风险管理-风险评估技术(ISO31010对应的GB).doc

1、GB/Z 中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会 发布-实施-发布风险管理-风险评估技术Risk management Risk Assessment TechniquesGB/T XXXXXXXXX中华人民共和国国家标准ICS 03.100.99 目 次目 次I前 言VII引 言VIII1范围12规范性引用文件13术语和定义14.风险评估的相关概念14.1 目的及益处14.2 风险评估和风险管理过程25. 风险评估过程45.1 概述45.2 风险识别45.3 风险分析55.4 风险评价75.5 文件的归档85.6 风险评估的监督和检查96. 风险评估技术的选择96.1

2、 概述96.2 技术的选择96.3 风险评估在寿命周期各阶段的应用106.4 风险评估技术的类型11附录A 风险评估技术的比较12A.1 适用阶段12A.2 影响因素13附录B 风险评估技术17B.1 头脑风暴法17B.1.1 概述17B.1.2 用途17B.1.3 输入17B.1.4 过程17B.1.5 输出18B.1.6 优点及局限:18B.2 结构化或半结构化访谈18B.2.1 概述18B.2.2 用途18B.2.3 输入18B.2.4 过程19B.2.5 输出19B.2.6 优点及局限19B.3 德尔菲法19B.3.1 概述19B.3.2 用途19B.3.3 输入19B.3.4 过程2

3、0B.3.5 输出20B.3.6 优点及局限20B.4 情景分析20B.4.1 概述20B.4.2 用途20B.4.3 输入21B.4.4 过程21B.4.5 输出22B.4.6 优点及局限22B.5 检查表法22B.5.1 概述22B.5.2 用途22B.5.3 输入22B.5.4 过程22B.5.5 输出23B.5.6 优点及局限23B.6 预先危险分析(PHA)23B.6.1 概述23B.6.2 用途23B.6.3 输入23B.6.4 过程24B.6.5 输出24B.6.6 优点及局限24B.7 失效模式和效应分析(FMEA)及失效模式、效应和危害度分析(FMECA)24B.7.1 概述

4、24B.7.2 用途25B.7.3 输入数据25B.7.4 过程25B.7.5 输出结果26B.7.6 优点及局限27B.8 危险与可操作性分析(HAZOP)27B.8.1 概述:27B.8.2 用途27B.8.3 输入28B.8.4 过程28B.8.5 输出29B.8.6 优点及局限29B.9危险分析与关键控制点法(HACCP)30B.9.1 概述:30B.9.2 用途30B.9.3 输入30B.9.4 过程30B.9.5 输出30B.9.6 优点及局限31B.10 保护层分析(LOPA)31B.10.1 概述31B.10.2 用途31B.10.3 输入32B.10.4 过程32B.10.5

5、 输出32B.10.6 优点及局限33B.10.7 参考文件33B.11 结构化假设分析(SWIFT)33B.11.1 概述33B.11.2 用途33B.11.3 输入33B.11.4 过程34B.11.5 输出34B.11.6 优点及局限34B.12 风险矩阵35B.12.1 概述35B.12.2 用途35B.12.3 输入35B.12.4 过程36B.12.5 输出36B.12.6 优点及局限37B.13 人因可靠性分析(HRA)372页空白没用的，请掠过阅读吧哈,这2页空白没用的，请掠过阅读吧哈,请掠过阅读吧，哈哈哈A、针对报警信息的客户，在JUSTESS系统的客户报警界面上，点击外呼按

6、钮，JUSTESS系统通过JUSTCALL呼叫中心后台向当前坐席发起呼叫，坐席接通后，启动弹屏触发，弹出座席管理界面；然后向客户发起呼叫，并建立会话；B、针对需要派工单做回访的客户，在JUSTESS系统的客户派工单界面上，点击外呼按钮，JUSTESS系统通过JUSTCALL呼叫中心后台向当前坐席发起呼叫，坐席接通后，启动弹屏触发，弹出座席管理界面；然后向客户发起呼叫，并建立会话；C、在坐席人员可以在坐席管理界面中新增或者调用历史服务记录。可根据客户需求量身定制各类业务流程与方案。第二节新方案的影响交强险新方案推出后，在赔付成本上升和客户享受费率优惠等因素的作用下，保险行业将面临较大的经营压力，

