中 華 大 學 博 士 論 文
題目:風險移轉模式之建構 An approach for Modeling the
Risk Transformation Process
系 所 別 : 科 技 管 理 研 究 所 學 號 姓 名 : D09403003 魏 秋 水 指 導 教 授 : 李 欣 怡 博 士
中華民國九十七年七月
中 華 大 學 博 士 論 文
題目:風險移轉模式之建構 An approach for Modeling the
Risk Transformation Process
系 所 別 : 科 技 管 理 研 究 所 學 號 姓 名 : D09403003 魏 秋 水 指 導 教 授 : 李 欣 怡 博 士
中華民國九十七年七月
授權書
(博碩士論文)
本授權書所授權之論文為本人在中華大學(學院)科技管理研究系所九十六學年度 第二學期取得博士學位之論文。
論文名稱:風險移轉模式之建構
□同意 □不同意
本人具有著作財產權之論文全文資料,授予行政院國家科學委員會科 學技術資料中心、國家圖書館及本人畢業學校圖書館,得不限地域、
時間與次數以微縮、光碟或數位化等各種方式重製後散布發行或上載 網路。
---
□同意 □不同意
本人具有著作財產權之論文全文資料,授予教育部指定送繳之圖書館 及本人畢業學校圖書館,為學術研究之目的以各種方法重製,或為上 述目的再授權他人以各種方法重製,不限地域與時間,惟每人以一份 為限。
上述授權內容均無須訂立讓與及授權契約書。依本授權之發行權為非專屬性 發行權利。依本授權所為之收錄、重製、發行及學術研發利用均為無償。上述同 意與不同意之欄位若未鉤選,本人同意視同授權。
指導教授姓名: 李 欣 怡 博士
研究生簽名: 魏 秋 水 學號:D09403003 (親筆正楷) (務必填寫)
日期:民國 九十七年七月十二日
1.本授權書請以黑筆撰寫並影印裝訂於書名頁之次頁。
2. 授權第一項者,請確認學校是否代收,若無者,請個別再寄論文一本至台北市 106-36 和平東路二段106 號 1702 室 國科會科學技術資料中心 王淑貞。(本授權書諮詢電話:02- 27377746) 。
3. 本授權書於民國 85 年 4 月 10 日送請內政部著作權委員會(現為經濟部智慧財產局)修 正,89.11.21 部份修正定稿。
4. 本案依據教育部國家圖書館 85.4.19 台(85)圖編字第 712 號函辦理。
中 華 大 學 博 士 班 研 究 生
論 文 指 導 教 授 推 薦 書
科技管理研究所博士班魏秋水君所提之論文風
險 移 轉 模 式 之 建 構 ,係由本人指導撰述,同意
提付審查。
指導教授 (簽章)
中華民國九十七年七月
中 華 大 學 博 士 班 研 究 生 論 文 口 試 委 員 會 審 定 書
科技管理研究所博士班魏秋水君所提之論文風
險 移 轉 模 式 之 建 構 ,經本委員會審議,符合博
士資格標準。
論文口試委員會 召集人
(簽章)委 員
(簽章)(簽章)
(簽章)
(簽章)
所 長
(簽章)中華民國九十七年六月六日
謝 辭
三年的研究所生涯,終於告一段落,回首剛到校園時的期待,以及現在收成 的喜悅,這一切都要感謝很多人對我的提攜與幫助。
這一篇論文能夠順利完成,首先要感謝恩師 李欣怡教授,有恩師辛勞叮嚀 論文進度,在遇到瓶頸時,恩師的適時指導跟協助,論文才能夠順利如期的完 成,謝謝老師指導我們投稿方面的問題,讓本論文可以順利對外發表。
也要感謝所長 李友錚教授對本論文的協助指導,讓本論文對外發表順利被 接受。李老師是我多門科目的授課老師,在李老師的課堂上,學習了很多實務上 的觀念,這對我的論文題目以及論文後來的方向有很大的影響。
接下來要感謝清華大學 蘇朝墩教授、中華大學 許良僑教授以及元培科技 大學 張威國教授撥冗審閱論文,並在口試時對學生的細心指導,讓我發現本論 文可以更深入探討的地方,使本論文內容更加周延。
更感謝五弟在本人求學過程中所提供全方位的諮詢協助,以及兄長、弟妹們 的時時關懷,都是我努力向前的動力。
感謝南亞公司主管的鼓勵支持,讓本人有源源不絕的能量克服困難,以及南 亞同事們的隆高情誼在此一併致謝。
最後要感謝辛苦承擔家中事務,包容、支持我專心完成學業的良妻,以及失 去甚多假日出遊機會的孩子們。
論文完成,我要將這份喜悅與曾經協助、鼓勵、支持、幫助過我的所有人分 享,謝謝大家。
謹以此文獻給摯愛的雙親。
魏秋水謹誌於
中華大學科技管理研究所 中華民國九十七年七月
摘 要
任 何 決 策 者 都 會 遇 到 的 共 同 關 鍵 問 題 是 ; 決 策 的 制 定 和 行 動 的 過 程 都 會 潛 藏 著 許 多 未 知 的 風 險 , 它 們 可 能 是 來 自 於 未 來 的 不 確 定 性 , 競 爭 對 手 的 捉 摸 不 定 , 問 題 的 突 變 和 演 化 , 或 是 決 策 者 無 法 掌 握 環 境 的 變 化 。 時 常 被 採 用 的 風 險 因 應 對 策 , 包 括 制 定 品 質 比 較 好 的 計 劃 、 進 行 嚴 格 的 訓 練 或 是 指 派 最 優 秀 的 人 員 , 這 些 做 法 或 許 可 以 降 低 風 險 發 生 的 機 率 , 但 是 因 為 無 法 羅 列 出 所 有 未 來 可 能 的 風 險 事 件 , 因 此 決 策 者 仍 舊 無 法 消 除 所 有 的 負 面 影 響 因 素 。 另 外 一 個 應 付 風 險 的 常 用 做 法 , 是 設 計 一 套 嚴 密 的 風 險 管 理 標 準 流 程 , 來 規 範 風 險 管 理 人 員 的 思 維 模 式 、 管 理 機 制 和 處 理 順 序 , 通 常 包 括 風 險 的 辨 識 、 風 險 的 分 析 、 風 險 的 因 應 、 風 險 的 監 督 和 風 險 的 控 制 。 這 些 風 險 管 理 的 標 準 流 程 雖 然 可 以 讓 組 織 的 風 險 管 理 制 度 化 , 但 是 還 是 無 法 瞭 解 風 險 對 組 織 的 整 體 性 連 鎖 效 應 , 也 就 是 風 險 如 何 在 組 織 內 部 擴 散 和 傳 遞 。 截 至 目 前 的 研 究 很 少 注 意 到 風 險 如 何 隨 著 時 間 的 變 化 , 在 組 織 內 部 的 有 形 空 間 和 無 形 領 域 之 間 的 互 相 移 轉 現 象 , 也 因 為 缺 乏 對 風 險 病 理 的 完 整 掌 握 、 因 此 組 織 無 法 提 出 一 個 有 效 、 完 整 和 全 面 的 風 險 治 理 方 式 。 為 了 填 補 這 個 空 缺 , 本 論 文 試 圖 發 展 一 套 可 以 預 測 風 險 移 轉 的 評 估 模 式 , 協 助 組織和企業降低風險對達成目標的危害。
關鍵字: 決策、風險、風險移轉
ii
Abstract
One of the most critical and common issues that every decision maker needs to face is the potential hidden risks in association with the decisions to be finalized and the actions to be taken. It may be due to the future uncertainties involved, the unpredictable competitors’ strategies, the mutation and evolution of problems and the decision maker’s inability of adapting himself to the changing environments. Formulating better plan, performing strict training and finding best personnel to execute the plan may potentially reduce the possibility of risks occurrence, however, it is still not possible for the decision makers to eliminate all risks that will potentially affect the outcome of the decision, because an exhaustive list of risk events is difficult to obtain. Additionally, developing a standardized risk management system, including risk identification, risk analysis, risk response planning, risk monitoring and risk control, may be able to regulate organizational risk management processes, nevertheless, predicting the chain reaction of risks within organization is still not feasible. Previous researches seldom focused on the risk transformation phenomenon, and therefore cannot provide a complete and overall exploration and control of risks. The objective of this study is to develop a model that can predict the transformation of the risks that may be exhibited during the formulation of a decision and the execution of an operation.
Keywords: decision, risk, risk transformation.
