全面风险管理与内部控制知识普及读本

一、全面风险治理术语（一）风险治理基础术语1、风险指以后的不确定性对企业实现经营目标的阻碍。以后的不确定性可能会对企业经营目标的实现带来负面的阻碍，也可能会带来正面的阻碍。因此，风险可分为以下两类：1.1纯粹风险是指以后事项的发生将对企业经营目标的实现产生负面阻碍的可能性。1.2机会风险是指以后事项的发生将对企业经营目标的实现产生正面阻碍的可能性。注:有关可能性的程度能够用不同等级来表示：极不可能/不太可能/可能/专门可能/极有可能。2、全面风险治理指企业围绕总体经营目标，建立健全全面风险治理体系，通过在企业治理和企业经营的各个环节执行风险治理的差不多流程，培育良好的风险治理文化，从而为实现风险治理的总体目标提供有效保证的过程和方法。3、风险治理框架指企业对风险治理的设计、实施、监控、检查和持续改进等进行的一系列基础的组织安排。4、风险治理差不多流程指企业开展风险治理工作所进行的一系列业务活动和工作环节，具体包括：收集风险治理初始信息、风险评估、制定风险治理策略、提出和实施风险治理应对方案、风险治理的监督与改进。5、内部操纵系统指围绕风险治理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境爱护等各项业务治理及其重要业务流程，制定并执行的风险治理规章制度、程序和措施。6、风险治理信息系统指通过信息技术，为全面风险治理的各项工作，传输企业风险和风险治理信息的系统平台，具备风险数据和信息的采集、存储、加工、分析、测试、传递、报告、披露等各项功能。7、风险文化指在企业的日常运营中，基于企业的风险哲学、风险偏好和整体企业文化形成的对待风险的态度、价值观和系列实践行为等。（二）与风险评估相关的术语1、风险评估指企业及时辨识、科学分析和评价阻碍经营治理目标实现的各种不确定因素并确定重大风险的过程，包括风险辨识、风险分析、风险评价三个要紧步骤。2、风险辨识指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。3、风险分析指对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。4、风险评价指评估风险对企业实现目标的阻碍程度、风险的价值等。5、来源识不指发觉、列举和描述风险来源的过程。6、风险源指单独或联合具有内在的潜在引起危险的因素。7、重大风险指通过风险评估所确定的，在当前所有风险中风险水平较高且超出企业风险承受度的风险，也即在风险图中处于高风险区域的风险。8、风险图指用于风险识不和对其进行优先排序的有效工具。一旦企业的风险被辨识和评估以后，就能够依照风险的阻碍程度和发生可能性等属性得分将其展示在风险图的不同位置上表明其重要程度，借此为风险治理策略和解决方案的制订提供依据。（三）与风险应对相关的术语1、风险治理策略指企业依照自身条件和外部环境，围绕企业进展战略，确定风险偏好、风险承受度、风险治理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险操纵等适合的风险治理工具的总体策略，并确定风险治理所需人力和财力资源的配置原则。2、风险偏好指企业在实现目标的过程中所情愿承受的风险的取向数量和水平。3、风险容忍度指在企业目标实现过程中对差异的可同意程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。4、风险应对指企业依照风险治理策略，针对各类风险或每一项重大风险制定的一系列的风险应对方法和措施，要紧包括风险解决的具体目标，所需的组织领导，所涉及的治理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险治理工具(如：关键风险指标治理、损失事件治理等）。5、规避风险退出会产生风险的活动或业务。6、降低风险采取措施降低风险的可能性或阻碍，或者同时降低两者。7、转移风险通过转移来降低风险的可能性或阻碍，或者分担一部分风险。8、承受风险不采取任何措施去干预风险的可能性或阻碍。9、风险融资为实施风险处理及其他相关活动的费用提供资金的活动。10、剩余风险指在实施风险治理及有打算的应对操纵措施后剩余的风险。剩余的风险假如超过组织的可同意风险水平，组织必须安排进一步的风险操纵，将剩余风险降低到可同意的水平。二、全面风险治理常见问题解答(一）风险的概念及起源1、什么是风险？如何样正确理解风险？历史上对风险有过许多定义，至今没有完全统一。全面风险治理中将风险定义为“以后的不确定性对实现目标的阻碍”，能够从以下方面来理解。首先，风险是相关于目标而言的，是对目标实现的阻碍。一般讲来，目标定得越高、越明确，风险就越大。一个企业要想进入世界前列并保持先进地位的风险和要想随波逐流的风险明显是不一样的。实际上，没有风险就没有回报，企业不承担足够的风险就不能满足股东关于回报的期望。从那个地点我们就看到风险大并不一定是坏事。其次，风险是关于以后的。风险总是同以后的一个时刻段联系在一起的。过去发生的情况和现在已确定的情况都不是风险，只有以后的情况才可能成为风险。因此对风险的考虑注定是前瞻性的思维，是对以后的考虑，企业风险治理是企业前瞻性的治理。再次，风险是不确定性的表现。确定的损失或收益不是风险，假如以后是完全能够精确预测的，自然也就无风险可言。不确定性要紧表现为两个层面：第一个层面是风险因素本身的不确定性，第二个层面是风险因素对目标阻碍程度的不确定性。值得注意的是，定义中并没有把风险限定为只是负面的或者只是可能带来损失的。对目标有正面阻碍的风险称作机会风险，只有负面阻碍的风险称作纯粹风险，全面风险治理中的定义是一般性的，包含了机会风险与纯粹风险。因此，全面风险治理绝对不是仅仅为了防止出事或防止损失，还包括治理机会风险，为企业制造价值。2、风险有哪些属性？风险具有以下属性：（1）风险的存在具有客观性和普遍性作为以后结果发生的不确定性，风险是不以人的意志为转移并超越人们主观意识的客观存在，风险是无处不在、无时不有的。尽管人类一直希望认识和操纵风险，但直到现在也只能在有限的空间和时刻内改变风险存在和发生的条件，降低其发生的频率，减少损失程度，而不能也不可能完全消除风险。（2）某一个体风险发生的偶然性和大量风险发生的必定性任一个体风险的发生差不多上诸多风险因素和其他因素共同作用的结果，是一种随机现象。个不风险事故的发生是偶然的、杂乱无章的，但对大量风险事故资料的观看和统计分析，发觉其呈现出明显的运动规律，这就使人们有可能用概率统计方法及其他现代风险分析方法去计算风险发生的概率和损失程度，使风险治理成为可能。（3）风险的可变性风险是随着事件的进展而发生变化的。有些风险会得到操纵并消除，有些风险会发生并得到处理，同时在每一时期又有可能产生新的风险。（4）风险的多样性和多层次性因企业生命周期长、规模大、涉及范围广、风险因素数量多且种类繁杂致使其在寿命周期内面临的风险多种多样，而且大量风险因素之间的内在关系错综复杂、各风险因素之间与外界交叉阻碍又使风险显现出多层次性。假如采取适当的措施使破坏或损失的概率可不能出现，那么风险可能带来机会，不仅仅是规避风险，可能还会带来比例不等的收益，有时风险越大，机会越大，回报越高。因此，如何推断风险、选择风险、规避风险继而运用风险，在风险中寻求机会制造收益，意义更加深远而重大。3、风险如何分类？风险的分类标准不是绝对的，集团参照全面风险治理指引将风险划分为战略风险、财务风险、运营风险、法律风险等。战略风险是指与公司达到自身确立的战略目标有关的风险，在这些风险的阻碍下，公司高管层的战略决策可能无法被顺利推行，或偏离了初衷。常见的战略风险包括：政治与政策风险、投资决策风险、进展风险、品牌风险、公司治理与管控结构风险、战略规划风险等。财务风险是指一切与财务领域相关的风险，包括各类资金风险、货币风险、资产保全风险、报表披露风险等，这类风险容易造成外界甚至治理层对公司财务数据的错误认识，从而阻碍公司运营及声誉。