《内部控制与风险管理框架》.ppt

企业风险管理框架引入了风险容量和风险容限的概念。风险容量是一个主体在追求其使命/愿景的过程中所愿意承受的广泛意义的风险的数量。它在战略制订和相关目标的选择中起到指向标的作用。风险容限是相对于目标的实现而言所能接受的偏离程度。在确定风险容限的过程中，管理层考虑相关目标的相对重要性，并使风险容限与风险容量相协调。 组合观 内部控制框架中没有预期到的一个概念是风险的组合观。除了在分别考虑实现主体目标的过程中关注风险之外，还有必要从“组合”的角度考虑复合风险。 构成要素 通过更多地关注风险，企业风险管理框架拓展了内部控制框架的风险评估要素，创造了四个构成要素——目标设定（它在内部控制中是先决条件）、事项识别、风险评估和风险应对。 内部环境 在讨论环境要素时，企业风险管理框架讨论了一个主体的风险管理理念，它是决定一个主体如何考虑风险、反映其价值观并影响其文化和经营风格的一系列共同的信念和态度。如前所述，本框架包含了一个主体的风险容量这个概念，它由更具体的风险容限所支撑。 由于董事会及其组成的突出重要性，企业风险管理框架拓展了内部控制框架中至少要有多名独立董事的呼吁——即至少要有两名独立董事，指出为了使企业风险管理有效，董事会中必须有至少占多数的独立外部董事。 事项识别 企业风险管理和内部控制框架都承认风险发生在主体的各个层次上，并且来源于许多内部和外部因素。而且，两个框架都以对目标实现的潜在影响为背景来考虑风险识别。 企业风险管理框架讨论潜在事项的概念，将事项定义为影响战略执行或目标实现的从内部或外部所发生的事故或事项。有着正面影响的潜在事项代表机会，而那些有着负面影响的则代表风险。企业风险管理涉及到运用那些既考虑过去和新生的趋势、也考虑是什么引发了该事项的技术的组合来识别潜在的事项。 风险评估 尽管内部控制和企业风险管理框架都要求从一个给定的风险将会发生的可能性和它的潜在影响的角度来评估风险，但是企业风险管理框架建议透过一个更敏锐的视角来观察风险评估。要从固有的和剩余的风险的角度，最好采用与为和该风险相关的目标而构建的计量单位相同的单位来表述风险。时间范围应该与主体的战略和目标相一致，而且如果可能的话，应该与可观测的数据相一致。企业风险管理框架还要求关注相互关联的风险，它反映了一个单独的事项可能会怎样产生多重风险。 企业风险管理包含了管理层树立主体层次的组合观的需要。负责业务单元、职能机构、流程或其他活动的管理人员建立了对各自单元的风险的复合评估，主体层次的管理层就能够从“组合”的角度去考虑风险。 风险应对 企业风险管理框架确定了四类风险应对——回避、降低、分担和承受。作为企业风险管理的一部分，管理层从这些类别中考虑潜在的应对，并以达到与主体的风险容限相协调的剩余风险水平为目的来考虑这些应对。个别或整体地考虑了对风险的应对之后，管理层要考虑整个主体范围内风险应对的累积效果。 控制活动 两个框架都引入了控制活动，以帮助确保管理层的风险应对得以实施。企业风险管理框架明确地指出，在某些情况下控制活动本身也起到了风险应对的作用。 信息与沟通 企业风险管理框架拓展了内部控制的信息与沟通要素，强调对来自过去、现在和潜在的未来事项的数据的关注。历史性数据使主体得以对照目标、计划和期望来追踪实际的业绩，并提供关于主体在不同的条件下在过去期间的表现方面的认识。现在或当前状况下的数据提供了重要的补充信息，而有关潜在的未来事项的数据和基本要素使信息分析更加完善。信息基础结构获取和搜集与主体识别事项、评估和应对风险以及保持在其风险容量范围之内的需要相符的时间范围和详细程度的数据。 内部控制框架中有关在正常的报告途径之外的其他沟通渠道的存在性的讨论，在企业风险管理框架中更受强调，后者指出有效的风险管理需要这种渠道。 职能与责任 两个框架都集中关注作为内部控制和企业风险管理的一部分或为其提供重要信息的不同方面的职能与责任。企业风险管理框架描述了风险官员的职能与责任，并扩充了主体的董事会的职能。 五、风险评估 固有风险/剩余风险 管理层既要考虑固有风险，也要考虑剩余风险 固有风险是管理层没有采取任何措施来改变风险的可能性或影响的情况下，一个主体所面临的风险 剩余风险是在管理层的风险应对之后所残余的风险 一旦风险应对已经到位，管理层接下来就要考虑剩余风险 估计可能性和影响 可能性表示一个给定事项将会发生的或然率 影响表示给定事项一旦发生所产生的后果 评估技术 对标（benchmarking）——作为一组主体之间的协作过程，对标着眼于具体的事项或过程，采用共通的标准比较计量指标和结果，并且识别改进的机会。建立有关事项、流程和计量指标的数据来比较业绩。一些公司利用对标来在整个行业中评估潜在事项的可能性和影响。 概率模型——概率模型根据特定的假设将