全面风险管理与内部控制知识普及读本.docx

一、全面风险管理术语（一）风险管理基础术语 1、风险指未来的不确定性对企业实现经营目标的影响。未来的不确定性可能会对企业经营目标的实现带来负面的影响，也可能会带来正面的影响。因此，风险可分为以下两类：1.1纯粹风险是指未来事项的发生将对企业经营目标的实现产生负面影响的可能性。1.2机会风险是指未来事项的发生将对企业经营目标的实现产生正面影响的可能性。注:有关可能性的程度可以用不同等级来表示：极不可能/不太可能/可能/很可能/极有可能。2、全面风险管理指企业围绕总体经营目标，建立健全全面风险管理体系，通过在企业管理和企业经营的各个环节执行风险管理的基本流程，培育良好的风险管理文化，从而为实现风险管理的总体目标提供有效保证的过程和方法。3、风险管理框架指企业对风险管理的设计、实施、监控、检查和持续改进等进行的一系列基础的组织安排。4、风险管理基本流程指企业开展风险管理工作所进行的一系列业务活动和工作环节，具体包括：收集风险管理初始信息、风险评估、制定风险管理策略、提出和实施风险管理应对方案、风险管理的监督与改进。5、内部控制系统指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，制定并执行的风险管理规章制度、程序和措施。6、风险管理信息系统指通过信息技术，为全面风险管理的各项工作，传输企业风险和风险管理信息的系统平台，具备风险数据和信息的采集、存储、加工、分析、测试、传递、报告、披露等各项功能。7、风险文化指在企业的日常运营中，基于企业的风险哲学、风险偏好和整体企业文化形成的对待风险的态度、价值观和系列实践行为等。（二）与风险评估相关的术语1、风险评估指企业及时辨识、科学分析和评价影响经营管理目标实现的各种不确定因素并确定重大风险的过程，包括风险辨识、风险分析、风险评价三个主要步骤。2、风险辨识指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。3、风险分析指对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。4、风险评价指评估风险对企业实现目标的影响程度、风险的价值等。5、来源识别指发现、列举和描述风险来源的过程。6、风险源指单独或联合具有内在的潜在引起危险的因素。7、重大风险指经过风险评估所确定的，在当前所有风险中风险水平较高且超出企业风险承受度的风险，也即在风险图中处于高风险区域的风险。8、风险图指用于风险识别和对其进行优先排序的有效工具。一旦企业的风险被辨识和评估以后，就可以根据风险的影响程度和发生可能性等属性得分将其展示在风险图的不同位置上表明其重要程度，借此为风险管理策略和解决方案的制订提供依据。（三）与风险应对相关的术语1、风险管理策略指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、 风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。2、风险偏好指企业在实现目标的过程中所愿意承受的风险的取向数量和水平。3、风险容忍度指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。4、风险应对指企业根据风险管理策略，针对各类风险或每一项重大风险制定的一系列的风险应对方法和措施，主要包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具 (如：关键风险指标管理、损失事件管理等）。5、规避风险退出会产生风险的活动或业务。6、降低风险采取措施降低风险的可能性或影响，或者同时降低两者。7、转移风险通过转移来降低风险的可能性或影响，或者分担一部分风险。8、承受风险不采取任何措施去干预风险的可能性或影响。9、风险融资为实施风险处理及其他相关活动的费用提供资金的活动。10、剩余风险指在实施风险管理及有计划的应对控制措施后剩余的风险。剩余的风险如果超过组织的可接受风险水平，组织必须安排进一步的风险控制，将剩余风险降低到可接受的水平。二、全面风险管理常见问题解答(一）风险的概念及起源1、什么是风险？怎样正确理解风险？历史上对风险有过许多定义，至今没有完全统一。 全面风险管理中将风险定义为“未来的不确定性对实现目标的影响”，可以从以下方面来理解。首先，风险是相对于目标而言的，是对目标实现的影响。一般说来，目标定得越高、越明确，风险就越大。一个企业要想进入世界前列并保持先进地位的风险和要想随波逐流的风险明显是不一样的。实际上，没有风险就没有回报，企业不承担足够的风险就不能满足股东对于回报的期望。从这里我们就看到风险大并不一定是坏事。其次，风险是关于未来的。风险总是同未来的一个时间段联系在一起的。过去发生的事情和现在已确定的情况都不是风险，只有未来的情况才可能成为风险。所以对风险的考虑注定是前瞻性的思维，是对未来的考虑，企业风险管理是企业前瞻性的管理。再次，风险是不确定性的表现。确定的损失或收益不是风险，如果未来是完全可以精确预测的，自然也就无风险可言。不确定性主要表现为两个层面：第一个层面是风险因素本身的不确定性，第二个层面是风险因素对目标影响程度的不确定性。值得注意的是，定义中并没有把风险限定为只是负面的或者只是可能带来损失的。对目标有正面影响的风险称作机会风险，只有负面影响的风险称作纯粹风险，全面风险管理中的定义是一般性的，包含了机会风险与纯粹风险。因此，全面风险管理绝对不是仅仅为了防止出事或防止损失，还包括管理机会风险，为企业创造价值。2、风险有哪些属性？风险具有以下属性：（1）风险的存在具有客观性和普遍性作为未来结果发生的不确定性，风险是不以人的意志为转移并超越人们主观意识的客观存在，风险是无处不在、无时不有的。虽然人类一直希望认识和控制风险，但直到现在也只能在有限的空间和时间内改变风险存在和发生的条件，降低其发生的频率，减少损失程度，而不能也不可能完全消除风险。（2）某一具体风险发生的偶然性和大量风险发生的必然性任一具体风险的发生都是诸多风险因素和其他因素共同作用的结果，是一种随机现象。个别风险事故的发生是偶然的、杂乱无章的，但对大量风险事故资料的观察和统计分析，发现其呈现出明显的运动规律，这就使人们有可能用概率统计方法及其他现代风险分析方法去计算风险发生的概率和损失程度，使风险管理成为可能。（3）风险的可变性风险是随着事件的进展而发生变化的。有些风险会得到控制并消除，有些风险会发生并得到处理，同时在每一阶段又有可能产生新的风险。（4）风险的多样性和多层次性因企业生命周期长、规模大、涉及范围广、风险因素数量多且种类繁杂致使其在寿命周期内面临的风险多种多样，而且大量风险因素之间的内在关系错综复杂、各风险因素之间与外界交叉影响又使风险显现出多层次性。如果采取适当的措施使破坏或损失的概率不会出现，那么风险可能带来机会，不仅仅是规避风险，可能还会带来比例不等的收益，有时风险越大，机会越大，回报越高。因此，如何判断风险、选择风险、规避风险继而运用风险，在风险中寻求机会创造收益，意义更加深远而重大。3、风险如何分类？风险的分类标准不是绝对的，集团参照全面风险管理指引将风险划分为战略风险、财务风险、运营风险、法律风险等。战略风险是指与公司达到自身确立的战略目标有关的风险，在这些风险的影响下，公司高管层的战略决策可能无法被顺利推行，或偏离了初衷。常见的战略风险包括：政治与政策风险、投资决策风险、发展风险、品牌风险、公司治理与管控结构风险、战略规划风险等。财务风险是指一切与财务领域相关的风险，包括各类资金风险、货币风险、资产保全风险、报表披露风险等，这类风险容易造成外界甚至管理层对公司财务数据的错误认识，从而影响公司运营及声誉。常见的财务风险包括：预算控制风险、融资风险、投资管理风险、资产损失风险、财务报告编制风险、税收筹划风险、资金风险、投保风险等。运营风险是指公司正常运营过程中遇到的各类风险的总称，会涉及到公司日常业务的各个方面，这些风险的发生可能导致运营不顺、效率低下、执行错误，最严重的时候可能导致整个或部分业务链的中断。常见的运营风险包括：作业风险、HSE风险、人力资源风险、信息系统风险、价格风险、市场营销风险、原材料风险、客户风险、供应商风险等。法律风险是指公司违反国家或行业法律法规的风险，这类风险会对公司整体声誉造成极大的伤害。常见的法律风险包括：国内法律风险、对外合作法律风险、公司制度法律风险、合同风险、诉讼风险、信息披露风险等。企业风险还存在其他分类方法。如将风险依照动因是内部驱动还是外部驱动分为内部风险和外部风险，或者按照结果分为机会风险和纯粹风险。在实践中，有些风险可能会放在不同的分类中。例如，法律风险有时被归入运营风险，有时被归入战略风险。对于管理者而言，真正重要的不是如何将这些风险分类，而是如何管理这些风险。4、什么是风险管理？它是如何发展起来的？因为风险是未来的不确定性对企业实现其目标的影响，企业要想实现既定的目标，为股东取得预期的回报，就必须很好地管理风险。风险管理就是指如何在一个肯定有风险的环境里把纯粹风险降至最低并及时把握可能存在的机会的管理过程。人类对风险管理理论的研究始于20世纪初。企业风险管理发展大致经历了三个阶段：第一阶段：以“安全与保险”为特征的风险管理。100多年前，快速发展的航海业面临的海上风险催生了保险业的迅速发展，最初航运企业风险管理的主要措施就是通过保险把风险转移给保险公司，从而规避自身的风险损失。在20世纪30年代，由于受到1929-1933年的世界性经济危机的影响，美国约有40%左右的银行和企业破产，经济倒退了约20年。美国企业为应对经营上的危机，许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目。第二阶段：以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展，产生了加强“控制纯粹风险”的概念，提出公司在业务管理和流程方面，尤其是财务管理方面，要有内部控制。1949年美国发布了内部控制一调整组织的各要素及其对管理部门和注册会计师的必要性，首次对内部控制作出了权威的定义。1955年，美国宾夕法尼亚大学沃顿商学院的施耐德教授第一次提出了“风险管理”的概念。20世纪70年代中期，作为美国“水门事件”调查结果，立法者和监管团体开始对内部控制问题给以高度重视。