搜索
COSOERM2017Alon——辛波斯卡——LoveatFirstSight《一见钟情》1.背景2.应用框架:与情境结合3.风险和企业风险管理相关术语4.战略、业务目标和绩效5.整合企业风险管理6.要素和原则7.COSOERM实务背景15COSOERM的变迁COSOERM2013COSOIC2013COSOERM2017COSO情境化业务模型6COSO框架如何可以帮助“提升组织的绩效和治理”2014年2月内控(IC)5要素融入业务模型7风险管理(ERM)8要素融入业务模型8治理战略制定战略计划业务计划执行采取措施监督ERM要素与情境化业务模型的关系内部环境目标设定事件识别风险评估风险响应事件识别风险评估监督监督控制活动信息与沟通信息与沟通9为什么升级?•为企业风险管理在制定和执行战略时的起到的作用提供了更深入的见解•强调了绩效和企业风险管理之间的关系•更加适应治理和监管的要求•认识到了市场和经营的全球化,以及对量身定制但又适用于不同地区的方法的需求•提出了新的风险视角,以在更复杂的业务背景下制定和实现目标•扩展了报告范围,以满足利益相关者对更高透明度的期望•涵盖了新技术和数据分析对决策制定的作用10为什么升级?ISO310002009版ISO310002018版11一个新的名称•重新命名为企业风险管理—与战略和绩效进行整合•认同战略和实体绩效的重要性•进一步从内部控制描述企业风险管理12COSOERM2017框架的十个关键事项文件结构原则图形整合价值战略绩效文化决策内部控制131.提供一新的文件结构框架关注更少的要素(5个)•使用受关注的例子来强调关键点(30)•伴随业务模型对比单独的风险管理流程142.介绍原则5要素包括了20个原则1.实施董事会风险监督2.建立运营结构3.定义所期望的文化4.垂范对核心价值的承诺5.吸引,发展,和保留有才华的个体6.分析业务情境7.定义风险偏好8.评估可选战略9.形成业务目标10.识别风险11.评估风险严重性12.排序风险13.实施风险应对14.开发组合视图15.评估潜在变化16.评审风险和绩效17.追求企业风险管理改进18.利用信息和技术19.沟通风险信息20.汇报风险,文化和绩效153.引入新的图形图形更紧密联系业务模型使命,愿景,和核心价值战略制定业务目标建立实施和绩效提升的价值治理和文化战略和目标设定执行过程评审和调整信息、沟通与汇报企业风险管理164.关注整合•ERM与业务实践整合,为改进提升决策提供更好的信息并带来更好的绩效•它帮助组织:•更早、更明确预测风险,为管理风险提供更多选择•识别并追求现有的和新的机会•更快速、更有针对性应对绩效的偏差•开发和汇报更易于理解以及更一致的风险组合视图•提升协作、信任和信息共享175.强调价值•加强价值关注点—实体如何创造、保留并实现价值•在整个框架中嵌入价值,由下列因素来突显:•在企业风险管理的定义中突显•在原则中扩展讨论•连接风险偏好•对管理风险到可接受水平能力的关注186.连接战略•从三个不同的方面的来探索战略•战略和业务目标未与使命、愿景和价值保持一致的可能性•战略选择的含义•执行战略的风险战略,业务目标和绩效使命,愿景,和核心价值提升的绩效战略未对齐的可能性战略选择的含义战略和绩效风险197.连接绩效•通过积极管理风险和绩效来促进战略的实现•关注风险对于绩效为什么不可或缺的,通过:•探讨企业风险管理如何支持影响绩效的有关的风险的识别和评估•讨论绩效偏差的容忍度•管理战略和业务目标情境中的风险—而不是单独的风险207.连接绩效绩效目标风险风险轮廓风险偏好风险容量A容忍度•引入新的风险轮廓表示方法,包括:•风险•绩效•风险偏好•风险容量•提供一个易于理解的风险视图并实现更有风险意识的决策。•在附录中框架提供构建一个风险轮廓的完整方法218.认同文化的重要性•阐述企业风险管理中日益增加的焦点、关注点以及文化的重要性•影响企业风险管理的各个方面•在更广泛范围内探讨文化•在一个风险图谱中描绘文化行为•探讨文化对决策制定的可能影响•探讨个体与实体行为文化间的一致性风险厌恶风险中性风险进取风险图谱229.