COSO企业风险管理整体框架

1、COSO：Enterprise Risk Management FrameworkCOSO企业风险管理整体框架概览 一些公司和和企业的的管理者者已经在在企业内内部建立立了一系系列确认认和管理理风险的的过程，而而现在有有许多企企业也已已经开始始或正在在考虑建建立自己己的确认认和管理理风险的的过程。虽虽然管理理者已经经掌握了了大量的的企业风风险管理理的信息息（包括括大量公公开出版版的文献献），但但实务中中却并不不存在统统一的术术语，而而且也很很少有普普遍接受受的原则则可供管管理者在在构建一一个有效效的风险险管理框框架时作作为指南南。COSO 委员会会已经认认识到对对企业风风险管理理概念性性指南的的

2、需要，因因而该委委员会发发起了一一个建立立一个概概念性的的、适当当的风险险管理框框架的计计划，旨旨在支持持企业建建立或评评判企业业风险管管理过程程的项目目提供完完整的原原则、能能用的术术语和实实务操作作指南。另另一相关关的目标标是使构构建的这这个框架架可以作作为管理理者、董董事、主主管人员员、学者者和其他他相关人人员更好好地理解解企业风风险管理理及其优优点和局局限性提提供一个个统一的的基础，以以便在风风险管理理问题方方面进行行有效地地交流。本概览列出出了企业业风险管管理框架架的关键键内容，包包括企业业风险管管理的定定义、内内容和基基本原则则，风险险管理的的优点、局局限性以以及各相相关方的的地位

3、和和职责。本本概览还还强调企企业风险险管理的的相关性性和其与与COSSO 内内部控制制报告的的关系。如如果想更更加深入入地了解解有关知知识，请请看企业业风险管管理框架架的全文文。（一）企业业风险管管理的相相关性企业风险管管理的基基本前提提是每一一个企业业，无论论是盈利利组织、非非盈利组组织，还还是政府府机构，其其存在的的目的都都是为其其利益相相关方带带来价值值。所有有的企业业都要面面对不确确定性。对对企业管管理者而而言，所所面临的的挑战是是在追求求企业利利益相关关方价值值增长的的同时，决决定企业业准备接接受的不不确定性性的程度度。不确确定性既既代表风风险，也也代表机机遇，既既存在使使企业增增值

4、的可可能，也也存在使使企业减减值的风风险。风风险管理理框架就就是为管管理者提提供一个个框架，使使其能够够有效处处理不确确定性及及相应的的风险和和机遇，进进而提高高企业创创造价值值的能力力。1不确定定性企业经营的的环境中中有许多多因素都都会给企企业带来来不确定定性，如如全球化化、技术术、法规规、企业业重构、多多变的市市场以及及竞争等等。不确确定性来来源于无无法明确确地决定定潜在事事项将要要发生的的可能性性及其相相应结果果。2价值从战略的制制定到企企业的日日常经营营，管理理者的决决策会创创造、保保持或减减少企业业的价值值。决策策的本质质就是确确认风险险和机遇遇，它要要求企业业的管理理1应在考考虑企

5、业业内、外外部环境境的因素素的基础础上，对对企业的的稀缺资资源进行行配置，并并且根据据环境的的不断变变化来调调整企业业的活动动。？当企业的的利益相相关方取取得其相相应价值值的可确确认收益益时，企企业的价价值也得得到实现现。对于于公司而而言，当当股东承承认由于于股价上上扬所带带来的价价值时，他他们也就就承认了了企业的的价值。对对于政府府机构，当当该机构构以一个个可接受受的成本本所提供供的服务务的收益益得到确确认时，机机构的价价值就得得以实现现。对于于非盈利利组织的的利益相相关方而而言，当当他们确确认组织织所提供供的社会会福利的的价值时时，他们们也就承承认了该该组织的的价值。企企业风险险管理使使管

6、理者者能够创创造持久久的价值值并能够够将创造造价值的的信息传传递给利利益相关关方。1 在本部部分和以以后的讨讨论中一一旦使用用“管理”一词，其其意思包包括非管管理人员员执行的的许多企企业风险险管理活活动。 3企业风风险管理理的优点点所有企企业都是是在有风风险的环环境下经经营，而而不是企企业风险险管理使使企业面面临这样样的环境境。企业业风险管管理是使使管理者者能够在在充满风风险的环环境中更更加有效效地经营营。企业业风险管管理使企企业的管管理者能能够：（1）将风风险偏好好和企业业的战略略结合在在一起。从广义来讲讲，风险险偏好是是一个公公司或企企业在追追求其目目标的过过程中愿愿意接受受的风险险的程度

7、度。管理理者在评评估企业业的战略略方案时时首先要要考虑企企业的风风险偏好好，其后后，在制制定与企企业战略略相对应应的目标标和建立立一定的的机制管管理相应应的风险险时也应应考虑企企业的风风险偏好好。（2）将企企业成长长、风险险和收益益联系起起来经济主体在在企业价价值保值值、增值值的过程程中也要要接受相相应的风风险，同同时预期期补偿风风险的相相应收益益。企业业风险管管理提高高了企业业确认和和评估风风险的能能力，进进而使企企业能够够确定相相对于企企业成长长性和收收益目标标而言的的风险的的可接受受水平。（3）增加加风险反反应决策策企业风险管管理提供供了确认认和选择择不同的的风险反反应方案案的严格格标准

8、。企企业的风风险反应应方案包包括风险险规避、风风险降低低、风险险共担和和风险接接受。企企业风险险管理提提供了进进行相关关决策的的方法和和技术。（4）使企企业的经经营意外外和损失失最小化化经济主体可可能提高高确认潜潜在事项项、评估估风险和和明确反反应方案案，最后后减少经经营意外外的出现现次数以以及减少少相应的的成本或或损失。（5）确认认和管理理企业的的总体风风险每一个经济济主体都都面临着着许多风风险，而而不同的的风险会会影响企企业经营营的各个个方面。管管理不仅仅需要对对每一种种风险进进行管理理，还需需要了解解风险对对企业总总体的影影响。（6）针对对多重风风险提供供完整的的反应方方案企业的经营营过

