勞動部職業安全衛生署logo
TOSHMS系統概述認可驗證機構通過驗證名單資料下載區相關網站連結促進會
login
帳號:
密碼:

請輸入圖片中的英文或數字,不分大小寫
 
 
loginbottom

認可驗證機構專區
促進會成員專區



 

icon 目前位置:首頁 > 最新消息 > 詳細內容

最新消息

ISO 31000改版說明(發布日期:107年8月2日)

ISO組織在2009年發布的全球性的第一個風險管理標準ISO 31000,
它的結構及基礎主要是參考了澳大利亞及紐西蘭1995年聯合發布風險管理標準AS/NZS 4360,
這也是全球第一個國家層級的風險管理標準。ISO 於2018年2月15日完成修正版公布。

 ISO 31000:2018版與2009年版的主要變化

1、更簡潔
從ISO 31000:2018的內容來看,其中一個最重要的變化是比上一版變得更加清晰和簡潔,
整個的篇幅減少了3-4頁。一些名詞的定義被刪除(由29項變為8項),需要參考ISO Guide 73
《風險管理術語》中的相關定義。有些複雜的用語及描述也被改善,所以整體文本更精簡和精確,
以期讓使用者更容易理解。但有一些重要的定義還是被保留在ISO 31000本文中:
(1)風險—定義沒變動,但註釋有變化;
(2)風險管理—沒變動;
(3)利害相關者—沒變動;
(4)風險緣由—定義沒變動,但註釋有變化;
(5)事件—定義沒變動,但註釋有變化;
(6)結果(後果)—定義沒變動,但註釋有變化;
(7)可能性—沒變動;
(8)控管—定義沒變動,但註釋有變化。
2、架構的展現方式之變化

ISO 31000為我們展示了一個全新的架構圖,讓人感覺耳目一新。新版的架構被更新為如下表示,形式進行了變化,我們簡單將其稱為“三輪車”架構。在2009年的基礎上,有些要素被簡化了,強化了原則與過程間之關聯性,原則方面則突出了對價值創造與保護的總原則。

3.新標準與舊標準的異同
按照ISO組織自己的論述,新標準語舊標準的異同主要體現在四個方面:
(1)重新審閱了所有的風險管理原則,這是其是否能夠取得成功的關鍵標準;
(2)重點強調了最高管理階層的職責以及與各項管理活動的整合,從組織的治理著眼;
(3)更加強化了風險管理工作的反覆性質,提示了在每一個過程環節,隨著新的實務、知識及分析能力對過程要素、方案及控制的修正;
(4)對滿足多樣化的需求,保持一個更加開放及包容的系統,精簡了一部分內容。
對第4點而言,ISO組織一直宣稱,這次修訂風險管理標準的一大初衷是使風險管理標準更簡潔,
更利於理解及運用,所以刪除了很多複雜的用詞及描述。從篇幅上也能看得出來,
新版風險管理標準比第一版共減少了7頁,縮減了將近三分之一。
比較來看,原則部分,由11項原則縮減為8項;
架構部分,強化了領導階層的職責及整合的重要性;
過程部分,強調了對於範圍和標準的定義,以及對於記錄與報告的提出;
整體上看,新版“三輪車”示意圖比第一版示意圖更能體現原則、架構、過程三者之間的相互作用關係。
 
4. 新標準重點

(1) “價值”聚焦

風險管理工作要聚焦在組織的價值創造活動,支持或協助組織更好的進行價值創造與保護。 
COSO組織發布的新版企業風險管理架構也是將企業的風險管理工作聚焦到企業價值的創造、
保護與實現。
本次ISO 31000的修訂,將原則的核心定位為價值的創造與保護,
可見國際主流的思想是趨於一致的,風險管理工作的定位就是為了更好的幫助企業創造價值。

(2) “決策”為核

新版ISO風險管理標準數次在不同的章節中強調了風險管理對於決策支持的重要性,
指出任何組織和個人無時無刻不在面臨做出決策的情況。
如果說風險管理聚焦到了價值的創造與保護,那這個目標是組織通過做出一系列的決策而
達到價值實現的。風險管理讓我們可以更好的管理不確定性,
從而為更好的做出決策,應對不確定性提供支持。
這樣的觀點同樣在COSO新版風險管理架構中被強調和突出。
在企業實踐界應該考慮如何加快構建決策過程中的風險考量政策和程序。

(3) “整合”為重

新版的標準中,原則與架構都將“整合”作為第一個要素,可見其重要性,
ISO從其第一版文件中,就強調了風險管理工作不是一項孤立的管理活動,
是與其他管理活動緊密結合的一項工作。但ISO組織顯然覺得這樣的提醒還不足夠,
本次特意將其立意放在第一位來闡述,希望能夠將“整合”的含義傳遞的更加清晰和明確。
孤立的風險管理工作並無實際意義,按照ISO的建議,
風險管理工作應該與組織的所有管理活動整合,成為任何管理經營活動的一部分,
包括但不限於:戰略和規劃、公司治理、人力資源、合規、品質、健康與安全、業務連續性、
危機管理與安全管理、組織抗風險能力,IT等等。

(4) 最高管理階層的當責

在架構中,最核心的內容為“領導與承諾”,強化了對於領導階層在風險管理工作中的角色
及職責。按照ISO技術風險管理委員會現任主席Jason Brown所言:以前風險管理從業者往往處
於組織管理的邊緣,而此種強調將幫助他們證明風險管理是企業管理不可分割的一部分。
 “領導與承諾”的說法同樣出現在ISO 9000品質管理系統中,
都是強調管理階層對此項工作的重要責任。某行業的品質管理認證體系中,
更是將風險管理作為品質體系認證是否通過的一票否決項目,
可見管理界對風險管理工作的認識和重要性等級在快速提升。

 

根據ISO風險管理技術委員會前主席Kevin Knight先生提供的統計信息,
ISO 31000自2009年發布以來,得到了全球各個國家的支持和響應。截至目前,
已經有57個國家採納了ISO 31000風險管理標準並在此基礎上發布了其國家風險管理標準。
隨著ISO 31000的更新和發展,相信會有更多的國家重視風險管理工作,
加入到ISO 31000的大家庭中。正如ISO風險管理技術委員會現任主席Jason Brown先生所言,
任何的組織都應該重視風險管理,更好的管理好本身面臨的風險以達成其目標,
因為 “ failure to manage risks is inherently risking failure. ”
“ 風險管理的失敗即是承受著經營失敗的風險。”

 

ISO 31000 改版說明:https://www.facebook.com/www.sh168.org.tw/videos/243439212954247/

發佈日期:2018/08/02