IWA 31:2020
風險管理—在管理系統使用ISO 31000指引
0. 介紹 使用基於 ISO 和 IEC 管理系統標準 (MSS) 的管理系統的各種類型和規模的組織數量正在穩步增長。新的 ISO 和 IEC 管理系統標準不斷地開發,以處理組織活動、產品或服務的特定面向。 ISO/IEC 指令第 1 部分指定 管理系統標準的高階架構 (HLS)。此通用高階架構為所有 ISO 和 IEC 管理系統標準制定了相同的核心文件、通用辭彙與核心定義。組織可以將不同的管理系統標準要求或建議整合到既有之管理系統中。管理系統標準的統一架構足以令用戶更容易建立整合的管理系統(IMS),而不是形成碎片化的管理系統結果。所有此類管理系統標準均採用基於風險管理的方式為概念、基於風險的方式或基於風險的思維(取決於相關管理系統中使用的辭彙),是為任一種管理系統的核心。此種做法的主要優點是相互關聯的系統的全面性應用。 ISO 31000: 2018 (第二版)可用於進一步開發或改進整合的管理系統,指導如何確定需要處理的風險,以確保管理系統得以實現預期結果、增強預期效果、預防或減少非預期影響,並實現持續改進。
ISO 31000 是風險管理的國際最佳實務,受到廣泛地接納、通用且開放式管理任何類型的風險。透過使用 ISO 31000 將風險管理整合到其多種管理系統中,可以為組織帶來甚多好處,無論是僅解決負面影響還是包含正面影響。 ISO 31000 中概述的風險管理目的是創造和保護價值。有助於改善風險負責人或過程負責人的決策,並增強流程的運作和組織的所有其他活動,包括策略和營運活動。如此可帶來更好的結果、更高的輸出品質、更低的錯誤成本以及管理法規責任。
根據 ISO 31000 整合式風險管理,透過支持目標的實現並使組織韌性更強能抵禦不利影響,從而創造和保護組織的價值。評鑑風險可以對其進行適當的處理,並為提高組織管理系統的有效性、實現改進的結果和防止負面結果奠定基礎。然而,將風險管理整合到管理系統中可能會帶來挑戰,宜經由遵循該文件的指引減少挑戰。
IWA 31:2020的未來發展可能側重於擴大適用性和改進準則內容,因應新浮現的風險和不斷變化的管理實務。隨着網路安全威脅等新型態威脅和挑戰的出現,該文件可能會更新,納入風險管理方面最佳實務和創新。
註:此文係參考網路公開提供閱讀或擷取資料,未涵蓋該等資料全部事項,相關內容務須參閱各項資料、文獻最新版次。此處係閱讀隨筆,僅供個人學習,非供印刷或潛在意圖出版。引用時請予註明。
1. 範圍
提供在已實施一項或多項 ISO 和 IEC 管理系統標準 (MSS) 或已決定實施一項或多項納入 ISO 31000 的管理系統標準的組織整合與使用 ISO 31000 的指引,與管理系統標準的高階架構(HLS) 相關。
該文件未提供一般管理系統的實施指引。未規定管理系統標準要求。未提供 ISO 31000 的摘要;然而,如上所述,文件內容實際提供理解 ISO 31000 的背景說明。使用該文件並不能排除使用其他標準解決特定風險面向的需求。
(2.略)
4 「風險」在ISO 31000及其它標準中的使用情形
術語的應用應當在適用術語的背景下進行。對於組織的風險管理,ISO 31000的3.1節定義「風險」為《不確定性對目標的影響》。有些標準沒有提到目標,但內文經常指出,需要處理風險,以確保管理系統能夠實現預期成果。「目標」可以表示為《預期結果或結果》。
ISO 31000的風險管理架構和過程係是量身打造的,與組織及其目標相關的外部和內部前後環節相配合。此處包括有關各利益相關者的觀點。
在某些情況下使用不同的術語(例如:安全、職業健康和安全、醫療器材產業)。此種使用係對「風險」一詞的普遍實務理解,縮小ISO 31000的風險概念,因為後者側重於偏離預期的潛在負面衝擊。這種方式亦視為包括在ISO 31000:的3.1節更廣泛的風險定義。
