本文件为各种情况下风险评估技术的选择和应用提供了指导。这些技术用于支持不确定性情景下的决策，提供有关特定风险的信息，并作为风险管理过程的一部分。本文件提供了一系列技术的总结，并参考了对这些技术进行更详细描述的其他文件。

ICS 03.100.01
CCS A 02
中华人民共和国国家标准
GB/T27921——2023/IEC31010:2019代替GB/T27921—2011
风险管理
风险评估技术
Risk management-Risk assessment techniques(IEC 31010:2019,IDT)
2023-08-06发布
3醇清薄贵最
国家市场监督管理总局下载标准就来标准下载网
国家标准化管理委员会
2023-08-06实施
2规范性引用文件
3术语和定义
4核心概念
4.1不确定性
5风险评估技术的使用
风险评估的实施
制定风险评估计划
确定风险评估目的和范围
理解背景
利益相关者的参与
确定目标
6.1.5考虑人员、组织和社会因素6.1.6
检查决策准则
6.2信息管理和模型开发
收集信息
分析数据
开发和应用模型
6.3风险评估技术的应用
识别风险
6.3.3确定风险的来源、原因和驱动因素6.3.4
调查现存控制措施的有效性
理解后果和可能性
分析相互和依赖关系
理解风险度量
6.4检查分析结果
6.4.1核查和验证分析结果
不确定性和敏感度分析
GB/T27921—2023/IEC31010:2019V
GB/T27921—2023/IEC31010:20196.4.3
监督和检查
6.5使用评估结果支持决策
6.5.2针对风险重要性的决策
6.5.3选择选项的决策
6.6记录和报告风险评估过程及结果7选择风险评估技术
7.1概述
7.2选择技术
附录A（资料性)技术分类
A.1技术分类简介
A.2技术分类的应用
A.3ISO31000过程中技术的使用
附录B（资料性）技术说明
征求利益相关者和专家意见的技术B.1.1
头脑风暴
德尔菲技术
名义小组技术
结构化或半结构化访谈
调查法
B.2风险识别的技术
B.2.2检查表、分层分类法
故障模式和影响分析(FMEA）、故障模式、影响和危害性分析(FMECA)B.2.3
B.2.4危险和可操作性(HAZOP）分析B.2.5情景分析
结构化假设分析技术(SWIFT)
B.3确定风险源、原因和驱动因素的技术B.3.1概述
B.3.2辛迪尼克(Cindynic)方法
B.3.3石川分析（鱼骨)法
B.4控制分析技术
B.4.2蝶形图分析，
B.4.3危害分析和关键控制点法(HACCP)B.4.4
保护层分析法(LOPA)
B.5理解后果和可能性的技术
贝叶斯分析，
贝叶斯网络和影响图
业务影响分析(BIA）
因果分析（CCA.）
事件树分析(ETA）
故障树分析（FTA），
人因可靠性分析(HRA)
马尔可夫分析
蒙特卡罗模拟分析
隐私影响分析（PIA）/数据保护影响分析（DPIA）B.6分析依赖和交互的技术
因果映射，
交叉影响分析
B.7提供风险度量的技术
B.7.1毒理学风险评估.
风险价值（VaR）
条件风险价值（CVaR）或损失期望值(ES）B.8评价风险重要性技术
总论．
GB/T 27921—2023/IEC31010:201948
最低合理可行（ALARP）和在合理可行范围内（SFAIRP)频率-数量(F-N)图
帕累托图。
以可靠性为中心的维修(RCM)
风险指数
选项之间进行选择的技术
概述，
成本/收益分析(CBA)
决策树分析
博奔论
多标准分析(MCA)
记录和报告技术
参考文献
风险登记表
后果/可能性矩阵(风险矩阵或热图)S曲线
......................
GB/T279212023/IEC31010:2019
本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。
本文件代替GB/T27921—2011《风险管理风险评估技术》，与GB/T27921-2011相比，除结构调整和编辑性改动外，主要技术变化如下：a）删除了“风险评估概念”一章（见2011年版的第4章）；b）增加了“核心概念”一章（见第4章）；c）增加了“制定风险评估计划”“信息管理和模型开发”等内容（见6.1、6.2)，并对“风险评估技术的应用”做了更加详尽的说明（见6.3，附录B);d）删除了“风险评估技术的比较”（见2011年版的附录A);e）增加了风险评估技术的分类和应用（见附录A)。本文件等同采用IEC31010:2019《风险管理风险评估技术》。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国风险管理标准化技术委员会(SAC/TC310)提出并归口。本文件起草单位：广东坚美铝型材厂(集团)有限公司、中国标准化研究院、第一会达(北京)数据技术有限公司、安徽华普检测技术有限公司、中国核能电力股份有限公司、浙江吉诚织造有限公司、江苏核电有限公司、工业和信息化部电子第五研究所、中共中央党校(国家行政学院)、北京大学、达信评(北京）风险管理咨询有限公司、国家科技风险开发事业中心、中国矿业大学（北京）、中国计量大学本文件主要起草人：陆小伟、高晓红、刘剑、徐涵、张鹏、华春翔、孙友文、施颖、吕多加、崔艳武、游志斌文刘新立、王雷、王兰、张杰军、周玉焕、徐龙辉、宾建伟、刘奕宏、于敏、纪春阳、张月义、陶海、谢雪萍。本文件所代替文件的历次版本发布情况为：2011年首次发布为GB/T27921—2011—本次为第一次修订。
GB/T27921—2023/IEC31010:2019引言
本文件提供了各种风险评估技术的选择和应用指导，这些技术可用于帮助改进考虑不确定性的方式，并帮助理解风险。
风险评估技术可用于以下场景：a）需要进一步了解存在什么风险或特定风险的源头；b）在决策中，对有风险的选项进行比较或优化时；c）在需要采取措施应对风险时。在ISO31000中所述的识别、分析和评价风险的风险评估步骤中，以及在需要了解不确定性及其影响时，通常使用这些风险评估技术。本文件中描述的风险评估技术，可以在广泛的场景中使用，但大多数技术起源于技术领域。有些技术概念相似，但名称和方法不同，反映了它们在不同领域的发展历史。技术随着时间的推移而不断发展，许多技术可以在其初始应用领域之外的广泛情形下使用。技术可以以新的方式进行调整、组合和应用，或者扩展，以满足当前和未来的需求。本文件介绍了所选择的风险评估技术，并比较了其可能的应用、优势和局限。它还提供了更为详细的信息来源作为参考。
本文件的潜在使用者是：
a）参与评估或管理风险的任何人；b）参与制定指南的人，该指南规定了如何在特定情况下评估风险；c）需要在存在不确定性的情况下做出决策的人员，包括委托或评价风险评估的人员；
需要了解评估结果的人；
一一以及那些必须选择评估技术以满足特定需求的人。需要为合规或一致性目的进行风险评估的组织，将受益于使用适当正式的和标准化的风险评估技术。
1范围
GB/T27921—2023/IEC31010:2019风险管理风险评估技术
本文件为各种情况下风险评估技术的选择和应用提供了指导。这些技术用于支持不确定性情景下的决策，提供有关特定风险的信息，并作为风险管理过程的一部分。本文件提供了一系列技术的总结，并参考了对这些技术进行更详细描述的其他文件。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。
GB/T23694—2013风险管理术语(ISOGuide73:2009,IDT)GB/T24353—2022风险管理指南(ISO31000;2018,IDT)3术语和定义
GB/T24353一2022、GB/T23694-2013界定的以及下列术语和定义适用于本文件。3.1
可能性likelihood
某件事发生的概率。
注1：在风险管理术语中，无论是以客观的或主观的、定性或定量的方式来定义、度量或确定，还是用一般词汇或数学术语来描述(如概率，或一定时间内的频率}可能性都用来表示某件事发生的概率。注2：“可能性(likelihood)\这一英语词汇在一些语言中没有直接与之对应的词汇，因此经常用“概率(probability)\这个词代替。不过，在英语中，“概率”常常被狭义地理解为一个数学词汇。因此，在风险管理术语中，“可能性”有着与许多语言中使用的“概率”一词相同的解释，而不局限于英语中“概率”一词的意义，[来源：GB/T24353—2022,3.7]
机会opportunity
预期有利于目标实现的情形。
注1：机会是一种积极的情景，在这种情景下，很可能获得收益，并且对其拥有相当程度的控制。注2：一方的机会可能对另一方构成威胁。注3：抓住或不抓住机会都是风险的来源。3.3
概率probability
对事件发生几率的度量，用0到1之间的数字表示。0表示不可能发生，1表示确定发生。注：见定义3.1的注2。
风险驱动因素risk driver;driver of risk对风险有重大影响的因素。
