《企业内部控制与风险管理(DOC 58页).docx》由会员分享,可在线阅读,更多相关《企业内部控制与风险管理(DOC 58页).docx(57页珍藏版)》请在三一办公上搜索。
1、企业内部控制(风险管理)制度设计与评价专题讲座引:全球金融危机中的中国企业风险管理【相关媒体报道摘录】2007年美国抵押贷款风险引发的全球性金融风暴及其对我国企业的影响目前世界上最热门的名词:次贷危机次贷危机(subprime lending crisis)又称次级房贷危机,也译为次债危机。它是指一场发生在美国,因次级抵押贷款机构破产、投资基金被迫关闭、股市剧烈震荡引起的风暴。它致使全球主要金融市场隐约出现流动性不足危机。美国“次贷危机”是从2006年春季开始逐步显现的。2007年8月席卷美国、欧盟和日本等世界主要金融市场,印发了一场全球金融风暴。 一、危机出现:2007年美国抵押贷款风险浮出
2、水面曾经被视作美国经济增长最大引擎的房地产业,在2007年以前的五年中不仅拉动了与建筑业相关的产业增长,更成为许多市场蓬勃兴旺的主要推动力,这其中就包括如滚雪球般逐年扩大的美国住房抵押贷款市场。伴随房地产市场降温,有关抵押贷款风险的问题越来越成为人们关注的焦点,也频频见诸报端。这个此前仍处于潜在担忧层面的风险更是以英国汇丰控股突发盈利预警的形式第一次真正浮出水面。2007年2月7日汇丰控股表示,该行在次级抵押贷款业务方面存在的问题超过预期,并宣布将为美国抵押贷款坏账拨备106亿美元,较市场预期高出20%。这一宣布导致汇丰控股股价8日下跌2.7%。与此同时,美国第二大次级抵押贷款专业机构新世纪金
3、融也在7日晚间宣布将调整其2006年前三季度的业绩报告,以修正与贷款回购损失相关的会计错误,并预计由早期坏账(earlypaymentde鄄 faults)带来的损失可能会使公司2006年第四季度业绩出现亏损。消息发布次日,该公司股价快速下挫36%。 由于次级抵押贷款只是汇丰控股诸多业务中的一个方面,因此汇丰股价所受影响算不上惊天动地。然而,汇丰公告对于整个美国抵押贷款市场来说却无异于平地惊雷,投资者似乎从中看到了不祥的信号,许多主营次级抵押贷款业务的金融机构股价在8日集体跳水。当天活跃于美国的七家次级抵押贷款发放机构的总市值缩水了37亿美元。 糟糕的是,人们担心的远不只是几家抵押贷款发放机构
4、的股价涨跌。近年来抵押贷款证券化的发展使得这一市场日益庞大而复杂,以购买证券方式投资抵押贷款的市场参与者从数目到种类上都在急速上升。人们更担心,一小条裂缝有可能引发极具杀伤力的地震。美国最大的抵押贷款放贷机构之一富国银行首席执行官科瓦切维奇在接受记者采访时坦言,大家(包括美联储在内)谁都不清楚的就是现在这些抵押贷款证券究竟是什么人在持有。最好这种持有是非常分散的,否则后果将不堪设想。 相比之下,放贷机构本身的风险较为透明。通过抵押贷款证券化,放贷机构可以分散风险,从而有能力发放更多贷款,但是把抵押贷款证券化并不能彻底解除他们的风险。事实上,放贷机构发行抵押贷款证券的时候,合同中通常都包括这样一
5、个条款,即如果借款人在最初的还款周期中就无法按时偿付,投资者可以迫使放贷机构回购这些证券。这样,一旦坏账率高企,大量回购抵押贷款证券将在瞬间之内增大放贷机构的财务负担。事实上,过去两个月中美国已经有一些规模较小的次级贷款放贷机构因此而破产倒闭。而瑞士第一信贷上周三发布的一份报告显示,截至12月份,2006年美国有四分之一的次级抵押贷款合同出现了至少8%的坏账率。 应该说,造成今天美国抵押贷款市场风险积聚的原因有很多。但是追根溯源,新的市场参与者出于逐利目的而过分追求高风险贷款这一条最难逃干系。 就在三年前,美国的抵押贷款市场还是由政府支持的房利美和房迪美这两家公司主宰。这两家公司将贷款打包成证
6、券,承诺投资者能够获得本金和利率。然而,伴随这两大公司财务丑闻的爆发,其他投资者蜂拥而入这一市场,抢夺原本可能由这两大公司购得的贷款。其结果就是,房利美和房迪美在美国抵押贷款市场中的份额一泻千里,到去年底已经从2003年的70%降到了40%。 在这两大公司扮演垄断性角色的时候,他们通常会制定明确的放贷标准,严格规定哪些类型的贷款可以发放。而现在,由于全球各地成千上万高风险偏好的对冲基金、养老金基金以及其他基金的介入,原有的放贷标准在高额利率面前早已成为一纸空文,新的市场参与者不断鼓励放贷机构尝试各种各样的贷款类型。许多放贷机构甚至不要求次级贷款借款人提供包括税收表格在内的财务资质证明;在做房屋
7、价值评估时,放贷机构也更多地依赖机械的计算机程序而不是评估师的结论。在所有的人都沉浸在对高额回报的憧憬中时,风险也就悄无声息地膨胀起来。 在房市高热的时候,这些贷款的风险并不高,坏账率也始终保持在极低的水平。原因很简单,在借款人感到无力偿还贷款时,他完全可以通过出售房屋还清欠款,再凭借更宽松的条款获得新的贷款。然而,随着美国房价渐趋平抑,部分地区房价甚至开始下降,这种贷款立刻成为高危品种。一方面房子出手越来越难,另一方面卖房所得也未必能够帮助借款人还清贷款。其结果就是,还不起债的人多了,坏账率上升了。数据显示,去年11月,在美国被打包成抵押贷款证券的次级贷款中,有近13%的贷款逾期60天以上无
8、法偿还,这一比例较上年同期上扬了8.1%。 上述情形一旦发生恶化,则美国监管机构将面临巨大难题。毕竟,人们再不能奢望美联储在1998年紧急援助长期资本管理公司时所采取的大手笔了。在眼下这个高度分割的抵押贷款证券市场,没有哪个机构能把所有的市场参与者都集中起来,帮助“遇难”机构化险为夷。人们惟一能够期待的恐怕就是吸取教训,别再让错误重新上演。美国次贷危机全球金融危机(一)美国次贷危机全球金融危机(二) 二、席卷美国的金融风暴2007-02:抵押贷款风险浮出水面2007-04:美国3月成屋销量大跌2007-08:全球金融市场震荡2007-08:欧美股市全线暴跌2007-08:贝尔斯登总裁辞职200
9、8-01:金融机构相继爆巨亏2008-03:美联储2000亿美元救市2008-06:贝尔斯登被收购2008-07:危机扩散至美国银行业2008-09:美国政府接管“两房”2008-09:雷曼兄弟破产2008-09:十大银行设700亿基金2008-09:美国银行收购美林2008-09:美国政府接管AIG2008-09:各央行联手注资2470亿2008-09:美政府7000亿救市计划2008-09:高盛大摩变身传统银行2008-09:华盛顿互惠银行破产 三、美国的金融风暴波及中国(一)三大漩涡金融海啸的威力已是无人不晓,但这场灾难,对于中国企业到底危害在哪里?1.首先是金融市场。漩涡的中心在美国,
10、殃及欧洲,中国处于边缘地位,所以直接的财富损失微乎其微。2.其次是消费市场。漩涡的中心也是在美国。由于美国的过度消费和中国的过剩产能相互依存,中国处于次中心地位,经济增长中的出口贡献度将从2007年的高峰进入2009-2010年的低谷,直接影响估计会占到中国GDP增长速度的3%4%。3.再次是资产估值。这是一个巨大的漩涡,中心覆盖面远远超过美国欧洲,中国企业在这个层次中的财富损失远大于前两个漩涡。(二)直接影响1.美国消费减少影响中国出口:雷曼兄弟公司的倒闭和美林公司被收购与始自去年的次贷危机一脉相承,在众多专家看来,这个事件仅是整个危机过程中泛起的一朵浪花,不应该被孤立看待,其对中国经济的冲
11、击实际上也是次贷危机对中国宏观经济影响的延续。可以从出口和进口两个方面来理解这次危机对我国的影响。出口方面:可以预料的是我国宏观经济的外部环境将由于此次席卷华尔街的金融风暴而更显严峻。海关总署的进出口数据显示,2008年前8个月,我国外贸出口额的增幅下行放缓的趋势明显,由于美国是中国商品最大的出口市场,一度在6-7月份冲高的中国外贸出口增速又将遭遇考验,外需下降意味着外国消费者对高附加值产品和低附加值产品需求的同时下降。在这种环境下,出口商很可能没有动力革新技术,而是被迫通过压低产品价格去维持市场份额,这可能导致中国出口企业贸易条件的进一步恶化。 进口方面:受此次金融危机的冲击,美国经济在下半
12、年仍有下滑的可能,从而导致其国民消费能力和消费欲望继续降低,而投资支出将出现增加,“这对中国的外贸出口并不是一个利好消息”,如果美国国民的消费需求减少而制造业因投资增加而逐渐恢复活力,那么势必减少从中国进口商品的数量。(2)加大国内进口商品成本:进口方面,由金融风暴带来的冲击则与美元汇率密切相关,目前国际市场上大宗商品几乎都以美元定价,美元走势的强弱决定了大宗商品价格走势的高低,从可以观察到的数据来看,由于近期美元逐渐反转走强,原油、铁矿石等商品的价格显现下降趋势,这对需要大量资源性产品的中国来说本属利好消息,然而雷曼兄弟公司破产倒闭、美林公司被收购不期而至,再加上一周前被美国政府宣布接管的“
13、两房”,美国金融市场反复动荡严重影响到美元汇率的走势和持有者的信心。虽然美国经济形势在二季度表现优于预期,体现出了足够的韧性,但这是由于美元弱势所带来的强劲出口所致,因此,在金融风暴袭来,国内需求更趋疲弱的情况下,美国政府将继续推动“弱势美元”下的出口,给美联储预留出进一步降息的空间。虽然中长期还是看好美国经济走强和美元汇率走高,但是短期内弱势美元的政策似乎已被市场所认可,如此一来,原油、铁矿石等资源性产品的价格将被再度推高,我国进口以美元计价的大宗商品付出的成本也大为增加。(3)重创国内金融市场信心:中央财经大学中国银行业研究中心主任郭田勇:雷曼兄弟公司破产是美国次债危机的延续,带给金融机构
14、的损失和震动相当大,华尔街五大投行拥有强大的投资和研究团队,资产超过数千亿美元,信息资源也极为丰富,这样大型的投行也纷纷倒闭,说明了此次危机的严重性。“不同的金融机构出现了不同程度的损失,有所区分的只是损失额度大小,像雷曼兄弟,还包括前面被美国政府接管的“两房”和3月份被摩根大通收购的贝尔斯登等,但与其估算投资者的直接损失不如考量对金融市场的信心打击。具体到中国而言,影响在两个层面上,第一个层面是市场信心,美国出大问题的机构相继破产,给中国的投资者心理蒙上了一层阴影。可以获得印证的是,雷曼兄弟公司破产消息传来的次日,正值A股结束中秋三天假日开市,沪深两市银行板块全线暴跌,其表现只能以“惨不忍睹
15、”来形容,其中,工商银行跌9.95%,建设银行跌9.94%,中国银行跌9.17%。在多方利空消息的垂直打击之下,沪深两市银行股全天放量大跌超过9.0%,多达8家银行股跌停。招商银行持有雷曼兄弟公司发行的债券敞口共计7000万美元,其中,高级债券6000万美元,次级债券1000万美元,并且公司尚未对上述债券提取减值准备。(4)给国内金融机构带来直接损失:雷曼兄弟破产给国内金融机构带来的直接影响,包括两方面:一方面,我国的金融机构、投资者持有较多的次级债券,形成实际损失;另一方面,金融危机导致美国出现衰退,它会传导到中国来。对持有大量美国金融机构股票和基金的中国银行业的担心。根据破产文件显示,雷曼
16、兄弟前30大无抵押债权人主要是亚洲金融机构,包括日本的Aozora银行、中央三井信托、住友三井金融、瑞穗实业银行、信金中央金库、国内金融机构中中国银行再度被牵涉其中。据报道,雷曼对日本Aozora银行欠款额达4.62亿美元,对瑞穗实业银行欠款额达3.82亿美元,对花旗集团香港子公司欠款额约为2.75亿美元,而中国银行纽约分行也曾主导给雷曼贷款5000万美元。中资银行拥有雷曼资产市场报报道,到目前为此,七家上市银行持有雷曼资产共7.2164亿美元,占各大银行资产比例较小,因此,雷曼破产所造成的直接影响有限。但是,从三大银行今年中报数据来看,中国银行的美元资金达到了1.2119万亿元人民币;三大上
17、市中资行的海外美元资产达到3000多亿美元。由此看来,中国银行无疑成为中国内地最大的美元资产债权人,在这1.2119万亿元人民币中,交易类金融资产、可供出售类金融资产和持有到期类投资的数目分别达到273.92亿元、2896.77亿元和953.56亿元;另有5.38亿元应收款项债券投资。外汇储备受冲击更大中信资产管理有限公司总经济师吴宝起分析,中国外汇储备、金融机构、企业在美国的投资主要投向债券,美国这些金融机构一旦破产,其债券及其他投资品的价值就急速下滑,市场风险极大。目前美国经济衰退已现端倪,一旦出现资本大逃亡,美元储备越多的国家损失也越大,而中国的外汇储备非常多,损失是不可低估的。吴宝起说
18、:“类似雷曼这样的美国金融机构,许多都在中国有投资的公司和项目。一旦在华尔街的母公司出了问题,肯定会影响到在中国的投资、合作项目。如果这些公司大量出售在中国的资产,大量资金从中国汇出去的话,短期内给中国外汇市场冲击也较大。”四、全球金融危机中的中国企业风险管理(略)一、国内外最新内部控制制度(风险管理)理论研究成果介绍(一)COSO内部控制整体框架1.关于COSO委员会(COSO官方网站的英文简介)Originally formed in 1985 to sponsor the National Commission on Fraudulent Financial Reporting,COSO
