E
Enterprise Risk Management 企業風險管理
Released已發布 methodology methodology
Enterprise risk management (ERM) framework layer — integrates COSO ERM 2017 (five components, 20 principles), ISO 31000, three-lines model, risk appetite, risk heatmap, and key risk indicators (KRI) into a complete governance playbook covering structure through culture. Use for ERM implementation, risk-system build, risk mapping, risk-appetite statement drafting, three-lines setup, CRO role design, or Taiwan FSC corporate-governance evaluation response. Triggers: 『ERM 導入』『風險管理框架』『COSO』『風險地圖』『風險胃納』『KRI』『CRO 職責』『三道防線』『風險委員會』『ISO 31000』『風險熱圖』『風險治理』. For 師大/政大/陽交 EMBA risk-management/governance/audit cases. Complements Asgard `algo-risk-*` (Altman Z, Benford, credit, VaR) with the framework/governance layer. 獨董挑選/董事會組成/IPO 治理: use `biz-corporate-governance`.
EMBA 技能:企業風險管理框架與實務應用(COSO ERM、ISO 31000、三道防線、風險胃納、KRI)。
定位
為什麼 EMBA 要學 ERM 框架
台灣企業風險管理常見兩種極端:
- 過度工具化:只做財務風險 VaR、信用評分,但沒有治理結構
- 過度形式化:有風險委員會但只開會、沒風險胃納、沒 KRI 觸發機制
本 skill 拉回「框架+治理」層,整合 COSO ERM 2017 與 ISO 31000,讓學員能:
- 分層診斷(治理→文化→流程→工具)
- 設計可執行的風險治理結構
- 避免「有報表沒行動」的 ERM 陷阱
與相近 Asgard skill 的邊界
algo-risk-altman-z— 財務危機預測(單一量化工具)algo-risk-benford— 舞弊偵測數學algo-risk-credit— 信用風險評分algo-risk-var— 市場風險 VaRgrad-governance— 公司治理學理- 本 skill — 風險管理整合框架,協調治理結構、風險胃納、文化、工具四層
何時使用
觸發條件
- 公司要導入 ERM 或重整現有風險管理
- 金管會公司治理評鑑、ESG 風險揭露
- 設立風險管理委員會或風險長(CRO)職位
- 三道防線重建(尤其 IPO 前或金融業)
- 家族企業職業化、大型專案風險治理
- 企業危機後的「風險治理體檢」
不適用
- 單一風險量化計算 → Asgard
algo-risk-* - 危機事件的即時溝通 → Asgard
pr-crisis-communication、pr-crisis-response - ESG 永續揭露 → 本 repo
biz-net-zero-transition、Asgardgrad-sustainability - 合約法律風險 → Asgard
law-contract、law-gdpr-pdpa
IRON LAW — ERM 三條鐵律
IRON LAW 1:ERM 不是風險清單,是決策品質
ERM 的終極目的不是列出 500 條風險 tracking,
而是讓每個重大決策都「在可承受範圍內追求適當報酬」。
沒連結到策略與決策的 ERM = 高級稽核,不是 ERM。
IRON LAW 2:風險胃納(Risk Appetite)是董事會的事
「公司願意承擔多少風險以追求報酬」必須由董事會定義。
管理層只能在胃納範圍內決策。
沒有明文胃納書的 ERM = 盲人開車,風險文化無從建立。
