版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
PagePagePAGE10of67COSO:EnterpriseRiskManagementFramework(ExposureDraftforPublicComment)概览(包括大量公开出版的文献,但实务中却并不存在统一的术COSO点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。COSO内部控制报告的关系。如果想更加深入地了解有关知识,请看管理框架的全文。(一)企业风险管理的相关性不确定性及其相应结果。价值的本质就是确认风险和机遇,它要求企业的管理1应在考虑企业内、外部环境的因素的基础上,对企业的稀缺资源进行配置,并且根据环境的不断变化来调整企业的活动。的信息传递给利益相关方。1在本部分和以后的讨论中一旦使用“管理”一词,其意思包括非管理人员执行的许多企业风险管理活动。COSO:EnterpriseRiskManagementFramework(ExposureDraftforPublicComment)企业风险管理的优点业风险管理是使管理者能够在充满风险的环境中更加有效地经营。企业风险管理使企业的管理者能够:将风险偏好和企业的战略结合在一起。从广义来讲,风险偏好是一个公司或企业在追求其目标的过程中愿意接受的风险的程相对应的目标和建立一定的机制管理相应的风险时也应考虑企业的风险偏好。将企业成长、风险和收益联系起来成长性和收益目标而言的风险的可接受水平。增加风险反应决策和技术。使企业的经营意外和损失最小化次数以及减少相应的成本或损失。确认和管理企业的总体风险仅需要对每一种风险进行管理,还需要了解风险对企业总体的影响。针对多重风险提供完整的反应方案案。抓住机遇了解可以使管理对每一潜在事项表明何种机遇有一个了解。合理分配资金关于企业总体风险的更为明确的信息可以使企业的管理者能够更加有效地评估企业总体的资金需要,改进企业的资金配置。理。内部控制是企业风险管理的一部分。标、及在实现目标的过程中避开陷井和防止意外的发生。(二)企业风险管理的定义企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程,应用于企业的COSO:EnterpriseRiskManagementFramework(ExposureDraftforPublicComment)偏好范围内管理风险,对企业目标的实现提供合理的保证。这一定义反映了一些基本概念:层次员工。风险管理也适用于企业战略制定过程。并应以一种企业总体的风险组合的观点来看待。的范围内管理企业的风险。风险管理仅为企业的管理者和董事会提供合理的保证。企业风险管理的目标是帮助企业一类或几类单独并相互重叠的目标的实现。一定义应为定义企业风险管理的有效性提供一个基础。上述基本概念详细论述如下:一个过程行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。COSO的讨论稿则并不这样认为。但有效的企业风险管理仍旧需要企业各管理层不的商业原因而存在的。当企业风险管理机制成为企业的基础设施并真正成为企业的一部分并提高企业预期和任务的实现能力。营过程中有助于管理者抓住企业发展的新机遇。受人的影响/并实施企业的风险管理机制。COSO:EnterpriseRiskManagementFramework(ExposureDraftforPublicComment)一个组织的员工包括董事会成员、管理者和其他人员。尽管企业的董事主要负责监督,但是他们同时也向管理者提供指导,核准企业的战略、某些活动和政策。因此,董事会是企业风险管理的重要组成部分之一。可应用于企业战略的制定应用于整个企业(分配)到各业务部门的活动(如市场部、人力资源部,到各业务流程(房信用审核能在企业的管理流程或组织流程图中尚无明确的定位。企业风险管理要求企业以风险组合的观点看待风险。这会要求企业内负责各业务部门、也可以是定性的。企业的高级管理者应以一种组合的观点看待企业内每个下级层面的风险,以决定企业总的风险组合是否与企业的风险偏好相对应。的风险偏好应通过对特定目标确立相应的风险容忍度的方式在企业内部向下贯彻。风险偏好险偏好,反映出企业的成长性、收益性和风险目标,并在三个目标之间进行平衡。时应用风险管理,其目的是帮助管理者选择与企业的风险偏好相一致的战略。硬件设施。就能够对企业目标的实现提供更高程度的保证。提供合理保证-了解企业战略目标实现的程度;-了解企业经营目标实现的程度;COSO:EnterpriseRiskManagementFramework(ExposureDraftforPublicComment)-企业报告的可靠性;-相关的法律和法规遵守的情况。等等。这些限制使得董事会和管理者无法在企业目标实现方面得到绝对保证。目标的实现的好坏。业风险管理只能合理保证管理者和董事会从宏观上及时了解企业目标实现的进度。(三)企业风险管理的组成要素渗透于企业管理的过程之中,包括:内部环境营造企业的风险文化,并将企业的风险管理和相关的行动计划结合起来。业期望从企业的风险管理获得一定的价值。这一理念还会影响企业风险管理要素的应用方略的成功执行的同时将风险控制在风险偏好的范围内。文化。目标制定根据企业确定的任务或预期,管理者确定企业的战略目标,选择战略方案,确定相关的COSO:EnterpriseRiskManagementFramework(ExposureDraftforPublicComment)子目标并在企业内层层分解和落实,各子目标都应遵循企业的战略方案并与战略方案相联的任务或预期联系在一起,并且这些目标还与企业的风险偏好相一致。企业的目标可以分为四类:-战略目标 是企业的高层次目标与企业的任务和预期相联系并支持企业的任务和期的实现。-经营目标 是指企业经营的效率性和效果性包括经营业绩目标和盈利能力目标于管理者对企业结构和经营的不同选择,各企业的经营目标也不尽相同。-报告目标 指企业报告的有效性包括企业内部和外部的报告既包括财务信息包括非财务信息。-合法性目标 是指企业符合相关的法律和法规。(事项识别(EventIdentification)部因素反映出管理者所做的选择,包括企业的基础设施、人员、生产过程和技术等事项。(Lost-timeaccidents)个了解,这些信息也可以作为风险评估的基础。企业有潜在负面影响的事项是企业的风险,要求企业的管理者对其进行评估和建立反应方响的可能性。