2010年7月5日星期一

Risk-control Matrix

早前有網友問如何去製作一個Risk-control Matrix,其實RCM有很多款式,內容也很不同,有些很詳細,有些則很簡單。至於要使用那一款,則要視乎用家的目的。

很多時候我們都需要製作RCM,例如進行內部控制審核 (Internal control review),或者風險評估 (Risk assessment),又或者製訂內控流程。

基本而言,RCM應至少包括下列幾項﹕

1)Risk
2)Control (control number, description, key control or not)
3)Assertion (completeness, existence, valuation, authorization, rights & disclosure)
4)Related cycle / processes

例子如下:


另外,製作RCM有兩個方向,一個是Risk-to-control,另一個是Control-to-Risk。顧名思義,Risk-to-control是先定下所有的Risk items,然後就每一個item配上相關的Controls。Control-to-Risk則是先記錄所有的Controls,然後就每一個Control配上相關的Risks。

或許有人會問何時用Risk-to-control,何時則用Control-to-Risk。以我自己的經驗,例如為某個流程進行首次的內控審核時,我通常會以Risk-to-control來編制RCM,這樣的話就能確保所有風險沒有遺漏。又例如進行Compliance review時要為現在的內控做記錄,我則會以Control-to-Risk來編制。

以下的RCM就是以Control-to-Risk來編制,在右手邊加上Testing procedures及Testing result,這就能變成一個Audit program了,既方便又省時。


以上的全只是我的個人經驗,沒有與書本對照過,如有錯漏或補充,歡迎留言指正。

&&&&&&&&

5 則留言:

Quality Alchemist 說...

Several national or international standards related to risk management were shown as follows.
- AS/NZS 4360:1999
- AIRMIC, ALARM, IRM: 2002
- ISO 14971:2007 (for Medical Device)
- ISO 27005:2008 (for Information Security)
- BS 31100:2008
- ISO 31000:2009, etc.

Bittermelon 說...

Hi 劍虹兄:
多謝分享^^

哇哈哈一 說...

Assertion 有時真係唔易分類!
特別係operation risk 或 compliance risk 上面!
所以我習慣把assertion放係後少少!

個人習慣係risk會放係第一行,因為由risk開始再去找相對control 會易d發現有咩control 係miss左。
另外process個到我都會加入process owner 入去!o甘會易d睇到 segregation of duties 有冇問題。

Bittermelon 說...

哇兄,你講既risk會放係第一行既做法,就係我所講既risk-to-control approach. 我做operation review 時經常會用的^^

Ebenezer 說...

謝謝分享:)

LinkWithin

Blog Widget by LinkWithin