企業風險評估範例延伸文章資訊,搜尋引擎最佳文章推薦
1. 企業風險管理Archives
可以看到,在這個風險評估矩陣裡面,直軸代表頻率,橫軸代表嚴重性,依照不同等級 ... 年初聯航的例子,其實是企業「聲譽危機」的最佳範例。
Searchfor:Searchfor:Skiptocontent實戰力顧問服務專業分享文章ERM企業風險管理AEO/C-TPAT安全管理企業聲譽與公關經營敘事品牌行銷法務法令遵循採購與供應鏈管理Lean6-sigma流程改造關於我們關於我們Xilienz團隊聯絡我們FacebookLinkedInLINESearchShareFacebookTwitterLinkedInGoogle+Email正規的評估中洋洋灑灑幾百項風險因子,專家人員不只必須根據嚴重性和頻率一個一個進行分類評等,還必須設計將質性轉量化數據的工具,幫助我們在進行風險管理的重要決策時,能夠維持客觀判斷。
上一篇文章中,我們談了風險管理三步驟“IAM”中的第一步辨認(Identify),進行了發散性思考、腦力激盪的工作,接下來,開始進入評等(Assess)的階段,將前一步驟的風險因子進行分類整理。
分類沒有固定法則,大公司有符合複雜體制的謹慎分類,小公司也有適合小規模的靈活架構,風險管理人員會依根據不同的組織體質和需求,去量身設計最適宜的分類架構。
不過,以通用性而言,建議你可以用「嚴重性」和「頻率」兩個標準,對每一個風險因子做分類評估。
如我們之前評析晶華飯店事件時(見:兩次跌跤,給企業的公關與安全雙重警示)分享的風險評估矩陣: 可以看到,在這個風險評估矩陣裡面,直軸代表頻率,橫軸代表嚴重性,依照不同等級分成1至5分。
將每一個風險因子的頻率和嚴重性級分兩兩相乘,最後依據分數得到四種風險類別:一、藍色(分數1-3分):「不常發生、影響很小」二、綠色(分數4-9分):「很少發生、影響很大」或「很常發生、影響很小」三、黃色(分數10-15分):「較少發生、影響很大」或「較常發生、影響很小」四、紅色(分數16-25分):「最常發生、影響最大」分類之後,就可以開始淘汰、篩選風險因子,並決定該進行什麼處置。
也就是本文介紹IAM三步驟中的最後一步:管理(manage)。
計算、判斷、制定防衛風險等級和應對措施第一類藍色因子最溫和,如果你的風險管理等級沒有像商業巨頭Apple或國家安全機關一樣拉到這麼高(這點後面我們會更仔細說明),幾乎可以忽略這一類風險。
第四類紅色的風險因子,對你影響深重而且發生機率高,要不是會讓你稱霸一方的大紅機會,要不就會是讓你損失慘重的警戒危機,無庸置疑是你率先要思考、預先規劃利用的項目,至於可以怎麼利用、化危機為轉機,是另外一個課題,當另文再談。
而第二類綠色和第三類的黃色因子,才是最tricky、最講求風險管理專業的部分。
請問:大家都知道要「防患於未然」,但是「防患」的等級到底要設定在哪裡?舉一個例子來說吧,劉老闆是大稻埕迪化街的百年中藥供應商,擁有總計上百萬元珍奇稀有的中藥材,小心翼翼地鎖在地下室的冰櫃裡。
劉老闆知道,停電是一個會造成資產損害的風險因子,謹慎負責的他,便未雨綢繆地買了蓄電池或發電設備。
果不其然,台北市發生大停電了。
但當時劉老闆憑過去經驗判定,該街區最多停電不會超過5小時,因此把設備防衛等級設定在6小時,天知道這次停電卻不幸地足足停了8小時,冰櫃裡的珍貴藥材腐壞超過1/3,損失慘重。
