企業風險管理(Enterprise Risk Management, ERM)是公司營運過程不可或缺的管理手段,透過系統性識別、應對可能出現的危機,控制或降低風險,確保企業長期穩定發展。持續執行的風險管理,能為企業帶來的實質效益包含:提升決策品質、減少財務損失、維持客戶滿意度、乃至於保護企業聲譽。 
說明企業風險控管的各種模式

 





找出問題是一切的第一步,了解企業風險型式


如果要落實ERM,首先,當然要知道企業可能面臨的風險種類形式,才能對症下藥找出實際的避禍解方。如果以風險來源為指標,《哈佛商業評論》將企業風險分為三大類: 

  • 內部風險:這類風險源於組織之內,屬於相較可預防的風險,例如人為錯誤、系統/設備故障、信用/財務損失等風險,針對工作場所進行流程規範、內稽內控來加以避免。 

  • 戰略風險:公司在營運時,未能及時對商業環境變化做出提升競爭力的反應,或投資決策錯誤而衍生的風險,像是數位/串流技術興起,造成底片技術、錄影帶租賃業者的淘汰。 

  • 外部風險:多半發生在組織外部,並超出自身可控制範圍的風險,例如金融海嘯、天災、流行病肆虐、市場崩盤等造成的蝴蝶效應,無法用常理判斷或直接預測的黑天鵝事件。

你可能還會遇到以下類型的風險


除了上述的分類,安達信會計師事務所(Arthur Andersen)還羅列出,其他企業營運可能遇到的風險類型,挑選部分情境說明如下: 

  • 信用風險:合作夥伴、客戶因財務問題無力償付貨款,或惡意倒閉導致求償無門。 

  • 流動性風險:企業資金調度能力失靈,負債管理、資產變現、緊急流動應對出現危機。 

  • 法律風險:契約/合約內容,例如承作業務適法性、外國法令與既有契約產生衝突情況。 

  • 資訊風險:資訊系統不當備援、受到駭客攻擊,造成機敏資料外洩、系統當機等情境。 

掌握六大流程步驟,建立企業風險管理架構

了解可能遇到的風險類型之後,企業未來想要從容應對風險,可以掌握以下步驟,制定企業風險管理架構;並藉由專業的風險管理團隊及導入相關工具方法,完善企業風險管理流程。 

 

步驟一、風險識別 

確定風險的來源,例如是組織內部還是源於外在環境;是單一事件影響,還是可能來自多重層面導致的風險,透過風險識別確認風險組成的因素。 

 

步驟二、風險評估 

一旦識別風險之後,接著要評估風險發生可能性和影響範圍程度、層面,例如會涉及到業務運營、財務運作、或是可能波及公司品牌聲譽等方面。 

 

步驟三、風險計算 

至於要評估風險發生的機率,需透過科學方法及相對應的工具,進行定量分析(例如事件發生頻率、預計損失金額)、定性分析(仰賴專家經驗提供主觀意見,進行風險描述評估)。目前市面上有多種風險評估工具,以下舉例幾個風險評估方法: 

  • 風險矩陣(Risk Matrix):透過風險發生的機率以及事件發生的嚴重程度,這兩個指標進行比對,確定哪些風險需立即處理。 

  • 失誤樹分析(Fault Tree Analysis):針對某一事件、情境,由上往下的推演方法,了解造成系統性失誤的原因,確認某一事故或特定系統失效的發生率。 

  • 失效模式與效應評估(Failure Mode & Effect Analysis):分析特定系統、事件範圍內的失效模式,依據嚴重程度加以分類,找出失效原因及盤點嚴重程度。 

  • 鄧白氏國家/地區風險指標:針對某國/地區開展業務的風險提供跨境評估與比較,風險指標分為7個等級(DB1到DB7),每個等級又細分為四個四分位數(a-d),四分位數的變化顯示情況改善/惡化程度。 

 

步驟四、風險評級 

根據風險計算後的結果,針對風險事件進行低、中、高等級區分,每家企業的風險評級可依據自身情況,把評級進行更細緻的劃分,有助於決策者知道應該優先處理。同時也能針對不同風險事件進行關聯性分析,洞悉不同風險是否有累積因果或依賴關係。 

 

步驟五、風險應對 

確立風險項目及嚴重性之後,接著企業就要制定、實施相應的風險應對策略,試圖控制或減輕風險的影響程度。綜觀業界目前風險應對或是處理策略,涵蓋以下幾種方式: 

  • 風險規避(Risk Avoidance):屬於最直接的策略,企業選擇完全避免或停止參與可能產生風險的活動/業務。 

  • 風險抵免(Risk Mitigation):嘗試應急計畫、採取措施,以減少風險發生的可能性。 

  • 風險轉移(Risk Transfer):透過購買保險或與其他公司達成協議,將風險責任和損失轉移到其他單位。 

  • 風險接受(Risk Acceptance):當風險機率相對低或風險潛在影響較小時候,企業會選擇接受風險,準備好應對可能發生的事件。 

  • 風險保有(Risk retention):企業自身理性或非理性主動承擔風險所造成損失,企業運用內部資源來彌補損失。 

     

步驟六、持續改進 

根據前面幾個步驟所形成的風險監測、應對機制持續進行改進,藉此優化風險管理策略的完整性,幫助組織保有彈性、韌性來應對風險需求。 

企業管控風險最重要思維:「定時」監管不可少

上述不同的風險處理策略,應該根據企業當下具體情況進行排列組合,更重要的是,企業需要定期評估風險管理架構,持續更新作法以因應新時代商業環境變化。由此可見,風險處理策略是一種「定時且持續」的過程,例如在某個時刻購買保險方案轉移財務風險,才能確保最終結果能符合企業風險管理目標。 
 

既然定時、持續的風險監控手段如此重要,企業要落實此目標可以善用數位工具達到事半功倍。舉例來說,透過D&B財務風險管理解決方案,以全球商業信用數據庫為基礎,進行量身訂作的風險識別、評估及控制。 
 

又或是運用 D&B Finance Analytics 財務風險管理平台管理企業信用風險,更及時了解供應商、新舊客戶或競爭對手的資訊。實際使用情境為,假設一家客戶的財務狀況逐漸惡化,並且有違約風險,當企業透過D&B Credit檢視客戶的信用風險,洞悉該家客戶的信用評級有被降級情況。企業就能先終止與客戶交易以達到止損目的,避免日後對財務造成更大危害。 
 

從上述方法及工具導入,都是在幫助企業定時監控和評估各種風險,透過數據佐證來協助企業在動態的商業環境保持敏銳警覺性,及時應對潛在風險以促成營運的永續性。 

TOP