COSO风险管理框架中文版

1、 34/34COSOO风险管管理框架架中文版版概览一些公司司和企业业的管理理者已经经在企业业内部建建立了一一系列确确认和管管理风险险的过程程，而现现在有许许多企业业也已经经开始或或正在考考虑建立立自己的的确认和和管理风风险的过过程。虽虽然管理理者已经经掌握了了大量的的企业风风险管理理的信息息（包括括大量公公开出版版的文献献），但但实务中中却并不不存在统统一的术术语，而而且也很很少有普普遍接受受的原则则可供管管理者在在构建一一个有效效的风险险管理框框架时作作为指南南。COSOO 委员员会已经经认识到到对企业业风险管管理概念念性指南南的需要要，因而而该委员员会发起起了一个个建立一一个概念念性的、适

2、当的的风险管管理框架架的计划划，旨在在支持企企业建立立或评判判企业风风险管理理过程的的项目提提供完整整的原则则、能用用的术语语和实务务操作指指南。另另一相关关的目标标是使构构建的这这个框架架可以作作为管理理者、董董事、主主管人员员、学者者和其他他相关人人员更好好地理解解企业风风险管理理及其优优点和局局限性提提供一个个统一的的基础，以便在在风险管管理问题题方面进进行有效效地交流流。本概览列列出了企企业风险险管理框框架的关关键内容容，包括括企业风风险管理理的定义义、内容容和基本本原则，风险管管理的优优点、局局限性以以及各相相关方的的地位和和职责。本概览览还强调调企业风风险管理理的相关关性和其其与C

3、OOSO 内部控控制报告告的关系系。如果果想更加加深入地地了解有有关知识识，请看看企业风风险管理理框架的的全文。（一）企企业风险险管理的的相关性性企业风险险管理的的基本前前提是每每一个企企业，无无论是盈盈利组织织、非盈盈利组织织，还是是政府机机构，其其存在的的目的都都是为其其利益相相关方带带来价值值。所有有的企业业都要面面对不确确定性。对企业业管理者者而言，所面临临的挑战战是在追追求企业业利益相相关方价价值增长长的同时时，决定定企业准准备接受受的不确确定性的的程度。不确定定性既代代表风险险，也代代表机遇遇，既存存在使企企业增值值的可能能，也存存在使企企业减值值的风险险。风险险管理框框架就是是为

4、管理理者提供供一个框框架，使使其能够够有效处处理不确确定性及及相应的的风险和和机遇，进而提提高企业业创造价价值的能能力。1不确确定性企业经营营的环境境中有许许多因素素都会给给企业带带来不确确定性，如全球球化、技技术、法法规、企企业重构构、多变变的市场场以及竞竞争等。不确定定性来源源于无法法明确地地决定潜潜在事项项将要发发生的可可能性及及其相应应结果。2价值值从战略的的制定到到企业的的日常经经营，管管理者的的决策会会创造、保持或或减少企企业的价价值。决决策的本本质就是是确认风风险和机机遇，它它要求企企业的管管理1应在考考虑企业业内、外外部环境境的因素素的基础础上，对对企业的的稀缺资资源进行行配置

5、，并且根根据环境境的不断断变化来来调整企企业的活活动。当企业的的利益相相关方取取得其相相应价值值的可确确认收益益时，企企业的价价值也得得到实现现。对于于公司而而言，当当股东承承认由于于股价上上扬所带带来的价价值时，他们也也就承认认了企业业的价值值。对于于政府机机构，当当该机构构以一个个可接受受的成本本所提供供的服务务的收益益得到确确认时，机构的的价值就就得以实实现。对对于非盈盈利组织织的利益益相关方方而言，当他们们确认组组织所提提供的社社会福利利的价值值时，他他们也就就承认了了该组织织的价值值。企业业风险管管理使管管理者能能够创造造持久的的价值并并能够将将创造价价值的信信息传递递给利益益相关方

6、方。3企业业风险管管理的优优点所有企业业都是在在有风险险的环境境下经营营，而不不是企业业风险管管理使企企业面临临这样的的环境。企业风风险管理理是使管管理者能能够在充充满风险险的环境境中更加加有效地地经营。企业风险险管理使使企业的的管理者者能够：（1）将将风险偏偏好和企企业的战战略结合合在一起起。从广义来来讲，风风险偏好好是一个个公司或或企业在在追求其其目标的的过程中中愿意接接受的风风险的程程度。管管理者在在评估企企业的战战略方案案时首先先要考虑虑企业的的风险偏偏好，其其后，在在制定与与企业战战略相对对应的目目标和建建立一定定的机制制管理相相应的风风险时也也应考虑虑企业的的风险偏偏好。（2）将将

7、企业成成长、风风险和收收益联系系起来经济主体体在企业业价值保保值、增增值的过过程中也也要接受受相应的的风险，同时预预期补偿偿风险的的相应收收益。企企业风险险管理提提高了企企业确认认和评估估风险的的能力，进而使使企业能能够确定定相对于于企业成成长性和和收益目目标而言言的风险险的可接接受水平平。（3）增增加风险险反应决决策企业风险险管理提提供了确确认和选选择不同同的风险险反应方方案的严严格标准准。企业业的风险险反应方方案包括括风险规规避、风风险降低低、风险险共担和和风险接接受。企企业风险险管理提提供了进进行相关关决策的的方法和和技术。（4）使使企业的的经营意意外和损损失最小小化经济主体体可能提提高

