一、农业企业的风险类别
农业企业的生产运营过程集自然再生产和经济再生产于一体,这导致农业企业面临的风险具有自身的行业特征。按照风险形成的不同层次,农业企业的风险可分为三类,即自然环境风险、市场环境风险和企业内部风险。这三个层次的风险具有很强的整体性和关联性,很难将其割裂后进行孤立的理解和管理。
(一)自然环境风险
1.自然资源风险。自然资源风险可以理解为正常条件下的自然环境风险。农业企业生产的自然特性与其所占用资源的量、质和地理位置都密不可分,并在很大程度上直接决定了农业企业经营业绩的好坏。在数量方面,相关资源的短缺(如水资源和土地资源)会严重影响农业企业的生产营运。在质量方面,环境污染对资源质量所带来的不利影响会从根本上影响农业企业的效益。与此同时,资源的地理位置也直接决定了农业企业的营运成本高低。
2.自然灾害风险。自然灾害风险可以理解为异常条件下的自然环境风险。由于农业的生产特性,自然因素对农业的影响相比其他行业更为敏感和严重。我国是世界上两条巨灾多发地带(即北半球中纬度重灾带和太平洋重灾带)都涉及的国家,气候变化大,灾害种类多且发生频繁,这都给农业生产带来了巨大的损失。近年来,我国每年农田受灾面积达7亿亩以上,受灾农作物面积占农作物播种总面积的20%-35%,造成粮食损失200亿公斤(吴振宇,2005)。其中干旱、洪涝、冷灾、寒害是我国最主要的农业天气灾害(霍治国,2003)。据民政部公布的最新统计数字,截至2008年1月31日,我国2008年1月10号以来的低温雨雪冰冻灾害,共造成18个省份受灾,农作物受灾面积达727.08万公顷,因灾直接经济损失537.9亿元。自然灾害一方面会影响农业企业的产量,另一方面还会影响农业企业的产品质量,这都会增加农业企业的风险,造成农业企业效益不稳定。
(二)市场环境风险
1.政策体制风险。柯柄生(2001)指出,对于农业生产而言,一个主要的风险源于不稳定的政策环境。现阶段我国农业正处于转型时期,农业政策的稳定性较差。整体而言,农业政策的调整总是朝有利于农业经济发展的方向进行,但就个体而言,它不可能对每一个农业企业都有益。国家工业化政策使我国经济快速增长,然而农业经营规模却跟不上我国经济增长的平均速度。这一现象的背后是工业对农业在资金、技术等方面的回馈率较低(瞿翔、张俊飚,2006)。这一体制原因将使农业企业的可持续竞争力受到损害。
2.市场竞争风险。在一定的政策体制下,市场竞争主体行为的相互影响也将给农业企业带来风险。按照五力模型(波特,1997)的理论架构,对某一企业生产经营产生影响的市场主体可分为五类,分别是购买者、供应者、业内企业、潜在的进入者和替代品生产者,随后又有学者(Andrew s.Grove,1986)在此基础上补充了第六种力量,即互补品生产者。对农业企业而言,购买者的产品需求的不确定性影响着企业的销售风险,而供应商因素则影响着农业企业的采购风险,这都需要农业企业关注供应链上下游的产品质量和供给周期问题。同时,潜在的进入者、替代品生产者、互补品生产者和业内企业则一起决定了农业企业所在行业内竞争关系的变化。
(三)企业内部风险
1.观念风险。一般而言,管理者忽视危机的征兆、不重视对风险的监测都是因为企业未能对不确定性做出恰当和及时的反应。目前我国大多数农业企业起步较晚,且以中小企业居多,普遍风险意识淡薄,对加强风险管理没有给予足够的重视。可以说,风险观念的落后是我国农业企业内部风险的重要组成部分。
2.技术风险。农业企业往往是新技术应用的载体,但新技术优化农业自然再生产过程是有条件的。农业企业生产对象(植物和动物)的状态是不稳定的,这决定了农业企业生产技术的一系列特点,包括生产对象的不稳定性、区域环境的适应性、操作者水平的差异性。此外,有些技术的应用还需要考虑农业企业产品消费者的安全,例如基因技术的应用等。即使采用的技术在这几个方面都没有问题,也还存在着新技术的推广和应用的风险。
3.管理风险。农业企业的管理风险可以分为三个层次:首先,在人员组织方面,农业企业生产人员的来源、生产和管理人员的素质以及技能都不易把握和提高,这使得农业企业难以优化和实施有效管理。其次,在生产经营方面,农业自然再生产的特点决定了农业企业生产的原辅料以有机的、生物的或化学物料为主,因此,运输、存藏和使用这些物料的工艺难度相应较大,这构成了农业企业生产营运方面的不稳定因素。最后,在财务运作方面,农业企业的资本结构、资产结构、财务信息的透明、财务人员的职业操守也都加大了农业企业的内部管理风险。
二、农业企业的风险管理整合框架
自1992年美国COSO(Committee of Sponsoring Organization)委员会发布《内部控制整合框架》(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。2004年9月COSO委员会以原《内部控制整合框架》为基础,并结合《萨班斯-奥克斯法案》(Satbanes -Oxley Act)的相关要求,颁布了《企业风险管理整合框架》(COSO-ERM)。在该报告中,COSO 委员会提出了企业风险管理的八个要素,分别是内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。笔者认为,农业企业可以立足于这八个要素,形成一个前后一贯、相互联系的风险管理整合框架以应对其面临的自然环境风险、市场环境风险和企业内部风险。
(一)内部环境
1.风险管理理念。企业的风险管理理念是一整套共同的信念和态度,它决定着企业成员在做事情时如何考虑风险,包括从战略的制定和执行到日常的活动。农业企业的风险管理不应该只重视技术层面的问题,更应该强调上下一贯的风险理念,这种理念实质上反映在管理活动中企业成员所做的每一件事情上,例如对供应商的选择和管理、对农业新技术的研发和推广、对自然灾害的预防和补救等。
2.权力和职责的分配。权力与职责的分配确定了企业内成员被授权和采取行动去处理问题和解决问题的模式。针对农业企业所面临风险的特性,企业应该有专门的部门或机构以及专门的流程承担风险识别和应对的职责,例如及时对行业政策的变化做出反应、密切关注竞争对手、潜在进入者和替代品生产者的实时动态等。相关权力和职责的划分要以充分的信息沟通为基础,以有效的监督为保障。
3.对胜任能力的要求。针对农业企业的人员组织问题,企业需要明确特定岗位的胜任能力和水平,并把这些要求转换成所需的知识和技能,从而使风险管理有着坚实的基础。这些必要的知识和技能取决于企业成员的基本素质、后续培训和经验积累。农业企业在明确了自身风险管理的能力要求后,应该进行相应的风险管理技能知识的培训,这需要覆盖从企业面临的外部环境到内部观念以及相关的技术
[1] [2] [3] 下一页
和管理技能等各个方面的内容。有必要的话还需要从外部聘请风险管理专业人士。
(二)目标设定
目标设定是事项识别、风险评估和风险应对的前提。农业企业管理层应根据企业确定的任务或预期,制定企业的战略目标和经营目标,并在此基础之上确定对目标的实现有潜在影响的事项。企业的风险管理就是提供给管理者一个适当的程序,在这样一个过程当中,既能帮助制定企业的目标,又能够将目标与企业所面临的内外部风险以及日常的营运联系在一起,同时还要保证制定的目标与企业的风险偏好和对风险的容忍程度相一致。从这个意义上说,针对农业企业特别需要关注的因素包括自身对自然资源的占有情况,对自然灾害风险的容忍程度,对农业政策性变动的承受力大小,对市场竞争环境的适应能力以及对企业内部各风险因素的控制程度。
(三)事项识别
不确定性的存在使得企业的管理者需要对影响设定目标实现的事项进行识别。事项识别是风险评估和风险应对的基础。整体而言,农业企业在进行事项识别时应充分考虑影响自然环境风险、市场环境风险和企业内部风险的各个事项。农业企业生产的自然特性与其所占用资源的量、质和地理位置无疑是影响其自然资源风险的事项;企业所处区域的常见和偶发自然灾害则是影响自然灾害风险的事项;国家的农业产业政策、进出口政策、汇率政策等则是影响农业企业政策体制风险的事项;企业现存竞争对手的威胁、潜在进入者的威胁、替代品和互补品生产者的威胁以及买方的侃价能力和供方的侃价能力等事项则影响着企业市场竞争风险。
需要注意的是,这些影响农业企业风险状况的事项通常不是孤立的,一个事项可能引发另一个事项。在事项识别的过程中,农业企业应该明白事项彼此之间的关系,通过评估这种关系,才能确定采取恰当风险管理措施的方向。例如冰雪和洪涝等自然灾害会导致农业产量和质量下降,从而影响市场供求平衡,推动农产品价格的波动,这样一来,农业企业面临的自然灾害风险加大了其面临的市场竞争风险;与此同时,产品市场价格波动又会作用于政策制定,为平抑价格波动而进行的政策修订又可能会在一定程度上加大农业企业面临的政策体制风险。由此可见,农业企业对风险事项的识别需要具
有一定的前瞻性和系统性。
(四)风险评估
企业风险评估,即企业在事项识别的基础上,进一步分析风险发生的可能性和对目标实现的可能影响程度。风险发生的可能性是指某一特定事项发生的可能性,而影响则是指事项的发生将会给企业带来的影响。农业企业在进行风险评估的过程中,可以使用SWOT分析这一强大工具。农业企业可以从优势(Strength)、劣势(Weakness)、机会(Opportunities)和威胁(Threat)四个方面给自己进行定位,进行风险评估,进而从以下四大战略模块中确定一个适合自己的战略:一是优势机会(SO)战略,即发挥企业内部优势利用外部市场机会的战略,例如利用自身资源优势发展生态农业;二是弱点机会(WO)战略,即通过利用外部市场机会来弥补内部弱点,例如尽量享受农业优惠政策弥补自身技术和资金的不足;三是优势威胁(ST)战略,即利用本企业的优势回避或减轻外部威胁的影响,例如锻造产业链抵抗竞争威胁;
四是弱点威胁(WT)战略,即减少企业内部弱点的同时回避外部环境的威胁,例如与优势企业进行合作经营等。
企业往往通过运用WO、ST或WT战略最终达致SO战略。当企业存在重大弱点时,它将努力克服这一弱点并尽量发挥自身的优势。当企业面临巨大威胁时,它将努力化解这些威胁以便集中精力利用机会。以“山东寿光蔬菜”核心企业的发展为例进行研究发现,从20世纪80年代起步,经过20世纪90年代规模的扩张和品质结构的优化升级,到21世纪初已经初步锻造出一条以高品质蔬菜种植为核心,向下衍生出蔬菜销售和加工配送企业,向上吸纳农药、化肥、种苗、竹竿和钢筋等生产资料企业的优势供应链,同时通过合作组织与农业研发机构合作,积极开展技术和管理创新及应用,并借助逐步建立起来的“寿光蔬菜”的品牌效应,吸引大量的海内外资金与技术,弥补自身农业发展资金的不足。由此可见,这些底子薄弱的蔬菜种植企业,通过上下游供应链的锻造、优势产业的互补以及相关产业政策的扶持,已经逐步将自身的弱点变成优势,外部的威胁转化为机会,并具备了强大的资源优势,牢牢掌握了市场先机,与此同时,企业通过这种战略性的风险评估模式,也使得其抗御风险的能力得到提高。
(五)风险应对
风险应对建立在深入的风险评估基础之上,为风险控制活动提供依据。农业企业应根据相关目标、企业风险偏好、风险可接受程度、风险发生的原因和风险重要性水平,结合实际情况确定适当的风险应对策略。风险应对策略可以分为规避风险、减少风险、共担风险和接受风险四类。针对没有超越自身风险容忍度的事项,农业企业可以采取风险接受策略,例如对一定的自然灾害风险的承受;而在迫不得已时,农业企业则采取规避风险策略,这主要是指撤出高风险领域。总体而言,农业企业最主要的风险应对策略主要是减少风险和共担风险。
减少风险和共担风险策略可以从战术和战略两个层面进行。在战术层面,农业企业可以采用订单农业、期货工具(包括天气期货)、保险(含产量保险和收入保险等)和控制财务杠杆等措施。。在战略层面上,农业企业可以采用多元化和产业链风险管理措施。多元化风险管理措施是指充分利用生产和加工相关程度较低的农业和农副产品以分散风险。通过进行投资组合,达到在相同期望收益情形下组合风险最小或相同组合风险情形下期望收益最大的目的。产业链风险管理措施是指通过将整个农业生产过程分为产前、产中和产后三个环节,将不同类型风险在整个链条中进行分解,通过明确不同环节的主要风险类型及其作用机制,寻求不同的风险管理方式,然后进行有效的风险组合管理,实现降低农业企业风险的目的。对农业企业而言,以上战术和战略两个层面的措施应该结合使用。
(六)控制活动
控制活动是保证风险应对方案得到正确执行的相关政策和程序,通常包括两个要素:确定应该制定什么政策和实现该政策的一系列程序。农业企业为确保风险应对策略的有效执行和落实,首先应该强化企业每一位成员的风险管理意识,使相关的风险管理控制活动成为其自发的选择,这需要对员工进行必要的技能培训,同时对各个岗位的权责进行划分。控制活动包含的措施和程序主要有:批准、授权、验证、协调、复核、定期盘点、记录核对、财产保护、职责分离、绩效考核等内容。在整合的风险管理框架中,这些控制活动应存在于农业企业的各个部分、各个层面和各个部门。因此,农业企业应明确界定各部门和岗位的目标、职责和权限,建立相应的授权、检查和逐级问责制度,确保其在授权范围内履行职能;同时设立完善的控制架
构,制定各层级之间的控制程序,保证相关规章制度能够被有效执行。
(七)信息和沟通
对确保农业企业风险管理的效率和效果而言,信息和沟通具有不可替代的作用。农业企业应以一定的形式和时间间隔确认、捕捉和传递企业内外部的相关信息,在企业内进行全方位的沟通,以保证企
上一页 [1] [2] [3] 下一页
业员工能够有效执行各自职责,为企业风险管理策略的实施提供保障。企业获取的原始资料数据和信息(如气候状况、农产品价格等)必须及时可靠,以确保有效地做出决策。企业的信息系统应该能够根据内外部环境变化做必要的调整,确保信息高效传递,支持决策制定,以适应不断变化的环境。
(八)监控
从管理的角度来讲,企业风险管理系统本身的运行也需要进行监控。对企业风险管理的监控是指评估风险管理要素的内容和执行质量。农业企业可以通过两种方式对风险管理进行监控,即持续监控和个别评估。持续监控活动包含在企业正常的、反复的经营活动中,在正常的业务经营过程中被实时地执行,并且动态地对变化的情况做出反应。而个别评估则直接关注企业风险管理的有效性,对重大问题给予关注。就农业企业而言,对自身所面临的自然环境、市场环境和企业内部各种风险都需要保持应有的谨慎,进行持续监控;而个别评估则在重大事件出现时启动,如极有可能发生自然灾害时或有关政策发生变迁的情况下。
三、小结
农业企业面临的自然环境风险、市场风险和企业内部风险相互之间密切关联,这使得孤立的风险管理方式作用有限。本文通过借鉴最新的COSO报告的八大风险管理要素,为农业企业的风险管理给出了一个前后一贯、相互联系的整合治理架构。它通过强调内部环境中的风险意识,在企业目标设定的基础上识别风险事项,通过SWOT分析评估自身风险并采取应对措施,而后将其融入日常控制活动,最后在充分的信息与沟通的基础上对整个风险控制系统实时监控。这样的风险管理整合治理架构能够为我国农业企业的风险管理水平提升提供有力的支持。
成为企业董事会和管理者的一个有用工具,用来衡量企业的管理团队处理风险的能力,并希望该框架能够成为衡量企业风险管理是否有效的一个标准。
对风险的持续确认,与确定抓住什么机遇一样,对保护和提高企业利益相关者的价值是至关重要的。不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。在实现企业目标的过程中,企业风险管理框架是一个帮助企业管理者有效处理不确定性和减少风险进而提高企业创造价值的能力的框架。
1.企业风险管理的定义
企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。
这是一个广义的风险管理定义,适用于各种类型的组织、行业和部门。该定义直接关注企业目标的实现,并且为衡量企业风险管理的有效性提供了基础。该定义强调:
(1)企业的风险管理是一个过程,其本身并不是一个结果,而是实现结果的一种方式。企业的风险管理是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。
(2)企业风险管理是一个由人参与的过程,涉及一个企业各个层次员工。
(3)该过程可用于企业的战略制定。企业的战略目标是企业最高层次的目标,它与企业的预期和任务相联系并支持预期和任务的实现。一个企业为实现其战略目标而制定战略,并将战略分解成相应的子目标,再将子目标层层分解到业务部门、行政部门和各生产过程。在制定战略时,管理者应考虑与不同的战略相关联的风险。
(4)该风险管理过程应应用于企业内部每个层次和部门,企业管理者对企业所面临的风险应有一个总体层面上的风险组合观。一个企业必须从全局、从总体层面上考虑企业的各项活动。企业的风险管理应考虑组织内所有层面的活动,从企业总体的活动(如战略计划和资源分配)到业务部门的活动 (如市场部、人力资源部),再到业务流程(如生产过程和新客户信用复核)。
(5)该过程是用来识别可能对企业造成潜在影响的事项并在企业风险偏好的范围内管理风险。
(6)设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。
(7)企业风险管理框架针对一类或几类相互独立但又存在重叠的目标,目的在于企业目标的实现。
总之,企业风险管理是一个过程,企业风险管理的有效性是某一时点的一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理要素设计和执行是否正确的评估基础上的一个主观判断。企
业的风险管理要有效,则其设计必须包括所有的要素并得到执行。企业风险管理可以从一个企业的总体来认识,也可以从一个单独的部门或多个部门的角度来认识。即使是站在某一特定的业务部门的角度来看待风险管理,所有的要素也都应作为基准包含在内。
2.企业风险管理的构成要素
企业风险管理分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素,各要素贯穿在企业的管理过程之中。
(1)内部环境
企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应,还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。董事会是内部环境的重要组成部分,对其他内部环境要素有重要的影响。企业的管理者也是内部环境的一部分,其职责是建立企业风险管理理念,确定企业的风险偏好,营造企业的风险文化,并将企业的风险管理和相关的初步行动结合起来。
(2)目标制定
根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中,其他相关目标是指除战略目标之外的其他三个目标,其制定应与企业的战略相联系。管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项。而企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。
(3)事项识别
不确定性的存在,使得企业的管理者需要对这些事项进行识别。而潜在事项对企业可能有正面的彭响、负面的影响或者两者同时存在。有负面影响约事项是企业的风险,要求企业的管理者对其进行评估和反应。因此,风险是指某一对企业目标的实观可能造成负面影响的事项发生的可能性。对企业有正面影响的事项,或者是企业的机遇,或者是可以低消风险对企业的负面影响的事项。机遇可以在企业战略或目标制定的过程中加以考虑,以确定有关行动抓住机遇。可能潜在地抵消风险的负面影响的事项则应在风险的评估和反应阶段予以考虑。
(4)风险评估
风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估——风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。对于风险的评估应从企业战略和目标的角度进行。首先,应对企业的固有风险进行评估。确定对固有风险的风险反应模式扰能够确定对固有风险的管理措施。其次,管理者应在对固有风险采取有关管理措施的基础上,对企业的残存风险进行评估。
(5)风险反应
风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险,降低风险发生的可能性或降低风险对企业的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。对于每一个重要的风险,企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。
选定某一风险反应方案后,管理者应在残存风险的基础上重新评估风险,即从企业总体的角度、或
者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。
(6)控制活动
控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门,通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序。
第1页第2页第3页第4页第5页
(7)信息和沟通
来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通,包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换,如客户、供应商、行政管理部门和股东等。
(8)监控
对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控——持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。
监控还包括对企业风险管理的记录。对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。适当的记录通常会使风险管理的监控更为有效果和有效率。当企业管理者打算向外部相关方提供关于企业风险管理效率的报告时,他们应考虑为企业风险管理设计一套记录模式并保持有关的记录。
3.风险管理要素和企业目标、企业内各层面及部门的关系
企业的风险管理框架包括四类目标和八要素。四类目标分别是战略目标、经营目标、报告目标和合法性目标,八要素是内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控,是企业实现各类目标的保证,它们相互之间存在直接的关系。而且,新的风险管理框架还强调在整个企业范围内实行风险管理。
4.各管理层在企业风险管理中的地位和职责
(1)董事会。董事会对企业的风险管理负有监督职责,主要通过以下方式实现其职责:
——了解管理者在企业内部建立有效的风险管理的程度;
——获知并认可企业的风险偏好;
——复核企业的风险组合观并与企业的风险偏好相比较;
——评估企业最重要的风险并评估管理者的风险反应是否适当。
(2)管理者。企业的首席执行官对企业的风险管理最终负责,企业的高层确定风险管理的基调,从而影响企业内部环境中的员工操守和价值观及其他因素。
(3)风险管理员。风险管理员是指某一组织内的首席风险管理员或首席风险管理经理,他与企业内其他管理者一起,在各自的职责范围内建立并维护有效的风险管理框架。首席风险管理员也可以担当监督风险管理进度和帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责,并可以成为企业风险管理委员会的一员。
(4)内部审计人员。内部审计人员在企业风险管理的监控中占有重要的地位,这一职责作为其日常职责的一部分。他们可能通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会履行其职责。
(5)其他员工。从某种程度上讲,企业风险管理是企业内每一个员工的责任,因此,风险管理应是企业内每一个员工的工作手册的一部分内容。本质上,企业所有的员工都应提供风险管理所需的信息或者采取必要的措施管理风险。同样,企业所有的员工都有责任向上报告风险。
企业的许多外部相关方也有助于企业目标的实现。如外部审计人员,他们从一个独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核,直接有助于企业目标的实现。同时,外部审计人员还可以向管理者和董事会提供履行其职责有用的额外信息,间接地为企业目标的实现做出贡献。其他向企业提供风险管理的有用信息的相关方还包括行政管理部门、客户、其他与企业进行交易的各方、
财务分析师、债券承销商和新闻媒介等等。但是,外部的各相关方并不对企业的风险管理负责。
第1页第2页第3页第4页第5页
嘉宾简介:
Miles Everson,普华永道国际会计公司合伙人。Miles领导美国普华的公司治理、风险管理和404条款遵循工作。Miles在风险管理领域有长达十五年的经验,为各类企业提供风险管理解决方案,他是COSO《企业风险管理整体框架》研究项目的负责人,做出了重要的贡献。Miles还著有《变革加速器-通过企业风险管理把握未来》一书。同时,他还是许多国际机构和论坛的演讲人。
主旨演讲:
注:本文为现场速记稿,未经嘉宾本人确认。如需引用,请联系嘉宾本人。
首先感谢大家邀请我参加本次论坛,我要感谢上海国家会计学院和英国皇家注册管理协会,我也向你们表示祝贺,你们本次的论坛是管理风险,这是今天企业越来越关注的一个话题。我相信今天在座嘉宾的演讲一定会对大家有帮助。我还要感谢所有的参与企业,包括普华永道,还有其他的一些公司,向他们表示感谢,在接下来的一个小时时间里面,我要给大家来介绍一下企业风险管理。
我主要讲的是三方面的内容。也就是在企业风险管理具体实践当中我们应该关注哪些要素。第二点来描述一下CO SO的企业风险管理框架。我今天会讲这个COSO,COSO你们都熟悉这个说法吗?第三点我会给大家介绍一下企业管理的原则、框架如何进行具体的实施。但是在我具体讲这三点内容之前,我来讲讲企业风险管理的重要性。
经常有企业的主管或者投资者问我一个问题,为什么企业风险管理在今天这个环境里面比五年之前更加重要呢?我把这个原因总结为三点,为什么企业风险管理在今天的环境里面比五年或者十年之前更加重要,而且重要性会越来越强。
第一个原因我们面对的这个变化环境将会更加的剧烈。不管你的企业在哪个国家或者是从事什么样的行业,我们面临整个环境的变化只会越来越快。第二个原因就是为了要应对飞速的变化,对企业而言必须要改变或者调整自己企业的业务模式,要变的更加灵活。这样一来就面临很多不确定性。也就是说创造这些灵活的时候对业务就增加了复杂性。第三个原因就是对企业透明度的要求也越来越高,特别是对那些券市上、在股票市场上运作的企业,投资者对他们的透明度提高了更多更高的要求。一旦企业的运作出了什么事情的话,有可能企业还没有意识到,而资本市场上已经是意识到了。所以外部的投资者也要求企业能够更加的透明,能够对风险做出更快的鉴别和反应。
下面我就讲讲企业风险管理有哪些驱动和益处。
我们在四年之前就开始进行了一项研究,而且不断的在进行更新。我们花了很多的时间和一些企业的CEO,他们主要是大型的跨国企业,他们都是很有实力的企业,我们就问他们全面实施企业风险管理有哪些要素,我们问了他们一系列的问题。比如说他们之间有多少的CEO对他们企业全面实施风险管理感到有信心。这是很重要的一点,因为只有CE O对他们企业的风险管理有信心,才能代表他们已经建立起一个完善的体系。比如说风险管理的要素,包括在企业层面他们是不是额能够获得风险管理的信息,可以看到只有不到30恩%的CEO觉得可以获得足够风险管理的信息。
下面一个问题是他们是不是有一个通用的风险标准制定,也是不到1/3,问他们是不是有与流程相整合的战略管理,也是不到30%。那么风险管理数据是不是有被量化,只有不到25%的CEO说有。是不是他们有完全的整合职能与业务部门,只有不到25%。是不是整个集团的每个人都理解岗位职责,可以说只有不到15%的CEO说有。也就是说只有不到15%的CEO说他们整个企业的每个人都理解其岗位职责。是不是有一个仔细跟踪监管遵循的成本,或者说有整个监控的成本,可以说这个是不到35%。
可以看最后一个问题,为什么只有30%左右的CEO呢?因为这些CEO对他们在全球是不是都能够完整的实施风险管理感到没有信心。有些CEO认为他们已经实施了风险管理,为了实现风险管理对他们最大的挑战是什么呢?我们可以看到一系列的因素,人员、信息、信息的纪实性、竞争、组织的架构、技术支持、以及一些其他的因素。有两个最重要的因素带来了最大的挑战,对于实施企业风险管理的公司来说。第一个是人员,如果看看之前的幻灯片,不到15%的人了解自己的职责所在,所以我们就要讨论一下为什么人是最大的问题之一。他们不知道自己的职责在哪里。他们不理解所面临的风险是什么。第二个在实施方面最重要的就是信息,有时候不能获得足够的信息,一个是及时性,一个是充分性。所以当你看到企业风险管理的时候,这两个领域往往是带来实施方面最大的挑战:人、信息。一会我会更加详细的介绍这两个挑战。
有些CEO说他们是个人非常致力于推动ERM的。我们跟这些CEO交流,并且于那些并不致力于CRM的CEO做一个比较。怎么样推动风险管理的实施呢?对于那些致力于ERM的CEO来说,超过55%的人都说已经有了一套通用的标准和定义,有53%的CEO说他们有了更高层面的信息。但是下面一栏可以看到,致力于ERM的CEO,他们是进
行了与战略计划的整合。很多人都把ERM纳入了他们的战略计划中,占到42%,而对其他的CEO来说只有17%做到这一点。同样我也还是了在实际的经验中来帮助一些公司进行ERM。可以看到最关键的一个因素就是让企业风险管理的原则和你的战略计划相结合,来选择并且实施你的战略计划流程。因为你继续看一看这个幻灯片,往下走,可以看到致力于ERM的CEO,他们更多去实施的一些主要的驱动器。我希望大家可以看到倒数第三个,也就是量化到最大的程度,所有的风险都被量化,29%致力于ERM的CEO都这么做。我们觉得这种调研经常给我们提供很好的信息,让我们可以更好的来了解其他人的经验,就是实施一个ERM带来的好处和结果是时间。
在我们反思这些结果的时候,我们还可以有很多的经验帮助企业实施ERM,并且帮助已经实施的人来加强,这个工作是从几年前开始的。
下面我将谈谈今天第二个话题。也就是COSO企业风险管理框架的概览。我会给大家简要的介绍一下我们的框架。
第一个重点就是一个原则基础的框架。我们花了四年的时间做研究,试图理解有效的公司是如何由于他们很好的管理风险得到收益的,我们就设定了一些原则,这就是必须要运用的原则,不管你是哪种公司,不管你在管理哪种风险,也不管你的目标是什么,这些原则都是通用的。除了原则之外还有一些导则指南,这是很关键的。框架是一个概念性的框架,那么指南可以帮助公司来实施这些原则。原则是一个方向,每个公司都可以度身定做,根据自己的需要来调整。框架是比较灵活的,要写框架的话,必须从别人身上听到很多的建议,理解你如何来运用这些原则。但是这些框架我们设计的时候就有一个目标,希望它把能够运用于任何公司,无论在哪个行业都可以采用这个框架。所以我们可能做了很多很多的诊断。但是如果你做的太过于详细,这个框架可能就不能运用于所有的企业了,这是很重要的。在过去四年中我们推出这个框架以来一直看到这种情况。因为它的运用非常广泛,是基于一种运用的,所以我们可以成为一种标准可以被世界上各种各样的公司所采用。
我们这个框架第四个特征就是兼顾的现有的风险管理程序。我想今天任何的公司都已经在承担风险,他们已经有了一些流程来帮助他们自己了解风险。问题是现在的流程有效性如何?他们是不是平衡风险的时候很准备。
众所周知COSO委员会在1992年推出了内部控制的框架,这个内控框架被世界的监管机构所采纳,而且有一些监管者以及交易所把它作为一个基础,让所有的公司都来以次为基础。最后实施一个ERM并没有一刀切的方案,根据我
谈到了这个事实,公司大不同、行业不同、公司运作的复杂性不同、以及生命周期也不同,还有其他的一些运作,除了我刚才讲的五个因素之外还有其他的因素,各个公司也是不尽相同的。
下面我们花一点点时间看看我们企业风险管理的基础在哪里。首先这个框架有两个值,第一是框架本身,第二是运用实施的技术。
首先看看框架的本身,我已经说过这是一个原则基础的框架。它提供了一个风险的定义,以及风险管理的定义。有概念、分类、原则,并提供了一个通用的术语和定义。也皆是不同行业的人都可以用同一种语言来谈论风险。一共有8 0个组成部分来进行风险管理程序,也强化了对现有风险管理的指导。最后这个框架还提供了一些标准让你来确定风险管理的有效性。
在实施技术方面,我们还有一部分内容,但是是一种案例,告诉你如何来应用。当然它不可能涉及所有的实施技术的运用,但是可以给大家举例看看是如何实施运用的。企业风险管理方面我给大家举个例子,我们分成几个方面,首先企业的风险管理是一个流程,这个流程受到人的影响,是在战略环境当中加以应用的。如果大家看到我刚才谈过的调查,我们在和其他的企业研究中发现,如果你已经把你的ERM放在更好的战略中,你就可以更好的获得成功,更好的理解风险,并且更好的对风险进行管理。最后企业风险管理是贯穿于整个企业的,并不是仅仅应对某一个风险,也不仅仅是应用于某一个部门,而是贯穿于整个企业的。对企业有潜在影响的事项进行识别,并且根据风险偏好进行风险管理,这是两个非常根本的原则,我一会会详细的介绍。这也是关于识别你的事项,并且了解你的风险偏好。它可以想管理层和董事会进行保证。最后一点它与企业目标的达成相切合。
我们来看一看这个框架的架构。我刚才说它是和企业目标的达成相一致、相契合的。所以在我们的框架中确定了四个战略目标。运用的有效性、效果、报告的目标、以及是否遵循了所有的法律法规。我们知道并不是所有的企业都根据这四个方面来设定目标,但是我想向你证明,任何公司的目标都可以分成这四个部分。
第二,这是可以应用于组织的各个层面。(请看看方块的右手边),它可以应用于所有的业务部门、子公司,重要的一点根据公司的管理模式、根据目标来应用风险管理的框架,这也是COSO框架的基础之一。其中有八个相互联系的组成部分,包括内部环境、目标的设置、事项的变时、风险评估、风险的应对、控制活动、信息和沟通以及最后的监督。
在每一个组成部分之中都体现了我刚才介绍的原则,如果大家看过框架的话都知道,这些原则在附录B中可以了解到原则具体是什么。
然后我们来简要的介绍一下这些原则和概念,我想强调其中的三个原则,一个就是事项和风险,我们将看看风险的偏好和风险的容忍度,然后看看资产组合的关键,在此之前,我们还会介绍一下内控框架和企业风险管理框架之间的差别,但是同样重要的是我们要看一看这两个框架如何能够整合作一起。
在COSO委员会的工作组当中我们探讨了好几个月,就像探讨内部和ERM的关系如何。有很多不同的观点,就是它们的关系到底是怎么样的?但是最后我们达成了一致。为了能够维护框架的稳健性。这个关系应该是这样的,内部控制应该是ERM不可分割的一部分,简单的说你的企业风险管理如果没有内部控制的话是没有效的。也就是说在1992年设立的所有原则、概念都是可以纳入到整个ERM框架中的。此外,还有一些扩张的概念和原则以及扩张的目标,在E RM当中的目标又被延伸了。另外一个就是这两个框架有什么不同。有两个地方不同,第一个对内部控制框架,我们是假定你已经有了一些目标,已经有了目标设定的过程和流程,但是对于企业风险管理(ERM)我们觉得关键的是你要把目标的设定和战略的计划和风险管理整合在一起,也就是说这两个是必须被整合的。所以目标的设定也是ERM(企业风险管理)的一部分。
