風險管理—ISO 31000風險管理原則與指導的實施指引 (續,見前篇)
附錄B 應用ISO 31000原則
B.1 通則
雖然所有組織都在一定程度上管理風險,但 ISO 31000 確立了需要滿足的拾壹項原則,以使風險管理有效。該等原則就以下問題提供了指導:
- 有效管理風險的理由,如:風險管理創造和保護價值:
- 使風險管理能夠有效的風險管理之特徵,例如原則 b)其中規定風險管理是所有組織過程的整體組成部分。
在設計組織的風險管理目標時,須考慮所有拾壹項原則,但是,個別原則的重要性可能因所考慮的架構部分而有所不同,並根據其具體應用量身定做。
該等原則的成功實施將決定組織風險管理的有效性和效率。所有拾壹項原則都應始終銘記,儘管個別原則的重要性可能因所審議架構的一部分而有所不同。
雖然該等原則表達得簡明扼要,但需要徹底理解每項原則的影響,以便繼續實施該等原則。
然後,這種分析的結果須反映在架構的設計或改進中,例如:分配當責、提供訓練、與利益相關者溝通,以及設計持續監督和審查風險管理績效等方面。
本附件就如何適用每個原則提供了指導,此外,對於某些原則,還有實際幫助的要點。
B.2 原則
ISO 31000 的十大原則
為達到最大的效益,組織的風險管理應遵循以下原則:
B.2.1 風險管理創造價值。
B.2.1.1原則
a)風險管理創造價值。風險管理有助於目標的實現和改進績效,例如:人類健康和安全、保全、法律和法規符合性、公眾認同、環境保護、產品品質、專案管理、營運效率、公司治理和聲譽。
此原則闡明,風險管理目的係通過幫助組織實現其目標,從而創造和保護價值。通過説明組織識別和處理與組織目標相關的不確定性的內部或外部因素以做到該點。
須明確展示和傳達風險管理的有效性與它如何促進組織成功之間的聯繫。該原則闡明,不宜為了自身利益而管理風險,而應實現目標並提高績效。
有些屬性和價值不容易直接衡量(例如:金錢方面),但它們也有力地促進了績效、聲譽和法律符合性。人類、社會和生態價值在管理安全、保全和符合性的相關風險,以及與無形資產相關的風險方面尤為重要,因此可能需要用定性描述而不是定量衡量來表達價值創造。
B.2.1.2 如何應用原則
此原則闡明,風險管理目的係通過幫助組織實現其目標,從而創造和保護價值。通過説明組織識別和處理與組織目標相關的不確定性的內部或外部因素以做到該點。
須明確展示和傳達風險管理的有效性與它如何促進組織成功之間的聯繫。該原則闡明,不宜為了自身利益而管理風險,而應實現目標並提高績效。
有些屬性和價值不容易直接衡量(例如:金錢方面),但它們也有力地促進了績效、聲譽和法律符合性。人類、社會和生態價值在管理安全、保全和符合性的相關風險,以及與無形資產相關的風險方面尤為重要,因此可能需要用定性描述而不是定量衡量來表達價值創造。
B.2.2風險管理是組織全部過程中整合的組成部分。
B.2.2.1 原則
b)風險管理是組織全部過程中整合的組成部分風險管理不是與組織主要活動和組織過程分離的獨立活動。風險管理是管理階層職責中的一部分,同所有策略規劃、專案、變更管理過程一樣是組織全部過程中整合的一部分。
一個組織的活動,包括它所做的決定,會帶來風險。外部前後環節改變超出組織的控制和影響,也可以帶來新風險。該組織的所有活動和過程都發生在內部和外部環境中,在這種環境中存在不確定性。由此可見:
應用該原則的兩種主要方法如下:
稽核機構也可以發揮重要作用,質疑管理階層是如何做出決策的,及測試其是否展現出風險管理過程的適當應用。
註1:此份文件引用ISO 31000時皆為2009年版本(第一版)。
註2:ISO 31000:2018(第二版)已出版。中文翻譯內容參見CNS 31000:2021。
註3:ISO/TR 31004:2013已由ISO/TC 262撤銷。
註4:另參考ISO/TC 262出版的指引IWA 31:2020(另文介紹)。
詳細內容參見原資料內容 。
(未完,見續篇)
B.2.2.2 如何應用原則
一個組織的活動,包括它所做的決定,會帶來風險。外部前後環節改變超出組織的控制和影響,也可以帶來新風險。該組織的所有活動和過程都發生在內部和外部環境中,在這種環境中存在不確定性。由此可見:
- 管理風險的架構須通過將其組成部分納入組織的整體管理和決策系統以實現之,無論該系統是正式的還是非正式的;可參照 ISO 31000 改進現有管理過程:
- 管理風險的過程須是產生風險的活動的一個組成部分:否則,組織會發現,在隨後瞭解相關風險時,需要修改決策:
- 如果不存在正式的管理系統,則風險管理架構可以供作此目的。
應用該原則的兩種主要方法如下:
- 制訂(包括維護及改進)風險管理架構:
- 在風險管理過程中應用於做出決策及相關活動。
稽核機構也可以發揮重要作用,質疑管理階層是如何做出決策的,及測試其是否展現出風險管理過程的適當應用。
B.2.3風險管理是做出決策的一部分。
B.2.3.1 原則
c)風險管理是做出決策的一部分風險管理有助於決策者做出知情選擇、確立優選措施以及對各備選措施的判斷。
該原則指出,風險管理為知情決策奠定了基礎。風險管理應納入支持實現目標和做出決策過程的活動。做出決策過程須始終如一地評鑑和必要時處理風險。做或不做出決策所涉及的風險,瞭解這兩種情況下的關聯風險非常重要。
風險管理須應用在決策的一部分,在做出決定時(即主動決策),而不是在做出決策之後(即被動決策),例如:
在整個組織中負責決策的人員應瞭解組織的風險管理政策,並應特別要求具備將風險管理過程應用於做出決策的能力。此須明確配置當責制,佐以技能訓練和績效審查。
—説明其係如何創造和保護價值?[原則 a)]
—在組織中如何以及在哪裡做出決策?
—誰參與做出決策?
—凡屬做出決策的人需要什麼知識和技能,才能使風險管理成為他們做出決策的一部分?
—決策者將如何獲得他們需要的知識和技能?
—現有員工需要什麼指引和支援?
—未來的員工將如何採用這種決策方法?
—外部利益相關者將如何受到影響?
—組織中的哪些做出決策過程需要改變?
—如何監督應用本原則的進展情況?
風險管理相較於其他類型的管理,獨特之處在於特別著重在解決不確定性對目標的作用。只有瞭解這種不確定性的性質和來源,才能評估或成功處理風險。
所有類型的不確定性都需要考慮,且需注意切莫將之高估或低估。
在選擇風險處理和考慮控制的作用和可靠性時,專注在不確定性也很重要。同樣地,風險管理過程的相關配套措施也存在不確定性,例如:在與利益相關者溝通和諮詢時,資訊是否已成功傳遞,或者所選的監督過程間隔是否足以查覺出來變化情況。
參與風險管理的人,須對不確定性的重要性以及不確定性的類型和來源有一個正確的掌握。用於解決不確定性的風險評鑑方法的數量和類型,須適宜且與決策的重要性相關;可能需要變換採取多種方法。
記錄風險管理過程時的假設(ISO 31000,第5.7節)。該項假設通常反映了某種形式的不確定性,以及將任何足以區分出來的不確定性因素,納入該過程的各個步驟。
在評鑑風險時,必須考慮與等級估計評分相關的不確定性的可能性和後果。
在分析風險和提出處理建議時,須使用敏感性研究以瞭解該等不確定性的實際影響。
在做出決策時,一致的風險管理方式將提高組織的效率,並能提供建立信心和成功的結果。這就要求組織實踐考慮與所有決策相關的風險,並使用與組織目標及其活動範圍相關的一致風險準則。
及時化方式意味著風險管理過程在做出決策過程的應用在最佳時間點。在一定程度上取決於架構的設計,而原則亦適用該架構。如果風險考慮的太早或太晚,要麼失去機會,要麼可能為修改決定帶來大筆成本。須評鑑和理解時間依賴關係,以決定最有效的風險管理方式。
結構化方式意味著以ISO 31000第5條所述的方式應用風險管理過程,包括為該等活動作適當準備。根據需要,該方法須與自上而下或自下而上的方法保持一致,以便對應適當的管理階層。
獲取最佳可用資訊以便正確理解任何風險非常重要。因此,風險管理安排須包括收集或生成資訊的方法(如:研究)。然而,儘管盡了最大努力,但現有資訊有時仍然有限,例如:預測將來會發生什麼可能僅限於使用統計預測。
須理解決策對資訊中任何不確定性的敏感性。風險評估的可靠性將部分取決於風險準則的明確性和準確性。收集與風險相關的資料(如:事件的發生和其他基於經驗的資訊)可以幫助統計預測。
