風險管理與內部稽核人員的角色扮演

1、風險管理與內部稽核人員的角色扮演 林柄滄【編按：本文原系中華民國內部稽核協(xié)會于兩岸學術研討會議所發(fā)表文章，經(jīng)征得作者同意轉載?！吭诳萍及l(fā)達的今天，利用科技可以使一家公司或產品轉型，但明天可能由于下一波科技的推陳出新，而使產品過時被淘汰；今天顧客對公司的產品或服務非常滿意，但是明天有可能因為競爭者的優(yōu)勢，而把客戶搶走；今天公司的財產充分發(fā)揮功能，達到目的，但明天你的實體財產可能變?yōu)樨摀驗樵谥R經(jīng)濟時代，企業(yè)最值錢的資產是無形的。因此企業(yè)經(jīng)營者應該有昨是今非，居安思危的風險觀念。任何組織之營運，均可能因為未預期的不利事件發(fā)生而影響其績效品質及目標達成。企業(yè)經(jīng)營與風險，如影隨形，可努力減輕，卻無

2、法消除。因此最高經(jīng)營者均應建立風險管理機制，對風險加以有效控管，以確保下列三項目標之達成：l 營運活動的效率及效果l 財務報告的可靠性l 相關法令的遵循壹、風險的來源風險是指一項行動或事件發(fā)生，對組織造成不利影響或然率。簡單地說，對組織目標未能達成的可能性，就叫做風險。風險來源一般可分為組織層級(corporate level)及作業(yè)層級(operating level)。組織層級之風險又可分為外來因素造成者及內在因素造成者。一、組織層級風險依照COSO的研究報告，屬于組織層級的風險，可再依其來源分別列舉如下：(一) 外來因素造成者1.科技發(fā)展可能影響公司研究的性質及時機，或導致原料采購的改變

3、。2.顧客需要與期望改變，可能影響公司產品的開發(fā)、生產過程、顧客服務、訂價及售后保證。3.同業(yè)競爭可能改變公司行銷或服務的作業(yè)。4.新的法令規(guī)定，例如環(huán)保、稅務及勞工等法令，可能迫使公司改變營運政策及策略。5.天然災害的發(fā)生可能改變公司的作業(yè)或信息系統(tǒng)，及可能須采取應變措施。6.經(jīng)濟情況的改變，可能影響公司有關融資、資本支出及擴充的決策。(二) 內在因素造成者：1.信息處理系統(tǒng)的故障或中斷，可能影響組織之營運活動。2.所雇用的員工的品質及訓練與考核方式，可能影響員工士氣，進而影響組織內部的控管意識。3.管理階層人員或職責的變動，可能影響某些控管的執(zhí)行成效。4.組織個體的活動特性及員工接近資產的

4、機會，可能導致公司資源遭受挪用或侵占。5.董事會由少數(shù)一、二人把持或監(jiān)察人未發(fā)揮監(jiān)督功能，可能使決策草率，或孤注一擲；或對公司的不佳業(yè)績及重大的控管缺失，未給予適當?shù)年P注及監(jiān)督。二、作業(yè)層級風險作業(yè)層級風險乃組織內各單位或事業(yè)部在其日常例行的營運活動過程，所遭受不利事件或行動影響的可能性。一般均依企業(yè)管理機能，評估其可能之風險，例如：(一) 生產風險：1.合格供貨商數(shù)量不足的風險2.產品品質未能符合市場需求的風險3.產能調整需時太長的風險4.設備損壞后高維修成本的風險5.人工短缺的風險(二) 行銷及銷售風險1.客戶取消訂單的風險2.應收帳款呆帳的風險3.銷售目標未能達成的風險4.銷售策略失敗的

