下载文档原格式
企业风险管理框架(九)本报告的用途1、董事会成员董事会成员应该与企业的高级管理人员讨论企业风险管理的状况并在必要的时候进行监督。
董事会应该保证企业风险管理体制能够为董事会提供与企业战略和目标相关的最重要的风险的评估,包括企业的管理者采取了什么行动和董事会在监督企业风险管理框架时是如何运作的。
董事会应该从企业的内部审计人员、外部审计人员和咨询顾问外获得有关的信息。
2.高级管理人员本研究建议企业的首席执行官应评估企业风险管理的适应性。
使用本框架,CEO就可以与企业的其他主要经营和财务主管一道,注意企业内需要注意的地方。
使用一定的方法,CEO可以将企业的业务部门的负责人和主要职能部门的员工汇集到一起,讨论对企业风险管理框架适应性和有效性的最初评估。
无论讨论的形式如何,风险管理最初的评估应决定企业是否需要对企业风险管理框架进行进一步的、更广泛的评估以及应如何进行评估。
最初的评估还应该保证企业再造的监控程序确实存在、确实有效。
企业花费在风险管理评估上的时间是企业的一项投资,而且是一项有高额回报的投资。
3.企业内其他成员企业的管理者和其他员工应该考虑他们在企业风险管理框架中应履行何种职责,并与其上层管理者讨论有关思想以加强企业的风险管理。
内部审计人员则应该考虑其工作中关注企业风险管理的程度。
4.立法者每个企业对企业风险管理的期望由于两个方面的影响而千差万别。
首先,由于对企业风险管理框架的硬件设施构建的不同认识,使得企业的风险管理框架各有不同。
一些观察家认为企业风险管理将会,或者应该会防止企业的经济损失,或者至少是防止企业破产。
第二,即使对企业风险管理能够做什么、不能做什么以及“合理保证”概念有一个共同的认识,对这概念的含义和应该如何应用这些概念也存在许多不同的观点。
为了使各方对企业风险管理的认识及其作用达成共识,就应该对企业风险管理框架及其局限性达成共识。
本框架的提出就是出于这一考虑。
5.专业机构规则制定机构和其他专业组织已经提供了企业理财、审计和相关问题的指南。
【收藏】COSO新版企业风险管理框架全文解读(一):聚焦价值本文介绍COSO新版企业风险管理框架的第一册第一部分的第一章节:框架的介绍,本部分内容作为开篇介绍了本框架的整体定位和相关主题的关系:本部分COSO阐述了整合风险管理工作贯穿于组织提升治理、战略、目标设定和日常运营决策能力的始终,协助组织更加紧密的考虑战略和商业目标的相关风险从而获得更好的业绩,整合风险管理的宗旨是为组织创造、保持和实现价值指引方向。
表明了这个框架描述了一种方法,如何使一项职能整合融入主体中正在运行的其它业务活动。
1、强调了企业风险管理对价值的影响•当我们的收益超过了资源配置成本时,就创造了价值。
•当日常运营的资源配置可以持续创造价值,那价值就会保持。
•当管理层实施了一项战略并没有达到预期收益或任务执行失败,那就损害了价值。
•当利益相关方获得了主体创造的收益,价值随之实现,这种收益可以是金钱的,也可以是非金钱的。
无论是什么类型的主体,企业风险管理工作都可以整合融入其它业务来增强利益相关方的信任和信心。
2、使命、愿景和核心价值解释•使命:主体的核心宗旨,要实现什么而成立及为什么而存在。
•愿景:主体对未来状态的愿望或者组织未来想要实现的目标。
•核心价值:主体的价值取向以及对好与坏、接受或不接受的判断标准,这些将会影响组织的行为模式。
3、阐述了企业风险管理对战略的影响企业风险管理并不能创造主体的战略,但它可以影响战略的产生和发展。
一个组织将整合企业风险管理工作融入战略设定环节,它将给管理层提供需考虑的各种替代性战略并最终采用被选中的战略的相关风险信息。
