中华人民共和国国家标准
GB/T 23694—2024代替 GB/T 23694—2013
风险管理术语
Risk management—Vocabulary
(ISO 31073:2022,MOD)
2024-12-31 发布 2024-12-31 实施
目 次
1范围...........................................................
2规范性引用文件........................................................
3术语和定义............................................................
3.1与风险有关的术语....................................................
3.2与风险管理有关的术语................................................
3.3与风险管理过程有关的术语............................................
前言
本文件按照GB/T 1.1—2020《标准化工作导则 起草。第1部分:标准化文件的结构和起草规则》的规定
本文件代替GB/T 23694—2013《风险管理术语》。与GB/T 23694—2013相比,除结构调整和编辑性改动外,主要技术变化如下:
——删除了 7个术语:风险管理框架、咨询与沟通、明确环境、风险描述、风险矩阵、风险登记、风险概况(见 2013 年版的 3.1.1、4.2.1、4.3.1、4.5.1.1、4.6.1.7、4.8.2.4、4.8.2.5);
——更改了术语“控制”为“风险控制”(见3.3.33,2013年版的4.8.1.1);
——增加了 11个术语:目标(3.1.2)、不确定性(3.1.3)、风险管理体系(3.2.4)、风险管理成熟度 (3.2.5)、组织(3.3.7)、威胁(3.3.13)、机会(3.3.23)、风险驱动因素(3.3.24)、风险沟通(3.3.44)、 风险预警(3.3.45)、风险知情决策(3.3.46);
——更改了术语“事件”的定义(见3.3.11)。
本文件修改采用了 ISO 31073:2022《风险管理术语》。
本文件与ISO 31073:2022相比做了下述结构调整:
——增加了 3.2.4;
——增加了 3.3.44〜3.3.46。
本文件与ISO 31073:2022的技术差异及其原因如下:
——增加了 4个术语,“风险管理体系”(见3.2.4)、“风险沟通”(见3.3.44)、“风险预警”(见3.3.45)、 “风险知情决策”(见3.3.46),以符合我国国情;
——更改了术语“事件”的定义(见3.3.11),更便于理解。
本文件做了下列编辑性改动:
——增加了 12个术语中的注,“风险”(见3.1.1的注4)、“不确定性”(见3.1.3的注3)、“风险管理” (见3.2.1的注)、“风险识别”(见3.3.9的注3)、“风险源”(见3.3.10的注)、“威胁”(见3.3.13的 注3)、“风险分析”(见3.3.15的注2)、“概率”(见3.3.19的注2、注3和注4)、“机会”(见3.3.24 的注4)、“风险态度”(见3.3.26的注)、“风险集成”(见3.3.30的注1和注2)、“剩余风险”(见3.3.38的注 3)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国风险管理标准化技术委员会(SAC/TC 310)提出并归口。
本文件起草单位:江苏核电有限公司、中国标准化研究院、第一会达(北京)数据技术有限公司、中国 航空发动机研究院、中国人民大学、中共中央党校(国家行政学院)、福建宁德核电有限公司、国投新疆罗 布泊钾盐有限责任公司、北京大学、三门核电有限公司、达信评(北京)风险管理咨询有限公司、国家信息 中心、中国科学院心理研究所、中国科学院自动化研究所、中国企业改革与发展研究会、中国空间技术研 究院、中国海洋石油集团有限公司、海安控股有限公司、内蒙古工业大学、中国南方电网有限责任公司共享运营公司、北大荒农垦集团有限公司、中科健康产业集团股份有限公司、陕西延长石油集团四川销售 有限公司、四川省产品质量监督检验检测院、广东产品质量监督检验研究院、苏州元理管理咨询有限公司。
