前言—風(fēng)險無處不在

了解風(fēng)險

默菲定律

ISO 9001 & IATF 16949 中對風(fēng)險管理的要求

GB/T 24353-2009 風(fēng)險管理 原則與實施指南

前言

本標(biāo)準(zhǔn)的預(yù)期使用者是組織的利益相關(guān)者，如：

?組織的決策者；

?組織內(nèi)部負(fù)責(zé)制定風(fēng)險管理政策的人員；

?組織或活動中實施風(fēng)險管理的人員；

?需要對組織的風(fēng)險管理實踐進(jìn)行評估的人員；

?組織中負(fù)責(zé)制定有關(guān)風(fēng)險管理的標(biāo)準(zhǔn)、指南、程序、應(yīng)用準(zhǔn)則的人員；

?股東、董事會、高級管理人員、員工、債權(quán)人、供應(yīng)商、顧客、銀行、監(jiān)管機(jī)構(gòu)、合作伙伴等，以及其他需要確保組織管理其風(fēng)險的人員。

考慮到風(fēng)險的性質(zhì)、重要程度和復(fù)雜性等方面的多樣性，在實際應(yīng)用時，組織可使用本標(biāo)準(zhǔn)提供的方法，識別具體的風(fēng)險管理環(huán)境，以確保風(fēng)險管理的合理性和適用性。

許多組織在現(xiàn)有的管理實踐和過程中已經(jīng)實施了風(fēng)險管理，或者已經(jīng)對某些特定風(fēng)險或具體領(lǐng)域采用了正式的風(fēng)險管理過程，如內(nèi)部控制。管理層可對照本標(biāo)準(zhǔn)對現(xiàn)有的風(fēng)險管理實踐和過程進(jìn)行檢查。

本標(biāo)準(zhǔn)是通用標(biāo)準(zhǔn)，旨在協(xié)調(diào)現(xiàn)有的和將來的標(biāo)準(zhǔn)中有關(guān)風(fēng)險管理的內(nèi)容。本標(biāo)準(zhǔn)提供通用的方法，為制定具體風(fēng)險或具體行業(yè)的標(biāo)準(zhǔn)提供支持，而不是為了替代這些標(biāo)準(zhǔn)。

1 范圍

本標(biāo)準(zhǔn)提供了風(fēng)險管理的原則和通用的實施指南。

本標(biāo)準(zhǔn)適用于各種類型和規(guī)模的組織，適用于組織的全生命周期及其各階段，也適用于組織的各種活動，包括流程管理、職能行為、項目管理以及與產(chǎn)品、服務(wù)、資產(chǎn)、運(yùn)作和決策等有關(guān)的各項活動。

本標(biāo)準(zhǔn)提供實施風(fēng)險管理的通用指南，但風(fēng)險管理的具體實施取決于組織的實際需求和具體實踐。

2 規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

GB/T 23694 風(fēng)險管理 術(shù)語

3 術(shù)語和定義

GB/T 23694 確立的術(shù)語和定義適用于本標(biāo)準(zhǔn)。

(GB/T 23694 中部分術(shù)語和定義)

3.1.1 風(fēng)險 risk

某一事件（3.1.4）發(fā)生的概率（3.1.3）和其后果（3.1.2）的組合

注1：術(shù)語“風(fēng)險”通常僅應(yīng)用于至少有可能會產(chǎn)生負(fù)面結(jié)果的情況。

注2：在某些情況下，風(fēng)險起因于與預(yù)期的后果或事件偏離的可能性。

注3：與安全有關(guān)的概念，參加GB/T 20000.4-2003.

4 風(fēng)險管理原則

為有效管理風(fēng)險，組織在實施風(fēng)險管理時，可遵循下列原則：

a)控制損失，創(chuàng)造價值

以控制損失、創(chuàng)造價值為目標(biāo)的風(fēng)險管理，有助于組織實現(xiàn)目標(biāo)、取得具體可見的成績和改善各方面的業(yè)績，包括人員健康和安全、合規(guī)經(jīng)營、信用程度、社會認(rèn)可、環(huán)境保護(hù)、財務(wù)績效、產(chǎn)品質(zhì)量、運(yùn)營效率和公司治理等方面。

b)融入組織管理過程

風(fēng)險管理不是獨(dú)立于組織主要活動和各項管理過程的單獨(dú)的活動，而是組織管理過程不可缺少的重要組成部分。

c)支持決策過程

組織的所有決策都應(yīng)考慮風(fēng)險和風(fēng)險管理。風(fēng)險管理旨在將風(fēng)險控制在組織可接受的范圍內(nèi)，有助于判斷風(fēng)險應(yīng)對是否充分、有效，有助于決定行動優(yōu)先順序并選擇可行的行動方案，從而幫助決策者做出合理的決策。

d)應(yīng)用系統(tǒng)的、結(jié)構(gòu)化的方法

系統(tǒng)的、結(jié)構(gòu)化的方法有助于風(fēng)險管理效率的提升，并產(chǎn)生一致、可比、可靠的結(jié)果。

e)以信息為基礎(chǔ)

風(fēng)險管理過程要以有效的信息為基礎(chǔ)。這些信息可通過經(jīng)驗、反饋、觀察、預(yù)測和專家判斷等多種渠道獲取，但使用時要考慮數(shù)據(jù)、模型和專家意見的局限性。

f)環(huán)境依賴

風(fēng)險管理取決于組織所處的內(nèi)部和外部環(huán)境以及組織所承擔(dān)的風(fēng)險。需要特別指出的是，風(fēng)險管理受人文因素的影響。

g)廣泛參與、充分溝通

組織的利益相關(guān)者之間的溝通，尤其是決策者在風(fēng)險管理中適當(dāng)、及時的參與，有助于保證風(fēng)險管理的針對性和有效性。

利益相關(guān)者的廣泛參與有助于其觀點(diǎn)在風(fēng)險管理過程中得到體現(xiàn)，其利益訴求在決定組織的風(fēng)險偏好時得到充分考慮。利益相關(guān)者的廣泛參與要建立在對其權(quán)利和責(zé)任明確認(rèn)可的基礎(chǔ)上。

利益相關(guān)者之間需要進(jìn)行持續(xù)、雙向和及時的溝通，尤其是在重大風(fēng)險事件和風(fēng)險管理有效性等方面需要及時溝通。

3.2.1 利益相關(guān)者 stakeholder

可以影響風(fēng)險（3.1.1）、受到風(fēng)險影響或自認(rèn)為會受到風(fēng)險影響的任何個人、團(tuán)體或組織。

注1：決策者也是利益相關(guān)者之一。

注2：術(shù)語“利益相關(guān)者”包含GB/T 19000-2008中定義的“相關(guān)方”。

h)持續(xù)改進(jìn)

風(fēng)險管理是適應(yīng)環(huán)境變化的動態(tài)過程，其各步驟之間形成一個信息反饋的閉環(huán)。隨著內(nèi)部和外部事件的發(fā)生、組織環(huán)境和知識的改變以及監(jiān)督和檢查的執(zhí)行，有些風(fēng)險可能會發(fā)生變化，一些新的風(fēng)險可能會出現(xiàn)，另一些風(fēng)險則可能消失。因此，組織應(yīng)持續(xù)不斷的對各種變化保持敏感并做出恰當(dāng)反應(yīng)。組織通過績效測量、檢查和調(diào)整等手段，使風(fēng)險管理得到持續(xù)改進(jìn)。

