企業(yè)風(fēng)險管理整合框架及其評價9頁

1、企業(yè)風(fēng)險管理整合框架及其評價9頁 企業(yè)風(fēng)險管理整合框架及其評價在內(nèi)部控制標(biāo)準(zhǔn)制定方面,美國發(fā)起人組織委員會(COSO)一直是國際公認(rèn)的權(quán)威機(jī)構(gòu),自其成立以來,一直致力于內(nèi)部控制標(biāo)準(zhǔn)的制定,引導(dǎo)和代表著內(nèi)部控制的發(fā)展趨勢。1992年,COSO提出了內(nèi)部控制整合框架,經(jīng)過十多年的應(yīng)用.已成為業(yè)界普遍認(rèn)可的一個標(biāo)準(zhǔn)。2004年9月,COSO又提出了企業(yè)風(fēng)險管理整合框架,它既是對內(nèi)部控制整合框架的超越,也標(biāo)志著內(nèi)部控制的轉(zhuǎn)型,在內(nèi)涵界定、目標(biāo)體系、構(gòu)成要素等方面都進(jìn)行了拓展和延伸。 一、企業(yè)風(fēng)險管理的性質(zhì)(nature)與定位 這些年來.一系列財務(wù)失敗事件的發(fā)生以及對企業(yè)風(fēng)險管理的關(guān)注,使人們越來越清

2、楚地認(rèn)識到需要一個強(qiáng)有力的框架以便有效地識別、評估和控制風(fēng)險。2001年,COSO開展了一個項目,委托普華永道開發(fā)一個對于管理當(dāng)局評價和改進(jìn)他們所在組織的企業(yè)風(fēng)險管理的框架。但在開發(fā)這個框架期間,又發(fā)生了一系列令人矚目的企業(yè)丑聞和失敗事件,投資者、公司員工和其他利益相關(guān)者因此而遭受了巨大的損失。隨之而來的便是對采用新的法律、法規(guī)和上市準(zhǔn)則來加強(qiáng)公司治理和風(fēng)險管理的呼吁。人們迫切需要一個能夠提供關(guān)鍵原則和概念、共同的語言以及明晰的方向和指南的企業(yè)風(fēng)險管理框架。美國在2002年頒布了薩班斯-奧克斯利法案,其他國家也已經(jīng)通過或正在考慮類似的立法。這部法律擴(kuò)充了長期持續(xù)的對公眾公司保持內(nèi)部控制制度的規(guī)

3、定,要求管理當(dāng)局證實、并由獨(dú)立審計師鑒證這些制度。2004年9月,COSO發(fā)布了企業(yè)風(fēng)險管理整合框架,它拓展了內(nèi)部控制框架,更關(guān)注于企業(yè)風(fēng)險管理這一更加寬泛的領(lǐng)域。按照COSO的設(shè)想,他們不打算、也的確沒有用企業(yè)風(fēng)險管理框架取代內(nèi)部控制框架,而是將內(nèi)部控制框架納入其中,公司不僅可以借助這個企業(yè)風(fēng)險管理框架來滿足它們內(nèi)部控制的需要,還可以借此轉(zhuǎn)向一個更加全面的風(fēng)險管理過程。 (一)企業(yè)風(fēng)險管理的性質(zhì)COSO在其報告中指出,企業(yè)風(fēng)險管理是一個過程,它由一個主體的董事會、管理當(dāng)局和其他人員實施,應(yīng)用于戰(zhàn)略制定并貫穿于企業(yè)之中,旨在識別可能會影響主體的潛在事項,管理風(fēng)險以使其限制在該主體的風(fēng)險容量之內(nèi)

