24周年

財稅實務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.41 蘋果版本:8.7.40

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

風險管理與內(nèi)部稽核人員的角色扮演

來源: 中國內(nèi)部審計·林炳滄 編輯: 2006/04/02 00:00:00  字體:

  在科技發(fā)達的今天,利用科技可以使一家公司或產(chǎn)品轉(zhuǎn)型,但明天可能由于下一波科技的推陳出新,而使產(chǎn)品過時被淘汰;今天顧客對公司的產(chǎn)品或服務(wù)非常滿意,但是明天有可能因為競爭者的優(yōu)勢,而把客戶搶走;今天公司的財產(chǎn)充分發(fā)揮功能,達到目的,但明天你的實體財產(chǎn)可能變?yōu)樨摀?,因為在知識經(jīng)濟時代,企業(yè)最值錢的資產(chǎn)是無形的。因此,企業(yè)經(jīng)營者應(yīng)該有昨是今非,居安思危的風險觀念。

  任何組織之營運,均可能因為未預(yù)期的不利事件發(fā)生而影響其績效品質(zhì)及目標達成。企業(yè)經(jīng)營與風險,如影隨形,可努力減輕,卻無法消除。因此最高經(jīng)營者均應(yīng)建立風險管理機制,對風險加以有效控管,以確保下列三項目標之達成:營運活動的效率及效果;財務(wù)報告的可靠性;相關(guān)法令的遵循。

  一、風險的來源

  風險是一項行動或事件發(fā)生,對組織造成不利影響的或然率。簡單地說,對組織目標未能達成的可能性,就叫做風險。風險來源一般可分為組織層級(corporate level)及作業(yè)層級(opcrating level)。組織層級之風險又可分為外來因素造成者及內(nèi)在因素造成者。

  (-)組織層級風險

  依照COSO的研究報告,屬于組織層級的風險,可再依其來源分別列舉如下:

  l、外來因素造成者:(l)科技發(fā)展可能影響公司研究的性質(zhì)及時機,或?qū)е略喜少彽母淖儭#?)顧客需要與期望改變,可能影響公司產(chǎn)品的開發(fā)。生產(chǎn)過程、顧客服務(wù)、訂價及售后保證。(3)同業(yè)競爭可能改變公司行銷或服務(wù)的作業(yè)。(4)新的法令規(guī)定,例如環(huán)保、稅務(wù)及勞工等法令,可能迫使公司改變營運政策及策略。(5)天然災(zāi)害的發(fā)生可能改變公司的作業(yè)或資訊系統(tǒng),及可能須采取應(yīng)變措施。(6)經(jīng)營情況的改變,可能影響公司有關(guān)融資。資本支出及擴充的決策。

  2、內(nèi)在因素造成者:(1)資訊處理系統(tǒng)的故障或中斷,可能影響組織之營運活動。(2)所雇傭的員工的品質(zhì)及訓(xùn)練與考核方式,可能影響員工士氣,進而影響組織內(nèi)部的控管意識。(3)管理階層人員或職責的變動,可能影響某些控管的執(zhí)行成效。(4)組織個體的活動特性及員工接近資產(chǎn)的機會,可能導(dǎo)致公司資源遭受挪用或侵占。(5)董事會由少數(shù)人把持或監(jiān)察人未發(fā)揮監(jiān)督功能,可能使決策草率,或孤注一擲;或?qū)镜牟患褬I(yè)績及重大的控管缺失,未給予適當?shù)年P(guān)注及監(jiān)督。

  (二)作業(yè)層級風險

  作業(yè)層級風險乃組織內(nèi)各單位或事業(yè)部在其日常例行的營運活動過程,所遭受不利事件或行動影響的可能性。一般均依企業(yè)管理機能,評估其可能之風險,例如:

  l、生產(chǎn)風險:(1)合格供應(yīng)商數(shù)量不足的風險。(2)產(chǎn)品品質(zhì)未能符合市場需求的風險。(2)產(chǎn)能調(diào)整需時太長的風險。(4)設(shè)備損壞后高維修成本的風險。(5)人工短缺的風險。

