风险管理术语和定义

术语和定义1第二章11

不确定性对目标的影响

注1：影响是与期待的偏差——积极和/或消极注2：目标可以有不同方面（如财务、健康安全、以及环境目标），可以体现在不同的层次（如战略、组织范围、项目、产品和过程）。注3：风险通常以潜在事件和后果，或它们的组合来描述。注4：风险通常以事件（包括环境的变化）后果和发生可能性的组合来表达。注5：不确定性是指，对事件、其后果或可能性的认识或了解方面的信息的缺乏或不完整的状态。

21.风险risk222.后果：consequence某一事件的结果。注1：某一事件可能会产生不止一种的后果。注2：后果可以是正面的负面的。然而，从安全方面来看，后果往往都是负面的。注3：后果可以定性或定量表述。3.可能性：某一事发生的机会334.概率：probability某一事件发生的可能程度。注1：GB/T3358.1-1993给出了一个关于“概率”的数学定义，度量某一随机事件发生可能性大小的实数，其值介于0与1之间，它可以用来指在一段相当长的时间内，某一事件将要发生的频率，或者这一事件发生的可信程度。对于高可信度来说，概率接近“1”。注2：在描述风险时，常用“频率”一词而不是用“概率”一词。注3：有关可能性的程度可以用不同的等级来表示：------极不可能/不大可能/可能/很可能/几乎确定；或者------难以置信/不可能/可能性极小/偶尔/有可能/经常。44

5.事件：event特定情况的发生。注1：事件可能是确定的，也可能是不确定的。注2：事件可能是单一的，也可能是系列的。注3：对于给定时间内事件发生的概率可以估算出来确定的事件，是预知的，而不确定的事件，是没有预知的，但也是有可能发生的。事件可能是明显的，也可能是模糊的，其影响可能是正面的，也可能是负面的。55指导和控制某一组织与风险相关问题的协调活动。

66.风险管理：riskmanagement66提供在组织内设计、实施、监测、评审和持续改进风险管理的基础和组织安排的要素集合。注1：基础包括管理风险的方针、目标、指令和承诺注2：组织安排包括计划、关系、责任、资源、过程和活动。注3：风险管理框架被嵌入到组织的整个战略和运营的方针和实践中

77.风险管理框架

riskmanagementframework77指令和承诺风险管理框架的设计理解组织和其状况

建立风险管理方针责任嵌入组织的过程资源建立内部沟通和报告机制

建立外部沟通和报告机制框架的持续改进实施风险管理实施风险管理框架实施风险管理过程框架的监测和评审ISO31000：2009标准给出的风险管理框架8内部环境信息沟通监测控制活动风险应对风险评估事项识别目标设定战略经营报告合规公司层面科室业务单位子公司《COSO全面风险管理框架》（三维图）98.风险管理方针

riskmanagementpolicy

一个组织对风险管理的意图和方向的陈述。

1010109.风险管理计划riskmanagementplan

在风险管理框架内规定用于风险管理的方法、管理要素、资源的方案。注1：管理要素一般包括程序、惯例、职责分配、活动顺序和时间安排。注2：风险管理计划可应用于特定的产品、过程和项目、组织的部分或整体。

111111

管理方针、程序和惯例对沟通、协商、明确环境、以及识别、分析、评价、处理、监测和评审风险活动的系统应用。

121210.风险管理过程

riskmanagementprocess12

组织针对风险管理，提供、共享或获取信息，与利益相关者进行对话的持续和反复的过程。注1：信息涉及风险管理的存在、性质、形式、可能性、严重程度、评定、可接受性、处理。注2：协商是组织与它的利益相关方，在做出决策或确定某一问题的方向前，针对问题双向有事实依据的沟通的过程。协商是：——通过影响力而非权力对决策施加影响；——作为决策的输入，而非加入决策。

1311.沟通和协商

communicationandconsultation1313

可以影响风险、受到风险影响或自认为会受到风险影响的任何个人、团体或组织。注1：决策者也是利益相关者之一。注2：术语“利益相关者”包括GB/T19000-2008中定义的“相关方”。1412.利益相关者stakeholder1414组织的利益相关者可以包括

1）组织的决策者；2）组织内部负责制定风险管理政策的人员；3）组织或活动中实施风险管理的人员；4）需要对组织的风险管理实践进行评估的人员；5）组织中负责制定风险管理标准、指南、程序、应用准则的人员；6）股东、董事会、高级管理人员、员工、债权人、供应商、顾客、银行、监管机构、合作伙伴等.（见GB/T24353:2009前言部分）。15151513.风险感知：riskperception利益相关者根据其价值观或利害关系看待风险的方式。

