中天华溥：内控-风险-合规一体化建立100问（44-55）

中天华溥：内控-风险-合规一体化建立100问（44-55）

44.风险治理系统成立的布景是什么？

2004年，美国的COSO委员会（全美反舞弊性财政陈述委员会倡议组织）提出了《企业风险治理—整体框架》，此中明白规定：“企业风险治理是一个过程，受企业董事会、治理层和其他员工的影响，包罗内部掌握及其在战术和整个公司的利用，旨在为实现运营的效率和效果、财政陈述的可靠性以及现行律例的遵照供给合理包管。”同时，该《框架》将风险治理的要素分为八个方面：内部情况、目标造定、事务识别、风险评估、风险反响、掌握活动、信息与沟通、监视。

2006年6月，国务院国有资产监视治理委员会印发《中心企业全面风险治理指引》（国资发变革[2006]108号）明白规定：“企业风险是指将来的不确定性对企业实现其运营目标的影响。企业风险一般可分为战术风险、财政风险、市场风险、运营风险、法令风险等；也能够能否为企业带来盈利等时机为标记，将风险分为地道风险(只要带来缺失一种可能性)和时机风险(带来缺失和盈利的可能性并存)。”

同时，该《指引》明白规定：“全面风险治理是指企业围绕总体运营目标，通过在企业治理的各个环节和运营过程中施行风险治理的根本流程，培育提拔优良的风险治理文化，成立健全全面风险治理系统，包罗风险治理战略、风险理财办法、风险治理的组织本能机能系统、风险治理信息系统和内部掌握系统，从而为实现风险治理的总体目标供给合理包管的过程和办法。”并从风险信息、风险评估、治理战略、处理计划、监视与改进、组织系统、信息系统、风险文化等方面停止了标准和要求。

45.风险治理的内涵包罗哪些？

在内容上，风险治理具有全面性和总体性的特征。全面性表现在一方面风险治理是一种继续性行为，贯串于企业运营治理全过程，对各项营业治理、环节、流程等全面风险掌握，对企业表里部风险全面把控，对汗青、如今及将来全生命周期的风险阐发揣测等；另一方面风险治理自己的全流程性，从组织、轨制、法式、办法、系统、文化，到成立、评估、施行、处理、处置、监视、评判、改进等全方位的治理系统和系统，识别企业所面对的各类风险。总体性表现在围绕企业总体运营目标和战术开展，存眷的是企业整体风险，整体宏看上实现运营治理战术目标。

在设置上，风险治理具有独立性和权势巨子性的特征。一方面将风险治理本能机能提拔到高级治理层，表现出权势巨子性，另一方面企业要独立于营业部分设置职责清晰、权责明白的风险治理部分，并间接隶属于高级治理层治理，表现出独立性，不受其他部分影响，以包管其客看性和公允性。

在效果上，风险治理具有合目标性和价值性特征。起首，风险治理是一个动态的过程，强调风险治理与企业运营治理过程相连系，并受人、文化等因素影响，强调“软掌握”（即精神层面的内容，例如治理层的风气和理念、企业文化等）的感化和风险意识，即差别企业的风险治理都深深烙上企业文化的印记。其次，风险治理受目标驱动，并明白组织中的每一小我对风险治理负有责任，且因为内部掌握的固有限造，风险治理只能供给合理包管，而非绝对包管。最初，风险治理的最末目标与企业目标一致，在现代社会中，企业目标已不单单是逃求利润更大化、价值更大化，而是逃求构建起一个协调的内部掌握机造，考虑所有利益相关者的利益，改进和进步内部掌握的效率和效果，也是风险治理价值所在。

46.风险治理的定义是什么？

国务院国资委的发布的《全面风险治理指引》将全面风险治理定义为:企业围绕总体运营目标，通过在企业治理的各个环节和运营过程中施行风险治理系统，为实现风险治理的总体目标供给合理包管的过程和办法。COSO用过程来描述全面风险治理，是目前比力通行的做法。那个定义反映了以下几方面的根本概念:

展开全文

1、企业风险治理是一个过程，一个流程，它继续感化于企业，并渗入于企业的各项活动中，是降低和掌握风险的一系列法式。

2、企业风险治理不单单是企业治理层或风险治理机构的职责，同时需要企业各个层级几乎所有的员工配合参与施行。

3、企业风险治理应当在企业战术的造定过程中被利用。

4、因为风险的客看存在性，风险治理其实不能给企业供给绝对的包管，而只能为企业实现其运营目标供给一个合理的包管。

5、企业风险治理旨在识别将会影响企业的潜在事项，并将风险掌握在风险承担才能之内。

47.风险治理框架的8要素是指什么？

2004年9月，COSO连系《萨班斯—奥克斯利法案》的相关要求，发布了一个概念全新的陈述，即《企业风险治理—整体框架》(以下简称“ERM”框架)。框架的出台适应了各方需求。与1992年的《内部掌握—整体框架》比拟，ERM 框架在内部掌握的内涵、目标、要素以及内部掌握责任承担等层面做了全新打破，对企业风险治理做出了更为详尽的论述。ERM 框架并没有代替《内部掌握—整体框架》，而是基于该框架并将其融进此中，全面推进了内部掌握原则的开展。

在ERM中明白提出了风险治理的8要素，即：内部情况、目标设定、事务识别、风险评估、风险应对、掌握活动、信息与沟通、内部监视。

48.风险治理框架的8要素中“内部情况”是指什么？

“内部情况”是企业风险治理所有其他构成要素的根底，为其他风险治理要素供给运行的规则和构造。内部情况包罗良多内容，包罗风险治理理念、风险容量、董事会、诚信和道德价值看、对胜任才能的要求、组织构造、权利和职责的分配及人力资本原则，它影响着企业的战术和目标若何造定、运营活动若何组织以及若何识别、评估风险并摘取动作；它还影响着企业的风险掌握活动、信息与沟通系统、风险监视等风险治理要素。

