2009年6月3日星期三

再談風險分級的方法

有一位香港討論區會計版的版友留言,質疑我在《內審的風險三級制》一文中所講關於風險分級的方法,他認為將影響低發生機會高的問題 (Low-impact-high-likelihood event) 定為中等風險 (Medium risk) 是錯誤的,他還舉了一個例子,大意是說銀行櫃檯給客人用的原子筆容易被人取去 (那即是發生機會高),但原子筆價值有限(那即是影響低),莫非銀行要為這小事派保安員把手?最後還說我這風險分級的方法好大可能會引致公司爆煲。

根據風險三級制的方法,影響低但發生機會高的問題(Low-impact-high-likelihood event)和影響高但發生機會低的問題(High-impact-low-likelihood event) 都是定為中等風險的,這分類是否有問題呢?其實不然。

銀行原子筆那例子是好,但說其影響低的話我就認為未必,如果到過恆生銀行或者馬會外圍投注站的話,你會發現他們給客人使用的原子筆都是被鐵鍊綁著的,如果說其影響真是很低的話,相信他們不會這樣做吧?無論如何,我試舉另一個例子吧,Petty Cash (小額備用金)。某大企業其中的一家辦事處設有額度只有1000元的備用金,經此支付的開支一年內平均只有幾千元,備用金由辦事處的會計負責且沒有任何控制,發生問題的機會很高,但其金額對於企業來說影響很輕微。在外審的角度看,就算整筆備用金不見了或者所有支出都是虛假的話,由於對企業的總資產及支出的影響極輕微,所以不會對審計師報告的意見構成影響,最多只會在 Management Letter中提出並要求改善。但在內審的眼中,雖然今時今日其影響是很輕微,但他日備用金金額加大了很多的話,這就不能保證日後沒有影響了,所以在風險管理的角度來看,這是一個管理漏洞,問題還是需要處理的。這就說明內審著重的就是現時或者將來的事情,而外審則著重過去的數字。

一個問題的風險是高,中或低,其級別本身是沒有意義的,要互相比較才有意義。一家企業的資源有限,實際上沒有可能同時或者一次過解決所有問題,所以有必要把問題的風險分級並且排好處理的優先的次序。上文《內審的風險三級制》講的是基本概念而已,實際上企業會按此訂出適合自己的排序方法。例如將級數定得細緻一些,由低至高分成9級 (低1,低2,低3,中1,中2,中3,高1,高2及高3)。另外,有些著重外部遵從 (External compliance) 的企業,他們對所有影響低但發生機會高的Non-compliance 問題的風險排得較高(中3甚至高1),有些企業則對這些問題定得較低(中1甚至低3),其實方法是因企業本身的情況而異。就算同一家企業,時間不同其方法也可能不同。例如去年9月或以前,如果有人說雷曼會有可能倒閉,相信他/她一定會給人指責是痴人說夢吧。但現在這些影響高但發生機會低的問題漸漸受到企業關注,因為這些問題是關乎企業的生死存亡,從前認為不需要理會,現在則不然。

除了內審外,以Likelihood及Impact來為風險分類的方法在其他行業也經常看得到,以下是幾個較典型的供大家參考。

http://en.wikipedia.org/wiki/Risk_Matrix
http://www.worcestershire.gov.uk/home/risk_management_strategy.pdf
http://www.probation.homeoffice.gov.uk/files/pdf/PC02%202007.pdf
http://www.thurrock.gov.uk/i-know/pdf/risk_training_lsp.pdf

--------
相關文章:內審的風險三級制

&&&&&&&&

1 則留言:

  1. 在作Planning時,師兄的三級制絕對是一個頗為常用及好用的功具,它能好快地及清晰地highlight出各area的初步評估。

    我覺得那版友也不用太介意某某功具是好是壞,因為用出來效果好不好,反而更取決於在用者手上。

    打個比方,你給我屠龍寶劍,在我手可能變到爛鑯不如。

    回覆刪除

若以匿名留言,系統有機會將留言視為spam,因此可能要遲一點才能回覆。如閣下的提問涉及升學或工作,請以電郵聯絡。謝謝!