COSO风险管理框架中文版

1、COSC风险管理框架中文版概览一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程，而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的 文献)，但实务中却并不存在统一的术语，而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架 时作为指南。COSO委员会已经认识到对企业风险管理概念性指南的需要，因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划，旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指 南。另一相关的目标是使构建的这个框架可以作为

2、管理者、董事、主管人员、学者和其他相关人员更好地理解企业风 险管理及其优点和局限性提供一个统一的基础，以便在风险管理问题方面进行有效地交流。本概览列出了企业风险管理框架的关键内容，包括企业风险管理的定义、内容和基本原则，风险管理的优点、局限性以及各相关方的地位和职责。本概览还强调企业风险管理的相关性和其与COSO内部控制报告的关系。如果想更加深入地了解有关知识，请看企业风险管理框架的全文。(一) 企业风险管理的相关性企业风险管理的基本前提是每一个企业，无论是盈利组织、非盈利组织，还是政府机构，其存在的目的都是为其利益相关方带来价值。所有的企业都要面对不确定性。对企业管理者而言，所面临的挑战是在

3、追求企业利益相关方价值 增长的同时，决定企业准备接受的不确定性的程度。不确定性既代表风险，也代表机遇，既存在使企业增值的可能， 也存在使企业减值的风险。风险管理框架就是为管理者提供一个框架，使其能够有效处理不确定性及相应的风险和机 遇，进而提高企业创造价值的能力。1不确定性企业经营的环境中有许多因素都会给企业带来不确定性，如全球化、技术、法规、企业重构、多变的市场以及竞争 等。不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。2. 价值从战略的制定到企业的日常经营， 管理者的决策会创造、保持或减少企业的价值。 决策的本质就是确认风险和机遇， 它要求企业的管理1应在考虑企业内、外

4、部环境的因素的基础上，对企业的稀缺资源进行配置，并且根据环境的不断变 化来调整企业的活动。当企业的利益相关方取得其相应价值的可确认收益时，企业的价值也得到实现。对于公司而言，当股东承认由于股价上扬所带来的价值时，他们也就承认了企业的价值。对于政府机构，当该机构以一个可接受的成本所提供的服务的 收益得到确认时，机构的价值就得以实现。对于非盈利组织的利益相关方而言，当他们确认组织所提供的社会福利的 价值时，他们也就承认了该组织的价值。企业风险管理使管理者能够创造持久的价值并能够将创造价值的信息传递给 利益相关方。3企业风险管理的优点所有企业都是在有风险的环境下经营，而不是企业风险管理使企业面临这样

5、的环境。企业风险管理是使管理者能够在充满风险的环境中更加有效地经营。企业风险管理使企业的管理者能够：(1将风险偏好和企业的战略结合在一起。从广义来讲，风险偏好是一个公司或企业在追求其目标的过程中愿意接受的风险的程度。管理者在评估企业的战略方案时首先要考虑企业的风险偏好，其后，在制定与企业战略相对应的目标和建立一定的机制管理相应的风险时也应 考虑企业的风险偏好。(2) 将企业成长、风险和收益联系起来经济主体在企业价值保值、增值的过程中也要接受相应的风险，同时预期补偿风险的相应收益。企业风险管理提高了企业确认和评估风险的能力，进而使企业能够确定相对于企业成长性和收益目标而言的风险的可接受水平。(3

6、) 增加风险反应决策企业风险管理提供了确认和选择不同的风险反应方案的严格标准。企业的风险反应方案包括风险规避、风险降低、 风险共担和风险接受。企业风险管理提供了进行相关决策的方法和技术。（4）使企业的经营意外和损失最小化经济主体可能提高确认潜在事项、评估风险和明确反应方案，最后减少经营意外的出现次数以及减少相应的成本或损失。（5）确认和管理企业的总体风险每一个经济主体都面临着许多风险，而不同的风险会影响企业经营的各个方面。管理不仅需要对每一种风险进行管理，还需要了解风险对企业总体的影响。（6）针对多重风险提供完整的反应方案企业的经营过程存在许多内在的风险，企业风险管理就是为管理风险提供一整套解

7、决方案。（7）抓住机遇管理不仅要考虑风险，还需要考虑潜在的事项对企业的影响。对潜在事项有一个完整的了解可以使管理对每一潜在事项表明何种机遇有一个了解。（8）合理分配资金关于企业总体风险的更为明确的信息可以使企业的管理者能够更加有效地评估企业总体的资金需要，改进企业的资金配置。企业风险管理本身并不是目的，它仅仅是实现目的的一种方式。它不能、也无法在一个经济主体内单独运行，而是企业管理过程的一个推动器。企业风险管理向董事会提供最重要的风险的信息以及这些风险应如何管理的建议， 进而与公司治理相联系。而且，风险管理与企业的绩效管理也有关，风险管理通过提供风险调节的措施和内部控制来 帮助企业的绩效管理。

8、内部控制是企业风险管理的一部分。风险管理帮助一个经济主体实现其经营和利润目标、防止 资源的浪费。它还有助于确保企业报告的有效性。此外，企业风险管理还有助于保证企业遵守有关的法律、法规，避 免其声誉受损并防止产生相应的不良后果。总之，企业风险管理可以帮助一个经济主体实现其目标、及在实现目标的 过程中避开陷井和防止意外的发生。（二）企业风险管理的定义企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活动，用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险，对企业目标的实现提供合理的 保证。这一定义反映了一些基本概念：1企业的风险管

