風險管理

一般組織通常將「策略規劃」和「風險管理」分成兩塊，交給不同的單位負責管理。像是手上握有威力強大的神器，它有兩個零件，但你始終以為這只是兩個零件、把它們分開使用．．．

從開站以來，我們在這裡和大家分享過許多風險管理的基本觀念：像是沒有目標就沒有風險管理（文章連結）；風險是分成正面的機會和反面的威脅（文章連結）；有時也分享在今天網路世界中，影響力越來越巨大的聲譽風險（文章連結）。

很快地，到了歲末， 又是各組織開始新的一年度annual planning的季節，是時候來談談「策略風險」這個議題，分享一些實務操作了。

我想先說的是，很多事情我們做了很久之後，在當中變得很習以為常、很理所當然，但一旦認真思考，就會發現頗不合理。

比如說：很少有組織在annual planning策略規劃的時候，會將風險管理這個項目也一併放入會議流程當中。

這像什麼呢？這就像假設我們Xilienz團隊明年的目標是攻上玉山山頂，年終開會決定了要走哪一條路線，但對於明年政府封路管制的消息釋放、保險要在什麼時候買、什麼季節有比較高的機率下雨、有沒有其他團隊可能和我們撞期、在特定季節哪個路段會遇見哪些美麗或危險的野生動物．．．，卻一概不知、不問、不關心。

為什麼會這樣？

原因是，一般組織通常將「策略規劃」和「風險管理」分成兩塊：「策略」交給行銷、業務部門去訂，而「風險」就給財務、法務經理去管。再用一個比喻來說，你手上有一件強大神器的兩個零件，但你始終以為這只是兩個零件、把它們分開使用，這是多麼可惜的浪費？換言之，把進攻性質的策略和輔弼性質的風險管理分開考慮，等同讓他們分開作戰，牽制彼此能量。

因此，所有的組織都需要學習如何貫通風險管理跟策略規劃，用策略的意涵去看待並管理風險。

策略風險管理（SRM）：定期更新的連續程序

「策略」是達成目標的途徑，而去衡量控制在途中可能會出現、會影響你達成目標概率的內外部事件和狀況，幫助你更快、更輕鬆達成目標，就是策略風險管理（Strategic Risk Management）。

策略風險管理和策略的規劃、執行密不可分，但它並不是那種做好一次就可以收工回家的事情，畢竟全球環境變動頻繁，攸關的風險有可能過了一夜就徹底改頭換面。策略風險管理是一種必須定期更新的連續程序──就像你電腦裡的作業系統，以及世界上每一件會讓你真正獲得收穫的事一樣。

要多久算是「定期」？我的建議是，和一般風險管理工作一樣，要是情況順利，一年跟著策略規劃做一次、兩次也許就夠了。但是，萬一出現意料之外的突發狀況，例如iPhone問世翻轉世人對智慧型手機的想像，假如你是Nokia，就必須立刻進行全面的風險評估。

那麼，策略風險管理要進行的工作有哪些？

最骨幹的三步驟是IAM：指認（Identify）、評估(Assess)、管理(Manage)，以下我們會一一來說明。 

Identify：全面雷達掃瞄風險因子

步驟一是指認風險因子。「策略」是達成目標的途徑，因此，有目標就會有策略；在你確立策略後，風險管理人員會進行稱為「雷達掃描」的工作，為你把通往偉大航道上所有潛在的、攸關的風險因子掃描出來，列在雷達圖上。操作這步驟工作的方法有很多種，我們在這裡就挑最簡單的一個，用一張圖來跟大家說明。

依照這張圖，將風險因子分成四大類，一一進行地毯式的偵查搜索：

第一類（直接風險）： 衝擊市場地位，直接影響目標達成率的風險因子。

第二類（間接風險）：外部環境，如政治、政策法令、大環境經濟…等不直接相關，但會影響目標達成率的風險因子。

第三類（可控內部管理）： 內部管理面，可以組織內部各單位自行決定、控制，會影響目標達成率的風險因子。

第四類（不可控意外事件）： 人力不可控制的意外事件（incident），自然事件等會影響目標達成率風險因子。

像進行腦力激盪一樣，這階段請盡可能發散思考、天馬行空，只要一想到就立刻寫下來。先不用理會這件事的機率有多低（如彗星撞地球），或是規模有多小（如飲水機濾心過期），只要你腦中出現任何一件事會影響到你的策略，就值得寫上去。

