風險矩陣(Risk Matrix)是一種以「發生可能性」與「影響嚴重程度」兩軸構成的可視化風險評估工具,能幫助團隊快速辨識哪些風險需要優先處理。這篇指南將帶你從定義、結構解析、6 步驟製作流程到 3 種產業實戰範例,完整掌握風險矩陣的建立與應用。
風險矩陣是什麼?定義與核心概念
風險矩陣(Risk Matrix),又稱風險評估矩陣,是風險管理中最常用的雙變數分析工具。它將每一項風險放在「發生可能性」(Y 軸)與「影響嚴重程度」(X 軸)構成的格狀圖中,透過兩個維度的交叉定位,將風險分級為高、中、低等不同等級。
這和單一指標評估有本質上的差異。舉例來說,如果你只看「這件事發生的機率高不高」,你可能會忽略一個機率低但一旦發生就會讓專案直接停擺的風險。風險矩陣的價值在於,它強迫你同時考量「會不會發生」和「發生了有多嚴重」,讓決策更全面。
在整個風險管理流程中,風險矩陣扮演的角色是「分析與評估排序」的核心工具。典型的風險管理流程是:辨識 → 分析 → 評估排序 → 處置 → 監控。風險矩陣介入的時間點,正是從「分析」到「評估排序」這個關鍵階段——它幫你把一堆已辨識的風險,從「一長串清單」轉化為「有優先順序的行動指引」。
誰需要用風險矩陣?根據我們團隊的實務經驗,以下角色最常使用:
- 專案經理(PM):在專案啟動階段建立風險矩陣,作為整個專案生命週期的風險追蹤基礎
- 品保主管:在製程變更或新產品導入時,評估品質風險
- 營運主管:評估供應鏈中斷、系統當機等營運風險
- 稽核人員:在內控稽核中,以風險矩陣排序查核重點
如果你是專案管理的新手,風險矩陣是你最值得先學會的風險評估方法——它夠直觀、夠快速,而且不需要複雜的統計知識。
風險矩陣的結構解析:兩軸與評分尺度
理解風險矩陣的結構,是正確使用它的前提。這一節我們拆解兩軸的定義方式、評分尺度的選擇,以及風險等級的劃分邏輯。
X 軸:影響嚴重程度(Impact)
影響嚴重程度衡量的是「如果這個風險真的發生,後果有多嚴重」。但「嚴重」是個模糊的詞,你需要根據專案性質定義具體的衡量維度:
- 財務損失:直接成本增加多少?例如超支 NT$50 萬 vs. NT$500 萬
- 時程延誤:延遲幾天?幾週?還是整個里程碑推遲?
- 品質影響:產品瑕疵率上升多少?客戶投訴量增加多少?
- 聲譽傷害:是內部知道就好,還是會上新聞?
- 法規合規:是警告函,還是罰款,還是停業處分?
