為什么要更新?對過去十年的回顧與總結
自原始框架于2004年刊發以來,實施該框架的企業便面臨各種問題,而最大的干擾來自在美國上市的企業不得不全力以赴應對《薩班斯法案》合規工作。
當然框架的實施還面臨其他挑戰:
企業風險管理的實施范圍往往并不面向整個組織機構,并且很少被運用到戰略制定中。如此一來,COSO框架在對企業風險管理進行定義時所強調的最重要亦是最獨具一格的一點——“應用于戰略制定過程中和整個企業中”在實踐中卻被誤讀或無視。
COSO最初在編制框架時采用了類似于內部控制框架所使用的立方體。雖然COSO對立方體右側的內容進行了修改,刪除了有關活動和流程,改為側重于范圍更廣的實體和運營單位及分支機構,但許多企業依然試圖在過于細微的層面實施該框架,例如運用于流程層面而非戰略制定。企業風險管理的實施活動也因此陷于細節的泥潭,令許多C級高管迅速失去興趣。
許多組織機構將企業風險管理作為一種保證活動來實施,而不是將其視為一種更佳的企業管理方式。在和運營單位的領導們打交道時,這種方法無疑是失敗的,特別是在有關活動又由內部審計部門主導的情況下。
2008年金融危機所引發的經濟大蕭條令許多企業進入危機應對模式,企業風險管理的實施也因此受到影響。
最終,還是影響深遠的突發性重大事件重新引起了對企業風險管理的真正興趣,包括2008年的金融危機和2011年的日本海嘯。
簡而言之,在COSO公布框架之初高管人員對它的關注度便有限,實施活動自那時起就參差不齊。
鑒于上述原因,企業風險管理框架在早些年并未獲得施展拳腳的機會。直至金融危機爆發,許多企業高管都并不知曉該框架抑或不確定應如何應對。然而,金融危機爆發后,有關問題和價值主張便開始明朗起來。
眾所周知,一個完全失控的行業觸發了一場慘烈的全球性金融危機。這場危機就未知事項的潛能給人們上了寶貴的一課,“黑天鵝”這種詞匯也在業界流行開來。所有的經驗教訓再次印證了有效風險管理的幾大關鍵要素的重要性,包括不遺余力的董事會、全力支持的首席執行官、開放透明的企業文化、能夠有效平衡長短期利益的薪酬結構,以及最為重要的一點——管理層在察覺危險來臨時能夠反其道而為之的決心和毅力,而所有這些要素的獲得離不開對企業風險管理持之以恒的堅持和保護。
危機過后,先行者的價值和優勢更是一目了然。董事會開始提出不同以往和更急尖銳的問題,CEO們也開始想方設法與董事會開展對話,以引起整個企業對有關風險事項的關注和重視。
值得注意的另一現象是,持續劇烈變化的商業環境正在不斷關壓縮商業模式的半衰期。一種以前所未有的速度摧毀既定商業模式的強大趨勢正在形成,穩步發展的數字化技術只是冰山一角,它不僅能夠讓消費者和企業輕而易舉地獲取史無前例的海量信息,而且也會快速地制造有關他們的信息。此外,還有席卷阿拉伯世界的所謂“阿拉伯之春”的革命浪潮、日益加劇的民族情緒和緊張的地緣政治局勢、人口老齡化、對網絡的依賴、不斷擴大的收入差距、伊斯蘭國哈里發恐怖主義的興起、涌動的難民潮,以及更近一些的油價暴跌,種種負面事件不勝枚舉。
總的來說,在2004版框架實施水平參差不齊,2004年以來各種戲劇性風險管理失效事件并發,以及商業環境日益復雜的共同疊加作用影響下,對框架做出更明晰闡釋的呼聲日漸高漲。
現實再清楚不過:要想戰勝各類突發中斷性事件,企業領導必須能夠迅速識別有關變化的重要跡象,以及自己的市場和商業模式可能會受到的影響。
總的來說,在2004版框架實施水平參差不齊,2004年以來各種戲劇性風險管理失效事件并發,以及商業環境日益復雜的共同疊加作用影響下,對框架做出更明晰闡釋的呼聲日漸高漲。在此呼聲中,COSO發現他們恰可以借此機會:將企業風險管理和各利益相關方的期望更明確地聯系在一起;將風險與企業績效掛鉤,而非將風險作為一種獨立的活動來關注;以及改善企業對未知的預期和準備。事實上,作為先行者的企業并非只是把潛在變化當作潛在危機來對待,他們也從中尋求潛在的市場機遇。
