2013-09-20 22:05:57markyslin

COSO企業風險管理---整合架構(ERM)簡介

  馬克林(markyslin)

20049月美國國會COSO 委員會(The COSO of the Treadway Commission )提出「企業風險管理---整合架構」(Enterprise Risk Management---Integrated Framework )COSO 委員會自1992 年發布「內部控制---整合架構」以來,理論界和實務界紛紛建議內部控制架構應與風險管理相結合。該委員會爰於20049月提出「企業風險管理---整合架構」,在「內部控制---整合架構」報告的基礎上,結合沙氏法案在財務報告方面的要求,將內部控制架構之三大目標及五個構成要素,擴增為四大目標、八個構成要素及二個概念,亦即新增一個目標(策略目標)、二個概念(風險偏好、風險容忍度)及三個要素(目標設定、事件辨識、風險因應)。茲以COSO 委員會發布之執行摘要簡述如下:

執行摘要

企業風險管理之基本假設,係每個企業均因其為利害關係人提供價值而存在。所有企業均面臨不確定性,而管理階層所面臨之桃戰,在於當其為利害關係人創造價值而努力時,須決定其欲接受之不確定性有多高。不確定性代表風險或代表機會,企業之價值可能因此而遭侵蝕或因此而提高;企業風險管理讓管理階層能有效處理不確定性及其相關的風險與機會,使企業創造價值之能力提高。

管理階層為使企業創造最大的價值,應在謀企業之成長、報酬與相關風險間,取得最適平的情況下,訂定策略及目標,此外,在謀企業目標之達成時,還應有效率及有效果地分配資源,企業風險管理包括

l協調策略風險偏好(risk appetite)---管理階層於評估策略方案、訂定相關目標,及訂定管理相關風險之機制時,考量企業之風險偏好(胃納)

風險偏好(Risk Appetite)亦譯為風險胃納量,一個公司的風險胃納量為其願意損失的最大數量之金額,決定風險胃納量需要由上而下的方式、主觀的管理決定,無法由理論推導。在決定一公司的風險胃納量後,才可決定有多少的風險可以承受與管理,亦即,可接受的風險胃納。

l強化風險因應決策---企業風險管理能提供辨認與選擇各種風險因應方案之嚴格規範。風險因應方案有:風險規避(risk avoidance)、風險抑減(risk reduction)、風險分擔(risk sharing)及風險承受(risk acceptance)

l降低營運的非預期風險及損失---企業得以強化辨認潛在事項與決定如何因應之能力,以降低非預期營運風險及相關成本或損失。

l確認並管理貫穿於企業之多重風險---所有企業的各個單位均面臨多重風險,出現相互關連之後果。企業風險管理能促使企業對該等後果作出有效及整合性之因應。

l掌握機會---管理階層居於可全面考量潛在事項之地位,而得辨識機會,並予積極掌握。

l改善資金配置---取得強韌的風險資訊,使管理階層能有效的評估整體資金需求,並強化資金配置。

企業風險管理所隱含之能力,可協助管理階層達成企業之績效及獲利目標,並防止資源之損失亦協助保證企業可達有效報導及遵循法令,並避免損失商譽及其他相關後果。總之,企業風險管理不僅幫助企業到達期望的目的地,還有助於避開前進途中的隱患和意外。

事項---風險與機會

事項(events)影響可能為負面、正面,或二者兼具。有負面影響之事項,代表風險,風險將阻礙價值之創造或侵蝕現有價值。具有正面影響之事項,代表機會。機會係一個事項發生對目標達成產生正面影響的可能性,可協助價值之創造或保持,或抵銷負面之影響。管理階層在訂定策略或目標之過程中,進行規劃,掌握機會。

企業風險管理之定義

企業風險管理在處理風險與機會,該二者影響企業價值之創造或價值之保持。企業風險管理之定義如下:

企業風險管理是一遍及企業各層面之過程,該過程受企業董事會、管理階層或其他人士之影響,用以制定策略、辨認可能影響企業之潛在事項、管理企業之風險,使其不超過企業之風險偏好,以合理保證其目標之達成。

此定義反映某些基本觀念,亦即,企業風險管理是:

l一項過程,該過程持續不斷於企業內運轉。

l受企業各階層人士所影響。

l於制定策略時採用。

l應用於企業各層面,涵蓋所有層級及單位,所考量之風險包括企業整體層級之組合風險。

l用以辨認潛在事項及管理風險。該事項一旦發生,企業將受影響。管理風險之目標,係使企業所面臨之風險不要超出風險偏好。

l能為企業管理階層及董事會提供合理保證。

l配合達成一個或多個不同類型但相互重疊的目標。

該定義較為廣泛,它擷取企業及其他組識如何管理風險之基本關鍵概念,並提供在各組織、產業及部門如何加以應用之基礎。它直接針對各特定企業如何達成其訂定之目標,並提供如何定義企業風險管理是否有效之基礎。

目標之達成

管理階層先為企業訂定使命(mission)或願景(vision)並在此框架下設定策略性目標(strategic objectives),進而選擇策略,然後再追隨策略,從上而下(cascading)選定企業之目標。企業風險管理架構配合企業目標之達成,企業之目標,分為下列四個類別:

l策略性(strategic )---係高層次之目的(high-level goals),其追隨企業之使命,並支援其達成。

l營運(operations)---資源之使用有效果及有效率。

l報導(reporting)----報導之可靠。

l遵循(compliance)---相關法令之遵循。

上述企業目標分類之方式,使我們可以專注於企業風險管理之不同層面。這些各不相同卻相互交叉的類別,讓某一個特定目標可以歸入一種以上之類別,反映了企業的不同需要,並可由不同高階主管(executives)直接負責;這種分類方式,亦可用來區分能預期可從每一類的目標獲得什麼樣的效果。某些企業會指出他們還使用另一類別「保障資源安全」(safeguarding of resources)之目標,也包含在上述類別之內。