Y 軸:發生可能性(Likelihood / Probability)
這裡有個常見混淆:「頻率」和「機率」不完全一樣。頻率是「過去多常發生」(例如每季一次),機率是「未來發生的可能性」(例如 30%)。在風險矩陣中,我們通常用的是機率的概念,但會用頻率資料作為估算依據。
評分尺度選擇:3×3、4×4、5×5
選哪種尺度不是越大越好,而是要匹配你的專案複雜度:
| 尺度 | 適用情境 | 優點 | 限制 |
|---|---|---|---|
| 3×3 | 小型專案、快速評估、活動企劃 | 簡單直觀,10 分鐘完成 | 風險分級粗糙,容易擠在同一區 |
| 4×4 | 中型組織、跨部門專案 | 分級較細緻,平衡效率與精確度 | 需要更明確的評分定義 |
| 5×5 | 大型工程、ISO 31000 合規場景 | 區分度最高,適合複雜風險組合 | 評分耗時,需要團隊共識 |
我們團隊的經驗法則:如果你的風險清單少於 10 項,3×3 就夠了;10-25 項用 4×4;超過 25 項或需要合規文件,用 5×5。
定性 vs. 定量評分
定性評分用描述性語言(「高」「中」「低」),適合資料不足或需要快速決策的情境。定量評分用數字或百分比(「發生機率 60-80%」「損失 NT$100-500 萬」),適合有歷史資料可參考、需要精確排序的場景。大多數專案團隊會從定性評分開始,等累積足夠資料後再逐步轉向定量。
如何定義「可能性」等級
以下是常見的 5 級量表範例:
| 等級 | 描述 | 量化參考 |
|---|---|---|
| 1 – 極低 | 幾乎不可能發生 | < 5% |
| 2 – 低 | 不太可能,但有先例 | 5-20% |
| 3 – 中 | 有合理的可能性 | 20-50% |
| 4 – 高 | 很可能發生 | 50-80% |
| 5 – 極高 | 幾乎確定會發生 | > 80% |
以台灣製造業導入新產線為例:新設備在前三個月的故障機率,根據供應商提供的 MTBF(平均故障間隔時間)資料和同業經驗,可能被評為「等級 3 – 中」。但如果是全新技術、沒有先例可參考,就可能被評為「等級 4 – 高」。
如何定義「影響程度」等級
影響程度的定義需要多維度思考。以 IT 系統上線專案為例,一個資安漏洞的影響程度可以這樣分級:
| 等級 | 成本影響 | 時程影響 | 品質/安全影響 | 法規影響 |
|---|---|---|---|---|
| 1 – 極低 | < NT$5 萬 | 延遲 < 1 天 | 無明顯影響 | 無 |
| 2 – 低 | NT$5-20 萬 | 延遲 1-3 天 | 輕微功能異常 | 內部通報 |
| 3 – 中 | NT$20-100 萬 | 延遲 1-2 週 | 部分功能無法使用 | 主管機關警告 |
| 4 – 高 | NT$100-500 萬 | 延遲 1 個月以上 | 資料外洩(< 1000 筆) | 罰款 |
| 5 – 極高 | > NT$500 萬 | 專案可能取消 | 大規模資料外洩 | 停業處分 |
重點是:每個等級的描述必須夠具體,讓不同部門的人看到同一個風險時,能給出接近的評分。這也是為什麼我們建議在專案啟動會議中就讓團隊共同確認評分標準。
風險矩陣製作步驟:從零到完成
以下是我們團隊實際使用的 6 步驟流程。每個步驟都有具體的行動指令,你可以直接照著做。
步驟一:風險辨識——列出所有潛在風險
風險辨識的目標是「寧可多列,不要漏掉」。常用的辨識方法有三種:
- 腦力激盪法:召集跨部門成員,用 30 分鐘自由列舉所有想得到的風險。不要在這個階段評判「這個風險不重要」——評判是下一步的事
- 清單法:參考過去類似專案的風險清單,逐項檢視是否適用於當前專案
