风险管理 新兴风险管理指南 征求意见稿

1GB/TXXXXX—XXXX风险管理新兴风险管理指南本文件提供了管理组织可能面临的新兴风险的建议，并对ISO31000内容进行补充。本文件适用于任何组织、任何阶段和任何组织活动，其应用可以根据不同组织或不同组织的背景进行定制。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ISO22300，安全和韧性-词汇ISO22316，安全和韧性-组织韧性-原则和属性ISO31000，风险管理-指南IEC31010，风险管理-风险评估技术3术语和定义下列术语和定义适用于本文件。3.1韧性属性resilienceattribute组织吸收和适应不断变化的环境的能力的特征或特点。3.2知识knowledge通过学习吸收信息所得到的结果。注2：知识包括与工作或学习领域相关的信息、事实3.3情报intelligence搜集、分析和解释数据、信息和知识的结果2注：情报可以是不同种类，例如（但不限于）市场、技术、竞争、知识产权或业务情报。3.4组织韧性organizationalresilience组织在不断变化的环境中吸收、恢复和适应的能力[来源:IS022300:2021，3.1.167，修改后--在定义中增加了“恢复”一词，将“环境”一词替换为“上3.5激进式创新radicalinnovation突破性创新breakthroughinnovation具有高度变革的创新。注1:改变可能与实体或其影响有关。注2:激进式创新处于渐进式创新连续体的另一端。[来源:IS056000:2020，]3.6颠覆性创新disruptiveinnovation创新最初是为了解决较低的需求，取代现有产品需要注1:与现有产品相比，颠覆性创新最初是性能较低、更简单的产品，通常更具成本效益，所需资源更少，成本更低。注2:当有大部分的用户或客户采用了该创新时，就会发生中断。注3:颠覆性创新可以通过解决新用户和部署新的业务和价值实现模式来创造新的市场和价值网络。[来源:IS056000:2020，.2]4新兴风险4.1新兴风险的性质新兴风险的性质（参见附录A中的示例和附录B中收集的数据示例）可能包括：a)组织先前未能识别或经历过的风险；b)在现有知识不适用的新的或陌生的背景下出现熟悉的风险；c)显著演变的风险；d)系统性风险（参见附录Ce)风险的新组合。如果组织不考虑新兴风险，并不意味着该组织不会受到影响。在很多案例中，最初不可能制定与利益相关的情景，来预估事件可能性、预测结果或确定控制方案。为了更好理解特定新兴风险的性质，3GB/TXXXXX—XXXX应该考虑更易理解的相似风险的性质。上述风险可能源于组织追求实现其目标的变化，例如：a)组织关系；b)获取资本和能力；c)与社会、地缘政治、环境、经济、技术、法律、观念（参见附录D）和伦理因素的相互作用或相互依赖关系；d)业务的内部治理、文化和运营方面。应通过观察组织环境的变化，主动识别和描述新兴风险。新兴风险通常由一组以前未被认识到的新情况或条件，或已识别的风险特征的变化代表。这些变化可能与以下方面有关：a)社会规范；b)组织文化；c)观念；d)关于风险或风险演变方式的数据，或根据数据解释的信息。注：风险出现时，背景中几乎没有预见性。4.2新兴风险的特征4.2.1概述有效和高效地管理新兴风险需要不断获取组织功能、背景、经验、数据访问和新兴风险特征方面的知识（例如通过应用风险情报循环，参见第8条款和附录E）。所获取的数据、信息和知识应适当记录（参见第6.7条和附录B）。以下因素对于关于新兴风险的新知识可能特别重要：a）与预期结果或后果的可能偏差，无论是正面还是负面，、及其可能性；b）风险的来源和性质；c）其他因素，例如风险的发展速度和可检测性。如果组织之前没有经历过特定的环境变化，那么与这些变化相关的数据可能是有限的，或新兴风险的所有特征可能也不明显（例如对于系统性风险，请参见附录C）。在动荡、不确定、复杂和模糊的环境中，了解新兴风险环境的特征取决于与其相关的知识，包括其性质和来源、数量和时间等。因此，获得的知识可能不足以确定特征和潜在风险源的变化，或者如果已经发现了新兴问题，则可能无法确定偏离预期的可能性和后果。由于高度不确定性，数据和信息的解释可能会受到个人感知的偏见（见附录D）。新兴风险特征应该进行分类，例如考虑以下元素：a)知识元素，包括例如：l组织环境中未知的变化；l受到解释和偏见影响的微弱变化信号；l无法确定可能性和后果的不充分数据。b)不稳定元素，包括例如：l条件或情况可能会快速或不可预测地发生变化；l变化的影响和未知变量的后果；l数据和信息的不稳定性。c)不确定性元素，包括例如：l从早期警报和信号到新兴风险的转变；l确定新兴风险的来源。d)复杂性元素，例如：l系统、部件或流程高度相互关联；4l组织环境之间未知的相互依赖性；l新兴风险与可能导致非线性效应的其他风险或活动的相互作用；l某些风险的系统性质（见附录Cl潜在决策和后果的高度复杂性。e)歧义性元素，例如：l数据有限，可有多种解释和个体观念；l缺乏开发知识和智能的优先权；l情境变化的因果关系缺乏明确性。f)时间维度元素，例如：l组织环境变化速度；l新兴风险特征变化的速率。g)控制要素，包括例如：组织无法控制的因素的影响，无论是在内部还是外部环境中。h)行为要素，包括例如：意外变化的影响，无论是在环境、人员、系统还是流程方面（详见附录D）。不是所有以上特征都适用于所有新兴风险，也不是新兴风险独有的。然而，上述类别确实代表了新兴风险的一个共同主题，在管理新兴风险时要考虑到。4.2.1知识方面涉及新兴风险的知识应基于可用数据的数量和质量，以及它们作为可靠信息支持决策制定的可用性。为了有效地管理新兴风险，应考虑使用可以收集和解释有关外部环境中能力、可能性、变化和趋势的数据的系统，同时考虑到有关新兴风险特征及其对组织目标影响的知识可能取决于仍尚未获取或有限的数据。值得注意的是，在缺乏足够知识的情况下，对新兴风险的理解可能会受到个人感知、认知偏见、群体动态、错误信息或误解的影响，从而阻碍可靠评估可能性和后果。在这种情况下，管理新兴风险的重点应该是评估它们的合理性并增强组织的韧性。随着新兴风险的演变，关于它们及其特征的知识也随之演变。注：最初，对特定环境下的潜在问题不够了解。