1、 有关术语关系说明有关术语关系说明 风险管理常用术语风险管理常用术语 有关术语关系说明有关术语关系说明 风险管理常用术语风险管理常用术语 A A B B C C1.用术语B和术语C 对术语A及其注解进行定义 风险风险 概率概率 事件事件 后果后果 2.与“风险”有关的术语定义及其关系 风险管理风险管理 风险评估风险评估 风险分析风险分析 来源识别来源识别 风险估计风险估计 风险评价风险评价 风险处理风险处理 风险规避风险规避 风险优化风险优化 风险转移风险转移 风险自留风险自留 风险承受风险承受 风险沟通风险沟通 3.3.与与“风险管理风险管理”有关的术语定义及其关系有关的术语定义及其关系 有
2、关术语关系说明有关术语关系说明 风险管理常用术语风险管理常用术语 1.1.风险风险 riskrisk 不确定性对目标的影响不确定性对目标的影响注注1 1:影响是与期待的偏差:影响是与期待的偏差积极和积极和/或消极或消极注注2 2:目标可以有不同方面(如财务、健康安全、以及环境:目标可以有不同方面(如财务、健康安全、以及环境目标),可以体现在不同的层次(如战略、组织范围、项目标),可以体现在不同的层次(如战略、组织范围、项目、产品和过程)。目、产品和过程)。注注3 3:风险通常以潜在事件和后果,或它们的组合来描述。:风险通常以潜在事件和后果,或它们的组合来描述。注注4 4:风险通常以事件(包括环
3、境的变化)后果和发生可能:风险通常以事件(包括环境的变化)后果和发生可能性的组合来表达。性的组合来表达。注注5 5:不确定性是指,与事件和其后果或可能性的理解或知:不确定性是指,与事件和其后果或可能性的理解或知识相关的信息的缺陷的状态,或不完整。识相关的信息的缺陷的状态,或不完整。术术 语语风险的实质风险的实质 -不确定性不确定性风险的两重性风险的两重性 -机会与威胁机会与威胁 损失与收益损失与收益客观性客观性 偶然性偶然性 可测性可测性 可控性可控性风险的类型风险的类型 战略风险战略风险 财务风险财务风险 市场风市场风险险 营运风险营运风险 2.2.后果后果 conseqnenceconse
4、qnence某一事件的结果。某一事件的结果。注注1 1:某一事件可能会产生不止一种的后果。:某一事件可能会产生不止一种的后果。注注2 2:后果可以是正面的负面的。然而,从安全方面来看,后:后果可以是正面的负面的。然而,从安全方面来看,后果往往都是负面的。果往往都是负面的。注注3 3:后果可以定性或定量表述。:后果可以定性或定量表述。术术 语语3.3.概率概率 probabilityprobability某一事件发生的可能程度。某一事件发生的可能程度。注注1 1:GB/T3358.1-1993 GB/T3358.1-1993 给出了一个关于给出了一个关于“概率概率”的数学定义,度量某一的数学定义
5、,度量某一随机事件发生可能性大小的实数,其值介于随机事件发生可能性大小的实数,其值介于0 0与与1 1之间,它可以用来之间,它可以用来指在一段相当长的时间内,某一事件将要发生的频率,或者这一事指在一段相当长的时间内,某一事件将要发生的频率,或者这一事件发生的可信程度。对于高可信度来说,概率接近件发生的可信程度。对于高可信度来说,概率接近“1 1”。注注2 2:在描述风险时,常用:在描述风险时,常用“频率频率”一词而不是用一词而不是用“概率概率”一词。一词。注注3 3:有关可能性的程度可以用不同的等级来表示:有关可能性的程度可以用不同的等级来表示:-极不可能极不可能/不大可能不大可能/可能可能/
6、很可能很可能/几乎确定;或者几乎确定;或者-难以置信难以置信/不可能不可能/可能性极小可能性极小/偶尔偶尔/有可能有可能/经常。经常。术术 语语 概率是为一个事件发生可能性提供相概率是为一个事件发生可能性提供相适宜的数值,这个数值应处于适宜的数值,这个数值应处于0101之间,之间,其不可能大于其不可能大于1 1,也不可能为负值。概率为,也不可能为负值。概率为0 0,表示事件不可能发生,概率为,表示事件不可能发生,概率为1 1,表明,表明事件发生具有肯定性。事件发生具有肯定性。如一个事件发生的概率为如一个事件发生的概率为0.0010.001,表示,表示只有千分之一的机会,可能性小,如果概只有千分
