COSO企业风险管理---整合架构(ERM)简介

  美国国会COSO委员会(The COSO of the Treadway Commission)提出「企业风险管理---整合架构」(Enterprise Risk Management---Integrated Framework),COSO委员会自1992年发布「内部控制---整合架构」以来,理论界和实务界纷纷建议内部控制架构应与风险管理相结合。该委员会爰于2004年9月提出「企业风险管理---整合架构」,在「内部控制---整合架构」报告的基础上,结合沙氏法案在财务报告方面的要求,将内部控制架构之三大目标及五个构成要素,扩增为四大目标、八个构成要素及二个概念,亦即新增一个目标(策略目标)、二个概念(风险偏好、风险容忍度)及三个要素(目标设定、事件辨识、风险因应)。兹以COSO委员会发布之执行摘要简述如下:
 
  执行摘要
 
  企业风险管理之基本假设,系每个企业均因其为利害关系人提供价值而存在。所有企业均面临不确定性,而管理阶层所面临之桃战,在于当其为利害关系人创造价值而努力时,须决定其欲接受之不确定性有多高。不确定性代表风险或代表机会,企业之价值可能因此而遭侵蚀或因此而提高;企业风险管理让管理阶层能有效处理不确定性及其相关的风险与机会,使企业创造价值之能力提高。
 
  管理阶层为使企业创造最大的价值,应在谋企业之成长、报酬与相关风险间,取得最适平衡的情况下,订定策略及目标,此外,在谋企业目标之达成时,还应有效率及有效果地分配资源,企业风险管理包括:
 
  协调策略与风险偏好(risk appetite)---管理阶层于评估策略方案、订定相关目标,及订定管理相关风险之机制时,考量企业之风险偏好(胃纳)。
 
  ◎风险偏好(Risk Appetite)亦译为风险胃纳量,一个公司的风险胃纳量为其愿意损失的最大数量之金额,决定风险胃纳量需要由上而下的方式、主观的管理决定,无法由理论推导。在决定一公司的风险胃纳量后,才可决定有多少的风险可以承受与管理,亦即,可接受的风险胃纳。
 
  强化风险因应决策---企业风险管理能提供辨认与选择各种风险因应方案之严格规范。风险因应方案有:风险规避(risk avoidance)、风险抑减(risk reduction)、风险分担(risk sharing)及风险承受(risk acceptance)。
 
  降低营运的非预期风险及损失---企业得以强化辨认潜在事项与决定如何因应之能力,以降低非预期营运风险及相关成本或损失。
 
  确认并管理贯穿于企业之多重风险---所有企业的各个单位均面临多重风险,出现相互关连之后果。企业风险管理能促使企业对该等后果作出有效及整合性之因应。
 
  掌握机会---管理阶层居于可全面考量潜在事项之地位,而得辨识机会,并予积极掌握。
 
  改善资金配置---取得强韧的风险资讯,使管理阶层能有效的评估整体资金需求,并强化资金配置。
 
  企业风险管理所隐含之能力,可协助管理阶层达成企业之绩效及获利目标,并防止资源之损失,亦协助保证企业可达有效报导及遵循法令,并避免损失商誉及其他相关后果。总之,企业风险管理不仅帮助企业到达期望的目的地,还有助于避开前进途中的隐患和意外。
 
  事项---风险与机会
 
  事项(events)之影响可能为负面、正面,或二者兼具。有负面影响之事项,代表风险,风险将阻碍价值之创造或侵蚀现有价值。具有正面影响之事项,代表机会。机会系一个事项发生对目标达成产生正面影响的可能性,可协助价值之创造或保持,或抵销负面之影响。管理阶层在订定策略或目标之过程中,进行规划,掌握机会。
 
  企业风险管理之定义
 
  企业风险管理在处理风险与机会,该二者影响企业价值之创造或价值之保持。企业风险管理之定义如下:
 
  企业风险管理是一遍及企业各层面之过程,该过程受企业董事会、管理阶层或其他人士之影响,用以制定策略、辨认可能影响企业之潜在事项、管理企业之风险,使其不超过企业之风险偏好,以合理保证其目标之达成。
 
  此定义反映某些基本观念,亦即,企业风险管理是:
 
  一项过程,该过程持续不断于企业内运转。
 
  受企业各阶层人士所影响。
 
  于制定策略时采用。
 
  应用于企业各层面,涵盖所有层级及单位,所考量之风险包括企业整体层级之组合风险。
 
  用以辨认潜在事项及管理风险。该事项一旦发生,企业将受影响。管理风险之目标,系使企业所面临之风险不要超出风险偏好。
 
  能为企业管理阶层及董事会提供合理保证。
 
  配合达成一个或多个不同类型但相互重叠的目标。
 
  该定义较为广泛,它撷取企业及其他组识如何管理风险之基本关键概念,并提供在各组织、产业及部门如何加以应用之基础。它直接针对各特定企业如何达成其订定之目标,并提供如何定义企业风险管理是否有效之基础。
 
  目标之达成
 
  管理阶层先为企业订定使命(mission)或愿景(vision),并在此框架下设定策略性目标(strategic objectives),进而选择策略,然后再追随策略,从上而下(cascading)选定企业之目标。企业风险管理架构配合企业目标之达成,企业之目标,分为下列四个类别:
 
  策略性(strategic)---系高层次之目的(high-eve goas),其追随企业之使命,并支援其达成。
 
  营运(operations)---资源之使用有效果及有效率。
 
  报导(reporting)----报导之可靠。
 
  遵循(compiance)---相关法令之遵循。
 
  上述企业目标分类之方式,使我们可以专注于企业风险管理之不同层面。这些各不相同却相互交叉的类别,让某一个特定目标可以归入一种以上之类别,反映了企业的不同需要,并可由不同高阶主管(executives)直接负责;这种分类方式,亦可用来区分能预期可从每一类的目标获得什么样的效果。某些企业会指出他们还使用另一类别「保障资源安全」(safeguarding of resources)之目标,也包含在上述类别之内。
 
