https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

企業安全管理系列四 風險管理循環

2005 / 02 / 03
徐子文
企業安全管理系列四  風險管理循環

風險管理循環(Risk Management Cycle)包括風險鑑別、風險評估、對策選擇與施行,以及成效評估四個階段,如圖1所示。

一、風險鑑別 Risk Identification
在做任何風險管理之前,我們一定要先知道有哪些風險種類、威脅來源在哪裡,這樣才不會失去目標。

A. 風險種類 (Type of Risks)
風險種類的定義有好幾種方式,筆者比較偏好將風險分成「投機風險」和「純風險」兩種。
1. 投機風險 (Speculative Risk):有可能得,也可能失─有人賺了大筆鈔票而興奮不已,相對的就有人因為被套牢而懊惱心傷。如:策略風險、財務風險、投資風險等。
2. 純風險(Pure Risk):實際損失。就算損失獲得保險理賠,也僅只是獲得財務填補。如:天然或人為造成的災難、作業風險、犯罪活動等。
一般而言,安全管理工作的焦點是在管理「純風險」上。

B. 威脅源 (Source of Threats)
威脅源來自兩大方面,分別是「人為風險」和「自然災害」。其中「人為風險」又可分類為:「犯罪行為」以及「意外(含其他)」(詳見下頁表1)。


二、風險評估 Risk Assessment
風險評估是風險管理循環中最重要的一個步驟,因為這是需要縝密思考和下判斷的時候;企業安全管理專業的最大表現就在這一步驟上。
風險評估是針對標的物所面臨的各種威脅一一進行評估,藉由下列的「風險評估公式」將風險程度盡可能的量化,以供設定優先等級及選擇對應手段。
A. 風險評估公式
R = T x P x V x C
風險(Risk) = 威脅(Threat) x 可能性(Probability) x 弱點(Vulnerability) x 緊要性(Criticality)
在本公式中,T項是此風險評估標的物是否會面臨該項威脅。其值為0或1。
P項是威脅發生的客觀可能性,大部分資料都可以經由公開資料獲得,需要事前作一些資料蒐集和分析工作。
V項是標的物面對該項威脅的弱點程度,一些弱點偵測服務可以提供客觀觀察值,不過除非是極度高科技,否則通常是自己人最清楚,所以經驗法則也很好用。
C項是指若該標的物因威脅實際發生而受害,其對於整體營運的影響程度。

B. 安全評估表範例
下頁表2是一個以台灣百貨商場美食街的作業狀況進行風險評估的範例。在本範例中筆者以簡單的1到4來做分級,求其精簡易用。

C. 風險評估陣列
當我們完成了「安全評估表」之後再對應圖2的「風險評估陣列」,就比較容易判斷風險管理的優先等級。無須贅言,風險越高,越需要做風險管理。


三、對策選擇及施行 Countermeasure Selection & Implementation
經過風險評估,就要對某些特定威脅進行風險對策的選擇。基本上,這裡就是風險管理技術運用的地方。一般常聽到的門禁管制、CCTV、警衛巡邏、警報系統、防毒軟體、防火牆、權限管理等等都屬於這個階段。
選擇和施行風險對策時,我們還是有策略面和作業面的考量,更重要的是一定要有風險成本曲線的觀念。

A. 風險管理手段
風險管理手段有5種,分別是:1.規避風險(Risk Avoidance);2.移轉風險 (Risk Transfer);3.分散風險 (Segregation of Risk);4.預防損失 (Loss Prevention);以及5.抑制損失 (Loss Reduction)。
其中「規避」、「移轉」和「分散」屬於策略面,而「預防」和「抑制」則屬於作業面。

B. 風險成本曲線
選擇風險對應手段前,有兩個觀念先要加以認知:1. 沒有絕對的安全,只有相對的安全。2.風險管理是投資,必須注意成本效益。所以當有人說他可以做到滴水不漏的安全,除了問「如何做?」之外,更重要的是弄清楚「要花多少錢?」。
如圖3所示,風險成本是預防性支出和風險損失的總和。風險管理的目標是取風險總成本最小的地方,也就是成本效益最大的地方。另外要注意的是,因某些特殊情況,或是企業特性的不同,我們並不能完全用經濟學的原則來選擇所謂的「最佳」目標,而可能必須思考這最經濟的管理目標是否為該組織的最高可容忍風險點。
舉例來說,為了防SARS,每個人都日常配戴N95口罩,似乎是多慮了些;而重要軍事營區連CCTV系統都設不好,則未免太失之大意。


四、成效評估 Evaluation
要如何合理合宜地量化安全管理的成效,呈現給高階經理人和股東,一直都是安全經理人的挑戰。
一般而言,因為是預防性作為,功效是出現在「沒發生」,然而「沒發生」的事一直都不好「評估」。筆者對這一環一直抱持高度的興趣,每次有機會到國內外參訪其他安全管理經理人時都會問一下他們的作法。
比較常用的是「差異分析」(Gap Analysis)、「最佳典範比較」(Best Practices Benchmarking)、「安全感量表」、「損失趨勢表」等。一些評量方式也正在發展中。可預期的是,未來會有更多更合用的方法邏輯產生。