澳大利亞和新西蘭風險管理標準.doc

《澳大利亞和新西蘭風險管理標準.doc》由會員分享，可在線閱讀，更多相關《澳大利亞和新西蘭風險管理標準.doc（52頁珍藏版）》請在裝配圖網(wǎng)上搜索。

《澳大利亞風險管理標準》 AS/NZS 4360:1999 本澳大利亞、新西蘭聯(lián)合標準，由聯(lián)合技術委員會〇B-007《風險管理Risk Management》制訂。它于1999年4月2日經(jīng)澳大利亞標準委員會批準，1999年3月22日經(jīng)新西蘭標準委員會批準；并于1999年4月12日頒布。 OB-007委員會由下列各界代表組成： 澳大利亞計算機學會 澳大利亞海關 澳大利亞風險管理學會 聯(lián)邦科學與工業(yè)研究機構 澳大利亞行政部 澳大利亞國防部 新西蘭環(huán)境風險管理局 澳大利亞工程師學會 新西蘭專業(yè)工程師學會 澳大利亞保險委員會 新西蘭保險學會 新西蘭農(nóng)業(yè)和林業(yè)部 新西蘭商業(yè)部 新西蘭應急措施和民防部 新西蘭地方政府 新南威爾士州城市事務和計劃部 新南威爾士州財政部管理基金會 澳大利亞全國保險經(jīng)紀人協(xié)會 澳大利亞證券學會 澳大利亞風險和保險管理人協(xié)會 新南威爾士大學 本標準的征求意見稿為DR 98549。 第一次頒布為 AS/NZS 4360:1995修訂版為 AS/NZS 4360:1999 澳大利亞標準的評審 為跟上工業(yè)界的步伐，澳大利亞標準需定期評審，并通過出版修正案或必要時出版新的版本進行更新。因此，標準的使用者要確保擁有最新的版本及其修正案。 所有澳大利亞標準和相關出版物的完整細目，可在《澳大利亞標準出版物目錄Standards Australia Catalogue of Publications》找到；訂戶收到的月刊《澳大利亞標準Australian Standards》每月對這一資料加以補充，并且提供新出版物、新版本和修正案，以及撒消標準的細目。 歡迎對澳大利亞標準提出改進的建議，建議請寄澳大利亞標準協(xié)會總部。如發(fā)現(xiàn)澳大利亞標準中有任何不精確或不明確之處，請立即告知，以便對事情進行調(diào)查并采取適當措施。 ISBN 0 7337 3978 4 ? Australian Standard 是注冊商標。 ◎澳大利亞標準協(xié)會版權所有。保留一切版權。事先未經(jīng)發(fā)行人書面同意，本澳大利亞標準的任何部分不得以任何方式，或采用任何手段，包括影印、掃描或其他機械或電子方法進行復制、復印、儲存、分發(fā)或傳送。 澳大利亞標準協(xié)會出版，GPO Box 5420，Sydney NSW 2001 本標準草案由澳大利亞標準/新西蘭標準〇B-007《風險管理》聯(lián)合委員會制訂，它是對AS/NZS 4360:1995的修訂。因此，它的目的仍是為建立風險的環(huán)境、鑒定、分析、評價、處理、監(jiān)控和信息交流等提供通用的架構。本標準應與其他適用或相關的標準一起閱讀。 本標準規(guī)定了風險管理過程的各個要素，但本標準的目的并不是要強制執(zhí)行統(tǒng)一的風險管理體系。本標準是通用的，并不從屬于任何一個特定的行業(yè)或經(jīng)濟部門。風險管理系統(tǒng)的設計和實施會受到一個機構變化著的需求、它特定的目標、產(chǎn)品和服務、以及所采用的工藝和具體做法的影響。 風險管理是由多個定義明確的步驟所組成的一個反復過程，這些步驟以較深入地洞察風險及其影響為更好的決策提供支持。任何可能會出現(xiàn)不希望有的或意想不到重大后果的場合、或機會已被識別的場合均可應用風險管理程序。決策者們需要了解可能出現(xiàn)的后果，并采取措施控制其影響。 風險管理被認為是良好管理的一個組成部分。為達到最佳效果，風險管理應成為機構文化的一部分。它應與機構的宗旨、實踐和業(yè)務計劃結合在一起，而不應被當作是一個單獨的程序來看待或實施。做到了這一點，風險管理就成為機構中每個人的事。 如因任何原因，不能將風險管理結合到整個機構中去，將它成功地應用于個別部門、過程或項目仍是可能的。 本標準中盡可能地選用在風險和風險管理學科中廣為接受的術語。風險管理各分科中含義稍有不同的那些詞已避免使用，而采用目前實際上可能不太常用，但可以被定義為具有精確的共通含義的那些詞來代替。例如風險處理這一術語，其定義所涵蓋的內(nèi)容比“風險控制risk control”這一術語通常的含義要多。 在本標準中使用了“提示”這一術語來規(guī)定附錄所適用的場合。“提示”附錄僅供參考和指引。 目錄 1范圍，應用和定義 2風險管理要求 2.1. 目的 2.2. 風險管理方針 2.3. 計劃和資源 2.4. 實施計劃 2.5. 管理部門評審 3風險管理概觀 3.1. 總則 3.2. 主要因素 4風險管理過程 4.1. 建立環(huán)境 4.2. 風險鑒定 4.3. 風險分析 4.4. 風險評價 4.5. 風險處理 4.6. 監(jiān)控和評審 4.7. 信息交流和咨詢 5形成文件 5.1. 總則 5.2. 形成文件的理由 附錄 A 風險管理的應用 B 制訂和實施風險管理計劃的步驟... C (風險)承擔者 D 風險的一般來源和它們的影響范圍 E 風險定義和分類舉例 F 風險定量表達舉例 G 鑒定風險處理的選項 H 風險管理文件 1.范圍，應用和定義 1.1范圍 本標準為建立和實施一個包括環(huán)境建立、風險鑒定、分析、評價、處理、信息交流以及持續(xù)監(jiān)控的風險管理過程提供通用的指導。 1.2應用 風險管理被認為是良好管理的一個組成部分。它是由多個步驟組成的一個反復過程：這些步驟在按順序地執(zhí)行時可以對決策不斷地加以改進。 風險管理是一種邏輯和系統(tǒng)方法的術語；它用一種將損失減小到最低程度而使機會達到最大限度的方式，對與機構的任何活動、功能和過程相關的風險進行環(huán)境建立、鑒定、分析、評價、處理、監(jiān)控和信息交流。風險管理既是為了發(fā)現(xiàn)機會，也同樣地是為了避免或減輕損失。 本標準可以應用于一個活動、功能、項目、產(chǎn)品或資產(chǎn)的整個壽命期的各階段。通常，從一開始就應用風險管理程序得益最大。往往在一個項目的各個階段要進行多次不同的研究。 注：本標準可以應用于任何公營、私營或社區(qū)企業(yè)或集團的許多活動或業(yè)務。附錄A給出了一些例子。 1.3定義 基于本標準的目的，本標準采用下述定義。 1.3.1后果 Consequence 以定性或定量方式表示的一個事件的結果，可以是損失、傷害、失利或者獲利。一個事可能會有許多個與其相關的結果。 1.3.2成本 Cost 直接或間接涉及活動的任何負面影響，包括金錢、時間、勞工、破壞、信譽、政治和無形的損失。 1.3.3事件 Event 在特定的時間間隔內(nèi)，在特定的地方發(fā)生的一個事件或情況。 1.3.4事件樹分析Event tree 用來描述一起始事件可能會引起的結果之可能的范圍和順序的一種方法。 1.3.5失效模式及影響分析（FMEA ) 用來對技術系統(tǒng)潛在的失效模式進行分析的一種程序。失效模式及影響分析（FMEA )可以擴展至進行所謂的失效模式、影響及危急程度分析（FMECA )。在失效模式、影響及危急程度分析中，根據(jù)其發(fā)生的可能性和后果的嚴重性的綜合影響，對經(jīng)鑒定的每種失效模式進行等級排列。 1.3.6失效樹分析 Failure tree analysis 用來表示可導致某一特定事件（稱為頂端事件）的各種系統(tǒng)狀態(tài)和可能原因的邏輯組合的一種系統(tǒng)工程方法。 1.3.7頻率 Frequency 以規(guī)定吋間內(nèi)所發(fā)生的次數(shù)來表達的事件發(fā)生率的量度。參見可能性和概率。 1.3.8危險 Hazard 潛在危害的根源或可能會造成損失的情況。 1.3.9可能性 Likelihood 用作對概率或頻率的定性描述。 1.3.10損失 Loss 任何金融或其他方面的負面影響。 1.3.11監(jiān)控 Monitor 定期檢查、監(jiān)督、緊急觀察、或記錄一個活動、措施或系統(tǒng)的進展情況，以鑒定是否有變化。 1.3.12機構 Organization 具有自己的功能和行政管理的一家公司、商號、企業(yè)或協(xié)會，或其他法人實體或它的一部分，不管是否組成公司，是公營還是私營。 1.3.13概率 Probability 以特定事件或結果與可能發(fā)生事件或結果的總數(shù)之比來量度的特定事件或結果的可能性。概率用數(shù)字0至1來表達，0表示一個不可能的事件或結果，而1則表示一個必然的事件或結果。 1.3.14剩余風險 Residual risk 在采取風險處理措施后仍保留的風險程度。 1.3.15風險 Risk 對目標有所影響的某個事情發(fā)生的可能性。它根據(jù)后果和可能性來量度。 1.3.16風險認可 Risk acceptance 認可某一具體風險的后果和可能性的有依據(jù)的決定。 1.3.17風險分析 Risk analysis 系統(tǒng)地使用現(xiàn)有的信息來確定指定事件可能發(fā)生的經(jīng)常性以及其后果的大小程度。 1.3.18風險評估 Risk assessment 風險分析和風險評價的整個過程，見圖3.1。 1.3.19風險回避 Risk avoidance 不介入風險情況的一種有依據(jù)的決定。 1.3.20風險控制 Risk control 風險管理中的某部分，其中涉及執(zhí)行方針、標準、程序和實質性改變以消除或縮小不利風險。 1.3.21風險工程 Risk engineering 工程原理和方法在風險管理中的應用。 1.3.22風險評價 Risk evaluation 通過將風險程度與預先確定的標準、目標風險的程度或其他準則進行比較，來確定風險管理優(yōu)先次序的過程。 1.3.23風險資金 Risk financing 用以資助風險處理和風險的財政后果的方法。 注：在某些行業(yè)，風險資金僅涉及對風險的財政后果的資助。 1.3.24風險鑒定 Risk identification 確定可能會發(fā)生什么、為什么發(fā)生和如何發(fā)生的程序。 1.3.25風險管理 Risk management 旨在對潛在機會和不利影響進行有效管理的文化、程序和結構。 1.3.26風險管理過程 Risk management process 系統(tǒng)地將管理方針、程序和實施應用于風險的環(huán)境建立、鑒定、分析、評價、處理、監(jiān)控和信息交流等任務。 1.3.27風險降低 Risk reduction 有選擇地應用適當?shù)姆椒ê凸芾碓瓌t來減小發(fā)生的可能性或它的后果，或使兩者都減小。 1.3.28風險保留 Risk retention 故意地或非故意地保留在機構內(nèi)對損失或損失造成的財務負擔的責任。 1.3.29風險轉移 Risk transfer 通過立法、合同、保險或其他手段將損失的責任或負擔轉移到另一方。風險轉移也可認為是將一個實物性風險或它的一部分轉移到另外的地方。 