1977年美国国会通过的反国外贿赂法，包含了要求公司管理层加强内部会计控制的条款。1983年在美国召开的风险和保险管理协会年会上，世界各国专家学者云集纽约，共同讨论并通过了 “101条风险管理准则”，这是风险管理走向实践化的一个重要文件。20世纪80年代至90年代，内部控制在结构上进一步完善。1985年，美国COSO委员会开始研究企业如何建立以财务管理为主线的有效的内部控制，1992年该委员会正式发布了内部控制一整合框架，这份框架此后被纳入政策和法规之中，并被各国数千家企业用来为实现既定目标所采取的行动加以更好的控制。1995年由澳大利亚和新西兰联合制订的AS/NZS 4360明确定义了风险管理的标准程序，这就是我们通常说的澳新ERM标准，这标志着第一个国家风险管理标准的诞生。第三阶段：以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。多年来，人们在风险管理实践中逐渐认识到，一个企业内部不同部门或不同业务的风险，有的相互叠加放大，有的相互抵消减少。因此，企业不能仅仅从某项业务、某个部门的角度考虑风险，必须根据风险组合的观点，从贯穿整个企业的角度看风险，即要实行全面风险管理。然而，尽管很多企业意识到全面风险管理，但是对全面风险管理有清晰理解的却不多，已经实施了全面风险管理的企业则更少。但2001年11月的美国安然公司倒闭案和2002年6月的世通公司财务欺诈案，加之其它一系列的会计舞弊事件，促使企业的风险管理问题受到全社会的关注。2002 年7月，美国国会通过萨班斯法案（Sarbanes-Oxley法案），要求所有在美国上市的公司必须建立和完善内控体系。在其影响下，世界各国纷纷出台类似的方案，加强公司治理和内部控制规范，加大信息披露的要求，加强企业全面风险管理。接着在2004年9月，C0S0发布企业风险管理-整合框架（Enterprise Risk Management-Integrated Framework),该框架拓展了内部控制，更加关注于企业全面风险管理这一更为宽 泛的领域，并随之成为世界各国和众多企业广为接受的标准规范。到目前为止，世界上已有30多个国家和地区，包括所有发达国家和地区及一些发展中国家如马来西亚，都发表了对企业的监管条例和公司治理准则。在各国的法律框架下，企业有效的风险管理不再是企业的自发行为，而成为企业经营的合规要求。（二）C0S0风险管理理论5、C0S0企业风险管理一整合框架是怎样产生的？在内部控制标准制定方面，美国发起人组织委员会 (C0S0)一直是国际公认的权威机构，自其成立以来，一直致力于内部控制标准的制定，引导和代表着内部控制的发展趋势。1992年，C0S0提出了内部控制一整合框架，经过十多年的应用，已成为业界普遍认可的一个标准。近些年来，一系列财务失败事件的发生以及对企业风险管理的关注，使人们越来越清楚地认识到需要一个强有力的框架以便有效地识别、评估和控制风险。2001年，C0S0开展了一个项目，委托普华永道(PWC)开发一个对于管理当局评价和改进他们所在组织的企业风险管理的框架。但在开发这个框架期间，又发 生了一系列令人嘱目的企业丑闻和失败事件，投资者、公司员工和其他利益相关者因此而遭受了巨大的损失。随之而来的便是对采用新的法律、法规和上市准则来加强公司治理和风险管理的呼吁。人们迫切需要一个能够提供关键原则和概念、共同的语言以及明晰的方向和指南的企业风险管理框架。美国在2002年颁布了萨班斯-奥克斯利法案，其他国家也已经通过或正在考虑类似的立法。这部法律扩充了长期持续的对公众公司保持内部控制制度的规定，要求管理当局证实、并由独立审计师鉴证这些制度。2004年9月，C0S0发布了企业风险管理-整合框架，它拓展了内部控制框架，更关注于企业风险管理这一更加宽泛的领域。按照C0S0的设想，他们不打算、也的确没有用企业风险管理框架取代内部控制框架，而是将内部控制框架纳入其中，公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要，还可以借此转向一个更加全面的风险管理过程。6、怎样理解企业风险管理的性质？COSO在其报告中指出，企业风险管理是一个过程， 它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其限制在该主体的风险容量之内，并为主体目标的实现提供合理保证。与内部控制相比，企业风险管理补充了两个内容：一个是战略目标，一个是风险控制。COSO在对“企业风险管理”的界定中重点强调了七个属性和理念：（1）企业风险管理是一个过程，它持续流动于企业之内；（2）企业风险管理是由组织中各个层级的人员来实施的；（3）企业风险管理应用于战略制定的过程中；（4）企业风险管理贯穿企业整体，在各个层级和单元应用，还包括采取企业整体层级的风险组合观；（5）企业风险管理旨在识别那些一旦发生将会影响企业的潜在事项，并把风险控制在风险容量以内；（6）企业风险管理能够向一个企业的管理当局和董事会提供合理保证；（7）企业风险管理力求实现一个或多个不同类型但相互交叉的目标。