資訊科技風險：化業務威脅為競爭優勢(6)

六、建立風險治理程序

IT風險治理程序是企業連結分散的IT風險認知的方法，以建立正確、完整、共享與行動導向的風險管理制度。企業各階層主管可藉IT風險治理程序，獲取充分資訊，協調相異觀點與取捨，完成適當的IT風險決策。

有效的IT風險管理程序與模式應配合組織架構，採多層次方式，以便(1)有效動員企業組織各層次的工作知識；(2)使管理者以組織整體的風險觀點，制定所屬層次的風險相關決策；(3)利用企業組織已有的決策運行架構；(4)促進企業組織各階層對相關標準與政策的了解。IT風險治理程序中主要角色有：

1. 發起人(Executive Sponsor)：提供方向、定位與必要支持；
2. 風險政策委員會(Risk Policy Council)：建立並審查IT風險政策、安排優先次序、審核相關採購與建置案；
3. 建置委員會(Implementation Council)：透過技術政策與程序的修訂，實現IT風險政策的要求，並監督配合的計畫與專案的實施，管制例外狀況；
4. IT風險管理小組(IT Risk Management Team)：負責IT風險管理程序的實際操作，確保企業各階層對風險政策的遵循，協助各單位評估、因應風險，監督相關專案；
5. 各單位主管與專業人員(Local Managers and Experts)：依據企業風險政策，負責所屬部門辨識與解決風險問題的工作，並回報相關問題予建置委員會。
6. IT風險主管(IT Risk Officer)：所有IT風險管理流程的最終負責人，溝通、推動、管理、協調各單位風險管理工作，是流程導向(Process-oriented)的管理人員，而非特定風險領域的專業技術管理者。

由發起人與各委員會監督的各單位主管與專業人員識別並管理風險，由IT風險主管負責整體流程的運作管理，形成一般企業的風險管理運作模式。視IT風險為企業風險的一部分，並以業務影響程度加以評量，可使IT風險與企業所有風險項目共同接受高層管理者的檢驗與輕重衡量。

風險治理程序是具有定期檢核機制的循環程序，風險隨時間與環境的變化而演變，風險政策與輕重緩急認定也需配合因應，IT風險治理的步驟依序如下：

1. 定義風險政策與標準："政策"屬於原則性說明，一般較"標準"的定義為廣；而"標準"則須明確，以作為實施的指引，可參考產業界標準知識庫(如：ISO)。
2. 識別並評估風險：有效風險管理的核心要務即是識別並評估風險，先由個別單位主管與專業人員識別並評估風險項目，再交由全體主管與專家共同比較評量。企業內部應該建立公開、自由與密集的風險議題研討文化，並由業務與IT人員共同參與風險的可能性與影響程度的評估作業。風險管理者應利用特定格式、工具，持續一致地衡量風險項目，通常無須以高度精確的方式描述風險，但求能具體表達風險的輕重緩急。處理影響程度重大，但可能性極低的風險，如：恐怖攻擊，可能不易估算其可能性，但可以依據其影響程度，進行成本效益分析，提出可行的解決方案。
3. 排定風險優先次序並指派負責人員：業務管理人員負責風險的優先次序排列，之後再指派專人負責處理風險項目。企業能否以合理的成本，有效處理風險項目，影響風險項目的優先次序。
4. 解決風險：風險項目的解決通常經由降低、迴避、移轉或接受等方式，而在IT風險的領域則大多採降低可能姓或影響程度的方式。當企業已經完全了解可能發生的最糟後果，並決定不計可能性高低，準備與之共存的情況下，才能選擇接受此風險。研究顯示，在降低風險的努力上，聚焦弱點分析比專注威脅有效，企業對於威脅，尤其是外部威脅，較無能為力；但卻可以針對弱點加以控制，而弱點一向是曝露高風險的根源，企業應專注於解決風險問題的根源。
5. 監控與追蹤風險：觀察並紀錄風險管理計畫與政策的施行效益，或是內、外部環境的變化對風險項目的影響，也包括衡量與4A風險項目相關的主要風險指標的變化狀況，除了部分監控作業可以利用自動化軟、硬體設備蒐集資料外，大部分監控追蹤程序須由人員定期執行。若特定風險政策與標準經常遭到違反，除了人員執行的實務問題外，可能需檢討該政策與標準的適用性。

有效IT風險治理實務可歸納為：(1)指派單一專人負責整個程序；(2)依型態歸類風險項目，以便識別、評估及比較；(3)編製風險資料表，紀錄追蹤所有風險事項的發展狀況；(4)以持續一致的方式評估風險；(5)適度應用業界風險管理最佳實務。而為求及早識別、揭露並防制風險，建立廣泛的風險意識，應將風險管理程序內建在IT各項事務的管理程序之中。