  2.行銷及銷售風險:(1)客戶取消訂單的風險。(2)應(yīng)收賬款呆賬的風險。(3)銷售目標未能達成的風險。(4)銷售策略失敗的風險。(5)價格高度競爭的風險。

  一般企業(yè)針對作業(yè)層級風險,多系采用所謂“交易循環(huán)”(Transaction Cycles)的方法,設(shè)計適當之控管制度。

  任何風險對企業(yè)財務(wù)損失的影響,最后都會顯示在財務(wù)及會計資訊上。但是并不是所有風險的不利影響都能夠予以量化,而且有些影響也非短期內(nèi)就會浮現(xiàn)。

  每一種風險對企業(yè)的財務(wù)影響(包括收入、成本、盈余)之敏感性及程度,很難一概而論。例如:喪失商機、成本提高、產(chǎn)品售價下滑、意外災(zāi)害損失及營業(yè)中斷。

  二、風險管理的規(guī)劃

  規(guī)劃一項有效的風險控管制度,首先必須了解產(chǎn)業(yè)特性、公司營業(yè)性質(zhì)及經(jīng)營目標與策略,辨識風險的類型及其對營運活動沖擊之敏感性及程序。某些特定產(chǎn)業(yè)受到政府主管機關(guān)特別的規(guī)范,例如銀行、證券、保險業(yè)或上市/上柜的公司,于設(shè)計及規(guī)劃風險控管制度時也應(yīng)特別考慮。

  其次,最高經(jīng)營者對冒險所持的態(tài)度,影響風險控管制度的建立及施行。有些經(jīng)營者較為冒進(aggressive),喜歡冒險;有些比較保守,厭惡冒險。經(jīng)營任何企業(yè)不可能沒有風險,在合理可以忍受的程度內(nèi),冒點風險是必要的,但過猶不及,經(jīng)營企業(yè)過分冒險及不愿冒險,同樣是不會成功的。因此,最高管理階層對冒險的心態(tài)是否適當,影響了控管過程之設(shè)計與規(guī)劃。

  第三,控管必須要付出成本,因此成本與效益之考量,不可避免。有些經(jīng)營者討厭被控管,或認為控管代價太高或會影響經(jīng)營效率,或認為倒霉的風險不會落在他的單位或公司。對這些經(jīng)營者而言,他們只看到控管的成本,而忽視控管的必要性與效益,因此他們對于控管之設(shè)計與執(zhí)行并不熱衷,也不太支持,甚至于逾越既訂之控管流程。

  三、風險管理過程

  風險管理是一種有系統(tǒng)的過程,包括制定經(jīng)營目的及目標、辨識風險、評估風險、擬定風險管理策略及持續(xù)監(jiān)控風險管理的績效。

  (-)制定經(jīng)營目的及目標

  為使風險管理有效,它必須與公司的經(jīng)營目的、經(jīng)營策略及營運計劃相連結(jié)。所謂經(jīng)營目的乃是企業(yè)所欲追求的機會,或稱為使命(Mission)。企業(yè)根據(jù)使命,提出愿景(Vision),然后擬訂策略及計劃。理想上,風險策略應(yīng)與公司的其他經(jīng)營策略相一致。

  (二)辨識經(jīng)營風險

  傳統(tǒng)上,大家談到風險或風險管理,只是狹義的指財務(wù)風險。以制造業(yè)為例,傳統(tǒng)的風險把焦點放在財務(wù)事項,包括應(yīng)收賬款呆賬、存貨呆滯過時、設(shè)備效能低落及因舞弊造成的損失。以銀行業(yè)為例,傳統(tǒng)上的風險指的是利率風險、授信風險、貨幣風險、資金風險及流動性風險,其實,這只是財務(wù)風險而已,并非銀行業(yè)經(jīng)營的整體風險。

  對任何產(chǎn)業(yè)及組織來說,一般可以把整體經(jīng)營風險分為以下五類:財務(wù)風險;行銷及產(chǎn)品風險;人力資源風險;科技及其作業(yè);創(chuàng)新風險。

