自從貝爾斯登、房地美和房利美之二房風暴連續爆發以來,全球金融市場如地雷般產生連鎖效應,許多歐美知名金融機構瞬間瓦解,或被併購,如2008年9月全美投資銀行排名第四的雷曼兄弟投資公司宣告破產,而排名第三的美林證券為美國銀行(BOA)收購,同時全球保戶達7,400萬人的AIG集團也傳財務不穩訊息,此次危機如同金融大海嘯般向外蔓延至全球各國股市之債市和房地產市場等。風險管理在過去十幾年以來,多半是企業界或金融界間重要探討的議題,尤其是Basel II最低資本適足率的規範,以及第34號會計公報的實施,使大家對金融產業及其商品的風險開始重視,而連續國內外的企業舞弊及財務危機事件,促使各國政府加強各企業集團建構以風險為導向的內部控制及稽核制度,以提升公司治理能力;本人於民國98年參與行政院研考會政府風險管理推動專案,讓我們印象深刻的是過去中央政府部門是非常積極地推動政府風險管理觀念及落實於日常行政作業中所做的努力,在該次專案進行過程當中,也深深體會到『風險管理目標設定』的重要性,以及需要明確的『風險管理架構』。
『風險管理目標』的設定在COSO 企業風險管理整合架構裡,是事項辨認、風險評估與回應的先決條件,企業管理階層須先設定目標,然後才能辨認與評估該目標達不成之風險,並採取必要之風險管理行動;這裡所提到的『事項辨認』,就是『行政院所屬各機關風險管理及危機處理作業基準』裡所說的『風險辨識』;其實企業和政府機關皆面臨來自內部及外部的風險,唯有透過中長期的營運計畫的擬定為基礎,建立政府和企業內部各相關部門與階層一致性的風險管理目標,方能有效進行風險事項的處理,和後續的風險管理作業的進行。
然而,許多的企業與政府部門所建立的風險圖像(Risk Profile),並不能清楚說明所要達成的風險管理目標為何? 例如我們常把一些事件背景簡化為風險事項,像『土石流』、『SARS』、『金融大海嘯』等,往往直接從表面議題下註解,立刻提出解決對策與方案,而所謂的對策,多半是原則性的宣示或政策的重申,看不見具體的行動計畫和施行步驟,無法確認控制設計的適當性與其執行的有效性,在這裡讓我們透過ISO31000的風險管理標準, 也就是過去的『紐澳/4360風險管理標準』之框架來說明:
『土石流』是一個風險事件的背景,風險管理的目標,應該是針對容易發生土石流的危險區域進行風險的辨識與評估,如何減少人民生命財產的損失,以及做好水土保持,可能會發生的主要風險包含『發生土石流沖進民宅』或『土石流沖毀聯外道路』,其影響後果一定危及人民生命財產的損失或水土保持遭受破壞,這時候所要採取的控制措施是立刻進行緊急救援行動疏散居民到安全地方安置,同時給予必要的醫療救助,控制的目標以減輕損害範圍,避免事件擴大,這就是所謂的『更正性控制』,但如果平常沒有成立緊急應變小組和擬定標準作業程序,同時還需要定期演練,等到災難事件發生時,再來因應,就已經來不及阻止事件的擴大,而如果要避免土石流對居民生命財產的危害,除了儘量做好水土保持工作以外,設立土石流監控系統,隨時掌握資訊,適時向當地居民提出緊告,如進行撤離行動等,這就是所謂的『預防性控制』,當然上述控制措施能否有效運作,必須靠持續性的檢測與對控制作業程序的評估與演練,以確保它們被有效執行,因此,對所謂剩餘風險或殘餘風險(Residual Risk)的處理,仍需仰賴對相關控制措施持續進行有效性的評估,方能真正是達成風險管理的目標。
因此,當今全球風險管理議題正在發燒的時候,除了要有好的『風險管理政策』及『風險管理架構』進行風險管理計畫以外,對於如何確保風險管理目標的達成,控制措施自行評估(CSA)的持續性是整個風險管理作業中最重要的決定因素。
以下是行政院主計處所公佈的『 風險管理及危機處理作業手冊』供大家參考: