前言—風險無處不在

了解風險

默菲定律

ISO 9001 & IATF 16949 中對風險管理的要求

GB/T 24353-2009 風險管理 原則與實施指南

前言

本標準的預期使用者是組織的利益相關(guān)者，如：

?組織的決策者；

?組織內(nèi)部負責制定風險管理政策的人員；

?組織或活動中實施風險管理的人員；

?需要對組織的風險管理實踐進行評估的人員；

?組織中負責制定有關(guān)風險管理的標準、指南、程序、應用準則的人員；

?股東、董事會、高級管理人員、員工、債權(quán)人、供應商、顧客、銀行、監(jiān)管機構(gòu)、合作伙伴等，以及其他需要確保組織管理其風險的人員。

考慮到風險的性質(zhì)、重要程度和復雜性等方面的多樣性，在實際應用時，組織可使用本標準提供的方法，識別具體的風險管理環(huán)境，以確保風險管理的合理性和適用性。

許多組織在現(xiàn)有的管理實踐和過程中已經(jīng)實施了風險管理，或者已經(jīng)對某些特定風險或具體領(lǐng)域采用了正式的風險管理過程，如內(nèi)部控制。管理層可對照本標準對現(xiàn)有的風險管理實踐和過程進行檢查。

本標準是通用標準，旨在協(xié)調(diào)現(xiàn)有的和將來的標準中有關(guān)風險管理的內(nèi)容。本標準提供通用的方法，為制定具體風險或具體行業(yè)的標準提供支持，而不是為了替代這些標準。

1 范圍

本標準提供了風險管理的原則和通用的實施指南。

本標準適用于各種類型和規(guī)模的組織，適用于組織的全生命周期及其各階段，也適用于組織的各種活動，包括流程管理、職能行為、項目管理以及與產(chǎn)品、服務、資產(chǎn)、運作和決策等有關(guān)的各項活動。

本標準提供實施風險管理的通用指南，但風險管理的具體實施取決于組織的實際需求和具體實踐。

2 規(guī)范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。

GB/T 23694 風險管理 術(shù)語

3 術(shù)語和定義

GB/T 23694 確立的術(shù)語和定義適用于本標準。

(GB/T 23694 中部分術(shù)語和定義)

3.1.1 風險 risk

某一事件（3.1.4）發(fā)生的概率（3.1.3）和其后果（3.1.2）的組合

注1：術(shù)語“風險”通常僅應用于至少有可能會產(chǎn)生負面結(jié)果的情況。

注2：在某些情況下，風險起因于與預期的后果或事件偏離的可能性。

注3：與安全有關(guān)的概念，參加GB/T 20000.4-2003.

4 風險管理原則

為有效管理風險，組織在實施風險管理時，可遵循下列原則：

a)控制損失，創(chuàng)造價值

以控制損失、創(chuàng)造價值為目標的風險管理，有助于組織實現(xiàn)目標、取得具體可見的成績和改善各方面的業(yè)績，包括人員健康和安全、合規(guī)經(jīng)營、信用程度、社會認可、環(huán)境保護、財務績效、產(chǎn)品質(zhì)量、運營效率和公司治理等方面。

b)融入組織管理過程

風險管理不是獨立于組織主要活動和各項管理過程的單獨的活動，而是組織管理過程不可缺少的重要組成部分。

c)支持決策過程

組織的所有決策都應考慮風險和風險管理。風險管理旨在將風險控制在組織可接受的范圍內(nèi)，有助于判斷風險應對是否充分、有效，有助于決定行動優(yōu)先順序并選擇可行的行動方案，從而幫助決策者做出合理的決策。

d)應用系統(tǒng)的、結(jié)構(gòu)化的方法

系統(tǒng)的、結(jié)構(gòu)化的方法有助于風險管理效率的提升，并產(chǎn)生一致、可比、可靠的結(jié)果。

e)以信息為基礎(chǔ)

風險管理過程要以有效的信息為基礎(chǔ)。這些信息可通過經(jīng)驗、反饋、觀察、預測和專家判斷等多種渠道獲取，但使用時要考慮數(shù)據(jù)、模型和專家意見的局限性。

f)環(huán)境依賴

風險管理取決于組織所處的內(nèi)部和外部環(huán)境以及組織所承擔的風險。需要特別指出的是，風險管理受人文因素的影響。

g)廣泛參與、充分溝通

組織的利益相關(guān)者之間的溝通，尤其是決策者在風險管理中適當、及時的參與，有助于保證風險管理的針對性和有效性。

利益相關(guān)者的廣泛參與有助于其觀點在風險管理過程中得到體現(xiàn)，其利益訴求在決定組織的風險偏好時得到充分考慮。利益相關(guān)者的廣泛參與要建立在對其權(quán)利和責任明確認可的基礎(chǔ)上。

利益相關(guān)者之間需要進行持續(xù)、雙向和及時的溝通，尤其是在重大風險事件和風險管理有效性等方面需要及時溝通。

3.2.1 利益相關(guān)者 stakeholder

可以影響風險（3.1.1）、受到風險影響或自認為會受到風險影響的任何個人、團體或組織。

注1：決策者也是利益相關(guān)者之一。

注2：術(shù)語“利益相關(guān)者”包含GB/T 19000-2008中定義的“相關(guān)方”。

h)持續(xù)改進

風險管理是適應環(huán)境變化的動態(tài)過程，其各步驟之間形成一個信息反饋的閉環(huán)。隨著內(nèi)部和外部事件的發(fā)生、組織環(huán)境和知識的改變以及監(jiān)督和檢查的執(zhí)行，有些風險可能會發(fā)生變化，一些新的風險可能會出現(xiàn)，另一些風險則可能消失。因此，組織應持續(xù)不斷的對各種變化保持敏感并做出恰當反應。組織通過績效測量、檢查和調(diào)整等手段，使風險管理得到持續(xù)改進。

