企业风险管理指南

技术风险内部审计商业风险企业风险管理指南常见问题解答常见问题解答企业风险管理指南i企业风险管理指南：企业风险管理指南：常见问题解答常见问题解答页码简介简介1基本概念基本概念1．什么是企业风险管理？32．为什么要实施企业风险管理?33．在关注的范围上，企业风险管理和现有风险管理方法之间有什么不同？54.实施企业风险管理的价值主张是什么？75.哪些公司正在实施企业风险管理?96.公司如果没有进行企业风险管理，那么它们是如何管理风险的？107.谁负责企业风险管理工作？118.公司可立即采取哪些措施来进行企业风险管理？119.企业风险管理对规模较小、复杂性较低的企业是否也适用？1110.为什么有些公司虽试行了企业风险管理却没有成功？1111.实施企业风险管理就能确保企业会取得成功吗？1212.企业风险管理与一般管理有什么区别？1213.“实施企业风险管理”是什么意思？1214.实施企业风险管理一般需要多长时间？1315.是否有某种方法可以作为基准，确定出实施企业风险管理所需的投资水平？1316.经营成功的公司是不是早已实施了企业风险管理？1417.企业风险管理已经存在多久了？为什么现在要重新关注它？1418.目前拥有企业风险管理流程或系统的上市公司占多大比例？1519.是否存在企业风险管理被有效应用的例子？1620.企业风险管理的实施工作因行业不同会有哪些不同？1621.有些组织是否不需要实行企业风险管理？1622．实施企业风险管理的法律法规要求有哪些？1623．私有企业和上市公司实施企业风险管理的标准是否不同？1724．企业必须要在所有的风险管理环节都采取了先进的控制流程后才能获得益处吗?17COSO《企业风险管理-综合框架》COSO《企业风险管理-综合框架》25.什么是COSO？1726．COSO为什么要建立《企业风险管理-综合框架》？1827.什么是COSO《企业风险管理-综合框架》？1828.我们如何获取COSO《企业风险管理框架》？19ii目录目录页码29.COSO《企业风险管理框架》是怎样编制出来的？1930.如何使用COSO《企业风险管理框架》？2031.必须使用COSO《企业风险管理框架》吗？2032.COSO《企业风险管理-综合框架》是否取代或接替了COSO《内部控制-综合框架》？2033.如何比较COSO《企业风险管理-综合框架》和COSO《内部控制-综合框架》？2034.传统风险管理模式通常只是专注于可保风险，新的COSO《企业风险管理框架》所关注的风险是否超过了这个范围？如果超过了，超过的范围有多大？2135.是否还有其他标准和框架？如果有，它们都有哪些规定？COSO《企业风险管理-综合框架》同它们之间有什么联系？2136.美国证券交易委员会对企业风险管理持何种观点？2137.实施COSO《企业风险管理-综合框架》会产生哪些“可交付成果”？2138．“部分地”采用COSO《企业风险管理-综合框架》的公司能获得成功吗？22执行管理层的角色执行管理层的角色39.谁应该参与企业风险管理流程，怎样参与？2340.要成功实施企业风险管理，首席执行官必须全力投入企业风险管理流程或体系吗？可以转派给他人吗？2341.支持企业风险管理实施工作能给高级管理层带来哪些益处？2442.执行管理层应如何评估企业风险管理？2443.首席信息官在企业风险管理环境中扮演什么角色？2444.在企业风险管理环境中，资金管理和保险部门扮演什么样的角色？2545.企业风险管理是否需要向执行管理层汇报？如需要，哪种报告最适合？25董事的角色董事的角色46.企业风险管理与公司治理之间有什么关系？2647.为什么董事们应当关心公司是否实施了企业风险管理？2648.审计委员会应当如何看待企业风险管理?2749.董事应如何监督企业风险管理？28首席风险官的角色首席风险官的角色50.公司是否应当设有首席风险官？如果应当，其角色是什么？3051.首席风险官应具备哪些技能？3252.首席风险官向谁报告工作？32iii目录目录页码风险管理监督结构风险管理监督结构53．风险管理监督结构的主要目的是什么？3354．在设立风险管理监督结构时，薪酬问题应如何考虑？3355．是否有可以借鉴的组织监督结构？3456．风险管理监督结构与企业现行组织基础设施有什么关系？3557．实施企业风险管理需要确定每个风险责任人吗？40内部审计的角色内部审计的角色58.内部审计在企业风险管理的实施中扮演什么角色？4059.内部审计应当领导企业风险管理工作吗？4260.内部审计应该将COSO《企业风险管理框架》融合到自己的工作中去吗？4261.内部审计过去没有对企业风险管理在公司中的应用进行过评估吗？4262.内部审计师学会支持《COSO企业风险管理—综合框架》吗？4263.内部审计师学会准则要求采用《COSO企业风险管理—综合框架》吗？比如，企业风险管理与《内部审计师学会第2010.A1号准则》”（该准则要求内部审计进行年度风险评估）和《内部审计师学会第2110.A2号准则》（该准则要求结合COSO《框架》进行广泛的风险评估）之间是什么关系？42风险管理的愿景和目标风险管理的愿景和目标64.管理层如何为风险管理在公司中的作用勾画出一个共同愿景？共同愿景有什么实际用处？4365.管理层如何定义公司的风险管理目标和目的？4466.什么是“风险承受能力”？它与“风险极限”、“风险容忍度”或“风险限额”有什么区别？4667.有可以按风险容忍度来调整绩效的明确方法吗？4768.风险管理的愿景和目标如何转化成适宜的企业风险管理基础设施？49开展风险评估开展风险评估69.风险评估和风险管理之间有什么关系？5170.风险评估和绩效评估之间有什么关系？5171.有效的目标陈述包含哪些要素？为什么目标对有效的风险评估很重要？5272.事件和风险之间有什么不同？5273.COSO风险定义中为什么没有包含“风险有正面的和负面的区别”这一概念？5274.如何明确地表达固有风险，使其能有效地成为风险评估的判据？53iv目录目录页码75.有没有企业可以采用的某种公认的风险语言？5376.如果企业有很多个业务单位，那么应该在多大程度上把公司作为一个整体来严格定义其风险？5577.什么是风险绘图法，在风险评估过程中应当怎么样合理地运用它们？5578.企业风险评估的有效方法是什么？5679.在风险评估过程中经常会有哪些错误和陷阱？5880.怎样识别、理解和运用风险之间的相互关系？6081.风险评估的合理深度有多大呢？6182.哪些人应该参与风险评估活动？6183.风险评估和风险量化有什么关系？在风险评估过程中应当进行风险量化吗？6184.使用定性信息评估风险有用吗？61启动—奠定基础启动—奠定基础85.起步阶段的最佳措施是什么？6286．企业风险管理是否等同于一个新的“项目”？6487．实施企业风险管理的第一年，企业是否一定要完成某些特定指标？6488．谁负责牵头实施企业风险管理？6489．谁负责企业风险管理的实施？6490．如何获取核心管理层对项目的支持？6591．如何获得业务经理的支持？6592．能否借用现有结构从而减少成本？6793．实施企业风险管理需具备何种技能？6794．需要专门地给企业风险管理行动定名吗？也就是说，如果换个叫法，企业风险管理难道就不再有效了吗？6795．为了成功地发展和推广企业风险管理程序和体系，一般来说，公司是新增专职人员呢？还是沿用已兼职/全职从事这项工作的现有员工呢？6896．管理层要采取哪些步骤来奠定基础？6897、管理层怎样选定合适的基础能力？6998、为什么需要有共同语言？请举例说明6999、有流程分类图表的例子吗？69100、如何改善有关风险、风险根源、动因及来源等问题的对话？69101、如何促进风险管理知识共享？70102、提高组织的风险意识或者敏感度意味着什么？71v目录目录页码从流程的角度出发—建立能力从流程的角度出发—建立能力103.管理层应采取哪些步骤来培养风险管理能力？72104.