企业风险评估管理整合框架

企业风险评估管理整合框架企业风险评估管理整合框架企业风险评估管理整合框架第二章《企业风险管理——整合框架》基本理论一、《企业风险管理——整合框架》（简称ERM框架）的颁布1992年COSO发布的《内部控制——整合框架》虽然被许多企业采用，但理论界和实务界纷纷提出改进建议，认为其对风险强调不够，使得内部控制无法与企业风险管理相结合。2001年，COSO委托普华永道开发一个对于管理层评价和改进他们所在组织的企业内部控制的简便易行的框架。在此期间出现了安然公司破产事件、美国国会2002年出台了《2002公众公司会计改革和投资者保护法案》（萨班斯——奥克斯利法案），该法案是继美国《1933年证券法》、《1934年证券交易法》以来又一部具有里程碑意义的法律，该法案强调了公司内部控制的重要性，从管理层、内部审计以及外部审计等几个层面对公司内部控制做了具体规定，并设置了问责机制和相应的惩罚措施，成为继20世纪30年代美国经济危机以来，政府制定的涉及范围最广、处罚最严厉的公司法律。2004年，Treadway委员会下属的发起组织委员会(COSO)发布了《企业风险管理——整合框架》（ERM）本人认为COSO发布的《企业风险管理——整合框架》，具有较强的理论可取性和实践可行性，不但涵盖了内部控制整体框架的全部内容，而且有了更多的创新，必将全面替代COSO发布的内部控制整合框架，所以本书按照COSO发布的《企业风险管理——本人认为COSO发布的《企业风险管理——整合框架》，具有较强的理论可取性和实践可行性，不但涵盖了内部控制整体框架的全部内容，而且有了更多的创新，必将全面替代COSO发布的内部控制整合框架，所以本书按照COSO发布的《企业风险管理——整合框架》来阐述。COSO发布《企业风险管理——整合框架》的目的与当初发布风险管理框架的目的相似，是由于实务界存在对统一的概念性指南的需要。COSO希望新框架能够成为组织董事会和管理者的一个有用工具，用来衡量组织的管理团队处理风险的能力，并希望该框架能够成为衡量企业风险管理是否有效的一个标准。二、企业风险管理的定义《企业风险管理——整合框架》（简称ERM框架）指出，“全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。企业全面风险管理指贯穿整个组织的具有结构性、一致性和持续性的过程，以识别、评估、决定如何应对及报告影响组织目标实现的机遇和威胁。

这是一个广义的风险管理定义，适用于各种类型的组织、行业和部门。该定义直接关注组织目标的实现，并且为衡量企业风险管理的有效性提供了基础。该定义强调：

(1)企业的风险管理是一个过程，其本身并不是一个结果，而是实现结果的一种方式。企业的风险管理是渗透于组织各项活动中的一系列行动。这些行动普遍存在于管理者对组织的日常管理中，是组织日常管理所固有的。它仅是一种工具，是实现目标的工具而已。如果将风险管理看成是一个目标，就会为建立而建立，就会本末倒置，流于形式。(2)企业全面风险管理框架针对一类或几类相互独立但又存在重叠的目标，目的在于组织目标的实现。这里是一个非常明显的进步，这种进步不仅仅在于提出“风险管理框架针对一类或几类相互独立但又存在重叠的目标”风险管理的目标也是实现多个目标，这里的关键区别在于直接明确风险管理的终极目标是促进组织目标的实现，这就揭示了风险管理的目的，为风险管理指明了方向，同时这也是判断风险管理成功失败的唯一的标准，即风险管理能否有效促进组织目标的实现。（3）企业的风险管理是一个过程，一个系统的持续的动态过程。这里和风险管理的定义一样，强调风险管理也是一个过程，是动态的，组织经营管理环境的变化必然要求风险管理适应环境变化的要求，风险管理不仅仅是在某个特定时间里执行的政策和程序，不仅仅是一种工具，而是组织内部的各部门连续运作。是一个发现风险、处理风险、发现新风险、处理新风险的循环往复过程。它随着组织的目标的变化而变化，随着面临环境的变化而变化等等，这个过程不是僵化的，就象中国古语“世移时移，变法亦矣！”，这个世界唯一不变的是变化，否则就是刻舟求剑，缘木求鱼。同时，也强调风险管理是一个全面的系统过程，他不仅仅限于对某一事项和情况的处理，而是渗透到组织的每个方面，只有把风险管理嵌入到组织日常的管理过程中，才能发挥风险管理机制的作用。(4)企业风险管理是一个由人参与的过程，涉及一个组织各个层次的员工。定义一方面强调风险的管理不是高高在上，由组织的上层和董事会来实施并承担责任的，而是组织内每一个人的责任，强调人人有责任和义务参与风险管理，虽然参与的方式有所不同；另一方面也说明每一个员工所做的每一件事和每一份努力都和组织目标的实现、和风险的控制有直接的关系，培养员工的参与感，树立员工的主人翁意识和归属感，发自内心地关心企业的风险管理。

(5)该过程可用于组织的战略制定。组织目标可以分为不同的层次，战略目标是组织最高层次的目标，它与组织的预期和任务相联系并支持预期和任务的实现。一个组织为实现其战略目标而制定战略，并将战略分解成相应的子目标，再将子目标层层分解到业务部门、行政部门和各生产过程。在制定战略时，管理者应考虑与不同的战略相关联的风险。

（6）该风险管理过程应该应用于组织内部每个层次和部门，组织管理者对组织所面临的风险应有一个总体层面上的风险组合观。一个组织必须从全局、从总体层面上考虑组织的各项活动。企业的风险管理应考虑组织内所有层面的活动，从组织总体的活动(如战略计划和资源分配)到业务部门的活动(如市场部、人力资源部)，再到业务流程(如生产过程和新客户信用复核)。组织是一个整体，有一个整体总目标，虽然总目标分成很多分目标，但是分目标和总目标的实现不是矛盾的，而是统一的，分目标的实现有利于总目标的实现，否则，分目标就是失败的。这里在考虑分目标时，鼓励分析人员不要孤立地考虑问题，而是将分目标放在组织整体上来进行考虑，这样判断标准就非常清晰明确，从面上看点就更加全面，而不是管中窥豹，只见一斑，见树木而不见森林。

(7)该过程是用来识别可能对组织造成潜在影响的事项并在组织风险偏好的范围内管理风险。风险偏好主要指对待风险的态度，具体指组织愿意承受的风险水平。不同组织，同一组织的不同领导人，其风险偏好各不相同，在不同的风险偏好下，风险管理的策略也不相同。风险管理的目的并非将风险降低到零，也并非将风险控制的越低越好，而是在考虑企业风险偏好的前提下，设计风险管理的模式和策略，从而达到企业风险管理的目的——将风险控制在企业可以接受的风险偏好范围内。

(8)设计合理、运行有效的风险管理能够向组织的管理者和董事会在组织各目标的实现上提供合理的保证。一方面强调风险管理可以提供保证；另一方面也强调在完美的风险管理也不可能提供绝对的保证，任何情况下，风险都很难降到零，所以，风险管理只能提供合理的保证，迷信或片面夸大风险管理的效果是不恰当的。总之，企业风险管理是一个过程，企业风险管理的有效性是某一时点的一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理要素设计和执行是否正确的评估基础上的一个主观判断。企业的风险管理要有效，则其设计必须包括所有的要素并得到执行。企业风险管理可以从一个组织的总体来认识，也可以从一个单独的部门或多个部门的角度来认识。即使是站在某一特定的业务部门的角度来看待风险管理，所有的要素也都应作为基准包含在内。三、企业风险管理框架的构成要素

企业风险管理框架分为内部环境、目标制定（设定）、事项识别、风险评估、风险反应（风险应对）、控制活动、信息和沟通、监控等八个相互关联的要素，各要素贯穿在组织的管理过程之中。

