《内部控制框架的新发展--企业风险管理框架.doc》由会员分享,可在线阅读,更多相关《内部控制框架的新发展--企业风险管理框架.doc(11页珍藏版)》请在金锄头文库上搜索。
1、内部控制框架的新发展企业风险管理框架 (上海财经大学200083) (中南财经政法大学430060)【摘要】美国Treadway委员会的发起人组织委员会于2003年7月颁布了企业风险管理框架的讨论稿,并将于2004年4月颁布正式稿。该讨论稿是在1992年COSO委员会颁布的内部控制框架基础上,吸收各方风险管理研究成果基础上提出的,本文将主要讨论其与内部控制框架的区别及其主要内容。【关键词】风险管理框架内部控制框架风险管理内部控制2003年7月15日,美国COSO委员会在广泛吸收各国理论界和实务界研究成果的基础上,公布了企业风险管理框架(Enterprise Risk Management Fr
2、amework)讨论稿,并将于2004年4月颁布正式稿。该讨论稿在1992年COSO的内部控制框架报告的基础上建立企业风险管理框架,将企业管理的重心由内部控制转向以风险管理为中心。对于新的风险管理框架与原内部控制框架既有区别又有联系,本文主要分析企业风险管理框架与内部控制框架的联系与区别,并简要说明企业风险管理框架的主要内容。一、 企业风险管理框架与内部控制框架的联系与区别自1992年美国COSO委员会发布内部控制框架(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合 如Step
3、hen J. Root, Beyond COSO Internal Control to Enhance Corporate Governance(1998); KMPG, Internal Control: a Practice Guide(1999); PricewaterhouseCoopers, Operational Risk Management: The Next Frontier(2001)等。新的企业风险管理框架就是在COSO1992年的研究成果内部控制框架报告的基础上,结合萨班斯奥克法案(Sarbanes-Oxley Act)在报告方面的要求,进行扩展研究得到的。普华永道的
4、项目参与者认为,新报告中有60%的内容得益于COSO1992年报告所做的工作。但是,由于风险是一个比内部控制更为广泛的概念,因此,新框架中的许多讨论比92年报告的讨论要更为全面、更为深刻 GAP Enterprises, Ltd., New COSO Framework, 2003。此外,COSO在其风险管理框架讨论稿中也说明,风险管理框架建立在内部控制框架的基础上,内部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比内部控制框架的范围更为广泛,是对内部控制框架的扩展,是一个主要针对风险的更为明确的概念。简单地看,相对于内部控制框架而言,新的COSO报告新增加了一个观念、一个目标、两
5、个概念和三个要素,即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的需要,新框架还要求企业设立一个新的部门风险管理部。新的风险管理框架比起内部控制框架,无论在内容还是范围上都有所扩大和提高,具体表现在:1提出一个新的观念风险组合观(An Entity-level Portfolio View of Risk)在单独考虑如何实现企业各个目标的过程中,企业风险管理框架更看重风险因素。除单独考虑各个风险因素之外,更有必要从总体的、组合的角度理解风险。企业风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别
6、并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可以超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。2增加一类目标战略目标,并扩大了报告目标的范畴内部控制框架将企业的目标分为三类经营、财务报告和合法性目标。企业风险管理框架也包含三个类似的目标,但是其中只有两个目标与内部控制框架中的定义相同,财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的报告目标的范围有很大的扩展,该目标覆盖了企业编制的所有报告,既包括内部报告,也包括
7、外部报告;既包括企业内部管理者使用的报告,也包括向外部提供的报告;既包括法定报告,也包括向其他利益相关者年的非法定报告;既包括财务信息,也包括非财务信息。此外,企业风险管理框架比内部控制框架增加了一个目标战略目标。该目标的层次比其他三个目标更高。战略目标来源于企业的任务或对未来的预期,经营、报告和合法目标都与其相关。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。3针对风险度量提出两个新概念风险偏好(Risk Appetite)和风险容忍度(Risk Tolerances)风险管理框架是针对企业目标实现过程中所面临的风险,对企业风险管理提出风险偏好和风险容忍度两
8、个概念。从广义上看,风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。一般从定性的角度将风险偏好分为风险喜好、风险中性和风险厌恶三种类型。此外,企业也可以采用定量的方法对风险偏好进行衡量,反映企业的目标、收益与风险之间的关系并进行权衡。企业的风险偏好与企业的战略直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来。不同的战略给企业带来的风险也不同,在企业战略制定阶段就进行风险管理,就是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现的过程中对差异的可接受程度,是企业在风险偏
