/

ISO 31073:2022 リスク管理—語彙 | ページ 6

※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。

3 用語と定義

ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。

3.1 リスクに関する用語

3.1.1

危険

不確実性(3.1.3) が 目標(3.1.2) に及ぼす影響

注記 1:効果とは、予想からの逸脱です。それは肯定的なもの、否定的なもの、またはその両方であり、 機会 (3.3.23) や 脅威 (3.3.13) に対処したり、生み出したり、その結果をもたらしたりする可能性があります。

注記 2: 目標にはさまざまな側面やカテゴリがあり、さまざまなレベルで適用できます。

注記 3:リスクは通常、 リスク源 (3.3.10) 、潜在的な 事象 (3.3.11) 、その 結果 (3.3.18) およびその 可能性 (3.3.16) の観点から表現される。

3.1.2

客観的

達成すべき結果

注記 1: 目標には、戦略的、戦術的、または作戦的なものがあります。

注記 2:目標は、さまざまな分野 (財務、健康と安全、環境目標など) に関連することがあり、さまざまなレベル (戦略的、組織全体、プロジェクト、製品、プロセスなど) に適用することができます。

注記 3:目標は、他の方法で表現することもできる。例えば、意図された結果、目的、運用基準として、管理システム目標として、または同様の意味を持つ他の単語の使用(例えば、目的、目標、目標) )。

3.1.3

不確実性

理解または知識に関する情報が部分的であっても欠如している状態

注記 1:場合によっては、不確実性は組織の 目的 (3.1.2) だけでなく、 組織の状況 (3.3.7) にも関連している可能性があります。

注記 2:不確実性は リスクの根本原因 (3.1.1) 、すなわち、目標に関連して重要なあらゆる種類の「情報不足」です (そして、目標は、すべての関連する 利害関係者に関係します) (3.3. 2) ニーズと期待)

3.2 リスク管理に関する用語

3.2.1

危機管理

リスク (3.1.1) に関して 組織 (3.3.7) を指揮および管理するための調整された活動

3.2.2

リスク管理方針

リスク管理 (3.2.1) に関連する 組織の全体的な意図と方向性の表明 (3.3.7)

[出典:ISO Guide 73:2009, 2.1.2]

3.2.3

リスク管理計画

リスク管理に適用されるアプローチ、管理コンポーネントおよびリソースを指定するリスク管理フレームワーク内のスキーム (3.1.1)

注記 1: 管理コンポーネントには通常、手順、実践、責任の割り当て、活動の順序とタイミングが含まれます。

注記 2:リスク管理計画は、特定の製品、プロセス、プロジェクト、および 組織の一部または全体に適用できます (3.3.7) 。

[出典:ISO Guide 73:2009, 2.1.3]

3.3 リスク管理プロセスに関連する用語

3.3.1

リスク管理プロセス

コミュニケーション、コンサルティング、状況の確立、およびリスクの特定、分析、評価、治療、 監視 (3.3.40) およびレビュー (3.1.1) の活動への管理方針、手順、実践の体系的な適用

[出典:ISO Guide 73:2009, 3.1]

3.3.2

当事者

利害関係者

決定または活動に影響を与える可能性がある、影響を受ける、または影響を受けると認識している個人または 組織 (3.3.7)

3.3.3

リスク認識

リスクに関する利害 関係者の見解 (3.3.2) (3.1.1)

注記 1:リスク認識は、利害関係者のニーズ、問題、知識、信念、価値観を反映しています。

[出典: ISO Guide 73:2009, 3.2.1.2, 修正 - 定義内の「利害関係者」が「利害関係者」に置き換えられ、「リスク」が「リスク」に置き換えられています。

3.3.4

外部コンテキスト

組織(3.3.7) がその 目的(3.1.2) を達成しようとする外部環境

注記 1: 外部コンテキストには以下が含まれます。
  • 国際的、国内的、地域的、地方的を問わず、文化的、社会的、政治的、法律的、規制的、財政的、技術的、経済的、自然的および競争的環境。
  • 組織の目標に影響を与える主要な推進要因と傾向。そして
  • 外部の 利害関係者との関係、およびその認識と価値観 (3.3.2) 。

[出典:ISO Guide 73:2009, 3.3.1.1, 修正 - 「利害関係者」が「利害関係者」に置き換えられました。]

