質量管理體系標準條文理解與實施指導材料系列質量管理體系標準條文理解與實施指導材料系列——“6.1應對風險和機遇的措施”條文理解與實施指導材料GB/T19001-2016IDTGB/T19001-2016IDTISO9001：2015雷澤佳編制微信Le量管理體系標準條文理解與實施指導材料系列“6.1應對風險和機遇的措施”條文理解與實施指導材料【標準原文】6.1應對風險和機遇的措施6.1.1在策劃質量管理體系時，組織應考慮到4.1所提及的因素和4.2所提及的要求，并確定需要應對的風險和機遇，以：a）確保質量管理體系能夠實現(xiàn)其預期結果；b）增強有利影響；c）預防或減少不利影響；d）實現(xiàn)改進。6.1.2組織應策劃：a）應對這些風險和機遇的措施；b）如何：1）在質量管理體系過程中整合并實施這些措施（見4.4）；2）評價這些措施的有效性。應對措施應與風險和機遇對產品和服務符合性的潛在影響相適應。注1：應對風險可選擇規(guī)避風險，為尋求機遇承擔風險，消除風險源，改變風險的可能性或后果，分擔風險，或通過信息充分的決策而保留風險。注2：機遇可能導致采用新實踐、推出新產品、開辟新市場、贏得新顧客、建立合作伙伴關系、利用新技術和其他可行之處，以應對組織或其顧客的需求?！?.1應對風險和機遇的措施”條文理解思維導圖對“風險”的理解風險是“不確定性對目標（實現(xiàn)）的影響”。不確定性：指（對事件及其后果或可能性）信息缺失或了解片面的狀態(tài)。不確定性是一種對某個事件及其后果或可能性缺少信息或了解片面的情形，不能事先知道未來某個事件的確切可能性或影響；不確定性是指缺乏對問題、事件、要遵循的路徑或要追求的解決方案的理解和認識。它涉及替代行動、反應和成果的概率，其中包括未知的未知和黑天鵝事件，它們是完全超出了現(xiàn)有的知識或經驗的新興因素；目標：要實現(xiàn)的結果目標可以是戰(zhàn)略性的、戰(zhàn)術性的或操作（運行）層面的；目標可以涉及不同的領域、維度和類型（如：財務的、職業(yè)健康與安全的和環(huán)境的目標）；目標可應用于不同的層次（如：戰(zhàn)略的、組織整體的、項目的、產品/服務和過程的)；可以采用其他的方式表述目標，例如：采用預期的結果、活動的目的或運行準則作為管理體系目標，或使用其它有類似含意的詞(如：目的、終點或標的)。影響：影響是指偏離預期，偏離可以是正面的和/或負面的，可能帶來機會和威脅。影響是一個事件的結果或后果；影響可能是正面（積極、有利）的或負面（消極、不利）的影響，或兩者兼有。風險的正面影響可能提供機遇，積極風險稱為機會。負面的影響則可能帶來威脅，消極風險稱為威脅。組織應最大限度地預防、規(guī)避或降低威脅，并最大限度地利用或增強出現(xiàn)的機遇。風險描述通常風險可以用風險源、潛在事件及其后果和事件發(fā)生可能性的組合來描述；通常用潛在事件和后果或者兩者的組合來區(qū)分風險。質量管理體系策劃策劃質量管理體系主要考慮關鍵因素組織需要策劃并建立適合其所提供的產品和服務的類型的質量管理體系。質量管理體系策劃應是戰(zhàn)略層面上的策劃,最高管理者基于所考慮的結果用以確定組織的目的和未來3∽5年的戰(zhàn)略方向,并在此基礎上制定質量方針和質量管理體系范圍進而策劃；在策劃質量管理體系（包括實現(xiàn)質量管理體系預期輸出所需的過程）時,策劃的目的是預測未來的情景和結果,以預防出現(xiàn)非預期的影響；策劃質量管理體系時，組織應考慮到4.1所提及組織環(huán)境中影響其能力的因素和4.2所提及有關相關方的要求（需求和期望）。質量管理體系策劃過程確定需要應對的風險和機遇的目的確保質量管理體系能實現(xiàn)其預期結果：——降低不確定性并增加確定性，支持組織預期結果（目標）的實現(xiàn)。任何類型和規(guī)模的組織都面臨各種內、外部因素和影響，導致其預期結果（目標）的實現(xiàn)存在不確定性。有效管理風險保障經營管理的有效性，提高各項活動的效率和效果，降低實現(xiàn)預期結果（目標）的不確定性，為組織策劃和活動帶來更大確定性，將風險控制在與總體目標相適應并可承受的范圍內，從而支持組預期結果（目標）的實現(xiàn)；——基于風險的思維是實現(xiàn)質量管理體系有效性的基礎。增強有利的影響并創(chuàng)造新的可能;某些有利于實現(xiàn)預期結果的情況可能導致機遇的出現(xiàn)，例如：有利于組織吸引顧客、開發(fā)新產品和服務、減少浪費或提高生產率的一系列情形。利用機遇所采取的措施也可能包括考慮相關風險。