【導讀】管理方法進行了詳細探討。損失的大小，以及這種損失發(fā)生可能性的大小。企業(yè)的風險是指企業(yè)在經(jīng)營中由于各種不確。定因素而招致企業(yè)經(jīng)濟損失或收益率負向波動的可能性。風險管理是指風險測量，包括收集數(shù)據(jù)、識別并量化各種類別的風險；風險管理是指以監(jiān)控風險為目的的風險控制；公司的風險狀況而實施某些行為或措施;當今的商業(yè)社會變化是多樣的，其變化速度亦是令人難以估計的。隨著人類進入知識經(jīng)。濟時代，信息技術(shù)的高度發(fā)達及在商業(yè)領(lǐng)域的廣泛和深入應(yīng)用，以及金融創(chuàng)新的不斷出現(xiàn)，風險已成為新時代的重要特征；風險管理也成為企業(yè)追求長期發(fā)展的核心競爭力。的不良影響降到最低的可接受水平。最近中國公司所發(fā)生的“創(chuàng)維管理層財務(wù)舞弊案件”,方面的重要性和緊迫性。風險，有的相互疊加放大，有的相互抵消減少。因此，企業(yè)不能僅僅從某項業(yè)務(wù)、某個部門。能力而導致投資者預(yù)期收益下降的風險。等，設(shè)計的風險分析表格直接用來識別自身的風險。

　　

【正文】 監(jiān)督行為應(yīng)該關(guān)注如下問題： ? 流程是否實現(xiàn)其設(shè)計目標？ ? 企業(yè) /流程的風險改變了嗎？ ? 風險控制過程運作如何？ ? 業(yè)務(wù)流程的運作情況如何？ 雖然企業(yè)會由內(nèi)審部門對風險控制進行獨立評價，但審計并不能代替 監(jiān)督，因為負責進行監(jiān)督的是流程責任人而不是審計師。每個流程負責人應(yīng)該對相關(guān)流程的運作風險負責，而監(jiān)督正是其主要工作，包括進行業(yè)績評價，定期對流程風險進行自我評估及日常的溝通，外部審計師對企業(yè)風險控制進行評價只是作為其對報表審計工作的一部分，并不是我們在本文中所指的監(jiān)督。但由外部審計師所提出的管理建議則要立刻進行調(diào)查并予以落實。 二、授權(quán)與自我控制 在了解現(xiàn)代企業(yè)風險管理三大組成部分之后，我們還需要進行了解的一點是人員授權(quán)對風險管理模型的影響。因為這直接涉及到風險管理在企業(yè)內(nèi)部如何實施。首席執(zhí)行官負責制定 公司的目標及戰(zhàn)略，但同時其又必須確保授權(quán)與責任二者之間的平衡，這也正是企業(yè)風險管理方法的核心。 授權(quán)與自我控制（ Empowerment and selfcontrol） 對營業(yè)進行恰當?shù)氖跈?quán)將會有助于企業(yè)增長機會的增加、持續(xù)改進、更多創(chuàng)新及顧客滿意度的增加。但不確定對員工如何授權(quán)，如何采取措施確保員工關(guān)注企業(yè)戰(zhàn)略目標、保護公司資產(chǎn)、避免承擔不可接受的風險及確保組織整體的可靠性等等這些仍然是企業(yè)管理層的主要責任。 自我控制則是架在員工授權(quán)與管理層責任之間的棟梁。在風險管理方法中，授權(quán)只是達到自我控制的其中一 個途徑而已。自我控制一詞則更多是對企業(yè)要實現(xiàn)的目標是什么這一問題進行描述，是企業(yè)進行風險評估與控制的驅(qū)動力，并為企業(yè)如何在多變的外圍環(huán)境中進行風險控制提供了一個方法。其不僅意識到要進行授權(quán)，更是關(guān)注到那些對流程實施負首要責任的人員進行流程控制這一方面。而達到這一點則首先流程負責人要持續(xù)進行跨職能部門地評估流程運作績效、風險及控制。公司管理層要向流程負責人提供必要資源和信息的標準。需要明確的是自我控制并不意味著由員工自行確定公司組織的目標是什么，也并不意味著由員工決定對公司資源的獲取，分配和調(diào)度，更不意味著放 棄領(lǐng)導和有效管理 。 相反 , 這些組織目標、資源調(diào)配、領(lǐng)導和管理的職能的仍舊由公司的管理層通過風險評估，流程控制等風險管理方式進行 . 如若把自我控制的定義作一概括，可以是： 自我控制是對責任及決策權(quán)向有足夠知識的經(jīng)理層和員工授權(quán)，供其用以監(jiān)控企業(yè)經(jīng)營風險、持續(xù)提高風險控制流程，不論是通過其個人行為或集體行為，使其所服務(wù)的內(nèi)、外客戶及公司股東利益最大化，同時，這一授權(quán)是在下列范圍之內(nèi)進行： ? 在有明確定義的業(yè)務(wù)流程之內(nèi)（或明確的職能部門范圍之內(nèi)）； ? 在有特定的權(quán)力大小限制的范圍之內(nèi)； ? 