- 歷史資料回顧:翻閱過去專案的結案報告,特別是「教訓學習」(Lessons Learned)章節
以一個電商平台改版專案為例,我們團隊曾辨識出以下 12 項風險:
| 風險編號 | 風險描述 | 類別 |
|---|---|---|
| R1 | 前端框架升級導致舊功能不相容 | 技術 |
| R2 | 第三方金流 API 變更 | 技術 |
| R3 | 設計外包商交付延遲 | 供應商 |
| R4 | 個資法修正影響會員系統設計 | 法規 |
| R5 | 資深工程師離職 | 人力 |
| R6 | 伺服器遷移導致資料遺失 | 技術 |
| R7 | 行銷活動時程與改版撞期 | 時程 |
| R8 | 使用者測試回饋導致大幅改版 | 範疇 |
| R9 | 競品搶先推出類似功能 | 市場 |
| R10 | 預算追加審批延遲 | 財務 |
| R11 | 跨部門需求衝突 | 溝通 |
| R12 | 上線後效能不符預期 | 技術 |
實務上,我們會在 monday.com 的看板上建立一個「風險登錄」群組,每個風險是一個項目,方便後續追蹤狀態變化。這比用 Excel 管理的好處是,當風險狀態改變時,可以設定自動通知相關負責人。
步驟二:設定評分標準與尺度
這一步決定了整個風險矩陣的品質。你需要做兩件事:
- 選擇尺度:根據前一節的建議,決定用 3×3、4×4 還是 5×5
- 定義每個等級的具體描述:這是最關鍵的步驟——如果描述太模糊,不同人會給出完全不同的評分
我們的實務建議:在專案啟動會議中,花 20 分鐘讓團隊共同確認評分標準。把每個等級的描述投影在螢幕上,讓大家討論「等級 3 和等級 4 的分界線在哪裡」。這 20 分鐘的投資,能省下後續無數次的爭論。
步驟三:逐項評分——可能性與影響程度
評分不是一個人的事。我們推薦兩種團隊評分方法:
- Delphi 法:每個成員獨立評分,匿名提交後取中位數。適合成員之間有明顯權力差距的團隊(避免主管說什麼大家就跟著打分)
- 投票法:每個人同時舉手或用便利貼投票,公開討論差異大的項目。適合氣氛開放的小團隊
避免「評分膨脹」的技巧:不要問「這個風險嚴不嚴重?」,而是問「如果這個風險發生,我們會損失多少錢 / 延遲幾天?」錨定在具體情境上,評分自然會更準確。
步驟四:繪製矩陣並標示風險點
把每個風險的評分結果,標示在矩陣對應的格子中。每個風險用代號(R1、R2…)標示,避免格子裡塞太多文字。
如果多個風險落在同一格,用不同顏色的標記區分類別(例如技術風險用藍色、人力風險用橘色),這樣一眼就能看出哪類風險最集中。
你可以用 Excel 手動繪製,也可以用專案管理工具的視覺化功能。我們稍後會在工具推薦段落詳細說明。
步驟五:決定應對策略
風險矩陣最大的價值,不是畫出一張漂亮的圖,而是驅動行動。根據風險落在矩陣的哪個區域,對應四大應對策略:
| 風險區域 | 策略 | 說明 | 範例 |
|---|---|---|---|
| 紅區(高風險) | 迴避(Avoid)或轉移(Transfer) | 改變計畫以消除風險,或將風險轉嫁給第三方 | 供應商斷鏈風險 → 採用雙供應商策略 |
| 橘區(中高風險) | 減輕(Mitigate) | 降低發生可能性或影響程度 | 資深工程師離職風險 → 建立知識文件與交接 SOP |
| 黃區(中風險) | 減輕(Mitigate) | 持續監控,準備應變計畫 | 預算追加審批延遲 → 提前兩週送審 |
| 綠區(低風險) | 承擔(Accept) | 接受風險,不額外投入資源 | 競品推出類似功能 → 記錄但不主動應對 |
以供應商斷鏈風險為例:如果這個風險落在紅區(可能性 4、影響 5),你不能只是「持續觀察」。正確的做法是採取迴避或轉移策略——例如同時與兩家供應商簽約,或在合約中加入延遲罰則條款。
