《COSO风险管理框架gtt.docx》由会员分享,可在线阅读,更多相关《COSO风险管理框架gtt.docx(85页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、COSO风险管理框架中文版概览一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。COSO 委员会会已经认认识到对对企业风风险管理理概念性性指南的的需要,因因而该委委员会发发起了一一个建立立一个概概念性的的、适当当的风险险管理框框架的计计划,旨旨在支持持企业建建立或评评判企业业风险管管理过程程的项目目提供完完整的原原则、能能用的术术语
2、和实实务操作作指南。另另一相关关的目标标是使构构建的这这个框架架可以作作为管理理者、董董事、主主管人员员、学者者和其他他相关人人员更好好地理解解企业风风险管理理及其优优点和局局限性提提供一个个统一的的基础,以以便在风风险管理理问题方方面进行行有效地地交流。本概览列出出了企业业风险管管理框架架的关键键内容,包包括企业业风险管管理的定定义、内内容和基基本原则则,风险险管理的的优点、局局限性以以及各相相关方的的地位和和职责。本本概览还还强调企企业风险险管理的的相关性性和其与与COSSO 内内部控制制报告的的关系。如如果想更更加深入入地了解解有关知知识,请请看企业业风险管管理框架架的全文文。(一)企业
3、业风险管管理的相相关性企业风险管管理的基基本前提提是每一一个企业业,无论论是盈利利组织、非非盈利组组织,还还是政府府机构,其其存在的的目的都都是为其其利益相相关方带带来价值值。所有有的企业业都要面面对不确确定性。对对企业管管理者而而言,所所面临的的挑战是是在追求求企业利利益相关关方价值值增长的的同时,决决定企业业准备接接受的不不确定性性的程度度。不确确定性既既代表风风险,也也代表机机遇,既既存在使使企业增增值的可可能,也也存在使使企业减减值的风风险。风风险管理理框架就就是为管管理者提提供一个个框架,使使其能够够有效处处理不确确定性及及相应的的风险和和机遇,进进而提高高企业创创造价值值的能力力。
4、1不确定定性企业经营的的环境中中有许多多因素都都会给企企业带来来不确定定性,如如全球化化、技术术、法规规、企业业重构、多多变的市市场以及及竞争等等。不确确定性来来源于无无法明确确地决定定潜在事事项将要要发生的的可能性性及其相相应结果果。2价值从战略的制制定到企企业的日日常经营营,管理理者的决决策会创创造、保保持或减减少企业业的价值值。决策策的本质质就是确确认风险险和机遇遇,它要要求企业业的管理理1应在考考虑企业业内、外外部环境境的因素素的基础础上,对对企业的的稀缺资资源进行行配置,并并且根据据环境的的不断变变化来调调整企业业的活动动。当企业的利利益相关关方取得得其相应应价值的的可确认认收益时时
5、,企业业的价值值也得到到实现。对对于公司司而言,当当股东承承认由于于股价上上扬所带带来的价价值时,他他们也就就承认了了企业的的价值。对对于政府府机构,当当该机构构以一个个可接受受的成本本所提供供的服务务的收益益得到确确认时,机机构的价价值就得得以实现现。对于于非盈利利组织的的利益相相关方而而言,当当他们确确认组织织所提供供的社会会福利的的价值时时,他们们也就承承认了该该组织的的价值。企企业风险险管理使使管理者者能够创创造持久久的价值值并能够够将创造造价值的的信息传传递给利利益相关关方。3企业风风险管理理的优点点所有企业都都是在有有风险的的环境下下经营,而而不是企企业风险险管理使使企业面面临这样
6、样的环境境。企业业风险管管理是使使管理者者能够在在充满风风险的环环境中更更加有效效地经营营。企业风险管管理使企企业的管管理者能能够:(1)将风风险偏好好和企业业的战略略结合在在一起。从广义来讲讲,风险险偏好是是一个公公司或企企业在追追求其目目标的过过程中愿愿意接受受的风险险的程度度。管理理者在评评估企业业的战略略方案时时首先要要考虑企企业的风风险偏好好,其后后,在制制定与企企业战略略相对应应的目标标和建立立一定的的机制管管理相应应的风险险时也应应考虑企企业的风风险偏好好。(2)将企企业成长长、风险险和收益益联系起起来经济主体在在企业价价值保值值、增值值的过程程中也要要接受相相应的风风险,同同时