雖然基於證據做出決策是最高目標,但在時間或現有資源下,並非總是可能實現。在此種情況下,須結合現有資訊,使用專家判斷。然而,在做出此種判斷時,需要注意避免群體偏見。此外,過去的證據可能無法準確預測未來。在涉及發生非常劇烈後果事件的可能情況中,如果有潛在傷害的證據,而不是確鑿的傷害證據,缺乏資訊可能會促使採取措施。
此原則亦適用於風險管理架構的設計(或改進),因為該架構的某些方面(如:提供研究能力或收集、分析、更新和獲得資訊以支援該過程的應用)將決定此一原則的適用程度。
須定期評估資訊的可靠性和準確性,以評估其相關性、及時性和可靠性,並記錄假設。該架構須提供定期審查和發出更新或更正。
ISO 31000 提供適用於所有類型組織和所有類型風險的通用風險管理方法。所有組織都有自己的文化和特徵、風險準則和運作背景。風險管理應針對每個組織的需求量身打造。
沒有單一、正確的方法設計和實施風險管理架構和過程,因為需要每個組織的靈活性和適應性。設計可以由許多面向決定,包括組織規模、文化、部門、配置和管理風格。
不同的風險領域可能需要在同一組織內進行不同的量身打造過程。雖然所有過程都應與 ISO 31000 一致,但所涉及的系統、模型和判斷準則(例如,參與評鑑資訊技術相關風險、財務和投資風險,或競爭對手風險的人員)之間將存在差異。每個過程皆須根據具體目的進行量身打造。
由於該架構的目的是確保風險管理過程以有效果和反映政策的方式應用於做出決策,因此架構的設計須反映決策的地點和方式,並須考慮到組織所承擔的任何法律或其他外部義務。
重要的是謹記,量身打造並不意味著架構的要素(如ISO 31000所述,第4條)或過程的步驟(見ISO 31000,第5條)須有所變動。所有該等事項都對有效地管理風險至關重要。
此一原則在設計和改進風險管理架構時非常重要,但它也與過程各個方面的結構方式相關。
此一原則亦可以表明,組織需要考慮內部問題,如:工作人員流動率(若變動幅度相當大,可能需要適當調整入職前訓練範圍,以確保所有新進員工都能夠滿足關於風險管理對新進人員的要求)。
為了實現與組織做出決策過程的整合,有必要對架構進行量身打造。還需要修改做出決策過程,以適應結構化的風險管理架構。
在設計風險管理架構時,須包括徵求和考慮將參與實施該架構成員的意見。
-更深入地瞭解ISO 31000的基本概念,將有助於確保調整架構和過程,將實現有效風險管理的屬性,如ISO 31000,附件A。相反地,只是勾選欄位並不會實現此等要點。
關於風險的架構和溝通的設計,須考慮到聽眾的文化特徵和知識水準。
實用協助:
— 管理者須表明關於促成和支援尊重和理解個人差異的方式行事。
—人們喜歡被問及自己的觀點。—一般來說,組織獎勵他們重視的東西。如果挑選員工、晉陞和薪酬沒有公開與實際風險管理績效掛鉤,則此類績效不太可能達到預期標準。須適當承認個人的努力。
—一般來說,依靠單一的人為控制對風險進行大的修改是不明智的。
—跨國組織明智地認識到文化在決定人們行為方式方面的重要性。
B.2.3.2 如何應用原則
該原則指出,風險管理為知情決策奠定了基礎。風險管理應納入支持實現目標和做出決策過程的活動。做出決策過程須始終如一地評鑑和必要時處理風險。做或不做出決策所涉及的風險,瞭解這兩種情況下的關聯風險非常重要。
風險管理須應用在決策的一部分,在做出決定時(即主動決策),而不是在做出決策之後(即被動決策),例如:
- 關於策略問題的決定,須考慮到環境因素改變,以及組織資源變化的不確定性;
- 創新過程不僅要考慮決定創新成功的不確定性,還要考慮創新中涉及人、社會、安全和環境面向的風險,並按法律要求(如:產品安全);
- 大型投資計畫須具體說明進行風險評鑑的做出決策里程碑。
- 組織關於風險管理的政策及其溝通方式應反映此一原則。
在整個組織中負責決策的人員應瞭解組織的風險管理政策,並應特別要求具備將風險管理過程應用於做出決策的能力。此須明確配置當責制,佐以技能訓練和績效審查。
實用協助:
為落實本原則,須從開始就認真考慮以下問題:—説明其係如何創造和保護價值?[原則 a)]
—在組織中如何以及在哪裡做出決策?
