风险管理五大防线的运用
- 格式:pdf
- 大小:299.02 KB
- 文档页数:6
事会。
《偿付能力监管标准II》(Solvency II)也将类似于ISACA的三大防线观点 纳入其出版物。
第一道防线:企业基调“企业基调”源自我们的创新,用来描述企业高层、中层以及基层基调共同对风险管理、合规以及负责任的商业行为所产生的集体影响。
高层基调固然是重要的基础,但有一个重要的事实是企业领导人在向员工传递企业愿景、使命、核心价值以及对道德行为的承诺时所必须要了解的:员工行为的真正推动力其实来自于员工每天在上级身上的所见所闻。
如果部门和中层管理者的行为举止与企业高层所传达的信息和价值观背道而驰,那么基层员工用不了多久就会有所察觉。
3一步走错,满盘皆输。
因此,要想让负责任的商业行为渗透于企业每个角落,就必须先把企业的高层基调转化为有效的“中层基调”,然后再传达至基层。
有效的高层基调是企业致力于持续优化的先决条件,而后者对于将风险降至可接受水平以及在瞬息万变的商业环境下推动负责任的商业行为而言至关重要。
最重要的一点,高管人员的实际行动和行为既能够强化管理人员和业务经理透过各种政策所表达的基调,但也能够颠覆这种基调。
例如,如果管理层对所发生的违反政策行为坐视不理,或者对某项棘手的道德问题处理得有失公允,就会给员工留下一种负面的印象,企业基调随之受到的影响也就可想而知。
管理人员的日常言行必须保持一致。
企业基调影响风险文化——企业人员看待和管理风险的方式。
如果没有明确的企业基调和对其他防线的有效巩固,人们会按照不同的方式来管理风险。
企业必须向每个人明确地传递这样一个信息——企业高管和董事会对风险管理及合规的重视绝不亚于对业务管理和追求价值创造机会的关注。
业务单元经理和中层管理人员也必须持此观点。
这就意味着,所有层级的管理人员必须通过各种政策和其他自上而下的沟通渠道、薪酬激励结构,以及日常决策、行动及其所秉持的价值观,明确表明风险管理是整个企业的使命,是每一个人的职责这一立场和观点。
这种基调的形成需要高管人员在企业上下提倡一种“每个人都有责任”的理念,并确保每一道防线维持有效运作。
上述五大防线共同为执行企业风险管理能力提供支持。
以下是对该五大防线的相关思考与阐述:1. 在董事会的监督之下,高级管理层必须通过确保每道防线都有效发挥作用来建立并强化一种“每个人都有责任”的基调。
其他防线可加强和巩固企业基调这一防线。
2. 各单元及流程责任人必须对其单元及流程所产生的风险担负起最终的责任,并为管理这些风险确立适当的、与“高层基调”相一致的基调。
3. 有效的风险管理及合规需要一种独立的、权威的声音,以确保有一个面向整个企业的风险管理框架,风险责任人依据有关框架开展工作,风险获得适当评估,风险上限得到尊重和遵循,以及风险报告及通报工具能按预期发挥效用。
4. 内部审计为其他防线的有效运作提供保证。
内部审计应将防线框架作为一种加强和提升其价值主张的途径来使用,将保证活动的关注点拓展至更广的风险管理范畴。
5. 在董事会的监督之下,高管人员必须对市场拓展活动与控制活动之间不可避免的紧张关系进行管理,确保在这些活动之间建立一种适当的平衡,避免一方过度凌驾于另外一方。
高管人员必须努力协调治理流程、风险管理以及内部控制活动,以实现一种适当平衡,进而优化价值创造与价值保护之间的关系。
更重要的一点,在获悉有关风险信息之后,必须及时采取行动,并在必要时让董事会及时参与进来。
下面我们将深入探讨上述每一道防线。
