二风险管理术语和定义.pptx

术语和定义术语和定义1 1 1 1第第 二二 章章1 1 1 不确定性对目标的影响不确定性对目标的影响 注注1 1：影响是与期待的偏差：影响是与期待的偏差积极和积极和/或消极或消极注注2 2：目标可以有不同方面（如财务、健康安全、以及环境目：目标可以有不同方面（如财务、健康安全、以及环境目 标），可以体现在不同的层次（如战略、组织范围、项标），可以体现在不同的层次（如战略、组织范围、项 目、产品和过程）。目、产品和过程）。注注3 3：风险通常以潜在事件和后果，或它们的组合来描述。：风险通常以潜在事件和后果，或它们的组合来描述。注注4 4：风险通常以事件（包括环境的变化）后果和发生可能性：风险通常以事件（包括环境的变化）后果和发生可能性 的组合来表达。的组合来表达。注注5 5：不确定性是指，对事件、其后果或可能性的认识或了：不确定性是指，对事件、其后果或可能性的认识或了 解方面的信息的缺乏或不完整的状态。解方面的信息的缺乏或不完整的状态。2 2 2 21.1.风险风险 risk2 2 2 2.2.后果：后果：consequence 某一事件的结果。某一事件的结果。注注1 1：某一事件可能会产生不止一种的后果。：某一事件可能会产生不止一种的后果。注注2 2：后果可以是正面的负面的。然而，从安：后果可以是正面的负面的。然而，从安 全方面来看，后果往往都是负面的。全方面来看，后果往往都是负面的。注注3 3：后果可以定性或定量表述。：后果可以定性或定量表述。3.3.可能性：可能性：某一事发生的机会某一事发生的机会3 3 3 4.4.概率：概率：probability 某一事件发生的可能程度。某一事件发生的可能程度。注注1 1：GB/T3358.1-1993 GB/T3358.1-1993 给出了一个关于给出了一个关于“概率概率”的数学定的数学定 义，度量某一随机事件发生可能性大小的实数，其值义，度量某一随机事件发生可能性大小的实数，其值 介于介于0 0与与1 1之间，它可以用来指在一段相当长的时间内，之间，它可以用来指在一段相当长的时间内，某一事件将要发生的频率，或者这一事件发生的可信某一事件将要发生的频率，或者这一事件发生的可信 程度。对于高可信度来说，概率接近程度。对于高可信度来说，概率接近“1”“1”。注注2 2：在描述风险时，常用：在描述风险时，常用“频率频率”一词而不是用一词而不是用“概率概率”一词。一词。注注3 3：有关可能性的程度可以用不同的等级来表示：有关可能性的程度可以用不同的等级来表示：-极不可能极不可能/不大可能不大可能/可能可能/很可能很可能/几几乎确定；或者乎确定；或者-难以置信难以置信/不可能不可能/可能性极小可能性极小/偶尔偶尔/有可能有可能/经常。经常。4 4 4 5.5.事件：事件：event 特定情况的发生。特定情况的发生。注注1 1：事件可能是确定的，也可能是不确定的。：事件可能是确定的，也可能是不确定的。注注2 2：事件可能是单一的，也可能是系列的。：事件可能是单一的，也可能是系列的。注注3 3：对于给定时间内事件发生的概率可以估算出来：对于给定时间内事件发生的概率可以估算出来确定的事件，是预知的，而不确定的事件，是没确定的事件，是预知的，而不确定的事件，是没有预知的，但也是有可能发生的。有预知的，但也是有可能发生的。事件可能是明显的，也可能是模糊的，其影响可事件可能是明显的，也可能是模糊的，其影响可能是正面的，也可能是负面的。能是正面的，也可能是负面的。5 5 5 指导和控制某一组织与风险相指导和控制某一组织与风险相关问题的协调活动。关问题的协调活动。6 6 6 66.6.风险管理：风险管理：risk management6 6 6 提供在组织内设计、实施、监测、评审提供在组织内设计、实施、监测、评审和持续改进风险管理的基础和组织安排的要和持续改进风险管理的基础和组织安排的要素集合。素集合。注注1 1：基础包括管理风险的方针、目标、指令和承诺：基础包括管理风险的方针、目标、指令和承诺 注注2 2：组织安排包括计划、关系、责任、资源、过程：组织安排包括计划、关系、责任、资源、过程 和活动。和活动。注注3 3：风险管理框架被嵌入到组织的整个战略和运营：风险管理框架被嵌入到组织的整个战略和运营 的方针和实践中的方针和实践中 7 7 7 77.7.