新版COSO企业风险管理框架
最新COSO企业风险管理框架
企业风险管理框架(九)本报告的用途1、董事会成员董事会成员应该与企业的高级管理人员讨论企业风险管理的状况并在必要的时候进行监督。
董事会应该保证企业风险管理体制能够为董事会提供与企业战略和目标相关的最重要的风险的评估,包括企业的管理者采取了什么行动和董事会在监督企业风险管理框架时是如何运作的。
董事会应该从企业的内部审计人员、外部审计人员和咨询顾问外获得有关的信息。
2.高级管理人员本研究建议企业的首席执行官应评估企业风险管理的适应性。
使用本框架,CEO就可以与企业的其他主要经营和财务主管一道,注意企业内需要注意的地方。
使用一定的方法,CEO可以将企业的业务部门的负责人和主要职能部门的员工汇集到一起,讨论对企业风险管理框架适应性和有效性的最初评估。
无论讨论的形式如何,风险管理最初的评估应决定企业是否需要对企业风险管理框架进行进一步的、更广泛的评估以及应如何进行评估。
最初的评估还应该保证企业再造的监控程序确实存在、确实有效。
企业花费在风险管理评估上的时间是企业的一项投资,而且是一项有高额回报的投资。
3.企业内其他成员企业的管理者和其他员工应该考虑他们在企业风险管理框架中应履行何种职责,并与其上层管理者讨论有关思想以加强企业的风险管理。
内部审计人员则应该考虑其工作中关注企业风险管理的程度。
4.立法者每个企业对企业风险管理的期望由于两个方面的影响而千差万别。
首先,由于对企业风险管理框架的硬件设施构建的不同认识,使得企业的风险管理框架各有不同。
一些观察家认为企业风险管理将会,或者应该会防止企业的经济损失,或者至少是防止企业破产。
第二,即使对企业风险管理能够做什么、不能做什么以及“合理保证”概念有一个共同的认识,对这概念的含义和应该如何应用这些概念也存在许多不同的观点。
为了使各方对企业风险管理的认识及其作用达成共识,就应该对企业风险管理框架及其局限性达成共识。
本框架的提出就是出于这一考虑。
5.专业机构规则制定机构和其他专业组织已经提供了企业理财、审计和相关问题的指南。
达信:深度解读COSO新版企业风险管理框架(ERM)
达信:深度解读COSO新版企业风险管理框架(ERM)2016年6⽉,美国反欺诈财务报告委员会(The Committee of Sponsoring Organizations of the Treadway Commission, COSO)发布了新版企业风险管理框架“企业风险管理-服务于企业战略和绩效的实现” (Enterprise Risk Management- Aligning risk with strategy and performance)征求意见稿,这是继2004年COSO正式公布企业风险管理框架(Enterprise Risk Management Framework, ERM)以来第⼀次对ERM框架进⾏修订和完善,更确切的说是对ERM框架⼤⼑阔斧的进⾏了重新构思和设计。
新版ERM框架已经于2016年9⽉30⽇截⽌全球范围内收集反馈意见,并计划于2017年第⼀季度正式公布。
1. 新版ERM框架出台的背景众所周知,在企业风险管理和内部控制理论研究领域,COSO组织有着举⾜轻重的位置,从1992年出版企业内部控制整合框架(Internal Control- Integrated Framework)以来,作为在美上市公司内控体系建设的指导框架,不仅得到了美国证监会的认可,⽽且在全球范围内被众多国家相关企业和上市公司监管机构采⽤和推⼴,如中国财政部2008年发布的《企业内部控制基本规范》即采⽤了COSO组织1992年发布的内部控制框架要素和内容。
2000年以来,企业界在实施了⼗来年内部控制框架之后,发现即便建⽴了完善的内部控制体系,仍然会出现企业倒闭、破产、经营失败或预期不达标等风险损失案例,所以COSO组织开始从更⾼的⼀个⾓度来思考企业的管理活动以及内部控制体系的局限性。
