概述
ISO/TS 31050:2023 係為ISO 31000標準系列之一,管理新浮現風險以增強韌性的風險管理準則。適用於任何形態組織、任何活動、任何階段,宜於調整以配合不同組織或其前後環節。新浮現風險的特點是其新穎性,資料不足以及缺乏做出決策所需的可驗證資訊和知識。由於該等風險可能會發展並帶來鉅大的威脅和機會,因此,須建立對新浮現風險的適當管理,納入組織風險管理的一部分。該項目須包括與組織外部前後環節的多個面向有關的情況或條件的變化,以及對組織內部前後環節的衍裕。
新浮現風險可以包括:
- 組織環境未得到承認的變化引起的風險;
- 創新或社會與技術發展創造出來的風險;
- 與新來源或以前無法識別的風險來源有關的風險;
- 來自新流程或修改過的流程、產品或服務的風險。
新浮現風險的後果可以包括:
本文參考ISO/TS 31050應用於管理新浮現的風險以增強組織韌性的指導原則。重點在可能對組織及其目標產生最重大後果的新浮現風險。 適宜運用ISO 31000(參見另文說明)提供的原則和流程以管理新浮現風險,首先需要瞭解組織運作環境的不同方面。具體適用說明如下:
- 曝露於不可預見的危險和結果不確定的威脅;
- 增加曝露於已知風險來源的危害和威脅;
- 失去或獲得機會。
本文參考ISO/TS 31050應用於管理新浮現的風險以增強組織韌性的指導原則。重點在可能對組織及其目標產生最重大後果的新浮現風險。 適宜運用ISO 31000(參見另文說明)提供的原則和流程以管理新浮現風險,首先需要瞭解組織運作環境的不同方面。具體適用說明如下:
持續地掃描可能導致新浮現的風險之不斷變化的環境或條件,有助於發展知識並提供政策、策略、和企業決策所需要的情報;
在組織前後環節中識別變化往往是一個早期指標或訊號,用以識別脆弱性和新浮現風險的來源;
管理新浮現的風險依賴於ISO 31000原則在組織運作的多個面向前後環節的極端不確定性、益增波動、複雜性和模稜兩可的條件下之應用。
係稱指導原則有助於下列事項:
- 如何瞭解新浮現風險的性質與特徵
- 風險管理原則如何應用在新浮現風險
- 如何應用ISO 31000風險管理過程在新浮現風險
- 如何透過管理新浮現風險增強韌性
- 如何使用風險情報週期在新浮現風險
- 提高認識,減少未能預見新浮現風險的可能性;
- 及早辨識新浮現的風險並提高備災能力和韌性的程度;
- 及時傳播資料,並在利益相關者之間交流資訊;
- 在組織前後環節的各個面向協調應對新浮現風險的措施。
建議採用ISO 31000的風險管理系統,目標是通過提供風險管理架構支持將風險管理納入組織的整體治理及策略管理系統,協助組織做出有關風險的知情決策和營運。
ISO 31000的主要組成架構如示:
- 原則: 概述拾壹項風險管理原則,包括建立背景,將風險管理整合到組織流程中以及不斷改進風險管理架構。
- 架構: 實施組織風險管理的架構。該架構包括識別,評估,處理,監督和傳達風險的過程。
- 處理: 風險管理過程是迭代方式,須適應組織的特定需求和目標。內容涉及識別風險、分析潛在影響和可能性、評估處理方案、實施風險處理計劃以及監督和審查風險管理措施的有效性。
- 溝通和諮詢: 在整個風險管理過程中,組織內部利益相關者之間以及與相關外部方進行溝通和諮詢的重要性。
- 監督和審查: 須對風險管理過程進行持續監督和審查,以確保其有效性和相關性,適應不斷變化的內部和外部因素。
- 組織未曾遇過、經歷過或處理過的風險
- 類似的風險出現在新的或不熟悉的前後環節,而既有知識未能適用
- 重大的新興風險
- 系統性風險
- 新穎型組合式風險
上述風險係源於組織為達到目標之前後環節的變化,如:
- 組織關係;
- 獲取資本或能力容量;
- 與社會、地緣政治、環境、經濟、技術、法律、感受及倫理因素的互動或交互作用;
