CNS 31000係翻譯自 ISO 31000英文版本,提供組織建立、實施、維持與監測風險管理過程。
註1:此份文件引用ISO 31000時皆為2009年版本(第一版)。
註2:ISO 31000:2018(第二版)已出版。中文翻譯內容參見CNS 31000:2021。
第2章名詞定義,有助於澄清風險管理的概念及實際應用。
2.1風險 (Risk):
對目標之不確定性的效應。
註1:此處效應係指偏離預期結果,可以是正面及/或負面。
註2:目標可以有不同考量面,如:財務、健康、安全、衛生及環境目標,並可應用於不同層面,如:策略、整體組織、專案計劃、產品及過程。
註3:風險通常係藉由可能的事件與結果(後果)或其組合,將其特性化。
註4:風險通常以一事件(包括狀況變化)的結果(後果),與相關的發生可能性之組合表示。
註5:不確定性係有關一事件,其結果(後果)或可能性的瞭解或認知之資源短缺,甚或部份短缺的狀態。
對目標之不確定性的效應。
註1:此處效應係指偏離預期結果,可以是正面及/或負面。
註2:目標可以有不同考量面,如:財務、健康、安全、衛生及環境目標,並可應用於不同層面,如:策略、整體組織、專案計劃、產品及過程。
註3:風險通常係藉由可能的事件與結果(後果)或其組合,將其特性化。
註4:風險通常以一事件(包括狀況變化)的結果(後果),與相關的發生可能性之組合表示。
註5:不確定性係有關一事件,其結果(後果)或可能性的瞭解或認知之資源短缺,甚或部份短缺的狀態。
2.2風險管理 (Risk management):
指導與管制組織有關風險的協調活動。
指導與管制組織有關風險的協調活動。
2.3風險管理架構(risk management framework)
遍及組織的設計、實施、監測、審查及持續改進組織的風險管理所提供的基礎與組織安排的要件組。
註1:基礎包括管理風險的政策、目標、宣示及承諾。
註2:組織的安排包括計畫、關係、當責、資源、過程及活動。
註3:風險管理架構深植於組織的整體策略與營運政策及實務中。
遍及組織的設計、實施、監測、審查及持續改進組織的風險管理所提供的基礎與組織安排的要件組。
註1:基礎包括管理風險的政策、目標、宣示及承諾。
註2:組織的安排包括計畫、關係、當責、資源、過程及活動。
註3:風險管理架構深植於組織的整體策略與營運政策及實務中。
2.4風險管理政策(risk management policy)
組織有關風險管理的整體意圖與方向之聲明。
組織有關風險管理的整體意圖與方向之聲明。
2.5 風險對策 (risk attitude)
組織評鑑與最後追尋、留置、承受或避開風險之途徑。
組織評鑑與最後追尋、留置、承受或避開風險之途徑。
2.6風險管理計畫 (risk management plan)
在風險管理架構內,明訂應用於風險管理的途徑、管理要件及資源的方案。
註1:管理要件基本上包括程序、實務、責任分派、活動之順序與時程安排。
註2:風險管理計畫可應用於特定產品、過程與專案計畫,以及組織之部分或整體。
在風險管理架構內,明訂應用於風險管理的途徑、管理要件及資源的方案。
註1:管理要件基本上包括程序、實務、責任分派、活動之順序與時程安排。
註2:風險管理計畫可應用於特定產品、過程與專案計畫,以及組織之部分或整體。
2.8 風險管理過程 (risk management process)
系統化地應用管理政策、程序及實務予溝通、諮商、建立前後環節,並鑑別、分析、評估、處理、監測及審查風險等活動。
系統化地應用管理政策、程序及實務予溝通、諮商、建立前後環節,並鑑別、分析、評估、處理、監測及審查風險等活動。
2.9 建立前後環節 (establishing the context)
當管理風險,設定風險管理政策之範圍與風險準則時,對界定的外部與內部參數應予考量。
當管理風險,設定風險管理政策之範圍與風險準則時,對界定的外部與內部參數應予考量。