—誰參與做出決策?
—凡屬做出決策的人需要什麼知識和技能,才能使風險管理成為他們做出決策的一部分?
—決策者將如何獲得他們需要的知識和技能?
—現有員工需要什麼指引和支援?
—未來的員工將如何採用這種決策方法?
—外部利益相關者將如何受到影響?
—組織中的哪些做出決策過程需要改變?
—如何監督應用本原則的進展情況?
B.2.4 風險管理明確地處理不確定性
B.2.4.1 原則
d) 風險管理可以處理決策中的不確定性、該不確定性的性質,以及如何處理該不確定性。B.2.4.2 如何應用原則
風險管理相較於其他類型的管理,獨特之處在於特別著重在解決不確定性對目標的作用。只有瞭解這種不確定性的性質和來源,才能評估或成功處理風險。
所有類型的不確定性都需要考慮,且需注意切莫將之高估或低估。
在選擇風險處理和考慮控制的作用和可靠性時,專注在不確定性也很重要。同樣地,風險管理過程的相關配套措施也存在不確定性,例如:在與利益相關者溝通和諮詢時,資訊是否已成功傳遞,或者所選的監督過程間隔是否足以查覺出來變化情況。
參與風險管理的人,須對不確定性的重要性以及不確定性的類型和來源有一個正確的掌握。用於解決不確定性的風險評鑑方法的數量和類型,須適宜且與決策的重要性相關;可能需要變換採取多種方法。
記錄風險管理過程時的假設(ISO 31000,第5.7節)。該項假設通常反映了某種形式的不確定性,以及將任何足以區分出來的不確定性因素,納入該過程的各個步驟。
在評鑑風險時,必須考慮與等級估計評分相關的不確定性的可能性和後果。
在分析風險和提出處理建議時,須使用敏感性研究以瞭解該等不確定性的實際影響。
實用協助:
決策者須採取務實態度,經常要問:「此處假設的是什麼情況?」此項做法不必侷限於正式的風險評鑑,例如,它可能適用於所有預測。
在將內部和外部環境視為建立前後環節的組成部分時,須注意可能與頻繁波動相關的任何特徵。此處是一個不確定的來源,也有助於持續監督和審查前後環節的方式。
如果不確定性表示已知特定值僅存在於某種限定範圍內,應溝通該範圍。
B.2.5風險管理系統化、結構化、及時化。
B.2.5.1 原則
e) 風險管理系統化、結構化、及時化。系統化、及時化、結構化的風險管理方式有助於提高效率和持續、可比較及結果可靠。
B.2.5.2 如何應用原則
在做出決策時,一致的風險管理方式將提高組織的效率,並能提供建立信心和成功的結果。這就要求組織實踐考慮與所有決策相關的風險,並使用與組織目標及其活動範圍相關的一致風險準則。
及時化方式意味著風險管理過程在做出決策過程的應用在最佳時間點。在一定程度上取決於架構的設計,而原則亦適用該架構。如果風險考慮的太早或太晚,要麼失去機會,要麼可能為修改決定帶來大筆成本。須評鑑和理解時間依賴關係,以決定最有效的風險管理方式。
結構化方式意味著以ISO 31000第5條所述的方式應用風險管理過程,包括為該等活動作適當準備。根據需要,該方法須與自上而下或自下而上的方法保持一致,以便對應適當的管理階層。
B.2.6 風險管理依賴於現有的最佳資訊
B.2.6.1 原則
f)風險管理依賴於現有的最佳資訊
風險管理的輸入過程所需資訊來源於如:歷史資料、經驗、利益相關者回饋、觀察、預測和專家判斷等。但是,決策者須考慮到資料或模型的侷限性及專家之間意見分歧的可能性。
B.2.6.2 如何應用原則
獲取最佳可用資訊以便正確理解任何風險非常重要。因此,風險管理安排須包括收集或生成資訊的方法(如:研究)。然而,儘管盡了最大努力,但現有資訊有時仍然有限,例如:預測將來會發生什麼可能僅限於使用統計預測。
須理解決策對資訊中任何不確定性的敏感性。風險評估的可靠性將部分取決於風險準則的明確性和準確性。收集與風險相關的資料(如:事件的發生和其他基於經驗的資訊)可以幫助統計預測。
雖然基於證據做出決策是最高目標,但在時間或現有資源下,並非總是可能實現。在此種情況下,須結合現有資訊,使用專家判斷。然而,在做出此種判斷時,需要注意避免群體偏見。此外,過去的證據可能無法準確預測未來。在涉及發生非常劇烈後果事件的可能情況中,如果有潛在傷害的證據,而不是確鑿的傷害證據,缺乏資訊可能會促使採取措施。
