二、风险管理术语和定义-CEPPT课件

1，术语和定义，1，第2章，1，2，不确定性对目标的影响注1:影响是对预期的偏离积极和/或消极注2:目标可以有不同的方面(如财务、健康和安全以及环境目标)，可以体现在不同的层面(如战略、组织范围、项目、产品和过程)。注3:风险通常用潜在事件和后果或其组合来描述。注4:风险通常表示为事件后果(包括环境变化)和发生可能性的组合。注5:不确定性是指对事件、其后果或可能性的知识或理解缺乏或不完整的状态。2，1。风险，2，3，2。后果：事件的后果。注1:一个事件可能有不止一个后果。注2:后果可能是积极的，也可能是消极的。然而，从安全角度来看，后果往往是负面的。注3:后果可以定性或定量表达。3.可能性：事情发生的可能性，3，4，4。概率：某事发生的概率。注1: GB/T 3358.1-1993给出了“概率”的数学定义。这是一个测量随机事件概率的实数。其值介于0和1之间。它可以用来指某一事件的发生频率或这一事件在很长一段时间内发生的可信度。对于高可信度，概率接近“1”。注2:在描述风险时，经常使用“频率”一词代替“概率”一词。注3:可能性的程度可以用不同的级别来表示：-极不可能/不太可能/可能/可能/几乎肯定；或者-难以置信/不可能/极不可能/偶尔/可能/经常。事件：特定事件的发生。注1:事件可能确定，也可能不确定。注2:事件可以是单个的或系列的。注3:一个事件在给定时间内发生的概率是可以估计的。某些事件是可以预测的，而不确定的事件是无法预测的，但它们也是可能的。事件可能是明显的或模糊的，其影响可能是积极的或消极的。5，6，指导和控制组织在风险相关问题上的协调活动。风险管理：风险管理，6，7，为设计、实施、监控、审查和持续改进组织内风险管理的基础和组织安排提供了一套要素。注1:基础包括管理风险的政策、目标、指示和承诺注2:组织安排包括计划、关系、责任、资源、流程和活动。注3:风险管理框架嵌入到组织的总体战略和运营政策及实践中。7，7。风险管理框架风险管理框架，7，8，由ISO 31000: 2009标准给出的风险管理框架，9、内部环境、信息沟通、监控、控制活动、风险响应、风险评估、事件识别、目标设定、战略、运营、报告、合规性、公司级别、部门、业务单位、子公司，COSO全面风险管理框架(三维图)，10，8。风险管理政策对组织风险管理的意图和方向的陈述。风险管理计划风险管理计划规定了风险管理框架内风险管理的方法、管理要素和资源。注1:管理要素通常包括程序、实践、责任分配、活动顺序和时间安排。注2:风险管理计划可以应用于特定的产品、过程和项目、组织的部分或整体。11，11，12，管理政策、程序和实践在沟通、谈判、环境澄清以及风险活动的识别、分析、评估、处理、监控和评估中的系统应用。12 12 10。风险管理流程，13。为风险管理组织信息的提供、共享或获取以及与利益相关方的对话的持续和迭代过程。注1:信息涉及风险管理的存在、性质、形式、可能性、严重性、评估、可接受性和处理。注2:谈判是一个组织和其利益相关者在做出决定或确定问题方向之前的双向事实沟通过程。谈判是：通过影响力而不是权力对决策施加影响；作为决策的输入，而不是加入决策。沟通和咨询，13，14，可以影响风险，任何个人，团体或组织，受风险影响或认为他们将受风险影响。注1:决策者也是利益相关者之一。注2:术语“利益相关者”包括GB/T19000-2008中定义的“利益相关者”。利益相关者利益相关者，14，15。组织的利益相关者可能包括1)组织的决策者；2)组织内负责制定风险管理政策的人员；3)在组织或活动中实施风险管理的人员；4)需要评估组织风险管理实践的人员；5)组织中负责制定风险管理标准、指南、程序和应用指南的人员；6)股东、董事会、高级管理人员、员工、债权人、供应商、客户、银行、监管机构、合作伙伴等。(见GB/T24353:2009前言)。风险感知：利益相关者根据他们的价值或利益看待风险的方式。注1:风险认知取决于利益相关者的需求、关注和知识。注2:风险认知可能不同于客观数据。风险认知反映了利益相关者的需求、问题、知识、信念和价值观。利益相关者有不同的需求和关注点，因此风险认知会有所不同。风险感知有一定的主观判断，可能与客观数据不同。16，17，定义管理风险和设定风险管理政策的范围和标准时需要考虑的外部和内部参数。definingtheexternalandinternalparametersestestobetakenintoaccountwhenmanagementrisk，and settingtheescopeandriskriteria(3.3.1.3)FortheritskManagementPolicy，17，14 .阐明环境建立内容，17，18，并评估风险严重性(程度)的基础。注：风险标准包括相关成本和收益、法律和监管要求、社会和环境因素、利益相关者态度、优先事项和评估过程中的其他因素。风险标准是组织用来评估风险重要性的标准。因此，风险标准应该反映组织的风险承受能力，反映组织的价值观、目标和资源。风险评估标准将涵盖各个方面，如成本和收益、法律法规、利益相关者态度等。风险标准还将直接或间接反映法律和监管要求或组织需要遵循的其他要求。准则也是组织决定接受风险的基础。风险标准：风险标准，18，19，包括风险识别、风险分析和风险评估的全过程。风险评估发现、列举和描述风险要素的风险评估过程20、17。风险识别风险识别，20，21。风险的结构化描述通常包括四个要素：来源、事件、因素和结果。风险描述，风险描述，21，22，导致个体或组合风险的内在可能性的因素。19.风险源(Source)风险源，22，23，具有风险管理权限和责任的个人或实体。23岁、24岁的风险所有人了解风险的性质以及确定风险程度的过程。注1:风险分析为风险评估和风险处理决策提供了基础。注2:风险分析包括风险估计。风险分析，24，25，将风险分析的结果与风险标准进行比较，以确定风险和/或其金额是否可接受或可容忍。注：风险评估有助于风险处理的决策。风险评估，25，26，一个组织愿意追求或保留的风险的数量和类型。GB/T24353:20095.6.1中提到的“COSO”一词指出，风险偏好是企业在追求目标和指导资源配置时愿意接受风险的程度。风险偏好，26，27，决定接受某种风险。注：风险容忍度取决于风险标准。任何规模和类型的组织都面临风险，组织的所有活动都涉及风险。只有组织应该通过确定风险标准来决定是否接受某种风险。不同的组织有不同的价值观和能力，所以他们是否能接受一定的风险将有不同的决定，这将基于风险标准的要求。风险接受，27，28，注释1:风险处理可能包括：通过决定不开始或停止产生风险的活动来避免风险。在追求机遇的过程中承担或增加风险。消除风险来源。变化的可能性。变更的后果。与其他方分担风险(包括合同和风险融资)。通过事实决策保留风险。修正风险的过程，28，25。风险处理风险处理，28，29，注释2:针对负面后果的风险处理有时可称为“风险缓解”、“风险消除”、“风险预防”和“风险降低”。注3:风险处理可以产生新的风险或纠正现有的风险。风险管理，决定不陷入风险或退出风险。注：该决定可能基于风险评估结果。风险评估后，风险管理者会发现某些风险存在很大的损失可能性，或者一旦风险发生且损失程度非常严重，他可以主动放弃原有风险或完全拒绝承担风险，从而规避风险。规避风险是一种积极的行为，但是放弃风险也意味着利益的损失。风险规避：风险规避，30，31为实施风险处理和其他相关活动的成本提供资金的活动。注：在某些行业，风险融资是指为风险造成的财务后果提供资金。在风险处理过程中(风险规避、风险优化、风险转移和风险保留)，组织需要支付一定的费用来管理风险或弥补损失，因此会使用各种方式来筹措资金。融资是为风险管理筹集资金，也是对风险的财务补偿机制。风险估计和风险评估是融资的主要数据库。风险融资33，360 :风险融资31，32接受特定风险的损失或收益。注1:风险保留包括接受尚未确定的风险。注2:风险保留不包括通过保险或其他方法处理风险转移。注3:接受风险的程度和对风险标准的依赖程度可能会改变。风险保留：风险保留32，33，持续检查、监督、严格观察或