企业风险管理

维基百科,自由的百科全书

企业风险管理(英语:Enterprise risk management,简称ERM)在商业中,指企业管理风险、抓住机会、达到目标的方法和流程。ERM为风险管理提供了框架,风险管理一般指与企业目标(风险、机遇)有关的特殊事件管理,评估发生可能性、规模,确定反应机制,监控流程的方法。通过发现风险和机遇,可以保护企业、创造股东(包括员工、客户、监督者、社会等)价值。

ERM也是管理企业风险的方法,包括内部控制, 萨班斯奥克斯利法案战略计划。风险管理是根据不同股东的要求,了解风险的范围,面对复杂情况,保障确实管理。监督者和债务机构可以通过风险管理对公司评级。

ERM定义[编辑]

风险管理有不同的定义,包括鉴定、分析、回应、监督风险和机遇的方法,在内部和外部环境中,通过风险应对机制对风险进行管理,包括:

  1. 避祸: 避开引发风险的机制
  2. 减祸: 减少风险的几率和幅度
  3. 替代: 决定减少风险的替代机制
  4. 分享、保险: 把风险损失转移、保险,承保
  5. 接受: 由于成本效益,不采取任何行动

北美产险精算学会[编辑]

2003年,北美产险精算学会 Casualty Actuarial Society(CAS)将风险管理定义为,企业为了评估、控制、挖掘、投保、监督风险的任何机制,目的是提高企业短期和长期的股东价值。"[1] CAS 把风险管理定义为两个维度:风险类型风险管理流程[1] 风险类型和例子包括:[2]

冒险风险
债务侵权,财产损失,自然灾害
财务风险
定价风险、财产风险、汇率风险、流动率风险
运营风险
客户满意度、产品失败、诚信、信誉风险
战略风险
竞争、社会潮流、资本可用率

风险管理流程包括:[3]

  1. 确定背景: 理解企业现阶段内部、外部风险管理的条件
  2. 确定风险: 包括记录企业达到目标可能遇到的风险和企业获得竞争优势可能开发的区域
  3. 分析/量化风险: 包括对风险进行量化,如果可以,计算概率分布。
  4. 整合风险: 包括所有风险分布的集合,进行组合分析,形成结果,计算对组织关键绩效指标的影响。
  5. 评估/定义风险优先性: 确定每种风险的幅度,整合风险预测,进行适当的优先化。
  6. 对抗/解决风险: 展开不同策略,控制、解决不同风险。
  7. 监督和反馈: 持续测量、监控风险环境和风险管理策略的效果。

COSO的风险管理定义[编辑]

特雷德韦委员会赞助组织委员会(Committee of Sponsoring Organizations of the Treadway Commission,简称COSO)把"企业风险管理"定义为"企业的董事会、管理层和其他人员对企业内战略设定中,发现潜在可能影响组织的事件和管理风险在风险偏好范围内,提供合理达到企业目标的保障的流程。"[4]

COSO风险管理有八个小项:

  • 内部环境
  • 目标设定
  • 事件发觉
  • 风险评估
  • 风险回应
  • 控制行为
  • 信息沟通
  • 监控

四种目的 - 附加小项包括:

  • 战略 - 高层目标,支持企业使命
  • 操作 - 有效使用资源
  • 财务报告 - 运营、财务报告可靠性
  • 合规 - 符合相关法律法规

实施风险控制项目[编辑]

风险控制目标[编辑]

企业的风险控制有很多功能 ("风险功能"),可确定、管理特定风险,每种风险功能容量不同,与其他风险功能互动也不同。风险管理的核心是提高容量、协调性,整合产出,提供整体股东风险,提高企业应对风险的能力。

典型的风险功能[编辑]

大企业的风险功能包括:

  • 战略计划 - 发现外部威胁、竞争机会,以及战略方法
  • 市场营销 - 了解目标客户,保障产品和服务符合客户需求
  • 供应链管理 - 优化供应商与企业的协同,降低由收到订单到交付的资金及时间成本
  • 合规伦理 - 监督符合行为习惯,直接调查欺诈
  • 财务和金融合规 - 根据《萨班斯奥克斯利法案》第302和404部分:评估,确定金融报告风险
  • 法律 - 管理纠纷、分析潜在法律潮流
  • 保险 - 保障企业购买了恰当保险
  • 财产 - 保障拥有足够现金流,管理进出口商品定价风险
  • 流程质量保障 - 保障流程产出符合要求
  • 流程管理 - 保障日常运营中的障碍消除
  • 信贷 - 保障客户所有信贷能否支付
  • 客户服务 - 保障客户诉求及时处理,根源问题进行报告,获得解决
  • 内审 - 评估上述风险解决的有效性

风险控制常遇到的挑战[编辑]

很多咨询公司有关于风险控制的咨询。[5] Common topics and challenges include[6]:

  • 确定领导层支持风险控制
  • 建立通用语言、术语
  • 建立企业的风险偏好 (包括可采纳和不可采纳的冒险)
  • 把所有可能风险归纳入"风险库".
  • 把风险进行评级,包括每种功能的风险进行评级
  • 建立风险委员会或首席风险官(CRO)协调每种风险功能
  • 建立特定风险、反应的负责人
  • 计算风险管理过程中的投入、产出
  • 开展行动计划,保障风险适当处理
  • 针对特殊固定,开展特殊计划
  • 监督弥补风险流程的有效性
  • 保证内审、咨询团队和其他评估团队能加入工作
  • 用技术保障第三方和远程员工可以加入

内审角色[编辑]

除了信息科技审计,内部审计在评估风险中非常重要,对于企业持续改进也很重要。为了保证其独立性、目标明确性,内审的专业标准指出,该机构不能直接负责管理风险决策,或者风险管理机构。[7]

内审一般为公司做年度风险报告,对下一年的审计风险进行计划。计划适时更新,一般需评估不同的风险(战略计划、竞争标杆、SOX从上而下风险评估),考虑前期审计,与上层管理进行面谈。是为发现、优先、管理风险审计项目而设立。

风险控制现状[编辑]

美国企业的风险控制正在逐步加强,经过私有企业的监督。风险是商业的组成部分,如果管理恰当,可带动增长和机遇。经理顶着商业压力,采取部分或完全超出直接控制的行为,例如在金融市场低潮中,进行并购、收购和重组等。破坏性技术改变了地理的限制。

萨班斯奥克斯利法案[编辑]

2002年颁布的萨班斯奥克斯利法案要求美国所有上市公司利用控制机制,进行内部控制评估。很多公司选择特雷德韦委员会赞助组织委员会(Committee of Sponsoring Organizations of the Treadway Commission,简称COSO)的内部控制机制,包括风险控制机制。后来,证券外汇委员会(Securities and Exchange Commission,简称SEC)和PCAOB在2007年,对自上而下财务评估提出了更严格要求,包括进行欺诈风险评估。[8]欺诈风险评估一般是发现潜在欺诈风险情景,进行恰当管理,采取行动。

NYSE公司管理制度[编辑]

纽约证券交易所要求审计委员会和上市公司"讨论与风险评估风险控制有关的政策",包括: "CEO和公司高层经理负责公司风险管理,审计委员会需讨论流程的政策和规则。审计委员会需讨论公司主要财务风险、管理步骤、控制流程。审计委员会不需成为负责风险评估和管理的单一机构。同时,委员会需讨论管理流程的政策。很多公司,特别是金融公司,通过审计委员会以外的机制管理、评估风险,这些流程需要审计委员会进行统一把控,但审计委员会不可进行修改。"[9]

风险控制和企业债务评级[编辑]

标准普尔(Standard & Poor's,简称S&P)是著名的债务评级机构,计划对公司评估流程引入一系列问题,首先于2007年开始使用。[10]作为进行债务评级的重要依据,对贷款方对企业的贷款和债券都将产生影响。[11] 2008年5月7日,S&P还宣布将对非金融公司从2009年起进行风险评估。[12] 在2008年Q4的报表上进行体现。[13]

ISO 31000 : 新的国际风险管理标准[编辑]

ISO 31000是国际上风险管理标准,于2009年11月13日公布,ISO 31010 - 风险评估技术标准,也随后很快发布(2009年12月1日),还发布了风险管理词汇表ISO Guide 73。

精算方法[编辑]

北美产险精算学会[编辑]

2003年,北美产险精算学会 Casualty Actuarial Society (CAS)的企业风险管理委员会发布了风险管理概况。[14]包括风险管理中精算方法的发展、合理性、定义和框架、词汇表、技术基础、实际操作和应用方法。[14]

CAS还规定了风险管理的目标,包括成为"全球伤亡类财产领域风险管理方面教育材料的领先提供者"[15]还投资伤亡类精算法的科研、发展、培训。[16]CAS 已经停止发放证书; 但是,2007年,CAS董事会决定参与开发全球ERM认证。[17]

精算协会[编辑]

2007年,精算协会开发了注册企业风险分析师(CERA)执照,主要为了应对企业风险管理方面人才的大量需求。[18]这是SOA的第一个专业执照。[19]CERA主要集中于不同风险、包括运营、投资、战略、声誉风险对企业的影响。CERA在保险、再保险、咨询市场、金融、能源、运输、媒体、制造业和医疗行业有很多从业者。[19]

一般大约需要3-5年完成CERA课程,包括技术精算学、风险管理概况、职业培训等。要拿到CERA执照,还需要进行考试,完成教育要求,完成一个在线课程。[19] CERAs are members of the Society of Actuaries.[20]

企业越来越重视风险管理[编辑]

企业已将风险管理确定为核心内容,从企业投入风险管理的资源、构建力度就可以看出来。2008年Towers Perrin在美国的调查显示,[21] 在大多数寿险公司,风险管理职责在C-suite以内。首席风险官(CRO)或首席财务官(CFO)是负责风险管理的最高领导。CRO或CFO可确定整个公司的风险管理机制,以及公司的风险偏好,提高技能、工具、流程,对风险进行评估、衡量、管理。公司也在积极提高风险管理工具能力,四四分之三的公司表示,有专门监控企业级风险的工具,这些工具主要用于发现、测量风险,评估决策。测试公司还表示,在风险管理能力方面有了很大提高。