5、風險5.價格高度競爭的風險一般企業(yè)針對作業(yè)層級風險，多系采用所謂交易循環(huán)(Transaction Cycles)的方法，設計適當之控管制度。任何風險對企業(yè)財務損失的影響，最后都會顯示在財務及會計信息上。但是并不是所有風險的不利影響都能夠予以量化，而且有些影響也非短期內就會浮現(xiàn)。每一種風險對企業(yè)的財務影響(包括收入、成本、盈余)之敏感性及程度，很難一概而論。例如：喪失商機、成本提高、產品售價下滑、意外災害損失、及營業(yè)中斷。貳、風險管理的規(guī)劃規(guī)劃一項有效的風險控管制度，首先必須了解產業(yè)特性、公司營業(yè)性質及經(jīng)營目標與策略，辨識風險的類型及其對營運活動沖擊之敏感性及程序。某些特定產業(yè)受到政府主管機關特

6、別的規(guī)范，例如銀行、證券、保險業(yè)，或上市/上柜的公司，于設計及規(guī)劃風險控管制度時也應特別考慮。其次，最高經(jīng)營者對冒險所抱持的態(tài)度，影響風險控管制度的建立及施行。有些經(jīng)營者較為冒進(aggressive)，喜歡冒險；有些比較保守，厭惡冒險。經(jīng)營任何企業(yè)不可能沒有風險，在合理可以忍受的程度內，冒點風險是必要的，但過猶不及，經(jīng)營企業(yè)過分冒險及不愿冒險，同樣是不會成功的。因此，最高管理階層對冒險的心態(tài)是否適當，影響了控管過程之設計與規(guī)劃。第三，控管必須要付出成本，因此成本與效益之考量，不可避免。有些經(jīng)營者討厭被控管，或認為控管代價太高或會影響經(jīng)營效率，或認為倒霉的風險不會落在他的單位或公司。對這些經(jīng)營

7、者而言，他們只看到控管的成本，而忽視控管的必要性與效益，因此他們對于控管之設計與執(zhí)行并不熱衷，也不太支持，甚至于逾越既訂之控管流程。參、風險管理過程風險管理是一種有系統(tǒng)的過程，包括制定經(jīng)營目的及目標、辨識風險、評估風險、擬定風險管理策略及持續(xù)監(jiān)控風險管理的績效。一、制定經(jīng)營目的及目標為使風險管理有效，它必須與公司的經(jīng)營目的、經(jīng)營策略及營運計劃相連結。所謂經(jīng)營目的乃是企業(yè)所欲追求的機會，或稱為使命(Mission)。企業(yè)根據(jù)使命，提出愿景(Vision)，然后擬訂策略及計劃。理想上，風險策略應與公司的其它經(jīng)營策略相一致。二、辨識經(jīng)營風險傳統(tǒng)上，大家談到風險或風險管理，只是俠義地指財務風險。以制造

8、業(yè)為例，傳統(tǒng)的風險把焦點放在財務事項，包括應收帳款呆帳、存貨呆滯過時、設備效能低落、及因舞弊造成的損失。以銀行業(yè)為例，傳統(tǒng)上的風險指的是利率風險、授信風險、貨幣風險、資金風險及流動性風險，其實，這只是財務風險而已，并非銀行業(yè)經(jīng)營的整體風險。 對任何產業(yè)及組織來說，一般可以把整體經(jīng)營風險分為以下五類：財務風險行銷及產品風險人力資源風險科技及其作業(yè)創(chuàng)新風險根據(jù)上述分類，一個典型的銀行業(yè)其所面臨的整體經(jīng)營風險圖標如下：行銷產品風險產品 通路市場 顧客法律主管 競爭財務風險利率貨幣授信流動性資金人力資源風險關鍵員工生產力品質關連性科技作業(yè)風險容量彈性成本績效安全錯誤創(chuàng)新風險新產品開發(fā)過時競爭者創(chuàng)舉當然

