Download presentation
Presentation is loading. Please wait.
1
行政院主計處主計人員訓練中心 政府內部控制種子教師研習班第3期 100年12月15日 風險評估實務與案例 葉天降 交通部中央氣象局
2
內部控制與風險評估
3
內部控制與風險評估
4
設計步驟 內部控制與風險評估 取自強化政府內部控制-實作篇(100.11.3) p16 確認目標 風險評估 選定業務項目 設計控制作業
建立檢查機制 取自強化政府內部控制-實作篇( ) p16
5
目標、風險與控制 願景/使命 機關目標 單位目標 風險 控制 內部流程 人員 系統 監督
取自強化政府內部控制-實作篇( ) p17
6
風險評估 風險係指面對一些事件的發生,可能會影響機關目標的達成
機關任何業務之推展都可能面臨風險,因此要强化內部控制之前提即是要做好風險評估,以辨識無法達成目標之內、外在風險因素 繼而分析風險的影響程度及發生之可能性,考量風險評估的結果及風險容忍度,據以擇定應進行風險處理之業務項目 風險評估程序得參考「行政院所屬各機關風險管理及危機處理作業基準」及「風險管理及危機處理作業手冊」辦理 因應機關特性有適宜之風險評估方法,亦可逕行採用 取自強化政府內部控制-實作篇( ) p18
7
風險管理架構 取自強化政府內部控制-實作篇(100.11.3) p19 監 溝 督 通 與 審 協 查 商 風 險 評 估
建立風險管理執行背景體系 -- 建立環境要素 建立機關要素 風險管理架構 發展風險評量標準 定義風險分析對象 風險辨識 會發生什麼? 如何、為何、何處、何時發生? 風險分析 確認既有控制機制 找出發生的機率 找出事件的影響 評估風險等級 溝 通 與 協 商 風險處理 列出可行風險對策 評估風險對策 選擇風險對策 準備處理計畫 執行處理計畫 監 督 審 查 風 險 評 估 風險評量 與風險基準比較,設定優先順序 風險? 是 否 資料來源:風險管理及危機處理作業手冊(98年1月) 取自強化政府內部控制-實作篇( ) p19
8
風險辨識 風險情境及影響: 主要風險項目: 風險來源: 目的: 取自強化政府內部控制-實作篇(100.11.3) p20
風險的來源 說明 影響 商業和法律關係(B) 指的是機關與其他機關之間的關係,如其他機關、非政府機關、法人、學校、供應商、承包商、承租者等 機關的資產和資源庫 財源和權力 活動的直接和間接成本 人 社區 績效 活動的時機和計畫 環境 無形的資產,如聲譽、信用、生活品質 機關行為 經濟環境(E) 指的是機關本身、國家或國際的經濟環境,以及會影響經濟環境的因素,如匯率、利率、股市、法人評等、外匯存底、勞工市場人才招募與聘雇、區域經濟合作、自由貿易協定、兩岸關係等 人員行為(H) 包括參與機關活動及未參與機關活動的人及行為,如民眾、媒體;舞弊、貪污、洩露資訊、恐怖攻擊等 自然事件(N) 包括地理環境與自然變遷,地震、颱風、火山、沙塵暴、溫室效應等 政治環境(P) 包括立法上的改變,以及會影響其他風險來源的因素,如政權的移轉、政策的修改、政府機關再造等 科技 (S) 包括機關內外的科技導入與運作,如過時的預測系統、資訊系統等 管理活動及控制(M) 機關運作之全部,包括服務或產品未達標準、無法準時履行、未依照預算履行、員工能力/技能/招募/維繫人才、災難恢復能力等 風險管理及危機處理作業手冊(P14、87) /【風險辨識】/【發展風險情境】風險來源及影響 目的: 辨識風險的來源、衝擊的範圍、事件所引起原因及其潛在的後果 風險來源: 參考「風險管理及危機處理作業手冊」中所列之風險來源 辨識出主要風險來源為「科技之應用」 風險情境及影響: 「本機關之網頁檔案,若遭病毒感染,承辦人員未落實通報機制,將延誤處理時機,影響服務品質,損及機關形象」 主要風險項目: 「網頁檔案遭病毒感染未落實通報」 取自強化政府內部控制-實作篇( ) p20
9
風險分析 「影響之敘述分類表」 「機率之敘述分類表」 目的:藉由判定影響、發生機率及風險屬性以分析風險
參考「風險管理及危機處理作業手冊」附錄二之風險評估工具 考量機關業務特性,訂定適用於本機關用以衡量風險影響程度及發生機率之標準 風險=影響x機率 「影響之敘述分類表」 「機率之敘述分類表」 註:各機關應依業務特性,自行訂定妥適之影響及機率等級評量標準。 取自強化政府內部控制-實作篇( ) p21
10
影響及機率之敘述分類表 定性 定量 影響之敘述分類表 機率之敘述分類表 註:各機關應依業務特性,自行擇用妥適的風險評量標準
等級 衝擊或後果 形象 目標達成 3 非常嚴重 機關形象受損 經費/時間大量增加 2 嚴重 跨部門形象受損 經費/時間中度增加 1 輕微 部門形象受損 經費/時間輕微增加 定量 機率之敘述分類表 等級 可能性分類 詳細的描述 3 幾乎確定 每月發生一次之可能性 2 可能 每季發生一次之可能性 1 幾乎不可能 每年發生一次之可能性 註:各機關應依業務特性,自行擇用妥適的風險評量標準 取自強化政府內部控制-實作篇( ) p22
11
風險評量 目的:依據風險分析結果以判定需優先執行的風險 經過風險分析,考量本機關人力、資源、組織環境等因素 風險容忍範圍:
影響程度:「輕微(1)」 發生機率:「幾乎不可能(1)」或「可能(2)」 影響程度:「輕微(1)」或「嚴重(2)」 發生機率:「幾乎不可能(1)」 超出此範圍之風險項目,皆優先納入風險處理 註:各機關應自行評估風險容忍範圍並適時檢討 取自強化政府內部控制-實作篇( ) p23
12
風險分布 發生機率 取自強化政府內部控制-實作篇(100.11.3) p24 影響程度 風險分布 非常 嚴重(3) 3 (高度) 6 9
