首頁 » GRC&BA » 風險管理(RM) » 不同標準架構(COSO vs ISO)下的風險定義有何不同?

不同標準架構(COSO vs ISO)下的風險定義有何不同?

ISO_COSO實務上ISO與COSO兩種對於風險有它們不同的定義範圍,在這裡我們一起來共同探討它們之間差異。

首先,ISO對於風險的定義為「對達成營運目標不確定性的影響」。而COSO以及COSO ERM(企業風險管理)對於風險的定義則為「任何事件的發生及不利影響目標之達成的可能性」,以下請大家看實際案例來瞭解ISO與COSO對於風險定義的不同之處。

A公司(以下簡稱我們)在同領域有其他四家競爭對手,分別為B, C, D以及 E(本公司主要競爭者),我們今年的其中一個主要策略目標是擴大一倍的市場佔有率,從17%到34%;要如何達成此目標呢?我們計畫透過幾項自行成長和購併來達成市占率提昇的目的。我們緊密地觀察市場上其他的競爭者的活動,分析報告發現D公司可能會在今年度宣告破產。正因如此,我們可以透過吸收原本D公司的客戶群來提高市占率,也能吸收一些D公司的優秀員工來增加我們的競爭力。此關鍵要素,已列於公司策略性目標之中。

然而,人算不如天算,D公司並未如我們分析報告所預期地宣告破產,你們猜後果如何呢?我們即沒有實現我們原先訂定的策略目標。因此,在這種情況下,我們所定義的「事件」就並未發生,但是COSO並未對上述情況提供應對情形,這即是因機會所產生的上升風險(Upside Risk),但COSO錯誤地做出機會與風險是相對的結論,在此可以證明。

接著我們看看ISO的風險定義「對達成營運目標不確定性之影響」,這定義提供我們思考有無其他途徑來確保所制定的總體目標達成與否,不論是上升風險或下跌風險(Downside Risk)各方面均會獲得充分考量。ISO的風險定義對我們來說更具意義,因為它考慮的面向較為完善。而且它針對所制定的目標,提供了評估各個角度所產生的不確定性的影響。

當然另一派說法認為,雖然COSO內部控制的整合性架構缺乏評估上升風險(Upside Risk)的事實,但COSO企業風險管理整合架構(ERM)並沒有COSO內部控制的整合性架構的缺點。根據其定義,「企業風險管理是一遍及企業各層面之過程,該過程受企業董事會、管理階層或其他人士之影響,用以制定策略、辨認可能影響企業之潛在事項、管理企業之風險,使其不超過企業之風險偏好,以合理保證其目標之達成」,因此,認為COSO企業風險管理整合架構(ERM)是較好的風險管理整合架構。他們不太認同由COSO企業風險管理整合架構(ERM)來處理機會所有發生的風險,應該要回歸「管理階層策略或是目標設定過程」。處理機會應該要與處理威脅使用相同的方式,COSO整合架構的問題為沒有提供足夠的細節來處理威脅,更不用說是處理所發生的機會。

這裡有兩個情境提供大家思索:

情境一:當你擬定策略目標做為你的策略計畫中的一部份時,首先你應該考慮所有是否機會上升與威脅下降風險相關已知的資訊,這就是之後所發生的,必須要辨別出上升(Upside)與下降(Downside)風險,也就是影響目標達成的風險,你可能在起初的時候沒有任何已知的機會,例如:競爭者的規模可能會日益強大且經營的很好,然而事事難料,當情況轉變時,你需要考量這件事情的發生。

情境二:當你完全地遵守像是外勞及兒少法、公平貿易協定、限制從發生戰爭國家購買黃金、鑽石的法律等公司,這將會被許多不同團體與組織視為有利於形象的建立,遵守法規將使企業增加自己在商業市場上的聲譽,並可增加未來的商業機會;你想想看諸如蘋果電腦、Nike以及其他努力進行法規遵循的企業,它們僅是為了單純地進行法規遵循嗎?我想它們多數是為了增加自己在商場上的聲譽而不得不做的努力。

你們覺得呢?

關於 David Chuang

CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員