LRQA Taiwan - Improving performance, reducing riskLRQA Taiwan - Improving performance, reducing risk


最新訊息

何謂ISO 31000風險管理?

01/12/2010

本標準的目的在於「提供風險管理的原則及指導綱要,以提供各類型、不同規模的組織管理其組織整體或是個別專案之風險」。

何謂ISO 31000風險管理?

LRQA-1

ISO 31000ISO20091115日正式公告的標準,配套的參考標準涵蓋IEC 31010險管理-風險評估技術(Risk Management - RiskAssessment Techniques)ISO Guide 73,本標準乃參考近代各國對風險管理所發展出來的標準及規範為基礎。

 

其中最具影響的包含澳洲/西蘭風險管理標準(AS/NZS 4360:1995,已新AS/NZS 31000:2009),加拿大風險管理標準(CAN/SCA Q850-97)及日本風險管理標準(JISQ2001:2001)

 

 

 

ISO 31000的正式名稱為『風險管理原理及指導綱要(Risk managementprinciples and guidelines)』。顧名思義,本標準的目的在於「提供風險管理的原則及指導綱要,以提供各類型、不同規模的組織管理其組織整體或是個別專案之風險」。

 

既然是用以管理風險的指導原則,本標準並不期望組織所有部門或活動都適用單一種風險管理的方法,而是可以與其它的風險管理進行協調整合(harmonize)。然而,本標準並不作為管理系統驗證之用途。

 

在ISO國際標準中看到風險相關的發展及規範:諸如ISO9001對產品及服務品質風險之管理;其中也包含過程風險之規定;ISO 14001則針對產品、服務及活動的環境面風險之管理;OHSAS 18001乃針對職業安全衛生對人員的風險而制定;ISO27001專注於資訊風險之管理;ISO 28001以供應鏈安全之風險為主體作成要求;食品安全衛生之風險則利用ISO 22000來建構管理系統。企業的持續營運風險即透過BS 25999展開及管理。

 

ISO 31000的公告,恰可透過其架構化、系統化的方法,將無形難以具體描述的各類型不確定性,以更透明的方式加以管理,且隨時因應內部及外部情境進行更新。

 

 

  

ISO 31000如何規定?如何運作?

 

基於ISO對管理系統標準設計的主流原則,ISO 31000的結構也是採PDCA(plan:規劃,do:執行,check:查核,action:審查及行動)原則以致力於持續改善(原理11),但包含「風險管理(risk management)」及「管理風險(managingrisk)」二個循環,交互為用(如圖1風險管理之原理、架構及過程的交互關係所示)

 

標準中不刻意提供風險評估的技術工具,也不就特定的風險屬性(如財務、品質、環保或是安全)進行風險管理的規範。因此,本標準之目的在提供一份共通性管理風險的方法,以調和並應用於各類型風險屬性的管理。

 

既然要「管理風險」,就要先從識別及評鑑風險開始,才能將有限的資源達成最有效的

風險管理。風險管理的過程規定於ISO 31000的第五章節,其要求及過程包含5.2溝通及諮詢,5.3認內部及外部情境,5.4風險評鑑(子項要求包5.4.2風險鑑別、5.4.3風險分析、5.4.4風險評)5.5風險處置及5.6監督與審查;其結構與AS/NZS 4360中所規範的流程相仿。

 

 

   

ISO 3100011項原理

 

為了使風險管理在組織的各個階層可以有效應用及展開,ISO 31000除了描述其架構及過程之要求以外,也透過11項原理,條列如下:

 

1.風險管理創造及保護價值。

 

2.風險管理是所有組織過程之一部分。

 

3.風險管理為決策制定之一部分。

 

4.風險管理明確的專注於「不確定性」。

 

5.風險管理是系統化、結構化且適時的。

 

6.風險管理是基於最佳可取得之資訊。

 

7.風險管理是量身訂作的。

 

8.風險管理考慮人及文化因素。

 

9.風險管理為透明及包容廣泛的。

 

10.風險管理對變化是動態,反覆及敏感的。

 

11.風險管理促進組織的持續改善。



如需進一步的資訊或課程、驗證服務,請洽(02) 2716-6085,謝謝。