全面风险管理定义
所谓全面风险管理,是指企业环绕总的运营目标,通过在企业管理的各个环节和运营过程中实施风险管理的基本流程,培育不错的风险管理文化,建立健全全面风险管理体系,包含风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,进而为达到风险管理的总的目标供应合理保证的过程和方法。全面风险管理与企业内部控制
简介
说到风险管理,有个概念是务必要提及的,即企业内部控制。在实践中有很多企业不能真正理解全面风险管理与内部控制的区别和联系,要么将两者完全隔离开来,要么导致简单地将它们等同起来。那么它们有什么联系和差异呢?当前国际上差不多是接受了美国COSO(全国虚假财务数据委员会的发起人委员会)2004年公布的《企业风险管理——整合框架》(国内也有译作《全面风险管理框架》的)对两者的阐释。
按COSO框架,两者的联系为:
(1)全面风险管理涵盖了内部控制。COSO框架中清晰地表示全面风险管理体系框架包含内控,将之作为一个子系统。
(2)内部控制是全面风险管理的必要环节。内部控制的活力来自企业对风险的认识和管理,对于企业所面对的多部分经营风险,或者说对于在企业的所有业务流程当中的风险,内控系统是必要的、高效的和有效的风险管理方法。同期,保持充分的内控系统也是国内外很多法律法规的合规要求。所以,满足内部控制系统的要求也是企业风险管理体系建立应当高达的基本状态。
内部控制与全面风险管理的差异为
(1)两者的范畴不统一。内部控制仅是管理的一项职能,首要是通过事后和过程的控制来达到其本身的目标,而全面风险管理则贯穿于管理过程的方方面面,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要高达的目标上,全面风险管理多于内部控制。
(2)两者的活动不统一。全面风险管理的一连串具体活动并没有均为内部控制要解决的。当前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人士的雇佣、相关的预算和行政管理、以及数据程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和自此实行的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最显著的差异在于内部控制不负责企业运营目标的具体设立,而导致对目标的策划过程执行评价,尤其是对目标和战略计划策划当中的风险执行评估。
(3)两者对风险的对策不统一。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、阻力试探、情景分析等概念和方法,所以,该框架在风险度量的基础上,有助于企业的成长战略与风险偏好相统一,上涨、风险与回报相联系,执行经济资本分配及利用风险信息支持业务前台决策流程等,进而帮助董事会和高级管理层达到全面风险管理的四项目标。这些内容均为现行的内部控制框架所不能做到的。
从国际国内发展趋势来说,伴随内部控制或风险管理的持续完善和变得愈加全面,它们之间必然相互交叉、融合,直至统一。内部控制与全面风险管理的造成和发展
内部控制和风险管理的概念是在实践中逐渐造成、发展和完善起来的。
在20世纪30年代,受于承受1929-1933年的世界性经济危机的影响,美国约有40%左右的银行和企业破产,经济倒退了约20年。美国企业为应对运营上的危机,很多大中型企业都以内部设立了保险管理部门,负责安排企业的各种保险项目。可见,当时的内部控制和风险管理首要依靠保险手段。
1949年美国审计程序委员会下属的内部控制专门委员会经历两年研究发表了题为《内部控制,协调系统诸要素及其对管理部门和注册会计师的重要性》的专题数据,首次对内部控制做了权威性的定义。1955年,美国宾夕法尼亚大学沃顿商学院的施耐德教授首次提出了“风险管理”的概念。
20世纪70年代中期,作为美国“水门事件”调查结果,立法者和监管团体开始对内部控制困难给以高度重视。为了制止美国公司向外国政府官员行贿,美国国会于1977年通过了“国外腐败实务法案(1977)”。该法案除了反腐败条款外,还包含了要求公司管理层增强会计内部控制的条款。该法案形成美国在公司内部控制方面的第一个法案。1978年,美国执业会计协会下面的柯恩委员会(Cohen Commission)提出数据,一是建议公司管理层在披露财务报表时,提交一份有关内控系统的数据;二是建议外部独立审计师对管理者内控数据提出审计数据。1980年后,内部控制审计的职业标准渐渐成形。而且,这些标准渐渐得到了监管者和立法者的认可。