对企业负面影响的事项则应在管理者对风险进行评估和反应的阶段予以考虑。风险评估COSO:EnterpriseRiskManagementFramework(ExposureDraftforPublicComment)险进行评估――风险发生的可能性和影响。况下,各业务部门所使用的评估技术应有利于企业在整个企业的范围内对风险的评估。个事项或某类事项对企业的影响。管理者通常只趋于关注中短期的风险,但风险应在企业战略和目标的前提下进行评估。由于战略方向和目标的某些要素涉及较长时期,管理者因而应从长期的角度认识风险,而不能忽视远期会影响企业的风险。了有关风险管理措施后应存在的风险。风险反应风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险容忍度范围之内的风险反应方案。这样有助于风险反应方案的选择,这也是对“现状”提出的挑战。COSO:EnterpriseRiskManagementFramework(ExposureDraftforPublicComment)行政部门或业务单位的管理者可以对风险进行复合式的评估以决定该部门的风险反应方案。未来有其内在的不确定性和所有活动的固有限制。控制活动控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业努力实现其商业目标的过程的一部分。通常包括两个要素:确定应该做什么的一个政策和影响该政策的一系列过程。技术应用的应用软件内部的电脑程序。必要时将信息系统控制与其他手工的过程控制相结合,可以保证信息的完整性、精确性和有效性。(服务端步行动等等。证应用程序的有效和有关界面的错误可以很快地被发现。控制活动反映了一个企业所处的环境和行业,也会反映企业的复杂性、企业的历史和文化。信息和沟通来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传效沟通和交换,如客户、供应商、行政管理部门和股东等。或人机界面。因此,这些信息系统经常是指处理企业相关业务产生的内部数据的系统。战略优势提供新的机会时,这一地位就显得更为重要。COSO:EnterpriseRiskManagementFramework(ExposureDraftforPublicComment)理者注意的潜在事项提早提出警告。现在或现状的数据使企业能够评估在某一特定时点所面临的风险并将其控制在风险容企业的活动以满足企业的风险偏好。反之,董事会也应向管理者传递其所需要的信息并进行反馈和指导。响对信息的解释和对相应的风险或机遇的看法,因此,对于沟通应有一个适当的架构。企业风险管理要素中的地位和职责。沟通渠道还应该保证企业员工能够在各业务部门、业务流程或职能部门间进行风险信息的沟通。大多数情况下,企业内正常的报告路径一般是沟通的适当渠道。而在某些情况下,需要一个单独的信息沟通途径作为防止失败机制,而为一途径在正常情况下是不用的。在所有的情况下,让企业的员工了解企业内并不存在对报告相关信息的报复是很重要的。企业风险管理的运行提供重要的信息。监控对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量控和个别评估都是用来保证企业的风险管理在企业内各管理层面和各部门持续得到执行。就很快被发现。虽然如此,许多使用持续监控的企业仍旧进行风险管理的个别评估。的结合使用会保证企业风险管理长期的有效性。所不同。企业风险管理的内容没有记录并不意味着风险管理无效或无法对风险管理进行评COSO:EnterpriseRiskManagementFramework(ExposureDraftforPublicComment)设计一套记录模式并保持有关的记录。对于敏感性信息的报告也应有其他的沟通渠道,如非法活动或不正当的活动。的所有信息。(四)风险管理要素和企业目标之间的关系1所示。2要素也就代表一个业务流程。图1四类目标—战略、 八要素经营报告和合 标 标 标 标 由水平行表规性目标—由 示。目 目 目 目业务单位子公司垂直栏表示。 企业和其业务单位子公司事 项 确 认目 标 制 定内 部 环 境企业总体层面部门层面略 营 告 战 经 报 合事 项 确 认目 标 制 定内 部 环 境企业总体层面部门层面
各组织单位由矩阵中的第三维表示。Pageof督监Pageof督监控 制 活 动风 险 反 馈风 险 评 估信息和沟通信息和沟通PagePagePAGE22of67COSO:EnterpriseRiskManagementFramework(ExposureDraftforPublicComment)(五)有效性定一个企业的风险管理是否有效是基于对风险管理八要素设计和执行是否正确的评估基础上的一个主观判断。补的风险反应模式可能各自对企业的影响都有限,合并后仍可以保持在风险容忍度的范围内。讲的基本概念。为基准包含在内。一起充分应用风险管理八要素的程度。内部环境风险管理原内部环境风险管理原理 风险文化 董事会 操守和价值观 对胜任能力的承诺 理方法和经营模式 风险偏好 组织结构 职责和权限的分配 人力资源目标制定目标制定战略目标-相关目标-选择目标-风险偏好-风险容忍度事项识别事项识别事项-影响战略及目标的因素-方法和技术-事项的相互依存性-事项类别-风险和机遇COSO:EnterpriseRiskManagementFramework(ExposureDraftforPublicComment)风险评估风险评估固有的和残存的风险-可能性和影响-方法和技术-协相关性风险反应确认风险反应-对可能的风险反应的评估-选择反应-组合观控制活动与风险反应相结合-控制活动的类型-一般控制-应用控制-主体特性风险反应确认风险反应-对可能的风险反应的评估-选择反应-组合观控制活动与风险反应相结合-控制活动的类型-一般控制-应用控制-主体特性信息与沟通信息-战略和整合系统-沟通监控个别评估-持续评估(六)包括内部控制本框架的参考。(七)企业风险管理的局限性完善、运行得如何有效,它也不能保证一个企业永远成功。于人的简单的错误或过失而破产。而且企业风险管理也不能把一个本来就很差的管理者变程,包括风险反应和风险控制过程等。灵丹。(八)各管理层在企业风险管理中的地位和职责一个组织的每个人在企业风险管理中都负有责任。COSO:EnterpriseRiskManagementFramework(ExposureDraftforPublicComment)战略、确定企业高层次的目标和进行广义的资源配置时起到一定的作用。董事会对企业的风险管理负有监督职责,主要通过以下方式实现其职责:了解管理者在企业内部建立有效的风险管理的程度;获知并认可企业的风险偏好;复核企业的风险组合观并与企业的风险偏好相对照;评估企业最重要的风险并评估管理者的反应是否适当。险管理的关注。管理者自的监督活动与企业经营和其他部门的活动到处都存在着交叉。风险管理者的职责,并可以成为企业风险管理委员会的一员。内部审计人员帮助管理者和董事会或审计委员会。其他员工中存在的问题,未遵守有关的行为规则的情况、其他违反政策的行为或非法活动。角度对企业的财务报表进行审计和对企业的内部控制进行复核,直接有助于企业目标的实外部的各相关方并不对企业的风险管理负责。(九)本报告的用途企业根据本报告所采取的行动还应考虑下述各方的地位和利益:董事会成员COSO:EnterpriseRiskManagementFramework(ExposureDraftforPublicComment)董事会成员应该与企业的高级管理人员讨论企业风险管理的状况并在必要的时候进行高级管理人员本研究建议企业的首席执行官应评估企业风险管理的适应性。使用本框架,CEO就可CEO可以将企业的业务部门的负责人和主要职能部门的员工汇集到一起,讨论对企业风险企业内其他成员业风险管理的程度。立法者专业机构少概念和术语的多样性对企业内外部各方都是有利的。教育机构到。(十)报告的组织CEO和其他人员评估企业的风险管理提供帮助。1、企业风险管理的相关性提供整体化反应,把握机会,合理化资本投资。不确定性及成本相关的风险和机遇。价值(注考虑内在和外在环境的信息,并根据变化着的环境来部署宝贵的资源和重新调整企业行为。(或不充分信箱行事,或由于拙劣的战略或执行而受到侵蚀。对战略及实现实体的目标带来风险。实体价值的计量企业风险管理的优点调整风险偏好与战略——风险偏好,在广泛的基础层面上,是公司或其它实体在追求目持广泛调查来确保产品的安全性,并定期在早期开发阶段投入大量资源以支持品牌价值创造。(需要、雇员安全、预定修理相对于非预定修理的成本,以及对据此设定维护安排的反应。运输成本。供应商的职能就是负责补充存货,进一步降低成本。泛的顾客基础而获得额外的收入。使资金合理化——更多关于风险的可靠信息可以使管理部门更有效地评价整体资金需(自身源的需求。业风险管理的一个组成部分——内部控制相关联。所期望的目标,并自始至终避免陷阱和偏差。都是由非管理人员完成的。2、框架纵览被应用于战略设定并贯穿于整个企业。设计该项管理是为了识别可能影响到实体的潜在事育提供一个起点。事件与风险门通过判断潜在事件的可能影响来评估风险,以执行战略和实现目标。企业风险管理的定义企业风险管理的定义如下:制在实体的风险偏好之内,并提供达到关于实体目标的合理保证。该定义反映了特定的基本观念。企业风险管理:是一个过程——它是达到目标的方法,自身不是目的。由人来实现——它不仅仅是政策、调查和形式,而是涉及到机构中每一层次的人。应用于战略制订。应用于整个企业的每一层面和单元,还包括采取在实体层面上对待风险的观点。设计用来识别可能影响实体的事件,并在实体的风险偏好范围内处理风险。向实体的管理层和董事会提供合理保证。准备好在一个或多个独立而又相互重叠的部门实现目标。将在本章后面讨论。下面一些段落讨论如上列出的基本概念。一个过程遍布和内含于管理部门经营业务的方式中。自身履行战略和实现展望或使命的能力。机遇。由人实现制。方式之间,以及与实体的战略和目标之间,需要存在清晰而紧密的联系。应用于制订战略营单元、分支机构和工序。应用于整个企业项目,这些项目可能在实体的组织结构或机构图示中还没有指定位置。(管理部门)好在实体中顺次反映为特定目标确立的风险承受程度。本产生有利影响,但对赚取利息的资本会产生不利影响。险和机遇。风险偏好标及风险。部门选择与实体风险偏好一致的战略。序时,以及在设计有效应对和监控风险的必需的系统之各部分时,要考虑风险偏好。提供合理保证董事会和管理部门能获得如下合理保证:他们能了解实体的战略性目标的完成程度;他们能了解实体的经营性目标的完成程度;实体的报告是可靠的;适用的法律法规得到遵守。会和管理部门不可能有实现目标的绝对保证。实现目标声誉,向股东提供可以信赖的报告,以及遵守法律法规从事经营。该框架从四个方面来看待实体目标:战略性——与高层次目标相关,与实体的使命一致并支持实体使命。经营性——与有效果且有效率地使用实体资源相关。报告性——与实体报告的可信赖度相关。遵从性——与实体遵守适用的法律法规相关。互区别又有重叠的类别——一个特定目标可以归属于不止一个类别——提出了不同的实体别区分开来。(他人值的较为狭窄的定义,即关于阻止或定期查明未经授权获得、使用或处置实体的资产。企业风险管理可期望用来提供实现与报告的可靠性、遵守法律法规相关的目标的合理保证。实现那些类别的目标是处于实体的控制范围之内,并依赖于实体相关的执行效果如何。体接近实现目标的程度。企业风险管理的组成部分程融合在一起。这些组成部分是:内部环境——管理部门提出风险的研究并确立风险偏好。内部环境建立实体人员如何都依赖于该基础。目标设定——目标必须在管理部门识别可能影响其实现的事件之前存在。企业风险管理确保管理部门以适当的程序设定目标,并且所选定的目标支持并与实体的使命或展望一致,同时与实体的风险偏好相符。事件识别——(管理部门)必须识别出可能会对实体产生影响的潜在事件。事件识别风险评估——对识别出的风险进行评估,是为了形成一个决定如何对其实施管理的基风险反应——管理部门根据战略和目标选择一种方法或一套行为,使所评估的风险与(管理)和分配风险。(式)能得到有效实行。信息和交流——通过以某种形式和时间结构识别、掌握并交流信息,可以使人们能够要有效的交流在实体上上下下流动。人们需要接收关于作用和职责的明晰的交流。监管——整个企业风险管理必须得到监管,而且要有必要的调整。这样,该系统可以的评价,或把两者结合起来,而实现的。企业风险管理组成部分及其联系在图2.1的模型中有所描绘。目标设定分都能够并将会影响另一个。目标设定(企业)的不同。目标和组成部分之间的关系2.1中的立方体所示。横行表示,实体及其单元由模型的第三维表示。定实体遵守适用法律中都有所需要。一类别为例,所有八个组成部分对其实现都适用,并且重要。边后面的部分,它代表与特定子公司的遵从目标相关联的内部环境。要注意的是模型的右中栏——报告性目标——而不是经营性目标一栏。2.2代表一个过程流。