第二章 文獻探討
第四節 風險管理
令人震驚的 921 大地震、911 世貿中心恐怖攻擊與 SARS 事件中均清楚地 表明,我們生活在一個風險社會中,現代風險社會的焦慮與不安,已嚴重威脅 著每各國家社會、每各行業與每一個人。所謂「風險」(Risk),主觀的定義是 指事故發生的不確定性。客觀的定義則是指事故發生遭受損失的機會。風險之 分類,依風險之來源,可分為因不可預期或不可抗拒之事件所致之靜態風險,
以及因人類需求或制度、環境改變所引起之動態風險。就風險發生之影響而 言,可分為因個別原因發生而僅能影響較小範圍社會群體之單獨風險;以及非 因個別原因發生,而其結果對整個社會群體有影響之基本風險(鄭燦堂,2007)。
國際化、科技化及大幅增加的資訊,影響了人們的生活方式,也改變了 政府機關的作業方式,更促使人民對政府績效的重視。過去著重於事件發生後 的危機處理,已難以滿足時代需求,逐漸由預防於未來的風險管理觀念所取 代。政府部門在複雜的政治、經濟及社會目標下,面對利害關係人的日趨多元,
更有必要強化風險處理功能以強化政府治理(古步鋼.黃宏光,2005)。
戶 籍 資 料 流 動 制 度 的 管 理 , 在 重 視 資 訊 安 全 防 護 及 隱 私 權 保 護 的 環 境 下,基於安全需求及因應風險發生導致人民隱私及權益上的損失威脅,加上政 府之各項資訊安全及隱私權法令要求,戶籍資料流動制度確實需要風險管理。
本節動機及目的,即在找出戶籍資料流動在書面及人工作業環境下,評估各項 潛在的風險,規劃各項因應對策,保障戶籍資料之流動安全,確保隱私權之有 效防護。
一、 風險管理定義
風險(Risk)學界及實務界對於風險一辭,可能有不同的定義,惟國際標準 組織(International Organization for Standardization,ISO)將風險定義為:事件 發生的可能性及其影響的組合。而加拿大國庫委員會秘書處(TBS)在推行整合 性風險管理的同時,將風險定義為:一個事件潛在影響組織目標達成的可能性 及影響度,二者最主要的差異在於加拿大特別將「影響組織目標達成」的潛在 事件才當作是風險。而相同點是二者均將風險內涵區分為兩個面向:可能性及 影響度(古步鋼.黃宏光,2005)。
戶政事務所為人民戶籍資料的登記機關,依據事實登記產生第一手的戶
籍資料,提供各需求機關施政及行使職權使用,龐大的資訊流動作業,直接影 響著人民各項權利保障,各通報需求機關的登錄及文書管理作業,間接的影響 人民各項隱私權的保護。戶政事務所與通報需求機關亦猶如企業組織體,面對 各種風險威脅,如何維持組織生存或直(間)接增加組織利益、對於純損風險 有健全管理而獲致之心理平安可促進組織及人員之身心健康,成為組織無價之 非經濟資產。由於風險管理計畫對於員工及社會均有助益,因此風險管理可促 進戶政事務所及通報需求機關間之社會責任感及良好之社會形象。
二、 風險管理之實施步驟
風險管理過程計有四個步驟,即風險之辨認或認知、風險之衡量、風險 管理策略之選擇、策略之執行與評估(鄭燦堂,2007)。茲分別說明如下:
(一) 風險之辨認(Risk Ident1fication)或認知
風險辨認或認知係風險管理之第一步驟,亦為風險管理人員最困難之工 作。平日為要知如何對風險作適當之管理,首先必須認知企業潛在之各種純損 風險。
(二) 風險之衡量(Risk Measurement)
風險認知以後,次一重要步驟即對於這些風險作適當衡量,衡量內容包 括:損失發生之頻率、如果發生損失對企業財務之影響如何?
