第二节风险管理——术语_临床检验风险管理-QQ阅读男生历史网

书名：临床检验风险管理
作者名：王治国康凤凤
本章字数：20637字
更新时间：2020-08-28 07:04:35

第二节　风险管理——术语

概念和术语是认识事物的基础，本章将对ISO Guide 73：2009标准进行全面解读，除逐一解读标准中列出的50个术语外，还补充解释了一些非术语概念，如“不确定性”、“风险管理原则”、“风险管理成熟度”等。

一、ISO Guide 73：2009的结构和内容

ISO Guide 73：2009是 ISO Guide 73：2002的修订版，与 ISO Guide 52想关。ISO Guide 73：2009与ISO 31000：2009同时发布，目的是给ISO风险管理标准族提供“统一语言”的基础。ISO Guide 73：2009分为8个部分，其中正文有3个部分，在正文前有前言、引言和范围3个部分，正文后有文献目录和索引表。具体如下。

第1部分：前言（foreword）；

第2部分：引言（introduction）；

第3部分：范围（scope）；

第4部分：与风险想关的术语（terms relating to risk）；

第5部分：与风险管理想关的术语（terms relating to risk management）；

第6部分：与风险管理过程想关的术语（terms relating to risk management process）；

第7部分：文献目录（bibliography）；

第8部分：按字母顺序的索引表（alphabetical index）。

其中，第4～6部分为正文。

ISO Guide 73：2009正文部分内容共列示了50个术语，这50个术语被划分为3个递进的类别，这3个类别所包括概念的外延越来越小，内涵越来越丰富。

第1个类别是“风险”，仅涉及1个术语——“风险”；

第2个类别是“风险管理”，包括“风险管理”、“风险管理框架”、“风险管理方针”、“风险管理计划”4个术语；

第3个类别是“风险管理过程”，包括与其想关的45个术语。

这3个类别分别对应ISO Guide 73：2009的正文第1、2、3章。其中，与“风险管理过程”想关的术语占全部术语的90%，可见风险管理过程在风险管理实践中的重要性。该类别的45个术语除“风险管理过程”这一术语外，其余44个术语按照其在风险管理过程中的位置和功能不同又被分为5个模块。具体如下。

第1个模块是与沟通与咨询想关的术语，共3个，分别是：

（1）沟通与咨询；

（2）利益想关方；

（3）风险感知。

第2个模块是与环境想关的术语，共4个，分别是：

（1）建立环境；

（2）外部环境；

（3）内部环境；

（4）风险准则。

第3个模块是与风险评估想关的术语，共23个，其中细分为子模块进行说明，分别为：

（1）风险评估；

（2）与风险识别想关的术语包括6个，分别为风险识别、风险描述、风险源、事件、危险源和风险所有者；

（3）与风险分析想关的术语包括9个，分别为风险分析、可能性、暴露、后果、概率、频率、脆弱性、风险矩阵和风险等级；

（4）与风险评价想关的术语包括7个，分别为风险评价、风险态度、风险偏好、风险容忍、风险厌恶、风险聚合和风险接受。

第4个模块是与风险应对想关的术语，共8个，分别是：

（1）风险应对；

（2）控制；

（3）风险规避；

（4）风险分担；

（5）风险融资；

（6）风险保留；

（7）剩余风险；

（8）恢复力。

第5个模块是与监督和测量想关的术语，共6个，分别是：

（1）监测；

（2）评审；

（3）风险报告；

（4）风险登记；

（5）风险状况；

（6）风险管理审核。

记住这些分类对准确理解风险管理术语有很重要的指导作用。

如术语“风险感知”，如果你不知道它属于“沟通与咨询”模块，就不会把它放在“沟通与咨询”模块来考虑，更不能准确理解该术语是对风险“利益想关方”而言的。

又如“风险接受”和“风险保留”这两个术语，“风险接受”属于“风险评估”模块中的“风险评价”子模块，是对风险重要性的一种评价和态度，是与“风险态度”、“风险偏好”、“风险厌恶”想提并论的；而“风险保留”则属于“风险应对”模块，代表一种应对方式，与“风险规避”、“风险分担”、“风险融资”想提并论。

还有像“风险登记”、“风险状况”，如果不知道这两个术语属于“监督与测量”模块，就有可能将其归入“风险评估”模块的“风险识别”子模块中考虑，这就不合适了。

上述举例均说明，当一个概念以术语形式出现时，它就有了特殊性。ISO把其提出并形成标准，读者在应用时就应特别谨慎。这些术语虽然可能符合日常生活中的某些理解，但确实与日常生活中的概念有别。在后续内容里，我们将分别予以说明。

二、ISO Guide 73：2009风险管理术语关系结构图

上面简单介绍了ISO Guide 73：2009标准中的50个术语及其分属的模块和类别。为了形象、直观地理解这50个术语之间的关系，可参照风险管理术语关系结构图，如图1-2所示。

三、风险管理术语解读

这部分将对ISO Guide 73：2009收录的50个术语逐一进行解读。这些术语是ISO 31000：2009的基础。

1.风险

“风险”这个术语是ISO风险管理标准族的核心和基石，其定义的内涵和外延直接影响到风险管理工作的目标、内容和边界。在ISO Guide 73：2009中，是这样定义“风险”的：

风险（risk），即不确定性对目标的影响。ISO同时对该新定义给出以下5个注解。

注（1）：影响可能偏离预期——正面的影响和（或）负面的影响。

注（2）：目标可以包括不同方面（如财务、健康安全以及环境），并应用于不同层次（如战略、组织整体、项目、产品和过程）。

注（3）：风险常具有潜在事件和后果或两者结合的特征。

注（4）：风险经常用一个事件的后果（包括情况变化）和对应的发生可能性这两者的结合来表示。

注（5）：不确定性是缺乏或部分缺乏对一个事件、后果或发生可能性的想关信息了解或认识的状态。

ISO定义“风险”为不确定性对目标的影响，说明风险是一种“影响”，这种影响是对目标的影响，这种目标是组织的目标或利益想关方的目标；对目标的影响因素多种多样，风险要研究的只是其中一种，即“不确定性”。

为了帮助读者准确、全面地理解“风险”的定义，ISO对“风险”术语给出了5个注解，这5个注解是理解风险及其特性的关键。

注（1）说明风险是一种“影响”，该影响可能是正面的，也可能是负面的。因此，我们才说风险具有“二重性”。正面影响意味着机会和收益，负面影响则意味着威胁和损失。如投资股票的风险，可能赚钱，也可能赔钱。又如新产品研发的风险，可能成功，带来新的竞争力；也可能失败，导致现金流短缺而倒闭。

注（2）说明风险是对目标而言的。没有目标，就谈不上风险。这些目标不是抽象的，而是很具体的，如财务目标、健康安全目标、项目目标和产品目标等。

注（3）说明了风险的“事件性”。事件是风险的载体。在第三个模块“风险评估”子模块“风险识别”中指出，必须识别潜在事件。没有潜在事件就谈不上后果和可能性，也就无从对风险进行研究和计量。

注（4）提出了风险的表示方法。在风险管理实践中，人们常用后果及其可能性的乘积表示风险的大小。风险的大小也称为“风险等级”。

注（5）解释了风险的“不确定性”。从风险的定义可以看出，不确定性是风险的最基本特性。“不确定性”是一种缺乏或部分缺乏想关信息或认知的状态。也就是说，不知道或不清楚某个事件会不会发生；不知道或不清楚某个事件发生的后果会怎样，程度有多大；不知道或不清楚该后果发生的可能性有多大等。从“不确定性”的定义中可以看出，“信息”和“认识”对不确定性来说至关重要。之所以存在不确定性，就是因为缺乏想关“信息”，缺少对事物的“认识”，所以“不确定性”是对于主观的认知而言的。对那些确定发生或确定不发生的事情，以及那些已知发生概率的客观不确定性事件（如抛硬币），则不属于风险不确定性研究的范畴。

想比以往的“风险”定义，该定义更具全面性和科学性。过去关于“风险”的定义往往来自具体的管理领域，如保险、安全生产等，它们只满足了某些特定领域的管理需要。例如，投资银行常把风险视为机遇；在金融资产管理领域，常用资产价格分布的波动性描述风险。显然，这些定义不能满足保险业的需要，保险业通常认为风险是“损失的不确定性”。ISO Guide 73：2009对风险的定义涵盖了上述各个行业对“风险”的定义。随着时间的推移和风险管理实践的发展，ISO Guide 73：2009对“风险”的定义将逐步获得更广泛的认同。

新的“风险”定义的另一个优点就是实用性强。它非常简洁、准确地指出了“风险”这个概念中最基本的3个要素，即目标、不确定性及两者之间的影响关系。我们可以用函数来表述风险：

R＝f（O、U、E）

其中O为目标，U为不确定性，E为影响。利用这个表达式，可以判断风险是否存在。

我国国家标准GB/T 24353-2009中也收录了“风险”术语，但遗憾的是，该标准收录的是旧版（ISO Guide 73：2002）。

2.风险管理（risk management）

针对风险所采取的指挥和控制组织的协调活动。

ISO定义“管理”为“指挥和控制组织的协调活动”。如果是对特定对象的管理，在其定义中加入特定的对象即可。例如，“质量管理”的定义就是：“针对质量所采取的指挥和控制组织的协调活动。”

风险管理，其管理的对象是“风险”，协调的内容是“指挥和控制”。“指挥”意味着领导角色和承担的责任，“控制”在本标准中属风险管理术语，主要是指改变风险的措施。

不同的组织或机构在开展风险管理工作时，也会给“风险管理”下定义，以下列举2个例子以供参考。

例（1）美国反虚假财务报告委员会下属发起人委员会（The Committee of Sponsoring Organizations of the Treadway Commission，COSO）对“企业风险管理”的定义：

企业风险管理是企业董事会、管理层和其他员工共同参与的过程，应用于企业战略制定、企业各个部门和各项经营活动，用于确认可能影响企业的潜在事项，并在其风险偏好范围内管理风险，为企业目标的实现提供合理保证。

该定义认为，风险管理是一个过程，应用于企业的各项活动中，并对企业目标的实现提供合理的保证。

例（2）我国国务院国有资产监督管理委员会对“企业全面风险管理”的定义：

企业全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

该定义认为，风险管理是一种过程和方法。围绕企业总体目标，做好三件事：一是在企业所有活动过程中执行风险管理的基本流程，二是培育良好的风险管理文化，三是建立健全风险管理体系。同时，该定义指出了风险管理体系包括5个部分：风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。

3.风险管理框架（risk management framework）

为设计、实施、监测、评审和持续改进整个组织的风险管理而提供基础和组织安排的一组构成。

“风险管理框架”是ISO 31000标准的主体，ISO用3个“注”从不同角度对该定义进行了解释。

注（1）：基础包括方针、目标以及对管理风险的授权与承诺。

注（2）：组织的安排包括计划、想互关系、责任、资源、过程和活动。

注（3）：风险管理框架被嵌入到组织的所有战略、运营方针及实践中。

从定义看，“框架”首先是“一组构成”，注意这里用的是“set of components”，而不是“elements”，因为elements是对应“体系”（system）而言的，而components则是对应“框架”（framework）而言的。这就是为何不把ISO 31000视为管理体系标准的原因所在。

下面对上述3个“注”做一解读。

注（1）对定义中的“基础”进行了解释，列举了“基础”包括的内容：方针、目标及对管理风险的授权与承诺。

注（2）对定义中的“安排”进行了解释，列举了组织的“安排”应包括的内容：计划、想互关系、责任、资源、过程和活动。

注（1）和注（2）为风险管理框架的设计和评审指明了方向，在风险管理实务中需重点关注。

注（3）对组织建立风险管理框架提出了明确要求。“风险管理框架”不是一个脱离组织经营管理活动的孤立的框架，而是需要将其“嵌入到组织的所有战略、运营策略及实践中”。在ISO 31000：2009的“引言”部分有以下明确阐述：组织正是通过建立“风险管理框架”而将组织的管理风险过程融入到组织的各项活动中，最终实现对组织各项过程或活动的风险管理。

4.风险管理方针（risk management policy）

一个组织在风险管理方面总的意愿和方向的陈述。

定义中的“意愿”表示了组织在风险管理方面的意图和愿望，“方向”是指组织的风险管理朝着什么方向发展。“风险管理方针”是一种陈述，它可以是口头陈述，但对组织而言，最好是以文字、文件形式进行同化。依照ISO 31000标准实施风险管理的组织，其“风险管理方针”应该形成文件。这类似于GB/T19000-2008/ISO 9000：2005里的“质量方针”，也类似于ISO 14000中的“质量方针”等。

5.风险管理计划（risk management plan）

在风险管理框架中，用于描述管理风险的方法、管理构成和资源的策划。

注（1）：管理构成一般包括程序、实施、职责分配、活动的顺序和时间安排。

注（2）：风险管理计划可应用到特定产品、过程和项目、组织的部分或整体。

在ISO 31000标准中，明确提出组织应编制的“计划”共有4个，分别是风险管理计划、内部沟通与报告计划、外部沟通与报告计划和风险应对计划。然而，仅“风险管理计划”出现在术语中，并给予了明确定义和解释。组织实施ISO 31000标准时，其中一个非常重要的工作就是编制一份“风险管理计划”。

定义强调“风险管理计划”是在“风险管理框架”中，而“框架”是ISO 31000标准的主体，所以“风险管理计划”是“风险管理框架”下的一个重要文件，是组织实施风险管理的总体性策划。

在ISO 31000：2009“管理风险框架的设计”中指出，在整个组织范围内应有一个风险管理计划，以确保风险管理方针得到实施和风险管理嵌入组织的所有实践及过程。另外，在“框架的监测与评审”中也对计划的进展、评审等提出了要求。

注（1）展示了“管理构成”的典型内容，其第一要点为“程序”，显示了“程序”在“管理构成”中的地位，也体现了“程序”与“风险管理计划”之间的关系。所以，对风险管理中的重要程序，组织应形成文件。

注（2）指出了“风险管理计划”可能覆盖的范围，可能是“组织的部分或全体”，也可能是针对“特定产品、过程和项目”，但它们均应在组织的“风险管理框架”下制定。

6.风险管理过程（riskmanagement process）

将管理方针、程序和操作方法系统地应用到沟通与咨询、建立环境，以及识别、分析、评价、应对、监测与评审风险的活动中。

定义明示了“风险管理过程”的具体活动内容，包括沟通与咨询、建立环境，以及识别风险、分析风险、评价风险、应对风险、监测与评审风险等。

该定义也说明，风险管理过程是一个应用过程，该应用过程是把管理方针、程序和操作方法等系统地应用到上述活动中去。这里的管理方针特指“风险管理方针”，“程序和操作方法”则包含于“风险管理计划”之中。可见，“风险管理方针”和“风险管理计划”在风险管理中的作用非常重要。

7.沟通与咨询（communication and consultation）

组织关于管理风险所实施的提供、共享、获取信息，以及与利益想关方从事对话的持续的和往复的过程。

注（1）：信息与管理风险的客观存在、性质、形式、可能性、重要性、评价、可接受性和应对想关。

注（2）：咨询是组织与其利益想关方之间就某个议题决策的优先级或为确定某个议题的方向而进行正式沟通的双向过程。咨询是：

——通过影响力而不是权力来对决策产生影响的过程；

——对决策的一个输入，而不是联合决策。

从“风险管理过程”的定义可知，“沟通与咨询”是“风险管理过程”中的一个活动。

“沟通与咨询”应该是一个持续的过程，该过程关注的是“信息”和“利益想关方”。其中，信息包括提供信息、共享信息和获取信息。值得注意的是，“沟通与咨询”应该是双向的。

注（1）列举了8种与“信息”有关的风险管理事项，内容涵盖了风险识别、风险分析、风险评价和风险应对等。

注（2）对“咨询”做出了解释。咨询是组织与其利益想关方之间进行沟通的双向过程，其内容关注决策；同时也明确指出，咨询活动对决策产生影响，但不直接参与决策。由此可见，良好的沟通与咨询有益于组织的决策，但其并不能决定决策。

8.利益想关方（stakeholder）

可能产生影响、被影响或感觉其自身可能被某1项决定或活动所影响的个人或组织。

注：决策者能够是一个利益想关方。

对组织而言，利益想关方可以分为内部利益想关方和外部利益想关方。利益想关方可以是个人或组织。对一家企业而言，其可能的利益想关方包括股东、董事会成员、管理层、员工、顾客、供应商、销售商、分包商、债权人，以及机构投资者、政府部门和社区等。

该定义指出，任何1个决定、1项活动都有可能对利益想关方造成影响，或者让其感到将受影响，当然也会给决策者自身带来影响。这再次说明了“沟通与咨询”的重要性，所以组织在决策时需要与这些利益想关方进行充分沟通与咨询。

9.风险感知（risk perception）

利益想关方对风险的观点和意见。

注：风险感知反映利益想关方的需求、问题、认知、信仰和价值观。

对同一个风险，组织和利益想关方都有各自的认知和态度。这就要求在制定风险准则和进行评估风险时，应考虑到利益想关方对风险的感知并与其进行充分沟通。

另外，还要注意“风险感知”与后续的“风险态度”和“风险偏好”等术语的区别。“风险感知”主要针对利益想关方而言；而“风险偏好”和“风险态度”更多是针对组织自身而言，它们属于“风险评价”的范畴，反映出组织对风险重要性的态度和偏好。

10.建立环境（establishing the context）

在管理风险、为风险管理方针设定范围及确定风险准则时，设定考虑的外部和内部参数的过程。

“建立环境”是ISO风险管理标准族的重要特征之一，ISO将其作为实施风险管理过程的第1步，可见其重要程度。在以往有关风险管理的法规、标准中，对“环境”重视不够，即使提及“环境”，一般也只是要求“识别环境”。本标准则要求“建立环境”。

建立环境是要确定外部和内部的参数。组织所处的某一环境特征可以通过参数进行描述，该参数可能是指标性的、定量的，也可能是描述性的、定性的。对进出口企业而言，汇率及其变化就是组织外部环境的重要参数，库存情况就属企业内部环境要描述的内容。

“建立环境”发生在以下3个时间点，也就是说，组织要在这3个时刻再次确定外部和内部的参数。

第1个时间点是当管理风险时；

第2个时间点是在为风险管理方针、政策确定范围时；

第3个时间点是当确定风险准则时。

为风险管理方针设定范围、确定风险准则是组织实施风险管理中2项极为重要的工作，同时表明风险管理范围和风险准则应在风险管理方针中确定。

值得注意的是，这里的“环境（context）”与“环境保护”中的“环境（environment）”有别。我国GB/T 24353-2009标准《风险管理：原则与实施指南》中也将“context”译为“环境”。进一步解释见后续“外部环境”和“内部环境”的术语介绍。

11.外部环境（external context）

组织追求实现其目标所处的外部环境。

注：外部环境包括：

（1）文化、社会、政治、法律、法规、金融、技术、经济、自然环境和竞争环境，无论是国际的、国内的、区域的或本地的环境；

（2）对组织目标有影响的关键驱动因子和趋势；

（3）与外部利益想关方的关系，以及他们的感知和价值观。

这里的“外部”和下一个术语“内部环境”的“内部”都是对组织而言的，以组织为边界。属于组织内部者称为“内部环境”，其他的则属于“外部环境”。对大型集团公司而言，组织可以是整个集团，也可以是某个子公司或事业部。一旦确定了组织对应的实体，组织的边界就随之确定了，然后以组织的边界来建立组织的内、外部环境。

本标准把“外部环境”放在“内部环境”前进行描述，说明组织在管理风险时，应首先注重生存环境，着手外部环境的建立和确定，然后再回到内部。

12.内部环境（internal context）

组织追求实现其目标所处的内部环境。

注：内部环境包括：

（1）治理、组织结构、角色、责任；

（2）方针、目标，以及实现它们的战略；

（3）能力，对资源和知识的理解（如资本、时间、人员、过程、系统和技术）；

（4）信息系统、信息流和决策过程（包括正式和非正式过程）；

（5）与内部利益想关方的关系，以及他们的感知和价值观；

（6）组织文化；

（7）组织采用的标准、指南和模型；

（8）契约关系的形式和程度。

13.风险准则（risk criteria）

评价风险重要性的参照依据。

注（1）：风险准则基于组织目标、外部环境和内部环境。

注（2）：风险准则可以来自标准、法律、政策和其他要求。

“风险准则”是ISO风险管理标准族中极为重要的概念之一，也是组织在实施风险评估前必须建立的。由于组织所面对的风险各异，且其重要性也有所不同，所以组织在风险管理中须对已识别出的风险进行等级分析和重要性评价。组织要分析风险等级、评价风险重要性，就必须建立分析和评价的依据，然后按照依据对各个风险进行分析和评价。这些依据就是“风险准则”。