7、之一的机会,可能性小,如果概率为率为0.950.95,表明事件很有可能发生。,表明事件很有可能发生。4.4.事件事件 eventevent 特定情况的发生。特定情况的发生。注注1 1:事件可能是确定的,也可能是不确定的。:事件可能是确定的,也可能是不确定的。注注2 2:事件可能是单一的,也可能是系列的。:事件可能是单一的,也可能是系列的。注注3 3:对于给定时间内事件发生的概率可以估算出来。:对于给定时间内事件发生的概率可以估算出来。术术 语语 确定的事件,是预知的,而不确定的事件确定的事件,是预知的,而不确定的事件,是没有预知的,但也是有可能发生的。,是没有预知的,但也是有可能发生的。事件可
8、能是明显的,也可能是模糊的,其事件可能是明显的,也可能是模糊的,其影响可能是正面的,也可能是负面的。影响可能是正面的,也可能是负面的。5.5.来源来源 sourcesource 可能会导致一定后果的事项或活动。可能会导致一定后果的事项或活动。注:在安全问题上,来源就是某种危险(源),参见注:在安全问题上,来源就是某种危险(源),参见GB/T20000.4-2003GB/T20000.4-2003)术术 语语 导致正面或负面的后果都有存在的原因,导致正面或负面的后果都有存在的原因,这些原因有客观的,也有主观的。客观存这些原因有客观的,也有主观的。客观存在的如物质的存在、人的行为等。由于掌在的如物
9、质的存在、人的行为等。由于掌握信息或能力方面的不足,也会有主观的握信息或能力方面的不足,也会有主观的判断。判断。6.6.风险准则风险准则 risk criteriarisk criteria 评价风险严重性的依据。评价风险严重性的依据。注:风险准则包括相关的成本及收益,法律法规要求,社会注:风险准则包括相关的成本及收益,法律法规要求,社会及环境因素,利益相关者的态度,优先次序和在评估过及环境因素,利益相关者的态度,优先次序和在评估过程中的其他要素。程中的其他要素。术术 语语 风险准则是组织用于评价风险重要度的标准风险准则是组织用于评价风险重要度的标准,因此,风险准则需体现组织的风险承受度,因此
10、,风险准则需体现组织的风险承受度,并反映组织的价值观、目标和资源。,并反映组织的价值观、目标和资源。风险评价准则会涉及到各个方面,如成本收风险评价准则会涉及到各个方面,如成本收益、法律法规、利益相关者态度等。益、法律法规、利益相关者态度等。风险准则也会直接或间接反映法律法规要求风险准则也会直接或间接反映法律法规要求或其他需要组织遵循的要求。风险准则也是或其他需要组织遵循的要求。风险准则也是使组织对接受风险做出决定的依据。使组织对接受风险做出决定的依据。7.7.风险管理风险管理 risk managementrisk management 指导和控制某一组织与风险相关问题的协指导和控制某一组织与
11、风险相关问题的协调活动。调活动。注:风险管理通常包括风险评估、风险处理、风险承受注:风险管理通常包括风险评估、风险处理、风险承受和风险沟通和风险沟通。术术 语语 风险管理是研究风险发生规律和风险控制风险管理是研究风险发生规律和风险控制技术的科学,组织在活动中存在风险,与技术的科学,组织在活动中存在风险,与风险相关的问题也会很多,就需要对这些风险相关的问题也会很多,就需要对这些问题实施必要的措施,以实现组织的目标问题实施必要的措施,以实现组织的目标即预期的结果。即预期的结果。风险管理的方法很多,通过风险评估、风风险管理的方法很多,通过风险评估、风险处理、风险承受和风险沟通,达到管理险处理、风险承
12、受和风险沟通,达到管理风险的目的。风险的目的。COSO COSO 认为:认为:风险管理:风险管理:一个过程一个过程-它是达到目标的方法,自身不是目的它是达到目标的方法,自身不是目的由人实现由人实现-它不仅仅是政策、调查和形式,而是涉及到它不仅仅是政策、调查和形式,而是涉及到 机构中每一层次的人。机构中每一层次的人。应用于企业战略应用于企业战略-制定战备目标,实现预期制定战备目标,实现预期应用于整个企业应用于整个企业-整体层面整体层面和单元,还包括采取在实体层和单元,还包括采取在实体层 面上对待风险的观点面上对待风险的观点风险偏好风险偏好-设计用来识别可能影响实体的事件,并在实体的设计用来识别可