9、好的基础上设定的对相关目标实现过程中所出现的差异的可容忍限度。在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。将风险控制在风险容忍度之内能够在更大程度上保证企业的风险被控制在风险偏好的范围内,也就能够从更高程度上保证企业目标的实现。4增加了三个风险管理要素,对其他要素的分析更加深入,范围上也有所扩大 企业风险管理框架新增了三个风险管理要素“目标制定”、“事项识别”和“风险反应”。此外,针对企业将管理的重心移至风险管理,风险管理框架更加深入地阐述了其他要素的内涵,并扩大了相关要素的范围。(1)目标制定(Objective Setting)在风险管理框架中,由
10、于要针对不同的目标分析其相应的风险,因此目标的制定自然就成为风险管理流程的首要步骤,并将其确认为风险管理框架的一部分。(2)事项识别(Event Identification)企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素,而且可能在企业的各个层面上出现,并且应根据对实现企业目标的潜在影响来确认风险。但是,企业风险管理框架深入探讨了潜在事项的概念,认为潜在事项是指来自于企业内部和外部资源的,可能影响企业战略的执行和目标的实现的一件或者一系列偶发事项。存在潜在的积极影响的事项代表机遇,而存在潜在负面影响的事项则称为风险。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的
11、起因,对企业过去和未来的潜在事项以及事项的发生趋势进行计量。(3)风险反应(Risk Response)企业风险管理框架提出对风险的四种反应方案规避、减少、共担和接受风险。作为风险管理的一部分,管理者应比较不同反应方案的潜在影响,并且在接受的残存风险应在企业风险容忍度范围内的假设下,考虑风险反应方案的选择。在个别和分组考虑风险的各反应方案后,企业管理者应从总体的角度考虑企业选择的所有风险反应方案组合后对企业的总体影响。(4)控制环境在控制环境要素上,企业风险管理框架更直接、更广泛地关注风险是如何影响企业的风险文化,无论是明确地还是无意地影响。企业的风险文化是企业员工共有的态度、价值、目标和行动
12、的集合,它表明企业是如何认识风险的。(5)风险评估内部控制框架和企业风险管理框架都强调对风险的评估,评估特定风险发生的可能性和风险的潜在影响,但企业风险管理框架建议更加透彻地看待风险管理,即从固有风险和残存风险的角度来看待风险,对风险影响的分析则采用简单算术平均数、最差的情形下的估计值或者事项的分布等技术来分析。最好能够找到与风险相关的目标一致的计量单位进行计量,将风险与相关的目标联系起来。风险评估的时间基准应与企业的战略和目标相一致,如果可能,时间基准也应与可观测到的数据相一致。企业风险管理框架还要求注意相互关联的风险,确定一件单一的事项如何为企业带来多重的风险。正如前面所说,企业风险管理需
13、要管理者建立一种企业总体层面上的风险组合观。在风险评估方面体现为,对各业务单位、职能部门、生产过程或相应的其他活动负责的各层管理者对其负责的部门或单位的风险应进行复合式评估,而企业高层管理者也应从企业总体层面上考虑相互关联的风险和企业的总风险。(6)信息和沟通企业风险管理框架扩大了企业信息和沟通的构成内容,认为企业的信息应包括来自过去、现在和未来潜在事项的数据。历史数据可以使企业将实际的经营成果与目标、计划和预期相比较,以深入了解企业在过去不断变化的市场条件下是如何经营的。现在状况的数据可以向企业管理者提供更多重要的信息,而未来潜在事项的数据和潜在的影响因素可以帮助完成对信息的分析。企业的信息
14、系统的基本职能应以时间序列的形式收集、捕捉数据,其收集数据的详细程度则视企业风险识别、评估和反应的需要而定,并保证将风险维持在风险偏好的范围内。此外,由于各管理层是企业风险管理(或者内部控制)的组成部分,并为企业的风险管理(或者内部控制)提供信息,因此,两个框架对不同管理层的地位和责任都比较关注。但相对于内部控制框架,企业风险管理框架提出设立新的风险管理部门并规定了风险管理员的地位和职责,同时扩大了董事会的职责。总的来讲,新的框架强调在整个企业范围内识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现在企业战略制定阶段就予以考虑,而企业在对其下属部门进行风险管理时,应对风险进行加总,
15、从组织的顶端、以一种全局的风险组合观来看待风险。此外,根据风险管理的需要,对企业目标进行重新的分类,明确战略目标在风险管理中的地位。二、 企业风险管理框架的主要内容COSO发布企业风险管理框架的目的与当初发布内部控制框架的目的相似,是由于实务界存在对统一的概念性指南的需要。目前,企业风险管理实务中没有统一的术语,在企业内部建立一个有效的风险管理框架时也没有任何普遍接受的原则作为指南。因此,美国COSO委员会于2001年1月设立了风险管理框架计划,该研究计划由普华永道会计师事务所牵头,在参考各国实务界和理论界风险管理研究成果的基础上,尝试建立一个风险管理的完整的概念性框架及详细的实务指南。COS
16、O希望新的框架能够成为企业董事会和管理者的一个有用的工具,用来衡量企业的管理团队处理风险的能力,并希望该框架能够成为衡量企业风险管理项目是否有效的一个标准。所有的组织,无论是盈利组织还是非盈利组织,都是为了其利益相关者的利益而存在。对风险的持续确认和缓和,与确定抓住什么机遇一样,对保护和提高企业利益相关者的价值是至关重要的。不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。在实现企业目标的过程中,企业风险管理框架是一个帮助企业管理者有效处理不确定性和减少风险进而提高企业创造价值的能力的框架。1企业风险管理的定义企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理
