集中風險

集中風險（Concentration Risk）是指企業或組織的營運、獲利或資產，因過度曝險於單一或少數的個體、群體或因素，而產生的潛在損失。此概念源於金融業對單一借款人或產業的曝險管理，現已廣泛應用於供應鏈與資訊科技的營運韌性領域。例如，歐盟的《數位營運韌性法案》（DORA）第29條明確要求金融實體必須評估並管理來自關鍵ICT第三方服務供應商的集中風險，特別是當多家金融機構同時依賴同一家雲端服務巨頭時。這與「供應商風險」不同，後者關注單一供應商的履約能力，而集中風險更側重於因「缺乏替代方案」所形成的系統性脆弱結構，即使該單一供應商本身非常可靠，過度依賴本身就是一種風險。

企業可透過以下三步驟將集中風險管理落地： 1. **識別與盤點**：首先，全面盤點關鍵業務流程所依賴的所有第三方供應商（包含軟硬體、雲端服務、顧問等），並利用「業務衝擊分析」（BIA）識別出單點故障（Single Point of Failure），例如超過70%的核心系統皆運行於單一雲端平台。 2. **評估與量化**：設定內部可接受的風險容忍度與集中度閾值。例如，規定單一供應商的合約總值不得超過年度採購預算的30%。利用供應商依賴性矩陣等工具，量化各供應商失效對營運的衝擊程度與可能性。 3. **監控與緩釋**：建立常態性的監控機制，定期審視集中度指標。緩釋措施包括：發展第二供應商來源、要求關鍵供應商提交並審查其營運持續計畫、制定詳盡的退場計畫（Exit Plan）。台灣某大型金控為符合DORA規範，已啟動「多雲策略」，將關鍵應用分散至兩家以上雲端供應商，預期可將因單一雲端業者服務中斷造成的風險事件機率降低40%。

台灣企業在導入集中風險管理時，常面臨三大挑戰： 1. **供應鏈慣性與生態系鎖定**：特別是高科技製造業，關鍵技術與零組件常由少數國際大廠壟斷，難以在短期內找到替代方案，形成「自願性」的集中風險。 2. **中小企業議價能力不足**：台灣多數中小企業在與大型雲端服務商或軟體巨頭談判時，缺乏足夠的議價能力去要求客製化的韌性條款或取得其完整的營運持續計畫，導致風險透明度不足。 3. **數據可視性與N層風險**：企業往往僅能管理第一層供應商，但集中風險可能隱藏在更深層的供應鏈中（即供應商的供應商），缺乏有效的工具與數據來穿透分析。 **對策**：針對挑戰一，應從新產品或新專案開始規劃備援方案，逐步導入第二供應商。針對挑戰二，可透過產業公協會集體議價，或採用標準化、可攜性高的技術架構以降低轉換成本。針對挑戰三，應在供應商合約中要求其揭露關鍵下游廠商，並導入供應鏈風險管理平台。優先行動項目為在六個月內完成對前20大關鍵供應商的集中度分析。

積穗科研股份有限公司專注台灣企業集中風險相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact