第二章 风险管理整合框架.doc

第二章 风险管理整合框架第二章 企业风险管理整合框架基本理论一、企业风险管理整合框架（简称ERM框架）的颁布1992年COSO发布的内部控制整合框架虽然被许多企业采用，但理论界和实务界纷纷提出改进建议，认为其对风险强调不够，使得内部控制无法与企业风险管理相结合。2001年，COSO委托普华永道开发一个对于管理层评价和改进他们所在组织的企业内部控制的简便易行的框架。在此期间出现了安然公司破产事件、美国国会2002年出台了2002公众公司会计改革和投资者保护法案（萨班斯奥克斯利法案），该法案是继美国1933年证券法、1934年证券交易法以来又一部具有里程碑意义的法律，该法案强调了公司内部控制的重要性，从管理层、内部审计以及外部审计等几个层面对公司内部控制做了具体规定，并设置了问责机制和相应的惩罚措施，成为继20世纪30年代美国经济危机以来，政府制定的涉及范围最广、处罚最严厉的公司法律。2004年，Treadway 委员会下属的发起组织委员会(COSO)发布了企业风险管理整合框架（ERM），该框架是在1992年COSO委员会颁布的内部控制框架基础上，吸收各方风险管理研究成果基础上提出的，是内部控制整体框架的延伸和扩展，一经推出，就迅速得到了推广。这个框架的显著变化是将内部控制上升至全面风险管理的高度来认识。COSO发布企业风险管理整合框架的目的与当初发布风险管理框架的目的相似，是由于实务界存在对统一的概念性指南的需要。COSO希望新框架能够成为组织董事会和管理者的一个有用工具，用来衡量组织的管理团队处理风险的能力，并希望该框架能够成为衡量企业风险管理是否有效的一个标准。二、企业风险管理的定义企业风险管理整合框架（简称ERM框架）指出，“全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。定如何应对及报告影响组织目标实现的机遇和威胁。这是一个广义的风险管理定义，适用于各种类型的组织、行业和部门。该定义直接关注组织目标的实现，并且为衡量企业风险管理的有效性提供了基础。该定义强调： 本人认为COSO发布的企业风险管理整合框架，具有较强的理论可取性和实践可行性，不但涵盖了内部控制整体框架的全部内容，而且有了更多的创新，必将全面替代COSO发布的内部控制整合框架，所以本书按照COSO发布的企业风险管理整合框架来阐述。(1)企业的风险管理是一个过程，其本身并不是一个结果，而是实现结果的一种方式。企业的风险管理是渗透于组织各项活动中的一系列行动。这些行动普遍存在于管理者对组织的日常管理中，是组织日常管理所固有的。它仅是一种工具，是实现目标的工具而已。如果将风险管理看成是一个目标，就会为建立而建立，就会本末倒置，流于形式。(2)企业全面风险管理框架针对一类或几类相互独立但又存在重叠的目标，目的在于组织目标的实现。这里是一个非常明显的进步，这种进步不仅仅在于提出“风险管理框架针对一类或几类相互独立但又存在重叠的目标”风险管理的目标也是实现多个目标，这里的关键区别在于直接明确风险管理的终极目标是促进组织目标的实现，这就揭示了风险管理的目的，为风险管理指明了方向，同时这也是判断风险管理成功失败的唯一的标准，即风险管理能否有效促进组织目标的实现。（3）企业的风险管理是一个过程，一个系统的持续的动态过程。这里和风险管理的定义一样，强调风险管理也是一个过程，是动态的，组织经营管理环境的变化必然要求风险管理适应环境变化的要求，风险管理不仅仅是在某个特定时间里执行的政策和程序，不仅仅是一种工具，而是组织内部的各部门连续运作。是一个发现风险、处理风险、发现新风险、处理新风险的循环往复过程。它随着组织的目标的变化而变化，随着面临环境的变化而变化等等，这个过程不是僵化的，就象中国古语“世移时移，变法亦矣！”，这个世界唯一不变的是变化，否则就是刻舟求剑，缘木求鱼。同时，也强调风险管理是一个全面的系统过程，他不仅仅限于对某一事项和情况的处理，而是渗透到组织的每个方面，只有把风险管理嵌入到组织日常的管理过程中，才能发挥风险管理机制的作用。(4)企业风险管理是一个由人参与的过程，涉及一个组织各个层次的员工。