Ⅱ.风险管理10%-20%A.风险管理技术B.风险框架的组织运用C.内部审计在风险管理的定位风险管理技术1.概念风险管理指识别、评估、管理和控制潜在事件或情况的过程，目的是为实现组织的既定目标提供合理保证。

风险管理就是采取一定的措施对风险进行检测评估，使风险降低到可以接受的水平，并将其控制在某一可以容忍的程度。

2.风险的定义1）不确定性，也就是某种结果出现的概率；2）后果，即实际结果与期望值的偏离。

风险的衡量标准是后果与可能性。

在经营管理活动中，风险常常被定义为生产运营的弊端、失误或失败带来组织危机的可能性。

对组织而言，风险是某种不利因素产生并造成实际损失，致使组织目标无法实现或降低实现目标效率的可能性。

组织中的风险可能来自很多方面，其中既包括内部管理不善、人为损害的风险，又包括外部环境变化造成的风险，同时包括可能出现的不可预知的自然灾害等因素。

3.风险管理基本原则：以最小的成本获得最大的保障。

风险管理的处理方法：1）回避风险2）预防风险3）保留风险4）转移风险4.回避风险（避免风险）考虑到影响预定目标达成的诸多风险因素，结合决策者自身的风险偏好和风险承受能力而作出的中止、放弃某种决策方案或调整、改变某种决策方案的风险处理方式。

风险回避的前提在于企业能够对企业自身条件和外部形势，客观存在的风险属性和大小有准确的认识。

这种方法明显具有很大的局限性，因为并不是所有的风险都可以回避或应该进行回避。

5.预防风险（控制风险）指采取预防措施，以降低损失发生的可能性及损失程度。

预防风险涉及一个现时成本与潜在损失比较。

若潜在损失远大于采取预防措施所支出的成本，就应采用预防风险手段。

举例：兴修水利、建造防护林6.保留风险（自留风险）指自己非理性或理性地主动承担风险，即指一个企业以其内部的资源来弥补损失。

“非理性”保留风险是指对损失发生存在侥幸心理或对潜在的损失程度估计不足从而暴露于风险中；“理性”保留风险是指经正确分析，认为潜在损失在承受范围之内，而且自己承担全部或部分风险比购买保险要经济合算。

保留风险适用于发生概率小，且损失程度低的风险。

7.转移风险（分担风险）指通过某种安排，把自己面临的风险全部或部分转移给另一方。

通过转移风险而得到保障，是应用范围最广、最有效的风险管理手段。

举例：保险8.风险专有术语固有风险在管理部门没有采取任何措施来改变风险的可能性或影响的情况下一个主体所面临的风险。

财务或外部审计师长期以来将固有风险归纳为：假定不存在相关的化解风险的控制措施，信息或数据对重大错报的敏感性。

剩余风险指管理层采取了有关措施，包括采取应对某项风险的控制活动降低负面事件的影响和可能性之后仍然存在的风险。

简单来说，剩余风险是指未被管理的风险或建立控制措施之后仍然存在的所有风险。

9.风险评估的主要任务包括：1）识别组织面临的各种风险；2）评估风险概率和可能带来的负面影响；3）确定组织承受风险的能力、确定风险消减和控制的优先等级；4）推荐风险消减对策。

10.企业风险管理是：·一个正在进行并贯穿整个企业的过程；·受到企业各个层次人员的影响；·战略制定时得到应用；·适用于各个级别和类型的企业，包括考虑风险组合；·识别能够影响企业及其风险管理的潜在事项；·能够对企业的管理层和董事会提供合理保证；·致力于实现一个或多个单独但类别相互重叠的目标。

11.企业全面风险管理（ERM）是贯穿整个组织的，具有结构性、一致性和持续性的过程，用以识别、评估并确定如何应对及报告影响组织实现目标的机遇和威胁。

企业全面风险管理的责任是：由董事会对确保风险得到管理负全部责任。

实践中，董事会将风险管理框架的运作授权给管理团队来执行，由管理团队负责完成各项活动。

组织中的每个人都在确保成功的企业全面风险管理中发挥作用，但管理层对识别和管理风险负主要责任。

12.企业全面风险管理活动包括：·说明和沟通组织目标；·确定组织的风险偏好；·建立适当的内部环境，包括风险管理框架；·识别影响目标实现的潜在威胁；·评估风险（如，威胁的影响和发生可能性）；·选择和实施风险应对策略·采取控制和其他应对措施；·组织中所有层级采用一致的方式进行风险信息沟通；·集中监督和协调风险管理过程及结果；·为风险管理的效果提供确认。

企业全面风险管理框架的好处在于能够在协助组织管理风险从而实现目标方面做出重大贡献。

全面风险管理框架具备的优势被组织充分认识并日益得到普及。

内部审计通过其确认和咨询作用，利用各种方式协助全面风险管理的实现。

董事会或同类机构的主要要求之一是确保风险管理过程有效运作且主要风险被控制在可接受的水平。

内部审计是客观确认的主要来源；其他来源包括外部审计师和独立的专家检查。

13.内部审计对企业全面风险管理的确认作用1.风险管理过程，包括其设计和运行情况；2.对“主要”风险进行管理，包括控制的效果和应对措施；3.可靠、适当的风险评估及对风险和控制情况的报告。

