《風險管理-原則與指南》標準使用了以下的術語和定義。

1. 風險 risk

不確定性對目標的影響。

注1.  影響可能偏離預期——正面的和/或負面的。

注2.  目標可以有不同的方面（如財務、健康安全以及環境目標），并應用于不同的層次（如戰略、組織整體、項目、產品和過程）。

注3.   風險常具有潛在事件和后果或二者結合的特征。

注4.   風險經常用一個事件的后果（包括情況變化）和對應的發生可能性這二者的結合來表示。

注5.   不確定性是缺乏或者部分缺乏對一個事件、后果或發生可能性的相關信息、了解或認識的狀態。

[ ISO Guide 73:2009，definition 1.1]

2. 風險管理 risk management

   針對風險所采取的智慧和控制組織的協調活動。

[ ISO Guide 73:2009，definition 2.1]

3. 風險管理框架 risk management framework

  為設計、實施、監測、評審和持續改進整個組織的風險管理而提供基礎和組織安排的一組構成。

注1. 基礎包括方針、目標以及對管理風險的授權與承諾。

注2.  組織的安排包括計劃、相互關系、責任、資源、過程和活動。

注3.  風險管理框架被嵌入到組織的所有戰略、運營方針及實踐中。

注4.   [ ISO Guide 73:2009，definition 2.1.1]

4. 風險管理方針 risk management policy

  一個組織在風險管理方面總的意愿和方向的陳述。

[ ISO Guide 73:2009，definition 2.1.2]

5. 風險態度 risk attitude

  組組在評估及追求、保留、承擔或規避風險方面的方式和態度。

  [ ISO Guide 73:2009，definition 3.7.1.1]

6. 風險管理計劃 risk management plan

  在風險管理框架中，用于表述管理風險的方法、管理構成和資源的策劃。

注1. 管理構成一般包括程序、實施、職責分配、活動的順序和時間安排。

注2.  風險管理計劃可被應用到特定產品、過程和項目、組織的部分或整體。

 [ ISO Guide 73:2009，definition 2.1.3]

7. 風險所有者 risk owner

  對管理某個風險負有責任和權力的個人或實體。

[ ISO Guide 73:2009，definition 3.5.1.5]

8. 風險管理過程 risk management process

  將管理方針、程序和操作方法系統地應用到溝通和咨詢、建立環境，以及識別、分析、評價、應對、監測和評審風險的活動中。

  [ ISO Guide 73:2009，definition 3.1]

9. 建立環境 establishing the context

  在管理風險和為風險管理方針設定范圍及風險準則時，設定被考慮的外部和內部的參數的過程。

[ ISO Guide 73:2009，definition 3.3.1]

10. 外部環境 external context

  組織追求實現其目標所處的外部環境。

注，外部環境包括：

—  外部、社會、政治、法律、法規、金融、技術、經濟、自然環境和競爭環境，無論是國際的、國內的、區域的或本地的；

—  對組織目標有影響的關鍵驅動因子和趨勢；‘

—  與外部利益相關方的關系，以及他們的感知和價值觀。

[ ISO Guide 73:2009，definition 3.3.1.1]

11. 內部環境 internal context

  組織追求實現其目標所處的內部環境。

注，內部環境包括：

• 治理、組織結構、角色、責任；
• 方針、目標，以及實現它們的戰略；
• 能力，對資源和知識的理解（如資本、時間、人員、過程、系統、技術）；
• 信息系統、信息流、決策過程（包括證實的和非正式的）；
• 與內部利益相關方的關系，以及他們感知和價值觀；
• 組織的文化；
• 組織采用的標準、指南和模型；

 契約關系的形式和程度。

[ ISO Guide 73:2009，definition 3.3.1.2]

12. 溝通和咨詢 communication and consultation

  組織關于管理風險所實施的提供、共享、獲取信息，以及與利益相關方從事對話的持續的和往復的過程。

注1. 信息與管理風險的客觀存在、性質、形式、可能性、重要性、評價、可接受性、應對相關。

注2. 咨詢是組織與其利益相關方之間就是某一議題決策的優先級或確定某個議題的方向而進行正式溝通那個的雙向過程。咨詢是：

—   通過影響力而不是權力對決策產生影響的一個過程；

—   對決策的一個輸入，而不是聯合決策。

   [ ISO Guide 73:2009，definition 3.2.1]

13. 利益相關方 stakeholder

  可能影響、被影響或感覺其自身可能被某一項決定或活動所影響的個人或組織。

注：決策者能夠是一個利益相關方。

    [ ISO Guide 73:2009，definition 3.2.1.1]

14. 風險評估 risk assessment

  風險識別、風險分析和風險評價的全過程。

[ ISO Guide 73:2009，definition 3.4.1]