1.3.30風險處理 Risk treatment 選擇并執(zhí)行適當?shù)倪x擇方案來處理風險。 1.3.31靈敏度分析 Sensitivity analysis 檢查一個計算或模型的結果是如何隨著各種假設的變化而改變。 1.3.32承擔者 Stakeholder 可以影響一個決定或活動，或受到、或領悟到他們會受到一個決定或活動的影響的那些人和機構。 注：風險承擔者還可包括ISO 14050:1998和AS/NZS IS014004:1996中所定義的有關方面。 2風險管理要求 2.1目的 本章節(jié)的目的是為了描述建立系統(tǒng)的風險管理計劃的一種正式程序。 為在項目或分機構的層次上提供一個為執(zhí)行更詳細風險管理計劃的架構，必須開發(fā)機構的風險管理方針和支援機制。 2.2風險管理方針 機構的負責人應規(guī)定機構的風險管理方針，包括風險管理目標和對風險管理的承諾，并形成文件。風險管理應體現(xiàn)機構的戰(zhàn)略環(huán)境、它的目標、目的以及它的業(yè)務性質。管理部門應確保這一方針在機構的各個層次上得到理解、貫徹和堅持執(zhí)行。 2.3計劃和資源 2.3.1管理部門的義務 機構應確保： A.風險管理體系是按照本標準來建立、貫徹和堅持執(zhí)行；以及 B.向機構的管理部門報告風險管理體系的執(zhí)行績效，以便評審和作為改進的基礎。 2.3.2職責和權限 對從事風險管理的執(zhí)行和驗證工作的人員，特別是對需要獨立行使機構權力開展下列一項或多項工作的人員，應規(guī)定其職責、權限和相互關系，并形成文件： (a)采取措施，防止或減小風險的不利影響； (b)控制對風險的進一步處理，直至風險的程度可以接受； (c)確認和記錄與風險管理有關的問題； (d)通過規(guī)定的渠道，采取、推薦或提供解決辦法； (e)驗證解決辦法的實施效果； (f)和在內(nèi)部或外部適當?shù)剡M行信息交流和咨詢。 2.3.3資源 對管理、執(zhí)行工作和驗證活動，包括內(nèi)部審核，機構應確定資源要求并提供足夠的資源，包括委派經(jīng)過培訓的人員。 2.4實施計劃 在機構內(nèi)實施有效的風險管理體系需要有多個步驟。附錄B提供一些例子。根據(jù)機構的整個風險管理宗旨、文化和結構，某些步驟可以合并或省略。但所有步驟均應得到考慮。 2.5管理部門評審 機構的負責人應確保按規(guī)定的時間間隔對風險管理體系進行評審，確保持續(xù)的適宜性和有效性，以滿足本標準的要求和機構訂下的風險管理方針和目標（見2.2)。評審記錄應予以保存。 3風險管理概觀 3.1總則 風險管理是管理過程整體的一部分。風險管理是一個多方面的過程，其相關方面往往最好由一個多學科的小組來實施。它是一個不斷改進的反復過程。 3.2主要因素 如圖3.1所示，風險管理過程的要素如下： 3.2.1建立環(huán)境 建立在過程的其余部分將出現(xiàn)的戰(zhàn)略、組織和風險管理的環(huán)境。應建立對風險進行評價的準則，并規(guī)定分析的結構。 3.2.2鑒定風險 鑒定會出現(xiàn)什么事，為什么會出現(xiàn)和如何出現(xiàn)，作為進一步分析的基礎。 3.2.3分析風險 確定現(xiàn)有的控制，并根據(jù)在這些控制的環(huán)境中的后果和可能性對風險進行分析。這種分析應考慮到潛在后果的范圍和這些后果發(fā)生的可能性有多大?？蓪⒑蠊涂赡苄越Y合起來得到一個估計的風險程度。 3.2.4評價風險 將估計的風險程度與預先建立的準則進行比較。這樣可將風險按等級排列，以便鑒定管理的優(yōu)先次序。如果所建立的風險程度很低，此時的風險可以列入可接受的范疇，而不需要作處理。 3.2.5處理風險 認可并監(jiān)控低優(yōu)先次序的風險。對于其他風險，則發(fā)展并實施一個特定管理計劃，其中包括考慮到提供資金。 3.2.6監(jiān)控和評審 對風險管理體系的運行情況以及可能影響其運行的那些變化進行監(jiān)控和評審。 3.2.7信息交流和咨詢 在風險管理過程的每個階段以及在整個過程中，適時與內(nèi)部和外部的風險承擔者進行信息交流和咨詢。 風險管理可應用于一個機構的多個層次。它既可用于戰(zhàn)略層次又可用于運作層次。它可以用于具體的項目，以便協(xié)助作出具體的決定，或對特定認可的風險領域加以管理。 風險管理是有助于機構改進的一個反復過程。風險準則可以隨著每次循環(huán)得到提高，從而使風險管理逐步達到更好的水平。 過程的每個階段應作好充分的記錄，以滿足獨立審核的需要。 圖3.1風險管理綜述 4風險管理過程 4.1建立環(huán)境 4.1.1總則 風險管理的詳細過程如圖4.1所示。此過程發(fā)生在一個機構的戰(zhàn)略、組織和風險管理環(huán)境的架構內(nèi)。風險環(huán)境的建立，是為了規(guī)定風險管理所必需的基本參數(shù)范圍，并為在更仔細的風險管理的研究中作出決定提供指導。它為風險管理過程的其余部分設定了范圍。 4.1.2建立戰(zhàn)略環(huán)境 規(guī)定機構與其所處環(huán)境之間的關系，鑒定機構的實力、弱點、機會和威脅。戰(zhàn)略環(huán)境包括機構職能中的財務、經(jīng)營、競爭、政治（公眾的感覺/形象）、社會、客戶、文化和法律等方面。 鑒定內(nèi)部和外部的風險承擔者，考慮他們的目標、注意到他們的感覺、并建立與這些相關方進行信息交流的方針。 注：附錄C給出潛在風險承擔者一覽表。 這一步驟的重點是機構運作所處的環(huán)境。機構應設法確定可支持或削弱其處理所面臨風險的能力的關鍵的因素。 