（一）内部环境

1、概念和作用所谓内部环境就是对组织风险管理的建立和实施有重大影响的因素的统称，是建立、加强或削弱特定政策和程序效率发生影响的各种因素的统称。任何组织的风险管理都存在于一定的环境之中，环境的好坏直接决定组织其他控制能否实施或实施的效果。组织的内部环境主要是指企业风险管理的环境，是其他所有风险管理要素的基础，为其他要素提供规则和结构，在企业风险管理的建立与实施中发挥着基础性作用。内部环境反映了董事会、管理层、业主和其他人员等对待控制（控制对于组织的重要性）的态度、认识和行动。它决定了一个组织的管理基调，提供组织纪律与架构，塑造组织文化，并影响着员工的控制意识。它是其他控制因素的基础，为风险管理界定纪律和结构。组织的内部环境不仅影响组织战略和目标的设定、业务活动的组织和对风险的识别、评估和反应，还影响组织控制活动、信息和沟通系统以及监控活动的设计和执行。这里的内部环境和控制环境相比，外延进一步扩大，这意味着在考虑风险管理时，不但考虑直接因素，还要考虑间接因素，一句话，考虑影响风险管理的全部环境。这里我认为把“内部环境”改为“风险管理环境”更恰当，因为“内部环境”从字面上来看让人感觉风险管理面临的风险及其需要考虑的环境仅仅局限于内部。2、内部环境的组成鉴于很多教材和观点依然以COSO的五要素整合框架为最权威的框架，关于内部环境的很多说法在很多方面和控制环境基本可以换用。IIA实务标准词汇表指出，“控制环境指董事会和管理层对组织风险管理重要性的态度及行动。内部环境为实现风险管理制度的主要目标提供规范和组织架构。内部环境包括以下要素：●诚信和职业道德价值观；●管理层的理念和经营风格以及思想和作风；●组织结构（包括治理结构）；●权力和责任的划分（授权和分配责任的方法）；●人力资源政策和实务；●人员的胜任能力。”除此以外，内部环境还应该包括董事会和审计委员会、发展战略、内部审计、企业文化、外部影响（影响本组织业务的各种外部关系，例如由银行指定代理人的检查）等。（1）管理的理念、方式和风格管理当局在建立一个有力的内部环境中起着关键的作用，风险管理只要得到高层的重视才能取得成功，如果主要领导人滥用职权，或者不相容职务串通舞弊，风险管理必然失效。这里主要考虑：管理当局对待风险态度和控制风险的方法；依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通；为实现组织目标，组织对管理的重视程度；管理当局对会计报表所持的态度和采取的行动；对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度。在这个因素中，领导的风格是一个非常重要的因素。①领导风格定义领导风格（Leadershipstyles）指一个组织中的管理者对经营管理的态度和处理事情的习惯做法。在组织中，领导风格与领导方式体现了组织的管理理念和经营风格，即一个组织对风险的态度、对财务的态度、决策方式和沟通方式等。②领导风格的分类根据组织条件和领导人的风格，可以把领导风格区分为任务驱动型和关系驱动型两类。任务驱动型是指领导着重考虑任务的分解、落实，相应地，在领导的过程中，领导者更倾向于应用权威进行命令式的指挥和根据目标随时进行强有力的控制。这种领导风格比较适宜于任务分工明确，组织稳定，内部关系清晰简单的组织状况。关系驱动型是指领导者更加注重通过理顺组织关系，通过沟通和协调来调动成员的工作积极性和能动性来完成组织任务。这一风格更多地适宜于任务分工要求较强的协作关系，技术性强，组织中专业人士较多，人际关系相对复杂的组织条件。=3\*GB3③领导方式的分类领导风格和领导方式密不可分，领导方式因人而异，也因组织而异。一般地，根据组织的特征和管理者个人的偏好不同，领导方式可以分为自由放任式、民主式、结构化式和体贴式等。在一些任务比较特别，完成任务的过程中成员自主性较强，成员本身的责任感和专业能够保证其独立完成工作，管理者和员工之间具备充分的信任感的情况下，可以采用自由放任式的领导方式。在组织士气不振或分工不明确，环境复杂不利和目标难以达到的情况下，通过体贴员工，鼓励他们达到目标的方式就是体贴式。在组织专业能力较强，任务复杂多变，组织成员与管理者之间具有一定程度的信任感的情况下，民主化的领导方式有利于发挥专业人员的专业优势，同时也利于统一意见，鼓舞士气。在任务比较确定并且较为稳定的组织中，统称采用机构式的领导方式，按部就班地领导成员完成任务。在大多数情况下，领导者都会根据具体的情况采取多种领导方式的组合策略，但不管怎样，这些组合通常也带有明显的个人风格。（2）组织结构组织结构是指组织计划、协调和控制经营活动的整体框架。设置合理的组织结构，有助于建立良好的内部环境。一个公司的组织结构包含①确定组织的形式和性质，包括确认相关的管理职能和报告关系；②为每个内部机构划分责任权限的制定办法。组织结构常用组织结构图来表示，以准确反映授权方式和报告关系。具体应考虑：组织结构的合适性，及其提供管理机构所需信息的沟通能力；各主管人员所负责任的适当性；按照主管人员所担负的责任，判断其是否具备足够的知识及丰富的经验；当环境改变时，机构配合改变其组织结构的程度；员工，尤其是负责管理及监督职能的员工人数的充足程度。（3）董事会和审计委员会董事会是内部环境的重要组成部分，对其他内部环境要素有重要的影响。组织的管理者也是内部环境的一部分，其职责是建立企业风险管理理念（风险管理哲学、理念或态度）及冒险的“欲望”，确定组织的风险偏好，营造组织的风险文化，并将企业的风险管理和相关的初步行动结合起来。因为董事会和管理层对风险的态度将影响组织对业务活动的选择和为使风险被控制在可以接受的水平而采取的措施。比如，如果董事会和管理层对风险的态度是非常保守的，那么组织有可能只选择在一些风险非常低的领域里投资，当然收益也可能相对较低。组成这两个机构所要考虑的因素主要包括：成员的经验；相对于管理层的独立性；外部董事的比例；其成员参与管理的程度；所采取措施的适宜性；对管理层提出问题的深度和广度；它们与内部、外部审计人员的关系实质。这两个机构应当负责批准并定期审查整个经营战略和重大政策；理解经营的主要风险，确定这些风险的可接受水平，保证高层管理者采取必要步骤，识别、衡量、评审和控制风险；批准机构的结构；并确保高层管理者不断评审风险管理系统的有效性。（4）授权和分配责任的方法如果管理当局建立了授权和分配责任的方法，就会大大增强机构的控制意识。强调对于组织内的全部活动要合理有效地分配职责和权限，并为执行任务和承担职责的机构成员特别是关键岗位的人员，提供和配备所需的资源并确保他们的经验和知识与职责权限相匹配，要使所有员工知道：他们的工作行为、职责担负形式和认可方式与达成组织目标的联系。(5)管理控制方法管理控制方法是管理当局对其他人的授权使用情况直接控制和对整个公司的活动实行监督的方法的总称，包括经营计划、预算、预测、利润计划、责任会计等。具体执行时需要①计划；②比较（实际与预算、实际与计划）；③调查差异、采取纠正措施。组织规模越大，这些方法越重要。(6)内部审计内部审计是组织自我评估的一种活动，它通过协助管理当局监督其他控制政策和程序来促进好的内部环境的建立。内部审计与其权限、人员的资格以及可使用的资源密切相关。内部审计必须独立于被审计部门，并且直接向董事会或审计委员会报告。(7)人力资源政策及实务风险管理是由人来进行并受人的因素影响，风险管理中最重要的因素是人，如果员工具有足够的胜任能力和诚心度，将大大有助于风险管理目标的实现。保证组织所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践，是风险管理有效的关键因素之一。好的人事政策和实务，能确保执行组织政策和程序的人员具有正直品行和胜任能力，组织必须雇佣足够的人员并给予适当的培训和足够的资源，使其能完成所分配的任务。正直品行和胜任能力的人员在很大程度上取决于组织的有关雇佣政策、待遇、业绩考核以及晋升等政策和程序的合理程度。具体包括：有完善的招聘与选拔方针及操作性程序；对新员工进行组织文化和道德价值观的导向培训；对违反行为准则的任何事项，制定纪律约束与处罚措施；对业绩良好的员工，制定具有奖励和激励作用的报酬计划，并避免诱发不道德行为；根据阶段性的业绩评估结果，对员工予以晋升、指导以及奖罚。(8)诚信正直的原则和道德价值观无论是组织最高管理阶层还是其他成员都应当做到严格一致的诚信行为和道德标准；不盲目追求不切实际的目标，以免形成不必要的压力；对敏感职位之间的职务分工要准确明细，以避免造成偷窃资产或隐藏不良绩效的诱因；加强组织的内部审核制度；发挥董事会的职能，使其客观监督组织的高层管理阶层；提供道德方面的指导，使所有雇员在一般和特定环境下能够保持正确的判断；制作文字化的行为准则和政策声明，将其传达给全体雇员；将诱发人们不诚实、非法和不道德行为的动机降至最低。(9)外部影响外部机构的监管可能导致管理当局采用更多特定的风险管理政策和程序。(二)目标设定

