风险管理-风险评估技术(ISO 31010对应的GB)(7)

的可能性。所使用的数据应当与正在分析的系统、设备、组织或活动的类型有关。如果某

些事件历史上发生频率很低，则无法估计其可能性。这一点尤其适用于从未发生的事件、

情况或环境，人们无法推测其将来是否会发生。

2)利用故障树和事件树等技术来预测可能性。当历史数据无法获取或不够充分时，有

必要通过分析系统、活动、设备或组织及其相关的失效或成功状况来推断风险的可能性。

3)系统化和结构化地利用专家观点来估计可能性。专家判断应利用一切现有的相关信

息，包括历史、具体系统、具体组织、实验及设计等方面的信息。获得专家判断的正式方

法众多，现有常用方法包括德尔菲法和层次分析法等。

5.3.5 初步分析

应对风险事件进行全面的扫描，以识别出最重大的风险或把不太重要和次要的风险排

除出进一步的分析，由此确保组织资源能集中于应对最严重的风险。进行筛选时，应注意

不要漏掉发生频繁低但有重大累积效应的风险。

以上筛选活动应在明确环境信息时所确定的准则基础上进行。依据初步分析的结果，

组织可能采取以下某个行动方案：

● 立即进行风险应对而无需进行评估；

● 搁臵暂不需处理的轻微风险；

● 继续进行更细致的风险评估。

最初的假定及结果应记录在案。

5.3.6 不确定性及敏感性因素

在风险分析过程中经常会涉及到相当多的不确定性因素。认识这些不确定性因素对于

有效地理解并说明风险分析结果是必要的。例如，对于那些在风险识别和风险分析时所使

用的数据、方法及模型，应注意分析其本身存在的不确定性因素。不确定性因素分析涉及

到对风险分析结果的方差或偏离性进行明确。

与不确定性因素分析密切相关的是敏感性分析。敏感性分析是确定某个参数输入的改

变对风险等级影响的程度和显著性。这项分析可用来识别哪些数据是对结果影响较大的，

从而更应确保其准确性。

应尽可能充分阐述风险分析的完整性及准确度。如有可能，应识别不确定性因素的起

因。敏感的参数及其敏感度应予以说明。

5.4 风险评价

风险评价包括将风险分析的结果与预先设定的风险准则相比较，或者在各种风险的分

析结果之间进行比较，确定风险的等级。

风险评价利用风险分析过程中所获得的对风险的认识，来对未来的行动进行决策。道

德、法律、资金以及包括风险偏好在内的其它因素也是决策的参考信息。

决策包括：

● 某个风险是否需要应对；

● 风险的应对优先次序；

● 是否应开展某项应对活动；

● 应该采取哪种途径。

在明确环境信息时，需要制定的决策的性质以及决策所依据的准则都已得到确定。但

是在风险评价阶段，需要对以上问题进行更深入的分析，毕竟此时对于已识别的具体风险

有更为全面的了解。如果该风险是新识别的风险，则应当制定相应的风险准则，以便评价

该风险。

最简单的风险评价结果仅将风险分为两种：需要处理与无需处理的。这样的处理方式

无疑简单易行，但是其结果通常难以反映出风险估计时的不确定性因素，而且两类风险界

限的准确界定也绝非易事。

常见的方法是将风险划分为三个等级段。安全工程领域的 最低合理可行 原则(As

Low As Aeasonably Practicable，简称ALARP)即适用于这种方法。

● 上段是指无论活动能带来什么利益，风险等级都是无法容忍的，必须不惜代价进

行风险应对；

● 中段是指要考虑实施风险应对的成本与收益，并权衡机遇与潜在结果；

● 下段是指风险等级微不足道，或者风险很小，无需采取风险应对措施。

风险评价的结果应满足风险应对的需要，否则，应做进一步分析。

5.5 文件的归档

风险评估的过程应与评估结果一起记录在案。风险应以可理解的术语来表达，同时对

于风险等级的单位也应进行清晰表述。

风险评估记录文件的内容将取决于评估工作的目标及范围。除非进行很简单的评估，

否则，文件需包括以下内容：

● 目标及范围；

● 系统相关部分的说明及它们的功能；

● 组织的内外部环境描述以及被评估对象与内外环境的关联情况；

● 所使用的风险准则及其合理性；

● 假定及假设的合理性；

● 评估方法；

● 风险识别结果；

● 数据的来源与校验；

● 风险分析结果及评价；

● 敏感性及不确定性分析；

● 关键假定和其他需要加以监测的因素；

● 结果讨论；

● 结论和建议；

● 参考资料。

如果需要风险评估来支持一个连续的风险管理过程，那么对于风险评估的记录工作应

在系统、组织、设备或活动的整个生命周期内持续进行。如果出现重要的新信息并且环境

发生变化，应根据管理的需要对风险评估进行更新。

5.6 风险评估的监督和检查

风险评估过程强调环境因素和那些经过一段时间预计会变化并且可能使风险评估改变

或失效的其它因素。应当识别出这些因素进行持续的监督和检查，以便在必要时更新风险

评估的信息。

应当识别和收集为改进风险评估而监测的数据。还应当监测和记录风险控制措施的效

果，以便为风险分析提供数据。应当明确证据、文件的建立和检查的责任。

6. 风险评估技术的选择

6.1 概述

选择合适的风险评估技术和方法，有助于组织及时高效地获取准确的评估结果。在实

践中，风险评估活动的复杂及详细程度千差万别。风险评估的形式及结果应与组织的自身

情况适合，并在明确环境信息时确定。

6.2 技术的选择

6.2.1 概述

一般来说，合适的技术应具备以下特征：

适应相关的情况或组织；

得出的结果应加深人们对风险性质及风险应对策略的认识；

应能按可追溯、可重复及可验证的方式使用。

应从相关性及适用性角度说明选择技术的原因。在综合不同研究的结果时，所采用的

技术及结果应具有可比性。

一旦决定进行风险评估并且确定了风险评估的目标和范围，那么就应根据如下适用的

因素来选择一种或多种评估技术。

研究目标：风险评估的目标对于使用的方法有直接影响；

决策者的需要：某些情况下做出有效的决策需要充分的细节，而某些情况下可能只

需要对总体进行大致了解；

所分析风险的类型及范围；

结果的潜在严重程度；

修改/更新风险评估的必要性：一些评估结果可能在将来需要修改或更新。在这方

面，某些方法比其他方法更易于调整；

法律法规及合同要求等。

只要满足评估的目标和范围，简单方法应优于复杂方法被采用。

此外，其它几类因素对风险评估技术选择的影响更为值得关注，例如组织的现有资源

及能力、不确定性因素的性质与程度，以及风险的复杂性与潜在后果。

6.2.2 可用资源

可能影响风险评估技术选择的资源和能力包括：

● 风险评估团队的技能、经验、规模及能力；

● 信息及数据的可获得性；

● 时间以及组织内其他资源的限制；

● 需要外部资源的可用预算。

6.2.3 不确定性的性质和程度

不确定性可能是组织内外部环境中必然存在的情 …… 此处隐藏：1983字，全部文档内容请下载后查看。喜欢就下载吧 ……