5 風(fēng)險管理過程

3 術(shù)語和定義

3.3.1 風(fēng)險評估 risk assessment

包括風(fēng)險分析（3.3.2）和風(fēng)險評價（3.3.6）在內(nèi)的全部過程。

注：此術(shù)語在GB/T 20000.4-2003中為“風(fēng)險評定” 。

3.3.3 風(fēng)險識別 risk identification

發(fā)現(xiàn)、列舉和描述風(fēng)險（3.1.1）要素的過程。

注1：要素可以包括來源或危險（源）、事件、后果和概率。

注2：風(fēng)險識別也可以反映出利益相關(guān)者關(guān)注的問題。

3.3.2 風(fēng)險分析 risk analysis

系統(tǒng)地運(yùn)用相關(guān)信息來確定風(fēng)險的來源（3.1.5），并對風(fēng)險（3.1.1）進(jìn)行估計。

注1：風(fēng)險分析為風(fēng)險評價、風(fēng)險處理和風(fēng)險承受提供了一個基礎(chǔ)。

注2：信息可以包括歷史數(shù)據(jù)、理論分析、基于可靠信息的見解以及利益相關(guān)者的關(guān)注。

注3：有關(guān)安全方面的問題參加GB/T 20000.4-2003.

3.3.5 風(fēng)險估計 risk estimation

對風(fēng)險（3.1.1）的概率（3.1.3）及后果（3.1.2）進(jìn)行賦值的過程。

注：風(fēng)險估計可以考慮成本、收益、利益相關(guān)者的利害關(guān)系，以及其他各種用于風(fēng)險評價的因素。

3.3.6 風(fēng)險評價 risk evaluation

將估計后的風(fēng)險（3.1.1）與給定的風(fēng)險準(zhǔn)則（3.1.6）對比，來決定風(fēng)險嚴(yán)重性的過程。

注1：風(fēng)險評價有助于做出接受還是處理某一個風(fēng)險的決策。

注2：關(guān)于安全方面的風(fēng)險評價參加GB/T 20000.4-2003.

3.1.6 風(fēng)險準(zhǔn)則 risk criteria

評價風(fēng)險（3.1.1）嚴(yán)重性的依據(jù)

注：風(fēng)險準(zhǔn)則包括相關(guān)的成本及收益，法律法規(guī)要求，社會經(jīng)濟(jì)及環(huán)境因素，利益相關(guān)者的態(tài)度，優(yōu)先次序和在評估過程中的其他要素。

5.2 明確環(huán)境信息

5.2.1 概述

通過明確環(huán)境信息，組織可明確其風(fēng)險管理的目標(biāo)，確定與組織相關(guān)的內(nèi)部和外部參數(shù)，并確定風(fēng)險管理的范圍和有關(guān)風(fēng)險準(zhǔn)則。

5.2.2 外部環(huán)境信息

外部環(huán)境信息是組織在實現(xiàn)目標(biāo)過程中所面臨的外界環(huán)境的歷史、現(xiàn)在和未來的各種相關(guān)信息。

為保證在制定風(fēng)險準(zhǔn)則時能充分考慮外部利益相關(guān)者的目標(biāo)和關(guān)注點(diǎn)，組織需要了解外部環(huán)境信息。外部環(huán)境信息以組織所處的整體環(huán)境為基礎(chǔ)，包括法律和監(jiān)管要求、利益相關(guān)者的訴求和具體分析管理過程相關(guān)的其它方面的信息等。

外部環(huán)境信息包括但不限于：

?國際、國內(nèi)、地區(qū)及當(dāng)?shù)氐恼巍⒔?jīng)濟(jì)、文化、法律、法規(guī)、技術(shù)、金融以及自然環(huán)境和競爭環(huán)境；

?影響組織目標(biāo)實現(xiàn)的外部關(guān)鍵因素及其歷史和變化趨勢；

?外部利益相關(guān)者及其訴求、價值觀、風(fēng)險承受度；

?外部利益相關(guān)者與組織的關(guān)系等。

5.2.3 內(nèi)部環(huán)境信息

內(nèi)部環(huán)境信息是組織在實現(xiàn)目標(biāo)過程中所面臨的內(nèi)在環(huán)境的歷史、現(xiàn)在和未來的各種相關(guān)信息。

風(fēng)險管理過程要與組織的文化、經(jīng)營過程和機(jī)構(gòu)相適應(yīng)，包括組織內(nèi)影響其風(fēng)險管理的任何事物。組織需明確內(nèi)部環(huán)境信息，因為：

?風(fēng)險可能會影響組織戰(zhàn)略、日常經(jīng)營或項目運(yùn)營等各個方面，從而進(jìn)一步會影響組織的價值、信用和承諾等；

?風(fēng)險管理在組織的特定目標(biāo)和管理條件下進(jìn)行；

?具體活動的目標(biāo)和有關(guān)準(zhǔn)則應(yīng)放到組織整體目標(biāo)環(huán)境中考慮。

內(nèi)部環(huán)境信息可包括：

?組織的方針、目標(biāo)以及經(jīng)營戰(zhàn)略；

?資源和知識方面的能力（如資金、時間、人力、過程、系統(tǒng)和技術(shù)）；

?信息系統(tǒng)、信息流和決策過程（包括正式的和非正式的）；

?內(nèi)部利益相關(guān)者及其訴求、價值觀、風(fēng)險承受度；

?采用的標(biāo)準(zhǔn)和模型；

?組織機(jī)構(gòu)（包括治理結(jié)構(gòu)、任務(wù)和責(zé)任等）、管理過程和措施；

?與風(fēng)險管理實施過程有關(guān)的環(huán)境信息等。

其中，風(fēng)險管理過程的環(huán)境信息根據(jù)組織的需要而改變，它包括但不限于：

?所開展的風(fēng)險管理工作的范圍和目標(biāo)，以及所需要的資源；

?風(fēng)險管理過程的職責(zé)；

?應(yīng)執(zhí)行的風(fēng)險管理活動的深度和廣度；

?風(fēng)險管理活動與組織其他活動之間的關(guān)系；

?風(fēng)險評估的方法和使用的數(shù)據(jù)；

?風(fēng)險管理績效的評價方法；

?需要制定的決策；

?風(fēng)險準(zhǔn)則等

5.2.4 確定風(fēng)險準(zhǔn)則

風(fēng)險準(zhǔn)則是組織用于評價風(fēng)險重要程度的標(biāo)準(zhǔn)。因此，風(fēng)險準(zhǔn)則需體現(xiàn)組織的風(fēng)險承受度，應(yīng)反映組織的價值觀、目標(biāo)和資源。有些風(fēng)險準(zhǔn)則直接或間接反映了法律和法規(guī)要求或其他需要組織遵循的要求。風(fēng)險準(zhǔn)則應(yīng)當(dāng)與組織的風(fēng)險管理方針一致。具體的風(fēng)險準(zhǔn)則應(yīng)盡可能在風(fēng)險管理過程開始時制定，并持續(xù)不斷地檢查和完善。

