作者:孙友文 风险管理世界(公众号)
本文介绍COSO新版企业风险管理框架的第一册第一部分的第一章节:框架的介绍,本部分内容作为开篇介绍了本框架的整体定位和相关主题的关系:
本部分COSO阐述了整合风险管理工作贯穿于组织提升治理、战略、目标设定和日常运营决策能力的始终,协助组织更加紧密的考虑战略和商业目标的相关风险从而获得更好的业绩,整合风险管理的宗旨是为组织创造、保持和实现价值指引方向。
表明了这个框架描述了一种方法,如何使一项职能整合融入主体中正在运行的其它业务活动。
1、强调了企业风险管理对价值的影响
当我们的收益超过了资源配置成本时,就创造了价值。
当日常运营的资源配置可以持续创造价值,那价值就会保持。
当管理层实施了一项战略并没有达到预期收益或任务执行失败,那就损害了价值。
当利益相关方获得了主体创造的收益,价值随之实现,这种收益可以是金钱的,也可以是非金钱的。
无论是什么类型的主体,企业风险管理工作都可以整合融入其它业务来增强利益相关方的信任和信心。
2、使命、愿景和核心价值解释
使命:主体的核心宗旨,要实现什么而成立及为什么而存在。
愿景:主体对未来状态的愿望或者组织未来想要实现的目标。
核心价值:主体的价值取向以及对好与坏、接受或不接受的判断标准,这些将会影响组织的行为模式。
3、阐述了企业风险管理对战略的影响
企业风险管理并不能创造主体的战略,但它可以影响战略的产生和发展。一个组织将整合企业风险管理工作融入战略设定环节,它将给管理层提供需考虑的各种替代性战略并最终采用被选中的战略的相关风险信息。
4、论证了企业风险管理与商业运营的关联
企业风险管理工作整合融入与商业运营的所有方面的工作,包括治理、绩效管理和内部控制工作。
治理:指出了治理的一部分属于风险管理的范畴,而治理的某些方面内容不属于企业风险管理的范畴。
绩效管理:绩效管理聚焦资源的高效配置,它关注的是跟预先设定的目标相比,如何衡量这些行动、任务和职能以及确定这些目标是否被达成。因为多种已知和未知的风险都会影响到一个主体的绩效,所以绩效的衡量也经常使用多维度的标准:
财务维度
运营维度
履职维度
项目维度
增长维度
利益相关方维度
内部控制
强调了管理层利用内部控制主要聚焦在运营和对于相关法律法规的遵从性上。
指出一些在内部控制中概念在本框架中进行了深入研究和扩展。
5、分析了企业风险管理的益处
可以从更大的范围中选择机会
增加积极的产出和盈利可能同时减少负面的意外
识别和管理主体整体范围的风险
减少业绩变动
完善资源配置
6、风险管理与适应、生存和发展能力
分析了因为风险的不断变化,所以挑战一直存在。虽然组织可能无法管理风险的所有潜在结果,但他们可以改善如何适应不断变化的情况,这有时被称为组织的可持续性、韧性和灵活性。
并举出了一个危机管理的例子:
“邮轮运营商担心在船舶出海时发生疫情传播的可能性,尽管在整个船上都安装了手消毒站,提供了洗衣设施,对扶手、洗手间和其他公共场所每天都进行消毒。但病毒疫情仍然可能并且一定还会发生。需要实施一系列的具体工作来应对发生的病毒疫情。首先,升级了日常的邮轮清洁和消毒。一旦邮轮进港,所有乘客都必须下船,由经过专门训练的人员对整艘船进行消毒。之后,根据发现病毒的种类来变换清洁方案。直至所有的清洁方案都执行完毕才能离港。通过强有力的企业风险管理实践,立即响应和适应每一个独特的情况,公司可以最大限度的降低影响,同时保持乘客对邮轮路线的信心。”
本部分最后指出,希望管理层花点时间来预测事件可能发生的概率、可能性及不可能性可以使其处于更有利的位置。提高适应变化的能力可以使组织更有韧性,并能在面对市场和资源有限的情况下更好的发展。使管理层有信心承担更多的风险,并最终加速增长和创造价值。