
一拿到由方紅星、王宏翻譯的《coso企業(yè)風(fēng)險(xiǎn)管理-整合框架》這本書,心里竟然有一種莫名的激動(dòng)和喜悅涌了上來。對于coso的內(nèi)控框架等相關(guān)知識來講,與我可真是老朋友了?。∵b想2001年考取國際注冊內(nèi)審師資格的時(shí)候,coso的內(nèi)控框架就已經(jīng)是最核心的學(xué)習(xí)內(nèi)容之一。當(dāng)成功通過考試,成為一名光榮的cia之后,對相關(guān)的知識書籍更曾多次的翻閱細(xì)讀。 如今重讀,舊夢重溫,恍如隔夢,想起那些個(gè)復(fù)習(xí)備考的日子里的青春的執(zhí)著和揮灑的汗水。那么就沿著無數(shù)的大師曾走過的足跡,再次認(rèn)真的系統(tǒng)的學(xué)習(xí)這一本《企業(yè)風(fēng)險(xiǎn)管理—整個(gè)框架》吧。
1992年coso發(fā)布《內(nèi)部控制-整合框架》成為世界通用的內(nèi)部控制標(biāo)準(zhǔn)和框架;2001年12月美國最大能源公司-安然公司破產(chǎn)丑聞以及2002年6月世界通信會(huì)計(jì)丑聞等事件催生了《薩班斯-奧克斯利法案》,而也就是在這個(gè)階段企業(yè)的內(nèi)部控制及風(fēng)險(xiǎn)管理引起了越來越多的企業(yè)管理者以及投資者、監(jiān)管者的重視。對此,coso于2001年啟動(dòng)調(diào)研,2003年發(fā)布《企業(yè)風(fēng)險(xiǎn)管理-整合框架》意見稿,并于2004年9月發(fā)布的最終稿。這個(gè)框架闡釋了企業(yè)風(fēng)險(xiǎn)管理理論的精髓,給所有企業(yè)列出了企業(yè)風(fēng)險(xiǎn)管理的內(nèi)容、框架和基本原則。
根據(jù)該框架,企業(yè)風(fēng)險(xiǎn)管理是指“一個(gè)由企業(yè)董事會(huì)、管理當(dāng)局和其他人員實(shí)施的過程,應(yīng)用于戰(zhàn)略制訂并貫穿于企業(yè)之中,旨在識別那些可能影響企業(yè)運(yùn)作的潛在事件,并將其控制在企業(yè)的可接受范圍之內(nèi),從而幫助企業(yè)達(dá)成目標(biāo)?!边@個(gè)定義重點(diǎn)強(qiáng)調(diào)了企業(yè)風(fēng)險(xiǎn)管理的幾個(gè)概念:(1)這是一個(gè)持續(xù)性的過程;(2)貫穿企業(yè)各個(gè)層面、單元以及各個(gè)人員,強(qiáng)調(diào)全員和全流程,全過程;(3)與企業(yè)戰(zhàn)略制訂有關(guān),因此要給予足夠高的重視;(4)關(guān)注潛在事項(xiàng)及其對經(jīng)營主體的影響;(5)只能提供合理保證(不能提供絕對保證,這是很多企業(yè)不予重視的原因之一);(6)企業(yè)風(fēng)險(xiǎn)管理能夠?qū)崿F(xiàn)一個(gè)或多個(gè)單一或交叉的目標(biāo)。企業(yè)風(fēng)險(xiǎn)管理框架的要素包括8個(gè):內(nèi)部環(huán)境、目標(biāo)設(shè)定、事項(xiàng)確認(rèn)(識別)、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)應(yīng)對、控制活動(dòng)、信息與溝通、監(jiān)督;而其目標(biāo)包括4個(gè)類型,具體包括:戰(zhàn)略目標(biāo)、經(jīng)營目標(biāo)、報(bào)告目標(biāo)、合規(guī)目標(biāo)。值得注意的是企業(yè)風(fēng)險(xiǎn)管理框架涵蓋了內(nèi)部控制框架的內(nèi)容,這是必須的,因?yàn)閮?nèi)部控制是企業(yè)風(fēng)險(xiǎn)管理不可分割的一部分。在具體把握各個(gè)要素以及目標(biāo)及其之間的關(guān)系之前,應(yīng)該再次強(qiáng)調(diào):風(fēng)險(xiǎn)管理框架及其包含的原則、工具、方法不是不能保證規(guī)避風(fēng)險(xiǎn),風(fēng)險(xiǎn)管理的有效性涉及多個(gè)方面的因素,比如人員主觀性的判斷、人員能力高低、人員間串通,以及高層的支持等因素都影響風(fēng)險(xiǎn)管理的最終效果,即影響企業(yè)風(fēng)險(xiǎn)管理目標(biāo)的達(dá)成。
第一個(gè)要素:內(nèi)部環(huán)境
內(nèi)部環(huán)境是全面風(fēng)險(xiǎn)管理其它構(gòu)成要素的基礎(chǔ),為其他要素提供了必要的約束和結(jié)構(gòu),影響戰(zhàn)略及目標(biāo)的制定,經(jīng)營活動(dòng)之組織,企業(yè)內(nèi)外部風(fēng)險(xiǎn)之識別、評估和要采取的行動(dòng),進(jìn)而影響企業(yè)的控制活動(dòng)、信息和溝通系統(tǒng)、監(jiān)督活動(dòng)的設(shè)計(jì)和職能的發(fā)揮。內(nèi)部環(huán)境本身由眾多要素組成,包括企業(yè)的價(jià)值觀、管理當(dāng)局經(jīng)營風(fēng)格、權(quán)利與責(zé)任的分配和員工的發(fā)展和任職能力;這些要素為其他風(fēng)險(xiǎn)管理要素的效力發(fā)揮提供了一個(gè)必要的基調(diào)或者基礎(chǔ),包括誠信、道德價(jià)值觀和勝任能力——誠信是一個(gè)主體所有活動(dòng)所有方面的道德行為的先決條件,它和道德價(jià)值觀是內(nèi)部環(huán)境的關(guān)鍵要素,影響其他要素的設(shè)計(jì)、管理和監(jiān)控。董事會(huì)是內(nèi)部環(huán)境中的關(guān)鍵因素,他們的獨(dú)立性、經(jīng)驗(yàn)及才干以及參與或?qū)彶斓某潭炔粌H提供合理的建議、忠告和指導(dǎo),而且要對管理當(dāng)局進(jìn)行監(jiān)督和制衡;而管理當(dāng)局的態(tài)度和經(jīng)營風(fēng)格會(huì)影響到企業(yè)的風(fēng)險(xiǎn)偏好。
第二個(gè)要素:目標(biāo)確定
目標(biāo)是事件識別、風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)應(yīng)對的前提。如上圖所示,企業(yè)風(fēng)險(xiǎn)管理的目標(biāo)分為四個(gè)方面,主要包括戰(zhàn)略目標(biāo)(長期)、經(jīng)營目標(biāo)(短期)、報(bào)告目標(biāo)(有效)和合規(guī)目標(biāo)(法律法規(guī)遵循)的設(shè)定。其中,長期戰(zhàn)略目標(biāo)與高層目標(biāo)相關(guān),與企業(yè)任務(wù)和愿景一致并為后者提供支持。對于任何主體而言,制訂支持選定的戰(zhàn)略并與之協(xié)調(diào)的正確目標(biāo)是成功的關(guān)鍵,而這些相關(guān)的目標(biāo)分為經(jīng)營、報(bào)告和合規(guī)三類;只有確定這些層次的目標(biāo)后,才能識別出關(guān)鍵成功要素及其量化的計(jì)量標(biāo)準(zhǔn)。短期經(jīng)營目標(biāo)與企業(yè)經(jīng)營的效率性和效果性相關(guān),包括業(yè)績、盈利目標(biāo)以及保障資源不受損失;有效的報(bào)告目標(biāo)與企業(yè)報(bào)告的真實(shí)準(zhǔn)確性、可靠性相關(guān),包括對內(nèi)和對外報(bào)告,也包括財(cái)務(wù)或非財(cái)務(wù)信息;法律法規(guī)遵循目標(biāo)則與企業(yè)遵守使用的法律和法規(guī)相關(guān),這些法律有不同行業(yè)通行的法律法規(guī)也有主體所在行業(yè)特有的法律規(guī)定。
必須認(rèn)識到的是,達(dá)成戰(zhàn)略的相關(guān)目標(biāo)中,報(bào)告和合規(guī)目標(biāo)的達(dá)成與戰(zhàn)略目標(biāo)短時(shí)間內(nèi)可能不是正向促進(jìn)的關(guān)系而是反向牽制或制約的關(guān)系——為了達(dá)成短期的經(jīng)營目標(biāo),可能舍棄報(bào)告或合規(guī)上的部分目標(biāo)。這就涉及到風(fēng)險(xiǎn)容量和風(fēng)險(xiǎn)容限問題。有時(shí)為了實(shí)現(xiàn)支付機(jī)構(gòu)報(bào)告和合規(guī)上的目標(biāo),其他投入可能短期遠(yuǎn)遠(yuǎn)大于其產(chǎn)出或者為了一個(gè)合規(guī)目標(biāo),一個(gè)創(chuàng)業(yè)可能暫時(shí)不能予以實(shí)施。此時(shí),這些報(bào)告和合規(guī)目標(biāo)相關(guān)的風(fēng)險(xiǎn)怎么處理就是變成現(xiàn)實(shí)的問題。
