企業風險管理—— 整合框架
內容摘要
(簡體中文翻譯:中國東北財經大學方紅星教授)
內容摘要
企業風險管理的基礎性前提是每一個主體的存在都是為它的利益相關者提供價值。所有的主體都面臨不確定性,管理當局所面臨的挑戰就是在為增加利益相關者價值而奮斗的同時,要確定承受多大的不確定性。不確定性可能會破壞或增加價值,因而它既代表風險,也代表機會。企業風險管理使管理當局能夠有效地應對不確定性以及由此帶來的風險和機會,增進創造價值的能力。
當管理當局通過制訂戰略和目標,力求實現增長和報酬目標以及相關的風險之間的最優平衡,并且在追求所在主體的目標的過程中高效率和有效地調配資源時,價值得以最大化。
企業風險管理包括:
" 協調風險容量(risk appetite)① 與戰略——管理當局在評價備選的戰略、設定相關目標和建立相關風險的管理機制的過程中,需要考慮所在主體的風險容量。
" 增進風險應對決策——企業風險管理為識別和在備選的風險應對——風險回避、降低、分擔和承受——之間進行選擇提供了嚴密性。
" 抑減經營意外和損失——主體識別潛在事項和實施應對的能力得以增強,抑減了意外情況以及由此帶來的成本或損失。
" 識別和管理多重的和貫穿于企業的風險——每一家企業都面臨影響組織的不同部分的一系列風險,企業風險管理有助于有效地應對交互影響,以及整合式地應對多重風險。
" 抓住機會——通過考慮全面范圍內的潛在事項,促使管理當局識別并積極地實現機會。
" 改善資本調配——獲取強有力的風險信息,使得管理當局能夠有效地評估總體資本需求,并改進資本配置。
企業風險管理所固有的這些能力幫助管理當局實現所在主體的業績和贏利目標,防止資源損失。企業風險管理有助于確保有效的報告以及符合法律和法規,還有助于避免對主體聲譽的損害以及由此帶來的后果。總之,企業風險管理不僅幫助一個主體到達期望的目的地,還有助于避開前進途中的隱患和意外。
事項——風險與機會
事項可能會帶來負面的影響,也可能會帶來正面的影響,抑或二者兼而有之。帶來負面影響的事項代表風險,它會妨礙價值創造或者破壞現有價值。帶來正面影響的事項可能會抵消負面影響,或者說代表機會。機會是一個事項將會發生并對目標——支持價值創造或保持——的實現產生正面影響的可能性。管理當局把機會反饋到戰略或目標制訂過程中,以便制訂計劃去抓住機會。
① 也有人將其翻譯為“風險偏好”、“風險需求”、“風險承受能力”等——譯者注。
所定義的企業風險管理
企業風險管理處理影響價值創造或保持的風險和機會,定義如下:
企業風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證。
這個定義反映了幾個基本概念。
企業風險管理是:
" 一個過程,它持續地流動于主體之內;
" 由組織中各個層級的人員實施;
" 應用于戰略制訂;
" 貫穿于企業,在各個層級和單元應用,還包括采取主體層級的風險組合觀;
" 旨在識別一旦發生將會影響主體的潛在事項,并把風險控制在風險容量以內;
" 能夠向一個主體的管理當局和董事會提供合理保證;
" 力求實現一個或多個不同類型但相互交叉的目標。
這個定義比較寬泛。它抓住了對于公司和其他組織如何管理風險至關重要的關鍵概念,為不同組織形式、行業和部門的應用提供了基礎。它直接關注特定主體既定目標的實現,并為界定企業風險管理的有效性提供了依據。
目標的實現
在主體既定的使命或愿景(vision)①范圍內,管理當局制訂戰略目標、選擇戰略,并在企業內自上而下設定相應的目標。企業風險管理框架力求實現主體的以下四種類型的目標:
" 戰略(strategic)目標 ——高層次目標,與使命相關聯并支撐其使命;
" 經營(operations)目標——有效和高效率地利用其資源;
" 報告(reporting)目標——報告的可靠性;
" 合規(compliance)目標——符合適用的法律和法規。
