字級大小
企劃組
為訂定本局之風險管理政策,預防風險發生,並降低災害之可能與後果,以達成施政目標、提升機關績效,特依「科技部風險管理及危機處理作業基準」訂定本作業原則。
本局各組室(以下簡稱各單位)應依循本局之風險管理政策,將風險管理與危機處理融入日常作業與決策運作,並參考「風險管理及危機處理作業手冊」、「內部控制制度設計原則」進行實務性操作,以辨識、分析並處理各項潛在風險。
各單位得依相關法令及業務特殊需求管理其風險或危機。
本原則相關名詞定義如下:
(一)風險(Risk):潛在影響組織目標之事件,及其發生之可能性與嚴重程度。
(二)危機(Crisis):發生的事件威脅到組織重大價值,在處理時具有時間壓力,迫使決策者必須做出決策,該決策並可能有重大影響。
(三)風險管理(Risk Management):為有效管理可能發生事件並降低其不利影響,所執行之步驟與過程。
(四)危機處理(Crisis Management):為避免或降低危機對組織之傷害,對危機情境維持一種持續性、動態性的監控及管理過程。
(五)整合性風險管理 (Integrated Risk Management):以組織整體觀點,系統性持續進行風險評估、風險處理、風險監控及風險溝通之過程。
(六)利害關係人(Stakeholders):對於決策或活動,具有影響力、可能受其影響或自認可能被影響之個人或組織。
(七)風險評估(Risk Assessment):包括風險辨識、風險分析及風險評量之過程。
(八)風險辨識(確認)(Risk Identification):發掘可能發生風險之事件及其發生之原因和發生方式。
(九)風險分析(Risk Analysis):系統性運用有效資訊,以判斷特定事件發生之可能性及其影響之嚴重程度。
(十)風險評量(Risk Evaluation):用以決定風險管理先後順序之步驟,將風險與事先制定之標準比較,以決定該風險之等級。
(十一)風險處理(Risk Disposal):對於風險評量後不可容忍之風險,列出可將風險降低至可容忍程度之對策,進而執行相關對策,以降低事件發生之可能性或其影響之嚴重程度。
(十二)風險規避(Risk Avoidance):決定不涉入或退出風險處境。
(十三)風險降低(Risk reduction):選擇使用適當技巧及管理原則,以減低風險或其發生機率。
(十四)風險保有(Risk retention):特意或非特意承擔風險所造成之損失,或為組織之財物損失負責。
(十五)風險轉移(Risk transfer):透過立法、合約、保險或其他方式將損失之責任及其成本轉移至其他團體。
(十六)組織風險圖像(Organization’s Risk Profile):指組織主要風險項目及優先順序,以及個別風險項目分析資料;包括風險事件及其影響、緩和風險策略與目標等整體呈現。
(十七)監控(Monitor):定期及不定期檢查、諮商、觀察及記錄活動、動作或措施之過程。
(十八)風險溝通(Risk Communication):與利害關係人進行風險意識之傳播與交流,包括傳達內容、溝通方式及溝通管道。
本局之風險管理政策為:
(一)建立風險管理制度並持續落實對各項風險之管理機制,使各單位在規劃及推動業務時,能辨識、評量及控制各項風險,並積極從事各項業務之發展,以提供優良的產業發展環境。
(二)提昇各階層風險管理文化,提供適當資源、建立且應用標準程序,以預防潛在風險之發生。
(三)定期檢視風險管理作業,並進行必要調整及持續改善,以維持有效之風險管理系統。
(四)加強與內外部進行有效溝通,以提昇全員風險管理認知,徹底落實風險管理政策,以達成本局之策略績效目標。
本局同仁均應瞭解機關之風險管理政策,認知相關責任。辦理相關業務之規劃、管理與決策時,皆須將風險納入考量,並與業務之利害關係人進行風險溝通。
風險管理架構
(一)本局風險管理及危機處理推動小組組織架構如下:
1、召集人:由局長擔任召集人,綜理本局風險管理及危機處理;二位副局長為副召集人、主任秘書為總幹事,襄助綜理本局風險管理及危機處理。