建立目標明確的應對計畫時,每個策略都應該指定負責人、完成期限和所需資源。
步驟六:建立監控機制與定期更新
風險矩陣不是做完就放進資料夾的靜態文件。風險會隨著專案進展而變化——上個月的低風險,可能因為外部環境改變而變成高風險。
設定複審頻率的建議:
- 短期專案(< 3 個月):每兩週複審一次
- 中期專案(3-12 個月):每月複審一次,加上每個里程碑節點
- 長期專案(> 12 個月):每季複審一次,加上重大變更時
同時,為紅區和橘區的風險設定 KRI(關鍵風險指標)。例如:「供應商交期延遲超過 3 天」就是一個 KRI,一旦觸發就啟動應變計畫。在 monday.com 的自動化功能中,你可以設定當某個欄位狀態改變時自動發送通知——例如風險等級從黃色變成紅色時,自動通知專案經理和相關負責人。
風險矩陣範例:3 種產業情境實戰演練
以下三個範例都是根據真實專案情境設計的,你可以直接參考評分邏輯和應對策略。
IT 系統導入專案(5×5 矩陣)
情境:一家 200 人的中型企業導入 ERP 系統,專案時程 12 週,預算 NT$800 萬。
| 風險編號 | 風險描述 | 可能性 | 影響 | 風險分數 | 等級 | 應對策略 |
|---|---|---|---|---|---|---|
| R1 | 資料遷移失敗導致歷史資料遺失 | 3 | 5 | 15 | 極高(紅) | 轉移:委託專業資料遷移廠商,合約含保固 |
| R2 | 使用者抗拒新系統 | 4 | 4 | 16 | 極高(紅) | 減輕:提前 4 週辦教育訓練,設種子使用者 |
| R3 | 客製化需求超出預算 | 4 | 3 | 12 | 高(橘) | 減輕:第一階段只做核心模組,客製化分期 |
| R4 | 供應商技術支援回應慢 | 3 | 3 | 9 | 中(黃) | 減輕:合約明訂 SLA(4 小時內回應) |
| R5 | 與現有系統整合出現相容性問題 | 3 | 4 | 12 | 高(橘) | 減輕:提前做 POC(概念驗證)測試 |
| R6 | 專案經理異動 | 2 | 4 | 8 | 中(黃) | 承擔:建立完整專案文件,確保可交接 |
| R7 | 法規變更影響系統設計 | 2 | 3 | 6 | 中(黃) | 承擔:持續追蹤法規動態 |
| R8 | 測試環境與正式環境差異 | 3 | 2 | 6 | 中(黃) | 減輕:建立與正式環境一致的 staging 環境 |
這個範例的關鍵洞察:R1(資料遷移失敗)和 R2(使用者抗拒)都落在紅區,但應對策略完全不同——R1 適合轉移給專業廠商,R2 則需要內部投入資源做變革管理。這就是風險矩陣的價值:它不只告訴你「哪些風險最嚴重」,還引導你思考「該用什麼策略應對」。
如果你正在規劃類似的數位轉型專案,這個範例可以作為你的起點。
製造業新產線啟動(4×4 矩陣)
情境:台灣中部一家金屬加工廠新增自動化產線,專案時程 16 週,涉及設備採購、產線佈局、人員訓練。
| 風險編號 | 風險描述 | 可能性 | 影響 | 風險分數 | 等級 | 應對策略 |
|---|---|---|---|---|---|---|
| R1 | 自動化設備交期延遲 | 3 | 4 | 12 | 高(紅) | 迴避:合約含延遲罰則,備選供應商 |
| R2 | 操作人員訓練不足導致工安事故 | 3 | 4 | 12 | 高(紅) | 減輕:強制 40 小時操作訓練 + 認證考試 |
| R3 | 新舊產線切換期間產能下降 | 4 | 3 | 12 | 高(紅) | 減輕:分階段切換,保留舊線 30 天 |
