文档介绍:风险管理与内部稽核人员的角色扮演
林柄沧
【编按:本文原系中华民国内部稽核协会于两岸学术研讨会议所发表文章,经征得作者同意转载。】
在科技发达的今天,利用科技可以使一家公司或产品转型,但明天可能由于下一波科技的推陈出新,而使产品过时被淘汰;今天顾客对公司的产品或服务非常满意,但是明天有可能因为竞争者的优势,而把客户抢走;今天公司的财产充分发挥功能,达到目的,但明天你的实体财产可能变为负担,因为在知识经济时代,企业最值钱的资产是无形的。因此企业经营者应该有昨是今非,居安思危的风险观念。
任何组织之营运,均可能因为未预期的不利事件发生而影响其绩效品质及目标达成。企业经营与风险,如影随形,可努力减轻,却无法消除。因此最高经营者均应建立风险管理机制,对风险加以有效控管,以确保下列三项目标之达成:
营运活动的效率及效果
财务报告的可靠性
相关法令的遵循
壹、风险的来源
风险是指一项行动或事件发生,对组织造成不利影响或然率。简单地说,对组织目标未能达成的可能性,就叫做风险。风险来源一般可分为组织层级(corporate level)及作业层级(operating level)。组织层级之风险又可分为外来因素造成者及内在因素造成者。
一、组织层级风险
依照COSO的研究报告,属于组织层级的风险,可再依其来源分别列举如下:
外来因素造成者
,或导致原料采购的改变。
,可能影响公司产品的开发、生产过程、顾客服务、订价及售后保证。
。
,例如环保、税务及劳工等法令,可能迫使公司改变营运政策及策略。
,及可能须采取应变措施。
,可能影响公司有关融资、资本支出及扩充的决策。
内在因素造成者:
,可能影响组织之营运活动。
,可能影响员工士气,进而影响组织内部的控管意识。
,可能影响某些控管的执行成效。
,可能导致公司资源遭受挪用或侵占。
、二人把持或监察人未发挥监督功能,可能使决策草率,或孤注一掷;或对公司的不佳业绩及重大的控管缺失,未给予适当的关注及监督。
二、作业层级风险
作业层级风险乃组织内各单位或事业部在其日常例行的营运活动过程,所遭受不利事件或行动影响的可能性。一般均依企业管理机能,评估其可能之风险,例如:
生产风险:
行销及销售风险
一般企业针对作业层级风险,多系采用所谓「交易循环」(Transaction Cycles)的方法,设计适当之控管制度。
任何风险对企业财务损失的影响,最后都会显示在财务及会计信息上。但是并不是所有风险的不利影响都能够予以量化,而且有些影响也非短期内就会浮现。
每一种风险对企业的财务影响(包括收入、成本、盈余)之敏感性及程度,很难一概而论。例如:丧失商机、成本提高、产品售价下滑、意外灾害损失、及营业中断。
贰、风险管理的规划
规划一项有效的风险控管制度,首先必须了解产业特性、公司营业性质及经营目标与策略,辨识风险的类型及其对营运活动冲击之敏感性及程序。某些特定产业受到政府主管机关特别的规范,例如银行、证券、保险业,或上市/上柜的公司,于设计及规划风险控管制度时也应特别考虑。
其次,最高经营者对冒险所抱持的态度,影响风险控管制度的建立及施行。有些经营者较为冒进(aggressive),喜欢冒险;有些比较保守,厌恶冒险。经营任何企业不可能没有风险,在合理可以忍受的程度内,冒点风险是必要的,但过犹不及,经营企业过分冒险及不愿冒险,同样是不会成功的。因此,最高管理阶层对冒险的心态是否适当,影响了控管过程之设计与规划。
第三,控管必须要付出成本,因此成本与效益之考量,不可避免。有些经营者讨厌被控管,或认为控管代价太高或会影响经营效率,或认为倒霉的风险不会落在他的单位或公司。对这些经营者而言,他们只看到控管的成本,而忽视控管的必要性与效益,因此他们对于控管之设计与执行并不热衷,也不太支持,甚至于逾越既订之控管流程。
参、风险管理过程
风险管理是一种有系统的过程,包括制定经营目的及目标、辨识风险、评估风险、拟定风险管理策略及持续监