一般組織通常將「策略規劃」和「風險管理」分成兩塊，交給不同的單位負責管理。像是手上握有威力強大的神器，它有兩個零件，但你始終以為這只是兩個零件、把它們分開使用．．．

從開站以來，我們在這裡和大家分享過許多風險管理的基本觀念：像是沒有目標就沒有風險管理（文章連結）；風險是分成正面的機會和反面的威脅（文章連結）；有時也分享在今天網路世界中，影響力越來越巨大的聲譽風險（文章連結）。

很快地，到了歲末， 又是各組織開始新的一年度annual planning的季節，是時候來談談「策略風險」這個議題，分享一些實務操作了。

我想先說的是，很多事情我們做了很久之後，在當中變得很習以為常、很理所當然，但一旦認真思考，就會發現頗不合理。

比如說：很少有組織在annual planning策略規劃的時候，會將風險管理這個項目也一併放入會議流程當中。

這像什麼呢？這就像假設我們Xilienz團隊明年的目標是攻上玉山山頂，年終開會決定了要走哪一條路線，但對於明年政府封路管制的消息釋放、保險要在什麼時候買、什麼季節有比較高的機率下雨、有沒有其他團隊可能和我們撞期、在特定季節哪個路段會遇見哪些美麗或危險的野生動物．．．，卻一概不知、不問、不關心。

為什麼會這樣？

原因是，一般組織通常將「策略規劃」和「風險管理」分成兩塊：「策略」交給行銷、業務部門去訂，而「風險」就給財務、法務經理去管。再用一個比喻來說，你手上有一件強大神器的兩個零件，但你始終以為這只是兩個零件、把它們分開使用，這是多麼可惜的浪費？換言之，把進攻性質的策略和輔弼性質的風險管理分開考慮，等同讓他們分開作戰，牽制彼此能量。

因此，所有的組織都需要學習如何貫通風險管理跟策略規劃，用策略的意涵去看待並管理風險。

策略風險管理（SRM）：定期更新的連續程序

「策略」是達成目標的途徑，而去衡量控制在途中可能會出現、會影響你達成目標概率的內外部事件和狀況，幫助你更快、更輕鬆達成目標，就是策略風險管理（Strategic Risk Management）。

策略風險管理和策略的規劃、執行密不可分，但它並不是那種做好一次就可以收工回家的事情，畢竟全球環境變動頻繁，攸關的風險有可能過了一夜就徹底改頭換面。策略風險管理是一種必須定期更新的連續程序──就像你電腦裡的作業系統，以及世界上每一件會讓你真正獲得收穫的事一樣。

要多久算是「定期」？我的建議是，和一般風險管理工作一樣，要是情況順利，一年跟著策略規劃做一次、兩次也許就夠了。但是，萬一出現意料之外的突發狀況，例如iPhone問世翻轉世人對智慧型手機的想像，假如你是Nokia，就必須立刻進行全面的風險評估。

那麼，策略風險管理要進行的工作有哪些？

最骨幹的三步驟是IAM：指認（Identify）、評估(Assess)、管理(Manage)，以下我們會一一來說明。 

Identify：全面雷達掃瞄風險因子

步驟一是指認風險因子。「策略」是達成目標的途徑，因此，有目標就會有策略；在你確立策略後，風險管理人員會進行稱為「雷達掃描」的工作，為你把通往偉大航道上所有潛在的、攸關的風險因子掃描出來，列在雷達圖上。操作這步驟工作的方法有很多種，我們在這裡就挑最簡單的一個，用一張圖來跟大家說明。

依照這張圖，將風險因子分成四大類，一一進行地毯式的偵查搜索：

第一類（直接風險）： 衝擊市場地位，直接影響目標達成率的風險因子。

第二類（間接風險）：外部環境，如政治、政策法令、大環境經濟…等不直接相關，但會影響目標達成率的風險因子。

第三類（可控內部管理）： 內部管理面，可以組織內部各單位自行決定、控制，會影響目標達成率的風險因子。

第四類（不可控意外事件）： 人力不可控制的意外事件（incident），自然事件等會影響目標達成率風險因子。

像進行腦力激盪一樣，這階段請盡可能發散思考、天馬行空，只要一想到就立刻寫下來。先不用理會這件事的機率有多低（如彗星撞地球），或是規模有多小（如飲水機濾心過期），只要你腦中出現任何一件事會影響到你的策略，就值得寫上去。

萬一你一時之間不知如何放開來思考，那麼，有三個動腦的出發點可以提供操考：

• 歷史經驗法。過去在我身上發生過。
• 同業經驗法。過去在同業身上發生過，或是產業圈的案例。
• 情境模擬法 (IF法則)。如果台灣網路電纜突然斷掉，要怎麼辦？如果大地震造成停電一週，我們可以應付嗎？如果類似SARS的嚴重傳染病蔓延，30%員工被隔離在家一周，公司是否依然能夠運作？

在此順道向大家提一個重要的觀念：曾經有人向我反映，用情境模擬做風險管理，對於商業組織來說過於不切實際、勞民傷財。但其實，從風險管理的角度來說，第三點反而才是最值得著力的——而且頂尖商業組織都會特地針對情境模擬做實地演練。原因很簡單，三個字：「灰犀牛」。和機率極低、但會帶來毀滅性衝擊的黑天鵝相對，所謂灰犀牛，是那些其實顯而易見、卻被故意視而不見的危機。你覺得類似SARS的大規模高傳染性呼吸道疾病發生是電影情節嗎？試問當年的H1N1今天都演化成H10N9了，類似的大規模怎麼可能不會再發生呢？它必然會發生，只是時間早晚的問題，你要在事情發生前開始主動規畫，還是事情發生後再倉皇反應，是每個用心的領導者都應該主動思考的問題。

好的，一般來說，在第一階段「辨識Identify」步驟結束，你的紙上雷達圖會掃到300到500個風險因子。該拿這些風險因子怎麼辦？下一步該怎麼做呢？

下一篇文章，我們就要進入的是 IAM裏「評估（assess）」和「管理（manage）」的程序。