書籤 電郵 列印此頁

具風險智能的管理團隊

作者: 企業風險服務部 / 李學澄營運長、彭為德協理、戴憶婷協理、溫紹群經理

風險,就是任何引起潛在損失或降低獲取利潤的因素,而無法達成企業既定的目標。值得注意的是,這個定義包含了風險的雙重性質,也就是同時表達了潛在的損失與報酬。這兩者之間的差異是很重要的:只著重於風險規避的企業可以在商場上生存,但是很少有機會獲取高額利潤;只有那些能夠明智地承受風險以維護並創造價值的企業,才能在這極具危險又充滿機會的商業環境中,脫穎而出。

在前面兩期介紹了建立風險智能企業的九大準則及具風險智能的領導者,接下來我們將介紹在企業風險管理流程中負責執行及監督的風險管理團隊。

具風險智能管理團隊的重要性

價值與成長是管理的語言且也是企業經理人員獲得報酬的方式。傳統的風險管理模式著重於保護現存資產 ,即透過風險規避與保險方式來降低或移轉風險,企業領導者希望當企業經理人員談到風險時,僅會提及風險規避,而不希望提及會讓公司成長的風險承擔。企業領導者通常認為風險管理就是企業成本的增加且極有可能是企業成長的阻礙。

在整個企業風險管理流程中,主要負責執行風險辨識、評估與回應的風險權責人員,主要為各部門負責人,例如主要負責訂價風險有關的銷售部門主管或是負責財務與報導相關風險的財務長或是主要負責資訊相關風險的資訊長等,並與協助確認風險管理品質的稽核長等,將會組成企業的風險管理團隊,有效地幫助企業領導者瞭解不同類型的風險,包括法令及契約的遵循、競爭、環境、資訊安全、隱私權、永續經營、策略及執行、報導及營運面的風險、正確的認知企業風險管理所帶來的價值與效益,協助確認企業領導者以全方位的方式來管理風險,並將企業的風險與報酬維持在均衡狀態。具風險智能的管理團隊所被賦與的使命,不僅協助企業進行風險的規避,更應協助企業有效的透過風險承擔來創造企業的價值與永續發展。

身為風險管理團隊一員的您,您所面臨的挑戰會是什麼呢?您在風險管理流程中所扮演的角色為何?具風險智能的您,將如何開始您的第一步呢?以下將以財務長、資訊長及稽核長為例,進行說明。

具風險智能的財務長

財務長面臨與風險管理相關的挑戰

今日財務長面臨的壓力與挑戰遠大於以往,在景氣動盪的環境下不僅要守住獲利底線,於企業風險管理系統中亦肩負核心功能。標竿企業的財務長被賦予高度的期望,必需要兼具四種角色與職能(參見圖1)並取得平衡的發展,分別是監督者(Steward)、營運者(Operator)、策略家(Strategist)、激勵者(Catalyst)。

圖1:財務長的四種角色與職能

01

而財務長在這四種角色的扮演上亦面臨嚴格的挑戰,以下幾項是常見與企業風險管理直接或間接相關者:

  • 如何確保公司所依賴的財務報表資訊是正確的? 傳遞的是可信賴的訊息? (監督者)
  • 如何不犧牲公正性、以有效率又低成本的方式達到控制(control)的目的? (監督者)
  • 如何成為具有風險智能的財務長,不只是踩煞車,還要能引導獲利的成長?(策略家)
  • 許多公司迷思於價值就僅是創造獲利成長,應對價值動因有更完整的認知。(激勵者)

圖2:財務長面臨的十大挑戰

02

具風險智能財務長的特質

在前述與風險管理相關的挑戰下,財務長能否稱職的發揮其功能,與其是否具備風險智能有著密切的關聯性,歸納其特質如下:

  • 瞭解並能掌握各種風險,包括詐欺、謊報、嚴重虧損、錯失成長、財務報告延遲等。
  • 能跨越部門本位的藩籬以獲得對風險完整的看法。
  • 從企業的角度貢獻對風險整體的看法與見解。
  • 提供從風險智能角度創造價值所需要的資訊。
  • 建立一個流程來主動控管風險,該流程能提供主要風險指標以辨識風險改變的趨勢。
  • 參與及協調經過整合後針對風險的回應。
  • 清楚定義及闡述財會功能的角色與責任。
  • 重視對風險具有認知與適應能力的財會人員。

財務長該如何進行下一步

具備風險智能的財務長也要將其能力展現在具體的作為上,一切風險管理的措施皆能符合企業的風險喜好,不僅是消極的規避風險,而是積極的管理風險、創造策略性價值。

1. 確保公司財務報表資訊的正確性、達到有效的內部控制

  • 將資料、系統、流程標準化,並加強系統的自動化與整合性,以加速結帳流程並降低資訊錯誤的風險。
  • 透過系統自動化及防錯/防弊等功能,將財務與風險的能力內建在營運作業中。
  • 招募及培養具備正確風險智能觀念的人才。
  • 建立精簡有效的內部控制架構,避免疊床架屋、浪費人力及成本。

2. 進階至可針對策略性決策提供建議

  • 積極推動並產生對企業營運更有價值的資訊。
  • 投入適當的資源管理報酬型風險(rewarded risk),例如:新產品上市、併購、外包作業等,並提供可支援相關決策的資訊。
  • 協助領導團隊充分瞭解並設定企業本身的風險喜好。
  • 提供充分與必要的資訊,以促進及養成企業根據事實決策的機制。

具風險智能的資訊長

資訊風險在營運活動高度依賴電腦化的今日,已是每個企業所無法避免的風險。由於資訊科技的運用廣及企業的各項營運活動並內化為基本作業流程之中,因此很難單就資訊的單一面向來衡量及管理風險,因此如何跳脫出資訊的視野,由企業整體的角度來思考資訊風險的管理,從資訊服務的提供者轉化為價值的創造者,成為在公司內部各業務單位與營運單位的策略夥伴,並建立一套完整的企業資訊風險治理架構 (Enterprise IT Governance)則是資訊長的最大挑戰。

具風險智能資訊長可能面臨的挑戰

包括有:

1.企業價值彰顯 (Delivering Value)

  • 資訊投資的決策如何符合企業的價值與利益
  • 資訊投資效益如何衡量
  • 資訊投資之執行如何有效管控與校準

2.作業最佳化 (Operational Excellence)

  • 資訊組織與流程如何最佳化
  • 資訊系統設計與業務流程控管如何避免不衝突
  • 資訊組織的日常作業績效如何可衡量化
  • 資訊團隊的規模與所需要的能力如何評估與規劃

3.策略委外 (Strategic Partnership)

  • 委外與採購風險如何定義
  • 委外風險須考量到哪些策略面與作業面因素
  • 委外廠商之績效如何衡量

4.穩定的基礎架構 (Resilient Infrastructure)

  • 業務持續營運的風險如何管理
  • 災難發生時如何判定哪些業務應優先復原以及平日如何備援
  • 災難備援的投資如何效益分析

5.法令遵循 (Regulation Compliance)

  • 藉由流程、系統與基礎之規劃須遵循法令
  • 如何管理法規趨勢與相關之風險
  • 如何調整公司內部之政策、流程與系統架構,以因應法規之要求

資訊長該如何進行下一步

企業面臨到多向度的資訊風險挑戰,首先需要一套完整的策略思維來因應,圖3是建議在建立企業資訊風險治理架構時可以運用之邏輯,包含從企業策略釐清、治理規劃、資訊策略方案選擇、資訊計畫管理、資訊的交付到資訊維運。

圖3企業資訊治理策略思維

03

在此策略思維之下,資訊長應思考的是如何將這一套想法佈建於企業資訊組織的運作中,以解決在資訊系統的規劃、發展與取得、上線、維運與持續改善的控管,滿足企業營運需求與策略,並管理相關風險。以下為二個執行重點:

1.資訊策略與規劃-在進行資訊策略與規劃時,首先須了解企業組織的價值為何

組織內部每個人對於資訊需求通常有自己的一套想法,舉例:系統使用者會希望日常作業從前端資訊的輸入到後端的輸出與檢核等,能有愈多的系統化來支援、程式設計師會認為系統準時開發完成並且有品質;系統管理人員會認為定期的備份、log review與容量規劃;網路管理人員或認為網路監控與引進更好的設備即有價值,導致部門之前有silo view或是從自身出發而忽略掉企業整體的利益,與整體的觀點 (portfolio view)。因此透過企業價值與策略釐清,以股東價值 (Shareholder value)作為企業價值主軸,透過定量與定性分析,將資訊策略與規劃與企業價值與策略結合。