8、确认认潜在事事项、评评估风险险和明确确反应方方案，最最后减少少经营意意外的出出现次数数以及减减少相应应的成本本或损失失。（5）确确认和管管理企业业的总体体风险每一个经经济主体体都面临临着许多多风险，而不同同的风险险会影响响企业经经营的各各个方面面。管理理不仅需需要对每每一种风风险进行行管理，还需要要了解风风险对企企业总体体的影响响。（6）针针对多重重风险提提供完整整的反应应方案企业的经经营过程程存在许许多内在在的风险险，企业业风险管管理就是是为管理理风险提提供一整整套解决决方案。（7）抓抓住机遇遇管理不仅仅要考虑虑风险，还需要要考虑潜潜在的事事项对企企业的影影响。对对潜在事事项有一一个完整整的

9、了解解可以使使管理对对每一潜潜在事项项表明何何种机遇遇有一个个了解。（8）合合理分配配资金关于企业业总体风风险的更更为明确确的信息息可以使使企业的的管理者者能够更更加有效效地评估估企业总总体的资资金需要要，改进进企业的的资金配配置。企企业风险险管理本本身并不不是目的的，它仅仅仅是实实现目的的的一种种方式。它不能能、也无无法在一一个经济济主体内内单独运运行，而而是企业业管理过过程的一一个推动动器。企企业风险险管理向向董事会会提供最最重要的的风险的的信息以以及这些些风险应应如何管管理的建建议，进进而与公公司治理理相联系系。而且且，风险险管理与与企业的的绩效管管理也有有关，风风险管理理通过提提供风险

10、险调节的的措施和和内部控控制来帮帮助企业业的绩效效管理。内部控控制是企企业风险险管理的的一部分分。风险险管理帮帮助一个个经济主主体实现现其经营营和利润润目标、防止资资源的浪浪费。它它还有助助于确保保企业报报告的有有效性。此外，企业风风险管理理还有助助于保证证企业遵遵守有关关的法律律、法规规，避免免其声誉誉受损并并防止产产生相应应的不良良后果。总之，企业风风险管理理可以帮帮助一个个经济主主体实现现其目标标、及在在实现目目标的过过程中避避开陷井井和防止止意外的的发生。（二）企企业风险险管理的的定义企业风险险管理是是企业的的董事会会、管理理层和其其他员工工共同参参与的一一个过程程，应用用于企业业的战

11、略略制定和和企业的的各个部部门和各各项经营营活动，用于确确认可能能影响企企业的潜潜在事项项并在其其风险偏偏好范围围内管理理风险，对企业业目标的的实现提提供合理理的保证证。这一定义义反映了了一些基基本概念念：1企业业的风险险管理是是一个过过程其本身身并不是是一个目目的，而而是实现现目的的的一种方方式。2风险险管理受受人的影影响它不只只是企业业的政策策、调查查和表格格，还涉涉及一个个企业各各个层次次员工。3风险险管理也也适用于于企业战战略制定定过程。4企业业风险管管理应在在整个企企业范围围内应用用，在每每一个经经营层面面和每一一个单位位内应用用，并应应以一种种企业总总体的风风险组合合的观点点来看待

12、待。5风险险管理的的设计应应有助于于确认会会对企业业造成潜潜在影响响的事项项并确保保在企业业风险偏偏好的范范围内管管理企业业的风险险。6风险险管理仅仅为企业业的管理理者和董董事会提提供合理理的保证证。7企业业风险管管理的目目标是帮帮助企业业一类或或几类单单独并相相互重叠叠的目标标的实现现。从广义上上定义这这一概念念主要有有几个原原因：这这一定义义应包括括公司和和其他企企业管理理风险的的几个基基本概念念，并可可以应用用于各种种组织、行业和和部门。它直接接针对企企业目标标的实现现。此外外，这一一定义应应为定义义企业风风险管理理的有效效性提供供一个基基础。上上述基本本概念详详细论述述如下：1一个个过

13、程企业的风风险管理理并不是是一个事事项或环环境，而而是渗透透于企业业各项活活动中一一系列行行动。这这些行动动普遍存存在于管管理者对对企业的的日常管管理中，是企业业日常管管理所固固有的。一些人人认为，企业风风险管理理对企业业的各项项活动而而言是多多余的，是企业业必须承承担的一一个负担担，但CCOSOO 的讨讨论稿则则并不这这样认为为。但有有效的企企业风险险管理仍仍旧需要要企业各各管理层层不懈的的努力。例如，风险评评估要求求企业不不断地努努力来建建立必要要的评估估模型并并进行必必要的分分析和计计算。但但是，这这些以及及其他的的企业风风险管理理机制与与企业的的经营活活动是并并存的，是由于于最基本本的

14、商业业原因而而存在的的。当企企业风险险管理机机制成为为企业的的基础设设施并真真正成为为企业的的一部分分时，企企业的风风险管理理会最有有效。通通过建立立风险管管理，企企业可以以直接提提高自身身的战略略执行能能力，并并提高企企业预期期和任务务的实现现能力。建立风险险管理对对企业的的成本构构成同样样有重要要的影响响，特别别是在目目前大多多数企业业都面临临高度竞竞争的市市场环境境的情况况下。在在现有工工序的基基础上增增加新的的工序会会增加成成本，而而通过关关注现有有的经营营过程以以及他们们对实现现有效风风险管理理的贡献献，并将将风险管管理整合合到企业业的基本本经营活活动之中中，一个个企业就就能够避避免

15、不必必要的工工序和成成本。并并且，将将风险管管理整合合到企业业日常的的经营过过程中有有助于管管理者抓抓住企业业发展的的新机遇遇。2受人人的影响响企业的风风险管理理会受董董事会、管理层层和其他他人员的的影响，风险管管理是通通过组织织内的人人来完成成的，是是通过人人的所做做和所说说实现的的。是企企业内的的人制定定企业的的任务/预期，战略和和目标，并实施施企业的的风险管管理机制制。同样样，企业业风险管管理也影影响人的的行动。企业风风险管理理要认识识到人对对事物的的理解、沟通或或执行并并不总是是一致的的。企业业中的每每个人都都有不同同的背景景和技术术能力，都有不不同的需需求和优优势。这这些因素素都会影