此原則亦適用於風險管理架構的設計(或改進),因為該架構的某些方面(如:提供研究能力或收集、分析、更新和獲得資訊以支援該過程的應用)將決定此一原則的適用程度。
須定期評估資訊的可靠性和準確性,以評估其相關性、及時性和可靠性,並記錄假設。該架構須提供定期審查和發出更新或更正。
實用協助:
在設計如何通報不良事件時,首先須仔細考慮該等資訊可以説明哪些決策,即當前和未來的最終使用者是誰,如何區分資訊,如何增強其完整性,以及如何獲得該等資訊。完成此任務後,可以設計報告表單,同時須緊記,所提供的品質可能會受到所需輸入報告表的時間點的影響。
須將前後環節的描述(包括編撰日期)作為對所面臨關鍵風險(如:風險登記簿)的詳細程度,及文件化的描述之部分。此點允許登記簿的使用者考慮隨後可能發生的前後環節的任何變更,從而改變風險。
在評鑑中作出假設時,包括任何限制,須明確記錄和了解該等假設的理由。
在設計風險處理方法時,應考慮如何監督由此產生的控制之績效,並提供給未來的決策者,他們可能依賴該等控制。
B.2.7 風險管理應適應組織
B.2.7.1 原則
g)風險管理應適應組織。
風險管理須一致於組織的外部、內部前後環節和風險剖繪。
B.2.7.2 如何應用原則
ISO 31000 提供適用於所有類型組織和所有類型風險的通用風險管理方法。所有組織都有自己的文化和特徵、風險準則和運作背景。風險管理應針對每個組織的需求量身打造。
沒有單一、正確的方法設計和實施風險管理架構和過程,因為需要每個組織的靈活性和適應性。設計可以由許多面向決定,包括組織規模、文化、部門、配置和管理風格。
不同的風險領域可能需要在同一組織內進行不同的量身打造過程。雖然所有過程都應與 ISO 31000 一致,但所涉及的系統、模型和判斷準則(例如,參與評鑑資訊技術相關風險、財務和投資風險,或競爭對手風險的人員)之間將存在差異。每個過程皆須根據具體目的進行量身打造。
由於該架構的目的是確保風險管理過程以有效果和反映政策的方式應用於做出決策,因此架構的設計須反映決策的地點和方式,並須考慮到組織所承擔的任何法律或其他外部義務。
重要的是謹記,量身打造並不意味著架構的要素(如ISO 31000所述,第4條)或過程的步驟(見ISO 31000,第5條)須有所變動。所有該等事項都對有效地管理風險至關重要。
此一原則在設計和改進風險管理架構時非常重要,但它也與過程各個方面的結構方式相關。
此一原則亦可以表明,組織需要考慮內部問題,如:工作人員流動率(若變動幅度相當大,可能需要適當調整入職前訓練範圍,以確保所有新進員工都能夠滿足關於風險管理對新進人員的要求)。
為了實現與組織做出決策過程的整合,有必要對架構進行量身打造。還需要修改做出決策過程,以適應結構化的風險管理架構。
-更深入地瞭解ISO 31000的基本概念,將有助於確保調整架構和過程,將實現有效風險管理的屬性,如ISO 31000,附件A。相反地,只是勾選欄位並不會實現此等要點。
B.2.8 風險管理考慮人類和文化因素
B.2.8.1 原則
h)風險管理考慮人類和文化因素。風險管理須考慮外部和內部人員的能力、觀點和傾向,該等因素可以促進或阻礙組織實現目標。
B.2.8.2 如何應用原則
此一原則涉及獲得利益相關者的意見,以及理解該等觀點可能受到人類和文化特徵的影響。需要考慮的因素包括社會、政治和文化以及時間概念。常見的錯誤類型包括以下內容:
檢測和回應預警訊號失效;
對他人的意見漠不關心或缺乏知識;
由於簡化資訊處理策略以解決複雜問題而出現偏差;
未能識別複雜性。
關於風險的架構和溝通的設計,須考慮到聽眾的文化特徵和知識水準。
實用協助:
— 管理者須表明關於促成和支援尊重和理解個人差異的方式行事。
—人們喜歡被問及自己的觀點。—一般來說,組織獎勵他們重視的東西。如果挑選員工、晉陞和薪酬沒有公開與實際風險管理績效掛鉤,則此類績效不太可能達到預期標準。須適當承認個人的努力。
—一般來說,依靠單一的人為控制對風險進行大的修改是不明智的。
—跨國組織明智地認識到文化在決定人們行為方式方面的重要性。
實用協助:
關於人類和組織因素的實用問題的例子如下示:
—組織結構是否適合組織的需要?