確定風(fēng)險準(zhǔn)則時要考慮以下因素：

?可能發(fā)生的后果的性質(zhì)、類型以及后果的度量；

?可能性的度量；

?可能性和后果的時限；

?風(fēng)險的度量方法；

?風(fēng)險等級的確定；

?利益相關(guān)者可接受的風(fēng)險或可容許的風(fēng)險等級；

?多種風(fēng)險的組合的影響。

通過對以上因素及其他相關(guān)因素的關(guān)注，將有助于保證組織所采用的風(fēng)險管理方法適合于組織現(xiàn)狀及其所面臨的風(fēng)險。

5.3 風(fēng)險評估（在GB/T 27921-2011中有更詳細(xì)的解析）

5.3.1 概述

風(fēng)險評估包括風(fēng)險識別、風(fēng)險分析和風(fēng)險評價三個步驟。

5.3.2 風(fēng)險識別

風(fēng)險識別是通過識別風(fēng)險源、影響范圍、事件及其原因和潛在的后果等，生成一個全面的風(fēng)險列表。識別風(fēng)險不僅要考慮有關(guān)事件可能帶來的損失，也要考慮其中蘊(yùn)含的機(jī)會。

進(jìn)行風(fēng)險識別時要掌握相關(guān)的和最新的信息，必要時，需包括適用的背景信息。除了識別可能發(fā)生的風(fēng)險事件外，還要考慮其可能的原因和可能導(dǎo)致的后果，包括所有重要的原因和后果。不論風(fēng)險事件的風(fēng)險源是否在組織的控制之下，或其原因是否已知，都應(yīng)對其進(jìn)行識別。此外，要關(guān)注已經(jīng)發(fā)生的風(fēng)險事件，特別是新近發(fā)生的風(fēng)險事件。

識別風(fēng)險需要所有相關(guān)人員的參與。組織所采用的風(fēng)險識別工具和技術(shù)應(yīng)當(dāng)適合于其目標(biāo)、能力及其所處環(huán)境。

5.3.3 風(fēng)險分析

風(fēng)險分析是根據(jù)風(fēng)險類型、獲得的信息和風(fēng)險評估結(jié)果的使用目的，對識別出的風(fēng)險進(jìn)行定性和定量的分析，為風(fēng)險評價和風(fēng)險應(yīng)對提供支持。風(fēng)險分析要考慮導(dǎo)致風(fēng)險的原因和風(fēng)險源、風(fēng)險事件的正面和負(fù)面的后果及其發(fā)生的可能性、影響后果和可能性的因素、不同風(fēng)險及其風(fēng)險源的相互關(guān)系以及風(fēng)險的其它特性，還要考慮現(xiàn)有的管理措施及其效果和效率。

在風(fēng)險分析中，應(yīng)考慮組織的風(fēng)險承受度及其對前提和假設(shè)的敏感性，并適時與決策者和其它利益相關(guān)者有效地溝通。另外，還要考慮可能存在的專家觀點(diǎn)中的分歧及數(shù)據(jù)和模型的局限性。

根據(jù)風(fēng)險分析的目的、獲得的信息數(shù)據(jù)和資源，風(fēng)險分析可以是定性的、半定量的、定量的或以上方法的組合。一般情況下，首先采用定性分析，初步了解風(fēng)險等級和揭示主要風(fēng)險。適當(dāng)時，進(jìn)行更具體和定量的風(fēng)險分析。

后果和可能性可通過專家意見確定，或通過對事件或事件組合的結(jié)果建模確定，也可通過對實驗研究或可獲得的數(shù)據(jù)的推導(dǎo)確定。對后果的描述可表達(dá)為有形或無形的影響。在某些情況下，可能需要多個指標(biāo)來確切描述不同時間、地點(diǎn)、類別或情形的后果。

5.3.4 風(fēng)險評價

風(fēng)險評價是將風(fēng)險分析的結(jié)果與組織的風(fēng)險準(zhǔn)則比較，或者在各種風(fēng)險的分析結(jié)果之間進(jìn)行比較，確定風(fēng)險等級，以便作出風(fēng)險應(yīng)對的決策。如果該風(fēng)險是新識別的風(fēng)險，則應(yīng)當(dāng)制定相應(yīng)的風(fēng)險準(zhǔn)則，以便評價該風(fēng)險。

風(fēng)險評價的結(jié)果應(yīng)滿足風(fēng)險應(yīng)對的需要，否則，應(yīng)做進(jìn)一步分析。有時，根據(jù)已經(jīng)制定的風(fēng)險準(zhǔn)則，風(fēng)險評價使組織作出維持現(xiàn)有的風(fēng)險應(yīng)對措施，不采取其它新的措施的決定。

5.4 風(fēng)險應(yīng)對

5.4.1 概述

風(fēng)險應(yīng)對是選擇并執(zhí)行一種或多種改變風(fēng)險的措施，包括改變風(fēng)險事件發(fā)生的可能性或后果的措施。風(fēng)險應(yīng)對決策應(yīng)當(dāng)考慮各種環(huán)境信息，包括內(nèi)部和外部利益相關(guān)者的方向承受度，以及法律、法規(guī)和其它方面的要求等。

風(fēng)險應(yīng)對措施的制訂和評估可能是一個遞進(jìn)的過程。對于風(fēng)險應(yīng)對措施，應(yīng)評估其剩余風(fēng)險是否可以承受。如果剩余風(fēng)險不可承受，應(yīng)調(diào)整或制定新的風(fēng)險應(yīng)對措施，并評估新的風(fēng)險應(yīng)對措施的效果，直到剩余風(fēng)險可以承受。執(zhí)行風(fēng)險應(yīng)對措施會引起組織風(fēng)險的改變，需要跟蹤、監(jiān)督風(fēng)險應(yīng)對的效果和組織的有關(guān)環(huán)境信息，并對變化的風(fēng)險進(jìn)行評估，必要時持續(xù)制定風(fēng)險應(yīng)對措施。

可能的風(fēng)險應(yīng)對措施之間不一定互相排斥。一個風(fēng)險應(yīng)對措施也不一定在所有條件下都適合。風(fēng)險應(yīng)對措施可包括下列各項：

?決定停止或退出可能導(dǎo)致風(fēng)險的活動以規(guī)避風(fēng)險；

?增加風(fēng)險或承擔(dān)新的風(fēng)險以尋求機(jī)會；

?消除具有負(fù)面影響的風(fēng)險源；

?改變風(fēng)險事件發(fā)生的可能性的大小及其分布的性質(zhì)；

?改變風(fēng)險事件發(fā)生的可能后果；

?轉(zhuǎn)移風(fēng)險；

?分擔(dān)風(fēng)險

?保留風(fēng)險等。

5.4.2 選擇風(fēng)險的應(yīng)對措施

選擇適當(dāng)?shù)娘L(fēng)險應(yīng)對措施時需考慮很多方面，比如：

?法律、法規(guī)、社會責(zé)任和環(huán)境保護(hù)等方面的要求；

?風(fēng)險應(yīng)對措施的實施成本與收益（有些風(fēng)險可能需要組織考慮采用經(jīng)濟(jì)上看起來不合理的風(fēng)險應(yīng)對決策，例如可能帶來嚴(yán)重的負(fù)面后果但發(fā)生可能性低的風(fēng)險事件）；