(極度) 嚴重(2) 2 (中度) 4 輕微(1) 1 (低度) 幾乎不可能(1) 可能(2) 幾乎確定(3) 發生機率 取自強化政府內部控制-實作篇( ) p24
13
風險評估結果 經風險評估後,主要風險項目其發生機率等級為1,影響程度等級為3,屬高度風險(如黃色區域),超出可容忍之風險範圍,應即進行風險處理,以降低風險 註:各機關應依業務特性,自行擇用妥適的風險評量標準,並依風險容忍度,選定低度、中度、高度及極度危險風險之範圍,以利各機關適性、彈性地決定風險等級。 4X4 機率 影響 5X5 機率 影響 取自強化政府內部控制-實作篇( ) p25
14
內部控制 vs. 風險管理
15
管理的 sub process:3個vs.10個 管理=規劃+執行+控制 內部控制=管理 – 純規劃 – 純執行 . 2個層面:收 、支 設計、執行 .目標→風險→其管理:評估與回應 .3個sub process→10個sub process 取自內部控制基本概念-馬秀如教授PPT p8
16
10個 sub process 取自內部控制基本概念-馬秀如教授PPT p9
1.訂定企業層級目標(entity-level objective setting) 2.選定策略(strategic planning) 3.擇控制環境(control environment):管理風格(含風險容忍度)、人事政策(聘人、獎懲;程度、速度)、組織設計、工作指派等 4.訂定作業層級目標(activity-level objective setting) 5.風險評估(risk assessment) .含事項辨認(event identification) 6.風險回應(risk response):業務-營運活動(Operating Activities) .規避、降低、分攤、接受 7.風險回應:控制活動(Control Activities) .build - on control vs. build + on control 8.資訊與溝通 9.風險回應:監督 10.風險回應:改正活動 取自內部控制基本概念-馬秀如教授PPT p9
17
目標 風險 評估 回應 營運活動 控制活動 監督 改正 持續 間斷 資訊 取自內部控制基本概念-馬秀如教授PPT p10
18
內部控制 vs. 風險管理 內部控制僅是風險管理的一部分而已 同一件事由二個單位分別推動 結果:1.分進合擊 或 2.力多備分? 須特別謹慎
觀念須相同,萬不得各說各話 .否則本身即在創造不利風險 須協調 觀念相同之前題:正確,錯得一樣之機率低 即使資訊來源不同、表達方式不同,外文均有所本,亦須先去蕪,追求本意,確實表達 取自內部控制基本概念-馬秀如教授PPT p51
19
取自內部控制基本概念-馬秀如教授PPT p52
建立風險管理執行背景體系a 風險辨識b 風險分析c 風險評估d 風險處理e 監督與審查 溝通與協商 風險評估 a:背景體系包括環境要素、機關要素、風險管理之架構、風險評量之標準 b:包括辨認會發生什麼?如何、為何、何處、何時發生? c:包括找出事件發生的機率、風險之等級及其影響;須先確認既有控制機制,是既有機制下之機率等級及影響 d:指與風險基準比較,設定優先順序 e:針對風險對策及處理計畫,包括辨認可行對策、評估與選擇對策,以及執行處理計畫 風險管理架構(研考會「風險管理及危機處理作業手冊(98.1),圖2.3」,經簡化) 取自內部控制基本概念-馬秀如教授PPT p52
20
風險管理架構(COSO,2004,配合研考會圖2.3而改繪)
控制環境 目標設定 風險辨認 風險評估 風險回應 控制活動 監督 資訊與溝通 風險管理架構(COSO,2004,配合研考會圖2.3而改繪) 取自內部控制基本概念-馬秀如教授PPT p53
21
取自內部控制基本概念-馬秀如教授PPT p54
內部環境 風險辨認 風險評量 風險處理(回應) 控制作業 監督 資訊與溝通 風險評估 風險分析 政府內部控制觀念架構 (主計處草案,100.5) 取自內部控制基本概念-馬秀如教授PPT p54
22
風險管理 研究發展考核委員會
23
風險管理
24
研考會風險管理網頁 資料(一)
25
研考會風險管理網頁 http://www.rdec.gov.tw/np.asp?ctNode=12933&mp=100 資料(二)
由於自然、人文社會環境的快速變遷,導致不利行政部門施政之各種風險日益增加,包括自然環境異常之風險、科技風險、社會風險與全球化之衍生風險等,所有風險變遷皆可能產生危害、緊急事件與危機,輕者影響施政品質,嚴重者影響政府威信。 有鑑於此,行政院自94年起推動行政機關風險管理,97年度為促使各部會將風險管理融入日常作業及決策運作與進一步強化機關危機處理能量,爰訂定「行政院所屬各機關風險管理及危機處理作業基準」並製定實務作業手冊,以期提供行政院所屬各級機關風險管理與危機處理正確觀念、統一溝通語言及整合性架構與實務運用,有效建立風險管理與危機處理能量,順利推動並落實風險管理與危機處理,全力達成機關目標並提升施政績效與民眾滿意度。 承辦人:簡專員徐芬 聯絡電話:(02)
26
研考會風險管理網頁 資料(三)
27
風險係指面對一些事件的發生,可能會影響機關目標的達成
什麼是風險 風險 潛在影響組織目標達成的事件,及其發生的可能性及影響度。 風險係指面對一些事件的發生,可能會影響機關目標的達成 取自強化政府內部控制-實作篇( ) p18
28
什麼是風險
29
什麼是風險 風險 特性 將來性:與迫在眉睫危機不同 衝擊性:對組織目標達成有影響的 隱晦性:風險是部分未知的 變化性:風險隨時變化
前面例子是屬於風險? 危機? 有需要分嗎?
