《风险管理—指南》.docx

ICS 03.100.01 A 02 中 华 人 民 共 和 国 国 家 标 准 GB/T24353-202X/ISO31000:2018 风险管理—指南 Risk management — Guidelines （ISO 31000：2018，MOD） （征求意见稿） 202X-XX-XX发布 202X-XX-XX实施 发布国 家 市 场 监 督 管 理 总 局 发布 中 国 国 家 标 准 化 管 理 委 员 会 图1 原则、框架和过程 风险管理——指南 1 范围 本文件为组织管理其所面临的风险提供指南。这些指南可根据各种组织及其环境进行具体的应用。 本文件为管理各种类型的风险提供了一种通用方法，而非仅针对某特定行业或领域。 本文件可用于组织全生命周期的任何活动，包括所有层级的决策制定。 2 规范性引用文件 本文件没有指明规范性引用文件。 3 术语及定义 下列定义和术语适用于本文件。 ISO和IEC设有用于标准化的术语数据库，地址如下： ? ISO在线浏览平台： /obp ? IEC Electropedia： 3.1 风险 risk 不确定性对目标的影响。 注1：影响是指偏离预期，可以是正面的和/或负面的，可能带来机会和威胁。 注2：目标可有不同维度和类型，可应用在不同层级。 注3：通常风险可以用风险源、潜在事件及其后果和可能性来描述。 3.2 风险管理 risk management 指导和控制组织与风险（3.1）相关的协调活动。 3.3 利益相关者 stakeholder 可以影响、被影响或自认为会被某一决策或行动影响的个人或组织。 注1：术语 “利益方”可用来替代“利益相关者”。3.4 风险源 risk source 可能单独或共同引发风险（3.1）的要素。 3.5 事件 event 某些特定情形的产生或变化。 注1：一个事件可以包括一个或多个情形，并且可以由多个原因导致。 注2：事件可以包括预期会发生但没发生的事情，也可能是预期不会发生但却发生的事情。 注3：事件有可能是一个风险源。 3.6 后果 consequence 某事件（3.5）对目标影响的结果。 注1：后果可以是确定的，也可以是不确定的；对目标的影响可以是正面的，也可以是负面的； 可以是直接的，也可以是间接的。 注2：后果可以定性或定量表述。 注3：通过连锁反应和积累效应，最初的后果可能升级。 3.7 可能性 likelihood 某件事发生的机会。 注1：无论是以客观的或主观的、定性或定量的方式来定义、度量或确定，还是用一般词汇或数学术语来描述（如概率，或一定时间内的频率），在风险管理术语中，“可能性”一词都用来表示某事发生的机会。 3.8 控制 control 保持和/或改变风险（3.1）的措施。 注1：控制包括但不限于保持和/或改变风险的任何流程、政策、策略、操作或其他行动。 注2：控制并非总能取得预期的改变效果。 4 原则 风险管理的目的是创造和保护价值。风险管理能够改善绩效、鼓励创新、支持组织目标的实现。 图2列出的这些原则为风险管理的有效性和高效性提供指导、表达了风险管理的价值并解释了风险管理的意图和目的。这些原则是风险管理的基础，应当在确立组织风险管理框架和过程时认真考虑。这些原则有助于组织管理不确定性对目标的影响。 图2 原则 有效的风险管理需要图2中列出的要素，其进一步解释如下。 a) 整合 风险管理是组织所有活动的有机组成部分。 b) 结构化和全面性 采用结构化和全面性的方法开展风险管理，有助于获得一致的和可比较的结果。 c) 定制化 组织根据自身目标所对应的内外部环境，定制设计风险管理框架和过程。 d) 包容性 利益相关者适当、及时的参与，可以使他们的知识、观点和认知得到充分考虑，这样有助于提高组织的风险意识和促进风险管理的合理性/知情性。 e) 动态性 随着组织内外部环境的变化，组织面临的风险可能会出现、变化或消失。风险管理能以适当、及时的方式预测、发现、确认这些变化和事件，并作出响应。 f) 最佳可用信息 风险管理的信息输入要基于历史信息、当前信息以及未来预期。在风险管理过程中应明确考虑与这些信息和预期相关的限制条件和不确定性。信息应当及时、清晰，并且是有关利益相关者可获得的。 g) 人和文化因素 人的行为和文化在各个层级和阶段显著影响着风险管理的各个方面。 h) 持续改进 通过学习和实践，风险管理可以得到不断改进。 5 框架 5.1 总则 风险管理框架