COSO風險管理框架中文版

COSO風險管理框架中文版概覽一些公司和企業(yè)的管理者已經(jīng)在企業(yè)內部建立了一系列確認和管理風險的過程，而現(xiàn)在有許多企業(yè)也已經(jīng)開始或正在考慮建立自己的確認和管理風險的過程。雖然管理者已經(jīng)掌握了大量的企業(yè)風險管理的信息（包括大量公開出版的文獻），但實務中卻并不存在統(tǒng)一的術語，而且也很少有普遍接受的原則可供管理者在構建一個有效的風險管理框架時作為指南。COSO委員會已經(jīng)認識到對企業(yè)風險管理概念性指南的需要，因而該委員會發(fā)起了一個建立一個概念性的、適當?shù)娘L險管理框架的計劃，旨在支持企業(yè)建立或評判企業(yè)風險管理過程的項目提供完整的原則、能用的術語和實務操作指南。另一相關的目標是使構建的這個框架可以作為管理者、董事、主管人員、學者和其他相關人員更好地理解企業(yè)風險管理及其優(yōu)點和局限性提供一個統(tǒng)一的基礎，以便在風險管理問題方面進行有效地交流。本概覽列出了企業(yè)風險管理框架的關鍵內容，包括企業(yè)風險管理的定義、內容和基本原則，風險管理的優(yōu)點、局限性以及各相關方的地位和職責。本概覽還強調企業(yè)風險管理的相關性和其與€（哈。內部控制報告的關系。如果想更加深入地了解有關知識，請看企業(yè)風險管理框架的全文。（一）企業(yè)風險管理的相關性企業(yè)風險管理的基本前提是每一個企業(yè)，無論是盈利組織、非盈利組織，還是政府機構，其存在的目的都是為其利益相關方帶來價值。所有的企業(yè)都要面對不確定性。對企業(yè)管理者而言，所面臨的挑戰(zhàn)是在追求企業(yè)利益相關方價值增長的同時，決定企業(yè)準備接受的不確定性的程度。不確定性既代表風險，也代表機遇，既存在使企業(yè)增值的可能，也存在使企業(yè)減值的風險。風險管理框架就是為管理者提供一個框架，使其能夠有效處理不確定性及相應的風險和機遇，進而提高企業(yè)創(chuàng)造價值的能力。.不確定性企業(yè)經(jīng)營的環(huán)境中有許多因素都會給企業(yè)帶來不確定性，如全球化、技術、法規(guī)、企業(yè)重構、多變的市場以及競爭等。不確定性來源于無法明確地決定潛在事項將要發(fā)生的可能性及其相應結果。.價值從戰(zhàn)略的制定到企業(yè)的日常經(jīng)營，管理者的決策會創(chuàng)造、保持或減少企業(yè)的價值。決策的本質就是確認風險和機遇，它要求企業(yè)的管理1應在考慮企業(yè)內、外部環(huán)境的因素的基礎上，對企業(yè)的稀缺資源進行配置，并且根據(jù)環(huán)境的不斷變化來調整企業(yè)的活動。頁腳內容f當企業(yè)的利益相關方取得其相應價值的可確認收益時，企業(yè)的價值也得到實現(xiàn)。對于公司而言，當股東承認由于股價上揚所帶來的價值時，他們也就承認了企業(yè)的價值。對于政府機構，當該機構以一個可接受的成本所提供的服務的收益得到確認時，機構的價值就得以實現(xiàn)。對于非盈利組織的利益相關方而言，當他們確認組織所提供的社會福利的價值時，他們也就承認了該組織的價值。企業(yè)風險管理使管理者能夠創(chuàng)造持久的價值并能夠將創(chuàng)造價值的信息傳遞給利益相關方。.企業(yè)風險管理的優(yōu)點所有企業(yè)都是在有風險的環(huán)境下經(jīng)營，而不是企業(yè)風險管理使企業(yè)面臨這樣的環(huán)境。企業(yè)風險管理是使管理者能夠在充滿風險的環(huán)境中更加有效地經(jīng)營。企業(yè)風險管理使企業(yè)的管理者能夠：(1)將風險偏好和企業(yè)的戰(zhàn)略結合在一起。從廣義來講，風險偏好是一個公司或企業(yè)在追求其目標的過程中愿意接受的風險的程度。管理者在評估企業(yè)的戰(zhàn)略方案時首先要考慮企業(yè)的風險偏好，其后，在制定與企業(yè)戰(zhàn)略相對應的目標和建立一定的機制管理相應的風險時也應考慮企業(yè)的風險偏好。(2)將企業(yè)成長、風險和收益聯(lián)系起來經(jīng)濟主體在企業(yè)價值保值、增值的過程中也要接受相應的風險，同時預期補償風險的相應收益。企業(yè)風險管理提高了企業(yè)確認和評估風險的能力，進而使企業(yè)能夠確定相對于企業(yè)成長性和收益目標而言的風險的可接受水平。(3)增加風險反應決策企業(yè)風險管理提供了確認和選擇不同的風險反應方案的嚴格標準。企業(yè)的風險反應方案包括風險規(guī)避、風險降低、風險共擔和風險接受。企業(yè)風險管理提供了進行相關決策的方法和技術。(4)使企業(yè)的經(jīng)營意外和損失最小化經(jīng)濟主體可能提高確認潛在事項、評估風險和明確反應方案，最后減少經(jīng)營意外的出現(xiàn)次數(shù)以及減少相應的成本或損失。(5)確認和管理企業(yè)的總體風險每一個經(jīng)濟主體都面臨著許多風險，而不同的風險會影響企業(yè)經(jīng)營的各個方面。管理不僅需要對每一種風險進行管理，還需要了解風險對企業(yè)總體的影響。(6)針對多重風險提供完整的反應方案企業(yè)的經(jīng)營過程存在許多內在的風險，企業(yè)風險管理就是為管理風險提供一整套解決方案。(7)抓住機遇頁腳內容f管理不僅要考慮風險，還需要考慮潛在的事項對企業(yè)的影響。對潛在事項有一個完整的了解可以使管理對每一潛在事項表明何種機遇有一個了解。（8）合理分配資金關于企業(yè)總體風險的更為明確的信息可以使企業(yè)的管理者能夠更加有效地評估企業(yè)總體的資金需要，改進企業(yè)的資金配置。企業(yè)風險管理本身并不是目的，它僅僅是實現(xiàn)目的的一種方式。它不能、也無法在一個經(jīng)濟主體內單獨運行，而是企業(yè)管理過程的一個推動器。企業(yè)風險管理向董事會提供最重要的風險的信息以及這些風險應如何管理的建議，進而與公司治理相聯(lián)系。而且，風險管理與企業(yè)的績效管理也有關，風險管理通過提供風險調節(jié)的措施和內部控制來幫助企業(yè)的績效管理。內部控制是企業(yè)風險管理的一部分。風險管理幫助一個經(jīng)濟主體實現(xiàn)其經(jīng)營和利潤目標、防止資源的浪費。它還有助于確保企業(yè)報告的有效性。此外，企業(yè)風險管理還有助于保證企業(yè)遵守有關的法律、法規(guī)，避免其聲譽受損并防止產(chǎn)生相應的不良后果?？傊?，企業(yè)風險管理可以幫助一個經(jīng)濟主體實現(xiàn)其目標、及在實現(xiàn)目標的過程中避開陷井和防止意外的發(fā)生。（二）企業(yè)風險管理的定義企業(yè)風險管理是企業(yè)的董事會、管理層和其他員工共同參與的一個過程，應用于企業(yè)的戰(zhàn)略制定和企業(yè)的各個部門和各項經(jīng)營活動，用于確認可能影響企業(yè)的潛在事項并在其風險偏好范圍內管理風險，對企業(yè)目標的實現(xiàn)提供合理的保證。這一定義反映了一些基本概念：.企業(yè)的風險管理是一個過程一一其本身并不是一個目的，而是實現(xiàn)目的的一種方式。.風險管理受人的影響一一它不只是企業(yè)的政策、調查和表格，還涉及一個企業(yè)各個層次員工。.風險管理也適用于企業(yè)戰(zhàn)略制定過程。.企業(yè)風險管理應在整個企業(yè)范圍內應用，在每一個經(jīng)營層面和每一個單位內應用，并應以一種企業(yè)總體的風險組合的觀點來看待。.風險管理的設計應有助于確認會對企業(yè)造成潛在影響的事項并確保在企業(yè)風險偏好的范圍內管理企業(yè)的風險。.風險管理僅為企業(yè)的管理者和董事會提供合理的保證。.企業(yè)風險管理的目標是幫助企業(yè)一類或幾類單獨并相互重疊的目標的實現(xiàn)。從廣義上定義這一概念主要有幾個原因：這一定義應包括公司和其他企業(yè)管理風險的幾個基本概念，并可以應用于各種組織、行業(yè)和部門。它直接針對企業(yè)目標的實現(xiàn)。此外，這一定義應為定義企業(yè)風險管理的有效性提供一個基礎。上述基本概念詳細論述如下：.一個過程頁腳內容f企業(yè)的風險管理并不是一個事項或環(huán)境，而是滲透于企業(yè)各項活動中一系列行動。這些行動普遍存在于管理者對企業(yè)的日常管理中，是企業(yè)日常管理所固有的。一些人認為，企業(yè)風險管理對企業(yè)的各項活動而言是多余的，是企業(yè)必須承擔的一個負擔，但COSO的討論稿則并不這樣認為。但有效的企業(yè)風險管理仍舊需要企業(yè)各管理層不懈的努力。例如，風險評估要求企業(yè)不斷地努力來建立必要的評估模型并進行必要的分析和計算。但是，這些以及其他的企業(yè)風險管理機制與企業(yè)的經(jīng)營活動是并存的，是由于最基本的商業(yè)原因而存在的。當企業(yè)風險管理機制成為企業(yè)的基礎設施并真正成為企業(yè)的一部分時，企業(yè)的風險管理會最有效。通過建立風險管理，企業(yè)可以直接提高自身的戰(zhàn)略執(zhí)行能力，并提高企業(yè)預期和任務的實現(xiàn)能力。建立風險管理對企業(yè)的成本構成同樣有重要的影響，特別是在目前大多數(shù)企業(yè)都面臨高度競爭的市場環(huán)境的情況下。在現(xiàn)有工序的基礎上增加新的工序會增加成本，而通過關注現(xiàn)有的經(jīng)營過程以及他們對實現(xiàn)有效風險管理的貢獻，并將風險管理整合到企業(yè)的基本經(jīng)營活動之中，一個企業(yè)就能夠避免不必要的工序和成本。并且，將風險管理整合到企業(yè)日常的經(jīng)營過程中有助于管理者抓住企業(yè)發(fā)展的新機遇。.受人的影響企業(yè)的風險管理會受董事會、管理層和其他人員的影響，風險管理是通過組織內的人來完成的，是通過人的所做和所說實現(xiàn)的。是企業(yè)內的人制定企業(yè)的任務;預期，戰(zhàn)略和目標，并實施企業(yè)的風險管理機制。同樣，企業(yè)風險管理也影響人的行動。企業(yè)風險管理要認識到人對事物的理解、溝通或執(zhí)行并不總是一致的。企業(yè)中的每個人都有不同的背景和技術能力，都有不同的需求和優(yōu)勢。這些因素都會影響企業(yè)的風險管理，也會受風險管理的影響。每個人的出發(fā)點都不同，這會影響他們對風險的確認、評估和反應。企業(yè)風險管理就是要提供了一個機制，幫助人們從企業(yè)總體目標的角度認識風險。企業(yè)的員工必須了解他們自己的職責和權限。因此，除了要明確員工的職責和企業(yè)的戰(zhàn)略和目標之間的聯(lián)系之外，還要明確員工的職責和他們履行職責的方式之間的聯(lián)系?！粋€組織的員工包括董事會成員、管理者和其他人員。盡管企業(yè)的董事主要負責監(jiān)督，但是他們同時也向管理者提供指導，核準企業(yè)的戰(zhàn)略、某些活動和政策。因此，董事會是企業(yè)風險管理的重要組成部分之一。.可應用于企業(yè)戰(zhàn)略的制定一個企業(yè)要確定其預期或任務，并制定其戰(zhàn)略目標。企業(yè)的戰(zhàn)略目標是企業(yè)最高層次的目標，它與企業(yè)的預期和任務相聯(lián)系并支持預期和任務的實現(xiàn)。一個企業(yè)為實現(xiàn)其戰(zhàn)略目標而制定戰(zhàn)略方案，并將戰(zhàn)略方案分解成相應的目標，再將目標層層分解到企業(yè)的各業(yè)務部門、行政部門和生產(chǎn)線。在制定企業(yè)的戰(zhàn)略方案時，管理者應考慮與不同的戰(zhàn)略方案相關的風險。.應用于整個企業(yè)為使企業(yè)的風險管理獲得成功，一個企業(yè)必須從全局，從企業(yè)總體層面上考慮企業(yè)的活動。企業(yè)的風險管理應考慮頁腳內容f組織內所有層面的活動，從企業(yè)總體的活動（如戰(zhàn)略計劃和資源分配）到各業(yè)務部門的活動（如市場部、人力資源部），到各業(yè)務流程（如生產(chǎn)過程和新客房信用審核）等等。企業(yè)風險管理還可用于特定項目和新的行動計劃，盡管該項目或計劃可能在企業(yè)的管理流程或組織流程圖中尚無明確的定位。企業(yè)風險管理要求企業(yè)以風險組合的觀點看待風險。這會要求企業(yè)內負責各業(yè)務部門、行政部門、生產(chǎn)流程或其他活動的管理者對本部門的風險進行評估。這些評估可以是定量的，也可以是定性的。企業(yè)的高級管理者應以一種組合的觀點看待企業(yè)內每個下級層面的風險，以決定企業(yè)總的風險組合是否與企業(yè)的風險偏好相對應。管理者應以總體的組合觀來考慮相關風險。對相關的風險應予確認并采取措施使承擔的風險落在企業(yè)風險偏好的范圍內。對企業(yè)內部每個單位的風險而言，可能都落在該部門的風險容忍度的范圍內，但從總體來看，合并后的風險可能超過了企業(yè)總體的風險偏好。企業(yè)總的風險偏好應通過對特定目標確立相應的風險容忍度的方式在企業(yè)內部向下貫徹。.風險偏好風險偏好是指一個企業(yè)在追求價值最大化的同時所愿意接受的風險的數(shù)量。企業(yè)通常采用定性的方法分析風險偏好，將風險偏好分為高、中、低三類；或者采用定量的方法分析風險偏好，反映出企業(yè)的成長性、收益性和風險目標，并在三個目標之間進行平衡。風險偏好與企業(yè)的戰(zhàn)略直接相關。在制定戰(zhàn)略時應考慮企業(yè)的風險偏好，并將戰(zhàn)略的預期收益與企業(yè)的風險偏好聯(lián)系起來考慮。不同的戰(zhàn)略會給企業(yè)帶來不同的風險，在戰(zhàn)略制定時應用風險管理，其目的是幫助管理者選擇與企業(yè)的風險偏好相一致的戰(zhàn)略。企業(yè)的風險偏好指導企業(yè)的資源配置。管理者在各業(yè)務部門間分配資源時應考慮企業(yè)的風險偏好和各個業(yè)務部門為取得預期的收益率所采用的戰(zhàn)略。管理者應將企業(yè)的風險偏好與企業(yè)的組織結構、人員和業(yè)務流程聯(lián)系起來考慮，并應建立對風險有效反應和監(jiān)督的必要的硬件設施。風險容忍度是與要實現(xiàn)的目標相關的偏差的可接受程度。在確定某一特定的風險容忍度時，管理者應考慮相關目標的相對重要性并將風險容忍度與企業(yè)的風險偏好聯(lián)系在一起。在風險容忍度的范圍之內經(jīng)營更能夠保證企業(yè)所承受的風險在其風險偏好的范圍內。反過來，就能夠對企業(yè)目標的實現(xiàn)提供更高程度的保證。.提供合理保證設計合理、運行有效的風險管理能夠向企業(yè)的管理者和董事會在企業(yè)目標的實現(xiàn)上提供合理的保證。如果企業(yè)的風險管理有效，董事會和管理者在以下幾個方面得到合理的保證：一了解企業(yè)戰(zhàn)略目標實現(xiàn)的程度；一了解企業(yè)經(jīng)營目標實現(xiàn)的程度；__—企業(yè)報告的可靠性；一相關的法律和法規(guī)遵守的情況。“合理保證”反映了“不確定性和風險都是與未來相關，而未來是沒有人可以確切地預測的”這一思想。這種局限性的其他原因包括：人們在進行決策時的判斷可能出錯；對風險反應的決策和所建立的控制需要考慮成本效益原則；由頁腳內容f于人們的簡單失誤或錯誤可能導致的企業(yè)破產(chǎn)；可能由于兩個或多個人的串通而繞過控制；管理者可能忽視企業(yè)的風險管理決策等等。這些限制使得董事會和管理者無法在企業(yè)目標實現(xiàn)方面得到絕對保證。.目標的實現(xiàn)有效的風險管理應該能夠為企業(yè)目標的實現(xiàn)提供合理的保證，包括報告的可靠性、合法合規(guī)性目標等等。這兩類目標的實現(xiàn)都是在企業(yè)的控制范圍內，其實現(xiàn)依賴于相關活動執(zhí)行的好壞。但是，戰(zhàn)略目標和經(jīng)營目標的實現(xiàn)并不總是在企業(yè)的控制范圍內。對于這兩類目標，企業(yè)風險管理只能合理保證管理者和董事會從宏觀上及時了解企業(yè)目標實現(xiàn)的進度。（三）企業(yè)風險管理的組成要素根據(jù)管理者經(jīng)營的方式劃分，企業(yè)風險管理包括八個相互關聯(lián)的組成要素，這八個要素滲透于企業(yè)管理的過程之中，包括：.內部環(huán)境企業(yè)的內部環(huán)境是其他所有風險管理要素的基礎，為其他要素提供規(guī)則和結構。內部環(huán)境影響企業(yè)戰(zhàn)略和目標的制定、業(yè)務活動的組織和風險的識別、評估和執(zhí)行等等。它還影響企業(yè)控制活動的設計和執(zhí)行、信息和溝通系統(tǒng)以及監(jiān)控活動。內部環(huán)境包含很多內容，包括企業(yè)員工的道德觀和勝任能力、人員的培訓、管理者的經(jīng)營模式、分配權限和職責的方式等。董事會是內部環(huán)境的一個重要組成部分，對其他內部環(huán)境的組成內容有重要的影響。而企業(yè)的管理者也是內部環(huán)境的一部分，其職責是建立企業(yè)的風險管理理念、確定企業(yè)的風險偏好，營造企業(yè)的風險文化，并將企業(yè)的風險管理和相關的行動計劃結合起來。讓企業(yè)所有員工了解企業(yè)的風險管理理念有利于提高雇員確認和有效管理風險的能力。風險管理理念是企業(yè)對風險的信念，是企業(yè)選擇處理其活動和風險的方式。它反映了一個企業(yè)期望從企業(yè)的風險管理獲得一定的價值。這一理念還會影響企業(yè)風險管理要素的應用方式。管理者應將其風險管理理念通過政策說明書和其他溝通方式向企業(yè)的員工宣傳。更重要的是，管理者不應僅僅是在紙面上強調風險管理理念，還應在每天的行動中貫徹執(zhí)行。風險偏好由企業(yè)的管理者設定，董事會復核，是企業(yè)制定戰(zhàn)略的一個控制指標。通常為了實現(xiàn)某一個預定的增長或收益目標，企業(yè)可以制定許多不同的戰(zhàn)略，而每一個戰(zhàn)略都具有不同的風險。在戰(zhàn)略制定過程中，風險管理有助于管理者選擇與企業(yè)的風險偏好相一致的戰(zhàn)略方案。管理者期望將企業(yè)的組織結構、人員、生產(chǎn)過程與硬件設施整合在一起，使得在戰(zhàn)略的成功執(zhí)行的同時將風險控制在風險偏好的范圍內。風險文化是企業(yè)員工共同的態(tài)度、價值觀和實務操作程序的組合，表明企業(yè)在其日常活動中看待風險的方式。對于許多公司而言，風險文化來自于企業(yè)的風險理念和風險偏好。對那些不能明確界定其風險理念的企業(yè)，其風險文化的形成可能是隨機的，而導致一個企業(yè)內存在明顯不同的風險文化，甚至在一個業(yè)務部門、行政部門中都有可能存在明顯不同的風險文化。.目標制定頁腳內容f根據(jù)企業(yè)確定的任務或預期，管理者確定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略方案，確定相關的子目標并在企內層層分解和落實，各子目標都應遵循企業(yè)的戰(zhàn)略方案并與戰(zhàn)略方案相聯(lián)系。在能夠確定對目標的實現(xiàn)有潛在影響的事項之前，管理者就應確定企業(yè)的目標。而企業(yè)風險管理就是提供給管理者一個適當?shù)倪^程，既能夠制定企業(yè)的目標，又能夠將目標與企業(yè)的任務或預期聯(lián)系在一起，并且這些目標還與企業(yè)的風險偏好相一致。企業(yè)的目標可以分為四類：一戰(zhàn)略目標是企業(yè)的高層次目標，與企業(yè)的任務和預期相聯(lián)系并支持企業(yè)的任務和預期的實現(xiàn)?！?jīng)營目標是指企業(yè)經(jīng)營的效率性和效果性，包括經(jīng)營業(yè)績目標和盈利能力目標，由于管理者對企業(yè)結構和經(jīng)營的不同選擇，各企業(yè)的經(jīng)營目標也不盡相同。—報告目標指企業(yè)報告的有效性，包括企業(yè)內部和外部的報告，既包括財務信息，也包括非財務信息?！戏ㄐ阅繕耸侵钙髽I(yè)符合相關的法律和法規(guī)。企業(yè)目標的這種分類可以使企業(yè)的管理者和董事會注意企業(yè)風險管理的不同方面。企業(yè)的某一個特定目標可能不僅僅屬于某一類目標。企業(yè)的這些目標既相互區(qū)別但又相互重疊，可以明確企業(yè)的不同需要，并且可以分派給企業(yè)的某一個執(zhí)行官作為其直接職責。這種分類還可以區(qū)分企業(yè)不同類別目標的期望之間的區(qū)別。某些企業(yè)還有另一類目標--“資源的安全”，有時也叫“資產(chǎn)的安全”。從廣義上看，這一目標是防止企業(yè)資產(chǎn)或資源的流失，這種流失可以是由于偷竊、浪費、經(jīng)營的無效性，也可以是由于企業(yè)商業(yè)上簡單的錯誤決策(如以過低的價格出售產(chǎn)品、沒有留住企業(yè)的關鍵員工、沒有阻止對本企業(yè)專利權的侵害行為，或者是出現(xiàn)未預期的負債等等)所引起的流失。對某種報告目的而言，這種廣義的資產(chǎn)安全類目標可能是一個狹義的定義，此時的資產(chǎn)安全概念可以僅僅指預防或及時發(fā)現(xiàn)對企業(yè)資產(chǎn)的未經(jīng)授權的購買、使用或處置。.事項識別管理者意識到了不確定性的存在，即管理者不能確切地知道某一事項是否會發(fā)生、何時發(fā)生或者如果發(fā)生其結果如何。作為事項識別的一部分，管理者應考慮會影響事項發(fā)生的各種企業(yè)內外部的因素。外部因素包括經(jīng)濟、商業(yè)、自然環(huán)境、政治、社會和技術因素等，內部因素反映出管理者所做的選擇，包括企業(yè)的基礎設施、人員、生產(chǎn)過程和技術等事項。一個企業(yè)事項識別的方法可以包含不同的技術及其與相應的工具的組合。事項識別技術既針對過去，又針對未來。針對過去的事項和趨勢的識別技術主要要考慮類似支付錯誤的歷史、商品價格的變化和浪費時間的突發(fā)事件(lost-timeaccidents)等事項，而針對未來風險的技術則主要考慮不斷變化的人口統(tǒng)計資料、新市場和競爭者的行為等事項。將潛在的事項進行分類對管理者而言是非常有用的。通過在企業(yè)內各水平層面上對事項進行匯總、在營運部門內部對事項進行垂直地匯總，管理者能夠對事項之間的相互關系有一個了解，這些信息也可以作為風險評估的基礎。潛在的事項可能對企業(yè)有正面的影響、也可能有負面的影響或者兩種影響同時存在。對企業(yè)有潛在負面影響的事項是企業(yè)的風險，要求企業(yè)的管理者對其進行評估和建立反應方案。因此，風險的定義就是，某一事項將要發(fā)生的可能性及其對企業(yè)目標的實現(xiàn)造成負面影響的可能性。對企業(yè)有潛在正面影響的事項則是企業(yè)的機遇或者可以彌補風頁腳內容f險對企業(yè)的負面影響。機遇可以在企業(yè)戰(zhàn)略或目標制定的過程中加以考慮，以制定有關行動抓住機遇?？赡軓浹a風險對企業(yè)負面影響的事項則應在管理者對風險進行評估和反應的階段予以考慮。.風險評估風險評估可以使企業(yè)了解潛在事項如何影響企業(yè)目標的實現(xiàn)。管理者應從兩個方面對風險進行評估--風險發(fā)生的可能性和影響。風險發(fā)生的可能性是指某一特定事項發(fā)生的可能性，影響則是指事項的發(fā)生將會帶來的影響。對風險發(fā)生的可能性和影響的估計經(jīng)常需要使用從過去的可觀察事項得到的數(shù)據(jù)，這比沒有任何數(shù)據(jù)的、完全的主觀估計要客觀得多。根據(jù)企業(yè)自己的經(jīng)驗在企業(yè)內部產(chǎn)生的數(shù)據(jù)帶有較少的人的主觀偏見，能夠得到比外部數(shù)據(jù)更好的結果。但是，即使是以內部數(shù)據(jù)作為主要的資料來源，外部數(shù)據(jù)仍能用作一個檢查標準或者改進分析。當使用過去數(shù)據(jù)對未來進行預測時使用者必須小心，因為影響過去事項的有關因素可能會隨著時間的推移而改變。一個企業(yè)風險評估的方法通常是定量方法和定性分析技術的組合。當風險本身無法量化時，或者量化評估所要求充足的可靠的數(shù)據(jù)實際不可獲得或者數(shù)據(jù)獲得或分析不符合成本效益原則時，管理者通常會采用定性的分析技術。定量的分析技術通常更加精確，一般用于更為復雜多變的活動，作為定性分析的補充。一個企業(yè)不需要在每個業(yè)務部門都使用同樣的評估技術。相反，對評估技術的選擇應反映出對精確性的需要和該業(yè)務部門的文化。在任何情況下，各業(yè)務部門所使用的評估技術應有利于企業(yè)在整個企業(yè)的范圍內對風險的評估。在衡量目標的實現(xiàn)程度時，管理者經(jīng)常使用業(yè)績計量指標。當考慮某一風險對實現(xiàn)某一特定目標的潛在影響時，使用這些計量指標同樣有效。管理者可以評估各事項之間的關系，因為一系列相互關聯(lián)的事項結合起來會使得事項的發(fā)生概率或事項的影響發(fā)生重大變化。雖然一個單一事項的影響可能很小，但是這樣一系列事項則可能對企業(yè)造成重大影響。各潛在事項之間可能并不直接相關，這時管理者可以分別對其進行評估，但是某些風險可能在企業(yè)的多個業(yè)務部門出現(xiàn)時，管理者可以將所確認的風險歸為一類進行評估。通常一個潛在事項結果是一個可能的范圍值，管理者應將其作為制定風險反應方案的基礎。通過風險評估，管理者可以了解潛在事項在整個企業(yè)內對企業(yè)的正面和負面的影響，單個事項或某類事項對企業(yè)的影響。管理者通常只趨于關注中短期的風險，但風險應在企業(yè)戰(zhàn)略和目標的前提下進行評估。由于戰(zhàn)略方向和目標的某些要素涉及較長時期，管理者因而應從長期的角度認識風險，而不能忽視遠期會影響企業(yè)的風險。首先，應對企業(yè)的固有風險進行評估。固有風險是指管理者在沒有采取任何會改變風險發(fā)生的可能性或影響的管理措施的情況下企業(yè)所面臨的風險。一旦確定了對固有風險的風險反應方案，管理者就可以使用風險評估技術確定企業(yè)的殘留風險。殘留風險是指管理者采取了有關風險管理措施后應存在的風險。.風險反應管理者可以制定不同風險反應方案，并在風險容忍度和成本效益原則的前提下，考慮每個方案如何影響事項發(fā)生的可能性和事項對企業(yè)的影響，并設計和執(zhí)行風險反應方案。考慮各風險反應方案并選擇和執(zhí)行一個風險反應方案是企頁腳內容業(yè)風險管理不可分割的一部分。有效的風險管理要求管理者選擇一個可以使企業(yè)風險發(fā)生的可能性和影響都落在風險容忍度范圍之內的風險反應方案。風險反應可分為規(guī)避風險、減少風險、共擔風險和接受風險四類。規(guī)避風險是指采取措施退出會給企業(yè)帶來風險的活動。減少風險是指減少風險發(fā)生的可能性、減少風險的影響或者兩者同時減少。共擔風險是指通過轉嫁或與他人共擔一部分風險來降低風險發(fā)生的可能性或影響。接受風險則是不采取任何改變風險發(fā)生的可能性或影響的行動。作為企業(yè)風險管理的一部分，對于每一個重要的風險，企業(yè)都應按風險反應的類型考慮所有的風險反應方案，這樣有助于風險反應方案的選擇，這也是對“現(xiàn)狀”提出的挑戰(zhàn)。_選定某一個風險反應方案后，管理者應在殘留風險的基礎上重新評估風險，即從企業(yè)總體的風險組合的、預測的角度重新計量風險。管理者可以采取一定的方法使得每一生產(chǎn)部門、行政部門或業(yè)務單位的管理者可以對風險進行復合式的評估以決定該部門的風險反應方案。這種視角可以反映相對于各部門的目標和風險容忍度該部門的風險組合。在對各個獨立部門的風險有一個認識的基礎上，企業(yè)最高層的管理者應以組合的角度看待風險，以決定企業(yè)的風險組合與相對企業(yè)目標而言的總體的風險偏好是否相符。管理者應認識到一定水平的殘留風險總是存在的，這不僅是因為資源的有限性，還因為未來有其內在的不確定性和所有活動的固有限制。.控制活動控制活動是幫助保證風險反應方案得到正確執(zhí)行的相關政策和程序?？刂苹顒哟嬖谟谄髽I(yè)的各部分、各個層面和各個部門?？刂苹顒邮瞧髽I(yè)努力實現(xiàn)其商業(yè)目標的過程的一部分。通常包括兩個要素：確定應該做什么的一個政策和影響該政策的一系列過程。由于企業(yè)的控制活動與企業(yè)的信息系統(tǒng)廣泛相關，因此，應對企業(yè)所有的重要系統(tǒng)進行控制。廣義來講，對信息系統(tǒng)控制活動可以分為兩類。一類是一般控制，這類控制應用于大多數(shù)應用系統(tǒng)，有助于保證系統(tǒng)的持續(xù)地、正確地運行。另一類是應用控制，包括用于控制技術應用的應用軟件內部的電腦程序。必要時將信息系統(tǒng)控制與其他手工的過程控制相結合，可以保證信息的完整性、精確性和有效性。一般控制包括對信息技術管理、信息技術基礎設施、保密管理和軟件的購買、開發(fā)和維護的控制。這些技術應用于所有的系統(tǒng)，從主機到客戶端（服務端）到桌面電腦環(huán)境。信息技術管理控制主要包括明確信息技術的勘漏過程、監(jiān)督和報告信息技術活動及業(yè)務改進的初步行動等等。應用控制的目的是保證數(shù)據(jù)獲得和業(yè)務處理過程的完整性、精確性、授權和有效性。依靠信息系統(tǒng)控制運行的有效可以保證當需要時每個應用程序可以在界面上產(chǎn)生有關數(shù)據(jù)，保證應用程序的有效和有關界面的錯誤可以很快地被發(fā)現(xiàn)。因為每一個主體都有其自己的一套目標和執(zhí)行目標的方法，因此其子目標、結構和相關的控制活動也會不同。即使兩個企業(yè)有同樣的目標和結構，他們的控制活動可很可能不同。每個企業(yè)的管理人員都不同，不同的管理人員在影響內部控制時使用不同的個人判斷。而且，控制活動反映了一個企業(yè)所處的環(huán)境和行業(yè)，也會反映企業(yè)的復雜性、企業(yè)的歷史和文化。.信息和溝通頁腳內容f來自于企業(yè)內部和外部的相關信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞，以保證企業(yè)的員工能夠執(zhí)行各自的職責。有效的溝通也是廣義上的溝通，包括企業(yè)內自上而下、自下而上以及橫向的溝通。有效的溝通還包括將相關的信息與企業(yè)外部相關方的有效溝通和交換，如客戶、供應商、行政管理部門和股東等。企業(yè)內部各個管理層都需要信息來幫助識別、評估風險和對風險進行反應，以及進行經(jīng)營并實現(xiàn)企業(yè)的目標。相對于某一類或幾類目標，某一批信息是有用的。企業(yè)的信息來自于各個方面，包括內部和外部的信息、量化的和非量化的信息，以使得企業(yè)的風險管理可以對現(xiàn)實世界中不斷變化的條件及時作出反應。將大量的信息進行處理，提煉出或指導行動的信息是企業(yè)管理者所面臨的一個挑戰(zhàn)。解決這一問題的方法是建立一個信息系統(tǒng)底層結構來確認、捕捉、處理、分析和報告相關信息。這些信息系統(tǒng)通常是電腦系統(tǒng)，但也包括手工錄入或人機界面。因此，這些信息系統(tǒng)經(jīng)常是指處理企業(yè)相關業(yè)務產(chǎn)生的內部數(shù)據(jù)的系統(tǒng)。長期以來信息系統(tǒng)是用來支持企業(yè)的商業(yè)戰(zhàn)略。當業(yè)務需要變化和有關技術為企業(yè)獲得戰(zhàn)略優(yōu)勢提供新的機會時，這一地位就顯得更為重要?！獮橹С钟行У钠髽I(yè)風險管理，一個企業(yè)會捕捉和使用歷史和現(xiàn)在的數(shù)據(jù)。歷史數(shù)據(jù)使企業(yè)能夠將實際業(yè)績與目標、計劃和期望相比較，能夠更加深入了解企業(yè)在不斷變化的環(huán)境下是如何生存的，使得管理者確認相關性和趨勢并預測未來的業(yè)績。歷史數(shù)據(jù)還能夠對需要管理者注意的潛在事項提早提出警告?，F(xiàn)在或現(xiàn)狀的數(shù)據(jù)使企業(yè)能夠評估在某一特定時點所面臨的風險并將其控制在風險容忍度范圍內?，F(xiàn)狀數(shù)據(jù)使得管理者可以實時地了解一個過程、職能部門或單位現(xiàn)存的固有風險和差異的大小。這對了解企業(yè)的風險組合提供了一個視角，使得管理者能夠在必要時改變企業(yè)的活動以滿足企業(yè)的風險偏好。信息是溝通的基礎，溝通則必須滿足各部門和個人的要求，以使他們能夠有效地履行其職責。最重要的溝通渠道之一是高級管理者和董事會之間的溝通。管理者必須使董事會了解關于企業(yè)業(yè)績、發(fā)展、風險管理執(zhí)行和其他相關事項和問題的及時信息。溝通越暢通，董事會在執(zhí)行其監(jiān)督職能、重大問題的宣傳媒介職能和提供建議、咨詢和指導職能時才會越有效。反之，董事會也應向管理者傳遞其所需要的信息并進行反饋和指導。管理者應提供特定的或直接的溝通渠道說明對員工的行為預期和各自的職責。應包括對企業(yè)風險管理原理和方法以及員工權責分配的清晰的說明。對于風險管理過程和程序的溝通應與企業(yè)預期的風險文化相結合，并作為企業(yè)風險文化的基礎。此外，信息的列示會直接影響對信息的解釋和對相應的風險或機遇的看法，因此，對于溝通應有一個適當?shù)募軜?。溝通應使企業(yè)的員工了解有效地企業(yè)風險管理的重要性和相關性，了解企業(yè)的風險偏好和風險容忍度，并在企業(yè)內執(zhí)行、設計一個統(tǒng)一的風險用語并向員工說明他們在影響和支持企業(yè)風險管理要素中的地位和職責。溝通渠道還應該保證企業(yè)員工能夠在各業(yè)務部門、業(yè)務流程或職能部門間進行風險信息的溝通。大多數(shù)情況下，企業(yè)內正常的報告路徑一般是溝通的適當渠道。而在某些情況下，需要一個單獨的信息溝通途徑作為防止失敗機制，而為一途徑在正常情況下是不用的。在所有的情況下，讓企業(yè)的員工了解企業(yè)內并不存在對報告相關信息的報復是很重要的。外部的溝通渠道能夠為企業(yè)的產(chǎn)品或服務的設計或品質提供非常重要的信息。管理者應將企業(yè)的風險偏好和風頁腳內容f險容忍度與客戶、供應商和合伙人的風險偏好和風險容忍度聯(lián)系起來考慮，以保證不會通過企業(yè)的業(yè)務活動給企業(yè)帶來太多的風險。外部相關方的信息經(jīng)常會為企業(yè)風險管理的運行提供重要的信息。.監(jiān)控對企業(yè)風險管理的監(jiān)控是指評估風險管理要素的內容和運行以及一段時期的執(zhí)行質量的一個過程。企業(yè)可以通過兩種方式對風險管理進行監(jiān)控--持續(xù)監(jiān)控和個別評估。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風險管理在企業(yè)內各管理層面和各部門持續(xù)得到執(zhí)行。持續(xù)監(jiān)控是對企業(yè)日常的、重復的經(jīng)營活動的監(jiān)控，在實時的基礎上進行，是對不斷變化的環(huán)境的動態(tài)地反應，應在企業(yè)內部徹底地貫徹和執(zhí)行。如果執(zhí)行得好，持續(xù)監(jiān)控比個別評估更為有效。由于個別評估是在事實發(fā)生之后才進行評估，而持續(xù)監(jiān)控則會在問題一發(fā)生就很快被發(fā)現(xiàn)。雖然如此，許多使用持續(xù)監(jiān)控的企業(yè)仍舊進行風險管理的個別評估。個別評估的頻率是企業(yè)管理者的主觀判斷問題。在決定個別評估的頻率時，管理者應考慮來自于企業(yè)內部和外部事項的變化的性質和程度以及相應的風險、企業(yè)員工進行風險反應和相應控制的能力和經(jīng)驗、持續(xù)監(jiān)控的結果等因素。通常，將持續(xù)監(jiān)控和個別評估進行一定的結合使用會保證企業(yè)風險管理長期的有效性。對企業(yè)風險管理進行記錄的程度根據(jù)企業(yè)的規(guī)模、經(jīng)營的復雜性和其他因素的影響而有所不同。企業(yè)風險管理的內容沒有記錄并不意味著風險管理無效或無法對風險管理進行評—估。但是，適當程度的記錄通常會使對風險管理的監(jiān)控更為有效果和有效率。當企業(yè)管理者打算向企業(yè)外部相關方提供關于企業(yè)風險管理效率的報告時，他們則應考慮為企業(yè)風險管理設計一套記錄模式并保持有關的記錄。所有風險管理失效都會影響企業(yè)確定和執(zhí)行戰(zhàn)略的能力，影響企業(yè)實現(xiàn)其既定目標的能力。對此，應將企業(yè)所有的風險管理失效都報告給適當?shù)墓芾韺?，以保證其采取必要的措施以糾正風險管理失效。企業(yè)所需溝通的事項的性質根據(jù)各人處理各種情況的權限和監(jiān)控者的查漏活動的不同而不同。這里“失效”是指企業(yè)風險管理過程中值得注意的某一種情形。因此，失效可能代表一種預期的、潛在的或真實的缺陷，或者代表加強風險管理過程的一個機會，以增加企業(yè)目標實現(xiàn)的可能性。在經(jīng)營活動中產(chǎn)生的信息通常通過正常的渠道進行報告。對于敏感性信息的報告也應有其他的溝通渠道，如非法活動或不正當?shù)幕顒?。向企業(yè)內適當?shù)墓芾韺犹峁╆P于風險管理失效的必需的信息是非常重要的。企業(yè)應建立一個協(xié)議來識別某一管理層決策有效所需要的信息。這些協(xié)議應反映一個基本原則，即一個管理者在收到實現(xiàn)其特定目標的有關信息外，還應收到影響其權限范圍內人員的行動或行為的所有信息。（四）風險管理要素和企業(yè)目標之間的關系企業(yè)的風險管理框架包括四類目標和八個要素。四類目標分別是戰(zhàn)略目標、經(jīng)營目標、報告目標和合法性目標。八個要素分別是內部環(huán)境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監(jiān)控，是企業(yè)目標實現(xiàn)的保證。它們相互之間存在直接的關系，可以用一個三維矩陣圖來表示（如圖1所示）?？梢钥闯觯膫€欄分別代表一個企業(yè)的四類目標，并不是企業(yè)的某個部分或部門。因此，例如，當考慮與報告相關的那類目標時，需要關于企頁腳內容f業(yè)經(jīng)營的大量信息，但是在這種情況下主要關注的是風險管理模型右手邊中間這一欄一報告目標一而不是經(jīng)營類目標。圖2將立方體中水平各行的內容進行擴展，說明各風險管理要素的主要內容，其中每一要素也就代表一個業(yè)務流程。（五）有效性企業(yè)風險管理是一個過程，企業(yè)風險管理的有效性則是某一時點的一個狀態(tài)或條件。決定一個企業(yè)的風險管理是否有效是基于對風險管理八要素設計和執(zhí)行是否正確的評估基礎上的一個主觀判斷。為使風險管理有效，企業(yè)的風險管理框架必須包括所有的八個要素，并得到貫徹執(zhí)行。但是，這并不意味著每一要素在不同的企業(yè)間，甚至是不同企業(yè)的同一管理層次上，都必須執(zhí)行同樣的功能。因為不同的要素之間可能存在著作用的相互抵消。由于企業(yè)風險管理的各種技術能夠為企業(yè)不同的經(jīng)營意圖服務，因此，相對于某要素的技術也能夠服務于通常是另一要素所體現(xiàn)出來的經(jīng)營意圖。此外，對某一特定風險的風險反應程度可能不同，以至于互補的風險反應模式可能各自對企業(yè)的影響都有限，合并后仍可以保持在風險容忍度的范圍內。這里所討論的概念可以應用于所有企業(yè)，無論其規(guī)模。某些中小企業(yè)所采用的要素的內容與大企業(yè)可能不同，但企業(yè)的風險管理仍舊有效。對于每個要素的方法論，小企業(yè)采用的方法與大企業(yè)相比并不正式和結構化，但是，無論企業(yè)的規(guī)模，其風險管理都應包括本文所講的基本概念。企業(yè)風險管理可以從一個企業(yè)的總體來認識，也可以從一個單獨的部門或多個部門的角度來認識。即使是站在某一特定的業(yè)務部門的角度來看待風險管理，所有的八要素也都應作為基準包含在內。一個公司可能采用聯(lián)營企業(yè)、合伙或其他的投資形式，其經(jīng)營可能不在母公司的直接控制之下。為保證企業(yè)風險管理的有效性，母公司應從公司戰(zhàn)略和目標的角度考慮與被投資方一起充分應用風險管理八要素的程度。（六）包括內部控制內部控制是企業(yè)風險管理不可分割的一部分。這里所說的企業(yè)風險管理框架包括內部控制，為企業(yè)的管理提供了一個更強的概念基礎和工具。在《內部控制一整體框架》中已經(jīng)對內部控制進行了定義和描述。由于《內部控制J—整體框架》是現(xiàn)有的規(guī)則、法規(guī)和法律的基礎，因此本討論稿保留其對內部控制的定義。整個《內部控制一整體框架》報告都是本框架的參考。（七）企業(yè)風險管理的局限性有效的風險管理可以幫助管理者實現(xiàn)企業(yè)的目標，但是，無論企業(yè)風險管理設計得如何完善、運行得如何有效，它也不能保證一個企業(yè)永遠成功。企業(yè)目標的實現(xiàn)還要受管理過程內在局限性的影響。政府政策或項目的改變、競爭對頁腳內容f手的行動或經(jīng)濟條件都超出了管理者的控制范圍。人的決策可能會出錯，因而企業(yè)很有可能由于人的簡單的錯誤或過失而破產(chǎn)。而且企業(yè)風險管理也不能把一個本來就很差的管理者變好。此外，企業(yè)員工兩人或多人合謀可以繞過控制，管理者也有權利繞過企業(yè)的風險管理過程，包括風險反應和風險控制過程等。企業(yè)風險管理的設計必須反映企業(yè)資源稀缺的現(xiàn)實，而且風險管理的收益必須對應風險管理的成本。因此，雖然企業(yè)風險管理可以幫助管理者實現(xiàn)企業(yè)的目標，但它并不是一顆萬靈丹。（八）各管理層在企業(yè)風險管理中的地位和職責一個組織的每個人在企業(yè)風險管理中都負有責任。.董事會企業(yè)的管理者向董事會負責，而董事會向管理者履行治理、指導和監(jiān)督職能。通過選舉管理者，董事會在界定其所期望的員工的操守和價值觀時起主要作用，并能夠通過監(jiān)督活動證實其對員工的預期。同樣，通過在某些關鍵的決策中保留其權限，董事會在制定戰(zhàn)略、確定企業(yè)高層次的目標和進行廣義的資源配置時起到一定的作用。董事會對企業(yè)的風險管理負有監(jiān)督職責，主要通過以下方式實現(xiàn)其職責：一了解管理者在企業(yè)內部建立有效的風險管理的程度；一獲知并認可企業(yè)的風險偏好；—復核企業(yè)的風險組合觀并與企業(yè)的風險偏好相對照；—評估企業(yè)最重要的風險并評估管理者的反應是否適當。董事會是企業(yè)內部環(huán)境的一個組成部分，必須有保證風險管理有效的必要的組織和對風險管理的關注。.管理者企業(yè)的首席執(zhí)行官對企業(yè)的風險管理最終負責，即擁有企業(yè)風險管理的“所有權”。與企業(yè)內其他員工不同，首席執(zhí)行官在企業(yè)的高層確定風險管理的基調，而這會影響企業(yè)內部環(huán)境中的員工操守和價值觀及其他因素。在一個大公司中，首席執(zhí)行官通過向高級管理者分派領導權和提供指令并復核其管理企業(yè)的方式等來履行其職能。高級管理者會進一步將制定更具體的風險管理政策和程序的責任分派給負責各部門運行的員工。而在一個小企業(yè)，首席執(zhí)行官對風險管理的影響則更為直接。他們是企業(yè)的管理者，但同時也是企業(yè)的所有者。在任何情況下，？對其下層的職責，管理者也是其職責范圍內的一個首席執(zhí)行官。此時各職能部門的領導者也是很重要的，如法律咨詢部？、財務部、人力資源部和信息技術部，他們各自的監(jiān)督活動與企業(yè)經(jīng)營和其他部門的活動到處都存在著交叉。.風險管理者一個風險管理者是指某一組織內的首席風險管理者或首席風險管理經(jīng)理，他與企業(yè)內其他管理者一起在他們的職責范圍內建立并維護有效的風險管理框架。首席風險管理經(jīng)理也可以擔當監(jiān)督風險管理進度和幫助其他管理人員在企業(yè)頁腳內容f內向上、向下和橫向報告有關風險信息的職責，并可以成為企業(yè)風險管理委員會的一員。.內部審計人員內部審計人員在企業(yè)風險管理的監(jiān)控中占有重要的地位，這一職責作為其正常職責的一部分，其業(yè)績的質量依賴高級管理者、下級管理者或部門執(zhí)行人員的特殊要求。他們可能通過對管理者風險管理過程的充分性和有效性進行監(jiān)控、檢查、評估、報告和提出改進建議來幫助管理者和董事會或審計委員會。.其他員工從某種程度上講，企業(yè)風險管理是企業(yè)內每一個員工的責任，因此，風險管理應是企業(yè)內每一個員工的工作手冊的一部分內容。本質上，企業(yè)所有的員工都應提供風險管理所需的信息或者采取必要的措施管理風險。同樣，企業(yè)所有的員工都有責任向上報告風險，如經(jīng)營中存在的問題，未遵守有關的行為規(guī)則的情況、其他違反政策的行為或非法活動。許多企業(yè)外部相關方也有助于企業(yè)目標的實現(xiàn)。如外部審計人員，從一個獨立、客觀的角度對企業(yè)的財務報表進行審計和對企業(yè)的內部控制進行復核，直接有助于企業(yè)目標的實現(xiàn)。同時，外部審計人員還可以向管理者和董事會提供履行其職責有用的額外信息，間接地為企業(yè)目標的實現(xiàn)作出貢獻。其他向企業(yè)提供風險管理的有用信息的相關方還包括行政管理部門、客戶，其他與企業(yè)進行交易的各方，財務分析師、債券承銷商和新聞媒介等等。但是，外部的各相關方并不對企業(yè)的風險管理負責。（九）本報告的用途企業(yè)根據(jù)本報告所采取的行動還應考慮下述各方的地位和利益：.董事會成員董事會成員應該與企業(yè)的高級管理人員討論企業(yè)風險管理的狀況并在必要的時候進行監(jiān)督。董事會應該保證企業(yè)風險管理體制能夠為董事會提供與企業(yè)戰(zhàn)略和目標相關的最重要的風險的評估，包括企業(yè)的管理者采取了什么行動和董事會在監(jiān)督企業(yè)風險管理框架時是如何運作的。董事會應該從企業(yè)的內部審計人員、外部審計人員和咨詢顧問外獲得有關的信息。.高級管理人員本研究建議企業(yè)的首席執(zhí)行官應評估企業(yè)風險管理的適應性。使用本框架，CEO就可以與企業(yè)的其他主要經(jīng)營和財務主管一道，注意企業(yè)內需要注意的地方。使用一定的方法，CEO可以將企業(yè)的業(yè)務部門的負責人和主要職能部門的員工匯集到一起，討論對企業(yè)風險管理框架適應性和有效性的最初評估。無論討論的形式如何，風險管理最初的評估應決定企業(yè)是否需要對企業(yè)風險管理框架進行進一步的、更廣泛的評估以及應如何進行評估。最初的評估還應該保證企業(yè)再造的監(jiān)控程序確實存在、確實有效。企業(yè)花費在風險管理評估上的時間是企業(yè)的一項投資，而且是一項有高額回報的投資。頁腳內容f.企業(yè)內其他成員企業(yè)的管理者和其他員工應該考慮他們在企業(yè)風險管理框架中應履行何種職責，并與其上層管理者討論有關思想以加強企業(yè)的風險管理。內部審計人員則應該考慮其工作中關注企業(yè)風險管理的程度。.立法者每個企業(yè)對企業(yè)風險管理的期望由于兩個方面的影響而千差萬別。首先，由于對企業(yè)風險管理框架的硬件設施構建的不同認識，使得企業(yè)的風險管理框架各有不同。一些觀察家認為企業(yè)風險管理將會，或者應該會防止企業(yè)的經(jīng)濟損失，或者至少是防止企業(yè)破產(chǎn)。第二，即使對企業(yè)風險管理能夠做什么、不能做什么以及“合理保證”概念有一個共同的認識，對這概念的含義和應該如何應用這些概念也存在許多不同的觀點。為了使各方對企業(yè)風險管理的認識及其作用達成共識，就應該對企業(yè)風險管理框架及其局限性達成共識。本框架的提出就是出于這一考慮。.專業(yè)機構規(guī)則制定機構和其他專業(yè)組織已經(jīng)提供了企業(yè)理財、審計和相關問題的指南。本框架會使用這些機構頒布的有關準則和指南。這樣可以減少概念和術語的多樣性，而一定程度地減少概念和術語的多樣性對企業(yè)內外部各方都是有利的。.教育機構本框架應該是理論研究和分析的一個題目，以尋找未來改進的方向。如果這個報告作為企業(yè)風險管理通用的理論基礎被廣泛接受，那么其中的概念和術語就可以在學校的課本中找到。（十）報告的組織這個概覽和框架報告的正文一起構成了企業(yè)的風險管理框架。本概覽為企業(yè)的CEO和其他高級執(zhí)行官、董事會成員和企業(yè)外部的立法者提供了一個高度概括的說明。而框架報告的正文部分則對企業(yè)風險管理的定義、原則和概念進行更為廣泛和深入的討論，為企業(yè)及其他組織中各層次管理者決定如何改進企業(yè)的風險管理提供了指導，并能夠幫助企業(yè)的管理者和其他人員評估企業(yè)的風險管理提供幫助。1、企業(yè)風險管理的相關性章節(jié)摘要：企業(yè)風險管理被運用于策略制定，并貫穿于實體的各項活動中。它使得管理部門在面對不確定性的時候能夠鑒別，評估并處理風險，同時有助于價值增值與保值。企業(yè)風險管理能提供更高的能力，來調整風險偏好與策略，把風險與增長及回報聯(lián)系起來，加強風險反應決斷力，最小化經(jīng)營上的突發(fā)狀況和損失，鑒別并處理跨企業(yè)風險，對復合性風險提供整體化反應，把握機會，合理化資本投資。企業(yè)風險管理的一個潛在假定就是，每一個實體的存在都是為其風險承擔者提供價值，不論這個實體是盈利性的，非盈利性的還是政府機構。所有實體都面臨著不確定性，而管理部門的挑戰(zhàn)就是判定該實體在努力增加風險承擔者價值的同時，準備承受多大程度的不確定性。不確定性既提供頁腳內容f了風險也提供了機遇，既有可能侵蝕價值也有可能增加價值。企業(yè)風險管理就是給管理部門提供了一個體制，可以有效地處理不確定性及相關風險、機遇，從而提高增加價值的能力。不確定性諸如全球化、技術、監(jiān)管、重組、市場變化及競爭等因素產(chǎn)生了不確定性，企業(yè)正是在這樣的環(huán)境下經(jīng)營。不確定性來源于不能精確地對潛在事件發(fā)生的可能性及相關結果進行判斷。不確定性還因實體的戰(zhàn)略性決策而產(chǎn)生。例如，一個實體的增長戰(zhàn)略是基于向另一個國家擴展經(jīng)營業(yè)務。這一選定的戰(zhàn)略就產(chǎn)生了與該國家的政治、資源、市場、交通、人力資本及成本相關的風險和機遇。價值價值是由于管理部門在所有活動中的決策而產(chǎn)生、保持或被侵蝕的，這些活動涉及到從戰(zhàn)略的制定至日常的企業(yè)經(jīng)營。決策中固有的一點就是識別風險和機遇，要求管理部門（注）考慮內在和外在環(huán)境的信息，并根據(jù)變化著的環(huán)境來部署寶貴的資源和重新調整企業(yè)行為。企業(yè)價值是通過部署資源（包括人力、資本、技術及品牌）而產(chǎn)生的，因此獲得的利潤要大于使用的資源。實體通過專注于人力、工序、系統(tǒng)和行為創(chuàng)造持續(xù)性價值而保值的，包括產(chǎn)品質量，生產(chǎn)能力，顧客滿意度及其它一些東西。價值會由于根據(jù)風險和機遇的不完全或不充分信箱行事，或由于拙劣的戰(zhàn)略或執(zhí)行而受到侵蝕。當管理部門的戰(zhàn)略和目標在增長與回報及相關風險，和追求實體目標過程中對資源的效率且有效果的部署之間突然得到了一個最優(yōu)平衡，價值就達到了最大化。企業(yè)風險管理則便于對市場需求、無效率和其它事件進行識別，那些事件要么會產(chǎn)生創(chuàng)造價值的機會，要么會對戰(zhàn)略及實現(xiàn)實體的目標帶來風險。當風險承擔者獲得可確認的收益，實體就實現(xiàn)了價值，從而風險承擔者實現(xiàn)價值。例如，當股東從股票增值中確認價值產(chǎn)生時，他們就實現(xiàn)了價值。對政府實體而言，在選民以可接受的成本確認收到有價服務時，價值得以實現(xiàn)。非營利性實體的風險承擔者則是在確認收到有價社會福利時實現(xiàn)價值。企業(yè)風險管理就是便于管理部門既能夠創(chuàng)造可持續(xù)性價值，又能把所創(chuàng)造的價值傳送給風險承擔者。實體價值的計量對價值的一種計量是該實體對其風險承擔者的相對價值，效用或重要性。許多公司管理部門習慣于用財務指標來考慮價值，如經(jīng)濟利潤、股東附加值、風險調整成本回報或整體股東回報。這些財務指標有一個基本的假定，就是價值產(chǎn)生前資本成本必須能得到彌補。然而，財務指標并不總是價值的唯一代表。對非盈利性機構的價值計量就是和它們所試圖提供的社會福利聯(lián)系在一起的。例如，一家為老年公民提供援助的非盈利性機構是根據(jù)對可接受的高質量、長期健康照顧的獲得性來衡量價值的。企業(yè)風險管理的優(yōu)點調整風險偏好與戰(zhàn)略——風險偏好，在廣泛的基礎層面上，是公司或其它實體在追求目標時所愿意接受的風險程度。頁腳內容f管理部門首先是在評估戰(zhàn)略性選擇時考慮實體的風險偏好的，然后是在根據(jù)選定的戰(zhàn)略進行調整的目標設定，以及在發(fā)展機制來管理相關風險時考慮。例如，一家制藥公司關于其品牌價值有著較低的風險偏好。因此，為保護其品牌，該企業(yè)會堅持廣泛調查來確保產(chǎn)品的安全性，并定期在早期開發(fā)階段投入大量資源以支持品牌價值創(chuàng)造。聯(lián)系增長、風險和回報——實體是把風險視為生產(chǎn)和保持價值的一部分而接受風險的，同時期望回報與風險相匹配。企業(yè)風險管理提供了更強大的識別和評估風險的能力，并針對增長和回報目標確定可接受的風險水平。例如，保險公司在戰(zhàn)略性規(guī)劃方面的管理同時產(chǎn)生了經(jīng)營單元規(guī)劃以及增長與回報規(guī)劃。公司識別和判斷完成的風險，選擇反應方式，調整經(jīng)營單元規(guī)劃，并在單個經(jīng)營單元和全公司目標的基礎上配置資本。改善風險反應決策一企業(yè)風險管理提供在各種風險反應選項（即風險回避、減少、分配和接受）中進行嚴格的識別和選擇。例如，一家使用公司所有并經(jīng)營的交通工具的公司，其管理部門確認運輸過程中的固有風險，包括交通工具的損壞和人員受傷成本?？衫玫倪x項包括通過有效的司機招募及培訓來降低風險，通過運輸外部化來規(guī)避風險，通過保險來轉移風險，或者索性接受風險。企業(yè)風險管理為這些決策都提供了方法和技術。經(jīng)營偏差和損失最小化L實體已增強了識別現(xiàn)在事件、評估風險并確立反應方式的能力，從而減少了偏差的發(fā)生及相關成本或損失。例如，制造公司依據(jù)平均水平來追蹤生產(chǎn)部件和設備損壞率。該公司運用復合性標準評估損壞的影響，包括修理時間、無法滿足顧客的需要、雇員安全、預定修理相對于非預定修理的成本，以及對據(jù)此設定維護安排的反應。識別和管理企業(yè)范圍的風險一每一個實體都會面臨無數(shù)的風險，并影響到機構的不同部門。管理部門不僅需要處理單個風險，還要知道它們相互間的影響。例如，銀行在與企業(yè)的交易活動中面臨大量風險，管理部門就開發(fā)了一項信息系統(tǒng)，可以分析來源于其它內部系統(tǒng)的交易和市場數(shù)據(jù)，并同時依據(jù)相關的外生信息，而提供對所有交易活動風險的總體看法。該信息系統(tǒng)允許深入到各個層次，即部門、顧客或競爭對手、貿(mào)易商及交易，并在已確立的分類中根據(jù)風險承受能力量化風險。該信息系統(tǒng)使銀行能夠把曾經(jīng)使完全不相關的數(shù)據(jù)聯(lián)系起來，從而運用總括的及有目的的觀點來有效地對風險做出反應。對多重風險提供整體反應——商業(yè)過程帶有許多固有風險，企業(yè)風險管理可以為處理這些風險提供整體的解決辦法。例如，批發(fā)分銷商面臨的風險有供應過量或不足的形勢供應來源稀缺，以及過高的購買價格。管理部門根據(jù)本公司的戰(zhàn)略、目標及供選擇的反應情況來確認和評估風險，并開發(fā)了一項涉及廣泛的存貨控制系統(tǒng)。該系統(tǒng)通過簽訂長期供應合同和改善定價方式與供應商結合起來，共享銷售和存貨信息，推動戰(zhàn)略合作，避免缺貨和不必要的運輸成本。供應商的職能就是負責補充存貨，進一步降低成本。抓住機會一通過考察所有的潛在事件，而不僅僅是風險，管理部門可以了解特定的事件是如何代表機會的。例如，一家食品公司考察了可能會影響其可持續(xù)收入增長目標的潛在事件。在評估事件時，管理部門認定，該公司的主要顧頁腳內容f客正越來越注重健康，并正在改變飲食偏好，這表明對該公司現(xiàn)有產(chǎn)品的需求將來會減少。管理部門對此做出反應，把目前的生產(chǎn)能力應用于開發(fā)新產(chǎn)品，使得公司不僅能夠保持來源于現(xiàn)有顧客的收入，還能夠吸引更廣泛的顧客基礎而獲得額外的收入。使資金合理化一更多關于風險的可靠信息可以使管理部門更有效地評價整體資金需求及改善資金分配。例如，一家金融機構得知新的規(guī)章制度，規(guī)定如果管理部門不更加有效地計算貸款和經(jīng)營風險水平及相關資金需求，就要增加（自身）資金需求。該公司按照系統(tǒng)開發(fā)成本及附加資金成本的對比對風險進行了評估，并制定了一個高明的決定來處理這一風險。根據(jù)現(xiàn)有的、可調整的軟件，該銀行開發(fā)了更加精確的計算方法，避免了對附加資金來源的需求。企業(yè)風險管理不是不是目的，而是一種達到目的的重要方法。它在實體中并不是孤立運轉的，而是管理過程的啟動程序。企業(yè)風險管理通過向董事會提供關于最重要風險以及怎樣進行處理的信息，而與公司治理相關聯(lián)。它還通過風險調整指標與業(yè)績管理相關聯(lián)，并與企業(yè)風險管理的一個組成部分一內部控制相關聯(lián)。企業(yè)風險管理有助于實體達到經(jīng)營和獲利目標，并避免資源浪費；有助于確保有效的報告；還有助于確保實體遵守法律法規(guī)，避免聲譽受損及其它后果。總之，它有助于實體達到所期望的目標，并自始至終避免陷阱和偏差。注：盡管在這里及接下來的討論中運用的是“管理部門”一詞，許多企業(yè)風險管理行為都是由非管理人員完成的。2、框架縱覽章節(jié)摘要：企業(yè)風險管理使一個過程，是由實體的董事會、管理層及其他員工實現(xiàn)的，被應用于戰(zhàn)略設定并貫穿于整個企業(yè)。設計該項管理是為了識別可能影響到實體的潛在事件，把風險控制在實體的風險偏好之內，并提供達到關于實體目標的合理保證。這一定義是廣義上的，與經(jīng)營的方方面面相關。企業(yè)風險管理是由八個相互關聯(lián)的部分組成，這些組成部分充實了管理層經(jīng)營企業(yè)的方式，并與其它管理過程融為一體。它們結合在一起，充當判定企業(yè)風險管理是否有效的標準。該框架的一個關鍵目標就是，幫助商業(yè)機構和其它實體的管理部門更好地處理達到實現(xiàn)目標時的固有風險。但是，企業(yè)風險管理對不同的人有著不同的含義。多種多樣的說明和含義阻礙了對企業(yè)風險管理的一個通用的理解。那么，一個重要的目的就是把各種各樣的風險管理觀念綜合成為一個框架，建立一般概念并確認組成部分。設計這一框架是為了協(xié)調不同的觀點，并為單個實體評價和增強企業(yè)風險管理，為將來創(chuàng)始規(guī)劃制訂機構，以及為進行教育提供一個起點。事件與風險無數(shù)內部或外部發(fā)生的事件都有可能影響到戰(zhàn)略的執(zhí)行和目標的實現(xiàn)。事件可能有負面影響，也可能有正面影響，或兩者兼而有之?？赡苡胸撁嬗绊懙氖录盹L險。因此，風險是事件發(fā)生并對目標產(chǎn)生不利影響的可能性?？赡苡许撃_內容正面影響的事件會抵消負面影響，或代表機遇。管理部門把機遇引至其戰(zhàn)略或目標設定過程，從而系統(tǒng)化行動以抓住機遇。管理部門通過判斷潛在事件的可能影響來評估風險，以執(zhí)行戰(zhàn)略和實現(xiàn)目標。企業(yè)風險管理的定義企業(yè)風險管理的定義如下：企業(yè)風險管理是一個過程，是由實體的董事會、管理層及其他員工實現(xiàn)的，被應用于戰(zhàn)略設定并貫穿于整個企業(yè)。設計該項管理是為了識別可能影響到實體的潛在事件，把風險控制在實體的風險偏好之內，并提供達到關于實體目標的合理保證。該定義反映了特定的基本觀念。企業(yè)風險管理：口是一個過程——它是達到目標的方法，自身不是目的?？谟扇藖韺崿F(xiàn)——它不僅僅是政策、調查和形式，而是涉及到機構中每一層次的人?？趹糜趹?zhàn)略制訂?？趹糜谡麄€企業(yè)的每一層面和單元，還包括采取在實體層面上對待風險的觀點?？谠O計用來識別可能影響實體的事件，并在實體的風險偏好范圍內處理風險?？谙驅嶓w的管理層和董事會提供合理保證?？跍蕚浜迷谝粋€或多個獨立而又相互重疊的部門實現(xiàn)目標。該定義之所以如此廣泛，是由于以下幾個原因。它抓住了公司和其它組織是如何管理風險的基本性的關鍵概念，為應用于不同類型的組織、產(chǎn)業(yè)和部門提供了基礎。它直接集中于實現(xiàn)一個特定實體所確立的目標。該定義為明確企業(yè)風險管理的有效性提供了一個基礎，這將在本章后面討論。下面一些段落討論如上列出的基本概念。一個過程企業(yè)風險管理不是一個事件或環(huán)境，而是一系列滲透到企業(yè)各項活動的行為。這些行為遍布和內含于管理部門經(jīng)營業(yè)務的方式中。企業(yè)風險管理不同于一些評論者的觀點，他們認為企業(yè)風險管理是附加在實體活動之外的范疇，或者是一個不可避免的負擔。這并不是說有效的企業(yè)風險管理不需要額外的努力。例如，在考慮貸款和貨幣風險時，就需要投入額外的努力來開發(fā)所需要的模型，并作一些必要的分析和計算。然而，這些企業(yè)風險管理機制是同實體的經(jīng)營活動盤繞在一起的，并由于一些基本的經(jīng)營因素而存在。當這些機制深入到實體的基礎結構中并成為企業(yè)核心的一部分―的時候，企業(yè)風險管理是最為有效的。通過在企業(yè)風險管理方面的建設，實體可以直接影響自身履行戰(zhàn)略和實現(xiàn)展望或使命的能力。企業(yè)風險管理的建設對成本控制也具有重要含義，尤其是在許多公司所面臨的高度競爭市場。增加新的獨立于已有程序之外的程序會增加成本。通過專注于現(xiàn)有的經(jīng)營及其對有效的企業(yè)風險管理的貢獻，并把風險管理與基本的經(jīng)營活動結合起來，企業(yè)可以避免不必要的程序和成本。而且，把企業(yè)風險管理建入經(jīng)營結構有助于管理部門識別并抓住頁腳內容f擴大經(jīng)營的新機遇。由人實現(xiàn)企業(yè)風險管理是由董事會、管理層及其他員工完成的。它是通過組織中的人及其所做和所說而實現(xiàn)的。是人建立了實體的展望、使命、戰(zhàn)略和目標，并適當?shù)剡\用企業(yè)風險管理機制。類似地，企業(yè)風險管理會影響到人的行為。企業(yè)風險管理認為，人們并不總是協(xié)調地互相理解、交流和辦事。每一個人都會帶來獨特的背景和技術能力，并有著不同的需要和特權。這些現(xiàn)實影響企業(yè)風險管理，同時也受其影響。每個人都有獨特的參考觀念，影響他們識別、評估風險并做出反應。企業(yè)風險管理提供了必要的機制，幫助人們根據(jù)實體目標的情況理解風險。人們必須了解自身的責任和權力的限制。相應地，在人們的職責和履行職責的方式之間，以及與實體的戰(zhàn)略和目標之間，需要存在清晰而緊密的聯(lián)系。組織中的人包括董事會，及管理層和其他員工。盡管董事會主要是進行監(jiān)管，他們也會指引方向并批準戰(zhàn)略和特定的交易及政策。這樣，董事會就是企業(yè)風險管理的一個重要元素。應用于制訂戰(zhàn)略實體設定使命或展望，并確立調整和支持其展望和使命的高層次戰(zhàn)略性目標。實體確立戰(zhàn)略的目的是實現(xiàn)戰(zhàn)略性目標。實體還會設定所希望達到的相關目標，從戰(zhàn)略深入到實體經(jīng)營單元、分支機構和工序。企業(yè)風險管理應用于制訂戰(zhàn)略，在制訂時管理部門要考慮相對于備選戰(zhàn)略的風險。例如，一項選擇是并購其它公司以擴大市場份額。另一項選擇則是削減采購成本以實現(xiàn)更高的毛收益率。每一項戰(zhàn)略選擇都會產(chǎn)生大量的風險。如果管理層選擇第一項戰(zhàn)略，就得進入新的且不熟悉的市場，競爭對手可能會在本公司現(xiàn)有市場中獲得份額，或者該公司沒有有效執(zhí)行此項戰(zhàn)略的能力。如果選擇第二項戰(zhàn)略，所產(chǎn)生的風險包括不得不使用新技術或供應商，或結成新的聯(lián)盟。在這一層面就要應用企業(yè)風險管理技能來決定實體的戰(zhàn)略。應用于整個企業(yè)要成功地應用企業(yè)風險管理，實體必須考慮整體活動范圍。企業(yè)風險管理要考慮組織所有層次上的活動，從企業(yè)層次的活動如戰(zhàn)略規(guī)劃和資源配置，到經(jīng)營單元的活動如營銷和人力資源，再到經(jīng)營過程如生產(chǎn)和新顧客信用評估。企業(yè)風險管理還應用于特殊項目和新開發(fā)項目，這些項目可能在實體的組織結構或機構圖示中還沒有指定位置。企業(yè)風險管理要求實體要有風險組合觀。這可能牽涉到每一個經(jīng)營單元、功能、程序或其它活動的管理負責人，為單元開展對風險的評估。該評估可能上定量的也可能上定性的。高層管理者對組織的每一個相繼的層次有著組合的見解，就有責任判定實體的整體風險組合是否與其風險偏好相稱。管理部門是以實體層面的組合觀點來考慮互相關聯(lián)的風險。（管理部門）需要識別關聯(lián)風險并依其行動，以把全部風險控制在實體的風險偏好之內。實體中個別單元的風險可能在單元的風險承受能力之內，但加總起來可能會超過作為整體的實體的風險偏好。整體風險偏好在實體中順次反映為特定頁腳內容f目標確立的風險承受程度。在形成組合觀的時候，管理部門考慮的是潛在事件，而不僅僅是風險。通過對事件的考慮，管理部門可以明白特定事件是如何具備抵消效果的。例如，利率下降會對實體的資本成本產(chǎn)生有利影響，但對賺取利息的資本會產(chǎn)生不利影響。管理部門可以找出事件之間的相互關系所在，有助于對事件分門別類，便于考察相關風險和機遇。風險偏好風險偏好是一個實體在追求價值的過程中所愿意接受的風險數(shù)量。實體總是定性地考慮風險偏好，如分為高、中、低三級，或者可以采用定量的方法，反映并均衡增長、回報的目標及風險。風險偏好是與實體的戰(zhàn)略直接相關的。在戰(zhàn)略設定時考慮，就是一項戰(zhàn)略的預期回報應與實體的風險偏好相符。不同的戰(zhàn)略將會使實體面臨不同的風險。企業(yè)風險管理有助于管理部門選擇與實體風險偏好一致的戰(zhàn)略。實體的風險偏好引導資源配置。管理部門在經(jīng)營單元之間配置資源，要考慮實體的風險偏好，以及單個經(jīng)營單元為實現(xiàn)投入資源預期回報的戰(zhàn)略。