101/10/30 內部控制宣導及教育訓練研習班第2梯次講義1
Download
Report
Transcript 101/10/30 內部控制宣導及教育訓練研習班第2梯次講義1
行政機關風險管理與危機處理
古步鋼
2012年10月30日
1
內容大綱
壹、前言
貳、什麼是風險管理
参、風險如何管理
肆、政府機關如何推動風險管理
伍、危機處理的強化
陸、結語
2
壹、前言
一、預防勝於治療
• 魏文王問名醫扁鵲說:「你們家兄弟三人,都精於
醫術,到底哪一位最好呢?」
• 扁鵲答說:「我大哥治病,是治病於病情發作之前,
由於一般人不知道他事先能剷除病因,所以他的名
氣無法傳出去,只有我們家人知道。我二哥治病,
是治病於病情初起之時,一般人以為他只能治輕微
的小病,所以他的名氣只能及於本鄉里。而我扁鵲
治病,是治病於病情嚴重之時,一般人都看到我在
經脈上穿針管來放血、在皮膚上動手術,所以認為
我的醫術高明,名氣因此響遍全國。」
• 扁鵲總結說:「其實我家醫術以大哥最好,其次二
哥,我最差。」
3
二、風險管理就是做預防的工作
•
未來的世界,唯一不變的就是「變」,唯一確
定的就是「不確定」。
•
變與不確定可能造成風險,風險未處理可能帶
來危機與災難。
•
事後的復原重建,事中的危機處理不如事前的
風險管理。
•
企業界已廣泛採用風險管理以求生存發展。政
府機關近20年來,各國也陸續推動。
4
貳、什麼是風險管理
--三個基本觀念
一、風險
1、定義
潛在影響組織目標達成的事件,及其發生的
可能性及影響度。
2、特性
將來性:與迫在眉睫危機不同
衝擊性:對組織目標達成有影響的
隱晦性:風險是部分未知的
變化性:風險隨時變化
5
二、風險管理:
1、定義:
為有效管理可能發生的事件及其不利的
影響,所執行的步驟與過程。
基本架構包括辨識、評估、處理、監控
等程序。
2、 二個重要觀念:
事件發生的機率或其影響是可以減少的。
風險管理不是追求「零」風險,而是強
調在可接受的風險下,追求最大的利益。
6
三、整合性風險管理(Integrated Risk
Management)
1、定義:
是風險管理的一種,與個別性風險管理不同,
係以組織整體的觀點,進行風險管理。
2、組織風險管理需整合的原因:
若由各業務單位分別進行風險管理,因風險
評量標準不同,難以窺組織風險全貌。
組織資源有限,須集中運用於重要的風險。
7
參、風險如何管理
一、風險管理的過程
(一)、基本模式簡介
1.
辨識風險
2.
4.
評估風險
監視評估
3.
處理風險
8
(二)、加拿大風險管理架構
認識
議題
環境
評估主要
風險區域
分析可
能性及
嚴重性
監控、
評估與
調整
排列風
險順序
執行
策略
選擇
策略
設定預
期目標
發展可
行方案
9
(三)、英國風險管理模式
10
(四)、紐澳風險管理架構
建立背景系絡
溝
通
與
協
商
辨識風險
分析風險
評量風險
管
制
與
審
查
Assess risks
處理風險
Assess controls
11
二、風險管理的重點內容
(一) 、建立背景系絡
• 目的:界定機關與周圍環境之間的關係,找出外部環境的機會與威
脅及機關內部的優點與弱點,提供風險管理活動所需的基礎資料。
• 作法:
1、確認組織或業務(計畫)目標。
2、界定外部環境因素
審視組織與外部環境之間的關係,包括政治、社會、經濟、科
技、自然環境等及其變遷趨勢與對組織之影響,找出組織的
機會及威脅。
3、界定內部環境因素
審視組織的組織結構、內部作業流程、倫理文化,及所能運用
的人力、財務、資訊,與同仁所具備解決問題的能力是否有
弱點。
12
二、風險管理的重點內容
(二) 、辨識風險
•目的:找出組織面臨的各種風險及其如何發生之原因
•作法:
1、選擇辨識方法以尋找風險。
辨識方法常用的有:歷史資料分析、作業分析、腦力激盪、
SWOT、問卷調查、情境模擬…等
2、聚焦在新的政策或有變動的政策計畫。
3、列出風險發生的原因與影響範圍
4、文件化所發掘的各種風險。
(風險辨識十分重要,若錯誤將無法對症下藥)
13
1.風險類型
外部風險:來自外部環境變遷之壓力,組織無法控制,但可以採取行動以紓緩
• 社會文化:人口特質、習俗價值
• 科技發展:生物科技、奈米科技、基因工程
• 自然事件:颱風、地震、水旱災、疫病、氣候暖化
• 經濟環保:國際金融變化、區域經濟體競爭、能源供給、失業水準、 CO2 排放
• 政治法律:意識型態、政府体制、兩案關係、政府組織調整、勞工環保法規
營運風險:有關目前服務遞送與維持營運量能的風險
•財物風險:預算是否充足、財務管理是否健全、實體資產損害
•人力風險:員工能力、技術、人事管理是否良好
•資訊風險:資訊系統是否充分支持決策、做好隱私保護
•倫理風險:有無貪污舞弊情形
•與利害相關者的關係:顧客、夥伴、媒體、課責機關等的意向是否變動
•政策變革:決策產生的風險是否超過目前組織所能處理的能量
14
2. 風險如何描述
•風險描述須包涵原因與影響。
•風險可以以不同的層次辨識及描述之,決定風險描
述的層次,應考慮下列要素:
1. 在被管理的層次
2. 足以指定特定負責人
3. 符合報告接受者的需求
資料來源:David Hillson www.risk-doctor.com
15
3.風險分解結構
風險結構化描述:滿足各層次的要求
技術風險
專
案
風
險
商業風險
性能
介面
可靠度
管理風險
外部風險
資料來源:David Hillson www.risk-doctor.com
16
4.如何文件化所辨識之風險?
風險提報樣本1
--行政院研考會風險登錄表
風險項目
負責單位
風險情境
(簡述風險事件及其影響)
可能影響之
組織目標
其他補充
說明
註:本會所屬各局、處、室於日常推動業務,發現可能存在之風險事項時,
應填具本表,並送本會內部控制專案小組。
27
17
風險提報樣本2
--加拿大風險提報單樣本
影響度
可能性
風險格式
編號:
日期:
週期性
風險陳述
需要立即管理注意
風險處理建議:
類別:
18
5.風險辨識案例
--中華郵政主要風險項目選定流程
各
業
務
單
位
滾動檢討
上年度風險項目
辨識
風險項目
評估
年度重大業務
或施政方案
•發生機率與影響程度
•擬訂風險處理對策
•殘餘風險評估
溝 協
通 調
風
險
管
理
單
位
提送
提報年度風險管理圖像 簽請總經理
核定
及對策表初稿
完成年度風險管理圖像
及對策表
19
中華郵政主要風險項目
R1:
郵務 郵件遞送
延誤或遺失
R2:
郵路阻斷
R3:
R4:
R5:
儲匯 營業櫃臺 現鈔搶劫 歹徒利用郵局
員工舞弊
事件
帳戶進行詐騙
R6:
R7:
壽險
核保風險 理賠風險
R8:
R9:
R10:
R11:
其他
客戶
網路中斷或
天然災害致 資金運用
資料外洩 資訊設備毀損 郵局局屋毀損
風險
20
20
6.風險辨識案例--高鐵局主要風險項目
風險項目
機
場
捷
運
計
畫
高
鐵
計
畫
其
他
R1
機場捷運營運前準備作業不及影響如期通車
R2
機場捷運機電設計延誤
R3
機場捷運土建與機電標施工界面衝突,影響施工
R4
用地取得延遲影響工程進度
R5
工安事故與災害
R6
天然災害造成設施損壞、交通中斷
R7
恐怖攻擊、人為破壞及火災災害,造成設施損壞、交通中斷
R8
行車事故影響運轉安全
R9
高鐵服務品質不佳
R10
高鐵財務困境,導致營運發生中斷危機
R11
三鐵共構車站各營運單位權責管理界面複雜影響救災效率
R12
重大疫病影響旅客健康
R13
高鐵合約爭議處理,影響政府權益
R14
基金財務失衡與土地處分不利
R15
資訊安全
R16
辦公室火警
21
(三)、評估風險
• 目的:篩選出重要之風險
• 作法:﹝80/20法則﹞
1. 風險分析--分析風險發生的可能性及
影響度。分析方法包括定性分析、半
定量分析、定量分析。
2. 風險評量—依風險分析的結果,評定
風險等級,並與風險基準比較,篩選
出重要之風險,以進行處理。
22
1.風險分析
(1).風險發生可能性
定量分析:用實際數據來描述影響與機率。
定性分析:使用文字敘述的分類等級來描述發生機率與
影響度,因此需要建立風險可能性評量標準。
半量性分析:以實際數值表示定性分析等級,目的是便
於計算,決定一個比定性分析更精確的優先順序。
•定性與半定量分析最簡單方式:三分法
低
中
高
(1)
(2)
(3)
不太可能在一 可能在一年內 很可能在一年
年內發生
發生
內發生
23
案例1. 高鐵局風險發生可能性評量標準
等
級
可能性分類
發生機率百
分比
詳細的描述
5
發生機率極高
90-100%
在絕大部分的情況下會發生
4
發生機率高
61-89%
在大部分的情況下會發生
3
發生機率中等
41-60%
有些情況下會發生
2
發生機率低
11-40%
只會在特殊情況下發生
1
發生機率極低
0-10%
只會在極少的特殊情況下發
生
24
案例2. 台灣鐵路局風險發生可能性評量標準
風險機率等級說明:以10年事故發生平均值做基礎。
可能性分類 等級
幾乎不
可能
不太可能
可能
非常可能
幾乎確定
16
詳細的描述
1
10年從未發生
2
10年發生件數1次
3
10年發生件數2次
4
10年發生件數3次
5
10年發生件數4~10次
6
10年發生件數11~20次
7
10年發生件數21~30次
8
10年發生件數31~49次
9
10年發生件數數50~99次
10
10年發生件數100次以上
25
(2).風險影響度的分析
定性與半定量分析:建立風險影響度評量標準
衝擊
衡量
傷害及損失
作業面影響
名譽損失
大
(3)
1.資產損失大於$1M。 1.大部分基本服務中斷 1.公眾及媒體要求撤換
(大於 7 天)。
部長或高層主管。
2.死亡。
2.顯著喪失民眾信任。
2.高敏感度資料損失或
洩漏。
中
(2)
1. 資 產 損 失 介 於 1. 部 分 基 本 服 務 中 斷 1.負面媒體報導。
$100K-$1M。
(小於 7 天)。
2.受到公眾批判喪失部
2.嚴重的傷害或長期疾 2.敏感度資料洩漏。
分民眾信任。
病。