IRON LAW 3:三道防線各司其職、互不取代
第一道(業務單位)擁有並管理風險;
第二道(風險/合規)監督方法、協調政策;
第三道(內部稽核)獨立驗證前兩道有效性。
最常見的失敗:第二道取代第一道(風險部變成風險保母)
或 第三道與第二道合署(失去獨立性)。
Rationalization Table — 當 Claude 想「本案例外」時,先自問
| 可能想 | 但 Iron Law 仍適用,因為 |
|---|---|
| 「列出 50 條風險熱圖就算 ERM 上線」 | 熱圖只是中間產物;必須連回策略與重大決策,否則只是「高級稽核」 |
| 「管理層可以先訂一版風險胃納,董事會日後追認」 | 胃納書是董事會責任不可下放;必須標註「未經董事會通過 = 無治理效力」 |
| 「小公司讓風管部兼任內稽以節省人力」 | 第二道取代第三道 = 失去獨立性;即使人力合一,彙報線必須分離(內稽向審計委員會) |
框架一:COSO ERM 2017(五要素、二十原則)
COSO 2017 版將 ERM 與策略、績效深度整合。五大要素:
┌─────────────────────────────────────────────┐
│ 要素 5:資訊、溝通與報告 │
│ Risk Information Governance │
├─────────────────────────────────────────────┤
│ 要素 4:檢視與修訂 │
│ Review and Revision │
├─────────────────────────────────────────────┤
│ 要素 3:績效(核心) │
│ Performance — 風險辨識、評估、選擇回應 │
├─────────────────────────────────────────────┤
│ 要素 2:策略與目標設定 │
│ Strategy & Objective-Setting │
├─────────────────────────────────────────────┤
│ 要素 1:治理與文化 │
│ Governance & Culture │
└─────────────────────────────────────────────┘
二十條原則摘要(依要素分組)
要素 1:治理與文化(原則 1–5)
- 執行董事會風險監督職責
- 建立營運結構
- 定義預期文化
- 展現核心價值承諾
- 吸引、發展並留任具能力人員
要素 2:策略與目標設定(原則 6–9) 6. 分析業務背景 7. 定義風險胃納 8. 評估替代策略 9. 形成業務目標
要素 3:績效(原則 10–14) 10. 辨識風險 11. 評估風險嚴重度 12. 排序風險優先序 13. 制定風險回應 14. 發展組合觀點
要素 4:檢視與修訂(原則 15–17) 15. 評估重大變動 16. 檢視風險與績效 17. 持續改進 ERM
要素 5:資訊、溝通與報告(原則 18–20) 18. 善用資訊與技術 19. 溝通風險資訊 20. 向利害關係人報告
框架二:三道防線模型(IIA 2020 版)
┌───────────────────────────────────────────────┐
│ 治理機構(董事會 / 審計委員會 / 風險委員會) │
│ 監督、課責、最終風險責任 │
└───────────────────────────────────────────────┘
↑ 報告 ↑ 報告 ↑ 報告
┌──────────────┐ ┌──────────────┐ ┌──────────────┐
│ 第一道防線 │ │ 第二道防線 │ │ 第三道防線 │
│ 業務/營運 │ │ 風險/合規 │ │ 內部稽核 │
│ │ │ 財務控管 │ │ │
│ 擁有與管理 │ │ 提供方法論 │ │ 獨立驗證 │
│ 日常風險 │ │ 監督與挑戰 │ │ 有效性 │
└──────────────┘ └──────────────┘ └──────────────┘
2020 年新版變化
- 從「Three Lines of Defense」更名為「Three Lines Model」(強調協作而非對抗)
- 新增「外部保證提供者」(會計師、監管機關)
- 強調「治理」一詞,明確董事會責任
台灣實務常見失衡
- 只有第一道與第三道(缺第二道風險/合規)
- 第二道權力過大(變相決策、取代第一道)
- 第三道向 CFO 而非審計委員會報告(失去獨立性)
框架三:風險胃納(Risk Appetite)
三層架構
Risk Appetite 風險胃納(策略層)
↓ 具體化
Risk Tolerance 風險容忍度(績效層)
↓ 量化
Risk Limits 風險限額(營運層)
範例(製造業)
- Risk Appetite(董事會層):我們願意承擔新興市場擴張帶來的匯率與政治風險,但絕不承擔可能危及核心產品供應穩定的生產風險。
- Risk Tolerance(高管層):單一市場營收 ≤ 15%、外匯未避險部位 ≤ 季度營收的 5%。
- Risk Limits(營運層):匯率部位 daily VaR ≤ USD 200,000;單一供應商採購比例 ≤ 30%。
風險胃納書(Risk Appetite Statement)核心條款
- 前言:公司願景、風險哲學(保守/中庸/積極)
- 策略風險胃納:主要策略面的可承擔範圍
- 財務風險胃納:資本充足、流動性、獲利波動
- 營運風險胃納:供應鏈、資訊、人員
- 合規與聲譽:合規零容忍 vs. 一般合規差距處理
- ESG 相關:氣候、永續、社會議題
- 量化指標:關鍵 KRI 與紅黃綠門檻
- 檢視與修訂:每年或重大變動時
框架四:風險辨識與熱圖
風險分類(建議採用 COSO 五大類 + 在地項目)
| 類別 | 子項 |
|---|---|
| 策略風險 | 競爭、併購、創新、商業模式 |
| 營運風險 | 供應鏈、品質、資安、人員、流程 |
| 財務風險 | 流動性、匯率、利率、信用、稅務 |
| 合規風險 | 法規變動、反壟斷、勞動、個資 |
| 聲譽/ESG 風險 | 品牌、媒體、氣候、社會議題 |
風險熱圖(Heatmap)
兩軸:發生可能性(Likelihood)× 衝擊(Impact)
衝擊 ↑
│ 黃 │ 橙 │ 紅 │ 紅 │
│ 黃 │ 橙 │ 橙 │ 紅 │
│ 綠 │ 黃 │ 橙 │ 橙 │
│ 綠 │ 綠 │ 黃 │ 黃 │
│ 綠 │ 綠 │ 綠 │ 黃 │
└───────────────────→ 可能性
五級制常用尺度
- 可能性:極低(<5%)、低、中、高、極高(>80%)
- 衝擊:可忽略、輕微、中等、重大、災難級
風險回應四選一(ARTA)
- Avoid(迴避):退出該業務
- Reduce(降低):控制措施
- Transfer(轉移):保險、外包、避險
- Accept(承擔):在胃納內接受
選擇邏輯
- 紅:優先 Avoid / Reduce
- 橙:Reduce / Transfer
- 黃:Reduce / Accept
- 綠:Accept(但持續監控)
框架五:關鍵風險指標(KRI)
KRI vs. KPI 的差異
| KPI | KRI |
|---|---|
| 衡量過去績效 | 預警未來風險 |
| 落後指標為主 | 領先指標為主 |
| 成功衡量 | 偏離警訊 |
| 部門層 | 跨部門整合 |
KRI 設計五要素
- 指標定義:清楚可計算
- 資料來源:可自動化取得
- 門檻值:綠/黃/紅三段
- 回應機制:觸發何種行動
- 負責人:監測者與決策者
範例(供應鏈風險 KRI)
| 指標 | 綠 | 黃 | 紅 | 回應 |
|---|---|---|---|---|
| 單一供應商依賴 | < 25% | 25–40% | > 40% | 啟動多元化計畫 |
| 庫存天數 | 45–60 | 30–45 | < 30 | 緊急採購 |
| 交貨準時率 | > 98% | 95–98% | < 95% | 供應商稽核 |
框架六:風險文化(Risk Culture)
四象限診斷
風險透明度
↑
高透明度 │ 高透明度
低當責 │ 高當責
─────────────┼──────────→ 風險當責度
低透明度 │ 低透明度
低當責 │ 高當責
↓
健康狀態:高透明度 + 高當責
常見病態
- 高透明度 + 低當責:「大家都知道有問題但沒人負責」
- 低透明度 + 高當責:「出事才找戰犯,平常不敢說」
- 雙低:風險文化空白,最危險
文化檢核問句
- 員工多快會揭露自己犯的錯?
- 壞消息是否能直達董事會?
- 風險長與 CEO 是否平等對話?
- 內稽是否能挑戰業務單位而不被報復?
- 風險議題在董事會佔多少討論時間?
