《風險管理-原則與指南》標準使用了以下的術語和定義。

1. 風險 risk

不確定性對目標的影響。

注1.  影響可能偏離預期——正面的和/或負面的。

注2.  目標可以有不同的方面（如財務、健康安全以及環(huán)境目標），并應用于不同的層次（如戰(zhàn)略、組織整體、項目、產(chǎn)品和過程）。

注3.   風險常具有潛在事件和后果或二者結(jié)合的特征。

注4.   風險經(jīng)常用一個事件的后果（包括情況變化）和對應的發(fā)生可能性這二者的結(jié)合來表示。

注5.   不確定性是缺乏或者部分缺乏對一個事件、后果或發(fā)生可能性的相關信息、了解或認識的狀態(tài)。

[ ISO Guide 73:2009，definition 1.1]

2. 風險管理 risk management

   針對風險所采取的智慧和控制組織的協(xié)調(diào)活動。

[ ISO Guide 73:2009，definition 2.1]

3. 風險管理框架 risk management framework

  為設計、實施、監(jiān)測、評審和持續(xù)改進整個組織的風險管理而提供基礎和組織安排的一組構(gòu)成。

注1. 基礎包括方針、目標以及對管理風險的授權(quán)與承諾。

注2.  組織的安排包括計劃、相互關系、責任、資源、過程和活動。

注3.  風險管理框架被嵌入到組織的所有戰(zhàn)略、運營方針及實踐中。

注4.   [ ISO Guide 73:2009，definition 2.1.1]

4. 風險管理方針 risk management policy

  一個組織在風險管理方面總的意愿和方向的陳述。

[ ISO Guide 73:2009，definition 2.1.2]

5. 風險態(tài)度 risk attitude

  組組在評估及追求、保留、承擔或規(guī)避風險方面的方式和態(tài)度。

  [ ISO Guide 73:2009，definition 3.7.1.1]

6. 風險管理計劃 risk management plan

  在風險管理框架中，用于表述管理風險的方法、管理構(gòu)成和資源的策劃。

注1. 管理構(gòu)成一般包括程序、實施、職責分配、活動的順序和時間安排。

注2.  風險管理計劃可被應用到特定產(chǎn)品、過程和項目、組織的部分或整體。

 [ ISO Guide 73:2009，definition 2.1.3]

7. 風險所有者 risk owner

  對管理某個風險負有責任和權(quán)力的個人或?qū)嶓w。

[ ISO Guide 73:2009，definition 3.5.1.5]

8. 風險管理過程 risk management process

  將管理方針、程序和操作方法系統(tǒng)地應用到溝通和咨詢、建立環(huán)境，以及識別、分析、評價、應對、監(jiān)測和評審風險的活動中。

  [ ISO Guide 73:2009，definition 3.1]

9. 建立環(huán)境 establishing the context

  在管理風險和為風險管理方針設定范圍及風險準則時，設定被考慮的外部和內(nèi)部的參數(shù)的過程。

[ ISO Guide 73:2009，definition 3.3.1]

10. 外部環(huán)境 external context

  組織追求實現(xiàn)其目標所處的外部環(huán)境。

注，外部環(huán)境包括：

—  外部、社會、政治、法律、法規(guī)、金融、技術、經(jīng)濟、自然環(huán)境和競爭環(huán)境，無論是國際的、國內(nèi)的、區(qū)域的或本地的；

—  對組織目標有影響的關鍵驅(qū)動因子和趨勢；‘

—  與外部利益相關方的關系，以及他們的感知和價值觀。

[ ISO Guide 73:2009，definition 3.3.1.1]

11. 內(nèi)部環(huán)境 internal context

  組織追求實現(xiàn)其目標所處的內(nèi)部環(huán)境。

注，內(nèi)部環(huán)境包括：

• 治理、組織結(jié)構(gòu)、角色、責任；
• 方針、目標，以及實現(xiàn)它們的戰(zhàn)略；
• 能力，對資源和知識的理解（如資本、時間、人員、過程、系統(tǒng)、技術）；
• 信息系統(tǒng)、信息流、決策過程（包括證實的和非正式的）；
• 與內(nèi)部利益相關方的關系，以及他們感知和價值觀；
• 組織的文化；
• 組織采用的標準、指南和模型；

 契約關系的形式和程度。

[ ISO Guide 73:2009，definition 3.3.1.2]

12. 溝通和咨詢 communication and consultation

  組織關于管理風險所實施的提供、共享、獲取信息，以及與利益相關方從事對話的持續(xù)的和往復的過程。

注1. 信息與管理風險的客觀存在、性質(zhì)、形式、可能性、重要性、評價、可接受性、應對相關。

注2. 咨詢是組織與其利益相關方之間就是某一議題決策的優(yōu)先級或確定某個議題的方向而進行正式溝通那個的雙向過程。咨詢是：

—   通過影響力而不是權(quán)力對決策產(chǎn)生影響的一個過程；

—   對決策的一個輸入，而不是聯(lián)合決策。

   [ ISO Guide 73:2009，definition 3.2.1]

13. 利益相關方 stakeholder

  可能影響、被影響或感覺其自身可能被某一項決定或活動所影響的個人或組織。

注：決策者能夠是一個利益相關方。

    [ ISO Guide 73:2009，definition 3.2.1.1]

14. 風險評估 risk assessment

  風險識別、風險分析和風險評價的全過程。

[ ISO Guide 73:2009，definition 3.4.1]

15. 風險識別 risk identification

  發(fā)現(xiàn)、承認和表述風險的過程

注1. 風險是被包括對風險源、風險事件、風險原因及其潛在后果的識別。

注2. 風險是被可包括歷史數(shù)據(jù)、理論分析、有見識的意見、專家的意見，以及利益相關方的需求。

    [ ISO Guide 73:2009，definition 3.5.1]

16. 風險源 risk source

  對導致風險具有內(nèi)在可能性的元素或元素的結(jié)合。

注：風險源可以是有形的或無形的。

     [ ISO Guide 73:2009，definition 3.5.1.2]

17. 事件 event

  一組特定情況的發(fā)生或變化。

注1.   一個事件可以是一個或多個的發(fā)生，并且可以有多個原因。

注2.   一個事件可以由未發(fā)生的事情組成。

注3.   一個事件有時被稱為“不良事件”或“事故”

注4.   一個沒有后果的事件也可以被稱為“臨近過失”、“不良事件”、“臨近傷害”或“最后通牒”。

   [ ISO Guide 73:2009，definition 3.5.1.3]

18. 后果 consequence

      影響目標的一個事件的結(jié)果。

注1.    一個事件可能導致多種后果。

注2.    一個后果可能是確定的或不確定的，且對目標可能有正面的或負面的影響。

注3.   后果能夠被定性或定量表示

注4.  通過連鎖效應可以使最初的后果升級。

   [ ISO Guide 73:2009，definition 3.6.1.3]

19. 可能性 likelihood

  某事發(fā)生的機會。

注1.  在風險管理的專用術語中，無論如何定義、測量或以目標的、學科的、定性的、定量的確定，還是用一般詞匯或數(shù)學上的描述（如概率或在給定時間階段的頻率），“可能性”一詞被指定用于某事發(fā)生的機會。

注2.   “可能性”這一英語詞匯在其他語言中沒有直接對應的詞匯；作為代替，經(jīng)常使用“概率”一詞。然而，在英語中，“概率”一詞經(jīng)常作為范圍較窄的數(shù)學詞匯。因此，在風險管理專業(yè)詞匯中，使用“可能性”一詞時，應注意它與許多語言中使用的“頻率”一詞具有相同的內(nèi)涵解釋，而不局限于英語中“概率”一詞的意義。

      [ ISO Guide 73:2009，definition 3.6.1.1]

20. 風險狀況  risk profile

  對任何一組風險的描述。

注：這組風風險可以包含那些與整個組織、組織的一部分或其他方面有關的風險。

  [ ISO Guide 73:2009，definition 3.8.2.5]

21. 風險分析 risk analysis

  理解風險本性和確定風險等級的過程。

注1.  風險分析為風險評價和風險應對決策提供基礎。

注2.   風險分析包括風險估計。

  [ ISO Guide 73:2009，definition 3.6.1]

22. 風險準則 risk criteria

  評價風險重要性的參照依據(jù)。

注1. 風險準則基于組織的目標、外部環(huán)境和內(nèi)部環(huán)境。

注2.   風險準則可以來自標準、法律、政策和其他要求。

   [ ISO Guide 73:2009，definition 3.3.1.3]

23. 風險等級 level of risk

  以結(jié)果及其可能性的結(jié)合表示的一個風險或組合風險的哦大小或量級。

  [ ISO Guide 73:2009，definition 3.6.1.8]

24. 風險評價 risk evaluation

  把風險分析結(jié)果與風險準則相比，已決定風險和/或其大小是否是可接受或可容忍的過程。

注：風險評價有助于風險應對的決策。

[ ISO Guide 73:2009，definition 3.7.1]

 25. 風險應對 risk treatment

  改變風險的過程。

注1.   風險應對包括：

—  規(guī)避風險，通過決定不開始或不繼續(xù)導致風險的活動；

—  為尋求機會而承擔或增大風險；

—  消除風險源；

—  改變可能性；

—  改變后果；

與另外一方或多方分擔風險（包括合同和風險融資）；

—以正式的決定保留風險；

注2.  對有負面結(jié)果的風險應對有時被稱為“風險緩釋”、“風險消除”、“風險預防”或風險降低“。

注3.   風險應對可能造成新的風險，或改變現(xiàn)存的風險。

  [ ISO Guide 73:2009，definition 3.8.1]

26. 控制 control

  用于改變風險的措施。

注1.  控制包括任何程序、政策、實踐、或其他改變風險的活動。

注2.   控制并不總是對預期或假定的修改效果產(chǎn)生影響。

[ ISO Guide 73:2009，definition 3.8.1.1]

27. 剩余風險 residual risk

  風險應對后剩下的風險。

注1.  剩余風險可能包括未識別的風險。

注2.  剩余風險也可以認為是”保留的風險“。

[ ISO Guide 73:2009，definition 3.8.1.6]

28. 監(jiān)控 monitoring

  對某種狀態(tài)進行持續(xù)的檢查、監(jiān)督，審慎觀察或決定，以識別其與所要求或期望的績效水平之間的變化。

注：監(jiān)控可應用于風險管理框架、風險管理過程、風險或控制。

   [ ISO Guide 73:2009，definition 3.8.2.1]

29. 評審 reviewing

  為確定主題事項達到規(guī)定目標的適宜性、充分性和有效性進行的活動。

注：評審可應用于風險管理框架、風險管理過程、風險或控制。