在即将过去的8102年,当我们说到“风险管理”/“全面风险管理”时,通常我们所指的并不是享有盛誉、广泛传播的COSO1992内部控制框架与COSO2004风险管理框架,而是2016年推出征求意见版本,并在2017年9月正式推出的COSO2017《企业风险管理-整合战略与绩效》(Enterprise Risk Management- Integrating with Strategy and Performance)。简称《企业风险管理(框架)》。
文档主要构成包括三部分:Executive Summary(执行大纲)、Framework(框架内容)、Appendices(附录)。
相比于COSO2004《企业风险管理-整体框架》,COSO2017有着多处变化:
1、简化了企业风险管理的定义;
2、强调了风险与价值的联系;
3、重新审视了企业风险管理整合框架所关注的焦点;
4、检查了文化在风险管理工作中的定位;
5、增加了战略、运营绩效与风险管理协同的内容;
6、进一步明确企业风险管理(全面风险管理)和内部控制的关系;
7、优化了风险偏好和风险承受度的概念。
COSO2004风险管理框架中提出的风险管理工具与技术依然保留。
COSO2017使用了这样一张图表达对企业战略怎样提升绩效表现的理解:
图的结构是“愿景与价值观-》战略、业务目标、绩效表现(战略选择、实施、战略决策与运营过程中的风险)-》得到提升的绩效”。
COSO2017的核心观点是,风险管理与企业的核心利益相关,是组织绩效提升的重要影响因素,风险中蕴含着增长机遇。
其次,COSO2017改变了1992、2004版本框架的目标-要素组织形式,而采用了要素-原则的形式,如图所示:
而风险管理的五要素及各要素下属的原则则以彩色色条的形式贯穿图中,含义为风险管理包含在企业运营发展的全流程中,并服务于企业的成长。
COSO2017企业风险管理框架的五要素是:治理和文化、战略和目标设置、绩效、审查和修订、信息交流和报告。
要素下属原则-治理和文化:
1、实现董事会对风险的监督;
2、建立运作模式;
3、定义集团的组织文化;
4、兑现核心价值的承诺;
5、吸引发展并留住优秀人才
要素下属原则-战略和目标设置:
1、考虑业务环境;
2、定义风险偏好;
3、评估替代策略;
4、建立业务目标
要素下属原则-绩效:
1、识别风险;
2、评估风险的严重程度;
3、风险排序;
4、执行风险应对;
5、建立风险的组合观(管理层需要从组织整体角度考虑风险,将组织风险作为一个整体去和实现绩效目标所需要承受的风险进行对比,而不是将其视为一个个单独的、分散的风险)
要素下属原则-审阅与修订:
1、评估重大变化;
2、审阅风险和绩效;
3、企业风险管理改进
要素下属原则-信息沟通与报告:
1、利用信息和技术;
2、沟通风险信息;
3、对风险、文化和绩效进行报告(组织在各个层级对风险、文化和绩效做出报告。首先组织要确定这些报告的使用者和他们的职责。报告的形式和种类很多,包括:风险的整体判断、风险图谱、根本原因分析、敏感度分析、对新兴及发生变化的风险的分析、KPI(关键业绩指标)、趋势分析、对意外事故、违规和损失的披露以及对ERM计划和倡议的追踪。管理层需要确定报告的频率并对其质量负责)
一共20项原则。
除了了解COSO2017的要素与原则,还有一些关键定义必须掌握。最能体现2017版本特点的,是“风险”被定义为“事项发生并影响战略和商业目标实现的可能性”,这与ISO31000风险管理标准中对“风险”的定义是不同的,国际标准组织对风险的定义是“不确定性对目标的影响”。我个人认为这两种提法没有本质上的差别,都认可风险存在正面与负面的影响。
风险偏好(Risk Appetite)依然被定义为“主体在追求战略和业务目标的过程中愿意承受的风险量”。选择合适的量化指标例如VAR,eVAR,LVAR都可以作为风险偏好的度量标准。
风险容忍(Risk Tolerance)在2004版中被定义为颗粒化的、更细节的风险偏好(Risk Appetite),在2017版中则被定义为“可接受的绩效变动区间(Accepted Variation in Performance)”,除了数量化的倾向,还可以看出风险-绩效关系的又一次重申。
“企业风险管理”被定义为“组织在创造、保持和实现价值的过程中,结合战略制定和执行,来意进行管理风险的文化能力和实践”。相对于2004版的“一个过程,由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”,差别明显,一种文化、能力和实践的描述更加贴近于风险驱动绩效的核心观点。
COSO2017提出了一个崭新的曲线表述-风险绩效曲线。COSO认为,整体的风险与绩效是相关的,在下图中,横轴带包绩效,纵轴代表风险:
承担风险越大,企业绩效越好,在通常情况下这条曲线的方向是正确的。COSO用图中的直线表示组织的风险容忍与绩效设置,阴影部分越小,意味着组织的风险偏好越激进。但在实际操作中,用什么指标来代表绩效和风险是需要决策的。特别是在主体的层面上,风险的加总需要考虑的问题绝不是简单的线性相加。操作上存在难点,但这依然是一个精彩的想法,更加深刻地表现了风险绩效相联系的主旨。
COSO2017实际上所做的事情,是为企业管理领域提出了基于风险导向的管理理念,它的目标是成为管理体系,而不是原来的内部控制流程。从COSO1992、COSO2004到COSO2017,聚焦的重点从运营经营的流程控制、财务报告的反舞弊、法律合规扩张到企业战略决策、绩效增长,使得风险管理承担更高层次的诉求,更深刻地融入到企业经营之中。