風險 - 行政院主計總處

Download Report

Transcript 風險 - 行政院主計總處

行政院主計處主計人員訓練中心
政府內部控制種子教師研習班第3期
100年12月15日
風險評估實務與案例
葉天降
交通部中央氣象局
1
內部控制與風險評估
http://www.dgbas.gov.tw
2
內部控制與風險評估
3
內部控制與風險評估
設計步驟
確認
目標
風險
評估
選定
業務
項目
設計
控制
作業
建立
檢查
機制
取自強化政府內部控制-實作篇(100.11.3) p16
4
目標、風險與控制
願景/使命
機關目標
單位目標
單位目標
單位目標
風險
風險
風險
風險
風險
風險
控制
控制
控制
控制
控制
控制
內部流程
人員
系統
監督
取自強化政府內部控制-實作篇(100.11.3) p17
5
風險評估
• 風險係指面對一些事件的發生,可能會影響機關
目標的達成
• 機關任何業務之推展都可能面臨風險,因此要强
化內部控制之前提即是要做好風險評估,以辨識
無法達成目標之內、外在風險因素
• 繼而分析風險的影響程度及發生之可能性,考量
風險評估的結果及風險容忍度,據以擇定應進行
風險處理之業務項目
• 風險評估程序得參考「行政院所屬各機關風險管
理及危機處理作業基準」及「風險管理及危機處
理作業手冊」辦理
• 因應機關特性有適宜之風險評估方法,亦可逕行
採用
取自強化政府內部控制-實作篇(100.11.3) p18
6
風險管理架構
建立風險管理執行背景體系
-- 建立環境要素
-- 建立機關要
-- 風險管理架構
素
-- 發展風險評量標準
-- 定義風險分析對象
風險辨識
-- 會發生什麼?
-- 如何、為何、何處、何時發生?
溝
通
與
協
商
風
險
評
估
風險分析
確認既有控制機制
--- 找出發生的機率
-- 評估風險等級
-- 找出事件的影響
風險評量
與風險基準比較,設定優先順序
風險?
監
督
與
審
查
是
否
風險處理
-- 列出可行風險對策
-- 評估風險對策
-- 選擇風險對策
-- 準備處理計畫
-- 執行處理計畫
資料來源:風險管理及危機處理作業手冊(98年1月)
取自強化政府內部控制-實作篇(100.11.3) p19
7
風險辨識
目的:
• 辨識風險的來源、衝擊的範圍、事件所引起原因及其
潛在的後果
風險來源:
• 參考「風險管理及危機處理作業手冊」中所列之風險
來源
• 辨識出主要風險來源為「科技之應用」
風險情境及影響:
• 「本機關之網頁檔案,若遭病毒感染,承辦人員未落
實通報機制,將延誤處理時機,影響服務品質,損及
機關形象」
主要風險項目:
• 「網頁檔案遭病毒感染未落實通報」
取自強化政府內部控制-實作篇(100.11.3) p20
8
風險分析
• 目的:藉由判定影響、發生機率及風險屬性以分析風險
• 參考「風險管理及危機處理作業手冊」附錄二之風險評估
工具
• 考量機關業務特性,訂定適用於本機關用以衡量風險影響
程度及發生機率之標準
• 風險=影響x機率
「影響之敘述分類表」
「機率之敘述分類表」
註:各機關應依業務特性,自行訂定妥適之影響及機率等級評
量標準。
取自強化政府內部控制-實作篇(100.11.3) p21
9
影響及機率之敘述分類表
影響之敘述分類表 定性
等級
衝擊或後果
形象
目標達成
3
非常嚴重
機關形象受損
經費/時間大量增加
2
嚴重
跨部門形象受損
經費/時間中度增加
1
輕微
部門形象受損
經費/時間輕微增加
機率之敘述分類表
定量
等級
可能性分類
3
幾乎確定
每月發生一次之可能性
2
可能
每季發生一次之可能性
1
幾乎不可能
每年發生一次之可能性
詳細的描述
註:各機關應依業務特性,自行擇用妥適的風險評量
標準 取自強化政府內部控制-實作篇(100.11.3) p22
10
風險評量
• 目的:依據風險分析結果以判定需優先執行的風險
• 經過風險分析,考量本機關人力、資源、組織環境等因素
• 風險容忍範圍:
影響程度:「輕微(1)」或「嚴重(2)」
發生機率:「幾乎不可能(1)」
影響程度:「輕微(1)」
發生機率:「幾乎不可能(1)」或「可能(2)」
超出此範圍之風險項目,皆優先納入風險處理
註:各機關應自行評估風險容忍範圍並適時檢討

取自強化政府內部控制-實作篇(100.11.3) p23
11
風險分布
影響程度
風險分布
非常
嚴重(3)
3
(高度)
6
(高度)
9
(極度)
嚴重(2)
2
(中度)
4
(高度)
6
(高度)
輕微(1)
1
(低度)
2
(中度)
3
(高度)
幾乎不可能(1)
可能(2)
幾乎確定(3)
發生機率
取自強化政府內部控制-實作篇(100.11.3) p24
12
風險評估結果
• 經風險評估後,主要風險項目其發生機率等級為1,影
響程度等級為3,屬高度風險(如黃色區域),超出可容
忍之風險範圍,應即進行風險處理,以降低風險
影
響
註:各機關應依業務特性,
自行擇用妥適的風險評
量標準,並依風險容忍
度,選定低度、中度、
高度及極度危險風險之
範圍,以利各機關適性、
彈性地決定風險等級。
影
響
4X4
機率
5X5
機率
取自強化政府內部控制-實作篇(100.11.3) p25
13
內部控制 vs. 風險管理
14
管理的 sub process:3個vs.10個
管理=規劃+執行+控制
內部控制=管理 – 純規劃 – 純執行
. 2個層面:收 、支
設計、執行
.目標→風險→其管理:評估與回應
.3個sub process→10個sub process
取自內部控制基本概念-馬秀如教授PPT p8
15
10個 sub process
1.訂定企業層級目標(entity-level objective setting)
2.選定策略(strategic planning)
3.擇控制環境(control environment):管理風格(含風險容忍度)、人事政策(聘
人、獎懲;程度、速度)、組織設計、工作指派等
4.訂定作業層級目標(activity-level objective setting)
5.風險評估(risk assessment)
.含事項辨認(event identification)
6.風險回應(risk response):業務-營運活動(Operating Activities)
.規避、降低、分攤、接受
7.風險回應:控制活動(Control Activities)
.build - on control vs. build + on control
8.資訊與溝通
9.風險回應:監督
10.風險回應:改正活動
取自內部控制基本概念-馬秀如教授PPT p9
16
目標
風險
回應
評估
營運
活動
控制
活動
監督
改正
持續 間斷
資訊
取自內部控制基本概念-馬秀如教授PPT p10
17
內部控制 vs. 風險管理
• 內部控制僅是風險管理的一部分而已
• 同一件事由二個單位分別推動
結果:1.分進合擊 或 2.力多備分?
•須特別謹慎
•觀念須相同,萬不得各說各話
.否則本身即在創造不利風險
•須協調
•觀念相同之前題:正確,錯得一樣之機率低
•即使資訊來源不同、表達方式不同,外文均有所
本,亦須先去蕪,追求本意,確實表達
取自內部控制基本概念-馬秀如教授PPT p51
18
建立風險管理
執行背景體系a
風險辨識b
溝
通
與
協
商
風
險
評
估
風險分析c
風險評估d
風險處理e
監
督
與
審
查
a:背景體系包括環境要素、
機關要素、風險管理之
架構、風險評量之標準
b:包括辨認會發生什麼?
如何、為何、何處、何
時發生?
c:包括找出事件發生的機
率、風險之等級及其影
響;須先確認既有控制
機制,是既有機制下之
機率等級及影響
d:指與風險基準比較,設
定優先順序
e:針對風險對策及處理計
畫,包括辨認可行對策、
評估與選擇對策,以及
執行處理計畫
風險管理架構(研考會「風險管理及危機處理作業手冊(98.1),圖2.3」,經簡化)
取自內部控制基本概念-馬秀如教授PPT p52
19
控制環境
目標設定
資
訊
與
溝
通
風
險
評
估
風險辨認
監
督
風險評估
風險回應
控制活動
風險管理架構(COSO,2004,配合研考會圖2.3而改繪)
取自內部控制基本概念-馬秀如教授PPT p53
20
內部環境
風險辨認
資
訊
與
溝
通
風
險
評
估
風險分析
監
督
風險評量
風險處理(回應)
控制作業
政府內部控制觀念架構 (主計處草案,100.5)
取自內部控制基本概念-馬秀如教授PPT p54
21
風險管理
研究發展考核委員會
http://www.rdec.gov.tw
22
風險管理
23
研考會風險管理網頁
http://www.rdec.gov.tw/np.asp?ctNode=12933&mp=100
資料(一)
24
研考會風險管理網頁
http://www.rdec.gov.tw/np.asp?ctNode=12933&mp=100
資料(二)
由於自然、人文社會環境的快速變遷,導致不利行政部門施政之各種風險
日益增加,包括自然環境異常之風險、科技風險、社會風險與全球化之衍
生風險等,所有風險變遷皆可能產生危害、緊急事件與危機,輕者影響施
政品質,嚴重者影響政府威信。
有鑑於此,行政院自94年起推動行政機關風險管理,97年度為促使各部會
將風險管理融入日常作業及決策運作與進一步強化機關危機處理能量,爰
訂定「行政院所屬各機關風險管理及危機處理作業基準」並製定實務作業
手冊,以期提供行政院所屬各級機關風險管理與危機處理正確觀念、統一
溝通語言及整合性架構與實務運用,有效建立風險管理與危機處理能量,
順利推動並落實風險管理與危機處理,全力達成機關目標並提升施政績效
與民眾滿意度。
承辦人:簡專員徐芬
聯絡電話:(02)23419066-282
E-mail: [email protected]
25
研考會風險管理網頁
http://www.rdec.gov.tw/np.asp?ctNode=12933&mp=100
資料(三)
26
什麼是風險
風險
潛在影響組織目標達成的事件,及其發
生的可能性及影響度。
風險係指面對一些事件的發生,可能會影響機關目標的達成
取自強化政府內部控制-實作篇(100.11.3) p18
27
什麼是風險
28
什麼是風險
風險
特性
將來性:與迫在眉睫危機不同
衝擊性:對組織目標達成有影響的
隱晦性:風險是部分未知的
變化性:風險隨時變化
前面例子是屬於風險? 危機? 有需要分嗎?
29
預防勝於治療
• 魏文王問名醫扁鵲說:「你們家兄弟三人,都精於
醫術,到底哪一位最好呢?」
• 扁鵲答說:「我大哥治病,是治病於病情發作之前,
由於一般人不知道他事先能剷除病因,所以他的名
氣無法傳出去,只有我們家人知道。我二哥治病,
是治病於病情初起之時,一般人以為他只能治輕微
的小病,所以他的名氣只能及於本鄉里。而我扁鵲
治病,是治病於病情嚴重之時,一般人都看到我在
經脈上穿針管來放血、在皮膚上動手術,所以認為
我的醫術高明,名氣因此響遍全國。」
• 扁鵲總結說:「其實我家醫術以大哥最好,其次二
哥,我最差。」
30
預防與治療
預防與治療 哪一個較易被看到?
預防與治療 哪一個較重要!
31
風險管理就是做預防的工作
•
未來的世界,唯一不變的就是「變」,唯
一確定的就是「不確定」。
•
變與不確定可能造成風險,風險未處理可
能帶來危機與災難。
•
事後的復原重建,事中的危機處理不如事
前的風險管理。
•
企業界已廣泛採用風險管理以求生存發展。
危機處理與風險管理 天氣與氣候 時間尺度之差異
32
避免造成危機! 包含危機處理!
