風險管理的意義

風險既然會對人類帶來損失，所以依據人類與生俱來趨吉避凶的安全需求和 減少經濟上的耗費，風險管理自然應運而生。雖然風險管理是 20 世紀以後才發 展出來的學門，但是綜觀古今，像是春秋公羊傳「防禍於先而不致於後傷情，知 而慎行。君子不立於危牆之下，焉可等閑視之。」，日本也有類似的「君子不近危 (君子危うきに近寄らず)」的諺語，聖經傳道書 10:9 則有「鑿開石頭的，必受損 傷；劈開木頭的，必遭危險。」足見自古以來就已經存在許多類似近代風險管理 的觀念。但是在近代，風險管理是一門強調科學化與系統化的學門。首先是保險 業與企業等營利事業大量運用，之後很快地散佈到政府組織等非營利機構。

一、風險管理的起源與發展

趨吉避凶是人類本能，所以人類從被動的承受風險到主動的管理風險自然是 走過一段漫長的路。如能了解風險管理的起源與發展自然對風險管理的理論更能 明瞭。研究者整理文獻將風險管理的演進歸納整理如下：

完全無知 完整資訊

不確定 風險

(一)啟蒙奠基時期

在文藝復興啟蒙時代以前雖有許多中外哲人提出類似近代風險管理的概念，

但是當時還是將風險視為操之在上帝之手的命運，是無法預防與抵抗的 (古允文, 丁華, 林建成, 2010)。不過在 17 世紀數學的統計學與機率論成型，數學家們整理 出風險有統計上的規律性和可以以機率論來解釋的。在 1666 年的倫敦大火後催 生了火災保險制度和之後由數學家艾德蒙‧哈雷(Edmond Halley)發表的生命保險 制度更使得風險管理的基礎數學理論逐漸成形。

(二)風險管理的草創期

到了 20 世紀一次世界大戰後，戰敗的德國國內企業為了因應嚴重的惡性通 膨，確保企業生存發展出了「風險政策論」以因應之。而大西洋對岸的美國在 190 年 代 面 臨 了 經 濟 大 蕭 條 。 在 美 國 經 營 者 協 會 (American Management Association, AMA)設置保險部(Insurance Division)，以協助會員因應大蕭條帶來的 財務風險。之後在 1957 年美國保險管理學會(The American Society of Insurance Management)成立教育委員會協助美國各大學推廣風險管理教育。後因應風險管 理的發展，該學會在 1975 年改名為「風險暨保險管理學會」(The Risk and Insurance Management Society, RIMS) (陳繼堯, 1999)。

(三)風險管理標準化時期

隨著時代快速變遷，全球化的進展，風險管理也受到政府的重視並開始建立 標準化流程。其中澳洲／紐西蘭風險管理標準(AS/NZS4360:1995，以下簡稱紐澳 風險管理標準)開始，ODEC 先進國家紛紛建立自己的國家風險管理標準以指引 並推展風險管理的流程與發展。之後影響較大且受到國際標準組織(International Organization for Standardization，以下簡稱 ISO)認可的國家標準除了最早制定的 紐 澳 風 險 管 理 標 準 (AS/NZS4360:1995) 外 還 有 加 拿 大 國 家 風 險 管 理 標 準 (CAB/CSA-Q850-97)、日本國家風險管理標準(JISQ2001:2001)等。

2009 年 7 月 ISO 以紐澳風險管理標準為基礎並參照加拿大與日本等國的風 險管理標準公布了風險管理標準草案(Draft of ISO 31000)並在同年 11 月 15 日發 表風險管理－原則與實施指南(Risk management — Principles and guidelines)第一 版(以下簡稱 ISO31000 風險管理標準)供世界各國政府與企業等組織參考 (行政 院研考會, 談 ISO 31000 風險管理標準之發展(上）, 2008) (ISO, 2009)。自此風險 管理不再只是少數企業所運用，而是成為國際化的標準。

從風險管理的發展就可以發現到不論中外都是在遭逢巨變後才會重視風險 (鄭燦堂, 2007)，這裡正好也反映出了人對風險管理的需求往往來自於對風險的 認知而定。

二、風險管理採用的管理學理論 (一)全面品質管理

從 紐 澳 風 險 管 理 標 準 到 ISO31000 受 到 戴 明 博 士 (Dr. William Edwards Deming)提倡的全面品質管理(Total Quality Management，TQM)理論影響最大，

也可以說風險管理也是組織全面品質管理中的一環。 (Plan-Do-Check-Act Cycle)，利用計畫、執行、檢核到行動的循環流程持續不斷 的管理風險、減輕風險。 Marsick

1996 認為學習型組織是組織中的成員藉由不斷學習使組織改變；

這種學習不但是持續的，而且是策略的，將學習結果整合運 用在工作上，俾能使組織朝向目標改變。

Gephart、

Marsick、

Van Buren 及Spiro

的能力，必須是符合組織快速的、基本的變革的能力；3.有制 Marcic

1998 認為學習型組織是組織中的成員經由不斷學習，均具備找出

學習型組織應包含五項要素 (Senge, 1990)：

1. 自我超越（Personal Mastery）：個人有意願投入工作，專精工作技巧的專 業，個人與願景之間有種「創造性的張力」，正是自我超越的來源。

2. 改變心智模式（Improve Mental Models）：組織的障礙，多來自於個人的 舊思維，例如固執己見、本位主義。善心智模式需從發現個人的內在思維著手，

