ISO 31000風險管理原則和指引ISO 31000風險管理原則和指引

于樹偉于樹偉

國立中央大學環工所

1

21世紀企業經營特質

Our-sourcing, off-shoring

Doing more with less

風險與管理基本概念

天有不測風雲、人有旦夕禍福

人無遠慮，必有近憂

兩權其害取其輕兩權其害取其輕

風險管理系統發展歷程

AS/NZS 4360:1999 Risk Management standard

修訂並製訂AS/NZS 4360:2004修訂並製訂 HB 436 Risk Management Guidelinesg

BS 31100:2008 Risk Management – Code of practice

ISO 31000:2009 Risk Management – Principles and guidelines

ISO/IEC 31010:2009 Risk management – Risk assessment techniques

風險管理系統發展歷程

AS/NZS 4360 Risk Management Process

BS 31100 Risk Management Model

BS 31100 Risk Management Framework

BS 31100 Risk Management Process

風險管理相關系統

BS 25999-1:2006 Code of practice for business continuity managementmanagement

BS 25999-2:2007 Specification for business continuity management

Note: business continuity concerns the facilitation ofNote: business continuity concerns the facilitation of

continuous operation of key business functions in a crisis p y

situation while risk management is perceived as a much

broader discipline and one that effectively sets out to

identify and manage risks that affect an organization .

a) 創造及保障價值

b) 組織作業程序的一部分

任務與決心(4.2)

確認環境狀況(5.3)

一部分

c) 決策的一部分

d) 明確陳述不確定性

設計風險管理架構

風險評估(5.4)

風險辨識(5 4 2) 監性

e) 系統性、結構性和即時性

f) 根據最可靠的資

架構(4.3)

風險辨識(5.4.2)

風險分析(5.4.3)

監測和審查

溝通與f) 根據最可靠的資

料

g) 客製化

h) 考慮人性和文化

執行風險管理(4.4)

持續改善架構(4.6) 風險評量(5.4.4)

查(

5.

6)

與諮詢(

5.h) 考慮人性和文化因素

i) 公開化和全面性

j) 動態的、循環的

監測和審查架構 風險處理(5.5)

.

2)

j) 動態的 循環的和因應改變的

k) 促進持續改善

(4.5)( )

12

執行程序(第5章)管理架構(第4章)指導原則(第3章)

名詞與定義

Risk 風險不確定性對目標的效應

Risk management 風險管理監督和控制組織風險協調性的作業

Risk management framework 風險管理架構

提供組織風險管理設計、執行、監測、評估和持續改善基礎和組織運作的組合

13

名詞與定義 (續1)

Risk management policy 風險管理政策組織整體風險管理意圖和方向的聲明

Risk attitude 風險態度組織評估並進而追求、保有、接受或迴避風險的作法

Ri k l 風險管理計畫Risk management plan 風險管理計畫風險管理架構中詳述風險管理作法、管理組合和所需資源的方案資源的方案

14

名詞與定義 (續2)

Risk owner 風險擁有者具有風險管理責任和權責的個人或部門

Risk management process風險管理程序系統化運用管理政策 步驟和實務 執行溝通 諮詢系統化運用管理政策、步驟和實務，執行溝通、諮詢、確定背景、辨識、分析、評估、處理、監督和審查風險相關作業相關作業

Establishing the context 確認環境界定風險管理應考量的外部和內部因素，並設定風險管理政策適用範圍和風險判定基準

15

名詞與定義 (續3)

External context 外部環境

組織尋求目標達成的外在環境組織尋求目標達成的外在環境

Internal context 內部環境

組織尋求達成目標的內部環境組織尋求達成目標的內部環境

C i ti d lt ti 溝通和諮詢Communication and consultation 溝通和諮詢

組織持續和重複執行的程序，目的在於提供、分享或獲得資訊 並和利益關係人就風險管理相關課題或獲得資訊，並和利益關係人就風險管理相關課題充分溝通

16

名詞與定義 (續4)

Stakeholder 利益關係人

決策或活動可能影響、受到影響或認為會受到影響的決策或活動可能影響、受到影響或認為會受到影響的個人或組織

Risk assessment 風險評估

整合風險辨識、風險分析和風險評量相關作業的程序整合風險辨識、風險分析和風險評量相關作業的程序

Ri k id tifi ti 風險辨識Risk identification 風險辨識

辨識、確定和敘述風險的程序，包括辨識風險的來源事件 事件發生的原因和可能的後果、事件、事件發生的原因和可能的後果

17

名詞與定義 (續5)