?選擇幾種應(yīng)對措施，將其單獨(dú)或組合使用；

?利益相關(guān)者的訴求和價值觀、對風(fēng)險的認(rèn)知和承受度以及對某一些風(fēng)險應(yīng)對措施的偏好。

風(fēng)險應(yīng)對措施在實施過程中可能會失靈或無效。因此，要把監(jiān)督作為風(fēng)險應(yīng)對措施的實施計劃的有機(jī)組成部分，以保證應(yīng)對措施持續(xù)有效。

風(fēng)險應(yīng)對措施可能引起次生風(fēng)險，對次生風(fēng)險也需要評估、應(yīng)對、監(jiān)督和檢查。在原有的風(fēng)險應(yīng)對計劃中要加入這些次生風(fēng)險的內(nèi)容，而不應(yīng)將其作為新風(fēng)險而獨(dú)立對待。為此需要識別并檢查原有風(fēng)險與次生風(fēng)險之間的聯(lián)系。當(dāng)風(fēng)險應(yīng)對措施影響到組織內(nèi)其它領(lǐng)域的風(fēng)險或影響到其它利益相關(guān)者時，要評估這些影響，并與有關(guān)利益相關(guān)者溝通，必要時調(diào)整風(fēng)險應(yīng)對措施。

決策者和其它利益相關(guān)者應(yīng)當(dāng)清楚在采取風(fēng)險應(yīng)對措施后的剩余風(fēng)險的性質(zhì)和程度。

5.4.3 制定風(fēng)險應(yīng)對計劃

在選擇了風(fēng)險應(yīng)對措施之后，需要制定相應(yīng)的風(fēng)險應(yīng)對計劃。風(fēng)險應(yīng)對計劃中應(yīng)當(dāng)包括以下信息：

?預(yù)期的收益；

績效指標(biāo)及其考核方法

?風(fēng)險管理責(zé)任人及實施風(fēng)險應(yīng)對措施的人員安排；

?風(fēng)險應(yīng)對措施涉及的具體業(yè)務(wù)和管理活動；

?選擇多種可能的風(fēng)險應(yīng)對措施時，實施風(fēng)險應(yīng)對措施的優(yōu)先次序；

?報告和監(jiān)督、檢查的要求；

?與適當(dāng)?shù)睦嫦嚓P(guān)者的溝通安排；

?資源需求，包括應(yīng)急機(jī)制的資源需求；

?執(zhí)行時間表等。

風(fēng)險應(yīng)對計劃要與組織的管理過程整合。

5.5 監(jiān)督和檢查

組織應(yīng)明確界定監(jiān)督和檢查的責(zé)任。

監(jiān)督和檢查可能包括：

?監(jiān)測事件，分析變化及其趨勢并從中吸取教訓(xùn)；

?發(fā)現(xiàn)內(nèi)部和外部環(huán)境信息的變化，包括風(fēng)險本身的變化、可能導(dǎo)致的風(fēng)險應(yīng)對措施及其實施優(yōu)先次序的改變；

?監(jiān)督并記錄風(fēng)險應(yīng)對措施實施后的剩余風(fēng)險，以便在適當(dāng)時作出進(jìn)一步處理；

?適當(dāng)時，對照風(fēng)險應(yīng)對計劃，檢查工作進(jìn)度與計劃的偏差，保證風(fēng)險應(yīng)對措施的設(shè)計和執(zhí)行有效；

?報告關(guān)于風(fēng)險、風(fēng)險應(yīng)對計劃的進(jìn)度和風(fēng)險管理方針的遵循情況；

?實施風(fēng)險管理績效評估。

風(fēng)險管理績效評估應(yīng)被納入到組織的績效管理以及組織對內(nèi)、對外的報告體系之中。

監(jiān)督和檢查活動包括常規(guī)檢查、監(jiān)控已知風(fēng)險、定期或不定期檢查。定期或不定期檢查都應(yīng)被列入風(fēng)險應(yīng)對計劃。

適當(dāng)時，監(jiān)督和檢查的結(jié)果應(yīng)當(dāng)有記錄并對內(nèi)或?qū)ν鈭蟾妗?/span>

5.6 溝通和記錄

5.6.1 溝通

組織在風(fēng)險管理過程的每一個階段都應(yīng)當(dāng)與內(nèi)部和外部利益相關(guān)者有效溝通，以保證實施風(fēng)險管理的責(zé)任人和利益相關(guān)者能夠理解組織風(fēng)險管理決策的依據(jù)，以及需要采取某些行動的原因。

由于利益相關(guān)者的價值觀、訴求、假設(shè)、認(rèn)知和關(guān)注點(diǎn)不同，其風(fēng)險偏好也不同，并可能對決策有重要影響。因此，組織在決策過程中應(yīng)當(dāng)與利益相關(guān)者進(jìn)行充分溝通，識別并記錄利益相關(guān)者的風(fēng)險偏好。

5.6.2 記錄

在風(fēng)險管理過程中，記錄是實施和改進(jìn)整個風(fēng)險管理過程的基礎(chǔ)。

建立記錄應(yīng)當(dāng)考慮以下方面：

?出于管理的目的而重復(fù)使用信息的需要；

?進(jìn)一步分析風(fēng)險和調(diào)整風(fēng)險應(yīng)對措施的需要；

?風(fēng)險管理活動的可追溯要求；

?溝通的需要；

?法律、法規(guī)和操作上對記錄的需要；

?組織本身持續(xù)學(xué)習(xí)的需要；

?建立和維護(hù)記錄所需的成本和工作量；

?獲取信息的方法、讀取信息的容易程度和儲存媒介；

?記錄保留期限；

?信息的敏感性。

6 風(fēng)險管理的實施

6.1 概述

組織實施風(fēng)險管理過程（見第5章）需要一個風(fēng)險管理體系，包括相關(guān)方針、組織機(jī)構(gòu)、工作程序、資源配置、信息溝通機(jī)制以及相關(guān)的技術(shù)手段等基礎(chǔ)設(shè)施，以便將風(fēng)險管理嵌入到組織的各個層級和活動之中。

通過在組織的不同層級和特定環(huán)境內(nèi)實施風(fēng)險管理過程，風(fēng)險管理體系幫助組織有效地管理風(fēng)險。組織的風(fēng)險管理體系可能由在各層級和特定環(huán)境內(nèi)實施風(fēng)險管理過程的子體系構(gòu)成，如內(nèi)部控制體系等。

風(fēng)險管理體系應(yīng)當(dāng)保證風(fēng)險管理過程中的風(fēng)險信息的充分溝通，并且在相關(guān)的組織層次范圍內(nèi)作為決策和問責(zé)的依據(jù)使用。組織要在檢查的基礎(chǔ)上，作出如何改進(jìn)風(fēng)險管理體系、方針和風(fēng)險應(yīng)對計劃的決策，從而引導(dǎo)組織的風(fēng)險管理和風(fēng)險管理文化的改進(jìn)。

