【正文】 面?zhèn)髀?，從而引發(fā)訂單量和利潤的螺旋式下滑。除此之外，貿易以及品牌信用供應商會變得焦慮，并制定更為嚴格的條款或取消原有的支持，從而導致可能的流動性問題。螺旋式下滑會不斷持續(xù)，直到管理層采取一致行動扭轉這一趨勢。在金融服務領域聲譽是至關重要的，并且任何負面的影響都會迅速產(chǎn)生嚴重后果。值得重點注意的是，聲譽風險主要是二級風險，其產(chǎn)生的原因來自企業(yè)未能有效地控制其他類型的風險。例如，因違背法律而采取的法律行動，或綠色環(huán)保者對企業(yè)造成的環(huán)境破壞提出的抗議等都會導致負面的公眾形象。聲譽的建立需要很長時間，但聲譽的破壞卻只在一時，因此，企業(yè)中各層員工都必須認真對待聲譽風險。在本書的第十章，會對企業(yè)在經(jīng)營過程中所面臨的關鍵風險，包括政治風險、操作風險、項目風險、法律/合規(guī)性風險和主要的市場風險，即匯率風險和利率風險，作重點講述。第二節(jié) 風險管理的概念一、內部控制與風險管理的聯(lián)系在 COSO委員會發(fā)布的《內部控制一一整合框架》中，控制環(huán)境是其他內部控制元素的根基，它的構成元素包括董事會、組織結構、權責分配方式、員工勝任能力、管理層的哲學及人力資源政策。2004年發(fā)布的《企業(yè)風險管理一一整合框架} (Enterprise Risk Management，簡稱 ERM框架)，以內部環(huán)境代替了控制環(huán)境。與控制環(huán)境相比，內部環(huán)境是控制環(huán)境在內容上的擴展，引入了風險管理和風險偏好兩個概念。內部環(huán)境是確立企業(yè)對待風險的態(tài)度和可能采取的應對策略。(一)風險偏好風險偏好是指對風險的偏愛，而風險態(tài)度 (risk attitude)、風險承受能力 (risk tolerance)或風險容量 (risk capacity)是企業(yè)準備在任一時點承受的風險數(shù)量。企業(yè)的承受能力將反映其消化風險的能力。企業(yè)可以參考所在市場或行業(yè)內的其他企業(yè)的可用信息，作為自己制定風險承受能力的基準。每家企業(yè)的風險承受能力是不同的。企業(yè)的風險偏好會因其目標、文化以及整個商業(yè)環(huán)境條件的不斷變化而有所差別。風險態(tài)度可分為風險厭惡( risk averse)、風險中立 (risk neutral)或風險追求 (risk seeking)。企業(yè)準備承受的風險數(shù)量，或其風險偏好，將因諸如已了解的特定風險的財務風險敞口、企業(yè)目前取得的成功、經(jīng)濟趨勢及各個董事會成員的態(tài)度等問題而有所差別。另外，企業(yè)的看法可能受到已實行的其他計劃的影響，而這些計劃的結果尚不可知。如果結果是不利的，就能令整個企業(yè)受到影響，或者使企業(yè)的名譽受到損害。一旦機構確定了風險容忍水平，那么企業(yè)可以向負責決策的高級管理層宣傳商業(yè)風險文化，使他們在行使批準權時，了解機構對于每個項目和計劃的風險容忍水平。董事會希望在符合其風險容忍的范圍內作出精明的決策。但是，董事會所獲得的信息可能因若干因素而出現(xiàn)質量問題。董事會需要確定他們所獲得的信息是否可靠，以及考慮比如分析人員的經(jīng)驗、分析所依據(jù)信息的質量、是否為了獲得對項目的批準而故意隱瞞風險敞口或者風險管理活動的有效性。(二)風險管理如前所述，事件可能產(chǎn)生不利影響或者有利影響，也可能兩者兼而有之。產(chǎn)生負面影響的事件代表了風險，可以阻礙創(chuàng)造價值或削弱現(xiàn)有的價值。產(chǎn)生正面影響的事件能夠抵消不利影響或帶來機會。機會是指事件發(fā)生的可能性以及對于目標實現(xiàn)、支持創(chuàng)造價值或保持價值的積極影響。企業(yè)風險管理涉及的風險和機會影響價值的創(chuàng)造或保持。它是一個從戰(zhàn)略制定到日常經(jīng)營過程中對待風險的一系列信念與態(tài)度，目的是確定可能影響企業(yè)的潛在事項，并進行管理，為實現(xiàn)企業(yè)的目標提供合理的保證。