| R4 | 原物料品質不符自動化設備規格 | 2 | 3 | 6 | 中(黃) | 減輕:提前做原料相容性測試 |
| R5 | 廠房電力負載不足 | 2 | 4 | 8 | 中(黃) | 迴避:施工前完成電力評估與升級 |
| R6 | 設備維護零件供應不穩 | 2 | 2 | 4 | 低(綠) | 承擔:備 3 個月安全庫存 |
職安風險的特別處理:R2(操作人員訓練不足導致工安事故)是這個範例中最需要關注的風險。在台灣,依據《職業安全衛生法》,雇主對新設備必須提供充分的安全衛生教育訓練。我們建議將職安相關風險的「影響程度」自動提高一級——因為工安事故的後果不只是財務損失,還涉及法律責任和員工生命安全。
要將 R2 從紅區降至黃區,具體的減輕措施包括:
- 強制 40 小時操作訓練,含 8 小時實機操作
- 訓練後通過認證考試才能獨立操作
- 前兩週安排資深人員隨線督導
- 每月一次安全演練
活動企劃專案(3×3 矩陣)
情境:500 人企業年會籌辦,8 週時程,預算 NT$150 萬。
這個範例刻意使用最簡化的 3×3 矩陣,展示「夠用就好」的設計哲學。不是每個專案都需要 5×5 的精密評估——對一個 8 週的活動企劃來說,花太多時間在風險評估上反而是浪費。
| 風險編號 | 風險描述 | 可能性 | 影響 | 等級 | 應對策略 |
|---|---|---|---|---|---|
| R1 | 場地臨時無法使用(停電/消防檢查) | 低 | 高 | 中(黃) | 減輕:備選場地 + 場地合約含不可抗力條款 |
| R2 | 主講嘉賓臨時取消 | 中 | 高 | 高(紅) | 轉移:簽約含取消罰則 + 備選講者名單 |
| R3 | 餐飲供應商出包 | 低 | 中 | 低(綠) | 承擔:選用有口碑的供應商 |
| R4 | 報名人數不足 | 中 | 中 | 中(黃) | 減輕:提前 4 週開始宣傳,設早鳥優惠 |
| R5 | 當天音響/投影設備故障 | 中 | 高 | 高(紅) | 減輕:前一天彩排 + 備用設備 |
這個 3×3 矩陣從辨識到完成,一個人大約 30 分鐘就能搞定。如果你是小型團隊或個人企劃案,這個格式完全夠用。
風險矩陣分析的常見錯誤與修正方法
風險矩陣看起來簡單,但我們見過太多團隊在使用上犯錯。以下四個錯誤是最常見的,每個都附上具體的修正方法。
錯誤一:評分過於主觀,缺乏共識
問題:同一個風險,業務部門評「可能性 2、影響 4」,技術部門評「可能性 4、影響 2」。差距達 2 個等級,最後取平均值反而失去意義。
修正方法:
– 建立「評分錨定說明文件」,每個等級都有具體的數字或情境描述(參考前面的評分表)
– 開評分工作坊,先用一個大家都熟悉的風險做校準練習
– 對差異大的項目,不要取平均,而是讓雙方說明理由後重新評分
錯誤二:矩陣做完就束之高閣
問題:風險矩陣成為「交差文件」——專案啟動時做一次,之後再也沒人看。三個月後風險環境已經完全不同,矩陣卻還停留在第一版。
修正方法:
– 將風險矩陣的複審排入專案週報議程,每次花 10 分鐘快速掃描紅區和橘區風險的狀態
– 設定 KRI 觸發警示——例如在專案管理工具的儀表板上設定自動提醒
– 指定「風險負責人」(Risk Owner),每個紅區風險都有人盯
錯誤三:忽略風險之間的相關性
問題:你分別評估了「供應商延遲」和「人力短缺」兩個風險,各自落在黃區。但如果這兩個風險同時發生(供應商延遲 → 工程師被迫加班 → 離職率上升 → 人力更短缺),實際影響遠超個別評估的總和。
修正方法:
– 在風險清單中加入「相關風險」欄位,標示哪些風險可能連鎖觸發
– 對高度相關的風險群組,額外做一次「情境分析」:如果 A+B 同時發生,影響是什麼?