定义一方面强调风险的管理不是高高在上，由组织的上层和董事会来实施并承担责任的，而是组织内每一个人的责任，强调人人有责任和义务参与风险管理，虽然参与的方式有所不同；另一方面也说明每一个员工所做的每一件事和每一份努力都和组织目标的实现、和风险的控制有直接的关系，培养员工的参与感，树立员工的主人翁意识和归属感，发自内心地关心企业的风险管理。(5)该过程可用于组织的战略制定。组织目标可以分为不同的层次，战略目标是组织最高层次的目标，它与组织的预期和任务相联系并支持预期和任务的实现。一个组织为实现其战略目标而制定战略，并将战略分解成相应的子目标，再将子目标层层分解到业务部门、行政部门和各生产过程。在制定战略时，管理者应考虑与不同的战略相关联的风险。（6）该风险管理过程应该应用于组织内部每个层次和部门，组织管理者对组织所面临的风险应有一个总体层面上的风险组合观。一个组织必须从全局、从总体层面上考虑组织的各项活动。企业的风险管理应考虑组织内所有层面的活动，从组织总体的活动(如战略计划和资源分配)到业务部门的活动 (如市场部、人力资源部)，再到业务流程(如生产过程和新客户信用复核)。组织是一个整体，有一个整体总目标，虽然总目标分成很多分目标，但是分目标和总目标的实现不是矛盾的，而是统一的，分目标的实现有利于总目标的实现，否则，分目标就是失败的。这里在考虑分目标时，鼓励分析人员不要孤立地考虑问题，而是将分目标放在组织整体上来进行考虑，这样判断标准就非常清晰明确，从面上看点就更加全面，而不是管中窥豹，只见一斑，见树木而不见森林。(7)该过程是用来识别可能对组织造成潜在影响的事项并在组织风险偏好的范围内管理风险。导人，其风险偏好各不相同，在不同的风险偏好下，风险管理的策略也不相同。风险管理的目的并非将风险降低到零，也并非将风险控制的越低越好，而是在考虑企业风险偏好的前提下，设计风险管理的模式和策略，从而达到企业风险管理的目的将风险控制在企业可以接受的风险偏好范围内。(8)设计合理、运行有效的风险管理能够向组织的管理者和董事会在组织各目标的实现上提供合理的保证。一方面强调风险管理可以提供保证；另一方面也强调在完美的风险管理也不可能提供绝对的保证，任何情况下，风险都很难降到零，所以，风险管理只能提供合理的保证，迷信或片面夸大风险管理的效果是不恰当的。 总之，企业风险管理是一个过程，企业风险管理的有效性是某一时点的一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理要素设计和执行是否正确的评估基础上的一个主观判断。企业的风险管理要有效，则其设计必须包括所有的要素并得到执行。企业风险管理可以从一个组织的总体来认识，也可以从一个单独的部门或多个部门的角度来认识。即使是站在某一特定的业务部门的角度来看待风险管理，所有的要素也都应作为基准包含在内。三、企业风险管理框架的构成要素企业风险管理框架分为内部环境、目标制定（设定）、事项识别、风险评估、风险反应（风险应对）、控制活动、信息和沟通、监控等八个相互关联的要素，各要素贯穿在组织的管理过程之中。（一）内部环境1、概念和作用所谓内部环境就是对组织风险管理的建立和实施有重大影响的因素的统称，是建立、加强或削弱特定政策和程序效率发生影响的各种因素的统称。任何组织的风险管理都存在于一定的环境之中，环境的好坏直接决定组织其他控制能否实施或实施的效果。组织的内部环境主要是指企业风险管理的环境，是其他所有风险管理要素的基础，为其他要素提供规则和结构，在企业风险管理的建立与实施中发挥着基础性作用。内部环境反映了董事会、管理层、业主和其他人员等对待控制（控制对于组织的重要性）的态度、认识和行动。它决定了一个组织的管理基调，提供组织纪律与架构，塑造组织文化，并影响着员工的控制意识。它是其他控制因素的基础，为风险管理界定纪律和结构。组织的styles）指一个组织中的管理者对经营管理的态度和处理事情的习惯做法。在组织中，领导风格与领导方式体现了组织的管理理念和经营风格，即一个组织对风险的态度、对财务的态度、决策方式和沟通方式等。领导风格的分类根据组织条件和领导人的风格，可以把领导风格区分为任务驱动型和关系驱动型两类。 任务驱动型是指领导着重考虑任务的分解、落实，相应地，在领导的过程中，领导者更倾向于应用权威进行命令式的指挥和根据目标随时进行强有力的控制。