危机管理及风险管理标准体系cvan.pptx

1 1風 險 管 理 標 準A Risk Management Standard前言n n鑑於風險管理為一快速發展之規則，且各界對於風險鑑於風險管理為一快速發展之規則，且各界對於風險管理涵蓋範圍、如何執行以及其目的普遍存在各種不管理涵蓋範圍、如何執行以及其目的普遍存在各種不同的看法及規定，因此必須藉由某種標準來確保彼此同的看法及規定，因此必須藉由某種標準來確保彼此間有某些共識存在間有某些共識存在n n本風險管理標準係由英國三個大型風險管理機構在廣本風險管理標準係由英國三個大型風險管理機構在廣徵並整合該國相關風險管理專業機構的意見後所共同徵並整合該國相關風險管理專業機構的意見後所共同制訂，這三個機構分別為：制訂，這三個機構分別為：ppThe Institute of Risk Management(The Institute of Risk Management(風險管理學會風險管理學會)ppThe Association of Insurance and Risk Managers(The Association of Insurance and Risk Managers(保險及風保險及風險管理人協會險管理人協會)ppThe National Forum for Risk Management(The National Forum for Risk Management(風險管理國家論風險管理國家論壇壇)前言n n風險管理標準所建立之標準主要有四項：風險管理標準所建立之標準主要有四項：pp用於風險管理之專業術語用於風險管理之專業術語(採行採行International International Organization for StandardizationOrganization for Standardization，國際標準化組織所，國際標準化組織所訂定之術語訂定之術語)。pp風險管理之執行程序。風險管理之執行程序。pp風險管理之組織架構。風險管理之組織架構。pp風險管理之目標。風險管理之目標。n n風險管理的對象，並不單純只是公司行號或公營風險管理的對象，並不單純只是公司行號或公營機構，而是機構，而是”無論時間長短的任何活動無論時間長短的任何活動”；其所；其所形成的益處與機會不僅僅只是存在於風險管理活形成的益處與機會不僅僅只是存在於風險管理活動本身，同時也與可能受到影響的眾多利害關係動本身，同時也與可能受到影響的眾多利害關係人息息相關。人息息相關。風險定義n n一起事件發生的可能性及其後果的結合 (the combination of the probability of an event and its consequences)-ISO/IEC Guide 73n n在安全領域上，普遍認為”後果”(consequences)都是負面的，因此安全風險管理著眼於傷害的預防及減輕n n風險管理逐漸被認為應涵蓋風險的正面及負面，因此此標準從正面及負面的全面性角度來考量風險風險管理n n組織為了維持其獲益，在每一個活動以及所有活動交組織為了維持其獲益，在每一個活動以及所有活動交互之間，必需以有條理、有方法的方式處理與其活動互之間，必需以有條理、有方法的方式處理與其活動相關的風險相關的風險n n藉由風險的辨識與處置，組織得以藉由風險的辨識與處置，組織得以pp增進組織所有活動的最大可行價值；增進組織所有活動的最大可行價值；pp整理出可能影響組織的所有潛在的正面或負面因子；整理出可能影響組織的所有潛在的正面或負面因子；pp增加成功的可能性；增加成功的可能性；pp減少失敗的可能性與達成組織整體目標的不確定性。減少失敗的可能性與達成組織整體目標的不確定性。n n風險管理應散佈於整個組織策略及策略施行的各個步風險管理應散佈於整個組織策略及策略施行的各個步驟之間，它應該能夠以條理、有方法的處理組織在過驟之間，它應該能夠以條理、有方法的處理組織在過去、現在以及去、現在以及(特別是特別是)未來的所有風險未來的所有風險風險管理n n風險管理應融入組織文化，其作法：pp由最高管理階層領導一個有效的政策以及計畫由最高管理階層領導一個有效的政策以及計畫pp它要能夠將策略轉化為技術上及實務上的目標它要能夠將策略轉化為技術上及實務上的目標pp將風險管理明確指定並列為管理者與員工的業務將風險管理明確指定並列為管理者與員工的業務職掌的一部份職掌的一部份n