随着数据和信息的收集和解释，知识逐渐增加，使得组织能够识别新兴风险，并对潜在后果做出决策。这应该在风险情报循环中得到定义，用知识作为战略情报和改进决策制定应该具有系统性（请参阅第8条款和附录E）。4.2.2量化方面可用数据和信息的质量（例如完整性、可靠性、准确性、及时性、相关性）对于获取知识以对新兴风险特征进行量化（包括后果和可能性）至关重要。组织应建立系统，及时获取有关弱信号或早期警告的相关数据并对其和新兴风险特征的变化进行分析。这种分析应包括信息的模糊性，与理解新兴风险发展有关的局限性，以及组织背景下的趋势和模式，指示可能出现的新兴风险的来源。4.2.3时间维度对新兴风险的特征描述应包括时间维度，例如了解和管理风险所需信息可用率。了解新兴风险的时间相关特征还影响数据收集和分析，信息解释以及及时决策制定中所需的知识创建。获取必要信息可用的时间还会影响风险管理控制方案和所需的专业知识程度。作为新兴风险特征的关键时间指标应包括：a）条件或情况变化的速度（速率5GB/TXXXXX—XXXXb）新兴风险的发展速度；c）从环境或情况变化到识别新兴风险的先行时间；d）获得信息、知识和情报所必需成熟数据的时间；e）环境变化和出现弱信号或早期警告之间的时间间隔；f）从风险识别到事件发生的时间。4.2.5波动性方面新兴风险的特征可能导致不确定或意外的变化和波动，例如：a)突然认识到情况了解不够充分，以及组织不清楚潜在的重要数据；b)在环境、能力和对这些变化的理解方面发生了意料之外的阶段性变化；c)组织环境中快速和不可预测的变化和不可预见的变化需要不断地更新信息以增加对这些变化原因的理解。这些特点和知识应该被纳入到有效和高效的新兴风险决策中。4.3新兴风险的发展了解组织背景的各个方面应被视为有效识别、分析和评估新兴风险的关键（见第4.1条）。任何或所有这些环境方面的变化都会改变组织背景，从而有可能对组织目标产生积极或消极的影响。在组织背景的任何方面出现的弱信号和第一指标都是潜在新兴风险的征兆。在这种情况下，组织应监测其背景中任何方面的已识别的变化，并不断收集、分析数据以确定任何元素或方面的变化的重要性，并制定情景。密切监测和审查环境变化以及增加可用数据（如可能性、变化速度、发生的幅度和波动性、时间范围和组织背景等各个方面）都有助于明确和理解已识别的问题和潜在新兴风险。在新兴风险发展的初期阶段，特别是对于以前没有经验或了解新兴风险的组织，应该意识到数据可能存在不可用、有限、不一致、不准确或虚假的情况。因此，将数据解释为可验证的信息以供决策制定的过程应该聚焦于减少重大不确定性。虽然持续监测和审查新兴风险特征的变化通常会增加收集数据的质量和数量，但组织应该意识到，在某些情况下，场景分析无法识别或涵盖其背景中的所有变化。。4.4新兴风险管理与组织韧性之间的关系组织韧性是指一个组织在不断变化的环境中吸收、恢复和适应的能力（ISO23300）。组织韧性使一个组织能够实现其目标，生存和繁荣。组织环境的变化往往是早期指标或者识别威胁和机遇、脆弱性和新兴风险来源的标志。关于可能的威胁，组织韧性使组织能够准备好应对威胁，吸收其影响，从中恢复并适应不断变化的情况。关于可能的机遇，组织韧性使组织能够适应变化，创造内部价值并自信地承担适度的风险（ISO有效和高效地管理新兴风险，应该有助于避免和减轻这种情况，即可能导致组织重要目标未能利用机遇或经历不利影响甚至导致组织生存的失败。因此，组织应该采用和应用韧性和韧性指标的原则（附录F发展增强其生存和繁荣的能力和特征。一个组织对变化的预见、准备和响应能力应该是有效地管理新兴风险的关键要求。因此，韧性组织应该以其能力为特征，其中包括：a)预见能力预见能力指发展出预测未知或不太可能事件的能力和功能，以应对任何意外事件，无论是积极的还是消极的。这也意味着准备好在竞争对手之前利用外部环境变化所带来的潜在机会。b)抵抗和恢复能力6c)抵抗和恢复能力指在维护和恢复组织功能之外，抵抗不利情况和在受到干扰后重新回到正常状态的能力，重点是提高组织流程和能力。适应能力适应能力指有效地开发特定情境下的应对措施，适应破坏性事件，并最终参与变革活动从中获得转型的能力。在发生破坏性事件之前确定组织的韧性水平应该是可测量的，并且取决于组织成功管理类似意外事件的程度。组织的韧性应该包括可以实现对新兴风险的有效预测和适应的能力。5原则5.1概述风险管理的核心及其目的在于价值的创造和保护。为了实现这一点，ISO31000概述了一组原则（图1（a。这些原则同样适用于管理新兴风险。图1ISO31000中的原则（a）和流程（b）以下子条款为管理新兴风险的原则提供了额外的建议。在应用这些原则时，组织应确保新兴风险:a)在其出现的阶段不断进行审查，以提高知识并认知其特征和状态；b)在考虑未来大量可能的情景下进行评估；c)充分管理威胁和机会，认识到信息和数据的局限性、不一致性和可变性。5.2整合没有额外的指导；适用ISO31000指南。5.3结构化和全面性组织应在必要时采用敏捷的方法来收集和解释数据，生成信息，并将知识转化为决策者使用的情组织应明确考虑数据（包括结构化和非结构化数据）的获取及其作为信息的解释以及应用的知识是否满足风险管理综合方法的要求。该方法应强调一致性识别工作和有关新兴风险的沟通的重要性。7GB/TXXXXX—XXXX5.4定制化组织应确保其风险管理框架和流程是定制的，以反映与其使命、目标和战略一致的新兴风险的不稳定性、不确定性、复杂性和模糊性。5.5包容性该组织应该适时地确定并与关注新兴风险的利益相关者建立联系，并通过学习组织可以应用的来自不同利益相关者的经验，以提高该组织的知识水平。即使数据质量差且信息有限，但如果信息来源具有足够的可信度和专业知识，该组织也应继续认可该信息的可信度。5.6动态性组织应该考虑到环境中可能发生的意外和破坏性变化，并开发及时预测、检测和应对变化的能力。因此，组织应该保持足够的敏捷性、灵活性和适应性，以适应外部环境中可能发生的合理变化。组织应确保其风险管理框架包括设计用于预测和应对不断变化的情况的组件，并且风险管理流程具有足够的灵活性。组织的成员应该能够适应并应用不同的工具和技术来应对新兴风险的特征。5.7最佳可用信息认识到在评估新兴风险时缺乏历史和相关的现行信息，组织应确保持续开展数据收集、验证和数据分析工作，以提取与新兴风险相关的信息，为决策提供最佳信息来源。