5 風險管理過程

3 術(shù)語和定義

3.3.1 風險評估 risk assessment

包括風險分析（3.3.2）和風險評價（3.3.6）在內(nèi)的全部過程。

注：此術(shù)語在GB/T 20000.4-2003中為“風險評定” 。

3.3.3 風險識別 risk identification

發(fā)現(xiàn)、列舉和描述風險（3.1.1）要素的過程。

注1：要素可以包括來源或危險（源）、事件、后果和概率。

注2：風險識別也可以反映出利益相關(guān)者關(guān)注的問題。

3.3.2 風險分析 risk analysis

系統(tǒng)地運用相關(guān)信息來確定風險的來源（3.1.5），并對風險（3.1.1）進行估計。

注1：風險分析為風險評價、風險處理和風險承受提供了一個基礎(chǔ)。

注2：信息可以包括歷史數(shù)據(jù)、理論分析、基于可靠信息的見解以及利益相關(guān)者的關(guān)注。

注3：有關(guān)安全方面的問題參加GB/T 20000.4-2003.

3.3.5 風險估計 risk estimation

對風險（3.1.1）的概率（3.1.3）及后果（3.1.2）進行賦值的過程。

注：風險估計可以考慮成本、收益、利益相關(guān)者的利害關(guān)系，以及其他各種用于風險評價的因素。

3.3.6 風險評價 risk evaluation

將估計后的風險（3.1.1）與給定的風險準則（3.1.6）對比，來決定風險嚴重性的過程。

注1：風險評價有助于做出接受還是處理某一個風險的決策。

注2：關(guān)于安全方面的風險評價參加GB/T 20000.4-2003.

3.1.6 風險準則 risk criteria

評價風險（3.1.1）嚴重性的依據(jù)

注：風險準則包括相關(guān)的成本及收益，法律法規(guī)要求，社會經(jīng)濟及環(huán)境因素，利益相關(guān)者的態(tài)度，優(yōu)先次序和在評估過程中的其他要素。

5.2 明確環(huán)境信息

5.2.1 概述

通過明確環(huán)境信息，組織可明確其風險管理的目標，確定與組織相關(guān)的內(nèi)部和外部參數(shù)，并確定風險管理的范圍和有關(guān)風險準則。

5.2.2 外部環(huán)境信息

外部環(huán)境信息是組織在實現(xiàn)目標過程中所面臨的外界環(huán)境的歷史、現(xiàn)在和未來的各種相關(guān)信息。

為保證在制定風險準則時能充分考慮外部利益相關(guān)者的目標和關(guān)注點，組織需要了解外部環(huán)境信息。外部環(huán)境信息以組織所處的整體環(huán)境為基礎(chǔ)，包括法律和監(jiān)管要求、利益相關(guān)者的訴求和具體分析管理過程相關(guān)的其它方面的信息等。

外部環(huán)境信息包括但不限于：

?國際、國內(nèi)、地區(qū)及當?shù)氐恼?、?jīng)濟、文化、法律、法規(guī)、技術(shù)、金融以及自然環(huán)境和競爭環(huán)境；

?影響組織目標實現(xiàn)的外部關(guān)鍵因素及其歷史和變化趨勢；

?外部利益相關(guān)者及其訴求、價值觀、風險承受度；

?外部利益相關(guān)者與組織的關(guān)系等。

5.2.3 內(nèi)部環(huán)境信息

內(nèi)部環(huán)境信息是組織在實現(xiàn)目標過程中所面臨的內(nèi)在環(huán)境的歷史、現(xiàn)在和未來的各種相關(guān)信息。

風險管理過程要與組織的文化、經(jīng)營過程和機構(gòu)相適應，包括組織內(nèi)影響其風險管理的任何事物。組織需明確內(nèi)部環(huán)境信息，因為：

?風險可能會影響組織戰(zhàn)略、日常經(jīng)營或項目運營等各個方面，從而進一步會影響組織的價值、信用和承諾等；

?風險管理在組織的特定目標和管理條件下進行；

?具體活動的目標和有關(guān)準則應放到組織整體目標環(huán)境中考慮。

內(nèi)部環(huán)境信息可包括：

?組織的方針、目標以及經(jīng)營戰(zhàn)略；

?資源和知識方面的能力（如資金、時間、人力、過程、系統(tǒng)和技術(shù)）；

?信息系統(tǒng)、信息流和決策過程（包括正式的和非正式的）；

?內(nèi)部利益相關(guān)者及其訴求、價值觀、風險承受度；

?采用的標準和模型；

?組織機構(gòu)（包括治理結(jié)構(gòu)、任務和責任等）、管理過程和措施；

?與風險管理實施過程有關(guān)的環(huán)境信息等。

其中，風險管理過程的環(huán)境信息根據(jù)組織的需要而改變，它包括但不限于：

?所開展的風險管理工作的范圍和目標，以及所需要的資源；

?風險管理過程的職責；

?應執(zhí)行的風險管理活動的深度和廣度；

?風險管理活動與組織其他活動之間的關(guān)系；

?風險評估的方法和使用的數(shù)據(jù)；

?風險管理績效的評價方法；

?需要制定的決策；

?風險準則等

5.2.4 確定風險準則

風險準則是組織用于評價風險重要程度的標準。因此，風險準則需體現(xiàn)組織的風險承受度，應反映組織的價值觀、目標和資源。有些風險準則直接或間接反映了法律和法規(guī)要求或其他需要組織遵循的要求。風險準則應當與組織的風險管理方針一致。具體的風險準則應盡可能在風險管理過程開始時制定，并持續(xù)不斷地檢查和完善。

