coso企業(yè)風險管理—整合框架

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)公司治理內(nèi)部控制前沿譯叢企業(yè)風險管理整合框架（美）COSO 制定發(fā)布 方紅星 王 宏 譯大 連制定發(fā)布機構(gòu)簡介COSO是Treadway委員會（Treadway Commission，即反欺詐財務(wù)報告全國委員會（National Commission on Fraudulent Financial Reporting），通常根據(jù)其首任主席的姓名而稱為Treadway委員會）的發(fā)起組織委員會（Committee of Sponsoring Organizations）的簡

2、稱。Treadway委員會由美國注冊會計師協(xié)會（AICPA）、美國會計學會（AAA）、國際財務(wù)經(jīng)理協(xié)會（FEI）、內(nèi)部審計師協(xié)會（IIA）和管理會計師協(xié)會（IMA）等5個組織于1985年發(fā)起成立。1987年，Treadway委員會發(fā)布一份報告，建議其發(fā)起組織共同協(xié)作，整合各種內(nèi)部控制的概念和定義。1992年，COSO發(fā)布了著名的內(nèi)部控制整合框架（1994年作出局部修訂），成為內(nèi)部控制領(lǐng)域最為權(quán)威的文獻之一。2003年7月，COSO發(fā)布了企業(yè)風險管理整合框架（征求意見稿），經(jīng)過一年多的意見反饋、研究和修改，2004年9月發(fā)布了最終的文本。本書就是按照2004年9月正式發(fā)布的文本進行翻譯的。譯者簡

3、介方紅星，東北財經(jīng)大學會計學院教授，博士，兼任東北財經(jīng)大學出版社社長，編審，東北財經(jīng)大學內(nèi)部控制與風險管理研究中心研究員，三友會計研究所所長。主要學術(shù)兼職有財政部會計準則委員會咨詢專家、中國會計學會理事、中國成本研究會理事、中國注冊會計師審計準則組成員、中國會計學會財務(wù)成本分會常務(wù)理事及多家學術(shù)期刊編委。王宏，西南財經(jīng)大學會計學院博士研究生，現(xiàn)就職于財政部會計司綜合處，近年來主要致力于內(nèi)部會計控制等方面的理論和政策研究。中文版前言在內(nèi)部控制和風險管理的演進過程之中，COSO的突出貢獻是舉世公認的。它在1992年所發(fā)布的、并于1994年作出局部修正的內(nèi)部控制整合框架，已經(jīng)成為世界通行的內(nèi)部控制權(quán)

4、威文獻，被國際和各國審計準則制定機構(gòu)、銀行監(jiān)管機構(gòu)和其他方面所采納。2003年7月，COSO發(fā)布了企業(yè)風險管理整合框架的征求意見稿，引起了廣泛的關(guān)注，我國也有一些學者撰文介紹了相關(guān)的情況。誠然，企業(yè)風險管理整合框架并沒有立即取代內(nèi)部控制整合框架，但是它涵蓋和拓展了后者。因此，對新的框架進行深入研究和探討，具有十分重要的價值。2004年9月，正式的最終文本發(fā)布之后，由于著作權(quán)保護和其他方面的原因，在國內(nèi)很難取得該框架最終定稿的版本。而許多學者繼續(xù)按照征求意見稿來進行轉(zhuǎn)述、介紹和研究，已經(jīng)顯得不合適了。為此，我們通過積極聯(lián)絡(luò)和多方努力，最終獲得了正式授權(quán)，得以將這份重要的文獻翻譯成中文并在國內(nèi)公開

5、出版。長期以來，尤其是在2001年前后一系列令人矚目的公司丑聞爆發(fā)之后，關(guān)于內(nèi)部控制的研究和立法行動深受社會各界的重視和關(guān)注，我國也概莫能外。我國的有關(guān)部門在幾年前就已經(jīng)開始了制定企業(yè)內(nèi)部會計控制規(guī)范的積極嘗試。目前，關(guān)于研究和制定企業(yè)內(nèi)部控制指引的呼吁和探索也日益急迫。在這種背景下，認真研究和參考包括企業(yè)風險管理整合框架在內(nèi)的相關(guān)的國際權(quán)威文獻，無疑具有十分突出的理論價值和現(xiàn)實意義。本書是框架的上卷，即內(nèi)容提要和基本框架部分。書稿的翻譯工作由東北財經(jīng)大學方紅星教授和財政部會計司王宏博士共同完成，譯稿由方紅星審校。十分感謝美國內(nèi)部審計師協(xié)會的Lucy Sheets在授權(quán)過程中的大力協(xié)助，以及東

6、北財經(jīng)大學出版社的高鵬、孫冰潔編輯對書稿的仔細審讀。在2005年7月下旬在北京召開的“企業(yè)內(nèi)部控制指引研討會”上，財政部會計司劉玉廷司長、高一斌副司長、舒惠好處長、郜進興處長、中國會計學會副秘書長周守華教授、東北財經(jīng)大學劉明輝教授、西南財經(jīng)大學趙德武教授、南京大學楊雄勝教授、清華大學于增彪教授等領(lǐng)導和專家對本書的翻譯給予了肯定和關(guān)注，并提出了一些有益的指導和建議，在此謹致謝忱！由于翻譯這類框架文件本身就極具挑戰(zhàn)性，加之時間緊迫和譯者水平有限，書中錯誤和疏漏在所難免，懇請業(yè)內(nèi)專家和廣大讀者不吝指正（接受批評、建議的電子信箱為）！譯 者 2005年7月 企業(yè)風險管理整合框架內(nèi)容摘要基本框架2004

7、年9月Treadway委員會發(fā)起組織委員會（Committee of Sponsoring Organizations of the Treadway Commission，COSO）監(jiān)督者 代表 COSO主席John J. Flaherty美國會計學會（American Accounting Association，AAA）Larry E. Rittenberg美國注冊會計師協(xié)會（American Institute of Certified Public Accountants，AICPA）Alan W. Anderson國際財務(wù)經(jīng)理協(xié)會（Financial Executives Inte

8、rnational，F(xiàn)EI）John P. JessupNicholas S. Cyprus管理會計師協(xié)會（Institute of Management Accountants，IMA）Frank C. MinterDennis L. Neider內(nèi)部審計師協(xié)會（The Institute of Internal Auditors，IIA）William G. Bishop, III David A. RichardsCOSO項目咨詢委員會指導者Tony Maki, Chair合伙人，Moss Adams有限責任合伙公司James W. DeLoach執(zhí)行總裁，Protiviti有限公司Jo

9、hn P. Jessup副總裁兼司庫，杜邦（E. I. duPont de Nemours）公司Mark S. Beasley教授，北卡羅萊納州立大學（North Carolina State University）Andrew J. Jackson 企業(yè)風險保證服務(wù)高級副總裁，美國運通（American Express）公司Tony M. Knapp高級副總裁兼主計長，摩托羅拉（Motorola）公司Jerry W. DeFoor副總裁兼主計長，Protective Life公司Steven E. Jameson執(zhí)行副總裁，首席內(nèi)部審計與風險官，Community Trust Bancorp