n風險管理支撐可靠度、績效測量及酬勞，也因此促進組織內各層級的作業效率n n組織以及其營運所面對的主要風險組織以及其營運所面對的主要風險：財財財財 務務務務 風風風風 險險險險 利利 率率 外外 匯匯 外外 匯匯 存存 款款 策策策策 略略略略 風風風風 險險險險 競競 爭爭 客客 戶戶 改改 變變 產產 業業 改改 變變客客 戶戶 需需 求求 合合 約約 天天 災災 供供 應應 商商 環環 境境 危危危危 害害害害 風風風風 險險險險 營營營營 運運運運 風風風風 險險險險 規規 章章 文文 化化 委委 員員 會會 組組 成成 流動性及現金流量流動性及現金流量 研究及發展智慧財產研究及發展智慧財產 會會 計計 控控 制制 資資 訊訊 系系 統統內內內內 部部部部 驅驅驅驅 動動動動外外外外部部部部驅驅驅驅動動動動外外外外驅驅驅驅動動動動部部部部 招招 募募 員員 工工 供供 應應 鍊鍊 公眾管道公眾管道 員員 工工 財財 產產 產品及服務產品及服務 合併及獲得之整合合併及獲得之整合主要風險驅動因素主要風險驅動因素主要風險驅動因素主要風險驅動因素風風險險管管程程序序監監監監 督督督督殘留風險報告殘留風險報告殘留風險報告殘留風險報告風風風風 險險險險 處處處處 置置置置決決決決 策策策策風風風風 險險險險 報報報報 告告告告威脅及機會威脅及機會組織之策略目標組織之策略目標組織之策略目標組織之策略目標風風 險險 分分 析析風險辨識風險描述風險估算風風 險險 評評 量量正式稽核正式稽核正式稽核正式稽核修修修修 改改改改 風風風風 險險險險 評評評評 估估估估組織目標n n提供一個架構使組織未來的活動具備一致性且可控制提供一個架構使組織未來的活動具備一致性且可控制的基礎的基礎n n完整且結構性地了解企業活動、波動與計畫的機會與完整且結構性地了解企業活動、波動與計畫的機會與威脅，提升決策下達、規劃及策略優先排序之效率威脅，提升決策下達、規劃及策略優先排序之效率n n促成組織內的資金及資源更為有效的運用及配置促成組織內的資金及資源更為有效的運用及配置n n減緩企業營運上非必要範疇的波動減緩企業營運上非必要範疇的波動n n保護並強化資產及公司形象保護並強化資產及公司形象n n發展並支持成員及組織的知識基礎發展並支持成員及組織的知識基礎n n達到最佳化運作效率達到最佳化運作效率風險評量n n根據ISO/IEC Guide 73的定義，風險評量是包括風險分析與風險評量的完整流程風險分析n n風險確認(Risk Identification)pp找出組織暴露於不確定因素的要項為何找出組織暴露於不確定因素的要項為何pp須對組織策略及運作目標、運作的市場、所處須對組織策略及運作目標、運作的市場、所處環境的法律、社會、政治、文化等充份了解環境的法律、社會、政治、文化等充份了解pp可藉外部諮詢獲得，但組織內部透過有效的溝可藉外部諮詢獲得，但組織內部透過有效的溝通、一致的以及經過協調的程序及工具將更為通、一致的以及經過協調的程序及工具將更為有效有效風風 險險 確確 認認策策略略營營運運財財務務知知識識管管理理守守 法法n策略關係組織的長期策略目標n營運關係機構為實踐其策略目標標所面對的日常事務n財務關係機構財務的有效管理及控制以及外部因素的影響n知識管理關係知識資源的生產、保護及溝通之有效管理及控制n守法關係健康與安全、環保、交易描述、消費者保護、資料保護、聘僱方式及法規等HAZOPHAZOP稽核及檢查稽核及檢查事件調查事件調查風險評估風險評估研討會研討會情境分析情境分析產業標竿產業標竿營運研究營運研究問卷調查問卷調查腦力激盪腦力激盪風險辨識風險辨識方法方法風險分析n n風險描述(Risk Description)pp以結構性的格式列出所辨識出的風險以結構性的格式列出所辨識出的風險pp設計良好的格式可以確保風險能被了解，並有設計良好的格式可以確保風險能被了解，並有助風險描述及評估的執行助風險描述及評估的執行pp風險描述表範例風險描述表範例1.風險名稱2.風險範圍對事件規模、型態、數量及關聯性作本質上的描述3.風險的本質例如：策略、營運、財務、知識或守法。4.利害關係者利害關係人及他們的期望5.風險的量化重要性及可能性6.風險容忍度/喜好風險的潛在損失及財務影響受風險牽連的價值潛在損失/獲利的可能性及規模風險控制的目的及期望的績效水準7.風險處置及控制 機制目前管理風險的主要方法目前控制機制的信心水準監督及檢討模式的界定8.