第三個(gè)要素:事項(xiàng)識別
管理當(dāng)局識別對主體產(chǎn)生影響的潛在事項(xiàng),包括外部和內(nèi)部因素,即確定潛在事項(xiàng)是機(jī)會(huì)還是風(fēng)險(xiǎn);如果是機(jī)會(huì),應(yīng)將其反饋到戰(zhàn)略和目標(biāo)設(shè)定之中,而如果是風(fēng)險(xiǎn)則應(yīng)該予以評估和應(yīng)對。這些事項(xiàng)是來自于內(nèi)部或外部的影響實(shí)施戰(zhàn)略和目標(biāo)實(shí)現(xiàn)的事故或事件,其驅(qū)動(dòng)因素可能來自很多方面,比如外部的經(jīng)濟(jì)因素(價(jià)格、資本等)、自然環(huán)境、政治、技術(shù)、社會(huì)等因素,以及內(nèi)部的基礎(chǔ)結(jié)構(gòu)、人員、流程、技術(shù)等。企業(yè)應(yīng)該采取各種方式,比如互動(dòng)研討、統(tǒng)計(jì)數(shù)據(jù)、追蹤技術(shù)、內(nèi)部分析、預(yù)警觸發(fā)等。為了更好的管理事項(xiàng)以及其背后的風(fēng)險(xiǎn)及其應(yīng)對,應(yīng)該考慮事項(xiàng)之間的關(guān)聯(lián)關(guān)系,事項(xiàng)的類別劃分(包括正負(fù)向劃分以及不同屬性類別上的劃分)。
第四個(gè)要素:風(fēng)險(xiǎn)評估
在設(shè)定目標(biāo),發(fā)現(xiàn)事項(xiàng)之后,必須進(jìn)行適當(dāng)?shù)娘L(fēng)險(xiǎn)評估。評估風(fēng)險(xiǎn)對企業(yè)實(shí)現(xiàn)目標(biāo)的影響程度或風(fēng)險(xiǎn)價(jià)值等,有定性與定量兩種方法——定性方法包括問卷調(diào)查、集體討論、專家咨詢、政策分析、行業(yè)標(biāo)桿比較、管理層訪談和調(diào)查研究等,而定量方法包括統(tǒng)計(jì)推論(如集中趨勢法)、計(jì)算機(jī)模擬(如蒙特卡羅分析法)、失效模式與影響分析、事件樹分析等。根據(jù)coso的建議,定性和定量的方法相結(jié)合是最佳選擇。
對潛在事項(xiàng)的評估包括兩個(gè)方面:可能性(發(fā)生的概率)和影響(后果)。這種評估往往充滿困難,甚至挑戰(zhàn)。評估的信息來源以及評估人員本身風(fēng)險(xiǎn)偏好都影響評估的結(jié)果。例如,通過歷史數(shù)據(jù)分析得知,在全國各個(gè)省份中,廣東注冊的會(huì)員參與網(wǎng)絡(luò)賭博的概率最大。這在這種歷史統(tǒng)計(jì)信息及結(jié)論之下,一旦碰到一個(gè)廣東的會(huì)員,對其風(fēng)險(xiǎn)評估的級別就自然會(huì)比其他低風(fēng)險(xiǎn)低于的會(huì)員要高一個(gè)級別,并對其日常交易情況就要提高一個(gè)警覺的程度。
第五個(gè)要素:風(fēng)險(xiǎn)應(yīng)對
風(fēng)險(xiǎn)應(yīng)對要求管理當(dāng)局在風(fēng)險(xiǎn)容忍度和成本-收益原則下確定風(fēng)險(xiǎn)應(yīng)對方案并考慮其對事項(xiàng)的可能性和效果的影響,然后設(shè)計(jì)、確定和實(shí)施選擇的應(yīng)對方案。風(fēng)險(xiǎn)應(yīng)對措施通常包括回避、降低、分擔(dān)和承擔(dān)四種。另外,在風(fēng)險(xiǎn)應(yīng)對的過程中,還應(yīng)該有組合的觀念——一個(gè)不同風(fēng)險(xiǎn)組合應(yīng)對之后,其應(yīng)對管理成本可能會(huì)下降,也可能因?yàn)榻M合而積聚上升變得更加重要,這就如同合力效應(yīng)。
第六個(gè)要素:控制活動(dòng)
控制活動(dòng)通常包含兩個(gè)要素:確定應(yīng)做什么的政策和有效地實(shí)施政策的程序,也可以分為預(yù)防性控制、檢查性控制、糾正性控制和補(bǔ)償性控制等類型。控制活動(dòng)貫穿在組織的各個(gè)層級和各個(gè)職能部門,包括一系列不同的活動(dòng),比如批準(zhǔn)、授權(quán)、驗(yàn)證、調(diào)節(jié)、評價(jià)、評估、職責(zé)分離等等。
第七個(gè)要素:信息與溝通
信息與溝通要素提倡企業(yè)必須有效識別、收集來源于企業(yè)內(nèi)部和外部的定性或定量的經(jīng)營信息,并以適當(dāng)?shù)姆绞脚c相關(guān)利益者進(jìn)行有效溝通。信息的來源無論是內(nèi)部,還是外部都有正式渠道,也有非正式渠道,有直接渠道也有間接渠道。比如,商戶的風(fēng)險(xiǎn)高低在于獲得商戶的信息多少、來源及其可靠性——有直接與商戶面談或問卷調(diào)查得到信息,也可能有通過新聞媒體、網(wǎng)絡(luò)平臺、監(jiān)管機(jī)構(gòu)等方面獲得的有關(guān)商戶的信息。另外,現(xiàn)在信息化時(shí)代下,內(nèi)部不同平臺之間的信息共享程度,以及內(nèi)部系統(tǒng)與外部系統(tǒng)(供應(yīng)商或客戶)的集成度和信息分享程度都在日益上升。這給信息、溝通的及時(shí)性、效率得到改善,而同時(shí)信息的深度、及時(shí)性、可靠性對于信息分析決策都變得日益重要。同信息的來源分為內(nèi)部和外部一樣,信息的溝通也分為內(nèi)部和外部溝通。信息的內(nèi)部溝通是為了更高的事項(xiàng)企業(yè)的戰(zhàn)略、經(jīng)營、報(bào)告和合規(guī)方面的目標(biāo),內(nèi)部溝通包括橫向的溝通和縱向的溝通;橫向的溝通有利于風(fēng)險(xiǎn)的應(yīng)對和控制活動(dòng)的協(xié)調(diào)開展,縱向信息的及時(shí)溝通便于決策及其措施的快速確定和傳達(dá)。信息的外部溝通主要集中在企業(yè)主體與外部利益相關(guān)者之間的溝通,比如供應(yīng)商、客戶、監(jiān)管機(jī)構(gòu)、投資者等等。
第八個(gè)要素:監(jiān)督
監(jiān)督是一個(gè)對風(fēng)險(xiǎn)要素當(dāng)前功能及其業(yè)績質(zhì)量進(jìn)行評估的過程。通常監(jiān)督通過兩種方法進(jìn)行:通過持續(xù)的活動(dòng)或個(gè)別評價(jià)。持續(xù)監(jiān)控建立在企業(yè)日常重復(fù)發(fā)生的業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)管理活動(dòng)之上,而個(gè)別評價(jià)則是在事后進(jìn)行的,可以作為對持續(xù)監(jiān)控的補(bǔ)充。專門的評價(jià)通常要確定評價(jià)的范圍、頻率、目的,并關(guān)注評價(jià)過程、方法和報(bào)告形成評價(jià)的信息傳遞機(jī)制和分享機(jī)制。實(shí)務(wù)處理中,這兩種方法是結(jié)合進(jìn)行的。
后記
上述8個(gè)要素有著層次關(guān)系,實(shí)際操作中是否有必然的先后關(guān)系?如果有,這是一個(gè)誤解。在企業(yè)的實(shí)際風(fēng)險(xiǎn)管理中,上述要素之間是融為一體的,沒有絕對的先后關(guān)系,是彼此互相又有著影響,并最終影響風(fēng)險(xiǎn)管理目標(biāo)的達(dá)成。因此,企業(yè)風(fēng)險(xiǎn)管理實(shí)施過程中,分要素分先后步驟予以實(shí)施。另外,需要認(rèn)清的誤解是,企業(yè)風(fēng)險(xiǎn)管理可以給企業(yè)達(dá)成目標(biāo)提供絕對保證。這個(gè)前提下可能導(dǎo)致過度的依賴或者失敗之后的完全忽視。企業(yè)風(fēng)險(xiǎn)管理只能為達(dá)成目標(biāo)提供合理的保障,而且是合理的過程性的持續(xù)性的合理保障。