確定風險準則時要考慮以下因素：

?可能發(fā)生的后果的性質(zhì)、類型以及后果的度量；

?可能性的度量；

?可能性和后果的時限；

?風險的度量方法；

?風險等級的確定；

?利益相關(guān)者可接受的風險或可容許的風險等級；

?多種風險的組合的影響。

通過對以上因素及其他相關(guān)因素的關(guān)注，將有助于保證組織所采用的風險管理方法適合于組織現(xiàn)狀及其所面臨的風險。

5.3 風險評估（在GB/T 27921-2011中有更詳細的解析）

5.3.1 概述

風險評估包括風險識別、風險分析和風險評價三個步驟。

5.3.2 風險識別

風險識別是通過識別風險源、影響范圍、事件及其原因和潛在的后果等，生成一個全面的風險列表。識別風險不僅要考慮有關(guān)事件可能帶來的損失，也要考慮其中蘊含的機會。

進行風險識別時要掌握相關(guān)的和最新的信息，必要時，需包括適用的背景信息。除了識別可能發(fā)生的風險事件外，還要考慮其可能的原因和可能導致的后果，包括所有重要的原因和后果。不論風險事件的風險源是否在組織的控制之下，或其原因是否已知，都應對其進行識別。此外，要關(guān)注已經(jīng)發(fā)生的風險事件，特別是新近發(fā)生的風險事件。

識別風險需要所有相關(guān)人員的參與。組織所采用的風險識別工具和技術(shù)應當適合于其目標、能力及其所處環(huán)境。

5.3.3 風險分析

風險分析是根據(jù)風險類型、獲得的信息和風險評估結(jié)果的使用目的，對識別出的風險進行定性和定量的分析，為風險評價和風險應對提供支持。風險分析要考慮導致風險的原因和風險源、風險事件的正面和負面的后果及其發(fā)生的可能性、影響后果和可能性的因素、不同風險及其風險源的相互關(guān)系以及風險的其它特性，還要考慮現(xiàn)有的管理措施及其效果和效率。

在風險分析中，應考慮組織的風險承受度及其對前提和假設(shè)的敏感性，并適時與決策者和其它利益相關(guān)者有效地溝通。另外，還要考慮可能存在的專家觀點中的分歧及數(shù)據(jù)和模型的局限性。

根據(jù)風險分析的目的、獲得的信息數(shù)據(jù)和資源，風險分析可以是定性的、半定量的、定量的或以上方法的組合。一般情況下，首先采用定性分析，初步了解風險等級和揭示主要風險。適當時，進行更具體和定量的風險分析。

后果和可能性可通過專家意見確定，或通過對事件或事件組合的結(jié)果建模確定，也可通過對實驗研究或可獲得的數(shù)據(jù)的推導確定。對后果的描述可表達為有形或無形的影響。在某些情況下，可能需要多個指標來確切描述不同時間、地點、類別或情形的后果。

5.3.4 風險評價

風險評價是將風險分析的結(jié)果與組織的風險準則比較，或者在各種風險的分析結(jié)果之間進行比較，確定風險等級，以便作出風險應對的決策。如果該風險是新識別的風險，則應當制定相應的風險準則，以便評價該風險。

風險評價的結(jié)果應滿足風險應對的需要，否則，應做進一步分析。有時，根據(jù)已經(jīng)制定的風險準則，風險評價使組織作出維持現(xiàn)有的風險應對措施，不采取其它新的措施的決定。

5.4 風險應對

5.4.1 概述

風險應對是選擇并執(zhí)行一種或多種改變風險的措施，包括改變風險事件發(fā)生的可能性或后果的措施。風險應對決策應當考慮各種環(huán)境信息，包括內(nèi)部和外部利益相關(guān)者的方向承受度，以及法律、法規(guī)和其它方面的要求等。

風險應對措施的制訂和評估可能是一個遞進的過程。對于風險應對措施，應評估其剩余風險是否可以承受。如果剩余風險不可承受，應調(diào)整或制定新的風險應對措施，并評估新的風險應對措施的效果，直到剩余風險可以承受。執(zhí)行風險應對措施會引起組織風險的改變，需要跟蹤、監(jiān)督風險應對的效果和組織的有關(guān)環(huán)境信息，并對變化的風險進行評估，必要時持續(xù)制定風險應對措施。

可能的風險應對措施之間不一定互相排斥。一個風險應對措施也不一定在所有條件下都適合。風險應對措施可包括下列各項：

?決定停止或退出可能導致風險的活動以規(guī)避風險；

?增加風險或承擔新的風險以尋求機會；

?消除具有負面影響的風險源；

?改變風險事件發(fā)生的可能性的大小及其分布的性質(zhì)；

?改變風險事件發(fā)生的可能后果；

?轉(zhuǎn)移風險；

?分擔風險

?保留風險等。

5.4.2 選擇風險的應對措施

選擇適當?shù)娘L險應對措施時需考慮很多方面，比如：

?法律、法規(guī)、社會責任和環(huán)境保護等方面的要求；

?風險應對措施的實施成本與收益（有些風險可能需要組織考慮采用經(jīng)濟上看起來不合理的風險應對決策，例如可能帶來嚴重的負面后果但發(fā)生可能性低的風險事件）；

