⼀、全⾯风险管理术语(⼀)风险管理基础术语1、风险
指未来的不确定性对企业实现经营⽬标的影响。
未来的不确定性可能会对企业经营⽬标的实现带来负⾯的影响,也可能会带来正⾯的影响。因此,风险可分为以下两类:1.1纯粹风险是指未来事项的发⽣将对企业经营⽬标的实现产⽣负⾯影响的可能性。1.2机会风险是指未来事项的发⽣将对企业经营⽬标的实现产⽣正⾯影响的可能性。注:有关可能性的程度可以⽤不同等级来表⽰:极不可能/不太可能/可能/很可能/极有可能。2、全⾯风险管理
指企业围绕总体经营⽬标,建⽴健全全⾯风险管理体系,通过在企业管理和企业经营的各个环节执⾏风险管理的基本流程,培育良好的风险管理⽂化,从⽽为实现风险管理的总体⽬标提供有效保证的过程和⽅法。3、风险管理框架
指企业对风险管理的设计、实施、监控、检查和持续改进等进⾏的⼀系列基础的组织安排。4、风险管理基本流程
指企业开展风险管理⼯作所进⾏的⼀系列业务活动和⼯作环节,具体包括:收集风险管理初始信息、风险评估、制定风险管理策略、提出和实施风险管理应对⽅案、风险管理的监督与改进。5、内部控制系统
指围绕风险管理策略⽬标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、⼈⼒资源、采购、加⼯制造、销售、物流、质量、安全⽣产、环境保护等各项业务管理及其重要业务流程,制定并执⾏的风险管理规章制度、程序和措施。6、风险管理信息系统
指通过信息技术,为全⾯风险管理的各项⼯作,传输企业风险和风险管理信息的系统平台,具备风险数据和信息的采集、存储、加⼯、分析、测试、传递、报告、披露等各项功能。7、风险⽂化
指在企业的⽇常运营中,基于企业的风险哲学、风险偏好和整体企业⽂化形成的对待风险的态度、价值观和系列实践⾏为等。(⼆)与风险评估相关的术语1、风险评估
指企业及时辨识、科学分析和评价影响经营管理⽬标实现的各种不确定因素并确定重⼤风险的过程,包括风险辨识、风险分析、风险评价三个主要步骤。2、风险辨识
指查找企业各业务单元、各项重要经营活动及其重要业务流程中有⽆风险,有哪些风险。3、风险分析
指对辨识出的风险及其特征进⾏明确的定义描述,分析和描述风险发⽣可能性的⾼低、风险发⽣的条件。4、风险评价
指评估风险对企业实现⽬标的影响程度、风险的价值等。5、来源识别
指发现、列举和描述风险来源的过程。6、风险源
指单独或联合具有内在的潜在引起危险的因素。7、重⼤风险
指经过风险评估所确定的,在当前所有风险中风险⽔平较⾼且超出企业风险承受度的风险,也即在风险图中处于⾼风险区域的风险。8、风险图
指⽤于风险识别和对其进⾏优先排序的有效⼯具。⼀旦企业的风险被辨识和评估以后,就可以根据风险的影响程度和发⽣可能性等属性得分将其展⽰在风险图的不同位置上表明其重要程度,借此为风险管理策略和解决⽅案的制订提供依据。
(三)与风险应对相关的术语1、风险管理策略
指企业根据⾃⾝条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理⼯具的总体策略,并确定风险管理所需⼈⼒和财⼒资源的配置原则。2、风险偏好
指企业在实现⽬标的过程中所愿意承受的风险的取向数量和⽔平。3、风险容忍度
指在企业⽬标实现过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关⽬标实现过程中所出现差异的可容忍限度。4、风险应对
指企业根据风险管理策略,针对各类风险或每⼀项重⼤风险制定的⼀系列的风险应对⽅法和措施,主要包括风险解决的具体⽬标,所需的组织领导,所涉及的管理及业务流程,所需的条件、⼿段等资源,风险事件发⽣前、中、后所采取的具体应对措施以及风险管理⼯具 (如:关键风险指标管理、损失事件管理等)。5、规避风险
退出会产⽣风险的活动或业务。6、降低风险
采取措施降低风险的可能性或影响,或者同时降低两者。7、转移风险
通过转移来降低风险的可能性或影响,或者分担⼀部分风险。8、承受风险
不采取任何措施去⼲预风险的可能性或影响。9、风险融资
为实施风险处理及其他相关活动的费⽤提供资⾦的活动。10、剩余风险
指在实施风险管理及有计划的应对控制措施后剩余的风险。剩余的风险如果
超过组织的可接受风险⽔平,组织必须安排进⼀步的风险控制,将剩余风险降低到可接受的⽔平。⼆、全⾯风险管理常见问题解答
(⼀)风险的概念及起源
1、什么是风险?怎样正确理解风险?