有哪些新變化?基于風險的方法
COSO的新框架基于以下這樣一個基本假設:即每個企業存在的目的均旨在為利益相關方提供價值,但在價值追求過程中會面臨不確定性。“不確定性”一詞被定義為未知的事項,而“風險”則定義為,該等不確定性對制定和執行業務戰略以及實現業務目標造成的影響。因此,新的框架認為:
管理層面臨的一大挑戰是確定企業準備接受和能夠接受多少不確定性,亦即多少風險。有效的“企業風險管理”能夠使管理層在權衡風險和機遇的同時,提升企業創造、保護和最終實現價值的能力。
對風險與價值之間關系的著意強調亦體現于COSO對企業風險管理定義的簡化和關注點的重新界定:
企業賴以管理價值創造、保護和實現風險、且與戰略制定及執行有機結合的文化、能力及實踐。
新框架的標題便暗示了風險與戰略以及企業績效之間日益重要的連結關系。COSO表示新框架:
更深入地探討了戰略以及企業風險管理在戰略制定和執行中的角色;
優化了企業績效與企業風險管理之間的協調關系;
涵蓋了治理和監督預期;
提及了市場和運營的持續全球化趨勢,以及在不同地域采取通用(盡管亦有量體裁衣之考量)做法的必要性;
提供了將風險置于更復雜商業環境下進行考量的新方法;
將提升利益相關方透明度的預期納入風險報告范圍;
涵蓋了對決策起支持作用的科學技術進步及數據分析手段。
COSO在更新過后的框架里介紹了五大要素,并且如2013年更新內部控制框架時為每個要素羅列了相關原則。我們將在下文討論各大要素及其原則。
風險治理和風險文化是確保企業風險管理行之有效的強大基石。
風險治理和文化的重要性
新框架的第一大要素為企業風險管理其他四大要素提供了基礎。風險治理確定企業的基調,強化并確立企業風險管理的監督職責。文化則事關道德價值、具責任感的企業行為、對業務環境的了解,并且體現于決策過程中。風險治理和風險文化是確保企業風險管理行之有效的強大基石。該基本要素涉及六個原則。
風險治理和文化
1. 履行董事會風險監督職能
2. 建立治理和運營模式
3. 定義理想的企業行為
4. 恪守誠信和職業道德
5. 實施問責
6. 吸引、發展和留任優秀人才
履行董事會風險監督職能——風險治理和文化始自企業最高層,即董事會的影響和監督。董事會必須擔負起風險監督的職責,并具備提供有關監督所必需的技能、經驗和業務知識。當董事會大多由獨立人員組成時,便可對執行管理層和整個企業起到有效的監督和制衡作用。
COSO表示“戰略執行風險”并不是戰略制定過程中需要考慮的唯一風險維度,還有另外兩個維度要考慮,因為它們可能會對企業風險特征產生重大影響。
建立治理和運營模式——一個企業的戰略執行,體現于管理層為實現企業目標而對日常經營活動的組織和執行中。由于運營模式一般包含法務和管理架構以及相應的報告路徑,因此如何管理和治理該模式可能會觸及一些新的和不同的風險或復雜情況,進而影響到企業執行戰略、管理風險及實現目標。
定義理想的企業行為——COSO對理想企業行為的界定乃基于企業的核心風險價值觀及態度。不論企業認為自己是風險厭惡型、風險中立型或風險激進型,COSO都建議它們培養一種風險意識文化。這種文化的特點包括:英明果斷的領導力、當仁不讓的管理風格、對行動和行動結果認真負責的態度、決策過程中對風險的明確考量,以及積極開放的風險對話。這些特征確保風險可以被納入日常業務。
恪守誠信和職業道德——值得注意的是,COSO關注的是貫徹于整個企業的基調。雖然高層基調由管理層和董事會的運營風格及個人行為所決定,但他們的基調必須滲透至企業各個層面。這意味著中層基調必須與高層保持一致,唯有如此,基層基調才能夠反應理想的核心價值及風險態度。
橫跨整個企業的基調應是無界的,也就是說,企業人員及其業務合作伙伴都必須積極響應管理層和董事會設定的預期。因此,必須建立和評價有關行為準則,任何偏離這些準則的行為都必須予以及時處理。對于如何建立恰當的基調,坦誠地溝通有關風險及風險承擔情況是至關重要的。
實施問責——企業各級人員都必須對企業風險管理負責。企業自身首先必須擔負起提供適當的企業風險管理準則和指引的重任。這種問責制應始于董事會和CEO,并通過適當的績效預期、激勵和獎勵機制從上到下滲透至整個企業。董事會和CEO必須時刻保持警惕,確保企業內部的壓力不會造成不負責任的和/或違法行為。
針對這一點,COSO表示可能導致發生上述行為的過大壓力往往來自:不切實際的績效目標、不同利益相關方相互沖突的業務目標,以及短期財務績效獎勵與長期利益相關方預期(例如企業的可持續性目標)脫節。COSO還稱,這種壓力既可能來自企業內部(例如企業不合時宜的績效獎勵或戰略變更),也可能來自企業外部(例如影響銷售業績的客戶需求發生了變化或一項顛覆性的改變影響了企業的運營模式)。
吸引、發展和留任優秀人才——最后,風險治理和文化還要認識到根據企業目標積累人力資本和人才的重要性。管理層必須界定執行戰略所必需的知識、技能和經驗;制定適當的績效預期;吸引、發展和留任合適的人員及戰略合作伙伴;以及安排好繼任計劃。
從多方位關注戰略制定
許多企業將關注點放在識別戰略執行風險上。然而,在企業風險管理的第二大要素中,COSO表示“戰略執行風險”并不是戰略制定過程中需要考慮的唯一風險維度,還有另外兩個維度要考慮,因為它們可能會對企業風險特征產生重大影響。第二個維度是“戰略可能會不符合”企業的使命、愿景和核心價值,而后者體現的正是企業想要實現的目標及意圖采取的開展模式。一個錯位的戰略將增加企業無法實現使命的風險,即使有關戰略獲得成功實施。
需要考慮的第三個維度是“所選戰略的影響”。COSO這樣表述道:
管理層在制定戰略以及與董事會討論其他可能的選擇時,他們會就戰略中所固有的利弊做出權衡。每個可能的戰略都有其自身的風險特征——這就是戰略的影響。董事會和管理層需要考慮有關戰略是否與企業的風險偏好一致,以及它會如何推動企業制定目標,并最終對資源做出有效分配。
總之,通過明確戰略制定流程需考慮的所有三個維度,COSO新框架將有關戰略的討論及企業風險管理與戰略的結合提升至一個新層次。企業風險管理的風險戰略及目標制定要素涉及五大原則。
7. 考慮風險和業務環境
8. 定義風險偏好
9. 評估替代戰略
10. 制定業務目標時考慮風險
11. 界定可接受的績效偏差
考慮風險和業務環境——新框架透過內外部環境來審視業務環境。它也考慮內外部利益相關方的角色,因為他們可能會給內外部環境帶來重大改變。重要的是管理層必須考慮業務環境變化所產生的風險,并在執行戰略和實現業務目標的過程中予以靈活應對。
定義風險偏好——企業依據價值的創造、保護和實現來界定風險偏好。制定戰略要考慮風險偏好聲明,管理層要做好有關溝通,董事會需全力支持,并且要整合至整個企業。風險偏好受到企業使命、愿景和核心價值觀的影響,此外亦需考慮企業的風險特征、風險容量、風險能力和成熟度、文化,以及業務環境。
評估替代戰略——替代戰略乃基于不同的假設,而這些假設可能對不同的變化非常敏感。企業在對各種戰略選項進行評估后制定出可用以提升企業價值的戰略,同時亦考慮所選戰略或會帶來的風險。但關鍵因素的變化可能會令制定戰略時所采用的假設失效,因此,董事會和執行管理層在批準一項戰略之前應當首先了解這些敏感因素,即有關戰略的影響。如果戰略獲得通過,那么可能會導致關鍵假設失效的環境因素也必須得到識別和長期監控。
