风险管理-风险评估技术(ISO 31010对应的GB)(6)

4.2.1 概述

本标准所指的风险评估是在GB/T 24353-2009所描述的风险管理过程内展开的。

在风险管理过程中，风险评估并非一项独立的活动，必须整合到风险管理过程的其它

组成部分中。GB/T 24353-2009中界定的风险管理过程包含以下要素：明确环境信息；风

险评估(包括风险识别、风险分析与风险评价)；风险应对；监督和检查；沟通和记录。

进行风险评估时尤其应该清楚以下事项：

● 组织的环境信息和目标；

● 组织可容忍风险的范围及类型，以及对于不可接受风险的处理方式；

● 风险评估的方法和技术，及其对风险管理过程的促进作用；

● 组织内部各部门和人员对于风险评估活动的义务、责任及权利；

● 开展风险评估的可用资源；

● 如何进行风险评估的报告及检查；

● 风险评估活动如何整合进组织日常运行中。

4.2.2 明确环境信息

通过明确环境信息，组织可明确其风险管理的目标，确定与组织相关的内部和外部参

数，并设定风险管理的范围和有关风险准则。

风险准则是组织用于评价风险重要程度的标准。因此，风险准则需体现组织的风险承

受度，应反映组织的价值观、目标和资源。组织应根据所处环境和自身情况，合理制定本

组织的风险准则。

在进行具体的风险评估活动时，明确环境信息应包括界定内外部环境、风险管理环境

并确定风险准则。在此过程中，应确定组织的风险准则、风险评估目标及风险评估程序。

4.2.3 风险评估

风险评估包括风险识别、风险分析和风险评价三个步骤。

风险评估活动适用于组织的各个层级，评估范围可涵盖项目、单个活动或具体事项等。

但是在不同情境中，所使用的评估工具和技术可能会有差异。

风险评估有助于决策者对风险及其原因、后果和可能性有更充分的理解。这可以为以

下决策提供信息：

● 是否应该开展某些活动；

● 如何充分利用时机；

● 是否需要应对风险；

● 选择不同风险的应对策略；

● 确定风险应对策略的优先次序；

● 选择最适合的风险应对策略，将风险的不利影响控制在可以接受的水平。

4.2.4 风险应对

风险应对是在完成风险评估之后，选择并执行一种或多种改变风险的措施，包括改变

风险事件发生的可能性或后果。

风险应对是一个递进的循环过程，实施风险应对措施后，应重新评估新的风险水平是

否可以承受，从而确定是否需要进一步采取应对措施。

4.2.5 监督和检查

作为风险管理过程的组成部分，应定期对风险与控制进行监督和检查，以确认：

● 有关风险的假定仍然有效；

● 风险评估所依据的假定，包括内外部环境，仍然有效；

● 正在实现预期结果；

● 风险评估的结果符合实际经验；

● 风险评估技术被正确使用；

● 风险应对有效。

组织应确定监督和检查工作的责任。

4.2.6 沟通和记录

风险评估工作的成功依赖于与利益相关方进行的有效沟通与协商。

让利益相关者参与到风险管理过程中是有必要的，这样有助于：

● 沟通计划的制定；

● 正确识别环境信息；

● 确保利益相关者的利益得到充分认识和考虑；

● 汇集不同领域的专业知识以识别和分析风险；

● 确保风险评估过程中不同的观点也能得到适当考虑；

● 确保风险得到充分识别；

● 确保风险应对计划得到支持。

利益相关方应当设法使得风险评估过程与组织其他管理活动的有效融合，包括变革管

理、项目和计划管理以及财务管理等。

5. 风险评估过程

5.1 概述

通过风险评估，决策者及有关各方可以更深刻地认识那些可能影响组织目标实现的风

险以及现有风险控制措施的充分性和有效性，为确定最合适的风险应对方法奠定基础。风

险评估的结果可作为组织决策过程的输入。

风险评估是由风险识别、风险分析及风险评价构成的一个完整过程(参见图1)。该过程

的开展方式不仅取决于风险管理过程的背景，还取决于开展风险评估工作所使用的方法与

技术。

图1 风险评估对风险管理过程的推动作用

考虑到各类风险的原因及后果有较大差异，因此风险评估通常涉及到多学科方法的综

合应用。

5.2 风险识别

风险识别是发现、认可并记录风险的过程。

风险识别的目的是确定可能影响系统或组织目标得以实现的事件或情况。一旦风险得

以识别，组织应对现有的控制措施(诸如设计特征、人员、过程和系统等)进行识别。

风险识别过程包括识别那些可能对目标产生重大影响的风险源、影响范围、事件及其

原因和潜在的后果。

风险识别方法包括：

● 基于证据的方法，例如检查表法以及对历史数据的审查；

● 系统性的团队方法，例如一个专家团队可以借助于一套结构化的提示或问题来系

统地识别风险；

● 归纳推理技术，例如危险与可操作性分析(HAZOP)等。

组织可利用各种支持性的技术来提高风险识别工作的准确性和完整性，包括头脑风暴

法及德尔菲法等。

无论实际采用哪种技术，关键是在整个风险识别过程中要认识到人的因素及组织因素

的重要性。因此，偏离预期的人为及组织因素也应被纳入风险识别的过程中。

5.3 风险分析

5.3.1 概述

风险分析能够加深对风险的理解。它为风险评价提供输入，以确定风险是否需要处理

以及最适当的处理策略和方法。

风险分析要考虑导致风险的原因和风险源、风险后果及其发生的可能性，识别影响后

果和可能性的因素，还要考虑现有的风险控制措施及其有效性。然后结合风险发生的可能

性及后果来确定风险水平。一个风险事件可能产生多个后果，从而可能影响多重目标。附

录B提供了一些常用的风险分析方法。对于复杂的应用可能需要多种方法同时使用。

风险分析通常涉及对风险事件潜在后果及相关概率的估计，以便确定风险等级。在某

些情况下，例如当后果很不重要，或者概率极低时，单项的估计可能足以进行决策。

在某些情况下，风险可能是一系列事件迭加产生的结果，或者由一些难以识别的特定

事件所诱发。在这种情况下，风险评估的重点是分析系统各组成部分的重要性和薄弱环节，以确定相应的保护和补救措施。

根据风险分析的目的、可获得的可靠数据以及组织的决策需要，风险分析可以是定性

的、半定量的、定量的或以上方法的组合。

定性评估可通过 高、中、低 这样的表述来界定风险事件的后果、可能性及风险等

级。如将后果和可能性两者结合起来，并与定性的风险准则相比较，即可评估最终的风险

等级。

半定量法可利用数字分级尺度来测度风险的可能性及后果，并运用公式将二者结合起

来，得出风险等级。

定量分析则可估计出风险后果及其可能性的实际数值，结合具体情境，产生风险等级

的数值。由于相关信息不够全面、缺乏数据、人为因素影响等，或是因为定量分析工作无

法确保或没有必要，全面的定量分析未必都是可行的或值得的。在此情况下，由经验丰富

的专家对风险进行半定量或者定性的分析可能已经足够有效。

如果是定性分析，那么应该对使用的术语进 …… 此处隐藏：2488字，全部文档内容请下载后查看。喜欢就下载吧 ……