企业全面风险管理要素

企业全面风险管理要素

正如我们在上文中提及的那样，企业风险管理要素为企业最终实现既定的目标起到了关键的作用。而要理解企业全面风险管理体系，首先就要能够完全逐一解读企业风险管理的各个要素（参见图3-4）。

1．内部环境

内部环境是企业风险管理要素的基础。内部环境的特性最终会影响企业战略和目标的确立，会对风险的识别、评估和风险对策的实施产生变化，会改变控制活动的设计和执行的效果，会制约公司信息、沟通系统以及监控活动的实施。

图3-4　企业全面风险管理框架来源：COSO企业全面风险管理框架。

内部环境包括很多要素。例如一个公司的操守和价值观、管理能力和人力资源发展、管理风格以及授权和职责分工等等。董事会是内部环境的重要部分并影响其他的内部环境因素。尽管内部环境中的各个要素都很重要，但放在不同的公司中，其所占比重及执行就会有所不同，例如：在人数不多、生产集中的小规模公司里，公司就不一定需要建立正式的职责分工和详尽的操作手册。

（1）风险管理哲学

风险管理哲学主要指公司对于风险的判断和如何选择采用有效的活动进行风险管理，它反映出管理层寻求从企业风险管理中获取怎样的价值和如何运用企业风险管理的各个要素。风险管理不仅仅是文字意义上的哲学，它反映于政策制定和各项沟通中，并贯穿于每日的经营管理当中。例如，有些公司认为企业风险管理可以增加价值，从而满足外部股东的需求。被员工充分理解的风险管理哲学将有助于员工识别和有效管理风险。这和我s们理解的中文意思上常说的狭义“管理哲学”（即多指管理艺术和人际关系处理能力）不同，它是更广阔意义的风险管理哲学。

（2）风险偏好

风险偏好是指公司为追求某个目标或价值可以接受的风险程度。企业一般用定性的方法考虑风险偏好，例如将风险划分为高风险、中等风险和低风险，或者用定量的方法反映风险的可接受程度。风险偏好直接和公司的战略目标制定有关。因为制定不同的战略会产生不同的风险，而考虑该风险是否和公司的风险偏好一致就会影响管理层战略目标的选择。

（3）风险文化

风险文化是指公司内部知识共享的态度和对风险的价值观等，它贯穿于公司风险评估的日常操作中。对于许多公司来说，风险文化介于风险管理哲学和风险偏好中间。对于没有清晰定义风险管理哲学的公司来说，风险文化可能是随机和偶然的，所以会导致在一个企业内部甚至某个部门单元内部存在不同的企业文化。

管理层需要考虑风险文化是否影响并和企业全面风险管理各个目标一致。如果存在冲突，管理层就需要采取措施重塑企业文化，或者考虑重新定位风险管理哲学和风险偏好，以及如何将风险文化融入企业全面风险管理之中。

举例来说：一家生产天然气运输管道的公司正在寻求一种风险文化，这种风险文化强调每位员工在每天的日常工作中都考虑和重视风险。相应的，为了形成这种风险文化，管理层采取的一个措施是给公司员工配备有关关注风险的识别卡片。卡片上写着这样的问题：什么是风险？有哪些人会受到这个事件的影响？有哪些人需要被告知这些风险？这些问题鼓励员工考虑整个公司及员工所在业务单元有没有潜在事件的发生及其会产生什么样的影响。

除了公司的风险文化，不同的业务单元亦会有不同的风险文化。例如，有些部门的经理愿意承受更多的风险，有些部门的经理偏向谨慎保守；再如，某个部门更注重于销售业绩，不太关心是否合规，而另一个部门则比较强调合法合规性。单独来看这些业务单元的风险文化可能无法形成整个企业的风险价值观，但将它们合而为一，就会综合反映出企业的风险偏好和管理哲学。

（4）董事会

公司的董事会是内部环境的重要组成部分，而且对其他的内部环境因素有着重要的影响。董事会与管理层的独立性、董事会成员的经验和道德水准、董事会参与运作的深度等都对内部环境产生重要影响。其他有关董事会的重要因素包括：制定战略、计划，与审计委员会的互动和内外部审计师的协调等。

一个有效的董事会应具备相当的管理能力、专业能力和技术能力来实现其长远的目标，这对于企业风险管理的外部环境至关重要。而且董事会必须监督和质疑管理层的活动，提出可供选择的方案和处理错误的方法，因此董事会必须包括外部股东。这些外部股东不仅能提供有效的意见和建议，而且对管理也是一种制衡和监督。

（5）操守和价值观

一个企业的战略和目标以及实施是建立在风险偏好、价值观的判断和管理风格之上，而管理层操守和价值观会改变风险偏好和价值判断，并进一步影响行为准则及战略目标的实现。

从这点来说，在企业内部全面考虑各个部门的需求，建立统一的价值观存在着一定的困难。管理层价值观必须克服重重困难来平衡包括企业、员工、供应商、顾客、竞争者和公众等各个方面的利益。例如，要生产一种新产品，就有可能会导致环境污染。管理层就必须在取得利益和保护环境的两个价值观下取得平衡。

一些可能导致欺诈性和可疑的财务报告因素，也可能影响价值观和行为。例如公司因为注重短期效益而过分强调销售和利润指标，可能会影响员工不惜一切代价追求指标的实现，这不仅会影响财务报表的真实性，亦会影响公司员工的价值观和行为。这在我国国内保险公司有关手续费处理的问题上就更见一斑了。

（6）能力

能力是指为完成任务需要具备的知识和技能。公司管理层应根据个人能力委以责任，同时还要考虑成本因素，对于能力和成本之间需要进行平衡，这就像不需要雇佣一个工程师来负责修理和更换灯泡的道理一样。

（7）管理哲学和经营风格

管理哲学和经营风格也会影响公司的经营运作。在经营运作中，经营运作不需要过于正式和专业的公司在日常经营中比较喜欢面对面的沟通。而经营运作比较正式的公司则依靠政策、标准、业绩考核和例外报告等形式进行和约束公司的运作。

高级管理层的态度和日常运作风格会影响整个公司的风险偏好。例如，一个不太强调纪律的公司可能偏向于追求高风险的操作。而一个具有有效风险管理的公司则只鼓励员工追求与公司风险偏好相一致的商业机会。

（8）组织架构

一个公司的组织架构提供了计划、实施、控制和监控的框架。这个框架包括主要部门的设置和报告体系。例如，内部审计部门对审计委员会负责，其审计范围和活动可以与公司各个主管部门进行沟通。公司的组织架构根据公司的需求设置，例如，有些企业采用比较简单和直接的组织体系，有些则是复杂的矩阵结构；有些公司根据区域、产品类型和市场网络进行划分，而有些则包括成本中心和利润中心的功能划分。

公司的组织结构的合理性部分是由其规模和工作性质决定的。一个高度有组织性的机构包括它下属的众多部门，然而，这种结构未必适用于小的机构。无论是怎样的组织结构，这种结构都应该是能够帮助有效进行企业风险管理，以实现公司目标。

（9）授权与责任

完善的风险管理体系，公司的员工和部门都被告知权限范围并委以责任来进行工作。

（10）人力资源

人力资源政策包括招聘、培训、评估、升迁和奖惩措施。例如，制定严格的招聘程序、制定完善的评估方法、建立和健全持续的培训体系以提升员工的工作能力。

企业风险管理的内部环境可以由表3-10表示。

表3-10　企业风险管理的内部环境

2．目标设定

目标设定是风险事件识别、风险评估和设定风险对策的基础。管理层必须首先设定目标，之后才能识别风险和采取措施进行风险规避（参见图3-5）。

图3--5　目标设定

战略目标是与公司的使命和长远目标一致的高水平目标，战略目标反映公司如何为股东创造价值。

相关目标是指根据战略目标建立相关目标以支持最终目标的实现。相关目标是更细化的目标，它使各业务单元以及个人认识到实现战略目标的各个重要构成和因素。相关目标可分为：经营目标、报告目标和合规目标。

经营目标指经营的有效性和效率。企业为了达到经营的有效性，必须合理配置和使用资源。经营目标包括绩效、利润、资产安全性等方面的目标。在制定经营目标时，企业必须注意目标是否必须切合实际并反映市场需求。比如要求提升产品质量、缩短存货周转时间、建立更合理的销售绩效评估体系。