10、有限公司Douglas F. Prawitt 教授，楊伯翰大學（Brigham Young University）普華永道有限責任合伙公司（PricewaterhouseCoopers LLP）作 者主要撰稿人Richard M. Steinberg前合伙人兼公司治理業(yè)務(wù)負責人 (現(xiàn) Steinberg治理顧問)Miles E. A. Everson紐約分部合伙人兼金融服務(wù)業(yè)財務(wù)、經(jīng)營、風險與合規(guī)業(yè)務(wù)負責人 Frank J. Martens 加拿大溫哥華分部客戶服務(wù)部高級經(jīng)理Lucy E. Nottingham波士頓分部國內(nèi)企業(yè)服務(wù)部經(jīng)理序十幾年前，Treadway委員會的發(fā)起組織委員會（Co

11、mmittee of Sponsoring Organizations of the Treadway Commission ，以下簡稱“COSO”）發(fā)布了內(nèi)部控制整合框架，以幫助企業(yè)和其他主體評估和增進它們的內(nèi)部控制制度。這份框架此后被納入政策、規(guī)則和法規(guī)之中，并被數(shù)千家企業(yè)用來對它們?yōu)閷崿F(xiàn)既定目標所采取的行動加以更好的控制。近年來重點關(guān)注的焦點集中在風險管理上，人們越來越清楚地認識到需要一個強有力的框架以便有效地識別、評估和控制風險。2001年，COSO開展了一個項目，委托普華永道（PricewaterhouseCoopers）開發(fā)一個對于管理當局評價和改進他們所在組織的企業(yè)風險管理的簡便

12、易行的框架。正是在開發(fā)這個框架的期間，發(fā)生了一系列令人矚目的企業(yè)丑聞和失敗事件，投資者、公司員工和其他利益相關(guān)者因此而遭受了巨大的損失。隨之而來的便是對采用新的法律、法規(guī)和上市準則來加強公司治理和風險管理的呼吁。對一個提供關(guān)鍵原則和概念、共同的語言以及明晰的方向和指南的企業(yè)風險管理框架的需要變得尤為迫切。COSO相信這份企業(yè)風險管理整合框架滿足了這個需要，并希望它能被企業(yè)和其他組織乃至所有的利益相關(guān)者和有關(guān)各方所廣泛認同。美國的做法之一是2002年的薩班斯奧克斯利法案（Sarbanes-Oxley Act，簡稱SOX法案），其他國家也已經(jīng)通過或正在考慮類似的立法。這部法律擴充了長期持續(xù)的對公眾

13、公司保持內(nèi)部控制制度的規(guī)定，要求管理當局證實、并由獨立審計師鑒證這些制度的有效性。仍在繼續(xù)接受時間考驗的內(nèi)部控制整合框架，成為滿足這類報告要求的被廣泛認可的準則。這份企業(yè)風險管理整合框架拓展了內(nèi)部控制，更有力、更廣泛地關(guān)注于企業(yè)風險管理這一更加寬泛的領(lǐng)域。盡管它并不打算、也的確沒有取代內(nèi)部控制框架，但是它將內(nèi)部控制框架納入其中，公司不僅可以借助這個企業(yè)風險管理框架來滿足它們內(nèi)部控制的需要，還可以借此轉(zhuǎn)向一個更加全面的風險管理過程。管理當局所面臨的最為重要的挑戰(zhàn)之一是確定所在的主體在為創(chuàng)造價值而奮斗的同時，準備承受和實際承受了多大的風險。這份報告將更好地幫助他們?nèi)ビ舆@種挑戰(zhàn)。John J. F

14、lahertyTony Maki COSO主席COSO咨詢委員會主席目 錄 TOC o 1-1 h z u 基本框架附錄企業(yè)風險管理整合框架內(nèi)容摘要 基本框架內(nèi)容摘要企業(yè)風險管理的基礎(chǔ)性前提是每一個主體的存在都是為它的利益相關(guān)者提供價值。所有的主體都面臨不確定性，管理當局所面臨的挑戰(zhàn)就是在為增加利益相關(guān)者價值而奮斗的同時，要確定承受多大的不確定性。不確定性可能會破壞或增加價值，因而它既代表風險，也代表機會。企業(yè)風險管理使管理當局能夠有效地應(yīng)對不確定性以及由此帶來的風險和機會，增進創(chuàng)造價值的能力。當管理當局通過制訂戰(zhàn)略和目標，力求實現(xiàn)增長和報酬目標以及相關(guān)的風險之間的最優(yōu)平衡，并且在追求所在主體

15、的目標的過程中高效率和有效地調(diào)配資源時，價值得以最大化。企業(yè)風險管理包括：協(xié)調(diào)風險容量（risk appetite） 也有人將其翻譯為“風險偏好”、“風險需求”、“風險承受能力”等譯者注。 與戰(zhàn)略管理當局在評價備選的戰(zhàn)略、設(shè)定相關(guān)目標和建立相關(guān)風險的管理機制的過程中，需要考慮所在主體的風險容量。增進風險應(yīng)對決策企業(yè)風險管理為識別和在備選的風險應(yīng)對風險回避、降低、分擔和承受之間進行選擇提供了嚴密性。抑減經(jīng)營意外和損失主體識別潛在事項和實施應(yīng)對的能力得以增強，抑減了意外情況以及由此帶來的成本或損失。識別和管理多重的和貫穿于企業(yè)的風險每一家企業(yè)都面臨影響組織的不同部分的一系列風險，企業(yè)風險管理有助于

16、有效地應(yīng)對交互影響，以及整合式地應(yīng)對多重風險。抓住機會通過考慮全面范圍內(nèi)的潛在事項，促使管理當局識別并積極地實現(xiàn)機會。改善資本調(diào)配獲取強有力的風險信息，使得管理當局能夠有效地評估總體資本需求，并改進資本配置。企業(yè)風險管理所固有的這些能力幫助管理當局實現(xiàn)所在主體的業(yè)績和贏利目標，防止資源損失。企業(yè)風險管理有助于確保有效的報告以及符合法律和法規(guī)，還有助于避免對主體聲譽的損害以及由此帶來的后果?？傊髽I(yè)風險管理不僅幫助一個主體到達期望的目的地，還有助于避開前進途中的隱患和意外。事項風險與機會事項可能會帶來負面的影響，也可能會帶來正面的影響，抑或二者兼而有之。帶來負面影響的事項代表風險，它會妨礙價值

17、創(chuàng)造或者破壞現(xiàn)有價值。帶來正面影響的事項可能會抵消負面影響，或者說代表機會。機會是一個事項將會發(fā)生并對目標支持價值創(chuàng)造或保持的實現(xiàn)產(chǎn)生正面影響的可能性。管理當局把機會反饋到戰(zhàn)略或目標制訂過程中，以便制訂計劃去抓住機會。所定義的企業(yè)風險管理企業(yè)風險管理處理影響價值創(chuàng)造或保持的風險和機會，定義如下：企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應(yīng)用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證。這個定義反映了幾個基本概念。企業(yè)風險管理是：一個過程，它持續(xù)地流動于主體之內(nèi)；由組織中各個層級的人