常见的财务风险包括：预算操纵风险、融资风险、投资治理风险、资产损失风险、财务报告编制风险、税收筹划风险、资金风险、投保风险等。运营风险是指公司正常运营过程中遇到的各类风险的总称，会涉及到公司日常业务的各个方面，这些风险的发生可能导致运营不顺、效率低下、执行错误，最严峻的时候可能导致整个或部分业务链的中断。常见的运营风险包括：作业风险、HSE风险、人力资源风险、信息系统风险、价格风险、市场营销风险、原材料风险、客户风险、供应商风险等。法律风险是指公司违反国家或行业法律法规的风险，这类风险会对公司整体声誉造成极大的损害。常见的法律风险包括：国内法律风险、对外合作法律风险、公司制度法律风险、合同风险、诉讼风险、信息披露风险等。企业风险还存在其他分类方法。如将风险依照动因是内部驱动依旧外部驱动分为内部风险和外部风险，或者按照结果分为机会风险和纯粹风险。在实践中，有些风险可能会放在不同的分类中。例如，法律风险有时被归入运营风险，有时被归入战略风险。关于治理者而言，真正重要的不是如何将这些风险分类，而是如何治理这些风险。4、什么是风险治理？它是如何进展起来的？因为风险是以后的不确定性对企业实现其目标的阻碍，企业要想实现既定的目标，为股东取得预期的回报，就必须专门好地治理风险。风险治理确实是指如何在一个确信有风险的环境里把纯粹风险降至最低并及时把握可能存在的机会的治理过程。人类对风险治理理论的研究始于20世纪初。企业风险治理进展大致经历了三个时期：第一时期：以“安全与保险”为特征的风险治理。100多年前，快速进展的航海业面临的海上风险催生了保险业的迅速进展，最初航运企业风险治理的要紧措施确实是通过保险把风险转移给保险公司，从而规避自身的风险损失。在20世纪30年代，由于受到1929-1933年的世界性经济危机的阻碍，美国约有40%左右的银行和企业破产，经济倒退了约20年。美国企业为应对经营上的危机，许多大中型企业都在内部设立了保险治理部门，负责安排企业的各种保险项目。第二时期：以“内部操纵和操纵纯粹风险”为特征的风险治理。随着工业革命的进展，产生了加强“操纵纯粹风险”的概念，提出公司在业务治理和流程方面，尤其是财务治理方面，要有内部操纵。1949年美国公布了《内部操纵一调整组织的各要素及其对治理部门和注册会计师的必要性》，首次对内部操纵作出了权威的定义。1955年，美国宾夕法尼亚大学沃顿商学院的施耐德教授第一次提出了“风险治理”的概念。20世纪70年代中期，作为美国“水门事件”调查结果，立法者和监管团体开始对内部操纵问题给以高度重视。1977年美国国会通过的《反国外贿赂法》，包含了要求公司治理层加强内部会计操纵的条款。1983年在美国召开的风险和保险治理协会年会上，世界各国专家学者云集纽约，共同讨论并通过了“101条风险治理准则”，这是风险治理走向实践化的一个重要文件。20世纪80年代至90年代，内部操纵在结构上进一步完善。1985年，美国COSO委员会开始研究企业如何建立以财务治理为主线的有效的内部操纵，1992年该委员会正式公布了《内部操纵一整合框架》，这份框架此后被纳入政策和法规之中，并被各国数千家企业用来为实现既定目标所采取的行动加以更好的操纵。1995年由澳大利亚和新西兰联合制订的《AS/NZS4360》明确定义了风险治理的标准程序，这确实是我们通常讲的澳新ERM标准，这标志着第一个国家风险治理标准的诞生。第三时期：以“风险治理战略与企业总体进展战略紧密结合”为特征的全面风险治理。多年来，人们在风险治理实践中逐渐认识到，一个企业内部不同部门或不同业务的风险，有的相互叠加放大，有的相互抵消减少。因此，企业不能仅仅从某项业务、某个部门的角度考虑风险，必须依照风险组合的观点，从贯穿整个企业的角度看风险，即要实行全面风险治理。然而，尽管专门多企业意识到全面风险治理，然而对全面风险治理有清晰理解的却不多，差不多实施了全面风险治理的企业则更少。但2001年11月的美国安稳公司倒闭案和2002年6月的世通公司财务欺诈案，加之其它一系列的会计舞弊事件，促使企业的风险治理问题受到全社会的关注。2002年7月，美国国会通过萨班斯法案（Sarbanes-Oxley法案），要求所有在美国上市的公司必须建立和完善内控体系。在其阻碍下，世界各国纷纷出台类似的方案，加强公司治理和内部操纵规范，加大信息披露的要求，加强企业全面风险治理。接着在2004年9月，C0S0公布《企业风险治理-整合框架》（EnterpriseRiskManagement-IntegratedFramework),该框架拓展了内部操纵，更加关注于企业全面风险治理这一更为宽泛的领域，并随之成为世界各国和众多企业广为同意的标准规范。到目前为止，世界上已有30多个国家和地区，包括所有发达国家和地区及一些进展中国家如马来西亚，都发表了对企业的监管条例和公司治理准则。在各国的法律框架下，企业有效的风险治理不再是企业的自发行为，而成为企业经营的合规要求。（二）C0S0风险治理理论5、C0S0《企业风险治理一整合框架》是如何样产生的？在内部操纵标准制定方面，美国发起人组织委员会(C0S0)一直是国际公认的权威机构，自其成立以来，一直致力于内部操纵标准的制定，引导和代表着内部操纵的进展趋势。1992年，C0S0提出了《内部操纵一整合框架》，通过十多年的应用，已成为业界普遍认可的一个标准。近些年来，一系列财务失败事件的发生以及对企业风险治理的关注，使人们越来越清晰地认识到需要一个强有力的框架以便有效地识不、评估和操纵风险。2001年，C0S0开展了一个项目，托付普华永道(PWC)开发一个关于治理当局评价和改进他们所在组织的企业风险治理的框架。但在开发那个框架期间，又发生了一系列令人嘱目的企业丑闻和失败事件，投资者、公司职员和其他利益相关者因此而遭受了巨大的损失。随之而来的便是对采纳新的法律、法规和上市准则来加强公司治理和风险治理的呼吁。人们迫切需要一个能够提供关键原则和概念、共同的语言以及明晰的方向和指南的企业风险治理框架。美国在2002年颁布了《萨班斯-奥克斯利法案》，其他国家也差不多通过或正在考虑类似的立法。这部法律扩充了长期持续的对公众公司保持内部操纵制度的规定，要求治理当局证实、并由独立审计师鉴证这些制度。2004年9月，C0S0公布了《企业风险治理-整合框架》，它拓展了内部操纵框架，更关注于企业风险治理这一更加宽泛的领域。按照C0S0的设想，他们不打算、也的确没有用企业风险治理框架取代内部操纵框架，而是将内部操纵框架纳入其中，公司不仅能够借助那个企业风险治理框架来满足它们内部操纵的需要，还能够借此转向一个更加全面的风险治理过程。6、如何样理解企业风险治理的性质？COSO在其报告中指出，企业风险治理是一个过程，它由一个主体的董事会、治理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识不可能会阻碍主体的潜在事项，治理风险以使其限制在该主体的风险容量之内，并为主体目标的实现提供合理保证。与内部操纵相比，企业风险治理补充了两个内容：一个是战略目标，一个是风险操纵。COSO在对“企业风险治理”的界定中重点强调了七个属性和理念：（1）企业风险治理是一个过程，它持续流淌于企业之内；（2）企业风险治理是由组织中各个层级的人员来实施的；（3）企业风险治理应用于战略制定的过程中；（4）企业风险治理贯穿企业整体，在各个层级和单元应用，还包括采取企业整体层级的风险组合观；（5）企业风险治理旨在识不那些一旦发生将会阻碍企业的潜在事项，并把风险操纵在风险容量以内；（6）企业风险治理能够向一个企业的治理当局和董事会提供合理保证；（7）企业风险治理力求实现一个或多个不同类型但相互交叉的目标。COSO秉承了其“整合”的思路，给出了企业风险治理的一个宽泛的定义，通过提炼对公司和其他组织风险治理的关键概念，为不同组织形式、行业和部门的应用提供了基础。另外，它直接关注特定主体既定目标的实现，并为界定企业风险治理的有效性提供了依据。7、企业风险治理有什么作用？