隨時審視自己的思維，避免過度推論造成偏見；改變既定的思考模式，進行反思 及探索，開放心胸，尊重參與，接納異議。

3. 建立共同願景（Building Shared Vision）：願景可以凝聚組織上下的意志 力。「建立共同願景」強調由下而上，必須由成員共同策訂，使成員的個人價值 觀及其對於組織的關切與期望有表達的機會，透過彼此的互動與參與，逐層凝聚 共識，使願景既是組織的目標，也是每個成員的願望。透過組織願景，大家努力 的方向一致，個人也樂於奉獻，為組織目標奮鬥。

4. 團隊學習（Team Learning）：團隊智慧應大於個人智慧的平均值，以做出 正確的組織決策，透過集體思考和分析，找出個人弱點，強化團隊向心力。組織 成員共同與相互的學習，透過深度匯談與討論，使全體成員均進入學習狀態，真 正一起思考交流，集合團體的智慧，進行整體搭配的行動，往組織目標邁進。

5.系統思考（System Thinking）：應透過資訊搜集，掌握事件的全貌，以避免 見樹不見林，培養綜觀全局的思考能力，看清楚問題的本質，有助於清楚瞭解因 果關係。

在 ISO31000 風險管理準則中非常重視組織成員間的溝通、協商、監測與審 查就符合了團隊學習的修練。而風險管理整個架構更是十分重視充分蒐集資訊、

掌握風險全局的系統思考能力。

三、風險管理的架構

ISO31000 風險管理準則將風險管理定義為協調一致地直接控制關於組織風 險的活動(coordinated activities to direct and control an organization with regard to risk) (ISO, 2009)。在 ISO 的準則裡認為風險管理應包含 1.授權與承諾(mandate and commitment)；2.設計風險管理架構(framework design for managing risk)；3.執行 風險管理程序 (implementing risk management) ；4.監測與審查風險管理 架構 (monitoring and review of the framework)；5.持續改善風險管理架構(continual improvement of the framework)等五點。其管理架構如圖 2-5。

圖 2-5

ISO31000 風險管理架構圖

引自 ISO 31000: Risk management — Principles and guidelines (ISO, 2009) (一)授權與承諾

風險管理需要堅定而持續的承諾該組織的管理以及戰略和規劃。管理階層應：

明確的表達認同及簽署風險管理政策；向所有利益關係人傳達風險管理的效益；

辨識風險管理執行指標與組織執行狀況是否一致；確保風險管理目標與組織的目 標、策略一致；確保遵循法律及規章；以及確保必要的資源分配至風險管理。彼 得‧杜拉克說過：「決策不再是由少數的高階經營者負責，而是組織所有層級。」

(Drucker, 2002)，風險管理既然是管理的一種，自然也如是。

(二)設計風險管理架構

在設計風險管理架構時必須要瞭解組織及周遭環境；風險管理政策；融入組 織程序；負絕對責任；提供合適的資源；建立內部溝通與報告之機制。

(三) 執行風險管理程序

在實施風險管理程序時，組織應：確定適當的時機和實施程序的策略；使用 適用於風險管理政策，組織流程和技術；符合法律和規章要求；確保決策，包括 發展和設定的目標，是否合於風險管理程序的結果；保存資料和訓練程序；與利 害關係人溝通和磋商，以確保風險管理架構依然適當。

(四)監測與審查風險管理架構

為了確保風險管理是有效的，組織應：對照指標評量風險管理績效，定期審 查是否恰當；定期測量風險管理計劃的進展和偏差；定期檢討風險管理架構、政 策和計劃是否仍然適當以因應組織內外環境的變化；風險管理計劃的進展和風險 管理政策正在上的報告；並檢討風險管理架構的有效性。

(五)持續改善風險架構

組織根據監測和審查的結果，決定應如何改善風險管理架構、政策和計劃。

這些決定應持續不斷的改善組織的風險管理文化。這個持續改善的架構需要組織 授權與承諾

設計風險管理架構

執行風險管理程序 持續改善

風險管理架構

監測與審查 風險管理架構

全體的參與。

四、風險管理的程序

風險管理程序應成為組織管理文化和慣例的一部分，並針對組織特性訂製。

一個完整的風險管理程序應如圖 2-6：

圖 2-6

ISO31000 風險管理程序圖

引自 ISO 31000: Risk management — Principles and guidelines (ISO, 2009) (一)溝通與協商

組織內外的的利害關係人對於風險的認知是會影響組織對於風險評估與處 理的，所以執行風險程序的早期階段進行溝通與協商，確立整個組織的風險認知，

透過一個適當的外部和內部的溝通和協商計畫帶來不同專業領域的分析，確定利 害關係人之利害是可以理解，風險是可以識別的。

在溝通協商過程中，要充分溝通組織內外每個利害關係人對風險的認知，因 為每個利害關係人對風險都有不同的立場、價值觀、需求和概念，透過溝通協商 的過程才能獲取更全面的風險資訊。

(二)確立環境

確立環境應依據組織的成立背景闡明組織目標，再依此定義內外部風險並確 定範圍與標準。

1.確立外部環境：外部環境就是指組織實現目標的外在背景環境。訂定 風險目標時須考慮到組織外部利害關係人的觀感和文化與法律的規 範。也就是說組織外部的法律規定與社會觀感等。

2.確立內部環境：內部環境就是指組織實現目標的內在背景環境。其中

2.確立內部環境：內部環境就是指組織實現目標的內在背景環境。其中