管理层如何选定合适的风险管理能力？74105.管理层如何改善企业的风险评估？74106.目标设定、事件识别和风险评估这三者间有什么关联？74107.风险评估对企业风险管理工作有多重要？74108.有哪些替代的风险应对措施可以选用？74109.在评估风险应对替代措施时，管理层应考虑哪些因素？78110.风险管理基础设施有哪些要素？它们为什么很重要？应当如何考虑它们？82111.有没有模型能帮助我们确立企业风险管理的重点和监督改善风险管理能力的进程？83112.还有度量风险的其他技术方法吗？什么时候使用这些技术方法？92113.企业风险管理会对管理报告工作有什么影响？95114.目前有哪些风险管理软件产品能协助公司实施企业风险管理？96115.企业风险管理软件市场是否已臻成熟，有了稳定的解决方案和明确的市场领导者？96116.我们应当根据什么标准来评价各种软件？它们在功能性优先次序上有什么不同？97117.相对于集合规、治理和风险管理于一体的综合平台而言，企业风险管理专用软件更适宜吗？99118.软件功能给企业风险管理目标提供哪些支持？99119.成功的企业风险管理软件供应商主要有哪几种，它们有什么特点？100120.设计企业风险管理流程与选择企业风险管理软件，应该孰先孰后？101121.什么是演示屏或计分卡报告？在企业风险管理环境中如何使用它们？101122.对金融服务机构而言，如要采纳企业风险管理，是否必须首先要采用经济资本测量法？104123.如何在风险管理上进行持续改进？104124.企业风险管理同“质量计划行动”(如六西格玛、精益生产和全面质量管理等)之间有哪些协同作用，又有哪些区别？106步入下一个阶段—增强能力步入下一个阶段—增强能力125.管理层需采用哪些步骤来提高风险管理能力？107126.管理层怎样选定合适的改良能力？108127.什么是风险组合观？在实际中怎样运用它？108128.管理层怎样量化全企业风险？109vi目录目录页码129.管理层如何通过企业风险管理来提高经营绩效？112130.应当如何整合企业风险管理方法和战略规划流程？115131.首次全企业风险评估和战略计划过程建设之间有先后关系吗？116132.在企业风险管理、《萨班斯-奥克斯利法案》合规行动、经营连续性规划、内部审计、各种有关所在地、环境和其他规定的合规活动中，企业都要进行风险评估。我们能不能成功地把这些风险评估合并到一起？116133.管理层如何通过企业风险管理建立可持续的竞争优势？116建立一个具参考价值的实践模型建立一个具参考价值的实践模型134.如何建立一个企业风险管理实践模型？118135.如何根据企业风险管理解决方案选择合适的能力？119136.当评价企业风险管理执行的成效和影响时，关键成功因素或成功度量指标有哪些？例如，我们怎么才能知道某种企业风险管理方法是否有效呢？121企业风险管理的最终实现企业风险管理的最终实现137.什么是“旅程”管理？为什么它与企业风险管理实施相关？123138.什么是规划管理？为什么它与企业风险管理实施活动密切相关？125139.如何定性和定量地评价实施企业风险管理能够为改进绩效带来的益处？127140.如何管理企业风险管理实施工作？128141.如何知道工作已经完成了？128142.鉴于很多事情都在进行，让人应接不暇，怎么可能还会有空闲用于企业风险管理这类事情呢？128143.公司应采用什么标准评价自己的企业风险管理方法？128144.实施企业风险管理方法时需要避开的陷阱有哪些？128企业风险管理与《萨班斯-奥克斯利法案》合规工作的关联性企业风险管理与《萨班斯-奥克斯利法案》合规工作的关联性145.《萨班斯-奥克斯利法案》要求公司实施企业风险管理吗？其他法律法规要求使用企业风险管理吗？130146.企业风险管理能帮助核证官员进行《萨班斯-奥克斯利法案》《302条款》认证，和履行《404条款》评估职责吗？130147.企业风险管理与《萨班斯-奥克斯利法