内部控制体系确实对实现财务报告的可靠性和有效性提供了合理的保障(从实践经验看,内部控制体系的建⽴对经营和合规两个⽬标的⽀持⼒度并没有像财务⽬标那样得到很好的体现),但是企业需要从整合风险管理的⾓度为企业创造价值并合理保障公司战略⽬标的实现。
《新版COSO框架》课件
风险监控与报告
建立风险监控机制
通过持续监控和定期评估,及时发现和解决潜在 风险。
编制风险管理报告
定期编制风险管理报告,汇总分析组织的风险状 况和管理成果。
沟通与汇报
及时向上级领导和相关部门汇报风险管理情况, 确保信息的透明度和准确性。
2023
PART 04
新版COSO框架的应用案 例
REPORTING
2004年
COSO委员会发布《企业风险 管理——整合框架》,将风 险管理纳入内部控制范畴。
2013年
COSO委员会发布新版COSO 框架,对原框架进行了修订和
更新。
COSO框架的核心目标
01
02
03
经营效果和效率
确保公司经营活动的有效 性和高效率,实现发展战 略和经营目标。
财务报告可靠性
保证财务报告的完整、准 确和及时,不出现重大错 报、漏报或舞弊。
详细描述:企业C结合新版COSO框架,制定全面风险管理计划,为企业长期发展提供保障。
2023
PART 05
总结与展望
REPORTING
新版COSO框架的价值与意义
提升企业风险管理水平
新版COSO框架为企业提供了更全面、更具体的管理风险 的方法和工具,有助于企业提高风险管理水平,降低经营 风险。
增强企业竞争力
内部控制框架
COSO框架提出了内部控制的五个要素,包括控制环境、风险评估、控制活动 、信息与沟通以及监控。这五个要素相互关联,共同构成了内部控制框架。
COSO框架的发展历程
01
02
03
04
1987年
Treadway委员会成立,旨在 研究舞弊性财务报告和企业欺
诈行为的起因。
COSO风险管理框架八大要素
COSO风险管理框架八大要素要素一:内部环境内部环境是指组织内部的风险管理文化和风险意识。
它涉及到组织的价值观、道德观、风险承受能力和意识。
这个要素的关键是组织领导层的承诺和积极参与,他们需要设定明确的目标和规定组织的价值观与行为准则。
要素二:目标设定目标设定是指组织制定和明确实现目标的过程。
这个要素涉及到制定目标的方法和过程,以及确定目标的具体要求和期望结果。
目标应与组织的使命和战略一致,并向组织的利益相关者明确传达。
要素三:风险评估风险评估是指组织识别和评估可能对目标实现产生负面影响的事件或情况的过程。
这个要素涉及到制定适当的风险评估方法和工具,并使用这些方法和工具来识别和量化风险。
评估的结果需要被组织的决策者和管理层使用来评估风险的严重性和优先级。
要素四:风险响应风险响应是指组织采取一系列行动来处理和控制风险的过程。
这个要素包括制定风险管理策略和方案,选择适当的风险管理方法和措施,并执行和监控这些措施。
风险响应应该是一个连续的过程,需要不断地监控和调整。
要素五:控制活动控制活动是指为了达到目标而实施的控制措施和过程。
这个要素涉及到制定和实施控制活动的方法和措施,以及监控和检查这些控制活动的有效性。
控制活动应该是全面和有效的,可以有效地降低风险的发生概率和降低风险的影响。
要素六:信息与沟通信息与沟通是指组织获取、处理和传递信息的过程。
这个要素涉及到建立并运行有效的信息和沟通系统,以确保及时、准确和完整的信息流动。
这些信息可以帮助组织做出明智的决策,并在需要时向利益相关者提供有关风险和风险管理的信息。
要素七:监督监督是指组织对风险管理过程进行监督和评估的过程。
这个要素包括建立监督机制和程序,对风险管理过程的各个方面进行监控和评估,并进行必要的改进。
监督应该是持续的,并由独立的机构或个人进行。
要素八:信息与沟通信息与沟通是指组织获取、处理和传递信息的过程。
这个要素涉及到建立并运行有效的信息和沟通系统,以确保及时、准确和完整的信息流动。
内部控制框架的新发展企业风险管理框架COSO委员会新报告《企业风险管理框架》简介
内部控制框架的新发展企业风险管理框架COSO委员会新报告《企业风险管理框架》简介一、本文概述随着全球经济的不断发展和企业规模的日益扩大,企业面临着越来越多的风险和挑战。
为了帮助企业更好地应对这些风险,提高内部控制和风险管理水平,COSO(Committee of Sponsoring Organizations of the Treadway Commission)委员会在原有的内部控制框架基础上,推出了全新的《企业风险管理框架》报告。
本文旨在对该报告进行简要介绍,阐述企业风险管理框架的新发展,并探讨其对现代企业内部控制和风险管理的重要意义。
通过本文的阅读,读者将对企业风险管理框架有一个全面的了解,从而为企业构建更加完善的风险管理体系提供有益的参考。
二、COSO委员会及其新报告概述COSO委员会,全称“美国反虚假财务报告委员会下属的发起人委员会”(Committee of Sponsoring Organizations of the Treadway Commission),自1992年发布《内部控制——整体框架》以来,一直是全球企业内部控制和风险管理的权威指导机构。
近年来,随着全球经济环境的变化和企业经营复杂性的增加,COSO委员会意识到原有的内部控制框架已不能满足企业对全面风险管理的需求。
因此,经过数年的研究和讨论,COSO委员会于2017年发布了全新的《企业风险管理框架》(Enterprise Risk Management Framework,简称ERM 框架)。
新报告《企业风险管理框架》在原有内部控制框架的基础上,进一步拓展了风险管理的范围和深度。
新框架不仅强调了内部控制的重要性,还明确提出了企业风险管理的八大要素,包括:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。
这些要素相互关联、相互作用,共同构成了企业风险管理的完整体系。
与旧框架相比,新框架更加注重风险管理的战略性和系统性,鼓励企业从全局视角出发,全面识别、评估和管理风险。
COSO风险管理框架八大要素
COSO风险管理框架⼋⼤要素COSO风险管理框架把风险管理的要素分为⼋个:内部环境、⽬标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。
⼀、内部环境企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。
内部环境影响企业战略和⽬标的制定、业务活动的组织和风险的识别、评估和执⾏等等。
它还影响企业控制活动的设计和执⾏、信息和沟通系统以及监控活动。
内部环境包含很多内容,包括企业员⼯的道德观和胜任能⼒、⼈员的培训、管理者的经营模式、分配权限和职责的⽅式等。
董事会是内部环境的⼀个重要组成部分,对其他内部环境的组成内容有重要的影响。
⽽企业的管理者也是内部环境的⼀部分,其职责是建⽴企业的风险管理理念、确定企业的风险偏好,营造企业的风险⽂化,并将企业的风险管理和相关的⾏动计划结合起来。
75折特⼤优惠剩最后1天⼴告⼆、⽬标制定根据企业确定的任务或预期,管理者确定企业的战略⽬标,选择战略⽅案,确定相关的⼦⽬标并在企业内层层分解和落实,各⼦⽬标都应遵循企业的战略⽅案并与战略⽅案相联系。
展开剩余61%三、事项识别管理者意识到了不确定性的存在,即管理者不能确切地知道某⼀事项是否会发⽣、何时发⽣或者如果发⽣其结果如何。
作为事项识别的⼀部分,管理者应考虑会影响事项发⽣的各种企业内外部的因素。
外部因素包括经济、商业、⾃然环境、政治、社会和技术因素等,内部因素反映出管理者所做的选择,包括企业的基础设施、⼈员、⽣产过程和技术等事项。