5 ISO 31000 風險管理系統使用者指引
6 採用ISO 31000的整合式管理系統
風險管理的應用可以通過管理系統的過程方式完成之。ISO 31000架構宜與管理系統合併,方式是採用差異分析以包括ISO 31000架構組件。經由將風險管理納入過程方式,可以避免重複或衝突。為了切實有效地將ISO 31000架構及其過程納入其他管理系統標準,組織宜採納ISO 31000的八個原則。國際標準組織出版的《綜合使用管理系統標準手冊》可當作此項目的協助參考文件。關於綜合使用管理系統標準的詳細步驟,建議參閱該手冊。
附錄A提供關於組織如何能夠將風險管理納入其管理系統標準的指引。
附錄B是將ISO 31000納入多項管理系統的案例展示。
附錄A:ISO 31000對應高階管理架構於風險管理系統標準
表A.1 顯示ISO 31000節次對應高階管理架構於風險管理系統標準的最重要相關節次。配合顯示的對應節次,ISO 31000使用者可整合風險管理實務至組織的管理系統內。
附錄B:ISO 31000應用之案例說明多項管理系統
B.1 通則
本案例研究以ISO 31000和MSSS的HLS原則為基礎,闡明了一個跨多個學科的組織中風險管理的整體方法。本案例研究沒有提供任何指導,說明如何將ISO 31000集成到組織的管理系統中。它也不包括與每個引用的MSS相關的要求。
為本附件的目的,僅強調了某些條款/要求(被認為特別有效)的各個方面,以表明如何根據風險管理方法審查對組織品質管理系統(QMS)流程適用的要求。
註:在本附件中使用了"利害關係人"一詞,因為它是該組織使用的術語,該組織自1997年以來一直採用ISO 9001。根據ISO 31000的3.3節"利益相關者"的定義,"利害關係人"一詞可以作為替代。
B.2 組織描述與背景
為說明附件目的虛構一個「XYZ」組織。
(3.見文末)
4 「風險」在ISO 31000及其它標準中的使用情形
術語的應用應當在適用術語的背景下進行。對於組織的風險管理,ISO 31000的3.1節定義「風險」為《不確定性對目標的影響》。有些標準沒有提到目標,但內文經常指出,需要處理風險,以確保管理系統能夠實現預期成果。「目標」可以表示為《預期結果或結果》。
ISO 31000的風險管理架構和過程係是量身打造的,與組織及其目標相關的外部和內部前後環節相配合。此處包括有關各利益相關者的觀點。
在某些情況下使用不同的術語(例如:安全、職業健康和安全、醫療器材產業)。此種使用係對「風險」一詞的普遍實務理解,縮小ISO 31000的風險概念,因為後者側重於偏離預期的潛在負面衝擊。這種方式亦視為包括在ISO 31000:的3.1節更廣泛的風險定義。
5 ISO 31000 風險管理系統使用者指引
ISO 31000為所有類型的組織提供指引,無論組織類型和規模如何,係為組織中創造和保護價值的人員編寫,目的是管理風險、做出決策、制定目標和策略、實現目標以及提高績效。
風險管理八項原則乃創造和保護價值的基礎。皆為風險管理提供有效果和有效率特徵的指引,傳達價值,並解釋風險管理意圖和目的。ISO 31000提供一種通用途徑管理組織在其整個生命週期中所面臨的各種類型風險。
風險管理架構目的是協助組織將風險管理納入重要的活動和職能。風險管理的有效性將取決於將之納入組織的治理,包括做出決策。
ISO 31000中規定的風險管理過程須按照組織與其目標相關的外部和內部前後環節量身打造。加以調整,使之成為管理系統的一個組成部分,並整合在組織的結構、業務和流程內。
利用相關原則和架構指引,組織可以選擇針對整個生命週期中面臨的任何類型風險,量身打造風險管理過程於組織管理系統的應用。增加風險管理過程的步驟得以強化管理系統。此處前後環節需謹記雖然風險管理過程往往按順序呈現,但實際上是迭代運用。