目 次
摘要……… i
Abstract……… ii
目次……… iii
表次……… v
圖次……… vii
第一章 緒 論 … … … 1
第一節 問 題 陳 述 … … … 1
第二節 研 究 目 的 … … … 2
第三節 研 究 方 法 … … … 2
第四節 研 究 範 圍 … … … 3
第五節 研 究 限 制 … … … 3
第六節 論 文 架 構 … … … 3
第二章 文 獻 探 討 … … … 4
第一節 風 險 研 究 現 況 … … … 4
第二節 風 險 定 義 … … … 8
第三節 風 險 管 理 定 義 … … … 13
第四節 風 險 管 理 流 程 … … … 14
第三章 模 式 建 立 … … … 55
第一節 問 題 說 明 … … … 55
第二節 演 算 法 … … … 58
第四章 案 例 驗 證 … … … 63
iv
第一節 案 例 說 明 … … … 63
第二節 案 例 模 擬 … … … 63
第三節 敏 感 度 分 析 … … … 69
第四節 綜 合 討 論 … … … 69
第五章 結 論 … … … 73
參考文獻 … … … 75
表 次
表 1 風險發生機率評估方式 ……… 15
表 2 風險衝擊評估方式 ……… 15
表 3 風險機率/衝擊等級和管理行動……… 17
表 4 風險分析的方法 ……… 19
表 5 威脅來源、動機和行動 ……… 21
表 6 機率等級定義 ……… 22
表 7 衝擊大小定義 ……… 22
表 8 風險等級矩陣 ……… 22
表 9 風險等級說明 ……… 22
表 10 降低風險的方法……… 23
表 11 風險機率等級……… 24
表 12 風險衝擊等級……… 24
表 13 風險管理矩陣……… 25
表 14 風險矩陣……… 31
表 15 風險評估表……… 31
表 16 風險描述……… 33
表 17 風險威脅/機會機率 ……… 33
表 18 風險後果範例……… 33
表 19 風險群組……… 36
表 20 風險衝擊等級……… 47
表 21 風險發生機率等級……… 47
vi
表 22 風險綜合等級……… 47
表 23 風險策略執行等級衡量……… 50
表 24 方塊 14 和其他方塊的相似係數 ……… 64
表25 風險抵抗係數 rj和強度係數 sj ……… 64
表26 方塊 14 和其他方塊的風險流動量 R1 4 j ……… 65
表 27 風險移轉後方塊 14 和方塊 22 的風險程度值……… 65
表28 風險移轉後所有方塊的風險程度值 ……… 65
表 29 風險移轉過程……… 68
表 30 不同距離 d 下之敏感度分析……… 70
表 31 不同來源風險值 Ri下之敏感度分析……… 70
圖 次
圖 1 本論文研究流程 ……… 2
圖 2 英國副首相辦公室風險管理流程 ……… 15
圖 3 加拿大風險管理流程 ……… 16
圖 4 澳洲新南威爾斯風險管理流 ……… 18
圖 5 風險排序矩陣 ……… 19
圖 6 美國商業部和標準局資訊系統風險管理流程 ……… 21
圖 7 英國 Walsh 州政府風險管理流程 ……… 23
圖 8 美國石油學會風險管理流程 ……… 27
圖 9 管路危害的過程 ……… 28
圖 10 國際標準組織風險管理流程……… 28
圖 11 澳洲國家標準局風險管理流程……… 30
圖 12 英國保險和風險經理人協會風險管理流程……… 34
圖 13 英國財務服務權威風險管理流程……… 35
圖 14 氣候變化和風險的關係……… 37
圖 15 澳洲氣候變化風險管理架構……… 38
圖 16 加拿大標準協會風險管理決策流程……… 39
圖 17 OCTAVE 執行階段……… 40
圖 18 卡耐基美隆大學資訊安全風險管理架構……… 41
圖 19 IEEE 風險管理架構圖 ……… 42
圖 20 美國 COSO 委員會企業風險管理整合架構 ……… 43
圖 21 資訊安全的關連圖……… 45
viii
圖 22 澳洲新南威爾斯商業部資訊安全風險管理指引……… 46
圖 23 台灣專案管理學會專案風險管理架構圖……… 48
圖 24 英國財政部風險管理架構……… 50
圖 25 英國政府國家風險評估架構圖……… 51
圖 26 英國政府公眾風險評估流程圖……… 53
圖27 IBM 風險管理流程示意圖……… 54
圖 28 風險移轉的類別……… 56
圖 29 風險操作情境……… 58
圖 30 抵抗係數 rj……… 59
圖 31 強度係數 sj……… 59
圖 32 兩個方塊的距離……… 60
圖 33 風險移轉後方塊 i 和方塊 j 的風險變化 ……… 61
圖 34 模擬案例操作情境……… 63
圖 35 風險移轉過程……… 67
第一章 緒論 第一節 問題陳述
隱 含 在 決 策 當 中 的 風 險 是 影 響 組 織 運 作 成 敗 的 最 大 關 鍵 因 素 , 它 可 能 是 潛 藏 因 而 不 容 易 被 發 現 , 或 是 顯 而 易 見 但 是 卻 被 忽 略 , 不 管 是 哪 一 種 情 況 都 會 帶 來 風 險 , 嚴 重 的 時 候 , 甚 至 會 形 成 組 織 的 災 難 。 風 險 在 不 同 的 產 業 有 不 同 的 名 稱 , 例 如 企 業 經 營 的 風 險 , 個 人 的 財 務 風 險 , 保 險 業 的 人 身 安 全 風 險 , 銀 行 的 作 業 風 險 、 公 司 的 投 資 風 險 , 國 家 的 政 治 風 險 , 地 區 的 戰 爭 風 險 等 等 。 風 險 可 能 會 由 以 下 幾 種 因 素 所 引 起 , 包 括 自 然 力 量 、 決 策 錯 誤 、 兩 方 誤 解 、 或 是 不 好 的 規 劃 、 執 行 、 和 管 制 能 力 。 而 引 起 風 險 的 所 有 原 因 可 以 概 略 分 為 兩 大 種 類 :( 1 ) 可 控 制 因 素 (controllable factors)和 (2)不可控制因素(uncontrollable factors)。如果組織可 以 減 少 可 控 制 因 素 的 影 響 , 那 麼 風 險 發 生 的 機 率 就 會 被 大 大 的 降 低 , 相 對 的 , 如 果 可 以 預 測 到 不 可 控 制 因 素 , 那 麼 也 可 以 事 先 制 定 預 防 措 施 , 風 險 的 危 害 當 然 也 就 可 以 有 效 的 避 免 。 但 是 , 很 不 幸 的 是 , 影 響 組 織 成 功 的 風 險 通 常 都 很 難 發 現 , 而 發 現 會 影 響 決 策 失 效 的 風 險 因 素 時 , 卻 又 時 常 被 忽 略 。 也 就 是 說 , 人 類 的 行 為 傾 向 是 製 造 風 險 而 不 是 避 免 風 險 , 是 忽 略 風 險 而 不 是 發 現 風 險 。 如 果 風 險 沒 有 被 有 效 因 應 , 很 可 能 會 衝 擊 到 組 織 的 很 多 層 面 , 包 括 :( 1 ) 人 的 衝 擊 , 例 如 : 股 東 權 益 ; ( 2 ) 環 境 衝 擊,例如:生態汙染;(3)外界信心,例如:企業形象;(4)法律訴訟,例 如 : 合 約 責 任 甚 至 賠 償 ;( 5 ) 政 治 考 量 , 例 如 : 人 民 抗 爭 ; ( 6 ) 營 運 中 斷 , 例 如 : 資 訊 系 統 停 擺 , 材 料 或 設 備 無 法 輕 易 取 代 等 。 有 關 風 險 的 研 究 多 數 是 集 中 在 分 析 風 險 發 生 的 機 率 , 風 險 事 件 的 排 序 , 然 後 分 配 資 源 予 以 降 低 、 避 免 或 將 風 險 轉 稼 給 保 險 公 司 。 使 用 的 方 法 有 蒙 地 卡 羅 分 析 (Monte-Carlo simulation)、決策樹分析(decision tree analysis)、失誤樹分析 (fault tree analysis)、失效模式與效應分析(failure mode and effects analysis)等 等 。 這 些 方 法 可 以 找 出 風 險 損 失 值 的 大 小 , 進 而 選 擇 最 佳 的 決 策 , 但 是 並 沒 有 考 慮 到 風 險 在 時 間 和 空 間 上 的 移 轉 現 象 , 因 此 引 發 本 論 文 的 研 究 動 機 , 希 望 發 展 一 套 可 以 事 先 預 測 風 險 如 何 在 組 織 內 部 移 轉 的 評 估 模
式,做為產業評估風險、預測風險和因應風險的參考。
第二節 研究目的
