財經呼聲
In 商業要領

企業風險管理 (ERM) 什麼是企業風險管理及其運作方式

什麼是企業風險管理 (Enterprise Risk Management, ERM)?

企業風險管理 (ERM) 是一種從整個公司或組織的角度戰略性地看待風險管理的方法。這是一個自上而下的策略,旨在識別、評估和準備可能幹擾組織運作和目標並/或導致損失的潛在損失、危險、危險和其他可能的傷害可能性。

關鍵要點

  • 企業風險管理 (ERM) 是一種全公司範圍的策略,用於識別和準備與公司財務、運營和目標相關的危險。
  • ERM 使管理層通過要求某些業務部門參與或不參與特定活動來塑造公司的整體風險狀況。
  • 傳統風險管理將決策權交給部門主管,可能導致不考慮其他部門的孤立評估。
  • COSO 的企業風險管理框架確定了開發 ERM 實踐的八個核心組件。
  • 成功的 ERM 策略可以減輕運營、財務、安全、合規、法律和許多其他類型的風險。

理解企業風險管理 (ERM)

企業風險管理採用整體方法,要求管理級決策可能不一定對個別業務單位或部門有意義。因此,不再讓每個業務單位對其自身的風險管理負責,而是優先進行全公司範圍的監控。

它還通常要求將風險行動計劃作為年度報告的一部分提供給所有利益相關者。航空、建築、公共衛生、國際發展、能源、財務和保險等不同產業都轉向利用 ERM。

因此,ERM 可以工作以減少全公司範圍的風險,並識別獨特的全公司範圍內的機會。不同業務單位之間的溝通和協調是 ERM 成功的關鍵,因為來自最高管理層的風險決策可能看似與當地的現場評估不一致。利用 ERM 的公司通常會有一個專門的企業風險管理團隊來監督公司的運作。

儘管 ERM 的最佳實踐和標準仍在不斷演變,但它們已通過 COSO 這個行業組織進行了正式化,該組織為公司和 ERM 專業人士維護和更新這樣的指導。

ERM 友好的公司可能對投資者有吸引力,因為它們表示投資更穩定。

風險管理的整體方法

現代商業面臨一系列多樣的風險和潛在危險。過去,公司傳統上通過各個部門管理自身業務來處理風險暴露。企業風險管理要求公司識別它們面臨的所有風險。它還使管理層決定哪些風險是需要積極管理的。與風險在一家公司內分開儲存不同,使用 ERM 的公司會看到更大的全貌。

ERM 將每個業務單位視為公司內的「投資組合」,並嘗試了解對個別業務單位的風險如何相互作用和重疊。它還可以識別任何單一單位看不見的潛在風險因素。

公司多年前已經在管理風險。傳統風險管理依賴於每個業務單位評估和處理其自身的風險,然後在以後向 CEO 報告。最近,公司開始認識到需要更全面的方法。

如首席風險官(CRO),這是從 ERM 角度所需的一個公司高級管理職位。CRO 負責識別、分析和緩解影響整個公司的內部和外部風險。CRO 還負責確保公司遵守政府法規,如 Sarbanes-Oxley(SOX),並審查可能損害投資或公司業務單位的因素。CRO 的任務將與其他高層管理人員和董事會以及其他利益相關者一起指定。

一個公司是否在有效實施 ERM 的一個好指標是是否有一個首席風險官(CRO)或專門管理者協調 ERM 工作。

企業風險管理的組成部分

  • 內部環境:公司的內部環境是公司員工設立的氛圍和公司文化。這決定了公司對風險的偏好以及管理層對承擔風險的理念。內部環境可以由高層或董事會設立並傳達給整個組織,儘管它通常通過所有員工的行動反映出來。
  • 目標設置:當公司確定其目標時,必須設定支持公司使命和目標的目標。這些目標必須與公司的風險偏好保持一致。例如,一個有雄心壯志的公司設置了遠大的戰略計劃,必須意識到這些崇高目標可能帶來的內部或外部風險。作為回應,公司可以將將要實施的措施與其想要完成的目標對齊,例如為其目前不熟悉的擴展領域招聘更多的監管人員。
  • 事件識別:積極事件可能對公司產生巨大影響。另一方面,負面事件可能對公司的持續運營能力產生不利影響。ERM 指導建議公司識別業務的重要領域以及相關事件,這些事件可能產生嚴重後果。這些高風險事件可能對運營(例如,迫使辦公室臨時關閉的自然災害)或戰略(例如,政府法規禁止公司的主要產品線)構成威脅。
  • 風險評估:除了了解可能會發生什麼之外,ERM 框架還詳細說明了通過了解風險的可能性和財務影響來評估風險的步驟。這包括不僅僅是直接風險(例如,自然災害導致辦公室無法使用)還有殘餘風險(例如,員工可能不願意返回辦公室)。儘管困難,但 ERM 框架鼓勵公司通過評估百分比變化及影響金額來量化風險。
  • 風險應對:
  • 公司可以避免風險:這導致公司退出導致風險的活動,因為公司寧可放棄活動的好處也不願承擔風險。一個例子是,公司關閉一個產品線並停止銷售特定商品。
  • 公司可以降低風險:公司仍然參與活動,但努力減少風險的可能性或程度。一個例子是,公司保持開放的產品線,但投資更多於質量控制或消費者教育,告訴他們如何正確使用產品。
  • 公司可以共享風險:公司按照當前風險概況繼續進行活動。然而,公司利用第三方以分擔潛在損失為代價。一個例子是購買保險政策。
  • 公司可以接受風險:公司分析潛在結果並確定是否財務上值得追求緩解措施。一個例子是公司保持開放的產品線,不進行任何運營和風險共享的變更。
  • 控制活動:控制活動是公司為創建政策和程序來確保管理層在緩解風險的同時執行操作所採取的行動。控制活動(通常稱為內部控制)分為兩種不同的流程:
  • 預防性控制活動:用於防止活動發生,這些控制旨在通過不允許某些事件發生來減少風險。一個例子是關鍵板或實體鎖,防止所有員工進入敏感區域。
  • 偵查性控制活動:用於識別風險行為已發生,即便該事件被允許發生(或不應該發生但仍然發生了),偵查控制可能會提醒管理層確保適當的後續步驟被採取。一個例子是房間的警報系統。
  • 信息與溝通:信息系統應能捕獲對管理層理解公司風險概況和風險管理有用的數據。這意味著不對表現優於其他部門的部門授予例外;公司所有方面應允持續監控。由此擴展,部分數據應進行分析並在相關情況下與員工溝通。通過與員工溝通,更有可能獲得流程的更大買入以及公司資產的保護。
  • 監視:公司可以轉向內部委員會或外部審計員來審查其政策和實踐,這可能包括審查實際執行的工作與政策文件建議的內容是否一致,也可能包括獲取反饋、分析公司數據並通知管理層未保護的風險。在不斷變化的環境中,公司還必須準備相應地評估其 ERM 環境並做出調整。

COSO 委員會於 2004 年發布了 ERM 框架,該出版物自此以來被廣泛應用。

如何實施企業風險管理實踐

ERM 實踐將根據公司的規模、風險偏好和業務目標而有所不同。如下是大多數公司可用來實施 ERM 策略的最佳實踐。

  • 定義風險理念:在實施任何實踐之前,公司必須確定其對風險的感受以及應對風險的策略。這應包括管理層之間的戰略討論和對公司整體風險概況的分析。
  • 創建行動計劃:掌握公司風險理念後,下一步就是創建行動計劃,定義公司在風險評估後必須採取的保護公司資產和計劃以保護未來的步驟。
  • 保持創意:在考慮風險時,ERM 包括廣泛思考公司可能面臨的問題。儘管看似牽強,公司的最佳利益是考慮可能面臨的挑戰以及如果事件發生將如何應對(或決定不應對)。
  • 溝通優先事項:公司可能決定幾個高度重要的風險對公司延續至關重要。這些優先事項應進行溝通並廣為了解作為在任何情況下都不應承擔的風險。或者,公司可能希望溝通事件發生時的計劃。
  • 分配責任:當行動計劃制定後,應指定特定員工執行計劃的特定部分,這包括在員工離開公司時將任務委派給特定職位。這不僅允許所有行動項目都在進行,還將使成員對其責任領域負責。
  • 保持靈活性:隨著公司和風險的演變,公司必須設計 ERM 實踐以適應。公司面臨的風險可能每天都在變化,公司必須能夠執行當前的計劃,同時仍然為新的未來風險制定計劃。
  • 利用技術:ERM 數字平臺可能匯集、總結和跟蹤公司的許多風險,技術還可用於實施內部控制或收集數據,以了解績效如何與 ERM 實踐匹配。
  • 持續監控:一旦 ERM 實踐到位,公司必須確保遵守這些實踐,這意味著追蹤目標進展、確保某些風險正在緩解並在預期進行。
  • 使用指標:作為監控 ERM 實踐的一部分,公司應開發一系列指標以量化衡量是否達成目標。通常稱為 SMART 目標,這些指標讓公司在達成目標方面更負責任。

隨著公司實施 ERM 實踐,廣泛建議持續收集所有員工的反饋。每個人對可能無效或可能做得更好的事情會有不同的看法。

企業風險管理的優劣勢

ERM 的優點

  • ERM 設置了圍繞公司文化的組織範圍期望,這包括更公開地溝通公司面臨的風險以及如何減輕風險,這導致更多的指導方向應對某些事件。
  • 此外,這可能導致員工滿意度提高,知道有計劃保護公司資源,並提高的客戶服務知道該如何應對客戶。
  • ERM 實踐通常由標準化的風險報告所綜合,標準化風險報告會向高層管理遞交,該報告簡潔總結公司面臨的風險、正在採取的措施和決策所需的信息。因此,公司可能在時間上更具效率,特別是考慮到提供給高層管理的內容。
  • ERM 還可能對公司資源管理產生積極影響,ERM 可以消除冗餘流程、確保員工的有效使用、減少盜竊或通過更好地理解進入市場來增加利潤。

ERM 的缺點

  • 隨著公司構建 ERM 實踐,可能會考慮過去曾暴露的熟悉風險,因此,ERM 在識別組織未知的未來風險方面存在局限性,這些風險可能具有更大的不利影響。某些人可能認為 ERM 是被動的,因為公司只能根據已有經驗預測風險。
  • ERM 還非常依賴管理層的估算和輸入,這可能幾乎不可能準確預測。例如,在公司以極低概率預測 COVID-19 大流行的發生,公司能否準確計算業務關閉或消費者支出變化的財務影響? ERM 緩解成本也可能難以評估。
  • ERM 實踐耗時,需要公司資源來成功實施。雖然公司將受益於保護其資產的措施,但公司必須消耗員工的時間並可能進行資本投資以實施 ERM 策略。此外,公司可能發現難以量化 ERM 的成功,因為未發生的財務風險只是投影的結果。

ERM 的優缺點總結

優點

  1. 可能使公司更好地準備應對風險和不確定性
  2. 可能使員工對公司的未來狀態更為滿意
  3. 可能導致更好的客戶服務,因為公司已準備好應對特定情況
  4. 可能導致對高層管理的有效報告,從而提高決策能力
  5. 可能促進公司整體運營的效率

缺點

  1. 可能無法準確識別公司可能面臨的風險
  2. 可能無法準確評估結果的財務影響或發生可能性
  3. 通常需要公司投入時間才能成功
  4. 通常需要公司投入資本才能成功

企業風險管理應對哪些類型的風險?

企業風險管理(ERM)可以幫助制定應對幾乎任何類型的業務風險的計劃。業務風險威脅公司的生存能力,這些風險可以進一步分類為以下不同類型的風險。通常,ERM 最常處理以下類型的風險:

  1. 合規風險:由於違反外部法律或要求而威脅公司。例如,公司無法根據適用的會計規則(如 GAAP)及時製作財務報表。
  2. 法律風險:公司面臨合同、糾紛或監管問題的訴訟或罰款。例如,與主要客戶的計費糾紛。
  3. 戰略風險:威脅公司長期計劃。例如,未來的市場新參與者可能取代公司成為最低成本的商品供應商。
  4. 運營風險:威脅公司運營所需的日常活動。例如,天然災害損壞了公司的倉庫,導致庫存損失。
  5. 安全風險:如果公司的實體或數字資產被不當使用,會威脅公司的資產安全。例如,監控網絡伺服器上存儲的敏感客戶信息的控制措施不足。
  6. 財務風險:威脅公司的債務或財務狀況。例如,持有外幣產生的翻譯損失。

什麼是企業風險管理 (ERM)?為什麼它很重要?

企業風險管理(ERM)是公司管理風險的方法。它是公司處理各種業務風險的實踐、政策和框架。ERM 之所以重要,是因為它有助於防止損失或意外的負面結果。ERM 還很重要,因為它有助於公司制定計劃,以戰略性地應對風險並獲得員工的支持。

企業風險管理的三種類型風險是什麼?

ERM 通常將公司面臨的風險總結為運營風險、財務風險和戰略風險。運營風險影響日常運營,而戰略風險影響長期計劃。財務風險影響公司的整體財務狀況和健康。

企業風險管理的八個組成部分是什麼?

COSO 企業風險管理框架識別了八個組成部分:內部環境、目標設置、事件識別、風險評估、風險應對、控制活動、信息與溝通以及監控。這八個核心組成部分驅動公司的 ERM 實踐。

風險管理和企業風險管理有什麼區別?

風險管理傳統上用來描述公司面臨的特定風險的實踐和政策。現代風險管理引入了企業風險管理(ERM),這是一種全面的、公司範圍的、從整體上看待風險的方法。

結論

隨著公司製造、銷售和交付商品給客戶,公司面臨來自無數來源的無數風險。為了更好地應對這些風險,公司正在轉向企業風險管理,這是一種公司範圍的、自上而下的風險評估和制定計劃的方法。ERM 的最終目標是保護公司的資產和運營,同時制定策略,以應對特定的不幸事件發生時的情況。

Related Posts