企業風險管理(Enterprise Risk Management)
撰文◎江山(政大會研所、會計師、高、普考會審人員考試及格)
壹、前言
企業風險管理制度是內部控制制度的延伸與擴大,因此是一種新興的內部控制觀念。COSO委員會(Committee
of Sponsoring Organizations of the Treadway Commission)於1992年、1994年發布 「內部控制─整體架構」 (Internal Control-Integrated Framework)研究報告後,為了進一步提升公司經營管理之成效,於2004年又發布了「企業風險管理─整合架構(Enterprise
Risk Management-Integrated Framework)」研究報告。內部控制制度向來為國家考試「審計學」之命題重點,惟自民國95年開始,高考審計人員加考「內部控制之理論與實務」,其命題重點中即包含了「企業風險管理」。本文之目的,即在由考試的角度,簡單介紹在COSO報告下,「企業風險管理」之定義與內容,以及其與內部控制和公司治理的關連與比較。
由上圖可知,風險是不利於目標達成的事件發生的機率;機會是有助於目標達成的事件發生的機率。
二、企業風險管理之定義
企業風險管理能處理風險與機會,以創造或保存價值。其定義如下:
企業風險管理是一個受到董事會、管理階層以及所有員工影響的流程,適用在策略的制定與整個企業。企業風險管理被設計用來辨認可能影響個體的潛在事件,並將風險控管在個體的風險容納量以內,以合理確保整體目標的達成。
此定義反映了幾個基本觀念。企業風險管理是:
‧一個在個體中持續且無所不在(Flow
Through)的流程。
‧受到組織內各層級的人所影響。
‧適用在制定策略上。
‧適用於整個企業─包含每個層級與單位,並採將個體視為一風險組合的觀點(Portfolio
View)。
‧被設計用來辨認可能影響個體的潛在事件,並將風險控管在個體的風險容納量內。
‧能對管理當局與董事會提供合理確保。
‧用來達成一種或同時達成多個種類的目標─是達成目標的手段而不是目標本身。
企業風險管理是一個流程:
企業風險管理不是靜態的,而是一個發生在企業中的連續或交互影響的活動。企業風險管理與某些將企業風險管理視為是「加在企業原有活動上的」的觀點是不同的。然而,這也不是說有效的企業風險管理不需要額外的努力。例如:在考量信用風險(相對交易人未履行合約交易而致企業發生損失之風險)與匯率風險時,可能需要額外的努力去發展必要的模型與作適當的分析與計算。然而,企業風險管理機制是與企業的營業活動交纏在一起的,並且有其存在的理由。當這些機制被內建在企業的基礎設施並成為企業本身不可分割的一部分時,企業風險管理是最有效的。藉著建立企業風險管理機制,個體能直接影響其實行策略與達成目標的能力。將風險管理與基本營業活動結合,企業能夠避免不必要的程序與成本。將企業風險管理內建在營業活動中,也能幫助管理當局辨識並掌握新的機會,使企業得以成長。
會受人為影響:
企業風險管理會受董事會、管理階層及其他員工所影響。企業風險管理是藉由組織中的人之所做所言完成的。人們建立個體的任務、策略、目標,並使企業風險管理的機制得以施行。
同樣地,企業風險管理會影響人們的行為。企業風險管理瞭解人們並不是相同的個體,有不同的理解、溝通與表現的能力。每個人都有獨一無二的背景與技術能力,並有不同的需求與優先順序。
這些現實都會影響企業風險管理或被企業風險管理所影響。每個人對風險的辨識、評估與回應方式都不同。企業風險管理提供必要的機制,幫助人們在企業目標的背景下瞭解風險。人們必須知道其責任,以及職權的限制。因此,一個關於個人的職責與職責被執行的方式及企業的策略與目標之間清楚且緊密的連結是需要存在的。
組織中包括董事會、管理階層及其他員工。雖然董事的職責主要在監督,他們也提供經營方向的指引、核准策略與某些交易與政策。所以董事會也是企業風險管理的重要份子。
