Skip to main content
ClaudeWave
Skill209 repo starsupdated 7d ago

biz-erm

Enterprise risk management (ERM) framework layer — integrates COSO ERM 2017 (five components, 20 principles), ISO 31000, three-lines model, risk appetite, risk heatmap, and key risk indicators (KRI) into a complete governance playbook covering structure through culture. Use for ERM implementation, risk-system build, risk mapping, risk-appetite statement drafting, three-lines setup, CRO role design, or Taiwan FSC corporate-governance evaluation response. Triggers: 『ERM 導入』『風險管理框架』『COSO』『風險地圖』『風險胃納』『KRI』『CRO 職責』『三道防線』『風險委員會』『ISO 31000』『風險熱圖』『風險治理』. For 師大/政大/陽交 EMBA risk-management/governance/audit cases. Complements Asgard `algo-risk-*` (Altman Z, Benford, credit, VaR) with the framework/governance layer. 獨董挑選/董事會組成/IPO 治理: use `biz-corporate-governance`.

View sourceRepository: skills
Install in Claude Code
Copy
git clone --depth 1 https://github.com/asgard-ai-platform/skills /tmp/biz-erm && cp -r /tmp/biz-erm/biz-erm ~/.claude/skills/biz-erm
Then start a new Claude Code session; the skill loads automatically.
Definition

SKILL.md

# 企業風險管理框架(Enterprise Risk Management, ERM)

## 定位

**為什麼 EMBA 要學 ERM 框架**

台灣企業風險管理常見兩種極端:
- **過度工具化**:只做財務風險 VaR、信用評分,但沒有治理結構
- **過度形式化**:有風險委員會但只開會、沒風險胃納、沒 KRI 觸發機制

本 skill 拉回「框架+治理」層,整合 COSO ERM 2017 與 ISO 31000,讓學員能:
1. 分層診斷(治理→文化→流程→工具)
2. 設計可執行的風險治理結構
3. 避免「有報表沒行動」的 ERM 陷阱

**與相近 Asgard skill 的邊界**
- `algo-risk-altman-z` — 財務危機預測(單一量化工具)
- `algo-risk-benford` — 舞弊偵測數學
- `algo-risk-credit` — 信用風險評分
- `algo-risk-var` — 市場風險 VaR
- `grad-governance` — 公司治理學理
- **本 skill** — 風險管理整合框架,協調治理結構、風險胃納、文化、工具四層

## 何時使用

**觸發條件**
- 公司要導入 ERM 或重整現有風險管理
- 金管會公司治理評鑑、ESG 風險揭露
- 設立風險管理委員會或風險長(CRO)職位
- 三道防線重建(尤其 IPO 前或金融業)
- 家族企業職業化、大型專案風險治理
- 企業危機後的「風險治理體檢」

**不適用**
- 單一風險量化計算 → Asgard `algo-risk-*`
- 危機事件的即時溝通 → Asgard `pr-crisis-communication`、`pr-crisis-response`
- ESG 永續揭露 → 本 repo `biz-net-zero-transition`、Asgard `grad-sustainability`
- 合約法律風險 → Asgard `law-contract`、`law-gdpr-pdpa`

## IRON LAW — ERM 三條鐵律

```
IRON LAW 1:ERM 不是風險清單,是決策品質
ERM 的終極目的不是列出 500 條風險 tracking,
而是讓每個重大決策都「在可承受範圍內追求適當報酬」。
沒連結到策略與決策的 ERM = 高級稽核,不是 ERM。
```

```
IRON LAW 2:風險胃納(Risk Appetite)是董事會的事
「公司願意承擔多少風險以追求報酬」必須由董事會定義。
管理層只能在胃納範圍內決策。
沒有明文胃納書的 ERM = 盲人開車,風險文化無從建立。
```

```
IRON LAW 3:三道防線各司其職、互不取代
第一道(業務單位)擁有並管理風險;
第二道(風險/合規)監督方法、協調政策;
第三道(內部稽核)獨立驗證前兩道有效性。
最常見的失敗:第二道取代第一道(風險部變成風險保母)
      或 第三道與第二道合署(失去獨立性)。
```

## Rationalization Table — 當 Claude 想「本案例外」時,先自問

| 可能想 | 但 Iron Law 仍適用,因為 |
|---|---|
| 「列出 50 條風險熱圖就算 ERM 上線」 | 熱圖只是中間產物;必須連回策略與重大決策,否則只是「高級稽核」 |
| 「管理層可以先訂一版風險胃納,董事會日後追認」 | 胃納書是董事會責任不可下放;必須標註「未經董事會通過 = 無治理效力」 |
| 「小公司讓風管部兼任內稽以節省人力」 | 第二道取代第三道 = 失去獨立性;即使人力合一,彙報線必須分離(內稽向審計委員會) |

## 框架一:COSO ERM 2017(五要素、二十原則)

COSO 2017 版將 ERM 與策略、績效深度整合。五大要素:

```
┌─────────────────────────────────────────────┐
│ 要素 5:資訊、溝通與報告                      │
│   Risk Information Governance                │
├─────────────────────────────────────────────┤
│ 要素 4:檢視與修訂                            │
│   Review and Revision                        │
├─────────────────────────────────────────────┤
│ 要素 3:績效(核心)                          │
│   Performance — 風險辨識、評估、選擇回應      │
├─────────────────────────────────────────────┤
│ 要素 2:策略與目標設定                        │
│   Strategy & Objective-Setting               │
├─────────────────────────────────────────────┤
│ 要素 1:治理與文化                            │
│   Governance & Culture                       │
└─────────────────────────────────────────────┘
```

### 二十條原則摘要(依要素分組)

**要素 1:治理與文化(原則 1–5)**
1. 執行董事會風險監督職責
2. 建立營運結構
3. 定義預期文化
4. 展現核心價值承諾
5. 吸引、發展並留任具能力人員

**要素 2:策略與目標設定(原則 6–9)**
6. 分析業務背景
7. 定義風險胃納
8. 評估替代策略
9. 形成業務目標

**要素 3:績效(原則 10–14)**
10. 辨識風險
11. 評估風險嚴重度
12. 排序風險優先序
13. 制定風險回應
14. 發展組合觀點

**要素 4:檢視與修訂(原則 15–17)**
15. 評估重大變動
16. 檢視風險與績效
17. 持續改進 ERM

**要素 5:資訊、溝通與報告(原則 18–20)**
18. 善用資訊與技術
19. 溝通風險資訊
20. 向利害關係人報告

## 框架二:三道防線模型(IIA 2020 版)

```
┌───────────────────────────────────────────────┐
│ 治理機構(董事會 / 審計委員會 / 風險委員會)    │
│    監督、課責、最終風險責任                    │
└───────────────────────────────────────────────┘
               ↑ 報告        ↑ 報告          ↑ 報告
┌──────────────┐ ┌──────────────┐ ┌──────────────┐
│ 第一道防線    │ │ 第二道防線    │ │ 第三道防線    │
│ 業務/營運    │ │ 風險/合規    │ │ 內部稽核      │
│              │ │ 財務控管      │ │              │
│ 擁有與管理   │ │ 提供方法論   │ │ 獨立驗證     │
│ 日常風險     │ │ 監督與挑戰   │ │ 有效性       │
└──────────────┘ └──────────────┘ └──────────────┘
```

**2020 年新版變化**
- 從「Three Lines of Defense」更名為「Three Lines Model」(強調協作而非對抗)
- 新增「外部保證提供者」(會計師、監管機關)
- 強調「治理」一詞,明確董事會責任

**台灣實務常見失衡**
- 只有第一道與第三道(缺第二道風險/合規)
- 第二道權力過大(變相決策、取代第一道)
- 第三道向 CFO 而非審計委員會報告(失去獨立性)

## 框架三:風險胃納(Risk Appetite)

### 三層架構

```
Risk Appetite 風險胃納(策略層)
    ↓ 具體化
Risk Tolerance 風險容忍度(績效層)
    ↓ 量化
Risk Limits 風險限額(營運層)
```

**範例(製造業)**
- **Risk Appetite(董事會層)**:我們願意承擔新興市場擴張帶來的匯率與政治風險,但絕不承擔可能危及核心產品供應穩定的生產風險。
- **Risk Tolerance(高管層)**:單一市場營收 ≤ 15%、外匯未避險部位 ≤ 季度營收的 5%。
- **Risk Limits(營運層)**:匯率部位 daily VaR ≤ USD 200,000;單一供應商採購比例 ≤ 30%。

### 風險胃納書(Risk Appetite Statement)核心條款

1. **前言**:公司願景、風險哲學(保守/中庸/積極)
2. **策略風險胃納**:主要策略面的可承擔範圍
3. **財務風險胃納**:資本充足、流動性、獲利波動
4. **營運風險胃納**:供應鏈、資訊、人員
5. **合規與聲譽**:合規零容忍 vs. 一般合規差距處理
6. **ESG 相關**:氣候、永續、社會議題
7. **量化指標**:關鍵 KRI 與紅黃綠門檻
8. **檢視與修訂**:每年或重大變動時

## 框架四:風險辨識與熱圖

### 風險分類(建議採用 COSO 五大類 + 在地項目)

| 類別 | 子項 |
|---|---|
| 策略風險 | 競爭、併購、創新、商業模式 |
| 營運風險 | 供應鏈、品質、資安、人員、流程 |
| 財務風險 | 流動性、匯率、利率、信用、稅務 |
| 合規風險 | 法規變動、反壟斷、勞動、個資 |
| 聲譽/ESG 風險 | 品牌、媒體、氣候、社會議題 |

### 風險熱圖(Heatmap)

兩軸:**發生可能性(Likelihood)× 衝擊(Impact)**

```
衝擊 ↑
     │ 黃 │ 橙 │ 紅 │ 紅 │
     │ 黃 │ 橙 │ 橙 │ 紅 │
     │ 綠 │ 黃 │ 橙 │ 橙 │
     │ 綠 │ 綠 │ 黃 │ 黃 │
     │ 綠 │ 綠 │ 綠 │ 黃 │
     └───────────────────→ 可能性
```

**五級制常用尺度**
- **可能性**:極低(<5%)、低、中、高、極高(>80%)
- **衝擊**:可忽略、輕微、中等、重大、災難級

### 風險回應四選一(ARTA)

- **Avoid(迴避)**:退出該業務
- **Reduce(降低)**:控制措施
- **Transfer(轉移)**:保險、外包、避險
- **Accept(承擔)**:在胃納內接受

**選擇邏輯**
- 紅:優先 Avoid / Reduce
- 橙:Reduce / Transfer
- 黃:Reduce / Accept
- 綠:Accept(但持續監控)

## 框架五:關鍵風險指標(KRI)

### KRI vs. KPI 的差異

| KPI | KRI |
|---|---|
| 衡量過去績效 | 預警未來風險 |
| 落後指標為主 | 領先指標為主 |
| 成功衡量 | 偏離警訊 |
| 部門層 | 跨部門整合 |

### KRI 設計五要素

1. **指標定義**:清楚可計算
2. **資料來源**:可自動化取得
3. **門檻值**:綠/黃/紅三段
4. **回應機制**:觸發何種行動
5. **負責人**:監測者與決策者

**範例(供應鏈風險 KRI)**
| 指標 | 綠 | 黃 | 紅 | 回應 |
|---|---|---|---|---|
| 單一供應商依賴 | < 25% | 25–40% | > 40% | 啟動多元化計畫 |
| 庫存天數 | 45–60 | 30–45 | < 30 | 緊急採購 |
| 交貨準時率 | > 98% | 95–98% | < 95% | 供應商稽核 |

