6.1-质量管理体系要求-“6.1应对风险和机遇的措施”条文理解与实施指导材料（雷泽佳编制-2023）

质量管理体系标准条文理解与实施指导材料系列质量管理体系标准条文理解与实施指导材料系列——“6.1应对风险和机遇的措施”条文理解与实施指导材料GB/T19001-2016IDTGB/T19001-2016IDTISO9001：2015雷泽佳编制微信Le量管理体系标准条文理解与实施指导材料系列“6.1应对风险和机遇的措施”条文理解与实施指导材料【标准原文】6.1应对风险和机遇的措施6.1.1在策划质量管理体系时，组织应考虑到4.1所提及的因素和4.2所提及的要求，并确定需要应对的风险和机遇，以：a）确保质量管理体系能够实现其预期结果；b）增强有利影响；c）预防或减少不利影响；d）实现改进。6.1.2组织应策划：a）应对这些风险和机遇的措施；b）如何：1）在质量管理体系过程中整合并实施这些措施（见4.4）；2）评价这些措施的有效性。应对措施应与风险和机遇对产品和服务符合性的潜在影响相适应。注1：应对风险可选择规避风险，为寻求机遇承担风险，消除风险源，改变风险的可能性或后果，分担风险，或通过信息充分的决策而保留风险。注2：机遇可能导致采用新实践、推出新产品、开辟新市场、赢得新顾客、建立合作伙伴关系、利用新技术和其他可行之处，以应对组织或其顾客的需求。“6.1应对风险和机遇的措施”条文理解思维导图对“风险”的理解风险是“不确定性对目标（实现）的影响”。不确定性：指（对事件及其后果或可能性）信息缺失或了解片面的状态。不确定性是一种对某个事件及其后果或可能性缺少信息或了解片面的情形，不能事先知道未来某个事件的确切可能性或影响；不确定性是指缺乏对问题、事件、要遵循的路径或要追求的解决方案的理解和认识。它涉及替代行动、反应和成果的概率，其中包括未知的未知和黑天鹅事件，它们是完全超出了现有的知识或经验的新兴因素；目标：要实现的结果目标可以是战略性的、战术性的或操作（运行）层面的；目标可以涉及不同的领域、维度和类型（如：财务的、职业健康与安全的和环境的目标）；目标可应用于不同的层次（如：战略的、组织整体的、项目的、产品/服务和过程的)；可以采用其他的方式表述目标，例如：采用预期的结果、活动的目的或运行准则作为管理体系目标，或使用其它有类似含意的词(如：目的、终点或标的)。影响：影响是指偏离预期，偏离可以是正面的和/或负面的，可能带来机会和威胁。影响是一个事件的结果或后果；影响可能是正面（积极、有利）的或负面（消极、不利）的影响，或两者兼有。风险的正面影响可能提供机遇，积极风险称为机会。负面的影响则可能带来威胁，消极风险称为威胁。组织应最大限度地预防、规避或降低威胁，并最大限度地利用或增强出现的机遇。风险描述通常风险可以用风险源、潜在事件及其后果和事件发生可能性的组合来描述；通常用潜在事件和后果或者两者的组合来区分风险。质量管理体系策划策划质量管理体系主要考虑关键因素组织需要策划并建立适合其所提供的产品和服务的类型的质量管理体系。质量管理体系策划应是战略层面上的策划,最高管理者基于所考虑的结果用以确定组织的目的和未来3∽5年的战略方向,并在此基础上制定质量方针和质量管理体系范围进而策划；在策划质量管理体系（包括实现质量管理体系预期输出所需的过程）时,策划的目的是预测未来的情景和结果,以预防出现非预期的影响；策划质量管理体系时，组织应考虑到4.1所提及组织环境中影响其能力的因素和4.2所提及有关相关方的要求（需求和期望）。质量管理体系策划过程确定需要应对的风险和机遇的目的确保质量管理体系能实现其预期结果：——降低不确定性并增加确定性，支持组织预期结果（目标）的实现。任何类型和规模的组织都面临各种内、外部因素和影响，导致其预期结果（目标）的实现存在不确定性。有效管理风险保障经营管理的有效性，提高各项活动的效率和效果，降低实现预期结果（目标）的不确定性，为组织策划和活动带来更大确定性，将风险控制在与总体目标相适应并可承受的范围内，从而支持组预期结果（目标）的实现；——基于风险的思维是实现质量管理体系有效性的基础。增强有利的影响并创造新的可能;某些有利于实现预期结果的情况可能导致机遇的出现，例如：有利于组织吸引顾客、开发新产品和服务、减少浪费或提高生产率的一系列情形。