全面风险管理与内部控制知识普及读本31910.docx

《全面风险管理与内部控制知识普及读本31910.docx》由会员分享，可在线阅读，更多相关《全面风险管理与内部控制知识普及读本31910.docx（67页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、一、全面风险管理术语（一）风险险管理基础础术语 1、风险指未来的不不确定性对对企业实现现经营目标标的影响。未来的不确确定性可能能会对企业业经营目标标的实现带带来负面的的影响，也也可能会带带来正面的的影响。因因此，风险险可分为以以下两类：1.1纯粹粹风险是指指未来事项项的发生将将对企业经经营目标的的实现产生生负面影响响的可能性性。1.2机会会风险是指指未来事项项的发生将将对企业经经营目标的的实现产生生正面影响响的可能性性。注:有关可可能性的程程度可以用用不同等级级来表示：极不可能能/不太可可能/可能能/很可能能/极有可可能。2、全面风风险管理指企业围绕绕总体经营营目标，建建立健全全全面风险管管理

2、体系，通通过在企业业管理和企企业经营的的各个环节节执行风险险管理的基基本流程，培培育良好的的风险管理理文化，从从而为实现现风险管理理的总体目目标提供有有效保证的的过程和方方法。3、风险管管理框架指企业对风风险管理的的设计、实实施、监控控、检查和和持续改进等等进行的一一系列基础础的组织安安排。4、风险管管理基本流流程指企业开展展风险管理理工作所进进行的一系系列业务活活动和工作作环节，具具体包括：收集风险险管理初始始信息、风风险评估、制制定风险管管理策略、提提出和实施施风险管理理应对方案案、风险管管理的监督督与改进。5、内部控控制系统指围绕风险险管理策略略目标，针针对企业战战略、规划划、产品研研发

3、、投融融资、市场场运营、财财务、内部部审计、法法律事务、人人力资源、采采购、加工工制造、销销售、物流流、质量、安安全生产、环环境保护等等各项业务务管理及其其重要业务务流程，制制定并执行行的风险管管理规章制制度、程序序和措施。6、风险管管理信息系系统指通过信息息技术，为为全面风险险管理的各各项工作，传传输企业风风险和风险险管理信息息的系统平平台，具备备风险数据据和信息的的采集、存存储、加工工、分析、测测试、传递递、报告、披披露等各项项功能。7、风险文文化指在企业的的日常运营营中，基于于企业的风风险哲学、风风险偏好和和整体企业业文化形成成的对待风风险的态度度、价值观观和系列实实践行为等等。（二）与

4、风风险评估相相关的术语语1、风险评评估指企业及时时辨识、科科学分析和和评价影响响经营管理理目标实现现的各种不不确定因素素并确定重重大风险的的过程，包包括风险辨辨识、风险险分析、风风险评价三三个主要步步骤。2、风险辨辨识指查找企业业各业务单单元、各项项重要经营营活动及其其重要业务务流程中有有无风险，有有哪些风险险。3、风险分分析指对辨识出出的风险及及其特征进进行明确的的定义描述述，分析和和描述风险险发生可能能性的高低低、风险发发生的条件件。4、风险评评价指评估风险险对企业实实现目标的的影响程度度、风险的的价值等。5、来源识识别指发现、列列举和描述述风险来源源的过程。6、风险源源指单独或联联合具有

5、内内在的潜在在引起危险险的因素。7、重大风风险指经过风险险评估所确确定的，在在当前所有有风险中风风险水平较较高且超出出企业风险险承受度的的风险，也也即在风险险图中处于于高风险区区域的风险险。8、风险图图指用于风险险识别和对对其进行优优先排序的的有效工具具。一旦企企业的风险险被辨识和和评估以后后，就可以以根据风险险的影响程程度和发生生可能性等等属性得分分将其展示示在风险图图的不同位位置上表明明其重要程程度，借此此为风险管管理策略和和解决方案案的制订提提供依据。（三）与风风险应对相相关的术语语1、风险管管理策略指企业根据据自身条件件和外部环环境，围绕绕企业发展展战略，确确定风险偏偏好、风险险承受度

6、、风风险管理有有效性标准准，选择风风险承担、风风险规避、风风险转移、风风险转换、 风险对冲冲、风险补补偿、风险险控制等适适合的风险险管理工具具的总体策策略，并确确定风险管管理所需人人力和财力力资源的配配置原则。2、风险偏偏好指企业在实实现目标的的过程中所所愿意承受受的风险的的取向数量量和水平。3、风险容容忍度指在企业目目标实现过过程中对差差异的可接接受程度，是是企业在风风险偏好的的基础上设设定的对相相关目标实实现过程中中所出现差差异的可容容忍限度。4、风险应应对指企业根据据风险管理理策略，针针对各类风风险或每一一项重大风风险制定的的一系列的的风险应对对方法和措措施，主要要包括风险险解决的具具体

