前言—风险无处不在
了解风险
默菲定律
ISO 9001 & IATF 16949 中对风险管理的要求
GB/T 24353-2009 风险管理 原则与实施指南
前言
本标准的预期使用者是组织的利益相关者,如:
−组织的决策者;
−组织内部负责制定风险管理政策的人员;
−组织或活动中实施风险管理的人员;
−需要对组织的风险管理实践进行评估的人员;
−组织中负责制定有关风险管理的标准、指南、程序、应用准则的人员;
−股东、董事会、高级管理人员、员工、债权人、供应商、顾客、银行、监管机构、合作伙伴等,以及其他需要确保组织管理其风险的人员。
考虑到风险的性质、重要程度和复杂性等方面的多样性,在实际应用时,组织可使用本标准提供的方法,识别具体的风险管理环境,以确保风险管理的合理性和适用性。
许多组织在现有的管理实践和过程中已经实施了风险管理,或者已经对某些特定风险或具体领域采用了正式的风险管理过程,如内部控制。管理层可对照本标准对现有的风险管理实践和过程进行检查。
本标准是通用标准,旨在协调现有的和将来的标准中有关风险管理的内容。本标准提供通用的方法,为制定具体风险或具体行业的标准提供支持,而不是为了替代这些标准。
1 范围
本标准提供了风险管理的原则和通用的实施指南。
本标准适用于各种类型和规模的组织,适用于组织的全生命周期及其各阶段,也适用于组织的各种活动,包括流程管理、职能行为、项目管理以及与产品、服务、资产、运作和决策等有关的各项活动。
本标准提供实施风险管理的通用指南,但风险管理的具体实施取决于组织的实际需求和具体实践。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 23694 风险管理 术语
3 术语和定义
GB/T 23694 确立的术语和定义适用于本标准。
(GB/T 23694 中部分术语和定义)
3.1.1 风险 risk
某一事件(3.1.4)发生的概率(3.1.3)和其后果(3.1.2)的组合
注1:术语“风险”通常仅应用于至少有可能会产生负面结果的情况。
注2:在某些情况下,风险起因于与预期的后果或事件偏离的可能性。
注3:与安全有关的概念,参加GB/T 20000.4-2003.
4 风险管理原则
为有效管理风险,组织在实施风险管理时,可遵循下列原则:
a) 控制损失,创造价值
以控制损失、创造价值为目标的风险管理,有助于组织实现目标、取得具体可见的成绩和改善各方面的业绩,包括人员健康和安全、合规经营、信用程度、社会认可、环境保护、财务绩效、产品质量、运营效率和公司治理等方面。
b) 融入组织管理过程
风险管理不是独立于组织主要活动和各项管理过程的单独的活动,而是组织管理过程不可缺少的重要组成部分。
c) 支持决策过程
组织的所有决策都应考虑风险和风险管理。风险管理旨在将风险控制在组织可接受的范围内,有助于判断风险应对是否充分、有效,有助于决定行动优先顺序并选择可行的行动方案,从而帮助决策者做出合理的决策。
d) 应用系统的、结构化的方法
系统的、结构化的方法有助于风险管理效率的提升,并产生一致、可比、可靠的结果。
e) 以信息为基础
风险管理过程要以有效的信息为基础。这些信息可通过经验、反馈、观察、预测和专家判断等多种渠道获取,但使用时要考虑数据、模型和专家意见的局限性。
f) 环境依赖
风险管理取决于组织所处的内部和外部环境以及组织所承担的风险。需要特别指出的是,风险管理受人文因素的影响。
g) 广泛参与、充分沟通
组织的利益相关者之间的沟通,尤其是决策者在风险管理中适当、及时的参与,有助于保证风险管理的针对性和有效性。
利益相关者的广泛参与有助于其观点在风险管理过程中得到体现,其利益诉求在决定组织的风险偏好时得到充分考虑。利益相关者的广泛参与要建立在对其权利和责任明确认可的基础上。
利益相关者之间需要进行持续、双向和及时的沟通,尤其是在重大风险事件和风险管理有效性等方面需要及时沟通。
3.2.1 利益相关者 stakeholder
可以影响风险(3.1.1)、受到风险影响或自认为会受到风险影响的任何个人、团体或组织。
注1:决策者也是利益相关者之一。
注2:术语“利益相关者”包含GB/T 19000-2008中定义的“相关方”。
h) 持续改进
风险管理是适应环境变化的动态过程,其各步骤之间形成一个信息反馈的闭环。随着内部和外部事件的发生、组织环境和知识的改变以及监督和检查的执行,有些风险可能会发生变化,一些新的风险可能会出现,另一些风险则可能消失。因此,组织应持续不断的对各种变化保持敏感并做出恰当反应。组织通过绩效测量、检查和调整等手段,使风险管理得到持续改进。
5 风险管理过程
3 术语和定义
3.3.1 风险评估 risk assessment
包括风险分析(3.3.2)和风险评价(3.3.6)在内的全部过程。
注:此术语在GB/T 20000.4-2003中为“风险评定” 。
3.3.3 风险识别 risk identification
发现、列举和描述风险(3.1.1)要素的过程。
注1:要素可以包括来源或危险(源)、事件、后果和概率。
注2:风险识别也可以反映出利益相关者关注的问题。
3.3.2 风险分析 risk analysis
系统地运用相关信息来确定风险的来源(3.1.5),并对风险(3.1.1)进行估计。
注1:风险分析为风险评价、风险处理和风险承受提供了一个基础。
注2:信息可以包括历史数据、理论分析、基于可靠信息的见解以及利益相关者的关注。
注3:有关安全方面的问题参加GB/T 20000.4-2003.