第8条款提供了额外指导，即如何收集所有可用数据并产生有价值的情报以进行新兴风险决策。5.8人和文化因素组织应该认识到，缺乏有关新兴风险的事实可能会否定已经确立的观点。基于此，新兴风险信息可以对人类文化和行为产生重大影响。因此，应该重视内部和外部专家的贡献。组织应该认识到，随着新兴风险的发展，数据的可用性和对可信性信息的解释可能会发生显著变化，早期的认知可能会被证明是不正确的，之前确立的信念也可能会受到挑战。5.9持续改进组织应确保新兴风险管理带来社会和商业的新机遇，新的学习和新的体验，包括对以前风险分析结果的批判性审查。组织应明确将这种新的理解程度视为知识发展、风险管理以及风险管理之外的新的和改进的过程和实践的催化剂。组织应确保不断改进，以实现对新兴风险的有效和高效管理。改进应包括数据收集、信息转化和共享，以及知识的创造和增强，同时应用风险管理流程。有效管理新兴风险需要有远见，这也是公共和私营部门进行有效市场情报工作、新产品和服务开发所必需的。管理新兴风险对于成功实现目标并提供满足当前要求的服务以及为未来做好准备至关重要。6流程6.1将ISO31000流程应用于新兴风险组织应该使用ISO31000第6条（图1（b描述的风险管理流程来管理新兴风险，并将活动整合到组织的结构、系统、运营和流程中。在所有层级和每个组织职能内都应考虑新兴风险的相关性。将ISO31000流程应用于新兴风险的过程应该采用一种结构化方法，该方法应具有足够的灵活性8以适应新兴风险理解的最新信息。例如，从风险分析中获得的知识可以应用于预测环境的变化。新兴风险可能会相互影响，也可能会影响组织面临的其他风险。组织应该将新兴风险视为更广泛系统的一部分，而不是离散的个别问题，通过考虑可能的相互依存性和相互关联性来做出这种决策。一种分析依赖关系、相互关系和相互连接的方法应该能够产生全面的理解，而不是仅仅考虑整个系统的情况下检查单个风险。在第8条款和附录E中描述的风险情报循环可以帮助组织及其决策者应用ISO31000中描述的风险管理过程。6.2沟通和咨询除ISO310006.2条款外，以下建议也适用。组织应该确定内部和外部利益相关者并建立沟通路径，以便在需要采取行动时已经建立沟通手段。与任何风险一样，利益相关者应包括应该被通知的人、将被征询意见的人和将参与风险管理过程不同方面的人员。利益相关者可能会随着时间而变化，不同的利益相关者可能涉及不同的风险管理要素。例如，广泛的独特经验和专业知识可以帮助识别新兴风险，而对特定风险的分析可能需要特定的专业专家。与相关利益相关者接触有助于识别新兴风险，使利益相关者提供信息以支持决策，并对其实施提供反馈。它使得关于新兴风险的信息和知识可以在不同的利益相关者之间（例如专家、监管机构、股东、消费者、媒体、合作伙伴、供应商、公共服务和普通公众）共享。通过这种方式，他们可以达成对风险及其管理所需采取的任何行动背后原因的共识。当首次发现新兴风险时，可能很少有关于其影响的知识，因此可能会出现不同的观点和认识，其对组织的重要性也会有所不同。沟通对于处理可能出现的不同看法非常重要（例如，受社交媒体的影响或在媒体来源中呈现虚假或误导性信息）。快速发展的新兴风险可能需要快速决策，从而强化了加强沟通和征询意见的必要性。应考虑其他组织或利益相关者（例如合作伙伴、客户、供应商等）是否经历过类似情况，以尝试获取有关数据和信组织应该：a)建立有效的手段以收集关于新兴风险最新的信息，并加以传播以帮助对抗错误信息；b)快速传达在风险管理过程中识别出的背景变化和新兴风险，贯穿整个组织；c)开发快速接触利益相关者以确保双向交流的能力（例如，提供关于新兴风险的重要信息，获取反馈，使组织能够适应和应对变化的情况d)建立一种可让评估新兴风险的人员能够影响适当层级管理人员的机制，以便在新兴风险达到某些门槛时可以实施计划。e)建立利益相关者之间的信任。当关键信息不确定或模糊，或者不存在风险处理方案时，这尤其具有挑战性；f)鼓励和授权利益相关者，无论其职位或地位如何，提醒相关人员关注可能存在出现新兴风险的6.3范围、内容和标准6.3.1范围和背景除了ISO31000第6.3条款外，还适用以下建议。组织应考虑组织所处背景的多个方面。风险来源可以来自组织与社会、地缘政治、环境、经济、技术、法律和伦理因素的关系、互动或相互依赖，以及业务的内部治理、文化和运营方面。应该将广泛的视角和时间范围视为风险来源，薄弱信号和变化的早期警告信号可能出现在当前背景之外。背景信息的广度和深度对于有效地管理新兴风险至关重要。除了了解组织运营的当前背景外，组织还应寻找可能成为新兴风险来源的变化和趋势。背景的变化可以由内部推动（例如进入新领域也可以由外部驱动（例如新技术）。它们可以直接或间接地通过关联组织和部门影响组织。变化可以是缓慢的（例如气候9GB/TXXXXX—XXXX变化，也可以是一次性的，例如自然灾害）或突发疫情（如流行病）。在某些情况下，背景变化的潜在风险已经可以确定。任何背景变化的重要性应在运营和战略层面进行评估，因为变化可能具有重大的战略和运营后果。在考虑新兴风险的背景时，适用以下建议：a)设定涉及新兴风险的活动范围，以确保其具有足够的广度，以覆盖可能对组织目标构成风险的任何变化。这可能包括政治、经济、社会学、技术、法律和环境变化以及组织人力资源的变化；b)确定需要评估风险的组织、系统、流程、项目或活动的边界；c)确认并理解可能会对组织实现目标的能力产生影响（积极或消极）的外部因素以及这些因素可能发生变化的方式；d)理解可能会增加新兴风险敏感性和脆弱性的组织内部背景；e)建立机制来监测内部和外部环境的变化，包括可能逐渐发生的趋势和变化；f)开发和分析场景，以提供可能未来状态的理解；g)继续监测组织环境的变化（不仅仅是变化本身，还包括在组织环境中如何看待这些变化，这可能是新兴风险的来源h)在检测到相关的新兴风险时，评估韧性及其指标（见第7条款）。通过对变化进行不断的扫描，应补充对内外环境的定期评估。这使得数据可以更新以改善对新兴风险的理解，并为其持续管理提供适当的情报（另请参见第8条和附录E）。多样化的信息来源应用来帮助理解新兴风险的背景。这可能包括浏览网页、与行业协会和其他专业机构的联系以及参与非正式的专业网络。