COSO在《内部控制——整体框架》中提出了控制环境、风险评估、控制活动、信息和沟通和监督5要素。ERM框架则将其演变为8要素,在引入风险偏好、风险容忍度和风险文化等概念的同时,将原有的“控制环境”扩展为“内部环境”,并将内部控制框架中原有的“风险评估”要素发展为“事件识别”、“风险评估”和“风险反应”3要素。
对比内部控制框架,ERM框架更加深入地阐述了其他要素的内涵,并扩大了相关要素的范围,具体而言:
(1)ERM框架中的“内部环境”要素由内部控制框架中的“控制环境”演变而来,但包含了更为丰富的内容,例如风险文化和风险偏好、管理哲学和经营风险、权力和责任分配、实践操守和价值观等。这一修改使企业关注的范围不再局限于控制方面,而是从更宽阔的视野,以及更综合、更直接的角度考虑各种因素对风险的影响。
(2)内部控制框架和ERM框架都强调“风险评估”,但ERM框架在内部控制框架“风险评估”要素的基础上增加了“事件识别”和“风险反映”两个要素,这一扩展并不只是对原“风险评估”要素进行的简单细化,而是意味着企业要增强风险意识,主动管理风险:
①ERM框架中的“事件识别”更深入地探讨了潜在事件的概念,认为潜在事件是指来自企业内部和外部资源的,可能影响企业战略的执行和目标实现的一件或者一系列偶发事项。
②ERM框架建议更加透彻地看待风险管理,即从固有风险和剩余风险的角度来看待风险,并要求注意相互关联的风险,确定一件单一事项可能为企业带来多重的风险。
③ERM框架要求管理者建立一种企业总体层面上的风险组合观,对各业务单位、职能部门、生产过程或相应的其他活动负责的各层管理者进行复合式评估,并要求企业高层管理者从企业总体层面上考虑相互关联的风险和企业的总风险。
(3)ERM框架扩大了企业信息和沟通的构成内容,认为企业的信息应包括来自过去、现在和未来潜在事项的数据。这一点扩展并充实了内部控制框架中“信息与沟通”要素的内容。
总体而言,ERM框架的8要素强调在整个企业范围内识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现在企业战略制定阶段就予以考虑,而企业在对其下属部门进行风险管理时,应对风险进行加总,从组织的顶端,以一种全局的风险组合观来看待风险,此外,根据风险管理的需要,对企业目标进行重新分类,明确战略目标在风险管理中的地位。这些内容都是对内部控制5要素的深化与拓展。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
