企业风险管理整合框架及其评价

企业风险管理整合框架及其评价在内部控制标准制定方面,美国发起人组织委员会(COSO)一直是国际公认的权威机构,自其成立以来,一直致力于内部控制标准的制定,引导和代表着内部控制的发展趋势。1992年,COSO提出了《内部控制——整合框架》,经过十多年的应用.已成为业界普遍认可的一个标准。2004年9月,COSO又提出了《企业风险管理——整合框架》,它既是对《内部控制——整合框架》的超越,也标志着内部控制的转型,在内涵界定、目标体系、构成要素等方面都进行了拓展和延伸。一、企业风险管理的性质(nature)与定位这些年来.一系列财务失败事件的发生以及对企业风险管理的关注,使人们越来越清楚地认识到需要一个强有力的框架以便有效地识别、评估和控制风险。2001年,COSO开展了一个项目,委托普华永道开发一个对于管理当局评价和改进他们所在组织的企业风险管理的框架。但在开发这个框架期间,又发生了一系列令人瞩目的企业丑闻和失败事件,投资者、公司员工和其他利益相关者因此而遭受了巨大的损失。随之而来的便是对采用新的法律、法规和上市准则来加强公司治理和风险管理的呼吁。人们迫切需要一个能够提供关键原则和概念、共同的语言以及明晰的方向和指南的企业风险管理框架。美国在2002年颁布了《萨班斯-奥克斯利法案》,其他国家也已经通过或正在考虑类似的立法。这部法律扩充了长期持续的对公众公司保持内部控制制度的规定,要求管理当局证实、并由独立审计师鉴证这些制度。2004年9月,COSO发布了《企业风险管理——整合框架》,它拓展了内部控制框架,更关注于企业风险管理这一更加宽泛的领域。按照COSO的设想,他们不打算、也的确没有用企业风险管理框架取代内部控制框架,而是将内部控制框架纳入其中,公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要,还可以借此转向一个更加全面的风险管理过程。(一)企业风险管理的性质COSO在其报告中指出,企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其限制在该主体的风险容量之内,并为主体目标的实现提供合理保证。与内部控制相比,企业风险管理补充了两个内容:一个是战略目标;一个是风险控制。COSO在对《企业风险管理》的界定中重点强调了七个属性和理念:(1)企业风险管理是一个过程,它持续流动于企业之内:(2)企业风险管理是由组织中各个层级的人员来实施的;(3)企业风险管理应用于战略制定的过程中;(4)企业风险管理贯穿企业整体,在各个层级和单元应用,还包括采取企业整体层级的风险组合观;(5)企业风险管理旨在识别那些一旦发生将会影响企业的潜在事项,并把风险控制在风险容量以内;(6)企业风险管理能够向一个企业的管理当局和董事会提供合理保证:(7)企业风险管理力求实现一个或多个不同类型但相互交叉的目标。COSO秉承了其“整合”的思路,给出了企业风险管理的一个宽泛的定义,通过提炼对公司和其他组织风险管理的关键概念,为不同组织形式、行业和部门的应用提供了基础,另外,它直接关注特定主体既定目标的实现,并为界定企业风险管理的有效性提供了依据。COSO认为,企业风险管理应发挥以下作用:(1)衔接风险容量(riskappetite)与战略。管理当局在评价战略方案、设定相关目标和建立相关风险的管理机制的过程中,需要考虑所在主体的风险容量。(2)增进风险应对决策。企业风险管理应能提高企业选择风险应对策略的准确性。(3)抑减经营意外和损失。主体识别潜在事项和实施应对的能力得以增强,抑减了意外情况以及伴随而来的成本或损失。(4)识别和管理贯穿于企业的多重风险。每一家企业都面临影响自身不同组成部分的一系列风险,企业风险管理有助于有效地应对交互影响,以及整合式地应对多重风险。(5)抓住机会。通过全面考虑潜在事项,促使管理当局识别并积极地把握机会。(6)改善资本配置。获取强有力的风险信息,以使管理当局能够有效地评估总体资本需求,并改进资本配置。