企业风险管理框架的构建摘要:在全球激烈竞争的市场中,企业面临的风险越来越多,由此引发的损失规模也越来越大,从而促使企业对风险管理给予高度的关注。本文在COSO的《企业风险管理——整合框架》基础上,借助PWC于2004年就全球CEO实施ERM的利益的调查报告,研究如何建立企业风险管理概念性框架。关键词:企业风险管理概念性框架构建企业风险管理(EnterpriseRiskManagement,以下简写为ERM)的实质是企业有效利用各种资源,以战略的方式管理风险,使企业在多变的环境下以稳健的方式运作,从而获得增加价值的机会。在全球竞争激烈的市场中,任何企业都处于动荡多变的环境之中。企业面临的风险越来越多,风险引发的损失规模也越来越大,这些都促使企业对风险管理给予高度的关注。2002年SOX法案的实施,以及2004年COSO(CommitteeofSponsoringOrganizationsoftheTreadwayCommission)的《企业风险管理——整合框架》的出台更是将ERM的研究提到了一个新的高度。一、关于ERM研究的文献综述从我们掌握的资料来看,近年来国外对于ERM的研究重点放在以下三个方面:ERM如何与企业整体相整合,如何以企业整体视角来看待ERM;企业通过执行ERM应当增加利益相关者的价值,从而使企业的利益最大化;企业在执行ERM的时候应当重视CRO的作用。COSO于2004年6月提出《企业风险管理——整合框架》(EnterpriseRiskManagement–IntegratedFramework),为企业有效地进行风险管理提供了强有力的理论指导。COSO的企业风险管理框架对企业风险管理的定义是:企业风险管理是一个过程,受组织的董事会、管理层和其他人员影响,贯穿整个企业,应用于战略制定。企业风险管理旨在识别影响组织的潜在事件,在组织的风险偏好范围内管理风险,为组织目标的实现提供合理的保证。PWC(普华永道会计公司)于2004年对来自全球的1394位CEO就实施ERM的利益的调查发现:47%的CEO认为实施ERM能够为组织创造平滑的治理程序;44%的CEO认为能够提升其冒险创造价值的能力;44%的被调查者认为有利于其对公司业绩的监控;39%的CEO认为有利于公司与利益相关者进行沟通;31%的CEO认为有利于澄清组织范围内的决策制定和命令链;30%的CEO认为可以提升CEO的全局的、创新的思考能力;28%的CEO认为有利于实现企业的战略目标;28%的人则认为ERM能提升组织的盈利能力。PatruckJ.Stroh(2005)指出在当前的环境下,不可能用一种方式管理所有的企业。企业要获得经营上的成功,超越利益相关者的期望等长期目标。然而一个潜在的失误就有可能改变一个企业的命运,所以必须将ERM与企业整合,增强公司治理,创建风险管理文化。BobStein(2005)认为ERM有助于企业更好地做决策,创造更大的相关者利益,提供更强有力的内部控制。国内关于企业整体风险管理的研究则主要集中在以下几方面:介绍COSO委员会于2004年底出台的《企业风险管理——整合框架》;分析该框架与1994年出台的《内部控制——整体框架》的异同;对于CRO的初步介绍。企业风险管理是一个较新的研究课题,企业在使用过程中会存在哪些问题与障碍?如何将ERM的概念转换成具体的行动步骤?这些在国内外研究甚少,本文就是针对这些问题进行研究。二、ERM给企业带来的利益以及存在的问题和实施障碍对于一个企业而言,没有无风险的运作环境,ERM也无法创造出这样的环境,但是它可以帮助企业在有风险的环境中有效稳健地运作下去。根据PWC对的调查,ERM是一个很重要的风险管理方法和过程,不能被孤立地应用。ERM与公司治理紧密相连,为董事会提供重大风险方面的信息,指导他们进行有效地管理。ERM还有一个很重要的部分就是与企业绩效相联系,为之提供调整风险和内部控制的方法。ERM还可以帮助企业达到自己希望的目标,同时避免发生损失和意外。ERM通过消除传统的部门间、职能间、文化间的障碍,将企业作为一个整体,利用全面的、整合的、聚焦未来和过程导向的方法,协助组织管理所有的关键风险,达到提升价值创造能力的目的。但即使是最有效的企业风险管理,无论其程序设计地多好,执行过程多完善,在达到战略目标的问题上也只能提供有限的保证。因此,ERM在实施过程中可能存在问题:因为资源的有限性,企业必须考虑与决策、风险回应和控制活动相关的成本费用和利益以及人员决策的失误。因此,实施ERM的障碍主要体现在:信息的有效性和及时性、上级期望和实际操作中存在的差异、来自外部环境中的竞争和企业的组织结构、技术、必要投资。三、ERM概念性框架的构建为了充分有效地利用风险管理,必须将风险管理的精神深植于企业的组织文化和员工的心中,并透过一个强有力的风险管理框架,将风险管理融入企业日常的作业程序中。