3.3.5

内部コンテキスト

組織 (3.3.7) がその 目的 (3.1.2) を達成しようとする内部環境

注記 1: 内部コンテキストには次のものが含まれます。
  • ガバナンス、組織構造、役割、説明責任。
  • 戦略、目的、およびそれらを達成するために講じられている戦略。
  • リソースと知識の観点から理解される能力(資本、時間、人材、プロセス、システム、テクノロジーなど)。
  • 情報システム、情報の流れ、意思決定プロセス(公式および非公式の両方)。
  • 内部 利害関係者との関係、およびその認識と価値観 (3.3.2) 。
  • 組織の文化。
  • 組織によって採用された標準、ガイドライン、およびモデル。そして
  • 契約関係の形式と範囲。

[出典:ISO Guide 73:2009, 3.3.1.2, 修正 - 「利害関係者」が「利害関係者」に置き換えられました。]

3.3.6

リスク基準

リスク(3.1.1) の重要性を評価する基準となる条件

注記 1:リスク基準は、組織の 目標 (3.1.2) 、 外部の状況 (3.3.4) 、および 内部の状況 (3.3.5) に基づいています。

注記 2:リスク基準は、規格、法律、政策、その他の要件から導き出すことができます。

[出典: ISO Guide 73:2009, 3.3.1.3, 修正 - 定義内の「リスク」は「リスク」に置き換えられました。]

3.3.7

組織

目的を達成するために、責任、権限、および関係を伴う独自の機能を持つ個人または人々のグループ (3.1.2)

注記 1:組織の概念には、法人か否か、公共かどうかを問わない、個人事業主、会社、株式会社、企業、企業、当局、パートナーシップ、慈善団体、団体、またはそれらの一部または組み合わせが含まれますが、これらに限定されません。プライベート。

3.3.8

リスクアセスメント

リスク特定 (3.3.9) 、 リスク分析 (3.3.15) 、および リスク評価 (3.3.25) の全体的なプロセス

[出典:ISO Guide 73:2009, 3.4.1]

3.3.9

リスクの特定

リスクを発見、認識、説明するプロセス (3.1.1)

注記 1: リスクの特定には、 リスク源 (3.3.10) 、 事象 (3.3.11) 、それらの原因とその潜在的な 結果 (3.3.18) の特定が含まれる。

注記 2: リスクの特定には、過去のデータ、理論的分析、情報に基づいた専門家の意見、 利害関係者のニーズ (3.3.2) が含まれる場合があります。

[出典:ISO Guide 73:2009, 3.5.1, 修正 - 「利害関係者」が「利害関係者」に置き換えられました。]

3.3.10

リスク源

単独または組み合わせて リスクを引き起こす可能性のある要素 (3.1.1)

3.3.11

イベント

特定の一連の状況の発生または変化

注記 1: イベントには1 つ以上の発生があり、複数の原因と複数の 結果が存在する可能性があります (3.3.18) 。

注記 2:イベントは、予期されていても起こらないこと、または予期されていないが実際に起こることもあります。

注記 3:イベントは リスク源となる可能性があります (3.3.10) 。

3.3.12

危険

潜在的な危害の源

注記 1:ハザードは リスク源となる可能性があります (3.3.10) 。

[出典:ISO Guide 73:2009, 3.5.1.4]

3.3.13

脅威

危険、害、またはその他の望ましくない結果の潜在的な原因

注記 1: 脅威とは、損失が発生する可能性があり、比較的制御が難しい否定的な状況を指します。

注記 2:一方の当事者に対する脅威は、他方の当事者にとって 機会 (3.3.23) となる可能性 があります。

3.3.14

リスクオーナー

リスクを管理する責任と権限を持つ個人または団体 (3.1.1)

[出典:ISO Guide 73:2009, 3.5.1.5, 修正 - 定義内の「リスク」は「リスク」に置き換えられました。]

3.3.15

リスク分析

リスクの性質を理解し(3.1.1) 、 リスクのレベルを決定するプロセス(3.3.22)

注記 1:リスク分析は、 リスク評価 (3.3.25) および リスク処理に関する決定 (3.3.32) の基礎を提供します。

[出典: ISO Guide 73:2009, 3.6.1, 修正 — エントリの注 2 は削除されました。]

3.3.16

可能性

何かが起こる可能性

注記 1:リスク管理用語において、「可能性」という言葉は、客観的または主観的、定性的または定量的に定義、測定、または決定されるかどうかにかかわらず、一般用語または数学的に説明されるかにかかわらず、何かが起こる確率を指すために使用されます。 確率 (3.3.19) または 頻度 (3.3.20)