7、预期期补偿风风险的相相应收益益。企业业风险管管理提高高了企业业确认和和评估风风险的能能力,进进而使企企业能够够确定相相对于企企业成长长性和收收益目标标而言的的风险的的可接受受水平。(3)增加加风险反反应决策策企业风险管管理提供供了确认认和选择择不同的的风险反反应方案案的严格格标准。企企业的风风险反应应方案包包括风险险规避、风风险降低低、风险险共担和和风险接接受。企企业风险险管理提提供了进进行相关关决策的的方法和和技术。(4)使企企业的经经营意外外和损失失最小化化经济主体可可能提高高确认潜潜在事项项、评估估风险和和明确反反应方案案,最后后减少经经营意外外的出现现次数以以及减少少相应的的成本或或损
8、失。(5)确认认和管理理企业的的总体风风险每一个经济济主体都都面临着着许多风风险,而而不同的的风险会会影响企企业经营营的各个个方面。管管理不仅仅需要对对每一种种风险进进行管理理,还需需要了解解风险对对企业总总体的影影响。(6)针对对多重风风险提供供完整的的反应方方案企业的经营营过程存存在许多多内在的的风险,企企业风险险管理就就是为管管理风险险提供一一整套解解决方案案。(7)抓住住机遇管理不仅要要考虑风风险,还还需要考考虑潜在在的事项项对企业业的影响响。对潜潜在事项项有一个个完整的的了解可可以使管管理对每每一潜在在事项表表明何种种机遇有有一个了了解。(8)合理理分配资资金关于企业总总体风险险的更
9、为为明确的的信息可可以使企企业的管管理者能能够更加加有效地地评估企企业总体体的资金金需要,改改进企业业的资金金配置。企企业风险险管理本本身并不不是目的的,它仅仅仅是实实现目的的的一种种方式。它它不能、也也无法在在一个经经济主体体内单独独运行,而而是企业业管理过过程的一一个推动动器。企企业风险险管理向向董事会会提供最最重要的的风险的的信息以以及这些些风险应应如何管管理的建建议,进进而与公公司治理理相联系系。而且且,风险险管理与与企业的的绩效管管理也有有关,风风险管理理通过提提供风险险调节的的措施和和内部控控制来帮帮助企业业的绩效效管理。内内部控制制是企业业风险管管理的一一部分。风风险管理理帮助一
10、一个经济济主体实实现其经经营和利利润目标标、防止止资源的的浪费。它它还有助助于确保保企业报报告的有有效性。此此外,企企业风险险管理还还有助于于保证企企业遵守守有关的的法律、法法规,避避免其声声誉受损损并防止止产生相相应的不不良后果果。总之之,企业业风险管管理可以以帮助一一个经济济主体实实现其目目标、及及在实现现目标的的过程中中避开陷陷井和防防止意外外的发生生。(二)企业业风险管管理的定定义企业风险管管理是企企业的董董事会、管管理层和和其他员员工共同同参与的的一个过过程,应应用于企企业的战战略制定定和企业业的各个个部门和和各项经经营活动动,用于于确认可可能影响响企业的的潜在事事项并在在其风险险偏
11、好范范围内管管理风险险,对企企业目标标的实现现提供合合理的保保证。这一定义反反映了一一些基本本概念:1企业的的风险管管理是一一个过程程其其本身并并不是一一个目的的,而是是实现目目的的一一种方式式。2风险管管理受人人的影响响它它不只是是企业的的政策、调调查和表表格,还还涉及一一个企业业各个层层次员工工。3风险管管理也适适用于企企业战略略制定过过程。4企业风风险管理理应在整整个企业业范围内内应用,在在每一个个经营层层面和每每一个单单位内应应用,并并应以一一种企业业总体的的风险组组合的观观点来看看待。5风险管管理的设设计应有有助于确确认会对对企业造造成潜在在影响的的事项并并确保在在企业风风险偏好好的
12、范围围内管理理企业的的风险。6风险管管理仅为为企业的的管理者者和董事事会提供供合理的的保证。7企业风风险管理理的目标标是帮助助企业一一类或几几类单独独并相互互重叠的的目标的的实现。从广义上定定义这一一概念主主要有几几个原因因:这一一定义应应包括公公司和其其他企业业管理风风险的几几个基本本概念,并并可以应应用于各各种组织织、行业业和部门门。它直直接针对对企业目目标的实实现。此此外,这这一定义义应为定定义企业业风险管管理的有有效性提提供一个个基础。上上述基本本概念详详细论述述如下:1一个过过程企业的风险险管理并并不是一一个事项项或环境境,而是是渗透于于企业各各项活动动中一系系列行动动。这些些行动普
