26. 有關風險評鑑流程(風險識別、風險分析、風險評估)的描述，下列何者最為適切？
(A) 組織在識別風險時，若風險來源不可控制，可不予考量
(B) 風險分析係評估事件發生之可能性與影響，且該事件僅有單一來源、單一後果
(C) 風險評估是將風險分析結果與組織的風險準則比較，以 決定哪些風險需採取額外的控制措施
(D) 組織決策時無法完整納入利害關係人意見，因此僅須由 適當層級決議確認風險評估結果

這道題目考的是**風險評鑑（Risk Assessment）**的三個核心步驟：識別（Identification）、分析（Analysis） 與 評估（Evaluation） 的定義與執行原則。這通常基於 ISO 31000 或 ISO 27005 的標準定義。

我們來逐一分析各選項：

• (A) 組織在識別風險時，若風險來源不可控制，可不予考量：

  • 這是錯誤的。

  • 理由： 風險識別的目的是找出所有可能影響組織目標的不確定性。即使風險來源（Risk Source）是不可控的（例如：地震、颱風、戰爭、外部供應商倒閉），組織仍然必須識別它，因為雖然無法控制「發生源頭」，但可以控制「後果」或「應變措施」（例如：建立異地備援、購買保險、制定 BCP）。如果因為不可控就不考量，組織將會毫無防備。

• (B) 風險分析係評估事件發生之可能性與影響，且該事件僅有單一來源、單一後果：

  • 這是錯誤的。

  • 理由： 前半句是對的（評估可能性與影響），但後半句是錯的。一個風險事件通常會有多種來源（例如：資料外洩可能是因為員工疏忽 + 系統漏洞 + 駭客攻擊同時發生），也往往伴隨多種後果（例如：財務損失、商譽受損、法律訴訟）。風險模型（如 Bow-tie analysis）常呈現多對多的關係，而非單一線性。

• (C) 風險評估是將風險分析結果與組織的風險準則比較，以決定哪些風險需採取額外的控制措施：

  • 這是適切的。

  • 理由： 這正是 風險評估（Risk Evaluation） 的標準定義。

    1. 分析算出風險值（Level of Risk）。

    2. 評估則是將這個值拿去跟公司的「風險胃納/風險準則（Risk Criteria）」做比較。

    3. 如果高於可接受標準，就決定需要處理（Risk Treatment）；如果低於標準，則選擇接受。

• (D) 組織決策時無法完整納入利害關係人意見，因此僅須由適當層級決議確認風險評估結果：

  • 這是不適切的。

  • 理由： 現代風險管理標準（如 ISO 31000）非常強調 「溝通與諮詢（Communication and Consultation）」。風險管理的過程必須盡可能納入利害關係人（Stakeholders）的觀點，因為他們可能持有風險擁有者未察覺的資訊，且他們的利益會直接影響風險的可接受程度。雖然最終由管理層決議，但在過程中排除利害關係人意見並非良好的治理實務。

結論：

選項 (C) 準確描述了風險評估階段將「分析結果」與「接受準則」進行比對的核心邏輯。

正確答案：(C)