查看原文
其他

治理与文化—COSO新版企业风险管理框架主体要素解读

疯控叔 大风控 2023-02-24

导言:前期给大家用十篇文章解读了COSO新版企业风险管理框架,但介绍的大部分是第一册应用环境和第二册的附录部分,对报告主体的框架部分并未展开,原因是想让大家自己好好研读最核心的部分,但目前中文版的发行遇到了一点问题,有不少朋友总是询问,为了更好的学习参考,把框架的主体部分花了一点时间给大家再补一下,供学习参考。


摘自COSO新版企业风险管理框架


治理和文化部分作为新版企业风险管理框架的第一个要素,确定了企业风险管理工作的总体基调,强调了治理层的主体监督责任、风险管理的适用性、文化等方面的内容,主要包括五个原则:


  1. 实现董事会对风险的监督;

  2. 建立运营架构;

  3. 定期组织期望的文化;

  4. 展现对核心价值观的承诺;

  5. 吸引、发展并留在核心人才


实现董事会对风险的监督


这部分可以概括为四个方面的关注点:


  • 强调董事会监管职责的履行,董事会成员有充足的经验和能力以及适当的知识结构对管理层的战略执行、经营管理等重点方面提出质疑;

  • 保持董事会成员的独立性;

  • 根据董事会和管理层的当前面临的主要问题挑战企业风险管理工作的侧重点和体现价值的方式;

  • 避免组织在决策过程中的偏见。


这一点让我想到了成功度过2008年经济危机的摩根大通,后来在总结其成功经验时,当时董事会的构成包括的内外部15个各领域的专家人员,为其成功规避次贷危机的冲击提出了非常具有远见卓识的风险决策意见。


建立运营架构


这部分也包括四个方面的关注点:


  • 确定运营架构和汇报线,包括各职能不同权、责、利的分配,如董事会会决定哪些角色至少需要有一天虚线汇报途径到董事会;

  • 企业经常在董事会层面设置或委托一个或多个委员会负责充分揭示每一项决策所隐含的风险;

  • 关于首席风险官、企业风险管理负责人、风险主管等职能设置和权责;

  • 在外部环境不断变化的今天,确保企业的运营架构可以适时调整,保持适宜性。


定义组织期望的文化


这部分包括五个方面的关注点:


  • 明确公司的风险文化及哪些行为是属于理想行为;

  • 如何更好的使用判断力来加强企业风险管理;

  • 文化对一个企业评估风险过程中的影响;

  • 设置顶层基调,保持组织的核心价值观和决策、全员的行为标准相一致;

  • 根据环境和情况的变化,适时推动文化转型以适应发展的需要。


展现对核心价值观的承诺


这部分包括六个方面的关注点:


  • 建立被充分理解和掌握的核心价值观,并将其融入所有的组织行为和决策中;

  • 培育具有风险意识的组织文化,从董事会到管理层建立正确的风险意识和文化基调;

  • 强化整个组织的问责机制;

  • 担负责任,对每个级别和岗位的绩效目标进行评估;

  • 保持畅通无阻的信息沟通;

  • 对背离核心价值观的行为进行纠正。


吸引、发展并留住核心人才


这部分包括五个方面的关注点:


  • 建立和评估胜任能力;

  • 如何吸引、发展并留住人才;

  • 制定绩效奖励措施并适当评估风险;

  • 识别和应对核心人员的压力状况;

  • 对关键领导层和管理人员制定继任计划。


这一部分可以说是整个框架中最重要的一部分,是整个企业风险管理工作开展最顶层的设计、总的原则和定位,是从企业的治理层和管理层的角度而言,最需要关注的内容。按照COSO最新对企业风险管理工作的定义,第一个着力点就放在了“文化”上,可见这个开篇的要素对风险管理工作有多么重要。


在一些优秀的企业风险管理的案例中,或者说一些经典的商业案例中,能够发现很多内容都是上面提到的关注重点。


这些关注重点单独拿出一个来,都可以展开为一个大话题,都是在整个企业的管理运行中最需要关注的。一些失败的公司案例,很多都可以归纳总结为上面的一个或几个,以往我们看企业都是从零散的角度体会,新版框架的“治理和文化”部分提供了一个经过提炼和总结的综合视角。


另外,和大家探讨两个方面的问题:


1、治理与管理的关系


如果在企业层面讨论这个话题,那就是公司治理和管理的关系,如果我们说,治理和管理之间并不是完全对等关系,我相信绝大部分人都会同意这样的说法。但两者之间的关系界定还是有一些争论,一些典型的观点包括:


  • 治理是管理的一部分;

  • 管理是在治理之后的,从范畴上讲管理属于治理的一部分;

  • 治理和管理不能简单的归类谁属于谁、谁包含谁,而是各自服务于自己的使用对象和目标,双方有一定的交集。


很多的专家同意第三种看法。


为什么要提出这个问题?


因为我们当谈到企业风险管理(ERM),我们通常说企业风险管理是企业管理的一部分,从字面上也能够感受出来,企业管理应该是包含了企业风险管理这个“分支”。


如果我们说治理和管理没有简单的等同和包含关系,那就同时需要探讨企业治理和企业风险管理是何种关系的问题。


COSO新框架中讲有一些公司治理的内容并不属于企业风险管理(ERM)覆盖的范畴,应该就是基于此而言。


但是,风险是无处不在的,只要是存在风险的地方,都应该是风险管理能够需要覆盖的范围,包括公司治理中对风险的考量。所以,如果我们接受这样的观点,那么,我们今天谈到的企业风险管理(ERM)是有可能突破企业管理的边界,而在一个组织内的更广泛的主体和范围内应用。


但这并不影响我们目前对企业风险管理(ERM)的应用重点,只提出一个观点供大家思考。


2、关于首席风险官的设置


首席风险官(Chief Risk Officer,CRO)的提法早就有了,目前在金融企业可能多一些,一般企业中并没有成为标准配置。COSO的新框架中也谈到了企业管理架构中的这种职能的设置。


在ISO31000风险管理国际标准在2018年更新之后,国际专家们又在制定这个标准的实施指导手册,作为中国代表我也参与了这项工作。其中有些专家在指导文件中谈到了关于首席风险官的设置问题,谈及了CRO这样的一个职能在企业的定位和汇报线,按照国际有些专家的理解,CRO汇报的最高上级只能到CFO,对此,我提出了不同修改意见。


相信看过我之前文章的朋友都了解,风险管理价值最高点是在支持决策上,是辅助决策层的职能,不应该再按照传统认知来设置风险管理负责人的天花板,这是不恰当的。


我提出的意见是CRO按照企业自身的定义和实际工作的需要,可以汇报到董事会或CEO,我们至少要留有这样的空间和选项,给他们留一扇门。


而打开这扇门,正是我们目前努力的方向!



注:以上是对COSO框架的纲要性介绍和解读,如需更细致了解,推荐大家购买COSO正版图书,上述内容仅供内部参考学习!


经典阅读:

单击图片打开




更多精选,请点击下方阅读原文查看!




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存