[中央法規] [地方法規] [最新法規] [稅收法規] [會計法規] [財政法規] [審計法規] [評估法規] [工商法規] [金融證券] [工程造價] [海關法規] [勞動法規] [國土法規] [其他]

企業風險管理整合框架及其評價

日期:2006年4月12日 11:54

在內部控制標準制定方面,美國發起人組織委員會(COSO)一直是國際公認的權威機構,自其成立以來,一直致力于內部控制標準的制定,引導和代表著內部控制的發展趨勢。1992年,COSO提出了《內部控制——整合框架》,經過十多年的應用.已成為業界普遍認可的一個標準。2004年9月,COSO又提出了《企業風險管理——整合框架》,它既是對《內部控制——整合框架》的超越,也標志著內部控制的轉型,在內涵界定、目標體系、構成要素等方面都進行了拓展和延伸。

  一、企業風險管理的性質(nature)與定位

  這些年來.一系列財務失敗事件的發生以及對企業風險管理的關注,使人們越來越清楚地認識到需要一個強有力的框架以便有效地識別、評估和控制風險。2001年,COSO開展了一個項目,委托普華永道開發一個對于管理當局評價和改進他們所在組織的企業風險管理的框架。但在開發這個框架期間,又發生了一系列令人矚目的企業丑聞和失敗事件,投資者、公司員工和其他利益相關者因此而遭受了巨大的損失。隨之而來的便是對采用新的法律、法規和上市準則來加強公司治理和風險管理的呼吁。人們迫切需要一個能夠提供關鍵原則和概念、共同的語言以及明晰的方向和指南的企業風險管理框架。美國在2002年頒布了《薩班斯-奧克斯利法案》,其他國家也已經通過或正在考慮類似的立法。這部法律擴充了長期持續的對公眾公司保持內部控制制度的規定,要求管理當局證實、并由獨立審計師鑒證這些制度。2004年9月,COSO發布了《企業風險管理——整合框架》,它拓展了內部控制框架,更關注于企業風險管理這一更加寬泛的領域。按照COSO的設想,他們不打算、也的確沒有用企業風險管理框架取代內部控制框架,而是將內部控制框架納入其中,公司不僅可以借助這個企業風險管理框架來滿足它們內部控制的需要,還可以借此轉向一個更加全面的風險管理過程。

  (一)企業風險管理的性質
  COSO在其報告中指出,企業風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用于戰略制定并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其限制在該主體的風險容量之內,并為主體目標的實現提供合理保證。與內部控制相比,企業風險管理補充了兩個內容:一個是戰略目標;一個是風險控制。
  COSO在對《企業風險管理》的界定中重點強調了七個屬性和理念:(1)企業風險管理是一個過程,它持續流動于企業之內:(2)企業風險管理是由組織中各個層級的人員來實施的;(3)企業風險管理應用于戰略制定的過程中;(4)企業風險管理貫穿企業整體,在各個層級和單元應用,還包括采取企業整體層級的風險組合觀;(5)企業風險管理旨在識別那些一旦發生將會影響企業的潛在事項,并把風險控制在風險容量以內;(6)企業風險管理能夠向一個企業的管理當局和董事會提供合理保證:(7)企業風險管理力求實現一個或多個不同類型但相互交叉的目標。
  COSO秉承了其“整合”的思路,給出了企業風險管理的一個寬泛的定義,通過提煉對公司和其他組織風險管理的關鍵概念,為不同組織形式、行業和部門的應用提供了基礎,另外,它直接關注特定主體既定目標的實現,并為界定企業風險管理的有效性提供了依據。
  COSO認為,企業風險管理應發揮以下作用:
  (1)銜接風險容量(risk appetite)與戰略。管理當局在評價戰略方案、設定相關目標和建立相關風險的管理機制的過程中,需要考慮所在主體的風險容量。
  (2)增進風險應對決策。企業風險管理應能提高企業選擇風險應對策略的準確性。
  (3)抑減經營意外和損失。主體識別潛在事項和實施應對的能力得以增強,抑減了意外情況以及伴隨而來的成本或損失。
  (4)識別和管理貫穿于企業的多重風險。每一家企業都面臨影響自身不同組成部分的一系列風險,企業風險管理有助于有效地應對交互影響,以及整合式地應對多重風險。
  (5)抓住機會。通過全面考慮潛在事項,促使管理當局識別并積極地把握機會。
  (6)改善資本配置。獲取強有力的風險信息,以使管理當局能夠有效地評估總體資本需求,并改進資本配置。

  (二)企業風險管理的定位
  COSO在界定企業風險管理時,明確了兩個所屬關系:(1)內部控制是企業風險管理的一個組成部分;(2)企業風險管理是管理過程的一個組成部分。企業風險管理框架的要素都是管理層經營一個企業所做的事情。但是,并非管理層做的事情都是企業風險管理的組成部分。在管理層的決策與相關管理行為中應用的許多判斷,盡管是管理過程的組成部分,但不是企業風險管理的組成部分。例如,確保有一個適當的目標設定過程是企業風險管理的一個關鍵組成要素.而管理層選擇的特定目標不是企業風險管理的組成部分:在適當風險評估的基礎上對風險做出反應是企業風險管理的組成部分。而所選擇的特定風險應對策略和相關的資源配置不是企業風險管理的組成部分:確定和實施控制活動以確保管理層選擇的風險應對策略得到有效的實施是企業風險管理的組成部分,而所選擇的特定控制活動不是企業風險管理的組成部分。COSO在2003年10月發布的《企業風險管理框架(草稿)》中列示了一般管理行為。并指出哪些構成了企業風險管理。企業風險管理包括那些能夠使管理層依據可靠信息做出風險基礎決策的管理過程.但是.從一系列適當的選擇中選出的特定決策不會決定企業風險管理是否有效。
  另外,普華在最近的一份報告中提出了一個GRC(Governance,Risk,Compliance)模型。該報告認為,組織可以通過把GRC戰略性地整合進它們的經營中,以形成一個可以對企業進行管理的道德和經營框架。這個框架包括治理(Governance)、企業風險管理(Enterprise Risk Management)和遵守(Comphance)三個組成部分,從中可以看出企業風險管理的定位。在這個框架中,治理活動包括設定經營戰略和目標,確定風險偏好,建立文化和價值觀。制定內部政策和監督績效;風險管理活動包括識別和評價那些可能會影響目標實現能力的風險,應用風險管理來獲得競爭優勢和確定風險應對策略和控制活動;遵守活動包括遵照目標經營,確保遵守法律和法規、內部政策與程序以及利益相關者的委托。

二、企業風險管理的目標體系

  企業風險管理框架提出了四類目標:(1)戰略(Stntegic)目標,即高層次目標,與使命相關聯并支撐使命;(2)經營(operations)目標,高效率地利用資源;(3)報告(reporting)目標,報告的可靠性;(4)合規(compliance)目標,符合適用的法律和法規。
  在這個目標體系中,增加了內部控制整合框架中所沒有的一類目標:戰略目標。雖然是平行的方式列示,但是,戰略目標在這個目標體系中是最高層次的,其他三類目標都應當從屬于戰略目標。都是在為戰略目標服務。
  此外。企業風險管理框架的報告目標也有所拓展。在內部控制框架中,報告指的是公布的財務報表.報告目標主要關注公布的財務報表的可靠性,而在企業風險管理框架中,報告包括由企業編制、向內部和外部散發的所有報告。而且,范圍也從財務報表的財務信息擴展到了更廣泛的非財務信息。盡管在企業風險管理框架中,并沒有明確表示其遵守目標與內部控制的遵守目標有什么不同,但是,負責擬定企業風險管理框架的普華在其2004年的一份名為《整合——驅動績效》(Integrity-Driven Performance)的報告中認為:“主要關注遵守法律、法規的傳統合規方法是不充分的,遵守內部治理、道德與風險標準和政策在防止遭受與聲譽相關的風險方面更有效。”該報告對“遵守”的內涵進行了拓展,提出了一個新視角的“遵守”,給出了一個遵守風險的新定義。遵守風險是指“由于沒有能夠遵守法律法規、內部規則和政策以及顧客、雇員和社會等主要利益相關者的期望而導致對組織的經營模式、聲譽和財務狀況產生損害的風險”。
  此外。內部控制整合框架1994年補充的“保護資產”目標在企業風險管理框架中并沒有單列,因為COSO認為,這個目標的內容已經分別包含在了上述幾類目標之中。
  對于目標的實現,企業風險管理與內部控制一樣.只能提供合理的保證,而且,對于不同的目標所提供合理保證的內容也不盡相同。對于報告目標和合規目標而言,因為有關報告的可靠性和符合法律、法規的目標在主體的控制范圍之內,所以可以期望企業風險管理為實現這些目標提供合理保證。但是,對于戰略目標和經營目標而言,由于這些目標的實現還取決于一些不在主體控制范圍之內的外部事項,所以,企業風險管理可以提供合理保證的是對目標的實現過程進行有效的信息溝通,即管理當局以及承擔監督職能的董事會能夠及時地了解企業目標實現的進展情況。

  三、企業風險管理——整合框架的構成

  企業風險管理包括八個相互關聯的構成要素,它們源自管理當局的經營方式,并與管理過程整合在一起。
  (1)內部環境。管理當局確立關于風險的理念,并確定風險容量。所有企業的核心都是人(他們的個人品性。包括誠信、道德價值觀和勝任能力)以及經營所處的環境,內部環境為主體中的人們如何看待風險和著手控制風險確立了基礎。
  (2)目標設定。必須先有目標,管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局采取恰當的程序去設定目標,并保證選定的目標支持主體的使命并與其相銜接,以及與它的風險容量相適應。
  (3)事項識別。必須識別可能對主體產生影響的潛在事項。它包括表示風險的事項和表示機會的事項,以及可能二者兼有的事項。機會被追溯到管理當局的戰略或目標制定過程。
  (4)風險評估。要對識別的風險進行分析,以便確定管理的依據。風險與可能被影響的目標相關聯。既要對固有風險進行評估,也要對剩余風險進行評估,評估要考慮到風險的可能性和影響。
  (5)風險應對。員工識別和評價可能的風險應對措施,包括回避、承擔、降低和分擔風險。管理當局選擇一系列措施使風險與主體的風險容限和風險容量相適應。
  (6)控制活動。制定和實施政策與程序以確保管理當局所選擇的風險應對策略得以有效實施。
  (7)信息與溝通。主體的各個層級都需要借助信息來識別、評估和應對風險。廣泛意義的有效溝通包括信息在主體中向下、平行和向上流動。
  (8)監控。整個企業風險管理處于監控之下,必要時還會進行修正。這種方式能夠動態地反應風險管理狀況,并使之根據條件的要求而變化。監控通過持續的管理活動、對企業風險管理的單獨評價或者兩者的結合來完成。
  企業風險管理框架與內部控制框架相比,在要素構成上主要有兩個方面的變化:一是以“內部環境”取代“控制環境”,在“內部環境”中引入了風險管理理念、風險偏好兩個概念。風險管理理念是一套共享的觀念和態度,它標志著企業考慮風險時的特征,反映了企業的價值觀。影響著企業的文化和經營方式。風險偏好反映了一個企業的風險管理理念,并影響著企業的文化和經營方式。另一個變化是企業風險管理更加關注風險.拓展了內部控制框架的風險評估要素,進一步細分為目標設定、事項識別、風險評估和風險應對四個要素。COSO提出的企業風險管理框架與1999年英國制定的特恩布爾報告中的風險管理模式有一定的相似之處。
  在結構方面,COSO沿用了內部控制整合框架中通過三維矩陣表現構成要素與目標之間關系的表示方法。四類目標用縱向的欄表示,八個構成要素用橫向的列表示,而一個主體內的各個單元則用第三個維度表示。這種表示方式使使用者既能夠從整體上關注一個主體的企業風險管理,也可以從目標類別、構成要素、主體單元,甚至其中任何一個分項的角度去加以認識。企業風險管理的構成和目標既是建立健全企業風險管理過程的依據.也是評價其有效性的標準。認定一個主體的企業風險管理是否有效,是在對八個構成要素是否存在并有效運行進行評估的基礎之上所做的判斷。構成要素如果存在并且正常運行,那么就可能沒有重大缺陷,表示風險被控制在主體的風險容量之內。當企業風險管理分別在四類目標中的每一類下都被確定為有效時,就可以合理保證董事會和管理當局了解主體實現其戰略和經營目標、主體的報告可靠性以及適用的法律和法規被遵循的程度。此外,八個構成要素在每個主體中的運行也不是千篇一律的。例如,在中小規模主體中的應用可能不太正式,不太完備。盡管如此,當八個構成要素存在且正常運行時,依然表示小規模主體的企業風險管理呈有效狀態。

  四、啟示與借鑒

  《企業風險管理——整合框架》再一次強調了系統的概念,即在實施企業整體風險管理過程中,主體中的每個人都對企業風險管理負有責任:首席執行官(CEO)負有首要責任,并且應當成為主人:其他管理人員支持主體的風險管理理念,并在各自的責任范圍內依據風險容限去管理風險;風險官、財務官、內部審計師等通常負有關鍵的支持責任;主體中的其他人員負責按照既定的指引和條例去實施企業風險管理;董事會對企業風險管理進行監督,并察覺和認同主體的風險容量。很多外部集團,例如顧客、發售商、商業伙伴、外部審計師、監管者和財務分析師,常常提供影響企業風險管理的有用信息,但是他們不對主體的企業風險管理的有效性承擔任何責任。
  COSO的《企業風險管理——整合框架》可以為不同的利益相關者提供有效的借鑒和指導。對企業的董事會來說,董事會應當與高級管理人員討論主體企業風險管理的現狀,并提供所需的監督。董事會應當確信知悉最重大的風險,以及管理當局正在采取的行動和如何確保有效的企業風險管理。董事會應當考慮尋求內部審計師、外部審計師和其他方面的參與。對企業的高層管理當局來說,首席執行官應把業務單元(business unit)領導和關鍵職能部門人員召集到一起,評估企業風險管理能力和有效性。對企業中的其他人員來說,應該考慮如何履行各自的職責,并與更高層的人員討論有關加強企業風險管理的看法。內部審計師應該考慮他們關注企業風險管理的范圍。對監管者來說,《企業風險管理——整合框架》可以增進有關企業風險管理的共識,為監管者在對他們所監管的主體采用規則或指南等形式設定期望或進行檢查時提供參考。對于為財務管理、審計和相關領域提供指南的規則制定機構和其他專業組織來說,可以根據《企業風險管理——整合框架》消除概念和術語方面的差異,達成共識。

來源:財務與會計      作者:張宜霞  劉明輝

所屬類別: 公告

該資訊的關鍵詞為:企業風險  管理整合框架 

首 頁 | 關于我們 | 財稅新聞 | 法規大全 | 財稅咨詢 | 稅務籌劃 | 在線留言 | 聯系我們 | 加入收藏 | 設為主頁

©Copyright 2011 Chongqing Qinye Certified Public Accountants Co., Ltd. All Rights Reserved.中國·重慶勤業會計師事務所有限公司 版權所有
電話:63505492 63520531 傳真:63506044 郵編:400013 E-mail:[email protected] 地址:重慶市渝北區融科金開中心1-1#21F,郵編401122
中企動力提供網站建設 《中華人民共和國電信與信息服務業務經營許可證》:渝ICP備06002565號

pk彩票计划软件