2.資訊交付與維運-符合資訊策略與計畫的資訊交付與維運

當企業擬定符合企業策略與目標的資訊策略與計畫,然而在資訊系統或服務的取得購置與維運上無法滿足業務要求,則無疑是資訊投資的一種浪費。因此在這資訊技術與管理突飛猛進的時期,資訊長應特別重視此一風險。為確保符合資訊策略與計畫的資訊服務交付與維運,可以採用國際通用的標準實務-資訊基礎架構管理庫 (ITIL, IT Infrastructure Library),來管理日益複雜的資訊環境,並強調資訊服務和系統之維運管理,藉由流程的改善與管理工具的搭配,以達成企業的效率及績效提升。

具風險智能的稽核長

一個風險智能型企業需要內部稽核部門提供「再保證」、變革促動與顧問功能,以辨識企業流程精進及節省成本的機會。稽核長在風險管理的過程主要對辨識及評估風險的過程提供再保證,使風險管理過程同時兼具準確度及效率,以確保可以產出適當的風險評估結果,並忠實報導真正需要這些訊息的人。

由於稽核工作的特質,使得稽核長可以熟知管理階層的語言,因此在討論風險時可以著重在其所帶來的成長、獲利、及股東價值的創造,來為這道鴻溝建立起橋樑。具有風險智能的稽核長瞭解企業的價值及成長目標,同時瞭解當無法有效管理時,各類型態風險所造成的影響,將會影響企業達成目標。因此稽核長可以幫助專注及強化內部稽核與其他風險管理相關部門的活動,使其使用更具整合性及積極的方法來幫助企業管理其最重要的風險以達成目標—也就是更多的獲利及降低公司治理(Governance)、風險管理(Risk)、及法規遵循(Compliance),也就是GRC活動的成本。

身為風險智能型企業的稽核長,與其使用高度依賴機率的傳統模式,你可以選擇主導許多具附加價值的風險評估活動。包括對管理階層及董事會提供下述活動的「再保證」:

1.已經辨識出與維護及創造企業價值相關的風險;
2.已經針對不同的情境模擬進行評估與壓力測試;
3.已經可靠地評估固有風險與剩餘風險;
4.剩餘風險符合企業的風險喜好,並且確保企業可接受該類型的風險;
5.控制活動不僅要準確,也要有效率;
6.管理階層的報告足茲信賴。

具風險智能稽核長所面臨的挑戰

有效分配稽核資源

許多企業依據其負面事件發生的頻率來執行風險管理,很不幸的,以機率為基礎的風險評估是不足夠的,重大金額的損失常常都是影響很大,但是發生機率很小的事件。如果資深管理階層只著重降低高影響性及高可能性的事件,稽核長就應該將注意力放在對企業有高度負面影響的事件,就算其發生機率很小(請參考圖4:風險圖),同時應極力爭取將資源用來解決且預防這類事件。簡而言之,如果一個與企業有關的風險對其影響很大,就應該解決,不論發生之可能性。尤其在與獲利相關的風險,這些風險通常都有高度的不確定性(例如:開發及推出新產品與服務、進入新的市場、及合併與收購)。時間拉得越長,不確定性就越大,而去估算機率的意義就越小。
在圖4「A方格」(保證)中,管理階層應已對此區塊風險有適當且有效的預防、偵測或矯正措失或控制,使得剩餘風險符合企業的風險喜好。稽核長的挑戰來自於確保因應此區塊風險的預防、偵測、修正等控制活動係有效的。

當風險座落在「M方格」(增進風險抵減)時,這些風險並不符合企業的風險喜好,管理階層需對於此區塊的風險發展與設計降低風險的控制活動或因應措失。此時稽核長的挑戰則來自於如何提供適當的建議來協助發展與設計降低風險的控制活動或因應措失,並不斷地追蹤改善計畫的進度。

