为使企业在整个企业不同职能部门，不同层次全方位的运作有效，管理层必须制定有一套通用的风险语言的定义，这样才有助于企业所有风险管理者的相互了解和沟通。因为信息的有效沟通往往是风险管理成效大小的关键，而缺乏通用的沟通语言则无法对商业风险进行有效理解。一个有效的风险管理离不开企业组织内部不同职能、不同部门之间、上下之间的信息相互沟通，这部分COSO框架已经做得非常完善，本书只是做了相关调整和解释。

一、企业风险管理的概念

企业的风险管理的本质含义是“考虑了企业所有的风险因素和所有业务部门及其关于企业整体的风险管理”，是相对于传统的单风险因素或单业务部门的风险管理而言的。其核心是用系统的、动态的方法进行风险管理，以控制项目过程中的不确定性。它不仅使各层次的项目建立风险意识，重视风险问题，防患于未然，而且在各个阶段、各个方面实施有效的风险控制，是一个前后连贯的管理过程。归纳起来，企业的全面风险管理具有四个方面的显著特征：

（一）全面的风险管理范围；

（二）全球的风险管理体系；

（三）全程的风险管理过程；

（四）全员的风险管理文化。

COSO框架中对企业风险管理给出的定义为：企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活动，用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险，为企业目标的实现提供合理的保证。

《指引》中对企业风险管理给出的定义为：企业风险管理指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

本书提出的风险管理，是对上述理论的继承和发展，是对上述理论进行综合与抽象之后产生的新的适用于企业层面的风险管理理论。

第一，强调过程导向和环境依赖，对风险进行全过程的管理，对组织的生存环境进行分析和监控从薄弱环节入手，提高组织的柔性（资源柔性、制度柔性、文化柔性、反应柔性等），促使组织中的个人思考，增强组织对外部变化的灵敏性和正确反应的快速性和敏捷性。

第二，对系统的组织结构进行分析，分析的中心是该系统本身及内含于结构内部的缺陷，以确定该系统对于正常事件的敏感度。

第三，概率分析，针对风险评估过程，其中要对各种事件和情况发生的概率进行假设或估计；同时要对主观概率和客观概率之间的区别加以阐明，对所有的概率值要加以核对，以保证相互之间的一致性这里偏好和价格能够发挥一定程度的限制作用，故可以利用其更准确地估计概率。

第四，企业全面风险管理体系自身也存在不确定性，对于体系的实施也不是从一而终的，而是随着企业所面临的外部环境以及内部环境的不断变迁而不断的自我修订、自我完善的过程。

这样的体系可以应用到个人和复杂组织的风险决策过程，使得个人和组织能够系统、成功地管理它们各自的风险，从而实现企业所期望的目标：组织目标和社会利益的优化。

二、企业风险管理体系框架的构建

《巴塞尔协议》中定义的内部控制：企业董事会、管理层对企业内部风险以及外部风险管理过程中可能出现的操作性风险进行管理，保证企业所有的经营活动符合企业既定的经营目标的一种组织行为。

COSO框架中定义内部控制为：为确保管理层的风险应对措施被执行而采取的政策和程序。控制活动在整个企业的各个部分、各个层面以及各个职能上发生，包括一系列的活动——如批准、授权、审核、调整、经营业绩评价、资产安全以及职责分离。

本书定义的内部控制系统更接近于指引中对于内部控制的定义，内部控制指围绕企业的风险管理策略目标，针对企业各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。它不同于《巴塞尔协议》和COSO框架中的内部控制，而集中体现为制定并执行的规章制度、程序和措施。通过这个过程，蕴涵的是内部控制的机制和思想。

风险评估体系可以细分为风险事件、风险识别、风险评估和风险反应四部分。风险事件是指查找企业各业务单元、各项重要经营活动及其重要业务流程中可能存在哪些风险。风险识别是对辨识出的风险及其特征进行定性描述和辨别，亦即分析和描述风险发生可能性的高低、风险发生的条件。风险评估是评估风险对企业实现目标的影响程度、风险的价值等。风险反应是指评价了相关风险以后，管理层考虑成本效益关系，根据企业期望的风险承受度，选择一个可带来预期可能性和影响的应对措施。

内部环境包含一个组织的基调，影响员工的风险意识，同时还是企业风险管理其他部分的基础，提供信息、纪律和结构。内部环境主要是指企业内部生成以及外部事件、活动和条件的数据信息，企业的风险偏好和风险文化，董事会监管；企业员工的诚信、道德观和能力；管理哲学和经营风格，以及管理部门分配权力和职责、组织和引导员工的方式等。具体包括：

（一）内部环境：风险管理原理、风险文化、董事会、操守和价值观、对胜任能力的承诺、管理方法和经营模式、风险偏好、组织机构、职责和权限的分配、人力资源政策……

（二）目标设定：战略目标、相关目标、风险容忍程度……

（三）信息与沟通：信息系统、信息传送渠道、制度……

相对应的外部环境风险指由外部因素引起的可能导致企业产生重大损失或使企业战略目标难以实现的风险，如资本的可获得性，竞争对方的行动及监管条例的变化等等。笔者认为外部环境的变化对企业的影响一方面是直接应用于企业的战略；另一方面是通过对企业风险管理体系的内部环境产生影响进而给系统的要素带来改变，故而在体系中没有明确地加以列及。

虽然在理论上本书将企业风险管理体系分为三个部分的技术问题加以解决，但是在实际应用过程中三个方面的理论和应用是互相关联、紧密联合在一起的，三个部分互相包容，共同构成了企业全面风险管理体系。

三、风险识别

（一）企业风险的识别与分析

风险识别也称作风险辨识，即准确地辨别出可能会影响企业战略目标的实现和战略绩效达到的风险事件以及风险事件产生不利结果的条件、情况、原因和环境，并对风险事件发生的可能性概率、影响程度以及损失进行分析和估量。但是任何风险都不是直观显露、显而易见的，多数情况下，风险隐蔽在战略管理的各项活动、各个环节和各个方面以及各个时期，很难被发现，甚至风险可能存在于种种假象之后，具有极大的迷惑性；同时风险的基本理论告诉我们风险具有多发性的特征，通过研究各种风险发生的概率和频率。我们可以探索战略风险事件的某些规律，从而可以辨识其存在，衡量其大小，为战略风险的预警和控制提供依据。可见，识别和衡量战略风险在战略管理中极为重要。

识别风险是一项复杂而细致的工作，要按特定的程序、步骤，采用适当的方法逐层次地分析各种现象，并实事求是地做出评估。

（二）识别步骤

辨识风险的过程包括对所有可能的风险事件来源和结果进行实事求是调查、访问和对案例进行研究，识别战略风险必须系统、持续、严格分类并恰如其分地评价其严重程度。战略层面风险及对策分析程序。风险管理部门COSO内部控制框架和ERM框架的要求，参照SOX法案实施细则，制定本公司的工作流程，组织公司层面风险数据库的编制与确认，主要程序如下：

1.确立公司总体目标

公司内部控制部根据公司制定的战略s标、与战略目标相关的中长期发展规划确立公司总体目标。

2.收集公司及同行业其他公司在资本市场披露的公司风险情况

公司风险管理部门和相关部门将公司及同行业的其他公司最近年度在资本市场上披露的相关风险进行收集、整理、归纳和分析，找出公司与同行业其他公司披露的风险的共同点和差异点，作为识别公司层面风险的参考资料。

3.识别确认风险

公司风险管理部门和相关部门管理人员参考公司和同行业其他公司披露的风险，采取分组讨论、对部门负责人进行访谈等方式，逐项识别公司内、外部影响公司战略目标实现、影响公司整体发展和公司声誉等方面的负面因素，完成公司战略层面风险的识别和确认。(www.daowen.com)

4.风险分析

公司风险管理部门组织具有经验的风险管理人员和相关管理人员，结合国内外政治因素的变化情况、市场价格变化趋势、技术发展趋势、自然灾害发生规律、竞争环境变化情况、信息系统运转现状等实际情况，分析确定相关风险发生的可能性、影响程度、重要性水平、相关财务报表认定、相关的重要会计科B和披露事项。

5.确定风险反应，描述相关对策。

6.记录公司层面风险，形成“公司层面风险及对策指引表”，报送相关部门审核并确认后，送交风险管理部门审议通过后发布实施。

四、企业风险识别的方法

风险是客观存在的事实，所承受风险的大小与面对风险的客观主体是密切相关的。企业在市场经济活动中所面对各种风险的大小，是由企业所决定的，有的企业它获取信息的能力很强，企业管理人员在对市场信息的分析过程中能做到去伪存真，从而减少因为信息不对称所带来的种种风险。所以企业所掌握信息的数量多少以及企业领导人的分析判断能力在企业识别风险的过程中起着至关重要的作用。但是，仅仅依靠这些是不够的，最重要的是要构建一种风险识别预警机制，由专门的工作人员做信息搜集和风险分析工作，这样才能形成一套系统的、行之有效的风险识别体系，只有这样的体系才能为企业的健康发展保驾护航。风险识别方法很多，但并不是每一种都适用于企业，特别是一些比较专业的识别方法，对使用人员的相关知识要求很高。企业管理中常用的风险识别方法主要有以下几种：环境分析法、财务报表分析法、事件清单法、访谈法、流程图法、幕景分析法、专家调查法和风险临界法等。

（一）财务报表分析法

财务报表分析法是以企业的资产负债表、损益表、现金流量表、所有者权益变动表和财务报表附注等资料为依据，对企业的资产、负债、所有者权益、资本机构、反映企业运营状况的各种财务指标等财务数据的变化进行逐年对比分析，以便从财务的角度发现企业面临的潜在风险。财务报表是综合反映企业财务状况和经营成果的一张“晴雨表”，企业所有的经营信息都体现在于其中。因此，加强对财务报表的分析力度有助于发现企业在经营管理过程中存在的缺陷，从而为相关工作人员发现风险提供相关的线索。

财务报表分析的主要内容包括：

1.资本结构与资金分布分析

企业就像生命一样，它需要“资金”这种血液来进行正常的带动，以供应整个企业系统的运转。因此，企业所需资金的分布是否合理势必严重影响着企业的健康发展。对于企业来说，应该保证资金有合理的来源，还要保证资金在企业的生产运转中进行通畅的循环。所以，企业应该预留一定数量的资金，用以防止企业大量资金停滞在生产销售环节而出现资金断流的情况。这种情况在企业扩张的过程中是非常常见的，一旦发生这种情况就会导致整个企业资金链的断裂，资金循环出现问题，风险也就出现了。

2.财务报表趋势分析

趋势分析是根据企业连续若干年的资产负债表和损益表的各个项目进行比较分析，得出相关项目金额的增减变动方向以及变动幅度，通过趋势分析来判定企业当前的实际财务状况。例如，通过资产负债表和损益表比较分析，发现企业的存货数量是逐年上升，在资产中所占的比重也越来越大，但是每年的营业收入水平却保持稳定，这就说明企业的产品销售出现了问题，这时企业管理人员就得注意存货出现堆积的原因是什么，是企业的生产销售环节出现了脱节还是企业扩张导致的。如果在比较历年的资产负债表后发现，企业每年的负债是节节攀升，而企业的偿债能力却没有增加，这就意味着企业可能陷入债台高筑的境地，这时企业为了进一步地生存下去，不得不加大借款力度，最终陷入债务纠纷甚至破产清算。这些都是企业在经营过程中很容易出现的风险，只要对报表中相关数据的变化趋势加以简单分析即可得出。但是，对于一些比较深层次的问题，则需要通过其他的手段来对报表进行分析，最常用的就是对企业的各种经营指标进行分析，通过各种比率来反映企业的营运状况。

3.财务报表的比率分析

比率分析就是将财务报表之间的若干个项目进行比较，以得出能反映企业经营状况的各种比率。常用的比率有：资产利润率——反映企业资金的获利能力，资产负债率——企业偿还债务的能力，存货周转率——反映存货每年的周转次数，等等。还有流动比率和速动比率，它们都是反映经营状况常用的指标。对于每个指标来说，每个行业都会存在本行业的平均值，这个平均值代表了企业的平均水平，因此企业可以将自身的指标与行业的平均指标甚至该指标的最大值进行对比，以此来发现差距。如果与平均值差距太大，且是处于同行业最低水平，那么企业就应该注意，这一现象的产生是什么原因，企业在历史同期是否都会出现这种情况，还是突然出现这个现象。如果这种情形以前没出现过，那就得注意企业在这一方面是否存在风险。

总之，财务报表就是一张企业生产经营活动的汇总表，财务人员通过分析可以发现很多的有用信息，甚至可以看出潜在的风险和损失。但是，这种方式也有它的局限性，因为它是依靠数据说明问题，所以很多以非货币性形式存在的问题就无法通过财务报表反映出来，如员工素质、企业制度、管理人员的管理风格等，这时候就需要参考企业财务报表附注来进行判断。报表附注可以对一些问题出现的原因进行阐述，但是也不可能全部说明情况，因此，在使用这种方式识别企业风险时还要注意结合其他方式方法，以做到取长补短。

（二）事件清单法

事件清单法又称标准调查法，这种调查法中涉及的事件对于同一行业的不同企业来说都有意义，制作这种事件清单的根据是同行业企业在某一事件上所具有的可比性，以软件行业为例，企业每年的研发资金、员工整体素质、整个企业的人员流动率等都可以作为调查对象。

（三）访谈法

访谈法是指工作分析人员通过与员工进行面对面的交流，加深对员工工作的了解以获取工作信息的一种工作分析方法。其具体做法包括个人访谈、同种工作员工的群体访谈和主管人员访谈。在企业风险管理中运用这个方法时，主要是由管理人员通过制订详细的访谈计划，对相关部门熟悉业务流程、有经验的管理人员进行访谈，了解和讨论存在的风险，并形成访谈记录。

这种方法的优点：

1.获取的信息更加深入、全面和详细，行为具有很强的针对性；

2.可以深入到受访者的内心，了解他们的心理活动和思想观念；

3.深入地了解风险的发生背景和影响风险的广泛决定因素；

4.访谈人员有更多机会分享和了解应答者对于潜在风险点的看法，以及他们对公司运行情况的宏观认识和意见。

（四）流程图法

流程图法是指将企业生产经营管理的某一过程进行细化，通过建立一个流程图，使得该过程中的每个关键控制点都在流程图中得到体现。在进行风险识别分析时，管理人员只要将企业的实际操作方法与每一个环节逐一对照，一经分析就可发现潜在的风险和问题。对于出现的问题，只要在流程图中一对照，即可发现问题的根源所在。这种方法在内部审计中是非常实用的一种方法，在企业的经营管理中发挥着巨大的效应。

（五）专家调查法

专家分析法是指通过引用专家的专业知识和工作经验、发挥他们的专业特长来识别可能出现的风险及其风险的大小。这种方法在企业管理中是非常普遍的一种做法，具有很强的针对性。专家调查法具有多种形式，例如集合意见法、德尔菲法等都属于专家意见法。通常来说，运用这种方法的步骤有：

1.选择目标项目，选聘相关领域的专家。

2.专家对目标项目进行专门的风险分析。

3.回收专家意见并整理分析结果，再将结果反馈给专家。

4.综合专家的再次反馈，对有异议的部分进行再次分析，直到对分析结果满意为止。

实践证明，专家调查法是一种很科学的方法，它在实际生产生活中的应用取得了良好效果。但是，必须慎重选择专家，不要迷信权威，并及时提出疑问，这样才能得出客观正确的结果。

（六）风险临界法

风险临界法在企业风险管理中的应用非常广泛，也是企业常用的一种风险识别方法，同时还可以根据识别结果来判断当前风险的大小。它的原理是将当前的事件与预先设定的标准进行对比，当风险达到临界值时就引起管理人员的关注。企业可以根据不同的标准值采取不同的风险应对策略，尽量提高风险管理效率和降低风险管理成本。