COSO更新版《企業(yè)風(fēng)險管理框架》(3)

1、企業(yè)風(fēng)險管理框架4、風(fēng)險評估風(fēng)險評估可以使企業(yè)了解潛在事項如何影響企業(yè)目標(biāo)的實現(xiàn)。管理者應(yīng)從兩個方面對風(fēng)險進行評估一一風(fēng)險發(fā)生的可能性和影響。風(fēng)險發(fā)生的可能性是指某一特定事項發(fā)生的可能性，影響則是指事項的發(fā)生將會帶來的影響。對風(fēng)險發(fā)生的可能性和影響的估計經(jīng)常需要使用從過去的可觀察事項得到的數(shù)據(jù)，這比沒有任何數(shù)據(jù)的、完全的主觀估計要客觀得多。根據(jù)企業(yè)自己的經(jīng)驗在企業(yè)內(nèi)部產(chǎn)生的數(shù)據(jù)帶有較少的人的主觀偏見，能夠得到比外部數(shù)據(jù)更好的結(jié)果。但是，即使是以內(nèi)部數(shù)據(jù)作為主要的資料來源，外部數(shù)據(jù)仍能用作一個檢查標(biāo)準(zhǔn)或者改進分析。當(dāng)使用過去數(shù)據(jù)對未來進行預(yù)測時使用者必須小心，因為影響過去事項的有關(guān)因素可能會隨著

2、時間的推移而改變。一個企業(yè)風(fēng)險評估的方法通常是定量方法和定性分析技術(shù)的組合。當(dāng)風(fēng)險本身無法量化時，或者量化評估所要求充足的可靠的數(shù)據(jù)實際不可獲得或者數(shù)據(jù)獲得或分析不符合成本效益原則時，管理者通常會采用定性的分析技術(shù)。定量的分析技術(shù)通常更加精確，一般用于更為復(fù)雜多變的活動，作為定性分析的補充。一個企業(yè)不需要在每個業(yè)務(wù)部門都使用同樣的評估技術(shù)。相反，對評估技術(shù)的選擇應(yīng)反映出對精確性的需要和該業(yè)務(wù)部門的文化。在任何情況下，各業(yè)務(wù)部門所使用的評估技術(shù)應(yīng)有利于企業(yè)在整個企業(yè)的范圍內(nèi)對風(fēng)險的評估。在衡量目標(biāo)的實現(xiàn)程度時，管理者經(jīng)常使用業(yè)績計量指示。當(dāng)考慮某一風(fēng)險對實現(xiàn)某一特定目標(biāo)的潛在影響時，使用這些計量

3、指標(biāo)同樣有效。管理者可以評估各事項之間的關(guān)系，因為一系列相互關(guān)聯(lián)的事項結(jié)合起來會使得事項的發(fā)生概率或事項的影響發(fā)生重大變化。雖然一個單一事項的影響可能很小，但是這樣一系列事項則可能對企業(yè)造成重大影響。各潛在事項之間可能并不直接相關(guān)，這時管理者可以分別對其進行評估，但是當(dāng)某些風(fēng)險可能在企業(yè)的多個業(yè)務(wù)部門出現(xiàn)時，管理者可以將所確認(rèn)的風(fēng)險歸為一類進行評估。通常一個潛在事項結(jié)果是一個可能的范圍值，管理者應(yīng)將其作為制定風(fēng)險反應(yīng)方案的基礎(chǔ)。通過風(fēng)險評估，管理者可以了解潛在事項在整個企業(yè)內(nèi)對企業(yè)的正面和負面的影響，單個事項或某類事項對企業(yè)的影響。管理者通常只趨于關(guān)注中短期的風(fēng)險，但風(fēng)險應(yīng)在企業(yè)戰(zhàn)略和目標(biāo)的前

