風險管理

hlperng

風險管理 (risk management)係指一個組織對於風險 (risk) 相關的議題所採取的協調性指導與控制活動，主要工作包括風險的識別、分析、評鑑、控制，以及不可接受風險的避免、最小化、或消除。

風險最早是與安全性 (safety) 有關，雖然安全是絕對不宜打折扣的硬性要求，但是美國國防部 (US DOD) 也認同，安全雖然不能妥協、但也是無法達成的極致目標，因此在 1969 年發行的系統安全性 (system safety) 計畫管理軍用標準 MIL-STD-882，導入風險概念處理因為事故 (mishap) 所造成危害 (hazard)，從安全性管理與安全性工程兩方面討論的安全性議題。

1995 年，國際電工委員會 (IEC) 引用美軍標準 MIL-STD-882 系統安全性的概念，發行IEC 60300-3-9〈可恃性管理 - 第 3-9 部：技術系統風險分析應用指南〉"Dependability management - Part 3: Application guide - Section 9: Risk analysis of technological systems"，作為可恃性管理的一部分。

2001年 4 月，IEC 發行 IEC 62198〈專案風險管理 - 應用指導綱要〉"Project risk management - Application guidelines"。

2001 年 5 月，IEC 發行 IEC 61882:2001〈危害與操作性研究 - 應用指引〉"Hazard and operability stuides (HAZOP) - Application guide"，針對系統中可能潛在的危害與操作性問題，提供結構性與系統性的技法，認定 HAZOP 技法是構成整個價值工程與風險管理過程的一部分。

2002 年國際標準化組織 (ISO) 亦開始整合風險領域的相關要求，與 IEC 聯合發行國際標準指引，ISO/IEC Guide 73:2002，提供擬訂國際標準時有關風險管理名詞的指導綱要。

2009 年 11 月，IEC 改版發行 IEC 62198:2013。

2009 年11月27日，IEC 撤銷 IEC 60300-3-9:1995，部分內容由 IEC/TC 56 主導的 ISO 31010:2009 〈風險管理 - 風險評鑑技法〉"Risk management - Risk assessment techniques" 所取代。

2009 年 ISO 單獨發行 ISO Guide 73:2009，不再將風險 (risk) 視為與意外 (mishap)、危害 (harm, hazard) 等與安全性(safety)有直接關聯的事件 (event) 領域，而是泛指一般的不確定性 (uncertainty)。再次顯示， ISO 對於管理過程(management process) 重於工程產品 (engineering product) 之上的分工原則與態度，就像1993 年把可恃性 (廣義可靠度) 管理納入品質管理 ISO 9000 系列，ISO 9000-4/IEC 300-1:1993，2000 年改版 ISO 9001:2000 時，把可恃性管理，IEC 60300-1:2003 甩開只在參考書目提到一樣，在品質管理國際標準隻字不提可恃性 (可靠度)，好像可恃性 (可靠度) 與品質管理沒有任何關聯一樣。

風險 = 損失的期望值 = 程度 (magnitude) x 頻度 (frequency) = 嚴重度 x 發生度
風險評鑑 (risk assessment) = 風險識別 (risk identification) + 風險分析 (risk analysis) + 風險評估 (risk evaluation)

專案風險管理過程包括：

• 建立含涵 (establishing the context)
• 風險評鑑 (risk assessment)
• 風險處理 (risk treatment)
• 監視與審查 (monitoring and review)
  

風險評鑑次過程包括

• 風險識別 (risk identification)
• 風險分析 (risk analysis)
• 風險評估 (risk evaluation)
  

風險處理 (risk treatment) 步驟：

• 避免風險
• 承受或增加風險以追求機會
• 消除風險來源
• 改變可能性
• 改變後果
• 與其他團體分享風險
• 保留風險的知情決策
  

風險緩解 (risk mitigation) 4T 手法：

• 承受 (Tolerate)
• 處理 (Treat)
• 轉移 (Transfer)
• 終止 (Terminate)
  

風險管理 11 原則：

• 創造及保護價值 (Creates and protects value)
• 組織整體過程的一部分 (Be an integral part of organizational processes)
• 決策制定的一部分 (Be part of decision making)
• 明確地處理不確定性 (Explicitly address uncertainty)
• 系統化、結構化及適時性 (Be systematic, structured and timely)
• 基於可獲得的最佳資訊 (Based on the best available information)
• 經過裁適 (Be tailored)
• 考量人性與文化因子 (Take into account human and cultural factors)
• 透明化且包容 (Be transparent and inclusive)
• 動態的、反覆的及反應變化 (Be dynamic, iteractive and responsive to change)
• 有助於組織的持續改進 (Facilitate the continual improvement of organization)
  

風險胃納
風險圖像



風險管理相關標準文件：

• ISO Guide 73:2009, Risk management - Vocabulary
• ISO 31000:2009, Risk management - Principles and guidelines
• ISO 31010:2009, Risk management - Risk assessment techniques
• AS/NZS ISO 31000:2009 (取代先前澳洲與紐西蘭風險管理標準 AN/NZS 4360:2004)
• CNS 14889:2012，風險管理 - 詞彙 (ISO Guide 73:2009 IDT)
• CNS 31000:2012，風險管理 - 原則與指導綱要 (ISO 31000:2009 IDT)
• CNS 31010:2012，風險管理 - 風險評鑑技術 (ISO 31010:2009 IDT)
• ISO 22301:2012, Societal securety – Businesscontinuity management systems – Requirements
• IEC 62198:2013, Managing risk in projects - Application guidelines