?選擇幾種應對措施，將其單獨或組合使用；

?利益相關(guān)者的訴求和價值觀、對風險的認知和承受度以及對某一些風險應對措施的偏好。

風險應對措施在實施過程中可能會失靈或無效。因此，要把監(jiān)督作為風險應對措施的實施計劃的有機組成部分，以保證應對措施持續(xù)有效。

風險應對措施可能引起次生風險，對次生風險也需要評估、應對、監(jiān)督和檢查。在原有的風險應對計劃中要加入這些次生風險的內(nèi)容，而不應將其作為新風險而獨立對待。為此需要識別并檢查原有風險與次生風險之間的聯(lián)系。當風險應對措施影響到組織內(nèi)其它領(lǐng)域的風險或影響到其它利益相關(guān)者時，要評估這些影響，并與有關(guān)利益相關(guān)者溝通，必要時調(diào)整風險應對措施。

決策者和其它利益相關(guān)者應當清楚在采取風險應對措施后的剩余風險的性質(zhì)和程度。

5.4.3 制定風險應對計劃

在選擇了風險應對措施之后，需要制定相應的風險應對計劃。風險應對計劃中應當包括以下信息：

?預期的收益；

績效指標及其考核方法

?風險管理責任人及實施風險應對措施的人員安排；

?風險應對措施涉及的具體業(yè)務和管理活動；

?選擇多種可能的風險應對措施時，實施風險應對措施的優(yōu)先次序；

?報告和監(jiān)督、檢查的要求；

?與適當?shù)睦嫦嚓P(guān)者的溝通安排；

?資源需求，包括應急機制的資源需求；

?執(zhí)行時間表等。

風險應對計劃要與組織的管理過程整合。

5.5 監(jiān)督和檢查

組織應明確界定監(jiān)督和檢查的責任。

監(jiān)督和檢查可能包括：

?監(jiān)測事件，分析變化及其趨勢并從中吸取教訓；

?發(fā)現(xiàn)內(nèi)部和外部環(huán)境信息的變化，包括風險本身的變化、可能導致的風險應對措施及其實施優(yōu)先次序的改變；

?監(jiān)督并記錄風險應對措施實施后的剩余風險，以便在適當時作出進一步處理；

?適當時，對照風險應對計劃，檢查工作進度與計劃的偏差，保證風險應對措施的設(shè)計和執(zhí)行有效；

?報告關(guān)于風險、風險應對計劃的進度和風險管理方針的遵循情況；

?實施風險管理績效評估。

風險管理績效評估應被納入到組織的績效管理以及組織對內(nèi)、對外的報告體系之中。

監(jiān)督和檢查活動包括常規(guī)檢查、監(jiān)控已知風險、定期或不定期檢查。定期或不定期檢查都應被列入風險應對計劃。

適當時，監(jiān)督和檢查的結(jié)果應當有記錄并對內(nèi)或?qū)ν鈭蟾妗?/span>

5.6 溝通和記錄

5.6.1 溝通

組織在風險管理過程的每一個階段都應當與內(nèi)部和外部利益相關(guān)者有效溝通，以保證實施風險管理的責任人和利益相關(guān)者能夠理解組織風險管理決策的依據(jù)，以及需要采取某些行動的原因。

由于利益相關(guān)者的價值觀、訴求、假設(shè)、認知和關(guān)注點不同，其風險偏好也不同，并可能對決策有重要影響。因此，組織在決策過程中應當與利益相關(guān)者進行充分溝通，識別并記錄利益相關(guān)者的風險偏好。

5.6.2 記錄

在風險管理過程中，記錄是實施和改進整個風險管理過程的基礎(chǔ)。

建立記錄應當考慮以下方面：

?出于管理的目的而重復使用信息的需要；

?進一步分析風險和調(diào)整風險應對措施的需要；

?風險管理活動的可追溯要求；

?溝通的需要；

?法律、法規(guī)和操作上對記錄的需要；

?組織本身持續(xù)學習的需要；

?建立和維護記錄所需的成本和工作量；

?獲取信息的方法、讀取信息的容易程度和儲存媒介；

?記錄保留期限；

?信息的敏感性。

6 風險管理的實施

6.1 概述

組織實施風險管理過程（見第5章）需要一個風險管理體系，包括相關(guān)方針、組織機構(gòu)、工作程序、資源配置、信息溝通機制以及相關(guān)的技術(shù)手段等基礎(chǔ)設(shè)施，以便將風險管理嵌入到組織的各個層級和活動之中。

通過在組織的不同層級和特定環(huán)境內(nèi)實施風險管理過程，風險管理體系幫助組織有效地管理風險。組織的風險管理體系可能由在各層級和特定環(huán)境內(nèi)實施風險管理過程的子體系構(gòu)成，如內(nèi)部控制體系等。

風險管理體系應當保證風險管理過程中的風險信息的充分溝通，并且在相關(guān)的組織層次范圍內(nèi)作為決策和問責的依據(jù)使用。組織要在檢查的基礎(chǔ)上，作出如何改進風險管理體系、方針和風險應對計劃的決策，從而引導組織的風險管理和風險管理文化的改進。

風險管理體系的要素主要包括：

?風險管理方針；

?適當?shù)闹贫群统绦?，使風險管理嵌入到組織的所有活動和過程中；

?與組織結(jié)構(gòu)相關(guān)的職責，及有關(guān)的與組織的績效指標一致的風險管理績效指標；

?資源分配；

?與所有利益相關(guān)者溝通風險管理的機制；

?技術(shù)手段、方法、工具等。

6.3 風險管理程序

組織應當設(shè)計適當?shù)闹贫群托袨橐?guī)范，建立風險管理工作程序，特別是整個組織層面的風險管理計劃，以保證風險管理嵌入到組織的所有活動和過程之中，尤其是組織的戰(zhàn)略規(guī)劃、運營過程以及變革管理之中。

6.4 風險管理相關(guān)組織結(jié)構(gòu)

組織可通過以下方法保證風險管理的責任認定和授權(quán)，從而能夠執(zhí)行風險管理過程，并保證風險管理的充分性和有效性：

?明確風險管理體系的制定、實施和維護人員的職責；

?明確執(zhí)行風險應對措施、維護風險管理體系和報告相關(guān)風險信息人員的職責；

?建立批準、授權(quán)制度；

?建立績效測量及相應的合適的獎勵、懲罰制度；

?建立對內(nèi)對外的報告機制等。

6.5 風險管理資源配置

組織需要根據(jù)風險管理計劃制定可行的方法，為風險管理分配適當?shù)馁Y源。具體要考慮下列各項：

?人員、技術(shù)、經(jīng)驗和能力；

?風險管理過程每一階段所需要的資金及各種資源；

?數(shù)據(jù)記錄的過程和程序步驟；

?信息和知識管理系統(tǒng)。

6.6 溝通和報告機制

6.6.1 內(nèi)部溝通和報告機制

組織要建立內(nèi)部溝通和報告的機制，以保證：

?風險管理體系的關(guān)鍵組成部分及其調(diào)整得到適當?shù)臏贤ǎ?/span>

?在組織內(nèi)部充分報告風險應對計劃實施的效果和效率；

?在適當?shù)膶哟魏蜁r間提供風險管理的相關(guān)信息；

?建立與內(nèi)部利益相關(guān)者協(xié)商的程序。

內(nèi)部溝通和報告機制還包括在考慮到組織敏感程度的基礎(chǔ)上，適當整合從各內(nèi)部渠道得到的風險信息的程序。

6.6.2 外部溝通和報告機制

組織需建立與外部利益相關(guān)者溝通的機制，這種機制應當保證：

?組織的對外報告符合法律、法規(guī)和公司治理要求；

?組織與外部利益相關(guān)者保持有效的信息溝通；

?在外部利益相關(guān)者中建立對組織的信息；

?在發(fā)生突發(fā)事件、危機和緊急狀況時與利益相關(guān)者溝通；

?為組織提供外部利益相關(guān)者的報告和反饋。

參考文獻

（略）

根據(jù)我公司的運營實際：

1、策劃公司的風險管理流程；

2、根據(jù)第一次練習識別的各類風險建立對應的風險管理工具；

3、練習時間：20分鐘；

風險分類及其應對

5 風險評估過程

5.2 風險識別

風險識別是發(fā)現(xiàn)、列舉和描述風險要素的過程。

風險識別的目的是確定可能影響系統(tǒng)或組織目標得以實現(xiàn)的事件或情況。一旦風險得以識別，組織應對現(xiàn)有的控制措施（諸如設(shè)計特性、人員、過程和系統(tǒng)等）進行識別。

風險識別過程包括對風險源、風險事件及其原因和潛在后果的識別。

風險識別方法可能包括：

?基于證據(jù)的方法，例如檢查表法以及對歷史數(shù)據(jù)的評審；

?系統(tǒng)性的團隊方法，例如一個專家團隊遵循系統(tǒng)化的過程，通過一套結(jié)構(gòu)化的提示或問題來識別風險；

?歸納推理技術(shù)，例如危險與可操作性分析方法等。

組織可利用各種支持性的技術(shù)來提高風險識別的準確性和完整性，包括頭腦風暴法和德爾菲法等。

無論實際采用哪種技術(shù)，關(guān)鍵是在整個風險識別過程中要認識到人的因素和組織因素的重要性。因此，偏離預期的認為及組織因素也應被納入風險識別的過程中。

5.3 風險分析

5.3.1 概述

風險分析是要增進對風險的理解。它為風險評價、決定風險是否需要應對以及最適當?shù)膽獙Σ呗院头椒ㄌ峁┬畔⒅С帧?/span>

風險分析需要考慮導致風險的原因和風險源、風險事件的正面和負面的后果及其發(fā)生的可能性、影響后果和可能性的因素、不同風險及其風險源的相互關(guān)系以及風險的其他特性，還要考慮控制措施是否存在及其有效性。附錄B提供了一些常用的風險分析方法。對于復雜的應用可能需要多種方法同時使用。

為確定風險等級，風險分析通常包括對風險的潛在后果范圍和發(fā)生可能性的估計，該后果可能源于一個事件、情景或狀況。然而，在某些情況下，如后果很不重要，或發(fā)生的可能性極小，這時單項參數(shù)的估計可能就足以進行決策。

在某些情況下，風險可能是一系列事件迭加產(chǎn)生的結(jié)果，或者由一些難以識別的特定事件所誘發(fā)。在這種情況下，風險評估的重點是分析系統(tǒng)各組成部分的重要性和薄弱環(huán)節(jié)，檢查并確定相應的防護和補救措施。

用于風險分析的方法可以是定性的、半定性的、定量的或以上方法的組合。風險分析所需的詳細程度取決于特定的用途、可獲得的可靠數(shù)據(jù)，以及組織決策的需求。

定性的風險分析可通過重要性等級來確定風險后果、可能性和風險等級，如“高”、“中”、“低”3個重要性程度，可以將后果和可能性兩者結(jié)合起來，并對照定性的風險準則來評價風險等級的結(jié)果。