历史上对风险有过许多定义,⾄今没有完全统⼀。全⾯风险管理中将风险定义为“未来的不确定性对实现⽬标的影响”,可以从以下⽅⾯来理解。
⾸先,风险是相对于⽬标⽽⾔的,是对⽬标实现的影响。⼀般说来,⽬标定得越⾼、越明确,风险就越⼤。⼀个企业要想进⼊世界前列并保持先进地位的风险和要想随波逐流的风险明显是不⼀样的。实际上,没有风险就没有回报,企业不承担⾜够的风险就不能满⾜股东对于回报的期望。从这⾥我们就看到风险⼤并不⼀定是坏事。
其次,风险是关于未来的。风险总是同未来的⼀个时间段联系在⼀起的。过去发⽣的事情和现在已确定的情况都不是风险,只有未来的情况才可能成为风险。所以对风险的考虑注定是前瞻性的思维,是对未来的考虑,企业风险管理是企业前瞻性的管理。
再次,风险是不确定性的表现。确定的损失或收益不是风险,如果未来是完全可以精确预测的,⾃然也就⽆风险可⾔。不确定性主要表现为两个层⾯:第⼀个层⾯是风险因素本⾝的不确定性,第⼆个层⾯是风险因素对⽬标影响程度的不确定性。值得注意的是,定义中并没有把风险限定为只是负⾯的或者只是可能带来损失的。对⽬标有正⾯影响的风险称作机会风险,只有负⾯影响的风险称作纯粹风险,全⾯风险管理中的定义是⼀般性的,包含了机会风险与纯粹风险。因此,全⾯风险管理绝对不是仅仅为了防⽌出事或防⽌损失,还包括管理机会风险,为企业创造价值。2、风险有哪些属性?风险具有以下属性:
(1)风险的存在具有客观性和普遍性
作为未来结果发⽣的不确定性,风险是不以⼈的意志为转移并超越⼈们主观
意识的客观存在,风险是⽆处不在、⽆时不有的。虽然⼈类⼀直希望认识和控制风险,但直到现在也只能在有限的空间和时间内改变风险存在和发⽣的条件,降低其发⽣的频率,减少损失程度,⽽不能也不可能完全消除风险。(2)某⼀具体风险发⽣的偶然性和⼤量风险发⽣的必然性
任⼀具体风险的发⽣都是诸多风险因素和其他因素共同作⽤的结果,是⼀种随机现象。个别风险事故的发⽣是偶然的、杂乱⽆章的,但对⼤量风险事故资料的观察和统计分析,发现其呈现出明显的运动规律,这就使⼈们有可能⽤概率统计⽅法及其他现代风险分析⽅法去计算风险发⽣的概率和损失程度,使风险管理成为可能。(3)风险的可变性
风险是随着事件的进展⽽发⽣变化的。有些风险会得到控制并消除,有些风险会发⽣并得到处理,同时在每⼀阶段⼜有可能产⽣新的风险。
(4)风险的多样性和多层次性
因企业⽣命周期长、规模⼤、涉及范围⼴、风险因素数量多且种类繁杂致使其在寿命周期内⾯临的风险多种多样,⽽且⼤量风险因素之间的内在关系错综复杂、各风险因素之间与外界交叉影响⼜使风险显现出多层次性。
如果采取适当的措施使破坏或损失的概率不会出现,那么风险可能带来机会,不仅仅是规避风险,可能还会带来⽐例不等的收益,有时风险越⼤,机会越⼤,回报越⾼。
因此,如何判断风险、选择风险、规避风险继⽽运⽤风险,在风险中寻求机会创造收益,意义更加深远⽽重⼤。3、风险如何分类?
风险的分类标准不是绝对的,集团参照全⾯风险管理指引将风险划分为战略风险、财务风险、运营风险、法律风险等。战略风险是指与公司达到⾃⾝确⽴的战略⽬标有关的风险,在这些风险的影响下,公司⾼管层的战略决策可能⽆法被顺利推⾏,或偏离了初衷。常见的战略风险包括:政治与政策风险、投资决策风险、发展风险、品牌风险、公司治理与管控结构风险、战略规划风险等。
财务风险是指⼀切与财务领域相关的风险,包括各类资⾦风险、货币风险、
资产保全风险、报表披露风险等,这类风险容易造成外界甚⾄管理层对公司财务数据的错误认识,从⽽影响公司运营及声誉。常见的财务风险包括:预算控制风险、融资风险、投资管理风险、资产损失风险、财务报告编制风险、税收筹划风险、资⾦风险、投保风险等。
运营风险是指公司正常运营过程中遇到的各类风险的总称,会涉及到公司⽇常业务的各个⽅⾯,这些风险的发⽣可能导致运营不顺、效率低下、执⾏错误,最严重的时候可能导致整个或部分业务链的中断。常见的运营风险包括:作业风险、HSE风险、⼈⼒资源风险、信息系统风险、价格风险、市场营销风险、原材料风险、客户风险、供应商风险等。
法律风险是指公司违反国家或⾏业法律法规的风险,这类风险会对公司整体声誉造成极⼤的伤害。常见的法律风险包括:国内法律风险、对外合作法律风险、公司制度法律风险、合同风险、诉讼风险、信息披露风险等。
企业风险还存在其他分类⽅法。如将风险依照动因是内部驱动还是外部驱动分为内部风险和外部风险,或者按照结果分为机会风险和纯粹风险。在实践中,有些风险可能会放在不同的分类中。例如,法律风险有时被归⼊运营风险,有时被归⼊战略风险。对于管理者⽽⾔,真正重要的不是如何将这些风险分类,⽽是如何管理这些风险。4、什么是风险管理?它是如何发展起来的?
因为风险是未来的不确定性对企业实现其⽬标的影响,企业要想实现既定的⽬标,为股东取得预期的回报,就必须很好地管理风险。风险管理就是指如何在⼀个肯定有风险的环境⾥把纯粹风险降⾄最低并及时把握可能存在的机会的管理过程。⼈类对风险管理理论的研究始于20世纪初。企业风险管理发展⼤致经历了三个阶段:
第⼀阶段:以“安全与保险”为特征的风险管理。100多年前,快速发展的航海业⾯临的海上风险催⽣了保险业的迅速发展,最初航运企业风险管理的主要措施就是通过保险把风险转移给保险公司,从⽽规避⾃⾝的风险损失。在20世纪30年代,由于受到1929-1933年的世界性经济危机的影响,美国约有40%左右的银⾏和企业破产,经济倒退了约20年。美国企业为应对经营上的危机,许
多⼤中型企业都在内部设⽴了保险管理部门,负责安排企业的各种保险项⽬。
第⼆阶段:以“内部控制和控制纯粹风险”为特征的风险管理。随着⼯业⾰命的发展,产⽣了加强“控制纯粹风险”的概念,提出公司在业务管理和流程⽅⾯,尤其是财务管理⽅⾯,要有内部控制。1949年美国发布了《内部控制⼀调整组织的各要素及其对管理部门和注册会计师的必要性》,⾸次对内部控制作出了权威的定义。1955年,美国宾⼣法尼亚⼤学沃顿商学院的施耐德教授第⼀次提出了“风险管理”的概念。
20世纪70年代中期,作为美国“⽔门事件”调查结果,⽴法者和监管团体开始对内部控制问题给以⾼度重视。1977年美国国会通过的《反国外贿赂法》,包含了要求公司管理层加强内部会计控制的条款。1983年在美国召开的风险和保险管理协会年会上,世界各国专家学者云集纽约,共同讨论并通过了“101条风险管理准则”,这是风险管理⾛向实践化的⼀个重要⽂件。20世纪80年代⾄90年代,内部控制在结构上进⼀步完善。1985年,美国COSO委员会开始研究企业如何建⽴以财务管理为主线的有效的内部控制,1992年该委员会正式发布了《内部控制⼀整合框架》,这份框架此后被纳⼊政策和法规之中,并被各国数千家企业⽤来为实现既定⽬标所采取的⾏动加以更好的控制。1995年由澳⼤利亚和新西兰联合制订的《AS/NZS 4360》明确定义了风险管理的标准程序,这就是我们通常说的澳新ERM标准,这标志着第⼀个国家风险管理标准的诞⽣。
第三阶段:以“风险管理战略与企业总体发展战略紧密结合”为特征的全⾯风险管理。多年来,⼈们在风险管理实践中逐渐认识到,⼀个企业内部不同部门或不同业务的风险,有的相互叠加放⼤,有的相互抵消减少。因此,企业不能仅仅从某项业务、某个部门的⾓度考虑风险,必须根据风险组合的观点,从贯穿整个企业的⾓度看风险,即要实⾏全⾯风险管理。然⽽,尽管很多企业意识到全⾯风险管理,但是对全⾯风险管理有清晰理解的却不多,已经实施了全⾯风险管理的企业则更少。但2001年11⽉的美国安然公司倒闭案和2002年6⽉的世通公司财务欺诈案,加之其它⼀系列的会计舞弊事件,促使企业的风险管理问题受到全社会的关注。2002 年7⽉,美国国会通过萨班斯法案(Sarbanes-Oxley法案),要求所有在美国上市的公司必须建⽴和完善内控体系。
在其影响下,世界各国纷纷出台类似的⽅案,加强公司治理和内部控制规范,加⼤信息披露的要求,加强企业全⾯风险管理。接着在2004年9⽉,C0S0发布《企业风险管理-整合框架》(Enterprise Risk Management-Integrated Framework),该框架拓展了内部控制,更加关注于企业全⾯风险管理这⼀更为宽泛的领域,并随之成为世界各国和众多企业⼴为接受的标准规范。到⽬前为⽌,世界上已有30多个国家和地区,包括所有发达国家和地区及⼀些发展中国家如马来西亚,都发表了对企业的监管条例和公司治理准则。在各国的法律框架下,企业有效的风险管理不再是企业的⾃发⾏为,⽽成为企业经营的合规要求。(⼆)C0S0风险管理理论
5、C0S0《企业风险管理⼀整合框架》是怎样产⽣的?