16、影响企业业的风险险管理，也会受受风险管管理的影影响。每每个人的的出发点点都不同同，这会会影响他他们对风风险的确确认、评评估和反反应。企企业风险险管理就就是要提提供了一一个机制制，帮助助人们从从企业总总体目标标的角度度认识风风险。企企业的员员工必须须了解他他们自己己的职责责和权限限。因此此，除了了要明确确员工的的职责和和企业的的战略和和目标之之间的联联系之外外，还要要明确员员工的职职责和他他们履行行职责的的方式之之间的联联系。_一个个组织的的员工包包括董事事会成员员、管理理者和其其他人员员。尽管管企业的的董事主主要负责责监督，但是他他们同时时也向管管理者提提供指导导，核准准企业的的战略、某些活活

17、动和政政策。因因此，董董事会是是企业风风险管理理的重要要组成部部分之一一。3可应应用于企企业战略略的制定定一个企业业要确定定其预期期或任务务，并制制定其战战略目标标。企业业的战略略目标是是企业最最高层次次的目标标，它与与企业的的预期和和任务相相联系并并支持预预期和任任务的实实现。一一个企业业为实现现其战略略目标而而制定战战略方案案，并将将战略方方案分解解成相应应的目标标，再将将目标层层层分解解到企业业的各业业务部门门、行政政部门和和生产线线。在制制定企业业的战略略方案时时，管理理者应考考虑与不不同的战战略方案案相关的的风险。4应用用于整个个企业为使企业业的风险险管理获获得成功功，一个个企业必必

18、须从全全局，从从企业总总体层面面上考虑虑企业的的活动。企业的的风险管管理应考考虑组织织内所有有层面的的活动，从企业业总体的的活动（如战略略计划和和资源分分配）到到各业务务部门的的活动（如市场场部、人人力资源源部），到各业业务流程程（如生生产过程程和新客客房信用用审核）等等。企业风风险管理理还可用用于特定定项目和和新的行行动计划划，尽管管该项目目或计划划可能在在企业的的管理流流程或组组织流程程图中尚尚无明确确的定位位。企业业风险管管理要求求企业以以风险组组合的观观点看待待风险。这会要要求企业业内负责责各业务务部门、行政部部门、生生产流程程或其他他活动的的管理者者对本部部门的风风险进行行评估。这些

19、评评估可以以是定量量的，也也可以是是定性的的。企业业的高级级管理者者应以一一种组合合的观点点看待企企业内每每个下级级层面的的风险，以决定定企业总总的风险险组合是是否与企企业的风风险偏好好相对应应。管理理者应以以总体的的组合观观来考虑虑相关风风险。对对相关的的风险应应予确认认并采取取措施使使承担的的风险落落在企业业风险偏偏好的范范围内。对企业业内部每每个单位位的风险险而言，可能都都落在该该部门的的风险容容忍度的的范围内内，但从从总体来来看，合合并后的的风险可可能超过过了企业业总体的的风险偏偏好。企企业总的的风险偏偏好应通通过对特特定目标标确立相相应的风风险容忍忍度的方方式在企企业内部部向下贯贯彻

20、。5风险险偏好风险偏好好是指一一个企业业在追求求价值最最大化的的同时所所愿意接接受的风风险的数数量。企企业通常常采用定定性的方方法分析析风险偏偏好，将将风险偏偏好分为为高、中中、低三三类；或或者采用用定量的的方法分分析风险险偏好，反映出出企业的的成长性性、收益益性和风风险目标标，并在在三个目目标之间间进行平平衡。风风险偏好好与企业业的战略略直接相相关。在在制定战战略时应应考虑企企业的风风险偏好好，并将将战略的的预期收收益与企企业的风风险偏好好联系起起来考虑虑。不同同的战略略会给企企业带来来不同的的风险，在战略略制定时时应用风风险管理理，其目目的是帮帮助管理理者选择择与企业业的风险险偏好相相一致

21、的的战略。企业的的风险偏偏好指导导企业的的资源配配置。管管理者在在各业务务部门间间分配资资源时应应考虑企企业的风风险偏好好和各个个业务部部门为取取得预期期的收益益率所采采用的战战略。管管理者应应将企业业的风险险偏好与与企业的的组织结结构、人人员和业业务流程程联系起起来考虑虑，并应应建立对对风险有有效反应应和监督督的必要要的硬件件设施。风险容忍忍度是与与要实现现的目标标相关的的偏差的的可接受受程度。在确定定某一特特定的风风险容忍忍度时，管理者者应考虑虑相关目目标的相相对重要要性并将将风险容容忍度与与企业的的风险偏偏好联系系在一起起。在风风险容忍忍度的范范围之内内经营更更能够保保证企业业所承受受的

22、风险险在其风风险偏好好的范围围内。反反过来，就能够够对企业业目标的的实现提提供更高高程度的的保证。6提供供合理保保证设计合理理、运行行有效的的风险管管理能够够向企业业的管理理者和董董事会在在企业目目标的实实现上提提供合理理的保证证。如果果企业的的风险管管理有效效，董事事会和管管理者在在以下几几个方面面得到合合理的保保证：了解企企业战略略目标实实现的程程度；了解企企业经营营目标实实现的程程度；_企企业报告告的可靠靠性；相关的的法律和和法规遵遵守的情情况。“合理保保证”反映了了“不确定定性和风风险都是是与未来来相关，而未来来是没有有人可以以确切地地预测的的”这一思思想。这这种局限限性的其其他原因因

