第二章风险管理整合框架

第二章《企业风险管理——整合框架》基本理论

一、《企业风险管理——整合框架》（简称ERM框架）的颁布

1992年COSO发布的《内部控制一一整合框架》虽然被许多企业采用，但理论界和实务界纷纷

提出改进建议，认为其对风险强调不够，使得内部控制无法与企业风险管理相结合。2001年，COSO

委托普华永道开发一个对于管理层评价和改进他们所在组织的企业内部控制的简便易行的框架。在

此期间出现了安然公司破产事件、美国国会2002年出台了《2002公众公司会计改革和投资者保护

法案》（萨班斯一一奥克斯利法案），该法案是继美国《1933年证券法》、《1934年证券交易法》以

来又一部具有里程碑意义的法律，该法案强调了公司内部控制的重要性，从管理层、内部审计以及

外部审计等几个层面对公司内部控制做了具体规定，并设置了问责机制和相应的惩罚措施，成为继

20世纪30年代美国经济危机以来，政府制定的涉及范围最广、处罚最严厉的公司法律。

2004年，Treadway委员会下属的发起组织委员会（COSO）发布了《企业风险管理一一整合框架》

（ERM）”,该框架是在1992年COSO委员会颁布的内部控制框架基础上，吸收各方风险管理研究成

果基础上提出的，是内部控制整体框架的延伸和扩展，一经推出，就迅速得到了推广。这个框架的

显著变化是将内部控制上升至全面风险管理的高度来认识。

COSO发布《企业风险管理一一整合框架》的目的与当初发布风险管理框架的目的相似，是由

于实务界存在对统一的概念性指南的需要。COSO希望新框架能够成为组织董事会和管理者的一个有

用工具，用来衡量组织的管理团队处理风险的能力，并希望该框架能够成为衡量企业风险管理是否

有效的一个标准。

二、企业风险管理的定义

《企业风险管理——整合框架》（简称ERM框架）指出，“全面风险管理是一个过程，它由一

个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影

响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保

证”。

企业全面风险管理指贯穿整个组织的具有结构性、一致性和持续性的过程，以识别、评估、决

定如何应对及报告影响组织目标实现的机遇和威胁.

