全面风险管理与内部控制知识普及读本

全面风险管理与内部控制知识普及读本内容摘要：

了 — 个 GRC (Governance, Risk, Compliance)模型。 该报告认为，组织可以通过把 GRC 战略性地整合进它 们的经营中，以形成一个可以对企业进行管理的 道德 和经营框架。 这个框架包括11 治理（ Governance)、企业风险管理（ Enterprise Risk Management)和遵守 (Compliance)三个组成部分，从中可以看出企业风险管理的定位。 在这个框架中，治理活动包括设定经营战略和目标，确定风险偏好，建立文化和价值观，制定内 部政策和监督绩效； 风险管理活动包括识别和评价那些可能会影响目标实现能力的风险，应用风险管理来获得竞争 优势和确定风险应对策略和控制活动；遵守活动包括遵照目标经营，确保遵守法律和法规、内部政策与程序以及利益相关者的委托。 C0S0《企业风险管理一整合框架》包括哪些内容。 COSO的企业风险管理框架是个三维立体的框架。 这种多维立体的表现形式，有助于全面深入地理解控制和管理对象，分析解决控制中存在的复杂问题。 第一个维度（上面维度）是目标体系，包括四类目标： （ 1） 战略目标，即 高层 次目标，与使命相关联并支 撑使命； （ 2）经营目标， 高效 率地利用资源； （ 3）报告目标，报告的可靠性； （ 4）合规目标，符合适用的法 律和法规。 第二个维度（正面维度）是管理要素，包括八个相互关联的构成要素，它们源自管理当局的经营方式，并与管理过程整合在一起，具体为： （ 1） 内部环境。 管理当局确立关于风险的理念，并确定风险容量。 所有企业的核心都是人（他们的个人品性，包括诚信、 道德 价值观和胜任能力）以及经营所处的环境，内部环境为主体中的人们如何看待风险和着手控制风险确立了基础。 （ 2） 目标设定。 必须先有目标，管理当局才能识别影响目标实现的潜在事项。 企业风险管理确保管理当局采取恰当的程序去设定目标，并保证选定的目标支持主体的使命并与其相衔接，以及与它的风险容量相适应。 （ 3） 事项识别。 必须识别可能对主体产生影响的潜在事项，包括表示风险的事项和表示机会的事项，以及 可能二者兼有的事项。 机会被追溯到管理当局的战略 或目标制定过程。 （ 4） 风险评估。 要对识别的风险进行分析，以便确定管理的依据。 风险与可能被影响的目标相关联。 既要对固有风险进行评估，也要对剩余风险进行评估，12 评估要考虑到风险的可能性和影响。 （ 5） 风险应对。 员工识别和评价可能的风险应对措施，包括回避、承担、降低和分担风险。 管理当局选择一系列措施使风险与主体的风险容限和风险容量相适应。 （ 6） 控制活动。 制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施。 （ 7） 信息与沟通。 主体的各个层级都需要借助信息来识别、评估和应对风险。 广泛意义的有效沟通包括信息在主体中向下、平行和向上流动。 （ 8）监控。 整个企业风险管理处于监控之下，必 要 时还会进行修正。 这种方式能够动态地反映 风险管理状况，并使之根据条件的要求而变化。 监控通过持续的管理活动 、对企业风险管理的单独评价或者两者的结合来完成。 第三个维度（侧面维度）是主体单元，包括集团、部门、业务单元、分支机构四个层面。 目标设定、事件识别和风险评估这三者间有什么关联。 “目标设定”也就是管理层制定战略目标，为确定运营，报告和合规目标提供了背景。 这些目标要与公司的风险承受能力相匹配，而风险承受能力不仅决定着公司的风险容忍度 高低 ，同时也是识别事件、评估风险和响应风险的前提条件。 在对事件进行识别时，需要考虑具体的目标。 “识别事件”即管理层识别出潜在的事件，这些事 件可能会对公司实施战略和实现目标的能力产生正面 或负面影响。 潜在的负面事件就是赖以评估风险和风13 险应对措施效能的环境情景。 潜在的正面事件则代表着机会，管理层应在制定战略和目标的过程中将这些机会纳入考虑范围。 “评估风险”即管理层采用定量和定性方法来评估可能会影响目标实现的未来事件的可能性及其潜在影响。 管理层既可以单独地评估各项事件，也可以分门别类地进行评估。 因此，要想真的取得成效，风险评估就需要预设要实现的目标，从而周密地盘查 清点 出潜在的未来事件。 1 怎样理解风险管理框架中企业风险管理的目标。 企业风险管理框架目标体系中，增加了内部控制整合框架中所没有的一类目标：战略目标。 虽然是平行的方式列示，但是，战略目标在这个目标体系中是 最高 层次的，其他三类目标都应当从属于战略目标。 都是在为战略目标服务。 此外，企业风险管理框架的报告目标也有所拓展。 在内部控制框架中，报告指的是公布的财务报表。 