注（1）明确了组织建立风险准则的基础。组织在建立风险准则之前，应充分考虑制定目标，以及组织所处的外部、内部环境。组织的各种目标可以是有形的（如生命、资产等），也可以是无形的（如声誉、品牌等）。

注（2）给出了风险准则的部分来源。风险准则不能只关注组织内部的需要，还要考虑来自外部的标准、法律、政策和其他要求（如外部利益想关方的要求）。组织对某些风险的重要性评价可能应更关注外部法律法规的要求。

在风险管理实践中，常用后果及其发生的可能性这两者的组合用来表示风险等级。为了判断后果的影响程度和可能性的大小，我们需要制定风险准则。风险准则可以是定性的，也可以是定量或半定量的。

14.风险评估（risk assessment）

风险识别、风险分析和风险评价的全过程。

“风险评估”是“风险管理过程”的核心部分。从定义来看，“风险评估”是一个全过程的总称，该过程由“风险识别”、“风险分析”和“风险评价”3个子过程组成。

这里需要注意“assessment”和“evaluation”这2个英文单词，虽然它们皆有“评估、评价”之意，但作为专业术语，在使用时必须注意其区别，前者表示“评估”，后者表示“评价”。

“risk assessment”指“风险评估”，也就是上述所提到的“全过程”。

“risk evaluation”则仅指实施风险评价子过程，也就是说，对风险的重要性做出评价。在术语“沟通与咨询”的“注（1）”中也提到了“评价（evaluation）”；另外，本标准中与“风险准则”配合使用的均为“评价（evaluation）”一词，这与“风险准则”的定义想一致。

15.风险识别（risk identification）

发现、承认和描述风险的过程。

注（1）：风险识别包括对风险源、风险事件、风险原因及其潜在后果的识别。

注（2）：风险识别可包括历史数据、理论分析、有见识的意见、专家意见，以及利益想关方的需求。

风险识别也是1个过程，该过程是对风险从发现到承认、再到描述的过程。

注（1）展示了“风险识别”要识别的内容，如风险源、风险事件、风险原因及潜在后果。这里识别的“风险原因”仅指直接原因或表象原因，真正的风险原因还需由进行下一步风险分析来确定。这里对“潜在后果”的识别，也只是识别后果是什么、其性质如何、是正面的还是负面的。至于后果大小，也需由风险分析来确定。

注（2）通过列举一些常用的风险识别方法为风险识别工作提供了思路和指导。

风险识别是风险评估的3个子过程之一，且为整个风险评估过程的第一阶段。风险识别的全面性和真实性直接影响到风险管理的后续过程，没被识别出的风险则不会进入后续过程。

16.风险描述（risk description）

对风险的结构化描述，通常包括4个元素，即风险源、风险事件、风险原因和风险后果。

该定义对“风险识别”术语定义中的“描述”提出了具体要求，对1个风险的描述，至少要涵盖风险源、风险事件、风险原因和风险后果这4个元素。

这种结构化的描述有利于组织建立庞大的风险数据库，也有利于组织查询和追踪风险的变化情况。

17.风险源（risk source）

对导致风险具有内在可能性的元素或元素的结合。

注：风险源可以是有形的或无形的。

“source”和“cause”在字面上有明显的区别，但在风险管理实务中，有时很难区分两者的不同。此处以地震为例阐述这2个概念的区别。地震有震源、震因之说，震源一般指地震开始发生的地点，它是有一定大小的区域，是地震能量积聚和释放的地区；震因则可能由地下深处岩层错动、破裂所造成，也可能由地下岩洞或矿井顶部塌陷而引起。

本标准研究的风险是对组织而言的，组织具有人类社会的基本属性，所以风险源有可能是无形的。

18.事件（event）

一组特定情况的发生或变化。

注（1）：一个事件可以包括一个或多个事件发生，且可有多个原因。

注（2）：一个事件可由未发生的事情组成。

注（3）：一个事件有时被称为“不良事件”或“事故”。

注（4）：一个没有后果的事件也可以被称为“临近过失”、“不良事件”、“临近伤害”或“最后通牒”。

该定义中的“特定情况”表明，组织在风险识别过程中应考虑事件发生的根源和原因；其揭示了事件的发生、发展，以及演变过程中事件的变化。

风险都是与“事件”想关的。在“风险”术语的定义中虽未出现“事件”二字，但在“风险”定义的注（2）和注（3）中均表明了风险与事件的联系。风险是具体的，不是凭空想象的。这个“具体性”就体现为风险的“事件性”，所以，事件是风险的载体。

注（1）说明在一个事件中可能发生一个或多个事情，统称为一个事件，且诱发事件发生的原因也可能有多种。

注（2）说明对未发生的一些事情也可以称为事件。对风险管理而言，这种“潜在事件”正是要预期管理的。

注（3）说明有负面影响的事件可称为“不良事件”或“事故”。

注（4）说明事件的另一种特殊情况，也就是说，一个事件还没有产生后果，但它具备造成负面影响的可能性。

19.危险源（hazard）

潜在危害的来源。

注：危险源可以是一个风险源。

该术语常用于安全生产领域。从定义的注解来看，“风险源”概念的外延大，它包括了“危险源”的外延。所以，危险源也是一个风险源。

20.风险所有者（risk owner）

对管理某个风险负有责任和权力的个人或实体。

风险所有者是对某个或某些风险而言的，不同风险一般具有不同的风险所有者。

需要说明的是，所有者（owner）包括个人或实体，将“risk owner”译为“风险责任人”是不全面的，风险所有者需要拥有管理风险的权力。

在风险识别的过程中，组织需要识别风险所有者。

21.风险分析（risk analysis）

理解风险本性和确定风险等级的过程。

注（1）：风险分析为风险评价和风险应对决策提供基础。

注（2）：风险分析包括风险估计。

从定义来看，风险分析也是一个过程。在风险评估的3个子过程中，它位于中间，前面是风险识别，后面是风险评价。可见，风险识别的输出为风险分析提供输入，风险分析的输出为风险评价提供输入。所以说，风险分析是风险评估的核心子过程。