风险管理框架风险管理框架 risk management framework7 7 7 8 8 8 8指令和承诺指令和承诺 风险管理框架的设计风险管理框架的设计 理解组织和其状况理解组织和其状况 建立风险管理方针建立风险管理方针 责任责任 嵌入组织的过程嵌入组织的过程 资源资源 建立内部沟通和报告机制建立内部沟通和报告机制 建立外部沟通和报告机制建立外部沟通和报告机制框架的持续改进框架的持续改进实施风险管理实施风险管理实施风险管理框架实施风险管理框架实施风险管理过程实施风险管理过程框架的监测和评审框架的监测和评审ISO31000ISO31000：20092009标准给出的风险管理框架标准给出的风险管理框架9 9 9 9内部环境内部环境信息沟通信息沟通 监测监测控制活动控制活动风险应对风险应对风险评估风险评估事项识别事项识别目标设定目标设定战略战略经营经营报告报告合规合规公公司司层层面面科科室室业业务务单单位位子子公公司司COSO COSO 全面风险管理框架（三维图）全面风险管理框架（三维图）8.8.风险管理方针风险管理方针 risk management policy 一个组织对风险管理的意图一个组织对风险管理的意图和方向的陈述。和方向的陈述。9.9.风险管理计划风险管理计划 risk management plan 在风险管理框架内规定用于风险管理在风险管理框架内规定用于风险管理的方法、管理要素、资源的方案。的方法、管理要素、资源的方案。注注1 1：管理要素一般包括程序、惯例、职责分配、活：管理要素一般包括程序、惯例、职责分配、活 动顺序和时间安排。动顺序和时间安排。注注2 2：风险管理计划可应用于特定的产品、过程和项：风险管理计划可应用于特定的产品、过程和项 目、组织的部分或整体。目、组织的部分或整体。 管理方针、程序和惯例对沟通、协商、管理方针、程序和惯例对沟通、协商、明确环境、以及识别、分析、评价、处理、明确环境、以及识别、分析、评价、处理、监测和评审风险活动的系统应用监测和评审风险活动的系统应用。121212121212121210.10.风险管理过程风险管理过程 risk managementprocess 组织针对风险管理，提供、共享或获取信息，组织针对风险管理，提供、共享或获取信息，与利益相关者进行对话的持续和反复的过程。与利益相关者进行对话的持续和反复的过程。注注1 1：信息涉及风险管理的存在、性质、形式、可能：信息涉及风险管理的存在、性质、形式、可能 性、严重程度、评定、可接受性、处理。性、严重程度、评定、可接受性、处理。注注2 2：协商是组织与它的利益相关方，在做出决策或：协商是组织与它的利益相关方，在做出决策或 确定某一问题的方向前，针对问题双向有事实确定某一问题的方向前，针对问题双向有事实 依据的沟通的过程。协商是：依据的沟通的过程。协商是：通过影响力而非权力对决策施加影响；通过影响力而非权力对决策施加影响；作为决策的输入，而非加入决策。作为决策的输入，而非加入决策。1313131311.11.沟通和协商沟通和协商 communication and 可以影响风险、受到风险影响或自可以影响风险、受到风险影响或自认为会受到风险影响的任何个人、团体认为会受到风险影响的任何个人、团体或组织。或组织。注注1 1：决策者也是利益相关者之一。：决策者也是利益相关者之一。注注2 2：术语：术语“利益相关者利益相关者”包括包括GB/T19000-GB/T19000-2008 2008中定义的中定义的“相关方相关方”。1414141412.12.利益相关者利益相关者 组织的利益相关者可以包括组织的利益相关者可以包括 1 1）组织的决策者；）组织的决策者；2 2）组织内部负责制定风险管理政策的人员；）组织内部负责制定风险管理政策的人员；3 3）组织或活动中实施风险管理的人员；）组织或活动中实施风险管理的人员；4 4）需要对组织的风险管理实践进行评估的人员；）需要对组织的风险管理实践进行评估的人员；5 5）组织中负责制定风险管理标准、指南、程序、）组织中负责制定风险管理标准、指南、程序、应用准则的人员；应用准则的人员；6 6）股东、董事会、高级管理人员、员工、债权人、）股东、董事会、高级管理人员、员工、债权人、供应商、顾客、银行、监管机构、合作伙伴等供应商、顾客、银行、监管机构、合作伙伴等.（见（见GB/T24353:2009GB/T24353:2009前言部分）。前言部分）。13.13.风险感知：风险感知：risk perception 利益相关者根据其价值观或利害关利益相关者根据其价值观或利害关 系看待风险的方式。系看待风险的方式。注注1 1：风险感知取决于利益相关者的需要、关注点及知识。：风险感知取决于利益相关者的需要、关注点及知识。注注2 2：风险感知可能不同于客观数据。：风险感知可能不同于客观数据。风险感知反映利益相关者的需求，问题、知识、信念和价风险感知反映利益相关者的需求，问题、知识、信念和价值值。利益相关者的需要及关注的问题不同，因而风险感知会有利益相关者的需要及关注的问题不同，因而风险感知会有所不同。所不同。风险感知会存在一定的主观判断，因而可能与客观数据有风险感知会存在一定的主观判断，因而可能与客观数据有不同。不同。 