13、能影响实体的事件,并在实体的 风险偏好范围内处理风险风险偏好范围内处理风险提供合理保障提供合理保障 四个目标四个目标 了解程度了解程度 可靠性可靠性 遵守遵守 目标的实现目标的实现-准备好在一个或多个独立而又相互重叠的部准备好在一个或多个独立而又相互重叠的部 门实现目标门实现目标 8.8.风险管理框架风险管理框架 risk management framework risk management framework 提供在组织内设计、实施、监测、评审和持续改提供在组织内设计、实施、监测、评审和持续改进风险管理的基本原则和组织安排的要素集合。进风险管理的基本原则和组织安排的要素集合。注注1 1:
14、基本原则包括管理风险的方针、目标、指令和承诺。:基本原则包括管理风险的方针、目标、指令和承诺。注注2 2:组织安排包括计划、关系、责任、资源、过程和活动。:组织安排包括计划、关系、责任、资源、过程和活动。注注3 3:风险管理框架被嵌入到组织的整个战略和运营的方针和实:风险管理框架被嵌入到组织的整个战略和运营的方针和实 践中践中 术术 语语 9.9.利益相关者利益相关者 stakeholderstakeholder 可以影响风险、受到风险影响或自认为会可以影响风险、受到风险影响或自认为会受到风险影响的任何个人、团体或组织。受到风险影响的任何个人、团体或组织。注注1 1:决策者也是利益相关者之一。
15、:决策者也是利益相关者之一。注注2 2:术语:术语“利益相关者利益相关者”包括包括GB/T19000-2008GB/T19000-2008中定义的中定义的“相相关方关方”。术术 语语组织的利益相关者包括:组织的利益相关者包括:1 1)组织的决策者;)组织的决策者;2 2)组织内部负责制定风险管理政策的人员;)组织内部负责制定风险管理政策的人员;3 3)组织或活动中实施风险管理的人员;)组织或活动中实施风险管理的人员;4 4)需要对组织的风险管理实践进行评估的人员;)需要对组织的风险管理实践进行评估的人员;5 5)组织中负责制定风险管理标准、指南、程序、应)组织中负责制定风险管理标准、指南、程序
16、、应用准则的人员;用准则的人员;6 6)股东、董事会、高级管理人员、员工债权人、供)股东、董事会、高级管理人员、员工债权人、供应商、顾客、银行、监管机构、合作伙伴等应商、顾客、银行、监管机构、合作伙伴等.(见(见GB/T24353:2009GB/T24353:2009前言部分)。前言部分)。10.10.相关方相关方 interested partyinterested party 与组织的业绩或成就有利益关系的个人或与组织的业绩或成就有利益关系的个人或团体。团体。示例:顾客、所有者、员工、供方、银行、工会、合作伙伴示例:顾客、所有者、员工、供方、银行、工会、合作伙伴或社会。或社会。注:一个团体
17、可同一个组织或其一部分或多个组织构成。注:一个团体可同一个组织或其一部分或多个组织构成。GB/T19000-2008GB/T19000-2008,定义,定义 3.3.73.3.7 术术 语语 11.11.风险感知风险感知 risk perceptionrisk perception 利益相关者根据其价值观或利害关系看待利益相关者根据其价值观或利害关系看待风险的方式。风险的方式。注注1 1:风险感知取决于利益相关者的需要、关注点知识。:风险感知取决于利益相关者的需要、关注点知识。注注2 2:风险感知可能不同于客观数据。:风险感知可能不同于客观数据。术术 语语 感知风险是识别风险前提之一。利益相关
