超圖解風險管理(1/3)

 超圖解風險管理：全視角與案例學習

https://www.books.com.tw/products/0010853242?loc=M_0006_243

透過這本書來按圖索驥，經由老前輩的指引，來補強相關知識基礎

書不厚，但是衍生相關的資料與感想卻不少

 

理論知識篇

 

Chapter 1 風險管理的必要性

1-1    風險管理的功能

從財務或經濟理論來看，如果沒有交易成本，就不需要管理風險

交易成本包含：稅賦、代理成本與預期破產

在無交易成本的狀態下，股東可以透過投資組合來分散風險=企業不需要重視風險管理；由於存在以上三者(交易成本)，所以重視風險管理可以幫助公司價值極大化(然而就公司價值/股價最大化的解釋力而言，預期破產或大賺>代理成本>稅賦)

降低稅賦：投資風險管理的成本可以節稅

降低代理成本：讓股東信任公司(這些專業經理人)

降低破產虧損可能=避免投資決策錯誤

 

老闆擔心的風險是破產與虧損(乃至於打點好政商關係)

財務主管擔心的風險是稅負、利息、發債成本、匯損與財務槓桿

老闆與財務(公司治理)關切的可謂是投機風險(有獲利與損失機會)的管控與避險+無形的成本(Worry and Fear)

一般所謂風險管理專業人員擔心則是純損風險與如何降低管理純損風險的代理成本(反而對於風險的worry and fear > 老闆與財務主管；其實風險管理人員真正worry and fear不是各種意外事故的可能性，而是出事之後被無感/不用心的老闆與財務主管當成代罪羔羊，自己的績效獎金遭受池魚之殃)。

 

但對於投資人而言，其實最大的風險是資訊不對稱(=代理成本)，而非該公司的風險管理(=不要買到地雷股&跟大盤對作買在高點/賣在低點)；換句話說，投資人自己的風險管理成本就是：要看得懂財報+管控好自己內心的貪婪與恐懼+資金運用。

 

 

風險管理基礎理論

https://nccur.lib.nccu.edu.tw/bitstream/140.119/34096/8/35802108.pdf

摘錄：

風險的衡量與表達

1.不確定性(Uncertainty)：不清楚未來的情況如何發展

2.遭受損失的機率(Chance of Loss)

3.實際與預期結果間的差異(Variance)

 

風險有兩種

1.純損風險(Pure Risk)：只有損失沒有獲益機會，如遭遇意外事故的直接損失與間接的憂慮(fear and worry)

2.投機風險(Speculative Risk)：賭博、投資

 

風險管理的成本也有兩種

有形- 相關經濟資源與成本費用

無形- 對於不確定的擔憂(在貪婪與恐懼之間擺盪)

 

Barlow D.將風險(有形)成本分成以下四類(損益表觀點)

Douglas Barlow, a former president of the Risk and Insurance Management Society, (RIMS) and a former risk manager for Canada’s Massey-Furguson Ltd. In 1962 he proposed the concept of the Cost-of Risk as a useful measurement device for reporting the results of the risk and insurance function to senior management.

Mr Barlow defined the cost of risk to be the sum of the costs of:

• Net insurance premiums,保險費用

• Unreimbursed losses (ie retained costs), 自負額+自我保險所提撥的損失準備金

• Risk control costs, 風險管控的成本與費用(工程建置)

• Administrative expenses. 管理費用(包含行政費用與人員薪資)

相對沒考慮到以上費用支出的稅盾(抵稅效益)

 

風險管理的效益

1.減災與減少重大損失

2.降低相關人員對於純損風險的焦慮

3.避免發生營運中斷

4.良好形象，讓客戶供應商願意交易、債權人與股東願意投資、員工安心工作

 

 

風險管理的流程

風險的辨識

靜態分析

1.列舉法(通常是相關部門代表)

2.調查法(請現場基層人員針對各作業細節列舉)

3.報表分析(≒財報分析)

4.作業流程分析(≒作業觀察)

5.實地勘查(通常針對的各土木工程建設，管線、軌道、隧道、橋樑…)

6.問卷調查(=有個絕對的基準/semi/FM/NFPA)

