COSO更新版《企業(yè)風(fēng)險(xiǎn)管理框架》(3)

1、企業(yè)風(fēng)險(xiǎn)管理框架4、風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估可以使企業(yè)了解潛在事項(xiàng)如何影響企業(yè)目標(biāo)的實(shí)現(xiàn)。管理者應(yīng)從兩個(gè)方面對風(fēng)險(xiǎn)進(jìn)行評估一一風(fēng)險(xiǎn)發(fā)生的可能性和影響。風(fēng)險(xiǎn)發(fā)生的可能性是指某一特定事項(xiàng)發(fā)生的可能性，影響則是指事項(xiàng)的發(fā)生將會(huì)帶來的影響。對風(fēng)險(xiǎn)發(fā)生的可能性和影響的估計(jì)經(jīng)常需要使用從過去的可觀察事項(xiàng)得到的數(shù)據(jù)，這比沒有任何數(shù)據(jù)的、完全的主觀估計(jì)要客觀得多。根據(jù)企業(yè)自己的經(jīng)驗(yàn)在企業(yè)內(nèi)部產(chǎn)生的數(shù)據(jù)帶有較少的人的主觀偏見，能夠得到比外部數(shù)據(jù)更好的結(jié)果。但是，即使是以內(nèi)部數(shù)據(jù)作為主要的資料來源，外部數(shù)據(jù)仍能用作一個(gè)檢查標(biāo)準(zhǔn)或者改進(jìn)分析。當(dāng)使用過去數(shù)據(jù)對未來進(jìn)行預(yù)測時(shí)使用者必須小心，因?yàn)橛绊戇^去事項(xiàng)的有關(guān)因素可能會(huì)隨著

2、時(shí)間的推移而改變。一個(gè)企業(yè)風(fēng)險(xiǎn)評估的方法通常是定量方法和定性分析技術(shù)的組合。當(dāng)風(fēng)險(xiǎn)本身無法量化時(shí)，或者量化評估所要求充足的可靠的數(shù)據(jù)實(shí)際不可獲得或者數(shù)據(jù)獲得或分析不符合成本效益原則時(shí)，管理者通常會(huì)采用定性的分析技術(shù)。定量的分析技術(shù)通常更加精確，一般用于更為復(fù)雜多變的活動(dòng)，作為定性分析的補(bǔ)充。一個(gè)企業(yè)不需要在每個(gè)業(yè)務(wù)部門都使用同樣的評估技術(shù)。相反，對評估技術(shù)的選擇應(yīng)反映出對精確性的需要和該業(yè)務(wù)部門的文化。在任何情況下，各業(yè)務(wù)部門所使用的評估技術(shù)應(yīng)有利于企業(yè)在整個(gè)企業(yè)的范圍內(nèi)對風(fēng)險(xiǎn)的評估。在衡量目標(biāo)的實(shí)現(xiàn)程度時(shí)，管理者經(jīng)常使用業(yè)績計(jì)量指示。當(dāng)考慮某一風(fēng)險(xiǎn)對實(shí)現(xiàn)某一特定目標(biāo)的潛在影響時(shí)，使用這些計(jì)量