  根據(jù)上述分類,一個典型的銀行業(yè)其所面臨的整體經(jīng)營風險如下:

  l、財務(wù)風險(利率、貨幣、授信、流動性、資金)。

  2、行銷/產(chǎn)品風險(產(chǎn)品、市場、法律/主管、通路、顧客、競爭)。

  3、科技/作業(yè)風險(容量/彈性、成本/績效、安全/錯誤)。

  4.創(chuàng)新風險(新產(chǎn)品開發(fā)、過時、競爭者創(chuàng)舉)。

  5、人力資源風險(關(guān)鍵員工、生產(chǎn)力/品質(zhì)、關(guān)聯(lián)性)。

 ?。ㄈ┰u估風險發(fā)生的可能性及其后果

  一旦關(guān)鍵性的風險被辨識之后,管理階層接著衡量風險發(fā)生的可能性及其對達成公司目標不利影響的嚴重性。公司的資源有限,管理階層必須考量各種關(guān)鍵風險發(fā)生的可能性及嚴重性,然后擬訂適當?shù)娘L險管理政策。

  (四)對經(jīng)營風險采取適當政策

  風險管理政策大致可分為下列三種:

  l、規(guī)避:通常一個企業(yè)對于高風險的領(lǐng)域,都會采取規(guī)避的回應(yīng)政策。所謂規(guī)避,嚴格來說,即放棄一項活動,例如某一特定的產(chǎn)品研發(fā)或企業(yè)購并。

  2.轉(zhuǎn)移:風險規(guī)避并非0與1的假設(shè)或選擇。管理階層可視情況采取共同分擔的方式(例如與同業(yè)共同研發(fā)),以分散風險。也可以購買保險的方式,轉(zhuǎn)移風險。

  3、接受:如果風險是公司經(jīng)營模式所不可避免的,而且其沖擊或嚴重性為公司經(jīng)濟能力所能承受,則管理階層可以選擇接受該風險??山邮艿娘L險包括二種:一種是接受以后,采取有效控制以減少風險的程度。另一種是低可能性及低嚴重性的風險,公司可以忍受而不必采取任何控制措施。

  (五)持續(xù)監(jiān)控風險管理的績效

  風險管理過程的最后一個步驟,是針對風險管理能否確保公司目的及目標的達成,持續(xù)加以監(jiān)控。具體做法包括;把實際績效與預(yù)期的比較,執(zhí)行標竿,或從市場取得一些反饋的資訊。例如,事后評估導(dǎo)致高機會成本的決策;將風險管理的成功或失敗與公司特定的能力(包括策略、流程、人員、報告、制度)連續(xù)分析;從資本市場的投資者及證券分析師如何對公司績效的整體看法,檢討公司執(zhí)行風險管理的能力。

  四、風險管理的重點

  一般企業(yè)把內(nèi)部稽核之焦點放在“控制”本身,而非企業(yè)經(jīng)營所可能面臨之風險環(huán)境,因而忽略了對“作業(yè)流程”的評估。依照COSO的內(nèi)部控制模式,在控制環(huán)境下,企業(yè)的流程控管分為下列三個步驟:(l)確定組織的目標;(2)評估風險;(3)決定所須的控制。理想的控管制度,應(yīng)從決定所須的控制,轉(zhuǎn)移到風險的管理。

  確立機構(gòu)之目標

  評估風險

  管理風險

 ?。ū孀R風險、衡量風險、列出風險順序、規(guī)避風險、轉(zhuǎn)移風險、接受風險)

  如把風險解釋為一項事件或行動,對機構(gòu)成功達成其經(jīng)營目標策略的威脅,則很顯然地,每一產(chǎn)業(yè)或經(jīng)濟個體所面臨的風險不同。但了解個別公司相關(guān)的經(jīng)營風險,卻為建立有效控管的風險的首要工作。

