达信:深度解读COSO新版企业风险管理框架(ERM)
http://www.sohu.com/a/124375769_489979
2016年6月,美國反欺詐財務報告委員會(The Committee of Sponsoring Organizations of the Treadway Commission, COSO)發布了新版企業風險管理框架“企業風險管理-服務于企業戰略和績效的實現” (Enterprise Risk Management- Aligning risk with strategy and performance)征求意見稿,這是繼2004年COSO正式公布企業風險管理框架(Enterprise Risk Management Framework, ERM)以來第一次對ERM框架進行修訂和完善,更確切的說是對ERM框架大刀闊斧的進行了重新構思和設計。
新版ERM框架已經于2016年9月30日截止全球范圍內收集反饋意見,并計劃于2017年第一季度正式公布。
1. 新版ERM框架出臺的背景
眾所周知,在企業風險管理和內部控制理論研究領域,COSO組織有著舉足輕重的位置,從1992年出版企業內部控制整合框架(Internal Control- Integrated Framework)以來,作為在美上市公司內控體系建設的指導框架,不僅得到了美國證監會的認可,而且在全球范圍內被眾多國家相關企業和上市公司監管機構采用和推廣,如中國財政部2008年發布的《企業內部控制基本規范》即采用了COSO組織1992年發布的內部控制框架要素和內容。
2000年以來,企業界在實施了十來年內部控制框架之后,發現即便建立了完善的內部控制體系,仍然會出現企業倒閉、破產、經營失敗或預期不達標等風險損失案例,所以COSO組織開始從更高的一個角度來思考企業的管理活動以及內部控制體系的局限性。
內部控制體系確實對實現財務報告的可靠性和有效性提供了合理的保障(從實踐經驗看,內部控制體系的建立對經營和合規兩個目標的支持力度并沒有像財務目標那樣得到很好的體現),但是企業需要從整合風險管理的角度為企業創造價值并合理保障公司戰略目標的實現。
COSO組織對ERM框架的初衷和定位是正確的,但在起草ERM框架時采用了在COSO內部控制框架的基礎上進行升級和擴充的做法,這直接導致了兩個理論框架雖然愿景和目標各不相同,但內容的重合度非常高,回想過去這些年企業在實踐這兩個理論體系時出現的種種說法“內部控制就是風險管理”、“風險管理就是內部控制”、“風險管理是“大內控””等,在當時發布起草ERM框架時就埋下了隱患。
圖1:內部控制框架和企業風險管理框架
2014年,COSO組織開始著手對ERM框架的升級換代,用其自身的闡述,原因在于過去十年間外部環境的復雜變化,利益相關方更加關心風險管理對企業價值的創造,尤其是在戰略的制定和執行中風險管理價值的體現,以及增強風險管理和企業績效之間的協同關系。
想必COSO組織也非常清楚過去十年間關于內部控制和風險管理之間關系的爭論和對企業實際開展工作造成的影響,只好痛定思痛,著眼于未來,這一點從新版的ERM框架中可以看出來。COSO組織對新版ERM框架進行了顛覆性的變化,起碼從表面上來看,沒有一點從前的影子了,看來是有意和內控及2004版風險管理劃清界限,結束這十年來的兩者的糾葛和紛爭。
圖2:COSO新版企業風險管理框架
很多從事和熟悉風險管理工作的人,對ERM新框架一開始的感覺都是陌生和不適應,最開始將征求意見稿發送給國內權威專家參考時,部分專家也提出“這是對歷史的一種背叛”、“新框架太荒唐”等批判性的反饋意見,但這是人們對于熟悉環境突然變化的抵觸心理,待各位專家平復心情仔細研讀后,還是非常肯定新框架做出的勇敢變化及對風險管理工作的準確定位。
2. 新版ERM框架和舊框架的區別與聯系
1. 新框架采用了國際文件慣用的要素加原則的結構(Components and Principals)
新版框架使用了構成元素+原則的結構,包括5個構成元素,細分為23條原則,2013年COSO組織更新了企業內部控制框架的部分內容,在文章的整體結構上就是采用的這種結構,新的結構加強了新框架的可讀性、可用性和一致性。
2. 修訂了風險的定義
舊版框架中對風險的定義為:
風險是一個事項將會發生并給目標實現帶來負面影響的可能性。
新版框架中對風險的定義為:
事項發生并影響戰略和業務目標之實現的可能性。
可以看到,舊定義只強調了負面影響,而新定義的主要改動是兼顧了正面和負面的影響,這和國際風險管理標準ISO 31000及中國風險管理標準GB-T 24353是一致的,這種認識中國早在2006年國務院國資委發布的《中央企業全面風險管理指引》文件中就有體現。
3. 簡化和重新定義了ERM
同時我們還可以比較ERM的定義。
舊版框架對ERM的定義為:
ERM是一個過程,它由一個主體的董事會、管理層和其他人員實施,應用于戰略制定并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內。并為主體目標的實現提供合理保證。
新版框架對ERM的定義為:
組織在創造、保存、實現價值的過程中賴以進行風險管理的,與戰略制定和實施相結合的文化、能力和實踐。
可以看到,新版框架簡化了對ERM的定義以方便閱讀和記憶。新定義方便所有讀者的理解,而不只是風險管理從業者,新定義包括文化和能力而不只是過程,更加強調風險與價值的相結合,突出價值創造而不只是防止損失,這樣也避免了和內部控制定義的界限不清。
4. 強調風險與價值的關系
新版框架中,ERM被視為戰略制定的重要組成和識別機遇、創造和保留價值的必要部分。新版框架中ERM不再是主體的一個額外的或是單獨的活動,而是融入主體的戰略和運營當中的有機部分。
5. 真正定位了風險管理與戰略的協同作用
新版框架注意到了自舊版框架發布以來,組織在實踐ERM過程中遇到的一些問題,包括對風險管理工作的定位,風險管理工作的范圍和目標等,新版框架定義了風險管理工作的高度,包括:戰略和業務目標與使命、愿景和價值觀不匹配的可能性;選定的戰略所隱含的意義;執行戰略過程中的風險。
6. 重新定義了風險偏好和風險容量
舊版框架中,風險容量(Risk Tolerance)只是顆粒化的、更細節的風險偏好(Risk Appetite)。新版本中,風險偏好保留了原來的定義,即主體在追求戰略和業務目標的過程中愿意承受的風險量,而將風險容量重新確定為可接受的績效變動區間(Accepted Variation in Performance),新的定義更加明確和可度量,有助于組織在給定績效目標下計算可以承受的風險邊界。
3. 新版ERM框架主要內容解讀
圖3:新版ERM框架的五要素和23個原則
風險管理和文化
風險治理和文化組成了ERM所有其他部分的基礎。風險治理定下主體的基本基調,加強ERM的重要性并確立ERM的監管責任的分配;文化則是主體的價值觀、行為準則和對風險的理解。
1. 實現董事會對風險的監督
董事會對主體的風險監督負有首要責任。首先要確認董事會和管理層對風險治理的責任分配。一般來說,董事會成員具有豐富的行業經驗和技能,且獨立于管理層。這使得他們能提供風險治理的整體戰略和獨立視角,并將風險管理的日常責任交給管理層或者特定的委員會,如風險管理委員會。
2. 建立治理和運作模式
在明確的責任分配下,組織應該建立完整的運營模式和匯報體系。影響組織建立何種運營模式的因素有很多,例如企業的戰略目標,規模、行業、區域分布、財務稅務等方面的法律法規等等。管理層結合企業的使命、愿景和核心價值來計劃、組織并執行企業戰略。
一般來說,管理層通過授權給特定委員會的形式來掌握、管理與戰略相關的風險。對于大型組織來說,這樣的委員會可能不止一個,這就需要不同的委員會之間明確權責的分配并共享對風險的理解。明確權責十分重要,這能激發人們在授權范圍內的能動性。而隨著組織的發展,運營模式和授權-報告體系也需要做出相應調整。
3. 定義期望的組織行為