18、感知风险是识别风险前提之一。利益相关者中负责识别风险的人员,按照其价值观者中负责识别风险的人员,按照其价值观或对利害关系的分析,通过调查了解等方或对利害关系的分析,通过调查了解等方式,确定风险的存在。式,确定风险的存在。利益相关者的需要及关注的问题不同,因利益相关者的需要及关注的问题不同,因而风险感知会有所不同。而风险感知会有所不同。风险感知会存在一定的主观判断,因而可风险感知会存在一定的主观判断,因而可能与客观数据有不同。能与客观数据有不同。12.12.风险沟通风险沟通 risk communicationrisk communication 决策者和其他利益相关者之间交换或分享决策者和其他
19、利益相关者之间交换或分享关于风险的信息。关于风险的信息。注:这些信息可能是风险的存在情况、自然特征、形态注:这些信息可能是风险的存在情况、自然特征、形态、概率、严重程度、可接受程度、处理措施及风险的其、概率、严重程度、可接受程度、处理措施及风险的其他方面。他方面。术术 语语 风险沟通是风险管理中的一项内容。沟通风险沟通是风险管理中的一项内容。沟通应是双向的,通过相关信息的传递、交流应是双向的,通过相关信息的传递、交流,使决策者与其他利益相关者分享信息,使决策者与其他利益相关者分享信息,有助于保证风险管理的针对性和有效性,有助于保证风险管理的针对性和有效性,有助于保证利益相关方理解组织风险管理有
20、助于保证利益相关方理解组织风险管理的决策依据,明确执行决策的原因所在。的决策依据,明确执行决策的原因所在。风险沟通还可分为内部和外部沟通。沟通风险沟通还可分为内部和外部沟通。沟通的方式也要与组织风险的性质、规模及复的方式也要与组织风险的性质、规模及复杂程度相适应。杂程度相适应。13.13.风险评估风险评估 risk assessmentrisk assessment 包括风险分析和风险评价在内的全部过程。包括风险分析和风险评价在内的全部过程。注:此术语在注:此术语在GB/T20000.4-2003GB/T20000.4-2003中为中为“风险评定风险评定”。术术 语语14.14.风险分析风险分
21、析 risk analysisrisk analysis系统地运用相关信息来确认风险的来源系统地运用相关信息来确认风险的来源 ,并,并对风险进行估计。对风险进行估计。注注1:1:风险分析为风险评价、风险处理和风险承受提供了一个风险分析为风险评价、风险处理和风险承受提供了一个基础。基础。注注2 2:信息可以包括历史数据、理论分析、基于可靠信息的见:信息可以包括历史数据、理论分析、基于可靠信息的见解以及利益相关者的关注。解以及利益相关者的关注。注注3 3:有关安全方面的问题参见:有关安全方面的问题参见GB/T20000.4-2003GB/T20000.4-2003。术术 语语 风险分析是风险评价、
22、风险处理(包括风风险分析是风险评价、风险处理(包括风险规避、风险优化、风险转移和风险自留险规避、风险优化、风险转移和风险自留几个方面)及风险承受的基础,实施风险几个方面)及风险承受的基础,实施风险控制的前提。控制的前提。风险分析可以是定性的、半定量的、定量风险分析可以是定性的、半定量的、定量的或以上方法的组合。的或以上方法的组合。在风险分析过程中,要运用到各类信息,在风险分析过程中,要运用到各类信息,这些信息包括以往数据的采集和积累、运这些信息包括以往数据的采集和积累、运用数学的方法进行分析、通过沟通捕获到用数学的方法进行分析、通过沟通捕获到的信息以及利益相关者所关注的问题。的信息以及利益相关
23、者所关注的问题。15.15.风险识别风险识别 risk identificationrisk identification 发现、列举和描述风险要素的过程。发现、列举和描述风险要素的过程。注注1 1:要素可以包括来源或危险(源)、事件、后果和概率。:要素可以包括来源或危险(源)、事件、后果和概率。注注2 2:风险识别也可以反映出利益相关者关注的问题。:风险识别也可以反映出利益相关者关注的问题。术术 语语 风险识别要求风险管理人员运用有关知识风险识别要求风险管理人员运用有关知识和方法,系统、全面和连续发现、列举和和方法,系统、全面和连续发现、列举和描述风险,其中应包括风险源、影响范围描述风险,其
