正規的評估中洋洋灑灑幾百項風險因子，專家人員不只必須根據嚴重性和頻率一個一個進行分類評等，還必須設計將質性轉量化數據的工具，幫助我們在進行風險管理的重要決策時，能夠維持客觀判斷。

上一篇文章中，我們談了風險管理三步驟“IAM”中的第一步辨認（Identify），進行了發散性思考、腦力激盪的工作，接下來，開始進入評等（Assess）的階段，將前一步驟的風險因子進行分類整理。

分類沒有固定法則，大公司有符合複雜體制的謹慎分類，小公司也有適合小規模的靈活架構，風險管理人員會依根據不同的組織體質和需求，去量身設計最適宜的分類架構。不過，以通用性而言，建議你可以用「嚴重性」和「頻率」兩個標準，對每一個風險因子做分類評估。

如我們之前評析晶華飯店事件時（見：兩次跌跤，給企業的公關與安全雙重警示）分享的風險評估矩陣：

 

可以看到，在這個風險評估矩陣裡面，直軸代表頻率，橫軸代表嚴重性，依照不同等級分成1至5分。將每一個風險因子的頻率和嚴重性級分兩兩相乘，最後依據分數得到四種風險類別：

一、藍色（分數1-3分）：「不常發生、影響很小」

二、綠色（分數4-9分）：「很少發生、影響很大」或「很常發生、影響很小」

三、黃色（分數10-15分）：「較少發生、影響很大」或「較常發生、影響很小」

四、紅色（分數16-25分）：「最常發生、影響最大」

分類之後，就可以開始淘汰、篩選風險因子，並決定該進行什麼處置。也就是本文介紹IAM三步驟中的最後一步：管理（manage）。

 

計算、判斷、制定防衛風險等級和應對措施

第一類藍色因子最溫和，如果你的風險管理等級沒有像商業巨頭Apple或國家安全機關一樣拉到這麼高（這點後面我們會更仔細說明），幾乎可以忽略這一類風險。

第四類紅色的風險因子，對你影響深重而且發生機率高，要不是會讓你稱霸一方的大紅機會，要不就會是讓你損失慘重的警戒危機，無庸置疑是你率先要思考、預先規劃利用的項目，至於可以怎麼利用、化危機為轉機，是另外一個課題，當另文再談。

而第二類綠色和第三類的黃色因子，才是最tricky、最講求風險管理專業的部分。請問：大家都知道要「防患於未然」，但是「防患」的等級到底要設定在哪裡？

舉一個例子來說吧，劉老闆是大稻埕迪化街的百年中藥供應商，擁有總計上百萬元珍奇稀有的中藥材，小心翼翼地鎖在地下室的冰櫃裡。劉老闆知道，停電是一個會造成資產損害的風險因子，謹慎負責的他，便未雨綢繆地買了蓄電池或發電設備。

果不其然，台北市發生大停電了。但當時劉老闆憑過去經驗判定，該街區最多停電不會超過5小時，因此把設備防衛等級設定在6小時，天知道這次停電卻不幸地足足停了8小時，冰櫃裡的珍貴藥材腐壞超過1/3，損失慘重。

很多人會將這類事件視為「運氣不好」，認定下次應該不會再這麼倒霉碰到了吧，摸摸鼻子就算了。但是，這些人沒有發現，（像劉老闆這樣）憑過去經驗「沒發生過」的判斷偏誤，以及缺乏客觀事實、嚴謹計算的假設，就像義大利那些在危險活躍火山旁居住過日子的民眾，都是一種盲目的「賭」。

現在，擺在劉老闆面前的大哉問是：該不該因為這次大停電，把冰櫃的防衛等級拉高到8小時？

劉老闆必須考慮的事情是，下次台北還會發生這麼長時間的停電嗎？如果會，又是多久之後可能會發生？如果要提高，意味著要準備更多電池、購買更好的設備、準備更多柴油．．．，當然都是有效的風險防治措施，但也都是必須支出的成本，值得為了這麼低頻率的風險因子投注嗎？

To be or not to be, 當中的平衡該如何拿捏，防衛等級該怎麼制定，正是風險管理的奧妙之處，也是專業人員訓練之所在。 在風險管理中，不會只有「停電」這一單項需要考慮，正規的評估中洋洋灑灑幾百項風險因子，專家人員不只必須根據嚴重性和頻率一個一個進行分類評等，還必須設計將質性轉量化數據的工具，幫助我們在進行風險管理的重要決策時，能夠維持客觀判斷。

 

管理風險的三大原則

受限於這篇文章的篇幅，我們無法談太深入專業的量化工具，歡迎有興趣的朋友來信切磋。但是，文章最後，在此倒是可以分享三個管理風險（特別是負面風險）的大原則：轉移、分散、控制。

1 轉移風險
基本邏輯：把可能會發生的損害，轉嫁給第三方

例如中藥行劉老闆曾經因為供應商delay，以至於他無法按時提供客戶需要的藥材，要付給客戶一筆違約賠償金，那麼，劉老闆可以考慮和供應商簽“back-to-back”契約，將所有因供應商疏失而產生的損失金額，轉由供應商自己負擔。或是像我們之前分享過的文章（見：中小企業必備：3個險種，分散90%負面風險）若你是科技業，擔心員工洩漏正在開發新產品的內幕消息，或是做跨境電商擔心商品在運送過程損壞超過國際理賠上限，可以購買員工誠實險、貨物運輸險，將風險轉嫁給保險公司。

2 分散風險
基本邏輯：不要把雞蛋放在同一個籃子裡

以供應鏈管理為例（請參考：談供應鏈的深度、高度和廣度），大忌是只有和單個供應商合作，因為一旦對方出現閃失（無法按時交貨、合約談不攏、坐地漲價．．．），你就整組供應鏈賠下去了。所以，同時在賽局裡維持2-3個供應商，分散貨源或下游，是較安全的做法，當Ａ廠有閃失時可以由Ｂ廠緊急cover，反之亦然；此外，維持2-3個玩家，也可以適時發揮議價、互相制衡的作用。

3  控制風險
基本邏輯：將發生風險的機率降低

例如說，一個中油小員工誤觸按鈕，居然就可以讓臺北電力大癱瘓，那麼為了避免類似情況再度發生，中油可以在員工按鈕前多一道甚至三道確認程序，降低員工誤觸的機率。停電還是小事情，其它衝擊更嚴重的風險，如滿載乘客在半空中飛行的飛機解體，就攸關機上每位乘客的寶貴性命。這意味著，航空公司必須對人員和設備執行最高的風險管理等級：例如，確保駕駛艙有正副二位機長（分散風險的概念），並且對兩人做行前清醒測試，或是即使飛機零件沒有任何異狀，只要達到一定哩程數就全部更換，都是嚴格控制風險的做法。

預先思考，制敵機先

這次分享就先到這裡。說了這麼多，其實說穿了，風險管理最重要的概念還是「提早準備」，很多狀況別人乍看之下是紅色危機，其實只要預先思考佈局，都是大紅轉機。預防勝於治療已經是老生常談，問題愈早處理，就愈好解決，只是我們總是忙碌於當前的業務，疏於危機預防；或者即使想及早處理，又擔心資源不夠，到頭來，反而付出更大代價。

建議你，在明年的策略規劃中納入風險管理項目吧！及早掌握先機，解決威脅，是踏實成功的不二法門。若需要專業協助，歡迎您隨時跟我們聯絡。