4、,并為主體目標(biāo)的實現(xiàn)提供合理保證。與內(nèi)部控制相比,企業(yè)風(fēng)險管理補(bǔ)充了兩個內(nèi)容:一個是戰(zhàn)略目標(biāo);一個是風(fēng)險控制。COSO在對企業(yè)風(fēng)險管理的界定中重點(diǎn)強(qiáng)調(diào)了七個屬性和理念:(1)企業(yè)風(fēng)險管理是一個過程,它持續(xù)流動于企業(yè)之內(nèi):(2)企業(yè)風(fēng)險管理是由組織中各個層級的人員來實施的;(3)企業(yè)風(fēng)險管理應(yīng)用于戰(zhàn)略制定的過程中;(4)企業(yè)風(fēng)險管理貫穿企業(yè)整體,在各個層級和單元應(yīng)用,還包括采取企業(yè)整體層級的風(fēng)險組合觀;(5)企業(yè)風(fēng)險管理旨在識別那些一旦發(fā)生將會影響企業(yè)的潛在事項,并把風(fēng)險控制在風(fēng)險容量以內(nèi);(6)企業(yè)風(fēng)險管理能夠向一個企業(yè)的管理當(dāng)局和董事會提供合理保證:(7)企業(yè)風(fēng)險管理力求實現(xiàn)一個或多個不同類

5、型但相互交叉的目標(biāo)。COSO秉承了其“整合”的思路,給出了企業(yè)風(fēng)險管理的一個寬泛的定義,通過提煉對公司和其他組織風(fēng)險管理的關(guān)鍵概念,為不同組織形式、行業(yè)和部門的應(yīng)用提供了基礎(chǔ),另外,它直接關(guān)注特定主體既定目標(biāo)的實現(xiàn),并為界定企業(yè)風(fēng)險管理的有效性提供了依據(jù)。COSO認(rèn)為,企業(yè)風(fēng)險管理應(yīng)發(fā)揮以下作用:(1)銜接風(fēng)險容量(risk appetite)與戰(zhàn)略。管理當(dāng)局在評價戰(zhàn)略方案、設(shè)定相關(guān)目標(biāo)和建立相關(guān)風(fēng)險的管理機(jī)制的過程中,需要考慮所在主體的風(fēng)險容量。(2)增進(jìn)風(fēng)險應(yīng)對決策。企業(yè)風(fēng)險管理應(yīng)能提高企業(yè)選擇風(fēng)險應(yīng)對策略的準(zhǔn)確性。(3)抑減經(jīng)營意外和損失。主體識別潛在事項和實施應(yīng)對的能力得以增強(qiáng),抑減了

6、意外情況以及伴隨而來的成本或損失。(4)識別和管理貫穿于企業(yè)的多重風(fēng)險。每一家企業(yè)都面臨影響自身不同組成部分的一系列風(fēng)險,企業(yè)風(fēng)險管理有助于有效地應(yīng)對交互影響,以及整合式地應(yīng)對多重風(fēng)險。(5)抓住機(jī)會。通過全面考慮潛在事項,促使管理當(dāng)局識別并積極地把握機(jī)會。(6)改善資本配置。獲取強(qiáng)有力的風(fēng)險信息,以使管理當(dāng)局能夠有效地評估總體資本需求,并改進(jìn)資本配置。 (二)企業(yè)風(fēng)險管理的定位COSO在界定企業(yè)風(fēng)險管理時,明確了兩個所屬關(guān)系:(1)內(nèi)部控制是企業(yè)風(fēng)險管理的一個組成部分;(2)企業(yè)風(fēng)險管理是管理過程的一個組成部分。企業(yè)風(fēng)險管理框架的要素都是管理層經(jīng)營一個企業(yè)所做的事情。但是,并非管理層做的事情

