风险管理与内部稽核人员的角色扮演

1、Evaluation Warning: The document was created with Spire.Doc for .NET.风险管理与内部稽核人员的角色扮演 林柄沧【编按：本文原系中华民国内部稽核协会于两岸学术研讨会议所发表文章，经征得作者同意转载。】在科技发达达的今天天，利用用科技可可以使一一家公司司或产品品转型，但但明天可可能由于于下一波波科技的的推陈出出新，而而使产品品过时被被淘汰；今天顾顾客对公公司的产产品或服服务非常常满意，但但是明天天有可能能因为竞竞争者的的优势，而而把客户户抢走；今天公公司的财财产充分分发挥功功能，达达到目的的，但明明天你的的实体财财产可能能变为负负

2、担，因因为在知知识经济济时代，企企业最值值钱的资资产是无无形的。因因此企业业经营者者应该有有昨是今今非，居居安思危危的风险险观念。任何组织织之营运运，均可可能因为为未预期期的不利利事件发发生而影影响其绩绩效品质质及目标标达成。企企业经营营与风险险，如影影随形，可可努力减减轻，却却无法消消除。因因此最高高经营者者均应建建立风险险管理机机制，对对风险加加以有效效控管，以以确保下下列三项项目标之之达成：营运活动的的效率及及效果财务报告的的可靠性性相关法令的的遵循壹、风险的的来源风险是指一一项行动动或事件件发生，对对组织造造成不利利影响或或然率。简简单地说说，对组组织目标标未能达达成的可可能性，就就叫

3、做风风险。风风险来源源一般可可分为组组织层级级(coorpooratte lleveel)及及作业层层级(ooperratiing levvel)。组织织层级之之风险又又可分为为外来因因素造成成者及内内在因素素造成者者。一、组织层层级风险险依照COSSO的研研究报告告，属于于组织层层级的风风险，可可再依其其来源分分别列举举如下：外来因素造造成者1.科技发发展可能能影响公公司研究究的性质质及时机机，或导导致原料料采购的的改变。2.顾客需需要与期期望改变变，可能能影响公公司产品品的开发发、生产产过程、顾顾客服务务、订价价及售后后保证。3.同业竞竞争可能能改变公公司行销销或服务务的作业业。4.新的法

4、法令规定定，例如如环保、税税务及劳劳工等法法令，可可能迫使使公司改改变营运运政策及及策略。5.天然灾灾害的发发生可能能改变公公司的作作业或信信息系统统，及可可能须采采取应变变措施。6.经济情情况的改改变，可可能影响响公司有有关融资资、资本本支出及及扩充的的决策。内在因素造造成者：1.信息处处理系统统的故障障或中断断，可能能影响组组织之营营运活动动。2.所雇用用的员工工的品质质及训练练与考核核方式，可可能影响响员工士士气，进进而影响响组织内内部的控控管意识识。3.管理阶阶层人员员或职责责的变动动，可能能影响某某些控管管的执行行成效。4.组织个个体的活活动特性性及员工工接近资资产的机机会，可可能导

5、致致公司资资源遭受受挪用或或侵占。5.董事会会由少数数一、二二人把持持或监察察人未发发挥监督督功能，可可能使决决策草率率，或孤孤注一掷掷；或对对公司的的不佳业业绩及重重大的控控管缺失失，未给给予适当当的关注注及监督督。二、作业层层级风险险作业层级风风险乃组组织内各各单位或或事业部部在其日日常例行行的营运运活动过过程，所所遭受不不利事件件或行动动影响的的可能性性。一般般均依企企业管理理机能，评评估其可可能之风风险，例例如：生产风险：1.合格供供货商数数量不足足的风险险2.产品品品质未能能符合市市场需求求的风险险3.产能调调整需时时太长的的风险4.设备损损坏后高高维修成成本的风风险5.人工短短缺的

6、风风险行销及销售售风险1.客户取取消订单单的风险险2.应收帐帐款呆帐帐的风险险3.销售目目标未能能达成的的风险4.销售策策略失败败的风险险5.价格高高度竞争争的风险险一般企业针针对作业业层级风风险，多多系采用用所谓交易循循环(Traansaactiion Cyccless)的方方法，设设计适当当之控管管制度。任何风险对对企业财财务损失失的影响响，最后后都会显显示在财财务及会会计信息息上。但但是并不不是所有有风险的的不利影影响都能能够予以以量化，而而且有些些影响也也非短期期内就会会浮现。每一种风险险对企业业的财务务影响(包括收收入、成成本、盈盈余)之敏感感性及程程度，很很难一概概而论。例例如：丧

