一、内部控制与全面风险管理的产生和发展
内部控制和风险管理的概念是在实践中逐步产生、发展和完善起来的。
在20世纪30年代,由于受到1929-1933年的世界性经济危机的影响,美国约有40%左右的银行和企业破产,经济倒退了约20年。美国企业为应对经营上的危机,许多大中型企业都在内部设立了保险管理部门,负责安排企业的各种保险项目。可见,当时的内部控制和风险管理主要依赖保险手段。
1949年美国审计程序委员会下属的内部控制专门委员会经过两年研究发表了题为《内部控制,协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告,第一次对内部控制做了权威性的定义。1955年,美国宾夕法尼亚大学沃顿商学院的施耐德教授第一次提出了“风险管理”的概念。
20世纪70年代中期,作为美国“水门事件”调查结果,立法者和监管团体开始对内部控制问题给以高度重视。为了制止美国公司向外国政府官员行贿,美国国会于1977年通过了“国外腐败实务法案(1977)”。该法案除了反腐败条款外,还包含了要求公司管理层加强会计内部控制的条款。该法案成为美国在公司内部控制方面的第一个法案。1978年,美国执业会计协会下面的柯恩委员会(Cohen Commission)提出报告,一是建议公司管理层在披露财务报表时,提交一份关于内控系统的报告;二是建议外部独立审计师对管理者内控报告提出审计报告。1980年后,内部控制审计的职业标准逐渐成形。而且,这些标准逐渐得到了监管者和立法者的认可。
1970年代以后,随着企业面临的风险复杂多样和风险费用的增加,法国从美国引进了内部控制和风险管理并在法国国内传播开来。与法国同时,日本也开始了风险管理研究。此后20年来,美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983年在美国召开的风险和保险管理协会年会上,世界各国专家学者云集纽约,共同讨论并通过了“101条风险管理准则”,这是风险管理走向实践化的一个重要文件。1992年9月,美国COSO委员会发布了《企业内部控制——整合框架》,这份框架此后被纳入政策和法规之中,并被各国数千家企业用来为实现既定目标所采取的行动加以更好的控制。 1995年由澳大利亚和新西兰联合制订的AS/NZS 4360明确定义了风险管理的标准程序,这就是我们通常说的澳新ERM标准,这标志着第一个国家风险管理标准的诞生。
多年来,人们在风险管理实践中逐渐认识到,一个企业内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。因此,企业不能仅仅从某项业务、某个部门的角度考虑风险,必须根据风险组合的观点,从贯穿整个企业的角度看风险,即要实行全面风险管理。然而,尽管很多企业意识到全面风险管理,但是对全面风险管理有清晰理解的却不多,已经实施了全面风险管理的企业则更少。但2001年11月的美国安然公司倒闭案和2002年6月的世通公司财务欺诈案,加之其它一系列的会计舞弊事件,促使企业的风险管理问题受到全社会的关注。2002年7月,美国国会通过萨班斯法案(Sarbanes- Oxley法案),要求所有在美国上市的公司必须建立和完善内控体系。萨班斯法案被称为是美国自1934年以来最重要的公司法案,在其影响下,世界各国纷纷出台类似的方案,加强公司治理和内部控制规范,加大信息披露的要求,加强企业全面风险管理。接着在2004年9月,COSO发布《企业风险管理——整合框架》(Enterprise Risk Management — Integrated Framework),该框架拓展了内部控制,更加关注于企业全面风险管理这一更为宽泛的领域,并随之成为世界各国和众多企业广为接受的标准规范。
到目前为止,世界上已有30几个国家和地区,包括所有资本发达国家和地区及一些发展中国家如马来西亚,都发表了对企业的监管条例和公司治理准则。在各国的法律框架下,企业有效的风险管理不再是企业的自发行为,而成为企业经营的合规要求。
二、全面风险管理理论的沿革
以KentD.Miller(1992)提出了整合风险管理(Integrated Risk Management)的概念为标志,随后的十多年,其发展可以分为两个阶段。
(一)多学派百家争鸣的阶段(1992~2001)
各个领域的专家学者从自己熟悉的学科出发,讨论和探索类似于整体风险管理的概念,具有代表性的学派如下:
整合风险管理(Integrated Risk Management)。工业管理、工程项目管理领域的学者,从控制和组织的角度提出了整合风险管理,认为企业要从整体角度出发分析、识别、评价企业面对的所有风险并实施相应的管理策略。其主要观点在于企业可以根据具体的风险状况,对多种风险管理方式进行整合,强调风险研究范围的扩展。
完全风险管理(Total Risk Management)。心理学、社会学和经济学的交叉学者认为,风险管理活动应该涉及三个要素:价格、偏好和概率。价格用来确定因预防各种风险所必须支付的成本;概率用来估计这些风险发生的可能性;偏好用来确定承受风险的能力和意愿及信心度。风险管理必须将三要素综合起来,进行系统和动态的理性决策。
综合风险管理(Global Risk Management)。金融机构的学者在对金融机构特别是银行的风险管理实践中,提出了综合风险管理的理论。强调对金融机构面临的风险做出连惯一致、准确和及时的度量;试图建立一种严密的程序,用来分析总的风险在交易过程、资产组合及其他经营活动范围内的分布情况,以及对不同类型的风险应该怎样进行定价和合理配置资本。同时,在金融机构内部建立专门的风险管理部门,致力于防范和化解风险并且消化由此带来的成本。
(二)整体风险管理思想的融合阶段(2001-)
随着对风险和风险管理认识在深度和广度上的拓展,以上理论不再限于各自的原有范畴,各种学说逐渐趋向内涵的融合与统一。北美非寿险精算师协会(CAS)将整体风险管理
定义为:一个对各种来源的风险进行评价、控制、研发、融资、监测的过程,任何行业的企业都可以通过这一过程提升短期或长期的利益相关者价值。这一概念不仅明确了风险管理的价值取向,而且首次将风险管理措施扩展到“研发”、“融资”,反映了风险管理理念的最新成果和较高水平。随后,在内部控制领域具有权威影响的COSO 委员会,于2004 年9月颁布了《整体风险管理——总体框架》报告。报告从内部控制的角度出发,研究了整体风险管理的过程以及实施的要点,是整体风险管理理念在运用上的重大突破。
(三)企业全面风险管理发展趋势
全面风险管理,是指企业围绕总体经营目标。通过在企业管理的各个环节和经营过程中,执行风险管理的基本流程。培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。从而为实现风险管理的总体目标提供合理保证的过程和方法。
从国际上看,许多国家已从制度安排上着手建立以风险容量控制为中枢的相关风险全面管理框架。如美国萨班斯法案的实施。对在美上市公司的治理和管理控制提出了更高的要求,该法案404条款(管理层对内部控制的评价)规定了内部控制方面的要求和内部控制评价报告,这对美国企业内部流程梳理、加强财务投资监管、提高管理透明度等方面产生相当大的影响。2004年,美国著名的反虚假财务报告委员会下属赞助委员会COSO在内部控制框架概念基础上,提出一个概念全新的COSO报告《企业风险管理——总体框架》(简称EBM),使内部控制研究发展到一个新的阶段。COSO委员会提出,企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程,应用于企业的战略制定和企业的各个部门和各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
三、我国全面企业风险管理
从国内来看,中央政府已越来越重视风险控制,将风险管理提高到企业管理的重要位置。2006年6月。国务院国资委发布了《中央企业全面风险管理指引》。对中央企业如何开展全面风险管理工作提出了总体原则,并对企业风险管理的基本流程、组织体系、风险评估等方面进行了比较详细的引导。该《指引》的出台,对国有资产的保值增值和企业的健康发展。将起到一定积极作用,为我国企业应对经济全球化挑战和市场经济条件下的内外风险,提供了指南。
2007年3月全国工商联发布《关于指导民营企业加强危机管理工作的若干意见》,指导民营企业增强危机意识,建立防范风险的危机预警机制和用于解决危机的应急处理机制,提高危机防范与危机化解的能力和水平。
由此可见,我国在企业全面风险管理方面已经迈出了一大步,已经从初始的意识教育发展阶段上升到具体策划实施的实质性阶段。但是,全面风险管理在我国企业管理中还属于相对薄弱的环节。许多企业缺乏经验,风险意识不强,风险管理手段相对匮乏。因此。广泛开展企业全面风险管理理论与实践研究。积极借鉴国际上企业全面风险管理技术和经验,努力提高我国企业全面风险管理水平,将是我国政府和企业面临的日益紧迫的重要任务。
四、企业全面风险管理的基本流程与要求
企业全面风险管理不同于企业个别风险管理。它需要对企业各种风险进行统一、集中的识别、排序和控制,需要建立科学的全面风险管理流程,保证企业全面风险管理工作的有序性和有效性。为了更好地指导企业风险管理工作,《中央企业全面风险管理指引》第五条详细提出了我国中央企业全面风险管理基本流程的主要工作,具体包括:
(一)收集风险管理初始信息
收集风险管理初始信息是企业全面风险管理的首要环节,其目的在于及时发现企业可能面临的各种风险。为企业风险评估提供依据。
不同的风险,源于企业内外不同方面,而且随时随地都有可能发生。因此,收集风险管理初始信息应该贯穿于企业所有的业务单位,并且作为一项经常性工作。它要求企业有效地建立风险信息收集与管理系统,广泛、持续地收集与企业各种风险和风险管理相关的内外初始信息。主要包括与企业战略风险、财务风险、市场风险、运营风险、法律风险相关的国内外宏观经济政策、经济运行情况、产业政策、技术进步与技术政策、市场供给与市场需求变化、竞争对手有关情况、本企业战略与内部条件、有关法律法规等。
(二)进行风险评估
企业风险评估,是对所收集的风险管理初始信息企业各项业务管理及其重要业务流程进行的风险评估,具体包括风险识别、风险分析和风险评价三个步骤,其目的在于查找和描述企业风险,评价所识别出的各种风险对企业实现目标的影响程度和风险价值,给出风险控制的优先次序等。
风险识别、风险分析和风险评价,是一项专业性和组织性很强的管理工作。可以由企业组织有关职能部门和业务单位进行,也可以聘请外部专家乃至有资质、信誉好、专业能力强的中介机构协助进行。但无论如何,都要采取定性与定量相结合的方法,如问卷调查、专家咨询、管理层访谈、集体讨论、情景分析、统计分析、模拟分析等。为了提高风险评估的质量与效率,还要统一制定各种风险度量单位和风险评估模型,要保证风险评估的前提假设、数据来源和评估程序的合理性与准确性。对各类风险之间的相互关系,也要进行必要的相关分析,以便对各种风险进行集中管理。此外,风险评估也是一项经常性工作,需要进行动态管理。
