《风险管理—指南》.docxVIP

ICS03.100.01

A02

中华人民共和国国家标准

GB/T24353-202X/ISO31000:2018

风险管理—指南

Riskmanagement—Guidelines

（ISO31000：2018，MOD）

（征求意见稿）

202X-XX-XX发布202X-XX-XX实施

发布国家市场监督管理总局

发布

中国国家标准化管理委员会

引言

本文件旨在帮助组织在制定决策、设定和实现目标以及提升绩效的过程中管理风险，来创造和保护价值。

任何类型和规模的组织都面临各种内、外部因素和影响，导致其目标的实现存在不确定性。这些目标可能关系到组织中从战略决策到运营的各种活动，包括各个过程和具体项目，表现在领导、战略、经营、财务、环境、社会、声誉等各个方面。不确定性对目标的影响就是风险。

风险管理旨在保证组织恰当地应对风险，提高风险应对的效率和效果，增强行动的合理性，有效地配置资源。

风险管理适用于组织的全生命周期及其任何阶段，其适用范围包括整个组织的所有领域和层次，也包括组织的具体部门和活动。管理风险是一个反复迭代/循环提升的过程，有助于组织制定战略、实现目标和做出合理的决策。

管理风险是治理和领导力的一部分，是对组织所有层级进行管理的基础，有助于管理体系的改善。

管理风险是组织所有相关活动的有机组成部分，包括与利益相关者的沟通。

管理风险时要考虑组织的内、外部环境，包括人的行为和文化因素。使风险管理意识成为整个组织文化的一部分。

管理风险所依据的原则、框架和过程如图1所示。风险管理的原则、框架和过程可能已全部或部分地存在于组织内，但可根据需要进行调整或改善，从而使风险管理效果好、效率高并且具有一致性。

图1原则、框架和过程

风险管理——指南

1 范围

本文件为组织管理其所面临的风险提供指南。这些指南可根据各种组织及其环境进行具体的应用。

本文件为管理各种类型的风险提供了一种通用方法，而非仅针对某特定行业或领域。

本文件可用于组织全生命周期的任何活动，包括所有层级的决策制定。

2 规范性引用文件

本文件没有指明规范性引用文件。

3 术语及定义

下列定义和术语适用于本文件。

ISO和IEC设有用于标准化的术语数据库，地址如下：

? ISO在线浏览平台：/obp

? IECElectropedia：

3.1

风险risk

不确定性对目标的影响。

注1：影响是指偏离预期，可以是正面的和/或负面的，可能带来机会和威胁。

注2：目标可有不同维度和类型，可应用在不同层级。

注3：通常风险可以用风险源、潜在事件及其后果和可能性来描述。

3.2

风险管理riskmanagement

指导和控制组织与风险（3.1）相关的协调活动。

3.3

利益相关者stakeholder

可以影响、被影响或自认为会被某一决策或行动影响的个人或组织。

注1：术语“利益方”可用来替代“利益相关者”。

3.4

风险源risksource

可能单独或共同引发风险（3.1）的要素。

3.5

事件event

某些特定情形的产生或变化。

注1：一个事件可以包括一个或多个情形，并且可以由多个原因导致。

注2：事件可以包括预期会发生但没发生的事情，也可能是预期不会发生但却发生的事情。

注3：事件有可能是一个风险源。

3.6

后果consequence

某事件（3.5）对目标影响的结果。

注1：后果可以是确定的，也可以是不确定的；对目标的影响可以是正面的，也可以是负面的；可以是直接的，也可以是间接的。

注2：后果可以定性或定量表述。

注3：通过连锁反应和积累效应，最初的后果可能升级。

3.7

可能性likelihood

某件事发生的机会。

注1：无论是以客观的或主观的、定性或定量的方式来定义、度量或确定，还是用一般词汇或数学术语来描述（如概率，或一定时间内的频率），在风险管理术语中，“可能性”一词都用来表示某事发生的机会。

3.8

控制control

保持和/或改变风险（3.1）的措施。

注1：控制包括但不限于保持和/或改变风险的任何流程、政策、策略、操作或其他行动。

注2：控制并非总能取得预期的改变效果。

4 原则

风险管理的目的是创造和保护价值。风险管理能够改善绩效、鼓励创新、支持组织目标的实现。

图2列出的这些原则为风险管理的有效性和高效性提供指导、表达了风险管理的价值并解释了风险管理的意图和目的。这些原