执行等等。它还影响企业控制活动的设计和执行、信息和沟通系统以及监控活动。内部环境包含很多内容,包括企业员工的道德观和胜任能力、人员的培训、管理者的经营模式、分配权限和职责的方式等。董事会是内部环境的一个重要组成部分,对其他内部环境的组成内容有重要的影响。而企业的管理者也是内部环境的一部分,其职责是建立企业的风险管理理念、确定企业的风险偏好,营造企业的风险文化,并将企业的风险管理和相关的行动计划结合起来。让企业所有员工了解企业的风险管理理念有利于提高雇员确认和有效管理风险的能力。风险管理理念是企业对风险的信念,是企业选择处理其活动和风险的方式。它反映了一个企业期望从企业的风险管理获得一定的价值。这一理念还会影响企业风险管理要素的应用方式。管理者应将其风险管理理念通过政策说明书和其他沟通方式向企业的员工宣传。更重要的是,管理者不应仅仅是在纸面上强调风险管理理念,还应在每天的行动中贯彻执行。风险偏好由企业的管理者设定,董事会复核,是企业制定战略的一个控制指标。通常为了实现某一个预定的增长或收益目标,企业可以制定许多不同的战略,而每一个战略都具有不同的风险。在战略制定过程中,风险管理有助于管理者选择与企业的风险偏好相一致的战略方案。管理者期望将企业的组织结构、人员、生产过程与硬件设施整合在一起,使得在战略的成功执行的同时将风险控制在风险偏好的范围内。风险文化是企业员工共同的态度、价值观和实务操作程序的组合,表明企业在其日常活动中看待风险的方式。对于许多公司而言,风险文化来自于企业的风险理念和风险偏好。对那些不能明确界定其风险理念的企业,其风险文化的形成可能是随机的,而导致一个企业内存在明显不同的风险文化,甚至在一个业务部门、行政部门中都有可能存在明显不同的风险文化。
2.目标制定
根据企业确定的任务或预期,管理者确定企业的战略目标,选择战略方案,确定相关的子目标并在企内层层分解和落实,各子目标都应遵循企业的战略方案并与战略方案相联系。在能够确定对目标的实现有潜在影响的事项之前,管理者就应确定企业的目标。而企业风险管理就是提供给管理者一个适当的过程,既能够制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且这些目标还与企业的风
险偏好相一致。企业的目标可以分为四类:-战略目标是企业的高层次目标,与企业的任务和预期相联系并支持企业的任务和预期的实现。
-经营目标是指企业经营的效率性和效果性,包括经营业绩目标和盈利能力目标,由于管理者对企业结构和经营的不同选择,各企业的经营目标也不尽相同。
-报告目标指企业报告的有效性,包括企业内部和外部的报告,既包括财务信息,也包括非财务信息。
-合法性目标是指企业符合相关的法律和法规。企业目标的这种分类可以使企业的管理者和董事会注意企业风险管理的不同方面。企业的某一个特定目标可能不仅仅属于某一类目标。企业的这些目标既相互区别但又相互重叠,可以明确企业的不同需要,并且可以分派给企业的某一个执行官作为其直接职责。这种分类还可以区分企业不同类别目标的期望之间的区别。某些企业还有另一类目标――“资源的安全”,有时也叫“资产的安全”。从广义上看,这一目标是防止企业资产或资源的流失,这种流失可以是由于偷窃、浪费、经营的无效性,也可以是由于企业商业上简单的错误决策(如以过低的价格出售产品、没有留住企业的关键员工、没有阻止对本企业专利权的侵害行为,或者是出现未预期的负债等等)所引起的流失。对某种报告目的而言,这种广义的资产安全类目标可能是一个狭义的定义,此时的资产安全概念可以仅仅指预防或及时发现对企业资产的未经授权的购买、使用或处置。
3.事项识别
管理者意识到了不确定性的存在,即管理者不能确切地知道某一事项是否会发生、何时发生或者如果发生其结果如何。作为事项识别的一部分,管理者应考虑会影响事项发生的各种企业内外部的因素。外部因素包括经济、商业、自然环境、政治、社会和技术因素等,内部因素反映出管理者所做的选择,包括企业的基础设施、人员、生产过程和技术等事项。一个企业事项识别的方法可以包含不同的技术及其与相应的工具的组合。事项识别技术既针对过去,又针对未来。针对过去的事项和趋势的识别技术主要要考虑类似支付错误的历史、商品价格的变化和浪费时间的突
发事件(Lost-time accidents)等事项,而针对未来风险的技术则主要考虑不断变化的人口统计资料、新市场和竞争者的行为等事项。将潜在的事项进行分类对管理者而言是非常有用的。通过在企业内各水平层面上对事项进行汇总、在营运部门内部对事项进行垂直地汇总,管理者能够对事项之间的相互关系有一个了解,这些信息也可以作为风险评估的基础。潜在的事项可能对企业有正面的影响、也可能有负面的影响或者两种影响同时存在。对企业有潜在负面影响的事项是企业的风险,要求企业的管理者对其进行评估和建立反应方案。因此,风险的定义就是,某一事项将要发生的可能性及其对企业目标的实现造成负面影响的可能性。对企业有潜在正面影响的事项则是企业的机遇或者可以弥补风险对企业的负面影响。机遇可以在企业战略或目标制定的过程中加以考虑,以制定有关行动抓住机遇。可能弥补风险对企业负面影响的事项则应在管理者对风险进行评估和反应的阶段予以考虑。
4.风险评估
风险评估可以使企业了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估――风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。对风险发生的可能性和影响的估计经常需要使用从过去的可观察事项得到的数据,这比没有任何数据的、完全的主观估计要客观得多。根据企业自己的经验在企业内部产生的数据带有较少的人的主观偏见,能够得到比外部数据更好的结果。但是,即使是以内部数据作为主要的资料来源,外部数据仍能用作一个检查标准或者改进分析。当使用过去数据对未来进行预测时使用者必须小心,因为影响过去事项的有关因素可能会随着时间的推移而改变。一个企业风险评估的方法通常是定量方法和定性分析技术的组合。当风险本身无法量化时,或者量化评估所要求充足的可靠的数据实际不可获得或者数据获得或分析不符合成本效益原则时,管理者通常会采用定性的分析技术。定量的分析技术通常更加精确,一般用于更为复杂多变的活动,作为定性分析的补充。一个企业不需要在每个业务部门都使用同样的评估技术。相反,对评估技术的选择应反映出对精确性的需要和该业务部门的文化。在任何情况下,各业务部门所使用的评估技术应有利于企业在整个企业的范围内对风险的评估。在衡量目标的实
现程度时,管理者经常使用业绩计量指标。当考虑某一风险对实现某一特定目标的潜在影响时,使用这些计量指标同样有效。管理者可以评估各事项之间的关系,因为一系列相互关联的事项结合起来会使得事项的发生概率或事项的影响发生重大变化。虽然一个单一事项的影响可能很小,但是这样一系列事项则可能对企业造成重大影响。各潜在事项之间可能并不直接相关,这时管理者可以分别对其进行评估,但是某些风险可能在企业的多个业务部门出现时,管理者可以将所确认的风险归为一类进行评估。通常一个潜在事项结果是一个可能的范围值,管理者应将其作为制定风险反应方案的基础。通过风险评估,管理者可以了解潜在事项在整个企业内对企业的正面和负面的影响,单个事项或某类事项对企业的影响。管理者通常只趋于关注中短期的风险,但风险应在企业战略和目标的前提下进行评估。由于战略方向和目标的某些要素涉及较长时期,管理者因而应从长期的角度认识风险,而不能忽视远期会影响企业的风险。首先,应对企业的固有风险进行评估。固有风险是指管理者在没有采取任何会改变风险发生的可能性或影响的管理措施的情况下企业所面临的风险。一旦确定了对固有风险的风险反应方案,管理者就可以使用风险评估技术确定企业的残留风险。残留风险是指管理者采取了有关风险管理措施后应存在的风险。
5.风险反应
管理者可以制定不同风险反应方案,并在风险容忍度和成本效益原则的前提下,考虑每个方案如何影响事项发生的可能性和事项对企业的影响,并设计和执行风险反应方案。考虑各风险反应方案并选择和执行一个风险反应方案是企业风险管理不可分割的一部分。有效的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险容忍度范围之内的风险反应方案。风险反应可分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或者两者同时减少。共担风险是指通过转嫁或与他人共担一部分风险来降低风险发生的可能性或影响。接受风险则是不采取任何改变风险发生的可能性或影响的行动。作为企业风险管理的一部分,对于每一个重要的风险,企业都应按风险反应的类型考虑所有的风险
反应方案,这样有助于风险反应方案的选择,这也是对“现状”提出的挑战。__选定某一个风险反应方案后,管理者应在残留风险的基础上重新评估风险,即从企业总体的风险组合的、预测的角度重新计量风险。管理者可以采
取一定的方法使得每一生产部门、行政部门或业务单位的管理者可以对风险进行复合式的评估以决定该部门的风险反应方案。这种视角可以反映相对于各部门的目标和风险容忍度该部门的风险组合。在对各个独立部门的风险有一个认识的基础上,企业最高层的管理者应以组合的角度看待风险,以决定企业的风险组合与相对企业目标而言的总体的风险偏好是否相符。管理者应认识到一定水平的残留风险总是存在的,这不仅是因为资源的有限性,还因为未来有其内在的不确定性和所有活动的固有限制。
6.控制活动
控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业努力实现其商业目标的过程的一部分。通常包括两个要素:确定应该做什么的一个政策和影响该政策的一系列过程。由于企业的控制活动与企业的信息系统广泛相关,因此,应对企业所有的重要系统进行控制。广义来讲,对信息系统控制活动可以分为两类。一类是一般控制,这类控制应用于大多数应用系统,有助于保证系统的持续地、正确地运行。另一类是应用控制,包括用于控制技术应用的应用软件内部的电脑程序。必要时将信息系统控制与其他手工的过程控制相结合,可以保证信息的完整性、精确性和有效性。一般控制包括对信息技术管理、信息技术基础设施、保密管理和软件的购买、开发和维护的控制。这些技术应用于所有的系统,从主机到客户端(服务端)到桌面电脑环境。信息技术管理控制主要包括明确信息技术的勘漏过程、监督和报告信息技术活动及业务改进的初步行动等等。应用控制的目的是保证数据获得和业务处理过程的完整性、精确性、授权和有效性。依靠信息系统控制运行的有效可以保证当需要时每个应用程序可以在界面上产生有关数据,保证应用程序的有效和有关界面的错误可以很快地被发现。因为每一个主体都有其自己的一套目标和执行目标
COSO风险管理框架中文版
