【小伯乐】COSO：全球风险管理行业翘首以盼的COSO更新版《企业风险管理框架》正式发布（11）

企业风控管理整体框架

3.内部环境

章节摘要：内部环境包含一个组织的基调，影响其员工的风险意识，同时还是企业风险管理所有其它组成部分的基石，提供纪律和结构。内部环境因素包括实体的风险管理哲学；其风险偏好和风险文化；董事会监管；实体员工的诚信，道德价值和能力；管理哲学和经营风格；以及管理部门分配权力和责任、组织和引导员工的方式。

内部环境是企业风险管理所有其它组成部分的基石，提供纪律和结构。内部环境影响到战略和目标时如何建立的，经营活动时如何组织的，以及风险时如何被识别、评估和应对的。它影响控制活动，信息和交流系统及监管活动的设计和运作。反之，内部环境又受到实体的历史和文化的影响。内部环境由许多要素组成，包括实体员工的道德价值、能力和发展，管理部门的经营风格及如何分配权力和责任的。董事会是内部环境的关键部分，显著地影响其它内部环境要素。

虽然所有要素都很重要，每一要素的程度会因实体有所不同。例如，员工数量较少和集权经营公司的高管人员可能不会正式的责任键和详细的经营政策。然而，该公司也可拥有内部环境，为企业风险管理提供适当的基础。

风险管理哲学

为所有员工所理解的企业风险管理哲学。能促进雇员识别和有效管理风险的能力。该哲学（即实体关于风险的信念，和如果选择引导活动并处理风险），反映实体从企业风险管理所寻求的价值，并反应企业风险管理组成部分是如何运用的。虽然一些实体采用企业风险管理是为了满足外部风险承担者的需要，如母公司或监管者。更多的是因为管理部门意识到有效的风险管理能够保持价值并创造价值。每一个领导班子对于什么推动风险承担者的价值，都有自己的见解。

管理部门的企业风险管理哲学反映在政策综述和其它信息传达中。很重要的是，管理部门不仅通过言词，还通过日常行为来加强该哲学。

风险偏好

风险偏好是实体在追求价值时所愿意接受的风险程度。实体经常定性地考虑风险，如分成高、中、低三类，或者也会采用定量的方法，反应并均衡增长、回报的目标和风险。“风险偏好与实体的战略直接相关。它在战略设定时会考虑到，此时一项战略的期望回报应该与实体的风险偏好相符。不同的战略会给实体带来不同的风险。企业风险管理被应用于战略设定，有助于管理部门选择与实体的风险偏好一致的战略。

风险文化

风险文化是表现实体如何在日常活动中考虑风险的一套共用的看法、价值观和惯例。对于许多公司，风险文化来源于实体的风险哲学和风险偏好。对于那些不明确地说明其风险哲学的实体，风险文化会偶然地形成，结果在实体内部，甚至在一特别的经营单元、功能和部门中产生截然不同的风险文化。

管理部门要考虑其风险文化是如何产生能响并与企业风险管理的其它要素协调。如果存在不协调，管理部门会采取步骤来改造文化——也许重新思考风险哲学和风险态度，或改造应用企业风险管理的方式。

一家汽油管道公司寻求一种所有员工在日常活动中明确考虑风险的文化。为实现这一点，管理部门采取的一个步骤就是，在所有员工卡中加入一系列专注于风险的问题。这些问题引导员工的决策制定：什么是风险？此事件会影响到其他什么人？需要告知其他什么人？这些问题鼓励员工考虑潜在事件对其它部门以及对整个实体的影响。

风险亚文化

个体经营单元、功能和部门会有稍微不同的风险文化。一些管理者准备接受更多的风险，其他管理者则较为保、而且这些不同的文化有时从事于相反的目的。例如，一个职能（部门）更多地关注销售，而不会太注意规则遵循情况。另一个职能（部门）可能更注重要求其员工严格确保遵循所有相关法规。分开来看，这些不同的亚文化可能会对实体产生不利影响。但是如果这些职能（部门）在一起工作，相互补充，不同的文化可以共同反映实体的期望风险偏好和哲学。

认可风险事实

一个不曾遭受过损失并没有面临显著风险的实体，不应该相信不利后果“不会在此发生”的荒诞说法。就算公司拥有胜任的员工、有效的程序及可靠的技术，外部和内部环境中的许多变量很快会改变。管理部门应该意识到，即使是运转良好的经营也是脆弱的。

董事会

实体董事会是内部环境的重要部分，并对其它内部环境要素产生显著影响。董事会相对于管理部门的独立性，其成员的经验和水平，对活动参与和详细调查的程度，及其行为的适当性都会产生作用。其它要素包括，关于战略、规划和执行的管理所提出和从事的问题的难度，以及董事会和审计委员会与内部和外部审计之间的交互作用。