本 研 究 的 主 要 目 的 是 希 望 發 展 一 套 可 以 預 測 和 描 述 風 險 移 轉 的 模 式 , 來 說 明 和 瞭 解 風 險 如 何 在 組 織 內 、 外 部 , 持 續 變 化 和 破 壞 傳 遞 的 過 程 , 希 望 藉 由 模 式 來 探 討 決 策 系 統 如 何 被 風 險 事 件 依 序 的 感 染 和 影 響 。 有 了 這 樣 的 評 估 預 測 模 式 , 組 織 或 企 業 就 可 以 瞭 解 風 險 的 可 能 性 變 化 , 事先採取因應的措施,以降低風險對組織目標達成的危害。
第三節 研究方法
本 研 究 採 用 模 式 建 構 ( modeling) 的 方 法 來 建 立 風 險 移 轉 的 預 測 模 式 , 首 先 確 立 研 究 動 機 和 目 的 , 接 著 規 劃 研 究 範 圍 和 研 究 方 法 , 然 後 進 行 文 獻 探 討 , 收 集 和 風 險 、 風 險 管 理 以 及 風 險 管 理 流 程 有 關 的 文 獻 , 經 由 歸 納 整 理 , 推 導 出 風 險 移 轉 的 評 估 模 式 。 然 後 再 以 虛 擬 案 例 進 行 模 式 的驗證,最後提出本研究的結論和建議,圖 1 為本研究的研究流程。
圖 1 本論文研究流程
研究動機與目的
文獻探討 研究範圍與方法
風險
案例驗證
結論與建議 模式建立
風險管理流程 風險管理
第四節 研究範圍
本 研 究 以 各 種 組 織 的 風 險 管 理 為 主 要 研 究 範 圍 , 包 括 政 府 及 企 業 , 不 僅 涵 蓋 組 織 實 體 的 運 作 , 也 包 括 企 業 無 形 風 險 的 移 轉 過 程 。 具 體 來 說 , 只 要 可 以 架 構 成 為 本 研 究 所 提 模 式 的 有 形 風 險 和 無 形 風 險 , 都 是 本 研究所探討的範圍。
第五節 研究限制
本 研 究 因 為 時 間 的 限 制 , 無 法 進 行 風 險 移 轉 模 式 的 實 際 驗 證 , 僅 能以案例驗證的方式,探討模式的合理性及實用性。
第六節 論文架構
本 論 文 總 共 分 成 五 章 , 第 一 章 緒 論 主 要 說 明 本 論 文 的 研 究 背 景 , 研 究 動 機 、 研 究 方 法 、 研 究 範 圍 和 研 究 限 制 。 第 二 章 文 獻 探 討 主 要 從 三 個 方 向 探 討 和 本 論 文 主 題 有 關 的 研 究 現 況 , 包 括 風 險 、 風 險 管 理 、 風 險 管 理 流 程 等 。 第 三 章 模 式 建 立 提 出 本 論 文 的 風 險 移 轉 評 估 模 式 , 使 用 參 數 包 括 風 險 等 級 、 距 離 、 風 險 抵 抗 係 數 、 組 織 強 度 等 。 第 四 章 案 例 驗 證 利 用 二 個 虛 擬 的 風 險 案 例 , 進 行 本 研 究 所 提 模 式 的 合 理 性 測 試 。 最 後 是 本 研 究 的 第 五 章 結 論 , 主 要 歸 納 本 研 究 的 貢 獻 並 且 說 明 未 來 可 能 的 研 究 方 向。
第二章 文獻探討
決 策 或 行 動 的 成 功 關 鍵 是 組 織 預 測 未 來 不 確 定 性 的 能 力 , 因 為 這 些 不 確 定 性 會 嚴 重 影 響 決 策 的 品 質 和 行 動 的 績 效 。 有 關 風 險 的 最 新 研 究 主 要 包 括 市 場 、 財 務 、 政 治 、 醫 療 、 網 路 付 款 、 專 案 管 理 等 等 。 本 章 首 先 綜 合 回 顧 目 前 風 險 研 究 的 現 況 , 接 著 探 討 風 險 及 風 險 管 理 的 定 義 , 最 後 探討風險管理的流程。
第一節 風險研究現況
一、 市場面向的研究
1. Sobehart (2003) 依照消費者過度反應和低度反應的不理性行為,以及 對市場的恐慌現象,提出一個安全價格的動態模式來探討市場的風 險。
2. Gheorghe and Vamanu (1998) 發展了一套整合決策支援系統,稱為 KOVERS, 來協助管理會影響設施和運輸的潛在化學意外事件。
3. Hood and Nawaz (2004) 認為全球化和自由化提供了跨國企業的許多機 會,但是其中也潛藏了無數的風險。
4. 林楚雄等人 (2007) 研究國際股市投資組合間之關聯性以及風險分散 效益的變化,發現在極值報酬下,多數國際股市投資組合之相關性偏 高,唯獨金磚四國的投資組合除外。
5. 周百隆等人 (2007) 探討中國證券市場特別處理制度,發現瀑布羅吉 斯函數估計的正確區別率高於 90 %,可以有效區別危機和正常;馬 可夫吸引鏈對於下市公司停留時程的估算則較準確。
6. 羅治斌(2000) 研究如何預防智慧財產權被盜用、如何預防員工外洩公 司之智慧財產權、以及如何因應侵害他人的智慧財產權等。
7. 黃瓊蓉 (2003) 探討高雄捷運營運期的風險值,利用蒙地卡羅模擬法 分析營運收入的風險值 (value at risk),並提出管理風險因應策略。
二、 財務面向的研究
1. 為了衡量和管制經金融營運風險,Cruz, et al. (1998) 根據極限價值理 論(extreme value theory),發展出一套衡量財務營運風險的量化模式,
以預測類似英國霸菱(Barings)和日本大和(Daiwa)之事件的發生。
2. Mckinnon (2004) 說明社會風險管理(Social Risk Management) 的概念並指 出世界銀行的資金政策的限制。
3. Bone 等人 (2004) 設計了一個實驗來測試在相同財務風險訊息之下,
兩組人是否可以達到相同的決策績效,結果顯示,訊息公平性並非主 要因素。
4. 洪明欽等人 (2006) 分析授信戶的資產組合風險,發現在多重風險區 隔 (multiple risk segment) 下,綜合個體財務風險因子和整體金融風險 因子,可以對整體信用風險進行更精緻的估算。
5. 劉美纓 (2006) 以保守性、準確性和效率性,評估銀行投資組合風險 的模型,包括變異數─共變異數法、歷史模擬法、蒙地卡羅法等,發 現無論從金融監理角度、銀行因應資本管制或內部風險管理立場,都 顯示歷史模擬法為較佳之模型。
6. 李命志等人 (2005) 利用拔靴法處理 GARCH 相關模型配適之殘差,以 估計原油的報酬波動性,發現確實可以改善風險值在資金使用上的效 率,並且維持資料變化時的回溯穩定性。
7. 廖咸興等人 (2004) 建立一個前瞻性經濟狀態資訊隨機模型,僅需企 業財務資訊和產業經濟資訊,就可以進行企業多期的短期信用風險評 估。
8. 李建興 (2003) 探討高科技企業如何管理投資風險,並提出投資策略 的風險管理模型,對相關風險進行鑑別、分析及適當因應。
9. 王冠倫(2004) 研究現金卡風險管理知覺與績效的關係,以及經營策略 和管控準則對風險管理績效的影響。
10. 劉守源 (2005) 評估現金流量對企業經營風險的影響,並以杜邦公式 評價企業的經營績效。
11. 李正文與林麗蘭 (2006) 研究供應商管理和採購風險的關連性,認為 管理機制的建立,對企業技術能力和經營績效有重要的影響。
12. 陳建勝等人 (2004) 研究產險業資本結構與風險對獲利能力的影響 時,發現不考慮風險時,負債比率增加會提高獲利能力,反之則降低 獲利能力。
13. 歐進士等人 (2004) 研究企業盈餘管理和經營風險的關係,實證之後 發現在控制獲利能力、經營規模和轉投資強度,經營風險和盈餘管理 程度呈現正顯著相關。
14. 賴志仁 (1999) 探討金融服務業的風險管理趨勢,以及全球化的影響 和因應之道。
15. 周大慶 (2001) 介紹風險的概念和其在銀行管理上的應用,提供金融 業者執行風險管理時的參考。
16. 方文碩與賴奕豪 (1994) 以單變量及雙變量 GARCH 研究匯率風險對 出口貿易的影響,發現兩者都對出口呈現負面影響,因此認為如果忽 略匯率的穩定性,將會高估政策效果。
17. 張修齊 (2003)指出作業風險的主要評估方法有:(1)基本指標法 (basic indicator approach):以單一指標評估全體風險;(2)標準法 (standardized approach):將銀行業務分為八類,再依類別設定指標,最後按比率提 列;(3)進階衡量法 (advanced measurement approach):以損失記錄為基 礎,分析後做為風險評估的依據。
18. Crouhy and Turnbull (1999) 認為目前通用的方法會得出影響股東權益的 決策,因此提出一個新的方法,稱為 RAROC 來修正現有方法的不 足。
三、 網路付款面向的研究
1. Lynch (2002) 確認出幾個網路匿名匯款的風險,並且提出幾個降低違 法風險的建議。
四、 專案管理面向的研究