只要有任何資訊或估量可以啟動或增加某一過程或活動,或組織的前後環節出現變異,便須運用風險管理。
此等資訊或估量可能存在某種程度的不確定性,可能影響目標實現。在ISO 31000的3.1節解釋並中一個效應就是偏離預期,可以是正向、負向或兩者兼而有之。因此,只要是與其過程和活動相關的新資訊或估量,組織便須重新審視風險識別。
圖1顯示ISO 31000指引與管理系統標準通用高階架構段落的迭加現象。首行引用高階架構段落,左側列表示ISO 31000架構段落。例如:從ISO 31000的5.2節關於領導力和高階架構關於領導力的條款的交叉點來看,灰色格子表明須有涉及風險管理的過程。 因此,此圖可以作為參考圖。有關段落連結的詳細資訊,請參見表A.1。
圖1:ISO 31000與高階架構和管理系統標準段落關聯性。
風險管理八項原則乃創造和保護價值的基礎。皆為風險管理提供有效果和有效率特徵的指引,傳達價值,並解釋風險管理意圖和目的。ISO 31000提供一種通用途徑管理組織在其整個生命週期中所面臨的各種類型風險。
風險管理架構目的是協助組織將風險管理納入重要的活動和職能。風險管理的有效性將取決於將之納入組織的治理,包括做出決策。
ISO 31000中規定的風險管理過程須按照組織與其目標相關的外部和內部前後環節量身打造。加以調整,使之成為管理系統的一個組成部分,並整合在組織的結構、業務和流程內。
利用相關原則和架構指引,組織可以選擇針對整個生命週期中面臨的任何類型風險,量身打造風險管理過程於組織管理系統的應用。增加風險管理過程的步驟得以強化管理系統。此處前後環節需謹記雖然風險管理過程往往按順序呈現,但實際上是迭代運用。
只要有任何資訊或估量可以啟動或增加某一過程或活動,或組織的前後環節出現變異,便須運用風險管理。
此等資訊或估量可能存在某種程度的不確定性,可能影響目標實現。在ISO 31000的3.1節解釋並中一個效應就是偏離預期,可以是正向、負向或兩者兼而有之。因此,只要是與其過程和活動相關的新資訊或估量,組織便須重新審視風險識別。
圖1顯示ISO 31000指引與管理系統標準通用高階架構段落的迭加現象。首行引用高階架構段落,左側列表示ISO 31000架構段落。例如:從ISO 31000的5.2節關於領導力和高階架構關於領導力的條款的交叉點來看,灰色格子表明須有涉及風險管理的過程。 因此,此圖可以作為參考圖。有關段落連結的詳細資訊,請參見表A.1。
圖1:ISO 31000與高階架構和管理系統標準段落關聯性。
6 採用ISO 31000的整合式管理系統
風險管理的應用可以通過管理系統的過程方式完成之。ISO 31000架構宜與管理系統合併,方式是採用差異分析以包括ISO 31000架構組件。經由將風險管理納入過程方式,可以避免重複或衝突。為了切實有效地將ISO 31000架構及其過程納入其他管理系統標準,組織宜採納ISO 31000的八個原則。國際標準組織出版的《綜合使用管理系統標準手冊》可當作此項目的協助參考文件。關於綜合使用管理系統標準的詳細步驟,建議參閱該手冊。
附錄A提供關於組織如何能夠將風險管理納入其管理系統標準的指引。
附錄B是將ISO 31000納入多項管理系統的案例展示。
附錄A:ISO 31000對應高階管理架構於風險管理系統標準
表A.1 顯示ISO 31000節次對應高階管理架構於風險管理系統標準的最重要相關節次。配合顯示的對應節次,ISO 31000使用者可整合風險管理實務至組織的管理系統內。
B.1 通則
本案例研究以ISO 31000和MSSS的HLS原則為基礎,闡明了一個跨多個學科的組織中風險管理的整體方法。本案例研究沒有提供任何指導,說明如何將ISO 31000集成到組織的管理系統中。它也不包括與每個引用的MSS相關的要求。
為本附件的目的,僅強調了某些條款/要求(被認為特別有效)的各個方面,以表明如何根據風險管理方法審查對組織品質管理系統(QMS)流程適用的要求。
註:在本附件中使用了"利害關係人"一詞,因為它是該組織使用的術語,該組織自1997年以來一直採用ISO 9001。根據ISO 31000的3.3節"利益相關者"的定義,"利害關係人"一詞可以作為替代。
B.2 組織描述與背景
為說明附件目的虛構一個「XYZ」組織。
- 員工約120人。
- 業務涉及開發、貿易、技術協助和生產,以混合粉末和液體為下列產品:
- 材料表面處理用化學產品;
- 水處理用化學產品;
- 機械加工用潤滑劑;
- 化學助劑;
- 航空航天工業臨時保護膜和粘合劑系統。
- 屬於營利性企業。
- 需要考慮適用之法規環境,例如:歐盟、加拿大和哥倫比亞,主題包括:處置要求、化學廢棄物要求、運輸要求、安全要求等。
- 地理分布位置,分布在兩個工廠:加拿大的多倫多市,哥倫比亞的波哥大市,和位於比利時布魯塞爾市的總公司。
- 組織自1998年起獲得ISO 9001驗證。
- 獲得ISO 9001驗證之後,陸續添加顧客要求,須配合各項環境管理系統及健康和安全事項,係為分別的管理系統。
2017年底,品質經理認知經由ISO 31000整合組織內已妥善建立之品質管理系統而合併多項管理系統的可能性。
品質經理瞭解上述事項並和執行長討論後,獲得其原則同意,隨即安排兩者參加三場相關工作坊,由三個不同產業的組織介紹導入ISO 31000的自身經驗,包括由2009第一版轉換到2018第二版的經驗。品質經理與執行長由工作坊認識到實施風險管理架構支援既有管理系統的價值所在,決定開始推動。
該風險管理方式須整合到既有之ISO 9001管理系統。執行長與董事會主席指派責任與權力給品質管理經理,由其安排詳細專案說明,依照ISO 31000風險管理方式的預期做法和指示。另且指示所有過程擁有者積極配合品質管理安排的任務,準備及實施上述專案。
前述預期做法和指示因而添加至整合的政策,舉例如下:
組織亦將應用風險管理於管制任何類型的法律風險,幫助組織履行所有合規義務。
B.3 應用風險管理(由ISO 31000)於現有的品質管理系統(QMS)
品質管理認識到現有的品質管理系統欲應用風險管理事項,則在某種程度上涉及所有條款。
首先,該項目的基礎是考慮到風險管理架構的組成部分須納入組織的整體策略和企業政策及做法。意即第一個步驟是審查品質管理系統的每一個要素,以查明和評估現有風險管理做法的任何差距。 第二個步驟是通過將風險管理架構的各組成部分納入品質管理系統相互關聯和相互作用的要素,包括組織架構、角色及負責事項、規劃與過程以達到組織目標;從而填補相關空白位置。
除了ISO 9001中明確提到風險(與機會和威脅相關)的條款外,幾乎所有條款和相關要求都直接或間接隱含提及風險和風險管理。
以下為組織考慮事項參考:
第6節規劃:此節為風險管理的關鍵,因為它是不確定性對目標的影響之內在概念。
第4.1節了解組織與前後環節:旨在建立管理系統進展和風險管理架構與進展基礎。有關利益相關者的決定、需求和期望係建立管理系統及程序、以及確定風險準則的基礎。溝通相關要求見ISO 31000補充關於溝通和諮商的建議。
第7.5節文件化資訊:除ISO 9001標準中明確提到的文件,即組織決定的所有文件化資訊,該專案指出資訊對品質管理系統的有效性確屬必要,除了標準要求的文件外,亦須運用風險管理確定何等文件化的詳細程度。除考慮組織規模、活動類型、過程複雜性、各要素之間的相互作用和人員能力之外,每個過程可能要問兩個基本問題:
缺乏有憑有據的文件化資訊,即程序、作業指導書、紀錄或缺乏細節的紀錄,將產生何種負面衝擊?
啟用新的程序、作業指導書、註冊或改進現有程序的詳細程度將產生何種正向衝擊?