24、中应包括风险源、影响范围、事件及其原因和潜在的后果等。识别风、事件及其原因和潜在的后果等。识别风险不仅要考虑有关事件可能带来的损失,险不仅要考虑有关事件可能带来的损失,也要考虑其中蕴含的机会。也要考虑其中蕴含的机会。因利益者关注的问题根据组织的类型及性因利益者关注的问题根据组织的类型及性质不同,会有不同的取向,识别的风险会质不同,会有不同的取向,识别的风险会包括:物质方面、社会方面、法律方面、包括:物质方面、社会方面、法律方面、操作方面和经济方面等。操作方面和经济方面等。16.16.来源识别来源识别 source identificationsource identification 发现、列
25、举和描述风险来源的过程。发现、列举和描述风险来源的过程。注:在安全问题上,来源识别叫做危险(源)识别。注:在安全问题上,来源识别叫做危险(源)识别。(参见(参见GB/T20000.4-2003GB/T20000.4-2003)术术 语语 对可能会导致一定后果的事项或活动进行对可能会导致一定后果的事项或活动进行识别,要求风险管理人员运用相关知识和识别,要求风险管理人员运用相关知识和方法,全面、系统和连续发现、列举的描方法,全面、系统和连续发现、列举的描述风险的来源,并确定风险来源的存在及述风险的来源,并确定风险来源的存在及其特征。其特征。17.17.风险估计风险估计 risk estimatio
26、nrisk estimation 对风险的概率及后果进行赋值的过程。对风险的概率及后果进行赋值的过程。注:风险估计可以考虑成本、收益、利益相关者的利害注:风险估计可以考虑成本、收益、利益相关者的利害关系,以及其他各种用于风险评价的因素。关系,以及其他各种用于风险评价的因素。术术 语语 风险估计是建立在概率论与数理统计、类推风险估计是建立在概率论与数理统计、类推原理等数学原理基础上的。由于在自然界和原理等数学原理基础上的。由于在自然界和人类社会中,通过对大量风险及事故的统计人类社会中,通过对大量风险及事故的统计分析,其结果会呈现出一定的必然性和规律分析,其结果会呈现出一定的必然性和规律性,因而可
27、通过某一类风险发生的规律性,性,因而可通过某一类风险发生的规律性,类推出其他风险发性的规律性。类推出其他风险发性的规律性。风险估计要根据风险的不同类型收集风险的风险估计要根据风险的不同类型收集风险的信息(数据),并对相关信息和数据进行处信息(数据),并对相关信息和数据进行处理,会涉及到统计方法。理,会涉及到统计方法。18.18.风险评价风险评价 risk evaluationrisk evaluation 将估计后风险与给定的风险准则对比,来将估计后风险与给定的风险准则对比,来决定风险严重性的过程。决定风险严重性的过程。注注1 1:风险评价有助于做出接受还是处理某一个风险的决:风险评价有助于做
28、出接受还是处理某一个风险的决策。策。注注2 2:有关安全方面的风险评价参见:有关安全方面的风险评价参见GB/T20000.4-2003GB/T20000.4-2003。术术 语语 通过风险估计所产生的结果,并与组织确通过风险估计所产生的结果,并与组织确定的风险准则进行对照,以决定风险的水定的风险准则进行对照,以决定风险的水平并确定控制风险的优先顺序。经过风险平并确定控制风险的优先顺序。经过风险评价,确定该风险是可承受还是需进行处评价,确定该风险是可承受还是需进行处理(分别采用风险规避、风险优化、风险理(分别采用风险规避、风险优化、风险转移或风险保留等措施)。转移或风险保留等措施)。修正风险的过
29、程修正风险的过程注1:风险处理可包括:通过决定不启动或停止产生风险的活动而避免风险。为了追求机会采取或增加风险。消除风险源。改变可能性。改变后果。与其他方面共同分担风险(包括合同、风险融资)。通过有事实依据的决策保留风险。注2:对消极后果的风险处理有时可以称为“风险减缓(risk mitigation)”、“风险消除(risk eliminate)”、“风险预防(risk prevention)”和“风险减小(risk reduction)”。注3:风险处理可以产生新的风险或修正已存在的风险。术术 语语风险处理的四个措施风险处理的四个措施风险规避风险规避风险优化风险优化风险转移风险转移风险自留
