企业通过风险评估来考虑潜在事件对目标达成的影响程度。管理层应从 两个方面对事件进行评估——可能性和影响——通常将定量和定性方法 结合起来考虑。 应在企业层面上，检查潜在事件的正负两方面影响，根据单个事件或者 根据类别进行。对潜在负面影响的事件应分别从固有风险和剩余风险的 基础上进行评估。
风险评估

监 控


持续

单独评价

缺陷报告

实时 内建 日常经营活动
范围 频率 自我评估/内部审计人员
文件记录的程度 持续 外部当事人 草案 可供选择的渠道
一、企业风险管理基本框架
5．企业风险管理流程风险识别风险来自测风险评估风险控制
风险报告

风险矩阵



实时监控 各部门风险 管理报告 各部门报送 信息 会议纪要 媒体 同业信息 „„
“COSO”是美国全国虚假财务报告委员会（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting） 下属的发起人委员会（Committee of Sponsoring Organizations）的英文缩写。
信息与沟通 信息 战略和一体化系统


沟通


内部 外部 手工 电算化 正式 非正式 信息系统构架
战略 经营性的 过去和当前的 详尽程度 及时性 质量
内部 外部 企业范围 期望和责任 框架 传播方式
一、企业风险管理基本框架
4．风险管理八大要素之八：监控

基于应对风险和建立控制的决策需要考虑相关的成本和效益。
类似简单误差或错误的个人缺失可能会导致风险的发生。 风险控制可能会因为两个或多个人员的串通而被规避。 管理当局有能力凌驾于企业风险管理决策之上。这些局限使得董事会和管 理当局不可能就主体目标的实现形成绝对的保证。 不可控风险、系统风险等。
4．风险管理八大要素之五：风险应对


已经评价了相关风险，管理层应决定采取相应的应对措施。
应对措施包括风险规避、减轻、分担和接受。在考虑风险应对措施时， 管理层考虑成本效益关系，根据企业期望的风险承受度，选择一个可 带来预期可能性和影响的应对措施。
风险应对 确定风险 应对措施

评价可能的风险 应对措施
二、××公司税务风险管理的实践
有效性

一、企业风险管理基本框架
4．风险管理八大要素之七：信息与沟通

信息系统使用内部生成的数据以及外部事件、活动和条件的数据， 为管理与企业目标相关的企业风险和决策提供信息。 有效的沟通也会在企业的横向纵向流动中发生。所有员工从高层管 理者处得到一个明确的信息，企业风险管理责任必须严肃的关注。
风险评估 ☆ 风险应对
控制活动 信息与沟通 监 控
子 业公 分务 司 企 支单 业 机位 整构 体 层 次
企业组织层级 维 度
注：去掉带 ☆ 项目后的三维图即为内部控制框架三维图示。
一、企业风险管理基本框架
知识拓展：企业风险管理与企业内部控制的关系

“COSO”在《企业风险管理整体框架》中,明确表明内部控制是企 业风险管理的一个组成部分，为企业风险管理与内部控制之间的关 系提供了较好的解释。 企业风险管理与内部控制既有联系又有区别,联系体现在风险管理对 内部控制的吸纳与发展上,区别体现为两者在内涵与边界、框架与内 容、技术与方法等三个方面的差异。 总体而言，《企业风险管理整体框架》较《内部控制整体框架》增加 了一类主要目标（战略目标），提出了一个全新理念（管理范畴）， 引入了两个创新概念（风险偏好、风险容忍度），扩展了三个基本要 素（目标设定、事件识别、风险评估）。在技术与方法上,风险管理 采用了大量的评估定量方法、组合管理技术和金融衍生工具。



系统风险
非系统风险







具有指导作用的风险管理标准与文件

《大企业税务风险管理指引》（国家税务总局 • 2009）


《中央企业全面风险管理指引》（国务院国资委 • 2006）
《GB/T24353 风险管理 原则与实施指南》（2002） 《企业风险管理整合框架》（COSO • 2004） 《风险管理标准》（AS/NZS4360 • 2004） 《ISO 31000：风险管理 原则和指南》（ISO • 2009） 《ISO DUIDE 73 风险管理 词汇》（ISO • 2009） 《IEC/ISO31010 风险管理 风险评估技术》（ISO/IEC • 2009）
目标设定 战略设定


