澳大利亚—新西兰风险管理标准(AS-NZS-4360)简介

澳大利亚—新西兰风险管理标准（AS/NZS 4360）简介

作者：李岑岩律师

澳大利亚-新西兰风险管理标准AS/NZS4360是世界上第一个国家风险管理标准，是澳大利亚和新西兰的联合标准。它于1995年首次发布。当时制定此标准的目的是为了制定一个统一的标准，以期对若干澳大利亚和新西兰上市或私有企业在风险管理应用问题上有所帮助。此标准参考了1993的《澳洲新南威尔士洲风险管理指南》，而该指南的主要负责人后来主持了AS/NZS4360标准的制定，所以，AS/NZS4360标准与《澳洲新南威尔士洲风险管理指南》在结构上具有相似性。AS/NZS 4360分别于1999年2004年进行修订。到目前为止，AS/NZS 4360标准已经被澳大利亚政府和世界上许多上市公司采用，许多澳大利亚和新西兰的行业协会根据AS/NZS 4360和自己的行业特性编制了供本行业使用的风险管理标准。

AS/NZS 4360的主要内容是它给出了一套风险管理的标准的语言定义和风险管理的标准过程定义。在标准的语言定义中，AS/NZS 4360明确指出风险是对目标而言的不确定性，其结果“可以是损失、伤害、失利或者获利”。而“风险管理既是为了发现机会，也同样是为了避免或减轻损失”。由于企业的目标不仅是为了避免损失，更是为了盈利。这样AS/NZS 4360的定义就把风险和企业的目标紧密结合起来。在标准过程定义中，AS/NZS 4360把风险管理看作一个过程，并给出了这个过程的一般定义，即风险管理应分为通信和咨询、建立环境、风险识别、风险分析、风险处置、风险监控与回顾七个步骤。图。。。。为AS/NZS 4360对风险管理过程的描述：[1]

（一）AS/NZS 4360的基本概念

后果：指安全事件在质量或数量上因受到损失、损害而表现出来的结果。它可描述为安全事件可能出现结果的范围。

可能性：定性描述安全事件发生的概率或频率。

风险：对目标有所影响的某个安全事件发生的可能性。它根据后果和可能性来度量。

剩余风险：在经过一系列安全控制和安全措施之后，存在的风险称为剩余风险。

接受风险：接受特定风险的后果和可能性。

风险识别：分析什么安全事件发生了、怎样发生以及发生原因的过程。

风险分析：利用可用信息来决定某一安全事件发生频率和产生后果范围的系统分析方法。

风险评价：通过把需要评价的风险与预先确定的标准、目标风险级别或其它准则作比较，来确定风险管理的优先级。

风险评估：风险分析和风险评估的全过程。

风险控制：采用策略、标准、程序和物理措施来消除或降低风险的方法，它是风险管理的一部分。

降低风险：采用技术和管理措施来降低风险发生的可能性或后果。

风险处置：选取适当的方法对风险进行处理。

（二）AS/NZS 4360的风险管理流程

（一）通信和咨询

通信和咨询在风险管理过程的每一步都很重要。因此，企业内外部的风险影响风险管理过程的早期开发一个通信计划非常必要，计划阐述的问题主要是对风险本身的理解及风险处置措施的选取等。有效的内外通信及咨询可以保证风险管理的顺利实施。

（二）建立环境

建立环境对风险管理至关重要，它提供了风险评估的环境。这一步的主要任务如下：

1．确定风险管理的策略、目标、范围、管理小组及职责等。

2．分析识别风险影响者。风险影响者包括企业内部的雇员、管理者、志愿者等、企业外部的商业伙伴、保密机构、政府机构、环境组织、消费者、新闻媒体等。

3．开发风险评价准则。内容包括风险承受能力和风险处置方式，受技术、经济、法律、社会、可操作性等因素的影响，它们依赖于企业的风险管理策略、目标等。尽管风险评价准则在建立风险管理环境时开发，但它们可以在风险识别和风险分析方法选定进一步开发和提炼。

4．定义风险识别过程中的关键元素。把信息安全项目在逻辑结构上分解成一系列的元素，对每一个元素进行风险分析就比较容易了。在信息安全项目分解时一定要全面，要包含所有的重要问题，以保证重大风险不被忽略。

（三）风险识别

对第二步定义的每一关键元素都要系统地检查，以识别什么发生了（产生全面的安全事件列表）和它们是怎样发生的（找出安全事件发生的原因）。

风险识别的方法有组内讨论、使用检查列表、人工经验和以往相似项目的记录、调查问卷、系统工程分析等。组内讨论是最有效的风险识别方法，可以充分利用讨论组内每位成员的创造力并关注新出现的问题；检查列表易于使用，但只能检查出列表上的风险，这就需要经常更新检查列表。通常这些方法可以结合起来使用。

（四）风险分析

风险分析的目的是分离可接受的小风险和不能接受的大风险，为风险评价和处理提供数据。风险分析包括安全事件的后果、后果发生的可能性以及它们的影响因子，还包括对现有的管理、技术措施进行安全分析。

风险分析的方法有定性分析、半定量分析和定量分析。定性分析法是最常用的方法。我们下面简述风险的定性分析法。可能性表示安全事件发生的概率，可分为不常发生(Rare)、不太可能发生(Unlikely)、可能发生(Possible)、很可能发生(Likely)和几乎肯定发生(Almost certain)五种情况。后果可以根据对性能、代价及进度等关键因素的潜在影响来考虑，在程度上可分为可忽略(Insignificant)、小(Minor)、中等(moderate)、大(Major)及灾难(Catastrophic)五种。风险可以通过下表计算。

（五）风险评价

风险评价是把第四步分析出来的风险与第二步开发的风险评价准则进行比较，以判断特定的风险是否可接受或需要采取其它措施处置。风险评价的结果为具有不同等级的风险列表。如果风险为低风险或可接受的风险，则可以进行最小程度的处理，但应该对低风险和可接受的风险进行监控及定期检查，以保证这些风险仍然是可接受的；如果风险不是低风险和可接受的风险，则要采取降低风险或转嫁风险等风险处置措施。在评价风险时需综合考虑风险管理的目标、风险管理的代价或不对风险进行处置所带来的后果等问题。

（六）风险处置

风险处置的目的为对识别出来的风险采取什么措施以及谁负责进行处理。风险处置需要根据可行性、代价、风险管理的目标采用最恰当、最实际的方法，来把风险降低到可容忍的程度。风险处置的方法有：

1．回避风险：消极退却。

2．降低风险：减小安全事件发生的可能性，降低安全事件产生的后果。

3．转嫁风险：责任外包或保险。

4．接受风险：承担风险评价准则中规定的企业能够容忍的风险。

风险处置应制定风险处置计划，包括落实责任、进度表、预算、预期的处置结果等，还应包括一种机制，用来评估实现风险处置方法的性能准则、个人责任及其它目标。

（七）风险监控与回顾

随着环境的变化及新技术的采用，原来评估的风险可能会过时，因此随着时间的推移，对上面五步输出的结果需要定期回顾。对风险连续的监控与回顾可以保证新风险的检测和管理、风险处置计划的实现、管理者和风险影响者对情况的及时了解等。有关风险的定期信息可帮助识别风险的发生趋势、可能遇到的麻烦及出现的其它变化。

风险注册数据库是监控风险的主要管理工具，数据库的字段包含风险等级列表、有关的风险处置计划、每一风险的个人责任等。对风险注册数据库必须定期更新，以保证把新出现的风险添加进去，把过时的风险从数据库中删除掉。