《ISO 31073-2022风险管理术语》理解与应用指导材料（雷泽佳编制-2024A0）

《ISO31073-2022风险管理——术语》理解与应用指导材料(雷泽佳编制，2024A1)Q/ZS《ISO31073-2022风险管理——术语》理解与应用指导材料(雷泽佳编制，2024A1)Q/ZS20111-2003—Q/ZS20120-2003（1.0）《ISO31073-2022风险管理——术语》理解与应用指导材料目次TOC\o"1-4"\h\u28087引言 3143121范围 478212规范性引用文件 4234613术语及定义 4202793.1与风险有关的术语 4148773.1.1风险risk 456373.1.2目标 692643.1.3不确定性 7279003.2与风险管理有关的术语 11281323.2.1风险管理 11311553.2.2风险管理方针 1323983.2.3风险管理计划 14258603.3与风险管理过程有关的术语 1516123.3.1风险管理过程 15187433.3.2相关方（利益相关者） 164813.3.3风险感知 19129463.3.4外部环境 20132173.3.5内部环境 22198363.3.6风险准则 23259893.3.7组织 24303483.3.8风险评估 25231043.3.9风险识别 27174693.3.10风险源 28314043.3.11事件 3079693.3.12危险 31111773.3.13威胁 32257993.3.14风险责任人riskowner 32307143.3.15风险分析 33129743.3.16可能性likelihood 34219743.3.17暴露 3487043.3.18后果 35200493.3.19概率 36168673.3.20频率 36155643.3.21脆弱性 37198803.3.22风险水平 38202243.3.23机会 38176983.3.24风险动因 39292953.3.25风险评价 402233.3.26风险态度 415673.3.27风险偏好 41269193.3.28风险容忍 43247303.3.29风险厌恶 44281353.3.30风险集成 44168313.3.31风险接受 4538223.3.32风险应对 47228953.3.33风险控制 48325563.3.34风险规避 49276233.3.35风险分担 507213.3.36风险融资 504923.3.37剩余风险 52264973.3.38韧性 53170903.3.39监视 54120183.3.40评审 55191353.3.41风险报告 5619653.3.42风险管理审核 5619343参考文献 58

引言本标准规定了风险管理的基本术语，以促进不同组织和职能以及不同应用和类型对风险管理概念和术语的一致理解。在使用风险管理术语时，应优先使用本标准给出的定义。风险管理的应用是个性化的。因此，在某些情况下，需要对本标准给出的术语进行增补。某一标准在使用与风险管理有关的术语时，必须确保其在该标准中的含义被正确地解释、阐述和使用。组织不仅管理影响目标实现的威胁，还越来越多地应用风险管理过程并开发综合的风险管理方法，以促进对潜在机会的利用。相对于包含在其他标准中的术语和定义，本标准中的术语和定义在概念和应用方面更为广泛。由于组织日益倾向于在更广泛的意义上使用风险管理方法，所以本标准涵盖所有的应用和领域。本标准体现了ISO/TC176对组织风险管理的最新关注。本标准鼓励用一致的理解和连贯的方法对风险管理相关活动进行描述，并在涉及风险管理的过程和框架时使用统一的风险管理术语。本标准适于下列人员使用：从事风险管理的人员﹔参与ISO和IEC活动的人员﹔制定与风险管理有关的国家或行业标准、指南、程序和操作规程的人员。有关风险管理的原则和指南，可参见ISO31000:2018。《ISO31073-2022风险管理——术语》理解与应用指导材料范围本标准规定了与组织风险管理有关的通用术语。规范性引用文件本标准没有指明规范性引用文件。术语及定义ISO和IEC维护的用于标准化的术语数据库地址如下：

—ISO在线浏览平台：/obp—IEC电力维基百科：/ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.1与风险有关的术语3.1.1风险risk不确定性（3.1.3）对目标（3.1.2）的影响。注1:影响是指偏离预期，可以是正面的和/或负面的，可能带来机会（3.3.23）和威胁（3.3.13)。注2：目标可有不同维度和类型，可应用在不同层级。 注3：通常风险可以用风险源（3.3.10）潜在事件（3.3.11）及其后果（3.3.18）和可能性（3.3.16）来描述。与风险有关的术语风险risk不确定性对目标的影响。定义核心：风险是“不确定性对目标的影响”。这一表述明确指出了风险的本质，即风险源于不确定性，且这种不确定性会对组织的目标产生影响；不确定性：指信息缺失或了解片面的状态。在风险管理的语境中，不确定性是风险产生的根源，它涉及组织环境和目标相关的关键信息的不完整或不可预知性；目标：目标具有不同的维度和类型，可以应用于战略、运营、项目等不同层级。不确定性对这些不同层级和类型目标的影响程度和方式也会有所不同。因此，在识别和管理风险时，应明确风险所针对的目标层级和类型。不确定对目标的影响：影响可以是偏离预期的，这种偏离既可以是正面的（带来机会），也可以是负面的（构成威胁）。“不确定对目标的影响”即风险，是指由于信息缺失或了解片面的状态（不确定性）导致的对组织目标（预期结果）的偏离。这种偏离可以是正面的（如机会），也可以是负面的（如威胁）：正面影响（机会）：不确定性有时可能带来积极的结果，如新市场的开拓、新技术的采用或组织效率的提升。这些正面影响为组织提供了增长和发展的机会；负面影响（威胁）：不确定性可能导致目标无法实现，甚至对组织造成损失。例如，市场需求的突然下降、供应链中断或政策变化等都可能对组织目标产生负面影响。风险描述：风险通常可以用风险源、潜在事件及其后果和可能性来描述。这提供了风险描述的具体框架。风险源：导致风险出现的根本原因或条件；潜在事件：可能发生的具体情况或变化；后果：事件发生后对目标的影响；可能性：是事件发生的概率。风险描述典型示例风险名称：供应链中断风险风险源：单一供应商依赖、地缘政治紧张局势、自然灾害潜在事件：由于地缘政治紧张局势升级，导致关键原材料供应国的出口管制加强，使得公司依赖的单一供应商无法按时交付原材料后果：生产线停工、订单延迟交付、客户满意度下降、收入减少、市场份额被竞争对手侵蚀可能性：高（基于历史数据、当前地缘政治形势及供应商依赖程度分析，该事件在未来6个月内发生的概率为70%）ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.1.2目标objective要实现的结果。注1：目标可能是战略性的、战术性的或运行层面的。注2：目标可能涉及不同的领域（例如：财务、健康与安全以及环境的目标），并可应用于不同层次（（如：战略、组织整体、项目、产品和过程）。注3：可以采用其他的方式表述目标，例如：预期的结果、预期结果、目的、运行准则、管理体系目标，或使用其他意思相近的词语（如：目的、终点或指标）。目标要实现的结果。定义核心：目标是“要实现的结果”，明确指出了目标是追求的具体成果或预期状态。目标可以是战略性的、战术性的或运行层面的；战略性目标：关注组织的长期发展方向和愿景，是组织高层次、全局性的目标，为组织的发展提供总体指导和方向；战术性目标：是实现战略性目标的具体步骤和计划，更加具体和可操作，关注如何在短期内达成战略目标的要求；运行层面目标：关注日常运营中的具体任务和绩效指标，是组织实现战术性和战略性目标的基础，确保组织运营的稳定和高效。目标可能涉及不同的领域，并可应用于不同层次；目标领域：目标可能涉及财务、健康与安全、环境等多个领域，体现了目标的广泛性和多样性。组织在制定目标时，需要综合考虑不同领域的需求和期望；目标层次：目标可应用于战略、组织整体、项目、产品和过程等不同层次。不同层次的目标相互关联、相互促进，共同构成组织的目标体系。目标可以采用多种方式表述。表述方式多样性：目标可以采用多种方式表述，如预期的结果、目的、运行准则、管理体系目标等。这种灵活性有助于组织根据实际情况和需要，选择合适的方式来表述和传达目标；相近词语的使用：也可以使用“目的”“终点”或“指标”等意思相近的词语来表述目标。这些词语在不同语境下具有相似的含义，可以根据具体情况进行选择和使用。预期结果：预期结果强调对未来结果的预见性和期望性。它描述了组织或个人希望通过某种行动或努力所达成的具体、可衡量的结果。预期结果有助于明确目标的具体内容和标准，为目标的实现提供清晰的指导；目的：目的与目标紧密相连，但更多地强调行动或努力的初衷和动机。目的是目标背后的驱动力，它解释了为什么要实现某个目标。在风险管理的语境中，明确目的有助于理解目标的重要性，以及为何需要采取特定的风险管理措施来达成目标；运行准则：运行准则是组织在日常运营中应遵循的基本原则和规范。运行准则强调了目标在实现过程中的操作性和指导性。它规定了组织在达成目标时应遵循的具体步骤、方法和标准，确保目标的实现过程符合组织的期望和要求；管理体系目标：管理体系目标是组织在建立和实施管理体系时所追求的具体成果。它通常与组织的整体战略和业务目标相一致，并贯穿于管理体系的各个环节和层面。管理体系目标有助于组织将风险管理纳入管理体系之中，通过系统化的方法来实现对风险的识别、分析和评价、控制和监测。同时，管理体系目标也为组织持续改进风险管理提供了明确的方向和动力。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.1.3不确定性uncertainty信息缺失或了解片面的状态。注1：在某些情况下，不确定性可能与组织（3.3.7）环境和目标（3.3.1）有关。注2：不确定性是风险（3.1.1）的根源，即某些与目标有关的重要“信息缺失”，而目标与所有相关方（3.3.2）需求和期望有关。不确定性信息缺失或了解片面的状态。定义核心：不确定性是指“信息缺失或了解片面的状态”。该定义强调了不确定性是由于对某事物或事件的信息掌握不全面或不准确所导致的；与组织环境和目标的关系：在某些情况下，不确定性可能与组织的环境和目标直接相关。组织环境的复杂性和动态性，以及目标的多样性和层次性，都可能增加不确定性的程度和范围；不确定性与风险的关系：不确定性是风险的根源。当与目标相关的重要信息缺失时，组织难以准确预测和评估潜在事件的影响，从而增加了风险。这种“信息缺失”与所有相关方的需求和期望密切相关，因为不同的相关方可能对同一事件有不同的认知和期望；不确定性的分类：固有不确定性：由一些现象固有的可变性造成的不确定性；示例1：掷骰子的结果。掷骰子时，每个面的出现概率是固定的，但具体哪一面朝上是不确定的。这种不确定性是现象固有的可变性造成的，无法通过改进技术或增加知识来降低；示例2：天气变化，如局部地区的降雨，尽管气象学已经取得显著进展，但具体到某一时刻、某一地点的降雨情况仍然存在固有的不确定性。认知不确定性：由于缺乏知识而造成的不确定性，可以通过收集更多数据、改进模型、改进抽样技术等方法来降低；示例1：新药研发的临床试验结果。在新药研发过程中，尽管科学家会进行大量试验以评估药物的安全性和有效性，但由于样本量有限、个体差异、试验设计等因素，临床试验结果可能存在一定的不确定性。这种不确定性可以通过收集更多数据、扩大样本量、改进试验设计等方法来降低；示例2：金融市场价格的波动。虽然可以通过各种经济模型进行预测，但市场的实际走势仍受到众多未知因素的影响，存在认知不确定性。语言不确定性：口语中固有的模糊性和歧义性导致的不确定性；示例1：合同条款的解释。在合同谈判和签署过程中，双方可能会对合同条款产生不同的理解。这种理解上的差异可能源于语言表述的模糊性和歧义性，导致双方在合同履行过程中产生争议；示例2：政治演讲中的模糊表述。政治家可能会使用含糊不清的语言来避免直接回答问题，这种语言不确定性增加了听众对演讲意图的理解难度。决策不确定性：与风险管理策略相关的不确定性，涉及价值体系、专业判断、企业价值观和社会规范等方面的因素。示例1：组织战略选择。组织在制定发展战略时，需要综合考虑市场环境、竞争对手、技术趋势、法规政策等多种因素。这些因素的复杂性和动态性使得企业在决策过程中面临很大的不确定性。同时，组织的价值体系、专业判断、企业文化和社会责任等内部因素也会影响决策结果。因此，组织战略选择是一种典型的决策不确定性，需要企业在权衡各种利弊得失后做出明智的决策。示例2：灾难应急响应方案的选择。在灾难发生时，决策者需要在有限的信息和时间下做出紧急决策，这种决策过程充满了不确定性，需要综合考虑多种因素以做出最优选择。不确定性的例子；假设条件是否真实的不确定性：涵义：在决策或风险管理过程中，经常需要基于一系列假设条件进行分析和预测。然而，这些假设条件是否真实存在或在未来是否仍然有效是不确定的；示例：在进行项目规划时，通常会基于一系列假设条件来制定项目计划和预算。例如，假设某个关键资源（如原材料或人力资源）能够按时供应。然而，这些假设条件的真实性往往存在不确定性。如果关键资源未能按时供应，项目进度和成本可能会受到严重影响。因此，项目管理团队需要识别这些假设条件的不确定性，并制定相应的风险应对措施；决策所基于的各项参数的可变性：涵义：决策过程中使用的参数（如成本、收入、增长率等）并非固定不变，而是会随着时间、市场环境、技术变化等因素而波动。这种参数的可变性增加了决策结果的不确定性；示例：在投资决策中，投资者通常会基于一系列经济指标（如GDP增长率、利率水平、通货膨胀率等）来评估投资项目的可行性和预期收益。然而，这些经济指标在实际运行过程中可能会发生变化，导致投资决策所依据的参数具有可变性。因此，投资者需要密切关注这些参数的变化情况，并根据需要对投资决策进行调整；预测未来模型的准确性和有效性方面的不确定性：涵义：为了预测未来事件或趋势，组织通常会建立各种模型。然而，这些模型的准确性和有效性受到多种因素的影响，包括模型的简化程度、数据的完整性和可靠性，以及预测期间内可能发生的变化。因此，基于这些模型得出的预测结果存在不确定性；示例：在天气预报中，气象学家会使用各种气象模型来预测未来的天气情况。然而，由于气象系统的复杂性和多变性，这些模型的准确性和有效性往往存在一定的不确定性。因此，气象预报通常会给出一定的预测范围和概率分布，以反映这种不确定性。用户在使用天气预报时需要考虑到这种不确定性，并据此作出相应的决策和安排；事件（包括环境和条件的改变）的发生、特征和结果的不确定性：涵义：事件（如自然灾害、政策变化、技术进步等）的发生、具体特征及其结果往往难以准确预测。这种不确定性可能导致组织在应对这些事件时面临挑战；示例：在自然灾害应对中，如地震、洪水等灾害事件的发生往往具有不确定性。同时，这些灾害事件的特征（如震级、洪水量级等）和结果（如人员伤亡、财产损失等）也往往难以准确预测。因此，灾害管理部门需要建立预警系统，实时监测环境和条件的变化情况，以便及时发现并应对潜在的灾害风险；与破坏性事件相关的不确定性：涵义：破坏性事件（如恐怖袭击、重大事故等）可能对组织造成严重影响，但其具体发生时间、方式和后果具有高度的不确定性。这种不确定性要求组织在风险管理过程中考虑可能的极端情况并制定相应的应急计划；示例：网络安全领域，黑客攻击和数据泄露等破坏性事件的发生往往具有不确定性。这些事件可能给组织带来重大的财务损失和声誉损害。