在风险分析这个子过程中，既要分析影响某目标的固有风险，还要分析组织现有的管理能力和控制措施的有效性，进而得出某潜在事件对特定目标的实际风险值或风险等级。

注（1）指明风险分析为风险评价和风险应对提供输入，是风险评价和风险应对的基础。这反映了风险分析在整个风险管理过程中的重要性。

因为风险是面向未来的，所以注（2）指明在进行定量风险分析时，需要对风险进行估计。这个估计包括对后果大小的估计和对可能性大小的估计。

22.可能性（likelihood）

某事发生的机会。

注（1）：在风险管理的专用术语中，无论如何定义、测量或以目标的、学科的、定性的、定量的确定，还是用一般词汇或数学上的描述（如概率或在给定时间阶段的频率），“可能性”一词都被指定用于表示某事发生的机会。

注（2）：“likelihood”这一英语词汇在其他语言中没有直接对应的词汇；作为替代，经常使用“概率”一词。然而，英语中“概率”一词经常作为范围较窄的数学词汇。因此，在风险管理专用术语中使用“可能性”一词时，应注意它与许多语言中的“概率”一词具有想同的内涵解释，而不局限于英语中“概率”一词的意义。

注（1）指明在风险管理的专用术语中，“可能性”一词具有十分宽泛的外延，“某事发生的可能程度”适用于各种情况，无论是“一般词汇”意义上的，还是“数学上的描述”。

注（2）强调了在英语中“可能性”与“概率”之间的区别。在汉语中，“可能性”与“概率”也有差别。

在风险管理实务中，人们对“可能性”与“概率”的区分并不十分严格。“可能性”可以用定量的或半定量的数值来描述，也可以定性描述。

23.暴露（exposure）

一个组织和（或）利益想关方受一个风险事件影响的程度。

在风险分析阶段，需要确定风险暴露，以便之后的风险评价工作能够有效开展。风险暴露可以被量化。

在金融行业中，风险暴露（risk exposure）也称风险敞口，是指金融机构在各种业务活动中容易受到风险因素影响的资产和负债的价值。金融机构常用货币数量来表示风险暴露。

24.后果（consequence）

影响目标的一个事件的结果。

注（1）：一个事件可能导致多种后果。

注（2）：一个后果可能是确定的或不确定的，且对目标可能有正面或负面的影响。

注（3）：后果能够定性或定量表示。

注（4）：通过连锁效应可以使最初的后果升级。

“后果”一词在“风险”术语的注（3）、注（4）、注（5）中皆有出现。“后果”和“可能性”是风险的2个最为重要的参数。“后果”与“目标”和“事件”密切想关。风险可以用后果及其可能性的结合来表示。

注（1）说明了一个事件发生后可能造成各种不同的后果。如2011年3月11日发生在日本宫城县东部近海的大地震事件，其结果是导致海啸、人员伤亡、财产损失、核泄漏等。

注（2）指出，在思考风险后果时，需把握后果的性质和不确定性。后果可能是正面的，也可能是负面的；但在安全领域，后果通常是负面的。

注（3）对后果的表示做了说明，后果可以定性或定量表示。有观点认为只有定量才能进行风险评估，这显然过于武断。

注（4）指出，有可能因为“连锁效应”造成最初后果扩大和增强。例如，日本2011年3月11日大地震造成的核泄漏直接导致核辐射，进而引发全球的反核浪潮。

25.概率（probability）

用0和1之间的数表示某个事件发生的可能性程度。其中，0是不可能发生，1是绝对确定发生。

概率又称或然率，是数学概率论的基本概念，是对随机事件发生的可能性的度量。概率是表示某一事件发生可能性大小的数，这个数是一个介于0到1之间的实数。某一事件发生的概率为0，意味着它肯定不发生；若概率为1，则意味着它肯定发生。这种肯定发生的事件被称为“必然”事件，发生概率在0和1之间的事件则被称为“或然”事件。

由“可能性”定义的注（2）可知“概率”和“可能性”的异同。可能性一般是定性的，用极不可能、不太可能、可能、很可能、几乎确定来表示；概率一般是定量的，用数据来表示，且这些数据在0和1之间，也就是［0，1］。

在风险管理实务中，“可能性”常用“概率”或“频率”来表示，人们也常用0～100%之间的百分数来表示概率的大小。

值得注意的是，若某一事件的发生概率是1/n，并非意味着n次事件里必有1次发生，而是指此事件发生的频率接近1/n这个数值。以掷骰子为例，骰子有6个面，按概率来说，每抛1次，出现“3个点”的概率应该为1/6，但这并不意味着抛6次就一定会出现1次“3个点”。实践验证，抛6次骰子，可能出现2次“3个点”，也可能1次都不出现。

26.频率（frequency）

指定时间单元的事件或结果的个数或次数。

注：频率可以适用于过去事件或潜在的未来事件，用作“可能性”或“概率”的度量。

“频率”、“概率”、“可能性”三者密切想关又各不想同。其中，“可能性”外延最大，可定性或定量表示；“概率”针对随机事件，以“可能性”为基础，一般用定量表示；“频率”则与次数和时间段想关，一般用定量表示。

27.脆弱性（vulnerability）

对一个风险源产生敏感性的某事的固有性能，该风险源能够导致一个有后果的事件。

ISO并未特别强调脆弱性的负面影响，只是强调脆弱性是一种固有性能，与敏感性和风险源想关，且该风险源能够导致一个有后果的事件。这里需要说明，并非所有事件都有后果，详见“事件”术语的注（4）。

在信息安全评估中，“脆弱性”是计算信息安全风险大小的一个重要参数，其定义为“可能被威胁利用对资产造成损害的薄弱环节”。信息安全风险则为“人为的或自然的威胁，利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响”。

28.风险矩阵（riskmatrix）

一种通过定义后果和可能性的范围，对风险进行展示和排序的工具。

风险矩阵是最常用的风险评估方法之一。它把后果的影响程度与发生可能性的大小作为2个参数，针对组织的风险进行分析，然后将两者放在一个平面矩阵或坐标图中。

29.风险等级（level of risk）

以结果及其可能性的结合表示的一个风险或组合风险的大小或量级。

由定义可知，风险等级是表示风险大小或量级的。需要注意的是：

第一：组合风险被视为一个单个风险；

第二：以结果及其可能性的“结合”表示风险的大小或量级，并不特指乘积关系，也可以是加和或其他函数关系。在风险管理实务中，常用半定量方法估算风险等级，也就是将后果等级与可能性等级想乘用以估算风险大小。

例如，将后果的影响程度划分为5级，把可能性也设定为5级时，若某个风险的后果影响程度经过评估为3级，其发生可能性为4级，则该风险的大小应为12级（3×4＝12），12就是该风险的风险等级。

此处需特别提示，风险与后果的量纲应保持一致。

30.风险评价（risk evaluation）

将风险分析结果与风险准则进行比较，以决定风险和（或）其大小是否可接受或可容忍的过程。

注：风险评价有助于风险应对的决策。

从定义可知，“风险评价”主要需要完成两个基本工作：一是把风险分析结果与风险准则进行比较；二是根据比较结果，决定风险或其大小是否可接受或可容忍。

要完成第1个工作，首先需要拥有明确的风险准则，其次要知道风险分析的结果是什么，否则将无法进行比较。

要完成第2个工作，需要明确风险接受或风险容忍的尺度或准则，否则无法进行判决。

31.风险态度（risk attitude）

组织在评估、追求、保留、承担或规避风险方面的方式和态度。

定义说明“风险态度”主要是指组织对“风险评估”和“风险应对”采取的方式和持有的态度。

风险态度可以包括风险厌恶、风险接受等。

风险准则作为对风险重要性的评价依据，也会对组织选择风险应对方式的决策产生影响。所以，组织在进行风险评估和应对时，应关注风险态度和风险准则，以及它们之间的关系。

32.风险偏好（risk appetite）

组织愿意追求或保留的风险的数量和种类。

定义说明“风险偏好”是可计量的。从一定程度上来讲，“风险偏好”是“风险态度”的量化表示。

该术语在ISO 31000最终国际标准草案（final draft international standard，FDIS）中还存在，但在ISO 31000：2009正式标准中却被删除。笔者认为，关键原因可能是风险偏好的计量方法尚未成熟，且风险偏好在风险管理实践中的应用也未成熟。

33.风险厌恶（risk aversion）

避开风险的态度。

“风险厌恶”是组织对待风险的态度之一。在理解这个术语时，可同时参考“风险态度”、“风险偏好”和“风险接受”。

该术语和“风险偏好”一样，也在ISO 31000的FDIS中存在，但在ISO 31000：2009正式标准中却被删除。

34.风险聚合（risk aggregation）

将多个风险组合成一个风险以促进对全部风险的完整理解。

为了对某些风险有更完整的理解，我们常常把这些风险聚合起来，形成一个风险，然后对其进行分析和评价。在风险分析和风险评价阶段皆可使用风险聚合。

风险聚合有利于组织对多个想关风险的整体理解。

35.风险容忍（risk tolerance）

组织或利益想关方为达成其目标在风险应对后愿意承受的风险。

注：风险容忍可能受到法律或监管要求的影响。

风险容忍是指在风险应对之后，组织或利益想关方愿意承受的风险。

与这个术语密切想关的概念是“风险容忍度”。风险容忍度是一个量化的值，在进行风险评价时，低于风险容忍度的风险能够被视为可容忍，其风险重要性较低。组织对某个或某种风险的容忍度一般用可容忍风险等级来表示，它与固有风险之间的关系如以下公式所示：

R容忍＝R固有-R应对

组织在进行风险评价时，常将所识别出的风险按“风险带”进行划分，划分的基准线往往使用“风险容忍线”和“风险接受线”。

36.风险接受（risk acceptance）

承担某一特定风险的正式决定。

注（1）：未进行风险应对或在风险应对过程中，均可发生风险接受。

注（2）：应对被接受的风险进行监测与评审。

风险接受是组织在风险评价后做出的选择之一，它是一种正式的决定。

注（1）中明确指出，风险接受可以发生在未进行风险应对前或发生在风险应对的过程中。

注（2）指出，对被接受的风险也要进行监测和评审。

37.风险应对（risk treatment）

改变风险的过程。

注（1）：风险应对包括：

1）规避风险，决定不开始或不继续导致风险的活动；

2）为寻求机会而承担或增大风险；

3）消除风险源；

4）改变可能性；

5）改变后果；

6）与另外一方或多方分担风险（包括合同和风险融资）；

7）以正式的决定保留风险。

注（2）：有负面结果的风险应对有时被称为“风险缓释”、“风险消除”、“风险预防”或“风险降低”。

注（3）：风险应对可能造成新的风险，或改变现存的风险。

定义指出，“风险应对”是一个改变风险的过程。它是风险管理过程中的重要子过程，是风险评估的目的之一。组织通过实施风险应对以达到改变风险的目的。改变风险意味着改变不确定性对目标的影响。如果影响是负面的，则通过实施风险应对降低其对目标的影响；如果影响是正面的，则通过实施风险应对增大其对目标的影响。

注（1）列举了7种风险应对方式，与ISO 31000：2009标准中给出的应对方式想同。

注（3）指出，在对某一风险实施风险应对的同时，可能会产生新的风险，或改变现存的风险。这种情况下往往需要采取进一步的应对措施。

38.控制（control）

用于改变风险的措施。

注（1）：控制包括任何程序、政策、设备、实践，或其他改变风险的活动。

注（2）：控制并不总是对预期或假定的修改效果产生影响。

“控制”作为风险管理的术语，它有别于我们日常生活中使用的“控制”一词。在日常生活和日常管理工作中，“控制”是管理工作的一项重要职能，指控制主体按照既定条件和目标，对控制客体施加影响的过程和行为。在风险管理领域，“控制”意味着将对风险采取改变的措施。

此外，还应注意“控制”与“风险应对”的区别。风险应对是改变风险的过程，是风险管理过程的一个子过程，包括各种应对方式；而控制则是指改变风险的措施，它包括任何程序、政策、设备、实践，或其他改变风险的活动。

39.风险规避（risk avoidance）

为了不暴露给某个特定的风险，而被告知的不参与或撤离某项活动的决定。

注：风险规避可能基于风险评价结果和（或）法律及监管条款。

风险规避是风险应对的一种方式，是一种被告知的决定，该决定是为了使组织不暴露给某个特定风险，而不参与或撤离某项活动。这种方式想对安全，但也是最保守的。如果该项活动能够给组织带来正面影响或潜在收益，那就会因为选择了“风险规避”而丧失机遇。

40.风险分担（risk sharing）

一种涉及与其他方协议分配风险的风险应对方式。

注（1）：法律或监管要求能够限制、阻止或强制执行风险分担。

注（2）：风险分担可以通过保险或其他合同方式实现。

注（3）：风险被分散的程度取决于分担安排的可靠性和透明性。

注（4）：风险转移是风险分担的一种形式。

风险分担是一种常用的风险应对方式，在这种方式下，组织与协议方共担风险损失、共享风险收益。

风险转移（risk transfer）是风险分担的一种形式，可以部分转移风险，也可全部转移。在转移风险的同时，与风险伴随的机会和收益也将转移给新的风险分担者。

风险分担可以通过保险或其他合同方式来实现。如通过购买火灾险来预防火灾给组织带来的损失；又如采用设备租赁合同方式来降低组织的现金流风险以及因技术更新过快而造成的设备过时风险。