制定業務目標時考慮風險——管理層在企業的各個層面制定與戰略相符并為戰略提供支持的業務目標。這些目標應當考慮并與企業的風險偏好保持一致。事實上,一個企業的業務目標應當由上至下貫穿到不同的分支機構、運營單位及職能單位。
界定可接受的績效偏差——COSO將“可接受的績效偏差”(有時稱作風險容忍度)定義為:與實現某項特定業務目標相關的可接受的結果范圍。盡管風險偏好是廣義的,可接受的績效偏差卻是戰術和運營層面的。可接受的績效偏差把風險偏好與特定的業務目標綁定在一起,并且可以提供用來識別影響這些目標實現風險的度量指標。業務目標的風險度量方法通常是一樣的,不論目標是否有關滿足客戶需求、成本績效、交貨時間、流程和產品創新,抑或員工表現。在可接受的績效偏差范圍內運營,可以讓管理層更加確信企業并未超出其風險偏好。從而,亦可令管理層放心企業將以一種符合其使命、愿景及核心價值的方式實現其業務目標。
牢牢把握風險
企業需要識別和評估可能會影響戰略和業務目標實現的風險。必須根據嚴重程度和風險偏好來確定那些“執行中的風險”的優先級。然后企業會選擇風險應對方案,并對其所承擔的風險數量采取一種風險組合觀點。企業風險管理的第三大要素由六個原則提供支撐。
12. 識別執行中的風險
13. 評估風險的嚴重程度
14. 劃分風險的優先級
15. 識別并篩選風險應對方案
16. 評估執行中的風險
17. 建立風險組合觀
識別執行中的風險——企業識別新風險和新興風險,以及與戰略執行和實現業務目標有關的已知風險所發生的變化。風險識別流程應當考慮源于業務環境變化的風險,以及已經存在但尚不可知的風險。
評估風險的嚴重程度——COSO建議可以根據所預期的風險嚴重程度采用定性和定量的評估方法。
當風險不適合量化或大量的數據收集工作不切實際或不夠經濟有效時,可以使用定性的評估方法。如COSO所稱,管理層可以利用情景分析來評估可能會產生極端影響的風險,或者采用模擬法來評估多個事件的影響。相反,高頻率低影響的風險更適合利用數據分析或內部信息,以及小組討論和會談等方式來確定風險的嚴重程度。對于更容易量化,或者對細節或精確度有特別要求的情況,則可以選擇可能性建模法。
劃分風險的優先級——采用恰當的標準來劃分風險優先級是企業篩選風險應對方案的基礎。風險標準可以包括適應性、復雜性、速度、持久性和恢復程度。此外,對于接近企業既定業務目標可接受績效偏差或風險偏好邊緣的風險,一般會給予較高優先級。
識別并篩選風險應對方案——對于已識別風險,管理層會選擇和部署合適的風險應對方案。風險應對方案可以包括:接受風險、規避風險、利用風險、降低風險以及共擔風險。在選擇應對方案時,管理層會考慮諸如業務環境、成本和效益、責任和預期、風險的優先級和嚴重程度,以及企業的風險偏好等因素。
評估執行中的風險——一旦選定風險應對方案并付諸實施,就必須進行評估,以確定方案是否按計劃發揮作用。評估風險應對措施的任務一般由負責對已識別風險進行有效管理的人員,以及提供保證服務的人員來擔任,后者亦同時負責了解企業的績效及風險應對有效性。在履行其治理和監督職責時,管理層和董事會必須及時獲悉就企業關鍵風險所開展的風險應對措施評估結果。
建立風險組合觀——企業風險管理需要企業從整體或組合的角度來考慮風險。COSO表示“組合觀”即指對企業所面臨相關業務目標風險的一種綜合觀點。這種角度使管理層和董事會得以考慮風險的性質、可能性、相對大小、彼此相互依存的關系,以及它們會如何影響績效。通過組合觀,企業可以識別出重大的風險,并確定其剩余風險特征是否與企業的總體風險偏好一致。
實現風險信息和報告的價值最大化
第四大企業風險管理要素揭示了從內外部渠道持續獲取和分享相關信息的重要性,用于決策的信息必須能夠在整個企業得到全方位的溝通和傳達。該流程可以為關鍵利益相關方提供必要的信息和洞見。該要素由四個原則提供支持。