在内部控制标准制定⽅⾯,美国发起⼈组织委员会 (C0S0)⼀直是国际公认的权威机构,⾃其成⽴以来,⼀直致⼒于内部控制标准的制定,引导和代表着内部控制的发展趋势。1992年,C0S0提出了《内部控制⼀整合框架》,经过⼗多年的应⽤,已成为业界普遍认可的⼀个标准。近些年来,⼀系列财务失败事件的发⽣以及对企业风险管理的关注,使⼈们越来越清楚地认识到需要⼀个强有⼒的框架以便有效地识别、评估和控制风险。
2001年,C0S0开展了⼀个项⽬,委托普华永道(PWC)开发⼀个对于管理当局评价和改进他们所在组织的企业风险管理的框架。但在开发这个框架期间,⼜发⽣了⼀系列令⼈嘱⽬的企业丑闻和失败事件,投资者、公司员⼯和其他利益相关者因此⽽遭受了巨⼤的损失。随之⽽来的便是对采⽤新的法律、法规和上市准则来加强公司治理和风险管理的呼吁。⼈们迫切需要⼀个能
够提供关键原则和概念、共同的语⾔以及明晰的⽅向和指南的企业风险管理框架。美国在2002年颁布了《萨班斯-奥克斯利法案》,其他国家也已经通过或正在考虑类似的⽴法。这部法律扩充了长期持续的对公众公司保持内部控制制度的规定,要求管理当局证实、并由独⽴审计师鉴证这些制度。2004年9⽉,C0S0发布了《企业风险管理-整合框架》,它拓展了内部控制框架,更关注于企业风险管理这⼀更加宽泛的领域。按照C0S0的设想,他们不打算、也的确没有⽤企业风险管理框架取代内部控制框架,⽽是将内部控制框架纳⼊其中,公司不仅可以借助这个企业风险管理框架来满⾜它们内部控制的需要,还可以借此转向⼀个更加全⾯的风险管理过程。6、怎样理解企业风险管理的性质?
COSO在其报告中指出,企业风险管理是⼀个过程,它由⼀个主体的董事会、管理当局和其他⼈员实施,应⽤于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其限制在该主体的风险容量之内,并为主体⽬标的实现提供合理保证。与内部控制相⽐,企业风险管理补充了两个内容:⼀个是战略⽬标,⼀个是风险控制。COSO在对“企业风险管理”的界定中重点强调了七个属性和理念:(1)企业风险管理是⼀个过程,它持续流动于企业之内;(2)企业风险管理是由组织中各个层级的⼈员来实施的;(3)企业风险管理应⽤于战略制定的过程中;
(4)企业风险管理贯穿企业整体,在各个层级和单元应⽤,还包括采取企业整体层级的风险组合观;(5)企业风险管理旨在识别那些⼀旦发⽣将会影响企业的潜在事项,并把风险控制在风险容量以内;(6)企业风险管理能够向⼀个企业的管理当局和董事会提供合理保证;(7)企业风险管理⼒求实现⼀个或多个不同类型但相互交叉的⽬标。
COSO秉承了其“整合”的思路,给出了企业风险管理的⼀个宽泛的定义,通过提炼对公司和其他组织风险管理的关键概念,为不同组织形式、⾏业和部门的应⽤提供了基础。另外,它直接关注特定主体既定⽬标的实现,并为界定企业风险管理的有效性提供了依据。
7、企业风险管理有什么作⽤?
COSO认为,企业风险管理应发挥以下作⽤:(1)衔接风险容量与战略
管理当局在评价战略⽅案、设定相关⽬标和建⽴相关风险的管理机制的过程中,需要考虑所在主体的风险容量。(2)增进风险应对决策
企业风险管理应能提髙企业选择风险应对策略的准确性。(3)抑减经营意外和损失
主体识别潜在事项和实施应对的能⼒得以增强,抑制或减少了意外情况以及伴随⽽来的成本或损失。(4)识别和管理贯穿于企业的多重风险
每⼀家企业都⾯临影响⾃⾝不同组成部分的⼀系列风险,企业风险管理有助于有效地应对交互影响,以及整合式地应对多重风险。
(5)抓住机会
通过全⾯考虑潜在事项,促使管理当局识别并积极地把握机会。(6)改善资本配置
获取强有⼒的风险信息,以使管理当局能够有效地评估总体资本需求,并改进资本配置。8、怎样对企业风险管理定位?
COSO在界定企业风险管理时,明确了两个所属关系:(1)内部控制是企业风险管理的⼀个组成部分;
(2)企业风险管理是管理过程的⼀个组成部分。
企业风险管理框架的要素都是管理层经营⼀个企业所做的事情。但是,并⾮管理层做的事情都是企业风险管理的组成部分。在管理层的决策与相关管理⾏为中应⽤的许多判断,尽管是管理过程的组成部分,但不是企业风险管理的组成部分。例如,确保有⼀个适当的⽬标设定过程是企业风险管理的⼀个关键组成要素,⽽管理层选择的特定⽬标不是企业风险管理的组成部分;在适当风险评估的基础上对风险做出反应是企业风险管理的组成部分,⽽所选择的特定风险应对策略和相关的资源配置不是企业风险管理的组成部分;确定和实施控制活动以确保管理层选择的风险应对策略得到有效的实施是企业风险管理的组成部分,⽽所选择的特定控制活动不是企业风险管理的组成部分。
企业风险管理包括那些能够使管理层依据可靠信息做出风险基础决策的管理过程,但是从⼀系列适当的选择中选出的特定决策不会决定企业风险管理是否有效。
另外,普华永道(PWC)在后续的⼀份报告中提出了—个GRC (Governance, Risk, Compliance)模型。该报告认为,组织可以通过把GRC战略性地整合进它们的经营中,以形成⼀个可以对企业进⾏管理的道德和经营框架。这个框架包括
治理(Governance)、企业风险管理(Enterprise Risk Management)和遵守(Compliance)三个组成部分,从中可以看出企业风险管理的定位。在这个框架中,治理活动包括设定经营战略和⽬标,确定风险偏好,建⽴⽂化和价值观,制定内部政策和监督绩效;风险管理活动包括识别和评价那些可能会影响⽬标实现能⼒的风险,应⽤风险管理来获得竞争优势和确定风险应对策略和控制活动;遵守活动包括遵照⽬标经营,确保遵守法律和法规、内部政策与程序以及利益相关者的委托。9、C0S0《企业风险管理⼀整合框架》包括哪些内容?
