企业在经营中不遇到风险几乎是不可能的。风险一般是指影响目标实现的不确定性。美国COSO组织为企业风险管理(ERM)下的定义是:“企业风险管理是一项流程,由公司董事会、管理层和其它员工实施,适用于策略制定和全公司范围,可识别对公司有影响的潜在事项,在风险承受能力以内管理风险,为实现公司目标提供合理保障。”继2002年COSO推出内部控制框架后,根据企业风险治理的发展和需求,在此基础上,又建立了企业风险管理模型和框架,并明确了内控作为风险管理的子系统,进一步说明了内部控制的实质是风险管理。
全面风险管理体系提出了企业建立风险管理的整体框架,在此框架下,企业可以根据自身管理的水平和阶段,针对具体风险,灵活地制定风险解决方案。通过体系框架下的风险策略、风险组织职能、风险信息系统、金融工具以及内控等多种管理手段,提高具体风险的管理效率和效果。
风险管理体系具有不同的层面,需要通过内控的执行来落地和实现。随着公司治理的需求及企业竞争的加剧,企业需要不断识别、评估和治理风险,才能在复杂多变的经营环境中持续发展。