7、目标，所所需的组织织领导，所所涉及的管管理及业务务流程，所所需的条件件、手段等等资源，风风险事件发发生前、中中、后所采采取的具体体应对措施施以及风险险管理工具具 (如：关键风险险指标管理理、损失事事件管理等等）。5、规避风风险退出会产生生风险的活活动或业务务。6、降低风风险采取措施降降低风险的的可能性或或影响，或或者同时降降低两者。7、转移风风险通过转移来来降低风险险的可能性性或影响，或或者分担一一部分风险险。8、承受风风险不采取任何何措施去干干预风险的的可能性或或影响。9、风险融融资为实施风险险处理及其其他相关活活动的费用用提供资金金的活动。10、剩余余风险指在实施风风险管理及及有计划的的应

8、对控制制措施后剩剩余的风险险。剩余的的风险如果果超过组织织的可接受受风险水平平，组织必必须安排进进一步的风风险控制，将将剩余风险险降低到可可接受的水水平。二、全面风风险管理常常见问题解解答(一）风险险的概念及及起源1、什么是是风险？怎怎样正确理理解风险？历史上对风风险有过许许多定义，至至今没有完完全统一。 全面风险险管理中将将风险定义义为“未来的不不确定性对对实现目标标的影响”，可以从从以下方面面来理解。首先，风险险是相对于于目标而言言的，是对对目标实现现的影响。一一般说来，目目标定得越越高、越明明确，风险险就越大。一一个企业要要想进入世世界前列并并保持先进进地位的风风险和要想想随波逐流流的风

9、险明明显是不一一样的。实实际上，没没有风险就就没有回报报，企业不不承担足够够的风险就就不能满足足股东对于于回报的期期望。从这这里我们就就看到风险险大并不一一定是坏事事。其次，风险险是关于未未来的。风风险总是同同未来的一一个时间段段联系在一一起的。过过去发生的的事情和现现在已确定定的情况都都不是风险险，只有未未来的情况况才可能成成为风险。所所以对风险险的考虑注注定是前瞻瞻性的思维维，是对未未来的考虑虑，企业风风险管理是是企业前瞻瞻性的管理理。再次，风险险是不确定定性的表现现。确定的的损失或收收益不是风风险，如果果未来是完完全可以精精确预测的的，自然也也就无风险险可言。不不确定性主主要表现为为两个

10、层面面：第一个个层面是风险因因素本身的的不确定性性，第二个个层面是风风险因素对对目标影响响程度的不不确定性。值得注意的的是，定义义中并没有有把风险限限定为只是是负面的或或者只是可可能带来损损失的。对对目标有正正面影响的的风险称作作机会风险险，只有负负面影响的的风险称作作纯粹风险险，全面风风险管理中中的定义是是一般性的的，包含了了机会风险险与纯粹风风险。因此此，全面风风险管理绝绝对不是仅仅仅为了防防止出事或或防止损失失，还包括括管理机会会风险，为为企业创造造价值。2、风险有有哪些属性性？风险具有以以下属性：（1）风险险的存在具具有客观性性和普遍性性作为未来结结果发生的的不确定性性，风险是是不以人

11、的的意志为转转移并超越越人们主观观意识的客客观存在，风风险是无处处不在、无无时不有的的。虽然人人类一直希希望认识和和控制风险险，但直到到现在也只只能在有限限的空间和和时间内改改变风险存存在和发生生的条件，降降低其发生生的频率，减减少损失程程度，而不不能也不可可能完全消消除风险。（2）某一一具体风险险发生的偶偶然性和大大量风险发发生的必然然性任一具体风风险的发生生都是诸多多风险因素素和其他因因素共同作作用的结果果，是一种种随机现象象。个别风风险事故的的发生是偶偶然的、杂杂乱无章的的，但对大大量风险事事故资料的的观察和统统计分析，发发现其呈现现出明显的的运动规律律，这就使使人们有可可能用概率率统计

12、方法法及其他现现代风险分分析方法去去计算风险险发生的概概率和损失失程度，使使风险管理理成为可能能。（3）风险险的可变性性风险是随着着事件的进进展而发生生变化的。有有些风险会会得到控制制并消除，有有些风险会会发生并得得到处理，同同时在每一一阶段又有有可能产生生新的风险险。（4）风险险的多样性性和多层次次性因企业生命命周期长、规规模大、涉涉及范围广广、风险因因素数量多且且种类繁杂杂致使其在在寿命周期期内面临的的风险多种种多样，而而且大量风风险因素之之间的内在在关系错综综复杂、各各风险因素素之间与外外界交叉影影响又使风风险显现出出多层次性性。如果采取适适当的措施施使破坏或或损失的概概率不会出出现，那