这是一个广义的风险管理定义，适用于各种类型的组织、行业和部门。该定义直接关注组

织目标的实现，并且为衡量企业风险管理的有效性提供了基础。该定义强调：

本人认为COSO发布的《企业风险管理一一整合框架》，具有较强的理论可取性和实践可行性，不但涵盖了内部控

制整体框架的全部内容，而且有了更多的创新，必将全面替代COSO发布的内部控制整合框架，所以本书按照COSO

发布的《企业风险管理一一整合框架》来阐述。

(1)企业的风险管理是一个过程，其本身并不是一个结果，而是实现结果的一种方式。企

业的风险管理是渗透于组织各项活动中的一系列行动。这些行动普遍存在于管理者对组织的日常管

理中，是组织日常管理所固有的。它仅是一种工具，是实现目标的工具而已。如果将风险管理看成

是一个目标，就会为建立而建立，就会本末倒置，流于形式。

(2)企业全面风险管理框架针对一类或几类相互独立但又存在重叠的目标，目的在于组织目

标的实现。这里是一个非常明显的进步，这种进步不仅仅在于提出“风险管理框架针对一类或几类

相互独立但又存在重叠的目标”风险管理的目标也是实现多个目标，这里的关键区别在于直接明确

风险管理的终极目标是促进组织目标的实现，这就揭示了风险管理的目的，为风险管理指明了方向，

同时这也是判断风险管理成功失败的唯一的标准，即风险管理能否有效促进组织目标的实现。

(3)企业的风险管理是一个过程，一个系统的持续的动态过程。这里和风险管理的定义一

样，强调风险管理也是一个过程，是动态的，组织经营管理环境的变化必然要求风险管理适应环境

变化的要求，风险管理不仅仅是在某个特定时间里执行的政策和程序，不仅仅是一种工具，而是组

织内部的各部门连续运作。是一个发现风险、处理风险、发现新风险、处理新风险的循环往复过程。

它随着组织的目标的变化而变化，随着面临环境的变化而变化等等，这个过程不是僵化的，就象中

国古语“世移时移，变法亦矣！"，这个世界唯一不变的是变化，否则就是刻舟求剑，缘木求鱼。

同时，也强调风险管理是一个全面的系统过程，他不仅仅限于对某一事项和情况的处理，而

是渗透到组织的每个方面，只有把风险管理嵌入到组织日常的管理过程中，才能发挥风险管理机制

的作用。

(4)企业风险管理是一个由人参与的过程，涉及一个组织各个层次的员工。定义一方面强调风

险的管理不是高高在上，由组织的上层和董事会来实施并承担责任的，而是组织内每一个人的责任，

强调人人有责任和义务参与风险管理，虽然参与的方式有所不同；另一方面也说明每一个员工所做

的每一件事和每一份努力都和组织目标的实现、和风险的控制有直接的关系，培养员工的参与感，

树立员工的主人翁意识和归属感，发自内心地关心企业的风险管理。

(5)该过程可用于组织的战略制定。组织目标可以分为不同的层次，战略目标是组织最高

层次的目标，它与组织的预期和任务相联系并支持预期和任务的实现。一个组织为实现其战略目标

而制定战略，并将战略分解成相应的子目标，再将子目标层层分解到业务部门、行政部门和各生产

过程。W在制定战略时，管理者应考虑与不同的战略相关联的风险。

(6)该风险管理过程应该应用于组织内部每个层次和部门，组织管理者对组织所面临的风

险应有一个总体层面上的风险组合观。一个组织必须从全局、从总体层面上考虑组织的各项活动。

企业的风险管理应考虑组织内所有层面的活动，从组织总体的活动(如战略计划和资源分配)到业务

部门的活动（如市场部、人力资源部），再到业务流程（如生产过程和新客户信用复核）。组织是一

个整体，有一个整体总目标，虽然总目标分成很多分目标，但是分目标和总目标的实现不是矛盾的，

而是统一的，分目标的实现有利于总目标的实现，否则，分目标就是失败的。这里在考虑分目标时，

鼓励分析人员不要孤立地考虑问题，而是将分目标放在组织整体上来进行考虑，这样判断标准就非

常清晰明确，从面上看点就更加全面，而不是管中窥豹，只见一斑，见树木而不见森

（7）该过程是川来识别可能对组织造成潜在影响的事项并在组织风险偏好的范围内管理风

险。风险偏好主要指对待风险的态度，具体指组织愿意承受的风险水闻。不同组织，同一组织的不

同领导人，其风险偏好各不相同，在不同的风险偏好下，风险管理的策略也不相同。风险管理的目

的并非将风险降低到零，也并非将风险控制的越低越好，而是在考虑企业风险偏好的前提下，设计

风险管理的模式和策略，从而达到企业风险管理的目的一一将风险控制在企业可以接受的风险偏好

范围内。

（8）设计合理、运行有效的风险管理能够向组织的管理者和堇事会在组织各目标的实现上

提供合理的保证。一方面强调风险管理可以提供保证；另一方面也强调在完美的风险管理也不可能

提供绝对的保证，任何情况下，风险都很难降到零，所以，风险管理只能提供合理的保证，迷信或

片面夸大风险管理的效果是不恰当的。

总之，企业风险管理是一个过程，企业风险管理的有效性是某一时点的一个状态或条件。决定

一个企业的风险管理是否有效是基于对风险管理要素设计和执行是否正确的评估基础上的一个主

观判断。企业的风险管理要有效，则其设计必须包括所有的要素并得到执行•企业风险管理可以从

一个组织的总体来认识，也可以从一个单独的部门或多个部门的角度来认识。即使是站在某一特定

的业务部门的角度来看待风险管理，所有的要素也都应作为基准包含在内。

三、企业风险管理框架的构成要素

企业风险管理框架分为内部环境、目标制定（设定）、事项识别、风险评估、风险反应（风

险应对）、控制活动、信息和沟通、监控等八个相互关联的要素各要素贯穿在组织的管理过程之

中。

（一）内部环境

1、概念和作用

所谓内部环境就是对组织风险管理的建立和实施有重大影响的因素的统称，是建立、加强或

削弱特定政策和程序效率发生影响的各种因素的统称。任何组织的风险管理都存在于一定的环境之

中，环境的好坏直接决定组织其他控制能否实施或实施的效果.组织的内部环境主要是指企业风险

管理的环境，是其他所有风险管理要素的基础，为其他要素提供规则和结构，在企业风险管理的建

立与实施中发挥着基础性作用。内部环境反映了董事会、管理层、业主和其他人员等对待控制（控

制对于组织的重要性）的态度、认识和行动。它决定了一个组织的管理基调，提供组织纪律与架构，

塑造组织文化，并影响着员工的控制意识。它是其他控制因素的基础，为风险管理界定纪律和结构。

组织的内部环境不仅影响组织战略和目标的设定、业务活动的组织和对风险的识别、评估和反应，

还影响组织控制活动、信息和沟通系统以及监控活动的设计和执行。

这里的内部环境和控制环境相比，外延进一步扩大，这意味着在考虑风险管理时，不但考虑

直接因素，还要考虑间接因素，一句话，考虑影响风险管理的全部环境。

这里我认为把“内部环境”改为“风险管理环境”更恰当，因为“内部环境”从字面上来看

让人感觉风险管理面临的风险及其需要考虑的环境仅仅局限于内4。

2、内部环境的组成

鉴于很多教材和观点依然以COSO的五要素整合框架为最权威的框架，关于内部环境的很多说

法在很多方面和控制环境基本可以换用。HA实务标准词汇表指出，“控制环境指董事会和管理层对

组织风险管理重要性的态度及行动。内部环境为实现风险管理制度的主要目标提供规范和组织架

构。内部环境包括以下要素：

•诚信和职业道德价值观；

・管理层的理念和经营风格以及思想和作风;

•组织结构（包括治理结构）；

■权力和责任的划分（授权和分配责任的方法）.

・人力资源政策和实务；

•人员的胜任能力

除此以外，内部环境还应该包括董事会和审计委员会、发展战略、内部审计、企业文化、外

部影响（影响本组织业务的各种外部关系，例如由银行指定代理人的检查）等。

（1）管理的理念、方式和风格

管理当局在建立一个有力的内部环境中起着关键的作用，风险管理只要得到高层的重视才能取

得成功，如果主要领导人滥用职权，或者不相容职务串通舞弊，风险管理必然失效。这里主要考虑:

管理当局对待风险态度和控制风险的方法；依靠文件化的政策、业绩指标以及报告体系等与

关键经理人员沟通；为实现组织目标，组织对管理的重视程度；管理当局对会计报表所持的态度和

采取的行动；对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度。

在这个因素中，领导的风格是一个非常重要的因素。

①领导风格定义

领导风格(Leadershipstyles)指一个组织中的管理者对经营管理的态度和处理事情的习惯

做法。在组织中，领导风格与领导方式体现了组织的管理理念和经营风格，即一个组织对风险的态

度、对财务的态度、决策方式和沟通方式等。

②领导风格的分类

根据组织条件和领导人的风格，可以把领导风格区分为任务驱动型和关系驱动型两类。

任务驱动型是指领导着重考虑任务的分解、落实，相应地，在领导的过程中，领导者更倾

向于应用权威进行命令式的指挥和根据目标随时进行强有力的控制。这种领导风格比较适宜于任务

分工明确，组织稳定，内部关系清晰简单的组织状况。

关系驱动型是指领导者更加注重通过理顺组织关系，通过沟通和协调来调动成员的工作积

极性和能动性来完成组织任务。这一风格更多地适宜于任务分工要求较强的协作关系，技术性强，

组织中专业人士较多，人际关系相对复杂的组织条件。

③领导方式的分类

领导风格和领导方式密不可分，领导方式因人而异，也因组织而异。一般地，根据组织的特征

和管理者个人的偏好不同，领导方式可以分为自由放任式、民主式、结构化式和体贴式等。

在一些任务比较特别，完成任务的过程中成员自主性较强，成员本身的责任感和专业能够保

证其独立完成工作，管理者和员工之间具备充分的信任感的情况下，可以采用自由放任式的领导方

式。

在组织士气不振或分工不明确，环境复杂不利和目标难以达到的情况下，通过体贴员工，鼓

励他们达到目标的方式就是体贴式。

在组织专业能力较强，任务复杂多变，组织成员与管理者之间具有一定程度的信任感的情况

下，民主化的领导方式有利于发挥专业人员的专业优势，同时也利于统一意见，鼓舞士气。

在任务比较确定并且较为稳定的组织中，统称采用机构式的领导方式，按部就班地领导成员

完成任务。

在大多数情况下，领导者都会根据具体的情况采取多种领导方式的组合策略，但不管怎样，

这些组合通常也带有明显的个人风格。

(2)组织结构

组织结构是指组织计划、协调和控制经营活动的整体框架。

设置合理的组织结构，有助于建立良好的内部环境。一个公司的组织结构包含①确定组织的形

式和性质，包括确认相关的管理职能和报告关系；②为每个内部机构划分责任权限的制定办法。

组织结构常用组织结构图来表示，以准确反映授权方式和报告关系。

具体应考虑：组织结构的合适性，及其提供管理机构所需信息的沟通能力；各主管人员所负责

任的适当性：按照主管人员所担负的责任，判断其是否具备足够的知识及丰富的经验；当环境改变

时，机构配合改变其组织结构的程度；员工，尤其是负责管理及监督职能的员工人数的充足程度。

(3)董事会和审计委员会

董事会是内部环境的重要组成部分，对其他内部环境要素有重要的影响。组织的管理者也是内

部环境的一部分，其职责是建立企业风险管理理念(风险管理哲学、理念或态度)及冒险的“欲望”,

确定组织的风险偏好，营造组织的风险文化，并将企业的风险管理和相关的初步行动结合起来。因

为董事会和管理层对风险的态度将影响组织对业务活动的选择和为使风险被控制在可以接受的水

平而采取的措施。比如，如果董事会和管理层对风险的态度是非常保守的，那么组织有可能只选择

在一些风险非常低的领域里投资，当然收益也可能相对较低。

组成这两个机构所要考虑的因素主要包括：成员的经验；相对于管理层的独立性；外部董事的

比例；其成员参与管理的程度；所采取措施的适宜性；对管理层提出问题的深度和广度；它们与内

部、外部审计人员的关系实质。这两个机构应当负责批准并定期审查整个经营战略和重大政策；理

解经营的主要风险，确定这些风险的可接受水平，保证高层管理者采取必要步骤，识别、衡量、评

审和控制风险；批准机构的结构；并确保高层管理者不断评审风险管理系统的有效性。

(4)授权和分配责任的方法

如果管理当局建立了授权和分配责任的方法，就会大大增强机构的控制意识。

强调对于组织内的全部活动要合理有效地分配职责和权限，并为执行任务和承担职责的机构成

员特别是关键岗位的人员，提供和配备所需的资源并确保他们的经验和知识与职责权限相匹配，要

使所有员工知道：他们的工作行为、职责担负形式和认可方式与达成组织目标的联系。

(5)管理控制方法

管理控制方法是管理当局对其他人的授权使用情况直接控制和对整个公司的活动实行监督的

方法的总称，包括经营计划、预算、预测、利润计划、责任会计等。具体执行时需要①计划；②比

较(实际与预算、实际与计划)；③调查差异、采取纠正措施。组织规模越大，这些方法越重要。

(6)内部审计

内部审计是组织自我评估的一种活动，它通过协助管理当局监督其他控制政策和程序来促进好

的内部环境的建立。内部审计与其权限、人员的资格以及可使用的资源密切相关。内部审计必须独

立于被审计部门，并且直接向董事会或审计委员会报告。

(7)人力资源政策及实务

风险管理是由人来进行并受人的因素影响，风险管理中最重要的因素是人，如果员工具有足够

的胜任能力和诚心度，将大大有助于风险管理目标的实现。保证组织所有成员具有一定水准的诚信、

道德观和能力的人力资源方针与实践，是风险管理有效的关键因素之-O好的人事政策和实务，能

确保执行组织政策和程序的人员具有正直品行和胜任能力，组织必须雇佣足够的人员并给予适当的

培训和足够的资源，使其能完成所分配的任务。正直品行和胜任能力的人员在很大程度上取决于组

织的有关雇佣政策、待遇、业绩考核以及晋升等政策和程序的合理程度。

具体包括：有完善的招聘与选拔方针及操作性程序；对新员工进行组织文化和道德价值观的导

向培训；对违反行为准则的任何事项，制定纪律约束与处罚措施；对业绩良好的员工，制定具有奖

励和激励作用的报酬计划，并避免诱发不道德行为；根据阶段性的业绩评估结果，对员工予以晋升、

指导以及奖罚。

(8)诚信正直的原则和道德价值观

无论是组织最高管理阶层还是其他成员都应当做到严格一致的诚信行为和道德标准；不盲目追

求不切实际的目标，以免形成不必要的压力；对敏感职位之间的职务分工要准确明细，以避免造成

偷窃资产或隐藏不良绩效的诱因；加强组织的内部审核制度；发挥董事会的职能，使其客观监督组

织的高层管理阶层；提供道德方面的指导，使所有雇员在一般和特定环境下能够保持正确的判断；

制作文字化的行为准则和政策声明，将其传达给全体雇员；将诱发人们不诚实、非法和不道德行为

的动机降至最低。

(9)外部影响

外部机构的监管可能导致管理当局采用更多特定的风险管理政策和程序。

(二)目标设定

1、目标设定的含义和重要性

目标设定是企业在识别和分析实现目标的风险并采取行动来管理风险之前，采取恰当的程序

去设定目标，确保所选定的目标支持和切合企业的发展使命，并且与企业的风险承受能力相一致。

目标设定是企业风险评估的起点，是风险识别、风险分析和风险应对的前提。

根据组织确定的任务或预期，管理者设定组织的战略目标，选择战略并确定其他与之相关的目

标并在组织内层层分解和落实。管理者必须首先确定组织的目标，才能够确定对目标的实现有潜在

