美國企業(yè)風險管理框架

美國企業(yè)風險管理框架

一、擴展的理論研究自1992年美國coor總委員會（coor總委員會）發(fā)布內(nèi)部控制框架以來，已由許多公司采用。然而，理論和實踐界對內(nèi)部控制結(jié)構(gòu)提出了一些改進建議，強調(diào)內(nèi)部控制結(jié)構(gòu)的建立應(yīng)與企業(yè)的風險管理相結(jié)合。新的企業(yè)風險管理框架就是在1992年的研究成果——《內(nèi)部控制框架》報告的基礎(chǔ)上,結(jié)合《薩班斯—奧克斯法案》(Sarbanes-OxleyAct)在報告方面的要求,進行擴展研究得到的。普華永道的項目參與者認為,新報告中有60%的內(nèi)容得益于COSO1992年報告所做的工作。但由于風險是一個比內(nèi)部控制更為廣泛的概念,因此,新框架中的許多討論比92年報告的討論要更為全面、更為深刻。此外,COSO在其風險管理框架討論稿中也說明,風險管理框架建立在內(nèi)部控制框架的基礎(chǔ)上,內(nèi)部控制則是企業(yè)風險管理必不可少的一部分。風險管理框架的范圍比內(nèi)部控制框架的范圍更為廣泛,是對內(nèi)部控制框架的擴展,是一個主要針對風險的更為明確的概念。概括地看,相對于內(nèi)部控制框架而言,新的COSO報告新增加了一個觀念、一個目標、兩個概念和三個要素,即“風險組合觀”、“戰(zhàn)略目標”、“風險偏好”和“風險容忍度”的概念以及“目標制定”、“事項識別”和“風險反應(yīng)”要素。對應(yīng)風險管理的需要,新框架還要求企業(yè)設(shè)立一個新的部門——風險管理部。新的風險管理框架比起內(nèi)部控制框架,無論在內(nèi)容還是范圍上都有所擴大和提高,具體表現(xiàn)在:1.風險的偏好不同企業(yè)風險管理要求企業(yè)管理者以風險組合的觀點看待風險,對相關(guān)的風險進行識別并采取措施使企業(yè)所承擔的風險在風險偏好的范圍內(nèi)。對企業(yè)內(nèi)每個單位而言,其風險可能落在該單位的風險容忍度范圍內(nèi),但從企業(yè)總體來看,總風險可能超過企業(yè)總體的風險偏好范圍。因此,應(yīng)從企業(yè)總體的風險組合的觀點看待風險。2.財務(wù)目標的界定內(nèi)部控制框架將企業(yè)的目標分為經(jīng)營、財務(wù)報告和合法性目標。企業(yè)風險管理框架也包含三個類似的目標,但是其中只有兩個目標與內(nèi)部控制框架中的定義相同,財務(wù)報告目標的界定則有所區(qū)別。內(nèi)部控制框架中的財務(wù)報告目標只與公開披露的財務(wù)報表的可靠性相關(guān),而企業(yè)風險管理框架中的報告目標的范圍有很大的擴展,該目標覆蓋了企業(yè)編制的所有報告。此外,企業(yè)風險管理框架比內(nèi)部控制框架增加了一個目標——戰(zhàn)略目標。該目標的層次比其他三個目標更高。企業(yè)的風險管理在應(yīng)用于實現(xiàn)企業(yè)其他三類目標的過程中,也應(yīng)用于企業(yè)的戰(zhàn)略制定階段。3.企業(yè)風險偏好的內(nèi)涵針對企業(yè)目標實現(xiàn)過程中所面臨的風險,風險管理框架對企業(yè)風險管理提出風險偏好和風險容忍度兩個概念。從廣義上看,風險偏好是指企業(yè)在實現(xiàn)其目標的過程中愿意接受的風險的數(shù)量。企業(yè)的風險偏好與企業(yè)的戰(zhàn)略直接相關(guān),企業(yè)在制定戰(zhàn)略時,應(yīng)考慮將該戰(zhàn)略的既定收益與企業(yè)的風險偏好結(jié)合起來,目的是要幫助企業(yè)的管理者在不同戰(zhàn)略間選擇與企業(yè)的風險偏好相一致的戰(zhàn)略。風險偏好的概念是建立在風險容忍度概念基礎(chǔ)上的。風險容忍度是指在企業(yè)目標實現(xiàn)過程中對差異的可接受程度,是企業(yè)在風險偏好的基礎(chǔ)上設(shè)定的對相關(guān)目標實現(xiàn)過程中所出現(xiàn)差異的可容忍限度。