界定外部和内部参数，以便在管界定外部和内部参数，以便在管理风险和设置风险管理方针的范围及理风险和设置风险管理方针的范围及风险准则时，予以考虑。风险准则时，予以考虑。defining the external and internal parameters to defining the external and internal parameters to betaken into account when managing risk,and betaken into account when managing risk,and settingthe scope and risk criteria(3.3.1.3)for the settingthe scope and risk criteria(3.3.1.3)for the riskmanagement policy riskmanagement policy 1717171714.14.明确环境明确环境 establishing the 评价风险严重性（度）的依据评价风险严重性（度）的依据。注：风险准则包括相关的成本及收益，法律法规要求，社会注：风险准则包括相关的成本及收益，法律法规要求，社会 及环境因素，利益相关者的态度，优先次序和在评估过及环境因素，利益相关者的态度，优先次序和在评估过 程中的其他要素。程中的其他要素。风险准则是组织用于评价风险重要度的标准，因此，风险风险准则是组织用于评价风险重要度的标准，因此，风险 准则需体现组织的风险承受度，并反映组织的价值观、目准则需体现组织的风险承受度，并反映组织的价值观、目 标和资源。标和资源。风险评价准则会涉及到各个方面，如成本收益、法律法规、风险评价准则会涉及到各个方面，如成本收益、法律法规、利益相关者态度等。利益相关者态度等。风险准则也会直接或间接反映法律法规要求或其他需要组风险准则也会直接或间接反映法律法规要求或其他需要组 织遵循的要求。准则也是使组织对接受风险做出决定的依据。织遵循的要求。准则也是使组织对接受风险做出决定的依据。1818181815.15.风险准则：风险准则：risk 包括风险识别、风险分析和风险评包括风险识别、风险分析和风险评价在内的全部过程价在内的全部过程。1919191916.16.风险评估风险评估 risk assessment 风险评估风险评估 风险识别风险识别 风险分析风险分析 风险评价风险评价发现、列举和描述风险要素的过程发现、列举和描述风险要素的过程 2020202017.17.风险识别风险识别 risk identification 风险的结构化描述通常包含四风险的结构化描述通常包含四要素：来源、事件、因素和结果要素：来源、事件、因素和结果。1 18 8.风险描述，风险描述，risk 导致风险的单独或组合的内在可能导致风险的单独或组合的内在可能性的因素性的因素.lement which alone or in combination has the lement which alone or in combination has the intrinsic potential to give rise to risk intrinsic potential to give rise to risk 注：风险源可能是有形的或者是无形的。注：风险源可能是有形的或者是无形的。1 19 9.风险源（来源）风险源（来源）risk 具有风险管理权限和责任的具有风险管理权限和责任的个人或实体个人或实体。2020.风险所有者风险所有者 risk 理解风险的性质和确定风险理解风险的性质和确定风险程度的过程。程度的过程。注注1 1：风险分析为风险评价和风险处理决策提供了：风险分析为风险评价和风险处理决策提供了 基础。基础。注注2 2：风险分析包括风险估测。：风险分析包括风险估测。2424242421.21.风险分析风险分析 risk 将风险分析的结果与风险准则进行比将风险分析的结果与风险准则进行比较，以确定风险和（或）其量是否可接受较，以确定风险和（或）其量是否可接受或可容许。或可容许。注：风险评定有助于有关风险处理的决策。2525252522.22.风险评价风险评价 risk 一个组织愿意追求或保留风险的一个组织愿意追求或保留风险的数量和类型。数量和类型。GB/T24353:2009 5.6.1 GB/T24353:2009 5.6.1 中提到这一词汇中提到这一词汇COSOCOSO指出：指出：风险偏好是企业追求目标中愿意接受风险风险偏好是企业追求目标中愿意接受风险的程度的程度指导企业的资源配置；指导企业的资源配置；2626262623.23.风险偏好风险偏好,risk 接受某一风险的决定。接受某一风险的决定。注：风险承受取决于风险准则。注：风险承受取决于风险准则。任何规模和类型的组织都面临风险，组织的所有任何规模和类型的组织都面临风险，组织的所有 活动都涉及风险。