9、理是一个过程 一一其本身并不是一个目的，而是实现目的的一种方式。2 风险管理受人的影响一一它不只是企业的政策、调查和表格，还涉及一个企业各个层次员工。3 风险管理也适用于企业战略制定过程。4企业风险管理应在整个企业范围内应用，在每一个经营层面和每一个单位内应用，并应以一种企业总体的风险 组合的观点来看待。5 风险管理的设计应有助于确认会对企业造成潜在影响的事项并确保在企业风险偏好的范围内管理企业的风险。6 风险管理仅为企业的管理者和董事会提供合理的保证。7 企业风险管理的目标是帮助企业一类或几类单独并相互重叠的目标的实现。从广义上定义这一概念主要有几个原因：这一定义应包括公司和其他企业管理风险

10、的几个基本概念，并可以应用于各种组织、行业和部门。它直接针对企业目标的实现。此外，这一定义应为定义企业风险管理的有效性提供一个基础。 上述基本概念详细论述如下：1一个过程企业的风险管理并不是一个事项或环境，而是渗透于企业各项活动中一系列行动。这些行动普遍存在于管理者对企业的日常管理中，是企业日常管理所固有的。一些人认为，企业风险管理对企业的各项活动而言是多余的，是企业必 须承担的一个负担，但 COSO的讨论稿则并不这样认为。但有效的企业风险管理仍旧需要企业各管理层不懈的努力。 例如，风险评估要求企业不断地努力来建立必要的评估模型并进行必要的分析和计算。但是，这些以及其他的企业风 险管理机制与企

11、业的经营活动是并存的，是由于最基本的商业原因而存在的。当企业风险管理机制成为企业的基础设 施并真正成为企业的一部分时，企业的风险管理会最有效。通过建立风险管理，企业可以直接提高自身的战略执行能 力，并提高企业预期和任务的实现能力。建立风险管理对企业的成本构成同样有重要的影响，特别是在目前大多数企业都面临高度竞争的市场环境的情况下。在现有工序的基础上增加新的工序会增加成本，而通过关注现有的经营过程以及他们对实现有效风险管理的贡献，并2 / 34将风险管理整合到企业的基本经营活动之中，一个企业就能够避免不必要的工序和成本。并且，将风险管理整合到企 业日常的经营过程中有助于管理者抓住企业发展的新机遇

12、。2. 受人的影响企业的风险管理会受董事会、管理层和其他人员的影响， 风险管理是通过组织内的人来完成的，是通过人的所做和所说实现的。是企业内的人制定企业的任务/预期，战略和目标，并实施企业的风险管理机制。同样，企业风险管理也影响人的行动。企业风险管理要认识到人对事物的理解、沟通或执行并不总是一致的。企业中的每个人都有不同的背 景和技术能力，都有不同的需求和优势。这些因素都会影响企业的风险管理，也会受风险管理的影响。每个人的出发 点都不同，这会影响他们对风险的确认、评估和反应。企业风险管理就是要提供了一个机制，帮助人们从企业总体目 标的角度认识风险。企业的员工必须了解他们自己的职责和权限。因此，

13、除了要明确员工的职责和企业的战略和目标 之间的联系之外，还要明确员工的职责和他们履行职责的方式之间的联系。一个组织的员工包括董事会成员、管理者和其他人员。尽管企业的董事主要负责监督，但是他们同时也向管理者提供指导，核准企业的战略、某些活动和政 策。因此，董事会是企业风险管理的重要组成部分之一。3. 可应用于企业战略的制定一个企业要确定其预期或任务，并制定其战略目标。 企业的战略目标是企业最高层次的目标，它与企业的预期和任务相联系并支持预期和任务的实现。一个企业为实现其战略目标而制定战略方案，并将战略方案分解成相应的目标， 再将目标层层分解到企业的各业务部门、行政部门和生产线。在制定企业的战略方

14、案时，管理者应考虑与不同的战略 方案相关的风险。4. 应用于整个企业为使企业的风险管理获得成功，一个企业必须从全局，从企业总体层面上考虑企业的活动。企业的风险管理应考虑组织内所有层面的活动， 从企业总体的活动（如战略计划和资源分配） 到各业务部门的活动（如市场部、人力资源部）， 到各业务流程（如生产过程和新客房信用审核）等等。企业风险管理还可用于特定项目和新的行动计划，尽管该项目 或计划可能在企业的管理流程或组织流程图中尚无明确的定位。企业风险管理要求企业以风险组合的观点看待风险。 这会要求企业内负责各业务部门、行政部门、生产流程或其他活动的管理者对本部门的风险进行评估。这些评估可以 是定量的

15、，也可以是定性的。企业的高级管理者应以一种组合的观点看待企业内每个下级层面的风险，以决定企业总 的风险组合是否与企业的风险偏好相对应。管理者应以总体的组合观来考虑相关风险。对相关的风险应予确认并采取 措施使承担的风险落在企业风险偏好的范围内。对企业内部每个单位的风险而言，可能都落在该部门的风险容忍度的 范围内，但从总体来看，合并后的风险可能超过了企业总体的风险偏好。企业总的风险偏好应通过对特定目标确立相 应的风险容忍度的方式在企业内部向下贯彻。5. 风险偏好风险偏好是指一个企业在追求价值最大化的同时所愿意接受的风险的数量。企业通常采用定性的方法分析风险偏好，将风险偏好分为高、中、低三类；或者采

