風險管理之風險初探
風險伴隨著改變,且通常伴隨著潛在的利益與機會
好的風險管理方式帶你上天堂,你可以辨識出好的方法進行改變,降低負面影響,反之,壞的管理方法帶你下地獄。
風險治理架構模型
治理一般指行動,過程、傳統且機構行使權力且採取一項決策並實踐。
國際風險治理委員會 (IRGC) 將治理定義為以下情境:
Governance refers to the actions, processes, traditions and institutions by which authority is exercised and decisions are taken and implemented.
無資訊模型
這種的通常沒有正式的結構或文件、定位,一般都是以直覺進行風險治理。一般用於個人上面,或者是剛開始運作的公司等等。
政策模型
是一個對所有風險「一視同仁」的模型,這種方法只訂立一項風險政策,來定義所有的風險控制該如何進行。
客製化模型
用在極度高風險,常用在如生命損失預防等等。
混合模型
將政策以及客製化模型混和在一起使用。
在這個模型中,我們用一項政策來對多數資產進行基礎風險控制,但是高價值的東西就會有額外的風險評量。
圖片上面的風險政策表示一般安全政策給的保護控制層級,而圖中有些資產的價值大於政策時,我們會把這個多出來的部分劃分為保護門檻,表示該資產可視需要進行風險評量,多數企業採用這樣的方式,原因是他可用最少的錢來達到風險治理最大的效果。
風險衡量方式
量化資產
評量風險是基於該事物的實際價值,但是費時費錢。
質化資產
以隨意的規模來評量風險,例如將風險訂為低、中、高風險。
建立風險尺度
一般我們分為 3、5、7 level ,但是因為 3 level(低、中、高風險) 的變數太少,或者採用 7 level (例如:極低、低、中低、中中、中高、高、極高風險...)時太過繁雜,所以一般我們會用到約 5 個層級
而表示層級的方法,一般我們可以使用文字、顏色或數字等可以建立分類的標記來描述這個風險的尺度。
資產
用資產來評量價值或品質
哪些是資產呢?從硬體如桌子、電腦到其東西如資料庫裡面的資料等等都可以是一種資產。
一般我們會針對高價值的物品進行適當的風險評量。
風險偏好
一個人可以接受多大的風險層級?這個是風險治理最大的任務,因為我們必須知道他可以接受多大的挑戰,這個過程會定義風險容忍度並且設立風險接勝的極限值。
如果我們找到一個風險的值大於我們一般可以接受的容忍度,我們必須採取行動,降低風險直到可接受的範圍為止。
為資產進行排名
我們一般用四種方法:競爭價值、替代成本、監管價值跟聲譽價值,來找到各個物品適合的排名,這些目的是為了排出順序以後,可以給予適當的風險評量。例如銀行可能最重視的是客戶的帳戶資訊、音樂產業則是最重視智慧財產權等等。找出主要的資產通常很簡單,但是若針對物品辨識且進行排名,則是會有些挑戰。若有著良好的排名,則可以針對高風險的事項著手處理,一路往下直到風險清單的盡頭!
What next?
一旦我們有了對風險的初步了解以及建立自己的對風險的標準之後,我們要開始著手去辨識出這些風險並且一一解決他!
