（風險管理程序）
風險管理政策應包含風險管理程序，且風險管理程序應至少包含：風險辨
識、風險分析、風險評量、風險回應，及監督與審查機制五大要素，並載
明各要素實際執行之程序與方法。

（分析與辨識公司風險來源與類別）
風險來源與類別一般可歸納為以下構面，主要包含：策略風險、營運風險
、財務風險、資訊風險、法遵風險、誠信風險、其他新興風險（如：氣候
變遷或傳染病相關風險）等。
風險管理推動與執行單位宜依據公司規模、所屬產業、業務特性、營運活
動，並考量企業永續（含氣候變遷）各面向規範重點進行全方位風險分析
，分析與辨識公司適用之風險來源與類別，定義公司自身之風險類別，針
對各風險類別展開相關細部風險情境辨識，並定期檢討其適用性。

（風險辨識）
各營運單位應依據公司策略目標及董事會核定之風險管理政策與程序，就
其所屬單位之短、中、長程目標與業務執掌進行風險辨識。
風險辨識宜採用各種可行之分析工具及方法（如：流程分析、情境分析、
問卷調查、PESTLE  分析等），依據以往經驗及資訊，並考量內、外部風
險因子、利害關係者關注重點等，透過「由下而上」及「由上而下」的分
析討論，結合策略風險與營運風險，全面辨識可能導致公司目標無法達成
、造成公司損失或負面影響之潛在風險事件。

（風險分析）
風險分析主要係針對已辨識風險事件之性質及特徵進行瞭解，並分析其發
生機率及影響程度，據以計算風險值。
各營運單位應針對已辨識出之風險事件，考量現有相關管控措施之完整性
、過往經驗、同業案例等，分析風險事件之發生機率與影響程度，據以計
算風險值。

（風險分析量測標準）
風險管理推動與執行單位宜依據公司風險特性擬訂適切的量化或質化量測
標準，作為風險分析之依據。
質化之量測標準係指透過文字描述，表達風險事件之發生機率及影響程度
；量化之量測標準則係指透過具體可計算之數值指標（如：天數、百分比
、金額、人數等），表達風險事件之發生機率與影響程度。

（風險胃納）
風險管理推動與執行單位宜擬訂風險胃納（風險容忍度），提報風險管理
委員會進行核定，以決定公司可承受之風險限額。並依據風險胃納研議各
風險值對應之風險等級，及各風險等級之風險回應方式，作為後續風險評
量及風險回應之依據。

（風險評量）
風險評量的目的是提供企業作為決策之依據，透過將風險分析結果與風險
胃納加以比對，決定需優先處理之風險事件，並作為後續擬訂回應措施選
擇之參考依據。
各營運單位應依據風險分析結果，對照經風險管理委員會核定之風險胃納
，依據風險等級規劃與執行後續風險回應方案。
相關風險分析與評量結果應確實記錄，並提報風險管理委員會進行核定。

（風險回應）
針對風險回應應訂定相關處理計畫，確保相關人員充分理解與執行，並持
續監控相關處理計劃之執行情形。
企業應考量企業策略目標、內、外部利害關係人觀點、風險胃納及可用資
源，來擇定風險回應方式，使風險回應方案在實現目標與成本效益之間取
得平衡。

（風險監督與審查）
風險監督與審查機制應於風險管理程序中明確定義，以確實審查風險管理
流程及相關風險對策是否持續有效運作，並將相關審查結果納入績效衡量
與報告事項中。
風險管理應與組織中關鍵流程進行連結，以有效監督與提升風險管理落實
實施之效益。