COSO秉承了其“整合”的思路，给出了企业风险管理的一个宽泛的定义，通过提炼对公司和其他组织风险管理的关键概念，为不同组织形式、行业和部门的应用提供了基础。另外，它直接关注特定主体既定目标的实现，并为界定企业风险管理的有效性提供了依据。7、企业风险管理有什么作用？COSO认为，企业风险管理应发挥以下作用：（1）衔接风险容量与战略管理当局在评价战略方案、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在主体的风险容量。（2）增进风险应对决策企业风险管理应能提髙企业选择风险应对策略的准确性。（3）抑减经营意外和损失主体识别潜在事项和实施应对的能力得以增强，抑制或减少了意外情况以及伴随而来的成本或损失。（4）识别和管理贯穿于企业的多重风险每一家企业都面临影响自身不同组成部分的一系列风险，企业风险管理有助于有效地应对交互影响，以及整合式地应对多重风险。（5）抓住机会通过全面考虑潜在事项，促使管理当局识别并积极地把握机会。（6）改善资本配置获取强有力的风险信息，以使管理当局能够有效地评估总体资本需求，并改进资本配置。8、怎样对企业风险管理定位？COSO在界定企业风险管理时，明确了两个所属关系：（1）内部控制是企业风险管理的一个组成部分；（2）企业风险管理是管理过程的一个组成部分。企业风险管理框架的要素都是管理层经营一个企业所做的事情。但是，并非管理层做的事情都是企业风险管理的组成部分。在管理层的决策与相关管理行为中应用的许多判断，尽管是管理过程的组成部分，但不是企业风险管理的组成部分。例如，确保有一个适当的目标设定过程是企业风险管理的一个关键组成要素，而管理层选择的特定目标不是企业风险管理的组成部分；在适当风险评估的基础上对风险做出反应是企业风险管理的组成部分，而所选择的特定风险应对策略和相关的资源配置不是企业风险管理的组成部分；确定和实施控制活动以确保管理层选择的风险应对策略得到有效的实施是企业风险管理的组成部分，而所选择的特定控制活动不是企业风险管理的组成部分。企业风险管理包括那些能够使管理层依据可靠信息做出风险基础决策的管理过程，但是从一系列适当的选择中选出的特定决策不会决定企业风险管理是否有效。另外，普华永道（PWC)在后续的一份报告中提出了个GRC (Governance, Risk, Compliance)模型。 该报告认为，组织可以通过把GRC战略性地整合进它 们的经营中，以形成一个可以对企业进行管理的道德和经营框架。这个框架包括治理（Governance)、企业风险管理（Enterprise Risk Management)和遵守 (Compliance)三个组成部分，从中可以看出企业风险管理的定位。在这个框架中，治理活动包括设定经营战略和目标，确定风险偏好，建立文化和价值观，制定内 部政策和监督绩效；风险管理活动包括识别和评价那些可能会影响目标实现能力的风险，应用风险管理来获得竞争优势和确定风险应对策略和控制活动；遵守活动包括遵照目标经营，确保遵守法律和法规、内部政策与程序以及利益相关者的委托。9、C0S0企业风险管理一整合框架包括哪些内容？COSO的企业风险管理框架是个三维立体的框架。这种多维立体的表现形式，有助于全面深入地理解控制和管理对象，分析解决控制中存在的复杂问题。第一个维度（上面维度）是目标体系，包括四类目标：（1）战略目标，即高层次目标，与使命相关联并支撑使命；（2）经营目标，高效率地利用资源；（3）报告目标，报告的可靠性；（4）合规目标，符合适用的法律和法规。第二个维度（正面维度）是管理要素，包括八个相互关联的构成要素，它们源自管理当局的经营方式，并与管理过程整合在一起，具体为：（1）内部环境。管理当局确立关于风险的理念，并确定风险容量。所有企业的核心都是人（他们的个人品性，包括诚信、道德价值观和胜任能力）以及经营所处的环境，内部环境为主体中的人们如何看待风险和着手控制风险确立了基础。（2）目标设定。必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标，并保证选定的目标支持主体的使命并与其相衔接，以及与它的风险容量相适应。（3）事项识别。必须识别可能对主体产生影响的潜在事项，包括表示风险的事项和表示机会的事项，以及可能二者兼有的事项。机会被追溯到管理当局的战略或目标制定过程。（4）风险评估。要对识别的风险进行分析，以便确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。（5）风险应对。员工识别和评价可能的风险应对措施，包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相适应。（6）控制活动。制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施。（7）信息与沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。广泛意义的有效沟通包括信息在主体中向下、平行和向上流动。（8）监控。整个企业风险管理处于监控之下，必要时还会进行修正。