風險管理文化之建立

如何衡量企業是否已建立風險管理文化？可檢視以下質化行為指標：
• 管理階層視風險管理相關流程為遵循義務或是增加公司價值活動?
• 當主管核簽風險相關文件，是否真正審核並挑戰其內容?
• 員工是否了解所應負責之內部控制活動及其重要性?
• 主管在決策時是否有明確地評估風險，或事後聰明?
• 員工是否了解並使用共通的風險管理語言?
• 員工是否會提出風險疑慮?
• 是否依據風險管理績效來衡量並獎勵員工?

若已深植風險文化，有一些徵兆顯示，包括但不限以下：
• 管理者能連結關鍵風險及控制，並有證據顯示決策時有考量風險。
• 少見出乎意料之外事件發生 (No surprise)。
• 有卓越風險管理實踐，能開放並建設性挑戰、辯論、分析、改善。
• 員工接受風險管理之責任。
• 在公司內部使用共同語言。
• 整合風險管理流程於商業流程中。

所謂「風行草偃，上行下效」，企業管理者扮演風險管理文化建立之關鍵角色，管理者是否有採行「風險基礎決策」 (Risk-based decision making)，可觀察是否有以下行為表現：
• 尋求別人資訊、知識與不同觀點，有建設性地辯論風險及解決方案，並辨識風險與控制。
• 做決策前先完成風險評估。
• 在公司風險胃納架構下描述風險並採取行動，使用風險資訊來建構解決方案。
• 管理者隨時可取得過去決策資訊。

至於何時需要進行風險分析? 常見合適時機列舉如下：
• 營運改變時通常會影響現有控制環境，因既有控制可能無法辨識新風險，故必須仔細地評估新風險並建立新的控制機制。
• 可參考更有效之控制設計，例如沙賓法案 (Sarbanes Oxley Act)之內控要求，導入風險基礎之「內部控制架構」(Risk-based Internal Control Framework)。
• 對於重要、高風險或複雜專案，風險評估能增加成功機率，例如預算美金10萬~5百萬專案，可諮詢風險主管決定風險評估方式；若預算超過5百萬美元專案，整體風險評估則是必要的。

風險管理常見盲點是「避免錯誤」，反而可能造成風險擴散。可從「大禹治水」得到啟示，大禹從鯀治水失敗中汲取教訓，改變了"圍堵"的辦法，對洪水進行「疏導」才成功，因要避免、零容忍，不敢公開討論，可能造成星星之火足以燎原；正確的風險管理文化，是要鼓勵揭露風險，事前討論如何減緩至可接受風險水準，事後能學習教訓，降低下次再發生機率，反而較能實際抑制損失。

表4. 錯誤避免文化 vs. 風險管理文化


陳素敏顧問簡介