ISO31000-2009中文版

1、引文所有类型和规模的组织都受到内部和外部因素和影响，无法知道组织目标是否实现以及何时实现。这种不确定性对组织目标的影响就是“风险”。组织的所有活动都涉及风险。组织使用风险处理来确定、分析和评估是否修改风险，以通过满足风险标准来管理风险。通过此过程，与利益相关方进行沟通和协商，监视和审查风险，并采取风险修改控制措施，以确保不再有进一步的需求风险处理。该国际标准详细说明了该系统的和逻辑过程。尽管所有组织都在一定程度上管理风险，但该国际标准确立了为了有效地管理风险而必须满足的一些原则。该国际标准建议组织制定、实施和持续改进框架，以将风险管理流程集成到组织的总体治理、战略和计划、管理、报告流程、准则、

2、价值和文化中。风险管理可以应用于组织的多个领域和层次结构，在任何时间点，不仅可以应用于整个组织，还可以应用于特定的功能、项目和活动。过去几年来，为了满足多个行业的不同要求，已开展了风险管理实践，但是在一个统一的框架内采用一致性流程可以有效、高效、集成地管理组织内的风险。本国际标准中描述的一般方法为在任何范围和情况下以系统、明确、可靠的方式管理风险提供了原则和指导。每个行业或风险管理应用程序都有自己的要求、潜在客户、想法和指导原则。因此，本国际标准的主要特征是从共同风险管理流程开始进行包含的“确定情况”活动。了解情况将捕捉组织目标、组织追求的目标环境、组织的利益相关者和风险准则的多样性，所有这些

3、都将有助于揭示和评估风险的性质和复杂性。该国际标准描述了风险管理原则、框架和风险管理流程之间的关系，如图1所示。根据此国际标准，在实施和维护风险管理时，可以创建以下组织：提高实现目标的可能性；鼓励积极管理。整个组织认识到需要识别和处理风险；提高机会和威胁的识别能力。符合相关法律法规要求和国际规范。改进强制性和自愿性报告；改善治理；提高利益相关者的信任和信任。为决策和计划建立可靠的基础。加强控制；有效地分配和利用风险处理资源。提高运营效果和效率；加强健康安全性能和环境保护；防止损失和改善事故管理；减少损失；提高组织的学习能力提高组织弹性此国际标准旨在满足众多利益相关者的需要，其中包括：a)负责制

4、定组织风险管理准则的工作人员；b)确保组织范围或特定区域、项目或活动内有效风险管理的人员；c)需要评估组织风险管理有效性的人；d)完全或部分实施风险管理的标准、准则、程序和操作规范的开发人员。目前，许多组织的管理实践和流程包含风险管理的因素，许多组织对特定类型的风险或环境采用正式的风险管理流程。在这种情况下，组织可以决定对现有做法和程序与本国际标准进行严格的审查。在此国际标准中，风险管理和风险管理都在使用中。“风险管理”通常与有效管理风险的框架(原则、框架和流程)相关，“风险管理”是指使用该框架管理特定风险。监视和复查a)创造价值b)合并到组织流程中的部分c)决策支持d)明确解决不确定性e)系

5、统、结构化和及时性f)基于最可用的信息g)酌情处理h)考虑人力因素i)透明度和包容j)动态、重复和更改响应k)实现组织的持续改进和加强原则课程模板准则和承诺(4.2)风险管理框架设计实施风险管理框架的持续改进监测和审查框架沟通和协商弄清情况风险评估识别风险风险分析风险评估风险处理监视和复查风险管理-原则和指南范围1该国际标准为风险管理的原则和通用性提供了指导。此国际标准可用于公共、私有或公共企业、协会、团体或个人。因此，该国际标准不面向特定行业或部门。注意：为了方便起见，本国际标准中涉及的所有其他用户均使用通用术语“组织”名称。此国际标准可用于整个组织的生命周期和广泛的活动，包括战略和决策、操

6、作、进程、功能、项目、产品、服务和资产。这个国际标准可以适用于任何类型的风险，无论性质、正面或负面结果。该国际标准为风险管理提供了通用性指南，但不建议促进对组织的风险管理的统一性。风险管理计划和框架的设计和实施应考虑特定组织的不同要求、特定目标、情况、结构、操作、流程、功能、项目、产品、服务、或资产和部署的具体案例。这意味着使用此国际标准协调现有和未来标准的风险管理过程。该标准提供了其他标准可以支持的一般方法，以处理特定风险和行业风险。这个国际标准不旨在认证意图。2术语和定义以下术语和定义适用于此标准：2.1风险risk不确定性对目标的影响附注1:影响是与期望的偏差正和/或负附注2:目标可以有

7、财务、健康安全和环境目标等多个方面，并可以反映在战略、组织范围、项目、产品和流程等不同级别。注3:风险通常由潜在事件(2.19)和结果(2.20)或它们的组合来描述。附注4:风险通常表示为事件(包括环境变化)的结果和发生可能性(2.21)的组合。注：不确定性是指对事件及其结果或可能性的理解，或与知识相关的信息的缺陷状态或不完整。iso准则73:09，定义1.12.2风险管理risk management风险指挥和控制组织的协调活动。iso准则73:09，定义2.12.3风险管理框架risk management framework提供组织内设计、实施、监控(2.28)、审查和持续改进风险管理(

