Enterprise Risk Management (3) - 各門派的風險管理架構與邏輯

這是我最不喜歡的部份，空有一堆標準與說法，然而在外面卻最常聽到很多專家在講
感覺過分強調系統條文與程序，而忽略了對於企業風險控管的實際效果




一般最常提到的是COSO的企業風險管理架構(ERM)，相關簡介與參考連結如下：

COSO ERM framework
The COSO "Enterprise Risk Management-Integrated Framework" published in 2004 defines ERM as a "…process, effected by an entity's board of directors, management, and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives."[4]


The COSO ERM Framework has eight Components and four objectives categories. It is an expansion of the COSO Internal Control-Integrated Framework published in 1992 and amended in 1994.

Further Description and Summary About COSO

http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary.pdf
香港審計師 Bittermelon兄的Blog當中，很棒與清楚的介紹
http://bittermelon2009.blogspot.com/2009/03/control-framework.html
http://bittermelon2009.blogspot.com/2009/07/blog-post_08.html
http://bittermelon2009.blogspot.com/search/label/風險管理

COSO企業風險管理---整合架構(ERM)簡介
http://tw.myblog.yahoo.com/markyslin/article?mid=107&prev=928&l=f&fid=14

21世紀的企業風險管理制度 安侯建業會計師事務所 http://www.kpmg.com.tw/attach/content/service/3/31/312/21¥@¬ö¥ø·~­·ÀIºÞ²z¨î«×.pdf

相關重點摘要：

企業風險管理之基本假設，係每個企業均因其為利害關係人提供價值而存在。所有企業均面臨不確定性，而管理階層所面臨之桃戰，在於當其為利害關係人創造價值而努力時，須決定其欲接受之不確定性有多高。不確定性代表風險或代表機會，企業之價值可能因此而遭侵蝕或因此而提高；企業風險管理讓管理階層能有效處理不確定性及其相關的風險與機會，使企業創造價值之能力提高。
風險及風險管理 “風險”是指阻撓企業達成其目標或執行策略甚至威脅其生存的事件、行為或疏失。而”風險管理”則是指與辨認、評估及處理風險有關的所有活動及方法。有效的企業風險管理制度並非意圖消弭所有的企業風險；而是協助企業辨認及評估他們在日常營運過程中所可能面臨的風險，因此企業人員可以及早採取較佳的方法來管理這些風險，以強化企業的體質及競爭力，甚至從中掌握可能的獲利機會，其目的是在追求風險-報酬關係的效益最佳化以及實現企業最終目標-增加股東的投資報酬

企業風險，分為下列四個類別：

策略性(strategic )---係高層次之目的(high-level goals)，其追隨企業之使命，並支援其達成。
營運(operations)---資源之使用有效果及有效率。
報導(reporting)----報導之可靠。
遵循(compliance)---相關法令之遵循。



CAS的架構也很常見

From Wikipedia, the free encyclopedia http://en.wikipedia.org/wiki/Enterprise_risk_management
Casualty Actuarial Society（非壽險精算學會，不是優良肉品的那個CAS標章） framework

In 2003, the Casualty Actuarial Society (CAS) defined ERM as the discipline by which an organization in any industry assesses, controls, exploits, finances, and monitors risks from all sources for the purpose of increasing the organization's short- and long-term value to its stakeholders."[1] The CAS conceptualized ERM as proceeding across the two dimensions of risk type and risk management processes.[1]
The risk types and examples include:[2]

Hazard risk
Liability torts, Property damage, Natural catastrophe
Financial risk
Pricing risk, Asset risk, Currency risk, Liquidity risk
Operational risk
Customer satisfaction, Product failure, Integrity, Reputational risk
Strategic risks
Competition, Social trend, Capital availability
The risk management process involves:[備註：跟環安的危害鑑別與風險評估概念差不多]

Establishing Context: This includes an understanding of the current conditions in which the organization operates on an internal, external and risk management context.
Identifying Risks: This includes the documentation of the material threats to the organization’s achievement of its objectives and the representation of areas to the organization may exploit for competitive advantage.
Analyzing/Quantifying Risks: This includes the calibration and, if possible, creation of probability distributions of outcomes for each material risk.
Integrating Risks: This includes the aggregation of all risk distributions, reflecting correlations and portfolio effects, and the formulation of the results in terms of impact on the organization’s key performance metrics. (備註：相較之下這點環安的風險評估就沒那麼細膩)
Assessing/Prioritizing Risks: This includes the determination of the contribution of each risk to the aggregate risk profile, and appropriate prioritization.
Treating/Exploiting Risks: This includes the development of strategies for controlling and exploiting the various risks.
Monitoring and Reviewing: This includes the continual measurement and monitoring of the risk environment and the performance of the risk management strategies.

Further Description and Summary About ERM from CAS
http://www.casact.org/research/erm/overview.pdf

保險派別的風險管理(歸類在CAS當中)

http://www.stat.fju.edu.tw/Teachonline/rm/9603­·ÀIºÞ²z²¤¶-1©w¸q¤Î¤ÀÃþ(¾Ç²ßºô).ppt#257,1,風險管理簡介 RISK MANAGEMENT


資訊派別的風險管理

http://fsms.bsmi.gov.tw/cat/epaper/970331劉興樺.ppt

IBM的企業風險管理網頁（置於Information Management 底下）

http://www-01.ibm.com/software/data/cognos/enterprise-risk-management.html
另外Blogger Bittermelon提到IBM的架構是： CARES
CARES代表五種風險，分別是：
C – Compliance　遵循風險
A – Accomplishment　 達成目標
R – Reporting　信息可靠
E – Efficiency　運作效率
S – Safeguarding　資產保護


財務派別的風險管理


Enterprise Risk Management: Theory and Practice（從企業評價與財務實證的觀點來談風險管理，值得細讀的文章）
http://www.cob.ohio-state.edu/fin/faculty/stulz/publishedpapers/184_nocco.pdf

Financial Risk Management，著重於資本資產與金融商品的評價
http://www.acc.ncku.edu.tw/files/980527金融商.ppt





個人的批判(或說偏見，再請各方賢能 不吝給予指正)：

感覺上，「內稽」派別的風險管理，較著重於” 報導(reporting)”與” 遵循(compliance)”，財報的編列是否均依具相關會計準則保守穩健的編列，有沒有扭曲造假、欺瞞股東與內部經理人瀆職的問題。也由於與會計準則高度相關，所以從事這塊領域的人員，也多是會計相關背景。

而一般工安環保/保險與「IT」派別的風險管理，用的是所謂BS-25999與ISO-PDCA條文的架構，較注重資產與營運中斷方面的風險管理；而這塊領域似乎是個大雜燴，各說各話百家爭鳴，甚至作業與生產管理的專家，也將品質或供應鍊管理的問題視為企業營運風險的一部份，Methodology更是深奧與各有千秋。

而著墨最少的似乎是「公司策略正確與否」的風險管理，而這部份反在企業管理的個案與策略管理課程中有更多的討論，但是卻沒有PDCA或COSO般的架構，有的是比較多的情境與策略矩陣分析（BCG、Ansoff....etc），有關公司策略的風險評估機制似乎只存在CEO腦中，幕僚難以碰觸也無法架構，也或許麥肯錫之類的顧問公司才有機會接觸此一議題。

這議題的關鍵不是各項風險的分類與鑑別，而在於如何釐清各項風險的交互作用與組織內部運作間的權責分工，進而加以整合有效管理，各門派間只有如何整合的問題，而非哪一派比較好。