23、包括：人们在在进行决决策时的的判断可可能出错错；对风风险反应应的决策策和所建建立的控控制需要要考虑成成本效益益原则；由于人人们的简简单失误误或错误误可能导导致的企企业破产产；可能能由于两两个或多多个人的的串通而而绕过控控制；管管理者可可能忽视视企业的的风险管管理决策策等等。这些限限制使得得董事会会和管理理者无法法在企业业目标实实现方面面得到绝绝对保证证。7目标标的实现现有效的风风险管理理应该能能够为企企业目标标的实现现提供合合理的保保证，包包括报告告的可靠靠性、合合法合规规性目标标等等。这两类类目标的的实现都都是在企企业的控控制范围围内，其其实现依依赖于相相关活动动执行的的好坏。但是，战略目目

24、标和经经营目标标的实现现并不总总是在企企业的控控制范围围内。对对于这两两类目标标，企业业风险管管理只能能合理保保证管理理者和董董事会从从宏观上上及时了了解企业业目标实实现的进进度。（三）企企业风险险管理的的组成要要素根据管理理者经营营的方式式划分，企业风风险管理理包括八八个相互互关联的的组成要要素，这这八个要要素渗透透于企业业管理的的过程之之中，包包括：1内部部环境企业的内内部环境境是其他他所有风风险管理理要素的的基础，为其他他要素提提供规则则和结构构。内部部环境影影响企业业战略和和目标的的制定、业务活活动的组组织和风风险的识识别、评评估和执执行等等等。它还还影响企企业控制制活动的的设计和和执

25、行、信息和和沟通系系统以及及监控活活动。内内部环境境包含很很多内容容，包括括企业员员工的道道德观和和胜任能能力、人人员的培培训、管管理者的的经营模模式、分分配权限限和职责责的方式式等。董董事会是是内部环环境的一一个重要要组成部部分，对对其他内内部环境境的组成成内容有有重要的的影响。而企业业的管理理者也是是内部环环境的一一部分，其职责责是建立立企业的的风险管管理理念念、确定定企业的的风险偏偏好，营营造企业业的风险险文化，并将企企业的风风险管理理和相关关的行动动计划结结合起来来。让企企业所有有员工了了解企业业的风险险管理理理念有利利于提高高雇员确确认和有有效管理理风险的的能力。风险管管理理念念是企

26、业业对风险险的信念念，是企企业选择择处理其其活动和和风险的的方式。它反映映了一个个企业期期望从企企业的风风险管理理获得一一定的价价值。这这一理念念还会影影响企业业风险管管理要素素的应用用方式。管理者者应将其其风险管管理理念念通过政政策说明明书和其其他沟通通方式向向企业的的员工宣宣传。更更重要的的是，管管理者不不应仅仅仅是在纸纸面上强强调风险险管理理理念，还还应在每每天的行行动中贯贯彻执行行。风险险偏好由由企业的的管理者者设定，董事会会复核，是企业业制定战战略的一一个控制制指标。通常为为了实现现某一个个预定的的增长或或收益目目标，企企业可以以制定许许多不同同的战略略，而每每一个战战略都具具有不同

27、同的风险险。在战战略制定定过程中中，风险险管理有有助于管管理者选选择与企企业的风风险偏好好相一致致的战略略方案。管理者者期望将将企业的的组织结结构、人人员、生生产过程程与硬件件设施整整合在一一起，使使得在战战略的成成功执行行的同时时将风险险控制在在风险偏偏好的范范围内。风险文文化是企企业员工工共同的的态度、价值观观和实务务操作程程序的组组合，表表明企业业在其日日常活动动中看待待风险的的方式。对于许许多公司司而言，风险文文化来自自于企业业的风险险理念和和风险偏偏好。对对那些不不能明确确界定其其风险理理念的企企业，其其风险文文化的形形成可能能是随机机的，而而导致一一个企业业内存在在明显不不同的风风

28、险文化化，甚至至在一个个业务部部门、行行政部门门中都有有可能存存在明显显不同的的风险文文化。2目标标制定根据企业业确定的的任务或或预期，管理者者确定企企业的战战略目标标，选择择战略方方案，确确定相关关的子目目标并在在企内层层层分解解和落实实，各子子目标都都应遵循循企业的的战略方方案并与与战略方方案相联联系。在在能够确确定对目目标的实实现有潜潜在影响响的事项项之前，管理者者就应确确定企业业的目标标。而企企业风险险管理就就是提供供给管理理者一个个适当的的过程，既能够够制定企企业的目目标，又又能够将将目标与与企业的的任务或或预期联联系在一一起，并并且这些些目标还还与企业业的风险险偏好相相一致。企业的

29、的目标可可以分为为四类：战略略目标是是企业的的高层次次目标，与企业业的任务务和预期期相联系系并支持持企业的的任务和和预期的的实现。经营目目标是指指企业经经营的效效率性和和效果性性，包括括经营业业绩目标标和盈利利能力目目标，由由于管理理者对企企业结构构和经营营的不同同选择，各企业业的经营营目标也也不尽相相同。报告目目标指企企业报告告的有效效性，包包括企业业内部和和外部的的报告，既包括括财务信信息，也也包括非非财务信信息。合法性性目标是是指企业业符合相相关的法法律和法法规。企企业目标标的这种种分类可可以使企企业的管管理者和和董事会会注意企企业风险险管理的的不同方方面。企企业的某某一个特特定目标标可

30、能不不仅仅属属于某一一类目标标。企业业的这些些目标既既相互区区别但又又相互重重叠，可可以明确确企业的的不同需需要，并并且可以以分派给给企业的的某一个个执行官官作为其其直接职职责。这这种分类类还可以以区分企企业不同同类别目目标的期期望之间间的区别别。某些些企业还还有另一一类目标标“资源的的安全”，有时时也叫“资产的的安全”。从广广义上看看，这一一目标是是防止企企业资产产或资源源的流失失，这种种流失可可以是由由于偷窃窃、浪费费、经营营的无效效性，也也可以是是由于企企业商业业上简单单的错误误决策（如以过过低的价价格出售售产品、没有留留住企业业的关键键员工、没有阻阻止对本本企业专专利权的的侵害行行为，