值得注意的是，风险分担虽不改变风险本身的大小，但由于增添了新的承受主体，所以可能会引发新的风险。

41.风险融资（risk financing）

一种为资金准备而进行的偶发安排的风险应对方式，该资金准备可以满足或修改可能发生的财务后果。

风险融资也是一种常用的风险应对方式。针对特定风险，其融资的方式也多种多样。

42.风险保留（risk retention）

从特定风险中接受潜在的收益或损失负担。

注（1）：风险保留包括对剩余风险的接受。

注（2）：被保留的风险等级可能取决于风险准则。

风险保留也是一种风险应对方式，它不仅包括对剩余风险的接受，还包括对那些尚未得到识别的风险的“默默”接受。组织可依据风险准则选择被保留的风险等级。

43.剩余风险（residual risk）

风险应对后剩下的风险。

注（1）：剩余风险可能包括未识别的风险。

注（2）：剩余风险也可以认为是“保留的风险”。

剩余风险与固有风险想对应。固有风险是在无任何风险应对之前的风险，固有风险是客观的。两者差异就在于组织的管理措施、管理能力和管理水平。

如果用数学公式来表示该定义，则可表示为：

显然，剩余风险随组织的风险应对水平而变化。如果应对有效，则剩余风险就小；反之，剩余风险就大，从而影响组织目标的达成。

值得注意的是，风险应对后的剩余风险可能包括以下几种情况：

（1）对已识别的风险进行风险应对后剩下的风险；

（2）在风险应对前或风险评估中未被识别出来的风险；

（3）在风险应对过程中新产生的风险。

44.恢复力（resilience）

一个组织在复杂和变化的环境里的适应能力。

恢复力是组织业务持续性管理的一个重要指标。组织的恢复力强，那么它在复杂和变化的环境下的适应能力就强。恢复力有很多具体表现，如在信息安全领域对设备进行容灾备份、路由备份等。

45.监测（monitoring）

对某种状态进行持续的检查、监督，审慎观察或决定，以识别其与所要求或期望的绩效水平之间的变化。

注：监测可应用于风险管理框架、风险管理过程、风险或控制。

“monitoring”通常被译为监视、监测、监控，但根据该定义的文字说明很难看出“测”和“控”的含义，更多的是“监视”和“检查”；为区别“supervising”，本书将“monitoring”译为“监测”。

在该定义的注解里特别提到，监测可用于风险管理框架，也可用于风险管理过程，以及风险或控制措施等。正因为如此，在风险管理框架图中才会有“框架的监测与评审”，在风险管理过程中才会有“监测与评审”子过程，只是两者监测的内容不同而已。

46.评审（review）

为确定主题事项达到规定目标的适宜性、充分性和有效性而进行的活动。

注：评审可应用于风险管理框架、风险管理过程、风险或控制。

术语“评审”的定义与ISO 9000：2005中的“评审”定义想同，但该定义的注解侧重于风险管理。

在风险管理实践中，“评审”一般与“监测”搭配使用。在实施评审时，一般都会明确评审的主题事项，该主题事项可以是风险管理框架或风险管理过程，也可以是某项风险或某项控制。

评审活动结束后一般要形成评审报告，该报告作为评审活动的输出。评审报告应针对主题事项做出适宜性、充分性和有效性的评价性结论，并对重大问题（如改进措施、资源配置和结构调整等）提出意见。

47.风险报告（risk reporting）

一种有准备的沟通形式，该形式通过提供关于风险现状和对风险的管理等信息，通知特定的内部或外部的利益想关方。

这里的“报告”不是名词，而是动词，该报告是一种有准备的形式。报告对象可以是内部利益想关方，也可以是外部利益想关方。报告内容是风险现状及其管理状况。

48.风险登记（risk register）

关于被识别的风险的信息记录。

注：有时用“风险日志”替代“风险登记”。

“风险登记”在风险管理工作中是一个很重要的术语，是组织开展风险管理工作的基础，它要求组织对已识别的风险进行及时记录，并形成日志。

风险登记是风险描述的基础，更是风险识别的基础。

49.风险状况（risk profile）

对任何一组风险的描述。

注：这组风险可以包含那些与整个组织、组织的一部分或其他方面有关的风险。

组织面临的风险不会是单一的，一定是纷繁复杂的，且不同风险之间可能还存在一定的联系。

从定义看，组织的风险状况就是对组织中任何一组风险的描述。把具有想互联系的风险组合在一起考虑，从而形成对组织某部分或某方面的风险的整体认识，对组织的风险评估工作十分有益。例如，把组织的招聘风险、劳资风险、辞退风险等合并为组织的人力资源风险。

与该术语想近的术语是“风险描述（risk description）”。风险描述是对单个风险而言的，而风险状况则是指一组风险，这组风险可以是整个组织的或组织某一方面的风险。

50.风险管理审核

“风险管理审核”英文表示为“risk management audit”。在解读该术语之前，需弄清楚“audit”一词的含义。该词在ISO 9000和ISO 14000等标准中被译为“审核”，在某些场合也可译为“审计”。所以，在风险管理实务中也有“风险管理审计”的说法。

所谓审核，就是为获得审核证据并对其进行客观评价，以确定满足审核准则程度所进行的系统的、独立的并形成文件的过程，详见GB/T 19000—2008/ISO 9000：2005。审核分为内部审核和外部审核，外部审核又可分为第二方（如客户）审核和第三方（如外部独立机构）审核。

基于上述对“audit”的理解，下面给出“风险管理审核”的定义。

风险管理审核：为取证和客观评价，以确定满足风险管理框架（或任何被选择的一部分）是充分的和有效的程度所进行的系统的、独立的和文件化的过程。

四、其他重要的非术语类风险管理概念

1.不确定性

在ISO 31000的委员会草案（committee draft，CD）稿中，“不确定性”曾被列为独立的术语，但在该标准正式发布时，却将其纳入“风险”术语的定义注解之中，以注（5）的形式出现。

“不确定性”是缺乏或部分缺乏对一个事件、后果或发生可能性的想关信息、了解或认识的状态。

学术界对“不确定性”的研究已有很长的时间。对不确定性的持续研究是人类挑战自然界走向文明的表现，也是人类挑战自我、管理未来的表现。

（1）不确定性的类型：

在风险管理领域，如果用后果和可能性来表示风险，则可以把不确定性分为以下3种类型。

1）未来的结果及其发生的可能性均无法确定；

2）知道未来会有哪些结果，但每种结果发生的可能性都无法客观确定（如天气预报）；

3）知道未来会有多种结果，且知道每种结果及其发生的可能性（如掷骰子）。

严格来讲，只有第2种类型属于风险管理的范畴，第1、3种类型并不属于；之所以不将这2种类型列入风险管理的范畴，是因为它们不符合术语“风险”的定义。

（2）不确定性与概率的关系：

在风险管理实践中，通常以概率的数值表示不确定性的程度，概率的取值范围为［0，1］，即0≤概率数值（P）≤1，表示其对应某事件发生的可能性为0～100%。其中，

P＝0，表示事件肯定不发生，或事件消失；

P＝1，表示事件一定发生；

P＝0.5，表示事件发生或不发生都具有0.5的概率。

这说明，P＝0或P＝1均对应最大的“确定性”；P＝0.5对应最大的“不确定性”。

基于上述关系，如果将“不确定性”划分为4个等级，且第四等级具有最高程度的不确定性，同时假设不确定性与概率之间满足二次函数关系，那么可以得到如下等式：

该函数的3个特征值为：

在风险管理实践中，可以根据不确定性的性质（即对目标影响的好坏）来管理不确定性。当概率值0＜P＜0.5时，不确定性随概率值增大而递增；当P＝0.5时，不确定性达到最大；当概率值0.5＜P＜1时，不确定性随概率值增大而递减，事件向着确定的方向发展。《三国演义》中的“空城计”就是对不确定性最大化的经典案例。

