風險 (Risk) 這個字尚古早起頭是義大利的 Risicare，

就是「敢或冒險」，認為風險是一種選擇，而不是命運。

管理風險就是藉由有限的資源與方法來管理主動式或被動式的選擇。這個世界充滿風險與不確定對企業有好也有壞的影響。但是，風險與不確定是有差別的，有些更不宜混用。

• 1950 - 1960年期間 (第二次大戰後的早期），正是風險管理啟蒙的時期，當時風險經理人均被安排於組織中的財務部門，並認為購買保險是唯一風險管理的工具。
• 1960年後，工商企業經理人發現有些風險是非保險可處理的或所買的保險非公司所需要的，即開始重視損害防阻的安全措施或活動。
• 風險管理在1975年中期開始國際化，其觀察到風險與保險管理學會 (RIMS) 在風險管理的領域為傑出的學會，一開始即聚集亞歐等世界的風險管理經理人共同討論。
• 直到1970 - 1980年，風險管理運用廣泛被接受，同時學術界研究盛行，也擴大風險管理的複雜問題，但重著於風險理財或非保險理財。
• 由於風險曝露的成長，致使在1970，1980與1990年代時公營機構對風險管理的參與提高。
• 直到1990年代後迄今，更發展出整合風險管理或企業風險管理等議題。

 

傳統風險管理觀念緊鎖於處理危害風險，包括財產、人身、責任、財務與法律。但是當今風險管理環境的瞭解也已演進到考慮內外部的各種風險之間的相互關係。風險的界定早已被各行各業應用而翻轉著，跑出眾多的定義，例如全球產學研究領域或相關的協會或學會等機構，對於風險 (risk)、風險管理 (risk management,RM) 與企業風險管理 (enterprise risk management,ERM)，無論在總論或各論的界定、分類與範圍皆各有其論與多樣。再者，眾人理解的是並非將所有的企業重大風險或危機事件發生的可能所致的損害或倒閉都歸責於自然氣候所造成的，因為全球自然災害也可能因人為所共舞所致。

 

企業風險管理(ERM)形成當代國際上的顯學

因20和21世紀初大型企業發生高階層策略錯誤或財務與營運等史上最大弊案事件，並伴隨產生了經濟與金融危機，例如最典型案例的美國安隆公司 (Enron) 倒閉和其往來的安達信會計事務所 (Andersen Consulting) 遭解體，不過，安隆破產則催生了「2002 年薩班斯-奧克斯利法案 (the Sarbanes- Oxley Act (SOX)」，該法案規範企業必須重視與處理消費者或民眾對該企業風險管理控制的要求，並也要求揭露有關風險和風險管理的資訊。與此同時，美國監管機構要求改善財務風險管理和揭露，同時也讓「企業風險管理 (ERM) 形成當代國際上的顯學。上述皆可從世界銀行和經濟合作與發展組織 (OECD) 主辦的2004年亞洲破產改革論壇內容得知亞洲有些國家已有嚴重負面風險的潛在風暴。歐盟國家一直致力於採用 Solvency II和Basel III 標準進行金融組織的風險管理，美國也更落實企業風險管理 (ERM) 的實踐，這樣實踐進程難免也啟動各國風險管理政策的同步與更新，更牽連經營供應鏈的中小企業也須法遵與同步，例如日本2011年的地震、海嘯與洪災的複合型事件，更顯示地震，洪水和核電的風險管理與政策，以及供應鏈風險治理與管理都須重新評估與修正。除了對國際標準ISO 31000的重視外，2018年國際標準ISO 45001將取代職業健康與安全國際標準 OHSAS 18001，提供更有效可用的指導架構與準則，以改善全球供應鏈工作者的安全，並協助各種規模行業的組織。國際財務報導準則 (International Financial Reporting Standards, IFRSs) 規範下，2008年台灣明顯已陸續排程配合，迄今則實踐台灣-國際財務報導準則 (Taiwan-IFRSs)。

近世紀來，各國企業策略的腳本趨多樣且執行更直接更現實，企業創意發想再盛行，難免正負面風險牽伴而來，更是當今企業界與消費群正在共同分享或共同承擔的共創風險。進而，企業對風險或風險管理的界定與範圍正在擴充中，其至少包括了危害風險、營運風險、金融風險與策略風險。隨著外部風險管理環境的迅速變革，企業除了需要改進企業風險管理流程，法遵和報告等合理揭露外，企業還面臨新興的風險，例如:電腦駭客與假新聞散播導致事件而引發聲譽風險或生活不安風險。人為使壞的營運風險形成系統性的負面風險，已構成各國網路風險治理的額外負擔，更需人人關注與合力遏阻以及跨國互聯偵查與協防，維護生活品質。

 

風險有正面風險也有負面風險，風險分類更是多種

「風險(risk)」則指凡若結果出現變化者。風險有正面風險也有負面風險，風險分類更是多種。「企業風險管理(enterprise risk management, ERM)」即是從董事會與主管支持並由上而下的治理，與由下而上全員參與，基於有限資源與相關法遵基礎，透過風險辨識、風險分析、風險衡量的工具以及運用風險控制與風險理財的處理方法，適切管控利損並傳達生活「上」的感覺之一系列的活動。「企業風險管理(ERM)」的各種界定與框架，大致由歐美各產學研訓的民間團隊或機構所開創的。從關注重大議題，並調適企業倫理(CE)、企業社會責任(CSR)到企業永續(CS)，滿足利害關係人的期待。當今越來越多的產品與服務的品種或態樣與數量互為連結，以致企業面對風險辨識及風險管理定義與方法產生了變革。對「企業風險管理(ERM)」的界定為依企業風險胃納而訂定策略目標，透過風險辨識、分析、衡量以及風險處理方法，同時搭配風險資訊溝通與檢討等對接的過程，妥適管控利損並傳達企業避險與增能的價值，以達永續發展。

台灣中小企業(含微型企業)佔 90% 以上，大半屬家族企業為核心成員，理有其優缺點。傳統經營者或團隊特質賦有勤儉起家，勇於研發，樸實謙和，吃苦耐勞與充滿活力，其經營規模適合以「小而精」與「精而美」紮根穩固。未上市櫃的中小企業仍是國內經濟的底層。鼓勵企二代或續代而有志於續階段性的轉型與擴展，續信心但減少自鎖的治理，才可能看得到未來正負面風險。目前，中小企業 (含微型企業) 面對科技變革，除了保有核心技術或技能外，惟有透過徹底地敏銳洞察風險廣深度、嚴選組織帶領的精良團隊、知惡即善，啟動雇主員工對企業風險管理或永續發展的新觀念與終身學習的機制，營造員工雇主與相關利害關係人共學共創共成長，共得永續。

賴麗華 (Li-Hua Lai) 撰  December 22, 2018