澳大利亚和新西兰风险管理标准

《澳大利亚风险管理标准》

AS/NZS4360:1999

本澳大利亚、新西兰联合标准，由联合技术委员会OB-007《风

险管理RiskManagements制订。它于1999年4月2日经澳大利亚

标准委员会批准，1999年3月22日经新西兰标准委员会批准；并于

1999年4月12日颁布。

OB-007委员会由下列各界代表组成：

澳大利亚计算机学会

澳大利亚海关

澳大利亚风险管理学会

联邦科学与工业研究机构

澳大利亚行政部

澳大利亚国防部

新西兰环境风险管理局

澳大利亚工程师学会

新西兰专业工程师学会

澳大利亚保险委员会

新西兰保险学会

新西兰农业和林业部

新西兰商业部

新西兰应急措施和民防部

新西兰地方政府

新南威尔士州城市事务和计划部

新南威尔士州财政部管理基金会

澳大利亚全国保险经纪人协会

澳大利亚证券学会

澳大利亚风险和保险管理人协会

新南威尔士大学

本标准的征求意见稿为DR98549o

第一次颁布为AS/NZS4360:1995修订版为AS/NZS

4360:1999

澳大利亚标准的评审

为跟上工业界的步伐，澳大利亚标准需定期评审，并通过出版修

正案或必要时出版新的版本进行更新。因此，标准的使用者要确保拥

有最新的版本及其修正案。

所有澳大利亚标准和相关出版物的完整细目，可在《澳大利亚标

准出版物目录StandardsAustraliaCatalogueofPublications》找至ij；

订户收到的月刊《澳大利亚标准AustralianStandards》每月对这一

资料加以补充，并且提供新出版物、新版木和修正案，以及撤消标准

的细目。

欢迎对澳大利亚标准提出改进的建议，建议请寄澳大利亚标准协

会总部。如发现澳大利亚标准中有任何不精确或不明确之处，请立即

告知，以便对事情进行调查并采取适当措施。

ISBN0733739784

©AustralianStandard是注册商标。

◎澳大利亚标准协会版权所有。保留一切版权。事先未经发行人

书面同意，本澳大利亚标准的任何部分不得以任何方式，或采用任何

手段，包括影印、扫描或其他机械或电子方法进行复制、复印、储存、

分发或传送。

澳大利亚标准协会出版，GPOBox5420,SydneyNSW2001

本标准草案由澳大利亚标准/新西兰标准OB-007《风险管理》联

合委员会制订，它是对AS/NZS4360:1995的修订。因此，它的目的

仍是为建立风险的环境、鉴定、分析、评价、处理、监控和信息交流

等提供通用的架构。本标准应与其他适用或相关的标准一起阅读。

本标准规定了风险管理过程的各个要素，但本标准的目的并不是

要强制执行统一的风险管理体系。本标准是通用的，并不从属于任何

一个特定的行业或经济部门。风险管理系统的设计和实施会受到一个

机构变化着的需求、它特定的目标、产品和服务、以及所采用的工艺

和具体做法的影响。

风险管理是由多个定义明确的步骤所组成的一个反复过程，这些

步骤以较深入地洞察风险及其影响为更好的决策提供支持。任何可能

会出现不希望有的或意想不到重大后果的场合、或机会已被识别的场

合均可应用风险管理程序。决策者们需要了解可能出现的后果，并采

取措施控制其影响。

风险管理被认为是良好管理的一个组成部分。为达到最佳效果，

3.1.总则

3.2.主要因素

4风险管理过程

4.1.建立环境

4.2.风险鉴定

4.3.风险分析

4.4.风险评价

4.5.风险处理

4.6.监控和评审

4.7.信息交流和咨询

5形成文件

5.1.总则

5.2.形成文件的理由

附录

A风险管理的应用

B制订和实施风险管理计划的步骤…

C（风险）承担者

D风险的一般来源和它们的影响范围

E风险定义和分类举例

F风险定量表达举例

G鉴定风险处理的选项

H风险管理文件

1.范围，应用和定义

1.1范围

本标准为建立和实施一个包括环境建立、风险鉴定、分析、评价、

处理、信息交流以及持续监控的风险管理过程提供通用的指导。

1.2应用

风险管理被认为是良好管理的一个组成部分。它是由多个步骤组

成的一个反复过程：这些步骤在按顺序地执行时可以对决策不断地加

以改进。

风险管理是一种逻辑和系统方法的术语；它用一种将损失减小到

最低程度而使机会达到最大限度的方式，对与机构的任何活动、功能

和过程相关的风险进行环境建立、鉴定、分析、评价、处理、监控和

信息交流。风险管理既是为了发现机会，也同样地是为了避免或减轻

损失C

本标准可以应用于一个活动、功能、项目、产品或资产的整个寿

命期的各阶段。通常，从一开始就应用风险管理程序得益最大。往往

在一个项目的各个阶段要进行多次不同的研究。

注：本标准可以应用于任何公营、私营或社区企业或集团的许多

活动或业务。附录A给出了一些例子。

1.3定义

基于本标准的目的，本标准采用下述定义。

1.3.1后果Consequence

以定性或定量方式表示的一个事件的结果，可以是损失、伤害、

失利或者获利。一个事可能会有许多个与其相关的结果。

132成本Cost

直接或间接涉及活动的任何负面影响，包括金钱、时间、劳工、

破坏、信誉、政治和无形的损失。

133事件Event

在特定的时间间隔内，在特定的地方发生的一个事件或情况。

1.3.4事件树分析Eventtree

用来描述一起始事件可能会引起的结果之可能的范围和顺序的

一种方法。

1.3.5失效模式及影响分析（FMEA）

用来对技术系统潜在的失效模式进行分析的一种程序。失效模式

及影响分析（FMEA）可以扩展至进行所谓的失效模式、影响及危急

程度分析（FMECA）o在失效模式、影响及危急程度分析中，根据其

发生的可能性和后果的严重性的综合影响：对经鉴定的每种失效模式

进行等级排列。

1.3.6失效树分析Failuretreeanalysis

用来表示可导致某一特定事件（称为顶端事件）的各种系统状态

和可能原因的逻辑组合的一种系统工程方法。

1.3.7频率Frequency

以规定时间内所发生的次数来表达的事件发生率的量度。参见可

能性和概率。

1.3.8危险Hazard

潜在危害的根源或可能会造成损失的情况。

1・3.9可能性Likelihood

用作对概率或频率的定性描述。

1.3.10损失Loss

任何金融或其他方面的负面影响。

1.3.11监控Monitor

定期检查、监督、紧急观察、或记录一个活动、措施或系统的进

展情况，以鉴定是否有变化。

1.3.12机构Organization

具有自己的功能和行政管理的一家公司、商号、企业或协会，或

其他法人实体或它的一部分，不管是否组成公司，是公营还是私营。

1313概率Probability

以特定事件或结果与可能发生事件或结果的总数之比来量度的

特定事件或结果的可能性。概率用数字0至1来表达，0表示一个不

可能的事件或结果，而1则表示一个必然的事件或结果。

1.3.14剩余风险Residualrisk

在采取风险处理措施后仍保留的风险程度。

1.3.15风险Risk

对目标有所影响的某个事情发生的可能性。它根据后果和可能性

来量度。

1.3.16风险认可Riskacceptance

认可某一具体风险的后果和可能性的有依据的决定。

1317风险分析Riskanalysis

系统地使用现有的信息来确定指定事件可能发生的经常性以及

其后果的大小程度。

1・3・18风险评估Riskassessment

风险分析和风险评价的整个过程，见图3.1。

1319风险回避Riskavoidance

不介入风险情况的一种有依据的决定。

1.3.20风险控制Riskcontrol

风险管理中的某部分，其中涉及执行方针、标准、程序和实质性

改变以消除或缩小不利风险。

1.3.21风险工程Riskengineering

工程原理和方法在风险管理中的应用。

1322风险评价Riskevaluation

通过将风险程度与预先确定的标准、目标风险的程度或其他准则

进行比较，来确定风险管理优先次序的过程。

1.3.23风险资金Riskfinancing

用以资助风险处理和风险的财政后果的方法。

注：在某些行业，风险资金仅涉及对风险的财政后果的资助。

1.3.24风险鉴定Riskidentification

确定可能会发生什么、为什么发生和如何发生的程序。

1.3.25风险管理Riskmanagement

旨在对潜在机会和不利影响进行有效管理的文化、程序和结构。

1.3.26风险管理过程Riskmanagementprocess

系统地将管理方针、程序和实施应用于风险的环境建立、鉴定、

分析、评价、处理、监控和信息交流等任务。

1327风险降低Riskreduction

有选择地应用适当的方法和管理原用来减小发生的可能性或它

的后果，或使两者都减小。

1.3.28风险保留Riskretention

故意地或非故意地保留在机构内对损失或损失造成的财务负担

的责任。

1.3.29风险转移Risktransfer

通过立法、合同、保险或其他手段将损失的责任或负担转移到另

一方。风险转移也可认为是将一个实物性风险或它的一部分转移到另

外的地方。

1.3.30风险处理Risktreatment

选择并执行适当的选择方案来处理风险。

1.3.31灵敏度分析Sensitivityanalysis

检查一个计算或模型的结果是如何随着各种假设的变化而改变。

1.3.32承担者Stakeholder

可以影响一个决定或活动，或受到、或领悟到他们会受到一个决

定或活动的影响的那些人和机构。

注：风险承担者还可包括ISO14050:1998和AS/NZS

18014004:1996中所定义的有关方面。

2风险管理要求

2.1目的

本章节的目的是为了描述建立系统的风险管理计划的一种正式

程序。

