风险管理概念简介

什么是风险！ ？传统观念上风险是一种负面的名词，意思是我有可能损失一些东西；更进一步，风险感觉起来有一种不确定性，未来不确定是否会发生的事件机率；另一种积极的角度，风险是一种机会，一种可以令企业获取竞争优势、增加股东权益的机会。因此，风险本身应该是一种中性名词，你有可能因为风险而造成损失，但也可能因为控制得当而获利。例如，当企业决定要不要使用资讯系统时，因为外在环境，如竞争者都已经使用资讯系统，所以不使用资讯系统有可能被淘汰；另一方面，有可能竞争者使用了资讯系统，因为导入不顺利导致组织适应不良，造成更大的亏损。因此重点在于企业如何适当的管控风险，而不是一味的想要完全消除风险。

企业在面对外在环境的不断变化，各种新的、不同的风险一一浮现，风险的管理是更加的困难。整个风险管理的主要过程是以达成组织的目标，创造股东的权益为主。主要的目的不是消除所有的风险，而是适当评估与管理风险，以创造企业本身的优势。

风险的定义

风险的识别与测量，根据不同的专业领域有不同的说法或定义，有工程上的、保险精算上的、数学上的及财务上的等等。根据澳大利亚标准第4360号定义风险为影响达成目标的事件发生机会，它是透过结果与可能性来衡量。我们可以定义风险如下：风险是未来不确定性的事件，该事件有可能影响组织目标的达成，包括策略、作业、财务或其他一致性的目标。另外英国会计师协会也提到风险是生而俱来的，虽然这些风险的性质或范围可能不同，但无论对小企业或跨国性大企业而言，风险都是存在的。公司有可能未追求获利的机会而承担较大的风险，因此在风险与报酬间取得平衡是极大化股东利润的关键范例：希望利用引进新产品增加公司的营收，以危机的角度，对于该目标的达成有下列风险考量：

1. 可能找不到足够的销售员；

2. 对新进销售人员的训练有可能不足；

3. 或是我们的市场调查无法反应实际现况。

因此，当我们评估一个企业的风险时，我们应该适当考量下面这些问题：

1. 机会：藉由分析风险的过程，是否有任何方法可以增加企业的机会？

2. 不确定性：企业如何防止负面事件的发生？

3. 危机：当有危险事件发生时，企业的紧急应变方案为何？

当我们再回到上个案例，为了增加营收企业引进新的产品，并且雇用许多新的销售员，针对该策略我们可以探讨许多观点：以不确定性的观点：我们应该设计一套先进的销售员雇用及训练课程；以危机的观点：我们应该接受该方案失败的可能性，也就是有可能我们无法雇用足够的销售员，因此我们针对此项风险拟定应变计画，透过不同方法来销售新产品，如透过策略联盟伙伴帮忙销售。最后，以机会的观点：也许因为我们透过策略联盟伙伴的销售，开发了更多企业未曾接触的潜在的市场。

由上面的例子我们可以得知，风险应该是个中性的名词，不只有负面的影响，同样具有正面的价值，端视组织如何去因应它。因应的好公司有可能获得重大突破，应付不好有可能组织因此而丧失竞争力，所以我们谈的是如何去管理风险，而不是去消除风险；若将所有风险都消除了，意谓着利润消失了。

资讯风险

资讯科技对企业的冲击，不言而喻。伴随着资讯科技的引进，相关的风险也就随之而来。组织如何面对资讯风险就是现今最热门的话题之一，资讯风险并不是因为资讯科技所引起的，不使用任何资讯科技也同样存在资讯风险，重点在于公司越依赖资讯科技时，资讯风险也会随之增加。例如，在纯粹纸张作业的时代，业务上的资讯（如报价单）、研发成果等等相关资讯，其实都存在遗失、损毁、窜改或被窃取等风险。可是一旦公司使用资讯科技之后，传真机、网路种种管道畅通无阻时，都可以让贵单位的重要资产-资讯产生重大损失，甚至等公司发现时为时已完。

因此，资讯是公司的一项资产，这是大家都知道的一种概念，可是如何保护这项资产，却甚少重视。如果公司现在进口一台重要机器设备，公司会小心的保护它。会把它锁在安全的地方、会派警卫看守、会向保险公司索赔等等；可是您的资讯资产呢？您除了装置防火墙、防毒软体或使用帐号密码管控外，您还为它做了什么防护措施呢？再回想一下，您对这些资讯资产都已适当评估过了吗？例如，这项资讯资产的量化价值或风险等级。若是高风险，这是保护措施是足够的吗？若是公开的资讯，那这些保护是不是多余的。因此，资讯安全的重要观念是使用适当的成本来保护我们资讯资产，而不是追求一百分的安全性。

资讯资产的等级

一般而言，组织应有专责单位负责资讯的安全，该单位协助组织内成员评估各项资讯风险等级。通常我们将资讯分成三种等级，一是公开资讯、二是提供客户或供应商所使用的资讯、三是内部所使用的资讯；当然依照组织自行的规划，如高风险性资讯、中风险性资讯及低风险性资讯也可。或是不只有三种等级，可依照组织需求再适当予以调整。

资讯风险特性

风险评估分析是针对资讯资产的安全性进行定义的过程，基本上基于下列三种资讯的特性：机密性（Confidentiality）、完整性（Integrity）、可用性（Availability），同时涵盖针对资讯安全作法上如何确保所有资讯资产都被适当辨别、证明及维护的控制方法。风险分析的主要目的是辨认及分析资讯资产的相关风险，并决定适当的保护措施及控制方法，以减低风险之层级及其可能之影响。

* 机密性（Confidentiality）：例如薪资资料、研发单位的成果等等。

* 完整性（Integrity）：资讯是不是完整的？是不是有被窜改等等。

* 可用性（Availability）：当要使用资讯时，该系统是否可以适时提供等等。

资讯风险的评估

风险评估被认为是评估资讯系统安全之重要步骤，以引导出资讯安全之警觉性，进而提供适当机制来衡量风险之大小，并协助评估及选择适当之安全措施。风险评估之过程不是一段时间的工作，而是随着科技及组织变化之持续改善过程。方法如(图一)。

《图一 风险评估方法论》

对于每个系统或逻辑资料的存取，建议资讯安全专责单位协助组织之资讯拥有者或对于资讯资产熟悉的人员进行下列分析：

何谓BS7799标准

BS7799是一套资讯安全管理系统的标准，该标准系由业界相关领导厂商共同开发而成，并于1995年正式成为英国的国家标准。目前包括澳大利亚、纽西兰、荷兰、挪威及瑞典都相继采用BS7799成为各国的国家标准。其他国家，如瑞士、南非和加拿大也都正在研究该标准。 BS7799也已经被送至国际标准组织（ISO）审核，预计成为ISO的标准。是否要取得BS7799的认证，是管理上的一个议题，而该认证的价值亦取决于客户及交易伙伴对此认证的态度。组织应适当分析此认证之成本与效益，并在适当时点取得认证。

总结

适当的执行资讯风险评估不仅可排除各项可能之威胁，同时也确认未受保护之区域。资讯安全的相关成本可藉由风险评估之过程适当考量，并决定资讯安全建置之必要性，例如建置资讯安全的成本不应比所要保护的资产价值更多才对。

另外，资讯安全是全体组织成员责无旁贷的责任，任何一些疏忽都有可能造成组织的重大损失，试想如果因为您的报价单资料不小心被竞争者取得，那您报价单上的总额​​度就是您这点小疏忽所造成的损失，您说不可怕吗？ (作者任职于普华资安公司)