很多人會將這類事件視為「運氣不好」,認定下次應該不會再這麼倒霉碰到了吧,摸摸鼻子就算了。
但是,這些人沒有發現,(像劉老闆這樣)憑過去經驗「沒發生過」的判斷偏誤,以及缺乏客觀事實、嚴謹計算的假設,就像義大利那些在危險活躍火山旁居住過日子的民眾,都是一種盲目的「賭」。
現在,擺在劉老闆面前的大哉問是:該不該因為這次大停電,把冰櫃的防衛等級拉高到8小時?劉老闆必須考慮的事情是,下次台北還會發生這麼長時間的停電嗎?如果會,又是多久之後可能會發生?如果要提高,意味著要準備更多電池、購買更好的設備、準備更多柴油...,當然都是有效的風險防治措施,但也都是必須支出的成本,值得為了這麼低頻率的風險因子投注嗎?Tobeornottobe,當中的平衡該如何拿捏,防衛等級該怎麼制定,正是風險管理的奧妙之處,也是專業人員訓練之所在。
在風險管理中,不會只有「停電」這一單項需要考慮,正規的評估中洋洋灑灑幾百項風險因子,專家人員不只必須根據嚴重性和頻率一個一個進行分類評等,還必須設計將質性轉量化數據的工具,幫助我們在進行風險管理的重要決策時,能夠維持客觀判斷。
Searchfor:Searchfor:Skiptocontent實戰力顧問服務專業分享文章ERM企業風險管理AEO/C-TPAT安全管理企業聲譽與公關經營敘事品牌行銷法務法令遵循採購與供應鏈管理Lean6-sigma流程改造關於我們關於我們Xilienz團隊聯絡我們FacebookLinkedInLINESearchShareFacebookTwitterLinkedInGoogle+Email正規的評估中洋洋灑灑幾百項風險因子,專家人員不只必須根據嚴重性和頻率一個一個進行分類評等,還必須設計將質性轉量化數據的工具,幫助我們在進行風險管理的重要決策時,能夠維持客觀判斷。
上一篇文章中,我們談了風險管理三步驟“IAM”中的第一步辨認(Identify),進行了發散性思考、腦力激盪的工作,接下來,開始進入評等(Assess)的階段,將前一步驟的風險因子進行分類整理。
分類沒有固定法則,大公司有符合複雜體制的謹慎分類,小公司也有適合小規模的靈活架構,風險管理人員會依根據不同的組織體質和需求,去量身設計最適宜的分類架構。
不過,以通用性而言,建議你可以用「嚴重性」和「頻率」兩個標準,對每一個風險因子做分類評估。
如我們之前評析晶華飯店事件時(見:兩次跌跤,給企業的公關與安全雙重警示)分享的風險評估矩陣: 可以看到,在這個風險評估矩陣裡面,直軸代表頻率,橫軸代表嚴重性,依照不同等級分成1至5分。
將每一個風險因子的頻率和嚴重性級分兩兩相乘,最後依據分數得到四種風險類別:一、藍色(分數1-3分):「不常發生、影響很小」二、綠色(分數4-9分):「很少發生、影響很大」或「很常發生、影響很小」三、黃色(分數10-15分):「較少發生、影響很大」或「較常發生、影響很小」四、紅色(分數16-25分):「最常發生、影響最大」分類之後,就可以開始淘汰、篩選風險因子,並決定該進行什麼處置。
也就是本文介紹IAM三步驟中的最後一步:管理(manage)。
計算、判斷、制定防衛風險等級和應對措施第一類藍色因子最溫和,如果你的風險管理等級沒有像商業巨頭Apple或國家安全機關一樣拉到這麼高(這點後面我們會更仔細說明),幾乎可以忽略這一類風險。