本文件主要起草人:陆小伟、李连海、李亚、刘剑、宁秀丽、宋荷靓、田辉宇、孙友文、唐钧、游志斌、 汪邦军、王雷、肖璐、孙彦斌、栾胜华、刘玉峰、周晓群、彭贵仓、赵佳璐、陈永刚、郭后军、刘栋栋、郭洪飞、 于安琪、周苏闰、郭超、李兴彬、周亚杰、周林盛、郑亮、刘新立、谢响亮、袁江坤、何赛克、黄雅玫、吕志嘉、张培杰、卓欣、方钟璐、王飞轮、卢新胜。
本文件及其所代替文件的历次版本发布情况为:
——2009年首次发布为GB/T 23694—2009,2013年第一次修订 ——本次为第二次修订。
风险管理术语
1范围
本文件界定了组织在管理面临的风险时,可能涉及的相关通用术语。
本文件适用于所有组织或人员开展的风险管理相关活动。
2规范性引用文件
本文件没有规范性引用文件。
3术语和定义
下列术语和定义适用于本文件。
3.1与风险有关的术语
3.1.1
风险risk
不确定性(3.1.3)对目标(3.1.2)的影响。
注1:影响是指偏离预期,偏离可能是正面的和/或负面的,可能带来机会(3.3.23)和威胁(3.3.13)。
注2:目标可能有不同维度和类型,能应用在不同层级。
注3:通常风险可用风险源(3.3.10)、潜在事件(3.3.11)及其后果(3.3.18)和可能性(3.3.16)来描述。
注4:在不同应用场景下,风险的具体含义会有所不同,有时是指影响目标实现的不确定性因素(如市场风险、地缘 政治风险);有时是指目标本身实现程度的不确定性(如现金流风险、健康风险);还有时是指事物本身固有的 不确定属性(如风险勘探、风险投资)。
3.1.2
目标 objective
要实现的结果。
注1:目标可能是战略性的、战术性的或运营性的。
注2:目标可能涉及不同的领域(例如财务、健康、安全以及环境目标),并且可以应用于不同的级别(例如战略、组织 范围、项目、产品和流程)。
注3:目标可能用其他方式描述,例如预期结果、目的、运营标准、管理体系目标或使用具有相似含义的其他词语(例 如意图、目的、对象)。
3.1.3
不确定性 uncertainty
与理解或知识有关的信息不足(即使只是部分不足)的状态。
注1:在某些情况下,不确定性可能与组织(3.3.7)的环境及其目标(3.1.2)有关。
注2:不确定性是风险(3.1.1)的根本来源,即与目标相关的各种形式的“信息不足”[而目标又与所有利益相关者 (3.3.2)的需求和期望相关]。
注3:不确定性分为认知不确定性和偶然(或随机)不确定性。认知不确定性往往是因为缺乏知识和信息产生的,可通过学习、研究、试验等方式获得知识、收集数据和信息而减少或消除;而偶然(或随机)不确定性涉及某些对象固有的异质性和多样性,不能通过进一步研究和度量而减少。
3.2与风险管理有关的术语
3.2.1
风险管理 risk management
指导和控制组织(3.3.7)在风险(3.1.1)方面的协调活动。
注:在不同场景下,风险管理的具体含义有所不同,有时是指管理具体风险的各项活动,如购买保险、进行套期保值、调整控制标准、调整项目方案等;有时是指管理风险的系统性思路和方法,如开展风险评估、风险应对的具 体程序和方法等。
3.2.2
风险管理政策 risk management policy
组织(3.3.7)在风险管理(3.2.1)方面的总体意图、方向和态度的表述。
3.2.3
风险管理计划 risk management plan
详细说明应用于管理风险(3.1.1)的方法、管理要素及资源的方案。
注1:管理要素通常包括程序、操作方法、职责分配、活动的顺序和时间安排。
注2:风险管理计划能用于具体的产品、过程、项目以及组织(3.3.7)的部分或整体。
3.2.4
风险管理体系 risk management system
风险管理文化、风险管理职责分工、风险偏好、制度流程及管理风险所需的基础和工具等管理要素的有机整体。
注1:风险管理体系的设计和执行,可重点把专业化、标准化、体现前瞻性的风险管理技术方法,实践积累的管理风 险的知识和经验,通过模板、表单、工具,纳入组织的制度流程中,并监督执行,提升组织各类风险管理活动的规范性、系统性、科学性、有效性,而不是在现有制度流程之外新增一套孤立的管理体系。
注2:组织合理设计、有效执行风险管理体系,目的在于提高组织在不确定性环境下资源配置与使用的科学性和效率,合理保障组织目标的实现。
3.2.5
风险管理成熟度 risk management maturity
与实现组织(3.3.7)目标(3.1.2)有关的风险管理(3.2.1)能力水平的度量。
3.3与风险管理过程有关的术语
3.3.1
风险管理过程 risk management process
将管理政策、程序和操作方法在沟通、咨询、明确环境以及识别、分析、评价、应对、监督(3.3.40)与 检查风险(3.1.1)活动中的系统应用。
3.3.2
利益相关者 interested party ; stakeholder
能影响、被影响或自认为会被某一决策或行动影响的个人或组织(3.3.7)。
3.3.3
风险感知 risk perception
利益相关者(3.3.2)对风险(3.1.1)的观点与意见。
注:风险感知反映利益相关者的需求、观点、知识、信念和价值观。
3.3.4
外部环境 external context
组织(3.3.7)追求其目标(3.1.2)实现的过程中所处的外部状况。
注:外部环境可能包括:
——国际、国内、区域或地方的文化、社会、政治、法律、法规、金融、技术、经济、自然以及竞争环境;
——对组织目标产生影响的关键驱动因素和趋势;
—与外部利益相关者(3.3.2)的关系以及他们的感知和价值观。
3.3.5
内部环境 internal context
组织(3.3.7)追求其目标(3.1.2)实现的过程中所处的内部状况。
注:内部环境可能包括:
——治理、组织结构、职能和责任;
------ 政策、目标,以及实现它们的战略;
——从资源和知识角度所理解的能力(如资本、时间、人力、流程、系统和技术
------ 信息系统、信息流和决策过程(正式的和非正式的);
——与内部利益相关者(3.3.2)的关系,以及他们的感知和价值观;
—-组织文化;
——组织采用的标准、指南和模型;
——合同关系的形式和范围。
3.3.6
风险准则risk criteria
评价风险(3.1.1)重要性的依据。
注1:风险准则的确定需要基于组织的目标(3.1.2)、外部环境(3.3.4)和内部环境(3.3.5)。
注2:风险准则可能源自标准、法律、政策和其他要求。
3.3.7
组织 organization
具有自身职能、职责、权限和关系以实现其目标(3.1.2)的个人或群体。
注:组织的概念包括但不限于独资经营者、公司、法人、商号、企业、权力机构、合伙企业、慈善或福利机构,或其部分 或组合,不论其属性是否为法人或非法人、公共或私人。
3.3.8
风险评估 risk assessment
风险识别(3.3.9)、风险分析(3.3.15)和风险评价(3.3.25)的全过程。
3.3.9
风险识别 risk identification
发现、确认和描述风险(3.1.1)的过程。
注1:风险识别包括对风险源(3.3.10)、事件(3.3.11)及其原因和潜在后果(3.3.18)的识别。
注2:风险识别可能涉及历史数据、理论分析、知情意见、专家意见以及利益相关者(3.3.2)的需求。
注3:风险识别的同时同步对已有的风险应对措施进行识别。
3.3.10
风险源 risk source
可能单独或共同引发风险(3.1.1)的要素或要素的集合。
注:一个风险可能是另一个风险的风险源。
3.3.11
事件 event
风险的每一种可能情景或可能情景的组合。
注1:事件可能是一个或多个情景,并且可以有多个原因和多种后果(3.3.18)。如未来1年的价格风险,包括价格不 变、价格上涨、价格下降等三个事件。
注2:事件也可能是预期发生但没有发生的情景,或者是预期不发生但却发生的情景。
注3:事件可能是一个风险源(3.3.10)。
3.3.12
危险 hazard
造成潜在伤害的来源。
注:危险可能是一类风险源(3.3.10)。
3.3.13
威胁 threat
造成危害、伤害或其他不良结果的潜在来源。
注1:威胁是一种可能带来损失的消极情况,而且对它的控制相对较小。
注2:对一方的威胁可能构成另一方的机会(3.3.23)。
注3:风险中的一部分事件(3.3.11)可能属于威胁。
3.3.14
风险责任人risk owner
具有管理风险(3.1.1)责任和权力的个人或实体。
3.3.15
风险分析risk analysis
理解风险(3.1.1)性质、确定风险等级(3.3.22)的过程。
注1:风险分析是风险评价(3.3.25)和风险应对(3.3.32)决策的基础。
