《新版COSO《企业风险管理框架》》由会员分享,可在线阅读,更多相关《新版COSO《企业风险管理框架》(16页珍藏版)》请在金锄头文库上搜索。
1、 .新版COSO企业风险管理框架:有哪些变化?2016-12-15审计之家6月24日,反虚假财务报告委员会下属发起组织委员会(COSO)发布企业风险管理:风险与战略和绩效的协调,以向公众征求意见,截止日期为2016年9月30日。1熟悉2004版企业风险管理综合框架的人可能不会将以此为更新基础的新版框架视为“全新”概念,但他们会发现新框架的关注点已截然不同,它所关注的是如使企业风险管理(ERM)在组织机构真正行之有效。为什么要更新?对过去十年的回顾与总结自原始框架于2004年刊发以来,实施该框架的企业便面临各种问题,而最大的干扰来自在美国上市的企业不得不全力以赴应对萨班斯法案合规工作。当然框架的
2、实施还面临其他挑战: 企业风险管理的实施围往往并不面向整个组织机构,并且很少被运用到战略制定中。如此一来,COSO框架在对企业风险管理进行定义时所强调的最重要亦是最独具一格的一点“应用于战略制定过程中和整个企业中”在实践中却被误读或无视。 COSO最初在编制框架时采用了类似于部控制框架所使用的立体。虽然COSO对立体右侧的容进行了修改,删除了有关活动和流程,改为侧重于围更广的实体和运营单位及分支机构,但多企业依然试图在过于细微的层面实施该框架,例如运用于流程层面而非战略制定。企业风险管理的实施活动也因此陷于细节的泥潭,令多C级高管迅速失去兴趣。 多组织机构将企业风险管理作为一种保证活动来实施,
3、而不是将其视为一种更佳的企业管理式。在和运营单位的领导们打交道时,这种法无疑是失败的,特别是在有关活动又由部审计部门主导的情况下。 2008年金融危机所引发的经济大萧条令多企业进入危机应对模式,企业风险管理的实施也因此受到影响。 最终,还是影响深远的突发性重大事件重新引起了对企业风险管理的真正兴趣,包括2008年的金融危机和2011年的日本海啸。简而言之,在COSO公布框架之初高管人员对它的关注度便有限,实施活动自那时起就参差不齐。鉴于上述原因,企业风险管理框架在早些年并未获得施展拳脚的机会。直至金融危机爆发,多企业高管都并不知晓该框架抑或不确定应如应对。然而,金融危机爆发后,有关问题和价值主
4、便开始明朗起来。众所知,一个完全失控的行业触发了一场惨烈的全球性金融危机。这场危机就未知事项的潜能给人们上了宝贵的一课,“黑天鹅”这种词汇也在业界流行开来。所有的经验教训再次印证了有效风险管理的几大关键要素的重要性,包括不遗余力的董事会、全力支持的首席执行官、开放透明的企业文化、能够有效平衡长短期利益的薪酬结构,以及最为重要的一点管理层在察觉危险来临时能够反其道而为之的决心和毅力,而所有这些要素的获得离不开对企业风险管理持之以恒的坚持和保护。危机过后,先行者的价值和优势更是一目了然。董事会开始提出不同以往和更急尖锐的问题,CEO们也开始想设法与董事会开展对话,以引起整个企业对有关风险事项的关注
5、和重视。值得注意的另一现象是,持续剧烈变化的商业环境正在不断关压缩商业模式的半衰期。一种以前所未有的速度摧毁既定商业模式的强大趋势正在形成,稳步发展的数字化技术只是冰山一角,它不仅能够让消费者和企业轻而易举地获取史无前例的海量信息,而且也会快速地制造有关他们的信息。此外,还有席卷阿拉伯世界的所谓“阿拉伯之春”的革命浪潮、日益加剧的民族情绪和紧的地缘政治局势、人口老龄化、对网络的依赖、不断扩大的收入差距、伊斯兰国哈里发恐怖主义的兴起、涌动的难民潮,以及更近一些的油价暴跌,种种负面事件不胜枚举。总的来说,在2004版框架实施水平参差不齐,2004年以来各种戏剧性风险管理失效事件并发,以及商业环境日
6、益复杂的共同叠加作用影响下,对框架做出更明晰阐释的呼声日渐高涨。现实再清楚不过:要想战胜各类突发中断性事件,企业领导必须能够迅速识别有关变化的重要迹象,以及自己的市场和商业模式可能会受到的影响。总的来说,在2004版框架实施水平参差不齐,2004年以来各种戏剧性风险管理失效事件并发,以及商业环境日益复杂的共同叠加作用影响下,对框架做出更明晰阐释的呼声日渐高涨。在此呼声中,COSO发现他们恰可以借此机会:将企业风险管理和各利益相关的期望更明确地联系在一起;将风险与企业绩效挂钩,而非将风险作为一种独立的活动来关注;以及改善企业对未知的预期和准备。事实上,作为先行者的企业并非只是把潜在变化当作潜在危
7、机来对待,他们也从中寻求潜在的市场机遇。有哪些新变化?基于风险的法COSO的新框架基于以下这样一个基本假设:即每个企业存在的目的均旨在为利益相关提供价值,但在价值追求过程中会面临不确定性。“不确定性”一词被定义为未知的事项,而“风险”则定义为,该等不确定性对制定和执行业务战略以及实现业务目标造成的影响。因此,新的框架认为:管理层面临的一大挑战是确定企业准备接受和能够接受多少不确定性,亦即多少风险。有效的“企业风险管理”能够使管理层在权衡风险和机遇的同时,提升企业创造、保护和最终实现价值的能力。对风险与价值之间关系的着意强调亦体现于COSO对企业风险管理定义的简化和关注点的重新界定:企业赖以管理
8、价值创造、保护和实现风险、且与战略制定及执行有机结合的文化、能力及实践。新框架的标题便暗示了风险与战略以及企业绩效之间日益重要的连结关系。COSO表示新框架: 更深入地探讨了战略以及企业风险管理在战略制定和执行中的角色; 优化了企业绩效与企业风险管理之间的协调关系; 涵盖了治理和监督预期; 提及了市场和运营的持续全球化趋势,以及在不同地域采取通用(尽管亦有量体裁衣之考量)做法的必要性; 提供了将风险置于更复杂商业环境下进行考量的新法; 将提升利益相关透明度的预期纳入风险报告围; 涵盖了对决策起支持作用的科学技术进步及数据分析手段。COSO在更新过后的框架里介绍了五大要素,并且如2013年更新部
9、控制框架时为每个要素罗列了相关原则。我们将在下文讨论各大要素及其原则。风险治理和风险文化是确保企业风险管理行之有效的强大基。风险治理和文化的重要性新框架的第一大要素为企业风险管理其他四大要素提供了基础。风险治理确定企业的基调,强化并确立企业风险管理的监督职责。文化则事关道德价值、具责任感的企业行为、对业务环境的了解,并且体现于决策过程中。风险治理和风险文化是确保企业风险管理行之有效的强大基。该基本要素涉及六个原则。风险治理和文化1.履行董事会风险监督职能2.建立治理和运营模式3.定义理想的企业行为4.恪守诚信和职业道德5.实施问责6.吸引、发展和留任优秀人才履行董事会风险监督职能风险治理和文化
10、始自企业最高层,即董事会的影响和监督。董事会必须担负起风险监督的职责,并具备提供有关监督所必需的技能、经验和业务知识。当董事会大多由独立人员组成时,便可对执行管理层和整个企业起到有效的监督和制衡作用。COSO表示“战略执行风险”并不是战略制定过程中需要考虑的唯一风险维度,还有另外两个维度要考虑,因为它们可能会对企业风险特征产生重大影响。建立治理和运营模式一个企业的战略执行,体现于管理层为实现企业目标而对日常经营活动的组织和执行中。由于运营模式一般包含法务和管理架构以及相应的报告路径,因此如管理和治理该模式可能会触及一些新的和不同的风险或复杂情况,进而影响到企业执行战略、管理风险及实现目标。定义
11、理想的企业行为COSO对理想企业行为的界定乃基于企业的核心风险价值观及态度。不论企业认为自己是风险厌恶型、风险中立型或风险激进型,COSO都建议它们培养一种风险意识文化。这种文化的特点包括:英明果断的领导力、当仁不让的管理风格、对行动和行动结果认真负责的态度、决策过程中对风险的明确考量,以及积极开放的风险对话。这些特征确保风险可以被纳入日常业务。恪守诚信和职业道德值得注意的是,COSO关注的是贯彻于整个企业的基调。虽然高层基调由管理层和董事会的运营风格及个人行为所决定,但他们的基调必须渗透至企业各个层面。这意味着中层基调必须与高层保持一致,唯有如此,基层基调才能够反应理想的核心价值及风险态度。
12、横跨整个企业的基调应是无界的,也就是说,企业人员及其业务合作伙伴都必须积极响应管理层和董事会设定的预期。因此,必须建立和评价有关行为准则,任偏离这些准则的行为都必须予以及时处理。对于如建立恰当的基调,坦诚地沟通有关风险及风险承担情况是至关重要的。实施问责企业各级人员都必须对企业风险管理负责。企业自身首先必须担负起提供适当的企业风险管理准则和指引的重任。这种问责制应始于董事会和CEO,并通过适当的绩效预期、激励和奖励机制从上到下渗透至整个企业。董事会和CEO必须时刻保持警惕,确保企业部的压力不会造成不负责任的和/或行为。针对这一点,COSO表示可能导致发生上述行为的过大压力往往来自:不切实际的绩
13、效目标、不同利益相关相互冲突的业务目标,以及短期财务绩效奖励与长期利益相关预期(例如企业的可持续性目标)脱节。COSO还称,这种压力既可能来自企业部(例如企业不合时宜的绩效奖励或战略变更),也可能来自企业外部(例如影响销售业绩的客户需求发生了变化或一项颠覆性的改变影响了企业的运营模式)。吸引、发展和留任优秀人才最后,风险治理和文化还要认识到根据企业目标积累人力资本和人才的重要性。管理层必须界定执行战略所必需的知识、技能和经验;制定适当的绩效预期;吸引、发展和留任合适的人员及战略合作伙伴;以及安排好继任计划。从多位关注战略制定多企业将关注点放在识别战略执行风险上。然而,在企业风险管理的第二大要素
14、中,COSO表示“战略执行风险”并不是战略制定过程中需要考虑的唯一风险维度,还有另外两个维度要考虑,因为它们可能会对企业风险特征产生重大影响。第二个维度是“战略可能会不符合”企业的使命、愿景和核心价值,而后者体现的正是企业想要实现的目标及意图采取的开展模式。一个错位的战略将增加企业无法实现使命的风险,即使有关战略获得成功实施。需要考虑的第三个维度是“所选战略的影响”。COSO这样表述道:管理层在制定战略以及与董事会讨论其他可能的选择时,他们会就战略中所固有的利弊做出权衡。每个可能的战略都有其自身的风险特征这就是战略的影响。董事会和管理层需要考虑有关战略是否与企业的风险偏好一致,以及它会如推动企
15、业制定目标,并最终对资源做出有效分配。总之,通过明确战略制定流程需考虑的所有三个维度,COSO新框架将有关战略的讨论及企业风险管理与战略的结合提升至一个新层次。企业风险管理的风险战略及目标制定要素涉及五大原则。风险战略与目标制定7.考虑风险和业务环境8.定义风险偏好9.评估替代战略10. 制定业务目标时考虑风险11. 界定可接受的绩效偏差考虑风险和业务环境新框架透过外部环境来审视业务环境。它也考虑外部利益相关的角色,因为他们可能会给外部环境带来重大改变。重要的是管理层必须考虑业务环境变化所产生的风险,并在执行战略和实现业务目标的过程中予以灵活应对。定义风险偏好企业依据价值的创造、保护和实现来界定风险偏好。制定战略要考虑风险偏好声明,管理层要做好有关沟通,董事会需全力支持,并且要整合至整个企业。风险偏好受到企业使命、愿景和核心价值观的影响,此外亦需考虑企业的风险特征、风险容量、风险能力和成熟度、文化,以及业务环境。评估替代战略替代战略乃基于不同的假设,而这些假设可能对不同的变化非常敏感。企业在对各种战略选项进行评估后制定出可用以提升企业价值的战略,同时亦考虑所选战略或会带来的风险。但关键因素的变化可能会
