第二章风险管理整合框架

第二章《企业风险管理——整合框架》基本理论一、《企业风险管理——整合框架》（简称ERM框架）的颁布1992年COSO发布的《内部控制——整合框架》虽然被许多企业采用，但理论界和实务界纷纷提出改进建议，认为其对风险强调不够，使得内部控制无法与企业风险管理相结合。2001年，COSO委托普华永道开发一个对于管理层评价和改进他们所在组织的企业内部控制的简便易行的框架。在此期间出现了安然公司破产事件、美国国会2002年出台了《2002公众公司会计改革和投资者保护法案》（萨班斯——奥克斯利法案），该法案是继美国《1933年证券法》、《1934年证券交易法》以来又一部具有里程碑意义的法律，该法案强调了公司内部控制的重要性，从管理层、内部审计以及外部审计等几个层面对公司内部控制做了具体规定，并设置了问责机制和相应的惩罚措施，成为继20世纪30年代美国经济危机以来，政府制定的涉及范围最广、处罚最严厉的公司法律。2004年，Treadway委员会下属的发起组织委员会(COSO)发布了《企业风险管理——整合框架》（ERM）①，该框架是在1992年COSO委员会颁布的内部控制框架基础上，吸收各方风险管理研究成果基础上提出的，是内部控制整体框架的延伸和扩展，一经推出，就迅速得到了推广。这个框架的显著变化是将内部控制上升至全面风险管理的高度来认识。COSO发布《企业风险管理——整合框架》的目的与当初发布风险管理框架的目的相似，是由于实务界存在对统一的概念性指南的需要。COSO希望新框架能够成为组织董事会和管理者的一个有用工具，用来衡量组织的管理团队处理风险的能力，并希望该框架能够成为衡量企业风险管理是否有效的一个标准。二、企业风险管理的定义《企业风险管理——整合框架》（简称ERM框架）指出，“全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。企业全面风险管理指贯穿整个组织的具有结构性、一致性和持续性的过程，以识别、评估、决定如何应对及报告影响组织目标实现的机遇和威胁。这是一个广义的风险管理定义，适用于各种类型的组织、行业和部门。该定义直接关注组织目标的实现，并且为衡量企业风险管理的有效性提供了基础。该定义强调：①本人认为COSO发布的《企业风险管理——整合框架》，具有较强的理论可取性和实践可行性，不但涵盖了内部控制整体框架的全部内容，而且有了更多的创新，必将全面替代COSO发布的内部控制整合框架，所以本书按照COSO发布的《企业风险管理——整合框架》来阐述。(1)企业的风险管理是一个过程，其本身并不是一个结果，而是实现结果的一种方式。企业的风险管理是渗透于组织各项活动中的一系列行动。这些行动普遍存在于管理者对组织的日常管理中，是组织日常管理所固有的。它仅是一种工具，是实现目标的工具而已。如果将风险管理看成是一个目标，就会为建立而建立，就会本末倒置，流于形式。(2)企业全面风险管理框架针对一类或几类相互独立但又存在重叠的目标，目的在于组织目标的实现。这里是一个非常明显的进步，这种进步不仅仅在于提出“风险管理框架针对一类或几类相互独立但又存在重叠的目标”风险管理的目标也是实现多个目标，这里的关键区别在于直接明确风险管理的终极目标是促进组织目标的实现，这就揭示了风险管理的目的，为风险管理指明了方向，同时这也是判断风险管理成功失败的唯一的标准，即风险管理能否有效促进组织目标的实现。（3）企业的风险管理是一个过程，一个系统的持续的动态过程。这里和风险管理的定义一样，强调风险管理也是一个过程，是动态的，组织经营管理环境的变化必然要求风险管理适应环境变化的要求，风险管理不仅仅是在某个特定时间里执行的政策和程序，不仅仅是一种工具，而是组织内部的各部门连续运作。是一个发现风险、处理风险、发现新风险、处理新风险的循环往复过程。它随着组织的目标的变化而变化，随着面临环境的变化而变化等等，这个过程不是僵化的，就象中国古语“世移时移，变法亦矣！”