可從事戰(zhàn)略分析。決策層應支持戰(zhàn)略分析，設定基本的參數(shù)，并為更具體的風險管理過程提供指導。在一個機構的任務或戰(zhàn)略目標、與對它所受到的種種風險所進行的管理之間，應該存在一個密切的關系。 4.1.3建立組織環(huán)境 在開始進行風險管理研究前，有必要了解該機構和它的能力，它的目的和目標，以及為達到這些目的和目標而采取的策略。 上述之所以重要，是由于以下原因： A.風險管理是在機構的較廣泛的目的、目標和策略環(huán)境中進行的； B.未能達到機構或特定活動的、或正在考慮的項目的目標便是一組應予處理的風險。 機構的方針和目的有助于定義出決定是否接受一種風險的準則，并有助于形成對處理作出選擇的基礎。 4.1.4建立風險管理環(huán)境 應建立某項活動、或正在應用風險管理過程的機構某部分的目的、目標、策略、范圍和參數(shù)。在這一過程中，應充分考慮到必須對成本、收益和機會作出平衡。對所需的資源和必須保存的記錄也應作出規(guī)定。 為應用風險管理程序而設定的范圍和界限包括： A.規(guī)定項目或活動，并建立它的目的和目標； B.規(guī)定項目在時間和地域上的伸展范圍； C.鑒定所需要進行的任何研究，以及它們的范圍、目的和所要求的資源。風險的一般來源以及影響范圍可為此提供指南。 注：風險一般來源及其影響范圍范例，見附錄D。 D.規(guī)定所要進行的風險管理活動之程度和涵蓋性；還可以討論的具體問題包括： a）機構中參加處理風險的各部分的作用和責任； b）此項目與其他項目或與機構各部分之間的關系。 4.1.5制訂風險評價準則 決定對風險進行評價的準則?？筛鶕?jù)運作、技術、財務、法律、社會、人道的或其他標準，對有關風險的可接受性和風險處理的作出決定。這些準則往往取決于機構的內(nèi)部方針、目的、目標和風險承擔者的利益。 準則是會受到內(nèi)部和外部的理解以及法律要求的影響。在一開始就確定適當?shù)臏蕜t是很重要的。 雖然風險準則的制訂最初是建立風險管理環(huán)境的一部分，當鑒定出特殊的風險和選擇風險分析方法時，可相繼地對風險準則作進一步的發(fā)展和提高，就是說風險準則必須符合風險的類型和風險程度的表達方式。 4.1.6 規(guī)定結構 這涉及到將活動或項目分成一組要素。這些要素為鑒定和分析提供一個邏輯架構，有助于確保重大的風險不會被忽略。所選擇的結構取決于風險的性質和項目或活動的范圍。 4.2風險鑒定 4.2.1總則 這一步驟是要鑒定所處理的風險。由于在此階段未鑒定出的潛在風險將被排除在進一步分析之外，采用一種結構良好的系統(tǒng)程序進行廣泛綜合的鑒定是很關鍵的。鑒定應包括所有的風險，不管它們是否在機構的控制下。 4.2.2可能發(fā)生什么 本條文的目的在于制定一個綜合性清單，包含那些會影響4.1.6中提及的每個結構要素的事件。然后對這些事件作更詳細的考慮，以鑒定可能會發(fā)生什么。 注：附錄D提供有關風險的一般來源及其影響范圍的資料。 4.2.3如何和為什么會發(fā)生 鑒定出一系列事件之后，必須判斷可能的原因和可能的情況。事件開始的方式有許多種。重要的是主因不被忽略。 4.2.4工具和方法 鑒定風險的途徑包括核對表、基于經(jīng)驗和記錄的判斷、流程圖、集體討論、系統(tǒng)分析、情況分析和系統(tǒng)工程方法。 所使用的方法將取決于所評審的活動的性質和風險的類型。 4.3風險分析 4.3.1 總則 分析的目的是將可以接受的小風險與大風險分開，并提供數(shù)據(jù)以協(xié)助風險評價和風險處理。風險分析包括判斷風險的來源、它們的后果以及這些后果發(fā)生的可能性。并鑒定對影響后果和可能性的各種因素。將在現(xiàn)有控制措施的環(huán)境中估計出來的后果和可能性結合起來，對風險加以分析。 可進行初步分析，將類似的或影響低的風險排除在詳細研究之外。應盡可能將被排除的風險列出，以示風險分析的完整性。 4.3.2確定現(xiàn)有的控制 對現(xiàn)有的管理、技術體系和風險控制程序進行鑒定，并評估它們的優(yōu)缺點。4.2.4中所使用的工具以及諸如檢查和控制、自我評估法（“CSA” ）等方法可能是合適的。 4.3.3后果和可能性 如果一個事件發(fā)生，其后果的大小程度和事件的可能性及其相關的后果，在現(xiàn)有的控制環(huán)境中進行評估。后果和可能性結合在一起產(chǎn)生風險的程度。后果和可能性可采用統(tǒng)計分析和計算來確定。在沒有歷史數(shù)據(jù)的情況下，也可進行主觀估計，這些估計反映個人或一批人相信一特定事件或結果會發(fā)生的程度。 為避免主觀偏誤，在對后果和可能性進行分析時，應利用可行的最好信息源和方法。信息源可包括： a. 歷史記錄； b. 相關的經(jīng)驗； c. 行業(yè)實踐和經(jīng)驗； d. 已出版的相關文獻； e. 試銷和市場調(diào)查； f. 試驗和模擬； g. 經(jīng)濟、工程或其他模型； h. 專家和內(nèi)行的判斷。 方法包括： a）. 向相關領域的專家進行有計劃的咨詢； b）. 使用多學科專家組； c）. 采用問卷進行單獨評價； d）. 采用計算機和其他模擬；以及(V) 采用失效樹和事件樹圖示法。 可能的情況下，應包括對風險程度估計的置信度。 4.3.4分析的類型 可以根據(jù)可行的風險信息和數(shù)據(jù)，對風險分析予以不同的程度的改進。視情況而定，風險分析可以是定性分析、半定量分析或定量分析，或者是這些分析的組合。按遞升次序將這些分析的復雜性和成本加以排列，而成為定性、半定量的定量。