16、用定量的方法分析风险偏好，反映出企业的成长性、收益性和风险目标，并 在三个目标之间进行平衡。风险偏好与企业的战略直接相关。在制定战略时应考虑企业的风险偏好，并将战略的预期 收益与企业的风险偏好联系起来考虑。不同的战略会给企业带来不同的风险，在战略制定时应用风险管理，其目的是 帮助管理者选择与企业的风险偏好相一致的战略。企业的风险偏好指导企业的资源配置。管理者在各业务部门间分配 资源时应考虑企业的风险偏好和各个业务部门为取得预期的收益率所采用的战略。管理者应将企业的风险偏好与企业 的组织结构、人员和业务流程联系起来考虑，并应建立对风险有效反应和监督的必要的硬件设施。风险容忍度是与要实现的目标相关

17、的偏差的可接受程度。在确定某一特定的风险容忍度时，管理者应考虑相关目标的相对重要性并将风险容忍度与企业的风险偏好联系在一起。在风险容忍度的范围之内经营更能够保证企业所承受的 风险在其风险偏好的范围内。反过来，就能够对企业目标的实现提供更高程度的保证。6. 提供合理保证设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业目标的实现上提供合理的保证。如果企业的风险管理有效，董事会和管理者在以下几个方面得到合理的保证：了解企业战略目标实现的程度；-了解企业经营目标实现的程度；_ -企业报告的可靠性；相关的法律和法规遵守的情况。合理保证”反映了 不确定性和风险都是与未来相关，而未来是没有人可以

18、确切地预测的”这一思想。这种局限性的3 / 34其他原因包括：人们在进行决策时的判断可能出错；对风险反应的决策和所建立的控制需要考虑成本效益原则；由于 人们的简单失误或错误可能导致的企业破产；可能由于两个或多个人的串通而绕过控制；管理者可能忽视企业的风险 管理决策等等。这些限制使得董事会和管理者无法在企业目标实现方面得到绝对保证。7目标的实现有效的风险管理应该能够为企业目标的实现提供合理的保证，包括报告的可靠性、 合法合规性目标等等。 这两类目标的实现都是在企业的控制范围内，其实现依赖于相关活动执行的好坏。但是，战略目标和经营目标的实现并不总是 在企业的控制范围内。对于这两类目标，企业风险管理

19、只能合理保证管理者和董事会从宏观上及时了解企业目标实现 的进度。（三）企业风险管理的组成要素根据管理者经营的方式划分，企业风险管理包括八个相互关联的组成要素，这八个要素渗透于企业管理的过程之中，包括：1内部环境企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。内部环境影响企业战略和目标的制定、业务活动的组织和风险的识别、评估和执行等等。它还影响企业控制活动的设计和执行、信息和沟通系统以及监 控活动。内部环境包含很多内容，包括企业员工的道德观和胜任能力、人员的培训、管理者的经营模式、分配权限和 职责的方式等。董事会是内部环境的一个重要组成部分，对其他内部环境的组成内容有重要的

20、影响。而企业的管理者 也是内部环境的一部分，其职责是建立企业的风险管理理念、确定企业的风险偏好，营造企业的风险文化，并将企业 的风险管理和相关的行动计划结合起来。让企业所有员工了解企业的风险管理理念有利于提高雇员确认和有效管理风 险的能力。风险管理理念是企业对风险的信念，是企业选择处理其活动和风险的方式。它反映了一个企业期望从企业 的风险管理获得一定的价值。这一理念还会影响企业风险管理要素的应用方式。管理者应将其风险管理理念通过政策 说明书和其他沟通方式向企业的员工宣传。更重要的是，管理者不应仅仅是在纸面上强调风险管理理念，还应在每天 的行动中贯彻执行。风险偏好由企业的管理者设定，董事会复核，

21、是企业制定战略的一个控制指标。通常为了实现某 一个预定的增长或收益目标，企业可以制定许多不同的战略，而每一个战略都具有不同的风险。在战略制定过程中， 风险管理有助于管理者选择与企业的风险偏好相一致的战略方案。管理者期望将企业的组织结构、人员、生产过程与 硬件设施整合在一起，使得在战略的成功执行的同时将风险控制在风险偏好的范围内。风险文化是企业员工共同的态 度、价值观和实务操作程序的组合，表明企业在其日常活动中看待风险的方式。对于许多公司而言，风险文化来自于 企业的风险理念和风险偏好。对那些不能明确界定其风险理念的企业，其风险文化的形成可能是随机的，而导致一个 企业内存在明显不同的风险文化，甚至

22、在一个业务部门、行政部门中都有可能存在明显不同的风险文化。2. 目标制定根据企业确定的任务或预期，管理者确定企业的战略目标，选择战略方案，确定相关的子目标并在企内层层分解和 落实，各子目标都应遵循企业的战略方案并与战略方案相联系。在能够确定对目标的实现有潜在影响的事项之前，管 理者就应确定企业的目标。而企业风险管理就是提供给管理者一个适当的过程，既能够制定企业的目标，又能够将目 标与企业的任务或预期联系在一起，并且这些目标还与企业的风险偏好相一致。企业的目标可以分为四类：-战略目 标 是企业的高层次目标，与企业的任务和预期相联系并支持企业的任务和预期的实现。-经营目标 是指企业经营的效率性和效

23、果性，包括经营业绩目标和盈利能力目标，由于管理者对企业结构和经营的不同选择，各企业的经营目标也不尽相同。-报告目标 指企业报告的有效性，包括企业内部和外部的报告，既包括财务信息，也包括非财务信息。-合法性目标 是指企业符合相关的法律和法规。企业目标的这种分类可以使企业的管理者和董事会注意企业风险 管理的不同方面。企业的某一个特定目标可能不仅仅属于某一类目标。企业的这些目标既相互区别但又相互重叠，可 以明确企业的不同需要，并且可以分派给企业的某一个执行官作为其直接职责。这种分类还可以区分企业不同类别目 标的期望之间的区别。某些企业还有另一类目标一一资源的安全”，有时也叫 资产的安全”。从广义上看

24、，这一目标是防止企业资产或资源的流失，这种流失可以是由于偷窃、浪费、经营的无效性，也可以是由于企业商业上简单的错误 决策（如以过低的价格出售产品、没有留住企业的关键员工、没有阻止对本企业专利权的侵害行为，或者是出现未预 期的负债等等）所引起的流失。对某种报告目的而言，这种广义的资产安全类目标可能是一个狭义的定义，此时的资 产安全概念可以仅仅指预防或及时发现对企业资产的未经授权的购买、使用或处置。3. 事项识别管理者意识到了不确定性的存在，即管理者不能确切地知道某一事项是否会发生、何时发生或者如果发生其结果如何。作为事项识别的一部分，管理者应考虑会影响事项发生的各种企业内外部的因素。外部因素包括

25、经济、商业、自 然环境、政治、社会和技术因素等，内部因素反映出管理者所做的选择，包括企业的基础设施、人员、生产过程和技 术等事项。一个企业事项识别的方法可以包含不同的技术及其与相应的工具的组合。事项识别技术既针对过去，又针 对未来。针对过去的事项和趋势的识别技术主要要考虑类似支付错误的历史、商品价格的变化和浪费时间的突发事件(Lost-time accidents )等事项，而针对未来风险的技术则主要考虑不断变化的人口统计资料、新市场和竞争者的行为 等事项。将潜在的事项进行分类对管理者而言是非常有用的。通过在企业内各水平层面上对事项进行汇总、在营运部 门内部对事项进行垂直地汇总，管理者能够对事

26、项之间的相互关系有一个了解，这些信息也可以作为风险评估的基础。潜在的事项可能对企业有正面的影响、也可能有负面的影响或者两种影响同时存在。对企业有潜在负面影响的事项是 企业的风险，要求企业的管理者对其进行评估和建立反应方案。因此，风险的定义就是，某一事项将要发生的可能性 及其对企业目标的实现造成负面影响的可能性。对企业有潜在正面影响的事项则是企业的机遇或者可以弥补风险对企 业的负面影响。机遇可以在企业战略或目标制定的过程中加以考虑，以制定有关行动抓住机遇。可能弥补风险对企业 负面影响的事项则应在管理者对风险进行评估和反应的阶段予以考虑。4 风险评估风险评估可以使企业了解潜在事项如何影响企业目标的

27、实现。管理者应从两个方面对风险进行评估一一风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。对风险 发生的可能性和影响的估计经常需要使用从过去的可观察事项得到的数据，这比没有任何数据的、完全的主观估计要 客观得多。根据企业自己的经验在企业内部产生的数据带有较少的人的主观偏见，能够得到比外部数据更好的结果。但是，即使是以内部数据作为主要的资料来源，外部数据仍能用作一个检查标准或者改进分析。当使用过去数据对未 来进行预测时使用者必须小心，因为影响过去事项的有关因素可能会随着时间的推移而改变。一个企业风险评估的方 法通常是定量方法和定性分析技术

28、的组合。当风险本身无法量化时，或者量化评估所要求充足的可靠的数据实际不可 获得或者数据获得或分析不符合成本效益原则时，管理者通常会采用定性的分析技术。定量的分析技术通常更加精确，一般用于更为复杂多变的活动，作为定性分析的补充。 一个企业不需要在每个业务部门都使用同样的评估技术。相反，对评估技术的选择应反映出对精确性的需要和该业务部门的文化。在任何情况下，各业务部门所使用的评估技术应有 利于企业在整个企业的范围内对风险的评估。在衡量目标的实现程度时，管理者经常使用业绩计量指标。当考虑某一 风险对实现某一特定目标的潜在影响时，使用这些计量指标同样有效。管理者可以评估各事项之间的关系，因为一系 列相

29、互关联的事项结合起来会使得事项的发生概率或事项的影响发生重大变化。虽然一个单一事项的影响可能很小， 但是这样一系列事项则可能对企业造成重大影响。各潜在事项之间可能并不直接相关，这时管理者可以分别对其进行 评估，但是某些风险可能在企业的多个业务部门出现时，管理者可以将所确认的风险归为一类进行评估。通常一个潜 在事项结果是一个可能的范围值，管理者应将其作为制定风险反应方案的基础。通过风险评估，管理者可以了解潜在 事项在整个企业内对企业的正面和负面的影响，单个事项或某类事项对企业的影响。管理者通常只趋于关注中短期的 风险，但风险应在企业战略和目标的前提下进行评估。由于战略方向和目标的某些要素涉及较长

30、时期，管理者因而应 从长期的角度认识风险，而不能忽视远期会影响企业的风险。首先，应对企业的固有风险进行评估。固有风险是指管 理者在没有采取任何会改变风险发生的可能性或影响的管理措施的情况下企业所面临的风险。一旦确定了对固有风险 的风险反应方案，管理者就可以使用风险评估技术确定企业的残留风险。残留风险是指管理者采取了有关风险管理措 施后应存在的风险。5. 风险反应管理者可以制定不同风险反应方案，并在风险容忍度和成本效益原则的前提下，考虑每个方案如何影响事项发生的可能性和事项对企业的影响，并设计和执行风险反应方案。考虑各风险反应方案并选择和执行一个风险反应方案是企 业风险管理不可分割的一部分。有效

31、的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险 容忍度范围之内的风险反应方案。风险反应可分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采 取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或者两者同时减少。共 担风险是指通过转嫁或与他人共担一部分风险来降低风险发生的可能性或影响。接受风险则是不采取任何改变风险发 生的可能性或影响的行动。作为企业风险管理的一部分，对于每一个重要的风险，企业都应按风险反应的类型考虑所 有的风险反应方案，这样有助于风险反应方案的选择，这也是对现状”提出的挑战。 选定某一个风险反应方案后，管理者应在

32、残留风险的基础上重新评估风险，即从企业总体的风险组合的、预测的角度重新计量风险。管理者可以采5 / 34取一定的方法使得每一生产部门、行政部门或业务单位的管理者可以对风险进行复合式的评估以决定该部门的风险反 应方案。这种视角可以反映相对于各部门的目标和风险容忍度该部门的风险组合。在对各个独立部门的风险有一个认 识的基础上，企业最高层的管理者应以组合的角度看待风险，以决定企业的风险组合与相对企业目标而言的总体的风 险偏好是否相符。管理者应认识到一定水平的残留风险总是存在的，这不仅是因为资源的有限性，还因为未来有其内 在的不确定性和所有活动的固有限制。6. 控制活动控制活动是帮助保证风险反应方案得

33、到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业努力实现其商业目标的过程的一部分。通常包括两个要素：确定应该做什么的一个政策和影 响该政策的一系列过程。由于企业的控制活动与企业的信息系统广泛相关，因此，应对企业所有的重要系统进行控制。广义来讲，对信息系统控制活动可以分为两类。一类是一般控制，这类控制应用于大多数应用系统，有助于保证系统 的持续地、正确地运行。另一类是应用控制，包括用于控制技术应用的应用软件内部的电脑程序。必要时将信息系统 控制与其他手工的过程控制相结合，可以保证信息的完整性、精确性和有效性。一般控制包括对信息技术管理、信息 技术基础设施

34、、保密管理和软件的购买、开发和维护的控制。这些技术应用于所有的系统，从主机到客户端（服务端） 到桌面电脑环境。信息技术管理控制主要包括明确信息技术的勘漏过程、监督和报告信息技术活动及业务改进的初步 行动等等。应用控制的目的是保证数据获得和业务处理过程的完整性、精确性、授权和有效性。依靠信息系统控制运 行的有效可以保证当需要时每个应用程序可以在界面上产生有关数据，保证应用程序的有效和有关界面的错误可以很 快地被发现。因为每一个主体都有其自己的一套目标和执行目标的方法，因此其子目标、结构和相关的控制活动也会 不同。即使两个企业有同样的目标和结构，他们的控制活动可很可能不同。每个企业的管理人员都不同

35、，不同的管理 人员在影响内部控制时使用不同的个人判断。而且，控制活动反映了一个企业所处的环境和行业，也会反映企业的复 杂性、企业的历史和文化。7. 信息和沟通来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通，包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括 将相关的信息与企业外部相关方的有效沟通和交换，如客户、供应商、行政管理部门和股东等。企业内部各个管理层 都需要信息来帮助识别、评估风险和对风险进行反应，以及进行经营并实现企业的目标。相对于某一类或几类目标， 某一批信息是有用的。企业的信息

36、来自于各个方面，包括内部和外部的信息、量化的和非量化的信息，以使得企业的 风险管理可以对现实世界中不断变化的条件及时作出反应。将大量的信息进行处理，提炼出或指导行动的信息是企业 管理者所面临的一个挑战。解决这一问题的方法是建立一个信息系统底层结构来确认、捕捉、处理、分析和报告相关 信息。这些信息系统通常是电脑系统，但也包括手工录入或人机界面。因此，这些信息系统经常是指处理企业相关业 务产生的内部数据的系统。长期以来信息系统是用来支持企业的商业战略。当业务需要变化和有关技术为企业获得战 略优势提供新的机会时，这一地位就显得更为重要。为支持有效的企业风险管理，一个企业会捕捉和使用历史和现在的数据。

37、历史数据使企业能够将实际业绩与目标、计划和期望相比较，能够更加深入了解企业在不断变化的环境下 是如何生存的，使得管理者确认相关性和趋势并预测未来的业绩。历史数据还能够对需要管理者注意的潜在事项提早 提出警告。现在或现状的数据使企业能够评估在某一特定时点所面临的风险并将其控制在风险容忍度范围内。现状数 据使得管理者可以实时地了解一个过程、职能部门或单位现存的固有风险和差异的大小。这对了解企业的风险组合提 供了一个视角，使得管理者能够在必要时改变企业的活动以满足企业的风险偏好。信息是沟通的基础， 沟通则必须满足各部门和个人的要求，以使他们能够有效地履行其职责。最重要的沟通渠道之一是高级管理者和董事

38、会之间的沟通。管理者必须使董事会了解关于企业业绩、发展、风险管理执行和其他相关事项 和问题的及时信息。沟通越畅通，董事会在执行其监督职能、重大问题的宣传媒介职能和提供建议、咨询和指导职能 时才会越有效。反之，董事会也应向管理者传递其所需要的信息并进行反馈和指导。管理者应提供特定的或直接的沟 通渠道说明对员工的行为预期和各自的职责。应包括对企业风险管理原理和方法以及员工权责分配的清晰的说明。对 于风险管理过程和程序的沟通应与企业预期的风险文化相结合，并作为企业风险文化的基础。此外，信息的列示会直 接影响对信息的解释和对相应的风险或机遇的看法，因此，对于沟通应有一个适当的架构。沟通应使企业的员工了

39、解 有效地企业风险管理的重要性和相关性，了解企业的风险偏好和风险容忍度，并在企业内执行、设计一个统一的风险 用语并向员工说明他们在影响和支持企业风险管理要素中的地位和职责。沟通渠道还应该保证企业员工能够在各业务部门、业务流程或职能部门间进行风险信息的沟通。大多数情况下，企6 / 34业内正常的报告路径一般是沟通的适当渠道。而在某些情况下，需要一个单独的信息沟通途径作为防止失败机制，而 为一途径在正常情况下是不用的。在所有的情况下，让企业的员工了解企业内并不存在对报告相关信息的报复是很重 要的。外部的沟通渠道能够为企业的产品或服务的设计或品质提供非常重要的信息。管理者应将企业的风险偏好和风 险容

40、忍度与客户、供应商和合伙人的风险偏好和风险容忍度联系起来考虑，以保证不会通过企业的业务活动给企业带 来太多的风险。外部相关方的信息经常会为企业风险管理的运行提供重要的信息。&监控对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控一一持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内各 管理层面和各部门持续得到执行。持续监控是对企业日常的、重复的经营活动的监控，在实时的基础上进行，是对不 断变化的环境的动态地反应，应在企业内部彻底地贯彻和执行。如果执行得好，持续监控比个别评估更为有效。由于 个

41、别评估是在事实发生之后才进行评估，而持续监控则会在问题一发生就很快被发现。虽然如此，许多使用持续监控 的企业仍旧进行风险管理的个别评估。个别评估的频率是企业管理者的主观判断问题。在决定个别评估的频率时，管 理者应考虑来自于企业内部和外部事项的变化的性质和程度以及相应的风险、企业员工进行风险反应和相应控制的能 力和经验、持续监控的结果等因素。通常，将持续监控和个别评估进行一定的结合使用会保证企业风险管理长期的有 效性。对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。企业风险管理 的内容没有记录并不意味着风险管理无效或无法对风险管理进行评估。但是，适当程度的记录

42、通常会使对风险管理的监控更为有效果和有效率。当企业管理者打算向企业外部相关方提供关于企业风险管理效率的报告时，他们则应考 虑为企业风险管理设计一套记录模式并保持有关的记录。所有风险管理失效都会影响企业确定和执行战略的能力，影响企业实现其既定目标的能力。对此，应将企业所有的风险管理失效都报告给适当的管理层，以保证其采取必要的措施以纠正风险管理失效。企业所需沟通的事项的性质根 据各人处理各种情况的权限和监控者的查漏活动的不同而不同。这里失效”是指企业风险管理过程中值得注意的某一种情形。因此，失效可能代表一种预期的、潜在的或真实的缺陷，或者代表加强风险管理过程的一个机会，以增加企 业目标实现的可能性

43、。在经营活动中产生的信息通常通过正常的渠道进行报告。对于敏感性信息的报告也应有其他的 沟通渠道，如非法活动或不正当的活动。向企业内适当的管理层提供关于风险管理失效的必需的信息是非常重要的。 企业应建立一个协议来识别某一管理层决策有效所需要的信息。这些协议应反映一个基本原则，即一个管理者在收到 实现其特定目标的有关信息外，还应收到影响其权限范围内人员的行动或行为的所有信息。（四）风险管理要素和企业目标之间的关系企业的风险管理框架包括四类目标和八个要素。四类目标分别是战略目标、 经营目标、报告目标和合法性目标。八个要素分别是内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监

44、控，是企业目标实 现的保证。它们相互之间存在直接的关系，可以用一个三维矩阵图来表示（如图1所示）。可以看出，四个栏分别代表一个企业的四类目标，并不是企业的某个部分或部门。因此，例如，当考虑与报告相关的那类目标时，需要关于企 业经营的大量信息，但是在这种情况下主要关注的是风险管理模型右手边中间这一栏一一报告目标一一而不是经营类目标。图2将立方体中水平各行的内容进行扩展，说明各风险管理要素的主要内容，其中每一要素也就代表一个业务流 程。（五）有效性企业风险管理是一个过程，企业风险管理的有效性则是某一时点的一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理八要素设计和执行是否正确的评估基