9、程存存在许多多内在的的风险，企企业风险险管理就就是为管管理风险险提供一一整套解解决方案案。（7）抓住住机遇管理不仅要要考虑风风险，还还需要考考虑潜在在的事项项对企业业的影响响。对潜潜在事项项有一个个完整的的了解可可以使管管理对每每一潜在在事项表表明何种种机遇有有一个了了解。（8）合理理分配资资金关于于企业总总体风险险的更为为明确的的信息可可以使企企业的管管理者能能够更加加有效地地评估企企业总体体的资金金需要，改改进企业业的资金金配置。企业风险管管理本身身并不是是目的，它它仅仅是是实现目目的的一一种方式式。它不不能、也也无法在在一个经经济主体体内单独独运行，而而是企业业管理过过程的一一个推动动器

10、。企企业风险险管理向向董事会会提供最最重要的的风险的的信息以以及这些些风险应应如何管管理的建建议，进进而与公公司治理理相联系系。而且且，风险险管理与与企业的的绩效管管理也有有关，风风险管理理通过提提供风险险调节的的措施和和内部控控制来帮帮助企业业的绩效效管理。内内部控制制是企业业风险管管理的一一部分。风险管理帮帮助一个个经济主主体实现现其经营营和利润润目标、防防止资源源的浪费费。它还还有助于于确保企企业报告告的有效效性。此此外，企企业风险险管理还还有助于于保证企企业遵守守有关的的法律、法法规，避避免其声声誉受损损并防止止产生相相应的不不良后果果。总之之，企业业风险管管理可以以帮助一一个经济济主

11、体实实现其目目标、及及在实现现目标的的过程中中避开陷陷井和防防止意外外的发生生。（二）企业业风险管管理的定定义企业业风险管管理是企企业的董董事会、管管理层和和其他员员工共同同参与的的一个过过程，应应用于企企业的战战略制定定和企业业的各个个部门和和各项经经营活动动，用于于确认可可能影响响企业的的潜在事事项并在在其风险险偏好范范围内管管理风险险，对企企业目标标的实现现提供合合理的保保证。这一定义反反映了一一些基本本概念：1企业的的风险管管理是一一个过程程其本本身并不不是一个个目的，而而是实现现目的的的一种方方式。2风险管管理受人人的影响响它不不只是企企业的政政策、调调查和表表格，还还涉及一一个企业

12、业各个层层次员工工。3风险管管理也适适用于企企业战略略制定过过程。4企业风风险管理理应在整整个企业业范围内内应用，在在每一个个经营层层面和每每一个单单位内应应用，并并应以一一种企业业总体的的风险组组合的观观点来看看待。5风险管管理的设设计应有有助于确确认会对对企业造造成潜在在影响的的事项并并确保在在企业风风险偏好好的范围围内管理理企业的的风险。 6风风险管理理仅为企企业的管管理者和和董事会会提供合合理的保保证。7企业风风险管理理的目标标是帮助助企业一一类或几几类单独独并相互互重叠的的目标的的实现。从广义上定定义这一一概念主主要有几几个原因因：这一一定义应应包括公公司和其其他企业业管理风风险的几

13、几个基本本概念，并并可以应应用于各各种组织织、行业业和部门门。它直直接针对对企业目目标的实实现。此此外，这这一定义义应为定定义企业业风险管管理的有有效性提提供一个个基础。上上述基本本概念详详细论述述如下：1一个过过程企业业的风险险管理并并不是一一个事项项或环境境，而是是渗透于于企业各各项活动动中一系系列行动动。这些些行动普普遍存在在于管理理者对企企业的日日常管理理中，是是企业日日常管理理所固有有的。一些人认为为，企业业风险管管理对企企业的各各项活动动而言是是多余的的，是企企业必须须承担的的一个负负担，但但COSSO 的的讨论稿稿则并不不这样认认为。但但有效的的企业风风险管理理仍旧需需要企业业各

14、管理理层不懈懈的努力力。例如如，风险险评估要要求企业业不断地地努力来来建立必必要的评评估模型型并进行行必要的的分析和和计算。但但是，这这些以及及其他的的企业风风险管理理机制与与企业的的经营活活动是并并存的，是是由于最最基本的的商业原原因而存存在的。当当企业风风险管理理机制成成为企业业的基础础设施并并真正成成为企业业的一部部分时，企企业的风风险管理理会最有有效。通通过建立立风险管管理，企企业可以以直接提提高自身身的战略略执行能能力，并并提高企企业预期期和任务务的实现现能力。建立风险管管理对企企业的成成本构成成同样有有重要的的影响，特特别是在在目前大大多数企企业都面面临高度度竞争的的市场环环境的情

15、情况下。在在现有工工序的基基础上增增加新的的工序会会增加成成本，而而通过关关注现有有的经营营过程以以及他们们对实现现有效风风险管理理的贡献献，并将将风险管管理整合合到企业业的基本本经营活活动之中中，一个个企业就就能够避避免不必必要的工工序和成成本。并并且，将将风险管管理整合合到企业业日常的的经营过过程中有有助于管管理者抓抓住企业业发展的的新机遇遇。2受人的的影响企业的风险险管理会会受董事事会、管管理层和和其他人人员的影影响，风风险管理理是通过过组织内内的人来来完成的的，是通通过人的的所做和和所说实实现的。是是企业内内的人制制定企业业的任务务/预期，战战略和目目标，并并实施企企业的风风险管理理机