这种领导风格比较适宜于任务分工明确，组织稳定，内部关系清晰简单的组织状况。关系驱动型是指领导者更加注重通过理顺组织关系，通过沟通和协调来调动成员的工作积极性和能动性来完成组织任务。这一风格更多地适宜于任务分工要求较强的协作关系，技术性强，组织中专业人士较多，人际关系相对复杂的组织条件。领导方式的分类领导风格和领导方式密不可分，领导方式因人而异，也因组织而异。一般地，根据组织的特征和管理者个人的偏好不同，领导方式可以分为自由放任式、民主式、结构化式和体贴式等。在一些任务比较特别，完成任务的过程中成员自主性较强，成员本身的责任感和专业能够保证其独立完成工作，管理者和员工之间具备充分的信任感的情况下，可以采用自由放任式的领导方式。在组织士气不振或分工不明确，环境复杂不利和目标难以达到的情况下，通过体贴员工，鼓励他们达到目标的方式就是体贴式。在组织专业能力较强，任务复杂多变，组织成员与管理者之间具有一定程度的信任感的情况下，民主化的领导方式有利于发挥专业人员的专业优势，同时也利于统一意见，鼓舞士气。在任务比较确定并且较为稳定的组织中，统称采用机构式的领导方式，按部就班地领导成员完成任务。在大多数情况下，领导者都会根据具体的情况采取多种领导方式的组合策略，但不管怎样，这些组合通常也带有明显的个人风格。（2）组织结构组织结构是指组织计划、协调和控制经营活动的整体框架。设置合理的组织结构，有助于建立良好的内部环境。一个公司的组织结构包含确定组织的形式和性质，包括确认相关的管理职能和报告关系； 为每个内部机构划分责任权限的制定办法。组织结构常用组织结构图来表示，以准确反映授权方式和报告关系。具体应考虑：组织结构的合适性，及其提供管理机构所需信息的沟通能力；各主管人员所负责任的适当性；按照主管人员所担负的责任，判断其是否具备足够的知识及丰富的经验；当环境改变时，机构配合改变其组织结构的程度；员工，尤其是负责管理及监督职能的员工人数的充足程度。（3）董事会和审计委员会董事会是内部环境的重要组成部分，对其他内部环境要素有重要的影响。组织的管理者也是内部环境的一部分，其职责是建立企业风险管理理念（风险管理哲学、理念或态度）及冒险的“欲望”，确定组织的风险偏好，营造组织的风险文化，并将企业的风险管理和相关的初步行动结合起来。因为董事会和管理层对风险的态度将影响组织对业务活动的选择和为使风险被控制在可以接受的水平而采取的措施。比如，如果董事会和管理层对风险的态度是非常保守的，那么组织有可能只选择在一些风险非常低的领域里投资，当然收益也可能相对较低。组成这两个机构所要考虑的因素主要包括：成员的经验；相对于管理层的独立性；外部董事的比例；其成员参与管理的程度；所采取措施的适宜性；对管理层提出问题的深度和广度；它们与内部、外部审计人员的关系实质。这两个机构应当负责批准并定期审查整个经营战略和重大政策；理解经营的主要风险，确定这些风险的可接受水平，保证高层管理者采取必要步骤，识别、衡量、评审和控制风险；批准机构的结构；并确保高层管理者不断评审风险管理系统的有效性。（4）授权和分配责任的方法如果管理当局建立了授权和分配责任的方法，就会大大增强机构的控制意识。强调对于组织内的全部活动要合理有效地分配职责和权限，并为执行任务和承担职责的机构成员特别是关键岗位的人员，提供和配备所需的资源并确保他们的经验和知识与职责权限相匹配，要使所有员工知道：他们的工作行为、职责担负形式和认可方式与达成组织目标的联系。(5)管理控制方法管理控制方法是管理当局对其他人的授权使用情况直接控制和对整个公司的活动实行监督的方法的总称，包括经营计划、预算、预测、利润计划、责任会计等。具体执行时需要计划；比较（实际与预算、实际与计划）；调查差异、采取纠正措施。组织规模越大，这些方法越重要。(6)内部审计内部审计是组织自我评估的一种活动，它通过协助管理当局监督其他控制政策和程序来促进好的内部环境的建立。内部审计与其权限、人员的资格以及可使用的资源密切相关。内部审计必须独立于被审计部门，并且直接向董事会或审计委员会报告。(7)人力资源政策及实务风险管理是由人来进行并受人的因素影响，风险管理中最重要的因素是人，如果员工具有足够的胜任能力和诚心度，将大大有助于风险管理目标的实现。