图2.2事件识别事件识别事件-影响战略和目标的因素-方法论和技巧-事件相互依赖性-事件类别-风险和机遇目标设定战略性目标-相关目标-选定目标-风险偏好-风险承受度内部环境风险管理哲学-风险文化-董事会-诚信和道德观-能力承诺-管理哲学和经营风险-风险偏好-组织结构-权力和责任的分配-人力资源政策和实践风险评估风险评估内部和剩余风险-可能性和影响-方法论和技巧-相互关系风险反应识别风险反应-评价可能的风险反应-选择反应-组合观Page23of67风险反应识别风险反应-评价可能的风险反应-选择反应-组合观PagePagePAGE36of67有效性管理是否“有效”是一种主断言,取决于评估八个组成部分是否存在及真正发挥作用。程度上会有所不同,这样补充的风险反应,单个来看效果有限,合在一起就足够了。概念存在于每一实体中,不论规模大小。单元摆正董事会的位置或只是简单机构(或实体层面的董事会直接给予经营单元必要的监管采用风险组合观,则要使企业风险管理被判定为有效,该经营单元就必须有风险组合观。关风险的机制进行监管,该实体就能实现企业风险管理。自身风险偏好于投资工具的风险偏好之间的一致性,从而保证实体的风险是可以接受的。施,从而把商品的价格风险控制在公司的风险偏好之内。围绕内部控制B描述了企业风险管理是如何比内部控制更具有包容性。企业风险管理及管理过程2.3(此)图2.3管理活动管理活动企业风险管理建立使命,价值观和战略√在设定战略时应用企业风险管理√√建立目标设定过程√√选择实体层面和活动层面的目标√设置执行措施√建立内部环境√√建立风险偏好及规定风险承受度√√识别潜在事件√√评估风险影响及可能性√√识别和评价风险反应√√选择和执行风险反应√实现控制活动√√告知内部及外部各方并进行交流√√监管企业风险管理的其它部分的存在和运行√√3.内部环境部环境,为企业风险管理提供适当的基础。风险管理哲学,反映实体从企业风险管理都有自己的见解。门不仅通过言词,还通过日常行为来加强该哲学。风险偏好成高、中、低三类,或者也会采用定量的方法,反应并均衡增长、回报的目标和风险。战略设定,有助于管理部门选择与实体的风险偏好一致的战略。风险文化门中产生截然不同的风险文化。应用企业风险管理的方式。一家汽油管道公司寻求一种所有员工在日常活动中明确考虑风险的文化。为实现这一这些问题鼓励员工考虑潜在事件对其它部门以及对整个实体的影响。风险亚文化(部门(部门可能更注重要求其(部门认可风险事实董事会度,以及董事会和审计委员会与内部和外部审计之间的交互作用。的不道德行为目前有所作为,董事会成员必须包括外部董事。部门进行必要的检查和协调。内部环境要有效,董事会必须至少大部分上独立外部董事。诚信和道德价值观管理者越来越接受这样一种观点,道德付出及道德行为是获利的买卖。心要素,影响着设计、管理和监管其它企业风险管理组成部分。(可能会导致环境方面的关注。(企业文化)CEO经常设定了道德基调。能会产生有直接(且持久)效果的反应。从事欺骗性或有疑问的报告实践的动机,以及扩展来看,其它形式不道德行为的动机,包括高度依赖于报告财务业绩的报酬,尤其是短期结果,和红利计划的上下限。业绩作虚伪叙述的诱惑。排。员工感觉舒适的向上传达的渠道,会带来相关信息,也是很重要的。(及关于风险和控制CEO4、目标设定和企业风险特点相联系的,并且该目标推动企业活动承受风险的水平。先设定目标,该目标能够鉴别企业为完成任务的风险,然后采取必要的措施来管理风险。战略目标”他的战略和相关目标更加有动力,并且要根据内部外部条件的改变进行调整。选择,例如,企业如何选择来为股东创造价值。当中。表4.1提供了一个公司任务和战略选择以及相关目标的例子表4.1任务任务--提供高质量的易接受的能够提供社会基础上的卫生保健战略目标 --成为中型城市市场第一大或者第二大提供全面卫生保健服务的机构--在核心医疗服务质量上成为四大高质量机构之一--在当地市场上被接受为质量和价格的领导者战略 在还没有占据的目标市场上和卓越的医院联手。--在切实可行的目标市场上接受高质量的正在执行的服务的提供者,否则,考虑利用最少的计划来修复和重建服务。发展所有权的参与和利润分享计划来吸引当地高层优秀医疗机构。在目标市场上为大中型市场企业发展合适的、有目标的市场计划。--利用我们技术发展水平基础上的系统来提供有效的管理和成本控制。--达到符合健康医疗机构和其他适用的法律规则领先记录。相关目标-操作 --和10个处于领先地位的高层正在提供服务的医疗机构进行初次对并且在本年内和两家谈判联手。--在主要的大市场上制定10个其他计划并且实现五年的联谊。--在主要市场上鉴别开创者的需要和动力并且构建替代模型。--今年在至少五个主要市场上确保至少一个高级医疗加入本组织。--在主要市场上和行业领先者组成核心组织来决定计划项目。--为行业客户完善替代模型计划。--在被接受的医院发展迅速应用信息和操作系统的技术。为从现存的系统中的移植制定草案--在一个新地方应用新系统作为模型应用下去报告--在新接受的设备上安装我们的地基系统来提供关于主要业绩计量的管理报告,在月末的四个工作日内利用例外和趋势分析法进行分析。--确保所有的设备精确的及时的报告相应业绩以及有关管理观点的发表报告。--确定单一的报告系统/息。服从 --确定服从办公室(如确定规章,领导者,职工中心,为当地单位提供支持。--其中。--完善公司范围内的医疗过程,药品储藏,剂量,员工分工,以及工作安排,以及医疗机构的所有其他方面的法案。相关目标相对于所有的企业活动来说,确定支持和选择的战略相符合的正确目标对成功来讲是非通过为企业和活动确定目标,一个企业可以鉴定重要的成功因素。这些主要的事情必须在和以前的业绩和活动相一致的目标的地方,活动之间的连接是指导的。然而,在和企风险。在这些案例中,对单位内部和新方向相关的目标的需要是非常重要的。需要被计量和理解的目标的职员必须有对关于什么能够获得以及正在获得的计量方式达成共同的理解。相关目标的分类:尽管企业内部目标的多样性,应该确定一定的广泛分类:经营目标—安全。这些目标因为管理者对机构和业绩的选择而不同。息。类似的环境规则。SEC经营目标强经营效果和效率的子目标。一个企业的经营目标并不明确,那么,其资源也不可能得到很好的配置。报告目标监管机构的报告。遵从目标目标的重叠提供可靠的信息给业务单位管理当局以管理和控制生产活动,可能也能达到经营和报告目标。而且,信息被用来报告环境数据给政府时,也满足了遵从性目标。在企业的财务报表中适当地反映资产损失其实也是报告性目标。目标的达成一旦这些目标被确定下来,那么企业对自己需要做什么以达成这些目标就有一个把握。—这些事件的发生都在控制范围之外。