利用机遇所采取的措施也可能包括考虑相关风险。风险是不确定性的影响，不确定性可能有正面的影响，也可能有负面的影响。风险的正面影响可能提供机遇，但并非所有的正面影响均可提供机遇。预防或减少不利影响(通过降低风险或采取预防措施);风险管理能够预测风险并提前做好准备，注重防范和控制风险可能给组织造成损失和危害，减少意外情况和损失的可能性以及不利（消极）影响，从而降低成本。实施改进,以确保产品和服务符合并且增强顾客满意。风险管理考虑将有助于实现有效和高效的战略、战术、运营和合规，以确保在减少结果波动的情况下取得最佳结果。绩效包括产品和服务质量、安全和健康、环境保护、合规经营、信用程度、社会认可、财务绩效、运营效率和组织治理等方面，保障经营管理的有效性，提高经营活动的效率和效果等风险管理通用过程风险管理过程通用流程基于PDCA的风险管理过程循环PDCA循环风险管理过程策划沟通与协商确定范围、环境和准则(风险初始信息收集)界定范围记录与报告明确内外部环境确定风险准则风险评估风险识别风险分析风险评价风险应对选择风险应对方案编制风险应对计划/应对措施实施实施风险应对计划/应对措施检查持续的风险监视和评审处置风险管理过程保持与改进风险的识别、分析与评价风险识别风险识别的定义采用适当的工具、技术和方法发现、确认和描述风险的过程。注：风险识别包括对风险源、影响范围、风险事件、风险原因和潜在后果（包括所有重要的原因和后果）、现有控制措施及其实施效果等的识别。识别风险不仅要考虑有关事件可能带来的威胁，也要考虑其中蕴含的机遇。风险识别的目的风险识别的目的是发现、认知和描述可能有助于或者妨碍组织实现目标的风险，回答“会发生什么？如何、为何、何处、何时发生？”。风险识别是要查找组织各业务单元、各项重要活动及流程中有无风险，有哪些风险，然后再进行认知和描述，形成全面风险清单。风险识别是确定何种风险可能会对单位产生影响，是进行风险管理的前提，只有提前识别了风险的存在，才能更加合理有效的规避风险。风险识别的基本要求全面识别：不管引起风险的因素是否在组织控制之下，或其原因是否已知，都应对风险进行识别；风险识别既要考虑有关事件可能带来的损失，也要考虑其中蕴含的机会；全面参与：识别风险需要所有相关且具有适当专业知识的人员的参与。风险识别效率的关键在于参与人员的经验、知识水平、对活动过程的了解程度、风险源的特性和信息的全面性；获得最佳可用信息：掌握并采用相关的、适当的和最新的信息（包括适用的内外部环境信息、合规义务的变化情况、近期发生的风险事件案例及相关方信息等）对于识别风险非常重要；风险识别的信息输入要基于历史信息、当前信息以及未来预期；信息应及时或最新的、真实可靠的、完整的、准确的、相关的、清晰且可理解的；信息应是：是可验证的和可靠的；与环境相关；包括所有有关的相关方；考虑内部和外部来源考虑现有控制措施；考虑过去、现在和未来三种时态；考虑所有风险源；考虑所有风险驱动因素。应考虑以下因素及其相互关系：（有形和无形的）风险源；风险事件、风险类型和原因（潜在的风险因素、风险产生条件）；（组织外部）威胁和机遇及（组织内部）弱势和优势（能力）；内外部环境及其变化；新兴风险的指标；资产和资源的性质和价值；可能引起的后果及其对目标的影响：应考虑到风险可能会有多种结果，这些结果也可能导致各种有形或无形后果；知识的局限性和信息的可靠性；与时间（临近度、频率程度）有关的因素；参与者的偏见、假设和看法。构建风险识别框架根据自身需要，可选择下列不同的角度或不同角度的组合，构建风险识别框架：确定风险控制目标，根据对控制目标的影响来描述风险概述；确定风险点：策划和准备风险点清单；确定重大风险类别清单；重大事件类别清单；重要（关键）业务类别清单；建立重大决策事项清单（决策事项、决策部门与人员、决策时机、决策方式等）；定义业务流程，建立重要（关键）业务或活动流程清单；重大项目清单；区域、场所与设施设备清单；关键岗位人员清单等。确定风险识别方法：根据自身需求，可选择以下不同角度或不同角度的组合，构建风险识别框架：根据业务控制目标识别：对业务控制目标进行分析，发现可能影响各类目标实现的风险因素；根据内外部环境因素（风险管理初始信息）识别（包括SWOT分析）；通过工作流程分析识别（绘制工作流程图、流程表/清单）；根据法律法规和其他要求（合规义务）识别；根据组织内外部以往发生的相关事件（如案例、个人或组织的经验教训、保险索赔报告、事后报告）及其原因识别；根据相关方识别及其需求和期望（包括满意度和投诉)调查；根据内外部监督检查、现场观察、审核、问卷调查等结果识别；根据外界关注热点(舆情调查)识别；根据实际或拟定变更识别；根据潜在的紧急或突发情况或风险事件识别；发放风险评估调查问卷识别；利用历史经验教训、以往发生的案例识别；获取和利用专家意见识别等。选择风险识别工具、技术和方法组织可使用一系列技术来识别可能影响一个或多个目标的不确定性，组织所采用的风险识别工具和技术应当适合于其目标、资源、能力及其所处环境。工具、技术和方法包括问卷调查、检查表（单）、结构化访谈、查阅历史记录、案例分析、头脑风暴、集体讨论（研讨会）、讨论论坛（如焦点小组）、专家咨询或判断、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。表6.4.2-1风险识别关键要素的问题清单每个风险的来源是什么？发生什么事件将会：——促成、增强、加速或阻碍、降低、延缓实现目标的有效性？——使目标实现更加高效或更加低效？——促使相关方采取影响目标实现的行动？——产生额外的收益？对目标的影响有哪些？（正面或负面的）风险于何时、何地、为何以及如何发生？谁会涉及或受到影响？现有应对风险的措施（最大化正面风险或最小化负面风险）有哪些？哪些方面会导致现有控制措施未对风险产生预期的影响？进行风险描述风险描述是对风险所做的结构化的表述，通常包括四个要素：风险源、风险事件、风险原因（风险因素）、风险后果（对目标的影响程度，包括损失或收益）。指查找组织各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。通过风险识别，对风险进行归类和结构化表述，生成一个全面的初始风险清单（风险目录、风险登记册），清单中应列出已经识别的和潜在的各种风险，全面、系统和准确地描述组织的风险状况。COSO建议用以下句子结构来准确阐述风险：[事件或情况可能发生或不发生或存在]，这导致[与特定目标有关的后果]。[描述可能发生的事件或情况]的可能性以及对[描述组织设定的具体目标]的相关影响。与[描述可能发生的事件或情况]有关的[描述组织设定的类别]风险和[描述相关影响]。应用“在……业务领域（管理环节、业务活动）[风险点]，由于（因为）……[风险原因、成因、诱因]，导致（造成）……[风险后果][未实现目标的反向描述]”的描述方式。当出现……情况时【风险诱因】，导致……损失【风险后果】当出现……情况时【风险诱因】，在……业务环节【业务活动】，由于……管理措施执行不到位【控制措施】，导致……损失【风险后果】，影响组织……目标的实现【业务目标】风险分类维度要素常见分类方式对应常见风险表述方式组织目标促进企实现发展战略（战略目标）合理保证企业经济活动合法合规（合规目标）

资产安全及完整和有效使用

财务报告及相关信息真实完整（报告目标）有效防止舞弊和预防腐败

提高企业经营效率和效果（运营目标）

战略风险、市场风险、运营风险、财务（报告）风险、法律风险（合规风险）业务（运行/产品和服务实现）活动按业务领域进行分类，如：销售、采购、设计、生产等销售风险、采购风险、设计风险、生产风险风险诱因按照内外部环境及其变化进行分类，如：外部环境（社会、文化、政治、法律、监管、金融、技术、经济、自然环境等）按内部环境（战略、治理方式、组织结构、组织文化、资源[（即资本、人力、知识产权、程序、信息系统和技术等)外部风险（政治风险、社会风险、文化风险、法律风险、监管风险、金融风险、信用风险、技术风险、经济风险、市场风险、自然环境风险等）内外部环境（战略风险、治理风险、组织结构风险、组织文化风险、资源[（即资本风险、人力风险、知识产权风险、操作风险、运营风险、信息系统风险和技术风险等）控制措施按照重要流程关键控制措施分类，如：审核、审批、盘点、预算、核对等“审核不严格风险”“对账不准确风险”等风险后果按照损失类型进行分类，如：资金、声誉、员工健康等资金损失风险、声誉损失风险、市场份额损失风险、人才流失风险等风险识别框架清单业务控制目标；（有形和无形的）风险源（即风险的来源）：可能单独或共同引发风险的内在要素，其本身不是风险，而是潜在的风险触发点；可能发生的风险事件（风险事项）：事件指一个或多个情形的发生或变化，并且可以由多个原因导致；没有造成后果的事件还可称为“未遂事件”、“事故征候"、"临近伤害"、"幸免”等。组织应关注已经发生的风险事件，特别是新近发生的风险事件；风险因素及展开的风险表现、风险原因（成因）或致险情景/因素。风险因素指促使各类事件发生、或增加其发生的可能性、或扩大其损失程度、或增大其不良社会影响的潜在原因、条件或因素；根据风险因素的性质，可将其分为有形风险因素和无形风险因素。有形风险因素指直接影响事物物理功能的物理性风险因素，无形风险因素指非物质性的、影响目标实现的人文因素；根据风险因素的来源，可将其分为外部因素和内部因素。风险类别（分类、类型）：对识别出来的风险进行分组或分类；潜在后果及其对目标的影响（风险结果、后果形态）：考虑到风险可能会有多种结果，这些结果也可能导致各种有形或无形后果。考虑到内外部环境的不断变化，有必要对风险清单及时或定期进行更新和持续升级。风险分析风险分析的定义理解风险性质（属性）、确定风险水平的过程。按照性质分类，风险可以分为纯粹风险与投机风险。纯粹风险是指只有损失机会而无获利可能的风险，投机风险是指既有损失可能又有获利机会的风险。风险分析是根据风险类型、获得的有关信息和风险估计结果，对识别出的风险进行定性和定量的分析，对风险事件发生的可能性（概率）、可能出现的后果及后果严重性、可能发生的时间和影响范围等进行估计和预测，并进行风险排序。风险分析是风险评价和风险应对决策的基础，为风险评价和风险应对提供支持。风险分析包括风险估计，风险估计的对象是项目的单个风险。风险水平（风险值）：结合事件发生可能性及其后果严重性（风险影响程度或风险发生后的损失）组合表示的风险量值，风险值等于发生特定事件的可能性与后果严重性的乘积，可在固有风险或剩余风险层面确定风险水平。风险分析的目的风险分析是根据风险类型、可获得的信息和资源以及风险估计结果的使用目的，考虑导致风险事件发生的原因、风险事件发生的可能性及其后果、影响后果和可能性的因素、不同风险及其风险源的相互关系，还要考虑现有管制措施及其效果和效率以及风险的其他特性，对识别出的风险进行定性和定量的分析。风险分析的目的是理解风险性质及其特征，包括理解对目标的后果及其可能性、原因和现有控制措施，适当时还包括风险水平。这种理解可以用于：确定有效的应对方案；将风险与准则进行比较（见“4.4确定风险准则”）；作为对可能涉及多种风险的决策的输入；提供信息，供不同的相关方在评价其环境中的风险时使用。风险分析是风险评价和风险应对决策的基础，为后续风险评价和风险应对提供支持，为风险评价以及决定是否需要及如何应对风险并采取最合适的风险应对策略和方法提供输入信息。当需要做出选择且选择涉及不同类别和等级风险时，风险分析结果可为决策提供依据。风险分析的实施在风险分析过程中，需要对识别出的风险源和风险原因、事件发生的可能性及其后果、影响后果和可能性的因素、事件、情境、现有控制措施及其实施有效性及它们的相互影响等进行定性或定量分析，为风险评价和风险应对提供支持；开展风险分析的详略和复杂程度可有所不同，具体取决于分析目的、信息的可获得性和可靠性以及可用的资源；风险分析应考虑以下因素：导致风险的原因和风险源；事件的可能性或风险概率（在一定时期内发生与风险有关的活动的频率和数量）；后果的类型和后果的严重程度（包括风险事件可能带来损失的大小）；后果（其正面和负面的后果）的性质及重大程度及重大程度：一个事件可能有多种原因和后果，可能影响多个目标；对后果的描述可表达为有形或无形的影响；是否会引发次生风险、衍生风险等；与时间（临近度、频率程度）有关的因素及波动性；风险预测的可信度、预测前提以及假设的敏感性和置信水平；复杂性和关联性（不同风险及其风险源的相互关系以及风险的其他特性）：对风险之间的关系进行分析，以发现风险之间的自然对冲、风险事件发生的正负相关性等组合效应；现有控制措施及其现有控制措施实施的有效性(现有风险防控措施差距分析)，可能包括以下检查或测试：控制措施是否设计良好：通过对设计准则的评审来确定；控制措施是否已经存在并运行；控制措施是否按预期执行：对其进行测试并运行中加以观察；控制是否可靠：它被评价为潜在的偏差、失效或忽视；控制是否有效：在需要时将按预期发挥作用；控制是高效的：是相关、适宜并与当前的目标和情况相一致。