任何組織之營運，均可能因為未預期的不利事件發生而其績效品質及目標達成。企業經營與風險，如影隨形，可努力減輕，卻無法消除。因此最高經營者均應建立風險管理機制，對風險加以有效控管，以確保下列三項目標之達成：營運活動的效率及效果；財務報告的可靠性；相關法令的遵循。

一、風險的來源

風險是一項行動或事件發生，對組織造成不利影響的或然率。簡單地說，對組織目標未能達成的可能性，就叫做風險。風險來源一般可分為組織層級（corporate level）及作業層級（opcrating level）。組織層級之風險又可分為外來因素造成者及內在因素造成者。

（－）組織層級風險

依照COSO的報告，屬于組織層級的風險，可再依其來源分別列舉如下：

l、外來因素造成者：（l）科技可能影響公司研究的性質及時機，或導致原料采購的改變。（2）顧客需要與期望改變，可能影響公司產品的開發。生產過程、顧客服務、訂價及售后保證。（3）同業競爭可能改變公司行銷或服務的作業。（4）新的法令規定，例如環保、稅務及勞工等法令，可能迫使公司改變營運政策及策略。（5）天然災害的發生可能改變公司的作業或資訊系統，及可能須采取應變措施。（6）經營情況的改變，可能影響公司有關融資。資本支出及擴充的決策。

2、內在因素造成者：（1）資訊處理系統的故障或中斷，可能影響組織之營運活動。（2）所雇傭的員工的品質及訓練與考核方式，可能影響員工士氣，進而影響組織內部的控管意識。（3）管理階層人員或職責的變動，可能影響某些控管的執行成效。（4）組織個體的活動特性及員工接近資產的機會，可能導致公司資源遭受挪用或侵占。（5）董事會由少數人把持或監察人未發揮監督功能，可能使決策草率，或孤注一擲；或對公司的不佳業績及重大的控管缺失，未給予適當的關注及監督。

（二）作業層級風險

作業層級風險乃組織內各單位或事業部在其日常例行的營運活動過程，所遭受不利事件或行動影響的可能性。一般均依企業管理機能，評估其可能之風險，例如：

l、生產風險：（1）合格供應商數量不足的風險。（2）產品品質未能符合市場需求的風險。（2）產能調整需時太長的風險。（4）設備損壞后高維修成本的風險。（5）人工短缺的風險。

2.行銷及銷售風險：（1）客戶取消訂單的風險。（2）應收賬款呆賬的風險。（3）銷售目標未能達成的風險。（4）銷售策略失敗的風險。（5）價格高度競爭的風險。

一般企業針對作業層級風險，多系采用所謂“交易循環”（Transaction Cycles）的，設計適當之控管制度。

任何風險對企業財務損失的影響，最后都會顯示在財務及資訊上。但是并不是所有風險的不利影響都能夠予以量化，而且有些影響也非短期內就會浮現。

每一種風險對企業的財務影響（包括收入、成本、盈余）之敏感性及程度，很難一概而論。例如：喪失商機、成本提高、產品售價下滑、意外災害損失及營業中斷。

二、風險管理的規劃

規劃一項有效的風險控管制度，首先必須了解產業特性、公司營業性質及經營目標與策略，辨識風險的類型及其對營運活動沖擊之敏感性及程序。某些特定產業受到政府主管機關特別的規范，例如銀行、證券、保險業或上市／上柜的公司，于設計及規劃風險控管制度時也應特別考慮。

其次，最高經營者對冒險所持的態度，影響風險控管制度的建立及施行。有些經營者較為冒進（aggressive），喜歡冒險；有些比較保守，厭惡冒險。經營任何企業不可能沒有風險，在合理可以忍受的程度內，冒點風險是必要的，但過猶不及，經營企業過分冒險及不愿冒險，同樣是不會成功的。因此，最高管理階層對冒險的心態是否適當，影響了控管過程之設計與規劃。

第三，控管必須要付出成本，因此成本與效益之考量，不可避免。有些經營者討厭被控管，或認為控管代價太高或會影響經營效率，或認為倒霉的風險不會落在他的單位或公司。對這些經營者而言，他們只看到控管的成本，而忽視控管的必要性與效益，因此他們對于控管之設計與執行并不熱衷，也不太支持，甚至于逾越既訂之控管流程。

三、風險管理過程

風險管理是一種有系統的過程，包括制定經營目的及目標、辨識風險、評估風險、擬定風險管理策略及持續監控風險管理的績效。

（－）制定經營目的及目標

為使風險管理有效，它必須與公司的經營目的、經營策略及營運計劃相連結。所謂經營目的乃是企業所欲追求的機會，或稱為使命（Mission）。企業根據使命，提出愿景（Vision），然后擬訂策略及計劃。理想上，風險策略應與公司的其他經營策略相一致。

（二）辨識經營風險

傳統上，大家談到風險或風險管理，只是狹義的指財務風險。以制造業為例，傳統的風險把焦點放在財務事項，包括應收賬款呆賬、存貨呆滯過時、設備效能低落及因舞弊造成的損失。以銀行業為例，傳統上的風險指的是利率風險、授信風險、貨幣風險、資金風險及流動性風險，其實，這只是財務風險而已，并非銀行業經營的整體風險。

對任何產業及組織來說，一般可以把整體經營風險分為以下五類：財務風險；行銷及產品風險；人力資源風險；科技及其作業；創新風險。

根據上述分類，一個典型的銀行業其所面臨的整體經營風險如下：

l、財務風險（利率、貨幣、授信、流動性、資金）。

2、行銷／產品風險（產品、市場、／主管、通路、顧客、競爭）。

3、科技／作業風險（容量／彈性、成本／績效、安全／錯誤）。

4.創新風險（新產品開發、過時、競爭者創舉）。

5、人力資源風險（關鍵員工、生產力／品質、關聯性）。

（三）評估風險發生的可能性及其后果

一旦關鍵性的風險被辨識之后，管理階層接著衡量風險發生的可能性及其對達成公司目標不利影響的嚴重性。公司的資源有限，管理階層必須考量各種關鍵風險發生的可能性及嚴重性，然后擬訂適當的風險管理政策。

（四）對經營風險采取適當政策

風險管理政策大致可分為下列三種：

l、規避：通常一個企業對于高風險的領域，都會采取規避的回應政策。所謂規避，嚴格來說，即放棄一項活動，例如某一特定的產品研發或企業購并。

2.轉移：風險規避并非0與1的假設或選擇。管理階層可視情況采取共同分擔的方式（例如與同業共同研發），以分散風險。也可以購買保險的方式，轉移風險。

3、接受：如果風險是公司經營模式所不可避免的，而且其沖擊或嚴重性為公司經濟能力所能承受，則管理階層可以選擇接受該風險。可接受的風險包括二種：一種是接受以后，采取有效控制以減少風險的程度。另一種是低可能性及低嚴重性的風險，公司可以忍受而不必采取任何控制措施。

（五）持續監控風險管理的績效

風險管理過程的最后一個步驟，是針對風險管理能否確保公司目的及目標的達成，持續加以監控。具體做法包括；把實際績效與預期的比較，執行標竿，或從市場取得一些反饋的資訊。例如，事后評估導致高機會成本的決策；將風險管理的成功或失敗與公司特定的能力（包括策略、流程、人員、報告、制度）連續；從資本市場的投資者及證券分析師如何對公司績效的整體看法，檢討公司執行風險管理的能力。

四、風險管理的重點

一般企業把內部稽核之焦點放在“控制”本身，而非企業經營所可能面臨之風險環境，因而忽略了對“作業流程”的評估。依照COSO的內部控制模式，在控制環境下，企業的流程控管分為下列三個步驟：（l）確定組織的目標；（2）評估風險；（3）決定所須的控制。理想的控管制度，應從決定所須的控制，轉移到風險的管理。

確立機構之目標

評估風險

管理風險

（辨識風險、衡量風險、列出風險順序、規避風險、轉移風險、接受風險）

如把風險解釋為一項事件或行動，對機構成功達成其經營目標策略的威脅，則很顯然地，每一產業或經濟個體所面臨的風險不同。但了解個別公司相關的經營風險，卻為建立有效控管的風險的首要工作。

在一個充滿風險的環境里，經理人必須關心的不僅限于內部控制，為了避免所有的或部分風險，經理人可能選擇分散風險的方式，例如透過合約、保證及保險，經理人甚至于可能決定容忍某種程度之風險。在許多情況下，此種做法對商業流程風險之管理比來行額外之控制，可能更具成本效益。

