企业风险管理和内部控制到底谁包含谁? -ISO31000: 2018风险管理指南系列解读(四)
本周,我们介绍ISO31000:2018 风险管理指南的最后一部分,风险管理流程(有些标准中也翻译成“过程”或“程序”,其实对应的都是一个词“process”)。对这部分内容的理解也有助于解决题目提的那个疑问,我们最后再讲。ISO风险管理流程这部分内容在整个篇幅内占比最大,其实内容部分完全可以拆分成几篇文章来解读,因为包含的要素太多。
但是由于后期我们还有很多要和大家分享的实践和应用方面的内容,所以我们就把这一部分凝结在一篇中,所以只能摘录了其中一部分重点内容,我们在风险管理星球分享了中文学习稿全文和英文送审版文件,有需要看全文的可以加入星球下载。
标准的解读可能有时大家会觉得比较枯燥,感觉和实际工作联系不紧密,其实不然,一些原则上的方向如果把握不好,可能让你在工作中事倍功半。所以,我们还是愿意费一些时间和精力来整理、翻译和反复打磨,给大家把最基础的知识打牢!
我们同样先介绍第6部分的重点内容,然后再重点解释几个点:
一、内容概要
6、流程
6.1概述
风险管理流程涉及系统地将政策、程序和实践应用于沟通和咨询活动,建立环境和评估、应对、监督、审查、记录和报告风险。这个流程如图4所示。
图4 – 流程
风险管理流程应成为管理和决策的一个组成部分,并融入组织的架构、运营和流程中。它可以应用于战略、运营、计划或项目层面。
组织内部可以有很多风险管理流程的应用方式,这些应用方式是为实现目标而定制的,并适用于其所在的内外部环境。
在整个风险管理流程中,应考虑人员行为和文化因素的动态性和变化性。
虽然风险管理流程通常表现为有一定的顺序,但实际上不同流程步骤之间是可以反复交错使用的。
6.2沟通和咨询
沟通和咨询的目的是协助利益相关方理解风险、明确作出决策的依据以及需要采取特定行动的原因。沟通旨在促进对风险的认识和理解,而咨询涉及获取反馈和信息以支持决策。两者之间的密切协调应该促进真实、及时、相关、准确和可理解的信息交换,同时需要考虑信息的保密性和完整性,以及个人的隐私权。
6.3范围、环境和准则
6.3.1概述
确定范围、环境和准则的目的是针对性的设置风险管理流程,实现有效的风险评估和恰当的风险应对。范围、环境和准则涉及界定流程的范围并理解内外部环境。
6.3.2定义范围
组织应该确定其风险管理活动的范围。
6.3.3外部和内部环境
外部和内部环境是组织制定和实现其目标的土壤。
6.3.4定义风险准则
相对于目标而言,组织应该明确承担风险的数量和类型。还应该定义评估风险重要性水平和支持决策过程的准则。风险准则应与风险管理框架相一致,并根据具体活动的目的和范围进行针对性设计。风险准则还应反映组织的价值观、目标和资源,并与风险管理的政策和声明保持一致。根据组织的义务和利益相关方的考虑来定义准则。
6.4风险评估
6.4.1概述
风险评估是风险识别、风险分析和风险评价的整个过程。
6.4.2风险识别
风险识别的目的是发现、识别和描述可能有助于或妨碍组织实现目标的风险。相关的、适当的和最新的信息对于识别风险很重要。
6.4.3风险分析
风险分析的目的是理解包括风险水平在内的风险性质和特征。风险分析涉及对不确定性、风险源、后果、可能性、事件、情景、控制及其有效性的详细考虑。事件可能有多种原因和后果,并可能影响多个目标。
6.4.4风险评价
风险评价的目的是支持决策。风险评价涉及将风险分析的结果与既定的风险准则进行比较,以确定需要采取何种应对措施。这可能会决定:
- 不需要做任何事情;
- 考虑风险应对的不同选项;
- 进一步分析以更好地理解风险;
- 保持现有的控制;
- 重新考虑目标。
6.5风险应对
6.5.1概述
风险应对的目的是选择和实施应对风险的方式。
风险应对涉及以下反复优化过程:
- 制定和选择风险应对方案;
- 计划和实施风险应对方案;
- 评估应对的有效性;
- 确定剩余风险是否可接受;
- 如果不能接受,采取进一步应对。
6.5.2选择风险应对方案
选择最合适的风险应对方案,涉及到为实现目标实施此方案带来的潜在收益,与实施成本或由此带来的不利因素之间的权衡。
选择风险应对的理由,不仅要单纯的考虑成本,应该考虑到组织的所有义务,自愿承诺和利益相关方的观点。风险应对备选方案的选择应根据组织的目标、风险准则和可用资源来进行。
6.5.3准备和实施风险应对计划
风险应对计划的目的是明确选择如何实施应对方案,从而让相关人员了解安排情况,并对照计划进行监测。应对计划应明确确定实施风险应对方案的顺序。
应对计划应与适当的利益相关方咨询,并纳入组织的管理计划和流程。
6.6监督和审查
监督和审查的目的是保证和提升流程设计、实施和结果的质量和有效性。在最开始规划风险管理流程时,应该将持续监督和定期审查作为其中的一部分内容,明确界定其职责。
6.7记录和报告
应考虑有关创建、保存和处理记录信息的决策包括但不限于:使用信息的敏感性以及内外部环境。
报告是组织治理的一个组成部分,应提高与利益相关方的沟通质量,并支持高级管理层和监督机构履行其职责。
二、重点拾遗
1、风险管理、内部控制流程与业务流程的区别
前些年在协助企业开展风险管理和内部控制体系建设项目时,有些领导还没搞清楚业务流程和风险管理流程之间的关联性,所以有很多理解上的偏差。甚至有些企业的负责人希望将风险管理流程和内部控制流程当做优化后的业务流程,希望借助风险管理和内部控制项目重新建立企业管理制度流程体系。
在这些年推行的各种管理体系,如质量管理、全面风险管理、内部控制等,有的企业为了符合这些外部要求,盲目的一味追求满足要求,而忽视了管理体系本来的宗旨。我和企业反复强调,企业管理体系是企业长期运行以来日积月累形成的,是企业的命根子,这个体系不能随便被变革和推倒重来,也不能随着监管层、管理层的重心变化而变化。对于外来要求,管理体系只能是兵来将挡,水来土掩,以不变应万变,要不然就是舍本逐末了。
企业的管理体系的目标,是优化运营、控制风险、提高效率、瞄准市场,更好的为客户提供价值而存在。而不能因为满足一个监管命令动不动就动根基。管理体系的重塑那是要伤筋动骨的,只有在企业生死存亡和面对重大变革时才会做的大手术,而且有失败风险。
风险管理流程和内控流程并不能代替业务流程,它们是从业务流程中抽离出的主要风险点和控制点组成的,远达不到业务要求的操作细度。它的作用是从风险和控制的角度对现有流程提出改进建议,来更好的完善企业管理体系。
2、沟通和咨询的重要性
从风险管理框架的设计阶段到风险管理流程的起始,ISO31000始终强调沟通和咨询的重要性,特别是和利益相关方的沟通和咨询,这些都是风险管理工作开展的基础,这些利益相关方的诉求对设计整个风险管理框架和制定风险管理范围、评估标准都具有参考意义。而且在整个风险管理流程中,都要保持一定的沟通和咨询。
在中国2009年出台的国家标准GB/T24353《风险管理指南》中,不知道什么原因,标准中将沟通和咨询这条重要的“左臂”删掉了,实在有些可惜,希望借助修订的机会,可以将此要素填补回来。
3、对风险管理流程的认识有助于厘清风险管理和内部控制的关系
说清楚风险管理流程这个问题,也有利于解决前些年专家们争论的关于风险管理和内部控制谁包含谁的问题。
前些年在专家界,对于风险管理和内部控制两套理论谁包含谁是有争论的,传统的内部控制从业者认为内部控制包含风险管理,而且前几年持这种观点的专家不在少数。而风险管理从业者将内部控制看作是风险管理的应对手段之一,因为内部控制不能解决所有的风险,所以认为风险管理应该包含内部控制。
近几年,随着大家对风险管理体系了解,逐渐认可了风险管理包含内部控制的说法。从COSO的权威文件上,也是一直在强调,风险管理的范围要比内部控制大,内部控制是风险管理工作的组成部分,风险管理包含内部控制,但是风险管理不能代替内部控制。这一块背后的故事太多,这里不展开。
为什么有些专家认为内部控制包含风险管理呢?因为在传统的内部控制工作中,也包含了风险管理(评估)流程,也需要对风险进行识别、分析、评估、应对等。所以包含这些流程和步骤,专家们就由此得出内部控制包含风险管理的结论。
其实,今天我们看到的风险识别、分析、评估这个风险管理流程,它既是一个工作操作步骤,也是一个普适性的思维过程。就像我们熟悉的质量体系中的PDCA框架一样,我们不能说只要包含了PDCA就包含了质量体系,显然不成立。从我们大量对COSO和ISO风险管理文件的解读内容上来看,除了风险管理(评估)流程,风险管理还包含了大量其它要素、原则和内容,所以不能说内部控制使用了风险管理(评估)的流程,就说内部控制包含了风险管理,这是一个误区,希望跟大家澄清一下。关于内部控制和风险管理的恩怨情仇,以后我们有机会再详细展开!
重磅资料上线,ISO31000:2018 中英文学习版登陆风险管理星球,欢迎风险管理领域终身学习者加入!
由于国外环境、文化、习惯、描述方式等都不同于国内,所以很多时候翻译过来后中国人读了还是读不懂,因为一些文字已经失去了原意。