風險是不確定性的影響，不確定性可能有正面的影響，也可能有負面的影響。風險的正面影響可能提供機遇，但并非所有的正面影響均可提供機遇。預防或減少不利影響(通過降低風險或采取預防措施);風險管理能夠預測風險并提前做好準備，注重防范和控制風險可能給組織造成損失和危害，減少意外情況和損失的可能性以及不利（消極）影響，從而降低成本。實施改進,以確保產品和服務符合并且增強顧客滿意。風險管理考慮將有助于實現(xiàn)有效和高效的戰(zhàn)略、戰(zhàn)術、運營和合規(guī)，以確保在減少結果波動的情況下取得最佳結果。績效包括產品和服務質量、安全和健康、環(huán)境保護、合規(guī)經營、信用程度、社會認可、財務績效、運營效率和組織治理等方面，保障經營管理的有效性，提高經營活動的效率和效果等風險管理通用過程風險管理過程通用流程基于PDCA的風險管理過程循環(huán)PDCA循環(huán)風險管理過程策劃溝通與協(xié)商確定范圍、環(huán)境和準則(風險初始信息收集)界定范圍記錄與報告明確內外部環(huán)境確定風險準則風險評估風險識別風險分析風險評價風險應對選擇風險應對方案編制風險應對計劃/應對措施實施實施風險應對計劃/應對措施檢查持續(xù)的風險監(jiān)視和評審處置風險管理過程保持與改進風險的識別、分析與評價風險識別風險識別的定義采用適當的工具、技術和方法發(fā)現(xiàn)、確認和描述風險的過程。注：風險識別包括對風險源、影響范圍、風險事件、風險原因和潛在后果（包括所有重要的原因和后果）、現(xiàn)有控制措施及其實施效果等的識別。識別風險不僅要考慮有關事件可能帶來的威脅，也要考慮其中蘊含的機遇。風險識別的目的風險識別的目的是發(fā)現(xiàn)、認知和描述可能有助于或者妨礙組織實現(xiàn)目標的風險，回答“會發(fā)生什么？如何、為何、何處、何時發(fā)生？”。風險識別是要查找組織各業(yè)務單元、各項重要活動及流程中有無風險，有哪些風險，然后再進行認知和描述，形成全面風險清單。風險識別是確定何種風險可能會對單位產生影響，是進行風險管理的前提，只有提前識別了風險的存在，才能更加合理有效的規(guī)避風險。風險識別的基本要求全面識別：不管引起風險的因素是否在組織控制之下，或其原因是否已知，都應對風險進行識別；風險識別既要考慮有關事件可能帶來的損失，也要考慮其中蘊含的機會；全面參與：識別風險需要所有相關且具有適當專業(yè)知識的人員的參與。風險識別效率的關鍵在于參與人員的經驗、知識水平、對活動過程的了解程度、風險源的特性和信息的全面性；獲得最佳可用信息：掌握并采用相關的、適當的和最新的信息（包括適用的內外部環(huán)境信息、合規(guī)義務的變化情況、近期發(fā)生的風險事件案例及相關方信息等）對于識別風險非常重要；風險識別的信息輸入要基于歷史信息、當前信息以及未來預期；信息應及時或最新的、真實可靠的、完整的、準確的、相關的、清晰且可理解的；信息應是：是可驗證的和可靠的；與環(huán)境相關；包括所有有關的相關方；考慮內部和外部來源考慮現(xiàn)有控制措施；考慮過去、現(xiàn)在和未來三種時態(tài)；考慮所有風險源；考慮所有風險驅動因素。應考慮以下因素及其相互關系：（有形和無形的）風險源；風險事件、風險類型和原因（潛在的風險因素、風險產生條件）；（組織外部）威脅和機遇及（組織內部）弱勢和優(yōu)勢（能力）；內外部環(huán)境及其變化；新興風險的指標；資產和資源的性質和價值；可能引起的后果及其對目標的影響：應考慮到風險可能會有多種結果，這些結果也可能導致各種有形或無形后果；知識的局限性和信息的可靠性；與時間（臨近度、頻率程度）有關的因素；參與者的偏見、假設和看法。構建風險識別框架根據自身需要，可選擇下列不同的角度或不同角度的組合，構建風險識別框架：確定風險控制目標，根據對控制目標的影響來描述風險概述；確定風險點：策劃和準備風險點清單；確定重大風險類別清單；重大事件類別清單；重要（關鍵）業(yè)務類別清單；建立重大決策事項清單（決策事項、決策部門與人員、決策時機、決策方式等）；定義業(yè)務流程，建立重要（關鍵）業(yè)務或活動流程清單；重大項目清單；區(qū)域、場所與設施設備清單；關鍵崗位人員清單等。