1、 1 印行年月 94 年 10 月 本標準非經本局同意不得翻印 中華民國國家標準 CNS 總號 類號 ICS 01.040.03 Z406614889 經濟部標準檢驗局印行 公布日期 修訂公布日期 94 年 1 月 10 日 年月日 (共 12 頁 )風險管理詞彙標準使用指導綱要 Risk management Vocabulary Guideline for use in standards 目 錄 節次 頁次 前 言 - 2 簡 介 - 2 1. 適用範圍 - 3 2. 風險管理 - 4 3. 術語與定義 - 4 3.1 基本術語 - 4 3.2 被風險所影響的人員或組織等有關的術語 -
2、5 3.3 與風險評鑑有關的術語 - 6 3.4 與風險處理和控管有關的術語 - 7 附錄 A(引用標準 ) ISO/IEC GUIDE 51:1999中之術語與定義 - 11 2 CNS 14889, Z 4066 前言 本標準係依據國際標準組織 2002 年發行之 ISO/IEC GUIDE 73 Risk managementvocabulary guideline for use in standards ,不變更技術內容及其標準程式,譯為中文而成中國國家標準者。有關該國際標準之制定經過如下: 國際標準組織 (ISO)係國家標準 機構之全球性聯盟 (ISO 會員機構 )。國際標準之準備
3、工作係透過 ISO 技術委員會正常地執行。任一會員機構對技術委員會已建立之主題有興趣者皆有權利參加該委員會。與 ISO 有聯繫之國際組織,無論是官方或非官方亦可參與此項工作。 ISO 於所有電工標準化之事務方面,與國際電工協會 (IEC)有密切合作。 指引係依據 ISO/IEC 指令第三部分之規則所草擬。 凡為技術委員會接受的指引草案,將分發至各會員 團體表決,至少須經參與投票之會員團體 75贊成始得公布為指引。 在此提出聲明,本指引之要項或許某些部分可能是專利權主題。 ISO 與 IEC 應不對鑑別任何或全部該等專利權負責 ISO/IEC 指引 73 係由負責風險管理專有術語的國際標準組織技
4、術管理委員會工作小組( ISO Technical Management Board Working Group)所編擬。 本指引可能在五年後根據實際經驗作修訂。制定標準的委員會若在執行其條款時遭遇任何困難,歡迎通知 ISO 中央秘書處。 附錄 A 為本指引的引用部分。 簡介 任何形態的事業都會遭逢危機與轉機。有效的管理能使機會實現或使危機解除。 某些行業(如金融業) 裡,風險管理工作把匯率變動當成既有獲利的機會亦有虧損的可能。因此,風險管理程序逐漸被認為是與這些 不確定性的利弊得失有關。本指引就是從利弊得失來處理風險管理的問題。 標準制修訂中如果涵蓋風險管理,須先考慮本指引 所提出的術語定義
5、。本指引之目的,乃提供基本術語,讓世界的各個組織得以建立 共識。但也可能為了因應某些領域的特殊需要,而採用不同於本指引的用語。在這 種情況下,負責的技術委員須確保實際所用的術語不會與本指引或 ISO/IEC GUIDE 51 衝突,且需對讀者說明不同之原因。 在安全領域裡,風險管理的重點在於損害的防範與減輕。 ISO/IEC GUIDE 51 係用於安全方面。 本指引是一般性的且涵蓋風險管理的一般領域。本指引中的術語依下列順序編排: a) 基本術語 風險( risk), 結果(後果)( consequence), 機率(或然率)( probability), 事件( event), 緣由( s
6、ource), 3 CNS 14889, Z 4066 風險準則( risk criteria), 風險管理( risk management), 風險管理系統( risk management system); b) 被風險所影響的人物或組織等相關術語 事件相關者( stakeholder), 利害相關者( interested party), 風險感知( risk perception), 風險溝通( risk communication); c) 與風險評鑑有關的術語 風險評鑑( risk assessment), 風險分析( risk analysis), 風險鑑別( risk ide
