風險管理—ISO 31000風險管理原則與指導的實施指引 (續,見前篇)
附錄D:監督與審查
D.1 背景
D.1.1概述
此附件就根據ISO 31000第4.5節、第4.6節和第5.6節,對風險管理架構和過程的監督和審查提供建議。
監督和審查是兩個獨特的活動,旨在確定假設和決策是否仍然有效。該等技術既用於維護有效的風險管理架構,也用於風險管理過程的每一個步驟。
- 監督涉及對實際績效的例行監督,以及與預期或要求之績效的比較。其中涉及持續檢查或調查、督導、嚴謹觀察或決定狀態,以便從所要求或預期的績效水準中識別變化,以及前後關係的變化。
- 審查涉及定期或即興檢查當前情況、環境變化、產業實務或組織實務。此項活動旨在決定實現既定目標的架構和過程的適當性、充分性和有效性。審查須考慮監督活動的產出。
- 稽核是一個基於證據、系統性審查的過程,係基於預先確定的準則。雖然每次稽核都是審查,但並不是每個審查都是稽核。
監督和審查旨在提供合理保證,確保風險得到充分管理,查明風險管理方面的缺陷,並鑑別改進風險管理的機會。兩者皆為必要事項以確保組織根據其風險態度,保持對其風險準則的當前理解。兩者都需要一個系統方式,為組織總體管理系統的組成部分。
監督和審查活動以及針對調查結果採取的措施,往往帶有某種保證系統的特徵,因並有可能在不利影響發生之前發現和補救弱點,或使人們相信風險仍在組織的準則之內。該等活動亦可用於為內部和外部利益相關者提供合理保證,確保風險得到有效管理。
隨著內外部前後環節因素改變,風險也會發生變化。同樣,對外部前後環節的監督可以提醒組織注意可能為改進績效或開展新活動提供機會的變化。通過對此類變化、績效、不符合和幾乎倖免保持警惕,組織能夠鑑別組織風險管理架構和整體績效的改進機會。
須制定一個全面性方案,監督和記錄與組織績效指標一致的風險績效指標。
該方案須對不利趨勢發出預警,從而可能需要採取預防措施和干預。
單一的監督或審查活動可能指往個別風險或若干相關風險。可能側重於風險或處理該等風險的管制做法。
D.1.2 監督和審查的當責
監督和審查活動的整體責任在於視察機構和最高管理階層,而不是提供保證者,如:內部稽核。品質保證功能、獨立審查功能和法規監督,是直線管理報告過程中有用的輔助功能,因為該等活動提供另一種觀點。
監督和審查活動可以考慮科層式,通常係在最高階層運作;如果設計得當,此階層係提供最有力的保證。然而,監督和審查方案應包括前述所有三個要素。
監督和審查方案須核實風險管理政策是否得到執行和有效果。最高管理階層對監督方案結果的反應方式可能會影響員工的行為,最高管理階層必須發揮榜樣效用。
D.1.3 獨立審查
無論是由內部還是外部參與者執行,獨立性都來自審查者/稽核員和參與者之間的關係。
獨立性是審查結論的公正性和客觀性的基礎。在可行的情況下,審查者和稽核員須獨立於所審查/稽核的活動,並在任何情況下都以未受偏見和利益衝突的方式行事。
關於內部稽核,稽核員須獨立於受稽核功能的營運經理。審查者和稽核員在整個審查和稽核過程中須保持客觀性,以確保發現事項和結論皆僅以證據為基礎。
關於小型組織,審查者和稽核員可能無法完全獨立於正在審查/稽核的活動,但宜盡一切努力消除偏見和鼓勵客觀性。
審查者和稽核員的獨立性有助於使審查和稽核成為支持風險管理政策和管制的有效和可靠的工具,提供組織可以採取措施以改進其績效的資訊。
此類審查可側重於符合內部或外部標準、程序或法規要求。通常還須考慮管制的適用性、有效性和效率,例如:可能考慮風險管理活動是否展現 ISO 31000 原則中表達的價值。
許多組織具有管理審查和諮詢功能(如:風險管理諮詢、法規符合負責人和品質保證經理),後者負責日常審查:內部稽核通常將其稽核報告給視察機構和最高管理階層。該等審查的目的是向組織視察機構和最高管理階層保證以下事項:
- 其風險準則與組織目標及營運前後環節一致;
- 已採用適當和系統化過程以資識別、評鑑和處理風險,並有信心此一過程將繼續運作;
- 不可接受的風險正在通過適當的風險處理方式加以解決;
- 視為正在修改其他原先認為不可接受的風險之管制方式既合適又有效;
- 風險處理計畫取得適當進展。
D.1.4 獲得合宜資訊
與風險管理的其他方面一樣,監督和審查需要使用最佳可用資訊「參見原則 f)」 。為適合此目的,資訊宜與使用者相關,且忠實地代表所宣稱其代表的內容。如果資訊具有可比性、可核查性、及時性和可理解性,則資訊的有用性就得以強化。資訊可以從兩種類型來源獲得:
- 直接來源:對實際過程操作或其結果的觀察和測量;
- 間接來源:從正在考慮的過程或結果中得出的測量。
D.1.5 報告審查過程
報告須向視察機構、最高管理階層和組織的利益相關者提供資訊,說明該組織的風險是否在其風險準則之內,或者是否有足以信賴的風險處理計畫,得以最後獲得係稱結果。此外,可能提供有關新風險和新浮現風險的資訊。
任何收集到的風險資訊(如:風險登記簿)須定期更新。做出報告的類型和頻率依賴風險評鑑的性質、規模和範圍。
審查或稽核的結果係一份報告,總結評鑑結果,並根據原先確定的準則提供評鑑結論。報告可根據審查員的觀察情況,提供系統改進建議。有時候,審查者會針對準則本身提出更廣泛的建議。因應任何審查須側重於改進系統和解決問題的根本原因。
D.1.6 矯正措施和持續改進
須建立各種程序,確保組織管理階層積極考慮建議,並採取商榷妥當的答覆措施。應對審查採取的措施須向視察機構報告,並定期監督,直至實施為止。D.2 監督和審查架構
D.2.1 通則
監督和審查的目的是保持風險管理架構的現時性且與組織風險管理意圖一致。該架構是指組織管理系統內能夠管理風險的組成要件和過程。
ISO 31000,第4節陳述關於架構必要組成部分的指引,並指出該等內容須考慮到組織的內部和外部前後環節。
當組織內部或外部前後環節發生變化時,可能需要調整架構,以確保架構維持有效。
即使沒有內部或外部變化需要改變設計,仍然需要確保架構在任何時候皆按照設計運作。對於過渡到與 ISO 31000 調適過的組織,可能涉及檢查實施計畫的架構要件,以確保正確執行。對於已經實施 ISO 31000 的組織,涉及確保架構要件繼續存在並按計畫運作。
D.2.2 當責
管理階層負責確保定期審查和監督該架構的績效指標。身為風險管理分配職責的一部分,須將一個人(如:高階經理)或組織職能(如:公司風險管理支援職能)作為該架構的保管人,關鍵責任是確保架構仍然有效。D.2.3 建立基準線
應建立組織風險管理的基準線。基準線可以用各種方式描述,但須包括以下事項:
架構的組成部分(如ISO 31000,4.3所述),該等要件提供實現係稱意圖的能力:
視察機構和最高管理階層在風險管理委派成員和承諾方面提供的支援程度(通常以風險管理政策的形式表示)。
架構的預定形式和建構方式一般在設計時予以記錄,並將提供表 D.1 中顯示的資訊。從而構成監督和審查期間比較的基準線或參考點。
表D.1 架構的組成部分列表舉例
- 事件,不良事件及僅以倖免事件
- 實際損失
- 未協調一致
- 客戶訴怨