注：使用诸如PESTLE（政治、经济、社会、技术、法律、环境）或STEEPLE（社会、科技、经济、环境、政治、法律、道德）之类的助记符可以帮助提供一种结构化的方法，将注意力引导到要考虑的背景的不同领域。6.3.2准则组织应该制定准则和简单的规则来决定新兴风险的重要性。然而，在新兴风险的情况下，数据往往不足够，过于复杂性或模糊性的问题，使其无法应用简单的规则来确定其重要性。关于新兴风险是否需要采取行动的决定可能需要进行咨询，并考虑不同方面的可用证据，例如：a)信任度和正当性，即是否可能发生某种特定后果（可信度b)后果的性质和其对目标可能产生的影响的重要性；c)发生特定情况的可能性的感受；注：发生的可能性、合理性和后果严重程度的不确定性是独特的特征，它们不能互换。d)后果和发生可能性估计的不确定性水平；e)变化发生的速度；f)后果可能发生的时间范围；g)控制措施的实用性；h)所涉及利益相关者的意见。对于新兴风险，因果关系可能没有被完全确立。因此，组织可以建议在涉及风险的决策中采取预防和透明度为基础的方法（参见[6]特别是当活动可能对人类健康或环境造成伤害时。6.4风险评估6.4.1总则除ISO31000条款6.4之外，以下建议也适用。6.4.2识别新兴风险最初，组织可能没有关于新兴风险的知识和经验，这些风险难以识别和描述。环境的变化会创造和塑造新兴风险的发展。新兴风险的来源可以包括全球态度的改变、创新技术、其他组织的行动、政治和经济压力以及环境和社会变化等。新兴风险可能会对多个目标产生积极和消极的后果，同时还可能产生连锁和复合效应，这些后果通常并不会立即明显。因此，需要特别关注使用多种方法/技术和信息来源来确定可能从一种风险源产生的积极和消极后果的范围。采用结构化的方法来识别新兴风险有助于确保不会错过任何明显的风险，但一些非结构化的识别和数据收集技术也有助于允许和鼓励富有想象力的思考。采用多种互补的方法和技术可以实现更全面的识别。组织应该：a)从多个角度或使用相关的方法/技术对其运营环境进行定期和全面的扫描，以识别环境变化和新兴风险；b)在战略层面和整个组织中应用风险管理流程时寻求识别新兴风险（对于个别项目或部门具有特殊重要性的风险，在更高层面的战略思考中可能不太明显或不太可能被考虑c)分析可能最终导致新风险的趋势；d)描述风险来源以及与其相关的可能利益情景；e)积极寻找既有积极结果又有负面结果的情景；f)探索相互关联的风险和背景；g)确定新兴风险的指标，提供即将出现的后果或新机遇和威胁的早期预警，并监测这些指标；h)不断监测数据，以便在获得最新信息时更新风险描述。用于识别和分析风险的ISO31010方法也可以应用于新兴风险。情景技术有助于识别以前未遇到的后果、级联和复合效应。情景分析涉及识别多种可能的情景，这些情景的发展取决于环境和规划的反应，从而导致首选的未来状态。让人们从不同角度思考的技术也是有帮助的。6.4.3分析新兴风险风险分析的目的是为了了解风险，以便做出明智的决策。应确保对以下决策的了解：a)新兴风险对组织是否重要（参见6.3.2b)组织应如何应对新兴风险，以及紧迫性如何；c)选择计划行动的可用方案。组织应特别关注以下新兴风险，即初始数据有限、有关风险的知识受到显著不确定性的影响（例如可能的情景、后果或控制措施的有效性或者解释此类数据作为决策信息时受到认知偏差的影响（请参见附录D）。在这种情况下，组织应使用信誉良好的来源收集最佳可用数据和信息。数据和信息应在可能的情况下进行验证。鉴于新兴风险的特点，组织应分析新兴风险的来源、可能的事件和情景以及它们对目标的正面和负面影响。还应考虑连锁和复合后果的可能性。情景也可以用来探索应对新兴风险的措施可能产生的影响。还可以使用博弈论方法（请参见IEC31010）来考虑其他参与者（假定他们根据自己的利益行事）的行动。对于每个情景，组织应考虑不同目标的后果的重要程度、认知可能性以及估计值的不确定性。如果初始估计极不确定，则可能的方案包括：a)通过咨询其他专家或进行额外的研究来扩展知识；b)通过使用风险发生可能性的范围来确认缺失的信息（即将可能性本身作为随机变量c)使用类似和更易理解的信息；d)明确传达知识可能基于有限信息或个人感知，以便决策者了解判断基础。GB/TXXXXX—XXXX可用于支持评估的证据应记录下来（参见第6.7条）。后果和可能性可以结合起来给出风险水平的估计。然而，对于决策者来说，关于可能后果及其发生的可能性的独立信息，有时比将其组合成风险水平更有价值。信息和估计中的不确定性应始终记录并传达。在可以识别背景变化或观察到早期影响的情况下，可能会出现新兴风险，但以下问题一个或多个适用：（a）可能的情景没有明晰的观点；（b）因果关系不明确；（c）不能描述或评估后果和可能性；（d）无法全面了解问题的整体性；（e）无法获取专用解决方案。注：这些风险有时被称为“邪恶风险”。对于新兴风险，应该采取预防性方法，并指定控制措施，以便随着情况变得更加明确而更新。组织应该尽可能地发展预测、准备、响应和适应意外后果的能力（参见第7条同时继续寻求信息和数据（参见第8条）。对于这类风险，弱信号变化的识别尤为重要。随着更多数据的获取，应当更新情景描述、因果关系、后果和可能性的估计以及其他支持信息。在这个过程中，新兴风险的感知重要性会发生显著变化。有些新兴风险可能微不足道，而另一些则可能变得更加重要。对可能情景的逐步理解也可能导致新的风险被识别出来。与情景相关的时间方面应当被确定，因为这将影响进一步数据收集和治理的紧迫性。例如：a)短期新兴风险是已经可能对组织造成重要后果的风险。这些风险需要立即关注，因此需要将资源分配给数据收集和分析，并紧急寻求进一步的知识；b)中期新兴风险是短期内不会产生严重后果，但随着环境的变化可能会发展的风险。通过有效解释信息来建立知识，这是鉴别可能需要一些时间才能执行的控制的关键；c)长期新兴风险不会立即对目标产生影响，但环境可能会发生变化，并在未来产生巨大风险。对这些风险的环境进行监测，并确定可以识别需要重新考虑这些风险的指标。变化的速度也是相关的，例如：a)组织环境的变化；b)后果的变化；c)风险智能在整个风险智能周期中的变化。注：风险情报成熟度能被作为“适当的知识质量”来衡量（参见第4条款）。除了分析单个风险之外，还应考虑风险之间的相互作用。