13、普遍存在在于管理理者对企企业的日日常管理理中,是是企业日日常管理理所固有有的。一一些人认认为,企企业风险险管理对对企业的的各项活活动而言言是多余余的,是是企业必必须承担担的一个个负担,但但COSSO 的的讨论稿稿则并不不这样认认为。但但有效的的企业风风险管理理仍旧需需要企业业各管理理层不懈懈的努力力。例如如,风险险评估要要求企业业不断地地努力来来建立必必要的评评估模型型并进行行必要的的分析和和计算。但但是,这这些以及及其他的的企业风风险管理理机制与与企业的的经营活活动是并并存的,是是由于最最基本的的商业原原因而存存在的。当当企业风风险管理理机制成成为企业业的基础础设施并并真正成成为企业业的一部
14、部分时,企企业的风风险管理理会最有有效。通通过建立立风险管管理,企企业可以以直接提提高自身身的战略略执行能能力,并并提高企企业预期期和任务务的实现现能力。建立风险管管理对企企业的成成本构成成同样有有重要的的影响,特特别是在在目前大大多数企企业都面面临高度度竞争的的市场环环境的情情况下。在在现有工工序的基基础上增增加新的的工序会会增加成成本,而而通过关关注现有有的经营营过程以以及他们们对实现现有效风风险管理理的贡献献,并将将风险管管理整合合到企业业的基本本经营活活动之中中,一个个企业就就能够避避免不必必要的工工序和成成本。并并且,将将风险管管理整合合到企业业日常的的经营过过程中有有助于管管理者抓
15、抓住企业业发展的的新机遇遇。2受人的的影响企业的风险险管理会会受董事事会、管管理层和和其他人人员的影影响,风风险管理理是通过过组织内内的人来来完成的的,是通通过人的的所做和和所说实实现的。是是企业内内的人制制定企业业的任务务/预期,战战略和目目标,并并实施企企业的风风险管理理机制。同同样,企企业风险险管理也也影响人人的行动动。企业业风险管管理要认认识到人人对事物物的理解解、沟通通或执行行并不总总是一致致的。企企业中的的每个人人都有不不同的背背景和技技术能力力,都有有不同的的需求和和优势。这这些因素素都会影影响企业业的风险险管理,也也会受风风险管理理的影响响。每个个人的出出发点都都不同,这这会影
16、响响他们对对风险的的确认、评评估和反反应。企企业风险险管理就就是要提提供了一一个机制制,帮助助人们从从企业总总体目标标的角度度认识风风险。企企业的员员工必须须了解他他们自己己的职责责和权限限。因此此,除了了要明确确员工的的职责和和企业的的战略和和目标之之间的联联系之外外,还要要明确员员工的职职责和他他们履行行职责的的方式之之间的联联系。_一个个组织的的员工包包括董事事会成员员、管理理者和其其他人员员。尽管管企业的的董事主主要负责责监督,但但是他们们同时也也向管理理者提供供指导,核核准企业业的战略略、某些些活动和和政策。因因此,董董事会是是企业风风险管理理的重要要组成部部分之一一。3可应用用于企
17、业业战略的的制定一个企业要要确定其其预期或或任务,并并制定其其战略目目标。企企业的战战略目标标是企业业最高层层次的目目标,它它与企业业的预期期和任务务相联系系并支持持预期和和任务的的实现。一一个企业业为实现现其战略略目标而而制定战战略方案案,并将将战略方方案分解解成相应应的目标标,再将将目标层层层分解解到企业业的各业业务部门门、行政政部门和和生产线线。在制制定企业业的战略略方案时时,管理理者应考考虑与不不同的战战略方案案相关的的风险。4应用于于整个企企业为使企业的的风险管管理获得得成功,一一个企业业必须从从全局,从从企业总总体层面面上考虑虑企业的的活动。企企业的风风险管理理应考虑虑组织内内所有
18、层层面的活活动,从从企业总总体的活活动(如如战略计计划和资资源分配配)到各各业务部部门的活活动(如如市场部部、人力力资源部部),到到各业务务流程(如如生产过过程和新新客房信信用审核核)等等等。企业业风险管管理还可可用于特特定项目目和新的的行动计计划,尽尽管该项项目或计计划可能能在企业业的管理理流程或或组织流流程图中中尚无明明确的定定位。企企业风险险管理要要求企业业以风险险组合的的观点看看待风险险。这会会要求企企业内负负责各业业务部门门、行政政部门、生生产流程程或其他他活动的的管理者者对本部部门的风风险进行行评估。这这些评估估可以是是定量的的,也可可以是定定性的。企企业的高高级管理理者应以以一种
19、组组合的观观点看待待企业内内每个下下级层面面的风险险,以决决定企业业总的风风险组合合是否与与企业的的风险偏偏好相对对应。管管理者应应以总体体的组合合观来考考虑相关关风险。对对相关的的风险应应予确认认并采取取措施使使承担的的风险落落在企业业风险偏偏好的范范围内。对对企业内内部每个个单位的的风险而而言,可可能都落落在该部部门的风风险容忍忍度的范范围内,但但从总体体来看,合合并后的的风险可可能超过过了企业业总体的的风险偏偏好。企企业总的的风险偏偏好应通通过对特特定目标标确立相相应的风风险容忍忍度的方方式在企企业内部部向下贯贯彻。5风险偏偏好风险偏好是是指一个个企业在在追求价价值最大大化的同同时所愿愿
20、意接受受的风险险的数量量。企业业通常采采用定性性的方法法分析风风险偏好好,将风风险偏好好分为高高、中、低低三类;或者采采用定量量的方法法分析风风险偏好好,反映映出企业业的成长长性、收收益性和和风险目目标,并并在三个个目标之之间进行行平衡。风风险偏好好与企业业的战略略直接相相关。在在制定战战略时应应考虑企企业的风风险偏好好,并将将战略的的预期收收益与企企业的风风险偏好好联系起起来考虑虑。不同同的战略略会给企企业带来来不同的的风险,在在战略制制定时应应用风险险管理,其其目的是是帮助管管理者选选择与企企业的风风险偏好好相一致致的战略略。企业业的风险险偏好指指导企业业的资源源配置。管管理者在在各业务务
21、部门间间分配资资源时应应考虑企企业的风风险偏好好和各个个业务部部门为取取得预期期的收益益率所采采用的战战略。管管理者应应将企业业的风险险偏好与与企业的的组织结结构、人人员和业业务流程程联系起起来考虑虑,并应应建立对对风险有有效反应应和监督督的必要要的硬件件设施。风险容忍度度是与要要实现的的目标相相关的偏偏差的可可接受程程度。在在确定某某一特定定的风险险容忍度度时,管管理者应应考虑相相关目标标的相对对重要性性并将风风险容忍忍度与企企业的风风险偏好好联系在在一起。在在风险容容忍度的的范围之之内经营营更能够够保证企企业所承承受的风风险在其其风险偏偏好的范范围内。反反过来,就就能够对对企业目目标的实实
22、现提供供更高程程度的保保证。6提供合合理保证证设计合理、运运行有效效的风险险管理能能够向企企业的管管理者和和董事会会在企业业目标的的实现上上提供合合理的保保证。如如果企业业的风险险管理有有效,董董事会和和管理者者在以下下几个方方面得到到合理的的保证:了解企业业战略目目标实现现的程度度;了解企业业经营目目标实现现的程度度;_企业业报告的的可靠性性;相关的法法律和法法规遵守守的情况况。“合理保证证”反映映了“不不确定性性和风险险都是与与未来相相关,而而未来是是没有人人可以确确切地预预测的”这这一思想想。这种种局限性性的其他他原因包包括:人人们在进进行决策策时的判判断可能能出错;对风险险反应的的决策
23、和和所建立立的控制制需要考考虑成本本效益原原则;由由于人们们的简单单失误或或错误可可能导致致的企业业破产;可能由由于两个个或多个个人的串串通而绕绕过控制制;管理理者可能能忽视企企业的风风险管理理决策等等等。这这些限制制使得董董事会和和管理者者无法在在企业目目标实现现方面得得到绝对对保证。7目标的的实现有效的风险险管理应应该能够够为企业业目标的的实现提提供合理理的保证证,包括括报告的的可靠性性、合法法合规性性目标等等等。这这两类目目标的实实现都是是在企业业的控制制范围内内,其实实现依赖赖于相关关活动执执行的好好坏。但但是,战战略目标标和经营营目标的的实现并并不总是是在企业业的控制制范围内内。对于
24、于这两类类目标,企企业风险险管理只只能合理理保证管管理者和和董事会会从宏观观上及时时了解企企业目标标实现的的进度。(三)企业业风险管管理的组组成要素素根据管理者者经营的的方式划划分,企企业风险险管理包包括八个个相互关关联的组组成要素素,这八八个要素素渗透于于企业管管理的过过程之中中,包括括:1内部环环境企业的内部部环境是是其他所所有风险险管理要要素的基基础,为为其他要要素提供供规则和和结构。内内部环境境影响企企业战略略和目标标的制定定、业务务活动的的组织和和风险的的识别、评评估和执执行等等等。它还还影响企企业控制制活动的的设计和和执行、信信息和沟沟通系统统以及监监控活动动。内部部环境包包含很多
25、多内容,包包括企业业员工的的道德观观和胜任任能力、人人员的培培训、管管理者的的经营模模式、分分配权限限和职责责的方式式等。董董事会是是内部环环境的一一个重要要组成部部分,对对其他内内部环境境的组成成内容有有重要的的影响。而而企业的的管理者者也是内内部环境境的一部部分,其其职责是是建立企企业的风风险管理理理念、确确定企业业的风险险偏好,营营造企业业的风险险文化,并并将企业业的风险险管理和和相关的的行动计计划结合合起来。让让企业所所有员工工了解企企业的风风险管理理理念有有利于提提高雇员员确认和和有效管管理风险险的能力力。风险险管理理理念是企企业对风风险的信信念,是是企业选选择处理理其活动动和风险险
26、的方式式。它反反映了一一个企业业期望从从企业的的风险管管理获得得一定的的价值。这这一理念念还会影影响企业业风险管管理要素素的应用用方式。管管理者应应将其风风险管理理理念通通过政策策说明书书和其他他沟通方方式向企企业的员员工宣传传。更重重要的是是,管理理者不应应仅仅是是在纸面面上强调调风险管管理理念念,还应应在每天天的行动动中贯彻彻执行。风风险偏好好由企业业的管理理者设定定,董事事会复核核,是企企业制定定战略的的一个控控制指标标。通常常为了实实现某一一个预定定的增长长或收益益目标,企企业可以以制定许许多不同同的战略略,而每每一个战战略都具具有不同同的风险险。在战战略制定定过程中中,风险险管理有有
27、助于管管理者选选择与企企业的风风险偏好好相一致致的战略略方案。管管理者期期望将企企业的组组织结构构、人员员、生产产过程与与硬件设设施整合合在一起起,使得得在战略略的成功功执行的的同时将将风险控控制在风风险偏好好的范围围内。风风险文化化是企业业员工共共同的态态度、价价值观和和实务操操作程序序的组合合,表明明企业在在其日常常活动中中看待风风险的方方式。对对于许多多公司而而言,风风险文化化来自于于企业的的风险理理念和风风险偏好好。对那那些不能能明确界界定其风风险理念念的企业业,其风风险文化化的形成成可能是是随机的的,而导导致一个个企业内内存在明明显不同同的风险险文化,甚甚至在一一个业务务部门、行行政
28、部门门中都有有可能存存在明显显不同的的风险文文化。2目标制制定根据企业确确定的任任务或预预期,管管理者确确定企业业的战略略目标,选选择战略略方案,确确定相关关的子目目标并在在企内层层层分解解和落实实,各子子目标都都应遵循循企业的的战略方方案并与与战略方方案相联联系。在在能够确确定对目目标的实实现有潜潜在影响响的事项项之前,管管理者就就应确定定企业的的目标。而而企业风风险管理理就是提提供给管管理者一一个适当当的过程程,既能能够制定定企业的的目标,又又能够将将目标与与企业的的任务或或预期联联系在一一起,并并且这些些目标还还与企业业的风险险偏好相相一致。企企业的目目标可以以分为四四类:战略目目标 是
29、是企业的的高层次次目标,与与企业的的任务和和预期相相联系并并支持企企业的任任务和预预期的实实现。经营目标标 是指指企业经经营的效效率性和和效果性性,包括括经营业业绩目标标和盈利利能力目目标,由由于管理理者对企企业结构构和经营营的不同同选择,各各企业的的经营目目标也不不尽相同同。报告目标标 指企企业报告告的有效效性,包包括企业业内部和和外部的的报告,既既包括财财务信息息,也包包括非财财务信息息。合法性目目标 是是指企业业符合相相关的法法律和法法规。企企业目标标的这种种分类可可以使企企业的管管理者和和董事会会注意企企业风险险管理的的不同方方面。企企业的某某一个特特定目标标可能不不仅仅属属于某一一类
30、目标标。企业业的这些些目标既既相互区区别但又又相互重重叠,可可以明确确企业的的不同需需要,并并且可以以分派给给企业的的某一个个执行官官作为其其直接职职责。这这种分类类还可以以区分企企业不同同类别目目标的期期望之间间的区别别。某些些企业还还有另一一类目标标“资资源的安安全”,有有时也叫叫“资产产的安全全”。从从广义上上看,这这一目标标是防止止企业资资产或资资源的流流失,这这种流失失可以是是由于偷偷窃、浪浪费、经经营的无无效性,也也可以是是由于企企业商业业上简单单的错误误决策(如如以过低低的价格格出售产产品、没没有留住住企业的的关键员员工、没没有阻止止对本企企业专利利权的侵侵害行为为,或者者是出现
31、现未预期期的负债债等等)所所引起的的流失。对对某种报报告目的的而言,这这种广义义的资产产安全类类目标可可能是一一个狭义义的定义义,此时时的资产产安全概概念可以以仅仅指指预防或或及时发发现对企企业资产产的未经经授权的的购买、使使用或处处置。3事项识识别管理者意识识到了不不确定性性的存在在,即管管理者不不能确切切地知道道某一事事项是否否会发生生、何时时发生或或者如果果发生其其结果如如何。作作为事项项识别的的一部分分,管理理者应考考虑会影影响事项项发生的的各种企企业内外外部的因因素。外外部因素素包括经经济、商商业、自自然环境境、政治治、社会会和技术术因素等等,内部部因素反反映出管管理者所所做的选选择
