2017版COSO-ERM解读

2017版COSO-ERM解读•2017版COSO-ERM的必要性•新版框架的主要变化解读•新版框架要素和原则解读•新版框架对企业风险管理发展的启示发布新版ERM框架的必要性2•董事会对企业风险管理能力和实践寄予厚望•利益相关者有意提高信息透明度并明确责任追究制度•企业环境愈加复杂化，逐渐趋于技术化和全球化•从近来发生的事件中吸取经验教训深有必要，且相关舆论也一直在发酵•风险专业人士希望以较前沿的方式来陈述企业风险管理理念•企业风险管理实践范围不断扩大3新版ERM框架的主要变化分析1.建立全新的框架结构2.改进风险及风险管理的定义3.将风险管理提升到战略层次4.展示风险管理对绩效目标设定和实现的作用5.风险管理应涵盖企业各个层面的风险【全层面】6.风险管理融入到所有业务流程中【全流程】7.明确将企业风险管理纳入决策流程【由事后决策-事前决策、事中决策】8.实现风险管理对价值创造的作用新ERM框架主要变化41.建立全新的框架结构引入企业价值创造模型建立贯穿企业价值创造过程的五大要素订立20项支持性原则，共同阐述企业风险管理框架。新版COSO-ERM框架，建立了全新的框架结构，从2004版的8要素立方体框架，发展成为贯穿企业价值创造全过程的5要素20项原则。运行52.改进风险及风险管理的定义事项发生并影响战略和绩效目标实现的可能性。事项发生并给目标实现带来负面影响的可能性。新版框架强调了风险带来影响的双面性。组织关注的风险通常是那些会产生负面结果的。风险也可能产生正面的结果，例如：天气状况比预报的要好，更高的员工留职率或者更优的税率等，这些也应当考虑在内。新版框架明确了目标的范围，包括战略和绩效目标，风险既有可能对经营层面产生影响，也有可能对战略层面产生影响。2017版框架对风险的定义2004版框架对风险的定义6证。风险管理定义—“…文化、能力和实践”将风险管理工作直接从“一个流程或程序”提升到“一种文化、能力和实践”，用以实现组织创造、保持和实现价值。将ERM框架从一个“控制框架”发展为“管理框架”。2017版框架对“企业风险管理”的定义2004版框架对“企业风险管理”的定义73.将风险管理提升到战略层次使命、愿景和核心价值绩效提升战略与绩效所面临的风险新版框架从下面三个方面提升和扩展了风险管理对企业战略层面的作用：1.战略与企业使命、愿景和核心价值不一致的可能性；2.战略选择对风险的影响3.战略和绩效执行中所面临的风险84.展示风险管理对绩效目标设定和实现的作用新框架解释了风险和绩效之间的关系，风险管理成为设定绩效目标、实现绩效的一部分。同时强调了风险评估和风险报告不是用来生成一堆潜在风险清单，而是反映这些风险如何影响战略和绩效目标实现。在建立风险偏好时，企业应考虑设定的风险偏好对企业绩效目标设定的限定作用；企业应通过风险识别与评估工作，了解在不同假设条件下，影响绩效实现的风险状况，建立风险曲线；9通过对比企业承担的风险量和风险偏好的差距还可以协助组织更好的识别和发现发展机遇。在设定绩效目标时，企业应明确绩效目标以及在可接受的绩效波动范围内，企业所承担的风险不应高于风险偏好；企业提升风险管理能力，相当于同等风险偏好下，实际可接受风险量的提升，也导致绩效目标设定范围的扩大。，106.风险管理融入到所有业务流程中研究调查表明，企业常用与其日常管理活动相分离的独立方法来应对风险。风险管理被视为一项额外活动，由与业务项独立的人员负责执行。风险管理与业务管理的分离，导致缺乏对风险进行深入分析的能力，最终削弱风险管理能提供的价值。从战略目标的设定，到绩效目标的形成，再到执行过程中完成绩效的情况，企业风险管理工作不是额外、独立的工作。企业风险管理的角色是融入企业运营，管理绩效完成过程中的风险并最终实现企业对价值的追求。新版框架中强调了企业风险管理工作融入到企业的所有业务流程中去。117.