4、提下進行評估。由于戰(zhàn)略方向和目標(biāo)的某些要素涉及較長時期，管理者因而應(yīng)從長期的角度認(rèn)識風(fēng)險，而不能忽視遠期會影響企業(yè)的風(fēng)險。首先，應(yīng)對企業(yè)的固有風(fēng)險進行評估。固有風(fēng)險是指管理者在沒有采取任何會改變風(fēng)險減少發(fā)生的可能性或影響的管理措施的情況下企業(yè)所面臨的風(fēng)險。一旦確定了對固有風(fēng)險的風(fēng)險反應(yīng)方案，管理者就可以使用風(fēng)險評估技術(shù)確定企業(yè)的殘留風(fēng)險。殘留風(fēng)險是指管理者采取了有關(guān)風(fēng)險管理措施后應(yīng)存在的風(fēng)險。5.風(fēng)險反應(yīng)管理者可以制定不同風(fēng)險反應(yīng)方案，并在風(fēng)險容忍度和成本效益原則的前提下，考慮每個管理者可以制定不同風(fēng)險反應(yīng)方案，并在風(fēng)險容忍度和成本效益原則的前提下，考慮每個方案如何影響事項發(fā)生的可能性和事項對

5、企業(yè)的影響，并設(shè)計和執(zhí)行風(fēng)險反應(yīng)方案?？紤]各風(fēng)險反應(yīng)方案并選擇和執(zhí)行一個風(fēng)險反應(yīng)方案是企業(yè)風(fēng)險管理不可分割的一部分。有效的風(fēng)險管理要求管理者選擇一個可以使企業(yè)風(fēng)險發(fā)生的可能性和影響都落在風(fēng)險容忍度范圍之內(nèi)的風(fēng)險反應(yīng)方案。風(fēng)險反應(yīng)可分為規(guī)避風(fēng)險、減少風(fēng)險、共擔(dān)風(fēng)險和接受風(fēng)險四類。規(guī)避風(fēng)險是指采取措施退出會給企業(yè)帶來風(fēng)險的活動。減少風(fēng)險是指減少風(fēng)險發(fā)生的可能性、減少風(fēng)險的影響或者兩者同時減少。共擔(dān)風(fēng)險是指通過轉(zhuǎn)嫁或與他人共擔(dān)一部分風(fēng)險來降低風(fēng)險發(fā)生的可能性或影響。接受風(fēng)險則是不采取任何改變風(fēng)險發(fā)生的可能性或影響的行動。作為企業(yè)風(fēng)險管理的一部分，對于每一個重要的風(fēng)險，企業(yè)都應(yīng)按風(fēng)險反應(yīng)的類型考慮所有

6、的風(fēng)險反應(yīng)方案，這樣有助于風(fēng)險反應(yīng)方案的選擇，這也是對 “現(xiàn)狀 ”提出的挑戰(zhàn)。選定某一個風(fēng)險反應(yīng)方案后，管理者應(yīng)在殘留風(fēng)險的基礎(chǔ)上重新評估風(fēng)險，即從企業(yè)總體的風(fēng)險組合的、預(yù)測的角度重新計量風(fēng)險。管理者可以采取一定的方法使得每一生產(chǎn)部門、行政部門或業(yè)務(wù)單位的管理者可以對風(fēng)險進行復(fù)合式的評估以決定該部門的風(fēng)險反應(yīng)方案。這種視角可以反映相對于各部門的目標(biāo)和風(fēng)險容忍度該部門的風(fēng)險組合。在對各個獨立部門的風(fēng)險有一個認(rèn)識的基礎(chǔ)上，企業(yè)最高層的管理者應(yīng)以組合的角度看待風(fēng)險，以決定企業(yè)的風(fēng)險組合與相對企業(yè)目標(biāo)而言的總體的風(fēng)險偏好是否相符。管理者應(yīng)認(rèn)識到一定水平的殘留風(fēng)險總是存在的，這不僅是因為資源的有限性，還

7、因為未來有其內(nèi)在的不確定性和所有活動的固有限制。6.控制活動控制活動是幫助保證風(fēng)險反應(yīng)方案得到正確執(zhí)行的相關(guān)政策和程序?？刂苹顒哟嬖谟谄髽I(yè)的各部分、各個層面和各個部門?？刂苹顒邮瞧髽I(yè)努力實現(xiàn)其商業(yè)目標(biāo)的過程的一部分。通常包括兩個要素：確定應(yīng)該做什么的一個政策和影響該政策的一系列過程。由于企業(yè)的控制活動與企業(yè)的信息系統(tǒng)廣泛相關(guān)，因此，應(yīng)對企業(yè)所有的重要系統(tǒng)進行控制。廣義來講，對信息系統(tǒng)控制活動可以分為兩類。一類是一般控制，這類控制應(yīng)用于大多數(shù)應(yīng)用系統(tǒng)，有助于保證系統(tǒng)的持續(xù)地、正確地運行。另一類是應(yīng)用控制，包括用于控制技術(shù)應(yīng)用的應(yīng)用軟件內(nèi)部的電腦程序。必要時將信息系統(tǒng)控制與其他手工的過程控制相結(jié)合

8、，可以保證信息的完整性、精確性和有效性。一般控制包括對信息技術(shù)管理、信息技術(shù)基礎(chǔ)設(shè)施、保密管理和軟件的購買、開發(fā)和維護的控制。這些技術(shù)應(yīng)用于所有的系統(tǒng)，從主機到客戶端（服務(wù)端）到桌面電腦環(huán)境。信息技術(shù)管理控制主要包括明確信息技術(shù)的勘漏過程、監(jiān)督和報告信息技術(shù)活動及業(yè)務(wù)改進的初步行動等等。應(yīng)用控制的目的是保證數(shù)據(jù)獲得和業(yè)務(wù)處理過程的完整性、精確性、授權(quán)和有效性。依靠信息系統(tǒng)控制運行的有效可以保證當(dāng)需要時每個應(yīng)用程序可以在界面上產(chǎn)生有關(guān)數(shù)據(jù)，保證應(yīng)用程序的有效和有關(guān)界面的錯誤可以很快地被發(fā)現(xiàn)。因為每一個主體都有其自己的一套目標(biāo)和執(zhí)行目標(biāo)的方法，因此其子目標(biāo)、結(jié)構(gòu)和相關(guān)的控制活動也會不同。即使兩個企

9、業(yè)有同樣的目標(biāo)和結(jié)構(gòu)，他們的控制活動可很可能不同。每個企業(yè)的管理人員都不同，不同的管理人員在影響內(nèi)部控制時使用不同的個人判斷。而且，控制活動反映了一個企業(yè)所處的環(huán)境和行業(yè)，也會反映企業(yè)的復(fù)雜性、企業(yè)的歷史和文化。7.信息和溝通來自于企業(yè)內(nèi)部和外部的相關(guān)信息必須以一定的格式和時間間隔進行確認(rèn)、捕捉和傳遞，以保證企業(yè)的員工能夠執(zhí)行各自的職責(zé)。有效的溝通也是廣義上的溝通，包括企業(yè)內(nèi)自上而下、自下而上以及橫向的溝通。有效的溝通還包括將相關(guān)的信息與企業(yè)外部相關(guān)方的有效溝通和交換，如客戶、供應(yīng)商、行政管理部門和股東等。企業(yè)內(nèi)部各個管理者都需要信息來幫助識別、評估風(fēng)險和對風(fēng)險進行反應(yīng)，以及進行經(jīng)營并實現(xiàn)企業(yè)

10、的目標(biāo)。相對于某一類或幾類目標(biāo)，某一批信息是有用的。企業(yè)的信息來自于各個方面，包括內(nèi)部和外部的信息、量化的和非量化的信息，以使得企業(yè)的風(fēng)險管理可以對現(xiàn)實世界中不斷變化的條件及時作出反應(yīng)。將大量的信息進行處理，提煉出或指導(dǎo)行動的信息是企業(yè)管理者所面臨的一個挑戰(zhàn)。解決這一問題的方法是建立一個信息系統(tǒng)底層結(jié)構(gòu)來確認(rèn)、捕捉、處理、分析和報告相關(guān)信息。這些信息系統(tǒng)通常是電腦系統(tǒng)，但也包括手工錄入或人機界面。因此，這些信息系統(tǒng)經(jīng)常是指處理企業(yè)相關(guān)業(yè)務(wù)產(chǎn)生的內(nèi)部數(shù)據(jù)的系統(tǒng)。長期以來信息系統(tǒng)是用來支持企業(yè)的商業(yè)戰(zhàn)略，當(dāng)業(yè)務(wù)需要變化和有關(guān)技術(shù)為企業(yè)獲得一地位就顯得更為重要。為支持有效的企業(yè)風(fēng)險管理，一個企業(yè)會捕

11、捉和使用歷史和現(xiàn)在的數(shù)據(jù)。歷史數(shù)據(jù)使企業(yè)能夠?qū)嶋H業(yè)績與目標(biāo)、計劃和期望相比較，能夠更加深入了解企業(yè)在不斷變化的環(huán)境下是如何生存的，使得管理者確認(rèn)相關(guān)性和趨勢并預(yù)測未來的業(yè)績。歷史數(shù)據(jù)還能夠?qū)π枰芾碚咦⒁獾臐撛谑马椞嵩缣岢鼍妗，F(xiàn)在或現(xiàn)狀的數(shù)據(jù)使企業(yè)能夠評估在某一特定時點所面臨的風(fēng)險并將其控制在風(fēng)險容忍度范圍內(nèi)?，F(xiàn)狀數(shù)據(jù)使得管理者可以實時地了解一個過程、職能部門或單位現(xiàn)存的固有風(fēng)險和差異的大小。這對了解企業(yè)的風(fēng)險組合提供了一個視角，使得管理者能夠在必要時改變企業(yè)的活動以滿足企業(yè)的風(fēng)險偏好。信息是溝通的基礎(chǔ)，溝通則必須滿足各部門和個人的要求，以使他們能夠有效地履行其職責(zé)。最重要的溝通渠道之一是

12、高級管理者和董事會之間的溝通。管理者必須使董事會了解關(guān)于企業(yè)業(yè)績、發(fā)展、風(fēng)險管理執(zhí)行和其他相關(guān)事項和問題的及時信息。溝通越暢通，董事在執(zhí)行其監(jiān)督職能、重大問題的宣傳媒介職能和提供建議、咨詢和指導(dǎo)職能時才會越有效。反之，董事會也應(yīng)向管理者傳遞其所需要的信息并進行反饋和指導(dǎo)。管理者應(yīng)提供特定的或直接的溝通渠道說明對員工的行為預(yù)期和各自的職責(zé)。應(yīng)包括對企業(yè)風(fēng)險管理原理和方法以及員工權(quán)責(zé)分配的清晰的說明。對于風(fēng)險管理過程和程序的溝通應(yīng)與企業(yè)預(yù)期的風(fēng)險文化相結(jié)合，并作為企業(yè)風(fēng)險文化的基礎(chǔ)。此外，信息的列示會直接影響對信息的解釋和對相應(yīng)的風(fēng)險或機遇的看法，因此，對于溝通應(yīng)有一個適當(dāng)?shù)募軜?gòu)。溝通應(yīng)體企業(yè)的員工了解有效地企業(yè)風(fēng)險管理的重要性和相關(guān)性，了解企業(yè)的風(fēng)險偏好和風(fēng)險容忍度，并在企業(yè)內(nèi)執(zhí)行、設(shè)計一個統(tǒng)一的風(fēng)險用語并向員工說明他們在影響和支持企業(yè)風(fēng)險管理要素中的地位和職責(zé)。溝通渠道還應(yīng)該保證企業(yè)員工能夠在各業(yè)務(wù)部門、業(yè)務(wù)流程或職能部門間進行風(fēng)險信息的溝通。大多數(shù)情況下，企業(yè)內(nèi)正常的報告路徑一般是溝通的適當(dāng)渠道。而在某些情況下，需要一個單獨的信息溝通途徑作為防止失敗