《风险管理-原则与指南》标准使用了以下的术语和定义。
1. 风险 risk
不确定性对目标的影响。
注1. 影响可能偏离预期——正面的和/或负面的。
注2. 目标可以有不同的方面(如财务、健康安全以及环境目标),并应用于不同的层次(如战略、组织整体、项目、产品和过程)。
注3. 风险常具有潜在事件和后果或二者结合的特征。
注4. 风险经常用一个事件的后果(包括情况变化)和对应的发生可能性这二者的结合来表示。
注5. 不确定性是缺乏或者部分缺乏对一个事件、后果或发生可能性的相关信息、了解或认识的状态。
[ ISO Guide 73:2009.definition 1.1]
2. 风险管理 risk management
针对风险所采取的智慧和控制组织的协调活动。
[ ISO Guide 73:2009.definition 2.1]
3. 风险管理框架 risk management framework
为设计、实施、监测、评审和持续改进整个组织的风险管理而提供基础和组织安排的一组构成。
注1. 基础包括方针、目标以及对管理风险的授权与承诺。
注2. 组织的安排包括计划、相互关系、责任、资源、过程和活动。
注3. 风险管理框架被嵌入到组织的所有战略、运营方针及实践中。
注4. [ ISO Guide 73:2009.definition 2.1.1]
4. 风险管理方针 risk management policy
一个组织在风险管理方面总的意愿和方向的陈述。
[ ISO Guide 73:2009.definition 2.1.2]
5. 风险态度 risk attitude
组组在评估及追求、保留、承担或规避风险方面的方式和态度。
[ ISO Guide 73:2009.definition 3.7.1.1]
6. 风险管理计划 risk management plan
在风险管理框架中,用于表述管理风险的方法、管理构成和资源的策划。
注1. 管理构成一般包括程序、实施、职责分配、活动的顺序和时间安排。
注2. 风险管理计划可被应用到特定产品、过程和项目、组织的部分或整体。
[ ISO Guide 73:2009.definition 2.1.3]
7. 风险所有者 risk owner
对管理某个风险负有责任和权力的个人或实体。
[ ISO Guide 73:2009.definition 3.5.1.5]
8. 风险管理过程 risk management process
将管理方针、程序和操作方法系统地应用到沟通和咨询、建立环境,以及识别、分析、评价、应对、监测和评审风险的活动中。
[ ISO Guide 73:2009.definition 3.1]
9. 建立环境 establishing the context
在管理风险和为风险管理方针设定范围及风险准则时,设定被考虑的外部和内部的参数的过程。
[ ISO Guide 73:2009.definition 3.3.1]
10. 外部环境 external context
组织追求实现其目标所处的外部环境。
注,外部环境包括:
— 外部、社会、政治、法律、法规、金融、技术、经济、自然环境和竞争环境,无论是国际的、国内的、区域的或本地的;
— 对组织目标有影响的关键驱动因子和趋势;‘
— 与外部利益相关方的关系,以及他们的感知和价值观。
[ ISO Guide 73:2009.definition 3.3.1.1]
11. 内部环境 internal context
组织追求实现其目标所处的内部环境。
注,内部环境包括:
治理、组织结构、角色、责任;
方针、目标,以及实现它们的战略;
能力,对资源和知识的理解(如资本、时间、人员、过程、系统、技术);
信息系统、信息流、决策过程(包括证实的和非正式的);
与内部利益相关方的关系,以及他们感知和价值观;
组织的文化;
组织采用的标准、指南和模型;
契约关系的形式和程度。
[ ISO Guide 73:2009.definition 3.3.1.2]
12. 沟通和咨询 communication and consultation
组织关于管理风险所实施的提供、共享、获取信息,以及与利益相关方从事对话的持续的和往复的过程。
注1. 信息与管理风险的客观存在、性质、形式、可能性、重要性、评价、可接受性、应对相关。
注2. 咨询是组织与其利益相关方之间就是某一议题决策的优先级或确定某个议题的方向而进行正式沟通那个的双向过程。咨询是:
— 通过影响力而不是权力对决策产生影响的一个过程;
— 对决策的一个输入,而不是联合决策。
[ ISO Guide 73:2009.definition 3.2.1]
13. 利益相关方 stakeholder
可能影响、被影响或感觉其自身可能被某一项决定或活动所影响的个人或组织。
注:决策者能够是一个利益相关方。
[ ISO Guide 73:2009.definition 3.2.1.1]
14. 风险评估 risk assessment
风险识别、风险分析和风险评价的全过程。
[ ISO Guide 73:2009.definition 3.4.1]
15. 风险识别 risk identification