30
預防勝於治療 魏文王問名醫扁鵲說:「你們家兄弟三人,都精於醫術,到底哪一位最好呢?」
扁鵲答說:「我大哥治病,是治病於病情發作之前,由於一般人不知道他事先能剷除病因,所以他的名氣無法傳出去,只有我們家人知道。我二哥治病,是治病於病情初起之時,一般人以為他只能治輕微的小病,所以他的名氣只能及於本鄉里。而我扁鵲治病,是治病於病情嚴重之時,一般人都看到我在經脈上穿針管來放血、在皮膚上動手術,所以認為我的醫術高明,名氣因此響遍全國。」 扁鵲總結說:「其實我家醫術以大哥最好,其次二哥,我最差。」
31
預防與治療 預防與治療 哪一個較易被看到? 預防與治療 哪一個較重要!
32
風險管理就是做預防的工作 未來的世界,唯一不變的就是「變」,唯一確定的就是「不確定」。
變與不確定可能造成風險,風險未處理可能帶來危機與災難。 事後的復原重建,事中的危機處理不如事前的風險管理。 企業界已廣泛採用風險管理以求生存發展。 危機處理與風險管理 天氣與氣候 時間尺度之差異 避免造成危機! 包含危機處理!
34
風險管理: 定義 為有效管理可能發生的事件及其不利的影響,所執行的步驟與過程。 基本架構包括辨識、評估、處理、監控等程序。 1. 辨識風險
2. 評估風險 4. 監視評估 3. 處理風險
35
哪A安ㄋㄟ 辨識與知道風險在哪很重要!
36
風險在哪--個人/機關 2011/10/28 中時網 短 評-無薪與無心 2011-10-28 中國時報 【本報訊】
全球LED封裝龍頭億光宣布放無薪假,筆電代工大廠英業達隨即傳出裁員四百三十二人的消息。這看似為科技產業的寒冬揭開序幕,卻也讓台灣勞動體制所面臨的核心問題,再度浮現。 無薪假是金融海嘯時期的產物,雖然用意是希望勞資雙方能共體時艱,以放無薪假取代解雇員工;但基本上,即使無薪假的實施必須經過員工同意,可是任何人都明瞭,勞方根本是處於別無選擇的絕對弱勢。 一個不對稱乃至失衡的勞資關係,正是當前勞動體制遭逢的核心問題。以億光放無薪假為例,儘管老闆以個人名義捐錢給母校,捐的是他個人的錢,但是選在同一天宣布放無薪假,怎麼看都很荒謬。 根據億光的回應,放無薪假是公司治理,回饋母校是培育下一代,兩者不能混為一談。如果這項邏輯成立,那就不要再把員工是公司資產掛在嘴邊,何況億光去年營收有一百七十六億,今年第一、二季也賺錢,共創此利潤的員工卻得放無薪假,講得過去嗎? 與億光相較,英業達的裁員動作當然更叫勞工心碎。由於經濟景氣衰退,英業達受到惠普電腦訂單銳減的衝擊,進而波及生產線,固然可預見,但假使經營者熱中房市,亟思轉型,那麼公司裁員也就不難想像。 其實,企業經營的成敗不過是有心、無心之別,一個賺錢時大放無薪假,或是訂單減少就裁員的公司,至少都很難讓人覺得它是有心經營的企業。
37
風險在哪 1758期時報周刊精彩內容 綠營新國師 翁三雄被下封口令 2011-10-28 中國時報 【張毓琪/台北報導】
蔡英文的競選總部一成立,形勢立即轉好,幫忙看風水的翁三雄,贏得「新國師」封號,媒體爭相邀約專訪。只是,民進黨從競選總幹事吳乃仁以降,已對這位綠營新國師下封口令,希望他暫時不要對外發言,以免洩漏天機,讓對手有機可乘,破壞蔡英文成為台灣第一位女總統的美夢。 曾雅妮在揚昇球場留下冠軍獎盃,她身後的團隊也功不可沒。四十一歲、來自澳洲墨爾本的傑森漢彌爾頓,是雅妮的桿弟,他也當過世界球后索倫絲坦的桿弟;漢彌爾頓說三年前,就有意和曾雅妮配合,「我那時就發覺曾雅妮極具潛力,像一顆有待琢磨的鑽石。」團隊成員還包括教練、經紀人與心理醫生,讓妮妮能心無旁騖當上球后。更多精彩話題,詳見今日出刊的時報周刊。
38
風險在哪 新聞分析-世局多變 難倒張董 2011-10-28 01:19 工商時報 涂志豪
工商時報 涂志豪 今年以來,台積電董事長張忠謀經常針對景氣變化、匯率等議題對外發言。如張忠謀9月初參加台灣半導體產業協會(TSIA)15週年慶時說,看到韓國政府對三星等企業的保護,光比較台、韓最近1年的匯率變化,就明顯看得出來,韓國對本國企業的照顧,比起台灣要好很多。 本月初,張忠謀參加2011台灣最佳聲望標竿企業頒獎典禮,對全球經濟景氣發表看法,他直接指出,現在及未來1年都看不到春天的燕子,台灣因為是個淺碟型市場,一定會受到歐美日及大陸的影響,所以也不會好。 事實上,歐債問題歹戲拖棚,美國經濟成長趨勢,中國及印度又有通膨問題,加上今年上半年有日本大地震,下半年又有泰國水災,天災人禍不斷,全球景氣因此快速變化,而且充滿了極高的不確定性。 在風暴中心的歐洲,各國領袖4天開了2次高峰會,昨日終於有了初步結論,一是歐洲領袖說服希臘債券持有人承受50%的損失,一是歐盟則把救助基金提高到1兆歐元規模。只不過,看在台積電董事長張忠謀眼中,這並不算是真正解決問題。 張忠謀說,對於明年全球經濟,還是維持先前的說法沒有改變,全球經濟變化確實影響半導體市場,但是,歐債問題還沒有完全解決,「我每天都在平板電腦上看歐洲的最新消息」,但歐盟高峰會只見到一些大方向,「我每天都在等待具體解決方法出來」。 不論歐債的問題可否在此次的歐洲領袖高峰會中獲得真正解決,有關歐債危機等大環境變化對於半導體市場的影響,張忠謀卻不願再進一步說明。 台積電在昨天法說會後,特別留了30分鐘時間給媒體問問題。由於全球總體經濟情勢變化太快,不確定性也太高,大家都想知道像張忠謀一樣的企業家,對於後續市場的變化有何新的解讀。只可惜,張忠謀出乎意外的惜字如金,大概是真的景氣變化太快,已經很難理出一個頭緒了。
