行政院及所屬各機關風險管理及危機處理 作業手冊
中華民國109年9月
目 錄
表次 ...I 圖次 ... II
壹、總說明 ... 1
一、沿革 ... 1
二、依據 ... 3
三、運作組織 ... 3
四、作業時程 ... 3
貳、風險管理(含內部控制)觀念架構 ... 5
一、風險管理之基本觀念 ... 5
二、風險管理之基本定義 ... 5
三、風險管理(含內部控制)之架構 ... 6
四、風險管理(含內部控制)之目標及要素 ... 12
參、風險管理(含內部控制)步驟 ... 18
一、行政機關整合性風險管理(含內部控制) ... 18
二、中長程個案計畫風險管理 ... 33
肆、危機處理觀念架構 ... 45
一、危機處理之基本定義 ... 45
二、危機處理之架構... 45
伍、危機處理步驟 ... 49
附錄 ... 53
附錄1、行政院及所屬各機關風險管理及危機處理作業原則 ... 53
附錄2、政府內部控制共通性作業(含跨職能整合)範例製作重點 ... 59
附錄3、政府內部控制制度設計重點 ... 63
附錄4、行政機關整合性風險管理案例 ... 65
附錄5、國發會施政績效報告呈現「整體風險管理(含內部控制)推動情形」 案例 ... 106
附錄6、計畫進度落後因素項目一覽表 ... 107
附錄7、中長程個案計畫風險管理-公共建設類案例 ... 112
附錄8、中長程個案計畫風險管理-社會發展類案例 ... 131
附錄9、行政機關危機處理案例 ... 146
表次
表1、國發會各單位風險項目代碼表(示例) ... 21
表2、重要計畫(方案或措施)項目之風險項目一覽表(示例) ... 23
表3、風險評估及處理彙總表-風險項目(示例) ... 24
表4、風險可能性評量標準表(示例) ... 25
表5、風險影響程度評量標準表(示例) ... 25
表6、風險評估及處理彙總表-現有風險等級及風險值(示例) ... 26
表7、風險評估及處理彙總表-殘餘風險等級及風險值(示例) ... 29
表8、施政績效報告呈現「整體風險管理(含內部控制)推動情形」(示例) ... 32
表9、計畫風險類別代碼表(示例) ... 34
表10、計畫風險項目一覽表(示例) ... 36
表11、計畫風險可能性評量標準表(示例) ... 37
表12、計畫風險影響程度評量標準表(示例) ... 38
表13、評定計畫現有風險等級及風險值一覽表(示例) ... 38
表14、評定計畫殘餘風險等級及風險值一覽表(示例) ... 42
表15、一般危機處理小組組織及職責架構表 ... 47
表16、危機處理小組成員表 ... 50
表17、媒體運作準備工作點檢表 ... 51
表18、協調談判準備工作點檢表 ... 51
表19、檢討及改善項目點檢表 ... 52
圖次
圖1、風險管理作業時程圖 ... 4
圖2、風險管理基本架構圖 ... 6
圖3、加拿大風險管理架構圖 ... 7
圖4、英國風險管理架構圖 ... 8
圖5、紐澳風險管理架構圖 ... 10
圖6、我國行政機關內部控制架構 ... 11
圖7、我國行政機關風險管理(含內部控制)及績效管理整合架構 ... 12
圖8、機關施政目標架構示意圖 ... 18
圖9、年度施政目標及策略示例圖 ... 19
圖10、重要計畫(方案或措施)項目示例圖 ... 19
圖11、風險判斷基準及其風險容忍度示意圖 ... 26
圖12、風險等級與風險圖像對應示意圖 ... 27
圖13、機關現有風險圖像(示例) ... 27
圖14、機關風險處理流程圖 ... 28
圖15、機關殘餘風險圖像(示例) ... 30
圖16、計畫風險判斷基準及其風險容忍度示意圖 ... 39
圖17、計畫風險等級與風險圖像對應示意圖 ... 40
圖18、計畫現有風險圖像(示例) ... 40
圖19、計畫風險處理流程圖 ... 41
圖20、計畫殘餘風險圖像(示例) ... 42
圖21、危機處理架構圖 ... 46
圖22、危機處理步驟圖 ... 49
壹、總說明
一、沿革
風險管理自1950年代興起以來,主要著重於私部門危害性及財務性風 險之管理。為提升公部門施政績效,加拿大、英國、紐西蘭、澳洲等先進 國家,亦擷取企業管理之精華,於行政機關決策制定過程中,逐漸導入風 險管理或整合性風險管理之機制,且經評估後確實已獲得具體成效,包括 改善組織運作各項流程、運用有限資源管理主要風險、聚焦於公眾相關決 策、建立冒險與創新平臺、辨識轉機關鍵點、提供較佳緊急應變計畫、降 低不確定性與意外損害幅度等。
由於自然、人文社會環境之快速變遷,各國行政部門面臨來自內外環 境之不確定性因素與日俱增,我國同樣亦面臨許多不利政府施政之風險,
包括政治法律、社會文化、經濟環保、科技發展、自然事件等外部風險及 政府內部營運風險,所有風險變遷皆可能對社會及國家產生危害、危機及 緊急事件,輕微者影響施政品質,妨礙機關施政目標之達成;嚴重者影響 人民生命財產安全,喪失民眾對政府之信任感。有鑑於此,行政院責成原 行政院研究發展考核委員會(以下簡稱原行政院研考會,現改制為國家發展 委員會,以下簡稱國發會)負責推動行政機關風險管理,於94年8月函頒「行 政機關風險管理推動方案」,要求行政院所屬各部會應建立風險管理機制,
預先管理風險,並降低風險發生可能性及影響程度,以期達成機關施政目 標;該會並於94年10月編撰「風險管理作業手冊」,歷經2年多之宣導與推 廣,達成該方案之短、中、長期目標,乃至96年底各部會建置完成各機關 之整合性風險管理機制,該方案遂完成階段性工作。
行政院為持續推動行政機關風險管理,並納入日常作業,嗣於97年4月 函頒「行政院所屬各機關風險管理作業基準」,97年10月再請 原行政 院研 考會建立「危機管理機制」,並於97年12月再修正函頒「行政院所屬各機 關風險管理及危機處理作業基準」,98年3月亦核定「風險管理及危機處理 作業手冊」,提供各機關推動整合性風險管理及危機處理之依據及作業參 考,並引導各機關建立標準作業程序及進行實務操作。至此,我國行政機 關風險管理及危機處理制度已然建立,原行政院研考會爰逐漸朝向協助各 機關「自主性風險管理」方向推動,一直迄今。
嗣因審計部於97、98年度中央政府總決算審核報告指出,部分機關因 內部控制機制未臻健全,間有施政效能不彰,規避監督或逾越法令規定、
或於弊端萌生時欠缺有效機制及時防杜暨偵查發現,致發生貪瀆或不法等 情事。行政院為提升政府整體施政效能及達到興利防弊功能,於99年底組 成跨部會之「行政院內部控制推動及督導小組」(以下簡稱行政院內控小 組),由行政院主計總處(以下簡稱主計總處)擔任幕僚機關,並於100年2月 訂頒「健全內部控制實施方案」,作為推動內部控制之上位指引,以強化 政府內部控制各項工作。嗣因行政院組織調整,部分機關名稱變更、配合 內部控制推動工作進程及作業環境變遷等,分別於101年9月、102年4月、
103年9月及104年7月修正部分規定內容,並修正名稱為「強化內部控制實 施方案」。
