澳大利亚和新西兰风险管理标准24157.docx

《澳大利亚和新西兰风险管理标准24157.docx》由会员分享，可在线阅读，更多相关《澳大利亚和新西兰风险管理标准24157.docx（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、澳大利亚风险管理标准AS/NZZS 43360:11999本澳大利亚亚、新西兰兰联合标准准，由联合合技术委员员会B-007风风险管理RRisk Manaagemeent制制订。它于于19999年4月22日经澳大大利亚标准准委员会批批准，19999年33月22日日经新西兰兰标准委员员会批准；并于19999年44月12日日颁布。OB-0007委员会会由下列各各界代表组组成：澳大利亚计计算机学会会澳大利亚海海关澳大利亚风风险管理学学会联邦科学与与工业研究究机构澳大利亚行行政部澳大利亚国国防部新西兰环境境风险管理理局澳大利亚工工程师学会会新西兰专业业工程师学学会澳大利亚保保险委员会会新西兰保险险学会新

2、西兰农业业和林业部部新西兰商业业部新西兰应急急措施和民民防部新西兰地方方政府新南威尔士士州城市事事务和计划划部新南威尔士士州财政部部管理基金金会澳大利亚全全国保险经经纪人协会会澳大利亚证证券学会澳大利亚风风险和保险险管理人协协会新南威尔士士大学本标准的征征求意见稿稿为DR 985449。第一次颁布布为 ASS/NZSS 43660:19995修订订版为 AAS/NZZS 43360:11999澳大利亚标标准的评审审为跟上工业业界的步伐伐，澳大利利亚标准需需定期评审审，并通过过出版修正正案或必要要时出版新新的版本进进行更新。因因此，标准准的使用者者要确保拥拥有最新的的版本及其其修正案。所有澳大利

3、利亚标准和和相关出版版物的完整整细目，可可在澳大大利亚标准准出版物目目录Staandarrds AAustrraliaa Cattaloggue oof Puubliccatioons找找到；订户户收到的月月刊澳大大利亚标准准Austtraliian SStanddardss每月对对这一资料料加以补充充，并且提提供新出版版物、新版版本和修正正案，以及及撒消标准准的细目。欢迎对澳大大利亚标准准提出改进进的建议，建建议请寄澳澳大利亚标标准协会总总部。如发发现澳大利利亚标准中中有任何不不精确或不不明确之处处，请立即即告知，以以便对事情情进行调查查并采取适适当措施。ISBN 0 73337 33978

4、 4 Ausstrallian Stanndardd 是注册册商标。澳大利亚亚标准协会会版权所有有。保留一一切版权。事事先未经发发行人书面面同意，本本澳大利亚亚标准的任任何部分不不得以任何何方式，或或采用任何何手段，包包括影印、扫扫描或其他他机械或电电子方法进进行复制、复复印、储存存、分发或或传送。澳大利亚标标准协会出出版，GPPO Boox 54420，SSydneey NSSW 20001本标准草案案由澳大利利亚标准/新西兰标标准B-007风风险管理联联合委员会会制订，它它是对ASS/NZSS 43660:19995的修修订。因此此，它的目目的仍是为为建立风险险的环境、鉴鉴定、分析析、评价

5、、处处理、监控控和信息交交流等提供供通用的架架构。本标标准应与其其他适用或或相关的标标准一起阅阅读。本标准规定定了风险管管理过程的的各个要素素，但本标标准的目的的并不是要要强制执行行统一的风风险管理体体系。本标标准是通用用的，并不不从属于任任何一个特特定的行业业或经济部部门。风险险管理系统统的设计和和实施会受受到一个机机构变化着着的需求、它它特定的目目标、产品品和服务、以以及所采用用的工艺和和具体做法法的影响。风险管理是是由多个定定义明确的的步骤所组组成的一个个反复过程程，这些步步骤以较深深入地洞察察风险及其其影响为更更好的决策策提供支持持。任何可可能会出现现不希望有有的或意想想不到重大大后果

6、的场场合、或机机会已被识识别的场合合均可应用用风险管理理程序。决决策者们需需要了解可可能出现的的后果，并并采取措施施控制其影影响。风险管理被被认为是良良好管理的的一个组成成部分。为为达到最佳佳效果，风风险管理应应成为机构构文化的一一部分。它它应与机构构的宗旨、实实践和业务务计划结合合在一起，而而不应被当当作是一个个单独的程程序来看待待或实施。做做到了这一一点，风险险管理就成成为机构中中每个人的的事。如因任何原原因，不能能将风险管管理结合到到整个机构构中去，将将它成功地地应用于个个别部门、过过程或项目目仍是可能能的。本标准中尽尽可能地选选用在风险险和风险管管理学科中中广为接受受的术语。风风险管理