31、或或者是出出现未预预期的负负债等等等）所引引起的流流失。对对某种报报告目的的而言，这种广广义的资资产安全全类目标标可能是是一个狭狭义的定定义，此此时的资资产安全全概念可可以仅仅仅指预防防或及时时发现对对企业资资产的未未经授权权的购买买、使用用或处置置。3事项项识别管理者意意识到了了不确定定性的存存在，即即管理者者不能确确切地知知道某一一事项是是否会发发生、何何时发生生或者如如果发生生其结果果如何。作为事事项识别别的一部部分，管管理者应应考虑会会影响事事项发生生的各种种企业内内外部的的因素。外部因因素包括括经济、商业、自然环环境、政政治、社社会和技技术因素素等，内内部因素素反映出出管理者者所做的

32、的选择，包括企企业的基基础设施施、人员员、生产产过程和和技术等等事项。一个企企业事项项识别的的方法可可以包含含不同的的技术及及其与相相应的工工具的组组合。事事项识别别技术既既针对过过去，又又针对未未来。针针对过去去的事项项和趋势势的识别别技术主主要要考考虑类似似支付错错误的历历史、商商品价格格的变化化和浪费费时间的的突发事事件（LLostt-tiime acccideentss）等事事项，而而针对未未来风险险的技术术则主要要考虑不不断变化化的人口口统计资资料、新新市场和和竞争者者的行为为等事项项。将潜潜在的事事项进行行分类对对管理者者而言是是非常有有用的。通过在在企业内内各水平平层面上上对事项

33、项进行汇汇总、在在营运部部门内部部对事项项进行垂垂直地汇汇总，管管理者能能够对事事项之间间的相互互关系有有一个了了解，这这些信息息也可以以作为风风险评估估的基础础。潜在在的事项项可能对对企业有有正面的的影响、也可能能有负面面的影响响或者两两种影响响同时存存在。对对企业有有潜在负负面影响响的事项项是企业业的风险险，要求求企业的的管理者者对其进进行评估估和建立立反应方方案。因因此，风风险的定定义就是是，某一一事项将将要发生生的可能能性及其其对企业业目标的的实现造造成负面面影响的的可能性性。对企企业有潜潜在正面面影响的的事项则则是企业业的机遇遇或者可可以弥补补风险对对企业的的负面影影响。机机遇可以以

34、在企业业战略或或目标制制定的过过程中加加以考虑虑，以制制定有关关行动抓抓住机遇遇。可能能弥补风风险对企企业负面面影响的的事项则则应在管管理者对对风险进进行评估估和反应应的阶段段予以考考虑。4风险险评估风险评估估可以使使企业了了解潜在在事项如如何影响响企业目目标的实实现。管管理者应应从两个个方面对对风险进进行评估估风险险发生的的可能性性和影响响。风险险发生的的可能性性是指某某一特定定事项发发生的可可能性，影响则则是指事事项的发发生将会会带来的的影响。对风险险发生的的可能性性和影响响的估计计经常需需要使用用从过去去的可观观察事项项得到的的数据，这比没没有任何何数据的的、完全全的主观观估计要要客观得

35、得多。根根据企业业自己的的经验在在企业内内部产生生的数据据带有较较少的人人的主观观偏见，能够得得到比外外部数据据更好的的结果。但是，即使是是以内部部数据作作为主要要的资料料来源，外部数数据仍能能用作一一个检查查标准或或者改进进分析。当使用用过去数数据对未未来进行行预测时时使用者者必须小小心，因因为影响响过去事事项的有有关因素素可能会会随着时时间的推推移而改改变。一一个企业业风险评评估的方方法通常常是定量量方法和和定性分分析技术术的组合合。当风风险本身身无法量量化时，或者量量化评估估所要求求充足的的可靠的的数据实实际不可可获得或或者数据据获得或或分析不不符合成成本效益益原则时时，管理理者通常常会

36、采用用定性的的分析技技术。定定量的分分析技术术通常更更加精确确，一般般用于更更为复杂杂多变的的活动，作为定定性分析析的补充充。一个个企业不不需要在在每个业业务部门门都使用用同样的的评估技技术。相相反，对对评估技技术的选选择应反反映出对对精确性性的需要要和该业业务部门门的文化化。在任任何情况况下，各各业务部部门所使使用的评评估技术术应有利利于企业业在整个个企业的的范围内内对风险险的评估估。在衡衡量目标标的实现现程度时时，管理理者经常常使用业业绩计量量指标。当考虑虑某一风风险对实实现某一一特定目目标的潜潜在影响响时，使使用这些些计量指指标同样样有效。管理者者可以评评估各事事项之间间的关系系，因为为

37、一系列列相互关关联的事事项结合合起来会会使得事事项的发发生概率率或事项项的影响响发生重重大变化化。虽然然一个单单一事项项的影响响可能很很小，但但是这样样一系列列事项则则可能对对企业造造成重大大影响。各潜在在事项之之间可能能并不直直接相关关，这时时管理者者可以分分别对其其进行评评估，但但是某些些风险可可能在企企业的多多个业务务部门出出现时，管理者者可以将将所确认认的风险险归为一一类进行行评估。通常一一个潜在在事项结结果是一一个可能能的范围围值，管管理者应应将其作作为制定定风险反反应方案案的基础础。通过过风险评评估，管管理者可可以了解解潜在事事项在整整个企业业内对企企业的正正面和负负面的影影响，单