- 未實現損失
- 系統的可獲得性
- 組織目標的實現程度
- 風險管理目標的實現程度。
D.2.4 評鑑組織的特徵和前後環節是否改變
確定自風險管理架構開發或修改以來,組織的內部或外部前後環節是否經歷重大改變。
實用協助:
內部特徵可能發生的改變:
- 結構
- 治理實務和要求
- 政策、內部標準及模式
- 合約要求
- 策略及營運系統受到內部及外部因素的影響,如:法規要求改變
- 能力及資源,如:財務及信譽資本、時間、人們、過程、系統和技術
- 知識、技能及知識產權
- 資訊系統及流通
- 社會、環境及文化行為
- 其他的組織優先事項及規定事項,足以瓜分組織著意在管理風險的心力。
- 商品定價、銀行利率、債券收益率、匯率、股票市場指數、消費者價格指數(趨勢);
- 指數(趨勢);
- 類似組織的欺詐或不良事件層級;
- 市場規模和增長數值,以及訂單量的突然變化;
- 政治和社會穩定、社會不滿和激進主義。
- 如果自風險管理架構制訂以來,組織的前後環節發生了變化,則應重新評估和調整風險管理架構,以便考慮該等變化。這項活動的目的是確認架構和程序是適合預期目的,符合組織的目標和優先事項。
例一:組織結構改變可能需要對風險管理政策做出修訂,並重新分配當責和資源,以便繼續有效果地管理風險。如果組織的規模擴大,如:合併或收購,將需要考慮風險管理資源的持續適足性,關於風險管理方法,需要仔細分析組織之間的任何差異。可能需要制定過渡計畫,以實施前面分析產生的任何改變。
例二:如果已經頒佈新的法規要求,則涉及架構的各個當責、訓練和擷取資訊或通報面向,可能需要修改或擴展。
D.2.5 審查架構
一旦完成對特徵和外部前後環節的評估,即須對架構進行更全面的審查,以確定是否:
- 風險管理計畫係按規畫進行;
- 所採用的架構和過程係按規畫運作;
- 風險水準在準則之內;
- 核心組織目標正受到風險管理的正向影響;
- 相關利益相關者收到足夠的報告,使他們能夠履行在治理結構中的作用和責任;
- 組織中各皆有人具備足夠風險管理技能、知識和專業能力履行其已鑑別的責任;
- 風險管理資源適足;
- 從實際結果中記取教訓,包括損失、幾乎倖免和機會;
- 風險管理設定的目標正在實現。
此類審查的可交付成果應包括以下事項:
- 風險管理架構績效總體報告;
- 關於風險管理計畫實務進展情況的報告(包括分析實務中的任何延誤);
- 概述組織在最佳實務方面的成熟度狀況的報告;
- 建議進行必要的改變,以改進組織中風險管理和有效性;
- 必要時更新風險管理政策、目標和計畫;
- 酌情更新對組織運作前後環節的描述;
- 關於關鍵風險指標趨勢的報告;
- 解決實現風險管理目標所需的變革的措施計畫。
D.3 監督和審查該過程
D.3.1 概述
監督和審查風險管理過程目的是確保:
- 適合企業活動;
- 按規畫運作。
監督和審查的結果將回饋到建立前後環節階段,為重新進行風險評鑑的基礎,實現風險管理過程的迭代性和動態性以及風險管理架構設計。
D.3.2 當責
監督須為管理的整體之一部分。風險和管制須配置到負責監督風險的擁有者。此一責任須記錄在角色或職位描述中。
組織須考慮在正式審查雇員時,納入反映主要組織驅動要件範圍的風險管理績效指標,如:以便考慮財務、利益相關者、內部效率以及學習和增長目標。可在組織各層級衡量同一組指標的績效,然後酌情報告。
尚須監督風險處理計畫,以確保取得進展,並按時完成措施。
D.3.3 從經驗中學習
- 發生何事?
- 如何及為何產出該等結果?