7、各各分科中含含义稍有不不同的那些些词已避免免使用，而而采用目前前实际上可可能不太常常用，但可可以被定义义为具有精精确的共通通含义的那那些词来代代替。例如如风险处理理这一术语语，其定义义所涵盖的的内容比“风险控制制riskk conntroll”这一术语语通常的含含义要多。在本标准中中使用了“提示”这一术语语来规定附附录所适用用的场合。“提示”附录仅供参考和指引。目录1范围，应应用和定义义2风险管理理要求2.1. 目的2.2. 风险管理方方针2.3. 计划和资源源2.4. 实施计划2.5. 管理部门评评审3风险管理理概观3.1. 总则3.2. 主要因素4风险管理理过程4.1. 建立环境4.2.

8、风险鉴定4.3. 风险分析4.4. 风险评价4.5. 风险处理4.6. 监控和评审审4.7. 信息交流和和咨询5形成文件件5.1. 总则5.2. 形成文件的的理由附录A 风险管管理的应用用B制订和和实施风险险管理计划划的步骤.C (风险险)承担者者D风险的的一般来源源和它们的的影响范围围E 风险定定义和分类类举例F 风险定定量表达举举例G 鉴定风风险处理的的选项H 风险管管理文件1.范围，应应用和定义义1.1范围围本标准为建建立和实施施一个包括括环境建立立、风险鉴鉴定、分析析、评价、处处理、信息息交流以及及持续监控控的风险管管理过程提提供通用的的指导。1.2应用用风险管理被被认为是良良好管理的

9、的一个组成成部分。它它是由多个个步骤组成成的一个反反复过程：这些步骤骤在按顺序序地执行时时可以对决决策不断地地加以改进进。风险管理是是一种逻辑辑和系统方方法的术语语；它用一一种将损失失减小到最最低程度而而使机会达达到最大限限度的方式式，对与机机构的任何何活动、功功能和过程程相关的风风险进行环环境建立、鉴鉴定、分析析、评价、处处理、监控控和信息交交流。风险险管理既是是为了发现现机会，也也同样地是是为了避免免或减轻损损失。本标准可以以应用于一一个活动、功功能、项目目、产品或或资产的整整个寿命期期的各阶段段。通常，从从一开始就就应用风险险管理程序序得益最大大。往往在在一个项目目的各个阶阶段要进行行多

10、次不同同的研究。注：本标准准可以应用用于任何公公营、私营营或社区企企业或集团团的许多活活动或业务务。附录AA给出了一一些例子。1.3定义义基于本标准准的目的，本本标准采用用下述定义义。1.3.11后果 CConseequennce以定性或定定量方式表表示的一个个事件的结结果，可以以是损失、伤伤害、失利利或者获利利。一个事事可能会有有许多个与与其相关的的结果。1.3.22成本 CCost直接或间接接涉及活动动的任何负负面影响，包包括金钱、时时间、劳工工、破坏、信信誉、政治治和无形的的损失。1.3.33事件 EEventt在特定的时时间间隔内内，在特定定的地方发发生的一个个事件或情情况。1.3.4

11、4事件树分分析Eveent ttree用来描述一一起始事件件可能会引引起的结果果之可能的的范围和顺顺序的一种种方法。1.3.55失效模式式及影响分分析（FMMEA )用来对技术术系统潜在在的失效模模式进行分分析的一种种程序。失失效模式及及影响分析析（FMEEA )可可以扩展至至进行所谓谓的失效模模式、影响响及危急程程度分析（FFMECAA )。在在失效模式式、影响及及危急程度度分析中，根根据其发生生的可能性性和后果的的严重性的的综合影响响，对经鉴鉴定的每种种失效模式式进行等级级排列。1.3.66失效树分分析 Faailurre trree aanalyysis用来表示可可导致某一一特定事件件（

12、称为顶顶端事件）的的各种系统统状态和可可能原因的的逻辑组合合的一种系系统工程方方法。1.3.77频率 FFrequuencyy以规定吋间间内所发生生的次数来来表达的事事件发生率率的量度。参参见可能性性和概率。1.3.88危险 HHazarrd潜在危害的的根源或可可能会造成成损失的情情况。1.3.99可能性 Likeelihoood用作对概率率或频率的的定性描述述。1.3.110损失 Losss任何金融或或其他方面面的负面影影响。1.3.111监控 Moniitor定期检查、监监督、紧急急观察、或或记录一个个活动、措措施或系统统的进展情情况，以鉴鉴定是否有有变化。1.3.112机构 Orgaan