小
(1)
1. 資 產 損 失 小 於 1. 計 畫 或 程 序 些 許 中 1. 部 分 媒 體 的 負 面 報
$100K。
斷。
導。
2.小傷害或短期疾病。 2.保護資料洩漏。
2.民眾信任倒退。
26
案例1. 高鐵局風險影響度評量標準
衝擊或
等級
後果
形象
人員
民眾抗爭
財物損失
5
非常
嚴重
國際新聞媒 人員死亡 大規模遊行 大於十億(含)
體負面新聞 (2名以上) 抗爭
4
相當
嚴重
國際新聞媒 人員死亡
體負面新聞 (1名)
3
嚴重
台灣新聞媒 人員重傷 至中央機關 一億以下~
體負面新聞 (1名以上) 抗爭民眾
一千萬(含)
2
輕微
區域新聞媒 人員輕傷 至機關抱怨 一千萬以下
體負面新聞 (2名以上)
~五佰萬(含)
1
極輕微 區域新聞媒 人員輕傷
體負面新聞 (1名)
至2個以上
機關抗爭
十億以下~
一億(含)
多位民眾電 五佰萬以下
話抱怨
27
案例2. 台鐵局影響度評量標準
列車總
延誤總時分
財物損失
(搶修費用)
死傷
(平交道及跨越軌道)
旅客(人)
非常 241以上
嚴重 181-240
死亡10人以上
死亡10人以上 國際性報導
101-500萬
死亡6-9人
死亡8-9人
國際性報導
81-100萬
死亡4-5人
死亡6-7人
全國性電子媒體頭
版報導
51-80萬
死亡2-3人
死亡4-5人
全國性平面媒體頭
版報導
61-120
21-50萬
死亡1人
死亡2-3人或
受傷4人以上
全國性報導
46-60
11-20萬
受傷3人以上
死亡1人或受
傷3人
地方平面及電子媒
體報導
31-45
6-10萬
受傷2人
受傷2人
電子媒體報導
21-30
1-5萬
受傷1人
受傷1人
地方平面媒體報導
11-20
1萬元以下投石
致玻璃損壞
0
撞到不明物或
物體
5仟元以下
0
0
相當
嚴重 121-150
嚴重
極輕
微 10以內
17
民眾(人)
501萬以上
151-180
輕微
形象
28
2.風險等級評量
(1).建立風險等級基準與風險管理行動模式
風險管理行動
衝擊
大
控制
監視
中
接受
小
低
中等
高
發生可能性
29
(2).建立組織風險分布圖﹝例示﹞
風險代號意義:
風險分佈
大
S1‧
E2
‧
L2
‧
影
響
L1
‧
F2
‧
E1
‧
L3
T1‧
‧
F3
‧ S3
‧
S2
‧
F1
‧
T2
‧
T3
‧
E3
‧
小
低
可能性
高
經濟的財務的
F1 利率
F2 公債
F3 保費
環保的
E1 氣候改變
E2 污染
E3 臭氧耗盡
法務的
L1 債務
L2 人權
L3 國際協定
科技的
T1 核能
T2 生物科技
T3 基因工程
安全與保安
S1 入侵
S2 恐佈行動
S3 組織犯罪
30
案例1、高鐵局風險圖像
影響(I)
(衝擊或後果)
非常嚴重(5)
風 險 分 布
相當嚴重(4)
R7 R8
嚴重(3)
R5
R10
R6 R11
R12
R13
R1 R2
R3 R9
R14 R15
輕微(2)
R16
極輕微(1)
R4
發生機率
極低(1)
低(2)
中等(3)
機 率(L)
高(4)
極度風險
中度風險
高度風險
低度風險
極高(5)
31
(四)、處理風險
•目的:減少風險對組織的負面影響
•作法:可採單一或多重風險控制方式
接受
風險在容忍範圍內,予以容忍不作處理
規避
風險在容忍範圍外,處理成本高於利益
控制
﹝風險低﹞
﹝禁止衍生性金融商品投資、禁止機 密資料連網﹞
降低發生率﹝權利分立、防火牆、加強內控﹞
降低衝擊度﹝氣囊、備援機房、緊急應變計畫﹞
移轉
轉由他人承受者﹝購買保險、業務委外﹞
32
•風險要控制到什麼程度
不能容
忍區
風險規模
除非情況特殊,
容忍風險不合理
As
風
險
程
度
Low
As
在風險實際不可能降低或
成本收益不成比例時容忍
Reasonably
Practicable
如成本大於改善收益時容忍
大致可接受區
持續評估確保風險仍然
在此層級
33
•風險處理步驟
評量風險並分類
是
可容忍的風險
接受
否
列出可
行的風
險對策
降低發生
的機率
降低衝擊
全部或
部份轉嫁
規避
溝通及協商
監視及檢討
考慮可行性、成本及利益
評估並
選擇風
險對策
列出可行的風險對策
選擇風險對策
準備處
理計畫
執行處
理計畫
準備處理計畫
降低發生
的機率
降低衝擊
全部或
部份轉嫁
規避
殘餘風險
可容忍的風險
否
是
接受
34
案例1、H1N1新流感風險應變對策
--訂定處理計畫
最高指導
綱領
(行政院 94. 5.