13、么么风险可能能带来机会会，不仅仅仅是规避风风险，可能能还会带来来比例不等等的收益，有有时风险越越大，机会会越大，回回报越高。因此，如何何判断风险险、选择风风险、规避避风险继而而运用风险险，在风险险中寻求机机会创造收收益，意义义更加深远远而重大。3、风险如如何分类？风险的分类类标准不是是绝对的，集集团参照全全面风险管管理指引将将风险划分分为战略风风险、财务务风险、运运营风险、法法律风险等等。战略风险是是指与公司司达到自身身确立的战战略目标有有关的风险险，在这些些风险的影影响下，公公司高管层层的战略决决策可能无无法被顺利利推行，或或偏离了初初衷。常见的战战略风险包包括：政治治与政策风风险、投资资决

14、策风险险、发展风风险、品牌牌风险、公司司治理与管管控结构风风险、战略略规划风险险等。财务风险是是指一切与与财务领域域相关的风风险，包括括各类资金金风险、货货币风险、资资产保全风风险、报表表披露风险险等，这类类风险容易易造成外界界甚至管理理层对公司司财务数据据的错误认认识，从而而影响公司司运营及声声誉。常见见的财务风风险包括：预算控制制风险、融融资风险、投投资管理风风险、资产产损失风险险、财务报报告编制风风险、税收收筹划风险险、资金风风险、投保保风险等。运营风险是是指公司正正常运营过过程中遇到到的各类风风险的总称称，会涉及及到公司日日常业务的的各个方面面，这些风风险的发生生可能导致致运营不顺顺、

15、效率低低下、执行行错误，最最严重的时时候可能导导致整个或或部分业务务链的中断断。常见的的运营风险险包括：作作业风险、HSSE风险、人力力资源风险险、信息系系统风险、价格格风险、市场场营销风险险、原材料料风险、客客户风险、供供应商风险险等。法律风险是是指公司违违反国家或或行业法律律法规的风风险，这类类风险会对对公司整体体声誉造成成极大的伤伤害。常见见的法律风风险包括：国内法律律风险、对对外合作法法律风险、公公司制度法法律风险、合合同风险、诉诉讼风险、信息息披露风险险等。企业风险还还存在其他他分类方法法。如将风风险依照动动因是内部部驱动还是是外部驱动动分为内部部风险和外外部风险，或或者按照结结果分

16、为机机会风险和和纯粹风险险。在实践践中，有些些风险可能能会放在不不同的分类类中。例如如，法律风风险有时被被归入运营营风险，有有时被归入入战略风险险。对于管管理者而言言，真正重重要的不是是如何将这这些风险分分类，而是是如何管理理这些风险险。4、什么是是风险管理理？它是如如何发展起起来的？因为风险是是未来的不不确定性对对企业实现现其目标的的影响，企企业要想实实现既定的的目标，为为股东取得得预期的回回报，就必必须很好地地管理风险险。风险管管理就是指指如何在一一个肯定有有风险的环环境里把纯纯粹风险降降至最低并并及时把握握可能存在在的机会的的管理过程程。人类对风险险管理理论论的研究始始于20世世纪初。企

17、企业风险管管理发展大大致经历了了三个阶段段：第一阶段：以“安全与保保险”为特征的的风险管理理。1000多年前，快快速发展的的航海业面面临的海上上风险催生生了保险业业的迅速发发展，最初初航运企业业风险管理理的主要措措施就是通通过保险把把风险转移移给保险公公司，从而而规避自身身的风险损损失。在220世纪330年代，由由于受到11929-19333年的世界界性经济危危机的影响响，美国约约有40%左右的银银行和企业业破产，经经济倒退了了约20年年。美国企企业为应对对经营上的的危机，许许多大中型型企业都在在内部设立立了保险管管理部门，负负责安排企企业的各种种保险项目目。第二阶段：以“内部控制制和控制纯纯

18、粹风险”为特征的的风险管理理。随着工工业革命的的发展，产产生了加强强“控制纯粹粹风险”的概念，提提出公司在在业务管理理和流程方方面，尤其其是财务管理理方面，要要有内部控控制。19949年美美国发布了了内部控控制一调整整组织的各各要素及其其对管理部部门和注册册会计师的的必要性，首首次对内部部控制作出出了权威的的定义。11955年年，美国宾宾夕法尼亚亚大学沃顿顿商学院的的施耐德教授授第一次提提出了“风险管理理”的概念。20世纪770年代中中期，作为为美国“水门事件件”调查结果果，立法者者和监管团团体开始对对内部控制制问题给以以高度重视视。19777年美国国国会通过过的反国国外贿赂法法，包含含了要求

19、公公司管理层层加强内部部会计控制制的条款。11983年年在美国召召开的风险险和保险管管理协会年年会上，世世界各国专专家学者云云集纽约，共共同讨论并并通过了 “101条条风险管理理准则”，这是风风险管理走走向实践化化的一个重重要文件。20世纪880年代至至90年代代，内部控控制在结构构上进一步步完善。11985年年，美国CCOSO委委员会开始始研究企业业如何建立立以财务管管理为主线线的有效的的内部控制制，19992年该委委员会正式式发布了内内部控制一一整合框架架，这份份框架此后后被纳入政政策和法规规之中，并并被各国数数千家企业业用来为实实现既定目目标所采取取的行动加加以更好的的控制。11995年

20、年由澳大利利亚和新西西兰联合制制订的AAS/NZZS 43360明明确定义了了风险管理理的标准程程序，这就就是我们通通常说的澳澳新ERMM标准，这这标志着第第一个国家家风险管理理标准的诞诞生。第三阶段：以“风险管理理战略与企企业总体发发展战略紧紧密结合”为特征的的全面风险险管理。多多年来，人人们在风险险管理实践践中逐渐认认识到，一一个企业内内部不同部部门或不同同业务的风风险，有的的相互叠加加放大，有有的相互抵抵消减少。因因此，企业业不能仅仅仅从某项业业务、某个个部门的角角度考虑风风险，必须须根据风险险组合的观观点，从贯贯穿整个企企业的角度度看风险，即即要实行全全面风险管管理。然而而，尽管很很多

21、企业意意识到全面面风险管理理，但是对对全面风险管管理有清晰晰理解的却却不多，已已经实施了了全面风险险管理的企企业则更少少。但20001年111月的美美国安然公公司倒闭案案和20002年6月月的世通公司司财务欺诈诈案，加之之其它一系系列的会计计舞弊事件件，促使企企业的风险险管理问题题受到全社社会的关注注。20022 年7月月，美国国国会通过萨萨班斯法案案（Sarrbanees-Oxxley法法案），要要求所有在在美国上市市的公司必必须建立和和完善内控控体系。在其影响下下，世界各各国纷纷出出台类似的的方案，加加强公司治治理和内部部控制规范范，加大信信息披露的的要求，加加强企业全全面风险管管理。接着

22、着在20004年9月月，C0SS0发布企企业风险管管理-整合框架架（Ennterpprisee Rissk Maanageementt-Inttegraated Frammeworrk),该该框架拓展展了内部控控制，更加加关注于企企业全面风风险管理这这一更为宽宽 泛的领领域，并随随之成为世世界各国和和众多企业业广为接受受的标准规规范。到目前为止止，世界上上已有300多个国家家和地区，包包括所有发发达国家和和地区及一一些发展中中国家如马马来西亚，都都发表了对对企业的监监管条例和和公司治理理准则。在在各国的法法律框架下下，企业有有效的风险险管理不再再是企业的的自发行为为，而成为为企业经营营的合规要

23、要求。（二）C00S0风险险管理理论论5、C0SS0企业业风险管理理一整合框框架是怎怎样产生的的？在内部控制制标准制定定方面，美美国发起人人组织委员员会 (CC0S0)一直是国际际公认的权权威机构，自自其成立以以来，一直直致力于内内部控制标标准的制定定，引导和和代表着内内部控制的的发展趋势势。19992年，CC0S0提提出了内内部控制一一整合框架架，经过过十多年的的应用，已已成为业界界普遍认可可的一个标标准。近些些年来，一一系列财务务失败事件件的发生以以及对企业业风险管理理的关注，使使人们越来来越清楚地认识识到需要一一个强有力力的框架以以便有效地地识别、评评估和控制制风险。2001年年，C0S

24、S0开展了了一个项目目，委托普普华永道(PWC)开发一个个对于管理理当局评价价和改进他他们所在组组织的企业业风险管理理的框架。但但在开发这这个框架期期间，又发发 生了一一系列令人人嘱目的企企业丑闻和和失败事件件，投资者者、公司员员工和其他他利益相关关者因此而而遭受了巨巨大的损失失。随之而而来的便是是对采用新新的法律、法法规和上市市准则来加加强公司治治理和风险险管理的呼呼吁。人们们迫切需要要一个能够够提供关键键原则和概概念、共同同的语言以以及明晰的的方向和指指南的企业业风险管理理框架。美美国在20002年颁颁布了萨萨班斯-奥克斯利利法案，其其他国家也也已经通过过或正在考考虑类似的的立法。这这部法