Risk source 風險來源

可能會造成風險的獨立或綜合因素可能會造成風險的獨立或綜合因素

Event 事件

一組特定情況的發生或改變一組特定情況的發生或改變

18

名詞與定義 (續6)

Consequence 後果影響目標之事件結果影響目標之事件結果

Likelihood 可能性可能發生的機會

19

名詞與定義 (續7)

Risk profile 風險圖像描述或表達一組風險的方式描述或表達一組風險的方式

Risk analysis 風險分析Risk analysis 風險分析瞭解風險特性和判斷風險等級的程序

Risk criteria (可接受或可容忍)風險判定基準判斷風險重要性的依據或參考值判斷風險重要性的依據或參考值

20

名詞與定義 (續8)

Level of risk 風險等級以後果和可能性描述之獨立或整合風險的等級以後果和可能性描述之獨立或整合風險的等級

Risk evaluation 風險評量風險評量比較風險判定基準和風險分析結果以判斷是否風險和/或其程度為可接受或容忍的程序

Risk treatment 風險處理修正風險的程序

21

名詞與定義 (續9)

Control 控制

改變風險的措施改變風險的措施

Residual risk 殘餘風險

經處理後存在的風險

Monitoring 監測Monitoring 監測

持續審查、監督、嚴格觀察或判斷狀態以辨識需要或預期成效程度的變化要或預期成效程度的變化

22

名詞與定義 (續10)

Review 審查

決定為達到既定目標相關主題適合性、充分決定為達到既定目標相關主題適合性、充分性和有效性的作業

23

風險管理的效益及目的

提高達成目標的可能性;

鼓勵主動性管理;

了解組織風險辯識和處理的需求；

改善辨識機會和威脅的能力;

遵循法律規章及國際標準;遵循法律規章及國際標準;

24

風險管理的效益及目的(續1)

改善義務性和自發性的宣告或報導;

改善組織治理;改善組織治理;

改善利益關係人的信心與信任;

建立決策和規劃可靠的依據建立決策和規劃可靠的依據;

改善控制;

有效分配和使用風險管理資源;

改善運作效率和成效;改善運作效率和成效;

25

風險管理的效益及目的(續2)

加強衛生安全和環境保護績效;

提升損害防阻和意外事件管理能力提升損害防阻和意外事件管理能力;

減少損失；減少損失

提升組織學習意願；和

提升組織適應能力。

26

風險管基本導原則

風險管理要創造及保障價值

風險管理可以促進完成目標以及執行成效如人員安全衛生風險管理可以促進完成目標以及執行成效如人員安全衛生、保全、法規符合性、民眾接受度、環境保護、產品品質、計畫管理、運作成效、治理和名譽。、計畫管理、運作成效、治理和名譽。

27

風險管理基本原則 (續1)

風險管理是組織作業程序的一部份

風險管理並非是從組織主要活動和程序自成一格的作

業，風險管理是所有組織作業程序和管理責任的一部

分，包括策略規劃和所有計畫及變更管理程序。

28

風險管理基本原則 (續2)

風險管理是決策的一部份

風險管理可以幫助決策者做出可靠抉擇 決定作業風險管理可以幫助決策者做出可靠抉擇、決定作業的優先順序和區分不同替代方案的差異。

29

風險管理基本原則 (續3)

風險管理要明確陳述不確定性

風險管理明確考慮不確定性、不確定性特質以及不確風險管理明確考慮不確定性、不確定性特質以及不確定性應如何處理。

30

風險管理基本原則 (續4)

風險管理是系統性、結構性和即時性的

系統性、即時性和結構性的風險管理方法是最有效的系統性、即時性和結構性的風險管理方法是最有效的，並且可產生一致性、可比較及可靠的結果。

31

風險管理基本原則 (續5)

風險管理要根據最可靠的資料

管理風險程序的輸入是不同來源的資料 如歷史資料管理風險程序的輸入是不同來源的資料，如歷史資料、經驗、利益關係人意見回饋、觀察、預測和專家判斷 不過決策者應了解和考慮資料 預測模式的限制斷，不過決策者應了解和考慮資料、預測模式的限制或是專家分岐意見的可能性。

