在上一篇文章《COSO內控要素:風險評估(一)》中,我們已探討過風險及一些相關的概念,現在我們談一下風險管理(Risk Management)的程序。整個程序可以簡單地分成三個環節,包括:
訂立企業目標 (Objective Setting)
目標可分為兩個層面,第一層是組織層面 (Company-wide Objective),第二層是運作層面(Process-wide Objective)。組織層面的目標包括我們時常聽到的使命 (Mission) 或願景 (Vision),策略 (Strategy)及企業目標(Business Objectives);運作層面的目標就是指個別功能的目標,例如採購功能的目標就是在合理的時間以合理的價錢為企業採購符合要求的物品,銷售功能的目標就是為企業獲取最大的利潤或巿場佔有率等。
假設企業的目標是在未來五年提升其盈利達五倍,為達到這個企業目標,各個功能將會訂立不同的目標來配合,例如採購功能會在未來五年降低採購成本x%;銷售功能會提升巿場佔有率xx%等等。
識別風險 (Risk Identification)
風險就是任何威脅或障礙,它們的存在可能影響企業達到其企業目標,企業要有一套方法將這些威脅識別及記錄下來。例如上文提到的現金,其固有風險就是容易被盜取;存放在貨倉的存貨,其固有風險除了容易被盜取外,還可能包括過期 (例如食品、化學製品、藥品),容易腐爛或壞掉(例如食品、化學製品),價值下跌 (例如時裝),儲存的危險 (例如化學製品、煤炭、燃料) ,危害環境 (例如化學製品、燃料)等等。
識別風險以後,我們還需要評估它們影響及重要性。因為企業資源有限,我們不能降低或轉移所有的風險,只有屬性高及有對企業有巨大影響的風險才會受控制。例如一家銀行,她們肯定會投放大量資源以控制現金安全性的風險;一家日常只儲存幾千元現金的企業,雖然現金的安全性風險甚高,但對企業的影響有限,我們不會預期企業會利用銀行相同的手段去保管現金。
評估了各個風險的影響及重要性以後,企業便需要設計適當的控制措施以降低或轉移風險。以化學製品的庫存為例,為了降低被盜取及儲存的危險,企業會設立一個穩固而且備有完善消防,通風及恆溫設備的倉庫,而且每一種化學製品均有標籤列明數量及有效日期,加上庫存記錄系統,企業可以追蹤每一種製品的進出及限期。企業還會有一套環境管理制度,監察化學製品一旦洩漏對環境做成的影響及其應變措施等。為了進一步轉移風險,企業可能會為化學製品購買適量的保險。
管理變革 (Managing Change)
商業環境瞬息萬變,經濟、巿場、法規等的轉變均有可能影響企業的目標。例如一年前香港的銀行還在爭奪按揭貸款巿場的佔有率,現在的銀行則寧願得失客人也不輕易批出借貸。所以識別風險以後,企業還要定期審視環境的變化對企業目標及風險的影響。
--------
相關文章連結:
上一篇文章:COSO內控要素:風險評估(一)
下一篇文章:COSO內控要素:控制活動
&&&&&&&&
2 則留言:
is carbon audit a type of audit?
Sorry, I don't know what is Carbon Audit.
發佈留言