[原创]企業風險管理——高階主管要覽   [推广有奖]

高階主管要覽

    企業風險管理之基本假設，係每個企業均因其為利害關係人提供價值而存在。所有企業均面臨不確定性，而管理階層所面臨之桃戰，在於當其為利害關係人創造價值而努力時，須決定其欲接受之不確定性有多高。不確定性代表風險或代表機會，企業之價值可能因此而遭侵蝕或因此而提高；企業風險管理讓管理階層能有效處理不確定性及其相關的風險與機會，使企業創造價值之能力提高。

    管理階層為使企業創造最大的價值，應在謀企業之成長、報酬與相關風險間，取得最適平衡的情況下，訂定策略及目標，此外，在謀企業目標之達成時，還應有效率及有效果地分配資源。企業風險管理形塑下列效益譯注 ：

· 策略得以追隨(Aligning)譯注風險胃納(risk appetite),並與其一致——管理階層於評估策略方案、訂定相關目標，及訂定管理相關風險之機制時，考量企業之風險胃納。

· 風險回應之決策得以強化——企業風險管理能提供辨認與選擇各種風險回應方案之嚴格規範。風險回應方案有：風險規避(risk avoidance)、風險抑減(risk reduction)、風險分擔(risk sharing)及風險承受(risk acceptance)。

· 營運的非預期風險及損失得以降低——企業得以強化辨認潛在事項與決定如何回應之能力，以降低非預期營運風險及相關成本或損失。

· 遍及企業各層面之風險得以確認與管理——所有企業的各個單位均面臨多種風險，出現相互關連之後果。企業風險管理能促使企業對該等後果作出有效及整合性之回應。

· 機會得以掌握---管理階層居於可全面考量潛在事項之地位，而得辨識機會，並予積極掌握。

· 資金之配置得以改善---取得強韌的（robust)風險資訊，使管理階層能有效的評估整體資金需求，並強化資金配置。

    企業風險管理所隱含之能力，可協助管理階層達成企業之績效及獲利目標，並防止資源之損失，亦協助保證企業可達有效報導及遵循法令，並避免損失商譽及其他相關後果。總而言之，企業風險管理能協助走到它想去的地方，並防止在路上落入陷阱或碰上意外。

事項---風險與機會

    事項(events)之影響可能為負面、正面，或二者兼具。有負面影響之事項，代表風險，風險將阻礙價值之創造或侵蝕現有價值。具有正面影響之事項，代表機會。機會係一個事項發生之可能後果（possibility），而該事項對目標達成之影響係有利，可協助價值之創造或保持，或抵銷負面之後果。管理階層在訂定策略或目標之過程中，進行規劃，掌握機會。

企業風險管理之定義

    企業風險管理在處理風險與機會，該二者影響企業價值之創造或價值之保持。企業風險管理之定義如下：

企業風險管理是一遍及企業各層面之過程，該過程受企業的 董事會（board of directors）譯注、管理階層或其他人士而影響，用以制定策略、辨認可能影響企業之潛在事項、管理企業之風險，使其不超出企業之風險胃納，以合理擔保其目標之達成。

此定義反映某些基本觀念，亦即，企業風險管理，係：

· 一項過程，該過程持續不斷於企業內運轉。

· 受企業各階層人士所影響。

· 於制定策略時採用。

· 應用於企業各層面，涵蓋所有層級及單位，所考量之風險包括企業整體層級之組合風險。

· 用以辨認潛在事項及管理風險。該事項一旦發生，企業將受影響。管理風險之目標，係使企業所面臨之風險不要超出風險胃納。

· 能為企業管理階層及董事會提供合理擔保。

· 配合目標之達成，該等目標可能歸屬於一個類別或一個以上之類別，當歸入一個以上的類別時，其有部分相互重疊。

    該定義較為廣泛，它擷取企業及其他組識如何管理風險之基本關鍵概念，並提供在各組織、產業及部門如何加以應用之基礎。它直接針對各特定企業如何達成其訂定之目標，並提供如何定義企業風險管理是否有效之基礎。

目標之達成

管理階層先為企業訂定使命(mission)或願景(vision)，並在此框架下設定策略性目標(strategic objectives)，進而選擇策略，然後再追隨策略，從上而下(cascading)選定企業之目標。企業風險管理架構配合企業目標之達成，企業之目標，分為下列四個類別：

