有关术语关系说明风险管理常用术语术语和定义2有关术语关系说明风险管理常用术语术语和定义3与“风险”有关的术语定义及其关系有关术语关系说明与“风险管理”有关的术语定义及其关系有关术语关系说明风险管理常用术语术语和定义7不确定性对目标的影响注1:影响是与期待的偏差——积极和/或消极注2:目标可以有不同方面(如财务、健康安全、以及环境目标),可以体现在不同的层次(如战略、组织范围、项目、产品和过程)。注3:风险通常以潜在事件和后果,或它们的组合来描述。注4:风险通常以事件(包括环境的变化)后果和发生可能性的组合来表达。注5:不确定性是指,与事件和其后果或可能性的理解或知识相关的信息的缺陷的状态,或不完整。8术语某一事件的结果。注1:某一事件可能会产生不止一种的后果。注2:后果可以是正面的负面的。然而,从安全方面来看,后果往往都是负面的。注3:后果可以定性或定量表述。10术语某一事件发生的可能程度。注1:GB/T3358.1-1993给出了一个关于“概率”的数学定义,度量某一随机事件发生可能性大小的实数,其值介于0与1之间,它可以用来指在一段相当长的时间内,某一事件将要发生的频率,或者这一事件发生的可信程度。对于高可信度来说,概率接近“1”。注2:在描述风险时,常用“频率”一词而不是用“概率”一词。注3:有关可能性的程度可以用不同的等级来表示:------极不可能/不大可能/可能/很可能/几乎确定;或者------难以置信/不可能/可能性极小/偶尔/有可能/经常。11术语概率是为一个事件发生可能性提供相适宜的数值,这个数值应处于0—1之间,其不可能大于1,也不可能为负值。概率为0,表示事件不可能发生,概率为1,表明事件发生具有肯定性。如一个事件发生的概率为0.001,表示只有千分之一的机会,可能性小,如果概率为0.95,表明事件很有可能发生。12特定情况的发生。注1:事件可能是确定的,也可能是不确定的。注2:事件可能是单一的,也可能是系列的。注3:对于给定时间内事件发生的概率可以估算出来。13术语确定的事件,是预知的,而不确定的事件,是没有预知的,但也是有可能发生的。事件可能是明显的,也可能是模糊的,其影响可能是正面的,也可能是负面的。14可能会导致一定后果的事项或活动。注:在安全问题上,来源就是某种危险(源),参见GB/T20000.4-2003)15术语导致正面或负面的后果都有存在的原因,这些原因有客观的,也有主观的。客观存在的如物质的存在、人的行为等。由于掌握信息或能力方面的不足,也会有主观的判断。16评价风险严重性的依据。注:风险准则包括相关的成本及收益,法律法规要求,社会及环境因素,利益相关者的态度,优先次序和在评估过程中的其他要素。17术语风险准则是组织用于评价风险重要度的标准,因此,风险准则需体现组织的风险承受度,并反映组织的价值观、目标和资源。风险评价准则会涉及到各个方面,如成本收益、法律法规、利益相关者态度等。风险准则也会直接或间接反映法律法规要求或其他需要组织遵循的要求。风险准则也是使组织对接受风险做出决定的依据。18指导和控制某一组织与风险相关问题的协调活动。注:风险管理通常包括风险评估、风险处理、风险承受和风险沟通。19术语风险管理是研究风险发生规律和风险控制技术的科学,组织在活动中存在风险,与风险相关的问题也会很多,就需要对这些问题实施必要的措施,以实现组织的目标即预期的结果。风险管理的方法很多,通过风险评估、风险处理、风险承受和风险沟通,达到管理风险的目的。20认为:风险管理:一个过程----它是达到目标的方法,自身不是目的由人实现----它不仅仅是政策、调查和形式,而是涉及到机构中每一层次的人。应用于企业战略---制定战备目标,实现预期应用于整个企业----整体层面和单元,还包括采取在实体层面上对待风险的观点风险偏好---设计用来识别可能影响实体的事件,并在实体的风险偏好范围内处理风险提供合理保障四个目标了解程度可靠性遵守目标的实现----准备好在一个或多个独立而又相互重叠的部门实现目标21提供在组织内设计、实施、监测、评审和持续改进风险管理的基本原则和组织安排的要素集合。注1:基本原则包括管理风险的方针、目标、指令和承诺。注2:组织安排包括计划、关系、责任、资源、过程和活动。注3:风险管理框架被嵌入到组织的整个战略和运营的方针和实践中22术语可以影响风险、受到风险影响或自认为会受到风险影响的任何个人、团体或组织。注1:决策者也是利益相关者之一。注2:术语“利益相关者”包括GB/T19000-2008中定义的“相关方”。