影响的事项。而企业风险管理就是提供给组织管理者一个适当的过程，既能够帮助设定组织的目标，

又能够将目标与组织的任务或预期联系在一起，并且保证设定的目标与组织的风险偏好相一致。

风险管理要达到的目的称为风险管理目标，任何组织的控制目标，总是源于管理目标，总是和

其管理目标相一致的，它是管理目标的具体化，风险管理为组织目标的实现服务。而任何组织的管

理目标.又总是和管理思想及经营方针密切相关。管理思想和经营方针既受经济环境的影响，又受

决策阶层的基本观念影响。

确定风险管理目标既要了解经营管理的总体目标，又要了解各管理阶层的个别目标，即要把

各种经营活动分解成一个或几个循环，循环包括处理一个特定交易或业务所需要的一切特定活动

（诸如验证、分类、记录、报告、信息）。循环应与机构的组织和职责分工相一致，应与机构的总体

目标相配合，以促成总体目标的实现。因此，风险管理的基本目标，都是保证组织完成自己的工作

任务或达到目的的，它具有实用性。

2、确定风险管理的目标需要关注企业的利益相关者

企业的利益相关者就是和企业的发展、变化直接相关的那些组织和人员，他们会因企业的变化

收益或者受害，企业目标（导向）的确定直接影响利益相关者的利益；反过来讲，企业利益相关者

的诉求也会影响企业目标的确定以及企业风险管理目标的确定，因此要确定合理的企业目标就需要

首先确定企业的利益相关者，根据利益相关者的诉求确定企业的目标。只有明确了风险管理的利益

相关者，才能更好的明确风险管理的目的和方向，更好地为风险管理服务。

需要注意的是，企业风险管理的利益相关者和公司治理的利益相关者不能直接划等号，但二者

会互相影响。

但考虑利益相关者的要求对企业目标的影响时，要分清并关注主要的利益相关者，而非面面俱

到。

3、企业的五类目标

不同的目标对风险管理的制定、实施、要求各不相同，但不管怎样，风险管理都要实现如下五

类目标：

（1）促进企业实现发展战略目标

促进企业实现发展战略是风险管理的最高目标，也是终极目标。战略与企业目标相关联并且

支持其实现的基础，是管理者为实现企业价值最大化的根本目标而针对环境做出的一种反应和选

择。

（2）保证财务和运营信息的可靠性与完整性

财务报告及相关信息的真实完整目标是指风险管理要合理保证企业提供了真实可靠的财务信

息及其他信息。保证所有交易和事项以正确的金额，在恰当的会计期间及时记录于适当的账户，使

会计报表的编制符合相关准则的相关要求。

为确保财务报告及相关信息真实完整应做到：

（1）应按照企业会计准则的有关会计制度如实地核算经济业务、编制财务报告，满足会计信

息的一般质量要求。

（2）应通过风险管理制度的设计，包括不相容职务分离控制制度、授权审批控制制度、日常

信息核对制度、惩罚制度等，来防止提供虚假会计信息，抑制虚假交易的发生。

为提供可靠的财务报告，必须保证具有可靠的会计记录。可靠的会计记录是指那些可以用来

编制可靠财务报表的记录，包括某些月末或年末的调整记录（如调整分录）。如果其他各方面都能做

到准确无误，会计记录就可以按照设计要求提供可靠信息。

要求具有可靠会计记录的目的之一，是及时提供可靠的财务信息。管理部门需要可靠的财务信

息以便在组织的经营活动中做出正确的经营决策；股东、贷款者和其他各方，需要可靠的财务信息

以便进行正确的投资、贷款和其他决策。一般来说，审计人员直接关心提供给外部使用的财务报表

可靠性的控制，而对内部管理报告可靠性的控制仅仅在审计人员认为其对它们审计工作产生影响时

才予以关注。

（3）保证运营的效率和效果（高效率、有成效（结果））

提高经营的效率和效果是风险管理要达到的最直接也是最根本的目标。经济有效的利用资源,

尽可能减少组织有限资源的耗费，实现理想的成本水平和效益水平。

良好的风险管理可以从以下四个方面来提高企业的经营效率和效果：

①组织精简、权责划分明确，各部门之间、工作环节之间要密切配合，协调一致，充分发

挥资源潜力，充分有效的使用资源，提高经营绩效。

②优化与整合风险管理业务流程，避免出现控制点的交叉和冗余，也要防止出现内控盲点,

要设计最优的内控流程并严格执行，最大限度地提高执行效率。

③建立良好的信息和沟通体系，提高管理层的经济决策和反应的效率。

④建立有效的内部考核机制，提高工作的效率和效果。

（4）组织的经营管理行为和决定遵守相关的法律、法规和合同（保证遵循政策、计划、程序、

法律、法规和合同）

经营管理合法合规目标是指风险管理要合理保证企业在国家法律和法规允许的范围内开展经

营活动，严禁违法经营。

经营管理合法合规是企业生存和发展的客观前提，是风险管理的基础性目标，是实现其他内

控目标的保证。

政策、计划和程序是由组织制定的，法律和法规来源于组织外部，内部审计人员要审查规章

制度的遵循情况，评价政策、计划和程序的适当性。

评价政策、计划和程序的适当性是核心所在，若政策、计划和程序本身己不适当，遵守政策、

计划和程序毫无意义。

（5）资产得到保护（保护资产的安全）

资产安全目标主要是为了防止资产流失。保护资产的安全与完整是企业开展经营活动的物

质前提。资产安全目标有两个层次：

①确保资产在使用价值上的完整性，主要是指防止货币资金和实物资产被挪用、转移、侵

占、盗窃以及对无形资产控制权的旁落。

②确保资产在价值量上的完整性，主要是防止资产被低价出售，损害企业利益。

保护资产通常理解为对现金、有价证券和存货等资产的保护，以防止出现舞弊性错误，如顾

客通过盗窃或篡改记录、多拿佣金、红利或索取使用费等；也防止非故意性的错误，如偶然性少收

货、多付购货款或财产损坏等。通常认为，保护资产不包括防止因鲁莽决策而造成的财产损失，例

如赔本销售产品，在不妥当的地点开设仓库或是大作收效甚微的广告。

为保护组织的资产安全所设计的风险管理的基本思想在于制衡，因为有了制衡，两个人同时犯

同一错误的概率大大减少，从而加大了不法分子实施犯罪计划、进行贪污舞弊行为的难度，从而保

护企业的资产被非法侵蚀或占用，保障企业正常经营活动的顺利开展。

具体的保证资产安全的控制措施有安装防盗门锁、聘用保安、设置密码、修建地下室。贵重资

产需要有多重保护措施。

4、目标之间的关系

风险管理的五个目标不是彼此孤立的，而是相互联系、共同构成/■一个完整的风险管理目标

体系。其中，战略目标是最高目标，是与企业使命相联系的终极目标；其他四个是建立在战略目标

基础上的业务层次目标，其中经营目标是战略目标的细化、分解与落实，是战略目标的短期化与具

体化，是风险管理的核心目标；资产目标是实现经营目标的物质前提；报告目标是经营目标的成果

体现与反映；合规目标是实现经营目标的有效保证。

企业生存与疆

风险管理五目标之间的关系图

5、目标的设定与风险偏好、风险承受度

(1)目标设定是否科学、有效，取决于其是否符合企业的风险偏好和风险承受度。企业要经

常对设定的目标进行审阅，以保证这些目标和企业的偏好、风险承受能力一致。

(2)风险偏好

风险偏好是指企业在实现其H标的过程中愿意接受的风险的数量。可以从定性和定量两个

角度对风险偏好加以度量。

风险偏好与企业的战略直接相关，在战略制定阶段，企业应进行风险管理，考虑将该战略的

既定收益与企业的风险偏好结合起来，目的是帮助企业的管理者在不同的战略之间选择与企业风险

偏好相一致的战略。

（3）风险承受度

