《企业风险管理——整合框架》是在1992年的《内部控制——整合框架》基础上发布的,是国际多个组织共同协作完成的,该框架整合了各种内部控制的概念和定义,当之无愧地成为内部控制领域最为权威的文献之一,对于企业的风险管理实践具有重要的意义。
一、企业风险管理的定位
以美国安然、世通等为代表的一系列财务失败事件的发生,使人们越来越清楚地认识到风险管理的重要性,经济社会需要一个有效框架来帮助管理人员识别、评估和控制风险。《企业风险管理——整合框架》不仅提供了关键原则,还拓展了内部控制框架,关注于企业风险管理这一更加宽泛的领域。
企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其限制在该主体的风险容量之内,并为主体目标的实现提供合理保证。
COSO在对《企业风险管理》的界定中重点强调了7个属性和理念:(1)企业风险管理是一个过程,它持续流动于企业内部;(2)企业风险管理是由组织中各个层级的人员来实施的;(3)企业风险管理应用于战略制定的过程中;(4)企业风险管理贯穿企业整体,在各个层级和单元应用,还包括采取企业整体层级的风险组合观;(5)企业风险管理旨在识别那些一旦发生将会影响企业的潜在事项,并把风险控制在风险容量以内;(6)企业风险管理能够向一个企业的管理当局和董事会提供合理保证;(7)企业风险管理力求实现一个或多个不同类型但相互交叉的目标。
COSO认为,企业风险管理应发挥以下作用:(1)协调风险容量(Risk Appetite)与战略,管理层在评价战略方案、设定相关目标和建立相关风险管理机制的过程中,需要考虑所在主体的风险容量;(2)增进风险应对决策,企业风险管理应能提高企业选择风险应对策略的准确性;(3)抑减经营意外和损失,主体识别潜在事项和实施应对的能力得以增强,抑减了意外情况以及伴随而来的成本或损失;(4)识别和管理贯穿于企业的多重风险,每家企业都面临影响自身不同组成部分的一系列风险,企业风险管理有助于有效地应对交互影响,以及整合式地应对多重风险;(5)抓住机会,通过全面考虑潜在事项,促使管理当局识别并积极地把握机会;(6)改善资本配置,获取强有力的风险信息,以使管理当局能够有效地评估总体资本需求,并改进资本配置。
二、企业风险管理的目标体系
框架提出了四类目标:(1)战略(Strategic)目标,即高层次目标,与使命相协调并支持使命;(2)经营(Operations)目标,即有效性和效率;(3)报告(Reporting)目标,即报告的可靠性;(4)合规(Compliance)目标,即符合适用的法律和法规。
对于目标的实现,企业风险管理与内部控制一样,只能提供合理的保证,而且,对于不同的目标所提供合理保证的内容也不尽相同。对于报告目标和合规目标而言,因为有关报告的可靠性和符合法律、法规的目标在主体的控制范围之内,所以可以期望企业风险管理为实现这些目标提供合理保证。但是,对于战略目标和经营目标而言,由于这些目标的实现还取决于一些不在主体控制范围之内的外部事项,所以,企业风险管理可以提供合理保证的是对目标的实现过程进行有效的信息沟通,即管理当局以及承担监督职能的董事会能够及时地了解企业目标实现的进展情况。
三、企业风险管理——整合框架的构成
企业风险管理包括八个相互关联的构成要素,它们源自管理当局的经营方式,并与管理过程整合在一起。
1.内部环境。管理当局确立关于风险的理念并确定风险容量,所有企业的核心都是人(他们的个人品性,包括诚信、道德价值观和胜任能力)以及经营所处的环境,内部环境为主体中的人们如何看待风险和着手控制风险确立了基础。
2.目标设定。必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标,并保证选定的目标支持主体的使命并与其相衔接,以及与它的风险容量相适应。
3.事项识别。必须识别可能对主体产生影响的潜在事项。它包括表示风险的事项和表示机会的事项,以及二者兼有的事项。
4.风险评估。要对识别的风险进行分析,以便确定管理的依据,风险有可能与被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。
5.风险应对。员工识别和评价可能的风险应对措施,包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相适应。