適用在策略制定上:
個體陳述其任務(Mission)或願景(Vision)並建立策略性目標(Strategic
Objectives),這些策略性目標是支持或與願景或任務一致的高階目標。個體建立策略以達成其策略性目標,亦建立其想達成的相關目標,其程序是由上而下的─從策略到事業單位、部門及流程。
企業風險管理被用於策略的制定,在制定策略時管理當局會考慮其所面臨的風險,相較於其他策略所面臨的風險為何。例如:某策略方案是併購其他公司使市場占有率得以成長,另一個方案是裁減成本以提高毛利率,這些方案都會面臨風險。若管理階層選擇第一個策略,有可能必須擴張到一個新且不熟悉的市場,競爭者可能奪走公司目前現有的市場,或者該公司可能無法有效的執行此策略;若選擇第二個策略,風險包括了必須使用新科技或供應商,或形成新的策略聯盟的衝擊。企業風險管理在這個階段可被用來協助管理當局評估與選擇個體的策略與相關目標。
適用於整個企業:
於運用企業風險管理時,個體應考量其所有活動範圍。企業風險管理考量組織所有層級的活動─從企業層級的活動(如策略規劃以及資源配置)到事業單位活動(如行銷與人力資源)到企業流程(如生產以及新客戶信用的覆核)。企業風險管理也適用於非體制內的特殊專案與新的行動方案。
企業風險管理要求企業採取風險組合的觀點。此可能包括每個負責事業單位、功能、流程或其他活動的經理人都應為各項活動做風險評估。此評估可能是量化的也可能是非量化的。而高階經理人被定位為決定個體的整體風險組合是否與個體的風險容納量相稱。
管理階層從「將個體視為一風險組合」的觀點,考量風險的相互關聯性。對個別單位而言,某風險可能低於其風險忍受度;然而,若該風險與其他單位的風險加總起來,卻有可能超過整個個體的風險容納量。相反的,一個其風險可能超過個別單位風險忍受度的潛在事件,若與其他單位的風險作整體考量,其風險可能是可以被抵銷的。我們必須考量風險的相互關聯性,使總風險能與風險容納量一致。
風險容納量(Risk
Appetite):
從較廣的層面而論,風險容納量是企業在追求價值時,所願意接受的風險數額。其反映了企業的風險管理哲學,並因此影響了個體的文化以及營運風格。許多個體係以非量化的方式考量風險容納量─例如:將之分成高度、中度以及低度;有些個體則用數量化的方法,用來反映與平衡在考量了風險之後的成長與報酬目標。具備高風險容納量的公司可能願意將其資金中的很大一部分放置在如新興市場(Newly
Emerging Market)這樣的高風險區域;相反的,具備低風險容納量的公司可能將其資金限制在只投資於成熟、穩定的市場。
風險容納量與個體的策略有直接的關聯。在制定策略時會考量風險容納量,因為不同策略有不同的風險。企業風險管理能幫助管理階層選擇一個將價值創造與企業的風險容納量結合的策略。
風險容納量會指引資源分配。管理當局在分配資源給各事業單位及行動方案時,會考慮個體的風險容納量,以及使各單位得到期望報酬率的計畫。當風險會與組織、人員以及流程產生關聯時,管理當局會考量個體的風險容納量,並設計必要設施以有效的回應與監督風險。
風險忍受度是個體在達成特定目標時,可接受的變異程度。風險忍受度可以被衡量,且通常可與相對的目標以相同單位衡量。
在設定風險忍受度時,管理當局會考量目標的相對重要性,並把風險忍受度與風險容納量結合。在小於風險忍受度的環境下營運,可提供管理當局企業之經營仍低於其風險容納量較大的確保。
提供合理的確保:
設計及運作良好的企業風險管理能提供管理當局及董事會有關整體目標達成的合理確保。合理確保反映了與未來有關的不確定性與風險,而未來沒有人能正確預測。
合理確保並不是暗示企業風險管理常常會失敗,許多單獨與集體的因素強化了合理確保的觀念,能滿足多重目的的風險回應方式的累積效果以及內部控制多目的的性質,降低了企業可能無法達成其目標的風險;再者,企業每日的正常活動以及各個不同層級員工的分層負責,本來就會導引企業朝目標而前進。確實,一家控制良好的跨領域公司,能隨時掌握大部分的營運與遵循行為,以瞭解其是否朝既定目標前進,其內部也會定期產生可靠的報告。然而,不可控制的事件、錯誤或不當的報導是可能發生的。也就是說,即使是有效(Effective
Rather Than Perfect)的企業風險管理也會失敗。合理確保不是絕對確保。
目標的達成:
在建立企業任務後,管理當局建立策略性目標、選擇策略,並由上而下建立與策略連結的其他目標。雖然很多目標是隨個體而異的,但有些是共通的。例如:在企業及消費群中,達成和維持一個好的聲譽、提供可靠的報告給股東,及遵循法律與規範幾乎是共通的目標。此架構建立了四個種類的目標:
策略性目標:策略性目標是高層級的目標,支持並與企業的使命/願景結合。
營運目標:關於個體營運的效果與效率,包含獲利與績效目標以及保護資源免於損失。
報導目標:關於報導的可靠性。包含內部與外部報導、財務與非財務資訊。
遵循目標:關於遵守相關的法令與規範。
這些個體目標的分類允許將焦點放在企業風險管理的不同面向上。這些既有區隔又有重疊的分類(一個特定的目標可以有一個以上的分類)處理不同的個體需求,且可能是不同經理的直接責任。這些分類也允許從每個種類的目標,來區分被預期的事情為何。
有時候個體會使用另一種類稱之為「保護資源」(Safeguarding
of Resources)的目標。此有時候指的是保護資產,而此目標亦會與其他目標重疊。概括來看,保護資產指的是對個體資產或資源損失的預防,無論是被竊、浪費、無效率,甚至是壞的決策,例如:以太低的價格將商品出售、未能留住重要的職員或預防專利被侵害,或產生未預見的負債。這些主要是營運目標,雖然保護資產的某些面向與其他目標有關。若法律對此有所要求,則會成為遵循目標;另一方面,適切的將資產的損失反映在財務報導上,代表了報導目標。若與對大眾的報導聯想在一起,資產保護的較狹隘定義通常被用在預防或及時偵查出未經授權的取得、使用或處分個體的資產,而此行為對財務報表有重大影響。
企業風險管理可被預期提供有關報導可靠性及法令與規範遵循的相關目標達成的合理確保。這些目標種類的達成是可由個體控制的,且其效果視個體相關活動執行好壞而定。
然而,策略性目標的達成,如獲得市場占有率,以及營運目標的達成,如成功開始新產品線,不總是在個體的控制下。企業風險管理不能預防錯誤判斷或決策,或是可能導致企業不能達成營運目標的外部事件。然而,企業風險管理的確提升管理當局作較佳決策的可能性。對這些目標而言,企業風險管理能提供管理當局和居監督角色的董事會及時知道整體目標達成度的合理確保。
三、企業風險管理的組成要素
企業風險管理包括八個相互關聯的組成要素(執行的方法)。這些是從管理當局經營企業所歸納出來的,並係管理程序中不可或缺的部分。包括:
內部環境:
管理當局制定風險哲學,且建立風險容納量。內部環境建立了個體員工處理與看待風險的基礎。企業的核心是人─他們不同的屬性,包括正直、道德觀、適任和他們營運的環境。
目標設定:
在管理當局能辨認影響他們目標達成的潛在事件前,目標必須存在。企業風險管理確保管理當局有合適的程序以設定目標,所選的目標支持且與企業的任務結合,並與其風險容納量一致。
事件辨認:
必須辨認可能影響個體的潛在事件。事件辨認包括由影響目標達成的內部與外部來源,來辨認潛在的事件;包括區分代表風險、機會或兩者皆具的事件。有正面影響的事件代表了機會,會被導引到策略或目標制定的流程中。
風險評估:
將已辨認風險作分析,以決定他們應該如何被管理。風險是與受其影響的目標相關聯的。風險評估包含了固有與殘餘風險的評估,以及風險發生可能性和衝擊的評估。
風險回應:
員工辨認和評估可能的風險回應方式,包括規避、承受、減低和分攤風險。管理當局選擇一套動作以使風險和風險容納量及忍受度一致。
控制活動:
建立及執行政策與程序,以幫助確保管理當局所選的風險回應方式被有效執行。
