笔者曾协助中国部分政府部门设计和实施部分风险的应对方案,借助此框架的颁布协助
政府部门设计一套完善的风险管理体系也许是下一步可以探讨和尝试的领域。
4、关于风险管理的局限性
了解COSO1992年、2004年发布的内部控制框架和企业风险管理框架的人都应该清
楚,两个框架均列示了企业内部控制和风险管理工作的局限性,而且这两个框架的局限
性基本一致,这也在另外一个角度印证了2004年版的企业风险管理框架还是一个大内控
的“控制框架”。
新版本的框架中删除了对于风险管理局限性的章节,作为一套“管理体系”而非“控
制体系”,突破原来的局限性是不言自明的。
5、关于风险管理和内部控制的关系
在正式版新框架中,自然无法绕开关于风险管理和内部控制关系的解释,在第一册框架
应用环境中,第一部分内容中就描述了风险管理和内部控制的关系:“内部控制主要聚
焦在主体的运营和对于相关法律法规的遵从性上。”“企业风险管理的相关概念并
没有包含在内部控制中(例如,风险偏好、风险承受度、战略和目标设定等概念,这些
都是内部控制体系实施的前提条件)”。
?
为了避免重复,一些在内部控制中比较常见的概念部分,风险管理新框架并未重复叙述
(例如,与财务报告目标相关的舞弊风险、与合规目标相关的控制活动、与运营目
标相关的持续及独立评估)。然而,一些在内部控制中概念在本框架中被进一步的研
究和深化了(例如,企业风险管理中的治理和文化部分)。
?
在COSO公布的《常见问题》解释上,COSO表明两个体系并不是相互代替或取代,而
是侧重点各不相同相互补充的作用,但同时也强调了内部控制作为一种经历时间考验
的企业控制体系,是企业风险管理工作的一个基础和组成部分。
在历史上,COSO在表述两个体系的关系时有时暧昧、有时清晰,这样算是现阶段给两
个体系的关系做了个“了断”,随着新框架在企业的实施,相信二者的关系和界限会越
来越清晰。
6、关于是否强制实施
实施风险管理工作目的是为股东和利益相关方创造、保持和实现价值,这些并不能通过
外部监管机构通过强制的方式来执行,所有需要监管机构强制要求的工作都是控制类而
非价值创造类。所以各类主体的利益相关方需要明确实施风险管理工作并不是满足监管
和合规要求,真正的目的是为了实现价值和达成业绩,支持主体使命、愿景和核心价值
的实现,这是为了满足更高层次的诉求。
|
|
