COSO企业内控风险管理模式
张玉 翻译
前言
10年前,COSO发布了《内部控制----整合框架》来帮助企业界和其他实体评价和加强他们的内部控制制度。从那时起该框架被结合并入成千上万企业的政策、规则和规定,并被企业用于更好地控制他们的活动,朝着实现既定目标的方向前进。
近年来,关注的重点和焦点是风险管理,人们越来越清楚地认识到健全的框架对于有效地识别、评价和管理风险是很有必要。在2001年,COSO提议了一个项目,并聘用普华永道会计事务所开发能方便管理部门用于评价和改进本组织企业风险管理的框架。
框架开发的整个期间出现了一系列具有高度标志性的企业丑闻和失败案例,使投资者、公司人员和其他利益相关者蒙受了巨大损失。灾难的后果是要求用新的法律法规和上市标准来加强公司治理和风险管理。人们越来越多地认识到提供关键的原则和概念,共同语言和明确方向与指南的企业风险管理框架的必要性。COSO认为,企业风险管理----一体化框架填补了这种需要,并希望该框架能被公司、其他组织和所有的利益相关者及团体广泛接受。
在美国的发展结果是出台了《2002年的萨班斯----奥克斯利法案》,其他国家也颁布了或正在考虑类似的立法。这类法律扩展了对公营公司维护内部控制制度的长期有效要求,要求管理层予以证实和独立审计师测试这些制度有效性。持续要求测试时间的《内部控制----整合框架》适用于满足报告要求的更广泛的公认标准。
《企业风险管理----整合框架》扩展了内部控制,提供了一种更健全的和广泛的焦点在企业风险管理更宽广的题目。它的目的不是取代内部控制框架,而是将内部控制框架合并在一起,公司可以决定审查企业风险管理框架,以满足内部控制的需要和朝着更完备风险管理过程发展。
管理层所面临的最严峻挑战是决定本实体准备接受多大的风险,因为风险也可以经过奋斗而创造价值。本报告将更好地鼓励企业迎接这种挑战。
执行总结
企业风险管理的根本前提是每一实体存在的目的是为其利益相关者提供价值。所有的实体都面临不确定性,对管理层的挑战是确定能接受多大的不确定性,因为不确定性也可以促进增加利益相关者的价值。不确定性同时体现为风险机会,具有流失或增加价值的潜力。企业风险管理鼓励管理层有效地处理不确定性和相关的风险和机会,增强创造价值的能力。
当管理层制定的战略目标能力求达到增长和利润目标与相关风险之间的最佳平衡,并在追求本实体目标的过程中有效地调度资源时,价值能达到最大化。企业风险管理包括:
● 连成一线的风险偏好与战略----管理层考虑本实体的风险偏好,在评估战略可选择方案时,制定相关目标,开发管理相关风险的机制。
● 增强风险反馈决策----企业风险管理提供了森严的识别和挑选可选择的风险反馈----即风险回避、降低、分摊和接受的制度。
● 减少经营意外事故和损失----各实体应获得增强的能力来识别潜在事件和建立反馈,减少意外事故和相关成本或损失。
● 识别和管理多样化的和交叉的企业风险----每一企业都将面临影响本组织不同方面的无数风险因素,企业风险管理能促进对相互关联的影响做出有效反应,对多样化的风险做出综合的反应。
● 抓住机会----通过全面考虑潜在的事件,管理层被定位于识别和正面积极地抓住机会。
● 改进资本配置----获得健全的风险信息,允许管理层有效地评估总体资本需要,增强资本分配。
这些企业风险管理中内在的能力有助于管理层实现本实体的绩效和盈利能力目标,防止资源损失。企业风险管理有助于保证有效的报告和遵守法律法规,避免本实体的声誉受到损害和相关的后果。总之,企业风险管理有助于一个实体达到它想要实现的目标,避免前进过程中的陷阱和意外事故。
事件----风险与机会
事件可以有负面影响、正面影响,或二者兼而有之。负面影响的事件表现为能阻碍价值创造或侵蚀现存价值的风险。正面影响的事件可以抵消负面影响或体现为机会。机会是一个事件将发生并积极影响目标实现、支持价值创造或保护价值的可能性。管理层将机会引导向其战略或目标制定过程,制定抓住机会的计划。