4、论证了企业风险管理与商业运营的关联企业风险管理工作整合融入与商业运营的所有方面的工作,包括治理、绩效管理和内部控制工作。
治理指出了治理的一部分属于风险管理的范畴,而治理的某些方面内容不属于企业风险管理的范畴。
绩效管理绩效管理聚焦资源的高效配置,它关注的是跟预先设定的目标相比,如何衡量这些行动、任务和职能以及确定这些目标是否被达成。
内部控制框架的新发展企业风险管理框架COSO委员会新报告《企业风险管理框架》简介一、本文概述随着全球经济的不断发展和企业规模的日益扩大,企业面临着越来越多的风险和挑战。
为了帮助企业更好地应对这些风险,提高内部控制和风险管理水平,COSO(Committee of Sponsoring Organizations of the Treadway Commission)委员会在原有的内部控制框架基础上,推出了全新的《企业风险管理框架》报告。
本文旨在对该报告进行简要介绍,阐述企业风险管理框架的新发展,并探讨其对现代企业内部控制和风险管理的重要意义。
通过本文的阅读,读者将对企业风险管理框架有一个全面的了解,从而为企业构建更加完善的风险管理体系提供有益的参考。
二、COSO委员会及其新报告概述COSO委员会,全称“美国反虚假财务报告委员会下属的发起人委员会”(Committee of Sponsoring Organizations of the Treadway Commission),自1992年发布《内部控制——整体框架》以来,一直是全球企业内部控制和风险管理的权威指导机构。
近年来,随着全球经济环境的变化和企业经营复杂性的增加,COSO委员会意识到原有的内部控制框架已不能满足企业对全面风险管理的需求。
因此,经过数年的研究和讨论,COSO委员会于2017年发布了全新的《企业风险管理框架》(Enterprise Risk Management Framework,简称ERM 框架)。
新报告《企业风险管理框架》在原有内部控制框架的基础上,进一步拓展了风险管理的范围和深度。
新框架不仅强调了内部控制的重要性,还明确提出了企业风险管理的八大要素,包括:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。
这些要素相互关联、相互作用,共同构成了企业风险管理的完整体系。
与旧框架相比,新框架更加注重风险管理的战略性和系统性,鼓励企业从全局视角出发,全面识别、评估和管理风险。
深度解读《COSO新版企业风险管理框架(征求意见稿)》2016年6月,美国反欺诈财务报告委员会(The Committee of Sponsoring Organizations ofthe Treadway Commission, COSO)发布了新版企业风险管理框架“企业风险管理-与战略和绩效协同”(EnterpriseRisk Management- Aligning risk with strategy and performance)征求意见稿,这是继2004年COSO正式公布企业风险管理框架(EnterpriseRisk Management Framework, ERM)以来第一次对ERM框架进行修订和完善,更确切的说是对ERM框架大刀阔斧的进行了重新构思和设计。
新版ERM框架已经于2016年9月30日截止全球范围内收集反馈意见,并计划于2017年第一季度正式公布,但实际上正式版迟迟推到了第三季度才公布,可见其内部经历了大量的讨论乃至争执,关于正式版框架解读稍候发布。
一、新版ERM框架出台的背景众所周知,在企业风险管理和内部控制理论研究领域,COSO组织有着举足轻重的位置,从1992年出版企业内部控制整合框架(InternalControl- Integrated Framework)以来,作为在美上市公司内控体系建设的指导框架,不仅得到了美国证监会的认可,而且在全球范围内被众多国家相关企业和上市公司监管机构采用和推广,如中国财政部2008年发布的《企业内部控制基本规范》即采用了COSO 组织1992年发布的内部控制框架要素和内容。
2000年以来,企业界在实施了十来年内部控制框架之后,发现即便建立了完善的内部控制体系,仍然会出现企业倒闭、破产、经营失败或预期不达标等风险损失案例,所以COSO组织开始从更高的一个角度来思考企业的管理活动以及内部控制体系的局限性。
内部控制体系确实对实现财务报告的可靠性和有效性提供了合理的保障(从实践经验看,内部控制体系的建立对经营和合规两个目标的支持力度并没有像财务目标那样得到很好的体现),但是企业需要从整合风险管理的角度为企业创造价值并合理保障公司战略目标的实现。
企业风险管理框架4、风险评估风险评估可以使企业了解潜在事项如何影响企业目标的实现。
管理者应从两个方面对风险进行评估一一风险发生的可能性和影响。
风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。
对风险发生的可能性和影响的估计经常需要使用从过去的可观察事项得到的数据,这比没有任何数据的、完全的主观估计要客观得多。
根据企业自己的经验在企业内部产生的数据带有较少的人的主观偏见,能够得到比外部数据更好的结果。
但是,即使是以内部数据作为主要的资料来源,外部数据仍能用作一个检查标准或者改进分析。
当使用过去数据对未来进行预测时使用者必须小心,因为影响过去事项的有关因素可能会随着时间的推移而改变。
一个企业风险评估的方法通常是定量方法和定性分析技术的组合。
当风险本身无法量化时,或者量化评估所要求充足的可靠的数据实际不可获得或者数据获得或分析不符合成本效益原则时,管理者通常会采用定性的分析技术。
定量的分析技术通常更加精确,一般用于更为复杂多变的活动,作为定性分析的补充。
一个企业不需要在每个业务部门都使用同样的评估技术。
相反,对评估技术的选择应反映出对精确性的需要和该业务部门的文化。
在任何情况下,各业务部门所使用的评估技术应有利于企业在整个企业的范围内对风险的评估。
在衡量目标的实现程度时,管理者经常使用业绩计量指示。
当考虑某一风险对实现某一特定目标的潜在影响时,使用这些计量指标同样有效。
管理者可以评估各事项之间的关系,因为一系列相互关联的事项结合起来会使得事项的发生概率或事项的影响发生重大变化。
虽然一个单一事项的影响可能很小,但是这样一系列事项则可能对企业造成重大影响。
各潜在事项之间可能并不直接相关,这时管理者可以分别对其进行评估,但是当某些风险可能在企业的多个业务部门出现时,管理者可以将所确认的风险归为一类进行评估。
通常一个潜在事项结果是一个可能的范围值,管理者应将其作为制定风险反应方案的基础。
COSO新版企业风险管理框架风险绩效曲线介绍COSO委员会在今年9月公布的新版企业风险管理框架中,最大的一个变化就是不再孤立的谈风险管理工作,而是将其作为一个文化、能力和实践,更好的融入企业管理中,为企业实现其各层面的管理目标而服务。
为了更好的体现这种融入,新框架中介绍了一个“风险概况图”并出现数次,用来解释一个用以关联风险和绩效的曲线。
一、最基本的风险绩效曲线介绍下图就是最基本的COSO的风险绩效曲线,用横轴表示绩效(Performance),纵轴表示风险(Risk),一条蓝色曲线绘制了不同绩效目标下需承担的风险概况。
紫色的竖线是目标线,指的是绩效目标设定的大小。
红色的横线表示的是主体的风险偏好,包含了对风险类型和风险量的描述。
蓝色曲线与紫色目标线的交点指的是在既定的绩效目标下,需要承担的相应的风险概况;蓝色曲线和红色风险偏好线的交点即承担的风险达到风险偏好时,可以实现的绩效目标;或者说当绩效目标增长到某一特定值时,主体承担的相应风险达到风险偏好的总量。
如果主体的绩效目标设定在了风险偏好以上的蓝色曲线对应的X 轴的绩效值,那将是一种被视为冒险和激进的绩效目标。
二、为了体现风险与绩效关系,舍弃了风险承受度的概念为了更好的展示风险和企业绩效之间亲密无间的关系,COSO也是下了血本,生生的把风险承受度的概念给删除了,要知道这个概念在风险管理领域可是深入人心的概念。
COSO为了使风险和绩效可以直接挂钩,“不让中间商赚差价”,必须把能省的都省掉,所以风险承受度的含义就被整合进了风险偏好,而启用了“可接受的绩效波动范围”作为承受度(容忍度)的新概念。
在上图中,橙色虚线中,与横轴的两个交点之间的距离,即是代表不同的绩效值,代表着“可接受的绩效波动范围”,这就是原来对于“风险承受度”概念的直接外现。
三、什么是绩效COSO本次框架更新虽然画出了风险绩效曲线,但是并没有详细定义Y轴的绩效(Performance)到底是什么,只是对绩效管理进行了定义:绩效管理:对实现或超过战略和商业目标所做付出的度量。
实施与运行—COSO新版企业风险管理框架主体要素解读实施与运行部分作为新版企业风险管理框架的第三个要素,是指在既定战略和商业目标下,结合风险偏好的设置,对风险进行识别和评估的内容,一共包含五个原则:10. 识别风险11. 评估风险严重程度12. 进行风险排序13. 实施风险应对14. 建立风险组合观识别风险这部分可以概括为四个方面的关注点:根据战略和商业目标,识别其面临的相关风险,并关注风险的不断变化及新兴风险;使用风险清单对风险进行分类;将风险视为日常工作的一部分,使用多种方法识别风险(人工智能、数据跟踪、访谈、关键指标、流程分析、研讨会、问卷);相同风险的表述方式不同,会影响对风险的不同反应评估风险严重程度(风险水平)这部分包括八个方面的关注点:对风险进行评估;从组织不同层面评估风险的风险水平;选择风险评估指标,从影响程度和可能性两个方面;选择风险评估方法,从定性和定量两个方面;明确固有风险、预期剩余风险和实际剩余风险;展示风险评估结果(风险图谱、风险绩效曲线);确认触发重新评估的条件和机制;降低风险评估中的偏见进行风险排序这部分包括五个方面的关注点:建立风险排序的标准;确定风险优先级;使用风险偏好来确定风险优先级;不同层面的优先级;避免风险优先级偏见实施风险应对这部分包括四个方面的关注点:选择风险应对方式(承受、规避、追求、降低、分担等);实施风险应对;考虑成本和收益;考虑风险应对产生的新风险风险组合观这部分包括三个方面的关注点:理解风险组合观,从组织整体和组合视角考虑风险的影响;从不同层面将风险进行整合的组合视角;结合风险绩效曲线分析风险组合观讨论几点:1、对于新兴风险(Emerging Risk)的关注近些年,我们大踏步的进入信息社会,巨大的技术变革让我们面临的不确定性越来越大,也越来越难读懂未来的趋势将会给我们带来什么样的影响,在这个过程中,涌现出来一批由于环境的变化、技术的变化、目标的变化、认知的变化带来的之前没有遇到过、不易量化或觉察的风险,我们把它称之为新兴风险(Emerging Risk)。
COSO风险管理框架中文版COSO风险管理框架是一种广泛应用于企业风险管理的框架。
它由COSO(美国管理会计学会委员会)开发,旨在帮助企业有效管理和控制风险,并提升企业的绩效。