19、 is a voluntary private sector organization dedicated to improving the quality of financial reporting through business ethics, effective internal controls, and corporate governance.COSO comprises The American Accounting Association (AAA),The American Institute of Certified Public Accountants (AICPA)
20、,Financial Executives International (FEI),The Institute of Management Accountants (IMA), andThe Institute of Internal Auditors (IIA).2.内部控制整体框架(Internal ControlIntegrated Framework)1992年,美国“反对虚假财务报告委员会”下属的由美国会计学会、注册会计师协会、国际内部审计师协会、财务经理协会和管理会计学会等组织参与的“发起组织委会”(CommitteeofSponsoringOrganizationsofTread
21、wayCommission)发布了内部控制的最新准则内部控制整体框架(Internalcontrolintegratedframework),并于1994年进行了修订,这就是著名的“COSO报告”。COSO报告首次把内部控制从原来的平面结构提升为立体结构,是内部控制理论研究的历史性突破,代表了内部控制研究的最高水平,也是当今世界最权威、使用面最广的内部控制准则,被人们形象地称作内部控制的“圣经”。主要内容包括:(1)关于内部控制的定义(COSO官方网站的英文定义)COSO defines internal control as a process, effected by an entitys
22、 board of directors, management and other personnel. This process is designed to provide reasonable assurance regarding the achievement of objectives in effectiveness and efficiency of operations, reliability of financial reporting, and compliance with applicable laws and regulations. Internal contr
23、ol is a process. It is a means to an end, not an end in itself. Internal control is not merely documented by policy manuals and forms. Rather, it is put in by people at every level of an organization. Internal control can provide only reasonable assurance, not absolute assurance, to an entitys manag
24、ement and board. Internal control is geared to the achievement of objectives in one or more separate but overlapping categories. COSO报告将内部控制定义为:“由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:经营的效果和效率;财务报告的可靠性;符合适用的法律和法规”。在这个定义中,有四个关键词值得注意:目标(objectives)人(personnel)过程(process)合理保证(reasonableassurance)。也就是说,内