13、izaationn具有自己的的功能和行行政管理的的一家公司司、商号、企企业或协会会，或其他他法人实体体或它的一一部分，不不管是否组组成公司，是是公营还是是私营。1.3.113概率 Probbabillity以特定事件件或结果与与可能发生生事件或结结果的总数数之比来量量度的特定定事件或结结果的可能能性。概率率用数字00至1来表表达，0表表示一个不不可能的事事件或结果果，而1则则表示一个个必然的事事件或结果果。1.3.114剩余风风险 Reesiduual rrisk在采取风险险处理措施施后仍保留留的风险程程度。1.3.115风险 Riskk对目标有所所影响的某某个事情发发生的可能能性。它根根据后

14、果和和可能性来来量度。1.3.116风险认认可 Riisk aaccepptancce认可某一具具体风险的的后果和可可能性的有有依据的决决定。1.3.117风险分分析 Riisk aanalyysis系统地使用用现有的信信息来确定定指定事件件可能发生生的经常性性以及其后后果的大小小程度。1.3.118风险评评估 Riisk aassesssmennt风险分析和和风险评价价的整个过过程，见图图3.1。1.3.119风险回回避 Riisk aavoiddancee不介入风险险情况的一一种有依据据的决定。1.3.220风险控控制 Riisk ccontrrol风险管理中中的某部分分，其中涉涉及执行方

15、方针、标准准、程序和和实质性改改变以消除除或缩小不不利风险。1.3.221风险工工程 Riisk eenginneeriing工程原理和和方法在风风险管理中中的应用。1.3.222风险评评价 Riisk eevaluuatioon通过将风险险程度与预预先确定的的标准、目目标风险的的程度或其其他准则进进行比较，来来确定风险险管理优先先次序的过过程。1.3.223风险资资金 Riisk ffinanncingg用以资助风风险处理和和风险的财财政后果的的方法。注：在某些些行业，风风险资金仅仅涉及对风风险的财政政后果的资资助。1.3.224风险鉴鉴定 Riisk iidenttificcatioon确

16、定可能会会发生什么么、为什么么发生和如如何发生的的程序。1.3.225风险管管理 Riisk mmanaggemennt旨在对潜在在机会和不不利影响进进行有效管管理的文化化、程序和和结构。1.3.226风险管管理过程 Riskk mannagemment proccess系统地将管管理方针、程程序和实施施应用于风风险的环境境建立、鉴鉴定、分析析、评价、处处理、监控控和信息交交流等任务务。1.3.227风险降降低 Riisk rreducctionn有选择地应应用适当的的方法和管管理原则来来减小发生生的可能性性或它的后后果，或使使两者都减减小。1.3.228风险保保留 Riisk rretenn

17、tionn故意地或非非故意地保保留在机构构内对损失失或损失造造成的财务务负担的责责任。1.3.229风险转移移 Rissk trransffer通过立法、合合同、保险险或其他手手段将损失失的责任或或负担转移移到另一方方。风险转转移也可认认为是将一一个实物性性风险或它它的一部分分转移到另另外的地方方。1.3.330风险处处理 Riisk ttreattmentt选择并执行行适当的选选择方案来来处理风险险。1.3.331灵敏度度分析 SSensiitiviity aanalyysis检查一个计计算或模型型的结果是是如何随着着各种假设设的变化而而改变。1.3.332承担者者 Staakehoolde

18、rr可以影响一一个决定或或活动，或或受到、或或领悟到他他们会受到到一个决定定或活动的的影响的那那些人和机机构。注：风险承承担者还可可包括ISSO 144050:19988和AS/NZS IS01140044:19996中所定定义的有关关方面。2风险管理理要求2.1目的的本章节的目目的是为了了描述建立立系统的风风险管理计计划的一种种正式程序序。为在项目或或分机构的的层次上提提供一个为为执行更详详细风险管管理计划的的架构，必必须开发机机构的风险险管理方针针和支援机机制。2.2风险险管理方针针机构的负责责人应规定定机构的风风险管理方方针，包括括风险管理理目标和对对风险管理理的承诺，并并形成文件件。风

19、险管管理应体现现机构的战战略环境、它它的目标、目目的以及它它的业务性性质。管理理部门应确确保这一方方针在机构构的各个层层次上得到到理解、贯贯彻和坚持持执行。2.3计划划和资源2.3.11管理部门门的义务机构应确保保：A.风险管管理体系是是按照本标标准来建立立、贯彻和和坚持执行行；以及B.向机构构的管理部部门报告风风险管理体体系的执行行绩效，以以便评审和和作为改进进的基础。2.3.22职责和权权限对从事风险险管理的执执行和验证证工作的人人员，特别别是对需要要独立行使使机构权力力开展下列列一项或多多项工作的的人员，应应规定其职职责、权限限和相互关关系，并形形成文件：(a)采取取措施，防防止或减小小

20、风险的不不利影响；(b)控制制对风险的的进一步处处理，直至至风险的程程度可以接接受；(c)确认认和记录与与风险管理理有关的问问题；(d)通过过规定的渠渠道，采取取、推荐或或提供解决决办法；(e)验证证解决办法法的实施效效果；(f)和在在内部或外外部适当地地进行信息息交流和咨咨询。2.3.33资源对管理、执执行工作和和验证活动动，包括内内部审核，机机构应确定定资源要求求并提供足足够的资源源，包括委委派经过培培训的人员员。2.4实施施计划在机构内实实施有效的的风险管理理体系需要要有多个步步骤。附录录B提供一一些例子。根根据机构的的整个风险险管理宗旨旨、文化和和结构，某某些步骤可可以合并或或省略。但

21、但所有步骤骤均应得到到考虑。2.5管理理部门评审审机构的负责责人应确保保按规定的的时间间隔隔对风险管管理体系进进行评审，确确保持续的的适宜性和和有效性，以以满足本标标准的要求求和机构订订下的风险险管理方针针和目标（见见2.2)。评审记记录应予以以保存。3风险管理理概观3.1总则则风险管理是是管理过程程整体的一一部分。风风险管理是是一个多方方面的过程程，其相关关方面往往往最好由一一个多学科科的小组来来实施。它它是一个不不断改进的的反复过程程。3.2主要要因素如图3.11所示，风风险管理过过程的要素素如下：3.2.11建立环境境建立在过程程的其余部部分将出现现的战略、组组织和风险险管理的环环境。应

22、建建立对风险险进行评价价的准则，并并规定分析析的结构。3.2.22鉴定风险险鉴定会出现现什么事，为为什么会出出现和如何何出现，作作为进一步步分析的基基础。3.2.33分析风险险确定现有的的控制，并并根据在这这些控制的的环境中的的后果和可可能性对风风险进行分分析。这种种分析应考考虑到潜在在后果的范范围和这些些后果发生生的可能性性有多大。可可将后果和和可能性结结合起来得得到一个估估计的风险险程度。3.2.44评价风险险将估计的风风险程度与与预先建立立的准则进进行比较。这这样可将风风险按等级级排列，以以便鉴定管管理的优先先次序。如如果所建立立的风险程程度很低，此此时的风险险可以列入入可接受的的范畴，

23、而而不需要作作处理。3.2.55处理风险险认可并监控控低优先次次序的风险险。对于其其他风险，则则发展并实实施一个特特定管理计计划，其中中包括考虑虑到提供资资金。3.2.66监控和评评审对风险管理理体系的运运行情况以以及可能影影响其运行行的那些变变化进行监监控和评审审。3.2.77信息交流流和咨询在风险管理理过程的每每个阶段以以及在整个个过程中，适适时与内部部和外部的的风险承担担者进行信信息交流和和咨询。风险管理可可应用于一一个机构的的多个层次次。它既可可用于战略略层次又可可用于运作作层次。它它可以用于于具体的项项目，以便便协助作出出具体的决决定，或对对特定认可可的风险领领域加以管管理。风险管理

24、是是有助于机机构改进的的一个反复复过程。风风险准则可可以随着每每次循环得得到提高，从从而使风险险管理逐步步达到更好好的水平。过程的每个个阶段应作作好充分的的记录，以以满足独立立审核的需需要。图3.1风风险管理综综述4风险管理理过程4.1建立立环境4.1.11总则风险管理的的详细过程程如图4.1所示。此此过程发生生在一个机机构的战略略、组织和和风险管理理环境的架架构内。风风险环境的的建立，是是为了规定定风险管理理所必需的的基本参数数范围，并并为在更仔仔细的风险险管理的研研究中作出出决定提供供指导。它它为风险管管理过程的的其余部分分设定了范范围。4.1.22建立战略略环境规定机构与与其所处环环境之

