企业风险管理整合框架及其评价

企业风险管理整合框架及其评价

在内部控制标准制定方面,美国发起人组织委员会(COSO) 一直是国际公认的权威机构,自其成立以来，一直致力于内部控制标准的制定，引导和代表着内部控制的发展趋势。1992年,COSO提岀了《内部控制——整合框架》,经过十多年的应用.已成为业界普遍认可的一个标准。2004 年9月,COSO又提岀了《企业风险管理一一整合框架》，它既是对《内部控制一一整合框架》的超越，也标志着内部控制的转型,在内涵界定、目标体系、构成要素等方面都进行了拓展和延伸。

一、企业风险管理的性质(n ature)与定位

这些年来.一系列财务失败事件的发生以及对企业风险管理的关注,使人们越来越清楚地认识

到需要一个强有力的框架以便有效地识别、评估和控制风险。2001年,COSO开展了一个项目，

委托普华永道开发一个对于管理当局评价和改进他们所在组织的企业风险管理的框架。但在开发这个框架期间,又发生了一系列令人瞩目的企业丑闻和失败事件,投资者、公司员工和其他利益相

关者因此而遭受了巨大的损失。随之而来的便是对采用新的法律、法规和上市准则来加强公司治

理和风险管理的呼吁。人们迫切需要一个能够提供关键原则和概念、共同的语言以及明晰的方向和指南的企业风险管理框架。美国在2002 年颁布了《萨班斯-奥克斯利法案》,其他国家也已经通过或正在考虑类似的立法。这部法律扩充了长期持续的对公众公司保持内部控制制度的规定

,

要求管理当局证实、并由独立审计师鉴证这些制度。2004 年9 月,COSO 发布了《企业风险管理——整合框架》,它拓展了内部控制框架,更关注于企业风险管理这一更加宽泛的领域。按照COSO 的设想,他们不打算、也的确没有用企业风险管理框架取代内部控制框架,而是将内部控制框架纳

入其中,公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要,还可以借此转向一

个更加全面的风险管理过程。

(一)企业风险管理的性质

COSO 在其报告中指出, 企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其限制在该主体的风险容量之内,并为主体目标的实现提供合理保证。与内部控制相比,企业风险管理补充了两个内容:一个是战略目标;一个是风险控制。

COSO 在对《企业风险管理》的界定中重点强调了七个属性和理念:(1) 企业风险管理是一个

过程,它持续流动于企业之内:(2)企业风险管理是由组织中各个层级的人员来实施的;(3) 企业风险管理应用于战略制定的过程中;(4) 企业风险管理贯穿企业整体,在各个层级和单元应用,还包括采

取企业整体层级的风险组合观;(5)企业风险管理旨在识别那些一旦发生将会影响企业的潜在事项

并把风险控制在风险容量以内;(6)企业风险管理能够向一个企业的管理当局和董事会提供合理保

证:(7) 企业风险管理力求实现一个或多个不同类型但相互交叉的目标。

COSO 秉承了其“整合”的思路,给出了企业风险管理的一个宽泛的定义,通过提炼对公司和其

他组织风险管理的关键概念,为不同组织形式、行业和部门的应用提供了基础,另外,它直接关注特

定主体既定目标的实现,并为界定企业风险管理的有效性提供了依据。

COSO 认为,企业风险管理应发挥以下作用:

(1) 衔接风险容量(riskappetite) 与战略。管理当局在评价战略方案、设定相关目标和建立相关风险的管理机制的过程中,需要考虑所在主体的风险容量。

(2) 增进风险应对决策。企业风险管理应能提高企业选择风险应对策略的准确性。

(3) 抑减经营意外和损失。主体识别潜在事项和实施应对的能力得以增强,抑减了意外情况以及伴随而来的成本或损失。

(4) 识别和管理贯穿于企业的多重风险。每一家企业都面临影响自身不同组成部分的一系列

风险,企业风险管理有助于有效地应对交互影响,以及整合式地应对多重风险

(5) 抓住机会。通过全面考虑潜在事项,促使管理当局识别并积极地把握机会。

(6) 改善资本配置。获取强有力的风险信息,以使管理当局能够有效地评估总体资本需求,并改进资本配置。

(二)企业风险管理的定位

COSO 在界定企业风险管理时,明确了两个所属关系:(1) 内部控制是企业风险管理的一个组成部分;(2)企业风险管理是管理过程的一个组成部分。企业风险管理框架的要素都是管理层经营一个企业所做的事情。但是,并非管理层做的事情都是企业风险管理的组成部分。在管理层的决策

与相关管理行为中应用的许多判断,尽管是管理过程的组成部分,但不是企业风险管理的组成部

分。例如,确保有一个适当的目标设定过程是企业风险管理的一个关键组成要素.而管理层选择的

特定目标不是企业风险管理的组成部分:在适当风险评估的基础上对风险做出反应是企业风险管理的组成部分。而所选择的特定风险应对策略和相关的资源配置不是企业风险管理的组成部分确定和实施控制活动以确保管理层选择的风险应对策略得到有效的实施是企业风险管理的组成部分,而所选择的特定控制活动不是企业风险管理的组成部分。COSO在2003年10月发布的《企

业风险管理框架(草稿)》中列示了一般管理行为。并指出哪些构成了企业风险管理。企业风险管理包括那些能够使管理层依据可靠信息做出风险基础决策的管理过程.但是.从一系列适当的选择

中选出的特定决策不会决定企业风险管理是否有效。

另外,普华在最近的一份报告中提出了一个GRC(Governance,Risk,Compliance) 模型。该报告认为,组织可以通过把GRC 战略性地整合进它们的经营中,以形成一个可以对企业进行管理的道

德和经营框架。这个框架包括治理(Governance) 、企业风险管理(EnterpriseRiskManagement) 和遵