公司简介商业计划书创业计划书节日庆典新品发布会创业融资项目介绍模板策划项目汇报市场营销活动策划工作计划策划书营销管理节日策划推广策划策划方案商务策划工作汇报企业报告企业宣讲校园宣讲总结报告总结汇报个人总结工作总结工作报告模板教育教学教育培训教学课件主题教育班会育人教学计划班会课件教学研究模板家长会思想教育小学教学中学教学大学教学幼儿教学企业风险评估报告范本Planning scheme在内部控制标准制定方面,美国发起人组织委员会(××)向来是国际公认的权威机构, 自其成立以来,向来致力于内部控制标准的制定, 引导和代表着内部控制的发展趋势。
19××年,××提出了《内部控制——整合框架》,经过十多年的应用. 已成为业界普遍认可的一个标准。
20××年9 月,××又提出了《企业风险管理——整合框架》,它既是对《内部控制——整合框架》的超越,也标志着内部控制的转型,在内涵界定、目标体系、构成要素等方面都进行了拓展和延伸。
一、企业风险管理的性质(nature)与定位这些年来.一系列财务失败事件的发生以及对企业风险管理的关注,使人们越来越清晰地认识到需要一个强有力的框架以便有效地识别、评估和控制风险。
20××年,××开展了一个项目,委托普华永道开辟一个对于管理当局评价和改进他们所在组织的企业风险管理的框架。
但在开辟这个框架期间,又发生了一系列令人瞩目的企业丑闻和失败事件,投资者、公司员工和其他利益相关者因此而遭受了巨大的损失。
随之而来的便是对采用新的法律、法规和上市准则来加强公司管理和风险管理的呼吁。
人们迫切需要一个能够提供关键原则和概念、共同的语言以及明晰的方向和指南的企业风险管理框架。
美国在20××年颁布了《萨班斯-奥克斯利法案》,其他国家也已经通过或者正在考虑类似的立法。
这部法律扩充了长期持续的对公众公司保持内部控制制度的规定,要求管理当局证实、并由独立审计师鉴证这些制度。
20× ×年9 月,××发布了《企业风险管理——整合框架》,它拓展了内部控制框架,更关注于企业风险管理这一更加宽泛的领域。
按照××的设想,他们不打算、也的确没实用企业风险管理框架取代内部控制框架,而是将内部控制框架纳入其中,公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要,还可以借此转向一个更加全面的风险管理过程。
(一)企业风险管理的性质××在其报告中指出,企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯通于企业之中, 旨在识别可能会影响主体的潜在事项,管理风险以使其限制在该主体的风险容量之内,并为主体目标的实现提供合理保证。
与内部控制相比,企业风险管理补充了两个内容:一个是战略目标;一个是风险控制。
××在对《企业风险管理》的界定中重点强调了七个属性和理念:(1)企业风险管理是一个过程,它持续流动于企业之内:(2)企业风险管理是由组织中各个层级的人员来实施的;(3)企业风险管理应用于战略制定的过程中;(4)企业风险管理贯通企业整体,在各个层级和单元应用, 还包括采取企业整体层级的风险组合观;(5)企业风险管理旨在识别那些一旦发生将会影响企业的潜在事项,并把风险控制在风险容量以内;(6)企业风险管理能够向一个企业的管理当局和董事会提供合理保证:(7)企业风险管理力求实现一个或者多个不同类型但相互交叉的目标。
××秉承了其“整合”的思路,给出了企业风险管理的一个宽泛的定义,通过提炼对公司和其他组织风险管理的关键概念,为不同组织形式、行业和部门的应用提供了基础,此外,它直接关注特定主体既定目标的实现,并为界定企业风险管理的有效性提供了依据。
××认为,企业风险管理应发挥以下作用:(1)衔接风险容量(risk appetite)与战略。
管理当局在评价战略方案、设定相关目标和建立相关风险的管理机制的过程中,需要考虑所在主体的风险容量。
(2)增进风险应对决策。
企业风险管理应能提高企业选择风险应对策略的准确性。
(3)抑减经营意外和损失。
主体识别潜在事项和实施应对的能力得以增强,抑减了意外情况以及伴有而来的成本或者损失。
(4)识别和管理贯通于企业的多重风险。
每一家企业都面临影响自身不同组成部份的一系列风险,企业风险管理有助于有效地应对交互影响, 以及整合式地应对多重风险。
(5)抓住机会。
通过全面考虑潜在事项,促使管理当局识别并积极地把握机会。
(6)改善资本配置。
获取强有力的风险信息, 以使管理当局能够有效地评估总体资本需求,并改进资本配置。
(二)企业风险管理的定位××在界定企业风险管理时, 明确了两个所属关系:(1)内部控制是企业风险管理的一个组成部份;(2)企业风险管理是管理过程的一个组成部份。
企业风险管理框架的要素都是管理层经营一个企业所做的事情。
但是,并非管理层做的事情都是企业风险管理的组成部份。
在管理层的决策与相关管理行为中应用的许多判断,尽管是管理过程的组成部份,但不是企业风险管理的组成部份。
例如,确保有一个适当的目标设定过程是企业风险管理的一个关键组成要Planning scheme素.而管理层选择的特定目标不是企业风险管理的组成部份:在适当风险评估的基础上对风险做出反应是企业风险管理的组成部份。
