企業(yè)風險管理—— 整合框架
內(nèi)容摘要
(簡體中文翻譯:中國東北財經(jīng)大學方紅星教授)
內(nèi)容摘要
企業(yè)風險管理的基礎(chǔ)性前提是每一個主體的存在都是為它的利益相關(guān)者提供價值。所有的主體都面臨不確定性,管理當局所面臨的挑戰(zhàn)就是在為增加利益相關(guān)者價值而奮斗的同時,要確定承受多大的不確定性。不確定性可能會破壞或增加價值,因而它既代表風險,也代表機會。企業(yè)風險管理使管理當局能夠有效地應(yīng)對不確定性以及由此帶來的風險和機會,增進創(chuàng)造價值的能力。
當管理當局通過制訂戰(zhàn)略和目標,力求實現(xiàn)增長和報酬目標以及相關(guān)的風險之間的最優(yōu)平衡,并且在追求所在主體的目標的過程中高效率和有效地調(diào)配資源時,價值得以最大化。
企業(yè)風險管理包括:
" 協(xié)調(diào)風險容量(risk appetite)① 與戰(zhàn)略——管理當局在評價備選的戰(zhàn)略、設(shè)定相關(guān)目標和建立相關(guān)風險的管理機制的過程中,需要考慮所在主體的風險容量。
" 增進風險應(yīng)對決策——企業(yè)風險管理為識別和在備選的風險應(yīng)對——風險回避、降低、分擔和承受——之間進行選擇提供了嚴密性。
" 抑減經(jīng)營意外和損失——主體識別潛在事項和實施應(yīng)對的能力得以增強,抑減了意外情況以及由此帶來的成本或損失。
" 識別和管理多重的和貫穿于企業(yè)的風險——每一家企業(yè)都面臨影響組織的不同部分的一系列風險,企業(yè)風險管理有助于有效地應(yīng)對交互影響,以及整合式地應(yīng)對多重風險。
" 抓住機會——通過考慮全面范圍內(nèi)的潛在事項,促使管理當局識別并積極地實現(xiàn)機會。
" 改善資本調(diào)配——獲取強有力的風險信息,使得管理當局能夠有效地評估總體資本需求,并改進資本配置。
企業(yè)風險管理所固有的這些能力幫助管理當局實現(xiàn)所在主體的業(yè)績和贏利目標,防止資源損失。企業(yè)風險管理有助于確保有效的報告以及符合法律和法規(guī),還有助于避免對主體聲譽的損害以及由此帶來的后果。總之,企業(yè)風險管理不僅幫助一個主體到達期望的目的地,還有助于避開前進途中的隱患和意外。
事項——風險與機會
事項可能會帶來負面的影響,也可能會帶來正面的影響,抑或二者兼而有之。帶來負面影響的事項代表風險,它會妨礙價值創(chuàng)造或者破壞現(xiàn)有價值。帶來正面影響的事項可能會抵消負面影響,或者說代表機會。機會是一個事項將會發(fā)生并對目標——支持價值創(chuàng)造或保持——的實現(xiàn)產(chǎn)生正面影響的可能性。管理當局把機會反饋到戰(zhàn)略或目標制訂過程中,以便制訂計劃去抓住機會。
① 也有人將其翻譯為“風險偏好”、“風險需求”、“風險承受能力”等——譯者注。
所定義的企業(yè)風險管理
企業(yè)風險管理處理影響價值創(chuàng)造或保持的風險和機會,定義如下:
企業(yè)風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應(yīng)用于戰(zhàn)略制訂并貫穿于企業(yè)之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內(nèi),并為主體目標的實現(xiàn)提供合理保證。
這個定義反映了幾個基本概念。
企業(yè)風險管理是:
" 一個過程,它持續(xù)地流動于主體之內(nèi);
" 由組織中各個層級的人員實施;
" 應(yīng)用于戰(zhàn)略制訂;
" 貫穿于企業(yè),在各個層級和單元應(yīng)用,還包括采取主體層級的風險組合觀;
" 旨在識別一旦發(fā)生將會影響主體的潛在事項,并把風險控制在風險容量以內(nèi);