第二个重要的区分点,就是在企业风险管理框架中,有这样一个观点:必须对自己的风险有一个组合观,对自己风险的管理也要有一个组合观,这很关键。对于内部控制来说,框架说你可以根据一些逻辑来推断你的内控是有的,如果你了解你的每一种原则在每一个运用环境中是有效的,就可以了。你可以有不同的描述。比如说业务部门A内部控制是有效的,业务部门B内部控制是有效的,如果都是这样的话,就可以做出一个结论,作为公司整体来说我的内部控制就是有效的,是不需要推断的。但是对企业风险管理我们已经非常明确的指出,不但可以理解你的风险,以及对风险如何应对,必须有一个组合的观念来看待这个风险,如何影响你整个部门,以及如何有系统的方式来应对风险,而不仅仅是根据某个业务部门来探讨风险以及风险的应对。
我们来看看什么叫事件,事项是指一种意外或者突发的事件,它将会影响战略的实施和目标的达成。第二点我们要区分风险和机遇,风险是事项将会发生而且会给目标的达成带来不利影响的概率。而事项也可能会有正面的影响,它就
代表一种机遇。我这里想再来强调一点,就是很多的组织它是采取了风险管理的措施,他们一般只是注重风险端,但是没有看到另外一端,就是说这些事件也会给你带来正面的积极的机遇。风险实际上是一种可能的事件和你目标这么一个交点。一会我们也会具体来分析风险和机遇之间的关系。
那么接着我们要对风险进行计量,它的计量单位一定要和相关的目标是一致的。从实际的应用而言,这实际上是非常普遍的一个做法,就是风险一般,大家在进行评估和测量的时候,并没有使用和目标一致的计量单位,很多公司他们就说这个风险很大、很中或者是红色的、绿色的、橙色的风险程度,我看到这么一种标准之后,我就说,这个风险大是相对于什么而定的?是相对于你的战略目标大?还是相对于你的运作效率而言是风险很高?还是相对于我的合规性是风险高的?第二个就是说你说风险高、中,如何来衡量?可以看到我们COSO的框架而言,如果你能够有这么一个框架的话,你有自己的一个目标框架,我们就可以帮助你来评估风险的程度。就是说他们是有一个统一的框架。另外一点对于企业家而言,相对于他们的目标,跟他们谈论风险的话,他们是能够理解的,这是需要有一个替代的标杆。
另外要强调的一点,我们说的时间轴一定要根据达成的目标来确定。很多都会来评估信贷的风险或者是运作的风险,他们有可能没有考虑到时间轴。实际上在运作的时候,尽管大家有可能会意识到时间是非常重要的,但是我们在考虑合规性的风险或者战略风险、运作风险的时候,往往会忘记时间这个纬度,也就是说在多长的时间段里面遇到这个风险。可以看到这是两个很简单的例子。在这个幻灯片上面看起来很简单,但是实际上我们花了相当长的时间才做出这么一张幻灯片。也就是说我们一定要注重与目标,也注重与事件,而适中和目标的交点正是代表一个风险。
一系列的事件可能会创建一系列的风险,那么这个风险都是有不同分类的,我们来看一下蓝色的部分,就是我们公司所面临的比较普及的风险,比如说商品的风险、信用的风险、市场的风险、监管合规性的风险、操作层面的风险。我们看一下左边这个细项,风险的来源到底有哪些?这个事件来源有两部分,一个是内部,一个是外部。对于那些事件而言,我们就要问这些事件如何影响到不同的业务部门,这样一来我们就看到横轴(右边)列出了业务的目标,给大家举一个例子。比如说利率的变动,会影响到信贷的风险吗?当然了。会影响我们市场的风险吗?当然。会影响到对产品潜在的需求吗?对于抵押贷款而言当然会。会影响到我呼叫中心的呼叫量吗?当然会。所以我要问的一个问题就是,如果利率变动了50个基点,对我的业务目标有什么影响?如果在座的各位能够对这个问题进行回答的话,请举一下手。好
象没有人举手。可以看到这就是问题的根源。
你是不是理解某一个事项会影响到企业不同的目标。世界上有一些非常成熟的金融机构,他们在风险管理上非常有经验,但是他们也一直在考虑,如何来管理这个风险。比如说你的对家的风险,如果你拥有对家的投资组合,如果他进行了外包,如果你的对家业务发生了问题,那么对你而言业务目标会产生什么影响?你们举一下手看看你们是不是对这个风险做过评估?我要讲的一点也就是你一定要事先就了解,你的业务目标一旦受到一个事件的影响,那么对于不同的业务目标到底会产生什么样的影响?因为我们现在业务目标越来越复杂,业务模式越来越复杂,可以看到我们在管理风险方面的难度也越来越大。而且你一定要了解不同事件之间是相互错综复杂的。一旦其中一个事情发生了变动,也会影响到业务目标。
接下来我再来谈一下风险管理的另一个层面问题。很多时候有人会问我,他说这是我们一个风险评估的体系,他们就给我看,说有一些风险很大、有一些风险比较小。接着我就会问他,看一下你是使用的哪些定量的方法来评估这个风险的。这是COSO的框架,提出了定型风险计量技术的重要度,两者必须要同时加以运用。在我们的风险评估当中,是采取了两种方式,都使用。一般对于定性技术的运用是风险难以量化的时候,或者很难取得量化所需数据的时候用定性的技术,或者取得数据成本很高的时候也希望运用定性的技术。什么时候使用定量技术呢?当我们有足够的信息可以用来评估风险的可能发生率的影响。还有当面对错综复杂的业务模式时,当需要增加精度的时候,我们需要使用定量的技术。
我们看一下幻灯片右边的内容,可以看到风险管理技术逐步演进的路径,一开始是比较简单,我们基于自己的经验、自己的判断来定性的分析这个风险。接着要进一步寻找基准,对某一个特定的事件,在公司内部寻找一个基准或者在公司外部寻找一个基准来评估事件。接着我们又进一步使用一些非概率的技术,比如说进行敏感性分析、情景分析或者压力测试的方法。最后一种是使用概率的技术。也就是说它是有一个所谓的信心指数,可以进行反向测试等等。也就是进行风险管理、风险评估的时候一定要进行评估,如果你不理解定量的分析是非常复杂的话,实际上对公司的风险并没有非常好的评估方面,一定要了解世界上比较流行的风险评估的手段。
接着要谈的一个概念就是先偏好和风险承受度。
风险偏好实际上是一种比较宏观、高层的观点,是管理层或者董事会层面愿意承担的风险。再进行COSO调研的时候发现,很多时候风险偏好并没有被定量来得进行分析,它只是管理层或者董事会的一种哲学思考、宏观的思考。但是有时候我们发现风险偏好也是可以进行定量分析的。在我们的框架当中也说风险承受度,在可接受目标的偏差应该是与业务目标评估用同样的度量。要设定企业管理的目标,然后你说这些目标有哪些定量的评估体系,接着要评估风险。这个风险评估的度量应该和你衡量企业目标的度量是一样的,和风险承受能力评估也是同样尺度的。
再来看一下这张幻灯片,就像如何通过股价来管理公司的风险。我们知道实际上所谓的风险也是投入和产出之间的关系。在公司价值管理当中如何把风险管理也融合进去。可以看到对公司而言有三个利益群体,他们对风险、对回报都有自己的偏好,这三个利益关系是顾客、雇员和股东,对每一个利益相关者都要确定他们期望的回报值是多少、增长的目标是多少。然后就要看相对于这个回报和增长他们能接受的风险是多少。在增长风险回报之间如何能够保持一个平衡。对于客户而言,他的回报是希望能够增加单个客户增长,也希望这个公司能够进入更多的细分市场,能够增加它的市场渗透率,他们希望能够提高客户的满意度,能够提高客户的保留率。接着他们就看相对于这些增长的目标而言,公司应该承担怎么样的风险。这里面包括关键客户服务质量、流程的改善,或者集中程度和分水平的风险,他们也会来考察这个市场上信用波动的风险,然后看销售的风险。
这是一个业绩目标和风险管理之间的组合观。可以看到在几项内容。在这个幻灯片上要看一下2005年业绩的目标,当然这是在2004年做的对明年业绩目标的估计和制定。接着在右边就列出了在这一年当中可能会发生什么样的事件,发生的概率有多大,一旦发生这种事件的话,对我们2005年的业绩会产生怎么样的影响。在前面的演讲当中大家已经听到了我讲的一些风险管理原则,也就是说如果我们看到一个风险被列成一个MR,所谓一个R是指风险集中度。这个事件一旦发生的话,它以前给我们公司带来很大的麻烦,所以我们一定要了解这个风险集中对我们到底会产生怎么样的影响。对M而言是指每三年这个事件可能会发生,每发生会给我们公司造成一亿五千万美元的损失。
看一下Z项,Z就是每年都会发生一个合规性的事件,这里面有9项合规性的事件,比如说发生了这个事件之后我们会上报,每次上报会给我们带来七千五百万的损失,这是一个高发频率,每一年至少要发生一次以上。可以看到这系一个量化的指标。在这里并不是一个概率性的评估。但是可以看到实际是把它的集中度,把事件发生的严重程度和业务
指标、业务目标联系起来了。我们一定要有这么一个框架才可以把这个事件放入到我们的框架当中去。可以看到尽管这个方法并没有很复杂的定量技术,但是还是相当有效的。
再来看一下,这是我们按事件的类别,对我们目标的影响。看第一类的事件,也相当大的业务集中度,它对于我们公司经营收益的内在风险是相当高。这是一个组合观,是把事件按照类别进行分类,看看对我们公司经营业绩的影响,可以看到COSOERM企业风险管理,代表企业的一个机会,它提供了一个原则基础的通用框架,是非常逻辑、非常一致的,这样一来你可以围绕风险和控制的监管要求,该框架可用于一致化、协调并评估遵循所需的投入。这样的话可以对企业风险管理有一个全面、宏观的组合的风险观,而不仅仅是一个割裂风险管理视角。
有很多公司以为风险管理是一个全新的东西,之前都没有做过。但是实际上很多企业都是不自觉的在进行这方面的管理。因为作为一个企业而言,每天都面临风险,实际上每天都在进行风险管理。关键是你如何建立一个企业层面的、基于组合的全面的风险观。
下面要花一点时间来介绍一下ERM发展的不同阶段,可以看到ERM是由五个构件,这是基于我们帮助公司建立风险管理的实践。我们也可以看到这些企业不断的在风险管理方面成熟和演变。了解风险管理的这是第一个阶段,了解一些共同的语言,就是我们如何考虑风险到底怎么样,来关注风险在哪里,当前对它的控制有什么想法。第二个阶段就是风险的识别,风险识别阶段有两个基石,我在这里也列出来了,第一就是必须要理解风险在哪里,并且要画一个风险地图,风险会怎么样发展。当然要和目标相匹配。第二个基石就是你开始确定风险组织,如何架构,以及开始制定一些政策或者对政策进行设计,谁对哪一种风险负责。如果你还记得我之前的介绍,最大的一个缺点,在这个阶段就是很多人、雇员不知道他们的职责所在。其实如果在更早的阶段,让他们了解自己的职责,对整个系统的顺利实施是有帮助的。在第三和第四个阶段,重点就转移到了定义的分析,会进行一些自测,使用一些核心的风险指标,问题是在这里采用的一些衡量措施是定性的分析。现在还没有使用概率或者非概率的定量风险技术,还没有在这里使用。第四个阶段就是要更精确了,更精确的进行计量,在这时就会考虑可获得性的数据、内部和外部的数据、损失性的数据,这个时候就可以建模了,无论从资本的角度、价值的角度可以看看风险对我们公司带来什么样的影响。第五个阶段是整合管理,这个时候已经开始整合,风险管理的原则要纳入到公司的核心业务中去。我在这里想要强调,一般来说公司他们到第三阶段以后
就会直接跳到第五阶段,没有时间进行精确的建模。但是为了有一个整合的系统,我觉得你的业绩表现和定量的分析风险应该整合起来,所以第四环节是不能跳过的。
下面我将简要的再谈谈在实施方面的内容。
首先文化和治理。对于ERM的有效性来说最重要的就是和恰当的企业文化,风险组织应该基于某个中心部门来建立。风险管理委员会的架构必须根据风险类别来设立,由风险管理委员会来统管,而且必须对现在的风险管理有一个了解,并且知道它们现在的风险管理怎么样,可以对企业进行改良。
