GBT 23694 2013 风险管理术语

GBT 23694-2013 风险管理术语，本标准规定了风险管理的基本术语，以促进不同组织、不同行业、不同领域对风险管理概念和术语的一致认识。GB/T23694-2013/ ISo Guide73:2009目次前言事,,.,,寻,,④寻,,,,,,.,,,,,4,,,,哪,,.,韦,,,,,平平..平善干事,,平寻,·,,,带,手事·,和,.,,·4,,着,Ⅲ1范围.。,善,·卷,。善,…………………………………………………………………………………1与风险有关的术语·,非,非.3与风险管理有关的术语………………………1与风险管理过程有关的术语……………………4.1风险管理过程…4.2与沟通和咨询有关的术语……………………………………………………………………………24.3与环境有关的术语………………………………………………………………………………21.4与风险评估有关的术语……鲁普鲁鲁1.5与风险识别有关的术语……4.6与风险分析有关的术语4.7与风险评价有关的术语前油B画1面日1自日量自1面48与风险应对有关的术语……………………………………………………………………………参考文献3345589索引GB/T23694-2013/ ISo Guide73:2009前言本标准按照GB/T1.1—2009给出的规则起草。本标准代替GB/T23694—2009《风险管理术语》(ISO/ IEC Guide73:2002,IT)。本标准使用翻译法等同采用 ISO Guide73:2009《风险管理术语》(英法文版)。本标准对 ISO Guide73:2009做了以下编辑性修改:将“本指南”一词改为“本标准”;“参考文献”中用国内文件代替了 ISO Guide73:2009的“参考文献”中相对应的国际文件。本标准由全国风险管理标准化技术委员会(SAC/TC310)提出并归口。本标准起草单位:中国标准化研究院、第一会达风险管理科技有限公司、北京理工大学、中国航空综合技术硏究所、北京大学、中国科学院科技政策与管理科学研究所。本标准主要起草人:杨颖、吕多加、高晓红、崔艳武、刘铁忠、刘新立、李建平、汪邦军GB/T23694-2013/ ISO Guide73:2009引言本标准规定了风险管理的基本术语,以促进不同组织、不同行业、不同领域对风险管理概念和术语的一致认识。在使用风险管理术语时,应优先使用本标准给出的定义风险管理的应用是个性化的。因此,在某些情况下,需要对本标准给出的术语进行增补。某一标准在使用与风险管理有关的术语时,必须确保其在该标准中的含义被正确地解释、阐述和使用。组织不仅管理影响目标实现的威胁,还越来越多地应用风险管理过程并开发综合的风险管理方法,以促进对潜在机会的利用。相对于GB/T20000.4-2003中局限于安全方面的风险(具有负面或不利后果)的概念,本标准中的术语和定义在概念和应用方面更为广泛。由于组织日益倾向于在更广泛的意义上使用风险管理方法,所以本标准涵盖所有的应用和领域。本标准具有普遍性,涉及风险管理的各个领域。术语排列次序如下与风险有关的术语;与风险管理有关的术语;与风险管理过程有关的术语;与沟通和咨询有关的术语;与环境有关的术语;与风险评估有关的术语;与风险识别有关的术语与风险分析有关的术语与风险评价有关的术语;与风险应对有关的术语;与监督和测量有关的术语。GB/T23694-2013/ ISo Guide73:2009风险管理术语1范围本标准规定了与风险管理有关的基本术语的定义,旨在鼓励用连贯的方法和一致的理解对风险管理相关活动进行描述,并在涉及风险管理的过程和框架时使用统一的风险管理术语。本标准适于下列人员使用:从事风险管理的人员;参与ISO和IEC活动的人员制定与风险管理有关的国家或行业标准、指南、程序、规程的人员有关风险管理的原则和指南,可参见ISO31000:20092与风险有关的术语风险risk不确定性对目标的影响注1:影响是指偏离预期,可以是正面的和/或负面的。注2:日标可以是不同方面(如财务、健康与安全、环境等)和层面(如战略、组织、项目、产品和过程等)的目标注3:通常用潜在事件(4.5,1.3)、后果(4,6.1.,3)或者两者的组合来区分风险注4:通常用事件后果(包括情形的变化)和事件发生可能性(4.6.1.1)的组合来表示风险。注5:不确定性是指对事件及其后果或可能性的信息缺失或了解片面的状态。3与风险管理有关的术语风险管理 risk management在风险(2.1)方面,指导和控制组织的协调活动3.1.1风险管理框架 risk management framework为设计、执行、监督(4.8.2.1)、评审和持续改进整个组织的风险管理(3.1)提供基础和组织安排的要素集合注1:基础包括管理风险(2.1)的方针、目标、授权和承诺注2:组织安排包括计划、关系、责任、资源、过程和活动注3:风险管理框架是嵌入到组织的整体战略、运营政策以及实践当中的3.1.2风险管理方针 risk management policy组织在风险管理(3.1)方面的总体意图和方向的表述3.1.3风险管理计划 risk management plan风险管理框架(3.1.1)中,详细说明用于管理风险(2.1)的方法、管理要素及资源方案。GB/T23694-2013/ ISO Guide73:2009注1:管理要素通常包括程序、操作方法、职责分配、活动的顺序和时间安排。注2:风险管理计划可用于具体的产品、过程、项目以及组织的部分或整体4与风险管理过程有关的术语风险管理过程 risk manageinent process将管理政策、程序和操作方法系统地应用于洶通、咨询、明确环境以及识别、分析、评价、应对、监督(48.2.1)与评审风险(2.1)的活动中4.2与沟通和咨询有关的术语4.2.1沟通和咨询 communication and consultation组织管理风险(2.1)时,提供信息、共享信息、获取信息以及与利益相关者(4.2.1.1)展开对话的持续、往复的过程。