[键入文字]
第二章 定义
1、风险定义
风险是一个事项将会发生并给目标实现带来负面影响的可能性。带有负面影响的事项阻碍价值创造,或者破坏现有的价值。带有负面影响的事项包括但不限于:对公司的声誉、形象、资产、经营、盈利或流动性造成实质性不良影响的事件、事故或者行为。
2、风险分类及定义
对于风险的大小,公司通过两个维度进行衡量。一个维度是风险发生的重要性,也就是说,假设一旦风险发生了,它带来的后果对于公司的经营活动影响有多大;另一个维度是风险发生的可能性,也就是说,在公司现有的政策制度下,风险是容易发生,还是不容易发生。如果某一事件的这两个维度中的任意一个维度为零,即该事件没有发生的可能性,或者该事件即使发生了对公司经营活动也不会造成任何影响,那么该事件就不属于风险范畴。本框架根据上述这两个维度,将风险划分为三类:高风险、中风险和低风险。其相关定义为: (1) 高风险
指风险发生的重要性和可能性同时为高,表明其发生结果对公司运营有较大的负面影响,且发生的可能性较高。一般而言,公司对该类风险应该在一年之内完善风险应对方案及改进措施。如果公司相关资源投入有限制,可以考虑适当延长时间完成相关工作。 (2) 中风险
指风险发生的重要性和可能性中仅有一项为高,表明其发生结果对公司运营的负面影响较大,或者发生的可能性较高。一般而言,公司对该类风险应该在两到三年内完善风险应对方案及改进措施。 (3) 低风险
指风险发生的重要性和可能性同时为低,表明其发生结果对公司运营的负面影响较小,且发生的可能性较低。一般而言,公司对该类风险应该通过日常工作中的控制措施进行持续监控,并通过定期的公司级风险评估/风险审视,关注其相关条件是否发生变化,是否需要调整其风险级别,并采取相应措施。
3、企业风险管理定义
企业风险管理处理风险和机会,以便创造或保持价值。它的定义如下:
- 19 -
[键入文字]
企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨丰识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体的实现提供合理保证。
这个定义反映了几个基本概念。企业风险管理是: ● 一个过程,它持续地流动于主体之内; ● 由组织中各个层级的人员实施; ● 应用于战略制订;
● 贯穿于企业,在各个层级和单元应用,还包括采取主体层级的风险组合观; ● 旨在识别一旦发生将会影响主体的潜在事项,并把风险控制在风险容量以内; ● 能够向一个主体的管理当局和董事会提供合理保证;
● 力求实现一个或多个不同类型但相互交叉的目标――它只是实现结果的一种手段,并不是结果本身。
这个定义之所以比较宽泛,是出于几个方面的原因。它抓住了对于公司和其他组织如何管理风险至关重要的关键概念,为不同组织形式、行业和部门的应用提供了基础,直接关注特定主体既定目标的实现。
4、企业风险管理与管理过程
因为企业风险管理是管理过程的一部分,所以企业风险管理框架的构成要素是在管理当局如何经营企业或其他主体的背景下加以讨论的。但是并不是管理当局所做的每一件事情都是企业风险管理的一部分。管理当局在决策和相关的管理活动中所运用的许多判断,尽管是管理过程的一部分,但是并不是企业风险管理的一部分。例如:
● 确保有一个恰当的目标设定过程是企业风险管理的一个重要的构成要素,但是管理当局所选定的选定目标并不是企业风险管理的一部分。
● 根据对风险的恰当评估去应对风险是企业风险管理的一部分,但是所选定的具体风险应对和主体资源的相应配置却不是。
● 确定的执行控制活动以帮助确保管理当局选择的应对得以有效实施是企业风险管理的一部分,但是所选定的特定的控制活动却不是。
总之,企业风险管理包括管理过程中那些保证管理当局作出知情的风险决策的要素,但是从一系列合适的选项中选定的特定决策并不能决定企业风险管理是否有效。管理选定的具体目标、风险应对和控制活动与管理当局的判断有关,但是这些选择必须最终把风险降低到
- 20 -
[键入文字]
一个可以接受的水平――这个水平取决于风险容量,以及有关实现主体目标的合理保证。
5、企业风险管理与内部控制
内部控制是企业风险管理不可分割的一部分。这份企业风险管理框架涵盖了内部控制,从而构建一个更强有力的概念和管理工具。内部控制是在《内部控制――整合框架》中加以定义和讲述的。因为《内部控制――整合框架》是现行规则、监管和法律的基础,而且经受了时间的检验,因此那份文件中对内部控制的定义和框架依然有效。尽管《内部控制――整合框架》的正方中只有一部分被本框架所引用,但是本框架通过参考的方式把整个《内部控制――整合框架》融合了进来。