7.損失分析(用過去經驗推估未來)

 

動態分析

1.品質管制系統(=蕭華德的品質管制圖，看是系統變異還是特殊變異)

2.即時監控系統(e.g., CCTV/GD/Smoke Detector/VESDA…)

3.管理資訊系統(=把各種主被動或領先落後指標儀表化)

4.複檢制衡系統(=內控內稽)

5.環境分析(SWOT+SPELT)

6.專家診斷

風險的辨識要能夠兼顧橫斷面與縱斷面，乃至於因應不同類型的風險採取不同的辨識工具方法；最怕的反而是那種混雜在一起看似完備但卻漏洞百出出那種.. e.g., 請各單位詳列出各種危害，然後再依據嚴重度與發生機率給予平等的那種風險矩陣….

 

風險的衡量

分析頻率

看單位時間內的損失頻率(Loss Frequency)=>波松或二項式分配

 

分析嚴重度

看損失嚴重度與幅度(Loss Severity)，從保險的觀點又可再區分以下兩者

1.最大可能損失(Maximum Possible Lost, MPL )：

可能性較小，損失較大/未預期，主觀(最悲觀)認定

2.最大預期損失(Maximum Probable Lost, PML)：

可能性較高，損失相對較小/可預期，相對客觀認定

 

http://www.insop.org.tw/resources/forum/20140405.pdf

摘錄

Maximum Possible Loss

此種損失大多在「不正常且不合理之狀況下」所產生（參閱 Rubin,H.W.：Dictionary of Insurance Terms,1991,P.247）。例如，在一年三百六十五天中，自動灑水設備在三百六十四天均處於正常運轉狀況，惟獨在僅有一天失靈時，恰巧又發生火災無法適時滅火，造成無可彌補之損失。

Maximum Probable Loss

此種損失大多在「正常且合理狀況下」所產生。如以上述為例，此種損失係在自動灑水設備處於一年三百六十四天正常運轉時，所發生火災之損失。

 

 

 

Chapter 2 多元的風險理論

2-1 風險理論三大流派

風險概念由來已久，有其一套理論，但對其核心要素，各學科領域間，有爭論，也就形成不同的流派。這主要分成三大流派：

 

1.客觀理論(數理模型)

客觀風險理論主要見諸於經濟財務、保險精算、安全工程、毒物流行病學等領域。

現實主義、價值中立、理性假設與實證論是其基本主張與哲學基礎。對風險的計算，在這些領域間較有共識的數學公式表達。

 

2.主觀理論(心理認知)

風險心理理論即主觀風險理論，同樣採用實證埨，但採用有限理性 （Bounded Rationality）假設。其次，風險心理理論對風險的看法，採多元面向，也就是會包括心理對風險的感知（Perception）層面。最後，風險心理理論雖也採現實主義哲學，但不太堅持價值中立，有時會採用涉及價值的觀點。另一方面，問題建構方式與客觀風險理論相同，不同的是，著重主觀風險測量及與參考點（Reference Point）比較後的「損失」概念 ，與風險態度及行為改變的問題。

 

3. 建構理論(脈絡鑲嵌)

風險的建構理論採後實證論為哲學基礎，見諸於社會學、文化人類學、哲學等學科領域，採相對主義，問題建構方式完全與前兩種理論不同，主要是探討風險如何由社會文化條件決定的過程，主張風險是群生（指團體成員的相互預期）價值概念。該理論又可分成風險的文化建構理論、風險統治理論與風險社會理論。

 

客觀風險理論學派是主流且獨霸風險學術領域；另一個是主觀風險理論學派，也是風險心理理論學派；風險建構理論（The Construction Theory of Risk）學派是一九八○年代後，興起的新興學派。這三大流派間，對風險理論的三項核心要素，也就是如何衡量不確定？不確定的後果包括哪些？風險的真實性（Reality） 如何？各有不同看法。

 

第一種把風險視為”客觀”的觀點，試圖透過統計與數理模型估計不確定性的大小、後果嚴重程度，所以很常見到一些統計或數理模型與狂人

而「客觀」與「統計」背後的涵義與假設是Independent and identically distributed, iid

換言之不符合iid的風險類型，沒有辦法運用統計模式或機率函數來”客觀”表達與”理性”估計

e.g., 長尾類型的黑天鵝風險、蓄意存心的惡意破壞、市場與商場上的互動(爾虞我詐)

 

現在回頭想想，鄙人好像不該偏激批判職衛大老立意良善卻逆行倒施(太專業與學理的東西制定成法規，走鐘歪樓與醜態窘境百出是必然)

https://eshmanager.blogspot.com/2016/08/blog-post_27.html

 

 

第二種 把風險視為”主觀” 可謂是相對更健康與進步的觀點（相對於唯統計模式與機率分配是問）

一樣米養百種人，不同的人有不同的意識形態&對於何謂”真實”有不同的詮釋解讀，遑論對於抽象風險的看法

認知到人的理性有限(=不理性)，判斷容易受到各種框架的誤導

Daniel Kahneman的展望理論與快思慢想，算是徹底打臉與推翻所謂”理性”

https://eshmanager.blogspot.com/2015/11/blog-post.html

 

可惜工安這個領域中Heinrich的1:29:300乃至於3E的毒太深，要不是中猴與組織文化大革命那種的行為安全，要不則是不知所云安全文化與安全氣候SEM量表

 

第三種 建構理論

算是透過社會學的視角來看組織集體的鄉愿與上下的交賊，對於信仰第一種客觀風險理論的人而言，這種社會學的著作可謂不知所云(難有交集/無法理解)

 

例如以下文章

https://twstreetcorner.org/2021/03/09/%E9%9D%88%E5%B7%A7%E7%9A%84%E6%89%8B%E8%88%87%E5%8F%B0%E5%BC%8F%E7%AE%A1%E7%90%86%EF%BC%9A%E4%B8%80%E5%A0%B4%E5%A2%A8%E8%A5%BF%E5%93%A5%E9%82%8A%E5%A2%83%E5%B7%A5%E5%BB%A0%E5%85%A7%E7%9A%84%E5%8B%9E/  

摘錄：

資方所制定的工作規範並不能風行草偃般的在車間內強制執行，工人們雖然對於這些工作規範心知肚明，但這不表示他們對於這些工作規範會逆來順受。在日常的車間中，大部分被認為不危及工作安全的規範通常都是被忽視，即使是墨國的部門經理來到車間時，也不會刻意的要求人們遵守那些規矩。因此，總經理和中國幹部們口中那種嚴謹有序、軍事化管理的車間氛圍其實就只存在於他們的想像，以及當他們很偶爾在車間中出現時，才會短暫的出現。

 

結論

1.客觀理論看冰山浮出水面的一角(會有黑天鵝眼盲=忽視各種交互作用)

濫用統計模式或機率分配陳述，有時是造業與自欺欺人(越覺得不會發生的，越會發生)

 

2.主觀理論看當事人的心理認知與決策，人可以去做自己想做的事，可是你沒有辦法決定你想做的事情或注意到的地方是什麼？

願賭服輸+認命&認清人的渺小侷限=>不要為自己無法預測或掌控制的挫敗懊悔(人天生會犯錯)

 

3.建構理論看冰山下的脈絡與演進(是一種詮釋而非解釋，是一種說明而非證明)

關照蝴蝶效應與集體的鄉愿交賊所醞釀出的黑天鵝

 

 

 

Chapter 3 風險與風險管理的涵義

3-1 風險的定義與相關名詞

影響達成目標的事件與可能情勢變化

 

英文Risk的字源，源自於法文Risque: 航行於危嵦之間(=冒險+機會)

風險源(e.g., 開車騎車上下班)=>風險事件(e.g., 車禍)=>損失結果(e..g, 受傷住院、死亡…)

風險源(e.g., 不懂法律、不具備危害認知)=>風險事件(e.g., 被告、發生事故)=>損失結果(e..g, 財產損失、人命傷亡+法律責任…)

 

 

3-2 風險的類別

依後果(是否有獲利機會)區分

1.純損風險(Pure Risk=Hazard Risk)

2.投機風險(Speculative Risk=Financial Risk)

理論上純損風險有害無益，應該越低越好，實際上純損風險的預防要耗費心力與資源，少耗費一些心力與資源=獲利機會

e.g., 人資考慮人事薪資成本，希望用最便宜的人；採購只考慮價格/不考具價值，因此組織挖坑與種下地雷給自己跳。投機風險，好歹當事人還知道自己在投機，而純損風險是當事人以為不存在或視而不見！

 

依總體或個體區分

1.系統性風險(systemic risk)

e..g, 保險講的基本風險：天災、地震、颱風

總體市場環境、政治、經濟、法律、通膨、氣候變遷等風險

2.非系統性風險(non-systemic risk)

保險的特定風險，e..g, 失火、遇劫、車禍

 

企業風險管理架構

1.策略風險=>完全無法適用傳統風險管理作法

2.財務風險(e.g., 股價、利率與匯率)

3.營運風險：來自人員與管理機制的疏忽

4.危害風險

 

依曝險標的來區分

1.資產：包含不動產、動產、存貨、土地、房屋與無形資產(商譽、專利與著作權)

2.財務資產：債券、股票、期貨、比特幣

3.責任：法人或自然人在法律上的侵權或違約，導致第三人權益受損

4.人命健康：傷病死亡

 

 

3-3 風險管理是什麼？

設法管控未來不確定性的一種過程與相關機制

 

COSO的概念與架構

1.管理風險的PDCA

2.以財務為導向

3.安全管理、危機管理、保險、營運持續，只是以上大架構的一部份

4.對於公司而言，風險管理就是提昇公司價值；對於政府機構而言，就是提昇公共價值。

5.風險管理=辨識風險=>評估風險=>因應風險=>評估績效+溝通

6.風險管理=保險(可保風險)+所有純損風險(=傳統風險管理)+金融風險管理+公司風險治理

 

近代風險管理簡史

1956正式出現風險管理詞彙

1960年代保險風險管理興起、第一本風險管理雜誌在美國發行

1970年代RIMS學會成立，金融風險管理興起

https://www.rims.org/

1980年代，SRA學會成立，公共風險管理興起

https://www.sra.org/

1990年代COSO ERM架構出現，VaR工具出現+Basel協定(針對金融業)

2000年代 Solvency II(針對保險業)/IFRSs出現

https://www.tii.org.tw/tii/research/research06/000008.html

 

本書採取COSO/財務管理的角度來看風險管理

 

3-4 風險管理的基本過程

1.辨識風險

 

2.評估風險

 

3.因應風險

3-1控制風險

e.g., 消防設施、增加管理流程或者買選擇權

3-2 風險融資(Risk Financing)/ 理財

e.g., 金融衍生商品、保險、發行巨災債券 等另類風險理財商品(Alternative Risk Transfer, ART) http://pages.stern.nyu.edu/~igiddy/articles/alternative_risk_transfer.htm

3-3 風險溝通交流

讓利害關係人對於風險感知不要產生過大差異

 

4.評估績效

配合內稽內控與各種主被動指標進行

 

 

 

Chapter 4 認識風險管理國際標準與成熟指標

風險管理國際標準

ISO-31000

https://www.iso.org/iso-31000-risk-management.html

 

COSO 2017

https://www.coso.org/Documents/COSO-ERM-Presentation-September-2017.pdf

 

BSI 31100

https://shop.bsigroup.com/ProductDetail?pid=000000000030228064

 

FERMA2002

https://www.ferma.eu/app/uploads/2011/11/a-risk-management-standard-english-version.pdf

 

各門派風險管理的架構與邏輯

https://eshmanager.blogspot.com/2010/09/enterprise-risk-management-3.html

 

 

風險管理成熟度指標

AON Risk Maturity Index

https://www.aon.com/risk-maturity-index

 

IRM Risk Management Maturity Model

http://www.iirmglobal.com/risk-maturity-assessment/risk-management-maturity-model

 

RM Roadmap

https://eshmanager.blogspot.com/2016/04/rmroad-map.html#more

 

 

 