務須牢記,文件太大或比必要內容更為詳細,將可能被完全忽略。
管理階層決定管理系統所需的過程及整個組織內皆須應用之,無論此等過程是在內部執行還是委外。每個過程(內部或外部)都有很大的不確定性,該專案指出有必要鑑別下列事項:
第7.1, 7.2, 7.3節支援:雖然此等節次未明確參考風險管理,惟受其發光而提供資源(人員、基礎架構及工作環境)如促成擷取機會且避免非預期事件,追求主要目標,滿足愈來愈多的顧客,及其他相關的利益相關者。人員必須具備必要專業能力和資源以維持工作範圍內的該等風險在其控制之下。所有人員皆已瞭解其所面對的各式各樣風險,及個人貢獻為達到組織目標。
第7.1.5, 9.1節監督及量測資源:按照標準要求建立度量衡特徵和校正間隔等,且考慮所有相關風險,以前的監督及量測活動,並考慮不僅只是威脅與危險,亦須考慮值得擷取的機會。此等考慮重要的是否採用(或不採用)某些量測、容許誤差值、可接受量測不確定、前後二次校正期間儀器漂移的可能性、及紀錄的詳細程度。所有面向皆從風險評鑑和成本—利益分析所投射的光環考量之。
第8節營運:係屬關鍵節並嚴格運用風險管理於實施ISO 9001全部要求事項,舉凡決定產品與服務的要求事項,顧客關係、設計與開發產品與服務皆受到相關機會與威脅考量的影響。
供應鏈相關的風險是經常委外的公司之關鍵面向,凡是委外的過程、產品與服務之要求事項皆須考慮風險管理為關鍵活動。對外部供應商及委外過程、產品與服務之管制種類與範圍必須基於後續的生產及服務提供事項的影響。
為建立生產及服務要求的管制狀況及相關面向,如:鑑別追溯性、保存或變更管制過程,應用風險管理過程係甚為重要。
績效評估與改進強調記取ISO 31000第6.6節「監督與審查」活動,加上架構中評估與改進(第5.6, 5.7節)面向。
專案亦考慮以下事項:
實施ISO 31000原則、架構及過程突顯各行其是不足為取,改為更寬廣、整合型及調諧的方式管理組織和風險。執行長與董事會認知到是時候跟上企業風險管理哲學,將各式各樣風險融匯一爐,整合地及協同一致地管理之。
風險經常涉及不只一種領域,而是橫亙多方。某些特殊情況,某個領域的機會(如:品質)可能是另一個領域的風險(如:環境管理或職業安全衛生),反之亦然。此理亦說明為何宜於整合協調方式管理多領域及相關風險,配上各領域的專業能力支援。
此種整合方式亦提醒組織當處理風險時可能生出新的或修改既有風險。
若是按嚴格方式評鑑風險,無論究竟屬於何種性質的風險,凡影響策略與潛在營運目標者皆是。如此一來,組織得以鑑別與針對不僅是威脅,亦包括機會皆可深入探討,從而獲得比較優勢。此亦高階管理架構與管理系統標準的哲學。
此外,整合風險管理架構到品質管理系統所有要素,如前述,皆有大用,亦在其它管理系統領域用得到風險管理,如:環境、職業安全衛生、資訊保全。
加之其它管理系統標準,如:ISO 14001, ISO/IEC 27001, ISO 45001,皆帶有風險評鑑及風險處理的要求事項。當組織面對發生的狀況時,顯然會更專注管制潛在威脅而可能忽略機會。
上述全部考量得出以下決策:
組織亦須考慮下列共通接受的概念:
環境相關風險與職業安全衛生相關風險亦為組織風險的一個類別,緣自環境相關與職業安全衛生相關狀況或狀態的不確定性,導致無論是負面或利益面的一或多項後果。此等風險宜考慮(非完整列表):
組織對全球化和數位化轉型帶來的挑戰並非不敏感,全球化和數位化轉型推動企業利用新市場和新通訊技術提供的商機。宜意識到利用新機會有關的變化可能對管理系統內處理的幾乎所有領域構成其他威脅和其他機會。認知到與資訊保全有關的風險影響到組織前後環節,是尋找機會改善資訊保全的原因。
風險管理過程的結構和系統應用促使組織應用工業4.0和物聯網(IoT)以及數位創新計劃。
此方面的考慮包括感測器和技術(大數據分析、人工智慧以及雲端,若適用時,和全球定位系統)的實施、更換或重新配置,以便監督和控制下列事項:
B.6 小結
應用風險管理於管理系統,且使用多個管理系統標準的要求,遵循ISO 31000指引,須為組織核心專注。
實施該專案係經證明為贏家選擇。
該專案施行乃基於整合概念,將若干不同產業整合在一個管理系統。由此設立案例採用全局觀念方式,利用綜效優點,以ISO 31000提供整合過程指引,及各種管理系統標準之要求事項,即ISO 9001, ISO 14001, ISO/IEC 27001 及ISO 45001。
須採取系統的、廣泛的及相關方式管理全部相關的利益相關者的所有風險、涉及的機會及保護價值。
附錄C:工作坊參與者
(參見英文原版內容)
參考標準
竟
品質經理瞭解上述事項並和執行長討論後,獲得其原則同意,隨即安排兩者參加三場相關工作坊,由三個不同產業的組織介紹導入ISO 31000的自身經驗,包括由2009第一版轉換到2018第二版的經驗。品質經理與執行長由工作坊認識到實施風險管理架構支援既有管理系統的價值所在,決定開始推動。
該風險管理方式須整合到既有之ISO 9001管理系統。執行長與董事會主席指派責任與權力給品質管理經理,由其安排詳細專案說明,依照ISO 31000風險管理方式的預期做法和指示。另且指示所有過程擁有者積極配合品質管理安排的任務,準備及實施上述專案。
前述預期做法和指示因而添加至整合的政策,舉例如下:
- 風險是企業伴隨且無從避免的要素,每項活動幫助組織追求目標時亦帶給組織風險;
- 吾人誓言以主動和有效果方式管理所有風險;
- 管理階層、治理單位和營運單位在企業所有面向的適宜階層皆運用風險評鑑;
- 吾人促成認知風險文化於所有做出決策時,從而培育基於風險的認知思維,目的在利用機會優勢及防範未預期結果;
- 基於風險的思維係指此種意識到風險的文化,此文化須為組織知識的一個基本組成部分,且在我們組織的所有各層級皆得以確立;
- 組織中的任何人都有責任在各自的職權範圍內管理風險,并在指定的权限、责任和责任範围内管理风险;
- 客戶愈來愈期望組織在倫理上有所作為,且適用於組織過程的所有面向,會既直接亦間接地貢獻價值;
- 對風險管理的承諾擴展到組織的所有供應商;
組織亦將應用風險管理於管制任何類型的法律風險,幫助組織履行所有合規義務。
B.3 應用風險管理(由ISO 31000)於現有的品質管理系統(QMS)
品質管理認識到現有的品質管理系統欲應用風險管理事項,則在某種程度上涉及所有條款。
首先,該項目的基礎是考慮到風險管理架構的組成部分須納入組織的整體策略和企業政策及做法。意即第一個步驟是審查品質管理系統的每一個要素,以查明和評估現有風險管理做法的任何差距。 第二個步驟是通過將風險管理架構的各組成部分納入品質管理系統相互關聯和相互作用的要素,包括組織架構、角色及負責事項、規劃與過程以達到組織目標;從而填補相關空白位置。
除了ISO 9001中明確提到風險(與機會和威脅相關)的條款外,幾乎所有條款和相關要求都直接或間接隱含提及風險和風險管理。
以下為組織考慮事項參考:
第6節規劃:此節為風險管理的關鍵,因為它是不確定性對目標的影響之內在概念。
第4.1節了解組織與前後環節:旨在建立管理系統進展和風險管理架構與進展基礎。有關利益相關者的決定、需求和期望係建立管理系統及程序、以及確定風險準則的基礎。溝通相關要求見ISO 31000補充關於溝通和諮商的建議。
第7.5節文件化資訊:除ISO 9001標準中明確提到的文件,即組織決定的所有文件化資訊,該專案指出資訊對品質管理系統的有效性確屬必要,除了標準要求的文件外,亦須運用風險管理確定何等文件化的詳細程度。除考慮組織規模、活動類型、過程複雜性、各要素之間的相互作用和人員能力之外,每個過程可能要問兩個基本問題:
缺乏有憑有據的文件化資訊,即程序、作業指導書、紀錄或缺乏細節的紀錄,將產生何種負面衝擊?
啟用新的程序、作業指導書、註冊或改進現有程序的詳細程度將產生何種正向衝擊?