注1:信息可能涉及风险的存在、性质、形式、可能性(4.6.1.1)、重要性、评价、可接受性和应对等方面。注2:咨询是组织与其利益相关者在某一问题决策或确定方向之前所进行的充分的( informed)双向沟通。咨询是个通过影响力而不是通过权力来影响决策的过程;咨询是对决策的输人,而不是共同决策。2.1.利益相关者 stakeholder可以影响、被影响或自认为会被某一决策或行动影响的个人或组织。注:决策者可以是利益相关者2.1.2风险感知 risk perception利益相关者(42.1.1)对风险(2.1)的看法注:风险感知能够反映利益相关者的需求、观点、知识、信仰和价值观。4.3与环境有关的术语4.3.1明确坏境 establishing the context组织在管理风险,以及为风险管理方针(3.1.2)确定范围和风险准则(4.3.1.3)时,确定需要考虑的内外部参数的过程4.3.1.1外部环境 external context组织追求其目标实现时所处的外部状况。注:外部环境可包括:国际、国内、区域或地方的文化、社会、政治、法律、法规、金融、技术、经济、自然以及竞争环境对组织目标产生影响的关键驱动因素和趋势;与外部利益相关者(42.1.1)的关系以及他们的感知和价值观4.3.1.2内部环境 internal context组织追求其目标实现时所处的内部状况。注:内部环境可包括治理、组织结构、职能和责任;GB/T23694-2013/ ISo Guide73:2009方针、目标,以及实现它们的战略从资源和知识角度所理解的能力(如资本、时间、人力、过程、系统和技术);——信息系统、信息流和决策过程(正式的和非正式的);与内部利益相关者(42.1.1)的关系,以及他们的感知和价值观;组织文化;组织采用的标准、指南和模型;合同关系的形式和范围。4.3.1.3风险准则 risk criteria评价风险(2.1)重要性的依据。注1:风险准则的确定需要基于组织的目标、外部环境(4.3.1.1)和内部环境(4.3.1.2)。注2:风险准则可以源自标准、法律、政策和其他要求4.4与风险评估有关的术语4.4.1风险评估 risk assessment包括风险识别(4.5.1)、风险分析(4.6.1)和风险评价(4.7.1)的全过程。4.5与风险识别有关的术语4.5,1风险识别 risk identification发现、确认和描述风险(2,1)的过程。注1:风险识别包括对风险源(451.2)、事件(4.5.1.3)及其原因和潜在后果(46.1.3)的识别。注2:风险识别可能涉及历史数据、理论分析、专家意见以及利益相关者(4.2.1.)的需求。4.5.1.1风险描述 risk description对风险所做的结构化的表述,通常包括四个要素:风险源(4.5.1.2)、事件(4.5.1.3)、原因和后果(4.6.1.3)。4.5.1.2风险源 risk source可能单独或共同引发风险(2.1)的内在要素注:风险源可以是有形的,也可以是无形的。4.5.1.3事件 event某一类情形的发生或变化。注1:事件可以是一个或多个情形,并且可以由多个原因导致注2:事件可以包括没有发生的情形。注3:事件有时可称为“事故”。注4:没有造成后果(46.1.3)的事件还可称为“未遂事件”“事故征候”“临近伤害”幸免”。4.5.1.4危险 hazard潜在伤害的来源注:危险可以是一类风险源(45.1.2)GB/T23694-2013/ ISO Guide73:20094.5.1.5风险责任人 risk owner具有管理风险(2.1)的责任和权力的个人或实体4.6与风险分析有关的术语4.6.1风险分析 risk analysis理解风险(2.1)性质、确定风险等级(4.6.1.8)的过程。注1:风险分析是风险评价(4.7.1)和风险应对(48.1)决策的基础。注2:风险分析包括风险估计。4.6.1.1可能性 likelihood某件事发生的机会注1:无论是以客观的或主观的、定性或定量的方式来定义、度量或确定,还是用一般词汇或数学术语来描述[如概率(4.6.1.4),或一定时间内的频率(4.6.1.5)],在风险管理术语中,“可能性”一词都用来表示某事发生的机会。洼2:“可能性”( likelihood这一英语词汇在一些语言中没有直接与之对应的词汇,因此经常用“概率”( probability)这个词代替。不过,在英语中,“穊率”常常被狭义地理解为一个数学词汇。因此,在风险管理术语中,“可能性”应该有着与许多语言中使用的“概率”一词相同的解释,而不局限于英语中“概率”一词的意义4.6.1.2暴露 exposure组织和/或利益相关者(42.1.1)受某事件(4.5.1.3)影响的程度。4.6.1.3后果 consequence某事件(4.5.1.3)对目标影响的结果注1:一个事件可以导致一系列后果。注2:后果可以是确定的,也可以是不确定的,对目标的影响可以是正面的,也可以是负面的注3:后果可以定性或定量表述注4:通过连锁反应,最初的后果可能升级4.6.1.4概率 probability对事件发生机会的度量,用θ到1之间的数字表示。0表示不可能发生,1表示确定发生。注:见4.6.1.1注2。4.6.1.5频率 frequency单位时间内事件(4.5.1.3)或结果的数量。注:频率可以用于过去的事件(4.5.1.3)或潜在的未来事件,可用于测量可能性(46.1.1)/概率(46.1.4)。4.6.1.6脆弱性 vulnerability易受风险源(4.5.1.2)影响的内在特性4.6.1.7风险矩阵 risk matrix通过确定后果(4.6.1.3)和可能性(4.6.1.1)的范围来排列显示风险(2.1)的工具4.6.1.8风险等级 level of risk单一风险(2.1)或组合风险的大小以后果(4.6.1.3)和可能性(4.6.1.1)的组合来表达。