【正文】 者不應(yīng)僅僅是在紙面上強調(diào)風(fēng)險管理理念，還應(yīng)在每天的行動中貫徹執(zhí)行。風(fēng)險偏好由企業(yè)的管理者設(shè)定，董事會復(fù)核，是企業(yè)制定戰(zhàn)略的一個控制指標。通常為了實現(xiàn)某一個預(yù)定的增長或收益目標，企業(yè)可以制定許多不同的戰(zhàn)略，而每一個戰(zhàn)略都具有不同的風(fēng)險。在戰(zhàn)略制定過程中，風(fēng)險管理有助于管理者選擇與企業(yè)的風(fēng)險偏好相一致的戰(zhàn)略方案。管理者期望將企業(yè)的組織結(jié)構(gòu)、人員、生產(chǎn)過程與硬件設(shè)施整合在一起，使得在戰(zhàn)略的成功執(zhí)行的同時將風(fēng)險控制在風(fēng)險偏好的范圍內(nèi)。風(fēng)險文化是企業(yè)員工共同的態(tài)度、價值觀和實務(wù)操作程序的組合，表明企業(yè)在其日?；顒又锌创L(fēng)險的方式。對于許多公司而言，風(fēng)險文化來自于企業(yè)的風(fēng)險理念和風(fēng)險偏好。對那些不能明確界定其風(fēng)險理念的企業(yè)，其風(fēng)險文化的形成可能是隨機的，而導(dǎo)致一個企業(yè)內(nèi)存在明顯不同的風(fēng)險文化，甚至在一個業(yè)務(wù)部門、行政部門中都有可能存在明顯不同的風(fēng)險文化。2．目標制定根據(jù)企業(yè)確定的任務(wù)或預(yù)期，管理者確定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略方案，確定相關(guān)的子目標并在企內(nèi)層層分解和落實，各子目標都應(yīng)遵循企業(yè)的戰(zhàn)略方案并與戰(zhàn)略方案相聯(lián)系。在能夠確定對目標的實現(xiàn)有潛在影響的事項之前，管理者就應(yīng)確定企業(yè)的目標。而企業(yè)風(fēng)險管理就是提供給管理者一個適當(dāng)?shù)倪^程，既能夠制定企業(yè)的目標，又能夠?qū)⒛繕伺c企業(yè)的任務(wù)或預(yù)期聯(lián)系在一起，并且這些目標還與企業(yè)的風(fēng)險偏好相一致。企業(yè)的目標可以分為四類：－戰(zhàn)略目標 是企業(yè)的高層次目標，與企業(yè)的任務(wù)和預(yù)期相聯(lián)系并支持企業(yè)的任務(wù)和預(yù)期的實現(xiàn)。－經(jīng)營目標 是指企業(yè)經(jīng)營的效率性和效果性，包括經(jīng)營業(yè)績目標和盈利能力目標，由于管理者對企業(yè)結(jié)構(gòu)和經(jīng)營的不同選擇，各企業(yè)的經(jīng)營目標也不盡相同。－報告目標 指企業(yè)報告的有效性，包括企業(yè)內(nèi)部和外部的報告，既包括財務(wù)信息，也包括非財務(wù)信息。－合法性目標 是指企業(yè)符合相關(guān)的法律和法規(guī)。企業(yè)目標的這種分類可以使企業(yè)的管理者和董事會注意企業(yè)風(fēng)險管理的不同方面。企業(yè)的某一個特定目標可能不僅僅屬于某一類目標。企業(yè)的這些目標既相互區(qū)別但又相互重疊，可以明確企業(yè)的不同需要，并且可以分派給企業(yè)的某一個執(zhí)行官作為其直接職責(zé)。這種分類還可以區(qū)分企業(yè)不同類別目標的期望之間的區(qū)別。某些企業(yè)還有另一類目標――“資源的安全”，有時也叫“資產(chǎn)的安全”。