保证组织所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践，是风险管理有效的关键因素之一。好的人事政策和实务，能确保执行组织政策和程序的人员具有正直品行和胜任能力，组织必须雇佣足够的人员并给予适当的培训和足够的资源，使其能完成所分配的任务。正直品行和胜任能力的人员在很大程度上取决于组织的有关雇佣政策、待遇、业绩考核以及晋升等政策和程序的合理程度。具体包括：有完善的招聘与选拔方针及操作性程序；对新员工进行组织文化和道德价值观的导向培训；对违反行为准则的任何事项，制定纪律约束与处罚措施；对业绩良好的员工，制定具有奖励和激励作用的报酬计划，并避免诱发不道德行为；根据阶段性的业绩评估结果，对员工予以晋升、指导以及奖罚。(8)诚信正直的原则和道德价值观无论是组织最高管理阶层还是其他成员都应当做到严格一致的诚信行为和道德标准；不盲目追求不切实际的目标，以免形成不必要的压力；对敏感职位之间的职务分工要准确明细，以避免造成偷窃资产或隐藏不良绩效的诱因；加强组织的内部审核制度；发挥董事会的职能，使其客观监督组织的高层管理阶层；提供道德方面的指导，使所有雇员在一般和特定环境下能够保持正确的判断；制作文字化的行为准则和政策声明，将其传达给全体雇员；将诱发人们不诚实、非法和不道德行为的动机降至最低。(9)外部影响外部机构的监管可能导致管理当局采用更多特定的风险管理政策和程序。(二)目标设定1、目标设定的含义和重要性 目标设定是企业在识别和分析实现目标的风险并采取行动来管理风险之前，采取恰当的程序去设定目标，确保所选定的目标支持和切合企业的发展使命，并且与企业的风险承受能力相一致。目标设定是企业风险评估的起点，是风险识别、风险分析和风险应对的前提。根据组织确定的任务或预期，管理者设定组织的战略目标，选择战略并确定其他与之相关的目标并在组织内层层分解和落实。管理者必须首先确定组织的目标，才能够确定对目标的实现有潜在影响的事项。而企业风险管理就是提供给组织管理者一个适当的过程，既能够帮助设定组织的目标，又能够将目标与组织的任务或预期联系在一起，并且保证设定的目标与组织的风险偏好相一致。风险管理要达到的目的称为风险管理目标，任何组织的控制目标，总是源于管理目标，总是和其管理目标相一致的，它是管理目标的具体化，风险管理为组织目标的实现服务。而任何组织的管理目标又总是和管理思想及经营方针密切相关。管理思想和经营方针既受经济环境的影响，又受决策阶层的基本观念影响。确定风险管理目标既要了解经营管理的总体目标，又要了解各管理阶层的个别目标，即要把各种经营活动分解成一个或几个循环，循环包括处理一个特定交易或业务所需要的一切特定活动(诸如验证、分类、记录、报告、信息)。循环应与机构的组织和职责分工相一致，应与机构的总体目标相配合，以促成总体目标的实现。因此，风险管理的基本目标，都是保证组织完成自己的工作任务或达到目的的，它具有实用性。2、确定风险管理的目标需要关注企业的利益相关者 企业的利益相关者就是和企业的发展、变化直接相关的那些组织和人员，他们会因企业的变化收益或者受害，企业目标（导向）的确定直接影响利益相关者的利益；反过来讲，企业利益相关者的诉求也会影响企业目标的确定以及企业风险管理目标的确定，因此要确定合理的企业目标就需要首先确定企业的利益相关者，根据利益相关者的诉求确定企业的目标。只有明确了风险管理的利益相关者，才能更好的明确风险管理的目的和方向，更好地为风险管理服务。需要注意的是，企业风险管理的利益相关者和公司治理的利益相关者不能直接划等号，但二者会互相影响。但考虑利益相关者的要求对企业目标的影响时，要分清并关注主要的利益相关者，而非面面俱到。3、企业的五类目标不同的目标对风险管理的制定、实施、要求各不相同，但不管怎样，风险管理都要实现如下五类目标：（1）促进企业实现发展战略目标促进企业实现发展战略是风险管理的最高目标，也是终极目标。战略与企业目标相关联并且支持其实现的基础，是管理者为实现企业价值最大化的根本目标而针对环境做出的一种反应和选择。（2）保证财务和运营信息的可靠性与完整性财务报告及相关信息的真实完整目标是指风险管理要合理保证企业提供了真实可靠的财务信息及其他信息。保证所有交易和事项以正确的金额，在恰当的会计期间及时记录于适当的账户，使会计报表的编制符合相关准则的相关要求。