半定量法可利用數(shù)字評級量表來測度風險的后果和發(fā)生可能性，并運用公式將二者結(jié)合起來，確定風險等級。量表的刻度可以是線性的，或者是對數(shù)的，或其他形式。

定量分析可估計出風險后果及其發(fā)生可能性的實際數(shù)值，并產(chǎn)生風險等級的數(shù)值。由于相關(guān)信息不夠全面、缺乏數(shù)據(jù)、認為因素影響等，或是因為定量分析難以開展或沒有必要，全面的定量分析未必都是可行的或值得的。在此情況下，由具有專業(yè)知識和經(jīng)驗的專家對風險進行半定量或者定性的分析可能已經(jīng)足夠有效。

如果是定性分析，那么應該對使用的術(shù)語和概念進行清晰的說明，并記錄所有風險準則的設(shè)定基礎(chǔ)。

即使已實現(xiàn)全面的定量分析，還應注意到，此時計算獲得的風險等級值是估計值，應謹慎的確保其精度不會與所使用的原始數(shù)據(jù)及分析方法的精確度存在偏差。

風險等級應當用與風險類型最為匹配的術(shù)語表達，以利于進一步的風險評價。在某些情況下，風險等級可以通過風險后果的可能性分布來表述。

5.3.2 控制措施評估

風險的等級水平不僅取決于風險本身，還與現(xiàn)有風險控制措施的充分性和有效性密切相關(guān)。

在進行控制措施評估時，需要解決的問題包括：

?對于一個具體的風險，現(xiàn)有的控制措施是什么？

?這些控制措施是否足以應對風險，是否可以將風險控制在可接受范圍內(nèi)？

?在實際中，控制措施是否在以預定方式正常運行，當需要時，能否證明這些控制措施是有效的？

對于特定的控制措施或一套相關(guān)控制措施的有效性水平，可以進行定性、半定量或定量的表述。但在大多數(shù)情況下，難以保證高度的精確性。然而，表述和記錄測量風險控制效果的有效性是有價值的。因為在改進現(xiàn)有控制措施以及實施不同的風險應對措施時，這些信息有助于決策者進行比較和判斷。

5.3.3 后果分析

通過假設(shè)特定事件、情況或環(huán)境已經(jīng)出現(xiàn)，后果分析可確定風險影響的性質(zhì)和類型。某個事件可能會產(chǎn)生一系列不同嚴重程度的影響，也可能影響到一系列目標和不同利益相關(guān)者。在明確環(huán)境信息時，就應當確定所需要分析的后果的類型和受影響的利益相關(guān)方。

后果分析的形式較為靈活，可以是對后果的簡單描述，也可能是制定詳細的數(shù)量模型等。

影響可能是輕微后果高概率，或嚴重后果低概率，或某些中間狀況。在某些情況下，應關(guān)注具有潛在嚴重后果的風險，因為這些風險往往是管理者最關(guān)心的。在其他情況下，同時分析具有嚴重后果和輕微后果的風險可能是重要的。例如，頻繁而輕微的問題可能具有很大的累積或長期效應。另外，處理這兩類截然不同的風險的應對措施往往有很大的區(qū)別，因此分別分析這兩類風險是必要的。

5.3.3 后果分析

后果分析應包括：

?考慮應對后果的現(xiàn)有控制措施，并關(guān)注可能影響后果的相關(guān)因素；

?將風險后果與最初目標聯(lián)系起來；

?對馬上出現(xiàn)的后果和那些經(jīng)過一段時間后可能出現(xiàn)的后果兩種情況要同等重視；

?不能忽視次要后果，例如那些影響相關(guān)系統(tǒng)、活動、設(shè)備或組織的次要后果。

5.3.4 可能性分析

通常主要使用三種方法來評估可能性。這些方法可單獨或組合使用，包括：

a)利用相關(guān)歷史數(shù)據(jù)來識別那些過去發(fā)生的事件或情況，借此推斷出它們在未來發(fā)生的可能性。所使用的數(shù)據(jù)應當與正在分析的系統(tǒng)、設(shè)備、組織或活動的類型有關(guān)。如果某些事件過去的發(fā)生頻率很低，則任何可能性的估計都是不確定的。這一點尤其適用于從未發(fā)生的事件、情況或環(huán)境，人們無法推測其將來是否會發(fā)生。

b)利用故障樹和事件樹等技術(shù)來預測可能性。當歷史數(shù)據(jù)無法獲取或不夠充分時，有必要通過分析系統(tǒng)、活動、設(shè)備或組織及其相關(guān)的失效或成功狀況來推斷風險發(fā)生的可能性。

c)系統(tǒng)化和結(jié)構(gòu)化的利用專家觀點來估計可能性。專家判斷應利用一切現(xiàn)有的相關(guān)信息，包括歷史的、特定系統(tǒng)的、具體組織的、實驗及設(shè)計等方面的信息。獲得專家判斷的正式方法眾多，常用的方法包括德爾菲法和層次分析法等。

5.3.5 初步分析

應對風險進行全面的篩選，以識別出最重大的風險或把不太重要和次要的風險排除，便于進一步的分析，由此確保組織資源能集中于應對最嚴重的風險。進行篩選時，應注意不要漏掉發(fā)生頻率低但有重大累積效應的風險。