23 核定)
依「準備
計畫」制
定之執行
策略及各
機關因應
實務依據
因應流感大流行
準備計畫
(準備計畫)
因應流感大流行
執行策略計畫
(策略計畫)
(行政院 97.
2. 20 核定)
細部
作業
規劃
因應流感大流行
作戰計畫
(作戰計畫)
總體目標:
一、杜絕發生
三、減少傷害
四大策略:
二、避免感染
四、有效復原
五大防線:
1.及早偵測
1.境外阻絕
2.傳染阻絕
2.邊境管制
3.社區防疫
3.流感抗病藥
4.醫療體系保全
物儲備與使用
5.個人與家庭防
4.疫苗研發
護
35
案例2. 某賣場保全風險處理對策的選擇
某賣場過去每年竊盜損失約400萬元,為減少竊盜損失有下列
3方案供抉擇,何者最佳?
方案1:雇10名保全人員巡視賣場,每人月薪3萬元,每年增加
公司費用432萬元,預估賣場失竊損失可降為0。
方案2:雇2名保全人員巡視賣場,每人月薪3萬元,裝置攝影機
等監視設備300萬元,監視設備可用5年,每年增加公司
費用132萬元,預估賣場失竊每年損失降為100萬元。
方案3:委託保全公司辦理賣場保全,保證賣場不失竊,每年費
用250萬元。
36
案例3、鐵工局天然災害造成設施損壞風險對策
風險本質
風險處理對策
殘餘風險
機率(L) 1.加強設施安全監測,每週、每月彙 機率(L)
整安全監測成果並提報工程處備
2
查
影響(I) 2.落實防救災宣導演習,每年辦理演 影響(I)
習1次(含各項防救災演練)。
3.維持通報系統暢通。
風險等級
4.加強汛期防災設施及器材檢查:各 風險等級
(R)=(L)x(I)
(R)=(L)x(I)
標工程訂定防汛計畫,每月及颱
風前辦理防災設施及器材檢查。
5.落實網路通報系統。
6.地震後立即派員巡檢工地,回報災
=2x3
=2x2
情,並做善後處理,必要時增加
監測頻率。
2
3
6
2
4
37
案例4、鐵工局切換施工作業延誤,導致台鐵行
車延遲 與招致旅客抱怨風險對策
風險本質
風險處理對策
機率(L) 1.各系統切換計畫應擬定週全,有效掌
2
控時程,確保整備及施作安全。
影響(I) 2.軌道、電力等施工機具應時加保養,
2
風險等級
(R)=(L)x(I)
4=2x2
防止施工時故障致影響切換時間。
3.機電系統測試應儘早模擬及完成切換
啟用前檢查作業。
4.切換作業時間應考量天候異常變化,
與台鐵溝通爭取充裕作業時間。
5.新進人員現場作業時應有勤前教育訓
練及演練,熟悉作業技能與安全。
殘餘風險
機率(L)
1
影響(I)
2
風險等級
(R)=(L)x(I)
2=1x2
38
案例5 英國個案風險對策教育範例
目標:從甲地通勤到乙地準時參加一重要會議
原始風險
目前控制
方法
殘餘風險
影響
度
可能
性
進一步規
完成 負責人
劃的行動 期限
風險
影響
度
可能
性
未趕上火
車,重要
會議遲到
高
高
提早出門搭 高
車
低
無進一步
行動規劃
天候惡劣
火車停駛
高
低
不能控制
高
低
安裝視訊
會議設備
機械故障
火車遲到
高
中
彈性安排議 中
程
中
無進一步
行動規劃
自己
8月
張三
自己
39
案例6、風險處理追蹤表
風險項目
處理對策
預計
負責人
完成日期
A 部會及所屬 加強外稽、技能養成、管 100.12
吳○○
機關未落實 考及主計資訊整合
管考
B 院管制計畫 強化資料檢核機制及管考 100.12
戴○○
資訊不正確 人員資料研判能力
C 院管制計畫 落實查證流程及加強查證 100.09
余○○
查證不確實 人員訓練
40
(五)、監視與審查
•目的:審視風險管理每個過程進行狀況,並不斷檢討改進
•作法:
1. 監視風險環境是否改變,是否舊風險已不相干?有無
新風險出現。
2. 監視已辨識到的風險是否真的發生,並做必要之警示。
3. 評估風險處理對策是否有效,風險處理計畫所規劃的
步驟是否正確,是否需進一步行動。
4. 評估風險管理組織體系運作是否順暢,是否須要改進。
5. 收集資訊、不斷地累積經驗,以供下次的參考。
41
案例1、H1N1新流感風險監視與因應作為)
疫情分級
第一級
標準
未出現任何病例
行政協調作為
啟動中央流行疫情指揮中心
(指揮官:目前由衛生署署長葉金川擔任)
第二級
出現境外移入
第三級
境外移入第二波感染
第四級
1.提昇中央指揮中心層級
社區流行,但控制中 2.發生病例之鄰近縣市啟動指揮中心
3.如有必要宣布病例發生縣市為疫區
第五級
第六級
1.提昇中央指揮中心層級
2.發生病例之地方政府啟動指揮中心
全國流行,但控制中 1.提昇中央指揮中心層級
2.所有地方政府成立指揮中心
全國流行,但失控
3.考量發布緊急命令之需要性
42
(六)、溝通與協商
• 目的:
確保利害關係人均能瞭解風險與支持風險對策,進而提
升對組織的信任
• 作法(對外溝通原則):
1. 掌握溝通目的與底線
2. 了解溝通對象,慎訂溝通策略
3. 儘早、主動溝通
4. 善用多元溝通管道
5. 態度真誠、坦白與公開
6. 傾聽民眾關切的重點
7. 善用媒體
• 作法(對內溝通原則):