7、丧失商机机、成本本提高、产产品售价价下滑、意意外灾害害损失、及及营业中中断。贰、风险管管理的规规划规划一项有有效的风风险控管管制度，首首先必须须了解产产业特性性、公司司营业性性质及经经营目标标与策略略，辨识识风险的的类型及及其对营营运活动动冲击之之敏感性性及程序序。某些些特定产产业受到到政府主主管机关关特别的的规范，例例如银行行、证券券、保险险业，或或上市/上柜的的公司，于于设计及及规划风风险控管管制度时时也应特特别考虑虑。其次，最最高经营营者对冒冒险所抱抱持的态态度，影影响风险险控管制制度的建建立及施施行。有有些经营营者较为为冒进(agggresssivve)，喜喜欢冒险险；有些些比较保保守

8、，厌厌恶冒险险。经营营任何企企业不可可能没有有风险，在在合理可可以忍受受的程度度内，冒冒点风险险是必要要的，但但过犹不不及，经经营企业业过分冒冒险及不不愿冒险险，同样样是不会会成功的的。因此此，最高高管理阶阶层对冒冒险的心心态是否否适当，影影响了控控管过程程之设计计与规划划。第三，控控管必须须要付出出成本，因因此成本本与效益益之考量量，不可可避免。有有些经营营者讨厌厌被控管管，或认认为控管管代价太太高或会会影响经经营效率率，或认认为倒霉霉的风险险不会落落在他的的单位或或公司。对对这些经经营者而而言，他他们只看看到控管管的成本本，而忽忽视控管管的必要要性与效效益，因因此他们们对于控控管之设设计与

9、执执行并不不热衷，也也不太支支持，甚甚至于逾逾越既订订之控管管流程。参、风险管管理过程程风险管理理是一种种有系统统的过程程，包括括制定经经营目的的及目标标、辨识识风险、评评估风险险、拟定定风险管管理策略略及持续续监控风风险管理理的绩效效。一、制定经经营目的的及目标标为使风险管管理有效效，它必必须与公公司的经经营目的的、经营营策略及及营运计计划相连连结。所所谓经营营目的乃乃是企业业所欲追追求的机机会，或或称为使使命(MMisssionn)。企企业根据据使命，提提出愿景景(Viisioon)，然然后拟订订策略及及计划。理理想上，风风险策略略应与公公司的其其它经营营策略相相一致。二、辨识经经营风险险

10、传统上，大大家谈到到风险或或风险管管理，只只是侠义义地指财财务风险险。以制制造业为为例，传传统的风风险把焦焦点放在在财务事事项，包包括应收收帐款呆呆帐、存存货呆滞滞过时、设设备效能能低落、及及因舞弊弊造成的的损失。以以银行业业为例，传传统上的的风险指指的是利利率风险险、授信信风险、货货币风险险、资金金风险及及流动性性风险，其其实，这这只是财财务风险险而已，并并非银行行业经营营的整体体风险。 对任何何产业及及组织来来说，一一般可以以把整体体经营风风险分为为以下五五类：财务风险险行销及产产品风险险人力资源源风险科技及其其作业创新风险险根据上述分分类，一一个典型型的银行行业其所所面临的的整体经经营风

11、险险图标如如下：行销产品风险行销产品风险产品 通路市场 顾客法律主管 竞争财务风险利率财务风险利率货币授信流动性资金人力资源风险关键员工生产力品质关连性科技作业风险容量弹性成本绩效安全错误创新风险创新风险新产品开发过时竞争者创举当然对于企企业经营营风险的的分类，可可能有各各种不同同的分类类方法，例例如有人人把风险险分为四四类：策策略风险险、营运运风险、财财务风险险及信息息风险。三、评估风风险发生生的可能能性及其其后果一旦关键性性的风险险被辨识识之后，管管理阶层层接着衡衡量风险险发生的的可能性性及其对对达成公公司目标标不利影影响的严严重性。以以风险矩矩阵图表表示如下下：可能性可能性低高高严重性高