18、員實施；應(yīng)用于戰(zhàn)略制訂；貫穿于企業(yè)，在各個層級和單元應(yīng)用，還包括采取主體層級的風險組合觀；旨在識別一旦發(fā)生將會影響主體的潛在事項，并把風險控制在風險容量以內(nèi)；能夠向一個主體的管理當局和董事會提供合理保證；力求實現(xiàn)一個或多個不同類型但相互交叉的目標。這個定義比較寬泛。它抓住了對于公司和其他組織如何管理風險至關(guān)重要的關(guān)鍵概念，為不同組織形式、行業(yè)和部門的應(yīng)用提供了基礎(chǔ)。它直接關(guān)注特定主體既定目標的實現(xiàn)，并為界定企業(yè)風險管理的有效性提供了依據(jù)。目標的實現(xiàn)在主體既定的使命或愿景（vision） 也有人將其翻譯為“遠景”、“遠景規(guī)劃”、“長遠構(gòu)想”等譯者注。范圍內(nèi)，管理當局制訂戰(zhàn)略目標、選擇戰(zhàn)略，并在企

19、業(yè)內(nèi)自上而下設(shè)定相應(yīng)的目標。企業(yè)風險管理框架力求實現(xiàn)主體的以下四種類型的目標：戰(zhàn)略（strategic）目標高層次目標，與使命相關(guān)聯(lián)并支撐其使命；經(jīng)營（operations）目標有效和高效率地利用其資源；報告（reporting）目標報告的可靠性；合規(guī)（compliance）目標符合適用的法律和法規(guī)。對主體目標的這種分類可以使我們關(guān)注企業(yè)風險管理的不同側(cè)面。這些各不相同但卻相互交叉的類別一個特定的目標可以歸入多個類別，反映了主體的不同需要，而且可能會成為不同管理人員的直接責任。這個分類還有助于區(qū)分從每一類目標中能夠期望的是什么。一些主體采用的另一類目標保護資源也包含在上述類別之內(nèi)。因為有關(guān)報告

20、的可靠性和符合法律、法規(guī)的目標在主體的控制范圍之內(nèi)，所以可以期望企業(yè)風險管理為實現(xiàn)這些目標提供合理保證。但是，戰(zhàn)略目標和經(jīng)營目標的實現(xiàn)取決于并不一定總在主體控制范圍之內(nèi)的外部事項，對于這些目標而言，企業(yè)風險管理能夠合理地保證管理當局和起監(jiān)督作用的董事會及時地了解主體朝著實現(xiàn)目標前進的程度。企業(yè)風險管理的構(gòu)成要素企業(yè)風險管理包括八個相互關(guān)聯(lián)的構(gòu)成要素。它們來源于管理當局經(jīng)營企業(yè)的方式，并與管理過程整合在一起。這些構(gòu)成要素是：內(nèi)部環(huán)境內(nèi)部環(huán)境包含組織的基調(diào)，它為主體內(nèi)的人員如何認識和對待風險設(shè)定了基礎(chǔ)，包括風險管理理念和風險容量、誠信和道德價值觀，以及他們所處的經(jīng)營環(huán)境。目標設(shè)定必須先有目標，管理

21、當局才能識別影響目標實現(xiàn)的潛在事項。企業(yè)風險管理確保管理當局采取適當?shù)某绦蛉ピO(shè)定目標，確保所選定的目標支持和切合該主體的使命，并且與它的風險容量相符。事項識別必須識別影響主體目標實現(xiàn)的內(nèi)部和外部事項，區(qū)分風險和機會。機會被反饋到管理當局的戰(zhàn)略或目標制訂過程中。風險評估通過考慮風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據(jù)。風險評估應(yīng)立足于固有風險和剩余風險。風險應(yīng)對管理當局選擇風險應(yīng)對回避、承受、降低或者分擔風險采取一系列行動以便把風險控制在主體的風險容限（risk tolerance） 也有人將其翻譯為“風險容忍度”、“風險承受力”等譯者注。和風險容量以內(nèi)?？刂苹顒又朴喓?/p>

22、執(zhí)行政策與程序以幫助確保風險應(yīng)對得以有效實施。信息與溝通相關(guān)的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。監(jiān)控對企業(yè)風險管理進行全面監(jiān)控，必要時加以修正。監(jiān)控可以通過持續(xù)的管理活動、個別評價或者兩者結(jié)合來完成。企業(yè)風險管理并不是一個嚴格的順次過程，一個構(gòu)成要素并不是僅僅影響接下來的那個構(gòu)成要素。它是一個多方向的、反復(fù)的過程，在這個過程中幾乎每一個構(gòu)成要素都能夠、也的確會影響其他構(gòu)成要素。目標與構(gòu)成要素之間的關(guān)系目標是指一個主體力圖實現(xiàn)什么，企業(yè)風險管理的構(gòu)成要素則意味著需要什么來實現(xiàn)它們，二者之間有著直接的關(guān)系。這種

23、關(guān)系可以通過一個三維矩陣以立方體的形式表示出來。四種類型的目標戰(zhàn)略、經(jīng)營、報告和合規(guī)用垂直方向的欄表示，八個構(gòu)成要素用水平方向的行表示，而一個主體內(nèi)的各個單元則用第三個維度表示。這種表示方式使我們既能夠從整體上關(guān)注一個主體的企業(yè)風險管理，也可以從目標類別、構(gòu)成要素或主體單元的角度，乃至其中的任何一個分項的角度去加以認識。有效性認定一個主體的企業(yè)風險管理是否“有效”，是在對八個構(gòu)成要素是否存在和有效運行進行評估的基礎(chǔ)之上所作的判斷。因此，構(gòu)成要素也是判定企業(yè)風險管理有效性的標準。構(gòu)成要素如果存在并且正常運行，那么就可能沒有重大缺陷，而風險則可能已經(jīng)被控制在主體的風險容量范圍之內(nèi)。如果確定企業(yè)風險

24、管理在所有四類目標上都是有效的，那么董事會和管理當局就可以合理保證他們了解主體實現(xiàn)其戰(zhàn)略和經(jīng)營目標、主體的報告可靠以及符合適用的法律和法規(guī)的程度。八個構(gòu)成要素在每個主體中的運行并不是千篇一律的。例如，在中小規(guī)模主體中的應(yīng)用可能不太正式，不太健全。盡管如此，當八個構(gòu)成要素存在且正常運行時，小規(guī)模主體依然會擁有有效的企業(yè)風險管理。局 限盡管企業(yè)風險管理帶來了重要的好處，但是仍然存在著局限。除了前面討論過的因素之外，局限還導源于下列現(xiàn)實：人類在決策過程中的判斷可能有紕漏，有關(guān)應(yīng)對風險和建立控制的決策需要考慮相關(guān)的成本和效益，類似簡單誤差或錯誤的個人缺失可能會導致故障的發(fā)生，控制可能會因為兩個或多個人