注記 2: 英語の用語「可能性」には、一部の言語では直接相当する用語がありません。代わりに、「確率」という用語に相当するものがよく使用されます。ただし、英語では「確率」は数学用語として狭く解釈されることがよくあります。したがって、リスク管理用語では、「可能性」は、英語以外の多くの言語での「確率」という用語と同じ広範な解釈を持つ必要があるという意図で使用されます。

3.3.17

暴露

組織 (3.3.7) および/または 利害関係者 (3.3.2) が イベント (3.3.11) の影響を受ける範囲

[出典:ISO Guide 73:2009, 3.6.1.2, 修正 - 「利害関係者」が「利害関係者」に置き換えられました。]

3.3.18

結果

目標 (3.1.2) に影響を及ぼす イベント (3.3.11) の結果

注記 1:結果は、目的に対してプラスまたはマイナス、直接的または間接的な影響を与える可能性があります。

注記 2:結果は定性的または定量的に表現できます。

注記 3:いかなる結果も、連鎖的および累積的な影響を通じて拡大する可能性があります。

3.3.19

確率

0 から 1ここで, の数値で表される発生確率の尺度。0 は不可能、1 は絶対的な確実性を示します。

注記 1: 3.3.16, 注記 2 を参照。

[出典:IEC 31010:2019, 3.3, 修正済み — 定義が修正されました。]

3.3.20

頻度

定義された時間単位あたりの イベント (3.3.11) または結果の数

注記 1:頻度は過去の出来事または潜在的な将来の出来事に適用できここで, 尤度 (3.3.16) / 確率 (3.3.19) の尺度として使用できます。

[出典:ISO Guide 73:2009, 3.6.1.5]

3.3.21

脆弱性

結果 (3.3.18) を伴う 事象 (3.3.11) を引き起こす可能性のある リスク源 (3.3.10) に対する感受性をもたらす何かの固有の特性

[出典:ISO Guide 73:2009, 3.6.1.6]

3.3.22

リスクのレベル

リスク (3.1.1) またはリスクの組み合わせの大きさ。 結果 (3.3.18) とその 可能性 (3.3.16) の組み合わせで表現されます。

[出典:ISO Guide 73:2009, 3.6.1.8]

3.3.23

機会

目標にとって有利であると予想される状況の組み合わせ (3.1.2)

注記 1: 機会とは、利益が得られる可能性が高く、それをかなりのレベルで制御できる前向きな状況を指します。

注記 2:一方の当事者にとっての機会は、他方の当事者にとって 脅威となる可能性があります (3.3.13) 。

注記 3:機会を利用するか利用しないかは、両方とも リスクの原因です (3.1.1) 。

[出典:IEC 31010:2019, 3.2]

3.3.24

リスクドライバー

リスクに大きな影響を与える要因(3.1.1)

[出典:IEC 31010:2019, 3.4]

3.3.25

リスク評価

リスク分析(3.3.15) の結果を リスク基準(3.3.6) と比較して、 リスク(3.1.1) が許容できるか許容できるかを判断するプロセス

注記 1:リスク評価は 、リスク治療に関する決定を支援します (3.3.32) 。

[出典: ISO Guide 73:2009, 3.7.1, 修正 - 「および/またはその大きさ」が定義から削除されました。]

3.3.26

リスクに対する姿勢

リスク (3.1.1) を評価し、最終的に追求、維持、回避、または回避するための 組織のアプローチ (3.3.7)

[出典:ISO Guide 73:2009, 3.7.1.1]

3.3.27

リスク選好度

組織 (3.3.7) が追求または保持する リスク (3.1.1) の量と種類

[出典:ISO Guide 73:2009, 3.7.1.2]

3.3.28

リスク許容度

目的 (3.1.2) を達成するために、 組織 (3.3.7) or 利害関係者 (3.3.2) が 残留リスク (3.3.38) を負担する用意があること。

注記 1:リスク許容度は、法的または規制上の要件の影響を受ける可能性があります。

[出典: ISO Guide 73:2009, 3.7.1.3, 修正 - 「利害関係者」が「利害関係者」に置き換えられ、「残留リスク」が「リスク処理後のリスク」に置き換えられます。

3.3.29

リスク回避

リスクを回避する姿勢(3.1.1)

[出典:ISO Guide 73:2009, 3.7.1.4]

3.3.30

リスクの集約

複数の リスク (3.1.1) を 1 つのリスクに組み合わせて、リスク全体をより完全に理解する

[出典:ISO Guide 73:2009, 3.7.1.5]

3.3.31

リスクの受け入れ

特定の リスクを取るための十分な情報に基づいた決定 (3.1.1)