3、指標(biāo)同樣有效。管理者可以評估各事項(xiàng)之間的關(guān)系，因?yàn)橐幌盗邢嗷リP(guān)聯(lián)的事項(xiàng)結(jié)合起來會(huì)使得事項(xiàng)的發(fā)生概率或事項(xiàng)的影響發(fā)生重大變化。雖然一個(gè)單一事項(xiàng)的影響可能很小，但是這樣一系列事項(xiàng)則可能對企業(yè)造成重大影響。各潛在事項(xiàng)之間可能并不直接相關(guān)，這時(shí)管理者可以分別對其進(jìn)行評估，但是當(dāng)某些風(fēng)險(xiǎn)可能在企業(yè)的多個(gè)業(yè)務(wù)部門出現(xiàn)時(shí)，管理者可以將所確認(rèn)的風(fēng)險(xiǎn)歸為一類進(jìn)行評估。通常一個(gè)潛在事項(xiàng)結(jié)果是一個(gè)可能的范圍值，管理者應(yīng)將其作為制定風(fēng)險(xiǎn)反應(yīng)方案的基礎(chǔ)。通過風(fēng)險(xiǎn)評估，管理者可以了解潛在事項(xiàng)在整個(gè)企業(yè)內(nèi)對企業(yè)的正面和負(fù)面的影響，單個(gè)事項(xiàng)或某類事項(xiàng)對企業(yè)的影響。管理者通常只趨于關(guān)注中短期的風(fēng)險(xiǎn)，但風(fēng)險(xiǎn)應(yīng)在企業(yè)戰(zhàn)略和目標(biāo)的前

4、提下進(jìn)行評估。由于戰(zhàn)略方向和目標(biāo)的某些要素涉及較長時(shí)期，管理者因而應(yīng)從長期的角度認(rèn)識風(fēng)險(xiǎn)，而不能忽視遠(yuǎn)期會(huì)影響企業(yè)的風(fēng)險(xiǎn)。首先，應(yīng)對企業(yè)的固有風(fēng)險(xiǎn)進(jìn)行評估。固有風(fēng)險(xiǎn)是指管理者在沒有采取任何會(huì)改變風(fēng)險(xiǎn)減少發(fā)生的可能性或影響的管理措施的情況下企業(yè)所面臨的風(fēng)險(xiǎn)。一旦確定了對固有風(fēng)險(xiǎn)的風(fēng)險(xiǎn)反應(yīng)方案，管理者就可以使用風(fēng)險(xiǎn)評估技術(shù)確定企業(yè)的殘留風(fēng)險(xiǎn)。殘留風(fēng)險(xiǎn)是指管理者采取了有關(guān)風(fēng)險(xiǎn)管理措施后應(yīng)存在的風(fēng)險(xiǎn)。5.風(fēng)險(xiǎn)反應(yīng)管理者可以制定不同風(fēng)險(xiǎn)反應(yīng)方案，并在風(fēng)險(xiǎn)容忍度和成本效益原則的前提下，考慮每個(gè)管理者可以制定不同風(fēng)險(xiǎn)反應(yīng)方案，并在風(fēng)險(xiǎn)容忍度和成本效益原則的前提下，考慮每個(gè)方案如何影響事項(xiàng)發(fā)生的可能性和事項(xiàng)對

5、企業(yè)的影響，并設(shè)計(jì)和執(zhí)行風(fēng)險(xiǎn)反應(yīng)方案。考慮各風(fēng)險(xiǎn)反應(yīng)方案并選擇和執(zhí)行一個(gè)風(fēng)險(xiǎn)反應(yīng)方案是企業(yè)風(fēng)險(xiǎn)管理不可分割的一部分。有效的風(fēng)險(xiǎn)管理要求管理者選擇一個(gè)可以使企業(yè)風(fēng)險(xiǎn)發(fā)生的可能性和影響都落在風(fēng)險(xiǎn)容忍度范圍之內(nèi)的風(fēng)險(xiǎn)反應(yīng)方案。風(fēng)險(xiǎn)反應(yīng)可分為規(guī)避風(fēng)險(xiǎn)、減少風(fēng)險(xiǎn)、共擔(dān)風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)四類。規(guī)避風(fēng)險(xiǎn)是指采取措施退出會(huì)給企業(yè)帶來風(fēng)險(xiǎn)的活動(dòng)。減少風(fēng)險(xiǎn)是指減少風(fēng)險(xiǎn)發(fā)生的可能性、減少風(fēng)險(xiǎn)的影響或者兩者同時(shí)減少。共擔(dān)風(fēng)險(xiǎn)是指通過轉(zhuǎn)嫁或與他人共擔(dān)一部分風(fēng)險(xiǎn)來降低風(fēng)險(xiǎn)發(fā)生的可能性或影響。接受風(fēng)險(xiǎn)則是不采取任何改變風(fēng)險(xiǎn)發(fā)生的可能性或影響的行動(dòng)。作為企業(yè)風(fēng)險(xiǎn)管理的一部分，對于每一個(gè)重要的風(fēng)險(xiǎn)，企業(yè)都應(yīng)按風(fēng)險(xiǎn)反應(yīng)的類型考慮所有

