风险管理 新兴风险管理指南.pdfVIP

风险管理新兴风险管理指南

1范围

本文件提供了管理组织可能面临的新兴风险的建议，并对ISO31000内容进行补充。

本文件适用于任何组织、任何阶段和任何组织活动，其应用可以根据不同组织或不同组织的背景进

行定制。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

ISO22300，安全和韧性-词汇

ISO22316，安全和韧性-组织韧性-原则和属性

ISO31000，风险管理-指南

IEC31010，风险管理-风险评估技术

3术语和定义

下列术语和定义适用于本文件。

3.1

韧性属性resilienceattribute

组织吸收和适应不断变化的环境的能力的特征或特点。

3.2

知识knowledge

通过学习吸收信息所得到的结果。

注1：知识可以通过研究、经验或教育获得。

注2：知识包括与工作或学习领域相关的信息、事实、原则、理论和实践。

注3：知识可以是个体的或集体的。集体知识是通过人们合作并释放他们的隐性和潜意识知识获得的。

[来源：ISO56000:2020，3.4.1]

3.3

情报intelligence

搜集、分析和解释数据、信息和知识的结果

1

注：情报可以是不同种类，例如（但不限于）市场、技术、竞争、知识产权或业务情报。

3.4

组织韧性organizationalresilience

组织在不断变化的环境中吸收、恢复和适应的能力

[来源:IS022300:2021，3.1.167，修改后--在定义中增加了“恢复”一词，将“环境”一词替换为“上

下文”。]

3.5

激进式创新radicalinnovation

突破性创新breakthroughinnovation

具有高度变革的创新。

注1:改变可能与实体或其影响有关。

注2:激进式创新处于渐进式创新连续体的另一端。

[来源:IS056000:2020，3.1.1.1]

3.6

颠覆性创新disruptiveinnovation

创新最初是为了解决较低的需求，取代现有产品需要

注1:与现有产品相比，颠覆性创新最初是性能较低、更简单的产品，通常更具成本效益，所需资源

更少，成本更低。

注2:当有大部分的用户或客户采用了该创新时，就会发生中断。

注3:颠覆性创新可以通过解决新用户和部署新的业务和价值实现模式来创造新的市场和价值网络。

[来源:IS056000:2020，3.1.1.1.2]

4新兴风险

4.1新兴风险的性质

新兴风险的性质（参见附录A中的示例和附录B中收集的数据示例）可能包括：

a)组织先前未能识别或经历过的风险；

b)在现有知识不适用的新的或陌生的背景下出现熟悉的风险；

c)显著演变的风险；

d)系统性风险（参见附录C）；

e)风险的新组合。

如果组织不考虑新兴风险，并不意味着该组织不会受到影响。在很多案例中，最初不可能制定与

利益相关的情景，来预估事件可能性、预测结果或确定控制方案。为了更好理解特定新兴风险的性质，

2

应该考虑更易理解的相似风险的性质。

上述风险可能源于组织追求实现其目标的变化，例如：

a)组织关系；

b)获取资本和能力；

c)与社会、地缘政治、环境、经济、技术、法律、观念（参见附录D）和伦理因素的相互作用或

相互依赖关系；

d)业务的内部治理、文化和运营方面。

应通过观察组织环境的变化，主动识别和描述新兴风险。新兴风险通常由一组以前未被认识到的

新情况或条件，或已识别的风险特征的变化代表。这些变化可能与以下方面有关：

a)社会规范；

b)组织文化；

c)观念；

d)关于风险或风险演变方式的数据，或根据数据解释的信息。

注：风险出现时，背景中几乎没有预见性。

4.2新兴风险的特征

4.2.1概述

有效和高效地管理新兴风险需要不断获取组织功能、背景、经验、数据访问和新