7、ntification), 緣由鑑別( source identification), 風險估計( risk estimation), 風險評估( risk evaluation); d) 與風險處理與控管有關的術語 風險處理( risk treatment), 風險控管( risk control), 風險最適化( risk optimization), 風險降低( risk reduction), 減輕( mitigation), 避險( risk avoidance), 風險移轉( risk transfer), 風險投資( risk financing), 風險留置( risk ret
8、ention), 風險接受( risk acceptance), 剩餘風險( residual risk)。 風險管理詞彙標準使用指導綱要 1 適用範圍 本指引為撰寫標準的人員提供風險管理術語之一般 定義。制修訂之標準中如果涵蓋風險管理的議題,本指引便是一般性的最高層次( top-level)文件。 本指引之目的乃希望在描述風險管理的活動與使用 風險管理的術語時,能有更統一的方式。其用意乃使 ISO 與 IEC 的成員能互相瞭解,而非對風險管理的實務提供指導綱要。 ISO/IEC GUIDE 51 係用於安全方面。 備考 1. 標準這個術語在本指引中涵蓋技術報告及指引。 2. 這些標準能專門的
9、處理風險管理的事項,或包括部分風險管理特定條文。 4 CNS 14889, Z 4066 2. 風險管理術語與定義概說 風險管理術語與定義之間的關係如圖 1 至圖 3 所示。 風險管理乃各組織眾多管理程序之一部分。風險管 理依其所適用的情況而定。每個情況下的用語可能不盡相同。 在標準文件中使用與風險管理有關之術語時,務求 其意義在標準文件之前後文中不被誤解。因此,本指引提供每個術語在其定義不相矛盾下可能有的各種意義。 越來越多的組織採用風險管理程序,以便對潛藏的 機會提供最適化的管理。這種情形與 ISO/IEC GUIDE 51 所解釋的風險評鑑程序有所不同,該指引認為風險只有負面的結果,然而
10、,由於企業界在對風險採取更廣泛的 途徑,因此本指引希望能同時處理正負兩種情況。 本指引中的定義在概念上比 ISO/IEC GUIDE 51 中的定義還要廣泛。不過所有與安全有關的定義仍以 ISO/IEC GUIDE 51 為準,這些定義列入附錄 A 中。 備考:本指引中所定義的名詞如果在其他定義中出 現時,會以粗體字印刷,並註明所在章節。在備考中出現的名詞則只以粗體字印刷,但不註明所在章節。 3. 術語與定義 術語如果在其他定義中出現時,會以粗體字印刷, 並註明所在章節。在備考中出現的術語則只以粗體字印刷,但不註明所在章節。 3.1 基本術語 3.1.1 風險( risk) 某 事件 (第 3
11、.1.4 節)發生的 機率 (第 3.1.3 節)與其 結果 (第 3.1.2 節)之組合。 備考 1. 一般只有在至少會有負面結果發生之可能時才會使用風險一詞。 2. 在某些情況下,風險來自於偏離預期結果或事件之可能性。 3. 有關安全的議題請參閱 ISO/IEC GUIDE 51。 3.1.2 結果(後果)( consequence) 事件 (第 3.1.4 節)的結果( outcome)。 備考 1. 一個事件的結果可能不只一個。 2. 結果有好有壞。但是就 安全方面來說,結果一定是負面的,負面的結果稱為後果。 3. 結果可用質或量來表示。 3.1.3 機率(或然率)( probabil
12、ity) 事件 (第 3.1.4 節)可能發生的程度。 備考 1. ISO 3534-1: 1993 第 1.1 節的定義對機率下了數學上的定義:機率為伴隨著隨機事件的實數,其範圍為 0 至 1。可能和長期發生的相對頻率或與認為某個事件未來將發生的程度有關 。如果認為非常有可能發生,其機率則接近於 1。 2. 在描述 風險 時,可用頻率一詞取代機率。 3. 對機率的確信程度可以分成若干種類或等級,如: 5 CNS 14889, Z 4066 極少( rare)、不太可能( unlikely)、中等( moderate)、有可能( likely)、幾乎可確定( almost certain),或
13、 難以置信( incredible) 、不可能( improbable) 、很少發生( remote) 、偶爾( occasional)、可能( probable)、經常( frequent)。 3.1.4 事件( event) 所發生的一組特定情況。 備考 1. 事件的發生可以是確定的也可以是不確定的。 2. 可以發生一次或連續發生。 3. 已知時間內某事件發生的 機率 是可估計的。 3.1.5 緣由(源由)( source) 可能產生 結果 (第 3.1.2 節)的事物或活動。 備考: 在安全術語中,則緣由係指危害 (參閱附錄 A 與 ISO/IEC GUIDE 51:1999)。 3.1
14、.6 風險準則( risk criteria) 評鑑 風險 (第 3.1.1 節)之顯著性時所用的參考術語。 備考: 風險準則可包括相關成本與利益、法令與規章的要 求、社會經濟與環境層面問題、 事件相關者 的關切點、 以及評鑑時的優先順序與其他的輸入事項。 3.1.7 風險管理( risk management) 藉由協調各項活動以指導與控管組織之有關 風險 (第 3.1.1 節)。 備考:風險管理通常包括 風險評鑑 、 風險處理 、 風險接受 及 風險溝通 。 3.1.8 風險管理系統( risk management system) 組織管理系統中,與管理 風險 (第 3.1.1 節)有關
15、的要項之組合。 備考 1. 管理系統要項可包括策略規劃、決策及其他處理風險的過程。 2. 組織的風險管理系統反映出組織的文化。 3.2 受風險影響的人員或組織之有關術語 3.2.1 事件相關者( stakeholder) 可影響 風險 (第 3.1.1 節)、受其所影響、抑或自認會受其影響的個人、團體或組織。 備考 1. 決策者亦為事件相關者。 2. 事件相關者一詞其含意包括 利害相關者 ( CNS 12680 中所定義),但範圍較廣。 3.2.2 利害相關者( interested party) 與組織的績效或成就有利害關係的個人或團體。 例:顧客、所有人、組織內的人、供應者、銀行業者、工會
16、、合作伙伴或社會。 備考:所謂團體可以是一個組織、組織的一部分、或一個以上的組織。 CNS 12680 第 3.3.7 節定義 6 CNS 14889, Z 4066 3.2.3 風險感知( risk perception) 事件相關者 (第 3.2.1 節)基於價值觀或關切點而看待 風險 (第 3.1.1 節)之方式。 備考 1. 風險感知取決於事件相關者的需求、議題及知識。 2. 風險感知與客觀資料可能有所差異。 3.2.4 風險溝通( risk communication) 決策者與其他 事件相關者 (第 3.2.1 節)交換或共享 風險 (第 3.1.1 節)相關資訊。 備考:此處的資
17、訊可能與風險的存在、性質、形式、 機率 、嚴重性、接受度、處理或其他方面等有關。 3.3 與風險評鑑之有關術語 3.3.1 風險評鑑( risk assessment) 風險分析 (第 3.3.2 節)與 風險評估 (第 3.3.6 節)的整個過程。 3.3.2 風險分析( risk analysis) 系統性的使用資訊,以 鑑別緣由 (第 3.1.5 節)與估計 風險 (第 3.1.1 節)。 備考 1. 風險分析對 風險評估 、 風險處理 及 風險接受 提供基礎。 2. 此處的資訊 可包括歷史資料、理論分析、告知意見及 事件相關者 的關切點。 3. 在安全術語中風險分析請參閱 ISO/IE
18、C GUIDE 51。 3.3.3 風險鑑別( risk identification) 尋找、列出及表明 風險 (第 3.1.1 節)要項之過程。 備考 1. 要項可包括 緣由 或危害、 事件 、 結果 及 機率 。 2. 風險 鑑別 也能反映 事件相關者 的關切點。 3.3.4 緣由鑑別( source identification) 尋找、列出及表明 緣由 (第 3.1.5 節)要項之過程。 備考: 在安全術語中, 緣由鑑別 被稱為危害鑑別(請參閱 ISO/IEC GUIDE 51)。 3.3.5 風險估計( risk estimation) 用來給予某風險 (第 3.1.1 節)的機率