32、,包包括企业业的基础础设施、人人员、生生产过程程和技术术等事项项。一个个企业事事项识别别的方法法可以包包含不同同的技术术及其与与相应的的工具的的组合。事事项识别别技术既既针对过过去,又又针对未未来。针针对过去去的事项项和趋势势的识别别技术主主要要考考虑类似似支付错错误的历历史、商商品价格格的变化化和浪费费时间的的突发事事件(LLostt-tiime acccideentss)等事事项,而而针对未未来风险险的技术术则主要要考虑不不断变化化的人口口统计资资料、新新市场和和竞争者者的行为为等事项项。将潜潜在的事事项进行行分类对对管理者者而言是是非常有有用的。通通过在企企业内各各水平层层面上对对事项进
33、进行汇总总、在营营运部门门内部对对事项进进行垂直直地汇总总,管理理者能够够对事项项之间的的相互关关系有一一个了解解,这些些信息也也可以作作为风险险评估的的基础。潜潜在的事事项可能能对企业业有正面面的影响响、也可可能有负负面的影影响或者者两种影影响同时时存在。对对企业有有潜在负负面影响响的事项项是企业业的风险险,要求求企业的的管理者者对其进进行评估估和建立立反应方方案。因因此,风风险的定定义就是是,某一一事项将将要发生生的可能能性及其其对企业业目标的的实现造造成负面面影响的的可能性性。对企企业有潜潜在正面面影响的的事项则则是企业业的机遇遇或者可可以弥补补风险对对企业的的负面影影响。机机遇可以以在
34、企业业战略或或目标制制定的过过程中加加以考虑虑,以制制定有关关行动抓抓住机遇遇。可能能弥补风风险对企企业负面面影响的的事项则则应在管管理者对对风险进进行评估估和反应应的阶段段予以考考虑。4风险评评估风险评估可可以使企企业了解解潜在事事项如何何影响企企业目标标的实现现。管理理者应从从两个方方面对风风险进行行评估风险险发生的的可能性性和影响响。风险险发生的的可能性性是指某某一特定定事项发发生的可可能性,影影响则是是指事项项的发生生将会带带来的影影响。对对风险发发生的可可能性和和影响的的估计经经常需要要使用从从过去的的可观察察事项得得到的数数据,这这比没有有任何数数据的、完完全的主主观估计计要客观观
35、得多。根根据企业业自己的的经验在在企业内内部产生生的数据据带有较较少的人人的主观观偏见,能能够得到到比外部部数据更更好的结结果。但但是,即即使是以以内部数数据作为为主要的的资料来来源,外外部数据据仍能用用作一个个检查标标准或者者改进分分析。当当使用过过去数据据对未来来进行预预测时使使用者必必须小心心,因为为影响过过去事项项的有关关因素可可能会随随着时间间的推移移而改变变。一个个企业风风险评估估的方法法通常是是定量方方法和定定性分析析技术的的组合。当当风险本本身无法法量化时时,或者者量化评评估所要要求充足足的可靠靠的数据据实际不不可获得得或者数数据获得得或分析析不符合合成本效效益原则则时,管管理
36、者通通常会采采用定性性的分析析技术。定定量的分分析技术术通常更更加精确确,一般般用于更更为复杂杂多变的的活动,作作为定性性分析的的补充。一一个企业业不需要要在每个个业务部部门都使使用同样样的评估估技术。相相反,对对评估技技术的选选择应反反映出对对精确性性的需要要和该业业务部门门的文化化。在任任何情况况下,各各业务部部门所使使用的评评估技术术应有利利于企业业在整个个企业的的范围内内对风险险的评估估。在衡衡量目标标的实现现程度时时,管理理者经常常使用业业绩计量量指标。当当考虑某某一风险险对实现现某一特特定目标标的潜在在影响时时,使用用这些计计量指标标同样有有效。管管理者可可以评估估各事项项之间的的
37、关系,因因为一系系列相互互关联的的事项结结合起来来会使得得事项的的发生概概率或事事项的影影响发生生重大变变化。虽虽然一个个单一事事项的影影响可能能很小,但但是这样样一系列列事项则则可能对对企业造造成重大大影响。各各潜在事事项之间间可能并并不直接接相关,这这时管理理者可以以分别对对其进行行评估,但但是某些些风险可可能在企企业的多多个业务务部门出出现时,管管理者可可以将所所确认的的风险归归为一类类进行评评估。通通常一个个潜在事事项结果果是一个个可能的的范围值值,管理理者应将将其作为为制定风风险反应应方案的的基础。通通过风险险评估,管管理者可可以了解解潜在事事项在整整个企业业内对企企业的正正面和负负