– 將連鎖風險的組合影響,作為獨立的風險項目納入矩陣
錯誤四:尺度選擇不當
問題:一個涉及 30 項風險的複雜專案用 3×3 矩陣,結果 18 項風險全部擠在黃區(中風險),完全無法區分優先順序。
修正方法:判斷標準很簡單——如果你發現超過 40% 的風險落在同一個區域,就代表尺度太粗,需要升級。
| 錯誤做法 | 正確做法 |
|---|---|
| 所有專案都用 5×5,追求「看起來專業」 | 根據專案複雜度選擇適當尺度 |
| 評分標準只寫「高/中/低」,沒有具體描述 | 每個等級附上量化參考和情境範例 |
| 一個人獨自完成所有評分 | 跨部門團隊共同評分,討論差異 |
| 做完一次就不再更新 | 設定固定複審頻率,整合進專案週報 |
| 只看個別風險,忽略連鎖效應 | 標示風險相關性,做情境分析 |
風險矩陣的適用邊界:值得一提的是,風險矩陣不適用於所有情境。對於高度不確定性的「黑天鵝事件」(例如全球疫情、地緣政治突變),風險矩陣的「可能性」評估幾乎沒有意義——因為這類事件的特徵就是「無法預測」。遇到這類情境,你需要的是情境規劃(Scenario Planning)而非風險矩陣。
風險矩陣 vs. 其他風險評估工具:如何選擇
風險矩陣不是唯一的風險評估工具。了解其他選項,能幫你在不同情境下選擇最合適的方法。
| 工具 | 適用情境 | 優點 | 限制 |
|---|---|---|---|
| 風險矩陣 | 專案初期快速評估、跨部門溝通 | 直觀易懂、製作快速、溝通成本低 | 主觀性高、無法處理複雜相關性 |
| FMEA(失效模式分析) | 製造業品保、產品設計驗證 | 系統化、量化(RPN 分數)、可追蹤改善 | 耗時長、需要專業知識 |
| 蝴蝶結分析(Bow-Tie) | 重大事故預防、高風險產業 | 因果關係清晰、預防與應變並重 | 複雜度高、不適合快速評估 |
| 風險登錄冊(Risk Register) | 全專案生命週期追蹤 | 完整記錄、可追蹤歷史變化 | 需配合矩陣使用才有排序功能 |
FMEA 的 RPN 與風險矩陣的差異:FMEA 使用風險優先數(RPN)= 嚴重度 × 發生度 × 偵測度,是三個變數的乘積;風險矩陣只用兩個變數(可能性 × 影響)。FMEA 多了「偵測度」這個維度——也就是「你能不能在問題發生前發現它」。如果你的團隊在製造業或品保領域,熟悉 FMEA 的 RPN 概念,要注意不要把兩者的評分邏輯混用。
我們的建議:風險矩陣最適合作為「入口工具」。先用風險矩陣快速建立全局觀,識別出紅區風險後,再對這些高風險項目用 FMEA 或蝴蝶結分析做深入評估。風險登錄冊則是風險矩陣的「搭檔」——矩陣負責排序,登錄冊負責追蹤。
如果你想把風險管理的成果用視覺化的方式呈現給利害關係人,可以參考流程圖的製作方法,搭配風險矩陣一起使用。
製作風險矩陣的工具推薦
工具的選擇取決於你的團隊規模和需求複雜度。以下是我們實際測試過的選項。
免費工具:Excel / Google Sheets / Canva
如果你只是要做一次性的風險評估,Excel 或 Google Sheets 完全夠用。製作步驟如下:
- 開一個新工作表,建立「風險清單」分頁,欄位包含:風險編號、描述、可能性評分、影響評分、風險分數(公式自動計算)、等級、應對策略、負責人
- 開第二個分頁「風險矩陣圖」,用條件格式設定顏色(紅/橘/黃/綠)
- 在每個格子中手動填入對應的風險編號
Google Sheets 的好處是可以多人同時編輯,適合遠端團隊在評分工作坊中即時協作。如果你需要更美觀的視覺化呈現(例如向高階主管報告),Canva 提供免費的矩陣圖模板,可以快速產出簡報等級的風險矩陣圖。
專案管理平台內建功能
當你的風險矩陣需要持續追蹤、多人協作、自動通知時,專案管理平台是更好的選擇。
monday.com:我們團隊實際用 monday.com 管理風險追蹤。具體做法是建立一個「風險管理」看板,每個風險是一個項目,用下拉選單設定可能性和影響等級,再用公式欄自動計算風險分數。最實用的功能是自動化規則:我們設定了「當風險等級變更為紅色時,自動通知專案經理和該風險的負責人」——這個設定在過去 6 個月觸發了 7 次,每次都讓我們在風險惡化前就啟動應變。方案價格約 NT$350/人/月起,免費方案不需要信用卡。
ClickUp:如果你的團隊偏技術導向,ClickUp 的自訂欄位和視圖功能非常靈活。你可以建立風險管理的自訂視圖,用看板模式按風險等級分欄,或用表格模式做批量評分。ClickUp 的免費方案功能已經很完整,適合想先試水溫的團隊。
Notion:適合喜歡自己設計工作流程的團隊。你可以用 Notion 的資料庫功能建立風險矩陣模板,用篩選和排序功能快速找到紅區風險。Notion 的優勢是文件和資料庫整合在一起,風險評估報告和風險清單可以放在同一個頁面。
企業級風險管理軟體
對於需要 ISO 31000 合規、完整稽核軌跡的大型組織,專案管理平台可能不夠用。這時可以考慮企業級風險管理(ERM)工具,例如 Jira 搭配 Risk Management 插件(如 Risk Register for Jira),或 ServiceNow GRC 模組。這類工具的核心優勢是內建合規文件範本、自動產生稽核軌跡、支援多層級權限控管,適合需要定期接受內外部稽核的組織。導入成本較高,通常適合 50 人以上的專案管理辦公室(PMO)或已建立正式風險管理制度的企業。
工具選擇建議
根據你的團隊狀況,我們的推薦如下:
- 個人或 5 人以下團隊:Google Sheets 免費版就夠了,不需要額外花錢
- 5-15 人跨部門協作:monday.com 是我們的首選,自動化通知功能在風險管理中特別實用
- !– /wp:list-item –>
- 15 人以上需要合規文件:monday.com 企業方案,支援稽核軌跡和權限控管
- 大型組織需要 ISO 合規與稽核:Jira Risk Management 插件或 ServiceNow GRC 等企業級方案
| 工具 | 適合規模 | 風險管理功能 | 價格 |
|---|---|---|---|
| Google Sheets | 1-5 人 | 手動建立,彈性高 | 免費 |
| monday.com | 5-50+ 人 | 自動化通知、儀表板、狀態追蹤 | 免費方案起,付費約 NT$350/人/月 |
| ClickUp | 5-30 人 | 自訂欄位、多視圖、看板模式 | 免費方案起,付費約 NT$230/人/月 |
| Notion | 3-20 人 | 資料庫模板、文件整合 | 免費方案起,付費約 NT$270/人/月 |
| Jira + Risk Management 插件 | 50+ 人 | 稽核軌跡、合規文件、多層級權限 | 依企業方案報價 |
風險矩陣與 ISO 31000 風險管理框架的關係
如果你的組織需要符合 ISO 31000 風險管理標準,了解風險矩陣在框架中的定位很重要。
ISO 31000 的風險管理流程包含五個步驟:
- 溝通與諮詢(Communication & Consultation)
- 建立背景脈絡(Establishing the Context)
- 風險評鑑(Risk Assessment)——包含辨識、分析、評估三個子步驟
- 風險處置(Risk Treatment)
- 監控與審查(Monitoring & Review)
