20世纪90年代以后,许多国家政府以及有关国际组织纷纷加大了对风险管理的研究,并发布了一系列的文告,就风险管理问题作出了规定,其中,尤以2004年9月美国COSO正式发布的《企业风险管理——整合框架》最具代表性,是当前世界上风险管理领域最为权威的文献,得到了世界各国的广泛采用。目前,随着覆盖城乡居民的社会保障体系的基本建立,社会保险工作的面更广、点更多、线更长、量更大,社会保险业务面临的管理风险也随之变得更多、更大,这要求我们必须尽快建立健全风险管理制度,构筑预防违规违法事件发生的“防火墙”,从而确保社会保险基金安全。在这种背景下,认真研究和参考包括企业风险管理整合框架在内的相关的国际权威文献,无疑具有十分突出的理论价值和现实意义。 COSO风险管理整合框架认为,主体的目标包括:①战略目标,是高层次的目标,它应与组织的使命一致并支持该使命;②经营目标,组织应当有效和高效率地利用其资源;③报告目标,组织应当提供可靠的报告;④遵循目标(合规目标),即组织应当遵循相关的法律规章。企业风险管理实际就是为实现上述目标提供合理的保证。 COSO风险管理整合框架强调,企业风险管理包含以下方面的作用: 1.协调风险偏好和战略。管理层在评估不同的战略、确定相关目标、建立相关风险的管理机制时,应考虑组织的风险偏好。 2.改进风险反应决策。企业风险管理要求识别并在不同的风险应对策略(包括规避、降低、分担与接受风险)中做出选择。 3.减少经营意外与损失。提高组织识别潜在的事项并作出反应,减少意外事项及相关的成本或损失的能力。 4.识别并管理多个企业之间以及企业内部的风险。每一个企业都面临无数的、会影响组织不同方面的风险,企业风险管理应当有助于对相关关联的影响作出有效的反应,并对多个企业的风险作出整体性反应。 5.抓住机会。通过考虑所有潜在事项,管理层应当能够识别并实现机会。 6.改善资本的配置。在获得关于风险的信息后,管理层可以有效地评估总体资本需求并改进资本的配置。 企业风险管理所固有的这些作用,有助于管理层实现组织的经营和盈利目标,并防止资源损失。企业风险管理有助于保证提供有效的财务报告和对法律规章的遵循,并有助于避免组织声誉的损害及相关不良后果。总之,企业风险管理不仅帮助企业到达期望的目的地,还有助于避开前进途中的隐患和意外。 COSO风险管理整合框架指出,企业风险管理包含八个相互关联的要素。这些要素来源于管理层管理企业的方法,并与管理过程合成一个整体。这些要素包括: 1.内部环境。内部环境包含了组织的风格,它确定了组织人员如何看待和处理风险的基础,是其他要素的基础。内部环境具体包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实务、权责分配。 2.目标设定。在管理层辨别影响其目标实现的潜在事项之前,必须有目标。企业风险管理要求管理层设定目标,选择的目标需要能够支持组织的使命并与组织使命相一致,并与其风险偏好相一致。 3.事项识别。即识别那些影响组织目标实现的内外部事项,并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。 4.风险评估。必须对风险加以分析,考虑其发生的可能性以及影响,并作为确定这些风险应如何加以管理的基础。应当对固有风险和残存风险加以评估。 5.风险应对。管理层应在不同的风险应对(包括回避、接受、降低、分担风险)中做出选择,从而采取一系列与组织的风险容忍度和风险偏好相一致的行动。 6.控制活动。应建立相关的政策和程序,以确保风险应对策略得到有效的执行。控制活动通常包括两个要素:一是确定应该做什么的政策,二是实现政策的程序。 7.信息与沟通。应当按照特定的格式和时间框架来识别、捕捉相关信息并加以传递沟通,从而使人们可以履行其职责。有效的沟通存在于较广泛的意义上,包括向下、向上以及平行相互沟通。 8.监控。整个企业风险管理都应当加以监控并根据需要作出调整。监督可以通过持续性的管理活动、单独评价或者二者同时来实现。 从以上COSO风险管理整合框架内容和要求上来看,对社会保险经办机构构建风险管理体系有如下启示: 1.要将风险管理与内部控制联系在一起。风险管理涵盖了内部控制,将之作为一个子系统,从时间先后和内容上来看,风险管理比内部控制更广泛,是对内部控制的拓展和延伸。内部控制的动力来自对风险的认识和管理,对于单位的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。同时,维持充分的内控系统也是许多法律法规的合规要求。因此,社会保险经办机构应当建立并维持有效的内部控制系统以实现风险管理。 2.风险管理应当融入到日常经办活动中。风险管理针对的是经办活动中对目标实现产生影响的风险事项,因此,风险管理必须与经办活动紧密地结合在一起,要涵盖组织机构、登记征缴、待遇核定、基金核算和信息技术等环节,在经办活动中处处体现风险管理的理念与做法,这不仅有助于及时识别社会保险经办机构所面临的风险事项,也有助于降低风险管理成本、提高风险管理效率。 3.重视个人的作用。COSO框架强调每个人在企业风险管理中的作用,明确指出:在企业中,不仅仅是董事会或者风险管理官员,其他人员,如内部审计师、财务官员以及组织中的每一个人都对企业风险管理负有一定的责任,都能够对其过程施加一定的影响,因而所有员工的职能与责任都应该被很好地界定和沟通。因此,社会保险经办机构要建立多层级风险责任机制,机构负责人对风险管理的整体有效性负有领导责任,各部门负责人对本部门风险管理的有效性承担责任,其他人员主动识别、报告和控制自身经办行为的风险,并对自身经办风险行为承担责任。这有利于督促经办机构的所有职工重视风险管理问题,把维护及改善经办机构的风险管控当作自己的事,而不是站在与领导层对立的角度,被动地执行各自的任务。 4.构建畅通的信息与沟通渠道。信息和沟通对于良好的风险管理相当重要,职工要了解风险管理措施,并有顺畅的向上沟通风险管理的渠道,领导层要及时向职工了解经办机构面临的重大风险及其管理情况。在大多数情况下,一个组织中的正常报告途径就是恰当的沟通渠道。但是,在一些情况下,如果正常的渠道不起作用,就需要单独的沟通途径来充当自动预防故障机制,如设立意见箱、网络投诉、网络互动等,给职工提供直接向领导层沟通的渠道,这样,信息的向上流动才不会被闭塞。 5.对风险管理过程进行监控。风险管理是一个持续的、动态的过程,社保经办机构的内、外部环境在不断地变化,这决定了原先的控制未必有效,因此,必须对风险管理过程进行监控,从而找出其缺陷和不足并及时采取补救措施。监控可以通过持续的活动或者专门评价两种方式进行。持续监控发生在管理活动的正常进程中,包括关键风险指标的差异分析、新出现的风险或原有风险的重大变化,以及应对非预期的突发事件等。专门评价的范围和频率主要取决于管理风险过程中的相关控制的重要性,程度较高的风险事项往往会被经常评价。 6.正确把握风险偏好。COSO框架在风险管理方面提出了一个重要概念——风险偏好,它是为了实现企业目标、企业和员工在承担风险的种类、大小等方面的基本态度。在实际工作中我们不难发现,不同的人风险偏好存在差异性,这就是为什么对同一风险事项,有的人高度重视,采取积极防控措施,而有的人却不以为然,疏于防范的原因,而这两种态度有可能会产生截然不同的后果。因此,社保经办机构在确定风险应对方案时,要合理分析、准确掌握各级管理人员、关键岗位工作人员的风险偏好,采取适当的控制措施,避免因个人风险偏好给经办管理带来重大损失。 (作者单位:广西壮族自治区社会保险事业局)