改变环境对已经确定的风险的影响也应该探究。在考虑情境变化时，应重新审视已经做出的假设，以查看这些风险是否正在演变。相信控制措施在新环境中有效的想法可能也不成立，应该在可能的情况下进行测试或测量。6.4.4评估新兴风险分析结果应该根据风险标准进行评估。社会、监管、文化、环境和伦理方面也应该考虑在内。新兴风险的重要性也应该在涉及风险的商业决策和权衡中考虑。对于一些风险，不需要立即采取行动。这包括以下原因：a)没有足够的信息做出任何决定；b)风险被认为对组织的重要性较低；c)任何后果的时间跨度很长。这些风险仍应该被监测。缺乏有关新兴风险的数据、信息和知识可能导致对其后果及其可能发生的方式存在重大不确定性。在评估风险的重要性并决定应对措施时，采取预防性方法可能是适当的。人们对风险的看法因其目标和偏见而异。这在涉及陌生的新兴风险以及往往缺乏评估依据的情况下尤为明显。在某些情况下，如果潜在后果或其可能性存在重大不确定性，则确定可能的行动并考虑哪些是可行和有用的可能会有所帮助。当考虑的后果非常严重，如可能导致死亡时，也会采用这种方法。随着新兴风险数据的获取，其感知重要性的变化应纳入组织决策过程的一部分。在某些情况下，随着知识的增加，最初的新兴风险指标可能被证明是没有根据的。然后，优先事项会发生变化，监控可能会减少或可能会结束。如果适当的话，应在整个组织内传达有关被认为重要的风险信息，以便在做出决策时予以考虑。组织应分配责任和权限，以检测和应对关于新兴风险的可用数据和信息的变化，并将其传达给决策者。6.5风险应对在出现新兴风险的情况下，随着背景的演变或者知识的积累，所需的风险管理行动也可能会不断演变。因此，治理措施的有效性和效率应该不断地评估并根据需要进行改变。由于后果和可能性通常是未知的，组织应该发展能力来预见、准备和应对多种未知因素，并适应意外情况。除了ISO31000第6.5条款外，以下建议也适用。组织应该：a)分析处理新兴风险的方案（场景分析和事件树分析可用于比较不同的处理方法，参见IEC31010b)将可能对组织产生严重后果的新兴风险纳入业务连续性计划中；c)保持敏捷，不断评估其控制环境，以确定需要采取的行动和对意外事件的韧性；d)测试应用的风险治理措施；e)将处理新兴风险的计划整合到组织的运营和规划过程中。6.6监督和检查除ISO31000条款6.6外，以下建议也适用。组织应该致力于有效和持续的努力来监督和测量风险管理绩效，并审查框架、政策和计划对新兴风险的适应性。应监督和检查用于理解背景和评估新兴风险的过程，以确保其有效性和改进性（如果适用）。由于新兴风险涉及变化，因此持续监测流程的结果尤为重要。例如，组织应获取信息，包括监测有关背景、已识别的风险、可用数据和信息、风险的重要性以及正在采取的措施等方面。这样，可以及时对任何出现的变化作出反应。组织应持续监测背景变化及其影响（参见6.3.1）。应监测有关新兴风险的数据和信息以更新对特定问题的理解。应该确定可以标识变化开始发生时的指标，并监测这些指标。随着对风险的理解不断提高，还应持续监测现有控制和建议的治理的有效性，包括对以往相关经验结果的批判性审查。组织应制定体系，从新兴风险的经验中学习，作为持续改进的一部分。6.7记录和报告除ISO31000条款6.7之外，还适用以下建议。有关新兴风险的信息，使用的媒介以及其如何更新和报告，取决于组织及其利益相关者的需求。一般来说，有关新兴风险的记录应用于以下方面：a)向决策者及时提供有关新兴风险的信息；b)向组织内外的利益相关者提供新兴风险正在被管理的保证；c)在获取信息时，跟踪有关新兴风险及其控制措施的变化和历史数据；GB/TXXXXX—XXXXd)跟踪风险管理计划和治理计划的进展情况。如果可用，有关新兴风险的记录信息应包括有关该风险和各种潜在情景的描述性信息（见附录B）。如果有验证的定量信息可帮助理解，则应在信息记录中包括该信息。在管理新兴风险的背景下，在某些司法管辖区中的法定或监管义务可能要求组织内的指定职能或责任人独立报告管理新兴风险。应提供、维护和更新有关新兴风险的记录信息。附录B中给出了有关新兴风险描述或记录模板的示例。7通过管理新兴风险提高韧性7.1能力发展本文件提供的原则和流程应用于管理新兴风险，有助于组织通过增加识别可能代表潜在新兴风险的背景变化的薄弱信号或早期警报的能力，提高其韧性能力。通过收集可用数据和分析来增强组织预测、应对和适应变化的能力，这些数据和分析可以支持对信息和新兴风险决策所需的基本知识进行有意义的解释。应该使用基于可用数据和信息的新兴风险场景的准备，以提供更好地了解新兴风险发展和破坏性事件对组织功能影响程度之间的关系。图2中的示例是基于一种场景，展示了从新兴风险的初始警报开始，到功能损失和恢复的规模，以及组织预测、准备和应对新兴风险负面后果的能力。图2新兴风险发展场景的示例组织的韧性能力将决定从破坏性事件到恢复，每个阶段所需要的时间，以及对组织功能损失的程度和随后的恢复程度产生相应的影响。组织适应和利用变化情况的能力可以反映在破坏性事件后功能的增加。图3同样展示了破坏性事件造成的损失和恢复程度之间的关系，以及韧性属性和组织能力对以下潜在结果的影响：a)最小要求功能的损失和系统关闭（能力不足b)事件前的功能未完全恢复（能力有限c)恢复到先前存在的条件（连续能力d)事件后的功能超过先前存在的条件（适应能力）。不断扫描多种情境将有助于组织更好地理解新兴风险，并提供构建、衡量和增强组织韧性属性所需的知识。这些组织属性可以帮助识别和分析新兴风险及其特征的变化，缩短从早期警示到破坏性事件启动的时间，并增强组织应对启动响应和适应这些变化情况的灵活性。提高韧性能力应该是一种积极的方法（例如对系统进行压力测试以进行改进见文献[7]。图3事故（事件）对功能的潜在影响X场景时间Y功能性1新兴风险/事件/场景的开端2压力测试极限a功能性比以前更好b功能性和以前一样c功能性仅部分恢复d功能性完全丧失一个有韧性的组织（图3）应能够吸收并适应不断变化的环境，包括潜在有益的变化（例如，在ISO56000[1]中定义的激进式、突破性或颠覆性创新）。组织应该准备好预见、应对和适应由此类创新引起的变化，这些变化可能发生在组织本身或市场中（例如，能够抓住创新带来的机遇以获得竞争优势）。增强韧性也应该被视为一项预防措施，用于应对无法预见的风险。