7、承保方面可能会出现一定的亏损。中国保监会14日下午举行机动车交通事故责任强制保险费率调整听证会，就中国保险行业协会提出的关于上报交强险费率方案的请示，听取各方面意见。新方案实施后，首先责任限额将由目前的6万上到为12万元，死亡赔偿限额上升至11万，在增加风险保障的同时会给保险行业增加赔付成本，预计这种赔付成本上升的幅度在1520。其次，无责赔偿比例从目前的20降至10，这种比例的降低会导致保险行业赔付成本的降低，这种降低的程度预计在23。第三，推出的费率浮动办法已经导致交强险实际的费率水平逐年下降，预计每年下降的幅度会增加约5。到2009年，目前投保人当中预计将会有69的客户会享受到30的费率

8、优惠。空白没用的，请掠过阅读吧哈这1页空白没用的，请掠过阅读吧哈空白没用的，请掠过阅读吧，这1页空白没用的，请掠过阅读吧，（一）信用风险的侵蚀。当前我国对企业和个人的信用制度还没有真正建立起来，对失信者尚缺乏严厉而有效的制裁措施。在开展这项业务的过程中，少数保户在自身利益的驱使下，制假造假者有之，人车逃逸者有之，金融诈骗者有之。总之，信用风险，或者说客户的个人道德风险已成为阻碍这项业务健康发展的最大障碍。据调查，从车贷险业务开展以来，保户拖欠银行贷款（有的是恶意拖欠）情况严重。按照保险公司与银行的合作协议，保户在3个月内如不按期偿还贷款，将由保险公司以支付赔款的方式代替保户偿还。这样，保险公司

9、就成为承担信用风险的唯一责任者，因而直接影响到保险公司的稳定经营。据调查表明，20002002年某产险公司保户中已拖欠银行贷款逾期时间在3个月以上的贷款金额高达4 629万元（其中三年期的为3 783万元）。这一贷款数额是这家保险公司在同一时期内所收保费的数倍，如果这些逾期贷款都要由保险公司偿还，那么这家公司将面临严重亏损。 （二）管理疏漏的侵蚀。保险公司内部管理的疏漏构成了管理风险。在开展这项业务的过程中，一些公司为了扩大自己的市场份额，争取更多的保费收入，盲目放松承保条件，业务不分良莠，给整个险种的经营带来不可弥补的损失。主要表现在：一是资信调查不严格，核保手续不规范。一些分支机构本来不具

10、备开展这项业务的条件，却盲目上马；一些公司对资信调查不重视、不严格，有些基本流于形式。对于要求办理该项业务的，基本上是来者不拒，给一些信用度很差的客户以可乘之机。如某一经销商为了能够得到较多的银行贷款，不惜以欺骗手段购买他人的身份证，到银行为自己办理车贷险业务，直到案发后问题才暴露。二是违规操作。目前，海南省一些产险公司在承保的过程中都采取了总颁条款附加业务协议书的方式开展业务。为了能够拉到更多的业务，这些公司在合作协议中都明显突破或篡改了原条款的规定。比如有些协议规定，发生保险责任事故后先由保险公司赔款，而后由银行通过权益转让将抵押权转让给保险公司，然后保险公司才能处理抵押物。这些协议不但和

11、总颁条款的规定有很大的出入，而且把购车环节的所有风险全都揽到保险公司名下，银行、经销商几乎没有任何风险。三是承保质量低下。从某产险公司承保的业务结构看，60。70为容易出险的营运车，而档次较高、风险较小的家庭自用车承保数量较少。 空白没用的，请掠过阅读吧哈这1页空白没用的，请掠过阅读吧哈空白没用的，请掠过阅读吧，这1页空白没用的，请掠过阅读吧，要强化行业自律，规范行业行为。保险监管部门应进一步加强对开展该项业务的全程监控，各地保险行业协会要充分发挥其行业自律、行业协调和行业监督的职能，牵头产险公司制定车贷险行业自律公约，并定期通报执行情况；要对主要汽车经销商建立能反映其销售业绩和信誉情况的行业