- 企業內部治理、文化與營運面向。
新出現的風險應從觀察組織環境的變化中主動查明和確定特徵。新出現的風險通常表現為一系列新的情況或條件,該等情況或條件以前沒有得到承認,或者已經確定的風險特徵發生了變化。該等更改可能與,例如:
- 社會準則
- 組織文化
- 感受
- 資料、或由資料解讀出來的資訊,涉及風險或風險生成方式。
© All Rights reserved. 版權聲明。
新浮現風險通常分成三類:
有效果和有效率地管理新浮現風險需要不斷了解組織的職能、前後環節、經驗、資料取擷和新浮現的風險特徵(例如:採用風險情報週期)。宜適當記錄所獲得的資料、資訊和知識。
新浮現風險有關的新知識重要因素如下示:
由於高度不確定性,解讀資料和資訊可能會出現偏差或個人認知差異。新浮現風險可能有下列特徵(非完整列出):
新浮現風險的示例可以包括:
2024年全球風險報告
世界經濟論壇(WEF)發行的2024年《全球風險報告》探討了未來十年我們面對快速的技術變革,經濟不確定性,地球變暖和衝突可能面臨的一些最嚴重的風險。隨著匯合的壓力,疲軟的經濟和社會可能只需要甚小的衝擊就足以克服韌性的轉折點。
新浮現風險—PESTEL架構
前後環節評鑑
PESTEL架構用於策略分析,以評估和理解可能影響組織或其產業界的外部宏觀環境因素。PESTEL是五個英文字首字母的縮寫,分別代表政治(Political),經濟(Economical),社會(Social),技術(Technological),環境(Environmental)和法律(Legal)因素。該等因素中的每一個都代表該類的外部影響,該等影響可能會衝擊企業的營運,績效和策略。經由使用PESTEL架構分析該六類外部因素,組織可以洞悉其外部環境中的機遇和威脅, 允許組織制定知情的策略並做出更好的決策,以導引和適應不斷變化的市場條件。PESTEL架構每個要素概述如下:
組織的做法是將新浮現風險帶有的模糊性質轉化為組織較為熟悉的風險類型,例如:法規監督、策略或營運型風險。從而採取應對風險的措施變得較為容易,因為從轉化過程意味着對新浮現風險的責任可以重新分配給組織內的適當層級和負責人員。
ISO/TS 31050的重要貢獻是為新浮現風險引入「風險情報週期」,意即檢查外部環境的變化,然後嘗試瞭解該等變化將如何影響組織過程和目標。考慮到驅動新浮現風險的有形和無形因素的廣泛面向,故該標準運用抽象語言描述此等週期。
風險情報週期是用於識別、評估和管理與資訊安全相關的風險過程。涉及在連續週期中執行的幾個步驟,以確保有效地識別、評鑑和管理風險。該週期包括以下階段:
新浮現風險通常分成三類:
- 已知道前後環節的新類型風險:在外部環境中出現且影響組織現有活動的風險。例如:已知道與組織的活動有關的法規將在明年更新;
- 新前後環節的已知類型風險:如果組織冒險從事一項新的活動,風險的管理可能需要跟著份改。例如:組織的慈善機構已經與須要受照顧的成年人合作,且決定在當前策略結束前,開始為員工和志願者的孩子們開辦托兒所。
- 新前後環節的新類型風險:以前沒有考慮過的風險,因為該風險對組織來說屬於新的類型。
有效果和有效率地管理新浮現風險需要不斷了解組織的職能、前後環節、經驗、資料取擷和新浮現的風險特徵(例如:採用風險情報週期)。宜適當記錄所獲得的資料、資訊和知識。
新浮現風險有關的新知識重要因素如下示:
- 可能偏離預期結果或後果(正向或負向)及其或然率;
- 風險來源與性質;
- 其他因素,例如風險的發展速度和可偵測性。
由於高度不確定性,解讀資料和資訊可能會出現偏差或個人認知差異。新浮現風險可能有下列特徵(非完整列出):
- 難以預測:儘管可能存在已知的風險,例如恐怖行動、瘟疫大流行或自然災害,但尚不清楚確切的時間,地點和方式。對於大多數人來說,出現此等事件係意料之外亦令人驚訝。一個例子是COVID-19於2020年春天引起的世界大流行,組織和政府都沒有為此做好充分的準備。
