COSO委員會對企業(yè)風險管理的報告（一）

1、.：.；COSO委員會對企業(yè)風險管理的報告一編者按iaudit：COSO-ERM是COSO委員會繼“內(nèi)部控制整體框架即COSO報告后又起草的關(guān)于企業(yè)風險管理的規(guī)范框架。中國會計視野設區(qū)論壇“內(nèi)部審計版面將組織各位網(wǎng)友翻譯該報告。以下文字報告的第1、2部分得力于kingfly、nosir、pengjingen三位網(wǎng)友的努力曾經(jīng)翻譯完成，有些翻譯的相當好，有些還需求改良，無論如何，都為我們版面乃至視野奉獻了一份辛勞和熱情，在此表示贊賞。附件把三部分中文部分整合起來,方便大家閱讀。 目錄：頁碼代表原文的頁碼1企業(yè)風險管理的意義.12框架概覽.63內(nèi)部環(huán)境.194目的設定.295風險識別.386風險評

2、價.477風險應對.538控制措施.609信息和溝通.6810監(jiān)控.7911企業(yè)風險管理的局限性.8812義務與責任.9213如何實施.102 附錄：A 目的和方法B 企業(yè)風險管理框架COSO-ERM和內(nèi)部控制綜合框架COSO的關(guān)系C 參考文獻D 應思索的評論意見E 詞匯 1、企業(yè)風險管理的意義翻譯第一部分譯者kingfly 本章小結(jié)：企業(yè)風險管理由一系列戰(zhàn)略框架組成并且貫穿企業(yè)的經(jīng)濟業(yè)務活動。它使管理層可以識別、評價和管理那些外表上看無法確定的風險，以此來支持價值的發(fā)明和維持。企業(yè)風險管理使企業(yè)能結(jié)合風險偏好和戰(zhàn)略，聯(lián)絡風險和企業(yè)的生長與報答，加強了應對風險才干，減少了運營中的不測和損失的發(fā)

3、生，識別和管理貫穿整個企業(yè)的風險，面對多重風險提供綜合應對方法，協(xié)助 企業(yè)抓住時機，并且能使企業(yè)的資金得到合理的安排。 這里提出的企業(yè)風險管理的含義中企業(yè)包括每一個實體，不論是盈利的還是非盈利的或是政府部門，只需他們向他們的利害關(guān)系人提供價值。一切的實體都會面對一些不確定，管理層面對的挑戰(zhàn)是去決議當企業(yè)在為增長股東的價值而努力的時候，將會面對多少不確定要素。不確定性代表了風險和時機，潛在的事件能夠銷減價值也能夠添加企業(yè)的價值。企業(yè)風險管理為管理層提供了一個框架，能有效的應對風險，使風險和時機相結(jié)合，提升企業(yè)發(fā)明價值的才干。 不確定性 企業(yè)的運營環(huán)境由很多要素組成諸如全球化、技術(shù)、法規(guī)、重組、不

4、斷變化的市場、和競爭都會產(chǎn)生不確定性。不確定性源于無法準確確實定潛在事件發(fā)生的能夠性和隨之帶來的結(jié)果。不確定性也由于企業(yè)戰(zhàn)略選擇的不同而產(chǎn)生。比如，一個企業(yè)基于向國外擴張的生長型戰(zhàn)略。這一戰(zhàn)略隨之帶來的是與該國政治環(huán)境、資源、市場、渠道、勞動力和本錢相關(guān)的風險和時機。 價值 價值由企業(yè)運營管理層從政策的制定到運營管理的決策日復一日的活動而產(chǎn)生、維持或減少。決策的固有性就是識別風險和機遇，這就要求管理層思索相關(guān)的信息既包括內(nèi)部和外部的環(huán)境，還要調(diào)動以前的資源并且調(diào)整企業(yè)的運營活動以順應不斷變化的環(huán)境。 經(jīng)過調(diào)動資源包括人力、資本、技術(shù)和品牌，使所獲得得收益大于所運用的資源最終發(fā)明價值。企業(yè)維持價