3.3.5 风险估计 risk estimation
对风险(3.1.1)的概率(3.1.3)及后果(3.1.2)进行赋值的过程。
注:风险估计可以考虑成本、收益、利益相关者的利害关系,以及其他各种用于风险评价的因素。
3.3.6 风险评价 risk evaluation
将估计后的风险(3.1.1)与给定的风险准则(3.1.6)对比,来决定风险严重性的过程。
注1:风险评价有助于做出接受还是处理某一个风险的决策。
注2:关于安全方面的风险评价参加GB/T 20000.4-2003.
3.1.6 风险准则 risk criteria
评价风险(3.1.1)严重性的依据
注:风险准则包括相关的成本及收益,法律法规要求,社会经济及环境因素,利益相关者的态度,优先次序和在评估过程中的其他要素。
5.2 明确环境信息
5.2.1 概述
通过明确环境信息,组织可明确其风险管理的目标,确定与组织相关的内部和外部参数,并确定风险管理的范围和有关风险准则。
5.2.2 外部环境信息
外部环境信息是组织在实现目标过程中所面临的 外界环境的历史、现在和未来的各种相关信息 。
为保证在制定风险准则时能充分考虑外部利益相关者的目标和关注点,组织需要了解外部环境信息。外部环境信息以组织所处的整体环境为基础,包括法律和监管要求、利益相关者的诉求和具体分析管理过程相关的其它方面的信息等。
外部环境信息包括但不限于:
−国际、国内、地区及当地的政治、经济、文化、法律、法规、技术、金融以及自然环境和竞争环境;
−影响组织目标实现的外部关键因素及其历史和变化趋势;
−外部利益相关者及其诉求、价值观、风险承受度;
−外部利益相关者与组织的关系等。
5.2.3 内部环境信息
内部环境信息是组织在实现目标过程中所面临的内在环境的历史、现在和未来的各种相关信息。
风险管理过程要与组织的文化、经营过程和机构相适应,包括组织内影响其风险管理的任何事物。组织需明确内部环境信息,因为:
−风险可能会影响组织战略、日常经营或项目运营等各个方面,从而进一步会影响组织的价值、信用和承诺等;
−风险管理在组织的特定目标和管理条件下进行;
−具体活动的目标和有关准则应放到组织整体目标环境中考虑。
内部环境信息可包括:
−组织的方针、目标以及经营战略;
−资源和知识方面的能力(如资金、时间、人力、过程、系统和技术);
−信息系统、信息流和决策过程(包括正式的和非正式的);
−内部利益相关者及其诉求、价值观、风险承受度;
−采用的标准和模型;
−组织机构(包括治理结构、任务和责任等)、管理过程和措施;
−与风险管理实施过程有关的环境信息等。
其中,风险管理过程的环境信息根据组织的需要而改变,它包括但不限于:
−所开展的风险管理工作的范围和目标,以及所需要的资源;
−风险管理过程的职责;
−应执行的风险管理活动的深度和广度;
−风险管理活动与组织其他活动之间的关系;
−风险评估的方法和使用的数据;
−风险管理绩效的评价方法;
−需要制定的决策;
−风险准则等
5.2.4 确定风险准则
风险准则是组织用于评价风险重要程度的标准。因此,风险准则需体现组织的风险承受度,应反映组织的价值观、目标和资源。有些风险准则直接或间接反映了法律和法规要求或其他需要组织遵循的要求。风险准则应当与组织的风险管理方针一致。具体的风险准则应尽可能在风险管理过程开始时制定,并持续不断地检查和完善。
确定风险准则时要考虑以下因素:
−可能发生的后果的性质、类型以及后果的度量;
−可能性的度量;
−可能性和后果的时限;
−风险的度量方法;
−风险等级的确定;
−利益相关者可接受的风险或可容许的风险等级;
−多种风险的组合的影响。
通过对以上因素及其他相关因素的关注,将有助于保证组织所采用的风险管理方法适合于组织现状及其所面临的风险。
5.3 风险评估 (在GB/T 27921-2011中有更详细的解析)
5.3.1 概述
风险评估包括风险识别、风险分析和风险评价三个步骤。
5.3.2 风险识别
风险识别是通过识别风险源、影响范围、事件及其原因和潜在的后果等,生成一个全面的风险列表。识别风险不仅要考虑有关事件可能带来的损失,也要考虑其中蕴含的机会。