- 不確定性:不確定性是該等風險的主要特徵之一,因為除了不知道是否會發生以及何時發生之外,亦不知道該等風險的真正影響是什麼,如何從早期警訊轉換成新浮現風險、決定新浮現風險來源,或者可能對組織的營運、流動性、聲譽和生存等方面造成無從估計的損害。因此不容易加以評鑑。
- 複雜與變化:各種繁複系統交互聯結、過程縱橫交錯、某些系統本質上帶有風險、多重地交互相關作用、新浮現的風險作用在既有風險或活動上可能引起非線性反應,前後環節相互之間迅速發展,大範圍的複雜性難以做出決策及估算後果,並在組織的不同領域以及人們的生活和政府發展中產生影響。
- 從全球趨勢中湧現:無論是政治,經濟,社會,環境還是技術。監督該等趨勢以識別可能出現並產生重大影響的風險是關鍵。除了該等特徵之外,新浮現的危害可能是人為的和自然的,並引起大規模的事件。
- 知識型因素:組織的前後環節未知的變更、須解讀微弱且含雜訊的變更訊號、資料不足以決定或然率或後果;
- 短暫性因素:難以逆料各種情況或狀態隨時會改變、未知參數的結果變化與後果的衝擊、資料及資訊皆不穩定;
- 模糊性因素:以有限的資料供多方詮釋與各自解讀,發展知識與情報時缺乏優先性,前後環節的變化缺乏清楚的因果關係;
- 時間性因素:組織的前後環節變化速度能否配合、新浮現風險的特徵之變化率;
- 管制性因素:非屬組織管制的因素,既可能是內部因素、亦可能是外部因素;
- 行為性因素:前後環節、系統或過程的變化之影響無可預料;
新浮現風險的示例可以包括:
- 技術風險: 例如網路安全威脅,資料洩露,破壞性技術和技術故障。
- 環境風險: 例如氣候變化,極端天氣事件,自然災害和生物多樣性喪失。
- 社會風險: 例如人口變化,價值觀或態度的社會變化以及地緣政治不穩定。
- 監督風險: 例如法律,法規或行業標準的更改可能會影響營運或合規性要求。
- 經濟風險: 例如市場動盪,經濟下滑,貨幣波動和供應鏈中斷。
2024年全球風險報告
世界經濟論壇(WEF)發行的2024年《全球風險報告》探討了未來十年我們面對快速的技術變革,經濟不確定性,地球變暖和衝突可能面臨的一些最嚴重的風險。隨著匯合的壓力,疲軟的經濟和社會可能只需要甚小的衝擊就足以克服韌性的轉折點。
新浮現風險—PESTEL架構
前後環節評鑑
PESTEL架構用於策略分析,以評估和理解可能影響組織或其產業界的外部宏觀環境因素。PESTEL是五個英文字首字母的縮寫,分別代表政治(Political),經濟(Economical),社會(Social),技術(Technological),環境(Environmental)和法律(Legal)因素。該等因素中的每一個都代表該類的外部影響,該等影響可能會衝擊企業的營運,績效和策略。經由使用PESTEL架構分析該六類外部因素,組織可以洞悉其外部環境中的機遇和威脅, 允許組織制定知情的策略並做出更好的決策,以導引和適應不斷變化的市場條件。PESTEL架構每個要素概述如下:
- 政治因素:是指政府政策,法規,穩定性和政治趨勢對企業的影響。這包括稅收政策,貿易法規,政治穩定,政府領導和政治意識形態。
- 經濟因素:經濟因素包括可能影響企業的更廣泛的經濟條件,包括經濟增長,通貨膨脹率,匯率,利率,失業率和消費者信心水平。經濟狀況會影響消費者的支出模式,投資決策和市場需求。
- 社會因素:社會因素包括社會趨勢,文化規範,人口統計學,生活方式改變和消費者偏好。這包括人口統計,社會態度,健康意識,教育水平和文化價值。社會趨勢可能會影響消費者的行為,市場需求和企業聲譽。
- 技術因素:技術因素與技術進步,創新,研發以及技術變革的速度有關。這包括自動化,數字化,新浮現技術,知識產權和技術基礎設施。技術的發展可以為新產品和服務創造機會,並破壞現有的行業和商業模式。