風(fēng)險管理體系的要素主要包括：

?風(fēng)險管理方針；

?適當(dāng)?shù)闹贫群统绦颍癸L(fēng)險管理嵌入到組織的所有活動和過程中；

?與組織結(jié)構(gòu)相關(guān)的職責(zé)，及有關(guān)的與組織的績效指標(biāo)一致的風(fēng)險管理績效指標(biāo)；

?資源分配；

?與所有利益相關(guān)者溝通風(fēng)險管理的機(jī)制；

?技術(shù)手段、方法、工具等。

6.3 風(fēng)險管理程序

組織應(yīng)當(dāng)設(shè)計適當(dāng)?shù)闹贫群托袨橐?guī)范，建立風(fēng)險管理工作程序，特別是整個組織層面的風(fēng)險管理計劃，以保證風(fēng)險管理嵌入到組織的所有活動和過程之中，尤其是組織的戰(zhàn)略規(guī)劃、運(yùn)營過程以及變革管理之中。

6.4 風(fēng)險管理相關(guān)組織結(jié)構(gòu)

組織可通過以下方法保證風(fēng)險管理的責(zé)任認(rèn)定和授權(quán)，從而能夠執(zhí)行風(fēng)險管理過程，并保證風(fēng)險管理的充分性和有效性：

?明確風(fēng)險管理體系的制定、實施和維護(hù)人員的職責(zé)；

?明確執(zhí)行風(fēng)險應(yīng)對措施、維護(hù)風(fēng)險管理體系和報告相關(guān)風(fēng)險信息人員的職責(zé)；

?建立批準(zhǔn)、授權(quán)制度；

?建立績效測量及相應(yīng)的合適的獎勵、懲罰制度；

?建立對內(nèi)對外的報告機(jī)制等。

6.5 風(fēng)險管理資源配置

組織需要根據(jù)風(fēng)險管理計劃制定可行的方法，為風(fēng)險管理分配適當(dāng)?shù)馁Y源。具體要考慮下列各項：

?人員、技術(shù)、經(jīng)驗和能力；

?風(fēng)險管理過程每一階段所需要的資金及各種資源；

?數(shù)據(jù)記錄的過程和程序步驟；

?信息和知識管理系統(tǒng)。

6.6 溝通和報告機(jī)制

6.6.1 內(nèi)部溝通和報告機(jī)制

組織要建立內(nèi)部溝通和報告的機(jī)制，以保證：

?風(fēng)險管理體系的關(guān)鍵組成部分及其調(diào)整得到適當(dāng)?shù)臏贤ǎ?/span>

?在組織內(nèi)部充分報告風(fēng)險應(yīng)對計劃實施的效果和效率；

?在適當(dāng)?shù)膶哟魏蜁r間提供風(fēng)險管理的相關(guān)信息；

?建立與內(nèi)部利益相關(guān)者協(xié)商的程序。

內(nèi)部溝通和報告機(jī)制還包括在考慮到組織敏感程度的基礎(chǔ)上，適當(dāng)整合從各內(nèi)部渠道得到的風(fēng)險信息的程序。

6.6.2 外部溝通和報告機(jī)制

組織需建立與外部利益相關(guān)者溝通的機(jī)制，這種機(jī)制應(yīng)當(dāng)保證：

?組織的對外報告符合法律、法規(guī)和公司治理要求；

?組織與外部利益相關(guān)者保持有效的信息溝通；

?在外部利益相關(guān)者中建立對組織的信息；

?在發(fā)生突發(fā)事件、危機(jī)和緊急狀況時與利益相關(guān)者溝通；

?為組織提供外部利益相關(guān)者的報告和反饋。

參考文獻(xiàn)

（略）

根據(jù)我公司的運(yùn)營實際：

1、策劃公司的風(fēng)險管理流程；

2、根據(jù)第一次練習(xí)識別的各類風(fēng)險建立對應(yīng)的風(fēng)險管理工具；

3、練習(xí)時間：20分鐘；

風(fēng)險分類及其應(yīng)對

5 風(fēng)險評估過程

5.2 風(fēng)險識別

風(fēng)險識別是發(fā)現(xiàn)、列舉和描述風(fēng)險要素的過程。

風(fēng)險識別的目的是確定可能影響系統(tǒng)或組織目標(biāo)得以實現(xiàn)的事件或情況。一旦風(fēng)險得以識別，組織應(yīng)對現(xiàn)有的控制措施（諸如設(shè)計特性、人員、過程和系統(tǒng)等）進(jìn)行識別。

風(fēng)險識別過程包括對風(fēng)險源、風(fēng)險事件及其原因和潛在后果的識別。

風(fēng)險識別方法可能包括：

?基于證據(jù)的方法，例如檢查表法以及對歷史數(shù)據(jù)的評審；

?系統(tǒng)性的團(tuán)隊方法，例如一個專家團(tuán)隊遵循系統(tǒng)化的過程，通過一套結(jié)構(gòu)化的提示或問題來識別風(fēng)險；

?歸納推理技術(shù)，例如危險與可操作性分析方法等。

組織可利用各種支持性的技術(shù)來提高風(fēng)險識別的準(zhǔn)確性和完整性，包括頭腦風(fēng)暴法和德爾菲法等。

無論實際采用哪種技術(shù)，關(guān)鍵是在整個風(fēng)險識別過程中要認(rèn)識到人的因素和組織因素的重要性。因此，偏離預(yù)期的認(rèn)為及組織因素也應(yīng)被納入風(fēng)險識別的過程中。

5.3 風(fēng)險分析

5.3.1 概述

風(fēng)險分析是要增進(jìn)對風(fēng)險的理解。它為風(fēng)險評價、決定風(fēng)險是否需要應(yīng)對以及最適當(dāng)?shù)膽?yīng)對策略和方法提供信息支持。

風(fēng)險分析需要考慮導(dǎo)致風(fēng)險的原因和風(fēng)險源、風(fēng)險事件的正面和負(fù)面的后果及其發(fā)生的可能性、影響后果和可能性的因素、不同風(fēng)險及其風(fēng)險源的相互關(guān)系以及風(fēng)險的其他特性，還要考慮控制措施是否存在及其有效性。附錄B提供了一些常用的風(fēng)險分析方法。對于復(fù)雜的應(yīng)用可能需要多種方法同時使用。

為確定風(fēng)險等級，風(fēng)險分析通常包括對風(fēng)險的潛在后果范圍和發(fā)生可能性的估計，該后果可能源于一個事件、情景或狀況。然而，在某些情況下，如后果很不重要，或發(fā)生的可能性極小，這時單項參數(shù)的估計可能就足以進(jìn)行決策。

在某些情況下，風(fēng)險可能是一系列事件迭加產(chǎn)生的結(jié)果，或者由一些難以識別的特定事件所誘發(fā)。在這種情況下，風(fēng)險評估的重點(diǎn)是分析系統(tǒng)各組成部分的重要性和薄弱環(huán)節(jié)，檢查并確定相應(yīng)的防護(hù)和補(bǔ)救措施。