为确保财务报告及相关信息真实完整应做到：（1）应按照企业会计准则的有关会计制度如实地核算经济业务、编制财务报告，满足会计信息的一般质量要求。（2）应通过风险管理制度的设计，包括不相容职务分离控制制度、授权审批控制制度、日常信息核对制度、惩罚制度等，来防止提供虚假会计信息，抑制虚假交易的发生。为提供可靠的财务报告，必须保证具有可靠的会计记录。可靠的会计记录是指那些可以用来编制可靠财务报表的记录，包括某些月末或年末的调整记录(如调整分录)。如果其他各方面都能做到准确无误，会计记录就可以按照设计要求提供可靠信息。要求具有可靠会计记录的目的之一，是及时提供可靠的财务信息。管理部门需要可靠的财务信息以便在组织的经营活动中做出正确的经营决策；股东、贷款者和其他各方，需要可靠的财务信息以便进行正确的投资、贷款和其他决策。一般来说，审计人员直接关心提供给外部使用的财务报表可靠性的控制，而对内部管理报告可靠性的控制仅仅在审计人员认为其对它们审计工作产生影响时才予以关注。（3）保证运营的效率和效果（高效率、有成效（结果）提高经营的效率和效果是风险管理要达到的最直接也是最根本的目标。经济有效的利用资源，尽可能减少组织有限资源的耗费，实现理想的成本水平和效益水平。良好的风险管理可以从以下四个方面来提高企业的经营效率和效果：组织精简、权责划分明确，各部门之间、工作环节之间要密切配合，协调一致，充分发挥资源潜力，充分有效的使用资源，提高经营绩效。优化与整合风险管理业务流程，避免出现控制点的交叉和冗余，也要防止出现内控盲点，要设计最优的内控流程并严格执行，最大限度地提高执行效率。建立良好的信息和沟通体系，提高管理层的经济决策和反应的效率。建立有效的内部考核机制，提高工作的效率和效果。（4）组织的经营管理行为和决定遵守相关的法律、法规和合同（保证遵循政策、计划、程序、法律、法规和合同）经营管理合法合规目标是指风险管理要合理保证企业在国家法律和法规允许的范围内开展经营活动，严禁违法经营。 经营管理合法合规是企业生存和发展的客观前提，是风险管理的基础性目标，是实现其他内控目标的保证。政策、计划和程序是由组织制定的，法律和法规来源于组织外部，内部审计人员要审查规章制度的遵循情况，评价政策、计划和程序的适当性。评价政策、计划和程序的适当性是核心所在，若政策、计划和程序本身已不适当，遵守政策、计划和程序毫无意义。（5）资产得到保护（保护资产的安全）资产安全目标主要是为了防止资产流失。保护资产的安全与完整是企业开展经营活动的物质前提。资产安全目标有两个层次： 确保资产在使用价值上的完整性，主要是指防止货币资金和实物资产被挪用、转移、侵占、盗窃以及对无形资产控制权的旁落。确保资产在价值量上的完整性，主要是防止资产被低价出售，损害企业利益。保护资产通常理解为对现金、有价证券和存货等资产的保护，以防止出现舞弊性错误，如顾客通过盗窃或篡改记录、多拿佣金、红利或索取使用费等；也防止非故意性的错误，如偶然性少收货、多付购货款或财产损坏等。通常认为，保护资产不包括防止因鲁莽决策而造成的财产损失，例如赔本销售产品，在不妥当的地点开设仓库或是大作收效甚微的广告。为保护组织的资产安全所设计的风险管理的基本思想在于制衡，因为有了制衡，两个人同时犯同一错误的概率大大减少，从而加大了不法分子实施犯罪计划、进行贪污舞弊行为的难度，从而保护企业的资产被非法侵蚀或占用，保障企业正常经营活动的顺利开展。具体的保证资产安全的控制措施有安装防盗门锁、聘用保安、设置密码、修建地下室。贵重资产需要有多重保护措施。4、目标之间的关系 风险管理的五个目标不是彼此孤立的，而是相互联系、共同构成了一个完整的风险管理目标体系。其中，战略目标是最高目标，是与企业使命相联系的终极目标；其他四个是建立在战略目标基础上的业务层次目标，其中经营目标是战略目标的细化、分解与落实，是战略目标的短期化与具体化，是风险管理的核心目标；资产目标是实现经营目标的物质前提；报告目标是经营目标的成果体现与反映；合规目标是实现经营目标的有效保证。 5、目标的设定与风险偏好、风险承受度 （1）目标设定是否科学、有效，取决于其是否符合企业的风险偏好和风险承受度。企业要经常对设定的目标进行审阅，以保证这些目标和企业的偏好、风险承受能力一致。