COSO认为，企业风险治理应发挥以下作用：（1）衔接风险容量与战略治理当局在评价战略方案、设定相关目标和建立相关风险的治理机制的过程中，需要考虑所在主体的风险容量。（2）增进风险应对决策企业风险治理应能提髙企业选择风险应对策略的准确性。（3）抑减经营意外和损失主体识不潜在事项和实施应对的能力得以增强，抑制或减少了意外情况以及伴随而来的成本或损失。（4）识不和治理贯穿于企业的多重风险每一家企业都面临阻碍自身不同组成部分的一系列风险，企业风险治理有助于有效地应对交互阻碍，以及整合式地应对多重风险。（5）抓住机会通过全面考虑潜在事项，促使治理当局识不并积极地把握机会。（6）改善资本配置猎取强有力的风险信息，以使治理当局能够有效地评估总体资本需求，并改进资本配置。8、如何样对企业风险治理定位？COSO在界定企业风险治理时，明确了两个所属关系：（1）内部操纵是企业风险治理的一个组成部分；（2）企业风险治理是治理过程的一个组成部分。企业风险治理框架的要素差不多上治理层经营一个企业所做的情况。然而，并非治理层做的情况差不多上企业风险治理的组成部分。在治理层的决策与相关治理行为中应用的许多推断，尽管是治理过程的组成部分，但不是企业风险治理的组成部分。例如，确保有一个适当的目标设定过程是企业风险治理的一个关键组成要素，而治理层选择的特定目标不是企业风险治理的组成部分；在适当风险评估的基础上对风险做出反应是企业风险治理的组成部分，而所选择的特定风险应对策略和相关的资源配置不是企业风险治理的组成部分；确定和实施操纵活动以确保治理层选择的风险应对策略得到有效的实施是企业风险治理的组成部分，而所选择的特定操纵活动不是企业风险治理的组成部分。企业风险治理包括那些能够使治理层依据可靠信息做出风险基础决策的治理过程，然而从一系列适当的选择中选出的特定决策可不能决定企业风险治理是否有效。另外，普华永道（PWC)在后续的一份报告中提出了—个GRC(Governance,Risk,Compliance)模型。该报告认为，组织能够通过把GRC战略性地整合进它们的经营中，以形成一个能够对企业进行治理的道德和经营框架。那个框架包括治理（Governance)、企业风险治理（EnterpriseRiskManagement)和遵守(Compliance)三个组成部分，从中能够看出企业风险治理的定位。在那个框架中，治理活动包括设定经营战略和目标，确定风险偏好，建立文化和价值观，制定内部政策和监督绩效；风险治理活动包括识不和评价那些可能会阻碍目标实现能力的风险，应用风险治理来获得竞争优势和确定风险应对策略和操纵活动；遵守活动包括遵照目标经营，确保遵守法律和法规、内部政策与程序以及利益相关者的托付。9、C0S0《企业风险治理一整合框架》包括哪些内容？COSO的企业风险治理框架是个三维立体的框架。这种多维立体的表现形式，有助于全面深入地理解操纵和治理对象，分析解决操纵中存在的复杂问题。第一个维度（上面维度）是目标体系，包括四类目标：（1）战略目标，即高层次目标，与使命相关联并支撑使命；（2）经营目标，高效率地利用资源；（3）报告目标，报告的可靠性；（4）合规目标，符合适用的法律和法规。第二个维度（正面维度）是治理要素，包括八个相互关联的构成要素，它们源自治理当局的经营方式，并与治理过程整合在一起，具体为：（1）内部环境。治理当局确立关于风险的理念，并确定风险容量。所有企业的核心差不多上人（他们的个运气性，包括诚信、道德价值观和胜任能力）以及经营所处的环境，内部环境为主体中的人们如何看待风险和着手操纵风险确立了基础。（2）目标设定。必须先有目标，治理当局才能识不阻碍目标实现的潜在事项。企业风险治理确保治理当局采取恰当的程序去设定目标，并保证选定的目标支持主体的使命并与其相衔接，以及与它的风险容量相适应。（3）事项识不。必须识不可能对主体产生阻碍的潜在事项，包括表示风险的事项和表示机会的事项，以及可能二者兼有的事项。机会被追溯到治理当局的战略或目标制定过程。（4）风险评估。要对识不的风险进行分析，以便确定治理的依据。风险与可能被阻碍的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和阻碍。（5）风险应对。职员识不和评价可能的风险应对措施，包括回避、承担、降低和分担风险。治理当局选择一系列措施使风险与主体的风险容限和风险容量相适应。（6）操纵活动。制定和实施政策与程序以确保治理当局所选择的风险应对策略得以有效实施。（7）信息与沟通。主体的各个层级都需要借助信息来识不、评估和应对风险。广泛意义的有效沟通包括信息在主体中向下、平行和向上流淌。（8）监控。整个企业风险治理处于监控之下，必要时还会进行修正。这种方式能够动态地反映风险治理状况，并使之依照条件的要求而变化。监控通过持续的治理活动、对企业风险治理的单独评价或者两者的结合来完成。第三个维度（侧面维度）是主体单元，包括集团、部门、业务单元、分支机构四个层面。10、目标设定、事件识不和风险评估这三者间有什么关联？“目标设定”也确实是治理层制定战略目标，为确定运营，报告和合规目标提供了背景。这些目标要与公司的风险承受能力相匹配，而风险承受能力不仅决定着公司的风险容忍度高低，同时也是识不事件、评估风险和响应风险的前提条件。在对事件进行识不时，需要考虑具体的目标。“识不事件”即治理层识不出潜在的事件，这些事件可能会对公司实施战略和实现目标的能力产生正面或负面阻碍。潜在的负面事件确实是赖以评估风险和风险应对措施效能的环境情景。潜在的正面事件则代表着机会，治理层应在制定战略和目标的过程中将这些机会纳入考虑范围。“评估风险”即治理层采纳定量和定性方法来评估可能会阻碍目标实现的以后事件的可能性及其潜在阻碍。治理层既能够单独地评估各项事件，也能够分门不类地进行评估。因此，要想确实取得成效，风险评估就需要预设要实现的目标，从而周密地盘查清点出潜在的以后事件。11、如何样理解风险治理框架中企业风险治理的目标？企业风险治理框架目标体系中，增加了内部操纵整合框架中所没有的一类目标：战略目标。尽管是平行的方式列示，然而，战略目标在那个目标体系中是最高层次的，其他三类目标都应当从属于战略目标。差不多上在为战略目标服务。此外，企业风险治理框架的报告目标也有所拓展。在内部操纵框架中，报告指的是公布的财务报表。报告目标要紧关注公布的财务报表的可靠性，而在企业风险治理框架中，报告包括由企业编制、向内部和外部散发的所有报告，而且范围也从财务报表的财务信息扩展到了更广泛的非财务信息。尽管在企业风险治理框架中，并没有明确表示其遵守目标与内部操纵的遵守目标有什么不同，然而，负责拟定企业风险治理框架的普华永道(PWC)在其2004年的一份名为《整合-驱动绩效》的报告中认为：“要紧关注遵守法律、法规的传统合规方法是不充分的，遵守内部治理、道德与风险标准和政策在防止遭受与声誉相关的风险方面更有效。”该报告对“遵守”的内涵进行了拓展，提出了一个全新视角的“遵守”，给出了一个遵守风险的新定义。遒守风险是指“由于没有能够遵守法律法规、内部规则和政策以及顾客、雇员和社会等要紧利益相关者的期望而导致对组织的经营模式、声誉和财务状况产生损害的风险”。另外，内部操纵整合框架1994年补充的“爱护资产”目标在企业风险治理框架中并没有单列，因为C0S0认为，那个目标的内容差不多分不包含在了上述几类目标之中。关于目标的实现，企业风险治理与内部操纵一样，只能提供合理的保证，而且关于不同的目标所提供合理保证的内容也不尽相同。关于报告目标和合规目标而言，因为有关报告的可靠性和符合法律、法规的目标在主体的操纵范围之内，因此能够期望企业风险治理为实现这些目标提供合理保证。然而，关于战略目标和经营目标而言，由于这些目标的实现还取决于一些不在主体操纵范围之内的外部事项，因此企业风险治理能够提供合理保证的是对目标的实现过程进行有效的信息沟通，即治理当局以及承担监督职能的董事会能够及时地了解企业目标实现的进展情况。12、企业风险治理框架与内部操纵框架有什么不同？企业风险治理框架与内部操纵框架相比，在要素构成上要紧有两个方面的变化：一是以“内部环境”取代“操纵环境”，在“内部环境”中引入了风险治理理念、风险偏好两个概念。