以上篩選活動應在明確環(huán)境信息時所確定的風險準則基礎(chǔ)上進行。依據(jù)初步分析的結(jié)果，組織可能采取以下某個方案：

?無需進一步評估，立即進行風險應對；

?擱置暫不需應對的不重要風險；

?繼續(xù)進行更細致的風險評估。

應記錄最初的假定及結(jié)果。

5.3.6 不確定性及敏感性

在風險分析過程中經(jīng)常會涉及到相當多的不確定性。認識這些不確定性對于有效的解釋和溝通風險分析結(jié)果是必要的。這些不確定性與在風險識別和風險分析時所使用的數(shù)據(jù)、方法及模型有關(guān)。不確定性分析包括明確風險分析結(jié)果的方差或不確定性，它們可能來自于用于確定結(jié)果的參數(shù)和假設(shè)的共同偏差。

與不確定性分析密切相關(guān)的是敏感性分析。敏感性分析是確定某個參數(shù)輸入的變化對風險等級的影響。這項分析可用來識別哪些數(shù)據(jù)數(shù)據(jù)是對結(jié)果影響較大的，從而更應確保其精確性。

應盡可能充分闡述風險分析的完整性及準確度。如有可能，應識別不確定性的起因，并闡述所使用數(shù)據(jù)、方法及模型的不確定性。敏感的參數(shù)及其敏感性程度應予以說明。

5.4 風險評價

風險評價包括將風險分析的結(jié)果與預先設(shè)定的風險準則相比較，或者在各種風險的分析結(jié)果之間進行比較，確定風險的等級。

風險評價利用風險分析過程中所獲得的對風險的認識，對未來的行動進行決策。道德、法律、財務以及包括風險感知在內(nèi)的其他因素，也是決策的參考信息。

決策包括：

?某個風險是否需要應對；

?風險的應對優(yōu)先次序；

?是否應開展某項應對活動；

?應該采取哪些途徑。

在明確環(huán)境信息時，需要做出的決策的性質(zhì)以及決策所依據(jù)的準則都已得到確定。但是在風險評價階段，需要對以上問題進行更深入的分析，畢竟此時對于已識別的具體風險有更為全面的了解。如果該風險是新識別的風險，則應當制定相應的風險準則，以便評價該風險。

最簡單的風險評價結(jié)果，是僅將風險分為兩種：需要應對與無需應對的。這樣的方式無疑簡單易行，但是其結(jié)果通常難以反映出發(fā)現(xiàn)估計時的不確定性，而且兩類風險界限的準確界定也絕非易事。

是否以及如何應對風險的決策，也可能取決于承擔風險的成本與收益以及實施應對措施的成本與收益。

依據(jù)風險的可容許程度，可以將風險劃分為如下3個區(qū)域：

?不可接受區(qū)域。在該區(qū)域內(nèi)無論相關(guān)活動可以帶來什么收益，風險等級都是無法承受的，必須不惜代價進行風險應對；

?中間區(qū)域。對該區(qū)域內(nèi)風險的應對需要考慮實施應對措施的成本與收益，并權(quán)衡機遇與潛在后果；

?廣泛可接受區(qū)域。該區(qū)域中的風險等級微不足道，或者風險很小，無需采取任何風險應對措施。

安全工程領(lǐng)域的“最低合理可行”或ALARP(As Low As Reasonably Practicable)準則即遵循了這一風險分級方式。在中間區(qū)域（或稱ALARP區(qū)域）中，對于較低的風險可以直接進行應對措施的成本收益分析：如果增加安全的投入對安全效益的貢獻不大，則可認為分析是可容許的；對于其中較高的風險，則需進一步實施應對措施，以使風險盡量向廣泛可接受區(qū)域靠攏，直至風險降低的成本與獲得的安全收益完全不成比例。

風險評價的結(jié)果應滿足風險應對的需要，否則，應做進一步分析。

5.5 文件的歸檔

風險評估的過程和結(jié)果都應進行記錄。風險應以可理解的術(shù)語來表達，同時風險等級的單位也應得到清晰表達。

風險評估記錄文件的內(nèi)容將取決于評估工作的目標及范圍。除非進行很簡單的評估，否則，記錄文件需包括：

?目標及范圍；

?系統(tǒng)相關(guān)部分的說明及它們的功能；

?組織的內(nèi)外部環(huán)境描述以及被評估對象與內(nèi)外環(huán)境的關(guān)聯(lián)情況；

?所使用的風險準則及其合理性；

?局限性、假定及假設(shè)的合理性；

?評估方法；

?風險識別的結(jié)果；

?數(shù)據(jù)的來源與校驗；

?風險分析的結(jié)果及評價；

?敏感性及不確定性分析；

?關(guān)鍵的假定和其他需要加以檢測的因素；

?結(jié)果的討論；

?結(jié)論和建議；

?參考資料。

如果需要分析評估來支持一個連續(xù)的風險管理過程，那么對于風險評估的記錄工作應在系統(tǒng)、組織、設(shè)備或活動的整個生命周期內(nèi)持續(xù)進行。如果出現(xiàn)重要的新信息或者環(huán)境發(fā)生變化，應根據(jù)管理的需要對風險評估進行更新。

5.6 風險評估的監(jiān)督和檢查

風險評估過程強調(diào)環(huán)境因素和其他因素，這些因素可能會隨時間變化，并且可能使風險評估改變或失效。應對識別出這些因素進行持續(xù)的監(jiān)督和檢查，以便在必要時更新風險評估的信息。

應當識別和收集為改進風險評估而監(jiān)測的數(shù)據(jù)。還應當監(jiān)測和記錄風險控制措施的效果，以便為風險分析提供數(shù)據(jù)。應當明確證據(jù)、文件的建立和檢查的責任。

6.1 概述

選擇合適的分析評估技術(shù)和方法，有助于組織及時高效的獲取準確的評估結(jié)果，在具體實踐中，風險評估的復雜及詳細程度千差萬別。風險評估的形式及結(jié)果應與組織的自身情況適合。