- 21 -
[键入文字]
第三章 内部环境
1、基本定义
内部环境是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。它影响着战略和目标如何制订、经营活动如何组织以及如何识别、评估风险并采取行动。它还影响着控制活动、信息与沟通体系和监控措施的设计与运行。
内部环境受到主体的历史和文化的影响。它包含许多要素,包括主体的道德价值观、员工的胜任能力和开发、管理当局管理风险的理念以及如何分配权力和职责。董事会是内部环境的一个关键部分,它对其他的内部环境要素有重大的影响。
2、风险管理理念
一个主体的风险管理理念是一整套共同的信念和态度,它决定着该主体在做任何事情――从战略制订和执行到日常和活动――时如何考虑风险。风险管理理念反映了主体的价值观,影响它的文化和经营风格,承担哪些风险,以及如何管理这些风险。
成功地承担了重大风险的公司对企业风险管理的看法,似乎不同于由于在危险的地区创业而面临过严酷的经济或管制后果的公司。尽管有些主体会为了满足外部利益相关者――例如母公司或监管者的需要,而努力实现有效的企业风险管理,但是更常见的是因为管理当局认识到有效的风险管理有助于主体创造和保持价值。
当风险管理理念被很好地确立和理解、并且为员工所信奉时,主体就能有效地识别和管理风险。否则,企业风险管理在各个业务单元、职能机构或部门中的应用就可能会出现不可接受的不平衡状态。但是即使一个主体的理念被很好地确立,在它的各个单元之间仍然会存在文化上的差别,从而导致风险管理应用方面的差异。一些单元的管理者可能准备承担更大的风险,而其他的则更为保守。例如,一个有闯劲的销售职能机构可能会集中关注实现销售,而没有仔细注意对法规的遵循问题,而缔约单元的人员主要集中关注确保符合所有的相关内部和外部政策与法规。孤立地看,这些不同的次级文化都能对主体产生负面影响。但是通过很好的合作,这些单元能够恰当地反映主体的风险管理理念。
企业的风险管理理念实质上反映在管理当局在经营该主体的过程中所做的每一件事情上。它可以从政策表述、口头和书面的沟通以及决策中反映出来。无论管理当局是强调书面的政策、行为准则、业绩指标和例外报告,还是更为非正式地大量通过与关键的管理者面对面的接触来进行运营,至关重要的是管理当局不仅要通过口头、而且还要通过日常的行动来
- 22 -
[键入文字]
强化这种理念。 3、诚信与道德价值观
公司管理层的诚信是一个公司经营活动的所有方面的道德行为的先决条件。公司风险管理的有效性不可能脱离那些创造、管理和监控公司经营活动的人的诚信和道德价值观。诚信和道德价值观是一个公司内部环境的关键要素,它影响着企业风险管理其他构成要素的设计、管理和监控。如果公司没有明确的政策和措施对管理层和员工进行诚信与道德价值观的教育、激励和监督,那么就无法保证公司风险管理工作的有效性。
公司为了确保管理层及员工能够有效地实施政策制度和对公司风险进行管理,制定了公司的核心价值观,并在公司及系统范围内对管理层及员工进行对相关培训。公司战略目标下相匹配的核心价值观如下:以赢得梦想为中心,从承诺变革、以人为本、客户导向、绩效标准四个维度,形成了突破、诚信守诺、我们文化、消费者导向及卓越绩效的核心价值观。
公司通过政策制度强化和宣传其诚信与道德价值观。这些政策制度包括但不限于: 《内控手册》、《员工行为手册》、《李宁有限公司奖惩管理办法》、《公司重点项目考核及奖励办法》等。
4、对胜任能力的要求
公司管理层明确特定岗位的胜任能力水平,并把这些水平转换成所需的知识和技能。而这些必要的知识和技能可能又取决于个人的智力、培训和经验。只有当承担特定岗位责任的人员拥有符合规定的能力要求时,公司的风险管理才能被有效的实施。
公司人力资源部已经对公司岗位进行甄别,厘定关键岗位,并对关键岗位的要求进行了明确的描述。此外,公司系统内各部门负责本部门的岗位职责描述。
公司每年定期对员工的表现进行绩效考核,以确保员工能够完成其岗位职责,符合公司对于岗位胜任能力的要求。
5、组织结构
公司的组织结构提供了计划、执行、控制和监督其活动的框架。相关的组织结构包括确定权利与责任的关键领域,以及确立恰当的报告途径。例如,内部审计职能的结构设计应该致力于实现公司的目标,并且不受限制地与公司高级管理层和审核委员会接触,其负责人应当向组织中能保证内部审计活动实现其职能的层级报告工作。
- 23 -