2.10 外部前後環節 (external context)
組織尋求達成其目標的外部環境。
註:外部前後環節可包括:
-- 無論是國際、國家、區域,抑或地方的文化、社會、政治、法令、規章、財務、技術、經濟、天然及競爭環境。
-- 對組織的目標具有衝擊影響之主要推動者與趨勢,及
-- 與外部利害相關者的關係,以及外部利害相關者之感知與價值。
組織尋求達成其目標的外部環境。
註:外部前後環節可包括:
-- 無論是國際、國家、區域,抑或地方的文化、社會、政治、法令、規章、財務、技術、經濟、天然及競爭環境。
-- 對組織的目標具有衝擊影響之主要推動者與趨勢,及
-- 與外部利害相關者的關係,以及外部利害相關者之感知與價值。
2.11 內部前後環節 (internal context)
組織尋求達成其目標的內部環境。
註:內部前後環節可包括:
-- 治理、組織的結構、角色及當責;
-- 政策、目標,以及能使其達成的策略;
-- 從資源與知識(例:資金、時間、人員、過程、系統及技術)為觀點所具有的能力;
-- 資訊系統、資訊流及決策過程(正式與非正式兩者);
-- 與內部利害相關者的關係,以及內部利害相關者的感知與價值;
-- 組織的文化;
-- 組織所採用的標準、指導綱要及模式,及
-- 合約關係之形式與範圍。
組織尋求達成其目標的內部環境。
註:內部前後環節可包括:
-- 治理、組織的結構、角色及當責;
-- 政策、目標,以及能使其達成的策略;
-- 從資源與知識(例:資金、時間、人員、過程、系統及技術)為觀點所具有的能力;
-- 資訊系統、資訊流及決策過程(正式與非正式兩者);
-- 與內部利害相關者的關係,以及內部利害相關者的感知與價值;
-- 組織的文化;
-- 組織所採用的標準、指導綱要及模式,及
-- 合約關係之形式與範圍。
2.12 溝通與諮商 (communication & consultation)
組織進行持續與反覆的過程以提供、分享或取得資訊,並著手與利害相關者進行有關風險管理的對話。
註1:資訊可能與風險管理的存在、性質、形式、可能性、顯著性、評估、可接受性與處理有關。
註2:諮商為組織與其利害相關者針對一議題在作成決策或決定方向之前,先行告知的雙向溝通過程。諮商係:
-- 與其使用強力不如透過影響力影響決策之過程,與
-- 決策制定輸入之一,而非參與決策制定。
組織進行持續與反覆的過程以提供、分享或取得資訊,並著手與利害相關者進行有關風險管理的對話。
註1:資訊可能與風險管理的存在、性質、形式、可能性、顯著性、評估、可接受性與處理有關。
註2:諮商為組織與其利害相關者針對一議題在作成決策或決定方向之前,先行告知的雙向溝通過程。諮商係:
-- 與其使用強力不如透過影響力影響決策之過程,與
-- 決策制定輸入之一,而非參與決策制定。
2.14 風險評鑑 (risk assessment)
風險鑑別、風險分析及風險評估的整個過程。
風險鑑別、風險分析及風險評估的整個過程。
2.15 風險鑑別 (risk identification)
發現、認知與描述風險之過程。
註1:風險鑑別包括風險緣由、事件、其原因及其潛在的結果(後果)之鑑別。
註2:風險鑑別可包括歷史數據、理論分析、經告知的意見與專家的意見,及利害相關者的需求。
發現、認知與描述風險之過程。
註1:風險鑑別包括風險緣由、事件、其原因及其潛在的結果(後果)之鑑別。
註2:風險鑑別可包括歷史數據、理論分析、經告知的意見與專家的意見,及利害相關者的需求。
2.16 風險緣由 (risk source)
單獨或與其它合併而具有本質上可能導致風險之要項。
註:風險緣由可為有形的或無形的。
單獨或與其它合併而具有本質上可能導致風險之要項。
註:風險緣由可為有形的或無形的。
2.17 事件(event)
所發生或變動的一組特定情況。
註1:事件可發生一次或連續發生,或可具有數種原因。
註2:事件可含有未發生的事物。
註3:事件有時可稱為事變(incident)或事故(accident)。