復依據行政院秘書長於105年11月召開研商行政院任務編組檢討調整 作業會議決議,同意裁撤行政院內控小組,裁撤後為賡續強化政府內部控 制,各機關仍應依內部控制相關規範確實檢討強化內部控制機制並落實執 行,首長並應對建立及執行內部控制負最終責任。爰「強化內部控制實施 方案」完成階段性任務,於105年12月底停止適用。
為利整合政府內部控制、風險管理及績效管理等機制,引導機關自主 管理,並落實逐級督導責任,國發會與主計總處依據105年12月行政院內控 小組第29次委員會議之決議,並參酌管考作業簡化之「減併簡」(減少相關 規範及表報作業、整併風險管理與內部控制融入施政績效管理作業、簡化 原有作業)原則,研訂「行政院及所屬各機關風險管理及危機處理作業原則」
(以下簡稱本作業原則,如附錄1)報經行政院於109年8月核定,並自110年1 月起施行,除推動各機關全面簽署內部控制聲明書外,並要求各主管機關 針對所屬機關遇有未落實辦理風險評估、外界關注事項、簽署部分有效或 少部分有效類型內部控制聲明書等,應綜合評估對所屬機關內部控制之影 響程度,採取例外管理。
此外,「行政院所屬各機關中長程個案計畫編審要點」(以下簡稱編審 要點)第5點於103年9月修正時規定,各機關提報或修正之中長程個案計畫,
其內容應增列「風險評估」;嗣為彌補中長程個案計畫風險評估量能之不 足,於107年10月再次修正編審要點,始形成完整且持續循環之計畫「風險
業手冊除敘明行政機關整合性風險管理(含內部控制)及危機處理之實務性 操作內容外,亦納入中長程個案計畫風險管理作業說明,以供各機關參考 運用。
二、依據
本作業手冊係依據本作業原則第4點規定研訂,以引導各機關進行風險 管理(含內部控制)及危機處理之實務性操作;另亦依據編審要點第5點規 定,納入中長程個案計畫風險管理作業說明,以協助各機關於提報或修正 中長程個案計畫時參考運用。
三、運作組織
各機關得設立「風險管理及危機處理專案小組」(以下簡稱專案小組),
指派副首長以上人員擔任召集人,並指派各機關內部單位主管擔任委員;
專案小組之幕僚工作由各機關研考單位辦理。
專案小組任務如下:
(一)各機關
各項風險管理(含內部控制)及危機處理之教育訓練及相關事項。
(二)各主管機關除辦理前述所列事項外,應辦理及督導下列事項:
1、辦理風險管理(含內部控制)及危機處理教育訓練,對所屬首長、副 首長說明風險管理(含內部控制)及危機處理之重要性及實施作法,
獲取共識及支持,並持續培育種子教師,推派其擔任本機關或所屬 教育訓練講座,以協助機關推動風險管理(含內部控制)及危機處理。
2、針對所屬機關遇有未落實辦理風險評估、外界關注事項、簽署部分 有效或少部分有效類型內部控制聲明書等,應綜合評估對其目標達 成之影響程度,採取例外管理,並於期限內要求所屬機關就特定議 題提出檢討改善或前往實地督導。
各機關如未設立專案小組,得以召開「專案會議」方式運作。
四、作業時程
(一)行政機關整合性風險管理(含內部控制):
1、各機關應於每年(D年)2月28日前檢討前一年度(D-1年)風險管理執行
情形;其中涉及年度施政目標之重大風險處理結果,應納入前一年 度(D-1年)施政績效報告,並依據前一年度(D-1年)行政院會議通過 之當年度(D年)施政計畫及立法院通過之當年度(D年)施政計畫預 算,修正當年度(D年)風險評估及處理彙總表與機關風險圖像,陳 報機關首長核定後,賡續推動當年度(D年)風險管理(如圖1)。
2、各機關於當年度(D年)中發現新風險者,應即時修正前項風險評估 及處理彙總表與機關風險圖像,並陳報機關首長核定。
3、各機關應依前項風險管理執行情形、風險評估及處理彙總表與機關 風險圖像,作為每年(D年)6月底前擬訂次一年度(D+1年)施政計畫之 參據。
(二) 中長程個案計畫風險管理:各機關於提報或修正中長程個案計畫時。
(三) 危機處理:各機關於所辨識出或未及辨識之機關整合性風險或中長程 個案計畫風險,因故而導致風險情境發生時。
圖1、風險管理作業時程圖
貳、風險管理(含內部控制)觀念架構
推動風險管理係長期性工作,宜循序漸進,首先必須加強對風險之認 知,提升風險意識,並透過教育訓練、發展風險管理工具及知能,以提升 機關風險管理能量,營造支持性工作環境,進而型塑風險管理文化。風險 管理(含內部控制)之基本觀念、定義及架構如下:
一、風險管理之基本觀念
(一)日常生活「風險」無所不在:日常生活之食、衣、住、行、育、樂,
甚至投資理財等皆隱含風險。
(二)預防勝於治療:風險管理重於危機處理。
(三)風險管理即是做預防工作:管理學界常認為,未來世界唯一不變者即 是「變」,唯一確定者即是「不確定」;「變」與「不確定」即可能 造成風險,風險若未能妥善管理,即可能帶來危機與災難。而事中之 危機處理、事後之復原重建,皆不如事前之風險管理,足見風險管理 即是做預防工作。
二、風險管理之基本定義
(一)風險(Risk):潛在影響組織(機關)目標達成之事件,及其發生之可能性 及影響程度。其特性可分為:
1、未來性:風險係未來可能發生者,與迫在眉睫之危機不同。
2、衝擊性:風險對機關目標之達成存有影響。
3、隱晦性:風險係部分未知、不易全然被掌握者。
4、變化性:風險係隨時變化、非固定性。
(二)風險管理(Risk Management):為有效管理可能發生之事件及最小化 其不利影響,所執行之步驟與過程。其重要觀念包括:
1、事件發生之機率或其影響程度係可以減少的。
2、風險管理非在於追求「零」風險,而係強調於可接受之風險下,追 求最大利益。
(三)整合性風險管理(Integrated Risk Management):係風險管理之一種,
與個別性風險管理不同,乃以機關整體觀點,系統性持續進行風險辨
識、風險評估、風險處理、風險監控及風險溝通之過程。機關風險管 理需整合原因包括:
1、若由機關內部各業務單位分別進行風險管理,因風險評量標準不 同,難以窺見機關風險全貌。
2、機關資源有限,須集中運用於重要之風險。
(四)個別性風險管理(Individual Risk Management):係以特定事件、事務 或計畫為主體,於其特定範圍內,進行系統性風險辨識、風險評估、
風險處理、風險監控及風險溝通之過程。例如中長程個案計畫風險管 理(相關內容請詳見本作業手冊參、二)、關鍵基礎設施防護(Critical Infrastructure Protection, CIP,我國關鍵基礎設施防護參考美國等先進 國家採用「風險管理架構」,以確實降低風險,發揮最佳防護功能,
確保投入之資源得到最大之效益)。
三、風險管理(含內部控制)之架構
建立風險管理架構之主要目的,在於協助政府機關持續改善施政績 效;另可促成政府機關提供更好服務、更有效率使用資源、更佳計畫管 理、減少無謂浪費、避免貪瀆與浪費公帑,並可鼓勵創新。
風險管理之基本架構、加拿大、英國、紐西蘭、澳洲等先進國家 之風險管理架構,析述如下:
(一)基本架構
原行政院研考會綜合加拿大、英國、紐西蘭、澳洲等先進國家之 風險管理運作模式,研擬出包括辨識風險、評估風險、處理風險、監 控風險等步驟之基本架構(如圖2),其本身係屬周而復始之持續循環過 程。
(二)加拿大風險管理架構
加拿大政府風險管理之運作特點,即在於強調「整合性風險管理」