因為報導之可靠及法令之遵循二目標,係在企業掌控範圍之內,故可以期望企業風險管理為達成這些目標提供合理之保證,但就策略性目標及營運目標而言,因有企業無法控制之外部事項存在,並非必在企業掌握範圍之內,對於這些目標而言,企業風險管理僅能合理保證,管理階層及扮演其監督者之董事會及時獲知企業朝達成目標邁進之程度。

企業風險管理之組成要素

企業風險管理包含下列八個相互關連之組成要素(components)這些組成要素係管理階層經營企業之方式而發展出來,並與管理之過程相結合:

l內部環境---內部環境包含組織的基調,並建立企業之人員如何看待與如何處理風險之基礎,包括風險管理哲學與風險偏好、操守與倫理價值觀,以及營運所處之環境。

l目標設定---必須先有目標,管理階層才能辨認影響目標達成的潛在事項。企業風險管理保證管理階層訂有制訂目標之過程,以及所選中之目標能支持企業之使命,追隨該使命,並與企業之風險偏好一致。

l事項辨認---企業須辨認會影響目標能否達成之內部事項及外部事項,這些事項可區分風險與機會二類,管理階層應把機會導回設定策略或目標之流程中。

l風險評估---企業分析風險、考量其發生之可能性及影響,並藉以決定風險應如何加以管理。風險之評估應基於固有風險及剩餘(residual)風險。

l風險因應---管理階層選擇風險因應(規避、承受、抑減及分擔)之方式,並進行一連串行動使風險能與企業之風險容忍度(risk tolerance)及風險偏好(risk appetite)相配合。

l控制活動---所訂定用來協助保證風險因應能有效執行之政策與程序。

l資訊與溝通---攸關之資訊在一定的形式和期限內,予以辨認、蒐集並溝通,以確保相關人員能夠履行其職責。有效溝通之觀念比較廣泛,包括企業由上而下,由下而上,以及相互之間橫向的溝通。

l監控---對企業風險管理進行全面監控,必要時加以修正。監控可以藉由持續的管理活動、個別評價或者兩者結合來完成。

企業風險管理不是嚴格的順序過程。一個組成要素並不只是影響下一個組成要素。它是一個多方向,且反覆進行的過程,任一個組成要素都能夠、也的確會影響其他組成要素。

目標與組成要素之關係

目標與企業風險管理組成要素間存有直接關係。目標是企業極力欲達成者,而企業風險管理的組成要素,則代表達成目標所需者。上述關係以立方體方塊描繪如下:

立方體之上方所標示者,為四類目標(策略性、營運、報導及遵循)立方體之前方則標示八個組成要素,右方則描述企業之單位。此種表達方式顯示可著眼於企業風險管理之整體,或著眼於某一類目標、某一個組成要素、某個企業單位,甚或更小之組成單位。

有效性

判斷企業風險管理是否有效,係藉評估八個組成要素是否存在、是否有效運作。因此,組成要素亦為判斷企業風險管理是否有效之標準。當組成要素存在且適當運作時,就可能没有重大缺失,而風險則可能已經被控制在企業的風險偏好範圍之內。

如果確定企業風險管理在所有四類目標上都是有效的,那麼董事會和管理階層就可以合理保證其知悉企業達成策略性目標及營運目標之程度、企業之報導係可靠,並已遵循相關法令。

八個組成要素之運作方式,在各個企業,不可能相同,例如,在中小企業可能較不正式,架構較不嚴謹。無論如何,當八個構成要素存在且正常運作時,小規模企業依然會擁有有效的企業風險管理。

限制

企業風險管理雖有重大效益,但限制仍存在。除了前面已討論之限制外,亦來自:決策過程中的人為判斷可能有所失誤、在作成風險因應及訂定控制之決策時需考量成本與效益、因人為單純錯誤或失誤造成之故障(breakdowns)、多人串通(collusion)以及管理階層逾越企業風險管理決策等。這些限制使董事會及管理階層不能對企業目標之達成給予絕對保證。

涵蓋內部控制

內部控制係企業風險管理中不可或缺的部分。企業風險管理架溝涵蓋了內部控制,從而構建了一個更強有力的概念和管理工具。內部控制是在「內部控制—整合架構」中加以定義和描述。該架構經得起時間的考驗,並為現行規則、行政命令及法律之基礎。因此談到內部控制之定義及其架構,該文件仍屬有效,雖然本架構只提到「內部控制—整合架構」之部分內容,但該架構的整體係以參考之方式整合至本架構中。

角色與責任

企業中的每一個人對企業風險管理或多或少都擔負某種程度之責任。執行長(chief executive officer)擔負最終的責任,且責無旁貸。其他的經理人則擔負支持企業風險管理的哲學,督促遵循企業之風險偏好,並在其責任範圍內依其風險容忍度之大小而負管理風險之責。風控主管(risk officer)、財務主管(financial officer)、內部稽核人員及其他人士通常擔負支援的關鍵責任,企業的其他人士則負依既定指令及規定落實執行企業風險管理之責。董事會則對企業風險管理負重要的監督之責,它須知悉企業之風險偏好,並同意這個風險水準。外部之團體或人士,例如顧客、供應商、合作夥伴、外部稽核人員(external auditors)、主管機關及財務分析師,通常提供可影響企業風險管理之有用資訊,但該等人士並不對企業風險管理之有效性負責,亦非屬企業風險管理之一部分。

(悄悄話) 2014-12-15 15:29:44