萬一你一時之間不知如何放開來思考，那麼，有三個動腦的出發點可以提供操考：

• 歷史經驗法。過去在我身上發生過。
• 同業經驗法。過去在同業身上發生過，或是產業圈的案例。
• 情境模擬法 (IF法則)。如果台灣網路電纜突然斷掉，要怎麼辦？如果大地震造成停電一週，我們可以應付嗎？如果類似SARS的嚴重傳染病蔓延，30%員工被隔離在家一周，公司是否依然能夠運作？

在此順道向大家提一個重要的觀念：曾經有人向我反映，用情境模擬做風險管理，對於商業組織來說過於不切實際、勞民傷財。但其實，從風險管理的角度來說，第三點反而才是最值得著力的——而且頂尖商業組織都會特地針對情境模擬做實地演練。原因很簡單，三個字：「灰犀牛」。和機率極低、但會帶來毀滅性衝擊的黑天鵝相對，所謂灰犀牛，是那些其實顯而易見、卻被故意視而不見的危機。你覺得類似SARS的大規模高傳染性呼吸道疾病發生是電影情節嗎？試問當年的H1N1今天都演化成H10N9了，類似的大規模怎麼可能不會再發生呢？它必然會發生，只是時間早晚的問題，你要在事情發生前開始主動規畫，還是事情發生後再倉皇反應，是每個用心的領導者都應該主動思考的問題。

好的，一般來說，在第一階段「辨識Identify」步驟結束，你的紙上雷達圖會掃到300到500個風險因子。該拿這些風險因子怎麼辦？下一步該怎麼做呢？

下一篇文章，我們就要進入的是 IAM裏「評估（assess）」和「管理（manage）」的程序。

2017年已近尾聲，很多公司開始為接下來的一年制定年度大計了，在擬定計畫目標的同時，你想過和目標攸關的風險嗎？

一直以來，當我在各式商務場合分享策略與風險管理的重要性時，都會遇到專業人士前來，向我詢問各種問題。時間一久，我發現有特定幾個問題經常出現，也許代表著大家普遍都對此感到疑惑。藉著本期電子報，我將這些問題整理了一下，挑選出了最具代表性的三個問題，一次向大家好好地說明清楚。

1. 我是個小公司，也要做風險管理工作嗎？

簡答：趨吉避凶

詳答：

根據我的了解，會丟出這個問題的人，多半都誤以為 「風險」是一件不好的東西，只有規模夠大的公司才會遇到風險。因此，在這裡我們要釐清的是，在最廣泛的定義上，風險是「和你有關的不確定性」。它可以是正面的，也可以是負面的；正面稱為機會，反面則稱為威脅。

而全面掃描潛在風險因子，辨識出哪些不確定性和你有關，評估正反面和衝擊影響， 就是風險管理人員的高度專業工作。這些專業人員的價值，不只在於提供一份詳盡的報告書，而是協助你將機會極大化，威脅極小化，提高組織達成目標的概率。

2. 我想做風險管理，第一步是？

快問快答：危機意識

詳答：

人是一種「心存僥倖」的生物。氣象報導說會下雨但就是沒帶傘，科學研究總說喝酒致癌但從不覺得和自己有關，全國離婚率近半卻自認自己的婚姻會一生一世．．．心理學家說這叫做樂觀偏誤，經濟趨勢學者稱它叫灰犀牛，不管它叫什麼，它們都在試圖告訴你一件事——對於那些已經存在、而且明擺在眼前的威脅，我們常常視而不見。

風險管理始於危機意識的建立。大自新科技發展、 景氣波動、國家政策，小到員工監守自盜、對手挖角、機房停電，都是遲早會發生的「灰犀牛們」，一個能帶領公司前進成長的領導者，應該要對這些問題預先思考、主動防治解決，而不是等到它終於發生後再匆忙應付，將事件責任推給下屬，或外部環境。

3. 做風險管理的好處是什麼？

快問快答：贏得先機

詳答：

老麥肯錫們常說，找不到解決方法，是因為問錯了問題。 這話對於風險管理也適用：對於危機，我們該問的問題，不是它「會不會來」，而是它「什麼時候會來」和「用什麼方式來」！

身體要定期做健康檢查，公司也是。風險管理就像為公司進行「未來健檢」，幫助你提早發現日後會發生的問題——畢竟，大家都明白「預防勝於治療」，問題愈早處理，就愈好解決， 否則，最後往往要付出慘痛代價 。

在實務上， 沒有任何一個頂尖風險管理專家能夠幫你把風險降到零（誰能停止太平洋熱帶氣旋形成？或預測下一波新型高傳染性病毒爆發傳染？ ），這也就是說，危機會發生（請記住這五字箴言），但如果公司能夠採用專業人員和工具來訓練團隊預做準備，那麼，當危機發生時，就能使衝擊降到最低，讓企業營運迅速回到正軌，你搶到的黃金時間有多長，在接下來的日子勝過競爭對手就有幾倍。