建立ERM框架的核心是使管理者明确组织正面临怎样的风险、这些风险如何随经营环境的变化而变化、组织应承担什么水平的风险、应如何管理这些风险。在实践过程中,存在着不同种类的企业,每个企业的周围环境、业务范围、企业规模都存在很大的差异,企业应当根据自己的具体情况建立自己的ERM概念性框架。一个良好的适合本企业的ERM框架应达成以下目标:将风险偏好与企业战略相联系;确保风险管理战略与组织的发展战略和股东的价值相一致;提供鉴别和评估风险的工具,以利于鉴别和评估组织所面临的风险;提供对风险进行科学归类的工具,利用风险最优化的概念,以组合观为基础来探讨风险议题;将ERM与基本的经营活动相整合,避免额外的成本支出。构建ERM概念性框架的程序如下:1、构建企业风险管理的背景管理者根据组织所处的内外部环境建立企业的背景,包括建立企业的风险文化,制定明晰的战略、目标,明确企业的风险责任人和利益相关者,使用统一的风险语言。建立企业风险管理文化的时候要注意做到:建立风险管理哲学,采取措施去了解企业的风险偏好和关键的相关利益群,在了解的基础上就风险偏好与相关利益群沟通达成一致;在每一项活动中都要强调诚信和道德观的重要性;建立风险管理组织结构,明确董事会成员和重要执行官的责任,考虑成立一个风险委员会。构建企业背景的第二个关键问题就是制定明确的战略和目标,如果企业没有明晰的战略和目标,使用ERM就没有任何意义了。明确风险管理组织结构及风险管理活动的各级负责人的相关责任也是十分重要的。从董事会的执行者到每一位员工,风险管理是每一个人的责任。每一个人都要了解风险并承担相应的责任,在既定的风险承受力下管理风险。最后,在建立企业风险文化的时候要注意建立统一的风险语言,以方便企业内部关于风险的沟通和交流。2、定义风险定义风险是明确企业当前存在的重要风险。其原则是:鉴别可能影响战略和目标实现的所有风险,并深入分析各个风险之间的内部联系。定义风险过程具体操作如下:首先由企业内有经验的管理人员组成一个管理团队。各部门经理向管理团队提交威胁本部门的所有风险,由管理团队成员从中选出个人认为的十个最关键的风险,根据选择结果列出最关键的风险。第二步管理团队应对每一种风险加以讨论和投票。最后,得到最终的讨论计划,并据此派生出更多的管理行动计划。3、评估风险评估风险是ERM执行中关键的步骤之一。在评估风险的过程中要注意选择合适的评估技术,评估风险事件发生的可能性和频繁度,风险事件的潜在影响及其成本的高低,最后绘制一张风险地图。评估风险事件的方法有很多,如定量方法、定性方法,企业可以根据自身的具体情况来制定自己的评估方法。4、制定回应风险的措施风险回应就是要为每一个风险选择合理的回应方式,同时考虑所选的风险回应方式给其他风险带来的影响。在ERM过程中,风险回应是十分重要的,因为通过明确风险事件,决定是否接受或避免这一风险对一个企业而言是十分重要的决策。企业还要考虑所选的风险回应方式给其他风险带来的影响。因为各风险之间都是相互联系的,所以这也是ERM概念性框架中一个挑战的地方。根据风险带来的影响不同有七种主要回应方法:保持;减轻;增加;避免;降低可能性;减少结果;转移。5、控制措施控制措施就是在接受风险的情况下,评估因接受风险所带来的额外费用和保险费用,评估因控制带来的管理成本和回报。在降低风险的情况下,明确所需的控制活动,评估这些控制活动所带来的成本费用。控制活动还包括评估目前组织、程序、系统和反馈系统管理风险的能力。最后通过控制行为,调整风险地图。风险发生的可能性和频率是很难改变的,最有效的就是通过对风险管理成本的控制,将风险尽量调整到企业的风险偏好以内。6、沟通信息ERM概念性框架要求有高效的信息系统和沟通渠道。信息系统应当有效地追踪企业当前正在发生的事件以及已经避免的事件。同时企业还要保证有及时的关于企业各个层面的ERM报告。在风险活动中发生的成本费用和控制活动。其次要沟通ERM的有效性和成本费用。保证在企业中有定期的ERM报告,尤其是包括员工的责任义务完成状况以及对ERM的检查情况,CRO和其他重要的执行官要对ERM的有效性和成本加以测量和存档,同时明确向董事会和执行官报告的责任和途径。7、持续的监控风险不是静态的,风险的数量和可能性会随内外部环境的变化而变化,持续的监控对有效地管理风险是最基本的。通过持续的监控可以使企业明确在下一步的风险管理中应当改进的问题。通过这个环节可以明确ERM可以给企业带来的利益与价值,了解风险评估的正确性,为下一次的评估提供经验教训,明确风险回应决策的有效性,同时还有助于控制成本费用。总之,一个理想的ERM框架应以增加股东价值为核心,界定ERM关键的构成要素,提出共同的语言,提供ERM的明确的方向和指导。企业在构建适合本组织的ERM概念性框架时应注意前文提到的7个方面。