你的董事會對風險真的提出了關鍵問題嗎？-2025/05/17

這篇是由Mark Sexton與Paul Feldman合寫的"Is Your Board Asking the Really Tough Questions About Risk?"。2025年4月10日在FTI Consulting網站刊出。以下介紹一些內容。

FTI Consulting最近的調查What Directors Think 2025: A Changing Risk Landscape這篇調查，針對風險意識、監督挑戰和效能認知，提出了寶貴觀點。

問題：你認為你的董事會在哪方面最有效？

80.5％-能適時挑戰管理階層

77.8％-能監督風險管理計畫以減緩公司暴險

72.3％-技能與專長之平衡

雖然他們對其能力的意識與信心如此堅實，但為何很多董事會仍未能做好風險監督及挑戰？每個治理失靈都是特殊的，但有幾個主題一直出現，包括對最主要風險注意度不足、技能落差以及品質不佳的管理階層資訊。以下，作者提供了幾個具體步驟，供董事會改善這些領域：

跟上演變中的局勢

董事會應該要求—風險報告針對公司風險概況、控制環境之變動，提供充分的資訊。董事會廣泛的職權領域或許會提供更好的位置，辨明新風險、集中度以及綜合影響。董事會應該要確認：風險報告要及時提供內外部風險推力之變動範圍。

內部推力或許包括：

*產品、服務或地理足跡上的改變

*會引發新興、大暴險的快速成長

*關鍵人員流動或全公司流動率之上升

外部推力或許包括：

*宏觀經濟震盪

*法律、監理或政治環境

*顛覆性技術

董事會應該挑戰管理階層對這些因素之理解，以及因應的風險減緩措施。他們必須積極向管理階層提問。同樣重要的是，在議事錄上記載董事會審視和挑戰。監理者想要的是證據—董事會可靠地廣泛挑戰風險報告及風險管理能力。

董事會風險報告

風險長會詳細的風險報告方案和總結報告，對大多數風險委員會是常態。高階經理人的總結應該要突顯出關鍵資訊，包括是否符合公司風險胃納、最主要和新興風險，以及這些領域最值得注意的趨勢。附錄則提供所有風險領域的關鍵風險指標及具體風險指標細節。風險委員會（如果有的話）會審視全套方案，並更常與風險長、風險管理主管議合。風險管理委員會召集人，會對董事會提出最重要的問題。

雖然監理機關持續期待有高品質的風險報告，但調查顯示，董事會應該要考慮，管理階層的報告會如何符合他們的偏好—有更多對話、外部專業知識。

很多董事會未能辨識和提出他們自己的資訊需求，並認為這由風險委員會提供就完整了。有鑑於內外部環境的巨大轉變，董事會必須辨識報告的落差和不足之處。董事會也應該挑戰管理階層提出的問題背景與架構。這有任何盲點嗎？管理階層的觀點有偏見嗎？

為強化獨立的確信，董事會應該確保，審計委員會的活動與成果，與風險管理部門一致。他們應該要滿意—年度查核計畫會提供充分的風險管理範圍，以及跨年計畫會全面涵蓋。

從不同機構來看，整個董事會投入風險討論的狀況十分不同。隨營運日益複雜且技術導向，風險部門由高技術、不同領域的專家組成。他們具備深入的信用風險、反金融犯罪、網路安全與其他風險的專長，可能沒人挑戰過。在董事會討論上，風險長或許會展現出令人印象深刻地指揮公司風險與控制。加上鉅細靡遺的風險報告方案，風險長的報告可能會讓董事會如此感覺—所有事都在掌控之中。董事會或許會對風險監督較為消極，過度信賴專家。不過，獨立審視與挑戰的標準，需要董事在風險治理上採取積極的角色。

解決技能和知識上的落差

董事會面對到的風險管理主題數量及複雜性，需要廣泛的專業知識與能力，以便快速回應新風險。董事會必須自證知識落差，並確保他們與相關領域專家諮詢。若公司持續暴露在特定風險內，董事會就應該將之納入技能矩陣，考慮增加某主題之專家進入董事會。

董事會要挑戰量化成果—包括詮釋及管理階層之回應。董事會必須考慮，報告所傳達的正確感是否其實是錯的。另外，因應對模式成果已規畫的業務，或許不夠保守，比如使用乘數或財務的緩衝器。關鍵的模型假定及所依憑的情境設計，都應該予以挑戰。

雖然董事會認同風險管理和監理事件之潛在影響，但What Directors Think 2025: A Changing Risk Landscape調查顯示，在任命新董事時，這些技能組合優先性仍低。

在選任新董事時，你重視哪些標準？

40.5％-財務專長

40.5％-產業與消費者經驗

27.0％-長字輩主管經驗

24.3％-網路安全經驗

21.6％-法遵與風險管理經驗

某些受訪者已解決了風險和遵循技能落差，但他們應該考慮增加新風險方面的備位人才，原因是很多董事會已經有財務與策略風險專家。董事會技能矩陣與委員會成員，應該包含詳細考慮可轉移的技能與經驗。產業以外的執行長和財務長知識，可用作風險辨識與減緩。所有董事會成員都應該考慮公司/產業專有的風險與風險管理實務，以及其自有的經驗。此技能和經驗的多元性是可以有意識地達成，因此善用這些知識，是董事會、風險委員會召集人的責任。

雖然監理機關與投資人的期待都在升高，但董事會必須確保，其做了勤勉的監督並有效挑戰風險管理。董事會可強化風險治理可採取某些行動包括：

*持續瞭解變動中、推動整個企業風險的內外部因素，並確保風險報告能解決這件事。

*定義關於資訊深度與廣度，以及報告相關脈絡的報告要求。

*辨明董事會的知識落差，並落實長短期計畫以縮短落差。

董事會必須透過瞭解公司風險概況以展現對全面之理解，這包含獲取相關知識、或對特定主題引入外部專家。唯有如此，他們才能在風險管理流程內提出正確的問題、並達成其職責。

資料來源：https://www.fticonsulting.com/insights/articles/your-board-asking-really-tough-questions-about-risk