實際上，定性分析往往首先被采用，以得到風險程度的總的指示。此后，可能需要進行更具體的定量分析。 各種類型分析的詳情如下： A.定性分析 定性分析采用文字形式或敘述性的數(shù)值范圍來描述潛在后果的大小程度以及這些后果發(fā)生的可能性。這些數(shù)值范圍可修改或調(diào)整以適應各種情況，且不同的描述可用于不同的風險。 注：附錄E中的表E1和E2展示出簡單的、可能性和后果的定性或敘述性數(shù)值范圍的例子。表E3是將風險的可能性和后果結合起來，為風險指定出優(yōu)先等級的矩陣的例子。這些表需要修改，以滿足個別機構或風險評估的特定對象的需要。 定性分析用于： a）. 初始的篩選活動，以鑒定出需要更詳細分析的風險； b）. 風險的程度不能證明要進行更充分的分析所需的吋間和努力是合算的場合；或 c）. 數(shù)據(jù)不足以進行定量分析的場合。 B.半定量分析 在半定量分析中，上述的那些定性數(shù)值范圍均為已知值。每項說明所指定的數(shù)字并不一定與后果或可能性的實際大小程度具有精確的關系。假如用來進行優(yōu)先化的系統(tǒng)與選擇用來對數(shù)字賦值和組合的系統(tǒng)是相匹配的，則可將這些數(shù)字采用一系列公式中的任何一個公式加以組合。目的是為了得到比通常在定性分析中所得到的更為詳細的優(yōu)先化，但并非要提出任何在定量分析中所試圖得到的風險的實際值。 使用半定量分析時必須小心，因為所選擇的數(shù)字未必能正確地反映會導致不一致結果的相關性。半定量分析可能不能恰當?shù)貐^(qū)分各種風險，尤其是當結果或可能性處于極端狀態(tài)時。 有時，將可能性考慮成是由兩個要素組成的較為恰當，通常稱為暴露頻率和概率。 暴露頻率是風險來源存在的程度，而概率是隨著該風險源的存在而產(chǎn)生的后果的機會。在這兩個要素之間的關系并非完全獨立的情況下，即暴露頻率與概率之間的關系密切時，就必須謹慎。 這一方法可適用于半定量和定量分析。 C.定量分析 定量分析在后果和可能性分析中采用數(shù)值（而不是定性分析和半定量分析中所使用的敘述性數(shù)值范圍），并采用從各種各樣的來源（如4.3.3(a)至(h)中提及的來源）得到的數(shù)據(jù)。分析的的質量取決于所用數(shù)值的精確度和完整性。 可通過模擬一個事件或一組事件的結果，或對實驗性的研究或歷史數(shù)據(jù)使用插補法來估計后果。后果可以用金錢、技術或人道的準則，或4.1.5中提及的其他準則來表示。在一些情況下，需要一個以上的數(shù)值來規(guī)定不同時間、地點、團體或情況的后果。 可能性通常以概率、頻率、或暴露頻率和概率的組合來表示。 可能性和后果的表示方法以及它們組合起來規(guī)定風險程度的方法，將會根據(jù)風險的類型和風險程度的使用環(huán)境而有所不同。 注：附錄F中給出風險定量表示的一些例子。 4.3.5 靈敏度分析 由于定量分析中的某些估計并不精確，應進行靈敏度分析以測試由假設和數(shù)據(jù)的變化所產(chǎn)生的影響。 4.4風險評價 風險評價涉及將分析過程中發(fā)現(xiàn)的風險程度與先前建立的風險準則進行比較。 風險分析和在風險評價中用來與風險作比較的準則，應在同一基礎上進行考慮。這樣，定性評價涉及將風險定性的程度與定性準則作比較，而定量評價涉及將風險的數(shù)值程度與一些可以表示為具體數(shù)字的準則(諸如死亡率、頻率或幣值等)進行比較。 風險評價的輸出是一份提供進一步措施用的優(yōu)先化的風險清單。 應考慮到機構的目標以及冒此風險所帶來的機會之程度。 決定必須顧及到較廣泛的風險環(huán)境，包括考慮得益的機構以外各相關方對風險的忍受能力。 如果產(chǎn)生的風險屬于低的或可接受的風險范疇，該類風險經(jīng)最低限度的進一步處理就可被接受。應監(jiān)控低的和已接受的風險，并定期評審，以確保它們?nèi)钥山邮堋? 如果風險并不屬于低的或可接受的風險范疇，應采用4.5中所考慮的一種或幾種選擇進行處理。 4.5風險處理 風險處理包括鑒定處理風險各種選擇的范圍、對這些選擇進行評估、制訂風險處理計劃并加以實施。 4.5.1 鑒定風險處理的各種選擇 圖4.2示出風險處理的過程。不一定相互排斥或適合各種情況的選擇有下述幾種： A.決定不繼續(xù)進行可能產(chǎn)生風險的活動來避免風險（在可行的情況下）。 回避風險可能是不適當?shù)赜捎谝环N厭惡風險的態(tài)度，這是許多人的一種傾向（往往受機構內(nèi)部制度的影響）。不適當?shù)鼗乇茱L險可能會增加其他風險的影響性。 厭惡風險會導致： a）. 不注意可行的信息和處理該類風險所招致的費用就決定回避或忽視風險。 b）. 未能處理風險； c）. 聽任其他方作出決定性的選擇和/或決定； d）. 推遲作出機構不可避免的決定；或 e）. 不顧得益就因潛在風險較低而作出選擇。 B.降低發(fā)生的可能性 注：見附錄G中所示的例子。 C.減小后果 注：見附錄G中所示的例子。 D.風險轉移 這涉及承擔或分擔部分風險的另一方。方法包括使用合同、保險安排以及諸如合伙和合資等組織結構。 將一個風險轉移到其他方，或物質轉移到其他地方將會降低原機構的風險，但并不減小對社會的風險的總程度。 在風險全部或部分轉移的情況下，轉移風險的機構又制造出一個新的、被轉移風險的機構未必能有效地管理的風險。 E.保留風險 在風險降低或轉移后，可能有剩馀的風險保留著。如果出現(xiàn)這樣的風險，應安排計劃處理這些風險的后果，包括鑒定出為風險提供資金的手段。風險也可能因不履行責任而保留，即未能鑒定和/或適當?shù)剞D移或處理風險。 