【文章內(nèi)容簡介】 護價值 以控制損失、創(chuàng)造價值為目標的風險管理，有助于組織實現(xiàn)目標、取得具體可見的成績和改善各方面的業(yè)績，包括人員健康和安全、合規(guī)經(jīng)營、信用程度、社會認可、環(huán)境保護、財務績效、產(chǎn)品質(zhì)量、項目管理、運行效率和公司治理等方面。 這項原則的價值在于風險管理的目的就是為了創(chuàng)造并保護價值，控制損失。 風險是客觀存在的，任何組織都面臨風險，組織的所有活動都涉及風險，風險會影響組織目標的實現(xiàn)。 在組織的運營活動中，機遇和威脅并存，風險管理就是要趨利避害，創(chuàng)造價值。在某些特定領域，如金融業(yè)、從風險管理的角度出發(fā)，幣值波動既能造成潛在損失，又是可能盈利的機會。 因此風險管理過程越來越多地被認為是既要關注不確定因素帶來的消極影響，又要關注這些不確定性因素的積極影響。 風險管理原則二 風險管理嵌入組織的管理過程 風險管理不是獨 立于組織主要活動和各項管理過程的單獨的活動，而是組織管理過程不可缺少的重要組織部分，包括戰(zhàn)略規(guī)劃、所有項目、變更管理過程。 組織的管理是一個綜合管理，風險管理是組織綜合管理的一個組成部分。 組織應把風險管理的各項要求融入企業(yè)管理和業(yè)務流程中，如：企業(yè)戰(zhàn)略、規(guī)劃、產(chǎn)品研發(fā)、投融資、市場運營、財務、內(nèi)部審計、變更管理、法律事務、人力資源、采購、加工制造、銷售、物流、質(zhì)量、安全生產(chǎn)、環(huán)境保護等 COSO 于 2020 年起開始進行企業(yè)風險管理研究，強調(diào)風險管理框架必須和內(nèi)部控制框架相一致，把內(nèi)部 控制目標和要素整合到企業(yè)全面風險管理過程中。 因此，全面風險管理（ ERM）框架是對內(nèi)部控制框架的擴展和延伸，它涵蓋了內(nèi)部控制，并且比內(nèi)部控制更完整、有效。 首先，該框架擴展了內(nèi)部控制框架，強調(diào)風險管理與企業(yè)戰(zhàn)略目標相協(xié)調(diào)，并最終融人企業(yè)文化之中； 其次，該框架更強調(diào)風險管理貫穿于企業(yè)運行過程的各個方面，涉及到企業(yè)的治理、管理和操作等所有層級，擴展了單純的內(nèi)部控制職能； 最后，引入了風險組合、風險和機會的區(qū)分、風險應對、風險偏好、風險容量等風險管理理論新的研究成果。 風險管理原則三 風險管理支持決策過程 組織的所有決策都應考慮風險和風險管理。風險管理旨在將風險控制在組織可接受的范圍內(nèi)，有助于判斷風險應當是否充分、有效，有助于決定行動的優(yōu)先順序并選擇可行的行動方案，從而幫助決策者做出合理的決策 風險識別、風險分析和風險評價是為了認識、評價風險管理單位的風險狀況，解決風險管理中的各種問題，制定管理風險的決策方案。風險管理支持決策過程。 風險管理目標的確定、風險識別、風險衡量、風險評價和風險控制等，都是為了確定最終的風險管理方案。從這一角度來看，風險管理過程實際上是一個管理 決策過程 風險管理原則四 明確風險管理涉及的不確定性 風險管理明確的考慮到不確定性及這種不確定性的性質(zhì)，以及如何加以解決。 風險是不確定的，否則，就不能稱之為風險。 風險的不確定性指： （ 1）發(fā)生與否不確定； （ 2）發(fā)生的時間不確定； （ 3）發(fā)生的狀況不確定； （ 4）發(fā)生的后果嚴重性程度不確定 風險管理就是要確定這些不確定性，做出對策，降低風險的影響，確保目標的實現(xiàn) 風險管理原則五 風險管理是系統(tǒng)的，結構化的和及時的 系統(tǒng)的、結構化的方法有助于風險管理效率的提升，并產(chǎn)生一致、可比、可靠的結果。 