ISO 31073:2022 risk management - vocabulary 風險管理—詞彙
前言:參見標準原文
概述:
該文件提供基本詞彙,供組織和職能部門之間以及不同應用和類型的風險管理概念和用語的共同理解。
適用於組織面臨風險時的風險管理用語之前後環節,應優先考慮該文件中提供的定義。
風險管理係視應用而定。因此,某些情況下,可能需要增補該文件的詞彙。當某份標準使用與風險管理相關用語時,特加聲明,不得曲解、歪曲或錯誤使用渠等在標準前後環節的係稱意義。適用時,可能需將該文件中用語替換為該學門限定的用語。
除了管理對實現其目標出現的威脅之外,組織還需更多地應用風險管理流程並開發一種整合式的風險管理方式,以改進對潛在機會的管理。因此,該文件中的用語和定義在概念和應用上比其它文件中包含的用語和定義更廣泛。由於組織愈來愈多地採用更廣泛的風險管理方式,因此該文件涵蓋所有應用和產業界。
此份詞彙文件代表了 ISO/TC
262對組織面臨的風險管理之現今關注內容。
該文件鼓勵組織採行相互和一致的理解與協調一致的方式,描述風險管理相關的活動,處理面臨風險管理的流程和架構,使用統一的風險管理用語。
該文件旨在供以下人員使用:
- 從事風險管理的人員;
- 參與 ISO 和 IEC 活動的人員;
- 與風險管理相關的國家或特定產業的標準、指引、程序和實務規範的制定者。
有關風險管理的原則和指引,請參閱 ISO 31000:2018(CNS
31000)。
適用範圍:
註1:此標準的術語多數沿用ISO Guide 73的術語及定義,部份採用ISO 31010的術語及定義。建議參照閱讀各術語引用之標準,有利於理解該術語及定義。
註2:此標準的某幾項術語係引入ISO/IEC 17000系列標準及ISO 9000的術語及定義,配合風險管理文句而略做修訂,故原標準未寫出參照標準。
註3:此標準雖沿用ISO Guide 73的大部份內容,但未寫係替代該指引,因此可知該指引仍然有效。
註4:此標準整合多個標準中有關風險管理的術語及定義,由ISO及IEC聯合發布,宜於產業各界多加參考運用。
註5:可參見ISO官方網站提供之ISO 31073:2022英文及法文版。
引用標準:無
用語及定義:
3.1 Terms related to risk 有關風險之用語
3.1.1 risk 風險
effect
of uncertainty on objectives
不確定項(3.1.3)對目標(3.1.2)的影響。
註1:該影響係偏離原先預期,既可以是正向,亦可為負向,或兼而有之;可帶來、創造或造成機會(3.3.23)及威脅(3.3.13)。
註2:目標可有不同的考量與類別,且可以應用於不同的層級.
註3:風險通常以風險源
(3.3.10)、潛在事件 (3.3.11)、其後果 (3.3.18) 和可能性 (3.3.16) 表示之。
3.1.2 objective 目標
擬企及之結果。
註1:某個目標可以是策略目標、戰術目標或營運目標。
註2:目標可以直接相關不同專業領域,例:財務、健康與安全、環境目的;亦可應用在不同層面,例:策略、全組織、專案、產品及過程。
註3:目標可以其它方式表示之,例:預期結果、目的、營運準則,或係管理系統目標、或使用其它意義類似之用語表示之,例:鵠的、目的或標的。
3.1.3 uncertainty 不確定項
供理解或知曉的相關資訊不足之情況(或僅其中某部分)。
註1:在某些情況下,不確定項可能與組織(3.3.7)的前後環節及其目標 (3.1.2) 有關。
註2: 不確定項是風險(3.1.1)的根源,即與目標直接相關的任何類型的「資訊不足」;反過來看,目標又與所有直接相關的利害相關者 (3.3.2) 的需求和期望有關。
3.2 Terms related to risk management 有關風險管理事務之用語
3.2.1 risk management風險管理事務
指導與控制組織(3.3.7)有關風險(3.1.1)經過協調的活動。
3.2.2 risk management policy 風險管理政策
組織(3.3.7)有關風險管理事務(3.2.1)的整體意圖與方向之聲明。
[參照來源: ISO
Guide 73:2009, 2.1.2]
3.2.3 risk management plan 風險管理計畫
在風險管理架構內,明訂應用於管理風險(3.1.1)的途徑、管理要素及各項資源的方案。
註1:典型的管理要素包括程序、實務、責任分派、活動之順序與時程。
註2:風險管理計畫可適用於某特別產品、過程及專案,亦可於組織(3.3.7)的一部分或全部。
[參照來源: ISO Guide
73:2009, 2.1.3]
3.3 Terms related to the risk management process 有關風險管理過程用語
3.3.1 risk management process 風險管理過程
系統化地管理政策、程序及實務之應用於溝通、諮商、建立前後環節,並鑑別、分析、評估、處理、監督(3.3.40)及審查風險(3.1.1)等活動。
[參照來源: ISO Guide 73:2009, 3.1]
3.3.2 interested party 利害相關者
可能影響、受到影響,或自認受到決策或活動影響的個人或組織(3.3.7)。
[參照來源: ISO 9000:2015, 3.2.3],
3.3.3 risk perception 風險感知
利害相關者(3.3.2) 關於風險 (3.1.1)之觀感。
註1: 風險感知反映利害相關者的需求、議題、知識、信念及價值。
[參照來源: ISO Guide 73:2009, 3.2.1.2, 係經修改。 — “interested
party” 替代 “stakeholder”,及“risk” 替代 “a risk”]
3.3.4 external context 外部前後環節
組織(3.3.7)尋求達成其目標 (3.1.2)的外部環境。
註1:外部前後環節可包括下列事項:
- 無論是國際、國家、區域抑或地方上的文化、社會、政治、法治、規制、財務、技術、經濟、本自天成或競爭性環境。
- 對組織目標具有衝擊之主要推動者與趨勢。
- 與外部利害相關者 (3.3.2) 的關係,及認知事項與價值觀。
[參照來源: ISO Guide 73:2009, 3.3.1.1, 係經修改。 — “interested
parties” 替代 “stakeholders”.]
3.3.5 internal context 內部前後環節
組織(3.3.7)尋求達成其目標 (3.1.2)的內部環境。
註1: 內部前後環節可包括下列事項:
- 治理、組織結構、角色及當責。
- 政策、目標,以及能達成之的策略。
- 資訊系統、資訊流及做出決策過程(正式與非正式皆可)。
- 與內部利害相關者(3.3.2)的關係,及認知事項與價值觀。
- 組織的文化。
- 組織所採用的標準、指導綱要及模範。
- 合約關係之型式與內容。
[參照來源: ISO Guide 73:2009, 3.3.1.2, 係經修改。 — “interested
parties” 替代 “stakeholders”.]
3.3.6 risk criteria 風險準則
評估風險(3.1.1)之顯著性時所用的參照術語。
註1:風險準則係基於組織目標(3.1.2)、外部前後環節(3.3.4)及內部前後環節(3.3.5)。
註2:風險準則可衍生自標準、法律、政策及其它要求事項。
[參照來源: ISO Guide 73:2009, 3.3.1.3, 係經修改。 — “risk”
替代 “a risk”]
3.3.7 organization 組織
各具其本身職能及其相應責任、職權及關係以企及其目標(3.1.2)之人或一群人。
註1:組織的概念包括但不限於:自營商、公司、集團、行號、企業、權責機構、合夥企業、協會、慈善機構或學術機構,或上列之部分或組合,不論是否為依法設立的公司、公營或民營。
3.3.8 risk assessment 風險評鑑
風險鑑別(3.3.9)、風險分析(3.3.15)及風險評估(3.3.25)的整個過程。
[參照來源: ISO Guide 73:2009, 3.4.1]
3.3.9 risk identification 風險鑑別
發現、認知及描述風險(3.1.1)之過程。
註1:風險鑑別包括鑑別風險來源(3.3.10)、事件 (3.3.11)、其原因及其潛在後果(3.3.18)。
註2:風險鑑別可涉及歷史資料、理論分析、知情意見及專家意見、以及利害相關者(3.3.2)的需求。
[參照來源: ISO Guide 73:2009, 3.5.1, 係經修改。 — “interested
party” 替代 “stakeholder”.]