这种方式能够动态地反映风险管理状况，并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。第三个维度（侧面维度）是主体单元，包括集团、部门、业务单元、分支机构四个层面。10、目标设定、事件识别和风险评估这三者间有什么关联？“目标设定”也就是管理层制定战略目标，为确定运营，报告和合规目标提供了背景。这些目标要与公司的风险承受能力相匹配，而风险承受能力不仅决定着公司的风险容忍度高低，同时也是识别事件、评估风险和响应风险的前提条件。在对事件进行识别时，需要考虑具体的目标。“识别事件”即管理层识别出潜在的事件，这些事件可能会对公司实施战略和实现目标的能力产生正面或负面影响。潜在的负面事件就是赖以评估风险和风险应对措施效能的环境情景。潜在的正面事件则代表着机会，管理层应在制定战略和目标的过程中将这些机会纳入考虑范围。“评估风险”即管理层采用定量和定性方法来评估可能会影响目标实现的未来事件的可能性及其潜在影响。管理层既可以单独地评估各项事件，也可以分门别类地进行评估。因此，要想真的取得成效，风险评估就需要预设要实现的目标，从而周密地盘查清点出潜在的未来事件。11、怎样理解风险管理框架中企业风险管理的目标？企业风险管理框架目标体系中，增加了内部控制整合框架中所没有的一类目标：战略目标。虽然是平行的方式列示，但是，战略目标在这个目标体系中是最高层次的，其他三类目标都应当从属于战略目标。都是在为战略目标服务。此外，企业风险管理框架的报告目标也有所拓展。在内部控制框架中，报告指的是公布的财务报表。报告目标主要关注公布的财务报表的可靠性，而在企业风险管理框架中，报告包括由企业编制、向内部和外部散发的所有报告，而且范围也从财务报表的财务信息扩展到了更广泛的非财务信息。尽管在企业风险管理框架中，并没有明确表示其遵守目标与内部控制的遵守目标有什么不同，但是，负责拟定企业风险管理框架的普华永道(PWC)在其2004年的一份名为整合-驱动绩效的 报告中认为：“主要关注遵守法律、法规的传统合规方法是不充分的，遵守内部治理、道德与风险标准和政策在防止遭受与声誉相关的风险方面更有效。”该报告对 “遵守”的内涵进行了拓展，提出了一个全新视角的“遵守”，给出了一个遵守风险的新定义。遒守风险是指 “由于没有能够遵守法律法规、内部规则和政策以及顾客、雇员和社会等主要利益相关者的期望而导致对组织的经营模式、声誉和财务状况产生损害的风险”。另外，内部控制整合框架1994年补充的“保护资产”目标在企业风险管理框架中并没有单列，因为C0S0 认为，这个目标的内容已经分别包含在了上述几类目标之中。对于目标的实现，企业风险管理与内部控制一样，只能提供合理的保证，而且对于不同的目标所提供合理保证的内容也不尽相同。对于报告目标和合规目标而言，因为有关报告的可靠性和符合法律、法规的目标在主体的控制范围之内，所以可以期望企业风险管理为实现这些目标提供合理保证。但是，对于战略目标和经营目标而言，由于这些目标的实现还取决于一些不在主体控制范围之内的外部事项，所以企业风险管理可以提供合理保证的是对目标的实现过程进行有效的信息沟通，即管理当局以及承担监督职能的董事会能够及时地了解企业目标实现的进展情况。12、企业风险管理框架与内部控制框架有什么不同？企业风险管理框架与内部控制框架相比，在要素构成上主要有两个方面的变化：一是以“内部环境”取代“控制环境”，在“内部环境”中引入了风险管理理念、风险偏好两个概念。风险管理理念是一套共享的观念和态度，它标志着企业考虑风险时的特征，反映了企业的价值观，影响着企业的文化和经营方式。风险偏好反映了一个企业的风险管理理念，并影响着企业的文化和经营方式。另一个变化是企业风险管理更加关注风险，拓展了内部控制框架的风险评估要素，进一步细分为目标设定、事项识别、风险评估和风险应对四个要素。在结构方面，COSO沿用了内部控制整合框架中通过三维矩阵表现构成要素与目标之间关系的表示方法。 四类目标用纵向的栏表示，八个构成要素用横向的列表示，而一个主体内的各个单元则用第三个维度表示。这种表示方式使使用者既能够从整体上关注一个主体的企业风险管理，也可以从目标类别、构成要素、主体单元，甚至其中任何一个分项的角度去加以认识。企业风险管理的构成和目标既是建立健全企业风险管理过程的依据，也是评价其有效性的标准。认定一个主体的企业风险管理是否有效，是在对八个构成要素是否存在并有效运行进行评估的基础之上所做的判断。构成要素如果存在并且正常运行，那么就可能没有重大缺陷，表示风险被控制在主体的风险容量之内。当企业风险管理分别在四类目标中的每一类下都被确定为有效时，就可以合理保证董事会和管理当局了解主体实现其战略和经营目标、主体的报告可靠性以及适用的法律和法规被遵循的程度。此外，八个构成要素在每个主体中的运行也不是千篇一律的。例如，在中小规模主体中的应用可能不太正式，不太完备。尽管如此，当八个构成要素存在且正常运行时，依然表示小规模主体的企业风险管理是有效的。13、企业风险管理-整合框架对企业有什么借鉴意义？