33
風險管理:
定義
為有效管理可能發生的事件及其不利的影響,
所執行的步驟與過程。
基本架構包括辨識、評估、處理、監控等程序。
1.
辨識風險
2.
4.
評估風險
監視評估
3.
處理風險
34
哪A安ㄋㄟ
辨識與知道風險在哪很重要!
35
風險在哪--個人/機關
2011/10/28 中時網
短 評-無薪與無心
•2011-10-28
•中國時報
•【本報訊】
LED
筆電
裁員
全球
封裝龍頭億光宣布放無薪假,
代工大廠英業達隨即傳出
四百三
十二人的消息。這看似為科技產業的寒冬揭開序幕,卻也讓台灣
勞動體制所面臨的核心問題,再度浮現。
無薪假是金融海嘯時期的產物,雖然用意是希望勞資雙方能
共體時艱,以放無薪假取代解雇員工;但基本上,即使無薪假的
實施必須經過員工同意,可是任何人都明瞭,勞方根本是處於別
無選擇的絕對弱勢。
一個不對稱乃至失衡的勞資關係,正是當前勞動體制遭逢的
核心問題。以億光放無薪假為例,儘管老闆以個人名義捐錢給母
校,捐的是他個人的錢,但是選在同一天宣布放無薪假,怎麼看
都很荒謬。
根據億光的回應,放無薪假是公司治理,回饋母校是培育下
一代,兩者不能混為一談。如果這項邏輯成立,那就不要再把員
工是公司資產掛在嘴邊,何況億光去年營收有一百七十六億,今
年第一、二季也賺錢,共創此利潤的員工卻得放無薪假,講得過
去嗎?
與億光相較,英業達的裁員動作當然更叫勞工心碎。由於經
濟景氣衰退,英業達受到惠普電腦訂單銳減的衝擊,進而波及生
產線,固然可預見,但假使經營者熱中房市,亟思轉型,那麼公
司裁員也就不難想像。
其實,企業經營的成敗不過是有心、無心之別,一個賺錢時
大放無薪假,或是訂單減少就裁員的公司,至少都很難讓人覺得
它是有心經營的企業。
36
風險在哪
1758期時報周刊精彩內容 綠營新國師 翁三雄被下封口令
•2011-10-28
•中國時報
•【張毓琪/台北報導】
競選總部
蔡英文的
已對這位綠營新國師
一成立,形勢立即轉好,幫忙
下封口令
曾雅妮
看風水
的翁三雄,贏得「新國師」封號,媒體爭相邀約專訪。只是,民進黨從競選總幹事吳乃仁以降,
,希望他暫時不要對外發言,以免洩漏天機,讓對手有機可乘,破壞蔡英文成為台灣第一位女總統的美夢。
在揚昇球場留下冠軍獎盃,她身後的團隊也功不可沒。四十一歲、來自澳洲墨爾本的傑森漢彌爾頓,是雅妮的桿弟,他也當過世界球后索倫絲坦的桿弟;漢彌爾頓
團隊成員 包括教
練、經紀人與心理醫生
說三年前,就有意和曾雅妮配合,「我那時就發覺曾雅妮極具潛力,像一顆有待琢磨的鑽石。」
還
,讓妮妮能心無旁騖當上球后。更多精彩話題,詳見今日出刊的時報周刊。
37
風險在哪
新聞分析-世局多變 難倒張董
•2011-10-28 01:19
•工商時報 涂志豪
台積電董事長張忠謀經常針對景氣變化、匯率等議題對外發言。如張忠謀9月初參加台灣半導體產業協
會(TSIA)15週年慶時說,看到韓國政府對三星等企業的保護,光比較台、韓最近1年的匯率變化,就明顯看得出來,韓國對本國
企業的照顧,比起台灣要好很多。
本月初,張忠謀參加2011台灣最佳聲望標竿企業頒獎典禮,對全球經濟景氣發表看法,他直接指出,現在及未來1年都看
不到春天的燕子,台灣因為是個淺碟型市場,一定會受到歐美日及大陸的影響,所以也不會好。
今年以來,
歐債問題歹戲拖棚,美國經濟成長趨勢,中國及印度又有通膨問題,
加上今年上半年有日本大地震,下半年又有泰國水災,天災人禍不斷,
全球景氣因此快速變化,而且充滿了極高的不確定
性。
事實上,
在風暴中心的歐洲,各國領袖4天開了2次高峰會,昨日終於有了初步結論,一是歐洲領袖說服希臘債券持有人承受50%的損失,一是歐盟則把
救助基金提高到1兆歐元規模。只不過,看在台積電董事長張忠謀眼中,這並不算是真正解決問題。
張忠謀說,對於明年全球經濟,還是維持先前的說法沒有改變,全球經濟變化確實影響半導體市場,但是,歐債問題還沒有完全解決,「我每天
都在平板電腦上看歐洲的最新消息」,但歐盟高峰會只見到一些大方向,「我每天都在等待具體解決方法出來」。
不論歐債的問題可否在此次的歐洲領袖高峰會中獲得真正解決,有關歐債危機等大環境變化對於半導體市場的影響,張忠謀卻不願再進一步說明。
台積電在昨天法說會後,特別留了30分鐘時間給媒體問問題。由於全球總體經濟情勢變化太快,不確定性也太高,大家都想知道像張忠謀一樣的
企業家,對於後續市場的變化有何新的解讀。只可惜,張忠謀出乎意外的惜字如金,大概是真的景氣變化太快,已經很難理出一個頭緒了。
38
風險在哪--個人/機關
39
風險在哪--個人/機關/產業
40
風險在哪--個人/機關
桃機狀況多…清潔工占珠寶 搬運工撬行李
【聯合報╱記者盧振昇/桃園機場報導】2011.10.28 04:17 am
桃園機場林姓清潔工涉嫌侵占旅客遺失在廁所、價值百萬元的珠寶。
記者盧振昇/攝影
桃園機場拾金不昧善行時有所聞,近日卻連續爆發機場清潔工涉嫌侵占旅客遺失價值百萬元珠寶,及桃勤搬運工破壞旅客托運行李鎖頭,
打算偷竊未遂醜聞,讓國之大門蒙羞。
涉嫌侵占旅客遺失物的林姓女清潔工,與竊取旅客財物未果的桃園航勤公司前林姓搬運工,已分別被依侵占、竊盜未遂罪移送。女清潔工所屬信實集團、搬運工所屬的桃勤公司異口同聲表示,