45、础上的一个主观判断。为使风险管理有效，企业的风险管 理框架必须包括所有的八个要素，并得到贯彻执行。但是，这并不意味着每一要素在不同的企业间，甚至是不同企业 的同一管理层次上，都必须执行同样的功能。因为不同的要素之间可能存在着作用的相互抵消。由于企业风险管理的 各种技术能够为企业不同的经营意图服务，因此，相对于某要素的技术也能够服务于通常是另一要素所体现出来的经 营意图。此外，对某一特定风险的风险反应程度可能不同，以至于互补的风险反应模式可能各自对企业的影响都有限，合并后仍可以保持在风险容忍度的范围内。这里所讨论的概念可以应用于所有企业，无论其规模。某些中小企业所采用的要素的内容与大企业可能不同

46、，但企业的风险管理仍旧有效。对于每个要素的方法论，小企业采用的方法与大企业相比并不正式和结构化，但是，无论企 业的规模，其风险管理都应包括本文所讲的基本概念。企业风险管理可以从一个企业的总体来认识，也可以从一个单独的部门或多个部门的角度来认识。即使是站在某一特定的业务部门的角度来看待风险管理，所有的八要素也都应作为基准包含在内。一个公司可能采用联营企业、合伙或其他的投资形式，其经营可能不在母公司的直接控制之下。为保证企业风险管理的有效性，母公司应从公司战略和目标的角度考虑与被投资方一起充分应用风险管理八要素的程度。（六）包括内部控制内部控制是企业风险管理不可分割的一部分。这里所说的企业风险管理

47、框架包括内部控制，为企业的管理提供了一个更强的概念基础和工具。在内部控制一一整体框架中已经对内部控制进行了定义和描述。由于内部控制一一整体框架是现有的规则、法规和法律的基础，因此本讨论稿保留其对内部控制的定义。整个内部控制一一整体框架报告都是本框架的参考。（七）企业风险管理的局限性有效的风险管理可以帮助管理者实现企业的目标，但是，无论企业风险管理设计得如何完善、运行得如何有效，它也不能保证一个企业永远成功。企业目标的实现还要受管理过程内在局限性的影响。政府政策或项目的改变、竞争对 手的行动或经济条件都超出了管理者的控制范围。人的决策可能会出错，因而企业很有可能由于人的简单的错误或过 失而破产。

48、而且企业风险管理也不能把一个本来就很差的管理者变好。此外，企业员工两人或多人合谋可以绕过控制，管理者也有权利绕过企业的风险管理过程，包括风险反应和风险控制过程等。企业风险管理的设计必须反映企业资源 稀缺的现实，而且风险管理的收益必须对应风险管理的成本。因此，虽然企业风险管理可以帮助管理者实现企业的目 标，但它并不是一颗万灵丹。（八）各管理层在企业风险管理中的地位和职责一个组织的每个人在企业风险管理中都负有责任。1董事会企业的管理者向董事会负责，而董事会向管理者履行治理、指导和监督职能。通过选举管理者，董事会在界定其所期望的员工的操守和价值观时起主要作用，并能够通过监督活动证实其对员工的预期。同

49、样，通过在某些关键的决策 中保留其权限，董事会在制定战略、确定企业高层次的目标和进行广义的资源配置时起到一定的作用。董事会对企业 的风险管理负有监督职责，主要通过以下方式实现其职责：-了解管理者在企业内部建立有效的风险管理的程度；-获知并认可企业的风险偏好；-复核企业的风险组合观并与企业的风险偏好相对照；-评估企业最重要的风险并评估管理者的反应是否适当。董事会是企业内部环境的一个组成部分，必须有保证风险管理有效的必要的组织和对风险管理的关注。2 管理者企业的首席执行官对企业的风险管理最终负责，即拥有企业风险管理的所有权”。与企业内其他员工不同，首席执行官在企业的高层确定风险管理的基调，而这会影

50、响企业内部环境中的员工操守和价值观及其他因素。在一个大公司 中，首席执行官通过向高级管理者分派领导权和提供指令并复核其管理企业的方式等来履行其职能。高级管理者会进 一步将制定更具体的风险管理政策和程序的责任分派给负责各部门运行的员工。而在一个小企业，首席执行官对风险 管理的影响则更为直接。他们是企业的管理者，但同时也是企业的所有者。在任何情况下，？对其下层的职责，管理 者也是其职责范围内的一个首席执行官。此时各职能部门的领导者也是很重要的，如法律咨询部？、财务部、人力资 源部和信息技术部，他们各自的监督活动与企业经营和其他部门的活动到处都存在着交叉。3 风险管理者一个风险管理者是指某一组织内的

51、首席风险管理者或首席风险管理经理，他与企业内其他管理者一起在他们的职责范围内建立并维护有效的风险管理框架。首席风险管理经理也可以担当监督风险管理进度和帮助其他管理人员在企业 内向上、向下和横向报告有关风险信息的职责，并可以成为企业风险管理委员会的一员。4内部审计人员内部审计人员在企业风险管理的监控中占有重要的地位，这一职责作为其正常职责的一部分，其业绩的质量依赖高级管理者、下级管理者或部门执行人员的特殊要求。他们可能通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会。5. 其他员工从某种程度上讲，企业风险管理是企业内每一个员工的责任