12、严重性高严重性低可能性高可能性低可能性低严重性低严重性高可能性公司的资源源有限，管管理阶层层必须考考量各种种关键风风险发生生的可能能性及严严重性，然然后拟订订适当的的风险管管理政策策。四、对经营营风险采采取适当当政策风险管理政政策大致致可分为为下列三三种：（一）规避避：通常常一个企企业对于于高风险险的领域域，都会会采取规规避的响响应政策策。所谓谓规避，严严格来说说，即放放弃一项项活动，例例如某一一特定的的产品研研发或企企业购并并。（二）转移移：风险险规避并并非0与1的假设设或选择择。管理理阶层可可视情况况采取共共同分担担的方式式(例如与与同业共共同研发发)，以分分散风险险。也可可以购买买保险的

13、的方式，转转移风险险。（三）接受受：如果果风险是是公司经经营模式式所不可可避免的的，而且且其冲击击或严重重性为公公司经济济能力所所能承受受，则管管理阶层层可以选选择接受受该风险险。可接接受的风风险包括括二种：一种是是接受以以后，采采取有效效控制以以减少风风险的程程度。另另一种是是低可能能性及低低严重性性的风险险，公司司可以忍忍受而不不必采取取任何控控制措施施。五、持续监监控风险险管理的的绩效风险管理过过程的最最后一个个步骤，是是针对风风险管理理能否确确保公司司目的及及目标的的达成，持持续加以以监控。具具体做法法包括：把实际际绩效与与预期的的比较，执执行标竿竿，或从从市场取取得一些些回馈的的信息

14、。例例如，事事后评估估导致高高机会成成本的决决策；将将风险管管理的成成功或失失败与公公司特定定的能力力(包括策策略、流流程、人人员、报报告、制制度)连结分分析；从从资本市市场的投投资者及及证券分分析师如如何对公公司绩效效的整体体看法，检检讨公司司执行风风险管理理的能力力。肆、风险管管理的重重点一般企业把把内部稽稽核之焦焦点放在在控制制本身身，而非非企业经经营所可可能面临临之风险险环境，因因而忽略略了对作业流流程的的评估。依依照COOSO的的内部控控制模式式，在控控制环境境下，企企业的流流程控管管分为下下列三个个步骤：(1)确定组组织的目目标，(2)评评估风险险，及(3)决决定所须须的控制制。理

15、想的控控管制度度，应从从决定所所需的控控制，转转移到风风险的管管理。如如下图所所示。管理风险评估风险确立机构之目标管理风险评估风险确立机构之目标规避风险转移风险规避风险转移风险接受风险辨识风险衡量风险列出风险顺序如把风险解解释为一一项事件件或行动动，对机机构成功功达成其其经营目目标或策策略的威威胁，则则很显然然地，每每一产业业或经济济个体所所面临的的风险不不同。但但了解个个别公司司相关的的经营风风险，却却为建立立有效控控管风险险的首要要工作。在一个充充满风险险的环境境里，经经理人必必须关心心的不仅仅限于内内部控制制，为了了避免所所有的或或部分风风险，经经理人可可能选择择分散风风险的方方式，例例

16、如透过过合约、保保证及保保险，经经理人甚甚至于可可能决定定容忍某某种程度度之风险险。在许许多情况况下，此此种做法法对商业业流程风风险之管管理比采采行额外外之控制制，可能能更具成成本效益益。风险管理理制度要要能发挥挥功效，至至少必须须具备下下列几个个重点：1.最高管管理阶层层必须重重视与支支持控管管制度。各各级管理理阶层必必须以身身作则，坚坚持每一一个单位位或事业业部都需需认同支支持。公公司目标标的订定定，必须须基于长长期竞争争优势的的考量，同同时设有有预警制制度，能能够在财财务损失失发生前前，显示示问题的的存在及及严重性性，以便便管理阶阶层及时时解决。2.做好信信息与沟沟通。控控管制度度的要求

17、求应明确确传达给给各适当当管理阶阶层及员员工，而而且应有有畅通的的管道，可可以让下下情上达达。要营营造一个个良好的的控管环环境，使使员工愿愿意重视视与遵循循，并愿愿意讲真真话，把把公司的的问题当当做自己己的问题题来处理理。3.配合目目标管理理及例外外管理，实实施适当当的奖惩惩制度。管管理阶层层应经常常关注下下属的工工作进度度与公司司的整体体目标是是否一致致，有无无落后，是是否偏离离。实施施责任中中心或利利润中心心，对于于例外或或异常事事项应适适时介入入辅导改改善，并并对于表表现优秀秀者，给给予适当当的肯定定与奖赏赏。4.控管制制度的设设计，不不宜过分分严苛或或流于形形式，应应基于风风险的重重大

