【正文】 者不應僅僅是在紙面上強調風險管理理念，還應在每天的行動中貫徹執(zhí)行。風險偏好由企業(yè)的管理者設定，董事會復核，是企業(yè)制定戰(zhàn)略的一個控制指標。通常為了實現某一個預定的增長或收益目標，企業(yè)可以制定許多不同的戰(zhàn)略，而每一個戰(zhàn)略都具有不同的風險。在戰(zhàn)略制定過程中，風險管理有助于管理者選擇與企業(yè)的風險偏好相一致的戰(zhàn)略方案。管理者期望將企業(yè)的組織結構、人員、生產過程與硬件設施整合在一起，使得在戰(zhàn)略的成功執(zhí)行的同時將風險控制在風險偏好的范圍內。風險文化是企業(yè)員工共同的態(tài)度、價值觀和實務操作程序的組合，表明企業(yè)在其日?；顒又锌创L險的方式。對于許多公司而言，風險文化來自于企業(yè)的風險理念和風險偏好。對那些不能明確界定其風險理念的企業(yè)，其風險文化的形成可能是隨機的，而導致一個企業(yè)內存在明顯不同的風險文化，甚至在一個業(yè)務部門、行政部門中都有可能存在明顯不同的風險文化。2．目標制定根據企業(yè)確定的任務或預期，管理者確定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略方案，確定相關的子目標并在企內層層分解和落實，各子目標都應遵循企業(yè)的戰(zhàn)略方案并與戰(zhàn)略方案相聯系。在能夠確定對目標的實現有潛在影響的事項之前，管理者就應確定企業(yè)的目標。而企業(yè)風險管理就是提供給管理者一個適當的過程，既能夠制定企業(yè)的目標，又能夠將目標與企業(yè)的任務或預期聯系在一起，并且這些目標還與企業(yè)的風險偏好相一致。企業(yè)的目標可以分為四類：－戰(zhàn)略目標 是企業(yè)的高層次目標，與企業(yè)的任務和預期相聯系并支持企業(yè)的任務和預期的實現。－經營目標 是指企業(yè)經營的效率性和效果性，包括經營業(yè)績目標和盈利能力目標，由于管理者對企業(yè)結構和經營的不同選擇，各企業(yè)的經營目標也不盡相同。－報告目標 指企業(yè)報告的有效性，包括企業(yè)內部和外部的報告，既包括財務信息，也包括非財務信息。－合法性目標 是指企業(yè)符合相關的法律和法規(guī)。企業(yè)目標的這種分類可以使企業(yè)的管理者和董事會注意企業(yè)風險管理的不同方面。企業(yè)的某一個特定目標可能不僅僅屬于某一類目標。企業(yè)的這些目標既相互區(qū)別但又相互重疊，可以明確企業(yè)的不同需要，并且可以分派給企業(yè)的某一個執(zhí)行官作為其直接職責。這種分類還可以區(qū)分企業(yè)不同類別目標的期望之間的區(qū)別。某些企業(yè)還有另一類目標――“資源的安全”，有時也叫“資產的安全”。從廣義上看，這一目標是防止企業(yè)資產或資源的流失，這種流失可以是由于偷竊、浪費、經營的無效性，也可以是由于企業(yè)商業(yè)上簡單的錯誤決策（如以過低的價格出售產品、沒有留住企業(yè)的關鍵員工、沒有阻止對本企業(yè)專利權的侵害行為，或者是出現未預期的負債等等）所引起的流失。對某種報告目的而言，這種廣義的資產安全類目標可能是一個狹義的定義，此時的資產安全概念可以僅僅指預防或及時發(fā)現對企業(yè)資產的未經授權的購買、使用或處置。3．事項識別管理者意識到了不確定性的存在，即管理者不能確切地知道某一事項是否會發(fā)生、何時發(fā)生或者如果發(fā)生其結果如何。作為事項識別的一部分，管理者應考慮會影響事項發(fā)生的各種企業(yè)內外部的因素。外部因素包括經濟、商業(yè)、自然環(huán)境、政治、社會和技術因素等，內部因素反映出管理者所做的選擇，包括企業(yè)的基礎設施、人員、生產過程和技術等事項。一個企業(yè)事項識別的方法可以包含不同的技術及其與相應的工具的組合。事項識別技術既針對過去，又針對未來。針對過去的事項和趨勢的識別技術主要要考慮類似支付錯誤的歷史、商品價格的變化和浪費時間的突發(fā)事件（Losttime accidents）等事項，而針對未來風險的技術則主要考慮不斷變化的人口統(tǒng)計資料、新市場和競爭者的行為等事項。