一个积极且相关的董事会、理事会或类似机构应该拥有适当程度的管理、技术和其它专家意见，还要有履行监管职责的必要的注意。这对一个有效的企业风险管理是很重要的。而且，因为董事会必须有备于详细审查管理部门的活动并提出问题，提供备选的观点及在明显的不道德行为目前有所作为，董事会成员必须包括外部董事。

高层管理人员可能是有效的董事会的成员，可以把公司的情况带到董事会会议上。但是必须要有足够数量独立的外部董事，不仅能提供正确的意见、忠告和方向，还要你能对管理部门进行必要的检查和协调。内部环境要有效，董事会必须至少大部分上独立外部董事。

诚信和道德价值观

实体的战略和目标及其执行和完成的方式，是以优先选择、价值判断和管理风格为基础的管理部门的诚信和对价值观的承诺会影响优先选择和价值判断，被认为是行为标准。由于实体的良好声誉是如此重要，行为标准必须超越仅仅遵循法律的范畴。运行良好的企业的管理者越来越接受这样一种观点，道德付出及道德行为是获利的买卖。

管理诚信在实体活动的所有方面都是道德行为的先决条件。企业风险管理的有效性不可能置于创造、管理和监管实体活动员工的诚信和道德价值之外。诚信和道德价值是环境的核心要素，影响着设计、管理和监管其它企业风险管理组成部分。建立道德价值经常是很困难的，因为需要考虑几个方面的利害关系。管理价值必须协调企业、雇员、供应商、客户、竞争对手和公众的利益。协调这些利益是很复杂且令人头疼的，

因为各方利益总是不一致。例如，提供基本产品（石油、木材或食品）可能会导致环境方面的关注。道德价值和管理诚信是企业文化的副产品，（企业文化）包含了道德和行为标准，及其是如何传达和加强的。正式的政策说明了什么是董事会和管理部门所希望发生的。企业文化则决定了什么是实际发生的，以及哪些规则得到了遵守、屈服和被忽略。高层管理部门—从CEO开始，在决定企业文化中起到了关键作用。作为实体当中的统治人物，CEO经常设定了道德基调。

某些结构因素也会影响欺骗性和有疑问的财务报告实践的可能性。那些同样的因素还有可能影响道德行为。个体从事不诚实、违法或不道德的行为，可能仅仅是因为实体给他们提供了强烈的动机或诱惑。对结果不恰当的强调，尤其是在短期会培育不适当的内部环境。仅仅注重短期结果，甚至在短期内会造成损害。集中于底线一一销售或无论如何利润，经常会产生未寻求的行为和反应。比如，很大压力的销售战术，协商时的无情或暗示提供回扣，可能会产生有直接（且持久）效果的反应。

从事欺骗性或有疑问的报告实践的动机，以及扩展来看，其它形式不道德行为的动机，包括高度依赖于报告财务业绩的报酬，尤其是短期结果，和红利计划的上下限。消除或减少不正确的动机和诱惑，对除去不合需要的行为大有帮助。有人建议，遵循合理且获利的经营实践可以实现这一点。例如，业绩激励——同时合理控制，可以是有益的管理技巧，只要业绩目标是现实的。设立现实的业绩目标是一项合理的动机实践；它减少了达不到预期目标的压力，和欺骗性报告的动机。类似地，一个控制良好的报告系统可以防止对业绩作虚伪叙述的诱惑。

另一个导致可疑实践的原因是忽视。道德价值必须不仅仅传达下去，还要有关于对错的清晰指导伴随。正式的企业行为规则，是有效道德规划的基础，且很重要。规则表述了各种各样的行为问题，比如诚信和道德，利益冲突，违法或其它不正确的支付，以及反竞争的安排。员工感觉舒适的向上传达的渠道，会带来相关信息，也是很重要的。存在书面行为规则，员工收到并理解的文献，以及适当的交流渠道，并不能确保规则得到了遵守。遵守道德标准，无论在书面行为规则中是否体现，由高层管理部门的行为和榜样是最好的保证。尤其重要的是，对员工违反这些规则因而产生的处罚，鼓励员工报告可疑违反行为的机制，以及对不能报告违反行为的训诫性作用。员工可能会形成与高层管理部门相同的关于对与错（及关于风险和控制）的态度。管理部门在这些情形下的举动所传达出来的信息，很快会根植在企业文化当中。而且，当得知CEO在面对一项棘手的业务决策时道德地“做出了正确的事情”，会在全实体内传达有力的信息。

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。