2、推動成員:各單位主管為推動小組當然成員,各單位並依其職掌專業分工,負責所屬各項業務之風險管理及危機處理,檢視所有可能影響政策目標及組織目標達成之事件和因素,研擬、執行風險紓緩措施。
3、幕僚單位:由本局企劃組指派聯繫窗口,負責本局之風險管理及危機處理彙整業務。
(二)風險管理架構模式,包括:風險辨識、風險分析、風險評量、風險處理等程序,經由內外部之溝通降低機關風險,並透過監督與審查持續改善達成風險管理成效。(架構模式圖如附件一)。
有關資安、貪瀆、災害事故、政府採購及新聞媒體等均有相關法規規範,前述作業分由各單位遵循行政院已建立之體系辦理。
各單位應考量內外部環境,持續加強盤點可能發生的危機、潛在性風險並制定預警指標及緊急應變處理的標準作業程序,並包括規劃、執行、監督及改善等流程。
本局若發生重大危機事件,應依本局之「災害防救通報及處理作業要點」之規定辦理,並依「科技部風險管理及危機處理作業基準」規定之通報流程呈報(重大危機事件訊息通報流程及通報單如附件二)。
本局風險管理幕僚單位應於每年12月31日前,召開「風險管理及危機處理推動小組會議」決定本局次年度之主要風險項目。各單位應配合檢視所屬業務之潛在風險,提出該年度主要風險項目,並訂定風險處理對策。
各單位應將所屬業務之風險事件、可能後果及處理風險之方法,適度對內外部利害關係人溝通,並透過資源分享,營造支持性之工作環境,以形塑風險管理文化。
各單位應依業務特性、風險類別及管理經驗等差異,設計並推動整合性風險管理,長期持續運作,以落實風險管理工作。
各單位於評估風險時,應配合本局之施政目標,並考慮法令、內外部環境、技術及財務等事項,透過風險辨識、風險分析及風險評量之過程,綜合評估風險。
各單位依「機率之敘述分類表」及「影響之敘述分類表」(附件二,表1、表2),訂定風險發生可能性及其影響之嚴重程度,並據以計算風險值(風險值=發生機率×影響程度),以評量風險之容忍度。
各單位針對所屬業務之主要風險項目,應訂定風險控制機制並配合填列「風險評估及處理表」(附件三)及「主要風險圖像」(附件四),送交幕僚單位彙整,並持續執行風險評估及檢視組織風險圖像之變化。
各單位應對所辨識出之風險予以處理,並防範處理過程中可能引起其他風險。風險處理對策包括風險規避、風險降低、風險保有及風險轉移,對策亦需考量成本效益、政策可行性及處理之優先順序。
風險管理之規劃與執行,其相關程序及處理措施等均應作成紀錄。
本局風險管理幕僚單位應每半年召開會議檢視並監督各單位之風險管理執行成效,並做成紀錄;如因上級機關交辦或客觀情勢變化導致增加風險項目,或原有風險項目風險值有所變動導致列管層級提升者,得以書面簽核或召開臨時會討論。
各單位應配合風險管理監督程序,採滾動方式定期辦理風險評估作業,監督可容忍之風險是否仍維持可容忍之程度,並將前期就不可容忍之主要風險項目所採行之新增控制機制,滾動納入本期現有控制機制一併檢討及評量其風險等級,以決定是否需採行其他新增控制機制因應該等風險,提供風險管理規劃與執行之成效。
各單位應配合本局之風險管理政策、施政目標、相關稽核與監控、矯正與預防措施及管理階層審查,以持續改善風險管理之績效。
各單位應對監督結果所發現之異常事項提出矯正或預防等改善措施,並應確認該等措施之有效性。
各單位應依據風險管理監督結果與內外部環境,持續改善並適度與利害關係人進行風險溝通,以確保其持續適用與有效運作。
各單位危機處理應與風險管理架構相互結合,對於經過風險處理後仍高於可容忍程度之風險,應預先規劃危機之預防、應變、復原等各階段因應措施。
各單位應依據危機之類別,訂定危機緊急應變計畫,配合本局之「災害防救通報及處理作業要點」及「緊急應變小組作業說明」適時啟動本局之緊急應變小組,並包含危機應變策略、公關溝通、善後處理等標準作業程序,並應力求機動與彈性,以適應特殊緊急事故,並透過測試與演練,驗證計畫之有效性。
各單位除強化危機處理整體概念外,應著重協調機制、危機溝通及相關案例之探討,並應建立內外部即時通報窗口及機制,善用各種溝通工具,交換最新資訊,掌握最新狀況。
各單位於危機處理完竣後,應依經驗及事實,做成知識物件案例,俾供學習及檢討改進。對處理危機結果發現異常事項,應提出矯正或預防改善措施,並確認該等措施之有效性及回饋風險管理機制持續監控。