用于風(fēng)險分析的方法可以是定性的、半定性的、定量的或以上方法的組合。風(fēng)險分析所需的詳細(xì)程度取決于特定的用途、可獲得的可靠數(shù)據(jù)，以及組織決策的需求。

定性的風(fēng)險分析可通過重要性等級來確定風(fēng)險后果、可能性和風(fēng)險等級，如“高”、“中”、“低”3個重要性程度，可以將后果和可能性兩者結(jié)合起來，并對照定性的風(fēng)險準(zhǔn)則來評價風(fēng)險等級的結(jié)果。

半定量法可利用數(shù)字評級量表來測度風(fēng)險的后果和發(fā)生可能性，并運(yùn)用公式將二者結(jié)合起來，確定風(fēng)險等級。量表的刻度可以是線性的，或者是對數(shù)的，或其他形式。

定量分析可估計出風(fēng)險后果及其發(fā)生可能性的實際數(shù)值，并產(chǎn)生風(fēng)險等級的數(shù)值。由于相關(guān)信息不夠全面、缺乏數(shù)據(jù)、認(rèn)為因素影響等，或是因為定量分析難以開展或沒有必要，全面的定量分析未必都是可行的或值得的。在此情況下，由具有專業(yè)知識和經(jīng)驗的專家對風(fēng)險進(jìn)行半定量或者定性的分析可能已經(jīng)足夠有效。

如果是定性分析，那么應(yīng)該對使用的術(shù)語和概念進(jìn)行清晰的說明，并記錄所有風(fēng)險準(zhǔn)則的設(shè)定基礎(chǔ)。

即使已實現(xiàn)全面的定量分析，還應(yīng)注意到，此時計算獲得的風(fēng)險等級值是估計值，應(yīng)謹(jǐn)慎的確保其精度不會與所使用的原始數(shù)據(jù)及分析方法的精確度存在偏差。

風(fēng)險等級應(yīng)當(dāng)用與風(fēng)險類型最為匹配的術(shù)語表達(dá)，以利于進(jìn)一步的風(fēng)險評價。在某些情況下，風(fēng)險等級可以通過風(fēng)險后果的可能性分布來表述。

5.3.2 控制措施評估

風(fēng)險的等級水平不僅取決于風(fēng)險本身，還與現(xiàn)有風(fēng)險控制措施的充分性和有效性密切相關(guān)。

在進(jìn)行控制措施評估時，需要解決的問題包括：

?對于一個具體的風(fēng)險，現(xiàn)有的控制措施是什么？

?這些控制措施是否足以應(yīng)對風(fēng)險，是否可以將風(fēng)險控制在可接受范圍內(nèi)？

?在實際中，控制措施是否在以預(yù)定方式正常運(yùn)行，當(dāng)需要時，能否證明這些控制措施是有效的？

對于特定的控制措施或一套相關(guān)控制措施的有效性水平，可以進(jìn)行定性、半定量或定量的表述。但在大多數(shù)情況下，難以保證高度的精確性。然而，表述和記錄測量風(fēng)險控制效果的有效性是有價值的。因為在改進(jìn)現(xiàn)有控制措施以及實施不同的風(fēng)險應(yīng)對措施時，這些信息有助于決策者進(jìn)行比較和判斷。

5.3.3 后果分析

通過假設(shè)特定事件、情況或環(huán)境已經(jīng)出現(xiàn)，后果分析可確定風(fēng)險影響的性質(zhì)和類型。某個事件可能會產(chǎn)生一系列不同嚴(yán)重程度的影響，也可能影響到一系列目標(biāo)和不同利益相關(guān)者。在明確環(huán)境信息時，就應(yīng)當(dāng)確定所需要分析的后果的類型和受影響的利益相關(guān)方。

后果分析的形式較為靈活，可以是對后果的簡單描述，也可能是制定詳細(xì)的數(shù)量模型等。

影響可能是輕微后果高概率，或嚴(yán)重后果低概率，或某些中間狀況。在某些情況下，應(yīng)關(guān)注具有潛在嚴(yán)重后果的風(fēng)險，因為這些風(fēng)險往往是管理者最關(guān)心的。在其他情況下，同時分析具有嚴(yán)重后果和輕微后果的風(fēng)險可能是重要的。例如，頻繁而輕微的問題可能具有很大的累積或長期效應(yīng)。另外，處理這兩類截然不同的風(fēng)險的應(yīng)對措施往往有很大的區(qū)別，因此分別分析這兩類風(fēng)險是必要的。

5.3.3 后果分析

后果分析應(yīng)包括：

?考慮應(yīng)對后果的現(xiàn)有控制措施，并關(guān)注可能影響后果的相關(guān)因素；

?將風(fēng)險后果與最初目標(biāo)聯(lián)系起來；

?對馬上出現(xiàn)的后果和那些經(jīng)過一段時間后可能出現(xiàn)的后果兩種情況要同等重視；

?不能忽視次要后果，例如那些影響相關(guān)系統(tǒng)、活動、設(shè)備或組織的次要后果。

5.3.4 可能性分析

通常主要使用三種方法來評估可能性。這些方法可單獨(dú)或組合使用，包括：

a)利用相關(guān)歷史數(shù)據(jù)來識別那些過去發(fā)生的事件或情況，借此推斷出它們在未來發(fā)生的可能性。所使用的數(shù)據(jù)應(yīng)當(dāng)與正在分析的系統(tǒng)、設(shè)備、組織或活動的類型有關(guān)。如果某些事件過去的發(fā)生頻率很低，則任何可能性的估計都是不確定的。這一點(diǎn)尤其適用于從未發(fā)生的事件、情況或環(huán)境，人們無法推測其將來是否會發(fā)生。

b)利用故障樹和事件樹等技術(shù)來預(yù)測可能性。當(dāng)歷史數(shù)據(jù)無法獲取或不夠充分時，有必要通過分析系統(tǒng)、活動、設(shè)備或組織及其相關(guān)的失效或成功狀況來推斷風(fēng)險發(fā)生的可能性。

c)系統(tǒng)化和結(jié)構(gòu)化的利用專家觀點(diǎn)來估計可能性。專家判斷應(yīng)利用一切現(xiàn)有的相關(guān)信息，包括歷史的、特定系統(tǒng)的、具體組織的、實驗及設(shè)計等方面的信息。獲得專家判斷的正式方法眾多，常用的方法包括德爾菲法和層次分析法等。

5.3.5 初步分析

應(yīng)對風(fēng)險進(jìn)行全面的篩選，以識別出最重大的風(fēng)險或把不太重要和次要的風(fēng)險排除，便于進(jìn)一步的分析，由此確保組織資源能集中于應(yīng)對最嚴(yán)重的風(fēng)險。進(jìn)行篩選時，應(yīng)注意不要漏掉發(fā)生頻率低但有重大累積效應(yīng)的風(fēng)險。

以上篩選活動應(yīng)在明確環(huán)境信息時所確定的風(fēng)險準(zhǔn)則基礎(chǔ)上進(jìn)行。依據(jù)初步分析的結(jié)果，組織可能采取以下某個方案：