對主體目標的這種分類可以使我們關注企業風險管理的不同側面。這些各不相同但卻相互交叉的類別——一個特定的目標可以歸入多個類別,反映了主體的不同需要,而且可能會成為不同管理人員的直接責任。這個分類還有助于區分從每一類目標中能夠期望的是什么。一些主體采用的另一類目標——保護資源也包含在上述類別之內。
① 也有人將其翻譯為“遠景”、“遠景規劃”、“長遠構想”等——譯者注。
因為有關報告的可靠性和符合法律、法規的目標在主體的控制范圍之內,所以可以期望企業風險管理為實現這些目標提供合理保證。但是,戰略目標和經營目標的實現取決于并不一定總在主體控制范圍之內的外部事項,對于這些目標而言,企業風險管理能夠合理地保證管理當局和起監督作用的董事會及時地了解主體朝著實現目標前進的程度。
企業風險管理的構成要素
企業風險管理包括八個相互關聯的構成要素。它們來源于管理當局經營企業的方式,并與管理過程整合在一起。
這些構成要素是:
" 內部環境——內部環境包含組織的基調,它為主體內的人員如何認識和對待風險設定了基礎,包括風險管理理念和風險容量、誠信和道德價值觀,以及他們所處的經營環境。
" 目標設定——必須先有目標,管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局采取適當的程序去設定目標,確保所選定的目標支持和切合該主體的使命,并且與它的風險容量相符。
" 事項識別——必須識別影響主體目標實現的內部和外部事項,區分風險和機會。機會被反饋到管理當局的戰略或目標制訂過程中。
" 風險評估——通過考慮風險的可能性和影響來對其加以分析,并以此作為決定如何進行管理的依據。風險評估應立足于固有風險和剩余風險。
" 風險應對——管理當局選擇風險應對——回避、承受、降低或者分擔風險——采取一系列行動以便把風險控制在主體的風險容限(risk tolerance)①和風險容量以內。
" 控制活動——制訂和執行政策與程序以幫助確保風險應對得以有效實施。
" 信息與溝通——相關的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。有效溝通的含義比較廣泛,包括信息在主體中的向下、平行和向上流動。
" 監控——對企業風險管理進行全面監控,必要時加以修正。監控可以通過持續的管理活動、個別評價或者兩者結合來完成。
企業風險管理并不是一個嚴格的順次過程,一個構成要素并不是僅僅影響接下來的那個構成要素。它是一個多方向的、反復的過程,在這個過程中幾乎每一個構成要素都能夠、也的確會影響其他構成要素。
目標與構成要素之間的關系
目標是指一個主體力圖實現什么,企業風險管理的構成要素則意味著需要什么來實現它們,二者之間有著直接的關系。這種關系可以通過一個三維矩陣以立方體的形式表示出來。
① 也有人將其翻譯為“風險容忍度”、“風險承受力”等——譯者注。
四種類型的目標——戰略、經營、報告和合規——用垂直方向的欄表示,八個構成要素用水平方向的行表示,而一個主體內的各個單元則用第三個維度表示。這種表示方式使我們既能夠從整體上關注一個主體的企業風險管理,也可以從目標類別、構成要素或主體單元的角度,乃至其中的任何一個分項的角度去加以認識。
有效性
認定一個主體的企業風險管理是否“有效”,是在對八個構成要素是否存在和有效運行進行評估的基礎之上所作的判斷。因此,構成要素也是判定企業風險管理有效性的標準。構成要素如果存在并且正常運行,那么就可能沒有重大缺陷,而風險則可能已經被控制在主體的風險容量范圍之內。
如果確定企業風險管理在所有四類目標上都是有效的,那么董事會和管理當局就可以合理保證他們了解主體實現其戰略和經營目標、主體的報告可靠以及符合適用的法律和法規的程度。
八個構成要素在每個主體中的運行并不是千篇一律的。例如,在中小規模主體中的應用可能不太正式,不太健全。盡管如此,當八個構成要素存在且正常運行時,小規模主體依然會擁有有效的企業風險管理。
局 限
盡管企業風險管理帶來了重要的好處,但是仍然存在著局限。除了前面討論過的因素之外,局限還導源于下列現實:人類在決策過程中的判斷可能有紕漏,有關應對風險和建立控制的決策需要考慮相關的成本和效益,類似簡單誤差或錯誤的個人缺失可能會導致故障的發生,控制可能會因為兩個或多個人員的串通而被規避,以及管理當局有能力凌駕于企業風險管理決策之上。這些局限使得董事會和管理當局不可能就主體目標的實現形成絕對的保證。