9、對于企業(yè)經(jīng)營風險的分類，可能有各種不同的分類方法，例如有人把風險分為四類：策略風險、營運風險、財務風險及信息風險。三、評估風險發(fā)生的可能性及其后果一旦關鍵性的風險被辨識之后，管理階層接著衡量風險發(fā)生的可能性及其對達成公司目標不利影響的嚴重性。以風險矩陣圖表示如下：可能性低高高嚴重性高嚴重性高嚴重性低可能性高可能性低可能性低嚴重性低嚴重性高可能性公司的資源有限，管理階層必須考量各種關鍵風險發(fā)生的可能性及嚴重性，然后擬訂適當?shù)娘L險管理政策。四、對經(jīng)營風險采取適當政策風險管理政策大致可分為下列三種：（一）規(guī)避：通常一個企業(yè)對于高風險的領域，都會采取規(guī)避的響應政策。所謂規(guī)避，嚴格來說，即放棄一項活動，

10、例如某一特定的產品研發(fā)或企業(yè)購并。（二）轉移：風險規(guī)避并非0與1的假設或選擇。管理階層可視情況采取共同分擔的方式(例如與同業(yè)共同研發(fā))，以分散風險。也可以購買保險的方式，轉移風險。（三）接受：如果風險是公司經(jīng)營模式所不可避免的，而且其沖擊或嚴重性為公司經(jīng)濟能力所能承受，則管理階層可以選擇接受該風險。可接受的風險包括二種：一種是接受以后，采取有效控制以減少風險的程度。另一種是低可能性及低嚴重性的風險，公司可以忍受而不必采取任何控制措施。五、持續(xù)監(jiān)控風險管理的績效風險管理過程的最后一個步驟，是針對風險管理能否確保公司目的及目標的達成，持續(xù)加以監(jiān)控。具體做法包括：把實際績效與預期的比較，執(zhí)行標竿，或

11、從市場取得一些回饋的信息。例如，事后評估導致高機會成本的決策；將風險管理的成功或失敗與公司特定的能力(包括策略、流程、人員、報告、制度)連結分析；從資本市場的投資者及證券分析師如何對公司績效的整體看法，檢討公司執(zhí)行風險管理的能力。肆、風險管理的重點一般企業(yè)把內部稽核之焦點放在控制本身，而非企業(yè)經(jīng)營所可能面臨之風險環(huán)境，因而忽略了對作業(yè)流程的評估。依照COSO的內部控制模式，在控制環(huán)境下，企業(yè)的流程控管分為下列三個步驟：(1)確定組織的目標，(2)評估風險，及(3)決定所須的控制。理想的控管制度，應從決定所需的控制，轉移到風險的管理。如下圖所示。管理風險評估風險確立機構之目標l 規(guī)避風險l 轉移

12、風險l 接受風險l 辨識風險l 衡量風險l 列出風險順序如把風險解釋為一項事件或行動，對機構成功達成其經(jīng)營目標或策略的威脅，則很顯然地，每一產業(yè)或經(jīng)濟個體所面臨的風險不同。但了解個別公司相關的經(jīng)營風險，卻為建立有效控管風險的首要工作。在一個充滿風險的環(huán)境里，經(jīng)理人必須關心的不僅限于內部控制，為了避免所有的或部分風險，經(jīng)理人可能選擇分散風險的方式，例如透過合約、保證及保險，經(jīng)理人甚至于可能決定容忍某種程度之風險。在許多情況下，此種做法對商業(yè)流程風險之管理比采行額外之控制，可能更具成本效益。風險管理制度要能發(fā)揮功效，至少必須具備下列幾個重點：1.最高管理階層必須重視與支持控管制度。各級管理階層必須