1. Laye and Enciso (2001) 研究如何利用一套完整的方法來決定哪個流程可 以或不可以被介入,以確保關鍵流程的連續性(business continuity),並 且提出 7 個關鍵項目,來協助決定什麼時候可以應用流程連續性或其 他的策略。
2. Hulett (2001) 找出幾個影響專案風險管理成熟度的因素,包括組織文 化、資料品質、專業度、標竿學習、風險管理工具和標準。
3. 陳玉波 (2003) 從 IT 專案管理辦公室的角度,提出一個企業專案管理 的風險評估流程,以加速專案管理工作並提高顧客滿意度。
4. 李翰杰 (2006) 探討奈米科技的微粒風險評估,並建立奈米科技的風 險評估流程圖。
五、 避險面向的研究
1. Dekay, et al. (2004) 提出一個決策分析模式(decision-analytic model)來避免 風險性的活動,模式考慮避免風險的成本和效益,風險活動的發生機 率,以及可以改變機率的科學實驗。
2. Xie and Wang (2001) 探討狀況性變數(賺/賠),訊息性變數 (機會/威脅) 以及激勵性因素(成功動機/避險動機)如何影響管理決策的風險威脅概 念和決擇。
3. Progel (1992) 指出牙醫避免訴訟的風險管理方式是反應式的被動而不 是積極性的主動,也就是說,人們通常都是問題發生之後才採取行 動,而不是事先預測問題然後加以避免。
4. 謝美玉 (2002) 針對現匯交易、遠期外匯交易和外匯選擇權交易,進 行風險規避的功能分析,認為外匯選擇權交易最具避險功能,因為匯 率超過預期時,可以放棄,可以控制最大損失,匯率有利時又不必放 棄。
5. 饒瑞萍 (2006) 根據美國材料試驗學會 (ASTM, American Society for Testing and Materials) 的風險基準矯正行動應用於石油洩漏場址之評估 準則 (RBCA, Standard Guide for Risk-Based Corrective Action Applied at Petroleum Release Sites),以敏感度分析評估污染場址的健康風險,並 提出阻絕和整治的建議。
6. 林達榮與林安城 (2004) 以 Freydefont 模型,進行專案融資負債等金融 商品的評價,協助投資人在投資專案融資債券時,進行避險策略或選 擇權策略規劃的參考。
7. 張修齊 (2003) 從新巴塞爾資本協定探討作業風險管理的重要性,認 為銀行產業應該化被動為主動,認識作業風險進一步管理作業風險。
8. 林劭杰 (2003) 研究風險值在金融風險管理上的角色,建議金融機構 應該先修正原有的風險衡量指標或信用評等制度,以確實管理信用風 險。
9. 袁明仁 (2001) 評估大陸台商的授信風險,提出風險評估架構圖、風 險評估流程、評估查檢表以及評估資訊等,做為銀行評估大陸台商時 的參考。
10. 陳逸文 (1998)討論銀行授信的風險環境,包括個案授信和整體授信,
並指出授信風險管理的未來努力方向。
六、 其他面向的研究
1. 許文彥與劉淑芬 (2007) 在研究企業經理人薪酬和經營風險的關係 時,發現經理人薪酬和非系統風險呈現曲線關係,和系統風險之間則 沒有曲線關係。
2. 范秋鳳指出 (2003) 風險值可以從不同的面向探討企業的潛在問題,
提供一個綜合性的觀點,計算某一特定目標區內的預期最大損失。
3. 張修齊 (2003) 認為作業風險不像市場和信用風險那麼明確,因此不 易使用量化方式加以衡量,不過可以採用結合質化與量化評估的作業 風險計分卡,使作業風險的評估更完善,有效落實作業風險管理。
4. 張修齊 (2003) 說明作業風險可以採用四種方法加以處理:(1)規避風 險 (avoid):採用風險規避策略;(2)降低風險 (reduce):採用風險控制 機制等;(3)移轉/沖抵風險 (transfer/mitigate):採用委外或保險等;(4) 承擔風險 (assume):以營運計劃或預防措施加以承擔。
5. Wu (2002) 指出衡量風險損失的量化方式,並不能提供風險決策者足 夠和正確的資訊,因此提出一個左尾估計的風險評估方法(left-tail measures, LTMs)。
第二節 風險定義
不 同 產 業 有 不 同 的 風 險 定 義 , 保 險 業 的 風 險 指 的 可 能 是 保 險 理 賠 的 風 險 管 理 , 醫 療 產 業 的 風 險 可 能 是 醫 療 品 質 的 保 證 , 安 全 專 家 的 風 險 則
是如何降低事故和受傷人數。因此,本節將就目前文獻上對風險的定 義,做最大可能的歸納和整理。
一、 風險的定義
(一) 風險是指無法在預定成本、時程和技 術限制下,達成組織整體目 標 的一種衡量,它包括兩個主要組成:
1. 無法達成目標的機率。
2. 無法達成目標的後果 (Office of Deputy Prime Minister [ODPM], UK, 2004)。
(二) 風險是環繞未來事件和影響的不確定 性,它可以表達成為妨礙組織 達成目標的事件機率和衝擊(Treasury Board of Canada Secretariat [TBCS], 2004)。
(三) 風險是指預期結果無法達成或被取代 ,或是無法預期的事件發生 機 率 , 包 括 未 來 事 件 的 不 確 定 性 , 以及 因 為 知 識 、 資 訊 和 經 驗 有 限 所 帶 來 的 不 確 定 性 ( New South Wales Treasury [NSWT], 2004) 。 (四) 風 險 是 事 件 發 生 正 負 面 影 響 的 發 生 機 率 和 結 果 的 綜 合 衡 量 ( Asscoiation of Insurance and Risk Managers [AIRM], 2002) 。 (五) 風險是指某種狀況下的預期危害,它是機率和衝擊的乘積 (Financial
Service Authority [FSA], 2006)。
(六) 風 險 是 指 會 衝 擊 目 標 達 成 的 某 件 事 情 的 發 生 機 率 ( A u s t r a l i a n D e p a r t m e n t o f E n v i r o n m e n t a n d H e r i t a g e [ A D E H ] , 2 0 0 6 ) 。 (七) 風險是一種由正面機會或負面威脅所 造成的不確定結果,是發生機
率 和 衝 擊 大 小 的 總 合 效 應 ( Canadian Standard Association [CSA], 1997)。
(八) 風險是遭受傷害或損失的機率,產生 負面結果的可能性,或是自然 發生及人為因素,造成負面的衝擊和結果 (Carnegia Mellon University [CMU], 2001)。
(九) 風險是指會妨礙組織創造價值和侵蝕利益的負面事件 (Committee of Sponsoring Organizations of the Treadway Commission [CSOTC], 2004)。
(十) 風險是某件會衝擊到目標的事情的發生機率 (Department of Commerce,
Australia [DC], 1997)。
(十一) 風險是一個會產生衝擊的事件的可能性 ,包括發生後果和發生機 率(Attorney General’s Department, Australia [AGD], 2003)。
(十二) 風 險 必 須 牽 涉 到 : ( 1 ) 造 成 損 失 的 情 況 , ( 2 ) 結 果 發 生 的 不 確 定 性,(3)有關風險的決策。多數風險定義關注前兩項,但是綜合來 說,風險就是遭受傷害和損失的可能性 (Carnegia Mellon University [CMU], 2005)。
(十三) 從國家專案的角度來看,風險是執行者沒有符合或無法滿足法令 規定的因素或行為 (HMRC, UK, 2006)。
(十四) 風險是某個特定事件會發生的可能性 (HM Stationery Office [HMSO], 2005)。
二、 風險的分類
為 了 方 便 比 較 及 清 楚 陳 列 , 本 節 將 幾 個 主 要 國 家 及 國 際 學 會 對 風 險 的分類分別條列如下。
(一) 英國副首相辦公室將風險分成策略風險和專案風險兩大類 (ODPM, UK, 2004),其中專案風險則又分為 8 項,分別列出如下:
1. 技術及作業風險 (technical and operational risks) 2. 政治風險 (political risks)