注記 1:リスク受容は 、リスク処理 (3.3.32) なしで、またはリスク処理のプロセス中に発生する可能性があります。

注記 2:受け入れられたリスクは モニタリング (3.3.40) と レビュー (3.3.41) の 対象となる。

[出典:ISO Guide 73:2009, 3.7.1.6]

3.3.32

リスク対応

リスクを修正するプロセス (3.1.1)

注記 1: リスク治療には以下が含まれる場合があります。
  • リスクを引き起こす活動を開始または継続しないことを決定することでリスクを回避する。
  • 機会を追求するためにリスクを取る、またはリスクを増大させる(3.3.23) 。
  • リスク源を除去する(3.3.10) 。
  • 可能性を変更する (3.3.16) ;
  • 結果を変える(3.3.18) 。
  • 他の当事者とのリスクの共有[契約および リスクファイナンス(3.3.36) を含むそして
  • 情報に基づいた決定によってリスクを保持します。

注記 2:マイナスの結果に対処するリスク治療は、「リスク軽減」、「リスク排除」、「リスク予防」、「リスク軽減」と呼ばれることもあります。

注記 3: リスク処理により、新しいリスクが生み出されたり、既存のリスクが修正されたりする可能性があります。

[出典:ISO Guide 73:2009, 3.8.1]

3.3.33

リスク管理

リスクを維持および/または修正する措置 (3.1.1)

注記 1: リスク管理には、リスクを維持および/または修正するプロセス、ポリシー、デバイス、実践、またはその他の条件および/またはアクションが含まれますが、これらに限定されません。

注記 2:リスク管理は、意図された、または想定された変更効果を常に発揮するとは限りません。

3.3.34

リスク回避

特定の リスクにさらされないようにするために、活動に関与しない、または活動から撤退するという十分な情報に基づいた決定(3.1.1)

注記 1:リスク回避は 、リスク評価 (3.3.25) の結果および/または法的および規制上の義務に基づくことができます。

[出典:ISO Guide 73:2009, 3.8.1.2]

3.3.35

リスクの共有

他の当事者との合意された リスク分散 (3.1.1) を伴う リスク処理 (3.3.32) の形式

注記 1: 法的または規制上の要件により、リスク共有が制限、禁止、または義務付けられる場合があります。

注記 2:リスク分散は、保険または他の形式の契約を通じて実行できます。

注記 3:リスクがどの程度分散されるかは、共有取り決めの信頼性と明確さに依存する可能性があります。

[出典: ISO Guide 73:2009, 3.8.1.3, 修正 — エントリの注 4 は削除されました。]

3.3.36

リスクファイナンス

財務上の 影響(3.3.18) が発生した場合に対応または修正するための資金提供のための条件付き取り決めを含む リスク処理の形式(3.3.32)

[出典:ISO Guide 73:2009, 3.8.1.4]

3.3.37

リスク保持

特定の リスクから得られる潜在的な利益または損失の負担を受け入れること(3.1.1)

注記 1: リスク保持には 、残留リスクの受け入れが含まれます (3.3.38) 。

注記 2:保持される リスクのレベル (3.3.22) は、 リスク基準 (3.3.6) に依存する可能性があります。

[出典:ISO Guide 73:2009, 3.8.1.5]

3.3.38

残留リスク

リスク治療(3.3.32) 後に残る リスク(3.1.1)

注記 1: 残留リスクには未確認のリスクが含まれる可能性があります。

注記 2:残留リスクは、「残留リスク」とも呼ばれます。

[出典:ISO Guide 73:2009, 3.8.1.6]

3.3.39

回復力

複雑で変化する環境における 組織の適応能力 (3.3.7)

[出典:ISO Guide 73:2009, 3.8.1.7]

3.3.40

監視

要求または期待されるパフォーマンス レベルからの変化を特定するために、ステータスを継続的にチェック、監督、批判的に観察または決定する

注記 1:モニタリングは、リスク管理フレームワーク、 リスク管理プロセス (3.3.1) 、 リスク (3.1.1) or リスク管理 (3.3.33) に適用できます。

[出典: ISO Guide 73:2009, 3.8.2.1, 修正 - エントリの注 1 の「コントロール」を「リスク管理」に置き換えました。]

3.3.41

レビュー

確立された 目的を達成するための主題の適合性、適切性、および有効性を判断するために行われる活動 (3.1.2)

注記 1:レビューは、リスク管理フレームワーク、 リスク管理プロセス (3.3.1) 、 リスク (3.1.1) or リスク管理 (3.3.33) に適用できます。

