非盈利企业风险管理模式：

1、国外审计动态第 5 期（总第228期）审计署审计科研所 2008年3月25日按语：对于非盈利企业来说，风险管理模式的选择非常重要，美国里士满联邦储备银行建立了一套适合自己的风险管理模式，包括建立条件、方式、数据收集、评估、执行障碍等。我们对其进行了编译，以供大家参考。非盈利企业风险管理模式：里士满（Richmond）联邦储备银行的企业风险管理在2003年，联邦储备系统开始尽力执行企业风险管理（ERM）。同时，联邦储备系统建立了一种通用的风险代码，以方便储备银行间进行信息交流，每个储备银行都执行了最适合自己的ERM。里士满联邦储备银行执行的风险战略集中考虑所有的目标和目的。里士满联邦储备银行（F

2、RBR）选择并执行了这样一个程序，那就是要从职能领域（商业单位或部门）的角度建立起一个总的轮廓。这与其他的方式形成对照，在他们那里一个机构风险管理的内容仅仅由上层管理者决定，如美国谷物栽培有限责任公司和加拿大邮政公司。FRBR的方式抓住了每个职能领域的风险，然后根据职能和总目标去评价这些风险事件。FRBR相信，在非盈利机构和政府组织，根据组织的目标去评估风险对于ERM的成功执行是至关重要的。成功的措施：为什么不是私人部门模式？在私人部门，根据对价值（如净值，收入等）的威胁评估风险。结果，精确的成本会计和利润追踪系统用来监控公司价值方面的内容。公共部门也应根据目标运行。然而，他们运行通常的是依据

3、非财务目标（见图表1）。因此，公共组织部门所采用的财务度量工具通常不如盈利企业所使用的那么精确。虽然公共组织实体有动机去节约成本，但是，它通常不是该组织最终成功或失败的度量标准。因此，一个公共部门的ERM方式与盈利部门的风险管理方式应该是不相同的，因为成功的动机和措施是不同的。所以，私人部门模式通常不能直接应用在于公共部门。图表1：动机和行为盈利部门政府非盈利部门盈利目标要求/命令目标成本/利润成本/完成效率集中效果集中寻求风险规避风险风险价值风险目标/目的这些动机的不同，诸如图表1所列，不排除COSO（反欺诈财务报告委员会发起组织委员会） 的ERM框架在两种类型组织中的普遍采用。实际上，公共

4、和私人部门能够并且应该应用COSO 的ERM工作框架。然而，不同的仅仅是执行这一方面，集中反映在对风险的度量方面，而它又起源于不同的动机和行为。因此，对非盈利组织的风险度量更多是建立在判断的基础上，很少依据客观（财务）的度量。相应，FRBR的度量构成集中在质量而不是财务方法。FRBR相信，在任何组织中，一个具有战略思想的企业风险管理的成功实施应该包括三个特点：第一，必须对实体总体的使命、目标和目的有一个清晰简明的断定。第二，风险必须根据达到组织目标注释：1据1980年货币控制行动的要求，联邦储备系统寻求取得足够的收入以弥补向金融机构提供特定服务的成本。例如，成本恢复要求核对过程、自动票据交换所

5、、资金转账。尽管有一些集中在收入，但是那些联邦储备商业线没有寻求利润最大化，而是用这样的方式弥补成本即：为了和私人组织竞争提供一定水平的活动领域。2我们考虑，公共部门包括政府和非盈利组织。我们排除的组织像非盈利医院，因为它确实有相应的行为如利润作为收入。3作者不是建议公共部门公司不应该（或当前不应该）为了成本利润对比和效率而努力，但仅仅是那些主要动机是不同的。4。 5定期目标不是为了对评估过的战略计划给出具体的等级。在这里，定期目标可能意味着目标、管理指示、命令，以及在严格期限里的目标。6涉及促进评估的是需要ERM员工引领职能评估的讨论。这意味着ERM员工鼓励讨论、加强