39
風險在哪--個人/機關
40
風險在哪--個人/機關/產業
41
風險在哪--個人/機關 桃機狀況多…清潔工占珠寶 搬運工撬行李
【聯合報╱記者盧振昇/桃園機場報導】 :17 am 桃園機場林姓清潔工涉嫌侵占旅客遺失在廁所、價值百萬元的珠寶。 記者盧振昇/攝影 桃園機場拾金不昧善行時有所聞,近日卻連續爆發機場清潔工涉嫌侵占旅客遺失價值百萬元珠寶,及桃勤搬運工破壞旅客托運行李鎖頭,打算偷竊未遂醜聞,讓國之大門蒙羞。 涉嫌侵占旅客遺失物的林姓女清潔工,與竊取旅客財物未果的桃園航勤公司前林姓搬運工,已分別被依侵占、竊盜未遂罪移送。女清潔工所屬信實集團、搬運工所屬的桃勤公司異口同聲表示,會以此為案例,加強員工教育訓練。 警航警局調查,柳姓女性旅客廿三日由桃園機場二航廈出境,不慎將手提包遺留在D5登機門旁女廁內,手提包內有價值新台幣百萬元貴重珠寶。 柳姓女客上機後發現,由在台妹妹向航警報案,經調閱監視畫面,發現負責打掃的林姓女清潔工涉嫌,立即約談林,但林女當時否認,昨天她主動打電話至航警局坦承侵占,並帶員警取出藏在D5登機門旁的廁所,在清潔工置物間內取出珠寶失物。 航警局表示,遺失地點屬機場管制區內,人員進出門工作都需經X光機安檢,研判林姓女清潔工可能因此不敢帶出,放在置物間內。 至於航勤林姓搬運工涉嫌行竊旅客托運行李箱財物的過程更離譜,被竊旅客打開行李發現,行李內莫名其妙多出一枚工作手套,航警根據這枚手套追出竊賊。 航警局表示,這名旅客上月廿四日搭乘華航班機,林姓行李搬運工在搬運時起歹念,將行李後艙攝影機電源關閉,破壞行李箱鎖頭,伸手偷竊財物,慌亂中什麼東西都沒偷到,卻因太緊張,遺留一枚工作手套在旅客行李箱內。 受害的旅客發現行李箱遭到破壞,且行李箱內無故多出一枚工作手套,向華航反映,華航向航警局報案。 刑警隊傳喚當時在行李後艙的三名作業員,三人都矢口否認,其中林還向警方表示,當天忘了帶工作手套。警方採取林等人的DNA檢體送刑事局化驗,日前報告出爐,林才坦承,破壞旅客行李箱鎖頭伸手進入行竊時,因太緊張東西沒偷到,卻把工作手套留在箱內,留下自己犯罪的證據。 【2011/10/28
42
風險在哪
43
風險在哪
44
風險在哪--個人/機關 醫奉獎老修女 被拒長照社福外 2011-11-20 新聞速報 中央社
西班牙籍修女丁德貞畢生奉獻痲瘋病患,獲得第15屆醫療奉獻獎,台灣是她的第二故鄉;然而,風燭殘年的她,失智失能又臥床,卻被排拒在台灣的長期照顧社福大傘外。 教友周富美說,88歲的丁德貞有台灣永久居留證,也有健保卡,卻無法申請居家復健及社區照護;教友在台北市政府和內政部入出國及移民署之間奔走,得到的答案是「因為她沒有放棄西班牙國籍,不算是中華民國國民,無法提供到宅居家服務。」 天主教耶穌孝女會修女何秀月說,丁德貞這幾年健康每下愈況,連回診拿藥都是別人代勞,最近天氣不好,只能請外籍看護幫她翻身、活動手腳,連輪椅都沒辦法坐,不方便見訪客,更別提出門了。 何秀月說,有時丁德貞會嚷著「媽媽在等我回家」,這正是失智症的症狀,其實丁德貞的母親早就回天家了,「國籍」這個問題不在丁德貞的腦海裡;只有在聽到禱告時,她的神智恢復清明,雙眼炯炯有神。 丁德貞就算想放棄西班牙國籍,現在也無法飛到西班牙或到使館辦理手續;周富美說,丁德貞把台灣當成第二故鄉,就差一張身分證,如果台灣不給,樂生院民打算「自製」一張,當成她12月12日的生日禮物。 23歲那一年,丁德貞來到中國大陸安徽的孤兒院,照料沒爹沒娘的孩子,1953年渡海來台,1962年她得知樂生療養院的漢生病(原名痲瘋病)院民無人照料,於是開始照顧院民;她為院民洗澡、擦藥時,總是不戴口罩和手套,不讓院民感到難堪,教會給她返鄉探親的機票錢,她也省下來捐給院民當紅包。 丁德貞在2005年獲得第15屆醫療奉獻獎,她和其他外籍神職人員把一生奉獻給台灣,卻沒有想過要台灣回饋什麼。何秀月說,直至最近申請「馬偕計畫」,外籍老修女、老神父搭公車去看病,車資才有補助。 內政部社會司的「馬偕計畫」今年6月實施,對象是長期無私奉獻的外籍人士,經政府部門或已立案機構、團體表揚,或核發長期奉獻服務或具有特殊貢獻的證明文件,可獲得比照我國老人補助搭乘大眾運輸工具,或公立育樂機構門票優待。 不過,從民國96年實施的「長期照顧10年計畫」,排拒外籍人士,陸續有外籍老修女、老神父過世,無人聞問;周富美擔心丁德貞的狀況,因為連照顧丁德貞的修女都是老人,外籍看護分身乏術,無法提供專業的復健醫療。 幾年前,周富美親眼目睹丁德貞照顧樂生最老的院民林卻阿嬤,瘦小佝僂的老修女照料顏面殘缺的老病人,深受感動;她感慨,馬偕博士曾說過「寧願燒盡,不願毀壞。」丁德貞愛台灣一輩子,就將燒盡,台灣缺角的社福體系卻不能回報丁德貞的愛。