风险承受度是指在企业目标实现的过程中对差异的可承受风险限度，是企业在风险偏好的基础

上设定的对相关目标实现过程中所出现的差异的可接受水平，也被称作风险承受能力。也就是说，

风险承受度包括整体风险承受能力和业务层面的可接受风险水平。

（4）企业应以风险组合的观点看待风险。对企业内每个单位而言，其风险可能落在该单位的

风险承受范围内，但从企业整体来看，总风险可能超过企业总体的风险偏好范围，因此，应以企业

总体的风险组合的观点看待风险。

6、企业战略目标的设定和分解

在设定企业风险管理目标的过程中，企业要根据自己的风险偏好和风险承受能力首先设定企

业层面的目标，即战略目标，然后再设定业务层面目标。

（1）战略目标需要考虑的因素和内容

战略目标是企业使命和功能的具体化，一方面有关企业生存的各个部门都需要设定目标。尽

管企业战略目标是多元化的，但各个企业需要设定目标的内容却是大致相同，通常战略目标的内容

可从以下几个方面来考虑：

制定企业战略目标需要考虑的因素

不是每个企业在以上每个区域都要规定目标，并且战略目标也不仅局限于以上9个方面。

（2）战略目标的分解

战略目标不止一个，而是由若干目标项目组成的一个战略目标体系。战略目标可以进行纵向

分解和横向分解，还可以运用平衡计分卡进行分解。

①纵向分解

企业使命

I

总战略目标〕

I_______）

I——I1——I

［职能性目标］职能性目标］职能性目标

\_________________________________/I________________________________/I________________________________/

U子目标）q子目标）k子目标）

企业战略目标体系纵向分解图

从纵向上看，企业战略目标可以分解成树形图。在企业使命基础上设定战略目标，但为了其实

现，还必须将其分解成职能战略目标，也就是，总战略目标是企业的主体目标，职能型目标是保证

性目标。

②横向分解

企业的战略目标大致可以分为两类：

第一类是用来满足企业生存和发展所需要的项目目标，这些目标项目又可以分解成业绩目标和

能力目标。业绩目标主要包括收益性、成长性和安全性指标等三类定量目标；能力目标主要包括企

业综合能力指标、研究开发能力指标、生产能力指标、人事组织能力指标和财务管理能力指标等一

些定性和定量指标。

第二类是用来满足与企业有利益关系的各个社会群体所要求的目标。这样的群体主要有顾客、

企业职工、股东、所有社区及企业社会群体。

③平衡计分卡

企业能否继续提企业如何对其所有者负

需做好什么的产品与服务

战略目标的分解一一平衡计分卡

通过平衡计分卡，可以从4个维度明晰企业的战略目标重点，如财务维度方面，快速扩大销

售规模，提高销售收入；客户维度方面，显著提高产品品牌，扩大市场占有率；内部业务流程维度

方面，导入信息化平台管理，改善销售模式；学习与成长维度方面，加强骨干员工的培训，打造学

习型团队等。

(3)战略目标设定的原则

战略目标设定的原则，通常使用SMART原则，它是以下五个英文单词首字母的缩写：

S(Specific)代表具体，不能笼统;

M(Measurable)代表可计量，可以量化并可被验证；

A(Attainable)代表可行，可以达到；

R(Relevant)代表相关性，实实在在，可以证明和观察；

T(Time-based)代表时限，具有明确的截止期限。

(4)战略目标设定的步骤

a.明确企业发展目标

b.制定实现目标的战略计划

c.编制年度计划

d.企业编制年度预算

(5)战略目标设定的方法

企业在设定战略目标时，有4个思考的维度：一是企业过去和现在已经达到的目标；二是

所在行业的平均水平；三是所在行业最优水平或杠杆业绩；四是依据使命和愿景，企业应该达到的

HI

在具体设定战略目标时，常用的方法有时间序列分析法、相关分析法、盈亏平衡分析法、决

策矩阵法、决策树法、基准分析法、博弈论法、模型模拟法等分析方法。

7、设定业务层面目标

4m勺目般毋足%tHk。・h超目冰■修：!

（二）事项识别（识别风险因素、风险识别）

1、风险、风险因素的定义

风险是指某一对组织目标的实现可能造成负面影响的事项发生的可能性。风险因素可定义为

对组织目标的实现产生负面影响的事情。因此，确定风险因素的先决条件是设定目标，组织的目标,

通常是由组织的理念及其所追求的价值所决定的，而与之相配合的是组织下一级各部门的具体目

标。组织在实现目标的过程中，由于受来自内部和外部各种不确定的因素的影响，使得组织的经营

活动面临各种风险。

不确定性的存在，使得组织的管理者需要对这些事项进行识别。而潜在事项对组织可能有正

面的影响、负面的影响或者两者同时存在。对组织有正面影响的事项，或者是组织的机遇，或者是

可以抵消风险对组织的负面影响的事项。机遇可以在组织战略或目标设定的过程中加以考虑，以确

定有关行动抓住机遇。可能潜在地抵消风险的负面影响的事项则应在风险的评估和反应阶段予以考

虑。有负面影响的事项是组织的风险，要求组织的管理者对其进行评估和反应。

2、风险识别的含义

风险识别是对企业面临的各种潜在事项进行确认.对于风险识别的概念，可以从以下几个方

面理解：

(1)风险识别是一项动态的、连续不断、系统性的重复过程

(2)风险识别是一项复杂的系统工程

(3)风险识别是整个风险评估过程中重要的程序之一。

3、风险识别的内容

风险识别主要内容包括两方面：一是感知风险事项，二是分析风险事项。

感知风险事项和分析风险事项构成事项识别的基本内容，两者是相辅相成，互相联系。感

知到风险事项的存在才能进一步有意识有目的的分析风险，进而掌握风险的存在及导致风险事项发

生的原因和条件。

4、识别风险因素

风险评估中的要素包括关注对整体目标和业务活动目标的设定和衔接、对内部和外部风险的

识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。

组织的风险一般是由外部因素和内部因素所产生的。

内部风险因素包括：信息系统处理的中断；聘用员工的品质、培训方法及激励制度；经理人员

的责任改变；组织活动的性质以及员工可接近资产的程度；信息系统处理的特点；董事会或监事会

不够坚定或无效等。

外部风险因素包括：科技发展；顾客的需求或预期改变；竞争；新的法律和行政命令；自然灾

害；经济环境改变等。

5、风险识别的过程

(1)发现或者调查风险因素

•自然环境

•社会经济因素

•政治及法制因素

•营运环境

(2)减少风险因素增加的条件

发现或者调查风险源以后，应该寻求引发风险因素减少的条件。

企业的风险因素应该包括但不限于以下内容：

a.产品或服务的市场前景、行业经验环境的变化、商业周期或产品生命周期的影响、市场

饱和等;

b.经营模式发生变化，经营业绩不稳定，主产品或主要原材料价格波动，产品或服务过度

集中或分散等：

C.技术不成熟、技术尚未产业化、技术缺乏有效保护或保护期限短、缺乏核心技术或产品

技术面临被淘汰等；

d.投资项目在市场前景、技术保障、产业政策、环境保护、融资安排等方面存在的问题，

因营业规模、营业范围扩大或者业务转型而导致的管理风险、业务转型风险。

(3)预见危险或者风险

事项识别的重要步骤就是能够预见危害，将产生危害的条件消灭在萌芽状态.

(4)重视风险暴露

这是事项识别的重要组成部分，可能面临损失的物体都有风险暴露的可能性，必须重视风

险的暴漏。任何企业的任何部门都有可能暴露于风险事项的威胁之下。为了事项识别的方便，一般

把风险暴露分为：实物资产风险暴露、金融资产风险暴露、客户资产风险暴露、雇员或供应商资产

风险暴露和组织资产风险暴露。

6、风险识别的方法

(1)财务报表分析法

财务报表分析法是通过资产负债表、损益表、现金流量表和其他附表等财务信息的分析来

识别风险事项。

财务报表分析法具体分为：趋势分析法、比率分析法、因素分析法、杜邦分析法。

a.趋势分析法是根据一个企业连续数期的利润表和资产负债表的各个项目进行比较，以求出

金额和百分比增减变动的方向和幅度，以揭示当期财务状况和经营状况增减变化的性质及其趋向。

趋势分析法通常包括横向分析法和纵向分析法。

b.比率分析法就是把财务报表的某些项目同其他项目进行比较，这些金额或者数据可以选

自一张会计报表，亦可以选自两张会计报表。

比率分析法可以分析财务报表所列项目与项目之间的相互关系，运用的比较广泛。主要有

经营成果的比分析、权益状况的比率分析、流动资产状况的比率分析。

c.因素分析法

比率因素分解法，是指把一个财务比率分解为若干个影响因素的方法。

差异因素分解法又分为定基替代法和连环替代法两种。

d.杜邦分析法:

_净利润销售收入总资产

权&净利率=销售收入X总资产X股东权益

=销售净利率X总资产周转率X权益乘数

净资产收益率（权益净利率）

资产净利率X权益乘数f资产/权益=1/（I-资产负债率）

销售净利率X总资产周转率

净利润+销售收入销售收入+资产总额

销售收入-全部成本+其他利润-所得税费用长期资产+流动资产

制造槽业班理领才务现金+应收+存+其他流动

成本费用费用费用有价证券账款货资产

（2）流程图分析法

流程图分析法是将风险主体的全部生产经营过程,按其内在的逻辑联系绘成作业流程图，针

对流程中的关键环节和薄弱环节调查和分析风险。

♦流程图的分类：

•按照流程路线的复杂程度划分，可以分为简单流程图和复杂流程图

•按照流程的内容划分可以分为内部流程图和外部流程图

•按照流程图的表现形式划分，分为实物形态流程图和价值形态流程图

（3）事件树分析法

事件树分析法又称故障树法，其实质是利用逻辑思维的规律和形式，从宏观的角度去分析事故

形成的过程.

事件树分析法的特点：

•事件树分析是一个动态过程

•可以指出防止事故发生的途径

•能够找出消除事故的根本措施

（4）现场调查法

获知主体经营情况的最佳途径就是现场调查。

现场调查一般有三个步骤：

•调查前的准备，包括确定调查时间和调查对象等

•现场调查和访问，认真填写表格

•形成调查报告与反馈

(5)保单对照法

保单对照法，是将保险公司现行出售的保单风险种类与风险分析调查表融合改成的，用于风

险识别的问卷式表格，风险管理者可以根据这一表格与主体已有的保单加以对照分析，发现现存的

风险事项。

(6)其他方法

♦经常性的检查关键文档

♦面谈

企业风险事项识别的方法很多，各有其优缺点和使用条件，没有绝对的使用所有事项识别

的方法。主体不同，事项识别的方法也不同，试图用其中一种方法识别主体所面临的所有事项时不

现实的。

事项识别是一个连续不断的、系统的过程，事项识别方法既关注过去，也着眼未来，仅凭

一两次有限的分析不能解决所有的问题，许多复杂的和潜在的事项要经过多次识别才能获得最佳效

果。

(四)风险评价(RiskAppraisal)

1、含义

在确定了组织的内外部环境和目标，识别了风险因素的前提下，可以对影响目标实现的风险

因素逐项进行风险评价。风险主要来自于外部环境和内部条件的变化，风险因素识别包括对外部因

素和内部因素进行检查；风险分析则是估计风险的重大程度、风险发生的可能性、如何控制风险等。

风险分析是结合企业特定条件在风险识别的基础上，运用定量或定性方法进一步分析风险发

生的可能性和对企业目标实现的影响程度，并对风险的状况进行综合评价，为制定风险管理策略与

选择应对方案提供依据。

风险评估就是分析和辨认实现既定目标可能发生的风险。风险分析是风险应对的基础，并为制

定合理的风险应对策略提供依据，没有客观、充分、合理的风险分析，风险应对将是无的放矢、效

率低下的。

从风险管理的角度看，风险评价的实质应充分考虑对组织目标的实现可能造成不利影响的内外

因素，真正认识到这些风险，然后可以在下一步根据风险的评价确认经营活动过程中的关键控制点，

从而针对关键控制点进一步采取相应的有针对性的控制活动。管理者为了建立和完善风险管理，要

评价风险；内部审计人员为了评价风险管理，也要连续评价风险；注册会计师为了制定财务审计的

审计策略，也要依赖于评价风险管理的评价结果。

2、风险分析的内容

风险评估可以使管理者了解潜在事项如何影响组织目标的实现.风险评估中最基本的部分，就

是如何辨认风险因素中已发生的改变，并采取必要的行动。这些改变因素包括：行业环境的改变、

新员工、业务迅速成长、新科技、新业务、新产品、新作业、公司重组、国外业务等。

管理者应从两个方面对风险进行评估一一风险发生的可能性和影响。风险发生的可能性是指

某一特定事项发生的可能性，影响则是指对组织目标的实现产生影响的严重程度，即事项的发生将

会带来的影响。

(1)风险发生的可能性分析

可能性分析是指假定企业不采取任何措施去影响经营管理过程，将会发生风险的概率。它

通常是通过实际情况的收集和利用专业判断来完成。

风险可能性分析的结果一般有“很少”、“不太可能”、“可能”、“很可能”和“几乎确定”

五种情况。

(2)风险产生的影响程度分析

影响程度分析主要是指对目标现实的负面影响程度分析。

按照影响的结果(通常是量化成数值)，一般将风险划分为“不重要”、“次要”、“中等”、“主

要”和“灾难性”五级。

3、风险的测量

风险评估可以采用定性或定量的方法进行。

(1)定性方法。

是指运用定性术通.比值正描述风险发生的可能性及其影响程度...