整體來說，企業(yè)風險管理是:一個正在進行并貫穿整個企業(yè)的過程。 受到企業(yè)各個層次人員的影響。 戰(zhàn)略制定時得到應用。 適用于各個級別和單位的企業(yè)，包括考慮風險組合。 識別能夠影響企業(yè)及其風險管理的潛在事項。 能夠對企業(yè)的管理層和董事會提供合理保證。 致力于實現(xiàn)一個或多個單獨但是類別相互重疊的目標。二、風險管理的內容(一)風險管理的目標與范圍企業(yè)風險管理必須符合一系列參數(shù)。它必須嵌入企業(yè)的內部控制系統(tǒng)中，并對其他內部控制作出響應。所有企業(yè)都面臨著不確定性，對管理層的挑戰(zhàn)是決定為增加股東價值而能夠接受多大的風險。企業(yè)風險管理使管理層得以有效地處理不確定性和隨之而來的風險和機會，從而增強創(chuàng)造價值的能力。企業(yè)風險管理是關于保護和提高股價，以滿足股東價值最大化的首要業(yè)務目標。在風險管理過程中，管理層可獲取有助于有效評估總體資本需求和提高資本配置的重要風險信息。這些企業(yè)風險管理中固有的能力可以幫助管理層實現(xiàn)業(yè)績和盈利目標，并防止資源流失。管理層制定平衡增長和收益目標及風險的戰(zhàn)略和目標，井有效地配置資隙，以實現(xiàn)企業(yè)的目標，規(guī)避障礙和意外，在此過程中實現(xiàn)股東價值最大化。企業(yè)風險管理必須是包羅萬象的，能應對商業(yè)計劃的所有方面，比如策略計劃、營銷計劃、運營計劃、研發(fā)計劃、管理及組織計劃、預測和財務數(shù)據(jù)、融資、風險管理程序及業(yè)務控制等。在當今經(jīng)濟中運營的企業(yè)，具有不斷變化的特點。因此需要一種綜合方法，以管理其風險敞口。經(jīng)濟、法律、商業(yè)和人事風險在過去是單獨處理的，井且常常由企業(yè)內不同的人員獨立應對，而沒有顧及由不同的人分別處理的各種風險之間的相互影響 L由于風險具有動態(tài)的和可改變的特性，并且相互依賴程度很高。因此，不能獨立對風險進行評估或管理。企業(yè)風險管理主要包括以下幾個要素:沒有哪一個風險管理程序能夠創(chuàng)造出元風險的環(huán)境。相反，企業(yè)風險管理使管理層能夠在充滿波動風險的商業(yè)環(huán)境中更為有效地經(jīng)營企業(yè)。企業(yè)風險管理能提高企業(yè)將其風險偏好和策略關聯(lián)起來的能力。在評估備選策略時，管理層首先應考慮企業(yè)的風險偏好，然后為風險設定上下限。 企業(yè)風險管理嚴格地規(guī)定了對風險對策的選擇和識別，可能的選擇是風險降低、風險消除、風險轉移和風險保留。詳細的對策內容可參見本章第三節(jié)。 實施企業(yè)風險管理后，企業(yè)能夠使運營意外造成的損失降至最低。企業(yè)識別潛在風險事件、評估風險及作出反應的能力得到提高，從而降低發(fā)生令人不悅的意外及附帶成本或損失的情況。 企業(yè)風險管理還能識別并管理跨企業(yè)風險。每家企業(yè)都面臨著眾多對該機構的不同部分產(chǎn)生影響的風險。企業(yè)風險管理的好處，僅在整合企業(yè)內部的不同風險管理方法并作綜合。可通過蘭種方法實現(xiàn)整合:集中風險報告、整合風險轉移策略，及風險管理納入企業(yè)的商業(yè)流程。 企業(yè)風險管理不僅是一種防御機制，還是一種使商機最大化的工具。風險管理還能與企業(yè)的增長、風險及回報掛鉤。企業(yè)接受風險，是創(chuàng)造和保存 財富的環(huán)，并預期將獲得與風險相當?shù)幕貓?。企業(yè)風險管理能提高識別、評估風險、確立與潛在增長及目標實現(xiàn)有關的可接受的風險水平的能力。而且，關于風險敞口的高質量信息，能使管理層更加有效地了解自身總體需求，并改善資本分配。此外，用于識別風險的適當程序，能激勵相關人員深入思考，通過全面考慮各種可能的事件，管理層致力于識別和積極把握各種機遇。(二)實現(xiàn)企業(yè)的目標在企業(yè)既定任務的范圍內，管理層制定了戰(zhàn)略目標、戰(zhàn)略選擇，并制定整個企業(yè)的全套目標。