看看这张幻灯片,我们认为这个图非常有意义,可以用于很多公司,那么这个图有什么意思呢?在一个典型的业务周期中,计划、执行,然后对其进行监控。问题是在(左手边)的模式中,谁承担了哪一层的职责、谁承担了管理风险,这和战略都是密切相关的。这张图的底部就体现了另外一个思维方式,如何来考虑在公司最高层的风险,在公司最高层是如何分配的。在计划阶段给哪个部门分多少资本,以及他们在运行的时候可以获得多少资金,资金的限额,这也包括风险偏好和容忍度。在谈到业务执行的时候,主要就是控制一些流程。你的雇员如何运用这些流程。在衡量主控值的时候,就是报告和支持的分析。这是一个自我不断循环、自我不断发展的环路。
我们可以建立三种不同的组织结构图,可以利用它来实施企业风险管理。这三者不同的方法可以供不同类型的公司来使用。
在风险识别方面,在这一阶段有两个非常关键的元素,第一个有很多公司都做的很好,那就是获得初期的看法,风险是什么?它们和我们的目标联系在哪里。第二步(在我看来是最重要的一步),就是衡量一下如何运用八个相关的原则和模块,很多ERM的项目,都仅仅是关注风险的评估,但是他们却忽视了,我刚才谈的第二个关注,就是如何把基本的原则应用到普通业务运行当中去。这是一个自我评估的例子,其中有定性分析的内容,在定性分析方面,我们设定了一些可以用的措施。比如说很多公司都不知道他们在用什么样的测量方法,从这个图上可以看到,你是如何从已有的指标看公司情况如何,现在这些情况和风险因子,他们的关系如何,这是其他一些公司已经使用的一个模块。可以看看如何对其进行改良。这个地方更多的是定性管理,就是说可以进行风险管理的方式,通过一些平衡积分表和业绩的方式组合在一起,可以衡量业绩,同时也可以衡量风险,通过这种定性的分析把这两个联系在一起。
然后还可以计量一下影响波动性的关键因子,进行建模,认为风险敞口在哪里,可以根据这个风险敞口进行建型,这个模式的运用性比其他的要应用的更好。但是可以衡量事项,然后为资本来建模。如果可以为资本建模,对某一个目标或者某一个部门进行建模的话就可以为整个公司进行建模。
我的观点是这样的,我们谈到一个例子有风险资本的概念,我认为大部分业务部门的人,他们都是谈到对其收益的风险。其实重要的是为能够获得一个资本的数量,我必须知道收益的波动性,所以可以利用收益波动性和CFO和业务部门的人进行讨论。可以利用资本的数据理解,如何运用我的资本。
在第五个阶段,整合管理方面,可以整合现有的经营计划流程,加入更多的客观风险计量,当你谈到战略计划的时候,战略选择如何进行,如何进行目标的预测。将来交付的情况怎么样,比如说是为了增长、收益、客户的保留等等,这些都是我们可以进行计量的指标。显然ERM和这个计划相联系这是非常关键的,在计划流程中必须要确定风险的偏好,必须要进行组织的整合、组织的联系,必须非常自信的进行企业前景的预测,企业业务部门要知道自己的业务目标是什么,以及波动性如何,要通过什么样的方法创建这样的计划,就会受到业务部门的信任。然后可以把之前没有的整合性纳入到公司内部。
下面是将ERM嵌入到日常管理中,我们如何通过更好的日常管理、更优化的资本运用。当我们看到新的风险时,风险是很大的。业务部门通过风险调整进行控制,我们可以看到哪一个业务部门创造了多少价值,这些基础设施是和风险偏好相联系的。我之前也说过我们碰到的最大的挑战就是获得足够多的及时信息,这是在风险基础设施架构好了以后才可以获得的。那么高级管理团队要做出正确的决策,根据已有的信息,在每日的交易中必须进行风险和收益的权衡,然后做出比较、做出决策。
我们会强调四点,变化越来越快、透明度越来越高,你也不可能向你的相关者隐瞒着,CEO必须要很好的管理,E RM可以便于盈余波动性管理、资本充足性和资本优化趋向价值创造。风险管理方法有助于平衡围绕企业业绩和风险各方利益和观点。
这就是我的介绍,下面我非常欢迎大家的提问。
一、导言 中航油巨亏事件,对国内外相关各方都产生了重大冲击和深远影响。由于中航油的国企背景,该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件,也给我们提出了一个相同的问题:我们的企业到底出了什么问题?就在此时,国际著名的反虚假财务报告委员会(即Treaday委员会)于2004年年底,针对国际企业界频繁发生的高层管理人员舞弊现象,废除了沿用很久的企业内部控制报告,颁布了一个概念全新的COSO报告:即《企业风险管理——总体框架》(Enterprise Risk Management,简称ERM)。此报告虽然保留了部分传统内部控制的某些概念,但不论在框架上、还是在要素方面,均有相当大的突破。 在如此赞誉之下的新内部控制框架,它出台的背景与动机又是什么?其具体内容究竟是什么?它能为我国企业内部控制的改善带来什么意义?这是我们需要分析的内容。 二、COSO委员会新报告《企业风险管理——总体框架》解读
内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段(储稀梁,2004)。由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEI)、国际内部审计师协会(IIA)和管理会计师协会(IMA)五大学会共同组成的Treadway 委员会,于1992年发表,并于1994年修订的《内部控制——整体框架》报告,标志着内部控制理论与实践进入了整体框架的新阶段,并被世 界上许多企业所采用。尽管如此,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的 风险管理相结合(朱荣恩,贺欣,2003)。2004年10月份发布的企业风险管理(Enterprise Risk Management,ERM)框架就是在1992年报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes—Oxley Act)的相关要求扩展研究得到的。与传统内部控制内容相比,新框架有了较多的变化。这些变化主要包括如下几个方面: (一)企业风险管理对内部控制内涵的发展 1992年COSO报告对内部控制的定义是:“内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”内部控制的定义明确了四个要点:(1)是一个过程;(2)受人为影响;(3)为了达到三个目标;(4)合理保证。 这个定义尽管非常宽,但从某种角度来说,又比较模糊,存在某些片面性。故原COSO报告1992年出版后不久,就有声音批评该报告缺
全面风险管理体系建设 方案 内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)
我们侧重从企业整体层面制定风险战略、完善内控体系、设计风险管理流程和组织职能等。我们帮助企业搭建风险管理的综合架构,建立风险管理的长效机制,从根本上提升风险管理的效率和效果。 全面风险管理体系建设将帮助企业达到以下目标: ·从企业战略出发,统一风险度量,建立风险预警机制和应对策略 ·明确风险管理职责,将所有风险的管理责任落实到企业的各个层面 ·形成风险信息的收集、分析、报告系统,为风险的实时有效监控和应对提供依据 ·避免企业重大损失,支持企业战略目标的实现 ·使所有企业利益相关人了解企业的风险,满足股东以及监管机构的要求 ·形成一套自我运行、自我完善的风险管理机制 · 风险评估 系统辨识客户企业面临的风险,将辨识出的风险进行定性和定量的分析,评价风险对企业目标的影响。 ·统一的风险语言 ·确定风险列表和坐标图
·确定企业风险管理的重点 ·明确风险的价值 · 风险管理诊断 评估企业风险管理体系的整体水平,诊断对于重大风险管理的应对手段,把握企业了解当前的风险管理现状,提出改进的建议方案。 ·评估核心风险的管理状况 ·满足合规的要求 ·找出风险管理现状与最佳管理实践之间的差距 · 风险战略设计 根据企业的发展战略,结合企业自身的管理能力,明确风险管理目标,并针对不同的风险,引入量化分析工具,确定风险偏好和承受度,设计保证战略目标实现的风险管理战略。 ·确定风险管理指导方针 ·确定风险偏好及风险承受度 ·确定企业整体风险模型 ·确定风险预警体系 · 风险文化建设 统一企业的风险意识和风险语言,培养企业员工的风险责任感,建设与企业风险战略相符合的风险文化。 ·普及风险管理知识 ·强化全员风险意识
COSO风险管理框架把风险管理的要素分为八个:内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。 内部环境 企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。内部环境影响企业战略和目标的制定、业务活动的组织和风险的识别、评估和执行等等。它还影响企业控制活动的设计和执行、信息和沟通系统以及监控活动。内部环境包含很多内容,包括企业员工的道德观和胜任能力、人员的培训、管理者的经营模式、分配权限和职责的方式等。董事会是内部环境的一个重要组成部分,对其他内部环境的组成内容有重要的影响。而企业的管理者也是内部环境的一部分,其职责是建立企业的风险管理理念、确定企业的风险偏好,营造企业的风险文化,并将企业的风险管理和相关的行动计划结合起来。 目标制定 根据企业确定的任务或预期,管理者确定企业的战略目标,选择战略方案,确定相关的子目标并在企业内层层分解和落实,各子目标都应遵循企业的战略方案并与战略方案相联系。 事项识别 管理者意识到了不确定性的存在,即管理者不能确切地知道某一事项是否会发生、何时发生或者如果发生其结果如何。作为事项识别的一部分,管理者应考虑会影响事项发生的各种企业内外部的因素。外部因素包括经济、商业、自然环境、政治、社会和技术因素等,内部因素反映出管理者所做的选择,包括企业的基础设施、人员、生产过程和技术等事项。 风险评估 风险评估可以使企业了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估――风险发生的可能性和影响。 风险反应 管理者可以制定不同风险反应方案,并在风险容忍度和成本效益原则的前提下,考虑每个方案如何影响事项发生的可能性和事项对企业的影响,并设计和执行风险反应方案。考虑各风险反应方案并选择和执行一个风险反应方案是企业风险管理不可分割的一部分。有效的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险容忍度范围之内的风险 反应方案。 控制活动 控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业努力实现其商业目标的过程的一部分。通常包括两个要素:确定应该做什么的一个政策和影响该政策的一系列过程。 信息和沟通
