《澳大利亚风险管理标准》AS/NZS 4360:1999本澳大利亚、新西兰联合标准,由联合技术委员会〇B-007《风险管理Risk Management》制订它于1999年4月2日经澳大利亚标准委员会批准,1999年3月22日经新西兰标准委员会批准;并于1999年4月12日颁布OB-007委员会由下列各界代表组成:澳大利亚计算机学会澳大利亚海关澳大利亚风险管理学会联邦科学与工业研究机构澳大利亚行政部澳大利亚国防部新西兰环境风险管理局澳大利亚工程师学会新西兰专业工程师学会澳大利亚保险委员会新西兰保险学会新西兰农业和林业部新西兰商业部新西兰应急措施和民防部新西兰地方政府新南威尔士州城市事务和计划部新南威尔士州财政部管理基金会澳大利亚全国保险经纪人协会澳大利亚证券学会澳大利亚风险和保险管理人协会新南威尔士大学本标准的征求意见稿为DR 98549第一次颁布为 AS/NZS 4360:1995修订版为 AS/NZS 4360:1999澳大利亚标准的评审为跟上工业界的步伐,澳大利亚标准需定期评审,并通过出版修正案或必要时出版新的版本进行更新因此,标准的使用者要确保拥有最新的版本及其修正案所有澳大利亚标准和相关出版物的完整细目,可在《澳大利亚标准出版物目录Standards Australia Catalogue of Publications》找到;订户收到的月刊《澳大利亚标准Australian Standards》每月对这一资料加以补充,并且提供新出版物、新版本和修正案,以及撒消标准的细目。
欢迎对澳大利亚标准提出改进的建议,建议请寄澳大利亚标准协会总部如发现澳大利亚标准中有任何不精确或不明确之处,请立即告知,以便对事情进行调查并采取适当措施ISBN 0 7337 3978 4® Australian Standard 是注册商标◎澳大利亚标准协会版权所有保留一切版权事先未经发行人书面同意,本澳大利亚标准的任何部分不得以任何方式,或采用任何手段,包括影印、扫描或其他机械或电子方法进行复制、复印、储存、分发或传送澳大利亚标准协会出版,GPO Box 5420,Sydney NSW 2001本标准草案由澳大利亚标准/新西兰标准〇B-007《风险管理》联合委员会制订,它是对AS/NZS 4360:1995的修订因此,它的目的仍是为建立风险的环境、鉴定、分析、评价、处理、监控和信息交流等提供通用的架构本标准应与其他适用或相关的标准一起阅读本标准规定了风险管理过程的各个要素,但本标准的目的并不是要强制执行统一的风险管理体系本标准是通用的,并不从属于任何一个特定的行业或经济部门风险管理系统的设计和实施会受到一个机构变化着的需求、它特定的目标、产品和服务、以及所采用的工艺和具体做法的影响。
风险管理是由多个定义明确的步骤所组成的一个反复过程,这些步骤以较深入地洞察风险及其影响为更好的决策提供支持任何可能会出现不希望有的或意想不到重大后果的场合、或机会已被识别的场合均可应用风险管理程序决策者们需要了解可能出现的后果,并采取措施控制其影响风险管理被认为是良好管理的一个组成部分为达到最佳效果,风险管理应成为机构文化的一部分它应与机构的宗旨、实践和业务计划结合在一起,而不应被当作是一个单独的程序来看待或实施做到了这一点,风险管理就成为机构中每个人的事如因任何原因,不能将风险管理结合到整个机构中去,将它成功地应用于个别部门、过程或项目仍是可能的本标准中尽可能地选用在风险和风险管理学科中广为接受的术语风险管理各分科中含义稍有不同的那些词已避免使用,而采用目前实际上可能不太常用,但可以被定义为具有精确的共通含义的那些词来代替例如风险处理这一术语,其定义所涵盖的内容比“风险控制risk control”这一术语通常的含义要多在本标准中使用了“提示”这一术语来规定附录所适用的场合提示”附录仅供参考和指引目录1范围,应用和定义2风险管理要求2.1. 目的 2.2. 风险管理方针2.3. 计划和资源2.4. 实施计划2.5. 管理部门评审3风险管理概观3.1. 总则3.2. 主要因素4风险管理过程4.1. 建立环境 4.2. 风险鉴定 4.3. 风险分析 4.4. 风险评价 4.5. 风险处理 4.6. 监控和评审 4.7. 信息交流和咨询 5形成文件5.1. 总则 5.2. 形成文件的理由 附录A 风险管理的应用 B 制订和实施风险管理计划的步骤...C (风险)承担者 D 风险的一般来源和它们的影响范围E 风险定义和分类举例 F 风险定量表达举例 G 鉴定风险处理的选项 H 风险管理文件 1.范围,应用和定义1.1范围本标准为建立和实施一个包括环境建立、风险鉴定、分析、评价、处理、信息交流以及持续监控的风险管理过程提供通用的指导。
1.2应用风险管理被认为是良好管理的一个组成部分它是由多个步骤组成的一个反复过程:这些步骤在按顺序地执行时可以对决策不断地加以改进风险管理是一种逻辑和系统方法的术语;它用一种将损失减小到最低程度而使机会达到最大限度的方式,对与机构的任何活动、功能和过程相关的风险进行环境建立、鉴定、分析、评价、处理、监控和信息交流风险管理既是为了发现机会,也同样地是为了避免或减轻损失本标准可以应用于一个活动、功能、项目、产品或资产的整个寿命期的各阶段通常,从一开始就应用风险管理程序得益最大往往在一个项目的各个阶段要进行多次不同的研究注:本标准可以应用于任何公营、私营或社区企业或集团的许多活动或业务附录A给出了一些例子1.3定义基于本标准的目的,本标准采用下述定义1.3.1后果 Consequence以定性或定量方式表示的一个事件的结果,可以是损失、伤害、失利或者获利一个事可能会有许多个与其相关的结果1.3.2成本 Cost直接或间接涉及活动的任何负面影响,包括金钱、时间、劳工、破坏、信誉、政治和无形的损失1.3.3事件 Event在特定的时间间隔内,在特定的地方发生的一个事件或情况1.3.4事件树分析Event tree用来描述一起始事件可能会引起的结果之可能的范围和顺序的一种方法。