可能存在的专家意见的分歧；风险分析过程中可能存在的数据和分析模型的局限性等。风险分析方法选择根据风险分析的目的和可用信息，分析技术可以是定性的、定量的或者其组合，视具体情况和预期用途而定，包括听取专家意见、经验推导和统计建模等。一般情况下，首先会采取定性风险分析，初步了解风险等级并确定主要风险。在条件允许时，应进行更具体的定量风险分析。极其不确定的事件可能难以量化。这在分析具有严重后果的事件时可能是一个问题。在此情况下，组合使用多种分析技巧通常能提供更多的洞见；后果和可能性可通过专家意见进行确定，或通过对事件或事件组合的结果建模进行确定，也可通过对实验研究或获得数据的推导进行确定；风险分析受观点分歧、偏见、风险感知及判断的影响。其他影响包括所使用信息的质量、所做的假设和排除情形、所使用技术的局限性以及开展分析的方式。这些影响均应考虑、记录，并与决策者沟通。风险矩阵（后果/可能性矩阵/风险热图）风险矩阵（后果/可能性矩阵/风险热图）：指按照风险发生的可能性和风险发生后果的严重程度，将风险绘制在矩阵图中，展示风险及其重要性等级的风险管理工具方法。风险矩阵坐标是以风险后果严重程度为横坐标、以风险发生可能性为纵坐标的矩阵坐标图，它说明了不同风险的相对结果可能性和风险水平以及每个风险的重要性评级。风险矩阵的基本原理根据组织风险偏好，判断并度量风险发生可能性和后果严重程度，计算风险值，以此作为主要依据在矩阵中描绘出风险重要性等级。风险矩阵中风险发生可能性的纵坐标等级可定性描述为“极不可能”、“偶尔可能”、

“不可能”、“少有”、“偶发”、“频繁”等（也可采用1、2、3、4、5等N个半定量分值），风险估计：风险发生的可能性及后果严重性分析是对识别出来的风险进一步分析，确定每个风险事件发生的可能性，判定后果严重性和关键过程对预期目标偏离的程度；风险发生可能性（概率或频率）分析。可能性分析可单独或组合使用下列方法：利用相关历史数据来识别那些过去发生的事件或情况，借此推断出它们在未来发生的可能性；利用故障树和事件树等技术来预测可能性。当历史数据无法获取或不够充分时，有必要通过分析系统、活动、设备或组织及其相关的失效或成功状况来推断事件发生的可能性；系统化和结构化地利用专家观点来估计可能性。风险事件产生后果类型示例获得专家判断的正式方法众多，现有常用方法包括德尔菲法和层次分析法等。后果类型及后果严重性（风险影响或损失程度）分析：事件产生后果类型充分考虑风险点的相关风险类型和程度；通过对事件或事件组合的结果建模确定，或通过实验研究推导确定；通过对行业内同类型事件的分析确定；考虑现有的后果控制措施，并关注可能影响后果的相关因素；控制能力分析：事件产生后果严重程度取决于对风险的事前和事后控制能力。风险排序（排列风险优先顺序）：风险排序是对风险事件发生的可能性高低及后果严重性大小的综合量化结果进行排序，以明确风险对相关方的影响程度，找出关键和重要的风险。除考虑综合影响外，对于发生的可能性大或后果影响严重的风险应对予特别的关注；风险排序图。典型风险分析的输出结果：风险名称、风险源、可能发生的风险事件（风险事项）、风险原因（成因）、风险潜在后果、现有控制措施及其现有控制措施实施的有效性、风险后果大小、可能性大小、风险水平等；表6.4.2-3风险评估-风险分析结果清单风险类别（各类风险）风险分析与评价风险大类风险子类风险发生可能性风险后果严重程度风险评估指数风险评价风险评价的定义对比风险分析结果和风险准则，以确定风险和/或其大小是否可以接受或容忍的过程。风险评价是将风险分析结果（风险水平）和既定风险准则进行比较，或者在各种风险分析结果之间进行比较，对各种风险进行综合排序，结合组织的风险偏好或风险态度，确定风险和/或其大小是否可以接受或容忍(确定风险等级)的过程。风险评价有助于风险应对决策，为风险决策及制定风险应对计划提供依据。风险评价是对组织的单项风险和组织的整体风险进行等级划分。风险评价的目的风险评价需要将风险分析结果和既定风险准则相比较，以确定是否需要采取进一步行动。风险评价的目的是支持应对风险应对决策。风险评价的实施将风险分析结果和既定风险准则进行比较，或者在各种风险分析结果之间进行比较。对比风险分析结果和风险准则（包括风险后果严重程度和发生可能性），并综合考虑所处的外部环境、组织内部的财务和业务情况，以及组织风险管理目标、风险偏好、风险容忍度、风险管理能力等以确定风险等级的过程。风险分级（风险等级评定）；风险等级是组织制定风险防控计划、分配风险防控资源的基本依据；依据风险分析结果，对照风险判定准则，确定每一种风险类别、每一个风险源的风险等级；将风险分析过程中得出的风险水平与既定的风险分级标准进行比较，进行风险排序，确定风险等级。从高到低依次划分为重大风险（严重的风险）、较大风险（要关注的风险）、一般风险（可接受的风险）和低风险（可忽视的风险）4个风险等级，分别用红、橙、黄、蓝4种颜色进行标识；当数据不足时，根据风险分析过程中推断出的风险导致事故发生的可能性及后果严重性，可采用风险矩阵法等方法，确定风险等级；在单元安全风险分级的基础上，还应对组织的整体风险进行综合评估。按照短板原理，选择单元风险的最高等级确定该组织的风险等级，也可采用综合加权的方法确定该组织的风险等级。风险组合分析与评价；在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略；将识别出来的风险进行分类，并对每一类风险发生的可能性、损失度、频次等进行统计，并计算其风险期望值，从而可在整体上看到组织风险组合的具体情况，为组织制定风险防控计划提供依据；将单项风险按风险形成逻辑有机综合，科学描述组织整体风险等级，避免简单机械叠加计算组织整体风险。风险分布分析与评价。组织应对识别出的风险所对应的具体部门、具体岗位以及具体管理或业务流程及其环节进行统计分析，理清各类风险在组织中的分布情况，为制定组织风险整体防控计划提供依据。风险接受准则已排序的风险按照风险接受准则确定其可接受或不可接受；表6.4.2-4风险接受准则风险值（风险指数/风险水平）风险等级颜色接受准则处置原则控制方案1~4Ⅳ低风险（忽略的风险）蓝可忽略风险较小，剩余风险水平是可忽略的，属于广泛可接受的风险。不需采取附加的防控措施，但有必要保持警惕和监视与评审以确保风险维持在这一水平。5~10Ⅲ一般风险（中风险）黄可接受一般风险，满足以下条件之一时，风险才是可允许的：在当前的技术条件下，进一步降低风险不可行；降低风险所需的成本远远大于降低风险所获得的收益。应实施风险管理降低风险需加强防范、监视与评审，并采取有效措施处理。12~16Ⅱ较大风险（高风险）橙不愿接受风险较大，该风险是不期望的。应实施风险管理降低风险，且风险降低的所需成本不应高于风险发生后的损失。应立即重点应对，实施风险防范与监视，制定风险处置措施20~25Ⅰ重大风险（极高或严重高风险）红不可接受风险极高，该风险是不可接受的，需要引起极大关注必须采取有效措施降低风险，至少将风险降低至可不愿意接受的水平必须编制风险预警与应急方案，或进行方案修正或调整，否则需停止作业或活动，或规避风险。表6.4.2-5风险评估-风险分析结果清单风险类别（各类风险）风险分析与评价风险大类风险子类风险发生可能性风险后果严重程度风险评估指数风险等级【风险重要性等级】根据“风险分析结果”按照风险发生的可能性及后果的严重性，根据风险接受准则，对已识别的风险按照采取措施的优先次序排序，排序结果列入风险排序清单。表6.4.2-6风险排序清单排序风险名称Ⅰ重大风险Ⅱ较大风险Ⅲ一般风险Ⅳ低风险风险类别备注建立重大风险清单对于风险分级中被列入重大风险的，应作为组织预防管理的重点，并对其风险行为、风险来源、风险相对人、风险动因、风险所处的管理或业务流程具体环节、具体部门、具体岗位等进行详尽的识别和分析，提出相应的解决方案，估算防控成本，分配防控资源，建立重大风险清单。作出风险应对的决策风险应对的决策应考虑下列方面：更广泛的内外部环境；内外部相关方的实际和感知的影响；组织目标、优先事项和风险管理方针；有助于形成战略的风险态度和风险容忍度；组织的风险概况等。