1、 ICS 01.040.03A 22中 华 人 民 共 和 国 国 家 标 准GB/T XXXXXXXXX/ISO Guide 73:2009风险管理 术语 Risk management Terminology (ISO Guide 73:2009,IDT)(征求意见稿)-发布 -实施中 华 人 民 共 和 国 国 家 质 量 监 督 检 验 检 疫 总 局中 国 国 家 标 准 化 管 理 委 员 会 发 布目次前言 .3引言 .41范围 .52规范性引用文件 .53 与风险有关的术语 .54与风险管理有关的术语 .55 与风险管理过程有关的术语 .65.1 风险管理过程 .65.2 与沟
2、通和咨询有关的术语 .65.3 与环境相关的术语 .75.4 与风险评估有关的术语 .85.5 与风险识别有关的术语 .85.6 与风险分析有关的术语 .95.7 与风险估价有关的术语 .105.8 与风险处理有关的术语 .11参考文 献 .15前言本标准等同采用 ISO Guide73:2009风险管理 术语 (英法文版) 。替代 GB/T 23694-2009 风险管理 术语(ISO/IEC Guide 73:2002,IDT)本标准对 ISO Guide73:2009 做了以下编辑性修改: 删掉 IEC 引言; 将“本指南”一词改为“本标准” ; “参考文献”中用国内文件代替了 ISO
3、Guide73:2009 的“参考文献”中相对应的国际文件。本标准由全国风险管理标准化技术委员会(SAC/TC 310)提出并归口。本标准起草单位:中国标准化研究院、第一会达风险管理科技有限公司、北京理工大学、中国航空综合技术研究所、北京大学、中国科学院科技政策与管理科学研究所。本标准主要起草人:引言本指南规定了风险管理的基本术语,以促进不同组织、不同行业、不同领域对风险管理概念和术语的一致认识。 在使用风险管理术语时,应优先使用本指南给出的定义。风险管理的应用是个性化的。因此,在一些情况下,需要对本指南给出的词汇进行增补。某一标准在使用与风险管理有关的术语时,必须确保其在文中的含义被正确地解
4、释、阐述和使用。组织不仅对影响目标实现的威胁进行管理,还越来越多地应用风险管理过程并开发综合的风险管理方法,以促进对潜在机会的利用。相对于ISO/IEC 第 51 号指南中局限于安全方面的风险(具有负面或不利后果)的概念,本指南中的术语和定义在概念和应用方面更为广泛。由于各个组织越来越倾向于在更广泛的意义上使用风险管理方法,所以本指南涵盖所有的应用和领域。本指南具有普遍性,涉及风险管理的各个领域。术语排列次序如下:与风险有关的术语;与风险管理有关的术语;与风险管理过程有关的术语;与沟通和咨询有关的术语;与环境有关的术语;与风险评估有关的术语;与风险识别有关的术语;与风险分析有关的术语;与风险评
5、价有关的术语;与风险处理有关的术语;与监督和测量有关的术语。风险管理 术语1范围本标准规定了与风险管理有关的基本术语的定义,旨在鼓励用一致的方法描述风险管理相关活动和使用风险管理术语。本指南适于下列人员使用:从事风险管理的人员;参与 ISO 和 IEC 活动的人员;制定与风险管理有关的国家或部门标准、指南、程序、法规的人员。有关风险管理的原则和指南,可参见 ISO 31000:2009。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。GB/T 23694-2009 风险管理 术语GB/T 24353-2009 风险管理 原则与实施指南3 与风险有关的术语3.1 风险 ris
6、k不确定性对目标的影响。注 1:影响是指偏离预期,可以是积极和/或消极的。注 2:目标可以是不同方面(如财务、健康与安全、环境等)和层面(如战略、组织、项目、产品和过程等)的目标。注 3:通常用潜在事件(5.5.1.3) 、后果(5.6.1.3)或者两者的组合来区分风险。注 4:通常用事件后果(包括情形的变化)和事件发生可能性(5.6.1.1)的组合来描述风险。注 5:不确定性是指对事件及其后果或可能性的信息缺失或了解片面的状态。4与风险管理有关的术语4.1 风险管理 risk management在风险(3.1)方面,指导和控制组织的协调活动。4.1.1风险管理框架 risk managem
