目录 前言 引言 1范围 2规范性引用文件 3术语和定义 4原则 5框架 5.1总则 5.2领导作用与承诺 5.3整合 5.4设计 5.4.1了解组织及其环境 5.4.2风险管理承诺的阐述 5.4.3组织岗位、权限、职责和责任的分配 5.4.4资源分配 5.4.5沟通与协商的建立 5.5实施 5.6评价 5.7改进 5.7.1适应 5.7.2持续改进 6过程 6.1总则 6.2沟通与协商 6.3范围、环境和准则 6.3.1概述 6.3.2范围的确定 6.3.3外部和内部环境 6.3.4风险准则的确定 6.4风险评估 6.4.1概述 6.4.2风险识别 6.4.3风险分析 6.4.4风险评价 6.5风险处理 6.5.1概述 6.5.2风险处理方案的选择 6.5.3准备和实施风险处置计划 6.6监测与评审 6.7记录和报告 参考文献 前言 国际标准化组织（ISO）是由各国标准化机构（ISO成员团体）组成的世界性的联合会。制定国际标准 的工作通常由ISO的技术委员会完成。各成员团体若对某技术委员会确定的项目感兴趣，均有权参加该委 员会的工作。与ISO保持联系的各国际组织（官方的或非官方的）也可参加有关工作。ISO与国际电工委员 会（IEC）在电工技术标准化方面保持密切合作的关系。 制定及维护本标准依据的是ISO/IEC导则第一部分的程序。特别应指出的是不同类型的ISO标准所需 的批准准则不同。本标准是根据ISO/IEC导则第二部分的规则起草（见www.iso/directives）。 本标准中的某些内容有可能涉及一些专利权问题，对此应引起注意，ISO不负责识别任何这样的专利权 问题。在制定标准期间识别的任何专利权的细节将纳入引言和/或收到的ISO专利声明表中。（见 www.iso/patents）。 本标准中使用的任何商标名称是为了方便用户参考，并不构成背书。 关于ISO合格评定的特定术语和表达解释，以及 ISO遵循技术性贸易壁垒(TBT)中的WTO原则的信息， 见以下URL：www.iso/iso/foreword.html. 本标准由ISO/TC 262风险管理技术委员会编制。 通过技术修订，第二版取消并取代了第一个版本（ISO31000：2009年）。 与上一版本相比，主要变化如下： ——评审风险管理的原则，这是其成功的关键准则； ——从组织的治理开始，突出最高管理层的领导作用和风险管理的整合； ——更加强调风险管理的迭代性质，指出新的经验、知识和分析可导致对过程的每个阶段的过程要素、 行动和控制进行修订； ——精简内容，更关注保持一个开放的系统模型以适应多个需要和环境。 引言 本标准供那些在组织中通过管理风险、做出决策、确定和实现目标以及提高绩效来创造和保持价值的 人使用。 各种类型和规模的组织都面临着外部和内部的因素和影响，这些因素和影响使它们不确定是否会实现 其目标。 管理风险是迭代的，并帮助组织制定战略、实现目标和做出明智的决定。 管理风险是治理和领导的一部分，是组织如何在各个层面管理的基础。有助于管理体制的完善。 管理风险是与组织相关的所有活动的一部分，包括与利益相关方的互动。 管理风险考虑组织的外部和内部环境，包括人类行为和文化因素。 风险管理是基于本标准中概述的原则、框架和过程，如图1所示。这些组件可能已经全部或部分存在 于组织中，然而，它们可能需要被调整或改进，以便管理风险是高效、有效和一致的。 图1.原则、构架和过程 风险管理指南 1范围 本标准提供了管理组织面临的风险的指导方针。这些准则的应用可以定制给任何组织及其环境。 本标准提供了一种管理任何类型风险的通用方法，而不是行业或部门特定的。 本标准可以在组织的整个生命周期中使用，并且可以应用于任何活动，包括所有级别的决策。 2规范性引用文件 本标准无规范引用文件 3术语和定义 下列术语和定义适用于本标准。 ISO和IEC在下列地址维护适用的术语和定义数据库： —ISO在线浏览平台：https://www.iso/obp —IEC电子维护平台：http://www.electropedia 3.1风险 不确定性对目标的影响 注1：影响是偏离预期的。它可以是积极的、消极的或两者兼而有之，可以解决、创造或导致机会和威 胁。 注2：目标可以有不同的方面和类别，并且可以在不同的层次上应用。 注3：风险通常用风险源（3.4）、可能事件（3.5）、其后果（3.6）及其可能性（3.7）来表示。 3.2风险管理 组织指导和控制风险（3.1）的协调活动 3.3利益相关方 能够影响决策或活动、受决策或活动影响，或感觉自身受到决策或活动影响的个人或组织（3.1）。 注1：“利益相关方”一词可用作“相