在「R方格」(重新配置資源)中,稽核長的挑戰在於測試控制活動的準確度,並且提供管理階層適當建議來改善控制活動的效率。

最後,在「CI方格」(衡量累積影響)中,稽核長的挑戰在於如何評估風險的累積影響與頻率,以決定這些綜效是否對企業構成重大的影響。

圖4

04

獨立單位之間的溝通橋樑

風險管理並不是一個新的議題。事實上,大多數的企業已經開始實施許多複雜的風險管理;例如,財務部門管理信用風險;資訊部門處理資訊安全及隱私權風險等。可惜的是,通常這些風險管理專家會在不同的組織或單位工作;他們使用不同的商業術語且通常用不同的標準來衡量風險。而且風險並不會單獨的存在。隱私權風險可能會在極短的時間內演變為信譽、訴訟、及財務風險。

身為稽核長你的挑戰是協助企業整合全體組織的風險資訊。藉由促進企業發展一套統一的公司治理、風險管理、及法規遵循模式,使其具備一種整合性的觀點,幫助企業更加瞭解並回應風險,同時明白風險之間的相互關係,減少企業的負擔。

稽核長可作為協助風險專家彼此間溝通的催化劑,促使其發展出一種共通的風險語言,並使風險的辨識、評估、及衡量方法更為一致,如此,風險智能得以在各獨立單位之間相互交流。另可以促使企業採取一種組合性的風險觀點,強調跨部門之間的經驗分享。還可以幫助開發整合性的工具來評估各式各樣的風險,多數大型企業還未能達成此一目標。開發整合性的工具的目的是要企業將重大價值的損失,從一個狹隘的觀點轉移至整體企業的因應對策,不論是否為現有資產或未來獲利的損失,都將因為統合各部門的觀點而做出更有效率的回應。

協調性、同步化、及合理化

突破組織障礙以成就風險智能的過程,是必須經過多方面的考量,並且要發展一套統一的公司治理、風險管理、及法規遵循架構。首要任務就是建立協調性、替風險管理建立共通的語言、以及將各種政策、實行準則、與報告標準化。釐清並覆核各職務及其責任,檢查是否有遺漏或重疊的部份。此過程可以建立一套組合性的觀點以更加瞭解並管理風險之間的相互影響,加強組織中所有風險專家對彼此職務的相互瞭解。

其次是實施同步化,這包含跨部門的合作,以達到精進風險的預測能力、各項風險的事前規劃與準備工作、對風險的即時回應功能、及因風險而產生損失的回復能力。藉由發展一套協調的工作流程,不同的部門得以協調他們對資訊需求的時間點。平衡各部門的工作量以避免無法管理的突發狀況而造成公司的負擔。最後是合理化的過程。身為一位與其他同仁的工作密不可分的稽核長,合理化可以幫助您減少或免除對於評估、測試、及報告所重複花費的力氣。這個目標通常可以透過更有效的使用現有技術或採用新技術來達成。再次強調,合理化對減少企業成本的負擔有附加效益。

稽核長該如何進行下一步

身為稽核長,您可以從下列問題開始第一步:

  1. 我們是否以管理階層所使用的語言來溝通?我們是著重在未來成長(價值創造)的風險評估,還是只是保護現有資產?
  2. 我們是評估各個獨立的風險,還是會觀察這些風險的相互關係?
  3. 針對各類型風險的公司治理、風險管理、及法規遵循,是否有一統一的架構以減少企業的成本負擔?例如,我們可以減少風險與控制自我評估的數量。
  4. 現有的風險評估是否確實並適當地評估固有風險與剩餘風險?
  5. 我們是否有評估該剩餘風險係存在於企業風險喜好的方式?
  6. 企業是否有一套健全的降低風險的流程?

對這些問題的回答對於判斷企業現有的風險評估模式是否具備風險智能是很重要的,若答案是否定的,則要確定哪些地方需要改善。

結語

大多數現今的企業,就算是最大且最具前瞻性思維的企業,仍需要持續改善其風險智能。這並不一定需要一套複雜且多層次的執行方式。建立具風險智能的管理團隊,透過一套整合性模式,是增進企業風險智能的第一步。身為管理團隊一員的您,第一要務就是幫助企業成就風險智能。我們深信,對於一位專業的經理人員而言,這一定是一件可能的任務(Mission Possible)。