架構,係以機關整體觀點,系統性進行辨識風險、評估風險、處理風 險、監控風險之持續循環過程,並著重全員參與,透過機關內部與外 部交流及持續不斷學習與溝通,有助於提升機關內部各個單位及同仁 執行風險管理之技術能量(如圖3)。其步驟概述如下:
圖3、加拿大風險管理架構圖
1、瞭解議題環境:瞭解、尋找並確認機關面臨之各種問題、機會、範 圍、議題等相關風險課題及其如何發生,其目的即在於辨識出機關 之潛在風險。
2、評估主要風險:分析及評量機關之整體環境(包括內部、外部環境因 素),透過各種可能之辨識方法,尋找機關可能面臨之重要議題及問 題。
3、分析可能性及嚴重性:以分析方法分析機關可能風險之暴露程度,
可以可能性及影響程度表示。
4、排列風險順序:依風險分析結果,評定風險等級,並與風險判斷基 準比較,篩選出重要風險並予以排序;2至4之過程,即為評估風險 之步驟。
5、設定預期目標:針對確認且必須處理之風險項目,訂定近程及長程
目標,以減少風險對機關之負面影響。
6、思考替代方案:考慮可行性、成本及利益,並列出可行之風險對策,
選用單一或多重風險控制方式(可使威脅減到最小,並使機會達到最 大之方法、作法或工具),並發展其他替代方案。
7、選擇策略:以預期目標及問題導向之判斷基準,選擇風險處理策略 或處理計畫。
8、執行策略:執行風險處理策略或處理計畫;5至8之過程,即為處理 風險之步驟。
9、監督、評估與調整:審視風險管理各步驟之進行狀況,並持續檢討、
改進及調整;此過程即為監控風險之步驟。
(三)英國風險管理架構
英國政府將風險管理之核心程序,區分為辨識風險、評估風險、
處理風險及監督報告等4項要素,彼此之間存在密切之關聯性。同時,
此架構亦顯示風險管理系統之運作,必須考慮外在環境(例如立法機 關立法進度對機關之影響;與機關本身相關之協力組織、合作機構…
等之意向及其變化,亦可能影響機關施政目標之達成)。此外,此架 構與加拿大政府「整合性風險管理」架構相同,均強調風險管理之持 續循環過程及持續不斷學習與溝通(如圖4)。其要素析述如下:
1、辨識風險:風險辨識係建立機關風險圖像之前置作業,風險圖像之 文件化係風險管理之關鍵。風險辨識可分成兩個階段:
(1)初步風險辨識:適用於以往尚未以結構性方法辨識風險之機關、
新機關、新計畫或業務。
(2)持續性風險辨識:適用於不曾存在之新風險、既有但有改變之風 險。
2、評估風險
(1)風險評估之基本原則︰
A、評估程序以「可能性(機率)」及「影響程度(後果嚴重性)」為 基準。
B、完整記錄風險評估之方法,有助於監測及決定風險之優先順 序。
C、明確區分現況(本質)風險及殘餘風險之差異。
(2)風險評估之過程必須詳加記錄,並予以文件化。詳細之風險評估 文件所建立之風險圖像,其功能包括︰
A、有助於決定所辨識風險之優先順序。
B、有助於掌握或瞭解判定可容忍風險之條件。
C、有助於處理風險決策過程之文件化。
D、有助於風險管理相關人員瞭解風險圖像之全貌,使其於自己 負責範圍內,易於重新檢討及監控風險。
(3)可容忍風險之觀念係為執行有效之風險管理,必須於執行前先考 慮如何控制風險,包含風險之威脅或發生機率之可接受程度。考 慮可容忍風險之程度時,其可容忍之暴露機率應該先予確認,再 從預防風險之成本及暴露成本相比較,並取得平衡點,訂定機關 可容忍發生之風險有那些。於機關之能力範圍內,必要時須忍受 一定程度以上之風險,例如許多機關皆須承擔由恐怖份子所引起 而無法被控制之攻擊活動之潛在風險。因此,所有機關應預先擬 訂意外事故之應變處理計畫。
3、處理風險:其目的係利用降低威脅及掌握機會以處理機關之不確 定性,減少或規避風險所造成之損失。處理風險所採取之任何行 動均可稱為內部控制。而其具有5個基本原則包括接受(容忍)、處
置、轉移、終止及掌握機會。
4、監督報告
(1)風險管理必須經過監督與報告,以確認風險圖像是否改變,並 確保風險管理之有效性,及確認是否需要進一步行動。
(2)於風險管理過程中,應持續檢討風險是否仍然存在,新風險是 否出現,風險及其影響是否已改變,且於顯著改變時調整風險 圖像,並確保已被有效控制管理。此外,風險管理之全部過程 應被持續監督及定期檢討,以維持風險管理之有效性。
(3)定期監督之程序:
A、確保風險管理程序至少1年1次重新檢討。
B、確保所有風險已被辨識,並以適當頻率進行審查。
C、對於已辨識之風險或已改變等級之風險,應提供適當之資 源,使其可被適當處理。
(四)紐澳風險管理架構
紐西蘭、澳洲等兩國之風險管理架構(如圖5),係我國政府機關開 始推動風險管理時所採用之架構,亦強調「整合性風險管理」,即要 求各機關以組織整體之觀點,系統性建立背景系絡、辨識風險、評估 風險(包含分析風險及評量風險)、處理風險、監視與檢討、溝通與諮 詢之持續循環過程,俾將風險管理納入政策考量,以達成機關施政目 標。
(五)我國行政機關風險管理整合架構
我國行政機關推動風險管理係採用紐澳風險管理架構(如圖5),以 機關整體之觀點,由機關全體人員共同參與,並掌握可能影響機關目 標無法達成之內、外部風險,以採取相關管控及回應作為。
「健全內部控制實施方案」(102年4月修正為「強化內部控制實 施方案」,已於105年12月30日停止適用),係由主計總處主導,揭櫫 政府內部控制之建立及執行包含於風險管理之內,主要係為降低機關 目標無法達成之內部風險(如圖6)。
圖6、我國行政機關內部控制架構
依據105年12月20日行政院內部控制推動及督導小組第29次委員 會議討論事項第2案之決議(三)「為利整合政府內部控制、風險管理及 績效管理機制,請本院主計總處會同國家發展委員會研議一套完整之 整合架構,以互相勾稽,減少問題發生或預先因應處理,並簡化相關 報表,以提升行政效能」,以行政機關管考作業簡化之「減併簡」原 則,整合內部控制、風險管理及績效管理三大機制,建立我國行政機 關風險管理(含內部控制)及績效管理整合架構(如圖7),將各機關風險 管理(含內部控制)融入日常作業及決策運作,考量可能影響施政目標 達成之風險,訂定機關之施政目標及策略,並透過辨識及評估風險,
採取內部控制或其他處理機制,以合理確保達成施政目標。
圖7、我國行政機關風險管理(含內部控制)及績效管理整合架構 四、風險管理(含內部控制)之目標及要素
(一)風險管理(含內部控制)係由機關全體人員共同參與,透過內部環境、
目標設定、風險辨認、風險評估、風險回應、控制作業、傳遞資訊、
溝通及諮詢、監督作業等8項互有關聯之組成要素,考量可能影響目 標達成之風險,據以擇選合宜可行之策略及設定機關之目標(含關鍵策 略目標),透過辨識及評估風險,採取內部控制或其他處理機制,以合 理確保達成施政目標,並建立及維持有效之風險管理(含內部控制)架 構,藉由整合機關內部各種控管及評核措施,並融入至管理過程之後 端,為業務之規劃與執行提供後援,藉以合理確保達成下列5項目標:
1、實現施政目標。
2、提升施政效能。
3、提供可靠資訊。
4、遵循法令規定。
5、保障資產安全。
政府內部控制之建立及執行則包含於風險管理之內,主要係為降 低機關目標無法達成之內部風險,透過控制環境、風險評估、控制作 業、資訊與溝通及監督作業等5項組成要素,事先整合機關內部各種 控管及評核措施。考量成本效益,各機關內部控制之建立僅能合理促 使提升施政效能、提供可靠資訊、遵循法令規定、保障資產安全等內 部控制目標之達成,無法提供絕對保證。