將潛在的事項進行分類對管理者而言是非常有用的。通過在企業(yè)內各水平層面上對事項進行匯總、在營運部門內部對事項進行垂直地匯總，管理者能夠對事項之間的相互關系有一個了解，這些信息也可以作為風險評估的基礎。潛在的事項可能對企業(yè)有正面的影響、也可能有負面的影響或者兩種影響同時存在。對企業(yè)有潛在負面影響的事項是企業(yè)的風險，要求企業(yè)的管理者對其進行評估和建立反應方案。因此，風險的定義就是，某一事項將要發(fā)生的可能性及其對企業(yè)目標的實現造成負面影響的可能性。對企業(yè)有潛在正面影響的事項則是企業(yè)的機遇或者可以彌補風險對企業(yè)的負面影響。機遇可以在企業(yè)戰(zhàn)略或目標制定的過程中加以考慮，以制定有關行動抓住機遇?？赡軓浹a風險對企業(yè)負面影響的事項則應在管理者對風險進行評估和反應的階段予以考慮。4．風險評估風險評估可以使企業(yè)了解潛在事項如何影響企業(yè)目標的實現。管理者應從兩個方面對風險進行評估――風險發(fā)生的可能性和影響。風險發(fā)生的可能性是指某一特定事項發(fā)生的可能性，影響則是指事項的發(fā)生將會帶來的影響。對風險發(fā)生的可能性和影響的估計經常需要使用從過去的可觀察事項得到的數據，這比沒有任何數據的、完全的主觀估計要客觀得多。根據企業(yè)自己的經驗在企業(yè)內部產生的數據帶有較少的人的主觀偏見，能夠得到比外部數據更好的結果。但是，即使是以內部數據作為主要的資料來源，外部數據仍能用作一個檢查標準或者改進分析。當使用過去數據對未來進行預測時使用者必須小心，因為影響過去事項的有關因素可能會隨著時間的推移而改變。一個企業(yè)風險評估的方法通常是定量方法和定性分析技術的組合。當風險本身無法量化時，或者量化評估所要求充足的可靠的數據實際不可獲得或者數據獲得或分析不符合成本效益原則時，管理者通常會采用定性的分析技術。定量的分析技術通常更加精確，一般用于更為復雜多變的活動，作為定性分析的補充。一個企業(yè)不需要在每個業(yè)務部門都使用同樣的評估技術。相反，對評估技術的選擇應反映出對精確性的需要和該業(yè)務部門的文化。在任何情況下，各業(yè)務部門所使用的評估技術應有利于企業(yè)在整個企業(yè)的范圍內對風險的評估。在衡量目標的實現程度時，管理者經常使用業(yè)績計量指標。當考慮某一風險對實現某一特定目標的潛在影響時，使用這些計量指標同樣有效。管理者可以評估各事項之間的關系，因為一系列相互關聯的事項結合起來會使得事項的發(fā)生概率或事項的影響發(fā)生重大變化。雖然一個單一事項的影響可能很小，但是這樣一系列事項則可能對企業(yè)造成重大影響。各潛在事項之間可能并不直接相關，這時管理者可以分別對其進行評估，但是某些風險可能在企業(yè)的多個業(yè)務部門出現時，管理者可以將所確認的風險歸為一類進行評估。通常一個潛在事項結果是一個可能的范圍值，管理者應將其作為制定風險反應方案的基礎。通過風險評估，管理者可以了解潛在事項在整個企業(yè)內對企業(yè)的正面和負面的影響，單個事項或某類事項對企業(yè)的影響。管理者通常只趨于關注中短期的風險，但風險應在企業(yè)戰(zhàn)略和目標的前提下進行評估。由于戰(zhàn)略方向和目標的某些要素涉及較長時期，管理者因而應從長期的角度認識風險，而不能忽視遠期會影響企業(yè)的風險。首先，應對企業(yè)的固有風險進行評估。固有風險是指管理者在沒有采取任何會改變風險發(fā)生的可能性或影響的管理措施的情況下企業(yè)所面臨的風險。一旦確定了對固有風險的風險反應方案，管理者就可以使用風險評估技術確定企業(yè)的殘留風險。殘留風險是指管理者采取了有關風險管理措施后應存在的風險。5．風險反應管理者可以制定不同風險反應方案，并在風險容忍度和成本效益原則的前提下，考慮每個方案如何影響事項發(fā)生的可能性和事項對企業(yè)的影響，并設計和執(zhí)行風險反應方案?？紤]各風險反應方案并選擇和執(zhí)行一個風險反應方案是企業(yè)風險管理不可分割的一部分。