為方便管理層及被審單位調配資源以改善內控上的問題,內審一般會將風險分成三個級別,分別是高,中及低。要將內控問題的風險分級,首先我們要將其風險拆開成兩個 Factors (要素),分別是Likelihood / Probability of problem occurring (問題出現的可能性) 及 Materiality / Impact of problem occurring (當問題出現時的影響)。如果問題出現的可能性及其影響十分高時,我們將此問題的風險級別定為高;同樣,當問題出現的可能性及其影響只是中等或十分低時,其風險級別將會分別是中及低。除了以上三個情況外,風險三級制還會有六個情況,包括:
1. 可能性屬於高及影響屬於中時,風險級別定為高;
2. 可能性屬於中及影響屬於高時,風險級別定為高;
3. 可能性屬於高及影響屬於低時,風險級別定為中;
4. 可能性屬於低及影響屬於高時,風險級別定為中;
5. 可能性屬於中及影響屬於低時,風險級別定為低;
6. 可能性屬於低及影響屬於中時,風險級別定為低。
以上九個情況可以用以下圖表來表示:
為了使大家容易明白,我嘗試以實例說明。假設內審發現某產品的銷售合同的完整性控制 (Completeness control) 出現了問題,某些合同的金額未能及時記在賬上,當細看這問題出現的可能性時,因發現每張合同均沒有序號,而且也沒有其他的控制以補償這問題,所以合同被遺漏而且沒有記在賬上的可能性極高,即是Likelihood = High。接著我們再看這問題的影響,發覺這產品的銷售額只占公司整體銷售總額不到1%,對企業來說,影響只屬於低,即 Impact = Low,按照上面的圖表來考慮,其風險級別只是中等。但如果這產品的銷售額占公司銷售總額有一定的份量,例如30%,那情況就會截然不同,因影響會變成中甚至高,最後其風險級別會是高級。
將問題的風險定級後,我們便可以建議管理層及被審單位優先解決高風險的問題,接下來解決中風險的。至於低風險的,如果管理層及被審單位認為其風險可以接受的話,他們可以考慮不作處理,但需要定期審視其風險級別將來可能出現的變化,一但風險變成中級或高級時便需要處理。
--------
下一篇文章:再談風險分級的方法
&&&&&&&&
4 則留言:
Bittermelon:
確是很好及常用的 model:)
Thanks!
利害.受教了!!
starbucks.man兄:
你說"受教"我實在擔當不起,純粹交流心得而已.無論如何,多謝^^
發佈留言