在確定各目標的風險容忍度時,企業(yè)應(yīng)考慮相關(guān)目標的重要性,并將其與企業(yè)風險偏好聯(lián)系起來。4.制定“事項識別”和風險反應(yīng)企業(yè)風險管理框架新增了三個風險管理要素——“目標制定”、“事項識別”和“風險反應(yīng)”。此外,針對企業(yè)將管理的重心移至風險管理,風險管理框架更加深入地闡述了其他要素的內(nèi)涵,并擴大了相關(guān)要素的范圍。(1)目標制定與風險控制在風險管理框架中,由于要針對不同的目標分析其相應(yīng)的風險,因此目標的制定自然就成為風險管理流程的首要步驟,并將其確認為風險管理框架的一部分。(2)潛在風險的認定企業(yè)風險管理和內(nèi)部控制框架都承認風險來自于企業(yè)內(nèi)、外部各種因素,而且可能在企業(yè)的各個層面上出現(xiàn),并且應(yīng)根據(jù)對實現(xiàn)企業(yè)目標的潛在影響來確認風險。但是,企業(yè)風險管理框架深入探討了潛在事項的概念,認為潛在事項是指來自于企業(yè)內(nèi)部和外部資源的,可能影響企業(yè)戰(zhàn)略的執(zhí)行和目標實現(xiàn)的一件或者一系列偶發(fā)事項。存在潛在的積極影響的事項代表機遇,而存在潛在負面影響的事項則稱為風險。企業(yè)風險管理框架采用一系列技術(shù)來識別有關(guān)事項并考慮有關(guān)事項的起因,對企業(yè)過去和未來的潛在事項以及事項的發(fā)生趨勢進行計量。(3)險管理方案的影響企業(yè)風險管理框架提出對風險的四種反應(yīng)方案:規(guī)避、減少、共擔和接受風險。作為風險管理的一部分,管理者應(yīng)比較不同方案的潛在影響,并且應(yīng)在企業(yè)風險容忍度范圍內(nèi)的假設(shè)下,考慮風險反應(yīng)方案的選擇。在個別和分組考慮風險的各反應(yīng)方案后,企業(yè)管理者應(yīng)從總體的角度考慮企業(yè)選擇的所有風險反應(yīng)方案組合后對企業(yè)的總體影響。(4)企業(yè)風險管理總體框架內(nèi)部控制框架和風險管理框架都強調(diào)對風險的評估,但風險管理框架建議更加透徹地看待風險管理,即從固有風險和殘存風險的角度來看待風險,對風險影響的分析則采用簡單算術(shù)平均數(shù)、最差的情形下的估計值或者事項的分布等技術(shù)來分析。最好能夠找到與風險相關(guān)的目標一致的計量單位進行計量,將風險與相關(guān)的目標聯(lián)系起來。風險評估的時間基準應(yīng)與企業(yè)的戰(zhàn)略和目標相一致,如果可能,也應(yīng)與可觀測到的數(shù)據(jù)相一致。企業(yè)風險管理框架還要求注意相互關(guān)聯(lián)的風險,確定單一的事項如何為企業(yè)帶來多重的風險。正如前面所說,企業(yè)風險管理需要管理者建立一種企業(yè)總體層面上的風險組合觀。在風險評估方面體現(xiàn)為,對各業(yè)務(wù)單位、職能部門、生產(chǎn)過程或相應(yīng)的其他活動負責的各層管理者對其負責的部門或單位的風險應(yīng)進行復(fù)合式評估,而企業(yè)高層管理者也應(yīng)從企業(yè)總體層面上考慮相互關(guān)聯(lián)的風險和企業(yè)的總風險。(5)收集、捕獲數(shù)據(jù),處理企業(yè)風險管理的過程,企業(yè)風險管理框架擴大了企業(yè)信息和溝通的構(gòu)成內(nèi)容,認為企業(yè)的信息應(yīng)包括來自過去、現(xiàn)在和未來潛在事項的數(shù)據(jù)。企業(yè)的信息系統(tǒng)的基本職能應(yīng)以時間序列的形式收集、捕捉數(shù)據(jù),其收集數(shù)據(jù)的詳細程度則視企業(yè)風險識別、評估和反應(yīng)的需要而定,并保證將風險維持在風險偏好的范圍內(nèi)。總的來講,新的框架強調(diào)在整個企業(yè)范圍內(nèi)識別和管理風險的重要性,強調(diào)企業(yè)的風險管理應(yīng)針對企業(yè)目標的實現(xiàn)在企業(yè)戰(zhàn)略制定階段就予以考慮,而企業(yè)在對其下屬部門進行風險管理時,應(yīng)對風險進行加總,從組織的頂端、以一種全局的風險組合觀來看待風險。