近期,COSO发布了新版(2017版)的企业风险管理框架:《企业风险管理—与战略和业绩的整合》。相较于2004年发布的上一版框架《企业风险管理—整合框架》,新框架强调了制定战略和提升绩效过程中的风险。
该版本框架主要分为两个部分:
第一部分提供了对当前和不断发展的企业风险管理概念和应用的看法。
第二部分为框架内容,由五种易于理解的部分构成,这五部分容纳了不同的观点和执行结构,并加强了战略和决策的制定。
2017版的框架在哪些方面做了更新呢?我们为大家做了简单的翻译整理
COSO的新框架基于以下这样一个基本假设:即每个企业存在的目的均旨在为利益相关方提供价值,但在价值追求过程中会面临不确定性。“不确定性”一词被定义为未知的事项,而“风险”则定义为,该等不确定性对制定和执行业务战略以及实现业务目标造成的影响。因此,新的框架认为:
管理层面临的一大挑战是确定企业准备接受和能够接受多少不确定性,亦即多少风险。有效的“企业风险管理”能够使管理层在权衡风险和机遇的同时,提升企业创造、保护和最终实现价值的能力。
对风险与价值之间关系的着意强调亦体现于COSO对企业风险管理定义的简化和关注点的重新界定:
企业赖以管理价值创造、保护和实现风险、且与战略制定及执行有机结合的文化、能力及实践。
新框架的标题便暗示了风险与战略以及企业绩效之间日益重要的连结关系。COSO表示新框架:
更深入地探讨了战略以及企业风险管理在战略制定和执行中的角色;
优化了企业绩效与企业风险管理之间的协调关系;
涵盖了治理和监督预期;
提及了市场和运营的持续全球化趋势,以及在不同地域采取通用(尽管亦有量体裁衣之考量)做法的必要性;
提供了将风险置于更复杂商业环境下进行考量的新方法;
将提升利益相关方透明度的预期纳入风险报告范围;
涵盖了对决策起支持作用的科学技术进步及数据分析手段。
COSO在更新过后的框架里介绍了五大要素,并且如2013年更新内部控制框架时为每个要素罗列了相关原则。我们将在下文讨论各大要素及其原则。
风险治理和文化的重要性
新框架的第一大要素为企业风险管理其他四大要素提供了基础。风险治理确定企业的基调,强化并确立企业风险管理的监督职责。文化则事关道德价值、具责任感的企业行为、对业务环境的了解,并且体现于决策过程中。风险治理和风险文化是确保企业风险管理行之有效的强大基石。该基本要素涉及六个原则。
1.履行董事会风险监督职能
风险治理和文化始自企业最高层,即董事会的影响和监督。董事会必须担负起风险监督的职责,并具备提供有关监督所必需的技能、经验和业务知识。当董事会大多由独立人员组成时,便可对执行管理层和整个企业起到有效的监督和制衡作用。
2.建立治理和运营模式
一个企业的战略执行,体现于管理层为实现企业目标而对日常经营活动的组织和执行中。由于运营模式一般包含法务和管理架构以及相应的报告路径,因此如何管理和治理该模式可能会触及一些新的和不同的风险或复杂情况,进而影响到企业执行战略、管理风险及实现目标。
3.定义理想的企业行为
COSO对理想企业行为的界定乃基于企业的核心风险价值观及态度。不论企业认为自己是风险厌恶型、风险中立型或风险激进型,COSO都建议它们培养一种风险意识文化。这种文化的特点包括:英明果断的领导力、当仁不让的管理风格、对行动和行动结果认真负责的态度、决策过程中对风险的明确考量,以及积极开放的风险对话。这些特征确保风险可以被纳入日常业务。
4.恪守诚信和职业道德
值得注意的是,COSO关注的是贯彻于整个企业的基调。虽然高层基调由管理层和董事会的运营风格及个人行为所决定,但他们的基调必须渗透至企业各个层面。这意味着中层基调必须与高层保持一致,唯有如此,基层基调才能够反应理想的核心价值及风险态度。
横跨整个企业的基调应是无界的,也就是说,企业人员及其业务合作伙伴都必须积极响应管理层和董事会设定的预期。因此,必须建立和评价有关行为准则,任何偏离这些准则的行为都必须予以及时处理。对于如何建立恰当的基调,坦诚地沟通有关风险及风险承担情况是至关重要的。
5.实施问责
企业各级人员都必须对企业风险管理负责。企业自身首先必须担负起提供适当的企业风险管理准则和指引的重任。这种问责制应始于董事会和CEO,并通过适当的绩效预期、激励和奖励机制从上到下渗透至整个企业。董事会和CEO必须时刻保持警惕,确保企业内部的压力不会造成不负责任的和/或违法行为。
针对这一点,COSO表示可能导致发生上述行为的过大压力往往来自:不切实际的绩效目标、不同利益相关方相互冲突的业务目标,以及短期财务绩效奖励与长期利益相关方预期(例如企业的可持续性目标)脱节。COSO还称,这种压力既可能来自企业内部(例如企业不合时宜的绩效奖励或战略变更),也可能来自企业外部(例如影响销售业绩的客户需求发生了变化或一项颠覆性的改变影响了企业的运营模式)。
6.吸引、发展和留任优秀人才
最后,风险治理和文化还要认识到根据企业目标积累人力资本和人才的重要性。管理层必须界定执行战略所必需的知识、技能和经验;制定适当的绩效预期;吸引、发展和留任合适的人员及战略合作伙伴;以及安排好继任计划。
从多方位关注战略制定
许多企业将关注点放在识别战略执行风险上。然而,在企业风险管理的第二大要素中,COSO表示“战略执行风险”并不是战略制定过程中需要考虑的唯一风险维度,还有另外两个维度要考虑,因为它们可能会对企业风险特征产生重大影响。第二个维度是“战略可能会不符合”企业的使命、愿景和核心价值,而后者体现的正是企业想要实现的目标及意图采取的开展模式。一个错位的战略将增加企业无法实现使命的风险,即使有关战略获得成功实施。
需要考虑的第三个维度是“所选战略的影响”。COSO这样表述道↓
管理层在制定战略以及与董事会讨论其他可能的选择时,他们会就战略中所固有的利弊做出权衡。每个可能的战略都有其自身的风险特征——这就是战略的影响。董事会和管理层需要考虑有关战略是否与企业的风险偏好一致,以及它会如何推动企业制定目标,并最终对资源做出有效分配。
总之,通过明确战略制定流程需考虑的所有三个维度,COSO新框架将有关战略的讨论及企业风险管理与战略的结合提升至一个新层次。企业风险管理的风险战略及目标制定要素涉及五大原则。
7.考虑风险和业务环境
新框架透过内外部环境来审视业务环境。它也考虑内外部利益相关方的角色,因为他们可能会给内外部环境带来重大改变。重要的是管理层必须考虑业务环境变化所产生的风险,并在执行战略和实现业务目标的过程中予以灵活应对。
8.定义风险偏好
企业依据价值的创造、保护和实现来界定风险偏好。制定战略要考虑风险偏好