  在一個充滿風險的環(huán)境里,經(jīng)理人必須關(guān)心的不僅限于內(nèi)部控制,為了避免所有的或部分風險,經(jīng)理人可能選擇分散風險的方式,例如透過合約、保證及保險,經(jīng)理人甚至于可能決定容忍某種程度之風險。在許多情況下,此種做法對商業(yè)流程風險之管理比來行額外之控制,可能更具成本效益。

  風險管理制度要能發(fā)揮功效,至少必須具備下列幾個重點:

  l、最高管理階層必須重視與支持控管制度。各級管理階層必須以身作則,堅持每一個單位或事業(yè)部都需認同支持。公司目標的訂定,必須基于長期競爭優(yōu)勢的考量,同時設(shè)有預(yù)警制度,能夠在財務(wù)損失發(fā)生前,顯示問題的存在及嚴重性,以便管理階層及時解決。

  2、做好資訊與溝通。控管制度的要求應(yīng)明確傳達給各適當管理階層及員工,而且應(yīng)有暢通的管道,可以讓下情上達。要營造一個良好的控管環(huán)境,使員工愿意重視與遵循,并愿意講真話,把公司的問題當做自己的問題來處理。

  3、配合目標管理及例外管理,實施適當?shù)莫剳椭贫?。管理階層應(yīng)經(jīng)常關(guān)注下屬的工作進度與公司的整體目標是否一致,有無落后,是否偏離。實施責任中。動或利潤中心,對于例外或異常事項應(yīng)適時介入輔導(dǎo)改善,并對于表現(xiàn)優(yōu)秀者,給予適當?shù)目隙ㄅc獎賞。

  4、控管制度的設(shè)計,不宜過分嚴苛或流于形式,應(yīng)基于風險的重大性及或然率,考量控管制度的成本與效益。太過注重安全,勢必使管理階層事事受掣肘,難有發(fā)揮空間;授權(quán)不足,經(jīng)理人事事請示,不敢作主。結(jié)果公司整體的營運效率勢必受到不利影響。

  風險控管流程應(yīng)由各單位和機能的管理階層及員工負第一線的監(jiān)督責任。許多公司控管制度之執(zhí)行如未能落實,往往把責任推給內(nèi)部稽核人員。沒錯,內(nèi)部稽核對控管制度之實施成效,應(yīng)定期或不定期加以客觀評估,但是事后的矯正措施,其效果不若平時由各單位管理階層之自行評估(Control Self-assessment),包括風險之辨識、衡量與控制來得有效。

  五、風險管理文化

  風險管理除了要有一套明確的機制外,更重要的是要有一個適當?shù)娘L險管理文化。以下這些文化的建立,對有效的風險管理而言,十分重要:

  l、拒絕報喜不報憂。最有效的風險管理是公司的文化鼓勵每一位員工扮演一個平衡的角色。他們應(yīng)具有風險意識,并把重要的風險問題及時反映給管理階層注意,而且當風險可能提供重大報酬的機會時,同時以企業(yè)家的創(chuàng)新心態(tài)去面對及把握。

  2.居安思危,面對現(xiàn)實。任何懲罰或忽視“惡訊”的文化,會使公司在預(yù)期及處理求預(yù)期的事件時所需要的溝通受到窒息。資深管理階層應(yīng)該接受任何對公司有潛在威脅的訊息,并視個案,判斷如何妥善因應(yīng)。

  3、不入虎穴,焉得虎子。一個有效的風險文化是鼓勵員工迅速果斷的行動。誠實評估風險,以積極的態(tài)度,視風險為資產(chǎn),善加利用而非規(guī)避。

  除了上述風險管理文化的建立外,以下四點支持性的觀念,也必須獲得組織的全員共識:

  l、主動負責,沒有借口。每一位員工對于風險均采取主動負責的態(tài)度,一旦風險被發(fā)現(xiàn)時亦不須感到抱歉,因為風險是無法避免的,有時尚可化危機為轉(zhuǎn)機。

