企業(yè)風險管理-戰(zhàn)略與績效整合(中文版)

這五個要素是：風險治理和文化。風險治理和文化共同構(gòu)成了企業(yè)風險管理的所有其他要素的基礎(chǔ)。風險治理確定了實體的基調(diào)，強化企業(yè)風險管理的重要性，并確定了監(jiān)督職責。文化涉及道德價值觀，期望的行為以及對實體內(nèi)風險的理解。文化反映在決策中。風險、戰(zhàn)略和目標設定。通過制定戰(zhàn)略和業(yè)務目標的過程，將企業(yè)風險管理整合到實體的戰(zhàn)略規(guī)劃中。通過理解業(yè)務環(huán)境，組織可以深入了解內(nèi)部和外部因素及其對風險的影響。組織在制定戰(zhàn)略的同時設定其風險偏好。業(yè)務目標將戰(zhàn)略付諸實踐，并決定實體的日常運營和優(yōu)先事項。執(zhí)行中的風險。組織識別和評估可能影響實體實現(xiàn)其戰(zhàn)略和業(yè)務目標能力的風險。它根據(jù)風險的嚴重程度并考慮到實體的風險偏好對風險進行優(yōu)先排序。然后，組織選擇風險應對措施，并監(jiān)視績效的變化。這樣，實體對追求其戰(zhàn)略和業(yè)務目標的過程中所承擔的風險量建立起一個組合觀。風險信息、溝通和報告。溝通是獲取信息并在整個實體中分享信息的持續(xù)、循環(huán)往復的過程。管理層使用來自內(nèi)部和外部的相關(guān)和高質(zhì)量信息來支持企業(yè)風險管理。組織利用信息系統(tǒng)來獲取、處理和管理數(shù)據(jù)和信息。通過使用適用于所有要素的信息，組織報告風險、文化和績效。監(jiān)視風險管理績效。通過監(jiān)視企業(yè)風險管理績效，組織可以考慮企業(yè)風險管理要素隨著時間的推移和重在變更的運行情況。在這五個要素中有一系列的原則（如圖5.2所示）。這些原則代表了與每個要素相關(guān)的基本概念。這些原則被表述為各組織作為實體的企業(yè)風險管理實踐的一部分而要做的事情。雖然這些原則是通用的，并構(gòu)成了任何有效的企業(yè)風險管理措施的一部分，但管理層在應用這些原則時必須作出判斷。每個原則都在有關(guān)要素的相應章節(jié)中詳細介紹。評估風險管理組織應具備可靠的手段，向?qū)嶓w的利益相關(guān)方提供合理的預期，即能夠?qū)⑴c戰(zhàn)略和業(yè)務目標相關(guān)的風險管理到可接受的水平。它通過評估現(xiàn)有的企業(yè)風險管理實踐來做到這一點。除非法律或法規(guī)另有要求，否則此類評估是自愿的。本框架（第6章至第10章）并不要求完成對企業(yè)風險管理總體有效性的評估，但它確實為進行評估和作出合理結(jié)論提供了準則。在評估過程中，組織可考慮：與企業(yè)風險管理有關(guān)的要素和原則已經(jīng)存在并發(fā)揮作用。與企業(yè)風險管理有關(guān)的要素正在以整合方式共同運作。實施原則所需的控制措施存在并發(fā)揮作用。為了實現(xiàn)戰(zhàn)略和業(yè)務目標，在企業(yè)風險管理的設計和實施過程中，存在影響這些原則的要素、相關(guān)原則和控制措施。實現(xiàn)這些原則的要素、相關(guān)原則和控制措施繼續(xù)運行，以實現(xiàn)戰(zhàn)略和業(yè)務目標?！肮餐\行”指的是要素之間的相互依賴性以及它們?nèi)绾螀f(xié)同運行。評估企業(yè)風險管理有不同的方法。當評估是為了與外部利益相關(guān)方溝通而進行時，可以考慮框架（第6章至第10章）中規(guī)定的原則。在評估過程中，管理層還可以評審這些能力和實踐的適宜性，同時牢記實體的復雜性和組織通過企業(yè)風險管理尋求獲得的收益。增加復雜性的因素可能包括實體的地理位置、行業(yè)、性質(zhì)、實體內(nèi)部變化的程度和頻率；歷史績效和績效的變化、對技術(shù)的依賴以及監(jiān)管監(jiān)督的程度?？蚣茱L險治理和文化本章概要風險治理和文化共同構(gòu)成了企業(yè)風險管理的所有其他要素的基礎(chǔ)。風險治理確定了實體的基調(diào)，強化企業(yè)風險管理的重要性，并確定了監(jiān)督職責。文化涉及道德價值觀，期望的行為以及對實體內(nèi)風險的理解。文化反映在決策中。與風險治理和文化的原則董事會行使風險監(jiān)督——董事會監(jiān)督戰(zhàn)略并履行風險治理職責，以支持管理層實現(xiàn)戰(zhàn)略和業(yè)務目標。建立治理和運營模式——組織在追求戰(zhàn)略和業(yè)務目標的過程中建立運營結(jié)構(gòu)。定義期望的組織行為——組織定義以實體核心價值觀和風險態(tài)度為特征的期望行為。證實對誠實和道德的承諾——組織證實對誠實和道德價值的承諾。加強問責——組織要求各級人員對企業(yè)風險管理負責，并要求自身負責提供標準和指導。吸引、發(fā)展并留住優(yōu)秀的個體——組織致力于建設與戰(zhàn)略和業(yè)務目標相一致的人力資本。引言實體的董事會在風險治理中發(fā)揮著重要作用，并對企業(yè)風險管理產(chǎn)生重大影響。如果董事會獨立于管理層，并且通常由經(jīng)驗豐富、技術(shù)嫻熟、才華橫溢的成員組成，那么在履行監(jiān)督職責的同時，董事會可以提供適當程度的行業(yè)、業(yè)務和技術(shù)投入。這種投入包括在必要時審查管理層的活動、提出不同的觀點、挑戰(zhàn)組織的偏見，并在面對錯誤行為時采取行動。最重要的是，在履行其提供風險監(jiān)督的職責時，董事會在不介入管理層角色的情況下向管理層提出挑戰(zhàn)。對企業(yè)風險管理的另一個重要影響是文化。無論該實體是小型的家族式私營公司、大型復雜跨國公司、政府機構(gòu)或者非營利組織，其文化都反映了該實體的道德規(guī)范：價值觀、信仰、態(tài)度、期望的行為和對風險的理解。文化支持實體的使命和愿景的實現(xiàn)。具有風險意識文化的實體強調(diào)管理風險的重要性，并鼓勵風險信息的透明和及時流動。它在這樣做的時候，沒有責備，而是以一種理解、負責和持續(xù)改進的態(tài)度。原則1：董事會行使風險監(jiān)督董事會監(jiān)督戰(zhàn)略并履行風險治理職責，以支持管理層實現(xiàn)戰(zhàn)略和業(yè)務目標。責任與職責董事會對實體的風險監(jiān)督負有首要責任，在許多國家，董事會對其利益相關(guān)方負有受托責任，包括對企業(yè)風險管理實踐進行評審。通常，全體董事會保留風險監(jiān)督的職責，將管理和監(jiān)督風險的日常職責留給管理層或委員會，如風險委員會。無論結(jié)構(gòu)如何，在章程中記錄職責是很常見的，該章程規(guī)定了董事會的責任與管理層的責任。技能、經(jīng)驗和業(yè)務知識董事會有能力提供適當?shù)膶I(yè)知識，并通過其集體技能、經(jīng)驗和業(yè)務知識理解和管理實體的風險。這包括例如在必要時就戰(zhàn)略、業(yè)務目標、計劃和績效目標向管理層提出適當?shù)膯栴}。它還包括與外部利益相關(guān)方互動，提出備選觀點和行動。只有當董事會理解實體的戰(zhàn)略和行業(yè)，并隨時了解影響實體的因素時，才有可能進行風險監(jiān)督。隨著戰(zhàn)略和業(yè)務環(huán)境的變化，經(jīng)營模式中的風險以及戰(zhàn)略和業(yè)務目標的風險也會隨之變化。因此，董事會成員的資格要求可能會隨著時間的推移而變化。每個董事會必須自行確定并定期評審其是否具備適當?shù)募寄?、專業(yè)知識和結(jié)構(gòu)，以提供有效的風險監(jiān)督。例如，網(wǎng)絡風險對大多數(shù)實體來說是一個現(xiàn)實，因此面臨網(wǎng)絡風險的實體需要有董事會成員擁有信息技術(shù)方面的專業(yè)知識，或通過獨立顧問或外部顧問獲得所需的專業(yè)知識。獨立性董事會總體上必須獨立才能有效。獨立性使董事能夠客觀地評價實體的績效和福利，而不存在任何利益沖突或利益相關(guān)方的不當影響。董事會通過每一位董事會成員展示其個人客觀性來證實其獨立性（見示例6.1）。示例6.1：妨礙董事會獨立性的因素董事會成員的獨立性可能會受到阻礙，如果他或她。在該實體中擁有大量的財務利益。目前或最近受實體雇用擔任行政職務。最近以物質(zhì)的方式為董事會提供建議。與實體有重大的業(yè)務關(guān)系，如作為供應商、客戶或外包服務提供商。與實體有現(xiàn)有合同關(guān)系（除董事關(guān)系外）。向?qū)嶓w捐贈了大筆資金。與某實體內(nèi)的主要利益相關(guān)方有業(yè)務或個人關(guān)系。擔任其他實體的董事會成員，這代表了潛在的利益沖突。獨立董事會對管理層起著制衡作用，確保實體的運營符合其利益相關(guān)方的最佳利益，而不是少數(shù)董事會成員或管理層的最佳利益。企業(yè)風險管理的適宜性重要的是，董事會要了解實體的復雜性，以及企業(yè)風險管理將如何幫助實體，包括它將獲得什么好處。企業(yè)風險管理的適宜性是指其將風險管理到可接受的程度的能力。董事會通過與管理層進行對話來確定企業(yè)風險管理是否適合該實體的需要，從而幫助確定這些預期的收益。董事會還與管理層合作，確定運營模式、報告關(guān)系和實現(xiàn)這些收益的能力。例如，一些組織可能認為企業(yè)風險管理的好處是“獲得對戰(zhàn)略的風險的理解”。在這種情況下，管理層會把企業(yè)風險管理的重點放在實現(xiàn)戰(zhàn)略和業(yè)務目標的實踐上--也許是減少意外和損失的方法，或者是減少績效波動。其他組織可能將企業(yè)風險管理的價值定義為“理解戰(zhàn)略不一致的風險”。還有一些組織可能認為企業(yè)風險管理的價值是“支持實現(xiàn)使命、愿景和核心價值的能力，以及所選戰(zhàn)略對其風險狀況的影響“。在這種情況下，管理層將更多地關(guān)注戰(zhàn)略的制定，并使企業(yè)目標與日常執(zhí)行保持一致。組織偏見決策中的偏見一直存在，而且會一直存在。