报告目标包括报告的可靠性、准确性和有效性。报告类型包括内部和外部报告、财务和非财务报告等。可靠有效的内部报告向管理层提供准确、及时和完整的信息以帮助其进行决策和监控公司的发展，例如市场分析报告、生产质量报告、雇员和客户满意度报告等。外部报告包括对外披露的财务报表及其附注和对行业监管部门报送的业务数据报告等。

合规目标指公司必须遵循相关的政策法规，即公司的运作与外部监管环境是一致的。例如，公司运营过程中都需要考虑环境保护的措施。或者公司的外部监管法规要求公司产品符合健康和安全标准等。有些政策法规的范围很广泛，可能涉及市场、定价、税收、环境、员工福利和国际贸易等，管理层因此必须更全方位地考虑公司运营的合规性。

目标重合指的是目标之间相互的重叠和支持。例如，向管理层提供有效可靠的信息数据既符合经营目标也符合报告目标，而且当这些数据被用以准备对外披露的报告时，它又符合合规目标。

目标实现有一定先后顺序，且不一定均可以由企业控制。例如，实现合规目标和报告目标可以由企业控制，但实现经营目标时，存在一些不一定可以由企业控制的外部因素。政治环境的变化、不良天气或者不可抗力的发生都超越了企业的可控范围。虽然企业可以预先考虑这些因素并制定针对这些因素的应急计划，但这些措施只能将这些因素所造成的不良影响降低，并不能完全避免负面影响。

选定目标对已经制定的目标进行审阅，以保证这些目标与公司的长远目标和风险偏好一致。如果不一致，则需要从中剔除这些目标。一个具备良好风险管理体系的公司未必明确哪些目标不合理，但是具有进行目标筛选的程序，以保证制定的目标与公司的风险偏好一致。

风险偏好被用来调整战略的制定。如果制定的有关战略所产生的风险与企业的风险偏好不一致，则战略需要进行调整。这主要适用于新任管理层首次制定公司战略时有可能制定超越公司风险偏好范围的战略，或者该战略所产生的风险不利于企业实现其长远目标。

风险容忍度是指对风险的容忍程度。例如，一个公司对于送货准时率的要求是98%；同时公司还规定了对于送货准时率的一定风险容忍度，即送货准时率在97%—100%都可以接受；又如，培训通过率是90%，但允许一定的偏差，比如75%的通过率可以接受。再如，要求员工在24小时内处理客户的投诉，但是允许至多25%的客户投诉可以在24—36小时内进行处理。

【相关链接】

目标设定举例（以某一提供医疗服务的公司为例）

使命（Mission）——提供高质量的、可行的和价格合理的社区健康服务。

战略目标（Strategic　Objectives）——在中等类型城市成为数一数二的全方位的健康医疗服务提供者：在核心医疗服务质量排名前四甲；在当地市场成为性价比最高的领先者。

