Yahoo奇摩財經 
觀念平台-檢視企業風險管理的三道防線
一則伊索寓言『牆壁與釘子』,內容陳述牆壁被釘子猛烈地釘壞,便大聲叫道:「你為何要釘壞我,我與你無冤無仇,什麼壞事我都沒做。」釘子辯解:「這一切都不是我的責任,你應該去責怪那個狠狠敲打我的人。」語意是咎責應追本溯源,否則無濟於釐清事實與改善。
面對勞退基金代操經理人的違規行為或是銀行發生的理專及行員盜領案件,事實上,一旦法人機構發生弊端時,就會被要求加強風險管理,但往往無法立即找到問題癥結。雖然風險管理已經成為企業管理的顯學,但是預防重於治療,防線的建立尤其重要,企業風險管理的『三道防線』,泛指第一道防線的營業單位(Management),第二道防線的監督與支援部門(Risk Management and Compliance)與第三道防線的稽核部門(Internal Audit)。
營業單位即企業交易之前台,為負責風險管理的第一線單位。支援部門除風險管理外尚包括法遵、法務等單位,負責監督及協助營業單位進行管控。而稽核部門包括內部和外部稽核機構,負責檢查已完成之各項作業與交易有無違規、觸法或弊端。
風險管控三道防線涉及企業組織架構,事業單位、風控部門、稽核部門、風險管理委員會、審計委員會與董事會。依據分層負責,包括總稽核、風控長與法遵長等,協助監督及控管風險並持續關注部門間的內部控制是否有效運作,當三道防線落實執行時,企業就能實現整體風險控管的目標。
三道防線成功關鍵在明確分工
第一道防線涉及企業運營,由業務主管負責,對運營進行控制。第二道防線為企業風險管理和法令遵循,主要由風險管理專責單位與風險管理委員會負責,加上法遵部門確認各項交易是否符合業法及相關法規,塑造管理環境掌握風險管理目標,監督和促進業務有效進行。第三道防線為內部控制和稽核,由獨立稽核部門與審計委員會負責,檢查及監督企業並提供系統性方法加強風險管理和落實內部控制制度。
風險管理強調吻合企業價值觀
風險管理依循企業管理法則,從創造及提升企業價值出發,著重自身定位與價值。就三道防線而言,結合企業核心價值,依據價值鏈思維將增加企業價值的活動分為基本和支援性活動。基本活動包括生產、銷售、採購、服務等環節,支援性活動則涉及人事、財務、計劃、研究開發等,構成企業的價值鏈。
實際上僅特定價值活動才真正創造價值,亦即價值鏈中的『關鍵環節』。企業要保持競爭優勢,就是在關鍵環節需具有優勢,關注關鍵環節的核心競爭力,進而鞏固企業競爭優勢。
發揮三道防線控管的必要思維
建構風險管理制度時,相信大部分主管認為應該由風險管理專職單位全權負責,但營業單位對此權責劃分卻常有微詞,質疑風險管理部門無法辨識所有風險且因不具實務經驗致不夠專業,或不願讓風險管理部門過度牽制。儘管如此,多數企業還是將控管權責授權予風險管理專責部門,導致營業單位因而缺乏咎責機制,造成風險管理部門被充分授權後反而表現不如預期。
執行風險管理制度時,錯誤的認知將破壞權責相符機制,第一道防線為風險承受單位,風險控管第一線的責任人,必須足以解決95%的問題,必要時,第二線須參與第一線的決策過程,而後第二道和第三道防線進行監督與查核。第二道和第三道防線必須清楚所有問題的始末,需相對付出成本以確保權責相符機制順利。
稽核部門對於前兩道防線具有檢查、監督及追蹤缺失改善進度的功能,因此必須具備獨立性和客觀性,並同步或定期向董事會完整揭露。而輔以科技與大數據的應用,於風險控制下達到企業價值極大化與經營目標。
