文章

什麼是風險緩解(Risk Mitigation)?

風險緩解(Risk Mitigation)是旨在降低或消除對組織威脅影響的一系列策略與手段。做為更廣泛風險管理實務的一環,風險緩解的重點、實施方式與管理模式會因組織而異。然而,風險緩解應是每個組織的優先事項,因為它有助於確保業務持續運作。

風險緩解策略涵蓋多種風險類型,其中包括以下五種:

法規遵循風險 組織往往需遵守各項法規遵循要求,如果不遵守,可能會導致罰款或其導致。

法律風險 如果違反法律,組織將面臨訴訟、罰款和處罰。

營運風險 組織日常營運所需的各項活動本身就充滿風險。營運風險的緩解著重於處理這些內部與外部風險,包括災害(例如網路攻擊(Cyber Attack)、水災、火災、死亡及疫病等)。

聲譽風險 一個組織在員工、客戶、股東及公眾之間的聲譽極為寶貴。為維護聲譽,可採取一系列風險緩解措施,包含強化資安防護以消弭潛在缺口等措施。

策略風險 可以實施風險緩解措施來設定防護機制,阻止組織做出錯誤的決策或未妥善規劃變革。

風險緩解之所以重要,有許多原因,包括:

  • 協助將組織的風險程度控制於可容忍範圍內
  • 促使組織規劃以管理、消除或降低風險
  • 確保採取正確的措施,將威脅造成的損害降至最低
  • 使組織專注於不可避免的威脅並減少其影響
  • 幫助避免違反法規遵循
  • 提高對組織的信任度

什麼是風險緩解計畫?

風險緩解規劃是啟動計畫的起點。

在風險緩解規劃期間,組織將進行風險識別、評估及優先排序,並擬定降低或消除風險的策略,同時建立有效的監控機制。

風險緩解規劃的關鍵考量因素包括:

  • 在整個組織內溝通風險緩解規劃的必要性
  • 定義風險緩解的目標與關鍵績效指標 (KPI , Key Performance Indicator)
  • 確保決策者和高階主管對風險緩解措施的支持
  • 確保所有利害關係人(例如員工、主管、合作夥伴和供應商)都參與其中
  • 明確定義關鍵角色和職責

風險緩解策略的類型

正確的風險緩解方法取決於風險和組織。常用的風險緩解策略類型如下 (有時單獨採用,有時會搭配實施)。

接受風險

在接受風險策略中,組織可能認為某風險造成的潛在損失尚屬合理,或其發生機率極低,因而選擇持續監測風險,並於超出其接受範圍時才採取行動。

接受風險策略通常做為初始步驟採用,隨著情勢變化或有更多資訊的出現,組織會轉而採取其他風險緩解策略。

避免風險

做為一項策略,避免風險指的是採取措施遠離風險,或防止其發生。當處理風險所需付出的代價過高或後果過於嚴重(例如成本過高或風險過大)時,就會採用此類風險緩解方式。

降低風險

降低風險策略涉及對風險的成因或影響進行管理。這包含深入分析風險的根本原因、評估預警指標,以及判斷風險可能演變為問題的程度與可能性。接著,組織會研擬風險緩解方案,並採取措施控管風險,而非試圖完全消除風險。

採用此風險緩解策略的原因可能有多種,例如組織可用預算有限、風險本身的嚴重性不高,或可採取特定措施將其影響降至可接受的程度。

透過避免風險來降低風險

透過降低風險來緩解風險

適用情況: – 當繞過風險比直接處理風險更為實際時 – 為了預防特定風險的發生 – 當某些風險的後果過於嚴重或危險,難以徹底消除時

用途包括: – 降低風險發生的可能性,或減輕其後果的嚴重性 – 透過控管風險的成因或影響來加以控制 – 減少無可避免風險所帶來的衝擊

轉移風險

轉移風險是指將風險轉由第三方承擔。實務上可透過多種方式達成,包括購買保險來因應風險,或在合約或其他協議中約定由他方承擔風險後果。

風險緩解步驟

第一步:識別風險

  • 判斷哪些風險可能影響專案或組織的整體營運。
  • 與所有利害關係人協作,盡可能識別各種潛在風險。
  • 檢視過往問題與已知風險,以量化目前的風險。
  • 全面考量各類風險類型(例如法規遵循、法律、策略、聲譽和營運)。
  • 評估目標與目的,並考量可能妨礙其達成的因素。

第二步:分析風險

  • 評估風險的性質。
  • 估計其發生的可能性。
  • 量化負面影響。
  • 建立風險概況,並納入各項風險的威脅等級資訊。
  • 在分析過程中納入時間因素的考量。

第三步:排定風險優先順序

  • 風險的優先順序基於以下內容:
    • 組織的目標。
    • 對組織的重要性。
    • 風險發生的可能性。
    • 可用於因應風險的資源。

第四步:規劃

  • 評估可用於處理或應對風險的選項。
  • 決定採用哪一種方法來應對風險。
  • 概述風險控管建議。
  • 詳列用以衡量風險緩解措施成效的評估準則。

第五步:風險處置

  • 從最優先的風險著手處理。
  • 記錄每種風險、其所屬類別,以及對應的緩解策略。
  • 確保利害關係人瞭解計畫內容及各項執行措施。
  • 執行風險緩解計畫的各項策略。

第六步:監控與衡量

  • 追蹤所有風險緩解措施,包括所投入的時間與資源。
  • 密切注意可接受的風險。
  • 衡量風險緩解措施的成果。

風險緩解並非一體適用

風險無可避免。若未妥善因應,將可能導致企業面臨各種問題,不僅耗費時間和金錢,甚至造成其他損失。透過風險緩解策略,可協助企業避免這些問題的發生。

然而,儘管多數組織在風險緩解的基本方法上大致相同,但實際執行上仍存在細微差異,並無一體適用的單一模型。每個組織的需求皆因規模、產業性質、營運模式、地理位置及人力組成等多種因素而異。

考量最佳實務並運用基本的風險緩解原則,組織可制定符合其特定需求的風險控管模型。再加上確保利害關係人與高層主管的支持,可確保風險緩解計畫契合實際需求與工作流程,從而聚焦重點、提升整體成效。

日期: 2025年9月2日閱讀時間:2 分鐘
法規遵循網路安全

立即開始

瞭解 SailPoint 身分安全能為貴組織帶來哪些改變

要在不影響生產力或創新能力的前提下保障資源存取安全,可謂一大挑戰,瞭解我們的解決方案如何支援當今現代企業因應這項挑戰。

申請產品示範聯絡我們