COSO风险管理框架中文版 概览 一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。 COSO 委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划,旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。 本概览列出了企业风险管理框架的关键内容,包括企业风险管理的定义、内容和基本原则,风险管理的优点、局限性以及各相关方的地位和职责。本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。如果想更加深入地了解有关知识,请看企业风险管理框架的全文。 (一)企业风险管理的相关性 企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构,其存在的目的都是为其利益相关方带来价值。所有的企业都要面对不确定性。对企业管理者而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定性的程度。不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。 1.不确定性 企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。 2.价值 从战略的制定到企业的日常经营,管理者的决策会创造、保持或减少企业的价值。决策的本质就是确认风险和机遇,它要求企业的管理1应在考虑企业内、外部环境的因素的基础上,对企业的稀缺资源进行配置,并且根据环境的不断变化来调整企业的活动。 当企业的利益相关方取得其相应价值的可确认收益时,企业的价值也得到实现。对于公司而言,当股东承认由于股价上扬所带来的价值时,他们也就承认了企业的价值。对于政府机构,当该机构以一个可接受的成本所提供的服务的收益得到确认时,机构的价值就得以实现。对于非盈利组织的利益相关方而言,当他们确认组织所提供的社会福利的价值时,他们也就承认了该组织的价值。企业风险管理使管理者能够创造持久的价值并能够将创造价值的信息传递给利益相关方。 3.企业风险管理的优点 所有企业都是在有风险的环境下经营,而不是企业风险管理使企业面临这样的环境。企业风险管理是使管理者能够在充满风险的环境中更加有效地经营。 企业风险管理使企业的管理者能够: (1)将风险偏好和企业的战略结合在一起。 从广义来讲,风险偏好是一个公司或企业在追求其目标的过程中愿意接受的风险的程度。管理者在评估企业的战略方案时首先要考虑企业的风险偏好,其后,在制定与企业战略相对应的目标和建立一定的机制管理相应的风险时也应考虑企业的风险偏好。 (2)将企业成长、风险和收益联系起来 经济主体在企业价值保值、增值的过程中也要接受相应的风险,同时预期补偿风险的相应收益。企业风险管理提高了企业确认和评估风险的能力,进而使企业能够确定相对于企业成长性和收益目标而言的风险的可接受水平。 (3)增加风险反应决策
创作编号:BG7531400019813488897SX 创作者:别如克* COSO风险管理框架中文版 概览 一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。 COSO 委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划,旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。 本概览列出了企业风险管理框架的关键内容,包括企业风险管理的定义、内容和基本原则,风险管理的优点、局限性以及各相关方的地位和职责。本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。如果想更加深入地了解有关知识,请看企业风险管理框架的全文。 (一)企业风险管理的相关性 企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构,其存在的目的都是为其利益相关方带来价值。所有的企业都要面对不确定性。对企业管理者而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定性的程度。不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。 1.不确定性 企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。 2.价值 从战略的制定到企业的日常经营,管理者的决策会创造、保持或减少企业的价值。决策的本质就是确认风险和机遇,它要求企业的管理1应在考虑企业内、外部环境的因素的基础上,对企业的稀缺资源进行配置,并且根据环境的不断变化来调整企业的活动。
风险控制体系 第一部分:风险类别 依照风险的内容和来源,根据《中央企业全面风险管理指引》将企业风险分为:1.战略风险 2.财务风险 3.市场风险 4.运营风险 5.法律风险 结合我司现发展阶段,将公司风险控制系统主要划分为两大板块,即公司内部风险控制体系与公司业务风险控制体系。
? ?第二部分:内部控制体系的建立
一、战略风险控制 (详见行业分析调研报告) 二、财务风险控制 (详见公司财务管理制度) 三、运营风险控制 (详见公司各项管理制度) (一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定; (二)建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等; (三)建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任; (四)建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各部门、岗位、人员应负的责任和奖惩制度; (五)建立内控考核评价制度。适当考虑把各业务风险管理执行情况与绩效薪酬挂钩; 四、法律风险
建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设,形成由企业决策层主导、企业法律顾问牵头、企业具体业务部分提供业务保障、全体员工共同参与的法律风险责任体系。 对合同审批的内部控制(关键词“公司公章、合同章的管理”)公司应制定严格的合同审批程序,以防止随意签署合同。 公司合同涉及到公司的法律责任、资金收付、税收支出等等,因此,必须严格执行完善的审批流程:此时的低效率有助于控制公司的风险、降低经办人员的责任。 1、对于常规合同,公司内部确定经领导、律师审核通过的标准文本;如果对方提出修改部分条款,需要走审批程序; 2、对于非常规合同,需要走经办人、经办部门经理、(财务总监)、法律顾问、总经理(乃至董事长)审批后,公司办公室、业务部门方可予以盖章。 3、主要审查: (1)合同主体;(2)业务的合法合规性;(3)交易价格是否公允、是否浮动、浮动的条款;(4)涉及到的全部税收计算;(5)相关约束商务条款是否合理;(6)权责利是否明确对等;(7)是否超过总经理、董事长、董事会的审批权限等等 第二部分:业务控制体系的建立
新版COSO《企业风险管理框架》:有哪些变化? 2016-12-15 6月24日,反虚假财务报告委员会下属发起组织委员会(COSO)发布《企业风险管理:风险与战略和绩效的协调》,以向公众征求意见,截止日期为2016年9月30日。1熟悉2004版《企业风险管理综合框架》的人可能不会将以此为更新基础的新版框架视为“全新” 概念,但他们会发现新框架的关注点已截然不同,它所关注的是如何使企业风险管理(ERM)在组织机构真正行之有效。 为什么要更新?对过去十年的回顾与总结 自原始框架于2004年刊发以来,实施该框架的企业便面临各种问题,而最大的干扰来自在美国上市的企业不得不全力以赴应对《萨班斯法案》合规工作。 当然框架的实施还面临其他挑战: ?企业风险管理的实施围往往并不面向整个组织机构,并且很少被运用到战略制定中。 如此一来,COSO框架在对企业风险管理进行定义时所强调的最重要亦是最独具一格的一点——“应用于战略制定过程中和整个企业中”在实践中却被误读或无视。 ?COSO最初在编制框架时采用了类似于部控制框架所使用的立方体。虽然COSO对立方体右侧的容进行了修改,删除了有关活动和流程,改为侧重于围更广的实体和运营单位及分支机构,但许多企业依然试图在过于细微的层面实施该框架,例如运用于流程层面而非
战略制定。企业风险管理的实施活动也因此陷于细节的泥潭,令许多C级高管迅速失去兴趣。 ?许多组织机构将企业风险管理作为一种保证活动来实施,而不是将其视为一种更佳的企业管理方式。在和运营单位的领导们打交道时,这种方法无疑是失败的,特别是在有关活动又由部审计部门主导的情况下。 ?2008年金融危机所引发的经济大萧条令许多企业进入危机应对模式,企业风险管理的实施也因此受到影响。 ?最终,还是影响深远的突发性重大事件重新引起了对企业风险管理的真正兴趣,包括2008年的金融危机和2011年的日本海啸。 简而言之,在COSO公布框架之初高管人员对它的关注度便有限,实施活动自那时起就参差不齐。 鉴于上述原因,企业风险管理框架在早些年并未获得施展拳脚的机会。直至金融危机爆发,许多企业高管都并不知晓该框架抑或不确定应如何应对。然而,金融危机爆发后,有关问题和价值主便开始明朗起来。
新巴塞尔协议之操作风险及其管理框架 时间:2008-06-07 16:46来源:互联网作者:佚名点击:165次 操作风险概念的提出已有很久的历史,但是操作风险作为与市场风险、信用风险并列的三大风险之一却是近几年的事情。1998年9月,巴塞尔银行监管委员会首次发布了《操作风险管理》,将操作风险正式纳入新巴塞尔协议的三大风险之中。新协议把操作风险定义为“由于内部程序 操作风险概念的提出已有很久的历史,但是操作风险作为与市场风险、信用风险并列的三大风险之一却是近几年的事情。1998年9月,巴塞尔银行监管委员会首次发布了《操作风险管理》,将操作风险正式纳入新巴塞尔协议的三大风险之中。新协议把操作风险定义为“由于内部程序的不力或过失,人员或系统问题和外部事件所造成损失的风险。这一定义将法律风险包含在内,但排除了策略风险和信誉风险”。2001年,巴塞尔委员会公布了操作风险的背景文件。2003年2月,巴塞尔委员会公布了对操作风险管理的一系列原则。 一、操作风险的定义 根据新巴塞尔协议,操作风险是指由于内部程序的不力或过失,人员或系统问题和外部事件所造成损失的风险,这一定义将法律风险包含在内,但排除了策略风险和信誉风险。这个定义有以下几个特点:①关注内部操作,内部操作常常就是银行及其员工的作为或不作为,银行能够也应该对其施加影响;②重视概念中的过程导向;③人员和人员失误起着决定性作用,但人员失误不包括由于个人利益和知识不足的失误;④外部事件是指自然、政治或军事事件,技术设施的缺陷,以及法律、税收和监管方面的变化;⑤内部控制系统具有重要的作用。 在2005年三月二十八日,我国银监会有关部门负责人就《关于加大防范操作风险工作力度的通知》答记者问中,也给出了操作风险的解释:操作风险在于银行内部控制及公司治理机制的失效。这种失效状态可能因为失误、欺诈,未能及时做出反应而导致银行财务损失,或使银行的利益在其他方面受到损失,如银行交易员、信贷员、其他工作人员越权或从事职业道德不允许的或风险过高的业务。操作风险的其他方面还包括信息技术系统的重大失效或诸如火灾和其他灾难等事件。可以看出银监会就操作风险的定义和巴塞尔委员会中对操作风险的定义本质上是一致的,都着重说明了造成操作风险的原因,即:内部程序问题,人员系统问题和外部事件。 二、操作风险的分类及特点 根据巴塞尔协议,操作风险分类方法主要包括以下七种事件类型:①内部欺诈:故意欺骗,盗用财产或违反规则法律公司政策的行为;②外部欺诈:第三方故意欺骗,盗用财产或违反法律的行为;③雇员活动和工作场所安全:由个人伤害赔偿金支付或差别及歧视事件引起的违反雇员健康或安全相关法律和协议的行为;④客户,产品和业务活动:无意或由于疏忽没能履行对特定客户的专业职责,或者由于产品的性质或设计产生类似结果;⑤实物资产的损坏:自然灾害或其他事件造成的实物资产损失或损坏;⑥业务中断和系统错误:业务的意外中断
