标准集团解读GB/T 27921-2011 风险管理 风险评估技术

1 范围

本标准规定了风险评估技术的选择和应用指南。

本标准并未涉及风险评估的所有技术，标准中未予介绍的技术并不意味着其无效。

本标准适用于指导组织选择合适的风险评估技术，一般性的风险管理标准，以及各种类型和规模的组织。

本标准涉及安全方面的内容参见GB/T 20000.4-2003。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其新版本（包括所有的修改单）适用于本文件。

GB/T 23694-2009风险管理术语（ISO/IEC Guide 73:2002)

GB/T 24353-2009风险管理原则与实施指南

3 术语和定义

B/T 23694-2009中界定的术语和定义适用于本文件。

4 风险评估概念

4.1 目的和作用

风险评估旨在为有效的风险应对提供基于证据的信息和分析。

风险评估的主要作用包括：

―认识风险及其对目标的潜在影响；

―为决策者提供相关信息；

―增进对风险的理解，以利于风险应对策略的正确选择；

―识别那些导致风险的主要因素，以及系统和组织的薄弱环节；

―沟通风险和不确定性；

―有助于建立优先顺序；

―帮助确定风险是否可接受；

―有助于通过事后调查来进行事故预防；

―选择风险应对的不同方式；

―满足监管要求。

4.2 风险评估和风险管理过程

4.2.1 概述

本标准所指的风险评估是在GB/T 24353-2009所描述的风险管理过程内展开的。GB/T 24353-2009中界定的风险管理过程包含以下要素：明确环境信息；风险评估（包括风险识别、风险分析与风险评价）；风险应对；监督和检查；沟通和记录。

在风险管理过程中，风险评估并非一项独立的活动，必须与风险管理过程的其他组成部分有效衔接。进行风险评估时尤其应该清楚以下事项：

―组织所处环境和组织目标；

―组织可容许风险的范围及类型，以及如何应对不可接受的风险；

―风险评估的方法和技术，及其对风险管理过程的促进作用；

―实施风险评估的义务、责任及权利；

―可用于风险评估的资源；

―如何进行风险评估的报告及检查；

―风险评估活动如何融入组织日常运行中。