一個組織的活動,包括它所做的決定,會帶來風險。外部前後環節改變超出組織的控制和影響,也可以帶來新風險。該組織的所有活動和過程都發生在內部和外部環境中,在這種環境中存在不確定性。由此可見:
表達組織對風險管理的意圖(即成員和承諾)的方法須與其表達其他意圖的方式相似(見附件 C)。在可能的情況下,風險管理架構的其他組成部分,須整合到現有管理系統的組成部分內(附件 E 和 ISO 31000 中提供進一步建議)。
風險管理有助於決策者做出知情選擇、確立優選措施以及對各備選措施的判斷。
B.2.3.2
如何應用原則
該原則指出,風險管理為知情決策奠定了基礎。風險管理應納入支持實現目標和做出決策過程的活動。做出決策過程須始終如一地評鑑和必要時處理風險。做或不做出決策所涉及的風險,瞭解這兩種情況下的關聯風險非常重要。
風險管理須應用在決策的一部分,在做出決定時(即主動決策),而不是在做出決策之後(即被動決策),例如:
- 關於策略問題的決定,須考慮到環境因素改變,以及組織資源變化的不確定性;
- 創新過程不僅要考慮決定創新成功的不確定性,還要考慮創新中涉及人、社會、安全和環境面向的風險,並按法律要求(如:產品安全);
- 大型投資計畫須具體說明進行風險評鑑的做出決策里程碑。
- 組織關於風險管理的政策及其溝通方式應反映此一原則。
架構的其他部分須考慮到決策的方式,以便以有效和一致的方式應用於所有做出決策,例如專案管理、投資評估、採購。
在整個組織中負責決策的人員應瞭解組織的風險管理政策,並應特別要求具備將風險管理過程應用於做出決策的能力。此須明確配置當責制,佐以技能訓練和績效審查。
實用協助:
為落實本原則,須從開始就認真考慮以下問題:
—説明其係如何創造和保護價值?[原則 a)]
—在組織中如何以及在哪裡做出決策?
—誰參與做出決策?
—凡屬做出決策的人需要什麼知識和技能,才能使風險管理成為他們做出決策的一部分?
—決策者將如何獲得他們需要的知識和技能?
—現有員工需要什麼指引和支援?
—未來的員工將如何採用這種決策方法?
—外部利益相關者將如何受到影響?
—組織中的哪些做出決策過程需要改變?
—如何監督應用本原則的進展情況?
B.2.4
風險管理明確地處理不確定性
B.2.4.1
原則
d) 風險管理可以處理決策中的不確定性、該不確定性的性質,以及如何處理該不確定性。
B.2.4.2
如何應用原則
風險管理相較於其他類型的管理,獨特之處在於特別著重在解決不確定性對目標的作用。只有瞭解這種不確定性的性質和來源,才能評估或成功處理風險。
所有類型的不確定性都需要考慮,且需注意切莫將之高估或低估。
在選擇風險處理和考慮控制的作用和可靠性時,專注在不確定性也很重要。同樣地,風險管理過程的相關配套措施也存在不確定性,例如:在與利益相關者溝通和諮詢時,資訊是否已成功傳遞,或者所選的監督過程間隔是否足以查覺出來變化情況。
參與風險管理的人,須對不確定性的重要性以及不確定性的類型和來源有一個正確的掌握。用於解決不確定性的風險評鑑方法的數量和類型,須適宜且與決策的重要性相關;可能需要變換採取多種方法。
記錄風險管理過程時的假設(ISO 31000,第5.7節)。該項假設通常反映了某種形式的不確定性,以及將任何足以區分出來的不確定性因素,納入該過程的各個步驟。
在評鑑風險時,必須考慮與等級估計評分相關的不確定性的可能性和後果。
在分析風險和提出處理建議時,須使用敏感性研究以瞭解該等不確定性的實際影響。
實用協助:
決策者須採取務實態度,經常要問:「此處假設的是什麼情況?」此項做法不必侷限於正式的風險評鑑,例如,它可能適用於所有預測。
在將內部和外部環境視為建立前後環節的組成部分時,須注意可能與頻繁波動相關的任何特徵。此處是一個不確定的來源,也有助於持續監督和審查前後環節的方式。
如果不確定性表示已知特定值僅存在於某種限定範圍內,應溝通該範圍。
B.2.5風險管理系統化、結構化、及時化。
B.2.5.1
原則
e) 風險管理系統化、結構化、及時化。
系統化、及時化、結構化的風險管理方式有助於提高效率和持續、可比較及結果可靠。
B.2.5.2
如何應用原則
在做出決策時,一致的風險管理方式將提高組織的效率,並能提供建立信心和成功的結果。這就要求組織實踐考慮與所有決策相關的風險,並使用與組織目標及其活動範圍相關的一致風險準則。
及時化方式意味著風險管理過程在做出決策過程的應用在最佳時間點。在一定程度上取決於架構的設計,而原則亦適用該架構。如果風險考慮的太早或太晚,要麼失去機會,要麼可能為修改決定帶來大筆成本。須評鑑和理解時間依賴關係,以決定最有效的風險管理方式。
結構化方式意味著以ISO 31000第5條所述的方式應用風險管理過程,包括為該等活動作適當準備。根據需要,該方法須與自上而下或自下而上的方法保持一致,以便對應適當的管理階層。
B.2.6
風險管理依賴於現有的最佳資訊
B.2.6.1
原則
f)風險管理依賴於現有的最佳資訊
風險管理的輸入過程所需資訊來源於如:歷史資料、經驗、利益相關者回饋、觀察、預測和專家判斷等。但是,決策者須考慮到資料或模型的侷限性及專家之間意見分歧的可能性。
B.2.6.2
如何應用原則
獲取最佳可用資訊以便正確理解任何風險非常重要。因此,風險管理安排須包括收集或生成資訊的方法(如:研究)。然而,儘管盡了最大努力,但現有資訊有時仍然有限,例如:預測將來會發生什麼可能僅限於使用統計預測。
須理解決策對資訊中任何不確定性的敏感性。風險評估的可靠性將部分取決於風險準則的明確性和準確性。收集與風險相關的資料(如:事件的發生和其他基於經驗的資訊)可以幫助統計預測。
雖然基於證據做出決策是最高目標,但在時間或現有資源下,並非總是可能實現。在此種情況下,須結合現有資訊,使用專家判斷。然而,在做出此種判斷時,需要注意避免群體偏見。此外,過去的證據可能無法準確預測未來。在涉及發生非常劇烈後果事件的可能情況中,如果有潛在傷害的證據,而不是確鑿的傷害證據,缺乏資訊可能會促使採取措施。
此原則亦適用於風險管理架構的設計(或改進),因為該架構的某些方面(如:提供研究能力或收集、分析、更新和獲得資訊以支援該過程的應用)將決定此一原則的適用程度。
須定期評估資訊的可靠性和準確性,以評估其相關性、及時性和可靠性,並記錄假設。該架構須提供定期審查和發出更新或更正。
實用協助:
在設計如何通報不良事件時,首先須仔細考慮該等資訊可以説明哪些決策,即當前和未來的最終使用者是誰,如何區分資訊,如何增強其完整性,以及如何獲得該等資訊。完成此任務後,可以設計報告表單,同時須緊記,所提供的品質可能會受到所需輸入報告表的時間點的影響。
須將前後環節的描述(包括編撰日期)作為對所面臨關鍵風險(如:風險登記簿)的詳細程度,及文件化的描述之部分。此點允許登記簿的使用者考慮隨後可能發生的前後環節的任何變更,從而改變風險。
在評鑑中作出假設時,包括任何限制,須明確記錄和了解該等假設的理由。
在設計風險處理方法時,應考慮如何監督由此產生的控制之績效,並提供給未來的決策者,他們可能依賴該等控制。
B.2.7
風險管理應適應組織
B.2.7.1
原則
g)風險管理應適應組織。
風險管理須一致於組織的外部、內部前後環節和風險剖繪。
B.2.7.2
如何應用原則
