2017版COSO-ERM解读

2017版COSO-ERM解读2017版COSO-ERM解读PAGE2017版COSO-ERM解读2017版COSO-ERM解读2017版COSO-ERM的必要性新版框架的主要变化解读新版框架要素和原则解读新版框架对企业风险管理发展的启示PAGE38董事会对企业风险管理能力和实践寄予厚望利益相关者有意提高信息透明度并明确责任追究制度企业环境愈加复杂化，逐渐趋于技术化和全球化从近来发生的事件中吸取经验教训深有必要，且相关舆论也一直在发酵风险专业人士希望以较前沿的方式来陈述企业风险管理理念企业风险管理实践范围不断扩大新ERM框架主要变化建立全新的框架结构改进风险及风险管理的定义将风险管理提升到战略层次展示风险管理对绩效目标设定和实现的作用风险管理应涵盖企业各个层面的风险【全层面】风险管理融入到所有业务流程中【全流程】明确将企业风险管理纳入决策流程【由事后决策-事前决策、事中决策】实现风险管理对价值创造的作用◼新版COSO-ERM框架，建立了全新的框架结构，从2004版的8要素立方体框架，发展成为贯穿企业价值创造全过程的5要素20项原则。运行引入企业价值创造模型建立贯穿企业价值创造过程的五大要素订立20项支持性原则，共同阐述企业风险管理框架。新版框架强调了风险带来影响的双面性。组织关注的风险通常是那些会产生负面结果的。风险也可能产生正面的结果，例如：天气状况比预报的要好，更高的员工留职率或者更优的税率等，这些也应当考虑在内。新版框架明确了目标的范围，包括战略和绩效目标，风险既有可能对经营层面产生影响，也有可能对战略层面产生影响。2017版框架对风险的定义事项发生并影响战略和绩效目标实现的可能性。事项发生并给目标实现带来负面影响的可能性。2004版框架对风险的定义风险管理定义—>“…文化、能力和实践”将风险管理工作直接从“一个流程或程序”提升到“一种文化、能力和实践”，用以实现组织创造、保持和实现价值。将ERM框架从一个“控制框架”发展为“管理框架”。组织在创造、保持和实现价值的过程中，结合战略制定和执行，赖以进行管理风险的文化、能力和实践。2017版框架对“企业风险管理”的定义2004版框架对“企业风险管理”的定义企业风险管理是一个过程，它由主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，在风险容量的范围内管理风险，为主体目标的实现提供合理保证。新版框架从下面三个方面提升和扩展了风险管理对企业战略层面的作用：战略与企业使命、愿景和核心价值不一致的可能性；战略选择对风险的影响战略和绩效执行中所面临的风险战略、业务目标和绩效绩效提升战略与绩效所面临的风险在建立风险偏好时，企业应考虑设定的风险偏好对企业绩效目标设定的限定作用；◼新框架解释了风险和绩效之间的关系，风险管理成为设定绩效目标、实现绩效的一部分。同时强调了风险评估和风险报告不是用来生成一堆潜在风险清单，而是反映这些风险如何影响企业应通过风险识别与评估工作，了解在不同假设条件下，影响绩效实现的风险状况，建立风险曲线；战略和绩效目标实现。在设定绩效目标时，企业应明确绩效目标以及在可接受的绩效波动范围内，企业所承担的风险不应高于风险偏好；企业提升风险管理能力，相当于同等风险偏好下，实际可接受风险量的提升，也导致绩效目标设定范围的扩大。通过对比企业承担的风险量和风险偏好的差距还可以协助组织更好的识别和发现发展机遇。，新版框架中强调了企业风险管理工作融入到企业的所有业务流程中去。研究调查表明，企业常用与其日常管理活动相分离的独立 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 来应对风险。