從廣義上看，這一目標是防止企業(yè)資產(chǎn)或資源的流失，這種流失可以是由于偷竊、浪費、經(jīng)營的無效性，也可以是由于企業(yè)商業(yè)上簡單的錯誤決策（如以過低的價格出售產(chǎn)品、沒有留住企業(yè)的關(guān)鍵員工、沒有阻止對本企業(yè)專利權(quán)的侵害行為，或者是出現(xiàn)未預(yù)期的負債等等）所引起的流失。對某種報告目的而言，這種廣義的資產(chǎn)安全類目標可能是一個狹義的定義，此時的資產(chǎn)安全概念可以僅僅指預(yù)防或及時發(fā)現(xiàn)對企業(yè)資產(chǎn)的未經(jīng)授權(quán)的購買、使用或處置。3．事項識別管理者意識到了不確定性的存在，即管理者不能確切地知道某一事項是否會發(fā)生、何時發(fā)生或者如果發(fā)生其結(jié)果如何。作為事項識別的一部分，管理者應(yīng)考慮會影響事項發(fā)生的各種企業(yè)內(nèi)外部的因素。外部因素包括經(jīng)濟、商業(yè)、自然環(huán)境、政治、社會和技術(shù)因素等，內(nèi)部因素反映出管理者所做的選擇，包括企業(yè)的基礎(chǔ)設(shè)施、人員、生產(chǎn)過程和技術(shù)等事項。一個企業(yè)事項識別的方法可以包含不同的技術(shù)及其與相應(yīng)的工具的組合。事項識別技術(shù)既針對過去，又針對未來。針對過去的事項和趨勢的識別技術(shù)主要要考慮類似支付錯誤的歷史、商品價格的變化和浪費時間的突發(fā)事件（Losttime accidents）等事項，而針對未來風(fēng)險的技術(shù)則主要考慮不斷變化的人口統(tǒng)計資料、新市場和競爭者的行為等事項。將潛在的事項進行分類對管理者而言是非常有用的。通過在企業(yè)內(nèi)各水平層面上對事項進行匯總、在營運部門內(nèi)部對事項進行垂直地匯總，管理者能夠?qū)κ马椫g的相互關(guān)系有一個了解，這些信息也可以作為風(fēng)險評估的基礎(chǔ)。潛在的事項可能對企業(yè)有正面的影響、也可能有負面的影響或者兩種影響同時存在。對企業(yè)有潛在負面影響的事項是企業(yè)的風(fēng)險，要求企業(yè)的管理者對其進行評估和建立反應(yīng)方案。因此，風(fēng)險的定義就是，某一事項將要發(fā)生的可能性及其對企業(yè)目標的實現(xiàn)造成負面影響的可能性。對企業(yè)有潛在正面影響的事項則是企業(yè)的機遇或者可以彌補風(fēng)險對企業(yè)的負面影響。機遇可以在企業(yè)戰(zhàn)略或目標制定的過程中加以考慮，以制定有關(guān)行動抓住機遇。可能彌補風(fēng)險對企業(yè)負面影響的事項則應(yīng)在管理者對風(fēng)險進行評估和反應(yīng)的階段予以考慮。4．風(fēng)險評估風(fēng)險評估可以使企業(yè)了解潛在事項如何影響企業(yè)目標的實現(xiàn)。管理者應(yīng)從兩個方面對風(fēng)險進行評估――風(fēng)險發(fā)生的可能性和影響。風(fēng)險發(fā)生的可能性是指某一特定事項發(fā)生的可能性，影響則是指事項的發(fā)生將會帶來的影響。對風(fēng)險發(fā)生的可能性和影響的估計經(jīng)常需要使用從過去的可觀察事項得到的數(shù)據(jù)，這比沒有任何數(shù)據(jù)的、完全的主觀估計要客觀得多。根據(jù)企業(yè)自己的經(jīng)驗在企業(yè)內(nèi)部產(chǎn)生的數(shù)據(jù)帶有較少的人的主觀偏見，能夠得到比外部數(shù)據(jù)更好的結(jié)果。但是，即使是以內(nèi)部數(shù)據(jù)作為主要的資料來源，外部數(shù)據(jù)仍能用作一個檢查標準或者改進分析。