16、制。同样，企业业风险管管理也影影响人的的行动。企企业风险险管理要要认识到到人对事事物的理理解、沟沟通或执执行并不不总是一一致的。企企业中的的每个人人都有不不同的背背景和技技术能力力，都有有不同的的需求和和优势。这些因素都都会影响响企业的的风险管管理，也也会受风风险管理理的影响响。每个个人的出出发点都都不同，这这会影响响他们对对风险的的确认、评评估和反反应。企企业风险险管理就就是要提提供了一一个机制制，帮助助人们从从企业总总体目标标的角度度认识风风险。企企业的员员工必须须了解他他们自己己的职责责和权限限。因此此，除了了要明确确员工的的职责和和企业的的战略和和目标之之间的联联系之外外，还要要明确员

17、员工的职职责和他他们履行行职责的的方式之之间的联联系。 一个组织的的员工包包括董事事会成员员、管理理者和其其他人员员。尽管管企业的的董事主主要负责责监督，但但是他们们同时也也向管理理者提供供指导，核核准企业业的战略略、某些些活动和和政策。因因此，董董事会是是企业风风险管理理的重要要组成部部分之一一。3可应用用于企业业战略的的制定一个企业要要确定其其预期或或任务，并并制定其其战略目目标。企企业的战战略目标标是企业业最高层层次的目目标，它它与企业业的预期期和任务务相联系系并支持持预期和和任务的的实现。一一个企业业为实现现其战略略目标而而制定战战略方案案，并将将战略方方案分解解成相应应的目标标，再将

18、将目标层层层分解解到企业业的各业业务部门门、行政政部门和和生产线线。在制制定企业业的战略略方案时时，管理理者应考考虑与不不同的战战略方案案相关的的风险。4应用于于整个企企业为使企业的的风险管管理获得得成功，一一个企业业必须从从全局，从从企业总总体层面面上考虑虑企业的的活动。企企业的风风险管理理应考虑虑组织内内所有层层面的活活动，从从企业总总体的活活动（如如战略计计划和资资源分配配）到各各业务部部门的活活动（如如市场部部、人力力资源部部），到到各业务务流程（如如生产过过程和新新客房信信用审核核）等等等。企业业风险管管理还可可用于特特定项目目和新的的行动计计划，尽尽管该项项目或计计划可能能在企业业

19、的管理理流程或或组织流流程图中中尚无明明确的定定位。企业风险管管理要求求企业以以风险组组合的观观点看待待风险。这这会要求求企业内内负责各各业务部部门、行行政部门门、生产产流程或或其他活活动的管管理者对对本部门门的风险险进行评评估。这这些评估估可以是是定量的的，也可可以是定定性的。企企业的高高级管理理者应以以一种组组合的观观点看待待企业内内每个下下级层面面的风险险，以决决定企业业总的风风险组合合是否与与企业的的风险偏偏好相对对应。管理者应以以总体的的组合观观来考虑虑相关风风险。对对相关的的风险应应予确认认并采取取措施使使承担的的风险落落在企业业风险偏偏好的范范围内。对对企业内内部每个个单位的的风

20、险而而言，可可能都落落在该部部门的风风险容忍忍度的范范围内，但但从总体体来看，合合并后的的风险可可能超过过了企业业总体的的风险偏偏好。企企业总的的风险偏偏好应通通过对特特定目标标确立相相应的风风险容忍忍度的方方式在企企业内部部向下贯贯彻。5风险偏偏好风险偏好是是指一个个企业在在追求价价值最大大化的同同时所愿愿意接受受的风险险的数量量。企业业通常采采用定性性的方法法分析风风险偏好好，将风风险偏好好分为高高、中、低低三类；或者采采用定量量的方法法分析风风险偏好好，反映映出企业业的成长长性、收收益性和和风险目目标，并并在三个个目标之之间进行行平衡。风险偏好与与企业的的战略直直接相关关。在制制定战略略

21、时应考考虑企业业的风险险偏好，并并将战略略的预期期收益与与企业的的风险偏偏好联系系起来考考虑。不不同的战战略会给给企业带带来不同同的风险险，在战战略制定定时应用用风险管管理，其其目的是是帮助管管理者选选择与企企业的风风险偏好好相一致致的战略略。企业的风险险偏好指指导企业业的资源源配置。管管理者在在各业务务部门间间分配资资源时应应考虑企企业的风风险偏好好和各个个业务部部门为取取得预期期的收益益率所采采用的战战略。管管理者应应将企业业的风险险偏好与与企业的的组织结结构、人人员和业业务流程程联系起起来考虑虑，并应应建立对对风险有有效反应应和监督督的必要要的硬件件设施。风险容忍度度是与要要实现的的目标

22、相相关的偏偏差的可可接受程程度。在在确定某某一特定定的风险险容忍度度时，管管理者应应考虑相相关目标标的相对对重要性性并将风风险容忍忍度与企企业的风风险偏好好联系在在一起。在在风险容容忍度的的范围之之内经营营更能够够保证企企业所承承受的风风险在其其风险偏偏好的范范围内。反反过来，就就能够对对企业目目标的实实现提供供更高程程度的保保证。6提供合合理保证证设计合合理、运运行有效效的风险险管理能能够向企企业的管管理者和和董事会会在企业业目标的的实现上上提供合理的保证证。如果果企业的的风险管管理有效效，董事事会和管管理者在在以下几几个方面面得到合合理的保保证：了解企企业战略略目标实实现的程程度；了解企企