32

風險管理基本原則 (續6)

風險管理要客製化

風險管理要符合組織內外部環境特性以及風險概況(圖風險管理要符合組織內外部環境特性以及風險概況(圖

像)。

33

風險管理基本原則 (續7)

風險管理應考慮人性和文化因素

風險管理要判斷可能促成或防礙組織達成目標內、外部風險管理要判斷可能促成或防礙組織達成目標內 外部人員的能力、觀點和企圖心。

34

風險管理基本原則 (續8)

風險管理是公開的及全面性的

利益關係人適當及即時的參與，特別是組織各階層的決利益關係人適當及即時的參與，特別是組織各階層的決

策者，可確保風險管理是切題的和符合現況的。充分的

參與可以將利益關係人表達的意見，納入風險判定基準

，並且讓風險判定基準的決策者考慮他們的意見。並且讓風險判定基準的決策者考慮他們的意見

35

風險管理基本原則 (續9)

風險管理是動態的、循環的，同時也要因應環境改變

風險管理要不斷察覺和因應改變，當內、外在事

件發生時，有些考量和認知會改變，組織應即時

進行監測和審查風險，因為可能會有不同的風險進行監測和審查風險 因為可能會有不同的風險

出現、有些會改變、有些會消失。

36

風險管理基本原則 (續10)

風險管理可以促進組織持續改善

組織應建立及執行可以提升風險管理完整性的策略組織應建立及執行可以提升風險管理完整性的策略，

以便配合組織其他業務的運作。

37

風險管理架構

任務與決心(4.2)

風險管理架構設計(4.3)了解組織及處在的環境(4.3.1)建立風險管理政策(4 3 2)建立風險管理政策(4.3.2) 絕對責任(4.3.3) 融入組織程序 (4.3.4)資源(4 3 )資源(4.3.5)建立內部溝通與報告機制(4.3.6)建立外部溝通與報告機制 (4.3.7)

持續改善架構(4.6)執行風險管理 (4.4)執行風險管理架構(4.4.1)執行風險管理程序執行風險管理程序(4.4.2)

監測與審查架構(4.5)

3838

( )

風險管理架構的功能 (續1)

管理架構所提供的基礎與安排可將風險管理融入組織內部所有層級；織內部所有層級；

本架構藉由組織不同層級和特殊狀況風險管理程序的運作，推動有效的風險管理；

本架構可確保由風險管理程序所提供和風險有關的本架構可確保由風險管理程序所提供和風險有關的資訊，能夠適切的通報，可作為決策的基礎，並且可用於衡量組織相關層級的絕對責任。可用於衡量組織相關層級的絕對責任。

39

風險管理架構 (續2)

任務與決心(致力) Mandate and Commitment

設計管理風險架構

執行風險管理執行風險管理

監測與審查架構

持續改善架構

40

任務與決心 (續3)

建置風險管理和確保其持續成效需要管理階層強烈和

持續的決心 以及策略性和嚴密的規劃 管理階層應持續的決心，以及策略性和嚴密的規劃。管理階層應

該：

訂定及支持風險管理政策

確認企業文化與風險管理是一致的確認企業文化與風險管理是一致的

設定和組織績效指標一致的風險管理成效指標

確保風險管理目標和組織策略和目標的一致性

41

任務與決心 (續4)

確保遵循法律及規章；

指定組織各層級適當責任與職掌；指定組織各層級適當責任與職掌；

確保風險管理必要的資源；

向所有利益關係人傳達風險管理的效益;以及

確保管理風險架構的適宜性。確保管理風險架構的適宜性

42

管理風險架構設計 (續5)

瞭解組織及處在的環境

建立風險管理政策建立風險管理政策

絕對責任

融入組織程序

資源

建立內部溝通與報導機制建立內部溝通與報導機制

建立外部溝通與報導機制

43

執行風險管理 (續6)

執行風險管理架構

執行風險管理程序執行風險管理程序

44

監測與審查架構 (續7)

為確保風險管理績效，組織應：

定期量測風險管理績效，並和相關指標評比，以確定期量測風險管理績效 並和相關指標評比 以確

定風險管理的適宜性;