30、风险自留20.20.风险控制风险控制 risk controlrisk control实施风险管理决策的行为。实施风险管理决策的行为。注:风险控制可能包括监测、再评价和执行决策。注:风险控制可能包括监测、再评价和执行决策。术术 语语 控制活动通常包括两个要素:建立一个应控制活动通常包括两个要素:建立一个应做什么的政策,以及使该政策生效的程序做什么的政策,以及使该政策生效的程序 政策是基础,程序是为了保证政策的执行政策是基础,程序是为了保证政策的执行 风险控制的过程,通过决策风险控制的过程,通过决策实施实施监测监测再评价以及循环往复的过程,实施风险再评价以及循环往复的过程,实施风险管理的目的。管
31、理的目的。控制的类型:预防控制、检查控制、手工控制的类型:预防控制、检查控制、手工控制、电算化控制以及管理层控制。控制、电算化控制以及管理层控制。21.21.风险优化风险优化 risk optimization risk optimization 将与风险有关的消极后果及其发生概率最将与风险有关的消极后果及其发生概率最小化,同时将积极后果及其发生概率最大小化,同时将积极后果及其发生概率最大化的过程。化的过程。注注1 1:在安全问题上,风险优化主要关注降低风险。:在安全问题上,风险优化主要关注降低风险。注注2 2:风险优化取决于风险准则,其中包括成本和法律法:风险优化取决于风险准则,其中包括成本
32、和法律法规要求。规要求。注注3 3:要适当考虑由风险控制带来的风险。:要适当考虑由风险控制带来的风险。术术 语语 风险优化是通过风险处理实现风险控制一风险优化是通过风险处理实现风险控制一种措施,通过风险优化措施的实施,减少种措施,通过风险优化措施的实施,减少消极的一面,扩大积极的一面。消极的一面,扩大积极的一面。增加风险或承担新的风险以寻求机会增加风险或承担新的风险以寻求机会(见(见GB/T24353:2009 5.4.1GB/T24353:2009 5.4.1)关注次生风险关注次生风险 22.22.风险降低风险降低 risk reductionrisk reduction 减少风险的消极后果
33、减少风险的消极后果 ,降低其发生概率或,降低其发生概率或二者兼有的行为。二者兼有的行为。术术 语语 风险是某一事件发生的概率和其后果的组风险是某一事件发生的概率和其后果的组合,而实现降低风险(指消极方面),可合,而实现降低风险(指消极方面),可以从三个方面考虑:或是减少后果的严重以从三个方面考虑:或是减少后果的严重程度,或是降低其发生的频率(可能性)程度,或是降低其发生的频率(可能性),或是以上两个方面都采用。,或是以上两个方面都采用。23.23.风险减缓风险减缓 mitigationmitigation 对某一特定事件的消极后果进行限制的对某一特定事件的消极后果进行限制的行为。行为。术术 语
34、语 风险减缓是方法是针对事件的消极后果采风险减缓是方法是针对事件的消极后果采取的措施,是组织减少预期损失的努力。取的措施,是组织减少预期损失的努力。风险减缓和风险规避是两种不同的风险管风险减缓和风险规避是两种不同的风险管理方法。风险减缓是组织处理风险主体不理方法。风险减缓是组织处理风险主体不愿放弃或不愿转移的风险,是风险管理者愿放弃或不愿转移的风险,是风险管理者主要采取的管理措施,目的是为了在积极主要采取的管理措施,目的是为了在积极改善风险特性,使其能为组织所接受。改善风险特性,使其能为组织所接受。23.23.风险规避风险规避 risk transferrisk transfer 决定不陷入风
35、险,或者从风险状态中撤离决定不陷入风险,或者从风险状态中撤离的行为。的行为。注:这个决定可能是以风险评价结果为依据的。注:这个决定可能是以风险评价结果为依据的。术术 语语 在风险评价之后,风险管理者会发现某些风在风险评价之后,风险管理者会发现某些风险发生损失的可能性很大,或者一旦发生且险发生损失的可能性很大,或者一旦发生且损失的程度非常严重时,可以采取主动放弃损失的程度非常严重时,可以采取主动放弃原来承担风险或完全拒绝承担该风险的实施原来承担风险或完全拒绝承担该风险的实施行动,就是对风险的规避。行动,就是对风险的规避。风险规避是一种主动的行为,但放弃风险同风险规避是一种主动的行为,但放弃风险同