一企业建立全面风险管理体系的必要性 (一)中国企业风险管理面临的许多问题需要我们建立健全全面风险管理体系 1缺乏正确的风险理念。风险理念是指对风险的态度和认识。风险理念应该与企业所处的内外部环境、企业的资源状况以及企业战略相适应,应该有助于企业战略目标的实现。正确的风险理念既不是对风险的刻意回避,也不是片面为高回报而刻意追求;既不是对风险 视而不见,也不是对风险过分强调。 2有待于从战略高度认识风险管理的必要性。中国企业对风险管理的认识大都停留在职能管理的层次上,风险管理缺乏必要的高度,也没有得到企业高层的必要关注。 3缺乏系统性风险管理手段。中国企业的风险管理缺乏风险分析和度量手段,缺少专门化的风险管理工具,往往按职能被切分到财务、运营、市场、法律等多个层面,缺乏全局 性的整合框架和主线。 4全面风险管理还未渗透到组织和流程的各个层面。组织的风险理念往往缺乏清晰的表达和内部贯彻,并没有为大多数员工理解和认同,也无法落实到具体的日常工作中。 (二)国内外大公司各类重大风险事件频发为我们敲响了必须建立全面风险管理体系的 警钟 如果企业未建立风险管理机制或企业的风险管理失效。将会在某种程度上毁灭股东价值甚至社会价值,将会面临丢失客户、丧失信誉、丢失合作伙伴、营业中断或直接导致破产等风险,国内外许多著名的企业已为我们敲响了警钟。 1因运营风险而破产的巴林银行。巴林银行创建于1793年,在上世纪90年代前是英国最大的银行之一。1995年2月27日,英国中央银行突然宣布:巴林银行不得继续从事交易活动并将申请资产清理。这意味着具有233年历史、在全球范围内掌管270多亿英 镑的英国巴林银行宣告破产。 1995年,当时担任巴林银行新加坡期货公司执行经理的里森,同时身兼首席交易员和清算主管两职。有一次,他手下的一个交易员因操作失误亏损了6万英镑,当里森知道后,因为害怕事情暴露影响他的前程,便决定动用88888“错误账户”。而所谓的“锚误账户”,是指银行对代理客户交易过程中可能发生的经纪业务错误进行核算的账户。以后,他一再动用“错误账户”,使银行账户上显示的均是赢利交易。随着时间的推移。备用账户使用后的恶性循环使公司的损失越来越大。此时的里森为了挽回损失,竟不惜最后一搏,在日本神户大地震中。多头建仓,最后造成损失超过10亿美元。这笔数字,是巴林银行全部资本及储备金的1.2倍,233年历史的老店就这样顷刻瓦解了。 巴林银行的破产是由于缺乏足够的职责划分和上级对下级从事业务的监控机制。公司巨 大的运营风险导致了其最后的失败。 2因战略风险而倒闭的日本八百伴公司。八百伴公司创业于1930年。八百伴起初是在静冈县热海市开办的蔬菜水果店。经过30多年的奋斗,小商店有了相当大的发展。1962年正式更改店名为八百伴百货店。从此,八百伴大举拓展海内外事业,开始增辟生产线。兼营家庭生活用品和服装。并先后在巴西、新加坡、香港、上海、英国、美国建立了一系列分号。掀起一股流通业国际化的浪潮,逐步发展成为一个拥有236亿日元资本、42家日本国 内骨干店铺、26家海外超市的连锁企业。 1997年9月18日。八百伴日本公司向公司所在地的日本静冈县地方法院提出公司更
企业风险管理—— 整合框架 内容摘要(简体中文翻译:中国东北财经大学方红星教授)
内容摘要 企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性,管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时,要确定承受多大的不确定性。不确定性可能会破坏或增加价值,因而它既代表风险,也代表机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会,增进创造价值的能力。 当管理当局通过制订战略和目标,力求实现增长和报酬目标以及相关的风险之间的最优平衡,并且在追求所在主体的目标的过程中高效率和有效地调配资源时,价值得以最大化。企业风险管理包括: ? 协调风险容量(risk appetite)①与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中,需要考虑所在主体的风险容 量。 ? 增进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间进行选择提供了严密性。 ? 抑减经营意外和损失——主体识别潜在事项和实施应对的能力得以增强,抑减了意外情况以及由此带来的成本或损失。 ? 识别和管理多重的和贯穿于企业的风险——每一家企业都面临影响组织的不同部分的一系列风险,企业风险管理有助于有效地应对交互影响,以及整合式地应对多重风险。 ? 抓住机会——通过考虑全面范围内的潜在事项,促使管理当局识别并积极地实现机会。 ? 改善资本调配——获取强有力的风险信息,使得管理当局能够有效地评估总体资本需求,并改进资本配置。 企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标,防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规,还有助于避免对主体声誉的损害以及由此带来的后果。总之,企业风险管理不仅帮助一个主体到达期望的目的地,还有助于避开前进途中的隐患和意外。 事项——风险与机会 事项可能会带来负面的影响,也可能会带来正面的影响,抑或二者兼而有之。带来负面影响的事项代表风险,它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响,或者说代表机会。机会是一个事项将会发生并对目标——支持价值创造或保持——的实现产生正面影响的可能性。管理当局把机会反馈到战略或目标制订过程中,以便制订计划去抓住机会。 ①也有人将其翻译为“风险偏好”、“风险需求”、“风险承受能力”等——译者注。
企业风险管理整合框架及其评价 在内部控制标准制定方面,美国发起人组织委员会(COSO) 一直是国际公认的权威机构,自其成立以来,一直致力于内部控制标准的制定,引导和代表着内部控制的发展趋势。1992年,COSO提岀了《内部控制——整合框架》,经过十多年的应用.已成为业界普遍认可的一个标准。2004 年9月,COSO又提岀了《企业风险管理一一整合框架》,它既是对《内部控制一一整合框架》的超越,也标志着内部控制的转型,在内涵界定、目标体系、构成要素等方面都进行了拓展和延伸。 一、企业风险管理的性质(n ature)与定位 这些年来.一系列财务失败事件的发生以及对企业风险管理的关注,使人们越来越清楚地认识 到需要一个强有力的框架以便有效地识别、评估和控制风险。2001年,COSO开展了一个项目, 委托普华永道开发一个对于管理当局评价和改进他们所在组织的企业风险管理的框架。但在开发这个框架期间,又发生了一系列令人瞩目的企业丑闻和失败事件,投资者、公司员工和其他利益相 关者因此而遭受了巨大的损失。随之而来的便是对采用新的法律、法规和上市准则来加强公司治 理和风险管理的呼吁。人们迫切需要一个能够提供关键原则和概念、共同的语言以及明晰的方向和指南的企业风险管理框架。美国在2002 年颁布了《萨班斯-奥克斯利法案》,其他国家也已经通过或正在考虑类似的立法。这部法律扩充了长期持续的对公众公司保持内部控制制度的规定 , 要求管理当局证实、并由独立审计师鉴证这些制度。2004 年9 月,COSO 发布了《企业风险管理——整合框架》,它拓展了内部控制框架,更关注于企业风险管理这一更加宽泛的领域。按照COSO 的设想,他们不打算、也的确没有用企业风险管理框架取代内部控制框架,而是将内部控制框架纳 入其中,公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要,还可以借此转向一
我们侧重从企业整体层面制定风险战略、完善内控体系、设计风险管理流程和组织职能等。我们帮助企业搭建风险管理的综合架构,建立风险管理的长效机制,从根本上提升风险管理的效率和效果。 全面风险管理体系建设将帮助企业达到以下目标: ·从企业战略出发,统一风险度量,建立风险预警机制和应对策略 ·明确风险管理职责,将所有风险的管理责任落实到企业的各个层面 ·形成风险信息的收集、分析、报告系统,为风险的实时有效监控和应对提供依据 ·避免企业重大损失,支持企业战略目标的实现 ·使所有企业利益相关人了解企业的风险,满足股东以及监管机构的要求 ·形成一套自我运行、自我完善的风险管理机制 · 风险评估 系统辨识客户企业面临的风险,将辨识出的风险进行定性和定量的分析,评价风险对企业目标的影响。 ·统一的风险语言 ·确定风险列表和坐标图 ·确定企业风险管理的重点 ·明确风险的价值 · 风险管理诊断 评估企业风险管理体系的整体水平,诊断对于重大风险管理的应对手段,把握企业了解当前的风险管理现状,提出改进的建议方案。 ·评估核心风险的管理状况
·满足合规的要求 ·找出风险管理现状与最佳管理实践之间的差距 · 风险战略设计 根据企业的发展战略,结合企业自身的管理能力,明确风险管理目标,并针对不同的风险,引入量化分析工具,确定风险偏好和承受度,设计保证战略目标实现的风险管理战略。 ·确定风险管理指导方针 ·确定风险偏好及风险承受度 ·确定企业整体风险模型 ·确定风险预警体系 · 风险文化建设 统一企业的风险意识和风险语言,培养企业员工的风险责任感,建设与企业风险战略相符合的风险文化。 ·普及风险管理知识 ·强化全员风险意识 ·建立道德诚信准则 · 风险管理规划 帮助企业制订全面风险管理体系建设的总体规划,建立一套长效机制并协助客户将总体规划分解落实,明晰每步的工作内容和里程碑。 ·明确全面风险管理的最终目标 ·确定预期效果与评估标准 ·确定实施的步骤 ·确定组织方式 ·确定资源配置方案 · 风险流程设计 基于企业现有的内控流程,结合已评估出的风险,找出流程中的关键风险控制点,梳理并细化具体控制内容,修改制度,增加监控指标,强化业务和管理流程中的内部风险控制。
某某集团全面风险管理实施方案1 关于印发《****集团公司全面风险 管理体系建设实施方案》的通知 各所属企业: 现将《****集团公司全面风险管理体系建设实施方案》印发给你们,请结合本企业实际,认真贯彻落实。 特此通知。 附件:****集团公司全面风险管理体系建设实施方案 二○一○年十月二十八日 主题词:风险管理实施方案通知 附件: ****集团公司 全面风险管理体系建设实施方案 根据国务院国资委和****集团战略发展要求,集团公司决定从2010年7月至2012年12月开展全面风险管理体系建设项目,计划利用2~3年时间,最终建立****集团全面风险管理体系,进而提高集团公司及所属企业风险管理能力,促进企业科学、可持续发展。 为更好的借鉴全面风险管理体系建设的经验,集团公司决定
聘请咨询机构作为外部专家,指导集团公司及所属企业开展全面风险管理体系建设工作。考虑集团本部及所属企业管理模式和业务特点,坚持“总体规划、整体部署、重点突出、分步实施、逐层推进”的总体思路,走“先试点、后推广、再提高”的路线,分为两个阶段进行。 一、全面风险管理项目启动、试点阶段(2010年7月~2011年12月) 通过本阶段工作,集团本部及所属企业初步完成全面风险管理体系框架建设工作,为后期推广工作打下坚实基础;集团本部及试点企业全面风险管理体系建立并开始测试运转,重要领域的风险管理水平得到提升,并为第二阶段在非试点企业进行项目推广积累经验;同时风险管理信息系统的规划工作基本完成,为后期信息系统的实施打下基础。 该阶段工作具体分为三个阶段: (一)项目准备阶段(2010年07月~2010年10月) 本阶段主要任务是成立领导小组和工作机构,开展调研,明确项目目标、制定项目总体方案,选定咨询机构,做好项目动员部署等其他准备工作。具体方案详见附件一。 (二)项目启动阶段(2010年11月~2011年04月) 本阶段主要任务:一是****集团本部及所属企业完成全面风险管理体系框架建设;二是做好风险信息收集、风险评估工作;三是确定风险管理内容和第一阶段风险管理重点项目,开展重大风险管控;四是明确试点企业,并制定各试点企业风险管理实施