務須牢記,文件太大或比必要內容更為詳細,將可能被完全忽略。
管理階層決定管理系統所需的過程及整個組織內皆須應用之,無論此等過程是在內部執行還是委外。每個過程(內部或外部)都有很大的不確定性,該專案指出有必要鑑別下列事項:
- 將輸入轉換為輸出的活動;
- 預期的結果
- 潛在影響(正向或負面)於後續過程及最終產品;
- 管制、監督及量測活動須儘可能促成最大化正向衝擊,意即擷取改進機會,並最小化負面衝擊,意即避開不期待事件、不符合等。
- 文件化資訊,即程序、作業指導書、規格等,包括指出風險,以確保品質管理系統程序可以達到預期結果、強化效果、防範或減少非預期影響,及達成改進。
第7.1, 7.2, 7.3節支援:雖然此等節次未明確參考風險管理,惟受其發光而提供資源(人員、基礎架構及工作環境)如促成擷取機會且避免非預期事件,追求主要目標,滿足愈來愈多的顧客,及其他相關的利益相關者。人員必須具備必要專業能力和資源以維持工作範圍內的該等風險在其控制之下。所有人員皆已瞭解其所面對的各式各樣風險,及個人貢獻為達到組織目標。
第7.1.5, 9.1節監督及量測資源:按照標準要求建立度量衡特徵和校正間隔等,且考慮所有相關風險,以前的監督及量測活動,並考慮不僅只是威脅與危險,亦須考慮值得擷取的機會。此等考慮重要的是否採用(或不採用)某些量測、容許誤差值、可接受量測不確定、前後二次校正期間儀器漂移的可能性、及紀錄的詳細程度。所有面向皆從風險評鑑和成本—利益分析所投射的光環考量之。
第8節營運:係屬關鍵節並嚴格運用風險管理於實施ISO 9001全部要求事項,舉凡決定產品與服務的要求事項,顧客關係、設計與開發產品與服務皆受到相關機會與威脅考量的影響。
供應鏈相關的風險是經常委外的公司之關鍵面向,凡是委外的過程、產品與服務之要求事項皆須考慮風險管理為關鍵活動。對外部供應商及委外過程、產品與服務之管制種類與範圍必須基於後續的生產及服務提供事項的影響。
為建立生產及服務要求的管制狀況及相關面向,如:鑑別追溯性、保存或變更管制過程,應用風險管理過程係甚為重要。
績效評估與改進強調記取ISO 31000第6.6節「監督與審查」活動,加上架構中評估與改進(第5.6, 5.7節)面向。
專案亦考慮以下事項:
- 相關品質之風險將影響下列區域(非完整列出):
- 產品、服務與營運之合規義務;
- 競爭行為與競爭者們;
- 產品與服務的成功、顧客與其他利益相關者的滿意情形;
- 產品、服務與過程的永續性;
- 組織永續成功、形相及信譽。
- 產品創新和技術變革;
- 供應鏈內的變化;
- 合規性義務;
- 利益相關者的觀點之於倫理、原則、價值及期待;
- 資訊保全;
- 基礎結構的可靠性。
實施ISO 31000原則、架構及過程突顯各行其是不足為取,改為更寬廣、整合型及調諧的方式管理組織和風險。執行長與董事會認知到是時候跟上企業風險管理哲學,將各式各樣風險融匯一爐,整合地及協同一致地管理之。
風險經常涉及不只一種領域,而是橫亙多方。某些特殊情況,某個領域的機會(如:品質)可能是另一個領域的風險(如:環境管理或職業安全衛生),反之亦然。此理亦說明為何宜於整合協調方式管理多領域及相關風險,配上各領域的專業能力支援。
此種整合方式亦提醒組織當處理風險時可能生出新的或修改既有風險。
若是按嚴格方式評鑑風險,無論究竟屬於何種性質的風險,凡影響策略與潛在營運目標者皆是。如此一來,組織得以鑑別與針對不僅是威脅,亦包括機會皆可深入探討,從而獲得比較優勢。此亦高階管理架構與管理系統標準的哲學。
此外,整合風險管理架構到品質管理系統所有要素,如前述,皆有大用,亦在其它管理系統領域用得到風險管理,如:環境、職業安全衛生、資訊保全。
加之其它管理系統標準,如:ISO 14001, ISO/IEC 27001, ISO 45001,皆帶有風險評鑑及風險處理的要求事項。當組織面對發生的狀況時,顯然會更專注管制潛在威脅而可能忽略機會。
上述全部考量得出以下決策:
- 建立單一「整合式管理系統」涵蓋調和型及協調式途徑之三個領域:
- 2019年上半年度達成ISO 45001首次驗證