管理部門在協(xié)調機構、員工和程序時，以及在設計有效應對和監(jiān)控風險的必需的系統(tǒng)之各部分時，要考慮風險偏好。提供合理保證設計良好、有效運行的企業(yè)風險管理能夠為管理部門和董事會提供關于實現(xiàn)實體目標的合理保證。作為有效的企業(yè)風險管理的結果，在本章后面也會提到，對實體的每一類目標，董事會和管理部門能獲得如下合理保證：口他們能了解實體的戰(zhàn)略性目標的完成程度；口他們能了解實體的經(jīng)營性目標的完成程度；口實體的報告是可靠的；口適用的法律法規(guī)得到遵守。合理保證反映了這樣一個觀念，即不確定性和風險是與沒有人可以準確預測的將來相關聯(lián)的。問題還可能是因為，人們在做決策時的判斷是錯誤的；應對風險的決定和建立控制時需要考慮相關成本效益；出現(xiàn)毛病可能是由于人為失誤，比如一些簡單的錯誤；兩個或更多的人勾結起來規(guī)避控制；以及管理部門有不考慮企業(yè)風險管理決策的能力。這些問題使董事會和管理部門不可能有實現(xiàn)目標的絕對保證。實現(xiàn)目標在已確立使命或展望的情況下，管理部門建立戰(zhàn)略性目標，選擇戰(zhàn)略，并在整個企業(yè)內順次建立與戰(zhàn)略一致和相連的目標。盡管許多目標使某一實體所特有的，但有些目標還是廣泛適用的。例如，實際上對所有適用的目標有，在貿(mào)易團體及消費者群內獲得并保持良好的聲譽，向股東提供可以信賴的報告，以及遵守法律法規(guī)從事經(jīng)營。該框架從四個方面來看待實體目標：口戰(zhàn)略性一與高層次目標相關，與實體的使命一致并支持實體使命。頁腳內容f口經(jīng)營性一與有效果且有效率地使用實體資源相關?？趫蟾嫘砸慌c實體報告的可信賴度相關?？谧駨男砸慌c實體遵守適用的法律法規(guī)相關。這種對實體目標的分類使得董事會和管理部門專注于企業(yè)風險管理的不同方面。這些相互區(qū)別又有重疊的類別一一個特定目標可以歸屬于不止一個類別一提出了不同的實體需求，而且可能是不同高層人員所直接負責的。該法律還可以把所能期望的與目標的每一類別區(qū)分開來。有些實體使用另一種目標類別，“資源保值”，有時稱為“資產(chǎn)保值”。廣義上來看，是關于防止實體資產(chǎn)或資源的減損，無論是因為偷盜、浪費、無效率或是經(jīng)證明僅僅是由于錯誤的經(jīng)營決策一比如以過低的價格銷售產(chǎn)品，不能留住關鍵雇員或無法阻止（他人）冒用商標，或是產(chǎn)生為預期負債。這些主要是經(jīng)營性目標，盡管保值的特定方面可以歸屬于其它類別。一旦應用到法律或法規(guī)的要求，就成為遵從性目標。另一方面，在實體的財務報告中正確地反映資產(chǎn)損失，就代表了報告性目標。當運用在公開報告中時，經(jīng)常使用的是資產(chǎn)保值的較為狹窄的定義，即關于阻止或定期查明未經(jīng)授權獲得、使用或處置實體的資產(chǎn)。企業(yè)風險管理可期望用來提供實現(xiàn)與報告的可靠性、遵守法律法規(guī)相關的目標的合理保證。實現(xiàn)那些類別的目標是處于實體的控制范圍之內，并依賴于實體相關的執(zhí)行效果如何。然而，實現(xiàn)戰(zhàn)略性目標，如獲得特定生產(chǎn)份額，以及經(jīng)營性目標，如成功上馬一條新生產(chǎn)線，并不總是在實體的控制中。盡管企業(yè)風險管理不能防止錯誤的判斷或決策，或可能導致業(yè)務無法實現(xiàn)經(jīng)營性目標的外在事件，它確實增加了管理部門做出更優(yōu)決策的可能性。關于這些目標，企業(yè)風險管理能夠合理地確保管理部門，及予以關注的董事會，能及時了解實體接近實現(xiàn)目標的程度。企業(yè)風險管理的組成部分企業(yè)風險管理由八個相互關聯(lián)的部分組成，源于管理部門經(jīng)營業(yè)務的方式，并與管理過程融合在一起。這些組成部分是：內部環(huán)境一管理部門提出風險的研究并確立風險偏好。內部環(huán)境建立實體人員如何看待風險和進行控制的基礎。任何業(yè)務的核心是置于其中的人——他們的個體本性，包括誠信、道德觀和能力，以及人們從事經(jīng)營的環(huán)境。他們是驅動實體及基礎的發(fā)動機，如何事情都依賴于該基礎。目標設定一目標必須在管理部門識別可能影響其實現(xiàn)的事件之前存在。企業(yè)風險管理確保管理部門以適當?shù)某绦蛟O定目標，并且所選定的目標支持并與實體的使命或展望一致，同時與實體的風險偏好相符。事件識別一（管理部門）必須識別出可能會對實體產(chǎn)生影響的潛在事件。事件識別包括識別原因一內在及外在的，這些因素會對潛在事件如何影響戰(zhàn)略執(zhí)行及目標實現(xiàn)產(chǎn)生作用。還包括區(qū)分代表風險的潛在事件，代表機遇的潛在事件，以及兩者都代表的潛在事件。管理部門識別潛在事件之間的相互關系，并對其分類，是為了在實體內創(chuàng)造并加強頁腳內容f一種普遍的風險意識，并形成以組合觀來考慮風險的基礎。風險評估一對識別出的風險進行評估，是為了形成一個決定如何對其實施管理的基礎。風險是與可能會受到影響的有關目標相關聯(lián)的。風險是在內部及剩余的基礎上進行評估，該評估同時會考慮到風險可能性及影響。一系列可能結果也許會和一項潛在事件相關，管理部門就需要把兩者結合起來考慮。風險反應——管理部門根據(jù)戰(zhàn)略和目標選擇一種方法或一套行為，使所評估的風險與實體的風險偏好一致。（管理）人員識別并評價對風險的可能反應，包括規(guī)避、接受、降低和分配風險?？刂苹顒右唤⒑蛨?zhí)行政策及程序，是為了有助于確保管理部門選擇的應對風險（方式）能得到有效實行。信息和交流一通過以某種形式和時間結構識別、掌握并交流信息，可以使人們能夠履行責任。在實體的所有層面都需要信息來識別、評估并應對風險。在更廣泛的意義上也需要有效的交流在實體上上下下流動。人們需要接收關于作用和職責的明晰的交流。監(jiān)管——整個企業(yè)風險管理必須得到監(jiān)管，而且要有必要的調整。這樣，該系統(tǒng)可以充滿活力，并在條件保證下轉變。監(jiān)管是通過持續(xù)的管理活動，分開的對企業(yè)風險管理過程的評價，或把兩者結合起來，而實現(xiàn)的。企業(yè)風險管理是一個動態(tài)的過程。例如，風險評估驅動風險反應，影響控制活動，激起重新考慮信息和交流或實體監(jiān)管活動的需求。這樣，企業(yè)風險管理不是一個系列過程，即一個組成部分只會對下一個產(chǎn)生影響。而是一個多元化的相互作用的過程，即幾乎任何組成部_分都能夠并將會影響另一個。沒有兩個實體將會或應該以同樣的方式應用企業(yè)風險管理。公司及其企業(yè)風險管理能力和需求，會因行業(yè)及規(guī)模、（企業(yè)）文化及管理哲學而有很大的不同。這樣，盡管所有實體都需要每一個組成部分來維持對其活動的控制，某一公司對企業(yè)風險管理框架的應用一包括所采用的工具和技巧，以及企業(yè)風險管理的作用和職責的分配一與另一公司總會有很大的不同。目標和組成部分之間的關系在實體所努力達到的目標，與代表達到目標所需要的企業(yè)風險管理組成部分之間，有著直接的聯(lián)系。這種關系可以用一個三維圖形來描繪，如圖2.1中的立方體所示。四個目標類別一戰(zhàn)略性、經(jīng)營性、報告性及遵從性一由縱欄表示，八個組成部分由橫行表示，實體及其單元由模型的第三維表示。每一組成部分，橫穿”并適用于所有四個目標類別。例如，來源于內部和外部渠道的財務及非財務信息，這屬于信息和交流部分，在戰(zhàn)略制訂、有效管理業(yè)務經(jīng)營、有效報告和判定實體遵守適用法律中都有所需要。類似地，從目標類別來看，所有八個組成部分與每一類別都相關。以經(jīng)營效果及效率這一類別為例，所有八個組成部分對其實現(xiàn)都適用，并且重要。企業(yè)風險管理與整體企業(yè)，或與單個經(jīng)營單元相關。這一關系由第三維描述，表示子公司、分支機構和其它經(jīng)營單元。這樣就可以專注于模型中的任一部分。比如，要考慮頂部右邊后面的部分，它代表與特定子公司的遵從目標相關聯(lián)的內部環(huán)境。應該認識到，四欄代表的是企業(yè)目標的類別，而不是實體的部分或單元。這樣，在考慮比如說與報告相關的目標類別時，需要了解關于實體經(jīng)營頁腳內容f的廣泛信息，但如果是那樣的話，要注意的是模型的右中『報告性目標一而不是經(jīng)營性目標一欄。圖2.2擴展了立方體組成部分行，以顯示每一組成部分的關鍵要素，以及哪些組成部分代表一個過程流。盡管企業(yè)風險管理框架與所有實體相關且適用，管理部門應用企業(yè)風險管理的方式卻隨著實體性質和許多實體特有因素而有很大的不同。這些因素包括實體的經(jīng)營模式，大體風險，所有權結構，經(jīng)營環(huán)境，規(guī)模，復雜性，行業(yè)和監(jiān)管程度，以及其它。當考慮到實體的特有情形，管理部門進行一系列的選擇，都要顧及到被展開來應用企業(yè)風險管理框架組成部分的過程和方法的復雜性。管理部門可能會在某些經(jīng)營單元或程序或企業(yè)風險管理組成部分中選用復雜的方法和技巧，而在其它地方?jīng)Q定運用更基本的方法。有效性盡管企業(yè)風險管理是一個過程，其有效性是在某一時點上的狀態(tài)或情形。判定企業(yè)風險管理是否“有效”是一種主斷言，取決于評估八個組成部分是否存在及真正發(fā)揮作用。要被認定為有效，所有八個組成部分都必須存在且發(fā)揮作用。然而，這并不意味著在不同實體中，每一個組成部分都應該發(fā)揮同樣的作用，或者甚