第四類紅色的風險因子,對你影響深重而且發生機率高,要不是會讓你稱霸一方的大紅機會,要不就會是讓你損失慘重的警戒危機,無庸置疑是你率先要思考、預先規劃利用的項目,至於可以怎麼利用、化危機為轉機,是另外一個課題,當另文再談。
而第二類綠色和第三類的黃色因子,才是最tricky、最講求風險管理專業的部分。
請問:大家都知道要「防患於未然」,但是「防患」的等級到底要設定在哪裡?舉一個例子來說吧,劉老闆是大稻埕迪化街的百年中藥供應商,擁有總計上百萬元珍奇稀有的中藥材,小心翼翼地鎖在地下室的冰櫃裡。
劉老闆知道,停電是一個會造成資產損害的風險因子,謹慎負責的他,便未雨綢繆地買了蓄電池或發電設備。
果不其然,台北市發生大停電了。
但當時劉老闆憑過去經驗判定,該街區最多停電不會超過5小時,因此把設備防衛等級設定在6小時,天知道這次停電卻不幸地足足停了8小時,冰櫃裡的珍貴藥材腐壞超過1/3,損失慘重。
很多人會將這類事件視為「運氣不好」,認定下次應該不會再這麼倒霉碰到了吧,摸摸鼻子就算了。
但是,這些人沒有發現,(像劉老闆這樣)憑過去經驗「沒發生過」的判斷偏誤,以及缺乏客觀事實、嚴謹計算的假設,就像義大利那些在危險活躍火山旁居住過日子的民眾,都是一種盲目的「賭」。
現在,擺在劉老闆面前的大哉問是:該不該因為這次大停電,把冰櫃的防衛等級拉高到8小時?劉老闆必須考慮的事情是,下次台北還會發生這麼長時間的停電嗎?如果會,又是多久之後可能會發生?如果要提高,意味著要準備更多電池、購買更好的設備、準備更多柴油...,當然都是有效的風險防治措施,但也都是必須支出的成本,值得為了這麼低頻率的風險因子投注嗎?Tobeornottobe,當中的平衡該如何拿捏,防衛等級該怎麼制定,正是風險管理的奧妙之處,也是專業人員訓練之所在。
在風險管理中,不會只有「停電」這一單項需要考慮,正規的評估中洋洋灑灑幾百項風險因子,專家人員不只必須根據嚴重性和頻率一個一個進行分類評等,還必須設計將質性轉量化數據的工具,幫助我們在進行風險管理的重要決策時,能夠維持客觀判斷。
2. 從風險評估到風險為導向的內部稽核
除了主管機關對企業內部控制之要求轉變,為降低報表使用者對會計師查核報告之期望與現行標準化查核報告間之落差,我國審計準則委員會參考國際審計準則自2010 ...議題觀點從風險評估到風險為導向的內部稽核勤業眾信風險管理諮詢(股)公司/吳志洋執行副總經理、薛如倩協理內部稽核的查核重點還停留在傳統的偵錯嗎當稽核部門在董事會呈報的內部控制查核缺失為某項費用報支其憑證比入帳金額少了數百元或表單缺少主管核准等糾正式的發現事項,而非提出對整體經營控管風險相關的建設性意見時,董事會成員是否也會為內部稽核功能無法有效發揮而感到憂心?依據2015年哈佛商業評論發布之《與風險和平共處》一文顯示,過去十年造成的重大市值損失中,有86%的損失來自於策略面的風險管理不善,然而稽核人員卻花了6%的心力在策略面的查核,其他絕大部分的資源流入營運、法遵與財務報導的查核。
86%的損失風險相較於6%的資源投入,這兩個數據間的落差,顯示出多數企業或稽核人員未辨識出企業風險之所在,導致稽核資源配置失當。
就我國國內公開發行公司的稽核現狀而言,諸多公開發行公司之稽核人員的配置以2-3人為最常見,這起因於高階管理當局常認為稽核無法創造營收,故認為稽核人數只要符合法令最低人數要求即可。