" 能夠向一個主體的管理當局和董事會提供合理保證;
" 力求實現(xiàn)一個或多個不同類型但相互交叉的目標。
這個定義比較寬泛。它抓住了對于公司和其他組織如何管理風險至關(guān)重要的關(guān)鍵概念,為不同組織形式、行業(yè)和部門的應(yīng)用提供了基礎(chǔ)。它直接關(guān)注特定主體既定目標的實現(xiàn),并為界定企業(yè)風險管理的有效性提供了依據(jù)。
目標的實現(xiàn)
在主體既定的使命或愿景(vision)①范圍內(nèi),管理當局制訂戰(zhàn)略目標、選擇戰(zhàn)略,并在企業(yè)內(nèi)自上而下設(shè)定相應(yīng)的目標。企業(yè)風險管理框架力求實現(xiàn)主體的以下四種類型的目標:
" 戰(zhàn)略(strategic)目標 ——高層次目標,與使命相關(guān)聯(lián)并支撐其使命;
" 經(jīng)營(operations)目標——有效和高效率地利用其資源;
" 報告(reporting)目標——報告的可靠性;
" 合規(guī)(compliance)目標——符合適用的法律和法規(guī)。
對主體目標的這種分類可以使我們關(guān)注企業(yè)風險管理的不同側(cè)面。這些各不相同但卻相互交叉的類別——一個特定的目標可以歸入多個類別,反映了主體的不同需要,而且可能會成為不同管理人員的直接責任。這個分類還有助于區(qū)分從每一類目標中能夠期望的是什么。一些主體采用的另一類目標——保護資源也包含在上述類別之內(nèi)。
① 也有人將其翻譯為“遠景”、“遠景規(guī)劃”、“長遠構(gòu)想”等——譯者注。
因為有關(guān)報告的可靠性和符合法律、法規(guī)的目標在主體的控制范圍之內(nèi),所以可以期望企業(yè)風險管理為實現(xiàn)這些目標提供合理保證。但是,戰(zhàn)略目標和經(jīng)營目標的實現(xiàn)取決于并不一定總在主體控制范圍之內(nèi)的外部事項,對于這些目標而言,企業(yè)風險管理能夠合理地保證管理當局和起監(jiān)督作用的董事會及時地了解主體朝著實現(xiàn)目標前進的程度。
企業(yè)風險管理的構(gòu)成要素
企業(yè)風險管理包括八個相互關(guān)聯(lián)的構(gòu)成要素。它們來源于管理當局經(jīng)營企業(yè)的方式,并與管理過程整合在一起。
這些構(gòu)成要素是:
" 內(nèi)部環(huán)境——內(nèi)部環(huán)境包含組織的基調(diào),它為主體內(nèi)的人員如何認識和對待風險設(shè)定了基礎(chǔ),包括風險管理理念和風險容量、誠信和道德價值觀,以及他們所處的經(jīng)營環(huán)境。
" 目標設(shè)定——必須先有目標,管理當局才能識別影響目標實現(xiàn)的潛在事項。企業(yè)風險管理確保管理當局采取適當?shù)某绦蛉ピO(shè)定目標,確保所選定的目標支持和切合該主體的使命,并且與它的風險容量相符。
" 事項識別——必須識別影響主體目標實現(xiàn)的內(nèi)部和外部事項,區(qū)分風險和機會。機會被反饋到管理當局的戰(zhàn)略或目標制訂過程中。
" 風險評估——通過考慮風險的可能性和影響來對其加以分析,并以此作為決定如何進行管理的依據(jù)。風險評估應(yīng)立足于固有風險和剩余風險。
" 風險應(yīng)對——管理當局選擇風險應(yīng)對——回避、承受、降低或者分擔風險——采取一系列行動以便把風險控制在主體的風險容限(risk tolerance)①和風險容量以內(nèi)。
" 控制活動——制訂和執(zhí)行政策與程序以幫助確保風險應(yīng)對得以有效實施。
" 信息與溝通——相關(guān)的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。有效溝通的含義比較廣泛,包括信息在主體中的向下、平行和向上流動。
