David Chuang の觀網 兆益數位莊盛祺的部落格
剖析風險及決定負責人員
如果你不知道風險是什麼,就算是風險就在你面前,你也無法有效管理風險。所以,首先是關於辨識及定義每個風險,以及指派風險負責人,下面的步驟是建立一個全面地、有效的風險管理支援框架流程作業。
- 清楚定義你的企業目標和營運目標
風險的定義為『任何事件的發生及不利影響目標之達成的可能性』,因此,辨別風險主要的出發點是清楚明確地瞭解企業目標與營運目標,這可以幫助你確定影響你達成目標的能力(即你風險暴露)。例如,一個發生在工廠的大火,必定有一些後續會發生的效應,而這些可能會阻礙組織達成它的目標。
- 列出所有攸關風險
透過腦力激盪工作坊(Brainstorming Workshop)和單獨訪談(Individual Interviews)的方式,是列出所有潛在風險的最佳方法。但企業中常常是各自為政,各部門個別進行此項工作而將所辨識出來的風險統整,這常常造成重工的情形,更糟的狀況是有落差或遺漏掉風險。
透過前述所提方式辨別出的風險,這些風險通常是與商業、技術、政治、管理、經濟及整體環境相關,我們可以將這些辨識出來的風險集群化,它將超越風險註冊的名稱,或成為被辨識出風險的組織成份,這種方式對於向高階管理階層報告風險改善計畫時特別有效果。
- 決定風險的影響程度
充份瞭解風險,能清楚知道對於您服務的單位如何達到目標和宗旨的影響。從這角度思考風險,在未來,提供了有用的基礎來考慮相關的風險因子、影響值及可能性,來瞭解風險如何逐步擴大以及幫助瞭解未來的改善計畫。例如,我們之前所提到工廠火災的例子,它所造成的影響有員工工作安全、工廠停止運轉、員工失業以及鉅額損失。充份瞭解風險,能幫助組織做好風險預防,降低人為災害事件發生的可能性,以及做好備援方案。
- 辨別風險因子
接者,你需要試著建立風險發生的可能原因,這些因素可能是提高風險發生的首要原因。有時候發生風險事件只有一個因子,但有時候也可能有多種原因。
- 指出現有的內部控制措施
一般來說,針對許多風險,我們都已經有了一些控制措施來控制風險的可能性及所帶來的衝擊。為了有效控制風險,我們必須清楚地在政策、程序及作法中明確列示控制措施。這些控制措施可分為四個方式,說明如下:
- 指示性控制(directive controls):在某種情況下為了達成特殊目的而
設計,例如為了避免工廠運作出狀況,在員工使用精密儀器前,必須要充分培訓員工操作該機器的技能。
- 預防性控制(preventive controls):指在損失未發生前就用一些控制來避免損失的產生。更重要的是,良好的預防性控制能充分降低這些不想出現的損失,預防這些損失發生所帶來的影響。以職權劃分來舉例,採購與付款不得為同一人,這可有效避免舞弊事件的發生。
- 偵查性控制(detective controls):主要用來偵查已經發生的錯誤,屬
於事後控制的一種。例如,如果汽車製造商因為製造瑕疵必須要召回車輛,必定會有一定的控制程序來減低對車商的聲譽的影響風險。
- 更正性控制(corrective controls):主要是用來回應偵查性控制所偵知得到的異常錯誤,在偵查性控制所發現的錯誤將可透過更正性控制減低未來可能再次發生的損失。例如,某個事件造成原料供應中斷,企業有能力確保從其他地方提供運送該原料。
在這個步驟中,可能還需要指定何種內部控制措施適合用來作為應對風險,何種內部控制措施還需加強改進。
一個關鍵的問題是,現有的控制措施用來管理風險是否足夠,或者是需要進一步改善控制措施來更有效地管理風險。在理想的情況下,每個風險都有分配標訂的複核時間來驅使監控個別風險改善的時間表。
- 分派風險負責人
有效地風險管理是針對每個風險都必須要有所謂的”所有權人”,即負責處理風險以確保所有內部控制措施有效,並確保相關的風險減緩措施執行完整。這個角色還包括了根據現有的資訊和知識,定期監控風險狀況並調整風險評級。
根據不同的風險類型,可以適當地針對各階層的不同負責程度給予相關的所有權等級(例如,風險總監、風險管理者以及風險派任者)。
依照前述的指引辨識風險,可使您更容易決定什麼風險是至關重要的,以及評估何種風險是最需要被關注的。