1. 上對下要做風險政策的宣達
2. 下對上要做風險發現的報告
3. 單位之間要分享風險管理的經驗
43
肆、政府機關如何推動風險管理
44
主要國家如何推動風險管理
一、加拿大
1997
TBS開始
規劃IRM
2001
8個部會
開始試行
英國
二、英國
風險管理
2000
SU開始規劃
風險計畫
2002
各部會
開始試行
三、澳洲
1995
提出AS/NZS
4360
2002
推廣至16
個部會
1997西澳首相及內
閣部訂定TI 109
供部會參採
可保險部分
1998
財政部成立
COMCOVER
45
一、加拿大政府機關風險管理
(一)推動步驟
1997
2001.04
規劃期
2002.02
試辦期
(8個部會試辦)
發表IRMF
組織RMD
發展IRMF
推廣期
(16個參與部會)
執行會
議擴大
建立IRMF
執行會議
執行經
驗報告
46
(二)加拿大政府機關風險管理執行步驟
COMMIT
1.啟動
準備
1. 認識風險
2. 承諾與支
持
3. 發展風險
管理行動
計畫
THINK
2.建立組
織風險
圖像
1. 檢視環
境辨識
風險
2. 評估風
險描繪
組織風
險圖像
PREPARE
3.建立組
織IRM
能量
1. 教育員工
瞭解風險
2. 發展風險
管理工具
3. 結合風險
管理與決
策制度
ACT
4.執行
IRM
1.促使組
織全員
參與
2.運用IRM
技術幚
助決策
IMPROVE
5.永續
經營
1. 持續訓練
員工營造
風險管理
支持環境
2. 經驗文件
化並與他
單位分享
47
二、英國政府機關風險管理推動步驟
(一)要求各機關瞭解政府的角色與責任
科技及社
會危害
自然災害
規制角色
照顧服務角色
管理角色
政策及作業風險
48
(二) 落實機關風險管理執行步驟
首長引領變遷與建立文化
提升風險管理能量
建立策略架構
。角色與責任
。目標與原則
。確保決策考慮到
風險
。建立風險管理技
術
。確保品質
作更好的決策
提供更好的成
果
溝通風險
49
(三) 兼顧機關各層級的風險
策略規劃
風險為做不符組織目標
的事(做錯事)
化策略為行動
風險為用不對的方法作
事﹝沒把事做好﹞
落實執行
策略
計畫
作業計畫
或行動
內
外
環
境
不
確
定
性
三個層級風險管理可以分別做,因此各層負責人均應具備風險管理技術,
但必須整合才能彼此支援。計畫與行動應受策略的指導,方不會偏離組織
的目標。
50
三、主要國家政府風險管理值得借鏡之處
(一)高階長官的參與是成功的第一步
(二)指定具熱忱專人負責有必要
(三)要動員組織全體
(四)初期應以教育訓練優先
(五)須發展好的實例、手冊、技巧
(六)要與現行決策制定結構結合
(七)要不斷學習與檢討改進
51
四、推動風險管理應避免的陷阱
(一) 忽略已發展成熟之工具或方法,重複
投入發展。
(二) 過度依賴顧問專家。
(三) 處理風險沒有重點。
(四) 只討論風險而不討論風險對策。
(五) 在第一時間內企圖量化所有的風險。
52
五、我國行政機關風險管理推動方案
(1)目的
降低或避免
風險損害
提升施政績效
與民眾滿意度
(2)預期目標
94年底
95年底
96年底
各部會提報3-5項
風險並建立風險
管理機制
各部會完成組織
風險圖像的建立
各部會完成建構
整合性風險管理
機制
配合組織改造進度
調整
53
五、我國行政機關風險管理推動方案續一
建立風險意識與文
化、發展組織風險
圖像、培養風險管
理專業技能、納入
施政計畫落實執行
(3)實 施 策 略
循序漸進
結合既有緊急
應變機制
核能安全、災害防
救、資通安全、傳
染病防治等
由特定業務之風險
管理到建立機關整
合性風險管理
由點到面
彈性適性管理
依各部會本身業務
特性及環境設計管
理機制
54
五、我國行政機關風險管理推動方案續二
(4)工作重點
首長重視與承諾
各部會依業
務特性自行
設計,並長
期持續推動
整合性風險
管理機制
•成立推動組織,並由首長
承諾對風險管理的支持
建立組織風險圖像
•檢視環境變遷、組織願景、
核心任務及策略目標,建構
組織風險圖像
提升風險管理能量
•透過教育訓練、發展風險
管理工具及知能來達成
將風險管理融入
施政作為
•在政策制定、計畫規劃時
考量風險並做必要之管理
型塑風險管理文化
•重視溝通、分享資源,營
造支持性的工作環境
55
五、我國行政機關風險管理推動方案(續三)
(5)執行檢討
• 各部會已建立組織風險圖像,並擬訂因應對策。
• 部分部會並成立風險管理委員會或小組推動風險管
理。
• 風險對策是否落實推動與執行,由各機關自主管理。
行政機關風險管理推動方案於96年底結束,行政院
爰於97.04.01訂頒行政院所屬各機關風險管理作業
基準,併同作業手冊,供各機關推動風險管理參考
依循。
56
五、我國行政機關內部控制制度
(ㄧ)緣起
• 審計部97、98年度中央政府總決算審核報告略
以,部分機關因內部控制機制未臻健全,間有
施政效能不彰、投入鉅資興建設施閒置浪費,
及未依法制執行預算等,致有重大弊案陸續發
生。
• 各機關財務涉及有違失案件,近3年來平均每
年約300件,顯示建構健全內部控告制度,以防
杜違失,實已刻不容緩。
• 100年2月行政院函頒「健全內部控制實施方案」
57
(一)行政機關內部控制的定義
何謂內部控制:
係由機關全體人員參與
→人人有責
為合理達成機關內部控制目標
→四項目標
共同設計、執行及維持的管理過程
→五項要素
58
(三)行政機關內部控制整體架構圖
四項目標
提升施政效能
● 遵循法令規定
● 保障資產安全
● 提供可靠資訊
●
監
五項要素
1.控制環境:機關文化、內部控制認知
2.風險評估:辨識、分析與評量風險
3.控制作業:控制規範及程序
4.資訊與溝通:資訊編製、蒐集與傳達
5.監督:評估內部控制制度有效性
資
督
訊 與 溝
通
控
制
作
業
風
險
評
估
控
制
環
境
與內部
控制有關的
單位或業務
資料來源:行政院主計總處全球資訊網(政府內部控制/教育訓練)
59
要素1—控制環境
•塑造機關文化及影響其人員對內部控制認知之綜合因
素,為其他四項組成要素之基礎。包括:
–公務職業操守與倫理價值觀念之建立及維持;
–首長與高階主管對內部控制制度之重視及支持
,確認目標且避免過量風險;
–組織架構及授權之適當明確;
–人力資源管理(含進用、考核與獎懲);
–專業能力提升(含宣導訓練)。
控制環境
資料來源:行政院主計總處全球資訊網(政府內部控制/教育訓練)
風險評估
資訊與溝通
控制作業
監 督
60
要素2—風險評估
•辨識攸關之施政風險、分析風險之影響程度與發生
可能性,及評量對風險容忍度之過程,據以決定採
取控制作業或監督等方式,處理或回應相關風險。
包括:
–風險辨識:辨識影響目標達成之風險因素;
–風險分析:分析風險因素之影響程度及發生可
能性,綜合估計風險等級;
–風險評量:評量對風險之容忍度並依據
風險等級,決定需優先處理之風險因素。
資料來源:行政院主計總處全球資訊網(政府內部控制/教育訓練)
61
要素3—控制作業
•為了合理促使機關達成目標、降低風險,且有助於
落實機關決策,所訂定之控制規範及程序。包括:
–整體層級控制:對機關各單位多項業務有廣泛影
響之控管措施或控制規範。
–作業層級控制:機關各單位經依個別業務之作業
層級目標,所評估風險之結果,秉持化繁為簡原
則,設計控制重點;配合業務調整及
作業變動,適時檢討修訂。
整體層
級
作業層級
資料來源:行政院主計總處全球資訊網(政府內部控制/教育訓練)
62
設計
控制作業
共通性業務項目
•出納與財產管理
•政風
•主計
•人事
•公共建設計畫編審
•行政管考
•社會發展計畫編審
•科技發展計畫編審
•政府採購等
得參採財政部等權責機關所
訂之共通性作業範例辦理。
個別性業務項目
•各單位就主管之業務項目,依
據行政院「內部控制制度設計
原則」,設計簡明有效且具彈
性之控制作業。
•各單位就每年度監察院糾正案
件、審計部建議改善事項、上
級與權責機關督導、自行檢查、
媒體及立法委員指導意見等,
涉及內部控制缺失部分,適時
檢討;已完成改善項目,應納
入內部控制制度。
63
案例 行政院研考會內部控制
--GPMnet作業程序說明表
項目編號
C001
項目名稱
GPMnet與GPMnet 2.0系統監測與應變
承辦單位
管考處第2科
作業程序
說明
ㄧ、依據:行政院94年函頒「行政院所屬各機關施政計畫管制作業要點」
二、系統建置:建置「行政院施政計畫管理資訊網」(GPMnet),供各機關……。
三、為預防GPMnet或GPMnet 2.0故障,需強化系統監測及應變等內控作業。
(一)系統監控作業
1、由委外廠商每日監測系統運作並填寫維運紀錄表,每二週彙送備查……。
2、……
(二)應變作業
1、廠商維運監測發現系統部分異常,應即時通知管考處並於系統首頁公告異常功
能,同時評估修復時間,經同意後於時限內完成修復,並提出報告。
2、……
控制重點
一、廠商是否每日執行系統監控作業,提出維運紀錄,且每二週彙送備查。
二、異常事件發生後,廠商有無即時通報管考處並於系統公告異常狀況。
三、應用系統錯誤導致系統停頓,經本處通知委外廠商後,廠商是否於4小時內回
應,並於1個日曆天內修復。
法令依據
一、行政院所屬各機關施政計畫管制作業要點
二、行政院及所屬各機關資訊安全管理要點
使用表單
每日維運紀錄表
64
案例 行政院研考會內部控制(續1)
--GPMnet作業自行檢查表
行政院研考核會內部控制制度作業層級自行檢查表
自行檢查單位: 管制考核處
作業項目:GPMnet與GPMnet 2.0系統監測與應變
檢查日期: 年 月 日
自行檢查情形
檢查重點
符合
未符合
檢查情形說明
一、作業流程有效性
(一)作業程序說明表及作業流程圖之製作是否與規定相符。
(二)內部控制制度是否有效設計及執行。
二、系統監測與應變
(一)廠商是否每日執行系統監控作業,提出每日維
運紀錄,且每二週彙整送管考處處備查。
(二)異常事件發生後,廠商有無即時通報管考處並
於系統公告異常狀況。
(三)應用系統錯誤導致系統停頓,經管考處通知廠
商後,廠商是否於4小時內回應,並於1個日曆
天內修復。
結論/需採行之改善措施
填表人:
複核:
單位主管:
65
要素4—資訊與溝通
•適時有效編製或蒐集資訊,並傳達予相關人員,使其
有效履行職責或瞭解責任履行情形。包括:
–資訊:含財務及非財務資訊,可由內部產生或自
外部取得,供決策及監督之用。
–溝通
•內部溝通:告知機關人員在內部控制所扮演
之角色及責任,並建立通報異常情事之管道,
促使機關上下或跨單位資訊充分傳達。
•外部溝通:依法對外部人士公開或提供資訊,
對外界意見及時處理及追蹤。
資料來源:行政院主計總處全球資訊網(政府內部控制/教育訓練)
66
要素5—監督
•機關評估內部控制制度設計及執行成效之過程,藉以
適時修正改善內部控制制度。包括:
–例行監督:由各項業務承辦單位主管人員,經常執行之督
導作業。
–自行檢查:由機關內部各單位評估內部控制制度設計及執
行之有效性,並及時補救或改正,且作成紀錄備供主管機
關訪查及督導。
–稽核評估:統合或運用相關稽核評估職能,客觀檢視內部
控制制度設計及執行是否有效,並就發現之缺失及相關建
議,及時改善與追蹤,必要時檢討修正內部控制制度。
資料來源:行政院主計總處全球資訊網(政府內部控制/教育訓練)
67
伍、危機處理之強化
2008年9月毒奶
粉事件
•重新喚起新政府對風險管理與危機處理的重視。
•行政院所屬各機關風險管理作為基準於97.12.08
修正為行政院所屬各機關風險管理及危機處理作
業基準,以強化危機處理。
68
一、什麼是危機
危機是指發生的事件使組織陷入爭議,威脅
到組織重大價值,在處理時具有時間的壓力,
迫使決策者必須做出決策,該決策並可能有
重大影響。
風險管理
風
險
管
理
危機處理
危
機
處
理
69
如果
下列情況發生在台灣
怎麼辦?
1.天然災害:颱風、地震…
2.重大交通事故
3.食品藥物重大事件
4.重大傳染病爆發
5.核電廠危機
6.兩岸衝突
7.官員貪污犯法…
70
過去風險未妥適管理造成之危機案例(例示)
93年大桃園連續18天停
水或分區供水事件
86年口蹄疫爆發事件
86年台北市政府新聞處拔
河斷臂事件
89年八掌溪工人遭洪水
圍困事件
90年阿瑪斯油輪擱淺漏
油事件
90年納莉風災致北市
淹水事件
危
機
案
例
97年毒奶事件
98年莫拉克風災土石流事件
100年塑化劑事件
100年桃園機場空橋斷裂
、廁所污水外洩、中控室
人員飲酒作樂等事件
71
二、什麼是危機處理
(一)定義:
危機發生後,對危機情境維持一種持續性、動
態性的監控及管理過程,以降低對組織的傷害。
(二)危機處理的重要觀念:
危機事件發生已不可避免,但其影響是可以減
少。
危機處理不好會對組織將造成更大損失,處理
得好可變成轉機。
72
風險管理與危機處理的關係
建
立
背
景
系
絡
辨
識
風
險
評
估
風
險
處理
風險
危機處理
監控
、檢
討並
改善
風險管理
爆發期
處置期
危機意識
防範未然
臨危不亂
輕重緩急
控制處理
轉危為安
1.預防危機發生
1.啟動危機處理
小組
善後期
潛伏期
2.研擬危機處理
計畫
3.進行危機處理
演練
2.儘速確定危機
所在
復原重建
評估回饋
1.避免危機擴大
1.進行復原善後
2.迅速解除危機
2.評估危機處理
績效
3.統一對外發言
73
三、我國危機處理之現有體制
(一) 、相關法規:
災害防救法、民防法、全民防衛動員準備
法、緊急醫療救護法、消防法、游離輻射
防護法等
(二) 、相關組織:
國家安全會議、行政院災害防救委員會、
中央災害防救會報、中央災害應變中心、
各業管部會及各縣市政府
74
(三) 危機處理相關業務計畫
內政部
風災、震災、重大火災、爆炸
經濟部
旱災、水災、礦災、公用氣體與油料管線、輸電線路
交通部
海難、空難、陸上交通事故
農委會
土石流、森林火災、寒害
環保署
毒性化學物質
原能會
輻射災害
衛生署
生物病原災害
75
(四) 、危機處理作業基準
「行政院所屬各機關風險管理及危機處理
作業基準」已納入危機處理專章。
危機處理應與風險管理架構相呼應,並預為規劃預防、應變
與復原措施。
應針對危機事件訂定緊急應變計畫,並透過測試演練,驗證
有效性。
各部會應強化危機處理整體概念及內外部協調整合機制。
各部會應適時成立危機應變小組或陳報上級成立跨部會小組,
爭取第一時間解決。
各部會應透過處理案例持續學習及檢討改進。
76
四、危機處(管)理之步驟
危機處理是組織從因應危機至危機復原的
一個不斷學習、適應的連續過程。
危機處理
危機管理
辨識
危機
發展
緊急
應變
計畫
危機
應變
危機
溝通
危機
復原
經驗
學習
降低危機
事件對組
織之損害
77
(一)辨識危機
發展
緊急
應變
計畫
辨識
危機
危機
應變
危機
溝通
危機
復原
經驗
學習
降低危機
事件對組
織之損害
預判可能遭遇的危機
•
•
•
•
•
what:什麼危機?影響有多大?
why:為什麼會發生?
where:危機在哪裡發生?
when:何時發生?處理的時間有多少?
who:誰受影響?如何受影響?
78
(二)發展緊急應變計畫
辨識
危機
發展
緊急
應變
計畫
危機
應變
危機
溝通
危機
復原
經驗
學習
降低危機
事件對組
織之損害
依據危機之類別,訂定應變計畫包括:
• 組成危機應變小組:指揮官、發言人、其
他應變所需人力。
• 建立危機預警系統、決策支援系統
• 訂定危機處理準則及程序,包括:公關溝
通、善後處理等標準作業程序。
透過測試與演練驗證計畫之有效性。
79
(三)危機應變
辨識
危機
發展
緊急
應變
計畫
危機
應變
危機
溝通
危機
復原
經驗
學習
降低危機
事件對組
織之損害
找出問題核心立即處理
1.
2.
3.
4.
5.
6.
靈敏偵測與警示通報。
啟動危機處理小組,確立指揮系統、明確分工。
找出問題核心,評估損害程度與範圍,優先處理。
原有應變計畫若不可行,另擬替代方案。
時間是敵人,掌握第一時間、第一現場,立即處理。
隔絕危機,避免擴大,要思考其他地方是否也可能發生
相同情況、是否會發生延伸性危險,以及停損點。
80
(四)危機溝通
辨識
危機
發展
緊急
應變
計畫
危機
應變
危機
溝通
危機
復原
經驗
學習
降低危機
事件對組
織之損害
取得利害關係人的瞭解與協助,化阻力為助力
1.
2.
3.
4.
與重要利害關係人妥適溝通,避免衝突,讓他們知道
發生什麼事,以及組織正在做的努力,以免他們臆測
或聽信謠言。
主動公開發表資訊,公布危機之性質範圍,及時更正
錯誤報導,迅速公布具體解決方案及未來處理方向與
進度,建立媒體與大眾的信心。
對於可能造成正常溝通方式無法運作,應有其他的溝
通備案。
掌握新媒體如網路、簡訊之溝通力量。
81
(五)危機復原
辨識
危機
發展
緊急
應變
計畫
危機
應變
危機
溝通
危機
復原
經驗
學習
降低危機
事件對組
織之損害
恢復正常運作
• 撫平受害者心靈。
• 妥適配置危機應變資源,重建家園。
• 確認組織的運作回復正軌。
82
(六)經驗學習
辨識
危機
發展
緊急
應變
計畫
危機
應變
危機
溝通
危機
復原
經驗
學習
降低危機
事件對組
織之損害
記取教訓,調整作為
1.
2.
3.
4.
追究危機處理前因後果。
檢討事先防範工作的缺失。
檢討危機處理之有效性,據而修訂作業規定、程序,
甚至增修訂法令,以建立未來處理能量。
檢討組織運作與決策,必要時進行人事調整及獎懲。
83
五、政府機關危機處理機制之建議
•平時要準備
–風險管理的目的在於降低風險發生的可能性與影響
度,風險事件部分來自天然災害與國際大環境,政
府無法降低其發生機率者,均宜訂定緊急應變機制。
–我國正式成立之中央災害防治救災委員會及應變中
心,已針對風災、水災、地震及核安等重大災害擬
定對策,以為因應;除此之外,各部會宜進一步針
對其他經風險處理後仍無法容忍之風險項目,擬定
應變計畫。
–對於可控制風險發生機率之業務項目,各部會宜訂
定標準作業程序,檢視作業重點,加強作業檢查,
以落實內部控制制度。
84
五、政府機關危機處理機制之建議(續一)
• 通報要暢通:確保警報與通報系統暢通,俾在
第一時間掌握危機狀況,作出正確處置及應變。
• 應變要及時:及時啟動「危機應變小組」,或
陳報成立跨部會之危機應變小組。
• 媒體要溝通:適時發布消息,降低外界臆測空
間;對於錯誤之報導,請儘速澄清。
• 教訓要記取:危機處理完竣後,請檢討原因並
提出預防再次發生之對策。
85
陸、結語
風險管理與危機處理工作需與時俱
進,需要大家共同努力
86
謝謝聆聽
敬請指正
87