- 環境因素:環境因素包括生態和環境因素,包括可持續性,氣候變化,自然災害,資源短缺和環境法規。企業必須考慮其對環境的影響和可持續性做法,以減輕風險並遵守法規,同時還要滿足社會對企業責任的期望。
- 法律因素:法律因素是指管理業務營運,行業標準和公司治理的法律,法規和架構。這包括勞動法,消費者保護法規,健康與安全標準,競爭法和知識產權。遵守法律要求對於企業避免法律風險和維持道德標準至關重要。
組織的做法是將新浮現風險帶有的模糊性質轉化為組織較為熟悉的風險類型,例如:法規監督、策略或營運型風險。從而採取應對風險的措施變得較為容易,因為從轉化過程意味着對新浮現風險的責任可以重新分配給組織內的適當層級和負責人員。
- 從多個角度對營運環境進行定期和全面的掃描,或使用相關方法/技術以識別前後環節變化與新浮現的風險;
- 每當應用風險管理過程時,尋求在策略層面和整個組織中識別新浮現的風險(對個別項目或部門具有特殊意義的風險,可能不會那麼明顯或較不可能反映在高層策略思維)中考慮;
- 分析最終可能導致新風險的趨勢;
- 描述與上述相關的風險來源和可能的關切方案;
- 主動探討積極和消極結果的方案;
- 探索交互關聯的風險和前後環節;
- 確定新浮現風險的指標,該等指標將對即將發生的後果或新浮現的機會和威脅提供預先警示,並監督該等指標;
- 不斷監督資料,以便可以在獲得最新資訊時更新風險描述。
ISO/TS 31050的重要貢獻是為新浮現風險引入「風險情報週期」,意即檢查外部環境的變化,然後嘗試瞭解該等變化將如何影響組織過程和目標。考慮到驅動新浮現風險的有形和無形因素的廣泛面向,故該標準運用抽象語言描述此等週期。
風險情報週期是用於識別、評估和管理與資訊安全相關的風險過程。涉及在連續週期中執行的幾個步驟,以確保有效地識別、評鑑和管理風險。該週期包括以下階段:
- 風險識別:此階段涉及確定可能衝擊組織資訊資產的潛在風險。可以採用將威脅模組化、脆弱性評鑑和風險分析等多種方法。
- 風險評鑑:一旦識別出潛在風險,即對其進行評鑑,以決定其發生的或然率和對組織資訊資產的潛在衝擊。評鑑依據準則包括敏感性、機密性、完整性、可獲得性和聲譽等因素。
- 風險緩解:從風險評鑑帶出適當的緩解措施,以減少或消除已識別的風險。可能涉及實施保全管制、策略、程序和訓練計劃,以處理已識別的風險。
- 風險監督:風險監督涉及對資訊安全風險的持續監督,確保有效管理該等風險。可包括定期檢討風險評鑑,識別新的風險,並視需要更新前述緩解措施。
- 風險審查:定期審查風險情報週期,以評估其在識別、評鑑和管理與資訊安全相關的風險方面的有效性。審查得比對實際風險與風險識別階段得到的風險,評估已執行的緩解措施的有效性。
- 風險更新:根據定期審查的結果,根據需要更新風險情報週期,以確保其在識別、評鑑和管理與資訊安全相關的風險方面保持有效。此處涉及將新的威脅或脆弱性納入風險評鑑過程,更新緩解措施,或視需要修訂政策和程序。
- 持續掃描以收集、分析和解讀在通常不可預測的波動性、高度不確定性,網路複雜性為特徵的情況下發生的有關新浮現風險的資料,資訊和知識, 因應其快速變化;
- 考慮到在該種變化的情況下收集的有關新浮現風險的資料為有限的(在品質和數量上),且其用於緊急解讀的需求往往導致對現有資訊添加歧義;
- 考慮其他相關已知風險的資料;
- 由於現有資料和新浮現風險資訊的侷限性,將情報的至關重要性與有效決策聯繫起來。
管理新浮現風險以增強韌性
業務連續性
業務連續性係指組織在破壞性事件期間和之後保持基本功能和操作的能力。涉及制定和實施計劃、過程和程序,以確保繼續向客戶交付產品和服務,保留關鍵資產以及管理可能破壞業務營運的風險。
企業韌性
