风险管理原则和指南.docx

风险管理 -原则和指南1 围 本国际标准提供了风险管理的原则和通用性指南。 本国际标准可用于任何公共、私有或公有企业、协会，团体或个体。因此，本国际标准不针对任何特定行业或部门。 注：为方便起见，本国际标准涉及的所有不同的用户以通用术语“组织”称谓。 本国际标准可用于整个组织的生命周期及广泛的活动，包括战略和决策、运营、过程、职能、项目、产品、服务和资产。 本国际标准可以应用于任何类型的风险，无论其性质及是否有积极或消极的后果。 尽管本国际标准提供了风险管理的通用性指南，但不意针对组织促进风险管理的统一性。风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标，状况、结构、运营、过程、职能、项目、产品、服务、或资产以及展开的具体实践。 意在运用本国际标准来协调现有和将来标准的风险管理过程。 本标准提供了一个支持其他标准处理特定风险和行业风险的通用方法，而不是取代这些标准。 本国际标准不意针对认证意图。 术语和定义 下列术语和定义适用本标准。 风 险 risk 不确定性对目标的影响 注 1：影响是与期待的偏差——积极和 / 或消极 注 2：目标可以有不同方面（如财务、健康安全、以及环境目标），可以体现在不同的层次（如战略、组织围、项目、产品和过程）。 注 3：风险通常以潜在事件（ 2.19）和后果（ 2.20），或它们的组合来描述。 注 4：风险通常以事件（包括环境的变化）后果和发生可能性（ 2.21）的组合来表达。 注 5：不确定性是指，与事件和其后果或可能性的理解或知识相关的信息的缺陷的状态，或不完整。 [ISO 导则 73:2009, 定义 1.1] 风险管理 risk management 针对风险指挥和控制组织的协调活动。 [ISO 导 则 73:2009, 定 义 2.1] 风险管理框架 risk management framework 提供在组织设计、实施、监测（ 2.28）、评审和持续改进风险管理（ 2.2）的基本原则和组织安排的要素集合。 注 1：基本原则包括管理风险的方针、目标、指令和承诺。注 2：组织安排包括计划、关系、责任、资源、过程和活动。 注 3：风险管理框架被嵌入到组织的整个战略和运营的方针和实践中[ISO 导则 73:2009, 定义 2.1.1] 风险管理方针 risk management policy 一个组织对风险管理的意图和方向的述。[ISO 导则 73:2009, 定义 2.1.2] 风险态度 risk attitude 组织评价、最终追踪、保留、消除或规避风险的方法。 [ISO 导 则 73:2009, 定 义 3.7.1.1] 风险管理计划 risk management plan 在风险管理框架规定用于风险管理的方法、管理要素、资源的方案。 注 1：管理要素一般包括程序、惯例、职责分配、活动顺序和时间安排。 注 2：风险管理计划可应用于特定的产品、过程和项目、组织的部分或整体。[ISO 导则 73:2009, 定义 2.1.3] 风险所有者 risk owner 具有风险管理权限和责任的个人或实体。 [ISO 导 则 73:2009, 定 义 3.5.1.4] 风险管理过程 risk management process 管理方针、程序和惯例对沟通、协商、确定状况、以及识别、分析、评价、处理、监测和评审风险活动的系统应用。 [ISO 导 则 73:2009, 定 义 3.1] 确定状况 establishing the context 界定外部和部参数，以便在管理风险和设置风险管理方针的围及风险准则时，予以考虑。 [ISO 导 则 73:2009, 定 义 3.3.1] 外部状况 external context 组织寻现其目标的外部环境。注：外部环境可包括： ——文化、社会、政治、法律法规、财政金融、技术、经济、自然和竞争环境，无论国际、国家、区域或地方 ——对组织目标具有影响的主要驱动和趋势。 ——与外部利益相关方的关系和其感受和价值观。 [ISO 导则 73:2009定, 义 3.3.1.1] 部状况 internal context 组织寻现其目标的部环境。注：部状况可包括： —— 治理、组织结构、作用和责任； —— 方针、目标、以及实现它们的战略； —— 以资源和知识来理解的能力（如资本、时间、人员、过程、系统和技术）； —— 信息系统、信息流和决策过程（正式和非正式的）； —— 与部利益相关方的关系、以及他们的感受和价值观； —— 组织的文化； —— 标准、指南和组织采用的模式； —— 合同关系的形式和围 [ISO 导则 73:2009定, 义 3.3.1.2] 沟通和协商 communication and consultation 组织