15. 風險識別 risk identification

  發現、承認和表述風險的過程

注1. 風險是被包括對風險源、風險事件、風險原因及其潛在后果的識別。

注2. 風險是被可包括歷史數據、理論分析、有見識的意見、專家的意見，以及利益相關方的需求。

    [ ISO Guide 73:2009，definition 3.5.1]

16. 風險源 risk source

  對導致風險具有內在可能性的元素或元素的結合。

注：風險源可以是有形的或無形的。

     [ ISO Guide 73:2009，definition 3.5.1.2]

17. 事件 event

  一組特定情況的發生或變化。

注1.   一個事件可以是一個或多個的發生，并且可以有多個原因。

注2.   一個事件可以由未發生的事情組成。

注3.   一個事件有時被稱為“不良事件”或“事故”

注4.   一個沒有后果的事件也可以被稱為“臨近過失”、“不良事件”、“臨近傷害”或“最后通牒”。

   [ ISO Guide 73:2009，definition 3.5.1.3]

18. 后果 consequence

      影響目標的一個事件的結果。

注1.    一個事件可能導致多種后果。

注2.    一個后果可能是確定的或不確定的，且對目標可能有正面的或負面的影響。

注3.   后果能夠被定性或定量表示

注4.  通過連鎖效應可以使最初的后果升級。

   [ ISO Guide 73:2009，definition 3.6.1.3]

19. 可能性 likelihood

  某事發生的機會。

注1.  在風險管理的專用術語中，無論如何定義、測量或以目標的、學科的、定性的、定量的確定，還是用一般詞匯或數學上的描述（如概率或在給定時間階段的頻率），“可能性”一詞被指定用于某事發生的機會。

注2.   “可能性”這一英語詞匯在其他語言中沒有直接對應的詞匯；作為代替，經常使用“概率”一詞。然而，在英語中，“概率”一詞經常作為范圍較窄的數學詞匯。因此，在風險管理專業詞匯中，使用“可能性”一詞時，應注意它與許多語言中使用的“頻率”一詞具有相同的內涵解釋，而不局限于英語中“概率”一詞的意義。

      [ ISO Guide 73:2009，definition 3.6.1.1]

20. 風險狀況  risk profile

  對任何一組風險的描述。

注：這組風風險可以包含那些與整個組織、組織的一部分或其他方面有關的風險。

  [ ISO Guide 73:2009，definition 3.8.2.5]

21. 風險分析 risk analysis

  理解風險本性和確定風險等級的過程。

注1.  風險分析為風險評價和風險應對決策提供基礎。

注2.   風險分析包括風險估計。

  [ ISO Guide 73:2009，definition 3.6.1]

22. 風險準則 risk criteria

  評價風險重要性的參照依據。

注1. 風險準則基于組織的目標、外部環境和內部環境。

注2.   風險準則可以來自標準、法律、政策和其他要求。

   [ ISO Guide 73:2009，definition 3.3.1.3]

23. 風險等級 level of risk

  以結果及其可能性的結合表示的一個風險或組合風險的哦大小或量級。

  [ ISO Guide 73:2009，definition 3.6.1.8]

24. 風險評價 risk evaluation

  把風險分析結果與風險準則相比，已決定風險和/或其大小是否是可接受或可容忍的過程。

注：風險評價有助于風險應對的決策。

[ ISO Guide 73:2009，definition 3.7.1]

 25. 風險應對 risk treatment

  改變風險的過程。

注1.   風險應對包括：

—  規避風險，通過決定不開始或不繼續導致風險的活動；

—  為尋求機會而承擔或增大風險；

—  消除風險源；

—  改變可能性；

—  改變后果；

與另外一方或多方分擔風險（包括合同和風險融資）；

—以正式的決定保留風險；

注2.  對有負面結果的風險應對有時被稱為“風險緩釋”、“風險消除”、“風險預防”或風險降低“。

注3.   風險應對可能造成新的風險，或改變現存的風險。

  [ ISO Guide 73:2009，definition 3.8.1]

26. 控制 control

  用于改變風險的措施。

注1.  控制包括任何程序、政策、實踐、或其他改變風險的活動。

注2.   控制并不總是對預期或假定的修改效果產生影響。

[ ISO Guide 73:2009，definition 3.8.1.1]

27. 剩余風險 residual risk

  風險應對后剩下的風險。

注1.  剩余風險可能包括未識別的風險。

注2.  剩余風險也可以認為是”保留的風險“。

[ ISO Guide 73:2009，definition 3.8.1.6]

28. 監控 monitoring

  對某種狀態進行持續的檢查、監督，審慎觀察或決定，以識別其與所要求或期望的績效水平之間的變化。

注：監控可應用于風險管理框架、風險管理過程、風險或控制。

   [ ISO Guide 73:2009，definition 3.8.2.1]

29. 評審 reviewing

  為確定主題事項達到規定目標的適宜性、充分性和有效性進行的活動。

注：評審可應用于風險管理框架、風險管理過程、風險或控制。