精品人妻伦一二三区久久-精品一区二区三区在线观看视频-久久精品AⅤ无码中文字字幕重口-欧美成人在线视频

一拿到由方紅星、王宏翻譯的《coso企業風險管理-整合框架》這本書，心里竟然有一種莫名的激動和喜悅涌了上來。對于coso的內控框架等相關知識來講，與我可真是老朋友了??！遙想2001年考取國際注冊內審師資格的時候，coso的內控框架就已經是最核心的學習內容之一。當成功通過考試，成為一名光榮的cia之后，對相關的知識書籍更曾多次的翻閱細讀。 如今重讀，舊夢重溫，恍如隔夢，想起那些個復習備考的日子里的青春的執著和揮灑的汗水。那么就沿著無數的大師曾走過的足跡，再次認真的系統的學習這一本《企業風險管理—整個框架》吧。
1992年coso發布《內部控制-整合框架》成為世界通用的內部控制標準和框架；2001年12月美國最大能源公司-安然公司破產丑聞以及2002年6月世界通信會計丑聞等事件催生了《薩班斯-奧克斯利法案》，而也就是在這個階段企業的內部控制及風險管理引起了越來越多的企業管理者以及投資者、監管者的重視。對此，coso于2001年啟動調研，2003年發布《企業風險管理-整合框架》意見稿，并于2004年9月發布的最終稿。這個框架闡釋了企業風險管理理論的精髓，給所有企業列出了企業風險管理的內容、框架和基本原則。
根據該框架，企業風險管理是指“一個由企業董事會、管理當局和其他人員實施的過程，應用于戰略制訂并貫穿于企業之中，旨在識別那些可能影響企業運作的潛在事件，并將其控制在企業的可接受范圍之內，從而幫助企業達成目標?！边@個定義重點強調了企業風險管理的幾個概念：（1）這是一個持續性的過程；（2）貫穿企業各個層面、單元以及各個人員，強調全員和全流程，全過程；（3）與企業戰略制訂有關，因此要給予足夠高的重視；（4）關注潛在事項及其對經營主體的影響；（5）只能提供合理保證（不能提供絕對保證，這是很多企業不予重視的原因之一）；（6）企業風險管理能夠實現一個或多個單一或交叉的目標。企業風險管理框架的要素包括8個：內部環境、目標設定、事項確認（識別）、風險評估、風險應對、控制活動、信息與溝通、監督；而其目標包括4個類型，具體包括：戰略目標、經營目標、報告目標、合規目標。值得注意的是企業風險管理框架涵蓋了內部控制框架的內容，這是必須的，因為內部控制是企業風險管理不可分割的一部分。在具體把握各個要素以及目標及其之間的關系之前，應該再次強調：風險管理框架及其包含的原則、工具、方法不是不能保證規避風險，風險管理的有效性涉及多個方面的因素，比如人員主觀性的判斷、人員能力高低、人員間串通，以及高層的支持等因素都影響風險管理的最終效果，即影響企業風險管理目標的達成。
第一個要素：內部環境
內部環境是全面風險管理其它構成要素的基礎，為其他要素提供了必要的約束和結構，影響戰略及目標的制定，經營活動之組織，企業內外部風險之識別、評估和要采取的行動，進而影響企業的控制活動、信息和溝通系統、監督活動的設計和職能的發揮。內部環境本身由眾多要素組成，包括企業的價值觀、管理當局經營風格、權利與責任的分配和員工的發展和任職能力；這些要素為其他風險管理要素的效力發揮提供了一個必要的基調或者基礎，包括誠信、道德價值觀和勝任能力——誠信是一個主體所有活動所有方面的道德行為的先決條件，它和道德價值觀是內部環境的關鍵要素，影響其他要素的設計、管理和監控。董事會是內部環境中的關鍵因素，他們的獨立性、經驗及才干以及參與或審察的程度不僅提供合理的建議、忠告和指導，而且要對管理當局進行監督和制衡；而管理當局的態度和經營風格會影響到企業的風險偏好。
第二個要素：目標確定
目標是事件識別、風險評估和風險應對的前提。如上圖所示，企業風險管理的目標分為四個方面，主要包括戰略目標（長期）、經營目標（短期）、報告目標（有效）和合規目標（法律法規遵循）的設定。其中，長期戰略目標與高層目標相關，與企業任務和愿景一致并為后者提供支持。對于任何主體而言，制訂支持選定的戰略并與之協調的正確目標是成功的關鍵，而這些相關的目標分為經營、報告和合規三類；只有確定這些層次的目標后，才能識別出關鍵成功要素及其量化的計量標準。短期經營目標與企業經營的效率性和效果性相關，包括業績、盈利目標以及保障資源不受損失；有效的報告目標與企業報告的真實準確性、可靠性相關，包括對內和對外報告，也包括財務或非財務信息；法律法規遵循目標則與企業遵守使用的法律和法規相關，這些法律有不同行業通行的法律法規也有主體所在行業特有的法律規定。
必須認識到的是，達成戰略的相關目標中，報告和合規目標的達成與戰略目標短時間內可能不是正向促進的關系而是反向牽制或制約的關系——為了達成短期的經營目標，可能舍棄報告或合規上的部分目標。這就涉及到風險容量和風險容限問題。有時為了實現支付機構報告和合規上的目標，其他投入可能短期遠遠大于其產出或者為了一個合規目標，一個創業可能暫時不能予以實施。此時，這些報告和合規目標相關的風險怎么處理就是變成現實的問題。
第三個要素：事項識別
管理當局識別對主體產生影響的潛在事項，包括外部和內部因素，即確定潛在事項是機會還是風險；如果是機會，應將其反饋到戰略和目標設定之中，而如果是風險則應該予以評估和應對。這些事項是來自于內部或外部的影響實施戰略和目標實現的事故或事件，其驅動因素可能來自很多方面，比如外部的經濟因素（價格、資本等）、自然環境、政治、技術、社會等因素，以及內部的基礎結構、人員、流程、技術等。企業應該采取各種方式，比如互動研討、統計數據、追蹤技術、內部分析、預警觸發等。為了更好的管理事項以及其背后的風險及其應對，應該考慮事項之間的關聯關系，事項的類別劃分（包括正負向劃分以及不同屬性類別上的劃分）。
第四個要素：風險評估
在設定目標，發現事項之后，必須進行適當的風險評估。評估風險對企業實現目標的影響程度或風險價值等，有定性與定量兩種方法——定性方法包括問卷調查、集體討論、專家咨詢、政策分析、行業標桿比較、管理層訪談和調查研究等，而定量方法包括統計推論(如集中趨勢法)、計算機模擬(如蒙特卡羅分析法)、失效模式與影響分析、事件樹分析等。根據coso的建議，定性和定量的方法相結合是最佳選擇。
對潛在事項的評估包括兩個方面：可能性（發生的概率）和影響（后果）。這種評估往往充滿困難，甚至挑戰。評估的信息來源以及評估人員本身風險偏好都影響評估的結果。例如，通過歷史數據分析得知，在全國各個省份中，廣東注冊的會員參與網絡賭博的概率最大。這在這種歷史統計信息及結論之下，一旦碰到一個廣東的會員，對其風險評估的級別就自然會比其他低風險低于的會員要高一個級別，并對其日常交易情況就要提高一個警覺的程度。
第五個要素：風險應對
風險應對要求管理當局在風險容忍度和成本-收益原則下確定風險應對方案并考慮其對事項的可能性和效果的影響，然后設計、確定和實施選擇的應對方案。風險應對措施通常包括回避、降低、分擔和承擔四種。另外，在風險應對的過程中，還應該有組合的觀念——一個不同風險組合應對之后，其應對管理成本可能會下降，也可能因為組合而積聚上升變得更加重要，這就如同合力效應。
第六個要素：控制活動
控制活動通常包含兩個要素:確定應做什么的政策和有效地實施政策的程序，也可以分為預防性控制、檢查性控制、糾正性控制和補償性控制等類型。控制活動貫穿在組織的各個層級和各個職能部門，包括一系列不同的活動，比如批準、授權、驗證、調節、評價、評估、職責分離等等。
第七個要素：信息與溝通
信息與溝通要素提倡企業必須有效識別、收集來源于企業內部和外部的定性或定量的經營信息，并以適當的方式與相關利益者進行有效溝通。信息的來源無論是內部，還是外部都有正式渠道，也有非正式渠道，有直接渠道也有間接渠道。比如，商戶的風險高低在于獲得商戶的信息多少、來源及其可靠性——有直接與商戶面談或問卷調查得到信息，也可能有通過新聞媒體、網絡平臺、監管機構等方面獲得的有關商戶的信息。另外，現在信息化時代下，內部不同平臺之間的信息共享程度，以及內部系統與外部系統（供應商或客戶）的集成度和信息分享程度都在日益上升。這給信息、溝通的及時性、效率得到改善，而同時信息的深度、及時性、可靠性對于信息分析決策都變得日益重要。同信息的來源分為內部和外部一樣，信息的溝通也分為內部和外部溝通。信息的內部溝通是為了更高的事項企業的戰略、經營、報告和合規方面的目標，內部溝通包括橫向的溝通和縱向的溝通；橫向的溝通有利于風險的應對和控制活動的協調開展，縱向信息的及時溝通便于決策及其措施的快速確定和傳達。信息的外部溝通主要集中在企業主體與外部利益相關者之間的溝通，比如供應商、客戶、監管機構、投資者等等。
第八個要素：監督
監督是一個對風險要素當前功能及其業績質量進行評估的過程。通常監督通過兩種方法進行：通過持續的活動或個別評價。持續監控建立在企業日常重復發生的業務活動和風險管理活動之上，而個別評價則是在事后進行的，可以作為對持續監控的補充。專門的評價通常要確定評價的范圍、頻率、目的，并關注評價過程、方法和報告形成評價的信息傳遞機制和分享機制。實務處理中，這兩種方法是結合進行的。
后記
上述8個要素有著層次關系，實際操作中是否有必然的先后關系？如果有，這是一個誤解。在企業的實際風險管理中，上述要素之間是融為一體的，沒有絕對的先后關系，是彼此互相又有著影響，并最終影響風險管理目標的達成。因此，企業風險管理實施過程中，分要素分先后步驟予以實施。另外，需要認清的誤解是，企業風險管理可以給企業達成目標提供絕對保證。這個前提下可能導致過度的依賴或者失敗之后的完全忽視。企業風險管理只能為達成目標提供合理的保障，而且是合理的過程性的持續性的合理保障。