有效的風險管理要求管理者選擇一個可以使企業(yè)風險發(fā)生的可能性和影響都落在風險容忍度范圍之內的風險反應方案。風險反應可分為規(guī)避風險、減少風險、共擔風險和接受風險四類。規(guī)避風險是指采取措施退出會給企業(yè)帶來風險的活動。減少風險是指減少風險發(fā)生的可能性、減少風險的影響或者兩者同時減少。共擔風險是指通過轉嫁或與他人共擔一部分風險來降低風險發(fā)生的可能性或影響。接受風險則是不采取任何改變風險發(fā)生的可能性或影響的行動。作為企業(yè)風險管理的一部分，對于每一個重要的風險，企業(yè)都應按風險反應的類型考慮所有的風險反應方案，這樣有助于風險反應方案的選擇，這也是對“現狀”提出的挑戰(zhàn)。__選定某一個風險反應方案后，管理者應在殘留風險的基礎上重新評估風險，即從企業(yè)總體的風險組合的、預測的角度重新計量風險。管理者可以采取一定的方法使得每一生產部門、行政部門或業(yè)務單位的管理者可以對風險進行復合式的評估以決定該部門的風險反應方案。這種視角可以反映相對于各部門的目標和風險容忍度該部門的風險組合。在對各個獨立部門的風險有一個認識的基礎上，企業(yè)最高層的管理者應以組合的角度看待風險，以決定企業(yè)的風險組合與相對企業(yè)目標而言的總體的風險偏好是否相符。管理者應認識到一定水平的殘留風險總是存在的，這不僅是因為資源的有限性，還因為未來有其內在的不確定性和所有活動的固有限制。6．控制活動控制活動是幫助保證風險反應方案得到正確執(zhí)行的相關政策和程序?？刂苹顒哟嬖谟谄髽I(yè)的各部分、各個層面和各個部門?？刂苹顒邮瞧髽I(yè)努力實現其商業(yè)目標的過程的一部分。通常包括兩個要素：確定應該做什么的一個政策和影響該政策的一系列過程。由于企業(yè)的控制活動與企業(yè)的信息系統(tǒng)廣泛相關，因此，應對企業(yè)所有的重要系統(tǒng)進行控制。廣義來講，對信息系統(tǒng)控制活動可以分為兩類。一類是一般控制，這類控制應用于大多數應用系統(tǒng)，有助于保證系統(tǒng)的持續(xù)地、正確地運行。另一類是應用控制，包括用于控制技術應用的應用軟件內部的電腦程序。必要時將信息系統(tǒng)控制與其他手工的過程控制相結合，可以保證信息的完整性、精確性和有效性。一般控制包括對信息技術管理、信息技術基礎設施、保密管理和軟件的購買、開發(fā)和維護的控制。這些技術應用于所有的系統(tǒng)，從主機到客戶端（服務端）到桌面電腦環(huán)境。信息技術管理控制主要包括明確信息技術的勘漏過程、監(jiān)督和報告信息技術活動及業(yè)務改進的初步行動等等。應用控制的目的是保證數據獲得和業(yè)務處理過程的完整性、精確性、授權和有效性。依靠信息系統(tǒng)控制運行的有效可以保證當需要時每個應用程序可以在界面上產生有關數據，保證應用程序的有效和有關界面的錯誤可以很快地被發(fā)現。因為每一個主體都有其自己的一套目標和執(zhí)行目標的方法，因此其子目標、結構和相關的控制活動也會不同。即使兩個企業(yè)有同樣的目標和結構，他們的控制活動可很可能不同。每個企業(yè)的管理人員都不同，不同的管理人員在影響內部控制時使用不同的個人判斷。而且，控制活動反映了一個企業(yè)所處的環(huán)境和行業(yè)，也會反映企業(yè)的復雜性、企業(yè)的歷史和文化。7．信息和溝通來自于企業(yè)內部和外部的相關信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞，以保證企業(yè)的員工能夠執(zhí)行各自的職責。有效的溝通也是廣義上的溝通，包括企業(yè)內自上而下、自下而上以及橫向的溝通。有效的溝通還包括將相關的信息與企業(yè)外部相關方的有效溝通和交換，如客戶、供應商、行政管理部門和股東等。企業(yè)內部各個管理層都需要信息來幫助識別、評估風險和對風險進行反應，以及進行經營并實現企業(yè)的目標。相對于某一類或幾類目標，某一批信息是有用的。企業(yè)的信息來自于各個方面，包括內部和外部的信息、量化的和非量化的信息，以使得企業(yè)的風險管理可以對現實世界中不斷變化的條件及時作出反應。