相关目标

选定的目标

风险偏好

风险容忍度

高水平的 目标 支持远景 战略选择
经营性 报告行为
匹配和支 持 管理当局 的决策
增长，风险和 回报 资源配置 人，过程和组 织的基础部分
可接受的变动 水平 目标计量单位

遵从性
资产保护



一、企业风险管理基本框架
风险面面观

风险类别包括但不限于，市场风险、金融风险、信用风险、流动性风险、 操作风险、财务风险、法律风险、声誉风险等。 风险的分类：按照风险导致的后果，企业风险分为纯粹风险和投机风险。 按风险是否可分散，从投资者的角度看风险分为系统风险和非系统风险。 按风险的可控程度分为可控风险和不可控风险 。


定性 操作风险 合规风险

风险缓释 风险承担 风险规避

汇报路径 行动建议 执行情况跟 踪 返回检验 „„
定量
市场风险 信用风险 流动性风险 „„
风险分散
„„

一、企业风险管理基本框架
6．企业风险管理的局限性
尽管企业风险管理带来了重要的好处，但是仍然存在着局限。局限主要源于 下列现实： 管理过程内在局限性的影响（决策过程中的判断失误）。
固有和剩余风险

可能性和影响

定性和定量方法及技术


相互关系




在管理层采取措施 之前； 管理层采取措施之 后 预期的和未预期的

预期的，较坏的 情形，分布情况 时间跨度 计量单位 可观察数据
定量 定性 固有风险基础以及剩余 风险基础
事件顺序 种类 压力测试 情景
一、企业风险管理基本框架

知识拓展：ISO 31000 给出的风险管理流程
指令和承诺



风险管理框架的设计 理解组织和其状况 建立风险管理方针 责任 嵌入组织的过程 资源 建立内部沟通和报告机制 建立外部沟通和报告机制

框架的持续改进

实施风险管理 实施风险管理框架 实施风险管理过程
框架的监测和评审
4．风险管理八大要素之三：事项识别

管理层对影响一个企业成功实现战略达到目标的能力的潜在事件进行识 别。具有潜在负面影响的事件代表了风险，要求管理层对其进行评价并 做出反应。而具有潜在积极影响的事件可能抵消负面的影响或者代表了 机会。管理层将机会引回到战略和目标设定过程。
事项识别 事件

影响战略和 目标的因素




一、企业风险管理基本框架
4．风险管理八大要素之二：目标制定

企业风险管理就是提供给管理者一个适当的过程，既能够制定企业的目 标，又能够将目标与企业的任务或预期联系在一起，并且这些目标还与 企业的风险偏好相一致。
目标设定是有效的事件的鉴别、风险确定、以及对风险的对策的预测。 管理之前必须首先设定目标，该目标能够鉴别企业为完成任务的风险， 然后采取必要的措施来管理风险。


一、企业风险管理基本框架
2．风险管理框架三个维度之间的关系

风险管理目标维度是风险管理的前提。 风险管理要素维度的八个要素服务于风险目标维度，是风险管理的过 程。
三个维度的关系是，全面风险管理的八个要素都是为组织的四个目标服务的； 组织各个层级都要坚持同样的四个目标；每个层级都必须从以上八个方面进行 风险管理。 可见，风险管理贯穿于公司经营活动的各个领域、各个业务过程、各个部门， 企业按风险管理要素递进地识别、量化并管理风险，最终实现风险管理目标。

方法和技术

事件的相互 依赖

事件的种 类

风险和机遇

事故 正面的和 （或）负 面的影响
外部因素 内部因素
正在进行的 定期的 过去和未来 支持工具
触发事件 内在联系
普通的 分组
负面影响： 风险 正面影响： 机遇；风险 的抵消

一、企业风险管理基本框架
4．风险管理八大要素之四：风险评估
控制活动

与风险应对结 合为一体

控制活动的类型

一般控制

应用控制

企业特定的控制

直接建立在 管理过程中 内部相关
政策、程序 防止
信息技术管理 信息技术设备
完整性 准确性
企业特定的战略 和目标 经营环境 企业的复杂性

检查、手工、 自动
安全性管理
软件开发和维护
授权

企业风险管理被监控——评估其组成要素存在和功能的过程。这个 过程通过持续监控活动、单独评价或者两者的结合得以实现。 持续监控出现在企业的日常管理活动中，而单独评价的范围和频率 则主要依赖于风险评估以及持续监控程序的有效性。 企业经营互动中发现的风险管理缺陷应该向上报告，对于严重的事 件，应该报告给上层管理者和董事会。