減低后果和可能性可以稱作風險控制。風險控制包括按照現(xiàn)有控制的效果來確定新控制的相對得益?？刂瓶砂ㄐЧ结?、程序或實物性改變。 4.5.2 評估風險處理選擇 應根據(jù)風險減小的程度和任何額外利益或機會的程度，并考慮4.1.5中訂立的準則，來對各種選擇進行評估。可以個別地或聯(lián)合地考慮和應用多種選擇。 選用最適合的選擇涉及權衡實施每種選擇的成本與其得到的利益。通常，處理風險的成本需要與所得到的利益相稱。 如果以相對較低的花費可大大減小風險的程度，則應實施這樣的選擇。其它減小風險的選擇可能是不經(jīng)濟的，需要判斷它們是否合算。這在圖4.3中示出。 決定應包括需要仔細考慮那些罕見卻很嚴重的風險，這些風險會保證風險減小的程度，但按嚴格的經(jīng)濟理由卻是不合算的。 通常，不管任何絕對的準則，應使風險的不利影響盡可能地低。 圖4.3 降低風險措施的成本 在許多情況下，任何一種風險處理選擇不太可能完全解決某一具體問題。往往一個機構大大得益于聯(lián)合各種選擇，例如降低風險的可能性、減小它們的后果以及轉移或保留任何剩余風險等。有效利用合同和由風險減小計劃支助的風險資金就是一個例子。 實施各種風險處理的累計成本超過可用預算時，計劃應明確地標明應實施的每種風險處理的優(yōu)先次序?？刹捎酶鞣N方法來建立優(yōu)先次序，包括風險評級和成本-效益分析。在可用預算的范圍內(nèi)不能實施的風險處理，就必須等待進一步的資金來源，或當不管什么原因任何或所有剩余的處理被認為是重要的，則必須找理由確保得到額外資金。 各種風險處理選擇應考慮到受影響的相關方對風險是如何認識的，以及與這些相關方進行信息交流的最適當方法。 4.5.3 制訂處理計劃 計劃應形成文件，說明所選定的方案是如何實施的。 處理計劃應要定出責任、進度、處理的預期結果、預算、執(zhí)行程度和所設定的評審程序。 注：詳見附錄H的H5部分。 計劃還應包括一個機制，以根據(jù)性能標準、個人責任和其他目標，評估對選擇的實施情況，和監(jiān)控實施過程中的重要階段。 4.5.4 實施處理計劃 理想的做法是由最能控制風險的那些人來負責對風險的處理。在各相關方之間應盡可能早地就責任達成一致。 成功地實施風險處理計劃要求具備一個有效管理體系，去規(guī)定所選的方法、指定各項措施的職責和個人責任，以及按規(guī)定準則進行監(jiān)控的。 如在處理后有剩余風險存在，應決定是否保留這一風險或是重復該風險處理過程。 4.6監(jiān)控和評審 有必要對風險、風險處理計劃的效果、策略以及為控制實施情況而建立的管理體系進行監(jiān)控。需要監(jiān)控風險和控制措施的效果，以確保變化著的環(huán)境不會改變風險的優(yōu)先次序。靜止不變的風險是極少的。 繼續(xù)的評審是必要的，以確保管理計劃保持貼切。正如影響各種處理選擇的適宜性或成本的因素一樣，能夠影響一個結果的可能性和后果的因素可以改變。因此有必要定期反復進行風險管理的循環(huán)。評審是風險處理計劃整體的一部分。 4.7信息交流和咨詢 信息交流和咨詢是風險管理過程中每一步均需要考慮的重要內(nèi)容。在過程的最初階段就為內(nèi)部和外部的(風險)承擔者制訂一個信息交流的計劃是很重要的。這一計劃應提出與風險本身和處理風險的過程有關的問題。 信息交流和咨詢涉及(風險)承擔者之間的雙向對話，重點在于咨詢而不是決策者對其他(風險)承擔者的單向信息流動。 有效的內(nèi)部和外部信息交流是很重要的，它確保負責實施風險管理和具有既得利益的那些人，了解決策的基礎以及為何需要采取特別的措施。 對風險的理解可因為假設和概念的不同，以及承擔者對風險和所討論問題相關的需要、問題和關注有所不同而改變。承擔者可能會根據(jù)他們對風險的理解來判斷風險的可接受程度。由于承擔者會對所作的決策有重大影響，將他們對風險的理解以及他們對利益的理解加以鑒定并形成文件，以及了解和為他們表達其根本原因就很重要了。 5形成文件 5.1總則 風險管理過程的每個階段都應形成文件。文件應包括假設、方法、數(shù)據(jù)來源和結果。 5.2形成文件的理由 形成文件的理由如下： a）. 表明過程正常地進行； b）. 為風險鑒定和分析的系統(tǒng)化方法提供證據(jù)； c）. 提供風險的記錄和開發(fā)機構的知識資料庫； d）. 向相關的決策者提供風險管理計劃，供審批并隨后實施； e）. 提供一種責任機制和工具； f）. 便于連續(xù)的監(jiān)控和評審； g）. 提供審核線索；和 h）. 分享和交流信息。 有關文件編制程度的決定可涉及成本和收益，并應考慮上述的因素。 指導：為幫助和指導正確地形成文件，附錄H中給出了一些例子。這些例子是指示性的而不是全面的。 附錄 A風險管理的應用 (提示附錄） A1 機構 本標準可用于眾多的機構，包括： a）. 社會： 全國的、地區(qū)的、當?shù)氐模? b）. 商業(yè)： 公司、合資企業(yè)、商號、特許經(jīng)銷代理商、獨立事務所；和 c）. 志愿： 慈善、社團、體育運動。 A2 應用 本標準的應用包括，但并不局限于下述場合： a）. 資產(chǎn)管理和資源規(guī)劃； b）. 業(yè)務中斷； c）. 變化：機構、技術和政治； d）. 建筑活動； e）. 意外事故、災難和應急計劃； f）. 設計和產(chǎn)品責任； g）. 主管和職員的責任； h）. 聘用程序：培訓、歧視和騷擾； i）. 環(huán)境問題； j）. 職業(yè)規(guī)范和誠實問題； k）. 可行性研究； l）. 火災探測/消防； m）. 外匯業(yè)務； n）. 欺詐防止、探測和管理； o）. 