風險管理制度要能發揮功效，至少必須具備下列幾個重點：

l、最高管理階層必須重視與支持控管制度。各級管理階層必須以身作則，堅持每一個單位或事業部都需認同支持。公司目標的訂定，必須基于長期競爭優勢的考量，同時設有預警制度，能夠在財務損失發生前，顯示的存在及嚴重性，以便管理階層及時解決。

2、做好資訊與溝通。控管制度的要求應明確傳達給各適當管理階層及員工，而且應有暢通的管道，可以讓下情上達。要營造一個良好的控管環境，使員工愿意重視與遵循，并愿意講真話，把公司的問題當做自己的問題來處理。

3、配合目標管理及例外管理，實施適當的獎懲制度。管理階層應經常關注下屬的工作進度與公司的整體目標是否一致，有無落后，是否偏離。實施責任中。動或利潤中心，對于例外或異常事項應適時介入輔導改善，并對于表現優秀者，給予適當的肯定與獎賞。

4、控管制度的設計，不宜過分嚴苛或流于形式，應基于風險的重大性及或然率，考量控管制度的成本與效益。太過注重安全，勢必使管理階層事事受掣肘，難有發揮空間；授權不足，經理人事事請示，不敢作主。結果公司整體的營運效率勢必受到不利。

風險控管流程應由各單位和機能的管理階層及員工負第一線的監督責任。許多公司控管制度之執行如未能落實，往往把責任推給內部稽核人員。沒錯，內部稽核對控管制度之實施成效，應定期或不定期加以客觀評估，但是事后的矯正措施，其效果不若平時由各單位管理階層之自行評估（Control Self-assessment），包括風險之辨識、衡量與控制來得有效。

五、風險管理文化

風險管理除了要有一套明確的機制外，更重要的是要有一個適當的風險管理文化。以下這些文化的建立，對有效的風險管理而言，十分重要：

l、拒絕報喜不報憂。最有效的風險管理是公司的文化鼓勵每一位員工扮演一個平衡的角色。他們應具有風險意識，并把重要的風險及時反映給管理階層注意，而且當風險可能提供重大報酬的機會時，同時以家的創新心態去面對及把握。

2.居安思危，面對現實。任何懲罰或忽視“惡訊”的文化，會使公司在預期及處理求預期的事件時所需要的溝通受到窒息。資深管理階層應該接受任何對公司有潛在威脅的訊息，并視個案，判斷如何妥善因應。

3、不入虎穴，焉得虎子。一個有效的風險文化是鼓勵員工迅速果斷的行動。誠實評估風險，以積極的態度，視風險為資產，善加利用而非規避。

除了上述風險管理文化的建立外，以下四點支持性的觀念，也必須獲得組織的全員共識：

l、主動負責，沒有借口。每一位員工對于風險均采取主動負責的態度，一旦風險被發現時亦不須感到抱歉，因為風險是無法避免的，有可化危機為轉機。

2、接受事實，沒有抱怨。員工坦然接受風險的發生，不必抱怨好事未到，壞事卻來。重要的是妥善應對，甚至于預期風險的發生。

3、坦誠面對，沒有隱瞞。員工誠實不隱瞞，在發生問題時，迅速的檢討應如何解決。該求助時立即向上報告請求支援，不認為請求協助是展示弱點。

若在上位者有寬大的胸懷，每一員工都會敢于面對，而非隱瞞等到事態嚴重時才爆發。

4、險即是機，沒有盲點。每一位員工都了解風險就是機會，兩者亦步亦趨。在考慮到潛在損失的同時，亦考慮到潛在報酬。如果畏首畏尾，抱著不做不錯的態度，將一事無成。

六、內部稽核人員在風險管理中扮演的角色

除經營策略外，董事會最常討論的議題是風險。一些國際知名的公司都曾經遭受過求預期風險的痛苦，從產品的失敗或重大暇疵，到未遵循法令之嚴重錯誤，到或實體的災害。為使董事們睡得安穩，他們必須有信心：重大的驚奇不會沖擊他們的公司。

一個經營成功的公司對風險的看法是，風險不僅是危險，也是一個機會。有效的董事會認知，任何一個公司都是從事冒險的事業，過猶不及。為取得平衡，董事們應確定：（l）管理階層有一個有效的流程以辨識、評估及管理風險。（2）風險管理行動與組織的策略及經營目標相結合。（3）了解重大風險及管理階層如何回應此等風險。（4）組織文化對風險管理的績效給予適當獎勵。

