企業(yè)風險評估管理ERM講義

——整合框架企業(yè)風險管理ERM目錄：

1、ERM的概念、理解2、ERM的構成要素、目標、流程圖3、ERM的八個要素

企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證？什么是ERM如何理解ERM這個定義反映了幾個基本概念。企業(yè)風險管理是：一個過程，它持續(xù)地流動于主體之內(nèi)；由組織中各個層級的人員實施；應用于戰(zhàn)略制訂；貫穿于企業(yè)，在各個層級和單元應用，還包括采取主體層級的風險組合觀；旨在識別一旦發(fā)生將會影響主體的潛在事項，并把風險控制在風險容量以內(nèi)；能夠向一個主體的管理當局和董事會提供合理保證；力求實現(xiàn)一個或多個不同類型但相互交叉的目標。ERM關鍵原則事項識別監(jiān)控目標設定風險評估風險應對控制活動信息與溝通內(nèi)部環(huán)境職能與職責風險管理包括的八個相互關聯(lián)的構成要素ERM目標的實現(xiàn)

在主體既定的使命或愿景（vision）范圍內(nèi)，管理當局制訂戰(zhàn)略目標、選擇戰(zhàn)略，并在企業(yè)內(nèi)自上而下設定相應的目標。企業(yè)風險管理框架力求實現(xiàn)主體的以下四種類型的目標：戰(zhàn)略（strategic）目標——高層次目標，與使命相關聯(lián)并支撐其使命經(jīng)營（operations）目標——有效和高效率地利用其資源

報告（reporting）目標——報告的可靠性合規(guī)（compliance）目標——符合適用的法律和法規(guī)企業(yè)風險管理框架流程內(nèi)部環(huán)境：風險管理文化、風險容量等目標設定事項識別：確定不同的風險固有風險風險評估：固有風險、剩余風險風險應對：組合風險觀，具體的應對措施監(jiān)督控制活動：結(jié)果、指標、報告剩余風險目標風險應對不同的機會內(nèi)部環(huán)境風險管理理念風險容量董事會誠信和價值觀對勝任能力的要求組織結(jié)構權力和職責分配人力資源準則

內(nèi)部環(huán)境包含組織的基調(diào)，它為主體內(nèi)的人員如何認識和對待風險設定了基礎要素講解：風險管理理念主體考慮風險的信念和態(tài)度反映主體價值觀影響主體應用風險管理的構成要素需被很好的確立和理解，并信奉體現(xiàn)在政策描述、溝通及決策中管理當局強化的理念風險容量反映風險管理理念，影響文化和經(jīng)營風格戰(zhàn)略應與風險容量協(xié)調(diào)董事會風險戰(zhàn)略應當是積極的，擁有一定的管理、技術專長，具有履行職責所需的思維方式審查和質(zhì)疑管理當局的活動獨立的外部董事至少占多數(shù)監(jiān)督企業(yè)風險管理，知道并同意主體風險容量反映風險管理理念，影響文化和經(jīng)營風格戰(zhàn)略應與風險容量協(xié)調(diào)董事會應當是積極的，擁有一定的管理、技術專長，具有履行職責所需的思維方式審查和質(zhì)疑管理當局的活動獨立的外部董事至少占多數(shù)監(jiān)督企業(yè)風險管理，知道并同意主體風險容量誠信與道德價值觀主體的行為準則反映了誠信和道德價值觀道德價值觀通過明確指南進行溝通，并與其共存通過正式的行為準則予以溝通向上的溝通渠道使員工感到舒服良好的獎勵和處罰機制管理當局的行動、樹立榜樣對勝任能力的要求完成任務所需的知識和技能協(xié)調(diào)勝任能力和成本成本效益？組織結(jié)構界定職責和責任的關鍵范圍確立報告途徑要考慮到主體規(guī)模和活動性質(zhì)使有效的風險管理成為可能權力和職責的分配確立了個人和問題，解決問題的程度，還為權力提供了限制團隊處理確立了報告關系和授權規(guī)程描述恰當經(jīng)營實務政策，關鍵員工的知識和經(jīng)驗，以及相關資源個人知道他們的行動如何相互關聯(lián)及對實現(xiàn)目標的貢獻人力資源準則針對雇傭、定位等人力措施的準則，推動誠信水平、道德行為和勝任能力懲戒措施戰(zhàn)略目標相關目標選定的目標風險容量風險容限組織結(jié)構