人、動物和植物的保??； p）. 信息系統(tǒng)/計算機網(wǎng)絡； q）. 投資； r）. 法律的遵守； s）. 職業(yè)保健和安全； t）. 運行和維修系統(tǒng)； u）. 項目管理； v）. 公共風險和一般責任； w）. 采購合同管理； x）. 專業(yè)咨詢； y）. 信譽和形象問題； z）. 保安； (aa)包括海、陸、空和鐵路的運輸；以及 (bb)財政和金融。 B制訂和實施風險管理計劃的步驟 (提示附錄） B1 步驟1 ：高級管理部門的支持 啟發(fā)機構風險管理的觀念和高級管理層的“風險”意識。這可通過培訓、教育和高層管理部門的介紹來促進。 機構總裁積極和不斷的支持是必要的。 高級執(zhí)行經(jīng)理或相類似的“領導者，(或小組）必須主動。 所有高級主管人員應全力支持。 B2 步驟2:制訂機構的方針 制訂風險管理的組織方針和架構，由機構的經(jīng)理主管人員認可，并在整個機構內(nèi)實施。方針可包括下述的信息： 方針的目標以及風險管理的原理； 方針與機構戰(zhàn)略和組織計劃之間的聯(lián)系； 方針可應用的程度或適用于各種問題的范圍； 有關可接受風險的指導； 誰負責管理風險； 協(xié)助風險管理負責人的可行的支援和專門知識； 所要求的文檔程度；以及 評審機構方針執(zhí)行情況的計劃。 B3 步驟3 ：方針的信息交流 發(fā)展、建立和實施一種基礎結構或方案，以確保風險管理成為機構計劃、管理過程和總的文化的一個組成部分。這可以包括： 建立一個由高級管理人員參加，負責就方針進行內(nèi)部信息交流的小組； 提高對管理風險的意識； 在整個機構內(nèi)，就風險的管理和機構的方針進行信息交流和對話； 獲取風險管理的技能(如咨詢），和通過教育和培訓來提高全體職員的技能； 確定合適的重視、獎勵和處罰標準；以及 建立績效管理程序。 B4 步驟4 ：機構這一層次的風險管理 通過運用第2章所描述的風險管理體系，發(fā)展和建立一個計劃去管理機構這一層次的風險。管理風險的程序應與機構的戰(zhàn)略規(guī)劃和管理的程序相結合。這包括形成下述文件： 機構和風險管理的環(huán)境； 經(jīng)鑒定的，機構的風險； 對這些風險的分析和評價； 處理策略； 評審計劃的機構；以及 增強意識、獲取技能、培訓和教育的策略。 B5 步驟5 :計劃、項目和小組這一層次的風險管理 通過運用第4章中所描述的風險管理程序，發(fā)展和建立一個計劃去管理各分機構領域、計劃、項目或小組活動的風險。管理風險的程序應與其他規(guī)劃和管理活動相結合。所遵照的程序，所作出的決定和所策劃的措施，均應形成文件。 B6 步驟 6：監(jiān)控和評審 發(fā)展和運用各種機制確保對風險進行持續(xù)的評審。這將確保風險管理的實施與方針保持恰當和貼切。由于情況總是在變化，評審先前的決定是極為重要的。風險并不是靜止不變的。也應監(jiān)控和評審風險管理過程的效果。 C (風險)承擔者 (提示附錄） (風險)承擔者是那些受到或認為他們會受到某一決定或活動影響的個人。他們可包括： 機構內(nèi)的個人，如雇員、管理人員、高級管理人員和志愿人員； 決策者； 業(yè)務或商業(yè)上的相應方； 雇員團體； 工會團體； 金融機構； 保險機構； 對活動可行使職權的管理機構或其他政府機構； 可能具有選舉或官職利益的（各級政府）政治家； 非政府機構如環(huán)境團體和公共利益團體； 顧客； 該類活動的供應商、服務商和承包商； 作為潛在承擔者和將信息傳遞到其他承擔者的媒體； 對與建議相關的問題感興趣的個人或團體； 地方團體；以及 整個社會。 隨著時間的過去，承擔者的成分可能會變化。新的承擔者會加入并希望被包括在任何需考慮的事項中，而其他一些人可能不再卷入這一過程而離去。因此，對承擔者的分析過程應該持續(xù)不斷，同樣，它應是風險管理過程整體的一部分。 因承擔者的需要和關注已得到表達，或因新的信息產(chǎn)生新的需要、問題或關注，承擔者關注的程度會隨著新的信息而變化。還應注意的是不同的承擔者，對一個特定的問題會有不同的看法和不同程度的認識。 D風險的一般來源和它們的影響范圍 (提示附錄） D1 概述 對風險來源和影響范圍的鑒定，可為風險的鑒定和分析提供一個架構。由于潛在著許多的來源和影響，制訂通用清單時，焦點集中在風險鑒定活動上，有助于對它進行較為有效的管理。 一般的風險來源及其影響范圍（見4.1.4和4.2.2 )，可根據(jù)它們與所研究活動的關聯(lián)性來選擇。每一范疇的各組成部分，可構成對風險進行透徹研究的基礎。 D2 風險來源 每個一般來源都有許多組成部分，任何一個組成部分都會引起風險。有些組成部分將在進行研究的機構的控制之下，而另一些則不在它的控制下。在鑒定風險時，對這兩種成分都要作考慮。一般風險來源包括： a）. 商業(yè)和法律關系 機構與其他機構之間，如供應商、承包商，租賃人。 b）. 經(jīng)濟環(huán)境 機構、國家、國際的經(jīng)濟環(huán)境，以及造成這些環(huán)境的因素，如匯率。 c）. 人類行為 與機構有關和無關的那些人的行為。 d）. 自然事件 e）. 政治環(huán)境 包括立法的變化以及可影響其他風險來源的因素。 f）. 科技和技術問題 機構內(nèi)部和外部的科技和技術問題。 g）. 管理活動和控制 h）. 個人活動 D3 影響范圍 風險分析可集中在一個影響的范圍或集中在幾個可能的影響范圍。 影響范圍包括： a）. 資產(chǎn)和資源基礎 機構的資產(chǎn)和資源基礎，包括人員。 b）. 收入和權利 c）. 成本 直接和間接活動的成本。 