风险治理理念是一套共享的观念和态度，它标志着企业考虑风险时的特征，反映了企业的价值观，阻碍着企业的文化和经营方式。风险偏好反映了一个企业的风险治理理念，并阻碍着企业的文化和经营方式。另一个变化是企业风险治理更加关注风险，拓展了内部操纵框架的风险评估要素，进一步细分为目标设定、事项识不、风险评估和风险应对四个要素。在结构方面，COSO沿用了内部操纵整合框架中通过三维矩阵表现构成要素与目标之间关系的表示方法。四类目标用纵向的栏表示，八个构成要素用横向的列表示，而一个主体内的各个单元则用第三个维度表示。这种表示方式使使用者既能够从整体上关注一个主体的企业风险治理，也能够从目标类不、构成要素、主体单元，甚至其中任何一个分项的角度去加以认识。企业风险治理的构成和目标既是建立健全企业风险治理过程的依据，也是评价其有效性的标准。认定一个主体的企业风险治理是否有效，是在对八个构成要素是否存在并有效运行进行评估的基础之上所做的推断。构成要素假如存在同时正常运行，那么就可能没有重大缺陷，表示风险被操纵在主体的风险容量之内。当企业风险治理分不在四类目标中的每一类下都被确定为有效时，就能够合理保证董事会和治理当局了解主体实现其战略和经营目标、主体的报告可靠性以及适用的法律和法规被遵循的程度。此外，八个构成要素在每个主体中的运行也不是千篇一律的。例如，在中小规模主体中的应用可能不太正式，不太完备。尽管如此，当八个构成要素存在且正常运行时，依旧表示小规模主体的企业风险治理是有效的。13、企业风险治理-整合框架对企业有什么借鉴意义？《企业风险治理-整合框架》再一次强调了系统的概念，即在实施企业整体风险治理过程中，主体中的每个人都对企业风险治理负有责任：单位负责人负有首要责任，同时应当成为要紧责任人；其他治理人员支持主体的风险治理理念，并在各自的责任范围内依据风险容量去治理风险；首席风险官、财务总监、内部审计师等通常负有关键的支持责任；主体中的其他人员负责按照既定的指引和条例去实施企业风险治理；董事会对企业风险治理进行监督，并察觉和认同主体的风险容量。专门多外部集团，例如顾客、咨询机构、商业伙伴、外部审计师、监管者和财务分析师，常常提供阻碍企业风险治理的有用信息，然而他们不对主体的企业风险治理的有效性承担任何责任。COSO的《企业风险治理-整合框架》能够为不同的利益相关者提供有效的借鉴和指导。对企业的董事会来讲，董事会应当与高级治理人员讨论主体企业风险治理的现状，并提供所需的监督。董事会应当确信知悉最重大的风险，以及治理当局正在采取的行动和如何确保有效的企业风险治理。董事会应当考虑寻求内部审计师、外部审计师和其他方面的参与。对企业的高层治理当局来讲，总经理应把业务单元领导和关键职能部门人员召集到一起，评估企业风险治理能力和有效性。对企业中的其他人员来讲，应该考虑如何履行各自的职责，并与更高层的人员讨论有关加强企业风险治理的看法。内部审计师应该考虑他们关注企业风险治理的范围。对监管者来讲，《企业风险治理-整合框架》能够增进有关企业风险治理的共识，为监管者在对他们所监管的主体采纳规则或指南等形式设定期望或进行检查时提供参考。关于为财务治理、审计和相关领域提供指南的规则制定机构和其他专业组织来讲，能够依照《企业风险治理-整合框架》消除概念和术语方面的差异，达成共识。14、风险治理基础设施有哪些要素？它们什么缘故专门重要？应当如何考虑它们？有效的风险治理基础设施通常应具备执行风险应对措施的能力。风险治理基础设施有6个要素，这些要素分不是政策、流程、胜任能力、报告、方法和技术（系统和数据）。业务经营政策：正式的政策框架不仅包括普遍性原则，也包括较具体的指南。这些普遍性原则适用于业务经营和风险治理的各个方面。有了政策，风险责任人就能够明白企业到底希望实现什么目标。政策又是连接战略的链环，使战略得以施行。流程：流程是企业执行业务经营政策的首要途径。胜任能力：执行企业流程的人员必须具有必要的知识、专业技能和经验。治理报告：企业的报告应依照流程责任人的信息需求进行规划。各种治理报告应当切实可行、使用方便、责任明确、频繁程度适当。方法：编制治理报告的方法既可能提高报告的效果，也可能降低报告的效果。有效的方法有助于识不风险，确定风险的轻重缓急次序，探寻风险的关键动因以及量化风险。系统和数据：信息系统支持建模和报告工作，而建模和报告工作则是现代化的风险治理能力的必备基础。在上述的基础设施要素中，假如任一个要素有缺陷，那么，其他要素的效能也会随之显著降低。15、如何样理解全面风险治理？全面风险治理代表当代风险治理的最佳实践。简单地讲，全面风险治理确实是为了将企业的风险治理在由企业战略决定的范围之内，为企业实现其经营目标提供合理保证的过程和方法。（1）全面风险治理首先是一种理念，即以相关人利益最大化为企业的目标，把企业放到不确定性的框架中去考虑，强调企业内外部环境的不确定性。全面风险治理的理念代表了人们对世界、对市场的一种全新的认识，即随着信息技术的进步和全球经济一体化的进展，企业内外部环境的不确定性正日益成为企业生存所必须面对的常态。（2）全面风险治理以风险为治理对象，风险的丰富内涵使得企业治理的方方面面能够通过不确定性这一共有的差不多属性而统一和整合起来，全面风险治理也因此覆盖了企业从战略治理到运营治理的方方面面。另一方面，全面风险治理通过不确定性这一独特的视角，通过在企业治理的各个环节使用风险治理的方法和技术，强化了企业的各项治理，提升了企业整体的治理水平。（3）全面风险治理是积极、主动的治理风险。当风险发生时有充分的预备，能够将风险操纵在企业能够承担的水平。（4）全面风险治理具有全面性。全面性要紧体现在其治理企业面临的所有重大风险，人员从公司高层到基层职员全面参与；应对方法全面，采取多样化、系统的应对方法治理风险，在整个企业范围内，也确实是在企业的每个层面和每个单元中予以实行。16、什么缘故要实施全面风险治理？全面风险治理有助于治理层协调风险承受能力与企业战略之间的匹配关系，强化风险应对决策，减少营运意外事件和损失，识不和治理贯穿整个企业的风险，建立抵抗多重风险的综合响应预案，抓住机遇及改善资本配置。实施全面风险治理有以下四个差不多缘故：（1）减少绩效不稳定性全面风险治理关心治理层：评估重大事件发生的可能性及其阻碍效应；提出预防这些事件发生或治理这些事件（如确实差不多发生）阻碍的相应措施。绝大多数公司都只是重视久为人知的传统风险，而专门少有公司具有预测新风险的系统化流程。因此，许多公司等到明白了关键风险时，经常差不多太晚了，或者只是因为偶然的机会才得以明白关键风险的，这难免会出现大量的“应急救火”和危机治理的场景，不仅大量地消耗资源，而且也会产生新的薄弱环节。全面风险治理的战略视野超越了只重视发生概率低的毁灭性重大风险的传统风险治理范畴，涵盖了更宽敞的风险治理领域，着重化解破坏企业价值要紧源泉的风险。通过着力减少盈利波动、幸免发生盈利相关的意外情况和治理关键绩效指标缺陷等手段，协助治理层增加经营绩效的稳定性，改进了日益增长的化解风险成本的治理工作，提高了实现业务目标的成功率。(2)强化公司治理全面风险治理与公司治理是相互关联，互为增益的。全面风险治理强化董事会的监督职能，强行对高级治理层层级的现行监督结构进行评估，澄淸风险治理的作用和职责，确立风险治理的权力和范围，并有效地沟通支持关键风险目标的各项风险应对举措。所有这些活动都离不开良好的治理。同样地，有效的治理也为下列两项活动确立了基调：a）了解风险及风险治理能力；b）协调风险承受能力与企业寻求机遇行为之间的关系。（3）成功应对不断变化的业务环境当今时代，业务环境不断在变化，变化的节奏也越来越快，为此，企业必须提升自己识不风险，确定风险轻重缓急次序和规划风险的能力。全面风险治理有助于治理层评估现有经营模式的各项基础假设，评估在执行模型时所采纳的各项战略的效能，评估进行决策时所需的各种信息，增强企业治理风险的能力。由于环境在不断变化，新的风险不断地涌现出来，甚至升级，因此，要适时地采取相应的行动，必要时还要予以披露。