《《精编》中央企业全面风险管理课件》由会员分享,可在线阅读,更多相关《《精编》中央企业全面风险管理课件(62页珍藏版)》请在金锄头文库上搜索。
1、COSO风险管理框架 清华大学会计研究所陈武朝副教授电话 62772083Email chenwzh2 2008年9月 主要内容 COSOERM框架实施风险管理要点内控与企业风险管理的关系 中央企业全面风险管理指引 COSOERM框架 COSO认为 内部控制是风险管理的一部分 在 内部控制 整体框架 的基础上 COSO于2003年出台了 企业风险管理框架 征求意见稿 并于2004年9月正式发布 COSOERM框架 续 企业风险管理是一个过程 它由一个主体的董事会 管理当局和其他人员实施 应用于战略制订并贯穿于整个企业之中 旨在识别可能会影响主体的潜在事项 管理风险以使其在该主体的风险容量 风险
2、承受范围 之内 并为主体目标的实现提供合理保证 COSOERM框架 续 企业风险管理框架 COSOERM COSOERM框架 续 怎样理解该定义 企业风险管理是 一个过程 它持续地流动于主体之内 由组织中各个层级的人员实施 应用于战略制订 贯穿于企业 在各个层级和单元应用 还包括采取主体层级的风险组合观 旨在识别一旦发生将会影响主体的潜在事项 并把风险控制在风险容量以内 能够向一个主体的管理当局和董事会提供合理保证 力求实现一个或多个不同类型但相互交叉的目标 COSOERM框架 续 目标的实现在主体既定的使命或愿景范围内 管理当局制订战略目标 选择战略 并在企业内自上而下设定相应的目标 企业风
3、险管理框架力求实现主体的以下四种类型的目标 战略 strategic 目标 高层次目标 与使命相关联并支撑其使命 经营 operations 目标 有效和高效率地利用其资源 报告 reporting 目标 报告的可靠性 合规 compliance 目标 符合适用的法律和法规 COSOERM框架 续 企业风险管理的构成要素内部环境 InternalEnvironment 内部环境包含组织的基调 它为主体内的人员如何认识和对待风险设定了基础 包括风险管理理念和风险容量 诚信和道德价值观 以及他们所处的经营环境 建立一套与风险管理相关的理念 它认为 意外事项与预期事项都可能发生 建立企业风险文化 考
4、虑组织行为如何影响其风险文化的一切其它方面 目标设定 ObjectiveSetting 必须先有目标 管理当局才能识别影响目标实现的潜在事项 企业风险管理确保管理当局采取适当的程序去设定目标 确保所选定的目标支持和切合该主体的使命 并且与它的风险容量相符 在目标设定中 应用于管理层考虑风险策略的时候制定公司的风险承受能力 从高层面观察 管理层和董事会愿意接受多大的风险风险容忍度 目标相关变量的可接受水平 与风险承受能力一致 COSOERM框架 续 事项识别 EventIdentification 必须识别影响主体目标实现的内部和外部事项 区分风险和机会 机会被反馈到管理当局的战略或目标制订过程
5、中 风险评估 RiskAssessment 通过考虑风险的可能性和影响来对其加以分析 并以此作为决定如何进行管理的依据 风险评估应立足于固有风险和剩余风险 一个事项是指可能影响战略执行或目标实现的一个事件或发生的事情 辨别风险与机遇风险是一个事项发生 并对目标实现产生负面影响的可能性 可能有积极影响的事项 代表正常抵消或机遇 风险衡量采用与相关目标相同的衡量单位 时间区间已指定 并与目标一致 COSOERM框架 续 风险应对 RiskResponse 管理当局选择风险应对 回避 承受 降低或者分担风险 采取一系列行动以便把风险控制在主体的风险容限 risktolerance 和风险容量以内 控
6、制活动 ControlActivities 制订和执行政策与程序以帮助确保风险应对得以有效实施 信息与沟通 Information Communication 相关的信息以确保员工履行其职责的方式和时机予以识别 获取和沟通 有效沟通的含义比较广泛 包括信息在主体中的向下 平行和向上流动 监控 Monitoring 对企业风险管理进行全面监控 必要时加以修正 监控可以通过持续的管理活动 个别评价或者两者结合来完成 COSOERM框架 续 注意 企业风险管理并不是一个严格的顺次过程 一个构成要素并不是仅仅影响接下来的那个构成要素 它是一个多方向的 反复的过程 在这个过程中几乎每一个构成要素都能够
7、也的确会影响其他构成要素 COSOERM框架 续 有效性认定一个主体的企业风险管理是否 有效 是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断 因此 构成要素也是判定企业风险管理有效性的标准 构成要素如果存在并且正常运行 那么就可能没有重大缺陷 而风险则可能已经被控制在主体的风险容量范围之内 如果确定企业风险管理在所有四类目标上都是有效的 那么董事会和管理当局就可以合理保证他们了解主体实现其战略和经营目标 主体的报告可靠以及符合适用的法律和法规的程度 八个构成要素在每个主体中的运行并不是千篇一律的 例如 在中小规模主体中的应用可能不太正式 不太健全 尽管如此 当八个构成要素存在
8、且正常运行时 小规模主体依然会拥有有效的企业风险管理 COSOERM框架 续 局限尽管企业风险管理带来了重要的好处 但是仍然存在着局限 除了前面讨论过的因素之外 局限还导源于下列现实 人类在决策过程中的判断可能有纰漏 有关应对风险和建立控制的决策需要考虑相关的成本和效益 类似简单误差或错误的个人缺失可能会导致故障的发生 控制可能会因为两个或多个人员的串通而被规避 以及管理当局有能力凌驾于企业风险管理决策之上 这些局限使得董事会和管理当局不可能就主体目标的实现形成绝对的保证 COSOERM框架 续 涵盖内部控制内部控制是企业风险管理不可分割的一部分 企业风险管理框架涵盖了内部控制 从而构建了一个
9、更强有力的概念和管理工具 内部控制是在 内部控制 整合框架 中加以定义和描述的 由于该框架经受了时间的考验 并且成为现行规则 法规和法律的基础 因此 内部控制 整合框架 对内部控制的定义和框架依然有效 尽管 内部控制 整合框架 的正文中只有一部分被该框架所引用 但是ERM通过参考的方式把该框架整体融合了进来 COSOERM框架 续 职能与责任主体中的每个人都对企业风险管理负有一定的责任 CEO负有首要责任 并且应当假设其拥有所有权 其他管理人员支持主体的风险管理理念 促使符合其风险容量 并在各自的责任范围内依据风险容限去管理风险 风险官 财务官 内部审计师等通常负有关键的支持责任 主体中的其他
10、人员负责按照既定的指引和规程去实施企业风险管理 董事会对企业风险管理提供重要的监督 并察觉和认同主体的风险容量 很多外部方面 例如顾客 卖主 商业伙伴 外部审计师 监管者和财务分析师常常提供影响企业风险管理的有用信息 但是他们不但不对主体的企业风险管理的有效性承担任何责任 而且也不是它的组成部分 COSOERM框架 续 比内控的概念更广对公司管理至关重要目标范围更宽 为战略提供反馈风险管理办法更稳健 COSOERM框架 续 企业风险管理的关键观念以组合观点评价风险 管理层 与董事会协商 必须树立广义的风险承受能力 侧重平衡价值 增长与风险 COSOERM框架 续 怎么办 更广的风险观 一个公司
11、目前的风险比以前所有风险都高 我们不会因为以前做的决定来评估目前的情况 风险可能就在我们的决策框架和激励机制中 必须关注外部环境风险讨论必须上升到董事会层面 COSOERM框架 续 提高风险意识内控 扩展到财务报告讨论层面以上 不能在不了解风险的情况下讨论控制 必须考虑外部环境 环境变化可持续性竞争性行为潜在竞争性行为 COSOERM框架 续 提升风险管理必须采用正确的衡量标准外部 美国和欧洲正发展为更加知识化的经济公司的投资方向在哪里 怎样衡量风险 怎样将这些与现有会计方法做对比 COSOERM框架 续 最新的观点内控工作结合风险管理 对实现公司的经营目标十分重要 在评估公司如何实施风险管理
