中央企业全面风险管理

1COSO风险管理框架清华大学会计研究所陈武朝副教授电话：62772083Email：chenwzh2@sem.tsinghua.edu.cn2008年9月2主要内容COSOERM框架实施风险管理要点内控与企业风险管理的关系《中央企业全面风险管理指引》3COSOERM框架COSO认为，内部控制是风险管理的一部分。在《内部控制-整体框架》的基础上,COSO于2003年出台了《企业风险管理框架》征求意见稿，并于2004年9月正式发布。4COSOERM框架（续）企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于整个企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量（风险承受范围）之内，并为主体目标的实现提供合理保证。5COSOERM框架（续）企业风险管理框架COSOERM6COSOERM框架（续）怎样理解该定义？企业风险管理是：一个过程，它持续地流动于主体之内；由组织中各个层级的人员实施；应用于战略制订；贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；能够向一个主体的管理当局和董事会提供合理保证；力求实现一个或多个不同类型但相互交叉的目标。7COSOERM框架（续）目标的实现在主体既定的使命或愿景范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的以下四种类型的目标：战略（strategic）目标——高层次目标，与使命相关联并支撑其使命；经营（operations）目标——有效和高效率地利用其资源；报告（reporting）目标——报告的可靠性；合规（compliance）目标——符合适用的法律和法规。8COSOERM框架（续）企业风险管理的构成要素内部环境（InternalEnvironment）内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。建立一套与风险管理相关的理念。它认为，意外事项与预期事项都可能发生。建立企业风险文化。考虑组织行为如何影响其风险文化的一切其它方面。目标设定（ObjectiveSetting）必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。在目标设定中，应用于管理层考虑风险策略的时候制定公司的风险承受能力——从高层面观察，管理层和董事会愿意接受多大的风险风险容忍度,目标相关变量的可接受水平，与风险承受能力一致。9COSOERM框架（续）事项识别（EventIdentification)必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。风险评估(RiskAssessment)通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。一个事项是指可能影响战略执行或目标实现的一个事件或发生的事情。辨别风险与机遇风险是一个事项发生，并对目标实现产生负面影响的可能性。可能有积极影响的事项，代表正常抵消或机遇。风险衡量采用与相关目标相同的衡量单位。时间区间已指定，并与目标一致。10COSOERM框架（续）风险应对(RiskResponse)管理当局选择风险应对——回避、承受、降低或者分担风险——采取一系列行动以便把风险控制在主体的风险容限（risktolerance）和风险容量以内。控制活动(ControlActivities)制订和执行政策与程序以帮助确保风险应对得以有效实施。信息与沟通(Information&Communication)相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。监控(Monitoring)对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。11COSOERM框架（续）注意：企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。12COSOERM框架（续）有效性认定一个主体的企业风险管理是否“有效”，是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断。因此，构成要素也是判定企业风险管理有效性的标准。构成要素如果存在并且正常运行，那么就可能没有重大缺陷，而风险则可能已经被控制在主体的风险容量范围之内。如果确定企业风险管理在所有四类目标上都是有效的，那么董事会和管理当局就可以合理保证他们了解主体实现其战略和经营目标、主体的报告可靠以及符合适用的法律和法规的程度。八个构成要素在每个主体中的运行并不是千篇一律的。例如，在中小规模主体中的应用可能不太正式，不太健全。尽管如此，当八个构成要素存在且正常运行时，小规模主体依然会拥有有效的企业风险管理。13COSOERM框架（续）局限尽管企业风险管理带来了重要的好处，但是仍然存在着局限。除了前面讨论过的因素之外，局限还导源于下列现实：人类在决策过程中的判断可能有纰漏，有关应对风险和建立控制的决策需要考虑相关的成本和效益，类似简单误差或错误的个人缺失可能会导致故障的发生，控制可能会因为两个或多个人员的串通而被规避，以及管理当局有能力凌驾于企业风险管理决策之上。这些局限使得董事会和管理当局不可能就主体目标的实现形成绝对的保证。14COSOERM框架（续）涵盖内部控制内部控制是企业风险管理不可分割的一部分。企业风险管理框架涵盖了内部控制，从而构建了一个更强有力的概念和管理工具。内部控制是在《内部控制——整合框架》中加以定义和描述的。由于该框架经受了时间的考验，并且成为现行规则、法规和法律的基础，因此《内部控制——整合框架》对内部控制的定义和框架依然有效。尽管《内部控制——整合框架》的正文中只有一部分被该框架所引用，但是ERM通过参考的方式把该框架整体融合了进来。15COSOERM框架（续）职能与责任主体中的每个人都对企业风险管理负有一定的责任。CEO负有首要责任，并且应当假设其拥有所有权。其他管理人员支持主体的风险管理理念，促使符合其风险容量，并在各自的责任范围内依据风险容限去管理风险。风险官、财务官、内部审计师等通常负有关键的支持责任。主体中的其他人员负责按照既定的指引和规程去实施企业风险管理。董事会对企业风险管理提供重要的监督，并察觉和认同主体的风险容量。很多外部方面，例如顾客、卖主、商业伙伴、外部审计师、监管者和财务分析师常常提供影响企业风险管理的有用信息，但是他们不但不对主体的企业风险管理的有效性承担任何责任，而且也不是它的组成部分。16COSOERM框架（续）比内控的概念更广对公司管理至关重要目标范围更宽，为战略提供反馈风险管理办法更稳健17COSOERM框架（续）企业风险管理的关键观念以组合观点评价风险。管理层——与董事会协商——必须树立广义的风险承受能力。侧重平衡价值、增长与风险18COSOERM框架（续）怎么办？更广的风险观：•一个公司目前的风险比以前所有风险都高。•我们不会因为以前做的决定来评估目前的情况。•风险可能就在我们的决策框架和激励机制中。必须关注外部环境风险讨论必须上升到董事会层面19COSOERM框架（续）提高风险意识内控——扩展到财务报告讨论层面以上。不能在不了解风险的情况下讨论控制。必须考虑外部环境：•环境变化•可持续性•竞争性行为•潜在竞争性行为20COSOERM框架（续）提升风险管理必须采用正确的衡量标准外部：美国和欧洲正发展为更加知识化的经济公司的投资方向在哪里？怎样衡量风险？怎样将这些与现有会计方法做对比？21COSOERM框架（续）最新的观点内控工作结合风险管理，对实现公司的经营目标十分重要；在评估公司如何实施风险管理方面，需要公司董事会的参与，并发表明确的意见；建议将内控纳入公司正常管理和治理流程中，建议不要将内控看作独立的监管工作。22COSOERM框架（续）企业风险管理是两个框架中最稳健的，但从开始就要求做更多的工作。企业风险管理能够，并应该融入公司文化中。这将带来很大的成本效益。23COSOERM框架（续）以目标为起点应用于各级组织的活动中八个要素事项和风险风险承受能力和风险容忍度组合模型基础方面关键概念24实施全面风险管理要点1.组织设计2.建立一个全面风险管理的组织3.实施风险评价4.确定总体风险容量（riskappetite）5.确定风险相应（riskresponses）6.沟通风险结果7.监控（Monitoring）8.管理层监督（Oversight）与定期复核25实施全面风险管理要点（续）1.组织设计企业战略关键目标使得企业达到（？）关键目标的相关目标对组织单位及其负责人的职责分配26实施全面风险管理要点（续）例：使命•提供高质量的、可得到的、可承担的社区医疗服务战略目标•成为中等规模城市的第一或第二大能的所有医疗服务提供者相关目标•与10个经营状况不佳的医院负责人对话，年内与其中两个医院达成协议27实施全面风险管理要点（续）2.建立一个全面风险管理的组织确定风险哲学调查风险文化考虑组织的道德价值观决定角色与责任28例：全面风险管理组织架构风险管理官员(ERMDirector)副总或首席风险官（CRO）公司信用风险经理(CorporateCreditRiskManager)保险风险经理（InsuranceRiskManager）风险经理（ERMManager）风险经理（ERMManager）职员职员职员社区风险管理官员29实施全面风险管理要点（续）3.实施风险评价风险评价是识别、分析达成目标所面临的风险。这是管理风险的基础例：环境风险•资本筹集•监管、政治、法律•金融市场、股东关系流程风险•运营风险•授权风险•信息处理/技术风险•完整性风险•财务风险决策所需信息•运营风险•财务风险•战略风险30Source:BusinessRiskAssessment.1998–TheInstituteofInternalAuditors控制分担或转移分散或规避风险管理流程层面业务活动层面公司层面风险监控识别计量排序风险评价风险分析31实施全面风险管理要点（续）4.确定总体风险容量（riskappetite）应采用定性或定量术语（如，对利润的影响，对声誉的影响），并考虑风险容限（risktolerance）。关键问题：•组织无法接受哪些风险？如，环境或服务质量打折•组织拟主动承受哪些风险？如新业务•组织出于竞争性目标拟接收哪些风险？如毛利或市场份额32实施全面风险管理要点（续）5.确定风险响应（riskresponses）量化风险敞口组织的选择•承担=监控•规避=减少•减少（对冲）=组织控制•分担=与合作者分担风险，如买保险33风险影响与发生可能性控制(Control)分担（Share)监控与控制(Mitigate&Control)承担(Accept)高风险中等风险中等风险低风险低高高影响可能性34风险影响与发生可能性-客服中心风险评价会计分录出错设备过时相同问题不断反映电话掉线计算机丢失信用风险客户等待时间长客户不能打通电话客户问题得不到答复舞弊失去交易员工士气高风险中等风险中等风险低风险低高高影响可能性35控制风险控制目标活动完整性重大交易复核已记录账面未记录债务结账后将发票与账面负债相互核对例:应付账款处理36实施全面风险管理要点（续）6.沟通风险结果表：列出风险及风险