受限於稽核人數的困窘,最常見的稽核計畫即為符合《公開發行公司建立內部控制制度處理準則》第十三條所列示之稽核項目,鮮少有稽核人員是從風險評估或是依據高階管理階層評估出來的企業風險去展開稽核計畫,但實際上若要因應產業的快速發展及發揮內部稽核更重要的效果,包括興利、辨識風險及危機管理以提升公司治理之完善程度,我們必須承認,這種從上自下都以「符合法令最低要求」的稽核現況與心態,是迫切需要被扭轉的。
內部控制處理準則翻新,風險為導向之內部稽核為國內外最新趨勢我國金管會受美國COSO委員會於2013年發布「內部控制-整體架構」更新報告影響,亦於2014年9月修訂《公開發行公司建立內部控制制度處理準則》,其中針對五大組成要素之一「風險評估」清楚點出企業應依照公司之目標為基礎進行風險評估,連結公司不同層級單位,考量目標可行性及外部因素之影響,並依據風險評估之結果,採用適當政策與程序之行動擬訂對應之控制作業,將風險控制在可承受範圍。
此段之修正,已很明確的串連起該準則的第十三條「公開發行公司內部稽核單位應依風險評估結果擬訂年度稽核計畫…」。
2015年起國際內部稽核協會(InstituteofInternalAuditors)透過更新國際專業實務架構(IPPF),亦明確的指引內部稽核之規畫需建立在風險評估之基礎上並與組織目標一致,同時也指出稽核人員需了解高階管理階層及董事會所擬定出來的組織策略、重要企業營運目標、攸關風險及相對應的風險管理程序。
然而,上述準則及實務架構的指引對所有產業的影響力是有限的。
金管會在這項議題上亦於近年數次拋出「建立風險導向內部稽核」議題,並於2016年修訂《金融控股公司及銀行業內部控制及稽核制度實施辦法》增訂第15-1條,宣布從2017年開始推動國內銀行導入「風險導向內部稽核制度」,期望銀行業者建置完整內部控制三道防線機制,於規劃稽核計畫時,能先審視公司之營運目標、辨識及評估風險,再依據評估結果擬定對應之稽核計畫,視風險高低決定查核頻率與範圍,以著重於重點業務之風險控管。
於此,風險為導向之內部稽核在國內展開了新的紀元,開始與世界最新趨勢接軌。
缺乏風險地圖,該如何執行風險為導向的內部稽核目前國內公司除在美國掛牌上市(發行存託憑證)受美國沙賓法案規範者外,針對風險評估,就我們的觀察可歸納出兩大常見重大問題,一為缺乏有架構且系統化的風險評估方式,二為風險評估結果缺乏書面化。
所謂缺乏有架構的方式,是指公司缺乏一套完整且為企業本身客製化的風險地圖,風險評估方式係透過召集各重要職能之高階主管就業務範疇口頭討論。
在這種缺乏風險地圖導引的討論中,容易陷入風險因子考量不夠周全的風險。
如:研發主管,可能會著重評估新產品延遲推出的風險,卻可能會忽略了產品開發技術被外部商業合作夥伴剽竊的風險;人事主管可能會著重於人才招聘的風險,卻忽略了留才政策設計不適當的風險。
就我們的經驗,企業即使執行了風險評估,也常因考慮到參與討論的層級皆為高階經理人,故習慣將風險評估結果視為高度機密,因此鮮少存在風險評估結果書面化的慣例。
我們的建議是,稽核人員應屏除埋首苦幹編制查核規劃的舊習,即使有透過書面化結果得知風險評估結果的困擾,仍應透過訪談方式去了解風險評估結果,才能制定出更貼近實務運作之稽核計畫。
86%的損失風險相較於6%的資源投入,這兩個數據間的落差,顯示出多數企業或稽核人員未辨識出企業風險之所在,導致稽核資源配置失當。