當(dāng)使用過去數(shù)據(jù)對未來進行預(yù)測時使用者必須小心，因為影響過去事項的有關(guān)因素可能會隨著時間的推移而改變。一個企業(yè)風(fēng)險評估的方法通常是定量方法和定性分析技術(shù)的組合。當(dāng)風(fēng)險本身無法量化時，或者量化評估所要求充足的可靠的數(shù)據(jù)實際不可獲得或者數(shù)據(jù)獲得或分析不符合成本效益原則時，管理者通常會采用定性的分析技術(shù)。定量的分析技術(shù)通常更加精確，一般用于更為復(fù)雜多變的活動，作為定性分析的補充。一個企業(yè)不需要在每個業(yè)務(wù)部門都使用同樣的評估技術(shù)。相反，對評估技術(shù)的選擇應(yīng)反映出對精確性的需要和該業(yè)務(wù)部門的文化。在任何情況下，各業(yè)務(wù)部門所使用的評估技術(shù)應(yīng)有利于企業(yè)在整個企業(yè)的范圍內(nèi)對風(fēng)險的評估。在衡量目標的實現(xiàn)程度時，管理者經(jīng)常使用業(yè)績計量指標。當(dāng)考慮某一風(fēng)險對實現(xiàn)某一特定目標的潛在影響時，使用這些計量指標同樣有效。管理者可以評估各事項之間的關(guān)系，因為一系列相互關(guān)聯(lián)的事項結(jié)合起來會使得事項的發(fā)生概率或事項的影響發(fā)生重大變化。雖然一個單一事項的影響可能很小，但是這樣一系列事項則可能對企業(yè)造成重大影響。各潛在事項之間可能并不直接相關(guān)，這時管理者可以分別對其進行評估，但是某些風(fēng)險可能在企業(yè)的多個業(yè)務(wù)部門出現(xiàn)時，管理者可以將所確認的風(fēng)險歸為一類進行評估。通常一個潛在事項結(jié)果是一個可能的范圍值，管理者應(yīng)將其作為制定風(fēng)險反應(yīng)方案的基礎(chǔ)。通過風(fēng)險評估，管理者可以了解潛在事項在整個企業(yè)內(nèi)對企業(yè)的正面和負面的影響，單個事項或某類事項對企業(yè)的影響。管理者通常只趨于關(guān)注中短期的風(fēng)險，但風(fēng)險應(yīng)在企業(yè)戰(zhàn)略和目標的前提下進行評估。由于戰(zhàn)略方向和目標的某些要素涉及較長時期，管理者因而應(yīng)從長期的角度認識風(fēng)險，而不能忽視遠期會影響企業(yè)的風(fēng)險。首先，應(yīng)對企業(yè)的固有風(fēng)險進行評估。固有風(fēng)險是指管理者在沒有采取任何會改變風(fēng)險發(fā)生的可能性或影響的管理措施的情況下企業(yè)所面臨的風(fēng)險。一旦確定了對固有風(fēng)險的風(fēng)險反應(yīng)方案，管理者就可以使用風(fēng)險評估技術(shù)確定企業(yè)的殘留風(fēng)險。殘留風(fēng)險是指管理者采取了有關(guān)風(fēng)險管理措施后應(yīng)存在的風(fēng)險。5．風(fēng)險反應(yīng)管理者可以制定不同風(fēng)險反應(yīng)方案，并在風(fēng)險容忍度和成本效益原則的前提下，考慮每個方案如何影響事項發(fā)生的可能性和事項對企業(yè)的影響，并設(shè)計和執(zhí)行風(fēng)險反應(yīng)方案?？紤]各風(fēng)險反應(yīng)方案并選擇和執(zhí)行一個風(fēng)險反應(yīng)方案是企業(yè)風(fēng)險管理不可分割的一部分。有效的風(fēng)險管理要求管理者選擇一個可以使企業(yè)風(fēng)險發(fā)生的可能性和影響都落在風(fēng)險容忍度范圍之內(nèi)的風(fēng)險反應(yīng)方案。風(fēng)險反應(yīng)可分為規(guī)避風(fēng)險、減少風(fēng)險、共擔(dān)風(fēng)險和接受風(fēng)險四類。規(guī)避風(fēng)險是指采取措施退出會給企業(yè)帶來風(fēng)險的活動。減少風(fēng)險是指減少風(fēng)險發(fā)生的可能性、減少風(fēng)險的影響或者兩者同時減少。共擔(dān)風(fēng)險是指通過轉(zhuǎn)嫁或與他人共擔(dān)一部分風(fēng)險來降低風(fēng)險發(fā)生的可能性或影響。接受風(fēng)險則是不采取任何改變風(fēng)險發(fā)生的可能性或影響的行動。作為企業(yè)風(fēng)險管理的一部分，對于每一個重要的風(fēng)險，企業(yè)都應(yīng)按風(fēng)險反應(yīng)的類型考慮所有的風(fēng)險反應(yīng)方案，這樣有助于風(fēng)險反應(yīng)方案的選擇，這也是對“現(xiàn)狀”提出的挑戰(zhàn)。__選定某一個風(fēng)險反應(yīng)方案后，管理者應(yīng)在殘留風(fēng)險的基礎(chǔ)上重新評估風(fēng)險，即從企業(yè)總體的風(fēng)險組合的、預(yù)測的角度重新計量風(fēng)險。管理者可以采取一定的方法使得每一生產(chǎn)部門、行政部門或業(yè)務(wù)單位的管理者可以對風(fēng)險進行復(fù)合式的評估以決定該部門的風(fēng)險反應(yīng)方案。這種視角可以反映相對于各部門的目標和風(fēng)險容忍度該部門的風(fēng)險組合。在對各個獨立部門的風(fēng)險有一個認識的基礎(chǔ)上，企業(yè)最高層的管理者應(yīng)以組合的角度看待風(fēng)險，以決定企業(yè)的風(fēng)險組合與相對企業(yè)目標而言的總體的風(fēng)險偏好是否相符。管理者應(yīng)認識到一定水平的殘留風(fēng)險總是存在的，這不僅是因為資源的有限性，還因為未來有其內(nèi)在的不確定性和所有活動的固有限制。6．控制活動控制活動是幫助保證風(fēng)險反應(yīng)方案得到正確執(zhí)行的相關(guān)政策和程序?？刂苹顒哟嬖谟谄髽I(yè)的各部分、各個層面和各個部門?？刂苹顒邮瞧髽I(yè)努力實現(xiàn)其商業(yè)目標的過程的一部分。通常包括兩個要素：確定應(yīng)該做什么的一個政策和影響該政策的一系列過程。由于企業(yè)的控制活動與企業(yè)的信息系統(tǒng)廣泛相關(guān)，因此，應(yīng)對企業(yè)所有的重要系統(tǒng)進行控制。廣義來講，對信息系統(tǒng)控制活動可以分為兩類。一類是一般控制，這類控制應(yīng)用于大多數(shù)應(yīng)用系統(tǒng)，有助于保證系統(tǒng)的持續(xù)地、正確地運行。另一類是應(yīng)用控制，包括用于控制技術(shù)應(yīng)用的應(yīng)用軟件內(nèi)部的電腦程序。必要時將信息系統(tǒng)控制與其他手工的過程控制相結(jié)合，可以保證信息的完整性、精確性和有效性。一般控制包括對信息技術(shù)管理、信息技術(shù)基礎(chǔ)設(shè)施、保密管理和軟件的購買、開發(fā)和維護的控制。這些技術(shù)應(yīng)用于所有的系統(tǒng)，從主機到客戶端（服務(wù)端）到桌面電腦環(huán)境。信息技術(shù)管理控制主要包括明確信息技術(shù)的勘漏過程、監(jiān)督和報告信息技術(shù)活動及業(yè)務(wù)改進的初步行動等等。應(yīng)用控制的目的是保證數(shù)據(jù)獲得和業(yè)務(wù)處理過程的完整性、精確性、授權(quán)和有效性。