每個組織的存在都是為了向其利益相關人提供價值,這是企業風險管理的前提假設。所有組織都面臨不確定性,管理層的挑戰就在於努力增加利益相關人價值的同時要確定應該承受多大的不確定性。不確定性既意味著風險,也意味著機會,也就是說,不確定性既可能破壞價值,也可能增加價值。
企業風險管理可以幫助管理層有效應對不確定性並處理與之相隨的風險和機會,增強其創造價值的能力。
管理層通過設定戰略和目標,力圖在增長、收益目標和相關風險之間取得最佳平衡,並有效且高效率地配置資源,實現組織目標,這時組織價值達到最大化。企業風險管理包括:
協調風險胃納和戰略管理層評估不同戰略方案,設定目標,和建立風險管理機制的時候,都得考慮組織的風險胃納。
增強風險應對決策企業風險管理為識別和選擇風險應對方式提供了嚴謹的參考依據,包括風險的規避、降低、分擔和承受。
減少營運意外,降低損失由於增強了識別潛在事件的能力並採取相應對策,組織減少意外事件發生頻率,降低其帶來的成本和損失。
識別和管理多層次和跨企業部門的風險企業面臨著一系列影響到組織不同部門的風險,企業風險管理有利於對風險交叉影響做出有效反應,並能為各種風險提供統一的反應對策。
抓住機會由於考慮了大範圍的潛在事件,管理層更能識別並積極把握機會。
改善資本配置由於事先獲得了詳細可靠的風險資訊,因此,管理層可以有效評估整體資本需求,改善資本分配。
企業風險管理潛在的這些能力有助於管理層實現組織的績效目標和盈利目標,防止資源損失;有助於保證有效的資訊報告及更好地遵循法律法規,從而避免組織聲譽受損及其他相關後果。總之,企業風險管理在幫助組織到達目的地的同時,又避開沿途的陷阱和意外。
事件-風險和機會
事件既可能帶來消極後果,也可能帶來積極後果,或者二者皆有。消極後果的事件意味著風險,它會阻礙價值創造或破壞現有價值。積極後果的事件會抵消消極影響,或者帶來機會。
所謂機會,就是事件的發生能促進目標的實現,能支援價值創造或儲存。管理層在制定戰略或設定目標的過程中要考慮潛在的機會,通過制定計畫抓住這些機會。
企業風險管理的定義
企業風險管理涉及影響企業保值增值的風險和機會。定義如下:
「企業風險管理是乙個過程,這個過程受組織的董事會、管理層和其他人員影響,應用於戰略制定並貫穿在整個企業之中。企業風險管理旨在識別影響組織的潛在事件,並在其能承受的範圍內管理風險,從而為組織目標的實現提供合理的保證。」
這個定義考慮了一些基本概念。企業風險管理是:
乙個過程,持續運動於組織之內
受組織內各個層次的人員影響
應用於戰略制定
貫穿於企業的各個層面、各個單位,包括從組織層面用組合的觀點來看風險
旨在識別影響組織的潛在事件,並把風險管理在其風險胃口之內
可以為組織的管理層和董事會提供合理的保證
幫助企業實現一類或多類不同但互相重疊的目標
這個定義下得比較寬泛,抓住了公司和其他組織管理風險的幾個關鍵概念,從而使其可以運用於不同組織、不同行業和不同領域。定義的重心直接落在特定組織目標的實現上,這樣為評價企業風險管理的有效性打下基礎。
目標的實現
組織先制定使命或願景,在此背景下,管理層制定戰略目標,選擇戰略,並把目標由上至下逐層分解。企業風險管理框架就是為實現組織目標服務,目標分成四類:
戰略目標-高層次目標,和組織使命方向一致,並支援使命
運營目標-有效且高效地使用資源
報告目標-報告的可靠性
合規目標-遵循適用的法律法規
這種分類可以把重心放在企業風險管理的不同側面。不同但又互相交叉的分類(某個特定的目標可能歸入不止乙個類別)展現了組織的不同需要,而且可能是不同領導的直接責任。這種分類還可以分清對不同類別目標的不同期望。
有些組織的另外一種目標-保證資源的安全性,也包含在上述目標之內。
報告目標和合規目標在組織的控制範圍內,因此能夠期望企業風險管理能為這些目標的實現提供合理的保證,而戰略目標和運營目標的實現受外部事件影響,並不總在企業的控制之內,因此,企業風險管理只能對如下提供合理保證:管理層和負責監督的董事會能及時了解組織在朝目標實現的方向進展到了什麼地步。
企業風險管理的組成要素
企業風險管理包括八個互相關聯的要素,這幾個要素來自管理層經營企業的方式,並和管理流程整合在一起。要素如下:
內部環境- 內部環境包含組織基調,是組織內人員如何看待風險、對待風險的基礎,包括風險管理理念、風險承受能力、正直和道德價值觀及工作環境。
目標制定- 只有先制定目標,管理層才能識別影響目標實現的事件。企業風險管理確保管理層參與目標制定流程,確保所選擇的目標不僅和組織使命方向一致,支援組織的使命,而且與其風險承受能力相符。
事件識別- 必須識別影響組織目標實現的內外事件,分清風險和機會。管理層制定戰略或目標時應考慮到機會。
風險評估-分析風險,考慮其可能性和影響,在此基礎上決定應如何管理風險。風險評估從固有風險和剩餘風險兩個角度展開。
風險應對-管理層選擇風險應對方式——規避、接受、降低或分擔——制定一套措施把風險控制在組織的風險容忍度和風險承受能力之內。
控制措施-制定政策和程式並加以執行,幫助確保風險應對政策有效落實。
資訊和溝通-識別、採集和溝通相關資訊,所採取的形式和時間安排要有助於員工履行各自職責。有效溝通的外延比較廣,包括組織內資訊的上傳、下達和平行流動。
監督-監督整個企業風險管理過程,必要的時候要進行修正。監督既可以是持續的管理措施,也可以是分開的評價,或者結合兩者。
企業風險管理不是嚴格的順序流程,不是得按順序一步一步來,而是多方向的、不斷重複的流程,要素之間相互影響、互動作用。
目標和要素的關係
目標是組織努力實現的物件,要素是實現目標的必備要件,目標和要素存在直接的聯絡。這種關係可以用個三維矩陣以立方體的形式來表示。
四個目標類別(戰略/運營/報告/合規)縱欄表示,八個要素橫欄表示,組織內的單位用第三維表示。這種圖示方式既可以全面顯示企業風險管理,也可以按目標、要素、組織單位或任何子項分開顯示。
有效性確定組織的企業風險管理是否有效,主要判斷八要素是否存在,是否有效運作,因此,要素也是企業風險管理有效性的標準。如果要素齊全且正常運轉,就不會有什麼大的缺陷,也不會有什麼風險超出組織的風險胃納之外。
如果確定組織的企業風險管理各個目標都各自有效,董事會和管理層就可以獲得合理保證:他們了解組織的戰略和營運目標的實現程度,組織的報告可靠,遵循合適的法律法規。
不是所有組織內八要素都一樣運作。比如說,中、小型組織內這些要素就不會那麼正式,沒有那麼結構化。但是,只要各個要素都存在且有效運作,小型組織仍然會有有效的企業風險管理。
侷限雖然企業風險管理能帶來不少重要好處,但侷限依然存在。除了上面提及的因素以外,還有一些情況會限制企業風險管理發揮其功用,如決策時人的判斷可能出錯,風險反應決策或制定控制措施時要考慮成本效益,有時人的簡單差錯過失也會導致企業風險管理失效,或者兩個或兩個以上人員合謀,管理層僭越企業風險管理決策等。由於侷限因素的存在,董事會和管理層無法就組織目標實現獲得絕對保證。
包含內部控制
內部控制是企業風險管理的有機組成部分。企業風險管理包含內控,但無論在理論上還是在實踐上,企業風險管理都比內控更有力。<內控-整合框架>給內控下了定義,並作了具體說明。
由於內控整合框架經歷了時間的檢驗,並且是許多現行規則、法律、法規的基礎,它作為內控定義和框架都有其存在的意義。雖然只有部分的<內控-整合框架>字句出現在這個框架中,內控框架整體上納入本框架的參考文獻。
角色和責任
組織裡的每個人對企業風險管理都有責任。ceo負最終的責任並且承擔所有者的責任。其他管理人員支援企業風險管理的理念,促使與風險承受能力的協調,並在各自負責的領域把風險控制在相應的風險容忍度內。
