《coso企业风险管理整体框架(中文版)》由会员分享,可在线阅读,更多相关《coso企业风险管理整体框架(中文版)(66页珍藏版)》请在金锄头文库上搜索。
1、COSO:Enterprise Risk Management Framework (Exposure Draft for Public Comment) Page 2 of 67 概览 一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程, 而现在 有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。 虽然管理者已经掌握 了大量的企业风险管理的信息(包括大量公开出版的文献) ,但实务中却并不存在统一的术 语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。 COSO 委员会已经认识到对企业风险管理概念性指南的需要, 因而该委员会发起了一个
2、 建立一个概念性的、 适当的风险管理框架的计划, 旨在支持企业建立或评判企业风险管理过 程的项目提供完整的原则、 能用的术语和实务操作指南。 另一相关的目标是使构建的这个框 架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优 点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。 本概览列出了企业风险管理框架的关键内容, 包括企业风险管理的定义、 内容和基本原 则,风险管理的优点、局限性以及各相关方的地位和职责。本概览还强调企业风险管理的相 关性和其与 COSO 内部控制报告的关系。如果想更加深入地了解有关知识,请看企业风险 管理框架的全文。 (一)
3、企业风险管理的相关性 企业风险管理的基本前提是每一个企业, 无论是盈利组织、 非盈利组织, 还是政府机构, 其存在的目的都是为其利益相关方带来价值。 所有的企业都要面对不确定性。 对企业管理者 而言, 所面临的挑战是在追求企业利益相关方价值增长的同时, 决定企业准备接受的不确定 性的程度。不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减 值的风险。 风险管理框架就是为管理者提供一个框架, 使其能够有效处理不确定性及相应的 风险和机遇,进而提高企业创造价值的能力。 1不确定性 企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业 重构、 多变的市场以
4、及竞争等。 不确定性来源于无法明确地决定潜在事项将要发生的可能性 及其相应结果。 2价值 从战略的制定到企业的日常经营,管理者的决策会创造、保持或减少企业的价值。决策 的本质就是确认风险和机遇,它要求企业的管理1应在考虑企业内、外部环境的因素的基础 上,对企业的稀缺资源进行配置,并且根据环境的不断变化来调整企业的活动。 ?当企业的利益相关方取得其相应价值的可确认收益时, 企业的价值也得到实现。 对于 公司而言,当股东承认由于股价上扬所带来的价值时,他们也就承认了企业的价值。对于政 府机构, 当该机构以一个可接受的成本所提供的服务的收益得到确认时, 机构的价值就得以 实现。对于非盈利组织的利益相
5、关方而言,当他们确认组织所提供的社会福利的价值时,他 们也就承认了该组织的价值。 企业风险管理使管理者能够创造持久的价值并能够将创造价值 的信息传递给利益相关方。 1 在本部分和以后的讨论中一旦使用“管理”一词,其意思包括非管理人员执行的许多企业风险管理活动。 COSO:Enterprise Risk Management Framework (Exposure Draft for Public Comment) Page 3 of 67 3企业风险管理的优点 所有企业都是在有风险的环境下经营, 而不是企业风险管理使企业面临这样的环境。 企 业风险管理是使管理者能够在充满风险的环境中更加有效地