进行风险识别时要掌握相关的和最新的信息,必要时,需包括适用的背景信息。除了识别可能发生的风险事件外,还要考虑其可能的原因和可能导致的后果,包括所有重要的原因和后果。不论风险事件的风险源是否在组织的控制之下,或其原因是否已知,都应对其进行识别。此外,要关注已经发生的风险事件,特别是新近发生的风险事件。
识别风险需要所有相关人员的参与。组织所采用的风险识别工具和技术应当适合于其目标、能力及其所处环境。
5.3.3 风险分析
风险分析是根据风险类型、获得的信息和风险评估结果的使用目的,对识别出的风险进行定性和定量的分析,为风险评价和风险应对提供支持。风险分析要考虑导致风险的原因和风险源、风险事件的正面和负面的后果及其发生的可能性、影响后果和可能性的因素、不同风险及其风险源的相互关系以及风险的其它特性,还要考虑现有的管理措施及其效果和效率。
在风险分析中,应考虑组织的风险承受度及其对前提和假设的敏感性,并适时与决策者和其它利益相关者有效地沟通。另外,还要考虑可能存在的专家观点中的分歧及数据和模型的局限性。
根据风险分析的目的、获得的信息数据和资源, 风险分析可以是定性的、半定量的、定量的或以上方法的组合 。一般情况下,首先采用定性分析,初步了解风险等级和揭示主要风险。适当时,进行更具体和定量的风险分析。
后果和可能性可通过专家意见确定,或通过对事件或事件组合的结果建模确定,也可通过对实验研究或可获得的数据的推导确定。对后果的描述可表达为有形或无形的影响。在某些情况下,可能需要多个指标来确切描述不同时间、地点、类别或情形的后果。
5.3.4 风险评价
风险评价是将风险分析的结果与组织的风险准则比较,或者在各种风险的分析结果之间进行比较,确定风险等级,以便作出风险应对的决策。如果该风险是新识别的风险,则应当制定相应的风险准则,以便评价该风险。
风险评价的结果应满足风险应对的需要,否则,应做进一步分析。有时,根据已经制定的风险准则,风险评价使组织作出维持现有的风险应对措施,不采取其它新的措施的决定。
5.4 风险应对
5.4.1 概述
风险应对是选择并执行一种或多种改变风险的措施,包括改变风险事件发生的可能性或后果的措施。风险应对决策应当考虑各种环境信息,包括内部和外部利益相关者的方向承受度,以及法律、法规和其它方面的要求等。
风险应对措施的制订和评估可能是一个递进的过程 。对于风险应对措施,应评估其剩余风险是否可以承受。如果剩余风险不可承受,应调整或制定新的风险应对措施,并评估新的风险应对措施的效果,直到剩余风险可以承受。执行风险应对措施会引起组织风险的改变,需要跟踪、监督风险应对的效果和组织的有关环境信息,并对变化的风险进行评估,必要时持续制定风险应对措施。
可能的风险应对措施之间不一定互相排斥。一个风险应对措施也不一定在所有条件下都适合。风险应对措施可包括下列各项:
−决定停止或退出可能导致风险的活动以 规避风险 ;
− 增加风险或承担新的风险 以寻求机会;
− 消除 具有负面影响的 风险源 ;
− 改变 风险事件发生的 可能性的大小及其分布的性质 ;
− 改变 风险事件发生的可能 后果 ;
− 转移风险;
− 分担风险
− 保留风险 等。
5.4.2 选择风险的应对措施
选择适当的风险应对措施时需考虑很多方面,比如:
− 法律、法规、社会责任和环境保护等方面 的要求;
−风险应对措施的 实施成本与收益 (有些风险可能需要组织考虑采用经济上看起来不合理的风险应对决策,例如可能带来严重的负面后果但发生可能性低的风险事件);
−选择几种应对措施,将其单独或组合使用;
−利益相关者的诉求和价值观、对风险的认知和承受度以及对某一些风险应对措施的偏好。
风险应对措施在实施过程中可能会失灵或无效。因此, 要把监督作为风险应对措施的实施计划的有机组成部分 ,以保证应对措施持续有效。
风险应对措施可能引起 次生风险 ,对次生风险也需要评估、应对、监督和检查。在原有的风险应对计划中要加入这些次生风险的内容,而不应将其作为新风险而独立对待。为此需要识别并检查原有风险与次生风险之间的联系。当风险应对措施影响到组织内其它领域的风险或影响到其它利益相关者时,要评估这些影响,并与有关利益相关者沟通,必要时调整风险应对措施。
决策者和其它利益相关者应当清楚在采取风险应对措施后的剩余风险的性质和程度。
5.4.3 制定风险应对计划
在选择了风险应对措施之后,需要制定 相应的风险应对计划 。风险应对计划中应当包括以下信息:
−预期的收益;
绩效指标及其考核方法
−风险管理责任人及实施风险应对措施的人员安排;
−风险应对措施涉及的具体业务和管理活动;
−选择多种可能的风险应对措施时,实施风险应对措施的优先次序;
−报告和监督、检查的要求;
−与适当的利益相关者的沟通安排;
−资源需求,包括应急机制的资源需求;
−执行时间表等。
风险应对计划要与组织的 管理过程整合 。
5.5 监督和检查
组织应明确界定监督和检查的责任。
监督和检查可能包括:
−监测事件,分析变化及其趋势并从中吸取教训;
−发现内部和外部环境信息的变化,包括风险本身的变化、可能导致的风险应对措施及其实施优先次序的改变;
−监督并记录风险应对措施实施后的剩余风险,以便在适当时作出进一步处理;
−适当时,对照风险应对计划,检查工作进度与计划的偏差,保证风险应对措施的设计和执行有效;
−报告关于风险、风险应对计划的进度和风险管理方针的遵循情况;
−实施风险管理绩效评估。
风险管理绩效评估应被纳入到组织的绩效管理以及组织对内、对外的报告体系之中。
监督和检查活动包括常规检查、监控已知风险、定期或不定期检查。定期或不定期检查都应被列入风险应对计划。
适当时,监督和检查的结果应当有记录并对内或对外报告。
5.6 沟通和记录
5.6.1 沟通
组织在风险管理过程的每一个阶段都应当与内部和外部利益相关者有效沟通,以保证实施风险管理的责任人和利益相关者能够理解组织风险管理决策的依据,以及需要采取某些行动的原因。
由于利益相关者的价值观、诉求、假设、认知和关注点不同,其风险偏好也不同,并可能对决策有重要影响。因此,组织在决策过程中应当与利益相关者进行充分沟通,识别并记录利益相关者的风险偏好。
5.6.2 记录
在风险管理过程中,记录是实施和改进整个风险管理过程的基础。
建立记录应当考虑以下方面:
−出于管理的目的而重复使用信息的需要;
−进一步分析风险和调整风险应对措施的需要;
−风险管理活动的可追溯要求;
−沟通的需要;
−法律、法规和操作上对记录的需要;
−组织本身持续学习的需要;
−建立和维护记录所需的成本和工作量;
−获取信息的方法、读取信息的容易程度和储存媒介;
−记录保留期限;
−信息的敏感性。
6 风险管理的实施
6.1 概述
组织实施风险管理过程(见第5章)需要一个风险管理体系,包括相关方针、组织机构、工作程序、资源配置、信息沟通机制以及相关的技术手段等基础设施,以便将风险管理嵌入到组织的各个层级和活动之中。
通过在组织的不同层级和特定环境内实施风险管理过程,风险管理体系帮助组织有效地管理风险。组织的风险管理体系可能由在各层级和特定环境内实施风险管理过程的子体系构成,如内部控制体系等。
风险管理体系应当保证风险管理过程中的风险信息的充分沟通,并且在相关的组织层次范围内作为决策和问责的依据使用。组织要在检查的基础上,作出如何改进风险管理体系、方针和风险应对计划的决策,从而引导组织的风险管理和风险管理文化的改进。
风险管理体系的要素主要包括:
− 风险管理方针;
− 适当的制度和程序,使风险管理嵌入到组织的所有活动和过程中;
− 与组织结构相关的职责,及有关的与组织的绩效指标一致的风险管理绩效指标;
− 资源分配;
− 与所有利益相关者沟通风险管理的机制;
− 技术手段、方法、工具等 。
6.3 风险管理程序
组织应当设计适当的制度和行为规范,建立风险管理工作程序,特别是整个组织层面的风险管理计划,以保证风险管理嵌入到组织的所有活动和过程之中,尤其是组织的 战略规划、运营过程以及变革管理 之中。
6.4 风险管理相关组织结构
组织可通过以下方法保证风险管理的责任认定和授权,从而能够执行风险管理过程,并保证风险管理的充分性和有效性:
−明确风险管理体系的制定、实施和维护人员的职责;
−明确执行风险应对措施、维护风险管理体系和报告相关风险信息人员的职责;
−建立批准、授权制度;
−建立绩效测量及相应的合适的奖励、惩罚制度;
−建立对内对外的报告机制等。
6.5 风险管理资源配置
组织需要根据风险管理计划制定可行的方法,为风险管理分配适当的资源。具体要考虑下列各项:
−人员、技术、经验和能力;
−风险管理过程每一阶段所需要的资金及各种资源;
−数据记录的过程和程序步骤;
−信息和知识管理系统。
6.6 沟通和报告机制
6.6.1 内部沟通和报告机制
组织要建立内部沟通和报告的机制,以保证:
−风险管理体系的关键组成部分及其调整得到适当的沟通;
−在组织内部充分报告风险应对计划实施的效果和效率;
−在适当的层次和时间提供风险管理的相关信息;
−建立与内部利益相关者协商的程序。
内部沟通和报告机制还包括在考虑到组织敏感程度的基础上,适当整合从各内部渠道得到的风险信息的程序。
6.6.2 外部沟通和报告机制
组织需建立与外部利益相关者沟通的机制,这种机制应当保证:
−组织的对外报告符合法律、法规和公司治理要求;
−组织与外部利益相关者保持有效的信息沟通;
−在外部利益相关者中建立对组织的信息;
−在发生突发事件、危机和紧急状况时与利益相关者沟通;
−为组织提供外部利益相关者的报告和反馈。
参考文献
(略)
根据我公司的运营实际:
1、策划公司的风险管理流程;
2、根据第一次练习识别的各类风险建立对应的风险管理工具;
3、练习时间:20分钟;
风险分类及其应对
5 风险评估过程
5.2 风险识别
风险识别是发现、列举和描述风险要素的过程。
风险识别的目的是确定可能影响系统或组织目标得以实现的事件或情况。一旦风险得以识别,组织应对现有的控制措施(诸如设计特性、人员、过程和系统等)进行识别。
风险识别过程包括对风险源、风险事件及其原因和潜在后果的识别。
风险识别方法可能包括:
− 基于证据的方法,例如检查表法以及对历史数据的评审;
− 系统性的团队方法,例如一个专家团队遵循系统化的过程,通过一套结构化的提示或问题来识别风险;
− 归纳推理技术,例如危险与可操作性分析方法等 。
组织可利用各种支持性的技术来提高风险识别的准确性和完整性,包括 头脑风暴法和德尔菲法 等。
无论实际采用哪种技术,关键是在整个风险识别过程中要认识到人的因素和组织因素的重要性。因此,偏离预期的认为及组织因素也应被纳入风险识别的过程中。
5.3 风险分析
5.3.1 概述
风险分析是要增进对风险的理解。它为风险评价、决定风险是否需要应对以及最适当的应对策略和方法提供信息支持。
风险分析需要考虑导致风险的原因和风险源、风险事件的正面和负面的后果及其发生的可能性、影响后果和可能性的因素、不同风险及其风险源的相互关系以及风险的其他特性,还要考虑控制措施是否存在及其有效性。附录B提供了一些常用的风险分析方法。对于复杂的应用可能需要多种方法同时使用。
为确定风险等级,风险分析通常包括对风险的潜在后果范围和发生可能性的估计,该后果可能源于一个事件、情景或状况。然而,在某些情况下,如后果很不重要,或发生的可能性极小,这时单项参数的估计可能就足以进行决策。
在某些情况下,风险可能是一系列事件迭加产生的结果,或者由一些难以识别的特定事件所诱发。在这种情况下,风险评估的重点是分析系统各组成部分的重要性和薄弱环节,检查并确定相应的防护和补救措施。
用于风险分析的方法可以是定性的、半定性的、定量的或以上方法的组合。风险分析所需的详细程度取决于特定的用途、可获得的可靠数据,以及组织决策的需求。
定性的风险分析可通过重要性等级来确定风险后果、可能性和风险等级,如“高”、“中”、“低”3个重要性程度,可以将后果和可能性两者结合起来,并对照定性的风险准则来评价风险等级的结果。
半定量法可利用数字评级量表来测度风险的后果和发生可能性,并运用公式将二者结合起来,确定风险等级。量表的刻度可以是线性的,或者是对数的,或其他形式。
定量分析可估计出风险后果及其发生可能性的实际数值,并产生风险等级的数值。由于相关信息不够全面、缺乏数据、认为因素影响等,或是因为定量分析难以开展或没有必要,全面的定量分析未必都是可行的或值得的。在此情况下, 由具有专业知识和经验的专家对风险进行半定量或者定性的分析可能已经足够有效 。
如果是定性分析,那么应该对使用的术语和概念进行清晰的说明,并记录所有风险准则的设定基础。
即使已实现全面的定量分析,还应注意到,此时计算获得的风险等级值是估计值,应谨慎的确保其精度不会与所使用的原始数据及分析方法的精确度存在偏差。
风险等级应当用与风险类型最为匹配的术语表达,以利于进一步的风险评价。在某些情况下,风险等级可以通过风险后果的可能性分布来表述。
5.3.2 控制措施评估
风险的等级水平不仅取决于风险本身,还与 现有风险控制措施 的充分性和有效性密切相关。
在进行控制措施评估时,需要解决的问题包括:
−对于一个具体的风险,现有的控制措施是什么?