12、档案及“黑名单”，为各公司的稳健经营提供信息依据。 坚持稳健经营的原则。转变过去一哄而上的局面，成立专业车贷险公司，统一资信调查和核保核赔的原则和程序。要始终坚持效益为先的原则，避免无序竞争和只顾规模不管效益的经营行为。 B.13.1 概述:37B.13.2 用途37B.13.3 输入37B.13.4 过程38B.13.5 输出38B.13.6 优点及局限38B.14 以可靠性为中心的维修39B.14.1 概述39B.14.2 用途40B.14.3 输入40B.14.4 过程40B.14.5 输出40B.15 业务影响分析(BIA)41B.15.1 概述41B.15.2 用途41B.15.3

13、输入数据41B.15.4 过程41B.15.5 输出结果:42B.15.6 优点及局限42B.16 根原因分析42B.16.1 概述42B.16.2 用途43B.16.3 输入43B.16.4 过程43B.16.5 输出44B.16.6 优点及局限44B.17 潜在分析(SA)和潜在通路分析(SCA)44B.17.1 概述44B.17.2 用途44B.17.3 输入45B.17.4 过程45B.17.5 输出45B.17.6 优点及局限45B.18 因果分析46B.18.1 概述46B.18.2 用途46B.18.3 输入46B.18.4 过程46B.18.5 输出47B.18.6 优点及局限

14、47B.19 风险指数48B.19.1 概述48B.19.2 用途48B.19.3 输入48B.19.4 过程48B.19.5 输出49B.19.6优点及局限49B.20 故障树分析(FTA)49B.20.1 概述49B.20.2 用途50B.20.3 输入50B.20.4 过程51B.20.5 输出51B.20.6 优点及局限51B.21 事件树分析(ETA)52B.21.1 概述52B.21.2 用途53B.21.3 输入53B.21.4 过程53B.21.5 输出53B.21.6优点及局限53B.22 决策树分析54B.22.1 概述54B.22.2 用途54B.22.3 输入54B.2

15、2.4 过程54B.22.5 输出54B.22.6 优势及局限55B.23 蝶形图分析55B.23.1 概述:55B.23.2 用途55B.23.3 输入55B.23.4 过程55B.23.5 输出56B.23.6 优点及局限56B.24 层次分析法57B.24.1 概述57B.24.2 用途57B.24.3 输入57B.24.4 过程57B.24.5 输出57B.24.6 优点及局限57B.25 在险值法(VaR)58B.25.1 概述58B.25.2 用途58B.25.3 输入58B.25.4 过程58B.25.5 输出59B.25.6 优点及局限59B.26 均值方差模型60B.26.1

16、 概述60B.26.2 用途60B.26.3 输入60B.26.4 过程60B.26.5 输出61B.26.6 优点及局限61B.27 资本资产定价模型61B.27.1 概述61B.27.2 用途61B.27.3 输入61B.27.4 过程61B.27.5 输出62B.27.6 优点及局限62B.28 FN曲线62B.28.1 概述62B.28.2 用途62B.28.3 输入63B.28.4 过程63B.28.5 输出63B.28.6优点及局限63B.29 马尔可夫分析64B.29.1 概述64B.29.2 用途64B.29.3 输入64B.29.4 过程64B.29.5 输出67B.29.6

17、 优点及局限67B.29.7 比较67B.30 蒙特卡罗模拟分析(Monte Carlo simulation)67B.30.1 概述67B.30.2 用途67B.30.3 输入68B.30.4 过程68B.30.5 输出69B.30.6 优点及局限69B.30.7 概述70B.31 贝叶斯统计及贝叶斯网络70B.31.1 概述70B.31.2 用途70B.31.3 输入71B.31.4 过程71B.31.5 输出73B.31.6 优点及局限73参考文献74XV前 言本标准参考IEC 31010风险管理风险评估技术的FDIS稿编制而成。本标准的附录A、附录B为资料性附录。本标准由全国风险管理标