为在项目或分机构的层次上提供一个为执行更详细风险管理计

划的架构，必须开发机构的风险管理方针和支援机制。

2.2风险管理方针

机构的负责人应规定机构的风险管理方针，包括风险管理目标和

对风险管理的承诺，并形成文件。风险管理应体现机构的战略环境、

它的目标、目的以及它的业务性质。管理部门应确保这一方针在机构

的各个层次上得到理解、贯彻和坚持执行。

2.3计划和资源

2.3.1管理部门的义务

机构应确保：

A.风险管理体系是按照本标准来建立、贯彻和坚持执行；以及

B.向机构的管理部门报告风险管理体系的执行绩效，以便评审和

作为改进的基础。

2.3.2职责和权限

对从事风险管理的执行和验证工作的人员，特别是对需要独立行

使机构权力开展下列一项或多项工作的人员，应规定其职责、权限和

相互关系，并形成文件：

(a)采取措施，防止或减小风险的不利影响；

(b)控制对风险的进一步处理，直至风险的程度可以接受；

(c)确认和记录与风险管理有关的问题；

(d)通过规定的渠道，采取、推荐或提供解决办法：

(e)验证解决办法的实施效果；

⑴和在内部或外部适当地进行信息交流和咨询。

2.3.3资源

对管理、执行工作和验证活动，包括内部审核，机构应确定资源

要求并提供足够的资源，包括委派经过培训的人员。

2.4实施计划

在机构内实施有效的风险管理体系需要有多个步骤。附录B提

供一些例子。根据机构的整个风险管理宗旨、文化和结构，某些步骤

可以合并或省略。但所有步骤均应得到考虑。

2.5管理部门评审

机构的负责人应确保按规定的时间间隔对风险管理体系进行评

审，确保持续的适宜性和有效性，以满足本标准的要求和机构订下的

风险管理方针和目标(见2.2)。评审记录应予以保存。

3风险管理概观

3」总则

风险管理是管理过程整体的一部分。风险管理是一个多方面的过

程，其相关方面往往最好由一个多学科的小组来实施。它是一个不断

改进的反复过程。

3.2主要因素

如图3.1所示，风险管理过程的要素如下：

3.2.1建立环境

建立在过程的其余部分将出现的战略、组织和风险管理的环境。

应建立对风险进行评价的准则，并规定分析的结构。

3.2.2鉴定风险

鉴定会出现什么事，为什么会出现和如何出现，作为进一步分析

的基础。

3.2.3分析风险

确定现有的控制，并根据在这些控制的环境中的后果和可能性对

风险进行分析。这种分析应考虑到潜在后果的范围和这些后果发生的

可能性有多大。可将后果和可能性结合起来得到一个估计的风险程度。

3.2.4评价风险

将估计的风险程度与预先建立的准则进行比较。这样可将风险按

等级排列，以便鉴定管理的优先次序。如果所建立的风险程度很低,

此时的风险可以列入可接受的范畴，而不需要作处理。

3.2.5处理风险

认可并监控低优先次序的风险。对于其他风险，则发展并实施一

个特定管理计划，其中包括考虑到提供资金。

3.2.6监控和评审

对风险管理体系的运行情况以及可能影响其运行的那些变化进

行监控和评审。

3.2.7信息交流和咨询

在风险管理过程的每个阶段以及在整个过程中，适时与内部和外

部的风险承担者进行信息交流和咨询。

风险管理可应用于一个机构的多个层次。它既可用于战略层次又

可用于运作层次。它可以用于具体的项目，以便协助作出具体的决定,

或对特定认可的风险领域加以管理。

风险管理是有助于机构改进的一个反复过程。风险准则可以随着

每次循环得到提高，从而使风险管理逐步达到更好的水平。

过程的每个阶段应作好充分的记录，以满足独立审核的需要。

4风险管理过程

4.1建立环境

4.1.1总贝IJ

风险管理的详细过程如图4.1所示。此过程发生在一个机构的战

略、组织和风险管理环境的架构内。风险环境的建立，是为了规定风

险管理所必需的基本参数范围，并为在更仔细的风险管理的研究中作

出决定提供指导。它为风险管理过程的其余部分设定了范围。

4.1.2建立战略环境

规定机构与其所处环境之间的关系，鉴定机构的实力、弱点、机

会和威胁。战略环境包括机构职能中的财务、经营、竞争、政治（公

众的感觉/形象）、社会、客户、文化和法律等方面。

鉴定内部和外部的风险承担者，考虑他们的目标、注意到他们的

感觉、并建立与这些相关方进行信息交流的方针。

注：附录C给出潜在风险承担者一览表。

这一步骤的重点是机构运作所处的环境。机构应设法确定可支持

或削弱其处理所面临风险的能力的关键的因素。

可从事战略分析。决策层应支持战略分析，设定基本的参数，并

为更具体的风险管理过程提供指导。在一个机构的任务或战略目标、

与对它所受到的种种风险所进行的管理之间，应该存在一个密切的关

系。

4.1.3建立组织环境

在开始进行风险管理研究前，有必要了解该机构和它的能力，它

的目的和目标，以及为达到这些目的和目标而采取的策略。

上述之所以重要，是由于以下原因：

A.风险管理是在机构的较广泛的目的、目标和策略环境中进行的;