36、时也意味着收益的丧失。时也意味着收益的丧失。24.24.风险转移风险转移 risk transferrisk transfer 与其他组织共同承担风险损失,共享风险与其他组织共同承担风险损失,共享风险 收益的行为。收益的行为。注注1 1:法律法规可能通过某一特定风险的转移进行限制、禁:法律法规可能通过某一特定风险的转移进行限制、禁止或强制执行。止或强制执行。注注2 2:风险转移可以通过保险或其他协议来实施。:风险转移可以通过保险或其他协议来实施。注注3 3:风险转移可能会引发新的风险,也可能会改变现有的:风险转移可能会引发新的风险,也可能会改变现有的风险。风险。注注4 4:重新安排风险来源不属
37、于风险转移。:重新安排风险来源不属于风险转移。术术 语语 风险转移是将自己面临的可能损失的风险风险转移是将自己面临的可能损失的风险转移给其他组织或个人去承担的行为,从转移给其他组织或个人去承担的行为,从而使风险管理的组织达到降低损失或减少而使风险管理的组织达到降低损失或减少损失的目的,自然其他承担组织风险的组损失的目的,自然其他承担组织风险的组织和个人共享风险的收益(损失)。织和个人共享风险的收益(损失)。25.25.风险融资风险融资 risk financingrisk financing 为实现风险处理为实现风险处理 及其他相关活动的费用提及其他相关活动的费用提供资金的活动。供资金的活动。
38、注:在某些行业中,风险融资特指对风险造成的财务后注:在某些行业中,风险融资特指对风险造成的财务后果提供资金。果提供资金。术术 语语 组织在风险处理(风险规避、风险优化、组织在风险处理(风险规避、风险优化、风险转移、风险自留)过程中,需要支付风险转移、风险自留)过程中,需要支付一定的费用,以实现管理风险或补偿损失一定的费用,以实现管理风险或补偿损失,因而会采用各种方式融通资金。,因而会采用各种方式融通资金。融通资金是为风险管理对资金的筹措,融通资金是为风险管理对资金的筹措,也也是风险的一种财务补偿机制。风险估计和是风险的一种财务补偿机制。风险估计和风险评价是融资的主要数据依据。风险评价是融资的主
39、要数据依据。26.26.风险自留风险自留 risk retentionrisk retention 接受某一特定风险带来的损失或收益。接受某一特定风险带来的损失或收益。注注1 1:风险自留包括接受那些没有得到识别的风险。:风险自留包括接受那些没有得到识别的风险。注注2 2:风险自留不包括运用保险或者其他方法进行的风险:风险自留不包括运用保险或者其他方法进行的风险转移的处理。转移的处理。注注3 3:对风险的接受程度和对风险准则的依赖程度可能会:对风险的接受程度和对风险准则的依赖程度可能会有变化。有变化。术术 语语 风险具有不确定性的特点,并可能存在正风险具有不确定性的特点,并可能存在正面和负面两
40、种后果,组织接受某一风险后面和负面两种后果,组织接受某一风险后,组织自己承担风险所产生的损失或收益,组织自己承担风险所产生的损失或收益是通过一定措施来完成。自然在风险自留是通过一定措施来完成。自然在风险自留中会存在没有得到识别和确认的风险,如中会存在没有得到识别和确认的风险,如自身的承受能力;通过外部保险不是风险自身的承受能力;通过外部保险不是风险自留的措施,将某一工作外包,也不是风自留的措施,将某一工作外包,也不是风险自留的措施。险自留的措施。因要实现预期,组织对风险的接受程度以因要实现预期,组织对风险的接受程度以及对风险准则会按照风险自留措施的确定及对风险准则会按照风险自留措施的确定,而进
41、行调整。,而进行调整。27.27.风险承受风险承受 risk acceptancerisk acceptance 接受某一风险的决定。接受某一风险的决定。注:风险承受取决于风险准则。注:风险承受取决于风险准则。术术 语语 任何规模和类型的组织都面临风险,组织任何规模和类型的组织都面临风险,组织的所有活动都涉及风险。只是组织应通过的所有活动都涉及风险。只是组织应通过确定风险准则,来决定对某一风险是否接确定风险准则,来决定对某一风险是否接受。受。组织的价值取向和能力不同,因而是否组织的价值取向和能力不同,因而是否能接受某一风险会有不同的决定,这些决能接受某一风险会有不同的决定,这些决定会依据风险准