必須具有可靠性及相關(guān)性的決 策所使用信息； 以下的圖形正是對自我控制這一體系作出了全面描述，這一模型在當今許多跨國公司中得以廣泛使用，這些具備成功經(jīng)驗的公司無不意識到在公司成功的眾多因素中最重要的是員工培訓與教育、風險自我評估，組織內(nèi)部信息的四維溝通及對業(yè)績 (不論是組織層面業(yè)績還是業(yè)務(wù)層面業(yè)績 )進行標杠分析這四大因素。 自我控制模型概念圖 三、 企業(yè)風險管理框架 二零零四年九月美國國家財務(wù)報告舞弊委員會 (National Commission On Fraudulent Financial Reporting, . Treadway Commission) 所發(fā)起的內(nèi)部控制研究發(fā)起組織( Committee of Sponsoring Organization, COSO) 發(fā)布了《企業(yè)風險管理框架》 ( Enterprise Risk Management – integrated framework) 。該風險管理框架 COSO 是委托美國普華永道會計公司組織編寫的，基本上是對在全球跨國公司運用多年的全面風險管理實踐，在原安達信公司聯(lián)同英國經(jīng)濟學人集團于一九九五年之后，業(yè)界第二次比較系統(tǒng)地對全面風險管理理論和實踐做出總結(jié)。 根 據(jù) ERM框架，“全面風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響。這個過程從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中，用于識別那些可能影響企業(yè)的潛在事件并管理風險，使之在企業(yè)的風險偏好之內(nèi)，從而合理確保企業(yè)取得既定的目標?！? ERM框架有三個維度： 第一維是企業(yè)的目標：即戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。 第二維是全面風險管理要素：即內(nèi)部環(huán)境、目標設(shè)定、事件識別、風險評估、風險對策、控制活動、信息和交流、監(jiān)控。 第三維是企業(yè)的各個層級：包括整個企業(yè)、各職能部門、各條業(yè)務(wù)線及下屬各子公司 。 全面風險管理的八個要素都是為企業(yè)的四個目標服務(wù)的；企業(yè)各個層級都要堅持同樣的四個目標；每個層次都必須從以上八個方面進行風險管理。 ERM框架三個維度之間的關(guān)系如圖： （１）內(nèi)部環(huán)境（ Internal Environment）。 內(nèi)部環(huán)境是企業(yè)風險管理所有要素的基礎(chǔ)，對其它要素的各方面都能產(chǎn)生影響。明確企業(yè)的內(nèi)部環(huán)境是進行風險管理活動的基礎(chǔ)。董事會是內(nèi)部環(huán)境的重要組成部分，對其他內(nèi)部環(huán)境要素有重要的影響。企業(yè)的管理者也是內(nèi)部環(huán)境的一部分，其職責是建立企業(yè)風險管理理念，并將企業(yè)的風險管理和相關(guān)的初步行動 結(jié)合起來。公司治理狀況的好壞是內(nèi)部審計部門開展風險監(jiān)控活動的基礎(chǔ)。 （２）目標設(shè)定（ Objective Setting）。 報告認為企業(yè)的管理層在可以有意義的評估風險之前必須確立目標，針對不同的目標分析相應(yīng)的風險，并且擁有一套能將企業(yè)目標與企業(yè)使命緊密聯(lián)系并與企業(yè)風險容忍度和風險偏好相一致的制定目標的流程。 企業(yè)的風險管理所有具體的或活動層次的目標都可歸入其類型中的一類或幾類： 戰(zhàn)略目標。較高層次的目標，與企業(yè)的使命相一致，企業(yè)所有的經(jīng)營管理活動必須長期有效的支持該使命。 運營目標。與企業(yè)經(jīng)營的效果與效 率相關(guān)，包括業(yè)績指標與盈利指標，旨在使企業(yè)能夠有效及高效的使用資源。 報告目標。企業(yè)組織報告的可靠性，分為對內(nèi)報告和對外報告，涉及財務(wù)和非財務(wù)信息。 遵循目標。層次較低，也是最基礎(chǔ)的目標，指企業(yè)經(jīng)營是否遵循相關(guān)的法律法規(guī)。 （３）事件識別（ Event Identification）。 在確定目標之后，就要對風險進行識別。風險是指某一對企業(yè)目標的實現(xiàn)可能造成負面影響的事項發(fā)生的可能性（對企業(yè)有正面影響的事項稱為機會）。企業(yè)風險管理框架采用一系列技術(shù)來識別有關(guān)事項并考慮有關(guān)事項的起因，對企業(yè)過去和未來的事項 以及事項的發(fā)生趨勢進行計量。 （４）風險評估（ Risk Assessment）。 COSO 將風險評估定義為識別和分析實現(xiàn)目標的過程中存在的重要風險，它是決定如何管理風險的基礎(chǔ)，一旦風險得到識別，就應(yīng)該對風險進行分析評估。這樣，管理層就能根據(jù)被識別的風險的重要性來計劃如何管理，即通過風險管理這個過程識別和分析風險并采取減弱風險效果的行動來管理風險。企業(yè)風險評估的方法有多種，主要分為定量分析和定性分析兩種。企業(yè)無須對所有的風險采用同樣一種評估方法，可根據(jù)不同的風險目標確定相應(yīng)的風險評估方法，達到成本最低情況下的 效益最大化目的。 （５）風險對策（ Risk Response）。 風險對策是指管理層在評估了相關(guān)的風險之后，根據(jù)風險嚴重程度和可能性大小進行排序，然后確定措施，即規(guī)避風險、減少風險、共擔風險和接受風險四種方式，其即要求管理者既要考慮成本和效益，又要從企業(yè)總體角度出發(fā)在期望的風險容忍度內(nèi)選擇可以帶來預(yù)期可能性和影響的風險方案。 COSO 認為，有效的風險管理是管理者的選擇能使企業(yè)風險發(fā)生的可能性和影響都落在風險的容忍度內(nèi)。 （６）控制活動（ Control Activities）。 控制活動是幫助保證風險管理目標得 到正確執(zhí)行的相關(guān)政策和程序。控制活動存在于企業(yè)的各部分、各個層面和各個部門。由于控制活動是被作為適當?shù)墓芾盹L險的工具，所以控制活動和風險評估過程是聯(lián)系在一起的。 （７）信息與溝通（ Information and Communication）。 來自于企業(yè)內(nèi)部和外部的相關(guān)信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞，以保證企業(yè)的員工能夠執(zhí)行各自的職責。包括企業(yè)內(nèi)自上而下、自下而上以及橫向的溝通。有效的溝通還包括將相關(guān)的信息與企業(yè)外部相關(guān)方的有效溝通和交換。 （８）監(jiān)督（ Monitoring）。 對企業(yè)風 險管理的監(jiān)控是指評估風險管理要素的內(nèi)容和運行以及一段時期的執(zhí)行質(zhì)量的一個過程。企業(yè)可以通過兩種方式對風險管理進行監(jiān)控 —— 持續(xù)監(jiān)控和個別評估。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風險管理在企業(yè)內(nèi)部管理層面和各部門持續(xù)得到執(zhí)行，即監(jiān)控既可以是持續(xù)的管理措施，也可以是分開的評價，或者結(jié)合兩者。 COSO 認為，要使每種類型的風險管理真正有效，這八個要素必須包含在內(nèi)，因為它們可以共同為企業(yè)風險管服務(wù)。企業(yè)風險管理是一個動態(tài)的、多方向反復(fù)的過程，在這個過程中大多數(shù)風險組成要素會影響另外的部分，因此當企業(yè)需要利用風險管理 各要素進行控制時，應(yīng)綜合考慮八個要素的影響，并結(jié)合企業(yè)實際情況，以求做出最科學的決策。 從 COSO的 ERM框架可以看出，風險管理遵循如下過程： 四、小結(jié) 在經(jīng)濟全球化和信息化浪潮的沖擊下，企業(yè)生存和競爭環(huán)境變得越來越動蕩不安、越來越復(fù)雜和難以預(yù)測。企業(yè)要想在這樣不確定性的市場環(huán)境中實現(xiàn)戰(zhàn)略目標，獲得競爭優(yōu)勢，必須能夠很好地控制企業(yè)層面一系列風險。管理者能否有效地控制這些風險成為企業(yè)能否保持競爭優(yōu)勢、獲得持續(xù)發(fā)展的決定性要素。因此企業(yè)必須建立起現(xiàn)代企業(yè)全面風險管理體系。 要建立現(xiàn)代企業(yè)全面風險管理體系，企 業(yè)應(yīng)該做到以下幾點 : （ 1）塑造具有風險價值觀念的企業(yè)文化。 （ 2）完善企業(yè)風險價值管理組織架構(gòu)。 （ 3）利用信息技術(shù)建立風險信息管理系統(tǒng)。 （ 4）利用科學技術(shù)和金融工具規(guī)避風險， 最大化收益。 總之，面對動蕩多變的激烈市場競爭環(huán)境，做好企業(yè)的風險管理工作，不僅要結(jié)合最新的風險管理理論， 更要從企業(yè)實際情況出發(fā)，明確企業(yè)風險管理目標，從戰(zhàn)略、文化、組織等方面進行系統(tǒng)的改革和創(chuàng)新。只有這樣，企業(yè)才能度過道道險灘激流，不斷跨越自我。