COSO企業(yè)風(fēng)險管理整體框架

1、COSO： Enterprise Risk Management FrameworkCOS企業(yè)風(fēng)險管理整體框架概覽一些公司和企業(yè)的管理者已經(jīng)在企業(yè)內(nèi)部建立了一系列確認和管理風(fēng)險的過程， 現(xiàn)在有許多企業(yè)也已經(jīng)開始或正在考慮建立自己的確認和管理風(fēng)險的過程。 雖然管理者 已經(jīng)掌握了大量的企業(yè)風(fēng)險管理的信息 （包括大量公開出版的文獻） ，但實務(wù)中卻并不 存在統(tǒng)一的術(shù)語，而且也很少有普遍接受的原則可供管理者在構(gòu)建一個有效的風(fēng)險管理 框架時作為指南。COSO委員會已經(jīng)認識到對企業(yè)風(fēng)險管理概念性指南的需要，因而該委員會發(fā)起了一個建立一個概念性的、適當(dāng)?shù)娘L(fēng)險管理框架的計劃，旨在支持企業(yè)建立或評判企業(yè) 風(fēng)險管理

2、過程的項目提供完整的原則、能用的術(shù)語和實務(wù)操作指南。另一相關(guān)的目標 是使構(gòu)建的這個框架可以作為管理者、董事、主管人員、學(xué)者和其他相關(guān)人員更好地 理解企業(yè)風(fēng)險管理及其優(yōu)點和局限性提供一個統(tǒng)一的基礎(chǔ)，以便在風(fēng)險管理問題方面 進行有效地交流。本概覽列出了企業(yè)風(fēng)險管理框架的關(guān)鍵內(nèi)容，包括企業(yè)風(fēng)險管理的定義、內(nèi)容和 基本原則，風(fēng)險管理的優(yōu)點、局限性以及各相關(guān)方的地位和職責(zé)。本概覽還強調(diào)企業(yè) 風(fēng)險管理的相關(guān)性和其與COSO內(nèi)部控制報告的關(guān)系。如果想更加深入地了解有關(guān)知 識，請看企業(yè)風(fēng)險管理框架的全文。一）企業(yè)風(fēng)險管理的相關(guān)性企業(yè)風(fēng)險管理的基本前提是每一個企業(yè)，無論是盈利組織、非盈利組織，還是政府 機構(gòu)，其

3、存在的目的都是為其利益相關(guān)方帶來價值。 所有的企業(yè)都要面對不確定性。 對 企業(yè)管理者而言， 所面臨的挑戰(zhàn)是在追求企業(yè)利益相關(guān)方價值增長的同時， 決定企業(yè)準備接受的不確定性的程度。 不確定性既代表風(fēng)險， 也代表機遇， 既存在使企業(yè)增值的可 能，也存在使企業(yè)減值的風(fēng)險。 風(fēng)險管理框架就是為管理者提供一個框架， 使其能夠有 效處理不確定性及相應(yīng)的風(fēng)險和機遇，進而提高企業(yè)創(chuàng)造價值的能力。1不確定性企業(yè)經(jīng)營的環(huán)境中有許多因素都會給企業(yè)帶來不確定性，如全球化、技術(shù)、法規(guī)、 企業(yè)重構(gòu)、多變的市場以及競爭等。不確定性來源于無法明確地決定潛在事項將要發(fā) 生的可能性及其相應(yīng)結(jié)果。2價值從戰(zhàn)略的制定到企業(yè)的日常經(jīng)營

4、，管理者的決策會創(chuàng)造、保持或減少企業(yè)的價值。1決策的本質(zhì)就是確認風(fēng)險和機遇，它要求企業(yè)的管理 應(yīng)在考慮企業(yè)內(nèi)、外部環(huán)境的因 素的基礎(chǔ)上，對企業(yè)的稀缺資源進行配置，并且根據(jù)環(huán)境的不斷變化來調(diào)整企業(yè)的活 動。？當(dāng)企業(yè)的利益相關(guān)方取得其相應(yīng)價值的可確認收益時，企業(yè)的價值也得到實現(xiàn)。對于公司而言，當(dāng)股東承認由于股價上揚所帶來的價值時，他們也就承認了企業(yè)的價值。對于政府機構(gòu)，當(dāng)該機構(gòu)以一個可接受的成本所提供的服務(wù)的收益得到確認時， 機構(gòu)的價值就得以實現(xiàn)。對于非盈利組織的利益相關(guān)方而言，當(dāng)他們確認組織所提供的社會福利的價值時，他們也就承認了該組織的價值。企業(yè)風(fēng)險管理使管理者能夠創(chuàng) 造持久的價值并能夠?qū)?chuàng)造

5、價值的信息傳遞給利益相關(guān)方。11 在本部分和以后的討論中一旦使用“管理”一詞，其意思包括非管理人員執(zhí)行的許多 企業(yè)風(fēng)險管理活動。3企業(yè)風(fēng)險管理的優(yōu)點所有企業(yè)都是在有風(fēng)險的環(huán)境下經(jīng)營，而不是企業(yè)風(fēng)險管理使企業(yè)面臨這樣的環(huán)境。 企業(yè)風(fēng)險管理是使管理者能夠在充滿風(fēng)險的環(huán)境中更加有效地經(jīng)營。企業(yè)風(fēng)險管理使企業(yè)的管理者能夠：1）將風(fēng)險偏好和企業(yè)的戰(zhàn)略結(jié)合在一起。從廣義來講，風(fēng)險偏好是一個公司或企業(yè)在追求其目標的過程中愿意接受的風(fēng)險的 程度。管理者在評估企業(yè)的戰(zhàn)略方案時首先要考慮企業(yè)的風(fēng)險偏好， 其后，在制定與企 業(yè)戰(zhàn)略相對應(yīng)的目標和建立一定的機制管理相應(yīng)的風(fēng)險時也應(yīng)考慮企業(yè)的風(fēng)險偏好。2）將企業(yè)成長、風(fēng)

6、險和收益聯(lián)系起來經(jīng)濟主體在企業(yè)價值保值、增值的過程中也要接受相應(yīng)的風(fēng)險，同時預(yù)期補償風(fēng)險 的相應(yīng)收益。 企業(yè)風(fēng)險管理提高了企業(yè)確認和評估風(fēng)險的能力， 進而使企業(yè)能夠確定相 對于企業(yè)成長性和收益目標而言的風(fēng)險的可接受水平。3）增加風(fēng)險反應(yīng)決策企業(yè)風(fēng)險管理提供了確認和選擇不同的風(fēng)險反應(yīng)方案的嚴格標準。 企業(yè)的風(fēng)險反應(yīng) 方案包括風(fēng)險規(guī)避、 風(fēng)險降低、 風(fēng)險共擔(dān)和風(fēng)險接受。 企業(yè)風(fēng)險管理提供了進行相關(guān)決 策的方法和技術(shù)。4）使企業(yè)的經(jīng)營意外和損失最小化經(jīng)濟主體可能提高確認潛在事項、評估風(fēng)險和明確反應(yīng)方案，最后減少經(jīng)營意外的 出現(xiàn)次數(shù)以及減少相應(yīng)的成本或損失。5）確認和管理企業(yè)的總體風(fēng)險每一個經(jīng)濟主體都

7、面臨著許多風(fēng)險，而不同的風(fēng)險會影響企業(yè)經(jīng)營的各個方面。管 理不僅需要對每一種風(fēng)險進行管理，還需要了解風(fēng)險對企業(yè)總體的影響。6）針對多重風(fēng)險提供完整的反應(yīng)方案企業(yè)的經(jīng)營過程存在許多內(nèi)在的風(fēng)險， 企業(yè)風(fēng)險管理就是為管理風(fēng)險提供一整套解決方案。7）抓住機遇管理不僅要考慮風(fēng)險，還需要考慮潛在的事項對企業(yè)的影響。對潛在事項有一個完 整的了解可以使管理對每一潛在事項表明何種機遇有一個了解。8）合理分配資金關(guān)于企業(yè)總體風(fēng)險的更為明確的信息可以使企業(yè)的管理者能夠更加有效地評估企業(yè)總體的資金需要，改進企業(yè)的資金配置。企業(yè)風(fēng)險管理本身并不是目的，它僅僅是實現(xiàn)目的的一種方式。它不能、也無法在 一個經(jīng)濟主體內(nèi)單獨運行

8、， 而是企業(yè)管理過程的一個推動器。 企業(yè)風(fēng)險管理向董事會提 供最重要的風(fēng)險的信息以及這些風(fēng)險應(yīng)如何管理的建議， 進而與公司治理相聯(lián)系。 而且， 風(fēng)險管理與企業(yè)的績效管理也有關(guān)， 風(fēng)險管理通過提供風(fēng)險調(diào)節(jié)的措施和內(nèi)部控制來幫 助企業(yè)的績效管理。內(nèi)部控制是企業(yè)風(fēng)險管理的一部分。風(fēng)險管理幫助一個經(jīng)濟主體實現(xiàn)其經(jīng)營和利潤目標、防止資源的浪費。它還有助于 確保企業(yè)報告的有效性。 此外，企業(yè)風(fēng)險管理還有助于保證企業(yè)遵守有關(guān)的法律、 法規(guī)， 避免其聲譽受損并防止產(chǎn)生相應(yīng)的不良后果。 總之，企業(yè)風(fēng)險管理可以幫助一個經(jīng)濟主 體實現(xiàn)其目標、及在實現(xiàn)目標的過程中避開陷井和防止意外的發(fā)生。二）企業(yè)風(fēng)險管理的定義企業(yè)風(fēng)

9、險管理是企業(yè)的董事會、管理層和其他員工共同參與的一個過程，應(yīng)用于企業(yè)的戰(zhàn)略制定和企業(yè)的各個部門和各項經(jīng)營活動，用于確認可能影響企業(yè)的潛在事項并在其風(fēng)險偏好范圍內(nèi)管理風(fēng)險， 對企業(yè)目標的實現(xiàn)提供合理的保證。這一定義反映了一些基本概念：1.企業(yè)的風(fēng)險管理是一個過程一一其本身并不是一個目的，而是實現(xiàn)目的的一種方式。1 2.風(fēng)險管理受人的影響它不只是企業(yè)的政策、調(diào)查和表格，還涉及一個企業(yè) 各個層次員工。13風(fēng)險管理也適用于企業(yè)戰(zhàn)略制定過程。4企業(yè)風(fēng)險管理應(yīng)在整個企業(yè)范圍內(nèi)應(yīng)用， 在每一個經(jīng)營層面和每一個單位內(nèi)應(yīng)用，并應(yīng)以一種企業(yè)總體的風(fēng)險組合的觀點來看待。15風(fēng)險管理的設(shè)計應(yīng)有助于確認會對企業(yè)造成潛在

10、影響的事項并確保在企業(yè)風(fēng)險偏好的范圍內(nèi)管理企業(yè)的風(fēng)險。6 風(fēng)險管理僅為企業(yè)的管理者和董事會提供合理的保證。7企業(yè)風(fēng)險管理的目標是幫助企業(yè)一類或幾類單獨并相互重疊的目標的實現(xiàn)。從廣義上定義這一概念主要有幾個原因：這一定義應(yīng)包括公司和其他企業(yè)管理風(fēng) 險的幾個基本概念，并可以應(yīng)用于各種組織、行業(yè)和部門。它直接針對企業(yè)目標的實 現(xiàn)。此外，這一定義應(yīng)為定義企業(yè)風(fēng)險管理的有效性提供一個基礎(chǔ)。上述基本概念詳 細論述如下：1一個過程企業(yè)的風(fēng)險管理并不是一個事項或環(huán)境，而是滲透于企業(yè)各項活動中一系列行動。這些行動普遍存在于管理者對企業(yè)的日常管理中，是企業(yè)日常管理所固有的。一些人認為，企業(yè)風(fēng)險管理對企業(yè)的各項活動

11、而言是多余的，是企業(yè)必須承擔(dān)的一 個負擔(dān)，但COSO勺討論稿則并不這樣認為。但有效的企業(yè)風(fēng)險管理仍舊需要企業(yè)各管 理層不懈的努力。 例如，風(fēng)險評估要求企業(yè)不斷地努力來建立必要的評估模型并進行必 要的分析和計算。但是，這些以及其他的企業(yè)風(fēng)險管理機制與企業(yè)的經(jīng)營活動是并存的，是由于最基本的商業(yè)原因而存在的。 當(dāng)企業(yè)風(fēng)險管理機制成為企業(yè)的基礎(chǔ)設(shè)施并真正成 為企業(yè)的一部分時， 企業(yè)的風(fēng)險管理會最有效。 通過建立風(fēng)險管理， 企業(yè)可以直接提高 自身的戰(zhàn)略執(zhí)行能力，并提高企業(yè)預(yù)期和任務(wù)的實現(xiàn)能力。建立風(fēng)險管理對企業(yè)的成本構(gòu)成同樣有重要的影響，特別是在目前大多數(shù)企業(yè)都 面臨高度競爭的市場環(huán)境的情況下。在現(xiàn)有工

12、序的基礎(chǔ)上增加新的工序會增加成本， 而通過關(guān)注現(xiàn)有的經(jīng)營過程以及他們對實現(xiàn)有效風(fēng)險管理的貢獻，并將風(fēng)險管理整合 到企業(yè)的基本經(jīng)營活動之中，一個企業(yè)就能夠避免不必要的工序和成本。并且，將風(fēng) 險管理整合到企業(yè)日常的經(jīng)營過程中有助于管理者抓住企業(yè)發(fā)展的新機遇。2受人的影響企業(yè)的風(fēng)險管理會受董事會、管理層和其他人員的影響，風(fēng)險管理是通過組織內(nèi)的 人來完成的，是通過人的所做和所說實現(xiàn)的。是企業(yè)內(nèi)的人制定企業(yè)的任務(wù) / 預(yù)期，戰(zhàn) 略和目標，并實施企業(yè)的風(fēng)險管理機制。同樣，企業(yè)風(fēng)險管理也影響人的行動。企業(yè)風(fēng)險管理要認識到人對事物的理解、溝 通或執(zhí)行并不總是一致的。 企業(yè)中的每個人都有不同的背景和技術(shù)能力，

13、都有不同的需 求和優(yōu)勢。這些因素都會影響企業(yè)的風(fēng)險管理，也會受風(fēng)險管理的影響。每個人的出發(fā)點都不 同，這會影響他們對風(fēng)險的確認、評估和反應(yīng)。企業(yè)風(fēng)險管理就是要提供了一個機制， 幫助人們從企業(yè)總體目標的角度認識風(fēng)險。企業(yè)的員工必須了解他們自己的職責(zé)和權(quán) 限。因此，除了要明確員工的職責(zé)和企業(yè)的戰(zhàn)略和目標之間的聯(lián)系之外， 還要明確員工 的職責(zé)和他們履行職責(zé)的方式之間的聯(lián)系。一個組織的員工包括董事會成員、管理者和其他人員。盡管企業(yè)的董事主要負責(zé) 監(jiān)督，但是他們同時也向管理者提供指導(dǎo)， 核準企業(yè)的戰(zhàn)略、 某些活動和政策。 因此， 董事會是企業(yè)風(fēng)險管理的重要組成部分之一。3可應(yīng)用于企業(yè)戰(zhàn)略的制定一個企業(yè)要

14、確定其預(yù)期或任務(wù)，并制定其戰(zhàn)略目標。企業(yè)的戰(zhàn)略目標是企業(yè)最高 層次的目標，它與企業(yè)的預(yù)期和任務(wù)相聯(lián)系并支持預(yù)期和任務(wù)的實現(xiàn)。一個企業(yè)為實 現(xiàn)其戰(zhàn)略目標而制定戰(zhàn)略方案，并將戰(zhàn)略方案分解成相應(yīng)的目標，再將目標層層分解 到企業(yè)的各業(yè)務(wù)部門、行政部門和生產(chǎn)線。在制定企業(yè)的戰(zhàn)略方案時，管理者應(yīng)考慮 與不同的戰(zhàn)略方案相關(guān)的風(fēng)險。4應(yīng)用于整個企業(yè)為使企業(yè)的風(fēng)險管理獲得成功， 一個企業(yè)必須從全局， 從企業(yè)總體層面上考慮企 業(yè)的活動。企業(yè)的風(fēng)險管理應(yīng)考慮組織內(nèi)所有層面的活動，從企業(yè)總體的活動（如 戰(zhàn)略計劃和資源分配）到各業(yè)務(wù)部門的活動（如市場部、人力資源部），到各業(yè)務(wù) 流程（如生產(chǎn)過程和新客房信用審核）等等。企

15、業(yè)風(fēng)險管理還可用于特定項目和新 的行動計劃，盡管該項目或計劃可能在企業(yè)的管理流程或組織流程圖中尚無明確的 定位。企業(yè)風(fēng)險管理要求企業(yè)以風(fēng)險組合的觀點看待風(fēng)險。這會要求企業(yè)內(nèi)負責(zé)各業(yè)務(wù) 部門、行政部門、生產(chǎn)流程或其他活動的管理者對本部門的風(fēng)險進行評估。這些評估 可以是定量的，也可以是定性的。企業(yè)的高級管理者應(yīng)以一種組合的觀點看待企業(yè)內(nèi) 每個下級層面的風(fēng)險，以決定企業(yè)總的風(fēng)險組合是否與企業(yè)的風(fēng)險偏好相對應(yīng)。管理者應(yīng)以總體的組合觀來考慮相關(guān)風(fēng)險。 對相關(guān)的風(fēng)險應(yīng)予確認并采取措施使 承擔(dān)的風(fēng)險落在企業(yè)風(fēng)險偏好的范圍內(nèi)。對企業(yè)內(nèi)部每個單位的風(fēng)險而言，可能都 落在該部門的風(fēng)險容忍度的范圍內(nèi)，但從總體來看，

16、合并后的風(fēng)險可能超過了企業(yè) 總體的風(fēng)險偏好。企業(yè)總的風(fēng)險偏好應(yīng)通過對特定目標確立相應(yīng)的風(fēng)險容忍度的方 式在企業(yè)內(nèi)部向下貫徹。5風(fēng)險偏好風(fēng)險偏好是指一個企業(yè)在追求價值最大化的同時所愿意接受的風(fēng)險的數(shù)量。 企業(yè) 通常采用定性的方法分析風(fēng)險偏好，將風(fēng)險偏好分為高、中、低三類；或者采用定 量的方法分析風(fēng)險偏好，反映出企業(yè)的成長性、收益性和風(fēng)險目標，并在三個目標 之間進行平衡。風(fēng)險偏好與企業(yè)的戰(zhàn)略直接相關(guān)。 在制定戰(zhàn)略時應(yīng)考慮企業(yè)的風(fēng)險偏好， 并將戰(zhàn) 略的預(yù)期收益與企業(yè)的風(fēng)險偏好聯(lián)系起來考慮。不同的戰(zhàn)略會給企業(yè)帶來不同的風(fēng) 險，在戰(zhàn)略制定時應(yīng)用風(fēng)險管理，其目的是幫助管理者選擇與企業(yè)的風(fēng)險偏好相一 致的戰(zhàn)

17、略。企業(yè)的風(fēng)險偏好指導(dǎo)企業(yè)的資源配置。 管理者在各業(yè)務(wù)部門間分配資源時應(yīng)考慮 企業(yè)的風(fēng)險偏好和各個業(yè)務(wù)部門為取得預(yù)期的收益率所采用的戰(zhàn)略。管理者應(yīng)將企 業(yè)的風(fēng)險偏好與企業(yè)的組織結(jié)構(gòu)、人員和業(yè)務(wù)流程聯(lián)系起來考慮，并應(yīng)建立對風(fēng)險 有效反應(yīng)和監(jiān)督的必要的硬件設(shè)施。風(fēng)險容忍度是與要實現(xiàn)的目標相關(guān)的偏差的可接受程度。在確定某一特定的風(fēng)險 容忍度時，管理者應(yīng)考慮相關(guān)目標的相對重要性并將風(fēng)險容忍度與企業(yè)的風(fēng)險偏好聯(lián) 系在一起。在風(fēng)險容忍度的范圍之內(nèi)經(jīng)營更能夠保證企業(yè)所承受的風(fēng)險在其風(fēng)險偏好 的范圍內(nèi)。反過來，就能夠?qū)ζ髽I(yè)目標的實現(xiàn)提供更高程度的保證。6提供合理保證設(shè)計合理、運行有效的風(fēng)險管理能夠向企業(yè)的管理

18、者和董事會在企業(yè)目標的實現(xiàn)上提供 合理的保證。如果企業(yè)的風(fēng)險管理有效，董事會和管理者在以下幾個方面得到合理的保證：了解企業(yè)戰(zhàn)略目標實現(xiàn)的程度；了解企業(yè)經(jīng)營目標實現(xiàn)的程度；企業(yè)報告的可靠性；相關(guān)的法律和法規(guī)遵守的情況。合理保證”反映了“不確定性和風(fēng)險都是與未來相關(guān)， 而未來是沒有人可以確切地預(yù)測的”這一思想。這種局限性的其他原因包括：人們在進行決策時的判斷可 能出錯；對風(fēng)險反應(yīng)的決策和所建立的控制需要考慮成本效益原則；由于人們的簡 單失誤或錯誤可能導(dǎo)致的企業(yè)破產(chǎn)；可能由于兩個或多個人的串通而繞過控制；管 理者可能忽視企業(yè)的風(fēng)險管理決策等等。這些限制使得董事會和管理者無法在企業(yè) 目標實現(xiàn)方面得到絕

19、對保證。7目標的實現(xiàn)有效的風(fēng)險管理應(yīng)該能夠為企業(yè)目標的實現(xiàn)提供合理的保證，包括報告的可靠 性、合法合規(guī)性目標等等。這兩類目標的實現(xiàn)都是在企業(yè)的控制范圍內(nèi)，其實現(xiàn)依 賴于相關(guān)活動執(zhí)行的好壞。但是，戰(zhàn)略目標和經(jīng)營目標的實現(xiàn)并不總是在企業(yè)的控制范圍內(nèi)。 對于這兩類目標，企業(yè)風(fēng)險管理只能合理保證管理者和董事會從宏觀上及時了解企業(yè)目標實現(xiàn)的 進度。三）企業(yè)風(fēng)險管理的組成要素根據(jù)管理者經(jīng)營的方式劃分， 企業(yè)風(fēng)險管理包括八個相互關(guān)聯(lián)的組成要素， 這八 個要素滲透于企業(yè)管理的過程之中，包括：1內(nèi)部環(huán)境企業(yè)的內(nèi)部環(huán)境是其他所有風(fēng)險管理要素的基礎(chǔ)，為其他要素提供規(guī)則和結(jié)構(gòu)。內(nèi)部環(huán)境影響企業(yè)戰(zhàn)略和目標的制定、業(yè)務(wù)活

20、動的組織和風(fēng)險的識別、評估和執(zhí)行等等。它還影響企業(yè)控制活動的設(shè)計和執(zhí)行、信息和溝通系統(tǒng)以及監(jiān)控活動。內(nèi)部環(huán)境 包含很多內(nèi)容，包括企業(yè)員工的道德觀和勝任能力、 人員的培訓(xùn)、管理者的經(jīng)營模式、 分配權(quán)限和職責(zé)的方式等。董事會是內(nèi)部環(huán)境的一個重要組成部分，對其他內(nèi)部環(huán)境 的組成內(nèi)容有重要的影響。而企業(yè)的管理者也是內(nèi)部環(huán)境的一部分，其職責(zé)是建立企 業(yè)的風(fēng)險管理理念、確定企業(yè)的風(fēng)險偏好，營造企業(yè)的風(fēng)險文化，并將企業(yè)的風(fēng)險管 理和相關(guān)的行動計劃結(jié)合起來。讓企業(yè)所有員工了解企業(yè)的風(fēng)險管理理念有利于提高雇員確認和有效管理風(fēng)險的 能力。風(fēng)險管理理念是企業(yè)對風(fēng)險的信念，是企業(yè)選擇處理其活動和風(fēng)險的方式。它 反映了

21、一個企業(yè)期望從企業(yè)的風(fēng)險管理獲得一定的價值。這一理念還會影響企業(yè)風(fēng)險 管理要素的應(yīng)用方式。管理者應(yīng)將其風(fēng)險管理理念通過政策說明書和其他溝通方式向 企業(yè)的員工宣傳。更重要的是，管理者不應(yīng)僅僅是在紙面上強調(diào)風(fēng)險管理理念，還應(yīng) 在每天的行動中貫徹執(zhí)行。風(fēng)險偏好由企業(yè)的管理者設(shè)定，董事會復(fù)核，是企業(yè)制定戰(zhàn)略的一個控制指標。通常為了實現(xiàn)某一個預(yù)定的增長或收益目標，企業(yè)可以制定許多不同的戰(zhàn)略，而每 一個戰(zhàn)略都具有不同的風(fēng)險。在戰(zhàn)略制定過程中，風(fēng)險管理有助于管理者選擇與企 業(yè)的風(fēng)險偏好相一致的戰(zhàn)略方案。管理者期望將企業(yè)的組織結(jié)構(gòu)、人員、生產(chǎn)過程 與硬件設(shè)施整合在一起，使得在戰(zhàn)略的成功執(zhí)行的同時將風(fēng)險控制在風(fēng)

22、險偏好的范 圍內(nèi)。風(fēng)險文化是企業(yè)員工共同的態(tài)度、 價值觀和實務(wù)操作程序的組合， 表明企業(yè)在其 日?；顒又锌创L(fēng)險的方式。對于許多公司而言，風(fēng)險文化來自于企業(yè)的風(fēng)險理念 和風(fēng)險偏好。對那些不能明確界定其風(fēng)險理念的企業(yè)，其風(fēng)險文化的形成可能是隨 機的，而導(dǎo)致一個企業(yè)內(nèi)存在明顯不同的風(fēng)險文化，甚至在一個業(yè)務(wù)部門、行政部 門中都有可能存在明顯不同的風(fēng)險文化。2目標制定根據(jù)企業(yè)確定的任務(wù)或預(yù)期，管理者確定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略方案，確定相關(guān)的 子目標并在企業(yè)內(nèi)層層分解和落實， 各子目標都應(yīng)遵循企業(yè)的戰(zhàn)略方案并與戰(zhàn)略方案 相聯(lián)系。在能夠確定對目標的實現(xiàn)有潛在影響的事項之前， 管理者就應(yīng)確定企業(yè)的目 標。

23、而企業(yè)風(fēng)險管理就是提供給管理者一個適當(dāng)?shù)倪^程，既能夠制定企業(yè)的目標， 又 能夠?qū)⒛繕伺c企業(yè)的任務(wù)或預(yù)期聯(lián)系在一起， 并且這些目標還與企業(yè)的風(fēng)險偏好相一 致。企業(yè)的目標可以分為四類：戰(zhàn)略目標 是企業(yè)的高層次目標，與企業(yè)的任務(wù)和預(yù)期相聯(lián)系并支持企業(yè)的任 務(wù)和預(yù)期的實現(xiàn)。經(jīng)營目標 是指企業(yè)經(jīng)營的效率性和效果性，包括經(jīng)營業(yè)績目標和盈利能力目 標，由于管理者對企業(yè)結(jié)構(gòu)和經(jīng)營的不同選擇，各企業(yè)的經(jīng)營目標也不盡相同。報告目標 指企業(yè)報告的有效性，包括企業(yè)內(nèi)部和外部的報告，既包括財務(wù)信 息，也包括非財務(wù)信息。合法性目標 是指企業(yè)符合相關(guān)的法律和法規(guī)。企業(yè)目標的這種分類可以使企業(yè)的管理者和董事會注意企業(yè)風(fēng)險管理

24、的不同方 面。企業(yè)的某一個特定目標可能不僅僅屬于某一類目標。企業(yè)的這些目標既相互區(qū)別 但又相互重疊，可以明確企業(yè)的不同需要，并且可以分派給企業(yè)的某一個執(zhí)行官作為 其直接職責(zé)。這種分類還可以區(qū)分企業(yè)不同類別目標的期望之間的區(qū)別。某些企業(yè)還有另一類目標一一“資源的安全”，有時也叫“資產(chǎn)的安全”。從廣 義上看，這一目標是防止企業(yè)資產(chǎn)或資源的流失，這種流失可以是由于偷竊、浪費、經(jīng)營的無效性， 也可以是由于企業(yè)商業(yè)上簡單的錯誤決策 (如以過低的價格出售產(chǎn)品、沒有留住企業(yè)的關(guān)鍵員工、沒有阻止對本企業(yè)專利權(quán)的侵害行為，或者是出現(xiàn)未預(yù)期的負債等等)所引起的流失。對某種報告目的而言，這種廣義的資產(chǎn)安全類目標可能

25、是一個狹義的定義，此時的資產(chǎn)安全概念可以僅僅指預(yù)防或及時發(fā)現(xiàn)對企業(yè)資產(chǎn)的未經(jīng)授權(quán)的購買、使用或處置。3事項識別 (Event Identification)管理者意識到了不確定性的存在，即管理者不能確切地知道某一事項是否會發(fā)生、何時發(fā)生或者如果發(fā)生其結(jié)果如何。作為事項識別的部分，管理者應(yīng)考慮會影響事項發(fā)生的各種企業(yè)內(nèi)外部的因素。外部因素包括經(jīng)濟、商業(yè)、自然環(huán)境、政治、社會和技術(shù)因素等， 內(nèi)部因素反映出管理者所做的選擇，包括企業(yè)的基礎(chǔ)設(shè)施、 人員、生產(chǎn)過程和技術(shù)等事項。一個企業(yè)事項識別的方法可以包含不同的技術(shù)及其與相應(yīng)的工具的組合。事項識別技術(shù)既針對過去， 又針對未來。 針對過去的事項和趨勢的識

26、別技術(shù)主要要考慮類似支付錯誤的歷史、商品價格的變化和浪費時間的突發(fā)事件( Lost-time accidents )等事項，而針對未來風(fēng)險的技術(shù)則主要考慮不斷變化的人口統(tǒng)計資料、 新市場和競爭者的行為等事項。將潛在的事項進行分類對管理者而言是非常有用的。通過在企業(yè)內(nèi)各水平層面上對事項進行匯總、 在營運部門內(nèi)部對事項進行垂直地匯總， 管理者能夠?qū)κ马椫g的相互關(guān)系有一個了解，這些信息也可以作為風(fēng)險評估的基礎(chǔ)。潛在的事項可能對企業(yè)有正面的影響、也可能有負面的影響或者兩種影響同時存在。對企業(yè)有潛在負面影響的事項是企業(yè)的風(fēng)險， 要求企業(yè)的管理者對其進行評估和建立反應(yīng)方案。因此，風(fēng)險的定義就是，某一事項

27、將要發(fā)生的可能性及其對企業(yè)目標的實現(xiàn)造成負面影響的可能性。對企業(yè)有潛在正面影響的事項則是企業(yè)的機遇或者可以彌補風(fēng)險對企業(yè)的負面 影響。機遇可以在企業(yè)戰(zhàn)略或目標制定的過程中加以考慮， 以制定有關(guān)行動抓住機遇?？赡軓浹a風(fēng)險對企業(yè)負面影響的事項則應(yīng)在管理者對風(fēng)險進行評估和反應(yīng)的階段予 以考慮。4風(fēng)險評估風(fēng)險評估可以使企業(yè)了解潛在事項如何影響企業(yè)目標的實現(xiàn)。 管理者應(yīng)從兩個方 面對風(fēng)險進行評估風(fēng)險發(fā)生的可能性和影響。風(fēng)險發(fā)生的可能性是指某一特定事項發(fā)生的可能性，影響則是指事項的發(fā)生將會 帶來的影響。 對風(fēng)險發(fā)生的可能性和影響的估計經(jīng)常需要使用從過去的可觀察事項得 到的數(shù)據(jù)，這比沒有任何數(shù)據(jù)的、完全的主

28、觀估計要客觀得多。根據(jù)企業(yè)自己的經(jīng)驗 在企業(yè)內(nèi)部產(chǎn)生的數(shù)據(jù)帶有較少的人的主觀偏見，能夠得到比外部數(shù)據(jù)更好的結(jié)果。但是，即使是以內(nèi)部數(shù)據(jù)作為主要的資料來源，外部數(shù)據(jù)仍能用作一個檢查標準或者 改進分析。當(dāng)使用過去數(shù)據(jù)對未來進行預(yù)測時使用者必須小心，因為影響過去事項的 有關(guān)因素可能會隨著時間的推移而改變。一個企業(yè)風(fēng)險評估的方法通常是定量方法和定性分析技術(shù)的組合。 當(dāng)風(fēng)險本身無 法量化時，或者量化評估所要求充足的可靠的數(shù)據(jù)實際不可獲得或者數(shù)據(jù)獲得或分 析不符合成本效益原則時，管理者通常會采用定性的分析技術(shù)。定量的分析技術(shù)通 常更加精確，一般用于更為復(fù)雜多變的活動，作為定性分析的補充。一個企業(yè)不需 要在

29、每個業(yè)務(wù)部門都使用同樣的評估技術(shù)。相反，對評估技術(shù)的選擇應(yīng)反映出對精 確性的需要和該業(yè)務(wù)部門的文化。在任何情況下，各業(yè)務(wù)部門所使用的評估技術(shù)應(yīng) 有利于企業(yè)在整個企業(yè)的范圍內(nèi)對風(fēng)險的評估。在衡量目標的實現(xiàn)程度時，管理者經(jīng)常使用業(yè)績計量指標。當(dāng)考慮某一風(fēng)險對實 現(xiàn)某一特定目標的潛在影響時，使用這些計量指標同樣有效。管理者可以評估各事項之間的關(guān)系， 因為一系列相互關(guān)聯(lián)的事項結(jié)合起來會使得事項的發(fā)生概率或事項的影 響發(fā)生重大變化。雖然一個單一事項的影響可能很小，但是這樣一系列事項則可能對 企業(yè)造成重大影響。各潛在事項之間可能并不直接相關(guān)，這時管理者可以分別對其進 行評估，但是當(dāng)某些風(fēng)險可能在企業(yè)的多個

30、業(yè)務(wù)部門出現(xiàn)時，管理者可以將所確認的 風(fēng)險歸為一類進行評估。通常一個潛在事項結(jié)果是一個可能的范圍值， 管理者應(yīng)將其作為制定風(fēng)險反應(yīng)方 案的基礎(chǔ)。通過風(fēng)險評估，管理者可以了解潛在事項在整個企業(yè)內(nèi)對企業(yè)的正面和 負面的影響，單個事項或某類事項對企業(yè)的影響。管理者通常只趨于關(guān)注中短期的風(fēng)險，但風(fēng)險應(yīng)在企業(yè)戰(zhàn)略和目標的前提下進行 評估。由于戰(zhàn)略方向和目標的某些要素涉及較長時期，管理者因而應(yīng)從長期的角度認 識風(fēng)險，而不能忽視遠期會影響企業(yè)的風(fēng)險。首先，應(yīng)對企業(yè)的固有風(fēng)險進行評估。 固有風(fēng)險是指管理者在沒有采取任何會改 變風(fēng)險發(fā)生的可能性或影響的管理措施的情況下企業(yè)所面臨的風(fēng)險。一旦確定了對 固有風(fēng)險的風(fēng)

31、險反應(yīng)方案，管理者就可以使用風(fēng)險評估技術(shù)確定企業(yè)的殘留風(fēng)險。殘留風(fēng)險是指管理者采取了有關(guān)風(fēng)險管理措施后應(yīng)存在的風(fēng)險。5風(fēng)險反應(yīng)管理者可以制定不同風(fēng)險反應(yīng)方案，并在風(fēng)險容忍度和成本效益原則的前提下， 考慮每個方案如何影響事項發(fā)生的可能性和事項對企業(yè)的影響，并設(shè)計和執(zhí)行風(fēng)險 反應(yīng)方案?？紤]各風(fēng)險反應(yīng)方案并選擇和執(zhí)行一個風(fēng)險反應(yīng)方案是企業(yè)風(fēng)險管理不 可分割的一部分。有效的風(fēng)險管理要求管理者選擇一個可以使企業(yè)風(fēng)險發(fā)生的可能 性和影響都落在風(fēng)險容忍度范圍之內(nèi)的風(fēng)險反應(yīng)方案。風(fēng)險反應(yīng)可分為規(guī)避風(fēng)險、減少風(fēng)險、共擔(dān)風(fēng)險和接受風(fēng)險四類。規(guī)避風(fēng)險是指采取措施退出會給企業(yè)帶來風(fēng)險的活動。減少風(fēng)險是指減少風(fēng)險發(fā)生的

32、可能性、減少 風(fēng)險的影響或者兩者同時減少。 共擔(dān)風(fēng)險是指通過轉(zhuǎn)嫁或與他人共擔(dān)一部分風(fēng)險來降 低風(fēng)險發(fā)生的可能性或影響。 接受風(fēng)險則是不采取任何改變風(fēng)險發(fā)生的可能性或影響 的行動。作為企業(yè)風(fēng)險管理的一部分，對于每一個重要的風(fēng)險，企業(yè)都應(yīng)按風(fēng)險反應(yīng) 的類型考慮所有的風(fēng)險反應(yīng)方案，這樣有助于風(fēng)險反應(yīng)方案的選擇，這也是對“現(xiàn) 狀”提出的挑戰(zhàn)。選定某一個風(fēng)險反應(yīng)方案后，管理者應(yīng)在殘留風(fēng)險的基礎(chǔ)上重新評估風(fēng)險，即從 企業(yè)總體的風(fēng)險組合的、預(yù)測的角度重新計量風(fēng)險。管理者可以采取一定的方法使得 每一生產(chǎn)部門、行政部門或業(yè)務(wù)單位的管理者可以對風(fēng)險進行復(fù)合式的評估以決定該 部門的風(fēng)險反應(yīng)方案。這種視角可以反映相對

33、于各部門的目標和風(fēng)險容忍度該部門的 風(fēng)險組合。在對各個獨立部門的風(fēng)險有一個認識的基礎(chǔ)上，企業(yè)最高層的管理者應(yīng)以 組合的角度看待風(fēng)險，以決定企業(yè)的風(fēng)險組合與相對企業(yè)目標而言的總體的風(fēng)險偏好 是否相符。管理者應(yīng)認識到一定水平的殘留風(fēng)險總是存在的，這不僅是因為資源的有限性， 還因為未來有其內(nèi)在的不確定性和所有活動的固有限制。6控制活動控制活動是幫助保證風(fēng)險反應(yīng)方案得到正確執(zhí)行的相關(guān)政策和程序?？刂苹顒哟?在于企業(yè)的各部分、各個層面和各個部門?？刂苹顒邮瞧髽I(yè)努力實現(xiàn)其商業(yè)目標的過 程的一部分。通常包括兩個要素：確定應(yīng)該做什么的一個政策和影響該政策的一系列 過程。由于企業(yè)的控制活動與企業(yè)的信息系統(tǒng)廣泛相

34、關(guān)， 因此， 應(yīng)對企業(yè)所有的重要系 統(tǒng)進行控制。廣義來講，對信息系統(tǒng)控制活動可以分為兩類。一類是一般控制，這 類控制應(yīng)用于大多數(shù)應(yīng)用系統(tǒng)，有助于保證系統(tǒng)的持續(xù)地、正確地運行。另一類是應(yīng)用控制，包括用于控制技術(shù)應(yīng)用的應(yīng)用軟件內(nèi)部的電腦程序。必要時將信息系統(tǒng) 控制與其他手工的過程控制相結(jié)合，可以保證信息的完整性、精確性和有效性。一般控制包括對信息技術(shù)管理、信息技術(shù)基礎(chǔ)設(shè)施、保密管理和軟件的購買、開 發(fā)和維護的控制。這些技術(shù)應(yīng)用于所有的系統(tǒng)，從主機到客戶端（服務(wù)端）到桌面 電腦環(huán)境。信息技術(shù)管理控制主要包括明確信息技術(shù)的勘漏過程、監(jiān)督和報告信息 技術(shù)活動及業(yè)務(wù)改進的初步行動等等。應(yīng)用控制的目的是保證

35、數(shù)據(jù)獲得和業(yè)務(wù)處理過程的完整性、 精確性、 授權(quán)和有效 性。依靠信息系統(tǒng)控制運行的有效可以保證當(dāng)需要時每個應(yīng)用程序可以在界面上產(chǎn) 生有關(guān)數(shù)據(jù)，保證應(yīng)用程序的有效和有關(guān)界面的錯誤可以很快地被發(fā)現(xiàn)。因為每一個主體都有其自己的一套目標和執(zhí)行目標的方法，因此其子目標、結(jié)構(gòu) 和相關(guān)的控制活動也會不同。即使兩個企業(yè)有同樣的目標和結(jié)構(gòu)，他們的控制活動可 很可能不同。每個企業(yè)的管理人員都不同，不同的管理人員在影響內(nèi)部控制時使用不 同的個人判斷。而且，控制活動反映了一個企業(yè)所處的環(huán)境和行業(yè)，也會反映企業(yè)的 復(fù)雜性、企業(yè)的歷史和文化。7信息和溝通來自于企業(yè)內(nèi)部和外部的相關(guān)信息必須以一定的格式和時間間隔進行確認、

36、捕捉 和傳遞，以保證企業(yè)的員工能夠執(zhí)行各自的職責(zé)。有效的溝通也是廣義上的溝通， 包括企業(yè)內(nèi)自上而下、自下而上以及橫向的溝通。有效的溝通還包括將相關(guān)的信息 與企業(yè)外部相關(guān)方的有效溝通和交換，如客戶、供應(yīng)商、行政管理部門和股東等。企業(yè)內(nèi)部各個管理層都需要信息來幫助識別、 評估風(fēng)險和對風(fēng)險進行反應(yīng)， 以及 進行經(jīng)營并實現(xiàn)企業(yè)的目標。相對于某一類或幾類目標，某一批信息是有用的。企 業(yè)的信息來自于各個方面，包括內(nèi)部和外部的信息、量化的和非量化的信息，以使得企業(yè)的風(fēng)險管理可以對現(xiàn)實世界中不斷變化的條件及時作出反應(yīng)。將大量的信息 進行處理，提煉出或指導(dǎo)行動的信息是企業(yè)管理者所面臨的一個挑戰(zhàn)。解決這一問 題的

37、方法是建立一個信息系統(tǒng)底層結(jié)構(gòu)來確認、捕捉、處理、分析和報告相關(guān)信息。這些信息系統(tǒng)通常是電腦系統(tǒng)，但也包括手工錄入或人機界面。因此，這些信息系 統(tǒng)經(jīng)常是指處理企業(yè)相關(guān)業(yè)務(wù)產(chǎn)生的內(nèi)部數(shù)據(jù)的系統(tǒng)。長期以來信息系統(tǒng)是用來支持企業(yè)的商業(yè)戰(zhàn)略。當(dāng)業(yè)務(wù)需要變化和有關(guān)技術(shù)為企 業(yè)獲得戰(zhàn)略優(yōu)勢提供新的機會時，這一地位就顯得更為重要。為支持有效的企業(yè)風(fēng)險管理，一個企業(yè)會捕捉和使用歷史和現(xiàn)在的數(shù)據(jù)。歷史數(shù) 據(jù)使企業(yè)能夠?qū)嶋H業(yè)績與目標、計劃和期望相比較，能夠更加深入了解企業(yè)在不 斷變化的環(huán)境下是如何生存的，使得管理者確認相關(guān)性和趨勢并預(yù)測未來的業(yè)績。歷史數(shù)據(jù)還能夠?qū)π枰芾碚咦⒁獾臐撛谑马椞嵩缣岢鼍妗，F(xiàn)在或現(xiàn)狀

38、的數(shù)據(jù)使企業(yè)能夠評估在某一特定時點所面臨的風(fēng)險并將其控制在 風(fēng)險容忍度范圍內(nèi)。現(xiàn)狀數(shù)據(jù)使得管理者可以實時地了解一個過程、職能部門或單 位現(xiàn)存的固有風(fēng)險和差異的大小。這對了解企業(yè)的風(fēng)險組合提供了一個視角，使得 管理者能夠在必要時改變企業(yè)的活動以滿足企業(yè)的風(fēng)險偏好。信息是溝通的基礎(chǔ)，溝通則必須滿足各部門和個人的要求，以使他們能夠有效地 履行其職責(zé)。最重要的溝通渠道之一是高級管理者和董事會之間的溝通。管理者必須 使董事會了解關(guān)于企業(yè)業(yè)績、發(fā)展、風(fēng)險管理執(zhí)行和其他相關(guān)事項和問題的及時信息。溝通越暢通，董事會在執(zhí)行其監(jiān)督職能、重大問題的宣傳媒介職能和提供建議、咨詢 和指導(dǎo)職能時才會越有效。反之，董事會也

39、應(yīng)向管理者傳遞其所需要的信息并進行反 饋和指導(dǎo)。管理者應(yīng)提供特定的或直接的溝通渠道說明對員工的行為預(yù)期和各自的職責(zé)。包括對企業(yè)風(fēng)險管理原理和方法以及員工權(quán)責(zé)分配的清晰的說明。對于風(fēng)險管理過程和程序的溝通應(yīng)與企業(yè)預(yù)期的風(fēng)險文化相結(jié)合，并作為企業(yè)風(fēng)險文化的基礎(chǔ)。此 外，信息的列示會直接影響對信息的解釋和對相應(yīng)的風(fēng)險或機遇的看法，因此，對 于溝通應(yīng)有一個適當(dāng)?shù)募軜?gòu)。溝通應(yīng)使企業(yè)的員工了解有效地企業(yè)風(fēng)險管理的重要性和相關(guān)性， 了解企業(yè)的風(fēng) 險偏好和風(fēng)險容忍度，并在企業(yè)內(nèi)執(zhí)行、設(shè)計一個統(tǒng)一的風(fēng)險用語并向員工說明他 們在影響和支持企業(yè)風(fēng)險管理要素中的地位和職責(zé)。溝通渠道還應(yīng)該保證企業(yè)員工能夠在各業(yè)務(wù)部門、

40、業(yè)務(wù)流程或職能部門間進行風(fēng) 險信息的溝通。大多數(shù)情況下，企業(yè)內(nèi)正常的報告路徑一般是溝通的適當(dāng)渠道。而在 某些情況下，需要一個單獨的信息溝通途徑作為防止失敗機制，而為一途徑在正常情 況下是不用的。在所有的情況下，讓企業(yè)的員工了解企業(yè)內(nèi)并不存在對報告相關(guān)信息 的報復(fù)是很重要的。外部的溝通渠道能夠為企業(yè)的產(chǎn)品或服務(wù)的設(shè)計或品質(zhì)提供非常重要的信息。理者應(yīng)將企業(yè)的風(fēng)險偏好和風(fēng)險容忍度與客戶、供應(yīng)商和合伙人的風(fēng)險偏好和風(fēng)險 容忍度聯(lián)系起來考慮，以保證不會通過企業(yè)的業(yè)務(wù)活動給企業(yè)帶來太多的風(fēng)險。外 部相關(guān)方的信息經(jīng)常會為企業(yè)風(fēng)險管理的運行提供重要的信息。8監(jiān)控對企業(yè)風(fēng)險管理的監(jiān)控是指評估風(fēng)險管理要素的內(nèi)容和

41、運行以及一段時期的執(zhí) 行質(zhì)量的一個過程。企業(yè)可以通過兩種方式對風(fēng)險管理進行監(jiān)控一一持續(xù)監(jiān)控和個 別評估。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風(fēng)險管理在企業(yè)內(nèi)各管理層面和 各部門持續(xù)得到執(zhí)行。持續(xù)監(jiān)控是對企業(yè)日常的、重復(fù)的經(jīng)營活動的監(jiān)控，在實時的基礎(chǔ)上進行，是對 不斷變化的環(huán)境的動態(tài)地反應(yīng)，應(yīng)在企業(yè)內(nèi)部徹底地貫徹和執(zhí)行。如果執(zhí)行得好，持續(xù)監(jiān)控比個別評估更為有效。由于個別評估是在事實發(fā)生之后才進行評估，而持 續(xù)監(jiān)控則會在問題一發(fā)生就很快被發(fā)現(xiàn)。雖然如此，許多使用持續(xù)監(jiān)控的企業(yè)仍舊 進行風(fēng)險管理的個別評估。個別評估的頻率是企業(yè)管理者的主觀判斷問題。在決定個別評估的頻率時，管理 者應(yīng)考慮來自于企業(yè)內(nèi)部

42、和外部事項的變化的性質(zhì)和程度以及相應(yīng)的風(fēng)險、企業(yè)員 工進行風(fēng)險反應(yīng)和相應(yīng)控制的能力和經(jīng)驗、持續(xù)監(jiān)控的結(jié)果等因素。通常，將持續(xù) 監(jiān)控和個別評估進行一定的結(jié)合使用會保證企業(yè)風(fēng)險管理長期的有效性。對企業(yè)風(fēng)險管理進行記錄的程度根據(jù)企業(yè)的規(guī)模、 經(jīng)營的復(fù)雜性和其他因素的影 響而有所不同。企業(yè)風(fēng)險管理的內(nèi)容沒有記錄并不意味著風(fēng)險管理無效或無法對風(fēng) 險管理進行評估。但是，適當(dāng)程度的記錄通常會使對風(fēng)險管理的監(jiān)控更為有效果和有效率。當(dāng)企 業(yè)管理者打算向企業(yè)外部相關(guān)方提供關(guān)于企業(yè)風(fēng)險管理效率的報告時，他們則應(yīng)考 慮為企業(yè)風(fēng)險管理設(shè)計一套記錄模式并保持有關(guān)的記錄。所有風(fēng)險管理失效都會影響企業(yè)確定和執(zhí)行戰(zhàn)略的能力，影

43、響企業(yè)實現(xiàn)其既定目 標的能力。對此，應(yīng)將企業(yè)所有的風(fēng)險管理失效都報告給適當(dāng)?shù)墓芾韺?，以保證其采 取必要的措施以糾正風(fēng)險管理失效。企業(yè)所需溝通的事項的性質(zhì)根據(jù)各人處理各種情 況的權(quán)限和監(jiān)控者的查漏活動的不同而不同。這里“失效”是指企業(yè)風(fēng)險管理過程中 值得注意的某一種情形。因此，失效可能代表一種預(yù)期的、潛在的或真實的缺陷，或 者代表加強風(fēng)險管理過程的一個機會，以增加企業(yè)目標實現(xiàn)的可能性。在經(jīng)營活動中 產(chǎn)生的信息通常通過正常的渠道進行報告。對于敏感性信息的報告也應(yīng)有其他的溝通 渠道，如非法活動或不正當(dāng)?shù)幕顒?。向企業(yè)內(nèi)適當(dāng)?shù)墓芾韺犹峁╆P(guān)于風(fēng)險管理失效的必需的信息是非常重要的。企業(yè) 應(yīng)建立一個協(xié)議來識別

44、某一管理層決策有效所需要的信息。這些協(xié)議應(yīng)反映一個基本原則，即一個管理者在收到實現(xiàn)其特定目標的有關(guān)信息外，還應(yīng)收到影響其權(quán)限范圍 內(nèi)人員的行動或行為的所有信息。（四）風(fēng)險管理要素和企業(yè)目標之間的關(guān)系企業(yè)的風(fēng)險管理框架包括四類目標和八個要素。四類目標分別是戰(zhàn)略目標、經(jīng)營 目標、報告目標和合法性目標。八個要素分別是內(nèi)部環(huán)境、目標制定、事項識別、風(fēng) 險評估、風(fēng)險反應(yīng)、控制活動、信息和溝通、監(jiān)控，是企業(yè)目標實現(xiàn)的保證。它們相 互之間存在直接的關(guān)系，可以用一個三維矩陣圖來表示（如圖 1 所示）?？梢钥闯觯膫€欄分別代表一個企業(yè)的四類目標， 并不是企業(yè)的某個部分或部門。因此，例如，當(dāng)考慮與報告相關(guān)的那類目

45、標時，需要關(guān)于企業(yè)經(jīng)營的大量信息，但是 在這種情況下主要關(guān)注的是風(fēng)險管理模型右手邊中間這一欄報告目標而不 是經(jīng)營類目標。圖2 將立方體中水平各行的內(nèi)容進行擴展，說明各風(fēng)險管理要素的主要 內(nèi)容，其中每一要素也就代表一個業(yè)務(wù) 流程。圖 1示。四類目標一戰(zhàn)略、經(jīng)營、報告和合規(guī)性目標一由垂直欄表示。八要素 由水平行表企業(yè)和其各組織單位由矩陣中的第三維表示。五）有效性企業(yè)風(fēng)險管理是一個過程， 企業(yè)風(fēng)險管理的有效性則是某一時點的一個狀態(tài)或條 件。決定一個企業(yè)的風(fēng)險管理是否有效是基于對風(fēng)險管理八要素設(shè)計和執(zhí)行是否正 確的評估基礎(chǔ)上的一個主觀判斷。為使風(fēng)險管理有效，企業(yè)的風(fēng)險管理框架必須包括所有的八個要素，并

46、得到貫徹 執(zhí)行。但是，這并不意味著每一要素在不同的企業(yè)間，甚至是不同企業(yè)的同一管理層次上，都必須執(zhí)行同樣的功能。因為不同的要素之間可能存在著作用的相互抵消。由 于企業(yè)風(fēng)險管理的各種技術(shù)能夠為企業(yè)不同的經(jīng)營意圖服務(wù)，因此，相對于某要素的 技術(shù)也能夠服務(wù)于通常是另一要素所體現(xiàn)出來的經(jīng)營意圖。此外，對某一特定風(fēng)險的 風(fēng)險反應(yīng)程度可能不同，以至于互補的風(fēng)險反應(yīng)模式可能各自對企業(yè)的影響都有限， 合并后仍可以保持在風(fēng)險容忍度的范圍內(nèi)。這里所討論的概念可以應(yīng)用于所有企業(yè)， 無論其規(guī)模。 某些中小企業(yè)所采用的要 素的內(nèi)容與大企業(yè)可能不同，但企業(yè)的風(fēng)險管理仍舊有效。對于每個要素的方法論， 小企業(yè)采用的方法與大企

47、業(yè)相比并不正式和結(jié)構(gòu)化，但是，無論企業(yè)的規(guī)模，其風(fēng) 險管理都應(yīng)包括本文所講的基本概念。企業(yè)風(fēng)險管理可以從一個企業(yè)的總體來認識， 也可以從一個單獨的部門或多個部 門的角度來認識。即使是站在某一特定的業(yè)務(wù)部門的角度來看待風(fēng)險管理，所有的 八要素也都應(yīng)作為基準包含在內(nèi)。一個公司可能采用聯(lián)營企業(yè)、 合伙或其他的投資形式， 其經(jīng)營可能不在母公司的直接控制之下。為保證企業(yè)風(fēng)險管理的有效性，母公司應(yīng)從公司戰(zhàn)略和目標的角度 考慮與被投資方一起充分應(yīng)用風(fēng)險管理八要素的程度。圖2六）包括內(nèi)部控制內(nèi)部控制是企業(yè)風(fēng)險管理不可分割的一部分。 這里所說的企業(yè)風(fēng)險管理框架包括 內(nèi)部控制， 為企業(yè)的管理提供了一個更強的概念基

48、礎(chǔ)和工具。 在內(nèi)部控制整體 框架 中已經(jīng)對內(nèi)部控制進行了定義和描述。 由于內(nèi)部控制整體框架 是現(xiàn)有 的規(guī)則、 法規(guī)和法律的基礎(chǔ)， 因此本討論稿保留其對內(nèi)部控制的定義。 整個內(nèi)部控 制整體框架報告都是本框架的參考。七）企業(yè)風(fēng)險管理的局限性有效的風(fēng)險管理可以幫助管理者實現(xiàn)企業(yè)的目標， 但是， 無論企業(yè)風(fēng)險管理設(shè)計 得如何完善、運行得如何有效，它也不能保證一個企業(yè)永遠成功。企業(yè)目標的實現(xiàn)還要受管理過程內(nèi)在局限性的影響。 政府政策或項目的改變、 競 爭對手的行動或經(jīng)濟條件都超出了管理者的控制范圍。 人的決策可能會出錯， 因而企 業(yè)很有可能由于人的簡單的錯誤或過失而破產(chǎn)。 而且企業(yè)風(fēng)險管理也不能把一個本

49、來 就很差的管理者變好。 此外，企業(yè)員工兩人或多人合謀可以繞過控制， 管理者也有權(quán) 利繞過企業(yè)的風(fēng)險管理過程，包括風(fēng)險反應(yīng)和風(fēng)險控制過程等。企業(yè)風(fēng)險管理的設(shè)計必須反映企業(yè)資源稀缺的現(xiàn)實， 而且風(fēng)險管理的收益必須對 應(yīng)風(fēng)險管理的成本。 因此，雖然企業(yè)風(fēng)險管理可以幫助管理者實現(xiàn)企業(yè)的目標， 但它 并不是一顆萬靈丹。（八）各管理層在企業(yè)風(fēng)險管理中的地位和職責(zé)一個組織的每個人在企業(yè)風(fēng)險管理中都負有責(zé)任。1董事會企業(yè)的管理者向董事會負責(zé)，而董事會向管理者履行治理、指導(dǎo)和監(jiān)督職能。通過選舉管理者，董事會在界定其所期望的員工的操守和價值觀時起主要作用， 并能夠通過監(jiān)督活動證實其對員工的預(yù)期。 同樣，通過在某

50、些關(guān)鍵的決策中保留其權(quán) 限，董事會在制定 戰(zhàn)略、確定企業(yè)高層次的目標和進行廣義的資源配置時起到一定的作用。董事會對企業(yè)的風(fēng)險管理負有監(jiān)督職責(zé)，主要通過以下方式實現(xiàn)其職責(zé)：了解 管理者在企業(yè)內(nèi)部建立有效的風(fēng)險管理的程度；獲知并認可企業(yè)的風(fēng)險偏好； 復(fù)核企業(yè)的風(fēng)險組合觀并與企業(yè)的風(fēng)險偏好相對照；評估企業(yè)最重要的風(fēng)險并評 估管理者的反應(yīng)是否適當(dāng)。董事會是企業(yè)內(nèi)部環(huán)境的一個組成部分， 必須有保證風(fēng)險管理有效的必要的組織和對風(fēng)險管理的關(guān)注。1 2 管理者1 企業(yè)的首席執(zhí)行官對企業(yè)的風(fēng)險管理最終負責(zé)，即擁有企業(yè)風(fēng)險管理的“所有 權(quán)”。與企業(yè)內(nèi)其他員工不同，首席執(zhí)行官在企業(yè)的高層確定風(fēng)險管理的基調(diào)，而這 會

51、影響企業(yè)內(nèi)部環(huán)境中的員工操守和價值觀及其他因素。在一個大公司中，首席執(zhí)行 官通過向高級管理者分派領(lǐng)導(dǎo)權(quán)和提供指令并復(fù)核其管理企業(yè)的方式等來履行其職 能。高級管理者會進一步將制定更具體的風(fēng)險管理政策和程序的責(zé)任分派給負責(zé)各部 門運行的員工。而在一個小企業(yè)，首席執(zhí)行官對風(fēng)險管理的影響則更為直接。他們是 企業(yè)的管理者，但同時也是企業(yè)的所有者。在任何情況下，？對其下層的職責(zé)，管理 者也是其職責(zé)范圍內(nèi)的一個首席執(zhí)行官。此時各職能部門的領(lǐng)導(dǎo)者也是很重要的，如 法律咨詢部？、財務(wù)部、人力資源部和信息技術(shù)部，他們各自的監(jiān)督活動與企業(yè)經(jīng)營 和其他部門的活動到處都存在著交叉。1 3 風(fēng)險管理者1 一個風(fēng)險管理者是

52、指某一組織內(nèi)的首席風(fēng)險管理者或首席風(fēng)險管理經(jīng)理，他與企 業(yè)內(nèi)其他管理者一起在他們的職責(zé)范圍內(nèi)建立并維護有效的風(fēng)險管理框架。首席風(fēng)險 管理經(jīng)理也可以擔(dān)當(dāng)監(jiān)督風(fēng)險管理進度和幫助其他管理人員在企業(yè)內(nèi)向上、向下和橫 向報告有關(guān)風(fēng)險信息的職責(zé)，并可以成為企業(yè)風(fēng)險管理委員會的一員。1 4 內(nèi)部審計人員1 內(nèi)部審計人員在企業(yè)風(fēng)險管理的監(jiān)控中占有重要的地位，這一職責(zé)作為其正常職 責(zé)的一部分， 其業(yè)績的質(zhì)量依賴高級管理者、 下級管理者或部門執(zhí)行人員的特殊要求。他們可能通過對管理者風(fēng)險管理過程的充分性和有效性進行監(jiān)控、檢查、評估、報告 和提出改進建議來幫助管理者和董事會或?qū)徲嬑瘑T會。2 5 其他員工從某種程度上講

53、，企業(yè)風(fēng)險管理是企業(yè)內(nèi)每一個員工的責(zé)任，因此，風(fēng)險管理應(yīng) 是企業(yè)內(nèi)每一個員工的工作手冊的一部分內(nèi)容。本質(zhì)上，企業(yè)所有的員工都應(yīng)提供 風(fēng)險管理所需的信息或者采取必要的措施管理風(fēng)險。同樣，企業(yè)所有的員工都有責(zé) 任向上報告風(fēng)險，如經(jīng)營中存在的問題，未遵守有關(guān)的行為規(guī)則的情況、其他違反 政策的行為或非法活動。許多企業(yè)外部相關(guān)方也有助于企業(yè)目標的實現(xiàn)。如外部審計人員，從一個獨立、 客觀的角度對企業(yè)的財務(wù)報表進行審計和對企業(yè)的內(nèi)部控制進行復(fù)核，直接有助于企 業(yè)目標的實現(xiàn)。同時，外部審計人員還可以向管理者和董事會提供履行其職責(zé)有用的 額外信息，間接地為企業(yè)目標的實現(xiàn)作出貢獻。其他向企業(yè)提供風(fēng)險管理的有用信息

54、 的相關(guān)方還包括行政管理部門、客戶，其他與企業(yè)進行交易的各方，財務(wù)分析師、債 券承銷商和新聞媒介等等。 但是，外部的各相關(guān)方并不對企業(yè)的風(fēng)險管理負責(zé)。 （九） 本報告的用途企業(yè)根據(jù)本報告所采取的行動還應(yīng)考慮下述各方的地位和利益：1董事會成員董事會成員應(yīng)該與企業(yè)的高級管理人員討論企業(yè)風(fēng)險管理的狀況并在必要的時候進行監(jiān)督。董事會應(yīng)該保證企業(yè)風(fēng)險管理體制能夠為董事會提供與企業(yè)戰(zhàn)略和目標相關(guān)的最重要的風(fēng)險的評估， 包括企業(yè)的管理者采取了什么行動和董事會在監(jiān)督企業(yè)風(fēng)險管理框架時是如何運作的。董事會應(yīng)該從企業(yè)的內(nèi)部審計人員、外部審計人員和咨詢顧問外獲得有關(guān)的信息。2高級管理人員本研究建議企業(yè)的首席執(zhí)行官應(yīng)

55、評估企業(yè)風(fēng)險管理的適應(yīng)性。使用本框架，CEO就可以與企業(yè)的其他主要經(jīng)營和財務(wù)主管一道，注意企業(yè)內(nèi)需要注意的地方。使用一定的方法，CEO可以將企業(yè)的業(yè)務(wù)部門的負責(zé)人和主要職能部門的員工匯集到一起， 討論對企業(yè)風(fēng)險管理框架適應(yīng)性和有效性的最初評估。 無論討論的形式如何，風(fēng)險管理最初的評估應(yīng)決定企業(yè)是否需要對企業(yè)風(fēng)險管理框架進行進一步的、更廣泛的評估以及應(yīng)如何進行評估。 最初的評估還應(yīng)該保證企業(yè)再造的監(jiān)控程序確實存在、 確實有效。 企業(yè)花費在風(fēng)險管理評估上的時間是企業(yè)的一項投資，而且是一項有高額回報的投資。3企業(yè)內(nèi)其他成員企業(yè)的管理者和其他員工應(yīng)該考慮他們在企業(yè)風(fēng)險管理框架中應(yīng)履行何種職責(zé)，并與其上

56、層管理者討論有關(guān)思想以加強企業(yè)的風(fēng)險管理。內(nèi)部審計人員則應(yīng)該考慮其工作中關(guān)注企業(yè)風(fēng)險管理的程度。4立法者每個企業(yè)對企業(yè)風(fēng)險管理的期望由于兩個方面的影響而千差萬別。首先，由于對企業(yè)風(fēng)險管理框架的硬件設(shè)施構(gòu)建的不同認識， 使得企業(yè)的風(fēng)險管理框架各有不同。一些觀察家認為企業(yè)風(fēng)險管理將會，或者應(yīng)該會防止企業(yè)的經(jīng)濟損失，或者至少是防止企業(yè)破產(chǎn)。 第二， 即使對企業(yè)風(fēng)險管理能夠做什么、 不能做什么以及“合理保證”概念有一個共同的認識， 對這概念的含義和應(yīng)該如何應(yīng)用這些概念也存在許多不同的觀點。 為了使各方對企業(yè)風(fēng)險管理的認識及其作用達成共識，就應(yīng)該對企業(yè)風(fēng)險管理框架及其局限性達成共識。 本框架的提出就是出

57、于這考慮。5專業(yè)機構(gòu)規(guī)則制定機構(gòu)和其他專業(yè)組織已經(jīng)提供了企業(yè)理財、審計和相關(guān)問題的指南。本框架會使用這些機構(gòu)頒布的有關(guān)準則和指南。這樣可以減少概念和術(shù)語的多樣性，而一定程度地減少概念和術(shù)語的多樣性對企業(yè)內(nèi)外部各方都是有利的。6教育機構(gòu)本框架應(yīng)該是理論研究和分析的一個題目，以尋找未來改進的方向。如果這個報告作為企業(yè)風(fēng)險管理通用的理論基礎(chǔ)被廣泛接受， 那么其中的概念和術(shù)語就可以在學(xué)校的課本中找到。（十）報告的組織這個概覽和框架報告的正文一起構(gòu)成了企業(yè)的風(fēng)險管理框架。本概覽為企業(yè)的CEO和其他高級執(zhí)行官、董事會成員和企業(yè)外部的立法者提供了一個高度概括的說明。而框架報告的正文部分則對企業(yè)風(fēng)險管理的定義、原則和概念進行更為廣泛和深入的討論，為企業(yè)及其他組織中各層次管理者決定如何改進企業(yè)的風(fēng)險管理提供了指導(dǎo)，并能夠幫助企業(yè)的管理者和其他人員評估企業(yè)的風(fēng)險管理提供幫助。1、企業(yè)風(fēng)險管理的相關(guān)性章節(jié)摘要：企業(yè)風(fēng)險管理被運