风险管理被视为一项额外活动，由与业务项独立的人员负责执行。风险管理与业务管理的分离，导致缺乏对风险进行深入分析的能力，最终削弱风险管理能提供的价值。从战略目标的设定，到绩效目标的形成，再到执行过程中完成绩效的情况，企业风险管理工作不是额外、独立的工作。企业风险管理的角色是融入企业运营，管理绩效完成过程中的风险并最终实现企业对价值的追求。风险假设风险状况风险偏好基于风险的决策商业环境文化战略企业核心价值链上的每一个阶段都会面临大量的决策，以实现创造、保持和实现价值。这些决策通常都是围绕战略目标选择、商业和绩效目标设定，以及资源分配进行的。只有将风险管理工作整合融入到企业全寿命周期的各个决策环节，才能提供决策所需要的风险相关信息。新框架按步骤的分析了如何将发现和识别的风险状况信息用于提升整体决策水平。这些信息包括风险类型和严重程度，风险如何影响商业环境，识别和评估风险的基础假设，企业的风险文化和风险偏好等。◼风险管理为企业的各项经营管理决策提供有效的信息支持，在企业价值创造的各个环节发挥使命、愿景和核心价值战略制定业务目标构建实施与绩效价值提升支持和促进作用。保证使命、愿景和核心价值在战略制定和实施中落实。评估和分析企业可选战略中的风险状况以及风险影，。发现新的战略机遇。支持企业在可接受风险水平下合理设定业务目标。识别可能影响绩效目标实现的风险并有效应对，发现和改进绩效偏差。实现风险管理在企业价值发现、定义、传递过程中的作用。企业风险管理治理与文化战略与目标设定运行审阅与修正信息沟通与报告使命、愿景和核心价值战略制定业务目标构建实施与绩效价值提升实现董事会对风险的监督建立治理和运作模式定义期望的企业文化展现对核心价值的承诺吸纳培养并留存优秀人才分析业务环境定义风险偏好评估可供选择的战略形成业务目标识别风险评估风险严重程度区分风险的优先次序执行风险应对 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 建立风险组合观评估重大变动审阅风险和绩效持续改进企业风险管理充分利用信息和技术沟通风险信息对风险、文化和绩效进行报告治理与文化原则实现董事会对风险的监督建立治理和运作模式定义期望的企业文化展现对核心价值的承诺吸纳培养并留存优秀人才“治理”确定企业的基调，强化企业风险管理的重要性，并确立企业风险管理的监督职责。“文化”传递企业的价值观，定义企业的行为准则，体现对风险的理解，并作用于企业经营管理和决策过程中。治理与文化为企业风险管理其他四大要素提供了基础。治理与文化对企业和风险管理的重要性治理与文化实现董事会对风险的监督建立治理和运作模式定义期望的企业文化展现对核心价值的承诺吸纳培养并留存优秀人才1.实现董事会对风险的监督董事会对企业的风险监督负有首要责任。确认董事会和管理层对风险治理的责任分配。一般来说，董事会成员具有丰富的行业经验和技能，且独立于管理层，这使得他们能提供风险治理的整体战略和独立视角。将风险管理的日常责任交给管理层或者特定的委员会，如风险管理委员会。治理与文化实现董事会对风险的监督建立治理和运营模式定义期望的企业文化展现对核心价值的承诺吸纳培养并留存优秀人才2.建立治理和运营模式组织应该建立完整的治理结构、运营模式和汇报体系，明确组织内部的职责分配。基于治理和运营模式，管理层结合企业的使命、愿景和核心价值来 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 、组织并执行企业战略。管理层通过授权给特定机构的形式来掌握、管理相关风险，需要不同机构之间明确权责的分配，并共享对风险的理解。而随着组织的发展，运营模式和授权报告体系也需要做出相应调整。治理与文化实现董事会对风险的监督建立治理和运营模式定义期望的企业文化展现对核心价值的承诺吸纳培养并留存优秀人才3.定义期望的企业文化董事会和管理层通过定义期望的企业文化，将组织核心价值和对风险的态度具体化。建立一个所有员工都接受的企业文化对于企业抓住机遇、规避风险来说至关重要。理想的企业文化应充分体现风险意识，包括：英明果断的领导力、当仁不让的管理风格、对行动和行动结果认真负责的态度、决策过程中对风险的明确考量，以及积极开放的风险对话。风险意识文化可以确保风险管理被纳入日常业务管理中。治理与文化实现董事会对风险的监督建立治理和运营模式定义期望的企业文化展现对核心价值的承诺吸纳培养并留存优秀人才4.展现对核心价值的承诺董事会和管理层共同建立组织基调，并渗透至企业各个层面。管理层在日常工作中不断解读、强调和践行企业核心价值。制定员工行为准则，将员工个体的行为和组织价值结合起来。建立行为准则的评价机制和方法，任何偏离这些准则的行为都必须予以及时处理。治理与文化实现董事会对风险的监督建立治理和运营模式定义期望的企业文化展现对核心价值的承诺吸纳培养并留存优秀人才吸纳培养并留存优秀人才组织应致力于建立符合战略和业务目标的人力资本。管理层必须界定执行战略所必需的知识、技能和经验。组织需要建立在各个层级评价工作能力的机制。董事会评价管理层的能力，管理层评价各个业务单元或者职能部门的能力。管理层通过在不同层面建立人力资源管理体系来吸引、 培训 焊锡培训资料ppt免费下载焊接培训教程 ppt 下载特设培训下载班长管理培训下载培训时间表下载 、指导人才，评价和留住人才。战略与目标设定原则分析业务环境定义风险偏好评估可供选择的战略形成业务目标明确战略制定流程需整体考虑的三个维度，将有关战略的讨论及企业风险管理与战略的结合提升至一个新层次。“战略执行风险”，战略执行过程中的风险；“战略可能会不符合”企业的使命、愿景和核心价值；“所选战略的影响”，每个可能的战略都有其自身的风险特征，企业需要考虑战略是否与企业的风险偏好一致，以及它会如何推动企业制定目标，并最终对资源做出有效分配。从多维度关注战略制定战略与目标设定分析业务环境定义风险偏好评估可供选择的战略形成业务目标6.分析业务环境组织应考虑业务环境对风险图谱的潜在影响。透过内部和外部的环境来审视业务环境。外部环境包括政治、经济、社会、科技、法律和环境等方面，内部环境包括资本、人力、流程和技术等方面。考虑内外部利益相关方的角色，因为他们可能会给内外部环境带来重大改变。管理层必须考虑业务环境变化所产生的风险，并在执行战略和实现业务目标的过程中予以灵活应对。战略与目标设定分析业务环境定义风险偏好评估可供选择的战略形成业务目标7.定义风险偏好组织在创造、保存和实现价值的过程中定义风险偏好。制定战略要考虑风险偏好声明，管理层要做好有关沟通，董事会需全力支持，并且要整合至整个企业。风险偏好受到企业使命、愿景和核心价值观的影响，亦需考虑企业的风险特征、风险容量、风险能力和成熟度、文化，以及业务环境。负责确定风险偏好的董事会和管理层必须完全了解不同风险偏好所代表的取舍和利害关系。对于一些组织来说，“风险激进”或“低风险厌恶”已经足够区分，对于另外一些组织来说，风险偏好必须是可以量化的。战略与目标设定分析业务环境定义风险偏好评估可供选择的战略形成业务目标8.评估可供选择的战略企业在对各种战略选项进行评估时，应充分识别可能影响战略实现的相关风险要素。董事会和管理层必须明确不同战略选择所带来的风险影响，将战略和风险偏好结合在一起考虑，并依据不同情况和阶段调整战略。如果战略获得通过，那么可能影响战略实现的相关风险要素也必须得到识别和长期监控。战略与目标设定分析业务环境定义风险偏好评估可供选择的战略形成业务目标形成业务目标在企业的各个层面制定与战略相符并为战略提供支持的业务目标。这些目标应当与企业的风险偏好保持一致。业务目标可以为财务表现、客户满意度、卓越运营、合规、效率提升或者领先行业的创新等等。针对各项业务目标界定可接受的绩效偏差（风险容忍度），即：与实现某项特定业务目标相关的可接受的结果范围。可接受的绩效偏差把风险偏好与特定的业务目标绑定在一起，并且提供用来识别影响这些目标实现的相关风险的度量指标。运行原则识别风险评估风险严重程度区分风险的优先次序执行风险应对方案建立风险组合观企业需要识别和评估可能会影响战略和绩效目标实现的风险。结合企业的风险偏好，对风险按照其严重程度排列优先次序。选择风险应对的方法并对绩效进行监控以做出调整。在风险评估与应对过程中应用风险组合观念。牢牢把握风险绩效识别风险评估风险严重程度区分风险的优先次序执行风险应对方案建立风险组合观10.识别风险组织识别执行过程中影响业务目标实现的风险。风险识别的方法包括专题研讨会、访谈、流程分析、关键风险指标和数据追踪等。企业识别新风险和新兴风险，以及与战略执行和实现业务目标有关的已知风险所发生的变化。风险识别流程应当考虑源于业务环境变化的风险，以及已经存在但尚不可知的风险。风险和机遇并存，识别风险的过程也是识别机遇的过程。绩效识别风险评估风险严重程度区分风险的优先次序执行风险应对方案建立风险组合观11.评估风险严重程度根据预期的风险严重程度分别采用定性和定量的评估方法。当风险不适合量化，或大量数据的收集工作不切实际，或不够经济有效时，可以使用定性的评估方法。管理层可以利用情景分析来评估可能会产生极端影响的风险，或者采用模拟法来评估多个事件的组合影响。高频率低影响的风险更适合利用数据分析或内部信息，以及小组讨论和会谈等方式来确定风险的严重程度。对于更容易量化，或者对细节或精确度有特别要求的情况，则可以选择可能性建模法。绩效识别风险评估风险严重程度区分风险的优先次序执行风险应对方案建立风险组合观12.区分风险的优先次序组织结合风险偏好，选定对风险排分优先等级的标准，然后对所有识别的风险进行排分。采用恰当的标准来划分风险优先级是企业筛选风险应对方案的基础。风险标准可以包括适应性、复杂性、速度、持久性和恢复程度。此外，对于接近企业既定业务目标可接受绩效偏差或风险偏好边缘的风险，一般会给予较高优先级。绩效识别风险评估风险严重程度区分风险的优先次序执行风险应对方案建立风险组合观13.执行风险应对方案对于已识别的风险，管理层会选择和部署合适的风险应对方案。风险应对方案可以包括：接受风险、规避风险、利用风险、降低风险以及共担风险。在选择应对方案时，管理层会考虑诸如业务环境、成本和效益、责任和预期、风险的优先级和严重程度，以及企业的风险偏好等因素。定期评估风险应对方案的有效性，一般由风险管理人员以及保证人员来担任。管理层和董事会在履行其治理和监督职责时，必须及时获悉就企业关键风险所开展的风险应对方案的评估结果。绩效识别风险评估风险严重程度区分风险的优先次序执行风险应对方案建立风险组合观建立风险组合观企业风险管理需要企业从整体或组合的角度来考虑风险。管理层和董事会应将企业所面临影响相关业务目标的风险作为整体去考虑，综合考虑风险的性质、发生可能性、相对大小、彼此相互依存的关系，以及它们会如何影响绩效。通过组合观，企业可以识别出重大的风险，并确定其剩余风险特征是否与企业的总体风险偏好一致。审阅与修正原则评估重大变动审阅风险和绩效持续改进企业风险管理第五个也是最后一个要素关注的是企业应如何对风险管理绩效，以及企业风险管理职能各大要素的长期有效性进行监控，尤其是在发生重大变更的情况下。