1/34COSO风险管理框架中文版概览一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。COSO委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划,旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。本概览列出了企业风险管理框架的关键内容,包括企业风险管理的定义、内容和基本原则,风险管理的优点、局限性以及各相关方的地位和职责。本概览还强调企业风险管理的相关性和其与COSO内部控制报告的关系。如果想更加深入地了解有关知识,请看企业风险管理框架的全文。(一)企业风险管理的相关性企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构,其存在的目的都是为其利益相关方带来价值。所有的企业都要面对不确定性。对企业管理者而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定性的程度。不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。1.不确定性企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。2.价值从战略的制定到企业的日常经营,管理者的决策会创造、保持或减少企业的价值。决策的本质就是确认风险和机遇,它要求企业的管理1应在考虑企业内、外部环境的因素的基础上,对企业的稀缺资源进行配置,并且根据环境的不断变化来调整企业的活动。当企业的利益相关方取得其相应价值的可确认收益时,企业的价值也得到实现。对于公司而言,当股东承认由于股价上扬所带来的价值时,他们也就承认了企业的价值。对于政府机构,当该机构以一个可接受的成本所提供的服务的收益得到确认时,机构的价值就得以实现。对于非盈利组织的利益相关方而言,当他们确认组织所提供的社会福利的价值时,他们也就承认了该组织的价值。企业风险管理使管理者能够创造持久的价值并能够将创造价值的信息传递给利益相关方。3.企业风险管理的优点所有企业都是在有风险的环境下经营,而不是企业风险管理使企业面临这样的环境。企业风险管理是使管理者能够在充满风险的环境中更加有效地经营。企业风险管理使企业的管理者能够:(1)将风险偏好和企业的战略结合在一起。从广义来讲,风险偏好是一个公司或企业在追求其目标的过程中愿意接受的风险的程度。管理者在评估企业的战略方案时首先要考虑企业的风险偏好,其后,在制定与企业战略相对应的目标和建立一定的机制管理相应的风险时也应考虑企业的风险偏好。(2)将企业成长、风险和收益联系起来经济主体在企业价值保值、增值的过程中也要接受相应的风险,同时预期补偿风险的相应收益。企业风险管理提高了企业确认和评估风险的能力,进而使企业能够确定相对于企业成长性和收益目标而言的风险的可接受水平。(3)增加风险反应决策企业风险管理提供了确认和选择不同的风险反应方案的严格标准。企业的风险反应方案包括风险规避、风险降低、风险共担和风险接受。企业风险管理提供了进行相关决策的方法和技术。2/34(4)使企业的经营意外和损失最小化经济主体可能提高确认潜在事项、评估风险和明确反应方案,最后减少经营意外的出现次数以及减少相应的成本或损失。(5)确认和管理企业的总体风险每一个经济主体都面临着许多风险,而不同的风险会影响企业经营的各个方面。管理不仅需要对每一种风险进行管理,还需要了解风险对企业总体的影响。(6)针对多重风险提供完整的反应方案企业的经营过程存在许多内在的风险,企业风险管理就是为管理风险提供一整套解决方案。(7)抓住机遇管理不仅要考虑风险,还需要考虑潜在的事项对企业的影响。对潜在事项有一个完整的了解可以使管理对每一潜在事项表明何种机遇有一个了解。(8)合理分配资金关于企业总体风险的更为明确的信息可以使企业的管理者能够更加有效地评估企业总体的资金需要,改进企业的资金配置。企业风险管理本身并不是目的,它仅仅是实现目的的一种方式。它不能、也无法在一个经济主体内单独运行,而是企业管理过程的一个推动器。企业风险管理向董事会提供最重要的风险的信息以及这些风险应如何管理的建议,进而与公司治理相联系。而且,风险管理与企业的绩效管理也有关,风险管理通过提供风险调节的措施和内部控制来帮助企业的绩效管理。内部控制是企业风险管理的一部分。风险管理帮助一个经济主体实现其经营和利润目标、防止资源的浪费。它还有助于确保企业报告的有效性。此外,企业风险管理还有助于保证企业遵守有关的法律、法规,避免其声誉受损并防止产生相应的不良后果。总之,企业风险管理可以帮助一个经济主体实现其目标、及在实现目标的过程中避开陷井和防止意外的发生。(二)企业风险管理的定义企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程,应用于企业的战略制定和企业的各个部门和各项经营活动,用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险,对企业目标的实现提供合理的保证。这一定义反映了一些基本概念:1.企业的风险管理是一个过程――其本身并不是一个目的,而是实现目的的一种方式。2.风险管理受人的影响――它不只是企业的政策、调查和表格,还涉及一个企业各个层次员工。3.风险管理也适用于企业战略制定过程。4.企业风险管理应在整个企业范围内应用,在每一个经营层面和每一个单位内应用,并应以一种企业总体的风险组合的观点来看待。5.风险管理的设计应有助于确认会对企业造成潜在影响的事项并确保在企业风险偏好的范围内管理企业的风险。6.风险管理仅为企业的管理者和董事会提供合理的保证。7.企业风险管理的目标是帮助企业一类或几类单独并相互重叠的目标的实现。从广义上定义这一概念主要有几个原因:这一定义应包括公司和其他企业管理风险的几个基本概念,并可以应用于各种组织、行业和部门。它直接针对企业目标的实现。此外,这一定义应为定义企业风险管理的有效性提供一个基础。上述基本概念详细论述如下:1.一个过程企业的风险管理并不是一个事项或环境,而是渗透于企业各项活动中一系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。一些人认为,企业风险管理对企业的各项活动而言是多余的,是企业必须承担的一个负担,但COSO的讨论稿则并不这样认为。但有效的企业风险管理仍旧需要企业各管理层不懈的努力。例如,风险评估要求企业不断地努力来建立必要的评估模型并进行必要的分析和计算。但是,这些以及其他的企业风险管理机制与企业的经营活动是并存的,是由于最基本的商业原因而存在的。当企业风险管理机制成为企业的基础设施并真正成为企业的一部分时,企业的风险管理会最有效。通过建立风险管理,企业可以直接提高自身的战略执行能力,并提高企业预期和任务的实现能力。建立风险管理对企业的成本构成同样有重要的影响,特别是在目前大多数企业都面临高度竞争的市场环境的情况下。在现有工序的基础上增加新的工序会增加成本,而通过关注现有的经营过程以及他们对实现有效风险管理的贡献,并3/34将风险管理整合到企业的基本经营活动之中,一个企业就能够避免不必要的工序和成本。并且,将风险管理整合到企业日常的经营过程中有助于管理者抓住企业发展的新机遇。2.受人的影响企业的风险管理会受董事会、管理层和其他人员的影响,风险管理是通过组织内的人来完成的,是通过人的所做和所说实现的。是企业内的人制定企业的任务/预期,战略和目标,并实施企业的风险管理机制。同样,企业风险管理也影响人的行动。企业风险管理要认识到人对事物的理解、沟通或执行并不总是一致的。企业中的每个人都有不同的背景和技术能力,都有不同的需求和优势。这些因素都会影响企业的风险管理,也会受风险管理的影响。每个人的出发点都不同,这会影响他们对风险的确认、评估和反应。企业风险管理就是要提供了一个机制,帮助人们从企业总体目标的角度认识风险。企业的员工必须了解他们自己的职责和权限。因此,除了要明确员工的职责和企业的战略和目标之间的联系之外,还要明确员工的职责和他们履行职责的方式之间的联系。__一个组织的员工包括董事会成员、管理者和其他人员。尽管企业的董事主要负责监督,但是他们同时也向管理者提供指导,核准企业的战略、某些活动和政策。因此,董事会是企业风险管理的重要组成部分之一。3.可应用于企业战略的制定一个企业要确定其预期或任务,并制定其战略目标。企业的战略目标是企业最高层次的目标,它与企业的预期和任务相联系并支持预期和任务的实现。一个企业为实现其战略目标而制定战略方案,并将战略方案分解成相应的目标,再将目标层层分解到企业的各业务部门、行政部门和生产线。在制定企业的战略方案时,管理者应考虑与不同的战略方案相关的风险。4.应用于整个企业为使企业的风险管理获得成功,一个企业必须从全局,从企业总体层面上考虑企业的活动。企业的风险管理应考虑组织内所有层面的活动,从企业总体的活动(如战略计划和资源分配)到各业务部门的活动(如市场部、人力资源部),到各业务流程(如生产过程和新客房信用审核)等等。企业风险管理还可用于特定项目和新的行动计划,尽管该项目或计划可能在企业的管理流程或组织流程图中尚无明确的定位。企业风险管理要求企业以风险组合的观点看待风险。这会要求企业内负责各业务部门、行政部门、生产流程或其他活动的管理者对本部门的风险进行评估。这些评估可以是定量的,也可以是定性的。企业的高级管理者应以一种组合的观点看待企业内每个下级层面的风险,以决定企业总的风险组合是否与企业的风险偏好相对应。管理者应以总体的组合观来考虑相关风险。对相关的风险应予确认并采取措施使承担的风险落在企业风险偏好的范围内。对企业内部每个单位的风险而言,可能都落在该部门的风险容忍度的范围内,但从总体来看,合并后的风险可能超过了企业总体的风险偏好。企业总的风险偏好应通过对特定目标确立相应的风险容忍度的方式在企业内部向下贯彻。5.风险偏好风险偏好是指一个企业在追求价值最大化的同时所愿意接受的风险的数量。企业通常采用定性的方法分析风险偏好,将风险偏好分为高、中、低三类;或者采用定量的方法分析风险偏好,反映出企业的成长性、收益性和风险目标,并在三个目标之间进行平衡。风险偏好与企业的战略直接相关。在制定战略时应考虑企业的风险偏好,并将战略的预期收益与企业的风险偏好联系起来考虑。不同的战略会给企业带来不同的风险,在战略制定时应用风险管理,其目的是帮助管理者选择与企业的风险偏好相一致的战略。企业的风险偏好指导企业的资源配置。管理者在各业务部门间分配资源时应考虑企业的风险偏好和各个业务部门为取得预期的收益率所采用的战略。管理者应将企业的风险偏好与企业的组织结构、人员和业务流程联系起来考虑,并应建立对风险有效反应和监督的必要的硬件设施。风险容忍度是与要实现的目标相关的偏差的可接受程度。在确定某一特定的风险容忍度时,管理者应考虑相关目标的相对重要性并将风险容忍度与企业的风险偏好联系在一起。在风险容忍度的范围之内经营更能够保证企业所承受的风险在其风险偏好的范围内。反过来,就能够对企业目标的实现提供更高程度的保证。6.提供合理保证设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业目标的实现上提供合理的保证。如果企业的风险管理有效,董事会和管理者在以下几个方面得到合理的保证:-了解企业战略目标实现的程度;-了解企业经营目标实现的程度;__-企业报告的可靠性