【正文】 ding the risk by outsourcing delivery, sharing the risk via insurance, or simply accepting the risk. Enterprise risk management provides methodologies and techniques for making these decisions.● 增進風險應對決策——企業(yè)風險管理為識別和在備選的風險應對——風險回避、降低、分擔和承受——之間進行選擇提供了嚴密性。Value is maximized when management sets strategy and objectives to strike an optimal balance between growth and return goals and related risks, and efficiently and effectively deploys resources in pursuit of the entity’s objectives. Enterprise risk management enpasses:當管理當局制訂戰(zhàn)略和目標，去追求增長和報酬目的以及相關的風險之間的最優(yōu)平衡，并且為了實現(xiàn)主體的目標而提高效率和有效地配置資源時，價值得以最大化。通過把資源，包括人、資本、技術和品牌，調配到能夠產生比過去更多的利益的地方，就會發(fā)生價值創(chuàng)造。不確定性也是主體的戰(zhàn)略選擇所帶來和 導致的。不確定性潛藏著對價值的破壞或增進，既代表風險，也代表機會。因此，一個重要的目的在于把各種不同的風險管理概念整合到一個構架之中，在這個構架中構建一個共同的定義，辨別構成要素，并講述關鍵概念。它包括八個相互關聯(lián)的構成要素，它們與管理當局經營企業(yè)的方式密不可分。如果所有各方都利用共同的企業(yè)風險管理框架，這些好處都將實現(xiàn)。 有了這個共同理解的基礎，所有各方將能夠用同一種語言講話，更有效地進行溝通。 ? 專業(yè)組織——為財務管理、審計和相關領域提供指南的規(guī)則制定機構和其他專業(yè)組織應該對照本框架去考慮它們的準則和指南。 ? 主體中的其他人員——管理人員和其他人員應該考慮如何根據(jù)本框架去履行他們的職責，并與更高層的人員討論有關加強企業(yè)風險管理的看法。董事會應當考慮尋求內部審計師、外部審計師和其他方面的參與?！皟热萏嵋笔且粋€針對首席執(zhí)行官、其他高級管理人員、董事會成員和監(jiān)管者的高度概括。很多外部方面，例如顧客、賣主、商業(yè)伙伴、外部審計師、監(jiān)管者和財務分析師常常提供影響企業(yè)風險管理的有用信息，但是他們不但不對主體的企業(yè)風險管理的有效性承擔任何責任，而且也不是它的組成部分。其他管理人員支持主體的風險管理理念，促使符合其風險容量，并在各自的責任范圍內依據(jù)風險容限去管理風險。由于該框架經受了時間的考驗，并且成為現(xiàn)行規(guī)則、法規(guī)和法律的基礎，因此那份文件對內部控制的定義和框架依然有效。這些局限使得董事會和管理當局不可能就主體目標的實現(xiàn)形成絕對的保證。例如，在中小規(guī)模主體中的應用可能不太正式，不太健全。因此，構成要素也是判定企業(yè)風險管理有效性的標準。這種關系可以通過一個三維矩陣以立方體的形式表示出來。監(jiān)控可以通過持續(xù)的管理活動、個別評價或者兩者結合來完成。 ? 控制活動——制訂和執(zhí)行政策與程序以幫助確保風險應對得以有效實施。機會被反饋到管理當局的戰(zhàn)略或目標制訂過程中。這些構成要素是： ? 內部環(huán)境——內部環(huán)境包含組織的基調，它為主體內的人員如何認識和對待風險設定了基礎，包括風險管理理念和風險容量、誠信和道德價值觀，以及他們所處的經營環(huán)境。 因為有關報告的可靠性和符合法律、法規(guī)的目標在主體的控制范圍之內，所以可以期望企業(yè)風險管理為實現(xiàn)這些目標提供合理保證。 對主體目標的這種分類可以使我們關注企業(yè)風險管理的不同側面。它抓住了對于公司和其他組織如何管理風險至關重要的關鍵概念，為不同組織形式、行業(yè)和部門的應用提供了基礎。 所定義的企業(yè)風險管理 企業(yè)風險管理處理影響價值創(chuàng)造或保持的風險和機會，定義如下： 企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現(xiàn)提供合理保證。帶來負面影響的事項代表風險，它會妨礙價值創(chuàng)造或者破壞現(xiàn)有價值。 企業(yè)風險管理所固有的這些能力幫助管理當局實現(xiàn)所在主體的業(yè)績和贏利目標，防止資源損失。? 抑減經營意外和損失——主體識別潛在事項和實施應對的能力得以增強，抑減了意外情況以及由此帶來的成本或損失。企業(yè)風險管理使管理當局能夠有效地應對不確定性以及由此帶來的風險和機會，增進創(chuàng)造價值的能力。企業(yè)風險管理——整合框架2004年9月138 / 138目 錄內容摘要 31 定義 92 內部環(huán)境 313 目標設定 444 事項識別 555 風險評估 666 風險應對 767 控制活動 858 信息與溝通 969 監(jiān)控 10910 職能與責任 12111 企業(yè)風險管理的局限 13512 該做些什么 141內容摘要企業(yè)風險管理的基礎性前提是每一個主體的存在都是為它的利益相關者提供價值。 當管理當局通過制訂戰(zhàn)略和目標，力求實現(xiàn)增長和報酬目標以及相關的風險之間的最優(yōu)平衡，并且在追求所在主體的目標的過程中高效率和有效地調配資源時，價值得以最大化。? 識別和管理多重的和貫穿于企業(yè)的風險——每一家企業(yè)都面臨影響組織的不同部分的一系列風險，企業(yè)風險管理有助于有效地應對交互影響，以及整合式地應對多重風險。企業(yè)風險管理有助于確保有效的報告以及符合法律和法規(guī)，還有助于避免對主體聲譽的損害以及由此帶來的后果。帶來正面影響的事項可能會抵消負面影響，或者說代表機會。 這個定義反映了幾個基本概念。它直接關注特定主體既定目標的實現(xiàn)，并為界定企業(yè)風險管理的有效性提供了依據(jù)。這些各不相同但卻相互交叉的類別——一個特定的目標可以歸入多個類別，反映了主體的不同需要，而且可能會成為不同管理人員的直接責任。但是，戰(zhàn)略目標和經營目標的實現(xiàn)取決于并不一定總在主體控制范圍之內的外部事項，對于這些目標而言，企業(yè)風險管理能夠合理地保證管理當局和起監(jiān)督作用的董事會及時地了解主體朝著實現(xiàn)目標前進的程度。 ? 目標設定——必須先有目標，管理當局才能識別影響目標實現(xiàn)的潛在事項。 ? 風險評估——通過考慮風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據(jù)。 ? 信息與溝通——相關的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。 