一、為推動行政院及所屬各機關（構）、公立學校（以下統稱各機關）將風險管理融入日常作業及決策運作，考量可能影響施政目標達成之風險，訂定機關之施政目標及策略，並透過辨識及評估風險，採取內部控制或其他處理機制，以合理確保達成施政目標；並於危機事件發生時，採取危機處理，降低對機關損害之影響程度，特訂定本原則。
二、本原則所稱風險管理，指為有效管理可能發生事件並降低其不利影響所執行之步驟及過程；其包含內部控制之建立及執行，透過控制環境、風險評估、控制作業、資訊與溝通及監督作業，事先整合機關內部各種控管及評核措施，降低各機關施政目標無法達成之內部風險。
三、各機關應建立並維持有效之風險管理架構，以合理確保達成下列主要目標：
（一）實現施政目標。
（二）提升施政效能。
（三）提供可靠資訊。
（四）遵循法令規定。
（五）保障資產安全。
前項第四款之次要目標為行政透明。
各機關內部控制之建立及執行，應合理確保達成第一項第二款至第五款所定主要目標及前項所定次要目標。
四、國家發展委員會（以下簡稱國發會）應會同行政院主計總處（以下簡稱主計總處）訂定行政院及所屬各機關風險管理及危機處理作業手冊（以下簡稱作業手冊），引導各機關進行實務性操作。
五、各機關得設立風險管理及危機處理專案小組（以下簡稱專案小組），指派副首長以上人員擔任召集人，並指派各機關內部單位主管擔任委員；專案小組之幕僚工作由各機關研考單位辦理，負責機關各項風險管理及危機處理之教育訓練及相關事項。
六、各機關首長對推動風險管理及危機處理應負最終責任。
七、風險管理包括下列步驟之持續循環過程，以各機關整體之觀點，由機關全體人員共同參與，並掌握可能影響機關施政目標無法達成之內、外部風險，以採取相關管控及回應作為：
（一）建立背景資料。
（二）辨識風險。
（三）評估風險。
（四）處理風險。
（五）監督及檢討。
（六）傳遞資訊、溝通及諮詢。
八、前點第一款所定建立背景資料，係提供風險管理所需之基礎資料，並確定所涵蓋範圍；其作法如下：
（一）確定各機關之年度施政目標及重要計畫（方案或措施）項目：確定各機關依設立之使命、願景及業務職掌，於中程及年度施政計畫所訂定之年度施政目標，及各機關內部單位為達成業務職掌及年度施政目標所訂定之重要計畫（方案或措施）項目。
（二）界定外部因素：審視各機關與周圍環境間之關係，包括政治、社會、經濟、科技、自然環境等對該機關之影響，發掘機關之機會及威脅。
（三）界定內部因素：審視各機關之內部作業流程、所能運用之人力、財務、資訊及人員具備解決問題能力之弱點，及各類利害關係人之意向變動。
九、第七點第二款所定辨識風險，係發掘重要計畫（方案或措施）項目可能面臨之各項風險及其如何發生；其作法如下：
（一）選擇辨識方法，以發掘風險。
（二）聚焦於新訂或已變動之計畫（方案或措施）項目。
（三）列出各項風險發生之原因及影響範圍。
（四）綜整所發掘之各項風險。
十、第七點第三款所定評估風險，係針對依前點規定辨識出之各項風險，篩選出重要風險；其作法如下：
（一）分析風險：建立風險可能性評量標準表及風險影響程度評量標準表，分析各項風險發生之可能性及影響程度，以評定現有風險等級及風險值。
（二）評量風險：
1.依前款所定評量標準表，建立風險判斷基準及其風險容忍度，並將各項風險與風險判斷基準比較，建立各機關現有風險圖像，篩選出重要風險。
2.前目所定風險容忍度，指各機關所願意接受年度施政目標無法達成之變動程度。
十一、第七點第四款所定處理風險，係減少風險對機關之負面影響；其作法如下：
（一）列出可行之風險對策：
1.接受：風險在可容忍範圍內，得不作處理。
2.規避：風險在可容忍範圍外，處理成本高於利益時，採取不涉入或退出風險。
3.抑減：依風險評估結果，研議及採取適當內部控制或其他機制，降低風險發生之可能性及影響程度，將風險控制在可容忍範圍內。
4.移轉：藉由其他團體承擔或分擔部分風險，降低風險對機關之影響程度。
（二）評估並選擇風險對策：評估風險對策之可行性、成本及利益，排列風險對策之優先順序，並選擇適當之風險對策。
（三）準備處理計畫：針對依前款規定選擇之風險對策，訂定權責分工、處理流程、資源及預算分配、預期績效及階段目標之處理計畫。
（四）執行處理計畫：執行依前款規定訂定之處理計畫。