−这些控制措施是否足以应对风险,是否可以将风险控制在可接受范围内?
−在实际中,控制措施是否在以预定方式正常运行,当需要时,能否证明这些控制措施是有效的?
对于特定的控制措施或一套相关控制措施的有效性水平,可以进行定性、半定量或定量的表述。但在大多数情况下,难以保证高度的精确性。然而,表述和记录测量风险控制效果的有效性是有价值的。因为在改进现有控制措施以及实施不同的风险应对措施时,这些信息有助于决策者进行比较和判断。
5.3.3 后果分析
通过假设特定事件、情况或环境已经出现,后果分析可确定风险影响的性质和类型。某个事件可能会产生一系列不同严重程度的影响,也可能影响到一系列目标和不同利益相关者。在明确环境信息时,就应当确定所需要分析的后果的类型和受影响的利益相关方。
后果分析的形式较为灵活,可以是对后果的简单描述,也可能是制定详细的数量模型等。
影响可能是轻微后果高概率,或严重后果低概率,或某些中间状况。在某些情况下, 应关注具有潜在严重后果的风险 ,因为这些风险往往是管理者最关心的。在其他情况下,同时分析具有严重后果和轻微后果的风险可能是重要的。例如,频繁而轻微的问题可能具有很大的累积或长期效应。另外,处理这两类截然不同的风险的应对措施往往有很大的区别,因此分别分析这两类风险是必要的。
5.3.3 后果分析
后果分析应包括:
−考虑应对后果的现有控制措施,并关注可能影响后果的相关因素;
−将风险后果与最初目标联系起来;
−对马上出现的后果和那些经过一段时间后可能出现的后果两种情况要同等重视;
−不能忽视次要后果,例如那些影响相关系统、活动、设备或组织的次要后果。
5.3.4 可能性分析
通常主要使用三种方法来评估可能性。这些方法可单独或组合使用,包括:
a)利用相关历史数据来识别那些过去发生的事件或情况,借此推断出它们在未来发生的可能性。所使用的数据应当与正在分析的系统、设备、组织或活动的类型有关。 如果某些事件过去的发生频率很低,则任何可能性的估计都是不确定的 。这一点尤其适用于从未发生的事件、情况或环境,人们无法推测其将来是否会发生。
b)利用 故障树和事件树 等技术来预测可能性。当历史数据无法获取或不够充分时,有必要通过分析系统、活动、设备或组织及其相关的失效或成功状况来推断风险发生的可能性。
c)系统化和结构化的利用专家观点来估计可能性。专家判断应利用一切现有的相关信息,包括历史的、特定系统的、具体组织的、实验及设计等方面的信息。获得专家判断的正式方法众多,常用的方法包括 德尔菲法和层次分析法 等。
5.3.5 初步分析
应对风险进行全面的筛选,以识别出最重大的风险或把不太重要和次要的风险排除,便于进一步的分析,由此确保组织资源能集中于应对最严重的风险。进行筛选时,应注意不要漏掉发生频率低但有重大累积效应的风险。
以上筛选活动应在明确环境信息时所确定的风险准则基础上进行。依据初步分析的结果,组织可能采取以下某个方案:
− 无需进一步评估,立即进行风险应对;
− 搁置暂不需应对的不重要风险;
− 继续进行更细致的风险评估。
应记录最初的假定及结果。
5.3.6 不确定性及敏感性
在风险分析过程中经常会涉及到相当多的不确定性。认识这些不确定性对于有效的解释和沟通风险分析结果是必要的。这些不确定性与在风险识别和风险分析时所使用的数据、方法及模型有关。不确定性分析包括明确风险分析结果的方差或不确定性,它们可能来自于用于确定结果的参数和假设的共同偏差。
与不确定性分析密切相关的是敏感性分析。敏感性分析是确定某个参数输入的变化对风险等级的影响。这项分析可用来识别哪些数据数据是对结果影响较大的,从而更应确保其精确性。
应尽可能充分阐述风险分析的完整性及准确度。如有可能,应识别不确定性的起因,并阐述所使用数据、方法及模型的不确定性。敏感的参数及其敏感性程度应予以说明。
5.4 风险评价