报告目标主要关注公布的财务报表的可靠性，而在企业风险管理框架中，报告包括由企业编制、向内部和外部散发 的所有报告， 而且范围也从财务报表的财务信息扩展到了更广泛的非财务信息。 尽管在企业风险管理框架中， 并没有明确表示其遵守目标与 内部控制的遵守 目标有什么不同，但是，负责拟定企业风险管理框架的普华永道 (PWC)在其 2020 年的一份名为《整合 驱动绩效》的 报告中认为：“ 主要关注遵守 法律、法规的传统合规方法是不充分的，遵守内部治理、道德与风险标准和政 策在 防止遭受与声誉相关的风险方面更有效。 ”该报告对 “ 遵守 ”的内涵进行了拓展，提出了一个 全 新视角的“遵守”，给出了一个遵守风险的新定义。 遒守风险是指 “由于没有能够遵守法律法规、内部规则和政策以及顾客、雇员和社会等主要利益相关者的期望而导致对组织的经营模式、声誉和财务状况产生损害的风险”。 另外，内部控制整合框架 1994 年补充的“保护资产”目标在企业风险管理框架中并没有单列，因为 C0S0 认为，这个目标的内容已经分别包含在了上述几类目标之中。 对于目标的实现，企业风险管理与内部控制一样，只能提供合理的保证，而且对于不同的目标所提供合理保证的内容也不尽相同。 对于报告目标和合规目标而言，因为有关报告的可靠性和符合法律、法规的目标在主体的控制范围之内，所以可以期望企业风险管理为实现这些目标提供合理保证。 但是，对于战略目标14 和经营目标而言，由于这些目标的实现还取决于一些不在主体控制范围之内的外部事项，所 以企业风险管理可以提供合理保证的是对目标的实现过程进行有效的信息沟通， 即管理当局以及承担监督职能的董事会能够及时地了解企业目标实现的进展情况。 1 企业风险管理框架与内部控制框架有什么不同。 企业风险管理框架与内部控制框架相比，在要素构成上主要有两个方面的变化：一是以“内部环境”取代“控制环境”，在“内部环境”中引入了风险管理理念、风险偏好两个概念。 风险管理理念是一套共享的观念和态度，它标志着企业考虑风险时的特征，反映了企业的价值观，影响着企业的文化和经营方式。 风险偏好反映了一个企业的风险管理理念，并影响着企业的文化和经营方式。 另一个变化是企业风险管理更加关注风险，拓展了内部控制框架的风险评估要素，进一步细分为目标设定、事项识别、风险评估和风险应对四个要素。 在结构方面， COSO 沿用了内部控制整 合框架中通过三维矩阵表现构成要素与目标之间关系的表示方法。 四类目标用纵向的栏表示，八个构成要素用横向的列表示，而一个主体内的各个单元则用第三个维度表示。 这种表示方式使使用者既能够从整体上关注一个主体的企业风险管理，也可以从目标类别、构成要素、主体单元，甚至其中任何一个分项的角度去加以认识。 企业风险管理的构成和目标既是建立健全企业风险管理过程的 依据，也 是评价其有效性的标准。 认定一个主体的企业风险管理是否有效，是在对八个构成要素是否存在并有效运行进行评估的基础之上所做的判断。 构成要素如果存在并且正常运行，那么 就可能没有重大缺陷，表示风险被控制在主体的风险容量之内。 当企业风险管理分别在四类目标中的每一类下都被确定为有效时，就可以合 理保证董事会 和管理当局了解主体实现其战略和经营目 标、主体的报告可靠性以及适用的法律和法规被遵循 的程度。 此外，八个构成要素在每个主体中的运行也不是千篇一律的。 例如，在中小规模主体中的应用可能不太 正式，不太完备。 尽管如此， 当八个构成要素存在且正常运行时，依然表示小规模主体的企业风险管理是有效的。 1 企业风险管理 整合框架对企业有什么借鉴意义。 《企业风险管理 整合框架》再一次强调了系统的 概念，即在实施企业整体风险管理过程中，主体中的每个人都对企业风险管理负有责任：单位负责人负有15 首要责任，并且应当成为主要责任人；其他管理人员支持主体的风险管理理念，并在各自的责任范围内依据风险容量去管理风险；首席风险官、财务总监、内部审计师等 通常负有关键的支持责任；主体中的其他人员负责按照既定的指引和条例去实施企业风险管理；董事会对企业风险管理进行监督，并察觉和认同主体的风险容量。 很多外部集团，例如顾客、咨询机构、商业伙伴、外部审计师、监管者和财务分析师，常常提供影响企业风险管理的有用信息，但是他们不对主体 的企业风险管理的有效性承担任何责任。 COSO 的《企业风险管理 整合框架》可以为不同的利益相关者提供有效的借鉴和指导。 对企业 的董事会 来说，董事会应当 与高级 管理人员讨论主体企业风险管理的现状，并提供所需的监督。 董事会应当确信知悉最重大的风险，以及管理当局正在采取的行动和如何确保有效的企业风险管理。 董事会应当考虑寻求内部审计师、外部审计师和其他方面的参与。 对企业 的高层 管理当局来说，总经理应把业务单元领导和关键职能部门人员召集到一起，评估企业风险管理能力和有效性。 对企业中的其他人员来说，应该考虑如何履。