战略（Strategies）

·在目前还没有进军的目标市场里与当地的医院联手结成战略伙伴共同合作。

·在目标市场收购一些高质量但处于困境状态下的医疗服务机构。

·通过发展所有权分享计划或利润分享的政策来吸引当地高端医疗人才。

·在目标市场对一些大中型企业开发出有针对性的市场操作程序。

·利用已有的高水准基础组织系统提供高效的管理和成本控制。

·对所有的医疗设施和其他相适应的法律法规进行追踪记录。相关目标：经营目标

·运营目标——和当地前10位的经营不佳的医院管理层进行初步接触，并在年内和2家医院商讨收购协议。

·在主要目标市场对这10个目标群进行其他方面的医疗合作，并在年内和5家医院执行此合作协议。

·明晰了解主要市场中出色医生的需求和职业选择动机，并由此架构出相应的工作转换优惠条件模型。

·今年内，保证至少在5个主要市场内每一个核心医疗部门最少要有一个顶级医生。

·对关键目标市场内的当地商业领先者保持关注并以此决定医疗服务的需求。

·对商业客户开发可选择模型程序。

·对收购或重组后的医院开发出一套可快速应用的信息和操作系统——制定协议对现有系统进行移植。

·在一个新的区域应用新系统提供服务进而将该模型推广到其他区域。相关目标：报告目标

·在新购并的机构安装基础系统，在月末的最后4个工作日提供关键业绩指标、意外情况报告和趋势线分析报告。

·保证所有的设备运行准确无误，并对其运行状况和出现的问题向管理层提供定期报告。

·设立统一的报告系统/科目，以提供外部报告所需的精确和完整信息。相关目标：合规目标

·以章程、领导机构和员工为中心设立合规办公室，对当地分支机构提供支持。

·保证对相关法律法规的遵循达成一致认识，并将此纳入人力资源目标和绩效评估中。

·对医疗程序、药品的储藏和剂量、员工的分派、日程以及患者等所有方面制定公司范围内的管理草案。

·审阅所有自有政策，考察是否与联邦法律的要求和最佳事件准则相一致。

企业全面风险管理体系的目标设定要素可以概括为表3-11。

表3-11　风险管理目标设定要素

3．事件识别

事件指源于公司内部和外部，并会对战略的执行和目标的实现造成影响的事情。事件的发生会对公司产生负面影响，但也会产生积极的影响。事件识别需要比较客观地进行，而且，为了避免忽略有关事件，识别事件的过程最好与评估事件的过程区分开来。

（1）影响风险事件发生的因素

影响风险事件发生的外部因素包括经济与商业环境、自然环境、政治、社会和科技；内部因素包括公司的基础设施、人事、程序和技术。区分内外部因素对事件识别很有帮助。一旦起主要作用的因素被识别，管理层就能考虑其重要性及其可能性，并与其他潜在事件的识别联系起来。例如，一家鞋厂以致力成为同行业中产品的最高品质为企业目标，为了达到这个目标，该公司决定采用最先进的技术和质地最好的进口面料生产舒适耐穿的运动鞋。为此，公司对外部经营环境和社会环境包括客户年龄层、服装趋势，甚至外币汇率的浮动等经济指标进行了审核分析。同时，公司也对内部技术因素进行了考虑，指出了分销管理系统过时和人员培训不足等问题，并综合内外部的因素制定了企业发展策略。

（2）事件识别方法与技巧

企业对于事件的识别方法包括各种技巧的组合和一些工具的支持。事件识别方法不仅考虑过去的事件也考虑将来的事件。这包括过往发生的未偿付事件、商品价格的变化、将来的市场条件、将来人口结构的变化和竞争对手可能的行动等。

事件识别技巧在不同企业内部运用则各有不同。常用的事件识别方法如表3-12所示。

表3-12　常用的事件识别方法

续　表

（3）事件相互依赖

事件并非孤立地发生，一个事件可能引发另外的事件，而且，很多事件可能同时发生。事件识别过程中，管理层应该明白事件是如何相关的，通过评估事件间的相关性，就能决定风险管理应致力于在哪些方向，例如央行利率的变化将会影响汇率的变化，进而影响企业现金交易的得失。

（4）事件分类

通过将事件在部门单位内进行水平汇总和在各业务单元中进行垂直汇总，管理层就能更好地理解事件之间的相互关系，依据此进行风险评估，并将相似的事件进行汇总，更好地决定潜在的风险与机会（参见表3-13）。

表3-13　事件分类

4．风险评估

企业对于识别出的事件可能带来的风险进行评估，提出风险对策，并最终通过控制活动来降低风险（参见表3-14）。

表3-14　风险评估

（1）固有风险和剩余风险

固有风险是指公司经营运作中必定存在的风险，企业的风险控制活动会影响此类风险发生的可能性及其影响。在进行风险评估时，管理层会考虑预期和非预期事件发生所产生的影响。一般来说：企业对于许多日常重复发生的事件，一般会在管理运营中考虑到；而对于其他非预期事件，虽然发生的可能性较小，但因其带来的影响十分重大，企业一般单独对其进行处理。但是，对于预期事件和非预期事件执行风险对策时都可能发生不确定的结果并影响企业目标的实现。因此企业进行风险评估时，首先应从固有风险着手。一旦风险对策实施后，管理层就会采用风险评估技术决定剩余风险。

图3-6　风险的可能性和影响

（2）可能性和影响

风险的可能性和严重性可以用文字表述，也可以用图形表述，如图3-6所示。这里所说的图形，就是风险绘制图。如图3-7所列，横轴表示可能性，纵轴表示风险影响的严重性。右上角的风险事件代表着高可能性重大影响事件。

在评估风险的可能性和影响时，应该尽量采用统一的标准，如用历史观察数据（来自公司内部或者外部）来帮助进行风险评估，而不一定仅仅根据现有情况进行主观判断；而当公司没有内部数据时，可根据外部数据（比如说同行业数据等）进行风险评估。当然在运用历史数据时，需要对现在和将来的情况进行合理的预期，以作出更合理的判断。

图3-7　风险绘制图

（3）定性和定量评估方法

企业一般可以采用定性和定量的方法对风险进行评估。当风险不适用于定量分析，或不具备充分可信赖的用于定量分析的数据，或者取得和分析数据可能耗费大量的成本时，管理层通常采用定性分析技术。相对来说，定量分析技术显然更精确，并适用于更复杂的活动作为定性分析的补充。定量分析技术通常要求更高层次的付出和精确度，有时甚至需要使用数学模型。定量技术依赖于相关支持数据和假设的质量，也与历史数据的变动频率及认同的可靠预测有很大联系。具体来说定量风险评估技术包括：基准比较（衡量标准和结果与公认的标准进行比较并识别改进的机会）、概率模型（在历史数据和对未来行为的模拟结果的假设上，对风险的可能性和影响进行评估）和非概率模型（在历史、模拟数据和对将来行为的假设基础上评估事件的影响）。

从企业的层面看，企业无需在各个业务单元中采用共同的评估方法。但是，每个业务单元所采用的方法应帮助促进企业整体的风险评估。比如说，某一业务单元使用自我评估调查问卷的方式来识别和评估主要业务流程风险，而另一个部门使用小型讨论会识别和评估主要业务流程风险。公司层面总体的风险评估在固有风险和剩余风险评估的基础上，利用风险分类对风险进行组织和整合，再向上述两个经营部门提供客观的结果。

（4）事件的相互关系

某个单一风险事件产生的影响对企业运营来说可能很小，但一系列事件累加起来时就可能产生很大的影响。对于发生在多个部门类似的事件，管理层应该通过横向分类把这些事件放在一起进行风险评估。例如：对于一个金融机构，政府利率的调整可能会影响到该机构的各个部门，此时，对于利率变动这个事件的影响就应该将其在各个部门的影响放在一起考虑。

5．风险对策

对相关风险评估后，管理层应当采取方案作出应对策略。风险对策的方法包括以下4种，如表3-15所示。

表3-15　风险对策方法

风险对策可能还有许多种，企业在考虑每一风险对策的潜在影响后，最终确定风险对策。例如，一家大型的软件开发商在考虑其房屋资产可能遭受火灾的风险及其相关影响时，认为其房屋资产遭受火灾的影响主要在于房屋受损后将影响正常的生产运作以及员工的安置，而不是房屋受损本身的损失。公司考虑自身的情况后认为公司具备足够的能力重建厂房，因此决定放弃采用投保来分担房屋损失的风险降低措施，转而考虑如何采取措施降低对生产运作和人员安置的影响。

风险多元化的属性决定了风险应对也应该综合考虑历史上的类似事项、趋势以及对未来的影响。一般来说，风险对策的成本比收益较容易衡量，如直接成本、间接成本甚至机会成本都可以通过计算来量化。相对来说，收益评估比较主观，例如对员工进行培训，其收效可能很显著，但很难去量化培训的收益。鉴于以上提到的对风险对策成本和效益评估的困难性，公司管理层无论在单一风险还是在分散风险的每一个层面都应该进行精心的分析。有些公司采用投资回报率、贴现现值率、敏感性分析等方法对风险对策进行评估。同时，对于风险事件，还应当善于发现对公司持续目标带来积极影响的潜在可能机会。例如，某汽车保险公司在对某路段的高事故率进行风险对策评估时，发现对该路段的交通指示牌进行改进，将大大降低事故发生率。该举措对于这家保险公司来说是能控制事故率从而降低理赔比率的机会。

