COSO企业风险管理框架
企业财务风险管理研究——基于COSO-ERM框架
1引言COSO-ERM框架,即风险管理整体框架。
1992年COSO 委员会发表了《内部控制-整合框架》,旨在促进企业对内部控制体系进行评价以及完善,并于1994年对该框架进行了增补。
在2004年,随着企业管理的重点逐渐转移到企业的风险管理层面,企业急需一个更为高效的风险管理框架,以帮助企业识别和应对运营风险,减少或避免运营风险给企业带来的损失,在此背景下,COSO委员会发布了《企业风险管理整合框架》(简称“COSO-ERM2004”),从风险的视角展示企业管理的各项要素。
2017年,COSO委员会发表了《企业风险管理战略与绩效整合》(简称“COSO-ERM2017”),进一步发展和完善了该理论框架,基于企业治理目标,在企业战略经营管理全过程融合风险管理要素,呈现“DNA螺旋体”架构形态,认为企业风险管理是对企业各种基本要素的整体综合性使用。
该框架包括“治理和文化”“战略和目标设定”“绩效”“审阅与修订”“信息沟通和报告”等五大要素和建立业务目标、识别风险、评估风险的严重性、企业风险管理改进、沟通风险信息等20项原则,基于企业使命、愿景和核心价值,将风险管理要素与企业战略制定、企业管理周期相整合,使之为企业的发展战略管理服务,以达到保持和创造企业价值最大化的目的。
风险管理整体框架对新时期的企业财务风险管理具有积极的指导意义。
2基于COSO-ERM框架的企业财务风险管理现状本文以A建筑公司为例,根据其运行和发展过程中的财务管理实际,结合COSO-ERM框架(COSO-ERM2017)的要素和原则,从以下7方面分析企业财务管理和风险管理的现状。
2.1治理文化COSO-ERM框架认为企业治理文化可以为企业营造良好的风险管理环境,从而保证企业的内部管理制度的有效执行。
A公司经过长期的经营发展,已经建立了一套符合企业管理的《公司章程》,在此基础上进一步完善和加强了公司的内控体系建设。
A公司的组织架构包括总经办、采购部、总工办公室、人事部、财务部、项目部等部门,各部门职责明确、分工合理。
2-1 COSO企业风险管理整体框架(中文版)
COSO:Enterprise Risk Management FrameworkCOSO企业风险管理整体框架概览一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。
虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。
COSO 委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个,旨在支持企业建立或评判企业风险管理过程的项目提供。
另一相关的目标是使构建的这个框架、提供一个统一的基础,以便在风险管理问题方面进行有效地交流。
本概览列出了企业风险管理框架的关键内容,包括,责。
本概览还强调如果想更加深入地了解有关知识,请看企业风险管理框架的全文。
(一)企业风险管理的相关性企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构,其存在的目的都是。
对企业管理者而言,所面临的挑战是在,。
不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。
风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。
1.企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。
不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。
2.从战略的制定到企业的日常经营,管理者的决策。
决策的本1质就是,它要求企业的管理应在考虑企业内、外部环境的因素的基础上,对企业的,并且根据环境的不断变化来调整企业的活动。
?,企业的价值也得到实现。
对于公司而言,当股东承认由于股价上扬所带来的价值时,。
对于当该机构以一个,机构的价值就得以实现。
对于利益相关方而言,当他们确认组织所,他们也就承认了该组织的价值。
2-1 COSO企业风险管理整体框架(中文版)
COSO :Enterprise Risk Management FrameworkCOSO 企业风险管理整体框架概览一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。
虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。
