第二章風險管理整合框架

第二章《企業(yè)風險管理——整合框架》基本理論

一、《企業(yè)風險管理——整合框架》（簡稱ERM框架）的頒布

1992年COSO發(fā)布的《內(nèi)部控制一一整合框架》雖然被許多企業(yè)采用，但理論界和實務界紛紛

提出改進建議，認為其對風險強調(diào)不夠，使得內(nèi)部控制無法與企業(yè)風險管理相結(jié)合。2001年，COSO

委托普華永道開發(fā)一個對于管理層評價和改進他們所在組織的企業(yè)內(nèi)部控制的簡便易行的框架。在

此期間出現(xiàn)了安然公司破產(chǎn)事件、美國國會2002年出臺了《2002公眾公司會計改革和投資者保護

法案》（薩班斯一一奧克斯利法案），該法案是繼美國《1933年證券法》、《1934年證券交易法》以

來又一部具有里程碑意義的法律，該法案強調(diào)了公司內(nèi)部控制的重要性，從管理層、內(nèi)部審計以及

外部審計等幾個層面對公司內(nèi)部控制做了具體規(guī)定，并設置了問責機制和相應的懲罰措施，成為繼

20世紀30年代美國經(jīng)濟危機以來，政府制定的涉及范圍最廣、處罰最嚴厲的公司法律。

2004年，Treadway委員會下屬的發(fā)起組織委員會（COSO）發(fā)布了《企業(yè)風險管理一一整合框架》

（ERM）”,該框架是在1992年COSO委員會頒布的內(nèi)部控制框架基礎(chǔ)上，吸收各方風險管理研究成

果基礎(chǔ)上提出的，是內(nèi)部控制整體框架的延伸和擴展，一經(jīng)推出，就迅速得到了推廣。這個框架的

顯著變化是將內(nèi)部控制上升至全面風險管理的高度來認識。

COSO發(fā)布《企業(yè)風險管理一一整合框架》的目的與當初發(fā)布風險管理框架的目的相似，是由

于實務界存在對統(tǒng)一的概念性指南的需要。COSO希望新框架能夠成為組織董事會和管理者的一個有

用工具，用來衡量組織的管理團隊處理風險的能力，并希望該框架能夠成為衡量企業(yè)風險管理是否

有效的一個標準。

二、企業(yè)風險管理的定義

《企業(yè)風險管理——整合框架》（簡稱ERM框架）指出，“全面風險管理是一個過程，它由一

個主體的董事會、管理層和其他人員實施，應用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識別可能會影

響主體的潛在事項、管理風險，以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保

證”。

企業(yè)全面風險管理指貫穿整個組織的具有結(jié)構(gòu)性、一致性和持續(xù)性的過程，以識別、評估、決

定如何應對及報告影響組織目標實現(xiàn)的機遇和威脅.

這是一個廣義的風險管理定義，適用于各種類型的組織、行業(yè)和部門。該定義直接關(guān)注組

織目標的實現(xiàn)，并且為衡量企業(yè)風險管理的有效性提供了基礎(chǔ)。該定義強調(diào)：

本人認為COSO發(fā)布的《企業(yè)風險管理一一整合框架》，具有較強的理論可取性和實踐可行性，不但涵蓋了內(nèi)部控

制整體框架的全部內(nèi)容，而且有了更多的創(chuàng)新，必將全面替代COSO發(fā)布的內(nèi)部控制整合框架，所以本書按照COSO

發(fā)布的《企業(yè)風險管理一一整合框架》來闡述。

(1)企業(yè)的風險管理是一個過程，其本身并不是一個結(jié)果，而是實現(xiàn)結(jié)果的一種方式。企

業(yè)的風險管理是滲透于組織各項活動中的一系列行動。這些行動普遍存在于管理者對組織的日常管

理中，是組織日常管理所固有的。它僅是一種工具，是實現(xiàn)目標的工具而已。如果將風險管理看成

是一個目標，就會為建立而建立，就會本末倒置，流于形式。

(2)企業(yè)全面風險管理框架針對一類或幾類相互獨立但又存在重疊的目標，目的在于組織目

標的實現(xiàn)。這里是一個非常明顯的進步，這種進步不僅僅在于提出“風險管理框架針對一類或幾類

相互獨立但又存在重疊的目標”風險管理的目標也是實現(xiàn)多個目標，這里的關(guān)鍵區(qū)別在于直接明確

風險管理的終極目標是促進組織目標的實現(xiàn)，這就揭示了風險管理的目的，為風險管理指明了方向，

同時這也是判斷風險管理成功失敗的唯一的標準，即風險管理能否有效促進組織目標的實現(xiàn)。

(3)企業(yè)的風險管理是一個過程，一個系統(tǒng)的持續(xù)的動態(tài)過程。這里和風險管理的定義一

樣，強調(diào)風險管理也是一個過程，是動態(tài)的，組織經(jīng)營管理環(huán)境的變化必然要求風險管理適應環(huán)境

變化的要求，風險管理不僅僅是在某個特定時間里執(zhí)行的政策和程序，不僅僅是一種工具，而是組

織內(nèi)部的各部門連續(xù)運作。是一個發(fā)現(xiàn)風險、處理風險、發(fā)現(xiàn)新風險、處理新風險的循環(huán)往復過程。

它隨著組織的目標的變化而變化，隨著面臨環(huán)境的變化而變化等等，這個過程不是僵化的，就象中

國古語“世移時移，變法亦矣！"，這個世界唯一不變的是變化，否則就是刻舟求劍，緣木求魚。

同時，也強調(diào)風險管理是一個全面的系統(tǒng)過程，他不僅僅限于對某一事項和情況的處理，而

是滲透到組織的每個方面，只有把風險管理嵌入到組織日常的管理過程中，才能發(fā)揮風險管理機制

的作用。

(4)企業(yè)風險管理是一個由人參與的過程，涉及一個組織各個層次的員工。定義一方面強調(diào)風

險的管理不是高高在上，由組織的上層和董事會來實施并承擔責任的，而是組織內(nèi)每一個人的責任，

強調(diào)人人有責任和義務參與風險管理，雖然參與的方式有所不同；另一方面也說明每一個員工所做

的每一件事和每一份努力都和組織目標的實現(xiàn)、和風險的控制有直接的關(guān)系，培養(yǎng)員工的參與感，

樹立員工的主人翁意識和歸屬感，發(fā)自內(nèi)心地關(guān)心企業(yè)的風險管理。

(5)該過程可用于組織的戰(zhàn)略制定。組織目標可以分為不同的層次，戰(zhàn)略目標是組織最高

層次的目標，它與組織的預期和任務相聯(lián)系并支持預期和任務的實現(xiàn)。一個組織為實現(xiàn)其戰(zhàn)略目標

而制定戰(zhàn)略，并將戰(zhàn)略分解成相應的子目標，再將子目標層層分解到業(yè)務部門、行政部門和各生產(chǎn)