(二)風險管理(含內部控制)應考量8項組成要素,由機關各單位有關人員負 責建立、執行及維持,並落實行政透明措施、提升政府公信力及施政 品質。各要素之原則及其特性如下:
1、內部環境:內部環境塑造機關文化及影響其人員對風險意識之認 知,為其他7項組成要素之基礎;其中控制環境為建立及執行內部 控制之基礎。包括:
(1)公務職業操守與倫理價值觀念之建立及維持,型塑具廉政文化之 內部環境:強調操守重要性、法制責任觀念及風險意識,落實執 行廉政倫理規範,排除或減少高階主管等人員從事非法行為之環 境誘因、壓力或機會,並建立及時處理偏差行為之機制。
(2)首長與高階主管重視及支持風險管理(含內部控制),督導工作執 行:機關首長全力支持且對風險管理(含內部控制)之有效運作負 責,各單位主管以上人員以身示範將施政理念及行動風格導入正 向。
(3)考量機關風險胃納,導引資源分配:強調機關於擇選策略時願意 接受風險之多寡,導引機關資源之分配,以建立及執行風險管理 (含內部控制)之基礎架構,反映機關風險管理(含內部控制)政策 之文化。
(4)機關組織架構及授權之適當明確:落實各單位責任明確分工及制 衡機制,授給人員之權力與其擔負之責任相稱。
(5)人力資源之妥適管理,職務輪調及人才培育之機制:建置適才適 所之人員進用、培育及儲備措施,辦理教育訓練、提升人員瞭解 與落實執行工作之專業知識、經驗及服務觀念。
(6)強化風險管理(含內部控制)課責性,落實考核獎懲措施:首長與 高階主管應建立風險管理(含內部控制)課責機制,以履行風險管
理(含內部控制)職責。落實人員升遷及獎懲措施,定期評估人員 辦理風險管理(含內部控制)工作之成效及維持其擔任重要職務 所需之能力,並適時設定誘因、調整工作負荷以降低其畏難規避 或推諉、稽延等情事。
2、目標設定:目標設定是有效風險辨認、風險評估與風險回應等3項 要素之先決條件。機關應先設定目標,以辨認與評估該目標無法達 成之風險,並採取必要之風險管理(含內部控制)。包括:
(1)考量機關風險胃納,據以擇選合宜可行之策略及設定機關之施政 目標:策略之擇選影響機關資源之分配,因此選定之策略應合理 確保機關所承受之風險不超出其風險胃納;又目標之設定應考量 如何支援機關使命、願景之達成,同時確保目標追隨機關之風險 胃納,並與其相一致。
(2)定義適切之風險容忍度:機關針對所願意承受目標無法達成之變 動程度,據以決定適切之風險容忍度,並追隨機關風險胃納,且 趨於一致。
3、風險辨認:為機關進行風險評估與風險處理之先決條件,機關應設 定施政目標,以全面辨認對機關產生影響之潛在風險,避免遺漏潛 在施政風險,並採取適當處理方式。包括:
(1)對風險採取評估及回應:對於產生負面影響之風險,機關應採取 風險評估及回應。
(2)辨識貪腐與影響施政效能之重大風險,強化廉政透明:辨認風險 時,應同時考慮人員違法或處置錯誤而產生之風險,包含可能發 生受賄、違背職務、濫用職權、消極不作為、行政效率不彰及未 適當公開資訊等影響政府公信力之風險;並考量該等風險之誘 因、壓力及機會。
4、風險評估:須藉由全面之風險辨認,考量機關內、外環境變動對目 標可能產生負面影響及可能發生貪腐所造成之風險、分析該等風險 之影響程度與發生可能性,及評量決定需優先處理之風險項目,據 以評估並選擇風險對策,以回應相關風險。包括:
(1)落實風險分析,評量決定需處理之風險項目:分析風險項目對機
透過與風險容忍度之比較,評量決定需優先處理之風險項目。
(2)滾動檢討風險,以因應對內部控制產生重大影響之改變:透過辨 識政策、業務、法令規定或資訊系統等產生重大改變之風險,採 滾動方式定期辦理風險評估作業,據以檢討及評量各風險項目,
以因應內部及外部環境之改變。
5、風險回應:機關考量風險回應時,應先評估其對風險發生之可能性、
影響程度及成本效益,研議並採行單一或多重風險對策,以降低風 險對機關產生之負面影響。包括:
(1)接受:在可容忍範圍內之風險得不做處理。
(2)規避:風險大於可容忍風險,但考量成本效益原則,不涉入或退 出風險。
(3)抑減:研議及採取適當內部控制或其他機制,以降低風險發生之 可能性及影響程度,將風險控制在可容忍範圍內。
(4)移轉:藉移轉部分風險或其他方式,以降低風險發生之可能性及 影響程度。
6、控制作業:機關依據風險評估結果,採用適當政策與程序之行動,
將風險控制在可承受範圍之內,以確保風險回應有效執行。控制作 業具有預防性或偵測性之功能,亦可涵蓋人工化與自動化作業。包 括:
(1)選擇風險對策,建立控制作業:依據職能分工及風險評估結果,
建立控制作業,以降低達成目標之相關風險至可容忍程度。
(2)建立資訊作業之控制,強化安全管理:資訊系統之建置、營運、
維護與建立資訊安全管理等控制措施及其所需管控機制等,例 如:建立資訊系統程式修改及資料存取權限等相關控制作業。
(3)定期檢討風險對策,授予權限落實執行:配合既定政策、目標及 計畫之調整及改變,適時檢討風險對策、作業流程之透明度及各 項控制重點之有效性及合理性,並建立明確授權及指派適任人員 落實執行。
7、傳遞資訊、溝通及諮詢:機關蒐集、編製及使用來自內、外部攸關 及具品質之資訊,以支持風險管理(含內部控制)其他組成要素之持 續運作,並確保資訊於機關內、外部間有效傳遞。包括:
(1)確保資訊品質,以支持風險管理(含內部控制)持續運作:辨識作 業流程所需資訊,包括由內部產生或自外部取得之財務及非財務 資訊,以適時提供資訊需求者作為決策及監督之用,有利連貫及 支援其他7項組成要素。包括:
A、對機關全體人員宣達組織職掌、職能分工及組織文化等,以 營造內部環境。
B、應強化內部溝通,有效傳達目標設定及適切之風險容忍度等 事項。
C、透過開放之溝通管道,取得完整正確資訊,以作為全面辨識 機關風險之基礎,避免遺漏潛在風險。
D、進行風險評估時,得將風險對策之品質納入考量。
E、各項風險對策,得以書面文件訂定,使機關全體人員可瞭解、
易遵循,並掌握控制重點。
F、提供風險管理之共同語言及正確、可靠的資訊,以確保風險 回應有效執行。
G、辦理監督作業時,依各項文件檢視風險管理(含內部控制)實 施狀況,相關評估及稽核之結果、針對未妥善管理風險(含內 部控制)之待改進事項或為強化風險管理(含內部控制)所提出 之具體興革建議等紀錄,可供追蹤其改善及辦理情形。
(2)建立內部溝通,履行風險管理(含內部控制)職責:告知機關全體 人員在風險管理(含內部控制)所扮演之角色及責任,落實遵循法 令機制,並建立通報異常情事之管道,促使機關上下或跨單位資 訊充分傳達,使其瞭解並履行風險管理(含內部控制)責任。
(3)建立攸關且及時資訊之外部溝通,促進多方交流:
A、機關應依法令規定公開或提供相關資訊,以推動行政透明措 施,並對外界提出之意見及時處理與追蹤。
B、針對涉及其他機關(構)、地方政府或組織之業務、法令規定、
業務移轉或銜接等,落實跨機關整合及協調。
8、監督作業:依據法令規定進行持續性評估、個別評估或二者併行,
以合理確保風險管理(含內部控制)之各組成要素是否已經存在,以
位主管人員於日常管理業務過程中,所執行督導等即時監督工作,
為持續進行之評估;個別評估為自行評估及內部稽核,係指定期執 行自行評估及內部稽核等監督工作,用以提供客觀之回饋資訊,以 合理確保風險管理(含內部控制)持續有效運作,為非持續性進行之 間斷性評估。對於所發現之待改進事項,應向高階主管以上人員溝 通,並及時改善,包括:
(1)落實監督作業,強化風險管理(含內部控制):
A、持續檢查風險管理(含內部控制)實施狀況,並分析實際績效 與衡量基準之差異,提出可能提升績效之建議。
B、定期檢視各項風險對策作業流程之簡化及透明化程度。
(2)檢討追蹤待改進事項,落實改善作為:針對監督作業連同監察院 與審計機關等提出之風險管理(含內部控制)待改進事項及具體 興革建議,追蹤其檢討改善及辦理情形,並檢討修正風險對策。
參、風險管理(含內部控制)步驟
一、行政機關整合性風險管理(含內部控制)
【步驟】
行政機關風險管理(含內部控制)之目的,在於預先瞭解各機關履行 其職掌及任務、推動施政及面對內、外部環境需求採行決策時,可能影 響其施政目標達成之風險有那些?研析此等風險之發生可能性與影響 程度,並於落實有效管理或控制行動之後,降低風險轉成危機之發生機 率,並使其影響衝擊最小化,以促成政府機關提供更好服務、更有效率 使用資源、更佳計畫管理、減少無謂浪費、避免貪瀆與浪費公帑,並可 鼓勵創新。為達此目的,參酌風險管理(含內部控制)8項組成要素,各機 關必須踐行以下6項重點步驟:
(一)建立背景資料
1、目的:為提供風險管理(含內部控制)所需之基礎資料,並確定所涵 蓋範圍。
2、作法:
(1)確定各機關之年度施政目標及重要計畫(方案或措施)項目:確定 各機關依設立之使命、願景及業務職掌,於中程(國家發展)及年 度施政計畫所訂定之年度施政目標,及各機關內部單位為達成業 務職掌及年度施政目標所訂定之重要計畫(方案或措施)項目(如 圖8),通常呈現於前一年度(D-1年)經立法院通過當年度(D年)預 算之施政計畫中(如圖9、圖10)。
圖9、年度施政目標及策略示例圖
圖10、重要計畫(方案或措施)項目示例圖 (2)界定外部因素
審視機關與周圍環境間之關係,包括政治、社會、經濟、
科技、自然環境等對機關之影響,發掘機關之機會及威脅。
影響機關之外部因素即機關之外部風險,係指來自外部環 境變遷之壓力,機關本身無法控制,惟可採取某些行動予以紓 緩。例如:
A、政治法律:意識型態、兩岸關係、政府體制、政府組織調整、
政權移轉、勞工環保法規…等。
B、社會文化:人口特質(例如少子化、老年化等)、習俗價值…
等。
C、經濟環保:國際金融變化(例如金融海嘯、歐債危機等)、區 域經濟體競爭、能源供給、失業水準、二氧化碳排放…等。
D、科技發展:生物科技、奈米科技、基因工程…等。
E、自然事件:颱風、水災、旱災、地震、疫病(例如新冠肺炎)、
氣候暖化…等。
(3)界定內部因素
審視機關之內部作業流程、所能運用之人力、財務(物)、資 訊及人員具備解決問題能力之弱點,以及各類利害關係人之意 向變動。
影響機關之內部因素即機關之內部營運風險,係指機關目 前服務遞送與維持營運量能之風險,屬於機關內部可自行控制 之風險。例如:
A、人力風險:員工能力、技術、人事管理是否良好…等。
B、財務(物)風險:預算是否充足、財務管理是否健全、實體資 產損害。
C、資訊風險:資訊系統是否充分支持決策、做好隱私保護…等。
D、倫理風險:有無貪污舞弊、私德瑕疵情形等。
E、與利害關係人之關係:顧客(例如內部同仁、外部民眾)、夥伴 (例如相關部會、受委託廠商)、媒體、外部監督機關(例如立 法院、監察院)等關係人之意向是否變動。
F、政策變革:決策產生之風險是否超過目前組織所能處理之能 量,即機關之人力、預算或能力不足以應付上級交辦之任務。
(4)建立各內部單位代碼
為便利各內部單位於後續步驟中簡易呈現所發掘之風險項 目,宜建立各單位風險項目代碼表(如表1)備用。
表1、國發會各單位風險項目代碼表(示例)
或
(二)辨識風險
辨識風險係關鍵步驟,若於辨識過程中產生錯誤,導致重要之高 度風險未被正確辨識,將無法對症下藥,危機立現。機關可運用系統 化程序進行廣泛搜尋,搜尋應包括所有風險,不論該風險是否已於機 關控制之下,藉以避免遺漏任何重大風險。
1、目的:發掘重要計畫(方案或措施)項目可能面臨之各項風險及其如 何發生。
2、作法:
(1)選擇辨識方法,以發掘風險。
常用辨識方法包括歷史資料分析、核對風險清單或查核表 (Checklist)、SWOT分析、運用經驗及紀錄判斷、流程表、系統 分析、順序分析、腦力激盪、問卷調查、情境模擬…等,分述 如下:
A、歷史資料分析:潛在風險必須依賴可靠資料加以辨識。執行 風險辨識時,應先從機關之歷史資料著手,並廣泛與利害關 係人討論過去、當前與未來可能衍生之問題。例如前一年度 (D-1年)或以前年度辨識之風險,仍可能繼續成為當年度(D年) 之風險項目。
B、核對風險清單或查核表:依據清單或表格逐項討論,雖議題 易於聚焦,分析過程亦簡單,無需太多經驗,惟分析品質完 全取決於所使用之清單或表格是否完善,或有掛一漏萬之問 題,一般僅作為參考工具。
C、SWOT(優勢、弱勢、機會、威脅)分析:風險來自於內在之弱 勢與外在之威脅,以及新機會可能帶來之新風險。
D、運用經驗及紀錄判斷:較為領域專家所應用,適用於具有顧 問協助引導、評估與分析之計畫。
E、流程表、系統分析、順序分析:係針對工作流程順序之每一 步驟或系統之每一單元之所有可能錯誤、異常或故障進行分 析,較適用於業務執行單位使用,政策執行單位較不適用。
F、腦力激盪:透過資深及業務熟稔之同仁集體思考及討論,集 思廣益,辨識出潛在風險。
G、問卷調查:以開放式問卷調查機關全體同仁,經由不同領域、
層級之發現,亦可發掘潛在風險。
H、情境模擬:以其他機關或同性質機關曾發生之危機情境,想 像其發生於本機關之可能性。
(2)聚焦於新訂或已變動之計畫(方案或措施)項目。
「變」與「不確定」最易造成風險,若未能妥善管理,即 可能帶來危機與災難。新訂計畫(方案或措施)項目因無前例可 循,不確定因素較高,而已變動計畫(方案或措施)項目則變數較 大,均可能潛藏風險,故必須加強辨識。
(3)列出各項風險發生之原因及影響範圍。
各內部單位辨識出各項重要計畫(方案或措施)項目潛在影 響機關當年度施政目標達成之風險項目,以精簡文字表達,並
A、應完整辨識年度施政目標及重要計畫(方案或措施)項目無法 達成之風險。
B、對於施政計畫之先期規劃作業,應針對民意及利害關係人意 見、成本效益、技術可行性或跨機關(構)業務協調等,辨識 可能影響計畫推動之風險。
C、針對立法院、監察院等外部監督機關所提待改進事項,涉及 業務推動過程中未能察覺之風險。
D、對於涉及人民權利或義務之業務,應針對可能發生受賄、違 背職務、濫用職權、消極不作為、行政效率不彰及未適當公 開資訊等,辨識影響政府公信力之風險。
此外,依風險項目代號予以編號,同時簡述風險發生之可 能情境(包括原因與影響範圍)及現有之風險對策(如表2)。
表2、重要計畫(方案或措施)項目之風險項目一覽表(示例)
(4)綜整所發掘之各項風險(予以文件化)。
研考單位綜整各內部單位所辨識之各項風險,依年度施政 目標、重要計畫(方案或措施)項目、風險項目(含代碼編號)、風 險情境、現有風險對策及負責單位,建立風險評估及處理彙總 表(如表3)之前半部分,予以文件化,以利後續作業。