42、则的要求。定会依据风险准则的要求。28.28.残留风险(剩余风险)残留风险(剩余风险)residual risk residual risk 风险处理后余留下的风险。风险处理后余留下的风险。注注1 1:残留风险可包括未识别的风险。:残留风险可包括未识别的风险。注注2 2:残留风险也可被认作:残留风险也可被认作“保留的风险(保留的风险(retain riskretain risk)”。术术 语语 与组织的风险承受度相一致与组织的风险承受度相一致 策划新的控制活动策划新的控制活动 29.29.风险偏好风险偏好 appetiteappetite 一个组织追求、保留或采取风险的数量或一个组织追求、保留
43、或采取风险的数量或类型。类型。术术 语语GB/T24353:2009 5.6.1 GB/T24353:2009 5.6.1 中提到中提到这一词汇这一词汇COSOCOSO指出:指出:风险偏好是企业追求目标中愿意接受风风险偏好是企业追求目标中愿意接受风险的程度;险的程度;指导企业的资源配置;指导企业的资源配置;风险偏好与风险容忍的联系风险偏好与风险容忍的联系30.30.明确环境(状况)明确环境(状况)establishing the context界定外部和内部参数,以便在管理风险和设置风险管理方针的范围及风险准则时,予以考虑。术术 语语 31.31.外部环境(状况)外部环境(状况)组织寻求实现其
44、目标的外部环境。组织寻求实现其目标的外部环境。注:外部环境可包括:文化、社会、政治、法律法规、财政金融、技术、经济、自然和竞争环境,无论国际、国家、区域或地方 对组织目标具有影响的主要驱动和趋势。与外部利益相关方的关系和其感受和价值观。术术 语语外部环境可包括:(外部环境可包括:(COSO)COSO)经济和商业经济和商业-竞争竞争 市场市场 物价物价 新产品新产品自然自然-自然灾害自然灾害 可持续发展可持续发展政治政治-新官员新官员 法律法律 行政议程行政议程社会社会-人口人口 生产生产 生活方式生活方式 取向取向科技科技-电子商务电子商务 数据有用性数据有用性 成本降低成本降低32.32.内
45、部环境(状况)内部环境(状况)internal context 组织寻求实现其目标的内部环境。组织寻求实现其目标的内部环境。注:内部环境(状况)可包括:治理、组织结构、作用和责任;方针、目标、以及实现它们的战略;以资源和知识来理解的能力(如资本、时间、人员、过程、系统和技术);信息系统、信息流和决策过程(正式和非正式的);与内部利益相关者的关系、及他们的感受和价值观;组织的文化;标准、指南和组织采用的模式;合同关系的形式和范围 术术 语语内部环境包括:(内部环境包括:(COSOCOSO)实体的风险管理哲学实体的风险管理哲学 风险偏好和风险文化风险偏好和风险文化董事会监管董事会监管实体员工的诚信
46、、道德价值和能力实体员工的诚信、道德价值和能力管理哲学和经营风格管理哲学和经营风格及管理部门分配权力和责任、组织和引导员工及管理部门分配权力和责任、组织和引导员工的方式的方式33.33.风险所有者风险所有者 risk owner 具有风险管理权限和责任的个人或实体具有风险管理权限和责任的个人或实体。术术 语语34.34.风险管理过程风险管理过程 risk management process 管理方针、程序和惯例对沟通、协商、明确管理方针、程序和惯例对沟通、协商、明确环境、以及识别、分析、评价、处理、监测环境、以及识别、分析、评价、处理、监测和评审风险活动的系统应用和评审风险活动的系统应用。术术 语语 35.35.风险管理计划风险管理计划 risk management plan 在风险管理框架内规定用于风险管理的方法、在风险管理框架内规定用于风险管理的方法、管理要素、资源的方案。管理要素、资源的方案。注1:管理要素一般包括程序、惯例、职责分配、活动顺序和时间安排。注2:风险管理计划可应用于特定的产品、过程和项目、组织的部分或整体。术术 语语