此外,根據(jù)風險管理的需要,對企業(yè)目標進行重新的分類,明確戰(zhàn)略目標在風險管理中的地位。二、不確定性規(guī)避COSO發(fā)布企業(yè)風險管理框架的目的與當初發(fā)布內(nèi)部控制框架的目的相似,是由于實務(wù)界存在對統(tǒng)一的概念性指南的需要。COSO希望新框架能夠成為企業(yè)董事會和管理者的一個有用工具,用來衡量企業(yè)的管理團隊處理風險的能力,并希望該框架能夠成為衡量企業(yè)風險管理是否有效的一個標準。對風險的持續(xù)確認,與確定抓住什么機遇一樣,對保護和提高企業(yè)利益相關(guān)者的價值是至關(guān)重要的。不確定性既代表風險,也代表機遇,既存在使企業(yè)增值的可能,也存在使企業(yè)減值的風險。在實現(xiàn)企業(yè)目標的過程中,企業(yè)風險管理框架是一個幫助企業(yè)管理者有效處理不確定性和減少風險進而提高企業(yè)創(chuàng)造價值的能力的框架。1.企業(yè)風險管理是一個過程企業(yè)風險管理是一個由企業(yè)的董事會、管理層和其他員工共同參與的,應(yīng)用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個層次和部門的,用于識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內(nèi)管理風險的,為企業(yè)目標的實現(xiàn)提供合理保證的過程。這是一個廣義的風險管理定義,適用于各種類型的組織、行業(yè)和部門。該定義直接關(guān)注企業(yè)目標的實現(xiàn),并且為衡量企業(yè)風險管理的有效性提供了基礎(chǔ)。該定義強調(diào):(1)企業(yè)的風險管理是一個過程,其本身并不是一個結(jié)果,而是實現(xiàn)結(jié)果的一種方式。企業(yè)的風險管理是滲透于企業(yè)各項活動中的一系列行動。這些行動普遍存在于管理者對企業(yè)的日常管理中,是企業(yè)日常管理所固有的。(2)企業(yè)風險管理是一個由人參與的過程,涉及一個企業(yè)各個層次員工。(3)該過程可用于企業(yè)的戰(zhàn)略制定。企業(yè)的戰(zhàn)略目標是企業(yè)最高層次的目標,它與企業(yè)的預(yù)期和任務(wù)相聯(lián)系并支持預(yù)期和任務(wù)的實現(xiàn)。一個企業(yè)為實現(xiàn)其戰(zhàn)略目標而制定戰(zhàn)略,并將戰(zhàn)略分解成相應(yīng)的子目標,再將子目標層層分解到業(yè)務(wù)部門、行政部門和各生產(chǎn)過程。在制定戰(zhàn)略時,管理者應(yīng)考慮與不同的戰(zhàn)略相關(guān)聯(lián)的風險。(4)該風險管理過程應(yīng)應(yīng)用于企業(yè)內(nèi)部每個層次和部門,企業(yè)管理者對企業(yè)所面臨的風險應(yīng)有一個總體層面上的風險組合觀。一個企業(yè)必須從全局、從總體層面上考慮企業(yè)的各項活動。企業(yè)的風險管理應(yīng)考慮組織內(nèi)所有層面的活動,從企業(yè)總體的活動(如戰(zhàn)略計劃和資源分配)到業(yè)務(wù)部門的活動(如市場部、人力資源部),再到業(yè)務(wù)流程(如生產(chǎn)過程和新客戶信用復(fù)核)。(5)該過程是用來識別可能對企業(yè)造成潛在影響的事項并在企業(yè)風險偏好的范圍內(nèi)管理風險。(6)設(shè)計合理、運行有效的風險管理能夠向企業(yè)的管理者和董事會在企業(yè)各目標的實現(xiàn)上提供合理的保證。(7)企業(yè)風險管理框架針對一類或幾類相互獨立但又存在重疊的目標,目的在于企業(yè)目標的實現(xiàn)。總之,企業(yè)風險管理是一個過程,企業(yè)風險管理的有效性是某一時點的一個狀態(tài)或條件。