風險矩陣介入的位置,是第三步「風險評鑑」中的「分析」和「評估」兩個子步驟。在「分析」階段,風險矩陣幫你量化每個風險的可能性和影響;在「評估」階段,風險矩陣幫你排序優先順序,決定哪些風險需要進入第四步的「處置」。
台灣企業的合規需求:在台灣,以下情境特別需要正式的風險管理文件:
- 上市櫃公司:依據《公開發行公司建立內部控制制度處理準則》,需要建立風險評估機制
- 政府採購案:大型標案通常要求投標廠商提供風險管理計畫
- 製造業 ISO 認證:ISO 9001、ISO 14001 等認證都要求組織展示風險思維(risk-based thinking)
對這些情境,風險矩陣不只是管理工具,更是合規文件。建議將風險矩陣的版本歷史、評分依據、複審紀錄都完整保存,作為稽核時的佐證資料。
你可以用時間軸來規劃風險矩陣的複審時程,確保每個里程碑節點都有對應的風險檢視。
結論
全文重點回顧:
- 風險矩陣 = 可能性 × 影響程度,是雙變數分析的可視化工具,在風險管理流程的「分析」與「評估」階段發揮核心作用
- 評分尺度選擇要匹配專案複雜度:風險少於 10 項用 3×3,10-25 項用 4×4,超過 25 項或需合規用 5×5
- 6 步驟製作流程:辨識 → 設定標準 → 團隊評分 → 繪製矩陣 → 決定策略 → 持續監控
- 四大應對策略:紅區迴避/轉移、橘黃區減輕、綠區承擔——每個策略都要指定負責人和期限
- 風險矩陣是活的文件,不是做完就放進資料夾。設定 KRI 和固定複審頻率,才能真正發揮價值
你的下一步行動:
如果你還沒有建立過風險矩陣,建議從最簡單的 3×3 開始。花 30 分鐘列出你當前專案的前 5 個風險,用本文的評分表逐項評分,畫出你的第一張風險矩陣。
想把這套方法論整合到日常專案管理中?第一步:在 monday.com 建立一個「風險管理」看板,把風險清單、評分、負責人、狀態全部集中管理。設定一條自動化規則:「風險等級變為紅色時通知專案經理」——這個 10 分鐘的設定,能讓你在風險惡化前就收到警報。免費方案不需要信用卡,直接開始。
風險矩陣常見問題 FAQ
風險矩陣和風險登錄冊有什麼不同?
風險矩陣是「排序工具」,用可視化的方式呈現風險的優先順序;風險登錄冊是「追蹤文件」,記錄每個風險的完整資訊(描述、評分、負責人、應對策略、狀態更新歷史)。兩者是搭檔關係:先用風險矩陣排序,再用風險登錄冊追蹤。實務上,我們會在同一個專案管理看板中同時維護兩者。
風險矩陣要多久更新一次?
取決於專案時程。短期專案(3 個月內)建議每兩週更新一次;中期專案(3-12 個月)每月更新一次,加上每個里程碑節點;長期專案(超過 12 個月)每季更新一次。另外,當專案發生重大變更(範疇變更、關鍵人員異動、外部環境劇變)時,應立即複審風險矩陣。
5×5 和 3×3 矩陣哪個比較好用?
沒有絕對的好壞,關鍵是匹配你的需求。3×3 適合風險項目少於 10 項的小型專案,優點是快速、簡單;5×5 適合風險項目超過 25 項或需要 ISO 合規的複雜專案,優點是區分度高。如果你發現超過 40% 的風險擠在同一個區域,就代表尺度太粗,需要升級。
風險矩陣可以用在個人專案或小型團隊嗎?
完全可以。風險矩陣不是大企業的專利。一個人籌辦活動、一個 3 人團隊開發 App,都可以用 3×3 矩陣快速評估風險。重點不是矩陣多精美,而是你有沒有「系統性地思考過什麼可能出錯」。即使是個人專案,花 15 分鐘做一張簡單的風險矩陣,都比「船到橋頭自然直」的心態好得多。
如何讓團隊成員對風險評分達成共識?
三個實用技巧:第一,建立「評分錨定文件」,每個等級都有具體的數字範圍和情境描述,減少主觀解讀空間。第二,先用一個大家都熟悉的風險做校準練習,確認團隊對評分標準的理解一致。第三,對評分差異超過 2 個等級的項目,不要直接取平均,而是讓雙方各自說明理由,討論後重新評分。這個過程本身就是團隊溝通與領導力的展現。