25、间的的关系，鉴鉴定机构的的实力、弱弱点、机会会和威胁。战战略环境包包括机构职职能中的财财务、经营营、竞争、政政治（公众众的感觉/形象）、社社会、客户户、文化和和法律等方方面。鉴定内部和和外部的风风险承担者者，考虑他他们的目标标、注意到到他们的感感觉、并建建立与这些些相关方进进行信息交交流的方针针。注：附录CC给出潜在在风险承担担者一览表表。这一步骤的的重点是机机构运作所所处的环境境。机构应应设法确定定可支持或或削弱其处处理所面临临风险的能能力的关键键的因素。可从事战略略分析。决决策层应支支持战略分分析，设定定基本的参参数，并为为更具体的的风险管理理过程提供供指导。在在一个机构构的任务或或战略目

26、标标、与对它它所受到的的种种风险险所进行的的管理之间间，应该存存在一个密密切的关系系。4.1.33建立组织织环境在开始进行行风险管理理研究前，有有必要了解解该机构和和它的能力力，它的目目的和目标标，以及为为达到这些些目的和目目标而采取取的策略。上述之所以以重要，是是由于以下下原因：A.风险管管理是在机机构的较广广泛的目的的、目标和和策略环境境中进行的的；B.未能达达到机构或或特定活动动的、或正正在考虑的的项目的目目标便是一一组应予处处理的风险险。机构的方针针和目的有有助于定义义出决定是是否接受一一种风险的的准则，并并有助于形形成对处理理作出选择择的基础。4.1.44建立风险险管理环境境应建立某

27、项项活动、或或正在应用用风险管理理过程的机机构某部分分的目的、目目标、策略略、范围和和参数。在在这一过程程中，应充充分考虑到到必须对成成本、收益益和机会作作出平衡。对对所需的资资源和必须须保存的记记录也应作作出规定。为应用风险险管理程序序而设定的的范围和界界限包括：A.规定项项目或活动动，并建立立它的目的的和目标；B.规定项项目在时间间和地域上上的伸展范范围；C.鉴定所所需要进行行的任何研研究，以及及它们的范范围、目的的和所要求求的资源。风风险的一般般来源以及及影响范围围可为此提提供指南。注：风险一一般来源及及其影响范范围范例，见见附录D。D.规定所所要进行的的风险管理理活动之程程度和涵盖盖性

28、；还可可以讨论的的具体问题题包括：a）机构中中参加处理理风险的各各部分的作作用和责任任；b）此项目目与其他项项目或与机机构各部分分之间的关关系。4.1.55制订风险险评价准则则决定对风险险进行评价价的准则。可可根据运作作、技术、财财务、法律律、社会、人人道的或其其他标准，对对有关风险险的可接受受性和风险险处理的作作出决定。这这些准则往往往取决于于机构的内内部方针、目目的、目标标和风险承承担者的利利益。准则是会受受到内部和和外部的理理解以及法法律要求的的影响。在在一开始就就确定适当当的准则是是很重要的的。虽然风险准准则的制订订最初是建建立风险管管理环境的的一部分，当当鉴定出特特殊的风险险和选择风

29、风险分析方方法时，可相继继地对风险险准则作进进一步的发发展和提高高，就是说说风险准则则必须符合合风险的类类型和风险险程度的表表达方式。4.1.66 规定结结构这涉及到将将活动或项项目分成一一组要素。这这些要素为为鉴定和分分析提供一一个逻辑架架构，有助助于确保重重大的风险险不会被忽忽略。所选选择的结构构取决于风风险的性质质和项目或或活动的范范围。4.2风险险鉴定4.2.11总则这一步骤是是要鉴定所所处理的风风险。由于于在此阶段段未鉴定出出的潜在风风险将被排排除在进一一步分析之之外，采用用一种结构构良好的系系统程序进进行广泛综综合的鉴定定是很关键键的。鉴定定应包括所所有的风险险，不管它它们是否在在

30、机构的控控制下。4.2.22可能发生生什么本条文的目目的在于制制定一个综综合性清单单，包含那那些会影响响4.1.6中提及及的每个结结构要素的的事件。然然后对这些些事件作更更详细的考考虑，以鉴鉴定可能会会发生什么么。注：附录DD提供有关关风险的一一般来源及及其影响范范围的资料料。4.2.33如何和为为什么会发发生鉴定出一系系列事件之之后，必须须判断可能能的原因和和可能的情情况。事件件开始的方方式有许多多种。重要要的是主因因不被忽略略。4.2.44工具和方方法鉴定风险的的途径包括括核对表、基基于经验和和记录的判判断、流程程图、集体体讨论、系系统分析、情情况分析和和系统工程程方法。所使用的方方法将取

31、决决于所评审审的活动的的性质和风风险的类型型。4.3风险险分析4.3.11 总则分析的目的的是将可以以接受的小小风险与大大风险分开开，并提供供数据以协协助风险评评价和风险险处理。风风险分析包包括判断风风险的来源源、它们的的后果以及及这些后果果发生的可可能性。并并鉴定对影影响后果和和可能性的的各种因素素。将在现现有控制措措施的环境境中估计出出来的后果果和可能性性结合起来来，对风险险加以分析析。可进行初步步分析，将将类似的或或影响低的的风险排除除在详细研研究之外。应应尽可能将将被排除的的风险列出出，以示风风险分析的的完整性。4.3.22确定现有有的控制对现有的管管理、技术术体系和风风险控制程程序进

32、行鉴鉴定，并评评估它们的的优缺点。44.2.44中所使用用的工具以以及诸如检检查和控制制、自我评估估法（“CSA” ）等方方法可能是是合适的。4.3.33后果和可可能性如果一个事事件发生，其其后果的大大小程度和和事件的可可能性及其其相关的后后果，在现现有的控制制环境中进进行评估。后后果和可能能性结合在在一起产生生风险的程程度。后果果和可能性性可采用统统计分析和和计算来确确定。在没没有历史数数据的情况况下，也可可进行主观观估计，这这些估计反反映个人或或一批人相相信一特定定事件或结结果会发生生的程度。为避免主观观偏误，在在对后果和和可能性进进行分析时时，应利用用可行的最最好信息源源和方法。信信息源

33、可包包括：a. 历史记录；b. 相关的经验验；c. 行业实践和和经验；d. 已出版的相相关文献；e. 试销和市场场调查；f. 试验和模拟拟；g. 经济、工程程或其他模模型；h. 专家和内行行的判断。方法包括：a）. 向相关领域域的专家进进行有计划划的咨询；b）. 使用多学科科专家组；c）. 采用问卷进进行单独评评价；d）. 采用计算机机和其他模模拟；以及及(V) 采用失效效树和事件件树图示法法。可能的情况况下，应包包括对风险险程度估计计的置信度度。4.3.44分析的类类型可以根据可可行的风险险信息和数数据，对风风险分析予予以不同的的程度的改改进。视情情况而定，风风险分析可可以是定性性分析、半半

34、定量分析析或定量分分析，或者者是这些分分析的组合合。按递升升次序将这这些分析的的复杂性和和成本加以以排列，而而成为定性性、半定量量的定量。实实际上，定定性分析往往往首先被被采用，以以得到风险险程度的总总的指示。此此后，可能能需要进行行更具体的的定量分析析。各种类型分分析的详情情如下：A.定性分分析定性分析采采用文字形形式或叙述述性的数值值范围来描描述潜在后后果的大小小程度以及及这些后果果发生的可可能性。这这些数值范范围可修改改或调整以以适应各种种情况，且且不同的描描述可用于于不同的风风险。注：附录EE中的表EE1和E22展示出简简单的、可可能性和后后果的定性性或叙述性性数值范围围的例子。表表E

35、3是将将风险的可可能性和后后果结合起起来，为风风险指定出出优先等级级的矩阵的的例子。这这些表需要要修改，以以满足个别别机构或风风险评估的的特定对象象的需要。定性分析用用于：a）. 初始的筛选选活动，以以鉴定出需需要更详细细分析的风风险；b）. 风险的程度度不能证明明要进行更更充分的分分析所需的的吋间和努努力是合算算的场合；或c）. 数据不足以以进行定量量分析的场场合。B.半定量量分析在半定量分分析中，上上述的那些些定性数值值范围均为为已知值。每每项说明所所指定的数数字并不一一定与后果果或可能性性的实际大大小程度具具有精确的的关系。假假如用来进进行优先化化的系统与与选择用来来对数字赋赋值和组合合

36、的系统是是相匹配的的，则可将将这些数字字采用一系系列公式中中的任何一一个公式加加以组合。目目的是为了了得到比通通常在定性性分析中所所得到的更更为详细的的优先化，但但并非要提提出任何在在定量分析析中所试图图得到的风风险的实际际值。使用半定量量分析时必必须小心，因因为所选择择的数字未未必能正确确地反映会会导致不一一致结果的的相关性。半半定量分析析可能不能能恰当地区区分各种风风险，尤其其是当结果果或可能性性处于极端端状态时。有时，将可可能性考虑虑成是由两两个要素组组成的较为为恰当，通通常称为暴暴露频率和和概率。暴露频率是是风险来源源存在的程程度，而概率是是随着该风风险源的存存在而产生生的后果的的机会