註4:未發生結果(後果)的事件,亦可稱為「虛驚事件(near miss)」、「事變(incident)」、「虛驚(near hit)」或「驚險(close call)」。
所發生或變動的一組特定情況。
註1:事件可發生一次或連續發生,或可具有數種原因。
註2:事件可含有未發生的事物。
註3:事件有時可稱為事變(incident)或事故(accident)。
註4:未發生結果(後果)的事件,亦可稱為「虛驚事件(near miss)」、「事變(incident)」、「虛驚(near hit)」或「驚險(close call)」。
2.18結果(後果)(consequence)
影響目標事件之產出結果。
註1:一事件可導致一定範圍的結果(後果)。
註2:結果(後果)可為確定或不確定,且可對目標物具有正面或負面的影響。註3:結果(後果)可以定性或定量方式表示之。
影響目標事件之產出結果。
註1:一事件可導致一定範圍的結果(後果)。
註2:結果(後果)可為確定或不確定,且可對目標物具有正面或負面的影響。註3:結果(後果)可以定性或定量方式表示之。
註4:初期結果(後果)可透過擁擠效應而昇高。
2.19 可能性(likelihood)
某事發生之機會。
註1:在風險管理的術語中,「可能性」一詞用以稱某事發生之機會,不論其是否為界定的、量測的、客觀地或主觀地決定的、定性或定量的,並使用一般用語或數學方式(諸如在指定期間內發生的機率或頻率)描述。
註2:英文 likelihood在某些語言中並無直接同等字,通常使用同等的probability替代,然而,在英文中,probability通常以較狹窄的數學方式闡釋,因此在風險管理術語中,使用likelihood一詞的意義須如何以英文以外的許多語言,與probability一詞同樣具有更寬廣的解釋。
某事發生之機會。
註1:在風險管理的術語中,「可能性」一詞用以稱某事發生之機會,不論其是否為界定的、量測的、客觀地或主觀地決定的、定性或定量的,並使用一般用語或數學方式(諸如在指定期間內發生的機率或頻率)描述。
註2:英文 likelihood在某些語言中並無直接同等字,通常使用同等的probability替代,然而,在英文中,probability通常以較狹窄的數學方式闡釋,因此在風險管理術語中,使用likelihood一詞的意義須如何以英文以外的許多語言,與probability一詞同樣具有更寬廣的解釋。
2.20 風險剖繪 (risk profile)
任何風險描述之集合。
註:風險集合可包含與整體組織、組織之部分有關者,或依其它之界定。
任何風險描述之集合。
註:風險集合可包含與整體組織、組織之部分有關者,或依其它之界定。
2.21 風險分析(risk analysis)
理解風險的本質並決定風險等級之過程。
註1:風險分析提供風險評估與有關風險處理的決策之基礎。
註2:風險分析包括風險預估。
理解風險的本質並決定風險等級之過程。
註1:風險分析提供風險評估與有關風險處理的決策之基礎。
註2:風險分析包括風險預估。
2.22 風險準則 (risk criteria)
評估風險之顯著性時所用的參照用語。
註1:風險準則係以組織的目標與外部前後環節及內部前後環節為基準。
註2:風險準則可衍生自法規、標準、政策及其它要求。
評估風險之顯著性時所用的參照用語。
註1:風險準則係以組織的目標與外部前後環節及內部前後環節為基準。
註2:風險準則可衍生自法規、標準、政策及其它要求。
2.23 風險等級 (level of risk)
風險或多項風險合併之規模,以結果(後果)
與其可能性組合之方式表示之。
風險或多項風險合併之規模,以結果(後果)
與其可能性組合之方式表示之。
2.24 風險評估 (risk evaluation)
將風險分析之結果與風險準則相比較,以決定風險及/或其規模是否可接受或可容忍之過程。
註:風險評估協助有關風險處理之決策。