在一個實體中，經(jīng)常會發(fā)現(xiàn)“群體思維”、主導人格、過分依賴數(shù)字、忽視相反信息、對最近事件的過度重視以及規(guī)避風險或承擔風險的傾向。因此，問題不是偏見是否存在，而是如何管理企業(yè)風險管理中的偏見。董事會應了解存在的潛在組織偏見，并挑戰(zhàn)管理層來克服這些偏見。原則2：建立治理和運營模式組織在追求戰(zhàn)略和業(yè)務目標的過程中建立運營結(jié)構(gòu)。運營模式和報告關(guān)系組織建立了一個運營模式并設計了報告關(guān)系，以執(zhí)行戰(zhàn)略和業(yè)務目標。在設計運營模式中的報告報告關(guān)系時，組織必須明確界定職責。組織還可能與可能影響報告關(guān)系的外部第三方建立關(guān)系（例如，戰(zhàn)略商業(yè)聯(lián)盟或合資企業(yè)）。不同的運營模式可能導致風險狀況的不同看法，這可能會影響企業(yè)風險管理實踐。例如，在分散經(jīng)營模式中評估風險可能表明風險很少，而在集中經(jīng)營模式中的觀點可能表明風險集中——可能與某些客戶類型、外匯或稅務風險有關(guān)。組織在決定采用何種運營模式時考慮了這些因素和其他因素。這些因素還影響到運營單位和職能部門內(nèi)企業(yè)風險管理實踐的設計。例如，董事會決定哪些管理角色與董事會之間至少有一條虛線，以便就所有重要問題進行公開溝通。同樣，在實體各個層面上規(guī)定直接報告和信息報告線。建立和評價運營模式的因素可能包括：實體的戰(zhàn)略和業(yè)務目標。實體業(yè)務的性質(zhì)、規(guī)模和地理分布。與實體戰(zhàn)略和業(yè)務目標相關(guān)的風險。對實體各級的權(quán)力、責任和職責的分配。報告線的類型（例如，直接報告/實線與二級報告）和溝通渠道。財務、稅務、監(jiān)管和其他報告要求。企業(yè)風險管理結(jié)構(gòu)管理層根據(jù)實體的使命、愿景和核心價值，規(guī)劃、組織和執(zhí)行實體的戰(zhàn)略和業(yè)務目標。因此，管理層需要了解與戰(zhàn)略相關(guān)的風險在整個實體中是如何發(fā)生的。收集這些信息的方法之一是將責任委托給委員會。委員會成員通常是管理層任命或選舉的高管或高級領(lǐng)導，每個人都貢獻個人技能、知識和經(jīng)驗。委員會共同提供風險監(jiān)督。結(jié)構(gòu)復雜的實體可能有幾個委員會，每個委員會都有不同但重疊的管理成員。然后，這種多委員會的結(jié)構(gòu)與運營模式和報告關(guān)系相一致，這使得管理層能夠根據(jù)需要做出業(yè)務決策，并充分理解這些決策中的固有風險。無論建立何種特定的管理委員會結(jié)構(gòu)，通常都會明確說明委員會的權(quán)力、作為委員會成員的管理成員、會議的頻率以及委員會關(guān)注的具體職責和運行原則。在小型實體中，企業(yè)風險管理的監(jiān)督可能不那么正式，管理層更多地參與日常執(zhí)行。權(quán)限和職責在只有一個董事會的實體中，董事會授權(quán)管理層設計和實施支持實現(xiàn)戰(zhàn)略和業(yè)務目標的實踐。反過來，管理層規(guī)定整個實體及其運營單位的角色和責任。管理層還規(guī)定與戰(zhàn)略和業(yè)務目標相一致的個人、團隊、部門、運營單位和職能的角色、職責和責任。在擁有雙重董事會的實體中，監(jiān)事會專注于影響業(yè)務的長期決策和戰(zhàn)略。管理委員會負責監(jiān)督日常運營，包括對高級管理層的監(jiān)督和授權(quán)。與單一董事會治理模式類似，管理層規(guī)定整個實體及其運營單位的角色和職責。主要角色通常包括：擔任管理角色的個人，他們有權(quán)和職責做出決策并監(jiān)督業(yè)務實踐，以實現(xiàn)戰(zhàn)略和業(yè)務目標。在管理團隊中，首席風險官通常是負責提供專業(yè)知識和協(xié)調(diào)風險考慮的個人。其他人員，他們了解實體的行為標準和責任范圍內(nèi)有關(guān)業(yè)務目標以及實體中各層面的相關(guān)企業(yè)風險管理實踐。管理層授予權(quán)力和職責，使員工能夠做出決策。管理層可能通過減少管理層次、將更多權(quán)力和責任下放給下級或與其他實體合作來定期重新審視其結(jié)構(gòu)。明確界定權(quán)力很重要，因為它賦予人們在特定角色中按需行事的權(quán)力，但也對權(quán)力施加了限制?；陲L險的決策在管理方面會得到加強，當管理層：只在實現(xiàn)實體的戰(zhàn)略和業(yè)務目標所需的范圍內(nèi)授權(quán)（例如，新產(chǎn)品的評審和批準涉及業(yè)務和支持職能部門，與銷售團隊分開）。指定需要評審和批準的交易（例如，管理層可能有權(quán)批準收購）。將新興風險作為決策的一部分（例如，在沒有進行盡職調(diào)查的情況下，不接受一個新的供應商）。發(fā)展中的實體內(nèi)企業(yè)風險管理隨著實體的變化，它從企業(yè)風險管理中尋求的能力和價值也可能發(fā)生變化。企業(yè)風險管理應適應實體的能力，既要考慮組織所追求的目標，又要考慮其管理風險的方式。隨著業(yè)務性質(zhì)和戰(zhàn)略的發(fā)展，運營模式自然會發(fā)生變化。因此，管理層要定期評價運營模式和相關(guān)的報告關(guān)系。當今世界信息技術(shù)不斷發(fā)展，新的運營模式正在出現(xiàn)。標準運營模式可能很快就變成了“虛擬”的性質(zhì)，大大減少了對物理位置的依賴，而更多地依賴于技術(shù)互聯(lián)。這種轉(zhuǎn)變需要研究風險如何也會隨之轉(zhuǎn)變：在決策哪個點考慮風險？這對戰(zhàn)略和業(yè)務目標的實現(xiàn)有什么影響？管理層必須準備在新的運營模式下解決這些問題，并了解創(chuàng)新帶來的變化將如何影響企業(yè)風險管理實踐。原則3：定義期望的組織行為組織定義以實體核心價值觀和風險態(tài)度為特征的期望行為。文化特征和期望行為實體的文化反映在其核心價值觀和企業(yè)風險管理方法中。從制定和執(zhí)行戰(zhàn)略到影響日常工作的決策，整個實體的決策都體現(xiàn)了文化。實體的文化影響組織如何應用本框架：組織如何識別風險、接受什么類型的風險以及如何管理風險。建立一種所有員工都能接受的文化，即人們在正確的時間做正確的事情，這對于組織能夠抓住機遇、將風險降至最低從而實現(xiàn)戰(zhàn)略和業(yè)務目標至關(guān)重要。應由董事會和管理層來規(guī)定整個實體和內(nèi)部個人的期望行為。文化驅(qū)動著日常決策中的期望行為，以滿足內(nèi)部和外部利益相關(guān)方的期望。成熟的文化并不意味著企業(yè)風險管理的模板方法。也就是說，一些經(jīng)營單位的管理者可能準備承擔更多的風險，而另一些單位的管理者則可能更保守。例如，一個積極進取的銷售單位可能會把注意力集中在銷售上，而沒有仔細注意預期風險偏好之外的監(jiān)管合規(guī)性；而合同單位的人員可能會把注意力集中在預期險偏好之內(nèi)的全面合規(guī)性。這兩個部門單獨工作可能會對實體產(chǎn)生不利影響，但通過合作，他們可以在規(guī)定的風險偏好范圍內(nèi)作出適當反應，以實現(xiàn)戰(zhàn)略和業(yè)務目標。許多因素形成了實體文化。內(nèi)部因素包括（除其他因素外），實體員工之間和他們的管理者之間如何互動，標準和規(guī)則，工作場所的物理布局，以及現(xiàn)有的獎勵制度。外部因素包括監(jiān)管要求和客戶、投資者和其他人的期望。所有這些因素都會影響到實體在文化波譜中的位置，其范圍從厭惡風險到積極風險（見圖6.1）。實體越接近積極風險的一端，其對實現(xiàn)戰(zhàn)略和商業(yè)目標所需的風險類型和數(shù)量的傾向性和接受度就越高（另見示例6.2）。圖6.1文化波譜風險厭惡風險中性風險喜好示例6.2：文化波譜核電站在日常運營中可能會有一種規(guī)避風險的文化。管理層和外部利益相關(guān)立都希望有關(guān)新技術(shù)和系統(tǒng)的決策能夠謹慎作出，并高度重視細節(jié)和安全，以便為電廠的可靠性提供合理預期。對于核電站來說，進行大量投資于對運營管理至關(guān)重要的創(chuàng)新和未經(jīng)驗證的技術(shù)是不可取的。相比之下，對沖基金可能是一個風險喜好的實體。管理層和外部投資者將對績效期望很高，需要承擔潛在的嚴重風險，同時仍在實體的既定風險偏好范圍內(nèi)。擁抱風險意識文化管理層規(guī)定隨著時間推移實現(xiàn)預期文化所需的特征，董事會提供監(jiān)督和關(guān)注。組織可以通過以下方式擁抱風險意識文化：保持強大的領(lǐng)導能力。董事會和管理層重視在整個實體內(nèi)建立正確的風險意識和基調(diào)。文化和風險意識不能僅從二線職能改變；組織的領(lǐng)導必須是變革的真正驅(qū)動力。采用參與式管理風格。管理層鼓勵員工參與決策，討論戰(zhàn)略和業(yè)務目標的風險。對所有行動實施問責。管理層將問責政策形成文件并遵守這些政策，向員工證實，不容忍缺乏責任的行為，履行責任會得到適當?shù)莫剟?。將風險嵌入決策中。管理層在做出關(guān)鍵業(yè)務決策時始終如一地應對風險，包括討論和評審風險情景，以幫助每個人在最終確定決策之前了解風險的相互關(guān)系和影響。對實體所面臨的風險進行公開和誠實的討論。管理層并不認為風險是負面的，而是認為風險對實現(xiàn)戰(zhàn)略和業(yè)務目標至關(guān)重要。鼓勵整個實體的風險意識。管理層不斷向員工傳達信息，管理風險是他們?nèi)粘Ｂ氊煹囊徊糠?，它不僅受到重視，而且對實體的成功和生存至關(guān)重要。公開溝通和報告風險：管理層對整個實體的風險保持透明。在風險意識文化中，員工知道實體的主張和他們可以運營的邊界。他們可以公開討論和辯論應該承擔哪些風險來實現(xiàn)實體的戰(zhàn)略和業(yè)務目標，結(jié)果是員工和管理層的行為與實體的風險偏好相一致。