COSO 委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划,旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。
另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。
本概览列出了企业风险管理框架的关键内容,包括企业风险管理的定义、内容和基本原则,风险管理的优点、局限性以及各相关方的地位和职责。
本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。
如果想更加深入地了解有关知识,请看企业风险管理框架的全文。
(一)企业风险管理的相关性企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构,其存在的目的都是为其利益相关方带来价值。
所有的企业都要面对不确定性。
对企业管理者而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定性的程度。
不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。
风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。
1.不确定性企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。
COSO风险管理框架八大要素
COSO风险管理框架八大要素要素一:内部环境内部环境是指组织内部的风险管理文化和风险意识。
它涉及到组织的价值观、道德观、风险承受能力和意识。
这个要素的关键是组织领导层的承诺和积极参与,他们需要设定明确的目标和规定组织的价值观与行为准则。
要素二:目标设定目标设定是指组织制定和明确实现目标的过程。
这个要素涉及到制定目标的方法和过程,以及确定目标的具体要求和期望结果。
目标应与组织的使命和战略一致,并向组织的利益相关者明确传达。
要素三:风险评估风险评估是指组织识别和评估可能对目标实现产生负面影响的事件或情况的过程。
这个要素涉及到制定适当的风险评估方法和工具,并使用这些方法和工具来识别和量化风险。
评估的结果需要被组织的决策者和管理层使用来评估风险的严重性和优先级。
要素四:风险响应风险响应是指组织采取一系列行动来处理和控制风险的过程。
这个要素包括制定风险管理策略和方案,选择适当的风险管理方法和措施,并执行和监控这些措施。
风险响应应该是一个连续的过程,需要不断地监控和调整。
要素五:控制活动控制活动是指为了达到目标而实施的控制措施和过程。
这个要素涉及到制定和实施控制活动的方法和措施,以及监控和检查这些控制活动的有效性。
控制活动应该是全面和有效的,可以有效地降低风险的发生概率和降低风险的影响。
要素六:信息与沟通信息与沟通是指组织获取、处理和传递信息的过程。
这个要素涉及到建立并运行有效的信息和沟通系统,以确保及时、准确和完整的信息流动。
这些信息可以帮助组织做出明智的决策,并在需要时向利益相关者提供有关风险和风险管理的信息。
要素七:监督监督是指组织对风险管理过程进行监督和评估的过程。
这个要素包括建立监督机制和程序,对风险管理过程的各个方面进行监控和评估,并进行必要的改进。
监督应该是持续的,并由独立的机构或个人进行。
要素八:信息与沟通信息与沟通是指组织获取、处理和传递信息的过程。
这个要素涉及到建立并运行有效的信息和沟通系统,以确保及时、准确和完整的信息流动。
COSO企业风险管理整体框架(中文版)
1
在本部分和以后的讨论中一旦使用“管理”一词,其意思包括非管理人员执行的许多企业风险e Risk Management Framework
(Exposure Draft for Public Comment)
3.企业风险管理的优点 所有企业都是在有风险的环境下经营, 而不是企业风险管理使企业面临这样的环境。 企 业风险管理是使管理者能够在充满风险的环境中更加有效地经营。 企业风险管理使企业的管理者能够: (1)将风险偏好和企业的战略结合在一起。 从广义来讲,风险偏好是一个公司或企业在追求其目标的过程中愿意接受的风险的程 度。管理者在评估企业的战略方案时首先要考虑企业的风险偏好,其后,在制定与企业战略 相对应的目标和建立一定的机制管理相应的风险时也应考虑企业的风险偏好。 (2)将企业成长、风险和收益联系起来 经济主体在企业价值保值、 增值的过程中也要接受相应的风险, 同时预期补偿风险的相 应收益。 企业风险管理提高了企业确认和评估风险的能力, 进而使企业能够确定相对于企业 成长性和收益目标而言的风险的可接受水平。 (3)增加风险反应决策 企业风险管理提供了确认和选择不同的风险反应方案的严格标准。 企业的风险反应方案 包括风险规避、风险降低、风险共担和风险接受。企业风险管理提供了进行相关决策的方法 和技术。 (4)使企业的经营意外和损失最小化 经济主体可能提高确认潜在事项、 评估风险和明确反应方案, 最后减少经营意外的出现 次数以及减少相应的成本或损失。 (5)确认和管理企业的总体风险 每一个经济主体都面临着许多风险, 而不同的风险会影响企业经营的各个方面。 管理不 仅需要对每一种风险进行管理,还需要了解风险对企业总体的影响。 (6)针对多重风险提供完整的反应方案 企业的经营过程存在许多内在的风险, 企业风险管理就是为管理风险提供一整套解决方 案。 (7)抓住机遇 管理不仅要考虑风险, 还需要考虑潜在的事项对企业的影响。 对潜在事项有一个完整的 了解可以使管理对每一潜在事项表明何种机遇有一个了解。 (8)合理分配资金 关于企业总体风险的更为明确的信息可以使企业的管理者能够更加有效地评估企业总 体的资金需要,改进企业的资金配置。 企业风险管理本身并不是目的,它仅仅是实现目的的一种方式。它不能、也无法在一个 经济主体内单独运行, 而是企业管理过程的一个推动器。 企业风险管理向董事会提供最重要 的风险的信息以及这些风险应如何管理的建议,进而与公司治理相联系。而且,风险管理与 企业的绩效管理也有关, 风险管理通过提供风险调节的措施和内部控制来帮助企业的绩效管 理。内部控制是企业风险管理的一部分。 风险管理帮助一个经济主体实现其经营和利润目标、 防止资源的浪费。 它还有助于确保 企业报告的有效性。此外,企业风险管理还有助于保证企业遵守有关的法律、法规,避免其 声誉受损并防止产生相应的不良后果。 总之, 企业风险管理可以帮助一个经济主体实现其目 标、及在实现目标的过程中避开陷井和防止意外的发生。 (二)企业风险管理的定义 企业风险管理是企业的董事会、 管理层和其他员工共同参与的一个过程, 应用于企业的
coso-企业风险管理——整合框架
公司治理·内部控制前沿译丛企业风险管理——整合框架(美)COSO 制定发布方红星王宏译大连制定发布机构简介COSO是Treadway委员会(Treadway Commission,即反欺诈财务报告全国委员会(National Commission on Fraudulent Financial Reporting),通常根据其首任主席的姓名而称为Treadway委员会)的发起组织委员会(Committee of Sponsoring Organizations)的简称。
Treadway委员会由美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际财务经理协会(FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)等5个组织于1985年发起成立。
1987年,Treadway委员会发布一份报告,建议其发起组织共同协作,整合各种内部控制的概念和定义。
1992年,COSO发布了著名的《内部控制——整合框架》(1994年作出局部修订),成为内部控制领域最为权威的文献之一。
2003年7月,COSO发布了《企业风险管理——整合框架(征求意见稿)》,经过一年多的意见反馈、研究和修改,2004年9月发布了最终的文本。
本书就是按照2004年9月正式发布的文本进行翻译的。
译者简介方红星,东北财经大学会计学院教授,博士,兼任东北财经大学出版社社长,编审,东北财经大学内部控制与风险管理研究中心研究员,三友会计研究所所长。
主要学术兼职有财政部会计准则委员会咨询专家、中国会计学会理事、中国成本研究会理事、中国注册会计师审计准则组成员、中国会计学会财务成本分会常务理事及多家学术期刊编委。
王宏,西南财经大学会计学院博士研究生,现就职于财政部会计司综合处,近年来主要致力于内部会计控制等方面的理论和政策研究。
中文版前言在内部控制和风险管理的演进过程之中,COSO的突出贡献是举世公认的。
它在1992年所发布的、并于1994年作出局部修正的《内部控制——整合框架》,已经成为世界通行的内部控制权威文献,被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳。
COSO企业风险管理整体框架(中文版)
(一)企业风险管理的相关性 企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构, 其存在的目的都是为其利益相关方带来价值。所有的企业都要面对不确定性。对企业管理者 而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定 性的程度。不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减 值的风险。风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的 风险和机遇,进而提高企业创造价值的能力。 1.不确定性 企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业 重构、多变的市场以及竞争等。不确定性来源于无法明确地决定潜在事项将要发生的可能性 及其相应结果。 2.价值 从战略的制定到企业的日常经营,管理者的决策会创造、保持或减少企业的价值。决策 的本质就是确认风险和机遇,它要求企业的管理1应在考虑企业内、外部环境的因素的基础 上,对企业的稀缺资源进行配置,并且根据环境的不断变化来调整企业的活动。 ?当企业的利益相关方取得其相应价值的可确认收益时,企业的价值也得到实现。对于 公司而言,当股东承认由于股价上扬所带来的价值时,他们也就承认了企业的价值。对于政 府机构,当该机构以一个可接受的成本所提供的服务的收益得到确认时,机构的价值就得以 实现。对于非盈利组织的利益相关方而言,当他们确认组织所提供的社会福利的价值时,他 们也就承认了该组织的价值。企业风险管理使管理者能够创造持久的价值并能够将创造价值 的信息传递给利益相关方。
coso内部控制框架和风险管理框架
coso内部控制框架和风险管理框架摘要:I.简介- 引入COSO 内部控制框架和风险管理框架II.COSO 内部控制框架- 定义和背景- 目标和要素- 实施和维护III.COSO 风险管理框架- 定义和背景- 目标和要素- 实施和维护IV.二者的联系与区别- 共同点和差异- 整合应用V.实践案例与启示- 成功案例分析- 对我国企业的启示VI.总结- 回顾主要内容- 强调框架的重要性正文:I.简介COSO(Committee of Sponsoring Organizations)内部控制框架和风险管理框架是企业界和会计界广泛应用的控制和风险管理工具。
本文将对这两个框架进行概述和分析,以帮助读者了解它们的内涵、应用和价值。
II.COSO 内部控制框架1.定义和背景COSO 内部控制框架是一个为企业提供合理保证,以实现运营效益、效率和财务报告可靠性的控制体系。
该框架由美国COSO 委员会于1992 年提出,经过多次修订,目前最新版本为2013 年发布的《内部控制——整合框架》。
2.目标和要素COSO 内部控制框架的目标包括:取得经营的效率和有效性、确保财务报告的可靠性、遵循适用的法律法规。
其五大要素为:控制环境、风险评估、控制活动、信息与沟通、监督。
3.实施和维护企业应根据自身情况,制定合适的内部控制制度,并通过培训、监督、反馈等手段确保其有效实施和持续改进。
III.COSO 风险管理框架1.定义和背景COSO 风险管理框架是一个为企业提供合理保证,以实现企业目标的过程。
该框架同样由美国COSO 委员会提出,旨在帮助企业识别、评估和管理各种风险。
2.目标和要素COSO 风险管理框架的目标包括:确保企业目标的实现、促进企业价值的创造、提高企业风险管理水平。
其八大要素为:风险管理环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督。
3.实施和维护企业应根据自身战略和目标,制定合适的风险管理策略,并通过培训、监督、反馈等手段确保其有效实施和持续改进。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、导言 中航油巨亏事件,对国内外相关各方都产生了重大冲击和深远影响。由于中航油的国企背景,该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件,也给我们提出了一个相同的问题:我们的企业到底出了什么问题?就在此时,国际著名的反虚假财务报告委员会(即Treaday委员会)于2004年年底,针对国际企业界频繁发生的高层管理人员舞弊现象,废除了沿用很久的企业内部控制报告,颁布了一个概念全新的COSO报告:即《企业风险管理——总体框架》(Enterprise Risk Management,简称ERM)。此报告虽然保留了部分传统内部控制的某些概念,但不论在框架上、还是在要素方面,均有相当大的突破。 在如此赞誉之下的新内部控制框架,它出台的背景与动机又是什么?其具体内容究竟是什么?它能为我国企业内部控制的改善带来什么意义?这是我们需要分析的内容。