该框架主要由五个组成要素构成,分别是控制环境、风险评估、控制活动、信息与沟通以及监控活动。
下面我们就来详细介绍一下每个组成要素:1. 控制环境:控制环境是指企业内部的一些基础性因素,它们对风险管理至关重要。
这些因素包括企业的管理者对风险管理的关注程度、道德价值观、组织结构、人力资源策略等。
一个良好的控制环境将能够识别和理解企业所面临的风险,并为其他组成要素的实施提供支持。
2. 风险评估:风险评估是指对企业面临的风险进行识别、分析和评估。
它可以帮助企业确定风险的重要性和潜在影响,并为后续的控制活动提供依据。
风险评估可以通过内部审计、风险调查等方式进行。
3. 控制活动:控制活动是指为管理和控制风险而采取的策略、政策和程序。
这些控制活动可以包括内部控制措施、风险管理政策、员工培训等。
通过有效的控制活动,企业可以降低风险的发生概率和影响程度,并确保业务的顺利进行。
4. 信息与沟通:信息与沟通是指将与风险管理相关的信息及时传达给企业的相关利益相关者。
这些信息可以包括风险评估结果、控制活动的效果、异常报告等。
通过及时、准确地传达信息,企业可以更好地与利益相关者合作,共同管理和控制风险。
5. 监控活动:监控活动是指对企业风险管理框架的运行进行评估和监控。
企业可以通过内部审计、独立评估、风险指标等方式进行监控。
监控活动可以帮助企业发现潜在的风险和问题,并及时采取相应措施。
COSO风险管理框架通过以上五个组成要素的有机结合,帮助企业实现风险管理的全面覆盖。
它可以帮助企业建立有效的风险管理体系,提高组织的风险管理能力,降低风险对企业的不利影响。
在现今不断变化的商业环境中,企业需要密切关注风险管理,并根据COSO风险管理框架的指导原则,制定适合自身发展的风险管理策略。
COSO企业风险治理框架1. 框架概述COSO企业风险治理框架由5个相互关联的组成部分组成,包括:内部环境内部环境是一个组织的基础,包括组织文化、风险承受能力和道德价值观。
这一组成部分确保组织能够有效管理风险并实现业务目标。
目标设定目标设定明确了组织的目标,并确定实现这些目标所需的资源和方法。
通过明确定义和沟通目标,组织能够更好地识别和处理风险。
事件识别事件识别是指识别可能对组织实现目标产生积极或负面影响的事件或情况。
通过早期识别和评估,组织能够及时采取措施来管理和应对风险。
风险评估风险评估涉及对已识别的风险进行分析和评估,确定其可能性和影响程度,并优先处理高风险事件。
这有助于组织在有限的资源下更有效地管理风险。
控制活动控制活动是指组织采取的措施来减轻和控制风险的行动。
这包括制定和执行内部控制措施、建立监控机制以及对风险进行持续监测和评估。
2. 应用COSO企业风险治理框架的好处应用COSO企业风险治理框架可以带来以下好处:- 提供一种系统性的方法来管理企业风险,有助于组织识别和解决风险问题。
- 通过明确的目标设定和风险评估,帮助组织更好地管理资源和应对挑战。
- 建立内部控制机制,提高组织运营的效率和效果。
- 为监管机构、投资者和其他利益相关者提供一种可信的风险管理框架,增强组织的声誉和信任度。
3. 应用COSO企业风险治理框架的要求要有效应用COSO企业风险治理框架,组织应考虑以下要求:- 高层管理人员应从组织文化和领导力方面支持和推动框架的应用。
- 组织应在内部环境、目标设定、事件识别、风险评估和控制活动五个方面建立有效的管理措施。
- 框架应根据组织的特定需求进行定制,考虑不同的业务风险和环境要素。
- 组织应持续监测和评估风险管理的有效性,并根据需要进行调整和改进。
4. 结论COSO企业风险治理框架是一种有效的风险管理工具,可以帮助组织识别、评估和应对风险,提高管理效能和组织绩效。
通过应用该框架,组织能够更好地实现业务目标并维护其声誉和信任度。
新版COSCO企业风险管理框架》:有哪些变化?2016-12-156月24日,反虚假财务报告委员会下属发起组织委员会(COSO发布《企业风险管理:风险与战略和绩效的协调》,以向公众征求意见,截止日期为2016年9月30日。
1熟悉2004版《企业风险管理综合框架》的人可能不会将以此为更新基础的新版框架视为“全新”概念,但他们会发现新框架的关注点已截然不同,它所关注的是如何使企业风险管理(ERM在组织机构内真正行之有效。
为什么要更新?对过去十年的回顾与总结自原始框架于2004年刊发以来,实施该框架的企业便面临各种问题,而最大的干扰来自在美国上市的企业不得不全力以赴应对《萨班斯法案》合规工作。
当然框架的实施还面临其他挑战:•企业风险管理的实施范围往往并不面向整个组织机构,并且很少被运用到战略制定中。
如此一来,COSO!架在对企业风险管理进行定义时所强调的最重要亦是最独具一格的一点――“应用于战略制定过程中和整个企业中”在实践中却被误读或无视。
*COSO1初在编制框架时采用了类似于内部控制框架所使用的立方体。
虽然COSO寸立方体右侧的内容进行了修改,删除了有关活动和流程,改为侧重于范围更广的实体和运营单位及分支机构,但许多企业依然试图在过于细微的层面实施该框架,例如运用于流程层面而非战略制定。
企业风险管理的实施活动也因此陷于细节的泥潭,令许多C级高管迅速失去兴趣。
•许多组织机构将企业风险管理作为一种保证活动来实施,而不是将其视为一种更佳的企业管理方式。
在和运营单位的领导们打交道时,这种方法无疑是失败的,特别是在有关活动又由内部审计部门主导的情况下。
*2008年金融危机所引发的经济大萧条令许多企业进入危机应对模式,企业风险管理的实施也因此受到影响。
•最终,还是影响深远的突发性重大事件重新引起了对企业风险管理的真正兴趣,包括2008年的金融危机和2011年的日本海啸。
简而言之,在COSO公布框架之初高管人员对它的关注度便有限,实施活动自那时起就参差不齐。
鉴于上述原因,企业风险管理框架在早些年并未获得施展拳脚的机会。
直至金融危机爆发,许多企业高管都并不知晓该框架抑或不确定应如何应对。
然而,金融危机爆发后,有关问题和价值主张便开始明朗起来。
众所周知,一个完全失控的行业触发了一场惨烈的全球性金融危机。
这场危机就未知事项的潜能给人们上了宝贵的一课,“黑天鹅”这种词汇也在业界流行开来。
所有的经验教训再次印证了有效风险管理的几大关键要素的重要性,包括不遗余力的董事会、全力支持的首席执行官、开放透明的企业文化、能够有效平衡长短期利益的薪酬结构,以及最为重要的一点一一管理层在察觉危险来临时能够反其道而为之的决心和毅力,而所有这些要素的获得离不开对企业风险管理持之以恒的坚持和保护。
危机过后,先行者的价值和优势更是一目了然。
董事会开始提出不同以往和更急尖锐的问题,CEO们也开始想方设法与董事会开展对话,以引起整个企业对有关风险事项的关注和重视。
值得注意的另一现象是,持续剧烈变化的商业环境正在不断关压缩商业模式的半衰期。
一种以前所未有的速度摧毁既定商业模式的强大趋势正在形成,稳步发展的数字化技术只是冰山一角,它不仅能够让消费者和企业轻而易举地获取史无前例的海量信息,而且也会快速地制造有关他们的信息。
此外,还有席卷阿拉伯世界的所谓“阿拉伯之春”的革命浪潮、日益加剧的民族情绪和紧张的地缘政治局势、人口老龄化、对网络的依赖、不断扩大的收入差距、伊斯兰国哈里发恐怖主义的兴起、涌动的难民潮,以及更近一些的油价暴跌,种种负面事件不胜枚举。