风险评价包括将风险分析的结果与预先设定的风险准则相比较,或者在各种风险的分析结果之间进行比较,确定风险的等级。
风险评价利用风险分析过程中所获得的对风险的认识,对未来的行动进行决策。道德、法律、财务以及包括风险感知在内的其他因素,也是决策的参考信息。
决策包括:
−某个风险是否需要应对;
−风险的应对优先次序;
−是否应开展某项应对活动;
−应该采取哪些途径。
在明确环境信息时,需要做出的决策的性质以及决策所依据的准则都已得到确定。但是在风险评价阶段,需要对以上问题进行更深入的分析,毕竟此时对于已识别的具体风险有更为全面的了解。如果该风险是新识别的风险,则应当制定相应的风险准则,以便评价该风险。
最简单的风险评价结果,是仅将风险分为两种:需要应对与无需应对的。这样的方式无疑简单易行,但是其结果通常难以反映出发现估计时的不确定性,而且两类风险界限的准确界定也绝非易事。
是否以及如何应对风险的决策,也可能取决于承担风险的成本与收益以及实施应对措施的成本与收益。
依据风险的可容许程度,可以将风险划分为如下3个区域:
− 不可接受区域 。在该区域内无论相关活动可以带来什么收益,风险等级都是无法承受的,必须不惜代价进行风险应对;
− 中间区域 。对该区域内风险的应对需要考虑实施应对措施的成本与收益,并权衡机遇与潜在后果;
− 广泛可接受区域 。该区域中的风险等级微不足道,或者风险很小,无需采取任何风险应对措施。
安全工程领域的“最低合理可行”或ALARP(As Low As Reasonably Practicable)准则即遵循了这一风险分级方式。在中间区域(或称ALARP区域)中,对于较低的风险可以直接进行应对措施的成本收益分析:如果增加安全的投入对安全效益的贡献不大,则可认为分析是可容许的;对于其中较高的风险,则需进一步实施应对措施,以使风险尽量向广泛可接受区域靠拢,直至风险降低的成本与获得的安全收益完全不成比例。
风险评价的结果应满足风险应对的需要,否则,应做进一步分析。
5.5 文件的归档
风险评估的过程和结果都应进行记录。风险应以可理解的术语来表达,同时风险等级的单位也应得到清晰表达。
风险评估记录文件的内容将取决于评估工作的目标及范围。除非进行很简单的评估,否则,记录文件需包括:
−目标及范围;
−系统相关部分的说明及它们的功能;
−组织的内外部环境描述以及被评估对象与内外环境的关联情况;
−所使用的风险准则及其合理性;
−局限性、假定及假设的合理性;
−评估方法;
−风险识别的结果;
−数据的来源与校验;
−风险分析的结果及评价;
−敏感性及不确定性分析;
−关键的假定和其他需要加以检测的因素;
−结果的讨论;
−结论和建议;
−参考资料。
如果需要分析评估来支持一个连续的风险管理过程,那么对于风险评估的记录工作应在系统、组织、设备或活动的整个生命周期内持续进行。如果出现重要的新信息或者环境发生变化,应根据管理的需要对风险评估进行更新。
5.6 风险评估的监督和检查
风险评估过程强调环境因素和其他因素,这些因素可能会随时间变化,并且可能使风险评估改变或失效。应对识别出这些因素进行持续的监督和检查,以便在必要时更新风险评估的信息。
应当识别和收集为改进风险评估而监测的数据。还应当监测和记录风险控制措施的效果,以便为风险分析提供数据。应当明确证据、文件的建立和检查的责任。
6.1 概述
选择合适的分析评估技术和方法,有助于组织及时高效的获取准确的评估结果,在具体实践中,风险评估的复杂及详细程度千差万别。风险评估的形式及结果应与组织的自身情况适合。
6.2 技术的选择
6.2.1 概述
一般来说,合适的技术应具备以下特征:
−适应组织的相关情况;
−得出的结果应加深对风险性质及如何应对风险的认识;
−应能按可追溯、可重复及可验证的方式使用。
应从相关性及适用性角度说明选择技术的原因。在综合不同研究的结果时,所采用的技术及结果应是可比较的。
一旦决定进行风险评估并且确定了风险评估的目标和范围,那么就可以依据如下因素,选择一种或多种评估技术:
−风险评估的目标,这对于使用的方法有直接影响;
−决策者的需要:某些情况下作出有效的决策需要充分的评估细节,而某些情况下可能只需要对总体情况进行大致了解;
−所分析风险的类型及范围;
−后果的潜在严重程度;
−专业知识、人员以及所需要资源的程度;
−信息和数据的可获得性;
−修改/更新风险评估的必要性;一些评估结果可能在将来需要修改或更新。在这些方面,某些方法比其他方法更易于调整;
−法律法规及合同要求等。
只要满足评估的目标和范围,简单方法应优于复杂方法被采用 。
此外,其他几类因素对风险评估技术选择的影响也值得关注,例如资源的可获得性、现有数据和信息中不确定性的性质和程度,以及在应用方面的复杂性。
6.2.2 资源的可获得性
可能影响分析评估技术选择的资源和能力包括:
−风险评估团队的技能、经验及能力;
−信息及数据的可获得性;
−时间和组织内其他资源的限制;
−需要外部资源时的可用预算。
6.2.3 不确定性的性质和程度
组织内外部环境中常常存在着不确定性。可获得的信息和数据并不总是可以对未来的预测提供可靠的基础。不确定性可能产生于信息的质量、数据和完整性,例如较差的数据质量或缺乏基本的、可靠的数据;某些风险可能缺少历史数据;数据收集的方式的有效性;或者是不同利益相关方会对现有数据做出不同的解释。进行分析评估的人员应理解不确定性的类型和性质,同时认识到风险评估结果可靠性的重大意义,并向决策者说明这些情况。
6.2.4 复杂性
风险自身经常具有复杂性的特征。例如,在复杂的系统中进行风险评估时,应对其系统总体进行评估,而不是孤立的对待系统中的每个部分,并忽略各部分之间的相互关系。在某些情况下,对某一风险采取应对措施可能会对其他活动产生影响。需要认识后果之间的相互影响和风险之间的相互依赖关系,以确保在管理一个风险时,不会导致在其他地方产生另一个不可容忍的风险。理解组织中单个或多个风险组合的复杂性,对于选择适当的风险评估技术和方法值观重要。
6.3 风险评估在生命周期各阶段的应用
许多活动、项目和产品被认为具有生命周期,从最初的概念和定义、实现到最终的完结。风险评估可以应用于生命周期的所有阶段,而且通常以不同的详细程度被应用多次,以便为每一阶段需做出的决策提供帮助。
生命周期各阶段对风险评估有不同的需求,并需要不同的评估技术。例如,在概念和定义阶段,当识别一个机会时,可以使用风险评估来决定是继续还是放弃。在有多个方案可供选择时,风险评估可以用于评价替代方案,帮助确定哪些方案能够提供最好的风险平衡。
在设计和开发阶段,风险评估有助于:
−保证系统风险是可接受的;
−精细化设计过程;
−成本的有效性研究;
−识别在后续阶段可能出现的风险。
在生命周期的其他阶段,可以用风险评估提供必要的信息,以便为支持情况和紧急情况制定程序。
6.4 风险评估技术的类型
为了更清晰的理解各类风险评估技术的特点,可以依据多种方式对这些技术方法进行分类。附录A按适用阶段和影响因素,对常用的风险评估技术进行了分类比较。
在附录B中,对这些常用的风险评估技术和方法展开了进一步的详述介绍,为组织如何在特定情况下选择合适的风险评估技术提供参考。复杂情况下可能需要同时采用多种评估技术和方法。
A.1 适用阶段
本附录描述了各类评估技术如何应用到风险评估过程的每一个阶段。风险评估过程如下所示:
−风险识别;
−风险分析:后果分析;
−风险分析:对发生可能性的定性、半定量或定量分析;
−风险分析:评估现有控制措施的有效性;
−风险分析:风险等级的估计;
−风险评价。
对于风险评估的每一阶段。各类技术的适用性被描述为非常适用,适用或者不适用(见表A.1).