3. 關係人利益風險 (stakeholder interest risks) 4. 財務風險 (financial risks)
5. 組織管理及人力資源風險 (organizational management/human resourse risks) 6. 法律風險 (legal risks)
7. 採購風險 (procurement risks) 8. 商業風險 (commercial risks)
(二) 加拿大財政委員會將財務風險分為以下 11 種 (TBCS, 2004),其中較 為特別的是詐騙風險、商業中斷風險以及客戶品質風險:
1. 策略政治性風險 (strategic/political risks)
2. 人員安全健康風險 (occupational health, safety and rehabilitation risks) 3. 基礎架構資產風險 (infrastructure and assets risks)
4. 詐騙風險 (fraud risks)
5. 財務投資風險 (finance and treasury investment risks) 6. 資訊系統中斷風險 (information systems interruption risks) 7. 商業中斷風險 (business interruption risks)
8. 專案風險 (project risks) 9. 規範風險 (compliance risks) 10. 法律風險 (legal risks)
11. 客戶品質風險等 (customer quality risks)
(三) 澳洲新南威爾斯財政部將風險分為 13 類 (NSWT, 2004),和加拿大的 財 務 風 險 分 類 比 較 , 其 中 以 環 境 風 險 、 財 務 風 險 和 組 織 風 險 較 為 特 殊:
1. 商業及策略風險 (commercial and strategic risks) 2. 經濟風險 (economic risks)
3. 合約風險 (contractual risks) 4. 財務風險 (financial risks) 5. 環境風險 (environmental risks) 6. 政治風險 (political risks) 7. 社會風險 (social risks) 8. 採購風險 (procurement risks)
9. 建造維修風險 (construction and maintenance risks) 10. 人員風險 (human factors risks)
11. 天然風險 (natural events risks) 12. 組織風險 (organizational risks) 13. 系統風險 (systems risks)
(四) 英國 Walsh 州議會將風險分為 13 種 (WAG, UK, 2006),最為特別的 是,英國 Walsh 州議會把政策風險分成制定風險和執行風險兩種:
1. 透過第三者風險 (delivery through third parties risks) 2. 財務風險 (financial risks)
3. 管理風險 (governance risks)
4. 人力資源風險 (human resources risks) 5. 法律風險 (legal risks)
6. 資訊管理風險 (management of information risks) 7. 作業風險 (operational risks)
8. 政策制定風險 (policy development risks) 9. 政策執行風險(policy implementation risks) 10. 政治及社會風險 (political and soţietal risks) 11. 採購風險 (procurement risks)
12. 專案風險 (project risks)
13. 聲譽及道德風險 (reputational and ethics risks)
(五) 英國保險和風險經理人協會將風險分為 4 大類 (AIRM, 2002),相對 於前面幾種的風險分類,這個學會的風險分類較為簡略,其中有以 危害風險為其他分類所沒有提到的:
1. 財務風險 (finqncial risks) 2. 策略風險 (strategic risks) 3. 作業風險 (operational risks) 4. 危害風險 (hazard rksks)
(六) 英國財務服務權威 (FSA) 將風險分為 3 大類 (FSA, 2006),其中客戶 風險、產品風險和市場風險被歸為同一大類:
1. 環境風險 (environmental risks)
2. 客戶、產品、市場風險 (customers, products and markets risks) 3. 企業流程風險 (business process risks)
(七) 加拿大財政部將風險分為 5 種 (Department of Finance [DF], Canada, 2001),其中以流動風險為其他分類所沒有:
1. 信用風險 (credit risks) 2. 市場風險 (market risks) 3. 流動風險 (liquidity risks) 4. 法律風險 (legal risks) 5. 作業風險 (operational risks)
( 八 ) 最 後 是 英 國 國 家 專 案 管 理 標 準 將 風 險 分 為 3 大 種 類 ( Institute on Governance [IG], 2005),這個分類主要是從專案管理的角度來看待風 險:
1. 策略風險 (strategic risks) 2. 大型專案風險 (program risks) 3. 專案風險 (project risks)
第三節 風險管理定義
風 險 管 理 是 指 控 制 風 險 的 行 動 和 作 法 , 它 包 括 辨 識 風 險 、 評 估 風 波 、 發 展 處 理 方 案 、 監 督 風 險 以 及 記 錄 風 險 ( ODPM, U K , 2004) 。
一、 風險管理的定義
(一) 風險管理是一種系統化的方法,在不確定的情況下,辨識、評估、
瞭解、因應以及溝通風險 (TBCS, 2004)。
(二) 風險管理是指一系列的活動,用以辨識風險,分析後果,以及發展 和 執 行 因 應 措 施 , 以 確 保 達 成 預 期 專 案 目 標 ( N SW T , 2 0 0 4 ) 。 (三) 風險管理是一個完整的管理決策支援流程,它將風險管理的角色和
責任整合到日常的營運作業、工程執行和管理機制 (American Petroleum Institute [API], 1996)。
(四) 風險管理是一種組織文化、流程和架構,用來實現潛在機會,同時 也控制負面影響 (ADEH, 2006)。
(五) 風險管理是一個辨識、評估、判斷、指派負責人、採取行動、監督 和審查的過程 (CSA, 1997)。
(六) 風險管理是一個辨識風險和執行因應計劃的持續過程 (CMU, 2001)。
(七) 風險管理是組織為達成目標,系統化的管理具有風險的所有活動,
以降低風險的發生機率和影響大小。
(八) 企業的風險管理是一個跨組織的流程,用來辨識可能影響組織達成 目標的潛在事件 (CSOTC, 2004)。
(九) 風險管理是一個有效管理機會和威脅的文化、流程和架構 (Australia, 2003)。
由 上 述 說 明 可 以 發 現 , 風 險 管 理 的 具 體 做 法 是 制 定 完 善 的 風 險 管 理 流 程 , 因 此 下 節 將 詳 細 介 紹 目 前 全 世 界 比 較 知 名 的 幾 個 風 險 管 理 流 程 。
第四節 風險管理流程
風險管理的關鍵之一是風險管理流程 (risk management process)的規劃 和 設 計 , 它 是 管 理 風 險 的 執 行 步 驟 和 思 維 順 序 , 也 就 是 溝 通 、 辨 識 、 分 析、評估、處理、監督和審查風波的管理政策、程序和做法 (ADEH, 2006;
DC, 1997)。儘管風險管理的內涵多半大同小異,但是風險管理的流程卻 也 不 盡 相 同 , 展 現 的 方 式 更 是 千 變 萬 化 , 有 的 是 直 線 式 流 程 , 有 的 則 是 圓 環 遞 迴 式 流 程 , 也 有 多 個 以 系 統 的 概 念 來 闡 述 風 險 流 程 。 本 節 將 說 明 幾 個 主 要 國 家 和 組 織 的 風 險 管 理 流 程 , 並 比 較 其 差 異 。
一、 英國副首相辦公室
於 2004 年出版一本風險管理的技術手冊,提出一個五個階段的風險 管理流程架構如圖 2 所示 (ODPM, 2004),各階段的意義詳細說明如下。