38、单个事项项或某类类事项对对企业的的影响。管理者者通常只只趋于关关注中短短期的风风险，但但风险应应在企业业战略和和目标的的前提下下进行评评估。由由于战略略方向和和目标的的某些要要素涉及及较长时时期，管管理者因因而应从从长期的的角度认认识风险险，而不不能忽视视远期会会影响企企业的风风险。首首先，应应对企业业的固有有风险进进行评估估。固有有风险是是指管理理者在没没有采取取任何会会改变风风险发生生的可能能性或影影响的管管理措施施的情况况下企业业所面临临的风险险。一旦旦确定了了对固有有风险的的风险反反应方案案，管理理者就可可以使用用风险评评估技术术确定企企业的残残留风险险。残留留风险是是指管理理者采取取

39、了有关关风险管管理措施施后应存存在的风风险。5风险险反应管理者可可以制定定不同风风险反应应方案，并在风风险容忍忍度和成成本效益益原则的的前提下下，考虑虑每个方方案如何何影响事事项发生生的可能能性和事事项对企企业的影影响，并并设计和和执行风风险反应应方案。考虑各各风险反反应方案案并选择择和执行行一个风风险反应应方案是是企业风风险管理理不可分分割的一一部分。有效的的风险管管理要求求管理者者选择一一个可以以使企业业风险发发生的可可能性和和影响都都落在风风险容忍忍度范围围之内的的风险反反应方案案。风险险反应可可分为规规避风险险、减少少风险、共担风风险和接接受风险险四类。规避风风险是指指采取措措施退出出

40、会给企企业带来来风险的的活动。减少风风险是指指减少风风险发生生的可能能性、减减少风险险的影响响或者两两者同时时减少。共担风风险是指指通过转转嫁或与与他人共共担一部部分风险险来降低低风险发发生的可可能性或或影响。接受风风险则是是不采取取任何改改变风险险发生的的可能性性或影响响的行动动。作为为企业风风险管理理的一部部分，对对于每一一个重要要的风险险，企业业都应按按风险反反应的类类型考虑虑所有的的风险反反应方案案，这样样有助于于风险反反应方案案的选择择，这也也是对“现状”提出的的挑战。_选定定某一个个风险反反应方案案后，管管理者应应在残留留风险的的基础上上重新评评估风险险，即从从企业总总体的风风险组

41、合合的、预预测的角角度重新新计量风风险。管管理者可可以采取取一定的的方法使使得每一一生产部部门、行行政部门门或业务务单位的的管理者者可以对对风险进进行复合合式的评评估以决决定该部部门的风风险反应应方案。这种视视角可以以反映相相对于各各部门的的目标和和风险容容忍度该该部门的的风险组组合。在在对各个个独立部部门的风风险有一一个认识识的基础础上，企企业最高高层的管管理者应应以组合合的角度度看待风风险，以以决定企企业的风风险组合合与相对对企业目目标而言言的总体体的风险险偏好是是否相符符。管理理者应认认识到一一定水平平的残留留风险总总是存在在的，这这不仅是是因为资资源的有有限性，还因为为未来有有其内在在

42、的不确确定性和和所有活活动的固固有限制制。6控制制活动控制活动动是帮助助保证风风险反应应方案得得到正确确执行的的相关政政策和程程序。控控制活动动存在于于企业的的各部分分、各个个层面和和各个部部门。控控制活动动是企业业努力实实现其商商业目标标的过程程的一部部分。通通常包括括两个要要素：确确定应该该做什么么的一个个政策和和影响该该政策的的一系列列过程。由于企企业的控控制活动动与企业业的信息息系统广广泛相关关，因此此，应对对企业所所有的重重要系统统进行控控制。广广义来讲讲，对信信息系统统控制活活动可以以分为两两类。一一类是一一般控制制，这类类控制应应用于大大多数应应用系统统，有助助于保证证系统的的持

43、续地地、正确确地运行行。另一一类是应应用控制制，包括括用于控控制技术术应用的的应用软软件内部部的电脑脑程序。必要时时将信息息系统控控制与其其他手工工的过程程控制相相结合，可以保保证信息息的完整整性、精精确性和和有效性性。一般般控制包包括对信信息技术术管理、信息技技术基础础设施、保密管管理和软软件的购购买、开开发和维维护的控控制。这这些技术术应用于于所有的的系统，从主机机到客户户端（服服务端）到桌面面电脑环环境。信信息技术术管理控控制主要要包括明明确信息息技术的的勘漏过过程、监监督和报报告信息息技术活活动及业业务改进进的初步步行动等等等。应应用控制制的目的的是保证证数据获获得和业业务处理理过程的

44、的完整性性、精确确性、授授权和有有效性。依靠信信息系统统控制运运行的有有效可以以保证当当需要时时每个应应用程序序可以在在界面上上产生有有关数据据，保证证应用程程序的有有效和有有关界面面的错误误可以很很快地被被发现。因为每每一个主主体都有有其自己己的一套套目标和和执行目目标的方方法，因因此其子子目标、结构和和相关的的控制活活动也会会不同。即使两两个企业业有同样样的目标标和结构构，他们们的控制制活动可可很可能能不同。每个企企业的管管理人员员都不同同，不同同的管理理人员在在影响内内部控制制时使用用不同的的个人判判断。而而且，控控制活动动反映了了一个企企业所处处的环境境和行业业，也会会反映企企业的复复

45、杂性、企业的的历史和和文化。7信息息和沟通通来自于企企业内部部和外部部的相关关信息必必须以一一定的格格式和时时间间隔隔进行确确认、捕捕捉和传传递，以以保证企企业的员员工能够够执行各各自的职职责。有有效的沟沟通也是是广义上上的沟通通，包括括企业内内自上而而下、自自下而上上以及横横向的沟沟通。有有效的沟沟通还包包括将相相关的信信息与企企业外部部相关方方的有效效沟通和和交换，如客户户、供应应商、行行政管理理部门和和股东等等。企业业内部各各个管理理层都需需要信息息来帮助助识别、评估风风险和对对风险进进行反应应，以及及进行经经营并实实现企业业的目标标。相对对于某一一类或几几类目标标，某一一批信息息是有用

