现代企业风险管理方法论 - 全面风险管理

全面风险管理框架卓继民/中国财经出版社/《现代企业风险管理审计》/风险导向审计网/第二部分:现代企业风险管理方法论---全面风险管理EnterpriseRiskManagement---AnIntegratedApproach经营企业必然要面对许许多多的风险，纵然风险各异,但这些风险是有许多共性。概括起来,可以把风险定义为那些影响企业实现其战略目标的不确定性，这一概念包含了以下三层意义：风险总是源于企业的战略。企业的使命是实现其战略目标，而风险正是企业实现战略目标的障碍，因此，企业的战略目标不同，所面临的一系列风险也可能不一样；风险并不代表一个单一的估计结果（即：最有可能的结果）。相反风险代表一系列可能发生的结果。正是由于风险的可能结果不是单一的，而是一系列的，因此该系列的结果正是在理解和评估风险时可能所产生的众多不确定性;风险意味着机会与威胁并存。许多人对风险的理解仅仅是关注于其可能产生的不良和消极影响，虽然风险确实代表了威胁，然而错过难得的商业机会从而丧失竞争优势同样是一种风险。由于风险具有以上的特点，因此在经营企业中离不开对风险的管理，甚至从某种意义上理解经营企业的核心就在于经营风险、管理风险。当今的商业社会变化是多样的，其变化速度亦是令人难以估计的。随着人类进入知识经济时代，信息技术的高度发达及在商业领域的广泛和深入应用，以及金融创新的不断出现，企业的经营模式也不断变化，所有这些变化在意味着巨大财富机会的同时，也形成多种新的商业风险。在国内，随着经济体制改革的深入，众多国有企业现代体制的逐步建立，国有资产产权改革的力度加大，民营企业的日益兴起以及WTO规则对本土企业的影响日益体现，所有这一切经济领域的变化，再加上法律制度和商业运作规则的不断完善，都使本土企业的经营环境同以往相比有着不可估算的改变，这些外围环境的变化更是促使国内企业面临的经营风险变幻莫测，于是出现了诸如企业做大容易但做久却很困难，战略目标远景规划设计容易，但实践现起来却是困难重重，ERP流程重担耗资巨大但收效都不很明显等等企业管理的新问题。这些新问题是企业实现其战略目标的眼前障碍，因此，必须实现良好的风险管理以将其对企业的不良影响降到最低的可接受水平。最近中国公司所发生的“创维管理层财务舞弊案件”,“长虹巨额应收款难以收回事件”及“中航油破产丑闻”更说明中国企业在加强风险管理方面的重要性和紧迫性。传统的风险管理理论和方法已经无法适应现代经营风险的管理需求，于是产生了新型的企业风险管理理论和方法------全面风险管理(EnterpriseRiskManagement------anintegratedapproach)。全面风险管理从上个世纪九十年代后期在纵多跨国公司中广泛得以运用，一些国际咨询公司和国际会计公司也开始运用这一概念并将其同咨询或审计业务相结合（主要是当时的安达信会计公司,其在上世纪九十年代中期所开发并从一九九七年在全球推广应用的风险导向审计模型,就是以全面风险管理理念为依据的）。于二零零四年九月美国国家财务报告舞弊委员会(NationalCommissionOnFraudulentFinancialReporting,i.eTreadwayCommission)所发起的内部控制研究发起组织(CommitteeofSponsoringOrganization,COSO)发布了《企业风险管理框架》(EnterpriseRiskManagement–integratedframework)。该风险管理框架COSO是委托美国普华永道会计公司组织编写的,基本上是对在全球跨国公司运用多年的全面风险管理实践，在原安达信公司联同英国经济学人集团于一九九五年之后，业界第二次比较系统地对全面风险管理理论和实践作出总结。与传统风险管理相比较现代企业风险管理方法(全面风险管理)有以下特点：传统风险管理方法现代风险管理方法(全面风险管理)风险评估被视为是后勤支持性行为，只有管理层认为必要时候才采取该行为风险评估是企业进行的一个持续的行为只有会计、财务和内审部门才关注风险和风险控制组织机构中的任何人都关注企业风险的识别和管理松散性——各职能和部门各自独立行事风险评估和控制开始关注企业的流程，而流程往往是跨部门、跨职能的，并在高层的监督下相互配合风险管理只关注财务风险和财务结果风险管理首先制定控制程序以确保企业避免接受不能承受的经营风险，而之后对其他经营风险采取紧密控制以将其降低至可接受水平并无经营风险管理政策制定明确的风险管理控制政策，并经由管理层和重事会批准之后，广泛传播并可以让员工清晰理解对经营风险先是检查和预防，然后采取应对措施在经营风险的源头就估计和预防其发生，并持续不断地采取监督性控制产生经营风险的主要原因是人的因素产生经营风险的主要原因是经营活动流程失败现代企业风险管理方法论主要由以下三大部分组成：制定通用的风险模型(BossinessRiskmodel)—通用风险语言和定义；制定有效的组织层面控制架构(OrganizationalControl)；制定业务流程控制（ProcessControl）以下我们将分别对这三大组成部分进行说明。通用的风险语言和定义为使企业在整个企业不同职能部门，不同层次全方位的运作有效，管理层必须制定有一套通用的风险语言的定义，这样才有助于企业所有风险管理者的相互了解和沟通。因为信息的有效沟通往往是风险管理成效大小的关键，而缺乏通用的沟通语言则无法对商业风险进行有效理解。一个有效的风险管理离不开企业组织内部不同职能、不同部门之间、上下之间的信息相互沟通。我们称这种沟通为四维沟通模式（Four-WayCommunication）。一个比较典型且有效的方法是将风险归纳为三大类：环境风险（EnvironmentRisk）指由外部因素引起的可能导致公司产生重大损失或使公司战略目标难以实现的风险，如资本的可获得性，竞争对方的行动及监管条例的变化等等；流程实施风险（ProcessRisk）是指因所设计的流程/业务活动无法实现其所设定的目标而产生的风险，其原因可能是：流程并没有同公司的战略目标有效地结合起来；流程在向客户提供服务方面失败；流程并未有效运作从而无法保护重大财务资产、有形资产的安全；流程设计不健康；信息技术风险导致流程动作失败；决策所使用信息风险（InformationForDecision-MakingRisk”）指由于决策所使用的信息不完整、过时、不精确或缺乏相关性，从而导致决策失误的风险。上述三大类风险各自包含有不同的具体风险，在整个风险模型中共定义了出了七十二种常见的风险。我们将在本书数下一部分对这七十二种风险进行详细阐述。制定有效的组织层面控制架构为确保整个风险管理体系可以在企业内部有效的动作，公司必须适应一套有效的一体化的组织的架构，这一架构属于组织层面的控制包括战略层面控制（StrategicControl）和管理层面层控制（ManagementControl）二部分。当今的组织结构已经由传统的以垂直管理为主发展成为新型多样的组织形式，如通用电气公司的无边界组织结构（BoundlessOrganizations）以及目前是已经被国内大型企业所开始采用的“平行管理组织结构”HorizontalStructures)。这些新型的组织架构表现为较为宽松、非集权的、倾向平行而非垂直管理的，更倾向于以信息流程而非以上下级领导为导向的这些特点。这种向新型组织架构的转变，使每一管理团队在进行风险管理的同时确保整个组织架构的有效运行以及每一个商业流程的成功运作。任何一个业务流程的失效都有可能增大整个组织架构运行失败的风险。而战略层面与管理层面控制正是形成了该新型组织架构中所运用的风险管理方法、手段、流程及评价。战略层面控制(StrategicControl）战略层面控制由六个主要流程构成，用以持续地评估外部环境因素变化成对企业运作的影响、制定企业风险管理战略并将企业组织架构同这些战略相联系。在多变且充满竞争的环境里，有效的战略风险控制流程确实是必不可少的。该六大主要流程由下图所列亦并具体分别阐述如下：

