管理風險 十步驟【2004/10/10 經濟日報】

要管理我們面對的這麼多風險，似乎有點可怕，而且看來不論我們做什麼來降低人類的風險，還是有人相信我們的命運幾乎已經注定。 有些人相信以奈米機器人（nanobot）或機器人形式的機器將接管地球，也有人相信慧星會撞擊地球並毀滅其上的生命。就算最後不是人類毀掉自己，電腦也可能毀掉人類。諸如《駭客任務》和《魔鬼終結者》（Ter-minator）等電影，為我們描繪了一個陰鬱的未來，令我們此刻就開始坐立難安。但是科幻電影如果變成了科學事實，我們的感覺又會如何？ 你可能會覺得難過和沮喪，但是我們應該掌握並監督自己可以控制的風險，而不是那些無法控制者。把頭埋在沙堆中並等待無可避免的事情到臨，對我們沒有什麼好處。但是同樣地，相信我們將面對一個免於風險的未來也太未免天真，因為一切事情都指出，風險及其影響的複雜度只會增加不會減少。因此，我們必須在了解和管理我們面臨的風險上變得更聰明，而以下就是成功風險管理的十個步驟。 一、了解你的風險承擔能力 了解組織願意承擔那些風險，有助於定義可接受與不可接受的風險之間的界線。承擔風險的程度應該納入組織的策略意圖（strategic intent），更重要的是，它應該架構出組織打算如何管理風險。為了了解風險承擔能力，組織應該問自己以下的問題： 在追求商業目標時，組織準備承擔哪些風險？這些風險與組織不願意承擔的風險之間的界線在哪裡？ 這些風險是否符合組織的策略？ 組織所暴露的哪些風險應該被降低？ 組織是否太過於反風險，乃至於喪失了很多機會？ 組織所承擔的風險會對利害關係人造成如何的影響？ 在回答這五個問題時，組織將知道自己願意承擔哪些風險，同時也會了解到，如果組織要在自己營運的市場中成功，有些風險是必要的。此外，組織也會知道自己要如何管理希望承擔的風險，以及如何避免不希望承擔的風險。這些問題也應該應用在個別的功能部門上，如此一來就可以確保整個組織都了解風險，且更重要的是，這將有助於創造一個健康的風險管理文化。 二、將流程形式化 憑藉本能、膽量或不成熟的判斷，絕對不是管理風險的好方法。依賴這種方法本身的危險包括遺漏事情、未掌握或分享資訊，以及風險管理很糟糕或根本沒有管理。這會使得風險管理變成一種摸彩，而且會產生非常難處理的意外。從霸菱銀行金融災難、網路公司泡沫破滅，和1973年的石油危機，我們都已經看到不良風險管理的後果可以有多嚴重。將風險管理流程形式化，將確保每個人都知道潛伏在他們公司內部的危險，以及應該對它們採取什麼行動。這個流程必須做成文件記錄並受到積極的管理，方法是在企業各階層指派風險主管，並確保風險的確認、管理及報告是每個成員的目標之一。 三、確認所有層面的風險並加以分類 風險會在組織的所有層面發生，包括策略、重大的專案與計畫以及營運等。事實上，風險的來源和本質愈來愈多元化，諸如全球化、網際網路和科技的快速變化等因素，都在引入必須管理的新風險。將流程形式化確保我們能夠認出風險，但是要有效管理這些風險，就必須加以適當分類，如此它們才能在組織內部的正確層次上接受處理，而稱職的人員也才能參與它們的管理。 四、主動管理風險 許多組織誤以為，風險管理流程在掌握風險並加以分類後就停止，這些組織也相信，風險管理是個被動而非主動的過程。採取被動態度的最大問題在於，它會產生很多意外，然後迫使組織得救火並管理危機。這種救火行動對組織的資源來說是一種長期的浪費，甚至還可能對企業的信譽造成難以言喻的損害。