因此，组织需要建立完善的网络安全防护体系，包括防火墙、入侵检测系统等技术手段，以及定期的安全培训和演练活动，以降低与破坏性事件相关的不确定性；系统性问题的不确定性结果，如缺少合格员工可能带来的广泛影响：涵义：系统性问题（如组织结构缺陷、关键资源短缺等）可能对组织产生广泛而深远的影响，但这些影响的具体程度和范围往往难以准确预测；示例：在医疗领域，医护人员的短缺可能是一个系统性问题。由于医护人员培养周期长、工作强度大等因素，导致医护人员的供应往往难以满足需求。这种短缺可能给医院的日常运营和患者的医疗服务质量带来广泛的影响。因此，医院需要制定长期的人力资源规划和发展战略，以应对医护人员短缺带来的不确定性结果；认识到不确定性但缺乏完全理解时感受到的知识缺乏：涵义：在面对不确定性时，组织往往意识到某些方面存在未知或不可预测的因素，但由于知识或信息的限制，难以对这些因素进行全面深入的理解。这种知识缺乏增加了决策和风险管理的难度；示例：在科学研究领域，研究人员在进行新领域的探索时往往会遇到许多未知因素和挑战。这些未知因素导致研究过程中存在大量的不确定性。尽管研究人员可能意识到这些不确定性的存在，但由于知识有限和技术手段的限制，往往难以完全理解其背后的原因和机制。因此，科学研究需要保持开放和包容的态度，鼓励跨学科合作和创新思维，以逐步克服知识缺乏带来的不确定性；不可预测性以及人类思维局限性导致的不确定性：涵义：人类思维具有局限性，难以完全预测和理解所有可能的事件和结果。此外，某些事件可能具有高度的不可预测性（如黑天鹅事件），这些事件在发生前往往没有先兆或预警信号。这种不可预测性和人类思维的局限性共同导致了不确定性的存在；示例：在股市投资中，市场价格的波动往往受到众多未知因素的影响，如政策变化、市场情绪等。这些因素具有不可预测性，导致股市投资存在很大的不确定性。同时，人类思维在处理复杂问题和面对不确定性时往往存在一定的局限性，如认知偏差、情绪化决策等。因此，投资者需要具备理性思维和风险管理意识，通过多元化投资、止损止盈等手段来降低不可预测性和人类思维局限性带来的不确定性风险。不确定性的管理与应对：尽管不是所有的不确定性都能被完全理解或消除，但认识到不确定性的存在对于建立预警系统、主动监测变化、制定应对措施以及增强组织的应变能力至关重要。通过提高信息获取和分析能力、加强决策过程中的专业判断和风险评估、建立灵活的风险管理策略等措施，可以更有效地管理和应对不确定性带来的风险。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.2与风险管理有关的术语3.2.1风险管理riskmanagement在风险（3.1.1）方面，指导和控制组织（3.3.7）的协调活动。与风险管理有关的术语风险管理在风险方面，指导和控制组织的协调活动。目的与范围；目的：风险管理的核心目的是减少不确定性对组织目标的影响，通过系统化的方法来识别、分析和评价、应对、监控和评审风险。范围：风险管理活动涵盖组织面临的所有类型的风险，包括但不限于战略风险、运营风险、财务风险、合规风险等，并贯穿于组织的所有层级和职能。指导与控制；在风险方面，指导组织的协调活动主要包括但不限于以下几个方面：制定风险管理策略：为组织设定风险管理的总体方向和原则，确保风险管理活动与组织的战略目标和业务计划相一致；建立风险管理框架：设计和实施一套系统的风险管理框架，包括识别、分析、评价、应对、监控和评审风险的各个环节；明确风险管理职责：界定组织内部各部门、层级和职能在风险管理中的角色和职责，确保风险管理责任的落实；设定风险管理目标：根据组织的整体目标和战略，设定具体、可衡量的风险管理目标，以指导风险管理实践；提供风险管理培训：对组织内部员工进行风险管理培训，提升员工的风险意识和风险管理能力，确保风险管理理念和实践在组织内部的广泛传播和应用；促进跨部门沟通：鼓励和支持不同部门之间的沟通和协作，确保风险管理信息在组织内部的顺畅流动和共享；建立风险文化：通过领导层的示范和引导，培育一种重视风险、勇于面对风险并积极管理风险的组织文化。在风险方面，控制组织的协调活动主要包括但不限于以下几个方面：实施风险应对措施：根据风险评估结果，制定并实施适当的风险应对措施，以控制风险的发生和影响；监控风险状况：持续监控组织面临的风险状况，包括风险的变化趋势、潜在的新风险以及已实施应对措施的有效性；分配风险管理资源：合理分配组织内部的人力、物力和财力资源，以支持风险管理活动的有效开展；进行风险管理评审：定期对风险管理活动进行评审，评估其有效性和适应性，并根据评审结果进行必要的调整和改进；建立应急响应机制：制定应急预案，确保在发生突发事件或重大风险时，能够迅速、有效地进行应对和处置；强化内部控制：通过加强内部控制措施，如建立健全的内部审批制度、加强内部审计和监察等，来控制组织内部的风险；实施风险报告制度：建立风险报告制度，确保风险管理信息的及时、准确和完整报告，为管理层决策提供有力支持。协调活动；协调性：风险管理不是孤立的活动，而是需要组织内部各个部门、层级和职能之间的紧密协作。通过跨部门、跨层级的沟通和协调，确保风险管理活动的顺利实施；活动类型：风险管理活动包括风险识别、风险分析、风险评价、风险应对、风险监控和风险评审等多个环节，这些环节相互关联、相互支持，共同构成了一个完整的风险管理循环。组织视角；组织层面：风险管理是组织治理和战略制定的重要组成部分，它帮助组织在追求目标的过程中更好地应对不确定性；持续性：风险管理是一个持续的过程，应随着组织内外部环境的变化而不断调整和完善。通过定期的风险评估和监控，确保风险管理活动的有效性和时效性。风险的定义与关联。风险的定义：风险是不确定性对目标的影响。这一定义强调了风险与组织目标之间的紧密联系；与风险的关系：风险管理正是围绕这一定义核心展开的，通过系统化的方法来管理影响组织目标实现的不确定性因素。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.2.2风险管理方针riskmanagementpolicy组织在风险管理（3.3.7）方面的总体意图和方向的表述。[源自：ISO导则73:2009，2.1.2]风险管理方针组织在风险管理方面的总体意图和方向的表述。组织的视角：风险管理方针是组织层面的决策结果，反映组织对风险管理的整体认识和重视程度。它不仅是管理层对风险管理活动的承诺，也是向全体员工传达风险管理重要性的重要手段；总体意图和方向；方针明确了组织在风险管理方面的总体意图，即组织希望通过风险管理达到什么样的目的和效果。这可能包括减少不确定性对组织目标的影响、提高决策的合理性和科学性、确保组织的稳健运营等；方针还指明了风险管理活动的方向，为组织的风险管理实践提供了清晰的指引。它告诉组织应该关注哪些风险、如何识别和分析风险、如何制定风险应对措施等。表述形式；风险管理方针通常以文件或声明的形式表述，明确、具体且具有可操作性。它可能包含组织的风险管理理念、原则、目标、策略、责任分配、资源保障等方面的内容；表述应简洁明了，易于理解和传播。同时，方针还应具有一定的灵活性和适应性，以便随着组织内外部环境的变化而进行调整和完善。与风险管理框架的关联。风险管理方针是风险管理框架的重要组成部分，它为风险管理框架的构建和运行提供了基础和指导。通过制定明确的风险管理方针，组织可以确保风险管理框架与组织的整体战略和目标相一致；方针还有助于组织内部各部门、层级和职能之间的协调和沟通，确保风险管理活动的顺利实施和有效执行；风险管理方针示例。减少不确定性对目标的影响：通过系统性的风险管理，减少内外部不确定性因素对公司战略目标和业务运营的影响，提高决策的准确性和科学性；保障公司稳健运营：确保公司在面对各类风险时能够保持稳健的运营状态，避免重大损失和危机的发生；提升组织绩效：通过有效的风险管理，优化资源配置，提高运营效率，为公司创造更大的价值；增强竞争力：通过风险管理提升公司的抗风险能力，增强市场竞争力，为公司的长远发展奠定坚实基础。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.2.3风险管理计划riskmanagementplan风险管理框架中，详细说明用于管理风险（3.1.1）的方法、管理要素及资源方案。注1：管理要素通常包括程序、操作方法、职责分配，活动的顺序和时间安排。注2：风险管理计划可用于具体的产品、过程，项目以及组织（3.3.7）的部分或整体。[源自：ISO导则73:2009，2.1.3]风险管理计划风险管理框架中，详细说明用于管理风险的方法、管理要素及资源方案。在风险管理框架中的位置；风险管理计划是风险管理框架的重要组成部分，它详细阐述了如何在实际操作中落实风险管理策略和目标；该计划为组织内部不同层级和部门提供了一个共同的参考点，确保风险管理活动的协调性和一致性。详细说明管理风险的方法；风险管理计划应明确指出将采用哪些具体方法来识别、分析、评价、应对、监控和评审风险。这些方法可能包括定性和定量分析工具、模拟技术、专家判断等；计划中应描述这些方法的应用场景、操作步骤和预期效果，以确保实施过程中的可操作性和有效性。管理要素的具体化；程序：明确规定了风险管理活动的流程和步骤，包括风险识别、评估、应对等各个环节的具体操作指南；操作方法：详细说明了执行风险管理程序时所采用的具体技术和手段，如使用何种风险评估模型、如何进行风险排序等；职责分配：界定了组织内部各部门、层级和职能在风险管理中的具体职责和权限，确保每项风险管理任务都有明确的责任主体；活动的顺序和时间安排：制定了风险管理活动的实施时间表，明确了各项活动的先后顺序和完成时间，以确保风险管理工作的有序进行。资源方案的制定；风险管理计划应包含对所需资源的全面规划，包括人力、物力、财力和技术等资源；计划中应明确资源的来源、分配方式和使用计划，以确保风险管理活动能够得到充分的资源支持。适用范围的广泛性。风险管理计划不仅适用于整个组织层面的风险管理，还可根据具体需要应用于产品、过程、项目等局部领域；组织可以根据不同的风险管理需求和目标，制定针对性的风险管理计划，以实现更加精准和有效的风险管理。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3与风险管理过程有关的术语3.3.1风险管理过程riskmanagementprocess将管理方针、程序和操作方法系统地应用于沟通、协商、明确环境以及风险（3.1.1）识别、分析、评价、应对﹑监视与评审活动中。[源自：ISO导则73:2009，3.1]与风险管理过程有关的术语风险管理过程将管理方针、程序和操作方法系统地应用于沟通、协商、明确环境以及风险识别、分析、评价、应对﹑监视与评审活动中。系统性的应用；风险管理过程强调系统性，它不是一个孤立的活动，而是贯穿于组织运营的全过程中；管理方针、程序和操作方法作为指导原则，被系统地应用于风险管理的每一个步骤，确保风险管理的连贯性和一致性。管理方针的融入；管理方针为风险管理过程提供了总体方向和原则，确保所有风险管理活动都与组织的战略目标和价值观保持一致；在风险管理过程中，管理方针被用作决策的基准，指导风险识别、分析、评价等活动的开展。程序和操作方法的执行；风险管理过程明确规定了执行风险管理所需的程序和操作方法，包括具体的步骤、流程和工具；这些程序和操作方法确保了风险管理活动的标准化和可重复性，提高了风险管理的效率和效果。沟通与协商；风险管理过程强调沟通的重要性，要求组织内部及与外部相关方之间进行有效的信息交流和意见协商；通过沟通与协商，组织可以获取更全面的风险信息，了解不同相关方的需求和期望，从而做出更加合理和可行的风险管理决策。明确环境；在风险管理过程中，组织需要明确其内外部环境，包括政治、经济、社会、技术等因素对组织目标实现的影响；对环境的深入了解有助于组织识别潜在的风险因素，并制定相应的风险管理策略。风险识别、分析、评价、应对；风险识别是风险管理过程的第一步，涉及发现并记录可能影响组织目标实现的风险因素；风险分析是对已识别风险进行深入研究，了解其性质、可能性和影响程度；风险评价是将风险分析结果与组织的风险偏好和可接受的绩效波动范围进行比较，以确定风险的优先级；风险应对是根据风险评价结果制定并实施相应的风险缓解措施，以降低风险对组织目标的影响。监视与评审；风险管理过程还包括对风险管理活动的持续监视和定期评审，以确保风险管理措施的有效性和适应性；通过监视和评审，组织可以及时发现并解决风险管理中存在的问题，不断优化风险管理流程和方法。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.2相关方（利益相关者）interestedparty(stakeholder)能够影响决策或活动、受决策或活动影响，或感觉自身受到决策或活动影响的个人或组织（3.3.7）。相关方（利益相关者）能够影响决策或活动、受决策或活动影响，或感觉自身受到决策或活动影响的个人或组织。相关方定义：指那些能够影响组织的决策或活动，或受到组织决策或活动影响，或自认为受到影响的个人或组织。这一定义强调了相关方与组织之间的相互作用关系。相关方对组织决策或活动的影响体现在多个方面：输入与反馈：相关方可以为组织的决策或活动提供重要的输入信息，如顾客的需求、所有者的期望、供方的能力限制等。这些信息直接影响组织如何制定决策和规划活动；约束与限制：法律法规、行业标准、监管要求等外部相关方的规定，对组织的决策和活动构成约束和限制，确保组织在合法合规的框架内运营；竞争与合作：竞争对手的策略、市场定位、产品特性等，会影响组织的市场策略和产品规划。同时，合作伙伴的能力、信誉等也会影响组织的供应链稳定性和市场竞争力。组织的决策或活动对相关方的影响同样显著：直接受益或受损：组织的决策或活动可能直接对相关方的利益产生影响。例如，产品质量的提升会直接提升顾客满意度，而供应链中断则可能导致供方损失；间接影响：组织的决策或活动还可能对相关方产生间接影响。例如，组织的环保政策不仅影响环境本身，还可能影响社区、政府等相关方的看法和态度；长期与短期影响：组织的决策或活动对相关方的影响可能是长期的，如品牌形象的建立和维护；也可能是短期的，如某项促销活动的即时市场反应。相关方自认为受组织的决策或活动影响，这通常基于以下几种情况：感知与认知：相关方可能根据自己的感知和认知，判断组织的决策或活动是否对自己产生影响。这种感知可能基于过往经验、行业知识或个人直觉；利益关联：即使组织的决策或活动并未直接针对某个相关方，但相关方可能因利益关联而自认为受到影响。例如，社区居民可能因组织在附近的工厂扩建而担心环境污染问题；信息传播：在信息时代，信息传播的速度和广度使得相关方更容易获取到组织的决策或活动信息，并据此判断自己是否受到影响。媒体报道、社交媒体讨论等都可能增强相关方的这种自我认知。重要性：对持续发展产生重大风险：若相关方的需求和期望未能得到满足，可能会对组织的持续发展产生重大风险。