18、准化技术委员会(SAC/TC 310)提出并归口。本标准由中国标准化研究院负责起草。本标准起草单位： 本标准主要起草人： 引 言各种类型及规模的组织都会面临各种各样的风险，这些风险有可能影响到其目标的实现。这些目标可能涉及组织的各类活动，从战略计划到其运行、过程及项目，也体现在社会、技术、环境和安全结果以及商业、财务和经济措施，同时包括社会、文化、政治和声誉影响等。对组织各项活动中存在的风险应进行有效管理。通过考虑不确定性和未来事项或环境变化的可能性及其对约定目标的影响，风险管理过程有助于管理者的决策制定。风险管理主要涉及将逻辑性及系统性的方法应用于以下方面： 贯穿该过程的沟通和记录； 明确用

19、于识别、分析、评价、应对并监控与任何活动、过程、功能或产品有关风险的组织环境； 监督和检查风险 适当地报告风险管理结果。作为风险管理活动的组成部分，风险评估提供了一种结构性的过程以识别目标如何受各类不确定性因素的影响，并从后果和可能性两个方面来进行风险分析，然后确定是否需要进一步处理。风险评估工作试图回答以下基本问题： 会发生什么以及为什么(通过风险识别)？ 后果是什么？ 这些后果发生的可能性有多大？ 是否存在一些可以减轻风险后果或者降低风险可能性的因素？ 风险等级是否可容忍或可接受？是否要求进一步的应对和处理?本标准旨在反映当前风险评估技术选择及应用的良好实践，但并未涉及那些新出现、尚在发展

20、中的等还未获得专业人员共识的评估技术概念。 102GB/TXXXXX-XXXX风险管理 风险评估技术1范围本标准为依据GB/T 24353-2009开展风险管理活动的组织提供技术支持，用于指导组织选择合适的风险评估工具并正确使用。根据本标准开展的风险评估工作有助于促进组织的其它风险管理活动。本标准不拟用于认证、法规或合同目的。本标准介绍了一系列的风险评估技术。在本标准参考的其它国际标准中，对于这些技术工具的概念和应用有更详细的说明。本标准并未涉及风险评估的所有技术。在本标准中未予介绍的技术并不意味着其无效。此外，一种方法在某些具体情况下适用，并不意味着这种方法在任何情况下均适用。本标准具有通用

21、性，可以为众多行业及各类系统提供指导。 本标准是一般性的风险管理标准，涉及安全方面的内容参见GB/T 20000.4-2003。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。GB/T 23694-2009/ISO/IEC Guide 73:2002 风险管理 术语GB/T 24353-2009 风险管理 原则与实施指南3术语和定义GB/T 23694-2009中界定的术语

22、和定义适用于本标准。4.风险评估的相关概念4.1 目的及益处风险评估活动旨在通过提供基于事实的信息并进行分析，就如何处理特定风险以及如何选择风险应对策略进行科学决策。 开展风险评估工作的主要益处包括以下方面： 认识风险及其对目标的潜在影响； 为决策者提供信息； 有助于认识风险，以便帮助选择应对策略； 识别那些造成风险的主要因素，揭示系统和组织的薄弱环节； 有助于明确需要优先处理的风险事件； 有助于通过事后调查来进行事故预防； 有助于风险应对策略的选择； 满足监管要求。4.2 风险评估和风险管理过程4.2.1 概述本标准所指的风险评估是在GB/T 24353-2009所描述的风险管理过程内展开的

23、。在风险管理过程中，风险评估并非一项独立的活动，必须整合到风险管理过程的其它组成部分中。GB/T 24353-2009中界定的风险管理过程包含以下要素：明确环境信息；风险评估(包括风险识别、风险分析与风险评价)；风险应对；监督和检查；沟通和记录。进行风险评估时尤其应该清楚以下事项： 组织的环境信息和目标； 组织可容忍风险的范围及类型，以及对于不可接受风险的处理方式； 风险评估的方法和技术，及其对风险管理过程的促进作用； 组织内部各部门和人员对于风险评估活动的义务、责任及权利； 开展风险评估的可用资源； 如何进行风险评估的报告及检查； 风险评估活动如何整合进组织日常运行中。4.2.2 明确环境信

