35. 有關如何進行風險處理的描述，下列何者最「不」適切？
(A) 在風險處理的過程中，有可能會需要因為導入的工 具，管理新的風險
(B) 超過可接受風險之資產，應先將此風險列入觀察，後 續再予以處理
(C) 風險擁有者與利害相關者，都需要瞭解風險處理後之 剩餘風險的結果
(D) 風險處理後之殘餘風險，必須文件化記錄並定期審 查，確認風險處理是有效控制風險的

總結

風險處理（Risk Treatment）是針對已識別之風險選擇並實施措施的過程，必須注意以下幾點：

1. 新風險管理：在導入控制措施或工具時，常常會衍生出新的風險，須將其納入監控與審查機制中持續管理 (LSST Project, 風險管理學院)。

2. 高風險優先：對於已超出可接受風險範圍的項目，應立即優先進行處理，而非先行「列入觀察」再延後處置 (Riskonnect)。

3. 殘留風險知悉：風險擁有者及相關利害關係者必須充分了解處理後之殘留風險，並對此結果承擔責任 (LSST Project, Practical Risk Training)。

4. 文件化與定期審查：所有殘留風險都應予以文件化記錄，並透過監控與定期審查，確認風險處理措施持續有效 (LSST Project, Practical Risk Training)。

各選項解析

• (A) 在導入工具或控制措施後，確實可能產生新的風險，例如配置錯誤或相依性問題，應將此等風險納入監控與審查流程中 (LSST Project)。

• (B) 若資產風險已超出組織可接受範圍，ISO 31000 要求優先識別並立即處理，而非先「觀察」再行處理，否則將延誤關鍵防護時機 (Riskonnect)。

• (C) 處理後的殘留風險需由風險擁有者及所有相關利害關係人充分評估與承認，以確保風險管理決策之問責機制完整 (LSST Project)。

• (D) ISO 31000 明確指出，殘留風險應文件化並定期監控與審查，以評估處置措施的持續有效性，並在必要時進行補充處理 (LSST Project, Practical Risk Training)。

結論：最「不」適切的敘述為 (B)，因為對於超出可接受風險之資產，必須立即優先進行風險處理，而非先行觀察拖延。