企业风险管理的要素 企业风险管理系统是由一系列要素构成的。COSO框架中提出了八个相互关联的要素,这些要素来自于企业管理层运营企业的方式,并且与管理流程相互融合。
内控环境 管理层决定了企业对待风险的态度与风险偏好。内控环境包括正直与道德观、胜任能力、董事会与审计委员会、管理哲学与经营风险、组织结构、权责划分方式、人力资源政策等,为员工如何看待或处理风险与内部控制问题提供了基础。
目标设定 在管理层能够确认影响其目标实现的潜在事件之前,目标必须已经存在。企业风险管理确保管理层已经建立目标设定的程序,确保选择的目标与企业的使命相统一,与风险偏好相一致。
事件确认 对企业经营有重大影响的潜在事件必须得以确认。事件确认涉及确认影响企业目标实现的外部或内部事件。需要区分代表风险的事件,代表机遇的事件,或两者兼而有之的事件。需要注意的是,机遇将在制定企业战略或目标设定过程中加以考虑。
风险评估 对已确认的风险需要加以分析,为如何管理这些风险提供基础。风险是与受其影响的目标相伴随的。只有对风险发生的概率和后果进行恰当评估后,才能确定相应的风险管理的方式。
风险反应 人们确认并评估对风险的反应,包括风险回避、接受、减少和分散风险。管理层采取一系列的行动使经营风险与企业的风险偏好相一致。
控制活动 政策与程序的建立与实施,以确保管理层选择的风险管理方式能够得到有效的执行,包括控制系统的审阅、实物控制、职责划分,以及信息系统控制等。
信息与沟通 通过及时确认、获取相关的信息以及沟通使员工能够履行其职责。公司各阶层都需要相关的信息评估风险并做出适当的风险反应。人们也需要在其角色、职责方面进行有效的沟通
监督 企业风险管理体系的整体运行需要监控,必要时需要进行修正。监督活动由持续监督(如管理层对客户投诉处理的及时监督、财务报告合理性的日常审阅等)和单独评估(如内部审计师的定期审计)组成,以确保企业内部控制系统能持续有效地运行。
总之,企业风险管理是一个动态的流程,如风险的评估促使风险反应,进而影响到控制活动,有可能需要重新考虑信息与沟通,或者是企业的整个监督活动。因此,企业风险管理并不是一个严格的顺序性流程,即一个要素仅影响下一个要素。它是一个多方向的、互动的流程,任何一个要素都可能够并会对其他要素产生影响。
目标与要素之间的关系 企业风险管理的目标与要素之间存在着直接的关系。
风险管理的每一个要素都与目标有关。如来源于外部或内部的财务和非财务数据,属于信息与沟通要素的一个组成部分,在企业制定战略、有效地管理公司运营,以及编制报告时都需要运用。它也能反映公司是否遵循了相关的法律法规,如企业在对外披露的财务报告中是否存在虚假的陈述和不实的数据等。
同样,从目标类别角度看,每类目标也都与要素相关。例如企业运营的效率与效果这一目标,企业任何一个要素的应用状况,都会影响到这一目标的实现程度。
企业的风险管理框架与整个企业或者企业的每一个单独的部分(如子公司、分支机构或业务单元)相关。但是,我们必须认识到,风险管理的四大类目标指的是公司目标,而非分部或业务单元目标。我们在考虑与报告相关的目标时,就需要关于整个公司运营方面的一系列信息,而不是某一分部或业务单元的信息。
有效性 认识企业风险管理(风控网)定义是一个过程,企业风险管理的有效性表现为某一时点的一种状态或条件。那么我们如何判断一个企业的风险管理系统是否有效呢?这就需要看企业的风险管理要素是否存在?是否有效地发挥其功能?如果各要素存在且恰当地发挥着作用,则说明企业存在有效的风险管理机制,企业能够消除重大缺陷,使风险控制在企业的风险偏好范围之内。
从目标角度看,如果企业风险管理被确认为是有效的,则企业的董事会和管理层就可以在以下方面得到合理的保证:
他们理解公司战略目标实现的程度。
他们理解公司运营目标实现的程度。
公司的财务报告是可靠的。
相关的法律法规得到遵循。
结束语 在市场经济条件下,企业的经营存在着各种各样的不确定性。不确定性既表示风险,也预示着机遇。企业风险管理就是通过各要素有效地发挥其功能,帮助企业抓住机遇,将风险控制在可接受的范围内,促进企业各类目标的实现。
正确地理解企业风险管理定义,是建立有效的风险管理机制的前提。需要特别强调的是,COSO企业风险管理整体框架中提出的目标与要素,与以前的内控框架相比,有了很大的扩展,与我国政府有关部门颁布的各种内部控制指引、指导意见更是有相当大的差异,理解并研究这种差异,对中国企业建立有效的风险管理机制是非常重要的。
不同的企业不可能采取完全相同的风险管理机制。中小企业在内控要素的实施上可能与大企业不同,但仍然根据企业风险管理定义可以建立有效的企业风险管理机制。在小型企业中,每一个要素可能不像大企业那样正规或结构严密,但其基本原理是一样的。
最近更新