四、风险评估风险评估可以使企业了解潜在事项如何影响企业⽬标的实现。
管理者应从两个⽅⾯对风险进⾏评估――风险发⽣的可能性和影响。
五、风险反应管理者可以制定不同风险反应⽅案,并在风险容忍度和成本效益原则的前提下,考虑每个⽅案如何影响事项发⽣的可能性和事项对企业的影响,并设计和执⾏风险反应⽅案。
考虑各风险反应⽅案并选择和执⾏⼀个风险反应⽅案是企业风险管理不可分割的⼀部分。
有效的风险管理要求管理者选择⼀个可以使企业风险发⽣的可能性和影响都落在风险容忍度范围之内的风险反应⽅案。
COSO新版企业风险管理框架风险绩效曲线介绍
COSO新版企业风险管理框架风险绩效曲线介绍COSO委员会在今年9月公布的新版企业风险管理框架中,最大的一个变化就是不再孤立的谈风险管理工作,而是将其作为一个文化、能力和实践,更好的融入企业管理中,为企业实现其各层面的管理目标而服务。
为了更好的体现这种融入,新框架中介绍了一个“风险概况图”并出现数次,用来解释一个用以关联风险和绩效的曲线。
一、最基本的风险绩效曲线介绍下图就是最基本的COSO的风险绩效曲线,用横轴表示绩效(Performance),纵轴表示风险(Risk),一条蓝色曲线绘制了不同绩效目标下需承担的风险概况。
紫色的竖线是目标线,指的是绩效目标设定的大小。
红色的横线表示的是主体的风险偏好,包含了对风险类型和风险量的描述。
蓝色曲线与紫色目标线的交点指的是在既定的绩效目标下,需要承担的相应的风险概况;蓝色曲线和红色风险偏好线的交点即承担的风险达到风险偏好时,可以实现的绩效目标;或者说当绩效目标增长到某一特定值时,主体承担的相应风险达到风险偏好的总量。
如果主体的绩效目标设定在了风险偏好以上的蓝色曲线对应的X 轴的绩效值,那将是一种被视为冒险和激进的绩效目标。
二、为了体现风险与绩效关系,舍弃了风险承受度的概念为了更好的展示风险和企业绩效之间亲密无间的关系,COSO也是下了血本,生生的把风险承受度的概念给删除了,要知道这个概念在风险管理领域可是深入人心的概念。
COSO为了使风险和绩效可以直接挂钩,“不让中间商赚差价”,必须把能省的都省掉,所以风险承受度的含义就被整合进了风险偏好,而启用了“可接受的绩效波动范围”作为承受度(容忍度)的新概念。
在上图中,橙色虚线中,与横轴的两个交点之间的距离,即是代表不同的绩效值,代表着“可接受的绩效波动范围”,这就是原来对于“风险承受度”概念的直接外现。
三、什么是绩效COSO本次框架更新虽然画出了风险绩效曲线,但是并没有详细定义Y轴的绩效(Performance)到底是什么,只是对绩效管理进行了定义:绩效管理:对实现或超过战略和商业目标所做付出的度量。
COSO企业风险治理框架
COSO企业风险治理框架1. 框架概述COSO企业风险治理框架由5个相互关联的组成部分组成,包括:内部环境内部环境是一个组织的基础,包括组织文化、风险承受能力和道德价值观。
这一组成部分确保组织能够有效管理风险并实现业务目标。
目标设定目标设定明确了组织的目标,并确定实现这些目标所需的资源和方法。
通过明确定义和沟通目标,组织能够更好地识别和处理风险。
事件识别事件识别是指识别可能对组织实现目标产生积极或负面影响的事件或情况。
通过早期识别和评估,组织能够及时采取措施来管理和应对风险。
风险评估风险评估涉及对已识别的风险进行分析和评估,确定其可能性和影响程度,并优先处理高风险事件。
这有助于组织在有限的资源下更有效地管理风险。
控制活动控制活动是指组织采取的措施来减轻和控制风险的行动。
这包括制定和执行内部控制措施、建立监控机制以及对风险进行持续监测和评估。
2. 应用COSO企业风险治理框架的好处应用COSO企业风险治理框架可以带来以下好处:- 提供一种系统性的方法来管理企业风险,有助于组织识别和解决风险问题。
- 通过明确的目标设定和风险评估,帮助组织更好地管理资源和应对挑战。