COSO的企业风险管理框架是个三维⽴体的框架。这种多维⽴体的表现形式,有助于全⾯深⼊地理解控制和管理对象,分析解决控制中存在的复杂问题。
第⼀个维度(上⾯维度)是⽬标体系,包括四类⽬标:(1)战略⽬标,即⾼层次⽬标,与使命相关联并⽀撑使命;(2)经营⽬标,⾼效率地利⽤资源;(3)报告⽬标,报告的可靠性;(4)合规⽬标,符合适⽤的法律和法规。
第⼆个维度(正⾯维度)是管理要素,包括⼋个相互关联的构成要素,它们源⾃管理当局的经营⽅式,并与管理过程整合在⼀起,具体为:
(1)内部环境。管理当局确⽴关于风险的理念,并确定风险容量。所有企业的核⼼都是⼈(他们的个⼈品性,包括诚信、道德价值观和胜任能⼒)以及经营所处的环境,内部环境为主体中的⼈们如何看待风险和着⼿控制风险确⽴了基础。
(2)⽬标设定。必须先有⽬标,管理当局才能识别影响⽬标实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定⽬标,并保证选定的⽬标⽀持主体的使命并与其相衔接,以及与它的风险容量相适应。
(3)事项识别。必须识别可能对主体产⽣影响的潜在事项,包括表⽰风险的事项和表⽰机会的事项,以及可能⼆者兼有的事项。机会被追溯到管理当局的战略或⽬标制定过程。
(4)风险评估。要对识别的风险进⾏分析,以便确定管理的依据。风险与可能被影响的⽬标相关联。既要对固有风险进⾏评估,也要对剩余风险进⾏评估,评估要考虑到风险的可能性和影响。
(5)风险应对。员⼯识别和评价可能的风险应对措施,包括回避、承担、降低和分担风险。管理当局选择⼀系列措施使风险与主体的风险容限和风险容量相适应。
(6)控制活动。制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施。
(7)信息与沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。⼴泛意义的有效沟通包括信息在主体中向下、平⾏和向上流动。
(8)监控。整个企业风险管理处于监控之下,必要时还会进⾏修正。这种⽅式能够动态地反映风险管理状况,并使之根据条件的要求⽽变化。监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。第三个维度(侧⾯维度)是主体单元,包括集团、部门、业务单元、分⽀机构四个层⾯。
10、⽬标设定、事件识别和风险评估这三者间有什么关联?
“⽬标设定”也就是管理层制定战略⽬标,为确定运营,报告和合规⽬标提供了背景。这些⽬标要与公司的风险承受能⼒相匹配,⽽风险承受能⼒不仅决定着公司的风险容忍度⾼低,同时也是识别事件、评估风险和响应风险的前提条件。在对事件进⾏识别时,需要考虑具体的⽬标。
“识别事件”即管理层识别出潜在的事件,这些事件可能会对公司实施战略和实现⽬标的能⼒产⽣正⾯或负⾯影响。潜在的负⾯事件就是赖以评估风险和风
险应对措施效能的环境情景。潜在的正⾯事件则代表着机会,管理层应在制定战略和⽬标的过程中将这些机会纳⼊考虑范围。“评估风险”即管理层采⽤定量和定性⽅法来评估可能会影响⽬标实现的未来事件的可能性及其潜在影响。管理层既可以单独地评估各项事件,也可以分门别类地进⾏评估。因此,要想真的取得成效,风险评估就需要预设要实现的⽬标,从⽽周密地盘查清点出潜在的未来事件。
11、怎样理解风险管理框架中企业风险管理的⽬标?
企业风险管理框架⽬标体系中,增加了内部控制整合框架中所没有的⼀类⽬标:战略⽬标。虽然是平⾏的⽅式列⽰,但是,战略⽬标在这个⽬标体系中是最⾼层次的,其他三类⽬标都应当从属于战略⽬标。都是在为战略⽬标服务。此外,企业风险管理框架的报告⽬标也有所拓展。在内部控制框架中,报告指的是公布的财务报表。报告⽬标主要关注公布的财务报表的可靠性,⽽在企业风险管理框架中,报告包括由企业编制、向内部和外部散发的所有报告,⽽且范围也从财务报表的财务信息扩展到了更⼴泛的⾮财务信息。尽管在企业风险管理框架中,并没有明确表⽰其遵守⽬标与内部控制的遵守⽬标有什么不同,但是,负责拟定企业风险管理框架的普华永道(PWC)在其2004年的⼀份名为《整合-驱动绩效》的报告中认为:“主要关注遵守法律、法规的传统合规⽅法是不充分的,遵守内部治理、道德与风险标准和政策在防⽌遭受与声誉相关的风险⽅⾯更有效。”该报告对“遵守”的内涵进⾏了拓展,提出了⼀个全新视⾓的“遵守”,给出了⼀个遵守风险的新定义。遒守风险是指“由于没有能够遵守法律法规、内部规则和政策以及顾客、雇员和社会等主要利益相关者的期望⽽导致对组织的经营模式、声誉和财务状况产⽣损害的风险”。
另外,内部控制整合框架1994年补充的“保护资产”⽬标在企业风险管理框架中并没有单列,因为C0S0 认为,这个⽬标的内容已经分别包含在了上述⼏类⽬标之中。
对于⽬标的实现,企业风险管理与内部控制⼀样,只能提供合理的保证,⽽且对于不同的⽬标所提供合理保证的内容也不尽相同。对于报告⽬标和合规⽬标⽽⾔,因为有关报告的可靠性和符合法律、法规的⽬标在主体的控制范围之内,所以可以期望企业风险管理为实现这些⽬标提供合理保证。但是,对于战略⽬标
和经营⽬标⽽⾔,由于这些⽬标的实现还取决于⼀些不在主体控制范围之内的外部事项,所以企业风险管理可以提供合理保证的是对⽬标的实现过程进⾏有效的信息沟通,即管理当局以及承担监督职能的董事会能够及时地了解企业⽬标实现的进展情况。
12、企业风险管理框架与内部控制框架有什么不同?