总的来说,在2004版框架实施水平参差不齐,2004年以来各种戏剧性风险管理失效事件并发,以及商业环境日益复杂的共同叠加作用影响下,对框架做出更明晰阐释的呼声日渐高涨。
现实再清楚不过:要想战胜各类突发中断性事件,企业领导必须能够迅速识别有关变化的重要迹象,以及自己的市场和商业模式可能会受到的影响。
总的来说,在2004版框架实施水平参差不齐,2004年以来各种戏剧性风险管理失效事件并发,以及商业环境日益复杂的共同叠加作用影响下,对框架做出更明晰阐释的呼声日渐高涨。
在此呼声中,COSO^现他们恰可以借此机会:将企业风险管理和各利益相关方的期望更明确地联系在一起;将风险与企业绩效挂钩,而非将风险作为一种独立的活动来关注;以及改善企业对未知的预期和准备。
事实上,作为先行者的企业并非只是把潜在变化当作潜在危机来对待,他们也从中寻求潜在的市场机遇。
有哪些新变化?基于风险的方法COSO勺新框架基于以下这样一个基本假设:即每个企业存在的目的均旨在为利益相关方提供价值,但在价值追求过程中会面临不确定性。
“不确定性” 一词被定义为未知的事项,而“风险”则定义为,该等不确定性对制定和执行业务战略以及实现业务目标造成的影响。
因此,新的框架认为:管理层面临的一大挑战是确定企业准备接受和能够接受多少不确定性,亦即多少风险。
有效的“企业风险管理”能够使管理层在权衡风险和机遇的同时,提升企业创造、保护和最终实现价值的能力。
对风险与价值之间关系的着意强调亦体现于COSO寸企业风险管理定义的简化和关注点的重新界定:企业赖以管理价值创造、保护和实现风险、且与战略制定及执行有机结合的文化、能力及实践。
新框架的标题便暗示了风险与战略以及企业绩效之间日益重要的连结关系。
cos懐示新框架:•更深入地探讨了战略以及企业风险管理在战略制定和执行中的角色;•优化了企业绩效与企业风险管理之间的协调关系;•涵盖了治理和监督预期;•提及了市场和运营的持续全球化趋势,以及在不同地域采取通用(尽管亦有量体裁衣之考量)做法的必要性;•提供了将风险置于更复杂商业环境下进行考量的新方法;・将提升利益相关方透明度的预期纳入风险报告范围;•涵盖了对决策起支持作用的科学技术进步及数据分析手段。
COS(在更新过后的框架里介绍了五大要素,并且如2013年更新内部控制框架时为每个要素罗列了相关原则。
我们将在下文讨论各大要素及其原则。
风险治理和风险文化是确保企业风险管理行之有效的强大基石。
风险治理和文化的重要性新框架的第一大要素为企业风险管理其他四大要素提供了基础。
风险治理确定企业的基调,强化并确立企业风险管理的监督职责。
文化则事关道德价值、具责任感的企业行为、对业务环境的了解,并且体现于决策过程中。
风险治理和风险文化是确保企业风险管理行之有效的强大基石。
该基本要素涉及六个原则。
风险治理和文化1.履行董事会风险监督职能2.建立治理和运营模式3.定义理想的企业行为4•恪守诚信和职业道德5.实施问责6.吸引、发展和留任优秀人才履行董事会风险监督职能 一一风险治理和文化始自企业最高层, 即董事会的影响和监督。
董 事会必须担负起风险监督的职责, 并具备提供有关监督所必需的技能、 经验和业务知识。
当 董事会大多由独立人员组成时,便可对执行管理层和整个企业起到有效的监督和制衡作用。
COSO 表示“战略执行风险”并不是战略制定过程中需要考虑的唯一风险维度,还有另外两 个维度要考虑,因为它们可能会对企业风险特征产生重大影响。
建立治理和运营模式 一一一个企业的战略执行, 体现于管理层为实现企业目标而对日常经营 活动的组织和执行中。