7、都是企業(yè)風(fēng)險管理的組成部分。在管理層的決策與相關(guān)管理行為中應(yīng)用的許多判斷,盡管是管理過程的組成部分,但不是企業(yè)風(fēng)險管理的組成部分。例如,確保有一個適當(dāng)?shù)哪繕?biāo)設(shè)定過程是企業(yè)風(fēng)險管理的一個關(guān)鍵組成要素.而管理層選擇的特定目標(biāo)不是企業(yè)風(fēng)險管理的組成部分:在適當(dāng)風(fēng)險評估的基礎(chǔ)上對風(fēng)險做出反應(yīng)是企業(yè)風(fēng)險管理的組成部分。而所選擇的特定風(fēng)險應(yīng)對策略和相關(guān)的資源配置不是企業(yè)風(fēng)險管理的組成部分:確定和實施控制活動以確保管理層選擇的風(fēng)險應(yīng)對策略得到有效的實施是企業(yè)風(fēng)險管理的組成部分,而所選擇的特定控制活動不是企業(yè)風(fēng)險管理的組成部分。COSO在2003年10月發(fā)布的企業(yè)風(fēng)險管理框架(草稿)中列示了一般管理行為。并指

8、出哪些構(gòu)成了企業(yè)風(fēng)險管理。企業(yè)風(fēng)險管理包括那些能夠使管理層依據(jù)可靠信息做出風(fēng)險基礎(chǔ)決策的0.適當(dāng)?shù)倪x擇中選出的特定決策不會決定企業(yè)風(fēng)險管理是否有效。另外,普華在最近的一份報告中提出了一個GRC(Governance,Risk,Compliance)模型。該報告認(rèn)為,組織可以通過把GRC戰(zhàn)略性地整合進(jìn)它們的經(jīng)營中,以形成一個可以對企業(yè)進(jìn)行管理的道德和經(jīng)營框架。這個框架包括治理(Governance)、企業(yè)風(fēng)險管理(Enterprise Risk Management)和遵守(Comphance)三個組成部分,從中可以看出企業(yè)風(fēng)險管理的定位。在這個框架中,治理活動包括設(shè)定經(jīng)營戰(zhàn)略和目標(biāo),確定風(fēng)險偏

9、好,建立文化和價值觀。制定內(nèi)部政策和監(jiān)督績效;風(fēng)險管理活動包括識別和評價那些可能會影響目標(biāo)實現(xiàn)能力的風(fēng)險,應(yīng)用風(fēng)險管理來獲得競爭優(yōu)勢和確定風(fēng)險應(yīng)對策略和控制活動;遵守活動包括遵照目標(biāo)經(jīng)營,確保遵守法律和法規(guī)、內(nèi)部政策與程序以及利益相關(guān)者的委托。 二、企業(yè)風(fēng)險管理的目標(biāo)體系 企業(yè)風(fēng)險管理框架提出了四類目標(biāo):(1)戰(zhàn)略(Stntegic)目標(biāo),即高層次目標(biāo),與使命相關(guān)聯(lián)并支撐使命;(2)經(jīng)營(operations)目標(biāo),高效率地利用資源;(3)報告(reporting)目標(biāo),報告的可靠性;(4)合規(guī)(compliance)目標(biāo),符合適用的法律和法規(guī)。在這個目標(biāo)體系中,增加了內(nèi)部控制整合框架中所沒有

10、的一類目標(biāo):戰(zhàn)略目標(biāo)。雖然是平行的方式列示,但是,戰(zhàn)略目標(biāo)在這個目標(biāo)體系中是最高層次的,其他三類目標(biāo)都應(yīng)當(dāng)從屬于戰(zhàn)略目標(biāo)。都是在為戰(zhàn)略目標(biāo)服務(wù)。此外。企業(yè)風(fēng)險管理框架的報告目標(biāo)也有所拓展。在內(nèi)部控制框架中,報告指的是公布的財務(wù)報表.報告目標(biāo)主要關(guān)注公布的財務(wù)報表的可靠性,而在企業(yè)風(fēng)險管理框架中,報告包括由企業(yè)編制、向內(nèi)部和外部散發(fā)的所有報告。而且,范圍也從財務(wù)報表的財務(wù)信息擴(kuò)展到了更廣泛的非財務(wù)信息。盡管在企業(yè)風(fēng)險管理框架中,并沒有明確表示其遵守目標(biāo)與內(nèi)部控制的遵守目標(biāo)有什么不同,但是,負(fù)責(zé)擬定企業(yè)風(fēng)險管理框架的普華在其2004年的一份名為整合驅(qū)動績效(Integrity-Driven Per