通常董事在監督公司的風險方面若有失職責，系因其忽略確定組織有一有效的持續過程，以辨識及衡量風險對營運的各種假設的潛在沖擊，并事先做好必要的控管。董事們也很可能未及時被告知組織所面臨的最重大的風險，或對風險已采取適當的行動。

傳統的內部稽核作業偏重于遵循測試及流程控制。隨著環境的改變，稽核重點逐漸轉移到企業整體的風險管理及價值創造。換句話說，內部稽核的焦點應以風險為導向，不再局限于辨識及測試控制，應擴及辨識風險及測試管理階層如何減輕這些風險的機制。內部稽核人員應該測試的是：這些風險如何被有效管理？而不是對這些風險的控制是否妥當及有效？

為此一風險導向的稽核模式，組織的領導人必須首先認知他們的需要及期望的效益。然后辨識及了解他們的特定營運及財務風險，界定愿意接受的風險水平，接著發展內部稽核的功能以有效監控衡量及管理這些風險。工作本身可能沒有改變，但是隨著焦點轉移到高風險領域，內部稽核人員必須有新的不同專業技能及工作團隊。

如下圖所示，以風險為導向的新稽核模式，跟傳統的比較，主要差異在于執行實際稽核工作之前，先做策略及經營流程分析。在理想的經營循環里，內部稽核應首先對組織的產業、經營的目標及策略以及相關的風險回應，執行策略分析。諸如：

在組織所屬的產業及市場環境下，我們的目標及策略是什么？未來我們的核心經營流程，受到主管機關或其他競爭者的影響，可能會被迫做什么改變？什么樣的基本風險影響我們的經營策略以及我們的控制環境如何有助于減少這些風險？

內部用核新論

Source：KPMG New Stratcgies and Best Practices in Internal Audit

對組織而言，控制固然永遠是重要的，但是組織的關鍵性經營風險及暴露應該是內部稽核的最高焦點。例如，對麥當勞速食店的成功經營而言，薯條的品質、服務的快速及廚房的干凈，遠比某些收銀機短少＄720來得重要。

其次，內部稽核在組織的既定目標、策略及重大經營風險的情況下，必須使用資訊以決定各主要經營流程的策略攸關性、固有風險及控制環境。基于這些結論，內部稽核人員再詳細分析主要的經營流程時，可以把焦點放在可能發生重大風險的營運活動及那些可能帶來機會的活動。根據策略分析的結果，組織必須辨識最重要的那些經營流程，確定針對這些流程已經采取有效的風險回應。

評估風險暴露及相關的風險回應，必須評估對企業的價值構成威脅的重要性。80－20的規則，將80％的風險管理所做的努力置于20％的關鍵性風險。內部稽核人員決定組織所做的風險回應，是否足以減輕重要的暴露，以及內部稽核應該測試的程度。

由于市場上期待內部稽核人員辨識組織的績效改善，對經營績效的評估使得稽核人員有正式的方法，確保此等改善的機會持續被辨識及努力達成。內部稽核人員不再只是組織的警察，其所做的經營績效評估，可以確保主要的經營風險被辨識及有效控管減輕。

一個真正以風險為導向的內部稽核模式，要求稽核人員與管理階層改變對內部稽核人員在組織內的角色及影響力的看法。在環境快速變化的世界，最高管理階層及董事會應重視及堅持內部稽核人員在企業整體風險管理的過程所扮演的重要角色。

以風險為導向的內部稽核，要求稽核人員增加其多元化的專業能力及工作團隊，以協助組織創造更多的股東價值。在最高管理階層的支持與引導下，內部稽核在評估及管理風險，應用標竿與最佳實務及辨識機會方面，展現積極主動的角色。內部稽核應著重經營風險的管理及獲利機會的辨識，以創造股東最大的價值。例如，內部稽核人員應努力辨識回復失去的營收的機會，使用特定風險回應以減少不想要的或未預期的成本的潛在威脅，指出未能達成目標的那些計劃或活動，辨識資訊不足導致的相關問題。

七、結語

風險與風險管理，已成為企業經營的一種生活現實。風險是一種危險，也是一種機會。企業經營者若忽視風險，決策草率，行事冒進，必然處處碰到地雷。但若厭惡風險而過分保守，畏首畏尾，也必一事無成。因此，企業最高經營者必須面對現實，重視風險，建立風險管理流程的機制，由各營運單位管理階層把風險管理視為日常營運管理的一部分，另由內部稽核人員定期評估風險管理過程是否妥當及有效運作。