原則4：證實對誠實和道德的承諾組織證實對誠實和道德價值的承諾。在整個組織中設定基調(diào)組織的基調(diào)是企業(yè)風險管理的基礎(chǔ)。如果沒有一個強有力的、支持性的、由組織高層傳達的、支持道德文化的基調(diào)，風險意識就會被逐漸削弱，對風險的反應可能不恰當，信息和溝通渠道可能會衰弱，監(jiān)視實體績效的反饋可能不會被聽到或采取行動?；{(diào)是由管理層和董事會的經(jīng)營風格和個人行為決定的。他們對風險的正式確認向組織傳遞了信息。當管理層和董事會的采取道德和負責任的行為并證實對解決不當行為的承諾時，他們他們會向每個人傳達組織強烈支持誠信的信息。但是，如果存在個人不檢點行為，缺乏對壞消息的接受能力，或薪酬計劃不公平，那么發(fā)出的信息可能是漠不關(guān)心，這可能對文化產(chǎn)生負面影響并引發(fā)不當行為。員工員工可能會對什么是可接受的和不可接受的，以及對風險和風險應對措施，形成與管理層相同的態(tài)度。擁有一致的基調(diào)有助于組織對核心價值、業(yè)務驅(qū)動因素以及人員和業(yè)務伙伴的的期望行為達成共識。一致性有助于將組織凝聚在一起，以追求實體的戰(zhàn)略和業(yè)務目標。但要保持一致的基調(diào)并不容易。例如，不同的市場和挑戰(zhàn)可能需要不同的激勵、評價和客戶服務方法。這些因素可能會不時地給實體不同層面帶來壓力，從而導致基調(diào)的改變。（在大型實體中，這種基調(diào)的觀點有時被稱為"中間基調(diào)"）。然而，基調(diào)在整個實體中保持的一致性越高，在追求實體戰(zhàn)略和業(yè)務目標時企業(yè)風險管理責任的績效就越一致。建立和評價行為標準行為標準通過以下方式指導組織追求戰(zhàn)略和業(yè)務目標。確定什么是可接受的和不可接受的。提供指導，以便在可接受和不可接受之間找到方向。反映法律、法規(guī)、標準和實體的利益相關(guān)方可能具有的其他期望，如企業(yè)的社會責任。道德期望和規(guī)范因地區(qū)和實體而異。因此，因此，管理層和董事會建立適當?shù)臉藴屎蜋C制來遵守這些標準，其中包括應對潛在的不合規(guī)。然后將這些期望轉(zhuǎn)化為組織聲明，即行為準則。行為準則的目的是傳達組織對道德和期望行為的期望，包括與企業(yè)風險管理和決策相關(guān)的行為。在面臨困難的決策時，組織會評實其對應用行為準則的承諾。例如，當必須做出具有挑戰(zhàn)性的決策時，組織可能會問以下問題。是否違反實體的行為標準？是否合法？我們是否希望我們的股東、客戶、監(jiān)管機構(gòu)、外部各方或其他利益相關(guān)方了解此事？它是否會對個人或?qū)嶓w產(chǎn)生負面影響？實體的誠信標準和道德價值觀應成為與員工進行各種形式溝通的核心信息：例如，政策、培訓、雇傭或服務合同。一些組織要求員工正式確認收到并遵守標準。培訓方案對建立行為標準也很重要。那些經(jīng)常被認為是“最佳工作場所”且員工保留率高的實體通常會提供有關(guān)企業(yè)道德價值觀的培訓。通常，培訓課程每季度或每半年進行一次，具體取決于新聘用的人員數(shù)量。在此類培訓中，員工將了解到實體的道德氛圍是如何形成的，以及直言不諱和提出隱憂的重要性。此外，還向員工提供誠信和道德價值如何幫助發(fā)現(xiàn)問題和解決問題的實例。有了行為標準，組織就可以評價對誠信和道德的遵守情況。例如，組織可以制定一項具有可衡量指標的政策，以監(jiān)視和管理其按照核心價值觀推動道德實體的能力。應對偏離標準的行為當行為標準沒有得到遵守時，通常是由于以下原因之一：高層的基調(diào)沒有有效傳達期望。董事會未監(jiān)督管理層遵守標準的情況。中層管理人員和職能經(jīng)理沒有與實體的使命、愿景、核心價值觀、戰(zhàn)略和風險應對措施保持一致。風險是戰(zhàn)略制定和業(yè)務規(guī)劃的事后考慮。績效目標產(chǎn)生激勵或壓力，使道德行為受到損害。在重要的風險和合規(guī)事項上，沒有明確的上報政策。調(diào)查和解決過度承擔風險的程序不充分。存在管理層或人員有意或故意不合規(guī)的情況。一旦發(fā)現(xiàn)偏差，組織就會發(fā)出明確的信息，說明什么是可接受的、什么是不可接受的行為。偏離行為標準的行為必須得到及時和一致的處理（見例6.3）。示例6.3：發(fā)生偏離行為標準的情形對于一家全球性制藥公司來說，研發(fā)（R&D）往往是最大的成本之一，因為產(chǎn)品的開發(fā)和上市可能需要10到20年的時間，需要大量的資金投入。在研究階段，發(fā)現(xiàn)產(chǎn)品的許多副作用是很常見的。但是，如果研發(fā)部門沒有向管理層披露所有潛在的副作用，以便他們可以做出知情的決策，從藥物試驗轉(zhuǎn)向生產(chǎn)，并且藥物已經(jīng)上市，則可能會對實體產(chǎn)生嚴重影響。此外，研發(fā)部門未能披露可能會明顯違反公司的預期行為。對偏差的反應將取決于偏差的大小，這由管理層考慮任何相關(guān)法律和行為標準后確定。應對措施可能包括警告員工并提供輔導，給予試用期甚至解聘。在所有情況下，實體的行為標準必須保持一致。一致性能確保實體的文化不受破壞。使文化、道德和個人行為保持一致如果建立一種管理層和員工“在正確的時間做正確的事”的文化是企業(yè)風險管理的基礎(chǔ)，那么為什么有時會出錯？即使在那些充分展現(xiàn)誠信和道德的實體中，丑聞和危機有時也會發(fā)生——損害聲譽并最終導致組織無法實現(xiàn)其戰(zhàn)略和業(yè)務目標。不道德的行為的發(fā)生有三個原因：好人犯錯（出于困惑或無知），好人一時意志薄弱，壞人選擇傷害。由于知道這三種情況中的任何一種都可能發(fā)生，組織必須調(diào)整道德和文化，以幫助人們避免錯誤和保持堅強的意志，并識別潛在的不法分子、個人或團體。這需要對風險進行適當?shù)脑u估和優(yōu)先排序，并制定詳細的風險應對措施。使個人行為與文化保持一致至關(guān)重要。最有力的影響來自于管理層，他們創(chuàng)建并保持了組織的行動綱。組織“言出必行”明確地執(zhí)行核心價值觀和行為標準。關(guān)鍵是管理層要執(zhí)行它聲明是重要的事物，認識到最有效地建立文化的是隱性和微妙的過程。人們對行為強化的反應比對書面規(guī)則和政策的反應更好。文化和道德是實體實現(xiàn)其使命和愿景的能力不可或缺的組成部分，盡管文化是一種強大的力量，但它不是決定性的力量。個人決策以及個人責任是道德和企業(yè)風險管理的基礎(chǔ)。保持溝通暢通并免于報復管理層有責任培養(yǎng)關(guān)于風險和風險承擔期望的公開溝通和透明度。管理層表明，風險不是留待董事會討論的問題。它通過向員工發(fā)出明確和一致的信息，即管理風險是每個人日常職責的一部分，它不僅受到重視，而且對實體的成功和生存也至關(guān)重要。公開的溝通和風險透明度使管理層和工作人員能夠持續(xù)合作，在整個實體內(nèi)分享風險信息。此外，管理層向董事會提供適當數(shù)量的風險信息，以衡量當前的企業(yè)風險管理實踐是否適當。董事會只有在得到及時和完整的信息，并且溝通線暢通，能夠與第一和第二責任線的管理層討論風險問題時，才能進行風險監(jiān)督。展現(xiàn)出公開溝通和透明度的實體為管理層和人員提供多種渠道，以報告對潛在不當或過度承擔風險、業(yè)務行為或行為的隱憂，而無需擔心報復或恐嚇。實體還禁止對任何善意參與調(diào)查不符合行為標準的行為和不符合風險偏好的行為的個人進行任何形式的不適當?shù)膱髲?。從事不當或非法報復或恐嚇行為的人員將受到紀律處分。原則5：加強問責組織要求各級人員對企業(yè)風險管理負責，并要求自身負責提供標準和指導。加強問責董事會最終要求首席執(zhí)行官通過建立企業(yè)風險管理實踐和能力來支持實現(xiàn)實體的戰(zhàn)略和業(yè)務目標，對管理實體所面臨的風險負責。首席執(zhí)行官、首席風險官和其他管理層成員共同負責問責制的各個方面--從最初的設計到文化和企業(yè)風險管理能力的定期評估。企業(yè)風險管理的責任在實體所使用的每個結(jié)構(gòu)中都有所體現(xiàn)。管理層向員工提供指導，使他們了解風險。管理層還通過傳達對企業(yè)風險管理所有方面的行為期望來展示領(lǐng)導力。這種來自高層的領(lǐng)導有助于建立和加強責任、士氣和共同宗旨。問責制體現(xiàn)在以下方面：管理層和董事會明確期望（例如，制定并執(zhí)行行為準則）。管理層確保有關(guān)風險的信息在整個實體中流動（溝通如何做出決策以及如何將風險視為決策的一部分）。員工致力于實現(xiàn)集體業(yè)務目標（例如，使個人目標和績效與實體的業(yè)務目標保持一致）。管理層應對偏離標準和行為（例如，對不遵守組織標準的人員進行解雇或采取其他糾正措施；啟動績效評價）。為自己負責在一些治理結(jié)構(gòu)中，績效目標從董事會逐級分解到首席執(zhí)行官、管理層和其他人員，并在每個層面上對績效進行評價。董事會評價首席執(zhí)行官的績效，首席執(zhí)行官再評價管理團隊，依次類推。在每個層面上，都會評估對行為標準和期望能力水平的遵守情況，并酌情分配獎勵或采取紀律處分。董事會也可以進行自我評價，以評估其自身的優(yōu)勢，并確定改進企業(yè)風險管理的機會。在其他治理結(jié)構(gòu)中，如雙層董事會，監(jiān)事會評價整個執(zhí)行委員會及其每個成員的績效；執(zhí)行委員會評價直接向執(zhí)行委員會報告的管理團隊。獎勵績效個人承擔責任的程度和獎勵方式對績效有很大影響?？紤]到短期和長期業(yè)務目標的實現(xiàn)，應由管理層和董事會制定適合實體各級的激勵措施和其他獎勵。建立此類激勵和獎勵，需要適當?shù)卦u估、優(yōu)先排序風險并制定詳細的風險應對措施。反之，根據(jù)激勵計劃，那些不遵守實體行為標準的個人將受到制裁，而不會得到晉升或其他獎勵。加薪和獎金是常見的激勵措施，但非貨幣性的獎勵，如賦予更大的責任、透明度和認可也是有效的。