過程。W在制定戰(zhàn)略時，管理者應考慮與不同的戰(zhàn)略相關(guān)聯(lián)的風險。

(6)該風險管理過程應該應用于組織內(nèi)部每個層次和部門，組織管理者對組織所面臨的風

險應有一個總體層面上的風險組合觀。一個組織必須從全局、從總體層面上考慮組織的各項活動。

企業(yè)的風險管理應考慮組織內(nèi)所有層面的活動，從組織總體的活動(如戰(zhàn)略計劃和資源分配)到業(yè)務

部門的活動（如市場部、人力資源部），再到業(yè)務流程（如生產(chǎn)過程和新客戶信用復核）。組織是一

個整體，有一個整體總目標，雖然總目標分成很多分目標，但是分目標和總目標的實現(xiàn)不是矛盾的，

而是統(tǒng)一的，分目標的實現(xiàn)有利于總目標的實現(xiàn)，否則，分目標就是失敗的。這里在考慮分目標時，

鼓勵分析人員不要孤立地考慮問題，而是將分目標放在組織整體上來進行考慮，這樣判斷標準就非

常清晰明確，從面上看點就更加全面，而不是管中窺豹，只見一斑，見樹木而不見森

（7）該過程是川來識別可能對組織造成潛在影響的事項并在組織風險偏好的范圍內(nèi)管理風

險。風險偏好主要指對待風險的態(tài)度，具體指組織愿意承受的風險水聞。不同組織，同一組織的不

同領(lǐng)導人，其風險偏好各不相同，在不同的風險偏好下，風險管理的策略也不相同。風險管理的目

的并非將風險降低到零，也并非將風險控制的越低越好，而是在考慮企業(yè)風險偏好的前提下，設計

風險管理的模式和策略，從而達到企業(yè)風險管理的目的一一將風險控制在企業(yè)可以接受的風險偏好

范圍內(nèi)。

（8）設計合理、運行有效的風險管理能夠向組織的管理者和堇事會在組織各目標的實現(xiàn)上

提供合理的保證。一方面強調(diào)風險管理可以提供保證；另一方面也強調(diào)在完美的風險管理也不可能

提供絕對的保證，任何情況下，風險都很難降到零，所以，風險管理只能提供合理的保證，迷信或

片面夸大風險管理的效果是不恰當?shù)摹?/p>

總之，企業(yè)風險管理是一個過程，企業(yè)風險管理的有效性是某一時點的一個狀態(tài)或條件。決定

一個企業(yè)的風險管理是否有效是基于對風險管理要素設計和執(zhí)行是否正確的評估基礎(chǔ)上的一個主

觀判斷。企業(yè)的風險管理要有效，則其設計必須包括所有的要素并得到執(zhí)行?企業(yè)風險管理可以從

一個組織的總體來認識，也可以從一個單獨的部門或多個部門的角度來認識。即使是站在某一特定

的業(yè)務部門的角度來看待風險管理，所有的要素也都應作為基準包含在內(nèi)。

三、企業(yè)風險管理框架的構(gòu)成要素

企業(yè)風險管理框架分為內(nèi)部環(huán)境、目標制定（設定）、事項識別、風險評估、風險反應（風

險應對）、控制活動、信息和溝通、監(jiān)控等八個相互關(guān)聯(lián)的要素各要素貫穿在組織的管理過程之

中。

（一）內(nèi)部環(huán)境

1、概念和作用

所謂內(nèi)部環(huán)境就是對組織風險管理的建立和實施有重大影響的因素的統(tǒng)稱，是建立、加強或

削弱特定政策和程序效率發(fā)生影響的各種因素的統(tǒng)稱。任何組織的風險管理都存在于一定的環(huán)境之

中，環(huán)境的好壞直接決定組織其他控制能否實施或?qū)嵤┑男Ч?組織的內(nèi)部環(huán)境主要是指企業(yè)風險

管理的環(huán)境，是其他所有風險管理要素的基礎(chǔ)，為其他要素提供規(guī)則和結(jié)構(gòu)，在企業(yè)風險管理的建

立與實施中發(fā)揮著基礎(chǔ)性作用。內(nèi)部環(huán)境反映了董事會、管理層、業(yè)主和其他人員等對待控制（控

制對于組織的重要性）的態(tài)度、認識和行動。它決定了一個組織的管理基調(diào)，提供組織紀律與架構(gòu)，

塑造組織文化，并影響著員工的控制意識。它是其他控制因素的基礎(chǔ)，為風險管理界定紀律和結(jié)構(gòu)。

組織的內(nèi)部環(huán)境不僅影響組織戰(zhàn)略和目標的設定、業(yè)務活動的組織和對風險的識別、評估和反應，

還影響組織控制活動、信息和溝通系統(tǒng)以及監(jiān)控活動的設計和執(zhí)行。

這里的內(nèi)部環(huán)境和控制環(huán)境相比，外延進一步擴大，這意味著在考慮風險管理時，不但考慮

直接因素，還要考慮間接因素，一句話，考慮影響風險管理的全部環(huán)境。

這里我認為把“內(nèi)部環(huán)境”改為“風險管理環(huán)境”更恰當，因為“內(nèi)部環(huán)境”從字面上來看

讓人感覺風險管理面臨的風險及其需要考慮的環(huán)境僅僅局限于內(nèi)4。

2、內(nèi)部環(huán)境的組成

鑒于很多教材和觀點依然以COSO的五要素整合框架為最權(quán)威的框架，關(guān)于內(nèi)部環(huán)境的很多說

法在很多方面和控制環(huán)境基本可以換用。HA實務標準詞匯表指出，“控制環(huán)境指董事會和管理層對

組織風險管理重要性的態(tài)度及行動。內(nèi)部環(huán)境為實現(xiàn)風險管理制度的主要目標提供規(guī)范和組織架

構(gòu)。內(nèi)部環(huán)境包括以下要素：

?誠信和職業(yè)道德價值觀；

?管理層的理念和經(jīng)營風格以及思想和作風;

?組織結(jié)構(gòu)（包括治理結(jié)構(gòu)）；

■權(quán)力和責任的劃分（授權(quán)和分配責任的方法）.

?人力資源政策和實務；

?人員的勝任能力

除此以外，內(nèi)部環(huán)境還應該包括董事會和審計委員會、發(fā)展戰(zhàn)略、內(nèi)部審計、企業(yè)文化、外

部影響（影響本組織業(yè)務的各種外部關(guān)系，例如由銀行指定代理人的檢查）等。

（1）管理的理念、方式和風格

管理當局在建立一個有力的內(nèi)部環(huán)境中起著關(guān)鍵的作用，風險管理只要得到高層的重視才能取

得成功，如果主要領(lǐng)導人濫用職權(quán)，或者不相容職務串通舞弊，風險管理必然失效。這里主要考慮:

管理當局對待風險態(tài)度和控制風險的方法；依靠文件化的政策、業(yè)績指標以及報告體系等與

關(guān)鍵經(jīng)理人員溝通；為實現(xiàn)組織目標，組織對管理的重視程度；管理當局對會計報表所持的態(tài)度和

采取的行動；對現(xiàn)有可選擇的會計準則和會計數(shù)值估計所持有的謹慎或冒進態(tài)度。

在這個因素中，領(lǐng)導的風格是一個非常重要的因素。

①領(lǐng)導風格定義

領(lǐng)導風格(Leadershipstyles)指一個組織中的管理者對經(jīng)營管理的態(tài)度和處理事情的習慣

做法。在組織中，領(lǐng)導風格與領(lǐng)導方式體現(xiàn)了組織的管理理念和經(jīng)營風格，即一個組織對風險的態(tài)

度、對財務的態(tài)度、決策方式和溝通方式等。

②領(lǐng)導風格的分類

根據(jù)組織條件和領(lǐng)導人的風格，可以把領(lǐng)導風格區(qū)分為任務驅(qū)動型和關(guān)系驅(qū)動型兩類。

任務驅(qū)動型是指領(lǐng)導著重考慮任務的分解、落實，相應地，在領(lǐng)導的過程中，領(lǐng)導者更傾

向于應用權(quán)威進行命令式的指揮和根據(jù)目標隨時進行強有力的控制。這種領(lǐng)導風格比較適宜于任務

分工明確，組織穩(wěn)定，內(nèi)部關(guān)系清晰簡單的組織狀況。

關(guān)系驅(qū)動型是指領(lǐng)導者更加注重通過理順組織關(guān)系，通過溝通和協(xié)調(diào)來調(diào)動成員的工作積

極性和能動性來完成組織任務。這一風格更多地適宜于任務分工要求較強的協(xié)作關(guān)系，技術(shù)性強，

組織中專業(yè)人士較多，人際關(guān)系相對復雜的組織條件。

③領(lǐng)導方式的分類

領(lǐng)導風格和領(lǐng)導方式密不可分，領(lǐng)導方式因人而異，也因組織而異。一般地，根據(jù)組織的特征

和管理者個人的偏好不同，領(lǐng)導方式可以分為自由放任式、民主式、結(jié)構(gòu)化式和體貼式等。

在一些任務比較特別，完成任務的過程中成員自主性較強，成員本身的責任感和專業(yè)能夠保

證其獨立完成工作，管理者和員工之間具備充分的信任感的情況下，可以采用自由放任式的領(lǐng)導方

式。

在組織士氣不振或分工不明確，環(huán)境復雜不利和目標難以達到的情況下，通過體貼員工，鼓

勵他們達到目標的方式就是體貼式。

在組織專業(yè)能力較強，任務復雜多變，組織成員與管理者之間具有一定程度的信任感的情況

下，民主化的領(lǐng)導方式有利于發(fā)揮專業(yè)人員的專業(yè)優(yōu)勢，同時也利于統(tǒng)一意見，鼓舞士氣。

在任務比較確定并且較為穩(wěn)定的組織中，統(tǒng)稱采用機構(gòu)式的領(lǐng)導方式，按部就班地領(lǐng)導成員

完成任務。

在大多數(shù)情況下，領(lǐng)導者都會根據(jù)具體的情況采取多種領(lǐng)導方式的組合策略，但不管怎樣，

這些組合通常也帶有明顯的個人風格。

(2)組織結(jié)構(gòu)