?無需進(jìn)一步評估，立即進(jìn)行風(fēng)險應(yīng)對；

?擱置暫不需應(yīng)對的不重要風(fēng)險；

?繼續(xù)進(jìn)行更細(xì)致的風(fēng)險評估。

應(yīng)記錄最初的假定及結(jié)果。

5.3.6 不確定性及敏感性

在風(fēng)險分析過程中經(jīng)常會涉及到相當(dāng)多的不確定性。認(rèn)識這些不確定性對于有效的解釋和溝通風(fēng)險分析結(jié)果是必要的。這些不確定性與在風(fēng)險識別和風(fēng)險分析時所使用的數(shù)據(jù)、方法及模型有關(guān)。不確定性分析包括明確風(fēng)險分析結(jié)果的方差或不確定性，它們可能來自于用于確定結(jié)果的參數(shù)和假設(shè)的共同偏差。

與不確定性分析密切相關(guān)的是敏感性分析。敏感性分析是確定某個參數(shù)輸入的變化對風(fēng)險等級的影響。這項分析可用來識別哪些數(shù)據(jù)數(shù)據(jù)是對結(jié)果影響較大的，從而更應(yīng)確保其精確性。

應(yīng)盡可能充分闡述風(fēng)險分析的完整性及準(zhǔn)確度。如有可能，應(yīng)識別不確定性的起因，并闡述所使用數(shù)據(jù)、方法及模型的不確定性。敏感的參數(shù)及其敏感性程度應(yīng)予以說明。

5.4 風(fēng)險評價

風(fēng)險評價包括將風(fēng)險分析的結(jié)果與預(yù)先設(shè)定的風(fēng)險準(zhǔn)則相比較，或者在各種風(fēng)險的分析結(jié)果之間進(jìn)行比較，確定風(fēng)險的等級。

風(fēng)險評價利用風(fēng)險分析過程中所獲得的對風(fēng)險的認(rèn)識，對未來的行動進(jìn)行決策。道德、法律、財務(wù)以及包括風(fēng)險感知在內(nèi)的其他因素，也是決策的參考信息。

決策包括：

?某個風(fēng)險是否需要應(yīng)對；

?風(fēng)險的應(yīng)對優(yōu)先次序；

?是否應(yīng)開展某項應(yīng)對活動；

?應(yīng)該采取哪些途徑。

在明確環(huán)境信息時，需要做出的決策的性質(zhì)以及決策所依據(jù)的準(zhǔn)則都已得到確定。但是在風(fēng)險評價階段，需要對以上問題進(jìn)行更深入的分析，畢竟此時對于已識別的具體風(fēng)險有更為全面的了解。如果該風(fēng)險是新識別的風(fēng)險，則應(yīng)當(dāng)制定相應(yīng)的風(fēng)險準(zhǔn)則，以便評價該風(fēng)險。

最簡單的風(fēng)險評價結(jié)果，是僅將風(fēng)險分為兩種：需要應(yīng)對與無需應(yīng)對的。這樣的方式無疑簡單易行，但是其結(jié)果通常難以反映出發(fā)現(xiàn)估計時的不確定性，而且兩類風(fēng)險界限的準(zhǔn)確界定也絕非易事。

是否以及如何應(yīng)對風(fēng)險的決策，也可能取決于承擔(dān)風(fēng)險的成本與收益以及實施應(yīng)對措施的成本與收益。

依據(jù)風(fēng)險的可容許程度，可以將風(fēng)險劃分為如下3個區(qū)域：

?不可接受區(qū)域。在該區(qū)域內(nèi)無論相關(guān)活動可以帶來什么收益，風(fēng)險等級都是無法承受的，必須不惜代價進(jìn)行風(fēng)險應(yīng)對；

?中間區(qū)域。對該區(qū)域內(nèi)風(fēng)險的應(yīng)對需要考慮實施應(yīng)對措施的成本與收益，并權(quán)衡機(jī)遇與潛在后果；

?廣泛可接受區(qū)域。該區(qū)域中的風(fēng)險等級微不足道，或者風(fēng)險很小，無需采取任何風(fēng)險應(yīng)對措施。

安全工程領(lǐng)域的“最低合理可行”或ALARP(As Low As Reasonably Practicable)準(zhǔn)則即遵循了這一風(fēng)險分級方式。在中間區(qū)域（或稱ALARP區(qū)域）中，對于較低的風(fēng)險可以直接進(jìn)行應(yīng)對措施的成本收益分析：如果增加安全的投入對安全效益的貢獻(xiàn)不大，則可認(rèn)為分析是可容許的；對于其中較高的風(fēng)險，則需進(jìn)一步實施應(yīng)對措施，以使風(fēng)險盡量向廣泛可接受區(qū)域靠攏，直至風(fēng)險降低的成本與獲得的安全收益完全不成比例。

風(fēng)險評價的結(jié)果應(yīng)滿足風(fēng)險應(yīng)對的需要，否則，應(yīng)做進(jìn)一步分析。

5.5 文件的歸檔

風(fēng)險評估的過程和結(jié)果都應(yīng)進(jìn)行記錄。風(fēng)險應(yīng)以可理解的術(shù)語來表達(dá)，同時風(fēng)險等級的單位也應(yīng)得到清晰表達(dá)。

風(fēng)險評估記錄文件的內(nèi)容將取決于評估工作的目標(biāo)及范圍。除非進(jìn)行很簡單的評估，否則，記錄文件需包括：

?目標(biāo)及范圍；

?系統(tǒng)相關(guān)部分的說明及它們的功能；

?組織的內(nèi)外部環(huán)境描述以及被評估對象與內(nèi)外環(huán)境的關(guān)聯(lián)情況；

?所使用的風(fēng)險準(zhǔn)則及其合理性；

?局限性、假定及假設(shè)的合理性；

?評估方法；

?風(fēng)險識別的結(jié)果；

?數(shù)據(jù)的來源與校驗；

?風(fēng)險分析的結(jié)果及評價；

?敏感性及不確定性分析；

?關(guān)鍵的假定和其他需要加以檢測的因素；

?結(jié)果的討論；

?結(jié)論和建議；

?參考資料。

如果需要分析評估來支持一個連續(xù)的風(fēng)險管理過程，那么對于風(fēng)險評估的記錄工作應(yīng)在系統(tǒng)、組織、設(shè)備或活動的整個生命周期內(nèi)持續(xù)進(jìn)行。如果出現(xiàn)重要的新信息或者環(huán)境發(fā)生變化，應(yīng)根據(jù)管理的需要對風(fēng)險評估進(jìn)行更新。

5.6 風(fēng)險評估的監(jiān)督和檢查

風(fēng)險評估過程強(qiáng)調(diào)環(huán)境因素和其他因素，這些因素可能會隨時間變化，并且可能使風(fēng)險評估改變或失效。應(yīng)對識別出這些因素進(jìn)行持續(xù)的監(jiān)督和檢查，以便在必要時更新風(fēng)險評估的信息。

應(yīng)當(dāng)識別和收集為改進(jìn)風(fēng)險評估而監(jiān)測的數(shù)據(jù)。還應(yīng)當(dāng)監(jiān)測和記錄風(fēng)險控制措施的效果，以便為風(fēng)險分析提供數(shù)據(jù)。應(yīng)當(dāng)明確證據(jù)、文件的建立和檢查的責(zé)任。