明确将企业风险管理纳入决策流程企业核心价值链上的每一个阶段都会面临大量的决策，以实现创造、保持和实现价值。这些决策通常都是围绕战略目标选择、商业和绩效目标设定，以及资源分配进行的。只有将风险管理工作整合融入到企业全寿命周期的各个决策环节，才能提供决策所需要的风险相关信息。新框架按步骤的分析了如何将发现和识别的风险状况信息用于提升整体决策水平。这些信息包括风险类型和严重程度，风险如何影响商业环境，识别和评估风险的基础假设，企业的风险文化和风险偏好等。风险假设风险状况风险偏好基于风险的决策商业环境文化战略128.实现风险管理对价值创造的作用风险管理为企业的各项经营管理决策提供有效的信息支持，在企业价值创造的各个环节发挥支持和促进作用。保证使命、愿景和核心价值在战略制定和实施中落实。评估和分析企业可选战略中的风险状况以及风险影，。发现新的战略机遇。支持企业在可接受风险水平下合理设定业务目标。识别可能影响绩效目标实现的风险并有效应对，发现和改进绩效偏差。实现风险管理在企业价值发现、定义、传递过程中的作用。使命、愿景和核心价值战略制定业务目标构建实施与绩效价值提升13新版框架结构–5要素、20项原则使命、愿景和核心价值战略制定业务目标构建实施与绩效价值提升企业风险管理治理与文化战略与目标设定运行审阅与修正信息沟通与报告1.实现董事会对风险的监督2.建立治理和运作模式3.定义期望的企业文化4.展现对核心价值的承诺5.吸纳培养并留存优秀人才6.分析业务环境7.定义风险偏好8.评估可供选择的战略9.形成业务目标10.识别风险11.评估风险严重程度12.区分风险的优先次序13.执行风险应对方案14.建立风险组合观15.评估重大变动16.审阅风险和绩效17.持续改进企业风险管理18.充分利用信息和技术19.沟通风险信息20.对风险、文化和绩效进行报告14风险管理要素与原则–治理与文化治理与文化对企业和风险管理的重要性治理与文化原则“治理”确定企业的基调，强化企业风险管理的重要性，并确立企业风险管理的监督职责。“文化”传递企业的价值观，定义企业的行为准则，体现对风险的理解，并作用于企业经营管理和决策过程中。治理与文化为企业风险管理其他四大要素提供了基础。1.实现董事会对风险的监督2.建立治理和运作模式3.定义期望的企业文化4.展现对核心价值的承诺5.吸纳培养并留存优秀人才15风险管理要素与原则–治理与文化治理与文化1.实现董事会对风险的监督2.建立治理和运作模式3.定义期望的企业文化4.展现对核心价值的承诺5.吸纳培养并留存优秀人才1.实现董事会对风险的监督董事会对企业的风险监督负有首要责任。确认董事会和管理层对风险治理的责任分配。一般来说，董事会成员具有丰富的行业经验和技能，且独立于管理层，这使得他们能提供风险治理的整体战略和独立视角。将风险管理的日常责任交给管理层或者特定的委员会，如风险管理委员会。16风险管理要素与原则–治理与文化治理与文化1.实现董事会对风险的监督2.建立治理和运营模式3.定义期望的企业文化4.展现对核心价值的承诺5.吸纳培养并留存优秀人才2.建立治理和运营模式组织应该建立完整的治理结构、运营模式和汇报体系，明确组织内部的职责分配。基于治理和运营模式，管理层结合企业的使命、愿景和核心价值来计划、组织并执行企业战略。管理层通过授权给特定机构的形式来掌握、管理相关风险，需要不同机构之间明确权责的分配，并共享对风险的理解。而随着组织的发展，运营模式和授权报告体系也需要做出相应调整。17风险管理要素与原则–治理与文化治理与文化1.实现董事会对风险的监督2.建立治理和运营模式3.定义期望的企业文化4.展现对核心价值的承诺5.吸纳培养并留存优秀人才3.定义期望的企业文化董事会和管理层通过定义期望的企业文化，将组织核心价值和对风险的态度具体化。建立一个所有员工都接受的企业文化对于企业抓住机遇、规避风险来说至关重要。理想的企业文化应充分体现风险意识，包括：英明果断的领导力、当仁不让的管理风格、对行动和行动结果认真负责的态度、决策过程中对风险的明确考量，以及积极开放的风险对话。