將風險分析之結果與風險準則相比較,以決定風險及/或其規模是否可接受或可容忍之過程。
註:風險評估協助有關風險處理之決策。
2.25 風險處理 (risk treatment)
修改風險之過程。
註1:風險處理可包括:
-- 決定不開始或不繼續可能引起風險的活動以避免風險。
-- 承受或提高風險以尋求機會。
-- 移除風險緣由。
-- 改變可能性。
-- 改變結果 (後果)。
-- 與另一個團體或多個團體分擔風險(包含合約與風險資金提供)。
-- 藉由已獲得資訊的決定留置風險。
註2:處理負面風險結果(後果)的風險處理有時稱為「風險減輕」,「風險排除」,「風險預防」及「風險降低」。
註3:風險處理可能創造新風險或修改現有的風險。
修改風險之過程。
註1:風險處理可包括:
-- 決定不開始或不繼續可能引起風險的活動以避免風險。
-- 承受或提高風險以尋求機會。
-- 移除風險緣由。
-- 改變可能性。
-- 改變結果 (後果)。
-- 與另一個團體或多個團體分擔風險(包含合約與風險資金提供)。
-- 藉由已獲得資訊的決定留置風險。
註2:處理負面風險結果(後果)的風險處理有時稱為「風險減輕」,「風險排除」,「風險預防」及「風險降低」。
註3:風險處理可能創造新風險或修改現有的風險。
2.26 控管 (control)
修改風險之措施。
註1:控管包括任何可修改風險之過程、政策、設備、實務或其他行動。
註2:控管不可能經常能發揮預期或設想的修改效果。
修改風險之措施。
註1:控管包括任何可修改風險之過程、政策、設備、實務或其他行動。
註2:控管不可能經常能發揮預期或設想的修改效果。
2.27 殘餘風險 (residual risk)
風險處理後所殘留的風險。
註1:殘餘風險可包含未鑑別的風險。
註2:殘餘風險亦熟知為[保留風險(retained risk)]。
風險處理後所殘留的風險。
註1:殘餘風險可包含未鑑別的風險。
註2:殘餘風險亦熟知為[保留風險(retained risk)]。
2.28 監測 (monitoring)
持續地查核、監視、重點觀察或測定其狀態,以鑑別出所要求或預期的運行程度之變化。
註:監測可應用於風險管理架構、風險管制過程、風險或控管。
持續地查核、監視、重點觀察或測定其狀態,以鑑別出所要求或預期的運行程度之變化。
註:監測可應用於風險管理架構、風險管制過程、風險或控管。
2.29 審查 (review)
對為達成所建立的目標,所進行之主題事件決定其適合性、恰當性及有效性之活動。
註:審查可應用於風險管理架構、風險管理過程、風險或控管。
對為達成所建立的目標,所進行之主題事件決定其適合性、恰當性及有效性之活動。
註:審查可應用於風險管理架構、風險管理過程、風險或控管。
3 風險管理原則
以下原則促成組織內風險管理有效:
(a) 風險管理創造與保護價值。
(b) 風險管理為所有組織過程必備之一部分。
(c) 風險管理為決策訂定之一部分。
(d) 風險管理明確地處理不確定性。
(e) 風險管理係系統化、結構化及適時地。
(f) 風險管理依據可取得之最佳資訊。
(g) 風險管理為適合情況的。
(h) 風險管理將人因因素與文化因素納入考慮。
(i) 風險管理為透明化且包覆廣泛的。
(j) 風險管理對變化為動態的、周而復始的及反應的。
(k) 風險管理有助於組織的持續改善。
以下原則促成組織內風險管理有效:
(a) 風險管理創造與保護價值。
(b) 風險管理為所有組織過程必備之一部分。
(c) 風險管理為決策訂定之一部分。
(d) 風險管理明確地處理不確定性。
(e) 風險管理係系統化、結構化及適時地。
(f) 風險管理依據可取得之最佳資訊。
(g) 風險管理為適合情況的。
(h) 風險管理將人因因素與文化因素納入考慮。
(i) 風險管理為透明化且包覆廣泛的。
(j) 風險管理對變化為動態的、周而復始的及反應的。
(k) 風險管理有助於組織的持續改善。
沒有留言:
張貼留言