44.风险管理体系建立的背景是什么?
2004年,美国的COSO委员会(全美反舞弊性财务报告委员会发起组织)提出了《企业风险管理—整体框架》,其中明确规定:“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”同时,该《框架》将风险管理的要素分为八个方面:内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。
2006年6月,国务院国有资产监督管理委员会印发《中央企业全面风险管理指引》(国资发改革[2006]108号)明确规定:“企业风险是指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。”
同时,该《指引》明确规定:“全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。”并从风险信息、风险评估、管理策略、解决方案、监督与改进、组织体系、信息系统、风险文化等方面进行了规范和要求。
45.风险管理的内涵包含哪些?
在内容上,风险管理具有全面性和总体性的特征。全面性体现在一方面风险管理是一种持续性行为,贯穿于企业经营管理全过程,对各项业务管理、环节、流程等全面风险控制,对企业内外部风险全面把控,对历史、现在及未来全生命周期的风险分析预测等;另一方面风险管理本身的全流程性,从组织、制度、程序、措施、系统、文化,到建立、评估、执行、解决、处置、监督、评价、改进等全方位的管理系统和体系,识别企业所面临的各类风险。总体性体现在围绕企业总体经营目标和战略发展,关注的是企业整体风险,整体宏观上实现经营管理战略目标。
在设置上,风险管理具有独立性和权威性的特征。一方面将风险管理职能提升到高级管理层,体现出权威性,另一方面企业要独立于业务部门设置职责清晰、权责明确的风险管理部门,并直接从属于高级管理层管理,体现出独立性,不受其他部门影响,以保证其客观性和公正性。
在效果上,风险管理具有合目的性和价值性特征。首先,风险管理是一个动态的过程,强调风险管理与企业经营管理过程相结合,并受人、文化等因素影响,强调“软控制”(即精神层面的内容,例如管理层的风格和理念、企业文化等)的作用和风险意识,即不同企业的风险管理都深深烙上企业文化的印记。其次,风险管理受目标驱动,并明确组织中的每一个人对风险管理负有责任,且由于内部控制的固有限制,风险管理只能提供合理保证,而非绝对保证。最后,风险管理的最终目标与企业目标一致,在现代社会中,企业目标已不仅仅是追求利润最大化、价值最大化,而是追求构建起一个和谐的内部控制机制,考虑所有利益相关者的利益,改进和提高内部控制的效率和效果,也是风险管理价值所在。
46.风险管理的定义是什么?
国务院国资委的颁布的《全面风险管理指引》将全面风险管理定义为:企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理体系,为实现风险管理的总体目标提供合理保证的过程和方法。COSO用过程来描述全面风险管理,是目前比较通行的做法。这个定义反映了以下几方面的基本概念:
1、企业风险管理是一个过程,一个流程,它持续作用于企业,并渗透于企业的各项活动中,是降低和控制风险的一系列程序。
2、企业风险管理不仅仅是企业管理层或风险管理机构的职责,同时需要企业各个层级几乎所有的员工共同参与实施。
3、企业风险管理应当在企业战略的制定过程中被应用。
4、由于风险的客观存在性,风险管理并不能给企业提供绝对的保证,而只能为企业实现其经营目标提供一个合理的保证。
5、企业风险管理旨在识别将会影响企业的潜在事项,并将风险控制在风险承受能力之内。
47.风险管理框架的8要素是指什么?
2004年9月,COSO结合《萨班斯—奥克斯利法案》的相关要求,颁布了一个概念全新的报告,即《企业风险管理—整体框架》(以下简称“ERM”框架)。框架的出台顺应了各方需求。与1992年的《内部控制—整体框架》相比,ERM 框架在内部控制的内涵、目标、要素以及内部控制责任承担等层面作了全新突破,对企业风险管理作出了更为详尽的阐述。ERM 框架并没有取代《内部控制—整体框架》,而是基于该框架并将其融入其中,全面推进了内部控制标准的发展。
在ERM中明确提出了风险管理的8要素,即:内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、内部监督。
48.风险管理框架的8要素中“内部环境”是指什么?
“内部环境”是企业风险管理所有其他构成要素的基础,为其他风险管理要素提供运行的规则和结构。内部环境包含很多内容,包括风险管理理念、风险容量、董事会、诚信和道德价值观、对胜任能力的要求、组织结构、权力和职责的分配及人力资源准则,它影响着企业的战略和目标如何制定、经营活动如何组织以及如何识别、评估风险并采取行动;它还影响着企业的风险控制活动、信息与沟通体系、风险监督等风险管理要素。
49.风险管理框架的8要素中“目标设定”是指什么?