定性分析方法是目前风险分析中采用比较多的方法，它具有很强的主观性，往往需要凭借分析

者的经验和直觉，或者世界的标准和惯例，对风险因素的大小或高低程度进行定性描述，譬如高、

中、低三级。

定性分析的操作方法多种多样，有问卷调查、集体讨论、专家资讯、人员访谈等。最常见的定

性分析方法是风险评估图法。

风险评估图法是把风险发生的可能性、风险发生后对目标的影响程度，作为两个维度绘制在同

一个平面上(即绘制成直角坐标系)。

影

响

可能性

风险评估图

■定量方法。

①含义

定量分析法，是指运用数量方法评估并描述风险发生的可能性及其影响程度。就是对构成风

险的各个要素和潜在损失的水平赋予数值或货币计量的金额，从而量化风险分析的结果。

定量方法一般情况下会比定性方法提供更为客观的评估结果。在风险难以量化、定量评价所

需数据难以获取时，一般应采用定性方法。

在对相关事项做了个别分析以后，还要考虑同时发生某些风险的可能性。

②风险的定量分析和测量一般要考虑的两个关键因素

(a)当前有多少潜在的损失？(b)损失实际发生的可能性有多大？风险是这两个因素的组

风险的计算公式R=pr(E)

R为风险

pr为由于风险管理无效而导致损失的可能性

(E)为暴露的金额

以上两个指标中，(E)的确定显而易见，而pr则很难，时pr影响最大的是风险管理，良好的

风险管理可以降低损失的可能性，从而降低了风险，不良的风险管理增加了损失的可能性，从而增

加了风险，所以评价风险的高低就是评价风险管理的好坏，通过风险的测量实际上就确定了风险管

理的薄弱环节、急需改造和完善的环节。

③比较常用的定量分析法有情景分析、敏感性分析、VaR、压力测试等.