在制订风险对策时，管理层不仅从整个公司、各个部门间组合和公司前景的角度考虑风险，还应该针对每个部门、每个业务单元制订风险应对机制（参见表3-16）。

表3-16　风险对策

6．控制活动

控制活动指为保证风险对策的执行所实施的政策和程序，是企业用以实现其商业目标的企业风险管理流程的一部分，包括授权、审批、核实、金额调节、资产的安全保护措施、分工和审阅经营业绩等。控制活动可以根据其主要服务目标划分为与策略有关的控制活动、与经营有关的控制活动、与报告有关的控制活动和与遵循法律法规有关的控制活动。但控制活动一般来说经常服务于多个目标。

控制活动类型包括预防性控制和发现性控制，或者手工控制、计算机控制和管理控制等。企业全面风险管理体系并没有列示出所有的控制类型，它只是用图表的方式列示出了部分控制类型，如表3　17所示。

表3-17　企业全面风险管理控制类型

在现代企业中，由于对信息系统有着广泛的依赖，因而与信息系统有关的控制也就显得非常必要。这些控制行为能确保所使用信息的准确性、完整性和有效性。

信息系统的一般控制是指确保整个计算机系统持续、恰当运行的控制程序，一般包括IT人员进行系统的运行、维护和升级等（当然也要求每个系统使用者在操作过程中参与和遵守规则）。应用控制则被用来确保数据获取和处理的完整、准确、恰当授权和有效性。这些控制程序如表3-18所示。

表3-18　与信息系统有关的控制程序

控制程序的具体形式包括：

第一，平衡调节（Balancing Control Activities）：即通过进行汇总核对、调节等手段检查系统数据的准确性。例如，将客户销售下单的业务量金额与开出发票的金额进行核对，将手工记录与电脑记录进行核对等。

第二，校验数字（Check Digits）：即通过校验数字检查数据的准确性。例如，对于从供应商处购买商品给予预先的数字编码，对于不是该数字编码的商品不予采购。

第三，预设数据清单（Predefined Data Listings）：指预先设定可以接受的数据或条件。例如，某公司预先设定规定的购买货品，当采购人员采购时只能在这些供应商或者货品中进行选择。

第四，合理性测试（Data Reasonableness Test）：对于获取的数据与现有的或者已知的数据趋势、形态分布等进行合理性比较，以发现异常或不正确的输入。

第五，逻辑测试（Logic Tests）：利用已知的或达成广泛共识的范围限制、数字或文字要求等进行逻辑判断。例如，美国某政府机构通过检索系统录入的9位SSN数（社会保险号码）来判断这些号码输入有误（因为SSN号码并非9位数）。

由于每个企业都有自己的目标和执行步骤，所以在目标、组织结构和相关控制行为上都将存在着差异。即使两个企业有着相同的目标和结果，其控制行为也可能不同。因为每个企业由不同的管理人员管理，在实现内部控制的过程中，他们将使用不同的个人判断和决策风格，因而各个企业的控制活动将存在差异（参见表3-19）。

表3-19　控制行为

7．信息与沟通

信息包括业务信息和财务信息，可以是正式的，也可以是非正式的。与消费者、供应商、政府和职员的交流能提供必要的重要的信息，以确认风险和机会。同样，参加专业或行业论坛，成为贸易组织或其他协会成员也能提供有价值的信息。信息系统服务于风险管理的4个目标，特别是企业的战略目标：①由信息系统产生的信息，将服务于战略目标的制定；②信息系统本身的发展也会影响公司战略目标的设定。例如在过去，航空公司的预订系统给旅行代理人提供航班信息，但现在，顾客可以通过网络预订机票，技术的升级大大削弱了或是消除了传统旅行代理人的作用，这也使航空公司在进行战略决定时更要考虑信息系统的作用（参见表3-20）。

