风险和控制自我评估(RCSA)是一种商业实践,可帮助公司的最高管理层识别和评估公司活动中固有的重大风险。 RCSA计划还指导部门经理和部门级员工如何确保内部控制,政策和程序的功能性和充分性。
目的
RCSA计划涵盖两个业务职能 - 风险自我评估和控制自我评估。风险自我评估是一种实践,使部门负责人能够分析各种业务风险,并根据潜在损失将其排名为“高”,“中”或“低”。控制自我评估计划可帮助高级管理人员确保内部控制,程序和机制充分,有效并符合最高领导层的建议,行业惯例,专业标准和监管指南。 (控制是管理层为避免损失而制定的指令。)
类型
RCSA计划侧重于四种类型的风险:运营,技术,财务和合规。操作风险源于人为错误或欺诈(例如,员工窃取现金)。技术风险是通信系统故障的结果,例如硬件故障。财务风险可能与信贷相关(当业务合作伙伴无法偿还贷款时)或市场风险(当安全价格变得不利时)。当公司不遵守法律时,合规风险涉及不利的监管行为。
特征
RCSA计划可能涵盖部分或全部四种业务风险,具体取决于运营需求,公司规模,员工技能和监管要求。假设一家总部位于南达科他州的全球银行希望识别,评估和管理其证券交易所活动中隐含的金融风险。银行可以就财务风险流程准备RCSA,并将其市场风险控制评定为“中等”。总部位于纽约的运动服装零售商可能会审查其运营中固有的风险,并将某些地区的运营风险评为“低”。
优点
风险和控制自我评估框架在公司的内部机制中至关重要,因为它可以防止或减少业务活动中可能出现的潜在损失。有时,这些损失可能很大,例如员工偷了数百万美元,或者银行因不合规而被罚款。例如,如果一家总部位于纽约的银行在其交易部门的活动中没有执行RCSA,而且诸如金融业监管局(FINRA)等监管机构发现违规行为,则FINRA可能会对银行及其交易员进行罚款。
专家洞察力
RCSA倡议通常可能涵盖公司员工没有专业知识的困难主题或领域。在这些情况下,公司的最高领导层可以雇用一名顾问来帮助公司适当地评估风险。例如,石油和天然气公司可以雇用注册会计师(CPA)来审查其市场风险政策并提供建议。