13、以身作則，堅持每一個單位或事業(yè)部都需認同支持。公司目標的訂定，必須基于長期競爭優(yōu)勢的考量，同時設有預警制度，能夠在財務損失發(fā)生前，顯示問題的存在及嚴重性，以便管理階層及時解決。2.做好信息與溝通?？毓苤贫鹊囊髴鞔_傳達給各適當管理階層及員工，而且應有暢通的管道，可以讓下情上達。要營造一個良好的控管環(huán)境，使員工愿意重視與遵循，并愿意講真話，把公司的問題當做自己的問題來處理。3.配合目標管理及例外管理，實施適當?shù)莫剳椭贫?。管理階層應經(jīng)常關注下屬的工作進度與公司的整體目標是否一致，有無落后，是否偏離。實施責任中心或利潤中心，對于例外或異常事項應適時介入輔導改善，并對于表現(xiàn)優(yōu)秀者，給予適當?shù)目隙ㄅc獎

14、賞。4.控管制度的設計，不宜過分嚴苛或流于形式，應基于風險的重大性及或然率，考量控管制度的成本與效益。太過注重安全，勢必使管理階層事事受掣肘，難有發(fā)揮空間；授權不足，經(jīng)理人事事請示，不敢做主。結果公司整體的營運效率勢必受到不利影響。風險控管流程應由各單位或機能的管理階層及員工負第一線的監(jiān)督責任。許多公司控管制度之執(zhí)行如未能落實，往往把責任推給內部稽核人員。沒錯，內部稽核對控管制度之實施成效，應定期或不定期加以客觀評估，但是事后的矯正措施，其效果不若平時由各單位管理階層之自行評估(Control self-assessment)，包括風險之辨識、衡量與控制，來得有效。伍、風險管理文化風險管理除了

15、要有一套明確的機制外，更重要的是要有一個適當?shù)娘L險管理文化。以下這些文化的建立，對有效的風險管理而言，十分重要：l 拒絕報喜不報憂最有效的風險管理是公司的文化鼓勵每一位員工扮演一個平衡的角色。他們應具有風險意識，并把重要的風險問題及時反應給管理階層注意，而且當風險可能提供重大報酬的機會時，同時以企業(yè)家的創(chuàng)新心態(tài)去面對及把握。l 居安思危，面對現(xiàn)實任何懲罰或忽視"惡訊"的文化，會使公司在預期及處理未預期的事件時所需要的溝通受到窒息。資深管理階層應該接受任何對公司有潛在威脅的訊息，并視個案，判斷如何妥善因應。l 不入虎穴，焉得虎子一個有效的風險文化是鼓勵員工迅速果斷的行動。誠實

16、評估風險，以積極的態(tài)度，視風險為資產，善加利用而非規(guī)避。除了上述風險管理文化的建立外，以下四點支持性的觀念，也必須獲得組織的全員共識：l 主動負責，沒有借口 每一位員工對于風險均采取主動負責的態(tài)度，一旦風險被發(fā)現(xiàn)時亦不須感到抱歉，因為風險是無法避免的，有時尚可化危機為轉機。l 接受事實，沒有抱怨 員工坦然接受風險的發(fā)生，不必抱怨好事未到，壞事卻來。重要的是妥善應對，甚至于預期風險的發(fā)生。l 坦承面對，沒有隱瞞 員工誠實不隱瞞，在發(fā)生問題時，迅速的檢討應如何解決。該求助時立即向上報告請求支持，不認為請求協(xié)助是展示弱點。若在上位者有寬大的胸懷，每一員工都會敢于面對，而非隱瞞等到事態(tài)嚴重時才爆發(fā)。l

17、 險即是機，沒有盲點每一位員工都了解風險就是機會，兩者亦步亦趨。在考慮到潛在損失的同時，亦考慮到潛在報酬。如果畏首畏尾，抱著不做不錯的態(tài)度，將一事無成。陸、內部稽核人員在風險管理扮演的角色除經(jīng)營策略外，董事會最常討論的議題是風險。一些國際知名的公司都曾經(jīng)遭受過未預期風險的痛苦，從產品的失敗或重大瑕疵，到未遵循法令之嚴重錯誤，到科技或實體的災害。為使董事們睡得安穩(wěn)，他們必須有信心：重大的驚奇不會沖擊他們的公司。一個經(jīng)營成功的公司對風險的看法是，風險不僅是危險，也是一個機會。有效的董事會認知，任何一個公司都是從事冒險的事業(yè)，過猶不及。為取得平衡，董事們應確定：l 管理階層有一個有效的流程以辨識、評