25、員的串通而被規(guī)避，以及管理當局有能力凌駕于企業(yè)風險管理決策之上。這些局限使得董事會和管理當局不可能就主體目標的實現(xiàn)形成絕對的保證。涵蓋內(nèi)部控制內(nèi)部控制是企業(yè)風險管理不可分割的一部分。這份企業(yè)風險管理框架涵蓋了內(nèi)部控制，從而構(gòu)建了一個更強有力的概念和管理工具。內(nèi)部控制是在內(nèi)部控制整合框架中加以定義和描述的。由于該框架經(jīng)受了時間的考驗，并且成為現(xiàn)行規(guī)則、法規(guī)和法律的基礎(chǔ)，因此那份文件對內(nèi)部控制的定義和框架依然有效。盡管內(nèi)部控制整合框架的正文中只有一部分被本框架所引用，但是本框架通過參考的方式把該框架整體融合了進來。職能與責任主體中的每個人都對企業(yè)風險管理負有一定的責任。首席執(zhí)行官（CEO）負有首要

26、責任，并且應(yīng)當假設(shè)其擁有所有權(quán)。其他管理人員支持主體的風險管理理念，促使符合其風險容量，并在各自的責任范圍內(nèi)依據(jù)風險容限去管理風險。風險官、財務(wù)官、內(nèi)部審計師等通常負有關(guān)鍵的支持責任。主體中的其他人員負責按照既定的指引和規(guī)程去實施企業(yè)風險管理。董事會對企業(yè)風險管理提供重要的監(jiān)督，并察覺和認同主體的風險容量。很多外部方面，例如顧客、賣主、商業(yè)伙伴、外部審計師、監(jiān)管者和財務(wù)分析師常常提供影響企業(yè)風險管理的有用信息，但是他們不但不對主體的企業(yè)風險管理的有效性承擔任何責任，而且也不是它的組成部分。本報告的結(jié)構(gòu)本報告分兩卷。第一卷包括“基本框架”和本部分“內(nèi)容摘要”?！盎究蚣堋苯o企業(yè)風險管理下定義，并

27、講述原則和概念，為企業(yè)和其他組織中的各級管理人員提供用來評價和增進企業(yè)風險管理有效性的指導?！皟?nèi)容提要”是一個針對首席執(zhí)行官、其他高級管理人員、董事會成員和監(jiān)管者的高度概括。第二卷應(yīng)用技術(shù)（Application Techniques），講解在應(yīng)用本框架各個要素的過程中有用的技術(shù)。本報告的使用根據(jù)本報告的建議所可能采取的行動，取決于相關(guān)方面的地位和職責：董事會董事會應(yīng)當與高級管理人員討論主體企業(yè)風險管理的現(xiàn)狀，并提供必要的監(jiān)督。董事會應(yīng)當確信知悉最重大的風險，以及管理當局正在采取的行動和如何確保有效的企業(yè)風險管理。董事會應(yīng)當考慮尋求內(nèi)部審計師、外部審計師和其他方面的參與。高層管理當局本項研究建

28、議首席執(zhí)行官評估組織的企業(yè)風險管理能力。方法之一是，首席執(zhí)行官把業(yè)務(wù)單元（business unit）領(lǐng)導和關(guān)鍵職能機構(gòu)人員召集到一起，討論對企業(yè)風險管理能力和有效性的初步評價。不管采取什么方式，初步評估應(yīng)該確定是否需要以及如何進行更廣泛、更深入的評價。主體中的其他人員管理人員和其他人員應(yīng)該考慮如何根據(jù)本框架去履行他們的職責，并與更高層的人員討論有關(guān)加強企業(yè)風險管理的看法。內(nèi)部審計師應(yīng)該考慮他們關(guān)注企業(yè)風險管理的范圍。監(jiān)管者本框架能增進有關(guān)企業(yè)風險管理的共識，包括它能干什么，以及它的局限。監(jiān)管者在對他們所監(jiān)管的主體采用規(guī)則或指南等形式設(shè)定期望，或進行檢查時，可以參考本框架。專業(yè)組織為財務(wù)管理、

29、審計和相關(guān)領(lǐng)域提供指南的規(guī)則制定機構(gòu)和其他專業(yè)組織應(yīng)該對照本框架去考慮它們的準則和指南。消除概念和術(shù)語方面的差別，對所有各方都有好處。教育機構(gòu)本框架可以作為學術(shù)研究和分析的對象，以便探討在哪些方面還能作進一步的改進。假設(shè)本報告能夠被普遍接受的話，它的概念和術(shù)語應(yīng)該設(shè)法進入大學的課程之中。有了這個共同理解的基礎(chǔ)，所有各方將能夠用同一種語言講話，更有效地進行溝通。企業(yè)的執(zhí)行官將能夠?qū)φ找惶讟藴嗜ピu估他們公司的企業(yè)風險管理過程，強化這個過程從而使他們的企業(yè)朝著既定的目標邁進。將來的研究可以建立在一個既定的基礎(chǔ)之上。立法者和監(jiān)管者將能夠獲得對企業(yè)風險管理的更深入的理解，包括它的好處和局限。如果所有各方

30、都利用共同的企業(yè)風險管理框架，這些好處都將實現(xiàn)。企業(yè)風險管理整合框架內(nèi)容摘要基本框架定義【本章摘要】所有的主體都面臨不確定性，對于管理當局的挑戰(zhàn)在于確定在追求增加利益相關(guān)者價值的同時，準備承受多少不確定性。企業(yè)風險管理使管理當局能夠識別、評估和管理面對不確定性的風險，它對于價值創(chuàng)造和保持而言是必不可少的。企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應(yīng)用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證。它包括八個相互關(guān)聯(lián)的構(gòu)成要素，它們與管理當局經(jīng)營企業(yè)的方式密不可分。這些構(gòu)成要素聯(lián)系起來

31、，成為確定企業(yè)風險管理是否有效的標準。本框架的一個關(guān)鍵目標是幫助企業(yè)和其他主體的管理當局在實現(xiàn)主體目標的過程中更好地處理風險。但是企業(yè)風險管理有許多不同的稱謂和解釋，難以形成共同的理解，因而對于不同的人而言意味著不同的含義。因此，一個重要的目的在于把各種不同的風險管理概念整合到一個框架之中，在這個框架中構(gòu)建一個共同的定義，辨別構(gòu)成要素，并講述關(guān)鍵概念。這個框架容納大多數(shù)觀點，為各個主體評估和增進企業(yè)風險管理、為規(guī)則制定團體和教育機構(gòu)的未來行動提供一個出發(fā)點。不確定性與價值企業(yè)風險管理的一個基本前提是每一個主體，不管是營利性的、非營利性的，還是政府機構(gòu)，存在的目的都是為它的利益相關(guān)者提供價值。所

32、有的主體都面臨不確定性，對于管理當局的挑戰(zhàn)在于確定在追求增加利益相關(guān)者價值的同時，準備承受多少不確定性。不確定性潛藏著對價值的破壞或增進，既代表風險，也代表機會。企業(yè)風險管理使管理當局能夠有效地處理不確定性以及由此帶來的風險和機會，從而提高主體創(chuàng)造價值的能力。在企業(yè)經(jīng)營所處的環(huán)境中，諸如全球化、技術(shù)、重組、變化中的市場、競爭和管制等因素都會導致不確定性。不確定性來源于不能準確地確定事項發(fā)生的可能性以及所帶來的影響。不確定性也是主體的戰(zhàn)略選擇所帶來和導致的。舉例來說，一個主體采取基于向其他國家拓展業(yè)務(wù)的增長戰(zhàn)略。所選擇的這個戰(zhàn)略帶來了與該國政治環(huán)境的穩(wěn)定性、資源、市場、渠道、勞動力技能和成本相關(guān)