(二)企业风险管理的定位COSO在界定企业风险管理时,明确了两个所属关系:(1)内部控制是企业风险管理的一个组成部分;(2)企业风险管理是管理过程的一个组成部分。企业风险管理框架的要素都是管理层经营一个企业所做的事情。但是,并非管理层做的事情都是企业风险管理的组成部分。在管理层的决策与相关管理行为中应用的许多判断,尽管是管理过程的组成部分,但不是企业风险管理的组成部分。例如,确保有一个适当的目标设定过程是企业风险管理的一个关键组成要素.而管理层选择的特定目标不是企业风险管理的组成部分:在适当风险评估的基础上对风险做出反应是企业风险管理的组成部分。而所选择的特定风险应对策略和相关的资源配置不是企业风险管理的组成部分:确定和实施控制活动以确保管理层选择的风险应对策略得到有效的实施是企业风险管理的组成部分,而所选择的特定控制活动不是企业风险管理的组成部分。COSO在2003年10月发布的《企业风险管理框架(草稿)》中列示了一般管理行为。并指出哪些构成了企业风险管理。企业风险管理包括那些能够使管理层依据可靠信息做出风险基础决策的管理过程.但是.从一系列适当的选择中选出的特定决策不会决定企业风险管理是否有效。另外,普华在最近的一份报告中提出了一个GRC(Governance,Risk,Compliance)模型。该报告认为,组织可以通过把GRC战略性地整合进它们的经营中,以形成一个可以对企业进行管理的道德和经营框架。这个框架包括治理(Governance)、企业风险管理(EnterpriseRiskManagement)和遵守(Comphance)三个组成部分,从中可以看出企业风险管理的定位。在这个框架中,治理活动包括设定经营战略和目标,确定风险偏好,建立文化和价值观。制定内部政策和监督绩效;风险管理活动包括识别和评价那些可能会影响目标实现能力的风险,应用风险管理来获得竞争优势和确定风险应对策略和控制活动;遵守活动包括遵照目标经营,确保遵守法律和法规、内部政策与程序以及利益相关者的委托。二、企业风险管理的目标体系企业风险管理框架提出了四类目标:(1)战略(Stntegic)目标,即高层次目标,与使命相关联并支撑使命;(2)经营(operations)目标,高效率地利用资源;(3)报告(reporting)目标,报告的可靠性;(4)合规(compliance)目标,符合适用的法律和法规。在这个目标体系中,增加了内部控制整合框架中所没有的一类目标:战略目标。虽然是平行的方式列示,但是,战略目标在这个目标体系中是最高层次的,其他三类目标都应当从属于战略目标。都是在为战略目标服务。此外。企业风险管理框架的报告目标也有所拓展。在内部控制框架中,报告指的是公布的财务报表.报告目标主要关注公布的财务报表的可靠性,而在企业风险管理框架中,报告包括由企业编制、向内部和外部散发的所有报告。而且,范围也从财务报表的财务信息扩展到了更广泛的非财务信息。尽管在企业风险管理框架中,并没有明确表示其遵守目标与内部控制的遵守目标有什么不同,但是,负责拟定企业风险管理框架的普华在其2004年的一份名为《整合——驱动绩效》(Integrity-DrivenPerformance)的报告中认为:“主要关注遵守法律、法规的传统合规方法是不充分的,遵守内部治理、道德与风险标准和政策在防止遭受与声誉相关的风险方面更有效。”该报告对“遵守”的内涵进行了拓展,提出了一个新视角的“遵守”,给出了一个遵守风险的新定义。遵守风险是指“由于没有能够遵守法律法规、内部规则和政策以及顾客、雇员和社会等主要利益相关者的期望而导致对组织的经营模式、声誉和财务状况产生损害的风险”。此外。内部控制整合框架1994年补充的“保护资产”目标在企业风险管理框架中并没有单列,因为COSO认为,这个目标的内容已经分别包含在了上述几类目标之中。对于目标的实现,企业风险管理与内部控制一样.只能提供合理的保证,而且,对于不同的目标所提供合理保证的内容也不尽相同。