新版COSCO企业风险管理框架》:有哪些变化? 2016-12-15 6月24日,反虚假财务报告委员会下属发起组织委员会(COSO发布《企业风险管理:风 险与战略和绩效的协调》,以向公众征求意见,截止日期为2016年9月30日。1熟悉2004版《企业风险管理综合框架》的人可能不会将以此为更新基础的新版框架视为“全新”概念,但他们会发现新框架的关注点已截然不同,它所关注的是如何使企业风险管理(ERM在组织机构内真正行之有效。 为什么要更新?对过去十年的回顾与总结 自原始框架于2004年刊发以来,实施该框架的企业便面临各种问题,而最大的干扰来自在 美国上市的企业不得不全力以赴应对《萨班斯法案》合规工作。 当然框架的实施还面临其他挑战: ?企业风险管理的实施范围往往并不面向整个组织机构,并且很少被运用到战略制定中。如此一来,COSO!架在对企业风险管理进行定义时所强调的最重要亦是最独具一格的一点 ――“应用于战略制定过程中和整个企业中”在实践中却被误读或无视。 *COSO1初在编制框架时采用了类似于内部控制框架所使用的立方体。虽然COSO寸立方体右侧的内容进行了修改,删除了有关活动和流程,改为侧重于范围更广的实体和运营单位及分 支机构,但许多企业依然试图在过于细微的层面实施该框架,例如运用于流程层面而非战略制定。企业风险管理的实施活动也因此陷于细节的泥潭,令许多C级高管迅速失去兴趣。 ?许多组织机构将企业风险管理作为一种保证活动来实施,而不是将其视为一种更佳的企业管理方式。在和运营单位的领导们打交道时,这种方法无疑是失败的,特别是在有关活动又由 内部审计部门主导的情况下。 *2008年金融危机所引发的经济大萧条令许多企业进入危机应对模式,企业风险管理的实施也因此受到影响。
风险管理框架 COSO风险管理框架把风险管理的要素分为八个:内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。 内部环境 企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。内部环境影响企业战略和目标的制定、业务活动的组织和风险的识别、评估和执行等等。它还影响企业控制活动的设计和执行、信息和沟通系统以及监控活动。内部环境包含很多内容,包括企业员工的道德观和胜任能力、人员的培训、管理者的经营模式、分配权限和职责的方式等。董事会是内部环境的一个重要组成部分,对其他内部环境的组成内容有重要的影响。而企业的管理者也是内部环境的一部分,其职责是建立企业的风险管理理念、确定企业的风险偏好,营造企业的风险文化,并将企业的风险管理和相关的行动计划结合起来。 目标制定 根据企业确定的任务或预期,管理者确定企业的战略目标,选择战略方案,确定相关的子目标并在企业内层层分解和落实,各子目标都应遵循企业的战略方案并与战略方案相联系。 事项识别 管理者意识到了不确定性的存在,即管理者不能确切地知道某一事项是否会发生、何时发生或者如果发生其结果如何。作为事项识别的一部分,管理者应考虑会影响事项发生的各种企业内外部的因素。外部因素包括经济、商业、自然环境、政治、社会和技术因素等,内部因素反映出管理者所做的选择,包括企业的基础设施、人员、生产过程和技术等事项。 风险评估 风险评估可以使企业了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估――风险发生的可能性和影响。 风险反应 管理者可以制定不同风险反应方案,并在风险容忍度和成本效益原则的前提下,考虑每个方案如何影响事项发生的可能性和事项对企业的影响,并设计和执行风险反应方案。考虑各风险反应方案并选择和执行一个风险反应方案是企业风险管理不可分割的一部分。有效的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险容忍度范围之内的风险 反应方案。 控制活动 控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业努力实
风险管理体系框架设计 风险框架设计的核心框架: 股东层和经营层职责清晰划分 董事会负责确定业务战略和风险管理战略, 下面设立的若干委员会协助董事会完成各项决策, CEO 负责执行业务战略和风险管理战略。经营层面,业务线负责具体业务, 向 CEO 负责 ; 风险线负责风险管理, 向董事会负责 ; 内审线负责对各部门执行政策的情况进行检查, 对财务报表的真实性和经营效率进行监督, 也直接对董事会负责。 成立独立风险管理部,建立统一应对风险的管理策略 风险管理部门独立于业务线设置, 主要负责建立整个集团公司的风险管理标准, 独立审批和评估业务单元的风险管理框架、流程和信息系统。对业务单元的风险承担活动提供支持,这样对整个集团 明确风险承担责任制 业务线对承担的各类风险负第一责任 各个管控条线实行垂直管理 与管控体系相一致, 沿着各个管控条线加入风险管理, 这样将相对独立的各子公司连接为一个整体, 既有利于集团战略的贯彻, 又使各个子公司协同一体发挥到最佳状态,提高企业的综合竞争力。 (1首先要优化治理机制,建立有效的公司治理结构 公司治理是企业全面风险管理的必要组成部分, 因为它提供了对风险的自上而下的监察与管理。
风险管理从公司治理这一制度安排决定了企业目标、决策人及风险和收益的分配都围绕风险展开; 风险直接影响目标的实现; 而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度; 治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。公司治理是组织应对风险的战略反应, 包含了一些战略性的风险管理的因素。例如:公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型; 再如公司决策层在经营风格、理念、管理哲学中包含的风险态度等。这些战略性风险管理因素就是公司治理与风险管理的交汇点。因此, 规范的公司治理是风险管理的核心。在公司治理层面的风险管理中, 应注意一下几点: 董事会实现专家治理 合理安排内部董事、外部董事和独立董事的构成比例。董事应该选取有专门的知识的专业人才,实现“ 专家治理” ,彻底摈弃由不设立独立董事的传统做法。在一些特殊的企业 (比如股东成员专业性不强的民营企业应增加独立董事的数量。 有效的公司治理结构要求职责明确, 各司其职。目前, 独立董事在很多企业可以说是一个虚职, 营战略, 并依此制定相应的风险管理战略, 包括风险管理的目标、风险可承受区间、风险管理的原则和政策, 监控风险管理相关政策、制度的实施 ; 负责资本金的管理及最优配置,负责财务预算决算 ; 负责评价高层管理者的任职情况。 监事会真正到位 在中国, 尽管《公司法》规定监事会为与董事会平行的机构, 对董事会的运行起到一个监督的作用, 但事实上大多数的监事会因为缺乏激励和考核 , 监事没有薪酬回报 (一般公司也存在如此情况:付给监事的报酬普遍低于董事和其他高管, 监事持有公司股权比例也低于董事和其他高管人员, 更有一些兼职监事不领取薪酬等原因造成了监事会形同虚设, 不能有效地约束和限制董事会的工作。为了避免这一点,监事会成员应该由股 (续致信网上一页内容东大会和职工代表大会选举产生, 董事会、经营层成员不能进监事会, 并对监事实行一定的激励措施。。监事会
关于印发《****集团公司全面风险 管理体系建设实施方案》的通知 各所属企业: 现将《****集团公司全面风险管理体系建设实施方案》印发给你们,请结合本企业实际,认真贯彻落实。 特此通知。 附件:****集团公司全面风险管理体系建设实施方案 二○一○年十月二十八日 主题词:风险管理实施方案通知
附件: ****集团公司 全面风险管理体系建设实施方案 根据国务院国资委和****集团战略发展要求,集团公司决定从2010年7月至2012年12月开展全面风险管理体系建设项目,计划利用2~3年时间,最终建立****集团全面风险管理体系,进而提高集团公司及所属企业风险管理能力,促进企业科学、可持续发展。 为更好的借鉴全面风险管理体系建设的经验,集团公司决定聘请咨询机构作为外部专家,指导集团公司及所属企业开展全面风险管理体系建设工作。考虑集团本部及所属企业管理模式和业务特点,坚持“总体规划、整体部署、重点突出、分步实施、逐层推进”的总体思路,走“先试点、后推广、再提高”的路线,分为两个阶段进行。 一、全面风险管理项目启动、试点阶段(2010年7月~2011年12月) 通过本阶段工作,集团本部及所属企业初步完成全面风险管理体系框架建设工作,为后期推广工作打下坚实基础;集团本部及试点企业全面风险管理体系建立并开始测试运转,重要领域的风险管理水平
得到提升,并为第二阶段在非试点企业进行项目推广积累经验;同时风险管理信息系统的规划工作基本完成,为后期信息系统的实施打下基础。 该阶段工作具体分为三个阶段: (一)项目准备阶段(2010年07月~2010年10月) 本阶段主要任务是成立领导小组和工作机构,开展调研,明确项目目标、制定项目总体方案,选定咨询机构,做好项目动员部署等其他准备工作。具体方案详见附件一。 (二)项目启动阶段(2010年11月~2011年04月) 本阶段主要任务:一是****集团本部及所属企业完成全面风险管理体系框架建设;二是做好风险信息收集、风险评估工作;三是确定风险管理内容和第一阶段风险管理重点项目,开展重大风险管控;四是明确试点企业,并制定各试点企业风险管理实施方案;五是2011年4月20日前完成2011年度****集团风险管理报告并报国务院国资委;六是抓好相关培训工作,为全面风险管理体系建设提供智力支持。具体工作方案详见附件二。 (三)试点企业全面风险管理体系建设与实施阶段(2011年05月~2011年12月) 本阶段主要任务是****集团本部及试点企业全面风险管理体系开始试运转、跟踪改进并持续提高。 重点做好以下工作: 一是抓好各试点企业1~2项重要风险管理项目的实施与改进工
COSO风险管理框架中文版
COSO风险管理框架中文版 概览 一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。 COSO 委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划,旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。 本概览列出了企业风险管理框架的关键内容,包括企业风险管理的定义、内容和基本原则,风险管理的优点、局限性以及各相关方的地位和职责。本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。如果想更加深入地了解有关知识,请看企业风险管理框架的全文。 (一)企业风险管理的相关性 企业风险管理的基本前提是每一个企业,无论是盈利组织、
非盈利组织,还是政府机构,其存在的目的都是为其利益相关方带来价值。所有的企业都要面对不确定性。对企业管理者而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定性的程度。不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。 1.不确定性 企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。不确定性来源于无法明确地决定潜在事项将要发生的可能性 及其相应结果。 2.价值 从战略的制定到企业的日常经营,管理者的决策会创造、保持或减少企业的价值。决策的本质就是确认风险和机遇,它要求企业的管理1应在考虑企业内、外部环境的因素的基础上,对企业的稀缺资源进行配置,并且根据环境的不断变化来调整企业的活动。 当企业的利益相关方取得其相应价值的可确认收益时,企业的价值也得到实现。对于公司而言,当股东承认由于股价上扬所带来的价值时,他们也就承认了企业的价值。对于政府机构,当该机构以一个可接受的成本所提供的服务的收益得到确