风险治理与内部稽核职员的角色扮演(2)
2017-09-02 01:04
导读:三、风险治理过程 风险治理是一种有系统的过程,包括制定经营目的及目标、辨识风险、评估风险、拟定风险治理策略及持续监控风险治理的绩效。 (-
三、风险治理过程 风险治理是一种有系统的过程,包括制定经营目的及目标、辨识风险、评估风险、拟定风险治理策略及持续监控风险治理的绩效。
(-)制定经营目的及目标 为使风险治理有效,它必须与公司的经营目的、经营策略及营运计划相连结。所谓经营目的乃是企业所欲追求的机会,或称为使命(Mission)。企业根据使命,提出愿景(Vision),然后拟订策略及计划。理想上,风险策略应与公司的其他经营策略相一致。
(二)辨识经营风险 传统上,大家谈到风险或风险治理,只是狭义的指财务风险。以制造业为例,传统的风险把焦点放在财务事项,包括应收账款呆账、存货呆滞过期、设备效能低落及因舞弊造成的损失。以银行业为例,传统上的风险指的是利率风险、授信风险、货币风险、资金风险及活动性风险,实在,这只是财务风险而已,并非银行业经营的整体风险。 对任何产业及组织来说,一般可以把整体经营风险分为以下五类:财务风险;行销及产品风险;人力资源风险;科技及其作业;创新风险。
根据上述分类,一个典型的银行业其所面临的整体经营风险如下: l、财务风险(利率、货币、授信、活动性、资金)。 2、行销/产品风险(产品、市场、/主管、通路、顾客、竞争)。 3、科技/作业风险(容量/弹性、本钱/绩效、安全/错误)。 4.创新风险(新产品开发、过期、竞争者创举)。 5、人力资源风险(关键员工、生产力/品质、关联性)。
(三)评估风险发生的可能性及其后果 一旦关键性的风险被辨识之后,治理阶层接着衡量风险发生的可能性及其对达成公司目标不利影响的严重性。公司的资源有限,治理阶层必须考量各种关键风险发生的可能性及严重性,然后拟订适当的风险治理政策。
(四)对经营风险采取适当政策 风险治理政策大致可分为下列三种: l、规避:通常一个企业对于高风险的领域,都会采取规避的回应政策。所谓规避,严格来说,即放弃一项活动,例如某一特定的产品研发或企业购并。 2.转移:风险规避并非0与1的假设或选择。治理阶层可视情况采取共同分担的方式(例如与同业共同研发),以分散风险。也可以购买保险的方式,转移风险。 3、接受:假如风险是公司经营模式所不可避免的,而且其冲击或严重性为公司经济能力所能承受,则治理阶层可以选择接受该风险。可接受的风险包括二种:一种是接受以后,采取有效控制以减少风险的程度。另一种是低可能性及低严重性的风险,公司可以忍受而不必采取任何控制措施。
(五)持续监控风险治理的绩效 风险治理过程的最后一个步骤,是针对风险治理能否确保公司目的及目标的达成,持续加以监控。具体做法包括;把实际绩效与预期的比较,执行标竿,或从市场取得一些反馈的资讯。例如,事后评估导致高机会本钱的决策;将风险治理的成功或失败与公司特定的能力(包括策略、流程、职员、报告、制度)连续;从资本市场的投资者及证券分析师如何对公司绩效的整体看法,检讨公司执行风险治理的能力。
四、风险治理的重点 一般企业把内部稽核之焦点放在“控制”本身,而非企业经营所可能面临之风险环境,因而忽略了对“作业流程”的评估。依照COSO的内部控制模式,在控制环境下,企业的流程控管分为下列三个步骤:(l)确定组织的目标;(2)评估风险;(3)决定所须的控制。理想的控管制度,应从决定所须的控制,转移到风险的治理。 确立机构之目标 评估风险 治理风险 (辨识风险、衡量风险、列出风险顺序、规避风险、转移风险、接受风险) 如把风险解释为一项事件或行动,对机构成功达成其经营目标策略的威胁,则很显然地,每一产业或经济个体所面临的风险不同。但了解个别公司相关的经营风险,却为建立有效控管的风险的首要工作。 在一个布满风险的环境里,经理人必须关心的不仅限于内部控制,为了避免所有的或部分风险,经理人可能选择分散风险的方式,例如透过合约、保证及保险,经理人甚至于可能决定容忍某种程度之风险。在很多情况下,此种做法对贸易流程风险之治理比来行额外之控制,可能更具本钱效益。