战略层面控制六大要素图形3．制定企业风险管理战略确定可接受风险水平制定企业风险管理政策4．获取并分配相关资源业务分布管理评价、比较、选择不同的投资方案；进行事后审计6．持续改进战略风险评估及控制流程2．评估外部环境风险对企业战略的影响确定风险来源并评估风险大小；确定不可控风险评价战略假设1．评估/监控外部环境获取相关外部环境风险信息对业绩进行标杠分析进行不同方案分析5．监控组织/业务单元的业绩制定组织业绩目标将组织与流程业绩目标与公司战略相联系1．评估/监控外部环境外部环境风险在以下二种情况下有可能发生：企业对外部环境的假设同实际情况不一致，比如实际情况已经发生变化或有可能企业的初始假设就不成立；企业缺乏一个有效、持续的流程以获取外部环境的相关信息。为降低该风险,管理层需要建立一套机制/流程用以系统地监控外部环境变化，包括来自竞争对手、市场、监管及其他任何在企业自身组织之外的因素。正因为企业今天的成功并不是明天胜利的保证，所以环境的变化对企业的影响是至关重大的，企业因此必须有能力确保其商业模式所依赖的假设及管理层对公司战略正确性的理解是环境的变化相一致的。常见的监控方法包括进行行业分析、竞争对手分析，市场分析、标杠分析、不同可能出现方案分析等等。2．评估外部环境对企业战略的影响任何企业都需要进行有效的风险评估并确认风险的源头，这一评估过程涉及企业组织架构（即控股公司及业务单元层面）以及业务流程二个层面。关于业务流程层面的评估，我们将在后文再作阐述，这里首先了解组织层面的评估。在组织层面，风险评估是战略性的，因此主要侧重于对环境风险的评估。如若环境的变化影响到企业商业模式所依赖的假设，则企业必须对其战略目标进行重新考虑。为达到这目的，企业需要一个机制/流程用以确保组织内部每个人对环境变化的认识转化为公司行动中，而制定一套通用的风险定义就是该流程的一个重要组成部分。在这一评估过程中，管理层应确保每个具体风险责任人可以：（1）主体环境及流程风险对其责任范围内业绩的影响；（2）将环境相关的风险信息与更高一层管理层进行沟通；（3）设计出一套有效的风险管理程序并付出实施以将风险降至可控水平.当然评估外部环境风险所使用的信息可能来自于公司内部或外部，决策者不仅要评价这些信息本身，更重要的是评估其对公司风险的影响，从而采取妥当行动，如对已接受或拒绝风险进行重新评价，对设计不可接受风险的业务行为采取暂停性措施以及对现行风险管理流程进行重新审定并予以改进等。总之，环境的重大改变需要企业重新评估其战略目标。3．制定企业风险管理战略企业的经营需要有一个能确保管理层进行合理决策的框架，该框架必须能引导企业管理层识别重大的经营风险，分析出风险的根源，了解所识别风险同企业资本所面临风险之间的关系，并可以决定是否接受或拒绝该风险及评估这些风险管理决策对企业整体公司政策的影响。一个有效的企业风险管理政策应明确风险管理目标和公司经营哲学。其应该涉及下列重点：评估和控制经营风险的具体目标；是否接受还是拒绝风险的分析框架；哪些部门负责实施这些政策；不同经营风险的管理策略，如设立权限用以明确管理层对风险的可容忍度；风险管理授权部门，即哪些部门或人员经授权并配备公司资源（尤其是面对高风险商业行为时）从而执行具体的风险管理策略；公司组织结构中每一经理岗位的职能及责任；业绩考核指标及重大风险汇报机制，包括跨职能部门的汇报，从而使风险管理真正地是在整企业组织中予以全面执行；在这一风险管理政策中，首先注重的是风险的内容，而不是如何操作，每一责任经理应该自己制定出的管理步骤来执行这些同公司确定的风险管理战略相一致的政策。风险政策一般经由董事会批准并在由向首席执行官直接负责的管理高层直接指导下运作执行。一般可以建立一个称为风险管理监督委员会的机构，用以协助管理高层确保风险管理政策在公司的不同职能、流程和部门中得以一致地执行。一个比较常用的作法是要求每一责任单元对风险进行自我评估(SelfAssessments)。例如：某流程负责人应该通过对风险自我评估中所提相关问题予以关注，进一步评估本流程的业绩表现、风险及风险控制手段。当然，风险自我评估中必须要确保流程责任人能识别风险及分析风险根源，从而可以采用最佳实践和控制程序来防范重大风险。风险自我评估可以采取多种方式进行。例如业绩指标的设立、会议、调整及访谈等等都是有助的自我评估方式。有些流程其涉及的经理及所关注到的员工可能是来自不同职能部门的，那么通过培训机制则可以提高风险评估的效果，同时亦可减少所花需的成本。4．获取并分配相关资源企业的成功离不开对稀缺的资源进行有效的分配，即将资源分配至那些可以生成合理回报同时可对所承担风险进行有效管理的投资项目中去。因此，需要建立一套资源分配机制以确保资源的有效分配。