表3-20　信息与沟通

公司在衡量信息的质量时，可以考虑以下的问题：

●内容是否适当——详细程度是否恰当？

●信息是否及时——需要的时候是否就能得到？

●信息是否是当前的——是所能获得的最新的数据吗？

●信息是否准确——数据是否正确？

●信息是否容易理解——能被需要它的人理解吗？

在信息的基础上，还需要沟通来共享信息资源。沟通是信息系统中的固有属性，信息必须被提供给适当的职员以方便他们经营，使企业能在一个更广义范畴上来处理个人和团体的期望与责任。信息的沟通应该做到：

●确保员工认识到企业全面风险管理体系的重要性和适当性（即传达一个信息给员工，企业风险管理体系必须被严肃执行）；

●充分交流公司的风险偏好和风险容忍度；

●执行和支持同一种风险语言（即实行同样的风险企业文化）；

●明确每一个职员在执行和支持企业全面风险管理的过程中的责任与任务，并就此提出意见；

●当意外出现的时候，注意力不仅要放在事件本身，还要挖掘事件的原因，甚至提出对策；

●员工需要明白个人行为与其他人员工作的相关性；

●沟通渠道也应该确保员工能跨部门、跨流程或跨职能进行信息交流；

●职员明白不会因报告相关信息而遭到报复；

●最重要的交流渠道是最高管理层和董事会之间的沟通。

企业需要建立一个开放的交流渠道和一个明确清晰的倾听意见的制度，让员工相信他们的上级真的想知道问题所在以及如何应对。这样员工才愿意充分沟通，反映意见（一些公司都设立了向高级员工、首席内部审计师、律师等沟通的绿色通道）。

8．监控

企业全面风险管理是不断变化持续的过程。在这个过程中，由于人员变动、企业架构变动等原因，可能导致风险对策不再适用、风险控制失效，或者企业目标变化等。面对这些变化，管理层需要确保每个风险要素在运作中都有效，这就进一步强化了监控的重要性。

在日常运行中，许多活动都可以用于监控企业风险管理的有效性。这些活动包括：日常的管理监督活动、差异分析比较和调节等。具体来说，这些监控包括如下一系列形式（参见表3-21）。

表3-21　监　控

●经营报告由报告系统产生，且在持续的基础上被用于经营管理活动，以尽早发现未达到预期结果或与预期结果有偏差的重大错误或例外情况。例如销售部、采购部和生产部经理以及分支机构负责人有权审阅报告，并对报告中出现的与其经营有重大差异的部分提出疑问。及时和完整的报告以及对这些例外情况的解决方案将提高经营管理的有效性。

●使用风险评估模型评估潜在的市场变化对企业财务状况的影响。此模型可用来判定经营单位或经营活动是否保持在已识别的风险的可接受范围内。

●与外部沟通可帮助证实内部信息的准确性和发现问题。例如，外部投资经理出具的有关证券投资利润、损失和收入的报告可用于证实企业内部记录和反映记录中存在的问题，而保险公司根据外部法律法规要求，对公司安全政策和惯例的审核也是一种监控方法。

●企业与行业/企业监管者（例如证监会，保监会，银监会）就合规性或其他企业风险管理活动事务进行沟通。

●内部、外部审计师和企业顾问定期提供建议以加强企业风险管理。具体来说，审计师应充分关注对企业关键风险的评估，这些风险关系到控制活动的选择、设计以及对这些控制活动有效性的测试。同时，外部审计师还应提供有利于成本收益决策的信息，辨别潜在的缺陷，向管理层提供建议及可供选择或可替代的方法和程序。而内部审计师或员工绩效等相似的审核活动也是企业有效的监控活动。

●培训、研讨会、计划会议和其他会议也可以给管理层就企业风险管理是否有效提供重要反馈。此外，对于有可能导致风险的特别问题，通过这些会议可以使参与者加强风险参与和控制意识。

●定期询问员工以明确他们是否理解和遵循企业的行为守则。例如，业务和财务人员被询问是否明确知道某些特定的控制程序，比如是否按规定执行明细账调整程序。这些询问和查证工作应由管理层或内部审计人员进行。

此外，监控方法还有很多，例如，检查清单（Checklists）、调查问卷（Questionnaire）、流程图（Flowchart）、基准分析（Comparing　and　Benchmark Analysis）等。当然，公司在实施监控程序时必须了解各个风险控制要素的限制和不足，运用适当的方式来有效监控公司的全面风险管理体系。