COSO風險管理框架中文版

170+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案COSO管理框架中文版概覽在有許多企業(yè)也已經開業(yè)風險管理的信息(包括大量，而且也很少有普遍接受的原則可供管理者在構建一個有效的風險管理框架時作為指南。COSO委員會已經認識到對企業(yè)風險管理概念性指南的需要，因而該委員會發(fā)起了一個建立一個概念性的、好地理解企業(yè)風險管理及其優(yōu)點和局限性提供一個統(tǒng)一的基礎，以便在風險管理問題方面進行有效地交流。的相關性和其與COSO內部控制報告的關系。如(一)企業(yè)風險管理的相關性。對企業(yè)管理者而言，所面臨的挑戰(zhàn)是在追求企業(yè)利益確定性的程度。不確定性既代表風險，也代表機遇，既存在使企性及相應的風險和機遇，進而提高企業(yè)創(chuàng)造價值的能力。及競爭等。不確定性來源于無法明確地決定潛在事項將要發(fā)生的可能性及其相應結果。從戰(zhàn)略的制定到企業(yè)的日常經營，管理者的決策會創(chuàng)造、保持或減少企業(yè)的價值。決策的本質就是確認風險和機遇，它要求企業(yè)的管理1應在考慮企業(yè)內、外部環(huán)境的因素的基礎上，對企業(yè)的稀缺資源進行配置，并且根據(jù)環(huán)境的不斷變化來調整企業(yè)的活動。的價值。對于政府機構，當該機構以一個可接受的成本所提織的價值。企業(yè)風險管理使管理者能夠創(chuàng)造持久的價值并能夠將創(chuàng)造價值的信息傳遞給利益相關方。所有企業(yè)都是在有風險的環(huán)境下經營，而不是企業(yè)風險管理使企業(yè)面臨這樣的環(huán)境。企業(yè)風險管理是使管理者能夠在充滿風險的環(huán)境中更加有效地經營。企業(yè)風險管理使企業(yè)的管理者能夠：(1)將風險偏好和企業(yè)的戰(zhàn)略結合在一起。從廣義來講，風險偏好是一個公司或企業(yè)在追求其目標的過程中愿意接受的風險的程度。管理者在評估企業(yè)的戰(zhàn)略方案時首先要考慮企業(yè)的風險偏好，其后，在制定與企業(yè)戰(zhàn)略相對應的目標和建立一定的機制管理相應的風險時也應考慮企業(yè)的風險偏好。(2)將企業(yè)成長、風險和收益聯(lián)系起來理提高了企業(yè)確認和評估風險的能力，進而使企業(yè)能夠確定相對于企業(yè)成長性和收益目標而言的風險的可接受水(3)增加風險反應決策企業(yè)風險管理提供了確認和選擇不同的風險反應方案的嚴格標準。企業(yè)的風險反應方案包括風險規(guī)避、風險270+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案降低、風險共擔和風險接受。企業(yè)風險管理提供了進行相關決策的方法和技術。(4)使企業(yè)的經營意外和損失最小化的(5)確認和管理企業(yè)的總體風險風險進行管理，還需要了解風險對企業(yè)總體的影響。(6)針對多重風險提供完整的反應方案企業(yè)的經營過程存在許多內在的風險，企業(yè)風險管理就是為管理風險提供一整套解決方案。(7)抓住機遇一潛在事項表明何種機遇有一個了解。(8)合理分配資金的資金需要，改進企企業(yè)風險管理向董事會提供最重要的風險的信息以及這些風險應如何管理的建議，進而與公司治理相聯(lián)系。而且，風險管理與企業(yè)的績效管理也有關，風險管理通過提供風險調現(xiàn)其經營和利潤目標、防止資源的浪費。它還有助于確保企業(yè)報告的有效性。此外，企業(yè)風險管理還有助于保證企業(yè)遵守有關的法律、法規(guī)，避免其聲譽受損并防止產生相應的不良后果?？傊?，企業(yè)風險管理可以幫助一個經濟主體實現(xiàn)其目標、及在實現(xiàn)目標的過程中避開陷井和防止意外的發(fā)生。(二)企業(yè)風險管理的定義在事項并在其風險偏好范圍內管理風險，對企業(yè)目標的實現(xiàn)提供合理的保證。這一定義反映了一些基本概念：1．企業(yè)的風險管理是一個過程――其本身并不是一個目的，而是實現(xiàn)目的的一種方式。4．企業(yè)風險管理應在整個企業(yè)范圍內應用，在每一個經營層面和每一個單位內應用，并應以一種企業(yè)總體的風險組合的觀點來看待。5．風險管理的設計應有助于確認會對企業(yè)造成潛在影響的事項并確保在企業(yè)風險偏好的范圍內管理企業(yè)的6．風險管理僅為企業(yè)的管理者和董事會提供合理的保證。7．企業(yè)風險管理的目標是幫助企業(yè)一類或幾類單獨并相互重疊的目標的實現(xiàn)?；靖拍?，并可以供一個基礎。上述基本概念詳細論述如下：企業(yè)的風險管理并不是一個事項或環(huán)境，而是滲透于企業(yè)各項活動中一系列行動。這些行動普遍存在于管理SO來建立必要的評估模型并進行必要的分析和計算。但是，這些機制成為企業(yè)的基礎設施并真正成為企業(yè)的一部分時，企業(yè)的風險管理會最有效。通過建立風險管理，企業(yè)可以直接提高自身的戰(zhàn)略執(zhí)行能力，并提高企業(yè)預期和任務的實現(xiàn)能力。370+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案臨高度競爭的市場環(huán)境的理的貢獻，并將風險管理整合到企業(yè)的基本經營活動之中，一個企業(yè)就能夠避免不必要的工序和成本。并且，將風險管理整合到企業(yè)日常的經營過程中有助于管理者抓住企業(yè)發(fā)展的新機遇。響，是通過人的所做和所說實現(xiàn)的。是企業(yè)內的人制定企業(yè)的任務/預期，戰(zhàn)略和目標，并實施企業(yè)的風險管理機制。同樣，企。這些因素都會影響企業(yè)的風險管理，也會受風險管理。企業(yè)的員工必須了解他們自己的職責和權限。因此，除了要明確員工的職責和企業(yè)的戰(zhàn)略和目標之間的聯(lián)系之外，還要明確員工的職責和他們履行職責的方式之間的聯(lián)系。__提供指導，核準企業(yè)的戰(zhàn)略、某些活動和政策。因此，董事會是企業(yè)風險管理的重要組成部分之一。應用于企業(yè)戰(zhàn)略的制定一個企業(yè)要確定其預期或任務，并制定其戰(zhàn)略目標。企業(yè)的戰(zhàn)略目標是企業(yè)最高層次的目標，它與企業(yè)的預應的目標，再將目標層層分解到企業(yè)的各業(yè)務部門、行政部門和生產線。在制定企業(yè)的戰(zhàn)略方案時，管理者應考慮與不同的戰(zhàn)略方案相關的風險。為使企業(yè)的風險管理獲得成功，一個企業(yè)必須從全局，從企業(yè)總體層面上考慮企業(yè)的活動。企業(yè)的風險管理應考慮組織內所有層面的活動，從企業(yè)總體的活動(如戰(zhàn)略計劃和資源分配)到各業(yè)務部門的活動(如市場部、人力資源部)，到各業(yè)務流程(如生產過程和新客房信用審核)等等。企業(yè)風險管理還可用于特定項目和新的行動計劃，盡管該項目或計劃可能在企業(yè)的管理流程或組織流程圖中尚無明確的定位。企業(yè)風險管理要求企業(yè)以風務部門、行政部門、生產流程或其他活動的管理者對本部門的否與企業(yè)的風險偏好相對應。管理者應以總體的組合觀來考慮相但從總體來看，合并后的風險可能超過了企業(yè)總體的風險偏好。企業(yè)總的風險偏好應通過對特定目標確立相應的風險容忍度的方式在企業(yè)內部向下貫徹。5．風險偏好風險偏好是指一個企業(yè)在追求價值最大化的同時所愿意接受的風險的數(shù)量。企業(yè)通常采用定性的方法分析風定量的方法分析風險偏好，反映出企業(yè)的成長性、收益性和險偏好，不同的戰(zhàn)略會給企業(yè)帶來不同的風險，在戰(zhàn)略制定時應用風險管理，其目的是幫助管理者選擇與企業(yè)的風險偏好相一致的戰(zhàn)略。企業(yè)的風險偏好指導企業(yè)的資源配置。管理者在各業(yè)務部門間分配資源時應考慮企業(yè)的風險偏好和各個業(yè)務部門為取得預期的收益率所采用的戰(zhàn)略。管理務流程聯(lián)系起來考慮，并應建立對風險有效反應和監(jiān)督的必件設施。風險容忍度時，管理者應考慮相關目標的相對重要性并將風險容忍度與企業(yè)的風險偏好聯(lián)系在一起。在風險容忍度的范圍之內經營更能夠保證企業(yè)所承受的風險在其風險偏好的范圍內。反過來，就能夠對企業(yè)目標的實現(xiàn)提供更高程度的保證。保證。如果企業(yè)的風險管理有效，董事會和管理者在以下幾個方面得到合理的保證：－了解企業(yè)戰(zhàn)略目標實現(xiàn)的程度；470+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案規(guī)遵守的情況?！昂侠肀ＷC”反映了“不確定性和風險都是與未來相關，而未來是沒有人可以確切地預測的”這一思想。這種局個人的串通而繞過控制；管理者可能忽視企業(yè)的風險管理決策等等。這些限制使得董事會和管理者無法在企業(yè)目標實現(xiàn)方面得到絕對保證。有效的風險管理應該能夠為企業(yè)目標的實現(xiàn)提供合理的保證，包括報告的可靠性、合法合規(guī)性目標等等。這依賴于相關活動執(zhí)行的好壞。但是，戰(zhàn)略目標和經營目標的實，企業(yè)風險管理只能合理保證管理者和董事會從宏觀上及時了解企業(yè)目標實現(xiàn)的進度。(三)企業(yè)風險管理的組成要素根據(jù)管理者經營的方式劃分，企業(yè)風險管理包括八個相互關聯(lián)的組成要素，這八個要素滲透于企業(yè)管理的過環(huán)境影響企業(yè)戰(zhàn)略和目標的制定、業(yè)務活動的組織和風險的識別、評估和執(zhí)行等等。它還影響企業(yè)控制活動的設計和執(zhí)行、信息和溝通括企業(yè)員工的道德觀和勝任能力、人員的培訓、管理者的經營模個重要組成部分，對其他內部環(huán)境的組成內容有重要的影責是建立企業(yè)的風險管理理念、確定企業(yè)的風險偏好，營造企動計劃結合起來。讓企業(yè)所有員工了解企業(yè)的風險管理理念有利于提高雇員確認和有效管理風險的能力。風險管理理念是企業(yè)對風險的信念，是企業(yè)選擇處理其活動和風險的方溝通方式向企業(yè)的員工宣傳。更重要的是，管理者不應僅僅是管理者設定，董事會復核，是企，風險管理有助于管理者選擇與企業(yè)的風險偏好相一致的戰(zhàn)略方過程與硬件設施整合在一起，使得在戰(zhàn)略的成功執(zhí)行的同時將風態(tài)度、價值觀和實務操作程序的組合，表明企業(yè)在其日?；顒又锌创L險的方式。對于許多公司而言，風險文化來自于企業(yè)的風險理念和風險偏好。對那些不能明確界，而導致一個企業(yè)內存在明顯不同的風險文化，甚至在一化。層層戰(zhàn)略方案相聯(lián)系。在能夠確定對目標的實現(xiàn)有潛在影響的事些目標還與企業(yè)的風險偏好相一致。企業(yè)的目標可以分為四類：－戰(zhàn)略目標是企業(yè)的高層次目標，與企業(yè)的任務和預期相聯(lián)系并支持企業(yè)的任務和預期的實現(xiàn)。－經營目標是指企業(yè)經營的效率性和效果性，包括經營業(yè)績目標和盈利能力目標，由于管理者對企業(yè)結構和經營的不同選擇，各企業(yè)的經營目標也不盡相同。－報告目標指企業(yè)報告的有效性，包括企業(yè)內部和外部的報告，既包括財務信息，也包括非財務信息。－合法性目標是指企業(yè)符合相關的法律和法規(guī)。企業(yè)目標的這種分類可以使企業(yè)的管理者和董事會注意企能不僅僅屬于某一類目標。企業(yè)的這些目標既相互區(qū)別但又相業(yè)的某一個執(zhí)行官作為其直接職責。這種分類還可以區(qū)分企業(yè)不同類別目標的期望之間的區(qū)別。某些企業(yè)還有另一類目標――“資源的安全”，有時也叫“資產的安全”。從570+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案權的侵害行為，或者是出現(xiàn)未預期的負債等等)所引起的流失。對某種報告目的而言，這種廣義的資產安全類目發(fā)生或者如果發(fā)生其可以包含不同的技術及其與相應的工具的組合。事項識別技術既針對過去，又針對未來。針對過去的事項和趨勢的識別技術主要要考慮類似支付錯誤的歷史、商品價格的變化和浪費時間的突發(fā)事件(Lost-timeaccidents)等事項，而針對未來風險的技術則主要考慮不斷變化的人口統(tǒng)計資面上對事項進行匯總、在營運部門內部對事項進行垂直地匯總，管理者能夠對事項之間的相互關系有一個了解，這些信息也可以作為風險評估的基礎。潛在的事項可能對企業(yè)有正面的影響、也可能有負面的影響或者兩種影響影響的事項則是企業(yè)的機遇或者可以彌補風險對企業(yè)的負面影響。機遇可以在企業(yè)戰(zhàn)略或目標制定的過程中加以考慮，以制定有關行動抓住機遇?？赡軓浹a風險對企業(yè)負面影響的事項則應在管理者對風險進行評估和反應的階段予以考慮。風險評估可以使企業(yè)了解潛在事項如何影響企業(yè)目標的實現(xiàn)。管理者應從兩個方面對風險進行評估――風險特定事項發(fā)生的可能性，影響則是指事項的發(fā)生將會帶來的影去的可觀察事項得到的數(shù)據(jù)，這比沒有任何數(shù)據(jù)的、完全的主觀估計要客觀得多。根據(jù)企業(yè)自己的經驗在企業(yè)內部產生的數(shù)據(jù)帶有較少的人的主觀偏見，能夠得到比外部數(shù)據(jù)更好的結果。但是，即使是以內部數(shù)據(jù)作為主要的資料來源，外部數(shù)據(jù)仍能用作一個檢查標準或者改進分析。當使用過去數(shù)據(jù)對未來進行預測時使用者必須小心，因為影響過去事項的有關因素可能會隨著時間的推移而析技術的組合。當風險本身無法量化時，或者量化評估所要求充足的可靠的數(shù)據(jù)實際不可獲得或者數(shù)據(jù)獲得或分析不符合成本效益原則時，管理者通常會采用定性的分析技術。定量的分析技術通常更加精確，一般用于更為復雜多變的活動，作為定性分析的補充。一個企業(yè)不需要在任何情況下，各業(yè)務部門所使用的評估技術應有利于企業(yè)在整個企業(yè)的范圍內對風險的評估。在衡量目標的實風險對實現(xiàn)某一特定目標的潛在影響時，使用這些計量指標同樣有效。管理者可以評估各事項之間的關系，因為一系列相互關聯(lián)的事項結合起來會使得事項的發(fā)生概率或者可以分別對其進行評估，但是某些風險可能在企業(yè)的多個業(yè)務部門出現(xiàn)時，管理者可以將所確認的風險歸為一類進行評估。通常一個潛在事項結果是一個可能的范圍值，管理者應將其作為制定風險反應方案的基礎。通過風險評估，管理者可以了解潛在事項在整個企業(yè)內對企業(yè)的正面和負面的影響，單個事項或某類事項對企業(yè)的影響。管理者通常只趨于關注中短期的風險，但風險應在企業(yè)戰(zhàn)略和目標的前提下進行評估。由于戰(zhàn)略方向和目標的某些要素涉及較長時期，管理者因而應從長期的角度認識風險，而不能忽視遠期會影響企業(yè)的風險。首先，應對企業(yè)的固有風險進行評估。固有風險是指管理者在沒有采取任何會改變風險發(fā)生的可能性或影響的管理措施的情況下企業(yè)所面臨的風險。一旦確定了對固有風險的風險反應方案，管理者就可以使用風險評估技術確定企業(yè)的殘留風險。殘留風險是指管理者采取了有關風險管理措施后應存在的風險。個方案如何影響事項案。考慮各風險反應方案并選擇和執(zhí)行一個風險反670+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案應方案是企業(yè)風險管理不可分割的一部分。有效的風險管理要求管理者選擇一個可以使企業(yè)風險發(fā)生的可能性和險則是不采取任何改變風險發(fā)生的可能性或影響的行動。作為企業(yè)風險管理的一部分，對于每一個重要的風險，企業(yè)都應按風險反應的類型考慮所有的風險反應方案，這樣有助于風險反應方案的選擇，這也是對“現(xiàn)狀”提出的定的方法使得每一生產部門、行政部門或業(yè)務單位的管理者可以對風險進行復合式的評估以決定該部門的風險反應方案。這種視角可以反映相對于各部門的目標和風險容忍度該部門的風險組合。在對各個獨立部門的風險有一個認識的基礎上，企業(yè)最高層的管理者應以組合的角度看待風險，以決定企業(yè)的風險組合與相對企業(yè)目標而言的總體的風險偏好是否相符。管理者應認識到一定水平的殘留風險總是存在的，這不僅是因為資源的有限性，還因為未來有其內在的不確定性和所有活動的固有限制。6．控制活動于企業(yè)的各部分、各個層面和各個部門。控制活動是企業(yè)努力實現(xiàn)其商業(yè)目標的過程的一部分。通常包括兩個要素：確定應該做什么的一個政策和影響該政策的一系列過程。由于企業(yè)的控制活動與企業(yè)的信息系統(tǒng)廣泛相關，因此，應對企業(yè)所有的重要系統(tǒng)進行控制。廣義來講，對信息系統(tǒng)控制活動可以分為兩類。一類是一般控制，這類控制應用于大多數(shù)應用另一類是應用控制，包括用于控制技術應用的應用軟件內部的電控制相結合，可以保證信息的完整性、精確性和有效性。一般有的系統(tǒng)，從主機到客戶端(服務端)到桌面電腦環(huán)境。信息技術管理控制主要包括明確信息技術的勘漏過程、監(jiān)督和報告信息技術活動及業(yè)務改進的初步行動等等。應用控制的目的是保證數(shù)據(jù)獲得和業(yè)務處理過程的完整以很快地被發(fā)現(xiàn)。因為每一個主體都有其自己的一套目標和執(zhí)活動也會不同。即使兩個企業(yè)有同樣的目標和結構，他們的控同的管理人員在影響內部控制時使用不同的個人判斷。而且，控制活動反映了一個企業(yè)所處的環(huán)境和行業(yè)，也會反映企業(yè)的復雜性、企業(yè)的歷史和文化。7．信息和溝通來自于企業(yè)內部和外部的相關信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞，以保證企業(yè)的員工溝通還包括將相關的信息與企業(yè)外部相關方的有效溝通和交換，如客戶、供應商、行政管理部門和股東等。企業(yè)內部各個管理層都需要信息來幫助識別、評估風險和對風險進行反應，以及進行經營并實現(xiàn)企業(yè)的目標。相對于某一類或幾類目標，某一批信息是有用的。企業(yè)的信息來自于各個方面，包括內部和外部的信息、量化的和非量煉出或指導行動的信息是企業(yè)管理者所面臨的一個挑戰(zhàn)。解決這一問題的方法是建立一個信息系統(tǒng)底層結構來確認、捕捉、處理、分析和報告相關信息。這些信息系統(tǒng)通常是電腦系統(tǒng)，但也包括手工錄入或人機界面。因此，這些信息系統(tǒng)經常是指處理企業(yè)相關業(yè)務產生的內部數(shù)據(jù)的系統(tǒng)。長期以來信息系統(tǒng)是用來支持企業(yè)的商業(yè)戰(zhàn)數(shù)據(jù)。歷史數(shù)據(jù)使企業(yè)能夠將實際業(yè)績與目標、計劃和期環(huán)境下是如何生存的，使得管理者確認相關性和趨勢并預測未來的業(yè)績。歷史數(shù)據(jù)還能夠對需要管理者注意的潛在事項提早提出警告。現(xiàn)在或現(xiàn)狀的數(shù)據(jù)使企業(yè)能夠評估在某一圍內?，F(xiàn)狀數(shù)據(jù)使得管理者可以實時地了解一個過程、職能部門或單位現(xiàn)存的固有風險和差異的大小。這對了解企業(yè)的風險組合提供了一個視角，使得管理者能夠在必要時改變企業(yè)的活動以滿足企業(yè)的風險偏好。通渠道之一是高級管理者和董事會之間的溝通。管理者必須使董事會了解關于企業(yè)業(yè)績、發(fā)展、風險管理執(zhí)行和其770+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案他相關事項和問題的及時信息。溝通越暢通，董事會在執(zhí)行其監(jiān)督職能、重大問題的宣傳媒介職能和提供建議、供特定的或直接的溝通渠道說明對員工的行為預期和各自的職責。應包括對企業(yè)風險管理原理和方法以及員工權基礎。此外，信息的列示會直接影響對信息的解釋和對相應的風險或機遇的看法，因此，對于溝通應有一個適當?shù)募軜?。溝通應使企業(yè)的員工了解有效地企業(yè)風險管理的重要性和相關性，了解企業(yè)的風險偏好和風險容忍度，并在企業(yè)內執(zhí)行、設計一個統(tǒng)一的風險用語并向員工說明他們在影響和支持企業(yè)風險管理要素中的地位和職責。行風險信息的溝通。大多數(shù)情況需要一個單獨的信息溝通途徑作為防止失敗機制，而為一途徑在正常情況下是不用的。在所有的情況下，讓企業(yè)的員工了解企業(yè)內并不存在對報告相關信企業(yè)的風險偏好和風險容忍度與客戶、供應商和合伙人的風險偏好和風險容忍度聯(lián)系起來考慮，以保證不會通過企業(yè)的業(yè)務活動給企業(yè)帶來太多的風險。外部相關方的信息經常會為企業(yè)風險管理的運行提供重要的信息。對企業(yè)風險管理的監(jiān)控是指評估風險管理要素的內容和運行以及一段時期的執(zhí)行質量的一個過程。企業(yè)可以通過兩種方式對風險管理進行監(jiān)控――持續(xù)監(jiān)控和個別評估。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風險管理行評估，而持續(xù)監(jiān)控則會在問題一發(fā)生就很快被發(fā)現(xiàn)。雖然如此，許多使用持續(xù)監(jiān)控的企業(yè)仍舊進行風險管理的個別評估。個別評估的頻率是企業(yè)管理者的主觀判斷問題。員工進行風險反應和相應控制的能力和經驗、持續(xù)監(jiān)控的結果等因素。通常，將持續(xù)監(jiān)控和個別評估進行一定的結合使用會保證企業(yè)風險管理長期的有效性。對企業(yè)風險管理進行記錄的程度根據(jù)企業(yè)的規(guī)模、經營的復雜性和其他因素的影響而有所不同。企業(yè)風險管理的內容沒有記錄并不意味著風險管理無效或無法對風險管理進行評__估。但是，適當程度的記錄通常會使對風險管理的監(jiān)控更為有效果和有效率。當企業(yè)管理者打算向企業(yè)外部相關方提供關于企業(yè)風險管理效率的報告時，他們則應考慮為企業(yè)風險管理設計一套記錄模式并保持有關的記錄。目標的能力。對此，應將企業(yè)其采取必要的措施以糾正風險管理失效。企業(yè)所需溝通的事項的性質根據(jù)各人處理各種情況的權限和監(jiān)控者的查漏活動的不同而不同。這里“失效”是指企業(yè)風險管理過程中一個機會，以增加企業(yè)目標實現(xiàn)的可能性。在經營活動中產生的信息通常通過正常的渠道進行報告。對于敏感性或不正當?shù)幕顒印Ｏ蚱髽I(yè)內適當?shù)墓芾韺犹峁╆P于風險管理失效有關信息外，還應收到影響其權限范圍內人員的行動或行為(四)風險管理要素和企業(yè)目標之間的關系企業(yè)的風險管理框架包括四類目標和八個要素。四類目標分別是戰(zhàn)略目標、經營目標、報告目標和合法性目個部分或部門。因此，例如，當考慮與報告相關的那類目標時，需要關于企業(yè)經營的大量信息，但是在這種情況下主要關注的是風險管理模型右手邊中間這一欄——報告目標——而不是經營類目標。圖2將立方體中水平各行的內容進行擴展，說明各風險管理要素的主要內容，其中每一要素也就代表一個(五)有效性定一個企業(yè)的風險管870+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案業(yè)的風險管理框架必須包括所有的八個要素，并得到貫徹執(zhí)行。但是，這并不意味著每一要素在不同的企業(yè)間，甚至是不同企業(yè)的同一管理層次上，都必須執(zhí)行同樣的功能。因為不同的要素之間可能存在著作用的相互抵消。可能各自對企業(yè)的影響都有限，合并后仍可以保持在風險容忍度的范圍內。概念。企業(yè)風險管理可以從一個企業(yè)的總體來認識，也可以從一個單獨的部門或多個部門的角度來認識。即使是站在某一特定的業(yè)務部門的角度來看待風險管理，所有的八要素也都應作為基準包含在內。。為保證企業(yè)風險管理的有效性，母公司應從公司戰(zhàn)略和目標的角度考慮與被投資方一起充分應用風險管理八要素的程度。(六)包括內部控制內部控制是企業(yè)風險管理不可分割的一部分。這里所說的企業(yè)風險管理框架包括內部控制，為企業(yè)的管理提部控制——整體框架》是現(xiàn)有的規(guī)則、法規(guī)和法律的基礎，因此本討論稿保留其對內部控制的定義。整個《內部控制——整體框架》報告都是本框架的參考。(七)企業(yè)風險管理的局限性。人的決策可能會出錯，因而企業(yè)很有可能由于人的把一個本來就很差的管理者變好。此外，企業(yè)員工兩人或多人合謀可以繞過控制，管理者也有權利繞過企業(yè)的風險管理過程，包括風險反應和風險控制過程等。企業(yè)風險管理的收益必須對應風險管理的成本。因此，雖然企業(yè)風險管理可以幫助管理者實現(xiàn)企業(yè)的目標，但它并不是一顆萬靈丹。(八)各管理層在企業(yè)風險管理中的地位和職責一個組織的每個人在企業(yè)風險管理中都負有責任。企業(yè)的管理者向董事會負責，而董事會向管理者履行治理、指導和監(jiān)督職能。通過選舉管理者，董事會在界董事會對企業(yè)的風險管理負有監(jiān)督職責，主要通過以下方式實現(xiàn)其職責：－了解管理者在企業(yè)內部建立有效的風險管理的程度；偏好；－復核企業(yè)的風險組合觀并與企業(yè)的風險偏好相對照；－評估企業(yè)最重要的風險并評估管理者的反應是否適當。董事會是企業(yè)內部環(huán)境的一個組成部分，必須有保證風險管理有效的必要的組織和對風險管理的關注。企業(yè)的首席執(zhí)行官對企業(yè)的風險管理最終負責，即擁有企業(yè)風險管理的“所有權”。與企業(yè)內其他員工不同，這會影響企業(yè)內部環(huán)境中的員工操守和價值觀及其他因素。在一個大公司中，首席執(zhí)行官通過向高級管理者分派領導權和提供指令并復核其管理企業(yè)的方式等來履行其職能。高級管理者會進一步將制定更具體的風險管理政策和程序的責任分派給負責各部門運行的員工。而在一個小企行官。此時各職能部門的領導者也是很重要的，如法律970+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案營和其他部門的活動到處都存在著3．風險管理者其他管理者一起在他們的職責范圍內建立并維護有效的風險管理框架。