25、律扩扩充了长期期持续的对对公众公司司保持内部部控制制度度的规定，要要求管理当当局证实、并并由独立审审计师鉴证证这些制度度。20004年9月月，C0SS0发布了了企业风风险管理-整合框架架，它拓拓展了内部部控制框架架，更关注注于企业风风险管理这这一更加宽宽泛的领域域。按照CC0S0的的设想，他他们不打算算、也的确确没有用企企业风险管管理框架取取代内部控控制框架，而而是将内部部控制框架架纳入其中中，公司不不仅可以借借助这个企企业风险管管理框架来来满足它们们内部控制制的需要，还还可以借此此转向一个个更加全面面的风险管管理过程。6、怎样理理解企业风风险管理的的性质？COSO在在其报告中中指出，企业风险

26、险管理是一一个过程， 它由一个个主体的董董事会、管管理当局和和其他人员员实施，应应用于战略略制定并贯贯穿于企业业之中，旨旨在识别可可能会影响响主体的潜潜在事项，管管理风险以以使其限制制在该主体体的风险容容量之内，并并为主体目目标的实现现提供合理理保证。与与内部控制制相比，企企业风险管管理补充了了两个内容容：一个是是战略目标标，一个是是风险控制制。COSO在在对“企业风险险管理”的界定中中重点强调调了七个属属性和理念念：（1）企业业风险管理理是一个过过程，它持持续流动于于企业之内内；（2）企业业风险管理理是由组织织中各个层层级的人员员来实施的的；（3）企业业风险管理理应用于战战略制定的的过程中；

27、（4）企业业风险管理理贯穿企业业整体，在在各个层级级和单元应应用，还包包括采取企企业整体层层级的风险险组合观；（5）企业业风险管理理旨在识别别那些一旦旦发生将会会影响企业业的潜在事事项，并把把风险控制制在风险容容量以内；（6）企业业风险管理理能够向一一个企业的的管理当局局和董事会会提供合理理保证；（7）企业业风险管理理力求实现现一个或多多个不同类类型但相互互交叉的目目标。COSO秉秉承了其“整合”的思路，给给出了企业业风险管理理的一个宽宽泛的定义义，通过提提炼对公司司和其他组组织风险管管理的关键键概念，为为不同组织织形式、行行业和部门门的应用提提供了基础础。另外，它它直接关注注特定主体体既定目

28、标标的实现，并并为界定企企业风险管管理的有效效性提供了了依据。7、企业风风险管理有有什么作用用？COSO认认为，企业业风险管理理应发挥以以下作用：（1）衔接接风险容量量与战略管理当局在在评价战略略方案、设设定相关目目标和建立立相关风险险的管理机机制的过程程中，需要要考虑所在在主体的风风险容量。（2）增进进风险应对对决策企业风险管管理应能提提髙企业选选择风险应应对策略的的准确性。（3）抑减减经营意外外和损失主体识别潜潜在事项和和实施应对对的能力得得以增强，抑抑制或减少少了意外情情况以及伴伴随而来的的成本或损损失。（4）识别别和管理贯贯穿于企业业的多重风风险每一家企业业都面临影影响自身不不同组成部

29、部分的一系系列风险，企企业风险管管理有助于于有效地应应对交互影影响，以及及整合式地地应对多重重风险。（5）抓住住机会通过全面考考虑潜在事事项，促使使管理当局局识别并积积极地把握握机会。（6）改善善资本配置置获取强有力力的风险信信息，以使使管理当局局能够有效效地评估总总体资本需需求，并改改进资本配配置。8、怎样对对企业风险险管理定位位？COSO在在界定企业业风险管理理时，明确确了两个所所属关系：（1）内部部控制是企企业风险管管理的一个个组成部分分；（2）企业业风险管理理是管理过过程的一个个组成部分分。企业风险管管理框架的的要素都是是管理层经经营一个企企业所做的的事情。但但是，并非非管理层做做的事

30、情都都是企业风风险管理的的组成部分分。在管理理层的决策策与相关管管理行为中中应用的许许多判断，尽尽管是管理理过程的组组成部分，但但不是企业业风险管理理的组成部部分。例如如，确保有有一个适当当的目标设设定过程是是企业风险险管理的一一个关键组组成要素，而而管理层选选择的特定定目标不是是企业风险险管理的组组成部分；在适当风风险评估的的基础上对对风险做出出反应是企企业风险管管理的组成成部分，而而所选择的的特定风险险应对策略略和相关的的资源配置置不是企业业风险管理理的组成部部分；确定定和实施控控制活动以以确保管理理层选择的的风险应对对策略得到到有效的实实施是企业业风险管理理的组成部部分，而所所选择的特特