另一项2008年的调查显示,尽管受到金融危机影响,出现了关于风险、资产管理的六个主要发现:[22]

  • 植入风险管理是明显的挑战
  • 公司规模决定风险管理
  • 欧洲保险公司的风险管理定位更明确
  • 风险管理是有影响力的战略决策
  • 经济资本标准正在逐渐赢得市场
  • 运营风险仍是一个弱项

参见[编辑]

参考[编辑]

  1. ^ 1.0 1.1 Enterprise Risk Management Committee. Overview of Enterprise Risk Management (PDF). Casualty Actuarial Society: 8. May 2003 [2008-09-15]. (原始内容存档 (PDF)于2012-07-17). 
  2. ^ Enterprise Risk Management Committee. Overview of Enterprise Risk Management (PDF). Casualty Actuarial Society: 9–10. May 2003 [2008-09-15]. (原始内容存档 (PDF)于2012-07-17). 
  3. ^ Enterprise Risk Management Committee. Overview of Enterprise Risk Management (PDF). Casualty Actuarial Society: 11–13. May 2003 [2008-09-15]. (原始内容存档 (PDF)于2012-07-17). 
  4. ^ Enterprise Risk Management — Integrated Framework: Executive Summary (PDF). Committee of Sponsoring Organizations of the Treadway Commission. September 2004 [2008-09-16]. (原始内容存档 (PDF)于2016-11-03). 
  5. ^ ERM Implementation Advice (PDF). [2012-09-26]. (原始内容存档 (PDF)于2007-09-27). 
  6. ^ ERM Frequently Asked Questions (PDF). [2012-09-26]. (原始内容 (PDF)存档于2007-09-28). 
  7. ^ Role of Internal Auditing in ERM. [2012-09-26]. (原始内容存档于2013-09-05). 
  8. ^ PCAOB Auditing Standard No 5 (PDF). [2012-09-26]. (原始内容存档 (PDF)于2007-06-27). 
  9. ^ NYSE Listing Standards Part 7d (PDF). [2012-09-26]. (原始内容存档 (PDF)于2007-09-24). 
  10. ^ S&P Ratings - Treasury & Risk Article. [2012-09-26]. (原始内容存档于2007-09-28). 
  11. ^ S&P ERM for Financial Institutions (PDF). [2012-09-26]. (原始内容存档 (PDF)于2020-05-14). 
  12. ^ S&P ERM FAQs (PDF). [2021-02-17]. (原始内容存档 (PDF)于2013-06-17). 
  13. ^ S&P ERM Announcement (PDF). [2021-02-17]. (原始内容存档 (PDF)于2013-06-17). 
  14. ^ 14.0 14.1 Enterprise Risk Management Committee. Overview of Enterprise Risk Management (PDF). Casualty Actuarial Society. May 2003 [2008-09-15]. (原始内容存档 (PDF)于2012-07-17). 
  15. ^ ERM SAM Goals (PDF). CAS Centennial Goal and SAM Goals. Casualty Actuarial Society. March 2008 [2008-09-15]. (原始内容存档 (PDF)于2020-05-14). 
  16. ^ Enterprise Risk Management Web Site. Casualty Actuarial Society. 2008 [2008-09-15]. (原始内容存档于2020-08-15). 
  17. ^ Executive Summary: CAS Board of Directors Meeting (PDF). Casualty Actuarial Society. June 17, 2007 [2008-09-15]. (原始内容 (PDF)存档于2010-06-27). 
  18. ^ Credential Overview. Society of Actuaries. 2008 [2008-09-15]. (原始内容存档于2017-05-14). 
  19. ^ 19.0 19.1 19.2 CERA Fast Facts. Society of Actuaries. 2008 [2008-09-15]. (原始内容存档于2016-12-04). 
  20. ^ Benefits. Society of Actuaries. 2008 [2008-09-15]. (原始内容存档于2017-06-24). 
  21. ^ ([//web.archive.org/web/20130617040825/http://www.towersperrin.com/tp/getwebcachedoc?webc=TILL%2FUSA%2F2008%2F200805%2FCFO_Survey19.pdf 页面存档备份,存于互联网档案馆) Embedding Enterprise Risk Management Towers Perrin]
  22. ^ ([//web.archive.org/web/20130617040912/http://www.towersperrin.com/tp/getwebcachedoc?webc=GBR%2F2009%2F200901%2F2008_Global_ERM_Survey_12809.pdf 页面存档备份,存于互联网档案馆) 2008 Global Insurance Industry ERM Survey Report Towers Perrin]

外部链接[编辑]

风险类型与风险源
风险类型维基数据所列Q101208084
风险源维基数据所列Q86923152
措施与方法
风险相关概念
取自“https://zh.wikipedia.org/w/index.php?title=企业风险管理&oldid=79584176