ISO/TR 31004:2013
風險管理—ISO 31000風險管理原則與指導的實施指引0.1 簡介
組織使用各種方法管理對其目標的不確定性影響,即通過偵測和理解風險並在必要時對其進行修改來管理風險。
該文件旨在藉與ISO 31000保持一致,協助組織提高風險管理工作的有效性。該標準提供通用的風險管理方法,適用所有組織,幫助實現其目標。
- 註1:此份文件引用ISO 31000時皆為2009年版本(第一版)。
- 註2:ISO 31000:2018(第二版)已出版。中文翻譯內容參見CNS 31000:2021。
- 註3:ISO/TR 31004:2013已由ISO/TC 262撤銷。
- 註4:ISO 31000:2018(第二版)宜參考ISO/TC 262出版的指引IWA 31:2020。(另文介紹)
- 註5:參見 ISO 31073 風險管理辭彙,見另文介紹。:
該文件旨在配合 ISO 31000 一起閱讀,適用於組織的所有類型和規模。附件 A 解釋了理解 ISO 31000 的核心概念和定義。
第3章提供了一種通用方法,幫助組織以有計畫、有條理的方式轉換現有風險管理安排,以與ISO 31000保持一致。另亦規定,當組織內部和外部環境發生變化時,進行動態調整。
其他附件提供了關於執行ISO 31000某些面向的建議、示例和解釋,以便根據讀者的個人專長和需要提供説明。
該文件中提供的例子可能直接適用於特定情況或組織,也可能不直接適用於特定情況或組織,而僅係說明性質。
0.2 基本概念和原則
某些字詞和概念對於理解 ISO 31000 及該文件至關重要,在 ISO 31000、第 2 節和附件 A 中對此進行了解釋。
ISO 31000 列出了有效風險管理的 拾壹 項原則。該等原則的作用是告知和指引組織風險管理方法的各種方面。該等原則描述了有效果的風險管理特點。組織當從管理的各個面向反映該等原則,而非簡單地實施該等原則。該等原則作為風險管理績效的指標,強化組織管理風險有效果的價值。該等原則還影響本技術報告所述轉換過程的所有要素及其附件所涉及的技術問題。附件B提供了進一步的參考建議。
在該文件中,「最高管理階層」和「監督機構」兩個辭彙皆予使用:「最高管理階層」是指最高層級經理人和管制組織的人或群體,而「監督機構」是指治理一個組織、制訂方向和追究最高管理階層當責的人或群體。
註6:在許多組織中,監督機構係稱為董事會、董事總經理會、監事會等。
1 範圍
該文件提供組織實施ISO 31000有效地管理風險:
以結構化方式,供組織轉換其風險管理安排,量身打造適合組織特徵方式符合 ISO 31000 ;
解釋ISO 31000的基本原則
關於 ISO 31000 中描述的原則和風險管理架構的各個面向的指引。
該文件適用於任何公共、私有或社會企業、協會、團體或個人。
註:為行文便利,各種不同使用者於該文件皆以「組織」稱之。
該文件不針對任何事業或產業,也不針對任何特定類型的風險,可適用於所有活動和組織的所有部門。
ISO 31000是什麼
標準全名為風險管理—實施指引( Risk management – Guidance for the implementation of ISO 31000)。標準的目的在於提供風險管理的原則指導綱要,提供各種類型、不同規模的組織管理整體組織或是個別專案之風險。ISO 31000 並不期望組織所有部門或活動都適用單一風險管理方法,而可以與其它風險管理協調整合。該標準非供管理系統驗證之用。ISO 31000 的適用範圍
該標準制訂了風險管理的原則與通用的實施指導準則。該標準適用於任何公共、私有或社會企業、協會、團體或個人。該標準是通用但不侷限於特定行業或部門。該標準應用於組織的整個生命過程,以及一系列廣泛的活動、過程、職能、專案、產品、服務、資產、業務和決策。雖然該標準提供通用指導準則,但並不建議所有組織實行統一的風險管理。風險管理的設計和實施取決於特定組織的不同需要、組織特定的目標、範圍、組織結構、產品、服務專案、業務過程和具體操作。標準將協調與統一現有的和未來的風險管理標準。該標準提供一個通用的處理具體風險/或部門的方法,但並不是取代那些標準。
2.參考標準:ISO 31000
3. 實施ISO 31000
3.1 通則
此條款為尋求將其風險管理方法和實務做法與 ISO 31000 保持一致並持續地提供組織實務做法指引。
其提供一般方法學,適合任何組織以有計畫的方式應用,而不論其目前的風險管理安排的性質如何。此方法涉及以下內容:
比較現有實施情況與 ISO 31000 中描述的實施方式;
鑑別何種事項需要改變,並準備和實施該等事項的計畫;
保持持續的監督和檢討,以確保維持現況和持續改進。
無論以何種動機實施 ISO 31000,上項作為皆使組織能夠更佳地管理風險,支援其目標。所有組織都在某種範圍管理風險。實施 ISO 31000 的策略宜認知組織已經在管理風險。
