【正文】 通常是定量方法和定性分析技術的組合。相反，對評估技術的選擇應反映出對精確性的需要和該業(yè)務部門的文化。管理者可以評估各事項之間的關系，因為一系列相互關聯(lián)的事項結合起來會使得事項的發(fā)生概率或事項的影響發(fā)生重大變化。通過風險評估，管理者可以了解潛在事項在整個企業(yè)內對企業(yè)的正面和負面的影響，單個事項或某類事項對企業(yè)的影響。固有風險是指管理者在沒有采取任何會改變風險發(fā)生的可能性或影響的管理措施的情況下企業(yè)所面臨的風險?？紤]各風險反應方案并選擇和執(zhí)行一個風險反應方案是企業(yè)風險管理不可分割的一部分。減少風險是指減少風險發(fā)生的可能性、減少風險的影響或者兩者同時減少。 選定某一個風險反應方案后，管理者應在殘留風險的基礎上重新評估風險，即從企業(yè)總體的風險組合的、預測的角度重新計量風險。管理者應認識到一定水平的殘留風險總是存在的，這不僅是因為資源的有限性，還因為未來有其內在的不確定性和所有活動的固有限制。通常包括兩個要素：確定應該做什么的一個政策和影響該政策的一系列過程。另一類是應用控制，包括用于控制技術應用的應用軟件內部的電腦程序。信息技術管理控制主要包括明確信息技術的勘漏過程、監(jiān)督和報告信息技術活動及業(yè)務改進的初步行動等等。即使兩個企業(yè)有同樣的目標和結構，他們的控制活動可很可能不同。有效的溝通也是廣義上的溝通，包括企業(yè)內自上而下、自下而上以及橫向的溝通。企業(yè)的信息來自于各個方面，包括內部和外部的信息、量化的和非量化的信息，以使得企業(yè)的風險管理可以對現(xiàn)實世界中不斷變化的條件及時作出反應。因此，這些信息系統(tǒng)經(jīng)常是指處理企業(yè)相關業(yè)務產(chǎn)生的內部數(shù)據(jù)的系統(tǒng)。歷史數(shù)據(jù)使企業(yè)能夠將實際業(yè)績與目標、計劃和期望相比較，能夠更加深入了解企業(yè)在不斷變化的環(huán)境下是如何生存的，使得管理者確認相關性和趨勢并預測未來的業(yè)績。這對了解企業(yè)的風險組合提供了一個視角，使得管理者能夠在必要時改變企業(yè)的活動以滿足企業(yè)的風險偏好。溝通越暢通，董事會在執(zhí)行其監(jiān)督職能、重大問題的宣傳媒介職能和提供建議、咨詢和指導職能時才會越有效。對于風險管理過程和程序的溝通應與企業(yè)預期的風險文化相結合，并作為企業(yè)風險文化的基礎。大多數(shù)情況下，企業(yè)內正常的報告路徑一般是溝通的適當渠道。管理者應將企業(yè)的風險偏好和風險容忍度與客戶、供應商和合伙人的風險偏好和風險容忍度聯(lián)系起來考慮，以保證不會通過企業(yè)的業(yè)務活動給企業(yè)帶來太多的風險。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風險管理在企業(yè)內各管理層面和各部門持續(xù)得到執(zhí)行。雖然如此，許多使用持續(xù)監(jiān)控的企業(yè)仍舊進行風險管理的個別評估。對企業(yè)風險管理進行記錄的程度根據(jù)企業(yè)的規(guī)模、經(jīng)營的復雜性和其他因素的影響而有所不同。所有風險管理失效都會影響企業(yè)確定和執(zhí)行戰(zhàn)略的能力，影響企業(yè)實現(xiàn)其既定目標的能力。因此，失效可能代表一種預期的、潛在的或真實的缺陷，或者代表加強風險管理過程的一個機會，以增加企業(yè)目標實現(xiàn)的可能性。企業(yè)應建立一個協(xié)議來識別某一管理層決策有效所需要的信息。八個要素分別是內部環(huán)境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監(jiān)控，是企業(yè)目標實現(xiàn)的保證。圖2 將立方體中水平各行的內容進行擴展，說明各風險管理要素的主要內容，其中每一要素也就代表一個業(yè)務流程。八要素由水平行表 示。決定一個企業(yè)的風險管理是否有效是基于對風險管理八要素設計和執(zhí)行是否正確的評估基礎上的一個主觀判斷。由于企業(yè)風險管理的各種技術能夠為企業(yè)不同的經(jīng)營意圖服務，因此，相對于某要素的技術也能夠服務于通常是另一要素所體現(xiàn)出來的經(jīng)營意圖。對于每個要素的方法論，小企業(yè)采用的方法與大企業(yè)相比并不正式和結構化，但是，無論企業(yè)的規(guī)模，其風險管理都應包括本文所講的基本概念。為保證企業(yè)風險管理的有效性，母公司應從公司戰(zhàn)略和目標的角度考慮與被投資方一起充分應用風險管理八要素的程度。由于《內部控制——整體框架》是現(xiàn)有的規(guī)則、法規(guī)和法律的基礎，因此本討論稿保留其對內部控制的定義。政府政策或項目的改變、競爭對手的行動或經(jīng)濟條件都超出了管理者的控制范圍。企業(yè)風險管理的設計必須反映企業(yè)資源稀缺的現(xiàn)實，而且風險管理的收益必須對應風險管理的成本。