" 監(jiān)控——對企業(yè)風險管理進行全面監(jiān)控,必要時加以修正。監(jiān)控可以通過持續(xù)的管理活動、個別評價或者兩者結(jié)合來完成。
企業(yè)風險管理并不是一個嚴格的順次過程,一個構(gòu)成要素并不是僅僅影響接下來的那個構(gòu)成要素。它是一個多方向的、反復的過程,在這個過程中幾乎每一個構(gòu)成要素都能夠、也的確會影響其他構(gòu)成要素。
目標與構(gòu)成要素之間的關(guān)系
目標是指一個主體力圖實現(xiàn)什么,企業(yè)風險管理的構(gòu)成要素則意味著需要什么來實現(xiàn)它們,二者之間有著直接的關(guān)系。這種關(guān)系可以通過一個三維矩陣以立方體的形式表示出來。
① 也有人將其翻譯為“風險容忍度”、“風險承受力”等——譯者注。
四種類型的目標——戰(zhàn)略、經(jīng)營、報告和合規(guī)——用垂直方向的欄表示,八個構(gòu)成要素用水平方向的行表示,而一個主體內(nèi)的各個單元則用第三個維度表示。這種表示方式使我們既能夠從整體上關(guān)注一個主體的企業(yè)風險管理,也可以從目標類別、構(gòu)成要素或主體單元的角度,乃至其中的任何一個分項的角度去加以認識。
有效性
認定一個主體的企業(yè)風險管理是否“有效”,是在對八個構(gòu)成要素是否存在和有效運行進行評估的基礎(chǔ)之上所作的判斷。因此,構(gòu)成要素也是判定企業(yè)風險管理有效性的標準。構(gòu)成要素如果存在并且正常運行,那么就可能沒有重大缺陷,而風險則可能已經(jīng)被控制在主體的風險容量范圍之內(nèi)。
如果確定企業(yè)風險管理在所有四類目標上都是有效的,那么董事會和管理當局就可以合理保證他們了解主體實現(xiàn)其戰(zhàn)略和經(jīng)營目標、主體的報告可靠以及符合適用的法律和法規(guī)的程度。
八個構(gòu)成要素在每個主體中的運行并不是千篇一律的。例如,在中小規(guī)模主體中的應(yīng)用可能不太正式,不太健全。盡管如此,當八個構(gòu)成要素存在且正常運行時,小規(guī)模主體依然會擁有有效的企業(yè)風險管理。
局 限
盡管企業(yè)風險管理帶來了重要的好處,但是仍然存在著局限。除了前面討論過的因素之外,局限還導源于下列現(xiàn)實:人類在決策過程中的判斷可能有紕漏,有關(guān)應(yīng)對風險和建立控制的決策需要考慮相關(guān)的成本和效益,類似簡單誤差或錯誤的個人缺失可能會導致故障的發(fā)生,控制可能會因為兩個或多個人員的串通而被規(guī)避,以及管理當局有能力凌駕于企業(yè)風險管理決策之上。這些局限使得董事會和管理當局不可能就主體目標的實現(xiàn)形成絕對的保證。
涵蓋內(nèi)部控制
內(nèi)部控制是企業(yè)風險管理不可分割的一部分。這份企業(yè)風險管理框架涵蓋了內(nèi)部控制,從而構(gòu)建了一個更強有力的概念和管理工具。內(nèi)部控制是在《內(nèi)部控制——整合框架》中加以定義和描述的。由于該框架經(jīng)受了時間的考驗,并且成為現(xiàn)行規(guī)則、法規(guī)和法律的基礎(chǔ),因此那份文件對內(nèi)部控制的定義和框架依然有效。盡管《內(nèi)部控
制——整合框架》的正文中只有一部分被本框架所引用,但是本框架通過參考的方式把該框架整體融合了進來。
職能與責任
主體中的每個人都對企業(yè)風險管理負有一定的責任。首席執(zhí)行官(CEO)負有首要責任,并且應(yīng)當假設(shè)其擁有所有權(quán)。其他管理人員支持主體的風險管理理念,促使符合其風險容量,并在各自的責任范圍內(nèi)依據(jù)風險容限去管理風險。風險官、財務(wù)官、內(nèi)部審計師等通常負有關(guān)鍵的支持責任。主體中的其他人員負責按照既定的指引和規(guī)程去實施企業(yè)風險管理。董事會對企業(yè)風險管理提供重要的監(jiān)督,并察覺和認同主體的風險容量。很多外部方面,例如顧客、賣主、商業(yè)伙伴、外部審計師、監(jiān)管者和財務(wù)分析師常常提供影響企業(yè)風險管理的有用信息,但是他們不但不對主體的企業(yè)風險管理的有效性承擔任何責任,而且也不是它的組成部分。
本報告的結(jié)構(gòu)
本報告分兩卷。第一卷包括“基本框架”和本部分“內(nèi)容摘要”。“基本框架”給企業(yè)風險管理下定義,并講述原則和概念,為企業(yè)和其他組織中的各級管理人員提供用來評價和增進企業(yè)風險管理有效性的指導。“內(nèi)容提要”是一個針對首席執(zhí)行官、其他高級管理人員、董事會成員和監(jiān)管者的高度概括。第二卷《應(yīng)用技術(shù)》(Application Techniques),講解在應(yīng)用本框架各個要素的過程中有用的技術(shù)。
本報告的使用
根據(jù)本報告的建議所可能采取的行動,取決于相關(guān)方面的地位和職責:
" 董事會——董事會應(yīng)當與高級管理人員討論主體企業(yè)風險管理的現(xiàn)狀,并提供必要的監(jiān)督。董事會應(yīng)當確信知悉最重大的風險,以及管理當局正在采取的行動和如何確保有效的企業(yè)風險管理。董事會應(yīng)當考慮尋求內(nèi)部審計師、外部審計師和其他方面的參與。
" 高層管理當局——本項研究建議首席執(zhí)行官評估組織的企業(yè)風險管理能力。方法之一是,首席執(zhí)行官把業(yè)務(wù)單元(business unit)領(lǐng)導和關(guān)鍵職能機構(gòu)人員召集到一起,討論對企業(yè)風險管理能力和有效性的初步評價。不管采取什么方式,初步評估應(yīng)該確定是否需要以及如何進行更廣泛、更深入的評價。
" 主體中的其他人員——管理人員和其他人員應(yīng)該考慮如何根據(jù)本框架去履行他們的職責,并與更高層的人員討論有關(guān)加強企業(yè)風險管理的看法。內(nèi)部審計師應(yīng)該考慮他們關(guān)注企業(yè)風險管理的范圍。
" 監(jiān)管者——本框架能增進有關(guān)企業(yè)風險管理的共識,包括它能干什么,以及它的局限。監(jiān)管者在對他們所監(jiān)管的主體采用規(guī)則或指南等形式設(shè)定期望,或進行檢查時,可以參考本框架。
" 專業(yè)組織——為財務(wù)管理、審計和相關(guān)領(lǐng)域提供指南的規(guī)則制定機構(gòu)和其他專業(yè)組織應(yīng)該對照本框架去考慮它們的準則和指南。消除概念和術(shù)語方面的差別,對所有各方都有好處。
" 教育機構(gòu)——本框架可以作為學術(shù)研究和分析的對象,以便探討在哪些方面還能作進一步的改進。假設(shè)本報告能夠被普遍接受的話,它的概念和術(shù)語應(yīng)該設(shè)法進入大學的課程之中。
有了這個共同理解的基礎(chǔ),所有各方將能夠用同一種語言講話,更有效地進行溝通。企業(yè)的執(zhí)行官將能夠?qū)φ找惶讟藴嗜ピu估他們公司的企業(yè)風險管理過程,強化這個過程從而使他們的企業(yè)朝著既定的目標邁進。將來的研究可以建立在一個既定的基礎(chǔ)之上。立法者和監(jiān)管者將能夠獲得對企業(yè)風險管理的更深入的理解,包括它的好處和局限。如果所有各方都利用共同的企業(yè)風險管理框架,這些好處都將實現(xiàn)。
(聲明:本站所使用圖片及文章如無注明本站原創(chuàng)均為網(wǎng)上轉(zhuǎn)載而來,本站刊載內(nèi)容以共享和研究為目的,如對刊載內(nèi)容有異議,請聯(lián)系本站站長。本站文章標有原創(chuàng)文章字樣或者署名本站律師姓名者,轉(zhuǎn)載時請務(wù)必注明出處和作者,否則將追究其法律責任。) |