Chapter 5 風險管理的基礎建設

5-1 風險管理文化

IRM Risk Culture

https://www.theirm.org/what-we-say/thought-leadership/risk-culture/

https://www.theirm.org/media/7230/risk-culture-resources-for-practitioners.pdf

 

S&P Risk Culture Standard

https://www.spglobal.com/ratings/en/products-benefits/products/enterprise-risk-management-evaluations

 

大致包含幾個構面

1.領導：倫理、如何溝通與處理壞消息，乃至於獎懲依據

2.決策：鼓勵承擔適當的風險、處罰不當的冒險行為，從錯誤中記取教訓/對於意料中的意外無須責怪或獵巫

3.風險治理：相關ownership、責任與透明度

4.風險資源能力：預算資源、管理技術

 

文化三要素：信念、規範與價值判斷- 涉及真假、對錯與價值選擇

https://blog.xuite.net/kc6191/study/15405418

 

 

5-2 風險管理資訊系統

https://wiki.mbalib.com/zh-tw/%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86%E4%BF%A1%E6%81%AF%E7%B3%BB%E7%BB%9F

 

IT Governance Institute IT Control Objectives for Sarbanes-Oxley

http://www.aufbewahrungspflicht.de/IKSICS/DOKS/ITCO-SOAResearch2.pdf

 

CobiT Control Objectives for Information and Related Technology

https://en.wikipedia.org/wiki/COBIT

http://www.free-management-ebooks.com/news/cobit/

 

 

5-3 風險管理組織架構與職責

過去風險管理組織通常隸屬財務系統，有CFO兼管

現在由於公司治理的要求，獨立的風險管理部門由CRO掌管，對董事會負責

 

風險管理委員會職責

1.訂定風險管理政策、架構、組織功能，建立管理標準

2.執行董事會決策、定期審視風險管理機制之發展、建置與執行效能

3.協助與監督各部門推行風險管理活動

4.視環境改變，調整風險限額配置與承擔方式

5.協調與整合跨部門的風險管理互動與溝通

 

風險管理部門的職責

1.負責日常風險之監控、衡量與評估等執行層面之事務(各相關單位應設有風險管理事宜的窗口人員，富足所屬風險管理業務的執行與報告)

2-1.擬定風險管理政策與協助執行

2-1.依據風險胃納(Risk Appetite)或風險忍受度(Risk Tolerance)擬訂風險限額

2-3.依據各單位提共資訊與狀況，協調各單位確保風險胃納(Risk Appetite)或風險忍受度(Risk Tolerance) 

2-4.定期提出風險管理報告

2-5.定期監控各單位之風險胃納(Risk Appetite)或風險忍受度(Risk Tolerance)=風險限額與使用狀況

2-6.協助進行壓力或模擬測試

2-7.必要時進行回溯測試 http://nccur.lib.nccu.edu.tw/bitstream/140.119/33986/9/35200209.pdf

2-8.其他風險管理與主管交辦事項

3.應董事會或風險管理委員會的授權，處理違反風險限額之事宜。

 

一般科技業風險管理部門人員配置：

1.保險規劃+理賠管理

2.損防工程

3.內控內稽

4.財務分析

5.其他(IT 或供應鍊)

https://eshmanager.blogspot.com/2010/11/from-isep-to-rm.html#more

 

 

5-4 大數據與資料分析

呵，這部分我的認知與概念大概比作者好一些些

https://eshmanager.blogspot.com/2013/09/data-mining.html

https://eshmanager.blogspot.com/search?q=text+mining

https://eshmanager.blogspot.com/2020/12/15.html

 

 

5-5 人員的風險管理能力

風險長的由來

1970年代，財務風險管理興起，在銀行與金融業

史上第一位CFO：James Lam in GE Capital’s Risk Management Unit

https://en.wikipedia.org/wiki/James_Lam

呵，公司網頁

https://jameslam.com/

 

風險長的職責

1.規劃與購買保險

2.辨認與監控風險

3.設立風險管理制度

4.風險管理教育訓練

5.確保滿足法規與利害關係人要求(compliance)

6.規劃風險與融資方案

7.公關與遊說..

 

呵呵，難怪風險長比較常見於金融業與能源（投機）產業…