- 建立内部控制机制,提高组织运营的效率和效果。
- 为监管机构、投资者和其他利益相关者提供一种可信的风险管理框架,增强组织的声誉和信任度。
3. 应用COSO企业风险治理框架的要求要有效应用COSO企业风险治理框架,组织应考虑以下要求:- 高层管理人员应从组织文化和领导力方面支持和推动框架的应用。
- 组织应在内部环境、目标设定、事件识别、风险评估和控制活动五个方面建立有效的管理措施。
- 框架应根据组织的特定需求进行定制,考虑不同的业务风险和环境要素。
- 组织应持续监测和评估风险管理的有效性,并根据需要进行调整和改进。
4. 结论COSO企业风险治理框架是一种有效的风险管理工具,可以帮助组织识别、评估和应对风险,提高管理效能和组织绩效。
通过应用该框架,组织能够更好地实现业务目标并维护其声誉和信任度。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
新版COSO《企业风险管理框架》:有哪些变化?2016-12-156月24日,反虚假财务报告委员会下属发起组织委员会(COSO)发布《企业风险管理:风险与战略和绩效的协调》,以向公众征求意见,截止日期为2016年9月30日。
1熟悉2004版《企业风险管理综合框架》的人可能不会将以此为更新基础的新版框架视为“全新”概念,但他们会发现新框架的关注点已截然不同,它所关注的是如何使企业风险管理(ERM)在组织机构真正行之有效。
为什么要更新?对过去十年的回顾与总结自原始框架于2004年刊发以来,实施该框架的企业便面临各种问题,而最大的干扰来自在美国上市的企业不得不全力以赴应对《萨班斯法案》合规工作。
当然框架的实施还面临其他挑战:•企业风险管理的实施围往往并不面向整个组织机构,并且很少被运用到战略制定中。
如此一来,COSO框架在对企业风险管理进行定义时所强调的最重要亦是最独具一格的一点——“应用于战略制定过程中和整个企业中”在实践中却被误读或无视。
•COSO最初在编制框架时采用了类似于部控制框架所使用的立方体。
虽然COSO对立方体右侧的容进行了修改,删除了有关活动和流程,改为侧重于围更广的实体和运营单位及分支机构,但许多企业依然试图在过于细微的层面实施该框架,例如运用于流程层面而非战略制定。
企业风险管理的实施活动也因此陷于细节的泥潭,令许多C级高管迅速失去兴趣。
•许多组织机构将企业风险管理作为一种保证活动来实施,而不是将其视为一种更佳的企业管理方式。
在和运营单位的领导们打交道时,这种方法无疑是失败的,特别是在有关活动又由部审计部门主导的情况下。
•2008年金融危机所引发的经济大萧条令许多企业进入危机应对模式,企业风险管理的实施也因此受到影响。
•最终,还是影响深远的突发性重大事件重新引起了对企业风险管理的真正兴趣,包括2008年的金融危机和2011年的日本海啸。
简而言之,在COSO公布框架之初高管人员对它的关注度便有限,实施活动自那时起就参差不齐。
鉴于上述原因,企业风险管理框架在早些年并未获得施展拳脚的机会。
直至金融危机爆发,许多企业高管都并不知晓该框架抑或不确定应如何应对。
然而,金融危机爆发后,有关问题和价值主便开始明朗起来。
众所周知,一个完全失控的行业触发了一场惨烈的全球性金融危机。
这场危机就未知事项的潜能给人们上了宝贵的一课,“黑天鹅”这种词汇也在业界流行开来。
所有的经验教训再次印证了有效风险管理的几大关键要素的重要性,包括不遗余力的董事会、全力支持的首席执行官、开放透明的企业文化、能够有效平衡长短期利益的薪酬结构,以及最为重要的一点——管理层在察觉危险来临时能够反其道而为之的决心和毅力,而所有这些要素的获得离不开对企业风险管理持之以恒的坚持和保护。
危机过后,先行者的价值和优势更是一目了然。
董事会开始提出不同以往和更急尖锐的问题,CEO们也开始想方设法与董事会开展对话,以引起整个企业对有关风险事项的关注和重视。