也有可能在目标设定过程中就已经考虑到这些事件,并以一个较低的概率来对待它们,同时,一旦它们发生了就有一个意外事故的计划来应对。然而,这种计划只是减轻了外部事件的影响。它并没有确保目标能达成。局(在监督方面是董事会)被告知企业朝这些目标接近的程度。选定的目标和远景、战略想匹配,即选定的目标必须和企业的风险偏好相一致。风险偏好风险偏好,是由管理当局制定并经董事会复核的,是企业在战略设定中的路标。有些公价值。非盈利性组织也许将风险偏好表达为它们在为利益相关者提供价值时愿意接受的风险。情况。现战略并使企业能处于风险偏好水平之内。风险容忍度相同企业的相关目标来计量。险偏好之内,反过来也能确保企业达成其目标。9897100%之间的一个可接受变动90752425%将只能2436小时之内做出反应。内部环境内部环境目标设定战略设定相关目标选定的目标风险偏好水风险容忍度目标远景战略选择经营性报告行遵从性资产保护匹配和支持管理当局的决策增长,风险和回报资源配置人,过程和组织的基础部分可接受的变动水平目标计量单位事件识别事件识别风险评估风险评估风险反应风险反应控制活动控制活动信息与沟通信息与沟通监控监控5、事件识别事件面的影响,也可能会有负面的影响,甚至会有正负两面的影响。—而不必要关注该事件的潜在影响是正面的还是负面的。别阶段也不应该忽略。影响战略和目标的因素管理层考虑当前的因素以及那些可能在将来出现的因素。外部的因素包括:变动的宏观因素,以及诸如具有新替代产品的竞争者的出现等微观条件。政治因素——事件包括新近选举的政府官员,行政议程以及新的法律法规。社会因素——包括人口变动、新的食品生产和准备方法,家庭结构变动以及工作/生活取向等等事件。科技因素——包括电子商务的发展、数据有用性的扩张以及间接成本的降低等事件。选择,影响将来的事件并影响管理层的决策。内部因素包括:间接成本——事件包括未预期的修理成本或设备不能满足生产需求等。员工——事件包括在职事故数量的增加、人为错误或舞弊行为的增加等。程序——包括产品质量缺陷、未预期的停工或服务延期。公司所需系统的修正。的潜在事件的识别联系在一起。Page37of67Page37of67事件识别方法和技术互式团体工作作为事件识别方法的一部分,并使用一系列的技术工具来帮助参与。新市场条件以及竞争者行为等事件。风险管理上较先进的公司将采用既考虑过去又考虑潜在未来事项的联合技术。5.1例子。表5.1的公司可以列出一张表格,详细列出与软件开发项目相关的普通事件。内部分析——这项工作可以作为企业计划循环过程的一项常规部分,典型地是通过企(其他企业部门或者部门外的专家意见(内部或外部的专家或内部审计人员增加或极限扳机——这些扳机让管理层通过对当前交易或事项与预先确定的原则进结构并考虑在特定的极限满足时,自身产品价格的变动。经验,可以确定重要的潜在事项,使其不会被遗漏。PagePagePAGE39of67监控支付模式可以使违约的潜在性减轻。损失事件数据法——过去单个损失事件的数据库是用来确定发展趋势和根源的一个年龄组的驾驶员之间不成比例。这个分析使管理层确定事件的根源并采取必要的行动。应对部分的基础。事件的相互依赖事件的种类将潜在的事件进行分类可能是有用的。通过整个公司的横向汇总和经营单位的纵向汇评估的基础。将类似的潜在事件集合在一起,管理层可以更好地确定潜在的机会和风险。测量其是否已经确定了与债权违约相关的所有重要潜在事项。另外,事件分类能够加强管理层对整个企业的事件形成一个企业的组合观。与组织单位、职能或经营过程有关的目标分解下去。5.2外部的因素,可以通向列示的例证性事件的类型。表5.2事件种类内部因素外部因素基础结构资产的有用性资产的生产能力资本的获取复杂性兼并/员工员工能力舞弊行为健康和安全判断力渎职证券经验程序能力设计执行供货商/技术数据获取维护传递保密性完整性数据及系统的有用性容量系统选择开发利用-可靠性经济资本的可用性信贷发行违约-集中程度流动性市场资金-现金流市场-商品价格-利率-失业率指数汇率-权益估价-房地产价值商业-品牌/商标-竞争情况-消费者行为-反对党-欺诈-行业标准-所有权结构-公开性-产品相关性科技电子商务外部数据自然环境生物多样性排污、排水和废弃能源火灾自然灾害(地震洪水等)可持续发展运输政治政府变更立法公共政策社会人口结构公司责任环境保护工作私有化区别风险和机遇考虑。表5.3描述了本章中讨论的风险识别的关键要素。5.3内部环境目标设定事件 影响战略目标的因
事件识别方法和技术 事件的相依赖
事件的种类 风险和机遇事故正面的和/或负面的影响
内部因素外部因素
正在进行的定期的过去和未来支持工具
触发事件内在联系
普通的分组
响:风险风险的抵消风险评估风险应对控制活动信息与沟通Page40of67监控Page40of67风险评估的事件应分别从固有风险和剩余风险的基础上进行评估。风险评估的语境固有风险和剩余风险之后剩余的风险。层开始使用风险评估技术对剩余风险进行评估。对可能性和影响进行估计而“概率”则可以用来表明数量计量的结果,如百分比、发生频率或者其他的数字度量。管理层可以选择采用诸如预期的估计或者坏情况评价,或者一个范围或分布区域等术是很重要的。需要认知更长的时间框架,避免忽略那些可能远期之外的风险。Page41of67一家在加里福利亚经营的公司需要考虑地震中断企业经营的风险。没有一个特定的风险评估期间,地震超过里氏一家在加里福利亚经营的公司需要考虑地震中断企业经营的风险。没有一个特定的风险评估期间,地震超过里氏6.0级的可能性是高的,可能实质上就是确定的。而另一方面,两年内发生这样一个地震的可能性是非常低的。通过建立一个世间跨度,企业对风险的相对重要性有了进一步的认识,并且提高了比较多重风险的能力。个特定水平上的公司,会为这个目标设计一个评级或其他的计量指标——比如客户满意指内公司网站不能使用的可能性——最好用相同的计量指标来计量影响。使用可观察的数据管理层评价因设备无法运行而使生产中断的风险,首先是看其以前发生的自身制造设备部件无法运行的频率和影响。然后补充行业基本情况的数据。这就使故障发生可能性和影响的估计更为准确,并使预防维护的工作表更为有效。管理层评价因设备无法运行而使生产中断的风险,首先是看其以前发生的自身制造设备部件无法运行的频率和影响。然后补充行业基本情况的数据。这就使故障发生可能性和影响的估计更为准确,并使预防维护的工作表更为有效。定性和定量的方法和技术充运用于更为复杂的活动中。提供了定量风险评估技术的例子。表6.1用来比较业绩。一些公司使用基准法来评价整个行业潜在事件的影响和可能性。用来比较业绩。一些公司使用基准法来评价整个行业潜在事件的影响和可能性。