风险管理框架的要素是指什么

2004年9月,COSO结合《萨班斯——奥克斯利法案》的相关要求,颁布了一个概念全新的报告,即《企业风险管理——整体框架》(以下简称“ERM”框架)。框架的出台顺应了各方需求。与1992年的《内部控制——整体框架》相比,ERM框架在内部控制的内涵、目标、要素以及内部控制责任承担等层面作了全新突破,对企业风险管理作出了更为详尽的阐述。ERM框架并没有取代《内部控制——整体框架》,而是基于该框架并将其融入其中,全面推进了内部控制标准的发展。企业风险管理框架对内部控制框架的5要素(见问题6)进行了深化和拓展,将其演变为以下8要素:

(1)内部环境:内部环境包含企业的基调,它为企业内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观以及他们所处的经营环境。

(2)目标设定:必须先有目标,管理层才能识别影响目标实现的潜在事项。企业风险管理确保管理层采取适当的程序去设定目标,确保所选定的目标支持和切合该企业的使命,并且与它的风险容量相符。

(3)事件识别:必须识别影响企业目标实现的内部和外部事件,区分风险和机会。机会应被反馈到管理层的战略或目标制定过程中。

(4)风险评估:通过考虑风险的可能性和影响来对其加以分析,并以此作为如何进行管理的依据。风险评估应立足于固有风险和剩余风险。

(5)风险应对:管理层选择风险应对、回避、承受、降低或者分担风险,采取一系列行动以便把风险控制在主体的风险容限和风险容量以内。

(6)控制活动:制定和执行政策与程序以帮助确保风险应对得以有效实施。

(7)信息与沟通:确保有关员工履行其职责的信息得以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。

(8)监控:对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。

需要说明的是,企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程,在这个过程中几乎每一个构成要素都能够也的确会影响其他构成要素。各个要素之间的关系:内部环境是企业风险管理的基础,为企业风险管理所有其他要素的运行提供了平台和组织结构;目标设定是企业风险管理的起点,是其他步骤的驱动力量;在企业目标已定的前提下,企业需要对影响目标的风险进行事件识别,进而对识别的事件进行风险评估,并以风险评估策动风险反应,从而影响整个控制活动;信息与沟通和监督则贯穿于企业风险管理的全过程,并且对其他各个组成要素进行修正。