规定了企业风险管理
企业风险管理处理影响价值创造或保值的风险和机会。其定义如下:
“企业风险管理是一个过程,受到一个实体的董事会、管理层和其他人员的影响,适用于战略制定和在整个企业设计识别可能影响本实体的潜在事件,在风险偏好范围内管理风险,提供与实现实体目标有关的合理保证。”
该定义反映出一些基本的概念。企业风险管理是:
● 一个过程,持续并贯穿一个实体;
● 受到一个组织每一层级人员的影响;
● 适用于战略制定;
● 适用于整个企业每一层次和单位,包括所采纳的实体总体层次风险业务责任观点;
● 设计识别可能影响本实体的潜在事件,如果它们发生的话,在风险偏好范围内管理风险,
● 能够为一个实体的管理层和董事会提供合理保证;
● 在一个或更多独立的但重叠的分类中加速目标的实现。
该定义的目标广阔。它抓住公司和其他组织如何管理风险的关键基本概念,为整个组织、行业和部门提供适用的依据。它把焦点直接放在实现由某一方面特定实体制定的目标,为定义企业风险管理的效果提供依据。
目标的实现
在实体既定使命和远景规划的条件下,管理层确定战略目标,选择战略和制定将整个企业连接成一线的目标。这种加速实现实体目标的企业风险管理框架,可陈述为四类:
● 战略----高层目标,连接和支持其使命;
● 经营----有效率和效果地使用其资源;
● 报告----报告的可靠性;
● 合规----遵守适用的法律法规。
这种实体目标的分类准许把重点放在企业风险管理的各别方面。这些性质截然不同但重叠的分类----某一特别的目标可以分成几个分类,强调不同的实体需要并可能对不同的执行部门负直接责任。这种分类同样准许从每一目标分类之间区别可以预期的结果。同样也描述了一些实体使用的保护资源的另一分类。
因为与报告可靠性和遵守法律法规相关的目标在实体的控制范围内,企业风险管理可以预期为实现这些目标提供合理的保证。然而战略目标和经营目标的实现易遭受实体控制范围之外的外部事件的影响,因此,企业风险管理可以提供合理的保证,使管理层认识这些目标和董事会意识到其监督作用,及时地促进整个实体朝着实现目标前进。
企业风险管理的组成部分
企业风险管理包括八个相关组成部分。这些组成部分来自管理层经营企业的方式,并与管理过程相结合。这些组成部分是:
● 内部环境----内部环境包括一个组织的基调,制定作为整个实体的人们如何审视和重视风险的依据,包括风险管理哲学和风险偏好、正直性和道德价值以及他们经营的环境。
● 目标设定----在管理部门能够识别影响其业绩的潜在事件之前,必须存在有目标。企业风险管理保证管理部门制定目标的过程到位,选定的目标支持和本实体的使命联成一体,并与风险偏好相一致。
● 事件识别----必须识别影响一个实体实现目标的内部和外部事件,区别风险和机会。机会开辟了反馈管理部门战略或目标制定过程的渠道。
● 风险评估----要分析风险,考虑可能性和影响,作为决定如何管理风险的依据。在固有的和有后效的基础上评估风险。
● 风险反馈----管理部门选择风险反馈----即避免、接受、降低或分摊风险,开发一系列行动,使风险与实体的风险承受能力和风险偏好联成一体。
● 控制活动----政策和程序的制定有助于保证有效地执行风险反馈。
● 信息与沟通----以一种能够促进人们履行其职责的形式和时间框架来识别、捕捉和沟通相关风险。有效的沟通同样发生在更广泛的意义上,即在实体内从上到下、相互交叉和自下而上的沟通。
● 监控----对企业风险管理的整体进行监控并根据需要进行修改。通过持续的管理活动,分别评估,或二者同时进行来实现监控。
企业风险管理不是一个严格的系列过程,一个部分只影响下一个部分。它又是一种多方向的重复的过程,在这一过程中几乎所有的任何部分都可能会影响另一个部分。
目标与组成部分的关系
