在科技发达的今天，利用科技可以使一家公司或产品转型，但明天可能由于下一波科技的推陈出新，而使产品过时被淘汰；今天顾客对公司的产品或服务非常满意，但是明天有可能因为竞争者的优势，而把客户抢走；今天公司的财产充分发挥功能，达到目的，但明天你的实体财产可能变为负担，因为在知识经济时代，企业最值钱的资产是无形的。因此，企业经营者应该有昨是今非，居安思危的风险观念。

　　任何组织之营运，均可能因为未预期的不利事件发生而影响其绩效品质及目标达成。企业经营与风险，如影随形，可努力减轻，却无法消除。因此最高经营者均应建立风险管理机制，对风险加以有效控管，以确保下列三项目标之达成：营运活动的效率及效果；财务报告的可靠性；相关法令的遵循。

　　一、风险的来源

　　风险是一项行动或事件发生，对组织造成不利影响的或然率。简单地说，对组织目标未能达成的可能性，就叫做风险。风险来源一般可分为组织层级（corporate level）及作业层级（opcrating level）。组织层级之风险又可分为外来因素造成者及内在因素造成者。

　　（－）组织层级风险

　　依照COSO的研究报告，属于组织层级的风险，可再依其来源分别列举如下：

　　l、外来因素造成者：（l）科技发展可能影响公司研究的性质及时机，或导致原料采购的改变。（2）顾客需要与期望改变，可能影响公司产品的开发。生产过程、顾客服务、订价及售后保证。（3）同业竞争可能改变公司行销或服务的作业。（4）新的法令规定，例如环保、税务及劳工等法令，可能迫使公司改变营运政策及策略。（5）天然灾害的发生可能改变公司的作业或资讯系统，及可能须采取应变措施。（6）经营情况的改变，可能影响公司有关融资。资本支出及扩充的决策。

　　2、内在因素造成者：（1）资讯处理系统的故障或中断，可能影响组织之营运活动。（2）所雇佣的员工的品质及训练与考核方式，可能影响员工士气，进而影响组织内部的控管意识。（3）管理阶层人员或职责的变动，可能影响某些控管的执行成效。（4）组织个体的活动特性及员工接近资产的机会，可能导致公司资源遭受挪用或侵占。（5）董事会由少数人把持或监察人未发挥监督功能，可能使决策草率，或孤注一掷；或对公司的不佳业绩及重大的控管缺失，未给予适当的关注及监督。

　　（二）作业层级风险

　　作业层级风险乃组织内各单位或事业部在其日常例行的营运活动过程，所遭受不利事件或行动影响的可能性。一般均依企业管理机能，评估其可能之风险，例如：

　　l、生产风险：（1）合格供应商数量不足的风险。（2）产品品质未能符合市场需求的风险。（2）产能调整需时太长的风险。（4）设备损坏后高维修成本的风险。（5）人工短缺的风险。

　　2.行销及销售风险：（1）客户取消订单的风险。（2）应收账款呆账的风险。（3）销售目标未能达成的风险。（4）销售策略失败的风险。（5）价格高度竞争的风险。

　　一般企业针对作业层级风险，多系采用所谓“交易循环”（Transaction Cycles）的方法，设计适当之控管制度。

　　任何风险对企业财务损失的影响，最后都会显示在财务及会计资讯上。但是并不是所有风险的不利影响都能够予以量化，而且有些影响也非短期内就会浮现。

　　每一种风险对企业的财务影响（包括收入、成本、盈余）之敏感性及程度，很难一概而论。例如：丧失商机、成本提高、产品售价下滑、意外灾害损失及营业中断。

　　二、风险管理的规划

　　规划一项有效的风险控管制度，首先必须了解产业特性、公司营业性质及经营目标与策略，辨识风险的类型及其对营运活动冲击之敏感性及程序。某些特定产业受到政府主管机关特别的规范，例如银行、证券、保险业或上市／上柜的公司，于设计及规划风险控管制度时也应特别考虑。

　　其次，最高经营者对冒险所持的态度，影响风险控管制度的建立及施行。有些经营者较为冒进（aggressive），喜欢冒险；有些比较保守，厌恶冒险。经营任何企业不可能没有风险，在合理可以忍受的程度内，冒点风险是必要的，但过犹不及，经营企业过分冒险及不愿冒险，同样是不会成功的。因此，最高管理阶层对冒险的心态是否适当，影响了控管过程之设计与规划。

