CMA考點之企業風險管理

　　1、定義：企業風險管理（enterprise risk management,ERM）指的是一個過程，它由一個主體的董事會、管理當局和其他人員負責實施，應用于戰略制訂并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，對風險進行管理使其在該主體的風險容量之內，并為主體目標的實現提供合理保證。

　　2、新修訂的COSO 2017的企業風險管理框架采用5要素加20個原則的形式。其中，相互關聯的5要素是：治理和文化、設定戰略和目標、績效、評估和修訂、信息溝通和報告，每個要素下面的原則都代表了與這一要素相關的一些基本的概念，并且這些原則構成企業風險管理實踐的主要部分。

　　要素一：治理和文化治理和文化共同構成了ERM所有其他要素的基礎。風險治理定下了主體的基調，加強ERM的重要性，并確立ERM監管責任的分配；文化則體現主體的價值觀、行為準則和對風險的理解，企業的決策制定能夠體現企業的文化。治理和文化下面包含5個原則，具體是：

　　（一）董事會的風險監督和執行

　　（二）建立運營模式

　�。ㄈ�）描述崇尚的文化

　�。ㄋ模┱故酒髽I核心價值觀

　　（五）（五）吸引、發展和保留有能力的個體

　　要素二：設定風險戰略和目標ERM通過制定戰略和業務目標與主體的戰略計劃融合在一起。通過對商業環境的理解，企業可以得到對內部因素和外部因素的看法，以及它們對風險的影響。設定風險戰略和目標要素下面包含4個原則，具體是：

　�。ㄒ唬┓治鰳I務環境（PEST,CPPT）

　�。ǘ�）定義風險偏好

　�。ㄈ�）評估替代策略

　�。ㄋ模┲贫�業務目標

　　要素三：績效企業識別并評估可能影響其戰略和業務目標實現的風險，并結合企業的風險偏好，對風險按照其嚴重程度排分優先次序。然后，企業選擇風險應對的方法，并采用投資組合的觀念，確定其承擔的風險。該過程的結果將報告給關鍵風險利益相關者�？冃б�素下面包含5個原則，具體是：

　�。ㄒ唬┳R別風險

　�。ǘ�）評估風險的嚴重程度

　�。ㄈ�）風險排序

　�。ㄋ模�實施風險應對

　　（五）建立風險組合觀

　　要素四：評估和修訂通過評估企業績效，可以評估企業風險管理的各個要素在一段時間內的運作情況，并發現其實質性的變化，以及需要進行哪些修訂。評估和修訂要素下面包含3個原則，具體是：

　�。ㄒ唬┰u估實質性變化

　�。ǘ�）評估風險和績效

　�。ㄈ�）企業風險管理的持續改進

　　要素五：信息溝通和報告溝通是在企業中不斷迭代取得信息，并分享信息的過程。管理層利用從內部和外部取得的有效信息來支持企業風險管理工作，企業利用信息系統來捕捉、處理和管理數據和信息。通過利用應用于所有組成部分的信息，企業就風險、文化和績效做出報告。信息溝通和報告要素下面包含3個原則，具體是：

　�。ㄒ唬├�用信息系統

　　（二）溝通風險信息

　�。ㄈ�）風險、文化和績效報告