- 指派品質經理職權協調「整合式管理系統」的建立、實施、維持及持續改進,包括帶有風險管理架構與過程;品質經理亦負責支援全組織關於參考風險管理。
- 組織內所有過程擁有者亦為風險擁有者,如:承擔所負責區域的管理風險當責與權責,及提供特定紀律相關知識與技能以支援品質經理。
組織亦須考慮下列共通接受的概念:
- 環境相關風險與職業安全衛生相關風險,係為須分別在環境和職業安全衛生事件中受到影響或須受到關切的風險
- 環境相關風險係由周圍可能性的環境面向引起環境衝擊的風險
- 職業安全衛生相關風險係指勞工安全衛生遭受的風險,主要由於勞工相關危害事件或爆炸引起傷害(人們健康受傷或損傷)所致。
環境相關風險與職業安全衛生相關風險亦為組織風險的一個類別,緣自環境相關與職業安全衛生相關狀況或狀態的不確定性,導致無論是負面或利益面的一或多項後果。此等風險宜考慮(非完整列表):
- 合規義務、產品責任、訴訟成本及受到傷害相關成本;
- 勞工福祉、績效或營運活動;
- 開發及營運活動許可
- 組織形象與信譽,及對組織業務的信心;
- 競爭行為與競爭者們;
- 天氣變異性及氣候改變;
- 天然事件破壞可能包括負面環境衝擊;
- 業務連續性。
組織對全球化和數位化轉型帶來的挑戰並非不敏感,全球化和數位化轉型推動企業利用新市場和新通訊技術提供的商機。宜意識到利用新機會有關的變化可能對管理系統內處理的幾乎所有領域構成其他威脅和其他機會。認知到與資訊保全有關的風險影響到組織前後環節,是尋找機會改善資訊保全的原因。
風險管理過程的結構和系統應用促使組織應用工業4.0和物聯網(IoT)以及數位創新計劃。
此方面的考慮包括感測器和技術(大數據分析、人工智慧以及雲端,若適用時,和全球定位系統)的實施、更換或重新配置,以便監督和控制下列事項:
- 生產過程,旨在增進效率、平衡物料及半成品流動、及效果(最終產品折損率);
- 產品生命週期,旨在促成改進供應鏈管理(包括風險管理);
- 生產的基礎架構,旨在使預測性維護過程能夠部分或全部替換傳統維護過程。
- 職業安全衛生器材和基礎架構與個人保護裝置(可穿戴型),為能執行實時監督和控制,以改進工作條件和個人福祉。
- 環境面向。
- 在資訊保全管理系統中,資訊保全風險可表示為對資訊保全目標的不確定影響;
- 資訊保全風險係關聯到威脅會利用到不同脆弱型的潛在性而對組織造成傷害。
- 組織治理的效果,基於DIKW金字塔型,即資料、資訊、知識、智慧與上述各項的應用、服務及處理以上各項的系統。
- 確保組織的資訊對付威脅(故障與/或網際攻擊)已受到持續的適宜保護。
- 形象與信譽關係到組織能力足以保護個人資料、顧客資料及技術訣竅、及自己的資料。
- 機密性(未向未經授權的個人、實體或過程提供或披露資訊的性質)
- 完整性(準確與完整資訊的性質)
- 有用性(根據授權實體的要求可訪問和使用資訊的性質)
- 業務連續性
- 資訊保全對組織營運中其他領域的目標也有一些重要和間接的衝擊。
- 環境保護
- 防範工作相關傷害與健康疾病
- 改進生產力與提供的產品和服務的品質
- 由三個基線(人、行星、利潤)增強組織績效。
B.6 小結
應用風險管理於管理系統,且使用多個管理系統標準的要求,遵循ISO 31000指引,須為組織核心專注。
實施該專案係經證明為贏家選擇。
該專案施行乃基於整合概念,將若干不同產業整合在一個管理系統。由此設立案例採用全局觀念方式,利用綜效優點,以ISO 31000提供整合過程指引,及各種管理系統標準之要求事項,即ISO 9001, ISO 14001, ISO/IEC 27001 及ISO 45001。
須採取系統的、廣泛的及相關方式管理全部相關的利益相關者的所有風險、涉及的機會及保護價值。
附錄C:工作坊參與者
(參見英文原版內容)
參考標準
- ISO 9001:2015,品質管理系統 — 要求
- ISO 14001,環境管理系統 - 要求和使用指南
- ISO/IEC 27001,資訊科技 — 安全科技 — 資訊安全管理系統 — 要求
- ISO 45001,職業健康與安全管理系統 - 要求和使用指南
- ISO國際標準化組織。管理系統標準的綜合使用 (IUMSS),2018 年。
竟
沒有留言:
張貼留言