二、COSO委员会新报告《企业风险管理——总体框架》解读 内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段(储稀梁,2004)。由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEI)、国际内部审计师协会(IIA)和管理会计师协会(IMA)五大学会共同组成的Treadway委员会,于1992年发表,并于1994年修订的《内部控制——整体框架》报告,标志着内部控制理论与实践进入了整体框架的新阶段,并被世界上许多企业所采用。尽管如此,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合(朱荣恩,贺欣,2003)。2004年10月份发布的企业风险管理(Enterprise Risk Management,ERM)框架就是在1992年报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes—Oxley Act)的相关要求扩展研究得到的。与传统内部控制内容相比,新框架有了较多的变化。这些变化主要包括如下几个方面: (一)企业风险管理对内部控制内涵的发展 1992年COSO报告对内部控制的定义是:“内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”内部控制的定义明确了四个要点:(1)是一个过程;(2)受人为影响;(3)为了达到三个目标;(4)合理保证。 这个定义尽管非常宽,但从某种角度来说,又比较模糊,存在某些片面性。故原COSO报告1992年出版后不久,就有声音批评该报告缺乏保障资产的概念。例如美国审计总署(GAO)认为,这个文件对于内部控制的重要性的强调还不够,它丧失了提高内部控制监督和评估的机会。美国前总审计长查尔斯.鲍雪(Charles Bowsher)曾经说:“对有效控制的最大需求可能是在信贷组合领域。„„一份没有丝毫谈及信贷组合的有关内部控制的财务报告是没有任何用处的。”(Craig James L,1993)但当时的COSO主席罗伯特.L.梅(Robert L.May)则认为,保障资产的考虑更适合作为一种经营控制(Steven J Root,2004)。由于美国审计总署的影响巨大(例如可能使银行等认为COSO报告与其无关),如果COSO报告不根据其要求进行修改的话,从一开始就可能面临被抛弃的命运。最后妥协的结果是,在1994年修订后的报告上,提出了“保障资产的内部控制”的概念,即“预防未经授权的获得、使用或处理资产,„”。可见,这一概念是非常勉强地运用在内部控制框架中。而新的ERM框架非常明确了对保护资产概念的运用。 新报告认为“保护资产”或者“保护资源”是一个广义的概念,资产或资源的损失可能由于偷盗、浪费、无效率或错误的商业决策等。因此,广义的“保护资产”目标范围集中为特定的报告目标,使得保护资产适用于所有未经授权的获得、使用、处置资产。 又如,内部控制与管理活动有什么区别?在原报告中并不清晰。有些对错误纠正的管理行为,并不包括在原有COSO报告的内部控制活动之中。而新的ERM框架已经将纠正错误的管理行为明确地列为控制活动之一。 ERM框架对内部控制的定义明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。对比原来的定义,ERM概念要细化的多。由于新CO.SO报告提出了风险偏好、风险容忍度等概念,使得ERM的定义更加明确、具体。同时,ERM又涵盖了内部控制所有合理的内容。 (二)企业风险管理对内部控制目标的发展 在1994年《内部控制——整体框架》中,内部控制有三个目标:经营的效果和效率、财务报告的可靠性和法律法规的遵循性。ERM整体框架中除了经营目标和合法性目标与内部控制整体框架相似以外,还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表的,包括中期和简要财务报表,以及从这些财务报表中摘出的数据,如利润分配数据”。新报告则将报告拓展到“内部的和外部的”“财务的和非财务的报告”,该目标涵盖了企业的所有报告。 除此之外,新COSO报告提出了一类新的目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