d）. 人員 e）. 社區(qū) f）. 績效 g）. 活動的時間安排和進度 h）. 環(huán)境 i）. 無形因素 如聲譽、信譽、生活質量。 j）. 機構行為 D4 風險鑒定 利用表D1中所示的那種風險鑒定樣板，是總結機構中風險發(fā)生方式的一種方法。可采用表示風險在何處發(fā)生的勾號或用較詳細的敘述性注釋來進行登錄。 D5 風險的其他分類法 不同的學科往往采用其他的手段對風險的來源加以分類，采用諸如危險或風險暴露等術語。這些分類可以是前述D2中所列風險來源的子集。舉例如下： a）. 疾病 例如影響人、動物和植物的疾病。 b）. 經(jīng)濟的 例如幣值波動、利率、股市。 c）. 環(huán)境的 例如噪音、沾污、污染。 d）. 金融的 例如合同風險、盜用資金、欺詐、罰款。 e）. 人為的 例如騷亂、罷工、怠工、過失。 f）. 自然災害 例如氣候條件、地震、林區(qū)大火、蟲災、火山活動。 g）. 職業(yè)保健和安全 例如不足夠的安全措施、低劣的安全管理。 h）. 產(chǎn)品責任 例如設計誤差、質量控制不合規(guī)格、測試不充分。 i）. 職業(yè)責任 例如錯誤建議、疏忽、設計誤差。 j）. 財產(chǎn)損壞 例如火災、水漬、地震、沾污、人為誤差。 k）. 公共責任 例如公眾通路、出口和安全。 l）. 保安 例如現(xiàn)金安排(賄賂)、破壞、偷竊、盜用信息、非法進入。 m）. 科技的 例如革新、逐漸過吋、劇變和可靠性。 表D1風險鑒定樣板實例 風險定量表達舉例 表： 注：應修改風險來源和影響范圍，以適應各個機構或各項活動。 附錄E 風險定義和分類舉例 (提示附錄） 表 E1 后果或影響的定性量度 表 E2 可能性的定性量度 表 E3 評估風險分析矩陣——風險程度 附錄 F 風險定量表達舉例 F1 財務損失或獲益的風險 財務損失（或獲益）乘以損失（或獲益）的每年頻率，得出以元計的每年預期值。 F2 死亡事故風險 一項活動的死亡事故風險可按下列公式計算 活動中每年的死亡人數(shù)/暴露(于此風險)的人口 F3 自然或人為災禍 可通過計算機模擬，和根據(jù)歷史數(shù)據(jù)、失效樹或其他系統(tǒng)工程技術所估計的可能性來模擬出后果。 F4 健康風險 健康風險一般以下述不同的方法表示 （a）把在暴露(于風險)的人口中每年新病例的數(shù)目，與這一人口的總數(shù)作比較。也就是說，暴露(于風險)的100,000人口中有5個新病例，則暴露(于風險)的每人每年的風險為5 x10-5。 （b）如下述比率： 因暴露(于風險），某一年齡前死亡的概率/不暴露(于風險），某一年齡前死亡的概率 （c）預期因暴露(于某風險）而70歲或以前死亡的人數(shù)，除以暴露(于此風險)的人數(shù)。 可從傳染病資料（人口死亡或疾病調(diào)查）或以動物研究為基礎的實驗數(shù)據(jù)得出健康風險。 注：與其計算風險的平均值，可通過用適當?shù)闹档姆植既ゴ婺切┳笥液蠊淖兞康钠骄?，來計算出可能值的分布? G 鑒定風險處理的選項 (提示附錄） G1 降低或控制可能性的措施 這些措施可包括： a）. 審核和遵守計劃； b）. 合同條件； c）. 要求、規(guī)范、設計、工程和運作的正式評審 d）. 檢查和過程控制； e）. 投資和資產(chǎn)配置管理； f）. 項目管理； g）. 預防性保養(yǎng)； h）. 質量的保證、管理和標準； i）. 研究和開發(fā)，技術開發(fā)； j）. 有組織的培訓和其他計劃； k）. 監(jiān)督； l）. 測試； m）. 機構的整理；和 n）. 技術控制。 G2縮小或控制后果的程序 這些程序可包括： a）. 應變計劃； b）. 合同安排； c）. 合同條件； d）. 特別(安全)設計； e）. 災難恢復計劃； f）. 工程和結構上的防護； g）. 詐騙控制策劃； h）. 風險源中暴露的最小化； i）. 投資策劃； j）. 價格方針和控制； k）. 活動和資源的分離或重新布置 l）. 公共關系；和 m）. 道義性付款。 H 風險管理文檔 (提示附錄） H1 概述 為妥善地管理風險，需要適當?shù)匦纬晌募?，以便充分滿足獨立審核。文件整理程度的決定，會涉及成本和收益，且應考慮5.2中所列的因素。風險管理方針陳述中應規(guī)定所需的文件。 在過程的每個階段，文檔應包括： a）. 目標； b）. 信息來源； c）. 設想；和 d）. 決定。 本附錄包括一個風險登記、處理進度和措施計劃的例子。高風險領域的計劃可能需要更加具體和詳細。 H2 方針 附錄B提供了機構方針陳述中可以包含的信息的例子。 H3 謹守聲明 在某些情況下，需要有謹守聲明，這樣管理人員正式確認他們遵守風險管理方針和程序的責任。 H4 風險登記* 對于每個經(jīng)鑒定的風險，風險登記應記錄： a）. 來源； b）. 性質； c）. 現(xiàn)有的控制； d）. 后果和可能性； e）. 最初風險等級；和 f）. 外部、內(nèi)部因素的脆弱性。 參見本附錄后面的實例作為指南。 H5 風險處理進度和措施計劃 風險處理和措施計劃以文件規(guī)定了要采取的管理控制，并列出下述信息： a）. 誰負責計劃的實施； b）. 利用什么資源； c）. 預算分配； d）. 實施時間表； e）. 處理計劃遵守情況的評審機制和評審頻密度的詳情 H6 監(jiān)控和審核文件 監(jiān)控和審核的記錄應形成文件： a）. 評審機制和評審頻密度的詳情，以及整個風險管理過程； b）. 審核的結果和其他監(jiān)控程序； c）. 如何遵循和實施評審建議的詳情。 *這些例子僅僅是建議性的。