风险管理与内部稽核人员的角色扮演(一)

风险管理与内部稽核人员的角色扮演(一)

在科技发达的今天，利用科技可以使一家公司或产品转型，但明天可能由于下一波科技的推陈出新，而使产品过时被淘汰；今天顾客对公司的产品或服务非常满意，但是明天有可能因为竞争者的优势，而把客户抢走；今天公司的财产充分发挥功能，达到目的，但明天你的实体财产可能变为负担，因为在知识经济时代，企业最值钱的资产是无形的。因此，企业经营者应该有昨是今非，居安思危的风险观念。

任何组织之营运，均可能因为未预期的不利事件发生而影响其绩效品质及目标达成。企业经营与风险，如影随形，可努力减轻，却无法消除。因此最高经营者均应建立风险管理机制，对风险加以有效控管，以确保下列三项目标之达成：营运活动的效率及效果；财务报告的可靠性；相关法令的遵循。

一、风险的来源

风险是一项行动或事件发生，对组织造成不利影响的或然率。简单地说，对组织目标未能达成的可能性，就叫做风险。风险来源一般可分为组织层级（corporatelevel）及作业层级（opcratinglevel）。组织层级之风险又可分为外来因素造成者及内在因素造成者。

（－）组织层级风险

依照COSO的研究报告，属于组织层级的风险，可再依其来源分别列举如下：

l、外来因素造成者：（l）科技发展可能影响公司研究的性质及时机，或导致原料采购的改变。（2）顾客需要与期望改变，可能影响公司产品的开发。生产过程、顾客服务、订价及售后保证。（3）同业竞争可能改变公司行销或服务的作业。（4）新的法令规定，例如环保、税务及劳工等法令，可能迫使公司改变营运政策及策略。（5）天然灾害的发生可能改变公司的作业或资讯系统，及可能须采取应变措施。（6）经营情况的改变，可能影响公司有关融资。资本支出及扩充的决策。

2、内在因素造成者：（1）资讯处理系统的故障或中断，可能影响组织之营运活动。（2）所雇佣的员工的品质及训练与考核方式，可能影响员工士气，进而影响组织内部的控管意识。（3）管理阶层人员或职责的变动，可能影响某些控管的执行成效。（4）组织个体的活动特性及员工接近资产的机会，可能导致公司资源遭受挪用或侵占。（5）董事会由少数人把持或监察人未发挥监督功能，可能使决策草率，或孤注一掷；或对公司的不佳业绩及重大的控管缺失，未给予适当的关注及监督。

（二）作业层级风险

作业层级风险乃组织内各单位或事业部在其日常例行的营运活动过程，所遭受不利事件或行动影响的可能性。一般均依企业管理机能，评估其可能之风险，例如：

l、生产风险：（1）合格供应商数量不足的风险。（2）产品品质未能符合市场需求的风险。（2）产能调整需时太长的风险。（4）设备损坏后高维修成本的风险。（5）人工短缺的风险。

2.行销及销售风险：（1）客户取消订单的风险。（2）应收账款呆账的风险。（3）销售目标未能达成的风险。（4）销售策略失败的风险。（5）价格高度竞争的风险。

一般企业针对作业层级风险，多系采用所谓“交易循环”（TransactionCycles）的方法，设计适当之控管制度。

任何风险对企业财务损失的影响，最后都会显示在财务及会计资讯上。但是并不是所有风险的不利影响都能够予以量化，而且有些影响也非短期内就会浮现。

每一种风险对企业的财务影响（包括收入、成本、盈余）之敏感性及程度，很难一概而论。例如：丧失商机、成本提高、产品售价下滑、意外灾害损失及营业中断。

二、风险管理的规划

规划一项有效的风险控管制度，首先必须了解产业特性、公司营业性质及经营目标与策略，辨识风险的类型及其对营运活动冲击之敏感性及程序。某些特定产业受到政府主管机关特别

的规范，例如银行、证券、保险业或上市／上柜的公司，于设计及规划风险控管制度时也应特别考虑。

其次，最高经营者对冒险所持的态度，影响风险控管制度的建立及施行。有些经营者较为冒进（aggressive），喜欢冒险；有些比较保守，厌恶冒险。经营任何企业不可能没有风险，在合理可以忍受的程度内，冒点风险是必要的，但过犹不及，经营企业过分冒险及不愿冒险，同样是不会成功的。因此，最高管理阶层对冒险的心态是否适当，影响了控管过程之设计与规划。

第三，控管必须要付出成本，因此成本与效益之考量，不可避免。有些经营者讨厌被控管，或认为控管代价太高或会影响经营效率，或认为倒霉的风险不会落在他的单位或公司。对这些经营者而言，他们只看到控管的成本，而忽视控管的必要性与效益，因此他们对于控管之设计与执行并不热衷，也不太支持，甚至于逾越既订之控管流程。

三、风险管理过程

风险管理是一种有系统的过程，包括制定经营目的及目标、辨识风险、评估风险、拟定风险管理策略及持续监控风险管理的绩效。

（－）制定经营目的及目标

为使风险管理有效，它必须与公司的经营目的、经营策略及营运计划相连结。所谓经营目的乃是企业所欲追求的机会，或称为使命（Mission）。企业根据使命，提出愿景（Vision），然后拟订策略及计划。理想上，风险策略应与公司的其他经营策略相一致。

（二）辨识经营风险

传统上，大家谈到风险或风险管理，只是狭义的指财务风险。以制造业为例，传统的风险把焦点放在财务事项，包括应收账款呆账、存货呆滞过时、设备效能低落及因舞弊造成的损失。以银行业为例，传统上的风险指的是利率风险、授信风险、货币风险、资金风险及流动性风险，其实，这只是财务风险而已，并非银行业经营的整体风险。

对任何产业及组织来说，一般可以把整体经营风险分为以下五类：财务风险；行销及产品风险；人力资源风险；科技及其作业；创新风险。

根据上述分类，一个典型的银行业其所面临的整体经营风险如下：

l、财务风险（利率、货币、授信、流动性、资金）。

2、行销／产品风险（产品、市场、法律／主管、通路、顾客、竞争）。

3、科技／作业风险（容量／弹性、成本／绩效、安全／错误）。

4.创新风险（新产品开发、过时、竞争者创举）。

5、人力资源风险（关键员工、生产力／品质、关联性）。

（三）评估风险发生的可能性及其后果

一旦关键性的风险被辨识之后，管理阶层接着衡量风险发生的可能性及其对达成公司目标不利影响的严重性。公司的资源有限，管理阶层必须考量各种关键风险发生的可能性及严重性，然后拟订适当的风险管理政策。

（四）对经营风险采取适当政策

风险管理政策大致可分为下列三种：

l、规避：通常一个企业对于高风险的领域，都会采取规避的回应政策。所谓规避，严格来说，即放弃一项活动，例如某一特定的产品研发或企业购并。

2.转移：风险规避并非0与1的假设或选择。管理阶层可视情况采取共同分担的方式（例如与同业共同研发），以分散风险。也可以购买保险的方式，转移风险。

3、接受：如果风险是公司经营模式所不可避免的，而且其冲击或严重性为公司经济能力所能承受，则管理阶层可以选择接受该风险。可接受的风险包括二种：一种是接受以后，采取有效控制以减少风险的程度。另一种是低可能性及低严重性的风险，公司可以忍受而不必采