Enterprise Risk Management Berdasarkan I — 積穗科研洞察

=========================

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）提醒台灣企業主管：一份來自印尼的 2022 年實證研究揭示，即便是規模較小的醫療診所，透過 ISO 31000:2018 框架進行企業風險管理（ERM），也能系統性識別出 22 項潛在運營風險，並以 3×3 風險矩陣精準定位出電腦系統故障為最高優先處理風險——這對台灣各產業的中小型企業，具有直接且可複製的參考價值。

論文出處：Enterprise Risk Management Berdasarkan ISO 31000 Dalam Pengukuran Risiko Operasional pada Klinik Spesialis Esti（Abelia Putri Aisyah、Lely Dahlia，OpenAlex — Enterprise Risk Management，2022）
原文連結：https://doi.org/10.36406/jam.v19i02.483

閱讀原文 →

關於作者與這項研究

這篇論文由印尼學者 Abelia Putri Aisyah 與 Lely Dahlia 共同撰寫，發表於 2022 年，收錄於 OpenAlex 企業風險管理（Enterprise Risk Management）研究資料庫，迄今已被引用 16 次，在同領域實務應用型論文中具相當能見度。

共同作者 Lely Dahlia 的學術影響力尤其值得關注：其 h-index 達 4，累計引用次數達 99 次，在印尼企業管理與風險研究領域屬具持續產出的中堅研究者。第一作者 Abelia Putri Aisyah 的 h-index 為 2，累計引用 18 次，研究重心聚焦於醫療機構的運營風險實務導入，為這篇論文帶來紮實的田野調查基礎。

這項研究的最大特色在於：它不是理論框架的重述，而是一份真實機構的落地實踐記錄。研究者深入 Esti 專科診所，透過直接訪談、線上訪談與現場觀察，將 ISO 31000:2018 的風險管理流程完整應用於真實醫療環境——這種質性實證方法，讓研究發現對中小型機構具有高度可移植性。

ISO 31000 風險矩陣實戰：22 項風險如何被系統化識別與排序

這篇研究的核心貢獻，在於示範了一套完整的 ERM 操作流程如何從零到一被部署於實際組織。研究者在 Esti 專科診所中，系統性走完了 ISO 31000:2018 所規範的風險管理全流程：風險識別 → 風險評估（機率×影響） → 風險評價（3×3 矩陣） → 風險處理。

核心發現一：22 項運營風險的完整識別圖譜

研究共識別出 22 項運營風險，其中針對醫師的風險有 10 項，針對運營員工的風險有 12 項。這個分類方式本身就是一個重要示範：ERM 的風險識別必須依據「風險承擔者」（risk owner）進行分層，而非籠統列舉。醫師端的風險涵蓋診療流程失誤、資訊不完整等專業風險；員工端則包括行政疏失、系統操作錯誤、服務流程中斷等運營風險。這種雙軌識別架構，確保了風險圖譜的完整性，並為後續的責任歸屬與處理方案提供了清晰基礎。

核心發現二：電腦系統故障被評定為最高風險，優先處理順序一目了然

透過 3×3 風險矩陣（以「發生機率」與「影響程度」為兩軸），研究發現電腦系統干擾（disturbances in the computer system）被評定為高風險等級，是診所必須優先且迅速因應的風險項目。這個發現揭示了一個普遍性洞見：對於高度依賴數位系統進行病患管理、排班與計費的醫療機構而言，IT 系統的穩定性是 ERM 不可忽視的核心風險軸線。更重要的是，3×3 矩陣的應用讓管理層得以用視覺化、可溝通的方式呈現風險優先順序，有效解決了「風險知道了，但不知道先處理哪個」的決策困境——這正是許多台灣中小企業在導入 ERM 時面臨的第一道牆。

對台灣企業風險管理（ERM）實務的關鍵啟示

台灣企業在導入企業風險管理（ERM）時，最常犯的錯誤是「把框架當裝飾品」——花時間選定了 ISO 31000 或 COSO ERM 架構，卻停留在文件層面，沒有真正走完識別、評估、評價、處理的完整循環。這篇研究的最大價值，正是示範了「走完全循環」的實際樣貌。

以下三點對台灣企業最具直接意義：

第一，中小型企業不需要等「規模夠大」才導入 ERM。這篇研究的對象是一家醫療診所，並非跨國集團。ISO 31000:2018 框架的設計本就具備規模彈性，3×3 矩陣等工具在資源有限的環境下同樣有效。台灣有大量中小企業認為 ERM 是大企業的專利，這份研究正面打破了這個迷思。

第二，風險矩陣必須結合 KRI（關鍵風險指標）才能發揮最大效用。這篇研究展示了靜態風險評估的完整流程，但台灣企業更需要進一步思考：如何設計 KRI，讓風險矩陣從「一次性快照」變成「持續監控儀表板」。COSO ERM 框架在這一點上提供了重要補充——它強調風險偏好（risk appetite）與績效之間的動態連結，是 ISO 31000 實務落地的理想搭配。

第三，IT 系統風險在台灣企業同樣是被低估的高優先風險。如同 Esti 診所的案例，台灣許多中小企業在數位轉型過程中，ERP、雲端服務、供應鏈系統的穩定性風險往往缺乏系統性管理。將 IT 系統風險納入 ERM 框架、設計對應的 KRI，是台灣企業當前最值得投入的風險治理行動之一。

