企业风险管理-整合框架
企业风险管理-整合框架
发布时间:2004-10-18 10:31:56 阅读次数:597 评分(0票,平均0.00分) 来源:中国会计视野 作者:李剑 编辑:janny
每个组织的存在都是为了向其利益相关人提供价值,这是企业风险管理的前提假设。所有组织都面临不确定性,管理层的挑战就在于努力增加利益相关人价值的同时要确定应该承受多大的不确定性。不确定性既意味着风险,也意味着机会,也就是说,不确定性既可能破坏价值,也可能增加价值。企业风险管理可以帮助管理层有效应对不确定性并处理与之相随的风险和机会,增强其创造价值的能力。 管理层通过设定战略和目标,力图在增长、收益目标和相关风险之间取得最佳平衡,并有效且高效率地配置资源,实现组织目标,这时组织价值达到最大化。企业风险管理包括:
协调风险胃纳和战略 管理层评估不同战略方案,设定目标,和建立风险管理机制的时候,都得考虑组织的风险胃纳。
增强风险应对决策 企业风险管理为识别和选择风险应对方式提供了严谨的参考依据,包括风险的规避、降低、分担和承受。
减少营运意外,降低损失 由于增强了识别潜在事件的能力并采取相应对策,组织减少意外事件发生频率,降低其带来的成本和损失。
识别和管理多层次和跨企业部门的风险 企业面临着一系列影响到组织不同部门的风险,企业风险管理有利于对风险交叉影响做出有效反应,并能为各种风险提供统一的反应对策。
抓住机会 由于考虑了大范围的潜在事件,管理层更能识别并积极把握机会。
改善资本配置 由于事先获得了详细可靠的风险信息,因此,管理层可以有效评估整体资本需求,改善资本分配。
企业风险管理潜在的这些能力有助于管理层实现组织的绩效目标和盈利目标,防止资源损失;有助于保证有效的信息报告及更好地遵循法律法规,从而避免组织声誉受损及其他相关后果。总之,企业风险管理在帮助组织到达目的地的同时,又避开沿途的陷阱和意外。
事件-风险和机会
事件既可能带来消极后果,也可能带来积极后果,或者二者皆有。消极后果的事件意味着风险,它会阻碍价值创造或破坏现有价值。积极后果的事件会抵消消极影响,或者带来机会。所谓机会,就是事件的发生能促进目标的实现,能支持价值创造或保存。管理层在制定战略或设定目标的过程中要考虑潜在的机会,通过制定计划抓住这些机会。
企业风险管理的定义
企业风险管理涉及影响企业保值增值的风险和机会。定义如下:
“企业风险管理是一个过程,这个过程受组织的董事会、管理层和其他人员影响,应用于战略制定并贯穿在整个企业之中。企业风险管理旨在识别影响组织的潜在事件,并在其能承受的范围内管理风险,从而为组织目标的实现提供合理的保证。”
这个定义考虑了一些基本概念。企业风险管理是:
一个过程,持续运动于组织之内
受组织内各个层次的人员影响
应用于战略制定
贯穿于企业的各个层面、各个单位,包括从组织层面用组合的观点来看风险
旨在识别影响组织的潜在事件,并把风险管理在其风险胃口之内
可以为组织的管理层和董事会提供合理的保证
帮助企业实现一类或多类不同但互相重叠的目标
这个定义下得比较宽泛,抓住了公司和其他组织管理风险的几个关键概念,从而使其可以运用于不同组织、不同行业和不同领域。定义的重心直接落在特定组织目标的实现上,这样为评价企业风险管理的有效性打下基础。
目标的实现
组织先制定使命或愿景,在此背景下,管理层制定战略目标,选择战略,并把目标由上至下逐层分解。企业风险管理框架就是为实现组织目标服务,目标分成四类:
战略目标-高层次目标,和组织使命方向一致,并支持使命
运营目标-有效且高效地使用资源
报告目标-报告的可靠性
合规目标-遵循适用的法律法规
这种分类可以把重心放在企业风险管理的不同侧面。不同但又互相交叉的分类(某个特定的目标可能归入不止一个类别)展现了组织的不同需要,而且可能是不同领导的直接责任。这种分类还可以分清对不同类别目标的不同期望。有些组织的另外一种目标-保证资源的安全性,也包含在上述目标之内。
报告目标和合规目标在组织的控制范围内,因此能够期望企业风险管理能为这些目标的实现提供合理的保证,而战略目标和运营目标的实现受外部事件影响,并不总在企业的控制之内,因此,企业风险管理只能对如下提供合理保证:管理层和负责监督的董事会能及时了解组织在朝目标实现的方向进展到了什么地步。
企业风险管理的组成要素
企业风险管理包括八个互相关联的要素,这几个要素来自管理层经营企业的方式,并和管理流程整合在一起。要素如下:
内部环境- 内部环境包含组织基调,是组织内人员如何看待风险、对待风险的基础,包括风险管理理念、风险承受能力、正直和道德价值观及工作环境。
目标制定- 只有先制定目标,管理层才能识别影响目标实现的事件。企业风险管理确保管理层参与目标制定流程,确保所选择的目标不仅和组织使命方向一致,支持组织的使命,而且与其风险承
受能力相符。
事件识别- 必须识别影响组织目标实现的内外事件,分清风险和机会。管理层制定战略或目标时应考虑到机会。
风险评估-分析风险,考虑其可能性和影响,在此基础上决定应如何管理风险。风险评估从固有风险和剩余风险两个角度展开。
风险应对-管理层选择风险应对方式——规避、接受、降低或分担——制定一套措施把风险控制在组织的风险容忍度和风险承受能力之内。