这些活动都会阻碍到整个企业的资源分配。（4）增强投资界和利益相关者的信心在评估目标公司的过程中，机构投资者、评级机构和监管机构现在越来越看重风险治理的重要性，而利益相关者也可能会要求企业治理层公开和评价企业在了解和治理风险方面的能力，以便对比所承受的风险，粗略地评估自己的投资回报。随着公司风险及风险治理能力的透明度不断增强，公司的要紧风险治理能力日趋完善，治理层也将能更有效，更清晰地解释自己在处理现有及潜在的行业问题方面的成就。17、传统风险治理模式与全面风险治理有什么不同？一些公司采纳传统的风险治理模式，在这些公司中，全面风险治理只是一个“以后的目标状态”，传统风险治理的焦点是财务风险、事故风险和内部操纵，目标是爱护企业价值，要紧由财务、保险和业务营运等部门负责实施，重点是财务和营运，风险治理的适用对象是选定的风险领域、业务单位和流程。而全面风险治理的焦点是业务风险和内部操纵，采取对全企业风险进行组合处理的观点，目标是爱护并提升企业价值，实施范围深入整个公司的所有层面和单元，重点是制定战略，适用对象包括全企业所有的价值来源。从传统风险治理模式过渡到上述的全面风险治理模式不是轻而易举的情况。在传统的风险治理方法中，过程是断续的，缺乏完整性，风险也被看成是（力求幸免的）消极不利的因素，临时的被动行为被普遍地认同，而且风险治理活动也以交易为导向（或以成本为基础），关注范围狭隘，依靠职能拉动。但在全面风险治理中，整个流程是完整一体化的，是连续不断的。风险也被看成是积极有利的因素（因认识到成功的公司要抓住机会就必须得冒险），因此，采取主动积极的行为也在人们的预料之中，而风险治理活动也是富有战略目标(或增值）的活动，关注的范围较宽广，依靠流程拉动。传统风险治理模式侧重于治理与实物资产和财务资产相关的不确定因素。全面风险治理则侧重于治理企业的整个资产组合，包括无形资产（如客户资产，雇员和供应商资产〉和组织资产（如差不化战略，独特品牌，创新性流程和专用系统等）。在业务活动的所有方面都差不多采纳了真正全企业思想的公司寥寥无几。在建设全面风险治理基础设施的初期时期，公司一般都只是奠定了基础，包括确立共同的风险语言，建立风险治理监督机构和采纳适用于整个企业的风险评估流程。与传统的风险治理相比，全面风险治理强调整体性和与企业战略目标的紧密结合，大大扩展了传统风险治理的应用范围，在手段和技术上也有大量的创新。18、有些企业是否不需要实行全面风险治理？每一个成功的企业都面临风险。全面风险治理是一个对风险与机遇做出响应的过程。不管在哪个行业，绝大多数企业的执行治理层差不多上关注投资和回报、机遇和利润、竞争优势和企业增长。这正是全面风险治理对企业成功至关重要的缘故，它关心经理们树立信心，关心他们充分地了解本企业所面临的风险，关心他们储备治理这些风险所需的能力。每一个成功的企业都会冒险。企业治理层所做出的每一个行动或不行动的抉择都阻碍着那个企业的风险特征。鉴于外部环境中因素错综复杂，如竞争、管制法规和其他阻碍因素，全面风险治理能关心治理层培养起选择最佳机会的独特技能，与其他竞争对手拉开差距。而当选择最佳机会能力的提高后，反过来又会激发企业完善其猎寻机遇的行为。每一个成功的企业都要对风险作出应对，企业治理层必须在不断变化的市场现实中进行经营。当他们依照企业的风险承受能力，把资源投入到最佳机遇中去时，必须对相应的风险和回报进行认真地评估。他们必须满怀信心地让投资者和其他利益相关者相信：除了能在国际市场上日渐走向繁荣的同时，企业也正在行之有效地治理相伴而来的风险。全面风险治理基础设施将有助于治理层和董事们更好地应对这些挑战，不管对上市公司依旧对私有企业，它都同样适用。19、谁负责企业风险治理工作？因为企业风险治理的重点工作是制定战略，因此主体责任应当从企业的最高层开始，自执行治理层逐级地向下延伸，直到各业务单位和职能经理。董事会负责进行监督。此外，首席风险官（或类似职权的高管人员）也将参与这项工作。视风险的性质及其复杂程度，以及有无跨职能，跨部门协调的必要性，相应地也可能还要设立一个或多个风险治理委员会。在具体实践中，大部分企业均指定一个或者多个部门联合负责全面风险治理工作，需要注意的是，全面风险治理的责任不在于某一个体的领导或者具体的部门，他们仅仅是风险治理的业务指导部门，而真正的风险存在于业务领域，业务部门才是风险治理的第一道防线。20、谁应该参与企业风险治理流程，如何样参与？尽管企业风险治理的最终责任始于高级治理层，但每个相关人员都应不同程度地参与企业风险治理流程。尽管有多位高级治理人员主管企业风险治理工作，但只有在组织中的关键治理人员全都参与的情况下，企业风险治理流程才能发挥最大效用。公司治理人员“支持企业的风险治理理念，促进同企业的风险承受能力保持相符，同时按照风险容忍度在各自责权范围内治理风险”，因此在全企业内甄选领导和得到他们的支持关于成功地实施企业风险治理至关重要。企业风险治理的目标之一确实是将风险治理纳入公司议程和决策过程。这意味着，归根到底，每位经理都有责任。然而，只有在绩效目标已得到明确地表述，个人对相关的结果承担责任时，人人负责的形势才会出现。21、企业风险治理是否需要向治理层汇报？如何样报告？企业风险治理的效果在专门大程度上取决于公司信息与沟通的效果。在这项内容中，报告不可缺少，因为报告能增加全公司的风险和风险治理的透明度，从而使风险评估、执行风险应对措施和操纵活动以及对绩效进行监督等活动得以贯彻完成。然而具体讲来，应该报告什么？向谁报告？多长时刻报告一次？这些报告应当如何使用？报告的内容要具体详细到什么程度？风险治理信息能够按多种方式进行归纳总结，例如，既能够从全企业的层面进行总结，也能够按业务单位、风险单位、地域或产品类不来归纳总结。总之，目的是依照风险的本质和具体情况的要求，让决策者能够每月、每周、每天甚至实时地对风险治理的绩效进行评估。以下是风险治理报告常见的几种类型，这些报告旨在向执行治理层提供决策信息：（1）投资项目风险分析报告；（2）风险现状评估报告；（3）涉险值报告：评估现有投资组合状况关于市场利率波动超过规定限额的敏感度，同时考察收益或现金流可能蒙受严峻损失的风险；（4）经营风险报告：总结按政策或既定限额属于已发生的例外情况（即违反限额），其中包括任何重大故障、误差、事故、意外事件、损失（包括丧失的机会）或者“侥幸事件”和“近似差错事件”。（5）专题研究或针对性分析报告：评估那些可能会引起业务中断的特定事件或预期可能会发生的问题。《山东省省管企业全面风险治理指引》及山东省国资委考核文件要求企业建立风险报告机制，定期编制风险治理报告；企业各层级定期向上级治理部门提交风险治理报告；遇到重大问题，单独编制提交风险治理报告。向监督治理机构提交的企业整体全面风险治理报告要包括企业目前存在的风险评估、风险治理组织架构、风险治理流程、重大风险损失事件、风险管操纵度措施、是否存在重大风险管控缺陷、可能出现的风险及损失、风险管控改进措施等。企业应当由总经理负责研究提出全面风险治理报告报董事会审议。(三）全面风险治理理论与实践22、中国的全面风险治理是如何样进展起来的？中国对内控及风险治理的研究开始于上世纪80年代。一些学者将风险治理和安全系统工程理论引入中国，在少数企业试用中感受比较中意。但中国大部分企业缺乏对风险治理的认识，也没有建立专门的风险治理机构和制度。我国系统的内操纵度建设是在有了《会计法》之后。1999年修订的《会计法》第一次以法律的形式对建立健全内部操纵提出原则要求，财政部随即连续制定公布了《内部会计操纵规范一差不多规范》等7项内部会计操纵规范。但从更宽泛的治理意义上来讲，真正把内部操纵和风险治理形成法规，是受到美国2002年安稳事件、世通公司财务欺诈案及随后美国的萨班斯法案的阻碍。2006年经国务院批准，这一问题提上议事日程，成立了企业内部操纵标准委员会，正式开始这项工作。当年6月6日，国资委公布了《中央企业全面风险治理指引》，这是我国第一个全面风险治理的指导性文件，意味着中国走上了风险治理的中心舞台。明确要求企业要重视和开展全面风险治理，同时明确什么是全面风险治理以及企业如何开展全面风险治理工作。