20世纪90年代以后,许多国家政府以及有关国际组织纷纷加大了对风险管理的研究,并发布了一系列的文告,就风险管理问题作出了规定,其中,尤以2004年9月美国COSO正式发布的《企业风险管理——整合框架》最具代表性,是当前世界上风险管理领域最为权威的文献,得到了世界各国的广泛采用。目前,随着覆盖城乡居民的社会保障体系的基本建立,社会保险工作的面更广、点更多、线更长、量更大,社会保险业务面临的管理风险也随之变得更多、更大,这要求我们必须尽快建立健全风险管理制度,构筑预防违规违法事件发生的“防火墙”,从而确保社会保险基金安全。在这种背景下,认真研究和参考包括企业风险管理整合框架在内的相关的国际权威文献,无疑具有十分突出的理论价值和现实意义。 COSO风险管理整合框架认为,主体的目标包括:①战略目标,是高层次的目标,它应与组织的使命一致并支持该使命;②经营目标,组织应当有效和高效率地利用其资源;③报告目标,组织应当提供可靠的报告;④遵循目标(合规目标),即组织应当遵循相关的法律规章。企业风险管理实际就是为实现上述目标提供合理的保证。 COSO风险管理整合框架强调,企业风险管理包含以下方面的作用: 1.协调风险偏好和战略。管理层在评估不同的战略、确定相关目标、建立相关风险的管理机制时,应考虑组织的风险偏好。 2.改进风险反应决策。企业风险管理要求识别并在不同的风险应对策略(包括规避、降低、分担与接受风险)中做出选择。 3.减少经营意外与损失。提高组织识别潜在的事项并作出反应,减少意外事项及相关的成本或损失的能力。 4.识别并管理多个企业之间以及企业内部的风险。每一个企业都面临无数的、会影响组织不同方面的风险,企业风险管理应当有助于对相关关联的影响作出有效的反应,并对多个企业的风险作出整体性反应。 5.抓住机会。通过考虑所有潜在事项,管理层应当能够识别并实现机会。 6.改善资本的配置。在获得关于风险的信息后,管理层可以有效地评估总体资本需求并改进资本的配置。 企业风险管理所固有的这些作用,有助于管理层实现组织的经营和盈利目标,并防止资源损失。企业风险管理有助于保证提供有效的财务报告和对法律规章的遵循,并有助于避免组织声誉的损害及相关不良后果。总之,企业风险管理不仅帮助企业到达期望的目的地,还有助于避开前进途中的隐患和意外。 COSO风险管理整合框架指出,企业风险管理包含八个相互关联的要素。这些要素来源于管理层管理企业的方法,并与管理过程合成一个整体。这些要素包括: 1.内部环境。内部环境包含了组织的风格,它确定了组织人员如何看待和处理风险的基础,是其他要素的基础。内部环境具体包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实务、权责分配。 2.目标设定。在管理层辨别影响其目标实现的潜在事项之前,必须有目标。企业风险管理要求管理层设定目标,选择的目标需要能够支持组织的使命并与组织使命相一致,并与其风险偏好相一致。 3.事项识别。即识别那些影响组织目标实现的内外部事项,并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。 4.风险评估。必须对风险加以分析,考虑其发生的可能性以及影响,并作为确定这些风险应如何加以管理的基础。应当对固有风险和残存风险加以评估。 5.风险应对。管理层应在不同的风险应对(包括回避、接受、降低、分担风险)中做出选择,从而采取一系列与组织的风险容忍度和风险偏好相一致的行动。 6.控制活动。应建立相关的政策和程序,以确保风险应对策略得到有效的执行。控制活动通常包括两个要素:一是确定应该做什么的政策,二是实现政策的程序。 7.信息与沟通。应当按照特定的格式和时间框架来识别、捕捉相关信息并加以传递沟通,从而使人们可以履行其职责。有效的沟通存在于较广泛的意义上,包括向下、向上以及平行相互沟通。 8.监控。整个企业风险管理都应当加以监控并根据需要作出调整。监督可以通过持续性的管理活动、单独评价或者二者同时来实现。 从以上COSO风险管理整合框架内容和要求上来看,对社会保险经办机构构建风险管理体系有如下启示: 1.要将风险管理与内部控制联系在一起。风险管理涵盖了内部控制,将之作为一个子系统,从时间先后和内容上来看,风险管理比内部控制更广泛,是对内部控制的拓展和延伸。内部控制的动力来自对风险的认识和管理,对于单位的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。同时,维持充分的内控系统也是许多法律法规的合规要求。因此,社会保险经办机构应当建立并维持有效的内部控制系统以实现风险管理。 2.风险管理应当融入到日常经办活动中。风险管理针对的是经办活动中对目标实现产生影响的风险事项,因此,风险管理必须与经办活动紧密地结合在一起,要涵盖组织机构、登记征缴、待遇核定、基金核算和信息技术等环节,在经办活动中处处体现风险管理的理念与做法,这不仅有助于及时识别社会保险经办机构所面临的风险事项,也有助于降低风险管理成本、提高风险管理效率。 3.重视个人的作用。COSO框架强调每个人在企业风险管理中的作用,明确指出:在企业中,不仅仅是董事会或者风险管理官员,其他人员,如内部审计师、财务官员以及组织中的每一个人都对企业风险管理负有一定的责任,都能够对其过程施加一定的影响,因而所有员工的职能与责任都应该被很好地界定和沟通。因此,社会保险经办机构要建立多层级风险责任机制,机构负责人对风险管理的整体有效性负有领导责任,各部门负责人对本部门风险管理的有效性承担责任,其他人员主动识别、报告和控制自身经办行为的风险,并对自身经办风险行为承担责任。这有利于督促经办机构的所有职工重视风险管理问题,把维护及改善经办机构的风险管控当作自己的事,而不是站在与领导层对立的角度,被动地执行各自的任务。 4.构建畅通的信息与沟通渠道。信息和沟通对于良好的风险管理相当重要,职工要了解风险管理措施,并有顺畅的向上沟通风险管理的渠道,领导层要及时向职工了解经办机构面临的重大风险及其管理情况。在大多数情况下,一个组织中的正常报告途径就是恰当的沟通渠道。但是,在一些情况下,如果正常的渠道不起作用,就需要单独的沟通途径来充当自动预防故障机制,如设立意见箱、网络投诉、网络互动等,给职工提供直接向领导层沟通的渠道,这样,信息的向上流动才不会被闭塞。 5.对风险管理过程进行监控。风险管理是一个持续的、动态的过程,社保经办机构的内、外部环境在不断地变化,这决定了原先的控制未必有效,因此,必须对风险管理过程进行监控,从而找出其缺陷和不足并及时采取补救措施。监控可以通过持续的活动或者专门评价两种方式进行。持续监控发生在管理活动的正常进程中,包括关键风险指标的差异分析、新出现的风险或原有风险的重大变化,以及应对非预期的突发事件等。专门评价的范围和频率主要取决于管理风险过程中的相关控制的重要性,程度较高的风险事项往往会被经常评价。 6.正确把握风险偏好。COSO框架在风险管理方面提出了一个重要概念——风险偏好,它是为了实现企业目标、企业和员工在承担风险的种类、大小等方面的基本态度。在实际工作中我们不难发现,不同的人风险偏好存在差异性,这就是为什么对同一风险事项,有的人高度重视,采取积极防控措施,而有的人却不以为然,疏于防范的原因,而这两种态度有可能会产生截然不同的后果。因此,社保经办机构在确定风险应对方案时,要合理分析、准确掌握各级管理人员、关键岗位工作人员的风险偏好,采取适当的控制措施,避免因个人风险偏好给经办管理带来重大损失。 (作者单位:广西壮族自治区社会保险事业局)