18、性及及或然率率，考量量控管制制度的成成本与效效益。太太过注重重安全，势势必使管管理阶层层事事受受掣肘，难难有发挥挥空间；授权不不足，经经理人事事事请示示，不敢敢做主。结结果公司司整体的的营运效效率势必必受到不不利影响响。风险控管管流程应应由各单单位或机机能的管管理阶层层及员工工负第一一线的监监督责任任。许多多公司控控管制度度之执行行如未能能落实，往往往把责责任推给给内部稽稽核人员员。没错错，内部部稽核对对控管制制度之实实施成效效，应定定期或不不定期加加以客观观评估，但但是事后后的矫正正措施，其其效果不不若平时时由各单单位管理理阶层之之自行评评估(CConttroll seelf-asssess

19、smennt)，包包括风险险之辨识识、衡量量与控制制，来得得有效。伍、风险管管理文化化风险管理除除了要有有一套明明确的机机制外，更更重要的的是要有有一个适适当的风风险管理理文化。以以下这些些文化的的建立，对对有效的的风险管管理而言言，十分分重要：拒绝报喜不不报忧最有效的风风险管理理是公司司的文化化鼓励每每一位员员工扮演演一个平平衡的角角色。他他们应具具有风险险意识，并并把重要要的风险险问题及及时反应应给管理理阶层注注意，而而且当风风险可能能提供重重大报酬酬的机会会时，同同时以企企业家的的创新心心态去面面对及把把握。居安思危，面面对现实实任何惩罚或或忽视恶讯的文化化，会使使公司在在预期及及处理未

20、未预期的的事件时时所需要要的沟通通受到窒窒息。资资深管理理阶层应应该接受受任何对对公司有有潜在威威胁的讯讯息，并并视个案案，判断断如何妥妥善因应应。不入虎穴，焉焉得虎子子一个有效的的风险文文化是鼓鼓励员工工迅速果果断的行行动。诚诚实评估估风险，以以积极的的态度，视视风险为为资产，善善加利用用而非规规避。除了上述述风险管管理文化化的建立立外，以以下四点点支持性性的观念念，也必必须获得得组织的的全员共共识：主动负责，没没有借口口 每每一位员员工对于于风险均均采取主主动负责责的态度度，一旦旦风险被被发现时时亦不须须感到抱抱歉，因因为风险险是无法法避免的的，有时时尚可化化危机为为转机。接受事实，没没有

21、抱怨怨 员员工坦然然接受风风险的发发生，不不必抱怨怨好事未未到，坏坏事却来来。重要要的是妥妥善应对对，甚至至于预期期风险的的发生。坦承面对，没没有隐瞒瞒 员员工诚实实不隐瞒瞒，在发发生问题题时，迅迅速的检检讨应如如何解决决。该求求助时立立即向上上报告请请求支持持，不认认为请求求协助是是展示弱弱点。若若在上位位者有宽宽大的胸胸怀，每每一员工工都会敢敢于面对对，而非非隐瞒等等到事态态严重时时才爆发发。险即是机，没没有盲点点每一位员工工都了解解风险就就是机会会，两者者亦步亦亦趋。在在考虑到到潜在损损失的同同时，亦亦考虑到到潜在报报酬。如如果畏首首畏尾，抱抱着不做做不错的的态度，将将一事无无成。陆、内

22、部稽稽核人员员在风险险管理扮扮演的角角色除经营策策略外，董董事会最最常讨论论的议题题是风险险。一些些国际知知名的公公司都曾曾经遭受受过未预预期风险险的痛苦苦，从产产品的失失败或重重大瑕疵疵，到未未遵循法法令之严严重错误误，到科科技或实实体的灾灾害。为为使董事事们睡得得安稳，他他们必须须有信心心：重大大的惊奇奇不会冲冲击他们们的公司司。一个经营营成功的的公司对对风险的的看法是是，风险险不仅是是危险，也也是一个个机会。有有效的董董事会认认知，任任何一个个公司都都是从事事冒险的的事业，过过犹不及及。为取取得平衡衡，董事事们应确确定：管理阶层有有一个有有效的流流程以辨辨识、评评估及管管理风险险。风险管