45
風險在哪--個人/機關 曾馨瑩疑濫用外勞 北市將約談 2011-11-20 新聞速報 【中央社】
鴻海董事長郭台銘家裡傳出濫用外籍看護工,市勞工局今天表示,17日就約好時間,要求下週到局裡說明;若違法事證明確,依就業法第57條第3款最高可罰新台幣15萬元。 民眾向行政院勞工委員會檢舉,郭台銘的妻子曾馨瑩日前抱著女兒到SOGO百貨忠孝館時,身旁幫忙提購物袋的竟是她婆婆的外籍看護工;勞委會即函請北市府調查。 台北市政府勞工局外勞事務科科長陳惠琪表示,17日接獲訊息後,就約好時間,要求對方到局裡說明。她表示,外籍看護工照顧被看護者及其起居,工作內容應該圍繞被看護者,若超越此工作範圍就違法。 陳惠琪表示,下週約談後,若違法事證明確,將對外說明並立即開罰,依照就業服務法第57條第3款,可罰3萬元至15萬元;至於是否由曾馨瑩本人出面、確切約談日期,陳惠琪擔心影響約談,不願透露。
46
風險在哪--個人/機關
47
想想有那些風險項目 對貴機關 對您個人
48
您認為您所訂風險項目完整嗎? 想想有沒有更好方法辨識風險?
49
辨識風險 目的:找出組織面臨的各種風險及其如何發生 作法: 1、選擇辨識方法以尋找風險。
辨識方法常用的有:歷史資料分析、作業分析、腦力激盪、SWOT、問卷調查、情境模擬…等 2、聚焦在新的政策或有變動的政策計畫。 3、列出風險發生的原因與影響範圍 4、文件化所發掘的各種風險。 (風險辨識十分重要,若錯誤將無法對症下藥)
50
風險類型 外部風險:來自外部環境變遷之壓力,組織無法控制,但可以採取行動以紓緩 營運風險:有關目前服務遞送與維持營運量能的風險
社會文化:人口特質、習俗價值 科技發展:生物科技、奈米科技、基因工程 自然事件:颱風、地震、水旱災、疫病、氣候暖化 經濟環保:國際金融變化、區域經濟體競爭、能源供給、失業水準、 CO2 排放 政治法律:意識型態、政府体制、兩案關係、政府組織調整、勞工環保法規 營運風險:有關目前服務遞送與維持營運量能的風險 財物風險:預算是否充足、財務管理是否健全、實體資產損害 人力風險:員工能力、技術、人事管理是否良好 資訊風險:資訊系統是否充分支持決策、做好隱私保護 倫理風險:有無貪污舞弊情形 與利害相關者的關係:顧客、夥伴、媒體、課責機關等的意向是否變動 政策變革:決策產生的風險是否超過目前組織所能處理的能量
51
取自風險管理及危機處理作業手冊
53
辨識風險 加 自己和別人不同處 有可以抄就用抄 沒有可以抄就看看旁邊的 (別一起被罵)
目的:找出組織面臨的各種風險及其如何發生 作法: 1、選擇辨識方法以尋找風險。 辨識方法常用的有:歷史資料分析、作業分析、腦力激盪、SWOT、問卷調查、情境模擬…等 2、聚焦在新的政策或有變動的政策計畫。 3、列出風險發生的原因與影響範圍 4、文件化所發掘的各種風險。 (風險辨識十分重要,若錯誤將無法對症下藥) 加 自己和別人不同處 有可以抄就用抄 沒有可以抄就看看旁邊的 (別一起被罵) 甚麼是一單位之資產 士官長 資深員工 他們知道怎麼處理 換新人 有新作法較易出事 經驗在腦中隨著人離開流失 文件化對傳承的重要 看了每個人都可是資深 -- 風險管理/內部控制好處之一 前幾頁資料 或別單位風險項目 協助我們更有系統整理 -- 另一風險管理/內部控制好處
54
辨識風險還有甚麼需注意 風險係指面對一些事件的發生,可能會影響機關目標的達成。(取自強化政府內部控制-實作篇(100.11.3) p18)
或 風險指潛在影響組織目標達成的事件,及其發生的可能性及影響度。(取自古處長) 組織(機關)與目標
55
辨識風險前建立背景系絡 目的:界定機關與周圍環境之間的關係,找出機關的優點與弱點及外部環境的機會與威脅,提供風險管理活動所需的基礎資料。
作法: 1、確認組織或業務(計畫)目標。 2、界定外部環境因素 審視組織與外部環境之間的關係,包括政治、社會、經濟、科技、自然環境等及其變遷趨勢與對組織之影響,找出組織的機會及威脅。 3、界定內部環境因素 審視組織的組織結構、內部作業流程、倫理文化,及所能運用的人力、財務、資訊,與同仁所具備解決問題的能力是否有弱點。
56
加拿大風險管理架構 認識 議題 環境 評估主要風險區域 分析可能性及嚴重性 監控、評估與調整 排列風險順序 執行 策略 選擇 策略
設定預期目標 發展可行方案
57
目標與風險 機關目標 內部流程 人員 系統 風險 控制 單位目標 願景/使命 監督 取自強化政府內部控制-實作篇( ) p17
58
案例1、中華郵政主要風險項目 郵務 R1: 郵件遞送 延誤或遺失 R2: 郵路阻斷 儲匯 R3: 營業櫃臺 員工舞弊 R4: 現鈔搶劫 事件
歹徒利用郵局 帳戶進行詐騙 壽險 R6: 核保風險 R7: 理賠風險 其他 R8: 客戶 資料外洩 R9: 網路中斷或 資訊設備毀損 R10: 天然災害致 郵局局屋毀損 R11: 資金運用 風險 那些是特異 那些是共通?
