以風控爲導向的系統導入與制度整合

簡單地說,風險導向爲基礎的方法就是從辨認風險、評估風險到迴應風險都是採行風險爲基礎的方法進行處理,當辨認出相對應的風險等級後,分配較多資源處理高度風險議題,次要資源分配給中度風險議題,而低度風險則採取容忍或是最少資源分配處理。

此外,企業期望引進新興科技技術以加速數位轉型的過程,同時梳理相關的作業程序讓營運流程更精準地發揮效益,也希望能夠透過資訊系統整合既有營運管理制度,企業亦可運用ERP等資訊系統將管理數位化或加速資訊流通,以達到風險預警告知的效果。因此,ERP等資訊系統中亦會存在諸多企業營運所需依賴的內部控制點,這些控制點必須對應到企業面臨的風險點並有效的卡控以落實內控制度的設計。

資訊系統中相關的控制點亦可產生警示以提醒管理當局或前線管理單位留意不同程度的風險示警事項,而系統中的風險示警事項亦須嵌入風險管理框架(而通常先進ERP系統中,均已涵蓋企業風險管理框架的精神)以滿足前述風險管理的需求。

有鑑於此,主管機關於制定公司治理3.0的藍圖中,將企業風險管理框架納入推動的時程;證交所於民國111年8月8日公告「上市上櫃公司風險管理實務守則」即希望在公司治理3.0藍圖規畫下提供國內上市上櫃公司於企業風險管理髮展的參考依據。該準則主要參考COSO ERM 2017、ISO 31000:2018等國際標準規範及國內金融機構風險管理的要求擬定而成,其企業風險管理框架包含七項要素:1.風險策略與偏好;2.風險治理;3.風險文化;4.風險評估與衡量;5.風險管理與監督;6.風險報導與洞察;7.數據與科技。

透過以上七項要素以及「上市上櫃公司風險管理實務守則」,可以觀察到企業在風險管理議題上的幾個重點:

●企業風險管理框架需要配置適當的組織架構與人員,相關人員亦須具備適當的知識訓練。

●風險需要先進行蒐集與辨認後,透過建立一套有效的評量方法去衡量風險對於組織的影響程度與發生可能性。

●針對風險項目去盤點既有控制制度的適足性與否,針對控制制度不足的地方進行增修與優化。

●即時且有效的將風險評估結果向經營管理當局及董事會進行報告,必要時得由董事會決議後向利害關係人報告。

●整個風險管理框架需要思考科技協助並嵌入在資訊系統中以加速整體運作的效率與正確性。

面對全球局勢快速變化,企業面對的風險管理議題與態樣也逐日攀升,透過企業風險管理框架,可協助企業構築風險管理的基礎方法,以從容面對各式新興與固有風險,降低衝擊,避免影響企業的營運績效。(本文作者爲KPMG安侯建業顧問部執行副總經理)