非盈利企业风险管理模式：

1国外审计动态第5期（总第228期）审计署审计科研所2008年3月25日按语：对于非盈利企业来说，风险管理模式的选择非常重要，美国里士满联邦储备银行建立了一套适合自己的风险管理模式，包括建立条件、方式、数据收集、评估、执行障碍等。我们对其进行了编译，以供大家参考。非盈利企业风险管理模式：里士满（Richmond）联邦储备银行的企业风险管理在2003年，联邦储备系统开始尽力执行企业风险管理（ERM）。同时，联邦储备系统建立了一种通用的风险代码，以方便储备银行间进行信息交流，每个储备银行都执行了最2适合自己的ERM。里士满联邦储备银行执行的风险战略集中考虑所有的目标和目的。里士满联邦储备银行（FRBR）选择并执行了这样一个程序，那就是要从职能领域（商业单位或部门）的角度建立起一个总的轮廓。这与其他的方式形成对照，在他们那里一个机构风险管理的内容仅仅由上层管理者决定，如美国谷物栽培有限责任公司和加拿大邮政公司。FRBR的方式抓住了每个职能领域的风险，然后根据职能和总目标去评价这些风险事件。FRBR相信，在非盈利机构和政府组织1，根据组织的目标去评估风险对于ERM的成功执行是至关重要的。成功的措施：为什么不是私人部门模式？在私人部门，根据对价值（如净值，收入等）的威胁评估风险。结果，精确的成本会计和利润追踪系统用来监控公司价值方面的内容。公共部门也应根据目标运行。然而，他们运行通常的是依据非财务目标（见图表1）。因此，公共组织部门2所采用的财务度量工具通常不如盈利企业所使用的那么精确。虽然公共组织实体有动机去节约成本，但是，它通常不是该组织最终成功或失败的度量标准。因此，一个公共部门的ERM方式与盈利部门的风险管理方式应该是不相同的，因为成功的动机和措施是不同的。所以，私人部门模式通常不能直接应用在于公共部门。3图表1：动机和行为盈利部门政府非盈利部门3盈利目标要求/命令目标成本/利润成本/完成效率集中效果集中寻求风险规避风险风险价值风险目标/目的这些动机的不同，诸如图表1所列，不排除COSO（反欺诈财务报告委员会发起组织委员会4）的ERM框架在两种类型组织中的普遍采用。实际上，公共和私人部门能够并且应该应用COSO的ERM工作框架。然而，不同的仅仅是执行这一方面，集中反映在对风险的度量方面，而它又起源于不同的动机和行为。因此，对非盈利组织的风险度量更多是建立在判断的基础上，很少依据客观（财务）的度量。相应，FRBR的度量构成集中在质量而不是财务方法。FRBR相信，在任何组织中，一个具有战略思想的企业风险管理的成功实施应该包括三个特点：第一，必须对实体总体的使命、目标和目的有一个清晰简明的断定。第二，风险必须根据达到组织目标5的影响来评定。最后，对组织目标的每个风险根据它所造成的威胁进行排序。方式：评估程序4简易化：FRBR采用简易化的评估模式6。在这个过程中，两个风险分析师的最简易办法是面临所评估领域的领导能力。一个分析师的任务是引导讨论，另外一个分析师负责记录在数据收集模板7上的信息。风险分析师是全体计划职责的一部分，它和ERM一样负责战略和财务计划支持。使用简易方式可以获得三个非常重要的好处。首先，由于ERM完成了模板，职能领域的员工就可能集中讨论而不是模板格式。第二，风险分析师担当了咨询专家，能够通过评估指导参与者。假如没有这个指导，参与者可能曲解那些对于他们看起来明显的和不相关的事实，然而，从公司远景来看，这些可能是相当重要的或者关系到组织的其它领域。第三，风险分析师给公司提供观点。由于ERM分析师参与了所有的评估，他们了解所有的信息，能够对全部职能评估风险。也就是说，当单个作用不能发挥时，ERM给公司提建议。在FRBR推广ERM的经验中，理想的风险分析师对FRBR的运行有全面的知识，他像商业分析师一样被人接受和尊重，并和各管理阶层保持密切的工作联系。风险分析师也有责任对组织提供战略和财务计划支持，那将增强他们的能力以对企业提出真实的观点或风险。