11、formance)的報告中認(rèn)為:“主要關(guān)注遵守法律、法規(guī)的傳統(tǒng)合規(guī)方法是不充分的,遵守內(nèi)部治理、道德與風(fēng)險標(biāo)準(zhǔn)和政策在防止遭受與聲譽(yù)相關(guān)的風(fēng)險方面更有效?！痹搱蟾鎸Α白袷亍钡膬?nèi)涵進(jìn)行了拓展,提出了一個新視角的“遵守”,給出了一個遵守風(fēng)險的新定義。遵守風(fēng)險是指“由于沒有能夠遵守法律法規(guī)、內(nèi)部規(guī)則和政策以及顧客、雇員和社會等主要利益相關(guān)者的期望而導(dǎo)致對組織的經(jīng)營模式、聲譽(yù)和財務(wù)狀況產(chǎn)生損害的風(fēng)險”。此外。內(nèi)部控制整合框架1994年補(bǔ)充的“保護(hù)資產(chǎn)”目標(biāo)在企業(yè)風(fēng)險管理框架中并沒有單列,因為COSO認(rèn)為,這個目標(biāo)的內(nèi)容已經(jīng)分別包含在了上述幾類目標(biāo)之中。對于目標(biāo)的實現(xiàn),企業(yè)風(fēng)險管理與內(nèi)部控制一樣.只能提

12、供合理的保證,而且,對于不同的目標(biāo)所提供合理保證的內(nèi)容也不盡相同。對于報告目標(biāo)和合規(guī)目標(biāo)而言,因為有關(guān)報告的可靠性和符合法律、法規(guī)的目標(biāo)在主體的控制范圍之內(nèi),所以可以期望企業(yè)風(fēng)險管理為實現(xiàn)這些目標(biāo)提供合理保證。但是,對于戰(zhàn)略目標(biāo)和經(jīng)營目標(biāo)而言,由于這些目標(biāo)的實現(xiàn)還取決于一些不在主體控制范圍之內(nèi)的外部事項,所以,企業(yè)風(fēng)險管理可以提供合理保證的是對目標(biāo)的實現(xiàn)過程進(jìn)行有效的信息溝通,即管理當(dāng)局以及承擔(dān)監(jiān)督職能的董事會能夠及時地了解企業(yè)目標(biāo)實現(xiàn)的進(jìn)展情況。 三、企業(yè)風(fēng)險管理整合框架的構(gòu)成 企業(yè)風(fēng)險管理包括八個相互關(guān)聯(lián)的構(gòu)成要素,它們源自管理當(dāng)局的經(jīng)營方式,并與管理過程整合在一起。(1)內(nèi)部環(huán)境。管理當(dāng)

13、局確立關(guān)于風(fēng)險的理念,并確定風(fēng)險容量。所有企業(yè)的核心都是人(他們的個人品性。包括誠信、道德價值觀和勝任能力)以及經(jīng)營所處的環(huán)境,內(nèi)部環(huán)境為主體中的人們?nèi)绾慰创L(fēng)險和著手控制風(fēng)險確立了基礎(chǔ)。(2)目標(biāo)設(shè)定。必須先有目標(biāo),管理當(dāng)局才能識別影響目標(biāo)實現(xiàn)的潛在事項。企業(yè)風(fēng)險管理確保管理當(dāng)局采取恰當(dāng)?shù)某绦蛉ピO(shè)定目標(biāo),并保證選定的目標(biāo)支持主體的使命并與其相銜接,以及與它的風(fēng)險容量相適應(yīng)。(3)事項識別。必須識別可能對主體產(chǎn)生影響的潛在事項。它包括表示風(fēng)險的事項和表示機(jī)會的事項,以及可能二者兼有的事項。機(jī)會被追溯到管理當(dāng)局的戰(zhàn)略或目標(biāo)制定過程。(4)風(fēng)險評估。要對識別的風(fēng)險進(jìn)行分析,以便確定管理的依據(jù)。風(fēng)險