46、用的。企企业的信信息来自自于各个个方面，包括内内部和外外部的信信息、量量化的和和非量化化的信息息，以使使得企业业的风险险管理可可以对现现实世界界中不断断变化的的条件及及时作出出反应。将大量量的信息息进行处处理，提提炼出或或指导行行动的信信息是企企业管理理者所面面临的一一个挑战战。解决决这一问问题的方方法是建建立一个个信息系系统底层层结构来来确认、捕捉、处理、分析和和报告相相关信息息。这些些信息系系统通常常是电脑脑系统，但也包包括手工工录入或或人机界界面。因因此，这这些信息息系统经经常是指指处理企企业相关关业务产产生的内内部数据据的系统统。长期期以来信信息系统统是用来来支持企企业的商商业战略略。

47、当业业务需要要变化和和有关技技术为企企业获得得战略优优势提供供新的机机会时，这一地地位就显显得更为为重要。_为支支持有效效的企业业风险管管理，一一个企业业会捕捉捉和使用用历史和和现在的的数据。历史数数据使企企业能够够将实际际业绩与与目标、计划和和期望相相比较，能够更更加深入入了解企企业在不不断变化化的环境境下是如如何生存存的，使使得管理理者确认认相关性性和趋势势并预测测未来的的业绩。历史数数据还能能够对需需要管理理者注意意的潜在在事项提提早提出出警告。现在或或现状的的数据使使企业能能够评估估在某一一特定时时点所面面临的风风险并将将其控制制在风险险容忍度度范围内内。现状状数据使使得管理理者可以以

48、实时地地了解一一个过程程、职能能部门或或单位现现存的固固有风险险和差异异的大小小。这对对了解企企业的风风险组合合提供了了一个视视角，使使得管理理者能够够在必要要时改变变企业的的活动以以满足企企业的风风险偏好好。信息是沟沟通的基基础，沟沟通则必必须满足足各部门门和个人人的要求求，以使使他们能能够有效效地履行行其职责责。最重重要的沟沟通渠道道之一是是高级管管理者和和董事会会之间的的沟通。管理者者必须使使董事会会了解关关于企业业业绩、发展、风险管管理执行行和其他他相关事事项和问问题的及及时信息息。沟通通越畅通通，董事事会在执执行其监监督职能能、重大大问题的的宣传媒媒介职能能和提供供建议、咨询和和指导

49、职职能时才才会越有有效。反反之，董董事会也也应向管管理者传传递其所所需要的的信息并并进行反反馈和指指导。管管理者应应提供特特定的或或直接的的沟通渠渠道说明明对员工工的行为为预期和和各自的的职责。应包括括对企业业风险管管理原理理和方法法以及员员工权责责分配的的清晰的的说明。对于风风险管理理过程和和程序的的沟通应应与企业业预期的的风险文文化相结结合，并并作为企企业风险险文化的的基础。此外，信息的的列示会会直接影影响对信信息的解解释和对对相应的的风险或或机遇的的看法，因此，对于沟沟通应有有一个适适当的架架构。沟沟通应使使企业的的员工了了解有效效地企业业风险管管理的重重要性和和相关性性，了解解企业的的

50、风险偏偏好和风风险容忍忍度，并并在企业业内执行行、设计计一个统统一的风风险用语语并向员员工说明明他们在在影响和和支持企企业风险险管理要要素中的的地位和和职责。沟通渠道道还应该该保证企企业员工工能够在在各业务务部门、业务流流程或职职能部门门间进行行风险信信息的沟沟通。大大多数情情况下，企业内内正常的的报告路路径一般般是沟通通的适当当渠道。而在某某些情况况下，需需要一个个单独的的信息沟沟通途径径作为防防止失败败机制，而为一一途径在在正常情情况下是是不用的的。在所所有的情情况下，让企业业的员工工了解企企业内并并不存在在对报告告相关信信息的报报复是很很重要的的。外部部的沟通通渠道能能够为企企业的产产品

51、或服服务的设设计或品品质提供供非常重重要的信信息。管管理者应应将企业业的风险险偏好和和风险容容忍度与与客户、供应商商和合伙伙人的风风险偏好好和风险险容忍度度联系起起来考虑虑，以保保证不会会通过企企业的业业务活动动给企业业带来太太多的风风险。外外部相关关方的信信息经常常会为企企业风险险管理的的运行提提供重要要的信息息。8监控控对企业风风险管理理的监控控是指评评估风险险管理要要素的内内容和运运行以及及一段时时期的执执行质量量的一个个过程。企业可可以通过过两种方方式对风风险管理理进行监监控持续监监控和个个别评估估。持续续监控和和个别评评估都是是用来保保证企业业的风险险管理在在企业内内各管理理层面和和

52、各部门门持续得得到执行行。持续续监控是是对企业业日常的的、重复复的经营营活动的的监控，在实时时的基础础上进行行，是对对不断变变化的环环境的动动态地反反应，应应在企业业内部彻彻底地贯贯彻和执执行。如如果执行行得好，持续监监控比个个别评估估更为有有效。由由于个别别评估是是在事实实发生之之后才进进行评估估，而持持续监控控则会在在问题一一发生就就很快被被发现。虽然如如此，许许多使用用持续监监控的企企业仍旧旧进行风风险管理理的个别别评估。个别评评估的频频率是企企业管理理者的主主观判断断问题。在决定定个别评评估的频频率时，管理者者应考虑虑来自于于企业内内部和外外部事项项的变化化的性质质和程度度以及相相应的

