COSO更新版《企业风险管理框架》(3).doc

该【COSO更新版《企业风险管理框架》(3) 】是由【知识徜徉土豆】上传分享，文档一共【3】页，该文档可以免费在线阅读，需要了解更多关于【COSO更新版《企业风险管理框架》(3) 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。企业风险管理框架4、风险评估风险评估可以使企业了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估一一风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。对风险发生的可能性和影响的估计经常需要使用从过去的可观察事项得到的数据,这比没有任何数据的、完全的主观估计要客观得多。根据企业自己的经验在企业内部产生的数据带有较少的人的主观偏见,能够得到比外部数据更好的结果。但是,即使是以内部数据作为主要的资料来源,外部数据仍能用作一个检查标准或者改进分析。当使用过去数据对未来进行预测时使用者必须小心,因为影响过去事项的有关因素可能会随着时间的推移而改变。一个企业风险评估的方法通常是定量方法和定性分析技术的组合。当风险本身无法量化时,或者量化评估所要求充足的可靠的数据实际不可获得或者数据获得或分析不符合成本效益原则时,管理者通常会采用定性的分析技术。定量的分析技术通常更加精确,一般用于更为复杂多变的活动,作为定性分析的补充。一个企业不需要在每个业务部门都使用同样的评估技术。相反,对评估技术的选择应反映出对精确性的需要和该业务部门的文化。在任何情况下,各业务部门所使用的评估技术应有利于企业在整个企业的范围内对风险的评估。在衡量目标的实现程度时,管理者经常使用业绩计量指示。当考虑某一风险对实现某一特定目标的潜在影响时,使用这些计量指标同样有效。管理者可以评估各事项之间的关系,因为一系列相互关联的事项结合起来会使得事项的发生概率或事项的影响发生重大变化。虽然一个单一事项的影响可能很小,但是这样一系列事项则可能对企业造成重大影响。各潜在事项之间可能并不直接相关,这时管理者可以分别对其进行评估,但是当某些风险可能在企业的多个业务部门出现时,管理者可以将所确认的风险归为一类进行评估。通常一个潜在事项结果是一个可能的范围值,管理者应将其作为制定风险反应方案的基础。通过风险评估,管理者可以了解潜在事项在整个企业内对企业的正面和负面的影响,单个事项或某类事项对企业的影响。管理者通常只趋于关注中短期的风险,但风险应在企业战略和目标的前提下进行评估。由于战略方向和目标的某些要素涉及较长时期,管理者因而应从长期的角度认识风险,而不能忽视远期会影响企业的风险。首先,应对企业的固有风险进行评估。固有风险是指管理者在没有采取任何会改变风险减少发生的可能性或影响的管理措施的情况下企业所面临的风险。一旦确定了对固有风险的风险反应方案,管理者就可以使用风险评估技术确定企业的残留风险。残留风险是指管理者采取了有关风险管理措施后应存在的风险。,并在风险容忍度和成本效益原则的前提下,考虑每个管理者可以制定不同风险反应方案,并在风险容忍度和成本效益原则的前提下,考虑每个方案如何影响事项发生的可能性和事项对企业的影响,并设计和执行风险反应方案。考虑各风险反应方案并选择和执行一个风险反应方案是企业风险管理不可分割的一部分。有效的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险容忍度范围之内的风险反应方案。风险反应可分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或者两者同时减少。共担风险是指通过转嫁或与他人共担一部分风险来降低风险发生的可能性或影响。接受风险则是不采取任何改变风险发生的可能性或影响的行动。作为企业风险管理的一部分,对于每一个重要的风险,企业都应按风险反应的类型考虑所有的风险反应方案,这样有助于风险反应方案的选择,这也是对“现状”提出的挑战。选定某一个风险反应方案后,管理者应在残留风险的基础上重新评估风险,即从企业总体的风险组合的、预测的角度重新计量风险。管理者可以采取一定的方法使得每一生产部门、行政部门或业务单位的管理者可以对风险进行复合式的评估以决定该部门的风险反应方案。这种视角可以反映相对于各部门的目标和风险容忍度该部门的风险组合。在对各个独立部门的风险有一个认识的基础上,企业最高层的管理者应以组合的角度看待风险,以决定企业的风险组合与相对企业目标而言的总体的风险偏好是否相符。管理者应认识到一定水平的残留风险总是存在的,这不仅是因为资源的有限性,还因为未来有其内在的不确定性和所有活动的固有限制。。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业努力实现其商业目标的过程的一部分。