24、息通过明确环境信息，组织可明确其风险管理的目标，确定与组织相关的内部和外部参数，并设定风险管理的范围和有关风险准则。风险准则是组织用于评价风险重要程度的标准。因此，风险准则需体现组织的风险承受度，应反映组织的价值观、目标和资源。组织应根据所处环境和自身情况，合理制定本组织的风险准则。在进行具体的风险评估活动时，明确环境信息应包括界定内外部环境、风险管理环境并确定风险准则。在此过程中，应确定组织的风险准则、风险评估目标及风险评估程序。4.2.3 风险评估风险评估包括风险识别、风险分析和风险评价三个步骤。风险评估活动适用于组织的各个层级，评估范围可涵盖项目、单个活动或具体事项等。但是在不同情境中，

25、所使用的评估工具和技术可能会有差异。风险评估有助于决策者对风险及其原因、后果和可能性有更充分的理解。这可以为以下决策提供信息： 是否应该开展某些活动； 如何充分利用时机； 是否需要应对风险； 选择不同风险的应对策略； 确定风险应对策略的优先次序； 选择最适合的风险应对策略，将风险的不利影响控制在可以接受的水平。4.2.4 风险应对风险应对是在完成风险评估之后，选择并执行一种或多种改变风险的措施，包括改变风险事件发生的可能性或后果。风险应对是一个递进的循环过程，实施风险应对措施后，应重新评估新的风险水平是否可以承受，从而确定是否需要进一步采取应对措施。4.2.5 监督和检查作为风险管理过程的组成

26、部分，应定期对风险与控制进行监督和检查，以确认： 有关风险的假定仍然有效； 风险评估所依据的假定，包括内外部环境，仍然有效； 正在实现预期结果； 风险评估的结果符合实际经验； 风险评估技术被正确使用； 风险应对有效。组织应确定监督和检查工作的责任。4.2.6 沟通和记录风险评估工作的成功依赖于与利益相关方进行的有效沟通与协商。让利益相关者参与到风险管理过程中是有必要的，这样有助于： 沟通计划的制定； 正确识别环境信息； 确保利益相关者的利益得到充分认识和考虑； 汇集不同领域的专业知识以识别和分析风险； 确保风险评估过程中不同的观点也能得到适当考虑； 确保风险得到充分识别； 确保风险应对计划得到

27、支持。利益相关方应当设法使得风险评估过程与组织其他管理活动的有效融合，包括变革管理、项目和计划管理以及财务管理等。5. 风险评估过程5.1 概述通过风险评估，决策者及有关各方可以更深刻地认识那些可能影响组织目标实现的风险以及现有风险控制措施的充分性和有效性，为确定最合适的风险应对方法奠定基础。风险评估的结果可作为组织决策过程的输入。风险评估是由风险识别、风险分析及风险评价构成的一个完整过程(参见图1)。该过程的开展方式不仅取决于风险管理过程的背景，还取决于开展风险评估工作所使用的方法与技术。明确环境信息 风险评估沟通和记录监督和检查风险评价风险分析风险识别风险应对图1 风险评估对风险管理过程的

28、推动作用考虑到各类风险的原因及后果有较大差异，因此风险评估通常涉及到多学科方法的综合应用。5.2 风险识别风险识别是发现、认可并记录风险的过程。风险识别的目的是确定可能影响系统或组织目标得以实现的事件或情况。一旦风险得以识别，组织应对现有的控制措施(诸如设计特征、人员、过程和系统等)进行识别。风险识别过程包括识别那些可能对目标产生重大影响的风险源、影响范围、事件及其原因和潜在的后果。风险识别方法包括： 基于证据的方法，例如检查表法以及对历史数据的审查； 系统性的团队方法，例如一个专家团队可以借助于一套结构化的提示或问题来系统地识别风险； 归纳推理技术，例如危险与可操作性分析(HAZOP)等。组织可利用各种支持性的技术来提高风险识别工作的准确性和完整性，包括头脑风暴法及德尔菲法等。无论实际采用哪种技术，关键是在整个风险识别过程中要认识到人的因素及组织因素的重要性。因此，偏离预期的人为及组织因素也应被纳入风险识别的过程中。5.3 风险分析5.3.1 概述风险分析能够加深对风险的理解。它为风险评价提供输入，以确定风险是否需要处理以及最适当的处理策略和方法。风险分析要考虑导致风险的原因和风险源、风险后果及其发生的可能性，识别影响后果和可能性的因素，还要考虑现有的风险控制措施及其有效性。然后结合风险发生的可能性及后果来确