，这个世界唯一不变的是变化，否则就是刻舟求剑，缘木求鱼。同时，也强调风险管理是一个全面的系统过程，他不仅仅限于对某一事项和情况的处理，而是渗透到组织的每个方面，只有把风险管理嵌入到组织日常的管理过程中，才能发挥风险管理机制的作用。(4)企业风险管理是一个由人参与的过程，涉及一个组织各个层次的员工。定义一方面强调风险的管理不是高高在上，由组织的上层和董事会来实施并承担责任的，而是组织内每一个人的责任，强调人人有责任和义务参与风险管理，虽然参与的方式有所不同；另一方面也说明每一个员工所做的每一件事和每一份努力都和组织目标的实现、和风险的控制有直接的关系，培养员工的参与感，树立员工的主人翁意识和归属感，发自内心地关心企业的风险管理。(5)该过程可用于组织的战略制定。组织目标可以分为不同的层次，战略目标是组织最高层次的目标，它与组织的预期和任务相联系并支持预期和任务的实现。一个组织为实现其战略目标而制定战略，并将战略分解成相应的子目标，再将子目标层层分解到业务部门、行政部门和各生产过程。在制定战略时，管理者应考虑与不同的战略相关联的风险。（6）该风险管理过程应该应用于组织内部每个层次和部门，组织管理者对组织所面临的风险应有一个总体层面上的风险组合观。一个组织必须从全局、从总体层面上考虑组织的各项活动。企业的风险管理应考虑组织内所有层面的活动，从组织总体的活动(如战略计划和资源分配)到业务部门的活动(如市场部、人力资源部)，再到业务流程(如生产过程和新客户信用复核)。组织是一个整体，有一个整体总目标，虽然总目标分成很多分目标，但是分目标和总目标的实现不是矛盾的，而是统一的，分目标的实现有利于总目标的实现，否则，分目标就是失败的。这里在考虑分目标时，鼓励分析人员不要孤立地考虑问题，而是将分目标放在组织整体上来进行考虑，这样判断标准就非常清晰明确，从面上看点就更加全面，而不是管中窥豹，只见一斑，见树木而不见森林。(7)该过程是用来识别可能对组织造成潜在影响的事项并在组织风险偏好的范围内管理风险。风险偏好主要指对待风险的态度，具体指组织愿意承受的风险水平。不同组织，同一组织的不同领导人，其风险偏好各不相同，在不同的风险偏好下，风险管理的策略也不相同。风险管理的目的并非将风险降低到零，也并非将风险控制的越低越好，而是在考虑企业风险偏好的前提下，设计风险管理的模式和策略，从而达到企业风险管理的目的——将风险控制在企业可以接受的风险偏好范围内。(8)设计合理、运行有效的风险管理能够向组织的管理者和董事会在组织各目标的实现上提供合理的保证。一方面强调风险管理可以提供保证；另一方面也强调在完美的风险管理也不可能提供绝对的保证，任何情况下，风险都很难降到零，所以，风险管理只能提供合理的保证，迷信或片面夸大风险管理的效果是不恰当的。总之，企业风险管理是一个过程，企业风险管理的有效性是某一时点的一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理要素设计和执行是否正确的评估基础上的一个主观判断。企业的风险管理要有效，则其设计必须包括所有的要素并得到执行。企业风险管理可以从一个组织的总体来认识，也可以从一个单独的部门或多个部门的角度来认识。即使是站在某一特定的业务部门的角度来看待风险管理，所有的要素也都应作为基准包含在内。三、企业风险管理框架的构成要素企业风险管理框架分为内部环境、目标制定（设定）、事项识别、风险评估、风险反应（风险应对）、控制活动、信息和沟通、监控等八个相互关联的要素，各要素贯穿在组织的管理过程之中。（一）内部环境1、概念和作用所谓内部环境就是对组织风险管理的建立和实施有重大影响的因素的统称，是建立、加强或削弱特定政策和程序效率发生影响的各种因素的统称。任何组织的风险管理都存在于一定的环境之中，环境的好坏直接决定组织其他控制能否实施或实施的效果。组织的内部环境主要是指企业风险管理的环境，是其他所有风险管理要素的基础，为其他要素提供规则和结构，在企业风险管理的建立与实施中发挥着基础性作用。