組織結(jié)構(gòu)是指組織計劃、協(xié)調(diào)和控制經(jīng)營活動的整體框架。

設置合理的組織結(jié)構(gòu)，有助于建立良好的內(nèi)部環(huán)境。一個公司的組織結(jié)構(gòu)包含①確定組織的形

式和性質(zhì)，包括確認相關(guān)的管理職能和報告關(guān)系；②為每個內(nèi)部機構(gòu)劃分責任權(quán)限的制定辦法。

組織結(jié)構(gòu)常用組織結(jié)構(gòu)圖來表示，以準確反映授權(quán)方式和報告關(guān)系。

具體應考慮：組織結(jié)構(gòu)的合適性，及其提供管理機構(gòu)所需信息的溝通能力；各主管人員所負責

任的適當性：按照主管人員所擔負的責任，判斷其是否具備足夠的知識及豐富的經(jīng)驗；當環(huán)境改變

時，機構(gòu)配合改變其組織結(jié)構(gòu)的程度；員工，尤其是負責管理及監(jiān)督職能的員工人數(shù)的充足程度。

(3)董事會和審計委員會

董事會是內(nèi)部環(huán)境的重要組成部分，對其他內(nèi)部環(huán)境要素有重要的影響。組織的管理者也是內(nèi)

部環(huán)境的一部分，其職責是建立企業(yè)風險管理理念(風險管理哲學、理念或態(tài)度)及冒險的“欲望”,

確定組織的風險偏好，營造組織的風險文化，并將企業(yè)的風險管理和相關(guān)的初步行動結(jié)合起來。因

為董事會和管理層對風險的態(tài)度將影響組織對業(yè)務活動的選擇和為使風險被控制在可以接受的水

平而采取的措施。比如，如果董事會和管理層對風險的態(tài)度是非常保守的，那么組織有可能只選擇

在一些風險非常低的領(lǐng)域里投資，當然收益也可能相對較低。

組成這兩個機構(gòu)所要考慮的因素主要包括：成員的經(jīng)驗；相對于管理層的獨立性；外部董事的

比例；其成員參與管理的程度；所采取措施的適宜性；對管理層提出問題的深度和廣度；它們與內(nèi)

部、外部審計人員的關(guān)系實質(zhì)。這兩個機構(gòu)應當負責批準并定期審查整個經(jīng)營戰(zhàn)略和重大政策；理

解經(jīng)營的主要風險，確定這些風險的可接受水平，保證高層管理者采取必要步驟，識別、衡量、評

審和控制風險；批準機構(gòu)的結(jié)構(gòu)；并確保高層管理者不斷評審風險管理系統(tǒng)的有效性。

(4)授權(quán)和分配責任的方法

如果管理當局建立了授權(quán)和分配責任的方法，就會大大增強機構(gòu)的控制意識。

強調(diào)對于組織內(nèi)的全部活動要合理有效地分配職責和權(quán)限，并為執(zhí)行任務和承擔職責的機構(gòu)成

員特別是關(guān)鍵崗位的人員，提供和配備所需的資源并確保他們的經(jīng)驗和知識與職責權(quán)限相匹配，要

使所有員工知道：他們的工作行為、職責擔負形式和認可方式與達成組織目標的聯(lián)系。

(5)管理控制方法

管理控制方法是管理當局對其他人的授權(quán)使用情況直接控制和對整個公司的活動實行監(jiān)督的

方法的總稱，包括經(jīng)營計劃、預算、預測、利潤計劃、責任會計等。具體執(zhí)行時需要①計劃；②比

較(實際與預算、實際與計劃)；③調(diào)查差異、采取糾正措施。組織規(guī)模越大，這些方法越重要。

(6)內(nèi)部審計

內(nèi)部審計是組織自我評估的一種活動，它通過協(xié)助管理當局監(jiān)督其他控制政策和程序來促進好

的內(nèi)部環(huán)境的建立。內(nèi)部審計與其權(quán)限、人員的資格以及可使用的資源密切相關(guān)。內(nèi)部審計必須獨

立于被審計部門，并且直接向董事會或?qū)徲嬑瘑T會報告。

(7)人力資源政策及實務

風險管理是由人來進行并受人的因素影響，風險管理中最重要的因素是人，如果員工具有足夠

的勝任能力和誠心度，將大大有助于風險管理目標的實現(xiàn)。保證組織所有成員具有一定水準的誠信、

道德觀和能力的人力資源方針與實踐，是風險管理有效的關(guān)鍵因素之-O好的人事政策和實務，能

確保執(zhí)行組織政策和程序的人員具有正直品行和勝任能力，組織必須雇傭足夠的人員并給予適當?shù)?/p>

培訓和足夠的資源，使其能完成所分配的任務。正直品行和勝任能力的人員在很大程度上取決于組

織的有關(guān)雇傭政策、待遇、業(yè)績考核以及晉升等政策和程序的合理程度。

具體包括：有完善的招聘與選拔方針及操作性程序；對新員工進行組織文化和道德價值觀的導

向培訓；對違反行為準則的任何事項，制定紀律約束與處罰措施；對業(yè)績良好的員工，制定具有獎

勵和激勵作用的報酬計劃，并避免誘發(fā)不道德行為；根據(jù)階段性的業(yè)績評估結(jié)果，對員工予以晉升、

指導以及獎罰。

(8)誠信正直的原則和道德價值觀

無論是組織最高管理階層還是其他成員都應當做到嚴格一致的誠信行為和道德標準；不盲目追

求不切實際的目標，以免形成不必要的壓力；對敏感職位之間的職務分工要準確明細，以避免造成

偷竊資產(chǎn)或隱藏不良績效的誘因；加強組織的內(nèi)部審核制度；發(fā)揮董事會的職能，使其客觀監(jiān)督組

織的高層管理階層；提供道德方面的指導，使所有雇員在一般和特定環(huán)境下能夠保持正確的判斷；

制作文字化的行為準則和政策聲明，將其傳達給全體雇員；將誘發(fā)人們不誠實、非法和不道德行為

的動機降至最低。

(9)外部影響

外部機構(gòu)的監(jiān)管可能導致管理當局采用更多特定的風險管理政策和程序。

(二)目標設定

1、目標設定的含義和重要性

目標設定是企業(yè)在識別和分析實現(xiàn)目標的風險并采取行動來管理風險之前，采取恰當?shù)某绦?/p>

去設定目標，確保所選定的目標支持和切合企業(yè)的發(fā)展使命，并且與企業(yè)的風險承受能力相一致。

目標設定是企業(yè)風險評估的起點，是風險識別、風險分析和風險應對的前提。

根據(jù)組織確定的任務或預期，管理者設定組織的戰(zhàn)略目標，選擇戰(zhàn)略并確定其他與之相關(guān)的目

標并在組織內(nèi)層層分解和落實。管理者必須首先確定組織的目標，才能夠確定對目標的實現(xiàn)有潛在

影響的事項。而企業(yè)風險管理就是提供給組織管理者一個適當?shù)倪^程，既能夠幫助設定組織的目標，

又能夠?qū)⒛繕伺c組織的任務或預期聯(lián)系在一起，并且保證設定的目標與組織的風險偏好相一致。

風險管理要達到的目的稱為風險管理目標，任何組織的控制目標，總是源于管理目標，總是和

其管理目標相一致的，它是管理目標的具體化，風險管理為組織目標的實現(xiàn)服務。而任何組織的管

理目標.又總是和管理思想及經(jīng)營方針密切相關(guān)。管理思想和經(jīng)營方針既受經(jīng)濟環(huán)境的影響，又受

決策階層的基本觀念影響。

確定風險管理目標既要了解經(jīng)營管理的總體目標，又要了解各管理階層的個別目標，即要把

各種經(jīng)營活動分解成一個或幾個循環(huán)，循環(huán)包括處理一個特定交易或業(yè)務所需要的一切特定活動

（諸如驗證、分類、記錄、報告、信息）。循環(huán)應與機構(gòu)的組織和職責分工相一致，應與機構(gòu)的總體

目標相配合，以促成總體目標的實現(xiàn)。因此，風險管理的基本目標，都是保證組織完成自己的工作

任務或達到目的的，它具有實用性。

2、確定風險管理的目標需要關(guān)注企業(yè)的利益相關(guān)者

企業(yè)的利益相關(guān)者就是和企業(yè)的發(fā)展、變化直接相關(guān)的那些組織和人員，他們會因企業(yè)的變化

收益或者受害，企業(yè)目標（導向）的確定直接影響利益相關(guān)者的利益；反過來講，企業(yè)利益相關(guān)者

的訴求也會影響企業(yè)目標的確定以及企業(yè)風險管理目標的確定，因此要確定合理的企業(yè)目標就需要

首先確定企業(yè)的利益相關(guān)者，根據(jù)利益相關(guān)者的訴求確定企業(yè)的目標。只有明確了風險管理的利益

相關(guān)者，才能更好的明確風險管理的目的和方向，更好地為風險管理服務。

需要注意的是，企業(yè)風險管理的利益相關(guān)者和公司治理的利益相關(guān)者不能直接劃等號，但二者

會互相影響。

但考慮利益相關(guān)者的要求對企業(yè)目標的影響時，要分清并關(guān)注主要的利益相關(guān)者，而非面面俱

到。

3、企業(yè)的五類目標

不同的目標對風險管理的制定、實施、要求各不相同，但不管怎樣，風險管理都要實現(xiàn)如下五

類目標：

（1）促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略目標

促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略是風險管理的最高目標，也是終極目標。戰(zhàn)略與企業(yè)目標相關(guān)聯(lián)并且