19、(第 3.1.3 節)與結果(第 3.1.2 節 )之數值時,所用 的過程。 備考: 風險估計 可考量 風險評估 所適用之成本、利益、 事件相關者 的關切點及其他變數。 3.3.6 風險評估( risk evaluation) 把預估的 風險 (第 3.1.1 節)和已知的 風險準則 (第 3.1.6 節)進行比較的程序,以決定風險的顯著性。 備考 1. 風險評估可用來協助決定是要接受或處理風險。 2. 請參閱 ISO/IEC GUIDE 51 中有關安全事務的風險評估說明。 把預估計的 風險 (第 3.1.1 節)和已知的 風險準則 (第 3.1.6 節)進行比較 7 CNS 14889,
20、Z 4066 的過程,以決定風險的顯著性。 備考 1. 風險評估可用來協助決定接受風險或處理風險。 2. 在安全術語中的風險評估請參閱 ISO/IEC GUIDE 51。 3.4 與風險處理和管制之有關術語 3.4.1 風險處理( risk treatment) 選擇與執行措施的過程藉以修正 風險 (第 3.1.1 節)。 備考 1. 風險處理這個術語有時也被用在措施本身上。 2. 風險處理措施可包括 風險 之規避、最適化、轉移或留置風險。 3.4.2 風險控管( risk control) 執行 風險管理 (第 3.1.7 節)決策的措施。 備考:風險控管可能牽涉到監控、重新評估及遵守決策等
21、事項。 3.4.3 風險最適化( risk optimization) 與 風險 (第 3.1.1 節)有關的過程,藉以使負面 後果 (第 3.1.2 節)與其 機率 (第 3.1.3 節)減至最低,使正面 結果 與其 機率 (第 3.1.3 節)增至最高。 備考 1. 在安全術語中,風險最適化的重點在風險降低。 2. 風險最適化視 風險準則 (包括成本及法律要求)而定。 3. 因 風險控管 而伴隨之風險可予以考量。 3.4.4 風險降低( risk reduction) 為減少與 風險 (第 3.1.1 節)有關的 機率 (第 3.1.3 節)、負面 後果 (第 3.1.2節)或以上兩者而採
22、取的措施。 3.4.5 減輕( mitigation) 抑制特定 事件 (第 3.1.4 節)之任何負面 後果 (第 3.1.2 節)的措施。 3.4.6 風險規避( risk avoidance) 針對風險情況採取避免涉入的決策或撤出的措施。 備考:可根據 風險評估 結果採取決策。 3.4.7 風險移轉( risk transfer) 針對 風險 (第 3.1.1 節)與另一方分擔損失或分享利益。 備考 1. 法律或規章的要求可限制、禁止或指定某些風險的移轉措施。 2. 可藉由保險或其他協議移轉風險。 3. 風險移轉可能引發新的風險或改變既有的風險。 4. 緣由 位置的改變不算風險移轉。 3
23、.4.8 風險資金提供( risk financing) 提供資金以便執行 風險處理 (第 3.4.1 節)工作所需成本與有關成本。 備考: 在某些行業中風險資金提供,專指與 風險 有關的財務結果所投入之資金。 3.4.9 風險留置( risk retention) 接受特定 風險 (第 3.1.1 節)所帶來的損失承擔或利益獲得。 備考 1. 風險留置包括接受尚未認定的風險。 8 CNS 14889, Z 4066 2. 風險留置不包括保險或其他移轉方式的處理措施。 3. 對 風險準則 之接受與依賴程度可能有所差異。 3.4.10 風險接受( risk acceptance) 決定接受某 風
24、險 (第 3.1.1 節)。 備考 1. 採用接受這個動詞是傳達辭典上對接受的基本意義。 2. 風險接受 依 風險準則 而定。 3.4.11 剩餘風險( residual risk) 風險處理 (第 3.4.1 節)後所剩餘的 風險 (第 3.1.1 節)。 備考:對安全有關的應用請參閱 ISO/IEC GUIDE 51。 9 CNS 14889, Z 4066 圖 1 根據各術語應用在風險方面的定義,顯示各術語間的關係 風險(第 3.1.1節) 機率(第 3.1.3節) 事件(第 3.1.4節) 結果(第 3.1.2節) Key 關鍵( Key) A B C B組及 C 組術語用在 A 組術