（2）风险偏好风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。可以从定性和定量两个角度对风险偏好加以度量。风险偏好与企业的战略直接相关，在战略制定阶段，企业应进行风险管理，考虑将该战略的既定收益与企业的风险偏好结合起来，目的是帮助企业的管理者在不同的战略之间选择与企业风险偏好相一致的战略。（3）风险承受度风险承受度是指在企业目标实现的过程中对差异的可承受风险限度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可接受水平，也被称作风险承受能力。也就是说，风险承受度包括整体风险承受能力和业务层面的可接受风险水平。（4）企业应以风险组合的观点看待风险。对企业内每个单位而言，其风险可能落在该单位的风险承受范围内，但从企业整体来看，总风险可能超过企业总体的风险偏好范围，因此，应以企业总体的风险组合的观点看待风险。6、企业战略目标的设定和分解 在设定企业风险管理目标的过程中，企业要根据自己的风险偏好和风险承受能力首先设定企业层面的目标，即战略目标，然后再设定业务层面目标。（1）战略目标需要考虑的因素和内容 战略目标是企业使命和功能的具体化，一方面有关企业生存的各个部门都需要设定目标。尽管企业战略目标是多元化的，但各个企业需要设定目标的内容却是大致相同，通常战略目标的内容可从以下几个方面来考虑：不是每个企业在以上每个区域都要规定目标，并且战略目标也不仅局限于以上9个方面。（2）战略目标的分解战略目标不止一个，而是由若干目标项目组成的一个战略目标体系。战略目标可以进行纵向分解和横向分解，还可以运用平衡计分卡进行分解。纵向分解从纵向上看，企业战略目标可以分解成树形图。在企业使命基础上设定战略目标，但为了其实现，还必须将其分解成职能战略目标，也就是，总战略目标是企业的主体目标，职能型目标是保证性目标。横向分解企业的战略目标大致可以分为两类：第一类是用来满足企业生存和发展所需要的项目目标，这些目标项目又可以分解成业绩目标和能力目标。业绩目标主要包括收益性、成长性和安全性指标等三类定量目标；能力目标主要包括企业综合能力指标、研究开发能力指标、生产能力指标、人事组织能力指标和财务管理能力指标等一些定性和定量指标。第二类是用来满足与企业有利益关系的各个社会群体所要求的目标。这样的群体主要有顾客、企业职工、股东、所有社区及企业社会群体。平衡计分卡通过平衡计分卡，可以从4个维度明晰企业的战略目标重点，如财务维度方面，快速扩大销售规模，提高销售收入；客户维度方面，显著提高产品品牌，扩大市场占有率；内部业务流程维度方面，导入信息化平台管理，改善销售模式；学习与成长维度方面，加强骨干员工的培训，打造学习型团队等。（3）战略目标设定的原则 战略目标设定的原则，通常使用SMART原则，它是以下五个英文单词首字母的缩写： S（Specific）代表具体，不能笼统；M（Measurable）代表可计量，可以量化并可被验证；A（Attainable）代表可行，可以达到；R（Relevant）代表相关性，实实在在，可以证明和观察；T（Time-based）代表时限，具有明确的截止期限。（4）战略目标设定的步骤a.明确企业发展目标b.制定实现目标的战略计划c.编制年度计划d.企业编制年度预算（5）战略目标设定的方法企业在设定战略目标时，有4个思考的维度：一是企业过去和现在已经达到的目标；二是所在行业的平均水平；三是所在行业最优水平或杠杆业绩；四是依据使命和愿景，企业应该达到的水平。 在具体设定战略目标时，常用的方法有时间序列分析法、相关分析法、盈亏平衡分析法、决策矩阵法、决策树法、基准分析法、博弈论法、模型模拟法等分析方法。7、设定业务层面目标业务层面的目标受制于战略目标并制约或促进战略目标的实现。设定的业务目标应该具体并具有可衡量性，并且与重要业务流程密切相关。业务流程设定一般需要4个阶段，具体如下图：1、风险、风险因素的定义风险是指某一对组织目标的实现可能造成负面影响的事项发生的可能性。风险因素可定义为对组织目标的实现产生负面影响的事情。因此，确定风险因素的先决条件是设定目标，组织的目标，通常是由组织的理念及其所追求的价值所决定的，而与之相配合的是组织下一级各部门的具体目标。