概率模型——概率模型根据已定的假设将一系列事件及导致的后果与那些事件的可能性联系起来。根据历史数据或者类似的反映未来行为假设的产出来评价可能性和影响。非概率模型——非概率模型使用主观的假设来估计一个没有定性的相关可能性事件的的例子包括敏感性测量、压力测试和情景分析。PagePagePAGE44of67使用定性评价技术来获得可能性和影响的一致性,企业可以采用事件识别时相同的方参与者对未来事件潜在的可能性和影响的观点。和剩余风险的基础上,然后根据两个部门的目标和风险类别进行组织和分类。和剩余风险的基础上,然后根据两个部门的目标和风险类别进行组织和分类。可能性和影响的专用术语,以及定性计量的通用风险类别,有利于风险的综合评价。事件的关系行评估。单一事件的影响可能是微不足道的,而一系列事件则可能有重大的影响。多个企业分部的公司面临的价格波动风险——如纸浆的价格和能源价格——公司将根据各或者一些其它的方式来表示。一个车库的燃气罐的阀门老化致使燃气泄漏;车库的门是关闭的,来保持邻近的办公室的取暖;车库们的远程控制装置被卡车驾驶员将车开进车道而启动,同时存在气体以及车库开启者发动车辆的火花导致了一场爆炸,这些单独的事件联系在一起而导致一个重大风险。事件类别。例如政府利率的变动影响到一个金融服务企业多个业务部门。一个车库的燃气罐的阀门老化致使燃气泄漏;车库的门是关闭的,来保持邻近的办公室的取暖;车库们的远程控制装置被卡车驾驶员将车开进车道而启动,同时存在气体以及车库开启者发动车辆的火花导致了一场爆炸,这些单独的事件联系在一起而导致一个重大风险。要求风险评估应该根据固有风险和伴随风险应对措施而来的风险(下章讨论)来进行。表6.2列示了本章所述的风险评估的关键要素。表6.2内部环境目标设定事件识别风险评估固有和剩余风险 可能性和影响
定性和定量方法及技术
相互关系在管理层采取措施之前;管理层采取措施之后预期的和未预期的
预期的,较坏的情形,分布情况时间跨度计量单位可观察数据
定量定性风险基础
事件顺序种类压力测试情景风险应对控制活动信息与沟通监控风险应对的风险承受度,选择一个可带来预期可能性和影响的应对措施。确认风险应对措施风险应对措施可以分为以下几种:新市场的扩张,或卖掉一个分部等。减轻——采取措施来减轻风险的可能性和/或影响,可以包括企业日常经营活动中的任何一个决策中;外包。7.1提供了上述类别中的风险应对措施的例证。表7.1规避——一个非盈利组织对其员工提供的直接医疗服务的风险进行识别和评估,决定不接受相关联的风险,该组织决定提供一个转诊介绍服务来替代;规避——一个非盈利组织对其员工提供的直接医疗服务的风险进行识别和评估,决定不接受相关联的风险,该组织决定提供一个转诊介绍服务来替代;3技术进行投资来减轻该风险;分担——一所大学对管理学生宿舍相关的风险进行识别和评估,得出结论,认为学校没有必备的内部能力来有效地管理大的住宅资产,学校将宿舍管理外包给一家资产管理公司,能更好地减轻资产相关风险的影响和可能性。接受——一个政府机构对火灾引起的不同地理区域基础设施的风险进行识别和评估,并评估了采用保险来分担该风险影响的成本,得出结论,认为保险的增量成本与相关的支出超过可能的重置成本,因而决定接受该风险。业的风险承受度以内。的应对措施可能要求市场研究测试和分析。一个大的软件开发商考虑对其建筑物进行保险以避免火灾破坏。在分析了与建筑物损失相关的风险的过程中,发现火灾的绝大部分影响不是建筑物的财务损失,而是员工流离失所和经营的中断。公司认为自身有重建建筑物的能力,并得出不需要对建筑物进行火灾保险的结论。公司将接受建筑物财务损失的风险,而选择将资源重新配置来解决在损失之后如何利用和装备员工的问题。Page45of67作为企业风险管理的一部分,企业对重大风险从一系列应对措施中考虑潜在的应对措施,这体现了风险应对选择的足够深度,同时也对“现状”提出了挑战。一个大的软件开发商考虑对其建筑物进行保险以避免火灾破坏。在分析了与建筑物损失相关的风险的过程中,发现火灾的绝大部分影响不是建筑物的财务损失,而是员工流离失所和经营的中断。公司认为自身有重建建筑物的能力,并得出不需要对建筑物进行火灾保险的结论。公司将接受建筑物财务损失的风险,而选择将资源重新配置来解决在损失之后如何利用和装备员工的问题。Page45of67PagePagePAGE53of67在决定采取可能的应对措施时,管理层应该考虑以下事务:评价可能的风险应对措施对风险可能性和影响的效果——以及哪一个风险应对措施与企业的风险承受度保持一致;评估可能的风险应对措施的成本与效益;在处理特定风险之外,对达到企业目标可能存在的机会。评价可能的风险应对措施评价应对措施对可能性和影响的后果一项针对计算机中心的企业持续计划,在减轻诸如地震这样的灾难的影响时,对地震发生的可能性不会产生效果。相反,当选择把公司的计算机中心建在一个更为稳一项针对计算机中心的企业持续计划,在减轻诸如地震这样的灾难的影响时,对地震发生的可能性不会产生效果。相反,当选择把公司的计算机中心建在一个更为稳估中建立的相关风险相同的计量单位。评估成本效益本考虑在内。在其他一些情况下,对成本进行量化则可能比较困难。对投入的时间和精力进行量化,或者管理特定的内部因素比如管理层道德价值义务以及执行事件识别和风险评估的员工的胜任能力进行量化都是比较困难的。在采集外部信息——比如关于客户偏好演进的市场信息——也是比较困难的。事件的性质以及事件对企业可能有的潜在的财务或经营的影响。率和敏感性分析等事项。风险应对措施中的机会事件识别描述了企业风险管理如何来识别影响企业目标实现的事件——正面影响或者所选的应对措施的执行,这些程序就是控制活动。所固有的未来部确定性以及限制。迭代程序在对发电中使用的天然气价格上涨的风险采取应对措施时,电力公司考虑和客户签署结构性的合约,来使价格变动的大部分影响转移给客户。伴随着这个措施,公司将天然气价格波动的风险与客户分担。然而,天然气价格反向变动将导致较高的客户订单,并且伴有潜在的客户不满和缺陷。这些新的风险也应作为因素放入到风险应对措施分析中去。些可能不会立即发生的风险。在对发电中使用的天然气价格上涨的风险采取应对措施时,电力公司考虑和客户签署结构性的合约,来使价格变动的大部分影响转移给客户。伴随着这个措施,公司将天然气价格波动的风险与客户分担。然而,天然气价格反向变动将导致较高的客户订单,并且伴有潜在的客户不满和缺陷。这些新的风险也应作为因素放入到风险应对措施分析中去。组合观观点反映了与该单位目标和风险承受度相关的风险观。