24术语组织的利益相关者包括:1)组织的决策者;2)组织内部负责制定风险管理政策的人员;3)组织或活动中实施风险管理的人员;4)需要对组织的风险管理实践进行评估的人员;5)组织中负责制定风险管理标准、指南、程序、应用准则的人员;6)股东、董事会、高级管理人员、员工债权人、供应商、顾客、银行、监管机构、合作伙伴等.(见GB/T24353:2009前言部分)。25与组织的业绩或成就有利益关系的个人或团体。示例:顾客、所有者、员工、供方、银行、工会、合作伙伴或社会。注:一个团体可同一个组织或其一部分或多个组织构成。[GB/T19000-2008,定义3.3.7]26术语利益相关者根据其价值观或利害关系看待风险的方式。注1:风险感知取决于利益相关者的需要、关注点知识。注2:风险感知可能不同于客观数据。27术语感知风险是识别风险前提之一。利益相关者中负责识别风险的人员,按照其价值观或对利害关系的分析,通过调查了解等方式,确定风险的存在。利益相关者的需要及关注的问题不同,因而风险感知会有所不同。风险感知会存在一定的主观判断,因而可能与客观数据有不同。28决策者和其他利益相关者之间交换或分享关于风险的信息。注:这些信息可能是风险的存在情况、自然特征、形态、概率、严重程度、可接受程度、处理措施及风险的其他方面。29术语风险沟通是风险管理中的一项内容。沟通应是双向的,通过相关信息的传递、交流,使决策者与其他利益相关者分享信息,有助于保证风险管理的针对性和有效性,有助于保证利益相关方理解组织风险管理的决策依据,明确执行决策的原因所在。风险沟通还可分为内部和外部沟通。沟通的方式也要与组织风险的性质、规模及复杂程度相适应。30包括风险分析和风险评价在内的全部过程。注:此术语在GB/T20000.4-2003中为“风险评定”。31术语系统地运用相关信息来确认风险的来源,并对风险进行估计。注1:风险分析为风险评价、风险处理和风险承受提供了一个基础。注2:信息可以包括历史数据、理论分析、基于可靠信息的见解以及利益相关者的关注。注3:有关安全方面的问题参见GB/T20000.4-2003。32术语风险分析是风险评价、风险处理(包括风险规避、风险优化、风险转移和风险自留几个方面)及风险承受的基础,实施风险控制的前提。风险分析可以是定性的、半定量的、定量的或以上方法的组合。在风险分析过程中,要运用到各类信息,这些信息包括以往数据的采集和积累、运用数学的方法进行分析、通过沟通捕获到的信息以及利益相关者所关注的问题。33发现、列举和描述风险要素的过程。注1:要素可以包括来源或危险(源)、事件、后果和概率。注2:风险识别也可以反映出利益相关者关注的问题。34术语风险识别要求风险管理人员运用有关知识和方法,系统、全面和连续发现、列举和描述风险,其中应包括风险源、影响范围、事件及其原因和潜在的后果等。识别风险不仅要考虑有关事件可能带来的损失,也要考虑其中蕴含的机会。因利益者关注的问题根据组织的类型及性质不同,会有不同的取向,识别的风险会包括:物质方面、社会方面、法律方面、操作方面和经济方面等。35发现、列举和描述风险来源的过程。注:在安全问题上,来源识别叫做危险(源)识别。(参见GB/T20000.4-2003)36术语对可能会导致一定后果的事项或活动进行识别,要求风险管理人员运用相关知识和方法,全面、系统和连续发现、列举的描述风险的来源,并确定风险来源的存在及其特征。37对风险的概率及后果进行赋值的过程。注:风险估计可以考虑成本、收益、利益相关者的利害关系,以及其他各种用于风险评价的因素。38术语风险估计是建立在概率论与数理统计、类推原理等数学原理基础上的。由于在自然界和人类社会中,通过对大量风险及事故的统计分析,其结果会呈现出一定的必然性和规律性,因而可通过某一类风险发生的规律性,类推出其他风险发性的规律性。风险估计要根据风险的不同类型收集风险的信息(数据),并对相关信息和数据进行处理,会涉及到统计方法。39将估计后风险与给定的风险准则对比,来决定风险严重性的过程。注1:风险评价有助于做出接受还是处理某一个风险的决策。注2:有关安全方面的风险评价参见GB/T20000.4-2003。40术语通过风险估计所产生的结果,并与组织确定的风险准则进行对照,以决定风险的水平并确定控制风险的优先顺序。经过风险评价,确定该风险是可承受还是需进行处理(分别采用风险规避、风险优化、风险转移或风险保留等措施)。41:风险处理可包括:——通过决定不启动或停止产生