作出风险应对的决策。风险评价可能促成以下决定：不采取进一步行动；决定采取进一步行动，考虑风险应对方案/策略（见6.5）；如果该风险是新识别的风险，则应当制定相应的风险准则，并开展进一步分析（见6.4.3），以更好地理解和评价该风险；维持现有的控制措施；重新考虑目标。风险评价的结果应予以记录、沟通，然后在组织适当层面进行验证。策划应对风险和机遇的措施风险应对的定义处理风险的过程。针对负面后果的风险应对有时指“风险缓解”、“风险消除"、“风险预防”、“风险降低”等。风险应对包括选择并实施一种或多种改变风险的措施，包括改变风险事件发生的可能性、损失度、频次，从而达到消除或是降低后果的措施。风险应对可能产生新的风险或改变现有风险。风险应对的目的风险应对的目的是选择和实施风险风险应对方案/策略及风险应对措施/计划。根据风险评价的结果，针对风险或风险事件采取相应措施，将风险控制在组织可承受的范围。风险应对流程风险应对是一个反复优化的过程，包括：制定和选择风险应对方案/策略（见6.5.3）；策划风险应对措施/计划（见6.5.4）；实施风险应对措施/计划（见6.5.5）；评估风险应对的有效性（见6.5.6）。制定和选择风险应对方案/策略制定和选择风险应对方案/策略的目的风险应对计划的目的是明确将如何实施所选定的应对方案，以便相关人员了解计划安排，并对照计划监视进展情况。风险应对现状的评估对风险应对的现状进行评估，了解应对现状存在的不足和缺陷，为制定风险应对计划提供支撑。制定和选择最合适的风险应对方案/策略，应考虑：各种内外部环境信息；组织的目标；与风险严重性和风险优次排序相匹配：应对措施应反映风险的规模、范围和性质及其对组织的影响。组织利用风险优次排序为资源配置提供依据；组织的风险态度、风险偏好和风险承受度：风险应对措施应考虑组织的风险偏好，以制定行动计划，将剩余的风险严重性降低到风险偏好之内。如果风险严重性不超出风险偏好，管理层可以选择接受风险；经济因素（具有成本效益，即权衡将实现目标获得的潜在收益和付出的成本、努力或不利因素）；合规义务的要求；与有关的相关方达成共识：考虑相关方的价值观、诉求、对风险的认知与观点、风险承受度、对某一些风险应对措施的偏好以及与他们沟通和协商的最佳方式；可行性和可用资源等。风险应对方案/策略的内容（制定风险应对策略与控制措施类别）风险应对方案/策略包括风险规避、风险降低、风险接受和风险分担四种，涉及以下一个或多个方面：消除风险源【风险规避】：消除具有负面影响的风险源，使用替代方法，消除风险和后果的来源；增加风险或承担或新风险【风险接受】：为寻求机遇而增加风险或承担或新风险，在机会提高策略中，取行动提高机会发生的概率或扩大机会带来的影响。提前采取提高措施通常比机会出现后尝试改进机会更加有效；改变风险【风险降低、风险接受】：开展活动，减少潜在的消极后果或其可能性或增加潜在的积极后果或其可能性，包括损失前的预防措施；改变可能性：通过应用控制、组织安排和程序等改变风险事件发生的可能性的大小及其分布的性质，以降低风险发生的概率或频率；改变后果：采取行动，改变风险事件发生的可能后果及其严重性。一旦发生风险事件，尽量降低损失。通过验证控制措施是否到位并按产生预期效果，以改变后果。当风险严重性高于风险偏好时，组织通常采取这一行动。开拓（利用或寻求风险）【风险接受】：积极应对风险，将风险转化为机遇。采取行动以确保机会出现，寻求最大化风险的积极后果和在实现收益方面的各个可能性，如采用新实践、推出新产品、利用新技术、开辟新市场、赢得新顾客等；风险规避【风险规避】：指不卷入风险处境的决定或撤离风险处境的行动。考虑到风险发生的可能性和造成损失的大小，主动放弃或者改变可能导致风险损失的方案，如决定不开始或停止（不再继续、退出）会导致风险的活动、新方案或项目，以避免暴露于特定风险；风险分担【风险转移】：指与另一方分担风险带来的损失或共享收益。对于无法规避且无力预防的风险，建立合作伙伴关系，与能有效管理特定风险其他各方分担风险（如通过签订合同、购买保险、保证和担保，履约保证金或其他金融工具）：法律法规可能会限制﹑禁止或强制进行风险分担；风险分担可以通过保险或其他合同形式实现；风险分配程度取决于分担方案的可信性和透明度；风险转移是风险分担的一种形式；风险分担应遵循公平原则、归责原则、风险收益对等原则、有效控制原则、风险管理成本最低原则、风险上限原则、直接损失承担原则、动态原则、风险偏好原则等，将风险尽可能分配给最适合承担风险的相关方进行应对。