1. 主要高管人员流失严重及/或有证据表明企业战略不切实际、员工绩效压力过大、薪酬结构不平衡,或 者有一位唯我独尊的首席执行官,专门惩处提供坏消息的管理人员等等。
2. 中层业务经理和部门经理对企业的愿景、使命、核心价值、战略以及风险应对措施未达成有效一致共识。
3. 风险是战略制定和业务规划完成之后的考虑事项(例如,管理层在更新业务战略或计划时并不考虑相关风险);风险管理沦为绩效管理的附属品。
4. 没有明确的针对重大风险及合规事宜的通报政策。
5. 容忍执行重大业务活动的过程中存在利益冲突。
一些警告信号3《董事会风险监督:关注“企业基调”》,第38期,载于。
第二道防线:业务单元管理层及流程责任人企业基调确立下来之后,要实施风险管理框架就需锁定风险责任人,因为少了他们,便无人负责管理风险。
解决关键风险的责任所属权问题是风险管理实施的一项重要环节。
如果存在缺陷(没有风险责任人)或重叠现象(风险责任人过多),就必须解决这些问题;如果有关风险事关重大,则更须尽快解决。
谁负责确定管理某特定风险所需的能力?谁来设计这些能力?谁来执行?谁来监督绩效?所有这些考虑因素都隐含在风险的责任归属权问题中,并且其重要性不容忽视,因为风险责任人构成了第二道防线。
. 首先,他们必须决定将要实施的风险应对措施。
虽然这可能需要获得高管层的审核和批准,但风险应对战略是他们的责任,他们要承认和接受这一点。
. 其次,他们必须根据所选定的风险应对策略和所界定的风险偏好来设计风险管理能力。
若要探究风险的源头或根本原因,在具体设计时就要考虑确保所选风险应对措施获得有效实施所需的适当政策、特定流程及控制活动、必要的人员和技能、管理报告机制、支持性方法论,以及系统和数据等等。
.最后,风险责任人要长期监控监控 4 所建立的风险管理能力,确保这些能力发挥预期效用。
若发现缺陷,他们应及时进行整改。
就风险管理能力的建立和执行而言,风险责任人可以选择将这些责任外包。
然而,即便如此,只要他们继续决定、决定、设计和监督设计和监督,他们的所有权责任就不会有任何削弱。
事实上,如果一个人不能进行重大决策、不考虑设计的充分性,也不去监控风险应对有效与否,那么他或她如何称得上一个有效的风险责任人?风险责任人包括业务单元经理和流程责任人。
由于他们承担着对风险进行识别、优先排序、溯源、管理和监控的主要责任,因此他们构成了第二道防线。
作为主要的风险责任人,他们负责制定目标、建立风险应对措施、培训人员以及强化风险应对战略等活动。
总之,负责实施和维护有效的内部控制程序是他们每天的工作,而且他们也是将风险管理能力整合至产生这些风险的活动的最佳人选。
董事会必须严格确保风险管理及合规职能(第三道防线)以及内部审计部门(第四道防线)能够不受任何干扰地将所发生的关键风险问题向上汇报。
在这一方面,与适当的职能部门领导和首席审计执行官定期召开行政会议将有所帮助。
就正式的通报流程而言,即使是在首席执行官(CEO )(或者更理想的情况,执行风险委员会)负责处理第二道和第三道防线之间纠纷的情况下,若涉及重大或实质性事宜,董事会也应当被告知。
1. 风险管理责任界定不够充分或未能与奖励系统充分挂钩,更有甚者,薪酬计划鼓励肆无忌惮的冒险活动。
2. 有证据显示存在不健康的内部竞争及/或实现不切实际业绩目标的重压,以致企业形成一种“武士文化”。
这种文化可导致不可接受的商业行为和对不恰当风险的承担。
3. 一味地专注于“盈利数字”。
这种行为可能会令企业对影响企业关键战略假设有效性并引发新兴风险的商业环境转变视而不见。
4. “明星员工”赚得盆满钵满,但没人了解这超高盈利及/或回报背后的原因。
5. 重大风险的管理责任分配问题存在已知的缺陷及/或重叠现象,但却无人过问。
一些警告信号第三道防线:独立的风险管理及合规职能第三道防线包含风险管理、合规及其他独立职能部门。
他们制定风险管理政策、设定风险管理准则、实施上限架构,并对特定风险领域提供适当监督。
这些职能决定适当的风险管理框架,同时确保业务单元经理及风险责任人在整个企业内有效贯彻实施该框架。
视乎所属行业,这些职能可能涵盖合规、环境、财务控制、健康与安全、法律审批、质量保证、风险管理、安全与隐私、供应链,以及合同承包等领域。
要获得卓有成效的运作,这些职能应与业务单元经理及流程责任人开展协作,共同开发和监控用以缓解已识别风险的控制及其他流程。
他们也可以执行独立的风险评估,制订风险管理计划,并提醒管理层新出现的风险问题。
54除风险责任人外,独立的风险管理及合规职能(构成第三道防线)也负责监控风险 管理能力。
最低限度,风险责任人必须做三件事:5IIA 于2013年2月刊发的第60期《高层态度》——《风险管理:简单如1…2…3…》: https:///knowledge/Public%20Documents/TAT_February_2013.pdf 。
很明显,首席执行官和董事会的期望为是否存在稳健的第三道防线奠定了基础。
风险管理及合规职能一般并不负责管理具体的风险,而是利用执行委员会(或指定的风险管理委员会)、首席执行官和/或董事会(或董事会的下属委员会)所赋予的权力来履行其战略性监督的角色。
这与风险必须由产生这些风险的业务部门来负责这一前提相一致。
这种战略性的监督和关注非常重要,因为如果企业未能对发生战略转移时所产生的风险进行全面分析和了解,可能会面临灭顶之灾。
风险管理及合规职能的定位应遵循以下几大重要原则:1. 涉及执行商业模式的风险越重大,相关职能领导(例如首席风险官[CRO ])越有必要在各方面(例如薪酬、职权以及向首席执行官直接汇报)与其他业务部门领导处于平等的地位;在企业的组织层级架构中的地位亦是如此。
能做到这一点的唯一方法,是确保首席风险官拥有可赢得相应尊重的职责范围、权力、薪酬以及直接报告路径。
积极参与战略制定流程、领导制定企业的风险偏好声明、建立风险报告机制、担任管理风险委员会主席或参与其中,以及在适当时候将风险问题上报首席执行官和董事会,所有这些动作都必须向业务部门以及整个机构传递这样一个信息,即首席风险官是其中一份子。
这就意味着,首席风险官应当作为一个主要的高级管理人员可直接向首席执行官或董事会汇报。
视乎所属行业,这一点也同样适用于企业运营中的敏感领域,包括环境、健康与安全、产品质量、合同承包、安全与隐私,以及其他领域等。
如果这些高管人员不能拥有真正的实权和影响力,就会沦为“傀儡倡导者”。
首席风险官需体现出其“首席”之价值所在。
2. 有关职能领导应可以向董事会或董事会下属委员会汇报,并且在向董事会汇报时不受任何形式的制约。
3. 有关职能领导的地位及其如何与业务部门管理层进行沟通必须得到明确界定。
4. 董事会或由董事会下属风险委员会应定期与有关职能领导召开行政会议——这些会议应是强制定期召开。
5. 正式的通报流程应落实到位(例如书面的程序及协议,规定对那些由风险管理职能提出但业务经理持不同观点的任何重大问题进行通报)。
为使上述原则在实践中生效,董事会和首席执行官必须对有关职能领导角色所贡献的价值有着统一的认识和了解,1. 风险管理及合规职能的领导未能与其他业务部门领导处于平等的地位。
2. 风险管理及合规职能无法向董事会汇报,或在向董事会汇报时面临诸多限制。