rm 1 hr

2016/01 Figure Out Risk Management within 1hr P:1/50

上醫醫未病、中醫醫欲病、下醫醫已病

上醫醫國、中醫醫人、下醫醫病

風險管理的觀念

•風險是什麼

•風險如何評估

•方法工具的盲點

•風險如何管理

重點是觀念，而非評估工具與手法




BS-25999-1:2006 「something that might happen and its effect（s） on the achievement of objectives」

可能影響目標達成的不確定因素或事件情境

Wikipedia • Is a concept that denotes the probability of specific eventualities.

• may have both beneficial and adverse consequences.

• Can be defined as “the threat or probability that an action or event will adversely or

beneficially affect an organization's ability to achieve its objectives”

風險是什麼？




風險=目標+不確定因素可能影響”目標”達成的”不確定因素”或事件情境

目標

明確

• 品質/交期/成本/產出/效率…etc 5W1H

e.g., 年營業額00億、成長率XX%、在期限與預算金額下完成建廠/專案

• 不確定因素通常帶來的是負面影響

• 經由詳盡的事前規劃減少變異與不確定因素的干擾

不明確

• 摸著石頭過河的專案開發、探索型研究

e.g., 創業、藥品開法

愛麗絲夢遊仙境愛麗絲問：「這裡是哪裡？」。

精靈:「你要去哪裡？」愛麗絲回答:「我不知道。」

精靈:「如果你不知道你要去哪裡，那麼現在你在哪裡一點都不重要。」

• 不確定因素反而是驚喜與開創新局的正面機會

• 承擔錯誤與忍受變異以換取機會的掌握與開發可能性

風險是什麼？





不確定性(uncertainty)

從確定到不確定

• Issue議題：一定會發生 e.g.,勞保公保倒閉

• Probability：知道會發生什麼，也知道發生機率 e.g.,丟錢幣

• Uncertainty：不知道會不會發生、發生機率也無法想像事情的演變 e.g.,311大地震/高

雄氣爆/天津大爆炸/ISIS引發歐洲難民潮

不確定性因素的來源

• 現實世界是多因多果的交互作用與因果循環

(無法像科學實驗=>控制邊界條件與操作變數)

• 有因不見得有果，當中存在機率因素(充分或必要條件+鬼神干擾+人算不如天算)

• Unexpected Consequence(副作用與事情演變出人意外)

風險是什麼？




看待風險的觀念：

1.影響達成目標的不確定因素

• 部分能控制(人為疏失、貪瀆) ；大多數不能(天災、國際局勢動盪)

• 不確定(uncertainty)=>代表發生可能性與機率未知(如果發生機率已知/確定，便可以計算期望值，依據期望值進行決策=>理性的決策者不會做賠錢的生意)

• 部分能夠預期、想像(工程進度延期、零件規格不符) ，另一些無法想像預料(黑天鵝事件與蝴蝶效應般的事件演變)

2.不確定因素，可能是獲利機會；也可能是造成損失或成本增加的威脅

• 獲利機會亦或損失威脅，取決不同的立場觀點(e.g.,頂新食安風暴危機，對義美而言是獲利的機會)

• 高風險高報酬，風險與報酬是一體的兩面(利潤的一部分是風險的貼水。e.g.買股票)

3. 機會成本與型一型二錯誤風險

• 機會成本: the cost of something is what you give up to get it

• 凡事做與不做，都有機會成本與決策錯誤風險！ e.g., 作了賠本，不做被對手搶佔先機

• 機會成本與型一型二錯誤風險不可能為零

風險是什麼？




看待風險的觀念：

4.釐清造成風險的前因(原因、前提與背景因素)，與可能影響後果

• Cause-事實、前提與背景條件 e.g.,開發中國家建廠，當地基礎建設水準不佳

• Risk-投入產出的可能變異與因果間的不確定 e.g., 可能會碰到停水、停電與貨物運送不出去

• Effect-後果影響 e.g.,交期延後、預算超支

5.釐清被影響標的與主體的位階、層次，時間的短中長期

• 食品業食安議題，短期只是營收，中期是公司與產品形象，長期則是消費者飲食型習慣的改變

• 製造業工廠火災，短期是財物損失(部分轉嫁產險)與公司股價，長期則是訂單的轉移客戶流失

6. 兩種不同類型的風險

• 類型一預測不會影響風險的情境(自然科學與工程的範疇) e.g., 天氣預測，橋樑壽命

• 類型二預測本身會影響改變情境(社會科學與政治經濟的範疇) e.g., 股票市場與政經情勢預測：參與者會依據各項指標與市場狀況、社會氛圍調整自己的反應

風險是什麼？



上醫醫國、中醫醫人、下醫醫病風險如何評估?


風險與不確定因素

• 無色無味、看不到、摸不著

• 沒有時刻表、不知道時候會遭遇或來臨

• 沒有工具可以測量/測量沒有準確度

• 沒有水晶球可以看見未來事件發展的情境變化

• 未知、無常與不確定因素讓人焦慮恐慌

– 古人求神問卜，造就首批不事生產的特權階級:祭司/神棍

– 宗教信仰幫助人類面對因果間的不確定性，緩解心理焦慮

– 近代科學依靠數理統計與機率分配來描述表達風險；就結果而言，只有發生/

遭遇(100%)與沒有發生/遇到(0%)兩種狀況

e.g.,天氣預報明日下雨機率50%...請問要不要帶傘？

型一錯誤風險：帶傘(累贅)出門，結果沒下雨

型二錯誤風險：沒帶傘(輕便)出門，結果遇到下雨，淋溼感冒…

風險

抽象虛無




辯識風險的手法/工具

What If 萬一

• 發揮經驗與想像力

• 想像猜測未來情勢的可能發展與變化

• 要達成目標，有那些人事物與關鍵資源必須配合到位、不能出錯？

• 有哪些前提條件需要驗證確認？

• 未知、無常與不確定因素讓人焦慮恐慌

• 有那些狀況與不確定因素會壞事？當遭遇這些壞事時，該如何補救與有何替

代方案？

向長老/前輩請益，網路爬文

Brain Storming





Documentation Reviews 文件審核與 Checklist 查檢表

• 看看前人的經驗/文件紀錄，提醒哪些要點必須注意/留心

• 目標的達成能否拆解成幾個步驟流程、各步驟流程的關鍵的投入資源與產出

的KPI為何？

• 盡量寫下來、留下紀錄備忘(慌)

– 事前想到的不確定因素與亂源

– 所有需要的資源

– 相關的一些前提、假設與限制條件

– 工作計畫/作業構想程序

– 一些應變的構想與萬一時候的替代方案

把前人的經驗與注意要點改寫成為查核表/memo





關聯圖

• 不確定因素，如何影響目標的達成

• 不同因素間的連動

• 因=>果之間的路徑，And或Or

http://bigelk176xmaps.blogspot.tw/2010/08/remixed_28.html

系統思考與心智圖

關聯圖可以變成動態(展示情境推演)





魚骨圖

• 因素區分為4M1E (man, machine, material, method, environment)

• (向右)歸納問題成因

• (向左)拆解如何達成目標

http://bigelk176xmaps.blogspot.tw/2010/08/remixed_28.html




風險=目標+不確定因素

Definition: 可能影響”目標”達成的”不確定因素”或事件情境

=>評估各種不確定因素或事件情境造成的”可能影響”

=> 評估 ”可能性” 與 “影響程度”

=>Total Risk = ∑ (各種情境’ Risk)

= 情境A’ Risk= f (A’可能性, A’影響) + 情境B’ Risk= f (B’可能性, B’影響) +

情境C’ Risk + 情境D’ Risk + …..

≒情境A’ Risk= f (A’可能性 x A’影響程度) + 情境B’ Risk= f (B’可能性 x 影

響程度) + 情境C’ Risk + 情境D’ Risk + …..

風險的概念隨著評估方法步驟而扭曲/誤入歧途…




風險評估的誤謬

可能影響”目標”達成的”不確定因素”或事件情境

=>評估各種不確定因素或事件情境造成的”可能影響”

目標與因果間的情境消失不見了!