因此，识别和管理相关方的需求和期望对于组织的稳定和发展至关重要；示例：所有者：作为组织的投资者，其关注组织的财务状况、投资回报以及长期发展潜力；组织内的人员：包括员工和管理层，其工作表现、满意度和忠诚度对组织的运营效率和创新能力有重要影响；顾客：作为组织产品或服务的直接接收者，其满意度和需求直接影响组织的市场表现和声誉；最终用户：在某些情况下，最终用户可能与直接顾客不同，例如产品的二次使用者或受益者；他们的满意度和需求同样重要，可能对组织的市场反馈和产品改进产生直接影响；供方：为组织提供原材料、零部件或服务的供方，其稳定性和可靠性直接关系到组织的产品质量和交货能力；物流和运输提供商：这些相关方负责将组织的产品或服务送达顾客手中，其效率和可靠性直接影响组织的交货能力和顾客满意度；技术和解决方案提供商：为组织提供技术支持、软件、硬件等解决方案的提供商，他们的产品和服务质量直接影响组织的运营效率和产品质量；合作伙伴：与组织共同开展业务活动的其他组织，其合作关系对组织的业务拓展和市场竞争力有重要作用；银行：作为组织的金融机构，其贷款政策、利率变动等可能对组织的财务状况和运营策略产生影响；监管者：政府机构或行业协会等，通过制定和执行法规政策，对组织的合规性和市场行为进行监督和管理；工会：代表员工利益的组织，其活动可能影响员工的福利、工作条件和组织内部关系；竞争对手或相对立的社会群体：这些相关方可能对组织的市场地位、品牌形象和社会声誉产生直接或间接的影响；社区和公众：社区：组织所在地的社区成员，他们可能关心组织活动对环境、交通、安全等方面的影响；公众：更广泛的社会公众，包括媒体、非政府组织等，他们可能对组织的环保政策、社会责任、道德行为等感兴趣；非政府组织（NGO）：这些组织可能关注环境保护、人权、动物福利等议题，他们可能通过倡导、游说、监督等方式对组织施加影响；行业协会：除了作为监管者外，行业协会还可能为组织成员提供培训、信息共享、标准制定等服务，对组织的行业地位和竞争力产生影响；学术和研究机构：通过研究和技术开发，这些机构可能为组织提供新的理论支持、技术创新或解决方案，对组织的研发能力和市场竞争力产生积极影响；媒体：媒体通过报道组织的活动、成就或问题，影响公众对组织的认知和态度，进而可能对组织的市场声誉和品牌形象产生影响；慈善和公益组织：这些组织可能与组织在社会责任、公益项目等方面进行合作，提升组织的社会形象和品牌价值。管理相关方的意义：通过识别和管理相关方的需求和期望，组织可以更加全面地考虑其决策和活动的潜在影响，从而降低风险并增强组织的可持续发展能力。同时，与相关方建立积极的关系，有助于提升组织的品牌形象、增强顾客满意度，并促进组织的长期成功。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.3风险感知riskperception相关方（3.3.2）对风险（3.1.1）的看法。注：风险感知能够反映相关方的需求、异议、知识.信仰和价值观。[源自：ISO导则73:2009，，修改－术语“interestedparties（相关方）”已代替stakeholders（利益相关者）、“risk”已代替“arisk”]风险感知相关方对风险的看法。风险感知的主观性；风险感知并非客观事实的描述，而是相关方基于其个人或集体经验、知识、信仰和价值观对风险的主观感受和理解；不同的相关方可能对同一风险有不同的感知，这取决于他们的背景、经验、需求和期望。反映相关方的多元视角；风险感知能够反映相关方的多元视角，包括他们的需求、异议、知识、信仰和价值观。这些视角和态度对组织的风险管理决策具有重要影响，因为组织需要平衡不同相关方的利益和关切。在风险管理中的应用。了解相关方的风险感知对于组织制定有效的风险管理策略至关重要；组织应通过沟通、协商和参与等方式，积极收集和分析相关方的风险感知信息，以便在制定风险管理决策时充分考虑其需求和关切；组织应通过透明度和责任感来增强相关方对风险管理决策的信心和接受度。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.4外部环境externalcontext组织（3.3.7）追求其目标（3.1.2）实现时所处的外部状况。注：外部环境可包括：——国际、国内，区域或地方的文化、社会、政治、法律、法规、金融、技术，经济、自然以及竞争环境；——对组织目标产生影响的关键驱动因素和趋势；——与外部相关方3.3.2）的关系以及他们的感知和价值观。[源自：ISO导则73:2009，，修改－术语“interestedparties（相关方）”已代替stakeholders（利益相关者）。]外部环境组织追求其目标实现时所处的外部状况。外部状况的定义：外部环境特指组织在努力实现其目标时所处的外部条件和状况。这些条件既可能是静态的（如法律法规），也可能是动态的（如市场竞争态势）；多维度构成：外部环境由多个维度构成，包括但不限于文化、社会、政治、法律、法规、金融、技术、经济、自然以及竞争环境。这些维度相互交织，共同影响着组织的运营和决策；文化环境：指组织所处地区的文化价值观、信仰、习俗、道德规范等非物质因素的总和。这些因素会影响组织的运营方式、决策制定以及员工和消费者的行为模式；社会环境：包括人口结构、教育水平、生活方式、社会趋势、公众态度等因素。这些因素的变化会对组织的市场需求、消费者行为、劳动力供应等产生影响；政治环境：指政府组织、政策、法规、政治稳定性和国际关系等因素。政治环境对组织的运营有着直接影响，因为政府的政策变化可能导致市场准入条件、税收政策、贸易壁垒等方面的变化。此外，政治稳定性也是组织考虑投资地点的重要因素之一；法律环境：涉及国家、地区或地方的法律、法规、司法制度以及执法力度等因素。组织必须遵守所在地区的法律法规，否则可能面临法律制裁和经济损失。法律环境的变化（如新法规的出台或旧法规的修订）都可能对组织的运营产生影响；法规环境：虽然法规环境与法律环境有重叠之处，但更侧重于具体的行业规定、标准、认证要求等。这些法规可能由政府机构、行业协会或其他权威机构制定，旨在保护消费者权益、维护市场秩序或促进可持续发展。组织必须密切关注相关法规的变化，以确保合规运营；金融环境：包括利率、汇率、通货膨胀率、资本市场状况、信贷可获得性等因素。金融环境对组织的融资成本、投资决策、现金流管理等具有重要影响；技术环境：指与组织运营相关的技术发展趋势、创新速度、技术应用普及程度等因素。技术环境的变化可能导致新兴市场的出现、传统市场的消失或竞争格局的变化。组织需要密切关注技术动态，以便及时把握机遇或应对挑战；经济环境：涉及宏观经济状况、经济增长率、失业率、消费者购买力等因素。经济环境的变化对组织的市场需求、定价策略、成本控制等具有重要影响。例如，经济衰退可能导致市场需求下降，迫使组织调整生产和销售策略；自然环境：包括地理位置、气候条件、自然资源、环境法规等因素。自然环境对组织的生产运营、供应链管理、环保责任等方面具有重要影响。组织需要评估自然环境风险，并制定相应的应对措施以减轻潜在影响；竞争环境：指行业内其他竞争对手的数量、实力、市场份额、产品差异化程度等因素。竞争环境直接影响组织的定价策略、市场定位、营销策略等。组织需要密切关注竞争对手的动态，以便及时调整自身策略以保持竞争优势。关键驱动因素和趋势：对组织目标产生重要影响的关键驱动因素和趋势可能是全球性的（如技术进步），也可能是区域性的（如地方政策变化），它们都可能对组织的战略和业务目标产生深远影响。外部相关方的关系与感知：外部环境还涉及组织与外部相关方的关系，以及这些相关方对组织的感知和价值观。这些相关方可能包括政府监管机构、顾客、供方、社区等，他们的态度和行为都可能对组织的运营和决策产生直接或间接的影响；对风险管理的重要性：了解和分析外部环境对于组织的风险管理至关重要。通过识别和评审外部环境中的潜在风险和机会，组织可以制定相应的风险管理策略，以确保其目标的实现不受外部不利因素的影响，并充分利用外部有利因素。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.5内部环境internalcontext组织（3.3.7）追求其目标（3.1.2）实现时所处的内部状况。注：内部环境可包括：——治理、组织结构、角色和责任；——方针、目标以及实现它们的战略；——从资源和知识角度所理解的能力（如资本、时间、人力、过程、系统和技术）；——信息系统、信息流和决策过程（正式的和非正式的）；——与内部相关方（3.3.2）的关系，以及他们的感知和价值观；——组织文化；——组织采用的标准﹑指南和模型；——合同关系的形式和范围。[源自：ISO导则73:2009，，修改－术语“interestedparties（相关方）”已代替stakeholders（利益相关者）。]内部环境组织追求其目标实现时所处的内部状况。