首頁 ISO輔導項目 企業永續 ISO 31000 風險管理系統原理及指導綱要

ISO 31000 風險管理系統原理及指導綱要 Risk management – principles and guidelines

by Leadership Editors | 發佈於 Nov 2, 2016
Share
ISO 31000 風險管理系統原理及指導綱要
ISO 31000 風險管理系統原理及指導綱要 Risk management – principles and guidelines Leadership

什麼是 ISO 31000 : 2018 風險管理系統?

ISO 31000 正式全名為風險管理原理及指導綱要( Risk management – principles and guidelines)。ISO 31000 標準的目的在於提供風險管理的原則及指導綱要,以提供各類型、不同規模的組織管理其組織整體或是個別專案之風險。ISO 31000 並不期望組織所有部門或活動都適用單一種風險管理的方法,而是可以與其它的風險管理進行協調整合(harmonize)。然而,本標準並不作為管理系統驗證之用途。ISO 輔導

ISO 31000 : 2018 風險管理系統的適用範圍?

本標準制定了風險管理的原則與通用的實施指導準則。本標準適用於任何公共、私有或社會企業、協會、團體或個人。這一標準是通用但不局限於特定行業或部門。本標準應用於組織的整個生命過程,以及一系列廣泛的活動、流程、職能、專案、產品、服務、資產、業務和決策。雖然本標準提供了通用的指導準則,但並不建議所有組織實行統一的風險管理。風險管理的設計和實施取決於特定組織的不同需要、組織特定的目標、範圍、組織結構、產品、服務專案、業務流程和具體操作。

本標準將協調與統一現有的和未來的風險管理標準。本標準提供了一個通用的處理具體風險/或部門的方法,但並不是取代那些標準。ISO 輔導

ISO 31000 : 2018 風險管理系統如何運作?

基於ISO對管理系統標準設計的主流原則,ISO 31000的結構也是採PDCA原則以致力於持續改善,但包含「風險管理(risk management)」及「管理風險(managing risk)」二個循環,交互為用。

標準中不刻意提供風險評估的技術工具,也不就特定的風險屬性(如財務、品質、環保或是安全)進行風險管理的規範。因此,本標準之目的在提供一份共通性管理風險的方法,以調和並應用於各類型風險屬性的管理。

 既然要「管理風險」,就要先從識別及評鑑風險開始,才能將有限的資源達成最有效的

風險管理。風險管理的過程規定於ISO 31000的第五章節,其要求及過程包含5.2溝通及諮詢,5.3確認內部及外部情境,5.4風險評鑑(子項要求包含5.4.2風險鑑別、5.4.3風險分析、5.4.4風險評估),5.5風險處置及5.6監督與審查;其結構與AS/NZS 4360中所規範的流程相仿。


▲ 風險管理流程圖,現行多數管理系統與 ISO 標準都必須從風險角度切入,方決定後續所需採取的行動措施

ISO 31000 11 大原則

為達到最大的效益,組織的風險管理應遵循以下原則:

1. 風險管理創造價值

風險管理有助於目標的實現和改進,例如,人類健康和安全、法律和法規、公眾認同、環境保護、財務、產品品質、業務效率、公司治理和聲譽。

 

2. 風險管理是組織進程中不可分割的組成部分

風險管理是管理職責中的一部分,同所有專案、變更管理流程一樣是組織進程中不可分割的一部分。風險管理不是與組織主要活動和組織進程分離的獨立活動。

 

3. 風險管理是決策的一部分

風險管理有助於決策者作出明智的選擇。風險管理有助於確立優選方案以及對各備選方案的判斷。最後,風險管理有助於決策者確定風險的可接受程度以及風險處理的合理性與有效性。

 

4. 風險管理明確地將不確定性表達出來

風險管理可以處理決策中的不確定性、不確定性因素,以及這些不確定性如何表達。

 

5. 風險管理應系統化、結構化、及時化

系統、及時、結構化的風險管理方法有助於提高效率和可持續發展,增加可靠性。

 

6. 風險管理依賴於資訊的有效程度

風險管理所需的資訊來源於如經驗、回饋、觀察、預測和專家的判斷等。但是,決策者應考慮到資料或模型的局限性以及專家之間產生分歧的可能性。

 

7. 風險管理應適應組織

風險管理應符合組織的外部、內部環境和風險狀況。

 

8. 風險管理應考慮人力和文化因素

風險管理應考慮外部和內部人員的能力、觀點和傾向,這些因素可以促進或阻礙組織目標的實現。

 

9. 風險管理應該是透明的、包容的

風險管理應包括利益相關者,尤其組織的各級決策者,以確保風險管理工作的相關性並及時更新。允許利益相關者對風險管理提出自己的觀點,在風險標準的確定中應考慮他們的意見。

 

10. 風險管理應該是動態的、反復的以及適應變化的

由於內部和外部事件的不斷發生、背景和知識的不斷改變、監控和審查的出現、新風險的發生,以及其它一些影響因素的變化或消失。因此,組織應保持風險管理的敏感性並及時回應變革。

 

11. 風險管理應不斷改善和加強

組織應當制定和實施戰略,來完善組織各方面的風險管理。附件A “加強風險管理屬性”提供了進一步的資訊。

申辦 ISO 31000 交給領導力企管

領導力企管擁有眾多風險管理系統輔導成功案例,並提供 ISO 31000 最佳解決方案,包括教育訓練(Training)、文件與管理流程建置(Implementing)、 驗證(Certification)、維護(Maintaining),歡迎立即與我們聯繫。ISO 輔導

資訊

OK

警告

OK
聯絡我們
聯絡我們
請留下您的聯絡方式,我們將有專人與您聯繫,說明 ISO 31000 風險管理系統原理及指導綱要 最佳解決方案。