為使金融機構強化聚焦重要風險並加強查核深度,
主機代管
,銀行公會公布「銀行業建立風險導向內部稽核制度實務守則」,
網路行銷
,以將有限的稽核資源配置於較高風險的業務或作業。不同於傳統稽核制度對於不同風險項目採取齊頭式的查核頻率及查核深度,
網站排名如何操作
,風險導向稽核制度著重風險辨識、評估與管理,
關鍵字優化
,透過風險評估之方法,
關鍵字如何操作
,審慎評估稽核範圍內各個受查主體的風險,
產品代銷
,加強對於較高風險項目的查核作業及頻率,
網路代銷
,並依查核結果提出內部控制的改善建議。 以健康檢查作為類比,傳統稽核制度就像是定期全面健康檢查,針對全身所有項目均進行檢查,雖然檢查結果可能有部分項目需要深入檢查,但每年還是針對所有項目再次進行檢查,並不會將檢查資源特別投注於先前檢查發現有問題或高風險遺傳疾病項目。風險導向稽核制度就像是除了定期全面健康檢查外,針對先前檢查有問題或高風險遺傳疾病項目,再安排比較精密深入的檢查,且深入檢查的頻率也會較定期全面健康檢查為高,同時亦會針對檢查結果提出建議,以逐步達到預防勝於治療的效果。由此可知,導入風險導向稽核制度因不再受限於每年均需對現行內部控制制度之所有項目進行稽核,可針對風險較高的項目投入較多稽核資源,並由事後稽核轉為事前防範,除提升稽核價值外,亦可增進公司整體內部控制制度之有效性,並強化企業經營體質及管理能力。建立風險導向稽核制度的最大挑戰在於建立內部稽核風險評估程序與方法,包括確認風險評估範圍、擬定風險評估因子與風險評估方法。延續健康檢查的類比,即首先必須要確認應該要列入健康檢查的項目、如何評估及其判定為異常之標準為何。銀行業為確認風險評估範圍,應就其所經營業務範圍及相關法令規範,辨識應辦理風險評估的受查主體。決定受查主體後,應就各受查主體進行風險評估,風險評估應包括評估該受查主體所面臨的固有風險及對該風險施行的控制措施有效性,以確認受查主體的剩餘風險,並應將評估結果至少區分為高、中、低三個風險等級,就風險等級為高者,應至少每年執行一次以上查核;就風險等級為低者,至少每四年執行一次查核。內部稽核單位應依據受查主體的風險評估結果,並參酌主管機關要求年度辦理的查核範圍,或依公司管理需求彙總訂定年度稽核計畫。以健康檢查為例,即依人身健康檢查的結果、最近國人常見的疾病類型及醫師綜合判斷後認為可能發生的疾病類型,規劃最適健康檢查計畫。若整體外部環境或內部業務發展發生變化時,亦應檢視其是否會影響風險評估結果,以即時並適切反應受查主體的風險現況,並據以決定是否需修訂年度稽核計畫。實施風險導向內部稽核制度,不僅是為銀行業施行量身訂做的健康檢查,亦是健全營運體質、降低營運活動可能發生的風險,並提升稽核價值與經營績效之道。(作勤業眾信風險管理諮詢股份有限公司執行副總經理、協理),