㈠ 什么是风险管理框架?

 “标准”指出：风险管理框架是指企业“为设计、执行、监测、评审和持续改进整个组织的风险管理提供基础和安排的一组构成”。 其中，基础包括方针、目标、对管理风险的授权与承诺;安排包括计划、相互关系、责任、资源、过程和活动。IS0“标准”确定的风险管理框架由“授权与承诺、风险管理框架设计、实施风险管理、监测与评审、持续改进”五部分组成;如图7-l所示。

 图7-l 风险管理框架

㈡ 风险管理框架构成要素的内含

1，授权与承诺

“授权与承诺”是风险管理框架中的第一要素，是整个框架中的统领。从图1-7中可以看到，风险管理框架中其他四要素组成了一个过程循环，而“授权与承诺”在循环之上，对正个循环过程具有统帅作用。

企业的经营管理者在“受权与承诺”方面至少应落实以下9项内容：

⑴ 说明并签署风险管理方针;

⑵ 确保企业的文化与风险管理方针思想一致;

⑶ 决定风险管理的绩效指标，该指标应与企业的绩效指标相一致;

⑷ 风险管理的目标与企业的目标和企业的经营战略相一致;

⑸ 确保法律法规的符合性;

⑹ 在企业内部的适当层次分配管理责任和职责;

⑺ 确保风险管理中必要的资源配置;

⑻ 与所有利益相关方沟通风险管理的益处;

⑼ 确保管理风险框架持续改进适宜。

2、风险管理框架设计

依据图7-1所示，在“授权于承诺”统领之下，企业需要对风险管理框架进行设计。企业在设计自身的风险管理框架时可从以下七个方面入手：

⑴ 了解企业及其环境。企业在制定风险管理方针、确定风险管理范围和风险管理准则时，必须明确企业所处外部环境、内部环境、风险管理过程环境，才能制定出切实可行的框架。

⑵ 家里风箱管理方针。包括企业风险管理的依据;企业目标方针与风险管理方针的联系;管理风险的职责和责任;处理利益冲突的方式;承诺向有关风险管理提供必要的资源;测量和报告风险管理绩效的方式;承诺定期评审和改进风险管理方针和框架，以及对事件和情况变化的响应。

⑶ 风险管理责任：包括识别负有风险管理责任与权利的人;对开发、实施、保持管理风险框架负有责任的人;风险管理过程中其他职责的人;建立绩效测量外部和内部报告以及升级过程;确报时当程度的承诺。

⑷ 整合嵌入组织的过程。风险管理应以关联的、有效的和高效率的方式嵌入企业所有业务及过程。如方针的制定、业务与战略的策划及评审，以及变更管理过程等。

⑸ 实施风险管理的资源。包括人员、技能、经验和能力;风险管理过程每步需要的资源;用于管理风险的过程、方法和工具;己记载的过程和程序;信息和知识的管理系统;培训计划等。

⑹ 建立内部沟通和报告机制。包括适当的风险管理框架关系构成及后续修改;管理框架有效性及结果的内部报告;在适当层次和时间可以获取的相关信息;向内部利益相关方咨询过程。

⑺ 建立外部沟通和报告机制。包括明确利益相关方;报告要符合法律、监管和公司治理要求;就沟通和咨询提供反馈和报告;通过沟通建立信任;就危机或突发事件与外部利益相关方沟通等。

3、实施风险管理过程

⑴企业实施风险管理框架，应具备以下6项要求：

① 为实施风险管理框架，应确定适当的时间安排和战略部署;

② 将风险管理方针和过程 应用到生产经营过程之中;

③ 符合法律、法规和监管的要求;

④确保开发和制定目标决策，与风险管理过程的结果相一致;

⑤ 掌握信息和培训课程;

⑥ 与利益相关方沟通与咨询，以确保风险管理框保持适宜。

⑵ 实施风险管理过程，风险管理过程是风险管理框架中的重要内容。这一过程包括建立环境、风险评估、风险应对、监测与评审、沟通与咨询。从下一讲开始分别论述。

4 风险管理框架实施监测与评审

监测与评审的内容应包括以下5项;

⑴ 按所确定的目标/指标测量风险管理的绩效，并定期评审其适宜性;

⑵ 定期测量风险管理计划的进展，以及进展与计划的偏离;

⑶ 在企业所处的外部/内部环境下，定期评审风险管理框架、方针、计划是否适宜;

⑷ 报告风险、风险管理计划的进展、风险管理方针的遵循情况;

⑸ 评审风险管理框架的有效性。

5、风险管理框架的持续改进

通过监测与评审、指出实施过程中优点及存在缺陷，对风险管理框架的持续改进提出要求，“以监测和评审的结果为基础，决定风险管理框架、方针、计划如何改进，这些决定应导致企业的风险管理和管理文化的改进”。从而使风险管理不断地深入持续下去，形成良性循环。为实现企业的目标而提供保障。

㈢ 企业风险管理框架的目的

COSO指出企业风险管理框架的目的是：

⒈企业的风险承受度和战略相一致。成熟度指在广泛基础水平上的风险偏好程度，即某一实体愿意在追求其目标时可接受的风险。

⒉与增长、风险和回报相联系。企业实施风险管理增强识别和评估与应对风险的能力，并且建立与增长和回报目标相关的可接受的风险程度。

⒊增强风险应对决策。风险管理提供了不同的风险应对替代方案与风险接受之间进行识别和选择的严格要求，从而有利于增强风险应对决策。

⒋使运营的的意外损失最小化。由于增强了识别潜在风险、评估风险和确定应该对举措的能力，因此可降低发生意外损失的可能性，使成本或损失最小化。

⒌识别和管理整个企业的风险。每个企业都面对影响目标的数个风险，管理层不仅需要管理个别风险，而且也需要理解个别风险之间的相互影响。

⒍提供对多重风险的整体应对措施。业务流程具有许多固有风险，而风险管理有助于确认管理这些风险的整体解决办法。

⒎ 抓住机会。通过考虑整体范围的潜在风险，而其中不仅是威胁，而且可使管理层获得对某些威胁如何转变成为机会的理解。

⒏使资本合理化。管理层持有更全面的风险信息，将有利于管理层更加有效的评估整体资本的需要和改善资本分配。