會以此為案例,加強員工教育訓練。
警航警局調查,柳姓女性旅客廿三日由桃園機場二航廈出境,不慎將手提包遺留在D5登機門旁女廁內,手提包內有價值新台幣百萬元貴重珠寶。
柳姓女客上機後發現,由在台妹妹向航警報案,經調閱監視畫面,發現負責打掃的林姓女清潔工涉嫌,立即約談林,但林女當時否認,昨天她主動打電話至航警局坦承侵占,並帶員警取出藏
在清潔工置物間內取出珠寶失物。
航警局表示,遺失地點屬機場管制區內,人員進出門工作都需經X光機安檢,
研判林姓女清潔工可能因此不敢帶出,放在置物間內。
在D5登機門旁的廁所,
至於航勤林姓搬運工涉嫌行竊旅客托運行李箱財物的過程更離譜,被竊旅客打開行李發現,行李內莫名其妙多出一枚工作手套,航警根據這枚手套追出竊賊。
航警局表示,這名旅客上月廿四日搭乘華航班機,林姓
行李搬運工在搬運時起歹念
,將行李後艙攝影機電源關閉,破壞行李箱鎖頭,伸
手偷竊財物,慌亂中什麼東西都沒偷到,卻因太緊張,遺留一枚工作手套在旅客行李箱內。
受害的旅客發現行李箱遭到破壞,且行李箱內無故多出一枚工作手套,向華航反映,華航向航警局報案。
破
壞旅客行李箱鎖頭伸手進入行竊時,因太緊張東西沒偷到,卻
把工作手套留在箱內,留下自己犯罪的證據。 【2011/10/28 聯合報】@
刑警隊傳喚當時在行李後艙的三名作業員,三人都矢口否認,其中林還向警方表示,當天忘了帶工作手套。警方採取林等人的DNA檢體送刑事局化驗,日前報告出爐,林才坦承,
http://udn.com/
41
風險在哪
42
風險在哪
43
風險在哪--個人/機關
醫奉獎老修女 被拒長照社福外
•2011-11-20
•新聞速報
•中央社
西班牙籍修女丁德貞畢生奉獻痲瘋病患,獲得第15屆醫療奉獻獎,台灣是她的第二故鄉;然而,風燭殘
年的她,失智失能又臥床,卻被排拒在台灣的長期照顧社福大傘外。
教友周富美說,88歲的丁德貞有台灣永久居留證,也有健保卡,卻無法申請居家復健及社區照護;教友
在台北市政府和內政部入出國及移民署之間奔走,得到的答案是「因為她沒有放棄西班牙國籍,不算是中華
民國國民,無法提供到宅居家服務。」
天主教耶穌孝女會修女何秀月說,丁德貞這幾年健康每下愈況,連回診拿藥都是別人代勞,最近天氣不
好,只能請外籍看護幫她翻身、活動手腳,連輪椅都沒辦法坐,不方便見訪客,更別提出門了。
何秀月說,有時丁德貞會嚷著「媽媽在等我回家」,這正是失智症的症狀,其實丁德貞的母親早就回天
家了,「國籍」這個問題不在丁德貞的腦海裡;只有在聽到禱告時,她的神智恢復清明,雙眼炯炯有神。
丁德貞就算想放棄西班牙國籍,現在也無法飛到西班牙或到使館辦理手續;周富美說,丁德貞把台灣當
成第二故鄉,就差一張身分證,如果台灣不給,樂生院民打算「自製」一張,當成她12月12日的生日禮物。
23歲那一年,丁德貞來到中國大陸安徽的孤兒院,照料沒爹沒娘的孩子,1953年渡海來台,1962年她得
知樂生療養院的漢生病(原名痲瘋病)院民無人照料,於是開始照顧院民;她為院民洗澡、擦藥時,總是不戴
口罩和手套,不讓院民感到難堪,教會給她返鄉探親的機票錢,她也省下來捐給院民當紅包。
丁德貞在2005年獲得第15屆醫療奉獻獎,她和其他外籍神職人員把一生奉獻給台灣,卻沒有想過要台灣
回饋什麼。何秀月說,直至最近申請「馬偕計畫」,外籍老修女、老神父搭公車去看病,車資才有補助。
內政部社會司的「馬偕計畫」今年6月實施,對象是長期無私奉獻的外籍人士,經政府部門或已立案機
構、團體表揚,或核發長期奉獻服務或具有特殊貢獻的證明文件,可獲得比照我國老人補助搭乘大眾運輸工
具,或公立育樂機構門票優待。
不過,從民國96年實施的「長期照顧10年計畫」,排拒外籍人士,陸續有外籍老修女、老神父過世,無
人聞問;周富美擔心丁德貞的狀況,因為連照顧丁德貞的修女都是老人,外籍看護分身乏術,無法提供專業
的復健醫療。
幾年前,周富美親眼目睹丁德貞照顧樂生最老的院民林卻阿嬤,瘦小佝僂的老修女照料顏面殘缺的老病
44
人,深受感動;她感慨,馬偕博士曾說過「寧願燒盡,不願毀壞。」丁德貞愛台灣一輩子,就將燒盡,台灣
缺角的社福體系卻不能回報丁德貞的愛。1001120
風險在哪--個人/機關
曾馨瑩疑濫用外勞 北市將約談
•2011-11-20
•新聞速報
•【中央社】
鴻海董事長郭台銘家裡傳出濫用外籍看護工,市勞工局今天表示,17日就約好時間,
要求下週到局裡說明;若違法事證明確,依就業法第57條第3款最高可罰新台幣15萬
元。
民眾向行政院勞工委員會檢舉,郭台銘的妻子曾馨瑩日前抱著女兒到SOGO百貨忠孝
館時,身旁幫忙提購物袋的竟是她婆婆的外籍看護工;勞委會即函請北市府調查。
台北市政府勞工局外勞事務科科長陳惠琪表示,17日接獲訊息後,就約好時間,
要求對方到局裡說明。她表示,外籍看護工照顧被看護者及其起居,工作內容應該圍
繞被看護者,若超越此工作範圍就違法。
陳惠琪表示,下週約談後,若違法事證明確,將對外說明並立即開罰,依照就業
服務法第57條第3款,可罰3萬元至15萬元;至於是否由曾馨瑩本人出面、確切約談日
期,陳惠琪擔心影響約談,不願透露。1001120
45
風險在哪--個人/機關
46
想想有那些風險項目
對貴機關
對您個人
47
您認為您所訂風險項目完整嗎?