目標設定必須先有目標，管理當局才能識別影響目標實現(xiàn)的潛在事項。企業(yè)風險管理確保管理當局采取適當?shù)某绦蛉ピO定目標，確保所選定的目標支持和切合該主體的使命，并且與它的風險容量相符戰(zhàn)略目標聯(lián)結(jié)和支持愿景的高層次目的反映了管理當局戰(zhàn)略選擇管理當局識別與戰(zhàn)略選擇相關的風險，并考慮其影響相關目標支持選定目標，與其相協(xié)調(diào)，與主體所有活動相關各層次目標與具體目標相關聯(lián)被充分理解、可計量與風險容量相協(xié)調(diào)選定的目標使戰(zhàn)略目標與主體的使命協(xié)調(diào)一致，確保戰(zhàn)略目標和相關目標與風險容量相符風險容量戰(zhàn)略制定中的指向標引導資源配置聯(lián)結(jié)組織、人員、流程和基礎結(jié)構風險容限可計量與風險容量相協(xié)調(diào)事項影響因素事項識別技術相互依賴性區(qū)分風險與機會

事項識別必須識別影響主體目標實現(xiàn)的內(nèi)部和外部事項，區(qū)分風險和機會。機會被反饋到管理當局的戰(zhàn)略或目標制訂過程中事項管理當局能識別影響戰(zhàn)略執(zhí)行或目標實現(xiàn)的潛在事項應考慮可能性低、但有重大影響的事項影響因素管理當局認識到了解內(nèi)外部因素以及由此可能產(chǎn)生的事項類型的重要性要識別主體和活動層次的事項事項識別的技術識別的技術要著眼于過去和未來選擇適合其風險管理理念的技術，確保主體形成主體所需的事項識別能力事項識別強有力，為風險評估和風險應對打下基礎區(qū)分風險與機會管理當局要了解事項之間如何關聯(lián)相互依賴性風險是有負面影響的事項，管理當局應予評估和應對代表機會的事項應反饋到管理當局的戰(zhàn)略或目標制定過程中固有風險和剩余風險估計可能性和影響評估技術事項之間的關系風險評估通過考慮風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據(jù)。風險評估應立足于固有風險和剩余風險。固有風險和剩余風險從可能性和影響兩方面對潛在事項進行評價評估過程中，應通常采用與該目標所采用的計量單位相同的或適合的計量單位用來評估風險的時間范圍應該與相關戰(zhàn)略和目標的時間范圍相一致估計可能性和影響管理當局要評估固有風險風險應對一旦確定，就要考慮剩余風險評估技術定性和定量相結(jié)合的技術該技術支持對風險的復合評估事項之間的關系將存在相互關聯(lián)或相互結(jié)合、相互影響的幾個事項應放在一起評估評價可能的應對選定的應對組合觀風險應對管理當局選擇風險應對——回避、承受、降低或者分擔風險——采取一系列行動以便把風險控制在主體的風險容限（risktolerance）和風險容量以內(nèi)評價可能的應對用實現(xiàn)剩余風險與主體的風險容限相協(xié)調(diào)的程度來評價風險應對評價過程中管理當局要考慮應對對可能性和影響的效果考慮成本和效益，及新的機會選定的應對旨在使預期的風險可能性和影響處于風險容限之內(nèi)考慮一項應對可能導致的額外風險組合觀從整個主體范圍即組合的角度考慮風險確定剩余風險是否與總體風險容限相稱與風險應對相結(jié)合控制活動的類型政策與程序針對信息系統(tǒng)的控制控制活動制訂和執(zhí)行政策與程序以幫助確保風險應對得以有效實施與風險應對相結(jié)合識別所需的控制活動以幫助風險應對的實施考慮控制對于風險應對和相關目標的相關性和恰當性考慮控制活動如何相互關聯(lián)控制活動的類型管理當局從多種類型的控制活動中選擇（預防性的、偵查性的、人工的、計算機的和管理控制）政策與程序政策被仔細地、認真地和一貫地執(zhí)行執(zhí)行程序時要關注政策所針對的情況調(diào)查程序的結(jié)果，并采取適當矯正措施針對信息系統(tǒng)的控制執(zhí)行適當?shù)囊话憧刂坪蛻每刂菩畔贤ㄐ畔⒑蜏贤ㄏ嚓P的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。信息從內(nèi)部、外部來源獲取獲取和利用支持有效的企業(yè)風險管理所需的歷史和當前數(shù)據(jù)信息基礎結(jié)構把原始數(shù)據(jù)轉(zhuǎn)換成相關信息；信息以可歸責的、可充分利用的以及與界定的責任相關聯(lián)的深度、形式和時機予以提供原始資料數(shù)據(jù)和信息是可靠的，并有效地提供信息流動的及時性與主體的內(nèi)外部環(huán)境變化程度一致信息系統(tǒng)要做必要的變化以支持新目標溝通管理當局提供具體的和指導性的溝通有關與期望的文化相協(xié)調(diào)并支撐其過程和程序的溝通所有員工收到來自高層管理當局的關于企業(yè)風險管理必須嚴格執(zhí)行的信息員工知道他們的活動與他人的工作如何關聯(lián)員工知道什么被看作可接受和不可接受的行為有暢通的溝通渠道和傾聽的意愿，并且員工相信上級真的希望了解并解決問題存在正常的報告途徑之外的溝通渠道，并且員工了解不會有報復行為高層管理當局