7.2新兴风险和韧性指标新兴风险可能具有影响组织吸收和适应变化背景的特征，并影响组织的其他韧性属性，例如：a）愿景、目标和核心价值观；b）战略问题的决策制定；c）在重大不确定性期间的领导力；d）行为、创造力和创新的文化；e）解释信息和应用知识的能力；f）资源的分配和部署；g）网络和关系；h）协调管理新兴风险所涉及的各个领域；i）维持系统和流程的持续改进能力。关于新兴风险的重大不确定性也有可能改变上述韧性属性的发展、采用和实施背景。在背景的变化程度影响组织预测、规划、应对和适应变化的能力的同时，也是组织韧性的滞后指标。为了在检测到新兴风险后果之前评估其韧性，组织应监测其韧性属性，并通过使用潜在新兴风险情景的演习和测试对其进行压力测试。这些场景可以通过初步数据分析和持续扫描多种组织环境来制定。在与新兴风险相关的重大破坏性事件期间和随后，组织应参考图3和以下组织韧性示例指标来评估其韧性属性的有效性：时间周期相关的指标：GB/TXXXXX—XXXXa)背景变化和识别新兴风险之间经过的时间；b)发现风险和相关事件发生之间经过的时间；c)新兴风险事件到功能损失开始之间的时间；d)对组织目标的影响持续时间；e)事件发生到返回到先前状态之间的时间。生产力和绩效指标：a)不同程度功能损失的损失率；b)损失程度，以功能百分比表示；c)功能损失的持续时间；d)应对积极变化，并利用机会；e)功能损失对组织目标的影响。核心韧性指标：a)视野、目标、目的和价值观的可持续性；b)从新兴风险中实现机会的程度；c)持续增强准备、吸收、应对、恢复和适应/转型能力。组织应采用韧性指标，可能是其利益相关者达成一致意见的结果，这些指标应该：a)包括来自任何相关来源的价值观，例如专家意见（定性）、测量和大数据（定量b)能对组织的韧性属性（尤其是关键指标）能够进行基准测试，由相关利益相关者达成一致；c)解决通信和技术系统之间的互操作性及其在部门参与者之间的透明度；d)全面、清晰、没有歧义地描述韧性属性。组织应使用韧性指标来评估组织对新兴风险的韧性，并将其纳入相关的风险情景、压力测试和演习要求中。附录F中提供了一个韧性指标的示例。8风险情报循环和新兴风险管理8.1概述根据ISO56000，情报是收集、分析和解释数据、信息和知识的结果。当应用于新兴风险时，这些元素和过程阶段的顺序如图4所示。情报本身可以在不同的层面进行：战略、战术和操作层面，并应用于建立和增强有关新兴风险的知识。应该应用风险情报循环来管理新兴风险：a)不断扫描收集、分析和解释有关新兴风险的数据、信息和知识，这些风险通常在不可预测的波动性、高度不确定性、网络复杂性和快速变化的背景下发生；b)考虑到在这种不断变化的情况下收集到的新兴风险数据通常是有限的（在质量和数量上因此它们需要紧急解释的需求往往会导致可用信息的歧义增加；c)考虑到其他相关已知风险的数据；d)由于新兴风险可用的数据和信息的局限性，将情报的关键性与有效决策制定联系起来；e)评估在附录E中描述的风险情报循环、原则和过程的有效性。图4数据-信息-知识-情报（DIKI）流程8.2将知识应用于新兴风险决策组织应将从风险情报循环中获得的知识应用于ISO31000风险管理流程中与新兴风险相关的每一步。随着对新兴风险可用数据和信息的信心增加，知识和情报的质量将提高ISO31000过程中对新兴风险的决策制定的质量（请参见条款6，图5和图E.1）。决策者，包括高层管理人员和风险所有者，应该在风险管理过程中持续应用这种情报，以预测环境中的进一步变化，并及时、明智地做出策略和计划，处理新兴风险。他们还应该认识到，从积累的新兴风险知识中验证情报的重要性。在验证信息如何转化为知识时，应考虑人类判断的固有不确定性以及个人感知可能导致的认知偏差（附录D）。这种不确定性反映了可能不断变化的环境，这些环境可能会具有未知或不确定后果的决策。DIKI过程（图4）应采用迭代方法，并在每个步骤进行验证，因为涉及到新兴风险的显著不确定性，可能会引发新的问题，需要进行额外的验证。在应用风险情报循环的同时，采用预防性方法（参见6.4.4条款）可以增强新兴风险管理的有效性。在应用知识周期时，应识别协作和信息共享机会。管理新兴风险的系统方法还应考虑相互作用和相互依赖性。与所有可能受到组织背景变化影响的利益相关者分享信息，并与直接受到特定变化影响的利益相关者分享信息。GB/TXXXXX—XXXX附录A（资料性）可能成为新兴风险来源的背景变化示例注：见参考文献[9],[10]和[11].以下的背景变化可能是新兴风险的来源：自然灾害（极端天气事件美国地质调查局发布了一份关于冬季风暴情景的研究，研究了一种大气河流事件（一种全球性的天气现象，带来大量的降雨或降雪其预测的回归周期为1,000年。研究结果表明，洪水将淹没许多地区的防洪设施，导致超过一百万居民疏散，直接财产损失近400亿美元，业务中断成本约为325亿美元。物联网（IoT）的挑战（网络安全物联网将彻底改变数字世界。数字革命为具有适应能力的企业开辟了广阔的机遇，使这些企业能够通过让自身更智能、自主和连接来改变其产品、服务和流程。但这样的机遇也伴随着威胁。增加的连接性和对数字流程的依赖性引发了关于网络和数据安全、可靠性、长期维护和软件更新的问题。系统故障及黑客和犯罪分子的恶意攻击可能会导致损失。由于缺乏一致的跨国法规标准，还可能存在法律和合规风险。抗菌药物耐药性（健康微生物（如细菌、病毒、真菌和寄生虫）发生变异，导致某些药物失去疗效，就会产生耐药性。当微生物对大多数抗菌药物产生耐药性时，通常被称为超级细菌。这是一个重大问题，因为耐药感染可能会造成重大的人力和财务成本。人工智能（AI）缺乏透明度：随着人工智能（AI）和认知计算的进步，机器可以开始代表人类做出决策。决策转移和缺乏透明度或人类监督可能导致意想不到的风险或不可预测的结果，从而产生复杂的责任问题。此外，与AI相关的道德、社会和市场方面也越来越突出。自主机器（网络安全、人工智能由于机电一体化、快速学习和人工智能的新发展，自主机器的快速进展影响着大多数行业、军事和日常生活。自动驾驶汽车尤其受到关注，这可能会改变各种保险业务的风险格局。气候变化转型风险（气候随着全球努力适应气候变暖并减少温室气体排放（特别是二氧化碳转型风险应运而生。这对保险公司在产品设计和相关责任以及投资方式方面都有影响。