12、方面 需要公司董事会的参与 并发表明确的意见 建议将内控纳入公司正常管理和治理流程中 建议不要将内控看作独立的监管工作 COSOERM框架 续 企业风险管理是两个框架中最稳健的 但从开始就要求做更多的工作 企业风险管理能够 并应该融入公司文化中 这将带来很大的成本效益 COSOERM框架 续 以目标为起点应用于各级组织的活动中八个要素事项和风险风险承受能力和风险容忍度组合模型 基础方面 关键概念 实施全面风险管理要点 组织设计建立一个全面风险管理的组织实施风险评价确定总体风险容量 riskappetite 确定风险相应 riskresponses 沟通风险结果监控 Monitoring 管理层
13、监督 Oversight 与定期复核 实施全面风险管理要点 续 组织设计企业战略关键目标使得企业达到 关键目标的相关目标对组织单位及其负责人的职责分配 实施全面风险管理要点 续 例 使命提供高质量的 可得到的 可承担的社区医疗服务战略目标成为中等规模城市的第一或第二大能的所有医疗服务提供者相关目标与10个经营状况不佳的医院负责人对话 年内与其中两个医院达成协议 实施全面风险管理要点 续 2 建立一个全面风险管理的组织确定风险哲学调查风险文化考虑组织的道德价值观决定角色与责任 例 全面风险管理组织架构 风险管理官员 ERMDirector 副总或首席风险官 CRO 公司信用风险经理 Corpor
14、ateCreditRiskManager 保险风险经理 InsuranceRiskManager 风险经理 ERMManager 风险经理 ERMManager 职员 职员 职员 社区风险管理官员 实施全面风险管理要点 续 3 实施风险评价风险评价是识别 分析达成目标所面临的风险 这是管理风险的基础例 环境风险资本筹集监管 政治 法律金融市场 股东关系流程风险运营风险授权风险信息处理 技术风险完整性风险财务风险决策所需信息运营风险财务风险战略风险 Source BusinessRiskAssessment 1998 TheInstituteofInternalAuditors 风险分析 实施全
15、面风险管理要点 续 4 确定总体风险容量 riskappetite 应采用定性或定量术语 如 对利润的影响 对声誉的影响 并考虑风险容限 risktolerance 关键问题 组织无法接受哪些风险 如 环境或服务质量打折组织拟主动承受哪些风险 如新业务组织出于竞争性目标拟接收哪些风险 如毛利或市场份额 实施全面风险管理要点 续 5 确定风险响应 riskresponses 量化风险敞口组织的选择承担 监控规避 减少减少 对冲 组织控制分担 与合作者分担风险 如买保险 风险影响与发生可能性 控制 Control 分担 Share 监控与控制 Mitigate Control 承担 Accept
16、高风险 中等风险 中等风险 低风险 低 高 高 影响 可能性 风险影响与发生可能性 客服中心风险评价 会计分录出错设备过时相同问题不断反映 电话掉线计算机丢失 信用风险客户等待时间长客户不能打通电话客户问题得不到答复 舞弊失去交易员工士气 高风险 中等风险 中等风险 低风险 低 高 高 影响 可能性 控制风险控制目标活动 完整性重大交易复核已记录账面未记录债务结账后将发票与账面负债相互核对 例 应付账款处理 实施全面风险管理要点 续 6 沟通风险结果表 列出风险及风险响应流程图 说明关键控制点文字说明 目标以及相应的运营风险以及风险响应列表 被监控的关键控制管理层应理解关键业务的风险责任及其分派7 监控收集信息进行分析风险被恰当地识别控制活动恰当地发挥作用以减小风险 实施全面风险管理要点 续 8 管理层监督与定期复核管理层对风险管理具有受托责任 Accountability 及时更新业务目标变化时系统变化时流程变化时 内控与企业风险管理的关系 有效的内控 财务报告 SetOBJECTIVES 识别威胁目标实现的风险 执行有效的控制环境 作为防范风险的第一防线 设计并执行有效的控制活动
