29. 並且依標準將｢監視與審查」與｢溝通及諮詢」作業貫穿於整個風險管理流程之中。請問下列何者為正確的風險管理流程順序？
(A) 13456
(B) 54317
(C) 24367
(D) 25431

這道題目考的是 ISO 31000 與 ISO 27005 風險管理標準的標準作業流程。

根據 ISO 31000 的風險管理流程圖，正確的步驟順序如下：

1. 建立全景 (Establishing the context)：首先必須定義風險管理的範圍、內外部環境與標準（對應列表中的 2）。

2. 風險評鑑 (Risk Assessment)：這是一個包含三個子步驟的整體過程（對應列表中的 5，但在詳細流程中會展開為以下三步）：

   • 風險識別 (Risk Identification)：找出風險（對應列表中的 4）。

   • 風險分析 (Risk Analysis)：分析風險發生的可能性與衝擊。

   • 風險評估 (Risk Evaluation)：將分析結果與準則比對，決定優先順序。（分析與評估在列表中合併為 3）。

3. 風險處理 (Risk Treatment)：針對評估後的風險制定處理計畫（對應列表中的 6）。

   (註：ISO 標準用語為「處理 Treatment」，而非 PMP 慣用的「回應 Response」，因此應選 6 而非 1)

4. 記錄及報告 (Recording and reporting)：整個過程的輸出與溝通（對應列表中的 7）。

將上述步驟對應到選項數字：

流程為：建立全景 (2) $\rightarrow$ 風險識別 (4) $\rightarrow$ 風險分析及評估 (3) $\rightarrow$ 風險處理 (6) $\rightarrow$ 記錄及報告 (7)。

即：2 $\rightarrow$ 4 $\rightarrow$ 3 $\rightarrow$ 6 $\rightarrow$ 7

選項分析：

• (A) 13456：順序混亂且以「風險回應」開頭，不符標準。

• (B) 54317：雖以風險評鑑 (5) 開頭，但缺少了最前端的「建立全景」，且使用了非 ISO 標準用語「風險回應 (1)」。

• (C) 24367：完全符合 ISO 31000 的標準流程順序（全景 -> 識別 -> 分析評估 -> 處理 -> 報告）。

• (D) 25431：雖然以全景開頭，但將「風險評鑑 (5)」與其子項目「識別 (4)、分析 (3)」混在一起排序，邏輯重複，且最後使用了「風險回應 (1)」。

結論：

正確答案是 (C)。