—有正式當責的個人身份已明確識別了嗎?
—是否所有工作描述都包含個人權力和責任的明確規範?
—所有溝通管道都清晰有效嗎?
—是否偶爾會檢查組織各級對溝通的理解和解釋是否正確?
—組織的士氣水準是否受到監督?
—團隊之間對界面進行檢討了嗎?
—是否存在回應機制,當謠言以負面方式衝擊之前,識別和回應該組織內部的謠言?
—是否有明確的招聘、薪酬和晉陞政策?
—如果政策有問題,是否有檢討過程?
—政策和程序皆予遵守了嗎?如果未予遵守,是否調查?是否強制執行?
—內部和外部稽核員是否在組織中尋找不安全或不倫理的行為?
B.2.9風險管理是透明的、包容的
B.2.9.1 原則
關於人類和組織因素的實用問題的例子如下示:
—組織結構是否適合組織的需要?
—有正式當責的個人身份已明確識別了嗎?
—是否所有工作描述都包含個人權力和責任的明確規範?
—所有溝通管道都清晰有效嗎?
—是否偶爾會檢查組織各級對溝通的理解和解釋是否正確?
—組織的士氣水準是否受到監督?
—團隊之間對界面進行檢討了嗎?
—是否存在回應機制,當謠言以負面方式衝擊之前,識別和回應該組織內部的謠言?
—是否有明確的招聘、薪酬和晉陞政策?
—如果政策有問題,是否有檢討過程?
—政策和程序皆予遵守了嗎?如果未予遵守,是否調查?是否強制執行?
—內部和外部稽核員是否在組織中尋找不安全或不倫理的行為?
B.2.9風險管理是透明的、包容的
B.2.9.1 原則
i)風險管理是透明的、包容的。
風險管理適時包括利益相關者,尤其是組織的各級決策者,以確保風險管理工作的相關性並及時更新。利益相關者參與使該等人們得以代表,對風險管理提出自己的觀點,以決定風險準則。
本原則可有效應用在多個層級。可以反映在組織的風險管理政策中(例如:「我們將盡可能通知和諮詢利益相關者,以便他們了解我們的目標,並能夠貢獻他們的知識和觀點,協助我們做出的決策」)。
做為風險管理過程應用的一部分,與利益相關者協商需要仔細規劃。此項關鍵可能建立或摧毀雙方的信心。為了提高效率並增強對結果的信心,相關利益相關者須參與風險管理過程的所有面向,包括設計溝通和諮詢過程。
執行本原則須考慮保密、保全和隱私問題,例如:可能要求對風險登記簿中的資訊加以隔離,以限制取得及使用某些資訊。
B.2.10風險管理是動態的、迭代的以及適應改變的
B.2.10.1 原則
j)風險管理是動態的、迭代的以及適應改變的
B.2.9.2 如何應用原則
本原則可有效應用在多個層級。可以反映在組織的風險管理政策中(例如:「我們將盡可能通知和諮詢利益相關者,以便他們了解我們的目標,並能夠貢獻他們的知識和觀點,協助我們做出的決策」)。
做為風險管理過程應用的一部分,與利益相關者協商需要仔細規劃。此項關鍵可能建立或摧毀雙方的信心。為了提高效率並增強對結果的信心,相關利益相關者須參與風險管理過程的所有面向,包括設計溝通和諮詢過程。
執行本原則須考慮保密、保全和隱私問題,例如:可能要求對風險登記簿中的資訊加以隔離,以限制取得及使用某些資訊。
實用協助:
—在風險管理訓練中須包括在溝通和諮詢方面發揮角色扮演作用。
—須評鑑接收資訊的人將如何處理此項資訊。
—須提供定期反饋,展現承諾或預測的實際執行效果如何。
—須鼓勵、承認和讚賞未經請求的意見,並儘可能提供有關該等意見的反饋。
B.2.10風險管理是動態的、迭代的以及適應改變的
B.2.10.1 原則
j)風險管理是動態的、迭代的以及適應改變的
由於內部和外部事件的不斷發生、前後環節和知識的不斷改變、監督和審查風險的出現、新浮現風險,以及其它一些影響因素的變化或消失。因此,組織須保持風險管理的敏感性並及時回應變革。
組織目標的任何改變,或內部或外部前後環節的任何面向,都不可避免地會改變風險(如:內部重組、新的主要供應商或相關法律的變更)。同樣,組織前後環節的變化(如:收購另一家公司或確保獲得一份新的主合同)可能需要改變架構(如:訓練、風險專家)。風險管理過程的設計須反映組織的動力(如:改變的速度)。