6.1 概述

選擇合適的分析評估技術(shù)和方法，有助于組織及時高效的獲取準(zhǔn)確的評估結(jié)果，在具體實踐中，風(fēng)險評估的復(fù)雜及詳細(xì)程度千差萬別。風(fēng)險評估的形式及結(jié)果應(yīng)與組織的自身情況適合。

6.2 技術(shù)的選擇

6.2.1 概述

一般來說，合適的技術(shù)應(yīng)具備以下特征：

?適應(yīng)組織的相關(guān)情況；

?得出的結(jié)果應(yīng)加深對風(fēng)險性質(zhì)及如何應(yīng)對風(fēng)險的認(rèn)識；

?應(yīng)能按可追溯、可重復(fù)及可驗證的方式使用。

應(yīng)從相關(guān)性及適用性角度說明選擇技術(shù)的原因。在綜合不同研究的結(jié)果時，所采用的技術(shù)及結(jié)果應(yīng)是可比較的。

一旦決定進(jìn)行風(fēng)險評估并且確定了風(fēng)險評估的目標(biāo)和范圍，那么就可以依據(jù)如下因素，選擇一種或多種評估技術(shù)：

?風(fēng)險評估的目標(biāo)，這對于使用的方法有直接影響；

?決策者的需要：某些情況下作出有效的決策需要充分的評估細(xì)節(jié)，而某些情況下可能只需要對總體情況進(jìn)行大致了解；

?所分析風(fēng)險的類型及范圍；

?后果的潛在嚴(yán)重程度；

?專業(yè)知識、人員以及所需要資源的程度；

?信息和數(shù)據(jù)的可獲得性；

?修改/更新風(fēng)險評估的必要性；一些評估結(jié)果可能在將來需要修改或更新。在這些方面，某些方法比其他方法更易于調(diào)整；

?法律法規(guī)及合同要求等。

只要滿足評估的目標(biāo)和范圍，簡單方法應(yīng)優(yōu)于復(fù)雜方法被采用。

此外，其他幾類因素對風(fēng)險評估技術(shù)選擇的影響也值得關(guān)注，例如資源的可獲得性、現(xiàn)有數(shù)據(jù)和信息中不確定性的性質(zhì)和程度，以及在應(yīng)用方面的復(fù)雜性。

6.2.2 資源的可獲得性

可能影響分析評估技術(shù)選擇的資源和能力包括：

?風(fēng)險評估團(tuán)隊的技能、經(jīng)驗及能力；

?信息及數(shù)據(jù)的可獲得性；

?時間和組織內(nèi)其他資源的限制；

?需要外部資源時的可用預(yù)算。

6.2.3 不確定性的性質(zhì)和程度

組織內(nèi)外部環(huán)境中常常存在著不確定性?？色@得的信息和數(shù)據(jù)并不總是可以對未來的預(yù)測提供可靠的基礎(chǔ)。不確定性可能產(chǎn)生于信息的質(zhì)量、數(shù)據(jù)和完整性，例如較差的數(shù)據(jù)質(zhì)量或缺乏基本的、可靠的數(shù)據(jù)；某些風(fēng)險可能缺少歷史數(shù)據(jù)；數(shù)據(jù)收集的方式的有效性；或者是不同利益相關(guān)方會對現(xiàn)有數(shù)據(jù)做出不同的解釋。進(jìn)行分析評估的人員應(yīng)理解不確定性的類型和性質(zhì)，同時認(rèn)識到風(fēng)險評估結(jié)果可靠性的重大意義，并向決策者說明這些情況。

6.2.4 復(fù)雜性

風(fēng)險自身經(jīng)常具有復(fù)雜性的特征。例如，在復(fù)雜的系統(tǒng)中進(jìn)行風(fēng)險評估時，應(yīng)對其系統(tǒng)總體進(jìn)行評估，而不是孤立的對待系統(tǒng)中的每個部分，并忽略各部分之間的相互關(guān)系。在某些情況下，對某一風(fēng)險采取應(yīng)對措施可能會對其他活動產(chǎn)生影響。需要認(rèn)識后果之間的相互影響和風(fēng)險之間的相互依賴關(guān)系，以確保在管理一個風(fēng)險時，不會導(dǎo)致在其他地方產(chǎn)生另一個不可容忍的風(fēng)險。理解組織中單個或多個風(fēng)險組合的復(fù)雜性，對于選擇適當(dāng)?shù)娘L(fēng)險評估技術(shù)和方法值觀重要。

6.3 風(fēng)險評估在生命周期各階段的應(yīng)用

許多活動、項目和產(chǎn)品被認(rèn)為具有生命周期，從最初的概念和定義、實現(xiàn)到最終的完結(jié)。風(fēng)險評估可以應(yīng)用于生命周期的所有階段，而且通常以不同的詳細(xì)程度被應(yīng)用多次，以便為每一階段需做出的決策提供幫助。

生命周期各階段對風(fēng)險評估有不同的需求，并需要不同的評估技術(shù)。例如，在概念和定義階段，當(dāng)識別一個機(jī)會時，可以使用風(fēng)險評估來決定是繼續(xù)還是放棄。在有多個方案可供選擇時，風(fēng)險評估可以用于評價替代方案，幫助確定哪些方案能夠提供最好的風(fēng)險平衡。

在設(shè)計和開發(fā)階段，風(fēng)險評估有助于：

?保證系統(tǒng)風(fēng)險是可接受的；

?精細(xì)化設(shè)計過程；

?成本的有效性研究；

?識別在后續(xù)階段可能出現(xiàn)的風(fēng)險。

在生命周期的其他階段，可以用風(fēng)險評估提供必要的信息，以便為支持情況和緊急情況制定程序。

6.4 風(fēng)險評估技術(shù)的類型

為了更清晰的理解各類風(fēng)險評估技術(shù)的特點(diǎn)，可以依據(jù)多種方式對這些技術(shù)方法進(jìn)行分類。附錄A按適用階段和影響因素，對常用的風(fēng)險評估技術(shù)進(jìn)行了分類比較。

在附錄B中，對這些常用的風(fēng)險評估技術(shù)和方法展開了進(jìn)一步的詳述介紹，為組織如何在特定情況下選擇合適的風(fēng)險評估技術(shù)提供參考。復(fù)雜情況下可能需要同時采用多種評估技術(shù)和方法。

A.1 適用階段

本附錄描述了各類評估技術(shù)如何應(yīng)用到風(fēng)險評估過程的每一個階段。風(fēng)險評估過程如下所示：

?風(fēng)險識別；

?風(fēng)險分析：后果分析；

?風(fēng)險分析：對發(fā)生可能性的定性、半定量或定量分析；

?風(fēng)險分析：評估現(xiàn)有控制措施的有效性；

?風(fēng)險分析：風(fēng)險等級的估計；

?風(fēng)險評價。

對于風(fēng)險評估的每一階段。各類技術(shù)的適用性被描述為非常適用，適用或者不適用（見表A.1).