《企業(yè)風險管理——整合框架》是在1992年的《內(nèi)部控制——整合框架》基礎上發(fā)布的,是國際多個組織共同協(xié)作完成的,該框架整合了各種內(nèi)部控制的概念和定義,當之無愧地成為內(nèi)部控制領域最為權威的文獻之一,對于企業(yè)的風險管理實踐具有重要的意義。
一、企業(yè)風險管理的定位
以美國安然、世通等為代表的一系列財務失敗事件的發(fā)生,使人們越來越清楚地認識到風險管理的重要性,經(jīng)濟社會需要一個有效框架來幫助管理人員識別、評估和控制風險。《企業(yè)風險管理——整合框架》不僅提供了關鍵原則,還拓展了內(nèi)部控制框架,關注于企業(yè)風險管理這一更加寬泛的領域。
企業(yè)風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用于戰(zhàn)略制定并貫穿于企業(yè)之中,旨在識別可能會影響主體的潛在事項,管理風險以使其限制在該主體的風險容量之內(nèi),并為主體目標的實現(xiàn)提供合理保證。
COSO在對《企業(yè)風險管理》的界定中重點強調(diào)了7個屬性和理念:(1)企業(yè)風險管理是一個過程,它持續(xù)流動于企業(yè)內(nèi)部;(2)企業(yè)風險管理是由組織中各個層級的人員來實施的;(3)企業(yè)風險管理應用于戰(zhàn)略制定的過程中;(4)企業(yè)風險管理貫穿企業(yè)整體,在各個層級和單元應用,還包括采取企業(yè)整體層級的風險組合觀;(5)企業(yè)風險管理旨在識別那些一旦發(fā)生將會影響企業(yè)的潛在事項,并把風險控制在風險容量以內(nèi);(6)企業(yè)風險管理能夠向一個企業(yè)的管理當局和董事會提供合理保證;(7)企業(yè)風險管理力求實現(xiàn)一個或多個不同類型但相互交叉的目標。
COSO認為,企業(yè)風險管理應發(fā)揮以下作用:(1)協(xié)調(diào)風險容量(Risk Appetite)與戰(zhàn)略,管理層在評價戰(zhàn)略方案、設定相關目標和建立相關風險管理機制的過程中,需要考慮所在主體的風險容量;(2)增進風險應對決策,企業(yè)風險管理應能提高企業(yè)選擇風險應對策略的準確性;(3)抑減經(jīng)營意外和損失,主體識別潛在事項和實施應對的能力得以增強,抑減了意外情況以及伴隨而來的成本或損失;(4)識別和管理貫穿于企業(yè)的多重風險,每家企業(yè)都面臨影響自身不同組成部分的一系列風險,企業(yè)風險管理有助于有效地應對交互影響,以及整合式地應對多重風險;(5)抓住機會,通過全面考慮潛在事項,促使管理當局識別并積極地把握機會;(6)改善資本配置,獲取強有力的風險信息,以使管理當局能夠有效地評估總體資本需求,并改進資本配置。
二、企業(yè)風險管理的目標體系
框架提出了四類目標:(1)戰(zhàn)略(Strategic)目標,即高層次目標,與使命相協(xié)調(diào)并支持使命;(2)經(jīng)營(Operations)目標,即有效性和效率;(3)報告(Reporting)目標,即報告的可靠性;(4)合規(guī)(Compliance)目標,即符合適用的法律和法規(guī)。
對于目標的實現(xiàn),企業(yè)風險管理與內(nèi)部控制一樣,只能提供合理的保證,而且,對于不同的目標所提供合理保證的內(nèi)容也不盡相同。對于報告目標和合規(guī)目標而言,因為有關報告的可靠性和符合法律、法規(guī)的目標在主體的控制范圍之內(nèi),所以可以期望企業(yè)風險管理為實現(xiàn)這些目標提供合理保證。但是,對于戰(zhàn)略目標和經(jīng)營目標而言,由于這些目標的實現(xiàn)還取決于一些不在主體控制范圍之內(nèi)的外部事項,所以,企業(yè)風險管理可以提供合理保證的是對目標的實現(xiàn)過程進行有效的信息溝通,即管理當局以及承擔監(jiān)督職能的董事會能夠及時地了解企業(yè)目標實現(xiàn)的進展情況。
三、企業(yè)風險管理——整合框架的構(gòu)成
企業(yè)風險管理包括八個相互關聯(lián)的構(gòu)成要素,它們源自管理當局的經(jīng)營方式,并與管理過程整合在一起。
1.內(nèi)部環(huán)境。管理當局確立關于風險的理念并確定風險容量,所有企業(yè)的核心都是人(他們的個人品性,包括誠信、道德價值觀和勝任能力)以及經(jīng)營所處的環(huán)境,內(nèi)部環(huán)境為主體中的人們?nèi)绾慰创L險和著手控制風險確立了基礎。
2.目標設定。必須先有目標,管理當局才能識別影響目標實現(xiàn)的潛在事項。企業(yè)風險管理確保管理當局采取恰當?shù)某绦蛉ピO定目標,并保證選定的目標支持主體的使命并與其相銜接,以及與它的風險容量相適應。
3.事項識別。必須識別可能對主體產(chǎn)生影響的潛在事項。它包括表示風險的事項和表示機會的事項,以及二者兼有的事項。
4.風險評估。要對識別的風險進行分析,以便確定管理的依據(jù),風險有可能與被影響的目標相關聯(lián)。既要對固有風險進行評估,也要對剩余風險進行評估,評估要考慮到風險的可能性和影響。
5.風險應對。員工識別和評價可能的風險應對措施,包括回避、承擔、降低和分擔風險。管理當局選擇一系列措施使風險與主體的風險容限和風險容量相適應。
6.控制活動。制定和實施政策與程序,以確保管理當局所選擇的風險應對策略得以有效實施。
7.信息與溝通。主體的各個層級都需要借助信息來識別、評估和應對風險。廣泛意義的有效溝通包括信息在主體中向下、平行和向上流動。
8.監(jiān)控。整個企業(yè)風險管理處于監(jiān)控之下,必要時還會進行修正。這種方式能夠動態(tài)地反映風險管理狀況,并使之根據(jù)條件的要求而變化。監(jiān)控通過持續(xù)的管理活動、對企業(yè)風險管理的單獨評價或者兩者的結(jié)合來完成。
四、企業(yè)風險管理的職能與責任
《企業(yè)風險管理——整合框架》再一次強調(diào)了系統(tǒng)的概念,即在實施企業(yè)整體風險管理過程中,主體中的每個人都對企業(yè)風險管理負有責任:首席執(zhí)行官(CEO)負有首要責任,并且應當成為主人:其他管理人員支持主體的風險管理理念,并在各自的責任范圍內(nèi)依據(jù)風險容限去管理風險;風險官、財務官、內(nèi)部審計師等通常負有關鍵的支持責任;主體中的其他人員負責按照既定的指引和條例去實施企業(yè)風險管理;董事會對企業(yè)風險管理進行監(jiān)督,并察覺和認同主體的風險容量。但是,對于企業(yè)外部組織,如顧客、商業(yè)伙伴、外部審計師、監(jiān)管者和財務分析師等,常常提供影響企業(yè)風險管理的有用信息,但不對主體的企業(yè)風險管理的有效性承擔任何責任。
COSO的《企業(yè)風險管理——整合框架》可以為不同的利益相關者提供有效的借鑒和指導。董事會應當確信知悉最重大的風險,以及管理當局正在采取的行動和如何確保有效的企業(yè)風險管理。董事會應當考慮尋求內(nèi)部審計師、外部審計師和其他方面的參與。對企業(yè)的高層管理當局來說,首席執(zhí)行官應把業(yè)務單元(Business Unit)領導和關鍵職能部門人員召集到一起,評估企業(yè)風險管理能力和有效性。對企業(yè)中的其他參與者而言,應該考慮如何履行各自的職責,并與更高層的人員討論有關加強企業(yè)風險管理的看法。內(nèi)部審計師應該考慮他們關注企業(yè)風險管理的范圍。對監(jiān)管者來說,整合框架可以增進有關企業(yè)風險管理的共識,為監(jiān)管者在對他們所監(jiān)管的主體采用規(guī)則或指南等形式設定期望或進行檢查時提供參考。對于為財務管理、審計和相關領域提供指南的規(guī)則制定機構(gòu)和其他專業(yè)組織來說,可以根據(jù)《企業(yè)風險管理——整合框架》消除認識方面的差異,達成共識。
五、企業(yè)開展內(nèi)控與風險管理工作的關鍵
1.要建立健全風險管理制度規(guī)范。《企業(yè)風險管理——整合框架》為企業(yè)提供了有效識別、評估和控制風險的框架,財政部及相關部委制定頒發(fā)了《企業(yè)內(nèi)部控制基本規(guī)范》及配套指引,為企業(yè)建立內(nèi)控及風險管理制度提供了最佳范本。首先,企業(yè)應根據(jù)所在的行業(yè)和地區(qū),開展風險識別和評估,識別每類風險對公司可能產(chǎn)生的影響程度,根據(jù)企業(yè)的特點細化風險分類,形成自身的風險分類體系或風險管理輪廓;其次,企業(yè)應根據(jù)戰(zhàn)略發(fā)展目標明確風險管理的目標,從而研究確定企業(yè)的風險偏好及容忍度;最為重要的,就是企業(yè)必須明確風險管理的職責和架構(gòu),將經(jīng)識別的主要風險對應職責歸屬,進一步確定計量和管理的方法,提出具體的風險應對措施,落實到企業(yè)的各項管理流程當中。
2.要在企業(yè)內(nèi)部培育風險管理氛圍。企業(yè)的風險管理也是一個全員的管理過程,涉及企業(yè)各個流程環(huán)節(jié)。要培育企業(yè)的風險管控文化,將企業(yè)對風險管理的理念在各級管理人員中普及,促進員工對企業(yè)風險管理的認知、認同和責任感,要加強對風險管理崗位的培訓,規(guī)范作業(yè)流程,把握風險要點,使得對風險的防范意識成為每位員工的職業(yè)素質(zhì)之一。
3.要切實執(zhí)行風險管理規(guī)范。風險管理制度是企業(yè)管理者對風險管理的認識和應對,而制度能否有效執(zhí)行,決定了企業(yè)風險管理有效與否。企業(yè)應當強化對制度、流程的執(zhí)行力度,建立相應的獎懲措施,確保風險管理的各項措施能夠不折不扣地得到執(zhí)行。企業(yè)的風險管理部門還應當定期組織對風險管理執(zhí)行情況進行全面評估,并據(jù)此重新評估風險因素,提高對風險變化的敏感性。
4.要開展風險管理檢查。風險管理執(zhí)行是否有效,要通過檢查來檢驗。對于企業(yè)的眾多風險,唯有把握關鍵流程和崗位的管控,才能以較低的成本將已知風險控制在可容忍的范圍之內(nèi)。企業(yè)應開展對關鍵流程和崗位的檢查,通報檢查意見和風險點,對于檢查發(fā)現(xiàn)的問題和隱患,要追究崗位責任。企業(yè)還可借助風險管理系統(tǒng)對關鍵風險進行動態(tài)監(jiān)控,設定日常檢查監(jiān)控指標,建立對關鍵風險的預警機制。