6、的風(fēng)險(xiǎn)反應(yīng)方案，這樣有助于風(fēng)險(xiǎn)反應(yīng)方案的選擇，這也是對 “現(xiàn)狀 ”提出的挑戰(zhàn)。選定某一個(gè)風(fēng)險(xiǎn)反應(yīng)方案后，管理者應(yīng)在殘留風(fēng)險(xiǎn)的基礎(chǔ)上重新評估風(fēng)險(xiǎn)，即從企業(yè)總體的風(fēng)險(xiǎn)組合的、預(yù)測的角度重新計(jì)量風(fēng)險(xiǎn)。管理者可以采取一定的方法使得每一生產(chǎn)部門、行政部門或業(yè)務(wù)單位的管理者可以對風(fēng)險(xiǎn)進(jìn)行復(fù)合式的評估以決定該部門的風(fēng)險(xiǎn)反應(yīng)方案。這種視角可以反映相對于各部門的目標(biāo)和風(fēng)險(xiǎn)容忍度該部門的風(fēng)險(xiǎn)組合。在對各個(gè)獨(dú)立部門的風(fēng)險(xiǎn)有一個(gè)認(rèn)識的基礎(chǔ)上，企業(yè)最高層的管理者應(yīng)以組合的角度看待風(fēng)險(xiǎn)，以決定企業(yè)的風(fēng)險(xiǎn)組合與相對企業(yè)目標(biāo)而言的總體的風(fēng)險(xiǎn)偏好是否相符。管理者應(yīng)認(rèn)識到一定水平的殘留風(fēng)險(xiǎn)總是存在的，這不僅是因?yàn)橘Y源的有限性，還

7、因?yàn)槲磥碛衅鋬?nèi)在的不確定性和所有活動(dòng)的固有限制。6.控制活動(dòng)控制活動(dòng)是幫助保證風(fēng)險(xiǎn)反應(yīng)方案得到正確執(zhí)行的相關(guān)政策和程序?？刂苹顒?dòng)存在于企業(yè)的各部分、各個(gè)層面和各個(gè)部門。控制活動(dòng)是企業(yè)努力實(shí)現(xiàn)其商業(yè)目標(biāo)的過程的一部分。通常包括兩個(gè)要素：確定應(yīng)該做什么的一個(gè)政策和影響該政策的一系列過程。由于企業(yè)的控制活動(dòng)與企業(yè)的信息系統(tǒng)廣泛相關(guān)，因此，應(yīng)對企業(yè)所有的重要系統(tǒng)進(jìn)行控制。廣義來講，對信息系統(tǒng)控制活動(dòng)可以分為兩類。一類是一般控制，這類控制應(yīng)用于大多數(shù)應(yīng)用系統(tǒng)，有助于保證系統(tǒng)的持續(xù)地、正確地運(yùn)行。另一類是應(yīng)用控制，包括用于控制技術(shù)應(yīng)用的應(yīng)用軟件內(nèi)部的電腦程序。必要時(shí)將信息系統(tǒng)控制與其他手工的過程控制相結(jié)合

