2024年5月21日 星期二

風險管理原則與指導(ISO 31000)的實施指引 (二之六)

ISO/TR 31004:2013

風險管理—ISO 31000風險管理原則與指導的實施指引 (續)


附錄A 基本概念與原則

A.1 通則


本附錄解釋了日常使用的某些辭彙和概念(例如「風險」),該等辭彙和概念可能有數個含義,但在 ISO 31000 和該文件中另有特定含義。

ISO 31000 風險定義為「不確定性對目標的影響」。

註1:此份文件引用ISO 31000時皆為2009年版本(第一版)。
註2:ISO 31000:2018(第二版)已出版。中文翻譯內容參見CNS 31000:2021。
註3:ISO/TR 31004:2013已由ISO/TC 262撤銷。(見前篇
註4:另參考ISO/TC 262出版的指引IWA 31:2020。(另文介紹)。
註5:讀者最好熟悉本附錄中的名詞和定義。

© All Rights reserved. 版權聲明

參考資料:

  • ISO 9000 品質管理系統—基礎及字彙
  • ISO 9001 品質管理系統—要求
  • ISO 19011 管理系統稽核指引
  • ISO Guide 73 風險管理—字彙
  • ISO 31000 風險管理—原則與指導
  • IEC 31010 風險管理—風險評鑑技巧
  • CNS 31000 風險管理—原則與指導

A.2 風險與目標


各組織都面臨著內部和外部因素和影響,該等因素和影響使得它們不確定它們是否會在何時、多大程度上實現或超過其目標。此種不確定性對組織目標的影響即是風險。

ISO 31000 提到的目標和該文件是本組織正在尋求的結果。通常,該等內容是意圖和目的之最高程度的表達,它們通常反映其明確和隱含的目標、價值觀和必要事項,包括考慮社會義務以及法律和監督要求。一般來說,如果目標以可衡量的術語來表達,將得以促進風險管理。然而,往往有多個目標,目標之間的不一致可能是風險的來源。

可能性不僅僅是事件發生的可能性,而是事件發生引致的後果經歷之總體可能性,以及正面向或負面向後果的嚴重程度。通常,某個事件可能引發一系列可能的後果,並且每個後果都有其自身的可能性。風險水準可以表示為可能經歷特定後果(包括其程度)。後果直接與目標相關,且當某事件發生或不發生時,即會產生。

風險是不確定性對目標的影響,無論其領域或情況如何,因此不應將事件或危險(或任何其他風險來源)描述為風險。風險應描述為事件(或危險或風險來源)的可能性及其後果的組合。

宜理解到風險可能產生積極或消極後果,此乃管理階層需要理解的核心和生死攸關概念。風險可使組織曝露在機會、威脅或兩者兼而有之。

做出決策時將創造或改變風險。因為決策和做出決策幾乎總是關聯某些不確定性,因此幾乎總是存在風險。負責實現目標的人需要認識到,風險是組織活動的一個不可避免的部分,在做出決定時通常會創造出或改變該等活動。決策時應瞭解與決策相關的風險,因此,冒著風險往往是有意為之。使用 ISO 31000 中描述的風險管理過程使此點成為可能。

A.3 不確定性

不確定性連同目標一起引致風險,源於組織運作的內部和外部環境。下述可能是不確定性:

  • 是與人類行為相關的基本社會學、心理學和文化學因素的結果;

  • 由自然過程產生,其特徵是固有的變異性,例如:氣象係群眾觀測之間帶有的變異性;

  • 產生於不完整或不準確的資訊,例如由於丟失、誤解、不可靠、內部矛盾或無法訪問的資料;

  • 隨時間而變化,例如:由於競爭、趨勢、新資訊、基本因素的變化;

  • 產生於對不確定性的感知,這種不確定性可能因組織各部分及其利益相關者而異。

A.4 風險處理與管制


管制是組織為修改風險以實現各項目標而實施的對策。管制可以通過改變任何不確定性來源(例如:使某件事發生的可能性或增或減)或改變可能的後果範圍及其可能發生的位置來修改風險。

ISO 31000 中定義的風險處理旨在改變或創造管制的過程,包括保留風險。

A.5 風險管理架構

風險管理架構是指組織管理系統內能夠管理風險的安排(包括:實務、過程、系統、資源和文化)。一個架構的特徵,以及在何種程度上融入組織的管理系統,將最終決定如何有效地管理著風險。

該架構包括最高管理階層關於組織風險管理意圖的明確聲明(ISO 31000 中描述為授權和承諾),以及實現此一意圖的必要能力(資源和能力)。

此種容量並不存在單一系統或實體。此種容量包括融入組織總體管理過程的眾多要素。它們既可以專屬於管理風險任務(例如:專業資訊系統),也可以是組織系統的管理階層某些面向(例如:人力資源實務)。

A.6 風險準則

風險準則是組織為使其能夠描述風險並根據組織對風險的態度決定風險重要性而制訂的參數。該等決定得以評鑑風險,以選擇處理方式。

A.7 管理、風險管理及管理風險

管理涉及協調活動,指示和管制一個組織以追求其目標。

風險管理是管理的一個組成部分,因其涉及與不確定性對該等目標的影響有關的協調活動。因此,為了有效果,重要的是將風險管理完全納入組織的管理系統和過程。

此文件將「風險管理」聯結到組織使用的結構,即原則、架構及過程,以有效地管理風險,而「管理風險」聯結到運用上述結構於特定0決定、活動及風險。

詳細內容參見原資料內容 。

(未完待續)

張貼者:
標籤: , , , , , ,

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)