  因为报导之可靠及法令之遵循二目标,系在企业掌控范围之内,故可以期望企业风险管理为达成这些目标提供合理之保证,但就策略性目标及营运目标而言,因有企业无法控制之外部事项存在,并非必在企业掌握范围之内,对于这些目标而言,企业风险管理仅能合理保证,管理阶层及扮演其监督者之董事会及时获知企业朝达成目标迈进之程度。
 
  企业风险管理之组成要素
 
  企业风险管理包含下列八个相互关连之组成要素(components),这些组成要素系管理阶层经营企业之方式而发展出来,并与管理之过程相结合:
 
  内部环境---内部环境包含组织的基调,并建立企业之人员如何看待与如何处理风险之基础,包括风险管理哲学与风险偏好、操守与伦理价值观,以及营运所处之环境。
 
  目标设定---必须先有目标,管理阶层才能辨认影响目标达成的潜在事项。企业风险管理保证管理阶层订有制订目标之过程,以及所选中之目标能支持企业之使命,追随该使命,并与企业之风险偏好一致。
 
  事项辨认---企业须辨认会影响目标能否达成之内部事项及外部事项,这些事项可区分风险与机会二类,管理阶层应把机会导回设定策略或目标之流程中。
 
  风险评估---企业分析风险、考量其发生之可能性及影响,并借以决定风险应如何加以管理。风险之评估应基于固有风险及剩余(residua)风险。
 
  风险因应---管理阶层选择风险因应(规避、承受、抑减及分担)之方式,并进行一连串行动使风险能与企业之风险容忍度(risk toerance)及风险偏好(risk appetite)相配合。
 
  控制活动---所订定用来协助保证风险因应能有效执行之政策与程序。
 
  资讯与沟通---攸关之资讯在一定的形式和期限内,予以辨认、搜集并沟通,以确保相关人员能够履行其职责。有效沟通之观念比较广泛,包括企业由上而下,由下而上,以及相互之间横向的沟通。
 
  监控---对企业风险管理进行全面监控,必要时加以修正。监控可以藉由持续的管理活动、个别评价或者两者结合来完成。
 
  企业风险管理不是严格的顺序过程。一个组成要素并不只是影响下一个组成要素。它是一个多方向,且反覆进行的过程,任一个组成要素都能够、也的确会影响其他组成要素。
 
  目标与组成要素之关系
 
  目标与企业风险管理组成要素间存有直接关系。目标是企业极力欲达成者,而企业风险管理的组成要素,则代表达成目标所需者。上述关系以立方体方块描绘如下:
 
  立方体之上方所标示者,为四类目标(策略性、营运、报导及遵循);立方体之前方则标示八个组成要素,右方则描述企业之单位。此种表达方式显示可着眼于企业风险管理之整体,或着眼于某一类目标、某一个组成要素、某个企业单位,甚或更小之组成单位。
 
  有效性
 
  判断企业风险管理是否有效,系借评估八个组成要素是否存在、是否有效运作。因此,组成要素亦为判断企业风险管理是否有效之标准。当组成要素存在且适当运作时,就可能没有重大缺失,而风险则可能已经被控制在企业的风险偏好范围之内。
 
  如果确定企业风险管理在所有四类目标上都是有效的,那么董事会和管理阶层就可以合理保证其知悉企业达成策略性目标及营运目标之程度、企业之报导系可靠,并已遵循相关法令。
 
  八个组成要素之运作方式,在各个企业,不可能相同,例如,在中小企业可能较不正式,架构较不严谨。无论如何,当八个构成要素存在且正常运作时,小规模企业依然会拥有有效的企业风险管理。
 
  限制
 
  企业风险管理虽有重大效益,但限制仍存在。除了前面已讨论之限制外,亦来自:决策过程中的人为判断可能有所失误、在作成风险因应及订定控制之决策时需考量成本与效益、因人为单纯错误或失误造成之故障(breakdowns)、多人串通(cousion)以及管理阶层逾越企业风险管理决策等。这些限制使董事会及管理阶层不能对企业目标之达成给予绝对保证。
 
  涵盖内部控制
 
  内部控制系企业风险管理中不可或缺的部分。企业风险管理架沟涵盖了内部控制,从而构建了一个更强有力的概念和管理工具。内部控制是在「内部控制—整合架构」中加以定义和描述。该架构经得起时间的考验,并为现行规则、行政命令及法律之基础。因此谈到内部控制之定义及其架构,该文件仍属有效,虽然本架构只提到「内部控制—整合架构」之部分内容,但该架构的整体系以参考之方式整合至本架构中。
 
  角色与责任
 
  企业中的每一个人对企业风险管理或多或少都担负某种程度之责任。执行长(chief executive officer)担负最终的责任,且责无旁贷。其他的经理人则担负支持企业风险管理的哲学,督促遵循企业之风险偏好,并在其责任范围内依其风险容忍度之大小而负管理风险之责。风控主管(risk officer)、财务主管(financia officer)、内部稽核人员及其他人士通常担负支援的关键责任,企业的其他人士则负依既定指令及规定落实执行企业风险管理之责。董事会则对企业风险管理负重要的监督之责,它须知悉企业之风险偏好,并同意这个风险水准。外部之团体或人士,例如顾客、供应商、合作伙伴、外部稽核人员(externa auditors)、主管机关及财务分析师,通常提供可影响企业风险管理之有用资讯,但该等人士并不对企业风险管理之有效性负责,亦非属企业风险管理之一部分。