企业风险管理-整合框架再一次强调了系统的概念，即在实施企业整体风险管理过程中，主体中的每个人都对企业风险管理负有责任：单位负责人负有首要责任，并且应当成为主要责任人；其他管理人员支持主体的风险管理理念，并在各自的责任范围内依据风险容量去管理风险；首席风险官、财务总监、内部审计师等通常负有关键的支持责任；主体中的其他人员负责按照既定的指引和条例去实施企业风险管理；董事会对企业风险管理进行监督，并察觉和认同主体的风险容量。很多外部集团，例如顾客、咨询机构、商业伙伴、外部审计师、监管者和财务分析师，常常提供影响企业风险管理的有用信息，但是他们不对主体的企业风险管理的有效性承担任何责任。COSO的企业风险管理-整合框架可以为不同的利益相关者提供有效的借鉴和指导。对企业的董事会来说，董事会应当与高级管理人员讨论主体企业风险管理的现状，并提供所需的监督。董事会应当确信知悉最重大的风险，以及管理当局正在采取的行动和如何确保有效的企业风险管理。董事会应当考虑寻求内部审计师、外部审计师和其他方面的参与。对企业的高层管理当局来说，总经理应把业务单元领导和关键职能部门人员召集到一起，评估企业风险管理能力和有效性。对企业中的其他人员来说，应该考虑如何履行各自的职责，并与更高层的人员讨论有关加强企业风险管理的看法。内部审计师应该考虑他们关注企业风险管理的范围。对监管者来说，企业风险管理-整合框架可以增进有关企业风险管理的共识，为监管者在对他们所监管的主体采用规则或指南等形式设定期望或进行检查时提供参考。对于为财务管理、审计和相关领域提供指南的规则制定机构和其他专业组织来说，可以根据企业风险管理-整合框架消除概念和术语方面的差异，达成共识。14、风险管理基础设施有哪些要素？它们为什么很重要？应当如何考虑它们？有效的风险管理基础设施通常应具备执行风险应对措施的能力。风险管理基础设施有6个要素，这些要素分别是政策、流程、胜任能力、报告、方法和技术（系统和数据）。业务经营政策：正式的政策框架不仅包括普遍性原则，也包括较具体的指南。这些普遍性原则适用于业务经营和风险管理的各个方面。有了政策，风险责任人就能够知道企业到底希望实现什么目标。政策又是连接战略的链环，使战略得以施行。流程：流程是企业执行业务经营政策的首要途径。胜任能力：执行企业流程的人员必须具有必要的知识、专业技能和经验。管理报告：企业的报告应根据流程责任人的信息需求进行规划。各种管理报告应当切实可行、使用方便、责任明确、频繁程度适当。方法：编制管理报告的方法既可能提高报告的效果，也可能降低报告的效果。有效的方法有助于识别风险，确定风险的轻重缓急次序，探寻风险的关键动因以 及量化风险。系统和数据：信息系统支持建模和报告工作，而建模和报告工作则是现代化的风险管理能力的必备基础。在上述的基础设施要素中，如果任一个要素有缺陷，那么，其他要素的效能也会随之显著降低。15、怎样理解全面风险管理？全面风险管理代表当代风险管理的最佳实践。简单地说，全面风险管理就是为了将企业的风险管理在由企业战略决定的范围之内，为企业实现其经营目标提供合理保证的过程和方法。（1）全面风险管理首先是一种理念，即以相关人利益最大化为企业的目标，把企业放到不确定性的框架中去考虑，强调企业内外部环境的不确定性。全面风险管理的理念代表了人们对世界、对市场的一种全新的认识，即随着信息技术的进步和全球经济一体化的发展，企业内外部环境的不确定性正日益成为企业生存所必须面对的常态。（2）全面风险管理以风险为管理对象，风险的丰富内涵使得企业管理的方方面面可以通过不确定性这一共有的基本属性而统一和整合起来，全面风险管理也因此覆盖了企业从战略管理到运营管理的方方面面。另一方面，全面风险管理通过不确定性这一独特的视角，通过在企业管理的各个环节使用风险管理的方法和技术，强化了企业的各项管理，提升了企业整体的管理水平。（3）全面风险管理是积极、主动的管理风险。当风险发生时有充分的准备，可以将风险控制在企业能够承担的水平。（4）全面风险管理具有全面性。全面性主要体现在其管理企业面临的所有重大风险，人员从公司高层到基层员工全面参与；应对方法全面，采取多样化、系统的应对方法管理风险，在整个企业范围内，也就是在企业的每个层面和每个单元中予以实行。16、为什么要实施全面风险管理？全面风险管理有助于管理层协调风险承受能力与企业战略之间的匹配关系，强化风险应对决策，减少营运意外事件和损失，识别和管理贯穿整个企业的风险，建立抵抗多重风险的综合响应预案，抓住机遇及改善资本配置。实施全面风险管理有以下四个基本原因：（1）减少绩效不稳定性全面风险管理帮助管理层：评估重大事件发生的可能性及其影响效应；提出预防这些事件发生或管理这些事件（如确实已经发生）影响的相应措施。绝大多数公司都只是重视久为人知的传统风险，而很少有公司具有预测新风险的系统化流程。因此，许多公司等到知道了关键风险时，经常已经太晚了，或者只是因为偶然的机会才得以知道关键风险的，这难免会出现大量的“应急救火”和危机管理的场景，不仅大量地消耗资源，而且也会产生新的薄弱环节。全面风险管理的战略视野超越了只重视发生概率低的毁灭性重大风险的传统风险管理范畴，涵盖了更广阔的风险管理领域，着重化解破坏企业价值主要源泉的风险。通过着力减少盈利波动、避免发生盈利相关的意外情况和管理关键绩效指标缺陷等手段，协助管理层增加经营绩效的稳定性，改进了日益增长的化解风险成本的管理工作，提高了实现业务目标的成功率。