四、請闡述風險管理流程的 4 大步驟，分別是風險辨識、風險分析、風險評量、風險處理。（20 分）

一，風險辨識
意義：發掘可能發生風險的事件及發生的原因和方式。
目的：藉由辨識的過程，找出需要管理的風險。
步驟：
1. 列出風險來源-列出風險來源與潛在的風險影響。
2. 假想風險情境-針對列出之每一影響事件，推測其可能發生之時機、地點、原因及方式，並進而進行原因結果分析。
3. 風險控制和改善-指出風險控制的方法及改善策略，組織可以檢視目前有哪些風險控制之方法，如未能控制則思考有何改善策略。
方法：
1. 結構化導向-逐項討論，不需太多經驗，過程較簡單。例如核對風險清單、checklist、問卷調查。
2. 經驗導向-運用經驗及紀錄判斷、腦力激盪。
3. 結合結構化及經驗導向-適用顧問協助引導評估與分析計畫。例如SWOT分析、流程表或作業分析、系統分析等，較能精確辨識風險。
二，風險分析
意義：在現有的控制方法下，系統性運用有效資訊，以判斷特定事件發生的可能性及其影響的嚴重程度。
目的：將可接受風險與主要風險分開，並提供風險評量所需的資料。
步驟：
1. 蒐集資訊-紀錄經驗、國外的應用、出版文獻、調查與研究、專家判斷、模型應用、實驗及原型
2. 運用分析法-由於風險分析之深入程度，會隨所獲得之資訊及數據而有所不同，所以分析種類可分成定性分析(質分析法)、定量分析(量化分析)、及半定量分析(質和量的分析)，若有足夠的預算和成本來處理風險，可導入專業機構來進行外部分析。
3. 畫出風險圖像-依分析資料結果畫出風險圖像，橫軸代表機率，縱軸代表影響程度。
方法：
1. 影響之敍述分類表。
2. 機率之敍述分類表。
3. 風險圖像。
三，風險評量
意義：用以決定風險管理先後順序之步驟，將風險等級(風險分析所得)與組織現有風險評量基準比較，以決定需進一步優先處理之風險。
目的：依據風險分析結果以判定需優先處理的風險。
方法：依照評量的結果，組織應優先處理風險圖像上接受程度最小的風險，以及風險等級為高度以上者，先保留發生機率低及可接受的風險，並定期監督。
四，風險處理
方法：
1. 風險規避(risk avoidance)－決定不涉入或退出風險處境。
2. 風險降低(risk reduction)－選擇使用適當技巧及管理原則、以降低風險或其發生機率。
3. 風險轉移(risk transfer)－透過立法、合約、保險或其他方式將損失之責任及其成本轉移至其他團體。
4. 風險保有(risk retention)－特意或非特意承擔風險所造成之損失，或為組織之財物損失負責。