不幸的是，在大部分的領域，這種救火行動仍被認為是一種關鍵技能，而且會受到很大的獎勵。主動的風險管理包括要持續掃描內部和外部範圍，以便找出潛在的風險，此外還要付出時間來了解這些風險對組織可能有什麼意義，並積極地決定它們是否應該受到管理。 五、發展風險文化 創造一個接受並擁抱風險的文化，對於有效管理風險來說是必要的。商業環境日趨複雜，迫使我們需要一個更成熟的方法來管理風險。組織如果繼續維持一種責難、忽略或消毒失敗的文化，將再也無法承擔它所招致的後果，因為它會使得風險無法在第一時間被認出，更遑論管理或對它進行報告。創造一個沒有意外的文化，表示要讓每個人在處理日常工作時，都能提出他們關心的事和問題。懲罰那些突顯風險或失敗的人，只會加速將風險管理踢出議程外，並促成一種自保的文化。到最後，這會扼殺了創新，並導致一個沒有人願意承擔風險的文化。 六、從錯誤中學習（你的及別人的） 學習和調整是人類有別於其他動物的諸多事項其中的兩項，也是我們個人發展和進步的基本要素。除了在正式的學校環境或訓練場所學習外，我們還會從錯誤和成功中學習。 不幸的是，由於錯誤與失敗具有負面的含意，我們往往沒有從它們身上學取足夠的教訓。我們寧願把它們隱藏起來，假裝從來沒有發生過。同樣地，成功會助長傲慢，這也會妨礙我們得到盡可能多的收穫。 七、向自己提出困難的問題 組織每隔一段時間就問自己：「未來可能發生什麼事讓企業遭遇風險？」———這是個很好的構想。在提出這個問題時，你必須聚焦在風險光譜的所有面向上，從策略層面一直到營運層面。問這個問題有兩個明顯的好處。首先，它確保董事會及每個功能部門主管都能隨時想到風險。 再者，它也確保組織面臨的風險最符合現狀。能夠思考難以思考的事情並挑戰現狀是困難的，但是這麼做將有助於企業維持靈敏度和戰鬥能力。這就是為什麼殼牌石油能夠安然度過1970年代的石油危機，以及為什麼奇異公司（GE）在威爾許的帶領下，能夠維持如此長久的市場優勢地位。 八、運用已知的方法和工具來支援 有效的風險管理端賴掌握資訊、在確認風險後加以追蹤管理，並定期對風險的狀況進行報告。運用經過試驗和檢驗的方法及工具來支援，比自己重新造船要來得有效許多。再者，因為有很多的供應商都在銷售風險管理的工具、方法和服務，一般來說你應該可以找到工具可以來管理組織面臨的各種風險，不論是財務、營運、技術還是更一般性質的風險。 九、在需要之處運用專家的建議 管理風險不是個容易的任務，有時候你需要尋求專業的協助。風險管理專業人士和專家，可以針對風險管理的一般面向提供建議，包括流程、風險因素及緩和策略等，並針對特定種類的風險提供詳盡的知識和建議。 雖然使用內部稽核來評估控制及總體風險的做法是適當的，但是這往往欠缺外部專家的專業技能。內部稽核可能缺乏管理風險所需要的創造力，也可能沒有能力看出風險的有利面———機會。 十、切記平衡風險與報酬 管理風險並非全關乎找出問題，到最後，它是一項要維繫風險與報酬之間平衡的工作。創造利潤的能力端視能否制訂適當的決策而定，而你必須先評估投資的報酬水平，以及它可能呈現的風險，如果這兩者沒有達到平衡，你的決策就可能導致像網路公司那樣的衝撞燒毀（crash-and-burn）情節，要不然就是成長遲緩到公司成為別人併購的目標。平衡風險與報酬至為關鍵，因為它讓你能夠拓展組織的疆界，同時又不會拿公司來當作不必要或輕率行動的賭注。 (本文內容係摘自會計研究月刊、梅霖出版社所出版之「活學活用風險管理」乙書)