内部环境是组织在追求目标实现过程中所处的内部状况和条件的总和，包括治理、组织结构、角色和责任、方针、目标、战略、资源和能力、信息系统、信息流、决策过程、与内部相关方的关系、组织文化、采用的标准和模型以及合同关系等多个方面。治理、组织结构、角色和责任；治理：指组织内部的管理和监督机制，包括董事会、监事会等治理机构的设置和运作；组织结构：组织的层级、部门划分、职能分配等，决定了信息流动、决策权分配和责任归属；角色和责任：明确界定组织内部各层级、各部门和个人的职责和权限，确保决策和执行的有效性。方针、目标以及实现它们的战略；方针：组织的基本指导原则和行动方向，为决策制定提供指导；目标：组织希望实现的具体结果，通常与战略和业务计划相关联；战略：组织为实现长期目标而制定的总体计划和行动方案。从资源和知识角度所理解的能力；资源：包括资本（资金）、时间、人力（员工和人才）、过程（运营流程）、系统（信息系统和技术平台）等，是组织实现目标的基础；知识：组织所掌握的信息、技能、经验和专业知识，对决策质量和执行效果具有重要影响。信息系统、信息流和决策过程；信息系统：用于收集、存储、处理和传递信息的技术系统；信息流：信息在组织内部的流动路径和方式，影响决策速度和准确性；决策过程：包括正式的决策会议、报告制度和流程，以及非正式的沟通和协商机制。与内部相关方的关系，以及他们的感知和价值观：内部相关方：包括员工、管理层、股东等，他们的利益、需求和期望对组织决策和运营具有重要影响；感知和价值观：内部相关方对组织目标、战略和文化的理解和认同程度，影响他们的行为和决策。组织文化：指组织内部共享的信念、价值观、行为规范和工作方式，对组织氛围、员工行为和决策制定具有深远影响；组织采用的标准﹑指南和模型：包括行业标准、内部操作指南、风险管理模型等，为组织决策和运营提供规范和指导；合同关系的形式和范围：指组织与供方、顾客、合作伙伴等外部实体之间的合同安排，包括合同类型、条款、期限和范围等，对组织运营的稳定性和风险具有重要影响。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.6风险准则riskcriteria评价风险（3.1.1）重要性的依据。注1：风险准则的确定需要基于组织的目标（3.1.2）外部环境（3.3.4）和内部环境（3.3.5)。注2：风险准则可以源自标准、法律、政策和其他要求。[源自：ISO导则73:2009，，修改－术语“risk”已代替“arisk”]风险准则评价风险重要性的依据。定义核心：风险准则是风险管理中的一个核心概念，它提供了判断风险重要性的基准。这一基准用于决定哪些风险需要采取控制措施，以及这些控制措施的优先级；作用范围：风险准则直接关联到对风险的“评价”，即它是对风险进行量化和定性分析后，决定风险是否显著到需要采取措施的关键依据；风险重要性的依据：主要包括组织目标、外部环境、内部环境、标准法律政策要求以及风险本身的特性。组织目标：组织的目标是确定风险准则的基础。不同的目标设定会影响组织对风险重要性的评价。风险准则的设定应与组织的整体目标相一致。例如，追求市场领导地位的组织可能会接受较高的风险以换取快速成长，而追求稳定收益的组织则可能更倾向于规避风险；外部环境：外部环境包括政治、经济、社会、技术、法律和环境等多种因素，这些因素的变化都会直接影响组织面临的风险类型和程度。因此，在制定风险准则时，必须充分考虑外部环境的当前状态和未来趋势；内部环境：内部环境涉及组织的治理结构、资源、能力、文化等多个方面。这些内部因素同样会影响组织对风险重要性的评估。例如，组织的文化、风险偏好、资源状况等都会影响其对不同风险的容忍度和应对措施的选择；标准、法律、政策和其他要求：风险准则可以源自多种外部规范和要求，包括但不限于国际标准（如ISO标准）、国家法律法规、行业政策以及其他相关方的要求。这些外部规范为组织提供了制定风险准则的参考框架和最低标准；风险本身的特性：风险本身的特性（如可能性、影响程度、可控性等）也是评价风险重要性的直接依据。通过对风险特性的深入分析，组织可以更准确地判断风险的潜在影响和需要采取的应对措施。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.7组织organization为实现其目标（3.1.2)，通过职责、权限和相互关系而拥有其自身职能的一个人或一组人注1：组织的概念包括但不限于代理商、公司、集团、商行、企事业单位、政府机构、合营公司、社团、慈善机构或研究机构，或上述组织的部分或组合，无论是否具有法人资格、公有的或私有的。组织为实现其目标，通过职责、权限和相互关系而拥有其自身职能的一个人或一组人。定义：指为了实现其既定目标，通过明确职责、权限和相互关系来构建自身功能的一个个体或一组个体；构成要素；组织的目标：可以是经济目标（如利润最大化、市场份额增长）、社会目标（如提供公共服务、改善社会福利）、环境目标（如减少污染、保护自然资源）等；职责：组织中的每个成员或部门都有其特定的职责，这些职责共同构成了组织实现其目标的基础；权限：为了履行各自的职责，组织成员被赋予了一定的权力和权限，这些权限确保了他们能够有效地开展工作；相互关系：组织内部成员之间以及成员与组织整体之间存在着明确的相互关系，这些关系通过沟通、协作和监督等机制得以维系；自身功能：组织为了实现其目标而具备的能力和职责范围。这些功能包括但不限于：产品生产和服务提供：组织通过生产产品或提供服务来满足顾客需求和市场要求；资源管理和配置：组织需要有效地管理和配置其内部和外部资源（如人力、物力、财力、技术、信息等），以确保目标的实现；决策制定和执行：组织通过制定战略、规划和计划来指导其运营活动，并通过有效的执行机制来确保这些决策的落实；风险管理和机遇把握：组织应识别、评估和管理与其运营活动相关的风险和机遇，以确保稳健运营和可持续发展；持续改进和创新：组织应不断寻求改进和创新的机会，以提高其运营效率、产品质量和服务水平，从而保持竞争优势和市场地位。包含范围。组织的概念非常广泛，它不仅包括传统的商业实体，如代理商、公司、集团、商行、企事业单位等，还包括行政机构、合营公司、协会、慈善机构或研究机构等；这些组织可以是具有法人资格的，也可以是非法人的；可以是公有的，也可以是私有的。组织的概念还延伸到这些实体的部分或组合形式。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.8风险评估riskassessment包括风险识别（3.3.9)风险分析（3.3.15）和风险评价3.3.25）的全过程。[源自：ISO导则73:2009，3.4.1]风险评估包括风险识别、风险分析和风险评价的全过程。风险识别；定义：此阶段涉及发现、确认和详细描述潜在风险的过程。目的是确定哪些因素可能对组织目标实现构成威胁或机会；关键要素；潜在事件：识别可能发生的具体事件或情况；原因：分析导致这些事件或情况发生的原因；后果：评估这些事件或情况对组织目标的影响；方法：可能包括文献回顾、专家访谈、问卷调查、头脑风暴等，以全面捕捉潜在风险。风险分析：定义：在风险识别的基础上，进一步理解风险的性质，并量化或定性地评估其发生的可能性和潜在影响；关键要素。可能性：风险事件发生的概率或频率；影响：风险事件对组织目标实现的影响程度，包括正面和负面影响；风险水平：结合可能性和影响来评估风险的总体水平；方法：可能采用概率建模、情景分析、因果分析、故障树分析等技术，以深入理解风险特性。风险评价：定义：基于风险识别和风险分析的结果，将风险与组织的风险偏好、可接受的绩效波动范围等进行对比，以确定风险的优先级和应对策略；关键要素。风险偏好：组织在追求目标过程中愿意接受的风险类型和数量；可接受的绩效波动：与实现业务目标相关的可接受结果的范围；风险优先级：根据风险的严重性和组织的风险承受能力，对风险进行排序；输出：风险评价的结果通常用于指导风险应对措施的制定，确保资源的有效分配。