資訊與溝通:
企業須按某種形式及在某種時程之內,辨識、取得攸關的資訊,並加以溝通,以使員工能夠履行其責任。企業的所有層級都需要資訊以辨認、評估及回應風險。有效的溝通可能是往下、往上或平行的。組織內的個人會收到關於其角色與責任的清楚溝通訊息。
監督:
整個企業風險管理需要被監督,有必要時亦須修正,以便於對環境的變化提供動態的回應。監督包括了持續的管理活動(持續監督)、個別的企業風險管理評估,或兩者兼具。
企業風險管理是一個動態的過程。例如:風險的評估決定風險回應方式,且可能影響控制活動,並突顯出需重新考慮資訊及溝通或監督活動的必要性。因此,企業風險管理並非是嚴格的一系列過程(亦即上一個影響下一個);而是一個多向的、互動的過程,幾乎任何組成要素都能且將能影響其他組成要素。
沒有兩個個體將會或應該以同樣方式運用企業風險管理。公司和他們企業風險管理能力和需求是依產業和規模,與管理哲學和文化而明顯不同。因此,雖然所有個體都應該具備有效的所有組成要素,然而公司運用企業風險管理時,包括工具和技術和被分配的角色和責任,通常和其他公司相當不一樣。
四、目標和組成要素的關係
目標與企業風險管理之間─前者代表個體努力要達成的,後者代表要達成目標須具備的東西─有直接的關聯性。其關係可由以下的三個構面所組成的圖形來說明:
|
‧四大目標種類放在垂直欄位中
‧八個組成要素放在水平列中
‧個體以及其單位則放在此立方體的第三維中
|
每個組成要素都會切過並適用於所有
目標種類。例如:由內部與外部來源產生的財務及非財務資料,是資訊及溝通此組成要素的一部分,是制定策略、有效管理企業營運、有效報導以及決定企業是否遵循相關法令所必須的。
同樣的,各目標種類也都與所有組成要素有關。舉一種類為例,要達成有效率與效果的營運,則八個組成要素都是十分重要的。
企業風險管理是和整個企業或是個別單位相關的。關係圖示在立方體的第三維中,代表子公司、部門和其他事業單位。因此,可以將焦點放在模型的任一小單位上。例如:可以考慮最上面右邊後面的單位,其代表和某一子公司的遵循目標相關的內部環境。
四個垂直欄位表示企業目標的種類,而不是企業的單位或部分。
五、效果
雖然企業風險管理是一流程,其效果卻應視特定時點的狀況或情況而定。決定企業風險管理是否有效果,係藉由評估八個組成要素是否存在且運作良好而定。因此,這些組成要素也是有效企業風險管理的標準。當組成要素存在且運作良好,則就不會有重大缺失,也能將風險控制在風險容納量內。
當企業風險管理在四個目標種類分別被認定是有效果的,則董事會和管理當局就能合理確保:
他們瞭解整體策略目標達成度。
他們瞭解整理營運目標達成度。
個體的報導是可靠的。
相關法律和規範是被遵循的。
考量企業風險管理時,通常係以整體作為考量的背景,包含在重要事業單位的適用情況。然而,在某些情況下,必須單獨對事業單位評估其企業風險管理的有效性。在這些情況,八個組成要素皆必須存在且運作良好,才能做出「該單位的企業風險管理是有效的」的結論。因此,如具特定屬性的董事會是內部環境的一部分,只有當該單位有一適當運作的董事會或類似團體時,才能說該單位的企業風險管理是有效的。同樣的,因為風險回應是採風險組合觀點,所以只有該特定單位也是採此一觀點,才能說該單位的企業風險管理是有效的。
六、包含內部控制
內部控制是企業風險管理不可或缺的一部分。企業風險管理範疇包括內部控制,並形成一更健全的管理概念與工具。內部控制被定義和敘述在「內部控制─整體架構」研究報告中。因為「內部控制─整體架構」是現存規則、規範和法律的基礎,且已通過了時間的考驗,因此,該研究報告仍然適合定義內部控制和架構。
七、企業風險管理和管理流程
因為企業風險管理是管理流程的一部分,所以在管理當局經營一企業或其他個體中時,企業風險管理架構的組成要素應一併納入討論。但並非每個管理流程都屬於企業風險管理。很多管理決策判斷和有關管理行為並不是企業風險管理。例如:
確保有一適當目標制定流程是企業風險管理的一個重要成分,但是管理當局特定目的的選擇非屬企業風險管理的一部分。
根據一適當風險評估以回應風險是企業風險管理的一部分,但特定風險回應方式的選擇和相關個體資源的分配則不是。
建立和執行控制活動以幫助確保所選擇的風險回應方式能有效的被貫徹,是企業風險管理的一部分,但特定控制活動的選擇則不是。
一般而言,能使管理當局做出明智的風險基礎決策(Risk-based
Decision)的管理流程,才屬於企業風險管理,但特定決策方案的選擇,不能決定企業風險管理是否有效。然而,雖然特定目標、風險回應方式和控制活動的選擇是管理當局的判斷,但該選擇結果應將風險降低至可接受水準,與個體的風險容納量及忍受度一致,並對個體目標的達成提供合理確保。
八、企業風險管理的限制
受限於成本效益之考量。
不能完全避免人為判斷錯誤。
無法排除串通舞弊之可能。
管理階層可能逾越風險管理程序。
情況變遷致原先制度無法因應。
可能日久鬆懈。
九、內部控制架構與企業風險管理架構的比較
內部控制
|
企業風險管理
|
|||
範圍
|
較小(包含於企業風險管理範圍內),重點放在評估企業自己的內部控制上
|
較大,對內部控制做進一步的擴充與詳細敘述,以及將焦點放在風險上
|
||
與公司管理流程之關係
|
都僅是管理流程的一部分,但企業風險管理占的比重較內部控制高
|
|||
目標種類
|
三類
|
四類─多了策略性目標
|
||
目標分類內容
|
報導
目標 |
著重(對外)財務報導可靠性
|
範圍較內部控制為大,包含企業對內與對外的所有財務與非財務報導
|
|
策略性
目標 |
與策略制定較無關,因此不包括該目標
|
由於策略性目標是用來制定策略的,因此策略性目標的層級較其他三類目標為高,且其他三類目標應配合策略性目標
|
||
風險組合觀點
|
未考慮
|
有
|
||
組成要素
|
五大組成要素:控制環境、風險評估、控制活動、資訊與溝通、監督
|
較內部控制多了目標設定、事件辨認,與風險回應(內部控制組成要素中的控制環境,企業風險管理將之稱為內部環境)
|
||
內部環境
|
少提及風險,有獨立外部董事,但適當數量為何不夠具體
|
包含風險管理哲學、風險容納量及忍受度。外部獨立董事要求─至少要求二位獨立外部董事─最好超過半數
|
||
目標設定
|
由於係純規劃活動,因此不屬於內部控制架構探討的範圍
|
包含四項目標:策略性、營運、報導、遵循
|
||
事件辨認
|
並不是沒有談到(放在風險評估中),但不像企業風險管理一項單獨成為一項組成要素
|
辨認事件─不論事件是代表了風險或機會
|
||
風險評估
|
辨認事件─不論事件是代表了風險或機會,以及評估風險的可能性與衝擊
|
除了下列之外,企業風險管理對風險評估有更深入的剖析:
應考慮固有與殘餘風險,且應
採用與目標相同的衡量單位來表達風險的衝擊
應考量風險發生的時點(例如:雖然風險發生衝擊與可能性
都很大,但發生的時點超過該目標的執行期間,則此種風險不應納入考慮)
注意風險的相互關聯性,單一事件可能伴隨多重風險
要求最高管理當局採取風險組合觀點
|
||
風險回應
|
由於大部分皆為純執行活動,因此不屬於內部控制架構探討的範圍
|
四種回應方式:規避、減少、分攤、與接受
|
||
控制活動
|
確保管理當局確實回應風險
|
幫助確保管理當局確實回應風險,企業風險管理明確點出在某些情況中,控制活動本身就是風險回應
|
||
資訊與溝通
|
資訊
|
範圍較小,著重內部控制
|
範圍較大,包含過去、現在與未來,只要與風險管理的流程有關
|
|
溝通
|
大體相同,但內部控制較企業風險管理更強調其他溝通管道的必要性
|
|||
監督
|
範圍較小,著重內部控制
|
企業風險管理機制的監督,因此包含內部控制
|
||
角色與責任
|
未提及風險管理人員之責任與角色
|
提及風險管理人員之責任與角色,並擴充董事會角色