董事會和管理層通過定義其期望的行為來將組織核心價值和對風險的態度具體化。建立一個所有員工都接受的企業文化對于企業抓住機遇、規避風險來說至關重要。表現在下圖所示的風險光譜上,風險激進的組織更傾向于接受追求戰略和業務目標時所需承擔的不同類型和數量的風險。
圖4:風險光譜
4. 展現對誠實和道德的承諾
組織制定基調,建立員工行為準則并對偏離準則的行為做出回應。即使組織明確展示了對誠實和道德的承諾,還是難免發生違背企業的價值觀的行為。這種行為可能是好人犯了錯誤,好人一時意志軟弱,或者壞人蓄意造成破壞。因此需要對行為進行詳盡的評估并制定細節的應對措施。關鍵是將個體的行為和組織文化結合起來,這需要管理層在日常工作中不斷解讀、強調和踐行企業文化。
5. 加強問責
組織確保各個層級的個體在風險管理方面的職責明確,并確保其自身在提供準則和指導方面的職責明確。管理層向董事會負責,員工向管理層負責。個體是否負責受到獎勵機制的很大影響,董事會和管理層應該在組織的各個層級建立獎勵機制,這種建立可能是薪酬方面的,也可以是非物質的,比如授予更重要的工作。
6. 吸引、發展并留住優秀的個體
致力于根據戰略和業務目標構筑人力資本。組織需要建立在各個層級評價工作能力的機制。董事會評價管理層的能力,管理層評價各個業務單元或者職能部門的能力。管理層通過在不同層面建立人力資源管理體系來吸引、培訓、指導人才,評價和留住人才。
風險、戰略和目標設定
ERM通過制定戰略和業務目標的過程與主體的戰略計劃融合在一起。通過對商業環境的理解,組織可以得到對內在和外在因素的看法以及它們對風險的影響。組織在戰略制定中確定其風險偏好,而業務目標使得戰略得以實踐并形成主體日常的運營。
7. 考慮風險和業務環境
組織考慮業務環境對風險圖譜的潛在影響。組織要理解業務環境,考慮內部和外部的環境和不同的利益相關者。外部環境包括政治、經濟、社會、科技、法律和環境等方面,內部環境包括資本、人力、流程和技術等方面。
8. 定義風險偏好
組織在創造、保存和實現價值的過程中定義風險偏好。負責確定風險偏好的董事會和管理層必須完全了解不同風險偏好所代表的取舍和利害關系。對于一些組織來說,“高風險偏好”或“低風險偏好”已經足夠區分,對已另外一些組織來說,風險偏好必須是可以量化的。風險偏好可以有“目標”、“范圍”、“上限”、“下限”等不同的表達和設定方式。
9. 評估可供選擇的戰略
組織評估可替代的戰略和對風險狀況的影響。組織必須明確戰略的重要意義和不同戰略選擇所隱含的意義,將戰略和風險偏好結合在一起考慮并依據不同情況和階段調整戰略。
10. 建立業務目標的同時考慮風險
組織建立不同層次的業務目標以制定和支持戰略的同時考慮風險。業務目標可以使財務表現、客戶滿意度、卓越運營、合規、效率提升或者領先行業的創新等等。組織必須理解不同的業務目標所隱含的意義并確定不同的績效度量方式和目標。
11. 定義可接受的績效浮動區間
可接受的績效浮動也可以理解為風險容忍度。衡量績效的完成度可以是定量的也可以是定性的。前者如資本回報率等,后者如品牌知名度、媒體評價等。
執行中的風險
組織識別并評估可能影響其實現戰略和業務目標的風險,結合企業的風險偏好,對風險按照其嚴重程度排分優先次序,組織選擇風險應對的方法并對績效進行監控以做出調整。這樣,企業對追求戰略和業務目標時所面臨的風險量建立起一個組合的觀念。
12. 識別執行中的風險
組織識別執行過程中影響業務目標實現的風險。風險識別的方法包括專題研討會、訪談、流程分析、關鍵風險指標和數據追蹤等。風險和機遇并存,識別風險的過程也是識別機遇的過程。
13 評估風險的嚴重程度
風險評估的重要工具是風險熱力圖,熱力圖從風險發生的可能性和影響程度兩方面對風險進行評級。風險評價要從固有風險、目標剩余風險和實際剩余風險三個層級進行。
圖5:風險熱力圖
14. 區分風險的優先次序
組織結合風險偏好,選定對風險排分優先等級的標準,然后對所有識別的風險進行排分。
15. 識別和選擇風險響應
