企業在做風險評鑑的時候,通常會包含以下四大流程:

1. 風險識別
2. 風險分析
3. 風險評估
4. 風險處理

註:風險識別、分析與評估亦合併稱為『風險評鑑』。

在進行風險評鑑階段,需要進行對於可能會影響企業營運目標相關之各種因素做識別分析,並配合以定性與定量方式做計算評估,之後再依據其結果採取相應對策。

風險函數 = 風險發生機率(P, Probability) x 風險衝擊(I, Impact)

在常用的概念式裡,
風險(Risk) = 威脅(Threat) x 機率(Probability) x 營運衝擊(Business Impact)

在NIST-800-30裡列出關於風險分析(評估)的九個程序:

1. 系統特性(System Characterisation)
  • 識別系統,其資源與控制邊界。
  • 建立風險評估工作的範圍。
2. 威脅識別(Threat Identifucation)
  • 角色與動機,在某些情況下是指現狀與方法。
  • 人力、技術、實體、環境、自然等因素。
3. 漏洞識別(Vulnerability Identification)
  • 找出缺陷或弱點,如果發生時可能會導致系統安全性的影響程度。

4. 控制分析(Control Analysis)
  • 對於承接已識別的漏洞所有已存在或已計劃的控制。

5. 似然*測定(Likelihood Determination)
  • 考量動機與程度,漏洞的性質,以及控制的存在性與有效性。
6. 衝擊分析(Impact Analysis)
  • 即時面:機密性,完整性與可用性的損失。
  • 營運面:營收,聲望,維修成本的損失。
7. 風險分析(Risk Determination)
  • 風險是以威脅似然率與營運影響所計算的函數。
  • 使用定性與定量混合評估。

8. 控制建議(Control Recommendations)
  • 如果導入這些管理將可減輕部份已經過分析確認之風險的建議

9. 結果文件化(Result Documentation)
  • 將資訊的機密性,完整性與可用性的最終責任(當責者)以文件化記錄並管理。

註:「似然性」與「或然性」或「機率」意思相近,都是指某種事件發生的可能性,但是在統計學中,「似然性」和「或然性」或「機率」又有明確的區分。機率用於在已知一些參數的情況下,預測接下來的觀測所得到的結果,而似然性則是用於在已知某些觀測所得到的結果時,對有關事物的性質的參數進行估計。

當作風險分析計算時,會使用以下函式:
單一預期損失(Single Loss Expectancy,SLE) = 資產價值(Asset Value,AV) x 風險因子(Exposure Factor,EF)

但是還需要代入以年為計算的函式:

年預期損失(Annual Loss Expectancy,ALE) = 單一預期損失(Single Loss Expectancy,SLE) x 年發生率(Annual Rate of Occurrence,ARO)

風險的評估可列出矩陣來表示,首先需將風險的影響程度做分級,
如 極嚴重、嚴重、中等、較輕、可忽略,並沒有一定的等級數,需依據企業營運目標及相關影響來作分定基準。


而做完風險評鑑後,需要考量採取風險控制處理對策。

風險控制的四種基本方法是:
風險規避、損失控制、風險轉移和風險保留。

1. 風險規避,是指通過一些方法或計劃來消除風險或降低風險發生的條件,保護目標免受風險的影響。規避風險並不表示能完全消除風險,而是規避風險產生時可能造成的損失。像是採取事先控制措施降低損失發生的機率,或者以事先控制或事後補救的措施來降低損失的程度。

2. 損失控制,是指採取各種措施減少風險發生的概率,或在風險發生後減輕損失的程度。損失控制是一種積極的風險控制手段,它可以克服風險迴避的種種局限性。

3. 風險轉移,是指將風險及其可能造成的損失全部或部分轉移給他人。通過轉移風險而得到保障,是應用範圍最廣、最有效的風險管理手段,比如保險或委外(在契約中明訂罰則)。

4. 風險保留,亦稱風險承擔。當風險發生致使損失時,經濟主體(如企業本身)將以當時可利用的任何資金進行支付。風險保留包括無計畫自留、有計劃自我保險兩種。
  • 無計畫自留。指風險損失發生後從收入中支付,即不是在損失前做出資金安排。當經濟主體沒有意識到風險並認為損失不會發生時,或將意識到的與風險有關的最大可能損失顯著低估時,就會採用無計畫保留方式承擔風險。一般來說,無資金保留應當謹慎使用,因為如果實際總損失遠遠大於預計損失,將引發資金周轉困難。
  • 有計劃自我保險。指可能的損失發生前,通過做出各種資金安排以確保損失出現後能及時獲得資金以補償損失。有計劃自我保險主要通過建立風險預留基金的方式來實現。
 
而在 ISO-31000:2009 標準中,對於風險處理的對策則細分為七項,仍不脫風險控制的四種基本原則:

1. 通過決定不啟動或停止產生風險的活動而避免風險。
 比如說,拿全部身家財產做生意,但是對生意沒把握,生意失敗後可能全家都要去跳樓,覺得風險太大乾脆不幹了。
2. 為了追求機會採取或增加風險。
 就像移動設備如手機等3C產品,為了搶市場佔有率,即使功能還有改善空間但是先行上市鋪貨的策略。因為為了作改善而延後上市,極有可能會讓競爭對手的產品搶先一步,這時產品改良得再好也已經來不及。
3. 消除風險源。
 比如彈藥庫嚴禁煙火。

4. 改變(or降低)可能性(發生機率)。
 比如搬到離海邊較遠地區以避免海嘯衝擊。

5. 改變(or降低)後果(發生的衝擊)。
 比如股票交易設立停損點,認賠賣出以避免血本無歸。

6. 與其他方便共同分擔風險
 轉移or轉嫁風險,如保險或委外處理。

7. 通過有事實依據的決策保留風險(接受風險)。
 通常在採行風險控制措施來降低或減少風險損失後的殘餘風險,也只能承受。

雖然各種風險管理的理論大多是以企業營運角度來討論,但是放在自身生涯各種規劃(事業與學業、愛情與婚姻..),其實也是可以適用。畢竟誰也無法完全避免掉任何風險,因此對於風險管理有點認知也是有益的。

在此文裡其實並沒打算討論太深,如有興趣的朋友們請查閱相關文獻資料。

arrow
arrow
    全站熱搜

    光音天羽 發表在 痞客邦 留言(0) 人氣()