風險管理是一個過程，就符合過程管理的原則，組織的風險管理是由許多風險管理過程組成，在風險管理的過程中，要將多個風險管理過程按照一個統(tǒng)一的風險管理系統(tǒng)來管理，這樣能夠取得最優(yōu)的效率和結果 組織體系是風險管理的保障 風險管理是及時的，有組織的 風險管理原則六 風險管理是基于最可用的信息 風險管理過程要以有效的信息為基 礎。這些信息可通過經(jīng)驗、反饋、觀察、 預測和專家判斷等多種渠道獲取，但使 用時要考慮數(shù)據(jù)、模型和專家意見的局 限性。 風險管理過程是以信息為基礎的。風險的各個過程要 收集大量的信息，確保風險識別的充分性和風險決策的有效性。 組織應該建立獲取風險有效信息的渠道，可以通過各種渠道，包括經(jīng)驗、反饋、觀察、預測、專家判斷等獲取有效、有用的信息，確保風險管理過程的充分性和有效性。 在利用收集到的各種信息時，要考慮各種信息來源的局限性。確保信息對決策的有效支持。 風險管理原則七 風險管理是定制的 風險管理與組織的內(nèi)外部環(huán)境及風險環(huán)境是匹配的。 風險管理與組織的內(nèi)外部環(huán)境有關。風險管理與組織的行業(yè)、產(chǎn)品、經(jīng)營模式、客戶、競爭對象風險水平等相適應。 組織的風險管理與組織所承擔的風險有關，受組織的文化、地域、歷史、信仰、人員等人文因素的影響不同的組織風險偏好不一樣，風險標準不一樣，風險管理的決策和風險實施就不一樣 風險管理原則八 風險管理考慮人文因素 風險管理意識是可以促進或阻礙組織目標的實現(xiàn)的內(nèi)部和外部人的能量、觀念和意圖。 組織應該在內(nèi)部營造一種具有風險意識的企業(yè)文化，培育風險管理文化，樹立正確的風險管理理念，增強員工風險管理意識，將風險管理意識轉(zhuǎn)化為員工的共同認識和自覺行動，促進企業(yè)建立系統(tǒng)、規(guī)范、高效的風險管理機制。 全體員工尤其是 各級管理人員和業(yè)務操作人員應通過多種形式，努力傳播企業(yè)風險管理文化，牢固樹立風險無處不在、風險無時不在的意識。 風險管理原則九 風險管理是透明的和包容的 利益相關方、尤其是組織各層面的決策者適當、及時的參與，確保了風險管理保持相關和先進性。參與過程也允許利益相關方適當?shù)匕l(fā)表意見，并將其觀點考慮到風險準則確定中 在組織的風險管理過程中，風險管理的決策者要參與分風險管理過程，要和風險管理過程的人員進行充分的溝通，要在風險管理的各個環(huán)節(jié)明確要求和準則，及時掌握風險動態(tài)，做出準確的決策。 風險 管理過程要進行充分的協(xié)商和溝通，確保各方的觀點能采納，確保各方的利益能保證。當組織在重大風險事件的風險決策過程中，各方尤其要充分溝通，確保決策的有限性和針對性。 風險管理原則十 風險管理是動態(tài)的，迭代的和適應變化的 由于內(nèi)部和外部事件的發(fā)生、環(huán)境和知識的改變，以及監(jiān)視和評審的實施，有的風險會發(fā)生變化，一些新的風險可能會出現(xiàn)，另一些風險則可能會消失。組織應持續(xù)不斷地對各種變化保持敏感并做出恰當反應。 風險管理是適應環(huán)境變化的動態(tài)過程，其各步驟之間形成一個信息反饋的閉環(huán)。隨著內(nèi)部和外部事件的發(fā)生、組織環(huán)境 和知識的改變以及監(jiān)督和檢查的執(zhí)行，有些風險可能會發(fā)生變化，一些新的風險可能會出現(xiàn)，另一些風險可能消失。 組織應持續(xù)不斷地對各種變化保持敏感并做出恰當反應。組織通過績效測量、檢查和調(diào)整等手段，使風險管理得到持續(xù)改進 風險管理原則十一 風險管理有利于，組織持續(xù)改進 組織應制定和實施戰(zhàn)略，以改善組織各個方面的風險管理水平。 