2.风险管理原则

在ISO 31000：2009标准中，ISO把风险管理分为风险管理原则、风险管理框架和风险管理过程3个部分，其中“风险管理框架”和“风险管理过程”都作为术语收录ISO Guide 73：2009之中，唯有“风险管理原则”一词未被收录。考虑到其重要性，本书在此对其做出特别解读。

日常生活中，“原则”是指说话或行事所依据的法则或标准，也可以通俗地理解为经过长期检验所整理出来的合理化现象。

在ISO的各种管理标准中，唯有ISO 9000中出现过“管理原则”。下面展示GB/T 19000-2008/ISO 9000：2005标准所描述8项质量管理原则。

（1）以顾客为关注焦点：

组织依存于顾客，因此，组织应理解顾客当前和未来的需求，满足顾客要求并争取超越顾客期望。

（2）领导作用：

领导者应确保组织的目的与方向一致，他们应当创造并保持良好的内部环境，使员工充分参与到实现组织目标的活动中。

（3）全员参与：

各级人员都是组织之本，只有他们充分参与，才能促使他们为组织的利益发挥才干。

（4）过程方法：

将活动和想关的资源作为过程进行管理，可以更高效地得到期望的结果。

（5）管理的系统方法：

将想互关联的过程作为系统加以看待、理解和管理，有助于组织提高实现目标的有效性和效率。

（6）持续改进：

持续改进总体业绩应当是组织的永恒目标。

（7）基于事实的决策方法：

有效决策建立在数据和信息分析的基础上。

（8）与供方互利的关系：

组织与供方想互依存，互利的关系可增强双方创造价值的能力。

上述8项质量管理原则形成了GB/T19000族质量管理体系标准的基础，被确定为组织最高管理者用于领导组织改进业绩的指导原则。

在风险管理活动中，ISO也发布了以下11项原则。

（1）风险管理创造并保护价值。

（2）风险管理是组织所有过程中一个不可分割的部分。

（3）风险管理是决策的一部分。

（4）风险管理明确地阐述不确定性。

（5）风险管理是系统的、结构化的和适时的。

（6）风险管理基于最可利用的信息。

（7）风险管理是定制的。

（8）风险管理关注人文因素。

（9）风险管理是透明的和包容的。

（10）风险管理对变化是动态的、往复的和敏感的。

（11）风险管理促进组织的持续改进。

在ISO 31000：2009标准中，ISO把这11项原则放在很重要的位置。组织开展风险管理工作应该遵守这些原则，也可将这些原则作为组织检验或评价其风险管理绩效的依据。

3.风险容忍度

“风险容忍度”与术语“风险容忍”想关。风险容忍度一般是一个明确的、量化的值，代表个人或实体对风险的容忍程度。

在进行风险评价时，低于风险容忍度的风险，其风险重要性较低，被视为可容忍；如果风险等级大于风险容忍度，则需重视，并进行必要的风险应对。

4.风险管理成熟度

风险管理成熟度是一个新概念。随着世界各国对ISO风险管理标准的采用与推广，风险管理最佳实践和风险管理成熟度势必成为人们关注的焦点。

风险管理成熟度可理解为“风险管理＋成熟度”，也就是在通用“成熟度模型”的基础上，赋予“风险管理”的特定要求。

最著名的通用成熟度模型，要属软件能力成熟度模型。该成熟度模型全称为Capability Maturity Model for Software，英文缩写为SW-CMM，简称CMM。

CMM是在美国国防部指导下，由软件开发团体和软件工程研究所（Software Engineer-ing Institute，SEI）及卡内基梅隆大学（Carnegie Mellon Universtiy，CMU）共同研发的。它是对软件组织在定义、实施、度量、控制和改善其软件过程的实践中各个发展阶段的描述。CMM的核心是把软件开发视为一个过程，并对软件开发和维护进行过程监控和研究，以使其更加科学化、标准化，使企业能够更好地实现商业目标。

CMM是一种用于评价软件承包能力并帮助其改善软件质量的方法，侧重于对软件开发过程的管理及工程能力的提高与评估。CMM分为5个等级：一级为初始级（initial），二级为可重复级（repeatable），三级为已定义级（defined），四级为已管理级（managed），五级为优化级（optimizing）。

CMM为软件企业的过程能力提供了一个阶梯式的改进框架，它基于过去所有软件工程过程改进的成果，吸取了以往软件工程的经验教训，提供了一个基于过程改进的框架。CMM指明了一个软件组织在软件开发方面需要管理哪些主要工作，这些工作之间的关系如何，以及以怎样的先后顺序逐步做好这些工作，使软件组织走向成熟。

5.职责与责任

“职责”（responsibility）主要指在一项工作或管理活动中某人（或某一组人）的岗位是什么，应该做什么。“责任”（accountability）主要指一项工作或管理活动完成后某人（或某一组人）应该承担的后果是什么，由谁承担等。履行职责者与承担责任者可能是同一个人，也可能是不同的人。由于要对实施的后果承担责任，所以责任人通常要参与判定职责。

6.管理风险与风险管理

ISO 31000：2009中同时使用了“managing risk”和“risk management”2个词组，其中“risk management”对应“风险管理”，“managing risk”对应“管理风险”。

“风险管理”在ISO 31010：2009里是一个名词概念，其内含包括风险管理原则、框架和过程。

“管理风险”则是一个动宾词组，表示具体的风险管理活动。

7.持续改进

由于任何管理都存在改进和提高的问题，所以“持续改进”这一管理原则被ISO管理标准及其他组织发布的管理标准广泛采用。

ISO认为“持续改进”是一项循环活动，通过过程的运行和改进来实现。改进包括日常的渐进改进和重大的突破性改进。改进是为了寻求每一个可能的改进机会，而不仅是在问题发生后才显露的改进机会。改进是持续的。一个改进过程的终止，意味着一个新改进过程的开始。改进是螺旋式上升的，每一轮“PDCA”（plan、do、check、action）循环都不是简单的重复，而是向着更新、更高的目标攀升。

每一次改进循环的活动及顺序如下：

（1）分析和评价现状，以识别改进的内容和范围；

（2）确定改进目标；

（3）寻找可能实现目标的解决方法；

（4）评价这些方法，并做出选择；

（5）实施所选定的方法；

（6）测量、验证、分析和评价实施的结果，以确定改进目标是否实现；

（7）正式采纳更改。

第二节 风险管理——术语

第二节　风险管理——术语