2017年已近尾聲，很多公司開始為接下來的一年制定年度大計了。我建議務必在制訂策略和目標的同時，將攸關的風險因素，同時納入年度計畫的制定流程之中，及早辨識市場變化、評估風險，以掌握先機與因應威脅，達事半功倍之效。

另外一個職責，是看到未來有什么災難和麻煩。如果你能知道社會一定會出這樣的麻煩，並且你提前做好準備，就會很成功…

風險管理專家 | 孫保忠

「未來30年，整個世界的變化會超過大家的想像，」穿著常見的合身白襯衫，第一顆扣子難得敞開，領口別著麥克風的馬雲說：「未來30年，社會矛盾的經歷，各行各業都會受到巨大的衝擊。」

今年將滿53歲的馬雲，身為阿里巴巴、支付寶、淘寶創辦人，被電商店家暱稱為「馬爸爸」的他，兩天前，站在中國綠公司年會的舞台上，對著台下美、加、英、日等國大使團，以及千名中國大企業家，發表演說。

「5新」產業，掀起顛覆性的商業革命

不改變，就等死，是馬雲整場演說的宗旨。以網路為基石而發展的各種新開發，將在接下來的３０年，將以各種面貌與方式，為各行各業帶來震盪、甚至顛覆性的變動。

當中有「５新」產業將對人類世界造成最強烈衝擊：

• １）整合線上線下的新零售；
• ２）從「標準化」過渡到「個性化」，並結合工業4.0的新製造；
• ３）從服務20%少數大客戶，轉向服務80%廣大客戶的新金融；
• ４）行動晶片、行動作業系统（Mobile OS）方面的新技術；
• ５）當網路成為基石，雲端數據就是未來所有企業的新能源。

看好機器人產業前景、兩年前挹注大筆資金入股日本軟銀的馬雲，認為未來機器人發展的方向，就是要讓機器人「做人類做不到的事情」，這麼做，「才有機會讓機器人永遠成為人的合作夥伴，而不是人類的最大的對手。」

他同時直言，美國對AI的發展方向理解有誤：「如果我們自己對大腦都不了解，你讓機器去學習，我認為是有問題的。」

「未來2、30年這個世界的變化超過所有人的想像力，而且絕大部分人是很倒霉的」

雲端，大數據，AI，工業4.0，行動系統技術，還有「馬爹爹」未提及正在突飛猛進的VR/AR技術…21世紀才剛過不到20年，人類對未來30年的想像，已經超越科幻電影情節。

然而在使用者日常生活的方便底下，是舊有商業邏輯的徹底顛覆，和越來越劇烈痛苦的產業汰換陣痛：「對你來看，如果你感到悲哀，它永遠是個麻煩，如果你覺得是個機會，它會是你不可多得的機會。」馬雲說。

一如我們多次提醒，伴隨新科技急速演進的攪擾，全球化商業環境的變動，只會越來越劇烈、越來越難以捉摸。在這樣的環境裡，誰能最快做出反應，誰就是贏家，而能最快做出反應的人，就是預先準備的人。

「未來2、30年這個世界的變化超過所有人的想像力，而且絕大部分人是很倒霉的。」馬雲在4月23日中國綠公司年會上直截了當地說。(Credit: 新浪網)

當今CEO最核心的領導力：掌握機會和利用威脅

在這波時代劇烈汰舊換新中，拒絕當「倒楣的絕大部分人」，最重要的能力，就是看見未來，提早做準備。風險既是威脅，也會是機會。今天任何一家公司的CEO，他掌握危機的能力，將是左右企業未來是向上躍昇、還是向下沉淪的關鍵。

「我覺得，做CEO主要是兩件事，一是看未來的機會，二是看未來的災難。絕大部分的老闆，如果看不到未來的機會，沒辦法激勵你的員工；另外一個職責，是看到未來有什么災難和麻煩。如果你能知道社會一定會出這樣的麻煩，並且你提前做好準備，就會很成功。」

馬雲這番話，非常貼近風險管理的概念，在此提供給所有老闆們參考：「當全體員工以及所有的人都開始提心吊膽，都對未來沒有信心的時候，你必須看到希望所在；所有的人都在唱響未來的時候，你必須看到災難所在．．．」

馬雲解釋：「(因為)任何一個災難和麻煩，都有可能，是巨大的機會。」