企业风险管理框架与内部控制框架相⽐,在要素构成上主要有两个⽅⾯的变化:⼀是以“内部环境”取代“控制环境”,在“内部环境”中引⼊了风险管理理念、风险偏好两个概念。风险管理理念是⼀套共享的观念和态度,它标志着企业考虑风险时的特征,反映了企业的价值观,影响着企业的⽂化和经营⽅式。风险偏好反映了⼀个企业的风险管理理念,并影响着企业的⽂化和经营⽅式。另⼀个变化是企业风险管理更加关注风险,拓展了内部控制框架的风险评估要素,进⼀步细分为⽬标设定、事项识别、风险评估和风险应对四个要素。
在结构⽅⾯,COSO沿⽤了内部控制整合框架中通过三维矩阵表现构成要素与⽬标之间关系的表⽰⽅法。四类⽬标⽤纵向的栏表⽰,⼋个构成要素⽤横向的列表⽰,⽽⼀个主体内的各个单元则⽤第三个维度表⽰。这种表⽰⽅式使使⽤者既能够从整体上关注⼀个主体的企业风险管理,也可以从⽬标类别、构成要素、主体单元,甚⾄其中任何⼀个分项的⾓度去加以认识。企业风险管理的构成和⽬标既是建⽴健全企业风险管理过程的依据,也是评价其有效性的标准。认定⼀个主体的企业风险管理是否有效,是在对⼋个构成要素是否存在并有效运⾏进⾏评估的基础之上所做的判断。构成要素如果存在并且正常运⾏,那么就可能没有重⼤缺陷,表⽰风险被控制在主体的风险容量之内。当企业风险管理分别在四类⽬标中的每⼀类下都被确定为有效时,就可以合理保证董事会和管理当局了解主体实现其战略和经营⽬标、主体的报告可靠性以及适⽤的法律和法规被遵循的程度。此外,⼋个构成要素在每个主体中的运⾏也不是千篇⼀律的。例如,在中⼩规模主体中的应⽤可能不太正式,不太完备。尽管如此,当⼋个构成要素存在且正常运⾏时,依然表⽰⼩规模主体的企业风险管理是有效的。13、企业风险管理-整合框架对企业有什么借鉴意义?
《企业风险管理-整合框架》再⼀次强调了系统的概念,即在实施企业整体风险管理过程中,主体中的每个⼈都对企业风险管理负有责任:单位负责⼈负有
⾸要责任,并且应当成为主要责任⼈;其他管理⼈员⽀持主体的风险管理理念,并在各⾃的责任范围内依据风险容量去管理风险;⾸席风险官、财务总监、内部审计师等通常负有关键的⽀持责任;主体中的其他⼈员负责按照既定的指引和条例去实施企业风险管理;董事会对企业风险管理进⾏监督,并察觉和认同主体的风险容量。
很多外部集团,例如顾客、咨询机构、商业伙伴、外部审计师、监管者和财务分析师,常常提供影响企业风险管理的有⽤信
息,但是他们不对主体的企业风险管理的有效性承担任何责任。
COSO的《企业风险管理-整合框架》可以为不同的利益相关者提供有效的借鉴和指导。对企业的董事会来说,董事会应当与⾼级管理⼈员讨论主体企业风险管理的现状,并提供所需的监督。董事会应当确信知悉最重⼤的风险,以及管理当局正在采取的⾏动和如何确保有效的企业风险管理。董事会应当考虑寻求内部审计师、外部审计师和其他⽅⾯的参与。对企业的⾼层管理当局来说,总经理应把业务单元领导和关键职能部门⼈员召集到⼀起,评估企业风险管理能⼒和有效性。对企业中的其他⼈员来说,应该考虑如何履⾏各⾃的职责,并与更⾼层的⼈员讨论有关加强企业风险管理的看法。内部审计师应该考虑他们关注企业风险管理的范围。
对监管者来说,《企业风险管理-整合框架》可以增进有关企业风险管理的共识,为监管者在对他们所监管的主体采⽤规则或指南等形式设定期望或进⾏检查时提供参考。对于为财务管理、审计和相关领域提供指南的规则制定机构和其他专业组织来说,可以根据《企业风险管理-整合框架》消除概念和术语⽅⾯的差异,达成共识。14、风险管理基础设施有哪些要素?它们为什么很重要?应当如何考虑它们?