6.控制活动。制定和实施政策与程序,以确保管理当局所选择的风险应对策略得以有效实施。
7.信息与沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。广泛意义的有效沟通包括信息在主体中向下、平行和向上流动。
8.监控。整个企业风险管理处于监控之下,必要时还会进行修正。这种方式能够动态地反映风险管理状况,并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。
四、企业风险管理的职能与责任
《企业风险管理——整合框架》再一次强调了系统的概念,即在实施企业整体风险管理过程中,主体中的每个人都对企业风险管理负有责任:首席执行官(CEO)负有首要责任,并且应当成为主人:其他管理人员支持主体的风险管理理念,并在各自的责任范围内依据风险容限去管理风险;风险官、财务官、内部审计师等通常负有关键的支持责任;主体中的其他人员负责按照既定的指引和条例去实施企业风险管理;董事会对企业风险管理进行监督,并察觉和认同主体的风险容量。但是,对于企业外部组织,如顾客、商业伙伴、外部审计师、监管者和财务分析师等,常常提供影响企业风险管理的有用信息,但不对主体的企业风险管理的有效性承担任何责任。
COSO的《企业风险管理——整合框架》可以为不同的利益相关者提供有效的借鉴和指导。董事会应当确信知悉最重大的风险,以及管理当局正在采取的行动和如何确保有效的企业风险管理。董事会应当考虑寻求内部审计师、外部审计师和其他方面的参与。对企业的高层管理当局来说,首席执行官应把业务单元(Business Unit)领导和关键职能部门人员召集到一起,评估企业风险管理能力和有效性。对企业中的其他参与者而言,应该考虑如何履行各自的职责,并与更高层的人员讨论有关加强企业风险管理的看法。内部审计师应该考虑他们关注企业风险管理的范围。对监管者来说,整合框架可以增进有关企业风险管理的共识,为监管者在对他们所监管的主体采用规则或指南等形式设定期望或进行检查时提供参考。对于为财务管理、审计和相关领域提供指南的规则制定机构和其他专业组织来说,可以根据《企业风险管理——整合框架》消除认识方面的差异,达成共识。
五、企业开展内控与风险管理工作的关键
1.要建立健全风险管理制度规范。《企业风险管理——整合框架》为企业提供了有效识别、评估和控制风险的框架,财政部及相关部委制定颁发了《企业内部控制基本规范》及配套指引,为企业建立内控及风险管理制度提供了最佳范本。首先,企业应根据所在的行业和地区,开展风险识别和评估,识别每类风险对公司可能产生的影响程度,根据企业的特点细化风险分类,形成自身的风险分类体系或风险管理轮廓;其次,企业应根据战略发展目标明确风险管理的目标,从而研究确定企业的风险偏好及容忍度;最为重要的,就是企业必须明确风险管理的职责和架构,将经识别的主要风险对应职责归属,进一步确定计量和管理的方法,提出具体的风险应对措施,落实到企业的各项管理流程当中。
2.要在企业内部培育风险管理氛围。企业的风险管理也是一个全员的管理过程,涉及企业各个流程环节。要培育企业的风险管控文化,将企业对风险管理的理念在各级管理人员中普及,促进员工对企业风险管理的认知、认同和责任感,要加强对风险管理岗位的培训,规范作业流程,把握风险要点,使得对风险的防范意识成为每位员工的职业素质之一。
3.要切实执行风险管理规范。风险管理制度是企业管理者对风险管理的认识和应对,而制度能否有效执行,决定了企业风险管理有效与否。企业应当强化对制度、流程的执行力度,建立相应的奖惩措施,确保风险管理的各项措施能够不折不扣地得到执行。企业的风险管理部门还应当定期组织对风险管理执行情况进行全面评估,并据此重新评估风险因素,提高对风险变化的敏感性。
4.要开展风险管理检查。风险管理执行是否有效,要通过检查来检验。对于企业的众多风险,唯有把握关键流程和岗位的管控,才能以较低的成本将已知风险控制在可容忍的范围之内。企业应开展对关键流程和岗位的检查,通报检查意见和风险点,对于检查发现的问题和隐患,要追究岗位责任。企业还可借助风险管理系统对关键风险进行动态监控,设定日常检查监控指标,建立对关键风险的预警机制。