風險管理—ISO 31000風險管理原則與指導的實施指引 (續,見前篇)
附錄C 如何表達委派成員和承諾
C.1 共通事項
該附錄就一個組織如何表達和展現委派成員和承諾提供指引和策略。
為使委派成員和承諾有效果,最高管理階層和組織視察機構宜向利益相關者明確表達管理風險的方法,適當時,並予以文件化和溝通。風險管理的任務通常涉及管理風險改變的行為、文化、政策、過程和預期績效,該等改變將反映在風險管理架構中。委派成員和承諾可以是一份廣泛傳達的簡短政策聲明。
發展委派成員包括決定所需的措施方向,以及授權執行該措施。在現有組織中,必然涉及實現改變的權力。除非同時作出相應的承諾,否則確定首選的措施方針將毫無意義。
委派成員和承諾是風險管理架構的基本部分。須為該組織管理和治理架構的一部分,並影響兩者的設計。
委派成員和承諾應反映ISO 31000第3節敘述的拾壹項原則。
實務上,組織的委派成員及其承諾係以明確和隱含的方式表達和感知。隱性表達(例如:最高管理階層和視察機構在組織主流文化中的日常措施)通常比明確表述(例如:文件化風險管理政策)提供更強的激勵。
採用修訂過的委派成員之重要部分是制訂一項計畫,以改變對要求內容的理解。該計畫之目的是確保委派成員及其利益得到廣泛地理解和信任,且組織始終承諾於委派成員並配合相應行為。此亦是組織的行為,以及相互對照關於委派成員的明確聲明,此將對各利益相關者是否接受委派成員產生最大作用。
最高管理階層和視察機構的參與和承諾,是任何風險管理方案成功的關鍵。組織在確定其對風險管理的委派成員和承諾時應考慮以下問題:
最高管理階層和視察機構須通過結合明確和隱含的措施,包括下列事項:
確立風險管理的委派成員需要仔細思考、從策略角度和視察機構與最高管理階層之間的協商。此舉有助於確保一旦獲得通過,組織將遵循委派成員。
須從戰術和策略兩個層面考慮委派成員和承諾的陳述方式。組織須定義和評鑑實現其目標的能力,並培養實現目標所需的技能和專門知識。
需要認真考慮委派成員關於改變的衍裕要求。包括由誰領導改變以及何人需要指導或支援。有時改變可能相當激進(例如:工作規範、績效監督和管理過程的變化),因此會耗費組織的一些能力進行改變。此點需要在現今進行的其他改變以及是否可以進行整合的前後環節加以考慮。
須諮詢因該等改變而嚴重受到影響的人,特別是組織內任何風險管理的獨立作業項目(例如:健康和安全、保全管理)的過程管理人,以便瞭解改變的所有衍裕。
此項委派成員須闡明在書面政策聲明,該聲明係表述組織的承諾事項。
實用協助:
實踐此等目標的一些方法如下所示:
註1:此份文件引用ISO 31000時皆為2009年版本(第一版)。
C.1 共通事項
該附錄就一個組織如何表達和展現委派成員和承諾提供指引和策略。
為使委派成員和承諾有效果,最高管理階層和組織視察機構宜向利益相關者明確表達管理風險的方法,適當時,並予以文件化和溝通。風險管理的任務通常涉及管理風險改變的行為、文化、政策、過程和預期績效,該等改變將反映在風險管理架構中。委派成員和承諾可以是一份廣泛傳達的簡短政策聲明。
發展委派成員包括決定所需的措施方向,以及授權執行該措施。在現有組織中,必然涉及實現改變的權力。除非同時作出相應的承諾,否則確定首選的措施方針將毫無意義。
委派成員和承諾是風險管理架構的基本部分。須為該組織管理和治理架構的一部分,並影響兩者的設計。
委派成員和承諾應反映ISO 31000第3節敘述的拾壹項原則。
實務上,組織的委派成員及其承諾係以明確和隱含的方式表達和感知。隱性表達(例如:最高管理階層和視察機構在組織主流文化中的日常措施)通常比明確表述(例如:文件化風險管理政策)提供更強的激勵。
C.2 表達委派成員和承諾的方法
C.2.1 主要特徵
委派成員和承諾的表達須具備下列準則:
須與組織的策略計畫、目標、政策、溝通方式和管理系統兼容;
須符合視察機構確定的風險準則;
須達到ISO 31000的原則,並在ISO 31000附件A中概述的風險管理方面努力取得卓越成績;
須易於溝通,並經受組織內部和外理解的評斷;
須有成功實施的合理期望;
須敘述風險所有者的責任。
如果現有的風險管理委派成員和組織對風險管理的承諾尚未達到該等準則,便需要改變其明確和隱含的面向。
例子 :
如果視察機構或最高管理階層作出的決策未經過徹底的風險評鑑,便清楚地表明,該組織未予承諾瞭解其風險。採用修訂過的委派成員之重要部分是制訂一項計畫,以改變對要求內容的理解。該計畫之目的是確保委派成員及其利益得到廣泛地理解和信任,且組織始終承諾於委派成員並配合相應行為。此亦是組織的行為,以及相互對照關於委派成員的明確聲明,此將對各利益相關者是否接受委派成員產生最大作用。
C.2.2 建立和溝通風險管理政策和承諾
明確表達和傳達委派成員的一種方式是建立及傳達風險管理政策。ISO 31000,4.3.2,規定組織不僅須明確其風險管理政策,且須在組織內外進行溝通。ISO 31000,4.3.2,亦識別出通常在政策中反映的具體事項。
牢記原則g)(即量身定做的風險管理),政策的表述須和組織的一般運作方式配合且一致,否則,可能不被視為與組織運作的一般系統有關,亦不屬於其中一部分。
對於較大的組織來說,制訂政策通常意味著制訂關於風險管理任務的正式聲明,該聲明將成為整體政策的一部分。因此,將由治理機構簽署,然後通過管理系統進行溝通和加強。
實用協助:
最高管理階層和視察機構的參與和承諾,是任何風險管理方案成功的關鍵。組織在確定其對風險管理的委派成員和承諾時應考慮以下問題:
- 組織的策略目標是什麼?目標清楚嗎?該等目標中什麼內容是明確的?什麼內容是隱含的?
- 高層管理人員是否清楚其願意承擔的重大風險的性質和程度,以及是否願意為實現策略目標採取尋求的機會?
- 高層管理人員是否需要對組織面對風險的態度建立更明確的治理?
- 最高管理階層採取哪些步驟以確保對風險管理的視察?
- 做出決策的經理階層是否瞭解允許他們(每一個人)在多大程度上使組織面臨事件或情況的後果?面對任何風險的態度都需要切實可行,引導管理階層基於風險做出決策。
- 最高管理階層是否瞭解匯總且相互關聯的風險水準,以便決定風險是否可以接受?
- 高層管理人員和最高管理階層領導作用,是否瞭解整個組織的匯總且相互關聯風險水準?
- 經理階層和最高管理階層都清楚風險態度不是一成不變的嗎?它可能會隨著環境和企業狀況的變化而改變。得到最高管理階層批准的任何項目,都需要內含某種程度的靈活性。
- 風險策略決定是否充分考慮後果嗎?鑒於潛在的回報,風險架構需要幫助經理階層和最高管理階層為企業承擔適當的風險水準。
- 最高管理階層願意承擔哪些重大風險,並願意尋求哪些機會?最高管理階層不願意承擔哪些重大風險?無論管理風險的政策形式如何,它都應該與其他指導組織營運方式的政策並存。
C.2.3 強化
最高管理階層和視察機構須通過結合明確和隱含的措施,包括下列事項:
- 申明風險管理目標聯結其他管理目標,未與其他管理目標隔離;
- 申明風險管理是有效地邁向組織目標的關鍵;
- 確保將委派成員所要求的風險管理活動類型,整合到現有治理和管理過程,並納入策略、營運和專案過程;
- 要求定期監督和報告組織的風險管理架構和過程,以確保維持適當和有效果;
- 監督組織目前風險,且全面地了解此等風險,此等風險在既定的風險準則內,並在未達到該等準則情況下採取矯正措施;
- 以身作則,以自己的活動起到示範作用;
- 隨著時間推移、事件和最高管理階層的變化,更新對委派成員的承諾。
C.3 關於發展委派成員和承諾的指引
確立風險管理的委派成員需要仔細思考、從策略角度和視察機構與最高管理階層之間的協商。此舉有助於確保一旦獲得通過,組織將遵循委派成員。
須從戰術和策略兩個層面考慮委派成員和承諾的陳述方式。組織須定義和評鑑實現其目標的能力,並培養實現目標所需的技能和專門知識。
需要認真考慮委派成員關於改變的衍裕要求。包括由誰領導改變以及何人需要指導或支援。有時改變可能相當激進(例如:工作規範、績效監督和管理過程的變化),因此會耗費組織的一些能力進行改變。此點需要在現今進行的其他改變以及是否可以進行整合的前後環節加以考慮。
須諮詢因該等改變而嚴重受到影響的人,特別是組織內任何風險管理的獨立作業項目(例如:健康和安全、保全管理)的過程管理人,以便瞭解改變的所有衍裕。
此項委派成員須闡明在書面政策聲明,該聲明係表述組織的承諾事項。
實用協助:
實踐此等目標的一些方法如下所示:
- 考慮如何向組織解釋委派成員,以及如何通過現今進行的措施以強化該等說明;
- 考慮到委派成員的執行時限(須考量並納入本組織的其他限制條件,儘管在架構完成之前,全部利益將無法實現,風險管理可能不會展現全部效果);
- 確定關鍵角色,使風險管理方法發生必要改變,並指示和領導風險管理活動;
- 具體說明風險管理架構和活動的哪些面向將在最高管理階層、管理階層和委員會各級進行監督,以及如何收集和呈現該等資訊;
- 在所有關鍵視察和最高管理階層的會議上,將風險管理績效作為常規議程內容;
- 開發有關風險管理績效的有效溝通方法(例如:以風險管理報告的方式為員工發佈時事通訊);
- 考慮何者會是觸發審查委派成員的因素。
註1:此份文件引用ISO 31000時皆為2009年版本(第一版)。
註2:ISO 31000:2018(第二版)已出版。中文翻譯內容參見CNS 31000:2021。
沒有留言:
張貼留言