風險響應有不同的方式,包括承受風險、回避風險、追逐風險、降低風險、分擔風險等。管理層根據業務環境、性價比、法律法規、風險優先級、風險嚴重程度和風險偏好來選擇和實施風險響應措施。一旦選擇風險響應措施,就需要有效的控制活動來確保響應措施的實施。這些控制活動在《內部控制—整合框架》中已經介紹。
16. 評估執行中的風險
組織需要對績效進行監測,如果績效的浮動區間超出了可以接受的范圍,則可能需要:重新考慮業務目標或戰略;調整目標績效,重新進行風險評估;重新進行風險優先級的排序;重新制定風險應對措施;重新確立風險偏好。
17. 建立風險的組合觀
管理層需要從組織整體角度考慮風險,將組織風險作為一個整體去和實現績效目標所需要承受的風險進行對比,而不是將其視為一個個單獨的、分散的風險。
風險信息、溝通和報告
溝通是在主體中不斷迭代地取得并分享信息的過程。管理層利用從內部和外部取得的有效信息來支持企業風險管理工作,組織利用信息系統來捕捉、處理和管理數據和信息。通過利用應用于所有組成部分的信息,組織就風險、文化和績效做出報告。
18. 使用相關信息
組織利用支持企業風險管理的信息,首先考慮有哪些可用的信息來源,然后衡量取得這些信息的成本,最終確定需要哪些消息來源。外部的消息來源包括:公開指數、政府發布的地緣政治報告和研究、市場調查服務、客戶滿意度問卷、社交媒體和博客、運用報告及第三方發布的報告、產業報告和同業公司的財務報告。
內部的消息來源包括:董事會和管理層會議、財務報表和投資回報分析、道德和行為相關的培訓、交易和盡職調查的成果、工時報告、庫存報告及檢舉熱線的報告。這些信息需要滿足:容易取得、準確、真實、恰當、可靠、及時。
19. 利用信息系統
信息系統可以是正式的或者是非正式的。組織應該應用分類學來管理ERM相關的信息,基于組織的規模大小、復雜程度將風險進行細分。管理層要依據內外部環境及時地維護信息系統并做出調整。
20. 溝通風險信息
溝通的對象既包括內部的員工,也包括董事會、股東及其他外部的利益相關者。溝通方法可以是電子信息、外部/第三方材料、非正式/口頭、公共活動、培訓和研討會、內部文件。
21. 對風險、文化和績效進行報告
組織在各個層級對風險、文化和績效做出報告。首先組織要確定這些報告的使用者和他們的職責。報告的形式和種類很多,包括:風險的整體判斷、風險圖譜、根本原因分析、敏感度分析、對新興及發生變化的風險的分析、KPI(關鍵業績指標)、趨勢分析、對意外事故、違規和損失的披露以及對ERM計劃和倡議的追蹤。管理層需要確定報告的頻率并對其質量負責。
監控ERM效果
通過監控ERM的效果,組織可以判斷ERM的各組成部分的長期運作是否良好并獲知有哪些實質性的變化。
22. 對重大變化進行監控
組織識別和評估可能對戰略和業務目標的達成造成實質性影響的內部和外部變化。造成這些實質性影響的變化可能來自內部的原因,例如快速成長、新技術或者管理層及其他人事變動;可能來自外部環境,例如法規和經濟環境的變化;還可能來自組織文化方面,例如并購和重組帶來的文化沖擊。
23. 對ERM進行監控
組織應監控ERM的效果并隨時準備對其進行效率上和實用性上的改善。做出這些完善的機遇可能存在于以下任何領域:新技術、歷史短板、組織方式轉變、風險偏好、風險分類、溝通、同業對比、變化的速率。組織同樣要明確未來理想中的ERM狀態,如此才能做出持續改進。
4. 風險績效曲線介紹
新版框架中數十次出現了一個新提出的曲線—風險績效曲線,提出了將風險與績效相結合并給出了圖形化的解釋。單個的風險和績效并不總是一一相關的,但是整體的風險與績效是相關的。
為了提供相關指導,新版框架對風險和績效的關系提供了圖形化的表達和示例。為了完成對風險輪廓的描述,組織需要理解下面內容:戰略和業務目標、績效目標和可接受的浮動范圍、風險承受能力和風險偏好、風險對達成戰略和業務目標的影響程度。
如下圖中所示,橫坐標代表績效,縱坐標代表組織所承受的風險。圖中的藍色曲線代表風險-績效曲線,即風險總體上隨著績效的升高而升高。紅色水平線條表示組織確定的風險容限,而紫色垂直線條表示組織的績效目標。
圖6:風險績效曲線