59
案例2、高鐵局主要風險項目 那些是特異 那些是共通? 風險項目 機場捷運計畫 R1 機場捷運營運前準備作業不及影響如期通車
高鐵計畫 R6 天然災害造成設施損壞、交通中斷 R7 恐怖攻擊、人為破壞及火災災害,造成設施損壞、交通中斷 R8 行車事故影響運轉安全 R9 高鐵服務品質不佳 R10 高鐵財務困境,導致營運發生中斷危機 R11 三鐵共構車站各營運單位權責管理界面複雜影響救災效率 R12 重大疫病影響旅客健康 R13 高鐵合約爭議處理,影響政府權益 R14 基金財務失衡與土地處分不利 其他 R15 資訊安全 R16 辦公室火警 那些是特異 那些是共通?
60
案例3、氣象局主要風險項目
61
氣象與地震監測
62
氣象與地震測報作業 觀測資料 國外 改進 措施 外部環境 內部檢討 資料彙整 資料處理計算 人員分析研判 資料供應 使用者應用
63
組織目標與施政目標
64
施政目標與業務方案
65
監測預報作業之特性 即時--需要在很短時間內提供資料 正確--資料不容許有錯、預報要準確 適用--資料要適合各種使用者使用
變動--發展中的科技
66
案例3、氣象局主要風險項目 那些是特異 那些是共通?
67
再想想有那些主要風險項目 對貴機關 認為完整了嗎?
68
想想如果要完整得到貴機關風險項目 需要誰一起參與? 機關目標 內部流程 人員 系統 風險 控制 單位目標 願景/使命 監督
69
主要國家政府風險管理值得借鏡之處 (一)高階長官的參與是成功的第一步 (二)指定具熱忱專人負責有必要 (三)要動員組織全體
(四)初期應以教育訓練優先 (五)須發展好的實例、手冊、技巧 (六)要與現行決策制定結構結合 (七)要不斷學習與檢討改進 沒有高層之支持與單位裡最了解業務者之參與很難得到實效 這不是新創 只是將現行作業以更系統化、文件化方式呈現
70
前面案例中之風險項目都是主要項目 如何評估重要不重要?
71
風險評估 風險係指面對一些事件的發生,可能會影響機關目標的達成
機關任何業務之推展都可能面臨風險,因此要强化內部控制之前提即是要做好風險評估,以辨識無法達成目標之內、外在風險因素 繼而分析風險的影響程度及發生之可能性,考量風險評估的結果及風險容忍度,據以擇定應進行風險處理之業務項目 風險評估程序得參考「行政院所屬各機關風險管理及危機處理作業基準」及「風險管理及危機處理作業手冊」辦理 因應機關特性有適宜之風險評估方法,亦可逕行採用 取自強化政府內部控制-實作篇( ) p18
72
評估風險 目的:篩選出重要之風險 作法:﹝80/20法則﹞
風險分析--分析風險發生的可能性及影響度。分析方法包括定性分析、半定量分析、定量分析。 風險評量—依風險分析的結果,評定風險等級,並與風險基準比較,篩選出重要之風險,以進行處理。
73
1.風險分析 (1).風險發生可能性 低 中 高 不太可能在一年內發生 可能在一年內發生 很可能在一年內發生
定量分析:用實際數據來描述影響與機率。 定性分析:使用文字敘述的分類等級來描述發生機率與影響度,因此需要建立風險可能性評量標準。 半量性分析:以實際數值表示定性分析等級,目的是便於計算,決定一個比定性分析更精確的優先順序。 定性與半定量分析最簡單方式:三分法 低 (1) 中 (2) 高 (3) 不太可能在一年內發生 可能在一年內發生 很可能在一年內發生
74
案例1. 高鐵局風險發生可能性評量標準 等級 可能性分類 發生機率百分比 詳細的描述 5 發生機率極高 90-100%
在絕大部分的情況下會發生 4 發生機率高 61-89% 在大部分的情況下會發生 3 發生機率中等 41-60% 有些情況下會發生 2 發生機率低 11-40% 只會在特殊情況下發生 1 發生機率極低 0-10% 只會在極少的特殊情況下發生
75
案例2. 台灣鐵路局風險發生可能性評量標準 風險機率等級說明:以10年事故發生平均值做基礎。 可能性分類 等級 詳細的描述 1
10年從未發生 2 10年發生件數1次 3 10年發生件數2次 4 10年發生件數3次 5 10年發生件數4~10次 6 10年發生件數11~20次 7 10年發生件數21~30次 8 10年發生件數31~49次 9 10年發生件數數50~99次 10 10年發生件數100次以上 幾乎不 可能 不太可能 可能 非常可能 幾乎確定 16
76
案例3. 氣象局風險發生可能性評量標準 等級 可能性分類 詳細的描述 3 發生率高 在絕大部分的情況下會發生 2 發生率中等
有些情況下會發生 1 發生率低 只會在極少的特殊情況下發生
77
(2).風險影響度的分析 定性與半定量分析:建立風險影響度評量標準
78
案例1. 高鐵局風險影響度評量標準 等級 衝擊或 後果 形象 人員 民眾抗爭 財物損失 5 非常 嚴重 國際新聞媒體負面新聞