管理層應根據(jù)組織的行為標準和期望行為，持續(xù)應用并定期評審組織的衡量和獎勵結(jié)構(gòu)。這樣做時，個人和團隊的績效要根據(jù)規(guī)定的衡量標準進行評審，其中包括業(yè)務績效因素和已證實的能力（見例6.4）。示例6.4：績效、激勵和獎勵一個家族式的家具制造商正試圖以其高質(zhì)量的家具來贏得客戶忠誠度。它讓員工參與到降低生產(chǎn)缺陷率，并將其績效措施、激勵和獎勵與經(jīng)營單位的生產(chǎn)目標以及遵守所有安全和質(zhì)量標準、工作場所安全法律、客戶忠誠度計劃和準確的產(chǎn)品召回報告的期望相一致。這樣，實現(xiàn)客戶忠誠度和銷售高質(zhì)量家具的業(yè)務目標、通過缺陷了解風險并考慮安全問題都與業(yè)務績效、激勵和獎勵相一致。應對壓力組織中的壓力來自于許多方面。管理層為實現(xiàn)戰(zhàn)略和業(yè)務目標而制定的目標，究其本質(zhì)，也會產(chǎn)生壓力。壓力還可能發(fā)生在特定任務的常規(guī)周期中（例如，銷售合同的談判），有時可能是自我施加的。意外的外部因素，如經(jīng)濟的突然下滑，也會增加壓力。壓力既可以激勵個人達到期望，也可以使他們擔心不能實現(xiàn)戰(zhàn)略和業(yè)務目標的后果。在后一種情況下，有可能出現(xiàn)個人規(guī)避流程或從事欺詐活動的風險。組織可以通過重新平衡工作量或適當增加資源水平來積極影響壓力以降低這種風險，并繼續(xù)宣傳道德行為的重要性。壓力過高最常與以下情況有關(guān)：不切實際的績效目標，尤其是短期結(jié)果的目標。不同利益相關(guān)方的業(yè)務目標相互沖突。短期財務績效回報和長期關(guān)注的利益相關(guān)方回報之間的不平衡，如企業(yè)的可持續(xù)發(fā)展目標（見例6.5）。示例6.5：壓力的代價證實投資策略盈利能力的壓力可能會導致交易員利用未經(jīng)批準的產(chǎn)品承擔非戰(zhàn)略風險，以彌補已發(fā)生的損失。同樣，急于將產(chǎn)品推向市場并迅速產(chǎn)生收入的壓力可能會導致制藥公司人員在產(chǎn)品開發(fā)或安全測試方面走捷徑，這可能會對消費者有害，或?qū)е陆邮芏鹊突蚵曌u受損。在考慮薪酬和激勵措施時，應考慮對壓力可能產(chǎn)生的負面反應。例如，投資經(jīng)理代表其客戶投資組合承擔風險，而這些投資的績效可能會顯著影響實體的薪酬。與基金價值模式相比，基于基金金績效的費用模式可能會導致實體內(nèi)截然不同的行為。將個人薪酬與組織結(jié)構(gòu)相結(jié)合，有助于實現(xiàn)戰(zhàn)略和業(yè)務目標。反之，如果激勵結(jié)構(gòu)沒有充分考慮到與組織結(jié)構(gòu)相關(guān)的風險，就會產(chǎn)生不當行為。壓力也會因變化而產(chǎn)生：戰(zhàn)略、經(jīng)營模式、收購或剝離活動以及業(yè)務環(huán)境的變化，這些變化通常是組織外部的，例如市場競爭對手的行動。管理層和董事會必須做好準備，在分配職責、設計績效衡量標準和評價績效時，酌情設定和調(diào)整壓力。管理層有責任指導那些被他們授權(quán)的人人在經(jīng)營過程中做出適當?shù)臎Q策。原則6：吸引、發(fā)展并留住優(yōu)秀的個體組織致力于建設與戰(zhàn)略和業(yè)務目標相一致的人力資本。建立和評價能力管理層在董事會的監(jiān)督下，確定執(zhí)行戰(zhàn)略和業(yè)務目標所需的人力資本。了解所需的能力有助于確定應如何執(zhí)行各種業(yè)務流程，以及應運用哪些技能。這首先是董事會相對于首席執(zhí)行官，以及首席執(zhí)行官相對于實體各部門、經(jīng)營單位和職能部門的每個管理層和人員。也就是說，董事會評價首席執(zhí)行官的能力，反過來，管理層評價整個實體的能力，并在必要時解決任何缺陷或過度。人力資源職能通過制定工作描述、角色和職責、促進培訓和評價個人風險管理績效，幫助提升能力。管理層在制定能力要求時考慮以下因素：企業(yè)風險管理的知識、技能和經(jīng)驗。適用于特定職位的判斷性質(zhì)和程度以及權(quán)限限制。不同技能水平和經(jīng)驗的成本和收益。吸引、發(fā)展并留住優(yōu)秀的個體對能力的持續(xù)承諾得到了人力資源管理過程的支持并嵌入其中。不同級別的管理層建立了結(jié)構(gòu)和程序，以：吸引。尋找必要數(shù)量且符合實體的風險意識文化、期望行為、運營風格和組織需求的候選人，以及有能力勝任擬定職位的候選人。培訓。使個人能夠發(fā)展和保持適合指定角色和職責的企業(yè)風險管理能力，加強行為標準和期望的能力水平，根據(jù)具體需求定制培訓，并考慮多種傳授技術(shù)，包括課堂教學、自學和在職培訓。輔導。對個人在行為和能力標準方面的表現(xiàn)提供指導，使個人的技能和專長與實體的戰(zhàn)略和業(yè)務目標保持一致，并幫助個人適應不斷變化的內(nèi)部環(huán)境和外部環(huán)境。評價。根據(jù)服務水平協(xié)議或其他商定的標準，衡量個人在實現(xiàn)業(yè)務目標和證實企業(yè)風險管理能力方面的績效。留住。提供激勵措施來激發(fā)個人，并加強期望的績效和行為水平。這包括提供適當?shù)呐嘤柡唾Y格認證。在整個過程中，及時識別、評估和糾正任何不符合行為標準、政策、績效預期和企業(yè)風險管理責任的行為。此外，組織必須持續(xù)識別和評估對實現(xiàn)戰(zhàn)略和業(yè)務目標至關(guān)重要的角色。通過評估暫時或永久不派人擔任某個角色的后果，來決定該角色是否重要。需要問的問題是：如果首席執(zhí)行官的職位空缺，戰(zhàn)略和業(yè)務目標將如何實現(xiàn)？為繼任做準備為準備繼任，董事會和管理層必須制定應急計劃，分配對企業(yè)風險管理至關(guān)重要的職責。特別是，需要為關(guān)鍵高管制定繼任計劃，并對繼任候選人進行培訓、輔導和指導，以使其承擔該角色。通常，較大的實體會確定不止一個可以擔任關(guān)鍵角色的人。風險、戰(zhàn)略和目標設定通過制定戰(zhàn)略和業(yè)務目標的過程，將企業(yè)風險管理整合到實體的戰(zhàn)略規(guī)劃中。通過理解業(yè)務環(huán)境，組織可以深入了解內(nèi)部和外部因素及其對風險的影響。組織在制定戰(zhàn)略的同時設定其風險偏好。業(yè)務目標將戰(zhàn)略付諸實踐，并決定實體的日常運營和優(yōu)先事項。風險、戰(zhàn)略和目標設定7.考慮風險和業(yè)務環(huán)境——組織考慮業(yè)務環(huán)境對風險狀況的潛在影響。8.定義風險偏好——組織在創(chuàng)造、保持和實現(xiàn)價值的環(huán)境下定義風險偏好。9.評估備選戰(zhàn)略——組織評估備選戰(zhàn)略和對風險狀況的影響。10.制定業(yè)務目標的同時考慮風險——組織在制定符合和支持戰(zhàn)略的各級業(yè)務目標時考慮風險。11.規(guī)定可接受的績效波動——組織規(guī)定與戰(zhàn)略和業(yè)務目標相關(guān)的可接受的績效波動。引言評估戰(zhàn)略和業(yè)務目標是否與使命、愿景和核心價值觀相一致可能是一個挑戰(zhàn)，但這是一個必須接受的挑戰(zhàn)。通過將企業(yè)風險管理與戰(zhàn)略制定相整合，組織可以深入了解與戰(zhàn)略及其執(zhí)行相關(guān)的風險狀況。這樣做可以指導組織，有助于加強戰(zhàn)略及其執(zhí)行。原則7：考慮風險和業(yè)務環(huán)境組織考慮業(yè)務環(huán)境對風險狀況的潛在影響。理解業(yè)務環(huán)境組織在制定戰(zhàn)略以支持其使命、愿景和核心價值觀時，會考慮業(yè)務環(huán)境?！皹I(yè)務環(huán)境”"是指影響、闡明或推動組織當前和未來戰(zhàn)略及業(yè)務目標變化的趨勢、關(guān)系和其他因素。業(yè)務環(huán)境可以是：動態(tài)的。新的風險隨時可能出現(xiàn)，導致擾亂和改變現(xiàn)狀（例如，新的競爭者導致產(chǎn)品銷售下降，甚至使產(chǎn)品被淘汰）。復雜的。有許多相互聯(lián)系和相互依賴關(guān)系（例如，一個實體在世界各地有許多經(jīng)營單位，每個單位都有自己獨特的政治制度、監(jiān)管政策和稅法）。不可預測的。因為變化可能很快發(fā)生，而且是以意想不到的方式發(fā)生（例如，貨幣波動和政治力量）?？紤]外部環(huán)境和利益相關(guān)方外部環(huán)境是業(yè)務環(huán)境的一部分。它是實體之外的任何能夠影響實體實現(xiàn)其戰(zhàn)略和業(yè)務目標的能力的事物。外部利益相關(guān)方也是外部環(huán)境的一部分。外部利益相關(guān)方的一個例子是監(jiān)管機構(gòu)，它授予實體經(jīng)營許可證，但也有權(quán)對實體進行罰款或強制其暫時或永久關(guān)閉。另一個例子是為實體提供資本的投資者，但如果他不認同實體的戰(zhàn)略方向或其績效水平，則可以決定將該投資轉(zhuǎn)移到其他地方。組織如果能識別其外部環(huán)境和利益相關(guān)方及其對業(yè)務影響程度，就能更好地預測和適應變化。外部利益相關(guān)方不直接參與實體的運營，但他們：受實體的影響（客戶、供應商、競爭者等）。直接影響實體的業(yè)務環(huán)境（政府、監(jiān)管機構(gòu)等）。影響實體的聲譽、品牌和信任（社區(qū)、利益集團等）。與外部利益相關(guān)方一樣，外部環(huán)境可以影響實體實現(xiàn)其戰(zhàn)略和業(yè)務目標的能力。外部環(huán)境由幾個因素組成，這些因素可按首字母縮寫PESTLE進行分類：政治、經(jīng)濟、社會、技術(shù)、法律和環(huán)境（圖7.1）。示例7.1說明了這一概念。