值得注意的另一现象是,持续剧烈变化的商业环境正在不断关压缩商业模式的半衰期。
一种以前所未有的速度摧毁既定商业模式的强大趋势正在形成,稳步发展的数字化技术只是冰山一角,它不仅能够让消费者和企业轻而易举地获取史无前例的海量信息,而且也会快速地制造有关他们的信息。
此外,还有席卷阿拉伯世界的所谓“阿拉伯之春”的革命浪潮、日益加剧的民族情绪和紧的地缘政治局势、人口老龄化、对网络的依赖、不断扩大的收入差距、伊斯兰国哈里发恐怖主义的兴起、涌动的难民潮,以及更近一些的油价暴跌,种种负面事件不胜枚举。
总的来说,在2004版框架实施水平参差不齐,2004年以来各种戏剧性风险管理失效事件并发,以及商业环境日益复杂的共同叠加作用影响下,对框架做出更明晰阐释的呼声日渐高涨。
现实再清楚不过:要想战胜各类突发中断性事件,企业领导必须能够迅速识别有关变化的重要迹象,以及自己的市场和商业模式可能会受到的影响。
总的来说,在2004版框架实施水平参差不齐,2004年以来各种戏剧性风险管理失效事件并发,以及商业环境日益复杂的共同叠加作用影响下,对框架做出更明晰阐释的呼声日渐高涨。
在此呼声中,COSO发现他们恰可以借此机会:将企业风险管理和各利益相关方的期望更明确地联系在一起;将风险与企业绩效挂钩,而非将风险作为一种独立的活动来关注;以及改善企业对未知的预期和准备。
事实上,作为先行者的企业并非只是把潜在变化当作潜在危机来对待,他们也从中寻求潜在的市场机遇。
有哪些新变化?基于风险的方法COSO的新框架基于以下这样一个基本假设:即每个企业存在的目的均旨在为利益相关方提供价值,但在价值追求过程中会面临不确定性。
“不确定性”一词被定义为未知的事项,而“风险”则定义为,该等不确定性对制定和执行业务战略以及实现业务目标造成的影响。
因此,新的框架认为:管理层面临的一大挑战是确定企业准备接受和能够接受多少不确定性,亦即多少风险。
有效的“企业风险管理”能够使管理层在权衡风险和机遇的同时,提升企业创造、保护和最终实现价值的能力。
对风险与价值之间关系的着意强调亦体现于COSO对企业风险管理定义的简化和关注点的重新界定:企业赖以管理价值创造、保护和实现风险、且与战略制定及执行有机结合的文化、能力及实践。
新框架的标题便暗示了风险与战略以及企业绩效之间日益重要的连结关系。
COSO表示新框架:•更深入地探讨了战略以及企业风险管理在战略制定和执行中的角色;•优化了企业绩效与企业风险管理之间的协调关系;•涵盖了治理和监督预期;•提及了市场和运营的持续全球化趋势,以及在不同地域采取通用(尽管亦有量体裁衣之考量)做法的必要性;•提供了将风险置于更复杂商业环境下进行考量的新方法;•将提升利益相关方透明度的预期纳入风险报告围;•涵盖了对决策起支持作用的科学技术进步及数据分析手段。
COSO在更新过后的框架里介绍了五大要素,并且如2013年更新部控制框架时为每个要素罗列了相关原则。
我们将在下文讨论各大要素及其原则。
风险治理和风险文化是确保企业风险管理行之有效的强大基石。
风险治理和文化的重要性新框架的第一大要素为企业风险管理其他四大要素提供了基础。
风险治理确定企业的基调,强化并确立企业风险管理的监督职责。
文化则事关道德价值、具责任感的企业行为、对业务环境的了解,并且体现于决策过程中。
风险治理和风险文化是确保企业风险管理行之有效的强大基石。
该基本要素涉及六个原则。
风险治理和文化1. 履行董事会风险监督职能2. 建立治理和运营模式3. 定义理想的企业行为4. 恪守诚信和职业道德5. 实施问责6. 吸引、发展和留任优秀人才履行董事会风险监督职能——风险治理和文化始自企业最高层,即董事会的影响和监督。
董事会必须担负起风险监督的职责,并具备提供有关监督所必需的技能、经验和业务知识。
当董事会大多由独立人员组成时,便可对执行管理层和整个企业起到有效的监督和制衡作用。