38、面的影影响,单单个事项项或某类类事项对对企业的的影响。管管理者通通常只趋趋于关注注中短期期的风险险,但风风险应在在企业战战略和目目标的前前提下进进行评估估。由于于战略方方向和目目标的某某些要素素涉及较较长时期期,管理理者因而而应从长长期的角角度认识识风险,而而不能忽忽视远期期会影响响企业的的风险。首首先,应应对企业业的固有有风险进进行评估估。固有有风险是是指管理理者在没没有采取取任何会会改变风风险发生生的可能能性或影影响的管管理措施施的情况况下企业业所面临临的风险险。一旦旦确定了了对固有有风险的的风险反反应方案案,管理理者就可可以使用用风险评评估技术术确定企企业的残残留风险险。残留留风险是是指
39、管理理者采取取了有关关风险管管理措施施后应存存在的风风险。5风险反反应管理者可以以制定不不同风险险反应方方案,并并在风险险容忍度度和成本本效益原原则的前前提下,考考虑每个个方案如如何影响响事项发发生的可可能性和和事项对对企业的的影响,并并设计和和执行风风险反应应方案。考考虑各风风险反应应方案并并选择和和执行一一个风险险反应方方案是企企业风险险管理不不可分割割的一部部分。有有效的风风险管理理要求管管理者选选择一个个可以使使企业风风险发生生的可能能性和影影响都落落在风险险容忍度度范围之之内的风风险反应应方案。风风险反应应可分为为规避风风险、减减少风险险、共担担风险和和接受风风险四类类。规避避风险是
40、是指采取取措施退退出会给给企业带带来风险险的活动动。减少少风险是是指减少少风险发发生的可可能性、减减少风险险的影响响或者两两者同时时减少。共共担风险险是指通通过转嫁嫁或与他他人共担担一部分分风险来来降低风风险发生生的可能能性或影影响。接接受风险险则是不不采取任任何改变变风险发发生的可可能性或或影响的的行动。作作为企业业风险管管理的一一部分,对对于每一一个重要要的风险险,企业业都应按按风险反反应的类类型考虑虑所有的的风险反反应方案案,这样样有助于于风险反反应方案案的选择择,这也也是对“现现状”提提出的挑挑战。_选定定某一个个风险反反应方案案后,管管理者应应在残留留风险的的基础上上重新评评估风险险
41、,即从从企业总总体的风风险组合合的、预预测的角角度重新新计量风风险。管管理者可可以采取取一定的的方法使使得每一一生产部部门、行行政部门门或业务务单位的的管理者者可以对对风险进进行复合合式的评评估以决决定该部部门的风风险反应应方案。这这种视角角可以反反映相对对于各部部门的目目标和风风险容忍忍度该部部门的风风险组合合。在对对各个独独立部门门的风险险有一个个认识的的基础上上,企业业最高层层的管理理者应以以组合的的角度看看待风险险,以决决定企业业的风险险组合与与相对企企业目标标而言的的总体的的风险偏偏好是否否相符。管管理者应应认识到到一定水水平的残残留风险险总是存存在的,这这不仅是是因为资资源的有有限
42、性,还还因为未未来有其其内在的的不确定定性和所所有活动动的固有有限制。6控制活活动控制活动是是帮助保保证风险险反应方方案得到到正确执执行的相相关政策策和程序序。控制制活动存存在于企企业的各各部分、各各个层面面和各个个部门。控控制活动动是企业业努力实实现其商商业目标标的过程程的一部部分。通通常包括括两个要要素:确确定应该该做什么么的一个个政策和和影响该该政策的的一系列列过程。由由于企业业的控制制活动与与企业的的信息系系统广泛泛相关,因因此,应应对企业业所有的的重要系系统进行行控制。广广义来讲讲,对信信息系统统控制活活动可以以分为两两类。一一类是一一般控制制,这类类控制应应用于大大多数应应用系统统
43、,有助助于保证证系统的的持续地地、正确确地运行行。另一一类是应应用控制制,包括括用于控控制技术术应用的的应用软软件内部部的电脑脑程序。必必要时将将信息系系统控制制与其他他手工的的过程控控制相结结合,可可以保证证信息的的完整性性、精确确性和有有效性。一一般控制制包括对对信息技技术管理理、信息息技术基基础设施施、保密密管理和和软件的的购买、开开发和维维护的控控制。这这些技术术应用于于所有的的系统,从从主机到到客户端端(服务务端)到到桌面电电脑环境境。信息息技术管管理控制制主要包包括明确确信息技技术的勘勘漏过程程、监督督和报告告信息技技术活动动及业务务改进的的初步行行动等等等。应用用控制的的目的是是
