在即将到来的8102中,我们所说的“风险管理”/“全面风险管理”,通常不是指众所周知、广为流传的COSO1992内控框架和COSO2004风险管理框架,而是2016年发布征求意见的版本。COSO 2017《企业风险管理-整合战略与绩效》(企业风险管理-与战略和绩效整合)于2017年9月正式推出。简称《企业风险管理(框架)》。
该文件主要由三部分组成:执行摘要、框架和附录。
与COSO2004 《企业风险管理-整体框架》相比,COSO2017有很多变化:
1.简化企业风险管理的定义;
2.强调风险与价值的联系;
3.重新审视企业风险管理集成框架的重点;
4.检查文化在风险管理中的地位;
5.增加了战略、运营绩效和风险管理协同的内容;
6.进一步明确企业风险管理(全面风险管理)与内部控制的关系;
7.优化了风险偏好和风险承受能力的概念。
COSO2004风险管理框架中提出的风险管理工具和技术仍然保留。
COSO2017使用这样的图片来表达对企业战略如何提高绩效的理解:
愿景和价值观-“战略、业务目标、绩效(战略选择、实施、战略决策和运营中的风险)”-“改进的绩效”
图表的结构是“愿景和价值”——战略、业务目标、绩效(战略选择、实施、战略决策和运营中的风险)——改进的绩效。
COSO2017的核心点是风险管理关系到企业的核心利益,是影响组织绩效提升的重要因素,风险蕴含成长机会。
其次,COSO2017在1992年和2004年改变了框架的目标-要素组织形式,采用了要素-原则的形式,如图:
图中主要流程是:企业愿景-战略-业务目标设定-目标实施、运营绩效-企业成长
风险管理的五个要素以及从属于每个要素的原则以彩条的形式贯穿于图中,意味着风险管理包含在企业经营发展的全过程中,服务于企业的成长。
COSO2017企业风险管理框架的五大要素是:治理与文化、战略与目标设定、绩效、评审与修订、信息交流与报告。
要素从属原则——治理和文化;
1.实现董事会对风险的监管;
2.建立运营模式;
3.定义团队的组织文化;
4.实现核心价值观的承诺;
5.吸引发展,留住优秀人才
从属原则要素-战略和目标设定:
1.考虑商业环境;
2.定义风险偏好。
3.评估替代策略;
4.确立业务目标
元素从属原则-性能:
1.识别风险;
2.评估风险的严重性;
3.风险排名;
4.实施风险应对;
5.建立风险的组合视图(管理层需要从组织的整体角度考虑风险,并将组织风险作为一个整体与实现绩效目标所需承担的风险进行比较,而不是将其视为单独和分散的风险)
要素从属原则-审查和修订:
1.评估重大变化;
2.审查风险和绩效;
3.企业风险管理改进
要素从属原则——信息沟通与报告;
1、信息技术的运用;
2.传达风险信息;
3.风险、文化和绩效报告(组织报告所有级别的风险、文化和绩效。首先,组织应该确定这些报告的用户及其责任。报告有多种形式和类型,包括:总体风险判断、风险图、根本原因分析、敏感性分析、新兴和变化风险分析、KPI(关键绩效指标)、趋势分析、事故、违规和损失的披露以及对企业风险管理计划和举措的跟踪。管理层需要确定报告的频率并对其质量负责)
一共20条原则。
除了了解COSO2017的要素和原理,还有一些关键的定义必须掌握。最能体现2017版特点的是,将“风险”定义为“发生影响战略和商业目标实现的事件的可能性”,与ISO风险管理标准中“风险”的定义不同,国际标准组织对风险的定义是“不确定性对目标的影响”。个人认为这两种提法没有本质区别,都认同风险有正面和负面影响。
风险偏好仍被定义为“主体在追求战略和业务目标的过程中愿意承担的风险量”。选择适当的量化指标,如风险价值、风险价值和LVAR,可以用来衡量风险偏好。
风险容忍度在2004年版中被定义为粒度更细、更详细的风险偏好,在2017年版中被定义为“可接受的绩效变化”。除了量化的倾向,我们可以看到风险和绩效的关系再次被重申。
“企业风险管理”定义为“在创造、维持和实现价值的过程中,结合战略制定和实施的风险管理的文化能力和实践”。与2004年版相比,“由一个主体的董事会、管理当局和其他人员实施的、应用于战略制定并贯穿于企业的、旨在识别可能影响主体的潜在问题、管理风险以使其处于主体的风险能力范围内并为主体目标的实现提供合理保证的过程”,区别是明显的,对一种文化、能力和实践的描述更接近于风险驱动绩效的核心观点。
COSO2017提出了一种全新的曲线表达方式——风险绩效曲线。COSO认为,总体风险和业绩是相关的。在下图中,横轴表示性能,纵轴表示风险:
风险-绩效曲线
风险越大,企业绩效越好。总的来说,这条曲线的方向是正确的。COSO用图表中的直线代表组织的风险承受能力和绩效设置。影子部分越小,组织的风险偏好越激进。然而,在实践中,有必要决定应该使用什么指标来代表绩效和风险。特别是在学科层面,风险求和要考虑的问题绝不是简单的线性求和。操作上有困难,但还是一个很棒的想法,更深刻的展现了风险与业绩挂钩的主题。
COSO2017实际上是在为企业管理领域提出一种风险导向的管理理念。它的目标是成为一个管理系统,而不是原来的内部控制流程。从COSO1992、COSO2004到COSO2017,重点从经营管理的过程控制、财务报告的反舞弊、法律的合规扩张到企业的战略决策和绩效增长,这使得风险管理承担了更高的要求,并被深度融入企业管理。
评论