  2、接受事實,沒有抱怨。員工坦然接受風險的發(fā)生,不必抱怨好事未到,壞事卻來。重要的是妥善應(yīng)對,甚至于預(yù)期風險的發(fā)生。

  3、坦誠面對,沒有隱瞞。員工誠實不隱瞞,在發(fā)生問題時,迅速的檢討應(yīng)如何解決。該求助時立即向上報告請求支援,不認為請求協(xié)助是展示弱點。

  若在上位者有寬大的胸懷,每一員工都會敢于面對,而非隱瞞等到事態(tài)嚴重時才爆發(fā)。

  4、險即是機,沒有盲點。每一位員工都了解風險就是機會,兩者亦步亦趨。在考慮到潛在損失的同時,亦考慮到潛在報酬。如果畏首畏尾,抱著不做不錯的態(tài)度,將一事無成。

  六、內(nèi)部稽核人員在風險管理中扮演的角色

  除經(jīng)營策略外,董事會最常討論的議題是風險。一些國際知名的公司都曾經(jīng)遭受過求預(yù)期風險的痛苦,從產(chǎn)品的失敗或重大暇疵,到未遵循法令之嚴重錯誤,到科技或?qū)嶓w的災(zāi)害。為使董事們睡得安穩(wěn),他們必須有信心:重大的驚奇不會沖擊他們的公司。

  一個經(jīng)營成功的公司對風險的看法是,風險不僅是危險,也是一個機會。有效的董事會認知,任何一個公司都是從事冒險的事業(yè),過猶不及。為取得平衡,董事們應(yīng)確定:(l)管理階層有一個有效的流程以辨識、評估及管理風險。(2)風險管理行動與組織的策略及經(jīng)營目標相結(jié)合。(3)了解重大風險及管理階層如何回應(yīng)此等風險。(4)組織文化對風險管理的績效給予適當獎勵。

  通常董事在監(jiān)督公司的風險方面若有失職責,系因其忽略確定組織有一有效的持續(xù)過程,以辨識及衡量風險對營運的各種假設(shè)的潛在沖擊,并事先做好必要的控管。董事們也很可能未及時被告知組織所面臨的最重大的風險,或?qū)︼L險已采取適當?shù)男袆印?/p>

  傳統(tǒng)的內(nèi)部稽核作業(yè)偏重于遵循測試及流程控制。隨著環(huán)境的改變,稽核重點逐漸轉(zhuǎn)移到企業(yè)整體的風險管理及價值創(chuàng)造。換句話說,內(nèi)部稽核的焦點應(yīng)以風險為導(dǎo)向,不再局限于辨識及測試控制,應(yīng)擴及辨識風險及測試管理階層如何減輕這些風險的機制。內(nèi)部稽核人員應(yīng)該測試的是:這些風險如何被有效管理?而不是對這些風險的控制是否妥當及有效?

  為發(fā)展此一風險導(dǎo)向的稽核模式,組織的領(lǐng)導(dǎo)人必須首先認知他們的需要及期望的效益。然后辨識及了解他們的特定營運及財務(wù)風險,界定愿意接受的風險水平,接著發(fā)展內(nèi)部稽核的功能以有效監(jiān)控衡量及管理這些風險。工作本身可能沒有改變,但是隨著焦點轉(zhuǎn)移到高風險領(lǐng)域,內(nèi)部稽核人員必須有新的不同專業(yè)技能及工作團隊。

  如下圖所示,以風險為導(dǎo)向的新稽核模式,跟傳統(tǒng)的比較,主要差異在于執(zhí)行實際稽核工作之前,先做策略分析及經(jīng)營流程分析。在理想的經(jīng)營循環(huán)里,內(nèi)部稽核應(yīng)首先對組織的產(chǎn)業(yè)、經(jīng)營的目標及策略以及相關(guān)的風險回應(yīng),執(zhí)行策略分析。諸如:

  在組織所屬的產(chǎn)業(yè)及市場環(huán)境下,我們的目標及策略是什么?未來我們的核心經(jīng)營流程,受到主管機關(guān)或其他競爭者的影響,可能會被迫做什么改變?什么樣的基本風險影響我們的經(jīng)營策略以及我們的控制環(huán)境如何有助于減少這些風險?