　　第三，控管必须要付出成本，因此成本与效益之考量，不可避免。有些经营者讨厌被控管，或认为控管代价太高或会影响经营效率，或认为倒霉的风险不会落在他的单位或公司。对这些经营者而言，他们只看到控管的成本，而忽视控管的必要性与效益，因此他们对于控管之设计与执行并不热衷，也不太支持，甚至于逾越既订之控管流程。

　　三、风险管理过程

　　风险管理是一种有系统的过程，包括制定经营目的及目标、辨识风险、评估风险、拟定风险管理策略及持续监控风险管理的绩效。

　　（－）制定经营目的及目标

　　为使风险管理有效，它必须与公司的经营目的、经营策略及营运计划相连结。所谓经营目的乃是企业所欲追求的机会，或称为使命（Mission）。企业根据使命，提出愿景（Vision），然后拟订策略及计划。理想上，风险策略应与公司的其他经营策略相一致。

　　（二）辨识经营风险

　　传统上，大家谈到风险或风险管理，只是狭义的指财务风险。以制造业为例，传统的风险把焦点放在财务事项，包括应收账款呆账、存货呆滞过时、设备效能低落及因舞弊造成的损失。以银行业为例，传统上的风险指的是利率风险、授信风险、货币风险、资金风险及流动性风险，其实，这只是财务风险而已，并非银行业经营的整体风险。

　　对任何产业及组织来说，一般可以把整体经营风险分为以下五类：财务风险；行销及产品风险；人力资源风险；科技及其作业；创新风险。

　　根据上述分类，一个典型的银行业其所面临的整体经营风险如下：

　　l、财务风险（利率、货币、授信、流动性、资金）。

　　2、行销／产品风险（产品、市场、法律／主管、通路、顾客、竞争）。

　　3、科技／作业风险（容量／弹性、成本／绩效、安全／错误）。

　　4.创新风险（新产品开发、过时、竞争者创举）。

　　5、人力资源风险（关键员工、生产力／品质、关联性）。

　　（三）评估风险发生的可能性及其后果

　　一旦关键性的风险被辨识之后，管理阶层接着衡量风险发生的可能性及其对达成公司目标不利影响的严重性。公司的资源有限，管理阶层必须考量各种关键风险发生的可能性及严重性，然后拟订适当的风险管理政策。

　　（四）对经营风险采取适当政策

　　风险管理政策大致可分为下列三种：

　　l、规避：通常一个企业对于高风险的领域，都会采取规避的回应政策。所谓规避，严格来说，即放弃一项活动，例如某一特定的产品研发或企业购并。

　　2.转移：风险规避并非0与1的假设或选择。管理阶层可视情况采取共同分担的方式（例如与同业共同研发），以分散风险。也可以购买保险的方式，转移风险。

　　3、接受：如果风险是公司经营模式所不可避免的，而且其冲击或严重性为公司经济能力所能承受，则管理阶层可以选择接受该风险。可接受的风险包括二种：一种是接受以后，采取有效控制以减少风险的程度。另一种是低可能性及低严重性的风险，公司可以忍受而不必采取任何控制措施。

　　（五）持续监控风险管理的绩效

　　风险管理过程的最后一个步骤，是针对风险管理能否确保公司目的及目标的达成，持续加以监控。具体做法包括；把实际绩效与预期的比较，执行标竿，或从市场取得一些反馈的资讯。例如，事后评估导致高机会成本的决策；将风险管理的成功或失败与公司特定的能力（包括策略、流程、人员、报告、制度）连续分析；从资本市场的投资者及证券分析师如何对公司绩效的整体看法，检讨公司执行风险管理的能力。

　　四、风险管理的重点

　　一般企业把内部稽核之焦点放在“控制”本身，而非企业经营所可能面临之风险环境，因而忽略了对“作业流程”的评估。依照COSO的内部控制模式，在控制环境下，企业的流程控管分为下列三个步骤：（l）确定组织的目标；（2）评估风险；（3）决定所须的控制。理想的控管制度，应从决定所须的控制，转移到风险的管理。

　　确立机构之目标

　　评估风险

　　管理风险

　　（辨识风险、衡量风险、列出风险顺序、规避风险、转移风险、接受风险）

　　如把风险解释为一项事件或行动，对机构成功达成其经营目标策略的威胁，则很显然地，每一产业或经济个体所面临的风险不同。但了解个别公司相关的经营风险，却为建立有效控管的风险的首要工作。

　　在一个充满风险的环境里，经理人必须关心的不仅限于内部控制，为了避免所有的或部分风险，经理人可能选择分散风险的方式，例如透过合约、保证及保险，经理人甚至于可能决定容忍某种程度之风险。在许多情况下，此种做法对商业流程风险之管理比来行额外之控制，可能更具成本效益。

　　风险管理制度要能发挥功效，至少必须具备下列几个重点：

　　l、最高管理阶层必须重视与支持控管制度。各级管理阶层必须以身作则，坚持每一个单位或事业部都需认同支持。公司目标的订定，必须基于长期竞争优势的考量，同时设有预警制度，能够在财务损失发生前，显示问题的存在及严重性，以便管理阶层及时解决。

　　2、做好资讯与沟通。控管制度的要求应明确传达给各适当管理阶层及员工，而且应有畅通的管道，可以让下情上达。要营造一个良好的控管环境，使员工愿意重视与遵循，并愿意讲真话，把公司的问题当做自己的问题来处理。

　　3、配合目标管理及例外管理，实施适当的奖惩制度。管理阶层应经常关注下属的工作进度与公司的整体目标是否一致，有无落后，是否偏离。实施责任中。动或利润中心，对于例外或异常事项应适时介入辅导改善，并对于表现优秀者，给予适当的肯定与奖赏。

　　4、控管制度的设计，不宜过分严苛或流于形式，应基于风险的重大性及或然率，考量控管制度的成本与效益。太过注重安全，势必使管理阶层事事受掣肘，难有发挥空间；授权不足，经理人事事请示，不敢作主。结果公司整体的营运效率势必受到不利影响。

　　风险控管流程应由各单位和机能的管理阶层及员工负第一线的监督责任。许多公司控管制度之执行如未能落实，往往把责任推给内部稽核人员。没错，内部稽核对控管制度之实施成效，应定期或不定期加以客观评估，但是事后的矫正措施，其效果不若平时由各单位管理阶层之自行评估（Control Self-assessment），包括风险之辨识、衡量与控制来得有效。

　　五、风险管理文化

　　风险管理除了要有一套明确的机制外，更重要的是要有一个适当的风险管理文化。以下这些文化的建立，对有效的风险管理而言，十分重要：

　　l、拒绝报喜不报忧。最有效的风险管理是公司的文化鼓励每一位员工扮演一个平衡的角色。他们应具有风险意识，并把重要的风险问题及时反映给管理阶层注意，而且当风险可能提供重大报酬的机会时，同时以企业家的创新心态去面对及把握。

　　2.居安思危，面对现实。任何惩罚或忽视“恶讯”的文化，会使公司在预期及处理求预期的事件时所需要的沟通受到窒息。资深管理阶层应该接受任何对公司有潜在威胁的讯息，并视个案，判断如何妥善因应。

　　3、不入虎穴，焉得虎子。一个有效的风险文化是鼓励员工迅速果断的行动。诚实评估风险，以积极的态度，视风险为资产，善加利用而非规避。

　　除了上述风险管理文化的建立外，以下四点支持性的观念，也必须获得组织的全员共识：

　　l、主动负责，没有借口。每一位员工对于风险均采取主动负责的态度，一旦风险被发现时亦不须感到抱歉，因为风险是无法避免的，有时尚可化危机为转机。

　　2、接受事实，没有抱怨。员工坦然接受风险的发生，不必抱怨好事未到，坏事却来。重要的是妥善应对，甚至于预期风险的发生。

　　3、坦诚面对，没有隐瞒。员工诚实不隐瞒，在发生问题时，迅速的检讨应如何解决。该求助时立即向上报告请求支援，不认为请求协助是展示弱点。

　　若在上位者有宽大的胸怀，每一员工都会敢于面对，而非隐瞒等到事态严重时才爆发。

　　4、险即是机，没有盲点。每一位员工都了解风险就是机会，两者亦步亦趋。在考虑到潜在损失的同时，亦考虑到潜在报酬。如果畏首畏尾，抱着不做不错的态度，将一事无成。

　　六、内部稽核人员在风险管理中扮演的角色

　　除经营策略外，董事会最常讨论的议题是风险。一些国际知名的公司都曾经遭受过求预期风险的痛苦，从产品的失败或重大暇疵，到未遵循法令之严重错误，到科技或实体的灾害。为使董事们睡得安稳，他们必须有信心：重大的惊奇不会冲击他们的公司。

　　一个经营成功的公司对风险的看法是，风险不仅是危险，也是一个机会。有效的董事会认知，任何一个公司都是从事冒险的事业，过犹不及。为取得平衡，董事们应确定：（l）管理阶层有一个有效的流程以辨识、评估及管理风险。（2）风险管理行动与组织的策略及经营目标相结合。（3）了解重大风险及管理阶层如何回应此等风险。（4）组织文化对风险管理的绩效给予适当奖励。