表3、風險評估及處理彙總表-風險項目(示例)
(三)評估風險
1、目的:針對辨識出之各項風險,篩選出重要風險,通常建議採「80/20 法則」。
2、作法:可細分為「分析風險」及「評量風險」兩步驟。惟各機關得 視業務性質或管理需要自行調整相關作法。
(1)分析風險
A、由專案小組(或專案會議)討論建立「風險可能性評量標準表」
(如表4)及「風險影響程度評量標準表」(如表5),其常用方法 如下:
a.定量分析:以實際數據描述發生可能性與影響程度。
b.定性分析:以文字敘述分類等級描述發生可能性與影響程 度。
c.半定量分析:以實際數據表示定性分析等級,目的係便於計 算,決定一個比定性分析更精確之優先順序。
d.綜合上述3種方法之分析。
於分析風險過程中,必須針對已完成辨識之潛在影響年度 施政目標達成之風險項目,分析其前因後果,然後建立其風險 評量標準,一般「三分法」係最基本方式。
表4、風險可能性評量標準表(示例)
註:依據機關特性及需求,調整適合之可能性內容。
表5、風險影響程度評量標準表(示例)
註:依據機關特性及需求,調整適合之影響層面及評量標準。
由各內部單位就所辨識之各項風險,依據前述2種評量標準 表及其現有風險對策,分析各項風險發生之可能性及影響程 度,評定現有風險等級及風險值(如表6,即風險評估及處理彙 總表之中間部分)。
如某風險項目同時適用多項影響層面時,應以較高風險等 級評定之。
表6、風險評估及處理彙總表-現有風險等級及風險值(示例)
(2)評量風險
由專案小組(或專案會議)依據前述2種評量標準表,討論建 立風險判斷基準及其風險容忍度(如圖11)。
風險容忍度係指機關所願意接受年度施政目標無法達成之 變動程度。簡言之,即機關可以忍受年度施政目標無法達成之 限度,超過此限度之風險,機關均應予以處理。
圖11、風險判斷基準及其風險容忍度示意圖
由研考單位綜整各內部單位所辨識各項風險之現有風險等 級及風險值,與風險判斷基準比較(如圖12),建立機關現有風險 圖像(如圖13),篩選出重要風險。
圖12、風險等級與風險圖像對應示意圖
圖13、機關現有風險圖像(示例)
(四)處理風險
1、目的:減少風險對機關之負面影響。
2、作法:可採單一或多重風險對策,其作法(如圖14)如下:
圖14、機關風險處理流程圖 (1)列出可行之風險對策:
A、接受:風險低,在可容忍範圍內,予以容忍,得不做處理。
B、規避:風險在可容忍範圍外,處理成本高於利益時,採取不 涉入或退出風險(例如禁止衍生性金融商品投資、禁止機密資 料連網等)。
C、抑減:依據風險評估結果,研議及採取適當內部控制或其他 機制者,應採取下列適當對策,以降低風險發生之可能性及 影響程度。
a.檢修或增訂相關法令規定。
b.檢修或增訂作業流程或經外部機構驗證通過之標準制度文 件,並得依財政部、法務部、科技部、主計總處、行政院人 事行政總處、國發會、行政院公共工程委員會及行政院資通 安全處[以下簡稱各權責機關(單位)]所訂政府內部控制共通
前開範例重點詳附錄2]。
c.建立或維持現有內部控制制度(政府內部控制制度設計重點 詳附錄3)。
d.其他經評估得控管內、外部風險之處理對策。
D、移轉:藉由其他團體承擔或分擔部分風險,降低風險對機關 之影響程度(例如購買保險、業務委外等)。
(2)評估並選擇風險對策:評估風險對策之可行性、成本及利益,排 列風險對策之優先順序,並選擇適當之風險對策。
(3)準備處理計畫:針對所選擇之風險對策,訂定權責分工、處理流 程、資源及預算分配、預期績效及階段目標之處理計畫。
(4)執行處理計畫:依據所訂定之處理計畫據以執行。
(5)建立機關殘餘風險圖像:經各內部單位新增風險對策及執行處理 計畫後,現有風險值將可降低,即為其殘餘風險,再據以重新評 定其風險等級及風險值(如表7,即風險評估及處理彙總表之後半 部分),並與風險判斷基準比較,建立機關殘餘風險圖像(如圖15)。
表7、風險評估及處理彙總表-殘餘風險等級及風險值(示例)
圖15、機關殘餘風險圖像(示例)
(五)監督及檢討
1、目的:為監督風險管理(含內部控制)過程進行狀況,並不斷檢討改 進。
2、作法:各機關為因應環境、政策、業務或法令規定等變化,應於年 度中即時檢討風險項目,以監督風險變化情形,並檢討風險管理(含 內部控制)機制流程,以合理確保風險管理(含內部控制)持續有效運 作。
(1)自主監督
A、各內部單位隨時監督風險環境之變化,留意新風險之出現。
B、各內部單位隨時監督已辨識之風險及提出必要之警示。
C、各內部單位檢討風險對策之有效性及風險處理步驟之正確性。
D、研考單位檢討專案小組之運作情形。
E、各內部單位依據「政府內部控制監督作業要點」規定辦理內 部控制監督作業。
(2)外部監督
A、接受上級機關逐級督導。
B、接受管考機關例外管理。
C、配合機關施政績效評估作業,驗證機關風險管理之有效性。
D、透過機關資訊公開,由全民監督機關風險管理情形。
(六)傳遞資訊、溝通及諮詢
對策,且資訊能於機關內、外部間有效傳遞,以落實風險管理(含內 部控制)職責,並提升外界對機關之信任。
2、作法:
(1)研考單位應建立風險管理(含內部控制)資訊分享平臺,蒐集、編 製及使用機關內、外部有關風險管理(含內部控制)之最新資訊,
以支持機關風險管理(含內部控制)之持續運作。
(2)機關風險管理人員對外溝通原則:
A、掌握溝通目的及底線。
B、瞭解溝通對象,慎訂溝通策略。
C、善用多元溝通管道。
D、儘早、主動溝通。
E、溝通態度真誠、坦白及公開。
F、傾聽民眾關切之重點。
G、滿足媒體之需要。
(3)機關全體人員對內溝通原則:
A、上對下需為風險政策之宣達。
B、下對上需為風險發現之報告。
C、單位之間需分享風險管理之經驗。
(4)機關全體人員為順利進行風險管理作業,除接受教育訓練,建構 及補強風險管理知能外,必要時,得請國發會或各機關專案小 組,提供風險管理相關諮詢、服務及輔導。
【產出】
各機關應於每年(D年)2月28日前,檢討前一年度(D-1年)風險管理執 行情形,並依據以上6項重點步驟進行機關整合性風險管理(含內部控制) 作業後,綜整相關文件,據以建立風險評估及處理彙總表與機關風險圖 像[即基本之1表1圖,建議將機關現有及殘餘風險圖像(即2圖)同時呈 現,首長較易瞭解;如首長仍不易瞭解1表1圖或1表2圖,建議參酌附錄 4之完整案例,建立機關年度風險管理(含內部控制)作業計畫書],並提 報專案小組(或專案會議)審議及陳報機關首長核定後,函知所屬機關 (構)、學校據以執行當年度(D年)機關風險管理(含內部控制)作業。
各機關於當年度(D年)中發現新風險者,應即時修正前述風險評估 及處理彙總表與機關風險圖像,並陳報該機關首長核定。
另外,各主管機關應於前一年度(D-1年)施政績效報告中填報整體 風險管理(含內部控制)推動情形,揭露所屬機關內部控制聲明書簽署情 形等資訊,其中涉及前一年度施政目標之重要風險處理結果,亦應納入 該報告中;並於當年(D年)3月底前經機關首長核定後,對外公開,以利 外界監督(如表8、案例如附錄5)。
表8、施政績效報告呈現「整體風險管理(含內部控制)推動情形」(示例) 施政績效報告
