企业风险管理培训教材

风险治理与内部稽核人员的角色扮演

林柄沧【编按：本文原系中华民国内部稽核协会于两岸学术研讨会议所发表文章，经征得作者同意转载。】

在科技发达的今天，利用科技能够使一家公司或产品转型，但改日可能由于下一波科技的推陈出新，而使产品过时被淘汰；今天顾客对公司的产品或服务特不中意，然而改日有可能因为竞争者的优势，而把客户抢走；今天公司的财产充分发挥功能，达到目的，但改日你的实体财产可能变为负担，因为在知识经济时代，企业最值钞票的资产是无形的。因此企业经营者应该有昨是今非，居安思危的风险观念。

任何组织之营运，均可能因为未预期的不利事件发生而阻碍其绩效品质及目标达成。企业经营与风险，如影随形，可努力减轻，却无法消除。因此最高经营者均应建立风险治理机制，对风险加以有效控管，以确保下列三项目标之达成：

●营运活动的效率及效果

●财务报告的可靠性

●相关法令的遵循

风险是指一项行动或事件发生，对组织造成不利阻碍或然率。简单地讲，对组织目标未能达成的可能性，就叫做风险。风险来源一般可分为组织层级(corporate level)及作业层级(operating level)。组织层级之风险又可分为外来因素造成者及内在因素造成者。

一、组织层级风险

依照COSO的研究报告，属于组织层级的风险，可再依其来源分不列举如下：

(一)外来因素造成者

1.科技进展可能阻碍公司研究的性质及时机，或导致原料采购的改

变。

2.顾客需要与期望改变，可能阻碍公司产品的开发、生产过程、顾

客服务、订价及售后保证。

3.同业竞争可能改变公司行销或服务的作业。

4.新的法令规定，例如环保、税务及劳工等法令，可能迫使公司改

变营运政策及策略。

5.天然灾难的发生可能改变公司的作业或信息系统，及可能须采取

应变措施。

6.经济情况的改变，可能阻碍公司有关融资、资本支出及扩充的决

策。

(二)内在因素造成者：

1.信息处理系统的故障或中断，可能阻碍组织之营运活动。

2.所雇用的职员的品质及训练与考核方式，可能阻碍职员士气，进

而阻碍组织内部的控管意识。

3.治理阶层人员或职责的变动，可能阻碍某些控管的执行成效。

4.组织个体的活动特性及职员接近资产的机会，可能导致公司资源

遭受挪用或侵占。

5.董事会由少数一、二人把持或监察人未发挥监督功能，可能使决

策草率，或孤注一掷；或对公司的不佳业绩及重大的控管缺失，

未给予适当的关注及监督。

二、作业层级风险

作业层级风险乃组织内各单位或事业部在其日常例行的营运活动过程，所遭受不利事件或行动阻碍的可能性。一般均依企业治理机能，评

估其可能之风险，例如：

(一)生产风险：

1.合格供货商数量不足的风险

2.产品品质未能符合市场需求的风险

3.产能调整需时太长的风险

4.设备损坏后高维修成本的风险

5.人工短缺的风险

(二)行销及销售风险

1.客户取消订单的风险

2.应收帐款呆帐的风险

3.销售目标未能达成的风险

4.销售策略失败的风险

5.价格高度竞争的风险

一般企业针对作业层级风险，多系采纳所谓「交易循环」(Transaction Cycles)的方法，设计适当之控管制度。

任何风险对企业财务损失的阻碍，最后都会显示在财务及会计信息上。然而并不是所有风险的不利阻碍都能够予以量化，而且有些阻碍也非短期内就会出现。

每一种风险对企业的财务阻碍(包括收入、成本、盈余)之敏感性及程度，专门难一概而论。例如：丧失商机、成本提高、产品售价下滑、意外灾难损失、及营业中断。

规划一项有效的风险控管制度，首先必须了解产业特性、公司营业性质及经营目标与策略，辨识风险的类型及其对营运活动冲击之敏感性及程序。某些特定产业受到政府主管机关特不的规范，例如银行、证券、保险

业，或上市/上柜的公司，于设计及规划风险控管制度时也应特不考虑。

其次，最高经营者对冒险所抱持的态度，阻碍风险控管制度的建立及施行。有些经营者较为冒进(aggressive)，喜爱冒险；有些比较保守，厌恶冒险。经营任何企业不可能没有风险，在合理能够忍受的程度内，冒点风险是必要的，但过犹不及，经营企业过分冒险及不愿冒险，同样是可不能成功的。因此，最高治理阶层对冒险的心态是否适当，阻碍了控管过程之设计与规划。

第三，控管必须要付出成本，因此成本与效益之考量，不可幸免。有些经营者讨厌被控管，或认为控管代价太高或会阻碍经营效率，或认为倒霉的风险可不能落在他的单位或公司。对这些经营者而言，他们只看到控管的成本，而忽视控管的必要性与效益，因此他们关于控管之设计与执行并不热衷，也不太支持，甚至于逾越既订之控管流程。

风险治理是一种有系统的过程，包括制定经营目的及目标、辨识风险、评估风险、拟定风险治理策略及持续监控风险治理的绩效。

一、制定经营目的及目标

为使风险治理有效，它必须与公司的经营目的、经营策略及营运打算相连结。所谓经营目的乃是企业所欲追求的机会，或称为使命

(Mission)。企业依照使命，提出愿景(Vision)，然后拟订策略及打算。

理想上，风险策略应与公司的其它经营策略相一致。

二、辨识经营风险

传统上，大伙儿谈到风险或风险治理，只是侠义地指财务风险。以制造业为例，传统的风险把焦点放在财务事项，包括应收帐款呆帐、存货呆滞过时、设备效能低落、及因舞弊造成的损失。以银行业为例，传统上的风险指的是利率风险、授信风险、货币风险、资金风险及流淌性

风险，事实上，这只是财务风险而已，并非银行业经营的整体风险。

对任何产业及组织来讲，一般能够把整体经营风险分为以下五类：˙财务风险

˙行销及产品风险

˙人力资源风险

˙科技及其作业

˙创新风险

依照上述分类，一个典型的银行业其所面临的整体经营风险图标如下：