由于运营模式一般包含法务和管理架构以及相应的报告路径, 因此如何管理和治理该模式可能会触及一些新的和不同的风险或复杂情况, 进而影响到企业执行战略、管理风险及实现目标。
定义理想的企业行为——COSO 对理想企业行为的界定乃基于企业的核心风险价值观及态度。
不论企业认为自己是风险厌恶型、风险中立型或风险激进型,动结果认真负责的态度、 决策过程中对风险的明确考量, 征确保风险可以被纳入日常业务。
恪守诚信和职业道德一一值得注意的是,COSO^注的是贯彻于整个企业的基调。
虽然高层 基调由管理层和董事会的运营风格及个人行为所决定,但他们的基调必须渗透至企业各个层面。
这意味着中层基调必须与高层保持一致, 唯有如此,基层基调才能够反应理想的核心价值及风险态度。
横跨整个企业的基调应是无界的, 也就是说,企业人员及其业务合作伙伴都必须积极响应管理层和董事会设定的预期。
因此,必须建立和评价有关行为准则,任何偏离这些准则的行为都必须予以及时处理。
对于如何建立恰当的基调, 坦诚地沟通有关风险及风险承担情况是至 关重要的。
实施问责一一企业各级人员都必须对企业风险管理负责。
企业自身首先必须担负起提供适当的企业风险管理准则和指引的重任。
这种问责制应始于董事会和 CEO 并通过适当的绩效预期、激励和奖励机制从上到下渗透至整个企业。
董事会和CEO 必须时刻保持警惕,确保企业内部的压力不会造成不负责任的和 /或违法行为。
针对这一点,COSO 表示可能导致发生上述行为的过大压力往往来自: 不切实际的绩效目标、不同利益相关方相互冲突的业务目标,以及短期财务绩效奖励与长期利益相关方预期(例如C0SO 都建议它们培养一种风 险意识文化。
这种文化的特点包括:英明果断的领导力、当仁不让的管理风格、对行动和行 以及积极开放的风险对话。
这些特企业的可持续性目标)脱节。
COSOS称,这种压力既可能来自企业内部(例如企业不合时宜的绩效奖励或战略变更),也可能来自企业外部(例如影响销售业绩的客户需求发生了变化或一项颠覆性的改变影响了企业的运营模式)。
吸引、发展和留任优秀人才一一最后,风险治理和文化还要认识到根据企业目标积累人力资本和人才的重要性。
管理层必须界定执行战略所必需的知识、技能和经验;制定适当的绩效预期;吸引、发展和留任合适的人员及战略合作伙伴;以及安排好继任计划。
从多方位关注战略制定许多企业将关注点放在识别战略执行风险上。
然而,在企业风险管理的第二大要素中,COSO表示“战略执行风险”并不是战略制定过程中需要考虑的唯一风险维度,还有另外两个维度要考虑,因为它们可能会对企业风险特征产生重大影响。
第二个维度是“战略可能会不符合”企业的使命、愿景和核心价值,而后者体现的正是企业想要实现的目标及意图采取的开展模式。
一个错位的战略将增加企业无法实现使命的风险,即使有关战略获得成功实施。
需要考虑的第三个维度是“所选战略的影响”。
COS越样表述道:管理层在制定战略以及与董事会讨论其他可能的选择时,他们会就战略中所固有的利弊做出权衡。
每个可能的战略都有其自身的风险特征一一这就是战略的影响。
董事会和管理层需要考虑有关战略是否与企业的风险偏好一致,以及它会如何推动企业制定目标,并最终对资源做出有效分配。
总之,通过明确战略制定流程需考虑的所有三个维度,cos蔚框架将有关战略的讨论及企业风险管理与战略的结合提升至一个新层次。
企业风险管理的风险战略及目标制定要素涉及五大原则。
风险战略与目标制定7.考虑风险和业务环境8.定义风险偏好9.评估替代战略10.制定业务目标时考虑风险11.界定可接受的绩效偏差考虑风险和业务环境一一新框架透过内外部环境来审视业务环境。