[出典: ISO Guide 73:2009, 3.8.2.2 修正 - 注 1 の「コントロール」を「リスク管理」に置き換えました。]

3.3.42

リスク報告

リスク(3.1.1) とその管理の現状に関する情報を提供することにより、特定の内部または外部の 利害関係者(3.3.2) に情報を提供することを目的としたコミュニケーションの形式

[出典:ISO Guide 73:2009, 3.8.2.3, 修正 - 「利害関係者」が「利害関係者」に置き換えられました。]

3.3.43

リスク管理監査

リスク管理フレームワークまたはその選択された部分がどの程度適切で効果的であるかを判断するために、証拠を入手し、それを客観的に評価するための体系的で独立した文書化されたプロセス。

[出典:ISO Guide 73:2009, 3.8.2.6]

参考文献

1ISO 31000:2018, リスク管理 — ガイドライン
2ISO Guide 73:2009, リスク管理 — 語彙
3ISO/IEC Guide 51, 安全面 - 規格に含めるためのガイドライン
4IEC 31010:2019, リスク管理 — リスク評価手法

3 Terms and definitions

ISO and IEC maintain terminology databases for use in standardization at the following addresses:

3.1 Terms related to risk

3.1.1

risk

effect of uncertainty (3.1.3) on objectives (3.1.2)

Note 1 to entry: An effect is a deviation from the expected. It can be positive, negative or both, and can address, create or result in opportunities (3.3.23) and threats (3.3.13) .

Note 2 to entry: Objectives can have different aspects and categories, and can be applied at different levels.

Note 3 to entry: Risk is usually expressed in terms of risk sources (3.3.10) , potential events (3.3.11) , their consequences (3.3.18) and their likelihood (3.3.16) .

3.1.2

objective

result to be achieved

Note 1 to entry: An objective can be strategic, tactical or operational.

Note 2 to entry: Objectives can relate to different disciplines (such as financial, health and safety, and environmental goals) and can apply at different levels (such as strategic, organization-wide, project, product and process).

Note 3 to entry: An objective can be expressed in other ways, e.g. as an intended outcome, a purpose, an operational criterion, as a management system objective, or by the use of other words with similar meaning (e.g. aim, goal, target).

3.1.3

uncertainty

state, even partial, of deficiency of information related to understanding or knowledge

Note 1 to entry: In some cases, uncertainty can be related to the organization’s (3.3.7) context as well as to its objectives (3.1.2) .

Note 2 to entry: Uncertainty is the root source of risk (3.1.1) , namely any kind of “deficiency of information” that matters in relation to objectives (and objectives, in turn, relate to all relevant interested parties’ (3.3.2) needs and expectations).

3.2 Terms related to risk management

3.2.1

risk management

coordinated activities to direct and control an organization (3.3.7) with regard to risk (3.1.1)

3.2.2

risk management policy

statement of the overall intentions and direction of an organization (3.3.7) related to risk management (3.2.1)

[SOURCE:ISO Guide 73:2009, 2.1.2]

3.2.3

risk management plan

scheme within the risk management framework specifying the approach, the management components and resources to be applied to the management of risk (3.1.1)

Note 1 to entry: Management components typically include procedures, practices, assignment of responsibilities, sequence and timing of activities.

Note 2 to entry: The risk management plan can be applied to a particular product, process and project, and part or whole of the organization (3.3.7) .

[SOURCE:ISO Guide 73:2009, 2.1.3]

3.3 Terms related to the risk management process

3.3.1

risk management process

systematic application of management policies, procedures and practices to the activities of communicating, consulting, establishing the context, and identifying, analysing, evaluating, treating, monitoring (3.3.40) and reviewing risk (3.1.1)

[SOURCE:ISO Guide 73:2009, 3.1]

3.3.2

interested party

stakeholder

person or organization (3.3.7) that can affect, be affected by, or perceives itself to be affected by a decision or activity

3.3.3

risk perception

interested party’s (3.3.2) view on risk (3.1.1)

Note 1 to entry: Risk perception reflects the interested party’s needs, issues, knowledge, beliefs and values.

[SOURCE:ISO Guide 73:2009, 3.2.1.2, modified — “interested party” has replaced “stakeholder”, and “risk” has replaced “a risk” in the definition.]

3.3.4

external context

external environment in which the organization (3.3.7) seeks to achieve its objectives (3.1.2)

Note 1 to entry: External context can include:
  • the cultural, social, political, legal, regulatory, financial, technological, economic, natural and competitive environment, whether international, national, regional or local;
  • key drivers and trends having impact on the objectives of the organization; and
  • relationships with, and perceptions and values of, external interested parties (3.3.2) .