- 是否需要根據結果審查任何假設;
- 已採取什麼措施(如果有的話)作為回應;
- 該結果再次發生的或然率;
- 任何其他回應或須採取的步驟;
- 關鍵學習點和需要將之傳達給何者。
D.3.4 監督
D.3.4.1 典型監督方式如下示:
- 風險擁有者可以掃描環境以監督前後環節的變化。此項活動頻率將取決於風險水準及前後環節的動態變化。某些情況,指標的例外報告可能足以啟動之。風險擁有者將相關的外部或內部因素與前後環節陳述進行比較,以決定是否發生重大改變。此處可能涉及定期與利益相關者溝通和協商,以確定各方觀點或目標是否改變。
- 風險擁有者須監督風險處理計畫,以及時採取措施並因應環境變化。
- 管制擁有者負責分配給他們的監督控制,可能涉及定期檢查或持續監督。由於風險管理與組織的正常決策和管理系統充分整合時最為有效,因此組織績效管理須用於監督風險和風險管理過程的有效性。績效指標宜反映在過程起始階段,定義前後環節決定的關鍵組織目標的範圍。也可能與特定的風險和管制以及風險管理過程的應用相關。
D.3.4.2 績效指標可以衡量結果(如:具體損失或收益)或過程(如:及時完成風險處理計畫)。通常可使用混合指標,但結果績效指標通常明顯滯後於導致它們的改變。因此,在瞬息萬變的環境中,過程指標(領先指標)可能更有用。
在選擇績效指標時,必須檢查以下事項:
- 其係可以衡量的
- 在時間、精力和資源需求方面,其運用方式是有效率的
- 量測過程或監督以鼓勵或促進預想的正向行為,不鼓勵非預期行為(如:捏造資料):
- 相關人員瞭解過程和預期效益,並有機會對設定指標提供投入:
- 結果須予擷取,以績效分析和報告的形式,將促進整個組織的學習和改進。
- 有效衡量績效需要資源,資源須予以識別和配疊為發展績效指標的一部分;
- 某些風險管理活動可能難以衡量,但並不使其不那麼重要,可能需要使用替代型指標,例如:專門用於風險管理活動的資源,可能是承諾有效地風險管理的替代措施;
- 績效指標衡量資料與本能覺知間的任何差異都很重要,須進行調查,例如:如果管理階層仍然擔心風險沒有得到妥善管理,儘管許多風險評鑑顯示風險水準較低,宜予調查而非排除該等關切;
- 雖然突然惡化的指標通常引起注意,但逐漸惡化同樣可能存在問題,須監督和分析績效指標的趨勢。
D.3.5 審查
管理階層須定期審查過程、系統和活動,以確保下列事項:
- 沒有出現新的風險;
- 管制和風險處理仍然合適和有效。
若發現問題,組織須思考問題從何而來,及為何此前未能及早發現。
這些審查可能使用與持續監測相同的技術,但如果這些技術是由不直接參與過程營運的人執行,則可能提供更客觀的分析。審查的頻率可能受到風險程度、企業規劃週期、環境/前後環節動態或負責視察風險和風險管理的治理機構會議的影響。
須確使當責管理階層(風險擁有者)在其例行職位與角色間包括管制功能,配置特定管制的擁有者得以促成管制,但是該等擁有者仍須經過管制的訓練以確保程序得以有效果。
當規劃組織改變或偵測到外部改變時,可能存在以下的改變:
- 外部或內部環境或利益相關者及其觀點;
- 風險管理前後環節、組織目標及其風險準則;
- 風險和風險水準;
- 需要風險治療;
註1:此份文件引用ISO 31000時皆為2009年版本(第一版)。
註2:ISO 31000:2018(第二版)已出版。中文翻譯內容參見CNS 31000:2021。
註3:ISO/TR 31004:2013已由ISO/TC 262撤銷。
註4:另參考ISO/TC 262出版的指引IWA 31:2020(另文介紹)。
註5:此文係參考網路公開提供閱讀或擷取資料,未涵蓋該等資料全部事項,相關內容務須參閱各項資料、文獻最新版次。此處係閱讀隨筆,僅供個人學習,非供印刷或潛在意圖出版。引用時請予註明。
註2:ISO 31000:2018(第二版)已出版。中文翻譯內容參見CNS 31000:2021。
註3:ISO/TR 31004:2013已由ISO/TC 262撤銷。
註4:另參考ISO/TC 262出版的指引IWA 31:2020(另文介紹)。
註5:此文係參考網路公開提供閱讀或擷取資料,未涵蓋該等資料全部事項,相關內容務須參閱各項資料、文獻最新版次。此處係閱讀隨筆,僅供個人學習,非供印刷或潛在意圖出版。引用時請予註明。
詳細內容參見原資料內容 。
(未完,見續篇)
沒有留言:
張貼留言