決定一個企業(yè)的風險管理是否有效是基于對風險管理要素設(shè)計和執(zhí)行是否正確的評估基礎(chǔ)上的一個主觀判斷。企業(yè)的風險管理要有效,則其設(shè)計必須包括所有的要素并得到執(zhí)行。企業(yè)風險管理可以從一個企業(yè)的總體來認識,也可以從一個單獨的部門或多個部門的角度來認識。即使是站在某一特定的業(yè)務(wù)部門的角度來看待風險管理,所有的要素也都應(yīng)作為基準包含在內(nèi)。2.各要素的相互關(guān)聯(lián)企業(yè)風險管理分為內(nèi)部環(huán)境、目標制定、事項識別、風險評估、風險反應(yīng)、控制活動、信息和溝通、監(jiān)控等八個相互關(guān)聯(lián)的要素,各要素貫穿在企業(yè)的管理過程之中。其內(nèi)容可以用圖1表示,該圖也表示企業(yè)風險管理的業(yè)務(wù)流程。(1)企業(yè)風險控制的影響企業(yè)的內(nèi)部環(huán)境是其他所有風險管理要素的基礎(chǔ),為其他要素提供規(guī)則和結(jié)構(gòu)。企業(yè)的內(nèi)部環(huán)境不僅影響企業(yè)戰(zhàn)略和目標的制定、業(yè)務(wù)活動的組織和對風險的識別、評估和反應(yīng),還影響企業(yè)控制活動、信息和溝通系統(tǒng)以及監(jiān)控活動的設(shè)計和執(zhí)行。董事會是內(nèi)部環(huán)境的重要組成部分,對其他內(nèi)部環(huán)境要素有重要的影響。企業(yè)的管理者也是內(nèi)部環(huán)境的一部分,其職責是建立企業(yè)風險管理理念,確定企業(yè)的風險偏好,營造企業(yè)的風險文化,并將企業(yè)的風險管理和相關(guān)的初步行動結(jié)合起來。(2)其他相關(guān)目標根據(jù)企業(yè)確定的任務(wù)或預(yù)期,管理者制定企業(yè)的戰(zhàn)略目標,選擇戰(zhàn)略并確定其他與之相關(guān)的目標并在企業(yè)內(nèi)層層分解和落實。其中,其他相關(guān)目標是指除戰(zhàn)略目標之外的其他三個目標,其制定應(yīng)與企業(yè)的戰(zhàn)略相聯(lián)系。管理者必須首先確定企業(yè)的目標,才能夠確定對目標的實現(xiàn)有潛在影響的事項。而企業(yè)風險管理就是提供給企業(yè)管理者一個適當?shù)倪^程,既能夠幫助制定企業(yè)的目標,又能夠?qū)⒛繕伺c企業(yè)的任務(wù)或預(yù)期聯(lián)系在一起,并且保證制定的目標與企業(yè)的風險偏好相一致。(3)負面影響的事項不確定性的存在,使得企業(yè)的管理者需要對這些事項進行識別。而潛在事項對企業(yè)可能有正面的影響、負面的影響或者兩者同時存在。有負面影響的事項是企業(yè)的風險,要求企業(yè)的管理者對其進行評估和反應(yīng)。因此,風險是指某一對企業(yè)目標的實現(xiàn)可能造成負面影響的事項發(fā)生的可能性。對企業(yè)有正面影響的事項,或者是企業(yè)的機遇,或者是可以抵消風險對企業(yè)的負面影響的事項。機遇可以在企業(yè)戰(zhàn)略或目標制定的過程中加以考慮,以確定有關(guān)行動抓住機遇。可能潛在地抵消風險的負面影響的事項則應(yīng)在風險的評估和反應(yīng)階段予以考慮。(4)風險發(fā)生的可能性和影響風險評估可以使管理者了解潛在事項如何影響企業(yè)目標的實現(xiàn)。管理者應(yīng)從兩個方面對風險進行評估——風險發(fā)生的可能性和影響。風險發(fā)生的可能性是指某一特定事項發(fā)生的可能性,影響則是指事項的發(fā)生將會帶來的影響。對于風險的評估應(yīng)從企業(yè)戰(zhàn)略和目標的角度進行。首先,應(yīng)對企業(yè)的固有風險進行評估。確定對固有風險的風險反應(yīng)模式就能夠確定對固有風險的管理措施。其次,管理者應(yīng)在對固有風險采取有關(guān)管理措施的基礎(chǔ)上,對企業(yè)的殘存風險進行評估。