14、與可能被影響的目標(biāo)相關(guān)聯(lián)。既要對固有風(fēng)險進(jìn)行評估,也要對剩余風(fēng)險進(jìn)行評估,評估要考慮到風(fēng)險的可能性和影響。(5)風(fēng)險應(yīng)對。員工識別和評價可能的風(fēng)險應(yīng)對措施,包括回避、承擔(dān)、降低和分擔(dān)風(fēng)險。管理當(dāng)局選擇一系列措施使風(fēng)險與主體的風(fēng)險容限和風(fēng)險容量相適應(yīng)。(6)控制活動。制定和實施政策與程序以確保管理當(dāng)局所選擇的風(fēng)險應(yīng)對策略得以有效實施。(7)信息與溝通。主體的各個層級都需要借助信息來識別、評估和應(yīng)對風(fēng)險。廣泛意義的有效溝通包括信息在主體中向下、平行和向上流動。(8)監(jiān)控。整個企業(yè)風(fēng)險管理處于監(jiān)控之下,必要時還會進(jìn)行修正。這種方式能夠動態(tài)地反應(yīng)風(fēng)險管理狀況,并使之根據(jù)條件的要求而變化。監(jiān)控通過持續(xù)的

15、管理活動、對企業(yè)風(fēng)險管理的單獨(dú)評價或者兩者的結(jié)合來完成。企業(yè)風(fēng)險管理框架與內(nèi)部控制框架相比,在要素構(gòu)成上主要有兩個方面的變化:一是以“內(nèi)部環(huán)境”取代“控制環(huán)境”,在“內(nèi)部環(huán)境”中引入了風(fēng)險管理理念、風(fēng)險偏好兩個概念。風(fēng)險管理理念是一套共享的觀念和態(tài)度,它標(biāo)志著企業(yè)考慮風(fēng)險時的特征,反映了企業(yè)的價值觀。影響著企業(yè)的文化和經(jīng)營方式。風(fēng)險偏好反映了一個企業(yè)的風(fēng)險管理理念,并影響著企業(yè)的文化和經(jīng)營方式。另一個變化是企業(yè)風(fēng)險管理更加關(guān)注風(fēng)險.拓展了內(nèi)部控制框架的風(fēng)險評估要素,進(jìn)一步細(xì)分為目標(biāo)設(shè)定、事項識別、風(fēng)險評估和風(fēng)險應(yīng)對四個要素。COSO提出的企業(yè)風(fēng)險管理框架與1999年英國制定的特恩布爾報告中的風(fēng)險管理模式有一定的相似之處。在結(jié)構(gòu)方面,COSO沿用了內(nèi)部控制整合框架中通過三維矩陣表現(xiàn)構(gòu)成要素與目標(biāo)之間關(guān)系的表示方法。四類目標(biāo)用縱向的欄表示,八個構(gòu)成要素用橫向的列表示,而一個主體內(nèi)的各個單元則用第三個維度表示。這種表示方式使使用者既能夠從整體上關(guān)注一個主體的企業(yè)風(fēng)險管理,也可以從目標(biāo)類別、構(gòu)成要素、主體單元,甚至其中任何一個分項的角度去加以認(rèn)識。企業(yè)風(fēng)險管理的構(gòu)成和目標(biāo)既是建立健全企業(yè)風(fēng)險管理過程的依據(jù).也是評價其有效性的標(biāo)準(zhǔn)。認(rèn)定一個主體的企業(yè)風(fēng)險管理是否有效,是在對八個構(gòu)成要素是