25、語的定義中,或用在 A 組術語定義的註解中。 圖 2 根據各術語應用在風險管理方面的定義,顯示各術語間的關係 風險管理(第 3.1.7節) 風險評鑑(第 3.3.1節) 風險分析(第 3.3.2節) 來源識別(第 3.3.4節) 風險估計(第 3.3.5節) 風險評估(第 3.3.6節) 風險處理(第 3.4.1節) 風險規避(第 3.4.6節) 風險最適化(第 3.4.3節) 風險移轉(第 3.4.7節) 風險留置(第 3.4.9節) 風險接受(第 3.4.10節) 風險溝通(第 3.2.4節) 關鍵( Key) A B C B 組及 C 組術語用在 A 組術語的定義中,或用在 A 組術語定
26、義的註解中。 10 CNS 14889, Z 4066 圖 3 根據各名詞應用在關係人事件相關者方面的定義,顯示各名詞間的關係 事件相關者(第 3.2.1節) 利害相關者(第 3.2.2節)關鍵( Key) A B C B 組及 C 組名詞用在 A 組名詞的定義中,或用在 A 組名詞定義的註解中。 11 CNS 14889, Z 4066 附錄 A (引用標準) ISO/IEC GUIDE 51: 1999 中之術語與定義 以下術語與定義可適用於所有與安全有關的風險管理。 每個術語在 ISO/IEC GUIDE 51: 1999 中的原始編號以括弧標出。 A.1 (第 3.1 節)安全( sa
27、fety) 免於無法接受的風險。 備考:從 ISO/IEC GUIDE 2: 1996 第 2.5 節的定義改寫。 A.2 (第 3.2 節)風險( risk) 損害 發生的機率與該 損害 的嚴重性之組合。 A.3 (第 3.3 節)損害( harm) 災害 身體傷害或健康造成損傷,或者對財產或環境造成破壞。 備考: 災害這個術語可明訂其性質,以便決定其根源,或可能造成損害的性質(例如電擊災害、撞擊災害、切割災害、有毒物質災害、火災、水災等)。 A.4 (第 3.4 節)損害事件( harmful event) 危害情形造成 損害 的事件。 A.5 (第 3.5 節)危害( hazard) 損
28、害的潛在緣由。 備考:危害這個術語可加以修飾,以便決定其根源,或可能造成損害的性質(例如電擊危害、撞擊危害、切割危害、有毒物質危害、火災危害、溺水危害)。 A.6 (第 3.6 節)危害情形( hazardous situation) 人員、財產或環境曝露在一項或多項危害的情況。 A.7 (第 3.7 節)可容忍的風險( tolerable risk) 根據當前社會價值觀所形成之環境下,可接受之風險。 備考:請參閱 ISO/IEC GUIDE 51: 1999 第 5.3 節。 A.8 (第 3.8 節)保護措施( protective measure) 用來降低風險的方法。 備考:保護措施包
29、括以固有安全設計、保護設備、人員防護設備、使用於安裝資訊以及訓練等降低風險之方式。 A.9 (第 3.9 節)剩餘風險( residual risk) 採取保護措施後仍剩餘的風險。 A.10 (第 3.10 節)風險分析( risk analysis) 以有系統的方式利用可得之資訊,以鑑別危害並估計風險。 A.11 (第 3.11 節)風險評估( risk evaluation) 根據 風險分析 ,以判定是否已達到可容忍 風險 的程序。 12 CNS 14889, Z 4066 A.12 (第 3.12 節)風險評鑑( risk assessment) 由 風險分析 與 風險評估 組成的整個過程。 A.13 (第 3.13 節)預期使用( intended use) 根據供應者所提供的資訊,對產品、過程或服務之使用。 A.14 (第 3.14 節)依常理可預見的不當使用( reasonably foreseeable misuse) 未依供應者所預期之用途方式而使用產品、過程或服務,其原因可能來自簡單可預測的人類行為。