2008年山东省国资委公布了《山东省省管企业全面风险治理指引》，选择部分省管企业开展全面风险治理试点，标志着山东省管企业全面风险治理工作正式起步。23、“风险治理指引”中如何定义全面风险治理？全面风险治理的总体目标是什么？指引中所称全面风险治理，指企业围绕总体经营目标，通过在企业治理的各个环节和经营过程中执行风险治理的差不多流程，培育良好的风险治理文化，建立健全全面风险治理体系，包括风险治理策略、风险理财措施、风险治理的组织职能体系、风险治理信息系统和内部操纵系统，从而为实现风险治理的总体目标提供合理保证的过程和方法。全面风险治理总体目标是：（1）确保将风险操纵在与企业总体目标相适应并可承受的范围内；（2）确保企业抓住可能存在的机会；（3）确保遵守有关法律法规，实现内外部，尤其是企业与股东之间实现真实、可靠的信息沟通；（4）确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营治理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；（5）确保企业建立针对各项重大风险发生后的危机处理打算，爱护企业不因灾难性风险或人为失误而遭受重大损失。全面风险治理的有效与否确实是看其能否为企业实现以上五个目标提供合理的保证。所谓合理的保证是相关于绝对的保证而言。由于全面风险治理系统本身和人们操作过程中的缺陷，技术和信息的不足，自然存在的不确定性，以及对成本的考虑等，全面风险治理在大多数情况下不可能而且也不应该对企业实现其目标提供绝对的保证。24、全面风险治理工作的要紧内容是什么？全面风险治理工作要紧包括以下内容：一是建立全面风险治理差不多流程。建立起包括风险治理初始信息收集、风险评估、风险治理策略制定、风险治理解决方案、风险治理监督与改进在内的差不多流程。二是健全风险治理组织体系。建立包括规范的公司法人治理结构、风险治理职能部门、内部审计部门和法律事务部门以及有关职能部门、业务单位在内的组织体系，形成不同层次、职责明确、运转有效的全面风险治理网络。三是建立风险治理信息系统。将信息技术应用于风险治理工作，建立涵盖风险治理差不多流程和内部操纵系统各环节的风险治理信息系统，确保输入风险治理信息系统的业务数据一致、准确、及时、完整，保证全面风险治理体系、流程稳定运行。四是形成全面风险治理文化。把风险治理融入企业文化建设全过程，营造风险治理氛围，塑造全员风险治理意识，建立起持续有效的全面风险治理文化。25、推行全面风险治理具体要进行哪些工作？全面风险治理并非只是纯粹地谈风险，也要强调体系和方法的建立，要成为支持决策和指导基础工作的工具。一般而言，应进行下列工作：（1）建立健全风险治理组织体系，规范法人治理结构，设立风险治理委员会，设置或明确风险治理专职部门，配备专职工作人员；（2）建立并及时更新风险信息库；（3）建立风险评估系统，各层级公司定期开展风险评估并编制风险评估报告；（4）制定风险治理策略，逐项制定重大风险解决方案；（5）建立内部操纵系统，健全风险治理制度，完善风险治理流程：（6）建立风险报告机制，各层级公司定期编制、提交合格的风险治理报告；（7）建立涵盖风险治理差不多流程和内部操纵各环节的风险治理信息系统；（8）加强战略、财务、运营、法律等重点领域风险防控，杜绝重大风险事件；（9）建立风险治理考核机制，逐步建立重大风险责任追究制度。26、实施全面风险治理一般需要多长时刻？全面风险治理工作是一项持久的工作，实施所需的时刻各不相同，随公司风险治理能力现状、希望达到的水平和情愿投入的资源量而定。尽管某些具体措施，任何公司都能够采纳，而且在12个月之内就有可能初见成效，但在全面实施风险治理解决方案上，绝大多数公司都需要花3-5年时刻，才能最终实现它们的目标，仅是搭建体系一般至少需要1-3年的时刻，体系的持续运作更是长期的日常经营活动的一部分。27、全面风险治理组织体系建设包括什么内容？全面风险治理组织体系要紧包括规范的公司法人治理结构，风险治理专职部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。28、公司治理结构中各权力主体在风险治理中担任什么角色？股东承担企业经营的最终风险，即以其出资额为限承担有限责任。因此股东本能地关怀企业产生的各种风险，要求企业治理风险。董事会的要紧职责是对企业进行战略性监控。为此，需要每一位董事认真审核需表决的方案，但仅仅靠此是不够的，必须依据全面风险治理才有可靠保障。因此，董事会要督导公司建立全面风险治理体系。具备条件的企业，董事会可下设风险治理委员会。监事会能够考虑对董事会及总经理全面风险治理工作进行评价和监督。总经理对企业日常全面风险治理工作负责，全面治理风险的能力作为推断总经理是否称职的重要条件。29、风险治理组织体系各组成部分在全面风险治理建设中承担什么责任？依照集团公司实际，建立以总经理领导下的风险治理领导小组（以下简称“领导小组”）主持实施、风险治理执行小组（以下简称“执行小组”）具体实施、所属单位积极配合并参与的风险治理组织架构，并设风险治理办公室（与审计监察部风险治理科和打算进展部制度治理科合署办公，以下简称“风险办”），负责全面风险治理日常工作。（1）风险治理领导小组领导小组负责主持实施全面风险治理工作，对全面风险治理工作的有效性向董事会负责。领导小组由集团公司总经理和各职能部门经理组成，要紧履行以下职责：a）审议批准并提交全面风险治理年度报告；b)批准集团范围内部操纵与全面风险治理工作的政策法规；c）确定企业风险治理总体目标、风险偏好、风险承受度，批准风险治理策略和重大风险治理解决方案；d）审议风险治理策略和重大风险治理解决方案；e）审议批准重大决策、重大风险、重大事件和重要业务流程的推断标准或推断机制以及重大决策的风险评估报告；f）审议批准风险治理监督评价报告；g）审议批准风险治理组织机构设置及职责方案；h）批准风险治理措施，纠正和处理任何组织或个人超越风险治理制度做出的风险性决定的行为；i）督导企业风险治理文化的培育；j）全面风险治理工作其他重大事项。（2）风险治理执行小组集团公司各职能部门应配备专（兼）职人员作为风险治理联系人，上述人员组成执行小组，负责本部门职能范围内的全面风险治理工作。具体分工为：人力资源部负责人力资源治理；打算进展部负责企业战略、规划与公司治理；财务部负责财务及投融资；健康安全环保部负责HSE；产权与法律部负责法律事务；市场部负责市场运营、销售治理、大宗物资采办；审计监察部负责内部审计、内部监督；工程部负责建设工程项目治理、采办与物资治理（不含大宗物资）；信息部负责信息化安全、信息化治理；生产运行部负责生产治理、质量治理；思想政治部负责党群、思想政治、企业文化建设和企业形象治理；党政办公室负责行政综合；技术中心负责产品研发和科技治理。要紧履行以下职责：执行本部门负责的相关业务领域风险治理流程和风险政策；识不、分析、评估本部门负责的相关业务领域的风险；及时上报本部门负责的相关业务领域重大风险事项；d）提出并组织实施本部门负责的相关业务领域风险治理工作打算；e）研究提出本部门负责的相关业务领域风险治理策略，依照风险治理领导小组安排，参与跨职能部门的重大风险治理解决方案制定和实施；f）对本部门负责的相关业务领域全面风险治理的有效性进行评估，并研究提出改进方案；g）负责本部门负责的相关业务领域风险治理信息系统建设；h）办理风险治理其他有关工作。（3）风险治理办公室鉴于集团公司实际，为满足全面风险治理日常工作需要，设风险治理办公室（与审计监察部风险治理科和打算进展部制度治理科合署办公），要紧履行以下职责：a）指导、协调、监督风险治理执行小组开展内控体系建设、风险治理相关工作；b）制定、修订内部操纵、风险治理相关政策和规范；c）推动建立风险案例库，推动风险治理差不多流程的有效执行；d）推进集团内操纵度体系建设，组织制定、修订、报批、公布、解释内操纵度体系，组织、协调跨部门内控与风险事项，提出内控优化建议和风险应对策略；e）定期督导、检查、评价集团公司内操纵度体系和风险治理的健全性、合理性和执行的有效性，组织编报内控评价报告、全面风险治理报告；f）检查所属单位内控操纵和风险治理的工作质量，出具对所属单位的内控评价报告，跟踪、督促、复查所属单位的内控缺陷整改情况；g）组织内部操纵与风险治理的绩效评价，出具绩效评价意见；h）组织各类内部操纵与风险治理培训。