注2:风险分析分为定性风险分析和定量风险分析。定性风险分析是针对已识别出的各类风险,结合已采取和拟采 取的风险应对措施的预期成效,使用各种数据和已有的知识经验,有依据地分析并显性化各类风险的发生可 能性、影响程度及风险等级的过程。定量风险分析是在定性风险分析的基础上,基于特定的模型,量化各类风 险对目标的影响的数值分析过程。
3.3.16
可能性 likelihood
某件事发生的机率。
注1:无论是以客观的或主观的、定性或定量的方式来定义、度量或确定,还是用一般词汇或数学术语来描述[如概 率(3.3.19),或一定时间内的频率(3.3.20)],在风险管理术语中,“可能性”一词都用来表示某件事发生的 机率。
注2: “可能性"(likelihood)这一英语词汇在一些语言中没有直接与之对应的词汇,因此经常用“概率"(probability) 代替。不过,在英语中,“概率”常常被狭义地理解为一个数学词汇。因此,在风险管理术语中,使用“可能性” 这一术语时,其具有与英语以外的许多语言中和“概率”相同的广义解释。
3.3.17
暴露 exposure
组织(3.3.7)和/或利益相关者(3.3.2)受某事件(3.3.11)影响的程度。
3.3.18
后果 consequence
某事件(3.3.11)对目标(3.1.2)的影响结果。
注1:后果可能是确定的,也可能是不确定的,对目标的影响可能是正面的,也可能是负面的。
注2:后果可能定性或定量表述。
注3:通过连锁反应,最初的后果可能升级。
3.3.19
概率 probability
用0到1之间的数字,表示对事件发生机率的度量。
注 1:见 3.3.16 注 2。
注2:实践中,需要区分客观概率和主观概率。客观概率是根据历史统计数据或是大量试验对客观事件的推定,如 描述扔骰子可能出现的结果。条件相同情况下客观概率的统计数值相对稳定。客观概率一般能复现、可 验证。
注3:主观概率是个体根据掌握的知识和信息,对事件发生可能性的判断,用来描述个体对事件或情景的确信程度。 主观概率的可靠性与个体掌握的知识和信息及其推理方法的可靠性有关。部分主观概率来源于客观概率。 主观概率一般不能复现、不可试验验证。在无法重复试验或试验成本过高时,需要使用主观概率。使用主观 概率也要遵循概率的基本法则。
注4: 0表示不可能发生,1表示确定发生。
3.3.20
频率 frequency
单位时间内事件(3.3.11)或结果发生的数量。
注:频率可能用于描述过去的事件或预测潜在的未来事件,是测量可能性(3.3.16)/概率(3.3.19)的基础。
3.3.21
脆弱性 vulnerability
某个体或组织易受风险源(3.3.10)影响的内在特性。
注:该风险源可能导致具有后果(3.3.18)的事件(3.3.11)。
3.3.22
风险等级level of risk
以后果(3.3.18)和可能性(3.3.16)的组合来描述的单个风险(3.1.1)或组合风险的大小。
3.3.23
机会 opportunity
预期有利于实现目标(3.1.2)的情景或情景组合。
注1:机会是一种积极的情况,在这种情况下可能会获得收益,并且主体对其有相当的控制力。
注2:对一方的机会可能对另一方构成威胁(3.3.13)。
注3:抓住或不抓住机会都是风险(3.1.1)的来源。
注4:风险的部分事件(3.3.11)可能属于机会。
3.3.24
风险驱动因素risk driver
对风险(3.1.1)有重大影响的因素。
3.3.25
风险评价 risk evaluation
将风险分析(3.3.15)结果与风险准则(3.3.6)进行对比,以确定风险(3.1.1)是否可以接受或容忍的 过程。
注:风险评价支持风险应对(3.3.32)决策。
3.3.26
风险态度risk attitude
组织(3.3.7)评估风险进而形成的寻求、保留、承担或规避风险(3丄1)的方式。
注:风险态度一般分为风险爱好、风险中性、风险厌恶三类。
3.3.27
风险偏好risk appetite
组织(3.3.7)寻求或保留的风险(3.1.1)数量与类型。
3.3.28
风险容忍 risk tolerance
组织(3.3.7)或利益相关者(3.3.2)为实现目标(3.1.2)而愿意承担剩余风险(3.3.38)的意愿。 注:风险容忍会受到法律法规要求的影响。
3.3.29
风险厌恶risk aversion
规避风险(3.1.1)的态度。
3.3.30
风险集成 risk aggregation
为全面地把握总体风险,将多个风险综合为一个风险(3.1.1)的过程。
注1:风险集成是决策中权衡总体风险与预期收益的前提,模拟和排列组合是风险集成的常见方法。
注2:总体风险的大小,常用决策事项目标实现的可能性来度量。
3.3.31
风险接受 risk acceptance 接受某一特定风险(3.1.1)的知情决策。
注1:风险接受不经风险应对(3.3.32)就可能发生,也可能在风险应对过程中发生。
注2:接受的风险通常要被监督(3.3.40)和检查(3.3.41)。
3.3.32
风险应对 risk treatment
处置风险(3.1.1)的过程。
注风险应对可能包括:
——不开始或不再继续带来风险的行动,以规避风险;
——为寻求机会(3.3.23)而承担或增加风险;
——消除风险源(3.3.10);
——改变可能性(3.3.16);
——改变后果(3.3.18);
——与其他各方分担风险[包括合同和风险融资(3.3.36)];
----- 慎重考虑后决定保留风险。
注2:针对负面后果的风险应对,有时指“风险缓解”“风险消除”“风险预防”“风险降低”等。
注3:风险应对可能产生新的风险或改变现有风险。
3.3.33
风险控制 risk control
维持和/或改变风险(3.1.1)的措施。
注1:风险控制包括但不限于维持和改变风险的流程、政策、设施、操作或其他条件,和/或其他行动。
注2:风险控制并非总能取得预期或假设的处置效果。
3.3.34
风险规避 risk avoidance
不参与或退出某一活动,以避免暴露于特定风险(3.1.1)的知情决策。
注:风险规避能依据风险评价(3.3.25)的结果和/或法律法规。
3.3.35
风险分担risk sharing
与其他各方就风险(3.1.1)分配达成协议的风险应对(3.3.32)形式。
注1:法律法规可能会限制、禁止或强制进行风险分担。
注2•.风险分担能通过保险或其他合同形式实现。
注3:风险分配的程度,取决于风险分配方案的可信性和透明度。
3.3.36
风险融资 risk financing
为面对或处置一旦发生的财务后果(3.3.18)而做出应急资金安排的风险应对(3.3.32)形式。
3.3.37
风险自留 risk retention
接受某一特定风险(3.1.1)的潜在收益或损失的行为。
注1:风险自留包括接受剩余风险(3.3.38)。
注2:自留风险的风险等级(3.3.22)取决于风险准则(3.3.6)。
3.3.38
剩余风险residual risk
风险应对(3.3.32)之后仍然存在的风险(3.1.1)。
注1:剩余风险可能包括未识别的风险。
注2:剩余风险还被称为“留存的风险”。
注3:不同应用场景下,剩余风险有时是指风险应对之后仍然存在的风险类型,有时是指风险应对之后仍然存在的 风险大小,有时两者都包括。
3.3.39
韧性 resilience
组织(3.3.7)对复杂变化环境的适应能力。
3.3.40
监督 monitoring
以识别当前状态与要求或期望绩效的差距,持续地检査、监控、观察或确认状态的活动。
注:监督能用于风险管理体系(3.2.4)、风险管理过程(3.3.1)、风险(3.1.1)或风险控制(3.3.33)。
3.3.41
检查 review
为实现既定目标而进行的决定某一事项的适宜性、充分性和有效性的活动。
注:检査能用于风险管理体系(3.2.4)、风险管理过程(3.3.1)、风险(3.1.1)或风险控制(3.3.33)。
3.3.42
风险报告 risk reporting
告知内部或外部利益相关者(3.3.2)风险(3.1.1)及其管理现状信息的沟通方式。
3.3.43
风险管理审计 risk management audit
为获得证据而进行的客观评价,以确定风险管理体系(3.2.4)或其部分的充分性、有效性和适宜 性,而进行的系统的、独立的、文档化的过程。
3.3.44
风险沟通 risk communication
不同个体或组织(3.3.7)间就风险及其管理进行信息和意见交换的互动过程。
3.3.45
风险预警 risk early-warning
依据风险指标值及所处的预警区间、预警频率,对尚未确定但可能出现的正常或异常风险状态发出 预先警示的行为或活动。
3.3.46
风险知情决策 risk-informed decision making
考虑了与决策相关风险的知识和信息,以及风险是否在可接受水平的决策方法或流程。
注:风险知情决策有时也被称为“基于风险的决策"(risk-based decision making)。