[SOURCE:ISO Guide 73:2009, 3.3.1.1, modified — “interested parties” has replaced “stakeholders”.]

3.3.5

internal context

internal environment in which the organization (3.3.7) seeks to achieve its objectives (3.1.2)

Note 1 to entry: Internal context can include:
  • governance, organizational structure, roles and accountabilities;
  • policies, objectives, and the strategies that are in place to achieve them;
  • the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes, systems and technologies);
  • information systems, information flows and decision-making processes (both formal and informal);
  • relationships with, and perceptions and values of, internal interested parties (3.3.2) ;
  • the organization’s culture;
  • standards, guidelines and models adopted by the organization; and
  • form and extent of contractual relationships.

[SOURCE:ISO Guide 73:2009, 3.3.1.2, modified — “interested parties” has replaced “stakeholders”.]

3.3.6

risk criteria

terms of reference against which the significance of risk (3.1.1) is evaluated

Note 1 to entry: Risk criteria are based on organizational objectives (3.1.2) , and external (3.3.4) and internal context (3.3.5) .

Note 2 to entry: Risk criteria can be derived from standards, laws, policies and other requirements.

[SOURCE:ISO Guide 73:2009, 3.3.1.3, modified — “risk” has replaced “a risk” in the definition.]

3.3.7

organization

person or group of people that has its own functions with responsibilities, authorities and relationships to achieve its objectives (3.1.2)

Note 1 to entry: The concept of organization includes, but is not limited to, sole-trader, company, corporation, firm, enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated or not, public or private.

3.3.8

risk assessment

overall process of risk identification (3.3.9) , risk analysis (3.3.15) and risk evaluation (3.3.25)

[SOURCE:ISO Guide 73:2009, 3.4.1]

3.3.9

risk identification

process of finding, recognizing and describing risks (3.1.1)

Note 1 to entry: Risk identification involves the identification of risk sources (3.3.10) , events (3.3.11) , their causes and their potential consequences (3.3.18) .

Note 2 to entry: Risk identification can involve historical data, theoretical analysis, informed and expert opinions, and interested party’s (3.3.2) needs.

[SOURCE:ISO Guide 73:2009, 3.5.1, modified — “interested party” has replaced “stakeholder”.]

3.3.10

risk source

element which alone or in combination has the potential to give rise to risk (3.1.1)

3.3.11

event

occurrence or change of a particular set of circumstances

Note 1 to entry: An event can have one or more occurrences, and can have several causes and several consequences (3.3.18) .

Note 2 to entry: An event can also be something that is expected which does not happen, or something that is not expected which does happen.

Note 3 to entry: An event can be a risk source (3.3.10) .

3.3.12

hazard

source of potential harm

Note 1 to entry: Hazard can be a risk source (3.3.10) .

[SOURCE:ISO Guide 73:2009, 3.5.1.4]

3.3.13

threat

potential source of danger, harm, or other undesirable outcome

Note 1 to entry: A threat is a negative situation in which loss is likely and over which one has relatively little control.

Note 2 to entry: A threat to one party may pose an opportunity (3.3.23) to another.

3.3.14

risk owner

person or entity with the accountability and authority to manage risk (3.1.1)

[SOURCE:ISO Guide 73:2009, 3.5.1.5, modified — “risk” has replaced “a risk” in the definition.]

3.3.15

risk analysis

process to comprehend the nature of risk (3.1.1) and to determine the level of risk (3.3.22)

Note 1 to entry: Risk analysis provides the basis for risk evaluation (3.3.25) and decisions about risk treatment (3.3.32) .

[SOURCE:ISO Guide 73:2009, 3.6.1, modified —Note 2 to entry has been deleted.]

3.3.16

likelihood

chance of something happening

Note 1 to entry: In risk management terminology, the word “likelihood” is used to refer to the chance of something happening, whether defined, measured or determined objectively or subjectively, qualitatively or quantitatively, and described using general terms or mathematically [such as a probability (3.3.19) or a frequency (3.3.20) ].

Note 2 to entry: The English term “likelihood” does not have a direct equivalent in some languages; instead, the equivalent of the term “probability” is often used. However, in English, “probability” is often narrowly interpreted as a mathematical term. Therefore, in risk management terminology, “likelihood” is used with the intent that it should have the same broad interpretation as the term “probability” has in many languages other than English.

3.3.17

exposure

extent to which an organization (3.3.7) and/or interested party (3.3.2) is subject to an event (3.3.11)

[SOURCE:ISO Guide 73:2009, 3.6.1.2, modified — “interested party” has replaced “stakeholder”.]

3.3.18

consequence

outcome of an event (3.3.11) affecting objectives (3.1.2)

Note 1 to entry: A consequence can have positive or negative, direct or indirect, effects on objectives.

Note 2 to entry: Consequences can be expressed qualitatively or quantitatively.

Note 3 to entry: Any consequence can escalate through cascading and cumulative effects.

3.3.19

probability

measure of the chance of occurrence expressed as a number from 0 to 1 ここで, 0 is impossibility and 1 is absolute certainty

Note 1 to entry: See 3.3.16, Note 2 to entry.

[SOURCE:IEC 31010:2019, 3.3, modified — The definition has been modified.]

3.3.20

frequency

number of events (3.3.11) or outcomes per defined unit of time

Note 1 to entry: Frequency can be applied to past events or to potential future events ここで, it can be used as a measure of likelihood (3.3.16) / probability (3.3.19) .

[SOURCE:ISO Guide 73:2009, 3.6.1.5]

3.3.21

vulnerability

intrinsic properties of something resulting in susceptibility to a risk source (3.3.10) that can lead to an event (3.3.11) with a consequence (3.3.18)

[SOURCE:ISO Guide 73:2009, 3.6.1.6]

3.3.22

level of risk

magnitude of a risk (3.1.1) or combination of risks, expressed in terms of the combination of consequences (3.3.18) and their likelihood (3.3.16)

[SOURCE:ISO Guide 73:2009, 3.6.1.8]

3.3.23

opportunity

combination of circumstances expected to be favourable to objectives (3.1.2)

Note 1 to entry: An opportunity is a positive situation in which gain is likely and over which one has a fair level of control.

Note 2 to entry: An opportunity to one party may pose a threat (3.3.13) to another.

Note 3 to entry: Taking or not taking an opportunity are both sources of risk (3.1.1) .

[SOURCE:IEC 31010:2019, 3.2]

3.3.24

risk driver

factor that has a major influence on risk (3.1.1)

[SOURCE:IEC 31010:2019, 3.4]

3.3.25

risk evaluation

process of comparing the results of risk analysis (3.3.15) with risk criteria (3.3.6) to determine whether the risk (3.1.1) is acceptable or tolerable

Note 1 to entry: Risk evaluation assists in the decision about risk treatment (3.3.32) .

[SOURCE:ISO Guide 73:2009, 3.7.1, modified — “and/or its magnitude” has been deleted from the definition.]

3.3.26

risk attitude

organization’s (3.3.7) approach to assess and eventually pursue, retain, take or turn away from risk (3.1.1)

[SOURCE:ISO Guide 73:2009, 3.7.1.1]

3.3.27

risk appetite

amount and type of risk (3.1.1) that an organization (3.3.7) is willing to pursue or retain

[SOURCE:ISO Guide 73:2009, 3.7.1.2]

3.3.28

risk tolerance

organization’s (3.3.7) or interested party’s (3.3.2) readiness to bear the residual risk (3.3.38) in order to achieve its objectives (3.1.2)

Note 1 to entry: Risk tolerance can be influenced by legal or regulatory requirements.

[SOURCE:ISO Guide 73:2009, 3.7.1.3, modified — “interested party” has replaced “stakeholder”, and “residual risk” has replaced “risk after risk treatment”.]

3.3.29

risk aversion

attitude to turn away from risk (3.1.1)

[SOURCE:ISO Guide 73:2009, 3.7.1.4]

3.3.30

risk aggregation

combination of a number of risks (3.1.1) into one risk to develop a more complete understanding of the overall risk

[SOURCE:ISO Guide 73:2009, 3.7.1.5]

3.3.31

risk acceptance

informed decision to take a particular risk (3.1.1)

Note 1 to entry: Risk acceptance can occur without r isk treatment (3.3.32) or during the process of risk treatment.

Note 2 to entry: Accepted risks are subject to monitoring (3.3.40) and review (3.3.41) .

[SOURCE:ISO Guide 73:2009, 3.7.1.6]

3.3.32

risk treatment

process to modify risk (3.1.1)

Note 1 to entry: Risk treatment can involve:
  • avoiding the risk by deciding not to start or continue with the activity that gives rise to the risk;
  • taking or increasing risk in order to pursue an opportunity (3.3.23) ;
  • removing the risk source (3.3.10) ;
  • changing the likelihood (3.3.16) ;
  • changing the consequences (3.3.18) ;
  • sharing the risk with another party or parties [including contracts and risk financing (3.3.36) ]; and
  • retaining the risk by informed decision.

