通過考慮風險的可能性和影響來對其加以分析,並以此作為決定如何進行管理的依據。風險評估應立足於固有風險和剩餘風險。
這裡的風險評估其實是指風險管理 (Risk Management),那麼具體要怎樣做才算足夠呢?首先我們要了解什麼是風險及一些相關的概念。
什麼是風險?
風險 (Risk) 就是任何威脅或障礙,它們的存在可能影響企業達到其管理或控制的目標。例如現金,其最大的風險就是被盜取;一個計算過程,其最大的風險就是計算錯誤。那什麼是固有風險呢?以上述的兩個例子,現金比貨物更容易被盜,複雜的計算比簡單的計算更容易出錯,那麼容易被盜取就是現金的固有風險 (Inherent Risk),容易出錯就是計算的固有風險,其性質是不能改變的,即是說,不論你運用任何手段,你都無法將「容易被盜取」及「容易出錯」的風險本質改變,唯一可以做的只有將風險降低或轉移。
風險能完全消除嗎?
在現實中我們只可以降低 (Reduce) 或轉移風險 (Transfer),但卻不能將風險完全消除 (Eliminate)。例如現金,我們可以把它放進保險櫃裡去,但放進去後還是有被盜取的風險啊!不是嗎?開啟保險櫃需要鑰匙或密碼,沒有把鑰匙或密碼好好保管的話還是有風險吧。還有,保險櫃並不是百分百安全,賊人可以將整個保險櫃抬走或是利用工具進行爆破,就算買了現金保險,你仍需要付保險費以及保險公司會有倒閉的風險,盡管這些情況出現的機會都很微,但風險仍然存在,尤其是當雷曼倒閉以後,還有誰敢說沒可能?所以在現實中風險是無法完全消除的。
固有風險、控制風險及剩餘風險有什麼關係?
將現金放在保險櫃以降低被盜取的固有風險,如何保管好鑰匙或密碼就是控制風險了(Control Risk)。最後因鑰匙或密碼被盜,或賊人將整個保險櫃抬走或爆破以至現金不翼而飛,這就是剩餘風險了 (Residual Risk)。曾在一個培訓中見過這一個圖解,它解釋了固有風險,控制風險及剩餘風險的關係。
風險管理並不艱深,如何找出固有風險,企業可以承受多少風險,通過什麼方法將它們降低或轉移(這涉及到控制風險),要降低或轉移多少(這涉及到剩餘風險),這就是風險管理了。
下篇將會探討風險管理的程序。
--------
相關文章連結:
上一篇文章:COSO內控要素:內控環境(二)
下一篇文章:COSO內控要素:風險評估(二)
&&&&&&&&
沒有留言:
發佈留言