涵蓋內部控制
內部控制是企業風險管理不可分割的一部分。這份企業風險管理框架涵蓋了內部控制,從而構建了一個更強有力的概念和管理工具。內部控制是在《內部控制——整合框架》中加以定義和描述的。由于該框架經受了時間的考驗,并且成為現行規則、法規和法律的基礎,因此那份文件對內部控制的定義和框架依然有效。盡管《內部控
制——整合框架》的正文中只有一部分被本框架所引用,但是本框架通過參考的方式把該框架整體融合了進來。
職能與責任
主體中的每個人都對企業風險管理負有一定的責任。首席執行官(CEO)負有首要責任,并且應當假設其擁有所有權。其他管理人員支持主體的風險管理理念,促使符合其風險容量,并在各自的責任范圍內依據風險容限去管理風險。風險官、財務官、內部審計師等通常負有關鍵的支持責任。主體中的其他人員負責按照既定的指引和規程去實施企業風險管理。董事會對企業風險管理提供重要的監督,并察覺和認同主體的風險容量。很多外部方面,例如顧客、賣主、商業伙伴、外部審計師、監管者和財務分析師常常提供影響企業風險管理的有用信息,但是他們不但不對主體的企業風險管理的有效性承擔任何責任,而且也不是它的組成部分。
本報告的結構
本報告分兩卷。第一卷包括“基本框架”和本部分“內容摘要”。“基本框架”給企業風險管理下定義,并講述原則和概念,為企業和其他組織中的各級管理人員提供用來評價和增進企業風險管理有效性的指導。“內容提要”是一個針對首席執行官、其他高級管理人員、董事會成員和監管者的高度概括。第二卷《應用技術》(Application Techniques),講解在應用本框架各個要素的過程中有用的技術。
本報告的使用
根據本報告的建議所可能采取的行動,取決于相關方面的地位和職責:
" 董事會——董事會應當與高級管理人員討論主體企業風險管理的現狀,并提供必要的監督。董事會應當確信知悉最重大的風險,以及管理當局正在采取的行動和如何確保有效的企業風險管理。董事會應當考慮尋求內部審計師、外部審計師和其他方面的參與。
" 高層管理當局——本項研究建議首席執行官評估組織的企業風險管理能力。方法之一是,首席執行官把業務單元(business unit)領導和關鍵職能機構人員召集到一起,討論對企業風險管理能力和有效性的初步評價。不管采取什么方式,初步評估應該確定是否需要以及如何進行更廣泛、更深入的評價。
" 主體中的其他人員——管理人員和其他人員應該考慮如何根據本框架去履行他們的職責,并與更高層的人員討論有關加強企業風險管理的看法。內部審計師應該考慮他們關注企業風險管理的范圍。
" 監管者——本框架能增進有關企業風險管理的共識,包括它能干什么,以及它的局限。監管者在對他們所監管的主體采用規則或指南等形式設定期望,或進行檢查時,可以參考本框架。
" 專業組織——為財務管理、審計和相關領域提供指南的規則制定機構和其他專業組織應該對照本框架去考慮它們的準則和指南。消除概念和術語方面的差別,對所有各方都有好處。
" 教育機構——本框架可以作為學術研究和分析的對象,以便探討在哪些方面還能作進一步的改進。假設本報告能夠被普遍接受的話,它的概念和術語應該設法進入大學的課程之中。
有了這個共同理解的基礎,所有各方將能夠用同一種語言講話,更有效地進行溝通。企業的執行官將能夠對照一套標準去評估他們公司的企業風險管理過程,強化這個過程從而使他們的企業朝著既定的目標邁進。將來的研究可以建立在一個既定的基礎之上。立法者和監管者將能夠獲得對企業風險管理的更深入的理解,包括它的好處和局限。如果所有各方都利用共同的企業風險管理框架,這些好處都將實現。
(聲明:本站所使用圖片及文章如無注明本站原創均為網上轉載而來,本站刊載內容以共享和研究為目的,如對刊載內容有異議,請聯系本站站長。本站文章標有原創文章字樣或者署名本站律師姓名者,轉載時請務必注明出處和作者,否則將追究其法律責任。) |