依靠信息系統(tǒng)控制運行的有效可以保證當(dāng)需要時每個應(yīng)用程序可以在界面上產(chǎn)生有關(guān)數(shù)據(jù)，保證應(yīng)用程序的有效和有關(guān)界面的錯誤可以很快地被發(fā)現(xiàn)。因為每一個主體都有其自己的一套目標和執(zhí)行目標的方法，因此其子目標、結(jié)構(gòu)和相關(guān)的控制活動也會不同。即使兩個企業(yè)有同樣的目標和結(jié)構(gòu)，他們的控制活動可很可能不同。每個企業(yè)的管理人員都不同，不同的管理人員在影響內(nèi)部控制時使用不同的個人判斷。而且，控制活動反映了一個企業(yè)所處的環(huán)境和行業(yè)，也會反映企業(yè)的復(fù)雜性、企業(yè)的歷史和文化。7．信息和溝通來自于企業(yè)內(nèi)部和外部的相關(guān)信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞，以保證企業(yè)的員工能夠執(zhí)行各自的職責(zé)。有效的溝通也是廣義上的溝通，包括企業(yè)內(nèi)自上而下、自下而上以及橫向的溝通。有效的溝通還包括將相關(guān)的信息與企業(yè)外部相關(guān)方的有效溝通和交換，如客戶、供應(yīng)商、行政管理部門和股東等。企業(yè)內(nèi)部各個管理層都需要信息來幫助識別、評估風(fēng)險和對風(fēng)險進行反應(yīng)，以及進行經(jīng)營并實現(xiàn)企業(yè)的目標。相對于某一類或幾類目標，某一批信息是有用的。企業(yè)的信息來自于各個方面，包括內(nèi)部和外部的信息、量化的和非量化的信息，以使得企業(yè)的風(fēng)險管理可以對現(xiàn)實世界中不斷變化的條件及時作出反應(yīng)。將大量的信息進行處理，提煉出或指導(dǎo)行動的信息是企業(yè)管理者所面臨的一個挑戰(zhàn)。解決這一問題的方法是建立一個信息系統(tǒng)底層結(jié)構(gòu)來確認、捕捉、處理、分析和報告相關(guān)信息。這些信息系統(tǒng)通常是電腦系統(tǒng)，但也包括手工錄入或人機界面。因此，這些信息系統(tǒng)經(jīng)常是指處理企業(yè)相關(guān)業(yè)務(wù)產(chǎn)生的內(nèi)部數(shù)據(jù)的系統(tǒng)。長期以來信息系統(tǒng)是用來支持企業(yè)的商業(yè)戰(zhàn)略。當(dāng)業(yè)務(wù)需要變化和有關(guān)技術(shù)為企業(yè)獲得戰(zhàn)略優(yōu)勢提供新的機會時，這一地位就顯得更為重要。__為支持有效的企業(yè)風(fēng)險管理，一個企業(yè)會捕捉和使用歷史和現(xiàn)在的數(shù)據(jù)。歷史數(shù)據(jù)使企業(yè)能夠?qū)嶋H業(yè)績與目標、計劃和期望相比較，能夠更加深入了解企業(yè)在不斷變化的環(huán)境下是如何生存的，使得管理者確認相關(guān)性和趨勢并預(yù)測未來的業(yè)績。歷史數(shù)據(jù)還能夠?qū)π枰芾碚咦⒁獾臐撛谑马椞嵩缣岢鼍妗，F(xiàn)在或現(xiàn)狀的數(shù)據(jù)使企業(yè)能夠評估在某一特定時點所面臨的風(fēng)險并將其控制在風(fēng)險容忍度范圍內(nèi)?，F(xiàn)狀數(shù)據(jù)使得管理者可以實時地了解一個過程、職能部門或單位現(xiàn)存的固有風(fēng)險和差異的大小。這對了解企業(yè)的風(fēng)險組合提供了一個視角，使得管理者能夠在必要時改變企業(yè)的活動以滿足企業(yè)的風(fēng)險偏好。