33、的風險和機會。從戰(zhàn)略制訂到企業(yè)的日常經(jīng)營，在所有的活動中，管理當局的決策都會創(chuàng)造、保持或破壞價值。通過把資源，包括人、資本、技術(shù)和品牌，調(diào)配到能夠產(chǎn)生比過去更多的利益的地方，就會發(fā)生價值創(chuàng)造。當創(chuàng)造的價值通過更高的產(chǎn)品質(zhì)量、生產(chǎn)能力和顧客滿意度以及其他方式得以維持時，就會發(fā)生價值保持。當由于糟糕的戰(zhàn)略或執(zhí)行導致這些目標不能達成時，價值就會被破壞。決策中伴生著對風險和機會的認識，要求管理當局考慮有關(guān)內(nèi)部和外部環(huán)境的信息，調(diào)配寶貴的資源，并針對變化的環(huán)境重新校準行動。當管理當局制訂戰(zhàn)略和目標，去追求增長和報酬目的以及相關(guān)的風險之間的最優(yōu)平衡，并且為了實現(xiàn)主體的目標而高效率和有效地配置資源時，價值得

34、以最大化。企業(yè)風險管理包括：協(xié)調(diào)風險容量與戰(zhàn)略管理當局首先要在評價備選戰(zhàn)略的過程中考慮主體的風險容量，然后在設(shè)定與選定的戰(zhàn)略相協(xié)調(diào)的目標的過程中，以及在構(gòu)建管理相關(guān)風險的機制的過程中，也要考慮主體的風險容量。例如，一家制藥公司與其品牌價值相關(guān)的風險容量較低。因此，為了保護它的品牌，它堅持了大量的規(guī)程以確保產(chǎn)品的安全性，并且經(jīng)常性地投入巨額的資源用于早期的研究與開發(fā)以支持品牌價值創(chuàng)造。增進風險應(yīng)對決策企業(yè)風險管理為識別和在備選的風險應(yīng)對風險回避、降低、分擔和承受之間進行選擇提供了嚴密性。例如，一家利用公司自有和運營的車輛的公司的管理當局認識到在其運送過程中存在的風險，包括車輛損壞和人身傷害成本。

35、可能的選擇包括通過有效的司機招聘和培訓來降低風險，通過外包運送業(yè)務(wù)來回避風險，通過保險來分擔風險，或者簡單地承擔風險。企業(yè)風險管理為這些決策提供方法和技巧。抑減經(jīng)營意外和損失主體增強了識別潛在事項、評估風險和加以應(yīng)對的能力，從而降低意外的發(fā)生和由此帶來的成本或損失。例如，一家制造公司調(diào)整生產(chǎn)部件和設(shè)備故障率和誤差使其接近正常水平。該公司采用多重標準來評估故障的影響，包括維修時間、不能滿足客戶需要、員工安全以及預(yù)定維修與非預(yù)定維修的成本，并據(jù)此制訂維護方案來加以應(yīng)對。識別和管理貫穿于企業(yè)的風險每一個主體都面臨著影響組織的不同部分的無數(shù)風險。管理當局不僅需要管理個別風險，還需要了解相互關(guān)聯(lián)的影響。

36、例如，一家銀行面臨著貫穿于企業(yè)的交易活動的一系列風險，管理當局開發(fā)一套信息系統(tǒng)來分析來自其他內(nèi)部系統(tǒng)的交易和市場數(shù)據(jù)，它與外部生成的有關(guān)信息一起，提供了關(guān)于貫穿于所有交易活動的風險的整體看法。這個信息系統(tǒng)可以向下追溯到部門、客戶或同行、交易商和交易層次，并針對既定類別的風險容量對風險進行量化。這個系統(tǒng)使該銀行能夠把先前分隔的數(shù)據(jù)湊到一起，從而采用整體的和有目的性的看法來更加有效地應(yīng)對風險。提供對多重風險的整體應(yīng)對經(jīng)營過程帶來許多固有的風險，而企業(yè)風險管理能夠為管理這些風險提供整體解決方案。例如，一個批發(fā)配送商面臨著供貨過量和不足、薄弱的供貨來源以及不必要的高采購價格等方面的風險。管理當局以公司

37、戰(zhàn)略、目標和備選的應(yīng)對為背景識別和評估風險，開發(fā)了一套廣泛拓展的存貨控制系統(tǒng)。這個系統(tǒng)與供貨商相整合，共享銷售和庫存信息，幫助選擇戰(zhàn)略伙伴，并通過更長期間的進貨合同和改進的定價方式，避免缺貨和不必要的運送成本。由供應(yīng)商負責補足庫存，從而進一步降低了成本。抓住機會通過考慮潛在事項的各個方面，而不僅僅只是風險，管理當局就能識別代表機會的事項。例如，一家食品公司考慮可能影響其收入持續(xù)增長的潛在事項。在評價這些事項的過程中，管理當局認識到該公司主要消費者的健康意識越來越強，正在改變他們的飲食偏好，對公司現(xiàn)有產(chǎn)品的未來需求呈現(xiàn)下降的趨勢。在確定應(yīng)對的過程中，管理當局明確了通過利用其現(xiàn)有的生產(chǎn)能力去開發(fā)新

38、產(chǎn)品的方法，從而使公司不僅能保持來自現(xiàn)有消費者的收入，而且還能通過吸引更廣泛的消費者來創(chuàng)造額外的收入。改善資本調(diào)配獲取關(guān)于風險的有份量的信息，可以使管理當局有效地評估總體資本需求，并改進資本配置。例如，一家金融機構(gòu)面臨新的監(jiān)管規(guī)則，除非管理當局更加精確地計算信用和經(jīng)營風險水平以及相關(guān)的資本需求，否則就要提高資本要求量。該公司根據(jù)系統(tǒng)開發(fā)成本以及追加的資本成本評估了風險，作出了一個有信息支持的決策。利用現(xiàn)有的可修改軟件，該機構(gòu)開發(fā)了更加精確的計算工具，避免了尋求額外資本的需要。企業(yè)風險管理固有這些能力，它能幫助管理當局實現(xiàn)主體的業(yè)績和贏利目標，并防止資源的損失。企業(yè)風險管理有助于確保有效的報告。

39、它還有助于確保主體符合法律和法規(guī)，避免對主體聲譽的損害以及由此帶來的后果?？傊髽I(yè)風險管理不僅幫助一個主體到達期望的目的地，還有助于避開前進途中的隱患和意外。事項風險與機會事項是源于內(nèi)部或外部的影響目標實現(xiàn)的事故或事件。事項可能有負面影響，也可能有正面影響，或者兩者兼而有之。帶來負面影響的事項代表風險。因此，風險可以定義如下：風險是一個事項將會發(fā)生并給目標實現(xiàn)帶來負面影響的可能性。帶有負面影響的事項阻礙價值創(chuàng)造，或者破壞現(xiàn)有的價值。例子包括機器設(shè)備故障、火災(zāi)和信用損失等。帶有負面影響的事項可能起源于看似正面的情況，比如客戶對產(chǎn)品的需求超過了生產(chǎn)能力，就會導致不能滿足買方的需求，從而損害客戶忠

40、誠度和減少未來的訂單。帶有正面影響的事項可以消弭負面影響，或帶來機會。機會的定義如下：機會是一個事項將會發(fā)生并給目標實現(xiàn)帶來正面影響的可能性。機會支持價值創(chuàng)造或保持。管理當局把機會反饋到戰(zhàn)略或目標制訂過程中，以便規(guī)劃行動去抓住機會。企業(yè)風險管理的定義企業(yè)風險管理處理風險和機會，以便創(chuàng)造或保持價值。它的定義如下：企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應(yīng)用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證。這個定義反映了幾個基本概念。企業(yè)風險管理是：一個過程，它持續(xù)地流動于主體之內(nèi)；由組

41、織中各個層級人員實施；應(yīng)用于戰(zhàn)略制訂；貫穿于企業(yè)，在各個層級和單元應(yīng)用，還包括采取主體層級的風險組合觀；旨在識別一旦發(fā)生將會影響主體的潛在事項，并把風險控制在風險容量以內(nèi)；能夠向一個主體的管理當局和董事會提供合理保證；力求實現(xiàn)一個或多個不同類型但相互交叉的目標它只是實現(xiàn)結(jié)果的一種手段，并不是結(jié)果本身。這個定義之所以比較寬泛，是出于幾個方面的原因。它抓住了對于公司和其他組織如何管理風險至關(guān)重要的關(guān)鍵概念，為不同組織形式、行業(yè)和部門的應(yīng)用提供了基礎(chǔ)。它直接關(guān)注特定主體既定目標的實現(xiàn)，并為界定將在本章后文中討論的企業(yè)風險管理的有效性提供了依據(jù)。以上所列示的基本概念將在下面各個段落中予以討論。一個過程

42、企業(yè)風險管理并不是靜止的，而是滲透于一個主體的各種活動的持續(xù)的或反復(fù)的相互影響。這些活動滲透和潛藏于管理當局經(jīng)營企業(yè)的方式之中。企業(yè)風險管理并不像一些觀察家所認為的那樣是加在主體活動之上的東西。這并不是說有效的企業(yè)風險管理不要求進一步的努力，它可能會那樣要求。例如，在考慮信用和貨幣風險時，可能需要進一步努力去開發(fā)所需的模型和進行必要的分析和計算。但是，這些企業(yè)風險管理機制與主體的經(jīng)營活動交織在一起，為了基本的經(jīng)營理由而存在。當這些機制被構(gòu)建到主體的基礎(chǔ)結(jié)構(gòu)之中，并成為企業(yè)核心要件的一部分時，企業(yè)風險管理就會更加有效。通過建立企業(yè)風險管理，一個主體能夠直接影響其執(zhí)行戰(zhàn)略和實現(xiàn)使命的能力。建立企業(yè)

43、風險管理對于抑制成本具有重要意義，尤其是在許多公司所面臨的高度競爭的市場中更是如此。在現(xiàn)有程序之外增加新的程序會增加成本。通過關(guān)注現(xiàn)有的經(jīng)營業(yè)務(wù)以及它們對有效的企業(yè)風險管理的貢獻，并將風險管理整合到基本的經(jīng)營活動之中，企業(yè)就能夠避免不必要的程序和成本。而且，把企業(yè)風險管理建立在經(jīng)營業(yè)務(wù)的基本框架之中的做法，可以幫助管理當局識別新的機會，以便抓住這些機會實現(xiàn)業(yè)務(wù)增長。由人員來實施企業(yè)風險管理由一個主體的董事會、管理當局和其他人員實施。它是通過一個組織中的人、通過他們的言行來完成的。人制訂主體的使命、戰(zhàn)略和目標，并使企業(yè)風險管理機制得以落實。同樣，企業(yè)風險管理也會影響人的行動。企業(yè)風險管理認識到人

44、們并不總是始終如一地理解、溝通和行動。每個人都會給工作場所帶來一個獨特的背景和技術(shù)能力，他們有著不同的需要和偏好。這些現(xiàn)實影響企業(yè)風險管理，同時也受到企業(yè)風險管理的影響。每個人都有一個獨特的參照點，它影響他或她怎樣去識別、評估和應(yīng)對風險。企業(yè)風險管理提供所需的機制，幫助人們在主體目標的背景下去理解風險。人們必須知道他們的責任和權(quán)力的局限。因此，在人們的職責和他們履行職責的方式以及主體的戰(zhàn)略和目標之間，需要有一個清晰而又密切的聯(lián)系。一個組織中的人包括董事會、管理當局和其他人員。盡管董事主要是提供監(jiān)督，他們也提供指導，審批戰(zhàn)略和特定的交易與政策。因此，董事會是企業(yè)風險管理的一個重要的要素。應(yīng)用于戰(zhàn)

45、略制訂一個主體設(shè)定其使命或愿景，并制訂戰(zhàn)略目標，它們是協(xié)調(diào)和支撐其使命或愿景的高層次的目的。主體為了實現(xiàn)其戰(zhàn)略目標而制訂戰(zhàn)略。它還設(shè)定所希望實現(xiàn)的相關(guān)目標，上至戰(zhàn)略，下至主體的業(yè)務(wù)單元、分部和流程。企業(yè)風險管理應(yīng)用于戰(zhàn)略制訂之中，此時管理當局考慮與備選戰(zhàn)略相關(guān)的風險。舉例來說，一個選擇可能是收購其他公司以擴大市場份額。另一個可能是削減采購成本以實現(xiàn)更高的毛利率。這些戰(zhàn)略選擇中的每一個都會帶來許多風險。如果管理當局選擇第一個戰(zhàn)略，就可能必須向新的和不熟悉的市場拓展，競爭者就可能會占取公司目前市場的份額，或者公司可能沒有能力去有效地實施這一戰(zhàn)略。對于第二個而言，風險包括必須利用新的技術(shù)或供應(yīng)商，或

46、者建立新的聯(lián)盟。企業(yè)風險管理技術(shù)被應(yīng)用在這個層次上，以幫助管理當局評價和選擇該主體的戰(zhàn)略和相關(guān)的目標。應(yīng)用貫穿于企業(yè)在應(yīng)用企業(yè)風險管理時，主體應(yīng)該考慮其全部活動。企業(yè)風險管理考慮組織的各個層級的活動，從諸如戰(zhàn)略規(guī)劃和資源配置等企業(yè)層次的活動，到諸如市場營銷和人力資源等業(yè)務(wù)單元的活動，再到諸如生產(chǎn)和新客戶信用評價等經(jīng)營流程。企業(yè)風險管理還應(yīng)用于特殊項目和目前在主體的層級和組織結(jié)構(gòu)圖中還沒有一個明確位置的新的活動。企業(yè)風險管理要求主體對風險采取組合的觀念。這可能要求負責一個業(yè)務(wù)單元、職能機構(gòu)、流程或其他活動的每一名管理人員對各自的活動形成一個風險評估。這種評估可能是定量的，也可能是定性的。高層管理