18. 使用相關信息
19. 充分利用信息系統
20. 溝通風險信息
21. 匯報風險、文化和績效
使用相關信息——COSO將“相關信息”定義為有助于做出知情決策的信息。有關信息越有助于提高決策的靈活性、積極主動性以及就緒程度,它的相關度就越高,而企業成功實施戰略、實現業務目標和建立可持續競爭優勢的可能性也就越高。
充分利用信息系統——由人員、數據和技術組成的信息系統能夠為企業提供支持企業風險管理所需要的數據和信息。COSO表示并不存在放諸四海皆準的系統,然而,如何選擇支撐企業信息系統的技術和/或工具,卻對執行戰略和實現業務目標至關重要。影響技術選擇和實施的因素包括:企業目標、市場需求、競爭要求,以及相關成本與效益。
溝通風險信息——企業應實施多層次、跨企業的風險報告機制,可以通過不同的渠道向內外部利益相關方溝通風險數據和信息。這些渠道使管理層在董事會的監督下能夠做出更加知情的決策,從而推動戰略的實施和既定業務目標的實現。
匯報風險、文化和績效——風險匯報所涵蓋的信息不僅可以支持或改善決策流程,亦可以促使董事會及其他管理人員履行其風險監督職責。有關風險、文化和績效的報告類型林林總總。這些包含定量和定性風險信息的報告視乎企業的規模、范圍、級別和復雜程度均有不同的呈現形式,既可以簡單明了也可以頗為復雜。
風險信息可以專注于企業的某個特定領域或分部,抑或某一類風險或風險組別。風險報告也可以根據需要為企業的不同層級編制,以為企業決策流程提供支持。不過,管理層在使用報告數據和信息以及進行關鍵決策時依然要運用自身的專業判斷。
監控重要事項
第五個也是最后一個要素關注的是企業應如何對風險管理績效,以及企業風險管理職能各大要素的長期有效性進行監控,尤其是在發生重大變更的情況下。有效的監控流程使企業領導得以深入了解風險和績效之間的關系,以及戰略風險會如何影響績效,并且識別與實現戰略有關的新興風險。該要素由兩大原則提供支持。
22. 監控重大變化
23. 監控企業風險管理
監控重大變化——如果不及時考慮有關變化,可能會造成與競爭對手的績效鴻溝,或令有關戰略的關鍵假設失效。對重大變化的監控應當納入日常業務運營流程,并實時執行。
監控企業風險管理——與其他任何流程一樣,企業風險管理也需要不斷予以優化。即使是實施了成熟的企業風險管理流程的企業亦可以通過持續優化來獲得事半功倍的價值貢獻。在企業風險管理整合至整個企業后,嵌入的持續評估便可以自動識別改進機會。單獨的評估活動(例如由內部審計開展的)亦可提供機會優化企業風險管理流程。
對董事會和管理層的影響和啟示
COSO的新企業風險管理框架為企業領導提供了可認真思考的大量信息和資料。框架所代表的基于風險的方法也表明并不存在放諸四海皆準的實施方案。每個企業都不盡相同,不論是所處行業、戰略、架構、文化、商業模式還是資金基礎。
從實戰的角度而言,企業可以采取一種最符合自身情況和環境的方式來實施該框架。我們認為,企業領導可以嘗試使用新框架來評估其風險管理方法,因為這在強化其風險管理能力的同時能夠讓他們更加自信地面對未來。有些問題可能仍富有爭議,例如風險與戰略制定的有機結合等。但是,如若忽略有關問題,對于在當今不可預知的世界掙扎求存的企業來說,代價可能是高昂的,甚至是致命的。
總結
COSO在更新其企業風險管理框架時重申企業需要更好地適應變化,而管理層需要就如何管理日益動蕩、復雜和不確定的市場做出更多的思考。COSO的新版框架旨在滿足董事會及執行管理層的需求,即采取一種基于風險的方法來整合風險以及戰略和績效。有興趣的人士或相關方有機會通過提交意見函和/或完成在線調查(網址erm.coso.org)的方式來提供他們的觀點和反饋。COSO預計將于2016年底公布最終版框架。
文 轉自甫瀚咨詢通訊