在一个实体奋力实现的目标和体现实现目标所必须的企业风险管理组成部分之间存在一种直接的关系。这种关系被描述为立体结构中的三维矩阵模型。
四种目标分类----战略、经营、报告和合法----由纵向栏目所代表,八个组成部分横向排列,一个实体的单位由第三个层面所代表。这种描绘勾画出整个企业风险管理重点的能力,或通过目标分类、组成部分、实体单位或任何子集合说明整个企业风险管理。
效果
确定一个实体的企业风险管理是否“有效”是对八个组成部分的表现以及是否有效运行进行评估的一种判断。这些组成部分同样可作为有效的企业风险管理的标准。因为这几个组成部分的存在及适当运行不可能产生重大的缺陷,风险需要也已控制在一个实体的风险偏好之内。
当确定企业风险管理在四类目标的每一类中都是有效的,相应地也就为董事会和管理层提供合理的保证,使他们了解整个实体战略和经营目标正在实现的程度和整个实体的报告是可靠的并遵守适用的法律法规。
八个组成部分在每一个实体的运行并不是完全相同的。例如,在中小型实体中的应用可能不那么正式,结构不那么完整。不过,小的实体仍然可以有有效的企业风险管理,只要每一个组成部分都存在并适当运行。
局限性
在企业风险管理提供重要好处的同时,也存在着局限性。在上述讨论的因素之外,局限性来自在决策制定过程中人的判断可能出现错误,反馈风险的决策,制定控制需要考虑相关成本和效益,因为人类的失误,例如简单的错误或过失可能会造成计划的失败,控制可以防止两个人或更多人勾结串通事件的发生,但管理部门有能力否决企业风险管理决策。这些局限性会妨碍董事会和管理层对本实体目标实现所具有绝对的保证。
围绕内部控制
内部控制是企业风险管理的一个组成部分。本企业风险管理框架围绕内部控制,为管理部门形成一个更健全的概念论和工具。在《内部控制----整合框架》中对内部控制进行了定义和描述。因为此框架已经经受了时间的考验,并成为现行法律法规和规则的依据,文件保留了内部控制的定义和框架。在本框架中只有《内部控制----整合框架》原文部分是复制的,该框架的整体作为关联部分已结合到本框架中。
作用与职责
在实体中的每一个人对企业风险管理都负有一定的责任,首席执行官是最终的负责人,应该承担所有责任。其他管理人员支持本实体的风险管理哲学,促进遵守风险偏好,在职责和风险承受能力相一致的范围内管理风险。风险职员、财务人员、内部审计师和其他人员通常有重要的支持职责。其他的实体人员负责按照既定的指令和会议记录执行风险管理。董事会对企业风险管理提供重要的监督,知道并赞成本实体的风险偏好。一些外部参与者,例如客户、卖主、企业合伙人、外部审计师、监管人员和财务分析家常常提供对实现企业风险管理有用的信息,但他们并不对其效果负责任,他们也不是本实体企业风险管理的一部分。
本报告的组织
本报告分为两卷。第一卷包括本框架和《执行总结》。该框架规定了企业风险管理,描述了原则和概念,为企业和其他组织内部各级管理部门评估和增强企业风险管理的效果提供了方向。执行总结是指导首席执行官和其他高级执行人员、董事会成员和监管人员的一种高层次的检查。第二卷,《应用技术》提供了说明在采用本框架要素中有用的技术。
本报告的使用
作为本报告结果可能采取的建议行动取决于涉及的各当事方的地位和作用:
● 董事会----董事会应与高级管理层讨论本实体企业风险管理框架的状况,提供必要的监督。董事会应该保证知道绝大多数重大风险和管理层正在采取的行动,以及如何保证有效的企业风险管理。董事会应该考虑从内部审计师、外部审计师和其他人那里寻找输入信号。
● 高级管理层----此次的研究建议首席执行官评价本组织的企业风险管理能力。在另一种方法中,首席执行官将经营单位的负责人和主要职能负责人聚集在一起讨论企业风险管理能力和效果的初步评价。不管采取什么形式,初步评价应该确定在哪里需要和如何进行范围更广和更深入的评估。