確定風險識別方法：根據自身需求，可選擇以下不同角度或不同角度的組合，構建風險識別框架：根據業(yè)務控制目標識別：對業(yè)務控制目標進行分析，發(fā)現(xiàn)可能影響各類目標實現(xiàn)的風險因素；根據內外部環(huán)境因素（風險管理初始信息）識別（包括SWOT分析）；通過工作流程分析識別（繪制工作流程圖、流程表/清單）；根據法律法規(guī)和其他要求（合規(guī)義務）識別；根據組織內外部以往發(fā)生的相關事件（如案例、個人或組織的經驗教訓、保險索賠報告、事后報告）及其原因識別；根據相關方識別及其需求和期望（包括滿意度和投訴)調查；根據內外部監(jiān)督檢查、現(xiàn)場觀察、審核、問卷調查等結果識別；根據外界關注熱點(輿情調查)識別；根據實際或擬定變更識別；根據潛在的緊急或突發(fā)情況或風險事件識別；發(fā)放風險評估調查問卷識別；利用歷史經驗教訓、以往發(fā)生的案例識別；獲取和利用專家意見識別等。選擇風險識別工具、技術和方法組織可使用一系列技術來識別可能影響一個或多個目標的不確定性，組織所采用的風險識別工具和技術應當適合于其目標、資源、能力及其所處環(huán)境。工具、技術和方法包括問卷調查、檢查表（單）、結構化訪談、查閱歷史記錄、案例分析、頭腦風暴、集體討論（研討會）、討論論壇（如焦點小組）、專家咨詢或判斷、情景分析、政策分析、行業(yè)標桿比較、管理層訪談、由專人主持的工作訪談和調查研究等。表6.4.2-1風險識別關鍵要素的問題清單每個風險的來源是什么？發(fā)生什么事件將會：——促成、增強、加速或阻礙、降低、延緩實現(xiàn)目標的有效性？——使目標實現(xiàn)更加高效或更加低效？——促使相關方采取影響目標實現(xiàn)的行動？——產生額外的收益？對目標的影響有哪些？（正面或負面的）風險于何時、何地、為何以及如何發(fā)生？誰會涉及或受到影響？現(xiàn)有應對風險的措施（最大化正面風險或最小化負面風險）有哪些？哪些方面會導致現(xiàn)有控制措施未對風險產生預期的影響？進行風險描述風險描述是對風險所做的結構化的表述，通常包括四個要素：風險源、風險事件、風險原因（風險因素）、風險后果（對目標的影響程度，包括損失或收益）。指查找組織各業(yè)務單元、各項重要經營活動及其重要業(yè)務流程中有無風險，有哪些風險。通過風險識別，對風險進行歸類和結構化表述，生成一個全面的初始風險清單（風險目錄、風險登記冊），清單中應列出已經識別的和潛在的各種風險，全面、系統(tǒng)和準確地描述組織的風險狀況。COSO建議用以下句子結構來準確闡述風險：[事件或情況可能發(fā)生或不發(fā)生或存在]，這導致[與特定目標有關的后果]。[描述可能發(fā)生的事件或情況]的可能性以及對[描述組織設定的具體目標]的相關影響。與[描述可能發(fā)生的事件或情況]有關的[描述組織設定的類別]風險和[描述相關影響]。應用“在……業(yè)務領域（管理環(huán)節(jié)、業(yè)務活動）[風險點]，由于（因為）……[風險原因、成因、誘因]，導致（造成）……[風險后果][未實現(xiàn)目標的反向描述]”的描述方式。當出現(xiàn)……情況時【風險誘因】，導致……損失【風險后果】當出現(xiàn)……情況時【風險誘因】，在……業(yè)務環(huán)節(jié)【業(yè)務活動】，由于……管理措施執(zhí)行不到位【控制措施】，導致……損失【風險后果】，影響組織……目標的實現(xiàn)【業(yè)務目標】風險分類維度要素常見分類方式對應常見風險表述方式組織目標促進企實現(xiàn)發(fā)展戰(zhàn)略（戰(zhàn)略目標）合理保證企業(yè)經濟活動合法合規(guī)（合規(guī)目標）

資產安全及完整和有效使用

財務報告及相關信息真實完整（報告目標）有效防止舞弊和預防腐敗

提高企業(yè)經營效率和效果（運營目標）

戰(zhàn)略風險、市場風險、運營風險、財務（報告）風險、法律風險（合規(guī)風險）業(yè)務（運行/產品和服務實現(xiàn)）活動按業(yè)務領域進行分類，如：銷售、采購、設計、生產等銷售風險、采購風險、設計風險、生產風險風險誘因按照內外部環(huán)境及其變化進行分類，如：外部環(huán)境（社會、文化、政治、法律、監(jiān)管、金融、技術、經濟、自然環(huán)境等）按內部環(huán)境（戰(zhàn)略、治理方式、組織結構、組織文化、資源[（即資本、人力、知識產權、程序、信息系統(tǒng)和技術等)外部風險（政治風險、社會風險、文化風險、法律風險、監(jiān)管風險、金融風險、信用風險、技術風險、經濟風險、市場風險、自然環(huán)境風險等）內外部環(huán)境（戰(zhàn)略風險、治理風險、組織結構風險、組織文化風險、資源[（即資本風險、人力風險、