风险管理框架的8要素中的“目标设定”是指,企业必须首先建立企业要实现的战略或者目标,管理层才能识别影响目标实现的潜在风险事项。
从企业管理的角度来看,企业决策与经营的各项活动均存在风险,但是如果要对所有活动面对的风险全部控制,那么企业的运行成本将会无限增加。因此,设定适当的风险控制目标就显得非常重要。
企业风险管理确保管理层采取适当的程序去设定风险控制目标,确保所选定的风控目标支持和切合该企业的使命,并且与它的风险容量相符。
50.风险管理框架的8要素中“事件识别”是指什么?
“事件识别”是指识别影响企业目标实现的内部和外部事件,即确定这些潜在事项对企业到底是机会还是风险。如果是机会,应将其反馈到战略和目标设定之中,而如果是风险则应该展开有效的评估和应对。
这些事项是来自于内部或外部的影响实施战略和目标实现的事故或事件,其驱动因素可能来自很多方面,比如外部的经济因素(价格、资本等)、自然环境、政治、技术、社会等因素,以及内部的基础结构、人员、流程、技术等。企业应该采取各种方式,比如互动研讨、统计数据、追踪技术、内部分析、预警触发等。
在“事件识别”中,为了更好的管理事项以及其背后的风险及其应对,应该考虑事项之间的关联关系,事项的类别划分(包括正负向划分以及不同属性类别上的划分)。
51.风险管理框架的8要素中“风险评估”是指什么?
“风险评估”是指通过考虑某一风险发生的可能性高低和影响大小来对其加以分析,并以此作为如何进行风险管理的依据。在设定风险控制目标,发现风险事项之后,必须进行适当的风险评估。
评估风险对企业实现目标的影响程度或风险价值等,有定性与定量两种方法——定性方法包括问卷调查、集体讨论、专家咨询、政策分析、行业标杆比较、管理层访谈和调查研究等,而定量方法包括统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。根据coso的建议,定性和定量的方法相结合是最佳选择。
52.风险管理框架的8要素中“风险应对”是指什么?
“风险应对”是指管理层在风险容忍度和成本、收益原则下,确定风险应对方案并考虑其对风险事项的可能性和效果的影响,然后设计、确定和实施选择的应对方案。
风险应对措施通常包括回避、降低、分担和承担四种。此外,在风险应对的过程中,还应该有组合的观念——一个不同风险组合应对之后,其风险应对管理成本可能会下降,也可能因为组合而积聚上升变得更加重要,这就如同合力效应。
53.风险管理框架的8要素中“控制活动”是指什么?
“控制活动”是指为了应对风险的发生所采取的措施和方法,通过控制活动的实行,降低或者消除风险发生的可能性。
控制活动通常包含两个要素:确定应做什么的政策和有效地实施政策的程序。控制活动也可以分为预防性控制、检查性控制、纠正性控制和补偿性控制等各种类型。
在风险管理中,风险控制活动贯穿在组织的各个层级和各个职能部门,包括一系列不同的活动,比如批准、授权、验证、调节、评价、评估、职责分离等等。
54.风险管理框架的8要素中“信息与沟通”是指什么?
“信息与沟通要素”是指提倡企业必须有效识别、收集来源于企业内部和外部的定性或定量的经营信息,并以适当的方式与相关利益者进行有效沟通。
信息的来源无论是内部,还是外部都有正式渠道,也有非正式渠道,有直接渠道也有间接渠道。比如,商户的风险高低在于获得商户的信息多少、来源及其可靠性——有直接与商户面谈或问卷调查得到信息,也可能有通过新闻媒体、网络平台、监管机构等方面获得的有关商户的信息。
另外,现在信息化时代下,内部不同平台之间的信息共享程度,以及内部系统与外部系统(供应商或客户)的集成度和信息分享程度都在日益上升。这给信息、沟通的及时性、效率得到改善,而同时信息的深度、及时性、可靠性对于信息分析决策都变得日益重要。
同信息的来源分为内部和外部一样,信息的沟通也分为内部和外部沟通。信息的内部沟通是为了更高的事项企业的战略、经营、报告和合规方面的目标。内部沟通包括横向的沟通和纵向的沟通,横向的沟通有利于风险的应对和控制活动的协调开展,纵向信息的及时沟通便于决策及其措施的快速确定和传达。
信息的外部沟通主要集中在企业主体与外部利益相关者之间的沟通,比如供应商、客户、监管机构、投资者等等。
55.风险管理框架的8要素中“内部监督”是指什么?
“内部监督”是一个对风险要素当前功能及其业绩质量进行评估的过程。通常监督通过两种方法进行:通过持续的活动或个别评价。
持续监控建立在企业日常重复发生的业务活动和风险管理活动之上,而个别评价则是在事后进行的,可以作为对持续监控的补充。
专门的评价通常要确定评价的范围、频率、目的,并关注评价过程、方法和报告形成评价的信息传递机制和分享机制。在企业风险管理工作的实务处理中,这两种方法是结合进行的。