23、业经营营目标实实现的程程度； 企业报告告的可靠靠性；相关的法法律和法法规遵守守的情况况。“合理保证证”反映了了“不确定定性和风风险都是是与未来来相关，而而未来是是没有人人可以确确切地预预测的”这一思思想。这这种局限限性的其其他原因因包括：人们在在进行决决策时的的判断可可能出错错；对风风险反应应的决策策和所建建立的控控制需要要考虑成成本效益益原则；由于人人们的简简单失误误或错误误可能导导致的企企业破产产；可能能由于两两个或多多个人的的串通而而绕过控控制；管管理者可可能忽视视企业的的风险管管理决策策等等。这这些限制制使得董董事会和和管理者者无法在在企业目目标实现现方面得得到绝对对保证。7目标的的实

24、现有效的风险险管理应应该能够够为企业业目标的的实现提提供合理理的保证证，包括括报告的的可靠性性、合法法合规性性目标等等等。这这两类目目标的实实现都是是在企业业的控制制范围内内，其实实现依赖赖于相关关活动执执行的好好坏。但是，战略略目标和和经营目目标的实实现并不不总是在在企业的的控制范范围内。对对于这两两类目标标，企业业风险管管理只能能合理保保证管理理者和董董事会从从宏观上上及时了了解企业业目标实实现的进进度。（三）企业业风险管管理的组组成要素素根据管理者者经营的的方式划划分，企企业风险险管理包包括八个个相互关关联的组组成要素素，这八八个要素素渗透于于企业管管理的过过程之中中，包括括：1内部环环

25、境企业的内部部环境是是其他所所有风险险管理要要素的基基础，为为其他要要素提供供规则和和结构。内内部环境境影响企企业战略略和目标标的制定定、业务务活动的的组织和和风险的的识别、评评估和执执行等等等。它还还影响企企业控制制活动的的设计和和执行、信信息和沟沟通系统统以及监监控活动动。内部部环境包包含很多多内容，包包括企业业员工的的道德观观和胜任任能力、人人员的培培训、管管理者的的经营模模式、分分配权限限和职责责的方式式等。董董事会是是内部环环境的一一个重要要组成部部分，对对其他内内部环境境的组成成内容有有重要的的影响。而而企业的的管理者者也是内内部环境境的一部部分，其其职责是是建立企企业的风风险管理

26、理理念、确确定企业业的风险险偏好，营营造企业业的风险险文化，并并将企业业的风险险管理和和相关的的行动计计划结合合起来。让企业所有有员工了了解企业业的风险险管理理理念有利利于提高高雇员确确认和有有效管理理风险的的能力。风风险管理理理念是是企业对对风险的的信念，是是企业选选择处理理其活动动和风险险的方式式。它反反映了一一个企业业期望从从企业的的风险管管理获得得一定的的价值。这这一理念念还会影影响企业业风险管管理要素素的应用用方式。管管理者应应将其风风险管理理理念通通过政策策说明书书和其他他沟通方方式向企企业的员员工宣传传。更重重要的是是，管理理者不应应仅仅是是在纸面面上强调调风险管管理理念念，还应

27、应在每天天的行动动中贯彻彻执行。风险偏好由由企业的的管理者者设定，董董事会复复核，是是企业制制定战略略的一个个控制指指标。通通常为了了实现某某一个预预定的增增长或收收益目标标，企业业可以制制定许多多不同的的战略，而而每一个个战略都都具有不不同的风风险。在在战略制制定过程程中，风风险管理理有助于于管理者者选择与与企业的的风险偏偏好相一一致的战战略方案案。管理理者期望望将企业业的组织织结构、人人员、生生产过程程与硬件件设施整整合在一一起，使使得在战战略的成成功执行行的同时时将风险险控制在在风险偏偏好的范范围内。风险文化是是企业员员工共同同的态度度、价值值观和实实务操作作程序的的组合，表表明企业业在

28、其日日常活动动中看待待风险的的方式。对对于许多多公司而而言，风风险文化化来自于于企业的的风险理理念和风风险偏好好。对那那些不能能明确界界定其风风险理念念的企业业，其风风险文化化的形成成可能是是随机的的，而导导致一个个企业内内存在明明显不同同的风险险文化，甚甚至在一一个业务务部门、行行政部门门中都有有可能存存在明显显不同的的风险文文化。2目标制制定根据据企业确确定的任任务或预预期，管管理者确确定企业业的战略略目标，选选择战略略方案，确确定相关关的 子目标并在在企业内内层层分分解和落落实，各各子目标标都应遵遵循企业业的战略略方案并并与战略略方案相相联系。在在能够确确定对目目标的实实现有潜潜在影响响

29、的事项项之前，管管理者就就应确定定企业的的目标。而而企业风风险管理理就是提提供给管管理者一一个适当当的过程程，既能能够制定定企业的的目标，又又能够将将目标与与企业的的任务或或预期联联系在一一起，并并且这些些目标还还与企业业的风险险偏好相相一致。企业的目标标可以分分为四类类：战略目标标 是企业业的高层层次目标标，与企企业的任任务和预预期相联联系并支支持企业业的任务务和预期期的实现现。经营目标标 是指企企业经营营的效率率性和效效果性，包包括经营营业绩目目标和盈盈利能力力目标，由由于管理理者对企企业结构构和经营营的不同同选择，各各企业的的经营目目标也不不尽相同同。报告目标标 指企业业报告的的有效性性

30、，包括括企业内内部和外外部的报报告，既既包括财财务信息息，也包包括非财财务信息息。合法性目目标 是指企企业符合合相关的的法律和和法规。企业目标的的这种分分类可以以使企业业的管理理者和董董事会注注意企业业风险管管理的不不同方面面。企业业的某一一个特定定目标可可能不仅仅仅属于于某一类类目标。企企业的这这些目标标既相互互区别但但又相互互重叠，可可以明确确企业的的不同需需要，并并且可以以分派给给企业的的某一个个执行官官作为其其直接职职责。这这种分类类还可以以区分企企业不同同类别目目标的期期望之间间的区别别。某些企业还还有另一一类目标标“资源的的安全”，有时时也叫“资产的的安全”。从广广义上看看，这一一