7、ent framework为设计、执行、监督(5.8.2.1) 、检查和持续改进整个组织的风险管理(4.1)提供基础和组织安排的要素集合。注 1:基础包括管理风险(3.1)的方针、目标、授权和承诺。注 2:组织安排包括计划、关系、责任、资源、过程和活动。注 3:风险管理框架是嵌入到组织的整体战略、运营政策以及实践当中的。4.1.2风险管理方针 risk management policy组织在风险管理(4.1)方面的总体意图和方向的表述。4.1.3风险管理计划 risk management plan风险管理框架(4.1.1)中,详细说明用于管理风险(3.1)的方法、管理要素及资源的方案。注
8、1:管理要素通常包括程序、操作方法、职责分配、活动的顺序和时间安排。注 2:风险管理计划可用于具体的产品、过程、项目以及组织的部分或整体。5 与风险管理过程有关的术语5.1 风险管理过程 risk management process将管理政策、程序和操作方法系统地应用于沟通、咨询、明确环境以及识别、分析、评价、应对、监督(5.8.2.1)与检查风险(3.1)的活动中。 5.2 与沟通和咨询有关的术语5.2.1 沟通和咨询 communication and consultation组织管理风险(3.1)时,提供信息、共享信息、获取信息以及与利益相关者(5.2.1.1)展开对话的持续、往复的过
9、程注 1:信息可能涉及风险的存在、性质、形式、可能性(5.6.1.1) 、重要性、评价、可接受性和应对等方面。注 2:咨询是组织与其利益相关者在某一问题决策或确定方向之前所进行的充分的双向沟通。咨询是一个通过影响力而不是通过权力来影响决策的过程;咨询是对决策的输入,而不是共同决策。5.2.1.1利益相关者 stakeholder可以影响、被影响或自认为会被某一决策或行动影响的个人或组织。注:决策者可以是利益相关者。5.2.1.2风险感知 risk perception利益相关者(5.2.1.1)对风险(3.1)的看法。注:风险感知能够反映利益相关者的需求、观点、知识、信仰和价值取向。5.3 与
10、环境相关的术语5.3.1明确环境 establishing the context组织在管理风险,以及为风险管理方针(4.1.2)确定范围和风险准则(5.3.1.3)时,确定需要考虑的内外部参数的过程。5.3.1.1外部环境 external context组织追求其目标实现时所处的外部环境。注:外部环境可包括:国际、国内、区域或地方的文化、社会、政治、法律、法规、金融、技术、经济、自然以及竞争环境;对组织目标产生影响的关键驱动因素和趋势;与外部利益相关者(5.2.1.1)的关系以及他们的认知和价值取向。5.3.1.2内部环境 internal context组织追求其目标实现时所处的内部环境
11、。注:内部环境可包括:治理方式、组织结构、职能和责任;方针、目标,以及实现它们的战略;从资源和知识角度所理解的能力(即资本、时间、人力、过程、系统和技术) ;信息系统、信息流和决策过程(正式的和非正式的) ;与内部利益相关者的关系,以及他们的感知和价值取向;组织文化;组织采用的标准、指南和模型;合同关系的形式和范围。5.3.1.3风险准则 risk criteria评价风险(3.1)重要性的依据。注 1:风险准则的确定需要基于组织的目标、外部环境(5.3.1.1)和内部环境(5.3.1.2) 。注 2:风险准则可以源自标准、法律、政策和其他要求。5.4 与风险评估有关的术语5.4.1风险评估
12、risk assessment包括风险识别(5.5.1) 、风险分析(5.6.1)和风险评价(5.7.1)的全过程。5.5 与风险识别有关的术语5.5.1 风险识别 risk identification发现、确认和描述风险(3.1)的过程。注 1: 风险识别包括对风险源(5.5.1.2) 、事件(5.5.1.3)及其原因和潜在后果(5.6.1.3)的识别。注 2: 风险识别可能涉及历史数据、理论分析、专家意见以及利益相关者(5.2.1.1)的需求。5.5.1.1风险描述 risk description对风险所做的结构化的表述,通常包括四个要素:风险源(5.5.1.2) 、事件(5.5.1.
13、3) 、原因和后果(5.6.1.3) 。5.5.1.2风险源 risk source可能单独或共同引发风险(3.1)的内在要素。 注:风险源可以是有形的,也可以是无形的。5.5.1.3事件 event某一类情形的发生或变化。注 1:事件可以是一个或多个情形,并且可以由多个原因导致。注 2:事件可以包括没有发生的情形。注 3:事件有时可称为 “事故” 。注 4:没有造成后果(5.6.1.3)的事件还可称为“未遂事件” 、 “事故征候” 、 “临近伤害” 、 “幸免” 。5.5.1.4 危险 hazard潜在伤害的来源。注:危险可以是一类风险源(5.5.1.2) 。5.5.1.5风险责任人 ris
14、k owner具有管理风险(3.1)的责任和权力的个人或实体。5.6 与风险分析有关的术语5.6.1 风险分析 risk analysis理解风险(3.1)性质、确定风险等级(5.6.1.8)的过程。注 1:风险分析是风险评价(5.7.1)和风险应对(5.8.1)决策的基础。注 2:风险分析包括风险估计。5.6.1.1可能性 likelihood某件事发生的机会。注 1:无论是以客观的或主观的、定性或定量的方式来定义、度量或确定,还是用一般词汇或数学术语来描述 如概率(5.6.1.4) ,或一定时间内的 频率(5.6.1.5) ,在风险管理术语中, “可能性”一词都用来表示某事发生的机会。注
15、2:“可能性” (likelihood)这一英语词汇在一些语言中没有直接与之对应的词汇,因此经常用“概率” (probability )这个词代替。不过,在英语中, “概率”常常被狭义地理解为一个数学词汇。因此,在风险管理术语中, “可能性”应该有着与许多语言中使用的“概率”一词相同的解释,而不局限于英语中“概率”一词的意义。5.6.1.2暴露 exposure组织和/或利益相关者(5.2.1.1 )受某事件(5.5.1.3)影响的程度。5.6.1.3后果 consequence某事件(5.5.1.3)对目标影响的结果。注 1:一个事件可以导致一系列后果。注 2:后果可以是确定的,也可以是不确
16、定的,对目标的影响可以是积极的,也可以是消极的。注 3:后果可以定性或定量表述。注 4:通过连锁反应,最初的后果可能升级。5.6.1.4概率 probability对事件发生机会的度量,用 0 到 1 之间的数字表示。0 表示不可能发生,1 表示确定发生。注:见 5.6.1.1 注 2。5.6.1.5 频率 frequency单位时间内事件(5.5.1.3)或结果的数量。注:频率可以用于过去的事件(5.5.1.3)或潜在的未来事件,可用于测量可能性(5.6.1.1)/概率(5.6.1.3) 。5.6.1.6脆弱性 vulnerability易受风险源(5.5.1.2)影响的内在特性。5.6.1.7 风险矩阵 risk matrix通过确定后果(5.6.1.3)和可能性(5.6.1.1)的范围来列示风险(3.1)的工具。5.6.1.8 风险等级 level of risk风险(3.1)的大小,依据后果(5.6.1.3)和可能性(5.6.1.1)的组合来确定。5.7 与风险评价有关的术语5.7.1风险评价 risk evaluation对比风险分析(5.6.1)结果和风险准则(5.3.1.3) ,以确定风险(3.1)和/或其大小是否可以接受或容忍的过程。注:风险评价有助于风险应对(5.8.1)决策。5.7.1.1风险态度 risk attitude