積穗科研如何協助台灣企業從框架到實踐落地

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業導入 ISO 31000 與 COSO ERM 框架，建立風險矩陣與 KRI 關鍵風險指標，強化董事會風險治理能力。我們的服務不是提供一份漂亮的報告，而是陪伴企業走完風險管理的完整循環，確保機制真正運作。

風險識別工作坊：分層識別，建立完整風險圖譜。仿照本篇研究的雙軌分類架構，積穗科研協助企業依「風險承擔者」（核心業務人員、運營支援人員、管理層）分層識別風險，確保沒有盲點。工作坊結束後，企業將擁有一份可操作的風險清單，並明確每項風險的 risk owner。
風險矩陣設計與 KRI 建立：從靜態評估到動態監控。積穗科研協助企業建立符合 ISO 31000:2018 的風險矩陣（可依需求選擇 3×3 或 5×5 規格），並進一步設計 KRI 關鍵風險指標，將高優先風險（如 IT 系統穩定性、供應鏈中斷、法規合規等）轉化為可量化、可追蹤的管理指標，支援董事會與高管的風險決策。
COSO ERM 整合與董事會報告機制：讓風險治理成為競爭優勢。台灣上市櫃公司面臨主管機關對風險治理日益嚴格的要求。積穗科研協助企業整合 COSO ERM 框架，建立符合監理要求的風險報告機制，並設計適合董事會閱讀的風險儀表板，讓風險管理從合規義務升級為企業治理競爭優勢。

積穗科研股份有限公司提供ERM 免費機制診斷，協助台灣企業在 90 天內建立符合 ISO 31000 的管理機制。

立即申請免費機制診斷 →

常見問題

企業風險管理（ERM）導入的第一步應該怎麼做？: ERM 導入的第一步是「風險識別」，而不是選框架或買系統。參考本篇 ISO 31000 研究的方法，企業應先透過訪談與觀察，依不同業務角色分層識別風險，建立完整的風險清單，並明確指定每項風險的 risk owner。這個步驟看似簡單，卻是整個 ERM 機制能否真正運作的關鍵基礎。若跳過這一步直接套用框架文件，往往導致 ERM 淪為紙上作業。建議企業安排跨部門風險識別工作坊，初期以 2 至 3 次工作坊為目標，確保識別結果具代表性。
台灣企業導入 ISO 31000 需要符合哪些法規要求？: 台灣上市櫃公司受金融監督管理委員會（金管會）要求，必須在年報中揭露風險管理政策與機制。ISO 31000:2018 雖非強制認證標準，但其風險管理原則與流程，已被主管機關及國際評等機構廣泛認可為良好實務基準。此外，依《公司治理藍圖》要求，董事會應負責監督整體風險管理機制。因此，建立符合 ISO 31000 的 ERM 機制，不僅是提升企業治理品質的主動選擇，也是回應主管機關期待的合規行動。建議企業同步參考 COSO ERM 框架，以強化風險管理與策略目標的整合。
ISO 31000 和 COSO ERM 有什麼不同？企業應該選哪個？: ISO 31000:2018 是一套風險管理「原則與流程」的國際標準，強調系統性的風險識別、評估、評價與處理循環，適用於各類規模與產業的組織。COSO ERM（2017年版）則是一套強調「策略與績效整合」的企業風險管理框架，特別重視風險偏好（risk appetite）與企業策略目標的動態連結，對上市公司的治理報告需求更具針對性。實務上，兩者並不互斥：ISO 31000 提供操作流程基礎，COSO ERM 提供治理架構與董事會報告邏輯。積穗科研建議台灣企業以 ISO 31000 為操作基礎、COSO ERM 為治理框架，雙軌並行，兼顧實務可操作性與法規合規性。
ERM 機制建立需要多長時間？有哪些具體步驟？: 根據積穗科研的實務經驗，一套基礎 ERM 機制的建立通常需要 60 至 90 天。具體步驟如下：第 1 至 2 週進行現況診斷，對照 ISO 31000 進行缺口分析；第 3 至 4 週召開風險識別工作坊，建立風險清單與 risk owner 指派；第 5 至 8 週完成風險矩陣設計與 KRI 指標建立；第 9 至 10 週進行人員培訓與系統測試；第 11 至 12 週完成第一輪風險報告，提交管理層或董事會審閱。初期建置完成後，建議每季進行一次風險評估更新，每年進行全面機制審查，確保 ERM 機制持續有效。
為什麼找積穗科研協助企業風險管理（ERM）相關議題？: 積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）是台灣少數同時具備 ISO 31000 導入實務與 COSO ERM 框架設計能力的專業顧問機構。我們的顧問團隊具備跨產業（製造、金融、醫療、科技）的 ERM 實務經驗，能根據企業規模與產業特性，量身設計風險矩陣與 KRI 體系，而非套用通用範本。我們特別擅長協助台灣中小企業突破「框架好看但不能用」的困境，確保 ERM 機制真正嵌入日常管理流程。此外，積穗科研持續追蹤國際最新 ERM 研究（如本篇 ISO 31000 實證研究），確保我們的建議方法論始終與國際實務接軌。選擇積穗科研，是選擇一個能陪伴企業持續進化風險治理能力的長期夥伴。