（五）建立機關殘餘風險圖像：依前款規定執行處理計畫後，降低之風險值，為其殘餘風險，再據以重新評定其風險等級，並與風險判斷基準比較，建立機關殘餘風險圖像。
十二、第七點第五款所定監督及檢討，係監督風險管理過程進行狀況，並不斷檢討改進；其作法如下：
（一）隨時監督風險環境之變化，留意新風險之出現。
（二）隨時監督已辨識之風險及提出必要之警示。
（三）檢討風險對策之有效性及風險處理步驟之正確性。
（四）檢討依第五點所設專案小組之運作情形。
（五）依政府內部控制監督作業要點之規定，辦理內部控制監督作業。
十三、第七點第六款所定傳遞資訊、溝通及諮詢，係確保各機關全體人員及利害關係人均能瞭解風險及支持風險對策，且資訊能於機關內、外部間有效傳遞，以落實風險管理職責，並提升外界對該機關之信任；其作法如下：
（一）傳遞資訊：建立風險管理資訊分享平臺，蒐集、編製及使用機關內、外部有關風險管理之最新資訊，以支持機關風險管理之持續運作。
（二）溝通原則：
1.機關對外溝通：掌握溝通目的及底線，瞭解溝通對象，並審慎擬訂溝通策略，善用多元溝通管道，儘早主動溝通；溝通態度應真誠、坦白及公開，傾聽民眾關切之重點，及滿足媒體之需要。
2.機關對內溝通：各機關應向全體人員宣達風險政策；發現風險時，應向上級長官報告；內部單位應相互分享風險管理之經驗。
（三）諮詢：機關全體人員應接受教育訓練，建構及補強風險管理知能；必要時，得請國發會或各機關專案小組提供風險管理相關諮詢、服務及輔導，以順利進行風險管理作業。
十四、各機關應於每年二月二十八日前，檢討前一年度風險管理執行情形；其中涉及年度施政目標之重要風險處理結果，應納入前一年度施政績效報告，並修正作業手冊所定之風險評估及處理彙總表與機關風險圖像，陳報該機關首長核定後，賡續推動當年度風險管理。
各機關於當年度中發現新風險者，應即時修正前項風險評估及處理彙總表與機關風險圖像，並陳報該機關首長核定。
各機關應於每年六月三十日前，參照前二項風險管理執行情形、風險評估及處理彙總表與機關風險圖像，擬訂次一年度施政計畫。
十五、危機處理包括下列步驟，以降低危機事件對各機關之損害：
（一）危機應變：
1.依第七點所定風險管理步驟，訂定緊急應變計畫，啟動危機處理小組，確立指揮系統。
2.善用預警及通報系統，掌握第一時間及第一現場，發掘問題核心，並立即處理。
3.按緊急應變計畫之標準作業程序進行各項應變處置。
4.藉由專家瞭解各機關之運作底線及運作標準，即時決定需協調整合之機關及所需人才、設備等資源。
5.針對危機儘速釐清可能涉及之層面，必要時應迅速建立跨機關之危機處理小組。
（二）危機溝通：
1.透過平時建立之內、外部即時通報窗口及機制，取得利害關係人之瞭解及協助，保持溝通。
2.主動公開發布資訊，及時更正錯誤報導，建立媒體及大眾信心。
3.備妥其他多元化溝通備案，防範正常溝通方式因故無法運作。
4.掌握網路、簡訊等新媒體之溝通力量。
5.妥善規劃協調及談判，避免與利害關係人發生衝突。
（三）危機復原：
1.關懷及撫平受害者心靈，進行信心重建。
2.妥適配置危機應變資源，並確認各機關之運作恢復正常。
（四）經驗學習：
1.檢討危機處理前因後果及其有效性，訂（修）相關作業規定或程序，以建立未來處理能量。
2.檢討各機關運作及決策，必要時進行人事調整及獎懲。
3.危機處理結果發現之異常事項，應提出矯正或預防改善措施，並確認其有效性及回饋至風險管理機制持續予以監控，以防止此危機及類似風險再發生。
十六、各機關應訪查所屬機關（構）、公立學校推動風險管理及危機處理之執行情形，並應針對未落實辦理風險評估、外界關注事項、依政府內部控制聲明書簽署作業要點第五點第一項第二款或第三款規定簽署「部分有效」或「少部分有效」類型之內部控制聲明書等情況，綜合評估對其內部控制之影響程度，採取例外管理，包括要求於期限內就特定議題提出檢討改善措施或前往實地督導。
十七、國發會得會同主計總處等有關機關，就各機關推動風險管理及危機處理之執行情形，進行輔導訪視。
十八、各機關辦理風險管理及危機處理，得依相關法令，或視業務性質或管理需要，自行調整第七點至第十三點及第十五點所定作法。
國營事業除已訂定內部控制制度者外，準用本原則之規定。
十九、地方政府得參照本原則，自行建立風險管理及危機處理機制。