搜索
《澳大利亚风险管理标准》AS/NZS4360:1999本澳大利亚、新西兰联合标准,由联合技术委员会〇B-007《风险管理RiskManagement》制订。它于1999年4月2日经澳大利亚标准委员会批准,1999年3月22日经新西兰标准委员会批准;并于1999年4月12日颁布。OB-007委员会由下列各界代表组成:澳大利亚计算机学会澳大利亚海关澳大利亚风险管理学会联邦科学与工业研究机构澳大利亚行政部澳大利亚国防部新西兰环境风险管理局澳大利亚工程师学会新西兰专业工程师学会澳大利亚保险委员会新西兰保险学会新西兰农业和林业部新西兰商业部新西兰应急措施和民防部新西兰地方政府新南威尔士州城市事务和计划部新南威尔士州财政部管理基金会澳大利亚全国保险经纪人协会澳大利亚证券学会澳大利亚风险和保险管理人协会新南威尔士大学本标准的征求意见稿为DR98549。第一次颁布为AS/NZS4360:1995修订版为AS/NZS4360:1999澳大利亚标准的评审为跟上工业界的步伐,澳大利亚标准需定期评审,并通过出版修正案或必要时出版新的版本进行更新。因此,标准的使用者要确保拥有最新的版本及其修正案。所有澳大利亚标准和相关出版物的完整细目,可在《澳大利亚标准出版物目录StandardsAustraliaCatalogueofPublications》找到;订户收到的月刊《澳大利亚标准AustralianStandards》每月对这一资料加以补充,并且提供新出版物、新版本和修正案,以及撒消标准的细目。欢迎对澳大利亚标准提出改进的建议,建议请寄澳大利亚标准协会总部。如发现澳大利亚标准中有任何不精确或不明确之处,请立即告知,以便对事情进行调查并采取适当措施。ISBN0733739784®AustralianStandard是注册商标。◎澳大利亚标准协会版权所有。保留一切版权。事先未经发行人书面同意,本澳大利亚标准的任何部分不得以任何方式,或采用任何手段,包括影印、扫描或其他机械或电子方法进行复制、复印、储存、分发或传送。澳大利亚标准协会出版,GPOBox5420,SydneyNSW2001本标准草案由澳大利亚标准/新西兰标准〇B-007《风险管理》联合委员会制订,它是对AS/NZS4360:1995的修订。因此,它的目的仍是为建立风险的环境、鉴定、分析、评价、处理、监控和信息交流等提供通用的架构。本标准应与其他适用或相关的标准一起阅读。本标准规定了风险管理过程的各个要素,但本标准的目的并不是要强制执行统一的风险管理体系。本标准是通用的,并不从属于任何一个特定的行业或经济部门。风险管理系统的设计和实施会受到一个机构变化着的需求、它特定的目标、产品和服务、以及所采用的工艺和具体做法的影响。风险管理是由多个定义明确的步骤所组成的一个反复过程,这些步骤以较深入地洞察风险及其影响为更好的决策提供支持。任何可能会出现不希望有的或意想不到重大后果的场合、或机会已被识别的场合均可应用风险管理程序。决策者们需要了解可能出现的后果,并采取措施控制其影响。风险管理被认为是良好管理的一个组成部分。为达到最佳效果,风险管理应成为机构文化的一部分。它应与机构的宗旨、实践和业务计划结合在一起,而不应被当作是一个单独的程序来看待或实施。做到了这一点,风险管理就成为机构中每个人的事。如因任何原因,不能将风险管理结合到整个机构中去,将它成功地应用于个别部门、过程或项目仍是可能的。本标准中尽可能地选用在风险和风险管理学科中广为接受的术语。风险管理各分科中含义稍有不同的那些词已避免使用,而采用目前实际上可能不太常用,但可以被定义为具有精确的共通含义的那些词来代替。例如风险处理这一术语,其定义所涵盖的内容比“风险控制riskcontrol”这一术语通常的含义要多。在本标准中使用了“提示”这一术语来规定附录所适用的场合。“提示”附录仅供参考和指引。目录1范围,应用和定义2风险管理要求2.1.目的2.2.风险管理方针2.3.计划和资源2.4.实施计划2.5.管理部门评审3风险管理概观3.1.总则3.2.主要因素4风险管理过程4.1.建立环境4.2.风险鉴定4.3.风险分析4.4.风险评价4.5.风险处理4.6.监控和评审4.7.信息交流和咨询5形成文件5.1.总则5.2.形成文件的理由附录A风险管理的应用B制订和实施风险管理计划的步骤...C(风险)承担者D风险的一般来源和它们的影响范围E风险定义和分类举例F风险定量表达举例G鉴定风险处理的选项H风险管理文件1.范围,应用和定义1.1范围本标准为建立和实施一个包括环境建立、风险鉴定、分析、评价、处理、信息交流以及持续监控的风险管理过程提供通用的指导。1.2应用风险管理被认为是良好管理的一个组成部分。它是由多个步骤组成的一个反复过程:这些步骤在按顺序地执行时可以对决策不断地加以改进。风险管理是一种逻辑和系统方法的术语;它用一种将损失减小到最低程度而使机会达到最大限度的方式,对与机构的任何活动、功能和过程相关的风险进行环境建立、鉴定、分析、评价、处理、监控和信息交流。风险管理既是为了发现机会,也同样地是为了避免或减轻损失。本标准可以应用于一个活动、功能、项目、产品或资产的整个寿命期的各阶段。通常,从一开始就应用风险管理程序得益最大。往往在一个项目的各个阶段要进行多次不同的研究。注:本标准可以应用于任何公营、私营或社区企业或集团的许多活动或业务。附录A给出了一些例子。1.3定义基于本标准的目的,本标准采用下述定义。1.3.1后果Consequence以定性或定量方式表示的一个事件的结果,可以是损失、伤害、失利或者获利。一个事可能会有许多个与其相关的结果。1.3.2成本Cost直接或间接涉及活动的任何负面影响,包括金钱、时间、劳工、破坏、信誉、政治和无形的损失。1.3.3事件Event在特定的时间间隔内,在特定的地方发生的一个事件或情况。1.3.4事件树分析Eventtree用来描述一起始事件可能会引起的结果之可能的范围和顺序的一种方法。1.3.5失效模式及影响分析(FMEA)用来对技术系统潜在的失效模式进行分析的一种程序。失效模式及影响分析(FMEA)可以扩展至进行所谓的失效模式、影响及危急程度分析(FMECA)。在失效模式、影响及危急程度分析中,根据其发生的可能性和后果的严重性的综合影响,对经鉴定的每种失效模式进行等级排列。1.3.6失效树分析Failuretreeanalysis用来表示可导致某一特定事件(称为顶端事件)的各种系统状态和可能原因的逻辑组合的一种系统工程方法。1.3.7频率Frequency以规定吋间内所发生的次数来表达的事件发生率的量度。参见可能性和概率。1.3.8危险Hazard潜在危害的根源或可能会造成损失的情况。1.3.9可能性Likelihood用作对概率或频率的定性描述。1.3.10损失Loss任何金融或其他方面的负面影响。1.3.11监控Monitor定期检查、监督、紧急观察、或记录一个活动、措施或系统的进展情况,以鉴定是否有变化。1.3.12机构Organization具有自己的功能和行政管理的一家公司、商号、企业或协会,或其他法人实体或它的一部分,不管是否组成公司,是公营还是私营。1.3.13概率Probability以特定事件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性。概率用数字0至1来表达,0表示一个不可能的事件或结果,而1则表示一个必然的事件或结果。1.3.14剩余风险Residualrisk在采取风险处理措施后仍保留的风险程度。1.3.15风险Risk对目标有所影响的某个事情发生的可能性。它根据后果和可能性来量度。1.3.16风险认可Riskacceptance认可某一具体风险的后果和可能性的有依据的决定。1.3.17风险分析Riskanalysis系统地使用现有的信息来确定指定事件可能发生的经常性以及其后果的大小程度。1.3.18风险评估Riskassessment风险分析和风险评价的整个过程,见图3.1。1.3.19风险回避Riskavoidance不介入风险情况的一种有依据的决定。1.3.20风险控制Riskcontrol风险管理中的某部分,其中涉及执行方针、标准、程序和实质性改变以消除或缩小不利风险。1.3.21风险工程Riskengineering工程原理和方法在风险管理中的应用。1.3.22风险评价Riskevaluation通过将风险程度与预先确定的标准、目标风险的程度或其他准则进行比较,来确定风险管理优先次序的过程。1.3.23风险资金Riskfinancing用以资助风险处理和风险的财政后果的方法。注:在某些行业,风险资金仅涉及对风险的财政后果的资助。1.3.24风险鉴定Riskidentification确定可能会发生什么、为什么发生和如何发生的程序。1.3.25风险管理Riskmanagement旨在对潜在机会和不利影响进行有效管理的文化、程序和结构。1.3.26风险管理过程Riskmanagementprocess系统地将管理方针、程序和实施应用于风险的环境建立、鉴定、分析、评价、处理、监控和信息交流等任务。1.3.27风险降低Riskreduction有选择地应用适当的方法和管理原则来减小发生的可能性或它的后果,或使两者都减小。1.3.28风险保留Riskretention故意地或非故意地保留在机构内对损失或损失造成的财务负担的责任。1.3.29风险转移Risktransfer通过立法、合同、保险或其他手段将损失的责任或负担转移到另一方。风险转移也可认为是将一个实物性风险或它的一部分转移到另外的地方。1.3.30风险处理Risktreatment选择并执行适当的选择方案来处理风险。1.3.31灵敏度分析Sensitivityanalysis检查一个计算或模型的结果是如何随着各种假设的变化而改变。1.3.32承担者Stakeholder可以影响一个决定或活动,或受到、或领悟到他们会受到一个决定或活动的影响的那些人和机构。注:风险承担者还可包括ISO14050:1998和AS/NZSIS014004:1996中所定义的有关方面。2风险管理要求2.1目的本章节的目的是为了描述建立系统的风险管理计划的一种正式程序。为在项目或分机构的层次上提供一个为执行更详细风险管理计划的架构,必须开发机构的风险管理方针和支援机制。2.2风险管理方针机构的负责人应规定机构的风险管理方针,包括风险管理目标和对风险管理的承诺,并形成文件。风险管理应体现机构的战略环境、它的目标、目的以及它的业务性质。管理部门应确保这一方针在机构的各个层次上得到理解、贯彻和坚持执行。2.3计划和资源2.3.1管理部门的义务机构应确保:A.风险管理体系是按照本标准来建立、贯彻和坚持执行;以及B.向机构的管理部门报告风险管理体系的执行绩效,以便评审和作为改进的基础。2.3.2职责和权限对从事风险管理的执行和验证工作的人员,特别是对需要独立行使机构权力开展下列一项或多项工作的人员,应规定其职责、权限和相互关系,并形成文件:(a)采取措施,防止或减小风险的不利影响;(b)控制对风险的进一步处理,直至风险的程度可以接受;(c)确认和记录与风险管理有关的问题;(d)通过规定的渠道,采取、推荐或提供解决办法;(e)验证解决办法的实施效果;(f)和在内部或外部适当地进行信息交流和咨询。2.3.3资源对管理、执行工作和验证活动,包括内部审核,机构应确定资源要求并提供足够的资源,包括委派经过培训的人员。2.4实施计划在机构内实施有效的风险管理体系需要有多个步骤。附录B提供一些例子。根据机构的整个风险管理宗旨、文化和结构,某些步骤可以合并或省略。但所有步骤均应得到考虑。2.5管理部门评审机构的负责人应确保按规定的时间间隔对风险管理体系进行评审,确保持续的适宜性和有效性,以满足本标准的要求和机构订下的风险管理方针和目标(见2.2)。评审记录应予以保存。3风险管理概观3.1总则风险管理是管理过程整体的一部分。风险管理是一个多方面