中美风险管理框架对比分析及对我国企业风险管理的建议(上)
开篇:润墨网以专业的文秘视角,为您筛选了一篇中美风险管理框架对比分析及对我国企业风险管理的建议(上)范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘要】在当前复杂多变的国际国内经济形势下,企业面临更多的风险。本文着重通过对美国《企业风险管理――整合框架》和我国《中央企业全面风险管理指引》及《企业内部控制基本规范》等企业风险管理体系的对比分析,提出我国企业进一步完善全面风险管理的建议。
【关键词】风险管理 框架
(一)美国COSO-ERM框架
2004年9月,COSO(全国虚假财务报告委员会下属的发起人委员会)在原有《内部控制――整合框架》的基础上了《企业风险管理――整合框架》(以下简称COSO-ERM框架)。该框架所定义的企业风险管理是指:企业风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。框架要求企业风险管理包括以下8个相互关联的构成要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
(二)我国企业风险管理框架
在我国,企业风险管理框架主要包括:2006年国资委的《中央企业全面风险管理指引》(以下简称《指引》)与2008年5月财政部的《企业内部控制基本规范》(以下简称《规范》)。《指引》所定义的全面风险管理是指“企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。”《规范》是在借鉴美国COSO报告的基础上对企业内部控制及风险管理所做的原则规定,《规范》将内部控制定义为由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。这些目标包括:实现企业发展战略;提高经营的效率和效果;保证企业经营管理合法合规;资产的安全;财务报告及相关信息真实完整。《规范》明确了内部环境、风险评估、控制活动、信息与沟通、内部监督构成了我国企业内部控制的五要素。
二、COSO-ERM框架与《指引》、《规范》的要素对比
(一)内部环境
内部环境是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。它影响着战略和目标如何制订、经营活动如何组织及如何识别、评估风险并采取行动。它还影响着控制活动、信息与沟通体系和监控措施的设计与运行。
表1是COSO-ERM框架与《指引》、《规范》三者(下称“3个框架”)关于内部环境要素的对比分析。
COSO-ERM框架特别强调企业管理层在确定公司文化方面的关键作用,指出了管理层表率作用的重要性,这种表率作用应不仅仅体现在口头上,更要体现在自己的行动中;同时,还着重强调企业的风险管理理念必须被很好地确立和理解、并为员工所信奉。《指引》从中央企业建立风险管理文化、确定可承受目标(即风险容量)和风险管理组织体系等几个方面提出了对中央企业全面风险管理工作的内部环境培育的具体要求。《规范》对内部环境要素的总体描述与COSO-ERM框架相同,并结合中国企业的实际情况,着重强调了建立规范的法人治理、机构设置的“扁平化”及建立并有效实施内部审计机制和反舞弊机制对于完善企业内部控制和风险管理的重要作用。
(二)目标设定
目标设定是事项识别、风险评估和风险应对的前提。在管理层识别和评估实现目标的风险并采取行动来管理风险之前,首先必须有目标。表2是3个框架关于目标设定要素的对比分析。
3个框架基本上都反应了相同或相似的管理和控制目标,那就是:战略目标、经营目标、报告目标、合规目标和保护资产的目标。其中战略目标是企业风险管理最高层次的目标。
(三)事项识别
事项是源于内部或外部的影响战略实施或目标实现的事故或事件。事项可能带来正面或负面的影响,或者两者兼而有之。带来负面影响的事项代表风险,它要求管理层予以评估和应对;带来正面影响的事项代表机会,管理层可以将其反馈到战略和目标设定过程之中。在对事项进行识别时,管理层要在组织的全部范围内考虑一系列可能带来风险和机会的内部和外部因素。表3列示了3个框架关于事项识别要素的对比分析。
COSO-ERM框架和《规范》关于企业风险管理和内部控制的外部因素和内部因素及相关事项的描述大致相同,均包括了经济因素、政治(法律)因素、社会因素、技术因素、自然环境因素、人员因素、基础结构因素、安全因素等等。《指引》以专门的一章对风险管理初始信息的搜集提出了详细的要求,它着重从企业战略风险、财务风险、市场风险、运营风险和法律风险等几个方面对应该搜集的初始信息进行了细化,充分体现了COSO-ERM框架和《规范》中所提及的相关因素及事项,对中央企业的信息搜集和事项识别具有指导意义。