对于报告目标和合规目标而言,因为有关报告的可靠性和符合法律、法规的目标在主体的控制范围之内,所以可以期望企业风险管理为实现这些目标提供合理保证。但是,对于战略目标和经营目标而言,由于这些目标的实现还取决于一些不在主体控制范围之内的外部事项,所以,企业风险管理可以提供合理保证的是对目标的实现过程进行有效的信息沟通,即管理当局以及承担监督职能的董事会能够及时地了解企业目标实现的进展情况。三、企业风险管理——整合框架的构成企业风险管理包括八个相互关联的构成要素,它们源自管理当局的经营方式,并与管理过程整合在一起。(1)内部环境。管理当局确立关于风险的理念,并确定风险容量。所有企业的核心都是人(他们的个人品性。包括诚信、道德价值观和胜任能力)以及经营所处的环境,内部环境为主体中的人们如何看待风险和着手控制风险确立了基础。(2)目标设定。必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标,并保证选定的目标支持主体的使命并与其相衔接,以及与它的风险容量相适应。(3)事项识别。必须识别可能对主体产生影响的潜在事项。它包括表示风险的事项和表示机会的事项,以及可能二者兼有的事项。机会被追溯到管理当局的战略或目标制定过程。(4)风险评估。要对识别的风险进行分析,以便确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。(5)风险应对。员工识别和评价可能的风险应对措施,包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相适应。(6)控制活动。制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施。(7)信息与沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。广泛意义的有效沟通包括信息在主体中向下、平行和向上流动。(8)监控。整个企业风险管理处于监控之下,必要时还会进行修正。这种方式能够动态地反应风险管理状况,并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。企业风险管理框架与内部控制框架相比,在要素构成上主要有两个方面的变化:一是以“内部环境”取代“控制环境”,在“内部环境”中引入了风险管理理念、风险偏好两个概念。风险管理理念是一套共享的观念和态度,它标志着企业考虑风险时的特征,反映了企业的价值观。影响着企业的文化和经营方式。风险偏好反映了一个企业的风险管理理念,并影响着企业的文化和经营方式。另一个变化是企业风险管理更加关注风险.拓展了内部控制框架的风险评估要素,进一步细分为目标设定、事项识别、风险评估和风险应对四个要素。COSO提出的企业风险管理框架与1999年英国制定的特恩布尔报告中的风险管理模式有一定的相似之处。在结构方面,COSO沿用了内部控制整合框架中通过三维矩阵表现构成要素与目标之间关系的表示方法。四类目标用纵向的栏表示,八个构成要素用横向的列表示,而一个主体内的各个单元则用第三个维度表示。这种表示方式使使用者既能够从整体上关注一个主体的企业风险管理,也可以从目标类别、构成要素、主体单元,甚至其中任何一个分项的角度去加以认识。企业风险管理的构成和目标既是建立健全企业风险管理过程的依据.也是评价其有效性的标准。认定一个主体的企业风险管理是否有效,是在对八个构成要素是否存在并有效运行进行评估的基础之上所做的判断。构成要素如果存在并且正常运行,那么就可能没有重大缺陷,表示风险被控制在主体的风险容量之内。当企业风险管理分别在四类目标中的每一类下都被确定为有效时,就可以合理保证董事会和管理当局了解主体实现其战略和经营目标、主体的报告可靠性以及适用的法律和法规被遵循的程度。此外,八个构成要素在每个主体中的运行也不是千篇一律的。例如,在中小规模主体中的应用可能不太正式,不太完备。尽管如此,当八个构成要素存在且正常运行时,依然表示小规模主体的企业风险管理呈有