首席風險管理經理也可以擔當監(jiān)督風險管理進度和幫助其他管理人員在企業(yè)內向上、向下和橫向報告有關風險信息的職責，并可以成為企業(yè)風險管理委員會的一員。殊要求。他們可能通過對管理者風險管理過程的充分性和有效、報告和提出改進建議來幫助管理者和董事會或審計委員會。員工從某種程度上講，企業(yè)風險管理是企業(yè)內每一個員工的責任，因此，風險管理應是企業(yè)內每一個員工的工作問題，未遵守有關的行為規(guī)則的情況、其他違反政策的企業(yè)的財務報表進行審計和對企業(yè)的內部控制進行復核，直接有助于企業(yè)目標的實現(xiàn)。同時，外部審計人員還可，間接地為企業(yè)目標的實現(xiàn)作出貢獻。其他向企業(yè)提供風險戶，其他與企業(yè)進行交易的各方，財務分析師、債券承銷商和(九)本報告的用途企業(yè)根據(jù)本報告所采取的行動還應考慮下述各方的地位和利益：董事會成員應該與企業(yè)的高級管理人員討論企業(yè)風險管理的狀況并在必要的時候進行監(jiān)督。董事會應該保證企業(yè)風險管理體制能夠為董事會提供與企業(yè)戰(zhàn)略和目標相關的最重要的風險的評估，包括企業(yè)的管理者采取了什咨詢顧問外獲得有關的信息。本研究建議企業(yè)的首席執(zhí)行官應評估企業(yè)風險管理的適應性。使用本框架，CEO就可以與企業(yè)的其他主要經營和財務主管一道，注意企業(yè)內需要注意的地方。使用一定的方法，CEO可以將企業(yè)的業(yè)務部門的負責人和主要職能部門的員工匯集到一起，討論對企業(yè)風險管理框架適應性和有效性的最初評估。無論討論的形式如何，風險管理最初的評估應決定企業(yè)是否需要對企業(yè)風險管理框架進行進一步的、更廣泛的評估以及應如何進行評存在、確實有效。企業(yè)花費在風險管理評估上的時間是企業(yè)其上層管理者討論有關思想以加強企業(yè)的風險管理。內部審計人員則應該考慮其工作中關注企業(yè)風險管理的程度。4．立法者每個企業(yè)對企業(yè)風險管理的期望由于兩個方面的影響而千差萬別。首先，由于對企業(yè)風險管理框架的硬件設一些觀察家認為企業(yè)風險管理將會，或者應該會防止企業(yè)的經濟損失，或者至少是防止企業(yè)破產。第二，即使對企業(yè)風險管理能夠做什么、不能做什么以及“合理保證”概念有一個共同的認識，對這概念的含義和應該如何應用這些概念也存在許多不同的觀點。為了使各方對企業(yè)風險管理的認識及其作用達成共識，就應該對企業(yè)風險管理框架及其局限性達成共識。本框架的提出就是出于這一考慮。。本框架會使用這些機構頒布的有關準則和指南。這樣可以減少概念和術語的多樣性，而一定程度地減少概念和術語的多樣性對企業(yè)內外部各方70+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案構的理論基礎被廣泛接受，那么其中的概念和術語就可以在學校的課本中找到。(十)報告的組織這個概覽和框架報告的正文一起構成了企業(yè)的風險管理框架。本概覽為企業(yè)的CEO和其他高級執(zhí)行官、董他組織中各層次管理者決定如何改進企業(yè)的風險管理提供了指導，并能夠幫助企業(yè)的管理者和其他人員評估企業(yè)的風險管理提供幫助。1、企業(yè)風險管理的相關性值增值與保值。企業(yè)風險管理能提供更高的能力，來調整風險強風險反應決斷力，最小化經營上的突發(fā)狀況和損失，鑒別并處體都面臨著不確定性，而管理部門的挑戰(zhàn)就是判定該實體在努力增加風險承擔者價值的同時，準備承受多大程度的不確定性。不確定性既提供了風險也提供了機遇，既有可能侵蝕價值也有可能增加價值。企業(yè)風險管理就是給管理部門提供了一個體制，可以有效地處理不確定性及相關風險、機遇，從而提高增加價值的能力。不確定性不確定性來源于不能精確地對潛在事件發(fā)生的可能性及相關結果進行判斷。不確定性還因實體的戰(zhàn)略性決策而產生。例如，一個實體的增長戰(zhàn)略是基于向另一個國家擴展經營業(yè)務。這一選定的戰(zhàn)略就產生了與該國家的政治、值動涉及到從戰(zhàn)略的制定至日常的企業(yè)經營。決策中固有的一點就是識別風險和機遇，要求管理部門(注)考慮內在和外在環(huán)境的信息，并根據(jù)變化著的環(huán)境來部署寶貴的資源和重新調整企業(yè)行為。企業(yè)價值是通過部署資源(包括人力、資本、技術及品牌)通過專注于人力、工序、系統(tǒng)和行為創(chuàng)造持續(xù)性價值而保值些東西。價值會由于根據(jù)風險和機遇的不完全或不充分信箱標過程中對資源的效率且有效果的部署之間突然得到了一個最優(yōu)平衡，價值就達到了最大化。企業(yè)風險管理則便生創(chuàng)造價值的機會，要么會對戰(zhàn)略及實現(xiàn)實體的從股票增值中確認價值產生時，他們就實現(xiàn)了價值。對政府實體而言，在選民以可接受的成本確認收到有價服務時，價值得以實現(xiàn)。非營利性實體的風險承擔者則是在確認收到有價社會福利時實現(xiàn)價值。企業(yè)風險管理就是便于管理部門既能夠創(chuàng)造可持續(xù)性價值，又能把所創(chuàng)造的價值傳送給風險承擔者。實體價值的計量對價值的一種計量是該實體對其風險承擔者的相對價值，效用或重要性。許多公司管理部門習慣于用財務指，財務指標并不總是價值的唯一代表。對非盈利性機構的價值計接受的高質量、長期健康照顧的獲得性來衡量價值的。企業(yè)風險管理的優(yōu)點調整風險偏好與戰(zhàn)略——風險偏好，在廣泛的基礎層面上，是公司或其它實體在追求目標時所愿意接受的風目標70+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案設定，以及在發(fā)展機制來管理相關風險時考慮。例如，一家制藥公司關于其品牌價值有著較低的風險偏好。因此，為保護其品牌，該企業(yè)會堅持廣泛調查來確保產品的安全性，并定期在早期開發(fā)階段投入大量資源以支持品牌價值創(chuàng)造。聯(lián)系增長、風險和回報——實體是把風險視為生產和保持價值的一部分而接受風險的，同時期望回報與風險相匹配。企業(yè)風險管理提供了更強大的識別和評估風險的能力，并針對增長和回報目標確定可接受的風險水平。了經營單元規(guī)劃以及增長與回報規(guī)劃。公司識別和判斷完成的風險，選擇反應方式，調整經營單元規(guī)劃，并在單個經營單元和全公司目標的基礎上配置資本。改善風險反應決策——企業(yè)風險管理提供在各種風險反應選項(即風險回避、減少、分配和接受)中進行嚴格的識別和選擇。例如，一家使用公司所有并經營的交通工具的公司，其管理部門確認運輸過程中的固有風險，項包括通過有效的司機招募及培訓來降低風險，通過運輸外部式的能力，從而減少了偏差的發(fā)生及追蹤生產部件和設備損壞率。該公司運用復合性標準評估損壞理相對于非預定修理的成本，以及對據(jù)此設定維護安排的反應。識別和管理企業(yè)范圍的風險——每一個實體都會面臨無數(shù)的風險，并影響到機構的不同部門。管理部門不僅開發(fā)了一項信息系統(tǒng)，可以分析來源于其它內部系統(tǒng)的交易和市場數(shù)據(jù)，并同時依據(jù)相關的外生信息，而提供對所有交易活動風險的總體看法。該信息系統(tǒng)允許深入到各個層次，即部門、顧客或競爭對手、貿易商及交易，并而運用總括的及有目的的觀點來有效地對風險做出反應。提供整體的解或不足的形勢供應來源稀缺，以及過高的購買價格。管理部門根據(jù)本公司的戰(zhàn)略、目標及供選擇的反應情況來確認和評估風險，并開發(fā)了一項涉及廣泛的存貨控制系統(tǒng)。該系合起來，共享銷售和存貨信息，推動戰(zhàn)略合作，避免缺貨和不必要的運輸成本。供應商的職能就是負責補充存貨，進一步降低成本。例如，一家食品公司考察了可能會影響其可持續(xù)收入增長目標的潛在事件。在評估事件時，管理部門認定，該公這表明對該公司現(xiàn)有產品的需求將來會減少。管理部門引更廣泛的顧客基礎而獲得額外的收入。。例金需求，就要增加(自身)資金需求。該公司按照系統(tǒng)開發(fā)成本及附加資金成本的對比對風險進行了評估，并制定了一個件，該銀行開發(fā)了更加精確的計算方法，避免了對附加資金來源的需求。的啟動程序。企業(yè)風險管理通過向董事會提供關于最重要風險以及怎樣進行處理的信息，而與公司治理相關聯(lián)。它還通過風險調整指標與業(yè)績管理相關聯(lián)，并與企業(yè)風險管理的一個組成部分——內部控制相關聯(lián)。企業(yè)風險管避免聲譽受損及其它后果?？傊?，它有助于實體達到所期望的目標，并自始至終避免陷阱和偏差。注：盡管在這里及接下來的討論中運用的是“管理部門”一詞，許多企業(yè)風險管理行為都是由非管理人員完成略設定并70+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案關聯(lián)的部分組成，這些組成部分充實了管理層經營企業(yè)的方式，并與其它管理過程融為一體。它們結合在一起，充當判定企業(yè)風險管理是否有效的標準。該框架的一個關鍵目標就是，幫助商業(yè)機構和其它實體的管理部門更好地處理達到實現(xiàn)目標時的固有風險。解。那么，一個重要的目的就是把各種各樣的風險管理觀念綜合成為一個框架，建立一般概念并確認組成部分。為進行教育提供一個起點。事件與風險面統(tǒng)化行動以抓住機遇。管理部門通過判斷潛在事件的可能影響來評估風險，以執(zhí)行戰(zhàn)略和實現(xiàn)目標。企業(yè)風險管理的定義用于戰(zhàn)略設定并貫穿于整個企業(yè)。設計該項管理是為了識別可能影響到實體的潛在事件，把風險控制在實體的風險偏好之內，并提供達到關于實體目標的合理保證。該定義反映了特定的基本觀念。企業(yè)風險管理：?應用于整個企業(yè)的每一層面和單元，還包括采取在實體層面上對待風險的觀點。?設計用來識別可能影響實體的事件，并在實體的風險偏好范圍內處理風險。個獨立而又相互重疊的部門實現(xiàn)目標。該定義之所以如此廣泛，是由于以下幾個原因。它抓住了公司和其它組織是如何管理風險的基本性的關鍵概念，為應用于不同類型的組織、產業(yè)和部門提供了基礎。它直接集中于實現(xiàn)一個特定實體所確立的目標。該定義為明確企業(yè)風險管理的有效性提供了一個基礎，這將在本章后面討論。下面一些段落討論如上列出的基本概念。一個過程為遍布和內含于管理部門經營業(yè)務的方式中。企業(yè)風險管理不同于一些評論者的觀點，他們認為企業(yè)風險管理是附加在實體活動之外的范疇，或者是一個不可避免的負擔。這并不是說有效的企業(yè)風險管理不需要額外的努力。然而，這些企業(yè)風險管理機制是同實體的經營活動盤繞在一起的，并由于一些基本的經營因素而存在。當這些機理方面的建設，實體可以直接影響自身履行戰(zhàn)略和實現(xiàn)展望或使命的能力。爭市場。增加新的獨立于已有程序之外的程序會增加成本。通過專注于現(xiàn)有的經營及其對有效的企業(yè)風險管理的貢獻，并把風險管理與基本的經營活動結合起來，企業(yè)可以避免不必要的程序和成本。而且，把企業(yè)風險管理建入經營結構有助于管理部門識別并抓住擴大經營的新機遇。建立了實體的展望、使命、戰(zhàn)略和目標，并適當?shù)剡\用企業(yè)風險管理機制。。和特權。這些現(xiàn)實影響企業(yè)風險管理，同時也受其70+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案影響。每個人都有獨特的參考觀念，影響他們識別、評估風險并做出反應。企業(yè)風險管理提供了必要的機制，幫責的方式之間，以及與實體的戰(zhàn)略和目標之間，需要存在清晰而緊密的聯(lián)系。和特定的交易及政策。這樣，董事會就是企業(yè)風險管理的一個重要元素。應用于制訂戰(zhàn)略的目的是實現(xiàn)戰(zhàn)率。每一項戰(zhàn)略選擇都會產生大量的風險。如果管理層對手可能會在本公司現(xiàn)有市場中獲得份額，或者該公司沒聯(lián)盟。在這一層面就要應用企業(yè)風險管理技能來決定實體的戰(zhàn)略。應用于整個企業(yè)所有層次上的活動，從企業(yè)層次的活動如戰(zhàn)略規(guī)劃和資源配置，到經營單元的活動如營銷和人力資源，再到經營過程如生產和新顧客信可能牽涉到每一個經營單元、功能、程序或其它活動的管理組合是否與其風險偏好相稱。管理部門是以實體層面的組合觀要識別關聯(lián)風險并依其行動，以把全部風險控制在實體的風險偏好之整體風險偏好在實體中順次反映為特定目標確立的風險承受程度。在形成組合觀的時候，管理部門考慮的是潛在關系所在，有助于對事件分門別類，便于考察相關風險和機遇。風險偏好風險偏好是與實體的戰(zhàn)略直接相關的。在戰(zhàn)略設定時考慮，就是一項戰(zhàn)略的預期回報應與實體的風險偏好相符。不同的戰(zhàn)略將會使實體面臨不同門在經營單元之間配置資源，要考慮實體的風險偏好，以及單個經營單元為實現(xiàn)投入資源預期回報的戰(zhàn)略。，要考慮風提供合理保證設計良好、有效運行的企業(yè)風險管理能夠為管理部門和董事會提供關于實現(xiàn)實體目標的合理保證。作為有效的企業(yè)風險管理的結果，在本章后面也會提到，對實體的每一類目標，董事會和管理部門能獲得如下合理保證：是關成本效益；出現(xiàn)毛病可能是管理部門有不考慮企業(yè)風險管理決策的能力。這些問題使董事會和管理部門不可能有實現(xiàn)目標的絕對保證。實現(xiàn)目標70+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案并在整個企業(yè)內順次建立與戰(zhàn)略一致和相連的目標。盡管許多目標使某一實體所特有的，但有些目標還是廣泛適用的。例如，實際上對所有適用的目標有，在貿易團體及消費者群內獲得并保持良好的聲譽，向股東提供可以信賴的報告，以及遵守法律法規(guī)從事經方面來看待實體目標：?戰(zhàn)略性——與高層次目標相關，與實體的使命一致并支持實體使命。關。這種對實體目標的分類使得董事會和管理部門專注于企業(yè)風險管理的不同方面。這些相互區(qū)別又有重疊的類別——一個特定目標可以歸屬于不止一個類別——提出了不同的實體需求，而且可能是不同高層人員所直接負責的。該法律還可以把所能期望的與目標的每一類別區(qū)分開來。有些實體使用另一種目標類別，“資源保值”，有時稱為“資產保值”。廣義上來看，是關于防止實體資產或資源的減損，無論是因為偷盜、浪費、無效率或是經證明僅僅是由于錯誤的經營決策——比如以過低的價格銷售產品，不能留住關鍵雇員或無法阻止(他人)冒用商標，或是產生為預期負債。這些主要是經營性目標，盡管保值法律或法規(guī)的要求，就成為遵從性目標。另一方面，在實體的財務當運用在公開報告中時，經常使用的是資產保值的較為狹窄的定義，即關于阻止或定期查明未經授權獲得、使用或處置實體的資產。企業(yè)風險管理可期望用來提供實現(xiàn)與報告的可靠性、遵守法律法規(guī)相關的目標的合理保證。實現(xiàn)那些類別的目標是處于實體的控制范圍之內，并依賴于實體相關的執(zhí)行效果如何。然而，實現(xiàn)戰(zhàn)略性目標，如獲得特定生產份額，以及經營性目標，如成功上馬一條新生產線，并不總是在實體的控制中。盡管企業(yè)風險管理不能防止錯誤的判斷或決策，或可能導致業(yè)務無法實現(xiàn)經營性目標的外在事件，它確實增加了管理部門做出更優(yōu)決策的可能性。關于這些目標，企業(yè)風險管理能夠合理地確保管理部門，及予以關注的董事會，能及時了解實體接近實現(xiàn)目標的程度。企業(yè)風險管理的組成部分企業(yè)風險管理由八個相互關聯(lián)的部分組成，源于管理部門經營業(yè)務的方式，并與管理過程融合在一起。這些基礎。任何業(yè)務的核心是置于其中的人——他們的個體本性，包括誠信、道德觀和能力，以及人們從事經營的環(huán)境。他們是驅動實體及基礎的發(fā)動機，如何事情都依賴于該基礎。的程序設定目標，并且所選定的目標支持并與實體的使命或展望一致，同時與實體的風險偏好相符。事件識別——(管理部門)必須識別出可能會對實體產生影響的潛在事件。事件識別包括識別原因——內在表機遇的潛在事件，以及兩者都代表的潛在事件。管理部門識別潛在事件之間的相互關系，并對其分類，是為了在實體內創(chuàng)造并加強一種普遍的風險意識，并形成以組合觀來考慮風險的基礎。風險評估——對識別出的風險進行評估，是為了形成一個決定如何對其實施管理的基礎。風險是與可能會受到影響的有關目標相關聯(lián)的。風險是在內部及剩余的基礎上進行評估，該評估同時會考慮到風險可能性及影響。一系列可能結果也許會和一項潛在事件相關，管理部門就需要把兩者結合起來考慮。風險反應——管理部門根據(jù)戰(zhàn)略和目標選擇一種方法或一套行為，使所評估的風險與實體的風險偏好一致。(管理)人員識別并評價對風險的可能反應，包括規(guī)避、接受、降低和分配風險。信息和交流——通過以某種形式和時間結構識別、掌握并交流信息，可以使人們能夠履行責任。在實體的所有層面都需要信息來識別、評估并應對風險。在更廣泛的意義上也需要有效的交流在實體上上下下流動。人們需要接收關于作用和職責的明晰的交流。證下轉變。監(jiān)管是通過持續(xù)的管理活動，分開的對企業(yè)風險管理過程的評價，或把兩者結合起來，而實現(xiàn)的。70+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案企業(yè)風險管理是一個動態(tài)的過程。例如，風險評估驅動風險反應，影響控制活動，激起重新考慮信息和交流或實體監(jiān)管活動的需求。這樣，企業(yè)風險管理不是一個系列過程，即一個組成部分只會對下一個產生影響。而是樣的方式應用企業(yè)風險管理。