參、整體風險管理(含內部控制)推動情形
本部(會、行、院、總處、署)及所屬各機關已依「行政院及所屬各 機關風險管理及危機處理作業原則」,將風險管理(含內部控制)融入日 常作業與決策運作,考量可能影響目標達成之風險,據以擇選合宜可行 之策略及設定機關之目標(含關鍵策略目標),並透過辨識及評估風險,
採取內部控制或其他處理機制,以合理確保達成施政目標。至簽署內部 控制聲明書情形,包括「有效」類型○個機關、「部分有效」類型○個 機關及「少部分有效」類型○個機關。
於 年 度 中 , 涉 及 年 度 施 政 目 標 「 ○○○○○ 」 之 風 險 項 目
「 A1:○○○○○ 」 確 有 發 生 , 經 採 行 預 先 準 備 之 風 險 對 策
「○○○○○」,妥善予以處理,實質有效減少該風險對本部(會、行、
院、總處、署)之負面影響。
註:類如國立大學校院簽署內部控制聲明書期限為6月底前,較施政績效 報告公告時間為晚,如為符合作業時程,則上述加註底線部分文字可 省略。
二、中長程個案計畫風險管理
【步驟】
「行政院所屬各機關中長程個案計畫編審要點」第5點於107年10 月修正時規定,中長程個案計畫內容,除法令另有規定外,應包括下列 事項:
(一)計畫緣起。
(二)計畫目標:應具體說明,並盡量以產出型或成果效益型指標為原則。
(三)現行相關政策及方案之檢討。
(四)執行策略及方法:
1、主要工作項目。
2、分期(年)執行策略。
3、執行步驟(方法)及分工。
(五)期程與資源需求:
1、計畫期程。
2、經費來源及計算基準。
3、經費需求(含分年經費)及與中程歲出概算額度配合情形。
(六)預期效果及影響。
(七)財務計畫。
(八)附則:
1、風險管理。
2、相關機關配合事項或民眾參與情形。
3、中長程個案計畫自評檢核表及性別影響評估檢視表。
4、其他有關事項。
依據前述編審要點規定,各機關提報或修正之中長程個案計畫,其 內容應包括「風險管理」作業。
另為避免中長程個案計畫研擬人員陷入「當局者迷」之困境,建議 不宜直接進行風險管理作業,可責由具有計畫相關業務經驗之同部門不 同單位人員或同單位另一組人員(以下簡稱計畫風險管理人員),以「旁 觀者清」角度,進行計畫風險管理作業,協助辨識出計畫潛在風險,方 不致落入計畫研擬人員與計畫風險管理人員相同可能產生「自我感覺良 好」之陷阱。
為完成中長程個案計畫風險管理作業,計畫風險管理人員必須踐行 以下各項重點步驟:
(一)建立背景資料
1、目的:為提供計畫風險管理所需之基礎資料,並確定所涵蓋範圍。
2、作法:
(1)確定計畫目標、期程及經費:依據所擬訂之中長程個案計畫內 容,計畫風險管理人員確定計畫目標、計畫期程及經費需求(含 分年經費)。
(2)界定外部因素:計畫風險管理人員審視計畫與周圍環境間之關 係,包括政治、社會、經濟、科技、自然環境等對計畫之影響,
發掘計畫之機會及威脅。
(3)界定內部因素:計畫風險管理人員審視計畫之現行相關政策及方 案、執行策略及方法、期程與資源需求、預期效果及影響、財務 計畫,以及各類利害關係人之意向變動。
(4)建立計畫風險類別代碼
為便利計畫風險管理人員於後續步驟中簡易呈現所發掘之 計畫風險項目,宜建立計畫風險類別代碼表(如表9)備用。
表9、計畫風險類別代碼表(示例) 代碼 計畫風險類別
A 行政作業 B 規劃設計 C 土地取得 D 拆遷補償 E 招標訂約 F 施工履約 G 驗收作業 H 情事變更 I 人力需求 J 預算編列 K 法令規章 L 天然因素
(二)辨識風險
辨識風險係關鍵步驟,若於辨識過程中產生錯誤,將導致重要之 高度風險未被正確辨識。計畫風險管理人員可運用系統化程序進行廣 泛搜尋,搜尋應包括所有風險,不論該風險是否已於計畫控制之下,
藉以避免遺漏任何重大風險。
1、目的:發掘計畫目標、期程及經費可能面臨之各項風險及其如何發 生。
2、作法:
(1)選擇辨識方法,以發掘風險。
常用辨識方法包括歷史資料分析、核對風險清單或查核表 (Checklist,例如附錄6)、SWOT分析、運用經驗及紀錄判斷、
流程表、系統分析、順序分析、腦力激盪、問卷調查、情境模 擬…等,分述如下:
A、歷史資料分析:潛在風險必須依賴可靠資料加以辨識。執行 風險辨識時,應先從計畫之歷史資料著手,並廣泛與利害關 係人討論過去、當前與未來可能衍生之問題。
B、核對風險清單或查核表:依據清單或表格逐項討論,雖議題 易於聚焦,分析過程亦簡單,無需太多經驗,惟分析品質完 全取決於所使用之清單或表格是否完善,或有掛一漏萬之問 題,一般僅作為參考工具。
C、SWOT(優勢、弱勢、機會、威脅)分析:風險來自於內在之弱 勢與外在之威脅,以及新機會可能帶來之新風險。
D、運用經驗及紀錄判斷:較為領域專家所應用,適用於具有顧 問協助引導、評估與分析之計畫。
E、流程表、系統分析、順序分析:係針對工作流程順序之每一 步驟或系統之每一單元之所有可能錯誤、異常或故障進行分 析,較適用於業務執行單位使用,政策執行單位較不適用。
F、腦力激盪:透過資深及業務熟稔之同仁集體思考及討論,集 思廣益,辨識出潛在風險。
G、問卷調查:以開放式問卷調查計畫相關人員,經由不同領域、
層級之發現,亦可發掘潛在風險。
H、情境模擬:以其他計畫或同性質計畫曾發生之危機情境,想 像其發生於本計畫之可能性。
(2)聚焦於新訂或已變動之目標、期程及經費。
「變」與「不確定」最易造成風險,若未能妥善管理,即 可能帶來危機與災難。新訂目標、期程及經費因無前例可循,
不確定因素較高,而已變動目標、期程及經費則變數較大,均 可能潛藏風險,必須加強辨識。
(3)列出各項風險發生之原因及影響範圍。
計畫風險管理人員辨識出各項潛在影響計畫目標、期程及 經費達成之風險項目,以精簡文字表達,並依據計畫風險類別 代碼予以編號,同時簡述風險發生之可能情境(包括原因與影響 範圍)、現有風險對策及可能影響層面(例如目標、期程或經費)。
(4)綜整所發掘之各項風險(予以文件化)。
計畫風險管理人員所辨識之各項風險,依風險項目(含代碼 編號)、風險情境、現有風險對策及可能影響層面,綜整建立計 畫風險項目一覽表(如表10,即計畫風險評估及處理彙總表之前 半部),予以文件化,以利後續作業。
表10、計畫風險項目一覽表(示例)
(三)評估風險
1、目的:針對辨識出之各項風險,篩選出重要風險(建議採「80/20法 則」)。
2.作法:細分為「分析風險」及「評量風險」兩步驟。
(1)分析風險
A、由計畫風險管理人員討論建立「計畫風險可能性評量標準表」
(如表11)及「計畫風險影響程度評量標準表」(如表12),其常 用方法如下:
a.定量分析:以實際數據描述發生可能性與影響程度。
b.定性分析:以文字敘述分類等級描述發生可能性與影響程度。
c.半定量分析:以實際數據表示定性分析等級,目的係便於計 算,決定一個比定性分析更精確之優先順序。
d.綜合上述3種方法之分析。
於分析風險過程中,必須針對已完成辨識之潛在影響計畫 目標、期程及經費達成之風險項目,分析其前因後果,然後建 立其風險評量標準,一般「三分法」係最基本方式。
表11、計畫風險可能性評量標準表(示例)
