在即將過去的8102年,當我們說到“風險管理”/“全面風險管理”時,通常我們所指的并不是享有盛譽、廣泛傳播的COSO1992內部控制框架與COSO2004風險管理框架,而是2016年推出征求意見版本,并在2017年9月正式推出的COSO2017《企業風險管理-整合戰略與績效》(Enterprise Risk Management- Integrating with Strategy and Performance)。簡稱《企業風險管理(框架)》。
文檔主要構成包括三部分:Executive Summary(執行大綱)、Framework(框架內容)、Appendices(附錄)。
相比于COSO2004《企業風險管理-整體框架》,COSO2017有著多處變化:
1、簡化了企業風險管理的定義;
2、強調了風險與價值的聯系;
3、重新審視了企業風險管理整合框架所關注的焦點;
4、檢查了文化在風險管理工作中的定位;
5、增加了戰略、運營績效與風險管理協同的內容;
6、進一步明確企業風險管理(全面風險管理)和內部控制的關系;
7、優化了風險偏好和風險承受度的概念。
COSO2004風險管理框架中提出的風險管理工具與技術依然保留。
COSO2017使用了這樣一張圖表達對企業戰略怎樣提升績效表現的理解:
圖的結構是“愿景與價值觀-》戰略、業務目標、績效表現(戰略選擇、實施、戰略決策與運營過程中的風險)-》得到提升的績效”。
COSO2017的核心觀點是,風險管理與企業的核心利益相關,是組織績效提升的重要影響因素,風險中蘊含著增長機遇。
其次,COSO2017改變了1992、2004版本框架的目標-要素組織形式,而采用了要素-原則的形式,如圖所示:
而風險管理的五要素及各要素下屬的原則則以彩色色條的形式貫穿圖中,含義為風險管理包含在企業運營發展的全流程中,并服務于企業的成長。
COSO2017企業風險管理框架的五要素是:治理和文化、戰略和目標設置、績效、審查和修訂、信息交流和報告。
要素下屬原則-治理和文化:
1、實現董事會對風險的監督;
2、建立運作模式;
3、定義集團的組織文化;
4、兌現核心價值的承諾;
5、吸引發展并留住優秀人才
要素下屬原則-戰略和目標設置:
1、考慮業務環境;
2、定義風險偏好;
3、評估替代策略;
4、建立業務目標
要素下屬原則-績效:
1、識別風險;
2、評估風險的嚴重程度;
3、風險排序;
4、執行風險應對;
5、建立風險的組合觀(管理層需要從組織整體角度考慮風險,將組織風險作為一個整體去和實現績效目標所需要承受的風險進行對比,而不是將其視為一個個單獨的、分散的風險)
要素下屬原則-審閱與修訂:
1、評估重大變化;
2、審閱風險和績效;
3、企業風險管理改進
要素下屬原則-信息溝通與報告:
1、利用信息和技術;
2、溝通風險信息;
3、對風險、文化和績效進行報告(組織在各個層級對風險、文化和績效做出報告。首先組織要確定這些報告的使用者和他們的職責。報告的形式和種類很多,包括:風險的整體判斷、風險圖譜、根本原因分析、敏感度分析、對新興及發生變化的風險的分析、KPI(關鍵業績指標)、趨勢分析、對意外事故、違規和損失的披露以及對ERM計劃和倡議的追蹤。管理層需要確定報告的頻率并對其質量負責)
一共20項原則。
除了了解COSO2017的要素與原則,還有一些關鍵定義必須掌握。最能體現2017版本特點的,是“風險”被定義為“事項發生并影響戰略和商業目標實現的可能性”,這與ISO31000風險管理標準中對“風險”的定義是不同的,國際標準組織對風險的定義是“不確定性對目標的影響”。我個人認為這兩種提法沒有本質上的差別,都認可風險存在正面與負面的影響。
風險偏好(Risk Appetite)依然被定義為“主體在追求戰略和業務目標的過程中愿意承受的風險量”。選擇合適的量化指標例如VAR,eVAR,LVAR都可以作為風險偏好的度量標準。
風險容忍(Risk Tolerance)在2004版中被定義為顆粒化的、更細節的風險偏好(Risk Appetite),在2017版中則被定義為“可接受的績效變動區間(Accepted Variation in Performance)”,除了數量化的傾向,還可以看出風險-績效關系的又一次重申。
“企業風險管理”被定義為“組織在創造、保持和實現價值的過程中,結合戰略制定和執行,來意進行管理風險的文化能力和實踐”。相對于2004版的“一個過程,由一個主體的董事會、管理當局和其他人員實施,應用于戰略制定并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證”,差別明顯,一種文化、能力和實踐的描述更加貼近于風險驅動績效的核心觀點。
COSO2017提出了一個嶄新的曲線表述-風險績效曲線。COSO認為,整體的風險與績效是相關的,在下圖中,橫軸帶包績效,縱軸代表風險:
承擔風險越大,企業績效越好,在通常情況下這條曲線的方向是正確的。COSO用圖中的直線表示組織的風險容忍與績效設置,陰影部分越小,意味著組織的風險偏好越激進。但在實際操作中,用什么指標來代表績效和風險是需要決策的。特別是在主體的層面上,風險的加總需要考慮的問題絕不是簡單的線性相加。操作上存在難點,但這依然是一個精彩的想法,更加深刻地表現了風險績效相聯系的主旨。
COSO2017實際上所做的事情,是為企業管理領域提出了基于風險導向的管理理念,它的目標是成為管理體系,而不是原來的內部控制流程。從COSO1992、COSO2004到COSO2017,聚焦的重點從運營經營的流程控制、財務報告的反舞弊、法律合規擴張到企業戰略決策、績效增長,使得風險管理承擔更高層次的訴求,更深刻地融入到企業經營之中。