此种机制可以包括：制定一套一致的项目风险测评、比较和选择方法；建立一套监督、评价资源分配结果的系统，又称，事后需核（Post-Audit）;制定业绩评估指标，为资源分配决策提供信息，如经济增加值(EVA、EconomicValue-Added)、可控制盈利水平、投资现金回报（CFROI、Cash-FlowReturnOnInvestment）及同行业比较的所投入资本;而在这机制中，以下二点关键性风险应该予以考虑：投资评估风险，即企业可能缺少足够的财务信息做出长期和短期的投资决策，并将其所接受的风险同所投入资本面临的风险相联系；资源分配风险，即企业做出的资源分配可能无法建立并维持一个比较竞争优势或无法使股东财富最大化。5．监督组织/业务单元的业绩企业需要确保其业绩能达到以下两点要求：业绩考核的充分平衡。组织业绩考核应通过一系列平衡的指标来进行(平衡计分卡)，不能以牺牲长期业绩来获取短期盈利。需要同公司战略保持一致。如若企业真正地注重其全面质量水平，则有可能不会向人为单纯达到生产预算而不顾产品质量的生产部门提供任何奖励。总之，要确保企业的内部和外部行为对顾客而言是价值的，然后据此采用平衡计分的方法进行业绩考核。有效的战略层面控制一般会以下列方式对业绩评价风险进行管理：在组织层面采用与企业战略相挂钩的业绩指标进行评价。例如：联邦快递公司将公司战略同业务流程相挂钩而进行业绩考核。由于公司的战略可能会随外部环境的改变而作调整，因此，需要将这一公司战略在每一业务流程及人员的层面以质量、成本及业绩考核时间的具体形式体现出来。如若不将公司的业绩同业战略目标和组织相联系，这本身就是一个重大风险。因此，如若不将二者相联系，管理层永远无法认识到公司的战略是否有效得以实施。制定高标准的考核指标是很关键的，如若这些指导不是具有竞争性，则公司的经营风险势必会增大。6．持续改进战略风险评估及控制流程正如其他商业流程，战略层面的风险管理流程亦是需要持续改进的。管理层将会持续地提出下列问题：在决策过策中什么信息是最有用的？过去发生了哪些错误？哪些事项的发生管理层并未预见到？在过去制定战略风险管理并未使用到的哪些外部环境信息在将来可能会更有帮助？如若获取了该等信息、结果有什么不同，这意味着公司现行信息获取流程出了什么问题？公司如何改进目前战略风险控制机制？管理层面控制（ManagementControl）管理层面控制驱使了风险评估及控制程序在整个组织中得以运作，因为管理层在日常所采用的管理方法，流程和业绩评价对员工行为的影响是极其重大的。管理层面控制可由六大部分组成，其公司的内在关系可由下图列示:管理层面控制6.驱使风险评估及控制在整个组织内部全面运作1.沟通组织目标1.沟通组织目标2.设定权限3.选择/发展最佳人选4.明确责任5.信息的四维沟通及信息共享正如上图所示，首先管理层必须通过阐述公司的目的，共同价值理念及目标等信息以展示其领导才能并获取信任。这离不开权限的明确设置。接着应选出最佳人选，并使他们对经营结果负责。而整个过程是离不开信息的四维沟通和共系。于是实施有效风险管理机制（包括政策、通用风险语言/定义，标准等）就得以建立起来。沟通组织目标（我们想达到什么？）一个可持久成功的企业往往都有自己的明确理念、总体目标、具体目标及共同价值观，正是这些才可以激励其员工从而凝聚人的力量。缺乏具有领导能力管理层的企业往往无法引起其顾客的关注，组织机构内往往表现出缺乏激情、相互信任不足及信用低下等不良现象。企业价值理念如若不明确地得以沟通并真正地诸实施，企业则往往无法针对快变的外围环境做出反应，也就无法保持永久竞争优势。权限清晰设置是至关重要的，员工们在知道自己的目标时必须同时清楚地认识到什么不能做。选择/发展最佳人选公司高管层首选需要具备某一具体职能的知识和专业能力。因此公司需建立一个有效的人力部门以确保所选人员达到这些要求，同时人员的发展（员工培训）亦是一个重要的持续过程。明确责任公司需要确保其组织结构中每一层次的员工都有明确的责任，这些责任将其业绩表现期望值同奖励机制相联系，并及时进行评价。信息四维沟通及共享公司业绩、风险及风险控制措施等信息需在公司组织内部从上至下并从下至上地得以全面沟通。