WORD格式 可编辑
新版COSO《企业风险管理框架》:有哪些变化?
2016-12-15
6月24日,反虚假财务报告委员会下属发起组织委员会(COSO)发布《企业风险管理:风险与战略和绩效的协调》,以向公众征求意见,截止日期为2016年9月30日。1熟悉2004版《企业风险管理综合框架》的人可能不会将以此为更新基础的新版框架视为“全新”概念,但他们会发现新框架的关注点已截然不同,它所关注的是如何使企业风险管理(ERM)在组织机构内真正行之有效。
为什么要更新?对过去十年的回顾与总结
自原始框架于2004年刊发以来,实施该框架的企业便面临各种问题,而最大的干扰来自在美国上市的企业不得不全力以赴应对《萨班斯法案》合规工作。
当然框架的实施还面临其他挑战:
?
企业风险管理的实施范围往往并不面向整个组织机构,并且很少被运用到战略制定中。如此一来,COSO框架在对企业风险管理进行定义时所强调的最重要亦是最独具一格的一点——“应用于战略制定过程中和整个企业中”在实践中却被误读或无视。
? COSO最初在编制框架时采用了类似于内部控制框架所使用的立方体。虽然COSO对立方体右侧的内容进行了修改,删除了有关活动和流程,改为侧重于范围更广的实体和运营单位及分支机构,但许多企业依然试图在过于细微的层面实施该框架,例如运用于流程层面而非战略制定。企业风险管理的实施活动也因此陷于细节的泥潭,令许多C级高管迅速失去兴趣。
? 许多组织机构将企业风险管理作为一种保证活动来实施,而不是将其视为一种更佳的企业管理方式。在和运营单位的领导们打交道时,这种方法无疑是失败的,特别是在有关活动又由内部审计部门主导的情况下。
? 2008年金融危机所引发的经济大萧条令许多企业进入危机应对模式,企业风险管理的实施也因此受到影响。
专业知识 整理分享
WORD格式 可编辑
? 最终,还是影响深远的突发性重大事件重新引起了对企业风险管理的真正兴趣,包括2008年的金融危机和2011年的日本海啸。
简而言之,在COSO公布框架之初高管人员对它的关注度便有限,实施活动自那时起就参差不齐。
鉴于上述原因,企业风险管理框架在早些年并未获得施展拳脚的机会。直至金融危机爆发,许多企业高管都并不知晓该框架抑或不确定应如何应对。然而,金融危机爆发后,有关问题和价值主张便开始明朗起来。
众所周知,一个完全失控的行业触发了一场惨烈的全球性金融危机。这场危机就未知事项的潜能给人们上了宝贵的一课,“黑天鹅”这种词汇也在业界流行开来。所有的经验教训再次印证了有效风险管理的几大关键要素的重要性,包括不遗余力的董事会、全力支持的首席执行官、开放透明的企业文化、能够有效平衡长短期利益的薪酬结构,以及最为重要的一点——管理层在察觉危险来临时能够反其道而为之的决心和毅力,而所有这些要素的获得离不开对企业风险管理持之以恒的坚持和保护。
危机过后,先行者的价值和优势更是一目了然。董事会开始提出不同以往和更急尖锐的问题,CEO们也开始想方设法与董事会开展对话,以引起整个企业对有关风险事项的关注和重视。
值得注意的另一现象是,持续剧烈变化的商业环境正在不断关压缩商业模式的半衰期。一种以前所未有的速度摧毁既定商业模式的强大趋势正在形成,稳步发展的数字化技术只是冰山一角,它不仅能够让消费者和企业轻而易举地获取史无前例的海量信息,而且也会快速地制造有关他们的信息。此外,还有席卷阿拉伯世界的所谓“阿拉伯之春”的革命浪潮、日益加剧的民族情绪和紧张的地缘政治局势、人口老龄化、对网络的依赖、不断扩大的收入差距、伊斯兰国哈里发恐怖主义的兴起、涌动的难民潮,以及更近一些的油价暴跌,种种负面事件不胜枚举。
总的来说,在2004版框架实施水平参差不齐,2004年以来各种戏剧性风险管理失效事件并发,以及商业环境日益复杂的共同叠加作用影响下,对框架做出更明晰阐释的呼声日渐高涨。
专业知识 整理分享
WORD格式 可编辑
现实再清楚不过:要想战胜各类突发中断性事件,企业领导必须能够迅速识别有关变化的重要迹象,以及自己的市场和商业模式可能会受到的影响。
总的来说,在2004版框架实施水平参差不齐,2004年以来各种戏剧性风险管理失效事件并发,以及商业环境日益复杂的共同叠加作用影响下,对框架做出更明晰阐释的呼声日渐高涨。在此呼声中,COSO发现他们恰可以借此机会:将企业风险管理和各利益相关方的期望更明确地联系在一起;将风险与企业绩效挂钩,而非将风险作为一种独立的活动来关注;以及改善企业对未知的预期和准备。事实上,作为先行者的企业并非只是把潜在变化当作潜在危机来对待,他们也从中寻求潜在的市场机遇。 有哪些新变化?基于风险的方法
COSO的新框架基于以下这样一个基本假设:即每个企业存在的目的均旨在为利益相关方提供价值,但在价值追求过程中会面临不确定性。“不确定性”一词被定义为未知的事项,而“风险”则定义为,该等不确定性对制定和执行业务战略以及实现业务目标造成的影响。因此,新的框架认为:
管理层面临的一大挑战是确定企业准备接受和能够接受多少不确定性,亦即多少风险。有效的“企业风险管理”能够使管理层在权衡风险和机遇的同时,提升企业创造、保护和最终实现价值的能力。
对风险与价值之间关系的着意强调亦体现于COSO对企业风险管理定义的简化和关注点的重新界定:
企业赖以管理价值创造、保护和实现风险、且与战略制定及执行有机结合的文化、能力及实践。
新框架的标题便暗示了风险与战略以及企业绩效之间日益重要的连结关系。COSO表示新框架:
专业知识 整理分享
WORD格式 可编辑
? ? ? ?