而所选择的特定风险应对策略和相关的资源配置不是企业风险管理的组成部份:确定和实施控制活动以确保管理层选择的风险应对策略得到有效的实施是企业风险管理的组成部份,而所选择的特定控制活动不是企业风险管理的组成部份。
××在20××年10 月发布的《企业风险管理框架(草稿)》中列示了普通管理行为。
并指出哪些构成为了企业风险管理。
企业风险管理包括那些能够使管理层依据可靠信息做出风险基础决策的管理过程.但是.从一系列适当的选择中选出的特定决策不会决定企业风险管理是否有效。
此外,普华在最近的一份报告中提出了一个GRC(Governance,Risk,Compliance)模型。
该报告认为,组织可以通过把GRC 战略性地整合进它们的经营中, 以形成一个可以对企业进行管理的道德和经营框架。
这个框架包括管理(Governance)、企业风险管理(Enterprise Risk Management)和遵守(Comphance)三个组成部份,从中可以看出企业风险管理的定位。
在这个框架中,管理活动包括设定经营战略和目标,确定风险偏好,建立文化和价值观。
制定内部政策和监督绩效;风险管理活动包括识别和评价那些可能会影响目标实现能力的风险,应用风险管理来获得竞争优势和确定风险应对策略和控制活动;遵守活动包括遵照目标经营,确保遵守法律和法规、内部政策与程序以及利益相关者的委托。
二、企业风险管理的目标体系企业风险管理框架提出了四类目标:(1)战略(Stntegic)目标,即高层次目标,与使命相关联并支撑使命;(2)经营(operations)目标,高效率地利用资源;(3)报告(reporting)目标,报告的可靠性;(4)合规(compliance)目标,符合合用的法律和法规。
在这个目标体系中,增加了内部控制整合框架中所没有的一类目标:战略目标。
虽然是平行的方式列示,但是,战略目标在这个目标体系中是最高层次的,其他三类目标都应当从属于战略目标。
都是在为战略目标服务。
此外。
企业风险管理框架的报告目标也有所拓展。
在内部控制框架中,报告指的是发布的财务报表.报告目标主要关注发布的财务报表的可靠性,而在企业风险管理框架中,报告包括由企业编制、向内部和外部散发的所有报告。
而且,范围也从财务报表的财务信息扩展到了更广泛的非财务信息。
尽管在企业风险管理框架中,并没有明确表示其遵守目标与内部控制的遵守目标有什么不同,但是,负责拟定企业风险管理框架的普华在其20××年的一份名为《整合——驱动绩效》(Integrity-Driven Performance)的报告中认为:“主要关注遵守法律、法规的传统合规方法是不充分的,遵守内部管理、道德与风险标准和政策在防止遭受与声誉相关的风险方面更有效。
”该报告对“遵守”的内涵进行了拓展,提出了一个新视角的“遵守”,给出了一个遵守风险的新定义。
遵守风险是指“由于没有能够遵守法律法规、内部规则和政策以及顾客、雇员和社会等主要利益相关者的期望而导致对组织的经营模式、声誉和财务状况产生伤害的风险”。
此外。
内部控制整合框架19××年补充的“保护资产”目标在企业风险管理框架中并没有单列, 因为××认为,这个目标的内容已经分别包含在了上述几类目标之中。
对于目标的实现,企业风险管理与内部控制一样.只能提供合理的保证,而且,对于不同的目标所提供合理保证的内容也不尽相同。
对于报告目标和合规目标而言, 因为有关报告的可靠性和符合法律、法规的目标在主体的控制范围之内,所以可以期望企业风险管理为实现这些目标提供合理保证。
但是,对于战略目标和经营目标而言, 由于这些目标的实现还取决于一些不在主体控制范围之内的外部事项,所以,企业风险管理可以提供合理保证的是对目标的实现过程进行有效的信息沟通, 即管理当局以及承担监督职能的董事会能够及时地了解企业目标实现的发展情况。
三、企业风险管理——整合框架的构成企业风险管理包括八个相互关联的构成要素,它们源自管理当局的经营方式,并与管理过程整合在一起。
(1)内部环境。
管理当局确立关于风险的理念,并确定风险容量。
所有企业的核心都是人(他们的个人品性。
包括诚信、道德价值观和胜任能力)以及经营所处的环境, 内部环境为主体中的人们如何看待风险和着手控制风险确立了基础。
(2)目标设定。
必须先有目标,管理当局才干识别影响目标实现的潜在事项。
企业风险管理确保管理当局采取恰当的程序去设定目标,并保证选定的目标支持主体的使命并与其相衔接, 以及与它的风险容量相适应。
(3)事项识别。
必须识别可能对主体产生影响的潜在事项。
它包括表示风险的事项和表示机会的事项, 以及可能二者兼有的事项。
机会被追溯到管理当局的战略或者目标制定过程。
(4)风险评估。
要对识别的风险进行分析, 以便确定管理的依据。
风险与可能被影响的目Planning scheme标相关联。
既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。
(5)风险应对。
员工识别和评价可能的风险应对措施,包括回避、承担、降低和分担风险。