虽然一些风险分析师拥有证书（例如CAP、CIA、CFA），但是，FRBR的运用对分析师的商业知识、简易技巧、管理关系和分析能力赋予了更多的价值。5评估：在最初的发起会议上，ERM提供给评定部门ERM总的看法、相关事项、以及评估程序。在第二次会议上，职能使命、目标和高水平的工作流程被提到。在第二和第三次会议上，对那些可能影响作用能力以实现其目标的事件给予区别和评估。最后，对所有的风险给予区别。因为在作用的目标上有直接的影响，或者影响其作用能力去完成其核心（使命）任务。每个风险事件也根据它对公司目标的影响而进行评估。最初的功能评估是通过银行进行的，每九个月是一个周期，在这段时间，每四到六个小时对每项职能进行排序。随后就是有代表性地对每一项职能进行一到两小时。作用领域表明：他们从这个过程中获得的价值超过了相关的时间和资源成本。支持上述的一个证据，是在该领域的高端项目的计划和实施阶段，许多职能已经要求ERM进行项目层面的风险评估的跟踪评估。数据收集：抓住每个风险的以下四个主要因素：固定标准、趋势、缓解和剩余水平。除了趋势以外，其他专业术语与COSO的ERM工作框架是一致的。固有风险是在缺乏行动管理时对职能的风险。趋势是一个向前看的度量标准，其目的是在计划范围内（这个过程有12至18个月）把握风险的方向。缓解就是管理层将风险降低到可以接受的水平所采取的措施，被定义为管理者的风险容忍度。剩余风险是指对一6特定风险实施了风险应对战略后仍然存在的风险。一旦确定后，这类风险就要根据会议参与者的判断给予等级，并包含所有的四个要素。固有和剩余风险都包含两个因素：可能性和影响。可能性就是一件事情即将发生的概率。影响就是如果事件发生所造成的损害。可能性和效果被定为五级（见图2和3）。趋势被定为三级（增加的，稳定的和下降的），相对于固有和剩余的风险，认趋势可以认为是常量。当前缓解策略可以察觉到的效果被定为四级8（最小限度，偏袒，满意和非常强硬）。虽然计划的或将来的缓解可以进行讨论，但是缓解的效果仅仅根据当前的情况给予评价。图表2：可能性范围可能性等级定义1.不可能的如果风险发生，将是令人震惊的2．可能的不可能的，但是如果发生并不惊奇3．50－50难以定夺的事4．很可能的可能的，但是如果不发生不惊奇5．接近必然的如果不发生将令人震惊7图表3：影响范围影响等级定义1．可以忽略的：事件如果发生了，将导致接近零预算变化，对你的消费者、战略目标、或者项目时间表产生细微的影响，并且从审计师那里不会得到负面评价。媒体是不可能知道的。2．次要的：如果事件发生了，将导致相当小的预算变化，对你的消费者或项目时间表产生小的影响，并且从审计师那里不可能肯定就能得到一个否定的意见。战略目标将仍然适合。媒体覆盖从不可能到可能。3．中等的：如果事件发生了，将导致显而易见的预算变化（导致一些资源的转移），你的消费者将有一些消极的反馈，项目时间表将有些改变或推迟，并且审计师可能出具否定的意见。战略目标将仍能实现，但可能是危险的。媒体覆盖可能达到50/50。84．严重的：如果事件发生了，将导致重大的预算变化（要求CFO正式批准非预算资金），你的一些消费者有消极的反馈，项目时间表有一些重大的改变或推迟，审计师很可能出具否定的意见。战略目标是危险的。媒体覆盖可能接近必然。5．危急的：如果事件发生了，将导致重大的预算变化（要求董事会正式批准非预算资金），你的大部分消费者有消极的反馈，项目被取消，审计师出具明显的否定意见。战略目标将不能实现。媒体覆盖接近必然并广泛传播。对银行的声誉有很大的负面影响，并且能导致失去主要商业链。在数据收集模板中，三个特定的数据要素集中了对公司风险的看法，每个职能风险也根据它对公司目标的影响、对公司的残留影响和“总风险”进行评价。为了把一个职能风险确定为公司目标风险，必须有达到那个目标直接的或有害9的影响。公司的影响是如果风险发生对公司目标残余的影响，或者如果不尽力去达到目标而对使命所产生的影响。由于职能评估完成了，主题出现在职能风险里。例如，一些职能可能已经确定作为一个风险没有能力去吸引和保留有资质的职员。很明显，这将可能影响执行其职责的职能能力。这个主题将被确定为总风险，并且仅存在于这样的事实中：相对于职责而言它发生了很多次。每个风险也和它所存在的一个总风险相联系。职能报告一旦所有确认的风险经过讨论，并且已经选择了可能性、影响和缓解水平，为了管理评价，职能显示报告就产生了。这个职能显示报告包括三方面信息：合成风险曲线图、剩余风险密度图和十大风险。在它们的领域这个显示为职能管理提供了最高的剩余风险行动信息，也就是说，实现其目标的最高风险。合成风险曲线图（图表4）展示了平均固有的风险水平和平均剩余风险水平，通过暗绿色的条状展示了二者的不同。这个图表风险水平仅仅是相关水平的乘积。例如，一个固有的大概可能性（4）乘以一个固有适度的影响（3）乘以一个对于渐增价值的加权趋势值（1.5），我们得到一个固有的风险价值18（4×3×1.5）。加权趋势0.75是渐减的，1是稳定的，1.5是渐增的。大量渐增加权是尽量使正出现的10风险更显著。在Y轴上小的、中间的和大的刻度是组织——细节。为了说明这个图表，每个种类代表原比例的1/3。然而，并不希望刻度间隔是相等的，被调整到与组织——细节的公差相一致。图表4:合成风险曲线图大中等大中等中小小剩余风险密度图（见图表5）表示出对于一个目标平均固有的（大的菱形）和剩余（大点）调整趋势的可能性和影响，以及对于该目标十大剩余风险的位置。趋势调整的可能性和影响是在他们两者之间已经分配趋势权重的价值9。分配是这样确定的：在固有的和剩余的水平之间，为了可能性和目标4目标5目标1目标2目标311˙˙·˙潜在过分缓解˙˙˙˙˙˙˙影响，各自多少单元发生了变化。所有与这个目标相联系的剩余风险都可能列入表中。然而，仅仅只有前十个展示在图表5中。三个区域——潜在之上的缓解、公差和潜在之下的缓解――是贴近公司实际的并以风险偏好为基础。一个进入潜在之下缓解区域的风险可能被管理者所接受，并且进一步的行动可能不会获得批准。一个进入潜在之上的缓解区域的风险与他们所需消耗相比，可能需要更多的资源。剩余风险密度图的一个最终方面是这个曲线图背景的底纹。这个底纹是由风险的集中度所决定的，在那里是风险侧面的一个区域。例如，暗绿色表明有大量的风险（剩余）集中在图表的那个领域。黄色的表明仅仅有少量的风险存在那个领域，以及棕褐色表明在图表的那个区域没有风险。图表5：剩余风险密度表公差影响可能性12包括在显示报告的最后一部分信息是职能最高的十个剩余风险的排列。因为在评估中仅仅有一些不连续的等级选择（例如，五个影响和五个可能性名称），一个分段的方法用以在风险之间进行区分是必要的。用一个可接受的分段方法（Borda,1781）10执行这个排序。排序所用的标准是倾向调整可能性、倾向调整影响和区域（因为潜在之下的缓解区域是最高核心）。列在前十位给出了管理行动的信息，就是在哪里他们可能集中行动以降低剩余风险。这个工作框架的弹性是报告不需要顺着目标。通过任何所需要的分类，报告很容易调整到可以去汇报。例如，报告可以从负责的和执行的官员那里产生，而不是目标。公司观点与职能水平显示报告相似，一个公司的显示报告可以在以下两种方式来提高：首先，用公司的剩余影响取代职能剩余影响，报告公司的目标而不是职能目标。然而，在FRBR，当和高级管理人员或公司的风险委员讨论风险时，官方发现一系列选择性的报告是更有用的。公司概况（如图表6）展示与银行平均风险（红线）和风险容忍范围（黄色阴影区域）相对的每个目标的平均风险水平（暗绿色的条）和最大的风险披露（淡绿色条）。银行平均的是所有风险（公司剩余）和前面讨论过的影响－可能曲线图区域相对应的风险容忍范围的算术平均值。通过这个13报告，高级管理人员在FRBR的承受范围和平均风险的情况下，根据最多的风险事件和最高风险事件，能够很快确定目标。在这个报告里，职能或总体风险可能很容易被目标取代。目标#3目标#1目标#2目标#5目标#