註:依據中長程個案計畫擬訂或修正期程,調整風險發生之 可能年限。例如於106年底前擬訂原始計畫期程為107年 1月至110年12月,則以4年內為評量年限;如於108年底 前擬訂修正計畫期程為107年1月至111年12月,因期程 剩餘3年,其評量年限應改為3年內。
表12、計畫風險影響程度評量標準表(示例)
註:依據中長程個案計畫如期、如質、如度達成之影響層面,
調整適合之評量標準;亦可增列其他合適之影響層面。
由計畫風險管理人員就所辨識之各項風險,依據前述2種評 量標準表及其現有風險對策,分析各項風險發生之可能性及影 響程度,邀集計畫相關人員共同討論,客觀評定計畫現有風險 等級及風險值(如表13)。
中長程個案計畫之風險同時適用目標、期程或經費等影響 層面時,應以較高風險等級評定之。
表13、評定計畫現有風險等級及風險值一覽表(示例)
(2)評量風險
由計畫風險管理人員依據前述2種評量標準表,討論建立計 畫風險判斷基準及其風險容忍度(如圖16)。
計畫風險容忍度係指可以忍受計畫期程、目標及經費無法 達成之限度,超過此限度之風險,計畫主辦單位均應予以處理。
圖16、計畫風險判斷基準及其風險容忍度示意圖
由計畫風險管理人員綜整所辨識各項風險之現有風險等級 及風險值,與計畫風險判斷基準比較(如圖17),建立計畫現有風 險圖像(如圖18),篩選出重要風險。
圖17、計畫風險等級與風險圖像對應示意圖
圖18、計畫現有風險圖像(示例)
(四)處理風險
1、目的:減少風險對計畫之負面影響。
2、作法:可採單一或多重風險對策,其作法(如圖19)如下:
(1)列出可行之風險對策:
A、接受:風險低,在可容忍範圍內,予以容忍,得不做處理。
B、規避:風險在可容忍範圍外,處理成本高於利益時,採取不
圖19、計畫風險處理流程圖
C、抑減:依據風險評估結果,研議及採取適當內部控制或其他 機制,降低風險發生之可能性及影響程度,將風險控制在可 容忍範圍內。
D、移轉:藉由其他團體承擔或分擔部分風險,降低風險對機關 之影響程度。
(2)評估並選擇風險對策:評估風險對策之可行性、成本及利益,排 列風險對策之優先順序,並選擇適當之風險對策。
(3)準備處理計畫:針對所選擇之風險對策,訂定權責分工、處理流 程、資源及預算分配、預期績效及階段目標之處理計畫。
(4)執行處理計畫:依據所訂定之處理計畫據以執行。
(5)建立計畫殘餘風險圖像:經計畫風險管理人員新增風險對策及執 行處理計畫後,現有風險值將可降低,即為其殘餘風險,再據以 重新評定其風險等級及風險值(如表14),並與風險判斷基準比 較,建立計畫殘餘風險圖像(如圖20)。
表14、評定計畫殘餘風險等級及風險值一覽表(示例)
圖20、計畫殘餘風險圖像(示例)
(五)監督及檢討
1、目的:為監督風險管理過程進行狀況,並不斷檢討改進。
2、作法:
(1)自主監督
A、成立計畫風險管理小組,指派計畫主辦單位副首長擔任召集 人,定期召開小組會議進行檢討,如有危機狀況則適時召開。
B、計畫執行人員隨時監督風險環境之變化,留意新風險之出現。
C、計畫執行人員隨時監督已辨識之風險及提出必要之警示。
D、計畫執行人員檢討風險對策之有效性及風險處理步驟之正確
(2)外部監督
A、配合計畫三級管制,接受上級機關逐級督導。
B、接受管考機關例外管理(例如計畫實地查證或機動性查證、預 警機制)。
C、配合計畫評核作業,驗證計畫風險管理之有效性。
D、透過計畫資訊公開,由全民監督計畫風險管理情形。
(六)傳遞資訊、溝通及諮詢
1、目的:為確保計畫研擬人員、計畫風險管理人員、計畫執行人員及 利害關係人均能瞭解計畫風險與支持風險對策,且計畫資訊能於機 關內、外部間有效傳遞,以落實計畫風險管理職責,並提升外界對 計畫之信任。
2、作法:
(1)計畫執行人員應建立計畫資訊分享平臺,蒐集、編製及使用機關 內、外部有關計畫之最新資訊,以支持計畫風險管理之持續運作。
(2)計畫執行人員對外溝通原則:
A、掌握溝通目的及底線。
B、瞭解溝通對象,慎訂溝通策略。
C、善用多元溝通管道。
D、儘早、主動溝通。
E、溝通態度真誠、坦白及公開。
F、傾聽民眾關切之重點。
G、滿足媒體之需要。
(3)計畫相關人員對內溝通原則:
A、上對下需為風險政策之宣達。
B、下對上需為風險發現之報告。
C、單位之間需分享風險管理之經驗。
(4)計畫相關人員為順利進行計畫風險管理作業,除接受教育訓練,
建構及補強風險管理知能外,必要時,得請國發會或各機關專案 小組,提供計畫風險管理相關諮詢、服務及輔導。
【產出】
各機關於提報或修正中長程個案計畫時,應依據以上6項重點步驟 進行中長程個案計畫風險管理作業,並綜整相關文件後,納入中長程個 案計畫內容之(八)附則中。
中長程個案計畫風險管理作業完成後,是否提報專案小組(或專案 會議)審議通過後再報請核定,由各機關自行決定。
「公共建設類」及「社會發展類」中長程個案計畫風險管理之案例 如附錄7、8,「科技發展類」中長程個案計畫風險管理參照辦理。
肆、危機處理觀念架構
危機處理之前身為風險管理,當風險管理過程中所辨識出或未及辨識 之風險,因故失控而導致風險情境發生時,將迫使組織(機關)即刻進入危機 處理程序。危機處理之基本定義及架構如下:
一、危機處理之基本定義
(一)危機(Crisis):發生使組織(機關)陷入爭議之事件,威脅到組織(機關) 重大價值,於處理時具有時間壓力,迫使決策者必須做出決策,該決 策並可能有重大影響。
(二)危機處理(Crisis Management):危機事件發生後,對危機情境維持一 種持續性、動態性之監控及管理過程,以降低對組織(機關)之傷害。
其重要觀念包括:
1、危機事件發生已不可避免,惟其影響程度是可以減少的。
2、危機處理不好,會對組織(機關)將造成更大損失;危機處理得好,
可變成轉機。
二、危機處理之架構
危機處理應與風險管理架構相互結合,對於經過風險處理後仍高 於可容忍程度之風險,應預先規劃危機之預防、應變、復原等各階段 因應措施。危機處理架構可分為潛伏期、爆發期、處置期及善後期等 四大階段(如圖21),析述如下:
(一)潛伏期
危機發生前,著重於良善之風險管理與預防,需有危機意識,防 範未然,此階段之關鍵在於提早掌握及預測危機之資訊,包括協調機 制、危機溝通及相關案例之探討,平時應建立組織(機關)內外部即時 通報窗口及機制,善用各種溝通工具,交換最新資訊,掌握最新狀況。
其重點如下:
1、危機調查及預測。
2、危機辨識及認知。
3、建置危機早期預警指標及系統。
圖21、危機處理架構圖
4、建立危機處理小組(組織及職責架構如表15)。
5、調查及整備相關資源。
6、擬訂緊急應變計畫。
7、進行危機處理演練及訓練。
8、持續檢討及改善。
前述緊急應變計畫,應包括危機處理小組、應變策略、公關溝通、
善後處理等標準作業程序,並應力求機動與彈性,以適應特殊緊急事 故,並透過測試與演練,驗證計畫之有效性。
(二)爆發期
危機發生初期,首重臨危不亂,判斷輕重緩急。此階段重點如下:
1、依據緊急應變計畫,啟動危機處理小組。
2、善用靈敏暢通之預警及通報系統,掌握危機發展狀況,儘速確定危 機所在。
3、蒐集資訊、診斷危機、確認控制對策及處理行動。
(三)處置期
針對當前迫切之危機,基於處理時間最短、損失程度最低及動支 資源最少之理念,依據緊急應變計畫之既定步驟,執行有效及確實之