有效的风险管理基础设施通常应具备执⾏风险应对措施的能⼒。风险管理基础设施有6个要素,这些要素分别是政策、流程、胜任能⼒、报告、⽅法和技术(系统和数据)。
业务经营政策:正式的政策框架不仅包括普遍性原则,也包括较具体的指南。这些普遍性原则适⽤于业务经营和风险管理的各个⽅⾯。有了政策,风险责任⼈
就能够知道企业到底希望实现什么⽬标。政策⼜是连接战略的链环,使战略得以施⾏。流程:流程是企业执⾏业务经营政策的⾸要途径。
胜任能⼒:执⾏企业流程的⼈员必须具有必要的知识、专业技能和经验。
管理报告:企业的报告应根据流程责任⼈的信息需求进⾏规划。各种管理报告应当切实可⾏、使⽤⽅便、责任明确、频繁程度适当。
⽅法:编制管理报告的⽅法既可能提⾼报告的效果,也可能降低报告的效果。有效的⽅法有助于识别风险,确定风险的轻重缓急次序,探寻风险的关键动因以及量化风险。
系统和数据:信息系统⽀持建模和报告⼯作,⽽建模和报告⼯作则是现代化的风险管理能⼒的必备基础。在上述的基础设施要素中,如果任⼀个要素有缺陷,那么,其他要素的效能也会随之显著降低。15、怎样理解全⾯风险管理?
全⾯风险管理代表当代风险管理的最佳实践。简单地说,全⾯风险管理就是为了将企业的风险管理在由企业战略决定的范围之内,为企业实现其经营⽬标提供合理保证的过程和⽅法。
(1)全⾯风险管理⾸先是⼀种理念,即以相关⼈利益最⼤化为企业的⽬标,把企业放到不确定性的框架中去考虑,强调企业内外部环境的不确定性。全⾯风险管理的理念代表了⼈们对世界、对市场的⼀种全新的认识,即随着信息技术的进步和全球经济⼀体化的发展,企业内外部环境的不确定性正⽇益成为企业⽣存所必须⾯对的常态。
(2)全⾯风险管理以风险为管理对象,风险的丰富内涵使得企业管理的⽅⽅⾯⾯可以通过不确定性这⼀共有的基本属性⽽统⼀和整合起来,全⾯风险管理也因此覆盖了企业从战略管理到运营管理的⽅⽅⾯⾯。另⼀⽅⾯,全⾯风险管理通过不确定性这⼀独特的视⾓,通过在企业管理的各个环节使⽤风险管理的⽅法和技术,强化了企业的各项管理,提升了企业整体的管理⽔平。
(3)全⾯风险管理是积极、主动的管理风险。当风险发⽣时有充分的准备,可以将风险控制在企业能够承担的⽔平。(4)全⾯风险管理具有全⾯性。全⾯性主要体现在其管理企业⾯临的所有重⼤风险,⼈员从公司⾼层到基层员⼯全⾯参与;应对⽅法全⾯,采取多样化、系统的应对⽅法管理风险,在整个企业范围内,也就是在企业的每个层⾯和每个单元中予以实⾏。
16、为什么要实施全⾯风险管理?
全⾯风险管理有助于管理层协调风险承受能⼒与企业战略之间的匹配关系,强化风险应对决策,减少营运意外事件和损失,识别和管理贯穿整个企业的风险,建⽴抵抗多重风险的综合响应预案,抓住机遇及改善资本配置。实施全⾯风险管理有以下四个基本原因:
(1)减少绩效不稳定性
全⾯风险管理帮助管理层:评估重⼤事件发⽣的可能性及其影响效应;提出预防这些事件发⽣或管理这些事件(如确实已经发⽣)影响的相应措施。绝⼤多数公司都只是重视久为⼈知的传统风险,⽽很少有公司具有预测新风险的系统化流程。因此,许
多公司等到知道了关键风险时,经常已经太晚了,或者只是因为偶然的机会才得以知道关键风险的,这难免会出现⼤量的“应急救⽕”和危机管理的场景,不仅⼤量地消耗资源,⽽且也会产⽣新的薄弱环节。全⾯风险管理的战略视野超越了只重视发⽣概率低的毁灭性重⼤风险的传统风险管理范畴,涵盖了更⼴阔的风险管理领域,着重化解破坏企业价值主要源泉的风险。通过着⼒减少盈利波动、避免发⽣盈利相关的意外情况和管理关键绩效指标缺陷等⼿段,协助管理层增加经营绩效的稳定性,改进了⽇益增长的化解风险成本的管理⼯作,提⾼了实现业务⽬标的成功率。(2)强化公司治理
全⾯风险管理与公司治理是相互关联,互为增益的。全⾯风险管理强化董事会的监督职能,强⾏对⾼级管理层层级的现⾏监督结构进⾏评估,澄淸风险管理的作⽤和职责,确⽴风险管理的权⼒和范围,并有效地沟通⽀持关键风险⽬标的各项风险应对举措。所有这些活动都离不开良好的治理。同样地,有效的治理也为下列两项活动确⽴了基调:a)了解风险及风险管理能⼒;
b)协调风险承受能⼒与企业寻求机遇⾏为之间的关系。(3)成功应对不断变化的业务环境
当今时代,业务环境不断在变化,变化的节奏也越来越快,为此,企业必须提升⾃⼰识别风险,确定风险轻重缓急次序和规划风险的能⼒。全⾯风险管理有助于管理层评估现有经营模式的各项基础假设,评估在执⾏模型时所采⽤的各项战略的效能,评估进⾏决策时所需的各种信息,增强企业管理风险的能⼒。由于环境在不断变化,新的风险不断地涌现出来,甚⾄升级,因此,要适时地采取相应的⾏动,必要时还要予以披露。这些活动都会影响到整个企业的资源分配。(4)增强投资界和利益相关者的信⼼
在评估⽬标公司的过程中,机构投资者、评级机构和监管机构现在越来越看重风险管理的重要性,⽽利益相关者也可能会要求企业管理层公开和评价企业在了解和管理风险⽅⾯的能⼒,以便对照所承受的风险,粗略地评估⾃⼰的投资回报。随着公司风险及风险管理能⼒的透明度不断增强,公司的主要风险管理能⼒⽇趋完善,管理层也将能更有效,更清楚地解释⾃⼰在处理现有及潜在的⾏业问题⽅⾯的成就。
17、传统风险管理模式与全⾯风险管理有什么不同?