3.3.10 risk source 風險來源
單種或多種合併要素可能潛在地導致風險(3.1.1)。
3.3.11 event 事件
所發生或變動的一組特別情況。
註1:事件可發生一或多次,可能有數個原因及若干後果(3.3.18)。
註2:事件可以是預期而未發生的某些事情,或未預期而發生的某些事情。
註3:事件可能是風險來源(3.3.10)。
3.3.12 hazard 危害
潛在傷害之來源
註1:害可以是某個風險來源(3.3.10)。
[參照來源: ISO Guide 73:2009, 3.5.1.4]
3.3.13 threat 威脅
危險、傷害或其它非期望結果的潛在來源。
註1:某個威脅係可能造成損耗的某種負向情況,且某人僅有相當小的程度控制之。
註2:一方的威脅可能對另一方而言係機會(3.3.23)。
3.3.14 risk owner 風險持有者
具有管理風險(3.1.1)的當責與職權之人員或實體。
[參照來源:ISO Guide 73:2009,
3.5.1.5,係經修改。“risk風險” 替代“a risk某風險”。]
3.3.15 risk analysis 風險分析
理解風險(3.1.1)的本質並決定風險等級(3.3.22)之過程。
註1:風險分析提供風險評估(3.3.25)與風險處理(3.3.32)的決策基礎。
[參照來源:ISO Guide
73:2009,3.6.1, 係經修改。註2:係經註銷。]
3.3.16 likelihood 可能性
某事情偶然發生
註1:于風險管理用語,「可能性」一詞係稱某事情偶然發生,不論其是否為既定的、量測的、客觀地或主觀地決定的、定性地或定量地,且使用一般用語或數學方式描述之。例:概率(3.3.19)或頻率(3.3.20)。
註2: 英語單詞
「likelihood」 在某些語言中沒有直接對應的同等字詞;通常使用單詞“probability概率”替代之。然而,在英語中,“probability”
通常被狹義地以數學用語闡釋。因此,在風險管理用語中,宜使用“可能性”使其得以與英語之外的許多其它語言中的單詞“概率”具有同樣更廣義的解釋。
3.3.17 Exposure 曝露
組織(3.3.7)及/或利害相關者(3.3.2)涉入某事件(3.3.11)之程度。
[參照來源:ISO Guide 73:2009, 3.6.1.2, 係經修改。—
“interested party” 替代 “stakeholder”.]
3.3.18 Consequence 後果
事件(3.3.11)之產出結果且影響目標(3.1.2)。
註1: 後果可能對目標有正向或負向、直接或間接效應。
註2: 後果可以定性或定量方式表達之。
註3: 何後果均可經由串聯及累加效應而漸昇漸高。
3.3.19 Probability概率
偶然發生之量度方式,以0與1間之數值呈現,0為不可能,1為絕對確定。
註1: 見 3.3.16,
註 2。
[參照來源:IEC 31010:2019, 3.3係經修改。]
3.3.20 frequency 頻率
經界定的時間單位內事件(3.3.11) 或結果數
註1:頻率可應用於過往事件或潛在的未來事件, 亦得為可能性(3.3.16)或probability概率 (3.3.19)的度量。.