31、目标是是防止企企业资产产或资源源的流失失，这种种流失可可以是由由于偷窃窃、浪费费、经营营的无效效性，也也可以是是由于企企业商业业上简单单的错误误决策（如如以过低低的价格格出售产产品、没没有留住住企业的的关键员员工、没没有阻止止对本企企业专利利权的侵侵害行为为，或者者是出现现未预期期的负债债等等）所所引起的的流失。对对某种报报告目的的而言，这这种广义义的资产产安全类类目标可可能是一一个狭义义的定义义，此时时的资产产安全概概念可以以仅仅指指预防或或及时发发现对企企业资产产的未经经授权的的购买、使使用或处处置。3事项识识别(EEvennt IIdenntifficaatioon) 管理者意识识到了不

32、不确定性性的存在在，即管管理者不不能确切切地知道道某一事事项是否否会发生生、何时时发生或或者如果果发生其其结果如如何。作作为事项项识别的的一部分分，管理理者应考考虑会影影响事项项发生的的各种企企业内外外部的因因素。外外部因素素包括经经济、商商业、自自然环境境、政治治、社会会和技术术因素等等，内部部因素反反映出管管理者所所做的选选择，包包括企业业的基础础设施、人人员、生生产过程程和技术术等事项项。一个企业事事项识别别的方法法可以包包含不同同的技术术及其与与相应的的工具的的组合。事事项识别别技术既既针对过过去，又又针对未未来。针针对过去去的事项项和趋势势的识别别技术主主要要考考虑类似似支付错错误的

33、历历史、商商品价格格的变化化和浪费费时间的的突发事事件（LLostt-tiime acccideentss ）等等事项，而而针对未未来风险险的技术术则主要要考虑不不断变化化的人口口统计资资料、新新市场和和竞争者者的行为为等事项项。将潜在的事事项进行行分类对对管理者者而言是是非常有有用的。通通过在企企业内各各水平层层面上对对事项进进行汇总总、在营营运部门门内部对对事项进进行垂直直地汇总总，管理理者能够够对事项项之间的的相互关关系有一一个了解解，这些些信息也也可以作作为风险险评估的的基础。潜在的事项项可能对对企业有有正面的的影响、也也可能有有负面的的影响或或者两种种影响同同时存在在。对企企业有潜潜

34、在负面面影响的的事项是是企业的的风险，要要求企业业的管理理者对其其进行评评估和建建立反应应方案。因因此，风风险的定定义就是是，某一一事项将将要发生生的可能能性及其其对企业业目标的的实现造造成负面面影响的的可能性性。对企业有潜潜在正面面影响的的事项则则是企业业的机遇遇或者可可以弥补补风险对对企业的的负面影影响。机机遇可以以在企业业战略或或目标制制定的过过程中加加以考虑虑，以制制定有关关行动抓抓住机遇遇。可能能弥补风风险对企企业负面面影响的的事项则则应在管管理者对对风险进进行评估估和反应应的阶段段予以考考虑。4风险评评估 风险评估可可以使企企业了解解潜在事事项如何何影响企企业目标标的实现现。管理理

35、者应从从两个方方面对风风险进行行评估风险险发生的的可能性性和影响响。风险发生的的可能性性是指某某一特定定事项发发生的可可能性，影影响则是是指事项项的发生生将会带带来的影影响。对对风险发发生的可可能性和和影响的的估计经经常需要要使用从从过去的的可观察察事项得得到的数数据，这这比没有有任何数数据的、完完全的主主观估计计要客观观得多。根根据企业业自己的的经验在在企业内内部产生生的数据据带有较较少的人人的主观观偏见，能能够得到到比外部部数据更更好的结结果。但但是，即即使是以以内部数数据作为为主要的的资料来来源，外外部数据据仍能用用作一个个检查标标准或者者改进分分析。当当使用过过去数据据对未来来进行预预

36、测时使使用者必必须小心心，因为为影响过过去事项项的有关关因素可可能会随随着时间间的推移移而改变变。一个企业风风险评估估的方法法通常是是定量方方法和定定性分析析技术的的组合。当当风险本本身无法法量化时时，或者者量化评评估所要要求充足足的可靠靠的数据据实际不不可获得得或者数数据获得得或分析析不符合合成本效效益原则则时，管管理者通通常会采采用定性性的分析析技术。定定量的分分析技术术通常更更加精确确，一般般用于更更为复杂杂多变的的活动，作作为定性性分析的的补充。一一个企业业不需要要在每个个业务部部门都使使用同样样的评估估技术。相相反，对对评估技技术的选选择应反反映出对对精确性性的需要要和该业业务部门门

37、的文化化。在任任何情况况下，各各业务部部门所使使用的评评估技术术应有利利于企业业在整个个企业的的范围内内对风险险的评估估。在衡量目标标的实现现程度时时，管理理者经常常使用业业绩计量量指标。当当考虑某某一风险险对实现现某一特特定目标标的潜在在影响时时，使用用这些计计量指标标同样有有效。管管理者可可以评估估各事项项之间的的关系，因因为一系系列相互互关联的的事项结结合起来来会使得得事项的的发生概概率或事事项的影影响发生生重大变变化。虽虽然一个个单一事事项的影影响可能能很小，但但是这样样一系列列事项则则可能对对企业造造成重大大影响。各各潜在事事项之间间可能并并不直接接相关，这这时管理理者可以以分别对对

38、其进行行评估，但但是当某某些风险险可能在在企业的的多个业业务部门门出现时时，管理理者可以以将所确确认的风风险归为为一类进进行评估估。通常一个潜潜在事项项结果是是一个可可能的范范围值，管管理者应应将其作作为制定定风险反反应方案案的基础础。通过过风险评评估，管管理者可可以了解解潜在事事项在整整个企业业内对企企业的正正面和负负面的影影响，单单个事项项或某类类事项对对企业的的影响。管理者通常常只趋于于关注中中短期的的风险，但但风险应应在企业业战略和和目标的的前提下下进行评评估。由由于战略略方向和和目标的的某些要要素涉及及较长时时期，管管理者因因而应从从长期的的角度认认识风险险，而不不能忽视视远期会会影