企業韌性不僅關注連續性,並專注於組織在逆境中適應、恢復和繁榮的能力。包括有效因應破壞性事件的能力,預測,預防和減輕風險的能力以及創新,學習, 並在動態和不確定的商業環境中發展。業務韌性涉及建立韌性文化,增強靈活性,敏捷性和創造力, 並將風險管理整合到戰略決策過程中,以增強組織抵禦和從顛覆中恢復並取得長期成功的能力。
結語
新浮現風險是當前尚未被認可或完全理解的潛在威脅或危害,但有可能在未來對組織的目標或營運產生重大影響。該等風險通常來自新的或意想不到的來源,例如技術進步,法規或法規的變化,社會或環境趨勢的變化以及地緣政治事件。新浮現風險可能沒有過往的事件歷史,或者可能很難使用傳統的風險評估方法進行預測。因此需要進行持續的監督和評鑑,以識別和理解其潛在衝擊、事件發生的或然率以及現有風險管理策略的有效性。
與其他可獲得更多資訊的風險類型相比,新浮現風險確實可能顯得難以著手,但並不意味著此項任務不可能處理。可以用來識別新浮現的風險的一些措施如下示:
竟
業務連續性
業務連續性係指組織在破壞性事件期間和之後保持基本功能和操作的能力。涉及制定和實施計劃、過程和程序,以確保繼續向客戶交付產品和服務,保留關鍵資產以及管理可能破壞業務營運的風險。
企業韌性
企業韌性不僅關注連續性,並專注於組織在逆境中適應、恢復和繁榮的能力。包括有效因應破壞性事件的能力,預測,預防和減輕風險的能力以及創新,學習, 並在動態和不確定的商業環境中發展。業務韌性涉及建立韌性文化,增強靈活性,敏捷性和創造力, 並將風險管理整合到戰略決策過程中,以增強組織抵禦和從顛覆中恢復並取得長期成功的能力。
結語
新浮現風險是當前尚未被認可或完全理解的潛在威脅或危害,但有可能在未來對組織的目標或營運產生重大影響。該等風險通常來自新的或意想不到的來源,例如技術進步,法規或法規的變化,社會或環境趨勢的變化以及地緣政治事件。新浮現風險可能沒有過往的事件歷史,或者可能很難使用傳統的風險評估方法進行預測。因此需要進行持續的監督和評鑑,以識別和理解其潛在衝擊、事件發生的或然率以及現有風險管理策略的有效性。
與其他可獲得更多資訊的風險類型相比,新浮現風險確實可能顯得難以著手,但並不意味著此項任務不可能處理。可以用來識別新浮現的風險的一些措施如下示:
- 不斷監督和評估組織的內部和外部前後環節,並更新全球趨勢以及現有和可能的變更狀況;
- 對相關產業界和目標市場具備深入的瞭解,包括公司生產和營運的完整供應鏈;
- 考慮並檢討產業界專家提出的新浮現風險清單。查證有哪些風險係與組織密切相關,或是間接相關;
- 仔細思考並討論處於不同領域,不僅是風險管理,哪些事件發生的或者甚微小,但衝擊會很大,因而可能會影響公司的營運和業務連續性;
- 對可能的情況進行分析,以鑑別可能實現的威脅或是對過程或資產發生衝擊;
- ISO 22300 保全與韌性—辭彙
- ISO 22316 保全與韌性—組織韌性
- ISO 31000 風險管理—指導綱要
- IEC 31010 風險管理—風險評鑑技術
- ISO TS 31050 風險管理—管理新浮現風險以加強韌性的指導綱要
- DIN SPEC 91299 管理新浮現技術相關的風險
- IRM 報告:新浮現風險及其鑑別方式介紹
- 韌性屬性: 組織吸收和適應不斷變化的前後環節的能力的特色或特徵
- 知識:通過學習資訊同化作用的成果
- 情報:經由收集、分析和解譯資料、資訊及知識的結果
- 組織型韌性:組織在不斷變化的前後環節中吸收、恢復和適應的能力
- 突破型創新 / 顛覆型創新:極大程度式的創新
- 破壞型創新:創新初期係針對要求較低的需求,以取代既有產品
- 新浮現風險:在組織既有知識系統薄弱的區域和途徑中不斷演變的風險。
- 水平領域掃描:系統地檢查資訊,以確定潛在威脅、風險、新浮現的問題和機會。
- 時間視界:考慮某類風險的前後時間區段,可以是1至3年,或者3至5年或更長。
竟
沒有留言:
張貼留言