COSO更新版《企业风险管理框架》(3).doc

企业风险管理框架
4、风险评估
风险评估可以使企业了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估一一风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。对风险发生的可能性和影响的估计经常需要使用从过去的可观察事项得到的数据，这比没有任何数据的、完全的主观估计要客观得多。根据企业自己的经验在企业内部产生的数据带有较少的人的主观偏见，能够得到比外部数据更好的结果。但是，即使是以内部数据作为主要的资料来源，外部数据仍能用作一个检查标准或者改进分析。当使用过去数据对未来进行预测时使用者必须小心，因为影响过去事项的有关因素可能会随着时间的推移而改变。
一个企业风险评估的方法通常是定量方法和定性分析技术的组合。当风险本身无法量化时，或者量化评估所要求充足的可靠的数据实际不可获得或者数据获得或分析不符合成本效益原则时，管理者通常会采用定性的分析技术。定量的分析技术通常更加精确，一般用于更为复杂多变的活动，作为定性分析的补充。一个企业不需要在每个业务部门都使用同样的评估技术。相反，对评估技术的选择应反映出对精确性的需要和该业务部门的文化。在任何情况下，各业务部门所使用的评估技术应有利于企业在整个企业的范围内对风险的评估。
在衡量目标的实现程度时，管理者经常使用业绩计量指示。当考虑某一风险对实现某一特定目标的潜在影响时，使用这些计量指标同样有效。管理者可以评估各事项之间的关系，因为一系列相互关联的事项结合起来会使得事项的发生概率或事项的影响发生重大变化。虽然一个单一事项的影响可能很小，但是这样一系列事项则可能对企业造成重大影响。各潜在事项之间可能并不直接相关，这时管理者可以分别对其进行评估，但是当某些风险可能在企业的多个业务部门出现时，管理者可以将所确认的风险归为一类进行评估。
通常一个潜在事项结果是一个可能的范围值，管理者应将其作为制定风险反应方案的基础。通过风险评估，管理者可以了解潜在事项在整个企业内对企业的正面和负面的影响，单个事项或某类事项对企业的影响。
管理者通常只趋于关注中短期的风险，但风险应在企业战略和目标的前提下进行评估。由于战略方向和目标的某些要素涉及较长时期，管理者因而应从长期的角度认识风险，而不能忽视远期会影响企业的风险。
首先，应对企业的固有风险进行评估。固有风险是指管理者在没有采取任何会改变风险减少发生的可能性或影响的管理措施的情况下企业所面临的风险。一旦确定了对固有风险的风险反应方案，管理者就可以使用风险评估技术确定企业的残留风险。残留风险是指管理者采取了有关风险管理措施后应存在的风险。

管理者可以制定不同风险反应方案，并在风险容忍度和成本效益原则的前提下，考虑每个管理者可以制定不同风险反应方案，并在风险容忍度和成本效益原则的前提下，考虑每个方案如何影响事项发生的可能性和事项对企业的影响，并设计和执行风险反应方案。考虑各风险反应方案并选择和执行一个风险反应方案是企业风险管理不可分割的一部分。有效的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险容忍度范围之内的风险反应方案。
风险反应可分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退