(三) 風險管理策略之選擇(Selection of Risk Management Strategies) 風險經辨認與衡量以後,即應選擇適當之策略,以達成風險管理之目標。
風險管理之策略可分為兩大類:一為控制策略(Control Strategies);另為理財 策略( Financing Strategies),每一策略又可細分為多種。在此一步驟中乃是就 各種不同之策略依風險之大小,在成本和效益之較分析下,選擇最佳之策略或 組合。故此步驟可說是風險管理核心之所在。
(四) 策略之執行與評估 (Imp1ementation & Eva1uat1on)
風險管理策略經選擇採行以後,風險管理人員必須切實執行決策,並須 加以評估檢討,以瞭解原有決策是否明智可行,以及是否需對未來不同狀況加 以修正改善。
圖 2-2:完整風險管理程序流程圖
資料來源:Joe.E. Bridges, New Risk Manager Industry Session Presentation Risk Management Manuals,20th Annual Risk Management Conference, Washington, D. C. April 19, 1982 。
三、 風險管理架構
考核委員會,2008),其架構如下:
(一) 建立風險管理執行背景體系
風險管理架構之落實必須在外部環境要素及組織內部環境背景體系下來 執行。風險管理執行背景體系也會提供部會決策所需的指導,亦是其他的風險 管理步驟的大框架。
1. 建立外部環境背景體系:
定義部會與周圍環境之間的關係,包括找出部會的優點、弱點、機會及 威脅,而外部環境要素分析的重點特別在於「機會」與「威脅」兩項。外部環 境背景體系包括了組織功能的財務層面、操作層面、競爭層面、政治層面、社 會層面、顧客層面、文化層面及法律層面等之機會與威脅。找出部會內外的利 益相關者,設想他們的目標與需求,並考慮他們的認知或想法,然後建立與利 益相關者溝通的政策。這個步驟將焦點放在部會營運的外部環境。部會應該找 出一些關鍵的要素,來協助或增強其處理風險的能力。
2. 建立組織內部環境背景體系:
在推動風險管理工作之前,應該先了解部會本身之優勢、劣勢與所具備 的能力,以及部會執行風險管理的目標與策略。此步驟之所以重要的原因包括:
(1) 在更廣泛的部會目標與策略下執行風險管理。
(2) 無法達成部會、特定活動或計畫的目標應被視為風險的一種,且應 加以管理。
(3) 部會的政策與目標有助於關鍵因素的訂定,這些因素可決定風險的 程度是否可被接受,並列出風險對策的選擇。
3. 建立風險管理步驟:
執行風險管理步驟的部會應該建立活動的目標、策略、範圍和關鍵因素 等。組織應該在詳細考慮過所有需求與所需的資源後,才執行這個步驟,以達 到成本、利益與機會三者的平衡。
4. 發展風險評量的標準:
決定評量風險的標準,根據操作、技術、財務、法律、社會、人道及其 他方面的標準,來決定風險的可接受度及風險的對策。通常會根據部會內部的 政策、目標和利害相關者的利益(如民眾需求)來決定評量的標準。雖然在一開 始風險標準是建立風險管理架構的一部分,但是隨著特定風險的發現和風險分
析方法的決定,可以進一步發展和修正風險標準,也就是說風險標準必須配合 風險的種類、風險的程度及組織的成熟度和對於風險管理的能力。
5. 定義風險分析對象:
此步驟是將活動或計畫分成數個部分,這些部分是風險辨識及分析風險 的框架,可以用來確認部會沒有忽略重要的風險,部會必須根據風險的本質及 活動或業務的範圍來選擇結構。
(二) 風險辨識
這一步驟是找出需要管理的風險。必須使用一個有系統的步驟來進行廣 泛的搜尋,因為在這個階段沒有被發現的風險將被排除在分析的步驟之外。搜 尋應包括所有的風險,不論該風險是否已在組織的控制之下。擬定風險情境 時,應採用系統化程序,並由事件背景說明開始,以求其完整性,使用結構化 的方式進行辨識程序,以確保風險辨識採用的方法有效、可行,且亦有助於完 成辨識程序,避免遺漏任何重大問題。
1. 發生什麼:這個步驟的目的是列出所有會影響「定義風險分析對象」
中所訂定的結構的事,通常會詳細指出事件的內容。
2. 如何、為何、何處與何時發生:列出可能的影響事件後,組織必須考 慮其可能的發生原因和發生順序,所謂的風險情境分析,情境分析是 風險辨識與評估中最關鍵的一部分。
3. 風險辨識程序:以下是在此程序中與每項要素有關的問題:
(1) 每項政策、施政計畫、業務方案及組織活動或服務的風險來源為 何?
(2) 可能導致的情況:增加或降低達成目標的效率;以高或低效率達成 目標;利害相關者是否會採取影響目標達成的作為?是否會產生附 加效益?
(3) 可能對目標造成什麼影響?
(4) 可能會涉入或受到衝擊的利害關者?
(5) 風險可能發生的時機、地點、原因及方式?
(6) 目前的風險控制方法為何?
(7) 分析現有控制方法無法發揮控制功能的原因並提出改善策略?
審視每項要素之後,應審慎考量以下的一般問題:
A. 資訊是否可靠?
B. 是否有信心已列出完整的風險清單?
C. 是否需要為特定風險進行其他研究?
D. 涵蓋的目標與範圍是否適當?
E. 合適的人員是否已參與風險辨識程序?
風險辨識紀錄文件應包括:
A. 方法;
B. 含蓋範圍;
C. 參與人員與參考資料涵蓋範圍;
D. 風險登錄表;
4. 工具和技術:用來發現風險的方法包括核對風險清單、利用 SWOT 方 法、運用經驗及紀錄來判斷、流程表、腦力激盪、系統分析、順序分 析,以及系統工程技術。
風險辨識的方法不外乎是經驗導向式的小組研討、應用結構化的 議題或模式來引導分析及結合兩者的特性。圖 2-4 的示意圖即為表示 這兩個不同元素在不同方法中運用程度之強弱。經驗導向式的作法較 為領域專家所應用,適用於有顧問協助引導評估與分析的計畫。核對 風險清單或使用查核表( Checklist )逐項討論,雖然議是題容易距焦,
分析過程簡單,勿需太多經驗,但分析品質完全取決於所使用的查核
分析過程簡單,勿需太多經驗,但分析品質完全取決於所使用的查核