· 策略性（strategic）——係高層次之目的（high-level goals），其追隨（aligned with）企業之使命，並支援其達成。

· 營運（operations）——資源之使用有效果及有效率。

· 報導（reporting）——報導之可靠。

· 遵循（compliance）——相關法令之遵循。

    上述企業目標分類之方式，使專注於企業風險管理之某一層面成為可能。這些類別有差別，但又重疊，讓某一個特定目標可能被歸入以上之類別，各在探討企業之不同需求，各層不同高階主管（executives）之直接負責；這種分類方式，亦可用來區分能預期可從每一類的目標獲得什麼樣的效果。某些企業會指出他們還使用另一類別「保障資源安全」（safeguarding of resources），本手冊亦予提及。

    因為報導之可靠及法令之遵循二目標，係在企業掌控範圍之內，故預期企業風險管理可提供達成這些目標之合理擔保，但就策略性目標及營運目標而言，因有企業無法控制之外部事項存在，並非必在企業掌握範圍之內，故企業風險管理僅可使管理階層及扮演其監督者之董事會及時獲知企業朝達成目標邁進之程度，並提供達成這些目標之合理擔保。

企業風險管理之組成要素

企業風險管理包含下列八個相互關連之組成要素(components)，這些組成要素係管理階層經營企業之方式而發展出來，並與管理之過程相結合：

· 內部環境（Internal Environment）——內部環境形塑（encompasses）組織之基調（tone of an organization），並建立企業之人員如何看待與如何處理風險之基礎，包括風險管理哲學與風險胃納、操守與倫理價值觀譯注，以及營運所處之環境。

· 目標設定（Objective Setting）——管理階層在能辨認影響其目標能否達成之潛在事項前，目標須已選定。企業風險管理保證管理階層訂有制訂目標之過程，以及所選中之目標能支持企業之使命，追隨該使命，並與企業之風險胃納一致。

· 事項辨認（Event Identification）——企業須辨認會影響目標能否達成之內部事項及外部事項，這些事項可區分風險與機會二類，管理階層應把機會導回設定策略或目標之流程中。

· 風險評估（Risk Assessment）——企業分析風險、考量其發生之可能性（likelihood）及後果（impact），並藉以決定風險應如何加以管理。風險之評估，基於固有（inherent）風險及剩餘(residual)風險。

· 風險回應（Risk Response）——管理階層選擇風險回應(規避、承受、抑減及分擔)之方式，並進行一連串行動使風險能與企業之風險容忍度(risk tolerance)及風險胃納(risk appetite)相配合。

· 控制活動（Control Activities）——所訂定用來協助保證風險回應能有效執行之政策與程序。

· 資訊與溝通（Information and Communication）——辨認、擷取及溝通攸關資訊，其形式，以及辨認、擷取及溝通資訊的時限（timeframe），要讓相關人員能夠履行其職責。有效溝通之觀念，範圍亦可較廣，包括企業由上而下，由下而上，以及相互之間橫向的溝通。

· 監督（Monitoring）——就企業風險管理之整體，予以監督，必要時，加以修正譯注。監督之進行可藉持續進行之管理作業譯注、間斷性評估（separate evaluations），或二者兼採。

    企業風險管理不是嚴格的連續過程。在連續過程，上一個組成要素只影響下一個組成要素。本過程呈多方向，且亦反覆進行，任一個組成要素均能影響另一組成要素，且任一個組成要素事實上是影響另一個組成要素。

目標與組成要素之關係

目標與企業風險管理組成要素間存有直接關係。目標是企業極力欲達成者，而企業風險管理的組成要素，則代表達成目標所需者。上述關係以立方體方塊描繪如下：

立方體之上方所標示者，為四類目標(策略性、營運、報導及遵循)；立方體之前方則標示八個組成要素，右方則描述企業之單位。此種表達方式顯示可著眼於企業風險管理之整體，或著眼於某一類目標、某一個組成要素、某個企業單位，甚或更小之組成單位。

有效性

    判斷企業風險管理是否有效，係藉評估八個組成要素是否出現、是否適當運作。因此，這些組成要素亦為判斷企業風險管理是否有效之標準。當組成要素出現，且適當運作時，重大缺失不得存在，且風險不得超出企業風險胃納之範圍。

    這四類目標之每類企業風險管理被評為有效時，董事會及管理階層須合理擔保其知悉企業達成策略性目標及營運目標之程度、企業之報導係可靠，並已遵循相關法令。

    八個組成要素之運作方式，在各個企業，不可能相同，例如，在中小企業，可能較不正式，架構較不嚴謹。無論如何，小規模企業之風險管理只要每一組成均告出現及能適當運作，則仍能有效。

限制

    企業風險管理雖有重大效益，但限制仍存在。限制除來自上面已討論者外，亦來自：決策過程中的人為判斷可能有所失誤、在作成風險回應及訂定控制之決策時需考量成本與效益、因人為單純錯誤或失誤造成之故障(breakdowns)、多人串通(collusion)以及管理階層逾越企業風險管理決策等。這些限制使董事會及管理階層不能擔保企業之目標必然達成。

涵蓋內部控制

    內部控制係企業風險管理中不可或缺的部分。企業風險管理架構涵括內部控制，形成一個比它更不需要假設之強有力觀念（robust  conceptualization）及管理上的工具。內部控制之定義於「內部控制—整合架構」中加以描述。該架構經得起時間的考驗，並為現有規則、行政命令及法律之基礎。談到內部控制之定義及其架構，該文件仍屬有效，雖然本架構只提到「內部控制—整合架構」之部分內容，但該架構的整體係以參考之方式整合至本架構中。

角色與責任

企業中的每一個人對企業風險管理或多或少都擔負某種程度之責任。執行長(chief executive officer)擔負最終的責任，且責無旁貸，其他的經理人則擔負支持企業風險管理的哲學，督促遵循企業之風險胃納，並在其責任區內依其風險容忍度之大小而負管理風險之責；風控主管(risk officer)、財務主管(financial officer)、內部稽核人員及其他人士通常擔負支援的關鍵責任，企業的其他人士則負依既定指令及規定落實執行企業風險管理之責。至於董事會，則對企業風險管理負重要的監督之責，它須知悉企業之風險胃納，並同意這個風險水準。外部之團體或人士，例如顧客、供應商、合作夥伴、外部稽核人員(external auditors)、主管機關及財務分析師，通常提供可影響企業風險管理之有用資訊，但該等人士並不對企業風險管理之有效性負責，亦非屬其中之一部分。

本報告之安排

本報告分為兩冊。第一冊包括高階主管要覽及架構。高階主管要覽係高級層之總覽，在供執行長（chief executives）、其他高階主管、董事會成員及主管機關閱讀；架構則定義企業風險管理，描述原則及觀念，提供指引給企業及其他組織之所有管理階層用來評估企業風險管理之有效性，也強化其有效性。應用本架構所述各要素時，有些技術是有用的。第二冊為應用技術，即在提供這些技術的範例。

本報告之使用

讀者讀完本報告可能采取一些行動。建議的行動到底為何，依該等人員於企業中之職位與所扮演的角色而定。

· 董事會——董事會應與資深管理階層討論該企業的企業風險管理之情形，並提供必要之監督。董事會除知道管理階層正採行之行動和它如何做到有效之企業風險管理外，還應把握它已掌握最重大的風險。董事會應考慮從內部稽核人員、外部稽核人員及其他人員取得資訊。

· 資深管理階層——本書建議執行長要評估該組織企業風險管理之能力。評估的方式之一，是執行長帶著事業單位主管及擔負關鍵職能的幕僚，一起討論初步評估該企業風險管理之能力及其有效之程度。無論初步評估的型式如何，都應決定是否需要進行範圍較廣、較為深入之評估，以及該項評估如何進行。

· 組織內的其他人員——經理及其他人員應考量他（她）是如何根據本架構而履行其責任，並與更資深的人員討論如何強化企業風險管理之意見。內部稽核人員應考量其注意企業風險管理的範圍是否足夠。

· 主管機關——本架構能提出一種大家對企業風險管理之共同看法，包括什麼能做與什麼做不到。主管機關在建立期望，發布行政命令、指引或查核其監理對象時，得參考本架構。

· 專業組織——訂定財務管理、審計及相關議題之規範制定機構與其他專業組織，於制定准則於和指引時，應考量本架構。觀念上之差異及不同專業術語所造成之障礙如能排除，所有單位均蒙其利。

· 教師——本架構可作為學術研究及分析之題目，看看未來哪裏還能再改進。假設本報告被大家接受，當其為了解風險管理的共同基礎平臺時，則本報告的觀念及名詞應納入大學的課程之中。

    本報告是大家相互了解的基礎，有了這個基礎，所有單位將能用共同的語言來交談，溝通也能更有效。企業高階主管將有辦法能用一個標准來評估該企業之企業風險管理過程，並強化此過程，使企業能朝達成其設定目標而邁進。本報告也可做為未來進一步研究之基礎；立法機構及主管機關應能對企業風險管理，包括其效益及限制，更加了解。當各單位都採用一個共同的企業風險管理架構時，這些效益將可實現。