圖7.1:外部環(huán)境類別和特征類府干如，成的災難，持續(xù)的氣候變化，能源消費法規(guī)的變化，對環(huán)境的態(tài)度類別外部環(huán)境的特征政治政府干預和影響的性質(zhì)和程度，包括稅收政策、勞動法、環(huán)境法、貿(mào)易限制、關(guān)稅和政治穩(wěn)定經(jīng)濟利率、通貨膨脹、外匯匯率、信貸可用性等。社會客戶需求或期望；人口統(tǒng)計學，如年齡分布、教育水平、財富分布等技術(shù)研發(fā)活動、自動化和技術(shù)激勵；技術(shù)變革或破壞的速度法律法律（例如，就業(yè)、消費者、健康和安全）、法規(guī)和行業(yè)標準環(huán)境自然或人為造成的災難，持續(xù)的氣候變化，能源消費法規(guī)的變化，對環(huán)境的態(tài)度示例7.1：外部環(huán)境影響一家全球科技公司正在尋求通過在發(fā)展中國家推出一種成熟的產(chǎn)品來增加收入，而另一家科技公司正在為其本國的消費者群體開發(fā)一種產(chǎn)品。當每家公司評估備選戰(zhàn)略時，他們會考慮不同的外部環(huán)境類別。第一家公司受到政治、法律和經(jīng)濟因素的影響，因為它要駕馭特定國家的法律、政府法規(guī)和資本考慮。相比之下，第二家公司在尋求了解新客戶需求時，重點關(guān)注社會和技術(shù)因素。盡管兩家公司處于同一行業(yè)，但它們有不同的外部環(huán)境，這些環(huán)境會影響其特定的風險狀況，并最終影響其選擇的戰(zhàn)略。考慮內(nèi)部環(huán)境和利益相關(guān)方實體的內(nèi)部環(huán)境是指實體內(nèi)部可能影響其實現(xiàn)戰(zhàn)略和業(yè)務目標能力的任何事物（圖7.2）。內(nèi)部利益相關(guān)方是指在實體內(nèi)部工作并直接影響組織的人員（董事會董事、管理層和其他人員）。由于實體的規(guī)模和結(jié)構(gòu)差異很大，內(nèi)部利益相關(guān)方對組織整體的影響可能不同于部門、經(jīng)營單位或職能層面的影響（見示例7.2）。圖7.2:內(nèi)部環(huán)境類別和特征類府干如，成的災難，持續(xù)的氣候變化，能源消費法規(guī)的變化，對環(huán)境的態(tài)度類別內(nèi)部環(huán)境的特征資本資產(chǎn)，包括現(xiàn)金、設備、財產(chǎn)、專利人知識、技能、態(tài)度、關(guān)系、核心價值和文化。過程活動、任務、政策或程序；管理、運營和支持過程的變化技術(shù)新的、修正的或采用的技術(shù)示例7.2：內(nèi)外部環(huán)境影響使命、愿景和核心價值觀支持經(jīng)濟困難地區(qū)的社區(qū)勞動力的實體，要考慮政治、經(jīng)濟、社會和環(huán)境因素如何影響其雇用和維持熟練勞動力的能力。它考慮支持其使命、愿景和堅持其核心價值觀所需的人員和能力。在考慮與各種戰(zhàn)略相關(guān)的風險狀況時，該組織會注意到其確保熟練勞動力的能力。了解這些外部和內(nèi)部影響可以在選擇戰(zhàn)略時提供有價值的見解。業(yè)務環(huán)境如何影響風險狀況業(yè)務環(huán)境對實體風險狀況的影響可分為三個階段：過去、現(xiàn)在和未來績效?；仡欉^去的績效可以為組織提供寶貴的信息，用于形成其風險狀況。觀察當前績效可以向組織展示當前趨勢、關(guān)系和其他因素如何影響風險狀況。通過思考這些因素在未來會是什么樣子，組織可以考慮其風險狀況將如何隨著其前進方向或希望前進方向而演變。示例7.3說明了組織通過企業(yè)風險管理的要素來考慮業(yè)務環(huán)境。例7.3：在每個框架要素中考慮業(yè)務環(huán)境風險治理和文化：零售公司的管理層在逐步理解與內(nèi)部和外部利益相關(guān)方的互動時，會考慮業(yè)務環(huán)境。這樣做時，它考慮了影響行業(yè)發(fā)展的大趨勢。風險、戰(zhàn)略和目標設定：公司將其對業(yè)務環(huán)境的理解（例如，大趨勢）整合至戰(zhàn)略規(guī)劃周期，以實現(xiàn)長期價值和成功。執(zhí)行中的風險：公司將其對業(yè)務環(huán)境的理解納入其風險識別、評估和應對實踐，可能會對當前和未來的風險產(chǎn)生影響。風險信息、溝通和報告：公司考慮業(yè)務環(huán)境的變化如何影響組織獲取、溝通和報告風險信息的方式。監(jiān)視企業(yè)風險管理績效：公司考慮影響業(yè)務環(huán)境的變化如何影響實體的文化和企業(yè)風險管理實踐，包括改進當前實踐的機會。原則8：定義風險偏好組織在創(chuàng)造、保持和實現(xiàn)價值的環(huán)境下定義風險偏好。確定風險偏好風險偏好指導組織確定其愿意接受的風險類型和數(shù)量。沒有適用于所有實體的標準或“正確”風險偏好。管理層和董事會在充分了解相關(guān)利弊得失的情況下選擇風險偏好。風險偏好可能包括對可接受的風險類型和數(shù)量的單一描述，或?qū)σ恢虏⒐餐С謱嶓w使命和愿景的多個描述。有多種方法可用于確定風險偏好，包括促進討論，評審過去和當前的績效目標以及建模。由管理層負責在整個實體的各個細節(jié)層面上溝通商定的風險偏好。在董事會的批準下，管理層還會根據(jù)新的和正在出現(xiàn)的考慮因素來重新審視和加強風險偏好。此外，雖然風險偏好在考慮戰(zhàn)略和設定業(yè)務目標和績效目標時極為重要，但一旦實體考慮到執(zhí)行中的風險，重點就會轉(zhuǎn)移到在可接受的變化范圍內(nèi)管理風險。對于某些實體，使用“低偏好”或“高偏好”等通用術(shù)語就足夠了。其他人可能認為這些陳述過于含糊，無法有效溝通和執(zhí)行，因此他們可能會尋找更定量的度量。通常，隨著組織在企業(yè)風險管理方面的經(jīng)驗越來越豐富，他們對風險偏好的描述也越來越精確。有些人將制定一系列風險偏好級聯(lián)表達，引用“目標”、“范圍”、“下限”或“上限”（見示例7.4）。其他人將使用具體的定量術(shù)語來提高精度。示例7.4:風險偏好表達示例目標。對貸款損失風險偏好較低的信用合作社通過將貸款損失目標設定為總貸款組合的0.25%，將低偏好信息傳遞給企業(yè)。范圍。醫(yī)療供應公司在總體低風險范圍內(nèi)運營。其最低風險偏好與安全和合規(guī)目標相關(guān)，包括員工健康和安全，而其戰(zhàn)略、報告和運營目標的風險偏好略高。這意味這意味著將各種醫(yī)療系統(tǒng)、產(chǎn)品、設備和工作環(huán)境產(chǎn)生的風險降低到合理可行的程度，以及履行法律義務將優(yōu)先于其他業(yè)務目標。上限。一所大學接受適度的風險偏好，因為它尋求在財務穩(wěn)健的情況下擴大其服務范圍，并將探索吸引新學生的機會。如果大學有或可以很容易地獲得必需的能力來提供新課程，大學則將支持這些課程。然而，大學不會接受對大學使命和愿景構(gòu)成嚴重風險的課程，這對可接受的決策形成一個上限。下限。一家科技公司對其行業(yè)的增長有著積極的目標，并認識到這種增長需要大量的資本投資。雖然管理層不接受不明智的資本投資，但認為至少應將運營預算的25%（即下限）分配給追求技術(shù)創(chuàng)新。組織可以考慮任何數(shù)量的參數(shù)，以幫助確定其風險偏好并提供更大的精確性。例如，組織可以考慮。戰(zhàn)略參數(shù)。如追求或避免的新產(chǎn)品、資本支出的投資以及并購活動。財務參數(shù)。如財務績效的最大可接受波動、資產(chǎn)回報率或風險調(diào)整后的資本回報率、目標債務評級以及目標債務/股東權(quán)益比率。運營參數(shù)。如環(huán)境要求、安全目標、質(zhì)量目標和客戶集中度。在確定風險偏好時，管理層還可以考慮實體的風險狀況、風險容量、風險能力和成熟度等。風險狀況提供了有關(guān)實體當前的風險量、風險在整個實體中如何分布以及實體不同風險類別的信息。新的組織不會有現(xiàn)有的風險狀況可供借鑒，但他們可能能夠從其行業(yè)和競爭對手那里獲得有價值的信息。第三章介紹的風險容量是指實體能夠承受的最大風險量。如果風險偏好很高，但其風險容量卻不足以承受相關(guān)風險的潛在影響，那么實體可能會失敗。另一方面，如果實體的風險容量大大超過其風險偏好，組織可能會失去為其利益相關(guān)方增加價值的機會。企業(yè)風險管理能力和成熟度提供了關(guān)于企業(yè)風險管理運作情況的信息。成熟的組織通常能夠界定企業(yè)風險管理能力，從而更好地了解其現(xiàn)有風險偏好和影響風險容量的因素。不太成熟、未界定企業(yè)風險管理能力的組織可能沒有同樣的理解，這可能導致更廣泛的風險偏好聲明或需要盡快重新定義的聲明。企業(yè)風險管理能力和成熟度也會影響組織如何堅持風險偏好并在風險偏好范圍內(nèi)營運。闡述風險偏好一些組織將風險偏好表述為一個單一的點；另一些組織則表述為一個連續(xù)帶（見例7.5）。示例7.5:風險偏好連續(xù)帶一所大學制定了其業(yè)務目標，重點關(guān)注其作為一所卓越教學和研究型大學的角色，吸引優(yōu)秀學生以及作為頂尖教師的理想工作場所。大學的風險偏好聲明承認，幾乎所有活動都存在風險。建立風險偏好的關(guān)鍵問題是大學在多大程度上愿意接受與每個領(lǐng)域相關(guān)的風險。為了回答這個問題，管理層使用一個連續(xù)帶來表示大學主要業(yè)務目標（教學、研究、服務、學生安全和運營效率）的風險偏好。他們把各種風險放在連續(xù)帶上，作為最高級別討論的基礎(chǔ)。組織可以在以下環(huán)境下闡明詳細的風險偏好聲明：與使命、愿景和核心價值相一致的戰(zhàn)略和業(yè)務目標。業(yè)務目標17個類別。實體的績效目標。風險偏好由管理層傳達，由董事會批準，并在整個實體內(nèi)傳播。傳播風險偏好很重要，因為目標是讓所有決策者了解他們必須在其中運營的風險偏好，并讓所有業(yè)務與風險偏好保持一致，特別是那些執(zhí)行任務以實現(xiàn)業(yè)務目標的人（例如，當?shù)劁N售團隊、國家經(jīng)理、運營單位）。