風險管理之執行步驟

企業為了降低可能面臨的風險，透過對風險有效的管理和監督，達成企業運作所 擬定之目標，風險管理主要是降低企業在經營的過程中，所發生風險的機率及掌握對 於風險發生的不確定性，透過訂定施行風險管理之程序，能依循著步驟循序漸進的進 行。

Turner(1993)認為，風險管理之步驟含五個階段：辨別風險來源、個別風險產生 的影響、評估整體風險所造成的影響、證明如何減少這些風險影響與控制個別風險。

Dey(1999)將風險管理必須具備的程序分為辨別風險因子、分析其效果以及針對風險進 行反應三種。鄭燦堂(2001)認為風險管理過程有四個步驟，即風險之辨認或認知、風 險之衡量、風險管理策略之選擇以及策略之執行與評估。酈治斌(2002)認為風險管理 實施分為下列五項步驟：(1)認識企業所面臨的風險。(2)檢視各項風險管理策略的可 行性。（3）選擇最佳的管理策略，以達風險管理的目標。(4)切實執行所選定的風險管 理策略。（5）監督即改進風險管理計畫，以了解原決策是否可行，是否有不合時宜而 需進行修正的情況。

總結上述風險管理執行步驟之論述，本研究參考我國行政院研究發展考核委員會 發行之「風險管理作業手冊」(2005)之架構，將風險管理的執行程序分為以下四項執 行步驟要點：

步驟一：建立風險管理執行背景體系

風險管理執行步驟，主要是透過系統化的過程，協助企業組織執行風險管 理，以達成風險管理降低威脅、組織創新機會與公眾價值之目的。在進行風險管 理之前，首先需建立執行背景體系，此步驟是檢視風險管理之環境為何，並從外 部環境與內部環境兩方面進行檢視。

外部環境包含了財務、操作、競爭、政治、社會、顧客、文化及法律層面，

從權益關係人(Stockholder)的角度找出計畫執行的目標、需求、認知與想法，進 而研擬出達成此些目標的關鍵要素為何。再者，由執行風險之組織分析其背景體 系之優勢與劣勢，從中掌握內部環境影響之重點，進而考慮計畫目標、時間與空

間的範圍、所需的資源、內容、責任來建立適合此企業或計畫風險管理之步驟，

並在執行的過程中，讓風險管理之成本、利益與機會三者達成平衡。而在進行下 一步驟之前，仍需根據風險管理執行之目標、權益關係人的利益關係、內外環境 的認知、法律上的要求，訂定風險評量的標準以及欲進行風險評量的分析對象，

達到掌握風險管理執行流程之準備。

步驟二：風險辨識(identification)與確立

完成建立執行背景體系的第一步驟後，風險辨識與確立是進行風險管理的第 二步驟。一般而言，風險管理人將針對可能對企業體組織產生影響的損失，或者 是妨礙企業達成其經營目標者，辨識此些風險之意涵。在辨識的同時，將透過邏 輯分類方法，將所有各種可能面臨的損失風險一一檢視，或是使用其他合適的方 法，對組織於特定時間可能會遭遇到的特定損失風險進行辨識；此外，也可以以 損失風險會阻礙企業組織達成其基本目標的程度，鑑定出這些實際損失風險的嚴 重性。

風險辨識主要是將企業發生的時間、地點、如何發生及為何發生進行檢視，

判別出個別風險是否對權益關係人及企業體系造成影響或危害。風險的辨識將影 響到後續風險管理的各項步驟，有效的風險辨識能找出真正影響企業或計畫的主 要風險，進而進行評估並擬定因應策略，因此，風險辨識是步驟中最重要的一環。

風險之辨識與確立，通常會透過：調查問卷法、財務報表分析法、檢視組織 法、紀錄與文件法、流程圖法、親自檢視法及請教專家等方法來解決。

步驟三：風險評估與評量

風險評估分為風險分析與風險評量兩部分，其目的是將此些資料做為風險控 制(Risk Control)或風險理財(Risk Financing)策略擬定之依據。風險分析的目 的將可接受風險與主要風險分開，並提供給風險評量及策略擬定參考的資料一 句。風險分析的內容包括風險的結果，以及這些結果發生的機率為何，而在進行 風險分析前，可以先進行初步的分析，將相似或影響力低的風險排除於進一步的 分析外。在可能的情況下，也必須列出未被列入分析的風險，以顯示風險分析步 驟的完整性。

在風險分析的過程中，必須在現有的控制方法下，評估事件對各風險的影響 程度及其發生的機率。事件的影響及其發生的機率結合起來便是風險的等級，可 採用數據的分析及計算來決定事件的影響及機率。倘若沒有過去的資料可做為分 析之參考，則必須根據個人或組織所認定一個事件及結果發生的可能性，來進行 主觀的估計。但為了避免主觀上的偏見，需要透過最有效的資訊及技術來分析風 險的影響及機率。包括過去的紀錄、相關的經驗、國外的應用及經驗、相關的出 版文獻、具公信力之調查與研究、實驗及原型、經濟上/工程上及其他的模型與專 家的判斷等。