改善的可能行動降低風險的建議9.策略及政策的開發界定負責擬定策略及政策的功能執掌風險分析n n風險估算(Risk Estimation)pp以定量、半定量或定性的方式估算風險發生的以定量、半定量或定性的方式估算風險發生的可能後果可能後果及及可能性可能性pp後果後果-包括威脅及機會包括威脅及機會高對組織的財務影響可能超過x對組織的策略或營運活動有嚴重影響利益關係者嚴重關切中等對組織的財務影響可能在x及y之間對組織的策略或營運活動有中等程度的影響利益關係者者的關切程度中等低對組織的財務影響可能不超過y對組織的策略或營運活動影響程度很低利益關係者者的關切程度低pp發生的可能性發生的可能性-威脅威脅估算描述指標高（很有可能）每年都很有可能發生或發生的機會大於25%在一定期間內（例如10 年）可能發生多次最近發生過中等（有可能）在10年期間內有可能發生或發生的機會小於25%在一定期間內（例如10年）可能發生一次以上由於某些外部影響而難以控制曾發生過嗎？低（微乎其微）在10年期間內不太可能發生或發生的機會小於2%沒發生過不太可能發生pp發生的可能性發生的可能性-機會機會估算描述指標高（很有可能）一年內很有可能達成所希望的好結果，或發生的機會大於75%機會明確,有賴於合理的必然性，根據目前的管理流程在短期內會實現中等（有可能）可合理期待一年內有好的結果或發生的機會在25%至75%之間有實現的可能性，但需要審慎管理。有超越計畫的機會。低（微乎其微）未來中期有一些機會得到期望的好結果或發生的機會小於25%管理階層尚未仔細研究其可能性。以目前所使用的管理資源要成功的可能性低。風險評量n n在完成風險分析程序後，將估算出的風險與該組織所建立的風險準則加以比較n n準則可能包括相關成本、收益、法令要求、社會經濟、環境因子、股東權益等n n風險評量被用以決定風險對組織的重要性，以及是否接受任何一個特定的風險或對其加以處置風險報告與溝通n n內部報告(Internal Reporting)n n外部報告(External Reporting)n n內部報告pp董事會應該：董事會應該：n n知道組織所面臨最顯著的風險知道組織所面臨最顯著的風險n n 知道對股票價值與預期績效範圍差異的影響知道對股票價值與預期績效範圍差異的影響n n 讓整個組織保持適當程度的警覺讓整個組織保持適當程度的警覺n n 知道組織管理危機的方法知道組織管理危機的方法n n 知道利害關係者對組織保持信心的重要性知道利害關係者對組織保持信心的重要性n n 知道如何在適當時機與投資大眾溝通知道如何在適當時機與投資大眾溝通n n 使風險管理程序能有效運作使風險管理程序能有效運作n n 發佈明確的風險管理政策，包括風險管理理念及責任發佈明確的風險管理政策，包括風險管理理念及責任n n內部報告內部報告(續續)pp各營運單位應該：各營運單位應該：n n了解自己責任領域所面臨的風險、這些風險對其他單位的影響，了解自己責任領域所面臨的風險、這些風險對其他單位的影響，以及其他單位因承受結果而對自己單位帶來的影響以及其他單位因承受結果而對自己單位帶來的影響n n設立績效指標以便監督核心業務及財務活動、達成目標的進度設立績效指標以便監督核心業務及財務活動、達成目標的進度以及界定介入的狀況以及界定介入的狀況(例如預測及預算）例如預測及預算）n n有關預算及預測的差異，定期提供適當溝通系統及程式，以便有關預算及預測的差異，定期提供適當溝通系統及程式，以便採取行動採取行動n n系統性地且即時地向上級管理階層報告任何新察覺到的風險或系統性地且即時地向上級管理階層報告任何新察覺到的風險或現行控制方法失敗之處現行控制方法失敗之處pp個人應該：個人應該：n n了解對個別風險所負的責任了解對個別風險所負的責任n n了解如何持續改善風險管理因應機制了解如何持續改善風險管理因應機制n n了解風險管理及風險警覺是組織文化的重要部份了解風險管理及風險警覺是組織文化的重要部份n n系統性地且即時地向上級管理階層報告任何新察覺到的風險或系統性地且即時地向上級管理階層報告任何新察覺到的風險或現行控制方法失敗之處現行控制方法失敗之處n n外部報告pp公司必須定期向股東報告風險管理政策及其對公司必須定期向股東報告風險管理政策及其對達成目標的有效性達成目標的有效性pp股東越來越要求組織提供有關非財務績效方面股東越來越要求組織提供有關非財務績效方面有效管理方面的証據有效管理方面的証據pp良好的公司管治要求公司採用條理化的風險管良好的公司管治要求公司採用條理化的風險管理方法：理方法：n