(一) 辨識風險
由 風 險 管 理 小 組 負 責 辨 識 風 險 , 使 用 方 法 包 括 腦 力 激 盪 (brainstorming) 以及訪談 (interview)。
(二) 評估風險
由風險負責人 (risk owner) 評估風險發生的機率 (likelihood)和衝擊 (impact) 大小,其中風險發生機率評估方式如表 1 所示,風險衝擊評估方 式如表 2 所示。
(三) 因應風險
將風險區分為接受的風險(accepted risks)、拒絕的風險(rejected risks) 和待處理的風險(risks to be handled),然後制定風險因應計劃來處理待處 理的風險。風險因應計劃包括消除風險(eliminate or avoid risk)、減少風險 (reduce risk)、移轉風險(transfer risk)和接受風險(accept risk)。而風險因應 計劃應該滿足幾個條件:(1)適當(appropriate)、(2)成本低(cost effective)、
(3)可行動(actionable)、(4)可達成(achievable)、(5)有效(effective)、(6)一致 同意(agreed upon)、(7)指派負責人員(allocated)。
圖 2 英國副首相辦公室風險管理流程 資料來源:ODPM, 2004, p. 16
表 1
風險發生機率評估方式
風 險 等 級 評 估 方 式
高 度 風 險 發生機率 > 50 %
中 度 風 險 20 % < 發生機率 < 50 % 低 度 風 險 發生機率 < 20 %
資料來源:ODPM, 2004, p. 19
表 2
風險衝擊評估方式
衝擊等級 低 度 衝 擊 中 度 衝 擊 高 度 衝 擊 時間 延誤 < 3 個月 3 個月 < 延誤 < 6 個月 延誤 > 6 個月 成本 增加 < 10 % 10 % < 增加 < 30 % 增加 > 30 % 績效
範圍/品質 問題很少 一兩個地方有問題 有大問題
資料來源:ODPM, 2004, p. 20
(四) 監督風險:
包括執行、監督、報告及審查風險因應計劃等。
(五) 經驗教訓:
記錄風險管理的正面和負面經驗。
1. 辨識風險
2. 評估風險
3. 因應風險 4. 監督風險
5. 經驗教訓
二、 加拿大財政委員會
加 拿 大 財 政 委 員 會 提 出 一 個 包 含 九 大 步 驟 的 風 險 管 理 流 程 , 做 為 政 府部門風險管理的執行依據,圖 3 為其示意圖 (TBCS, 2004)。由圖可以 發 現 它 是 一 個 圓 形 的 風 險 流 程 架 構 , 整 個 流 程 由 圖 形 上 方 開 始 , 順 時 針 經過 9 大階段,而 9 大階段又被分成風險辨識、風險評估、風險因應和 監督評估四大部份,各階段的意義詳細說明如下。
圖 3 加拿大風險管理流程 資料來源:TBCS, 2004, p. 71
(一) 風險辨識 (risk identification):
1. 辨識問題:
(1) 定義問題、機會、範圍、環境(社會、文化、科學)及其相關風 險。
(2) 決定所需人員、專長、工具及技術 (情境、腦力激盪、查檢表)。
(3) 進行關係人分析,找出他們的態度、立場及風險容忍度。
1 辨識 問題
2 評估 風險
3 衡量機 率衝擊
4 排序 風險 5 設定期
望結果 6 發展
方案 7 選擇
策略 8 執行
策略
9 監督 調整
持 續
學
習 和
溝
通 整合風
險管理
(二) 風險評估 (risk assessment):
2. 評估風險:分析環境審視 (environmental scan) 的結果,找出風險的種 類。
3. 衡量機率衝擊:找出風險的發生機率和衝擊大小。
4. 排序風險:考慮風險容忍度下排出風險的重要性順序。
(三) 風險因應 (risk response):
5. 設定期望結果:定義對風險的長短期目標和期望結果。
6. 發展方案:找出極小化威脅和極大化機會的方案。
7. 選擇策略:選擇可以達成目標和期望結果的執行策略。
8. 執行策略:發展計劃和執行計劃。
(四) 監督評估 (monitoring and evaluation):
9. 監督調整:報告風險管理的績效並進行必要的修正。
表 3 為其採用的風險機率和衝擊的等級以及相對應的管理行動。
表 3
風險機率/衝擊等級和管理行動
衝 擊 管 理 行 動
顯著 需要顯著管理 必須管理和監督 必須密集管理
中等 可以接受但要監督 值得管理 需要管理
輕微 接受風險 接受風險但要監督 管理和監督風險
低 中 高
機 率 資料來源:TBCS, 2004, p. 81
三、 澳洲新南威爾斯政府
提 出 一 個 六 大 步 驟 的 風 險 管 理 流 程 , 做 為 政 府 部 門 財 務 風 險 管 理 的 執行依據,圖 4 為其示意圖(NSWT, 2004)。很明顯的,這是一個水平直 線式的專案風險管理流程,各步驟的意義詳細說明如下。
圖 4 澳洲新南威爾斯風險管理流程
資料來源:NSWT, 2004, p. 9
(一) 專案目標:
定義專案範圍和目標以及評估的標準。
(二) 風險分析:
1. 辨識會影響專案的風險。
2. 評估它們的發生機率和衝擊。
3. 篩選掉低發生機率和低衝擊的風險。
4. 找出需要注意的中高度風險。
表 4 為其提到之 7 種風險分析的方法。圖 5 則為使用的風險排序矩 陣 , 可 以 發 現 它 把 風 險 依 發 生 機 率 和 衝 擊 大 小 分 成 四 象 限 , 並 據 以 制 定 不同的風險因應措施。
(三) 因應規劃:
1. 規劃因應中高度風險的計劃,包括:避險 (risk prevention)、降低
( impact mitigation) 、 移 轉 ( risk transfer) 、 接 受 ( risk acceptance) 。 2. 制定高度風險的因應行動時程 (action schedules)。
3. 制定中度風險的管理措施 (management measures)。
(四) 撰寫計劃:
1. 重要專案:制定風險管理計劃。
2. 其他專案:整合因應行動時程和管理措施。
風 險 分 析
因 應 規 劃 專
案 目 標
撰 寫 計 劃
執 行 計 劃
表 4
風險分析的方法
風險分析方法 使用場合
敏感度分析 財務可行性分析
情境分析 財務可行性分析
決策分析 具不確定性的方案選擇
風險工程 提案、專案、預算評估
破壞模式與效應分析 廠房設計和運作的分析
失敗樹分析 辨識會引發風險的因素
事件樹分析 找出事件的後果
危害分析 廠房運作的風險分析
機率評估 量化風險的機率和後果
風險調查 持續確認專案的高風險
資料來源:NSWT, 2004, p. 17
圖 5 風險排序矩陣
資料來源:NSWT, 2004, p. 29
(五) 執行計劃:
1. 執行因應行動和管理措施。
2. 監控執行成效。
3. 定期審查風險並評估是否需要其他的風險管理。
四、 美國商業部和標準局
美國商業部和標準局於 2002 年提出一個九大步驟的資訊系統風險管 理 流 程 , 圖 6 為其示意圖 (National Institute of Standards and Technology
高度風險 中度風險
中度風險 低度風險
制定風險行動 時程 制定管理措施
接受風險 制定管理措施
低機率 高機率
高衝擊低衝擊
[NIST], 2002)。由圖可以知道它是一個垂直式的風險管理流程,雖然垂直 流 程 和 水 平 流 程 的 差 異 性 不 大 , 但 是 也 相 當 程 度 反 應 了 美 國 商 業 部 和 標 準局對風險管理流程的認知和理解,各步驟的意義詳細說明如下。
(一) 系統特性:
有關資訊系統的硬體、軟體、系統界面、資料及資訊的重要性、使 用者和維護者、系統使命。
(二) 威脅辨識:
系統過去被攻擊的狀況等資料。表 5 為威脅的來源、動機和行動。
(三) 弱點辨識:
找出系統會被攻擊的弱點。
(四) 控制分析:
分析目前已經有的系統控制方法,以及未來必須要有的控制機制。
(五) 機率確認:
確認弱點會被做為攻擊目標的機率和衝擊。表 6 為機率的等級定 義。
(六) 衝擊分析:
分析弱點被攻擊之後的衝擊大小。表 7 為衝擊的大小定義。
(七) 風險確認:
確認弱點被攻擊的風險,也就是求出機率和衝擊的乘積,然後確認 系統弱點的風險。表 8 為風險的等級矩陣,表 9 為風險等級的說明。
(八) 控制建議:
提出可以降低或消除風險的建議,執行建議之前,應該進行成本效 益分析,以確定控制措施的可行性。表 10 為其降低風險的方法。
(九) 評估報告:
根據前面的分析和建議,做成完整的風險評估報告,來協助高層進 行有關程序、預算、系統、營運等等的決策。
