D13、风险准则-risk criteria

风险准则是ISO风险管理标准族中一个非常重要的术语，在前面已多次提及。在风险管理的诸多术语中，有四个术语最关键，它们分别是两个基本概念：风险和风险准则，以及两个管理概念：风险管理框架和风险管理过程。

一、风险准则的定义

关于风险准则的定义，我国国家标准GB/T 23694-2013等同采用了ISO Guide 73:2009标准对风险准则（risk criteria）的定义。原文如下：

risk criteria（ISO Guide 73:2009）：

terms of reference against which the significance of a risk is evaluated.

NOTE 1 Risk criteria are based on organizational objectives,and external and internal context.

NOTE 2 Risk criteria can be derived from standards, laws,policies and other requirements.

风险准则（GB/T 23694-2013）：

评价风险重要性的参照依据。

注释1、风险准则基于组织的目标、外部环境（链接）和内部环境（链接）。

注释2、风险准则可以源自标准、法律、政策和其他要求。

组织要管理风险，就必须对已识别出的风险进行大小分析和重要性评价。要分析风险的大小和评价风险的重要性，就必须建立分析和评价的依据，然后按照这些制定的依据对各个风险进行分析和评价，这些依据就是“风险准则”。

上述注释1说明组织在建立风险准则之前，应充分考虑所制定的目标，以及组织所处的外部、内部环境。组织的目标有多种，可以是有形的（如生命或资产方面的目标），也可以是无形的（如声誉或品牌方面的目标），它们都是制定风险准则的依据。

上述注释2给出了制定风险准则的部分来源。风险准则不能只关注组织内部的需要，还要考虑来自外部的标准、法律、政策和其他要求（如外部利益相关方的要求）。有时，对某些风险的重要性评价可能应更加关注外部法律法规的要求。

二、制定风险准则时应考虑哪些因素？

风险准则如此重要，在制定风险准则时，应该考虑哪些因素呢？risk-doctor总结了以下八点：

1、风险原因的性质和类型；

2、可能出现的后果及如何对其进行测量；

3、如何确定可能性；

4、可能性和/或后果的时限；

5、如何确定风险水平（level of risk）；

6、利益相关方的观点或意见；

7、风险可接受或可容忍的水平；

8、考虑是否需要组合多个风险，如需要，应考虑如何组合和哪些组合方式。

在风险管理实践中，常用“后果”及其发生的“可能性”这二者的组合来表示风险水平（level of risk）。为了判断后果的影响程度和可能性的大小，必须要制定明确的风险准则。风险准则可以是定性的，也可以是定量的（或半定量的），见下文第三部分。

三、风险准则示例

为了增加对风险准则的感性认识，下面分别列举一个后果准则和可能性准则的例子，供参考。

1、后果准则示例

定性	轻微的	较小的	中等的	重大的	灾难性的
半定量	1	2	3	4	5
定量 （对收入预算的影响）	影响收入 1%以下	影响收入 1%—3%	影响收入 3%—10%	影响收入 10%—20%	影响收入 20%及以上
……	……

2、可能性准则示例

定性	很低	低	中等	高	很高
半定量	1	2	3	4	5
定量	年发生概率在3%以下	年发生概率在3%-8%	年发生概率在8%-15%	年发生概率在15%-25%	年发生概率在25%及以上
……	……

关于风险准则的解释，以后还会进一步说明；关于后果准则和可能性准则，后期在介绍“后果”和“可能性”这两个术语时再详议。

关键注意事项：

（1）风险准则不仅仅只有风险后果准则和可能性准则，还有风险重要性准则、控制有效性准则等等。

（2）风险准则应与组织的风险管理方针相一致，既要反映组织的价值观、目标和资源，又要反映外部利益相关者的诉求。

（3）某些准则可能来源于法律法规、监管要求或组织赞同的其他要求。

（4）风险准则应在组织开始风险评估之前确定，且应得到持续评审。