n保障股東的利益保障股東的利益n n確保董事會可執行其職權來主導策略、建立價確保董事會可執行其職權來主導策略、建立價 值並值並監督組織之績效監督組織之績效n n確保管理控制程式的建立和適當地實施確保管理控制程式的建立和適當地實施n n外部報告(續)pp風險管理的正式報告應明確陳述並讓股東容易風險管理的正式報告應明確陳述並讓股東容易取得相關資訊取得相關資訊pp正式報告應針對：正式報告應針對：n n控制方法控制方法 尤其是風險管理的管理職責尤其是風險管理的管理職責n n界定風險所採用的步驟以及風險管理系統執行界定風險所採用的步驟以及風險管理系統執行 方式方式n n管理重大風險所採用的主要控制系統管理重大風險所採用的主要控制系統n n所採用的監督及檢討系統所採用的監督及檢討系統pp系統範圍或系統本身如有重大缺失應與處理步系統範圍或系統本身如有重大缺失應與處理步驟一併報告驟一併報告風險處置風險處置(Risk Treatment)n n風險處置是選擇並實施改變風險措施的步驟風險處置是選擇並實施改變風險措施的步驟n n風險處置的主要原理是風險控制風險處置的主要原理是風險控制/減輕，但可進一減輕，但可進一步步 衍生為風險迴避、風險轉移、風險融資等衍生為風險迴避、風險轉移、風險融資等n n任何風險處置系統至少應提供：任何風險處置系統至少應提供：pp對組織有良好效率及效果佳的營運對組織有良好效率及效果佳的營運pp有效的內部控制有效的內部控制pp遵守法規遵守法規監督與檢視風險管理流程n n有效的風險管理需要有報告及檢討架構，以有效界定與評價風險，及確保控制及回應機制得以建立實施n n應定期稽核政策及標準的符合情形、檢討標準績效，以便掌握改善的機會n n組織是動態的、且在一個動態的環境中營運，必須掌握組織及環境的變動，並對系統做出適當的修正監督與檢視風險管理流程n n任何監督及檢討步驟應應能判斷：pp所採用的方法能否得到希望的結果所採用的方法能否得到希望的結果pp為執行評價所採用的程式及所蒐集的資訊是否為執行評價所採用的程式及所蒐集的資訊是否適當適當pp所增加的知識是否有助於作出更好的決策，以所增加的知識是否有助於作出更好的決策，以及是否能為未來風險的評價及管理界定應學習及是否能為未來風險的評價及管理界定應學習的課題的課題風險管理的架構與行政n n風險管理政策應能揭示公司對風險的態度、所能接受程度、管理方法、組織內各部門及人員的職責n n董事會要能決定組織的策略方向、建立風險管理環境及架構n n營運部門對每日風險管理具主要責任、有責任在營運中促進風險警覺、將風險管理目標帶入營運中風險管理的架構與行政n n取決於組織的規模，風險管理機能從單一負責人、兼職管取決於組織的規模，風險管理機能從單一負責人、兼職管理者、或一整個部門都有可能。包括：建立政策及策略、理者、或一整個部門都有可能。包括：建立政策及策略、在策略及營運層級的主要負責人、建立風險警覺文化、為在策略及營運層級的主要負責人、建立風險警覺文化、為營運部門建立內部風險政策、設計及審查風險管理程序、營運部門建立內部風險政策、設計及審查風險管理程序、協調各個有關風險管理的活動、發展風險回報程序、為董協調各個有關風險管理的活動、發展風險回報程序、為董事會及利害關係人提供報告事會及利害關係人提供報告n n可能包括重大風險的內部稽核工作、確保風險的管理、支可能包括重大風險的內部稽核工作、確保風險的管理、支持並介入風險管理程序、建立風險辨識評估等持並介入風險管理程序、建立風險辨識評估等n n施行風險管理所需的資源應清楚建立於各管理階層及營運施行風險管理所需的資源應清楚建立於各管理階層及營運部門、風險管理應植入於組織的策略及預算當中部門、風險管理應植入於組織的策略及預算當中補充：典型之風險管架構補充：典型之風險管架構(西與澳洲AS/NZS 4360)n n風險管是一個風險管是一個風險管是一個風險管是一個持續改善持續改善持續改善持續改善的反覆的反覆的反覆的反覆過程或循環，藉以過程或循環，藉以過程或循環，藉以過程或循環，藉以達成組織願景。達成組織願景。達成組織願景。達成組織願景。風險評估風險評估建立風險管建立風險管執行背景體系執行背景體系風風 險險 辨辨 識識風風 險險 分分 析析風風 險險 評評 量量風風 險險 處處 溝溝通通與與協協商商監監控控與與審審查查演讲完毕，谢谢观看！