内控-风险-合规一体化建设100问(48-55)
湖南省港航水利集团有限公司 • 学习专栏
2023-04-03 19:44:05

48.风险管理框架的8要素中“内部环境”是指什么?

“内部环境”是企业风险管理所有其他构成要素的基础,为其他风险管理要素提供运行的规则和结构。内部环境包含很多内容,包括风险管理理念、风险容量、董事会、诚信和道德价值观、对胜任能力的要求、组织结构、权力和职责的分配及人力资源准则,它影响着企业的战略和目标如何制定、经营活动如何组织以及如何识别、评估风险并采取行动;它还影响着企业的风险控制活动、信息与沟通体系、风险监督等风险管理要素。

49.风险管理框架的8要素中“目标设定”是指什么?

风险管理框架的8要素中的“目标设定”是指,企业必须首先建立企业要实现的战略或者目标,管理层才能识别影响目标实现的潜在风险事项。

从企业管理的角度来看,企业决策与经营的各项活动均存在风险,但是如果要对所有活动面对的风险全部控制,那么企业的运行成本将会无限增加。因此,设定适当的风险控制目标就显得非常重要。

企业风险管理确保管理层采取适当的程序去设定风险控制目标,确保所选定的风控目标支持和切合该企业的使命,并且与它的风险容量相符。

50.风险管理框架的8要素中“事件识别”是指什么?

“事件识别”是指识别影响企业目标实现的内部和外部事件,即确定这些潜在事项对企业到底是机会还是风险。如果是机会,应将其反馈到战略和目标设定之中,而如果是风险则应该展开有效的评估和应对。

这些事项是来自于内部或外部的影响实施战略和目标实现的事故或事件,其驱动因素可能来自很多方面,比如外部的经济因素(价格、资本等)、自然环境、政治、技术、社会等因素,以及内部的基础结构、人员、流程、技术等。企业应该采取各种方式,比如互动研讨、统计数据、追踪技术、内部分析、预警触发等。

在“事件识别”中,为了更好的管理事项以及其背后的风险及其应对,应该考虑事项之间的关联关系,事项的类别划分(包括正负向划分以及不同属性类别上的划分)。

51.风险管理框架的8要素中“风险评估”是指什么?

“风险评估”是指通过考虑某一风险发生的可能性高低和影响大小来对其加以分析,并以此作为如何进行风险管理的依据。在设定风险控制目标,发现风险事项之后,必须进行适当的风险评估。

评估风险对企业实现目标的影响程度或风险价值等,有定性与定量两种方法——定性方法包括问卷调查、集体讨论、专家咨询、政策分析、行业标杆比较、管理层访谈和调查研究等,而定量方法包括统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。根据coso的建议,定性和定量的方法相结合是最佳选择。

52.风险管理框架的8要素中“风险应对”是指什么?

“风险应对”是指管理层在风险容忍度和成本、收益原则下,确定风险应对方案并考虑其对风险事项的可能性和效果的影响,然后设计、确定和实施选择的应对方案。

风险应对措施通常包括回避、降低、分担和承担四种。此外,在风险应对的过程中,还应该有组合的观念——一个不同风险组合应对之后,其风险应对管理成本可能会下降,也可能因为组合而积聚上升变得更加重要,这就如同合力效应。

53.风险管理框架的8要素中“控制活动”是指什么?

“控制活动”是指为了应对风险的发生所采取的措施和方法,通过控制活动的实行,降低或者消除风险发生的可能性。

控制活动通常包含两个要素:确定应做什么的政策和有效地实施政策的程序。控制活动也可以分为预防性控制、检查性控制、纠正性控制和补偿性控制等各种类型。

在风险管理中,风险控制活动贯穿在组织的各个层级和各个职能部门,包括一系列不同的活动,比如批准、授权、验证、调节、评价、评估、职责分离等等。

54.风险管理框架的8要素中“信息与沟通”是指什么?

“信息与沟通要素”是指提倡企业必须有效识别、收集来源于企业内部和外部的定性或定量的经营信息,并以适当的方式与相关利益者进行有效沟通。

信息的来源无论是内部,还是外部都有正式渠道,也有非正式渠道,有直接渠道也有间接渠道。比如,商户的风险高低在于获得商户的信息多少、来源及其可靠性——有直接与商户面谈或问卷调查得到信息,也可能有通过新闻媒体、网络平台、监管机构等方面获得的有关商户的信息。

另外,现在信息化时代下,内部不同平台之间的信息共享程度,以及内部系统与外部系统(供应商或客户)的集成度和信息分享程度都在日益上升。这给信息、沟通的及时性、效率得到改善,而同时信息的深度、及时性、可靠性对于信息分析决策都变得日益重要。

同信息的来源分为内部和外部一样,信息的沟通也分为内部和外部沟通。信息的内部沟通是为了更高的事项企业的战略、经营、报告和合规方面的目标。内部沟通包括横向的沟通和纵向的沟通,横向的沟通有利于风险的应对和控制活动的协调开展,纵向信息的及时沟通便于决策及其措施的快速确定和传达。

信息的外部沟通主要集中在企业主体与外部利益相关者之间的沟通,比如供应商、客户、监管机构、投资者等等。

55.风险管理框架的8要素中“内部监督”是指什么?

“内部监督”是一个对风险要素当前功能及其业绩质量进行评估的过程。通常监督通过两种方法进行:通过持续的活动或个别评价。

持续监控建立在企业日常重复发生的业务活动和风险管理活动之上,而个别评价则是在事后进行的,可以作为对持续监控的补充。

专门的评价通常要确定评价的范围、频率、目的,并关注评价过程、方法和报告形成评价的信息传递机制和分享机制。在企业风险管理工作的实务处理中,这两种方法是结合进行的。

作者:阎攀宇

责编:陈南松

来源:中天华溥管理视野

专题合规建设年

评论