人員死亡 (2名以上) 大規模遊行抗爭 大於十億(含) 4 相當 嚴重 人員死亡 (1名) 至2個以上機關抗爭 十億以下~一億(含) 3 嚴重 台灣新聞媒體負面新聞 人員重傷 (1名以上) 至中央機關抗爭民眾 一億以下~一千萬(含) 2 輕微 區域新聞媒體負面新聞 人員輕傷 (2名以上) 至機關抱怨 一千萬以下~五佰萬(含) 1 極輕微 人員輕傷 (1名) 多位民眾電話抱怨 五佰萬以下
79
案例2. 台鐵局影響度評量標準 非常嚴重 相當嚴重 嚴重 輕微 極輕微 列車總 延誤總時分 財物損失 (搶修費用) 死傷
(平交道及跨越軌道) 形象 旅客(人) 民眾(人) 241以上 501萬以上 死亡10人以上 國際性報導 萬 死亡6-9人 死亡8-9人 81-100萬 死亡4-5人 死亡6-7人 全國性電子媒體頭版報導 51-80萬 死亡2-3人 全國性平面媒體頭版報導 61-120 21-50萬 死亡1人 死亡2-3人或受傷4人以上 全國性報導 46-60 11-20萬 受傷3人以上 死亡1人或受傷3人 地方平面及電子媒體報導 31-45 6-10萬 受傷2人 電子媒體報導 21-30 1-5萬 受傷1人 地方平面媒體報導 11-20 1萬元以下投石致玻璃損壞 撞到不明物或物體 10以內 5仟元以下 非常嚴重 相當嚴重 嚴重 輕微 極輕微 17
80
案例3. 氣象局風險影響度評量標準 等級 衝擊或 後果 形象 影響 民眾抗爭 3 大 國內媒體負面新聞 作業異常影響資訊提供6小時
民眾抱怨或抗爭已受媒體報導 2 中 地方媒體負面新聞 作業異常影響資訊提供3小時 因本局缺失民眾抱怨或抗爭 1 小 少數負面輿論 作業異常影響資訊提供1小時 多位民眾以電話或郵件抱怨
81
2.風險等級評量 (1).建立風險等級基準與風險管理行動模式
82
(2).建立組織風險分布圖﹝例示﹞ 風險分佈 大 影響 小 低 可能性 高 E2‧ L3‧ T2‧ E1‧ T1‧ F1‧ S1‧ L2‧
風險代號意義: 經濟的財務的 F1 利率 F2 公債 F3 保費 環保的 E1 氣候改變 E2 污染 E3 臭氧耗盡 法務的 L1 債務 L2 人權 L3 國際協定 科技的 T1 核能 T2 生物科技 T3 基因工程 安全與保安 S1 入侵 S2 恐佈行動 S3 組織犯罪 風險分佈 大 E2‧ L3‧ T2‧ E1‧ T1‧ F1‧ S1‧ L2‧ T3‧ 影響 F3‧ S3‧ F2‧ S2‧ L1‧ E3‧ 小 低 可能性 高
83
案例1、高鐵局風險圖像 影響(I) (衝擊或後果) 風 險 分 布 非常嚴重(5) R5 R10 相當嚴重(4) R7 R8
風 險 分 布 非常嚴重(5) R5 R10 相當嚴重(4) R7 R8 R6 R11 R12 R13 嚴重(3) R1 R2 R3 R9 R14 R15 輕微(2) R16 極輕微(1) R4 發生機率 極低(1) 低(2) 中等(3) 高(4) 極高(5) 機 率(L) 極度風險 中度風險 高度風險 低度風險
84
案例2、氣象局風險圖像 影響(I) (衝擊或後果) 風 險 分 布 大 R1 R4 R6 R2 R3 R7 R8 中 R5 小 發生機率
風 險 分 布 大 R1 R4 R6 R2 R3 R7 R8 中 R5 小 發生機率 低(1) 中等(2) 高(3) 機 率(L) 低度風險 接受 中度風險 監視 高度風險 控制
85
風險評估 評估之後做甚麼 風險係指面對一些事件的發生,可能會影響機關目標的達成
機關任何業務之推展都可能面臨風險,因此要强化內部控制之前提即是要做好風險評估,以辨識無法達成目標之內、外在風險因素 繼而分析風險的影響程度及發生之可能性,考量風險評估的結果及風險容忍度,據以擇定應進行風險處理之業務項目 風險評估程序得參考「行政院所屬各機關風險管理及危機處理作業基準」及「風險管理及危機處理作業手冊」辦理 因應機關特性有適宜之風險評估方法,亦可逕行採用 取自強化政府內部控制-實作篇( ) p18
86
評估之後做甚麼 風險管理: 定義 為有效管理可能發生的事件及其不利的影響,所執行的步驟與過程。 基本架構包括辨識、評估、處理、監控等程序。
1. 辨識風險 2. 評估風險 4. 監視評估 3. 處理風險
87
風險管理: 2、 二個重要觀念: 事件發生的機率或其影響是可以減少的。
1、定義: 為有效管理可能發生的事件及其不利的影響,所執行的步驟與過程。 基本架構包括辨識、評估、處理、監控等程序。 2、 二個重要觀念: 事件發生的機率或其影響是可以減少的。 風險管理不是追求「零」風險,而是強調在可接受的風險下,追求最大的利益。
88
處理風險 目的:減少風險對組織的負面影響 作法:可採單一或多重風險控制方式 風險在容忍範圍內,予以容忍不作處理 接受