18、估及管理風險。l 風險管理行動與組織的策略及經(jīng)營目標相結合。l 了解重大風險及管理階層如何響應此等風險。l 組織文化對風險管理的績效給予適當獎勵。通常董事在監(jiān)督公司的風險方面若有失職責，系因其忽略確定組織有一有效的持續(xù)過程，以辨識及衡量風險對營運的各種假設的潛在沖擊，并事先做好必要的控管。董事們也很可能未及時被告知組織所面臨的最重大的風險，或對風險已采取適當?shù)男袆?。傳統(tǒng)的內部稽核作業(yè)偏重于遵循測試及流程控制。隨著環(huán)境的改變，稽核重點逐漸轉移到企業(yè)整體的風險管理及價值創(chuàng)造。換句話說，內部稽核的焦點應以風險為導向，不再局限于辨識及測試控制，應擴及辨識風險及測試管理階層如何減輕這些風險的機制。內部稽

19、核人員應該測試的是：這些風險如何被有效管理？而不是對這些風險的控制是否妥當及有效？為發(fā)展此一風險導向的稽核模式，組織的領導人必須首先認知他們的需要及期望的效益。然后辨識及了解他們的特定營運及財務風險，界定愿意接受的風險水平，接著發(fā)展內部稽核的功能以有效監(jiān)控衡量及管理這些風險。工作本身可能沒有改變，但是隨著焦點轉移到高風險領域，內部稽核人員必須有新的不同專業(yè)技能及工作團隊。如下圖所示，以風險為導向的新稽核模式，跟傳統(tǒng)的比較，主要差異在于執(zhí)行實際稽核工作之前，先做策略分析及經(jīng)營流程分析。在理想的經(jīng)營循環(huán)里，內部稽核應首先對組織的產業(yè)、經(jīng)營的目標及策略、以及相關的風險響應，執(zhí)行策略分析。諸如：l 在

20、組織所屬的產業(yè)及市場環(huán)境下，我們的目標及策略是什么？l 未來我們的核心經(jīng)營流程，受到主管機關或其它競爭者的影響，可能會被迫做什么改變？l 什么樣的基本風險影響我們的經(jīng)營策略？以及我們的控制環(huán)境如何有助于減少這些風險？ 內部稽核方法新論策略分析外界力量市場聯(lián)盟產品顧客經(jīng)營流程分析策略管理核心經(jīng)營流程資源管理流程風險與控制評估經(jīng)營風險與控制Source: KPMG New Strategies and Best Practices in Internal Audit系統(tǒng) 結果 動因經(jīng)營績效評估瓶頸與機會對組織而言，控制固然永遠是重要的，但是組織的關鍵性經(jīng)營風險及曝露應該是內部稽核的最高焦點。例如，對麥當勞快餐店的成功經(jīng)營而言，薯條的品質、服務的快速及廚房的干凈，遠比某些收款機短少720來得重要。其次，內部稽核在組織的既定目標、策略及重大經(jīng)營風險的情況下，必須使用信息以決定各主要經(jīng)營流程的策略攸關性、固有風險及控制環(huán)境?；谶@些結論，內部稽核人員在詳細分析主要的經(jīng)營流程時，可以把焦點放在可能發(fā)生重大風險的營運活動，及那些可能帶來機會的活動。根據(jù)策略分析的結果，組織必須辨識最重要的那些經(jīng)營流程，確定針對這些流程已經(jīng)采取有效的風險響應。評估風險曝露及相關的風險響應，必須評估對企業(yè)的經(jīng)濟價值構成威脅的重要性。應用80-20的規(guī)則，將80的風