正規的評估中洋洋灑灑幾百項風險因子,專家人員不只必須根據嚴重性和頻率一個一個進行分類評等,還必須設計將質性轉量化數據的工具,幫助我們在進行風險管理的重要決策時,能夠維持客觀判斷。
上一篇文章中,我們談了風險管理三步驟“IAM”中的第一步辨認(Identify),進行了發散性思考、腦力激盪的工作,接下來,開始進入評等(Assess)的階段,將前一步驟的風險因子進行分類整理。
分類沒有固定法則,大公司有符合複雜體制的謹慎分類,小公司也有適合小規模的靈活架構,風險管理人員會依根據不同的組織體質和需求,去量身設計最適宜的分類架構。不過,以通用性而言,建議你可以用「嚴重性」和「頻率」兩個標準,對每一個風險因子做分類評估。
如我們之前評析晶華飯店事件時(見:兩次跌跤,給企業的公關與安全雙重警示)分享的風險評估矩陣:
可以看到,在這個風險評估矩陣裡面,直軸代表頻率,橫軸代表嚴重性,依照不同等級分成1至5分。將每一個風險因子的頻率和嚴重性級分兩兩相乘,最後依據分數得到四種風險類別:
一、藍色(分數1-3分):「不常發生、影響很小」
二、綠色(分數4-9分):「很少發生、影響很大」或「很常發生、影響很小」
三、黃色(分數10-15分):「較少發生、影響很大」或「較常發生、影響很小」
四、紅色(分數16-25分):「最常發生、影響最大」
分類之後,就可以開始淘汰、篩選風險因子,並決定該進行什麼處置。也就是本文介紹IAM三步驟中的最後一步:管理(manage)。
計算、判斷、制定防衛風險等級和應對措施
第一類藍色因子最溫和,如果你的風險管理等級沒有像商業巨頭Apple或國家安全機關一樣拉到這麼高(這點後面我們會更仔細說明),幾乎可以忽略這一類風險。
第四類紅色的風險因子,對你影響深重而且發生機率高,要不是會讓你稱霸一方的大紅機會,要不就會是讓你損失慘重的警戒危機,無庸置疑是你率先要思考、預先規劃利用的項目,至於可以怎麼利用、化危機為轉機,是另外一個課題,當另文再談。
而第二類綠色和第三類的黃色因子,才是最tricky、最講求風險管理專業的部分。請問:大家都知道要「防患於未然」,但是「防患」的等級到底要設定在哪裡?
舉一個例子來說吧,劉老闆是大稻埕迪化街的百年中藥供應商,擁有總計上百萬元珍奇稀有的中藥材,小心翼翼地鎖在地下室的冰櫃裡。劉老闆知道,停電是一個會造成資產損害的風險因子,謹慎負責的他,便未雨綢繆地買了蓄電池或發電設備。
果不其然,台北市發生大停電了。但當時劉老闆憑過去經驗判定,該街區最多停電不會超過5小時,因此把設備防衛等級設定在6小時,天知道這次停電卻不幸地足足停了8小時,冰櫃裡的珍貴藥材腐壞超過1/3,損失慘重。
很多人會將這類事件視為「運氣不好」,認定下次應該不會再這麼倒霉碰到了吧,摸摸鼻子就算了。但是,這些人沒有發現,(像劉老闆這樣)憑過去經驗「沒發生過」的判斷偏誤,以及缺乏客觀事實、嚴謹計算的假設,就像義大利那些在危險活躍火山旁居住過日子的民眾,都是一種盲目的「賭」。
現在,擺在劉老闆面前的大哉問是:該不該因為這次大停電,把冰櫃的防衛等級拉高到8小時?
劉老闆必須考慮的事情是,下次台北還會發生這麼長時間的停電嗎?如果會,又是多久之後可能會發生?如果要提高,意味著要準備更多電池、購買更好的設備、準備更多柴油...,當然都是有效的風險防治措施,但也都是必須支出的成本,值得為了這麼低頻率的風險因子投注嗎?
To be or not to be, 當中的平衡該如何拿捏,防衛等級該怎麼制定,正是風險管理的奧妙之處,也是專業人員訓練之所在。 在風險管理中,不會只有「停電」這一單項需要考慮,正規的評估中洋洋灑灑幾百項風險因子,專家人員不只必須根據嚴重性和頻率一個一個進行分類評等,還必須設計將質性轉量化數據的工具,幫助我們在進行風險管理的重要決策時,能夠維持客觀判斷。
管理風險的三大原則
受限於這篇文章的篇幅,我們無法談太深入專業的量化工具,歡迎有興趣的朋友來信切磋。但是,文章最後,在此倒是可以分享三個管理風險(特別是負面風險)的大原則:轉移、分散、控制。
1 轉移風險
基本邏輯:把可能會發生的損害,轉嫁給第三方
例如中藥行劉老闆曾經因為供應商delay,以至於他無法按時提供客戶需要的藥材,要付給客戶一筆違約賠償金,那麼,劉老闆可以考慮和供應商簽“back-to-back”契約,將所有因供應商疏失而產生的損失金額,轉由供應商自己負擔。或是像我們之前分享過的文章(見:中小企業必備:3個險種,分散90%負面風險)若你是科技業,擔心員工洩漏正在開發新產品的內幕消息,或是做跨境電商擔心商品在運送過程損壞超過國際理賠上限,可以購買員工誠實險、貨物運輸險,將風險轉嫁給保險公司。
2 分散風險
基本邏輯:不要把雞蛋放在同一個籃子裡
以供應鏈管理為例(請參考:談供應鏈的深度、高度和廣度),大忌是只有和單個供應商合作,因為一旦對方出現閃失(無法按時交貨、合約談不攏、坐地漲價...),你就整組供應鏈賠下去了。所以,同時在賽局裡維持2-3個供應商,分散貨源或下游,是較安全的做法,當A廠有閃失時可以由B廠緊急cover,反之亦然;此外,維持2-3個玩家,也可以適時發揮議價、互相制衡的作用。
3 控制風險
基本邏輯:將發生風險的機率降低
例如說,一個中油小員工誤觸按鈕,居然就可以讓臺北電力大癱瘓,那麼為了避免類似情況再度發生,中油可以在員工按鈕前多一道甚至三道確認程序,降低員工誤觸的機率。停電還是小事情,其它衝擊更嚴重的風險,如滿載乘客在半空中飛行的飛機解體,就攸關機上每位乘客的寶貴性命。這意味著,航空公司必須對人員和設備執行最高的風險管理等級:例如,確保駕駛艙有正副二位機長(分散風險的概念),並且對兩人做行前清醒測試,或是即使飛機零件沒有任何異狀,只要達到一定哩程數就全部更換,都是嚴格控制風險的做法。
預先思考,制敵機先
這次分享就先到這裡。說了這麼多,其實說穿了,風險管理最重要的概念還是「提早準備」,很多狀況別人乍看之下是紅色危機,其實只要預先思考佈局,都是大紅轉機。預防勝於治療已經是老生常談,問題愈早處理,就愈好解決,
建議你,在明年的策略規劃中納入風險管理項目吧!及早掌握先機,解決威脅,是踏實成功的不二法門。若需要專業協助,歡迎您隨時跟我們聯絡。