更深入地探讨了战略以及企业风险管理在战略制定和执行中的角色; 优化了企业绩效与企业风险管理之间的协调关系; 涵盖了治理和监督预期;
提及了市场和运营的持续全球化趋势,以及在不同地域采取通用(尽管亦有量体裁衣之考量)做法的必要性;
? ? ?
提供了将风险置于更复杂商业环境下进行考量的新方法; 将提升利益相关方透明度的预期纳入风险报告范围; 涵盖了对决策起支持作用的科学技术进步及数据分析手段。
COSO在更新过后的框架里介绍了五大要素,并且如2013年更新内部控制框架时为每个要素罗列了相关原则。我们将在下文讨论各大要素及其原则。
风险治理和风险文化是确保企业风险管理行之有效的强大基石。
风险治理和文化的重要性
新框架的第一大要素为企业风险管理其他四大要素提供了基础。风险治理确定企业的基调,强化并确立企业风险管理的监督职责。文化则事关道德价值、具责任感的企业行为、对业务环境的了解,并且体现于决策过程中。风险治理和风险文化是确保企业风险管理行之有效的强大基石。该基本要素涉及六个原则。 风险治理和文化
1. 履行董事会风险监督职能 2. 建立治理和运营模式 3. 定义理想的企业行为 4. 恪守诚信和职业道德 5. 实施问责
6. 吸引、发展和留任优秀人才
专业知识 整理分享
WORD格式 可编辑
履行董事会风险监督职能——风险治理和文化始自企业最高层,即董事会的影响和监督。董事会必须担负起风险监督的职责,并具备提供有关监督所必需的技能、经验和业务知识。当董事会大多由独立人员组成时,便可对执行管理层和整个企业起到有效的监督和制衡作用。
COSO表示“战略执行风险”并不是战略制定过程中需要考虑的唯一风险维度,还有另外两个维度要考虑,因为它们可能会对企业风险特征产生重大影响。
建立治理和运营模式——一个企业的战略执行,体现于管理层为实现企业目标而对日常经营活动的组织和执行中。由于运营模式一般包含法务和管理架构以及相应的报告路径,因此如何管理和治理该模式可能会触及一些新的和不同的风险或复杂情况,进而影响到企业执行战略、管理风险及实现目标。
定义理想的企业行为——COSO对理想企业行为的界定乃基于企业的核心风险价值观及态度。不论企业认为自己是风险厌恶型、风险中立型或风险激进型,COSO都建议它们培养一种风险意识文化。这种文化的特点包括:英明果断的领导力、当仁不让的管理风格、对行动和行动结果认真负责的态度、决策过程中对风险的明确考量,以及积极开放的风险对话。这些特征确保风险可以被纳入日常业务。
恪守诚信和职业道德——值得注意的是,COSO关注的是贯彻于整个企业的基调。虽然高层基调由管理层和董事会的运营风格及个人行为所决定,但他们的基调必须渗透至企业各个层面。这意味着中层基调必须与高层保持一致,唯有如此,基层基调才能够反应理想的核心价值及风险态度。
横跨整个企业的基调应是无界的,也就是说,企业人员及其业务合作伙伴都必须积极响应管理层和董事会设定的预期。因此,必须建立和评价有关行为准则,任何偏离这些准则的行为都必须予以及时处理。对于如何建立恰当的基调,坦诚地沟通有关风险及风险承担情况是至关重要的。
实施问责——企业各级人员都必须对企业风险管理负责。企业自身首先必须担负起提供适当的企业风险管理准则和指引的重任。这种问责制应始于董事会和CEO,并通过适当的绩效预期、激励和奖励机制从上到下渗透至整个企业。董事会和CEO必须时刻保持警惕,确保企业内部的压力不会造成不负责任的和/或违法行为。
专业知识 整理分享
新版COSO《企业风险管理框架》
