关于企业风险管理框架的若干思考(2)
2015-09-07 01:01
导读:7.信息和交流(Information and Communication)。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须
7.信息和交流(Information and Communication)。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的时时报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。通常存在自上而下式、平行式和自下而上式三种有效的交流形式。自上而下式是管理当局向员工传递风险信息;平行式是部门之间的信息交流和传递;自下而上式是一线员工向管理层汇报风险信息。员工的风险信息交流方面的意识是风险管理环境的重要组成部分,应鼓励员工就其意识到的重要风险与管理层进行交流,管理当局应当重视员工的意见。
8.监督(Monitor)。与内部控制一样,企业应通过持续的监督和独立的评价活动,监督企业风险管理的有效性。持续监督以日常经营中发生的事件和交易为对象,包括管理当局和专门的监督人员的活动。独立评价一般以定期检查计划为基础,或者以日常监督中发现的意外为起点,由于在独立调查、风险评估和报告方面具备能力、技巧和经验,内部审计师是提供独立评价的合适人选。
二、企业风险管理与内部控制的融合
自1992年美国COSO委员会提出《内部控制框架》报告(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1992年的研究成果——《内部控制框架》报告的基础上,结合《SOX法案》在报告方面的要求,进行扩展研究得到的。通过比较,我们可以发现,企业风险管理的定义采用了1992年内部控制框架定义的模式,认为企业风险管理与内部控制同样是一个程序,它不是静态的,而是处于不断的调整和变化之中,以适应组织环
