以风控为导向的系统导入与制度整合

简单地说，风险导向为基础的方法就是从辨认风险、评估风险到回应风险都是采行风险为基础的方法进行处理，当辨认出相对应的风险等级后，分配较多资源处理高度风险议题，次要资源分配给中度风险议题，而低度风险则采取容忍或是最少资源分配处理。

此外，企业期望引进新兴科技技术以加速数位转型的过程，同时梳理相关的作业程序让营运流程更精准地发挥效益，也希望能够透过资讯系统整合既有营运管理制度，企业亦可运用ERP等资讯系统将管理数位化或加速资讯流通，以达到风险预警告知的效果。因此，ERP等资讯系统中亦会存在诸多企业营运所需依赖的内部控制点，这些控制点必须对应到企业面临的风险点并有效的卡控以落实内控制度的设计。

资讯系统中相关的控制点亦可产生警示以提醒管理当局或前线管理单位留意不同程度的风险示警事项，而系统中的风险示警事项亦须嵌入风险管理框架（而通常先进ERP系统中，均已涵盖企业风险管理框架的精神）以满足前述风险管理的需求。

有鉴于此，主管机关于制定公司治理3.0的蓝图中，将企业风险管理框架纳入推动的时程；证交所于民国111年8月8日公告「上市上柜公司风险管理实务守则」即希望在公司治理3.0蓝图规画下提供国内上市上柜公司于企业风险管理发展的参考依据。该准则主要参考COSO ERM 2017、ISO 31000:2018等国际标准规范及国内金融机构风险管理的要求拟定而成，其企业风险管理框架包含七项要素：1.风险策略与偏好；2.风险治理；3.风险文化；4.风险评估与衡量；5.风险管理与监督；6.风险报导与洞察；7.数据与科技。

透过以上七项要素以及「上市上柜公司风险管理实务守则」，可以观察到企业在风险管理议题上的几个重点：

●企业风险管理框架需要配置适当的组织架构与人员，相关人员亦须具备适当的知识训练。

●风险需要先进行搜集与辨认后，透过建立一套有效的评量方法去衡量风险对于组织的影响程度与发生可能性。

●针对风险项目去盘点既有控制制度的适足性与否，针对控制制度不足的地方进行增修与优化。

●即时且有效的将风险评估结果向经营管理当局及董事会进行报告，必要时得由董事会决议后向利害关系人报告。

●整个风险管理框架需要思考科技协助并嵌入在资讯系统中以加速整体运作的效率与正确性。

面对全球局势快速变化，企业面对的风险管理议题与态样也逐日攀升，透过企业风险管理框架，可协助企业构筑风险管理的基础方法，以从容面对各式新兴与固有风险，降低冲击，避免影响企业的营运绩效。（本文作者为KPMG安侯建业顾问部执行副总经理）