企业风险管理整合框架实现路径

企业风险管理整合框架实现路径内容摘要：

和背景下，制定战略目标、选择战略，并制定相关目标，将其细分至企业的方方面面，与战略保持一致并相联系。 企业必须先有目标，管理者才能识别影响它们实现的潜在事项。 企业风险管理确保管理当局采取恰当的程序去设定目标，确保所设定的目标支持和切合该企业的使命，并与它的风险容量或风险容限一致 . 事件识别。 管理当局必须识别可能对企业产生影响的潜在事项。 潜在事项具 有负面的或正面的影响，或两者兼而有之。 具有潜在负面影响的代表风险，管理者要对之进行评估和做出反应。 相应地，风险被定义为事项发生并对目标实现产生不利影响的可能性。 具有潜在正面影响的事项代表机会。 代表机会的事项引导管理者制定战略和相关目标，以便采取行动抓住机会 . 风险评估。 风险评估使企业考虑潜在事项如何影响目标的实现。 管理当局应从两个角度对事项进行评估：可能性和影响，并且通常采用定性和定量相结合的方法。 在不要求定量化的地方，或者在定量评估所需的可靠数据无法取得或获取和分析数据不具有成本效益时，管理者通常采 用定性评估技术。 定量技术精确度更高，通常应用在更加复杂的活动中，以对定性技术进行补充。 评估风险时既要考虑固有风险，也要考虑剩余风险。 固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下，一个企业所面临的风险。 剩余风险是在管理当局应对风险后所残余的风险 . 风险应对。 在评估相关风险以后，管理者就要确定如何应对风险。 风险应对有四种类型：回避，即退出会产生风险的活动；降低，即采取措施降低风险的可能性或影响，或者同时降低二者；分担，即通过转移的方式来降低风险的可能性或影响，或者分担一部分风险，如购买保险产品、外包一项业务活动；承受，即不采取任何措施去改变风险的可能性或影响 . 控制活动。 控制活动是帮助管理当局实施风险应对方案的政策和程序。 控制活动贯穿于整个组织，遍及各个层级和各个职能机构 . 它们包括一系列不同的活动，例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。 控制活动一般包括两个要素：确定应该做什么样的政策，以及如何执行政策的程序 . 此外，由于信息系统在企业经营和报告及合规目标方面具有重要影响，因此需要对重要的系统进行控制。 对重要的信息系统的控制主要有两类活动：一般控制和 应用控制 . 信息与沟通。 组织中的各个层级都需要信息，以识别、评估和应对风险。 信息可以来自内部，也可以来自外部；可以以定量的形式出现，也可以以定性的形式出现。 可以是财务的，也可以是非财务的。 管理者面临的一项挑战便是处理和提炼大量的数据以形成可参考的信息。 这项挑战可以通过建立一套信息系统来解决；另一项挑战是信息的质量问题，例如内容是否恰当、信息是否及时、是否准确等。 这可以通过建立整个企业范围的数据管理程序（包括对。