发现、承认和表述风险的过程
注1. 风险是被包括对风险源、风险事件、风险原因及其潜在后果的识别。
注2. 风险是被可包括历史数据、理论分析、有见识的意见、专家的意见,以及利益相关方的需求。
[ ISO Guide 73:2009.definition 3.5.1]
16. 风险源 risk source
对导致风险具有内在可能性的元素或元素的结合。
注:风险源可以是有形的或无形的。
[ ISO Guide 73:2009.definition 3.5.1.2]
17. 事件 event
一组特定情况的发生或变化。
注1. 一个事件可以是一个或多个的发生,并且可以有多个原因。
注2. 一个事件可以由未发生的事情组成。
注3. 一个事件有时被称为“不良事件”或“事故”
注4. 一个没有后果的事件也可以被称为“临近过失”、“不良事件”、“临近伤害”或“最后通牒”。
[ ISO Guide 73:2009.definition 3.5.1.3]
18. 后果 consequence
影响目标的一个事件的结果。
注1. 一个事件可能导致多种后果。
注2. 一个后果可能是确定的或不确定的,且对目标可能有正面的或负面的影响。
注3. 后果能够被定性或定量表示
注4. 通过连锁效应可以使最初的后果升级。
[ ISO Guide 73:2009.definition 3.6.1.3]
19. 可能性 likelihood
某事发生的机会。
注1. 在风险管理的专用术语中,无论如何定义、测量或以目标的、学科的、定性的、定量的确定,还是用一般词汇或数学上的描述(如概率或在给定时间阶段的频率),“可能性”一词被指定用于某事发生的机会。
注2. “可能性”这一英语词汇在其他语言中没有直接对应的词汇;作为代替,经常使用“概率”一词。然而,在英语中,“概率”一词经常作为范围较窄的数学词汇。因此,在风险管理专业词汇中,使用“可能性”一词时,应注意它与许多语言中使用的“频率”一词具有相同的内涵解释,而不局限于英语中“概率”一词的意义。
[ ISO Guide 73:2009.definition 3.6.1.1]
20. 风险状况 risk profile
对任何一组风险的描述。
注:这组风风险可以包含那些与整个组织、组织的一部分或其他方面有关的风险。
[ ISO Guide 73:2009.definition 3.8.2.5]
21. 风险分析 risk analysis
理解风险本性和确定风险等级的过程。
注1. 风险分析为风险评价和风险应对决策提供基础。
注2. 风险分析包括风险估计。
[ ISO Guide 73:2009.definition 3.6.1]
22. 风险准则 risk criteria
评价风险重要性的参照依据。
注1. 风险准则基于组织的目标、外部环境和内部环境。
注2. 风险准则可以来自标准、法律、政策和其他要求。
[ ISO Guide 73:2009.definition 3.3.1.3]
23. 风险等级 level of risk
以结果及其可能性的结合表示的一个风险或组合风险的哦大小或量级。
[ ISO Guide 73:2009.definition 3.6.1.8]
24. 风险评价 risk evaluation
把风险分析结果与风险准则相比,已决定风险和/或其大小是否是可接受或可容忍的过程。
注:风险评价有助于风险应对的决策。
[ ISO Guide 73:2009.definition 3.7.1]
25. 风险应对 risk treatment
改变风险的过程。
注1. 风险应对包括:
— 规避风险,通过决定不开始或不继续导致风险的活动;
— 为寻求机会而承担或增大风险;
— 消除风险源;
— 改变可能性;
— 改变后果;
与另外一方或多方分担风险(包括合同和风险融资);
—以正式的决定保留风险;
注2. 对有负面结果的风险应对有时被称为“风险缓释”、“风险消除”、“风险预防”或风险降低“。
注3. 风险应对可能造成新的风险,或改变现存的风险。
[ ISO Guide 73:2009.definition 3.8.1]
26. 控制 control
用于改变风险的措施。
注1. 控制包括任何程序、政策、实践、或其他改变风险的活动。
注2. 控制并不总是对预期或假定的修改效果产生影响。
[ ISO Guide 73:2009.definition 3.8.1.1]
27. 剩余风险 residual risk
风险应对后剩下的风险。
注1. 剩余风险可能包括未识别的风险。
注2. 剩余风险也可以认为是”保留的风险“。
[ ISO Guide 73:2009.definition 3.8.1.6]
28. 监控 monitoring
对某种状态进行持续的检查、监督,审慎观察或决定,以识别其与所要求或期望的绩效水平之间的变化。
注:监控可应用于风险管理框架、风险管理过程、风险或控制。
[ ISO Guide 73:2009.definition 3.8.2.1]
29. 评审 reviewing
为确定主题事项达到规定目标的适宜性、充分性和有效性进行的活动。
注:评审可应用于风险管理框架、风险管理过程、风险或控制。