聚焦决策制定•探讨企业风险管理如何促进风险意识决策•突出风险意识优化并与影响绩效的决策保持一致•探讨风险意识决策如何影响风险轮廓风险意识决策风险偏好文化战略业务情境风险轮廓假设2310.建立与内部控制的连接•ERM2017框架并不取代内部控制—整合框架•两个框架是相关独立且相互补充的•两个框架都使用要素和原则的结构•内控与企业风险管理共通的内容不重复•内控的有些内容在ERM2017框架中进一步发展应用框架:与情境结合225企业风险管理的前提:价值的创造、保留和实现企业风险管理过程风险影响能力现在的位置价值研发营销生产供应链客服运营“价值创造、保留和实现”的过程确定组织准备或能够接受的风险数量提升能力26企业风险管理影响价值主体的价值主要是由管理层制定的决策所决定的—从总体的战略决策到日常的决策。那些决策可以决定价值是否被创建,保存,实现或损害。•当所配置的资源价值少于由配置所获得的收益时,价值得以创造•这些资源可以是人,财务资本,技术,流程和市场地位(品牌)创造•当日常运作中所配置的资源价值保留所创造的收益时,价值得以保存•例如,价值被保存较好的产品,服务和生产能力的交付中,导致满意的客户和利益相关人保存•当利益相关人获得主体创造的收益时,价值得以实现。收益可能是货币型的或非货币型的。实现•当管理层实施没有产出期望的结果或未在日常任务中得以执行的战略时,价值受到损害。损害27使命、愿景、和核心价值•主体的核心目的,基于它想要实现什么以及为什么存在而建立使命•组织对未来状态或组织随着时间变化而致力于实现的东西的强烈愿望愿景•有关影响组织行为是好或坏的,可接受的和不可接受的主体信仰或理念核心价值使命、愿景和核心价值的良好实践:Volvo的汽车安全之道28•2016年1月18日,EuroNCAP发布的2015年年度“最安全车型(BestinClass)”评选中,全新XC90摘下了大型越野车和整体安全性能类别的双桂冠,刷新了EuroNCAP有史以来SUV安全碰撞成绩新纪录。•1959年的三点式安全带,它被公认为是人类历史上,挽救了最多生命的技术发明之一。•1964年第一个儿童专用后座的原型经过测试,1972年在沃尔沃的客车上推出。•1991年推出SIPS侧撞保护系统.使命、愿景和核心价值的良好实践29核心价值声明30企业风险管理影响战略•定义:指一个组织为实现其使命和愿景以及运用其核心价值观的计划•价值:一个良好定义的战略实现有效率的资源配置和有效果的决策制定,为建立业务目标提供路线图战略企业风险管理影响战略的制定。一个整合了企业风险管理到制定战略过程的组织为管理层提供它需要考虑的战略选项以及,最终,采纳一个特定战略的风险信息。战略评价战略执行战略制定战略监督战略管理过程31企业风险管理与业务连接企业风险管理与业务的所有其他方面进行整合,包括沟通治理,战略,绩效管理和内部控制。治理风险管理管理内部控制支持32“治理”、“绩效”“绩效管理”的定义32•定义:指在利益相关人、董事会和管理层间进行角色、权力和职责分派•范围:治理的一些方面超出企业风险管理之外(比如,董事会成员的招聘和评价;开发实体的使命、愿景和核心价值)治理•描述对比预设目标,测量行动如何完成绩效•一个良好定义的战略实现有效率的资源配置和有效果的决策制定,为建立业务目标提供路线图绩效管理33企业风险管理的收益•通过考虑所有合理的可能性、包括风险的正面和负面因素。管理层可以识别主体的机会以及与当前机会相联系的独特挑战。增加机会的范围•每个主体面临可以影响主体许多部分的各式各样的风险。有时一个风险来自于主体的一个部分但影响了不同部分。识别和管理主体范围的风险•企业风险管理允许组织提升其识别潜在风险并建立适当的响应措施的能力,减少意外和相关成本或损失。减少意外和损失•对于一些主体,挑战更少关于意外和损失的情况,而更多是关于绩效的变量。