1、目标设定的含义和重要性目标设定是企业在识别和分析实现目标的风险并采取行动来管理风险之前，采取恰当的程序去设定目标，确保所选定的目标支持和切合企业的发展使命，并且与企业的风险承受能力相一致。目标设定是企业风险评估的起点，是风险识别、风险分析和风险应对的前提。根据组织确定的任务或预期，管理者设定组织的战略目标，选择战略并确定其他与之相关的目标并在组织内层层分解和落实。管理者必须首先确定组织的目标，才能够确定对目标的实现有潜在影响的事项。而企业风险管理就是提供给组织管理者一个适当的过程，既能够帮助设定组织的目标，又能够将目标与组织的任务或预期联系在一起，并且保证设定的目标与组织的风险偏好相一致。风险管理要达到的目的称为风险管理目标，任何组织的控制目标，总是源于管理目标，总是和其管理目标相一致的，它是管理目标的具体化，风险管理为组织目标的实现服务。而任何组织的管理目标．又总是和管理思想及经营方针密切相关。管理思想和经营方针既受经济环境的影响，又受决策阶层的基本观念影响。确定风险管理目标既要了解经营管理的总体目标，又要了解各管理阶层的个别目标，即要把各种经营活动分解成一个或几个循环，循环包括处理一个特定交易或业务所需要的一切特定活动(诸如验证、分类、记录、报告、信息)。循环应与机构的组织和职责分工相一致，应与机构的总体目标相配合，以促成总体目标的实现。因此，风险管理的基本目标，都是保证组织完成自己的工作任务或达到目的的，它具有实用性。2、确定风险管理的目标需要关注企业的利益相关者企业的利益相关者就是和企业的发展、变化直接相关的那些组织和人员，他们会因企业的变化收益或者受害，企业目标（导向）的确定直接影响利益相关者的利益；反过来讲，企业利益相关者的诉求也会影响企业目标的确定以及企业风险管理目标的确定，因此要确定合理的企业目标就需要首先确定企业的利益相关者，根据利益相关者的诉求确定企业的目标。只有明确了风险管理的利益相关者，才能更好的明确风险管理的目的和方向，更好地为风险管理服务。需要注意的是，企业风险管理的利益相关者和公司治理的利益相关者不能直接划等号，但二者会互相影响。但考虑利益相关者的要求对企业目标的影响时，要分清并关注主要的利益相关者，而非面面俱到。3、企业的五类目标不同的目标对风险管理的制定、实施、要求各不相同，但不管怎样，风险管理都要实现如下五类目标：（1）促进企业实现发展战略目标促进企业实现发展战略是风险管理的最高目标，也是终极目标。战略与企业目标相关联并且支持其实现的基础，是管理者为实现企业价值最大化的根本目标而针对环境做出的一种反应和选择。（2）保证财务和运营信息的可靠性与完整性财务报告及相关信息的真实完整目标是指风险管理要合理保证企业提供了真实可靠的财务信息及其他信息。保证所有交易和事项以正确的金额，在恰当的会计期间及时记录于适当的账户，使会计报表的编制符合相关准则的相关要求。为确保财务报告及相关信息真实完整应做到：（1）应按照企业会计准则的有关会计制度如实地核算经济业务、编制财务报告，满足会计信息的一般质量要求。（2）应通过风险管理制度的设计，包括不相容职务分离控制制度、授权审批控制制度、日常信息核对制度、惩罚制度等，来防止提供虚假会计信息，抑制虚假交易的发生。为提供可靠的财务报告，必须保证具有可靠的会计记录。可靠的会计记录是指那些可以用来编制可靠财务报表的记录，包括某些月末或年末的调整记录(如调整分录)。如果其他各方面都能做到准确无误，会计记录就可以按照设计要求提供可靠信息。要求具有可靠会计记录的目的之一，是及时提供可靠的财务信息。管理部门需要可靠的财务信息以便在组织的经营活动中做出正确的经营决策；股东、贷款者和其他各方，需要可靠的财务信息以便进行正确的投资、贷款和其他决策。一般来说，审计人员直接关心提供给外部使用的财务报表可靠性的控制，而对内部管理报告可靠性的控制仅仅在审计人员认为其对它们审计工作产生影响时才予以关注。（3）保证运营的效率和效果（高效率、有成效（结果））提高经营的效率和效果是风险管理要达到的最直接也是最根本的目标。经济有效的利用资源，尽可能减少组织有限资源的耗费，实现理想的成本水平和效益水平。良好的风险管理可以从以下四个方面来提高企业的经营效率和效果：=1\*GB3①组织精简、权责划分明确，各部门之间、工作环节之间要密切配合，协调一致，充分发挥资源潜力，充分有效的使用资源，提高经营绩效。=2\*GB3②优化与整合风险管理业务流程，避免出现控制点的交叉和冗余，也要防止出现内控盲点，要设计最优的内控流程并严格执行，最大限度地提高执行效率。=3\*GB3③建立良好的信息和沟通体系，提高管理层的经济决策和反应的效率。=4\*GB3④建立有效的内部考核机制，提高工作的效率和效果。（4）组织的经营管理行为和决定遵守相关的法律、法规和合同（保证遵循政策、计划、程序、法律、法规和合同）经营管理合法合规目标是指风险管理要合理保证企业在国家法律和法规允许的范围内开展经营活动，严禁违法经营。经营管理合法合规是企业生存和发展的客观前提，是风险管理的基础性目标，是实现其他内控目标的保证。政策、计划和程序是由组织制定的，法律和法规来源于组织外部，内部审计人员要审查规章制度的遵循情况，评价政策、计划和程序的适当性。评价政策、计划和程序的适当性是核心所在，若政策、计划和程序本身已不适当，遵守政策、计划和程序毫无意义。（5）资产得到保护（保护资产的安全）资产安全目标主要是为了防止资产流失。保护资产的安全与完整是企业开展经营活动的物质前提。资产安全目标有两个层次：=1\*GB3①确保资产在使用价值上的完整性，主要是指防止货币资金和实物资产被挪用、转移、侵占、盗窃以及对无形资产控制权的旁落。=2\*GB3②确保资产在价值量上的完整性，主要是防止资产被低价出售，损害企业利益。保护资产通常理解为对现金、有价证券和存货等资产的保护，以防止出现舞弊性错误，如顾客通过盗窃或篡改记录、多拿佣金、红利或索取使用费等；也防止非故意性的错误，如偶然性少收货、多付购货款或财产损坏等。通常认为，保护资产不包括防止因鲁莽决策而造成的财产损失，例如赔本销售产品，在不妥当的地点开设仓库或是大作收效甚微的广告。为保护组织的资产安全所设计的风险管理的基本思想在于制衡，因为有了制衡，两个人同时犯同一错误的概率大大减少，从而加大了不法分子实施犯罪计划、进行贪污舞弊行为的难度，从而保护企业的资产被非法侵蚀或占用，保障企业正常经营活动的顺利开展。具体的保证资产安全的控制措施有安装防盗门锁、聘用保安、设置密码、修建地下室。贵重资产需要有多重保护措施。4、目标之间的关系风险管理的五个目标不是彼此孤立的，而是相互联系、共同构成了一个完整的风险管理目标体系。其中，战略目标是最高目标，是与企业使命相联系的终极目标；其他四个是建立在战略目标基础上的业务层次目标，其中经营目标是战略目标的细化、分解与落实，是战略目标的短期化与具体化，是风险管理的核心目标；资产目标是实现经营目标的物质前提；报告目标是经营目标的成果体现与反映；合规目标是实现经营目标的有效保证。5、目标的设定与风险偏好、风险承受度（1）目标设定是否科学、有效，取决于其是否符合企业的风险偏好和风险承受度。企业要经常对设定的目标进行审阅，以保证这些目标和企业的偏好、风险承受能力一致。（2）风险偏好风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。可以从定性和定量两个角度对风险偏好加以度量。风险偏好与企业的战略直接相关，在战略制定阶段，企业应进行风险管理，考虑将该战略的既定收益与企业的风险偏好结合起来，目的是帮助企业的管理者在不同的战略之间选择与企业风险偏好相一致的战略。（3）风险承受度风险承受度是指在企业目标实现的过程中对差异的可承受风险限度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可接受水平，也被称作风险承受能力。也就是说，风险承受度包括整体风险承受能力和业务层面的可接受风险水平。（4）企业应以风险组合的观点看待风险。对企业内每个单位而言，其风险可能落在该单位的风险承受范围内，但从企业整体来看，总风险可能超过企业总体的风险偏好范围，因此，应以企业总体的风险组合的观点看待风险。6、企业战略目标的设定和分解在设定企业风险管理目标的过程中，企业要根据自己的风险偏好和风险承受能力首先设定企业层面的目标，即战略目标，然后再设定业务层面目标。（1）战略目标需要考虑的因素和内容战略目标是企业使命和功能的具体化，一方面有关企业生存的各个部门都需要设定目标。尽管企业战略目标是多元化的，但各个企业需要设定目标的内容却是大致相同，通常战略目标的内容可从以下几个方面来考虑：不是每个企业在以上每个区域都要规定目标，并且战略目标也不仅局限于以上9个方面。（2）战略目标的分解战略目标不止一个，而是由若干目标项目组成的一个战略目标体系。战略目标可以进行纵向分解和横向分解，还可以运用平衡计分卡进行分解。=1\*GB3①纵向分解从纵向上看，企业战略目标可以分解成树形图。在企业使命基础上设定战略目标，但为了其实现，还必须将其分解成职能战略目标，也就是，总战略目标是企业的主体目标，职能型目标是保证性目标。=2\*GB3②横向分解企业的战略目标大致可以分为两类：第一类是用来满足企业生存和发展所需要的项目目标，这些目标项目又可以分解成业绩目标和能力目标。业绩目标主要包括收益性、成长性和安全性指标等三类定量目标；能力目标主要包括企业综合能力指标、研究开发能力指标、生产能力指标、人事组织能力指标和财务管理能力指标等一些定性和定量指标。第二类是用来满足与企业有利益关系的各个社会群体所要求的目标。这样的群体主要有顾客、企业职工、股东、所有社区及企业社会群体。=3\*GB3③平衡计分卡通过平衡计分卡，可以从4个维度明晰企业的战略目标重点，如财务维度方面，快速扩大销售规模，提高销售收入；客户维度方面，显著提高产品品牌，扩大市场占有率；内部业务流程维度方面，导入信息化平台管理，改善销售模式；学习与成长维度方面，加强骨干员工的培训，打造学习型团队等。（3）战略目标设定的原则战略目标设定的原则，通常使用SMART原则，它是以下五个英文单词首字母的缩写：S（Specific）代表具体，不能笼统；M（Measurable）代表可计量，可以量化并可被验证；A（Attainable）代表可行，可以达到；R（Relevant）代表相关性，实实在在，可以证明和观察；T（Time-based）代表时限，具有明确的截止期限。（4）战略目标设定的步骤a.明确企业发展目标b.制定实现目标的战略计划c.编制年度计划d.企业编制年度预算（5）战略目标设定的方法企业在设定战略目标时，有4个思考的维度：一是企业过去和现在已经达到的目标；二是所在行业的平均水平；三是所在行业最优水平或杠杆业绩；四是依据使命和愿景，企业应该达到的水平。在具体设定战略目标时，常用的方法有时间序列分析法、相关分析法、盈亏平衡分析法、决策矩阵法、决策树法、基准分析法、博弈论法、模型模拟法等分析方法。7、设定业务层面目标业务层面的目标受制于战略目标并制约或促进战略目标的实现。设定的业务目标应该具体并具有可衡量性，并且与重要业务流程密切相关。业务流程设定一般需要4个阶段，具体如下图：（三）事项识别（识别风险因素、风险识别）