COSO表示“战略执行风险”并不是战略制定过程中需要考虑的唯一风险维度,还有另外两个维度要考虑,因为它们可能会对企业风险特征产生重大影响。
建立治理和运营模式——一个企业的战略执行,体现于管理层为实现企业目标而对日常经营活动的组织和执行中。
由于运营模式一般包含法务和管理架构以及相应的报告路径,因此如何管理和治理该模式可能会触及一些新的和不同的风险或复杂情况,进而影响到企业执行战略、管理风险及实现目标。
定义理想的企业行为——COSO对理想企业行为的界定乃基于企业的核心风险价值观及态度。
不论企业认为自己是风险厌恶型、风险中立型或风险激进型,COSO都建议它们培养一种风险意识文化。
这种文化的特点包括:英明果断的领导力、当仁不让的管理风格、对行动和行动结果认真负责的态度、决策过程中对风险的明确考量,以及积极开放的风险对话。
这些特征确保风险可以被纳入日常业务。
恪守诚信和职业道德——值得注意的是,COSO关注的是贯彻于整个企业的基调。
虽然高层基调由管理层和董事会的运营风格及个人行为所决定,但他们的基调必须渗透至企业各个层面。
这意味着中层基调必须与高层保持一致,唯有如此,基层基调才能够反应理想的核心价值及风险态度。
横跨整个企业的基调应是无界的,也就是说,企业人员及其业务合作伙伴都必须积极响应管理层和董事会设定的预期。
因此,必须建立和评价有关行为准则,任何偏离这些准则的行为都必须予以及时处理。
对于如何建立恰当的基调,坦诚地沟通有关风险及风险承担情况是至关重要的。
实施问责——企业各级人员都必须对企业风险管理负责。
企业自身首先必须担负起提供适当的企业风险管理准则和指引的重任。
这种问责制应始于董事会和CEO,并通过适当的绩效预期、激励和奖励机制从上到下渗透至整个企业。
董事会和CEO必须时刻保持警惕,确保企业部的压力不会造成不负责任的和/或违法行为。
针对这一点,COSO表示可能导致发生上述行为的过大压力往往来自:不切实际的绩效目标、不同利益相关方相互冲突的业务目标,以及短期财务绩效奖励与长期利益相关方预期(例如企业的可持续性目标)脱节。
COSO还称,这种压力既可能来自企业部(例如企业不合时宜的绩效奖励或战略变更),也可能来自企业外部(例如影响销售业绩的客户需求发生了变化或一项颠覆性的改变影响了企业的运营模式)。
吸引、发展和留任优秀人才——最后,风险治理和文化还要认识到根据企业目标积累人力资本和人才的重要性。
管理层必须界定执行战略所必需的知识、技能和经验;制定适当的绩效预期;吸引、发展和留任合适的人员及战略合作伙伴;以及安排好继任计划。
从多方位关注战略制定许多企业将关注点放在识别战略执行风险上。
然而,在企业风险管理的第二大要素中,COSO 表示“战略执行风险”并不是战略制定过程中需要考虑的唯一风险维度,还有另外两个维度要考虑,因为它们可能会对企业风险特征产生重大影响。
第二个维度是“战略可能会不符合”企业的使命、愿景和核心价值,而后者体现的正是企业想要实现的目标及意图采取的开展模式。
一个错位的战略将增加企业无法实现使命的风险,即使有关战略获得成功实施。
需要考虑的第三个维度是“所选战略的影响”。
COSO这样表述道:管理层在制定战略以及与董事会讨论其他可能的选择时,他们会就战略中所固有的利弊做出权衡。
每个可能的战略都有其自身的风险特征——这就是战略的影响。
董事会和管理层需要考虑有关战略是否与企业的风险偏好一致,以及它会如何推动企业制定目标,并最终对资源做出有效分配。
总之,通过明确战略制定流程需考虑的所有三个维度,COSO新框架将有关战略的讨论及企业风险管理与战略的结合提升至一个新层次。
企业风险管理的风险战略及目标制定要素涉及五大原则。
风险战略与目标制定7.考虑风险和业务环境8. 定义风险偏好9. 评估替代战略10. 制定业务目标时考虑风险11. 界定可接受的绩效偏差考虑风险和业务环境——新框架透过外部环境来审视业务环境。