励单个经营部门的管理者在目标区域内接受更大的风险,来提高整个企业的增长和回报。者将减轻其他事件负面影响的事件,以及所有应对措施的汇总影响。一个公司的不同经营单位面临不同的价格波动风险——来自多个供应商的零部件的价格——该公司在每个经营单位内根据市场波动来评估风险,然后以一个描述潜在概率和影响的范围的分布图形式来报告组合的结果。另一个拥有多个经营单位的公司——每一个单位暴露在金价波动的风险中——将针对金价的潜在波动采取相同的风险应对措施,并汇总到一个单一的计量指标,来反映其整个库存金子一个公司的不同经营单位面临不同的价格波动风险——来自多个供应商的零部件的价格——该公司在每个经营单位内根据市场波动来评估风险,然后以一个描述潜在概率和影响的范围的分布图形式来报告组合的结果。另一个拥有多个经营单位的公司——每一个单位暴露在金价波动的风险中——将针对金价的潜在波动采取相同的风险应对措施,并汇总到一个单一的计量指标,来反映其整个库存金子1$/盎司的净影响。7.2表7.2表7.2表7.2内部环境目标设定事件识别风险评估风险评估风险应对确定风险应对措施评价可能的风险应对措施选择应对措施组合观规避减轻分担接受影响可能性成本效益创新性应对措施管理层决策企业层面经营单位层面固有的和剩余的基础控制活动信息与沟通控制活动信息与沟通监控监控控制活动授权、审核、调整、经营业绩评价、资产安全以及职责分离。行。控制活动分别应用于四类目标中的每一类中——战略、经营、报告、执行。在一个零售链中,为客户商品返还发行的信用的完整性通过数字化文件序列来予以电子化控制,然后为报告的目的进行汇总。该汇总也提供了一个产品的分析,可用于商品管理者将来的购买决策以及存货控制,在这种情况下,最初为报告目的建立的控制活动也服务于经营目标。动可服务于有效的执行等等。在一个零售链中,为客户商品返还发行的信用的完整性通过数字化文件序列来予以电子化控制,然后为报告的目的进行汇总。该汇总也提供了一个产品的分析,可用于商品管理者将来的购买决策以及存货控制,在这种情况下,最初为报告目的建立的控制活动也服务于经营目标。特定活动的目标中扮演的角色重要。与风险应对结合为一体目标、风险应对措施以及控制之间的联系如下所示:目标是“达到或超过销售目标”,风险包括对当前和潜在顾客需求之类的外部因素了解不足,为减少风险出现的可能性和影响,管理层建立了现有顾客的购买的历史纪录,并执行了新的市场研究行动,这些活动都是建立控制活动的关键点。控制活动可包括将顾客购买的历史纪录的建立进展情况与设定的事件进度表对比,并采取步骤确保报告数据的准确性,通过这个方法,控制活动直接建立在管理层的程序中。上。控制活动是企业努力实现经营目标过程中的一个组成部分。目标、风险应对措施以及控制之间的联系如下所示:目标是“达到或超过销售目标”,风险包括对当前和潜在顾客需求之类的外部因素了解不足,为减少风险出现的可能性和影响,管理层建立了现有顾客的购买的历史纪录,并执行了新的市场研究行动,这些活动都是建立控制活动的关键点。控制活动可包括将顾客购买的历史纪录的建立进展情况与设定的事件进度表对比,并采取步骤确保报告数据的准确性,通过这个方法,控制活动直接建立在管理层的程序中。另一方面,可能有必要针对一项风险应对措施考虑多种控制活动。通常直接建立在管理者的程序中。控制活动的类型准确——来分类。8.1变性,而不是对特定种类提供任何的建议。表8.1区域和贷款(间接的)类型来检查报告。检查整体情况并确定发展趋势,将结果与经济统计和目标联系起来,随后,分支行经理接受贷款负责人新业务以及当地消费者分组的数据。分支行经理也关注执行的情况,检查监管者要求的报告,对超过特定金额的新的贷款,每日编制现金流余额调节表。所报告的财务状况净额集中在突然的转移支付和投资上。信息处理——为检查业务的准确性、完整性以及授权情况,企业采取了很多的控制:所输入的数据服从于在线编辑检查或与批准的文件相匹配。例如一位顾客的订单只有在考虑了批准的顾客文件记录及信贷限额之后才能接受,无数的系列业务的说明,例外情况追踪并报告给监管者,开发新的系统以及改变现存系统的控制。正如数据、文件记录和程序的接触处理一样。实物控制——设备、存货、证券、现金以及其他资产应保证实物安全,并定期清点,与控制记录上显示的金额进行比较;业绩指标——将不同集合的数据——经营的或财务的——相互联系起来,并与相互联系的分析以及检查和更正活动一起,作为一项控制活动。例如职能单位的员工流失率衡量指标包括:通过检查未预期的结果或不寻常的趋势,管理层识别出能力不足以完成关键程序,则可能意味着很小可能达到目标。管理者如何利用这个信息——仅为经营决策,或者也跟踪到外部财务报告系统报告的未预期后果——决定是否业绩指标的分析仅仅服务于经营目的还是同时满足外部财务报告控制的目的。政策和程序户净值和年龄的关系。(所有者管理者合一走下大厅直接与下级人员进行沟通——什么地方出错了以及应该做什么。一般控制/提供了这些类别一般控制的例证。8.2信息技术管理——一个指导委员会提供监督,监控并报告信息技术活动及改进措施。信息技术管理——一个指导委员会提供监督,监控并报告信息技术活动及改进措施。信息技术基础设备——控制适用于系统定义、采购、安装、配置、集成和维护、控制可包括服务水平协议——建立和加强系统业绩,企业持续计划——维护系统有效,追溯网络运行、运行失败以及计算机运行表。信息基础设备的系统软件组成包括管理层或指导委员会审核和批准重大的新采购、限制接触系统配置和运行系统软件、自动协调以及通过中间设备访问和校验位检查沟通错误。系统软件控制包括事件追踪、系统联机、以及检查数据改变用途的详细使用报告。安全性管理——保护以避免不恰当的接触和未经授权的使用。逻辑性接触控制如安全密码限制接触网络、数据库和执行水平。使用者帐户和相关的接触特权帮助将授权使用者限制在执行或其工作所需的执行功能。因特网防火墙以及有效的私人网络保护数据免于未经授权的外部接触。软件采购、开发和维护——对软件采购和执行的控制,包括建档要求、使用者接受测试、压力测试和项目风险评估等在内的与管理变动过程结合在一起。接触源代码通过代码数据库控制。软件开发者工作与开发/产环境。系统改变的控制包括改变请求所需的授权、改变的审核、批准、建档、测试、其他信息技术组成部门改变的推断,压力测试结果以及执行草案。营程序改进、完全质量管理以及缺陷鉴别和管理。应用控制持运行的有效性,并且界面(接口)错误可以很快地检查出来。行控制。8.3和检查不正确、不完整、不一致或不恰当的数据采集和处理的多种应用控制的一部分。