示例7.6說明了組織是如何通過與高層業(yè)務目標相一致的聲明來逐級分解風險偏好的，而這些目標又與實體的總體戰(zhàn)略相一致。應用風險偏好風險偏好指導組織如何分配資源，包括在整個實體和每個經(jīng)營單位中分配資源。其目的是使資源分配與實體的使命、愿景和核心價值相一致。因此，管理層在經(jīng)營單位之間分配資源時，要考慮到實體的風險偏好和各個經(jīng)營單位創(chuàng)造價值的計劃。管理層還會調(diào)整人員、流程和基礎(chǔ)設施，以成功實施戰(zhàn)略，同時保持在其風險偏好范圍內(nèi)。風險偏好被納入組織運營和管理決策中，管理層在董事會的監(jiān)督下，持續(xù)監(jiān)視各級風險偏好，并在需要時適應變化。通過這種方式，管理層創(chuàng)造了一種文化，強調(diào)風險偏好的重要性，并將負責實施企業(yè)風險管理的人員置于風險偏好參數(shù)范圍內(nèi)。原則9：評估備選戰(zhàn)略組織評估備選戰(zhàn)略和對風險狀況的影響。作為戰(zhàn)略制定過程的一部分，一個組織必須對備選戰(zhàn)略進行評價，并評估每個備選方案的風險和機遇。這種評價通常被稱為"盡職調(diào)查"。備選戰(zhàn)略要在組織創(chuàng)造、保持和實現(xiàn)價值的資源和能力環(huán)境下進行評估。企業(yè)風險管理的一部分包括從兩個不同的風險角度評價戰(zhàn)略：（1）戰(zhàn)略與實體的使命、愿景和核心價值不一致的可能性，以及（2）所選戰(zhàn)略的影響。與戰(zhàn)略保持一致的重要性戰(zhàn)略必須支持使命和愿景及其核心價值，并與實體的文化和風險偏好保持一致。否則，實體可能無法實現(xiàn)其使命和愿景。此外，不一致的戰(zhàn)略會增加利益相關(guān)方的風險，因為組織的價值和聲譽可能會受到影響。例如，一家電信公司正在考慮采取限制其產(chǎn)品和服務提供地區(qū)的戰(zhàn)略，以提高其財務績效。但這一戰(zhàn)略與它作為關(guān)鍵服務提供商和當?shù)厣鐓^(qū)主要企業(yè)公民的使命相沖突。雖然預期的財務績效改進是旨在吸引股東和投資者，但其在堅持維持服務的社區(qū)團體和監(jiān)管機構(gòu)中的聲譽可能會受到不利影響而受到損害。理解所選戰(zhàn)略的影響在評估備選戰(zhàn)略時，組織試圖識別和理解所考慮的每個戰(zhàn)略的潛在風險。已識別的風共同構(gòu)成了每個選項的風險狀況；也就是說，不同的戰(zhàn)略產(chǎn)生不同的風險況況。鑒于實體的風險偏好，管理層和董事會在決定采用最佳戰(zhàn)略時使用這些風險狀況。評估備選戰(zhàn)略時，另一個考慮因素是與業(yè)務環(huán)境、資源和能力相關(guān)的支持性假設。與組織更確定地知道不會發(fā)生與戰(zhàn)略相關(guān)的破壞性事件相比，如果假設未得到證實通常發(fā)生破壞性事件的風險更高。管理層和董事會對每個假設的置信水平將影響每個戰(zhàn)略的風險狀況。此外，當做出大量假設時，戰(zhàn)略通常具有較高的風險狀況。一旦為所選戰(zhàn)略確定了風險狀況，管理層就能更好地考慮在執(zhí)行該戰(zhàn)略時將面臨的風險類型和數(shù)量。具體來說，了解風險狀況使管理層能夠確定需要和分配哪些資源來支持戰(zhàn)略的執(zhí)行，同時保持在風險偏好范圍內(nèi)。資源要求包括基礎(chǔ)設施、技術(shù)專長和運營資本。在評估備選戰(zhàn)略所需的工作量和精確度，將因決策的重要性、可用的資源和能力以及被評價的戰(zhàn)略數(shù)量而異。決策越重要，評價就越詳細，可能要使用幾種方法（見例7.7）。示例7.7:評價戰(zhàn)略處于高度監(jiān)管行業(yè)中的化工公司需要評價將產(chǎn)品推向新地理市場的戰(zhàn)略。這一特定戰(zhàn)略代表了資本資源的重大支出。市場受到高度監(jiān)管，新的地理區(qū)域帶來了不同的文化影響，因此管理層的評價必須是廣泛的。管理層評審進入市場的壁壘、潛在市場份額、競爭對手分析、收入預測、地理/文化分析、供應鏈分析和監(jiān)管調(diào)查。同時，公司正在考慮改變其供應鏈中的分銷伙伴。與該戰(zhàn)略相關(guān)的決策不太重要，因為預計不會有額外的資本支出，并且此變化不會引入新的監(jiān)管市場，因此管理層的評價不那么嚴格。在這種情況下，他們進行成本分析、質(zhì)量控制分析和價值鏈分析。評價備選戰(zhàn)略的普遍方法是SWOT分析、建模、估值、收入預測、競爭對手分析和情景分析。評價（或盡職調(diào)查）通常由管理人員進行，他們具有整個實體風險觀點并了解戰(zhàn)略如何影響績效。也就是說，管理層在實體層面了解所選擇的戰(zhàn)略將如何支持不同部門、職能和地域的績效。在制定備選戰(zhàn)略時，管理層會做出某些假設。這些基本假設對變化很敏感，而這種變化的傾向會極大地影響風險狀況。一旦選擇了戰(zhàn)略，并且通過了解假設的變化趨勢，組織就能夠制定與假設變化相關(guān)的必要監(jiān)督機制。示例7.8說明了一個組織評價備選戰(zhàn)略的過程。示例7.8:考慮備選戰(zhàn)略?使命：為客戶提供最高質(zhì)量的運輸服務，安全是運營的首要考慮因素，同時為股東保持強勁的財務回報。?愿景：提升我們的品牌，使之成為全球值得信賴的交通運輸供應商。一家全球物流服務供應商希望擴大業(yè)務以滿足全球需求，為此需要一個新的配送中心。在戰(zhàn)略規(guī)劃期間，評估了幾個備選方案。備選方案1：在發(fā)展中國家開設一個海外分銷中心。這是目前考慮的地點中建設成本和運營勞動力成本最低的一個，但會使交付時間平均增加30%。設在這個發(fā)展中國家還會帶來地緣政治和經(jīng)濟風險。備選方案2：在一個中型城市開設一個陸上配送中心。這個地方的建造成本比備選方案1稍高，但勞動力供應充足。然而，該地區(qū)冬季嚴寒，這增加了天氣相關(guān)事件擾亂運輸?shù)娘L險。備選方案3：在一個較大城市的陸上位置。這個地方的建設成本最高，勞動力市場競爭最激烈，可能導致運營成本增加。然而，氣候一年四季很溫和。戰(zhàn)略與使命和愿景不一致的可能性以及戰(zhàn)略對風險狀況的影響總結(jié)如下：戰(zhàn)略與使命和愿景不一致的可能性戰(zhàn)略對風險狀況的影響方案1?政治不穩(wěn)定可能帶來未來的安全問題?額外的交付時間可能會影響客戶滿意度并侵蝕價值?地緣政治和經(jīng)濟風險增加方案2?暴風雪可能會給飛機和卡車帶來安全問題?股東價值在經(jīng)濟下滑時期可能受到影響?交付時間可能會因冬季惡劣的天氣條件而延遲，這可能會影響客戶滿意度方案3?成本持有人價值增加可能會侵蝕股東價值?人工成本可能更高?成本增加可能會造成定價差異并降低銷售量使戰(zhàn)略與風險偏好保持一致組織應期望其選擇的戰(zhàn)略能夠在實體的風險偏好范圍內(nèi)執(zhí)行；也就是說，戰(zhàn)略必須與風險偏好保持一致。如果與特定戰(zhàn)略相關(guān)的風險與實體的風險偏好或風險容量不一致，則需要修訂戰(zhàn)略、選擇備選戰(zhàn)略或重新審視風險偏好。例如，一家飲料制造商制定了這樣的戰(zhàn)略：“通過擴大全球生產(chǎn)地點來擴大業(yè)務。”然而，當一些全球地點的風險明顯超過制造商的風險偏好時，該戰(zhàn)略得到了更新：“在既定的基礎(chǔ)設施要求和政府法規(guī)范圍內(nèi)，通過向全球各地擴張來擴大業(yè)務?！备淖儜?zhàn)略通常，組織會定期舉行戰(zhàn)略規(guī)劃會議，概述短期和長期戰(zhàn)略。如果組織確定當前戰(zhàn)略無法創(chuàng)造、實現(xiàn)或保持價值，則需要改變戰(zhàn)略；或者業(yè)務環(huán)境的變化導致實體過于接近其愿意接受的最大風險，或者需要組織無法獲得的資源和能力。最后，業(yè)務環(huán)境的發(fā)展可能會導致組織不再合理地期望能夠?qū)崿F(xiàn)戰(zhàn)略（見示例7.9）。示例7.9:改變戰(zhàn)略一家全球相機制造商過去銷售膠卷相機，但隨著數(shù)碼相機普及，該公司的價值開始因銷售量下降而受到侵蝕。作為回應，它通過適應不斷變化的消費者需求和新技術(shù)來調(diào)整其戰(zhàn)略。它現(xiàn)在開發(fā)了數(shù)碼相機，并降低了其產(chǎn)品可能被淘汰的風險。這些戰(zhàn)略變化由相關(guān)業(yè)務目標和績效目標的變化來支持。減輕偏見偏見總是存在的，但一個組織在評估備選戰(zhàn)略時，應盡量做到不偏不倚或減少任何偏見。第一步是發(fā)現(xiàn)戰(zhàn)略制定過程中可能存在的任何偏見。下一步是減輕已發(fā)現(xiàn)的偏見。偏見可能會妨礙組織選擇最佳支持實體使命、愿景、核心價值并反映實體風險偏好的戰(zhàn)略。原則10：制定業(yè)務目標的同時考慮風險組織在制定符合和支持戰(zhàn)略的各級業(yè)務目標時考慮風險。制定業(yè)務目標組織制定可測量或可觀察、可實現(xiàn)和相關(guān)的業(yè)務目標。業(yè)務目標提供了與實體內(nèi)實踐的聯(lián)系，以支持戰(zhàn)略的實現(xiàn)。例如，業(yè)務目標可能涉及：財務績效。保持所有業(yè)務的盈利運營?？蛻粼竿?。在方便客戶訪問的位置建立客戶關(guān)懷中心。運營卓越。談判有競爭力的勞動合同，以吸引和留住員工。合規(guī)義務。在所有工作場所遵守適用的健康和安全法律。效率提升。在節(jié)能環(huán)境中運營。創(chuàng)新領(lǐng)導。通過頻繁地推出新產(chǎn)品，在市場上引領(lǐng)創(chuàng)新。業(yè)務目標可以在整個實體（部門、經(jīng)營單位、職能部門）中逐級分解，也可以選擇性地應用。逐級分解的目標從實體最高層向下逐步應用時，會變得更加詳細。例如，財務業(yè)績目標是由部門目標逐級分解到各個運營單位。或者，許多業(yè)務目標將具體到運營維度、地理位置、產(chǎn)品或服務。