風險管理原則與指導（ISO 31000）的實施指引 （六之六）

ISO/TR 31004:2013
風險管理—ISO 31000風險管理原則與指導的實施指引 （續，見前篇）

附錄E 管理系統整合風險管理

E.1. 概述

風險管理是整合在組織管理系統的一部分。ISO 31000 建議組織發展、實施並不斷改進一個架構，目的是將風險管理納入組織的管理系統（包括治理和策略）。具體而言，整合須確保有關風險的資訊被用作組織各級決策的基礎。作為決策方式的一部分，人員和組織每天都在管理風險。在決定做某事之前，風險管理已經自然地融入到所有人所做的事情裡。某些公司在該方面比另一些公司更擅長此道，但所有該等做為都能提高風險管理和決策的品質，從而改進目標的實現和提高信心。如果整合風險管理之目的是增加價值，那麼從邏輯上講，便意味著採取一些途徑以影響已經在做的事情，從而加強和改進之，而非以不同的東西取而代之。亦不能表示將不同的東西添加到已經發生的做出決策的本有功能中。

整合不僅涉及將既定和標準化的風險管理工具和過程引入現有管理系統，尚須調整和修改該等工具和過程，以適合決策者及其現有做出決策過程的需要。

該附件提供一些實際的例子，說明如何將風險管理納入現有的管理系統。

E.2 何謂管理系統?

所有組織都使用某種管理系統。近年來已建立由多種要求事項構成的正式管理系統，為組織建立指引和管制其活動的管理做法和程序提供架構。許多國際標準涉及一般管理系統或具體內容。

管理系統是組織建立政策和目標的一組相互關聯或相互作用的要素，以及實現該等目標的過程。從企業管理的角度來看，通過建立一個整合性管理系統以獲取效率。

例如，ISO 9001 中強調的品質管理具有針對客戶滿意的廣泛方法，而風險管理則處理不確定性對目標的影響，該等目標不僅只與客戶相關，亦可能與多種其他利益相關者相關。許多組織已經根據ISO 9001的要求實施品質管理系統，風險管理可以整合到該等管理系統中，從而產生綜效且避免重複。

E.3 管理系統整合風險管理

除了將風險管理與核心企業過程整合之外，尚須在所有管理系統方式間建立互動，例如品質管理、環境管理、安全管理、保全管理、合規、財務和通報管理，甚至需要與保險管理部門進行互動，以處理可能通過財務方式轉移到其他組織的事件。

該等單獨的管理系統宜根據各該組織的政策和策略，形成一個整合型管理系統。即使組織有單獨的管理系統管理特定風險，該等系統也須擴展並納入風險管理架構。

例如以跨組織的風險管理方式可以如下所示：

1. 增加高層管理人員對組織策略目標的關注：
2. 使整合管理系統中的所有風險都能夠按照 ISO 31000 的原則和指引進行處理。

此等方式可牽涉下列事項：

• 主要涉及產品和專案風險管理的風險管理技術，在品質管理系統中的應用；
• 處理環境管理中的不確定性，例如：危險場所的不良事件和潛在意外、危險物質和物料的處置
• 風險處理結合營運工作安全等；
• 處理保全風險，例如：針對組織或其員工或客戶的暴力行為；
• 處理資訊技術 （IT） 安全風險，例如 ：資訊技術（IT）營運中斷、資料丟失、保密事項不當洩露和確保企業連續性；
• 管理企業連續性風險，確保對破壞性事件做好準備和快速回應；
• 建立管制，以保護組織的資產，確保正確的通報，確保符合法律要求，或以儘量減少保費的方式管理訴諸保險的風險。

E.4 於品質管理系統架構內實施風險管理

D.4.1 概述

風險管理過程須納入組織的做出決策過程，不論何等層級和職能做出該等決策。

D.4.2 識別和知曉做出決策

以下方法有助於根據「計畫-執行-檢查-行動」週期，識別何時何地做出決策。

• 確定組織內部已經存在的所有形式的正式做出決策做法。在大型組織中，可能具備許多程序以供正式批准一系列的決定，例如：批准年度策略計畫、資本支出、雇用新工作人員、修改過程管制、工作人員旅行。
• 使用流程圖或其他技術繪製既適用於特定專案又適合企業各面向的主要決策實踐和序列。可以在部門或職能基礎上考慮，並擴展到治理和管理做出決策。如果有些活動是通過應用正式的管理系統（例如：應用ISO 9001 的品質管理）加以管理，則此類系統中的決策點宜成為此項分析的一部分。同樣地，如果組織有任何形式的授權做出決策權，則此類代表性群組須納入分析。最終結果當屬於連貫和有憑有據的圖形，說明在何處做出決策，由誰做出該等決策，以及適用於該等決策的現有程序。

以上技術的組合係足以產生高協調程度的組織認知和個人做出決策之認知。

E.4.3 風險評鑑

某些類型的決策（例如：開發和實現新產品或規劃和實施重大專案）中，在專案的不同階段納入正式的風險評鑑宜屬適當。例如：大多數專案都有多個決策點，即可行性、企業案例、詳細的預算編製和規劃、實施和交付。在每一個決策點，宜於帶出一個適當形式的風險評鑑，以決定由各個選項中擇優採納。從而增加專案成功的可能性，亦提高效率。

對於營運決策的風險評鑑，可以開發簡單的標準化風險管理過程形式，供相關工作成員使用。此種方法特別適合人們在沒有直接監督的情況下工作。該等方法的關鍵要素之一是提高對輸入決策之假設的認知。根據定義，假設是不確定性的來源。

此種標準化過程可以具體到所涉及的做出決策類型、執行特定任務的特定群體、及發生的典型前後環節。簡單的系統可以編輯在口袋型清單說明卡上，所有參與此類工作的人皆可隨身攜帶。

E.4.4 風險管理架構的衍裕

實施本節描述的技術需適當規定或調整風險管理架構，例如：

• 增補組織的風險管理政策；
• 安排開展做出決策實踐初步調查；
• 增補程序手冊；
• 管理人員和工作人員的訓練；
• 對按照特定管理系統開展工作的人員進行具體訓練（例如：與特定風險類型的管理有關的訓練）；
• 調整組織保證系統和風險管理資訊能力；
• 有效果的內部溝通和協商。

註1：此份文件引用ISO 31000時皆為2009年版本（第一版）。
註2：ISO 31000:2018（第二版）已出版。中文翻譯內容參見CNS 31000:2021。
註3：ISO/TR 31004:2013已由ISO/TC 262撤銷。
註4：另參考ISO/TC 262出版的指引IWA 31:2020，（另文介紹）。
註5：此文係參考網路公開提供閱讀或擷取資料，未涵蓋該等資料全部事項，相關內容務須參閱各項資料、文獻最新版次。此處係閱讀隨筆，僅供個人學習，非供印刷或潛在意圖出版。引用時請予註明。

© All Rights reserved. 版權聲明。

詳細內容參見原資料內容 。
本篇竟