(2)强化公司治理全面风险管理与公司治理是相互关联，互为增益的。全面风险管理强化董事会的监督职能，强行对高级管理层层级的现行监督结构进行评估，澄淸风险管理的作用和职责，确立风险管理的权力和范围，并有效地沟通支持关键风险目标的各项风险应对举措。所有这些活动都离不开良好的治理。同样地，有效的治理也为下列两项活动确立了基调：a）了解风险及风险管理能力；b）协调风险承受能力与企业寻求机遇行为之间的关系。（3）成功应对不断变化的业务环境当今时代，业务环境不断在变化，变化的节奏也越来越快，为此，企业必须提升自己识别风险，确定风险轻重缓急次序和规划风险的能力。全面风险管理有助于管理层评估现有经营模式的各项基础假设，评估在执行模型时所采用的各项战略的效能，评估进行决策时所需的各种信息，增强企业管理风险的能力。由于环境在不断变化，新的风险不断地涌现出来，甚至升级，因此，要适时地采取相应的行动，必要时还要予以披露。这些活动都会影响到整个企业的资源分配。（4）增强投资界和利益相关者的信心在评估目标公司的过程中，机构投资者、评级机构和监管机构现在越来越看重风险管理的重要性，而利益相关者也可能会要求企业管理层公开和评价企业在了解和管理风险方面的能力，以便对照所承受的风险，粗略地评估自己的投资回报。随着公司风险及风险管理能力的透明度不断增强，公司的主要风险管理能力日趋完善，管理层也将能更有效，更清楚地解释自己在处理现有及潜在的行业问题方面的成就。17、传统风险管理模式与全面风险管理有什么不同？一些公司采用传统的风险管理模式，在这些公司中，全面风险管理只是一个“未来的目标状态”，传统风险管理的焦点是财务风险、事故风险和内部控制，目标是保护企业价值，主要由财务、保险和业务营运等部门负责实施，重点是财务和营运，风险管理的适用对象是选定的风险领域、业务单位和流程。而全面风险管理的焦点是业务风险和内部控制，采取对全企业风险进行组合处理的观点，目标是保护并提升企业价值，实施范围深入整个公司的所有层面和单元，重点是制定战略，适用对象包括全企业所有的价值来源。从传统风险管理模式过渡到上述的全面风险管理模式不是轻而易举的事情。在传统的风险管理方法中，过程是断续的，缺乏完整性，风险也被看成是（力求避免的）消极不利的因素，临时的被动行为被普遍地认同，而且风险管理活动也以交易为导向（或以成本为基础），关注范围狭隘，依靠职能拉动。但在全面风险管理中，整个流程是完整一体化的，是连续不断的。风险也被看成是积极有利的因素（因认识到成功的公司要抓住机会就必须得冒险），因此，采取主动积极的行为也在人们的预料之中，而风险管理活动也是富有战略目标(或增值）的活动，关注的范围较宽广，依靠流程拉动。传统风险管理模式侧重于管理与实物资产和财务资产相关的不确定因素。全面风险管理则侧重于管理企业的整个资产组合，包括无形资产（如客户资产，雇员和供应商资产和组织资产（如差别化战略，独特品牌，创新性流程和专用系统等）。在业务活动的所有方面都已经采用了真正全企业思想的公司寥寥无几。在建设全面风险管理基础设施的初期阶段，公司一般都只是奠定了基础，包括确立共同的风险语言，建立风险管理监督机构和采用适用于整个企业的风险评估流程。与传统的风险管理相比，全面风险管理强调整体性和与企业战略目标的紧密结合，大大扩展了传统风险管理的应用范围，在手段和技术上也有大量的创新。18、有些企业是否不需要实行全面风险管理？每一个成功的企业都面临风险。全面风险管理是一个对风险与机遇做出响应的过程。不管在哪个行业，绝大多数企业的执行管理层都是关注投资和回报、机遇和利润、竞争优势和企业增长。这正是全面风险管理对企业成功至关重要的原因，它帮助经理们树立信心，帮助他们充分地了解本企业所面临的风险，帮助他们储备管理这些风险所需的能力。每一个成功的企业都会冒险。企业管理层所做出的每一个行动或不行动的抉择都影响着这个企业的风险特征。鉴于外部环境中因素错综复杂，如竞争、管制法规和其他影响因素，全面风险管理能帮助管理层培养起选择最佳机会的独特技能，与其他竞争对手拉开差距。而当选择最佳机会能力的提高后，反过来又会激发企业完善其猎寻机遇的行为。每一个成功的企业都要对风险作出应对，企业管理层必须在不断变化的市场现实中进行经营。当他们根据企业的风险承受能力，把资源投入到最佳机遇中去时，必须对相应的风险和回报进行仔细地评估。他们必须满怀信心地让投资者和其他利益相关者相信：除了能在国际市场上日渐走向繁荣的同时，企业也正在行之有效地管理相伴而来的风险。全面风险管理基础设施将有助于管理层和董事们更好地应对这些挑战，无论对上市公司还是对私有企业，它都同样适用。19、谁负责企业风险管理工作？因为企业风险管理的重点工作是制定战略，因此主体责任应当从企业的最高层开始，自执行管理层逐级地向下延伸，直到各业务单位和职能经理。董事会负责进行监督。此外，首席风险官（或类似职权的高管人员）也将参与这项工作。视风险的性质及其复杂程度，以及有无跨职能，跨部门协调的必要性，相应地也可能还要设立一个或多个风险管理委员会。