知識產權風險、操作風險、運營風險、信息系統(tǒng)風險和技術風險等）控制措施按照重要流程關鍵控制措施分類，如：審核、審批、盤點、預算、核對等“審核不嚴格風險”“對賬不準確風險”等風險后果按照損失類型進行分類，如：資金、聲譽、員工健康等資金損失風險、聲譽損失風險、市場份額損失風險、人才流失風險等風險識別框架清單業(yè)務控制目標；（有形和無形的）風險源（即風險的來源）：可能單獨或共同引發(fā)風險的內在要素，其本身不是風險，而是潛在的風險觸發(fā)點；可能發(fā)生的風險事件（風險事項）：事件指一個或多個情形的發(fā)生或變化，并且可以由多個原因導致；沒有造成后果的事件還可稱為“未遂事件”、“事故征候"、"臨近傷害"、"幸免”等。組織應關注已經發(fā)生的風險事件，特別是新近發(fā)生的風險事件；風險因素及展開的風險表現(xiàn)、風險原因（成因）或致險情景/因素。風險因素指促使各類事件發(fā)生、或增加其發(fā)生的可能性、或擴大其損失程度、或增大其不良社會影響的潛在原因、條件或因素；根據風險因素的性質，可將其分為有形風險因素和無形風險因素。有形風險因素指直接影響事物物理功能的物理性風險因素，無形風險因素指非物質性的、影響目標實現(xiàn)的人文因素；根據風險因素的來源，可將其分為外部因素和內部因素。風險類別（分類、類型）：對識別出來的風險進行分組或分類；潛在后果及其對目標的影響（風險結果、后果形態(tài)）：考慮到風險可能會有多種結果，這些結果也可能導致各種有形或無形后果?？紤]到內外部環(huán)境的不斷變化，有必要對風險清單及時或定期進行更新和持續(xù)升級。風險分析風險分析的定義理解風險性質（屬性）、確定風險水平的過程。按照性質分類，風險可以分為純粹風險與投機風險。純粹風險是指只有損失機會而無獲利可能的風險，投機風險是指既有損失可能又有獲利機會的風險。風險分析是根據風險類型、獲得的有關信息和風險估計結果，對識別出的風險進行定性和定量的分析，對風險事件發(fā)生的可能性（概率）、可能出現(xiàn)的后果及后果嚴重性、可能發(fā)生的時間和影響范圍等進行估計和預測，并進行風險排序。風險分析是風險評價和風險應對決策的基礎，為風險評價和風險應對提供支持。風險分析包括風險估計，風險估計的對象是項目的單個風險。風險水平（風險值）：結合事件發(fā)生可能性及其后果嚴重性（風險影響程度或風險發(fā)生后的損失）組合表示的風險量值，風險值等于發(fā)生特定事件的可能性與后果嚴重性的乘積，可在固有風險或剩余風險層面確定風險水平。風險分析的目的風險分析是根據風險類型、可獲得的信息和資源以及風險估計結果的使用目的，考慮導致風險事件發(fā)生的原因、風險事件發(fā)生的可能性及其后果、影響后果和可能性的因素、不同風險及其風險源的相互關系，還要考慮現(xiàn)有管制措施及其效果和效率以及風險的其他特性，對識別出的風險進行定性和定量的分析。風險分析的目的是理解風險性質及其特征，包括理解對目標的后果及其可能性、原因和現(xiàn)有控制措施，適當時還包括風險水平。這種理解可以用于：確定有效的應對方案；將風險與準則進行比較（見“4.4確定風險準則”）；作為對可能涉及多種風險的決策的輸入；提供信息，供不同的相關方在評價其環(huán)境中的風險時使用。風險分析是風險評價和風險應對決策的基礎，為后續(xù)風險評價和風險應對提供支持，為風險評價以及決定是否需要及如何應對風險并采取最合適的風險應對策略和方法提供輸入信息。當需要做出選擇且選擇涉及不同類別和等級風險時，風險分析結果可為決策提供依據。風險分析的實施在風險分析過程中，需要對識別出的風險源和風險原因、事件發(fā)生的可能性及其后果、影響后果和可能性的因素、事件、情境、現(xiàn)有控制措施及其實施有效性及它們的相互影響等進行定性或定量分析，為風險評價和風險應對提供支持；開展風險分析的詳略和復雜程度可有所不同，具體取決于分析目的、信息的可獲得性和可靠性以及可用的資源；風險分析應考慮以下因素：導致風險的原因和風險源；事件的可能性或風險概率（在一定時期內發(fā)生與風險有關的活動的頻率和數量）；后果的類型和后果的嚴重程度（包括風險事件可能帶來損失的大?。