注1：风险感知取决于利益相关者的需要、关注点及知识。注2：风险感知可能不同于客观数据。风险感知反映利益相关者的需求，问题、知识、信念和价值。利益相关者的需要及关注的问题不同，因而风险感知会有所不同。风险感知会存在一定的主观判断，因而可能与客观数据有不同。1616界定外部和内部参数，以便在管理风险和设置风险管理方针的范围及风险准则时，予以考虑。definingtheexternalandinternalparameterstobetakenintoaccountwhenmanagingrisk,andsettingthescopeandriskcriteria(3.3.1.3)fortheriskmanagementpolicy

1714.明确环境establishingthecontext1717

评价风险严重性（度）的依据。注：风险准则包括相关的成本及收益，法律法规要求，社会及环境因素，利益相关者的态度，优先次序和在评估过程中的其他要素。风险准则是组织用于评价风险重要度的标准，因此，风险准则需体现组织的风险承受度，并反映组织的价值观、目标和资源。风险评价准则会涉及到各个方面，如成本收益、法律法规、利益相关者态度等。风险准则也会直接或间接反映法律法规要求或其他需要组织遵循的要求。准则也是使组织对接受风险做出决定的依据。1815.风险准则：riskcriteria1818

包括风险识别、风险分析和风险评价在内的全部过程。

1916.风险评估riskassessment1919发现、列举和描述风险要素的过程

2017.风险识别riskidentification2020风险的结构化描述通常包含四要素：来源、事件、因素和结果。

18.风险描述，riskdescription2121导致风险的单独或组合的内在可能性的因素.lementwhichaloneorincombinationhastheintrinsicpotentialtogiverisetorisk

注：风险源可能是有形的或者是无形的。

19.风险源（来源）risk

source2222

具有风险管理权限和责任的个人或实体。

20.风险所有者riskowner2323

理解风险的性质和确定风险程度的过程。注1：风险分析为风险评价和风险处理决策提供了基础。注2：风险分析包括风险估测。

2421.风险分析riskanalysis2424

将风险分析的结果与风险准则进行比较，以确定风险和（或）其量是否可接受或可容许。注：风险评定有助于有关风险处理的决策。

2522.风险评价riskevaluation2525一个组织愿意追求或保留风险的数量和类型。GB/T24353:20095.6.1中提到这一词汇COSOⅡ指出：风险偏好是企业追求目标中愿意接受风险的程度指导企业的资源配置；2623.风险偏好,riskappetite2626

接受某一风险的决定。注：风险承受取决于风险准则。任何规模和类型的组织都面临风险，组织的所有活动都涉及风险。只是组织应通过确定风险准则，来决定对某一风险是否接受。组织的价值取向和能力不同，因而是否能接受某一风险会有不同的决定，这些决定会依据风险准则的要求。2724.风险承受riskacceptance2727

注1：风险处理可包括：——通过决定不启动或停止产生风险的活动而避免风险。——为了追求机会采取或增加风险。——消除风险源。——改变可能性。——改变后果。——与其他方面共同分担风险（包括合同、风险融资）。——通过有事实依据的决策保留风险。修正风险的过程2825.风险处理risktreatment2828注2：对消极后果的风险处理有时可以称为“风险减缓（riskmitigation）”、“风险消除（riskeliminate）”、“风险预防（riskprevention）”和“风险减小（riskreduction）”。注3：风险处理可以产生新的风险或修正已存在的风险。292925.风险处理risktreatment29

决定不陷入风险，或者从风险状态中撤离的行为。注：这个决定可能是以风险评价结果为依据的。在风险评价之后，风险管理者会发现某些风险发生损失的可能性很大，或者一旦发生且损失的程度非常严重时，可以采取主动放弃原来承担风险或完全拒绝承担该风险的实施行动，就是对风险的规避。风险规避是一种主动的行为，但放弃风险同时也意味着收益的丧失。3026.风险规避:

riskavoidance3030为实现风险处理及其他相关活动的费用提供资金的活动。注：在某些行业中，风险融资特指对风险造成的财务后果提供资金。组织在风险处理（风险规避、风险优化、风险转移、风险自留）过程中，需要支付一定的费用，以实现管理风险或补偿损失，因而会采用各种方式融通资金。融通资金是为风险管理对资金的筹措，也是风险的一种财务补偿机制。风险估计和风险评价是融资的主要数据依据。3127.风险融资:riskfinancing3131

接受某一特定风险带来的损失或收益。注1：风险自留包括接受那些没有得到识别的风险。注2：风险自留不包括运用保险或者其他方法进行的风险转移的处理。注3：对风险的接受程度和对风险准则的依赖程度可能会有变化。