组织在实现目标的过程中，由于受来自内部和外部各种不确定的因素的影响，使得组织的经营活动面临各种风险。不确定性的存在，使得组织的管理者需要对这些事项进行识别。而潜在事项对组织可能有正面的影响、负面的影响或者两者同时存在。对组织有正面影响的事项，或者是组织的机遇，或者是可以抵消风险对组织的负面影响的事项。机遇可以在组织战略或目标设定的过程中加以考虑，以确定有关行动抓住机遇。可能潜在地抵消风险的负面影响的事项则应在风险的评估和反应阶段予以考虑。有负面影响的事项是组织的风险，要求组织的管理者对其进行评估和反应。2、风险识别的含义 风险识别是对企业面临的各种潜在事项进行确认。对于风险识别的概念，可以从以下几个方面理解：（1）风险识别是一项动态的、连续不断、系统性的重复过程（2）风险识别是一项复杂的系统工程（3）风险识别是整个风险评估过程中重要的程序之一。3、风险识别的内容风险识别主要内容包括两方面：一是感知风险事项，二是分析风险事项。 感知风险事项和分析风险事项构成事项识别的基本内容，两者是相辅相成，互相联系。感知到风险事项的存在才能进一步有意识有目的的分析风险，进而掌握风险的存在及导致风险事项发生的原因和条件。4、识别风险因素风险评估中的要素包括关注对整体目标和业务活动目标的设定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。组织的风险一般是由外部因素和内部因素所产生的。 内部风险因素包括：信息系统处理的中断；聘用员工的品质、培训方法及激励制度；经理人员的责任改变；组织活动的性质以及员工可接近资产的程度；信息系统处理的特点；董事会或监事会不够坚定或无效等。 外部风险因素包括：科技发展；顾客的需求或预期改变；竞争；新的法律和行政命令；自然灾害；经济环境改变等。5、风险识别的过程（1）发现或者调查风险因素l 自然环境l 社会经济因素l 政治及法制因素l 营运环境（2）减少风险因素增加的条件发现或者调查风险源以后，应该寻求引发风险因素减少的条件。企业的风险因素应该包括但不限于以下内容：a.产品或服务的市场前景、行业经验环境的变化、商业周期或产品生命周期的影响、市场饱和等；b.经营模式发生变化，经营业绩不稳定，主产品或主要原材料价格波动，产品或服务过度集中或分散等；c.技术不成熟、技术尚未产业化、技术缺乏有效保护或保护期限短、缺乏核心技术或产品技术面临被淘汰等；d.投资项目在市场前景、技术保障、产业政策、环境保护、融资安排等方面存在的问题，因营业规模、营业范围扩大或者业务转型而导致的管理风险、业务转型风险。（3）预见危险或者风险事项识别的重要步骤就是能够预见危害，将产生危害的条件消灭在萌芽状态。（4）重视风险暴露 这是事项识别的重要组成部分，可能面临损失的物体都有风险暴露的可能性，必须重视风险的暴漏。任何企业的任何部门都有可能暴露于风险事项的威胁之下。为了事项识别的方便，一般把风险暴露分为：实物资产风险暴露、金融资产风险暴露、客户资产风险暴露、雇员或供应商资产风险暴露和组织资产风险暴露。6、风险识别的方法（1）财务报表分析法财务报表分析法是通过资产负债表、损益表、现金流量表和其他附表等财务信息的分析来识别风险事项。财务报表分析法具体分为：趋势分析法、比率分析法、因素分析法、杜邦分析法。a.趋势分析法是根据一个企业连续数期的利润表和资产负债表的各个项目进行比较，以求出金额和百分比增减变动的方向和幅度，以揭示当期财务状况和经营状况增减变化的性质及其趋向。趋势分析法通常包括横向分析法和纵向分析法。b.比率分析法就是把财务报表的某些项目同其他项目进行比较，这些金额或者数据可以选自一张会计报表，亦可以选自两张会计报表。比率分析法可以分析财务报表所列项目与项目之间的相互关系，运用的比较广泛。主要有经营成果的比分析、权益状况的比率分析、流动资产状况的比率分析。c.因素分析法比率因素分解法，是指把一个财务比率分解为若干个影响因素的方法。差异因素分解法又分为定基替代法和连环替代法两种。d.杜邦分析法： （2）流程图分析法流程图分析法是将风险主体的全部生产经营过程，按其内在的逻辑联系绘成作业流程图，针对流程中的关键环节和薄弱环节调查和分析风险。