GB/T27921—2023/IEC31010:20193.5
威胁threat
危险、伤害或其他不良结果的潜在来源。注1：威胁是一种消极的情景，在这种情景下，很可能会损失，并且对其控制相对较少。注2:对一方的威胁可能对另一方构成机会。4核心概念
4.1不确定性
不确定性是一个包含许多基本概念的术语。各界已经对于不确定性的分类做了许多尝试，且将继续完善。不确定性的类别包括：一一些现象固有的可变性造成的不确定性，这种不确定性不能通过进一步的研究而降低。例如，掷殷子(有时也称为“随机不确定性”）；一由于缺乏知识而造成的不确定性，这种不确定性可以通过收集更多数据、改进模型、改进抽样技术等方法来降低(有时也称为“认知不确定性”）。其他常见的不确定性类型包括：一语言不确定性，指的是口语中固有的模糊性和歧义性；一决策不确定性，与风险管理策略尤其相关，指的是识别与价值体系、专业判断、企业价值观和社会规范相关的不确定性。
不确定性的例子包括：
假设条件是否真实的不确定性，包括对人或系统可能行为的假设决策所基于的各项参数的可变性：一用来预测未来的模型在有效性或准确性方面的不确定性：事件(包括环境和条件的改变)的发生、特征和结果的不确定：一与破坏性事件相关的不确定性：一系统性问题的不确定性结果，例如缺少合格员工，此类不确定性可能带来无法清晰定义的广泛影响；
一一认识到不确定性但没有完全理解时感受到的知识缺乏；-不可预测性；
由于人类思维的局限性产生的不确定性，例如，理解复杂数据、预测存在长期影响的情况、作出无偏见的决策等方面。
不是所有的不确定性都能被理解，不确定性的重要性可能很难或不可能被定义或影响。但是，如果认识到在特定情景下存在不确定性，就可以建立预警系统，以主动和及时地发现变化，并作出安排，建立应变能力，以应付意外情况。
4.2风险
风险包括4.1所描述的所有形式的不确定性对目标的影响。不确定性可能带来积极的和/或消极的后果。
风险通常以风险源、潜在事件、其后果和可能性来描述。一个事件可能有多种原因并导致多种后果。后果可能具有多种离散值、或是连续变量、或者未知。起初，后果可能无法识别或度量，但可能会随着时间的推移而累积。风险的来源包括固有的可变性，或与一系列很难预测的因素相关的不确定性，包括人的行为、组织结构、社会影响等。因此，风险不能总是很容易地作为一组事件、其后果和可能性进行列举。
GB/T27921—2023/IEC31010:2019风险评估技术旨在帮助人们了解这种广泛、复杂和多样背景下的不确定性和相关风险，以支持明智的决策和行动。
5风险评估技术的使用
本文件中介绍的风险评估技术，能够帮助人们理解不确定性及其对决策和行动的影响。ISO31000描述了风险管理的原则，以及有助于管理风险的基础和组织安排。它详述了一个过程，使风险能够根据作为过程的一部分而建立的准则，被识别、理解和调整。风险评估技术可用于这些结构化的方法中，包括建立环境、评估和应对风险，以及持续监督、检查、沟通和咨询、记录和报告。该过程如附录A的图A.1所示，图中还显示了可在过程中应用的技术示例。在ISO31000的过程中，风险评估包括风险识别、风险分析，并利用从分析中获得的理解，通过得出风险对于组织目标和绩效阈值的相对重要性的结论，来评价风险。这一过程为决定是否需要应对措施，以及应对措施和旨在应对风险的行动的优先级提供了输入。在实践中，这个过程是循环进行的本文件中描述的风险评估技术用于下列场景一需要进一步了解存在何种风险、或某一特定风险在需要采取措施应对风险时
一在决策中，对有风险的选项进行比较或优化时。具体来说，这些技术可以用于：在不确定性的情况下，为决策和行动提供结构化信息；一明确假设条件对目标的影响；当每个选项都存在多种不确定性时，对选项、系统、技术和方法进行比较一支持确定切合实际的战略和运营目标；一一支持确定组织的风险准则，例如，风险限额、风险偏好、风险承受能力；结合风险，设定或审查优先级时：认识并理解风险，包括可能导致极端后果的风险；-理解哪些不确定性对组织目标最重要，并提供应对这些不确定性的基本依据；更有效地识别和利用机会；
明确导致风险的要素，了解这些要素为什么重要：一识别有效、高效的风险应对措施；一确定拟议的风险应对措施的改变效果，包括对风险属性和程度的改变；-沟通风险及其影响；
一从失败和成功中学习，从而提高风险管理的能力：证明自身满足了监管等要求。
评估风险的方式，取决于情况的复杂性和新颖性，以及相关知识和理解的水平。在最简单的情况下，这种情况没有任何新的或不寻常的地方，风险得到充分理解，没有重大利益相关者影响或后果不重大，则可能会根据既定的规则和程序，以及之前的风险评估来决定评估的方式。
一在面对非常新颖、复杂或具有挑战性、高度的不确定性和很少的经验的问题时，几乎没有可以作为评估基础的信息，传统的分析技术可能没有用处或没有意义。这也适用于利益相关者持有截然不同观点的情况。在这些情况下，可能会使用多种技术来获得对风险的部分理解，然后根据组织和社会价值以及利益相关者的观点作出判断。本文件中描述的技术，在上述两种极端之间的情况下具有最大的应用价值，其复杂性适中，并且有一些可用的信息来进行评估。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。