25、部控制以过程为导向;受人的因素影响;受目标的驱动;存在局限性,即内部控制所提供的是合理的保证而非绝对的保证。(2)关于内部控制的构成要素COSO报告提出了内部控制的五个构成要素,即所谓的“五要素论”,它们分别是控制环境、风险评估、控制活动、信息与沟通、监控。控制环境(ControlEnvironment)COSO报告把控制环境作为内部控制系统的首要因素,认为控制环境是一个企业进行内部控制的氛围,是其它控制成份的基础。具体包括以下内容: 员工的诚实性和道德观,如有无描述可接受的商业行为、利益冲突、道德行为标准的行为准则; 员工的胜任能力,如雇员是否能胜任质量管理的要求; 董事会或审计委员会,如董
26、事会是否独立于管理层; 管理哲学和经营方式,如管理层对人为操纵的或错误的记录的态度。 组织结构,如信息是否到达合适的管理阶层。 授予权利和责任的方式,如关键部门的经理的职责是否有充分规定。 人力资源政策和实施,如是否有关于雇佣、培训、提升和奖励雇员的政策。风险评估(RiskAssessment)COSO报告认为,风险评估指管理层识别并采取相应行动来管理对经营、财务报告、合规性目标有影响的内部或外部风险,包括风险识别和风险分析。风险识别包括对外部因素(如技术发展、竞争、经济变化)和内部因素(如员工素质、公司活动性质、信息系统处理的特点)进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能
27、性、考虑如何管理风险等。控制活动(ControlActivities)控制活动是企业内部控制的实质性要素,是依托于控制环境进行的实际控制行为。COSO报告认为,控制活动指对所确认的风险采取必要的措施,以保证单位目标得以实现的政策和程序。实践中,控制活动形式多样,可将其归结为以下几类: 业绩评价,是指将实际业绩与其他标准比较。 信息处理,指保证业务在信息系统中正确、完全和经授权处理的活动。 实物控制,也称为资产和记录接近控制,这些控制活动包括实物安全控制、对计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。 职责分离,指将各种功能性职责分离,以防止单独作业的雇员从事或隐藏不正常行
28、为。一般来说,下面的职责应被分开: 业务授权(管理功能) 业务执行(保管职能) 业务记录(会计职能) 对业绩的独立检查(监督职能)。理想状态的职责分离是,没有一个职员负责超过一个的职能。信息与沟通(InformationandCommunication)信息与沟通,指为了使职员能执行其职责,企业必须识别、捕捉、交流外部和内部信息。外部信息包括市场份额、法规要求和客户投诉等信息。内部信息包括会计制度,即由管理当局建立的记录和报告经济业务和事项,维护资产、负债和业主权益的方法和记录。有效的会计制度应是: 包括可以确认所有有效业务的方法和记录; 序时详细记录业务以便于归类,提供财务报告; 采用恰当的
29、货币价值来计量业务; 确定业务发生时期以保证业务记录于合理的会计期间,在财务报告中恰当披露业务。(5)监控(Monitoring)COSO报告认为,监控指评价内部控制质量的过程,即对内部控制改革、运行及改进活动进行评价。监控实际上是企业对内部控制实施效果进行评价的过程,是企业站在更高的整体的层面对其他控制要素的整合及调适,是独立的、进一步的控制活动,因而是企业完整的内部控制系统必不可少的后续要素。(6)整体框架(WholeFramework)上述五大要素之间具有紧密的关系:控制环境是其他控制成份的基础,在规划控制活动时,必须对企业可能面临的风险有细致的了解和评估;而风险评估和控制活动必须借助企
30、业内部信息有效的沟通;最后,实施有效的监控以保障内部控制的实施质量。五大要素实际上构成了内部控制的立体框架模式,如图所示。(英文版)监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1(中文版)COSO内部控制整体框架的影响:美国:是美国证券交易委员会唯一推荐使用的内部控制框架,同时萨班斯法案第 404 条款的最终细则也明确表明COSO内部控制整体框架可以作为评估企业内部控制的标准;美国注册会计师协会、国际内部审计师协会、美国审计署等均接受。国内:接受COSO内部控制整体
31、框架的政府部门和行业协会包括财政部及其所属的中国注册会计师协会、会计准则委员,审计署及其所属的中国内部审计协会、中国证券监督管理委员会及其管辖的深圳证券交易所、上海证券交易所,中国银行业监督管理委员会、香港联合交易所有限公司等等。(二)COSO企业风险管理整合框架【COSO的企业风险管理整合框架(COSO官方网站的简体中文版)】企业风险管理整合框架(内容摘要)企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性,管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时,要确定承受多大的不确定性。不确定性可能会破坏或增加价值,因而它既代表风险,也代表
32、机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会,增进创造价值的能力。当管理当局通过制订战略和目标,力求实现增长和报酬目标以及相关的风险之间的最优平衡,并且在追求所在主体的目标的过程中高效率和有效地调配资源时,价值得以最大化。企业风险管理包括:协调风险容量(risk appetite)(也有人将其翻译为“风险偏好”、“风险需求”、“风险承受能力”等译者注)与战略管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中,需要考虑所在主体的风险容量。 增进风险应对决策企业风险管理为识别和在备选的风险应对风险回避、降低、分担和承受之间进行选择提供了严密性。抑减
33、经营意外和损失主体识别潜在事项和实施应对的能力得以增强,抑减了意外情况以及由此带来的成本或损失。识别和管理多重的和贯穿于企业的风险每一家企业都面临影响组织的不同部分的一系列风险,企业风险管理有助于有效地应对交互影响,以及整合式地应对多重风险。抓住机会通过考虑全面范围内的潜在事项,促使管理当局识别并积极地实现机会。改善资本调配获取强有力的风险信息,使得管理当局能够有效地评估总体资本需求,并改进资本配置。企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标,防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规,还有助于避免对主体声誉的损害以及由此带来的后果。总之,企业风
34、险管理不仅帮助一个主体到达期望的目的地,还有助于避开前进途中的隐患和意外。事项风险与机会事项可能会带来负面的影响,也可能会带来正面的影响,抑或二者兼而有之。带来负面影响的事项代表风险,它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响,或者说代表机会。机会是一个事项将会发生并对目标支持价值创造或保持的实现产生正面影响的可能性。管理当局把机会反馈到战略或目标制订过程中,以便制订计划去抓住机会所定义的企业风险管理企业风险管理处理影响价值创造或保持的风险和机会,定义如下:企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别
35、可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。 这个定义反映了几个基本概念。企业风险管理是:一个过程,它持续地流动于主体之内;由组织中各个层级的人员实施;应用于战略制订;贯穿于企业,在各个层级和单元应用,还包括采取主体层级的风险组合观; 旨在识别一旦发生将会影响主体的潜在事项,并把风险控制在风险容量以内; 能够向一个主体的管理当局和董事会提供合理保证; 力求实现一个或多个不同类型但相互交叉的目标。 这个定义比较宽泛。它抓住了对于公司和其他组织如何管理风险至关重要的关键概念,为不同组织形式、行业和部门的应用提供了基础。它直接关注特定主体既定目标的
36、实现,并为界定企业风险管理的有效性提供了依据。目标的实现 在主体既定的使命或愿景(vision)(也有人将其翻译为“远景”、“远景规划”、“长远构想”等译者注。)范围内,管理当局制订战略目标、选择战略,并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的以下四种类型的目标:战略(strategic)目标 高层次目标,与使命相关联并支撑其使命;经营(operations)目标有效和高效率地利用其资源;报告(reporting)目标报告的可靠性;合规(compliance)目标符合适用的法律和法规。对主体目标的这种分类可以使我们关注企业风险管理的不同侧面。这些各不相同但却相互交叉的类别
37、一个特定的目标可以归入多个类别,反映了主体的不同需要,而且可能会成为不同管理人员的直接责任。这个分类还有助于区分从每一类目标中能够期望的是什么。一些主体采用的另一类目标保护资源也包含在上述类别之内。因为有关报告的可靠性和符合法律、法规的目标在主体的控制范围之内,所以可以期望企业风险管理为实现这些目标提供合理保证。但是,战略目标和经营目标的实现取决于并不一定总在主体控制范围之内的外部事项,对于这些目标而言,企业风险管理能够合理地保证管理当局和起监督作用的董事会及时地了解主体朝着实现目标前进的程度。企业风险管理的构成要素企业风险管理包括八个相互关联的构成要素。它们来源于管理当局经营企业的方式,并与
38、管理过程整合在一起。这些构成要素是:内部环境内部环境包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。目标设定必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。事项识别必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。风险评估通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对管
39、理当局选择风险应对回避、承受、降低或者分担风险采取一系列行动以便把风险控制在主体的风险容限(risk tolerance)(也有人将其翻译为“风险容忍度”、“风险承受力”等译者。)和风险容量以内。控制活动制订和执行政策与程序以帮助确保风险应对得以有效实施。信息与沟通相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。监控对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。 企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向
40、的、反复的过程,在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。目标与构成要素之间的关系 目标是指一个主体力图实现什么,企业风险管理的构成要素则意味着需要什么来实现它们,二者之间有着直接的关系。这种关系可以通过一个三维矩阵以立方体的形式表示出来。(英文版)四种类型的目标战略、经营、报告和合规用垂直方向的栏表示,八个构成要素用水平方向的行表示,而一个主体内的各个单元则用第三个维度表示。这种表示方式使我们既能够从整体上关注一个主体的企业风险管理,也可以从目标类别、构成要素或主体单元的角度,乃至其中的任何一个分项的角度去加以认识。有效性认定一个主体的企业风险管理是否“有效”,是在对八
41、个构成要素是否存在和有效运行进行评估的基础之上所作的判断。因此,构成要素也是判定企业风险管理有效性的标准。构成要素如果存在并且正常运行,那么就可能没有重大缺陷,而风险则可能已经被控制在主体的风险容量范围之内。如果确定企业风险管理在所有四类目标上都是有效的,那么董事会和管理当局就可以合理保证他们了解主体实现其战略和经营目标、主体的报告可靠以及符合适用的法律和法规的程度。八个构成要素在每个主体中的运行并不是千篇一律的。例如,在中小规模主体中的应用可能不太正式,不太健全。尽管如此,当八个构成要素存在且正常运行时,小规模主体依然会拥有有效的企业风险管理。局限 尽管企业风险管理带来了重要的好处,但是仍然
42、存在着局限。除了前面讨论过的因素之外,局限还导源于下列现实:人类在决策过程中的判断可能有纰漏,有关应对风险和建立控制的决策需要考虑相关的成本和效益,类似简单误差或错误的个人缺失可能会导致故障的发生,控制可能会因为两个或多个人员的串通而被规避,以及管理当局有能力凌驾于企业风险管理决策之上。这些局限使得董事会和管理当局不可能就主体目标的实现形成绝对的保证。涵盖内部控制 内部控制是企业风险管理不可分割的一部分。这份企业风险管理框架涵盖了内部控制,从而构建了一个更强有力的概念和管理工具。内部控制是在内部控制整合框架中加以定义和描述的。由于该框架经受了时间的考验,并且成为现行规则、法规和法律的基础,因此
43、那份文件对内部控制的定义和框架依然有效。尽管内部控制整合框架的正文中只有一部分被本框架所引用,但是本框架通过参考的方式把该框架整体融合了进来。 职能与责任 主体中的每个人都对企业风险管理负有一定的责任。首席执行官(CEO)负有首要责任,并且应当假设其拥有所有权。其他管理人员支持主体的风险管理理念,促使符合其风险容量,并在各自的责任范围内依据风险容限去管理风险。风险官、财务官、内部审计师等通常负有关键的支持责任。主体中的其他人员负责按照既定的指引和规程去实施企业风险管理。董事会对企业风险管理提供重要的监督,并察觉和认同主体的风险容量。很多外部方面,例如顾客、卖主、商业伙伴、外部审计师、监管者和财
44、务分析师常常提供影响企业风险管理的有用信息,但是他们不但不对主体的企业风险管理的有效性承担任何责任,而且也不是它的组成部分。 本报告的结构 本报告分两卷。第一卷包括“基本框架”和本部分“内容摘要”。“基本框架”给企业风险管理下定义,并讲述原则和概念,为企业和其他组织中的各级管理人员提供用来评价和增进企业风险管理有效性的指导。“内容提要”是一个针对首席执行官、其他高级管理人员、董事会成员和监管者的高度概括。第二卷应用技术(Application Techniques),讲解在应用本框架各个要素的过程中有用的技术。 本报告的使用 根据本报告的建议所可能采取的行动,取决于相关方面的地位和职责: 董事
45、会董事会应当与高级管理人员讨论主体企业风险管理的现状,并提供必要的监督。董事会应当确信知悉最重大的风险,以及管理当局正在采取的行动和如何确保有效的企业风险管理。董事会应当考虑寻求内部审计师、外部审计师和其他方面的参与。 高层管理当局本项研究建议首席执行官评估组织的企业风险管理能力。方法之一是,首席执行官把业务单元(business unit)领导和关键职能机构人员召集到一起,讨论对企业风险管理能力和有效性的初步评价。不管采取什么方式,初步评估应该确定是否需要以及如何进行更广泛、更深入的评价。 主体中的其他人员管理人员和其他人员应该考虑如何根据本框架去履行他们的职责,并与更高层的人员讨论有关加强
46、企业风险管理的看法。内部审计师应该考虑他们关注企业风险管理的范围。 监管者本框架能增进有关企业风险管理的共识,包括它能干什么,以及它的局限。监管者在对他们所监管的主体采用规则或指南等形式设定期望,或进行检查时,可以参考本框架。 专业组织为财务管理、审计和相关领域提供指南的规则制定机构和其他专业组织应该对照本框架去考虑它们的准则和指南。消除概念和术语方面的差别,对所有各方都有好处。教育机构本框架可以作为学术研究和分析的对象,以便探讨在哪些方面还能作进一步的改进。假设本报告能够被普遍接受的话,它的概念和术语应该设法进入大学的课程之中。 有了这个共同理解的基础,所有各方将能够用同一种语言讲话,更有效
47、地进行沟通。企业的执行官将能够对照一套标准去评估他们公司的企业风险管理过程,强化这个过程从而使他们的企业朝着既定的目标迈进。将来的研究可以建立在一个既定的基础之上。立法者和监管者将能够获得对企业风险管理的更深入的理解,包括它的好处和局限。如果所有各方都利用共同的企业风险管理框架,这些好处都将实现。(简体中文翻译:中国东北财经大学方红星教授)COSO企业风险管理整合框架的影响:深圳证券交易所:深圳证券交易所上市公司内部控制指引(深圳证券交易所 2006年9月28日发布,2007年7月1日起施行)上海证券交易所:上海证券交易所上市公司内部控制指引(2006年6月5日,2006年7月1日起施行)(三)3C全面控制框架、3C全面风险管理标准1.3C框架中国式全面控制简介2006年3月3日,在由中国内部审计协会举办的“全面控制与风险管理”高层论坛上,中天恒会计师事务所有限责任公司、中天恒管理咨询有限公司(以下合称“中天恒”)隆重推出该所历时3年研究取得的研究成果“中国式全面控制框架”,简称3C框架(