u 流程图的分类:l 按照流程路线的复杂程度划分，可以分为简单流程图和复杂流程图l 按照流程的内容划分可以分为内部流程图和外部流程图l 按照流程图的表现形式划分，分为实物形态流程图和价值形态流程图（3）事件树分析法事件树分析法又称故障树法，其实质是利用逻辑思维的规律和形式，从宏观的角度去分析事故形成的过程。事件树分析法的特点：l 事件树分析是一个动态过程l 可以指出防止事故发生的途径l 能够找出消除事故的根本措施（4）现场调查法获知主体经营情况的最佳途径就是现场调查。现场调查一般有三个步骤：l 调查前的准备，包括确定调查时间和调查对象等l 现场调查和访问，认真填写表格l 形成调查报告与反馈（5）保单对照法保单对照法，是将保险公司现行出售的保单风险种类与风险分析调查表融合改成的，用于风险识别的问卷式表格，风险管理者可以根据这一表格与主体已有的保单加以对照分析，发现现存的风险事项。（6）其他方法u 经常性的检查关键文档u 面谈 企业风险事项识别的方法很多，各有其优缺点和使用条件，没有绝对的使用所有事项识别的方法。主体不同，事项识别的方法也不同，试图用其中一种方法识别主体所面临的所有事项时不现实的。 事项识别是一个连续不断的、系统的过程，事项识别方法既关注过去，也着眼未来，仅凭一两次有限的分析不能解决所有的问题，许多复杂的和潜在的事项要经过多次识别才能获得最佳效果。（四）风险评价（Risk Appraisal）1、含义 在确定了组织的内外部环境和目标，识别了风险因素的前提下，可以对影响目标实现的风险因素逐项进行风险评价。风险主要来自于外部环境和内部条件的变化，风险因素识别包括对外部因素和内部因素进行检查；风险分析则是估计风险的重大程度、风险发生的可能性、如何控制风险等。风险分析是结合企业特定条件在风险识别的基础上，运用定量或定性方法进一步分析风险发生的可能性和对企业目标实现的影响程度，并对风险的状况进行综合评价，为制定风险管理策略与选择应对方案提供依据。 风险评估就是分析和辨认实现既定目标可能发生的风险。风险分析是风险应对的基础，并为制定合理的风险应对策略提供依据，没有客观、充分、合理的风险分析，风险应对将是无的放矢、效率低下的。从风险管理的角度看，风险评价的实质应充分考虑对组织目标的实现可能造成不利影响的内外因素，真正认识到这些风险，然后可以在下一步根据风险的评价确认经营活动过程中的关键控制点，从而针对关键控制点进一步采取相应的有针对性的控制活动。管理者为了建立和完善风险管理，要评价风险；内部审计人员为了评价风险管理，也要连续评价风险；注册会计师为了制定财务审计的审计策略，也要依赖于评价风险管理的评价结果。2、风险分析的内容风险评估可以使管理者了解潜在事项如何影响组织目标的实现。风险评估中最基本的部分，就是如何辨认风险因素中已发生的改变，并采取必要的行动。这些改变因素包括：行业环境的改变、新员工、业务迅速成长、新科技、新业务、新产品、新作业、公司重组、国外业务等。 管理者应从两个方面对风险进行评估风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性，影响则是指对组织目标的实现产生影响的严重程度，即事项的发生将会带来的影响。（1）风险发生的可能性分析可能性分析是指假定企业不采取任何措施去影响经营管理过程，将会发生风险的概率。它通常是通过实际情况的收集和利用专业判断来完成。风险可能性分析的结果一般有“很少”、“不太可能”、“可能”、“很可能”和“几乎确定”五种情况。（2）风险产生的影响程度分析影响程度分析主要是指对目标现实的负面影响程度分析。按照影响的结果（通常是量化成数值），一般将风险划分为“不重要”、“次要”、“中等”、“主要”和“灾难性”五级。3、风险的测量 风险评估可以采用定性或定量的方法进行。是指运用定性术语评估并描述风险发生的可能性及其影响程度。定性分析方法是目前风险分析中采用比较多的方法，它具有很强的主观性，往往需要凭借分析者的经验和直觉，或者世界的标准和惯例，对风险因素的大小或高低程度进行定性描述，譬如高、中、低三级。定性分析的操作方法多种多样，有问卷调查、集体讨论、专家资讯、人员访谈等。最常见的定性分析方法是风险评估图法。风险评估图法是把风险发生的可能性、风险发生后对目标的影响程度，作为两个维度绘制在同一个平面上（即绘制成直角坐标系）。