37、。在在这两个要要素之间的的关系并非非完全独立立的情况下下，即暴露露频率与概概率之间的的关系密切切时，就必必须谨慎。这一方法可可适用于半半定量和定定量分析。C.定量分分析定量分析在在后果和可可能性分析析中采用数数值（而不不是定性分分析和半定定量分析中中所使用的的叙述性数数值范围），并并采用从各各种各样的的来源（如如4.3.3(a)至(h)中提及的的来源）得得到的数据据。分析的的的质量取取决于所用用数值的精精确度和完完整性。可通过模拟拟一个事件件或一组事事件的结果果，或对实实验性的研研究或历史史数据使用用插补法来来估计后果果。后果可可以用金钱钱、技术或或人道的准准则，或44.1.55中提及的的其他

38、准则则来表示。在在一些情况况下，需要要一个以上上的数值来来规定不同同时间、地地点、团体体或情况的的后果。可能性通常常以概率、频频率、或暴暴露频率和和概率的组组合来表示示。可能性和后后果的表示示方法以及及它们组合合起来规定定风险程度度的方法，将将会根据风风险的类型型和风险程程度的使用用环境而有有所不同。注：附录FF中给出风风险定量表表示的一些些例子。4.3.55 灵敏度度分析由于定量分分析中的某某些估计并并不精确，应应进行灵敏敏度分析以以测试由假假设和数据据的变化所所产生的影影响。4.4风险险评价风险评价涉涉及将分析析过程中发发现的风险险程度与先先前建立的的风险准则则进行比较较。风险分析和和在风

39、险评评价中用来来与风险作作比较的准准则，应在在同一基础础上进行考考虑。这样样，定性评评价涉及将将风险定性性的程度与与定性准则则作比较，而而定量评价价涉及将风风险的数值值程度与一一些可以表表示为具体体数字的准准则(诸如如死亡率、频频率或币值值等)进行行比较。风险评价的的输出是一一份提供进进一步措施施用的优先先化的风险险清单。应考虑到机机构的目标标以及冒此此风险所带带来的机会会之程度。决定必须顾顾及到较广广泛的风险险环境，包包括考虑得得益的机构构以外各相相关方对风风险的忍受受能力。如果产生的的风险属于于低的或可可接受的风风险范畴，该该类风险经经最低限度度的进一步步处理就可可被接受。应应监控低的的和

40、已接受受的风险，并并定期评审审，以确保保它们仍可可接受。如果风险并并不属于低低的或可接接受的风险险范畴，应应采用4.5中所考考虑的一种种或几种选选择进行处处理。4.5风险险处理风险处理包包括鉴定处处理风险各各种选择的的范围、对对这些选择择进行评估估、制订风风险处理计计划并加以以实施。4.5.11 鉴定风风险处理的的各种选择择图4.2示示出风险处处理的过程程。不一定定相互排斥斥或适合各各种情况的的选择有下下述几种：A.决定不不继续进行行可能产生生风险的活活动来避免免风险（在在可行的情情况下）。回避风险可可能是不适适当地由于于一种厌恶恶风险的态态度，这是是许多人的的一种倾向向（往往受受机构内部部制

41、度的影影响）。不不适当地回回避风险可可能会增加加其他风险险的影响性性。厌恶风险会会导致：a）. 不注意可行行的信息和和处理该类类风险所招招致的费用用就决定回回避或忽视视风险。b）. 未能处理风风险；c）. 听任其他方方作出决定定性的选择择和/或决决定；d）. 推迟作出机机构不可避避免的决定定；或e）. 不顾得益就就因潜在风风险较低而而作出选择择。B.降低发发生的可能能性注：见附录录G中所示示的例子。C.减小后后果注：见附录录G中所示示的例子。D.风险转转移这涉及承担担或分担部部分风险的的另一方。方方法包括使使用合同、保保险安排以以及诸如合合伙和合资资等组织结结构。将一个风险险转移到其其他方，或