全过程的整体性。系统性：风险评估是一个系统性的过程，每个环节相互依存，共同构成了一个完整的风险管理循环；动态性：随着组织内外部环境的变化，风险评估需要定期进行，以确保风险管理的时效性和有效性；综合性：风险评估结合了多种技术和方法，以全面、深入地理解和评估潜在风险，为组织决策提供有力支持。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.9风险识别iskidentification发现、确认和描述风险（3.1.1）的过程。注1：风险识别包括对风险源（3.3.10)事件（3.3.11）及其原因和潜在后果（3.3.18）的识别。注2：风险识别可能涉及历史数据、理论分析、知情的意见和专家意见以及相关方（3.3.2）的需求。[源自：ISO导则73:2009，3.5.1]，修改－术语“interestedparties（相关方）”已代替stakeholders（利益相关者）。风险识别发现、确认和描述风险的过程。发现风险；定义：风险识别始于对可能影响组织目标实现的不确定性的探寻。这是一个主动过程，旨在揭示潜在的威胁和机会；方法：包括但不限于系统地审查组织的运营环境、战略目标、历史数据等，以发现可能的风险情境。确认风险；定义：在发现潜在风险后，需要进一步确认这些风险是否确实存在，以及它们对组织目标的具体影响；步骤：这通常涉及对风险源、触发事件、根本原因及潜在后果的深入分析和验证。描述风险；定义：一旦风险被确认，就需要对其进行详细描述，以便组织内所有相关人员都能准确理解其性质和影响；内容：描述应涵盖风险源、具体事件、潜在原因、预期后果以及它们如何与组织目标相关联。风险识别包括对风险源、事件及其原因和潜在后果的识别：风险源：指可能引发风险的要素或条件，是风险识别的起点；事件：由风险源触发的具体情形或变化，是导致风险后果的直接原因；原因：分析事件发生的根本驱动力，有助于深入理解风险的本质；潜在后果：评估事件发生后可能对组织目标产生的各种影响，包括正面和负面影响。风险识别可能涉及历史数据、理论分析、知情的意见和专家意见以及相关方的需求。历史数据：过去的经验和数据是识别风险的重要参考，可以帮助组织了解类似情境下风险的发生规律；理论分析：运用风险管理理论和方法，对潜在风险进行逻辑推理和预测；知情的意见和专家意见：借助内部员工和外部专家的专业知识和经验，提高风险识别的准确性和全面性；相关方的需求：考虑相关方的观点和需求，确保风险识别过程兼顾各方利益，避免遗漏重要风险。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.10风险源risksource可能单独或共同引发风险（3.1.1）的内在要素。风险源可能单独或共同引发风险的内在要素。定义核心：风险源是指那些潜在的能够单独或联合导致不确定性发生，从而对组织目标产生影响的内部因素或条件。风险源是风险管理的起点和基础。只有准确识别和管理风险源，才能有效控制风险事件的发生，保障组织目标的实现。内在要素；内在要素涵义：风险源是组织内部存在的因素，它们可以是物理的、技术的、管理的或人为的等方面的问题或条件。这些要素在组织运营过程中可能潜伏，但在一定条件下会触发风险事件，对组织目标产生不利影响或提供潜在机会；可能单独引发风险的内在要素包括但不限于：设备故障：生产设备、信息系统的突发故障可能导致生产中断、信息泄露或数据丢失；人为错误：员工在操作过程中的人为疏忽、判断失误或故意行为可能引发安全事故、财务损失或法律合规问题；管理缺陷：管理政策、流程或制度的不完善可能导致决策失误、资源浪费或内部腐败；技术落后：技术过时、不兼容或缺乏必要的维护可能导致系统效率低下、安全漏洞频发；供应链问题：供应商无法按时交付产品或服务质量不达标，直接影响组织的生产运营和客户满意度；自然灾害：虽然某些自然灾害（如地震、洪水）属于外部因素，但组织内部的防灾措施不足也可能加剧其影响，视为内在风险源；财务问题：资金链断裂、成本控制不力或投资决策失误可能导致财务困境，影响组织的持续运营；信息安全漏洞：网络系统的安全漏洞、密码管理不善或未经授权的访问可能导致数据泄露、网络攻击；合规性问题：对法律法规、行业标准或内部政策的不了解或忽视，可能导致法律处罚、声誉损失或客户流失；内部竞争：部门或团队之间的利益冲突、资源争夺可能影响组织整体目标的实现。单独或共同引发风险：风险源可能单独作用，直接导致风险事件的发生。风险源也可能多个同时存在，共同作用于风险事件；可能共同引发风险的内在要素组合多种多样，以下是一些典型示例：设备老化与人为错误：老化的设备更容易发生故障，而操作人员的疏忽可能加剧这种风险，共同导致生产中断；管理缺陷与技术落后：不完善的管理制度可能无法及时发现并解决技术问题，技术落后又可能因缺乏有效管理而进一步恶化，共同影响组织的竞争力；供应链问题与财务问题：供应商的不稳定可能导致原材料短缺或成本上升，同时组织的财务问题可能限制其应对能力，两者共同作用可能导致生产延误或利润下降；信息安全漏洞与合规性问题：网络系统的安全漏洞可能被不法分子利用，而组织对合规性的忽视可能无法及时识别和应对这些威胁，共同导致数据泄露和法律风险；内部竞争与资源分配不均：部门间的竞争可能导致资源争夺，而资源分配的不合理可能加剧这种竞争，共同影响组织的整体效率和目标实现；自然灾害与防灾措施不足：虽然自然灾害本身难以控制，但组织内部的防灾准备不足（如缺乏应急预案、逃生通道不畅）可能加剧其影响，共同导致更严重的损失。对组织目标的影响：风险源的存在和变化直接影响组织目标的实现。它们可能导致目标偏离预期，甚至导致目标无法实现；识别和管理风险源是风险管理的重要环节，有助于组织及时采取措施，降低风险事件发生的概率和影响程度。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.11事件event某一类情形的发生或变化。注1：一个事件可以包括一个或多个情形，并且可以由多个原因导致和产生多个后果（3.3.18）。注2：事件可以包括预期会发生但没发生的事情，也可能是预期不会发生但发生的事情。注3：事件有可能是一个风险源（3.3.10)。事件某一类情形的发生或变化。情形的发生或变化：事件指组织中具体发生的某件事情或某个状态的变化。这种变化可能是突发的，也可能是渐进的，但都会对组织的运营产生影响；一个事件可以包括一个或多个情形，并且可以由多个原因导致和产生多个后果；包含多个情形和原因；一个事件可能包含一个或多个具体的情形，这些情形相互关联，共同构成了事件的整体；事件可以由多个不同的原因引发，这些原因可能单独或共同作用，导致事件的发生。产生多个后果：事件发生后，往往会产生一系列的后果。这些后果可能直接作用于组织的目标，对其产生正面或负面的影响。后果的数量和性质取决于事件的复杂性和组织的特定环境。示例：一家化工厂发生爆炸事件。这个事件不仅包含爆炸这一主要情形，还可能涉及爆炸前的气体泄漏、警报系统失灵等多个辅助情形。爆炸的原因可能是设备老化、操作不当、维护不足等多个因素共同作用的结果。而后果则可能包括人员伤亡、环境污染、财产损失以及生产中断等多个方面。事件可以包括预期会发生但没发生的事情，也可能是预期不会发生但发生的事情；预期会发生但没发生的事情；这种情况通常指的是那些根据现有信息、历史数据或专业判断，认为很可能会发生的事件，但实际上并未发生；在这种情况下，组织应反思其预测和决策过程，考虑是否存在信息不足、判断失误或外部环境的突变等因素，以便在未来的决策中做出更准确的预测和更有效的应对；示例：某公司计划在下雨前完成户外施工，以避免雨水对施工的影响。然而，尽管天气预报准确预测了降雨时间，但由于施工进度的延误，最终施工还是在下雨时未完成，导致了额外的成本和延误。预期不会发生但发生的事情：这种情况指那些组织认为不太可能发生或完全出乎意料的事件。这些事件通常具有突发性、偶然性和不可预测性（如自然灾害、重大事故、政策变动等）。