其中一个特定的过渡风险是搁浅资产。这些资产是由于政策变化（例如，煤炭行业、柴油车辆）或碳定价（例如，多余的飞机）而变。附录B（资料性）新兴风险描述或记录模板的示例附录B中提供的例子和列表不应被视为具有详尽性、限制性或规范性。针对新兴风险不断获得的信息应包括：a)新兴风险概念的明确标识（例如，自动分配的ID代码b)与来源相关的元数据：作者、时间、组织等；c)新兴风险概念的名称；d)可能情景的描述（风险故事包括与其他风险的相互关联；e)与风险预评估相关的结果：l影响特征，包括正面和负面的（例如，系统性的、累积的、连续性的损失、潜在的利益等l地理和时间数据（风险出现的地点和时间l治理、沟通、政策、技术等；l生命周期阶段（哪个阶段，例如，寿命周期末期l受影响的人类活动领域（例如，能源、交通等l可能的经济和其他影响（正面和负面l风险所有者；l知识强度（新兴和成熟程度l可能适用的评估方法和工具；l如有的话，评估指南或法规；l风险和韧性可能的指标。f)评估信息和评估结果，包括：l新兴风险和潜在情景的来源和相互关联；l描述，并在适当的情况下说明后果的严重程度（正面和负面l现有相关控制措施的有效性和效率；l情景和后果发生的可能性/可信度的信息；l可能的时间尺度、速度和变化率；l参考分析所引用的文件和信息来源；l可在变化背景下识别的机会和威胁；l使用的分析方法和工具以及其输出报告的引用；l数据分析和信息解释方面的不确定性；l可能存在的薄弱信号或正在发生变化的早期指标。g)建议的治理行动，包括时间尺度和责任分配；h)残余风险；i)监测背景并更新新兴风险信息的安排；j)参考文献和相关的前期案例和知识；k)参考提供更详细信息的文件。GB/TXXXXX—XXXX附录C（资料性）系统性风险许多新兴风险都是系统性的，因为它们起源和演变于紧密耦合的动态系统的交汇处，这是当代多元化社会的主要特征之一。术语“系统性风险”强调了组织如今面临的威胁之间的相互关联。经济合作与发展组织（OECD）选择“系统性风险”这一类别来描述威胁到基础设施、医疗保健和电信等社会必需系统的新兴风险。系统性风险指的是从地区到国家和全球层面传播的风险现象。系统性风险可以通过以下五个特征与其他类型的风险区分开来：a)系统性风险的特征之一是高度复杂性。在分析系统性风险时，因果关系难以理解。一方面，这是由于所考虑的系统本身的固有复杂性（例如关键基础设施、企业、生态系统及其组成部分）。另一方面，复杂性是由于系统性风险可以与传统风险（如自然灾害）相结合的事实引发的。b)系统性风险是跨界和跨部门的。尽管其起源可以追溯到一个特定的系统或事件，但其连锁反应会向其他系统扩散，产生进一步的影响。因此，它们挑战了传统的风险分析和治理方法，这些方法通常基于隔离和分割。c)系统性风险以非线性方式发展，这是由于其非确定性的因果关系。系统性风险的特点是已知因素和未知的触发因素或促进因素的组合，这些因素随机演变或接近可计算的极限。d)许多系统性风险的特点是非线性关系，通常与临界点或临界时期相关。一旦达到临界点，受影响的系统会在短时间内彻底改变其存在条件。e)在关于系统性风险的潜在破坏性影响方面，监管和公众认知常常存在滞后。一些系统性风险，如气候变化，已经受到公众关注，但是利益相关者和公众常常认为管理系统性风险的政策是零散、不足和不一致的。组织应该关注系统性风险的属性，尤其是相互依存性，介入因素、不确定性和非线性关系的复杂结构，这要求采用系统方法来管理新兴风险。组织应该为新兴风险的不可预见的压力和可能引起级联或复合效应的事实做好准备。对追求预防、减轻或应对系统性威胁的目标，有效性、综合性和包容性的治理策略是必需的。特别是，在风险评估和风险管理过程中，应考虑利益相关者或公众的关注。附录D（资料性）可影响管理新兴风险的示例因素列表注：见参考文献[7]和[12].表D.1影响管理新兴风险的示例因素详细解释；评论与普通感知、沟通相关错误感知和错误解释机会或利益的可能误解；易受故意或其他误解的影响假正面假正面对评估结果的影响假负面假负面对评估结果的影响如果大量人员在单个事件中死亡，而不是分散在时间上的小量死亡，我们对风险的感知就会提高敏感度对单个事件（例如事故）的风险感知的敏感度，公众感知的波动性传播不畅新兴风险的传播可能是风险水平感知的一个因素，因为根据定义，可用知识较弱；在极端情况下，传播不畅本身可能成为一种风险。单个个体的感知水平缺乏熟悉感陌生或新的风险会让人更加担心缺乏理解如果一个人不太理解某项活动或技术的工作原理，他或她对风险的感知会增加缺乏个人控制或如果一个人觉得潜在的危害超出了他的控制范围（比如乘坐飞机的乘客他会比觉得自己处于控制之下（比如作为车辆驾驶员）更担心；或者无法决定个人是否要冒险，这个风险会更具有威胁性。涉及到未来世代的风险如果风险涉及到未来世代，人们往往会认为这更与自身相关性并且容易被社会加强受影响人的身份受影响的人能够具体化风险后果，相对于抽象的统计数据，更容易感知风险的增加可怕的预期如果风险的后果会产生恐惧，那么风险感会增加缺乏信任如果相关机构不受信任，个人的风险感知通常会增加缺乏公平性如果某些人获得了好处而其他人承受了不利后果，那么人们会提高风险等级缺乏可逆性如果某种结果的影响无法逆转，风险感会增加个人风险如果风险涉及自己（非自愿性相对于平均水平，人们倾向于认为风险更高（除非我们认为自己比其他人更能控制风险）认知偏见诸如确认偏见等认知偏见，包括信息疲劳等，可能会显著影响新兴风险及其感知与新兴风险治理相关的内容授权授权或认证计划的可用性（逐步授权）可能进行映射（例如在地理或上下文地图上）管理可能进行管理，特别是后果管理保护或预防措施可能设想实施保护或预防措施社会动荡可能引发或导致社会动荡的潜力涉及全球新兴风险管理的内容无法观察或监测的情况下如果监测到的虚假信号非常高，则有可能监测到风险无法控制或减轻的情况下缺乏固有的管理、控制或计划减轻机制GB/TXXXXX—XXXX易受无知影响现代世界的复杂性通常导致人们对某一现象或问题（例如计算机）的信息泛滥，但缺乏对该现象的基本理解附录E（资料性）管理新兴风险的知识和风险情报循环新兴风险管理依赖于获取最佳可用信息，这里知识可以作为情报来获得、分享和传达，作为战略决策的输入。情报是收集、分析和解释数据、信息和知识的结果。