=> 評估 ”可能性” 與 “影響程度”

本來是看可能的情境(可能很複雜)，被簡化成只看可能性與衝擊大小

=>Total Risk = ∑ (各種情境’ Risk)

= 情境A’ Risk= f (A’可能性, A’影響) + 情境B’ Risk= f (B’可能性, B’影響) +

情境C’ Risk + 情境D’ Risk + …..

各種風險可能有交互作用，被簡化成各類風險獨立、不會交互影響

≒情境A’ Risk= f (A’可能性 x A’影響程度) + 情境B’ Risk= f (B’可能性 x 影

響程度) + 情境C’ Risk + 情境D’ Risk + …..

可能性與衝擊大小，被簡化成各種等級，甚至量化給分




誤入歧途的風險評估

Risk＝Severity × Likelihood × frequency

＝＞考量作業頻率（是天天做還是歲修每年做一次）

或：

Risk＝Severity × Likelihood × Safety

＝＞考量各項安全防護措施對於風險的降低效果

大哉(災)問:

•風險為什麼是嚴重度X發生機率? 而非嚴重度+發生機率?

•某一事件的嚴重度和發生機率有沒有關係(ex:地震，車禍)

•這些事件發生的機率vs 嚴重度的分配形態為何? Normal /

Poison/ Power Distribution

風險如何評估?





風險如何評估?




把前面找出來的各項不確定因素，歸類到此一九宮格當中

依據不同類型的風險特性加以因應

風險如何評估?





簡化的風險評估導致誤謬的風險管理

矩陣法的罩門？-以地震為例

• 發生地震的可能性是經常還是極不可能？

• 嚴重性是輕度還是嚴重的？

風險如何評估?

=地震





矩陣法的罩門？-以地震為例

• 地震屬於高嚴重與低可能性的風險？

風險如何評估?

=地震




地震為例

風險如何評估?

風險=目標+不確定因素

可能影響”目標”達成的”不確定因素”或事件情境

就工廠生產而言

•目標：獲利賺錢

•不確定因素：地震/火災/漏水等情境




風險特性曲線以地震為例

不同震度下的損失金額(對於獲利目標的影響/衝擊程度)

風險如何評估?





不同震度的可能性/發生頻率

風險如何評估?





• 風險係一個特定危害事件發失可能性及後果的組合

• Risk=f (Severity, Likelihood)

• 可能性/後果嚴重度，兩者具有交互作用: 嚴重度越高，發生機率越低(L型的長尾分佈)

風險如何評估?





• 矩陣法 VS 特性曲線

–哪一邊才比較能夠正確地表達和呈現某一類型風險的真實樣貌？

–把矩陣切得更細：5*5變成100*100，就能提高風險鑑別的解析度？

–求得的風險值具有單位&邏輯上的意義？




風險的特性與評估的盲點

發生機率

過去發生次數越少的極端事件，越難準確估計機率(信賴區間越大)

統計機率的詛咒：機率小不代表不會發生

風險如何評估?




風險的特性與評估的盲點

Power Law Distribution

過去沒發生，不代表未來不會發生

古代埃及人把尼羅河前一年洪水氾濫的高度視為今年洪水氾濫的最大高度

風險如何評估?

每年發生一次

每十年發生一次

每百年發生一次

每千年發生一次

嚴重度超乎大家想像！

夏蟲不可語冰..




Risk Matrix of School Smart BUT Street Stupid

看似合理但卻沒有sense…

• Risk is Negative

• 損失幅度大/發生機率高=>正常人都不會去做

• 損失幅度大/發生機率低=>保險公司也不是笨蛋

• 損失幅度低/發生機率高=>無傷大雅

• 損失幅度低/發生機率低=>無需在意

風險如何管理?




Risk Matrix with more sense

把風險看成正面與負面…

• 正面：意外的成功與收穫 e.g., 創業

• 負面：意外的失敗與失控

風險如何管理?




