2023年王家荣风险管理与内部稽核人员的角色扮演.doc

营销专家——王家荣 整理 营销培训网XinXin100.COM 欢送交流 风险管理与内部稽核人员的角色扮演 林柄沧 【编按：本文原系中华民国内部稽核协会于两岸学术研讨会议所发表文章，经征得作者同意转载。】 在科技兴旺的今天，利用科技可以使一家公司或产品转型，但明天可能由于下一波科技的推陈出新，而使产品过时被淘汰；今天顾客对公司的产品或效劳非常满意，但是明天有可能因为竞争者的优势，而把客户抢走；今天公司的财产充分发挥功能，到达目的，但明天你的实体财产可能变为负担，因为在知识经济时代，企业最值钱的资产是无形的。因此企业经营者应该有昨是今非，居安思危的风险观念。 任何组织之营运，均可能因为未预期的不利事件发生而影响其绩效品质及目标达成。企业经营与风险，如影随形，可努力减轻，却无法消除。因此最高经营者均应建立风险管理机制，对风险加以有效控管，以确保以下三项目标之达成： l 营运活动的效率及效果 l 财务报告的可靠性 l 相关法令的遵循 壹、风险的来源 风险是指一项行动或事件发生，对组织造成不利影响或然率。简单地说，对组织目标未能达成的可能性，就叫做风险。风险来源一般可分为组织层级(corporate level)及作业层级(operating level)。组织层级之风险又可分为外来因素造成者及内在因素造成者。 一、组织层级风险 依照COSO的研究报告，属于组织层级的风险，可再依其来源分别列举如下： (一) 外来因素造成者 1.科技开展可能影响公司研究的性质及时机，或导致原料采购的改变。 2.顾客需要与期望改变，可能影响公司产品的开发、生产过程、顾客效劳、订价及售后保证。 3.同业竞争可能改变公司行销或效劳的作业。 4.新的法令规定，例如环保、税务及劳工等法令，可能迫使公司改变营运政策及策略。 5.天然灾害的发生可能改变公司的作业或信息系统，及可能须采取应变措施。 6.经济情况的改变，可能影响公司有关融资、资本支出及扩充的决策。 (二) 内在因素造成者： 1.信息处理系统的故障或中断，可能影响组织之营运活动。 2.所雇用的员工的品质及训练与考核方式，可能影响员工士气，进而影响组织内部的控管意识。 3.管理阶层人员或职责的变动，可能影响某些控管的执行成效。 4.组织个体的活动特性及员工接近资产的时机，可能导致公司资源遭受挪用或侵占。 5.董事会由少数一、二人把持或监察人未发挥监督功能，可能使决策草率，或孤注一掷；或对公司的不佳业绩及重大的控管缺失，未给予适当的关注及监督。 二、作业层级风险 作业层级风险乃组织内各单位或事业部在其日常例行的营运活动过程，所遭受不利事件或行动影响的可能性。一般均依企业管理机能，评估其可能之风险，例如： (一) 生产风险： 1.合格供货商数量缺乏的风险 2.产品品质未能符合市场需求的风险 3.产能调整需时太长的风险 4.设备损坏后高维修本钱的风险 5.人工短缺的风险 (二) 行销及销售风险 1.客户取消订单的风险 2.应收帐款呆帐的风险 3.销售目标未能达成的风险 4.销售策略失败的风险 5.价格高度竞争的风险 一般企业针对作业层级风险，多系采用所谓「交易循环」(Transaction Cycles)的方法，设计适当之控管制度。 任何风险对企业财务损失的影响，最后都会显示在财务及会计信息上。但是并不是所有风险的不利影响都能够予以量化，而且有些影响也非短期内就会浮现。 每一种风险对企业的财务影响(包括收入、本钱、盈余)之敏感性及程度，很难一概而论。例如：丧失商机、本钱提高、产品售价下滑、意外灾害损失、及营业中断。 贰、风险管理的规划 规划一项有效的风险控管制度，首先必须了解产业特性、公司营业性质及经营目标与策略，辨识风险的类型及其对营运活动冲击之敏感性及程序。