6、讨论没有完成的思路，并且在评估讨论之间提供清晰的定义。7. 数据收集显示并不是一个正确规范的电子数据表，它承认能够抓住所讨论风险的关键要素。在风险讨论期间，一个风险分析家记录了（在其他细节之间）风险的措辞，根据可能性、影响和趋势从固有和剩余前景的角度表示风险评估。8. 固有的、缓解的和剩余的水平都是单独挑选的没有计算。然而，建立模板是一个“内容核实”的计算，那就是说，一个并不会从固有水平降低到剩余水平的风险，但是有令人满意的缓解，这将导致“内容核实”计算表明还有更深层次的问题。9. 例如，如果固有的可能性是可能的，并且剩余的可能性也是可能的，两个都在变化。如果固有影响是严重的，但剩余影响是轻微

7、的，就只有一个在变化。在这种情况下，加权趋势的三分之二将被应用于可能，加权趋势的三分之一将应用于影响。10Borda方法学是一种分类（排列）数据的方法，它以在种类间确定等级为基础，在许多关系中若有一条暗线时特别有用，比如在影响分类中许多风险被分为适度。给不同的种类分配偏好，Borda方法学进行相应的排序。特别有趣的是Borda能在几个分类基础上同时排序。Borda方法学在这方面能使风险排序以可能性、影响，以及趋势的分类为基础，没有根据风险复合价值强制创造一个排序（可能性×影响×趋势）的。MITRE公司也用Borda的这种方法：/work/sepo/

8、toolkits/risk/ToolsTechniquesfiles/UserGuide220.pdf.资料来源：Journal of government financial managementspring 2007 ud.56,No.1编译：审计署审计科研所 王彪华校对：中国审计学会秘书处 郭彤的影响来评定。最后，对组织目标的每个风险根据它所造成的威胁进行排序。方式：评估程序简易化：FRBR采用简易化的评估模式。在这个过程中，两个风险分析师的最简易办法是面临所评估领域的领导能力。一个分析师的任务是引导讨论，另外一个分析师负责记录在数据收集模板上的信息。风险分析师是全体计划职责的一部分，它

9、和ERM一样负责战略和财务计划支持。使用简易方式可以获得三个非常重要的好处。首先，由于ERM完成了模板，职能领域的员工就可能集中讨论而不是模板格式。第二，风险分析师担当了咨询专家，能够通过评估指导参与者。假如没有这个指导，参与者可能曲解那些对于他们看起来明显的和不相关的事实，然而，从公司远景来看，这些可能是相当重要的或者关系到组织的其它领域。第三，风险分析师给公司提供观点。由于ERM分析师参与了所有的评估，他们了解所有的信息，能够对全部职能评估风险。也就是说，当单个作用不能发挥时，ERM给公司提建议。在FRBR推广ERM的经验中，理想的风险分析师对FRBR的运行有全面的知识，他像商业分析师一样

10、被人接受和尊重，并和各管理阶层保持密切的工作联系。风险分析师也有责任对组织提供战略和财务计划支持，那将增强他们的能力以对企业提出真实的观点或风险。虽然一些风险分析师拥有证书（例如CAP 、CIA 、CFA），但是，FRBR的运用对分析师的商业知识、简易技巧、管理关系和分析能力赋予了更多的价值。评估：在最初的发起会议上，ERM提供给评定部门ERM总的看法、相关事项、以及评估程序。在第二次会议上，职能使命、目标和高水平的工作流程被提到。在第二和第三次会议上，对那些可能影响作用能力以实现其目标的事件给予区别和评估。最后，对所有的风险给予区别。因为在作用的目标上有直接的影响，或者影响其作用能力去完成其

11、核心（使命）任务。每个风险事件也根据它对公司目标的影响而进行评估。最初的功能评估是通过银行进行的，每九个月是一个周期，在这段时间，每四到六个小时对每项职能进行排序。随后就是有代表性地对每一项职能进行一到两小时。作用领域表明：他们从这个过程中获得的价值超过了相关的时间和资源成本。支持上述的一个证据，是在该领域的高端项目的计划和实施阶段，许多职能已经要求ERM进行项目层面的风险评估的跟踪评估。数据收集：抓住每个风险的以下四个主要因素：固定标准、趋势、缓解和剩余水平。除了趋势以外，其他专业术语与COSO 的ERM工作框架是一致的。固有风险是在缺乏行动管理时对职能的风险。趋势是一个向前看的度量标准，其