1、风险、风险因素的定义风险是指某一对组织目标的实现可能造成负面影响的事项发生的可能性。风险因素可定义为对组织目标的实现产生负面影响的事情。因此，确定风险因素的先决条件是设定目标，组织的目标，通常是由组织的理念及其所追求的价值所决定的，而与之相配合的是组织下一级各部门的具体目标。组织在实现目标的过程中，由于受来自内部和外部各种不确定的因素的影响，使得组织的经营活动面临各种风险。不确定性的存在，使得组织的管理者需要对这些事项进行识别。而潜在事项对组织可能有正面的影响、负面的影响或者两者同时存在。对组织有正面影响的事项，或者是组织的机遇，或者是可以抵消风险对组织的负面影响的事项。机遇可以在组织战略或目标设定的过程中加以考虑，以确定有关行动抓住机遇。可能潜在地抵消风险的负面影响的事项则应在风险的评估和反应阶段予以考虑。有负面影响的事项是组织的风险，要求组织的管理者对其进行评估和反应。2、风险识别的含义风险识别是对企业面临的各种潜在事项进行确认。对于风险识别的概念，可以从以下几个方面理解：（1）风险识别是一项动态的、连续不断、系统性的重复过程（2）风险识别是一项复杂的系统工程（3）风险识别是整个风险评估过程中重要的程序之一。3、风险识别的内容风险识别主要内容包括两方面：一是感知风险事项，二是分析风险事项。感知风险事项和分析风险事项构成事项识别的基本内容，两者是相辅相成，互相联系。感知到风险事项的存在才能进一步有意识有目的的分析风险，进而掌握风险的存在及导致风险事项发生的原因和条件。4、识别风险因素风险评估中的要素包括关注对整体目标和业务活动目标的设定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。组织的风险一般是由外部因素和内部因素所产生的。内部风险因素包括：信息系统处理的中断；聘用员工的品质、培训方法及激励制度；经理人员的责任改变；组织活动的性质以及员工可接近资产的程度；信息系统处理的特点；董事会或监事会不够坚定或无效等。外部风险因素包括：科技发展；顾客的需求或预期改变；竞争；新的法律和行政命令；自然灾害；经济环境改变等。5、风险识别的过程（1）发现或者调查风险因素自然环境社会经济因素政治及法制因素营运环境（2）减少风险因素增加的条件发现或者调查风险源以后，应该寻求引发风险因素减少的条件。企业的风险因素应该包括但不限于以下内容：a.产品或服务的市场前景、行业经验环境的变化、商业周期或产品生命周期的影响、市场饱和等；b.经营模式发生变化，经营业绩不稳定，主产品或主要原材料价格波动，产品或服务过度集中或分散等；c.技术不成熟、技术尚未产业化、技术缺乏有效保护或保护期限短、缺乏核心技术或产品技术面临被淘汰等；d.投资项目在市场前景、技术保障、产业政策、环境保护、融资安排等方面存在的问题，因营业规模、营业范围扩大或者业务转型而导致的管理风险、业务转型风险。（3）预见危险或者风险事项识别的重要步骤就是能够预见危害，将产生危害的条件消灭在萌芽状态。（4）重视风险暴露这是事项识别的重要组成部分，可能面临损失的物体都有风险暴露的可能性，必须重视风险的暴漏。任何企业的任何部门都有可能暴露于风险事项的威胁之下。为了事项识别的方便，一般把风险暴露分为：实物资产风险暴露、金融资产风险暴露、客户资产风险暴露、雇员或供应商资产风险暴露和组织资产风险暴露。6、风险识别的方法（1）财务报表分析法财务报表分析法是通过资产负债表、损益表、现金流量表和其他附表等财务信息的分析来识别风险事项。财务报表分析法具体分为：趋势分析法、比率分析法、因素分析法、杜邦分析法。a.趋势分析法是根据一个企业连续数期的利润表和资产负债表的各个项目进行比较，以求出金额和百分比增减变动的方向和幅度，以揭示当期财务状况和经营状况增减变化的性质及其趋向。趋势分析法通常包括横向分析法和纵向分析法。b.比率分析法就是把财务报表的某些项目同其他项目进行比较，这些金额或者数据可以选自一张会计报表，亦可以选自两张会计报表。比率分析法可以分析财务报表所列项目与项目之间的相互关系，运用的比较广泛。主要有经营成果的比分析、权益状况的比率分析、流动资产状况的比率分析。c.因素分析法比率因素分解法，是指把一个财务比率分解为若干个影响因素的方法。差异因素分解法又分为定基替代法和连环替代法两种。d.杜邦分析法：（2）流程图分析法流程图分析法是将风险主体的全部生产经营过程，按其内在的逻辑联系绘成作业流程图，针对流程中的关键环节和薄弱环节调查和分析风险。流程图的分类:按照流程路线的复杂程度划分，可以分为简单流程图和复杂流程图按照流程的内容划分可以分为内部流程图和外部流程图按照流程图的表现形式划分，分为实物形态流程图和价值形态流程图（3）事件树分析法事件树分析法又称故障树法，其实质是利用逻辑思维的规律和形式，从宏观的角度去分析事故形成的过程。事件树分析法的特点：事件树分析是一个动态过程可以指出防止事故发生的途径能够找出消除事故的根本措施（4）现场调查法获知主体经营情况的最佳途径就是现场调查。现场调查一般有三个步骤：调查前的准备，包括确定调查时间和调查对象等现场调查和访问，认真填写表格形成调查报告与反馈（5）保单对照法保单对照法，是将保险公司现行出售的保单风险种类与风险分析调查表融合改成的，用于风险识别的问卷式表格，风险管理者可以根据这一表格与主体已有的保单加以对照分析，发现现存的风险事项。（6）其他方法经常性的检查关键文档面谈企业风险事项识别的方法很多，各有其优缺点和使用条件，没有绝对的使用所有事项识别的方法。主体不同，事项识别的方法也不同，试图用其中一种方法识别主体所面临的所有事项时不现实的。事项识别是一个连续不断的、系统的过程，事项识别方法既关注过去，也着眼未来，仅凭一两次有限的分析不能解决所有的问题，许多复杂的和潜在的事项要经过多次识别才能获得最佳效果。

（四）风险评价（RiskAppraisal）

1、含义在确定了组织的内外部环境和目标，识别了风险因素的前提下，可以对影响目标实现的风险因素逐项进行风险评价。风险主要来自于外部环境和内部条件的变化，风险因素识别包括对外部因素和内部因素进行检查；风险分析则是估计风险的重大程度、风险发生的可能性、如何控制风险等。风险分析是结合企业特定条件在风险识别的基础上，运用定量或定性方法进一步分析风险发生的可能性和对企业目标实现的影响程度，并对风险的状况进行综合评价，为制定风险管理策略与选择应对方案提供依据。风险评估就是分析和辨认实现既定目标可能发生的风险。风险分析是风险应对的基础，并为制定合理的风险应对策略提供依据，没有客观、充分、合理的风险分析，风险应对将是无的放矢、效率低下的。从风险管理的角度看，风险评价的实质应充分考虑对组织目标的实现可能造成不利影响的内外因素，真正认识到这些风险，然后可以在下一步根据风险的评价确认经营活动过程中的关键控制点，从而针对关键控制点进一步采取相应的有针对性的控制活动。管理者为了建立和完善风险管理，要评价风险；内部审计人员为了评价风险管理，也要连续评价风险；注册会计师为了制定财务审计的审计策略，也要依赖于评价风险管理的评价结果。2、风险分析的内容风险评估可以使管理者了解潜在事项如何影响组织目标的实现。风险评估中最基本的部分，就是如何辨认风险因素中已发生的改变，并采取必要的行动。这些改变因素包括：行业环境的改变、新员工、业务迅速成长、新科技、新业务、新产品、新作业、公司重组、国外业务等。管理者应从两个方面对风险进行评估——风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性，影响则是指对组织目标的实现产生影响的严重程度，即事项的发生将会带来的影响。（1）风险发生的可能性分析可能性分析是指假定企业不采取任何措施去影响经营管理过程，将会发生风险的概率。它通常是通过实际情况的收集和利用专业判断来完成。风险可能性分析的结果一般有“很少”、“不太可能”、“可能”、“很可能”和“几乎确定”五种情况。（2）风险产生的影响程度分析影响程度分析主要是指对目标现实的负面影响程度分析。按照影响的结果（通常是量化成数值），一般将风险划分为“不重要”、“次要”、“中等”、“主要”和“灾难性”五级。3、风险的测量风险评估可以采用定性或定量的方法进行。（1）定性方法。是指运用定性术语评估并描述风险发生的可能性及其影响程度。定性分析方法是目前风险分析中采用比较多的方法，它具有很强的主观性，往往需要凭借分析者的经验和直觉，或者世界的标准和惯例，对风险因素的大小或高低程度进行定性描述，譬如高、中、低三级。定性分析的操作方法多种多样，有问卷调查、集体讨论、专家资讯、人员访谈等。最常见的定性分析方法是风险评估图法。风险评估图法是把风险发生的可能性、风险发生后对目标的影响程度，作为两个维度绘制在同一个平面上（即绘制成直角坐标系）。（2）定量方法。=1\*GB3①含义定量分析法，是指运用数量方法评估并描述风险发生的可能性及其影响程度。就是对构成风险的各个要素和潜在损失的水平赋予数值或货币计量的金额，从而量化风险分析的结果。定量方法一般情况下会比定性方法提供更为客观的评估结果。在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法。在对相关事项做了个别分析以后，还要考虑同时发生某些风险的可能性。=2\*GB3②风险的定量分析和测量一般要考虑的两个关键因素（a）当前有多少潜在的损失？（b）损失实际发生的可能性有多大？风险是这两个因素的组合。风险的计算公式R=pr(E)R为风险pr为由于风险管理无效而导致损失的可能性(E)为暴露的金额以上两个指标中，(E)的确定显而易见，而pr则很难，对pr影响最大的是风险管理，良好的风险管理可以降低损失的可能性，从而降低了风险，不良的风险管理增加了损失的可能性，从而增加了风险，所以评价风险的高低就是评价风险管理的好坏，通过风险的测量实际上就确定了风险管理的薄弱环节、急需改造和完善的环节。=3\*GB3③比较常用的定量分析法有情景分析、敏感性分析、VaR、压力测试等.（a）情景分析法情景分析法是通过假设、预测、模拟等手段生成未来情景，并分析其对目标产生影响的一种分析方法。情景分析法对这些情况特别有用：提醒决策者注意某种措施或政策可能引起的风险或危机性的后果；建议需要进行监视的风险范围；研究某些关键性因素对未来过程的影响；提醒人们注意某种技术的发展会给人们带来哪些风险。(b)敏感性分析敏感性分析是通过分析，预测项目主要因素发生变化时对经济评价指标的影响，从中找出敏感因素，并确定其影响程度。虽然敏感性分析已得到广泛的应用，但也有其弱点。这种方法要求每一关键变量的变化是相互独立的。然而，管理层更感兴趣的是两个或两个以上关键变量的变化的综合影响。仅仅考虑独立的因素是不现实的，因为它们往往是相互影响的。(c)VaR值风险价值（VaR），是指在正常的市场条件和给定的置信水平（通常是95%或99%）下，在给定的特有期间内，某一投资组合预期所面临的潜在的最大损失金额。VaR把对预期的未来损失的大小和该损失发生的可能性结合起来，不仅让投资者知道发生损失的规模，而且知道其发生的可能性，是一种数量化市场风险的重要量度工具。(d)压力测试压力测试是指评估那些具有极端影响事件的情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法。压力测试一般被用作概率度量方法的补充，用来分析那些通过与概率技术一起使用的分布假设可能没有充分捕捉到的低可能性、高影响事件的结果。需要注意的是，定性分析与定量分析法在实际应用中并非互相排斥，而是相互补充，相辅相成。因此，实务中，两种方法的结合时很必要的，两者可以互补其不足，企业也可以根据自身的特征决定采用具体的结合形式。4、风险分析需要关注的事项（1）为了适应不断变化的环境，风险评价须不断的进行。辨识和分析风险的过程是一种持续及反复的过程，也是有效风险管理的关键组成要素，管理阶层须谨慎注意各部门的风险，并采取必要的管理措施。对风险的评估要多次进行。风险的最初评估是从有限的信息开始的，随着获取更多的信息，必须对风险进行重新评估和比较。对风险的最初评估和后来的评估保持一致是不可能的，就向对一个人的了解一样，掌握的信息越多，越接近事实和真相。没有信息和资料，风险评价无从谈起，所以，必须收集必要的信息和资料（证据），以支持自己的风险评价结论并据以做出决策。（2）管理层的风险评估与内部审计师、外部审计师等专业咨询机构的风险评估不同。管理层的风险评估是风险管理设计和运行的组成部分，是为了减少差错和舞弊；审计师要关注的是管理层风险评估的过程，评估风险会决定审计证据的收集。如果管理层能有效地评估风险并做出相应反应，审计师通常会收集较少的证据。通常，审计师通过确定管理层识别与财务报告有关的风险、评价它们的重要性、发生的可能性、针对风险需要采取的行动，以取得对管理层风险评估过程的了解。（五）风险应对（风险反应）

