确保设计和运行中的控制是有效