定期量測風險管理計畫進度定期量測風險管理計畫進度;

定期審查風險管理的架構、政策及計畫是否仍適用

及適切;

報導風險、風險管理計畫進度及風險管理政策遵循報導風險 風險管理計畫進度及風險管理政策遵循

的程度;以及

審查風險管理架構的有效性審查風險管理架構的有效性。

45

架構的持續改善 (續8)

根據監測和審核結果，組織應決定如何改善風險管理架構、政策及計畫。

上述決策應有助於組織管理風險的方式與風險管理文化的改善。理文化的改善。

46

風險管理程序

溝通與諮詢

確認環境狀況確認環境狀況

風險評估風險評估

風險處理

監測與審查

記錄風險管理程序

47

溝通與諮詢

在風險管理程序任何階段，組織應竭盡所能的與內、

外部利益關係人進行溝通和諮詢。外部利益關係人進行溝通和諮詢。

因此，應在初期發展階段建立與內、外部利益關係人

溝通及諮詢計畫，本計畫應說明風險、後果（含已知

及未知）及相關處理方法 本計畫要確保風險管理負及未知）及相關處理方法。本計畫要確保風險管理負

責人員和利益關係人都了解決策基礎和特殊行動方案

的理由。

48

溝通與諮詢 (續1)

利益關係人會根據他們對風險的看法判斷風險，而對

風險的觀點會因利益關係人的價值觀、需求、假設、風險的觀點會因利益關係人的價值觀、需求、假設、

觀念及個人關切議題而不同。因利益關係人的觀點對

決策有重大的影響，組織應了解、記錄並考量利益關

係人的觀點。而溝通和諮詢計畫應能促進真誠、相關係人的觀點。而溝通和諮詢計畫應能促進真誠、相關

、正確和雙方認同的資訊交流，並且應考量資訊機密

性和尊重個人看法。

49

確認環境

組織應藉由建立環境，詳述它的目標、界定風險管

理的基本參數及設定其他程序的範圍和風險判定基理的基本參數及設定其他程序的範圍和風險判定基

準，本階段所考慮的參數可能和風險管理架構設計

階段的考量類似，但必須更仔細且特別地考慮這些

參數如何與特殊風險管理程序結合參數如何與特殊風險管理程序結合。

50

確認環境(續1)

確認外部環境

了解外部環境有助於確保風險判定基準發展時能

考量外部利益關係人的目標及關切的議題，本項考量外部利益關係人的目標及關切的議題 本項

作業是以組織廣泛的環境為主，法律要求、利益

關係人看法及其他風險管理程序特殊考量為重點

。

51

確認環境 (續2)

確認內部環境

內部環境是組織達成目標的內部環境特性 風險內部環境是組織達成目標的內部環境特性，風險

管理程序要配合組織文化、程序、架構和策略。

內部環境可能影響組織管理及風險管理機制，須

確認內部環境的原因是：確認內部環境的原因是：

52

確認環境 (續3)

a) 風險管理是在組織目標的前題下運作；

b) 根據組織目標考慮特殊計畫或作業的目標和要

求；

c) 有些組織喪失達到他們策略、計畫或營運目標

的機會 因而影響該組織的決心 信譽 聲譽的機會，因而影響該組織的決心、信譽、聲譽

和價值。

53

確認環境 (續4)

確認風險管理程序的環境

組織營運目標、策略、範疇及作業參數或風險管組織營運目標、策略、範疇及作業參數或風險管

理應用的部門應予以確認，管理風險應在充份的

考量後執行，以確認執行風險管理所使用資源的

正當性，要詳細規定執行流程所需的資源、責任正當性，要詳細規定執行流程所需的資源、責任

和授權及紀錄的保留。

54

確認環境 (續5)

界定(可容忍或可接受)風險判定基準

組織應發展風險判定基準，並據以判定風險的重組織應發展風險判定基準，並據以判定風險的重

要性，風險判定基準可以展現組織的價值觀、目

標及資源運用。有些判定基準是法律強制要求的

，有些是組織自我要求，風險判定基準應與組織，有些是組織自我要求，風險判定基準應與組織

的風險管理政策一致，風險判定基準是風險管理

程序的前置作業，並應持續審查。

55

確認環境 (續6)

當界定風險判定基準時，考量的因素應包含：

可能發生的後果和原因及量測方式；可能發生的後果和原因及量測方式；

如何界定可能性；

可能性以及/或者後果的時間順序；

如何判定風險等級；如何判定風險等級；

56

確認環境 (續7)

利益關係人的觀點；

哪些等級的風險是可接受的；哪些等級的風險是可接受的；

是否應考量多重風險的組合，如果是，那些組合應納入考量組合應納入考量。

57

風險辨識

組織應辨識風險來源、影響範圍和事件(包括狀

況的改變)及其潛在後果，本步驟的主要目的在況的改變)及其潛在後果，本步驟的主要目的在

於根據可能會產生、改善、避免、降低、加速或

延遲達成目標的事件，列出全面性風險，全面的

辨識及記錄是很重要的，因為本階段未被辨識的辨識及記錄是很重要的，因為本階段未被辨識的

風險不會是進一步分析的對象。值得注意的是，

放棄某些機會可能的風險，也是辨識的對象。

58

風險辨識 (續1)

無論是否在組織控制下的風險來源都應予以辨識，風險辨

識包括特殊後果的重要影響，包括具骨牌效應或累積性的或累積性的

影響。同時也要考量各種不同的後果，即使風險來源或造險來源或造

成原因並不明顯。

59

風險辨識 (續2)

組織應使用適合於其目標和能力的風險辨識工具

和技術，重要的是要使用相關和最新資料辨識風和技術，重要的是要使用相關和最新資料辨識風

險，這包括適當的背景資料，風險辨識應由具備

適當知識和經驗的人員執行。

60

風險分析

風險分析的目的在於發展對於風險的了解，風險

分析提供風險評量和決定風險是否需要處理的基分析提供風險評量和決定風險是否需要處理的基

本資料，同時也有助於選擇最適當的風險處理策

略和方法。

61

風險分析 (續1)

風險分析包含考慮風險原因和來源、正面和負面效

應及後果發生的可能性 影響後果及可能性的因素應及後果發生的可能性，影響後果及可能性的因素

必須予以辨識。風險是以判定後果、可能性及其它

風險特性的方式分析而來的。某一事件可能導致多

重的後果且可能影響多項目標，因此既有風險控制

系統的有效性及效率也應納入考量。

62

風險分析(續2)

可能性和後果展現的方式及兩者結合以決定風險等

級的方法應該根據風險類型 可用的資料和風險級的方法應該根據風險類型、可用的資料和風險

評估產出的用途而決定的，上述考量也必須和風

險判定基準一致，不同風險和來源之間的相互影

響，也是重要的考量。響，也是重要的考量。

63

風險分析 (續3)

風險等級及其適用性應在分析時考量，必要時

應有效地傳達給決策者及其它利害關係人 不應有效地傳達給決策者及其它利害關係人，不

同專家意見、數量、品質、不確定性、資訊相

關性或模式限制等因素應予以說明和註記。

64

風險分析 (續4)

風險分析可以根據不同細節變化程度、分析目的

及可獲得的資訊 資料和資源執行 分析可以是及可獲得的資訊、資料和資源執行，分析可以是

定性的、半定量或定量的或以上的組合，視情況

而定。

65

風險分析 (續5)

後果和可能性可以利用模擬某一事件或一系列事

件的結果決定 或藉由實驗研究或獲得的資料推件的結果決定，或藉由實驗研究或獲得的資料推

斷。可以依據有形及無形的影響表示後果嚴重性

，在若干例子中，需要使用一個以上的數值或敘

述詞句說明不同時間 地點 群組或情況下的後述詞句說明不同時間、地點、群組或情況下的後

果。

66

風險評量

風險評量的目的是為了協助組織判斷需要處理的

風險和優先順序 風險評量的對象是風險分析的風險和優先順序，風險評量的對象是風險分析的

結果。

67

風險評量 (續1)

風險評量是風險分析程序所得到的風險等級和風

險判定基準(或可容忍風險等級)的比較 二者比險判定基準(或可容忍風險等級)的比較，二者比

較的結果可以決定該風險是否需予以處理。

68

風險評量 (續2)

決定風險是否需予以處理時，應考量廣義的風險

包括組織外其他團體對該風險的容忍度 法令，包括組織外其他團體對該風險的容忍度，法令

、法規和其他要求，亦應納入考量。

69

風險評量 (續3)