在具体实践中，大部分企业均指定一个或者多个部门联合负责全面风险管理工作，需要注意的是，全面风险管理的责任不在于某一具体的领导或者具体的部门，他们仅仅是风险管理的业务指导部门，而真正的风险存在于业务领域，业务部门才是风险管理的第一道防线。20、谁应该参与企业风险管理流程，怎样参与？尽管企业风险管理的最终责任始于高级管理层，但每个相关人员都应不同程度地参与企业风险管理流程。 虽然有多位高级管理人员主管企业风险管理工作，但只有在组织中的关键管理人员全都参与的情况下，企业风险管理流程才能发挥最大效用。公司管理人员“支持企业的风险管理理念，促进同企业的风险承受能力保持相符，并且按照风险容忍度在各自责权范围内管理风险”，因此在全企业内甄选领导和得到他们的支持对于成功地实施企业风险管理至关重要。企业风险管理的目标之一就是将风险管理纳入公司议程和决策过程。这意味着，归根到底，每位经理都有责任。但是，只有在绩效目标已得到明确地表述，个人对相关的结果承担责任时，人人负责的形势才会出现。21、企业风险管理是否需要向管理层汇报？怎样报告？企业风险管理的效果在很大程度上取决于公司信息与沟通的效果。在这项内容中，报告不可缺少，因为报告能增加全公司的风险和风险管理的透明度，从而使风险评估、执行风险应对措施和控制活动以及对绩效进行监督等活动得以贯彻完成。然而具体说来，应该报告什么？向谁报告？多长时间报告一次？这些报告应当如何使用？报告的内容要具体详细到什么程度？风险管理信息可以按多种方式进行归纳总结，例如，既可以从全企业的层面进行总结，也可以按业务单位、风险单位、地域或产品类别来归纳总结。总之，目的是根据风险的本质和具体情况的要求，让决策者能够每月、每周、每天甚至实时地对风险管理的绩效进行评估。以下是风险管理报告常见的几种类型，这些报告旨在向执行管理层提供决策信息：（1）投资项目风险分析报告；（2）风险现状评估报告；（3）涉险值报告：评估现有投资组合状况对于市场利率波动超过规定限额的敏感度，同时考察收益或现金流可能蒙受严重损失的风险；（4）经营风险报告：总结按政策或既定限额属于已发生的例外情况（即违反限额），其中包括任何重大故障、误差、事故、意外事件、损失（包括丧失的机会） 或者“侥幸事件”和“近似差错事件”。（5）专题研究或针对性分析报告：评估那些可能会引起业务中断的特定事件或预期可能会发生的问题。山东省省管企业全面风险管理指引及山东省国资委考核文件要求企业建立风险报告机制，定期编制风险管理报告；企业各层级定期向上级管理部门提交风险管理报告；遇到重大问题，单独编制提交风险管理报告。向监督管理机构提交的企业整体全面风险管理报告要包括企业目前存在的风险评估、风险管理组织架构、 风险管理流程、重大风险损失事件、风险管控制度措施、是否存在重大风险管控缺陷、可能出现的风险及损失、风险管控改进措施等。企业应当由总经理负责研究提出全面风险管理报告报董事会审议。(三）全面风险管理理论与实践22、中国的全面风险管理是怎样发展起来的？中国对内控及风险管理的研究开始于上世纪80年代。一些学者将风险管理和安全系统工程理论引入中国，在少数企业试用中感觉比较满意。但中国大部分企业缺乏对风险管理的认识，也没有建立专门的风险管理机构和制度。我国系统的内控制度建设是在有了会计法之后。1999年修订的会计法第一次以法律的形式对建立健全内部控制提出原则要求，财政部随即连续制定发布了内部会计控制规范一基本规范等7项内部会计控制规范。但从更宽泛的管理意义上来说，真正把内部控制和风险管理形成法规，是受到美国2002年安然事件、世通公司财务欺诈案及随后美国的萨班斯法案的影响。2006年经国务院批准，这一问题提上议事日程，成立了企业内部控制标准委员会，正式开始这项工作。当年6月6日，国资委发布了中央企业全面风险管理指引，这是我国第一个全面风险管理的指导性文件，意味着中国走上了风险管理的中心舞台。明确要求企业要重视和开展全面风险管理，同时明确什么是全面风险管理以及企业如何开展全面风险管理工作。2008年山东省国资委发布了山东省省管企业全面风险管理指引，选择部分省管企业开展全面风险管理试点，标志着山东省管企业全面风险管理工作正式起步。23、“风险管理指引”中如何定义全面风险管理？全面风险管理的总体目标是什么？指引中所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。全面风险管理总体目标是：（1）确保将风险控制在与企业总体目标相适应并可承受的范围内；（2）确保企业抓住可能存在的机会；（3）确保遵守有关法律法规，实现内外部，尤其是企业与股东之间实现真实、可靠的信息沟通；（4）确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；（5）确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。全面风险管理的有效与否就是看其能否为企业实现以上五个目标提供合理的保证。所谓合理的保证是相对于绝对的保证而言。由于全面风险管理系统本身和人们操作过程中的缺陷，技术和信息的不足，自然存在的不确定性，以及对成本的考虑等，全面风险管理在大多数情况下不可能而且也不应该对企业实现其目标提供绝对的保证。24、全面风险管理工作的主要内容是