業(yè)務目標與戰(zhàn)略相一致無論目標的結(jié)構(gòu)如何以及在何處應用，每個目標都與戰(zhàn)略保持一致。業(yè)務目標與戰(zhàn)略相一致有助于實體實現(xiàn)其使命和愿景。與戰(zhàn)略不一致或僅部分一致的業(yè)務目標將不支持實現(xiàn)使命和愿景，并可能給實體的風險狀況帶來不必要的風險。也就是說，組織可能會消耗原本可以更有效地部署在執(zhí)行其他業(yè)務目標上的資源。業(yè)務目標還應與實體的風險偏好保持一致。如果它們不一致，組織可能會接受過多或過少的風險。因此，當組織評價提議的業(yè)務目標時，必須考慮可能發(fā)生的潛在風險并確定對風險狀況的影響。導致組織超出風險偏好的業(yè)務目標可能會被修改，或者可能會被放棄。如果組織發(fā)現(xiàn)，在保持其風險偏好或能力范圍內(nèi)，無法建立支持戰(zhàn)略實現(xiàn)的業(yè)務目標，則需要對戰(zhàn)略或風險狀況進行評審。理解所選業(yè)務目標的影響組織在決定業(yè)務目標時有很多選擇。例如，假設組織有機會升級其核心操作系統(tǒng)并重新設計其現(xiàn)有的IT基礎(chǔ)設施。為實現(xiàn)業(yè)務目標，一種選擇是確定一個合適的供應商并簽訂第三方協(xié)議來開發(fā)一個定制的IT系統(tǒng)；另一個選擇是組織在內(nèi)部建立自己的系統(tǒng)，對其IT能力進行大量投資并增加人員數(shù)量。這兩個目標都與總體戰(zhàn)略相一致，因此管理層必須對這兩個目標進行評價，并根據(jù)對實體的風險狀況、資源和能力的潛在影響確定適當?shù)男袆臃桨浮Ｅc制定戰(zhàn)略的情況一樣，組織需要有合理的預期，即在給定的實體風險偏好或可用資源的條件下，業(yè)務目標可以實現(xiàn)。實體的能力和資源決定了預期。如果不存在合理的預期，組織必須選擇超出風險偏好、獲取更多的資源或改變業(yè)務目標。根據(jù)業(yè)務目標對戰(zhàn)略的重要性，可能還需要修改戰(zhàn)略（見示例7.10）。示例7.10:確定所選業(yè)務目標的影響作為其五年戰(zhàn)略的一部分，農(nóng)業(yè)生產(chǎn)者正在尋求培育有機產(chǎn)品作為差異化競爭。公司分析向有機環(huán)境過渡的成本，并確定需要大量投資，這可能會威脅到實體的財務績效目標。鑒于維持財務績效的重要性，組織選擇放棄該戰(zhàn)略。對業(yè)務目標進行分類組織如何對其業(yè)務目標進行分類是由管理層決定的。無論如何分類，它們都必須與業(yè)務實踐、產(chǎn)品、地理位置或其他組織層面保持一致。在某些情況下，組織必須遵守外部要求，這些要求規(guī)定了出于報告目的對業(yè)務目標進行分類的方式。例如，如果組織被要求報告其環(huán)境風險評估，作為其經(jīng)營許可證的一部分，它將在其業(yè)務目標和報告中具體包括這些要求。組織需要注意不要混淆業(yè)務目標類別和風險類別。風險類別與可能影響這些業(yè)務目標的風險的共享或共同分組有關(guān)。設定績效衡量標準和指標組織設定指標以監(jiān)視實體的績效并支持業(yè)務目標的實現(xiàn)。例如：一家資產(chǎn)管理公司尋求其投資組合每年實現(xiàn)5%的投資回報率（ROI）。一家餐廳的目標是在40分鐘內(nèi)交付在線送貨上門訂單。一個呼叫中心努力將未接來電降至總來電的2%。這些目標應與戰(zhàn)略和風險偏好相一致。通過設定目標，組織能夠影響實體的風險狀況。積極的目標可能會導致該業(yè)務目標的風險更大。例如，組織可能設定積極的增長目標，從而增加執(zhí)行風險。相反，組織可能設定一個更保守的增長目標，這將降低實現(xiàn)目標的風險，但也可能導致目標不再與業(yè)務目標的實現(xiàn)保持一致。再舉一個例子，再考慮一下上面列表中的資產(chǎn)管理公司，該公司了解5%的投資回報率將使實體能夠?qū)崿F(xiàn)其財務目標。如果它爭取7%的回報率，那么它在執(zhí)行過程中會面臨更大的風險。如果它爭取達到3%，這使得風險狀況不那么積極，它將無法實現(xiàn)更廣泛的財務目標。（識別和評估實現(xiàn)業(yè)務目標的風險以及監(jiān)視績效措施和目標的適當性，將在第八章討論）。示例7.11提供了在實體、部門、運營單位和職能層面考慮的業(yè)務目標以及支持目標的更全面示例。該示例說明了業(yè)務目標是如何隨著它們在整個實體和各個層次上的逐級遞增而提高其具體性的。示例7.11：各層級業(yè)務目標示例業(yè)務目標績效測量指標業(yè)務目標（實體）?繼續(xù)開發(fā)令消費者感興趣和興奮的創(chuàng)新產(chǎn)品?擴大保健食品行業(yè)的零售業(yè)務?始終有8種產(chǎn)品在研發(fā)中?同比增長5%北美地區(qū)（部門）業(yè)務目標?增加共享我們核心價值觀的主要商店的貨架空間?繼續(xù)在當?shù)厥袌霾少彯a(chǎn)品?貨架空間增加7%?92%的本地貨源率零食部（經(jīng)營單位）業(yè)務目標?開發(fā)超出消費者預期的高質(zhì)量、安全的零食產(chǎn)品?客戶滿意度調(diào)查中，4.8分（滿分5分）?營業(yè)額低于10%人力資源（職能）業(yè)務目標?保持良好的員工年營業(yè)額?在未來一年招聘和培訓產(chǎn)品銷售經(jīng)理?招聘50名銷售經(jīng)理?銷售人員的培訓率達到95%原則11：規(guī)定可接受的績效波動組織規(guī)定與戰(zhàn)略和業(yè)務目標相關(guān)的可接受的績效波動。理解可接受的績效波動可接受的績效波動與風險偏好密切相關(guān)，有時被稱為“風險容忍（度）”。它描述了與在風險偏好范圍內(nèi)實現(xiàn)業(yè)務目標相關(guān)的可接受結(jié)果的范圍。它還提供了一種方法來衡量實現(xiàn)戰(zhàn)略和業(yè)務目標的風險是可接受的還是不可接受的。與廣泛的風險偏好不同的是，可接受的績效變化是戰(zhàn)術(shù)性的和有針對性的。也就是說，它應該用可衡量的單位（最好用與業(yè)務目標相同的單位）表示，適用于所有業(yè)務目標并在整個實體內(nèi)實施。在設定可接受的績效波動時，組織會考慮每個業(yè)務目標和戰(zhàn)略的相對重要性。例如，對于那些被認為對實現(xiàn)實體戰(zhàn)略至關(guān)重要的目標，或戰(zhàn)略對實體的使命和愿景至關(guān)重要的目標，組織可能希望設定較低水平的可接受績效波動。在可接受的績效波動范圍內(nèi)運營，使管理層對實體保持在其風險偏好范圍內(nèi)更有信心，并為實體實現(xiàn)其業(yè)務目標提供更大程度的慰藉。與業(yè)務目標相關(guān)的績效測量有助于確認實際績效在既定可接受的績效波動范圍之內(nèi)（見例7.12）?？冃y量可以是定量的，也可以是定性的（見例7.13）。示例7.12：可接受的績效波動陳述示例業(yè)務目標指標可接受的績效波動資產(chǎn)管理者的投資回報率（ROI）其投資組合的目標年回報率為5%3%至7%的年回報率餐廳提供在線送貨上門服務的訂單目標為在40分鐘內(nèi)交付30至50分鐘的交付時間盡量減少呼叫中心的未接電話目標為總通話量的2%占總通話量的1%至5示例7.13:定性和定量測量的示例定量的績效測量定性的績效測量航空業(yè)?新目的地的數(shù)量?座位占用率?每個座位的收入?客戶滿意度?品牌認可度農(nóng)業(yè)?選擇的作物數(shù)量?作物產(chǎn)量?有機認證?環(huán)境合規(guī)石油和天然氣?每天的桶數(shù)?活躍的油井數(shù)量?安全事故數(shù)量?環(huán)境保護?健康和安全記錄非營利性衛(wèi)生機構(gòu)?捐贈者數(shù)量和捐贈金額?贊助的研究項目數(shù)量?提供的咨詢項目數(shù)量?捐贈者滿意度?社會媒體評論政府機構(gòu)?頒發(fā)的許可證數(shù)量?獲得援助的人數(shù)?社會媒體評論?公眾滿意度可接受的績效波動也考慮了超過和落后的波動，有時被稱為正波動或負波動。請注意，超過和落后的波動并不總是設置為與目標等距超過和落后的波動幅度取決于幾個因素。例如，一個擁有豐富經(jīng)驗的成熟組織，在管理低水平波動方面了獲得經(jīng)驗后，可能會使超出和落后波動更接近目標。實體的風險偏好是另一個因素：與風險偏好較高的實體相比，風險偏好較低的實體可能更喜歡較小的績效波動。組織通常認為，超過績效波動是一種好處，而落后于績效波動是一種風險。超過目標通常表明效率高或績效好，而不僅僅是機會被利用。但是，落后于目標并不一定意味著失?。哼@取決于組織的目標和如何定義波動（見例7.14）。示例7.14:落后于目標的績效波動一家大型飲料裝瓶商設定了一個目標，即一年內(nèi)在裝瓶車間發(fā)生的損失時間事件不超過五起，并將可接受的績效波動設定為為0至7起。為0至7起之間的波動過大，意味著更多的事故和潛在的損失時間以及健康和安全索賠的增加，這對實體來說是一個負面的結(jié)果。相比之下，落后的波動到5代表了一種好處：損失時間的事件更少，健康和安全索賠更少。組織還需要考慮爭取零損失時間事故的成本。有時，對利益的追求會減損其他業(yè)務目標的實現(xiàn)，這就是為什么正波動可能會受到限制的原因。組織還應了解成本與績效可接受波動之間的關(guān)系，以便有效應對相關(guān)風險和機遇。通常，可接受的績效波動越小，在該績效水平內(nèi)營運所需的資源就越多。以航空公司為例，它跟蹤準時到達和出發(fā)的航班。航空公司可能會決定停止為幾個機場服務，因為其準點率不符合航空公司修訂后的（減少的）可接受的績效波動。然后，該航空公司需要權(quán)衡放棄服務收入的成本影響，以實現(xiàn)其波動減少的績效目標。執(zhí)行中的風險組織識別和評估可能影響實體實現(xiàn)其戰(zhàn)略和業(yè)務目標能力的風險。它根據(jù)風險的嚴重程度并考慮到實體的風險偏好對風險進行優(yōu)先排序。然后，組織選擇風險應對措施，并監(jiān)視績效的變化。這樣，實體對追求其戰(zhàn)略和業(yè)務目標的過程中所承擔的風險量建立起一個組合觀。通過識別、評估和應對可能影響實體戰(zhàn)略和業(yè)務目標實現(xiàn)的風險，可以進一步實現(xiàn)實體價值的創(chuàng)造、保持和實現(xiàn)。源于交易層面的風險可能被證明與實體層面的風險一樣具有破壞性。風險也可能影響經(jīng)營單位或整個實體。風險可能與業(yè)務環(huán)境中的因素或其他風險高度相關(guān)。此外，風險應對可能需要對基礎(chǔ)設施進行大量投資，也可能被接受為經(jīng)營的一部分。由于風險來自不同的來源，需要一系列應對措施，因此識別、評估和應對過程是在整個實體和所有層面上進行的。本框架的這個要素側(cè)重于支持組織決策和實現(xiàn)戰(zhàn)略和業(yè)務目標的企業(yè)風險管理實踐。為此，各組織使用其運營模式來制定一個流程，該流程：識別新的和新興風險，以便管理層能夠及時部署風險應對措施。評估風險的嚴重程度，了解風險如何如何隨實體層級而變化。對風險進行優(yōu)先排序，使管理層能夠優(yōu)化資源分配以應對這些風險。識別和選擇對風險應對措施。建立風險組合觀，以增強組織闡明在追求戰(zhàn)略和業(yè)務目標過程中承擔風險量的能力。監(jiān)視實體績效，并識別實體績效或風險狀況的重大變化。圖8.1說明了這個過程是循環(huán)往復，過程中一個步驟的輸入通常是前一個步驟的輸出。這個過程是在所有層級上進行，且適當?shù)钠髽I(yè)風險管理的職責和責任與風險的嚴重程度相一致。圖8.1:將風險評估過程、輸入、方法和輸出相關(guān)聯(lián)過程輸入方法類別輸出識別風險?戰(zhàn)略和業(yè)務目標?風險偏好和可接受的績效波動?業(yè)務環(huán)境?數(shù)據(jù)跟蹤?訪談?引導式研討會?問卷和調(diào)查?流程分析?領(lǐng)先指標?風險宇宙（風險清單）評估風險?風險范圍?風險嚴重程度測量?概率建模（風險價值（VaR））?非概率模型（如敏感性分析）?判斷性評價?標桿管理?風險評估結(jié)果風險進行優(yōu)先排序?風險評估結(jié)果?優(yōu)先排序準則?判斷性評價?定量評分法?已進行優(yōu)先排序按的風險評估結(jié)果風險應對?已進行優(yōu)先排序按的風險評估結(jié)果?風險狀況模板或模擬風險狀況?成本效益分析?已部署的風險應對措施?剩余風險評估結(jié)果建立風險組合觀剩余風險評估結(jié)果?判斷性評價?定量評分法?風險組合觀監(jiān)視績效剩余風險評估結(jié)果風險組合觀?儀表板?績效報告糾正措施組織對實現(xiàn)其戰(zhàn)略和業(yè)務目標的新的、新興的和不斷變化的風險進行識別。首次進行風險識別過程的組織需要建立風險清單，然后在隨后的識別過程中，確認現(xiàn)有風險是否仍然適用和相關(guān)。組織多長時間經(jīng)歷一次這個過程取決于新風險出現(xiàn)的速度。在風險可能需要數(shù)月或數(shù)年才能形成的情況，風險識別的頻率可能低于風險不太可預測或可能以更快速度發(fā)生的情況。新的、新興的和不斷變化的風險包括那些：源于業(yè)務目標的變化（例如，實體采用由業(yè)務目標支持的新戰(zhàn)略或修正現(xiàn)有業(yè)務目標）。源于業(yè)務環(huán)境的變化（例如，消費者對環(huán)?；蛴袡C產(chǎn)品偏好的變化，對公司產(chǎn)品的銷售有潛在的不利影響）。與以前可能不適用于實體的業(yè)務環(huán)境變化有關(guān)（例如，導致對該實體承擔新義務的法規(guī)變化）。之前未知（例如，發(fā)現(xiàn)公司生產(chǎn)過程中使用的原材料易受腐蝕）。之前已經(jīng)確定，但后來由于業(yè)務環(huán)境、風險偏好或支持性假設的變化而有所改變。管理層承認，一些風險可能仍然未知——風險識別過程中無法合理預期地考慮到這些風險。這些風險通常與業(yè)務環(huán)境中的變化有關(guān)。例如，競爭對手的未來行動或意圖通常是未知的，但它們可能對實體的績效構(gòu)成新的風險。當業(yè)務環(huán)境發(fā)生變化時，也會出現(xiàn)新興風險，這些風險可能會在未來改變實體的風險狀況。請注意，對新興風險的理解可能不夠深入，無法在首次識別時準確識別和評估。識別新的和新興風險，或現(xiàn)有風險的變化，使管理層能夠展望未來，并有時間評估風險的潛在嚴重程度。反過來，有時間評估風險使管理層能夠預測風險應對，或在必要時評審實體的戰(zhàn)略和業(yè)務目標。組織希望識別那些可能擾亂運營并影響實現(xiàn)戰(zhàn)略和業(yè)務目標的合理預期的風險。此類風險代表風險狀況的重大變化，可能是特定事件或不斷變化的情況。以下是一些示例：新興技術(shù)：可能影響現(xiàn)有產(chǎn)品和服務的相關(guān)性和壽命的技術(shù)進步。大數(shù)據(jù)的作用不斷擴大：組織如何有效和高效地訪問和轉(zhuǎn)換大量的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。自然資源的枯竭：影響產(chǎn)品和服務的供應、需求和地點的自然資源的可用性不斷減少，成本不斷增加。虛擬實體的興起：影響傳統(tǒng)市場結(jié)構(gòu)的供應、需求和分銷渠道的虛擬實體日益突出。勞動力流動：移動和遠程的勞動力，為實體的日常運營引入了新的流程。勞動力短缺：確保勞動力具備實體支持績效所需的技能和教育水平的挑戰(zhàn)。生活方式、醫(yī)療保健和人口統(tǒng)計方面的變化：隨著人口的變化，當前和未來客戶的習慣和需求不斷變化。在識別風險時，組織應力求措辭準確，確保闡明實際風險和其他考慮因素之間的區(qū)別，這些因素包括：可能影響風險嚴重程度的潛在根本原因。描述中嵌入風險的潛在影響。無效或失敗的風險應對和控制的潛在影響。圖8.2提供了一些示例。風險以外的考慮因素說明風險以外的考慮因素的風險描述首選的風險描述潛在的根本原因?缺乏培訓會增加發(fā)生處理錯誤和事故的風險?員工士氣低落導致關(guān)鍵員工離職的風險，造成從而導致人員流失率高?處理錯誤影響生產(chǎn)單位質(zhì)量的風險?關(guān)鍵員工流失和人員流動的風險，影響員工保留目標描述中嵌入風險的潛在影響?生產(chǎn)能力無法跟上增長的需求，客戶訂單減少了10%?極端天氣導致需求比預期高20%?生產(chǎn)能力無法滿足影響生產(chǎn)目標的增長需求的風險?氣溫高于預期，導致夏季產(chǎn)品需求超出產(chǎn)能的風險。無效或失敗的風險的潛在影響?銀行對賬未能發(fā)現(xiàn)向客戶支付的錯誤款項的風險?質(zhì)量保證檢查未能在分銷前發(fā)現(xiàn)產(chǎn)品缺陷的風險?對客戶的錯誤付款影響到實體的財務結(jié)果的風險?產(chǎn)品缺陷影響質(zhì)量和安全目標的風險因此，鼓勵各組織使用標準句子結(jié)構(gòu)描述風險。這里有兩種方法：【描述潛在事件或情況】發(fā)生的可能性以及對【描述組織設定的具體業(yè)務目標】的相關(guān)影響?！纠和鈪R匯率變化的可能性以及對收入的相關(guān)影響。與【描述可能發(fā)生的事件或情況】有關(guān)的【描述組織設定的類別】的風險，以及【描述相關(guān)影響]?！纠号c外匯匯率可能變化有關(guān)的財務績效風險以及對收入的影響。準確的風險識別非常重要，因為：它使管理層能夠更準確地評估風險的嚴重程度。它幫助管理層識別典型的根本原因和影響，從而選擇和部署最合適的風險應對措施。它支持對風險進行匯總，以產(chǎn)生組合觀。風險識別應在所有層面進行：實體、部門、運營單位、職能部門和過程（見示例8.1）。示例8.1:區(qū)域性能源公司可能會在部門或?qū)嶓w層面識別與經(jīng)濟前景變化相關(guān)的風險，而不是在流程層面識別。反之，它可能在流程層面上識別客戶的最后期限可能被錯過的風險，而不是在部門或?qū)嶓w層面上識別。無論在哪里識別風險，所有風險都構(gòu)成實體風險宇宙的一部分。為了證明風險識別是全面的，管理層將評估所有職能部門和層次的風險，包括多個職能部門的共同存在風險以及特定產(chǎn)品、服務提供、管轄范圍或其他職能部門特有的風險。管理層還必須考慮可能存在的超出職能范圍的風險。例如，實體的技術(shù)團隊可能會識別IT系統(tǒng)和應用相關(guān)的風險，但這些風險也會影響其他運營單位。在這種情況下，管理層確定并確認適當?shù)娘L險所有者。有多種方法可用于識別風險。這些方法從簡單的問卷調(diào)查到復雜的引導式研討會和會議。有些方法可以通過技術(shù)手段來實現(xiàn)，如在線調(diào)查、數(shù)據(jù)跟蹤和復雜的分析。根據(jù)實體的規(guī)模、地理足跡和復雜性，管理層可能會使用多種技術(shù)。例如，大型實體可能會收集有關(guān)歷史事件和損失的內(nèi)部數(shù)據(jù)，并對其進行分析，以識別新的、新興的和不斷變化的風險。一些組織可能會利用同一行業(yè)或地區(qū)其他組織的信息來告知他們潛在的風險。圖8.3和下列清單提供了針對不同類型風險的有用方法的信息。圖8.3:識別風險的方法風險類別研討會訪談流程分析關(guān)鍵風險指標數(shù)據(jù)追蹤PPPPP新風險PPPP新興風險PPP研討會將來自不同職能和層次的個人聚集在一起，利用團隊的集體知識，制定一份與實體的戰(zhàn)略或業(yè)務目標相關(guān)的風險清單。訪談征求個人對過去和潛在事件的了解。對于征求一大群人意見，可以使用問卷或調(diào)查。流程分析包括繪制流程圖，以更好地理解其要素輸入、活動、輸出和職責之間的相互關(guān)系。一旦繪制完成，就可以根據(jù)相關(guān)業(yè)務目標識別和考慮風險。關(guān)鍵風險指標是旨在識別現(xiàn)有風險變化的定性或定量措施。風險指標不應與通常具有回顧性的績效測量指標混淆。對過去事件的數(shù)據(jù)跟蹤可以幫助預測未來發(fā)生的事件。雖然