缓蠊ㄆ湔婧拓撁娴暮蠊┑男再|及重大程度及重大程度：一個事件可能有多種原因和后果，可能影響多個目標；對后果的描述可表達為有形或無形的影響；是否會引發(fā)次生風險、衍生風險等；與時間（臨近度、頻率程度）有關的因素及波動性；風險預測的可信度、預測前提以及假設的敏感性和置信水平；復雜性和關聯(lián)性（不同風險及其風險源的相互關系以及風險的其他特性）：對風險之間的關系進行分析，以發(fā)現(xiàn)風險之間的自然對沖、風險事件發(fā)生的正負相關性等組合效應；現(xiàn)有控制措施及其現(xiàn)有控制措施實施的有效性(現(xiàn)有風險防控措施差距分析)，可能包括以下檢查或測試：控制措施是否設計良好：通過對設計準則的評審來確定；控制措施是否已經存在并運行；控制措施是否按預期執(zhí)行：對其進行測試并運行中加以觀察；控制是否可靠：它被評價為潛在的偏差、失效或忽視；控制是否有效：在需要時將按預期發(fā)揮作用；控制是高效的：是相關、適宜并與當前的目標和情況相一致?？赡艽嬖诘膶＜乙庖姷姆制?；風險分析過程中可能存在的數據和分析模型的局限性等。風險分析方法選擇根據風險分析的目的和可用信息，分析技術可以是定性的、定量的或者其組合，視具體情況和預期用途而定，包括聽取專家意見、經驗推導和統(tǒng)計建模等。一般情況下，首先會采取定性風險分析，初步了解風險等級并確定主要風險。在條件允許時，應進行更具體的定量風險分析。極其不確定的事件可能難以量化。這在分析具有嚴重后果的事件時可能是一個問題。在此情況下，組合使用多種分析技巧通常能提供更多的洞見；后果和可能性可通過專家意見進行確定，或通過對事件或事件組合的結果建模進行確定，也可通過對實驗研究或獲得數據的推導進行確定；風險分析受觀點分歧、偏見、風險感知及判斷的影響。其他影響包括所使用信息的質量、所做的假設和排除情形、所使用技術的局限性以及開展分析的方式。這些影響均應考慮、記錄，并與決策者溝通。風險矩陣（后果/可能性矩陣/風險熱圖）風險矩陣（后果/可能性矩陣/風險熱圖）：指按照風險發(fā)生的可能性和風險發(fā)生后果的嚴重程度，將風險繪制在矩陣圖中，展示風險及其重要性等級的風險管理工具方法。風險矩陣坐標是以風險后果嚴重程度為橫坐標、以風險發(fā)生可能性為縱坐標的矩陣坐標圖，它說明了不同風險的相對結果可能性和風險水平以及每個風險的重要性評級。風險矩陣的基本原理根據組織風險偏好，判斷并度量風險發(fā)生可能性和后果嚴重程度，計算風險值，以此作為主要依據在矩陣中描繪出風險重要性等級。風險矩陣中風險發(fā)生可能性的縱坐標等級可定性描述為“極不可能”、“偶爾可能”、

“不可能”、“少有”、“偶發(fā)”、“頻繁”等（也可采用1、2、3、4、5等N個半定量分值），風險估計：風險發(fā)生的可能性及后果嚴重性分析是對識別出來的風險進一步分析，確定每個風險事件發(fā)生的可能性，判定后果嚴重性和關鍵過程對預期目標偏離的程度；風險發(fā)生可能性（概率或頻率）分析。可能性分析可單獨或組合使用下列方法：利用相關歷史數據來識別那些過去發(fā)生的事件或情況，借此推斷出它們在未來發(fā)生的可能性；利用故障樹和事件樹等技術來預測可能性。當歷史數據無法獲取或不夠充分時，有必要通過分析系統(tǒng)、活動、設備或組織及其相關的失效或成功狀況來推斷事件發(fā)生的可能性；系統(tǒng)化和結構化地利用專家觀點來估計可能性。風險事件產生后果類型示例獲得專家判斷的正式方法眾多，現(xiàn)有常用方法包括德爾菲法和層次分析法等。后果類型及后果嚴重性（風險影響或損失程度）分析：事件產生后果類型充分考慮風險點的相關風險類型和程度；通過對事件或事件組合的結果建模確定，或通過實驗研究推導確定；通過對行業(yè)內同類型事件的分析確定；考慮現(xiàn)有的后果控制措施，并關注可能影響后果的相關因素；控制能力分析：事件產生后果嚴重程度取決于對風險的事前和事后控制能力。風險排序（排列風險優(yōu)先順序）：風險排序是對風險事件發(fā)生的可能性高低及后果嚴重性大小的綜合量化結果進行排序，以明確風險對相關方的影響程度，找出關鍵和重要的風險。除考慮綜合影響外，對于發(fā)生的可能性大或后果影響嚴重的風險應對予特別的關注；風險排序圖。典型風險分析的輸出結果：風險名稱、風險源、可能發(fā)生的風險事件（風險事項）、風險原因（成因）、風險潛在后果、現(xiàn)有控制措施及其現(xiàn)有控制措施實施的有效性、風險后果大小、可能性大小、風險水平等；表6.4.2-3風險評估-風險分析結果清單風險類別（各類風險）風險分析與評價風險大類風險子類風險發(fā)生可能性風險后果嚴重程度風險評估指數風險評價風險評價的定義對比風險分析結果和風險準則，以確定風險和/或其大小是否可以接受或容忍的過程。風險評價是將風險分析結果（風險水平）和既定風險準則進行比較，或者在各種風險分析結果之間進行比較，對各種風險進行綜合排序，結合組織的風險偏好或風險態(tài)度，確定風險和/或其大小是否可以接受或容忍(確定風險等級)的過程。