某些特定产业受到政府主管机关特别的标准，例如银行、证券、保险业，或上市/上柜的公司，于设计及规划风险控管制度时也应特别考虑。 其次，最高经营者对冒险所抱持的态度，影响风险控管制度的建立及施行。有些经营者较为冒进(aggressive)，喜欢冒险；有些比拟保守，厌恶冒险。经营任何企业不可能没有风险，在合理可以忍受的程度内，冒点风险是必要的，但过犹不及，经营企业过分冒险及不愿冒险，同样是不会成功的。因此，最高管理阶层对冒险的心态是否适当，影响了控管过程之设计与规划。 第三，控管必须要付出本钱，因此本钱与效益之考量，不可防止。有些经营者讨厌被控管，或认为控管代价太高或会影响经营效率，或认为倒霉的风险不会落在他的单位或公司。对这些经营者而言，他们只看到控管的本钱，而无视控管的必要性与效益，因此他们对于控管之设计与执行并不热衷，也不太支持，甚至于逾越既订之控管流程。 参、风险管理过程 风险管理是一种有系统的过程，包括制定经营目的及目标、辨识风险、评估风险、拟定风险管理策略及持续监控风险管理的绩效。 一、制定经营目的及目标 为使风险管理有效，它必须与公司的经营目的、经营策略及营运方案相连结。所谓经营目的乃是企业所欲追求的时机，或称为使命(Mission)。企业根据使命，提出愿景(Vision)，然后拟订策略及方案。理想上，风险策略应与公司的其它经营策略相一致。 二、辨识经营风险 传统上，大家谈到风险或风险管理，只是侠义地指财务风险。以制造业为例，传统的风险把焦点放在财务事项，包括应收帐款呆帐、存货呆滞过时、设备效能低落、及因舞弊造成的损失。以银行业为例，传统上的风险指的是利率风险、授信风险、货币风险、资金风险及流动性风险，其实，这只是财务风险而已，并非银行业经营的整体风险。 对任何产业及组织来说，一般可以把整体经营风险分为以下五类： ˙财务风险 ˙行销及产品风险 ˙人力资源风险 ˙科技及其作业 ˙创新风险 根据上述分类，一个典型的银行业其所面临的整体经营风险图标如下： 行销／产品风险 ˙产品 ˙通路 ˙市场 ˙顾客 ˙法律／主管 ˙竞争 财务风险 ˙利率 ˙货币 ˙授信 ˙流动性 ˙资金 人力资源风险 ˙关键员工 ˙生产力／品质 ˙关连性 科技／作业风险 ˙容量／弹性 ˙本钱／绩效 ˙安全／错误 创新风险 ˙新产品开发 ˙过时 ˙竞争者创举 当然对于企业经营风险的分类，可能有各种不同的分类方法，例如有人把风险分为四类：策略风险、营运风险、财务风险及信息风险。 三、评估风险发生的可能性及其后果 一旦关键性的风险被辨识之后，管理阶层接着衡量风险发生的可能性及其对达成公司目标不利影响的严重性。以风险矩阵图表示如下： 可能性 低 高 高 严重性 高严重性 高严重性 低可能性 高可能性 低可能性 低严重性 低严重性 高可能性 公司的资源有限，管理阶层必须考量各种关键风险发生的可能性及严重性，然后拟订适当的风险管理政策。 四、对经营风险采取适当政策 风险管理政策大致可分为以下三种： 〔一〕躲避：通常一个企业对于高风险的领域，都会采取躲避的响应政策。所谓躲避，严格来说，即放弃一项活动，例如某一特定的产品研发或企业购并。 〔二〕转移：风险躲避并非0与1的假设或选择。管理阶层可视情况采取共同分担的方式(例如与同业共同研发)，以分散风险。也可以购置保险的方式，转移风险。 〔三〕接受：如果风险是公司经营模式所不可防止的，而且其冲击或严重性为公司经济能力所能承受，那么管理阶层可以选择接受该风险。可接受的风险包括二种：一种是接受以后，采取有效控制以减少风险的程度。另一种是低可能性及低严重性的风险，公司可以忍受而不必采取任何控制措施。 五、持续监控风险管理的绩效 风险管理过程的最后一个步骤，是针对风险管理能否确保公司目的及目标的达成，持续加以监控。具体做法包括：把实际绩效与预期的比拟，执行标竿，或从市场取得一些回馈的信息。