信息是溝通的基礎(chǔ)，溝通則必須滿足各部門和個人的要求，以使他們能夠有效地履行其職責(zé)。最重要的溝通渠道之一是高級管理者和董事會之間的溝通。管理者必須使董事會了解關(guān)于企業(yè)業(yè)績、發(fā)展、風(fēng)險管理執(zhí)行和其他相關(guān)事項和問題的及時信息。溝通越暢通，董事會在執(zhí)行其監(jiān)督職能、重大問題的宣傳媒介職能和提供建議、咨詢和指導(dǎo)職能時才會越有效。反之，董事會也應(yīng)向管理者傳遞其所需要的信息并進行反饋和指導(dǎo)。管理者應(yīng)提供特定的或直接的溝通渠道說明對員工的行為預(yù)期和各自的職責(zé)。應(yīng)包括對企業(yè)風(fēng)險管理原理和方法以及員工權(quán)責(zé)分配的清晰的說明。對于風(fēng)險管理過程和程序的溝通應(yīng)與企業(yè)預(yù)期的風(fēng)險文化相結(jié)合，并作為企業(yè)風(fēng)險文化的基礎(chǔ)。此外，信息的列示會直接影響對信息的解釋和對相應(yīng)的風(fēng)險或機遇的看法，因此，對于溝通應(yīng)有一個適當(dāng)?shù)募軜?gòu)。溝通應(yīng)使企業(yè)的員工了解有效地企業(yè)風(fēng)險管理的重要性和相關(guān)性，了解企業(yè)的風(fēng)險偏好和風(fēng)險容忍度，并在企業(yè)內(nèi)執(zhí)行、設(shè)計一個統(tǒng)一的風(fēng)險用語并向員工說明他們在影響和支持企業(yè)風(fēng)險管理要素中的地位和職責(zé)。溝通渠道還應(yīng)該保證企業(yè)員工能夠在各業(yè)務(wù)部門、業(yè)務(wù)流程或職能部門間進行風(fēng)險信息的溝通。大多數(shù)情況下，企業(yè)內(nèi)正常的報告路徑一般是溝通的適當(dāng)渠道。而在某些情況下，需要一個單獨的信息溝通途徑作為防止失敗機制，而為一途徑在正常情況下是不用的。在所有的情況下，讓企業(yè)的員工了解企業(yè)內(nèi)并不存在對報告相關(guān)信息的報復(fù)是很重要的。外部的溝通渠道能夠為企業(yè)的產(chǎn)品或服務(wù)的設(shè)計或品質(zhì)提供非常重要的信息。管理者應(yīng)將企業(yè)的風(fēng)險偏好和風(fēng)險容忍度與客戶、供應(yīng)商和合伙人的風(fēng)險偏好和風(fēng)險容忍度聯(lián)系起來考慮，以保證不會通過企業(yè)的業(yè)務(wù)活動給企業(yè)帶來太多的風(fēng)險。外部相關(guān)方的信息經(jīng)常會為企業(yè)風(fēng)險管理的運行提供重要的信息。8．監(jiān)控對企業(yè)風(fēng)險管理的監(jiān)控是指評估風(fēng)險管理要素的內(nèi)容和運行以及一段時期的執(zhí)行質(zhì)量的一個過程。企業(yè)可以通過兩種方式對風(fēng)險管理進行監(jiān)控――持續(xù)監(jiān)控和個別評估。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風(fēng)險管理在企業(yè)內(nèi)各管理層面和各部門持續(xù)得到執(zhí)行。持續(xù)監(jiān)控是對企業(yè)日常的、重復(fù)的經(jīng)營活動的監(jiān)控，在實時的基礎(chǔ)上進行，是對不斷變化的環(huán)境的動態(tài)地反應(yīng)，應(yīng)在企業(yè)內(nèi)部徹底地貫徹和執(zhí)行。如果執(zhí)行得好，持續(xù)監(jiān)控比個別評估更為有效。由于個別評估是在事實發(fā)生之后才進行評估