接受或保留风险【风险接受】：指对来自特定风险的损失或收益的接受。不采取任何行动来改变风险的严重性。通过知情决策做出不采取进一步行动试图影响风险的可能性或后果而接受某一特定风险的潜在收益或损失。组织有意识选择自担风险事故所导致的损失，有时主动自留，有时被动自留。采取风险自留策略时应制定可行的风险应急计划，采取必要的安全防护措施等保留风险包括接受剩余风险；保留风险的风险等级取决于风险准则。风险应对方案的监视和评审如果没有可用的应对方案或者应对方案不足以改变风险，组织应记录风险并持续评审。组织应定期监视和评审已制定的风险应对方案/策略的有效性和合理性，结合实际不断修订和改进。策划风险应对措施/计划风险应对措施/计划的目的风险应对措施/计划的目的是明确将如何实施所选定的应对方案，以便相关人员了解计划安排，并对照计划监视进展情况。策划风险应对措施/计划应考虑的因素组织应对风险和机遇的措施都应与其对于产品和服务符合性的潜在影响相适应。编制风险应对措施/计划应考虑应充分考虑：对于风险应对措施/计划，应评估其剩余风险是否可以承受。如果剩余风险不可承受，应调整或制定新的风险应对措施，并评估新的风险应对措施的效果，直到剩余风险可承受；由于实施风险应对措施/计划而导致需要管理的新风险（也称次生风险、衍生风险或二级风险）或改变现有风险，为此需要识别并评审原有风险与新风险之间的关系，执行风险应对措施会引起组织风险的改变，需要跟踪、监督风险应对的效果和组织的有关环境信息，并对变化的风险进行评估，必要时可重新制定风险应对措施/计划；风险应对措施/计划之间的关联性、协同性；风险应对措施/计划的特性，因为风险应对措施不一定在所有条件下都适用；当风险应对措施/计划影响到组织内部其他领域的风险或影响到其他利益相关方时，应评估这些影响，并与利益相关方沟通，必要时可调整风险应对措施；风险应对措施/计划的实施成本与收益(有些风险可能需要组织考虑采取经济上看起来不合理的风险应对决策，例如可能带来严重的负面后果但发生可能性低的风险事件)；利益相关方的诉求和价值观，对风险的认知和承受度以及对某一些风险应对措施的偏好；虽然经过谨慎的设计和实施，风险应对可能不会产生预期结果，甚至可能产生非预期的后果：针对风险应对措施在实施过程中可能失灵或无效的情形，组织要将监督作为风险应对措施/计划的有机组成部分，以保证应对措施/计划持续有效；选择几种应对措施，将其单独或组合使用：风险应对方案/策略之间不一定是相互排斥的，也不一定适用于所有情形。虽然效果相同，但某些风险应对方案相比其他方案/策略更能被某些相关方接受；编制风险应对措施/计划在选择了风险应对方案之后，针对各类风险或每一项重大风险需要制定相应的风险应对措施/计划。应对措施/计划中提供的信息应包括：选择应对措施/方案的理由或具体目标，包括可获得的预期收益；应对应对措施/计划应明确指明实施风险应对的顺序；风险管理责任人及实施风险应对措施的人员安排：批准和实施措施/方案的责制定人、负责人、审核人、批准人和执行人；风险应对措施涉及的具体业务和管理活动；拟采取的措施行动：风险应对措施行动通常包括以下几种类型：技术手段（工程技术措施）；管理措施[如资源配置、工作流程或活动控制措施、标准操作规范、内控措施、工作重组、外包、重要岗位权力制衡措施、制度流程与标准规范、信息报告（警示告知、登记报备、总结上报）、监督检查/监测预警等]；培训教育措施；个体防护措施；应急处置措施等。选择多种可能的风险应对措施/方案时，实施风险应对措施/方案的优先次序：应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置，进一步确定风险应对的优选顺序；所需的资源，包括应急费用；绩效指标及测量方法；约束条件；必要的报告和监视要求；行动预期开展和完成的时间。制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依