企业风险管理的八要素

风险管理是在项目或者企业一个肯定有风险的环境里把风险可能造成的不良影响减至最低的管理过程。风险管理是企业管理中的重要组成部分，对现代企业而言十分重要。企业风险管理包括八个相互关联的构成要素，它们来源于管理层经营企业的方式，并与管理过程整合在一起。

法务作为企业中法律风险管理的专业人员，更能在实务过程中懂得风险管理的价值。因此，法务人员应该了解企业风险管理的八要素，从基本问题着手预防和控制风险。

一、内部环境

内部环境包含组织的基调，它影响组织中人员的风险意识，是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构。内部环境因素包括主体的风险管理理念、它的风险容量、董事会的监督、主体中人员的诚信、道德价值观和胜任能力，以及管理层分配权力和职责、组织和开发其员工的方式。

风险管理理念  主体的风险管理理念代表着决定主体如何考虑所有活动中的风险的共同的信念和态度。它反映了主体的价值观，不仅影响着它的文化和经营风格，而且影响着如何应用企业风险管理的构成要素，包括识别事项、所承受的风险的类型，以及如何对它们进行管理。

风险容量  在企业制定经营战略过程中 ，往往会考虑风险容量，使战略与风险容量相协调。它是战略制定的指向标。公司可能将风险容量表述为增长、风险和报酬之间可接受的平衡，或者风险调整的股东增加值指标。

董事会  董事会在风险管理活动中是积极的。它在知道和同意主体的风险容量的基础上，提供对企业风险管理的监督。

组织结构  组织结构反映了职责和责任，确立了报告的途径，并且使有效的企业风险管理成为了可能。

二、目标设定

设定战略层次的目标，为经营、报告和合规目标奠定了基础。每个主体都面对来自内部和外部的一系列的风险，确定目标是有效的事项识别、风险评估和风险应对的前提。目标主要分为战略目标与相关目标，相关目标又有经营目标、报告目标、合规目标等。确定了具体目标后，管理层还要考虑如何支持主体的使命，而且要确保它们与主体的风险容量相协调。

风险容限  风险容限是相对于目标的实现而言所能接受的偏离程度，风险容限最好采用与相关目标相同的单位来计量。

三、事项识别

在活动中，管理者会识别对主体目标实现产生影响的潜在事项——机会或风险，识别结果也会被反馈到管理层的战略或目标制定过程中。所以，管理层要在组织的全部范围内考虑一系列的可能带来风险和机会的内部和外部因素。

事项识别技术  事项识别技术既关注过去，也着眼于未来。关注过去事项和趋势的技术考虑诸如违约的历史、商品价格的变动以及浪费时间的事故等问题。着眼于未来风险暴露的技术则侧重于考虑如新的市场情况以及竞争者的行动等问题。

相互依赖性  在事项识别过程中，管理层应该明白事项彼此之间的联系，通过评估这种关系，确定风险管理活动的重点和方向。

四、风险评估

在企业风险管理活动中，风险评估这个构成要素是在整个主体中所发生的活动的一个持续性和重复性的互动。风险评估能够使主体考虑潜在事项影响目标实现的程度。管理层从两个角度——可能性和影响——对事项进行评估，并且采用定性和定量相结合的方法。

固有风险和剩余风险  管理层要评估固有风险。风险应对一旦确立，管理层就要考虑剩余风险。

估计可能性与影响   潜在事项的不确定性从两个方面进行评价——可能性和影响。可能性表示一个给定事项将会发生的或然率，而影响则代表它的后果。评估风险的时间范围也应该与相关战略和目标的时间范围相一致。

评估技术  一个主体的风险评估方法包括定性和定量技术的结合。在不要求定量化或者定量化评估无法实现的情况下，管理层通常采用定性的评估技术。定量技术可以带来更高的精确度，但是却高度依赖支持性数据和假设的质量。

五、风险应对

在风险评估后，管理层需要确定如何进行风险回避、降低、分担和承受。回避应对意味着所确定的应对方案都不能把风险的影响和可能性降低到一个可接受的水平。降低和分担应对把剩余风险降低到与期望的风险相协调的水平，而承受应对则表明固有风险已经在风险容限之内。

评价可能的应对  在评价应对方案的过程中，管理层同时考虑对风险的可能性和影响的效果，认识到一个应对可能会对可能性和影响产生不同的效果。

选定的应对  在评价了备选风险应对的笑过之后，管理层决定它打算如何管理风险，选择一个旨在使风险的可能性和影响处于风险容限之内的应对或者应对组合。

组合观  管理者要从整个主体范围即组合的角度考虑风险，并且确定主题的声誉风险是否与它的总体风险容量相称。

六、控制活动

控制活动是帮助确保管理层的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织，遍及各个层级和职能部门。包括一系列不同的活动，如批准、授权、验证、调节、经营业绩评价、资产安全及职责分离。

控制活动的类型  管理层从多种类型的控制活动中进行选择，包括预防性的、侦察性的、人工的、计算机的和管理控制。

政策与程序  控制活动一般包括两个要素：确定应该做什么的政策，以及实现政策的程序。在执行程序时要敏锐的、持续的关注政策所针对的情况。

七、信息与沟通

有关的信息以保证人们能够履行其职责的形式和时机。每个主体都要识别和获取与管理该主体相关的涉及到外部和内部事项和活动的广泛的信息。

信息  主体的各个层级都需要信息，信息基础结构把原始数据转换成帮助员工旅行他们的企业风险和其他职责的相关信息，以便识别、评估和应对风险，以及从各个方面去经营主体和实现其目标。

沟通  信息系统必须把信息提供给相关人员，一遍将企业风险管理理念严格推行。但是沟通不仅着眼于内部管理人员之间，还包括畅通的外部沟通渠道。沟通可以采取类似的政策手册、规章制度、网络发布等方式进行。

八、监控

一个主体的企业风险管理会随着时间而变化，所以对企业风险管理的监控，需要随时对其构成要素的存在很运行进行评估。监控可以以两种方式进行：持续的活动或者专门评价。

持续监控活动  它包含于一个主体正常的、反复的经营活动之中，往往可以在风险发生前予以发现并采取控制活动。持续监控被实时的执行，动态的应对变化的情况，并且根植于主体之中。

专门评价  由于专门评价发生在事后，利于总结，所以许多主体虽然有着良好的持续监控活动，也会定期的对企业风险管理进行专门评价、自我评估。