D13、風險準則-risk criteria

風險準則是ISO風險管理標準族中一個非常重要的術語，在前面已多次提及。在風險管理的諸多術語中，有四個術語最關鍵，它們分別是兩個基本概念：風險和風險準則，以及兩個管理概念：風險管理框架和風險管理過程。

一、風險準則的定義

關于風險準則的定義，我國國家標準GB/T 23694-2013等同采用了ISO Guide 73:2009標準對風險準則（risk criteria）的定義。原文如下：

risk criteria（ISO Guide 73:2009）：

terms of reference against which the significance of a risk is evaluated.

NOTE 1 Risk criteria are based on organizational objectives,and external and internal context.

NOTE 2 Risk criteria can be derived from standards, laws,policies and other requirements.

風險準則（GB/T 23694-2013）：

評價風險重要性的參照依據。

注釋1、風險準則基于組織的目標、外部環境（鏈接）和內部環境（鏈接）。

注釋2、風險準則可以源自標準、法律、政策和其他要求。

組織要管理風險，就必須對已識別出的風險進行大小分析和重要性評價。要分析風險的大小和評價風險的重要性，就必須建立分析和評價的依據，然后按照這些制定的依據對各個風險進行分析和評價，這些依據就是“風險準則”。

上述注釋1說明組織在建立風險準則之前，應充分考慮所制定的目標，以及組織所處的外部、內部環境。組織的目標有多種，可以是有形的（如生命或資產方面的目標），也可以是無形的（如聲譽或品牌方面的目標），它們都是制定風險準則的依據。

上述注釋2給出了制定風險準則的部分來源。風險準則不能只關注組織內部的需要，還要考慮來自外部的標準、法律、政策和其他要求（如外部利益相關方的要求）。有時，對某些風險的重要性評價可能應更加關注外部法律法規的要求。

二、制定風險準則時應考慮哪些因素？

風險準則如此重要，在制定風險準則時，應該考慮哪些因素呢？risk-doctor總結了以下八點：

1、風險原因的性質和類型；

2、可能出現的后果及如何對其進行測量；

3、如何確定可能性；

4、可能性和/或后果的時限；

5、如何確定風險水平（level of risk）；

6、利益相關方的觀點或意見；

7、風險可接受或可容忍的水平；

8、考慮是否需要組合多個風險，如需要，應考慮如何組合和哪些組合方式。

在風險管理實踐中，常用“后果”及其發生的“可能性”這二者的組合來表示風險水平（level of risk）。為了判斷后果的影響程度和可能性的大小，必須要制定明確的風險準則。風險準則可以是定性的，也可以是定量的（或半定量的），見下文第三部分。

三、風險準則示例

為了增加對風險準則的感性認識，下面分別列舉一個后果準則和可能性準則的例子，供參考。

1、后果準則示例

定性	輕微的	較小的	中等的	重大的	災難性的
半定量	1	2	3	4	5
定量 （對收入預算的影響）	影響收入 1%以下	影響收入 1%—3%	影響收入 3%—10%	影響收入 10%—20%	影響收入 20%及以上
……	……

2、可能性準則示例

定性	很低	低	中等	高	很高
半定量	1	2	3	4	5
定量	年發生概率在3%以下	年發生概率在3%-8%	年發生概率在8%-15%	年發生概率在15%-25%	年發生概率在25%及以上
……	……

關于風險準則的解釋，以后還會進一步說明；關于后果準則和可能性準則，后期在介紹“后果”和“可能性”這兩個術語時再詳議。

關鍵注意事項：

（1）風險準則不僅僅只有風險后果準則和可能性準則，還有風險重要性準則、控制有效性準則等等。

（2）風險準則應與組織的風險管理方針相一致，既要反映組織的價值觀、目標和資源，又要反映外部利益相關者的訴求。

（3）某些準則可能來源于法律法規、監管要求或組織贊同的其他要求。

（4）風險準則應在組織開始風險評估之前確定，且應得到持續評審。