31、定控制活活动不是企企业风险管管理的组成成部分。企业风险管管理包括那那些能够使使管理层依依据可靠信信息做出风风险基础决决策的管理理过程，但但是从一系系列适当的的选择中选选出的特定定决策不会会决定企业业风险管理理是否有效效。另外，普华华永道（PPWC)在在后续的一一份报告中中提出了个GRCC (Goovernnancee, Riisk, Comppliannce)模模型。 该该报告认为为，组织可可以通过把把GRC战战略性地整整合进它 们的经营营中，以形形成一个可可以对企业业进行管理理的道德和经营营框架。这这个框架包包括治理（GGoverrnancce)、企企业风险管管理（Ennterpprisee

32、 Rissk Maanageementt)和遵守守 (Coompliiancee)三个组组成部分，从从中可以看看出企业风风险管理的的定位。在在这个框架架中，治理理活动包括括设定经营营战略和目目标，确定定风险偏好好，建立文文化和价值值观，制定定内 部政政策和监督督绩效；风风险管理活活动包括识识别和评价价那些可能能会影响目目标实现能能力的风险险，应用风风险管理来来获得竞争争优势和确确定风险应应对策略和和控制活动动；遵守活活动包括遵遵照目标经经营，确保保遵守法律律和法规、内内部政策与与程序以及及利益相关关者的委托托。9、C0SS0企业业风险管理理一整合框框架包括括哪些内容容？COSO的的企业风险险管

33、理框架架是个三维维立体的框框架。这种种多维立体体的表现形形式，有助助于全面深深入地理解解控制和管管理对象，分分析解决控控制中存在在的复杂问问题。第一个维度度（上面维维度）是目目标体系，包包括四类目目标：（1）战略略目标，即即高层次目标标，与使命命相关联并并支撑使命命；（2）经营营目标，高高效率地利利用资源；（3）报告告目标，报报告的可靠靠性；（4）合规规目标，符符合适用的的法律和法法规。第二个维度度（正面维维度）是管管理要素，包包括八个相相互关联的的构成要素素，它们源源自管理当当局的经营营方式，并并与管理过过程整合在在一起，具具体为：（1）内部部环境。管管理当局确确立关于风风险的理念念，并确定

34、定风险容量量。所有企企业的核心心都是人（他他们的个人人品性，包包括诚信、道德价值观和胜任能力）以及经营所处的环境，内部环境为主体中的人们如何看待风险和着手控制风险确立了基础。（2）目标标设定。必必须先有目目标，管理理当局才能能识别影响响目标实现现的潜在事事项。企业业风险管理理确保管理理当局采取取恰当的程程序去设定定目标，并并保证选定定的目标支支持主体的的使命并与与其相衔接接，以及与与它的风险险容量相适适应。（3）事项项识别。必必须识别可可能对主体体产生影响响的潜在事事项，包括括表示风险险的事项和和表示机会会的事项，以以及可能二二者兼有的的事项。机机会被追溯溯到管理当当局的战略略或目标制制定过程

35、。（4）风险险评估。要要对识别的的风险进行行分析，以以便确定管管理的依据据。风险与与可能被影影响的目标标相关联。既既要对固有有风险进行行评估，也也要对剩余余风险进行行评估，评评估要考虑虑到风险的的可能性和和影响。（5）风险险应对。员员工识别和和评价可能能的风险应应对措施，包包括回避、承承担、降低低和分担风风险。管理理当局选择择一系列措措施使风险险与主体的的风险容限限和风险容容量相适应应。（6）控制制活动。制制定和实施施政策与程程序以确保保管理当局局所选择的的风险应对对策略得以以有效实施施。（7）信息息与沟通。主主体的各个个层级都需需要借助信信息来识别别、评估和和应对风险险。广泛意意义的有效效沟

36、通包括括信息在主主体中向下下、平行和和向上流动动。（8）监控控。整个企企业风险管管理处于监监控之下，必必要时还会进进行修正。这这种方式能能够动态地地反映风险险管理状况况，并使之之根据条件件的要求而而变化。监监控通过持持续的管理理活动、对对企业风险险管理的单单独评价或或者两者的的结合来完完成。第三个维度度（侧面维维度）是主主体单元，包包括集团、部部门、业务务单元、分分支机构四四个层面。10、目标标设定、事事件识别和和风险评估估这三者间间有什么关关联？“目标设定定”也就是管管理层制定定战略目标标，为确定定运营，报报告和合规规目标提供供了背景。这这些目标要要与公司的的风险承受受能力相匹匹配，而风风险

37、承受能能力不仅决决定着公司司的风险容容忍度高低低，同时也也是识别事事件、评估估风险和响响应风险的的前提条件件。在对事事件进行识识别时，需需要考虑具具体的目标标。“识别事件件”即管理层层识别出潜潜在的事件件，这些事事件可能会会对公司实实施战略和和实现目标标的能力产产生正面或或负面影响响。潜在的的负面事件件就是赖以以评估风险险和风险应应对措施效效能的环境境情景。潜潜在的正面面事件则代代表着机会会，管理层层应在制定定战略和目目标的过程程中将这些些机会纳入入考虑范围围。“评估风险险”即管理层层采用定量量和定性方方法来评估估可能会影影响目标实实现的未来来事件的可可能性及其其潜在影响响。管理层层既可以单单

38、独地评估估各项事件件，也可以以分门别类类地进行评评估。因此此，要想真真的取得成成效，风险险评估就需需要预设要要实现的目目标，从而而周密地盘盘查清点出潜在在的未来事事件。11、怎样样理解风险险管理框架架中企业风风险管理的的目标？企业风险管管理框架目目标体系中中，增加了了内部控制制整合框架架中所没有有的一类目目标：战略略目标。虽虽然是平行行的方式列列示，但是是，战略目目标在这个个目标体系系中是最高高层次的，其其他三类目目标都应当当从属于战战略目标。都都是在为战战略目标服服务。此外外，企业风风险管理框框架的报告告目标也有有所拓展。在在内部控制制框架中，报报告指的是是公布的财财务报表。报报告目标主主要

39、关注公公布的财务务报表的可可靠性，而而在企业风风险管理框框架中，报报告包括由由企业编制制、向内部部和外部散散发的所有有报告，而而且范围也也从财务报报表的财务务信息扩展展到了更广广泛的非财财务信息。尽尽管在企业业风险管理理框架中，并没有明确表示其遵守目标与内部控制的遵守目标有什么不同，但是，负责拟定企业风险管理框架的普华永道(PWC)在其2004年的一份名为整合-驱动绩效的 报告中认为：“主要关注遵守法律、法规的传统合规方法是不充分的，遵守内部治理、道德与风险标准和政策在防止遭受与声誉相关的风险方面更有效。”该报告对 “遵守”的内涵进行了拓展，提出了一个全新视角的“遵守”，给出了一个遵守风险的新

40、定义。遒守风险是指 “由于没有能够遵守法律法规、内部规则和政策以及顾客、雇员和社会等主要利益相关者的期望而导致对组织的经营模式、声誉和财务状况产生损害的风险”。另外，内部部控制整合合框架19994年补补充的“保护资产产”目标在企企业风险管管理框架中中并没有单单列，因为为C0S00 认为，这这个目标的的内容已经经分别包含含在了上述述几类目标标之中。对于目标的的实现，企企业风险管管理与内部部控制一样样，只能提提供合理的的保证，而而且对于不不同的目标标所提供合合理保证的的内容也不不尽相同。对对于报告目目标和合规规目标而言言，因为有有关报告的的可靠性和和符合法律律、法规的的目标在主主体的控制制范围之内

41、内，所以可可以期望企企业风险管管理为实现现这些目标标提供合理理保证。但但是，对于于战略目标标和经营目目标而言，由由于这些目目标的实现现还取决于于一些不在在主体控制制范围之内内的外部事事项，所以以企业风险险管理可以以提供合理理保证的是是对目标的的实现过程程进行有效效的信息沟沟通，即管管理当局以以及承担监监督职能的的董事会能能够及时地地了解企业业目标实现现的进展情情况。12、企业业风险管理理框架与内内部控制框框架有什么么不同？企业风险管管理框架与与内部控制制框架相比比，在要素素构成上主主要有两个个方面的变变化：一是是以“内部环境境”取代“控制环境境”，在“内部环境境”中引入了了风险管理理理念、风风

42、险偏好两两个概念。风风险管理理理念是一套套共享的观观念和态度度，它标志志着企业考考虑风险时时的特征，反反映了企业业的价值观观，影响着着企业的文文化和经营营方式。风风险偏好反反映了一个个企业的风风险管理理理念，并影影响着企业业的文化和和经营方式式。另一个个变化是企企业风险管管理更加关关注风险，拓拓展了内部部控制框架架的风险评评估要素，进进一步细分分为目标设设定、事项项识别、风风险评估和和风险应对对四个要素素。在结构方面面，COSSO沿用了了内部控制制整合框架架中通过三三维矩阵表表现构成要要素与目标标之间关系系的表示方方法。 四四类目标用用纵向的栏栏表示，八八个构成要要素用横向向的列表示示，而一个

43、个主体内的的各个单元元则用第三三个维度表表示。这种种表示方式式使使用者者既能够从从整体上关关注一个主主体的企业业风险管理理，也可以以从目标类类别、构成成要素、主主体单元，甚甚至其中任任何一个分分项的角度度去加以认认识。企业业风险管理理的构成和和目标既是是建立健全全企业风险险管理过程程的依据，也也是评价其其有效性的的标准。认认定一个主主体的企业业风险管理理是否有效效，是在对对八个构成成要素是否否存在并有有效运行进进行评估的的基础之上上所做的判判断。构成成要素如果果存在并且且正常运行行，那么就就可能没有有重大缺陷陷，表示风风险被控制制在主体的的风险容量量之内。当当企业风险险管理分别别在四类目目标中