可以看到,c點表示目標績效下組織所承受的風險,c點到a點的距離則代表實際風險與風險容限的差距,距離越短,表示企業的風險偏好越激進。而b點代表達到100%風險容限時,組織所能達成的最大績效,但這也意味著組織承擔的風險總量已經處于飽和狀態。
可以看出,風險績效曲線是新版框架的創新,它成功地將風險、風險偏好、績效、目標績效、績效偏差等概念的關系用圖形的方式展現出來,簡單形象,方便理解。此示意圖是風險-績效曲線的最基本的一張圖,在新版框架的附錄中還有更詳盡的解釋。
但是,我們需要注意,風險績效曲線試圖將風險和績效進行量化對比,在實際操作中有一定的難度。目標績效雖然容易設置(通過收入、收益率、利潤、市場占有率等確定),但是風險如何加總量化是一個復雜的問題。除此之外,示意圖中風險與績效的關系是一條平滑的曲線,但是實際情況是,風險和績效的關系不會如此單純,所以如果沒有數據積累和大量分析,精確繪制這條實際的藍色曲線是非常困難的。我們風險管理咨詢的同事曾經帶領團隊試圖從一個項目風險評估中繪制風險績效曲線,但碰到的障礙很多,希望COSO在正式發布ERM框架時,可以給出更具操作性的指導。
5. 幾點探討及觀點
1. 更好的區分風險管理和內部控制的邊界
本文背景介紹中已經對風險管理和內部控制的情況作了簡單介紹,在企業風險管理體系和內部控制體系建設方面,中國企業積累的經驗在全球范圍內獨樹一幟,源于過去十幾年中國企業走過的坎坷之路。
2006年,國務院國資委發布《中央企業全面風險管理指引》,開啟了中國企業尤其是中央和地方國有企業建設全面風險管理體系的浪潮,在國務院國資委的推動下,絕大多數中央企業幾年內建立起了全面風險管理體系。
2008年,財政部發布《企業內部控制基本規范》,要求大中型企業尤其是上市公司建立健全企業內部控制體系,2013年,這些要求又在中央企業推廣和落實。
對于部分企業來說,無論是企業風險管理還是內部控制都屬于新生事物,這兩個體系從兩個國家部委的角度一前一后進行要求和推廣,很多企業感到迷惑,不知道如何處理這兩個體系以及這兩個體系和企業管理之間的關系,造成了一定的管理混亂和資源重復投入,這些問題從最開始理論框架的設計上確實沒有劃分清晰的界限。
對于風險管理和內部控制的關系,2013年COSO發布的內部控制框架更新版文件附錄中提出,企業風險管理是企業治理中的組成部分,企業內部控制是企業風險管理中的組成部分,從中國理論和實踐經驗看,大部分專家還是比較認可這種關系界定。
圖7:風險管理和內部控制關系圖
此次ERM新框架中,對于風險管理和內部控制的關系也做了進一步的闡述,新框架中有意規避了舊框架中對于控制活動的描述,把控制活動的內容留給了內部控制體系,而突出了風險的治理和文化的內容,以及強調和戰略及績效的關系,算是給兩個體系“分家”做了個“了斷”,關于兩者的關系比較及經驗總結限于篇幅,此處不再展開。
期待COSO公布正式版之后,實踐界可以盡快研究如何應用,盡快形成企業風險管理體系建設的行業最佳實踐。
2. 推動風險管理更好的和企業管理的融合
真正的風險管理工作是要支持管理決策的,而不僅僅是建立內部控制制度和流程,雖然COSO新版的ERM框架已經開始回到“正軌”,其實有些國際的知名風險管理咨詢公司并未受到COSO原有框架的局限性影響,如達信的風險管理咨詢服務及我們的姐妹公司奧緯咨詢(Oliver Wyman Consulting),我們一直堅持為客戶提供的風險管理方法論就是為企業的戰略和管理決策提供支持,將風險管理工作融入管理決策的各個流程環節中,我們一直認為這是風險管理的真正價值所在。
轉載于:https://www.cnblogs.com/dhcn/p/11546191.html
總結
以上是生活随笔為你收集整理的达信:深度解读COSO新版企业风险管理框架(ERM)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: HTTP协议(3)浏览器的使用之查看源码
- 下一篇: cadence导入dxf文件_Alleg