Note 2 to entry: Risk treatments that deal with negative consequences are sometimes referred to as “risk mitigation”, “risk elimination”, “risk prevention” and “risk reduction”.

Note 3 to entry: Risk treatment can create new risks or modify existing risks.

[SOURCE:ISO Guide 73:2009, 3.8.1]

3.3.33

risk control

measure that maintains and/or modifies risk (3.1.1)

Note 1 to entry: Risk controls include, but are not limited to, any process, policy, device, practice, or other conditions and/or actions which maintain and/or modify risk.

Note 2 to entry: Risk controls do not always exert the intended or assumed modifying effect.

3.3.34

risk avoidance

informed decision not to be involved in, or to withdraw from, an activity in order not to be exposed to a particular risk (3.1.1)

Note 1 to entry: Risk avoidance can be based on the result of risk evaluation (3.3.25) and/or legal and regulatory obligations.

[SOURCE:ISO Guide 73:2009, 3.8.1.2]

3.3.35

risk sharing

form of risk treatment (3.3.32) involving the agreed distribution of risk (3.1.1) with other parties

Note 1 to entry: Legal or regulatory requirements can limit, prohibit or mandate risk sharing.

Note 2 to entry: Risk sharing can be carried out through insurance or other forms of contract.

Note 3 to entry: The extent to which risk is distributed can depend on the reliability and clarity of the sharing arrangements.

[SOURCE:ISO Guide 73:2009, 3.8.1.3, modified — Note 4 to entry has been deleted.]

3.3.36

risk financing

form of risk treatment (3.3.32) involving contingent arrangements for the provision of funds to meet or modify the financial consequences (3.3.18) should they occur

[SOURCE:ISO Guide 73:2009, 3.8.1.4]

3.3.37

risk retention

acceptance of the potential benefit of gain, or burden of loss, from a particular risk (3.1.1)

Note 1 to entry: Risk retention includes the acceptance of residual risks (3.3.38) .

Note 2 to entry: The level of risk (3.3.22) retained can depend on risk criteria (3.3.6) .

[SOURCE:ISO Guide 73:2009, 3.8.1.5]

3.3.38

residual risk

risk (3.1.1) remaining after risk treatment (3.3.32)

Note 1 to entry: Residual risk can contain unidentified risk.

Note 2 to entry: Residual risk can also be known as “retained risk”.

[SOURCE:ISO Guide 73:2009, 3.8.1.6]

3.3.39

resilience

adaptive capacity of an organization (3.3.7) in a complex and changing environment

[SOURCE:ISO Guide 73:2009, 3.8.1.7]

3.3.40

monitoring

continual checking, supervising, critically observing or determining the status in order to identify change from the performance level required or expected

Note 1 to entry: Monitoring can be applied to a risk management framework, risk management process (3.3.1) , risk (3.1.1) or risk control (3.3.33) .

[SOURCE:ISO Guide 73:2009, 3.8.2.1, modified — “risk control” has replaced “control” in Note 1 to entry.]

3.3.41

review

activity undertaken to determine the suitability, adequacy and effectiveness of the subject matter to achieve established objectives (3.1.2)

Note 1 to entry: Review can be applied to a risk management framework, risk management process (3.3.1) , risk (3.1.1) or risk control (3.3.33) .

[SOURCE:ISO Guide 73:2009, 3.8.2.2, modified — “risk control” has replaced “control” in Note 1 to entry.]

3.3.42

risk reporting

form of communication intended to inform particular internal or external interested party (3.3.2) by providing information regarding the current state of risk (3.1.1) and its management

[SOURCE:ISO Guide 73:2009, 3.8.2.3, modified — “interested party” has replaced “stakeholder”.]

3.3.43

risk management audit

systematic, independent and documented process for obtaining evidence and evaluating it objectively in order to determine the extent to which the risk management framework, or any selected part of it, is adequate and effective

[SOURCE:ISO Guide 73:2009, 3.8.2.6]

Bibliography

1ISO 31000:2018, Risk management — Guidelines
2ISO Guide 73:2009, Risk management — Vocabulary
3ISO/IEC Guide 51, Safety aspects — Guidelines for their inclusion in standards
4IEC 31010:2019, Risk management — Risk assessment techniques

ISO PDF プレビュー