8、，可以保證信息的完整性、精確性和有效性。一般控制包括對信息技術(shù)管理、信息技術(shù)基礎(chǔ)設(shè)施、保密管理和軟件的購買、開發(fā)和維護(hù)的控制。這些技術(shù)應(yīng)用于所有的系統(tǒng)，從主機(jī)到客戶端（服務(wù)端）到桌面電腦環(huán)境。信息技術(shù)管理控制主要包括明確信息技術(shù)的勘漏過程、監(jiān)督和報(bào)告信息技術(shù)活動(dòng)及業(yè)務(wù)改進(jìn)的初步行動(dòng)等等。應(yīng)用控制的目的是保證數(shù)據(jù)獲得和業(yè)務(wù)處理過程的完整性、精確性、授權(quán)和有效性。依靠信息系統(tǒng)控制運(yùn)行的有效可以保證當(dāng)需要時(shí)每個(gè)應(yīng)用程序可以在界面上產(chǎn)生有關(guān)數(shù)據(jù)，保證應(yīng)用程序的有效和有關(guān)界面的錯(cuò)誤可以很快地被發(fā)現(xiàn)。因?yàn)槊恳粋€(gè)主體都有其自己的一套目標(biāo)和執(zhí)行目標(biāo)的方法，因此其子目標(biāo)、結(jié)構(gòu)和相關(guān)的控制活動(dòng)也會(huì)不同。即使兩個(gè)企

9、業(yè)有同樣的目標(biāo)和結(jié)構(gòu)，他們的控制活動(dòng)可很可能不同。每個(gè)企業(yè)的管理人員都不同，不同的管理人員在影響內(nèi)部控制時(shí)使用不同的個(gè)人判斷。而且，控制活動(dòng)反映了一個(gè)企業(yè)所處的環(huán)境和行業(yè)，也會(huì)反映企業(yè)的復(fù)雜性、企業(yè)的歷史和文化。7.信息和溝通來自于企業(yè)內(nèi)部和外部的相關(guān)信息必須以一定的格式和時(shí)間間隔進(jìn)行確認(rèn)、捕捉和傳遞，以保證企業(yè)的員工能夠執(zhí)行各自的職責(zé)。有效的溝通也是廣義上的溝通，包括企業(yè)內(nèi)自上而下、自下而上以及橫向的溝通。有效的溝通還包括將相關(guān)的信息與企業(yè)外部相關(guān)方的有效溝通和交換，如客戶、供應(yīng)商、行政管理部門和股東等。企業(yè)內(nèi)部各個(gè)管理者都需要信息來幫助識別、評估風(fēng)險(xiǎn)和對風(fēng)險(xiǎn)進(jìn)行反應(yīng)，以及進(jìn)行經(jīng)營并實(shí)現(xiàn)企業(yè)

10、的目標(biāo)。相對于某一類或幾類目標(biāo)，某一批信息是有用的。企業(yè)的信息來自于各個(gè)方面，包括內(nèi)部和外部的信息、量化的和非量化的信息，以使得企業(yè)的風(fēng)險(xiǎn)管理可以對現(xiàn)實(shí)世界中不斷變化的條件及時(shí)作出反應(yīng)。將大量的信息進(jìn)行處理，提煉出或指導(dǎo)行動(dòng)的信息是企業(yè)管理者所面臨的一個(gè)挑戰(zhàn)。解決這一問題的方法是建立一個(gè)信息系統(tǒng)底層結(jié)構(gòu)來確認(rèn)、捕捉、處理、分析和報(bào)告相關(guān)信息。這些信息系統(tǒng)通常是電腦系統(tǒng)，但也包括手工錄入或人機(jī)界面。因此，這些信息系統(tǒng)經(jīng)常是指處理企業(yè)相關(guān)業(yè)務(wù)產(chǎn)生的內(nèi)部數(shù)據(jù)的系統(tǒng)。長期以來信息系統(tǒng)是用來支持企業(yè)的商業(yè)戰(zhàn)略，當(dāng)業(yè)務(wù)需要變化和有關(guān)技術(shù)為企業(yè)獲得一地位就顯得更為重要。為支持有效的企業(yè)風(fēng)險(xiǎn)管理，一個(gè)企業(yè)會(huì)捕

11、捉和使用歷史和現(xiàn)在的數(shù)據(jù)。歷史數(shù)據(jù)使企業(yè)能夠?qū)?shí)際業(yè)績與目標(biāo)、計(jì)劃和期望相比較，能夠更加深入了解企業(yè)在不斷變化的環(huán)境下是如何生存的，使得管理者確認(rèn)相關(guān)性和趨勢并預(yù)測未來的業(yè)績。歷史數(shù)據(jù)還能夠?qū)π枰芾碚咦⒁獾臐撛谑马?xiàng)提早提出警告。現(xiàn)在或現(xiàn)狀的數(shù)據(jù)使企業(yè)能夠評估在某一特定時(shí)點(diǎn)所面臨的風(fēng)險(xiǎn)并將其控制在風(fēng)險(xiǎn)容忍度范圍內(nèi)?，F(xiàn)狀數(shù)據(jù)使得管理者可以實(shí)時(shí)地了解一個(gè)過程、職能部門或單位現(xiàn)存的固有風(fēng)險(xiǎn)和差異的大小。這對了解企業(yè)的風(fēng)險(xiǎn)組合提供了一個(gè)視角，使得管理者能夠在必要時(shí)改變企業(yè)的活動(dòng)以滿足企業(yè)的風(fēng)險(xiǎn)偏好。信息是溝通的基礎(chǔ)，溝通則必須滿足各部門和個(gè)人的要求，以使他們能夠有效地履行其職責(zé)。最重要的溝通渠道之一是

12、高級管理者和董事會(huì)之間的溝通。管理者必須使董事會(huì)了解關(guān)于企業(yè)業(yè)績、發(fā)展、風(fēng)險(xiǎn)管理執(zhí)行和其他相關(guān)事項(xiàng)和問題的及時(shí)信息。溝通越暢通，董事在執(zhí)行其監(jiān)督職能、重大問題的宣傳媒介職能和提供建議、咨詢和指導(dǎo)職能時(shí)才會(huì)越有效。反之，董事會(huì)也應(yīng)向管理者傳遞其所需要的信息并進(jìn)行反饋和指導(dǎo)。管理者應(yīng)提供特定的或直接的溝通渠道說明對員工的行為預(yù)期和各自的職責(zé)。應(yīng)包括對企業(yè)風(fēng)險(xiǎn)管理原理和方法以及員工權(quán)責(zé)分配的清晰的說明。對于風(fēng)險(xiǎn)管理過程和程序的溝通應(yīng)與企業(yè)預(yù)期的風(fēng)險(xiǎn)文化相結(jié)合，并作為企業(yè)風(fēng)險(xiǎn)文化的基礎(chǔ)。此外，信息的列示會(huì)直接影響對信息的解釋和對相應(yīng)的風(fēng)險(xiǎn)或機(jī)遇的看法，因此，對于溝通應(yīng)有一個(gè)適當(dāng)?shù)募軜?gòu)。溝通應(yīng)體企業(yè)的員工了解有效地企業(yè)風(fēng)險(xiǎn)管理的重要性和相關(guān)性，了解企業(yè)的風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)容忍度，并在企業(yè)內(nèi)執(zhí)行、設(shè)計(jì)一個(gè)統(tǒng)一的風(fēng)險(xiǎn)用語并向員工說明他們在影響和支持企業(yè)風(fēng)險(xiǎn)管理要素中的地位和職責(zé)。溝通渠道還應(yīng)該保證企業(yè)員工能夠在各業(yè)務(wù)部門、業(yè)務(wù)流程或職能部門間進(jìn)行風(fēng)險(xiǎn)信息的溝通。大多數(shù)情況下，企業(yè)內(nèi)正常的報(bào)告路徑一般是溝通的適當(dāng)渠道。而在某些情況下，需要一個(gè)單獨(dú)的信息溝通途徑作為防止失敗