42、或物质转移移到其他地地方将会降降低原机构构的风险，但并不减小对社会的风险的总程度。在风险全部部或部分转转移的情况况下，转移移风险的机机构又制造造出一个新新的、被转转移风险的的机构未必必能有效地地管理的风风险。E.保留风风险在风险降低低或转移后后，可能有有剩馀的风风险保留着着。如果出出现这样的的风险，应应安排计划划处理这些些风险的后后果，包括括鉴定出为为风险提供供资金的手手段。风险险也可能因因不履行责责任而保留留，即未能能鉴定和/或适当地地转移或处处理风险。减低后果和和可能性可可以称作风风险控制。风风险控制包包括按照现现有控制的的效果来确确定新控制制的相对得得益。控制制可包括效效果方针、程程序或

43、实物物性改变。4.5.22 评估风风险处理选选择应根据风险险减小的程程度和任何何额外利益益或机会的的程度，并并考虑4.1.5中中订立的准准则，来对对各种选择择进行评估估。可以个个别地或联联合地考虑虑和应用多多种选择。选用最适合合的选择涉涉及权衡实实施每种选选择的成本本与其得到到的利益。通通常，处理理风险的成成本需要与与所得到的的利益相称称。如果以相对对较低的花花费可大大大减小风险险的程度，则则应实施这这样的选择择。其它减减小风险的的选择可能能是不经济济的，需要要判断它们们是否合算算。这在图图4.3中中示出。决定应包括括需要仔细细考虑那些些罕见却很很严重的风风险，这些些风险会保保证风险减减小的程

44、度度，但按严严格的经济济理由却是是不合算的的。通常，不管管任何绝对对的准则，应应使风险的的不利影响响尽可能地地低。图4.3 降低风险险措施的成成本在许多情况况下，任何何一种风险险处理选择择不太可能能完全解决决某一具体体问题。往往往一个机机构大大得得益于联合合各种选择择，例如降降低风险的的可能性、减减小它们的的后果以及及转移或保保留任何剩剩余风险等等。有效利利用合同和和由风险减减小计划支支助的风险险资金就是是一个例子子。实施各种风风险处理的的累计成本本超过可用用预算时，计划应应明确地标标明应实施施的每种风风险处理的的优先次序序。可采用用各种方法法来建立优优先次序，包包括风险评评级和成本本-效益分

45、分析。在可可用预算的的范围内不不能实施的的风险处理理，就必须须等待进一一步的资金金来源，或或当不管什什么原因任任何或所有有剩余的处处理被认为为是重要的的，则必须须找理由确确保得到额额外资金。各种风险处处理选择应应考虑到受受影响的相相关方对风风险是如何何认识的，以以及与这些些相关方进进行信息交交流的最适适当方法。4.5.33 制订处处理计划计划应形成成文件，说说明所选定定的方案是是如何实施施的。处理计划应应要定出责责任、进度度、处理的的预期结果果、预算、执执行程度和和所设定的的评审程序序。注：详见附附录H的HH5部分。计划还应包包括一个机机制，以根根据性能标标准、个人人责任和其其他目标，评评估对

46、选择择的实施情情况，和监监控实施过过程中的重重要阶段。4.5.44 实施处处理计划理想的做法法是由最能能控制风险险的那些人人来负责对对风险的处处理。在各各相关方之之间应尽可可能早地就就责任达成成一致。成功地实施施风险处理理计划要求求具备一个个有效管理理体系，去去规定所选选的方法、指指定各项措措施的职责责和个人责责任，以及及按规定准准则进行监监控的。如在处理后后有剩余风风险存在，应应决定是否否保留这一一风险或是是重复该风风险处理过过程。4.6监控控和评审有必要对风风险、风险险处理计划划的效果、策策略以及为为控制实施施情况而建建立的管理理体系进行行监控。需需要监控风风险和控制制措施的效效果，以确确

47、保变化着着的环境不不会改变风风险的优先先次序。静静止不变的的风险是极极少的。继续的评审审是必要的的，以确保保管理计划划保持贴切切。正如影影响各种处处理选择的的适宜性或或成本的因因素一样，能能够影响一一个结果的的可能性和和后果的因因素可以改改变。因此此有必要定定期反复进进行风险管管理的循环环。评审是是风险处理理计划整体体的一部分分。4.7信息息交流和咨咨询信息交流和和咨询是风风险管理过过程中每一一步均需要要考虑的重重要内容。在过程的最初阶段就为内部和外部的(风险)承担者制订一个信息交流的计划是很重要的。这一计划应提出与风险本身和处理风险的过程有关的问题。信息交流和和咨询涉及及(风险)承担者之之间的双向向对话，重重点在于咨咨询而不是是决策者对对其他(风风险)承担担者的单向向信息流动动。有效的内部部和外部信信息交流是是很重要的的，它确保保负责实施施风险管理理和具有既既得利益的的