减少绩效变量•获取有关风险的强有力信息允许管理层评估总体资源需求并提升资源的分配。改进资源配置34企业风险管理以及适应,生存和发展的能力适应发展生存市场全球化技术突破合并与收购资本市场波动竞争政治稳定性劳动力能力监管企业风险管理过程可持续能力危机管理计划预测弹性宏观情境成长和增加价值影响实现有原则的绩效之路35G治理绩效风险合规审计PmRmCmG利用通用能力利用通用能力利用通用能力路径系统能力我们的愿景,使命和价值观是什么?可靠实现目标同时注重诚信的商业模式是什么?自愿性边界由管理层定义,包括价值观,义务和其他承诺。这是我们实现目标的商业模式运营计划。我们向目标进发,我们应该在边界之内。…并说明不确定性。有时不确定性威胁我们的目标以及我们必须采取行动。我可以帮助提供保证管理层和董事会的事项得以完成—以我们希望的形式。强制边界由外部力量定义,包括政府法律和法规。我需要向目标迈进,我要走捷径。不可以跨越这两边界,它们代表我们的所做的承诺。有时不确定性意味着我们可以抓住的机会。我们的绩效计分卡看起来和风险和合规相关吗?我们有统一的方法来测量和汇报,现在我可以提供更好的保证。现在我们更有效使用我们的资源,我们更有竞争力,结果较以往更好。技术通过编排整合的治理,审计和系统,组织可以可靠实现目标,同时处理不确定性并保持诚信核心治理、审计和管理系统是一个组织的主干。它们为多种目的提供能力将能力视为用于许多目的的“工具”。开发可被你的治理、管理和审计系统利用的能力。通过这一方式,当你的能力提升时,所有系统将获准了解匹配执行评审风险和企业风险管理相关术语337“风险”和“风险管理”的定义风险:将出现并影响战略和业务目标实现的事件的可能性企业风险管理:与战略设定和执行相整合的文化,能力和实践,组织利用其管理创造、保存和实现价值的风险。•事件:发生的事件或事件集。•不确定性:不了解潜在事件可能或可能不出现的状态。•严重性:对诸如可能性以及事件的影响或从事件中恢复所需的时间的测量或考虑•识别文化•开发能力•应用实践•与战略设定和执行整合•管理战略和业务目标的风险•与创造、保存和实现价值相连接风险定义相关要素风险管理深入见解38“风险轮廓”风险轮廓绩效目标风险风险轮廓:在实体特定层面,假定的风险的组合视图,或者管理层考虑风险的类型、严重性以及相互独立性的业务模式方向的定位。•基于组织管理风险的能力,寻求最优绩效水平(比如,组织的目标定位)•确定与目标相关的绩效可接受偏差(比如,组织建立绩效目标的上限和下限)•理解组织风险偏好情境中的绩效水平(比如,组织与风险偏好的关系•识别组织为提升绩效接纳更多风险的地方风险轮廓可帮助管理层39“风险偏好”以及“风险容量”绩效目标风险风险轮廓风险偏好风险容量风险偏好:在广泛层面,一个组织追求价值过程中,愿意接受的风险类型的数量。风险容量:在追求战略和业务目标过程中,组织可吸收的最大数量的风险。•组织为提升价值制定决策是使用•帮助可接受的风险数量与组织管理风险和机会的能力保持一致•设定战略和业务目标的相关性,帮助管理层考虑绩效目标是否与可接受的风险数量保持一致•在与董事会沟通预期风险轮廓时提供帮助•相关性以及与风险容量保持一致•在以组合视图评价汇总风险时使用风险偏好的重要应用40“绩效的可接受偏差”绩效目标风险风险轮廓风险偏好风险容量A绩效的可接受偏差:与实现业务目标相关的可接受的结果的边界(包括超出目标的边界,和未达标的边界)容忍度41企业风险管理“三条问责路线”治理主体、董事会、各委员会高级管理层第一路线:核心业务第二路线:支持单元第三路线:保证职能•实施并执行日常任务以管理绩效和为实现战略和业务目标所承担的风险•提供绩效和企业风险管理需求的指引•并评价所定义标准的遵循情况•以合适的风险应对直接介入修订和支持第一路线•执行审计和审查企业风险管理实践•识别问题和改进机会•提出建议并保持董事会和管理层能够及时了解事件所需的解决方案外部审计高级