1.3.5失效模式及影响分析(FMEA )用来对技术系统潜在的失效模式进行分析的一种程序失效模式及影响分析(FMEA )可以扩展至进行所谓的失效模式、影响及危急程度分析(FMECA )在失效模式、影响及危急程度分析中,根据其发生的可能性和后果的严重性的综合影响,对经鉴定的每种失效模式进行等级排列1.3.6失效树分析 Failure tree analysis用来表示可导致某一特定事件(称为顶端事件)的各种系统状态和可能原因的逻辑组合的一种系统工程方法1.3.7频率 Frequency以规定吋间内所发生的次数来表达的事件发生率的量度参见可能性和概率1.3.8危险 Hazard潜在危害的根源或可能会造成损失的情况1.3.9可能性 Likelihood用作对概率或频率的定性描述1.3.10损失 Loss任何金融或其他方面的负面影响1.3.11监控 Monitor定期检查、监督、紧急观察、或记录一个活动、措施或系统的进展情况,以鉴定是否有变化1.3.12机构 Organization具有自己的功能和行政管理的一家公司、商号、企业或协会,或其他法人实体或它的一部分,不管是否组成公司,是公营还是私营。
1.3.13概率 Probability以特定事件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性概率用数字0至1来表达,0表示一个不可能的事件或结果,而1则表示一个必然的事件或结果1.3.14剩余风险 Residual risk在采取风险处理措施后仍保留的风险程度1.3.15风险 Risk对目标有所影响的某个事情发生的可能性它根据后果和可能性来量度1.3.16风险认可 Risk acceptance认可某一具体风险的后果和可能性的有依据的决定1.3.17风险分析 Risk analysis系统地使用现有的信息来确定指定事件可能发生的经常性以及其后果的大小程度1.3.18风险评估 Risk assessment风险分析和风险评价的整个过程,见图3.11.3.19风险回避 Risk avoidance不介入风险情况的一种有依据的决定1.3.20风险控制 Risk control风险管理中的某部分,其中涉及执行方针、标准、程序和实质性改变以消除或缩小不利风险1.3.21风险工程 Risk engineering工程原理和方法在风险管理中的应用1.3.22风险评价 Risk evaluation通过将风险程度与预先确定的标准、目标风险的程度或其他准则进行比较,来确定风险管理优先次序的过程。
1.3.23风险资金 Risk financing用以资助风险处理和风险的财政后果的方法注:在某些行业,风险资金仅涉及对风险的财政后果的资助1.3.24风险鉴定 Risk identification确定可能会发生什么、为什么发生和如何发生的程序1.3.25风险管理 Risk management旨在对潜在机会和不利影响进行有效管理的文化、程序和结构1.3.26风险管理过程 Risk management process系统地将管理方针、程序和实施应用于风险的环境建立、鉴定、分析、评价、处理、监控和信息交流等任务1.3.27风险降低 Risk reduction有选择地应用适当的方法和管理原则来减小发生的可能性或它的后果,或使两者都减小1.3.28风险保留 Risk retention故意地或非故意地保留在机构内对损失或损失造成的财务负担的责任1.3.29风险转移 Risk transfer通过立法、合同、保险或其他手段将损失的责任或负担转移到另一方风险转移也可认为是将一个实物性风险或它的一部分转移到另外的地方1.3.30风险处理 Risk treatment选择并执行适当的选择方案来处理风险。
1.3.31灵敏度分析 Sensitivity analysis检查一个计算或模型的结果是如何随着各种假设的变化而改变1.3.32承担者 Stakeholder可以影响一个决定或活动,或受到、或领悟到他们会受到一个决定或活动的影响的那些人和机构注:风险承担者还可包括ISO 14050:1998和AS/NZS IS014004:1996中所定义的有关方面2风险管理要求2.1目的本章节的目的是为了描述建立系统的风险管理计划的一种正式程序为在项目或分机构的层次上提供一个为执行更详细风险管理计划的架构,必须开发机构的风险管理方针和支援机制2.2风险管理方针机构的负责人应规定机构的风险管理方针,包括风险管理目标和对风险管理的承诺,并形成文件风险管理应体现机构的战略环境、它的目标、目的以及它的业务性质管理部门应确保这一方针在机构的各个层次上得到理解、贯彻和坚持执行2.3计划和资源2.3.1管理部门的义务机构应确保:A.风险管理体系是按照本标准来建立、贯彻和坚持执行;以及B.向机构的管理部门报告风险管理体系的执行绩效,以便评审和作为改进的基础2.3.2职责和权限对从事风险管理的执行和验证工作的人员,特别是对需要独立。