IIA 實務指引: 採用ISO31000評估風險管理的適當性

上星期David Chuangの觀網通訊的主題:「不同標準架構(COSO vs ISO)下的風險定義有何不同?」引起網友們廣大的迴響,說實在的在台灣,大概很少有人會主動討論這個議題,不像國外實務界,不論你的身份是內部稽核主管(CAE)、財務主管(CFO)、風險長(CRM)、或是執行長(CEO),就不同風險管理或評估架構在風險的定義上有不同的觀點,有諸多討論,我們再進一步探討。

當有人主張ISO的風險定義比COSO好,是因為它同時考慮上方風險(Upside Risk)(有利)及下方風險(Downside Risk)(不利),相較於COSO只考量到下方風險(Downside Risk)。對在之前有所討論ISO風險概念可比較COSO概念的是「事件(Event)」,它確實考慮到上方風險和下方風險兩個部份。所以,當我們要做出聲明主張(Assertion)時,在同時考量上方風險(Upside Risk)及下方風險(Downside Risk)的基礎上,就不能說這個風險定義比另一個好。

有人喜歡COSO ERM企業風險管理框架,但這樣的選擇,是無法確認一定優於ISO的風險觀點,同樣的,採用ISO風險管理框架的人必須對於他們的肯定優於其他風險管理架構提供支持的主張。

許多年以前,IIA(國際內部稽核協會)為更新專業實務的各種語言版本,就使用到許多ISO專用術語來描述風險管理,雖然他們仍持續使用COSO的風險定義,而ISO也特別主張「風險管理」是「治理」(Governance)的一環,實際上這也是正確的方向,符合GRC的整體概念。

有一份來自IIA(國際內部稽核協會)對於風險管理實行有效性確認(Assurance)的官方指引文件,就是以ISO 31000做為基礎(https://global.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/Assessing-the-Adequacy-of-Risk-Management-Practice-Guide.aspx)。

 

Assessing the Adequacy of Risk Management Using ISO 31000

我認為,目前所看到從各種角度所製訂的「風險管理的框架」仍然不斷地在變動當中,主要是因為,它要考量到的事物背景、產業特性、管理目的有太多因素要被納入考量,它的作業程序,也會跟著改變,我們唯一要做的是,目前所選擇的「風險管理的框架」是不是最適切的,符合即定企業組織營運管理目標的需求,這才是最重要的,把握「機會」(Opportunity),排除上方風險(Upside Risk)(有利),減緩負面的衝擊,降低下方風險(Downside Risk)(不利),這才是風險管理最主要的目的。

 

 

關於 David Chuang

David Chuang
CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員