例如，事后评估导致高时机本钱的决策；将风险管理的成功或失败与公司特定的能力(包括策略、流程、人员、报告、制度)连结分析；从资本市场的投资者及证券分析师如何对公司绩效的整体看法，检讨公司执行风险管理的能力。 肆、风险管理的重点 一般企业把内部稽核之焦点放在「控制」本身，而非企业经营所可能面临之风险环境，因而忽略了对「作业流程」的评估。依照COSO的内部控制模式，在控制环境下，企业的流程控管分为以下三个步骤：(1)确定组织的目标，(2)评估风险，及(3)决定所须的控制。 理想的控管制度，应从决定所需的控制，转移到风险的管理。如以以下图所示。 管理风险 评估风险 确立机构之目标 l 躲避风险 l 转移风险 l 接受风险 l 辨识风险 l 衡量风险 l 列出风险顺序 如把风险解释为一项事件或行动，对机构成功达成其经营目标或策略的威胁，那么很显然地，每一产业或经济个体所面临的风险不同。但了解个别公司相关的经营风险，却为建立有效控管风险的首要工作。 在一个充满风险的环境里，经理人必须关心的不仅限于内部控制，为了防止所有的或局部风险，经理人可能选择分散风险的方式，例如透过合约、保证及保险，经理人甚至于可能决定容忍某种程度之风险。在许多情况下，此种做法对商业流程风险之管理比采行额外之控制，可能更具本钱效益。 风险管理制度要能发挥成效，至少必须具备以下几个重点： 1.最高管理阶层必须重视与支持控管制度。各级管理阶层必须以身作那么，坚持每一个单位或事业部都需认同支持。公司目标的订定，必须基于长期竞争优势的考量，同时设有预警制度，能够在财务损失发生前，显示问题的存在及严重性，以便管理阶层及时解决。 2.做好信息与沟通。控管制度的要求应明确传达给各适当管理阶层及员工，而且应有畅通的管道，可以让下情上达。要营造一个良好的控管环境，使员工愿意重视与遵循，并愿意讲真话，把公司的问题当做自己的问题来处理。 3.配合目标管理及例外管理，实施适当的奖惩制度。管理阶层应经常关注下属的工作进度与公司的整体目标是否一致，有无落后，是否偏离。实施责任中心或利润中心，对于例外或异常事项应适时介入辅导改善，并对于表现优秀者，给予适当的肯定与奖赏。 4.控管制度的设计，不宜过分严苛或流于形式，应基于风险的重大性及或然率，考量控管制度的本钱与效益。太过注重安全，势必使管理阶层事事受掣肘，难有发挥空间；授权缺乏，经理人事事请示，不敢做主。结果公司整体的营运效率势必受到不利影响。 风险控管流程应由各单位或机能的管理阶层及员工负第一线的监督责任。许多公司控管制度之执行如未能落实，往往把责任推给内部稽核人员。没错，内部稽核对控管制度之实施成效，应定期或不定期加以客观评估，但是事后的矫正措施，其效果不假设平时由各单位管理阶层之自行评估(Control self-assessment)，包括风险之辨识、衡量与控制，来得有效。 伍、风险管理文化 风险管理除了要有一套明确的机制外，更重要的是要有一个适当的风险管理文化。以下这些文化的建立，对有效的风险管理而言，十分重要： l 拒绝报喜不报忧 最有效的风险管理是公司的文化鼓励每一位员工扮演一个平衡的角色。他们应具有风险意识，并把重要的风险问题及时反响给管理阶层注意，而且当风险可能提供重大报酬的时机时，同时以企业家的创新心态去面对及把握。 l 居安思危，面对现实 任何惩罚或无视"恶讯"的文化，会使公司在预期及处理未预期的事件时所需要的沟通受到窒息。资深管理阶层应该接受任何对公司有潜在威胁的讯息，并视个案，判断如何妥善因应。 l 不入虎穴，焉得虎子 一个有效的风险文化是鼓励员工迅速果断的行动。老实评估风险，以积极的态度，视风险为资产，善加利用而非躲避。 除了上述风险管理文化的建立外，以下四点支持性的观念，也必须获得组织的全员共识： l