内部环境反映了董事会、管理层、业主和其他人员等对待控制（控制对于组织的重要性）的态度、认识和行动。它决定了一个组织的管理基调，提供组织纪律与架构，塑造组织文化，并影响着员工的控制意识。它是其他控制因素的基础，为风险管理界定纪律和结构。组织的内部环境不仅影响组织战略和目标的设定、业务活动的组织和对风险的识别、评估和反应，还影响组织控制活动、信息和沟通系统以及监控活动的设计和执行。这里的内部环境和控制环境相比，外延进一步扩大，这意味着在考虑风险管理时，不但考虑直接因素，还要考虑间接因素，一句话，考虑影响风险管理的全部环境。这里我认为把“内部环境”改为“风险管理环境”更恰当，因为“内部环境”从字面上来看让人感觉风险管理面临的风险及其需要考虑的环境仅仅局限于内部。2、内部环境的组成鉴于很多教材和观点依然以COSO的五要素整合框架为最权威的框架，关于内部环境的很多说法在很多方面和控制环境基本可以换用。IIA实务标准词汇表指出，“控制环境指董事会和管理层对组织风险管理重要性的态度及行动。内部环境为实现风险管理制度的主要目标提供规范和组织架构。内部环境包括以下要素：●诚信和职业道德价值观；●管理层的理念和经营风格以及思想和作风；●组织结构（包括治理结构）；●权力和责任的划分（授权和分配责任的方法）；●人力资源政策和实务；●人员的胜任能力。”除此以外，内部环境还应该包括董事会和审计委员会、发展战略、内部审计、企业文化、外部影响（影响本组织业务的各种外部关系，例如由银行指定代理人的检查）等。（1）管理的理念、方式和风格管理当局在建立一个有力的内部环境中起着关键的作用，风险管理只要得到高层的重视才能取得成功，如果主要领导人滥用职权，或者不相容职务串通舞弊，风险管理必然失效。这里主要考虑：管理当局对待风险态度和控制风险的方法；依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通；为实现组织目标，组织对管理的重视程度；管理当局对会计报表所持的态度和采取的行动；对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度。在这个因素中，领导的风格是一个非常重要的因素。①领导风格定义领导风格（Leadershipstyles）指一个组织中的管理者对经营管理的态度和处理事情的习惯做法。在组织中，领导风格与领导方式体现了组织的管理理念和经营风格，即一个组织对风险的态度、对财务的态度、决策方式和沟通方式等。②领导风格的分类根据组织条件和领导人的风格，可以把领导风格区分为任务驱动型和关系驱动型两类。任务驱动型是指领导着重考虑任务的分解、落实，相应地，在领导的过程中，领导者更倾向于应用权威进行命令式的指挥和根据目标随时进行强有力的控制。这种领导风格比较适宜于任务分工明确，组织稳定，内部关系清晰简单的组织状况。关系驱动型是指领导者更加注重通过理顺组织关系，通过沟通和协调来调动成员的工作积极性和能动性来完成组织任务。这一风格更多地适宜于任务分工要求较强的协作关系，技术性强，组织中专业人士较多，人际关系相对复杂的组织条件。③领导方式的分类领导风格和领导方式密不可分，领导方式因人而异，也因组织而异。一般地，根据组织的特征和管理者个人的偏好不同，领导方式可以分为自由放任式、民主式、结构化式和体贴式等。在一些任务比较特别，完成任务的过程中成员自主性较强，成员本身的责任感和专业能够保证其独立完成工作，管理者和员工之间具备充分的信任感的情况下，可以采用自由放任式的领导方式。在组织士气不振或分工不明确，环境复杂不利和目标难以达到的情况下，通过体贴员工，鼓励他们达到目标的方式就是体贴式。在组织专业能力较强，任务复杂多变，组织成员与管理者之间具有一定程度的信任感的情况下，民主化的领导方式有利于发挥专业人员的专业优势，同时也利于统一意见，鼓舞士气。在任务比较确定并且较为稳定的组织中，统称采用机构式的领导方式，按部就班地领导成员完成任务。在大多数