Risk Matrix with more sense

從事件因果鏈的角度來看

• Avoid：取捨迴避=>抉擇要不要做這件事與案子(願賭服輸)

• Transfer：轉移或分散=>買保險、合約轉嫁上供應商或下游客戶，乃至於搞投資組合

• Mitigate：降低不確定事件的發生機率或衝擊影響大小=>搞管理或工程技術

• Accept：接受或容忍=>在進度或預算中加入安全餘裕因應損失或延誤

風險如何管理?




Dream of Academia

量化事件與情境的機率分配

風險如何管理?




Harsh Reality 實務困境

• 蒙地卡羅模擬的機率分配提供的是某種非客觀的信心度≠實際機率

• 結果只有遇到(=100%)與沒有遇到(=0%)兩種

• 史無前例的專案與產品開發無法預估成敗機率與衝擊程度

• 成敗與機率之間是相關的二項次分配(長尾)，而不是常態分配(越稀有的成敗，影響衝擊越驚人)

• 測不準unexpected：

– 能夠想像的到的意外不會釀成大禍=> something would be done to prevent

– 能夠想像的新產品與技術不會改變世界=>想得到就會有人著手開發，該產品可能已經開發出來

– 理性預期與群眾的智慧=>抵銷政府的政策/自以為出世的傑作

• 事件發展有無限多的可能性、替代路徑與平行世界，然而我們只能活在其中的一個

– 創業有如左輪手槍的賭注

– 1/10贏得巨額頭彩，3/10不賺不賠，5/10失敗作收

風險如何管理?




風險管理的瓶頸與障礙

• 方法論: 極端事件發生機率難以估計、事態的演變難以想像預期

• 認識論: 人就是無法客觀衡量風險(腦神經的先天障礙)

• 本體論：莫非定律與熱力學第二定律=>人會犯錯、設備機台會故障、組織系

統趨於低能度/高亂度(出錯搞砸其實才是常態)

風險如何管理?




先知的見解

• 承認自己的無知

• “我們不知道的”比”我們知道的”還要多更多

• 那些”我們不知道的”比”知道”的更重要

風險如何管理?

照亮(認知到)那些我們忽略不見的事物需要耗費能量計算與心智上的努力




先知的見解

槓鈴策略

• 85-90%放在極為安全的工具，如美國債券（避免負面黑天鵝），

• 剩下10-15%放在極端投機的賭注(贏得正面黑天鵝)

幾個原則

1.區分正面黑天鵝與負面黑天鵝

• 正面黑天鵝(成功是意外)：買彩券、創投與科學研究

• 負面黑天鵝(意外導致災難)：軍事國防、保全、保險、工安

風險如何管理?




先知的見解

幾個原則

2.不要尋找、等待明確而狹隘的東西

• 不嘗試去描繪與等待明確的事件情境，沒預測到的黑天鵝事件才會讓你損失慘重；

• 投資在準備而非預測上

3.盡可能讓自己暴露在(正面黑天鵝的)機會中

• 住在大都會、參加各項聚會(碰到意外的貴人與寶貴想法)

4.提防政府與高階經理人的明確計畫

• 公僕和高階經理人的興趣在於自保，而非得到真相，他們會玩弄制度

5.不要浪費時間和股票分析師、經濟學家和社會科學家對抗（滿口均衡、常態分配）

6.思考後果的不對稱

• 我不知道上帝是否存在，假如上帝不存在，而我是無神論者，則我沒有沒損失；但如果祂存在而我不相信，那我就慘了。

風險如何管理?




先知的見解

幾個觀念

以多餘(redundant)作為保險

• 不要追求效率最佳化、比較利益法則！

• 沒有最適負債比(稅盾)這檔事，最好只用自己的閒錢去投資

大就是醜陋而且脆弱

• 規模越大的公司，雖然有規模經濟效率與效益，但越容易受到不可見的錯誤與隨機性的傷害！

沒有區別的差異機率的兩種意義

• 一種是現實世界當中事件的性質（可能不得而知）

• 另一種則是某人對於某件事發生可能性的理性相信程度（透過統計估算）

• 關於風險與機率，我們其實不是”測量”，而是”預測”（無法精準測量，只能不精準的猜測預估）

不怕錯誤(能夠承擔失敗)的柔韌

• 人就是不能預測、不能從問題當中學到教訓

• 試圖降低波動性與隨機性(人造的安寧、安穩)，反而會增加受到黑天鵝傷害的機會與嚴重度。

風險如何管理?