﹝風險低﹞ 接受 風險在容忍範圍外,處理成本高於利益 ﹝禁止衍生性金融商品投資、禁止機 密資料連網﹞ 規避 降低發生率﹝權利分立、防火牆、加強內控﹞ 控制 降低衝擊度﹝氣囊、備援機房、緊急應變計畫﹞ 移轉 轉由他人承受者﹝購買保險、業務委外﹞
89
案例1、H1N1新流感風險應變對策 --訂定處理計畫
最高指導綱領 (行政院 核定) 因應流感大流行 準備計畫 (準備計畫) 總體目標: 一、杜絕發生 二、避免感染 三、減少傷害 四、有效復原 依「準備計畫」制定之執行策略及各機關因應實務依據 (行政院 核定) 因應流感大流行 執行策略計畫 (策略計畫) 四大策略: 1.及早偵測 2.傳染阻絕 3.流感抗病藥物儲備與使用 4.疫苗研發 五大防線: 1.境外阻絕 2.邊境管制 3.社區防疫 4.醫療體系保全 5.個人與家庭防 護 細部作業規劃 因應流感大流行 作戰計畫 (作戰計畫)
90
案例2、鐵工局天然災害造成設施損壞風險對策
風險本質 風險處理對策 殘餘風險 機率(L) 1.加強設施安全監測,每週、每月彙整安全監測成果並提報工程處備查 2.落實防救災宣導演習,每年辦理演習1次(含各項防救災演練)。 3.維持通報系統暢通。 4.加強汛期防災設施及器材檢查:各標工程訂定防汛計畫,每月及颱風前辦理防災設施及器材檢查。 5.落實網路通報系統。 6.地震後立即派員巡檢工地,回報災情,並做善後處理,必要時增加監測頻率。 2 影響(I) 3 風險等級 (R)=(L)x(I) 6=2x3 4=2x2
91
案例3、氣象局對資訊傳遞風險風險對策 3.1強化氣象預報與地震測報的備援作業能力,建置網路多重路徑備援,以確保資訊提供無中斷之虞;預報作業若因地震天災造成設備或人員傷亡時,可迅速調集各地損傷輕微之氣象站人員支援,並於南區氣象中心設立備援作業中心,進行預報作業,未來並規劃第2或第3備援作業中心。 3.2當電子媒體因電力消失或外來干擾喪失傳輸能力時,可透過本局網頁、傳真回傳系統或電話語音,甚且可請求警消人員於各地區張貼公告或廣播,以確保民眾獲得正確訊息。 3.3遇緊急狀況時派遣人員將預報書面資料送至中央機構、地方災害應變中心及電視台,並透過傳播媒體發布訊息。 3.4與通訊合約服務廠商合作建立多重傳輸管道及管控介面,以避免地震發生時,因通訊異常造成地震報告簡訊無法及時全部發送完成事件再度發生。 3.5加強與消防署合作,透過該署建立之防救災資訊網,傳輸災害性天氣預報與地震資訊,使第一線防救災決策人員能迅速獲得氣象資訊。
92
處理之後做甚麼 風險管理: 定義 為有效管理可能發生的事件及其不利的影響,所執行的步驟與過程。 基本架構包括辨識、評估、處理、監控等程序。
1. 辨識風險 2. 評估風險 4. 監視評估 3. 處理風險
93
研考會風險管理網頁 資料(一)
94
風險處理步驟 評量風險並分類 可容忍的風險 接受 列出可 降低發生 全部或 行的風 降低衝擊 規避 的機率 部份轉嫁 險對策
是 可容忍的風險 接受 否 列出可 降低發生 全部或 行的風 降低衝擊 規避 的機率 部份轉嫁 險對策 考慮可行性、成本及利益 評估並 選擇風 列出可行的風險對策 監視及檢討 險對策 溝通及協商 選擇風險對策 準備處理計畫 準備處理計畫 降低發生 全部或 降低衝擊 規避 執行處理計畫 的機率 部份轉嫁 殘餘風險 可容忍的風險 接受 是 否
95
取自內部控制基本概念-馬秀如教授PPT p54
內部環境 風險辨認 風險評量 風險處理(回應) 控制作業 監督 資訊與溝通 風險評估 風險分析 政府內部控制觀念架構 (主計處草案,100.5) 取自內部控制基本概念-馬秀如教授PPT p54
96
溝通與協商 目的: 確保利害關係人均能瞭解風險與支持風險對策,進而提升對組織的信任 作法(對外溝通原則): 1. 掌握溝通目的與底線
2. 了解溝通對象,慎訂溝通策略 3. 儘早、主動溝通 4. 善用多元溝通管道 5. 態度真誠、坦白與公開 6. 傾聽民眾關切的重點 7. 滿足媒體的需要 作法(對內溝通原則): 上對下要做風險政策的宣達 下對上要做風險發現的報告 單位之間要分享風險管理的經驗 文件化定量化 是有利溝通 與達共識 不會誤會或各說各話 -- 風險管理/內部控制另一好處
97
推動風險管理應避免的陷阱 (一) 忽略已發展成熟之工具或方法,重複投入發展。 (二) 過度依賴顧問專家。 (三) 處理風險沒有重點。
(四) 只討論風險而不討論風險對策。 (五) 在第一時間內企圖量化所有的風險。
98
風險管理與危機處理成功的要件 首長支持與有明確的政策 有堅強的推動組織 有完善的計畫與執行步驟
99
設計步驟 風險評估融入內部控制 取自強化政府內部控制-實作篇(100.11.3) p16 99 確認目標 風險評估 選定業務項目
設計控制作業 建立檢查機制 取自強化政府內部控制-實作篇( ) p16 99
100
謝謝聆聽 敬請指正
Similar presentations