想想有沒有更好方法辨識風險?
48
辨識風險
•目的:找出組織面臨的各種風險及其如何發生
•作法:
1、選擇辨識方法以尋找風險。
辨識方法常用的有:歷史資料分析、作業分析、腦
力激盪、SWOT、問卷調查、情境模擬…等
2、聚焦在新的政策或有變動的政策計畫。
3、列出風險發生的原因與影響範圍
4、文件化所發掘的各種風險。
(風險辨識十分重要,若錯誤將無法對症下藥)
49
風險類型
外部風險:來自外部環境變遷之壓力,組織無法控制,但可以採取行動以紓緩
• 社會文化:人口特質、習俗價值
• 科技發展:生物科技、奈米科技、基因工程
• 自然事件:颱風、地震、水旱災、疫病、氣候暖化
• 經濟環保:國際金融變化、區域經濟體競爭、能源供給、失業水準、 CO2 排放
• 政治法律:意識型態、政府体制、兩案關係、政府組織調整、勞工環保法規
營運風險:有關目前服務遞送與維持營運量能的風險
•財物風險:預算是否充足、財務管理是否健全、實體資產損害
•人力風險:員工能力、技術、人事管理是否良好
•資訊風險:資訊系統是否充分支持決策、做好隱私保護
•倫理風險:有無貪污舞弊情形
•與利害相關者的關係:顧客、夥伴、媒體、課責機關等的意向是否變動
•政策變革:決策產生的風險是否超過目前組織所能處理的能量
50
取自風險管理及危機處理作業手冊
51
52
辨識風險
•目的:找出組織面臨的各種風險及其如何發生
•作法:
1、選擇辨識方法以尋找風險。
辨識方法常用的有:歷史資料分析、作業分析、腦力激盪、SWOT、問卷調查、情境模擬…
等
加 自己和別人不同處
2、聚焦在新的政策或有變動的政策計畫。
3、列出風險發生的原因與影響範圍
4、文件化所發掘的各種風險。
(風險辨識十分重要,若錯誤將無法對症下藥)
有可以抄就用抄 沒有可以抄就看看旁邊的 (別一起被罵)
甚麼是一單位之資產 士官長 資深員工 他們知道怎麼處理
換新人 有新作法較易出事
經驗在腦中隨著人離開流失 文件化對傳承的重要
看了每個人都可是資深 -- 風險管理/內部控制好處之一
前幾頁資料 或別單位風險項目
協助我們更有系統整理 -- 另一風險管理/內部控制好處 53
辨識風險還有甚麼需注意
風險係指面對一些事件的發生,可能會影
響機關目標的達成。(取自強化政府內部
控制-實作篇(100.11.3) p18)
或
風險指潛在影響組織目標達成的事件,及
其發生的可能性及影響度。(取自古處長)
組織(機關)與目標
54
辨識風險前建立背景系絡
• 目的:界定機關與周圍環境之間的關係,找出機關的優點與弱點
及外部環境的機會與威脅,提供風險管理活動所需的基礎資料。
• 作法:
1、確認組織或業務(計畫)目標。
2、界定外部環境因素
審視組織與外部環境之間的關係,包括政治、社會、經濟、
科技、自然環境等及其變遷趨勢與對組織之影響,找出組織
的機會及威脅。
3、界定內部環境因素
審視組織的組織結構、內部作業流程、倫理文化,及所能運
用的人力、財務、資訊,與同仁所具備解決問題的能力是否
55
有弱點。
加拿大風險管理架構
認識
議題
環境
評估主要
風險區域
分析可
能性及
嚴重性
監控、
評估與
調整
排列風
險順序
執行
策略
選擇
策略
設定預
期目標
發展可
行方案
56
目標與風險
願景/使命
機關目標
單位目標
單位目標
單位目標
風險
風險
風險
風險
風險
風險
控制
控制
控制
控制
控制
控制
內部流程
人員
系統
監督
取自強化政府內部控制-實作篇(100.11.3) p17
57
案例1、中華郵政主要風險項目
R1:
郵務 郵件遞送
延誤或遺失
R2:
郵路阻斷
R3:
R4:
R5:
儲匯 營業櫃臺 現鈔搶劫 歹徒利用郵局
員工舞弊
事件
帳戶進行詐騙
壽險
R6:
R7:
核保風險 理賠風險
R8:
R9:
R10:
R11:
其他
客戶
網路中斷或
天然災害致 資金運用
資料外洩 資訊設備毀損 郵局局屋毀損
風險
那些是特異 那些是共通?