52、，因此，风险管理应是企业内每一个员工的工作手册的一部分内容。本质上，企业所有的员工都应提供风险管理所需的信息或者采取必要的措施管理风险。同样，企业所有 的员工都有责任向上报告风险，如经营中存在的问题，未遵守有关的行为规则的情况、其他违反政策的行为或非法活 动。许多企业外部相关方也有助于企业目标的实现。如外部审计人员，从一个独立、客观的角度对企业的财务报表进 行审计和对企业的内部控制进行复核，直接有助于企业目标的实现。同时，外部审计人员还可以向管理者和董事会提 供履行其职责有用的额外信息，间接地为企业目标的实现作出贡献。其他向企业提供风险管理的有用信息的相关方还 包括行政管理部门、客户，其他与企

53、业进行交易的各方，财务分析师、债券承销商和新闻媒介等等。但是，外部的各 相关方并不对企业的风险管理负责。（九）本报告的用途企业根据本报告所采取的行动还应考虑下述各方的地位和利益：1董事会成员董事会成员应该与企业的高级管理人员讨论企业风险管理的状况并在必要的时候进行监督。董事会应该保证企业风险管理体制能够为董事会提供与企业战略和目标相关的最重要的风险的评估，包括企业的管理者采取了什么行动和董 事会在监督企业风险管理框架时是如何运作的。董事会应该从企业的内部审计人员、外部审计人员和咨询顾问外获得 有关的信息。2高级管理人员本研究建议企业的首席执行官应评估企业风险管理的适应性。使用本框架，CEO就可

54、以与企业的其他主要经营和财务主管一道，注意企业内需要注意的地方。使用一定的方法，CEO可以将企业的业务部门的负责人和主要职能部门的员工汇集到一起，讨论对企业风险管理框架适应性和有效性的最初评估。无论讨论的形式如何，风险管理最初的评 估应决定企业是否需要对企业风险管理框架进行进一步的、更广泛的评估以及应如何进行评估。最初的评估还应该保 证企业再造的监控程序确实存在、确实有效。企业花费在风险管理评估上的时间是企业的一项投资，而且是一项有高 额回报的投资。3企业内其他成员企业的管理者和其他员工应该考虑他们在企业风险管理框架中应履行何种职责，并与其上层管理者讨论有关思想以加强企业的风险管理。内部审计人

55、员则应该考虑其工作中关注企业风险管理的程度。4. 立法者每个企业对企业风险管理的期望由于两个方面的影响而千差万别。首先，由于对企业风险管理框架的硬件设施构建的不同认识，使得企业的风险管理框架各有不同。一些观察家认为企业风险管理将会，或者应该会防止企业的经济损 失，或者至少是防止企业破产。第二，即使对企业风险管理能够做什么、不能做什么以及合理保证”概念有一个共同的认识，对这概念的含义和应该如何应用这些概念也存在许多不同的观点。为了使各方对企业风险管理的认识及其作 用达成共识，就应该对企业风险管理框架及其局限性达成共识。本框架的提出就是出于这一考虑。5. 专业机构规则制定机构和其他专业组织已经提供

56、了企业理财、审计和相关问题的指南。本框架会使用这些机构颁布的有关准则和指南。这样可以减少概念和术语的多样性，而一定程度地减少概念和术语的多样性对企业内外部各方都是有利的。6. 教育机构本框架应该是理论研究和分析的一个题目，以寻找未来改进的方向。 如果这个报告作为企业风险管理通用的理论基础被广泛接受，那么其中的概念和术语就可以在学校的课本中找到。（十）报告的组织这个概览和框架报告的正文一起构成了企业的风险管理框架。本概览为企业的CEO和其他高级执行官、董事会成员和企业外部的立法者提供了一个高度概括的说明。而框架报告的正文部分则对企业风险管理的定义、原则和概念进 行更为广泛和深入的讨论，为企业及其

57、他组织中各层次管理者决定如何改进企业的风险管理提供了指导，并能够帮助 企业的管理者和其他人员评估企业的风险管理提供帮助。1、企业风险管理的相关性章节摘要：企业风险管理被运用于策略制定，并贯穿于实体的各项活动中。它使得管理部门在面对不确定性的时候能够鉴别，评估并处理风险，同时有助于价值增值与保值。企业风险管理能提供更高的能力，来调整风险偏好与策略，把风险与增长及回报联系起来，加强风险反应决断力，最小化经营上的突发状况和损失，鉴别并处理跨企业风险，对 复合性风险提供整体化反应，把握机会，合理化资本投资。企业风险管理的一个潜在假定就是，每一个实体的存在都 是为其风险承担者提供价值，不论这个实体是盈利

58、性的，非盈利性的还是政府机构。所有实体都面临着不确定性，而 管理部门的挑战就是判定该实体在努力增加风险承担者价值的同时，准备承受多大程度的不确定性。不确定性既提供 了风险也提供了机遇，既有可能侵蚀价值也有可能增加价值。企业风险管理就是给管理部门提供了一个体制，可以有 效地处理不确定性及相关风险、机遇，从而提高增加价值的能力。不确定性诸如全球化、技术、监管、重组、市场变化及竞争等因素产生了不确定性，企业正是在这样的环境下经营。不确定 性来源于不能精确地对潜在事件发生的可能性及相关结果进行判断。不确定性还因实体的战略性决策而产生。例如， 一个实体的增长战略是基于向另一个国家扩展经营业务。这一选定的战略就产生了与该国家的政治、资源、市场、交 通、