【收藏】COSO新版企业风险管理框架全文解读(三):将风险融入战略、目标和绩效

本文介绍COSO新版企业风险管理框架的第一册第一部分的第三章节:战略、商业目标和绩效。本部分内容针对企业风险管理工作与企业其它几项重要的管理活动之间的关系进行了论述。

首先,COSO介绍了企业风险管理与战略之间的关系。

最开始的这段风险和战略的关系论述,揭示了一个企业最高层需要关注的风险,是企业最高级别的风险,也是整个企业风险管理的“纲”,只有深刻理解了这几句话,才能真正理解风险管理对于一个企业的真正意义。

  1. 一个主体的使命、愿景及核心价值观中包含了主体对风险的偏好信息,这是制定战略规划的重要依据;

  2. 战略的制定可能会出现与主体使命、愿景及核心价值观不相匹配的情况;

  3. 组织既定了一个具体战略后,它同时承担了对应的潜在风险;

  4. 战略的实施、经营目标的达成所含的固有风险。

下面这幅图就是企业风险管理的总体框架,表述了风险管理在企业经营管理中的位置,就是中间的彩色圆环表达的位置与含义。

如果有人看过2016版的征求意见稿,这个框架最大的变化就是把这个环从外面放进了里面去,表达了风险管理和战略、目标及绩效的融合关系,风险管理并不独立存在。

1、战略、经营目标与使命、愿景及核心价值观不匹配的可能

使命和愿景都从主体最高的角度对主体可承受风险的种类及数量提供了参照。它们帮助企业建立了经营的边界,并着眼于决策如何影响战略。一个充分理解自身使命和愿景的组织可以制定出反映其自身风险状况的战略。并以一个医疗机构为例进行了说明。

企业风险管理可以帮助主体避免战略偏差,为企业提供更深入的理解,确保其选择的战略有助于董事会层面实现既定的使命和愿景。

2、对既定战略的评估

企业风险管理不能创造主体的战略,而是通过对既定战略进行风险提示。企业需要评估所选择的战略如何影响主体的风险状况,特别是组织暴露出的潜在风险类型和数量。

在评估战略可能产生的潜在风险时,管理层需要考虑所选战略的基本前提假设。这些战略的基本假设可能与主体所处的商业环境有关。企业风险管理为这些假设敏感性的变化提供了宝贵的分析思路:

即是否对达成战略造成或大或小的影响。

3、战略的实施、经营目标达成的风险

指出每个企业必须对战略中存在的风险进行思考,重点在于理解所既定战略中蕴含的相关风险和其影响能力。当风险影响足够大时,企业可能需要重新审视既定战略,必要时可以修改或选择新战略,以便调整到主体更加合适的风险状况。

也可以从经营目标的角度看待实施战略的风险。企业可以使用各种常见技术及常用措施来评估风险。只要有可能,企业应使用相似的衡量单位对每个目标的风险进行评估。这样有助于使风险的严重性与既定的绩效衡量标准相协调。

4、企业风险管理与绩效

评估战略和商业目标的风险,要求组织将本框架中提及的风险和绩效之间的关系理解为“风险状况”(或称风险概况)。主体的“风险状况”提供了风险的综合视角(例如,从主体整体层面、业务单元层面、职能层面)或商业模式方面(例如产品,服务,区域)。

这种综合视角使得管理层能针对风险的类型、严重性和相互依赖性,以及它们如何影响绩效进行思考。在评估替代战略时,企业应该首先了解潜在的风险状况。一旦选择了战略,焦点应转向了解所选战略和相关商业目标当下的风险状况。

风险与绩效间很少是纯线性关系。绩效目标的增量变化并不总是导致相应的风险同向变化(反之亦然)。因此,想要表达这种动态的关系,有时可以借助图形化,来表达与预期目标相伴随的风险总量。企业必须在主体的风险承担量及其所期望的绩效之间达到平衡状态。

有很多种描述风险状况的方法。该框架采用如下图所示的方法,描绘了企业风险管理各个方面间的关系。这样做有助于加强风险、风险偏好,容忍度及绩效目标之间的整体联系。

关于风险和绩效的关系,COSO新版框架的附录D中进行了详细说明,而且举例了各种不同形状的风险状况图例,有需要的可以翻一下,我们后面的文章里也有专门解读这个曲线。

精华汇总

(0)

相关推荐