58
案例2、高鐵局主要風險項目
風險項目
機
場
捷
運
計
畫
高
鐵
計
畫
其
他
R1
機場捷運營運前準備作業不及影響如期通車
R2
機場捷運機電設計延誤
R3
機場捷運土建與機電標施工界面衝突,影響施工
R4
用地取得延遲影響工程進度
R5
工安事故與災害
R6
天然災害造成設施損壞、交通中斷
R7
恐怖攻擊、人為破壞及火災災害,造成設施損壞、交通中斷
R8
行車事故影響運轉安全
R9
高鐵服務品質不佳
R10
高鐵財務困境,導致營運發生中斷危機
R11
三鐵共構車站各營運單位權責管理界面複雜影響救災效率
R12
重大疫病影響旅客健康
R13
高鐵合約爭議處理,影響政府權益
R14
基金財務失衡與土地處分不利
R15
資訊安全
R16
辦公室火警
那些是特異 那些是共通?
59
案例3、氣象局主要風險項目
http://921.gov.tw/record/rec_photo.html?cid=330
60
氣象與地震監測
61
氣象與地震測報作業
觀測資料
國外
外部環境
資料彙整
資料處理計算
改進
措施
內部檢討
人員分析研判
資料供應
使用者應用
62
組織目標與施政目標
組織目標
施政目標
即時提供正確的氣象監測、預報資 1. 氣象作業自動化
訊,以降低氣象、地震天然災害損
2. 氣象預報精緻化
失、提升資源管理效益。
3. 氣象服務多元化
63
施政目標與業務方案
施政目標
業務方案/計畫/其他
1. 氣象作業自動化
1.1
建立與維護氣象作業系統
2. 氣象預報精緻化
2.1 發展數值預報、建立新觀測等作業系統
3.氣象服務多元化
3.1
建立多元服務管道
64
監測預報作業之特性
即時--需要在很短時間內提供資料
正確--資料不容許有錯、預報要準確
適用--資料要適合各種使用者使用
變動--發展中的科技
65
案例3、氣象局主要風險項目
那些是特異 那些是共通?
66
再想想有那些主要風險項目
對貴機關
認為完整了嗎?
67
想想如果要完整得到貴機關風險項目
需要誰一起參與?
願景/使命
機關目標
單位目標
單位目標
單位目標
風險
風險
風險
風險
風險
風險
控制
控制
控制
控制
控制
控制
內部流程
人員
系統
監督
68
主要國家政府風險管理值得借鏡之處
(一)高階長官的參與是成功的第一步
(二)指定具熱忱專人負責有必要
(三)要動員組織全體
(四)初期應以教育訓練優先
(五)須發展好的實例、手冊、技巧
(六)要與現行決策制定結構結合
(七)要不斷學習與檢討改進
沒有高層之支持與單位裡最了解業務者之參與很難得到實效
這不是新創 只是將現行作業以更系統化、文件化方式呈現
69
前面案例中之風險項目都是主要項目
如何評估重要不重要?
70
風險評估
• 風險係指面對一些事件的發生,可能會影響機關
目標的達成
• 機關任何業務之推展都可能面臨風險,因此要强
化內部控制之前提即是要做好風險評估,以辨識
無法達成目標之內、外在風險因素
• 繼而分析風險的影響程度及發生之可能性,考量
風險評估的結果及風險容忍度,據以擇定應進行
風險處理之業務項目
• 風險評估程序得參考「行政院所屬各機關風險管
理及危機處理作業基準」及「風險管理及危機處
理作業手冊」辦理
• 因應機關特性有適宜之風險評估方法,亦可逕行
採用
取自強化政府內部控制-實作篇(100.11.3) p18
71
評估風險
• 目的:篩選出重要之風險
• 作法:﹝80/20法則﹞
1. 風險分析--分析風險發生的可能性及
影響度。分析方法包括定性分析、半
定量分析、定量分析。
2. 風險評量—依風險分析的結果,評定
風險等級,並與風險基準比較,篩選
出重要之風險,以進行處理。
72
1.風險分析
(1).風險發生可能性
定量分析:用實際數據來描述影響與機率。
定性分析:使用文字敘述的分類等級來描述發生機率與
影響度,因此需要建立風險可能性評量標準。
半量性分析:以實際數值表示定性分析等級,目的是便
於計算,決定一個比定性分析更精確的優先順序。
•定性與半定量分析最簡單方式:三分法
低
中
高
(1)
(2)
(3)
不太可能在一 可能在一年內 很可能在一年
年內發生
發生
內發生
73
案例1. 高鐵局風險發生可能性評量標準
等
級
可能性分類
發生機率百
分比
詳細的描述
5
發生機率極高
90-100%
在絕大部分的情況下會發生
4
發生機率高
61-89%
在大部分的情況下會發生
3
發生機率中等
41-60%
有些情況下會發生
2
發生機率低
11-40%
只會在特殊情況下發生
1
發生機率極低
0-10%
只會在極少的特殊情況下發
生
74
案例2. 台灣鐵路局風險發生可能性評量標準
風險機率等級說明:以10年事故發生平均值做基礎。
可能性分類 等級
幾乎不
可能
不太可能
可能
非常可能
幾乎確定
詳細的描述
1
10年從未發生
2
10年發生件數1次
3
10年發生件數2次
4
10年發生件數3次
5
10年發生件數4~10次
6
10年發生件數11~20次
7
10年發生件數21~30次
8
10年發生件數31~49次
9
10年發生件數數50~99次
10
10年發生件數100次以上
75
16
案例3. 氣象局風險發生可能性評量標準
等
級
可能性分類
詳細的描述
3
發生率高
在絕大部分的情況下會發生
2
發生率中等
有些情況下會發生
1
發生率低
只會在極少的特殊情況下發
生
76
(2).風險影響度的分析
定性與半定量分析:建立風險影響度評量標準
衝擊
衡量
傷害及損失
作業面影響
名譽損失
大
(3)
1.資產損失大於$1M。 1.大部分基本服務中斷 1.公眾及媒體要求撤換
(大於 7 天)。
部長或高層主管。
2.死亡。
2.顯著喪失民眾信任。
2.高敏感度資料損失或
洩漏。
中
(2)
1. 資 產 損 失 介 於 1. 部 分 基 本 服 務 中 斷 1.負面媒體報導。
$100K-$1M。
(小於 7 天)。
2.受到公眾批判喪失部
2.嚴重的傷害或長期疾 2.敏感度資料洩漏。
分民眾信任。
病。
小
(1)
1. 資 產 損 失 小 於 1. 計 畫 或 程 序 些 許 中 1. 部 分 媒 體 的 負 面 報
$100K。
斷。
導。
2.小傷害或短期疾病。 2.保護資料洩漏。
2.民眾信任倒退。
77
案例1. 高鐵局風險影響度評量標準
等級
衝擊或
後果
形象
人員
民眾抗爭
財物損失
5
非常
嚴重
國際新聞媒 人員死亡 大規模遊行 大於十億(含)
體負面新聞 (2名以上) 抗爭
4
相當
嚴重
國際新聞媒 人員死亡
體負面新聞 (1名)
3
嚴重
台灣新聞媒 人員重傷 至中央機關 一億以下~
體負面新聞 (1名以上) 抗爭民眾
一千萬(含)
2
輕微
區域新聞媒 人員輕傷 至機關抱怨 一千萬以下
體負面新聞 (2名以上)
~五佰萬(含)
1
極輕微 區域新聞媒 人員輕傷
體負面新聞 (1名)
至2個以上
機關抗爭
十億以下~
一億(含)
多位民眾電 五佰萬以下
話抱怨
78
案例2. 台鐵局影響度評量標準
列車總
延誤總時分
財物損失
(搶修費用)
死傷
(平交道及跨越軌道)
旅客(人)
非常 241以上
嚴重 181-240
死亡10人以上
死亡10人以上 國際性報導
101-500萬
死亡6-9人
死亡8-9人
國際性報導
81-100萬
死亡4-5人
死亡6-7人
全國性電子媒體頭
版報導
51-80萬
死亡2-3人
死亡4-5人
全國性平面媒體頭
版報導
61-120
21-50萬
死亡1人
死亡2-3人或
受傷4人以上
全國性報導
46-60
11-20萬
受傷3人以上
死亡1人或受
傷3人
地方平面及電子媒
體報導
31-45
6-10萬
受傷2人
受傷2人
電子媒體報導
21-30
1-5萬
受傷1人
受傷1人
地方平面媒體報導
11-20
1萬元以下投石
致玻璃損壞
0
撞到不明物或
物體
5仟元以下
0
0
相當
嚴重 121-150
嚴重
極輕
微 10以內
17
民眾(人)
501萬以上
151-180
輕微
形象
79
案例3. 氣象局風險影響度評量標準
等級
衝擊或
後果
形象
影響
民眾抗爭
3
大
國內媒體負面
新聞
作業異常影響 民眾抱怨或抗
資訊提供6小 爭已受媒體報
時
導
2
中
地方媒體負面
新聞
作業異常影響 因本局缺失民
資訊提供3小 眾抱怨或抗爭
時
1
小
少數負面輿論
作業異常影響 多位民眾以電
資訊提供1小 話或郵件抱怨
時
80
2.風險等級評量
(1).建立風險等級基準與風險管理行動模式
風險管理行動
衝擊
大
控制
監視
中
接受
小
低
中等
高
發生可能性
81
(2).建立組織風險分布圖﹝例示﹞
風險代號意義:
風險分佈
大
S1‧
E2
‧
L2
‧
影
響
L1
‧
F2
‧
E1
‧
L3
T1‧
‧
F3
‧ S3
‧
S2
‧
F1
‧
T2
‧
T3
‧
E3
‧
小
低
可能性
高
經濟的財務的
F1 利率
F2 公債
F3 保費
環保的
E1 氣候改變
E2 污染
E3 臭氧耗盡
法務的
L1 債務
L2 人權
L3 國際協定
科技的
T1 核能
T2 生物科技
T3 基因工程
安全與保安
S1 入侵
S2 恐佈行動
S3 組織犯罪 82
案例1、高鐵局風險圖像
影響(I)
(衝擊或後果)
非常嚴重(5)
風 險 分 布
相當嚴重(4)
R7 R8
嚴重(3)
R5
R10
R6 R11
R12
R13
R1 R2
R3 R9
R14 R15
輕微(2)
R16
極輕微(1)
R4
發生機率
極低(1)
極度風險
低(2)
中等(3)
機 率(L)
高(4)
極高(5)
中度風險
83
高度風險
低度風險
案例2、氣象局風險圖像
影響(I)
(衝擊或後果)
風 險 分 布
大
R1 R4 R6
R2
R3
R7 R8
中
R5
小
發生機率
低(1)
中等(2)
高(3)
機 率(L)
低度風險
接受
中度風險
監視
高度風險
控制
84
評估之後做甚麼
風險評估
• 風險係指面對一些事件的發生,可能會影響機關
目標的達成
• 機關任何業務之推展都可能面臨風險,因此要强
化內部控制之前提即是要做好風險評估,以辨識
無法達成目標之內、外在風險因素
• 繼而分析風險的影響程度及發生之可能性,考量
風險評估的結果及風險容忍度,據以擇定應進行
風險處理之業務項目
• 風險評估程序得參考「行政院所屬各機關風險管
理及危機處理作業基準」及「風險管理及危機處
理作業手冊」辦理
• 因應機關特性有適宜之風險評估方法,亦可逕行
採用
取自強化政府內部控制-實作篇(100.11.3) p18
85
評估之後做甚麼
風險管理:
定義
為有效管理可能發生的事件及其不利的影響,所執行
的步驟與過程。
基本架構包括辨識、評估、處理、監控等程序。
1.
辨識風險
2.
4.
評估風險
監視評估
3.