## 框架六:風險文化(Risk Culture)

### 四象限診斷

```
              風險透明度
                ↑
       高透明度 │ 高透明度
       低當責   │ 高當責
    ─────────────┼──────────→ 風險當責度
       低透明度 │ 低透明度
       低當責   │ 高當責
                ↓
```

**健康狀態**:高透明度 + 高當責

**常見病態**
- **高透明度 + 低當責**:「大家都知道有問題但沒人負責」
- **低透明度 + 高當責**:「出事才找戰犯,平常不敢說」
- **雙低**:風險文化空白,最危險

### 文化檢核問句
- 員工多快會揭露自己犯的錯?
- 壞消息是否能直達董事會?
- 風險長與 CEO 是否平等對話?
- 內稽是否能挑戰業務單位而不被報復?
- 風險議題在董事會佔多少討論時間?

## ERM 導入工作流程

> 根據個案性質跳過不適用步驟;以下為完整候選路徑,非必跑清單。

```
Step 1:現況盤點(1–2 個月)
  - 治理結構(委員會、CRO)
  - 現有風險管理活動
  - 三道防線清點
  - 已知重大風險

Step 2:風險胃納設計(2–3 個月)
  - 董事會工作坊
  - 策略對齊
  - 量化 KRI 門檻
  - 胃納書正式通過

Step 3:風險辨識與熱圖(3–6 個月)
  - 跨部門工作坊
  - 風險分類與評估
  - 熱圖繪製
  - 前 10–15 條主要風險優先處理

Step 4
More from this repository
algo-ad-biddingSkill

Implement and select ad bidding strategies from manual CPC to automated target-CPA and target-ROAS. Use this skill when the user needs to choose a bidding strategy, set up automated bidding, or optimize bid parameters — even if they say 'what bidding strategy should I use', 'target CPA setup', or 'smart bidding configuration'.

algo-ad-budgetSkill

Optimize advertising budget allocation across campaigns using marginal returns analysis. Use this skill when the user needs to distribute budget across multiple campaigns, optimize spend pacing, or maximize overall ROAS under budget constraints — even if they say 'how to split my ad budget', 'campaign budget optimization', or 'diminishing returns on ad spend'.

algo-ad-ctrSkill

Build CTR prediction models for estimating ad click-through rates from features. Use this skill when the user needs to predict click probability, build an ad ranking model, or evaluate ad creative performance — even if they say 'predict click rate', 'ad relevance scoring', or 'which ad will get more clicks'.

algo-ad-gspSkill

Implement Generalized Second Price auction for ad slot allocation and pricing. Use this skill when the user needs to understand search ad auctions, compute ad positions and costs-per-click, or analyze bidding dynamics — even if they say 'how does Google Ads auction work', 'ad rank calculation', or 'second price auction for ads'.

algo-ad-vcgSkill

Implement VCG mechanism for incentive-compatible ad slot allocation with truthful bidding. Use this skill when the user needs to design a truthful auction mechanism, compute externality-based payments, or understand why platforms may prefer GSP over VCG — even if they say 'truthful auction design', 'VCG payments', or 'incentive-compatible mechanism'.

algo-blockchain-basicsSkill

Explain blockchain fundamentals including distributed ledger architecture, consensus mechanisms, and block structure. Use this skill when the user needs to understand blockchain concepts, evaluate whether blockchain fits a use case, or design a blockchain-based solution — even if they say 'how does blockchain work', 'do I need blockchain', or 'distributed ledger'.

algo-blockchain-smart-contractSkill

Design and implement smart contracts as self-executing programmatic agreements on blockchain. Use this skill when the user needs to build automated on-chain logic, evaluate smart contract security, or design tokenized business rules — even if they say 'smart contract development', 'automated agreement', or 'on-chain logic'.

algo-ecom-bm25Skill

Implement BM25 ranking function for e-commerce product search relevance scoring. Use this skill when the user needs to build a text-based product search engine, improve search result relevance, or replace basic TF-IDF with a more robust ranking function — even if they say 'product search ranking', 'search relevance', or 'BM25 implementation'.