12、目的是在计划范围内（这个过程有12至18个月）把握风险的方向。缓解就是管理层将风险降低到可以接受的水平所采取的措施，被定义为管理者的风险容忍度。剩余风险是指对一特定风险实施了风险应对战略后仍然存在的风险。一旦确定后，这类风险就要根据会议参与者的判断给予等级，并包含所有的四个要素。固有和剩余风险都包含两个因素：可能性和影响。可能性就是一件事情即将发生的概率。影响就是如果事件发生所造成的损害。可能性和效果被定为五级（见图2和3）。趋势被定为三级（增加的，稳定的和下降的），相对于固有和剩余的风险，认趋势可以认为是常量。当前缓解策略可以察觉到的效果被定为四级（最小限度，偏袒，满意和非常强硬）。虽然计划

13、的或将来的缓解可以进行讨论，但是缓解的效果仅仅根据当前的情况给予评价。图表2：可能性范围可能性等级定义1.不可能的如果风险发生，将是令人震惊的2可能的不可能的，但是如果发生并不惊奇35050难以定夺的事4很可能的可能的，但是如果不发生不惊奇5接近必然的如果不发生将令人震惊图表3：影响范围影响等级定义1可以忽略的：事件如果发生了，将导致接近零预算变化，对你的消费者、战略目标、或者项目时间表产生细微的影响，并且从审计师那里不会得到负面评价。媒体是不可能知道的。2次要的：如果事件发生了，将导致相当小的预算变化，对你的消费者或项目时间表产生小的影响，并且从审计师那里不可能肯定就能得到一个否定的意见。战

14、略目标将仍然适合。媒体覆盖从不可能到可能。3中等的：如果事件发生了，将导致显而易见的预算变化（导致一些资源的转移），你的消费者将有一些消极的反馈，项目时间表将有些改变或推迟，并且审计师可能出具否定的意见。战略目标将仍能实现，但可能是危险的。媒体覆盖可能达到50/50。4严重的：如果事件发生了，将导致重大的预算变化（要求CFO正式批准非预算资金），你的一些消费者有消极的反馈，项目时间表有一些重大的改变或推迟，审计师很可能出具否定的意见。战略目标是危险的。媒体覆盖可能接近必然。5危急的：如果事件发生了，将导致重大的预算变化（要求董事会正式批准非预算资金），你的大部分消费者有消极的反馈，项目被取消，

15、审计师出具明显的否定意见。战略目标将不能实现。媒体覆盖接近必然并广泛传播。对银行的声誉有很大的负面影响，并且能导致失去主要商业链。在数据收集模板中，三个特定的数据要素集中了对公司风险的看法，每个职能风险也根据它对公司目标的影响、对公司的残留影响和“总风险”进行评价。为了把一个职能风险确定为公司目标风险，必须有达到那个目标直接的或有害的影响。公司的影响是如果风险发生对公司目标残余的影响，或者如果不尽力去达到目标而对使命所产生的影响。由于职能评估完成了，主题出现在职能风险里。例如，一些职能可能已经确定作为一个风险没有能力去吸引和保留有资质的职员。很明显，这将可能影响执行其职责的职能能力。这个主题将

16、被确定为总风险，并且仅存在于这样的事实中：相对于职责而言它发生了很多次。每个风险也和它所存在的一个总风险相联系。职能报告一旦所有确认的风险经过讨论，并且已经选择了可能性、影响和缓解水平，为了管理评价，职能显示报告就产生了。这个职能显示报告包括三方面信息：合成风险曲线图、剩余风险密度图和十大风险。在它们的领域这个显示为职能管理提供了最高的剩余风险行动信息，也就是说，实现其目标的最高风险。合成风险曲线图（图表4）展示了平均固有的风险水平和平均剩余风险水平，通过暗绿色的条状展示了二者的不同。这个图表风险水平仅仅是相关水平的乘积。例如，一个固有的大概可能性（4）乘以一个固有适度的影响（3）乘以一个对于

