頻率-嚴重性模型

頻率-嚴重性模型是一種源於保險精算學的進階量化風險評估技術，其核心是將風險拆解為兩個獨立維度進行分析：事件發生的「頻率」（Frequency）與單次事件造成損失的「嚴重性」（Severity）。此方法會為頻率（如：卜瓦松分佈）和嚴重性（如：對數常態分佈、帕雷托分佈）分別選擇最適合的機率分佈模型。此技術完全符合國際標準 ISO 31010:2019《風險管理 — 風險評鑑技術》中對於利用統計與蒙地卡羅模擬進行風險量化的指引。在金融業，它是巴塞爾協定（Basel Accords）下計算作業風險所需資本的「損失分佈法」（Loss Distribution Approach, LDA）的基礎。相較於傳統的風險矩陣等質化工具，此模型能提供完整的潛在損失機率分佈，從而計算出如「風險價值」（VaR）等關鍵指標，為企業的資本配置與風險決策提供更科學的依據。

企業應用頻率-嚴重性模型主要遵循四個步驟：第一步是「資料收集與清理」，依據 ISO/IEC 27005 對於資訊安全風險評鑑的要求，系統性地收集內部歷史損失事件（如：資安事件、營運中斷）的發生日期與財務衝擊數據，並可整合外部行業資料庫以擴充樣本。第二步為「模型選擇與參數估計」，利用統計軟體為頻率與嚴重性資料找到最適配的機率分佈，並估計其參數。第三步是「彙總損失分佈模擬」，採用蒙地卡羅模擬（Monte Carlo Simulation）技術，結合前兩步建立的模型，模擬未來一年可能發生的總損失情境數萬次，形成彙總損失機率分佈。第四步為「風險指標計算與決策」，從分佈中計算預期損失（Expected Loss）與非預期損失（Unexpected Loss，通常以99.5%信賴水準的風險價值 VaR 表示）。某跨國金融機構即利用此模型量化網路攻擊的潛在損失，成功將其網路安全保險的保障範圍與自負額調整至最佳化，使其風險資本配置效率提升約15%。

台灣企業導入此模型主要面臨三大挑戰： 1. 資料稀缺性：特別是針對重大資安事件等低頻高損事件，內部歷史數據嚴重不足，難以建立穩健的模型。對策是整合多方資訊源，除了內部資料，應納入產業聯盟分享的匿名數據、公開的資安事件報告，並結合專家訪談進行「情境分析」，此做法符合 NIST SP 800-30 風險評鑑指南中對威脅來源分析的要求。 2. 專業人才匱乏：模型建構需兼具統計、精算與特定領域知識（如網路安全），這類跨領域人才在市場上相當稀少。解決方案是採取階段性導入，初期可委由積穗科研等外部專業顧問建立客製化模型並進行知識移轉，同時培養內部人員能力。 3. 結果溝通困難：向無統計背景的董事會或高階主管解釋 VaR、信賴區間等抽象概念，並轉化為具體商業決策是一大挑戰。對策是將量化結果視覺化，製作動態儀表板與損失超越機率曲線圖，並將結果直接與企業的「風險胃納聲明書」對應，例如「我們有99.9%的信心，年度網路攻擊損失不會超過新台幣五千萬元」，使溝通更直觀有效。

積穗科研股份有限公司專注台灣企業Frequency-Severity Models相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact