【正文】 程及人員的層面以質(zhì)量、成本及業(yè)績考核時間的具體形式體現(xiàn)出來。因此，如若不將二者相聯(lián)系，管理層則永遠無法認識到公司的戰(zhàn)略是否有效得以實施。持續(xù)改進戰(zhàn)略風險評估及控制流程正如其他商業(yè)流程，戰(zhàn)略層面的風險管理流程亦是需要持續(xù)改進的。 在決策過策中什么信息是最有用的？ 在過去制定戰(zhàn)略風險管理并未使用到的哪些外部環(huán)境信息在將來可能會更有幫助？ 公司如何改進目前戰(zhàn)略風險控制機制？（二） 管理層面控制（Management Control）管理層面控制驅(qū)使了風險評估及控制程序在整個組織中得以運作，因為管理層在日常所采用的管理方法，流程和業(yè)績評價對員工行為的影響是極其重大的。這離不開權(quán)限的明確設(shè)置。而整個過程是離不開信息的四維溝通和共系。溝通組織目標（我們想達到什么？）一個可持久成功的企業(yè)往往都有自己的明確理念、總體目標、具體目標及共同價值觀，正是這些才可以激勵其員工從而凝聚人的力量。企業(yè)價值理念如若不明確地得以溝通并真正地諸實施，企業(yè)則往往無法針對快變的外圍環(huán)境做出反應(yīng)，也就無法保持永久競爭優(yōu)勢。選擇/發(fā)展最佳人選公司高管層首選需要具備某一具體職能的知識和專業(yè)能力。明確責任公司需要確保其組織結(jié)構(gòu)中每一層次的員工都有明確的責任，這些責任將其業(yè)績表現(xiàn)期望值同獎勵機制相聯(lián)系，并及時進行評價。全面實施有效的風險評估及控制程序要做到這一點，公司通常需要： 有一套通用的風險語言/定義； 成本效益原則的考慮；許多公司是按職能的不同來建立組織架構(gòu)的，企業(yè)產(chǎn)品及服務(wù)的開發(fā)與提供需要眾多職能部門的共同努力，包括市場、工程、銷售制造及財務(wù)等等。業(yè)務(wù)流程是跨職能部門的，因此是企業(yè)成功的關(guān)鍵?？缏毮懿块T的有效溝通與協(xié)作往往是企業(yè)風險評估與控制的關(guān)鍵。下述圖形列出在流程控制環(huán)節(jié)的主要關(guān)鍵性活動：下面我們對這些主要活動予以進一步分析：確立流程目標在設(shè)計業(yè)績評價指標、評估企業(yè)風險及設(shè)計風險控制這些過程中，都需要考慮所有流程的目標。與企業(yè)戰(zhàn)略相符的流程目標將會更符合風險控制的成本與效益原則，而流程風險控制則為流程目標的實現(xiàn)提供合理保障。風險評估的目的就是尋找針對風險可采取的是避免（avoiding）、轉(zhuǎn)移(transferring)還是降低（reducing）風險的策略。例如：以顧客為導(dǎo)向的企業(yè)必須確保每個員工了解控制顧客滿意度的重要性。（2）尋找風險源（Source Risk）即確定風險產(chǎn)生的根源何在，從而有助于風險評估及控制的設(shè)計。對風險的衡量還有助于企業(yè)如何設(shè)定可接受風險的程度。企業(yè)流程負責人必須對基本流程風險進行自我評估。風險識別風險溯源風險衡量風險評析及監(jiān)控風險控制的設(shè)計/實施的改進環(huán)境發(fā)生了什么變化?客戶滿意度如何?我們從何可知?企業(yè)組織的目標是什么?流程中產(chǎn)生有什么影響或可能發(fā)生何種錯誤?風險是源于外部?如是,根源是什么?風險是源于內(nèi)部?如是,是源自于哪一業(yè)務(wù)流程?流程內(nèi)部風險的根源是什么?風險有多大?發(fā)生的可能性有多高?企業(yè)愿意接受多大的風險?企業(yè)如何決定接受還是拒絕風險?企業(yè)是否可以對影響風險和回報的因素進行監(jiān)控?對不可接受的風險,企業(yè)是否可以進行評析其是否已被納入可接受范圍?對目前可接受的風險,企業(yè)是否可以進行再次監(jiān)控對不可控風險：企業(yè)是否應(yīng)該中止進行的那些產(chǎn)生不可控風險的活動? 對于可控風險：企業(yè)是否可以轉(zhuǎn)移該風險?企業(yè)是否已有一套有效的風險控制機制?如有：企業(yè)的控制機制運作有效嗎?這些控制手段與最佳實踐存在缺口嗎?如沒有：企業(yè)應(yīng)采取什么方法以降低風險水平? 企業(yè)在設(shè)計風險控制程序時，管理層首先需明確企業(yè)可承擔/容忍好風險程度（Limits Of Tolerable Risk）。而風險評估過程對風險控制設(shè)計的影響則可通過如下坐稱圖予以進一步描述：通過風險評估，企業(yè)對風險的性質(zhì)有基本的了解，在此基礎(chǔ)上，可以進一步關(guān)注風險的衡量及考慮風險控制的設(shè)計與實施。規(guī)避該風險往往意味著終止或暫停那些產(chǎn)生風險的經(jīng)營活動；轉(zhuǎn)移則指同某一財力健全且獨立的第三方共擔該風險，包括擔保、再保險、套期保值、建立合資/合作實體或戰(zhàn)略聯(lián)盟及訂立合同保障等等；對于不可轉(zhuǎn)移的風險，較好的方法是建立控制程序以確保在源頭預(yù)防這些風險。對B類和C類風險，采取檢查及改正的風險控制措施一般是足夠的，尤其是如果采取源頭預(yù)防的成本太高的話。如果風險原因是那些生產(chǎn)流程中進行重新生產(chǎn)花費巨大或是信息重新輸入處置勞動量過大的這些行為，則采取事后控制的效率是比較低的而且代價也是比較高的。業(yè)績評價（Measure Performance）流程業(yè)績評價必須同企業(yè)的戰(zhàn)略目標、整個組織的業(yè)績評價及流程的目標相聯(lián)系。如果這些數(shù)據(jù)顯示某一流程運作并未達到設(shè)定的目標。而針對于人的業(yè)績評價指標則是側(cè)重于報酬、員工發(fā)展及激勵、技能、責任心和靈活性。例如，公司的重要戰(zhàn)略目標之一是發(fā)展新業(yè)務(wù)，那么相對應(yīng)的組織層面的業(yè)績評估指標，可以是新業(yè)務(wù)增加百分比，而在業(yè)務(wù)流程所采用的指規(guī)則可以是計劃銷售與實際銷售的比率。而這一監(jiān)督行為應(yīng)該關(guān)注如下問題： 企業(yè)/流程的風險改變了嗎？ 業(yè)務(wù)流程的運作情況如何？雖然企業(yè)會由內(nèi)審部門對風險控制進行獨立評價，但審計并不能代替監(jiān)督，因為負責進行監(jiān)督的是流程責任人而不是審計師。但由外部審計師所提出的管理建議則要立刻進行調(diào)查并予以落實。因為這直接涉及到風險管理在企業(yè)內(nèi)部如何實施。授權(quán)與自我控制（Empowerment and selfcontrol）對營業(yè)進行恰當?shù)氖跈?quán)將會有助于企業(yè)增長機會的增加、持續(xù)改進、更多創(chuàng)新及顧客滿意度的增加。自我控制則是架在員工授權(quán)與管理層責任之間的棟梁。自我控制一詞則更多是對企業(yè)要實現(xiàn)的目標是什么這一問題進行描述，是企業(yè)進行風險評估與控制的驅(qū)動力，并為企業(yè)如何在多變的外圍環(huán)境中進行風險控制提供了一個方法。而達到這一點則首先流程負責人要持續(xù)進行跨職能部門地評估流程運作績效、風險及控制。需要明確的是自我控制并不意味著由員工自行確定公司組織的目標是什么，也并不意味著由員工決定對公司資源的獲取，分配和調(diào)度，更不意味著放棄領(lǐng)導(dǎo)和有效管理。 在有明確定義的業(yè)務(wù)流程之內(nèi)（或明確的職能部門范圍之內(nèi)）； 必須具有可靠性及相關(guān)性的決策所使用信息；以下的圖形正是對自我控制這一體系作出了全面描述，這一模型在當今許多跨國公司中得以廣泛使用，這些具備成功經(jīng)驗的公司無不意識到在公司成功的眾多因素中最重要的是員工培訓(xùn)與教育、風險自我評估，組織內(nèi)部信息的四維溝通及對業(yè)績(不論是組織層面業(yè)績還是業(yè)務(wù)層面業(yè)績)進行標杠分析這四大因素。該風險管理框架COSO 是委托美國普華永道會計公司組織編寫的，基本上是對在全球跨國公司運用多年的全面風險管理實踐，在原安達信公司聯(lián)同英國經(jīng)濟學(xué)人集團于一九九五年之后，業(yè)界第二次比較系統(tǒng)地對全面風險管理理論和實踐做出總結(jié)。這個過程受董事會、管理層和其他人員的影響。” ERM框架有三個維度：第一維是企業(yè)的目標：即戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。第三維是企業(yè)的各個層級：包括整個企業(yè)、各職能部門、各條業(yè)務(wù)線及下屬各子公司。ERM框架三個維度之間的關(guān)系如圖：（１）內(nèi)部環(huán)境（Internal Environment）。明確企業(yè)的內(nèi)部環(huán)境是進行風險管理活動的基礎(chǔ)。企業(yè)的管理者也是內(nèi)部環(huán)境的一部分，其職責是建立企業(yè)風險管理理念，并將企業(yè)的風險管理和相關(guān)的初步行動結(jié)合起來。（２）目標設(shè)定（Objective Setting）。企業(yè)的風險管理所有具體的或活動層次的目標都可歸入其類型中的一類或幾類：戰(zhàn)略目標。運營目標。報告目標。遵循目標。（３）事件識別（Event Identification）。風險是指某一對企業(yè)目標的實現(xiàn)可能造成負面影響的事項發(fā)生的可能性（對企業(yè)有正面影響的事項稱為機會）。（４）風險評估（Risk Assessment）。這樣，管理層就能根據(jù)被識別的風險的重要性來計劃如何管理，即通過風險管理這個過程識別和分析風險并采取減弱風險效果的行動來管理風險。企業(yè)無須對所有的風險采用同樣一種評估方法，可根據(jù)不同的風險目標確定相應(yīng)的風險評估方法，達到成本最低情況下的效益最大化目的。風險對策是指管理層在評估了相關(guān)的風險之后，根據(jù)風險嚴重程度和可能性大小進行排序，然后確定措施，即規(guī)避風險、減少風險、共擔風險和接受風險四種方式，其即要求管理者既要考慮成本和效益，又要從企業(yè)總體角度出發(fā)在期望的風險容忍度內(nèi)選擇可以帶來預(yù)期可能性和影響的風險方案。（６）控制活動（Control Activities）。控制活動存在于企業(yè)的各部分、各個層面和各個部門。（７）信息與溝通（Information and Communication）。包括企業(yè)內(nèi)自上而下、自下而上以及橫向的溝通。（８）監(jiān)督（Monitoring）。企業(yè)可以通過兩種方式對風險管理進行監(jiān)控——持續(xù)監(jiān)控和個別評估。COSO認為，要使每種類型的風險管理真正有效，這八個要素必須包含在內(nèi)，因為它們可以共同為企業(yè)風險管服務(wù)。從COSO的ERM框架可以看出，風險管理遵循如下過程：四、小結(jié)在經(jīng)濟全球化和信息化浪潮的沖擊下，企業(yè)生存和競爭環(huán)境變得越來越動蕩不安、越來越復(fù)雜和難以預(yù)測。管理者能否有效地控制這些風險成為企業(yè)能否保持競爭優(yōu)勢、獲得持續(xù)發(fā)展的決定性要素。要建立現(xiàn)代企業(yè)全面風險管理體系，企業(yè)應(yīng)該做到以下幾點:（1）塑造具有風險價值觀念的企業(yè)文化。（3）利用信息技術(shù)建立風險信息管理系統(tǒng)。 總之，面對動蕩多變的激烈市場競爭環(huán)境，做好企業(yè)的風險管理工作，不僅要結(jié)合最新的風險管理理論， 更要從企業(yè)實際情況出發(fā)，明確企業(yè)風險管理目標，從戰(zhàn)略、文化、組織等方面進行系統(tǒng)的改革和創(chuàng)新。26 / 26