（4）所属单位a)负责本单位的风险治理工作，积极配合风险治理执行小组定期评估风险，提出应对策略，编制本单位风险治理报告；b)建立健全本单位的内部操纵和风险治理制度，确保有效执行定期实施自我评价；c)同意集团公司在内部操纵和风险治理方面的指导、监督、检查。30、如何进行风险治理初始信息收集？风险治理初始信息的搜集是风险治理流程的起点，企业应广泛、持续不断地收集与本企业风险和风险治理相关的内部、外部初始信息，包括历史数据和以后预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。并对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。31、什么是风险治理信息的动态治理？传统的风险治理方式是静止的，基于在某一时点上对风险信息的收集及对风险的评估。由于企业所处的环境的不确定性和多变性，假如仅对风险信息进行一次性的收集、整理与评估，其结果可能无法有机的嵌入到日常工作中。因此，必须对风险治理信息实施动态治理，依照变化，随时检查、改进、修正风险信息，充分考虑风险的不确定性、多变性及其内在联系。32、什么是风险评估？它包括什么具体内容？风险评估确实是考虑潜在事件发生的可能性和对目标实现的阻碍程度，包括风险辨识、风险分析、风险评价三个步骤。风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的阻碍程度、风险的价值等。33、风险的阻碍程度和发生可能性是什么意思？风险的阻碍程度是指假如风险发生，对企业战略或运营目标所产生阻碍的大小。风险的发生可能性是指风险发生概率的大小或者在给定时刻段内发生的频繁程度。集团从定性和定量两个方面，按照战略、财务、运营、法律等四个维度，详细规定了评估标准。34、如何样识不、理解和运用风险之间的相互关系？假如潜在事件之间互不相干，那么，治理层就能够逐个单独地评估它们，然而假如事件之间相互关联，或者因为组合到一起和相互作用，发生的可能性及其阻碍出现了显著变化，治理层就应该把它们一起评估。尽管单个风险的阻碍也许微不足道的，然而，一系列事件或多个事件组合到一起所形成的阻碍就有可能严峻得多。绝大多数人都明白如何样评估单个风险。然而许多人可能问：“对互相关联的多个风险应该如何样进行评价呢？”在所有的方法中，都有一条共同的思路，归根到底确实是要评估如此一个问题：“某一个事件，不管是单独出现依旧同其他事件联合发生，将会导致另一个事件发生，或者阻碍、冲击或加剧另一个事件的严峻性吗？”通过认真审查研究同多个风险类不都相关的关键事件，治理层就能够评定出这些事件间的相互关系，就能够探究出以后潜在事件出现的根源、缘故和方式。这种对以后事件的了解、认识给以后提出度量监督工具，采纳综合的眼光处理风险问题奠定了基础。35、风险评估的合理深度有多大？只有在被评估目标及相关事件所构成的环境背景中，才能就风险评估深度做出相应的推断。为了提出正确的风险应对措施，我们必须特不清晰风险的性质，包括风险发生的缘故、方式和根源。了解风险的性质能有助于我们制定出化解风险的战略。假如风险评估不够深入，就专门难找出问题的症结，评估过后，治理层就会不明白该如何办。反过来，假如风险评估过于深入细致，那么，较宏观的问题就会被具体琐碎的细节掩盖了，同时也专门难在合理的时刻内完成风险评估活动。因此，评估人员可能会发觉共同语言对累积迭加多个风险事件进行风险评估专门有用处。在提出适宜的风险应对措施时，能够把一些首要风险拆解成相关的以后可能事件。在风险评估过程中，经验是推断评估深度是否适当的最好老师。归根到底，风险评估本身不是目的，目的是要能够把风险评估的书面结论应用到切实可行的经营打算行动中去。36、哪些人应该参与风险评估活动？风险评估目标和被评估的风险范围不同，参与风险评估过程的力度也不同。集团要求在公司级那个层面上，每一位高级治理人员应该参与评估活动；在部门级那个层面上，部门负责人和关键流程责任人也应该参加评估活动；此外，对专门的业务风险有独到了解的人应该参与评估工作（关键岗位或者关键治理人员）。37、风险评估能够采纳哪些方法？进行风险辨识、分析和评价时，一般采取定性与定量方法相结合的方式。定性方法可采纳问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、治理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采纳统计推论（如集中趋势法）、计算机模拟（如蒙特卡罗分析法）、失效模式与阻碍分析、事件树分析等。集团目前要紧通过是访谈和问卷调查、专题研讨会等形式来进行风险评估。38、企业如何辨识风险？风险辨识一方面能够通过感性认识和历史经验来推断，另一方面也可通过对各种客观的资料和风险事故的记录来分析、归纳和整理，以及必要的专家访问，从而找出各种明显和潜在的风险及其损失规律。因为风险具有可变性，因而风险识不是一项持续性和系统性的工作，要求风险治理者紧密注意原有风险的变化，并随时发觉新的风险。现在使用的风险辩识方法，要紧有以下几种方法：a)事件库法：指详细列出某一行业内部许多公司专门常见的潜在事件，或者所有行业都常见的某一种流程或业务活动。通常可依照经验总结出按相关属性分类的风险事件列表；b)访谈法：风险治理部门组织相关人员，制订详细的访谈打算，对相关部门熟悉业务流程、有经验的治理人员进行访谈，了解和讨论存在的风险，形成访谈记录；c)头脑风暴法：企业从不同部门选出人员组成讨论小组，充分发挥集体的智慧，对有关的潜在事件提出各自的意见和方法，通过自由、宽松的讨论，将有价值的信息汇总、整理起来，从而正确、全面地识不出风险及其相互关系；d)德尔菲法：又称专家调查法，企业针对某个风险同时咨询多个专家，专家们依照自己的经验作出各自的评估；再综合这些评估得出结果，把该结果送交给专家，专家据此修改，直至达成一致；e)风险临界法：通过将当前交易或事件与预先定义的标准进行对比，当风险达到临界时将引起治理层的警觉。一旦发觉事件达到一定临界，就可能需要进一步评估某事件或做出反应；f)讨论会法：通过组织讨论，利用治理层、企业职员和其它利益相关者积存的知识和经验识不风险点。讨论会主持人应当引导与会者讨论可能阻碍实现企业或某一业务单元的目标的风险点；g)流程分析法：依照构成一个流程的投入、活动、职责、产出，通过综合考虑对流程投入或流程内活动的内、外部因素，识不出阻碍实现流程目标的事件；h)故障树分析法：通过对可能造成项目失败的各种因素进行分析，画出逻辑框架图，从而确定可能导致项目失败的各种缘故。遵循从结果找缘故的原则，该方法还可与其它定量分析方法结合使用，以猎取更多信息；i)事件重要指标法：通过监测与事件相关的资料，企业识不是否存在引发风险事件的条件；j)损失事件数据法：依照以往各个损失事件的数据库，来识不风险事件发生依照或进展趋势。风险的识不还有其他方法，诸如环境分析、保险调查、事故分析等。企业在识不风险时，应该交互使用各种方法。39.企业如何进行风险分析和风险评价？风险分析和评价有许多种具体方法。例如，对关键人员进行访谈或者调查、查阅重要的文件、举办专题研讨会、进行目标明确的专项审核，也能够综合采纳上述各种方法。现要紧介绍一下专题研讨会的形式：专题研讨会的形式，即把关键的利益相关者召集到一起开会，共同评估风险的发生可能性及阻碍程度，并对风险进行排序。企业风险评估专题研讨会的参加人员通常包括公司高级治理层成员、各项业务主管人员，如了解全公司合规、信息技术、市场、运营、安全或者其他活动的人员，这些活动都对公司的核心使命具有至关重要的作用。