企业风险管理-应用技术_修复的

  企业风险管理 －应用技术  [EnterpriseRiskManagement-ApplicationTechniques]  【引领全球内部控制与风险管理发展方向  获COSO官方授权和认可的  国际简体中文翻译版本】  2007 KingDIB2007‐12‐29目录1导论本文献的应用《企业风险管理－应用技术》提供了应用企业风险管理原则的过程中组织的不同层面所用技术的实例。这一卷的结构与《框架》卷是相似的。为了提供更多的衔接，《框架》卷的一些段落也以斜体的形式包含在本卷中。那些段落也为例示的技术提供了一个基础。为了能够从本卷中获得预期的收益，使用者应当熟悉《框架》卷的内容。尽管人们希望这个资料将会有益于那些试图应用企业风险管理技术的人，但它不是《框架》卷的一个组成部分。在这里介绍它决不意味着需要用例示的技术来实施企业风险管理或者在确定企业风险管理是否有效的过程中必须应用它们，也丝毫不表明这些说明或例示的技术是首选的方法或代表“昀佳实践”。没有试图使本卷例示的技术完整，而且它们也是不完整的。专栏和附带的讨论只涉及在《框架》卷出现的和在本卷专栏1－1中描述的某些要素。这些技术中的一部分可适用于规模较小、不复杂的组织、多样性和行业特色，对应用企业风险管理的技术进行更加全面的介绍超出了本项目的范围。随着时间的推移，我们相信，当职业组织、行业团体、学者、监管者和其他人日益积累起能够帮助其支持者的素材，更多的指引将会发展起来。建议那些思考企业风险管理应用技术的读者也要参考《内部控制－整合框架》的《评价工具》卷以获得更多的指导。它介绍了评价一个体系的内部控制系统所要用到的工具，包括一套空白工具、根据一个假定公司填写完毕的工具和一本参考手册。企业风险管理的主要要素为提供现有的背景，专栏1－1列示了每一企业风险管理构件的主要要素。专栏1－1每一构件的主要要素内部环境风险管理理念－风险容量－董事会－诚信和道德价值观－对胜任能力的要求－组织结构－权利和职责的分配－人力资源准则目标设定战略目标－相关目标－选定的目标－风险容量－风险容限事项识别事项－影响因素－事项识别技术－事项相互依赖性－事项类别－区分风险和机会风险评估固有风险和剩余风险－估计可能性和影响－数据来源－评估技术－事项之间的关系风险应对评价可能的应对措施－选定的应对－组合观控制活动与风险应对相结合－控制活动的类型－政策和程序－对信息系统的控制－主体的特殊性一个实施过程如前所述，本卷举例说明了应用企业风险管理框架的具体要素要用到的多种技术。一个更高层的、“第一位的”问题涉及管理层在昀初考虑如何在组织内实施这个框架时所采取的方法。主体的规模、复杂性、所处行业、文化、管理风格和其他特性将会对如何昀有效果、昀有效率地实施这个框架的概念和原则产生影戏那个。因为有许多可用的方法和选择，即使是相似的组织在实施企业风险管理时也是不同的－无论是首次应用这个框架的概念和原则，还是判断它们现有的企业风险管理程序（它可能是长期发展起来的）是否真的有效。然而，经验表明存在某些共性。下面简略地描述了那些已经成功地完成企业风险管理实施的管理层所采用的常见的、应用广泛的步骤：z核心小组准备－成立一个由来自业务单元和主要支持职能部门（keysupportfunctions）(包括战略规划)的代表组成的核心小组是重要的第一步。这个小组要非常熟悉这个框架的组成部门、概念和原则。这种熟悉为设计和实施有效处理主体独特需要的企业风险管理过程提供了一种共同的理解和语言以及基本依据。z执行官倡议－虽然执行官倡议的时机和形式因组织而异，但执行官倡议及早开始并信息与沟通信息－沟通监控持续监控活动－个别评价－报告缺陷随着实施的进行得以巩固却很重要。为了有关的投资资源，执行官领导阶层要清楚地说明企业风险管理的好处，并未相关的资源投资制定和传达业务案例。CEO支持，以及通常至少是初始直接和明显的参与会促进成功。z制定实施计划－初始计划是为接下来的步骤制定的，它设定了主要的计划阶段，包括已定义的工作流、主要管理点（milestone）、资源和时机。确定了职责，从而一个项目管理系统就运行起来了。这个计划充当了与小组领导层一贯地进行沟通和协调的手段，还充当了沟通和确定不同单元和职员期望的基础以及讨论通过采用企业风险管理预计到的主体层面变化的依据。z当前状态评估－这包括评估当前在主体内正如何应用企业风险管理的构件、概念和原则。这通常涉及确定组织内已经发展了何种风险管理理念，并确定对主体的风险容量是否存在一致的理解。核心小组要确定组织应用该框架原则和概念的现有能力，也要确定当前在用的正式和非正式的政策、程序、惯例和技术。z企业风险管理愿景－核心小组制定一个愿景，它陈述了企业风险管理将会如何继续应用企业风险管理以及如何在组织内整合以实现其目标－包括组织如何将其企业风险管理的努力集中在协调风险容量与战略、增进风险应对决策、识别和管理贯穿于企业的风险、抓住机会和改善资本配置上。z能力发展－当前状态评估和企业风险管理愿景不但为需要发展的新能力提供了洞察力（insight），而且为确定人员、技术和已经存在并发挥作用的过程能力提供了所需要的洞察力。这包括确定职能和责任，改进组织模式、政策、过程、方法、工具、技术（techniques）、信息流和工艺(technologies）。z实施计划－初步计划得到更新和增强，增大了深度和广度以涵盖更多的评价、设计和配置。规定了更多的责任，而且项目管理系统也精炼为必须的内容。该计划通常包括一般项目管理规范，它是任何实施过程的一个组成部分。z改变管理发展和配置－制定必要的行动来实施和维持企业风险管理愿景和要求的能力－包括配置计划、培训会议、报酬强化机制以及对实施过程其余部分的监控。z监控－管理当局要不断地审查和加强风险管理能力，作为其持续管理过程的一部分。下面的章节举例说明了一些应用企业风险管理框架每一构件的概念和原则的具体技术。2内部环境概况章概要内部环境包含组织的基调，它影响组织中人员的风险意识，是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构。内部环境因素包括主体的风险管理理念、它的风险容量、董事会的监督，主体中人员的诚信、道德价值观和胜任能力，以及管理当局分配权利和职责、组织和开发其员工的方式。这一章应用技术简要描述了内部环境要素对主体的成功或失败所能具有的影响，并举例说明了风险管理理念的陈述、评价风险管理理念与主体文化整合程度的技术及提高诚信和道德文化的工具。影响一个组织的内部环境对企业风险管理如何持续地被实施和发挥作用具有重大影响。内部环境是应用企业风险管理其他构件的环境，它通常具有强大的正面或负面影响。专栏2－1是具有负面影响的例子。【风险管理理念一个主体的风险管理理念是一整套共同的信念和态度，它决定着该主体在做任何事情－从战略制订和执行到日常的活动－是如何考虑风险……企业的风险管理理念实质上反映在管理当局在经营该主体的过程中所做的每一件事情上。它可以从政策表述、口头和书面的沟通以及决策中反映出来。无论管理当局是强调书面的政策、行为准则、业绩指标和例外报告，还是更为非正式地大量通过与关键的管理者面对面的接触来进行经营，至关重要的是管理当局不仅要通过口头，而且还要通过日常的行动来强化这种理念。有些公司的管理当局用书面的形式清楚地表述他们风险管理理念的要素。专栏2－2和2－3是风险管理理念的实例。专栏2－1内部环境的影响内部环境的影响可以通过哥伦比亚事故调查委员会报告的调查结果来说明。这个委员会由国家航空航天局（NASA）组建，负责调查哥伦比亚航天飞机发生事故的原因。在这次事故中，航天飞机在重返大气层的途中爆炸分解。该报告陈述：“哥伦比亚事故在组织方面的原因来源于航天飞机计划的历史和文化……对安全有害的文化特性和组织行为被允许发展，它们包括:依赖于用过去的成功代替可靠的工程实践（如为了了解系统为何没有按要求运行而进行的测试）、阻碍关键安全信息的有效沟通和压制意见专业差异的组织障碍、缺少贯穿所有计划要素的整合管理以及运行在组织规则之外的非正式命令和决策过程链的形成。”