全面实施有效的风险评估及控制程序要做到这一点，公司通常需要：有一明确政策以确保每一经理层及员工参与风险评估及控制过程；有一套通用的风险语言/定义；领先的风险控制实践；成本效益原则的考虑；管理高层的领导能力及参考力度；业务流程控制（ProcessControl）战略层面控制及管理层面控制建立以后，就可以考虑业务流程的控制。许多公司是按职能的不同来建立组织架构的，企业产品及服务的开发与提供需要众多职能部门的共同努力，包括市场、工程、销售制造及财务等等。这些不同职能部门的共同活动就构成了业务流程。业务流程是跨职能部门的，因此是企业成功的关键。由于流程是建立在业务活动而不是上下级汇报关系这一基础上的，因此流程是比垂直管理架构更富有弹性，也更容易予以变更的。跨职能部门的有效沟通与协作往往是企业风险评估与控制的关键。公司应确保每一业务流程皆有最佳人选，同时管理层应确保流程负责人皆有明确的流程目标，同时建立业绩评价体系。下述图形列出在流程控制环节的主要关键性活动：

监督流程运行组监督流程运行织层面控制业务层面控制业务层面控制风险评估风险评估流程目标明确了风险的评估,索源,衡量过程为风险评估的关键点业务风险风险控制/实施提供基础有变化吗?战略层面控制我们风险控制如何确立流程目标运作?确立流程目标流程目标达到了吗?流程运作如何?设计/实施/改进风险控制设计/实施/改进风险控制业绩指标识别出流程风险控制确保了业务业绩评价不足之处及加深了风险评估目标得以实现同时风险予以控制业绩评价管理层面控制

下面我们对这些主要活动予以进一步分析：确立流程目标在设计业绩评价指标、评估企业风险及设计风险控制这些过程中，都需要考虑所有流程的目标。这些目标包括运作的效率、效果、流程信息可靠性和相关性及合规性。与企业战略相符的流程目标将会更符合风险控制的成本与效益原则，而流程风险控制则为流程目标的实现提供合理保障。这些流程的目标可举例如下（并非所有目标都适应于每一个流程）：

确立流程目标业务流程的安全性实务及财务资产保全信息/数据保护组织层组织层面控制效率及效果为决策提供信息客户满意度相关性质量的提升及时性战略战略层面控制及时性可靠性恰当授权完整精确确实管理管理层面控制合规性监控外围法律评估环境变化的影响及监管环境合规性监控

风险评估风险的识别、溯源及分析影响流程目标威胁的根源等等行为皆有助于对风险控制的评价和设计。风险评估的目的就是寻找针对风险可采取的是避免（avoiding）、转移(transferring)还是降低（reducing）风险的策略。进行风险评估之前应首先明确企业的经营目标并了解企业经营活动及战略，之后在业务流程层面应进行下列三个步骤：风险识别（IdentifyRisk）企业组织内部应有恰当人员了解风险的性质，包括了解哪些是可控风险与不可控风险。例如：以顾客为导向的企业必须确保每个员工了解控制顾客满意度的重要性。而一套完整且通用的风险定义/语言则可协助企业对风险的识别。（2）寻找风险源（SourceRisk）即确定风险产生的根源何在，从而有助于风险评估及控制的设计。(3)衡量风险（MeasureRisk）指衡量风险的重要性及发生的可能性，从而企业可以获知风险是否被降低至可接受水平及风险控制考核体系中发生了什么变化。对风险的衡量还有助于企业如何设定可接受风险的程度。如果说在组织层面对风险的评估是展战略性的，那么在业务层面对风险的评估收上属战术性的。企业流程负责人必须对基本流程风险进行自我评估。风险控制的设计/实施/改进当风险识别并得以衡量之后，企业就应该设计出一套可行的风险控制程序，并加以实施和改进。

以下图形列示企业在进行风险评估及程序设计方面应该关注的问题：风险识别环境发生了什么变化?风险识别客户满意度如何?我们从何可知?企业组织的目标是什么?流程中产生有什么影响或可能发生何种错误?风险溯源风险是源于外部?如是,根源是什么?风险溯源风险是源于内部?如是,是源自于哪一业务流程?流程内部风险的根源是什么?风险衡量风险衡量风险有多大?发生的可能性有多高?企业愿意接受多大的风险?风险评析及监控企业如何决定接受还是拒绝风险?风险评析及监控企业是否可以对影响风险和回报的因素进行监控?对不可接受的风险,企业是否可以进行评析其是否已被纳入可接受范围?对目前可接受的风险,企业是否可以进行再次监控对不可控风险:企业是否应该中止进行的那些产生不可控风险的活动?风险控制的设计/实施的改进对于可控风险:风险控制的设计/实施的改进企业是否可以转移该风险?企业是否已有一套有效的风险控制机制?如有:企业的控制机制运作有效吗?这些控制手段与最佳实践存在缺口吗?如没有:企业应采取什么方法以降低风险水平?企业在设计风险控制程序时，管理层首先需明确企业可承担/容忍好风险程度（LimitsOfTolerableRisk）。例如，多少的意外事件或何种错误及错误率是在公司可接的范围之内？每一单个交易或在一定期间可接受风险的程度、风险的易变程度与广泛程度、公司评估风险的能力大小及成本效益原则等这些因素都会影响企业可容忍风险程度的确定。

而风险评估过程对风险控制设计的影响则可通过如下坐称图予以进一步描述：检查/改正并监控风险评估过程在其源头予以预防高第二象限内的风险<B>类第一象限内的风险<A>类第四象限内的风险<D>类第三象限内的风险<C>类低高不需监控但要持续评估进行监控并进一步调整通过风险评估，企业对风险的性质有基本的了解，在此基础上，可以进一步关注风险的衡量及考虑风险控制的设计与实施。对A类风险，则更是应该设计控制程序以在源头对该风险予以规避、转移或预防。规避该风险往往意味着终止或暂停那些产生风险的经营活动；转移则指同某一财力健全且独立的第三方共担该风险，包括担保、再保险、套期保值、建立合资/合作实体或战略联盟及订立合同保障等等；对于不可转移的风险，较好的方法是建立控制程序以确保在源头预防这些风险。总之，对A类风险的主要策略是在源头进行规避或预防。对B类和C类风险，采取检查及改正的风险控制措施一般是足够的，尤其是如果采取源头预防的成本太高的话。由于这二种控制措施按自上而下的方法进行的，因此可以说是属于事后控制程序（detection）。如果风险原因是那些生产流程中进行重新生产花费巨大或是信息重新输入处置劳动量过大的这些行为，则采取事后控制的效率是比较低的而且代价也是比较高的。对于D类风险，则通常由于其属于可接受范围之内，因此大多公司不采取不相关和多余的控制程序。业绩评价（MeasurePerformance）流程业绩评价必须同企业的战略目标、整个组织的业绩评价及流程的目标相联系。业绩评价指标由于其可以显示流程运作的状况，因此也往往就是企业经营风险的迹象（RiskIndicator）。如果这些数据显示某一流程运作并未达到设定的目标。而流程业绩指标数据则可以协助流程责任人进行自我评估其流程运作状况，了解流程运作是否同公司质量要求相一致，是否达到及时性和成本效益性目标。而针对于人的业绩评价指标则是侧重于报酬、员工发展及激励、技能、责任心和灵活性。总之，如若企业在整个组织内部使用一致的评价指标，且这些指标同企业战略相联系，则管理层就拥有了其对企业战略实施及财务流程进行监督所需要的信息。例如，公司的重要战略目标之一是发展新业务，那么相对应的组织层面的业绩评估指标，可以是新业务增加百分比，而在业务流程所采用的指规则可以是计划销售与实际销售的比率。流程监督处理(Monitoring)流程运作的关键除了有效流程设计及选择相关业绩评价指标之外，还包括对流程运作进行监督。而这一监督行为应该关注如下问题：流程是否实现其设计目标？企业/流程的风险改变了吗？风险控制过程运作如何？业务流程的运作情况如何？虽然企业会由内审部门对风险控制进行独立评价，但审计并不能代替监督，因为负责进行监督的是流程责任人而不是审计师。每个流程负责人应该对相关流程的运作风险负责，而监督正是其主要工作，包括进行业绩评价，定期对流程风险进行自我评估及日常的沟通，外部审计师对企业风险控制进行评价只是作为其对报表审计工作的一部分，并不是我们在本文中所指的监督。但由外部审计师所提出的管理建议则要立刻进行调查并予以落实。在了解现代企业风险管理三大组成部分之后，我们还需要进行了解的一点是人员授权对风险管理模型的影响。因为这直接涉及到风险管理在企业内部如何实施。首席执行官负责制定公司的目标及战略，但同时其又必须确保授权与责任二者之间的平衡，这也正是企业风险管理方法的核心。授权与自我控制（Empowermentandself-control）对营业进行恰当的授权将会