  內(nèi)部用核方法新論

  Source:KPMG New Stratcgies and Best Practices in Internal Audit

  對組織而言,控制固然永遠是重要的,但是組織的關(guān)鍵性經(jīng)營風險及暴露應(yīng)該是內(nèi)部稽核的最高焦點。例如,對麥當勞速食店的成功經(jīng)營而言,薯條的品質(zhì)、服務(wù)的快速及廚房的干凈,遠比某些收銀機短少$720來得重要。

  其次,內(nèi)部稽核在組織的既定目標、策略及重大經(jīng)營風險的情況下,必須使用資訊以決定各主要經(jīng)營流程的策略攸關(guān)性、固有風險及控制環(huán)境?;谶@些結(jié)論,內(nèi)部稽核人員再詳細分析主要的經(jīng)營流程時,可以把焦點放在可能發(fā)生重大風險的營運活動及那些可能帶來機會的活動。根據(jù)策略分析的結(jié)果,組織必須辨識最重要的那些經(jīng)營流程,確定針對這些流程已經(jīng)采取有效的風險回應(yīng)。

  評估風險暴露及相關(guān)的風險回應(yīng),必須評估對企業(yè)的經(jīng)濟價值構(gòu)成威脅的重要性。應(yīng)用80-20的規(guī)則,將80%的風險管理所做的努力置于20%的關(guān)鍵性風險。內(nèi)部稽核人員決定組織所做的風險回應(yīng),是否足以減輕重要的暴露,以及內(nèi)部稽核應(yīng)該測試的程度。

  由于市場上期待內(nèi)部稽核人員辨識組織的績效改善,對經(jīng)營績效的評估使得稽核人員有正式的方法,確保此等改善的機會持續(xù)被辨識及努力達成。內(nèi)部稽核人員不再只是組織的交通警察,其所做的經(jīng)營績效評估,可以確保主要的經(jīng)營風險被辨識及有效控管減輕。

  一個真正以風險為導(dǎo)向的內(nèi)部稽核模式,要求稽核人員與管理階層改變對內(nèi)部稽核人員在組織內(nèi)的角色及影響力的看法。在環(huán)境快速變化的世界,最高管理階層及董事會應(yīng)重視及堅持內(nèi)部稽核人員在企業(yè)整體風險管理的過程所扮演的重要角色。

  以風險為導(dǎo)向的內(nèi)部稽核,要求稽核人員增加其多元化的專業(yè)能力及工作團隊,以協(xié)助組織創(chuàng)造更多的股東價值。在最高管理階層的支持與引導(dǎo)下,內(nèi)部稽核在評估及管理風險,應(yīng)用標竿與最佳實務(wù)及辨識機會方面,展現(xiàn)積極主動的角色。內(nèi)部稽核應(yīng)著重經(jīng)營風險的管理及獲利機會的辨識,以創(chuàng)造股東最大的價值。例如,內(nèi)部稽核人員應(yīng)努力辨識回復(fù)失去的營收的機會,使用特定風險回應(yīng)以減少不想要的或未預(yù)期的成本的潛在威脅,指出未能達成目標的那些計劃或活動,辨識資訊不足導(dǎo)致的相關(guān)問題。

  七、結(jié)語

  風險與風險管理,已成為企業(yè)經(jīng)營的一種生活現(xiàn)實。風險是一種危險,也是一種機會。企業(yè)經(jīng)營者若忽視風險,決策草率,行事冒進,必然處處碰到地雷。但若厭惡風險而過分保守,畏首畏尾,也必一事無成。因此,企業(yè)最高經(jīng)營者必須面對現(xiàn)實,重視風險,建立風險管理流程的機制,由各營運單位管理階層把風險管理視為日常營運管理的一部分,另由內(nèi)部稽核人員定期評估風險管理過程是否妥當及有效運作。

實務(wù)學(xué)習指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - odtgfuq.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號