(三)企业风险管理对内部控制要素的发展 1994年COSO报告《内部控制——整体框架》中,提出了五个要素:控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行深化和拓展,将其演变为八个要素。例如,ERM框架引入风险偏好和风险文化,将原有的“控制环境”扩展为“内部环境”。又如,虽然内部控制整体框架和ERM框架都强调对风险的评估,但风险管理框架建议更加透彻地看待风险管理,即从固有风险和残存风险的角度来看待风险,对风险影响的分析则采用简单算术平均数、最差情形下的估计值或者事项分布等技术来分析(朱荣恩,贺欣,2003)。再如,由于原报告仅提出三个目标,因此“信息与沟通”中的信息仅仅指与这三个目标相关的信息。而新的报告包括了与组织的各个阶层、各类目标相关的信息,这就对管理层将巨量的信息处理和精炼成可控的信息(actionable information)提出了挑战。 原COSO报告仅提出风险识别,但是并没有区分风险和机会。ERM框架则将风险定义为“可能有负面影响的事项”,并且引入了风险偏好、风险容忍度等概念,将原有的风险评估这一要素,发展为目标设定、事项识别、风险评估和风险反应四个要素,使得原有的内控五要素发展为风险管理八要素。 (四)相关角色和任务的变化 新老COSO报告都将组织的董事会、管理层和内部审计和其他职员看成是相关责任人。在内部控制框架和ERM框架中,董事会都提供管理、指引和核查。虽然董事主要提供监督,但是也提供指导以及批准战略、一些特殊交易和政策。董事会既是内部控制的重要因素,也是企业风险管理重要因素。ERM框架使董事会在企业风险管理方面扮演更加重要的角色——负总体责任,并且要求其变得更加警惕。企业风险管理的成功与否在很大程度上依赖于董事会,董事会需要批准组织的风险偏好。以前,当公司出现丑闻时,很多人问:“管理层怎么让这发生的”?现在,恐怕要问:“董事会怎么让这发生的”?(Dana R hermanson,2003)在新报告中,CEO必需识别目标和战略方案,并且将其分类为战略目标、经营目标、报告目标和遵循性目标四类。每一个业务单元、分部、子公司的领导也需要识别各自的目标,并与企业的总体目标相联系(George Matyjewicz et al,2004)。一旦设定了目标,管理层就需要识别风险和影响风险的事项、评估风险并采取控制措施。 在ERM框架中,内部审计人员在监督和评价成果方面承担重要任务。他们必需协助管理层和董事会监督、评价、检查、报告和改革ERM。对于内审人员来说,最大的挑战是在ERM中扮演何种角色?很多内审人员可能被要求提供ERM的教育和训练,甚至“处理企业风险管理过程”。但是,新报告认为:内审人员并不对建立ERM体系承担主要责任。还有文章提醒内审人员不要行使不匹配的职能。(w.R.Kinveg,2003)内审人员职责的另一个变化是从原来对CFO和内审委员会负责,现在可能要对CFO、内审委员会和风险主管(risk officer,CFO)负责。 在ERM框架中,新增加了一个角色——风险主管或风险经理。风险主管除了需要和其他管理人员一样,在自己的职责范围内建立起风险管理外,还要帮助其他经理人报告企业风险信息,并可能是风险管理委员会的成员之一。
三、以反虚假财务报告委员会的《企业风险管理——总体框架》来解读中航油事件
中国航油(新加坡)股份有限公司是中国航空油料集团公司的海外控股公司。经国家有关部门批准,新加坡公司在取得中国航油集团公司授权后,自2003年开始做油品套期保值业务。在此期间,新加坡公司总裁陈久霖擅自扩大业务范围,从2003开始从事石油衍生品期权交易,同日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外,签订了合同。陈久霖买了“看跌”期权,赌注每桶38美元,没想到国际油价一路攀升——2004年10月以后,新加坡公司所持石油衍生品盘位已远远超过预期价格。根据合同,中航油需向交易对方(银行和金融机构)支付保证金,每桶油价每上涨1美元,中航油新加坡公司要向这些银行支付5000万美元的保证金,其结果导致中航油现金流量枯竭,实际损失和潜在损失总计约5.54亿美元。(许俊,2004) 事实上,陈久霖这种石油期权投机交易,其股东方中航油集团公司是明令禁止的。国务院1998年8月1日《国务院关于进一步整顿和规范期货市场的通知》、2001年10月11日证监会发布的《国有企业境外期货套期保值业务管理制度指导意见》都明确规定了取得境外期货业务许可证的企业,在境外市场只能进行套期保值,不能进行投机业务。1999年6月2日国务院发布的《期货交易管理暂行条例》,也规定了国有企业的期货交易仅限于从事套期保值业务(且命令禁止场外交易),并要求期货交易总量应当与其同期现货交易量总量相适应。 然而,中航油从事以上交易时,一直未向中国航油集团公司报告,而且中国航油集团也没有发现。直到保证金支付问题难以解决、经营难以为继的情况下,新加坡公司才向中国航油集团公司紧急报告。即