53、风风险、企企业员工工进行风风险反应应和相应应控制的的能力和和经验、持续监监控的结结果等因因素。通通常，将将持续监监控和个个别评估估进行一一定的结结合使用用会保证证企业风风险管理理长期的的有效性性。对企企业风险险管理进进行记录录的程度度根据企企业的规规模、经经营的复复杂性和和其他因因素的影影响而有有所不同同。企业业风险管管理的内内容没有有记录并并不意味味着风险险管理无无效或无无法对风风险管理理进行评评_估。但是，适当程程度的记记录通常常会使对对风险管管理的监监控更为为有效果果和有效效率。当当企业管管理者打打算向企企业外部部相关方方提供关关于企业业风险管管理效率率的报告告时，他他们则应应考虑为为企

54、业风风险管理理设计一一套记录录模式并并保持有有关的记记录。所有风险险管理失失效都会会影响企企业确定定和执行行战略的的能力，影响企企业实现现其既定定目标的的能力。对此，应将企企业所有有的风险险管理失失效都报报告给适适当的管管理层，以保证证其采取取必要的的措施以以纠正风风险管理理失效。企业所所需沟通通的事项项的性质质根据各各人处理理各种情情况的权权限和监监控者的的查漏活活动的不不同而不不同。这这里“失效”是指企企业风险险管理过过程中值值得注意意的某一一种情形形。因此此，失效效可能代代表一种种预期的的、潜在在的或真真实的缺缺陷，或或者代表表加强风风险管理理过程的的一个机机会，以以增加企企业目标标实现

55、的的可能性性。在经经营活动动中产生生的信息息通常通通过正常常的渠道道进行报报告。对对于敏感感性信息息的报告告也应有有其他的的沟通渠渠道，如如非法活活动或不不正当的的活动。向企业业内适当当的管理理层提供供关于风风险管理理失效的的必需的的信息是是非常重重要的。企业应应建立一一个协议议来识别别某一管管理层决决策有效效所需要要的信息息。这些些协议应应反映一一个基本本原则，即一个个管理者者在收到到实现其其特定目目标的有有关信息息外，还还应收到到影响其其权限范范围内人人员的行行动或行行为的所所有信息息。（四）风风险管理理要素和和企业目目标之间间的关系系企业的风风险管理理框架包包括四类类目标和和八个要要素。

56、四四类目标标分别是是战略目目标、经经营目标标、报告告目标和和合法性性目标。八个要要素分别别是内部部环境、目标制制定、事事项识别别、风险险评估、风险反反应、控控制活动动、信息息和沟通通、监控控，是企企业目标标实现的的保证。它们相相互之间间存在直直接的关关系，可可以用一一个三维维矩阵图图来表示示（如图图1 所示示）。可可以看出出，四个个栏分别别代表一一个企业业的四类类目标，并不是是企业的的某个部部分或部部门。因因此，例例如，当当考虑与与报告相相关的那那类目标标时，需需要关于于企业经经营的大大量信息息，但是是在这种种情况下下主要关关注的是是风险管管理模型型右手边边中间这这一栏报告告目标而不不是经营营

57、类目标标。图2 将将立方体体中水平平各行的的内容进进行扩展展，说明明各风险险管理要要素的主主要内容容，其中中每一要要素也就就代表一一个业务务流程。（五）有有效性企业风险险管理是是一个过过程，企企业风险险管理的的有效性性则是某某一时点点的一个个状态或或条件。决定一一个企业业的风险险管理是是否有效效是基于于对风险险管理八八要素设设计和执执行是否否正确的的评估基基础上的的一个主主观判断断。为使使风险管管理有效效，企业业的风险险管理框框架必须须包括所所有的八八个要素素，并得得到贯彻彻执行。但是，这并不不意味着着每一要要素在不不同的企企业间，甚至是是不同企企业的同同一管理理层次上上，都必必须执行行同样的

58、的功能。因为不不同的要要素之间间可能存存在着作作用的相相互抵消消。由于于企业风风险管理理的各种种技术能能够为企企业不同同的经营营意图服服务，因因此，相相对于某某要素的的技术也也能够服服务于通通常是另另一要素素所体现现出来的的经营意意图。此此外，对对某一特特定风险险的风险险反应程程度可能能不同，以至于于互补的的风险反反应模式式可能各各自对企企业的影影响都有有限，合合并后仍仍可以保保持在风风险容忍忍度的范范围内。这里所讨讨论的概概念可以以应用于于所有企企业，无无论其规规模。某某些中小小企业所所采用的的要素的的内容与与大企业业可能不不同，但但企业的的风险管管理仍旧旧有效。对于每每个要素素的方法法论，

59、小小企业采采用的方方法与大大企业相相比并不不正式和和结构化化，但是是，无论论企业的的规模，其风险险管理都都应包括括本文所所讲的基基本概念念。企业风险险管理可可以从一一个企业业的总体体来认识识，也可可以从一一个单独独的部门门或多个个部门的的角度来来认识。即使是是站在某某一特定定的业务务部门的的角度来来看待风风险管理理，所有有的八要要素也都都应作为为基准包包含在内内。一个公司司可能采采用联营营企业、合伙或或其他的的投资形形式，其其经营可可能不在在母公司司的直接接控制之之下。为为保证企企业风险险管理的的有效性性，母公公司应从从公司战战略和目目标的角角度考虑虑与被投投资方一起充分分应用风风险管理理八要

60、素素的程度度。（六）包包括内部部控制内部控制制是企业业风险管管理不可可分割的的一部分分。这里里所说的的企业风风险管理理框架包包括内部部控制，为企业业的管理理提供了了一个更更强的概概念基础础和工具具。在内部控控制整体框框架中中已经对对内部控控制进行行了定义义和描述述。由于于内部部控制整体体框架是现有有的规则则、法规规和法律律的基础础，因此此本讨论论稿保留留其对内内部控制制的定义义。整个个内部部控制整体体框架报告都都是本框框架的参参考。（七）企企业风险险管理的的局限性性有效的风风险管理理可以帮帮助管理理者实现现企业的的目标，但是，无论企企业风险险管理设设计得如如何完善善、运行行得如何何有效，它也不