在前面組織已經決定了風險準則,準備好進行風險評鑑。
風險評鑑由組織全景開始,由於組織經營過程中到處都有風險,因此由全景開始進行檢視是最洽當的,由上而下進行檢視,而檢視的角色也會因層次而有所不同,但多半是該層次的管理人員。
有些顧問團隊會將風險評鑑分為高階風險評鑑與細部風險評鑑,分別代表了檢視的層級,畢竟組織的全景有時不是某些人可檢視或思考,而所有事情都由高階主管檢視也不恰當,因為最貼近現場與執行工作的人才會最了解相關的風險,故風險評鑑多會因層級交由適當的管理階層進行,而無論是高階或細部風險評鑑,其風險準則要保持一致,或制訂與組織風險準則連結的評鑑條件並據以執行。
風險評鑑的第一步是風險識別 (Risk Identification),也就是要在檢視的範圍內辨識出風險,例如前面舉的有人把主機電源踢掉的例子,在機房管理範圍內它就是一種風險,而相同類型的風險可進一步辨識出像若台電跳電或無預警停電,或是所在的建築物發生停電狀況,這也是一種風險,這些風險要將其辨識出來;風險識別過程中也應將風險來源 (Risk Source) 辨識出來,這會有助於後續歸納時能清楚得知哪些風險來源可能是不必要的,或許可以將其移除以消除風險。
接著,進行風險分析 (Risk Analysis),對每個辨識出來的風險逐一分析,定義出每個風險的「後果」以及「可能性」,以量化的方式轉換為數值 (例如依前面所提的方式,將後果與可能性的值相乘,即可得到風險數值),例如前面例子中的三個因子:
由表可知,組織認為台電停電的可能性是可能發生 (30-60%),因此可能性值為3,而機房本身若中斷時可能會造成組織大額金錢損失及商譽損失,後果評為4,因此台電停電的風險值為12,已超過組織的風險準則9,必須要採取行動處理它;這種針對風險數值與組織風險準則進行比較得出是否應該採取行動處理的步驟即稱為風險評估 (Risk Evaluation)。
完成整個組織的風險評鑑過程後,組織即會得到一份組織所有的風險評鑑表,這份風險評鑑表將會呈現出組織目前所有已被辨識出來的風險、後果、可能性及風險數值,以及是否超過組織的風險準則;若有超出風險準則的風險就需要進行處理,而這個程序就稱為風險處理 (Risk Treatment)。
風險處理方式基本上可以分為不要使風險發生 (規避或移除風險來源)、轉移給其他組織或與其他組織共同承擔、或是修改其後果或可能性的方式三種。
風險修改 (Risk Modification) 係以透過施加控制措施 (Control) 的方式修改風險數值,使其降到等於或低於組織的風險準則的行動,重點在於修改後果或可能性,以達到降低風險數值的效果。
當然也不是所有行動都是以降低風險為主,有些組織反而可能會刻意保留或是增加風險,為的是尋求可能的商機或發展機會,但這要由具有決策權的管理層級來決定。
以上面的例子來看:
在風險評鑑中,台電停電會超過組織的風險準則,必須要處理,組織決定以添購UPS的方式避免在台電停電時能持續供電,因此可能性會降低到1 (< 10%),而處理後的風險值降到1,符合組織的風險準則。
另外要注意的事,控制措施可以因應組織的需求、與其他風險間的交互作用等因素,使用多個控制措施來處理一個風險,無論是否採用多個控制措施,只要風險能降低到組織的風險準則即可。
經過修改風險方式所剩下的風險,稱為殘餘風險 (Residual Risk),若殘餘風險已低於組織的風險準則時,即可停止處理,若採取控制措施後,殘餘風險仍高於風險準則,則應再找其他控制措施以修改風險,再比較是否已低於風險準則,直至殘餘風險已低於風險準則或是組織決定保留風險。
當風險處理找出所有超出風險準則的風險的處理方式後,就要進行控制措施的規劃與設計,將其轉換為管理制度,包含負責人員、執行程序、所需資源、限制事項、量測指標、完成時程等項目安排妥當,責成相關團隊或人員執行,並監督其執行成效是否可如預期般降低風險,若執行成效不如預期時,則要再次進行風險評鑑,評估是否要施加更多控制措施,當然也要跟著修訂相關的管理制度。
注意,風險管理是一個動態的過程,雖然大多數都是採定期檢視的方式,但若組織發生重大事件或事故時,應當立即重新啟動風險評鑑程序,以因應並處理突發的風險,使風險管理能真正發揮其功效。