1970年代以后,伴随企业面对的风险复杂多样和风险费用的增长,法国从美国引进了内部控制和风险管理并在法国国内传播开来。与法国同期,日本也开始了风险管理研究。 此后20年来,英国、美国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983年在美国召开的风险和保险管理协会年会上,世界各国专家学者云集纽约,共同讨论并通过了“101条风险管理准则”,这是风险管理迈向实践化的一个重要文件。1992年9月,美国COSO委员会公布了《企业内部控制——整合框架》,该份框架此后被纳入政策和法规当中,并被各国数千家企业用来为达到既定目标所采取的行动加以更好的控制。1995年由澳大利亚和新西兰联合制订的AS/NZS 4360清晰定义了风险管理的标准程序,这就是我们一般说的澳新ERM标准,这标志着第一个国家风险管理标准的诞生。
多年来,民众在风险管理实践中渐渐认识到,一个企业内部不同部门或不同业务的风险,有的相互再加上增大,有的相互抵消降低。所以,企业不能仅仅从某项业务、某个部门的角度考虑风险,务必依据风险组合的看法,从贯穿整个企业的角度看风险,即要实施全面风险管理。但是,即使很多企业意识到全面风险管理,但是对全面风险管理有清晰理解的却不多,已经实行了全面风险管理的企业则更少。但2001年11月的美国安然公司倒闭案和2002年6月的世通公司财务欺诈案,加上其它一连串的会计舞弊事件,促使企业的风险管理困难承受全社会的关注。2002年7月,美国国会通过萨班斯法案(Sarbanes-Oxley法案),要求所有在美国上市的公司务必建立和完善内控体系。萨班斯法案被称为是美国从1934年至今最重要的公司法案,在其影响下,世界各国纷纷出台相似的方案,增强公司治理和内部控制规范,加大信息披露的要求,增强企业全面风险管理。接着在2004年9月,COSO公布《企业风险管理——整合框架》(Enterprise Risk Management — Integrated Framework),该框架拓展了内部控制,愈加关注于企业全面风险管理这一更为宽泛的领域,并跟随形成世界各国和大量企业广为接受的标准规范。
到迄今为止,世界上已有30几个国家和地区,包含所有资本发达国家和地区及一部分低收入国家如马来西亚,都发表了对企业的监管条例和公司治理准则。在各国的法律框架下,企业有效的风险管理不再是企业的自发举动,而形成企业运营的合规要求。全面风险管理的整合框架
简介
COSO的ERM框架是个三维立体的框架。该种多维立体的状况形式,有助于全面深入地理解控制和管理对象,分析处理控制中存在的复杂困难。
第一个维度(上面维度)是是目标体系,包含四类目标:(1) 战略(Stntegic)目标,即高层次目标,与使命有关联并支撑使命;(2) 运营(operations)目标,高效率地利用资源;(3) 数据(reporting)目标,数据的牢靠性;(4) 合规(compliance)目标,符合适用的法律和法规。
第二个维度(正面维度)是管理要素,包含八个相互相关的组成要素,它们源自管理当局的运营方式,并与管理过程整合在一起,具体为:
(1)内部环境
管理当局确立有关风险的理念,并确定风险容量。所有企业的核心均为人(他们的个人品性,包含诚信、道德价值观和胜任能力)以及运营所处的环境,内部环境为主体中的民众如何看待风险和着手控制风险确立了基础。
(2)目标设定
务必先有目标,管理当局才可识别影响目标达到的潜在事项。企业风险管理保证管理当局采取恰当的程序去设定目标,并保证选定的目标支持主体的使命并与其相衔接,以及与它的风险容量相适应。
(3)事项识别
务必识别或许对主体造成影响的潜在事项,包含表明风险的事项和表明机会的事项,以及或许二者兼有的事项。机会被追溯到管理当局的战略或目标策划过程。
(4)风险评估
要对识别的风险执行分析,以便确定管理的根据。风险与或许被影响的目标有关联。既要对固有风险执行评估,也要对余下风险执行评估,评估要顾虑到风险的机会性和影响。
(5)风险应对
雇员识别和评价或许的风险应对措施,包含回避、承受、减弱和分担风险。管理当局选择一连串措施使风险与主体的风险容限和风险容量相适应。
(6)控制活动
策划和实行政策与程序以保证管理当局所选择的风险应对策略得以有效实行。
(7)信息与沟通
主体的各个层级都需要借助信息来识别、评估和应对风险。普遍意义的有效沟通包含信息在主体中朝下、平行和往上流动。
(8)监控
整个企业风险管理处在监控之下,必要时还会执行修正。该种方式能够动态地反映风险管理情况,并使之依据条件的要求而改变。监控通过连续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。
第三个维度(侧面维度)是主体单元,包含集团、部门、业务单元、分支机构四个方面。内部控制和全面风险管理在我国的实践
中国在这方面的研究开始于上世纪80年代。一部分学者将风险管理和安全系统工程理论引入中国,在少数企业试用中感觉比较满意。但中国多部分企业缺乏对风险管理的认识,也没有建立专门的风险管理机构和制度建设。