1、含义风险应对是指在风险分析的基础上，针对企业所存在的风险因素和风险评价的结果，运用现代科学技术知识和风险管理方面的理论与方法，提出各种风险解决方案，经过分析论证与评价从中选择最优方案并予以实施，来达到降低风险目的的过程。2、风险应对的具体策略风险反应指组织管理个别风险所选用的方式。主要类型：（1）容忍风险；（2）减少风险的影响和可能性；（3）风险转移；（4）终止产生风险的活动。风险管理是应对风险的一种方式。风险应对的措施一般可以分为规避风险、减少风险、共担风险和接受风险四类。风险规避风险转移完全放弃中途放弃改变条件保险转移财务型非保险转移控制型非保险转移风险降低风险承受损失预防损失抑制接受计划（1）终止产生风险的活动（也称为规避风险、风险规避），是指暂停或中止会引起风险的活动，就是采取措施退出会给组织带来风险的活动。在风险发生的可能性和影响很大，或者在风险管理困难等的情况下，应当选择规避风险。风险规避的方式分为完全放弃（拒绝承担任何风险，不从事可能产生风险的任何活动）、中途放弃（中止承担某种风险）和改变条件（改变生产活动的性质）。（2）减少风险（控制风险、降低风险）是指采取设计新的风险管理等应对策略，减少风险发生的可能性、减少风险的影响或两者同时减少。风险降低依目的的不同可以划分为损失预防和损失抑制两类。前者以降低损失概率为目的，后者以缩小损失程度为目的。（3）风险转移也就是共担风险（风险分担），是指通过转嫁风险或与他人共担风险，将风险的全部或一部分转移到组织外部，从而降低风险发生的可能性或降低风险对组织的影响。风险分担一般是一种事前的风险应对策略，即在风险发生前，通过各种交易活动，避免承担全部风险损失。通过风险分担方式应对风险，风险并没有减少，只是风险承担者发生了变化。风险分担的方式可以分为三种：财务型非保险转移、控制型非保险转移和保险转移。财务型非保险转移常用手段有：保证、再保证、证券化、股份化、签订套期交易合约等。控制型非保险转移常用的方法有外包、租赁、出售、回租等。（4）风险承受就是接受风险（风险的自留、接纳风险），是指不采取任何行动而接受可能发生的风险及其影响。由于种种原因（技术、经济、主观或客观等），管理层可能选择将风险自留，承担风险而不采取任何措施。在判断对风险进行事前应对多花费的费用超过其效果的情况，或者判断即使风险显性化后也可以应对的情况下，如果风险处于可以容许的水平以下，则认为组织可以接受该风险。风险承受时一种风险财务技术，企业明知可能有风险发生，但在权衡了其他风险应对策略之后，处于经济性和可行性的考虑将风险留下，若出现损失，则依靠企业自身的财力去弥补风险所带来的损失，风险承受的前提是自留风险可能导致的损失比转移风险所需代价小。风险的自留可能是有意识的、无意识的，积极的、消极的，主动的、被动的，有计划的、无计划的。风险承受对策包括计划性风险承受和非计划性风险承受两种。3、风险应对策略选择时应考虑的因素风险承受度成本和效益风险的特性可供选择的措施4、风险应对策略选择时应注意的问题一般情况下，对战略、财务、运营和法律风险，可采取风险承受、风险回避、风险分担等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采取风险分担、风险降低等方法。风险应对策略的选择还可以从企业范围内组合的角度去考虑。5、风险应对后的风险评价对于每一个重要的风险，组织都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使组织风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。

选定某一风险反应方案后，管理者应在残存风险（剩余风险）的基础上重新评估风险，即从组织总体的角度、或者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。在此要区分几个概念初步的风险评估（PreliminaryRiskAssessment）——在业务计划期间所开展的风险评估，旨在确立业务的范围和目标。

剩余风险（ResidualRisks）——指管理层采取措施（包括用于应对某项风险的控制活动）以减少负面事件的影响及可能性之后仍然存在的风险。不可接受的剩余风险（UnacceptableResidualRisk）——在控制活动没有充分设计、没有适当实施时，或是将风险减小到一个可以接受的水平无效时，就会存在这种风险。