企業(yè)風險管理并不是一個嚴格的順次過程，一個構成要素并不是僅僅影響接下來的那個構成要素。 四種類型的目標——戰(zhàn)略、經營、報告和合規(guī)——用垂直方向的欄表示，八個構成要素用水平方向的行表示，而一個主體內的各個單元則用第三個維度表示。構成要素如果存在并且正常運行，那么就可能沒有重大缺陷，而風險則可能已經被控制在主體的風險容量范圍之內。盡管如此，當八個構成要素存在且正常運行時，小規(guī)模主體依然會擁有有效的企業(yè)風險管理。 涵蓋內部控制 內部控制是企業(yè)風險管理不可分割的一部分。盡管《內部控制——整合框架》的正文中只有一部分被本框架所引用，但是本框架通過參考的方式把該框架整體融合了進來。風險官、財務官、內部審計師等通常負有關鍵的支持責任。 本報告的結構 本報告分兩卷。第二卷《應用技術》（Application Techniques），講解在應用本框架各個要素的過程中有用的技術。 ? 高層管理當局——本項研究建議首席執(zhí)行官評估組織的企業(yè)風險管理能力。內部審計師應該考慮他們關注企業(yè)風險管理的范圍。消除概念和術語方面的差別，對所有各方都有好處。企業(yè)的執(zhí)行官將能夠對照一套標準去評估他們公司的企業(yè)風險管理過程，強化這個過程從而使他們的企業(yè)朝著既定的目標邁進。 1 定義1. DEFINITION Chapter Summary: All entities face uncertainty, and the challenge for management is to determine how much uncertainty it is prepared to accept as it strives to grow stakeholder value. Enterprise risk management enables management to identify, assess, and manage risks in the face of uncertainty, and is integral to value creation and preservation. Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise. It is designed to identify potential events that may affect the entity, and manage risk to be within the entity’s risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. It consists of eight interrelated ponents, which are integral to the way management runs the enterprise. The ponents are linked and serve as criteria for determining whether enterprise risk management is effective.本章摘要：所有的主體都面臨不確定性，對于管理當局的挑戰(zhàn)在于確定在追求增加利益相關者價值的同時，準備承受多少不確定性。這些構成要素聯(lián)系起來，成為確定企業(yè)風險管理是否有效的標準。這個構架容納大多數(shù)觀點，為各個主體評估和增進企業(yè)風險管理，為規(guī)則制定團體和教育機構的未來行動提供一個出發(fā)點。企業(yè)風險管理使管理當局能夠有效地處理不確定性以及由此帶來的風險和機會，從而提高主體創(chuàng)造價值的能力。舉例來說，一個主體采取基于向其他國家拓展業(yè)務的增長戰(zhàn)略。當創(chuàng)造的價值通過更高的產品質量、生產能力和顧客滿意度以及其他方式得以維持時，就會發(fā)生價值保持。企業(yè)風險管理包括：? Aligning risk appetite and strategy – Management considers the entity’s risk appetite first in evaluating strategic alternatives, then in setting objectives aligned with the selected strategy and in developing mechanisms to manage the related risks. For example, a pharmaceutical pany has a low risk appetite relative to its brand value. Accordingly, to protect its brand, it maintains extensive protocols to ensure product safety and regularly invests significant resources in earlystage research and development to support brand value creation.● 協(xié)調風險容量與戰(zhàn)略——管理當局首先要在評價備選戰(zhàn)略的過程中考慮主體的風險容量，然后在設定與選定的戰(zhàn)略相協(xié)調的目標的過程中，以及在構建管理相關風險的機制的過程中，也要考慮主體的風險容量。例如，一家利用公司自有和運營的車輛的公司的管理當局認識到在其運送過程中存在的風險，包括車輛損壞和人身傷害成本。例如，一家制造公司調整生產部件和設備故障率和誤差使其接近正常水平。例如，一家銀行面臨著貫穿于企業(yè)的交易活動的一系列風險，管理當局開發(fā)一套信息系統(tǒng)來分析來自其他內部系統(tǒng)的交易和市場數(shù)據(jù)，它與外部生成的有關信息一起，提供了關于貫穿于所有交易活動的風險的整體看法。例如，一個批發(fā)本著商面臨著供貨過量和不足、薄弱的供貨來源以及不必要的高采購價格等方面的風險。? Seizing opportunities – By considering a full range of potential events, rather than just risks, management identifies events representing opportunities. For example, a food pany considered potential events likely to affect its sustainable revenue growth objective. In evaluating the events, management determined that the pany’s primary consumers are increasingly health conscious and changing their dietary preferences, indicating a decline