6.2 技術(shù)的選擇

6.2.1 概述

一般來說，合適的技術(shù)應具備以下特征：

?適應組織的相關(guān)情況；

?得出的結(jié)果應加深對風險性質(zhì)及如何應對風險的認識；

?應能按可追溯、可重復及可驗證的方式使用。

應從相關(guān)性及適用性角度說明選擇技術(shù)的原因。在綜合不同研究的結(jié)果時，所采用的技術(shù)及結(jié)果應是可比較的。

一旦決定進行風險評估并且確定了風險評估的目標和范圍，那么就可以依據(jù)如下因素，選擇一種或多種評估技術(shù)：

?風險評估的目標，這對于使用的方法有直接影響；

?決策者的需要：某些情況下作出有效的決策需要充分的評估細節(jié)，而某些情況下可能只需要對總體情況進行大致了解；

?所分析風險的類型及范圍；

?后果的潛在嚴重程度；

?專業(yè)知識、人員以及所需要資源的程度；

?信息和數(shù)據(jù)的可獲得性；

?修改/更新風險評估的必要性；一些評估結(jié)果可能在將來需要修改或更新。在這些方面，某些方法比其他方法更易于調(diào)整；

?法律法規(guī)及合同要求等。

只要滿足評估的目標和范圍，簡單方法應優(yōu)于復雜方法被采用。

此外，其他幾類因素對風險評估技術(shù)選擇的影響也值得關(guān)注，例如資源的可獲得性、現(xiàn)有數(shù)據(jù)和信息中不確定性的性質(zhì)和程度，以及在應用方面的復雜性。

6.2.2 資源的可獲得性

可能影響分析評估技術(shù)選擇的資源和能力包括：

?風險評估團隊的技能、經(jīng)驗及能力；

?信息及數(shù)據(jù)的可獲得性；

?時間和組織內(nèi)其他資源的限制；

?需要外部資源時的可用預算。

6.2.3 不確定性的性質(zhì)和程度

組織內(nèi)外部環(huán)境中常常存在著不確定性?？色@得的信息和數(shù)據(jù)并不總是可以對未來的預測提供可靠的基礎(chǔ)。不確定性可能產(chǎn)生于信息的質(zhì)量、數(shù)據(jù)和完整性，例如較差的數(shù)據(jù)質(zhì)量或缺乏基本的、可靠的數(shù)據(jù)；某些風險可能缺少歷史數(shù)據(jù)；數(shù)據(jù)收集的方式的有效性；或者是不同利益相關(guān)方會對現(xiàn)有數(shù)據(jù)做出不同的解釋。進行分析評估的人員應理解不確定性的類型和性質(zhì)，同時認識到風險評估結(jié)果可靠性的重大意義，并向決策者說明這些情況。

6.2.4 復雜性

風險自身經(jīng)常具有復雜性的特征。例如，在復雜的系統(tǒng)中進行風險評估時，應對其系統(tǒng)總體進行評估，而不是孤立的對待系統(tǒng)中的每個部分，并忽略各部分之間的相互關(guān)系。在某些情況下，對某一風險采取應對措施可能會對其他活動產(chǎn)生影響。需要認識后果之間的相互影響和風險之間的相互依賴關(guān)系，以確保在管理一個風險時，不會導致在其他地方產(chǎn)生另一個不可容忍的風險。理解組織中單個或多個風險組合的復雜性，對于選擇適當?shù)娘L險評估技術(shù)和方法值觀重要。

6.3 風險評估在生命周期各階段的應用

許多活動、項目和產(chǎn)品被認為具有生命周期，從最初的概念和定義、實現(xiàn)到最終的完結(jié)。風險評估可以應用于生命周期的所有階段，而且通常以不同的詳細程度被應用多次，以便為每一階段需做出的決策提供幫助。

生命周期各階段對風險評估有不同的需求，并需要不同的評估技術(shù)。例如，在概念和定義階段，當識別一個機會時，可以使用風險評估來決定是繼續(xù)還是放棄。在有多個方案可供選擇時，風險評估可以用于評價替代方案，幫助確定哪些方案能夠提供最好的風險平衡。

在設(shè)計和開發(fā)階段，風險評估有助于：

?保證系統(tǒng)風險是可接受的；

?精細化設(shè)計過程；

?成本的有效性研究；

?識別在后續(xù)階段可能出現(xiàn)的風險。

在生命周期的其他階段，可以用風險評估提供必要的信息，以便為支持情況和緊急情況制定程序。

6.4 風險評估技術(shù)的類型

為了更清晰的理解各類風險評估技術(shù)的特點，可以依據(jù)多種方式對這些技術(shù)方法進行分類。附錄A按適用階段和影響因素，對常用的風險評估技術(shù)進行了分類比較。

在附錄B中，對這些常用的風險評估技術(shù)和方法展開了進一步的詳述介紹，為組織如何在特定情況下選擇合適的風險評估技術(shù)提供參考。復雜情況下可能需要同時采用多種評估技術(shù)和方法。

A.1 適用階段

本附錄描述了各類評估技術(shù)如何應用到風險評估過程的每一個階段。風險評估過程如下所示：

?風險識別；

?風險分析：后果分析；

?風險分析：對發(fā)生可能性的定性、半定量或定量分析；

?風險分析：評估現(xiàn)有控制措施的有效性；

?風險分析：風險等級的估計；

?風險評價。

對于風險評估的每一階段。各類技術(shù)的適用性被描述為非常適用，適用或者不適用（見表A.1).