|
||
十、企業風險管理與公司治理的比較
項目
|
企業風險管理
|
公司治理
|
目的
|
使企業的策略制定過程能與其風險容納量一致,並與使命跟願景結合
營運上的有效率與有效果
財務報導的可靠性
法令的遵循
|
解決Principal & Agent的代理問題
|
權益被保障的人
|
股東
|
股東及其他類別之利害關係人(Stakeholders),但被保障之程度不同
|
負責的人
|
董事會
經理人
所有員工
較著重企業自己能力所及的行為
|
企業內部的治理單位
外部機構(政府的行政與立法機構、市場機制)
|
方法
|
內部環境、目標設定、事件辨認、風險評估、風險回應、控制活動、資訊與溝通、監督
|
提高資訊透明度,加強公司治理單位責任
|
董監之責任
|
有,中等強調
|
有,非常強調
|
對外報導
|
有,中等強調
|
有,非常強調
|
控制環境
|
談,全面地談,強調人(包括董事、監察人、經理人、員工)對控制環境之影響
|
談,但非全面地談,只談董監事(含其獨立性、能力)對控制環境之影響
|
事件辨認、風險評估、風險回應、控制活動
|
討論較多
|
討論較少
|
監督
|
有,被強調,自控制環境中獨立出來,成為單獨一個組成要素
|
有,強調
|
資訊與溝通
|
以內部溝通為主
|
本圖說明:
公司治理包含了外部與內部機制,規範與監控的對象主要在公司的董監事與高階管理當局;而企業風險管理規範的對象範圍與內部控制類似,惟內容則較內部控制為廣。
企業風險管理與公司治理關係圖
企業風險管理與公司治理關係圖
貳、結語
風險管理並非現代的產物,然而近年來無論在內部控制、審計、舞弊稽查、內部稽核的領域,皆十分強調所謂的「風險基礎觀點」(Risk-based
Perspective)。例如:我國審計準則公報第37號「對受查者事業之瞭解」,即要求查核人員於執行財務報表查核時,對受查者事業應具適當的瞭解,方能評估風險及瞭解問題所在;我國審計準則公報第43號「查核財務報表對舞弊之考量」第2條具體要求查核人員應:
執行適當查核程序獲取資訊,以確認因舞弊而導致重大不實表達之風險。
確認並評估於整體財務報表及個別項目之聲明中,因舞弊而導致重大不實表達之風險,亦應評估受查者對該等風險相關控制之設計,並確定是否付諸實行。
決定對財務報表中因舞弊而導致重大不實表達之風險,提出整體查核對策,暨考量查核人員的分配與督導;考量受查者所採用之會計政策,及在選擇查核程序之性質、時間及範圍時,須融入受查者無法預期之因素。
設計並執行查核程序,以因應管理階層逾越控制之風險。
決定查核對策,以因應舞弊所導致重大不實表達所評估之風險。
另外,國際內部稽核協會定義內部稽核為:內部稽核是一種獨立、客觀的確認及諮詢活動,用以增加價值及改善一個組織的營運。它協助一個組織透過一個系統化的方法,評估及改善風險管理、控制及治理過程的效果,以達成組織的目標。
參考文獻
“Enterprise Risk Management-Integrated
Framework, Executive Summary Framework”,The
Committee of Sponsoring Organizations of the Treadway Commission, 2004.
“Enterprise Risk Management-Integrated
Framework, Application Techniques”,The
Committee of Sponsoring Organizations of the Treadway Commission, 2004.
馬秀如譯,內部控制:整體架構,1998年,會計研究發展基金會出版。
馬秀如,內部控制之延伸—風險管理,會計研究月刊,第238期,2005年。
審計準則公報第43號「查核財務報表對舞弊之考量」,2006年,審計準則委員會。
沒有留言:
張貼留言