【原创】企业风险管理与战略、商业目标和绩效的关系-新版COSOERM全文解读(三)
本文为COSO新版企业风险管理框架全文解读系列文章,只是对大的框架、结构和部分内容进行介绍,仅供参考。如需详细内容,请自行购买英文报告全文。
本文介绍COSO新版企业风险管理框架的第一册第一部分的第三章节:战略、商业目标和绩效。本部分内容针对企业风险管理工作与企业其它几项重要的管理活动之间的关系进行了论述。
首先,COSO介绍了企业风险管理与战略之间的关系:
一个主体的使命、愿景及核心价值观中包含了主体对风险的偏好信息,这是制定战略规划的重要依据;
战略的制定可能会出现与主体使命、愿景及核心价值观不相匹配的情况;
组织既定了一个具体战略后,它同时承担了对应的潜在风险;
战略的实施、商业目标的达成所含的固有风险。
1、战略、商业目标与使命、愿景及核心价值观不匹配的可能
使命和愿景都从主体最高的角度对主体可承受风险的种类及数量提供了参照。它们帮助企业建立了经营的边界,并着眼于决策如何影响战略。一个充分理解自身使命和愿景的组织可以制定出反映其自身风险状况的战略。并以一个医疗机构为例进行了说明。
企业风险管理可以帮助主体避免战略偏差,为企业提供更深入的理解,确保其选择的战略有助于董事会层面实现既定的使命和愿景。
2、对既定战略的评估
企业风险管理不能创造主体的战略,而是通过对既定战略进行风险提示。 企业需要评估所选择的战略如何影响主体的风险状况,特别是组织暴露出的潜在风险类型和数量。
在评估战略可能产生的潜在风险时,管理层需要考虑所选战略的基本前提假设。 这些战略的基本假设可能与主体所处的商业环境有关。企业风险管理为这些假设敏感性的变化提供了宝贵的分析思路:即是否对达成战略造成或大或小的影响。
3、战略的实施、商业目标达成的风险
指出每个企业必须对战略中存在的风险进行思考,重点在于理解所既定战略中蕴含的相关风险和其影响能力。当风险影响足够大时,企业可能需要重新审视既定战略,必要时可以修改或选择新战略,以便调整到主体更加合适的风险状况。
也可以从商业目标的角度看待实施战略的风险。企业可以使用各种常见技术及常用措施来评估风险。只要有可能,企业应使用相似的衡量单位对每个目标的风险进行评估。这样有助于使风险的严重性与既定的绩效衡量标准相协调。
4、企业风险管理与绩效
评估战略和商业目标的风险,要求组织将本框架中提及的风险和绩效之间的关系理解为“风险状况”(或称风险概况)。主体的“风险状况”提供了风险的综合视角(例如,从主体整体层面、业务单元层面、职能层面)或商业模式方面(例如产品,服务,区域)。
这种综合视角使得管理层能针对风险的类型、严重性和相互依赖性,以及它们如何影响绩效进行思考。在评估替代战略时,企业应该首先了解潜在的风险状况。一旦选择了战略,焦点应转向了解所选战略和相关商业目标当下的风险状况。
风险与绩效间很少是纯线性关系。绩效目标的增量变化并不总是导致相应的风险同向变化(反之亦然)。因此,一个有用的、动态的表示,有时是图形化的,表明了与预期结果相伴随的风险总和。企业必须在主体的风险数量及其所期望的绩效之间达到平衡状态。
有很多种描述风险状况的方法。该框架采用如下图所示的方法,描绘了企业风险管理各个方面间的关系。这样做有助于加强风险、风险偏好,容忍度及绩效目标之间的整体联系。
关于风险和绩效的关系,COSO新版框架的附录D中进行了详细说明,而且举例了各种不同形状的风险状况图例,待到解读附录时我们再详细论证。
原创文章,如需转载,请留言联系本公众号授权!
延伸阅读:
2. 【原创】从COSO ERM的演变看企业风险管理工作的定位
4. 【原创】ISO31000:2017《风险管理原则与指南》送审版先睹为快