B.未能达到机构或特定活动的、或正在考虑的项目的目标便是一

组应予处理的风险。

机构的方针和目的有助于定义出决定是否接受一种风险的准则，

并有助于形成对处理作出选择的基础o

4.1.4建立风险管理环境

应建立某项活动、或正在应用风险管理过程的机构某部分的目的、

目标、策略、范围和参数。在这一过程中，应充分考虑到必须对成本、

收益和机会作出平衡。对所需的资源和必须保存的记录也应作出规定。

为应用风险管理程序而设定的范围和界限包括：

A.规定项目或活动，并建立它的目的和目标；

B.规定项目在时间和地域上的伸展范围；

C.鉴定所需要进行的任何研究，以及它们的范围、目的和所要求

的资源。风险的一般来源以及影响范围可为此提供指南。

注：风险一般来源及其影响范围范例，见附录D。

D.规定所要进行的风险管理活动之程度和涵盖性；还可以讨论的

具体问题包括：

a）机构中参加处理风险的各部分的作用和责任；

b）此项目与其他项目或与机构各部分之间的关系。

4.1.5制订风险评价准则

决定对风险进行评价的准则。可根据运作、技术、财务、法律、

社会、人道的或其他标准，对有关风险的可接受性和风险处理的作出

决定。这些准则往往取决于机构的内部方针、目的、目标和风险承担

者的利益。

准则是会受到内部和外部的理解以及法律要求的影响。在一开始

就确定适当的准则是很重要的。

虽然风险准则的制订最初是建立风险管理环境的一部分，当鉴定

出特殊的风险和选择风险分析方法时，可相继地对风险准则作进一步

的发展和提高，就是说风险准则必须符合风险的类型和风险程度的表

达方式。

4.1.6规定结构

这涉及到将活动或项目分成一组要素。这些要素为鉴定和分析提

供一个逻辑架构，有助于确保重大的风险不会被忽略。所选择的结构

取决于风险的性质和项目或活动的范围。

4.2风险鉴定

4.2.1总贝IJ

这一步骤是要鉴定所处理的风险。由于在此阶段未鉴定出的潜在

风险将被排除在进一步分析之外，采用一种结构良好的系统程序进行

广泛综合的鉴定是很关键的。鉴定应包括所有的风险，不管它们是否

在机构的控制下。

4.2.2可能发生什么

本条文的目的在于制定一个综合性清单，包含那些会影响4.1.6

中提及的每个结构要素的事件。然后对这些事件作更详细的考虑，以

鉴定可能会发生什么。

注：附录D提供有关风险的一般来源及其影响范围的资料。

4.2.3如何和为什么会发生

鉴定出一系列事件之后，必须判断可能的原因和可能的情况。事

件开始的方式有许多种。重要的是主因不被忽略。

4.2.4工具和方法

鉴定风险的途径包括核对表、基于经验和记录的判断、流程图、

集体讨论、系统分析、情况分析和系统工程方法。

所使用的方法将取决于所评审的活动的性质和风险的类型。

4.3风险分析

4.3.1总则

分析的目的是将可以接受的小风险与大风险分开，并提供数据以

协助风险评价和风险处理。风险分析包括判断风险的来源、它们的后

果以及这些后果发生的可能性。并鉴定对影响后果和可能性的各种因

素。将在现有控制措施的环境中估计出来的后果和可能性结合起来，

对风险加以分析。

可进行初步分析，将类似的或影响低的风险排除在详细研究之外。

应尽可能将被排除的风险列出，以示风险分析的完整性。

4.3.2确定现有的控制

对现有的管理、技术体系和风险控制程序进行鉴定，并评估它们

的优缺点。4.2.4中所使用的工具以及诸如检查和控制、自我评估法

(“CSA”)等方法可能是合适的。

4.3.3后果和可能性

如果一个事件发生，其后果的大小程度和事件的可能性及其相关

的后果，在现有的控制环境中进行评估。后果和可能性结合在一起产

生风险的程度。后果和可能性可采用统计分析和计算来确定。在没有

历史数据的情况下，也可进行主观估计，这些估计反映个人或一批人

相信一特定事件或结果会发生的程度。

为避免主观偏误，在对后果和可能性进行分析时，应利用可行的

最好信息源和方法。信息源可包括：

a.历史记录；

b.相关的经验；

c.行业实践和经验；

d.已出版的相关文献；

e.试销和市场调查；

f.试验和模拟；

g.经济、工程或其他模型；

h.专家和内行的判断。

方法包括：

a).向相关领域的专家进行有计划的咨洵；

b).使用多学科专家组；

c).采用问卷进行单独评价；

d).采用计算机和其他模拟；以及(V)采用失效树和事件树图示法。

可能的情况下，应包括对风险程度估计的置信度。

4.3.4分析的类型

可以根据可行的风险信息和数据，对风险分析予以不同的程度的

改进。视情况而定，风险分析可以是定性分析、半定量分析或定量分

析，或者是这些分析的组合。按递升次序将这些分析的复杂性和成本

加以排列，而成为定性、半定量的定量。实际上，定性分析往往首先

被采用，以得到风险程度的总的指示。此后，可能需要进行更具体的

定量分析。

各种类型分析的详情如下：

A.定性分析

定性分析采用文字形式或叙述性的数值范围来描述潜在后果的

大小程度以及这些后果发生的可能性。这些数值范围可修改或调整以

适应各种情况，且不同的描述可用于不同的风险。

注：附录E中的表E1和E2展示出简单的、可能性和后果的定

性或叙述性数值范围的例子。表E3是将风险的可能性和后果结合起

来，为风险指定出优先等级的矩阵的例子°这些表需要修改，以满足

个别机构或风险评估的特定对象的需要。

定性分析用于：

a).初始的筛选活动，以鉴定出需要更详细分析的风险；

b).风险的程度不能证明要进行更充分的分析所需的时间和努

力是合算的场合；或

O.数据不足以进行定量分析的场合。

B.半定量分析

在半定量分析中，上述的那些定性数值范围均为已知值。每项说

明所指定的数字并不一定与后果或可能性的实际大小程度具有精确

的关系。假如用来进行优先化的系统与选择用来对数字赋值和组合的

系统是相匹配的，则可将这些数字采用一系列公式中的任何一个公式

加以组合。目的是为了得到比通常在定性分析中所得到的更为详细的

优先化，但并非要提出任何在定量分析中所试图得到的风险的实际值。

使用半定量分析时必须小心，因为所选择的数字未必能正确地反

映会导致不一致结果的相关性。半定量分析可能不能恰当地区分各种

风险，尤其是当结果或可能性处于极端状态时。

有时，将可能性考虑成是由两个要素组成的较为恰当，通常称为

暴露频率和概率。

暴露频率是风险来源存在的程度，而概率是随着该风险源的存在

而产生的后果的机会。在这两个要素之间的关系并非完全独立的情况

下，即暴露频率与概率之间的关系密切时，就必须谨慎。

这一方法可适用于半定量和定量分析。

C,定量分析

定量分析在后果和可能性分析中采用数值（而不是定性分析和半

定量分析中所使用的叙述性数值范围），并采用从各种各样的来源（如

4.3.3⑻至（h）中提及的来源）得到的数据。分析的的质量取决于所用

数值的精确度和完整性。

可通过模拟一个事件或一组事件的结果，或对实验性的研究或历

史数据使用插补法来估计后果。后果可以用金钱、技术或人道的准则，

或4.1.5中提及的其他准则来表示。在一些情况下，需要一个以上的

数值来规定不同时间、地点、团体或情况的后果。

可能性通常以概率、频率、或暴露频率和概率的组合来表示。

可能性和后果的表示方法以及它们组合起来规定风险程度的方

法，将会根据风险的类型和风险程度的使用环境而有所不同。

注：附录F中给出风险定量表示的一些例子。

4.3.5灵敏度分析

由于定量分析中的某些估计并不精确，应进行灵敏度分析以测试

由假设和数据的变化所产生的影响。

4.4风险评价

风险评价涉及将分析过程中发现的风险程度与先前建立的风险

准则进行比较。

风险分析和在风险评价中用来与风险作比较的准则，应在同一基

础上进行考虑。这样，定性评价涉及将风险定性的程度与定性准则作

比较，而定量评价涉及将风险的数值程度与一些可以表示为具体数字

的准则（诸如死亡率、频率或币值等）进行匕较。

风险评价的输出是一份提供进一步措施用的优先化的风险清单。

应考虑到机构的目标以及冒此风险所带来的机会之程度。

决定必须顾及到较广泛的风险环境，包括考虑得益的机构以外各

相关方对风险的忍受能力。

如果产生的风险属于低的或可接受的风险范畴，该类风险经最低

限度的进一步处理就可被接受。应监控低的和已接受的风险，并定期

评审，以确保它们仍可接受。

如果风险并不属于低的或可接受的风险范畴，应采用4.5中所考

虑的一种或几种选择进行处理。

4.5风险处理

风险处理包括鉴定处理风险各种选择的范围、对这些选择进行评

估、制订风险处理计划并加以实施。

4.5.1鉴定风险处理的各种选择

图4.2示出风险处理的过程。不一定相互排斥或适合各种情况的

选择有下述几种：

A.决定不继续进行可能产生风险的活动来避免风险(在可行的情

况下)。

回避风险可能是不适当地由于一种厌恶风险的态度，这是许多人

的一种倾向(往往受机构内部制度的影响)。不适当地回避风险可能

会增加其他风险的影响性c

厌恶风险会导致：

a).不注意可行的信息和处理该类风险所招致的费用就决定回

避或忽视风险。

b).未能处理风险；

O.听任其他方作出决定性的选择和/或决定；

d).推迟作出机构不可避免的决定；或

e).不顾得益就因潜在风险较低而作出选择。

B.降低发生的可能性

注：见附录G中所示的例子。

C.减小后果

注：见附录G中所示的例子。

D.风险转移

这涉及承担或分担部分风险的另一方。方法包括使用合同、保险

安排以及诸如合伙和合资等组织结构。

将一个风险转移到其他方，或物质转移到其他地方将会降低原机

构的风险，但并不减小对社会的风险的总程度。

在风险全部或部分转移的情况下，转移风险的机构又制造出一个

新的、被转移风险的机构未必能有效地管理的风险。

E.保留风险

在风险降低或转移后，可能有剩馀的风险保留着。如果出现这样

的风险，应安排计划处理这些风险的后果，包括鉴定出为风险提供资

金的手段。风险也可能因不履行责任而保留，即未能鉴定和/或适当

地转移或处理风险。

减低后果和可能性可以称作风险控制。风险控制包括按照现有控

制的效果来确定新控制的相对得益。控制可包括效果方针、程序或实

物性改变。

评价并按等级排列的风险

忌

如

卬

能

想

吧

理

图4.2风险缝理过程

4.5.2评估风险处理选择

应根据风险减小的程度和任何额外利益或机会的程度，并考虑

4.1.5中订立的准则，来对各种选择进行评估。可以个别地或联合地

考虑和应用多种选择。

选用最适合的选择涉及权衡实施每种选择的成本与其得到的利

益。通常，处理风险的成本需要与所得到的利益相称。

如果以相对较低的花费可大大减小风险的程度，则应实施这样的

选择。其它减小风险的选择可能是不经济的，需要判断它们是否合算。

这在图4.3中示出。

决定应包括需要仔细考虑那些罕见却很严重的风险，这些风险会

保证风险减小的程度，但按严格的经济理由却是不合算的。

通常，不管任何绝对的准则，应使风险的不利影响尽可能地低。

H4.3降低风险措施的成本

图4.3降低风险措施的成本

在许多情况下，任何一种风险处理选择不太可能完全解决某一具

体问题。往往一个机构大大得益于联合各种选择，例如降低风险的可

能性、减小它们的后果以及转移或保留任何剩余风险等。有效利用合

同和由风险减小计划支助的风险资金就是一个例子。

实施各种风险处理的累计成本超过可用预算时，计划应明确地标