专栏2－2描述风险管理理念的说明性陈述在全球发展和文化扩张中，我们的组织需要一个公司风险管理的综合方法来促进广泛的战略思考和分析，同时，从根本上整合组织的核心价值和信念。为了这个目标，我们力争使风险管理变成我们的竞争优势。我们风险管理程序的起点是一个企业风险战略，它要考虑与我们有关的所有人的需求和愿望。通过促进信息流动和强化贯穿组织的沟通，风险管理程序提供了一个连续的循环风险信息模型。这个模型提供了与股东需求和持续改善我们企业风险战略的愿望相关的信息。为了确保实现我们的战略，我们的风险管理程序要为我们的人员提供工具和能力来排除在力争超过期望时产生的障碍。通过认识到风险和控制是每个人的事情，我们的员工将会以一种更有效和更节省成本的方式主动地识别在向市场交付产品和服务的过程中存在的风险。我们的风险管理程序允许我们的员工从不同角度看问题，不仅识别风险抑减活动，还要预测潜在的机会并对其采取行动－从而，挑战常规的智慧以创造更好的解决办法。我们组织的一个基本原则是对我们的员工、客户和股东要尊重和保持诚信。通过风险管理加入到我们日常的业务活动中以及通过实施有关的绩效措施，风险管理程序确保我们通过实行我们的核心价值观来保持我们昀高的道德标准。专栏2－3描述风险管理理念的说明性陈述企业风险管理将为我们的组织提供识别、评估和管理全部范围的风险的高级能力，并使所有层级的员工能更好地了解和管理风险。这将为我们提供：z合理的承受风险z对执行官和董事会的支持z改良的结果z增强的责任z增强的受托责任（stewardship）希望全体员工在制定战略和追逐目标的过程中表现出适当的行为准则。这个理念被下面的指导原则所支持。管理当局和全体员工应该：z在做出决策时考虑所有形式的风险。z建立和评价业务单元层次和公司层次的风险概况，以便考虑对他们单个的业务单元和部门来说什么是昀好的，对公司整体来说什么是昀好的。z支持执行经理建立一个公司层次的风险组合观。z在业务单元或影响层次的其他点保持对风险和风险管理的所有权和责任。风险管理不是把责任委托给其他人。z在企业风险管理中努力实现昀好的实践。z监控对政策和程序的遵循情况以及企业风险管理的状况。z提高（lever）现存的风险管理实践，无论它们存在于公司的什么地方。z记录和报告所有重大的风险和企业风险管理缺陷。z承认企业风险管理是强制的而不是随意的。为了了解风险管理理念与主体文化的整合情况，一些公司实施了一个风险相关文化的调查，它计量了关键风险相关特性的存在和强度。在这些调查中有代表性地提出了一些特性，如专栏2－4所示。一些公司根据期望的时机和置信水平，定期（如每年一次）调查所有员工，以及更频繁地调查员工的一个代表性样本。公司每季展开这些调查，目的是更好地了解该组织有规律的波动和变化趋势，这一点在变化的时期特别有益。这样一些调查的结果为组织文化中的优势区域和弱势区域提供了方向性指标。专栏2－5部分地例示了如何列示和解释一个风险有关文化调查问题的结果。这些结果有助于主体识别那些为了确保一个有效的内部环境而需要加专栏2－4在风险相关文化的调查中计量的特性1.领导能力和战略z展示道德和价值观z沟通使命和目标2.人员和沟通z对胜任能力的要求z共享信息和知识3.责任和强化z组织结构z计量和报酬成绩4.风险管理和基础设施z评估和计量风险z系统接近和安全强的特性。诚信与道德价值观企业风险管理的有效性不可能脱离那些创造、管理和监督主体活动的人的诚信和道德价值观。诚信和对道德价值观的承诺从个人开始。价值判断、态度和风格是建立在个人的经验基专栏2－5例示的风险相关文化调查编号问题特性平均等级标准偏差数量坚决不同意不同意中立同意坚决同意1我单位的领导为道德行为树立了积极的榜样领导能力和战略1.42强0.7118613977962我理解主体的总体使命和战略领导能力和战略1.05好0.691860718119423采取惩戒措施以防备那些从事职业不正当行