什麼是風險管理?4步驟與4策略:不冒險才是最大的風險
關於風險管理,你必須知道:
- 風險管理看似是減速,實則幫助組織全速前進
- 風險管理的4個步驟:辨識、排序、行動、監測
- 風險管理的4種策略:避開、降低、共擔、轉移
假如你坐上一台煞車不靈光的跑車,你會以最高速度行駛嗎?答案很可能是否定的。即便眼前是一條筆直的大道,你依然會擔心,要是前方突然出現坑洞、路邊殺出行人,後果將會不堪設想。
在商業的世界中,風險管理(Risk management)就好比煞車,作用看似是減速,但它的存在是要幫助企業更有底氣全速前進。
什麼是風險管理?
風險管理指的是靠著系統性的方法,主動辨識、評估和控制可能影響組織營運與獲利的潛在威脅,進而以最小的成本取得最大的保障。
風險的種類包羅萬象,例如法律爭議、技術出錯、管理失當、財務的不確定性、市場環境變化、甚至是天災人禍等,都可能導致原始計畫失算,影響小至賠錢、大至永久性的商譽受損。
事實上,人類自古以來就知道要留意潛在風險,但直到1990年代,隨著數次經濟危機發生,許多國家才開始制定風險管理的方針。例如美國特雷德韋委員會贊助組織委員會(COSO)發布的《企業風險管理整體框架》、澳洲和紐西蘭制定的AS/NZS 4360風險管理標準。
如何進行風險管理?
目前國際上最被廣泛應用的風險管理指南是ISO 31000標準,自2009年首次發布後,進一步促成了風險管理的標準化。以下是其中最關鍵的4大步驟:
1. 辨識潛在風險
辨識風險看似容易,實際上有個重要前提是必須「了解自己」。唯有清楚組織的目標是什麼、成功的指標是什麼,才可能全方位地探測出風險。
2. 依據組織目標排序風險
風險管理的目的不是要消滅所有風險,而是了解什麼風險值得冒、組織又有多少能耐承受風險。你可以用一個簡單的公式試想:「風險=威脅大小 x 組織脆弱程度 x 衝擊力」
得出各項風險大小後,也需參考組織的商業目標來排出應對的優先次序。
3.採取行動預防/緩解風險
若組織判斷有應對特定風險的必要性,就會進到制定策略的階段。(請參考下段「企業常見的風險管理策略」)
4.定期監測與調整管理策略
(責任編輯 / 杜韋樺)