风险意识文化可以确保风险管理被纳入日常业务管理中。18风险管理要素与原则–治理与文化治理与文化1.实现董事会对风险的监督2.建立治理和运营模式3.定义期望的企业文化4.展现对核心价值的承诺5.吸纳培养并留存优秀人才4.展现对核心价值的承诺董事会和管理层共同建立组织基调，并渗透至企业各个层面。管理层在日常工作中不断解读、强调和践行企业核心价值。制定员工行为准则，将员工个体的行为和组织价值结合起来。建立行为准则的评价机制和方法，任何偏离这些准则的行为都必须予以及时处理。19风险管理要素与原则–治理与文化治理与文化1.实现董事会对风险的监督2.建立治理和运营模式3.定义期望的企业文化4.展现对核心价值的承诺5.吸纳培养并留存优秀人才5.吸纳培养并留存优秀人才组织应致力于建立符合战略和业务目标的人力资本。管理层必须界定执行战略所必需的知识、技能和经验。组织需要建立在各个层级评价工作能力的机制。董事会评价管理层的能力，管理层评价各个业务单元或者职能部门的能力。管理层通过在不同层面建立人力资源管理体系来吸引、培训、指导人才，评价和留住人才。20风险管理要素与原则–治理与文化从多维度关注战略制定战略与目标设定原则明确战略制定流程需整体考虑的三个维度，将有关战略的讨论及企业风险管理与战略的结合提升至一个新层次。“战略执行风险”，战略执行过程中的风险；“战略可能会不符合”企业的使命、愿景和核心价值；“所选战略的影响”，每个可能的战略都有其自身的风险特征，企业需要考虑战略是否与企业的风险偏好一致，以及它会如何推动企业制定目标，并最终对资源做出有效分配。6.分析业务环境7.定义风险偏好8.评估可供选择的战略9.形成业务目标21风险管理要素解读–战略与目标设定战略与目标设定6.分析业务环境7.定义风险偏好8.评估可供选择的战略9.形成业务目标6.分析业务环境组织应考虑业务环境对风险图谱的潜在影响。透过内部和外部的环境来审视业务环境。外部环境包括政治、经济、社会、科技、法律和环境等方面，内部环境包括资本、人力、流程和技术等方面。考虑内外部利益相关方的角色，因为他们可能会给内外部环境带来重大改变。管理层必须考虑业务环境变化所产生的风险，并在执行战略和实现业务目标的过程中予以灵活应对。22风险管理要素解读–战略与目标设定战略与目标设定6.分析业务环境7.定义风险偏好8.评估可供选择的战略9.形成业务目标7.定义风险偏好组织在创造、保存和实现价值的过程中定义风险偏好。制定战略要考虑风险偏好声明，管理层要做好有关沟通，董事会需全力支持，并且要整合至整个企业。风险偏好受到企业使命、愿景和核心价值观的影响，亦需考虑企业的风险特征、风险容量、风险能力和成熟度、文化，以及业务环境。负责确定风险偏好的董事会和管理层必须完全了解不同风险偏好所代表的取舍和利害关系。对于一些组织来说，“风险激进”或“低风险厌恶”已经足够区分，对于另外一些组织来说，风险偏好必须是可以量化的。23风险管理要素解读–战略与目标设定战略与目标设定6.分析业务环境7.定义风险偏好8.评估可供选择的战略9.形成业务目标8.评估可供选择的战略企业在对各种战略选项进行评估时，应充分识别可能影响战略实现的相关风险要素。董事会和管理层必须明确不同战略选择所带来的风险影响，将战略和风险偏好结合在一起考虑，并依据不同情况和阶段调整战略。如果战略获得通过，那么可能影响战略实现的相关风险要素也必须得到识别和长期监控。24风险管理要素解读–战略与目标设定战略与目标设定6.分析业务环境7.定义风险偏好8.评估可供选择的战略9.形成业务目标9.形成业务目标在企业的各个层面制定与战略相符并为战略提供支持的业务目标。这些目标应当与企业的风险偏好保持一致。业务目标可以为财务表现、客户满意度、卓越运营、合规、效率提升或者领先行业的创新等等。针对各项业务目标界定可接受的绩效偏差（风险容忍度）