公司及其企業(yè)風險管理能力和需求，會因行業(yè)及規(guī)模、(企業(yè))文化及管理哲學而架的應用——包括所采用的工具和技巧，以及企業(yè)風險管理的作用和職責的分配——與另一公司總會有很大的不目標和組成部分之間的關系接的聯(lián)系。這種關系可以用一個三維圖形來描繪，如圖2.1中的立方體所示。四個目標類別——戰(zhàn)略性、經營性、報告性及遵從性——由縱欄表示，八個組成部分由橫行表示，實體及其單元由模型的第三維表示。每一組成部分“橫穿”并適用于所有四個目標類別。例如，來源于內部和外部渠道的財務及非財務信息，這屬于信息和交流部分，在戰(zhàn)略制訂、守適用法律中都有所需要。類似地，從目標類別來看，所有八個組成部分與每一類別都相關。以經營效果及效率這一類別為例，所有八個組成部分對其實現(xiàn)都適用，并且重要。企業(yè)而不是實體的部分或單元。這樣，在考慮比如說與報告相關的目標類別時，需要了解關于實體經營的廣泛信息，但如果是那樣的話，要注意的是模型的右中欄——方體組成部分行，以顯示每一組成部分的關鍵要素，以及哪些組成部分代表一個過程流。盡管企業(yè)風險管理框架與所有實體相關且適用，管理部門應用企業(yè)風險管理的方式卻隨著實體性質和許多實行業(yè)和監(jiān)管程度，以及其它。當考慮到實體的特有情形，管理部門進行一系列的選擇，都要顧及到被展開來應用企業(yè)風險管理框架組成部分的過程和方法的復雜性。管理部門可能會在某些經營單元或程序或企業(yè)風險管理組成部分中選用復雜的方法和技巧，而在其它地方決定運用更基本的方法。有效性盡管企業(yè)風險管理是一個過程，其有效性是在某一時點上的狀態(tài)或情形。判定企業(yè)風險管理是否“有效”是一用。要被認定為有效，所有八個組成部分都必須存在各組成部分之間可能會存在協(xié)調。因為企業(yè)風險管理技巧能服務于各種各樣的目標，相對于一個組成部分所應用的技巧可以為存在于另一個組成部分的目標服務。此外，風險反應在面臨特定風險時，程度上會有所不同，這樣行組成部分要素時與大型實體會實體中，不論規(guī)模大小。企業(yè)可能會在把實體風險管理時，所有子來說，由于擁有一個有著特殊性質的董事會時內部環(huán)境的一個要素，那么只有當經營單元擺正董事會的位置或只是簡單機構(或實體層面的董事會直接給予經營單元必要的監(jiān)管)，此時該單元的企業(yè)風險管理才有可能被判定為有效。相似地，由于風險反應部分要求采用風險組合觀，險組合觀。實體也許擁有合資企業(yè)、合伙企業(yè)或其它下，如果實體識別出可能影響投資進而有效實現(xiàn)自身目理。另一種實體實現(xiàn)企業(yè)風險管理的方式是，對確保投當投資工具有著獨立的董事會或其它類似監(jiān)管機構時，就可能會發(fā)生這種情況。實體的管理部門就需要評價自身而保證實體的風險是可以接受的。一家礦業(yè)公司投資于一家黃70+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案換取價格上升所能帶來的預期收益。故而沒有對黃金價格的變化采取套期保值措施。公司的管理部門監(jiān)控合資企業(yè)的黃金產量水平并對黃金價格的變化采取套期保值措施，從而把商品的價格風險控制在公司的風險偏好之內。念和工具。內部控制在《內部控制——整體框架》有所定義和描述。因為《內部控制——整體框架》是現(xiàn)有規(guī)則、法規(guī)和法律的基礎，該文獻保持著對內部控制的合適的定義和框架。整個《內部控制——整體框架》以參考書目的形式綜合進入本框架。附錄B描述了企業(yè)風險管理是如何比內部控制更具有包容性。企業(yè)風險管理及管理過程企業(yè)風險管理的要素。例如，建立目標的過程是企業(yè)風險管一項重要的管理責任并與實體戰(zhàn)略有重要關聯(lián)，卻不判斷，其中許多管理部門的決定和行為不是企業(yè)風險管理的是描述管理活動的唯一方式。)3.內部環(huán)境分的基石，提供紀律和結構。內部環(huán)境因素包括實體的風險管理哲學；其風險偏好和風險文化；董事會監(jiān)管；實建立的，估和應對的。它影響控制活動，信息和交流系統(tǒng)及監(jiān)管活動文化的影響。內部環(huán)境由許多要素組成，包括實體員工的道響其它內部環(huán)境要素。雖然所有要素都很重要，每一要素的程度會因實體有所不同。例如，員工數(shù)量較少和集權經營公司的高管人員可能不會正式的責任鏈和詳細的經營政策。然而，該公司也可擁有內部環(huán)境，為企業(yè)風險管理提供適當?shù)幕A。風險管理哲學為所有員工所理解的企業(yè)風險管理哲學，能促進雇員識別和有效管理風險的能力。該哲學(即實體關于風險的信念，和如果選擇引導活動并處理風險)，反映實體從企業(yè)風險管理所尋求的價值，并反應企業(yè)風險管理組成部風險承擔者的需要，如母公司或監(jiān)管者，更多的是因為管理部門意識到有效的風險管理能夠保持價值并創(chuàng)造價值。每一個領導班子對于什么推動風險承擔者映在政策綜述和其它信息傳達中。很重要的是，管理部門不僅通過言詞，還通過日常行為來加強該哲學。風險偏好風險偏好是實體在追求價值時所愿意接受的風險程度。實體經常定性地考慮風險，如分成高、中、低三類，的目標和風險。風險偏好與實體的戰(zhàn)略直接相關。它在戰(zhàn)略設險偏好相符。不同的戰(zhàn)略會給實體帶來不同的風險。企業(yè)風險管理被應用于戰(zhàn)略設定，有助于管理部門選擇與實體的風險偏好一致的戰(zhàn)略。風險文化于許多公司，風險文產生截然不同的風險文化。管理部門要考慮其風險文化是如何產生影響并與企業(yè)風險管理的其它要素協(xié)調。如果存在不協(xié)調，管理部門會采取步驟來改造文化——也許重70+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案新思考風險哲學和風險態(tài)度，或改造應用企業(yè)風險管理的方式。件會影響到其他什么人？需要告知其他什么人？這些問題鼓勵員工考慮潛在事件對其它部門以及對整個實體的風險亞文化為保守，而且這些不同的文化有時從事于相反的目的。例如，一個職能(部__門)更多地關注銷售，而不會太注意規(guī)則遵循情況。另一個職能(部門)可能更注重要求其員工嚴格確保遵循所有相關法規(guī)。分開來看，這些不同的門)在一起工作，相互補充，不同的文化可以共同反映實體的期望風險偏好和哲學。認可風險事實一個不曾遭受過損失并沒有面臨顯著風險的實體，不應該相信不利后果“不會在此發(fā)生”的荒誕說法。就算公即使是運轉良好的經營也是脆弱的。董事會其成員的經驗和水平，對活動參與和詳細調查的程度，及其行為的適當性都會產生作用。其它要素包括，關于戰(zhàn)程度的管理、技術和其它專家意見，還要有履行監(jiān)管很重要的。而且，因為董事會必須有備于詳細審查管理部門的情況帶到董事會會議上。但是必須要有足夠數(shù)量獨立的外部董事，不僅能提供正確的意見、忠告和方向，還要你能對管理部門進行必要的檢查和協(xié)調。內部環(huán)境要有效，董事會必須至少大部分上獨立外部董事。誠信和道德價值觀門的誠信行為標準。由于實體的良好聲譽是如此重要，行為標準的管理者越來越接受這樣一種觀點，道德付出及道德行為是獲利理和監(jiān)管實體活動員工的誠信和道德價值之外。誠信和道德價值是環(huán)境的核心要素，影響著設計、管理和監(jiān)管其，因為需要考慮幾個方面的利害關系。管理價值必須協(xié)是不一致。例如，提供基本產品(石油、木材或食品)可能會導致環(huán)境方面的關注。道德價值和管理誠信是企業(yè)如何傳達和加強的。正式的政策說明了什么是董事會和管理部門所希望發(fā)生的。企業(yè)文化則決定了什么是實際發(fā)生的，以及哪些規(guī)則得到了遵守、屈服和被忽略。高層管理部門——從CEO開始，在決定企業(yè)文化中起到了關鍵作用。作為實體當中的統(tǒng)治人物，CEO經常設定了道德基調。某些結構因素也會影響欺騙性和有疑問的財務報告實踐的可能性。那些同樣的因素還有可能影響道不恰當?shù)膹娬{，尤其是在短期會培育不適當?shù)膬炔凯h(huán)境。僅僅注重短期結果，甚至在短期內會造成損害。集中于底線——銷售或無論如何利潤，經常會產生未尋求的行為和反應。比如，很大壓力的銷售戰(zhàn)術，協(xié)商時的無情或暗示提供回扣，可能會產生有直接(且持久)效果的反應。從事欺騙性或有疑問的報告實踐的動機，以及擴展來消除或減少不正確的動機和誘惑，對除去不合需要的行為大有幫助。有人建議，遵循合理且獲利的經營實踐可以到預期目標的壓力，和欺騙性報告的動機。類似地，一個控制良70+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案下去，還要有關于對錯的清晰指導伴隨。正式的企業(yè)行為規(guī)則，是有效道德規(guī)劃的基礎，且很重要。規(guī)則表述了各種各樣的行為問題，比如誠信和道德，利益沖突，違法或其它不正確的支付，以及反競爭的安排。員工感覺舒適的向上傳達的渠道，會帶來相關信息，也是很重要的。存在書面行為規(guī)則，員工收到并理解的文獻，以及適當?shù)赖聵藴剩瑹o論在書面行為規(guī)則中是否體現(xiàn)，由高層管理部門的工違反這些規(guī)則因而產生的處罰，鼓勵員工報告可疑違反行為的機制，以及對不能報告違反行為的訓誡性作用。員工可能會形成與高層管理部門相同的關于對與錯(及關于風險息，很快會根植在企業(yè)文化當中。而且，當?shù)弥狢EO在面對一項棘手的業(yè)務決策時道德地“做出了正確的事情”，會在全實體內傳達有力的信息。4、目標設定鑒別、風險確定、以及對風險目標能夠鑒別企業(yè)為完成任務的風險，然后采取必要的措施來管理風險。企業(yè)設定的目標是企業(yè)渴望得到的成就。無論用什么詞，“任務”、“夢想”或“目的”，管理當局從廣泛監(jiān)管的角度明確的確定企業(yè)存在的廣泛原因是非常重要的。因此，管理當局確定它們的目標，形成戰(zhàn)略并且確定組織的相關目標。當企業(yè)的任務和戰(zhàn)略目標穩(wěn)定下來后，他的戰(zhàn)略和相關目標更加有動力，并且要根據(jù)內部外部條件的這些目標。戰(zhàn)略目標反映了管理層的選擇，例并且要考慮對這些風險的對策的應用。在以后各章進行討論的各類事件的鑒別以及風險確定的技術可以在應用于戰(zhàn)略制定過程中。用這種方式，企業(yè)風險管理技術被應用于戰(zhàn)略和目標的確定過程當中。相關目標功來講是非常重要的。通過首先集中于戰(zhàn)略目標和戰(zhàn)略，一個企業(yè)被定位于完善操作水平上的相關目標，這些目標的獲得將會產生和保留價值。每一組目標和更多的特殊目標相聯(lián)，這些目標在組織內部層疊，為各種活動確定的目標，例如銷售生產工程以及結構功能。通過為企業(yè)和活動確定目標，一個企業(yè)可以鑒定重要的成功因素。這些主要的事情必須成功，為了保方向相關的目標的需要是非常重要的。需要被計量和理理解企業(yè)目標，既然他們和企業(yè)環(huán)境相關。所有的職員必須有對關于什么能夠獲得以及正在獲得的計量方式達成共同的理解。盡管企業(yè)內部目標的多樣性，應該確定一定的廣泛分類：?經營目標—這些適合企業(yè)經營的有效和有效率的目標，包括業(yè)績和盈利目標，保護資產安全。這些目標因為管理者對機構和業(yè)績的選擇而不同。?報告目標—這些適合報告可靠性的目標，包括向內部和外部報告關于財務和非財務的信息。?服從目標—這些適合堅持相關法律的規(guī)則的目標，依賴于外部因素，例如在所有企業(yè)中類似的環(huán)境規(guī)則。季度作一次這種評估。所有公開交易的證券都必須滿足SEC信息披露要求。這些外部強加的目標是由法律和法規(guī)確定的，既屬于遵從性目標，也屬于外部財務報告目標。相反地，經營目標，以及內部管理報告目標，都是以偏好、成為一個早期的開拓者，另一個70+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案擇將會影響到研究開發(fā)部門的結構、技能、人事及其控制。對于所有的企業(yè)而言，并沒有一個普遍適用的最優(yōu)目標的公式。經營目標程中為加強經營效果和效率的子目標。經營目標必須反映企業(yè)所處的特定業(yè)務、行業(yè)及經濟環(huán)境。例如，這些目標應該和企業(yè)的質量競爭壓力相關，減少循環(huán)周轉的時間以給產品帶來市場或技術變化。管理層應確認這些目標反應了現(xiàn)實和市場的需求，并采取有意義的業(yè)績評估方法。一個和其子目標相關聯(lián)的明確的經營目標集，是企業(yè)成功的基礎。經營目標提為直接配置資源提供了一個焦點；如果一個企業(yè)的經營目標并不明確，那么，其資源也不可能得到很好的配置。報告目標。它支持管理當局做出決策并監(jiān)控企業(yè)的活動和業(yè)績。這些報告的例子有：市場營銷計劃、每日銷售報告、產品質量、以及雇員和客戶的滿意度報告?？煽康膱蟾鏋楣芾懋斁志幹瓶煽康膱蟾嫣峁┖侠淼谋ＷC。這些報告包括財務報表及其附注、管理當局討論分析報告以及其他提交給監(jiān)管機構的報告。遵從目標準，企業(yè)將這些行為政策和程序將處理溝通程序，定點視察和培訓。一個企業(yè)的遵從記錄能非常顯著地——積極地或消極地——影響它在社區(qū)和市場中的聲譽。府時，也滿足了遵從性目標。__有些企業(yè)使用另外一種目標目錄，“保護資源”，有時指的是“保護資產”，這和另一個目標目錄相互重疊。更廣地看，保護資產在于防止企業(yè)資產或資源的損失，不管是偷竊、浪費，還是無效率當?shù)胤从迟Y產損失其實也是報告性目標。當和公開報告一起使用的時候，對保護資產往往使用更狹義的定義，即阻止或及時發(fā)現(xiàn)未經授權的資產的獲得、使用和處置。對這個目標目錄的更深一層的討論，可以參考《內部控制——整體框架》，包括《對外部主體報告的增補》模塊。達成報告性目標和遵從性目標往往在企業(yè)的控制之內。也就是說，一旦這些目標被確定下來，那么企業(yè)對自己需方面的原因。一個企業(yè)可能會照意愿經營，但也會被競爭對手超越。這要看外部的事件——如政府的變更，惡劣的天氣等等——這標設定過程中就已經考慮到這些事件，并以一個較低的概率來對待它們，同時，一旦它們發(fā)生了就有一個意外事故的計劃來應對。然而，這種計劃只是減輕了外部事件的影響。要集中于：保證組織的目標的一貫性；識別關鍵的成功以及時的方式使管理當局(在監(jiān)督方面是董事會)被告知企業(yè)朝這些目標接近的程度。選定的目標這些目標如何支持企業(yè)的戰(zhàn)略和愿景。企業(yè)的目標也應該也企業(yè)的風險偏好水平相一致。這兩者不一致也許會導致一個企業(yè)不能接受足夠的風險企業(yè)風險管理并沒有規(guī)定董事會和管理當局應該選擇哪些目70+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案標，但是卻要求將企業(yè)的目標和遠景、戰(zhàn)略想匹配，即選定的目標必須和企業(yè)的風險偏好相一致。風險偏好略中的任何一個都可能被設計來達成預期的增長和回報目標，而增長和回報有不同的風險。企業(yè)風險管理，應用正的情況。企業(yè)的風險偏好反映在企業(yè)戰(zhàn)略中，反過來也引導了資源的配置。管理當局在企業(yè)范圍內配置資源，是考慮了企業(yè)的風險偏好以及個體商業(yè)單位戰(zhàn)略計劃，以組織，人員，過程和組織的基礎部分結合在一起，以有效地實現(xiàn)戰(zhàn)略并使企業(yè)能處于風險偏好水平之內。風險容忍度，并經常用相同企業(yè)的相關目標來計量。將業(yè)績計量同它結合在一起，能幫助實際結果處在可接受的風險容忍水平之內。在設定風險可容忍水平偏好和風險容忍水平結合起來。在風險容忍水平之內進行經營活動，使得管理當局有更大的把握確保企業(yè)維持在風險偏好之內，反過來也能確保企業(yè)達成其目標。5、事件識別進行識別。具有潛在負面影響的表了機會。管理層將機會引回到戰(zhàn)略和目標設定過程。多種內部和外部的因素會引起事件的發(fā)生。管理層在識別這些潛在的事項時，需要從整個企業(yè)范圍內加以考慮。管理層在企業(yè)經營和風險接受度內考慮事項的相互關系。件事件是指源于內部或外部的可能影響企業(yè)戰(zhàn)略貫徹或目標達成的事項。事件可能會有正面的影響，也可能會有負面的影響，甚至會有正負兩面的影響。作為事件識別的一部分，管理層認識到不確定性的存在，但不知道該事件何時發(fā)生，或者會有什么后果。管理層初始階段考慮一系列的潛在事件——受到內部和外部因素的影響——正面的，也可能是負面的。為避免忽略相關的事件，最好將事件的識別與事件發(fā)生的可能性評估分開進行，后者目標而言其潛在影響很大，則即使?jié)撛谑录l(fā)生的可能性很小，管理層在事件識別階段也不應該忽略。影響戰(zhàn)略和目標的因素事件如何潛在地影響戰(zhàn)略的貫徹和目標的實現(xiàn)，受到無數(shù)的內部和外部的因素影響。作為企業(yè)風險管理的一部分，員工認識到了解外部和內部因素的重要性以及事件發(fā)生的類型。管理層考慮當前的因素以及那些可能在將來出現(xiàn)的因素。?經濟和商業(yè)——相關的事件可以包括新興的競爭者和市場的變動。管理層考慮諸如物價變動的宏觀因素，以及諸如具有新替代產品的競爭者的出現(xiàn)等微觀條件。?自然環(huán)境——這類事件可能包括諸如洪水、火災或地震等自然災害以及可持續(xù)發(fā)展因素。?政治因素——事件包括新近選舉的政府官員，行政議程以及新的法律法規(guī)。?社會因素——包括人口變動、新的食品生產和準備方法，家庭結構變動以及工作/生活取向等等事件。?科技因素——包括電子商務的發(fā)展、數(shù)據(jù)有用性的擴張以及間接成本的降低等事件。事件也可能源自管理層關于其如何運作所作的選擇。企業(yè)的能力和生產量反映了以前的選擇，影響將來的事件并影響管理層的決策。?間接成本——事件包括未預期的修理成本或設備不能滿足生產需求等。?