相关于让某一个人来评估风险而言，专题研讨会评估风险的方法有一定的优势。让一群学识渊博、熟悉业务的利益相关者组成一个评估小组，聚拢到一个能够协作互动的环境中，对风险进行评估，如此做能有效地查找到全企业的风险，同时有利于就首要风险及可能采取什么行动来化解这些风险等问题达成一致。此外，分组座谈研讨会议能澄清见解上的分歧，增强对企业最重大风险敞口的意识，开诚布公地提出敏感的或往常未认识到的问题，促进不同责任领域间的沟通交流，有助于增进学识，更好地了解企业的风险。召开这些座谈研讨会议之前，需要进行面谈采访，风险调查和批阅相关文件，从而缩短风险清单，把拟讨论的风险数量操纵在易于治理的范围内，从而能在规定的时刻内完成专题研讨活动。40、什么是风险坐标图，在风险评估过程中应当如何样合理地运用？风险坐标图是风险评估中常用的工具。那个差不多方法直观简单，易于理解。相关人员按既定的标准来评估风险，通常差不多上处理一套差不多甄识出来的以后可能事件。一经识不和明确地界定出这些潜在事件后，把它们对实现经营目标的阻碍及发生可能性，作为两个维度绘制在同一个平面上（即绘制成直角坐标系）。具体解释如下：阻碍：依照风险对实现经营目标的阻碍程度大小，治理层就该风险对企业的重要性评定等级。那个风险绘图工具有专门大的弹性，能够纳入其他标准，包括潜在的财务阻碍，对关键战略执行的阻碍和给企业带来的资本、收益、现金流和品牌资产等方面潜在代价。阻碍程度越大，风险就越严峻。可能性：治理层在评估某个或多个已识不的潜在事件发生的可能性时，使用的时刻范围要和评估这些事件阻碍时所采纳的时刻范围相同。潜在事件的概率越大，出现的可能性也就越大。在可能发生的可能性时，评估人员需要考虑风险评估工作自身的质量。风险事件出现的可能性到底有多大？假如不使用统计方法，那么你又如何能明白所选定的概率合理呢？尽管在评估活动的那个时期没必要进行统计，但都应当对风险进行排序。在那个时期，通常治理层要明白的是一个粗略的可能量级(而不是确切数字）。在对关键风险做出这种粗略的评估，而不要求满足苛严的度量标准时，现有的评估技术大差不多上采纳“专家评审小组”推断法。绘制风险坐标图的目的在于对多项风险进行直观的比较，从而确定各风险治理的优先顺序和策略。从决策的角度来看，它更是一个定向工具，而不是一个操作工具。如：某公司绘制了如下风险坐标图，并将该图划分为A、B、C三个区域，公司决定承担A区域中的各项风险且不再增加操纵措施；严格操纵B区域中的各项风险且专门补充制定各项操纵措施；确保规避和转移C区域中的各项风险且优先安排实施各项防范措施。41、蒙特卡罗方法在风险评估中如何应用？蒙特卡罗方法是一种随机模拟数学方法。该方法用来分析评估风险发生可能性、风险的成因、风险造成的损失或带来的机会等变量在以后变化的概率分布。具体操作步骤如下：(1)量化风险将需要分析评估的风险进行量化，明确其度量单位，得到风险变量，并收集历史相关数据。依照对历史数据的分析，借鉴常用建模方法，建立能描述该风险变量在以后变化的概率模型。建立概率模型的方法专门多，例如差分和微分方程方法，插值和拟合方法等。这些方法大致分为两类：一类是对风险变量之间的关系及其以后的情况作出假设，直接描述该风险变量在以后的分布类型（如正态分布），并确定其分布参数：另一类是对风险变量的变化过程作出假设，描述该风险变量在以后的分布类型。（2）计算概率分布初步结果利用随机数字发生器，将生成的随机数字代入上述概率模型，生成风险变量的概率分布初步结果。（3）修正完善概率模型通过对生成的概率分布初步结果进行分析，用实验数据验证模型的正确性，并在实践中不断修正和完善模型。（4）利用该模型分析评估风险情况正态分布是蒙特卡罗风险方法中使用最广泛的一类模型。通常情况下，假如一个变量受专门多相互独立的随机因素的阻碍，而其中每一个因素的阻碍都专门小，则该变量服从正态分布。在自然界和社会中大量的变量都满足正态分布。描述正态分布需要两个特征值：均值和标准差。其密度函数和分布函数的一般形式如下：由于蒙特卡罗方法依靠于模型的选择，因此，模型本身的选择关于蒙特卡罗方法计算结果的精度阻碍甚大。蒙特卡罗方法计算量专门大，通常借助计算机完成。42、在风险评估过程中经常会有哪些错误和陷阱？要想使风险评估过程确实能起作用，治理层必须小心地幸免出现一些常见的错误和潜在的陷阱，其中包括：对风险的含义或者定义缺乏明确或者共同的理解：用过于狭隘的眼光看待风险的含义，有可能会使治理层忽视一些潜在的事件和问题。重要的是要把所有相关的经营目标作为风险评估活动的背景。没有把所有的利益相关者都包括在内：在专题研讨会、问卷调查和面谈采访过程中，未把所有的利益相关者都包括在内可能会带来致命的后果。利益相关者是指直接的受到拟议问题阻碍的人，假如不把他们包括在内，可能会导致难以实现期望的结果。没有考虑或适度地侧重关键人员的席位：在分组风险评估的情境中，总会有少数几个人对风险的了解要比不人更深入、更全面。风险评估的目的确实是倾听、考虑和学习对某种风险有独到认识的人员的见解。因此营造一个开放的环境，针对某个特定风险来交流信息，从而得到可能最透彻深入的了解，这专门重要。投票表决或者回答的结果总和未必就能得出风险发生的可能性及其阻碍的有效评估结果。在风险评估中，对话交流过程往往比投票表决的过程更重要。43、什么是风险治理策略？风险治理策略包括哪些内容？风险治理策略是企业依照自身条件和外部环境，围绕企业进展战略，确定风险偏好、风险承受度、风险治理有效性标准，选择适合的风险治理工具的总体策略，并确定风险治理所需人力和财力资源的配置原则。风险治理策略包括四部分：（1）风险偏好和风险承受度，即明确情愿承担哪些风险，承担多少风险。风险偏好和风险承受度是针对公司的重大风险制定的，对企业的非重大风险的风险偏好和风险承受度不一定要十分明确，甚至能够先不提出。因此，企业的风险偏好依靠于企业的风险评估的结果。由于企业的风险不断变化，企业需要持续进行风险评估，并调整自己的风险偏好。重大风险的风险偏好是企业的重大决策，应由董事会决定。（2）全面风险治理的有效性标准，明确如何样衡量全面风险治理工作成效。风险治理的有效性标准是指企业衡量企业风险治理是否有效的标准。风险治理有效性标准的作用是关心企业了解现在的风险是否在风险承受度范围之内，即风险是否优化；企业风险状况的变化是否所要求的，即风险的变化是否优化。因此，量化的企业风险治理有效性标准能够基于企业风险承受度的度量。（3）风险治理的工具选择，明确如何样治理重大风险。（4）全面风险治理的资源配置，依照风险与收益相平衡的原则确定风险治理的优选顺序，安排人力、财力、物资、外部资源等风险治理资源。44、如何样理解风险治理策略？（1）风险治理策略并不是将风险降到最低，也确实是讲风险治理的目标并不是不惜代价消除风险，而是使剩余风险最多与企业的风险容忍度一致。（2）风险治理的策略差不多上依照企业的风险偏好或风险容忍度来制定的，能够单独使用，也可组合使用。45、如何样理解风险偏好及风险容忍度？风险偏好是指企业在制定和实现战略目标以及追求价值的过程中情愿承担的广泛意义上的风险的取向、数量和水平。企业有时用高中低的定性方式来表述风险偏好，有时用定量数据来描述。风险容忍度，也可称为风险承受能力，是一个企业在实现以后目标的过程中所能够同意的与目标的偏离度，也能够讲是指企业希望同意何种程度的波动可能性与损失暴露。46、确定风险治理的优选顺序应考虑哪些因素？企业短期内的资源是有一定限度的，不可能针对所有评估出的风险面面俱到的治理，需要集中优势资源优先解决最紧迫、最重大的风险。有效配置资源就要对风险进行排序。依照风险与收益平衡的原则，确定风险治理的优选顺序能够考虑以下几个因素：（1）风险治理的难度；（2）风险事件发生的可能性和阻碍；（3）风险的价值，或治理可能带来的收益；（4）合规的需要；（5）对企业技术预备、人力、资金的需求；（6）利益相关人的要求。47、风险治理工具有哪些？如何选用？依据风险评估结果，要提出具体的风险应对措施。共有五种差不多的选择工具或方案，分不为风险同意（将风险维持在目前