先知的見解

風險其實不能被管理…

如何與不確定性共存活

• 脆弱意味著失多於得

• 反脆弱(沒什麼好失去的) 意味著得多於失

• 把好運當成檢到，把壞運當成理所當然的命運

• 讓自己在心靈上定錨在一無所有(沒有什麼好損失)

• 將恐懼化為謹慎、痛苦化為資訊、錯誤化為啟發、渴望化為行動

沒有行動才是最大的風險

• 藉由測試、試誤掌握市場機會

• 從失敗中累積經驗與發展競爭優勢

風險如何管理?




風險其實不能被管理

• 你如何管理你不知道的事情與不確定的情境？

• 極端事件難以想像、能見度不高..

風險如何管理?





SWOT的分析角度

• SW是內部、相對於對手(不是自己說了算)

• OT是外部，隨時變化(不是組織個體所能影響)

風險如何管理?





人就是無法客觀衡量風險!

• 只記得發生過的事情，不擅於想像沒有發生過的情境

• 對嚴重度比較有感(特別是新聞媒體的渲染)

• 對於發生機率無感

• 不同的人對於風險有不同的偏好(相同期望值)

• 在不同情境下，相同的人會有不同的風險偏好/行為

風險如何管理?




風險不能管控，能控管的其實是(自身的)脆弱性

應該評估的不是風險，而是脆弱性…

• 公司的資料有沒有備份、異地備援？

• 公司的關鍵系統有沒有redundant?

• 公司的生產設備能不能週轉、不同的生產基地能否相互支援？

• 公司的key person有沒有代理人(其實是接班人)？

• 公司的產品線/客戶與營收組成是否分散？

• 公司有沒有沒不同的事業群可以交互補貼？

• 對於不同的情境變化，公司有沒有應變策略與計畫？

– 景氣大壞，如何度過寒冬，撐得比對手久

– 景氣大好，如何搶佔市場，不要拱手讓人

• 適當的規模，有助於反挫弱

風險如何管理?




風險不能管控，能控管的其實是選擇(≒下注)

應該讓組織能夠承受的風險最大化，而非降低風險…

• 天下沒有白吃的午餐，富貴險中求，高風險高報酬

• 風險=機會，危機=危險+機會

• 超常報酬/暴利的機會成本是高失敗風險

• 能夠承擔失敗與風險，才能享受超常報酬

• 外部環境的改變帶來產業的洗牌

• 在不確定的情境中

– 摸索嘗試與失敗是必要學習成本

– 容錯、應變彈性；反應速度比規模重要

– 幸運者生存，再演變成適者生存

– 向外眺望與嘗試是必要投資

風險如何管理?




風險不能管控，能控管的其實是看待風險的心態

人性與腦神經的先天偏誤…

– 不太能接受機率或運氣的觀念，需要一個具備因果關係的解釋

– 對自己信念與想法的信心來自於所編故事的合理度，與證據和事實無關

– 會將隨機的結果穿鑿附會出一套規律(=鄉野傳奇)

– 埃及法老王年代，人們把尼羅河氾濫過的最高水位標記，以這個泛濫最高水位林進行準備(錯估事情可能的嚴重度)

– 墜機新聞後，群眾狂買旅遊平安險(錯估可能發生機率)

– 病死是意外死亡的18倍(大部份人覺得死於意外比較戲劇性，低估病死機率)

– 偏好小賺(有小確性/經常的幸福感)大賠(長痛不如短痛)

– 人就是沒有辦法正確衡量風險：要不高估它，要不低估它-沒有中間地帶。

– Risk Availability 造成人無法正確衡量風險

– 對於風險的認知，取決於如何定義Defining risk is thus the exercise in power

– 所謂可接受與不可容忍風險的決策，本質是政治議題

風險如何管理?




風險不能管控，能控管的其實是看待風險的心態與情緒人性與腦神經的先天偏誤…

• 展望理論

– 大多數人在面臨獲利的時候是風險規避的；(見好就收)

– 大多數人在面臨損失的時候是風險喜好的；(套牢時更想賭一把)

– 大多數人對得失的判斷往往根據參考點決定

– 依據故事的框架進行風險決策

風險如何管理?




風險不能管控，能控管的其實是看待風險的心態與情緒

為什麼專案計畫絕大多數是預算超支、進度落後？

1. 計畫提案、決策者過度樂觀=>樂觀的計畫有助於取得支持和通過

2. 莫非定律=>許多無法預見的意外與突發狀況

3. 各種界面的磨擦與損耗=>需要耗費心力整合、溝通

4. 組織是依據大家做了什麼來獎勵=>執行遭遇困難，有助於計畫參與者邀功(問題責任可以推卸給莫非定律)；而非懲罰計畫者信口開河、規劃不力

5. 對於組織而言，已經開始執行的計畫往往很難半途中止與停損(sunk effect)

6. 提案承包商的利潤來自於追加預算，抓準業者頭已經剃了一半，不可能退出

避免專案失控與悲劇的方法

1. 計畫進度與預算的比較基準應該是外面類似的計畫，而非參與計畫內部人員的估計

2. 要有獨立的規劃設計與監造標(不要和施工同一標/包)

3. 計畫規劃人員要明確說明相關的不確定因素與例外狀況，乃至於當遭遇上述情境時的因應方式。如果遭遇表列不確定因素以外的意外情況，要檢討當初規劃的責任。

4. 設定停損的條件與投入上限，想好計畫失敗時改如何轉進與退場機制

5. 執行的部分應捨棄最低價標

風險如何管理?





可能性與主觀預期機率其實是一種能見度的觀念

• 可以想像/曾經遭遇過的，就會高估其發生機率

• 無法想像/未曾遭遇過的，就會低估其發生機率(黑天鵝眼盲)

主觀機率預測的偏誤原因

1. 沒有基礎背景知識與資訊prior probability of outcome

2. 對於樣本大小與時間區隔長短不敏感

3. 對於機遇與隨機不敏感(把異常與小樣本當成母體)

4. 對於結果可預測性不敏感(30%與70%)

5. 效度的錯覺：過份信任自己的感覺

6. 對於迴歸的誤解：以為身高高的父母應該是生出身高更高的子女，其實是regression to the mean

7. 可用性：記憶鮮明度與能見度

8. 可用資訊的偏差

9. 想像力的偏差

風險如何管理?





個人

• 定錨到一無所有，不害怕/逃避失敗=反脆弱

• 養成質疑自己成見的習慣(當局者迷/旁觀者清，容易看見別人踩地雷，卻看不見自己正要踩上去。)

• 有勇氣懷疑學者專家(專家學者僅供徵詢，不承擔成敗後果)

• 接受失敗的可能性，把失敗當成是命運(不怨天尤人/沉溺於負面情緒)

• 接受命運與相信上天的安排(尋求宗教信仰的寄託)

團體與組織機制

• 設計機制鼓勵大家相互提醒(唱反調-魔鬼代言人)

• 設定檢查表checklist相互稽查確認

• 集思廣益找出正確的定錨與參考基準

• 不斷定義找出正確的問題框架、蒐集相關資訊

• 累積lessons learned的反思與回顧

• 檢討做了什麼(對錯)、也要檢討沒做什麼(why not ?)

• 組織文化：找出能夠做得更好的地方比問責重要

風險如何管理?




風險管理應該管的是..?

評估不同情境下的脆弱性

• 面對不同情境的脆弱程度(≒BCP/BCM)

• 相較於競爭對手的脆弱度

• 如何提升各種情境的風險耐受度

機會的掌握與測試

• 策略看的是未來

• 有哪些機會與威脅(≒產業分析)

• 如何分散與增加存活率？

組織的決策機制

• 董事會的議事機制

• 資訊的流向、彙整分析與傳達機制

• 不同權責界面的交流與整合機制

緊急應變、危機處理與lessons learned

組織如何管理風險?




Questions?

END！

rm 1 hr

Business