柯治宏 经理德勤台北事务所企业风险管理服务
如何建立风险导向式稽核体制?要解决这个问题,首先需要了解何谓风险导向式稽核。笔者依据参与多家银行建立《巴塞尔协议II》作业风险管理体制的辅导经验,该过程包括协助银行稽核单位设计风险导向式稽核,因此就如何建立风险导向稽核体制,提供实务参考作法。
依据台湾金融法令相关规定,台湾银行业现行的稽核体制重点包括:
(1) 稽核单位需直属于董事会以确保其独立性。(2) 稽核单位需考虑各项业务或作业的重要控管
点,以设计符合实务需要的稽核程序。
(3) 稽核单位需每年规划下年度的查核重点与稽核计划。
(4) 稽核单位需依据法令要求的稽核范围与频率,对各单位进行一般稽核与项目稽核,并提出查核报告说明所发现的缺失事项。
(5) 稽核单位需将查核结果定期向董事会及主管机关呈报,并持续追踪各单位的改善情形。
从上述规定来看,目前台湾金融法令对银行业稽核的规范相当严格,不论是稽核单位的定位、稽核的范围或频率,及呈报的方式与层级,皆已相当具体且完整,但此种稽核体制与风险导向稽核体制并不完全相符,主要原因在于:
(1) 风险辨识的完整度不足。要建立风险导向式稽核体制,便要清楚了解有哪些风险,这就要求公司具有完整且可靠的风险辨识方式,目前银行业稽核单位在规划年度稽核重点与计划时,普遍会考虑最新法令要求、主管机关检查重点、同业损失记录,以及过往的稽核经验等,但此种的辨识目的通常是找出下年度稽核重点,而非找出风险,同时此种辨识方式非常依赖稽核人员对各项业务的经验与了解程度,且因信息来源渠道有限,不易取得其他业务或管理单位的意见或看法,因而导致辨识结果难以完全涵盖各业务的风险。
(2) 风险与稽核程序的链接度不足。除找出风险外,风险导向稽核体制要求风险与稽核程序具有清楚且明确的对应关系,如此方可于辨识风险后,迅速得知应执行的稽核程序。传统的稽核程序系针对各项业务与作业的控管点而设计,并未厘清各稽核程序所对应的风险为何,此即传统稽核程序设计的主要特征,以控制为导向,而非以风险为导向,因此即使稽核人员找出风险,也需以人工方式判断该风险对应的稽核程序,这往往需耗费大量稽核人力与时间,且所筛选的稽核程序亦可能不足或错误。
(3) 风险评估的合理性不足。找出风险后,风险导向稽核体制要求须能够合理评估风险的严重度,如此稽核单位方可依据其严重程度,决定所应投入的稽核人力或资源。目前稽核单位虽会针对稽核所发现的缺失,判断或决定其严重度或等级,但对于风险通常并无一套可供参考的评估标准,因而无法清楚掌握各风险的严重程度,即使找出风险,稽核单位也难以针对不同风险,调整对应的稽核资源。
(4) 稽核资源的调整缺乏弹性。除了了解风险严重度,并找出对应的稽核程序,风险导向式稽核体制还要求须能够依据风险严重度,调整对应的稽核资源。目前稽核单位对于如何调整稽核资源尚缺乏合理的调整方式,因此对于严重的风险,应如何提高或增加其查核资源,是增加稽核人力?增加样本量?或是使用不同的稽核程序?且人力与样本量要如何调整?不同稽核程序要如何选用?由于缺乏相应的调整方式,稽核人员往往仅能以经验判断或采用过去的稽核方式来决定投入的稽核资源,而难以真正做到与风险严重度相称。
由上可知,目前台湾银行业的稽核方式,虽有部分风险导向内涵,但受限于法令、可得信息来源以及传统设计方式的限制,难以成为真正的风险导向稽核体制。根据辅导银行建立风险导向稽核体制的经验,现将实务上可行的改善作法说明如下:
(1) 寻求或建立可靠的风险辨识来源。稽核单位除了既有的风险辨识方式外,应了解公司其他业务或管理单位(尤其是风险管理单位)是否进行与风险有关的辨识程序,且该辨识程序是否是持续运作且可靠的流程,倘若目前存在此种程序,则稽核单位应与该程序的负责单位建立持续的互动关系,以分享彼此所获知的风险信息,且此种分享应在不影响稽核单位独立性的情形下进行;倘若目前并不存在此种程序,则公司可考虑各项业务或单位的重要性或复杂度,决定优先建立风险辨识程序(如定期举行风险研讨会、通过问卷取得各单位人员的意见等)的业务或单位,以符合成本效益,并将辨识结果(如各业务风险列表)定期提供给稽核单位,作为决定稽核重点或规划稽核计划的参考。
(2) 厘清风险与稽核程序之间的关联。找出风险后,应进一步了解风险所对应的稽核程序,这样稽核人员才能知道应执行哪些稽核程序,但实践中常发现,即使已找出风险,稽核人员也难以确定应执行哪些稽核程序,这是因为设计稽核程序时,并非从风险的角度来思考。除此之外,稽核程序的描述可能过于精简(如开户作业是否依规定办理)或过于繁复,这往往造成稽核程序与风险的关联性不易厘清,因此实践中,可以重新调整现行稽核程序的描述或分类方式,并明确指明其所对应的风险。不过此种作法需投入大量的稽核人力进行调整工作,且稽核人员需重新加以训练,方能了解并熟悉调整后的稽核程序。完成调整后,风险与稽核程序将可建立明确且清楚的对应关系,且可协助稽核人员快速找出应执行的稽核程序。除前述作法外,公司亦可通过对应代码方式联接既有的稽核程序与对应的风险,但在不调整或分类稽核程序的情形下,稽核程序与风险的对应关系可能不易被理解(如开户作业是否依规定办理与客户机密信息外泄),不过可在无需投入大量人力的情形下,一定程度地建立稽核程序与风险的对应关系。
(3) 建立一致的风险评估标准。找出风险后,还需评估风险的严重度差异,方可对较为严重的风险加强查核。要建立全公司一致的风险评估标准,需了解公司所有单位对风险严重度的看法,并决定评估风险时应考虑的要素(如损失金额、对营运目标的影响或对外部声誉的影响等),因此公司可指定专责单位,负责协调各单位建立全公司一致的风险评估标准,并要求各单位就风险辨识结果进行评估,以确保评估结果的合理性,进而供稽核单位参考。此种作法可使公司建立完整的风险管理流程,但因要求各单位参与,因此需投入大量人力与时间进行辨识与评估工作。除前述作法外,稽核单位可参考现有信息或记录(如稽核缺失记录、同业损失、主管机关检查重点等),对所辨识的风险进行排序,在公司尚未建立标准的风险管理流程的情形下,可在不耗费大量人力的前提下,使稽核单位初步掌握或判断不同风险的排序或优先顺位。由于排序结果根据稽核单位对业务或风险的了解程度而定,因而可能存在较大误差,即合理性较为不足。
(4) 区分稽核资源的调整方式。了解不同风险的严重度差异后,稽核单位可据此决定不同风险应投入的资源差异。稽核资源的调整有多种方式,包括调整稽核范围、改变稽核频率、调整稽核样本量、使用不同稽核程序等。实践中,台湾稽核相关法令已规范公司稽核单位的稽核范围与频率,因此这两种方式难以依风险严重度作调整,或其调整不具可行性。虽然如此,公司仍可从其他两种方式着手。依据统计原理,愈大的样本量,稽核结果应更为可信,因此当风险较高时,则可增加稽核的样本量,以提高稽核结果的可信度。另外稽核程序依设计方式差异,其效果亦截然不同,如口头信息的可信度不如正式书面文件,内部数据的可信度不如外部数据,因此当风险较高时,选用较强的稽核程序,可提高稽核结果的可信度。稽核单位必须建立调整稽核样本量的标准,以及可供选用的稽核程序数据库,使稽核人员可依据不同风险严重度调整其稽核资源。
要建立风险导向稽核体制,需改变传统的稽核思维,要以风险为主要核心。同时这一体制要求稽核单位应取得更多更可靠的风险辨识与评估结果,方可据以调整稽核资源,因此建立风险导向稽核体制,不但可使稽核单位的有限资源得到更有效的运用,更可促使、激励全公司所有人员持续强化风险意识与对风险的敏感度,进而使公司成为善于预防、因应、降低风险的企业。