處理風險
86
風險管理:
1、定義:
 為有效管理可能發生的事件及其不利的影響,所執行的
步驟與過程。
 基本架構包括辨識、評估、處理、監控等程序。
2、 二個重要觀念:
 事件發生的機率或其影響是可以減少的。
 風險管理不是追求「零」風險,而是強
調在可接受的風險下,追求最大的利益。
87
處理風險
•目的:減少風險對組織的負面影響
•作法:可採單一或多重風險控制方式
接受
風險在容忍範圍內,予以容忍不作處理
規避
風險在容忍範圍外,處理成本高於利益
控制
﹝風險低﹞
﹝禁止衍生性金融商品投資、禁止機 密資料連網﹞
降低發生率﹝權利分立、防火牆、加強內控﹞
降低衝擊度﹝氣囊、備援機房、緊急應變計畫﹞
移轉
轉由他人承受者﹝購買保險、業務委外﹞
88
案例1、H1N1新流感風險應變對策
--訂定處理計畫
最高指導
綱領
(行政院 94. 5.
23 核定)
依「準備
計畫」制
定之執行
策略及各
機關因應
實務依據
因應流感大流行
準備計畫
(準備計畫)
因應流感大流行
執行策略計畫
(策略計畫)
(行政院 97.
2. 20 核定)
細部
作業
規劃
因應流感大流行
作戰計畫
(作戰計畫)
總體目標:
一、杜絕發生
三、減少傷害
四大策略:
二、避免感染
四、有效復原
五大防線:
1.及早偵測
1.境外阻絕
2.傳染阻絕
2.邊境管制
3.社區防疫
3.流感抗病藥
4.醫療體系保全
物儲備與使用
5.個人與家庭防
4.疫苗研發
護
89
案例2、鐵工局天然災害造成設施損壞風險對策
風險本質
風險處理對策
殘餘風險
機率(L) 1.加強設施安全監測,每週、每月彙 機率(L)
整安全監測成果並提報工程處備
2
查
影響(I) 2.落實防救災宣導演習,每年辦理演 影響(I)
習1次(含各項防救災演練)。
3.維持通報系統暢通。
風險等級
4.加強汛期防災設施及器材檢查:各 風險等級
(R)=(L)x(I)
(R)=(L)x(I)
標工程訂定防汛計畫,每月及颱
風前辦理防災設施及器材檢查。
5.落實網路通報系統。
6.地震後立即派員巡檢工地,回報災
=2x3
=2x2
情,並做善後處理,必要時增加
90
監測頻率。
2
3
6
2
4
案例3、氣象局對資訊傳遞風險風險對策
•3.1強化氣象預報與地震測報的備援作業能力,建置網路多重路徑備
援,以確保資訊提供無中斷之虞;預報作業若因地震天災造成設備或
人員傷亡時,可迅速調集各地損傷輕微之氣象站人員支援,並於南區
氣象中心設立備援作業中心,進行預報作業,未來並規劃第2或第3備
援作業中心。
•3.2當電子媒體因電力消失或外來干擾喪失傳輸能力時,可透過本局
網頁、傳真回傳系統或電話語音,甚且可請求警消人員於各地區張貼
公告或廣播,以確保民眾獲得正確訊息。
•3.3遇緊急狀況時派遣人員將預報書面資料送至中央機構、地方災害
應變中心及電視台,並透過傳播媒體發布訊息。
•3.4與通訊合約服務廠商合作建立多重傳輸管道及管控介面,以避免
地震發生時,因通訊異常造成地震報告簡訊無法及時全部發送完成事
件再度發生。
•3.5加強與消防署合作,透過該署建立之防救災資訊網,傳輸災害性
天氣預報與地震資訊,使第一線防救災決策人員能迅速獲得氣象資訊。
91
處理之後做甚麼
風險管理:
定義
為有效管理可能發生的事件及其不利的影響,所執行
的步驟與過程。
基本架構包括辨識、評估、處理、監控等程序。
1.
辨識風險
2.
4.
評估風險
監視評估
3.
處理風險
92
研考會風險管理網頁
http://www.rdec.gov.tw/np.asp?ctNode=12933&mp=100
資料(一)
93
•風險處理步驟
評量風險並分類
是
可容忍的風險
接受
否
列出可
行的風
險對策
降低發生
的機率
降低衝擊
全部或
部份轉嫁
規避
溝通及協商
監視及檢討
考慮可行性、成本及利益
評估並
選擇風
險對策
列出可行的風險對策
選擇風險對策
準備處
理計畫
執行處
理計畫
準備處理計畫
降低發生
的機率
降低衝擊
全部或
部份轉嫁
規避
殘餘風險
可容忍的風險
否
是
接受
94
內部環境
風險辨認
資
訊
與
溝
通
風
險
評
估
風險分析
監
督
風險評量
風險處理(回應)
控制作業
政府內部控制觀念架構 (主計處草案,100.5)
取自內部控制基本概念-馬秀如教授PPT p54
95
溝通與協商
• 目的:
確保利害關係人均能瞭解風險與支持風險對策,進而提
升對組織的信任
• 作法(對外溝通原則):
1. 掌握溝通目的與底線
2. 了解溝通對象,慎訂溝通策略
3. 儘早、主動溝通
文件化定量化
4. 善用多元溝通管道
是有利溝通 與達共識
5. 態度真誠、坦白與公開
不會誤會或各說各話
6. 傾聽民眾關切的重點
7. 滿足媒體的需要
-- 風險管理/內部控制另一好處
• 作法(對內溝通原則):
1. 上對下要做風險政策的宣達
2. 下對上要做風險發現的報告
96
3. 單位之間要分享風險管理的經驗
推動風險管理應避免的陷阱
(一) 忽略已發展成熟之工具或方法,重複
投入發展。
(二) 過度依賴顧問專家。
(三) 處理風險沒有重點。
(四) 只討論風險而不討論風險對策。
(五) 在第一時間內企圖量化所有的風險。
97
風險管理與危機處理成功的要件
• 首長支持與有明確的政策
• 有堅強的推動組織
• 有完善的計畫與執行步驟
98
風險評估融入內部控制
設計步驟
確認
目標
風險
評估
選定
業務
項目
設計
控制
作業
建立
檢查
機制
取自強化政府內部控制-實作篇(100.11.3) p16
99
99
謝謝聆聽
敬請指正
100