有效的监控流程使企业领导得以深入了解风险和绩效之间的关系，以及战略风险会如何影响绩效，并且识别与实现战略有关的新兴风险。通过监控ERM的效果，组织可以判断ERM的各组成部分的长期运作是否良好并获知有哪些实质性的变化。监控风险变化和风险绩效审阅与修正评估重大变动审阅风险和绩效持续改进企业风险管理15.评估重大变动组织识别和评估可能对战略和业务目标的达成造成实质性影响的内部和外部变化。造成这些实质性影响的变化可能来自内部的原因，例如快速成长、新技术或者管理层及其他人事变动；可能来自外部环境，例如法规和经济环境的变化；还可能来自组织文化方面，例如并购和重组带来的文化冲击。审阅与修正评估重大变动审阅风险和绩效持续改进企业风险管理16.审阅风险和绩效审阅企业绩效目标实施结果；审阅绩效目标实施过程中风险因素行程的影响；评估风险管理的绩效水平。审阅与修正评估重大变动审阅风险和绩效持续改进企业风险管理持续改进企业风险管理与其他任何流程一样，企业风险管理也需要不断予以优化。即使是实施了成熟的企业风险管理流程的企业亦可以通过持续优化来获得事半功倍的价值贡献。在企业风险管理整合至整个企业后，嵌入的持续评估便可以自动识别改进机会。单独的评估活动（例如由内部审计开展的）亦可提供机会优化企业风险管理流程。信息沟通与报告原则充分利用信息和技术沟通风险信息对风险、文化和绩效进行报告信息沟通是在企业中不断迭代地取得并分享信息的过程。利用从内部和外部取得的有效信息来支持企业风险管理工作。用于决策的信息必须能够在整个企业得到全方位的沟通和传达。企业利用信息系统来收集、处理和管理数据和信息。通过利用应用于所有组成部分的信息，组织就风险、文化和绩效做出报告。实现风险信息和报告的价值最大化信息沟通与报告充分利用信息和技术沟通风险信息对风险、文化和绩效进行报告18.充分利用信息和技术企业应充分收集、挖掘和利用支持企业风险管理的信息，包括外部信息和内部信息。有关信息越充分，企业风险决策的有效性就越高，而企业成功实施战略、实现业务目标和建立可持续竞争优势的可能性也就越高。由人员、数据和技术组成的信息系统能够为企业提供支持企业风险管理所需要的数据和信息。如何选择支撑企业信息系统的技术和工具，对执行战略和实现业务目标至关重要。影响技术选择和实施的因素包括：企业目标、市场需求、竞争要求，以及相关成本与效益。信息沟通与报告充分利用信息和技术沟通风险信息对风险、文化和绩效进行报告19.沟通风险信息企业应实施多层次、跨企业的风险报告机制，可以通过不同的渠道向内外部利益相关方沟通风险数据和信息。这些渠道使管理层在董事会的监督下能够做出更加知情的决策，从而推动战略的实施和既定业务目标的实现。沟通的对象既包括内部的员工，也包括董事会、股东及其他外部的利益相关者。沟通方式可以是电子信息、外部/第三方材料、非正式/口头、公共活动、培训和研讨会，以及内部文件等。信息沟通与报告充分利用信息和技术沟通风险信息对风险、文化和绩效进行报告20.对风险、文化和绩效进行报告风险汇报所涵盖的信息不仅可以支持或改善决策流程，亦可以促使董事会及其他管理人员履行其风险监督职责。有关风险、文化和绩效的报告类型林林总总。这些包含定量和定性风险信息的报告视乎企业的规模、范围、级别和复杂程度均有不同的呈现形式，既可以简单明了也可以颇为复杂。风险信息可以专注于企业的某个特定领域或分部，抑或某一类风险或风险组别。风险报告也可以根据需要为企业的不同层级编制，以为企业决策流程提供支持。不过，管理层在使用报告数据和信息以及进行关键决策时依然要运用自身的专业判断。