資深傳媒工作者 徐少驊
甚麼是「風險評估」、「危機管理」?一般人的了解是,風險評估就是當事件還未發生,我們先評估事件發生的機率,危機管理則是當事件發生後,我們如何調動資源將破壞力減至最低。
上述說法沒錯,但風險評估和危機管理只是「風險管理」的一小部份,風險管理的概念始於1931年,由美國企業管理協會的保險部門首先提出,大致可分為五個步驟:
一、風險政策。風險政策就是由組織領導人擬定對風險的態度和對風險處理的最高指導原則,涉及組織文化、法令、倫理及資源條件。
二、風險衡量。這點又可稱為「危險事件確認」,組織必須對所有潛在的「負面事件」予以完整的列計,確認所有負面事件後,再就事件過去曾發生的次數、機率、規模計算,得出負面事件發生的可能性。
三、風險評估。經過風險衡量得出的結果,再以風險事件可能帶來的破壞力作出評估,分為三個區域,分別是「不可忍受風險」,「可忽視風險」,及「可行性最低原則」。對於三個區域的風險會有不同的風險處理之原則,負面事件若屬於「不可忍受風險」區域,則不計經濟代價,立即進行降低風險的行動,若屬「可忽視風險」區域,就不必進行任何降低風險的行動,至於屬「可行性最低原則」區域的,則所進行的降低風險行動必須合乎經濟效益。
四、風險控制。可透過風險自承、風險降低、風險規避、風險分散和風險轉嫁等不同方法加以控制。若負面事件屬於「不可忍受風險」,則必須立即以風險降低和風險規避來使事件發生之機率降低,否則則可按風險之忍受度作出其他控制方略。
五、風險稽核。風險成為事實的即時處理叫「危機管理」,在過程中,要看危機是否得到有效控制,則必須有客觀的標準予以稽核。當然,稽核標準的訂立亦有賴事後經驗之累積,因此危機管理的過程必須文件化,並加以檢討,訂立稽核標準,以應付將來的危機。
從這五個步驟看來,亞洲各政府在處理非典型肺炎事件上均有不足之處,澳門特區政府的風險管理做得最好,早在廣州於年初爆發SARS時已辨識到風險存在,又能確認SARS屬於「不可忍受風險」區域,立即採取降低風險行動。反觀香港特區政府,在辨識風險上已失策,當SARS在香港出現後,未能將之界定為「不可忍受風險」,以致竟以經濟效益作為危機處理之準則,不採取斷然措施,阻止疫情擴散,明顯對風險管理欠缺基本常識。
相信沒甚麼人會質疑董建華的努力,但他及其問責司長的管治能力、知識以至決斷力的問題,在SARS事件上已表露無遺!