39、响企企业的风风险。首先，应对对企业的的固有风风险进行行评估。固固有风险险是指管管理者在在没有采采取任何何会改变变风险发发生的可可能性或或影响的的管理措措施的情情况下企企业所面面临的风风险。一一旦确定定了对固固有风险险的风险险反应方方案，管管理者就就可以使使用风险险评估技技术确定定企业的的残留风风险。残残留风险险是指管管理者采采取了有有关风险险管理措措施后应应存在的的风险。5风险反反应管理者可以以制定不不同风险险反应方方案，并并在风险险容忍度度和成本本效益原原则的前前提下，考考虑每个个方案如如何影响响事项发发生的可可能性和和事项对对企业的的影响，并并设计和和执行风风险反应应方案。考考虑各风风险反

40、应应方案并并选择和和执行一一个风险险反应方方案是企企业风险险管理不不可分割割的一部部分。有有效的风风险管理理要求管管理者选选择一个个可以使使企业风风险发生生的可能能性和影影响都落落在风险险容忍度度范围之之内的风风险反应应方案。风险反应可可分为规规避风险险、减少少风险、共共担风险险和接受受风险四四类。规规避风险险是指采采取措施施退出会会给企业业带来风风险的活活动。减减少风险险是指减减少风险险发生的的可能性性、减少少风险的的影响或或者两者者同时减减少。共共担风险险是指通通过转嫁嫁或与他他人共担担一部分分风险来来降低风风险发生生的可能能性或影影响。接接受风险险则是不不采取任任何改变变风险发发生的可可

41、能性或或影响的的行动。作作为企业业风险管管理的一一部分，对对于每一一个重要要的风险险，企业业都应按按风险反反应的类类型考虑虑所有的的风险反反应方案案，这样样有助于于风险反反应方案案的选择择，这也也是对“现状”提出的的挑战。 选定某一个个风险反反应方案案后，管管理者应应在残留留风险的的基础上上重新评评估风险险，即从从企业总总体的风风险组合合的、预预测的角角度重新新计量风风险。管管理者可可以采取取一定的的方法使使得每一一生产部部门、行行政部门门或业务务单位的的管理者者可以对对风险进进行复合合式的评评估以决决定该部部门的风风险反应应方案。这这种视角角可以反反映相对对于各部部门的目目标和风风险容忍忍度

42、该部部门的风风险组合合。在对对各个独独立部门门的风险险有一个个认识的的基础上上，企业业最高层层的管理理者应以以组合的的角度看看待风险险，以决决定企业业的风险险组合与与相对企企业目标标而言的的总体的的风险偏偏好是否否相符。管理者应认认识到一一定水平平的残留留风险总总是存在在的，这这不仅是是因为资资源的有有限性，还还因为未未来有其其内在的的不确定定性和所所有活动动的固有有限制。6控制活活动控制活动是是帮助保保证风险险反应方方案得到到正确执执行的相相关政策策和程序序。控制制活动存存在于企企业的各各部分、各各个层面面和各个个部门。控控制活动动是企业业努力实实现其商商业目标标的过程程的一部部分。通通常包

43、括括两个要要素：确确定应该该做什么么的一个个政策和和影响该该政策的的一系列列过程。由于企业的的控制活活动与企企业的信信息系统统广泛相相关，因因此，应应对企业业所有的的重要系系统进行行控制。广广义来讲讲，对信信息系统统控制活活动可以以分为两两类。一一类是一一般控制制，这类类控制应应用于大大多数应应用系统统，有助助于保证证系统的的持续地地、正确确地运行行。另一一类是应应用控制制，包括括用于控控制技术术应用的的应用软软件内部部的电脑脑程序。必必要时将将信息系系统控制制与其他他手工的的过程控控制相结结合，可可以保证证信息的的完整性性、精确确性和有有效性。一般控制包包括对信信息技术术管理、信信息技术术基

44、础设设施、保保密管理理和软件件的购买买、开发发和维护护的控制制。这些些技术应应用于所所有的系系统，从从主机到到客户端端（服务务端）到到桌面电电脑环境境。信息息技术管管理控制制主要包包括明确确信息技技术的勘勘漏过程程、监督督和报告告信息技技术活动动及业务务改进的的初步行行动等等等。应用控制的的目的是是保证数数据获得得和业务务处理过过程的完完整性、精精确性、授授权和有有效性。依依靠信息息系统控控制运行行的有效效可以保保证当需需要时每每个应用用程序可可以在界界面上产产生有关关数据，保保证应用用程序的的有效和和有关界界面的错错误可以以很快地地被发现现。因为每一个个主体都都有其自自己的一一套目标标和执行

45、行目标的的方法，因因此其子子目标、结结构和相相关的控控制活动动也会不不同。即即使两个个企业有有同样的的目标和和结构，他他们的控控制活动动可很可可能不同同。每个个企业的的管理人人员都不不同，不不同的管管理人员员在影响响内部控控制时使使用不同同的个人人判断。而而且，控控制活动动反映了了一个企企业所处处的环境境和行业业，也会会反映企企业的复复杂性、企企业的历历史和文文化。7信息和和沟通来自于企业业内部和和外部的的相关信信息必须须以一定定的格式式和时间间间隔进进行确认认、捕捉捉和传递递，以保保证企业业的员工工能够执执行各自自的职责责。有效效的沟通通也是广广义上的的沟通，包包括企业业内自上上而下、自自下