ISO 31000包含兩個監督和審查系統(涉及架構和過程)。每個都針對其目的,每個都需要思考和實施。
須對該架構進行監督和審查,以確保該架構能夠繼續執行該等有效果的風險管理原則,落實組織的風險管理政策,並支援將此一過程應用於整個組織做出的決策。
監督和審查須納入風險管理過程的每一個核心步驟。
須審查管制措施,以確保持續有效性,以應對變化。如:若改變人員,則依賴於特定人員績效的管制,可能效果不佳。
監督和審查須仔細量身定做,特別是使它們對可能產生最深刻影響的變化因素敏感。監督和審查須評估監測指標的持續重要性,如有必要,該等指標將需要適應變化或新浮現的情況。
監督和審查是獨特的活動,如ISO 31000、4.5和5.6所解釋的那樣。監督涉及對關鍵參數的持續觀察,以確定它們是否按預期執行或按假定執行。審查時機彈性發生,其結構方式係針對其目的,通常是為了確定做出決定的假設(如:設計架構)是否仍然有效,因此是否需要審查由此產生的決定。審查還須考慮到新的知識和技術。
實用協助:
—在應用風險管理過程和發展前後環節的陳述時,須鑑別最有可能更改的組成因素(如:外部環境的特性),並密切監督該等組成因素的變化。任何改變都可能需要重新評鑑所有或部分文件化的風險。
—須鼓勵人們報告對現狀的關注(包括:揭發者)。
—即使是小型組織亦須牢記全球性變化,例如:2008年的全球金融危機對一些小型供應商產生深遠影響,該等供應商的主要客戶受到銀行倒閉的直接或間接衝擊。此類外部事件或新浮現的情況可能需要主動地更改風險管理架構。
組織績效的持續改進與風險管理績效的持續改進是相互關聯的。改進基於風險做出的決策的風險管理,可以減少實現目標的不確定性,最大限度地降低波動性並提高靈活性。但是,須注意不要將風險管理績效過於複雜化,以免扼殺對機會的追求和應對的靈活性。
反而是,此一原則的重要性在於各組織對改進的新機會保持警惕。此種機會可能在內部(如:通過從所報告的不良事件中學習)或外部出現(如:提供能夠改進風險管理的新工具和知識)。
此原則還與不斷尋求改進風險管理效率有關,例:部署能更好地將決策者與資訊聯繫起來的新技術。
在組織的風險管理政策中須明確持續改進的目標,且不斷以正式和非正式的方式進行溝通。持續改進可能包括以下內容:
持續改進的基礎是進步的定性和定量指標。使用分階段方法和成熟模式的組織,須根據組織的資源和文化設計該等方法,作為持續改進的驅動力。他們應該認識到,在人類的許多努力獲取成功係孕育著成功的種子。有效管理風險的目的,僅僅在於增加組織全面實現其目標的可能性。組織實現有效果風險管理的速度愈快,就愈有效率實現目標。
單純考慮實務,某些改進可能需要時間才能實現,如:有些改進可能需要分配預算,或仔細規劃和推出。改進計畫須考慮優先事項和相對利益,並允許監督進展情況。
利用該架構的監督和審查要素,根據該等風險管理原則和設計改進對績效進行年度審查。
須評估和審查風險管理架構的充分性、適用性和效率。
不良事件報告系統須用於進行根本原因分析,不僅要關注事故的近因,還要研究使事故發生成為可能的風險管理架構的特性。
須監督成功(如:及時/符合預算的專案執行),以便了解風險管理架構最有利於成功的哪些特性,並應傳達該等特點以增強價值。
B.2.10.2 如何應用原則
組織目標的任何改變,或內部或外部前後環節的任何面向,都不可避免地會改變風險(如:內部重組、新的主要供應商或相關法律的變更)。同樣,組織前後環節的變化(如:收購另一家公司或確保獲得一份新的主合同)可能需要改變架構(如:訓練、風險專家)。風險管理過程的設計須反映組織的動力(如:改變的速度)。
ISO 31000包含兩個監督和審查系統(涉及架構和過程)。每個都針對其目的,每個都需要思考和實施。
須對該架構進行監督和審查,以確保該架構能夠繼續執行該等有效果的風險管理原則,落實組織的風險管理政策,並支援將此一過程應用於整個組織做出的決策。
