术语和定义,1,第 二 章,1,不确定性对目标的影响 注1：影响是与期待的偏差积极和/或消极 注2：目标可以有不同方面（如财务、健康安全、以及环境目 标），可以体现在不同的层次（如战略、组织范围、项 目、产品和过程）。 注3：风险通常以潜在事件和后果，或它们的组合来描述。 注4：风险通常以事件（包括环境的变化）后果和发生可能性 的组合来表达。 注5：不确定性是指，对事件、其后果或可能性的认识或了 解方面的信息的缺乏或不完整的状态。,2,1.风险 risk,2,2.后果： consequence 某一事件的结果。 注1：某一事件可能会产生不止一种的后果。 注2：后果可以是正面的负面的。然而，从安 全方面来看，后果往往都是负面的。 注3：后果可以定性或定量表述。 3.可能性：某一事发生的机会,3,4.概率： probability 某一事件发生的可能程度。 注1：GB/T3358.1-1993 给出了一个关于“概率”的数学定 义，度量某一随机事件发生可能性大小的实数，其值 介于0与1之间，它可以用来指在一段相当长的时间内， 某一事件将要发生的频率，或者这一事件发生的可信 程度。对于高可信度来说，概率接近“1”。 注2：在描述风险时，常用“频率”一词而不是用“概率” 一词。 注3：有关可能性的程度可以用不同的等级来表示： -极不可能/不大可能/可能/很可能/几乎确定；或者 -难以置信/不可能/可能性极小/偶尔/有可能/经常。,4,5.事件：event 特定情况的发生。 注1：事件可能是确定的，也可能是不确定的。 注2：事件可能是单一的，也可能是系列的。 注3：对于给定时间内事件发生的概率可以估算出来 确定的事件，是预知的，而不确定的事件，是没有预知的，但也是有可能发生的。 事件可能是明显的，也可能是模糊的，其影响可能是正面的，也可能是负面的。,5,指导和控制某一组织与风险相 关问题的协调活动。,6,6.风险管理：risk management,6,提供在组织内设计、实施、监测、评审 和持续改进风险管理的基础和组织安排的要 素集合。 注1：基础包括管理风险的方针、目标、指令和承诺 注2：组织安排包括计划、关系、责任、资源、过程 和活动。 注3：风险管理框架被嵌入到组织的整个战略和运营 的方针和实践中,7,7.风险管理框架 risk management framework,7,ISO31000：2009标准给出的风险管理框架,内部环境,信息沟通,监测,控制活动,风险应对,风险评估,事项识别,目标设定,战略,经营,报告,合规,公司层面,科室,业务单位,子公司,COSO 全面风险管理框架（三维图）,8.风险管理方针 risk management policy 一个组织对风险管理的意图 和方向的陈述。,10,10,9.风险管理计划 risk management plan 在风险管理框架内规定用于风险管理 的方法、管理要素、资源的方案。 注1：管理要素一般包括程序、惯例、职责分配、活 动顺序和时间安排。 注2：风险管理计划可应用于特定的产品、过程和项 目、组织的部分或整体。,11,11,管理方针、程序和惯例对沟通、协商、 明确环境、以及识别、分析、评价、处理、 监测和评审风险活动的系统应用。,12,12,10.风险管理过程 risk managementprocess,组织针对风险管理，提供、共享或获取信息， 与利益相关者进行对话的持续和反复的过程。 注1：信息涉及风险管理的存在、性质、形式、可能 性、严重程度、评定、可接受性、处理。 注2：协商是组织与它的利益相关方，在做出决策或 确定某一问题的方向前，针对问题双向有事实 依据的沟通的过程。协商是： 通过影响力而非权力对决策施加影响； 作为决策的输入，而非加入决策。,13,11.沟通和协商 communication and consultation,13,可以影响风险、受到风险影响或自 认为会受到风险影响的任何个人、团体 或组织。 注1：决策者也是利益相关者之一。 注2：术语“利益相关者”包括GB/T19000- 2008中定义的“相关方”。,14,12.利益相关者 stakeholder,14,组织的利益相关者可以包括 1）组织的决策者； 2）组织内部负责制定风险管理政策的人员； 3）组织或活动中实施风险管理的人员； 4）需要对组织的风险管理实践进行评估的人员； 5）组织中负责制定风险管理标准、指南、程序、 应用准则的人员； 6）股东、董事会、高级管理人员、员工、债权人、供应商、顾客、银行、监管机构、合作伙伴等. （见GB/T24353:2009前言部分）。,15,15,13.风险感知：risk perception 利益相关者根据其价值观或利害关 系看待风险的方式。 注1：风险感知取决于利益相关者的需要、关注点及知识。 注2：风险感知可能不同于客观数据。 风险感知反映利益相关者的需求，问题、知识、信念和价值。 利益相关者的需要及关注的问题不同，因而风险感知会有所不同。 风险感知会存在一定的主观判断，因而可能与客观数据有不同。,16,界定外部和内部参数，以便在管 理风险和设置风险管理方针的范围及 风险准则时，予以考虑。 