風險管理過程是一個持續(xù)改進，動態(tài)更新的一個過程。 風險管理要能夠提高組織的風險管理意識，改進對機會和威脅的識別，有效 配置資源，改善運營效果和效率，增強組織的生存和持續(xù)發(fā)展的能力 第 4 章的框架為組織風險管理提供了持續(xù)改進的框架。 風險管理原則作用 第 四 章 風險管理框架 內(nèi)容提要 （風險管理框架的含義） 什么是“框架（ framework）”？ 通常意義上的理解 邊界、基礎要素、結構的集合 風險管理框架的含義 提供在組織內(nèi)設計、實施、監(jiān)測、評審和持續(xù)改進風險管理的基礎和組織安排的要素集合。 風險管理框架的含義 基礎包 括風險管理的： 方針 目標 指令和承諾等； 組織安排包括風險管理的： 計劃 關系 職責 資源 過程和活動 嵌入到組織整體的戰(zhàn)略以及運營方針和實踐之中 嵌入： 非孤立存在； 成為運行對象的一部分； 整合高度成熟的一種狀態(tài)； 風險管理框架自身并不構成一個單獨的“風險管理體系”； 框架追求的結果是將風險管理嵌入到組織整體的管理體系之中； 更為有效的方式是在組織現(xiàn)有的體系過程中，整合應用框架內(nèi)的風險管理要素； “框架”在風險管理中的角色 框架各要素及其關系（ PDCA） 指令和承諾 風險管理框架的設計 理解組織和其狀況 建立風險管理方針 責任 融入組織的過程 資源 建立內(nèi)部溝通和報告機制 建立外部溝通和報告機制框架的持續(xù)改進實施風險管理實施風險管理框架實施風險管理過程框架的監(jiān)測和評審 2. 指令與承諾 概述 管理層的行為 組織“權力”方面的保證 目的在于支持： 在組織內(nèi)部引入風險管理 保持風險管理的持續(xù)有效性 主要內(nèi)容 風險管理方針的制定 (統(tǒng)一方向 ) 協(xié)調(diào)性的保證 風險管理方針 VS 組織文化 風險管理績效指標 VS 組織的其他指標 風險管理目標 VS 組織的其他目標和戰(zhàn)略 合規(guī)性 職責權限的分配 資源的配置 對風險管理收益的溝通 框架適宜性的保持 3. 風險管理框架的設計 基礎：對組織內(nèi)外部環(huán)境（狀況）的評價和理解 設計的內(nèi)容涉及： 風險管理方針 責任 與組織過程的融合 資源 內(nèi)外部溝通與報告 機制 組織的內(nèi)外部環(huán)境（狀況） 外部環(huán)境 國際、國內(nèi)、區(qū)域和當?shù)氐纳鐣臀幕⒄?、法律、法?guī)、財務、技術、 經(jīng)濟、自然和競爭 環(huán)境；（客觀存在） 對組織目標實現(xiàn)產(chǎn)生關鍵影響的驅(qū)動因素和趨勢；（與組織的目標相關聯(lián)） 與外部利益相關方的關系以及觀念和價值觀（與組織的外部利益相關方有關） 內(nèi)部環(huán)境 公司治理、組織結構、角色和職責； 計劃實現(xiàn)的方針、目標和戰(zhàn)略； 能力（從資源和知識的角度）（例如，資本、時間、人員、過程系統(tǒng)和技術）； 信息系統(tǒng)、信息流和決策過程（正式和非正式的）； 與內(nèi)部 利益相關方的關系、他們的觀念和價值觀； 組織的文化； 組織所采用的標準、指南和業(yè)務模式； 合同關系的形式和范圍； 建立風險管理方針 風險管理方針：組織對風險管理的意圖和方向的陳述 建立方針是管理層的職責 風險管理方針應清晰表述的內(nèi)容： 風險管理的目標 組織對風險管理的承諾 方針應得到溝通 風險管理方針應指明的典型內(nèi)容： 組織管理風險的基本原理； 組織目標、方針與風險管理方針的聯(lián)系； 管理風險的責任和職責； 處理利益相關方?jīng)_突的方式； 為管理風險提供所需資源的承諾； 風險管理績效測量