|
風險管理文化之建立
如何衡量企業是否已建立風險管理文化?可檢視以下質化行為指標:
• 管理階層視風險管理相關流程為遵循義務或是增加公司價值活動?
• 當主管核簽風險相關文件,是否真正審核並挑戰其內容?
• 員工是否了解所應負責之內部控制活動及其重要性?
• 主管在決策時是否有明確地評估風險,或事後聰明?
• 員工是否了解並使用共通的風險管理語言?
• 員工是否會提出風險疑慮?
• 是否依據風險管理績效來衡量並獎勵員工?
若已深植風險文化,有一些徵兆顯示,包括但不限以下:
• 管理者能連結關鍵風險及控制,並有證據顯示決策時有考量風險。
• 少見出乎意料之外事件發生 (No surprise)。
• 有卓越風險管理實踐,能開放並建設性挑戰、辯論、分析、改善。
• 員工接受風險管理之責任。
• 在公司內部使用共同語言。
• 整合風險管理流程於商業流程中。
所謂「風行草偃,上行下效」,企業管理者扮演風險管理文化建立之關鍵角色,管理者是否有採行「風險基礎決策」 (Risk-based decision making),可觀察是否有以下行為表現:
• 尋求別人資訊、知識與不同觀點,有建設性地辯論風險及解決方案,並辨識風險與控制。
• 做決策前先完成風險評估。
• 在公司風險胃納架構下描述風險並採取行動,使用風險資訊來建構解決方案。
• 管理者隨時可取得過去決策資訊。
至於何時需要進行風險分析? 常見合適時機列舉如下:
• 營運改變時通常會影響現有控制環境,因既有控制可能無法辨識新風險,故必須仔細地評估新風險並建立新的控制機制。
• 可參考更有效之控制設計,例如沙賓法案 (Sarbanes Oxley Act)之內控要求,導入風險基礎之「內部控制架構」(Risk-based Internal Control Framework)。
• 對於重要、高風險或複雜專案,風險評估能增加成功機率,例如預算美金10萬~5百萬專案,可諮詢風險主管決定風險評估方式;若預算超過5百萬美元專案,整體風險評估則是必要的。
風險管理常見盲點是「避免錯誤」,反而可能造成風險擴散。可從「大禹治水」得到啟示,大禹從鯀治水失敗中汲取教訓,改變了"圍堵"的辦法,對洪水進行「疏導」才成功,因要避免、零容忍,不敢公開討論,可能造成星星之火足以燎原;正確的風險管理文化,是要鼓勵揭露風險,事前討論如何減緩至可接受風險水準,事後能學習教訓,降低下次再發生機率,反而較能實際抑制損失。
表4. 錯誤避免文化 vs. 風險管理文化
陳素敏顧問簡介
(歡迎有興趣的保險公司洽詢陳素敏顧聯絡)
|