圖 6 美國商業部和標準局資訊系統風險管理流程 資料來源:NIST, 2002, p. 9
表 5
威脅來源、動機和行動
威脅來源 動機 威脅行動
駭客 挑戰、自大、顛覆 非法侵入系統
電腦犯罪 資料破壞、非法洩露 擅意修改、金錢報酬
詐欺、戲弄、侵入系統 恐怖份子 黑函、破壞、刺探、
報復
炸毀、攻擊系統 侵入系統、弄慢系統
產業間諜 競爭 竊取資訊、侵入系統
內部人員
好奇、自我、聰明 報酬、報復、失誤
攻擊員工、黑函、窺視機密、
資訊賄賂、攔截、販賣資料、
系統病毒、侵入系統、破壞系 統
資料來源:NIST, 2002, p. 14
步驟 1 系統特性
步驟 2 威脅辨識
步驟 3 弱點辨識
步驟 4 控制分析
步驟 5 機率確認
步驟 6 衝擊分析
步驟 7 風險確認
步驟 8 控制建議
步驟 9 評估報告
表 6
機率等級定義
機率等級 機率定義
高 威脅來源有高度動機並且極有能力破壞,保護弱點的控
制方法效果不好。
中 威脅來源有動機並且有能力破壞,但是有可以保護弱點
的控制方法。
低 威脅來源沒有動機或能力破壞,而且有可以保護弱點的
控制方法。
資料來源:NIST, 2002, p. 21
表 7
衝擊大小定義
衝擊大小 衝擊定義
高 弱點被破壞之後:(a) 造成財務高度損失,(b) 傷
害組織名聲和利益,(c)造成人員傷亡。
中 弱點被破壞之後:(a) 造成財務損失,(b) 傷害組
織名聲和利益,(c)造成人員受傷。
低 弱點被破壞之後:(a) 造成一些財務損失,(b) 影
響組織名聲和利益。
資料來源:NIST, 2002, p. 23
表 8
風險等級矩陣
風險機率 風險衝擊
低 (10) 中 (50) 高 (100)
高 (1.0) 10 (低) 50 (中) 100 (高) 中 (0.5) 5 (低) 25 (中) 50 (中) 低 (0.1) 1 (低) 5 (低) 10 (低) 資料來源:NIST, 2002, p. 25
表 9
風險等級說明
風險等級 風險說明
高 強烈需要控制措施,現有系統或許可以繼續使用,但是
必須盡快制定糾正措施計劃。
中 必須在適當期間內制定糾正措施計劃。
低 必須確認是否需要糾正措施計劃或是接受風險。
資料來源:NIST, 2002, p. 25
表 10
降低風險的方法
降低風險方法 說明
承擔風險 (risk assumption)
接受潛在風險或是執行控制措施來降低風險到可接 受程度。
避險
(risk avoidance)
消除風險原因或結果以躲避風險。
風險限制 (risk limitation)
藉著執行控制措施來限制風險的負面影響。
風險規劃 (risk planning)
制定風險降低計劃,對風險控制措施進行排序、執 行和維護。
研究和瞭解 (research &
acknowledgement)
瞭解風險和找出方法來矯正系統的弱點。
風險移轉
(risk transference)
移轉風險以補償損失,例如購買保險。
資料來源:NIST, 2002, p. 100
五、 英國 Walsh 州議會
英國 Walsh 州議會於 2006 年出版了一個四大步驟的風險管理流程,
圖 7 為其示意圖 (WAG, UK, 2006)。由圖可以發現它是一個環狀的風險管 理 流 程 , 始 於 右 上 角 , 終 於 左 上 角 , 而 且 圖 的 中 間 註 記 了 溝 通 和 學 習 , 表 示 風 險 管 理 是 一 個 持 續 溝 通 和 學 習 的 過 程 , 各 步 驟 的 意 義 詳 細 說 明 如 下。
圖 7 英國 Walsh 州政府風險管理流程 資料來源:WAG, UK, 2006, p. 7
辨識風險
評估風險 因應風險
報告風險
溝通和學習
(一) 辨識風險:
辨識妨礙目標達成的前十個最可能風險。
(二) 評估風險:
衡 量 風 險 發 生 的 機 率 和 衝 擊 大 小 , 然 後 相 乘 求 得 風 險 分 數 ( risk score)。表 11 和 12 分別為發生機率和衝擊的等級說明。表 13 為風險管 理矩陣。
表 11
風險機率等級
機 率 分 數 說 明
低 1 幾乎不可能會發生,機率介於 0 - 5%
低/中 2 不太可能發生,機率介於 5 - 25%
中 3 可能會發生,機率介於 25 - 75%
中/高 4 極可能會發生,機率介於 75- 95%
高 5 確定會發生,機率大於 95 %
資料來源:WAG, UK, 2006, p. 27
表 12
風險衝擊等級
機 率 分 數 說 明
低 1 極小的損失、延誤或營運中斷,可以迅速回
復。
低/中 2 小部份的損失、延誤或營運中斷,造成短中
期的影響
中 3 時間和資源的明顯浪費,影響營運績效和品
質,中期影響,回復成本高。
中/高 4 重大影響成本和目標,中長期影響品質和聲
譽,回復成本高。
高 5 嚴重影響目標和整體績效的達成,重創成本
和聲譽,非常困難或是必須長期才能回復。
資料來源:WAG, UK, 2006, p. 27
(三) 因應風險:
根 據 風 險 評 估 的 結 果 , 等 級 4 以上 的風 險必 須採 取適 當的 因應 措 施,將風險降到可以接受的範圍,並制定適合的備用方案。降低風險的
方法有以下四種:
1 . 中 止 (terminate) : 不 值 得 冒 險 , 因 此 採 取 不 同 的 執 行 方 式 避 掉 該 風 險。
2. 忍受 (tolerate):風險的機率和衝擊很小,不值得浪費成本去處理它,
等級 3 以下的風險屬於此類。
3. 移轉 (transfer):透過保險、合約或外包方式,將風險移轉給第三者。
4. 處理 (treat):採取措施來降低風險發生的機率或產生的衝擊,大部份 的風險屬於這一類。
(四) 報告風險:
定期審查風險狀況,以瞭解風險是否產生變化。
表 13
風險管理矩陣 機率 衝擊
低 (1)
低/中 (2)
中 (3)
中/高 (4)
高 (5) 高
(1)
5 10 15 20 25
中/高 (2)
4 8 12 16 20
中 (3)
3 6 9 12 15 低/中
(4)
2 4 6 8 10 低
(5)
1 2 3 4 5
註: (1)1~3:可管理風險,(2)4~14:需關注風險,(3)15~25:重大風險 資料來源:WAG, UK, 2006, p. 31
六、 美國石油學會
美國石油學會於 1996 年制定一個三大步驟,十一個小步驟的風險管 理流程,圖 8 為其示意圖 (API, 1996)。由圖可知它也是一個垂直的風險 管理流程,各步驟的意義詳細說明如下。
(一) 風險評估:
瞭解必須管理的風險類型、事件、機率和嚴重性等。
1. 範圍和篩選分析:包括需要分析的管路系統範圍、生命周期和失效種 類等。
2. 事件辨識:辨識可能造成衝擊的風險事件。圖 9 為舉例說明管路危害 的過程。
3. 頻率分析:利用資料庫、專家意見或失誤樹和事件樹等分析事件發生 的頻率,例如經常、很可能、不可能,或是每年 10 次。
4. 後果分析:分析事件後果的嚴重性,包括有害物質的數量、擴散的路 徑以及對人體的影響。例如嚴重、顯著、中等,或是每年 1 到 5 次傷 亡。
5. 風險估計:將發生頻率和後果整合成為一個風險值 (risk value)。
(二) 風險控制和決策:
瞭解如何控制風險、衡量標準以及執行行動。
1. 選擇風險控制議題:選擇潛在可以降低風險的控制方向和做法,例如 改變管路設計、建造方式、作業方式和維修方式等。
2 . 辨 識 風 險 控 制 方 式 : 找 出 可 以 降 低 風 險 發 生 機 率 或 衝 擊 的 管 路 新 設 計、建造、作業和維修方式。
3. 評估比較控制方式:評估、比較和選擇控制方式的風險降低能力、成 本以及潛在影響。
(三) 績效監督和回饋:
監督風險控制決策和風險管理機制的有效性,並確認改善風險管理 績效的可能機會。
1. 選擇績效評估標準:選擇適用的風險管理績效衡量標準,包括資料的 均 勻 性 、 資 料 的 收 集 成 本 、 指 標 的 可 靠 性 、 詮 釋 的 一 致 性 以 及 量 化 的 可能性。例如:事故發生率、洩漏量、腐蝕減少率等等。
2. 監督評估績效:監督評估績效的表現,比較實際績效和期望績效的差 距,以決定是否修改風險管理計劃。
3. 修改計劃:依照績效的差距,修正相關的風險管理計劃。
圖 8 美國石油學會風險管理流程 資料來源:API, 1996, p. IV-2
風險評估
範圍和篩選分析
事件辨識
頻率分析
後果分析
風險估計
風險控制和決策
績效監督和回饋
選擇風險控制議題
辨識風險控制方式
評估比較控制方式
選擇績效評估標準
監督評估績效
修改計劃
圖 9 管路危害的過程
資料來源:API, 1996, p. IV-4
七、 國際標準組織
國際標準組織於 2007 年提出一個五大步驟的風險管理流程,圖 10 為其示意圖 (International Organization for Standardization [ISO], 2007)。圖中 分 為 三 大 區 塊 , 分 別 是 左 邊 的 溝 通 和 諮 詢 , 中 間 的 風 險 管 理 流 程 和 右 邊 的監督和審查,各步驟的意義詳細說明如下。
圖 10 國際標準組織風險管理流程 資料來源:ISO, 2007, p. 7
溝 通 和 諮 詢
監 督 和 審 查 建立環境
風險辨識
風險處理 風險分析
風險估計 風險評估
危 害 原 因 意外事件 衝 擊
管路流動有 害氣體或液 體
塗層失效 有害氣體或
液體漏出到 住宅區
影響居民健 康
(一) 溝通和諮詢:
制定溝通管理計劃和內外部關係人進行風險管理的溝通和諮商。
(二) 建立環境:
瞭解風險管理的內外在環境,外在環境包括文化、政治、法律、財 務、經濟、競爭環境等。內在環境包括能力、決策流程、關係人、目標 及策略、文化及價值、政策、組織型態等。然後定義風險管理的環境,
包括風險管理的責任、風險管理活動的廣度和深度、專案目標、專案之 間的關係、風險管理的方法、風險管理的績效評估方式、風險管理決策 點等。
(三) 風險評估:
進行風險的辨識、分析和估計。
1. 風險辨識:辨識阻礙達成組織目標的風險,包括風險的來源、風險事 件、以及潛在的後果等。
2 . 風 險 分 析 : 對 風 險 的 進 一 步 瞭 解 , 包 括 原 因 和 來 源 , 正 面 和 負 面 結 果,以及發生機率和衝擊,然後利用定性分析瞭解風險的大致排序,
接著利用定量分析瞭解風險發生之後的影響,風險的衝擊可以是有形 或是無形。
3. 風險評定:依照風險分析的結果,決定風險是否需要處理,以及處理 的 優 先 順 序 , 考 量 因 素 應 該 包 括 風 險 容 忍 度 、 關 係 人 需 求 以 及 法 令 規 定等。
(四) 風險處理:
選擇風險因應的方式、分析殘留風險和制定新的處理方式。風險處 理方式包括避開負面的風險、創造正面的機會、降低發生的機率、減少 後果的影響、與第三者分擔風險或是接受風險。
(五) 監督和審查:
分析和留存風險管理的經驗教訓、監督內外在環境的變化、確定風 險控制和處理措施是否有效執行。
八、 澳洲風險管理標準
澳洲風險管理標準於 2004 年出版一個五大步驟的風險管理流程,圖 11 為其示意圖(Australian Standard [AS], 2004)。很明顯的,它是參考國際 標 準 組 織 的 模 式 , 加 以 細 微 修 改 而 成 , 不 過 主 體 還 是 大 同 小 異 , 各 步 驟 的意義詳細說明如下。
(一) 建立目標和環境:
利用環境分析 (environmental analysis) 瞭解組織運作的外在環境和內 在文化,包括:(a)審查組織的過去資料,例如使命、價值、期望、經營 計劃和風險管理計劃,(b)關係人分析(stakeholder analysis),(c)PEST 分析 (政治,經濟,社會,技術) 和 SWOT 分析(優勢,劣勢,機會,威脅)。
圖 11 澳洲國家標準局風險管理流程 資料來源:AS, 2004, p. 3
(二) 辨識風險:
根據環境分析的結果,辨識會影響組織達成目標的風險,使用方法 包括查檢表、情境分析、流程分析、文件審查等。
(三) 分析風險:
關 係 人 諮 詢 / 溝 通
監 督 / 審 查 建立目標和環境
辨識風險
處理風險 分析風險
機率/後果,風險等級
評估風險
利用風險矩陣 (risk matrix) 分析每個風險的發生可能性和後果。表 14 為風險矩陣。
(四) 評估風險:
評估風險的可接受程度,符合以下條件時風險可被接受,表 15 為 風險評估表。
1. 風險很低不值得花費成本處理。
2. 無法處理。
3. 機會大於威脅。
(五) 處理風險:
制定合乎成本效益的方法來處理風險,包括避免風險(avoid risk)、
減少風險 (reduce risk)、移轉風險 (transfer risk) 和保留風險 (retain risk)。
表 14 風險矩陣
項目 後 果
人 受 傷或慢 性病 輕 傷 重 傷
住 院
生 命 危 險
死 亡
名聲 內 部
審 查
內 部委員 會調 查
外 部委員 會 調 查
媒 體 報 導
議 會 調 查
流程 些 微
調 整
經 常不符 規定 少 數關鍵 需 求 不符
策 略不符 政府 規 定
系 統嚴重 失 效
財務 1 % 預 算或
< 5 K
2 . 5 % 預 算或
< 5 0 K
> 5 % 預 算 或
< 5 00 K
> 1 0% 預 算或
< 5 M
> 2 5% 預 算 或> 5 M
等級 不重要 極小 中等 重大 災難
資料來源:AS, 2004, p. 15
表 15 風險評估表
單 位: 製 表:
部 門: 審 查:
目 前風險 等級 編
號
風 險 來 源 衝 擊 現 有管制
措 施效果 機 率 後 果 等 級 接 受度 (可/不可)
資料來源:AS, 2004, p. 20
九、 英國保險和風險經理人協會
英國保險和風險經理人協會於 2002 年發表一個七大步驟的風險管理 流程,圖 12 為其示意圖(AIRM, 2002)。它也是一個垂直的風險管理流 程,只是在兩邊多加了迴路,各步驟的意義詳細說明如下。
(一) 風險評估
1. 風險辨識:辨識組織未來的不確定因素,包括市場、法律、社會、政 治、文化等,可以使用的方法有腦力激盪、問卷調查、標竿學習、情 境分析、意外調查、稽核檢查、危害研究等。
2 . 風 險 描 述 : 以 結 構 化 的 表 格 方 式 呈 現 風 險 。 表 1 6 為 風 險 描 述 的 範 例。
3. 風險估計:選用適合的機率和後果衡量尺度,例如:高、中、低。表 17 為風險威脅和機會的機率範例,表 18 為風險後果的範例。
4. 風險分析:分析風險的重要度排序和被影響到的範圍,使用方法包括 SWOT 分析、事件樹分析、BEST (business, economic, social, technological) 分 析 、 選 擇 權 模 式 、 統 計 推 論 、PESTLE (political, economic, social, technical, legal, environment)、失效樹分析、FMEA (failure mode and effects analysis)。
(二) 風險評定:
比 較 風 險 的 評 估 和 風 險 容 忍 度 , 以 決 定 風 險 應 該 接 受 或 處 理 。
(三) 風險報告:
對組織的內外部關係人報告風險管理的結果,包括風險管理流程、
風險控制機制和管理系統。
(四) 風險處理:
選擇和執行控制風險的措施,包括風險降低 (risk mitigation)、風險 規避(risk avoidance)、風險移轉 (risk transfer)、風險預算 (risk financing)。
(五) 監督:
監控風險是否被有效辨識、評估和管制。
表 16 風險描述
1. 風險名稱
2. 風險範圍 定性說明風險事件、大小、型式、數量及關連性。
3. 風險本質 策略性、作業性、技術性或法規性。
4. 關係人 關係人和期望。
5. 風險量化 重要性和機率。
6. 風險容忍度 財務損失及發生機率。
7. 風險處理機制 目前風險控制方式和可靠度。
8. 改善行動 減少風險的建議。
9. 政策/策略 負責制定政策和策略的部門。
資料來源:AIRM, 2002, p. 6
表 17
風險威脅/機會機率
機率估計 威 脅 機 會
高 每年發生或機率 > 25 % 一年內達成
或機率 > 75 % 中 每 10 年發生或機率 < 25 % 可能一年內達成
或 25 % < 機率 < 75 % 低 10 年不會發生或機率 < 2 % 可能中長期達成
或機率 < 25 % 資料來源:AIRM, 2002, p. 7
表 18
風險後果範例
等級 後 果
高 1. 財務衝擊超過 $ A
2. 嚴重影響組織策略和營運 3. 關係人高度關心
中 1. 財務衝擊介於 $ A 和 $ B 之間 2. 中度影響組織策略和營運 3. 關係人中度關心
低 1. 財務衝擊低於 $ C
2. 低度影響組織策略和營運 3. 關係人低度關心
資料來源:AIRM, 2002, p. 8
圖 12 英國保險和風險經理人協會風險管理流程 資料來源:AIRM, 2002, p. 4
十、 英國財務服務權威
組織策略目標
風險報告
決 策
風險處理
殘留風險報告
監 督
風險辨識 風險描述 風險估計 風險分析
風險評估
風險評定
修正
正式 稽核