只是组织应通过确定风险准则，活动都涉及风险。只是组织应通过确定风险准则，来决定对某一风险是否接受。来决定对某一风险是否接受。组织的价值取向和能力不同，因而是否能接受某组织的价值取向和能力不同，因而是否能接受某 一风险会有不同的决定，这些决定会依据风险准一风险会有不同的决定，这些决定会依据风险准 则的要求。则的要求。2727272724.24.风险承受风险承受 risk 注注1 1：风险处理可包括：风险处理可包括：通过决定不启动或停止产生风险的活动而避免风险。通过决定不启动或停止产生风险的活动而避免风险。为了追求机会采取或增加风险。为了追求机会采取或增加风险。消除风险源。消除风险源。改变可能性。改变可能性。改变后果。改变后果。与其他方面共同分担风险（包括合同、风险融资）。与其他方面共同分担风险（包括合同、风险融资）。通过有事实依据的决策保留风险。通过有事实依据的决策保留风险。修正风险的过程修正风险的过程2828282825.25.风险处理风险处理 risk 注注2 2：对消极后果的风险处理有时可以称为：对消极后果的风险处理有时可以称为 “风险减缓（风险减缓（risk mitigation）”、“风险消除（风险消除（risk eliminate）”、“风险预防（风险预防（risk prevention）”和和 “风险减小（风险减小（risk reduction）”。注注3 3：风险处理可以产生新的风险或修正已：风险处理可以产生新的风险或修正已 存在的风险。存在的风险。292929292929292925.25.风险处理风险处理 risk 决定不陷入风险，或者从风险状决定不陷入风险，或者从风险状 态中撤离的行为。态中撤离的行为。注：这个决定可能是以风险评价结果为依据的。注：这个决定可能是以风险评价结果为依据的。在风险评价之后，风险管理者会发现某些风险发生损失的可在风险评价之后，风险管理者会发现某些风险发生损失的可 能性很大，或者一旦发生且损失的程度非常严重时，可以采能性很大，或者一旦发生且损失的程度非常严重时，可以采 取主动放弃原来承担风险或完全拒绝承担该风险的实施行动，取主动放弃原来承担风险或完全拒绝承担该风险的实施行动，就是对风险的规避。就是对风险的规避。风险规避是一种主动的行为，但放弃风险同时也意味着收风险规避是一种主动的行为，但放弃风险同时也意味着收 益的丧失。益的丧失。3030303026.26.风险规避风险规避:risk 为实现风险处理及其他相关活动的为实现风险处理及其他相关活动的费用提供资金的活动。费用提供资金的活动。注：在某些行业中，风险融资特指对风险造成注：在某些行业中，风险融资特指对风险造成 的财务后果提供资金。的财务后果提供资金。组织在风险处理（风险规避、风险优化、风险转组织在风险处理（风险规避、风险优化、风险转移、风险自留）过程中，需要支付一定的费用，移、风险自留）过程中，需要支付一定的费用，以实现管理风险或补偿损失，因而会采用各种方以实现管理风险或补偿损失，因而会采用各种方式融通资金。式融通资金。融通资金是为风险管理对资金的筹措，也是风险融通资金是为风险管理对资金的筹措，也是风险的一种财务补偿机制。风险估计和风险评价是融的一种财务补偿机制。风险估计和风险评价是融资的主要数据依据。资的主要数据依据。3131313127.27.风险融资风险融资:risk 接受某一特定风险带来的损失或收益。接受某一特定风险带来的损失或收益。注注1 1：风险自留包括接受那些没有得到识别的风险。：风险自留包括接受那些没有得到识别的风险。注注2 2：风险自留不包括运用保险或者其他方法进行：风险自留不包括运用保险或者其他方法进行 的风险转移的处理。的风险转移的处理。注注3 3：对风险的接受程度和对风险准则的依赖程度：对风险的接受程度和对风险准则的依赖程度 可能会有变化。可能会有变化。3232323228.28.风险自留风险自留:risk 不断检查、监督、严格观察或不断检查、监督、严格观察或确定状态，以识别所要求或期待的确定状态，以识别所要求或期待的绩效水平的变化。绩效水平的变化。注：监测可应用于风险管理框架、风险管理注：监测可应用于风险管理框架、风险管理注：监测可应用于风险管理框架、风险管理注：监测可应用于风险管理框架、风险管理 过程、风险或控制措施。过程、风险或控制措施。过程、风险或控制措施。过程、风险或控制措施。3333333329.29.监测监测 为达到所建立的目标，确定有关为达到所建立的目标，确定有关事务的适宜性、充分性和有效性所采事务的适宜性、充分性和有效性所采取的活动取的活动。注：评审可应用于风险管理框架、风险管理过注：评审可应用于风险管理框架、风险管理过 程、风险或控制措施。程、风险或控制措施。3434343430.30.评审评审 review34343434