数据、信息、知识和情报之间的关系（DIKI）在第8条中显示（参见图4）。在战略层面上，情报为高层管理层提供输入，使他们能够做出决策，影响组织的愿景、战略、政策和目标，以及与预期或可想象的新兴风险相关的组织内决策。在操作层面上，情报面向决策者，使他们能够做出影响新兴风险和其控制下的相关风险以及特定价值链的决策。组织应采用和应用风险情报循环，来发展符合ISO31000管理新兴风险流程的知识和情报，用于新兴风险管理的决策，以便将有关新兴风险的知识传达给负责、有责任和权力来管理风险的人员。风险情报循环的关键要素包括下面阐述的步骤（E.2-E.4）。E.2风险情报循环和管理新兴风险作为应用于新兴风险的一种方法，风险情报周期建立了ISO31050第6条“过程”的新兴风险管理过程中的沟通和咨询方面的基础，并由两个相互关联的迭代循环组成（图E.1）。E.3多重环境扫描（外部循环）持续扫描组织多个方面的环境，有助于识别数据、情况和/或行为中的微小变化，这些变化之间的时间间隔，以及它们对组织及其目标的可能影响。在系统性审查（ISO31000流程的监测和审查阶段）期间识别到环境中微小的变化和观察到的变化率，可能意味着早期的预警或指标，即组织目标在威胁或机遇的潜在新兴风险。多重环境扫描（图E.1）可以提高对环境中已识别变化的可用数据的质量和数量，作为内部情报循环的进一步输入。E.4.风险情报流程（内部循环）风险情报流程的内部循环包括以下四个步骤，具体解释如下。a)制定框架针对新兴风险的制定框架阶段：l通过情报循环确定所需的知识范围，即风险所有者希望了解（更好的以及如何和为什GB/TXXXXX—XXXX么了解；l定义与背景变化相关的外部和内部问题；l确保情报循环与业务流程的关键方面/关系相一致，其中背景变化表明可能存在潜在风险或新兴风险；l建立确定数据收集和分析边界，解释信息和生成知识，传达知识和为决策者制定建议（可能来自新知识的行动以及计划后续阶段的标准，包括时间、成本和质量。b)数据收集和分析新兴风险的数据收集和分析步骤可以分为两个阶段：数据收集和验证阶段，以及数据分析提取信息阶段。数据收集和验证阶段包括识别和选择数据和信息来源，查找和挖掘数据和信息，检查和维护质量和数量，以及识别准备解释的模式。该阶段旨在生成准备好进行分析的且经过验证的数据和信息。这些数据和信息可以来自内部或外部来源。通过考虑可靠性、准确性、适用性和充分性来评估数据和信息的质量。数据可以通过对数据进行测试运行来进行验证，包括但不限于：l数据一致性、准确性、相关性、充分性和可靠性;l未使用、杂乱无章或不一致的数据;l敏感性分析;l异常值的识别和处理。数据分析将一组原始数据转化为一组有用的信息。该子阶段使用在框架期间确定的分析工具，从各种来源的原始数据中生成复合信息（例如，相关性、趋势、地图、序列、聚类、模式）。分析可以通过基本操作进行组织，例如选择、分类、抽象、分解、规范、比较、对应、实例化、相关性和转换。常用的自动化工具可以处理大量数据和信息，可以用于揭示其模式和趋势，或者提供可视化表示，例如统计工具或软件、数据挖掘、制图和可视化工具、分类、分类法或词汇或语义分析。c)信息解释在此阶段，信息是从组织环境中产生的，来自对变化或创新的观察中收集和处理的数据。新兴风险的可能前导指标需要进行解释并转化成有意义和有价值的信息以生成知识。对变化的背景和环境早期或薄弱信号的数据解释，以及潜在新兴风险的存在，可以协助生成足够的知识，为新兴风险制定可能的情景。当观察到系统和组织环境中的微小变化时，这些变化需要进行解释，以了解变化背后的“如何和为什么”。环境变化的性质和原因受到个人风险感知的影响。背景和数据的微小变化和数据可能表明潜在问题或具有重大后果，例如新兴风险的早期警示或薄弱信号。这些解释可以基于个人对风险的感知，形成于教育、理性和逻辑或类似的过去经验和主观判断。解释的结果是有助于管理风险和做出决策的知识。例如：l竞争对手活动的薄弱信号可以被解释为业务流程的机会和/或威胁；l确定技术发展的优先事项，可以被解释为运营的优势和/或劣势；l重新评估知识体系以支持实现既定任务的路线图。解释和数据收集/分析之间的反馈和迭代取决于具体情况，例如添加或修改数据集，应用不同的分析工具，避免任何可能的错误解释。d)情报-应用于对新兴风险进行决策的知识传达提高对新兴风险的认知取决于如何将有关变化情况的情境化数据转化为有用和清晰的信息，并向决策者传达（例如，以情景的形式）。对新兴风险的认知是对验证信息的解释结果。新的认知解释了对组织环境中意外变化的理论和实践方面的贡献，以及新兴问题转化为新兴风险的潜力。通过情境扫描、观察和学习的迭代过程，对新兴风险的显式和隐式认知将不断发展，帮助决策者确定新兴风险事件或现象的可能性和后果。组织知识的增长应平衡变化带来的不确定性和复杂性的增加。增加的知识应使组织能够更好地理解与情境变化相关的不确定性和复杂性，并有机会确定潜在的新兴风险情景、其原因、后果以及如何控制它们。在上述内部循环的第四个步骤（见图E.1）中，如果有足够的信心则可以对“知识的适当质量？”这个问题给出肯定的答案：l所做的假设被认为是合理的；l可用足够数量的可靠和相关的数据/信息；l所涉及的现象得到了理解；l所使用的模型已知能够提供所需的准确预测；l专家之间存在共识。随着对新兴风险的可用数据和信息的信心增加，知识和情报的质量将有助于增强对新兴风险的决策能力和提高韧性。GB/TXXXXX—XXXX附录F（资料性）韧性指标模板示例——填写示例来自DRS-14-201，键基础设施保护主题3：关键基础设施韧性指标-分析和开发评估项目方法：SmartResilienceNo.700621。表F.1韧性指标模板示例指标应按计划完成的应急演习百分比描述：整个演习计划应按照定义的截止日期完成。为了进行跟踪，应该进行测量。如果计划未能实现，存在未受过训练的人在紧急情况下无法适当响应的风险。建议的测量尺度<高>>95%<中>85-94%<平均>75-84%<低><74%特征比例，%状态√详细阐述的√已接受的本地案例研究√事实或工业标准法规的一部分用于基准测试提供商或建议者CCPSCenterforChemicalProcessSafety,AICHE/ccps相关的功能性或商务性测试（是或否）是适用于特定应用（比如：关键基础设施）√所有基础设施医疗保健系