風險評價有助于風險應對決策，為風險決策及制定風險應對計劃提供依據。風險評價是對組織的單項風險和組織的整體風險進行等級劃分。風險評價的目的風險評價需要將風險分析結果和既定風險準則相比較，以確定是否需要采取進一步行動。風險評價的目的是支持應對風險應對決策。風險評價的實施將風險分析結果和既定風險準則進行比較，或者在各種風險分析結果之間進行比較。對比風險分析結果和風險準則（包括風險后果嚴重程度和發(fā)生可能性），并綜合考慮所處的外部環(huán)境、組織內部的財務和業(yè)務情況，以及組織風險管理目標、風險偏好、風險容忍度、風險管理能力等以確定風險等級的過程。風險分級（風險等級評定）；風險等級是組織制定風險防控計劃、分配風險防控資源的基本依據；依據風險分析結果，對照風險判定準則，確定每一種風險類別、每一個風險源的風險等級；將風險分析過程中得出的風險水平與既定的風險分級標準進行比較，進行風險排序，確定風險等級。從高到低依次劃分為重大風險（嚴重的風險）、較大風險（要關注的風險）、一般風險（可接受的風險）和低風險（可忽視的風險）4個風險等級，分別用紅、橙、黃、藍4種顏色進行標識；當數據不足時，根據風險分析過程中推斷出的風險導致事故發(fā)生的可能性及后果嚴重性，可采用風險矩陣法等方法，確定風險等級；在單元安全風險分級的基礎上，還應對組織的整體風險進行綜合評估。按照短板原理，選擇單元風險的最高等級確定該組織的風險等級，也可采用綜合加權的方法確定該組織的風險等級。風險組合分析與評價；在評估多項風險時，應根據對風險發(fā)生可能性的高低和對目標的影響程度的評估，繪制風險坐標圖，對各項風險進行比較，初步確定對各項風險的管理優(yōu)先順序和策略；將識別出來的風險進行分類，并對每一類風險發(fā)生的可能性、損失度、頻次等進行統(tǒng)計，并計算其風險期望值，從而可在整體上看到組織風險組合的具體情況，為組織制定風險防控計劃提供依據；將單項風險按風險形成邏輯有機綜合，科學描述組織整體風險等級，避免簡單機械疊加計算組織整體風險。風險分布分析與評價。組織應對識別出的風險所對應的具體部門、具體崗位以及具體管理或業(yè)務流程及其環(huán)節(jié)進行統(tǒng)計分析，理清各類風險在組織中的分布情況，為制定組織風險整體防控計劃提供依據。風險接受準則已排序的風險按照風險接受準則確定其可接受或不可接受；表6.4.2-4風險接受準則風險值（風險指數/風險水平）風險等級顏色接受準則處置原則控制方案1~4Ⅳ低風險（忽略的風險）藍可忽略風險較小，剩余風險水平是可忽略的，屬于廣泛可接受的風險。不需采取附加的防控措施，但有必要保持警惕和監(jiān)視與評審以確保風險維持在這一水平。5~10Ⅲ一般風險（中風險）黃可接受一般風險，滿足以下條件之一時，風險才是可允許的：在當前的技術條件下，進一步降低風險不可行；降低風險所需的成本遠遠大于降低風險所獲得的收益。應實施風險管理降低風險需加強防范、監(jiān)視與評審，并采取有效措施處理。12~16Ⅱ較大風險（高風險）橙不愿接受風險較大，該風險是不期望的。應實施風險管理降低風險，且風險降低的所需成本不應高于風險發(fā)生后的損失。應立即重點應對，實施風險防范與監(jiān)視，制定風險處置措施20~25Ⅰ重大風險（極高或嚴重高風險）紅不可接受風險極高，該風險是不可接受的，需要引起極大關注必須采取有效措施降低風險，至少將風險降低至可不愿意接受的水平必須編制風險預警與應急方案，或進行方案修正或調整，否則需停止作業(yè)或活動，或規(guī)避風險。表6.4.2-5風險評估-風險分析結果清單風險類別（各類風險）風險分析與評價風險大類風險子類風險發(fā)生可能性風險后果嚴重程度風險評估指數風險等級【風險重要性等級】根據“風險分析結果”按照風險發(fā)生的可能性及后果的嚴重性，根據風險接受準則，對已識別的風險按照采取措施的優(yōu)先次序排序，排序結果列入風險排序清單。表6.4.2-6風險排序清單排序風險名稱Ⅰ重大風險Ⅱ較大風險Ⅲ一般風險Ⅳ低風險風險類別備注建立重大風險清單對于風險分級中被列入重大風險的，應作為組織預防管理的重點，并對其風險行為、風險來源、風險相對人、風險動因、風險所處的管理或業(yè)務流程具體環(huán)節(jié)、具體部門、具體崗位等進行詳盡的識別和分析，提出相應的解決方案，估算防控成本，分配防控資源，建立重大風險清單。作出風險應對的決策風險應對的決策應考慮下列方面：更廣泛的內外部環(huán)境；內外部相關方的實際和感知的影響；組織目標、優(yōu)先事項和風險管理方針；有助于形成戰(zhàn)略的風險態(tài)度和風險容忍度；組織的風險概況等。作出風險應對的決策。風險評價可能促成以下決定：不采取進一步行動；決定采取進一步行動，考慮風險應對方案/策略（見6.5）；如果該風險是新識別的風險，則應當制定相應的風險準則，并開展進一步分析（見6.4.3），以更好地理解和評價該風險；維持現(xiàn)有的控制措施；重新考慮目標。風險評價的結果應予以記錄、溝通，然后在組織適當層面進行驗證。策劃應對風險和機遇的措施風險應對的定義處理風險的過程。針對負面后果的風險應對有時指“風險緩解”、“風險消除"、“風險預防”、“風險降低”等。風險應對包括選擇并實施一種或多種改變風險的措施，包括改變風險事件發(fā)生的可能性、損失度、頻次，從而達到消除或是降低后果的措施。風險應對可能產生新的風險或改變現(xiàn)有風險。風險應對的目的風險應對的目的是選擇和實施風險風險應對方案/策略及風險應對措施/計劃。根據風險評價的結果，針對風險或風險事件采取相應措施，將風險控制在組織可承受的范圍。風險應對流程風險應對是一個反復優(yōu)化的過程，包括：制定和選擇風險應對方案/策略（見6.5.3）；策劃風險應對措施/計劃（見6.5.4）；實施風險應對措施/計劃（見6.5.5）；評估風險應對的有效性（見6.5.6）。制定和選擇風險應對方案/策略制定和選擇風險應對方案/策略的目的風險應對計劃的目的是明確將如何實施所選定的應對方案，以便相關人員了解計劃安排，并對照計劃監(jiān)視進展情況。風險應對現(xiàn)狀的評估對風險應對的現(xiàn)狀進行評估，了解應對現(xiàn)狀存在的不足和缺陷，為制定風險應對計劃提供支撐。制定和選擇最合適的風險應對方案/策略，應考慮：各種內外部環(huán)境信息；組織的目標；與風險嚴重性和風險優(yōu)次排序相匹配：應對措施應反映風險的規(guī)模、范圍和性質及其對組織的影響。組織利用風險優(yōu)次排序為資源配置提供依據；組織的風險態(tài)度、風險偏好和風險承受度：風險應對措施應考慮組織的風險偏好，以制定行動計劃，將剩余的風險嚴重性降低到風險偏好之內。如果風險嚴重性不超出風險偏好，管理層可以選擇接受風險；經濟因素（具有成本效益，即權衡將實現(xiàn)目標獲得的潛在收益和付出的成本、努力或不利因素）；合規(guī)義務的要求；與有關的相關方達成共識：考慮相關方的價值觀、訴求、對風險的認知與觀點、風險承受度、對某一些風險應對措施的偏好以及與他們溝通和協(xié)商的最佳方式；可行性和可用資源等。風險應對方案/策略的內容（制定風險應對策略與控制措施類別）風險應對方案/策略包括風險規(guī)避、風險降低、風險接受和風險分擔四種，涉及以下一個或多個方面：消除風險源【風險規(guī)避】：消除具有負面影響的風險源，使用替代方法，消除風險和后果的來源；增加風險或承擔或新風險【風險接受】：為尋求機遇而增加風險或承擔或新風險，在機會提高策略中，取行動提高機會發(fā)生的概率或擴大機會帶來的影響。提前采取提高措施通常比機會出現(xiàn)后嘗試改進機會更加有效；改變風險【風險降低、風險接受】：開展活動，減少潛在的消極后果或其可能性或增加潛在的積極后果或其可能性，包括損失前的預防措施；改變可能性：通過應用控制、組織安排和程序等改變風險事件發(fā)生的可能性的大小及其分布的性質，以降低風險發(fā)生的概率或頻率；改變后果：采取行動，改變風險事件發(fā)生的可能后果及其嚴重性。一旦發(fā)生風險事件，盡量降低損失。通過驗證控制措施是否到位并按產生預期效果，以改變后果。當風險嚴重性高于風險偏好時，組織通常采取這一行動。開拓（利用或尋求風險）【風險接受】：積極應對風險，將風險轉化為機遇。采取行動以確保機會出現(xiàn)，尋求最大化風險的積極后果和在實現(xiàn)收益方面的各個可能性，如采用新實踐、推出新產品、利用新技術、開辟新市場、贏得新顧客等；風險規(guī)避【風險規(guī)避】：指不卷入風險處境的決定或撤離風險處境的行動。考慮到風險發(fā)生的可能性和造成損失的大小，主動放棄或者改變可能導致風險損失的方案，如決定不開始或停止（不再繼續(xù)、退出）會導致風險的活動、新方案或項目，以避免暴露于特定風險；風險分擔【風險轉移】：指與另一方分擔風險帶來的損失或共享收益。