Loading AI tools
来自维基百科,自由的百科全书
企业风险管理(英语:Enterprise risk management,简称ERM)在商业中,指企业管理风险、抓住机会、达到目标的方法和流程。ERM为风险管理提供了框架,风险管理一般指与企业目标(风险、机遇)有关的特殊事件管理,评估发生可能性、规模,确定反应机制,监控流程的方法。通过发现风险和机遇,可以保护企业、创造股东(包括员工、客户、监督者、社会等)价值。
ERM也是管理企业风险的方法,包括内部控制, 萨班斯奥克斯利法案和战略计划。风险管理是根据不同股东的要求,了解风险的范围,面对复杂情况,保障确实管理。监督者和债务机构可以通过风险管理对公司评级。
风险管理有不同的定义,包括鉴定、分析、回应、监督风险和机遇的方法,在内部和外部环境中,通过风险应对机制对风险进行管理,包括:
2003年,北美产险精算学会 Casualty Actuarial Society(CAS)将风险管理定义为,企业为了评估、控制、挖掘、投保、监督风险的任何机制,目的是提高企业短期和长期的股东价值。"[1] CAS 把风险管理定义为两个维度:风险类型和风险管理流程[1] 风险类型和例子包括:[2]
风险管理流程包括:[3]
特雷德韦委员会赞助组织委员会(Committee of Sponsoring Organizations of the Treadway Commission,简称COSO)把"企业风险管理"定义为"企业的董事会、管理层和其他人员对企业内战略设定中,发现潜在可能影响组织的事件和管理风险在风险偏好范围内,提供合理达到企业目标的保障的流程。"[4]
COSO风险管理有八个小项:
四种目的 - 附加小项包括:
企业的风险控制有很多功能 ("风险功能"),可确定、管理特定风险,每种风险功能容量不同,与其他风险功能互动也不同。风险管理的核心是提高容量、协调性,整合产出,提供整体股东风险,提高企业应对风险的能力。
大企业的风险功能包括:
很多咨询公司有关于风险控制的咨询。[5] Common topics and challenges include[6]:
除了信息科技审计,内部审计在评估风险中非常重要,对于企业持续改进也很重要。为了保证其独立性、目标明确性,内审的专业标准指出,该机构不能直接负责管理风险决策,或者风险管理机构。[7]
内审一般为公司做年度风险报告,对下一年的审计风险进行计划。计划适时更新,一般需评估不同的风险(战略计划、竞争标杆、SOX从上而下风险评估),考虑前期审计,与上层管理进行面谈。是为发现、优先、管理风险审计项目而设立。
美国企业的风险控制正在逐步加强,经过私有企业的监督。风险是商业的组成部分,如果管理恰当,可带动增长和机遇。经理顶着商业压力,采取部分或完全超出直接控制的行为,例如在金融市场低潮中,进行并购、收购和重组等。破坏性技术改变了地理的限制。
2002年颁布的萨班斯奥克斯利法案要求美国所有上市公司利用控制机制,进行内部控制评估。很多公司选择特雷德韦委员会赞助组织委员会(Committee of Sponsoring Organizations of the Treadway Commission,简称COSO)的内部控制机制,包括风险控制机制。后来,证券外汇委员会(Securities and Exchange Commission,简称SEC)和PCAOB在2007年,对自上而下财务评估提出了更严格要求,包括进行欺诈风险评估。[8]欺诈风险评估一般是发现潜在欺诈风险情景,进行恰当管理,采取行动。
纽约证券交易所要求审计委员会和上市公司"讨论与风险评估和风险控制有关的政策",包括: "CEO和公司高层经理负责公司风险管理,审计委员会需讨论流程的政策和规则。审计委员会需讨论公司主要财务风险、管理步骤、控制流程。审计委员会不需成为负责风险评估和管理的单一机构。同时,委员会需讨论管理流程的政策。很多公司,特别是金融公司,通过审计委员会以外的机制管理、评估风险,这些流程需要审计委员会进行统一把控,但审计委员会不可进行修改。"[9]
标准普尔(Standard & Poor's,简称S&P)是著名的债务评级机构,计划对公司评估流程引入一系列问题,首先于2007年开始使用。[10]作为进行债务评级的重要依据,对贷款方对企业的贷款和债券都将产生影响。[11] 2008年5月7日,S&P还宣布将对非金融公司从2009年起进行风险评估。[12] 在2008年Q4的报表上进行体现。[13]
ISO 31000是国际上风险管理标准,于2009年11月13日公布,ISO 31010 - 风险评估技术标准,也随后很快发布(2009年12月1日),还发布了风险管理词汇表ISO Guide 73。
2003年,北美产险精算学会 Casualty Actuarial Society (CAS)的企业风险管理委员会发布了风险管理概况。[14]包括风险管理中精算方法的发展、合理性、定义和框架、词汇表、技术基础、实际操作和应用方法。[14]
CAS还规定了风险管理的目标,包括成为"全球伤亡类财产领域风险管理方面教育材料的领先提供者"[15]还投资伤亡类精算法的科研、发展、培训。[16]CAS 已经停止发放证书; 但是,2007年,CAS董事会决定参与开发全球ERM认证。[17]
2007年,精算协会开发了注册企业风险分析师(CERA)执照,主要为了应对企业风险管理方面人才的大量需求。[18]这是SOA的第一个专业执照。[19]CERA主要集中于不同风险、包括运营、投资、战略、声誉风险对企业的影响。CERA在保险、再保险、咨询市场、金融、能源、运输、媒体、制造业和医疗行业有很多从业者。[19]
一般大约需要3-5年完成CERA课程,包括技术精算学、风险管理概况、职业培训等。要拿到CERA执照,还需要进行考试,完成教育要求,完成一个在线课程。[19] CERAs are members of the Society of Actuaries.[20]
企业已将风险管理确定为核心内容,从企业投入风险管理的资源、构建力度就可以看出来。2008年Towers Perrin在美国的调查显示,[21] 在大多数寿险公司,风险管理职责在C-suite以内。首席风险官(CRO)或首席财务官(CFO)是负责风险管理的最高领导。CRO或CFO可确定整个公司的风险管理机制,以及公司的风险偏好,提高技能、工具、流程,对风险进行评估、衡量、管理。公司也在积极提高风险管理工具能力,四四分之三的公司表示,有专门监控企业级风险的工具,这些工具主要用于发现、测量风险,评估决策。测试公司还表示,在风险管理能力方面有了很大提高。
另一项2008年的调查显示,尽管受到金融危机影响,出现了关于风险、资产管理的六个主要发现:[22]
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.