17、渐增价值的加权趋势值（1.5），我们得到一个固有的风险价值18（4×3×1.5）。加权趋势0.75是渐减的，1是稳定的，1.5是渐增的。大量渐增加权是尽量使正出现的风险更显著。在Y轴上小的、中间的和大的刻度是组织细节。为了说明这个图表，每个种类代表原比例的1/3。然而，并不希望刻度间隔是相等的，被调整到与组织细节的公差相一致。图表4:合 成 风 险 曲 线 图大中等大目标4 目标5 目标1目标2目标3中等中小小剩余风险密度图（见图表5）表示出对于一个目标平均固有的（大的菱形）和剩余（大点）调整趋势的可能性和影响，以及对于该目标十大剩余风险的位置。趋势调整的可能性和影响是在他

18、们两者之间已经分配趋势权重的价值。分配是这样确定的：在固有的和剩余的水平之间，为了可能性和影响，各自多少单元发生了变化。所有与这个目标相联系的剩余风险都可能列入表中。然而，仅仅只有前十个展示在图表5中。三个区域潜在之上的缓解、公差和潜在之下的缓解是贴近公司实际的并以风险偏好为基础。一个进入潜在之下缓解区域的风险可能被管理者所接受，并且进一步的行动可能不会获得批准。一个进入潜在之上的缓解区域的风险与他们所需消耗相比，可能需要更多的资源。剩余风险密度图的一个最终方面是这个曲线图背景的底纹。这个底纹是由风险的集中度所决定的，在那里是风险侧面的一个区域。例如，暗绿色表明有大量的风险（剩余）集中在图表的

19、那个领域。黄色的表明仅仅有少量的风险存在那个领域，以及棕褐色表明在图表的那个区域没有风险。图表5：剩余风险密度表 · 潜 在过分缓解 公差可能性 影 响包括在显示报告的最后一部分信息是职能最高的十个剩余风险的排列。因为在评估中仅仅有一些不连续的等级选择（例如，五个影响和五个可能性名称），一个分段的方法用以在风险之间进行区分是必要的。用一个可接受的分段方法（Borda,1781）主题词：美国 企业 风险管理 模式报：署领导。送：各省、自治区、直辖市审计厅（局）及科研所，南京审计学院，署机关各单位，各特派员办事处，各派出审计局。发：本所所领导、各处，存档。 共印180份编辑：罗伟芳 审核

20、：崔振龙 签发：刘英 执行这个排序。排序所用的标准是倾向调整可能性、倾向调整影响和区域（因为潜在之下的缓解区域是最高核心）。列在前十位给出了管理行动的信息，就是在哪里他们可能集中行动以降低剩余风险。这个工作框架的弹性是报告不需要顺着目标。通过任何所需要的分类，报告很容易调整到可以去汇报。例如，报告可以从负责的和执行的官员那里产生，而不是目标。公司观点与职能水平显示报告相似，一个公司的显示报告可以在以下两种方式来提高：首先，用公司的剩余影响取代职能剩余影响，报告公司的目标而不是职能目标。然而，在FRBR，当和高级管理人员或公司的风险委员讨论风险时，官方发现一系列选择性的报告是更有用的。公司概况

21、（如图表6）展示与银行平均风险（红线）和风险容忍范围（黄色阴影区域）相对的每个目标的平均风险水平（暗绿色的条）和最大的风险披露（淡绿色条）。银行平均的是所有风险（公司剩余）和前面讨论过的影响可能曲线图区域相对应的风险容忍范围的算术平均值。通过这个报告，高级管理人员在FRBR的承受范围和平均风险的情况下，根据最多的风险事件和最高风险事件，能够很快确定目标。在这个报告里，职能或总体风险可能很容易被目标取代。根据平均风险升序进行分类公司公差范围银行平均风险范围以职能评估完成时间为基础 目标#3目标#1目标#2目标#5目标#4 平均 最强低高中等高中等中低内部财务控制和信息安全综合：公司面临着很多其他