控制措施-制定政策和程序并加以执行,帮助确保风险应对政策有效落实。
信息和沟通-识别、采集和沟通相关信息,所采取的形式和时间安排要有助于员工履行各自职责。有效沟通的外延比较广,包括组织内信息的上传、下达和平行流动。
监督-监督整个企业风险管理过程,必要的时候要进行修正。监督既可以是持续的管理措施,也可以是分开的评价,或者结合两者。
企业风险管理不是严格的顺序流程,不是得按顺序一步一步来,而是多方向的、不断重复的流程,要素之间相互影响、交互作用。
目标和要素的关系
目标是组织努力实现的对象,要素是实现目标的必备要件,目标和要素存在直接的联系。这种关系可以用个三维矩阵以立方体的形式来表示。
四个目标类别(战略/运营/报告/合规)纵栏表示,八个要素横栏表示,组织内的单位用第三维表示。这种图示方式既可以全面显示企业风险管理,也可以按目标、要素、组织单位或任何子项分开显示。
有效性
确定组织的企业风险管理是否有效,主要判断八要素是否存在,是否有效运作,因此,
要素也是企业风险管理有效性的标准。如果要素齐全且正常运转,就不会有什么大的缺陷,也不会有什么风险超出组织的风险胃纳之外。
如果确定组织的企业风险管理各个目标都各自有效,董事会和管理层就可以获得合理保证:他们了解组织的战略和营运目标的实现程度,组织的报告可靠,遵循合适的法律法规。 不是所有组织内八要素都一样运作。比如说,中、小型组织内这些要素就不会那么正式,没有那么结构化。但是,只要各个要素都存在且有效运作,小型组织仍然会有有效的企业风险管理。
局限
虽然企业风险管理能带来不少重要好处,但局限依然存在。除了上面提及的因素以外,还有一些情况会限制企业风险管理发挥其功用,如决策时人的判断可能出错,风险反应决策或制定控制措施时要考虑成本效益,有时人的简单差错过失也会导致企业风险管理失效,或者两个或两个以上人员合谋,管理层僭越企业风险管理决策等。由于局限因素的存在,董事会和管理层无法就组织目标实现获得绝对保证。
包含内部控制
内部控制是企业风险管理的有机组成部分。企业风险管理包含内控,但无论在理论上还是在实践上,企业风险管理都比内控更有力。<内控-整合框架>给内控下了定义,并作了具体说明。由于内控整合框架经历了时间的检验,并且是许多现行规则、法律、法规的基础,它作为内控定义和框架都有其存在的意义。虽然只有部分的<内控-整合框架>字句出现在这个框架中,内控框架整体上纳入本框架的参考文献。
角色和责任
组织里的每个人对企业风险管理都有责任。CEO负最终的责任并且承担所有者的责任。
其他管理人员支持企业风险管理的理念,促使与风险承受能力的协调,并在各自负责的领域把风险控制在相应的风险容忍度内。风险主管、财务主管和内部审计等人员通常承担关键的支持性责任。其他人负责按照制定的指令和协议执行企业风险管理。董事会对企业风险管理进行监督,要知道并同意组织的风险承受能力。至于组织的外部团体,如顾客、供应商、商业伙伴、外部审计、监管者、财务分析师,经常能提供一些有用的信息影响到企业风险管理,但他们不对组织企业风险管理的有效性负责,而且他们也不是企业风险管理的一部分。 本报告的组织结构
本报告共分两卷,首卷包含“框架”和这篇“内容提要”。“框架”定义企业风险管理,阐述相关原则和概念,为企业和其他类型组织的各层管理人员在评价和加强企业风险管理上提供指导。“内容提要”主要供CEO、其他高层主管、董事会、监管人员作高层概览。第二卷是“应用技术”,为运用这个框架提供实用的技术指南。
如何使用
这份报告建议采取的行动取决于参与方的职位和角色。
董事会-董事会应该和高管层讨论组织内企业风险管理的现状,并按要求进行监督。董事会应该确保获悉最关键的风险、所采取的行动及其如何确保企业风险管理的有效性。董事会应该考虑从内审、外审及其他人员处获得信息。
高级管理层-本研究建议CEO评价组织企业风险管理的能力。一种办法是CEO招集所有业务单位领导和关键职能部门人员进行讨论,对企业风险管理的能力和有效性做初始评价。不管采取什么形式,初始评价必须确定是否需要做更深入、范围更广的评价,及如何做。 组织内其他人员-经理和其他人员必须思考如何根据这一框架履行他们的职责,和更多高层员工讨论如何加强企业风险管理。内审应该思考在企业风险管理上他们的工作重点。
监管者-这个框架能促进对企业风险管理及其作用、局限性取得共识。监管人员不管采取什么形式(规章、指导意见、或执行检查)建立被监管组织的期望时,都可以参考这一框架。
职业组织-规则制定人员或者提供财务管理、审计和其他相关内容指导的行业组织应该考虑在他们的标准和指南中参考这一框架。就消除概念和术语分歧方面,各方都会因此获益。 教育界-这一框架可能成为学术研究和分析的主题,研究未来是否可以对这个框架作些改进。预期这份报告将作为理解的共同基础,这些概念和术语应该进入大学课程。
有了相互理解的基础,各方都可以说一套共同语言,能更有效沟通。企业领导将会对照标准评估和强化风险管理流程,引导公司朝目标前进。未来的学术研究可以利用一个现成的基础。立法人员和监管者将对企业风险管理的利弊有更深入的了解。当所有各方都使用一个共同的企业风险管理框架时,这些好处将成为现实。
2004/9/30译稿初稿
2004/10/6-2004/10/7修改二稿
审稿:王晶莹