明应实施的每种风险处理的优先次序。可采用各种方法来建立优先次

序，包括风险评级和成本■效益分析。在可用预算的范围内不能实施

的风险处理，就必须等待进一步的资金来源，或当不管什么原因任何

或所有剩余的处理被认为是重要的，则必须找理由确保得到额外资金。

各种风险处理选择应考虑到受影响的相关方对风险是如何认识

的，以及与这些相关方进行信息交流的最适当方法。

4.5.3制订处理计划

计划应形成文件，说明所选定的方案是如何实施的。

处理计划应要定出责任、进度、处理的预期结果、预算、执行程

度和所设定的评审程序。

注：详见附录H的H5部分。

计划还应包括一个机制，以根据性能标准、个人责任和其他目标，

评估对选择的实施情况，和监控实施过程中的重要阶段。

4.5.4实施处理计划

理想的做法是由最能控制风险的那些人来负责对风险的处理。在

各相关方之间应尽可能早地就责任达成一致。

成功地实施风险处理计划要求具备一个有效管理体系，去规定所

选的方法、指定各项措施的职责和个人责任，以及按规定准则进行监

控的。

如在处理后有剩余风险存在，应决定是否保留这一风险或是重复

该风险处理过程。

4.6监控和评审

有必要对风险、风险处理计划的效果、策略以及为控制实施情况

而建立的管理体系进行监控。需要监控风险和控制措施的效果，以确

保变化着的环境不会改变风险的优先次序。静止不变的风险是极少的。

继续的评审是必要的，以确保管理计划保持贴切C正如影响各种

处理选择的适宜性或成本的因素一样，能够影响一个结果的可能性和

后果的因素可以改变。因此有必要定期反复进行风险管理的循环。评

审是风险处理计划整体的一部分。

4.7信息交流和咨询

信息交流和咨洵是风险管理过程中每一步均需要考虑的重要内

容。在过程的最初阶段就为内部和外部的（风险）承担者制订一个信息

交流的计划是很重要的。这一计划应提出与风险本身和处理风险的过

程有关的问题。

信息交流和咨询涉及（风险）承担者之间的双向对话，重点在于咨

询而不是决策者对其他（风险）承担者的单向信息流动。

有效的内部和外部信息交流是很重要的，它确保负责实施风险管

理和具有既得利益的那些人，了解决策的基础以及为何需要采取特别

的措施。

对风险的理解可因为假设和概念的不同，以及承担者对风险和所

讨论问题相关的需要、问题和关注有所不同而改变。承担者可能会根

据他们对风险的理解来判断风险的可接受程度。由于承担者会对所作

的决策有重大影响，将他们对风险的理解以及他们对利益的理解加以

鉴定并形成文件，以及了解和为他们表达其根本原因就很重要

5形成文件

5.1总则

风险管理过程的每个阶段都应形成文件。文件应包括假设、方法、

数据来源和结果。

5.2形成文件的理由

形成文件的理由如下：

a).表明过程正常地进行；

b).为风险鉴定和分析的系统化方法提供证据；

O.提供风险的记录和开发机构的知识资料库；

d).向相关的决策者提供风险管理计划，供审批并随后实施；

e).提供一种责任机制和工具；

f).便于连续的监控和评审：

g).提供审核线索；和

h).分享和交流信息。

有关文件编制程度的决定可涉及成本和收益，并应考虑上述的因

素。

指导：为帮助和指导正确地形成文件，附录H中给出了一些例

子。这些例子是指示性的而不是全面的。

附录

A风险管理的应用

(提示附录)

A1机构

本标准可用于众多的机构，包括：

a).社会：

全国的、地区的、当地的；

b).商业：

公司、合资企业、商号、特许经销代理商、独立事

务所；和

c).志愿：

慈善、社团、体育运动。

A2应用

本标准的应用包括，但并不局限于下述场合：

a).资产管理和资源规划；

b).业务中断；

c).变化：机构、技术和政治；

d).建筑活动；

e).意外事故、灾难和应急计划；

f).设计和产品责任；

g).主管和职员的责任；

h).聘用程序：培训、歧视和骚扰;

i).环境问题；

j).职业规范和诚实问题；

k).可行性研究；

I).火灾探测/消防；

m).外汇业务；

n).欺诈防止、探测和管理；

o).人、动物和植物的保健；

P).信息系统/计算机网络；

q).投资；

r).法律的遵守；

s).职业保健和安全；

t).运行和维修系统；

u).项目管理；

v).公共风险和一般责任；

w).采购合同管理；

X).专业咨询；

y).信誉和形象问题；

z).保安；

(aa)包括海、陆、空和铁路的运输；以及

（bb）财政和金融。

B制订和实施风险管理计划的步骤

（提示附录）

B1步骤1：高级管理部门的支持

启发机构风险管理的观念和高级管理层的“风险”意识。这可通

过培训、教育和高层管理部门的介绍来促进。

机构总裁积极和不断的支持是必要的。

高级执行经理或相类似的“领导者，（或小组）必须主动。

所有高级主管人员应仝力支持。

B2步骤2:制订机构的方针

制订风险管理的组织方针和架构，由机构的经理主管人员认可,

并在整个机构内实施。方针可包括下述的信息：

方针的目标以及风险管理的原理；

方针与机构战略和组织计划之间的联系；

方针可应用的程度或适用于各种问题的范围；

有关可接受风险的指导；

谁负责管理风险；

协助风险管理负责人的可行的支援和专门知识；

所要求的文档程度；以及

评审机构方针执行情况的计划。

B3步骤3：方针的信息交流

发展、建立和实施一种基础结构或方案，以确保风险管理成为机

构计划、管理过程和总的文化的一个组成部分。这可以包括：

建立一个由高级管理人员参加，负责就方针进行内部信息交流的

小组；

提高对管理风险的意识；

在整个机构内，就风险的管理和机构的方针进行信息交流和对话;