ISO 31000 提供適用於所有類型組織和所有類型風險的通用風險管理方法。所有組織都有自己的文化和特徵、風險準則和運作背景。風險管理應針對每個組織的需求量身打造。
沒有單一、正確的方法設計和實施風險管理架構和過程,因為需要每個組織的靈活性和適應性。設計可以由許多面向決定,包括組織規模、文化、部門、配置和管理風格。
不同的風險領域可能需要在同一組織內進行不同的量身打造過程。雖然所有過程都應與 ISO 31000 一致,但所涉及的系統、模型和判斷準則(例如,參與評鑑資訊技術相關風險、財務和投資風險,或競爭對手風險的人員)之間將存在差異。每個過程皆須根據具體目的進行量身打造。
由於該架構的目的是確保風險管理過程以有效果和反映政策的方式應用於做出決策,因此架構的設計須反映決策的地點和方式,並須考慮到組織所承擔的任何法律或其他外部義務。
重要的是謹記,量身打造並不意味著架構的要素(如ISO 31000所述,第4條)或過程的步驟(見ISO 31000,第5條)須有所變動。所有該等事項都對有效地管理風險至關重要。
此一原則在設計和改進風險管理架構時非常重要,但它也與過程各個方面的結構方式相關。
此一原則亦可以表明,組織需要考慮內部問題,如:工作人員流動率(若變動幅度相當大,可能需要適當調整入職前訓練範圍,以確保所有新進員工都能夠滿足關於風險管理對新進人員的要求)。
為了實現與組織做出決策過程的整合,有必要對架構進行量身打造。還需要修改做出決策過程,以適應結構化的風險管理架構。
實用協助:
在設計風險管理架構時,須包括徵求和考慮將參與實施該架構成員的意見。
-更深入地瞭解ISO 31000的基本概念,將有助於確保調整架構和過程,將實現有效風險管理的屬性,如ISO 31000,附件A。相反地,只是勾選欄位並不會實現此等要點。
B.2.8
風險管理考慮人類和文化因素
B.2.8.1
原則
h)風險管理考慮人類和文化因素。
風險管理須考慮外部和內部人員的能力、觀點和傾向,該等因素可以促進或阻礙組織實現目標。
B.2.8.2
如何應用原則
此一原則涉及獲得利益相關者的意見,以及理解該等觀點可能受到人類和文化特徵的影響。需要考慮的因素包括社會、政治和文化以及時間概念。常見的錯誤類型包括以下內容:
檢測和回應預警訊號失效;
對他人的意見漠不關心或缺乏知識;
由於簡化資訊處理策略以解決複雜問題而出現偏差;
未能識別複雜性。
當設計架構和應用風險管理過程的所有面向時,需採取具體行動來理解和應用此等人類和文化因素。
關於風險的架構和溝通的設計,須考慮到聽眾的文化特徵和知識水準。
實用協助:— 管理者須表明關於促成和支援尊重和理解個人差異的方式行事。
—人們喜歡被問及自己的觀點。—一般來說,組織獎勵他們重視的東西。如果挑選員工、晉陞和薪酬沒有公開與實際風險管理績效掛鉤,則此類績效不太可能達到預期標準。須適當承認個人的努力。
—一般來說,依靠單一的人為控制對風險進行大的修改是不明智的。
—跨國組織明智地認識到文化在決定人們行為方式方面的重要性。
由於內部和外部事件的不斷發生、前後環節和知識的不斷改變、監督和審查風險的出現、新浮現風險,以及其它一些影響因素的變化或消失。因此,組織須保持風險管理的敏感性並及時回應變革。
B.2.10.2
如何應用原則
組織目標的任何改變,或內部或外部前後環節的任何面向,都不可避免地會改變風險(如:內部重組、新的主要供應商或相關法律的變更)。同樣,組織前後環節的變化(如:收購另一家公司或確保獲得一份新的主合同)可能需要改變架構(如:訓練、風險專家)。風險管理過程的設計須反映組織的動力(如:改變的速度)。
ISO 31000包含兩個監督和審查系統(涉及架構和過程)。每個都針對其目的,每個都需要思考和實施。
須對該架構進行監督和審查,以確保該架構能夠繼續執行該等有效果的風險管理原則,落實組織的風險管理政策,並支援將此一過程應用於整個組織做出的決策。
監督和審查須納入風險管理過程的每一個核心步驟。
須審查管制措施,以確保持續有效性,以應對變化。如:若改變人員,則依賴於特定人員績效的管制,可能效果不佳。
監督和審查須仔細量身定做,特別是使它們對可能產生最深刻影響的變化因素敏感。監督和審查須評估監測指標的持續重要性,如有必要,該等指標將需要適應變化或新浮現的情況。
監督和審查是獨特的活動,如ISO 31000、4.5和5.6所解釋的那樣。監督涉及對關鍵參數的持續觀察,以確定它們是否按預期執行或按假定執行。審查時機彈性發生,其結構方式係針對其目的,通常是為了確定做出決定的假設(如:設計架構)是否仍然有效,因此是否需要審查由此產生的決定。審查還須考慮到新的知識和技術。
實用協助:
—在應用風險管理過程和發展前後環節的陳述時,須鑑別最有可能更改的組成因素(如:外部環境的特性),並密切監督該等組成因素的變化。任何改變都可能需要重新評鑑所有或部分文件化的風險。
—須鼓勵人們報告對現狀的關注(包括:揭發者)。
—即使是小型組織亦須牢記全球性變化,例如:2008年的全球金融危機對一些小型供應商產生深遠影響,該等供應商的主要客戶受到銀行倒閉的直接或間接衝擊。此類外部事件或新浮現的情況可能需要主動地更改風險管理架構。
B.2.11風險管理加強組織持續改進
B.2.11.1
原則
k)風險管理加強組織持續改進。
組織須制訂和實施策略改進組織各方面的風險管理成熟度。
附件A
“加強風險管理屬性”提供了進一步的資訊。
B.2.11.2
如何應用原則
組織績效的持續改進與風險管理績效的持續改進是相互關聯的。改進基於風險做出的決策的風險管理,可以減少實現目標的不確定性,最大限度地降低波動性並提高靈活性。但是,須注意不要將風險管理績效過於複雜化,以免扼殺對機會的追求和應對的靈活性。
反而是,此一原則的重要性在於各組織對改進的新機會保持警惕。此種機會可能在內部(如:通過從所報告的不良事件中學習)或外部出現(如:提供能夠改進風險管理的新工具和知識)。
此原則還與不斷尋求改進風險管理效率有關,例:部署能更好地將決策者與資訊聯繫起來的新技術。
在組織的風險管理政策中須明確持續改進的目標,且不斷以正式和非正式的方式進行溝通。持續改進可能包括以下內容:
—改進風險管理活動與一般活動相結合的程度;
—改進風險評鑑品質;
—改進架構,如:資訊的品質和取得方式;
—改進決策速度。
持續改進的基礎是進步的定性和定量指標。使用分階段方法和成熟模式的組織,須根據組織的資源和文化設計該等方法,作為持續改進的驅動力。他們應該認識到,在人類的許多努力獲取成功係孕育著成功的種子。有效管理風險的目的,僅僅在於增加組織全面實現其目標的可能性。組織實現有效果風險管理的速度愈快,就愈有效率實現目標。
單純考慮實務,某些改進可能需要時間才能實現,如:有些改進可能需要分配預算,或仔細規劃和推出。改進計畫須考慮優先事項和相對利益,並允許監督進展情況。
實用協助:
利用該架構的監督和審查要素,根據該等風險管理原則和設計改進對績效進行年度審查。
須評估和審查風險管理架構的充分性、適用性和效率。
不良事件報告系統須用於進行根本原因分析,不僅要關注事故的近因,還要研究使事故發生成為可能的風險管理架構的特性。
須監督成功(如:及時/符合預算的專案執行),以便了解風險管理架構最有利於成功的哪些特性,並應傳達該等特點以增強價值。