風險評量是將風險分析中所決定的風險等級與先前訂定的風險標準相比 較，並將風險評量的結果挑選出需要進一步優先處理的風險，讓企業(政府部會) 考慮組織的目標以及冒險可能會帶來的機會。進行決策時應考慮較大範圍的風 險，並將企業(政府部會)以外的團體所造成的風險容忍度列入考量。如果評量的 結果顯示風險的危險性低或為可接受的程度，則這些風險將接受程度最小的風險 處理。若風險沒有被列為低危險或可接受的風險，則企業(政府部會)應採用後續 的風險對策進行處理。

步驟四：風險管理與策略

風險管理與策略為風險管理流程的最後一個步驟，目的在於有系統的探討，

如何採用各種風險控制策略及風險理財策略，處理且因應特定的損失風險，建立 一準則以決定什麼樣的風險控制暨風險理財組合，最能符合組織的需要並能配合 組織的目標。為因應或處理損失風險，組織需要做的如下的三種預測：(1)預期損 失頻率與幅度之預測，(2)各種風險控制寄風險理財策略對這些預期損失頻率、幅 度及可能預測性之影響預測，(3)這些風險管理策略之成本的預測。

在透過風險控制進行減少損失的過程中，是專門設計用來使事故之損失頻率 或幅度趨小的管理策略，以及損失更可預測的風險管理策略，換而言之，風險控 制策略包括了：風險標的避免、損失方法、損失抑減、損失風險的隔離以及設計 用以保護組織免於向他人支付損失賠償的契約性移轉。在透過風險理財以彌補損 失的方法中，是採用風險理財策略予以配合風險控制策略，以彌補無法完全防止 損失之缺失。主要分為兩類：一為用以償付損失的資金源自組織內部之「自留」

(Retention)；另一為用以償付損失的資金源自於組織外部的「移轉」(Transfer)。

此兩類方法除了可分開施行外，若是資金來源兩者皆有時，亦可以同時採用。

透過擬定風險的策略進行管理的步驟後，將執行所選定的風險管理策略及監 事執行的結果，其包含了風險控制策略及風險理財策略。風險的控制策略將就管 理人的技術性及管理性進行決策；風險的理財作業，為透過密切的監視管制以確 保其達成預期的成果，若損失風險有產生變化，或是風險管理策略或成本有異動 時，則應調整計畫以便因應這些變化。

資料來源：風險管理作業手冊(2005)、Risk Essentials—A Risk Management Framework(2006)、本 研究整理。

圖 2.4 風險管理執行步驟架構圖 2.2.3 風險項目分類

影響計畫之風險因子很多，如何將此些風險進行分類，是方便進行風險辨識及確 立進行的方式。風險項目有許多分類之方式，若是依可被控制程度分類，可分為一般 性風險與特性計畫風險；若依實施計畫的階段分類，可分為投標階段風險、合約談判 階段風險、合約執行階段風險；若依據風險來源區分，則可分為政治風險、經濟風險、

技術風險、公共關係風險及管理風險等五大類。

聯合國 BOT 計畫指導原則手冊（UNIDO BOT Guidelines）是對於國際間各國所執

行之民間參與 BOT 案制定做法與流程，進而擬定面臨之風險。在此指導原則手冊中，

風險因子依被控制程度分為一般風險及計畫特定風險兩大類。以下就此兩大類風險因 子之分類進行介紹：【UNIDO BOT Guidelines，1996】【王繼國等人，2003】

1.一般性風險：指國家的經濟成長、政治環境、稅法制定、法律規範及現行貨幣匯

完工風險明顯相對較低。

(3)營運風險：包括其他相關基礎建設風險、技術風險、需求風險、供應風險、

營運成本超支風險、管理風險、不可抗力風險、設備損失或毀壞風險、責任 風險等。營運風險來自營運績效、收入、物料供給不足等，或營運成本比預 期高等。

針對軌道運輸計畫，Ghosh 與 Jintanapakanont(2004)透過蒐集與鐵路計畫相關 的研究報告，共歸納了 59 項影響計畫之可能風險因子，並透過問卷調查與因子分析法 (Factor analysis)將此些風險因子進行分群，可分為財務及經濟風險(financial and economic risk)、契約和合法風險(contractual and legal risk)、承包單位相關風 險(subcontractors-related risk)、營運風險(operational risk)、安全和社會風險 (safety and social risk)、設計風險(design risk)、不可抗力風險 (force majeure risk)、自然風險 (physical risk)與延滯風險 (delay risk)等 9 大類，而各風險因 子各屬於何種類別中，如表 2.2 所示。

表 2.2 鐵路建設各風險因子一覽表

風險類型 風險因子

財務及經濟風險 資金無法獲得、經濟危機、投標價格、匯率變動、通貨膨 脹、共同投標者財務失靈。

財務及經濟風險 資金無法獲得、經濟危機、投標價格、匯率變動、通貨膨 脹、共同投標者財務失靈。