到20世纪末,随着大型企业特别是巨型跨国公司面临的风险管理日趋多样和复杂,开始出现了将企业的所有风险,包括纯粹风险和财务风险综合起来进行管理的需要。这种需求使得在历史上不同时期,并沿着两条不同轨迹发展起来的传统风险管理和金融财务风险管理终于结合在一起,形成一个崭新的概念——全面风险管理。
全面企业风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的企业风险管理文化,建立健全全面企业风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、企业风险管理信息系统和内部控制系统,从而为实现企业风险管理的总体目标提供合理保证的过程和方法。
三、COSO风险管理框架
近年来,许多公司关注企业风险管理,他们对企业风险管理框架的需求日益增加。2001年,COSO委托普华永道设计一种能被企业管理层用来评估和改善企业风险管理的框架。在这一时期,美国出现了包括安然公司在内的一系列公司财务丑闻,使投资者蒙受了巨大的损失。之后,要求改善公司治理结构和提高风险管理能力的呼声日益高涨。2002 年美国通过了萨班斯——奥克斯利法案(Sarbanes——Oxley Act of 2002),其中的 404 条款要求上市公司管理当局对内部控制的有效性进行披露报告,同时也要求注册会计师对上市公司内部控制的效果进行审计。正是在这一背景下,COSO于 2004 年 10 月发布了《企业风险管理——整合框架》的报告。
(一)企业风险管理的定义
COSO对其定义为:“企业风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。”
ERM框架对内部控制的定义明确了以下内容:1.是一个过程;2.被人影响;3.应用于战略制定;4.贯穿整个企业的所有层级和单位;5.旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;6.合理保证;7.为了实现各类目标。对比COSO1992年的定义,ERM概念要细化得多。由于新COSO报告提出了风险偏好、风险容忍度等概念,使得ERM的定义更加明确、具体。
(二)企业风险管理的目标
ERM认为企业风险管理(风控网)的目标有:战略目标——与使命相关联并支撑其使命;经营目标——有效和高效率地利用其资源;报告目标——报告的可靠性;合规性目标——企业经营符合相关法律法规的规定。
ERM整体框架中除了经营目标和合规性目标与内部控制整体框架相似以外,还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表,包括中期和简要财务报表以及从这些财务报表中摘出的数据,如利润分配数据”;新报告则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”,该目标涵盖了企业的所有报告。除此之外,新COSO报告提出了一类新的目标——战略目标。该目标的层次比其他三个目标更高。企业风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
(三)企业风险管理的控制要素
1994年COSO报告《内部控制——整体框架》中,提出了五个要素:控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行了深化和拓展,将其演变为八个要素,即增加了控制环境内部化;目标作为要素;风险要素的扩展。
主要有:1.内部环境——内部环境包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观以及他们所处的经营环境。2.目标设定——必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。3.事项识别——必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会应被反馈到管理当局的战略或目标制订过程中。4.风险评估——通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。5.风险应对——管理当局选择风险应对、回避、承受、降低或者分担风险,采取一系列行动以便把风险控制在主体的风险容限和风险容量以内。6.控制活动——制订和执行政策与程序以帮助确保风险应对得以有效实施。7.信息与沟通——确保有关员工履行其职责的信息得以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。8.监控——对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。
(四)相关角色和任务的变化
新老COSO报告都将组织的董事会、管理层、内部审计等职员看成是内部控制框架中的相关责任人。董事会制订战略,管理、指引和核查一些特殊交易和政策。董事会既是内部控制的因素,也是企业风险管理的重要因素。ERM框架使董事会在企业风险管理方面扮演更加重要的角色,即担负总体责任,企业风险管理的成功与否在很大程度上依赖于董事会,董事会需要批准组织的风险偏好。
在ERM框架中,管理层必须识别目标和战略方案,并将其分类为战略目标、经营目标、报告目标和遵循性目标四类。每一个业务单元、分部、子公司的领导也需要识别各自的目标,并与企业的总体目标相联系。一旦设定了目标,管理层就需要识别影响风险的事项、评估风险并采取控制措施。
最近更新