获取风险管理的技能（如咨询），和通过教育和培训来提高全体职

员的技能；

确定合适的重视、奖励和处罚标准；以及

建立绩效管理程序。

B4步骤4：机构这一层次的风险管理

通过运用第2章所描述的风险管理体系，发展和建立一个计划去

管理机构这一层次的风险。管理风险的程序应与机构的战略规划和管

理的程序相结合。这包括形成下述文件：

机构和风险管理的环境；

经鉴定的，机构的风险；

对这些风险的分析和评价；

处理策略；

评审计划的机构；以及

增强意识、获取技能、培训和教育的策略。

B5步骤5:计划、项目和小组这一层次的风险管理

通过运用第4章中所描述的风险管理程序，发展和建立一个计划

去管理各分机构领域、计划、项目或小组活动的风险。管理风险的程

序应与其他规划和管理活动相结合。所遵照的程序，所作出的决定和

所策划的措施，均应形成文件。

B6步骤6：监控和评审

发展和运用各种机制确保对风险进行持续的评审。这将确保风险

管理的实施与方针保持恰当和贴切。由于情况总是在变化，评审先前

的决定是极为重要的。风险并不是静止不变的。也应监控和评审风险

管理过程的效果。

C（风险）承担者

（提示附录）

（风险）承担者是那些受到或认为他们会受到某一决定或活动影

响的个人。他们可包括：

机构内的个人，如雇员、管理人员、高级管理人员和志愿人员；

决策者；

业务或商业上的相应方；

雇员团体；

工会团体；

金融机构；

保险机构；

对活动可行使取权的管理机构或其他政府机构；

可能具有选举或官职利益的（各级政府）政治家；

非政府机构如环境团体和公共利益团体；

顾客；

该类活动的供应商、服务商和承包商；

作为潜在承担者和将信息传递到其他承担者的媒体；

对与建议相关的问题感兴趣的个人或团体；

地方团体；以及

整个社会。

随着时间的过去，承担者的成分可能会变化。新的承担者会加入

并希望被包括在任何需考虑的事项中，而其他一些人可能不再卷入这

一过程而离去。因此，对承担者的分析过程应该持续不断，同样，它

应是风险管理过程整体的一部分。

因承担者的需要和关注已得到表达，或因新的信息产生新的需要、

问题或关注，承担者关注的程度会随着新BJ信息而变化。还应注意的

是不同的承担者，对一个特定的问题会有不同的看法和不同程度的认

识。

D风险的一般来源和它们的影响范围

（提示附录）

D1概述

对风险来源和影响范围的鉴定，可为风险的鉴定和分析提供一个

架构。由于潜在着许多的来源和影响，制订通用清单焦点集中在

风险鉴定活动上，有助于对它进行较为有效的管理。

一般的风险来源及其影响范围（见4.1.4和4.2.2）,可根据它们

与所研究活动的关联性来选择。每一范畴的各组成部分，可构成对风

险进行透彻研究的基础。

D2风险来源

每个一般来源都有许多组成部分，任何一个组成部分都会引起风

险。有些组成部分将在进行研究的机构的控制之下，而另一些则不在

它的控制下。在鉴定风险时，对这两种成分都要作考虑。一般风险来

源包括：

a).商业和法律关系

机构与其他机构之间，如供应商、承包商，租赁人。

b).经济环境

机构、国家、国际的经济环境，以及造成这些环境的因

素，如汇率。

c).人类行为

与机构有关和无关的那些人的行为。

d).自然事件

e).政治环境

包括立法的变化以及可影响其他风险来源的因素。

f).科技和技术问题

机构内部和外部的科技和技术问题。

g).管理活动和控制

h).个人活动

D3影响范围

风险分析可集中在一个影响的范围或集中在几个可能的影响范

fflo

影响范围包括:

a).资产和资源基础

机构的资产和资源基础，包括人员。

b).收入和权利

c).成本

直接和间接活动的成本。

d).人员

e).社区

f).绩效

g).活动的时间安排和进度

h).环境

i).无形因素

如声誉、信誉、生活质量。

j).机构行为

D4风险鉴定

利用表D1中所示的那种风险鉴定样板，是总结机构中风险发生

方式的一种方法。可采用表示风险在何处发生的勾号或用较详细的叙

述性注释来进行登录。

D5风险的其他分类法

不同的学科往往采用其他的手段对风险的来源加以分类，采用诸

如危险或风险暴露等术语。这些分类可以是前述D2中所列风险来源

的子集。举例如下：

a).疾病

例如影响人、动物和植物的疾病。

b).经济的

例如币值波动、利率、股市。

c).环境的

例如噪音、沾污、污染。

d).金融的

例如合同风险、盗用资金、欺诈、罚款。

e).人为的

例如骚乱、罢工、怠工、过失。

f).自然灾害

例如气候条件、地震、林区大火、虫灾、火山活动。

g).职业保健和安全

例如不足够的安全措施、低劣的安全管理。

h).产品责任

例如设计误差、质量控制不合规格、测试不充分。

i).职'也责任

例如错误建议、疏忽、设计误差。

j).财产损坏

例如火灾、水渍、地震、沾污、人为误差。

k).公共责任

例如公众通路、出口和安全。

I）.保安

例如现金安排（贿赂）、破坏、偷窃、盗用信息、非法进

入。

m）.科技的

例如革新、逐渐过时、剧变和可靠性。

表D1风险鉴定样板实例

风险定量表达举例

表

影响范州

风险来源从D3选择适用项*

*,**.*

商业和法律关系

经济

人的行为

自然事件

政治环境

科技/技术问题

管理活动和控制

个人活动

注：应修改风险来源和影响范阳，以适应各个机构或各丁瓦活动.