就我國國內公開發行公司的稽核現狀而言,諸多公開發行公司之稽核人員的配置以2-3人為最常見,這起因於高階管理當局常認為稽核無法創造營收,故認為稽核人數只要符合法令最低人數要求即可。
受限於稽核人數的困窘,最常見的稽核計畫即為符合《公開發行公司建立內部控制制度處理準則》第十三條所列示之稽核項目,鮮少有稽核人員是從風險評估或是依據高階管理階層評估出來的企業風險去展開稽核計畫,但實際上若要因應產業的快速發展及發揮內部稽核更重要的效果,包括興利、辨識風險及危機管理以提升公司治理之完善程度,我們必須承認,這種從上自下都以「符合法令最低要求」的稽核現況與心態,是迫切需要被扭轉的。
內部控制處理準則翻新,風險為導向之內部稽核為國內外最新趨勢我國金管會受美國COSO委員會於2013年發布「內部控制-整體架構」更新報告影響,亦於2014年9月修訂《公開發行公司建立內部控制制度處理準則》,其中針對五大組成要素之一「風險評估」清楚點出企業應依照公司之目標為基礎進行風險評估,連結公司不同層級單位,考量目標可行性及外部因素之影響,並依據風險評估之結果,採用適當政策與程序之行動擬訂對應之控制作業,將風險控制在可承受範圍。
此段之修正,已很明確的串連起該準則的第十三條「公開發行公司內部稽核單位應依風險評估結果擬訂年度稽核計畫…」。
2015年起國際內部稽核協會(InstituteofInternalAuditors)透過更新國際專業實務架構(IPPF),亦明確的指引內部稽核之規畫需建立在風險評估之基礎上並與組織目標一致,同時也指出稽核人員需了解高階管理階層及董事會所擬定出來的組織策略、重要企業營運目標、攸關風險及相對應的風險管理程序。
然而,上述準則及實務架構的指引對所有產業的影響力是有限的。
金管會在這項議題上亦於近年數次拋出「建立風險導向內部稽核」議題,並於2016年修訂《金融控股公司及銀行業內部控制及稽核制度實施辦法》增訂第15-1條,宣布從2017年開始推動國內銀行導入「風險導向內部稽核制度」,期望銀行業者建置完整內部控制三道防線機制,於規劃稽核計畫時,能先審視公司之營運目標、辨識及評估風險,再依據評估結果擬定對應之稽核計畫,視風險高低決定查核頻率與範圍,以著重於重點業務之風險控管。
於此,風險為導向之內部稽核在國內展開了新的紀元,開始與世界最新趨勢接軌。
缺乏風險地圖,該如何執行風險為導向的內部稽核目前國內公司除在美國掛牌上市(發行存託憑證)受美國沙賓法案規範者外,針對風險評估,就我們的觀察可歸納出兩大常見重大問題,一為缺乏有架構且系統化的風險評估方式,二為風險評估結果缺乏書面化。
所謂缺乏有架構的方式,是指公司缺乏一套完整且為企業本身客製化的風險地圖,風險評估方式係透過召集各重要職能之高階主管就業務範疇口頭討論。
在這種缺乏風險地圖導引的討論中,容易陷入風險因子考量不夠周全的風險。
如:研發主管,可能會著重評估新產品延遲推出的風險,卻可能會忽略了產品開發技術被外部商業合作夥伴剽竊的風險;人事主管可能會著重於人才招聘的風險,卻忽略了留才政策設計不適當的風險。
就我們的經驗,企業即使執行了風險評估,也常因考慮到參與討論的層級皆為高階經理人,故習慣將風險評估結果視為高度機密,因此鮮少存在風險評估結果書面化的慣例。
我們的建議是,稽核人員應屏除埋首苦幹編制查核規劃的舊習,即使有透過書面化結果得知風險評估結果的困擾,仍應透過訪談方式去了解風險評估結果,才能制定出更貼近實務運作之稽核計畫。