23、理行行动与组组织的策策略及经经营目标标相结合合。了解重大风风险及管管理阶层层如何响响应此等等风险。组织文化对对风险管管理的绩绩效给予予适当奖奖励。通常董事在在监督公公司的风风险方面面若有失失职责，系系因其忽忽略确定定组织有有一有效效的持续续过程，以以辨识及及衡量风风险对营营运的各各种假设设的潜在在冲击，并并事先做做好必要要的控管管。董事事们也很很可能未未及时被被告知组组织所面面临的最最重大的的风险，或或对风险险已采取取适当的的行动。传统的内内部稽核核作业偏偏重于遵遵循测试试及流程程控制。随随着环境境的改变变，稽核核重点逐逐渐转移移到企业业整体的的风险管管理及价价值创造造。换句句话说，内内部稽核

24、核的焦点点应以风风险为导导向，不不再局限限于辨识识及测试试控制，应应扩及辨辨识风险险及测试试管理阶阶层如何何减轻这这些风险险的机制制。内部部稽核人人员应该该测试的的是：这这些风险险如何被被有效管管理？而而不是对对这些风风险的控控制是否否妥当及及有效？为发展此此一风险险导向的的稽核模模式，组组织的领领导人必必须首先先认知他他们的需需要及期期望的效效益。然然后辨识识及了解解他们的的特定营营运及财财务风险险，界定定愿意接接受的风风险水平平，接着着发展内内部稽核核的功能能以有效效监控衡衡量及管管理这些些风险。工工作本身身可能没没有改变变，但是是随着焦焦点转移移到高风风险领域域，内部部稽核人人员必须须有

25、新的的不同专专业技能能及工作作团队。如下图所所示，以以风险为为导向的的新稽核核模式，跟跟传统的的比较，主主要差异异在于执执行实际际稽核工工作之前前，先做做策略分分析及经经营流程程分析。在在理想的的经营循循环里，内内部稽核核应首先先对组织织的产业业、经营营的目标标及策略略、以及及相关的的风险响响应，执执行策略略分析。诸诸如：在组织所属属的产业业及市场场环境下下，我们们的目标标及策略略是什么么？未来我们的的核心经经营流程程，受到到主管机机关或其其它竞争争者的影影响，可可能会被被迫做什什么改变变？什么样的基基本风险险影响我我们的经经营策略略？以及及我们的的控制环环境如何何有助于于减少这这些风险险？

26、内部稽稽核方法法新论策略分析外界力量市场联盟产品顾客经营流程分析策略管理核心经营流程资源管理流程风险与控制评估经营风险与控制策略分析外界力量市场联盟产品顾客经营流程分析策略管理核心经营流程资源管理流程风险与控制评估经营风险与控制Source: KPMG New Strategies and Best Practices in Internal Audit系统 结果 动因经营绩效评估瓶颈与机会Source: KPMG New Strategies and Best Practices in Internal Audit系统 结果 动因经营绩效评估瓶颈与机会对组织而言言，控制制固然永永远是重重要的

27、，但但是组织织的关键键性经营营风险及及曝露应应该是内内部稽核核的最高高焦点。例例如，对对麦当劳劳快餐店店的成功功经营而而言，薯薯条的品品质、服服务的快快速及厨厨房的干干净，远远比某些些收款机机短少7200来得重重要。其次，内内部稽核核在组织织的既定定目标、策策略及重重大经营营风险的的情况下下，必须须使用信信息以决决定各主主要经营营流程的的策略攸攸关性、固固有风险险及控制制环境。基基于这些些结论，内内部稽核核人员在在详细分分析主要要的经营营流程时时，可以以把焦点点放在可可能发生生重大风风险的营营运活动动，及那那些可能能带来机机会的活活动。根根据策略略分析的的结果，组组织必须须辨识最最重要的的那些经经营流程程，确定定针对这这些流程程已经采采取有效效的风险险响应。评估风险险曝露及及相关的的风险响响应，必必须评估估对企业业的经济济价值构构成威胁胁的重要要性。应应用800-200的规则则，将880的风险险管理所所