⼀些公司采⽤传统的风险管理模式,在这些公司中,全⾯风险管理只是⼀个“未来的⽬标状态”,传统风险管理的焦点是财务风险、事故风险和内部控制,⽬标是保护企业价值,主要由财务、保险和业务营运等部门负责实施,重点是财务和营运,风险管理的适⽤对象是选定的风险领域、业务单位和流程。⽽全⾯风险管理的焦点是业务风险和内部控制,采取对全企业风险进⾏组合处理的观点,⽬标是保护并提升企业价值,实施范围深⼊整个公司的所有层⾯和单元,重点是制定战略,适⽤对象包括全企业所有的价值来源。
从传统风险管理模式过渡到上述的全⾯风险管理模式不是轻⽽易举的事情。在传统的风险管理⽅法中,过程是断续的,缺乏完整性,风险也被看成是(⼒求避免的)消极不利的因素,临时的被动⾏为被普遍地认同,⽽且风险管理活动也以交易为导向(或以成本为基础),关注范围狭隘,依靠职能拉动。但在全⾯风险管理中,整个流程是完整⼀体化的,是连续不断的。风险也被看成是积极有利的因素(因认识到成功的公司要抓住机会就必须得冒险),因此,采取主动积极的⾏为也在⼈们的预料之中,⽽风险管理活动也是富有战略⽬标(或增值)的活动,关注的范围较宽⼴,依靠流程拉动。
传统风险管理模式侧重于管理与实物资产和财务资产相关的不确定因素。全⾯风险管理则侧重于管理企业的整个资产组合,包括⽆形资产(如客户资产,雇员和供应商资产〉和组织资产(如差别化战略,独特品牌,创新性流程和专⽤系统等)。在业务活动的所有⽅⾯都已经采⽤了真正全企业思想的公司寥寥⽆⼏。在建设全⾯风险管理基础设施的初期阶段,公司⼀般都只是奠定了基础,包括确⽴共同的风险语⾔,建⽴风险管理监督机构和采⽤适⽤于整个企业的风险评估流程。
与传统的风险管理相⽐,全⾯风险管理强调整体性和与企业战略⽬标的紧密结合,⼤⼤扩展了传统风险管理的应⽤范围,在⼿段和技术上也有⼤量的创新。
18、有些企业是否不需要实⾏全⾯风险管理?
每⼀个成功的企业都⾯临风险。全⾯风险管理是⼀个对风险与机遇做出响应的过程。不管在哪个⾏业,绝⼤多数企业的执⾏管理层都是关注投资和回报、机遇和利润、竞争优势和企业增长。这正是全⾯风险管理对企业成功⾄关重要的原因,它帮助经理们树⽴信⼼,帮助他们充分地了解本企业所⾯临的风险,帮助他们储备管理这些风险所需的能⼒。
每⼀个成功的企业都会冒险。企业管理层所做出的每⼀个⾏动或不⾏动的抉择都影响着这个企业的风险特征。鉴于外部环境中因素错综复杂,如竞争、管制法规和其他影响因素,全⾯风险管理能帮助管理层培养起选择最佳机会的独特技能,与其他竞争对⼿拉开差距。⽽当选择最佳机会能⼒的提⾼后,反过来⼜会激发企业完善其猎寻机遇的⾏为。
每⼀个成功的企业都要对风险作出应对,企业管理层必须在不断变化的市场现实中进⾏经营。当他们根据企业的风险承受能⼒,把资源投⼊到最佳机遇中去时,必须对相应的风险和回报进⾏仔细地评估。他们必须满怀信⼼地让投资者和其他利益相关
者相信:除了能在国际市场上⽇渐⾛向繁荣的同时,企业也正在⾏之有效地管理相伴⽽来的风险。全⾯风险管理基础设施将有助于管理层和董事们更好地应对这些挑战,⽆论对上市公司还是对私有企业,它都同样适⽤。19、谁负责企业风险管理⼯作?
因为企业风险管理的重点⼯作是制定战略,因此主体责任应当从企业的最⾼
因篇幅问题不能全部显示,请点此查看更多更全内容