如 3.2節所述,實施過程將評估現有安排,必要時予以調整和修改,得與 ISO 31000 保持一致。
ISO 31000 鑑別風險管理架構的不同要素。當該架構的要素整合到組織的治理、職權和過程中時,能夠取得若干優勢。係與組織有效性、決策健全和效率有關。
- 管理風險的架構須將其組成部分納入組織的整體管理和決策系統實施之,無須介意該系統是正式的或非正式的;參照 ISO 31000 可改進現有管理過程。
- 瞭解和管理不確定性成為管理系統中不可或缺的組成部分,為組織建立共通的方式。
- 實施風險管理過程可以根據組織的規模和要求進行比例調適。
- 治理(即指導和監督)風險管理政策、架構和過程可以納入現有的組織治理安排。
- 風險管理報告與其他管理報告相結合。
- 風險管理績效成為整體績效方法的組成部分。
- 可以確保或改進組織通常分開的風險管理領域(如:企業風險管理、財務風險管理、專案風險管理、安全和安保管理、業務連續性管理、保險管理)之間的互動和聯繫,因為現在將主要側重於確定和實現組織的目標,同時考慮到風險。
- 改進了管理團隊與管理階層之間關於不確定性和風險的溝通。
- 組織內部風險管理活動的孤島,以實現組織目標為共同重點。可能會帶來間接的社會利益,因為該組織的外部利益相關者可能會受到激勵,改進各自的風險管理活動。
- 風險處理和控制可以成為日常操作的組成部分。
3.2 ISO 31000 的實施方式
雖然 ISO
31000
解釋了如何有效管理風險,但它沒有解釋如何將風險管理整
合到組織的管理過程中。儘管組織不同,各組織的起始點也可能不同,但所有情況皆適用共通和系統性的實施方法。
在規劃和實施下列改變之前,組織須確定是否需對現有風險管理架構進行改變,然後監督修訂後的架構之持續有效性。係為允許組織:
- 使其風險管理活動與ISO 31000第3條所述的有效風險管理原則保持一致:
- 適用ISO 31000第5條中描述的風險管理過程,
- 滿足ISO 31000、附錄A.3條款中加強風險管理的附加屬性:
- 從而實現ISO 31000、附錄A.2條款中的關鍵成果。
此種方法亦適用於已經與ISO 31000一致的組織,但希望按照ISO 31000第4.6節和第5.6節的建議,不斷改進其架構和管理風險的過程。
利用管理類似類型風險或經歷過類似過程的其他組織的經驗,可以幫助轉換期間的各種考慮方向。
ISO 31000 的運作方式
基於ISO對管理系統標準設計的主流原則,ISO 31000的結構也是採PDCA原則以致力於持續改進,但包含「風險管理(risk management)」及「管理風險(managing risk)」二個循環,交互為用。
標準中不刻意提供風險評估的技術工具,也不就特定的風險屬性(如財務、品質、環保或是安全)進行風險管理的規範。因此,本標準之目的在提供一份共通性管理風險的方法,以調和並應用於各類型風險屬性的管理。
既然要實施「管理風險」,就要先從識別及評鑑風險開始,才能將有限的資源達成最有效的
風險管理。風險管理的過程規定於ISO 31000的第五章節,其要求及過程包含5.2溝通及諮詢,5.3確認內部及外部情境,5.4風險評鑑(子項要求包含5.4.2風險鑑別、5.4.3風險分析、5.4.4風險評估),5.5風險處置及5.6監督與審查;其結構與AS/NZS 4360中所規範的過程相仿。
3.3 整合ISO 31000 到組織的管理過程
3.3.1通則
ISO 31000 係提供架構和通用過程,以管理任何類型的組織的所有或部分的風險。以下章節將 ISO 31000 的要素整合到組織的管理方法中提供指引,包括其活動、過程和功能。組織可以選擇將 ISO 31000 概念與現有過程整合,也可以選擇根據 ISO 31000 設計和建立新方法。以下小節描述架構和進程的核心要素,以及成功整合該等要素以實現其組織目標的必要措施。有許多方法可以將 ISO 31000 整合到組織中。要素的選擇和順序須按照組織及其利益相關者的需要進行調整。應用該指引時須謹慎,以確保整合後支持整體業務管理策略。以推動努力實現保護組織和創造價值的目標。該方法還需要考慮組織的文化,以及專案和變更管理的方法學。
以下小節描述架構和過程的核心要素,以及成功整合該等要素以實現其組織目標的必要措施。
實施 ISO 31000 是一個動態且迭代過程。此外,該架構的實施與ISO 31000第5節所述的風險管理過程相互關聯。衡量成功的標準是架構的整合,以及整個組織風險管理的持續改進。
整合過程係處在動態環境中。組織應監督兩種改變,包括執行過程帶來的改變,及其內部和外部環境的改變。由此尚可能需要更改其風險準則。
3.3.2成員及委員會
通常,實施過程包括以下內容:
如有要求時,獲得授權和承諾:
差異分析
根據組織需要、文化、創造及保護價值而進行裁剪和規模調整:
評估與過渡相關的風險;
制訂企業計畫:
- 設定目標、優先事項和指標;
- 建立企業案例,包括看齊組織目標;
- 決定範圍、當責、時間區段和資源;
鑑別實施前後環節,包括與利益相關者的溝通。
3.3.3架構設計
3.3.3.1 須評估組織現有的風險管理方式,包括前後環節和文化。
- 重要的是要考慮組織選擇採用的任何管理系統和標準所產生的任何法律、法規或客戶義務和驗證要求。此步驟的目的是允許仔細調整風險管理架構的設計和實施計畫內容,並允許與組織的結構、文化和一般管理系統保持一致。
- 重要的是,同時考慮使用在管理風險的過程,和使此一過程得以實用的現有風險管理架構的各個面向。
- 應制訂適當的風險準則。風險準則必須與組織的目標保持一致,並與其風險態度保持一致。如果目標發生變化,風險準則需要相應調整。制訂風險準則以反映組織的風險態度和目標,對於有效的風險管理非常重要。
具體而言,設計新架構應評估以下情況:
- 原則和屬性,如ISO 31000所述;
- 既有的架構,評估時應特別比較目前做法與ISO 31000下列各小節的要求:
- 4.3.2 風險管理策略
- 4.3.3當責
- 4.3.4 整合到組織過程
- 4.3.5 資源
- 4.3.6 及4.3.7 內部與外部溝通及報告機制
- 該過程的評估應與ISO 31000、第5條中的現有過程要素進行比較,以及推動和提供過程原理的基本原則,以及ISO 31000第3條(例如,此一過程是否實際應用於各級做出決策):
- 評估當前過程是否為決策者提供做出高品質決策,及欲達到或超過目標時所需的風險資訊;
- 評估現有風險管理方法,是否充分處理相互關聯的風險和在多個地點發生的風險。
ISO 31000;2018 圖一:原則—架構—過程
3.3.3.2 鑑別架構設計要求
根據第3.3.3.1節描述的評估,組織須決定當前風險管理方法的下列哪些面向:
未來須可以繼續使用(可能擴展到其他類型的決策);
需要變更或增強:
不再增加價值,且須予停止。
該等文件須規定:
在整個組織中使用一致的方法管理風險;
不同階層的當責以管理風險:
明確界定所有風險管理當責的人之能力和責任:
內部和外部利益相關者都酌情透過全面溝通和諮商而參與之:
有關風險的資訊以及風險管理過程所有應用的產出,均以一致和保全的方式記錄,並可適當地取得。
3.3.3.3 須訂定實施階段的範圍、目標、指標、資源、成功的程度,以及監督和審查準則。
3.3.3.4 須建立內部和外部溝通和通報機制。
3.3.4 實施風險管理
需制訂詳細執行計畫,以確保按前後連貫的順序發生必要的改變,並能夠提供和應用必要的資源。該計畫須得到實施時所需的資源支援,此項可能要求特定的預算撥款,其發展須是規劃過程的一部分。該計畫本身須根據 ISO 31000第5.4節以及實施的任何必要風險處理措施,進行風險評鑑。
該計畫既須要求並允許追蹤進展情況,並報告給最高管理階層和視察機構,尚須規定定期審查該計畫。
該計畫須包括下列事項:
詳細說明須採取的特定措施、其順序、由誰執行以及完成的時間段落:該等事項將包括修訂內部標準和準則、解釋和訓練以建立能力,以及調整當責;
- 確定將作為與組織發展有關的一些更廣泛的活動的一部分而實施的任何活動,或以其他方式相關的活動(例如,訓練材料的開發和訓練員的參與);
- 確定執行責任;
- 納入機制以完成報告、進展和問題;
- 識別並記錄任何觸發計畫審查的準則。
3.3.5 監督和審查
與計畫有關的進展情況(每月、每季度等)須及時跟蹤、分析和報告。
與該計畫反向的進展與措施績效反向的情況報告須在公正、客觀的審查過程中定期予以確證。審查須包括檢查架構、過程、風險本身和環境改變化。
須定期審查實施策略,並量測與風險管理計畫的進展、一致性和偏差。如果觸發計畫中規定的審查準則,也可能發生審查工作。
須根據改變和管理風險的有效性,以及鑑別經驗教訓和改進機會來評估績效。
監督中的重大問題須報告給當責者。
此步驟的結果將回饋到前後環節和其他功能中,以便鑑別新風險,發現既有風險的改變,並記錄架構的執行狀態,以進行改進(見ISO 31000第4.6節和第5.7節)。
3.4 持續改進
須審查風險管理架構和風險管理過程,以評鑑其設計是否適宜,及其實施是否如所預期的為組織增加價值。如果監督和審查結果表明可以做到改進,則須儘快實施該等改進。
對於已過渡到 ISO 31000 的組織,須不斷意識到並抓住改進機會。轉換過程中使用的相同步驟也有助於定期檢查是否偏離過程。
持續改進的各種觸發因素,如下所示:
對風險管理架構和風險管理過程進行例行監督和審查,識別改進機會:
可以得知新的知識;
對本組織的內部和外部前後環節之某種實質改變。
(未完,見續篇)
沒有留言:
張貼留言