注：应修改风险来源和影响范围，以适应各个机构或各项活动。

附录E风险定义和分类举例

（提示附录）

表E1后果或影响的定性量度

等级描述词例子详维描述

1无关市要无伤害，低财务损失

2较小（伤者急救而雄^现场，（情况）立即受控制，中等财务损失

（席/需^医疗处理方雌^现场，在外援下（情况）受控，高财

3中等

大量伤害，失去生产能力，（伤寻）需送院治痕但无不良效果，

较大

4较大的财务损失

5灾难性死亡，毒害现场外方能解除并带有不良效果，巨大的财务损失

注：采取的措施应反映所研究的机构和活动的需要和性质.

表E2可能性的定性量度

等级描述词描述

A几乎肯定预期在大多数情况下发生

B很可能在大多数情况下很可能会发生

C可能在某个时间可能会发生

D不太可能在某个时间能够发生

E罕见仅在例外的情况下可能发生

注：这些表需要修改以满足特殊机构的需要。

表E3评估风险分析矩阵一一风险程度

后果

可能性无关重要较小中等较大灾难性

12345

A（几乎肯定）HHEEE

B（很可能）MHHEE

C（中等）LMHEE

D（不太可能）LLMHE

E（罕见）LLMHH

注：类别的故口应反映研究的需要.

图表符号

E：极度风险：要求立即采取措施

H：高风险：需要高级管理部门的注意

M：中等风险：必须规定管理责任

L：低风险：用日常程序处理

附录F风险定量表达举例

F1财务损失或获益的风险

财务损失（或获益）乘以损失（或获益）的每年频率，得出以元

计的每年预期值。

F2死亡事故风险

一项活动的死亡事故风险可按下列公式计算

活动中每年的死亡人数/暴露（于此风险）的人口

F3自然或人为灾祸

可通过计算机模拟，和根据历史数据、失效树或其他系统工程技

术所估计的可能性来模拟出后果。

F4健康风险

健康风险一般以下述不同的方法表示

（a）把在暴露（于风险）的人口中每年新病例的数目，与这一人

口的总数作比较。也就是说，暴露（于风险）的100,000人口中有5个

新病例，则暴露（于风险）的每人每年的风险为5x105o

（b）如下述比率：

因暴露（于风险），某一年龄前死亡的概率/不暴露（于风险），某一

年龄前死亡的概率

（c）预期因暴露（于某风险）而70岁或以前死亡的人数，除以

暴露（于此风险）的人数。

可从传染病资料（人口死亡或疾病调查）或以动物研究为基础的

实验数据得出健康风险。

注：与其计算风险的平均值，可通过用适当的值的分布去代替那

些左右后果的变量的平均值，来计算出可能值的分布。

G鉴定风险处理的选项

(提示附录)

G1降低或控制可能性的措施

这些措施可包括：

a).审核和遵守计划;

b).合同条件；

O.要求、规范、设计、工程和运作的正式评审

d).检查和过程控制；

e).投资和资产配置管理；

f).项目管理；

g).预防性保养；

h).质量的保证、管理和标准；

i).研究和开发，技术开发；

j).有组织的培训和其他计划；

k).监督；

I).测试；

m).机构的整理；和

n).技术控制。

G2缩小或控制后果的程序

这些程序可包括：

a).应变计划；

b).合同安排；

c).合同条件；

d).特别(安全)设计；

e).灾难恢复计划；

f).工程和结构上的防护；

g).诈骗控制策划；

h).风险源中暴露的最小化；

i).投资策戈匕

j),价格方针和控制；

k).活动和资源的分离或重新布置

I).公共关系；和

m).道义性付款。

H风险管理文档

(提示附录)

H1概述

为妥善地管理风险，需要适当地形成文件，以便充分满足独立审

核。文件整理程度的决定，会涉及成本和收益，且应考虑5.2中所列

的因素。风险管理方针陈述中应规定所需的文件。

在过程的每个阶段，文档应包括：

a).目标；

b).信息来源；

c).设想；和

d).决定。

本附录包括一个风险登记、处理进度和措施计划的例子。高风险

领域的计划可能需要更加具体和详细。

H2方针

附录B提供了机构方针陈述中可以包含的信息的例子。

H3谨守声明

在某些情况下，需要有谨守声明，这样管理人员正式确认他们遵

守风险管理方针和程序的责任。

H4风险登记*

对于每个经鉴定的风险，风险登记应'，己录：

a).来源；

b).性质；

c).现有的控制；

d).后果和可能性；

e).最初风险等级；和

f).外部、内部因素的脆弱性。

参见本附录后面的实例作为指南。

H5风险处理进度和措施计划

风险处理和措施计划以文件规定了要采取的管理控制，并列出下

述信息：

a).谁负责计划的实施；

b).利用什么资源；

c).预算分配：

d).实施时间表；

e).处理计划遵守情况的评审机制和评审频密度的详情

H6监控和审核文件

监控和审核的记录应形成文件：

a).评审机制和评审频密度的详情，以及整个风险管理过程;

b).审核的结果和其他监控程序；

O.如何遵循和实施评审建议的详情。

*这些例子仅仅是建议性的。

风险登记

风险词*H用_______________________________________

编耳人曰顺

功能/活动评中人曰期__________________

•RMR＞可傅发生什么以及它M金”发生的信