查看原文
其他

实施与运行—COSO新版企业风险管理框架主体要素解读

疯控叔 大风控 2023-02-24


摘自COSO新版企业风险管理框架


实施与运行部分作为新版企业风险管理框架的第三个要素,是指在既定战略和商业目标下,结合风险偏好的设置,对风险进行识别和评估的内容,一共包含五个原则:


10. 识别风险

11. 评估风险严重程度

12. 进行风险排序

13. 实施风险应对

14. 建立风险组合观


识别风险


这部分可以概括为四个方面的关注点:


  • 根据战略和商业目标,识别其面临的相关风险,并关注风险的不断变化及新兴风险;

  • 使用风险清单对风险进行分类;

  • 将风险视为日常工作的一部分,使用多种方法识别风险(人工智能、数据跟踪、访谈、关键指标、流程分析、研讨会、问卷);

  • 相同风险的表述方式不同,会影响对风险的不同反应


评估风险严重程度(风险水平)


这部分包括八个方面的关注点:


  • 对风险进行评估;

  • 从组织不同层面评估风险的风险水平;

  • 选择风险评估指标,从影响程度和可能性两个方面;

  • 选择风险评估方法,从定性和定量两个方面;

  • 明确固有风险、预期剩余风险和实际剩余风险;

  • 展示风险评估结果(风险图谱、风险绩效曲线);

  • 确认触发重新评估的条件和机制;

  • 降低风险评估中的偏见


进行风险排序


这部分包括五个方面的关注点:


  • 建立风险排序的标准;

  • 确定风险优先级;

  • 使用风险偏好来确定风险优先级;

  • 不同层面的优先级;

  • 避免风险优先级偏见


实施风险应对


这部分包括四个方面的关注点:


  • 选择风险应对方式(承受、规避、追求、降低、分担等);

  • 实施风险应对;

  • 考虑成本和收益;

  • 考虑风险应对产生的新风险


风险组合观


这部分包括三个方面的关注点:


  • 理解风险组合观,从组织整体和组合视角考虑风险的影响;

  • 从不同层面将风险进行整合的组合视角;

  • 结合风险绩效曲线分析风险组合观


讨论几点:


1、对于新兴风险(Emerging Risk)的关注


近些年,我们大踏步的进入信息社会,巨大的技术变革让我们面临的不确定性越来越大,也越来越难读懂未来的趋势将会给我们带来什么样的影响,在这个过程中,涌现出来一批由于环境的变化、技术的变化、目标的变化、认知的变化带来的之前没有遇到过、不易量化或觉察的风险,我们把它称之为新兴风险(Emerging Risk)。


这是一个在国内外炙手可热的词,由于它对于发展的重要性,所以各机构、各管理层都对其各自领域的新兴风险有很高的关注度,因为,这关乎未来!


在我看来,新兴风险在某种程度上可有主观和客观之分。


客观的新兴风险指由于社会进步、技术变革带来的新兴风险,如人工智能、云计算、虚拟现实、无人驾驶、物联网等。


主观的新兴风险是由于主体认知的提升导致对风险的认知程度和深度出现的变化。


有一些情况下,原来我们不认为有风险或我们并不知道有风险,随着认知的提升,我们可能会重新认识。


所以,这引出一个有意思的观点——“过去的风险”


我们原来强调风险的未来性,甚至在2006年制定的《中央企业全面风险管理指引》中对风险定义都包含的“未来”,但有没有“过去的风险”?


如果由于过去的认知局限导致的未知状态,并不知道当时承担了某种风险,由于认知的提升,开始对它有了新的认识,这也变成了一种新兴风险。


所以这也要求我们要持续保持对风险的再认识和再评估。


其实主客观也是实为一体的、相互影响的。迎面吹来的风是客观存在的还是因为我们走的太快了,有时无法严格割裂。


2、风险组合观


风险组合观的概念相当于我们将同一层面的风险进行整体汇集,如果是针对可量化的风险,对不同的风险进行量化组合,以及与公司分配资本进行关联,这是一种理想化按照基于整合风险的资源配置方式。


在非可量化的风险领域,风险组合观更多的是一种整体观的思维转换,要实现量化的风险组合管理方式并不容易。


3、风险评估维度


关于风险评估,我曾经写过一篇《风险评估的现状、问题和思考》在现在的环境下,仅仅靠传统上用最简单的两个维度“可能性”、“影响程度”来评估风险已经远远不能够满足要求了,特别是对于前面提到的新兴风险。


对风险属性的扩充与全面识别评估已经是大势所趋,其它一些如影响的方向性、风险发生速度、持续时间、主体的韧性等等都是需要考虑的重要因素。


ISO31010《风险评估技术》国际标准,在继ISO31000于2018年2月更新后,也正在更新过程中,可能今年年底左右可以正式公布,其中在风险评估技术工具方面,将原来的31种风险评估技术,增加到了42种。


对具体风险评估技术的掌握,对我们工作层面或刚刚接触这项工作的人还是有很大用处,后面有机会我们会和大家介绍这些技术工具。


注:以上是对COSO框架的纲要性介绍和解读,如需更细致了解,推荐大家购买COSO正版图书,上述内容仅供内部参考学习!

经典阅读:

单击图片打开




更多精选,请点击下方阅读原文查看!



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存