非常損失

「非常損失」（Extraordinary Losses）是一個源自會計學的專門術語，其定義主要依據過去的美國公認會計原則（U.S. GAAP），特別是會計原則委員會意見書第30號（APB Opinion No. 30）。它指具備「性質異常」（unusual in nature）與「不常發生」（infrequency of occurrence）兩項特性的事件所造成的損失。在隱私風險管理情境下，將資料外洩事件的相關成本歸類為非常損失，意味著企業認定該事件的衝擊已超越一般營運風險範疇，屬於重大、非預期的災難性事件。雖然現代會計準則（如IFRS及更新後的U.S. GAAP）已取消此一獨立報表項目，但其概念在內部風險評估與管理報告中仍極具價值。它有助於將資料外洩的罰款（如GDPR第83條規定的高額罰款）、訴訟、商譽損害等成本與日常營運支出明確區分，讓管理者更精準地評估事件的真實財務衝擊，並為未來在資安與個資保護（如ISO/IEC 27701）的資源投入提供決策依據。

在企業風險管理中，應用「非常損失」概念來分析重大資料外洩事件，可遵循以下步驟： 1. **事件定性與閾值設定**：首先，風險管理委員會需根據企業自身營運環境與產業特性，定義何謂「性質異常且不常發生」的隱私事件。例如，可設定一個量化閾值，如預估總損失超過年度IT預算的特定百分比，或受影響用戶數超過總用戶數的某個比例，一旦超過即啟動非常損失評估程序。 2. **全面成本歸集與量化**：啟動程序後，成立跨部門應變小組（包含法務、財務、IT、公關），全面盤點並歸集所有相關成本。這不僅包括直接成本如鑑識費用、法律顧問費、依據GDPR或台灣個資法產生的行政罰鍰，也應估算間接成本如品牌商譽損害、客戶流失率增加、股價下跌等，將其彙總為單一的「事件總損失」。 3. **專項分析與管理報告**：將此總損失在內部管理報告中獨立呈現，與經常性營業費用區隔。這份報告需提交至董事會與高階管理層，用以審視現行風險管理框架（如ISO 31000）的有效性，並作為調整未來資安投資、強化內部控制（如導入ISO/IEC 27701）及更新業務持續運作計畫（BCP）的關鍵依據。透過此方法，一家台灣金融機構在遭遇駭客攻擊後，成功將事件衝擊與日常營運績效脫鉤分析，使董事會批准了提升30%的次年度資安預算。

台灣企業在應用「非常損失」概念進行內部風險管理時，主要面臨三大挑戰： 1. **會計準則的限制**：台灣現行採用的IFRS國際財務報導準則，已無「非常損益」的獨立表達項目，導致財務部門可能因不符合外部財報揭露要求而抗拒此分類。**對策**：應強調此概念主要用於「內部管理會計」與「風險報告」，而非外部法定財報。建立內部政策，將其作為評估重大風險事件衝擊的標準化管理工具，與財務報表脫鉤。 2. **成本歸集的複雜性**：資料外洩的成本散布於不同部門（IT、法務、行銷）且橫跨多個會計期間，準確彙總極為困難。**對策**：建立「重大隱私事件成本追蹤機制」，在事件發生初期即指定專案代碼，要求所有相關支出均歸戶至此代碼下。此舉有助於精準量化，並符合ISO/IEC 27701對隱私事件應對與監控的要求。預計導入時程約需3個月。 3. **風險文化的保守性**：部分高階主管可能將承認「非常損失」視為管理失能的表現，傾向將其分攤於各項營運費用中以淡化衝擊。**對策**：推動高階主管的風險治理教育訓練，強調將重大事件獨立分析是展現組織韌性與透明度的成熟作法，有助於從根本上改善風險體質。優先行動項目為舉辦董事會層級的風險情境工作坊，建立將危機轉化為改善動力的共識。

積穗科研股份有限公司專注台灣企業非常損失相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact