重點關注:
第二節 風險管理的概念
一、內部控制與風險管理的聯系
在 COSO委員會發布的《內部控制一一整合框架》中,控制環境是其他內部控制元素的根基,它的構成元素包括董事會、組織結構、權責分配方式、員工勝任能力、管理層的哲學及人力資源政策。2004年發布的《企業風險管理一一整合框架} (Enterprise Risk Management,簡稱 ERM框架),以"內部環境"代替了"控制環境"。與控制環境相比,內部環境是控制環境在內容上的擴展,引入了風險管理和風險偏好兩個概念。內部環境是確立企業對待風險的態度和可能采取的應對策略。
(一)風險偏好
風險偏好是指對風險的偏愛,而風險態度 (risk attitude)、風險承受能力 (risk tolerance)或風險容量 (risk capacity)是企業準備在任一時點承受的風險數量。企業的承受能力將反映其消化風險的能力。企業可以參考所在市場或行業內的其他企業的可用信息,作為自己制定風險承受能力的基準。每家企業的風險承受能力是不同的。企業的風險偏好會因其目標、文化以及整個商業環境條件的不斷變化而有所差別。風險態度可分為風險厭惡( risk averse)、風險中立 (risk neutral)或風險追求 (risk seeking)。企業準備承受的風險數量,或其風險偏好,將因諸如已了解的特定風險的財務風險敞口、企業目前取得的成功、經濟趨勢及各個董事會成員的態度等問題而有所差別。另外,企業的看法可能受到已實行的其他計劃的影響,而這些計劃的結果尚不可知。如果結果是不利的,就能令整個企業受到影響,或者使企業的名譽受到損害。一旦機構確定了風險容忍水平,那么企業可以向負責決策的高級管理層宣傳商業風險文化,使他們在行使批準權時,了解機構對于每個項目和計劃的風險容忍水平。董事會希望在符合其風險容忍的范圍內作出精明的決策。但是,董事會所獲得的信息可能因若干因素而出現質量問題。董事會需要確定他們所獲得的信息是否可靠,以及考慮比如分析人員的經驗、分析所依據信息的質量、是否為了獲得對項目的批準而故意隱瞞風險敞口或者風險管理活動的有效性。
(二)風險管理
如前所述,事件可能產生不利影響或者有利影響,也可能兩者兼而有之。產生負面影響的事件代表了風險,可以阻礙創造價值或削弱現有的價值。產生正面影響的事件能夠抵消不利影響或帶來機會。機會是指事件發生的可能性以及對于目標實現、支持創造價值或保持價值的積極影響。
企業風險管理涉及的風險和機會影響價值的創造或保持。它是一個從戰略制定到日常經營過程中對待風險的一系列信念與態度,目的是確定可能影響企業的潛在事項,并進行管理,為實現企業的目標提供合理的保證。整體來說,企業風險管理是:
一個正在進行并貫穿整個企業的過程;
受到企業各個層次人員的影響;
戰略制定時得到應用;
適用于各個級別和單位的企業,包括考慮風險組合;
識別能夠影響企業及其風險管理的潛在事項;
能夠對企業的管理層和董事會提供合理保證;
致力于實現一個或多個單獨但是類別相互重疊的目標。