(三)制定风险管理策略
制定风险管理策略,就是根据内外条件,对所识别出的各种风险,按照所给出的优先次序。围绕企业目标与战略,确定风险偏好、风险承受度和风险管理有效性标准,选择适当的风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制等风险管理工具,确定风险管理所需要的人力与物力资源的配置原则。这是风险控制的首要环节,决定着企业风险控制的成本与效率。企业应该定期总结和分析所制定的风险管理策略的合理性和有效性,对不适当的风险管理策略进行及时的修正或调整。
(四)提出和实施风险管理解决方案
提出和实施风险管理解决方案,就是根据所制定的风险管理策略。针对各类风险或各项重大风险制定风险解决方案。这是对风险管理策略的具体落实。一般包括:提出和确定风险解决的具体目标、所需要的组织领导、所涉及的管理与业务流程、所需要的条件、手段以及各种内控制度等,以及风险事件发生之前、之中和之后应该采取的具体应对措施(包括外包方案)以及风险管理工具。
所制定的风险管理解决方案,应该满足合规性要求,同时要注重成本、质量与效率的平衡,坚持经营战略与风险策略、风险控制与运行效率的统一,保护自身商业秘密,防止自身对外包解决方案产生依赖性风险。
(五)风险管理的监督与改进
企业风险管理的重点是对事关企业生存与发展的重大风险的识别、分析与控制。因此,企业应该以重大风险、重大事件、重大决策和重要管理与业务流程为重点,对上述各项风险管理工作实施情况进行监督,并且采取有效的方法对其有效性进行检验。根据监督和检验结果,对所存在的问题或缺陷加以改进。
为了加强风险管理的监督与改进工作,企业应该建立健全风险管理工作自查制度、监督评价制度(包括外部评价制度)、报告制度和信息反馈系统,为改进和有效落实风险管理策略和风险管理解决方案提供保证。
五、全面风险管理框架的基本步骤
全面风险管理的一般程序包括七个步骤。这七个步骤是:
• 建立综合信息框架;
•风险评估;
•制定风险战略;
•构造风险管理解决方案;
•实施风险管理解决方案;
•监控改进风险管理的过程;
•贯穿于整个风险管理过程中的信息沟通。
六、全面风险管理与企业内部控制
说到风险管理,有个概念是必须要提到的,即企业内部控制。在实践中有很多企业不能真正理解全面风险管理与内部控制的区别和联系,要么将两者完全隔离开来,要么只是简单地将它们等同起来。那么它们有什么联系和差异呢?目前国际上基本上是接受了美国COSO(全国虚假财务报告委员会的发起人委员会)2004年发布的《企业风险管理——整合框架》(国内也有译作《全面风险管理框架》的)对两者的阐释。
(一)按COSO框架,两者的联系为:
(1)全面风险管理涵盖了内部控制。COSO框架中明确地指出全面风险管理体系框架包括内控,将之作为一个子系统。
(2)内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。同时,维持充分的内控系统也是国内外许多法律法规的合规要求。因此,满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。
(二)内部控制与全面风险管理的差异为:
(1)两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标,而全面风险管理则贯穿于管理过程的各个方面,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
(2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
(3)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是现行的内部控制框架所不能做到的。
从国际国内发展趋势来看,随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
(三)斯坦福大学研究院的企业全面风险管理框架
斯坦福大学研究院提出的是企业全面风险管理(CERM:Comprehensive Enterprises Risk Management)框架。
企业全面风险管理(CERM:Comprehensive Enterprises Risk Management)强调通过量化分析支撑下的决策分析,在决策层面上管控战略方向选择、重大业务决策等方面的风险。相形之下,COSO风险管理框架以内控为中心,强调通过制度、流程和财务等手段,在业务层面上管控运营、操作过程中的风险。它可以在企业整体层面制定风险战略,构建内控体系,完善风险管理制度,优化流程和组织职能,为企业构建风险管理的长效机制,从根本上提升风险管理的效率和效果,最终帮助企业实现风险管理的各项目标,包括:
•建立包括风险识别、风险测评、风险应对和风险监控在内的企业风险管理体系
•利用系统的、科学的方法对各类风险进行识别和分析
•将风险应对措施落实到企业的制度、组织、流程和职能当中
•形成企业风险管理战略,支持企业经营战略目标的实现
•使所有企业利益相关人了解企业的风险,满足股东以及监管机构的要求
0
元