49.风险治理框架的8要素中“目标设定”是指什么？

风险治理框架的8要素中的“目标设定”是指，企业必需起首成立企业要实现的战术或者目标，治理层才气识别影响目标实现的潜在风险事项。

从企业治理的角度来看，企业决策与运营的各项活动均存在风险，但是假设要对所有活动面临的风险全数掌握，那么企业的运行成本将会无限增加。因而，设定恰当的风险掌握目标就显得十分重要。

企业风险治理确保治理层摘取恰当的法式往设定风险掌握目标，确保所选定的风控目标撑持和切合该企业的任务，而且与它的风险容量相符。

50.风险治理框架的8要素中“事务识别”是指什么？

“事务识别”是指识别影响企业目标实现的内部和外部事务，即确定那些潜在事项对企业到底是时机仍是风险。假设是时机，应将其反应到战术和目标设定之中，而假设是风险则应该展开有效的评估和应对。

那些事项是来自于内部或外部的影响施行战术和目标实现的变乱或事务，其驱动因素可能来自良多方面，好比外部的经济因素（价格、本钱等）、天然情况、政治、手艺、社会等因素，以及内部的根底构造、人员、流程、手艺等。企业应该摘取各类体例，好比互动研讨、统计数据、逃踪手艺、内部门析、预警触发等。

在“事务识别”中，为了更好的治理事项以及其背后的风险及其应对，应该考虑事项之间的联系关系关系，事项的类别划分（包罗正负向划分以及差别属性类别上的划分）。

51.风险治理框架的8要素中“风险评估”是指什么？

“风险评估”是指通过考虑某一风险发作的可能性凹凸和影响大小来对其加以阐发，并以此做为若何停止风险治理的根据。在设定风险掌握目标，发现风险事项之后，必需停止恰当的风险评估。

评估风险对企业实现目标的影响水平或风险价值等，有定性与定量两种办法——定性办法包罗问卷查询拜访、集体讨论、专家征询、政策阐发、行业标杆比力、治理层访谈和查询拜访研究等，而定量办法包罗统计推论(如集中趋向法)、计算机模仿(如蒙特卡罗阐发法)、失效形式与影响阐发、事务树阐发等。根据coso的定见，定性和定量的办法相连系是更佳抉择。

52.风险治理框架的8要素中“风险应对”是指什么？

“风险应对”是指治理层在风险容忍度和成本、收益原则下，确定风险应对计划并考虑其对风险事项的可能性和效果的影响，然后设想、确定和施行抉择的应对计划。

风险应对办法凡是包罗回避、降低、分管和承担四种。此外，在风险应对的过程中，还应该有组合的看念——一个差别风险组合应对之后，其风险应对治理成本可能会下降，也可能因为组合而储蓄积累上升变得愈加重要，那就好像合力效应。

53.风险治理框架的8要素中“掌握活动”是指什么？

“掌握活动”是指为了应对风险的发作所摘取的办法和办法，通过掌握活动的实行，降低或者消弭风险发作的可能性。

掌握活动凡是包罗两个要素:确定应做什么的政策和有效地施行政策的法式。掌握活动也能够分为预防性掌握、查抄性掌握、纠正性掌握和抵偿性掌握等各类类型。

在风险治理中，风险掌握活动贯串在组织的各个层级和各个本能机能部分，包罗一系列差别的活动，好比批准、受权、验证、调剂、评判、评估、职责别离等等。

54.风险治理框架的8要素中“信息与沟通”是指什么？

“信息与沟通要素”是指倡议企业必需有效识别、搜集来源于企业内部和外部的定性或定量的运营信息，并以恰当的体例与相关利益者停止有效沟通。

信息的来源无论是内部，仍是外部都有正式渠道，也有非正式渠道，有间接渠道也有间接渠道。好比，商户的风险凹凸在于获得商户的信息几、来源及其可靠性——有间接与商户面谈或问卷查询拜访得到信息，也可能有通过新闻媒体、收集平台、监管机构等方面获得的有关商户的信息。

别的，如今信息化时代下，内部差别平台之间的信息共享水平，以及内部系统与外部系统（赐与商或客户）的集成度和信息分享水平都在日益上升。那给信息、沟通的及时性、效率得到改进，而同时信息的深度、及时性、可靠性关于信息阐发决策都变得日益重要。

同信息的来源分为内部和外部一样，信息的沟通也分为内部和外部沟通。信息的内部沟通是为了更高的事项企业的战术、运营、陈述和合规方面的目标。内部沟通包罗横向的沟通和纵向的沟通，横向的沟通有利于风险的应对和掌握活动的协调开展，纵向信息的及时沟通便于决策及其办法的快速确定和传达。

信息的外部沟通次要集中在企业主体与外部利益相关者之间的沟通，好比赐与商、客户、监管机构、投资者等等。

55.风险治理框架的8要素中“内部监视”是指什么？

“内部监视”是一个对风险峻素当前功用及其功绩量量停止评估的过程。凡是监视通过两种办法停止：通过继续的活动或个别评判。

继续监控成立在企业日常反复发作的营业活动和风险治理活动之上，而个别评判则是在过后停止的，能够做为对继续监控的填补。

专门的评判凡是要确定评判的范畴、频次、目标，并存眷评判过程、办法和陈述构成评判的信息传递机造和分享机造。在企业风险治理工做的实务处置中，那两种办法是连系停止的。