46、而上上以及横横向的沟沟通。有有效的沟沟通还包包括将相相关的信信息与企企业外部部相关方方的有效效沟通和和交换，如如客户、供供应商、行行政管理理部门和和股东等等。企业内部各各个管理理层都需需要信息息来帮助助识别、评评估风险险和对风风险进行行反应，以以及进行行经营并并实现企企业的目目标。相相对于某某一类或或几类目目标，某某一批信信息是有有用的。企企业的信信息来自自于各个个方面，包包括内部部和外部部的信息息、量化化的和非非量化的的信息，以以使得企企业的风风险管理理可以对对现实世世界中不不断变化化的条件件及时作作出反应应。将大大量的信信息进行行处理，提提炼出或或指导行行动的信信息是企企业管理理者所面面临

47、的一一个挑战战。解决决这一问问题的方方法是建建立一个个信息系系统底层层结构来来确认、捕捕捉、处处理、分分析和报报告相关关信息。这这些信息息系统通通常是电电脑系统统，但也也包括手手工录入入或人机机界面。因因此，这这些信息息系统经经常是指指处理企企业相关关业务产产生的内内部数据据的系统统。长期以来信信息系统统是用来来支持企企业的商商业战略略。当业业务需要要变化和和有关技技术为企企业获得得战略优优势提供供新的机机会时，这这一地位位就显得得更为重重要。 为支持有效效的企业业风险管管理，一一个企业业会捕捉捉和使用用历史和和现在的的数据。历历史数据据使企业业能够将将实际业业绩与目目标、计计划和期期望相比比

48、较，能能够更加加深入了了解企业业在不断断变化的的环境下下是如何何生存的的，使得得管理者者确认相相关性和和趋势并并预测未未来的业业绩。历历史数据据还能够够对需要要管理者者注意的的潜在事事项提早早提出警警告。现在或现状状的数据据使企业业能够评评估在某某一特定定时点所所面临的的风险并并将其控控制在风风险容忍忍度范围围内。现现状数据据使得管管理者可可以实时时地了解解一个过过程、职职能部门门或单位位现存的的固有风风险和差差异的大大小。这这对了解解企业的的风险组组合提供供了一个个视角，使使得管理理者能够够在必要要时改变变企业的的活动以以满足企企业的风风险偏好好。信息是沟通通的基础础，沟通通则必须须满足各各

49、部门和和个人的的要求，以以使他们们能够有有效地履履行其职职责。最最重要的的沟通渠渠道之一一是高级级管理者者和董事事会之间间的沟通通。管理理者必须须使董事事会了解解关于企企业业绩绩、发展展、风险险管理执执行和其其他相关关事项和和问题的的及时信信息。沟沟通越畅畅通，董董事会在在执行其其监督职职能、重重大问题题的宣传传媒介职职能和提提供建议议、咨询询和指导导职能时时才会越越有效。反反之，董董事会也也应向管管理者传传递其所所需要的的信息并并进行反反馈和指指导。管理者应提提供特定定的或直直接的沟沟通渠道道说明对对员工的的行为预预期和各各自的职职责。应应包括对对企业风风险管理理原理和和方法以以及员工工权责

50、分分配的清清晰的说说明。对对于风险险管理过过程和程程序的沟沟通应与与企业预预期的风风险文化化相结合合，并作作为企业业风险文文化的基基础。此此外，信信息的列列示会直直接影响响对信息息的解释释和对相相应的风风险或机机遇的看看法，因因此，对对于沟通通应有一一个适当当的架构构。沟通应使企企业的员员工了解解有效地地企业风风险管理理的重要要性和相相关性，了了解企业业的风险险偏好和和风险容容忍度，并并在企业业内执行行、设计计一个统统一的风风险用语语并向员员工说明明他们在在影响和和支持企企业风险险管理要要素中的的地位和和职责。沟通渠道还还应该保保证企业业员工能能够在各各业务部部门、业业务流程程或职能能部门间间

51、进行风风险信息息的沟通通。大多多数情况况下，企企业内正正常的报报告路径径一般是是沟通的的适当渠渠道。而而在某些些情况下下，需要要一个单单独的信信息沟通通途径作作为防止止失败机机制，而而为一途途径在正正常情况况下是不不用的。在在所有的的情况下下，让企企业的员员工了解解企业内内并不存存在对报报告相关关信息的的报复是是很重要要的。外部的沟通通渠道能能够为企企业的产产品或服服务的设设计或品品质提供供非常重重要的信信息。管管理者应应将企业业的风险险偏好和和风险容容忍度与与客户、供供应商和和合伙人人的风险险偏好和和风险容容忍度联联系起来来考虑，以以保证不不会通过过企业的的业务活活动给企企业带来来太多的的风

52、险。外外部相关关方的信信息经常常会为企企业风险险管理的的运行提提供重要要的信息息。8监控对企业风险险管理的的监控是是指评估估风险管管理要素素的内容容和运行行以及一一段时期期的执行行质量的的一个过过程。企企业可以以通过两两种方式式对风险险管理进进行监控控持续续监控和和个别评评估。持持续监控控和个别别评估都都是用来来保证企企业的风风险管理理在企业业内各管管理层面面和各部部门持续续得到执执行。持续监控是是对企业业日常的的、重复复的经营营活动的的监控，在在实时的的基础上上进行，是是对不断断变化的的环境的的动态地地反应，应应在企业业内部彻彻底地贯贯彻和执执行。如如果执行行得好，持持续监控控比个别别评估更