通常包括两个要素:确定应该做什么的一个政策和影响该政策的一系列过程。由于企业的控制活动与企业的信息系统广泛相关,因此,应对企业所有的重要系统进行控制。广义来讲,对信息系统控制活动可以分为两类。一类是一般控制,这类控制应用于大多数应用系统,有助于保证系统的持续地、正确地运行。另一类是应用控制,包括用于控制技术应用的应用软件内部的电脑程序。必要时将信息系统控制与其他手工的过程控制相结合,可以保证信息的完整性、精确性和有效性。一般控制包括对信息技术管理、信息技术基础设施、保密管理和软件的购买、开发和维护的控制。这些技术应用于所有的系统,从主机到客户端(服务端)到桌面电脑环境。信息技术管理控制主要包括明确信息技术的勘漏过程、监督和报告信息技术活动及业务改进的初步行动等等。应用控制的目的是保证数据获得和业务处理过程的完整性、精确性、授权和有效性。依靠信息系统控制运行的有效可以保证当需要时每个应用程序可以在界面上产生有关数据,保证应用程序的有效和有关界面的错误可以很快地被发现。因为每一个主体都有其自己的一套目标和执行目标的方法,因此其子目标、结构和相关的控制活动也会不同。即使两个企业有同样的目标和结构,他们的控制活动可很可能不同。每个企业的管理人员都不同,不同的管理人员在影响内部控制时使用不同的个人判断。而且,控制活动反映了一个企业所处的环境和行业,也会反映企业的复杂性、企业的历史和文化。、捕捉和传递,以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通,包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换,如客户、供应商、行政管理部门和股东等。企业内部各个管理者都需要信息来帮助识别、评估风险和对风险进行反应,以及进行经营并实现企业的目标。相对于某一类或几类目标,某一批信息是有用的。企业的信息来自于各个方面,包括内部和外部的信息、量化的和非量化的信息,以使得企业的风险管理可以对现实世界中不断变化的条件及时作出反应。将大量的信息进行处理,提炼出或指导行动的信息是企业管理者所面临的一个挑战。解决这一问题的方法是建立一个信息系统底层结构来确认、捕捉、处理、分析和报告相关信息。这些信息系统通常是电脑系统,但也包括手工录入或人机界面。因此,这些信息系统经常是指处理企业相关业务产生的内部数据的系统。长期以来信息系统是用来支持企业的商业战略,当业务需要变化和有关技术为企业获得一地位就显得更为重要。为支持有效的企业风险管理,一个企业会捕捉和使用历史和现在的数据。历史数据使企业能够将实际业绩与目标、计划和期望相比较,能够更加深入了解企业在不断变化的环境下是如何生存的,使得管理者确认相关性和趋势并预测未来的业绩。历史数据还能够对需要管理者注意的潜在事项提早提出警告。现在或现状的数据使企业能够评估在某一特定时点所面临的风险并将其控制在风险容忍度范围内。现状数据使得管理者可以实时地了解一个过程、职能部门或单位现存的固有风险和差异的大小。这对了解企业的风险组合提供了一个视角,使得管理者能够在必要时改变企业的活动以满足企业的风险偏好。信息是沟通的基础,沟通则必须满足各部门和个人的要求,以使他们能够有效地履行其职责。最重要的沟通渠道之一是高级管理者和董事会之间的沟通。管理者必须使董事会了解关于企业业绩、发展、风险管理执行和其他相关事项和问题的及时信息。沟通越畅通,董事在执行其监督职能、重大问题的宣传媒介职能和提供建议、咨询和指导职能时才会越有效。反之,董事会也应向管理者传递其所需要的信息并进行反馈和指导。管理者应提供特定的或直接的沟通渠道说明对员工的行为预期和各自的职责。应包括对企业风险管理原理和方法以及员工权责分配的清晰的说明。对于风险管理过程和程序的沟通应与企业预期的风险文化相结合,并作为企业风险文化的基础。此外,信息的列示会直接影响对信息的解释和对相应的风险或机遇的看法,因此,对于沟通应有一个适当的架构。沟通应体企业的员工了解有效地企业风险管理的重要性和相关性,了解企业的风险偏好和风险容忍度,并在企业内执行、设计一个统一的风险用语并向员工说明他们在影响和支持企业风险管理要素中的地位和职责。沟通渠道还应该保证企业员工能够在各业务部门、业务流程或职能部门间进行风险信息的沟通。大多数情况下,企业内正常的报告路径一般是沟通的适当渠道。而在某些情况下,需要一个单独的信息沟通途径作为防止失败机制,而为一途径在正常情况下是不用的。在所有的情况下,让企业的员工了解企业内并不存在对报告相关信息的报复是很重要的。外部的沟通渠道能为企业的产品或服务的设计或品质提供非常重要的信息。管理者应将企业的风险偏好和风险容忍度与客户、供应商和合伙人的风险偏好和风险容忍度联系起来考虑,以保证不会通过企业的业务活动给企业带来太多的风险。外部和相关方的信息经常会为企业风险管理的运行提供重要的信息。(未完待续)