8、2.2)的基本原则和组织安排的要素集。附注1:基本原则包括风险管理的准则、目标、准则和承诺。注：组织部署包括计划、关系、责任、资源、流程和活动。注3:风险管理框架嵌入在组织的整体战略和运营的指导和实践中iso准则73:09，定义2.1.12.4风险管理策略risk management policy组织对风险管理意图和方向的陈述。iso准则73:09，定义2.1.22.5风险态度risk attitude组织评估、最终跟踪、维护、消除或规避风险的方法。iso准则73:09，定义3.7.1.12.6风险管理计划risk management plan在风险管理框架内，规定用于风险管理的方法、管理

9、因素和资源的计划。备注1:管理要素通常包含方案、实务、角色指定、作业顺序及排程。注2:风险管理计划可以应用于特定产品、流程和项目、部分或全部组织。iso准则73:09，定义2.1.32.7风险所有者risk owner具有风险管理权限和责任的个人或实体。iso准则73:09，定义3.5.1.42.8风险管理流程risk management process经营方针、程序和实践是沟通、协商、了解情况，以及识别、分析、评估、处理、监控和审查风险活动的系统应用。iso准则73:09，定义3.12.9了解状态establishing the context定义管理风险和设置风险管理策略的范围和风险标准

10、时要考虑的外部和内部参数。iso准则73:09，定义3.3.12.10外部情况external context组织追求目标实现的外部环境。注：外部环境可以包括：无论国际、国家、地区或地点如何，文化、社会、政治、法律和法规、金融、技术、经济、自然和竞争环境影响组织目标的主要推进和趋势。与外部利益相关者的关系及其感觉和价值。iso准则73:09，定义3.3.1.12.11内部情况internal context组织追求目标实现的外部环境。附注：内部状况可能包括：治理、组织结构、职能和责任；准则、目标和战略；以资源和知识理解的能力(例如，资本、时间、人员、流程、系统和技术)；信息系统、信息流和决策流

11、程(正式和非正式)；与内部利益相关者的关系，他们的感情和价值；组织文化；标准、准则和组织使用的模式；合同关系的形式和范围iso准则73:09，定义3.3.1.22.12通信和咨询communication and consultation组织提供、共享或获取信息以管理风险，并与利益相关者进行对话的持续、重复的过程。附注1:资讯包括风险管理的存在、性质、形式、可能性、严重性、评估、适当、处理等。附注2:协商是组织及其利益相关者在作出决策或确定任何问题的方向之前，对问题进行双向的基于事实的沟通的过程。协商如下：通过影响力而不是权力影响决策。不添加到决策中，而是用作决策的输入。iso准则73:09，

12、定义3.2.12.13利益相关者stakeholder受影响或受影响，或可能感到受决策或活动影响的个人或组织。附注：决策人可以是利益相关者。iso准则73:09，定义3.2.1.12.14风险评估risk assessment风险识别(2.15)、风险分析(2.21)和风险评估(2.24)的整个过程。iso准则73:09，定义3.4.12.15风险识别risk identification发现、认识和说明危险的过程。附注1:风险识别包括风险来源(2.16)、事件(2.17)、原因和潜在后果识别。附注2:风险意识伴随着历史数据、技术分析、事实根据和专家的观点以及利益相关者的要求。iso准则73:

13、09，定义3.5.12.16风险源risk source具有以单独或结合的形式发生风险的内在可能性的因素。附注：风险来源可以是有形或无形的。iso准则73:09，定义3.5.1.12.17事件事件事件创建或更改特殊系列环境。附注1:一个事件可以是一个或多个事件，可能有多种原因。附注2:事件可以配置为不发生。注3:事件也称为事件或事件。附注4:没有结果的事件可以称为“nearsmiss”、“incident”、“nearst”、“close call”。iso准则73:09，定义3.5.1.22.18结果consequence事件对目标的影响结果。注1:事件可能导致一系列结果。备注2:结果可以是

14、确定或不确定的，也可以对目标产生正面或负面影响。注3:结果可以定性或定量表达。注4:初始结果可通过连锁效应逐步升级。iso准则73:09，定义3.6.1.32.19可能性likelihood发生某事的机会。注：在风险管理术语中，“可能性”是指发生一般或准确描述的事情(例如，明确、衡量、客观、主观、定性或定量确定)的机会。注2:英语“likelihood”在某些语言中没有直接对应的同义词，常用同义词“probability”。但是在英语中，“probability”通常被理解为狭义的数学术语。因此，在风险管理术语中，“likelihood”被用作许多非英语国家的“probability”具有的广

15、泛理解。iso准则73:09，定义3.6.1.12.20风险状态risk profile所有一系列风险(2.1)的说明。注：此系列风险可能包括与整个组织、组织的一部分或其它特定部分相关联的风险。iso指南73:09，definition 3.8.2.52.21风险分析risk analysis理解风险(2.1)的性质并确定风险级别(2.23)的过程。附注1:风险分析为风险评估和风险处理决策提供了基础。附注2:风险分析包括风险评估。iso准则73:09，定义3.6.12.22基于风险的risk criteria评价风险重要性的基础。附注1:风险标准基于组织的目标以及内部和外部情况。附注2:风险标准可能来自标准、法律、准则和其他要求。iso准则73:09，定义3.3.1.32.23风险级别risk level以结果和可能性的组合表示的风险量或结合结果。iso准则73:09，定义3.6.1.82.24风险评估risk evaluation将风险