【正文】 主要特點是將風險管理“環(huán)境建設(shè)”列入其管理過程的開始活動。 風險管理可以應用到整個組織，它的許多領(lǐng)域和層次，在任何時間，以及具體職能，項目和活動。在這個過程中，他們與利益相關(guān)者溝通協(xié)商，監(jiān)測和審查風險控制，并不斷的修正風險，以確保風險處理不再是必需的。簡介所有類型和規(guī)模的組織都面臨內(nèi)部和外部因素的影響，使得它不能確定是否及何時實現(xiàn)其目標。 國際標準是根據(jù)ISO/IEC導則第2部分的規(guī)則起草的。制定國際標準工作通常由 ISO 的技術(shù)委員會完成。各成員團體若對某技術(shù)委員會確定的項目感興趣，均由權(quán)參加該委員會的工作。 由技術(shù)委員會通過的國際標準草案提交各成員團體投票表決，需取得了至少3/4參加表決的成員團體的同意，國際標準草案才能作為國際標準證實發(fā)布。這種對一個組織的目標影響的不確定性既是“風險”。本標準詳細描述了這一系統(tǒng)的和符合邏輯的過程。盡管在過去這段時間內(nèi)的許多部門，以滿足不同的需要的風險管理的做法是成熟的，但是通過采用一致性流程的綜合框架有助于確保風險管理的有效性，并且有效和連貫整個組織。環(huán)境建設(shè)方面將捕獲該組織的目標，它所追求目標的環(huán)境，它的利益相關(guān)者和風險標準的多樣性，所有這些都將幫助揭示和評估風險的性質(zhì)和復雜性。提高的機會和威脅識別能力；符合有關(guān)法律及監(jiān)管要求；改進財務(wù)報告；改善治理；提高利益相關(guān)者的信心和信任；建立決策和規(guī)劃提供可靠的根基；加強控制；有效地分配和使用資源處理風險；提高運營的效果和效率。c）有人需要對風險管理評估的有效性負責。一般來說，“風險管理”是指管理風險的有效性架構(gòu)（原則，框架和流程），而“管理風險”是指運用該架構(gòu)管理特定風險。為方便起見，本國際標準提到的所有不同的用戶通用術(shù)語為“組織”。設(shè)計和風險管理計劃和框架的實施需要考慮到特定組織的不同需要，具體做法受其特定的目標，環(huán)境，結(jié)構(gòu)，業(yè)務(wù)，流程，功能，項目，產(chǎn)品，服務(wù)或資產(chǎn)等影響。2 術(shù)語和定義下列術(shù)語和定義適用本文件。 風險管理 一個組織對風險的指揮和控制的一系列協(xié)調(diào)活動 風險管理框架 組織對風險管理的設(shè)計、實施、監(jiān)控、檢查和持續(xù)改進等進行的一系列基礎(chǔ)的組織安排 風險所有者 對風險管理持有權(quán)力和責任的個人或?qū)嶓w 風險管理流程 系統(tǒng)的應用管理政策，程序和溝通協(xié)商，在建立的風險管理環(huán)境下，識別，分析，評價，處理，監(jiān)測和審查風險 環(huán)境建設(shè) 界定風險管理應該考慮的外部和內(nèi)部參數(shù)，并設(shè)置風險管理政策的范圍和風險的標準 外部環(huán)境 文化、社會、政治、法律、監(jiān)管、財政金融、技術(shù)、經(jīng)濟、自然和競爭環(huán)境，無論是國際，國家，區(qū)域或地方?影響該組織的主要驅(qū)動和趨勢?與外部利益相關(guān)者之間的關(guān)系和價值觀 內(nèi)部環(huán)境內(nèi)部環(huán)境包括：?治理、組織結(jié)構(gòu)、角色和責任?政策、目標、實現(xiàn)目標的戰(zhàn)略?能力、資源和知識（如資本、時間、人、流程、系統(tǒng)和技術(shù)）?信息系統(tǒng)、信息流和（正式的和非正式的）決策流程?內(nèi)部利益相關(guān)者價值觀之間的關(guān)系 ?標準、指引和組織采用的模式合同關(guān)系的形成和范圍 溝通和協(xié)商 一個組織提供，共享或獲取信息，與利益相關(guān)者和其他風險管理者持續(xù)和反復對話的流程注1：信息涉及存在、性質(zhì)、形式、可能性、嚴重程度、評價、可接受性、處理或者其他與管理風險相關(guān)的方面 注2：協(xié)商是一個組織與它的利益相關(guān)者或其他利益相關(guān)者雙向溝通的過程，目的在于就以問題提前做出決策或就某一問題決定方向。 風險描述 每一種風險的描述 注：該風險是指那些可與整個組織、組織的部分或者其他特定部分向關(guān)聯(lián)的風險 風險分析 充分理解風險的性質(zhì)和確定風險等級的過程 注1：風險分析是風險評價和風險處理決策的基礎(chǔ) 注2：風險分析包括風險判斷 風險標準 對風險評價具有重要意義的條款 注1：風險標準建立以組織目標、外部及內(nèi)部環(huán)境為基礎(chǔ) 注2：風險標準可以從標準、法律、政策和其他要求中產(chǎn)生 風險等級風險的重要度，所風險組合所產(chǎn)生的后果和其可能性 風險評價 對比風險分析和風險標準的過程，以決定風險及其級數(shù)是否能夠接受和容忍 注：風險評價幫助風險處理決策 風險處理 修正風險的流程 注1：風險處理包括：通過避開或停止可以產(chǎn)生風險的活動避免風險消除風險源改變可能性改變后果??與其他團體風險共擔（包括合同、風險融資）?通過知情維持風險注2：對消極后果的風險處理可以歸為“風險緩和”、“風險消除”、“風險預防”和“風險減小”；注3：風險處理可能產(chǎn)生新的風險或修正已存在的風險 控制 修正風險的措施 注1：控制包括任何流程、政策、策略、時間或其他修正風險的行動 注2：控制可能不總是符合產(chǎn)生預期或假定的修正效果 剩余風險 通過風險處理后仍然存在的風險 注1：剩余的風險包括未識別的風險 注2：剩余風險也可以成為風險殘留 監(jiān)控 不斷檢查，監(jiān)督，審慎地觀察或明確現(xiàn)狀，以確保識別與要求的或預期的績效的變化情況；注1：監(jiān)控適用于風險管理框架、風險管理流程、風險和控制 檢查 采取適當、足夠、有效的活動以保障已設(shè)目標的達成注1：檢查適用于風險管理框架、風險管理流程、風險和控制3 原則 為了確保風險管理富有成效，組織的各個層面應該遵循以下原則。c)風險管理是決策的一部分 風險管理可以幫助決策者作出明智的選擇，優(yōu)先行動和區(qū)分備選行動方針。然而，決策者應該了解并應考慮到，數(shù)據(jù)或模型的局限性以及專家之家分歧的可能性。參與過程允許利益相關(guān)者提出異議，并將其意見考慮到風險標準的決定過程之中。附件A提供了組織希望更有效的管理風險的進一步意見。本條款描述了框架中風險管理的各組成部分，及其相互聯(lián)系，如圖 2 所示。 任務(wù)和承諾 風險管理的引進和確保其持續(xù)有效都需要組織的管理層強有力的、持續(xù)的承諾，以及嚴格的戰(zhàn)略規(guī)劃，實現(xiàn)組織各級成員的認同感。b)影響組織目標的主要驅(qū)動因素和趨勢 c)與組織有相關(guān)觀念和價值的外部利益相關(guān)者 評價組織的內(nèi)部環(huán)境包括但不限于：治理、組織結(jié)構(gòu)、角色和責任 ?可以實現(xiàn)這些目標的政策、目標和戰(zhàn)略措施 ?能力，資源和知識方面的理解（如資本、時間、人力、流程、系統(tǒng)和技術(shù)） ?信息系統(tǒng)、信息流和決策流程（包括正式和非正式） ?關(guān)系、觀念、內(nèi)部利益相關(guān)者和組織文化 ?標準、指導方針、組織采用的模型 ?合同關(guān)系的形式和程度 建立風險管理政策 風險管理政策應該清晰的闡述組織的目標和承諾，通常闡述以下：