22、的风险评估准则。这些包括Sarbanes-Oxley(404)、 COSO 、改进后的COSO和信息技术安全评估。现在建立得很好，是因为要求与这些准则相匹配的资源并不是没有意义。尽管不直接要求联邦储备完全遵守这些准则的所有方面，但是联邦储备系统已经采用了“案例主导”模式。考虑到资源问题和分报告的可能性，我们运用的ERM包括其它风险的结果和在ERM报告中的控制评估原则。这要求一个单独的报告，实际上，那就是企业范围内的。尤其是，与内部财务控制、信息技术应用控制、程序控制相关的风险包括在风险模板中，并且合并在公司的概况里。这些其它风险程序用相似的代码，并且翻译相对简单易懂。其他每一个原则各自的观点相

23、对狭窄，它更多是以控制为导向而不是策略。因此，在缺乏包含在ERM模板中的程序时，每一个评价都单独做出评价。合并这个没有副本的报告对于接受FRBR的这个项目是至关重要的。所有权：每次会议后，风险模板要送到职能领域征求意见。在程序的结尾，在风险报告里所有的信息是职能领域管理（而不是ERM员工）判断的反映。所有的ERM文件的获得都是通过职能的评估。这不应该被解释成为存在风险的职能领域，而是职能领域拥有它所面对风险的评估。公司的级别决定风险的拥有者。例如，即使风险出现在整个银行的职能领域，在雇佣和保留雇员上面临的困难将仍存在人力资源职能。如果没有得到高级执行官提前同意，信息不会包括在公司的报告中。两个

24、主要的好处就出现了。首先，可能是一个关键的成功因素，ERM并不想这些活动服从于评估职能。在FRBR，ERM是一个战略性的活动，不是一个服从活动。这个中心话题需要举行一个公开的论坛来选择风险，在那里重视风险的合作行为得到鼓励。职能领域必须得到授权使其能够公开而不报告。这个策略关注的一个自然结果是职能拥有他们自己的信息。再次，职能没有自己的风险，仅仅是风险的评估。时常，公司风险在很多的组织领域是明显的。同样，负责公司风险的执行委员会在公司层面分配风险所有权。第二，由于高级执行者必须同意结论，所以他们要同意：报告是他们的职能观点和在他们的领域公司风险的反映。这样做仅仅是在公司层面的风险讨论中避免有人

25、惊奇。一个普遍的问题是，为什么内部审计表面上从风险评估信息中排除了。答案存在于ERM执行的属性中。许多方式大体相同，那就是审计并不评价发展战略计划；内部审计并不把自己包括在职能领域的发展风险评估中。然而，最终的报告按惯例由职能领域提供给内部审计。这是明智的，因为职能风险评估在执行其职责时对内部审计能够并且定期产生利益空间。此外，审计包括在ERM职能之外；总审计师在FRBR的风险评估委员中任职。执行障碍基于FRBR以往的经验，一个ERM项目的成功执行会遇到很多障碍：坚持以战略为中心、雇员参与、对报告的担忧、以及缺乏与战略和财务计划的合作。战略重心：当风险评估过程深入开展到商业职能或程序的细节时，

26、战略中心是危机的。当内部审计或者一个信息安全政策不相符合的细节是评估的重心时，这个趋势是更普遍的。两个都是风险，但是没有一个是对组织战略成功有直接的（并不是仅仅）威胁。ERM评估关注的必须是对组织成功标准的战略威胁，比如无能改进、保留或吸引合格的人才。当所遇到的评估被训练有素的风险分析师很容易执行时，他具有评估该领域广博的知识，策略重心的损失可能被避免。雇员参与：雇员参与绝对是ERM执行成功的基础。雇员是风险信息的发起者，在ERM过程中必须接受教育并给他们提供价值观。适当水平的参与是至关重要的。以下两类人的参与将获得一个提供情报方面的评估，那就是在他们领域内对商业过程知识渊博的人和那些懂得ERM价值的人。在这个组织中对最高水平的认可将有助于为教育项目和员工参与铺平路。如果没有高层组织的认可，官员和经理将不会把有效的时间和资源贡献给ERM程序，也将不可能成功。真正的问题是时序安排。简单说，当高层管理者确