● 其他实体人士----管理人员和其他人士应该考虑他们是如何根据本框架执行他们的职责,与更高级的人员讨论加强企业风险管理的想法。内部审计师应该考虑企业风险管理重点方面的广度。
● 监管人员----本框架可以促进分享企业风险管理,包括能做的事及其局限性的看法。监管人员对他们监督的实体不管是根据规则或指南,还是进行检查,在确定预期值方面可以参考本框架。
● 专业人士的组织----规则制定和提供财务管理、审计和相关专题指南的其他专业人士组织应该考虑根据本框架制定他们的准则和指南。消除在概念和专业术语方面的多样化程度,使所有参与者都受益。
● 教育者----本框架可以作为学术研究和分析的题目,以观察未来可以 采取哪些强化措施。根据这一假定,本报告可成为公认的理解的共同基础,其概念和术语应能发现其进入大学课程的渠道。
作为共同理解的基础,所有的参与者将能够用共同的语言说话和进行更有效的沟通。企业的执行人员将定位在对照准则评价其公司的企业风险管理的过程,并强化这一过程,使本企业朝着既定的目标前进。进一步的研究可以发挥超出既定基础的杠杆作用。立法人员和监管人员将能够增强对企业风险管理的理解,包括其好处和局限性。随着所有的参与者都使用共同的企业风险管理框架,这些好处将得到实现。
内部环境包括一个组织的基调,制定作为整个实体的人们如何审视和重视风险的依据,包括风险管理哲学和风险偏好、正直性和道德价值以及他们经营的环境。
● 目标设定----在管理部门能够识别影响其业绩的潜在事件之前,必须存在有目标。企业风险管理保证管理部门制定目标的过程到位,选定的目标支持和本实体的使命联成一体,并与风险偏好相一致。
● 事件识别----必须识别影响一个实体实现目标的内部和外部事件,区别风险和机会。机会开辟了反馈管理部门战略或目标制定过程的渠道。
● 风险评估----要分析风险,考虑可能性和影响,作为决定如何管理风险的依据。在固有的和有后效的基础上评估风险。
● 风险反馈----管理部门选择风险反馈----即避免、接受、降低或分摊风险,开发一系列行动,使风险与实体的风险承受能力和风险偏好联成一体。
● 控制活动----政策和程序的制定有助于保证有效地执行风险反馈。
● 信息与沟通----以一种能够促进人们履行其职责的形式和时间框架来识别、捕捉和沟通相关风险。有效的沟通同样发生在更广泛的意义上,即在实体内从上到下、相互交叉和自下而上的沟通。
● 监控----对企业风险管理的整体进行监控并根据需要进行修改。通过持续的管理活动,分别评估,或二者同时进行来实现监控。
企业风险管理不是一个严格的系列过程,一个部分只影响下一个部分。它又是一种多方向的重复的过程,在这一过程中几乎所有的任何部分都可能会影响另一个部分。
目标与组成部分的关系
在一个实体奋力实现的目标和体现实现目标所必须的企业风险管理组成部分之间存在一种直接的关系。这种关系被描述为立体结构中的三维矩阵模型。
四种目标分类----战略、经营、报告和合法----由纵向栏目所代表,八个组成部分横向排列,一个实体的单位由第三个层面所代表。这种描绘勾画出整个企业风险管理重点的能力,或通过目标分类、组成部分、实体单位或任何子集合说明整个企业风险管理。
效果
确定一个实体的企业风险管理是否“有效”是对八个组成部分的表现以及是否有效运行进行评估的一种判断。这些组成部分同样可作为有效的企业风险管理的标准。因为这几个组成部分的存在及适当运行不可能产生重大的缺陷,风险需要也已控制在一个实体的风险偏好之内。
当确定企业风险管理在四类目标的每一类中都是有效的,相应地也就为董事会和管理层提供合理的保证,使他们了解整个实体战略和经营目标正在实现的程度和整个实体的报告是可靠的并遵守适用的法律法规。
八个组成部分在每一个实体的运行并不是完全相同的。例如,在中小型实体中的应用可能不那么正式,结构不那么完整。不过,小的实体仍然可以有有效的企业风险管理,只要每一个组成部分都存在并适当运行。
局限性