(四)风险评估
一个主体要对其识别的风险进行分析,以便形成确定应该如何对风险进行管理的依据,这就是风险评估。风险评估使主体能够考虑潜在事项影响目标实现的程度。在企业风险管理中,风险评估这个构成要素贯穿于企业经营管理活动之中。表4是3个框架关于风险评估要素的比较分析。
3个框架关于风险评估的描述基本相同,都是通过定性或定量抑或两者结合的方法对潜在事项(风险因素)发生的可能性和影响程度进行分析,并根据风险的重要性水平,运用专业判断进行风险排序,重点关注重要风险。
(五)风险应对
在评估了相关的风险之后,企业就要确定如何去应对这些风险。表5是3个框架关于风险应对要素的对比分析。
3个框架基本上均给出了4种类型的风险应对策略,即风险回避策略、风险降低策略、风险分担策略和风险承受策略。企业要结合风险评估情况、企业整体风险承受能力和具体业务层次上的可接受风险水平选择风险应对策略,不同的业务、同一业务的不同时期都有不同的应对策略,同时,要根据实际情况选择风险应对的组合策略。《指引》还强调了企业要正确认识和把握风险和收益相平衡的原则。
(六)控制活动
控制活动是帮助确保管理层所选择的风险应对得以实施的政策和程序。它的发生贯穿于整个组织,遍及各个层级和各个职能部门。表6是3个框架关于风险应对要素的对比分析。
3个框架均强调了职责分离、信息处理、业绩指标、实物控制、高层复核、信息系统控制等重要的控制活动,《指引》与《规范》还强调了授权控制、审核批准控制、预算及分析评价控制、会计系统控制、记录控制等一系列控制活动,并突出了建立重大风险的预警制度、总法律顾问制度及涵盖各个环节的全流程控制。
(七)信息与沟通
一个组织中的各个层级都需要信息,以便识别、评估和应对风险,以及从其他方面去经营主体和实现其目标。而企业内部向下、平行和向上的沟通会促进信息的流动,确保正确的信息以合适的形式和时机传递给员工,以保证员工能履行企业风险管理和其他职责。表7是对3个框架中关于信息与沟通要素的对比分析。
3个框架要求企业要确保信息的质量,指出了设计与利用有效的信息系统并使之与企业的经营战略相结合,如ERP对企业风险管理的重要性;特别强调了要在企业内部通过向下、平行和向上的顺畅沟通,确保正确的信息、以正确的形式、按正确的详细程度、在正确的时间流向正确的人;同时也指出了企业进行外部沟通的方式。
(八)监控
一个主体的企业风险管理随着时间而变化,曾经有效的风险应对可能会变得不相关;控制活动可能会变得不太有效,或者不再被执行;主体的目标也可能变化。面对这些情况,需要对企业风险管理进行监控――随时对其构成要素的存在和运行进行评估。表8列示了3个框架关于监控要素的对比分析。
3个框架分别从不同的侧面对监控的方式、报告的内容、报告的层级及责任追究制度进行了阐述和要求。
三、COSO-ERM框架与《指引》、《规范》的对比小结
通过对COSO-ERM框架与《指引》、《规范》的对比分析,我们可以看出:目前,COSO-ERM框架体系仍然是世界上最具权威的全面风险管理框架体系,具有相当广泛的应用基础,认真研究和借鉴其8要素理念,对于我国企业进一步提高软实力,增强在国际市场上的竞争能力和抵御危机的能力至关重要。
《指引》虽然在形式上没有完全采纳COSO-ERM框架要素体系,但是其全面风险管理的内容也基本涵盖了COSO-ERM框架体系的8要素,并且在各要素方面更加细化,更加贴近我国中央企业实际,体现了国资委作为国有企业出资人的要求,是中央企业推行全面风险管理的纲领性文件。
《规范》全面吸收了COSO控制框架,不但在形式上借鉴了COSO报告5要素框架,同时在内容上体现了全面风险管理8要素框架的实质,它是我国第1部完整的内部控制规范,并且使我国企业内部控制规范一开始便与国际接轨,体现了高标准。虽然该规范从到正式实施间隔了近1年半的时间,但是在当前复杂多变的经济形势下,它对于指导我国企业如何加强风险管理和内部控制,切实练好“内功”,增强抵御金融危机冲击的能力必将起到现实的指导意义,因此,业界普遍把《规范》看成是中国版的萨班斯法案。
因此,作为我国企业来说,深入学习和领会《指引》、《规范》的要求及COSO-ERM框架,既有利于企业适应国家法律和相关部门的监管要求,特别是出资人的要求,也有利于企业扬长避短,借鉴与吸收国外先进的风险管理经验,提高被国际市场认可的管理能力和综合竞争力,“强身健体”,提高企业应对金融危机乃至其他各种挑战的能力。以下笔者从企业风险管理的8个构成要素出发,对我国企业的风险管理工作提出相关改进建议,供企业在经营管理过程中借鉴与参考。