第五章 問題解決之道
第一節 健全有效的作業風險管
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
73
第五章 問題解決之道
第一節 健全有效的作業風險管理
根據風險管理學會(Risk Management Association, RMA),英國銀行家協會(British Bankers' Association, BBA)及國際證券商協會(International Securities Dealers Association, ISDA)在 1999 年與 Price Water House Coppers 針對 55 個金融機構進行的一項 調查研究,作業風險的風險管理發展分為五個階段:
第一階段—是最傳統的管理模式,以內部控制或稽核方式為主,無專責單位或指派專人負責,也 無一個正式的風險管理架構。
第二階段—在此階段,已意識到作業風險的存在且必須加以妥善管理,高階主管在提升組織內針 對作業風險的認知上扮演積極的角色,並指派專人負責,建立作業風險管理的架構,
管理方式通常包括自我評估、風險定位、作業風險預警指標及收集作業風險事件等。
第三階段—此階段以監控為主,在確認所有的作業風險後,進一步了解這些作業風險對組織的影 響,進而針對反應各項作業風險的指標及管理效能進行追蹤。
第四階段—繼第三階段以「質化」指標管理作業風險,本階段則強調「量化」概念,著重在相關 風險的量化模型及衡量哪些作業風險可能發生,而第二階段收集,建置的作業風險事 件在此階段已在業務及風險類型中有足夠資訊以提供更深入了解作業風險發生原因 和建立預測模型。
第五階段—在本階段則是將作業風險管理完全融入組織中的每一個單位,將作業風險管理與經濟 活動及薪酬制度全面連結,組織建立完整的風險管理文化,也就是建立整合性風險管 理的機制。
健全有效的作業風險管理是「預防重於治療」,事後的內部控制與稽核只是作業風險管理的
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
74
初級階段,無法防範作業風險發生於未然,因作業風險涉及組織內的任何人,而且也實際影響組 織內的每一個人,必須組織內每一位成員都意識到作業風險的存在,並積極地將作業風險管理視 為自身的責任,才能防止作業風險的發生。
風險管理不等同於內部控制。美國詐欺性財務報告全國委員會贊助機構之委員會(the Committee of the Sponsoring Organizations of the National Commission on Fraudulent Financial Reporting, COSO 委員會)在 1992 年發布“內部控制—整合架構(Internal Control-Integrated Framework)",於 2004 年則發出“ERM-整合架構(Enterprise Risk Management-Integrated Framework)"。二個架構相較,除了風險管理架構下必須採取的行動 較為廣泛外,內部控制架構的缺失包括(馬秀如, 2006):
1.目標設定後,才進行內部控制,未若風險管理架構下,在目標設定階段即已進行風險管理;
2.未賦予管理階層設定風險胃納的責任;
3.管理階層未綜合管理風險。
COSO 委員會進一步制定風險管理架構,強調整合性風險管理與組合風險管理,風險管理的目標不 是單純地強化內部控制以消極地解決對組織價值有負面衝擊的風險,而在於達成損失極小化、報 酬極大化的目標。
而建構有效的風險管理,其關鍵要素在於(Cynthia Glassman, 2000):
1.健全的風險管理文化
健全的風險管理文化是指組織內每一位成員,從最高的領導者至最基層的工作人員均對風險有 所認知,將風險意識放入組織日常決策與運作中,無須特別的提醒或監督。如果組織成員認為 風險管理只是遵循組織的規範或應付來自外部機關的要求,或是心存僥倖認為風險不會發生,
則風險管理組織架構只是聊備一格,無法達成風險管理的作用。風險文化的建立必須經由不斷 的教育訓練,將正確的風險管理觀念放入職前訓練及在職訓練中,讓組織成員認同風險管理是
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
75
自己的責任。
2.使用相同的風險語言
建立健全的風險管理文化的前提是組織內有良好的溝通(宋明哲,2007)。風險溝通的標的並非 人際問題,而是如何呈現風險訊息,才能有效改變組織成員的風險知覺(宋明哲,2007)、態度 與行為,進而完成風險管理的目標,而唯有組織成員均使用相同的語言,才不致於各說各話,
無法溝通。
3.標準化的評估方法
有效的整合性風險管理與組合風險管理必須組織內運用標準化的評估方法,否則各個風險間的 數據、資料無從比較、綜合、加乘。
4.跨部門的風險管理組織架構
風險管理往往來自於「由上而下」(Top-down)的縱向控管,但此種架構無法納入組織內不同部 門的風險合併後的效果,甚至忽略不同風險間彼此影響或連結效果。因此有效的風險管理必須 建立矩陣式風險管理架構,除原有的縱向架構外,另應橫向整合各部門,涵蓋所有業務的風險,
將風險管理融入全組織的營運目標內。
5.風險管理整合至主要業務程序
在組織的主要業務程序程序中就應納入風險管理的考量,而非將風險管理獨立於業務程序外,
才能掌握每一業務的各個程序中已包括了風險考量 ,而無所遺漏;易言之,應以風險管理貫 穿組織的主要業務程序,而非在業務外加風險管理。
6.與成員績效指標連結
在衡量組織成員是否達成組織目標的績效指標( Key Performance Index, KPI ),應連結風險 管理考量,促使組織成員在追求績效目標時都能有風險意識,否則組織成員可能為了達成短期 績效目標而忽略了背後隱藏的風險。美國國際集團(AIG)英國子公司為了達成年度獲利盈餘目 標,忽略了承保風險,導致 AIG 幾乎倒閉,就是一個明顯的例子。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
76
總言之,風險管理不只是獨立於組織經營運作之外,也非個別、單獨風 險的管理,而是走 向前瞻、整合性的管理,追求現代風險管理的目標:損失極小化,報酬極大化。