對于無法規(guī)避且無力預防的風險，建立合作伙伴關系，與能有效管理特定風險其他各方分擔風險（如通過簽訂合同、購買保險、保證和擔保，履約保證金或其他金融工具）：法律法規(guī)可能會限制﹑禁止或強制進行風險分擔；風險分擔可以通過保險或其他合同形式實現(xiàn)；風險分配程度取決于分擔方案的可信性和透明度；風險轉移是風險分擔的一種形式；風險分擔應遵循公平原則、歸責原則、風險收益對等原則、有效控制原則、風險管理成本最低原則、風險上限原則、直接損失承擔原則、動態(tài)原則、風險偏好原則等，將風險盡可能分配給最適合承擔風險的相關方進行應對。接受或保留風險【風險接受】：指對來自特定風險的損失或收益的接受。不采取任何行動來改變風險的嚴重性。通過知情決策做出不采取進一步行動試圖影響風險的可能性或后果而接受某一特定風險的潛在收益或損失。組織有意識選擇自擔風險事故所導致的損失，有時主動自留，有時被動自留。采取風險自留策略時應制定可行的風險應急計劃，采取必要的安全防護措施等保留風險包括接受剩余風險；保留風險的風險等級取決于風險準則。風險應對方案的監(jiān)視和評審如果沒有可用的應對方案或者應對方案不足以改變風險，組織應記錄風險并持續(xù)評審。組織應定期監(jiān)視和評審已制定的風險應對方案/策略的有效性和合理性，結合實際不斷修訂和改進。策劃風險應對措施/計劃風險應對措施/計劃的目的風險應對措施/計劃的目的是明確將如何實施所選定的應對方案，以便相關人員了解計劃安排，并對照計劃監(jiān)視進展情況。策劃風險應對措施/計劃應考慮的因素組織應對風險和機遇的措施都應與其對于產品和服務符合性的潛在影響相適應。編制風險應對措施/計劃應考慮應充分考慮：對于風險應對措施/計劃，應評估其剩余風險是否可以承受。如果剩余風險不可承受，應調整或制定新的風險應對措施，并評估新的風險應對措施的效果，直到剩余風險可承受；由于實施風險應對措施/計劃而導致需要管理的新風險（也稱次生風險、衍生風險或二級風險）或改變現(xiàn)有風險，為此需要識別并評審原有風險與新風險之間的關系，執(zhí)行風險應對措施會引起組織風險的改變，需要跟蹤、監(jiān)督風險應對的效果和組織的有關環(huán)境信息，并對變化的風險進行評估，必要時可重新制定風險應對措施/計劃；風險應對措施/計劃之間的關聯(lián)性、協(xié)同性；風險應對措施/計劃的特性，因為風險應對措施不一定在所有條件下都適用；當風險應對措施/計劃影響到組織內部其他領域的風險或影響到其他利益相關方時，應評估這些影響，并與利益相關方溝通，必要時可調整風險應對措施；風險應對措施/計劃的實施成本與收益(有些風險可能需要組織考慮采取經濟上看起來不合理的風險應對決策，例如可能帶來嚴重的負面后果但發(fā)生可能性低的風險事件)；利益相關方的訴求和價值觀，對風險的認知和承受度以及對某一些風險應對措施的偏好；雖然經過謹慎的設計和實施，風險應對可能不會產生預期結果，甚至可能產生非預期的后果：針對風險應對措施在實施過程中可能失靈或無效的情形，組織要將監(jiān)督作為風險應對措施/計劃的有機組成部分，以保證應對措施/計劃持續(xù)有效；選擇幾種應對措施，將其單獨或組合使用：風險應對方案/策略之間不一定是相互排斥的，也不一定適用于所有情形。雖然效果相同，但某些風險應對方案相比其他方案/策略更能被某些相關方接受；編制風險應對措施/計劃在選擇了風險應對方案之后，針對各類風險或每一項重大風險需要制定相應的風險應對措施/計劃。應對措施/計劃中提供的信息應包括：選擇應對措施/方案的理由或具體目標，包括可獲得的預期收益；應對應對措施/計劃應明確指明實施風險應對的順序；風險管理責任人及實施風險應對措施的人員安排：批準和實施措施/方案的責制定人、負責人、審核人、批準人和執(zhí)行人；風險應對措施涉及的具體業(yè)務和管理活動；擬采取的措施行動：風險應對措施行動通常包括以下幾種類型：技術手段（工程技術措施）；管理措施[如資源配置、工作流程或活動控制措施、標準操作規(guī)范、內控措施、工作重組、外包、重要崗位權力制衡措施、制度流程與標準規(guī)范、信息報告（警示告知、登記報備、總結上報）、監(jiān)督檢查/監(jiān)測預警等]；培訓教育措施；個體防護措施；應急處置措施等。選擇多種可能的風險應對措施/方案時，實施風險應對措施/方案的優(yōu)先次序：應根據風險與收益相平衡的原則以及各風險在風險坐標圖上的位置，進一步確定風險應對的優(yōu)選順序；所需的資源，包括應急費用；績效指標及測量方法；約束條件；必要的報告和監(jiān)視要求；行動預期開展和完成的時間。制定風險管理解決的外包方案，應注重成本與收益的平衡、外包工作的質量、自身商業(yè)秘密的保護以及防止自身對風險解決外包產生依