員工——事件包括在職事故數(shù)量的增加、人為錯誤或舞弊行為的增加等。70+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案陷、未預期的停工或服務延期。?工藝——包括不能維持足夠的持續(xù)工作時間、處理增加的數(shù)量、所需數(shù)據(jù)的傳輸完整或公司所需系統(tǒng)的修夠考情況下，為了設定的或潛在的目標，需要識別不同的因素和相關的事件。除了從企業(yè)的層次來識別事件外，還需中在如銷售、生產、市場開拓、技術開發(fā)以及研發(fā)等主要的企業(yè)部門或職能的風險評估上來。評估活動層次的事件也有利于將企業(yè)的風險預測和風險偏好結合起來。事件識別方法和技術一個企業(yè)的風險識別方法可以包括很多的技術以及支持的工具。例如，管理層可以將交互式團體工作作為事件識別方法的一部分，并使用一系列的技術工具來幫助參與。事件識別技術注意到過去和未來的事件。關注過去格變動以及空置時間事故等事務。而關注未來事件的技術則考技術有行業(yè)特殊性，大多數(shù)技術來自普通的方法。例如，金融服務業(yè)和健康保險業(yè)都使用損失事件跟蹤技術。盡礎的方法則是根據(jù)內部員工的感知來注意潛在的事件，而更高級的技術則基于實際觀察事件——并將所得的數(shù)據(jù)輸入復雜的映射模型。在企業(yè)風險管理上較先進的公司將采用既考慮過去又考慮潛在未來事項的聯(lián)合技術。在一個企業(yè)中在不同的地方也會使用不同的技術，一些技術關注詳細的數(shù)據(jù)分析并對事件形成一個自下而上的觀點，而另一些技術則從上而下進行。表5.1提供了事件識別技術的例子。?事件列表——這些是一個特定行業(yè)中的公司，或者行業(yè)中一個特定的程序或活動中經常發(fā)生的潛在事件的詳細列表。軟件產品能產生相關事件的列表以及與這些事件相關的風險。一些企業(yè)使用這類表格作為事件識別活動的起點。例如，擔任軟件開發(fā)項目的公司可以列出一張表格，詳細列出與軟件開發(fā)項目相關的普通事件。?內部分析——這項工作可以作為企業(yè)計劃循環(huán)過程的一項常規(guī)部分，典型地是通過企業(yè)部門的員工會議來進行。內部分析有時使用其它利益相關者的信息(客戶、供貨商、其他企業(yè)部門)或者部門外的專家意見(內部或外部的專家或內部審計人員)。例如，一家公司考慮引進一條新的生產線，公司會使用自身的歷史經驗，同時考慮外部市場研究確定的對競爭者產品的成功有影響的事件。?增加或極限扳機——這些扳機讓管理層通過對當前交易或事項與預先確定的原則進行比較，警惕應關注的步的評估或立即采取應對措施。例如，管理層可能通過監(jiān)控市并根據(jù)結果重新確定資源的使用。或者，管理層可以跟蹤競爭者影響到企業(yè)或部門目標實現(xiàn)的事件的討論。例如，財務經理可以組織一個由會計工作人員組成的工作組，來確定對公司外部財務報告目標有影響的事項。通過工作小組集體的知識和經驗，可以確定重要的潛在事項，使其不會被遺漏。期貸款支付與最終的貸款違約之間的關系，以及早期介入的積極影響。通過及時的行動來監(jiān)控支付模式可以使違約的潛在性減輕。?損失事件數(shù)據(jù)法——過去單個損失事件的數(shù)據(jù)庫是用來確定發(fā)展趨勢和根源的一個有用的信息渠道。一旦確定了根源，管理層可以發(fā)現(xiàn)，對事件進行評價和處理是一個比關注單個事件更有效的解決方法。例如，一個經營很大的快速汽車的公司保有一個事故索賠的數(shù)據(jù)庫，通過分析發(fā)現(xiàn)在數(shù)量和金額上事故的百分比與特定部門、區(qū)域和年齡組的駕駛員之間不成比例。這個分析使管理層確定事件的根源并采取必要的行動。集和測試畫成流程圖。使用流程圖，該企業(yè)可以考慮那些可能影響投入、任務和職責的因素范圍，確定與血樣標簽、程序內的傳遞以及員工替換變動相關的風險。層選擇適用于其風險文70+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案要完備的事件識別方法，因為這是風險評估和風險應對部分的基礎。事件的相互依賴事件并不是孤立地出現(xiàn)。一個事件可以引起另一個事件，不同的事件也可以同時發(fā)生。在事件識別中，管理揮最好的作用。例如，中央銀行利率的變動會影響外匯匯率，進而會影響公司的貨幣業(yè)務的盈虧。一個減少資本投資的決策延遲管理層分發(fā)系統(tǒng)的提升，引起額外的停工期和經營成本的上升。一個擴大營銷培訓的決策可能使顧客訂單的重復頻率和數(shù)量增加。事件的種類在事項。另外，事件分類能夠加強管理層對整個企業(yè)的事件形成一個企業(yè)的組合觀。一些公司已經根據(jù)目標的類別建立了事件種類——使用一個高級目標的層次，然后根據(jù)與組織單位、職能或經營過程有關的目標分解下去。表5.2列示了一個根據(jù)內部和外部因素進行事件劃分的方法，該表的大類代表了內部和外部的因素，可以通向列示的例證性事件的類型。區(qū)別風險和機遇著的負面影響的抵消。代表著機會的事件被追溯到管理層的戰(zhàn)略抵消風險負面影響的事件將在管理層的風險評估和風險應對中加以考慮。6.風險評估層應從兩個方面對事件進行評估——可能性和影響——通常將定量和定性方法結合起來考慮。應在企業(yè)層面上，檢查潛在事件的正負兩方面影響，根據(jù)單個事件或者根據(jù)類別進行。對潛在負面影響的事件應分別從固有風險和剩余風險的基礎上進行評估。風險評估的語境正如前面章節(jié)討論的那樣，外部因素和內部因素影響著可能出現(xiàn)的事件以及該事件對企業(yè)實現(xiàn)目標的影響程對一個具體的企業(yè)而言則可能有很多獨特的影響因素，因動結合起來考慮。這限定了形成企業(yè)風險特征的檢查因素——包括企業(yè)規(guī)模、經營的復雜性以及企業(yè)活動的監(jiān)管固有風險和剩余風險風險的可能性或影響的措施時面臨的風險。剩余風險則是指在管理層對風險采取了應對措施之后剩余的風險。在對風險進行評價時，發(fā)生的可能性很低但其潛在的影響卻很大。管理層通常對對可能性和影響進行估計潛在事件的不確定性通過兩方面進行評價——可能性和影響。可能性代表了一個特定事件發(fā)生的可能性，而70+120+120+70m連續(xù)梁橋及80+140+140+80m連續(xù)剛構橋施工方案語。有時這些詞語具有更特別的內涵，比如“可能性”用諸如高、中、低等定性術語或者其他一些判斷標準來表明一個特定事件發(fā)生的可能性，而“概率”則可以用來表明數(shù)量計量的結果，如百分比、發(fā)生頻率或者其他的數(shù)字度性和影響。也可以將確定的和評價風險用數(shù)據(jù)或圖表的形式來描述。風險映射是一個例子，它通過事件的分類、的、企業(yè)部門的、職能的或程序的多個層次上報告多大的關注，是一件有難度的并有挑戰(zhàn)性的工作。管理層意識到，一個發(fā)生的可能性很低且影響很小的風險通常不必要保證進一步的考慮。而另一方面，發(fā)生的可能性很高并且潛在影響很大的風險則需要投入很大的精力進行關注。而在這兩個極端之間的情形則通常需要很難的限。因此，管理層需要認知更長的時間框架，避免忽略那些期之外的風險。險評估期間，地震超過里氏6.0級的可能性是高的，可能實質上就是確定的。而另一方面，兩年內發(fā)生這樣一個地震的可能性是非常低的。通過建立一個世間跨度，企業(yè)對風險的相對重要性有了進一步的認識，并且提高了比較多重風險的能力。管理層經常采用業(yè)績計量指標來決定所達成目標的程度，并且在考慮一項風險對特定目標的實現(xiàn)的潛在影響時，通常使用相同的計量指標。例如，一家目標是將客戶服務維持在一個特定水平上的公司，會為這個目標設計評價一項可能影響客戶服務的風險時——比如一段時間內公司網(wǎng)站不能使用的可能性——最好用相同的計量指標來計量影響。使用可觀察的數(shù)據(jù)相對于完全的主觀估計而言，這些過去事件的數(shù)據(jù)可以提供一個更為客觀的基礎。企業(yè)自身經驗產生的內部數(shù)據(jù)可以反映更少的主觀個人偏見，并來進行預測是應該謹慎，因為隨著時間的不同，影響事件的因素可能發(fā)生變化。件無法運行的頻率更為有效。定性和定量的方法和技術取得定量評價所需的足量技術可以帶來更高的精確性并作為定性技術的補充運用于更為復雜的活動中。用的數(shù)據(jù)和假設的質量，并與已知歷史和變動頻率以及允許可靠預測的風險最相關。表6.1提供了定量風險評估技術的例子。?基準法——一個組別企業(yè)之間的合作過程，基準方法關注特定事件或程序，采用普通的度量方法將計量指以及計量的數(shù)據(jù)用來比較業(yè)績。一些公司使用基準法來評價整個行業(yè)潛在事件的影響和可能性。?概率模型——概率模型根據(jù)已定的假設將一系列事件及導致的后果與那些事件的可能性聯(lián)系起來。根據(jù)歷型可用在不同的時間范圍，來估計諸如金融工具隨著時間變動產生的價值變動范圍，