6、经营。 企业风险管理使企业的管理者能够: (1)将风险偏好和企业的战略结合在一起。 从广义来讲,风险偏好是一个公司或企业在追求其目标的过程中愿意接受的风险的程 度。管理者在评估企业的战略方案时首先要考虑企业的风险偏好,其后,在制定与企业战略 相对应的目标和建立一定的机制管理相应的风险时也应考虑企业的风险偏好。 (2)将企业成长、风险和收益联系起来 经济主体在企业价值保值、 增值的过程中也要接受相应的风险, 同时预期补偿风险的相 应收益。 企业风险管理提高了企业确认和评估风险的能力, 进而使企业能够确定相对于企业 成长性和收益目标而言的风险的可接受水平。 (3)增加风险反应决策 企业风险管理提供
7、了确认和选择不同的风险反应方案的严格标准。 企业的风险反应方案 包括风险规避、风险降低、风险共担和风险接受。企业风险管理提供了进行相关决策的方法 和技术。 (4)使企业的经营意外和损失最小化 经济主体可能提高确认潜在事项、 评估风险和明确反应方案, 最后减少经营意外的出现 次数以及减少相应的成本或损失。 (5)确认和管理企业的总体风险 每一个经济主体都面临着许多风险, 而不同的风险会影响企业经营的各个方面。 管理不 仅需要对每一种风险进行管理,还需要了解风险对企业总体的影响。 (6)针对多重风险提供完整的反应方案 企业的经营过程存在许多内在的风险, 企业风险管理就是为管理风险提供一整套解决方
8、案。 (7)抓住机遇 管理不仅要考虑风险, 还需要考虑潜在的事项对企业的影响。 对潜在事项有一个完整的 了解可以使管理对每一潜在事项表明何种机遇有一个了解。 (8)合理分配资金 关于企业总体风险的更为明确的信息可以使企业的管理者能够更加有效地评估企业总 体的资金需要,改进企业的资金配置。 企业风险管理本身并不是目的,它仅仅是实现目的的一种方式。它不能、也无法在一个 经济主体内单独运行, 而是企业管理过程的一个推动器。 企业风险管理向董事会提供最重要 的风险的信息以及这些风险应如何管理的建议,进而与公司治理相联系。而且,风险管理与 企业的绩效管理也有关, 风险管理通过提供风险调节的措施和内部控制
9、来帮助企业的绩效管 理。内部控制是企业风险管理的一部分。 风险管理帮助一个经济主体实现其经营和利润目标、 防止资源的浪费。 它还有助于确保 企业报告的有效性。此外,企业风险管理还有助于保证企业遵守有关的法律、法规,避免其 声誉受损并防止产生相应的不良后果。 总之, 企业风险管理可以帮助一个经济主体实现其目 标、及在实现目标的过程中避开陷井和防止意外的发生。 (二)企业风险管理的定义 企业风险管理是企业的董事会、 管理层和其他员工共同参与的一个过程, 应用于企业的 COSO:Enterprise Risk Management Framework (Exposure Draft for Publ
10、ic Comment) Page 4 of 67 战略制定和企业的各个部门和各项经营活动, 用于确认可能影响企业的潜在事项并在其风险 偏好范围内管理风险,对企业目标的实现提供合理的保证。 这一定义反映了一些基本概念: 1 企业的风险管理是一个过程其本身并不是一个目的, 而是实现目的的一种方式。 2风险管理受人的影响它不只是企业的政策、调查和表格,还涉及一个企业各个 层次员工。 3风险管理也适用于企业战略制定过程。 4企业风险管理应在整个企业范围内应用,在每一个经营层面和每一个单位内应用, 并应以一种企业总体的风险组合的观点来看待。 5风险管理的设计应有助于确认会对企业造成潜在影响的事项并确保在
11、企业风险偏好 的范围内管理企业的风险。 6风险管理仅为企业的管理者和董事会提供合理的保证。 7企业风险管理的目标是帮助企业一类或几类单独并相互重叠的目标的实现。 从广义上定义这一概念主要有几个原因: 这一定义应包括公司和其他企业管理风险的几 个基本概念,并可以应用于各种组织、行业和部门。它直接针对企业目标的实现。此外,这 一定义应为定义企业风险管理的有效性提供一个基础。上述基本概念详细论述如下: 1一个过程 企业的风险管理并不是一个事项或环境, 而是渗透于企业各项活动中一系列行动。 这些 行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。 一些人认为, 企业风险管理对企业的各项活
12、动而言是多余的, 是企业必须承担的一个负 担,但 COSO 的讨论稿则并不这样认为。但有效的企业风险管理仍旧需要企业各管理层不 懈的努力。 例如, 风险评估要求企业不断地努力来建立必要的评估模型并进行必要的分析和 计算。但是,这些以及其他的企业风险管理机制与企业的经营活动是并存的,是由于最基本 的商业原因而存在的。当企业风险管理机制成为企业的基础设施并真正成为企业的一部分 时, 企业的风险管理会最有效。 通过建立风险管理, 企业可以直接提高自身的战略执行能力, 并提高企业预期和任务的实现能力。 建立风险管理对企业的成本构成同样有重要的影响, 特别是在目前大多数企业都面临高 度竞争的市场环境的情
13、况下。 在现有工序的基础上增加新的工序会增加成本, 而通过关注现 有的经营过程以及他们对实现有效风险管理的贡献, 并将风险管理整合到企业的基本经营活 动之中,一个企业就能够避免不必要的工序和成本。并且,将风险管理整合到企业日常的经 营过程中有助于管理者抓住企业发展的新机遇。 2受人的影响 企业的风险管理会受董事会、 管理层和其他人员的影响, 风险管理是通过组织内的人来 完成的,是通过人的所做和所说实现的。是企业内的人制定企业的任务/预期,战略和目标, 并实施企业的风险管理机制。 同样,企业风险管理也影响人的行动。企业风险管理要认识到人对事物的理解、沟通或 执行并不总是一致的。 企业中的每个人都
14、有不同的背景和技术能力, 都有不同的需求和优势。 这些因素都会影响企业的风险管理,也会受风险管理的影响。每个人的出发点都不同, 这会影响他们对风险的确认、评估和反应。企业风险管理就是要提供了一个机制,帮助人们 从企业总体目标的角度认识风险。企业的员工必须了解他们自己的职责和权限。因此,除了 要明确员工的职责和企业的战略和目标之间的联系之外, 还要明确员工的职责和他们履行职 责的方式之间的联系。 COSO:Enterprise Risk Management Framework (Exposure Draft for Public Comment) Page 5 of 67 一个组织的员工包括董
15、事会成员、管理者和其他人员。尽管企业的董事主要负责监督, 但是他们同时也向管理者提供指导,核准企业的战略、某些活动和政策。因此,董事会是企 业风险管理的重要组成部分之一。 3可应用于企业战略的制定 一个企业要确定其预期或任务, 并制定其战略目标。 企业的战略目标是企业最高层次的 目标, 它与企业的预期和任务相联系并支持预期和任务的实现。 一个企业为实现其战略目标 而制定战略方案, 并将战略方案分解成相应的目标, 再将目标层层分解到企业的各业务部门、 行政部门和生产线。 在制定企业的战略方案时, 管理者应考虑与不同的战略方案相关的风险。 4应用于整个企业 为使企业的风险管理获得成功, 一个企业必
16、须从全局, 从企业总体层面上考虑企业的活 动。企业的风险管理应考虑组织内所有层面的活动,从企业总体的活动(如战略计划和资源 分配)到各业务部门的活动(如市场部、人力资源部) ,到各业务流程(如生产过程和新客 房信用审核)等等。企业风险管理还可用于特定项目和新的行动计划,尽管该项目或计划可 能在企业的管理流程或组织流程图中尚无明确的定位。 企业风险管理要求企业以风险组合的观点看待风险。这会要求企业内负责各业务部门、 行政部门、 生产流程或其他活动的管理者对本部门的风险进行评估。 这些评估可以是定量的, 也可以是定性的。企业的高级管理者应以一种组合的观点看待企业内每个下级层面的风险, 以决定企业总的风险组合是否与企业的风险偏好相对应。 管理者应以总体的组合观来考虑相关风险。 对相关的风险应予确认并采取措施使承担的 风险落在企业风险偏好的范围内。 对企业内部每个单位的风险而言, 可能都落在该部门的风 险容忍度的范围内,但从总体来看,合并后的风险可能超过了企业总体的风险偏好。企业总 的风险偏好应通过对特定目标确立相应的风险容忍度的方式在企业内部向下