風險主管、財務主管和內部審計等人員通常承擔關鍵的支援性責任。其他人負責按照制定的指令和協議執行企業風險管理。董事會對企業風險管理進行監督,要知道並同意組織的風險承受能力。
至於組織的外部團體,如顧客、**商、商業夥伴、外部審計、監管者、財務分析師,經常能提供一些有用的資訊影響到企業風險管理,但他們不對組織企業風險管理的有效性負責,而且他們也不是企業風險管理的一部分。
本報告的組織結構
本報告共分兩卷,首卷包含「框架」和這篇「內容提要」。「框架」定義企業風險管理,闡述相關原則和概念,為企業和其他型別組織的各層管理人員在評價和加強企業風險管理上提供指導。「內容提要」主要供ceo、其他高層主管、董事會、監管人員作高層概覽。
第二卷是「應用技術」,為運用這個框架提供實用的技術指南。
如何使用
這份報告建議採取的行動取決於參與方的職位和角色。
董事會-董事會應該和高管層討論組織內企業風險管理的現狀,並按要求進行監督。董事會應該確保獲悉最關鍵的風險、所採取的行動及其如何確保企業風險管理的有效性。董事會應該考慮從內審、外審及其他人員處獲得資訊。
高階管理層-本研究建議ceo評價組織企業風險管理的能力。一種辦法是ceo招集所有業務單位領導和關鍵職能部門人員進行討論,對企業風險管理的能力和有效性做初始評價。不管採取什麼形式,初始評價必須確定是否需要做更深入、範圍更廣的評價,及如何做。
組織內其他人員-經理和其他人員必須思考如何根據這一框架履行他們的職責,和更多高層員工討論如何加強企業風險管理。內審應該思考在企業風險管理上他們的工作重點。
監管者-這個框架能促進對企業風險管理及其作用、侷限性取得共識。監管人員不管採取什麼形式(規章、指導意見、或執行檢查)建立被監管組織的期望時,都可以參考這一框架。
職業組織-規則制定人員或者提供財務管理、審計和其他相關內容指導的行業組織應該考慮在他們的標準和指南中參考這一框架。就消除概念和術語分歧方面,各方都會因此獲益。
教育界-這一框架可能成為學術研究和分析的主題,研究未來是否可以對這個框架作些改進。預期這份報告將作為理解的共同基礎,這些概念和術語應該進入大學課程。
有了相互理解的基礎,各方都可以說一套共同語言,能更有效溝通。企業領導將會對照標準評估和強化風險管理流程,引導公司朝目標前進。未來的學術研究可以利用乙個現成的基礎。
立法人員和監管者將對企業風險管理的利弊有更深入的了解。當所有各方都使用乙個共同的企業風險管理框架時,這些好處將成為現實。
2004/9/30譯稿初稿
2004/10/6-2004/10/7修改二稿
審稿:王晶瑩
企業全面風險管理框架比較研究
研究講師 康豔龍 1 風險概念比較分析 coso風險框架將風險定義為 風險是指乙個事項將會發生並給目標實現帶來負面影響的可能性 而事項是源於內部或外部的影響目標實現的事故或事件,事項可能有正面或負面的影響,或兩者兼而有之。從coso對風險的定義可以看出,負面影響的事件為風險,正面的影響的事件為機會,...
系統整合中的風險管理
摘要風險就是會給專案帶來威脅或機會的一些不確定性事件,2010年8月,我參與了邊檢機關亞運安保系統保障專案的建設,並擔任專案經理工作。整個專案給我司帶來幾百萬營業額,保障建設工期為60天。因為資訊系統對於邊檢機關來說,是相當重要的,加上專案針對的業務重要性 建設週期緊逼,站點分散,因此,該項目的風險...
解析煤礦整合的財務風險管理
摘要煤礦產業作為我國能源經濟發展的一大支柱產業,對我國的經濟發展有著巨大的推動作用,而煤礦的生產安全和穩定也因此成為社會關注的重點問題。對煤炭企業進行資源整合,可以將中小型企業通過適當的方式和渠道連線起來,實現對有限資源的優化配置,從而促進煤礦企業的戰略發展。而在煤礦整合中,不可避免地會遇到各種財務...