5、值也經(jīng)過集中人力、消費過程、系統(tǒng)和措施去發(fā)明繼續(xù)的價值，包括其他要素，象產(chǎn)質(zhì)量量、消費才干和客戶稱心程度。 管理層在這里和以后所指的管理層還包括在很多企業(yè)風險管理活動中執(zhí)行的非管理層人員。也會由于執(zhí)行的不完全、或是由于所搜集的相關(guān)風險的信息不完好、戰(zhàn)略的制定或執(zhí)行存在缺陷而被減弱了。 當管理層的戰(zhàn)略和目的使企業(yè)的生長、報答和相關(guān)的風險堅持一個較好的平衡的時候，價值也會添加，并且在追求企業(yè)的目的的同時能有效率且有效的利用各方資源。企業(yè)風險管理能判別市場的需求、無效性和其他事件，這些都提供了發(fā)明價值的機遇或是需求管理的風險并且到達企業(yè)的目的。 實體實現(xiàn)價值當股東獲得確定的收益作為他們價值的報答時。

6、對于公司，當股東認可從每股價值生長發(fā)明的價值時他們實現(xiàn)了價值。對于政府部門，當組成部門承當可接受的本錢認可了有價值的效力時，實現(xiàn)了價值。非盈利性實體的股東實現(xiàn)價值當他們接受有價值的社會收益時。企業(yè)的風險管理使管理層能發(fā)明繼續(xù)的價值并且把這些價值傳送給股東。 實體價值的衡量 衡量價值時需求思索包括相對價值、適用價值或者是實體對于股東的重要性。很多公司管理層習慣于思索價值以財務方法象經(jīng)濟利益、股東附加價值、資本風險調(diào)整收益或者全體股東報答。這些財務衡量目的都有一個共同的前提在價值產(chǎn)生前資本的本錢必需被彌補。然而，這些財務目的并不總是作為獨一的價值判別規(guī)范。衡量一個非盈利機構(gòu)的價值能夠要聯(lián)絡他們所提

7、供的社會利益。比如，一個非盈利的為老年人效力的機構(gòu)衡量其價值時思索老年人能接受的高質(zhì)且長期的醫(yī)療保證。 企業(yè)風險管理的作用 沒有一個企業(yè)是在沒有風險的環(huán)境下運營的，而企業(yè)的風險管理也不能在這樣的環(huán)境下產(chǎn)生。所以，企業(yè)風險管理使管理層能在充溢風險的環(huán)境下更有效的運營。 企業(yè)風險管理的作用： 使風險偏好risk appetite與制定的戰(zhàn)略一致 風險偏好是指公司或是其他的實體追求目的時在普遍情況下都情愿接受的風險程度。管理層首先思索實體的風險偏好是在評價所選擇的戰(zhàn)略時，然后是在制定與所選戰(zhàn)略一致的目的時，接著是在為了管理相關(guān)的風險而開發(fā)系統(tǒng)時。比如，一個制藥公司的品牌價值需求堅持較低的風險偏好。相

8、應的，為了維護它的品牌，公司持有大量的協(xié)議以確定其產(chǎn)品的平安并且相應的投資大量的資源在早期的研發(fā)階段，以支持品牌價值的發(fā)明。 生長性、風險性和報答的聯(lián)絡實體可接受的風險作為價值的發(fā)明和維持的一個部分，并且他們希望有與承當?shù)娘L險相應的報答。企業(yè)風險管理提供了識別和評價風險，建立與生長和報答目的相關(guān)的可接受的風險程度。比如，一個保險公司的戰(zhàn)略方案管理帶來的是一切商業(yè)個體的生長性和報答方案。識別和加以思索所得到的風險，選擇反響信息、根據(jù)每個商業(yè)個體和整個公司的目的調(diào)整商業(yè)單位的方案，分配資金。 加強風險應對決策才干 企業(yè)風險管理提供了嚴厲的程序從多種風險應對措施中識別和選擇防止風險、減少、分擔還是接

9、受。比如，一個公司對運用公司擁有和運營的汽車管理中接受那些固有的風險諸如汽車損壞和人員受損傷的本錢?？蛇x擇的方式有經(jīng)過有效的招募和培訓司機以減小風險，經(jīng)過外部承運以防止風險，利用保險轉(zhuǎn)嫁風險或是僅僅去接受風險。企業(yè)風險管理提供了方法和技術(shù)為做類似的決議。 減少運營中的不測和損失 實體加強了識別潛在事件、評價風險和建立反響機制的才干，這就能減少不測事件的發(fā)生和相關(guān)的本錢和損失。比如說，一個制造公司跟蹤產(chǎn)品部件和設備的廢品率和對平均值的偏離程度。這個公司采用多重規(guī)范評價廢品率的影響，包括修繕的時間、不能滿足客戶要求、雇員的平安性和安排與無安排的修繕的本錢，和反響經(jīng)過建立有序的維護時間表。 識別和管

10、理貫穿整個企業(yè)的風險 每一個實體都面對無數(shù)影響該實體不同方面的風險。管理層不僅僅要管理單個的風險，而且還要了解他們之間相互的影響。比如，一個銀行面對各種不同的風險，這些風險貫穿于整個企業(yè)的經(jīng)濟業(yè)務活動中，管理層開發(fā)了一個信息處置系統(tǒng)用以分析從其他內(nèi)部系統(tǒng)中產(chǎn)生的買賣和市場數(shù)據(jù)并結(jié)合相關(guān)的外部信息，提供一個貫穿一切經(jīng)濟活動的風險總概。這種信息系統(tǒng)還能按部門、客戶或是競爭對手、買賣商與買賣量、按建立的分類確定與風險可容忍度相關(guān)的風險量。這種信息系統(tǒng)使銀行能把曾經(jīng)分別的數(shù)據(jù)信息相聯(lián)，運用這些匯總的信息去更有效的應對風險或是根據(jù)既定的目的。 對于多種風險提供綜合的應對 商業(yè)過程本身就有很多固有風險，企

11、業(yè)風險管理對管理這些風險提出綜合的處理方法。比如，一個零售分銷商面對的風險有供應過量或缺乏、稀少的供貨源和不用要的高買價。管理層識別和評價在前文所提及的公司戰(zhàn)略中風險，目的和多種的對應，并且開發(fā)了一個存貨控制系統(tǒng)。這個系統(tǒng)與供應商達成聯(lián)盟，共享銷售和存貨信息，構(gòu)成戰(zhàn)略協(xié)作同伴，并且經(jīng)過簽署長期的供貨合同和采用有利的價錢，防止了存貨短缺和不用要的運輸本錢。供應商變成有責任去補充存貨，從而節(jié)約了更多的本錢。 抓住時機 經(jīng)過思索一切范圍內(nèi)的潛在事件，而不僅僅是風險，管理層了解了詳細事件是如何帶來時機的。比如，一個食品公司思索到潛在事件將能夠影響到繼續(xù)的收入生長目的。在估計了該事件后，管理層認識到公司

12、的主要客戶群在逐漸加強安康認識并在改動他們的飲食偏好，這闡明公司目前的產(chǎn)品在今后將會呈現(xiàn)需求的下降趨勢。在決議風險應對時，管理層決議經(jīng)過利用目前的才干去開發(fā)新的產(chǎn)品，使公司不僅能維持從現(xiàn)有客戶賺取收入，而且還可以從爭取更廣泛的客戶根底得到額外的收益。 使資金的運用合理化 風險信息越充分，管理層就能更有效的評價一切資金的需求，提高資金的分配。比如，一個金融機構(gòu)接到新的規(guī)定通知添加資本需求量除非管理層以更細致的方式計算信貸和運營風險程度和與之相關(guān)的資本需求量。該公司根據(jù)系統(tǒng)開發(fā)本錢與額外籌集資本本錢作比較來評價風險，按照通知作出了決議以應對風險。用現(xiàn)存的容易更改的軟件，銀行開發(fā)了一種更準確的計算方

13、法，防止了需求額外的籌集資金。 企業(yè)風險管理本身并不是作為一種結(jié)果，而是作為一種實現(xiàn)目的的重要方法。他也不是在實體里單獨的實施，而是作為一個管理程序的助手。企業(yè)風險管理經(jīng)過提供存在的艱苦風險信息和如何去管理風險的信息給董事會使之與運營管理相關(guān)聯(lián)。他經(jīng)過提供風險調(diào)整方法與執(zhí)行管理、和內(nèi)部控制相關(guān)聯(lián)。而內(nèi)部控制也作為企業(yè)風險管理的一個組成部分。 企業(yè)風險管理協(xié)助 實體實現(xiàn)他所要完成的行為和利益目的并且阻止了損失的呵斥。他協(xié)助 確保有效的報告。并且協(xié)助 確保實體遵照法律法規(guī)，防止聲譽上的損失和其他后果。總之，他協(xié)助 一個實體沿著既定的目的開展并且防止實體落入在開展過程中能夠碰到的圈套或是不測。2、框

14、架概覽翻譯第二部分譯者nosir 本章概要：企業(yè)風險管理是一個過程，受組織的董事會、管理層和其他人員影響，企業(yè)風險管理運用于戰(zhàn)略制定，貫穿整個企業(yè)，旨在識別影響組織的潛在事件，在組織的風險胃口范圍內(nèi)管理風險，為組織目的的實現(xiàn)提供合理的保證。這個定義很廣泛，涉及企業(yè)的方方面面。企業(yè)風險管理由八個相互關(guān)聯(lián)的部分組成，這些組成部分輔助企業(yè)管理方式，并和其他管理流程有機整合。這八個部分相互關(guān)聯(lián)，是評價企業(yè)風險管理能否有效的規(guī)范。 本框架的一個主要目的是協(xié)助 企業(yè)或其他機構(gòu)的管理層更好應對風險以實現(xiàn)組織目的。但是，企業(yè)風險管理的含義因人而異。一個包羅萬象的標簽無助于對企業(yè)風險管理達成共識。于是，就需求把

15、眾多的風險管理概念集成在一個框架之中，在框架里確立一個普遍接受的定義及確定其組成部分。這個框架融眾多觀念于一爐，為單個組織識別和加強企業(yè)風險管理提供一個支點，也為規(guī)那么制定機構(gòu)和教育界人士進一步的研討和行動提供根底。 事件和風險 有很多外部事件或內(nèi)部事件能夠影響戰(zhàn)略的制定和目的的實現(xiàn)。事件能夠是積極的，也能夠是消極的，或者同時包含積極面和消極面。具有消極后果的事件構(gòu)成風險。因此，風險就是對目的實現(xiàn)呵斥不利影響事件發(fā)生的能夠性。有積極影響的事件能夠會抵消消極影響，這些事件構(gòu)成時機。管理層必需在戰(zhàn)略或目的制定過程中思索時機，這樣以后的行動中就能抓住時機。管理層在制定戰(zhàn)略，實現(xiàn)目的中經(jīng)過思索潛在事件

16、的能夠后果來評價風險。 企業(yè)風險管理的定義 企業(yè)風險管理定義為：企業(yè)風險管理是一個過程，受組織的董事會、管理層和其他人員影響，風險管理運用于戰(zhàn)略制定，貫穿整個企業(yè)。企業(yè)風險管理旨在識別影響組織的潛在事件，在組織的風險胃口范圍內(nèi)管理風險，為組織目的的實現(xiàn)提供合理的保證。 這個定義反映一些根本概念。企業(yè)風險管理： 是一個過程是通向目的的手段，而不是手段本身 被人影響它不僅僅只是政策、調(diào)查和表格，還涉及整個組織各個層級的人。 運用于戰(zhàn)略制定。 貫穿整個企業(yè)的一切層級和單位，包括采用企業(yè)層級的風險組合觀念。 旨在識別影響組織的事件并在組織的風險胃口范圍內(nèi)管理風險 為組織的管理層和董事會提供合理保證 從

17、一個或多個分開但重疊的方面實現(xiàn)目的。 這個定義有意定的非常廣泛。它抓住一些公司或其他組織管理風險的重要概念，因此可以運用于不同類型的組織、不同行業(yè)和不同部門。它直接針對組織目的的實現(xiàn)。而且，這個概念還是定義企業(yè)風險管理有效性的根底，這將在本章后面討論。上述的根本概念將在以下幾段討論。 一個過程 企業(yè)風險管理不是單一的事件或情況，而是浸透到企業(yè)各個作業(yè)的一系列行動。這些行動在日常企業(yè)管理中廣泛分布并且潛在其中。 有些人以為企業(yè)風險管理是附加在組織作業(yè)上的東西，或者看成額外的負擔，但是實踐上企業(yè)風險管理不是這樣的。這么說不等于表示企業(yè)風險管理不需求付出額外的努力就能完成。比如，對于信譽風險和匯率風

18、險，就需求開發(fā)模型并進展必要的分析和計算。但是，這些企業(yè)風險管理機制和企業(yè)的運營作業(yè)交錯在一同，并且從商業(yè)角度非常有理由存在。當這些機制融入組織的根本架構(gòu)，并且是企業(yè)的根本部分時，企業(yè)風險管理最為有效。經(jīng)過“植入企業(yè)風險管理，一個組織能直接影響其戰(zhàn)略執(zhí)行和愿景或使命的實現(xiàn)。 植入企業(yè)風險管理對本錢控制也有重要意義，特別是如今很多公司面臨猛烈競爭的市場環(huán)境。在現(xiàn)有流程中額外添加一個程序添加多余開支，而經(jīng)過在現(xiàn)有運營作業(yè)中植入風險管理可以減少不用要的流程和本錢。 And, a practice of building enterprise risk management into the fabr

19、ic of operations helps identify new opportunities for management to seize in growing the business. 此外，把企業(yè)風險管理植入運營過程的實際也有助管理層在企業(yè)生長過程中識別新的時機。 受人影響 企業(yè)風險管理受董事會、管理層和其他人員影響。它的實現(xiàn)依賴這個組織成員，依賴于它們的所做所言。組織成員制定組織愿景、目的、戰(zhàn)略和義務，并讓企業(yè)風險管理發(fā)揚作用。 同樣的，企業(yè)風險管理影響人的行動。企業(yè)風險管理認識到員工并不總是了解、溝通和表現(xiàn)如一。每個人都有獨特背景和技藝，有不同需求和偏好。 這些現(xiàn)實影響，也被

20、企業(yè)風險管理影響。每個人都有各自視點影響了它們識別、評價風險和風險反響方式。企業(yè)風險管理為人們從組織目的角度了解風險提供一個機制。人們必需知道本人的責任和權(quán)益的限制范圍。因此，在責任和執(zhí)行方式以及組織的戰(zhàn)略和目的之間必需有明晰和嚴密的聯(lián)絡。 組織的人包括董事會、管理層和其他員工。雖然董事主要提供監(jiān)視，但是也提供指點以及同意戰(zhàn)略、一些特殊買賣和政策。董事會是企業(yè)風險管理一個重要要素。 運用于戰(zhàn)略制定 組織設定本人的愿景和使命，制定與之一致的戰(zhàn)略目的。組織為實現(xiàn)其戰(zhàn)略目的制定戰(zhàn)略。除此之外，它還設定一些預備實現(xiàn)的其他目的，從戰(zhàn)略出發(fā)，層層分解到各個單位、部門和流程。 企業(yè)風險管理運用于戰(zhàn)略制定，表

21、如今管理層思索該戰(zhàn)略相對于替代戰(zhàn)略的風險。比如，替代戰(zhàn)略能夠是收買其他公司擴展市場份額，另外一個戰(zhàn)略能夠是削減采購本錢來提高邊沿利潤率。每個戰(zhàn)略都有一些風險。假設管理層選擇了第一個戰(zhàn)略，能夠就需求進入一個新的不太熟習的市場，競爭對手能夠乘機爭奪公司現(xiàn)有市場的市場份額，或者公司能夠缺乏足夠資源來有效執(zhí)行這個戰(zhàn)略。假設是第二個戰(zhàn)略，風險包括運用新的技術(shù)，尋覓新供應商或者建立新聯(lián)盟。企業(yè)風險管理技術(shù)在制定組織戰(zhàn)略時運用于這一層面。 運用于整個企業(yè) 要想實行企業(yè)風險管理，組織必需思索全局，要各個層面的業(yè)務都思索，從企業(yè)層面的活動如戰(zhàn)略方案和資源配置，到下一層活動如營銷和人力資源，到商業(yè)流程如消費和新客

22、戶信譽審查。企業(yè)風險管理也必需運用到一些特殊工程和新的動議，這些能夠在組織的科層或組織構(gòu)造圖中并不顯示出來。 企業(yè)風險管理要求組織采用風險組合的觀念看問題。這能夠就需求各個部門經(jīng)理通力協(xié)作來對單位進展風險評價，包括業(yè)務部門、職能部門、流程和其他作業(yè)的經(jīng)理。風險評價可以是定性的也可以是定量的?？傆[組織各個層面以后，高層管理就可以對本組織的全部風險組合和風險胃口能否匹配心里有數(shù)。 管理層必需從組織層面的組合觀念來對待相互交錯的風險。必需識別這些相互關(guān)聯(lián)的風險，并采取行動使之控制在組織風險胃口范圍內(nèi)。單個部門的風險能夠在部門的風險容忍范圍內(nèi)，但是合起來能夠就超越整個組織的風險胃口。組織的風險胃口經(jīng)過

23、和各個詳細目的相對應的風險容忍度來層層分解下去。 在采用組合觀念時，管理層不應該只看到風險，還要思索潛在事件。管理層經(jīng)過思索事件，可以對一些事件的抵消效應有所了解。比如，利率下降能夠?qū)M織的資本本錢有利，但是對利息收入不利。 當事件相互關(guān)聯(lián)時，把事件進展分類有益處，可以促進思索相關(guān)的風險和時機。 風險胃口Risk Appetite 上文翻譯成“風險偏好“ 風險胃口是組織追求價值過程中情愿接受的風險大小。風險胃口可以定性思索，如分為高、中和低，也可以定量思索，在目的中同時反映和權(quán)衡增長、報答和風險三個要素。 風險胃口和組織戰(zhàn)略直接相關(guān)。在制定戰(zhàn)略時就要思索戰(zhàn)略的期望報答必需和組織的風險胃口相順應

24、。 不同戰(zhàn)略帶來不同風險。企業(yè)風險管理協(xié)助 管理層選擇和組織風險胃口相匹配的戰(zhàn)略。 組織的風險胃口指點資源配置。管理層配置資源時思索組織的風險胃口和下屬單位對投入資產(chǎn)產(chǎn)生期望報答的戰(zhàn)略。管理層在安排組織、人員和流程時必需思索風險胃口，并且設置必要的機制來有效監(jiān)視風險和應對風險。 提供合理保證 設計合理、運作有效的企業(yè)風險管理可以為管理層和董事會就企業(yè)實現(xiàn)目的提供合理保證。企業(yè)風險管理假設確定為有效這在后面章節(jié)中討論，董事會和管理層可以在以下方面獲得合理保證： 它們了解公司戰(zhàn)略目的能實現(xiàn)到什么程度 它們了解公司運營目的能實現(xiàn)到什么程度 公司報告可靠 相關(guān)法律法規(guī)都得到遵照 合理保證意味著包含和未

25、來相關(guān)的不確定性和風險，沒人可以確定知道未來。限制多個要素：人做決策時的客觀判別會出錯，應對風險、實施控制要權(quán)衡本錢和效益，一些人為疏失也會導致運營中斷，共謀也能繞過預先設計好的控制，管理層也能夠否決企業(yè)風險管理決策。這種種限制使得無法為管理層和董事會提供絕對保證，保證目的一定會實現(xiàn)。 實現(xiàn)目的 在使命和愿景確定以后，管理層開場制定戰(zhàn)略目的，選擇戰(zhàn)略和制定其他目的層層分解并符合戰(zhàn)略要求。雖然有些目的只和單個部門相關(guān)，有些那么是共享的。比如，一切組織都一樣的目的有：在商界和消費者社群中獲得并維持好的聲譽，為利益相關(guān)者提供可靠的報告， 合法運營 這個框架把組織目的分成四類： 戰(zhàn)略和高層目的相關(guān)，和

26、組織使命相一致并支持它 運作和有效、高效運用組織資源有關(guān) 報告和組織報告可靠性有關(guān) 合規(guī)和組織遵照相關(guān)法律法規(guī)有關(guān) 這個組織目的分類允許董事會和管理層對企業(yè)風險管理的不同方面分開處置。這種確定又相互重疊的分類一個目的能夠同時分入不同類別滿足不同組織的需求，能夠也是不同主管的直接責任范圍。這種分類也有助于分別對各個類別目的的期望。 有些組織運用其他目的分類，“維護資源，有時也說成“維護資產(chǎn)。廣義來看，指防止組織資產(chǎn)或資源損失，損失能夠有多種緣由，盜竊、浪費、低效或者僅僅是做了差勁的商業(yè)決策，比如說產(chǎn)品定價過低，沒能挽留關(guān)鍵員工，沒能阻止專利權(quán)進犯，或者招致不可預見的負債。這些通常都是運營目的，雖

27、然有些方面也可以歸入其他類別。假設有相關(guān)法規(guī)規(guī)定，就變成合規(guī)性問題。另外一個角度來看，在財務報表中適當反映組織資產(chǎn)損失情況屬于報告目的。假設從公共報告角度來說，維護資產(chǎn)通常運用狹義定義，是指防止和及時覺察非授權(quán)的資產(chǎn)獲得、運用和處置。 企業(yè)風險管理可以為報告可靠性和合規(guī)性目的提供合理保證。這些類別目的能否實如今組織的控制范圍內(nèi)，取決于組織的相關(guān)活動表現(xiàn)。 但是，實現(xiàn)戰(zhàn)略目的，諸如獲取市場份額和運營目的，諸如新產(chǎn)品勝利上線，這些并不總在組織的控制范圍內(nèi)。雖然企業(yè)風險管理賓不能組織錯誤的判別和決策，也不能阻止影響企業(yè)運營目的實現(xiàn)的外部事件的發(fā)生，但是企業(yè)風險管理可以提高管理層做出正確決策的能夠性。

28、對這些目的來說，企業(yè)風險管理可以為董事會、管理層及時認識到組織實現(xiàn)這些目的的程度。3、公司風險管理內(nèi)容-翻譯第三部分譯者pengjingen 公司風險管理由八個相關(guān)的部分構(gòu)成。他們源自于商業(yè)組織的管理方法和整合到于管理程序中，這些構(gòu)成包括： 內(nèi)部環(huán)境公司管理層樹立的風險觀、建立的風險偏好及接受力。 內(nèi)部環(huán)境建立了組織中各級人員如何識別和對待風險的根底。組織的中心是他們所擁有的員工-他們的個人的質(zhì)量，包括老實、價值觀和才干和他們運作的環(huán)境。 他們是驅(qū)動組織運轉(zhuǎn)的動力和一切事物的支撐。 目的設定管理層必需基于目的來識別勝利的潛在要素。 公司風險管理確保管理層有一個程序來設定目的、選擇支持和銜接組織

29、使命/遠景的目的并保證和組織風險偏好相一致。 風險識別能對組織產(chǎn)生影響的潛在風險必需識別出來。 風險識別包括內(nèi)部和外部的反映潛在要素怎樣影響戰(zhàn)略執(zhí)行和目的業(yè)績的要素。這也包括區(qū)別哪些使風險、哪些是時機以及風險和時機并存的事項。管理層識別潛在事項的相關(guān)性并把這些事項加以分類，目的在于建立并強化貫穿組織的風險言語、構(gòu)成以組合的觀念來思索各種事項的根本方法論。 風險評價評價識別出來的風險是為了管理風險打根底。 風險與一系列目的相關(guān)聯(lián)。風險評價包括固有風險和剩余風險，風險評價包括評價風險的能夠性和重要性。某事項會有各種能夠的結(jié)果，管理層需求同時思索這些能夠的結(jié)果。 風險反響在公司戰(zhàn)略和目的的指引下，管

30、理層根據(jù)風險偏好和接受力來選擇方法思索如何應對風險，包括防止、接受、減輕和分擔風險。 控制措施建立和執(zhí)行政策和程序保證管理層所選擇的風險反響行動的有效執(zhí)行。 信息和溝通-在組織內(nèi)部的相關(guān)信息的識別、獲取和溝通可以協(xié)助 員工履行他們的職責。在組織的任何一個層次都需求信息來識別、評價風險并對風險采取行動。組織在開放思想下的上下、橫向的信息交流可以構(gòu)成有效的溝通。組織的員工需求明確的溝通來區(qū)分本人的角色和承當?shù)呢熑巍?監(jiān)視整個組織的風險管理程序必需遭到監(jiān)視并能得到必要修正。在這種情況下，整個系統(tǒng)才干在條件滿足的同時得到動態(tài)校正和改動。監(jiān)視是經(jīng)過正在執(zhí)行的管理活動、個體組織風險管理程序或者兩者的結(jié)合來

31、實現(xiàn)的。 這些組織的風險管理要素以及它們的聯(lián)絡用一個模型來展現(xiàn)。見表2.1。組織風險管理是一個動態(tài)的過程。例如：風險評價驅(qū)動風險反響、控制活動或者重新思索信息和溝通需求的必要性及監(jiān)控。然而，組織風險管理不是線性的延續(xù)過程，它是一個多方向、反復的過程，在這個過程中大多數(shù)風險組成要素會或者將會影響另外的部分。 沒有兩個組織能或者情愿采用同一種方法進展風險管理。組織和它們的風險管理才干和需求根據(jù)它們的業(yè)務類型、規(guī)模大小、文化和管理哲學各不一樣。因此，當組織需求利用風險管理各要素來進展控制時，對工具、技術(shù)、風險管理的責任組成的風險管理運用框架通常不同于其他組織。 目的和要素的關(guān)系 組織要到達的目的和風

32、險管理各要素之間有一個直接的關(guān)系。這個關(guān)系可以用一個三維矩陣來表示，見表2.1。 Exhibit 2.1 第一維度：風險管理八要素；第二維度：組織層級企業(yè)層次、子公司、業(yè)務單位、分支機構(gòu)；第三維度：組織目的戰(zhàn)略、運作、財務報告準確性、法規(guī)遵照性 每一個風險管理組成要素所在的行都與四類目的相交叉。例如，財務和非財務的數(shù)據(jù)從內(nèi)部和外部產(chǎn)生，這些數(shù)據(jù)是信息和溝通的一部分，它們在戰(zhàn)略設定和有效管理商業(yè)運作，有效的報告和服從法律各個部分都是需求的。同樣的，一切分類目的都和八個構(gòu)成部分中每一個相關(guān)聯(lián)。 拿運作的效果和效率舉例來說，對于它的業(yè)績，一切八個部分都是可適用和重要的。組織風險管理是和整個組織或者組織中的某個經(jīng)濟單元都是相關(guān)聯(lián)的。這種關(guān)聯(lián)在立方體的第三面可以看到，組織的經(jīng)濟單元包括子公司、分部和其他業(yè)務單元 ，因此，每一部分都能與矩陣的任一部分相聯(lián)絡。表2.2擴