defining the external and internal parameters to betaken into account when managing risk, and settingthe scope and risk criteria (3.3.1.3) for the riskmanagement policy,17,14.明确环境 establishing the context,17,评价风险严重性（度）的依据。 注：风险准则包括相关的成本及收益，法律法规要求，社会 及环境因素，利益相关者的态度，优先次序和在评估过 程中的其他要素。 风险准则是组织用于评价风险重要度的标准，因此，风险 准则需体现组织的风险承受度，并反映组织的价值观、目 标和资源。 风险评价准则会涉及到各个方面，如成本收益、法律法规、利益相关者态度等。 风险准则也会直接或间接反映法律法规要求或其他需要组 织遵循的要求。准则也是使组织对接受风险做出决定的依据。,18,15.风险准则：risk criteria,18,包括风险识别、风险分析和风险评 价在内的全部过程。,19,16.风险评估 risk assessment,19,发现、列举和描述风险要素的过程,20,17.风险识别 risk identification,20,风险的结构化描述通常包含四 要素：来源、事件、因素和结果。,18.风险描述，risk description,21,导致风险的单独或组合的内在可能 性的因素. lement which alone or in combination has the intrinsic potential to give rise to risk 注：风险源可能是有形的或者是无形的。,19.风险源（来源）risk source,22,具有风险管理权限和责任的 个人或实体。,20.风险所有者 risk owner,23,理解风险的性质和确定风险 程度的过程。 注1：风险分析为风险评价和风险处理决策提供了 基础。 注2：风险分析包括风险估测。,24,21.风险分析 risk analysis,24,将风险分析的结果与风险准则进行比 较，以确定风险和（或）其量是否可接受 或可容许。 注：风险评定有助于有关风险处理的决策。,25,22.风险评价 risk evaluation,25,一个组织愿意追求或保留风险的 数量和类型。 GB/T24353:2009 5.6.1 中提到这一词汇 COSO指出： 风险偏好是企业追求目标中愿意接受风险的程度 指导企业的资源配置；,26,23.风险偏好, risk appetite,26,接受某一风险的决定。 注：风险承受取决于风险准则。 任何规模和类型的组织都面临风险，组织的所有 活动都涉及风险。只是组织应通过确定风险准则，来决定对某一风险是否接受。 组织的价值取向和能力不同，因而是否能接受某 一风险会有不同的决定，这些决定会依据风险准 则的要求。,27,24.风险承受 risk acceptance,27,注1：风险处理可包括： 通过决定不启动或停止产生风险的活动而避免风险。 为了追求机会采取或增加风险。 消除风险源。 改变可能性。 改变后果。 与其他方面共同分担风险（包括合同、风险融资）。 通过有事实依据的决策保留风险。,修正风险的过程,28,25.风险处理 risk treatment,28,注2：对消极后果的风险处理有时可以称为 “风险减缓（risk mitigation）”、 “风险消除（risk eliminate）”、 “风险预防（risk prevention）”和 “风险减小（risk reduction）”。 注3：风险处理可以产生新的风险或修正已 存在的风险。,29,29,25.风险处理 risk treatment,决定不陷入风险，或者从风险状 态中撤离的行为。 注：这个决定可能是以风险评价结果为依据的。 在风险评价之后，风险管理者会发现某些风险发生损失的可 能性很大，或者一旦发生且损失的程度非常严重时，可以采 取主动放弃原来承担风险或完全拒绝承担该风险的实施行动， 就是对风险的规避。 风险规避是一种主动的行为，但放弃风险同时也意味着收 益的丧失。,30,26.风险规避: risk avoidance,30,为实现风险处理及其他相关活动的 费用提供资金的活动。 注：在某些行业中，风险融资特指对风险造成 的财务后果提供资金。 组织在风险处理（风险规避、风险优化、风险转移、风险自留）过程中，需要支付一定的费用，以实现管理风险或补偿损失，因而会采用各种方式融通资金。 融通资金是为风险管理对资金的筹措，也是风险的一种财务补偿机制。风险估计和风险评价是融资的主要数据依据。,31,27.风险融资: risk financing,31,接受某一特定风险带来的损失或收益。 注1：风险自留包括接受那些没有得到识别的风险。 注2：风险自留不包括运用保险或者其他方法进行 的风险转移的处理。 注3：对风险的接受程度和对风险准则的依赖程度 可能会有变化。,32,28.风险自留: risk retention,32,不断检查、监督、严格观察或 确定状态，以识别所要求或期待的 绩效水平的变化。 注：监测可应用于风险管理框架、风险管理 过程、风险或控制措施。,33,29.监测 monitoring,33,为达到所建立的目标，确定有关 事务的适宜性、充分性和有效性所采 取的活动。 注：评审可应用于风险管理框架、风险管理过 程、风险或控制措施。,34,30.评审 review,34,