支持其實現(xiàn)的基礎(chǔ)，是管理者為實現(xiàn)企業(yè)價值最大化的根本目標而針對環(huán)境做出的一種反應和選

擇。

（2）保證財務和運營信息的可靠性與完整性

財務報告及相關(guān)信息的真實完整目標是指風險管理要合理保證企業(yè)提供了真實可靠的財務信

息及其他信息。保證所有交易和事項以正確的金額，在恰當?shù)臅嬈陂g及時記錄于適當?shù)馁~戶，使

會計報表的編制符合相關(guān)準則的相關(guān)要求。

為確保財務報告及相關(guān)信息真實完整應做到：

（1）應按照企業(yè)會計準則的有關(guān)會計制度如實地核算經(jīng)濟業(yè)務、編制財務報告，滿足會計信

息的一般質(zhì)量要求。

（2）應通過風險管理制度的設計，包括不相容職務分離控制制度、授權(quán)審批控制制度、日常

信息核對制度、懲罰制度等，來防止提供虛假會計信息，抑制虛假交易的發(fā)生。

為提供可靠的財務報告，必須保證具有可靠的會計記錄?？煽康臅嬘涗浭侵改切┛梢杂脕?/p>

編制可靠財務報表的記錄，包括某些月末或年末的調(diào)整記錄（如調(diào)整分錄）。如果其他各方面都能做

到準確無誤，會計記錄就可以按照設計要求提供可靠信息。

要求具有可靠會計記錄的目的之一，是及時提供可靠的財務信息。管理部門需要可靠的財務信

息以便在組織的經(jīng)營活動中做出正確的經(jīng)營決策；股東、貸款者和其他各方，需要可靠的財務信息

以便進行正確的投資、貸款和其他決策。一般來說，審計人員直接關(guān)心提供給外部使用的財務報表

可靠性的控制，而對內(nèi)部管理報告可靠性的控制僅僅在審計人員認為其對它們審計工作產(chǎn)生影響時

才予以關(guān)注。

（3）保證運營的效率和效果（高效率、有成效（結(jié)果））

提高經(jīng)營的效率和效果是風險管理要達到的最直接也是最根本的目標。經(jīng)濟有效的利用資源,

盡可能減少組織有限資源的耗費，實現(xiàn)理想的成本水平和效益水平。

良好的風險管理可以從以下四個方面來提高企業(yè)的經(jīng)營效率和效果：

①組織精簡、權(quán)責劃分明確，各部門之間、工作環(huán)節(jié)之間要密切配合，協(xié)調(diào)一致，充分發(fā)

揮資源潛力，充分有效的使用資源，提高經(jīng)營績效。

②優(yōu)化與整合風險管理業(yè)務流程，避免出現(xiàn)控制點的交叉和冗余，也要防止出現(xiàn)內(nèi)控盲點,

要設計最優(yōu)的內(nèi)控流程并嚴格執(zhí)行，最大限度地提高執(zhí)行效率。

③建立良好的信息和溝通體系，提高管理層的經(jīng)濟決策和反應的效率。

④建立有效的內(nèi)部考核機制，提高工作的效率和效果。

（4）組織的經(jīng)營管理行為和決定遵守相關(guān)的法律、法規(guī)和合同（保證遵循政策、計劃、程序、

法律、法規(guī)和合同）

經(jīng)營管理合法合規(guī)目標是指風險管理要合理保證企業(yè)在國家法律和法規(guī)允許的范圍內(nèi)開展經(jīng)

營活動，嚴禁違法經(jīng)營。

經(jīng)營管理合法合規(guī)是企業(yè)生存和發(fā)展的客觀前提，是風險管理的基礎(chǔ)性目標，是實現(xiàn)其他內(nèi)

控目標的保證。

政策、計劃和程序是由組織制定的，法律和法規(guī)來源于組織外部，內(nèi)部審計人員要審查規(guī)章

制度的遵循情況，評價政策、計劃和程序的適當性。

評價政策、計劃和程序的適當性是核心所在，若政策、計劃和程序本身己不適當，遵守政策、

計劃和程序毫無意義。

（5）資產(chǎn)得到保護（保護資產(chǎn)的安全）

資產(chǎn)安全目標主要是為了防止資產(chǎn)流失。保護資產(chǎn)的安全與完整是企業(yè)開展經(jīng)營活動的物

質(zhì)前提。資產(chǎn)安全目標有兩個層次：

①確保資產(chǎn)在使用價值上的完整性，主要是指防止貨幣資金和實物資產(chǎn)被挪用、轉(zhuǎn)移、侵

占、盜竊以及對無形資產(chǎn)控制權(quán)的旁落。

②確保資產(chǎn)在價值量上的完整性，主要是防止資產(chǎn)被低價出售，損害企業(yè)利益。

保護資產(chǎn)通常理解為對現(xiàn)金、有價證券和存貨等資產(chǎn)的保護，以防止出現(xiàn)舞弊性錯誤，如顧

客通過盜竊或篡改記錄、多拿傭金、紅利或索取使用費等；也防止非故意性的錯誤，如偶然性少收

貨、多付購貨款或財產(chǎn)損壞等。通常認為，保護資產(chǎn)不包括防止因魯莽決策而造成的財產(chǎn)損失，例

如賠本銷售產(chǎn)品，在不妥當?shù)牡攸c開設倉庫或是大作收效甚微的廣告。

為保護組織的資產(chǎn)安全所設計的風險管理的基本思想在于制衡，因為有了制衡，兩個人同時犯

同一錯誤的概率大大減少，從而加大了不法分子實施犯罪計劃、進行貪污舞弊行為的難度，從而保

護企業(yè)的資產(chǎn)被非法侵蝕或占用，保障企業(yè)正常經(jīng)營活動的順利開展。

具體的保證資產(chǎn)安全的控制措施有安裝防盜門鎖、聘用保安、設置密碼、修建地下室。貴重資

產(chǎn)需要有多重保護措施。

4、目標之間的關(guān)系

風險管理的五個目標不是彼此孤立的，而是相互聯(lián)系、共同構(gòu)成/■一個完整的風險管理目標

體系。其中，戰(zhàn)略目標是最高目標，是與企業(yè)使命相聯(lián)系的終極目標；其他四個是建立在戰(zhàn)略目標

基礎(chǔ)上的業(yè)務層次目標，其中經(jīng)營目標是戰(zhàn)略目標的細化、分解與落實，是戰(zhàn)略目標的短期化與具

體化，是風險管理的核心目標；資產(chǎn)目標是實現(xiàn)經(jīng)營目標的物質(zhì)前提；報告目標是經(jīng)營目標的成果

體現(xiàn)與反映；合規(guī)目標是實現(xiàn)經(jīng)營目標的有效保證。

企業(yè)生存與疆

風險管理五目標之間的關(guān)系圖

5、目標的設定與風險偏好、風險承受度

(1)目標設定是否科學、有效，取決于其是否符合企業(yè)的風險偏好和風險承受度。企業(yè)要經(jīng)

常對設定的目標進行審閱，以保證這些目標和企業(yè)的偏好、風險承受能力一致。

(2)風險偏好

風險偏好是指企業(yè)在實現(xiàn)其H標的過程中愿意接受的風險的數(shù)量。可以從定性和定量兩個

角度對風險偏好加以度量。

風險偏好與企業(yè)的戰(zhàn)略直接相關(guān)，在戰(zhàn)略制定階段，企業(yè)應進行風險管理，考慮將該戰(zhàn)略的

既定收益與企業(yè)的風險偏好結(jié)合起來，目的是幫助企業(yè)的管理者在不同的戰(zhàn)略之間選擇與企業(yè)風險

偏好相一致的戰(zhàn)略。

（3）風險承受度

風險承受度是指在企業(yè)目標實現(xiàn)的過程中對差異的可承受風險限度，是企業(yè)在風險偏好的基礎(chǔ)

上設定的對相關(guān)目標實現(xiàn)過程中所出現(xiàn)的差異的可接受水平，也被稱作風險承受能力。也就是說，

風險承受度包括整體風險承受能力和業(yè)務層面的可接受風險水平。

（4）企業(yè)應以風險組合的觀點看待風險。對企業(yè)內(nèi)每個單位而言，其風險可能落在該單位的

風險承受范圍內(nèi)，但從企業(yè)整體來看，總風險可能超過企業(yè)總體的風險偏好范圍，因此，應以企業(yè)

總體的風險組合的觀點看待風險。

6、企業(yè)戰(zhàn)略目標的設定和分解

在設定企業(yè)風險管理目標的過程中，企業(yè)要根據(jù)自己的風險偏好和風險承受能力首先設定企

業(yè)層面的目標，即戰(zhàn)略目標，然后再設定業(yè)務層面目標。

（1）戰(zhàn)略目標需要考慮的因素和內(nèi)容

戰(zhàn)略目標是企業(yè)使命和功能的具體化，一方面有關(guān)企業(yè)生存的各個部門都需要設定目標。盡

管企業(yè)戰(zhàn)略目標是多元化的，但各個企業(yè)需要設定目標的內(nèi)容卻是大致相同，通常戰(zhàn)略目標的內(nèi)容

可從以下幾個方面來考慮：

制定企業(yè)戰(zhàn)略目標需要考慮的因素

不是每個企業(yè)在以上每個區(qū)域都要規(guī)定目標，并且戰(zhàn)略目標也不僅局限于以上9個方面。

（2）戰(zhàn)略目標的分解

戰(zhàn)略目標不止一個，而是由若干目標項目組成的一個戰(zhàn)略目標體系。戰(zhàn)略目標可以進行縱向

分解和橫向分解，還可以運用平衡計分卡進行分解。

①縱向分解

企業(yè)使命

I

總戰(zhàn)略目標〕

I_______）

I——I1——I

［職能性目標］職能性目標］職能性目標

\_________________________________/I________________________________/I________________________________/

U子目標）q子目標）k子目標）

企業(yè)戰(zhàn)略目標體系縱向分解圖

從縱向上看，企業(yè)戰(zhàn)略目標可以分解成樹形圖。在企業(yè)使命基礎(chǔ)上設定戰(zhàn)略目標，但為了其實

現(xiàn)，還必須將其分解成職能戰(zhàn)略目標，也就是，總戰(zhàn)略目標是企業(yè)的主體目標，職能型目標是保證

性目標。

②橫向分解

企業(yè)的戰(zhàn)略目標大致可以分為兩類：

第一類是用來滿足企業(yè)生存和發(fā)展所需要的項目目標，這些目標項目又可以分解成業(yè)績目標和

能力目標。業(yè)績目標主要包括收益性、成長性和安全性指標等三類定量目標；能力目標主要包括企

業(yè)綜合能力指標、研究開發(fā)能力指標、生產(chǎn)能力指標、人事組織能力指標和財務管理能力指標等一

些定性和定量指標。

第二類是用來滿足與企業(yè)有利益關(guān)系的各個社會群體所要求的目標。這樣的群體主要有顧客、

企業(yè)職工、股東、所有社區(qū)及企業(yè)社會群體。

③平衡計分卡

企業(yè)能否繼續(xù)提企業(yè)如何對其所有者負

需做好什么的產(chǎn)品與服務

戰(zhàn)略目標的分解一一平衡計分卡

通過平衡計分卡，可以從4個維度明晰企業(yè)的戰(zhàn)略目標重點，如財務維度方面，快速擴大銷

售規(guī)模，提高銷售收入；客戶維度方面，顯著提高產(chǎn)品品牌，擴大市場占有率；內(nèi)部業(yè)務流程維度

方面，導入信息化平臺管理，改善銷售模式；學習與成長維度方面，加強骨干員工的培訓，打造學

習型團隊等。

(3)戰(zhàn)略目標設定的原則

戰(zhàn)略目標設定的原則，通常使用SMART原則，它是以下五個英文單詞首字母的縮寫：

S(Specific)代表具體，不能籠統(tǒng);

M(Measurable)代表可計量，可以量化并可被驗證；

A(Attainable)代表可行，可以達到；

R(Relevant)代表相關(guān)性，實實在在，可以證明和觀察；

T(Time-based)代表時限，具有明確的截止期限。

(4)戰(zhàn)略目標設定的步驟

a.明確企業(yè)發(fā)展目標

b.制定實現(xiàn)目標的戰(zhàn)略計劃

c.編制年度計劃

d.企業(yè)編制年度預算

(5)戰(zhàn)略目標設定的方法

企業(yè)在設定戰(zhàn)略目標時，有4個思考的維度：一是企業(yè)過去和現(xiàn)在已經(jīng)達到的目標；二是

所在行業(yè)的平均水平；三是所在行業(yè)最優(yōu)水平或杠桿業(yè)績；四是依據(jù)使命和愿景，企業(yè)應該達到的

HI

在具體設定戰(zhàn)略目標時，常用的方法有時間序列分析法、相關(guān)分析法、盈虧平衡分析法、決

策矩陣法、決策樹法、基準分析法、博弈論法、模型模擬法等分析方法。

7、設定業(yè)務層面目標

4m勺目般毋足%tHk。?h超目冰■修：!

（二）事項識別（識別風險因素、風險識別）

1、風險、風險因素的定義

風險是指某一對組織目標的實現(xiàn)可能造成負面影響的事項發(fā)生的可能性。風險因素可定義為

對組織目標的實現(xiàn)產(chǎn)生負面影響的事情。因此，確定風險因素的先決條件是設定目標，組織的目標,

通常是由組織的理念及其所追求的價值所決定的，而與之相配合的是組織下一級各部門的具體目

標。組織在實現(xiàn)目標的過程中，由于受來自內(nèi)部和外部各種不確定的因素的影響，使得組織的經(jīng)營

活動面臨各種風險。

不確定性的存在，使得組織的管理者需要對這些事項進行識別。而潛在事項對組織可能有正

面的影響、負面的影響或者兩者同時存在。對組織有正面影響的事項，或者是組織的機遇，或者是

可以抵消風險對組織的負面影響的事項。機遇可以在組織戰(zhàn)略或目標設定的過程中加以考慮，以確

定有關(guān)行動抓住機遇?？赡軡撛诘氐窒L險的負面影響的事項則應在風險的評估和反應階段予以考

慮。有負面影響的事項是組織的風險，要求組織的管理者對其進行評估和反應。

2、風險識別的含義

風險識別是對企業(yè)面臨的各種潛在事項進行確認.對于風險識別的概念，可以從以下幾個方

面理解：

(1)風險識別是一項動態(tài)的、連續(xù)不斷、系統(tǒng)性的重復過程

(2)風險識別是一項復雜的系統(tǒng)工程

(3)風險識別是整個風險評估過程中重要的程序之一。

3、風險識別的內(nèi)容

風險識別主要內(nèi)容包括兩方面：一是感知風險事項，二是分析風險事項。

感知風險事項和分析風險事項構(gòu)成事項識別的基本內(nèi)容，兩者是相輔相成，互相聯(lián)系。感

知到風險事項的存在才能進一步有意識有目的的分析風險，進而掌握風險的存在及導致風險事項發(fā)

生的原因和條件。

4、識別風險因素

風險評估中的要素包括關(guān)注對整體目標和業(yè)務活動目標的設定和銜接、對內(nèi)部和外部風險的

識別與分析、對影響目標實現(xiàn)的變化的認識和各項政策與工作程序的調(diào)整。

組織的風險一般是由外部因素和內(nèi)部因素所產(chǎn)生的。

內(nèi)部風險因素包括：信息系統(tǒng)處理的中斷；聘用員工的品質(zhì)、培訓方法及激勵制度；經(jīng)理人員

的責任改變；組織活動的性質(zhì)以及員工可接近資產(chǎn)的程度；信息系統(tǒng)處理的特點；董事會或監(jiān)事會

不夠堅定或無效等。

外部風險因素包括：科技發(fā)展；顧客的需求或預期改變；競爭；新的法律和行政命令；自然災

害；經(jīng)濟環(huán)境改變等。

5、風險識別的過程

(1)發(fā)現(xiàn)或者調(diào)查風險因素

?自然環(huán)境

?社會經(jīng)濟因素

?政治及法制因素

?營運環(huán)境

(2)減少風險因素增加的條件

發(fā)現(xiàn)或者調(diào)查風險源以后，應該尋求引發(fā)風險因素減少的條件。

企業(yè)的風險因素應該包括但不限于以下內(nèi)容：

a.產(chǎn)品或服務的市場前景、行業(yè)經(jīng)驗環(huán)境的變化、商業(yè)周期或產(chǎn)品生命周期的影響、市場

飽和等;

b.經(jīng)營模式發(fā)生變化，經(jīng)營業(yè)績不穩(wěn)定，主產(chǎn)品或主要原材料價格波動，產(chǎn)品或服務過度

集中或分散等：

C.技術(shù)不成熟、技術(shù)尚未產(chǎn)業(yè)化、技術(shù)缺乏有效保護或保護期限短、缺乏核心技術(shù)或產(chǎn)品

技術(shù)面臨被淘汰等；

d.投資項目在市場前景、技術(shù)保障、產(chǎn)業(yè)政策、環(huán)境保護、融資安排等方面存在的問題，

因營業(yè)規(guī)模、營業(yè)范圍擴大或者業(yè)務轉(zhuǎn)型而導致的管理風險、業(yè)務轉(zhuǎn)型風險。

(3)預見危險或者風險

事項識別的重要步驟就是能夠預見危害，將產(chǎn)生危害的條件消滅在萌芽狀態(tài).

(4)重視風險暴露

這是事項識別的重要組成部分，可能面臨損失的物體都有風險暴露的可能性，必須重視風

險的暴漏。任何企業(yè)的任何部門都有可能暴露于風險事項的威脅之下。為了事項識別的方便，一般

把風險暴露分為：實物資產(chǎn)風險暴露、金融資產(chǎn)風險暴露、客戶資產(chǎn)風險暴露、雇員或供應商資產(chǎn)

風險暴露和組織資產(chǎn)風險暴露。

6、風險識別的方法

(1)財務報表分析法

財務報表分析法是通過資產(chǎn)負債表、損益表、現(xiàn)金流量表和其他附表等財務信息的分析來

識別風險事項。

財務報表分析法具體分為：趨勢分析法、比率分析法、因素分析法、杜邦分析法。

a.趨勢分析法是根據(jù)一個企業(yè)連續(xù)數(shù)期的利潤表和資產(chǎn)負債表的各個項目進行比較，以求出

金額和百分比增減變動的方向和幅度，以揭示當期財務狀況和經(jīng)營狀況增減變化的性質(zhì)及其趨向。

趨勢分析法通常包括橫向分析法和縱向分析法。

b.比率分析法就是把財務報表的某些項目同其他項目進行比較，這些金額或者數(shù)據(jù)可以選

自一張會計報表，亦可以選自兩張會計報表。

比率分析法可以分析財務報表所列項目與項目之間的相互關(guān)系，運用的比較廣泛。主要有

經(jīng)營成果的比分析、權(quán)益狀況的比率分析、流動資產(chǎn)狀況的比率分析。

c.因素分析法

比率因素分解法，是指把一個財務比率分解為若干個影響因素的方法。

差異因素分解法又分為定基替代法和連環(huán)替代法兩種。

d.杜邦分析法:

_凈利潤銷售收入總資產(chǎn)

權(quán)&凈利率=銷售收入X總資產(chǎn)X股東權(quán)益

=銷售凈利率X總資產(chǎn)周轉(zhuǎn)率X權(quán)益乘數(shù)

凈資產(chǎn)收益率（權(quán)益凈利率）

資產(chǎn)凈利率X權(quán)益乘數(shù)f資產(chǎn)/權(quán)益=1/（I-資產(chǎn)負債率）

銷售凈利率X總資產(chǎn)周轉(zhuǎn)率

凈利潤+銷售收入銷售收入+資產(chǎn)總額

銷售收入-全部成本+其他利潤-所得稅費用長期資產(chǎn)+流動資產(chǎn)

制造槽業(yè)班理領(lǐng)才務現(xiàn)金+應收+存+其他流動

成本費用費用費用有價證券賬款貨資產(chǎn)

（2）流程圖分析法

流程圖分析法是將風險主體的全部生產(chǎn)經(jīng)營過程,按其內(nèi)在的邏輯聯(lián)系繪成作業(yè)流程圖，針

對流程中的關(guān)鍵環(huán)節(jié)和薄弱環(huán)節(jié)調(diào)查和分析風險。

?流程圖的分類：

?按照流程路線的復雜程度劃分，可以分為簡單流程圖和復雜流程圖

?按照流程的內(nèi)容劃分可以分為內(nèi)部流程圖和外部流程圖

?按照流程圖的表現(xiàn)形式劃分，分為實物形態(tài)流程圖和價值形態(tài)流程圖

（3）事件樹分析法

事件樹分析法又稱故障樹法，其實質(zhì)是利用邏輯思維的規(guī)律和形式，從宏觀的角度去分析事故

形成的過程.

事件樹分析法的特點：

?事件樹分析是一個動態(tài)過程

?可以指出防止事故發(fā)生的途徑

?能夠找出消除事故的根本措施

（4）現(xiàn)場調(diào)查法

獲知主體經(jīng)營情況的最佳途徑就是現(xiàn)場調(diào)查。

現(xiàn)場調(diào)查一般有三個步驟：

?調(diào)查前的準備，包括確定調(diào)查時間和調(diào)查對象等

?現(xiàn)場調(diào)查和訪問，認真填寫表格

?形成調(diào)查報告與反饋

(5)保單對照法

保單對照法，是將保險公司現(xiàn)行出售的保單風險種類與風險分析調(diào)查表融合改成的，用于風

險識別的問卷式表格，風險管理者可以根據(jù)這一表格與主體已有的保單加以對照分析，發(fā)現(xiàn)現(xiàn)存的

風險事項。

(6)其他方法

?經(jīng)常性的檢查關(guān)鍵文檔

?面談

企業(yè)風險事項識別的方法很多，各有其優(yōu)缺點和使用條件，沒有絕對的使用所有事項識別

的方法。主體不同，事項識別的方法也不同，試圖用其中一種方法識別主體所面臨的所有事項時不

現(xiàn)實的。

事項識別是一個連續(xù)不斷的、系統(tǒng)的過程，事項識別方法既關(guān)注過去，也著眼未來，僅憑

一兩次有限的分析不能解決所有的問題，許多復雜的和潛在的事項要經(jīng)過多次識別才能獲得最佳效

果。

(四)風險評價(RiskAppraisal)

1、含義

在確定了組織的內(nèi)外部環(huán)境和目標，識別了風險因素的前提下，可以對影響目標實現(xiàn)的風險

因素逐項進行風險評價。風險主要來自于外部環(huán)境和內(nèi)部條件的變化，風險因素識別包括對外部因

素和內(nèi)部因素進行檢查；風險分析則是估計風險的重大程度、風險發(fā)生的可能性、如何控制風險等。

風險分析是結(jié)合企業(yè)特定條件在風險識別的基礎(chǔ)上，運用定量或定性方法進一步分析風險發(fā)

生的可能性和對企業(yè)目標實現(xiàn)的影響程度，并對風險的狀況進行綜合評價，為制定風險管理策略與

選擇應對方案提供依據(jù)。

風險評估就是分析和辨認實現(xiàn)既定目標可能發(fā)生的風險。風險分析是風險應對的基礎(chǔ)，并為制

定合理的風險應對策略提供依據(jù)，沒有客觀、充分、合理的風險分析，風險應對將是無的放矢、效

率低下的。

從風險管理的角度看，風險評價的實質(zhì)應充分考慮對組織目標的實現(xiàn)可能造成不利影響的內(nèi)外

因素，真正認識到這些風險，然后可以在下一步根據(jù)風險的評價確認經(jīng)營活動過程中的關(guān)鍵控制點，

從而針對關(guān)鍵控制點進一步采取相應的有針對性的控制活動。管理者為了建立和完善風險管理，要

評價風險；內(nèi)部審計人員為了評價風險管理，也要連續(xù)評價風險；注冊會計師為了制定財務審計的

審計策略，也要依賴于評價風險管理的評價結(jié)果。

2、風險分析的內(nèi)容

風險評估可以使管理者了解潛在事項如何影響組織目標的實現(xiàn).風險評估中最基本的部分，就

是如何辨認風險因素中已發(fā)生的改變，并采取必要的行動。這些改變因素包括：行業(yè)環(huán)境的改變、

新員工、業(yè)務迅速成長、新科技、新業(yè)務、新產(chǎn)品、新作業(yè)、公司重組、國外業(yè)務等。

管理者應從兩個方面對風險進行評估一一風險發(fā)生的可能性和影響。風險發(fā)生的可能性是指

某一特定事項發(fā)生的可能性，影響則是指對組織目標的實現(xiàn)產(chǎn)生影響的嚴重程度，即事項的發(fā)生將

會帶來的影響。

(1)風險發(fā)生的可能性分析

可能性分析是指假定企業(yè)不采取任何措施去影響經(jīng)營管理過程，將會發(fā)生風險的概率。它

通常是通過實際情況的收集和利用專業(yè)判斷來完成。

風險可能性分析的結(jié)果一般有“很少”、“不太可能”、“可能”、“很可能”和“幾乎確定”

五種情況。

(2)風險產(chǎn)生的影響程度分析

影響程度分析主要是指對目標現(xiàn)實的負面影響程度分析。

按照影響的結(jié)果(通常是量化成數(shù)值)，一般將風險劃分為“不重要”、“次要”、“中等”、“主

要”和“災難性”五級。

3、風險的測量

風險評估可以采用定性或定量的方法進行。

(1)定性方法。

是指運用定性術(shù)通.比值正描述風險發(fā)生的可能性及其影響程度...

定性分析方法是目前風險分析中采用比較多的方法，它具有很強的主觀性，往往需要憑借分析

者的經(jīng)驗和直覺，或者世界的標準和慣例，對風險因素的大小或高低程度進行定性描述，譬如高、

中、低三級。

定性分析的操作方法多種多樣，有問卷調(diào)查、集體討論、專家資訊、人員訪談等。最常見的定

性分析方法是風險評估圖法。

風險評估圖法是把風險發(fā)生的可能性、風險發(fā)生后對目標的影響程度，作為兩個維度繪制在同

一個平面上(即繪制成直角坐標系)。

影

響

可能性

風險評估圖

■定量方法。

①含義

定量分析法，是指運用數(shù)量方法評估并描述風險發(fā)生的可能性及其影響程度。就是對構(gòu)成風

險的各個要素和潛在損失的水平賦予數(shù)值或貨幣計量的金額，從而量化風險分析的結(jié)果。

定量方法一般情況下會比定性方法提供更為客觀的評估結(jié)果。在風險難以量化、定量評價所

需數(shù)據(jù)難以獲取時，一般應采用定性方法。

在對相關(guān)事項做了個別分析以后，還要考慮同時發(fā)生某些風險的可能性。

②風險的定量分析和測量一般要考慮的兩個關(guān)鍵因素

(a)當前有多少潛在的損失？(b)損失實際發(fā)生的可能性有多大？風險是這兩個因素的組

風險的計算公式R=pr(E)

R為風險

pr為由于風險管理無效而導致?lián)p失的可能性

(E)為暴露的金額

以上兩個指標中，(E)的確定顯而易見，而pr則很難，時pr影響最大的是風險管理，良好的

風險管理可以降低損失的可能性，從而降低了風險，不良的風險管理增加了損失的可能性，從而增

加了風險，所以評價風險的高低就是評價風險管理的好壞，通過風險的測量實際上就確定了風險管

理的薄弱環(huán)節(jié)、急需改造和完善的環(huán)節(jié)。

③比較常用的定量分析法有情景分析、敏感性分析、VaR、壓力測試等.

(a)情景分析法

情景分析法是通過假設、預測、模擬等手段生成未來情景，并分析其對目標產(chǎn)生影響的一種

分析方法。

情景分析法對這些情況特別有用：提醒決策者注意某種措施或政策可能引起的風險或危機性

的后果；建議需要進行監(jiān)視的風險范圍；研究某些關(guān)鍵性因素對未來過程的影響；提醒人們注意某

種技術(shù)的發(fā)展會給人們帶來哪些風險。

(b)敏感性分析

敏感性分析是通過分析，預測項目主要因素發(fā)生變化時對經(jīng)濟評價指標的影響，從中找出敏

感因素，并確定其影響程度。

雖然敏感性分析已得到廣泛的應用，但也有其弱點。這種方法要求每一關(guān)鍵變量的變化是相

互獨立的。然而，管理層更感興趣的是兩個或兩個以上關(guān)鍵變量的變化的綜合影響。僅僅考慮獨立

的因素是不現(xiàn)實的，因為它們往往是相互影響的。

(c)VaR值

風險價值(VaR),是指在正常的市場條件和給定的置信水平(通常是95%或99%)下，在給

定的特有期間內(nèi)，某一投資組合預期所面臨的潛在的最大損失金額。

VaR把對預期的未來損失的大小和該損失發(fā)生的可能性結(jié)合起來,不僅讓投資者知道發(fā)生損失

的規(guī)模，而且知道其發(fā)生的可能性，是一種數(shù)量化市場風險的重要量度工具。

(d)壓力測試

壓力測試是指評估那些具有極端影響事件的情景下，分析評估風險管理模型或內(nèi)控流程的有

效性，發(fā)現(xiàn)問題，制定改進措施的方法。

壓力測試一般被用作概率度量方法的補充，用來分析那些通過與概率技術(shù)一起使用的分布假

設可能沒有充分捕捉到的低可能性、高影響事件的結(jié)果。

需要注意的是，定性分析與定量分析法在實際應用中并非互相排斥，而是相互補充，相輔相

成。因此，實務中，兩種方法的結(jié)合時很必要的，兩者可以互補其不足，企業(yè)也可以根據(jù)自身的特

征決定采用具體的結(jié)合形式。

4、風險分析需要關(guān)注的事項

(1)為了適應不斷變化的環(huán)境，風險評價須不斷的進行。

辨識和分析風險的過程是一種持續(xù)及反復的過程，也是有效風險管理的關(guān)鍵組成要素，管理階

層須謹慎注意各部門的風險，并采取必要的管理措施。

對風險的評估要多次進行。風險的最初評估是從有限的信息開始的，隨著獲取更多的信息，必

須對風險進行重新評估和比較。對風險的最初評估和后來的評估保持一致是不可能的，就向?qū)σ粋€

人的了解一樣，掌握的信息越多，越接近事實和真相。沒有信息和資料，風險評價無從談起，所以，

必須收集必要的信息和資料（證據(jù)），以支持自己的風險評價結(jié)論并據(jù)以做出決策。

（2）管理層的風險評估與內(nèi)部審計師、外部審計師等專業(yè)咨詢機構(gòu)的風險評估不同。

管理層的風險評估是風險管理設計和運行的組成部分，是為了減少差錯和舞弊；審計師要關(guān)注

的是管理層風險評估的過程，評估風險會決定審計證據(jù)的收集。如果管理層能有效地評估風險并做

出相應反應，審計師通常會收集較少的證據(jù)。通常，審計師通過確定管理層識別與財務報告有關(guān)的

風險、評價它們的重要性、發(fā)生的可能性、針對風險需要采取的行動，以取得對管理層風險評估過

程的了解。

（五）風險應對（風險反應）

1、含義

風險應對是指在風險分析的基礎(chǔ)上，針對企業(yè)所存在的風險因素和風險評價的結(jié)果，運用現(xiàn)

代科學技術(shù)知識和風險管理方面的理論與方法，提出各種風險解決方案，經(jīng)過分析論證與評價從中

選擇最優(yōu)方案并予以實施，來達到降低風險目的的過程。

2、風險應對的具體策略

風險反應指組織管理個別風險所選用的方式。主要類型：（1）容忍風險；（2）減少風險的影

響和可能性；（3）風險轉(zhuǎn)移；（4）終止產(chǎn)生風險的活動。風險管理是應對風險的一種方式。

風險應對的措施一般可以分為規(guī)避風險、減少風險、共擔風險和接受風險四類。

風險規(guī)避風險轉(zhuǎn)移

完全放棄保險轉(zhuǎn)移

中途放棄財務型非保險轉(zhuǎn)移

改變條件控制型非保險轉(zhuǎn)移

風險降低風險承受

損失預防接受

損失抑制計戈U

（1）終止產(chǎn)生風險的活動（也稱為規(guī)避風險、風險規(guī)避），是指暫?；蛑兄箷痫L險的活

動，就是采取措施退出會給組織帶來風險的活動。在風險發(fā)生的可能性和影響很大，或者在風險管

理困難等的情況下，應當選擇規(guī)避風險。風險規(guī)避的方式分為完全放棄（拒絕承擔任何風險，不從

事可能產(chǎn)生風險的任何活動）、中途放棄（中止承擔某種風險）和改變條件（改變生產(chǎn)活動的性質(zhì)）。

（2）減少風險（控制風險、降低風險）是指采取設計新的風險管理等應對策略，減少風險

發(fā)生的可能性、減少風險的影響或兩者同時減少。風險降低依目的的不同可以劃分為損失預防和損

失抑制兩類。前者以降低損失概率為目的，后者以縮小損失程度為目的。

（3）風險轉(zhuǎn)移也就是共擔風險（風險分擔），是指通過轉(zhuǎn)嫁風險或與他人共擔風險，將風險

的全部或一部分轉(zhuǎn)移到組織外部，從而降低風險發(fā)生的可能性或降低風險對組織的影響。風險分擔

一般是一種事前的風險應對策略，即在風險發(fā)生前，通過各種交易活動，避免承擔全部風險損失。

通過風險分擔方式應對風險，風險并沒有減少，只是風險承擔者發(fā)生了變化。

風險分擔的方式可以分為三種：財務型非保險轉(zhuǎn)移、控制型非保險轉(zhuǎn)移和保險轉(zhuǎn)移。

財務型非保險轉(zhuǎn)移常用手段有：保證、再保證、證券化、股份化、簽訂套期交易合約等。

控制型非保險轉(zhuǎn)移常用的方法有外包、租賃、出售、回租等。

（4）風險承受就是接受風險（風險的自留、接納風險），是指不采取任何行動而接受可能發(fā)

生的風險及其影響。由于種種原因（技術(shù)、經(jīng)濟、主觀或客觀等），管理層可能選擇將風險自留，

承擔風險而不采取任何措施。在判斷對風險進行事前應對多花費的費用超過其效果的情況，或者判

斷即使風險顯性化后也可以應對的情況下，如果風險處于可以容許的水平以下，則認為組織可以接

受該風險。風險承受時一種風險財務技術(shù)，企業(yè)明知可能有風險發(fā)生，但在權(quán)衡了其他風險應對策

略之后，處于經(jīng)濟性和可行性的考慮將風險留下，若出現(xiàn)損失，則依靠企業(yè)自身的財力去彌補風險

所帶來的損失，風險承受的前提是自留風險可能導致的損失比轉(zhuǎn)移風險所需代價小。

風險的自留可能是有意識的、無意識的，積極的、消極的，主動的、被動的，有計劃的、無

計劃的。

風險承受對策包括計劃性風險承受和非計劃性風險承受兩種。

3、風險應對策略選擇時應考慮的因素

風險承受度

成本和效益

風險的特性

可供選擇的措施

4、風險應對策略選擇時應注意的問題

一般情況下，對戰(zhàn)略、財務、運營和法律風險，可采取風險承受、風險回避、風險分擔等

方法。

對能夠通過保險、期貨、對沖等金融手段進行理財?shù)娘L險，可以采取風險分擔、風險降低

等方法。

風險應對策略的選擇還可以從企業(yè)范圍內(nèi)組合的角度去考慮。

5、風險應對后的風險評價

對于每一個重要的風險，組織都應考慮所有的風險反應方案。有效的風險管理要求管理者選

擇可以使組織風險發(fā)生的可能性和影響都落在風險容忍度之內(nèi)的風險反應方案。

選定某一風險反應方案后，管理者應在殘存風險(剩余風險)的基礎(chǔ)上重新評估風險，即

從組織總體的角度、或者組合風險的角度重新計量風險。各行政部門、職能部門或者業(yè)務部門的管

理者應采取一定的措施對該部門的風險進行復合式評估并選擇相應的風險反應方案。

在此要區(qū)分幾個概念

初步的風險評估(PreliminaryRiskAssessment)----在業(yè)務計劃期間所開展的風險評估，

旨在確立業(yè)務的范圍和目標。

剩余風險(ResidualRisks)――指管理層采取措施(包括用于應對某項風險的控制活動)

以減少負面事件的影響及可能性之后仍然存在的風險。

不可接受的剩余風險(UnacceptableResidualRisk)---在控制活動沒有充分設計、沒有

適當實施時，或是將風險減小到一個可以接受的水平無效時，就會存在這種風險。

(六)控制活動(ControlActivity)(政策和程序)

1、含義

控制過程指政策、程序和控制活動等控制框架的組成部分，用以確保將風險控制在風險管理

過程設定的風險容忍范圍之內(nèi)，以保證目標得以實現(xiàn)的政策和程序。控制活動是指結(jié)合具體業(yè)務和

事項，運用相應的控制政策和程序，或稱控制手段去實施控制。

控制活動是幫助保證風險反應方案得到正確執(zhí)行的相關(guān)政策和程序。控制活動存在于組織的

各部分、各個層面和各個部門，通常包括兩個要素：確定應該做什么的政策和影響該政策的?系列

程序.

組織管理階層辨認風險，然后針對這種風險發(fā)出必要的指令。它包括一系列的政策及其相關(guān)

實施程序，制定和實施控制活動是為了控制組織通過上述風險評估程序確認的風險，并確保管理層

的決策和指令得以實施，如核準、授權(quán)、驗證、調(diào)節(jié)、復核營業(yè)績效，保障資產(chǎn)安全及職務分工等。

只有當組織的管理層和全體員工將控制活動視為組織的日常運作中必不可少的組成部分時，風

險管理才是最有效的。

組織的管理層應明確：必須為每一項經(jīng)營活動制定相應的政策和程序；現(xiàn)有的政策和程序必須

得到充分實施；對于例外情況要及時采取補救措施；主管人員要定期評估控制活動的效果等。

2、具體的控制措施

控制活動在組織內(nèi)的各個階層和職能之間都會出現(xiàn)，這主要包括：

不相容職務分離控制、授權(quán)審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控

制、績效考評控制等。企業(yè)應通過采用手工控制與自動控制、防護性控制與發(fā)現(xiàn)性控制相結(jié)合的方

法實施相應的控制措施。

(I)實物控制。乂稱為資產(chǎn)和記錄接近控制。這些控制活動包括實物安全控制、對計算機以

及數(shù)據(jù)資料的接觸予以授權(quán)、定期盤點以及將控制數(shù)據(jù)予以對比。實物控制中要制定防止資產(chǎn)被竊

的程序。要規(guī)定禁止無關(guān)人員接觸的主要物品：現(xiàn)金、支票、發(fā)票、合同、賬簿、報表、客戶名錄

等。

(2)職責分離。指將各種功能性職責分離，以防止單獨作業(yè)的人員從事或隱藏不正常行為。

人員的安排不能發(fā)生責任沖突，要識別和盡力縮小有潛在利益沖突的地方，并遵從謹慎、獨立的監(jiān)

督評審。一般來說，下面的職責應被分開：業(yè)務授權(quán)(管理功能)與業(yè)務執(zhí)行(保管職能)、業(yè)務

執(zhí)行與業(yè)務記錄(會計職能)、業(yè)務記錄與業(yè)務復核。理想狀態(tài)的職責分離是沒有一個職員負責超

過一個以上的職能。

(3)信息處理控制。信息處理是保證業(yè)務在信息系統(tǒng)中正確、完全和經(jīng)授權(quán)處理的活動。對

信息系統(tǒng)的控制活動可分為兩類，第一類是一般控制(generalcontrol),通常與信息系統(tǒng)的設計

和管理有關(guān)，它幫助管理階層確保系統(tǒng)能持續(xù)、適當?shù)倪\轉(zhuǎn)，主要內(nèi)容包括：對資料中心運作的控

制；對系統(tǒng)軟件的控制；存取安全的控制；對應用系統(tǒng)的發(fā)展及維護的控制。第二類是應用控制

(applicationcontrol),與個別數(shù)據(jù)在信息系統(tǒng)中的處理的方式有關(guān)。它包括應用軟件中的電

算化步驟及相關(guān)的人工程序，主要內(nèi)容包括：輸入控制、輸出控制、處理控制。

(4)績效評價控制。指將實際業(yè)績與其他標準，如前期業(yè)績、預算和外部基準尺度