監督和審查須納入風險管理過程的每一個核心步驟。
須審查管制措施,以確保持續有效性,以應對變化。如:若改變人員,則依賴於特定人員績效的管制,可能效果不佳。
監督和審查須仔細量身定做,特別是使它們對可能產生最深刻影響的變化因素敏感。監督和審查須評估監測指標的持續重要性,如有必要,該等指標將需要適應變化或新浮現的情況。
監督和審查是獨特的活動,如ISO 31000、4.5和5.6所解釋的那樣。監督涉及對關鍵參數的持續觀察,以確定它們是否按預期執行或按假定執行。審查時機彈性發生,其結構方式係針對其目的,通常是為了確定做出決定的假設(如:設計架構)是否仍然有效,因此是否需要審查由此產生的決定。審查還須考慮到新的知識和技術。
實用協助:
—在應用風險管理過程和發展前後環節的陳述時,須鑑別最有可能更改的組成因素(如:外部環境的特性),並密切監督該等組成因素的變化。任何改變都可能需要重新評鑑所有或部分文件化的風險。
—須鼓勵人們報告對現狀的關注(包括:揭發者)。
—即使是小型組織亦須牢記全球性變化,例如:2008年的全球金融危機對一些小型供應商產生深遠影響,該等供應商的主要客戶受到銀行倒閉的直接或間接衝擊。此類外部事件或新浮現的情況可能需要主動地更改風險管理架構。
B.2.11風險管理加強組織持續改進
B.2.11.1 原則
k)風險管理加強組織持續改進。
組織須制訂和實施策略改進組織各方面的風險管理成熟度。
附件A “加強風險管理屬性”提供了進一步的資訊。
B.2.11.2 如何應用原則
組織績效的持續改進與風險管理績效的持續改進是相互關聯的。改進基於風險做出的決策的風險管理,可以減少實現目標的不確定性,最大限度地降低波動性並提高靈活性。但是,須注意不要將風險管理績效過於複雜化,以免扼殺對機會的追求和應對的靈活性。
反而是,此一原則的重要性在於各組織對改進的新機會保持警惕。此種機會可能在內部(如:通過從所報告的不良事件中學習)或外部出現(如:提供能夠改進風險管理的新工具和知識)。
此原則還與不斷尋求改進風險管理效率有關,例:部署能更好地將決策者與資訊聯繫起來的新技術。
在組織的風險管理政策中須明確持續改進的目標,且不斷以正式和非正式的方式進行溝通。持續改進可能包括以下內容:
—改進風險管理活動與一般活動相結合的程度;
—改進風險評鑑品質;
—改進架構,如:資訊的品質和取得方式;
—改進決策速度。
持續改進的基礎是進步的定性和定量指標。使用分階段方法和成熟模式的組織,須根據組織的資源和文化設計該等方法,作為持續改進的驅動力。他們應該認識到,在人類的許多努力獲取成功係孕育著成功的種子。有效管理風險的目的,僅僅在於增加組織全面實現其目標的可能性。組織實現有效果風險管理的速度愈快,就愈有效率實現目標。
單純考慮實務,某些改進可能需要時間才能實現,如:有些改進可能需要分配預算,或仔細規劃和推出。改進計畫須考慮優先事項和相對利益,並允許監督進展情況。
實用協助:
利用該架構的監督和審查要素,根據該等風險管理原則和設計改進對績效進行年度審查。
須評估和審查風險管理架構的充分性、適用性和效率。
不良事件報告系統須用於進行根本原因分析,不僅要關注事故的近因,還要研究使事故發生成為可能的風險管理架構的特性。
須監督成功(如:及時/符合預算的專案執行),以便了解風險管理架構最有利於成功的哪些特性,並應傳達該等特點以增強價值。
註1:此份文件引用ISO 31000時皆為2009年版本(第一版)。
註2:ISO 31000:2018(第二版)已出版。中文翻譯內容參見CNS 31000:2021。
註3:ISO/TR 31004:2013已由ISO/TC 262撤銷。
註4:另參考ISO/TC 262出版的指引IWA 31:2020(另文介紹)。
詳細內容參見原資料內容 。
(未完,見續篇)
沒有留言:
張貼留言