44、保证数数据获得得和业务务处理过过程的完完整性、精精确性、授授权和有有效性。依依靠信息息系统控控制运行行的有效效可以保保证当需需要时每每个应用用程序可可以在界界面上产产生有关关数据,保保证应用用程序的的有效和和有关界界面的错错误可以以很快地地被发现现。因为为每一个个主体都都有其自自己的一一套目标标和执行行目标的的方法,因因此其子子目标、结结构和相相关的控控制活动动也会不不同。即即使两个个企业有有同样的的目标和和结构,他他们的控控制活动动可很可可能不同同。每个个企业的的管理人人员都不不同,不不同的管管理人员员在影响响内部控控制时使使用不同同的个人人判断。而而且,控控制活动动反映了了一个企企业所处处
45、的环境境和行业业,也会会反映企企业的复复杂性、企企业的历历史和文文化。7信息和和沟通来自于企业业内部和和外部的的相关信信息必须须以一定定的格式式和时间间间隔进进行确认认、捕捉捉和传递递,以保保证企业业的员工工能够执执行各自自的职责责。有效效的沟通通也是广广义上的的沟通,包包括企业业内自上上而下、自自下而上上以及横横向的沟沟通。有有效的沟沟通还包包括将相相关的信信息与企企业外部部相关方方的有效效沟通和和交换,如如客户、供供应商、行行政管理理部门和和股东等等。企业业内部各各个管理理层都需需要信息息来帮助助识别、评评估风险险和对风风险进行行反应,以以及进行行经营并并实现企企业的目目标。相相对于某某一
46、类或或几类目目标,某某一批信信息是有有用的。企企业的信信息来自自于各个个方面,包包括内部部和外部部的信息息、量化化的和非非量化的的信息,以以使得企企业的风风险管理理可以对对现实世世界中不不断变化化的条件件及时作作出反应应。将大大量的信信息进行行处理,提提炼出或或指导行行动的信信息是企企业管理理者所面面临的一一个挑战战。解决决这一问问题的方方法是建建立一个个信息系系统底层层结构来来确认、捕捕捉、处处理、分分析和报报告相关关信息。这这些信息息系统通通常是电电脑系统统,但也也包括手手工录入入或人机机界面。因因此,这这些信息息系统经经常是指指处理企企业相关关业务产产生的内内部数据据的系统统。长期期以来
47、信信息系统统是用来来支持企企业的商商业战略略。当业业务需要要变化和和有关技技术为企企业获得得战略优优势提供供新的机机会时,这这一地位位就显得得更为重重要。_为支支持有效效的企业业风险管管理,一一个企业业会捕捉捉和使用用历史和和现在的的数据。历历史数据据使企业业能够将将实际业业绩与目目标、计计划和期期望相比比较,能能够更加加深入了了解企业业在不断断变化的的环境下下是如何何生存的的,使得得管理者者确认相相关性和和趋势并并预测未未来的业业绩。历历史数据据还能够够对需要要管理者者注意的的潜在事事项提早早提出警警告。现现在或现现状的数数据使企企业能够够评估在在某一特特定时点点所面临临的风险险并将其其控制
48、在在风险容容忍度范范围内。现现状数据据使得管管理者可可以实时时地了解解一个过过程、职职能部门门或单位位现存的的固有风风险和差差异的大大小。这这对了解解企业的的风险组组合提供供了一个个视角,使使得管理理者能够够在必要要时改变变企业的的活动以以满足企企业的风风险偏好好。信息是沟通通的基础础,沟通通则必须须满足各各部门和和个人的的要求,以以使他们们能够有有效地履履行其职职责。最最重要的的沟通渠渠道之一一是高级级管理者者和董事事会之间间的沟通通。管理理者必须须使董事事会了解解关于企企业业绩绩、发展展、风险险管理执执行和其其他相关关事项和和问题的的及时信信息。沟沟通越畅畅通,董董事会在在执行其其监督职职
49、能、重重大问题题的宣传传媒介职职能和提提供建议议、咨询询和指导导职能时时才会越越有效。反反之,董董事会也也应向管管理者传传递其所所需要的的信息并并进行反反馈和指指导。管管理者应应提供特特定的或或直接的的沟通渠渠道说明明对员工工的行为为预期和和各自的的职责。应应包括对对企业风风险管理理原理和和方法以以及员工工权责分分配的清清晰的说说明。对对于风险险管理过过程和程程序的沟沟通应与与企业预预期的风风险文化化相结合合,并作作为企业业风险文文化的基基础。此此外,信信息的列列示会直直接影响响对信息息的解释释和对相相应的风风险或机机遇的看看法,因因此,对对于沟通通应有一一个适当当的架构构。沟通通应使企企业的员员工了解解有效地地企业风风险管理理的重要要性和相相关性,了了解企业业的风险险偏好和和风险容容忍度,并并在企业业内执行行、设计计一个统统一的风风险用语语