　　通常董事在监督公司的风险方面若有失职责，系因其忽略确定组织有一有效的持续过程，以辨识及衡量风险对营运的各种假设的潜在冲击，并事先做好必要的控管。董事们也很可能未及时被告知组织所面临的最重大的风险，或对风险已采取适当的行动。

　　传统的内部稽核作业偏重于遵循测试及流程控制。随着环境的改变，稽核重点逐渐转移到企业整体的风险管理及价值创造。换句话说，内部稽核的焦点应以风险为导向，不再局限于辨识及测试控制，应扩及辨识风险及测试管理阶层如何减轻这些风险的机制。内部稽核人员应该测试的是：这些风险如何被有效管理？而不是对这些风险的控制是否妥当及有效？

　　为发展此一风险导向的稽核模式，组织的领导人必须首先认知他们的需要及期望的效益。然后辨识及了解他们的特定营运及财务风险，界定愿意接受的风险水平，接着发展内部稽核的功能以有效监控衡量及管理这些风险。工作本身可能没有改变，但是随着焦点转移到高风险领域，内部稽核人员必须有新的不同专业技能及工作团队。

　　如下图所示，以风险为导向的新稽核模式，跟传统的比较，主要差异在于执行实际稽核工作之前，先做策略分析及经营流程分析。在理想的经营循环里，内部稽核应首先对组织的产业、经营的目标及策略以及相关的风险回应，执行策略分析。诸如：

　　在组织所属的产业及市场环境下，我们的目标及策略是什么？未来我们的核心经营流程，受到主管机关或其他竞争者的影响，可能会被迫做什么改变？什么样的基本风险影响我们的经营策略以及我们的控制环境如何有助于减少这些风险？

　　内部用核方法新论

　　Source：KPMG New Stratcgies and Best Practices in Internal Audit

　　对组织而言，控制固然永远是重要的，但是组织的关键性经营风险及暴露应该是内部稽核的最高焦点。例如，对麦当劳速食店的成功经营而言，薯条的品质、服务的快速及厨房的干净，远比某些收银机短少＄720来得重要。

　　其次，内部稽核在组织的既定目标、策略及重大经营风险的情况下，必须使用资讯以决定各主要经营流程的策略攸关性、固有风险及控制环境。基于这些结论，内部稽核人员再详细分析主要的经营流程时，可以把焦点放在可能发生重大风险的营运活动及那些可能带来机会的活动。根据策略分析的结果，组织必须辨识最重要的那些经营流程，确定针对这些流程已经采取有效的风险回应。

　　评估风险暴露及相关的风险回应，必须评估对企业的经济价值构成威胁的重要性。应用80－20的规则，将80％的风险管理所做的努力置于20％的关键性风险。内部稽核人员决定组织所做的风险回应，是否足以减轻重要的暴露，以及内部稽核应该测试的程度。

　　由于市场上期待内部稽核人员辨识组织的绩效改善，对经营绩效的评估使得稽核人员有正式的方法，确保此等改善的机会持续被辨识及努力达成。内部稽核人员不再只是组织的交通警察，其所做的经营绩效评估，可以确保主要的经营风险被辨识及有效控管减轻。

　　一个真正以风险为导向的内部稽核模式，要求稽核人员与管理阶层改变对内部稽核人员在组织内的角色及影响力的看法。在环境快速变化的世界，最高管理阶层及董事会应重视及坚持内部稽核人员在企业整体风险管理的过程所扮演的重要角色。

　　以风险为导向的内部稽核，要求稽核人员增加其多元化的专业能力及工作团队，以协助组织创造更多的股东价值。在最高管理阶层的支持与引导下，内部稽核在评估及管理风险，应用标竿与最佳实务及辨识机会方面，展现积极主动的角色。内部稽核应着重经营风险的管理及获利机会的辨识，以创造股东最大的价值。例如，内部稽核人员应努力辨识回复失去的营收的机会，使用特定风险回应以减少不想要的或未预期的成本的潜在威胁，指出未能达成目标的那些计划或活动，辨识资讯不足导致的相关问题。

　　七、结语

　　风险与风险管理，已成为企业经营的一种生活现实。风险是一种危险，也是一种机会。企业经营者若忽视风险，决策草率，行事冒进，必然处处碰到地雷。但若厌恶风险而过分保守，畏首畏尾，也必一事无成。因此，企业最高经营者必须面对现实，重视风险，建立风险管理流程的机制，由各营运单位管理阶层把风险管理视为日常营运管理的一部分，另由内部稽核人员定期评估风险管理过程是否妥当及有效运作。