44、的每每一类下都都被确定为为有效时，就就可以合理理保证董事事会和管理理当局了解解主体实现现其战略和和经营目标标、主体的的报告可靠靠性以及适适用的法律律和法规被被遵循的程程度。此外外，八个构构成要素在在每个主体体中的运行行也不是千千篇一律的的。例如，在在中小规模模主体中的的应用可能能不太正式式，不太完完备。尽管管如此，当当八个构成成要素存在在且正常运运行时，依依然表示小小规模主体体的企业风风险管理是是有效的。13、企业业风险管理理-整合框架架对企业有有什么借鉴鉴意义？企业风险险管理-整整合框架再再一次强调调了系统的的概念，即即在实施企企业整体风风险管理过过程中，主主体中的每每个人都对对企业风险险管

45、理负有有责任：单单位负责人人负有首要要责任，并并且应当成成为主要责责任人；其其他管理人人员支持主主体的风险险管理理念念，并在各各自的责任任范围内依依据风险容容量去管理理风险；首首席风险官官、财务总总监、内部部审计师等等通常负有有关键的支支持责任；主体中的的其他人员员负责按照照既定的指指引和条例例去实施企企业风险管管理；董事事会对企业业风险管理理进行监督督，并察觉觉和认同主主体的风险险容量。很多外部集集团，例如如顾客、咨咨询机构、商商业伙伴、外外部审计师师、监管者者和财务分分析师，常常常提供影影响企业风风险管理的的有用信息息，但是他他们不对主主体的企业业风险管理理的有效性性承担任何何责任。COS

46、O的的企业风风险管理-整合框架架可以为为不同的利利益相关者者提供有效效的借鉴和和指导。对对企业的董董事会来说说，董事会会应当与高高级管理人人员讨论主主体企业风风险管理的的现状，并并提供所需需的监督。董董事会应当当确信知悉悉最重大的的风险，以以及管理当当局正在采采取的行动动和如何确确保有效的的企业风险险管理。董董事会应当当考虑寻求求内部审计计师、外部部审计师和和其他方面面的参与。对对企业的高高层管理当当局来说，总总经理应把把业务单元元领导和关关键职能部部门人员召召集到一起起，评估企企业风险管管理能力和和有效性。对对企业中的的其他人员员来说，应应该考虑如如何履行各各自的职责责，并与更更高层的人人员

47、讨论有有关加强企企业风险管管理的看法法。内部审审计师应该该考虑他们们关注企业业风险管理理的范围。对监管者来来说，企企业风险管管理-整合合框架可可以增进有有关企业风风险管理的的共识，为为监管者在在对他们所所监管的主主体采用规规则或指南南等形式设设定期望或或进行检查查时提供参参考。对于于为财务管管理、审计计和相关领领域提供指指南的规则则制定机构构和其他专专业组织来来说，可以以根据企企业风险管管理-整合合框架消消除概念和和术语方面面的差异，达达成共识。14、风险险管理基础础设施有哪哪些要素？它们为什什么很重要要？应当如如何考虑它它们？有效的风险险管理基础础设施通常常应具备执执行风险应应对措施的的能力

48、。风风险管理基基础设施有有6个要素素，这些要要素分别是是政策、流流程、胜任任能力、报报告、方法法和技术（系系统和数据据）。业务经营政政策：正式式的政策框框架不仅包包括普遍性性原则，也也包括较具具体的指南南。这些普普遍性原则则适用于业业务经营和和风险管理理的各个方方面。有了了政策，风风险责任人人就能够知知道企业到到底希望实实现什么目目标。政策策又是连接接战略的链链环，使战战略得以施施行。流程：流程程是企业执执行业务经经营政策的的首要途径径。胜任能力：执行企业业流程的人人员必须具具有必要的的知识、专专业技能和和经验。管理报告：企业的报报告应根据据流程责任任人的信息息需求进行行规划。各各种管理报报告应当切切实可行、使使用方便、责责任明确、频频繁程度适适当。方法：编制制管理报告告的方法既既可能提高高报告的效效果，也可可能降低报报告的效果果。有效的的方法有助助于识别风风险，确定定风险的轻轻重缓急次次序，探寻寻风险的关关键动因以以 及量化化风险。系统和数据据：信息系系统支持建建模和报告告工作，而而建模和报报告工作则则是现代化化的风险管管理能力的的必备基础础。在上述