由于这些事件超出了组织的预期范围，因此组织往往缺乏充分的准备和应对措施，可能导致严重的损失和影响；在面对这种情况时，组织应具备较强的应急响应能力和风险管理意识。通过制定应急预案、建立应急团队、储备应急资源等措施，组织可以在事件发生时迅速做出反应，减少损失并尽快恢复正常运营。同时，组织还应不断评审和优化其风险管理框架和流程，提高对未来不确定性事件的预测和应对能力；示例：一家零售店通常不会遇到严重的抢劫事件，因此没有安装高级别的安全系统。然而，某天晚上突然发生了一起持枪抢劫，这是店主和管理层之前未曾预料到的。作为风险源：事件有可能是一个风险源。在某些情况下，事件本身可能就是一个风险源。该事件的发生直接增加了组织面临的不确定性，从而影响了组织目标的实现；当事件作为风险源时，组织应特别关注其潜在的影响，并采取相应的风险管理措施来降低风险；示例：某地区频繁发生地震，虽然地震本身是一个自然现象，但在这个地区运营的企业需要将其视为一个重要的风险源。地震可能导致供应链中断、设备损坏、生产停滞等一系列风险，因此企业需要制定相应的风险管理策略来应对这一风险源，包括建设抗震设施、制定应急预案、购买地震保险等。在这个例子中，地震事件本身就是一个直接的风险源，它增加了企业运营的不确定性。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.12危险hazard潜在伤害的来源。注：危险可以是一类风险源（3.3.10)。[源自：ISO导则73:2009，]危险潜在伤害的来源。定义核心：危险是指那些具有潜在能力导致伤害的来源。它强调了伤害发生的可能性，而不是伤害本身。危险是风险构成中的一个重要元素，与风险源紧密相关。潜在性：危险并非直接造成伤害，而是具有造成伤害的潜在能力。这种潜在性表明，在特定条件下，危险可能转化为实际的伤害事件；伤害来源：危险被明确定义为伤害的来源，任何可能对人、物、环境等造成损害的因素都可以被视为危险；与风险源的关系：危险可以是一类风险源。危险是风险识别过程中需要重点考虑的对象之一，因为它是风险产生的根本原因之一。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.13威胁threat危险、伤害或其他不良结果。注1：威胁是一种可能存在损失且对其控制不力的负面情形。注2：对一方可能是威胁，而对另一方则可能带来机会（3.3.23）。威胁危险、伤害或其他不良结果。定义核心：威胁是指那些可能带来危险、伤害或其他不良结果的负面情形。它强调了不确定性和潜在的负面影响，同时指出了对这些负面影响控制不足的现状。威胁是一种可能存在损失且对其控制不力的负面情形控制不力：威胁是那些“对其控制不力的负面情形”。尽管威胁存在，但当前的控制措施可能不足以有效防止其发生或减轻其影响；损失的可能性：威胁首先关联到潜在的损失，这种损失可以是物质上的（如财产损失），也可以是非物质上的（如声誉损害）。相对性：同一情形对不同的主体可能产生截然不同的影响。对一方而言是威胁，可能意味着损失或不利条件；但对另一方而言，却可能是一个机会或有利因素。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.14风险责任人riskowner具有管理风险（3.1.1）的责任和权力的个人或实体。[源自：ISO导则73:2009，，修改－术语“risk”已代替“arisk”]风险责任人riskowner具有管理风险的责任和权力的个人或实体。定义核心：风险责任人指被赋予管理特定风险的责任和权力的个人或组织实体。该定义强调了责任（对风险的管理义务）和权力（执行风险管理措施的权威）的双重属性；责任：风险责任人需对特定风险的管理结果负责。这包括制定风险管理策略、监督风险应对措施的实施以及评估风险管理效果等。权力：为了有效管理风险，风险责任人被赋予相应的权力，包括决策权、资源调配权以及与其他相关方协调的权力。个人或实体：风险责任人可以是组织内的单个个体（如项目经理、部门经理），也可以是整个组织或组织内的某个部门、团队等实体。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.15风险分析riskanalysis理解风险（3.1.1)）性质、确定风险水平（3.3.22）的过程。注1：风险分析是风险评价（3.3.25）和风险应对（3.3.23）决策的基础。[源自：ISO导则73:2009，3.6.1，修改-注2已删除]风险分析理解风险性质、确定风险水平的过程。定义核心：风险分析是一个系统性的过程，旨在深入理解风险的本质属性，并通过量化或定性的方式确定风险的水平。这一过程为后续的风险评价和风险应对决策提供了重要依据；理解风险性质：风险分析首先要求识别和理解风险的各个方面，包括风险源、潜在事件、后果以及它们之间的因果关系。这一步骤涉及对风险进行全面而深入的剖析，以便准确把握风险的本质特征；确定风险水平：在理解风险性质的基础上，风险分析进一步通过量化或定性的方法评估风险的严重程度。这通常涉及对风险发生的可能性和后果进行综合考虑，从而得出一个综合的风险水平指标。风险水平的高低反映了组织面临风险的大小和紧迫性；基础性作用：风险分析是风险评价和风险应对决策不可或缺的前提。只有通过深入的风险分析，组织才能准确评估风险状况，进而制定出科学合理的风险管理策略。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.16可能性likelihood某件事发生的机会。注1：无论是以客观的或主观的、定性或定量的方式来定义、度量或确定，还是用一般词汇或数学术语来描述[如概率（3.3.19)，或一定时间内的频率（3.3.20)]，在风险管理术语中，“可能性”一词都用来表示某事发生的机会。注2:“可能性”（likelihood）这一英语词汇在一些语言中没有直接与之对应的词汇，因此经常用“概率"(probability）这个词代替。不过，在英语中，“概率”常常被狭义地理解为一个数学词汇。因此，在风险管理术语中，“可能性”应该有着与许多语言中使用的“概率”一词相同的解释，而不局限于英语中“概率”一词的意义。可能性likelihood某件事发生的机会。定义核心：可能性是指在风险管理领域中，用来描述某件事或某个事件发生的概率或机会。它反映了事件发生的不确定性和潜在的发生频率。机会的本质：可能性直接关联到事件是否会发生的不确定性。这种不确定性可能源于多种因素，包括环境条件、人为操作、自然规律等。度量方式的多样性：可能性的度量方式具有多样性。它可以是客观的（基于实际数据或实验结果），也可以是主观的（基于专家判断或经验）。此外，可能性既可以用定性方式描述（如“很可能”、“不太可能”），也可以用定量方式度量（如具体的概率值或频率）。数学与语言描述的兼容性：在风险管理术语中，“可能性”这一词汇被广泛应用于各种情境中，无论是使用一般词汇还是数学术语（如概率、频率）来描述，其核心意义都是指事件发生的机会。ISO31073-2022《风险管理——术语》ISO31073-2022《风险管理——术语》3.3.17暴露exposure组织（3.3.7）和/或相关方（3.3.2）受某事件（3.3.11）影响的程度。[源自：ISO导则73:2009，]，修改－术语“interestedparties（相关方）”已代替“stakeholders（利益相关者）。暴露组织和/或相关方受某事件影响的程度。主体界定：暴露的主体可以是组织本身，也可以是受到组织活动影响的相关方。这指出了暴露的广泛适用性，不仅局限于组织内部，还涉及外部相关方；事件定义：“某事件”指可能发生的、对组织或相关方产生影响的特定情形或变化。它可以是预期之内的，也可以是预期之外的，包括所有可能对主体产生影响的内外部因素；影响程度：暴露的核心在于衡量组织或相关方受某