表8.3平衡控制活动——通过将手工或自动采集的数额调节至一个控制总额来检查数据平衡控制活动——通过将手工或自动采集的数额调节至一个控制总额来检查数据逻辑测试——包括使用范围测试或价值、文字数字测试。一个政府机构通过检查所有的输入数是九位数来检查社会保障号的潜在错误。逻辑测试——包括使用范围测试或价值、文字数字测试。一个政府机构通过检查所有的输入数是九位数来检查社会保障号的潜在错误。企业特定的控制制造商必须比那些典型的服务性公司管理更多的环境风险。杂性以及信息处理方法等。8.4提供了本章论述的控制活动的关键要素。表8.4内部环境内部环境目标设定目标设定事件识别事件识别风险评估风险评估风险应对风险应对控制活动与风险应对结合为一体控制活动的类型一般控制应用控制企业特定的控制直接建立在管理过程中内部相关政策程序防止检查手工自动信息技术管理信息技术设备安全性管理软件开发和维护完整性准确性授权有效性企业特定的战略和目标经营环境企业的复杂性信息与沟通信息与沟通监控监控Page54of67PagePagePAGE66of67信息与沟通重要信息的方式,同时也存在与外部集团的有效沟通。每个企业识别并采集与企业管理相关的信息——财务的与非财务的,与外部和内部事间表进行传递。信息理活动的基础。的价值。来自企业内部和外部的、财务和非财务的经营信息与企业的所有目标相关。一些系统提供顾客交易和持续监督,并与规则导向的工作流程一起用来减轻企业日常经营活动的风险,其他一些系统采集顾客满意情况、以产品和区域来确认和报告销售情况、客户的盈亏情况、销售退回和折让的要求、产品保证条款的应用以及顾客反馈等方面的信息。这些信息可由调查问卷、会议、市场需求研究或专门工作组提供的市场、科技或服务相关的信息进行补充。一些系统提供顾客交易和持续监督,并与规则导向的工作流程一起用来减轻企业日常经营活动的风险,其他一些系统采集顾客满意情况、以产品和区域来确认和报告销售情况、客户的盈亏情况、销售退回和折让的要求、产品保证条款的应用以及顾客反馈等方面的信息。这些信息可由调查问卷、会议、市场需求研究或专门工作组提供的市场、科技或服务相关的信息进行补充。和其他联合组织的成员也能提供有价值的信息。动的方式和时间表报告并处理这些信息。战略和一体化的系统有效地结为一体。需求等。由于信息系统是有效企业风险管理的基础,风险管理技术可辅助做出技术决策。系统支持战略行动(便捷途径)已经改变为客户面对因特网预约系统,大大减少或取消了传统的游客麻烦。与经营活动结为一体经营活动的例子。很多公司具有公司范围内的信息系统,比如企业资源计划(ERP。这些运用有利于获取以前职能或部门的存储的信息,并且不断被广泛发展的管理所采用。工分享贯穿于整个组织的革新解决方案。管理层对应引起注意的潜在事件的预警提供保证。观点,并与预期对比发现不同。管理层使用历史的根据类别确定的每位销售员工的销售额,与当前销售类别的销售数据以及募集渠道,并将结果映射到目标收入。该结果的分析,与目标和风险承受度相比,做出招募、培训、营销和相关事务的决策。在风险偏好之内。管理层使用历史的根据类别确定的每位销售员工的销售额,与当前销售类别的销售数据以及募集渠道,并将结果映射到目标收入。该结果的分析,与目标和风险承受度相比,做出招募、培训、营销和相关事务的决策。使用的财务报表,也用于内部报告和监控业绩。信息系统的发展提高了许多企业计量和监控业绩的能力,以及提供企业层次的分析性数据的能力,伴随着企业新的技术能力出现,采用这些能力系统的复杂性和完整性不断进步,犯罪——这些新的风险也必须纳入企业风险管理程序中加以考虑。信息的深度和及时性信息质量性非常重要,不准确的数据可能导致未识别的风险或风险评估不足、管理层决策失误。信息质量包括是否确定:内容是恰当的——详尽程度是否合适?信息是及时的——是否在需要时提供?信息是最新的——是否是最近的可获取的信息?信息是准确的——数据是否正确无误?信息是可以取得的——需要的人员是否可以容易获得这些信息?企业的内部、外部,并且必须在经常性的不同系统内无阻碍地自由流动。什么信息系统——作为企业风险管理的构成要素——也必须加以控制的原因。沟通沟通是信息系统的内在要求,如前所述,信息系统必须向恰当的员工提供信息,以使他例外事项的处理、个人的和团体的责任以及其他的重要事项等等。内部管理层为员工的行为期望和责任提供特定的和直接的沟通,包括一个清晰的关于企业风保持一致。沟通应有效地:确保对有效的企业风险管理重要性和相关性的意识;沟通企业的风险偏好和风险承受力;使用和支持通用的风险术语;对员工在有效和支持企业风险管理构成要素中的角色和责任进行建议。是非常重要的。弊者这样的错误列报可能是非法的或者是不恰当的。每天处理关键的经营事务的前线员工经常处于最好的位置,可以在问题发生时发现它序缺陷;采购员工可能面临来自供货商的不当诱惑。些情况下,当正常的渠道不能运作时,单独的沟通路线需要充当一个自动防护故障装置。果既没有一个开放的沟通渠道,也没有一个自愿的倾听意愿,向上的信息流就会阻塞。确的信息,即鼓励员工报告可疑的违反企业行为守则的行为,以及报告员工所受的待遇。最关键的沟通渠道是高级管理层和董事会之间的沟通渠道,管理层必须让董事会了解最导;同样,董事会也应与管理层沟通需要什么样的信息并提供反馈和指导。外部通过开放的外部沟通渠道,顾客和供应商能够
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 河道截污及生态修复施工组织设计
- 烧结砖路面施工方案及技术措施
- 研磨作业粉尘净化系统安装调试施工方案及技术措施
- 2026年建筑绿化施工合同
- 布袋式焊烟净化器安装调试施工方案及技术措施
- 产房发生永久起搏器故障时的应急演练脚本
- 楼宇亮化工程施工方案
- 医院孕产妇和新生儿危急重症救治中心工作汇报
- 中级制冷工考试题及答案
- 2026年福建厦门市思明区市场监督管理局补充非在编辅助岗人员2人模拟试卷及答案详解【各地真题】
- 风电场道路分包合同
- 2026湖北交投襄阳高速公路运营管理有限公司一线工作人员招聘考试参考题库及答案详解
- DB11-T 1610-2026 民用建筑信息模型深化设计建模细度标准
- 《中华人民共和国生态环境法典》深度培训
- 2026年中考语文作文热点:科技、AI主题作文范文
- 设备应急供货保障方案
- npds考试题及答案
- 2026年基层医疗机构医疗物资配送难点与对策
- 2026年新能源重卡行业分析报告及未来发展趋势报告
- 反比例函数 单元作业设计
- 零星维修工程项目施工方案
评论
0/150
提交评论