將大量的信息進行處理，提煉出或指導行動的信息是企業(yè)管理者所面臨的一個挑戰(zhàn)。解決這一問題的方法是建立一個信息系統(tǒng)底層結構來確認、捕捉、處理、分析和報告相關信息。這些信息系統(tǒng)通常是電腦系統(tǒng)，但也包括手工錄入或人機界面。因此，這些信息系統(tǒng)經常是指處理企業(yè)相關業(yè)務產生的內部數據的系統(tǒng)。長期以來信息系統(tǒng)是用來支持企業(yè)的商業(yè)戰(zhàn)略。當業(yè)務需要變化和有關技術為企業(yè)獲得戰(zhàn)略優(yōu)勢提供新的機會時，這一地位就顯得更為重要。__為支持有效的企業(yè)風險管理，一個企業(yè)會捕捉和使用歷史和現在的數據。歷史數據使企業(yè)能夠將實際業(yè)績與目標、計劃和期望相比較，能夠更加深入了解企業(yè)在不斷變化的環(huán)境下是如何生存的，使得管理者確認相關性和趨勢并預測未來的業(yè)績。歷史數據還能夠對需要管理者注意的潛在事項提早提出警告。現在或現狀的數據使企業(yè)能夠評估在某一特定時點所面臨的風險并將其控制在風險容忍度范圍內?，F狀數據使得管理者可以實時地了解一個過程、職能部門或單位現存的固有風險和差異的大小。這對了解企業(yè)的風險組合提供了一個視角，使得管理者能夠在必要時改變企業(yè)的活動以滿足企業(yè)的風險偏好。信息是溝通的基礎，溝通則必須滿足各部門和個人的要求，以使他們能夠有效地履行其職責。最重要的溝通渠道之一是高級管理者和董事會之間的溝通。管理者必須使董事會了解關于企業(yè)業(yè)績、發(fā)展、風險管理執(zhí)行和其他相關事項和問題的及時信息。溝通越暢通，董事會在執(zhí)行其監(jiān)督職能、重大問題的宣傳媒介職能和提供建議、咨詢和指導職能時才會越有效。反之，董事會也應向管理者傳遞其所需要的信息并進行反饋和指導。管理者應提供特定的或直接的溝通渠道說明對員工的行為預期和各自的職責。應包括對企業(yè)風險管理原理和方法以及員工權責分配的清晰的說明。對于風險管理過程和程序的溝通應與企業(yè)預期的風險文化相結合，并作為企業(yè)風險文化的基礎。此外，信息的列示會直接影響對信息的解釋和對相應的風險或機遇的看法，因此，對于溝通應有一個適當的架構。溝通應使企業(yè)的員工了解有效地企業(yè)風險管理的重要性和相關性，了解企業(yè)的風險偏好和風險容忍度，并在企業(yè)內執(zhí)行、設計一個統(tǒng)一的風險用語并向員工說明他們在影響和支持企業(yè)風險管理要素中的地位和職責。溝通渠道還應該保證企業(yè)員工能夠在各業(yè)務部門、業(yè)務流程或職能部門間進行風險信息的溝通。大多數情況下，企業(yè)內正常的報告路徑一般是溝通的適當渠道。而在某些情況下，需要一個單獨的信息溝通途徑作為防止失敗機制，而為一途徑在正常情況下是不用的。在所有的情況下，讓企業(yè)的員工了解企業(yè)內并不存在對報告相關信息的報復是很重要的。外部的溝通渠道能夠為企業(yè)的產品或服務的設計或品質提供非常重要的信息。管理者應將企業(yè)的風險偏好和風險容忍度與客戶、供應商和合伙人的風險偏好和風險容忍度聯系起來考慮，以保證不會通過企業(yè)的業(yè)務活動給企業(yè)帶來太多的風險。外部相關方的信息經常會為企業(yè)風險管理的運行提供重要的信息。8．監(jiān)控對企業(yè)風險管理的監(jiān)控是指評估風險管理要素的內容和運行以及一段時期的執(zhí)行質量的一個過程。企業(yè)可以通過兩種方式對風險管理進行監(jiān)控――持續(xù)監(jiān)控和個別評估。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風險管理在企業(yè)內各管理層面和各部門持續(xù)得到執(zhí)行。持續(xù)監(jiān)控是對企業(yè)日常的、重復的經營活動的監(jiān)控，在實時的基礎上進行，是對不斷變化的環(huán)境的動態(tài)地反應，應在企業(yè)內部徹底地貫徹和執(zhí)行。如果執(zhí)行得好，持續(xù)監(jiān)控比個別評估更為有效。由于個別評估是在事實發(fā)生之后才進行評估