（六）控制活动（ControlActivity）（政策和程序）

1、含义控制过程指政策、程序和控制活动等控制框架的组成部分，用以确保将风险控制在风险管理过程设定的风险容忍范围之内，以保证目标得以实现的政策和程序。控制活动是指结合具体业务和事项，运用相应的控制政策和程序，或称控制手段去实施控制。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于组织的各部分、各个层面和各个部门，通常包括两个要素：确定应该做什么的政策和影响该政策的一系列程序。组织管理阶层辨认风险，然后针对这种风险发出必要的指令。它包括一系列的政策及其相关实施程序，制定和实施控制活动是为了控制组织通过上述风险评估程序确认的风险，并确保管理层的决策和指令得以实施，如核准、授权、验证、调节、复核营业绩效，保障资产安全及职务分工等。只有当组织的管理层和全体员工将控制活动视为组织的日常运作中必不可少的组成部分时，风险管理才是最有效的。组织的管理层应明确：必须为每一项经营活动制定相应的政策和程序；现有的政策和程序必须得到充分实施；对于例外情况要及时采取补救措施；主管人员要定期评估控制活动的效果等。2、具体的控制措施控制活动在组织内的各个阶层和职能之间都会出现，这主要包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等。企业应通过采用手工控制与自动控制、防护性控制与发现性控制相结合的方法实施相应的控制措施。（1）实物控制。又称为资产和记录接近控制。这些控制活动包括实物安全控制、对计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。实物控制中要制定防止资产被窃的程序。要规定禁止无关人员接触的主要物品：现金、支票、发票、合同、账簿、报表、客户名录等。（2）职责分离。指将各种功能性职责分离，以防止单独作业的人员从事或隐藏不正常行为。人员的安排不能发生责任冲突，要识别和尽力缩小有潜在利益冲突的地方，并遵从谨慎、独立的监督评审。一般来说，下面的职责应被分开：业务授权（管理功能）与业务执行（保管职能）、业务执行与业务记录（会计职能）、业务记录与业务复核。理想状态的职责分离是没有一个职员负责超过一个以上的职能。（3）信息处理控制。信息处理是保证业务在信息系统中正确、完全和经授权处理的活动。对信息系统的控制活动可分为两类，第一类是一般控制（generalcontrol），通常与信息系统的设计和管理有关，它帮助管理阶层确保系统能持续、适当的运转，主要内容包括：对资料中心运作的控制；对系统软件的控制；存取安全的控制；对应用系统的发展及维护的控制。第二类是应用控制（applicationcontrol），与个别数据在信息系统中的处理的方式有关。它包括应用软件中的电算化步骤及相关的人工程序，主要内容包括：输入控制、输出控制、处理控制。（4）绩效评价控制。指将实际业绩与其他标准，如前期业绩、预算和外部基准尺度进行比较；将不同系列的数据相联系，如经营数据和财务数据，分析它们之间的关系，然后再进行调查与纠正。这些评价活动对实现组织经营的效果和效率非常有用。以存货为例，其绩效指标包括：购货价差、订单中“紧急订货”的比例、总订单中退货的比例。管理阶层需要调查超出计划的结果或者不正常的趋势，辨认采购作业的目标无法达成的原因。（七）信息与交流（InformationandCommunication）（信息与沟通）信息与沟通是指对必要的信息进行识别、把握以及处理，确保其在组织内部、外部以及关联方相互之间准确传递。对组织内所有人员履行各自职能的必要的信息，必须及时且合理地识别、把握、处理和传递。信息与沟通是企业及时、准确地收集、传递与风险管理相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。必要的信息不仅要进行传递，使其接受方正确理解信息，还要使该信息为组织内所有需要它的人员所共有，这是非常重要的。1、信息（1）含义信息是对人们有用的、能够影响人们行为的数据。信息是数据的含义，是人们对数据的理解，是数据加工后的结果。数据是信息的载体，没有数据便没有信息，因此，信息不能单独存在。要想获取信息就要先获得载荷信息的数据，再对其加工。在一个企业内，地位越高的管理者所需要的信息越需要加工和处理。信息具有以下特征：共享性、可传递性、可编码性（信息可以用标准符号来表示，以便于采集、存储、处理和传输）、具有价值（价值取决于效用和成本的关系，信息价值=信息效用-信息成本）。（2）信息的获取组织在经营过程中，必须识别、捕捉确切的信息，在适当的时间内以适当的方式确认、取得和沟通所有相关和恰当的信息，以使相关人员能够执行他们的职责，这对于有效的管理是至关重要的。信息应当是相关、及时和准确的，并且它可能与某些标准或目标、与内部或外部的运营活动、与具体的情况有关。简言之，可以得到的信息应该是那些有利于做出决策和相关报告的信息。在获取信息的同时，也要注意以某种方式来交流信息，以保证对它的关注和充分利用。来自于组织内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证组织的员工能够执行各自的职责。有效的沟通也是广义上的沟通，包括组织内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与组织外部相关方的有效沟通和交换，如客户、供应商、行政管理部门和股东等。（3）内部信息的传递信息的传递一般包括两个阶段：一个是信息的形成，一个是信息的传递和使用。内部信息传递流程是根据企业生产经营管理的特点来确定，其形式千差万别，没有一个最优的方案。信息在企业内部进行有目的、及时的、准确的、安全的传递，对贯彻企业发展战略、正确识别生产经营中的风险、及时纠正操作错误、提高决策质量具有重要的作用。内部信息传递的方式要遵循及时有效性、反馈性、预测性、真实准确性、安全保密性、成本效益性原则。2、信息的沟通和交流（1）沟通的含义、作用和分类a.沟通是把信息提供给适当的人员，以便他们能够履行与经营、财务报告和合规相关的职责。信息必须进行交流和沟通，失去交流，信息毫无价值。信息与沟通是为了使管理层和员工能执行其职责，企业各个部门及员工之间必须沟通和交流相关的信息。交流的信息既有外部的信息，也有内部的信息。沟通是技术性的，已经在管理工作中得到广泛的应用，但比技术更有意义的是企业组织内外部的有效交流。沟通是双向的，在传递信息后，信息传递者任务并没有结束，还应积极从信息接受者那里获取反馈信息，以促进信息获取质量的改进和信息传递程序的优化。通过沟通，企业员工能够明确他人的信息需求，并对自己的职责有更清晰的认识，从而有助于工作的顺利完成和效率的提高。b.信息的沟通和交流的分类按信息的流向和沟通的对象可以分为内部沟通和外部沟通。内部信息沟通是指企业经营、管理所需的内外部信息在企业内部的传递和分享，内部沟通又分为组织内部的纵向交流，也包括部门间横向交流。外部信息沟通是指企业与利益相关者之间的信息沟通。按照沟通的渠道分为正式沟通，也包括非正式沟通。正式沟通是指在企业正式结构、层次系统进行沟通；非正式沟通是指通过正式系统外的途径进行沟通。（2）信息与沟通的主要环节信息与沟通的主要环节有：确认、计量、记录有效的经济业务；在财务报告中恰当揭示财务状况、经营成果和现金流量；保证管理层与单位内部、外部的顺畅沟通。（3）沟通的目标和方式沟通的方式一般由政策手册、财务报告手册、备查薄以及口头交流和管理示例等。信息与沟通的方式是灵活多样的，但无论哪种方式，都应当保证信息的真实性、及时性和有用性。=1\*GB3①内部沟通的目标和方式内部沟通应做到：所有员工，特别是哪些负有重要营业责任或财务管理责任的员工，除得到用以管理其负责活动的重要资料外，还应得到来自最高管理层的清楚信息；每个人清楚的知道自己所担负的特定任务，它在控制系统中所扮演的角色及所承担的责任；员工在执行任务时，一旦有非预期的事故发生，除了要注意该事故本身外，还应当注意导致该事故发生的原因，这样才能辨认潜在缺失，采取合理的行动，并预防事故再度发生；员工必须知道它所负责的活动是怎样与它人的工作发生关联的；员工必须拥有在组织中向上沟通重要信息的方法。企业员工应当采取电子沟通、书面沟通、口头沟通等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时地传递和分享，确保董事会、管理层和企业员工之间有效沟通。=2\*GB3②外部沟通的目标和方式外部沟通应做到：顾客和供应商能经过开放的沟通管道输入重要的信息；与相关的外部团体沟通，用以获悉关于本风险管理功能的重要信息；外部审计人员对组织营业、相关业务问题及控制系统审计后，可以提供给管理阶层及董事会重要的控制信息；主要政府机关（如：银行和保险机关）所报道的复核或检查的结果，可以有效的弥补控制的缺失。a．与投资者和债权人的沟通投资者和债权人是企业资本的提供者，也是企业风险的主要承担者。因此，企业有必要向他们及时报告企业的战略规划、垒营方针、投融资计划、年度预算、经营成果、财务状况、利润分配方案以及重大担保、合并分立、资产重组等方面的信息。b.与客户的沟通客户是企业产品和服务的接受者或消费者，企业经营目标的实现依赖于客户的配合。企业可以通过客户座谈会、走访客户等多种形式，定期听取客户对消费偏好、销售政策、产品质量、售后服务、货款结算等方面的意见和建议，收集客户需求和客户的意见，妥善解决可能存在的控制不当问题。c．与供应商的沟通供应商处于供应链的上游，对企业的经营活动有很强的制约能力。企业可以通过供需见面会、订货会、业务洽谈会等多种形式与供应商就供货渠道、产品质量、技术性能、交易价格、信用政策、结算方式等问题进行沟通，及时发现可能存在的控制不当问题。d．与中介机构的沟通外部审计师对企业的财务报告进行审计工作，通过一系列完善的审计程序经常能够发现企业日常经营以及财务报告中存在的问题。企业应当定期与外部审计师进行会晤，听取外部审计师有关财务报表审计、风险管理等方面的建议，以保证风险管理的有效运行以及双方工作的协调。企业在组织经济活动时，不可避免地要与其他企业发生经济纠纷，因此需要聘请律师帮助处理纠纷，以保障企业的利益。e.．与监管机构的沟通监管机构对企业的经营方针和战略有重要的影响，企业应当及时向监管机构了解监管政策和监管要求及其变化，并相应完善自身的管理制度。同时，认真了解自身存在的问题，积极反映诉求和建议，努力加强与监管机构的协调。3、信息系统（）信息系统含义信息系统是指企业利用计算机和通信技术，对风险管理进行集成、转化和提升所形成的信息化管理平台。组织的高级管理层必须建立起有效的信息系统，确保信息的交流和沟通，以确保有关人员掌握必要的信息并进行有效的沟通。信息系统的实施触发了企业管理模式、生产方式、交易方式、作业流程的变革，企业原有的风险管理越来越不适应企业的业务发展和管理的提升，为管理工作的重心从经营成果的反映向经营过程的控制转移创造了技术条件。（2）信息系统处理的信息内容信息系统不仅处理组织内部所产生的财务信息、运作信息、合规性信息等信息，同时也处理组织外部的影响决策的事项、活动及环境等外部信息，因为这些信息对风险管理体系的有效运行是必不可少的。内部信息包括采购资料、销售资料、内部营业活动资料和内部生产过程资料；外部信息资料包括显示本组织产品的需求发生改变时，某种特定市场或行业的经济资料，用于组织生产的商品的资料，显示顾客偏好的市场情报，竞争对手产品开发活动的信息，立法机关与行政机关所发布的信息。（3）信息系统的主要职能信息系统的主要职能是向管理层提供有关组织目标履行情况的报告；向各级管理者及时提供具体的信息，使其有效的履行其职责。组织的信息系统提供有效信息给适当的人员，通过交流和沟通，组织所有员工必须能够知悉其营业、财务报告及遵循法律的责任，而且必须有向上级部门沟通重要信息的方法，并实现对外界顾客、供应商、政府主管机关和股东等有效的沟通。（4）良好的信息系统的特征组织建立良好的信息系统，必须做到：建立良好的信息系统支持策略；信息系统与组织营运有效结合；有良好的信息品质。信息系统提供信息时，应该做到：向不同层次的管理者提供详尽程度不同的信息，帮助它们及时采取相应措施；信息要经过适当分析归纳，以保证信息的相关性，同时包含必要的细节，而不仅仅是信息的海洋；信息的提供要及时、准确，使外部和内部活动都能得到有效监督，并能对内外变化做出快速反映。（5）信息系统的生命周期（6）信息系统的开发方式=1\*GB3①自行开发自行开发是企业依托自身力量完成整个开发过程。优点：开发人员熟悉企业情况；培养锻炼自己的开发队伍。缺点：开发周期较长；技术水平和规范程度较难保证；成功率相对较低。适用条件：企业自身技术力量雄厚，而且市场上没有能够满足企业需求的成熟的商品化软件和解决方案。=2\*GB3②外购调试外购调式的基本做法是企业购买成熟的商品化软件，通过参数配置和二次开发满足企业需求。优点：开发建设周期短；成功率较高；成熟的商品化软件质量稳定，可靠性高；专业的软件提供商实施经验丰富。缺点：系统的后期升级进度受制于商品化软件供应商产品更新换代的速度，企业自主权不强，较为被动。适用条件：企业的特殊需求较少，市场上已有成熟的商品化软件和系统实施方案。=3\*GB3③业务外包信息系统的业务外包是指委托其他单位开发信息系统。优点：充分利用专业公司的专业优势；节约了人力资源成本。缺点：沟通成本高；要求企业必须加大对外包项目的监督力度。适用条件：市场上没有能够满足企业需求的成熟的商品化软件和解决方案，企业自身技术力量薄弱或出于成本效益原则考虑不愿意维持庞大的开发队伍。（八）监督（Monitoring）（监控、评价和反馈）1、含义和内容监督，是指对风险管理有效地发挥功能进行连续评价的程序，是经营管理部门对风险管理的管理监督和内部审计监察部门对风险管理的再监督与再评价活动的总称。内部监督是企业对风险管理建立与实施情况监督检查，评价风险管理的有效性，对于发现的风险管理缺陷，及时加以改进。对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。通过监控，对风险管理进行经常性的监督、评价和纠正，它是实施风险管理的重要保证，是对风险管理的控制。有效控制系统的最后一个组成部分是监控。组织不仅仅为各类活动和组织各部门制定正确的政策和程序，还必须确保各方面都能遵循这些政策和程序，为此，组织必须对风险管理各要素的运行情况进行有效的监督，并对现有政策及程序是否健全做出判断，所以，风险管理系统需要被监督。2、监督的意义内部监督作为风险管理的基本要素之一，对于风险管理的有效运行，以及风险管理的不断完善起着重要的作用。首先，内部监督以内部环境为基础，并与内部环境有极强的互动关系。其次，内部监督与风险评估、控制活动形成了三位一体的闭环控制系统。最后，内部监督离不开信息与沟通的支持。所有监督活动，都需要良好的信息与沟通机制予以保障。3、内部监督的基本要求（1）监督人员应具有胜任能力和独立性（2）关注关键控制企业应根据风险评估，识别风险管理中的关键控制，收集判断风险管理有效性的相关有力证据，确定需采取的监督程序，以及需执行的效率。关键控制应考虑一下因素：复杂程度高的控制；需要高度判断力的控制；已知的控制失效；相关人员缺少实施某一控制所需的资质或经验；管理层凌驾于某一控制活动之上；某一控制失效是重大的，且无法被及时地识别并整改。识别并实施关键控制所需的信息必须是相关性的、可靠的、及时的和充分的。监督应拓展到风险管理系统的各个要素中去。4、监督体系和方式组织内部可以通过两种方式对风险管理进行监控——内含于业务活动所进行的持续的日常监控和基于独立于业务活动的视角实施的独立评价（个别评估、专项评估）。持续监控和个别评估都是用来保证企业的风险管理在组织内各管理层面和各部门持续得到执行。除此以外还有来自机构外部的监督。监督体系组成持续的日常监督专项监督外部监督1管理高层监督董事会监督外部监管机构的监督2会计监督审计委员会监督外部法律法规监督（司法监督）3人事监督监事会监督外部利益相关方的监督4员工的自我监督纪委监督外部媒体监督5监察监督外部审计监督6风险管理委员会监督7内部审计监督（1）持续监督活动持续监督活动，是指实施内含于日常业务活动中的一系列的手续，连续对风险管理的有效性进行审核、评价。日常监督是指企业对建立与实施风险管理的情况进行常规、持续的监督检查。执行业务活动中实施的风险管理自我检查、自我评价也包括在持续监督活动之中。持续的监督活动在营运过程中发生，它包括例行的日常管理和监督活动，以及其他员工为履行其职务所采取的行动，在这一过程中，每一位相关人员都承担各自的控制职责。持续监督活动包括：负责营运的管理阶层（operatingmanagement）在履行其日常的管理活动时，取得风险管理系统持续发挥功能的资料，当营运报告、财务报告与它们所得到的资料有较大偏离时，可对报告提出质疑；内外信息印证；获得风险管理执行的证据；管理层对风险管理执行的监督；来自外界团体的沟通，可以验证内部信息的正确性，并能及时反映问题所在；适当的组织结构及监督活动，可用来辨识缺失；各个职务的分离，使不同员工之间可以彼此相互检查，防止舞弊；数据记录与实物资产的核对，把信息系统所记录的资料同实际资产核对；内外部稽核人员定期提出强化风险管理系统的建议；培训课程、规划会议和其他会议，把控制是否有效的重要信息反馈给管理阶层；定期要求员工陈述它们是否了解组织的行为准则，对于负责业务和财务的员工，则要求它们陈述某些特定控制是否都予以执行，管理阶层或内部稽核人员还必须验证这些陈述是否确实。a.管理层监督经理层应采取种种措施充分利用内部信息与沟通机制，获取适当的、足够的相关信息来验证风险管理是否有效设计和运行，并对日常经营管理活动进行持续监督。主要措施：经理层召开经理办公会、生产例会等会议；听取员工的合理化建议。b.会计监督企业内部会计机构的监督就是一种日常监督，是指会计机构和会计人员凭借经授权的特殊地位和职权，依照特定主体制定的合法制度，对特定主体经济活动过程及其资金运动进行综合、全面、连续、及时的监督，以确保各项经济活动的合规性、合理性，保障会计信息的相关性、可靠性和可比性，从而达到提高特定主体工作效益的目的。c.内控机构的自我监督有条件的企业，应当设置专门的风险管理机构。风险管理机构应采取种种措施，根据风险评估结果，对企业认定的重大风险的管控情况及成效开展持续性的监督。主要措施：结合内外部审计力量及其意见，对企业认定的重大风险的管控情况及成效开展持续性的监督。通过控制自我评估的方法，召集有关管理层和员工就企业内控制度设计和执行中存在的特定问题进行面谈和讨论，同时可以通过开展问卷调查和管理结果分析等方式进行监督测试。（2）专项评估（个别评估、独立评价）=1\*GB3①专项评估的含义为从其他的视角对是否存在日常监控中不能发现的问题而定期或临时进行的评价，属于独立的专项评价。专项评估主要针对