ERM 導入工作流程
根據個案性質跳過不適用步驟;以下為完整候選路徑,非必跑清單。
Step 1:現況盤點(1–2 個月)
- 治理結構(委員會、CRO)
- 現有風險管理活動
- 三道防線清點
- 已知重大風險
Step 2:風險胃納設計(2–3 個月)
- 董事會工作坊
- 策略對齊
- 量化 KRI 門檻
- 胃納書正式通過
Step 3:風險辨識與熱圖(3–6 個月)
- 跨部門工作坊
- 風險分類與評估
- 熱圖繪製
- 前 10–15 條主要風險優先處理
Step 4:風險回應與 KRI(6–9 個月)
- 每條主要風險的 ARTA 選擇
- KRI 設計與監測機制
- 報告模板
Step 5:整合與治理(9–12 個月)
- 納入策略規劃流程
- 納入績效考核
- 董事會定期檢視節奏
- 文化活動(訓練、溝通)
Step 6:持續改進(12 個月以後)
- 年度胃納書檢視
- 季度風險報告
- 三道防線協作會議
- ERM 成熟度評估(每 2–3 年)
Output Format輸出格式
# ERM 診斷與導入建議:{公司名稱/個案}
一、現況盤點
- 治理結構(董事會、委員會、CRO)
- 三道防線現況
- 已知重大風險
- 與 COSO 2017 原則對照
二、核心缺口診斷
- 治理層缺口
- 胃納層缺口
- 流程層缺口
- 文化層缺口
三、風險胃納建議
- 策略胃納
- 財務胃納
- 營運胃納
- 合規/聲譽胃納
- 關鍵量化門檻
四、風險熱圖
- 辨識前 10–15 條主要風險
- 分類、評估、熱圖定位
- 風險回應選擇
五、KRI 架構
- 依分類設計 15–25 個 KRI
- 門檻、資料源、回應機制
- 自動化與儀表板
六、三道防線重建
- 各道責任與權限
- 協作機制
- 獨立性保障
七、文化與組織
- CRO 角色與彙報線
- 風險委員會組成
- 訓練與溝通
九、風險與限制
- 資源配置限制
- 文化阻力
- 法遵框架變動
Examples範例
正確應用
情境:某上市電子製造業(營收 120 億、員工 1,200 人),金管會公司治理評鑑連續兩年未達 20%,新任獨董要求全面整頓風險管理體系。
診斷:
- 治理:有風管委員會但一年開一次、CRO 由 CFO 兼任(獨立性不足)
- 胃納:無明文胃納書
- 流程:各部門有零散風險清單、無整合熱圖
- 文化:壞消息到董事會被過濾、獨董曾提質疑被冷處理
- 三道防線:第一、三道存在,第二道空白
建議:
- 6 個月內:獨立 CRO、訂定胃納書草案、建風管會議每季例會
- 12 個月內:完成熱圖與 KRI、上線風險儀表板、跨部門工作坊
- 18 個月:年度報告與三道防線協作機制
- 搭配 Asgard
algo-risk-altman-z做財務危機量化警示
正確之處:六大框架覆蓋、時程合理、量化工具與治理框架整合。
錯誤應用
- 第一天推 ERM 系統採購 → 無治理結構,系統會閒置
- 把風險清單列 300 條 → 違反 IRON LAW 1,沒連結決策
- CRO 向 CFO 報告 → 違反三道防線獨立性
- 風險胃納交給管理層定 → 違反 IRON LAW 2,董事會責任無法下放
- 第二道取代第一道 → 違反 IRON LAW 3
Gotchas注意事項
- 金管會評鑑有更新:公司治理評鑑指標每年修訂,引用需確認最新版本(通常每年 4 月公告)
- CRO 不等於稽核長:CRO 屬第二道(設計與監督),稽核長屬第三道(獨立驗證),合署是重大失誤
- 風險胃納不等於零風險:「風險胃納為零」只適用於法遵、倫理與特定安全議題;整體為零 = 公司不做生意
- 熱圖的機率估計誤區:低機率/高衝擊事件(如 COVID、烏俄戰爭)易被忽略;需結合情境分析
- KRI 數量陷阱:太少(< 10)覆蓋不足、太多(> 50)追不動;中型企業 15–25 是甜蜜點
- ISO 31000 vs. COSO 差異:兩者理念相近但結構不同。台灣上市櫃以 COSO 為主(搭配金管會要求),ISO 多見於製造業與 ISO 認證需求
- ERM 成熟度是「爬樓梯」:Ad-hoc → Defined → Managed → Integrated → Optimized;跳級導入必失敗,需分階段
References參考資料
- COSO ERM 2017 五要素二十原則詳解 →
references/coso-erm-2017.md - 三道防線 2020 新版與台灣實務 →
references/three-lines-model.md - 風險胃納書模板與產業範例 →
references/risk-appetite-template.md - 台灣金管會公司治理評鑑與 ERM 要求 →
references/tw-governance-regulation.md - 師大/政大 EMBA 風險管理課程脈絡 →
references/emba-risk-courses.md - 延伸:Asgard
algo-risk-altman-z、algo-risk-benford、algo-risk-credit、algo-risk-var、grad-governance、本 repobiz-corporate-governance、biz-net-zero-transition
Tags標籤
ermrisk-managementcosoiso-31000governanceemba