企業(yè)的風險管理框架是為了實現(xiàn)企業(yè)的目標。事實上，企業(yè)的目的和目標應包括在策略計劃中，而策略計劃應包括任務說明及主要舉措。每個部門應為支持企業(yè)的策略計劃確立目的及目標。針對內部控制定義中包含的三個方面的目的及目標，企業(yè)的目標可能包括運營目標、財務報告目標及法規(guī)遵守的目標。運營目標是指，幫助實現(xiàn)企業(yè)基本任務的目標，包括設立業(yè)績標準，以計量部門運營的經(jīng)濟成果及效率、運營的效果，以及保護已分配的資漉免于損失。財務報告目標是指，編制可靠的財務報告，指防止向公眾提供具有重大錯報的財務報告。財務報告可能主要由承擔企業(yè)會計職能的部門負責，但是，每個部門都必須提供重要的信息，用以編制可靠的會計記錄，財務報告即是以此為基礎編制的。法規(guī)遵守的目標是找出適用于企業(yè)及其運營的法律法規(guī)，并且遵照執(zhí)行。這種企業(yè)目標的分類可以把重點放在企業(yè)風險管理的各個方面。這些類別明顯不同但又相互重疊，適應于不同實體的需要，并且可能屬于不同管理人員的直接責任。這種分類也可以區(qū)分每個類別的目標。由于企業(yè)控制包括與報告的可靠性和法律法規(guī)的遵循相關的目標，企業(yè)的風險管理可以提供實現(xiàn)這些目標的合理保證。然而，實現(xiàn)戰(zhàn)略目標和經(jīng)營目標也會受到并非總在企業(yè)控制范圍內的外部事件的影響。因此，對于這些目標，企業(yè)風險管理可以為管理層和董事會進行監(jiān)督。(三)風險管理中的個人責任在風險管理理念中，風險管理是企業(yè)內每個人的責任。風險管理不單是行政管理層的角色，所有的雇員均對監(jiān)察和維持內部控制負有一定的責任。從處于企業(yè)上層為內部控制確立基調的董事會及首席執(zhí)行官，到負責就該系統(tǒng)的有效性作報告的外聘審計師，都屬于監(jiān)察角色。業(yè)務部門的領導通常負責制定明確的內部控制政策和程序，而雇員負責執(zhí)行和遵守內部控制政策和程序。三、風險管理對利益相關者的意義風險管理的意義在于減少風險對利益相關者的影響。業(yè)務風險最初只對面臨風險的企業(yè)產(chǎn)生影響，但是，后續(xù)會因連鎖效應對利益相關者產(chǎn)生影響。而影響的程度取決于利益相關者與企業(yè)的關聯(lián)程度 c在許多情況下，利益相關者通過與企業(yè)保持距離的方式降低風險。如果實際上是利益相關者首先導致了業(yè)務風險的產(chǎn)生，則其所受到的影響很可能比起初所受到的影響更嚴重。對利益相關者的影響，可能造成利益相關者對企業(yè)的投資潛在縮水，以及出現(xiàn)投資損失。如果業(yè)務風險經(jīng)識別是由于某)位董事的行為引起的，則該董事可能也會面臨收益與聲名的損失。例如，這可能意味著董事主管的部門會在某種程度上不能達到預算的要求業(yè)績。因此，該部門管理者很可能失去動力，特別是如果業(yè)務風險并不是由他們造成的。如果薪酬與業(yè)績掛鉤，則薪酬有可能會降低 。與對管理者的影響類似，雇員會面臨生產(chǎn)率及/或薪酬的下降，因此也會失去動力 c對客戶的影響在很大程度上取決于風險的性質。但是，諸如產(chǎn)品信譽不佳等風險會對客戶產(chǎn)生影響，使其不再購買公司產(chǎn)品。因此整體影響主要是對公司不利，使銷售減少。如果業(yè)務風險是因供貨質量低下產(chǎn)生的，則風險對供應商的影響在于無法再為這家公司供貨。即使風險的出現(xiàn)不是供貨商的原因，也可能出現(xiàn)終止由其供貨的情況。對于政府的主要影響是稅收收入減少。對銀行的影響，極端的情況是企業(yè)無法進行交易，從而無法償還應付銀行的貸款和利息。因此，若企業(yè)的風險評估結果顯示風險增大，銀行將限制對其貸款額。四、風險管理的發(fā)展與挑戰(zhàn)(一)整合風險管理流程來預測戰(zhàn)略和經(jīng)營風險企業(yè)風險管理已能夠對風險進行更為嚴格和系統(tǒng)的評估和管理從歷史上看，組織內的每個部門都是單獨看待和管理各自的風險的。其結果是，一個組織沒有辦法量化總體風險。在許多企業(yè)，財務、首席財務官處理金融風險，首席執(zhí)行官負責戰(zhàn)略風險，首席經(jīng)營官負責經(jīng)營風險，但沒有人來考慮所有的風險。 目前，許多大型企業(yè)已經(jīng)創(chuàng)建了新的高級職位首席風險官來協(xié)助執(zhí)行企業(yè)風險管理。不依靠內部部門分工的戰(zhàn)略，企業(yè)風險管理采取一種全面的方法，在組織的整體經(jīng)營戰(zhàn)略的范圍內定義和量化風險。這種企業(yè)風險管理辦法的巨大好處是風險管理和損失控制舉措在組織的戰(zhàn)略理想，使命和目標范圍內被看做是適當?shù)摹? 企業(yè)中較低級別的管理人員首先給高管和董事會成員帶來了關注風險，因此風險是可以自上而下管理的。風險管理嵌人到每一級企業(yè)中。量化風險可能是風險管理過程中最困難的部分，它量化了風險的財務影響。如果一個企業(yè)沒有特定區(qū)域的歷史訴訟數(shù)據(jù)，量化是很困難的。舉例來說，信譽風險是對企業(yè)整體市值最大的威脅之一，但很難量化這種不明顯的風險，這也許可以解釋企業(yè)不準備處理這些問題的原因。然而，在風險管理計劃中，風險管理人員必須同樣關注可量化的和無法量化的風險。風險經(jīng)過量化之后，企業(yè)應當根據(jù)輕重緩急程度、可能性和影響金額來進行先后排序。一些企業(yè)可能在四象限矩陣中對風險進行排序。代表最頻繁或危險最大的風險列在右上角的象限中，而低級別的不常發(fā)生的風險通常列在左下方的象限中。除了對風險進行量化和排序之外，還必須有一個堅實的計劃來控制、減輕或者轉移風險。雖然企業(yè)風險管理在理論上有用，但在實踐中還需要做大量的工作。許多企業(yè)由于要求的努力和成本太高而抵制進行企業(yè)風險管理。然而，這種情況可能會隨著越來越嚴格的公司治理和問責要求而有所轉變。大型上市企業(yè)顯然必須考慮企業(yè)風險管理，而小企業(yè)實施風險管理也是有用的。利用風險管理辦法能夠使該企業(yè)實施明確定義的風險管理過程，而不是雜亂無章的監(jiān)督。在每種情況下都必須權衡成本收益。企業(yè)風險管理需要更加全面地進行風險評估和風險管理，而不僅僅是了解風險的性質和來掘。因此，它可能并不適合每個企業(yè)。許多企業(yè)的管理層通過進行成本效益分析，以確定風險管理對其企業(yè)的價值。理想的情況應當是在日益熟悉業(yè)務和經(jīng)驗豐富的過程中，逐步引人企業(yè)風險管理戰(zhàn)略。(二)新風險和新的風險管理辦法過去幾年中發(fā)生了很多變化，但風險管理的基本原則仍然是保持不變的。由于難以量化和管理的新風險的出現(xiàn)，新的法規(guī)要求更為復雜的合規(guī)而努力、找出新的辦法，如企業(yè)風險管理等，已經(jīng)被開發(fā)出來，并且正在被逐漸地采用。新的風險管理辦法的總體任務仍然是相同的:通過系統(tǒng)性的風險分析，保護企業(yè)不受意外損失或減少損失。新的風險管理模式和技術并不是答案本身。無論在任何行業(yè)，風險管理必須兼顧技術效率、人力資源和專門知識。通過培訓和教育建立一個風險管理文化對于企業(yè)中各個層次的員工而言都是至關重要的。第三節(jié) 風險管理程序風險管理程序可分為四個步驟:第一步是風險識別。第二步是對主要風險進行評估。第三步是確定風險評級和應對計劃。第四步是風險監(jiān)察。風險管理程序要求識別和了解企業(yè)面臨的各種風險，以評估風險的成本、影響及發(fā)生的可能性，并針對出現(xiàn)的風險制定應對辦法，制定文件記錄程序以描述發(fā)生的情況以及實施的糾正舉措。風險管理程序應覆蓋整個企業(yè)，包括各級人員和各個部門。大型企業(yè)可能會組建一個由風險管理專業(yè)人員構成的專門小組，而小型企業(yè)亦會安排一些人員負責管理整個企業(yè)內部的風險管理程序。無論是設立了正規(guī)的風險管理部門或是指定了專門的管理者，企業(yè)風險管理均涉及眾多人員。上述風險管理程序中的四個步驟應在企業(yè)的各層面得以執(zhí)行，并且不同工種的人員均應參與。無論是設在小地方且各種設施不完善的小型企業(yè)還是大型企業(yè)，均應制定常見的風險管理方法。這