[參照來源:ISO Guide 73:2009, 3.6.1.5]
3.3.21 Vulnerability 脆弱性
某事情內含性質從而對風險來源 (3.3.10)的敏感性,可能導致某事件(3.3.11) 及其後果
(3.3.18)。
[參照來源:ISO Guide 73:2009, 3.6.1.6]
3.3.22 level of risk 風險等級
單一或多風險 (3.1.1合併之值,將後果 (3.3.18)結合可能性 (3.3.16)表達之。
[參照來源:ISO Guide 73:2009, 3.6.1.8]
3.3.23 opportunity
預期有利於多個目標(3.1.2)的各種狀況組合。
註1: 某個機會係可能獲益的某種正向情況,且某人得有相當程度控制之。
註2: 一方的機會可能對另一而言係威脅(3.3.13)。
註3: 擷取或不擷取機會均為風險(3.1.1)來源。.
[參照來源:IEC 31010:2019, 3.2]
3.3.24 risk driver 風險驅動子
主要影響風險 (3.1.1)的因素。
[參照來源:IEC 31010:2019, 3.4]
3.3.25 risk evaluation 風險評估
將風險分析 (3.3.15)之結果與風險準則(3.3.6)相比較之過程,以決定風險 (3.1.1)是否可接受或予以容忍。
註1: 風險評估協助有關風險處理(3.3.32)之決策。.
[參照來源:ISO Guide 73:2009, 3.7.1, 係經修改。 — “and/or its magnitude” 剔除。]
3.3.26 risk attitude 風險姿態
組織(3.3.7) 評鑑並勢須追逐、保留、承擔或背離風險(3.1.1)的方式
[參照來源:ISO Guide 73:2009, 3.7.1.1]
3.3.27 risk appetite風險容納量
組織(3.3.7)願意追逐或保留的風險(3.1.1) 之數量與型式。
[參照來源:ISO Guide 73:2009, 3.7.1.2]
3.3.28 risk tolerance風險裕度
組織(3.3.7) 或利害相關者 (3.3.2) 之準備程度,為達到目標 (3.1.2)而承擔的剩餘風險 (3.3.38) 。
註1: 風險裕度可能受到法令或規章要求事項之影響。
[參照來源:ISO Guide 73:2009, 3.7.1.3, 係經修改。 — “interested party” 替代 “stakeholder”, 及“residual risk” 替代 “risk after risk treatment”.]
3.3.29 risk aversion 風險迴避
避開風險 (3.1.1)之姿態。
[參照來源:ISO
Guide 73:2009, 3.7.1.4]
3.3.30 risk aggregation 風險匯整
合併若干風險 (3.1.1) 為一項風險,以示對整體風險較完整的瞭解。
[參照來源:ISO Guide 73:2009, 3.7.1.5]
3.3.31 risk acceptance 風險接受
知情決定以接納某特定風險 (3.1.1)。
註1: 風險接受可在未經風險處理(3.3.32) 或風險處理過程之間發生。
註2: 既經接受的風險須受到監督 (3.3.40) 及審查 (3.3.41).
[參照來源:ISO Guide 73:2009, 3.7.1.6]
3.3.32 risk treatment 風險處理
修改風險之過程(3.1.1)
註1:風險處理可涉及下列事項::
- 做出決策不啟動或不再繼續可能引起風險的活動以避免風險。
- 承擔或增加風險以追逐機會(3.3.23)。
- 移除風險來源(3.3.10)。
- 改變可能性 (3.3.16)。
- 改變後果(3.3.18);
- 與另一機構或多機構分享風險 [包括訂定合約或風險財務化(3.3.36)]。
- 經知情決策而保留風險。
註2: 風險處理到負向後果時亦可稱之為「紓緩風險」、「排解風險」、「降低風險」。
註3: 風險處理可能創造新的風險,或修改既有風險。
[參照來源:ISO Guide 73:2009, 3.8.1]
3.3.33 risk control 風險控制
維持及/或修改風險之措施 (3.1.1)。
註1: 風險控制包括任何可修改風險之過程、政策、器材、實務或其它狀況及/或行動,從而維持及/或修改風險。
註2:風險控制並不總是發揮預期或設想的修改效果。
3.3.34 risk avoidance 風險規避
知情決策而不涉入或取消某活動以免曝露至特定風險 (3.1.1)。
註1: 風險規避可基於風險評估 (3.3.25) 結果及/或法令與規章義務。
[參照來源:ISO Guide 73:2009, 3.8.1.2]
3.3.35 risk sharing風險分擔
風險處理(3.3.32)的某種方式,涉及和其它單位協議分攤風險(3.1.1)。
註1:法令或規章要求可限制、禁止或迫令風險分擔。
註2:風險分擔可經由保險或其它合約形式為之。
註3:風險分攤範圍可能依賴于分擔管理的可靠性與明確性。
[參照來源:ISO Guide 73:2009, 3.8.1.3, 係經修改。 註4 剔除。]
3.3.36 risk financing 為風險籌措資金
風險處理(3.3.32)的某種方式,涉及一旦發生狀況時,達到基金條款的偶發事項管理,或修改財務後果(3.3.18)。
[參照來源:ISO
Guide 73:2009, 3.8.1.4]
3.3.37 risk retention 風險留置
接受特定風險 (3.1.1)的潛在收益或負擔損失。
註1: 風險留置包括接受剩餘風險 (3.3.38)。
註2: 留置的風險等級 (3.3.22) 可能取決於風險標準 (3.3.6)。
[參照來源:ISO Guide 73:2009, 3.8.1.5]
3.3.38 residual risk 剩餘風險
風險處理 (3.3.32) 後遺留著的風險 (3.1.1)。
註1:剩餘風險可包含未鑑別的風險。
註2:剩餘風險亦係稱為「留置風險」。
[參照來源:ISO Guide 73:2009, 3.8.1.6]
3.3.39 Resilience 恢復力
組織 (3.3.7)在複雜與變遷的環境中之調適容量。
[參照來源:ISO Guide 73:2009, 3.8.1.7]
3.3.40 Monitoring 監督
持續的查核、監察、重要事項觀察或勘定其狀態,旨在按照要求或期待之績效水準鑑別出變化。
註1:監督可適用於風險管理架構、風險管理過程(3.3.1)、風險(3.1.1)、或風險控制(3.3.33)。
[參照來源:ISO Guide 73:2009, 3.8.2.1, 係經修改。 註1以“risk control” 替代 “control”]
3.3.41 Review 審查
為企及係稱事項的既定目標(3.1.2)所進行的活動,以決定前述事項之適合性、恰當性及有效性。
註1:審查可適用於風險管理架構、風險管理過程(3.3.1)、風險(3.1.1)、或風險控制(3.3.33)。
[參照來源:ISO Guide 73:2009, 3.8.2.2, 係經修改。 註1以“risk control” 替代“control”]
3.3.42 risk reporting 風險做成報告
提供風險(3.1.1)及其管理的現今狀態之溝通形成,以通知特別的內部或外部利害相關者 (3.3.2)。
[參照來源:ISO Guide 73:2009, 3.8.2.3, 係經修改。 — “interested party” 替代 “stakeholder”.]
3.3.43 risk management audit 風險管理稽核
系統的、獨立的及文件化的過程,為獲得證據與客觀地評估,以決定風險管理架構的範圍,或選取風險管理架構的某部份,是適切與有效果的。
[參照來源:ISO Guide 73:2009, 3.8.2.6]
參考標準
ISO 31000:2018, Risk management — Guidelines,參見CNS 31000。 |
|
ISO Guide 73:2009, Risk management — Vocabulary,參見CNS 14489。 |
|
ISO/IEC Guide 51, Safety
aspects — Guidelines for their inclusion in standards |
|
IEC 31010:2019, Risk
management — Risk assessment techniques,參見CNS 31010。 |
詳細內容參見原資料內容 。
沒有留言:
張貼留言