(a)情景分析法

情景分析法是通过假设、预测、模拟等手段生成未来情景，并分析其对目标产生影响的一种

分析方法。

情景分析法对这些情况特别有用：提醒决策者注意某种措施或政策可能引起的风险或危机性

的后果；建议需要进行监视的风险范围；研究某些关键性因素对未来过程的影响；提醒人们注意某

种技术的发展会给人们带来哪些风险。

(b)敏感性分析

敏感性分析是通过分析，预测项目主要因素发生变化时对经济评价指标的影响，从中找出敏

感因素，并确定其影响程度。

虽然敏感性分析已得到广泛的应用，但也有其弱点。这种方法要求每一关键变量的变化是相

互独立的。然而，管理层更感兴趣的是两个或两个以上关键变量的变化的综合影响。仅仅考虑独立

的因素是不现实的，因为它们往往是相互影响的。

(c)VaR值

风险价值(VaR),是指在正常的市场条件和给定的置信水平(通常是95%或99%)下，在给

定的特有期间内，某一投资组合预期所面临的潜在的最大损失金额。

VaR把对预期的未来损失的大小和该损失发生的可能性结合起来,不仅让投资者知道发生损失

的规模，而且知道其发生的可能性，是一种数量化市场风险的重要量度工具。

(d)压力测试

压力测试是指评估那些具有极端影响事件的情景下，分析评估风险管理模型或内控流程的有

效性，发现问题，制定改进措施的方法。

压力测试一般被用作概率度量方法的补充，用来分析那些通过与概率技术一起使用的分布假

设可能没有充分捕捉到的低可能性、高影响事件的结果。

需要注意的是，定性分析与定量分析法在实际应用中并非互相排斥，而是相互补充，相辅相

成。因此，实务中，两种方法的结合时很必要的，两者可以互补其不足，企业也可以根据自身的特

征决定采用具体的结合形式。

4、风险分析需要关注的事项

(1)为了适应不断变化的环境，风险评价须不断的进行。

辨识和分析风险的过程是一种持续及反复的过程，也是有效风险管理的关键组成要素，管理阶

层须谨慎注意各部门的风险，并采取必要的管理措施。

对风险的评估要多次进行。风险的最初评估是从有限的信息开始的，随着获取更多的信息，必

须对风险进行重新评估和比较。对风险的最初评估和后来的评估保持一致是不可能的，就向对一个

人的了解一样，掌握的信息越多，越接近事实和真相。没有信息和资料，风险评价无从谈起，所以，

必须收集必要的信息和资料（证据），以支持自己的风险评价结论并据以做出决策。

（2）管理层的风险评估与内部审计师、外部审计师等专业咨询机构的风险评估不同。

管理层的风险评估是风险管理设计和运行的组成部分，是为了减少差错和舞弊；审计师要关注

的是管理层风险评估的过程，评估风险会决定审计证据的收集。如果管理层能有效地评估风险并做

出相应反应，审计师通常会收集较少的证据。通常，审计师通过确定管理层识别与财务报告有关的

风险、评价它们的重要性、发生的可能性、针对风险需要采取的行动，以取得对管理层风险评估过

程的了解。

（五）风险应对（风险反应）

1、含义

风险应对是指在风险分析的基础上，针对企业所存在的风险因素和风险评价的结果，运用现

代科学技术知识和风险管理方面的理论与方法，提出各种风险解决方案，经过分析论证与评价从中

选择最优方案并予以实施，来达到降低风险目的的过程。

2、风险应对的具体策略

风险反应指组织管理个别风险所选用的方式。主要类型：（1）容忍风险；（2）减少风险的影

响和可能性；（3）风险转移；（4）终止产生风险的活动。风险管理是应对风险的一种方式。

风险应对的措施一般可以分为规避风险、减少风险、共担风险和接受风险四类。

风险规避风险转移

完全放弃保险转移

中途放弃财务型非保险转移

改变条件控制型非保险转移

风险降低风险承受

损失预防接受

损失抑制计戈U

（1）终止产生风险的活动（也称为规避风险、风险规避），是指暂停或中止会引起风险的活

动，就是采取措施退出会给组织带来风险的活动。在风险发生的可能性和影响很大，或者在风险管

理困难等的情况下，应当选择规避风险。风险规避的方式分为完全放弃（拒绝承担任何风险，不从

事可能产生风险的任何活动）、中途放弃（中止承担某种风险）和改变条件（改变生产活动的性质）。

（2）减少风险（控制风险、降低风险）是指采取设计新的风险管理等应对策略，减少风险

发生的可能性、减少风险的影响或两者同时减少。风险降低依目的的不同可以划分为损失预防和损

失抑制两类。前者以降低损失概率为目的，后者以缩小损失程度为目的。

（3）风险转移也就是共担风险（风险分担），是指通过转嫁风险或与他人共担风险，将风险

的全部或一部分转移到组织外部，从而降低风险发生的可能性或降低风险对组织的影响。风险分担

一般是一种事前的风险应对策略，即在风险发生前，通过各种交易活动，避免承担全部风险损失。

通过风险分担方式应对风险，风险并没有减少，只是风险承担者发生了变化。

风险分担的方式可以分为三种：财务型非保险转移、控制型非保险转移和保险转移。

财务型非保险转移常用手段有：保证、再保证、证券化、股份化、签订套期交易合约等。

控制型非保险转移常用的方法有外包、租赁、出售、回租等。

（4）风险承受就是接受风险（风险的自留、接纳风险），是指不采取任何行动而接受可能发

生的风险及其影响。由于种种原因（技术、经济、主观或客观等），管理层可能选择将风险自留，

承担风险而不采取任何措施。在判断对风险进行事前应对多花费的费用超过其效果的情况，或者判

断即使风险显性化后也可以应对的情况下，如果风险处于可以容许的水平以下，则认为组织可以接

受该风险。风险承受时一种风险财务技术，企业明知可能有风险发生，但在权衡了其他风险应对策

略之后，处于经济性和可行性的考虑将风险留下，若出现损失，则依靠企业自身的财力去弥补风险

所带来的损失，风险承受的前提是自留风险可能导致的损失比转移风险所需代价小。

风险的自留可能是有意识的、无意识的，积极的、消极的，主动的、被动的，有计划的、无

计划的。

风险承受对策包括计划性风险承受和非计划性风险承受两种。

3、风险应对策略选择时应考虑的因素

风险承受度

成本和效益

风险的特性

可供选择的措施

4、风险应对策略选择时应注意的问题

一般情况下，对战略、财务、运营和法律风险，可采取风险承受、风险回避、风险分担等

方法。

对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采取风险分担、风险降低

等方法。

风险应对策略的选择还可以从企业范围内组合的角度去考虑。

5、风险应对后的风险评价

对于每一个重要的风险，组织都应考虑所有的风险反应方案。有效的风险管理要求管理者选

择可以使组织风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。

选定某一风险反应方案后，管理者应在残存风险(剩余风险)的基础上重新评估风险，即

从组织总体的角度、或者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管

理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。

在此要区分几个概念

初步的风险评估(PreliminaryRiskAssessment)----在业务计划期间所开展的风险评估，

旨在确立业务的范围和目标。

剩余风险(ResidualRisks)――指管理层采取措施(包括用于应对某项风险的控制活动)

以减少负面事件的影响及可能性之后仍然存在的风险。

不可接受的剩余风险(UnacceptableResidualRisk)---在控制活动没有充分设计、没有

适当实施时，或是将风险减小到一个可以接受的水平无效时，就会存在这种风险。

(六)控制活动(ControlActivity)(政策和程序)

1、含义

控制过程指政策、程序和控制活动等控制框架的组成部分，用以确保将风险控制在风险管理

过程设定的风险容忍范围之内，以保证目标得以实现的政策和程序。控制活动是指结合具体业务和

事项，运用相应的控制政策和程序，或称控制手段去实施控制。

控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于组织的

各部分、各个层面和各个部门，通常包括两个要素：确定应该做什么的政策和影响该政策的•系列

程序.

组织管理阶层辨认风险，然后针对这种风险发出必要的指令。它包括一系列的政策及其相关

实施程序，制定和实施控制活动是为了控制组织通过上述风险评估程序确认的风险，并确保管理层

的决策和指令得以实施，如核准、授权、验证、调节、复核营业绩效，保障资产安全及职务分工等。

只有当组织的管理层和全体员工将控制活动视为组织的日常运作中必不可少的组成部分时，风

险管理才是最有效的。

组织的管理层应明确：必须为每一项经营活动制定相应的政策和程序；现有的政策和程序必须

得到充分实施；对于例外情况要及时采取补救措施；主管人员要定期评估控制活动的效果等。

2、具体的控制措施

控制活动在组织内的各个阶层和职能之间都会出现，这主要包括：

不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控

制、绩效考评控制等。企业应通过采用手工控制与自动控制、防护性控制与发现性控制相结合的方

法实施相应的控制措施。

(I)实物控制。乂称为资产和记录接近控制。这些控制活动包括实物安全控制、对计算机以

及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。实物控制中要制定防止资产被窃

的程序。要规定禁止无关人员接触的主要物品：现金、支票、发票、合同、账簿、报表、客户名录

等。

(2)职责分离。指将各种功能性职责分离，以防止单独作业的人员从事或隐藏不正常行为。

人员的安排不能发生责任冲突，要识别和尽力缩小有潜在利益冲突的地方，并遵从谨慎、独立的监

督评审。一般来说，下面的职责应被分开：业务授权(管理功能)与业务执行(保管职能)、业务

执行与业务记录(会计职能)、业务记录与业务复核。理想状态的职责分离是没有一个职员负责超

过一个以上的职能。

(3)信息处理控制。信息处理是保证业务在信息系统中正确、完全和经授权处理的活动。对

信息系统的控制活动可分为两类，第一类是一般控制(generalcontrol),通常与信息系统的设计

和管理有关，它帮助管理阶层确保系统能持续、适当的运转，主要内容包括：对资料中心运作的控

制；对系统软件的控制；存取安全的控制；对应用系统的发展及维护的控制。第二类是应用控制

(applicationcontrol),与个别数据在信息系统中的处理的方式有关。它包括应用软件中的电

算化步骤及相关的人工程序，主要内容包括：输入控制、输出控制、处理控制。

(4)绩效评价控制。指将实际业绩与其他标准，如前期业绩、预算和外部基准尺度