47、當局采用復(fù)合的觀念看待組織中的所有層級，以便確定該主體的整體風險組合是否與它的風險容量相稱。管理當局從主體層次組合的角度考慮相互關(guān)聯(lián)的風險。主體中單個單元的風險可能在該單元的風險容限范圍之內(nèi)，但是湊到一起可能會超出該主體作為一個整體的風險容量?；蛘邉偤孟喾?，潛在事項在一個業(yè)務(wù)單元中可能意味著不可接受的風險，但是在其他業(yè)務(wù)單元中存在抵消效應(yīng)。相互關(guān)聯(lián)的風險需要識別和發(fā)揮作用，以便使整體風險符合主體的風險容量。風險容量風險容量是一個主體在追求價值的過程中所愿意承受的廣泛意義的風險的數(shù)量。它反映了主體的風險管理理念，進而影響主體的文化和經(jīng)營風格。許多主體采用諸如高、適中或低之類的分類定性地考慮風險容

48、量，而其他主體則采用定量的方法，反映和平衡增長、報酬和風險目標。具有較高風險容量的公司可能愿意把它的大部分資本配置到諸如新興市場等高風險領(lǐng)域。反過來，具有低風險容量的公司可能會僅僅投資于成熟的、穩(wěn)定的市場，以便限制其短期的巨額資本損失風險。風險容量與一個主體的戰(zhàn)略直接相關(guān)。它在戰(zhàn)略制訂過程中予以考慮，因為不同的戰(zhàn)略會使主體面臨不同的風險。企業(yè)風險管理可以幫助管理當局選擇一個將期望的價值創(chuàng)造與主體的風險容量相協(xié)調(diào)的戰(zhàn)略。風險容量指導資源配置。管理當局通過考慮主體的風險容量和業(yè)務(wù)單元為實現(xiàn)投入資源的期望報酬而制訂的計劃，把資源配置到業(yè)務(wù)單元和活動之中。管理當局考慮風險容量，使其與組織、人員和流程相

49、適應(yīng)，并設(shè)計必要的基礎(chǔ)結(jié)構(gòu)以便有效地應(yīng)對和監(jiān)控風險。風險容限與主體的目標相關(guān)。風險容限是相對于實現(xiàn)一項具體目標而言，可以接受的偏離程度，它通常最好采用那些與度量相關(guān)目標相同的單位進行度量。在設(shè)定風險容限的過程中，管理當局要考慮相關(guān)目標的相對重要性，并使風險容限與風險容量相協(xié)調(diào)。在風險容限范圍內(nèi)經(jīng)營有助于確保該主體能保持在它的風險容量之內(nèi)，進而確保該主體將會實現(xiàn)其目標。提供合理保證設(shè)計和運行良好的企業(yè)風險管理能夠為管理當局和董事會提供關(guān)于主體目標實現(xiàn)的合理保證。合理保證意味著與未來相關(guān)的不確定性和風險，因為沒有人能夠準確地預(yù)知未來。合理保證并不意味著企業(yè)風險管理經(jīng)常會失敗。許多因素獨自或一起加強

50、了合理保證的概念。滿足多重目標的風險應(yīng)對的累積影響，以及內(nèi)部控制多重目的的性質(zhì)，降低了主體可能不能實現(xiàn)其目標的風險。而且，正常的日常經(jīng)營活動和組織中各個層級人員職責的發(fā)揮，都是以實現(xiàn)主體的目標為目的的。事實上，在一些控制良好主體的典型樣本（cross-section）中，幾乎絕大多數(shù)都會經(jīng)常性地被告知朝著它們的戰(zhàn)略和經(jīng)營目標邁進，正常地實現(xiàn)合規(guī)目標，并且一貫地編制期復(fù)一期，年復(fù)一年可靠的報告。但是，不可控的事項、差錯或者不當?shù)膱蟾媾紶栆矔l(fā)生。換句話說，即使是有效的企業(yè)風險管理也會遭遇失敗。合理保證并不是絕對保證。目標的實現(xiàn)在既定使命的背景下，管理當局制訂戰(zhàn)略目標，選擇戰(zhàn)略，并制訂貫穿于企業(yè)之

51、中的、與戰(zhàn)略相協(xié)調(diào)和相關(guān)聯(lián)的其他目標。盡管許多目標是具體針對特定主體的，但有一些是廣泛共通的。例如，在商務(wù)和消費者圈子里樹立和保持正面的聲譽，向利益相關(guān)者提供可靠的報告，以及遵循法律和法規(guī)開展經(jīng)營，是幾乎所有主體共同的目標。本框架將主體的目標分成四類：戰(zhàn)略與高層次的目的相關(guān)，協(xié)調(diào)并支撐主體的目標；經(jīng)營與利用主體資源的有效性和效率相關(guān)；報告與主體報告的可靠性相關(guān)；合規(guī)與主體符合適用的法律和法規(guī)相關(guān)。對主體目標的這種分類使我們可以關(guān)注企業(yè)風險管理的不同側(cè)面。這些各不相同卻又相互交叉的類別一個特定的目標可以歸入多個類別，反映了不同的主體需要，并且可能成為不同管理者的直接責任。這個分類還有助于區(qū)分從每

52、一類目標中能夠期望的是什么。一些主體采用另一類目標，“保護資源”（safeguarding of resources），有時也稱為“保護資產(chǎn)”（safeguarding of assets）。廣義地看，它們是在防止主體的資產(chǎn)或資源的損失，這些損失可能是由于盜竊、浪費、低效率造成的，也可能就是由于糟糕的經(jīng)營決策所造成的例如以過低的價格銷售產(chǎn)品，未能留住關(guān)鍵的員工或防止侵犯專利權(quán)，或者發(fā)生未曾預(yù)見到的債務(wù)。這些主要是經(jīng)營目標，盡管保護的某些方面可以歸入其他的類別。如果適用于法律或監(jiān)管要求，這些就會變成合規(guī)問題。當與公開的報告聯(lián)系起來考慮時，通常用的是保護資產(chǎn)的一個狹義的定義，防止或及時偵查未經(jīng)授權(quán)

53、的購買、使用或處置一個主體的資產(chǎn)，該資產(chǎn)可能對財務(wù)報表有重大影響。企業(yè)風險管理可望為實現(xiàn)與報告的可靠性、符合法律和法規(guī)相關(guān)的目標提供合理保證。這些類型的目標的實現(xiàn)處于主體的控制范圍之內(nèi)，并且取決于主體的相關(guān)活動完成的好壞。但是，戰(zhàn)略目標（例如取得預(yù)定的市場份額）與經(jīng)營目標（例如成功地引入一條新的產(chǎn)品線）的實現(xiàn)并不總是處在主體的控制范圍之內(nèi)。企業(yè)風險管理不能防止糟糕的判斷或決策，或可能導致一項經(jīng)營業(yè)務(wù)不能達成經(jīng)營目標的外部事項。但是，它的確能夠增大管理當局作出更好的決策的可能性。針對這些目標，企業(yè)風險管理能夠合理地保證管理當局和起監(jiān)督作用的董事會及時地了解主體朝著實現(xiàn)目標前進的程度。企業(yè)風險管理

54、的構(gòu)成要素企業(yè)風險管理包括八個相互關(guān)聯(lián)的構(gòu)成要素。它們源于管理當局經(jīng)營企業(yè)的方式，并與管理過程整合在一起。這些構(gòu)成要素是：內(nèi)部環(huán)境管理當局確立關(guān)于風險的理念，并確定風險容量。內(nèi)部環(huán)境為主體中的人們?nèi)绾慰创L險和著手控制確立了基礎(chǔ)。所有企業(yè)的核心都是人他們的個人品性，包括誠信、道德價值觀和勝任能力以及經(jīng)營所處的環(huán)境。目標設(shè)定必須先有目標，管理當局才能識別影響它們的實現(xiàn)的潛在事項。企業(yè)風險管理確保管理當局采取恰當?shù)某绦蛉ピO(shè)定目標，確保所選定的目標支持和切合該主體的使命，并且與它的風險容量相一致。事項識別必須識別可能對主體產(chǎn)生影響的潛在事項。事項識別涉及到從影響目標實現(xiàn)的內(nèi)部或外部原因中識別潛在的事

55、項。它包括區(qū)分代表風險的事項和代表機會的事項，以及可能二者兼有的事項。機會被反饋到管理當局的戰(zhàn)略或目標制訂過程中。風險評估要對識別的風險進行分析，以便形成確定應(yīng)該如何對它們進行管理的依據(jù)。風險與可能被影響的目標相關(guān)聯(lián)。既要對固有風險進行評估，也要對剩余風險進行評估，評估要考慮到風險的可能性和影響。風險應(yīng)對員工識別和評價可能的風險應(yīng)對，包括回避、承擔、降低和分擔風險。管理當局選擇一系列措施使風險與主體的風險容限和風險容量相協(xié)調(diào)?？刂苹顒又朴喓蛯嵤┱吲c程序以幫助確保管理當局所選擇的風險應(yīng)對得以有效實施。信息與溝通相關(guān)的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。主體的各個層級都需要

56、借助信息來識別、評估和應(yīng)對風險。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。員工獲得有關(guān)他們的職能和責任的清晰的溝通。監(jiān)控對企業(yè)風險管理進行全面監(jiān)控，必要時加以修正。通過這種方式，它能夠動態(tài)地反應(yīng)，根據(jù)條件的要求而變化。監(jiān)控通過持續(xù)的管理活動、對企業(yè)風險管理的個別評價或者兩者相結(jié)合來完成。企業(yè)風險管理是一個動態(tài)的過程。舉例來說，風險評估促動風險應(yīng)對，它可能會影響控制活動，并凸顯出考慮信息與溝通的需要或主體的監(jiān)控活動的必要性。因此，企業(yè)風險管理并不只是一個構(gòu)成要素僅僅影響接下來的那一個的順次的過程。它是一個多方向的、反復(fù)的過程，在這個過程中幾乎每一個構(gòu)成要素都能夠并且將會影響

57、另一個要素。任何兩個主體都不可能，也不應(yīng)該以同樣的方式應(yīng)用企業(yè)風險管理。公司和它們的企業(yè)風險管理能力和需求由于行業(yè)和規(guī)模，以及管理理念和文化的不同而大相徑庭。因此，盡管所有的主體都應(yīng)該具備每一個構(gòu)成要素并有效運行，公司對企業(yè)風險管理的應(yīng)用包括采用的工具和技巧以及職能與責任的劃分通常會各不相同。目標與構(gòu)成要素之間的關(guān)系目標是指一個主體力圖實現(xiàn)什么，企業(yè)風險管理的構(gòu)成要素則意味著需要什么來實現(xiàn)它們，二者之間有著直接的關(guān)系。這種關(guān)系通過一個三維矩陣以立方體的形狀體現(xiàn)出來，如專欄1-1所示。專欄1-1 四種類型的目標戰(zhàn)略、經(jīng)營、報告和合規(guī)用垂直方向的欄來表示；八個構(gòu)成要素用水平方向的行來表示；主體和它

58、的單元用立方體的第三個維度表示。每個表示構(gòu)成要素的行“交叉切分”并適用于所有的四類目標。例如，來自內(nèi)部和外部渠道的財務(wù)和非財務(wù)數(shù)據(jù)是信息與溝通這個構(gòu)成要素的一部分，制訂戰(zhàn)略、有效地管理經(jīng)營業(yè)務(wù)、有效地報告以及確定主體符合適用的法律都需要這些數(shù)據(jù)。同樣地，來看看不同類型的目標，所有的八個構(gòu)成要素都和它們中的每一類有關(guān)聯(lián)。以其中的一類經(jīng)營的有效性和效率為例，所有的八個要素對于它的實現(xiàn)不僅都適用，而且都很重要。企業(yè)風險管理與整個企業(yè)或者它的任何單個的單元相關(guān)。這種關(guān)系通過第三個維度來體現(xiàn)，它表示子公司、分部和其他業(yè)務(wù)單元。這樣，我們可以著眼于這個矩陣中的任何一個區(qū)間。例如，我們可以考察頂部右側(cè)后邊的

59、那個區(qū)間，它代表一個特定的子公司與合規(guī)目標有關(guān)的內(nèi)部環(huán)境。應(yīng)該認識到四個欄代表的是一個主體目標的類型，而不是這個主體的某個部分或單元的目標。因此，舉例來說，當考慮與報告有關(guān)的目標類型時，就需要了解關(guān)于主體經(jīng)營的廣泛的信息。但是在這種情況下，應(yīng)該關(guān)注的目標類型是這個模型的中部右側(cè)的欄報告目標，而不是經(jīng)營目標。有效性盡管企業(yè)風險管理是一個過程，它的有效性卻是在某個時點上的一種狀態(tài)或情況。確定企業(yè)風險管理是否“有效”，是在對八個構(gòu)成要素是否存在和有效運行的評估的基礎(chǔ)之上所作出的判斷。因此，構(gòu)成要素同時也是有效的企業(yè)風險管理的判斷標準。如果這些構(gòu)成要素存在且正常運行，那么就可能沒有重大缺陷，而風險可能

60、已經(jīng)被控制在主體的風險容量以內(nèi)。如果確定企業(yè)風險管理在所有四類目標上都是有效的，那么就意味著董事會和管理當局對下列方面的合理保證：他們了解主體實現(xiàn)其戰(zhàn)略目標的程度；他們了解主體實現(xiàn)其經(jīng)營目標的程度；主體的報告是可靠的；符合適用的法律和法規(guī)。盡管為了使企業(yè)風險管理被判定為有效，所有的八個構(gòu)成要素都必須存在和正常運行運用在接下來的各章中講述的原則，但是在構(gòu)成要素之間可能會存在著某些權(quán)衡。因為企業(yè)風險管理技術(shù)可以服務(wù)于許多目的，所運用的與一個構(gòu)成要素相關(guān)的技術(shù)，或許能服務(wù)于通常代表另一個構(gòu)成要素的技術(shù)的目的。此外，針對特定的風險而言，風險應(yīng)對的程度可能有所不同，所以具有互補性的風險應(yīng)對和控制，盡管各