在企业风险管理提供重要好处的同时,也存在着局限性。在上述讨论的因素之外,局限性来自在决策制定过程中人的判断可能出现错误,反馈风险的决策,制定控制需要考虑相关成本和效益,因为人类的失误,例如简单的错误或过失可能会造成计划的失败,控制可以防止两个人或更多人勾结串通事件的发生,但管理部门有能力否决企业风险管理决策。这些局限性会妨碍董事会和管理层对本实体目标实现所具有绝对的保证。
围绕内部控制
内部控制是企业风险管理的一个组成部分。本企业风险管理框架围绕内部控制,为管理部门形成一个更健全的概念论和工具。在《内部控制----整合框架》中对内部控制进行了定义和描述。因为此框架已经经受了时间的考验,并成为现行法律法规和规则的依据,文件保留了内部控制的定义和框架。在本框架中只有《内部控制----整合框架》原文部分是复制的,该框架的整体作为关联部分已结合到本框架中。
作用与职责
在实体中的每一个人对企业风险管理都负有一定的责任,首席执行官是最终的负责人,应该承担所有责任。其他管理人员支持本实体的风险管理哲学,促进遵守风险偏好,在职责和风险承受能力相一致的范围内管理风险。风险职员、财务人员、内部审计师和其他人员通常有重要的支持职责。其他的实体人员负责按照既定的指令和会议记录执行风险管理。董事会对企业风险管理提供重要的监督,知道并赞成本实体的风险偏好。一些外部参与者,例如客户、卖主、企业合伙人、外部审计师、监管人员和财务分析家常常提供对实现企业风险管理有用的信息,但他们并不对其效果负责任,他们也不是本实体企业风险管理的一部分。
本报告的组织
本报告分为两卷。第一卷包括本框架和《执行总结》。该框架规定了企业风险管理,描述了原则和概念,为企业和其他组织内部各级管理部门评估和增强企业风险管理的效果提供了方向。执行总结是指导首席执行官和其他高级执行人员、董事会成员和监管人员的一种高层次的检查。第二卷,《应用技术》提供了说明在采用本框架要素中有用的技术。
本报告的使用
作为本报告结果可能采取的建议行动取决于涉及的各当事方的地位和作用:
● 董事会----董事会应与高级管理层讨论本实体企业风险管理框架的状况,提供必要的监督。董事会应该保证知道绝大多数重大风险和管理层正在采取的行动,以及如何保证有效的企业风险管理。董事会应该考虑从内部审计师、外部审计师和其他人那里寻找输入信号。
● 高级管理层----此次的研究建议首席执行官评价本组织的企业风险管理能力。在另一种方法中,首席执行官将经营单位的负责人和主要职能负责人聚集在一起讨论企业风险管理能力和效果的初步评价。不管采取什么形式,初步评价应该确定在哪里需要和如何进行范围更广和更深入的评估。
● 其他实体人士----管理人员和其他人士应该考虑他们是如何根据本框架执行他们的职责,与更高级的人员讨论加强企业风险管理的想法。内部审计师应该考虑企业风险管理重点方面的广度。
● 监管人员----本框架可以促进分享企业风险管理,包括能做的事及其局限性的看法。监管人员对他们监督的实体不管是根据规则或指南,还是进行检查,在确定预期值方面可以参考本框架。
● 专业人士的组织----规则制定和提供财务管理、审计和相关专题指南的其他专业人士组织应该考虑根据本框架制定他们的准则和指南。消除在概念和专业术语方面的多样化程度,使所有参与者都受益。
● 教育者----本框架可以作为学术研究和分析的题目,以观察未来可以 采取哪些强化措施。根据这一假定,本报告可成为公认的理解的共同基础,其概念和术语应能发现其进入大学课程的渠道。
作为共同理解的基础,所有的参与者将能够用共同的语言说话和进行更有效的沟通。企业的执行人员将定位在对照准则评价其公司的企业风险管理的过程,并强化这一过程,使本企业朝着既定的目标前进。进一步的研究可以发挥超出既定基础的杠杆作用。立法人员和监管人员将能够增强对企业风险管理的理解,包括其好处和局限性。随着所有的参与者都使用共同的企业风险管理框架,这些好处将得到实现。