我国系统的内控制度建设是在有了《会计法》之后。1999年修订的《会计法》首次以法律的形式对建立健全内部控制提出原则要求,财政部立即接连策划公布了《内部会计控制规范———基本规范》等7项内部会计控制规范。但从更宽泛的管理意义上来看,真正把内部控制和风险管理形成法规,是承受美国2002年安然事件、世通公司财务欺诈案及随后美国的萨班斯法案的影响。2006年经当时国务院副总理黄菊的准许,这一困难提上议事日程,成立了企业内部控制标准委员会,正式开始这项工作。当年6月6号,国资委公布了《中央企业全面风险管理指示》,这是我国第一个全面风险管理的指导性文件,代表着中国走上了风险管理的中心舞台。2008年6月28号,财政部、证监会、审计署、银监会、保监会五部门联合公布了《企业内部控制基本规范》,《规范》从2009年7月1号起先在上市公司规模内施行,激励非上市的其余大中型企业实施。《规范》的公布,标志着我国企业内部控制规范体系建设获得巨大击穿,有行业人士和媒体甚至称之为中国版的“萨班斯法案”。
《企业内部控制基本规范》在实践中的应用规模,就当前来看,可以分为三类企业:一类是上市公司,这是务必要执行的。其次是国有企业。按国资委出台的风险管理指示要求,下属的企业都要全面贯彻风险管理。风险管理和内部控制是相通的。风险管理是战略方面,最后要落脚到内部控制。对这部分企业来讲,内控建设也是务必开展的。第三类就是私营企业。这一类公司没有有关主管部门,在《基本规范》的实行上,有较大的自由度,但是作为一个真正有商业头脑、有战略眼光的企业家应当要解决这个工作,毕竟从长远来说,这个花费是值得的。内部控制与全面风险管理运用的一部分误区
(1)把内部控制与全面风险管理体系的建设理解为建章立制。其实从COSO框架的定义中,我们可以看出它们都被清晰为是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或更多的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。
(2)内部控制体系和全面风险管理体系是相互独立的。建设内部控制和全面风险管理体系均为一个系统工程,两者以内涵上也有一定重合,企业需要综合考虑本身业务特点、发展阶段、信息技术条件、外部环境要求等,确定选择合适的管理体系和建设着重。比如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的急切性更强,企业以风险管理主导内部控制或许更方便。而在另一部分企业,为了符合信息披露中内部控制数据的要求,企业在内部控制系统为主导、兼顾风险管理或许更适合。在有关管理理论和实践持续发展改变的今天,有时候先做起来比争论更故意义。
(3)内部控制和全面风险管理的作用被夸大。有些企业对内部控制和风险管理体系的建设寄有过高期望,他们期望内部控制和风险管理可以保证企业的成就、保证财务数据的牢靠性和法律法规的遵循性。而事实上无论多么先进的内部控制和风险管理体系都只能为企业有关目标的达到供应合理的而非绝对的保证。
(4)内部控制与全面风险管理理念在企业实践落地难。受于新的管理理念和方法的引进,与国内企业原有的管理体系和看法存在较多的差异和差距,当前这些理念和方法还许多的处在导入阶段,大部分企业管理人士还不能在这些框架和概念与企业的日常运营管理举动和语言之间建立直接的联系。这产生了企业在这方面的理解有差异或者关注度不够,除非显现强制性的有关规范和要求。其实这些理念、概念的显现并没有是说企业就缺乏这些,事实是理论来因为实践又好于实践,这些理论的提出有利于我们将散布于企业管理方方面面的有关元素依照框架的要求和标准执行补充、修正和组合。
七、斯坦福大学研究院的企业全面风险管理框架
斯坦福大学研究院提出的是企业全面风险管理(CERM:Comphensive Enterprises Risk Management)框架。
企业全面风险管理(CERM:Comphensive Enterprises Risk Management)强调通过量化分析支撑下的决策分析,在决策方面上管控战略方向选择、巨大业务决策等方面的风险。相形之下,COSO风险管理框架在内控为中心,强调通过制度、流程和财务等手段,在业务方面上管控经营、操作过程中的风险。它可以在企业整体方面策划风险战略,构建内控体系,完善风险管理制度,优化流程和组织职能,为企业构建风险管理的长效机制,从根本上提高风险管理的效率和效果,最终帮助企业达到风险管理的各类目标,包含:
﹡ 建立包含风险识别、风险测评、风险应对和风险监控以内的企业风险管理体系
﹡ 利用系统的、科学的方法对各种风险执行识别和分析
﹡ 将风险应对措施落实到企业的制度、组织、流程和职能当中
﹡ 形成企业风险管理战略,支持企业运营战略目标的达到
﹡ 使所有企业利益有关人了解企业的风险,满足股东以及监管机构的要求
八、国内首要从事全面风险管理的咨询机构有:
北大纵横管理咨询集团企业内部控制和风险管理研究所