在某種情況下，風險評量可能衍生進一步的分析

風險評量的結果也可能是維持現行的風險控制，風險評量的結果也可能是維持現行的風險控制

，這種結果和組織風險態度及已建立的風險判定

基準有關。

70

風險處理

風險處理包括選擇或使用一種或多種方法控制風險，一旦

執行，風險處理將提供或調整控制的方法。執行 風險處理將提供或調整控制的方法

風險處理是循環式的程序，包括：

評估風險處理方法

判斷残餘風險是否為可忍受的程度

假如無法忍受，應設計不同的風險處理方法

評估處理的有效性評估處理的有效性

71

風險處理(續1)

風險處理方式的選擇不一定要在所有情境下並存或單獨存在

，可能的選擇有：

不繼續執行或從事衍生風險的作業，以避免風險;

增加風險以尋求較好或較有利的機會;增加風險以尋求較好或較有利的機會;

移除風險來源;

改變可能性;改變可能性;

改變後果嚴重度;

與其它組織分攤風險與其它組織分攤風險;

經審慎評估後，決定保留風險。

72

風險處理(續2)

風險處理方式的選擇

選擇最適當的風險處理方式時需考量履行法規 其他規定或選擇最適當的風險處理方式時需考量履行法規、其他規定或

考量的成本與效益的平衡，其中包括企業社會責任和環境保

護。選擇時應考量罕見且嚴重的風險(發生可能性低但負面影

響高)，對這類風險而言，經濟或成本並不是處理方式選擇的

主要考量。

73

風險處理(續3)

準備與執行風險處理計畫

風險處理計畫的目的在於記錄如何執行所選擇的處理風險處理計畫的目的在於記錄如何執行所選擇的處理

方式，處理計畫提供的資訊可能包含：

選擇處理方式的理由，包括預期效益；

計畫授權和負責實施計畫的人員；計畫授權和負責實施計畫的人員；

建議的行動方案；

資源的需求包括突發事件資源的需求包括突發事件；

74

風險處理(續4)

績效量測方法和限制；

報告及監測的要求；和

時間和時程。時間和時程

75

監測與審查

監測與審查是風險管理程序的一環，監測與審的

方式有定期或特殊的查核或監測方式有定期或特殊的查核或監測。

監測與審查作業權責要清楚定義：

76

監測與審查 (續1)

組織的監測與審查程度應包含風險管理程序所有的構面，目的在於：

確保風險控制和處理方式設計和操作的有效性和效率；；

獲得改善風險評估的更多資訊；

從事故(包括虛驚事件) 變更 趨勢成功和失敗案例從事故(包括虛驚事件)、變更、趨勢成功和失敗案例，

尋找分析和學習經驗；

77

監測與審查 (續2)

偵測外部與內部環境狀況的改變，包括可能需要修正風險判定基準和優先順序等變更；和要修正風險判定基準和優先順序等變更；和

辨識新出現的風險。

78

監測與審查 (續3)

風險處理計畫進度可以提供績效量測，量測結

果可以納入組織整體的績效管理 測量及內外果可以納入組織整體的績效管理、測量及內外

部的報導作業。

79

監測與審查 (續4)

監測與審查的結果應予以記錄並在適當時對內

部與外部公告 並且可作為審查風險管理架構部與外部公告，並且可作為審查風險管理架構

的重要參考。

80

記錄風險管理程序

所有風險管理作業都是可追蹤的，就風險管理

程序而言 紀錄文件可提供方法 工具和整體程序而言，紀錄文件可提供方法、工具和整體

程序改善的依據。

81

記錄風險管理程序 (續1)

決定建立紀錄時應考量：

組織持續學習的需求；組織持續學習的需求；

可重複利用資料對管理作業的效益；

建立及維持紀錄的成本和效益；

82

記錄風險管理程序 (續2)

法律、法令和營運對紀錄的需求；

取用 參考方式和儲存媒介；取用、參考方式和儲存媒介；

保留時間；以及

資料敏感度。

83

有效的風險管理特質

持續改善

風險完全責任

應用風險管理至所有的決策程序應用風險管理至所有的決策程序

持續溝通持續溝通

完全融入組織治理架構

84