企业风险管理ERM讲义

——整合框架企业风险管理ERM2023/1/241目录：

1、ERM的概念、理解2、ERM的构成要素、目标、流程图3、ERM的八个要素2023/1/242

企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证？什么是ERM2023/1/243如何理解ERM这个定义反映了几个基本概念。企业风险管理是：一个过程，它持续地流动于主体之内；由组织中各个层级的人员实施；应用于战略制订；贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；能够向一个主体的管理当局和董事会提供合理保证；力求实现一个或多个不同类型但相互交叉的目标。2023/1/244ERM关键原则事项识别监控目标设定风险评估风险应对控制活动信息与沟通内部环境职能与职责风险管理包括的八个相互关联的构成要素2023/1/245ERM目标的实现

在主体既定的使命或愿景（vision）范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的以下四种类型的目标：战略（strategic）目标——高层次目标，与使命相关联并支撑其使命经营（operations）目标——有效和高效率地利用其资源

报告（reporting）目标——报告的可靠性合规（compliance）目标——符合适用的法律和法规2023/1/246企业风险管理框架流程内部环境：风险管理文化、风险容量等目标设定事项识别：确定不同的风险固有风险风险评估：固有风险、剩余风险风险应对：组合风险观，具体的应对措施监督控制活动：结果、指标、报告剩余风险目标风险应对不同的机会2023/1/247内部环境风险管理理念风险容量董事会诚信和价值观对胜任能力的要求组织结构权力和职责分配人力资源准则

内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础要素讲解：2023/1/248风险管理理念主体考虑风险的信念和态度反映主体价值观影响主体应用风险管理的构成要素需被很好的确立和理解，并信奉体现在政策描述、沟通及决策中管理当局强化的理念2023/1/249风险容量反映风险管管理理念，，影响文化化和经营风风格战略应与风风险容量协协调董事会风险战略应当是积极极的，拥有有一定的管管理、技术术专长，具具有履行职职责所需的的思维方式式审查和质疑疑管理当局局的活动独立的外部部董事至少少占多数监督企业风风险管理，，知道并同同意主体风风险容量反映风险管管理理念，，影响文化化和经营风风格战略应与风风险容量协协调董事会应当是积极极的，拥有有一定的管管理、技术术专长，具具有履行职职责所需的的思维方式式审查和质疑疑管理当局局的活动独立的外部部董事至少少占多数监督企业风风险管理，，知道并同同意主体风风险容量2023/1/610诚信与与道德德价值值观主体的的行为为准则则反映映了诚诚信和和道德德价值值观道德价价值观观通过过明确确指南南进行行沟通通，并并与其其共存存通过正正式的的行为为准则则予以以沟通通向上的的沟通通渠道道使员员工感感到舒舒服良好的的奖励励和处处罚机机制管理当当局的的行动动、树树立榜榜样2023/1/611对胜任能力力的要求完成任务所所需的知识识和技能协调胜任能能力和成本本成本效益？组织结构界定职责和和责任的关关键范围确立报告途途径要考虑到主主体规模和和活动性质质使有效的风风险管理成成为可能2023/1/612权力和职责的的分配确立了个人和和问题，解决决问题的程度度，还为权力力提供了限制制团队处理确立立了报告关系系和授权规程程描述恰当经营营实务政策，，关键员工的的知识和经验验，以及相关关资源个人知道他们们的行动如何何相互关联及及对实现目标标的贡献人力资源准则则针对雇佣、定定位等人力措措施的准则，，推动诚信水水平、道德行行为和胜任能能力惩戒措施2023/1/613战略目目标相相关目目标选选定的的目标标风险容容量风风险容容限组组织结结构目标设设定必须先先有目目标，，管理理当局局才能能识别别影响响目标标实现现的潜潜在事事项。。企业业风险险管理理确保保管理理当局局采取取适当当的程程序去去设定定目标标，确确保所所选定定的目目标支支持和和切合合该主主体的的使命命，并并且与与它的的风险险容量量相符符2023/1/614战略目目标联结和和支持持愿景景的高高层次次目的的反映了了管理理当局局战略略选择择管理当当局识识别与与战略略选择择相关关的风风险，，并考考虑其其影响响相关目目标支持选选定目目标，，与其其相协协调，，与主主体所所有活活动相相关各层次次目标标与具具体目目标相相关联联被充分分理解解、可可计量量与风险险容量量相协协调2023/1/615选定的目标标使战略目标标与主体的的使命协调调一致，确确保战略目目标和相关关目标与风风险容量相相符风险容量战略制定中中的指向标标引导资源配配置联结组织、、人员、流流程和基础础结构风险容限可计量与风险容量量相协调2023/1/616事项影影响响因素事事项项识别技技术相互依赖赖性区区分风风险与机机会事项识别别必须识别别影响主主体目标标实现的的内部和和外部事事项，区区分风险险和机会会。机会会被反馈馈到管理理当局的的战略或或目标制制订过程程中2023/1/617事项管理当局局能识别别影响战战略执行行或目标标实现的的潜在事事项应考虑可可能性低低、但有有重大影影响的事事项影响因素素管理当局局认识到到了解内内外部因因素以及及由此可可能产生生的事项项类型的的重要性性要识别主主体和活活动层次次的事项项2023/1/618事项识别别的技术术识别的技技术要着着眼于过过去和未未来选择适合合其风险险管理理理念的技技术，确确保主体体形成主主体所需需的事项项识别能能力事项识别别强有力力，为风风险评估估和风险险应对打打下基础础2023/1/619区分风险与机机会管理当局要了了解事项之间间如何关联相互依赖性风险是有负面面影响的事项项，管理当局局应予评估和和应对代表机会的事事项应反馈到到管理当局的的战略或目标标制定过程中中2023/1/620固有风险险和剩余余风险估估计可能能性和影影响评估技术术事事项之之间的关关系风险评估估通过考虑虑风险的的可能性性和影响响来对其其加以分分析，并并以此作作为决定定如何进进行管理理的依据据。风险险评估应应立足于于固有风风险和剩剩余风险险。2023/1/621固有风险和和剩余风险险从可能性和和影响两方方面对潜在在事项进行行评价评估过程中中，应通常常采用与该该目标所采采用的计量量单位相同同的或适合合的计量单单位用来评估风风险的时间间范围应该该与相关战战略和目标标的时间范范围相一致致估计可能性性和影响管理当局要要评估固有有风险风险应对一一旦确定，，就要考虑虑剩余风险险2023/1/622评估技技术定性和和定量量相结结合的的技术术该技术术支持持对风风险的的复合合评估估事项之之间的的关系系将存在在相互互关联联或相相互结结合、、相互互影响响的几几个事事项应应放在在一起起评估估2023/1/623评价可能能的应对对选选定的的应对组组合观观风险应对对管理当局局选择风风险应对对——回避、承承受、降降低或者者分担风风险——采取一系系列行动动以便把把风险控控制在主主体的风风险容限限（risktolerance）和风险险容量以以内2023/1/624评价可能能的应对对用实现剩剩余风险险与主体体的风险险容限相相协调的的程度来来评价风风险应对对评价过程程中管理理当局要要考虑应应对对可可能性和和影响的的效果考虑成本本和效益益，及新新的机会会2023/1/625选定的应应对旨在使预预期的风风险可能能性和影影响处于于风险容容限之内内考虑一项项应对可可能导致致的额外外风险组合观从整个主主体范围围即组合合的角度度考虑风风险确定剩余余风险是是否与总总体风险险容限相相称2023/1/626与风险险应对对相结结合控控制制活动动的类类型政策与与程序序针针对对信息息系统统的控控制控制活活动制订和和执行行政策策与程程序以以帮助助确保保风险险应对对得以以有效效实施施2023/1/627与风险应对对相结合识别所需的的控制活动动以帮助风风险应对的的实施考虑控制对对于风险应应对和相关关目标的相相关性和恰恰当性考虑控制活活动如何相相互关联控制活动的的类型管理当局从从多种类型型的控制活活动中选择择（预防性的的、侦查性性的、人工工的、计算算机的和管管理控制））2023/1/628政策与程序序政策被仔细细地、认真真地和一贯贯地执行执行程序时时要关注政政策所针对对的情况调查程序的的结果，并并采取适当当矫正措施施针对信息系系统的控制制执行适当的的一般控制制和应用控控制2023/1/629信息沟沟通信息和沟沟通相关的信信息以确确保员工工履行其其职责的的方式和和时机予予以识别别、获取取和沟通通。有效效沟通的的含义比比较广泛泛，包括括信息在在主体中中的向下下、平行行和向上上流动。。2023/1/630信息从内部、外部部来源获取获取和利用支支持有效的企企业风险管理理所需的历史史和当前数据据信息基础结构构把原始数据据转换成相关关信息；信息息以可归责的的、可充分利利用的以及与与界定的责任任相关联的深深度、形式和和时机予以提提供原始资料数据据和信息是可可靠的，并有有效地提供信息流动的及及时性与主体体的内外部环环境变化程度度一致信息系统要做做必要的变化化以支持新目目标2023/1/631沟通管理当局提供供具体的和指指导性的沟通通有关与期望的的文化相协调调并支撑其过过程和程序的的沟通所有员工收到到来自高层管管理当局的关关于企业风险险管理必须严严格执行的信信息员工知道他们们的活动与他他人的工作如如何关联员工知道什么么被看作可接接受和不可接接受的行为有畅通的沟通通渠道和倾听听的意愿，并并且员工相信信上级真的希希望了解并解解决问题存在正常的报报告途径之外外的沟通渠道道，并且员工工了解不会有有报复行为高层管理当局局和董事会之