(5)擔風險和接受風險的風險風險反應(yīng)可以分為規(guī)避風險、減少風險、共擔風險和接受風險四類。規(guī)避風險是指采取措施退出會給企業(yè)帶來風險的活動。減少風險是指減少風險發(fā)生的可能性、減少風險的影響或兩者同時減少。共擔風險是指通過轉(zhuǎn)嫁風險或與他人共擔風險,降低風險發(fā)生的可能性或降低風險對企業(yè)的影響。接受風險則是不采取任何行動而接受可能發(fā)生的風險及其影響。對于每一個重要的風險,企業(yè)都應(yīng)考慮所有的風險反應(yīng)方案。有效的風險管理要求管理者選擇可以使企業(yè)風險發(fā)生的可能性和影響都落在風險容忍度之內(nèi)的風險反應(yīng)方案。選定某一風險反應(yīng)方案后,管理者應(yīng)在殘存風險的基礎(chǔ)上重新評估風險,即從企業(yè)總體的角度、或者組合風險的角度重新計量風險。各行政部門、職能部門或者業(yè)務(wù)部門的管理者應(yīng)采取一定的措施對該部門的風險進行復(fù)合式評估并選擇相應(yīng)的風險反應(yīng)方案。(6)相關(guān)政策和程序控制活動是幫助保證風險反應(yīng)方案得到正確執(zhí)行的相關(guān)政策和程序?？刂苹顒哟嬖谟谄髽I(yè)的各部分、各個層面和各個部門,通常包括兩個要素:確定應(yīng)該做什么的政策和影響該政策的一系列程序。(7)有效的溝通來自于企業(yè)內(nèi)部和外部的相關(guān)信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞,以保證企業(yè)的員工能夠執(zhí)行各自的職責。有效的溝通也是廣義上的溝通,包括企業(yè)內(nèi)自上而下、自下而上以及橫向的溝通。有效的溝通還包括將相關(guān)的信息與企業(yè)外部相關(guān)方的有效溝通和交換,如客戶、供應(yīng)商、行政管理部門和股東等。(8)持續(xù)監(jiān)控和個別評估對企業(yè)風險管理的監(jiān)控是指評估風險管理要素的內(nèi)容和運行以及一段時期的執(zhí)行質(zhì)量的一個過程。企業(yè)可以通過兩種方式對風險管理進行監(jiān)控——持續(xù)監(jiān)控和個別評估。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風險管理在企業(yè)內(nèi)各管理層面和各部門持續(xù)得到執(zhí)行。監(jiān)控還包括對企業(yè)風險管理的記錄。對企業(yè)風險管理進行記錄的程度根據(jù)企業(yè)的規(guī)模、經(jīng)營的復(fù)雜性和其他因素的影響而有所不同。適當?shù)挠涗浲ǔ癸L險管理的監(jiān)控更為有效果和有效率。當企業(yè)管理者打算向外部相關(guān)方提供關(guān)于企業(yè)風險管理效率的報告時,他們應(yīng)考慮為企業(yè)風險管理設(shè)計一套記錄模式并保持有關(guān)的記錄。3.企業(yè)內(nèi)部環(huán)境和目標之間的關(guān)系企業(yè)的風險管理框架包括四類目標和八要素。四類目標分別是戰(zhàn)略目標、經(jīng)營目標、報告目標和合法性目標,八要素是內(nèi)部環(huán)境、目標制定、事項識別、風險評估、風險反應(yīng)、控制活動、信息和溝通、監(jiān)控,是企業(yè)實現(xiàn)各類目標的保證,它們相互之間存在直接的關(guān)系。而且,新的風險管理框架還強調(diào)在整個企業(yè)范圍內(nèi)實行風險管理。4.所有管理團隊在管理公司風險時的地位和職責(1)企業(yè)內(nèi)部風險管理董事會對企業(yè)的風險管理負有監(jiān)督職責,主要通過以下方式實現(xiàn)其職責:——了解管理者在企業(yè)內(nèi)部建立有效的風險管理的程度;——獲知并認可企業(yè)的風險偏好;——復(fù)核企業(yè)的風險組合觀并與企業(yè)的風險偏好相比較;——評估企業(yè)最重要的風險并評估管理者的風險反應(yīng)是否適當。(2)管理