53、更为有效效。由于于个别评评估是在在事实发发生之后后才进行行评估，而而持续监监控则会会在问题题一发生生就很快快被发现现。虽然然如此，许许多使用用持续监监控的企企业仍旧旧进行风风险管理理的个别别评估。个别评估的的频率是是企业管管理者的的主观判判断问题题。在决决定个别别评估的的频率时时，管理理者应考考虑来自自于企业业内部和和外部事事项的变变化的性性质和程程度以及及相应的的风险、企企业员工工进行风风险反应应和相应应控制的的能力和和经验、持持续监控控的结果果等因素素。通常常，将持持续监控控和个别别评估进进行一定定的结合合使用会会保证企企业风险险管理长长期的有有效性。对企业风险险管理进进行记录录的程度度根

54、据企企业的规规模、经经营的复复杂性和和其他因因素的影影响而有有所不同同。企业业风险管管理的内内容没有有记录并并不意味味着风险险管理无无效或无无法对风风险管理理进行评评 估。但是，适适当程度度的记录录通常会会使对风风险管理理的监控控更为有有效果和和有效率率。当企企业管理理者打算算向企业业外部相相关方提提供关于于企业风风险管理理效率的的报告时时，他们们则应考考虑为企企业风险险管理设设计一套套记录模模式并保保持有关关的记录录。所有风险管管理失效效都会影影响企业业确定和和执行战战略的能能力，影影响企业业实现其其既定目目标的能能力。对对此，应应将企业业所有的的风险管管理失效效都报告告给适当当的管理理层，

55、以以保证其其采取必必要的措措施以纠纠正风险险管理失失效。企企业所需需沟通的的事项的的性质根根据各人人处理各各种情况况的权限限和监控控者的查查漏活动动的不同同而不同同。这里里“失效”是指企企业风险险管理过过程中值值得注意意的某一一种情形形。因此此，失效效可能代代表一种种预期的的、潜在在的或真真实的缺缺陷，或或者代表表加强风风险管理理过程的的一个机机会，以以增加企企业目标标实现的的可能性性。在经经营活动动中产生生的信息息通常通通过正常常的渠道道进行报报告。对对于敏感感性信息息的报告告也应有有其他的的沟通渠渠道，如如非法活活动或不不正当的的活动。向企业内适适当的管管理层提提供关于于风险管管理失效效的

56、必需需的信息息是非常常重要的的。企业业应建立立一个协协议来识识别某一一管理层层决策有有效所需需要的信信息。这这些协议议应反映映一个基基本原则则，即一一个管理理者在收收到实现现其特定定目标的的有关信信息外，还还应收到到影响其其权限范范围内人人员的行行动或行行为的所所有信息息。（四四）风险险管理要要素和企企业目标标之间的的关系企业的风险险管理框框架包括括四类目目标和八八个要素素。四类类目标分分别是战战略目标标、经营营目标、报报告目标标和合法法性目标标。八个个要素分分别是内内部环境境、目标标制定、事事项识别别、风险险评估、风风险反应应、控制制活动、信信息和沟沟通、监监控，是是企业目目标实现现的保证证

57、。它们们相互之之间存在在直接的的关系，可可以用一一个三维维矩阵图图来表示示（如图图1 所示示）。可以看出，四四个栏分分别代表表一个企企业的四四类目标标，并不不是企业业的某个个部分或或部门。因因此，例例如，当当考虑与与报告相相关的那那类目标标时，需需要关于于企业经经营的大大量信息息，但是是在这种种情况下下主要关关注的是是风险管管理模型型右手边边中间这这一栏报告告目标而不不是经营营类目标标。图2 将立立方体中中水平各各行的内内容进行行扩展，说说明各风风险管理理要素的的主要内内容，其其中每一一要素也也就代表表一个业业务流程程。图1 四类目标标战略、经经营、报报告和合合规性目目标由垂直直栏表示示。八要

58、素素由水平行表表 示示。企业和其其各组织织单位由由矩阵中中的第三三维表示示。 （五）有效效性企业风险管管理是一一个过程程，企业业风险管管理的有有效性则则是某一一时点的的一个状状态或条条件。决决定一个个企业的的风险管管理是否否有效是是基于对对风险管管理八要要素设计计和执行行是否正正确的评评估基础础上的一一个主观观判断。为使风险管管理有效效，企业业的风险险管理框框架必须须包括所所有的八八个要素素，并得得到贯彻彻执行。但但是，这这并不意意味着每每一要素素在不同同的企业业间，甚甚至是不不同企业业的同一一管理层层次上，都都必须执执行同样样的功能能。因为为不同的的要素之之间可能能存在着着作用的的相互抵抵消

59、。由由于企业业风险管管理的各各种技术术能够为为企业不不同的经经营意图图服务，因因此，相相对于某某要素的的技术也也能够服服务于通通常是另另一要素素所体现现出来的的经营意意图。此此外，对对某一特特定风险险的风险险反应程程度可能能不同，以以至于互互补的风风险反应应模式可可能各自自对企业业的影响响都有限限，合并并后仍可可以保持持在风险险容忍度度的范围围内。这里所讨论论的概念念可以应应用于所所有企业业，无论论其规模模。某些些中小企企业所采采用的要要素的内内容与大大企业可可能不同同，但企企业的风风险管理理仍旧有有效。对对于每个个要素的的方法论论，小企企业采用用的方法法与大企企业相比比并不正正式和结结构化，

60、但但是，无无论企业业的规模模，其风风险管理理都应包包括本文文所讲的的基本概概念。企业风险管管理可以以从一个个企业的的总体来来认识，也也可以从从一个单单独的部部门或多多个部门门的角度度来认识识。即使使是站在在某一特特定的业业务部门门的角度度来看待待风险管管理，所所有的八八要素也也都应作作为基准准包含在在内。一个公司可可能采用用联营企企业、合合伙或其其他的投投资形式式，其经经营可能能不在母母公司的的直接控控制之下下。为保保证企业业风险管管理的有有效性，母母公司应应从公司司战略和和目标的的角度考考虑与被被投资方方一起充充分应用用风险管管理八要要素的程程度。图2 （六）包括括内部控控制内部控制是是企业