内部审计是为董事会提供风险管理效果的客观确认活动。

风险管理只为组织的管理层服务，不必为审计委员会提供独立和客观确认。

14.内部审计在企业全面风险管理中的咨询作用为改进组织治理、风险管理和控制过程提供咨询服务，尤其是在ERM活动的早期。

15.内部审计部门可以承担的咨询作用包括：1）将分析风险和控制所用的工具与技术提供给管理层；2）发挥其在专业知识及对组织的总体认知方面的优势；3）提供建议，推动专题讨论会，指导组织风险和控制，促进共同语言、框架和理解的建立；4）作为协调、监督和报告风险的中心；5）协助管理者确定降低风险的最佳方式。

16.内部审计确定与咨询两种作用能否合理共处？1）只要内部审计没有实际管理风险的职能（这是管理层的职责）且高级管理层积极认可和支持企业ERM，内部审计就能够提供咨询服务；2）无论何时内部审计部门都应致力于帮助管理层建立或改进风险管理过程。

17.内部审计参与企业全面风险管理的前提条件：·应当明确管理层对风险管理的职责；·内部审计师职责的性质应当写入内部审计章程并由审计委员会审批通过；·内部审计不应当代表管理层管理任何风险；·内部审计应当提供建议并支持管理层作决定，而不是由他们自行做出风险管理决定。

18.内部审计参与ERM应具备的技能和知识结构1）内部审计师和风险经理共享某些知识、技能和价值。

如公司治理的要求，具有项目管理、分析和推进技巧，重视良好的风险平衡而不是极端地承担或者逃避风险。

2）内部审计师应重视风险转移、风险量化和建模技术等。

内部审计师如果不能证明自己拥有适当技能和知识，就不应当承担风险管理领域的工作。

19.风险管理是公司治理的基本要素管理层代表董事会负责建立和实施风险管理框架。

内部审计师在ERM中的核心作用应当是为管理层和董事会就风险管理的有效性提供确认，并应保护其确认服务的独立性和客观性。

管理层和董事会对于风险管理和控制流程负责。

风险管理是管理层的一项关键责任。

内部审计师可以促进、协助风险管理过程的建立，但不负风险管理的责任。

为了实现其经营目标，管理层应当确保本组织具备良好的风险管理流程，并且运转正常。

董事会和审计委员会对于确定本组织具备良好的风险管理流程且运转正常负有监督责任。

内部审计师应当在改善管理层的风险管理流程的效果和效率方面协助管理层和审计委员会，以咨询的方式帮助本组织识别、评价和实施风险管理方法和控制，从而解决这些风险。

20.内部审计师在灾难发生前的作用内部审计师应该对组织的经营持续计划过程做出定期评价，以保证高级管理层了解灾难应急准备情况。

验证这些计划对于确保在发生不利情形之后及时重启业务和流程的准备是充分的，并且反映了当前的企业运营环境，并关注针对未来的变化适应性。

21.内部审计师在灾难发生后的作用在恢复期间，内部审计师应当对经营活动恢复和控制的有效性进行监督。

内部审计活动应当对内部控制和减轻风险措施需要改进的领域加以确认，对经营持续计划的改进提出建议。

典型试题：1.购买保险属于（）风险处理形式。

A.风险回避B.风险保留C.风险转移D.损失控制『正确答案』C『答案解析』风险回避，是为了规避风险而不去做某件事；风险保留，是回避风险，也不采取任何行动；控制损失是错误的混淆选项。

风险转移是把风险转移给其他的人或部门，购买保险属于风险处理形式中的风险转移。

所以选择C。

典型试题:2.以下哪项可能损害参与风险管理过程初始建立阶段的内部审计师的独立性？A.对风险管理过程进行评估和编制报告。

B.评价管理层的风险过程的充分性和有效性。

C.管理已识别的风险。

D.应对已识别的风险实施控制。

『正确答案』C『答案解析』内部审计师可以协助某个组织建立风险管理过程的初始阶段发挥更加能动的作用。

然而如果这种协助超出了内部审计师正常的保障和咨询活动范围，其独立性可能受到损害。

风险框架的组织运用1.COSO企业风险管理框架（COSO ERM）对风险管理的定义1）在企业内不断运转的过程；2）受董事会、管理层和其他人员的影响；3）从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件和管理风险，使之在企业的风险偏好/可接受水平之内，以合理确保企业既定的目标得以实现。

2.风险管理的具体表现：1）认真地分析风险因素；2）有意识地承担风险；3）科学地管理风险；4）稳妥地获取风险收益。

风险管理核心是将难以预计的未来可能带来损失的不确定性控制在公司可以接受的合理范围内，力求从中寻找到有利于企业发展的最佳机遇。

3.首席风险官 CR0（风险官或风险经理）在一些组织中，首席风险官为组织内的企业风险管理提供总协调。

由CEO授权，CRO提供资源协助其他管理人员建立有效的风险管理实践，监测并协助那些管理人员进行报告。

COSO列出CRO具体的企业风险管理责任：1）建立相关的政策；2）明确角色和职责，并帮助制定实施目标；3）制定业务部门相应的权力范围和责任；4）引导与其他业务规划和管理活动的整合；5）建立共同的风险管理语言和常见的衡量标准；6）向CEO汇报现状，包括推荐行动方案。

4.风险评估框架四步骤风险识别→风险评估→风险缓释/应对→风险控制风险评估框架要求识别和了解企业面临的各种风险，以评估风险的成本、影响及发生的可能性，并针对出现的风险制定应对办法，制定文件记录程序以描述发生的情况以及实施的纠正举措。

这四个步骤应在企业的各层面得以执行，并且不同工种的人员均应参与。

4.1 风险识别——风险识别程序要求采用一种有计划的、经过深思熟虑的方法，来识别业务每个方面存在的潜在风险，并识别可能在合理的时间段内影响每项业务的较为重大的风险。