通過選舉管理者，董事會在界定其所期望的員工的操守和價值觀時起主要作用，并能夠通過監(jiān)督活動證實其對員工的預期。1 2．管理者1 企業(yè)的首席執(zhí)行官對企業(yè)的風險管理最終負責，即擁有企業(yè)風險管理的“所有權”。而在一個小企業(yè)，首席執(zhí)行官對風險管理的影響則更為直接。1 3．風險管理者1 一個風險管理者是指某一組織內的首席風險管理者或首席風險管理經(jīng)理，他與企業(yè)內其他管理者一起在他們的職責范圍內建立并維護有效的風險管理框架。2 5．其他員工從某種程度上講，企業(yè)風險管理是企業(yè)內每一個員工的責任，因此，風險管理應是企業(yè)內每一個員工的工作手冊的一部分內容。如外部審計人員，從一個獨立、客觀的角度對企業(yè)的財務報表進行審計和對企業(yè)的內部控制進行復核，直接有助于企業(yè)目標的實現(xiàn)。（九）本報告的用途企業(yè)根據(jù)本報告所采取的行動還應考慮下述各方的地位和利益：1．董事會成員 董事會成員應該與企業(yè)的高級管理人員討論企業(yè)風險管理的狀況并在必要的時候進行監(jiān)督。使用本框架，CEO 就可以與企業(yè)的其他主要經(jīng)營和財務主管一道，注意企業(yè)內需要注意的地方。企業(yè)花費在風險管理評估上的時間是企業(yè)的一項投資，而且是一項有高額回報的投資。首先，由于對企業(yè)風險管理框架的硬件設施構建的不同認識，使得企業(yè)的風險管理框架各有不同。本框架的提出就是出于這一考慮。6．教育機構本框架應該是理論研究和分析的一個題目，以尋找未來改進的方向。而框架報告的正文部分則對企業(yè)風險管理的定義、原則和概念進行更為廣泛和深入的討論，為企業(yè)及其他組織中各層次管理者決定如何改進企業(yè)的風險管理提供了指導，并能夠幫助企業(yè)的管理者和其他人員評估企業(yè)的風險管理提供幫助。企業(yè)風險管理的一個潛在假定就是，每一個實體的存在都是為其風險承擔者提供價值，不論這個實體是盈利性的，非盈利性的還是政府機構。不確定性諸如全球化、技術、監(jiān)管、重組、市場變化及競爭等因素產(chǎn)生了不確定性，企業(yè)正是在這樣的環(huán)境下經(jīng)營。這一選定的戰(zhàn)略就產(chǎn)生了與該國家的政治、資源、市場、交通、人力資本及成本相關的風險和機遇。實體通過專注于人力、工序、系統(tǒng)和行為創(chuàng)造持續(xù)性價值而保值的，包括產(chǎn)品質量，生產(chǎn)能力，顧客滿意度及其它一些東西。當風險承擔者獲得可確認的收益，實體就實現(xiàn)了價值，從而風險承擔者實現(xiàn)價值。企業(yè)風險管理就是便于管理部門既能夠創(chuàng)造可持續(xù)性價值，又能把所創(chuàng)造的價值傳送給風險承擔者。然而，財務指標并不總是價值的唯一代表。管理部門首先是在評估戰(zhàn)略性選擇時考慮實體的風險偏好的，然后是在根據(jù)選定的戰(zhàn)略進行調整的目標設定，以及在發(fā)展機制來管理相關風險時考慮。企業(yè)風險管理提供了更強大的識別和評估風險的能力，并針對增長和回報目標確定可接受的風險水平。例如，一家使用公司所有并經(jīng)營的交通工具的公司，其管理部門確認運輸過程中的固有風險，包括交通工具的損壞和人員受傷成本。例如，制造公司依據(jù)平均水平來追蹤生產(chǎn)部件和設備損壞率。例如，銀行在與企業(yè)的交易活動中面臨大量風險，管理部門就開發(fā)了一項信息系統(tǒng)，可以分析來源于其它內部系統(tǒng)的交易和市場數(shù)據(jù)，并同時依據(jù)相關的外生信息，而提供對所有交易活動風險的總體看法。例如，批發(fā)分銷商面臨的風險有供應過量或不足的形勢供應來源稀缺，以及過高的購買價格。抓住機會——通過考察所有的潛在事件，而不僅僅是風險，管理部門可以了解特定的事件是如何代表機會的。使資金合理化——更多關于風險的可靠信息可以使管理部門更有效地評價整體資金需求及改善資金分配。企業(yè)風險管理不是不是目的，而是一種達到目的的重要方法。企業(yè)風險管理有助于實體達到經(jīng)營和獲利目標，并避免資源浪費；有助于確保有效的報告；還有助于確保實體遵守法律法規(guī)，避免聲譽受損及其它后果。設計該項管理是為了識別可能影響到實體的潛在事件，把風險控制在實體的風險偏好之內，并提供達到關于實體目標的合理保證。 該框架的一個關鍵目標就是，幫助商業(yè)機構和其它實體的管理部門更好地處理達到實現(xiàn)目標時的固有風險。設計這一框架是為了協(xié)調不同的觀點，并為單個實體評價和增強企業(yè)風險管理，為將來創(chuàng)始規(guī)劃制訂機構，以及為進行教育提供一個起點。因此，風險是事件發(fā)生并對目標產(chǎn)生不利影響的可能性。企業(yè)風險管理的定義企業(yè)風險管理的定義如下：企業(yè)風險管理是一個過程，是由實體的董事會、管理層及其他員工實現(xiàn)的，被應用于戰(zhàn)略設定并貫穿于整個企業(yè)。z 由人來實現(xiàn)——它不僅僅是政策、調查和形式，而是涉及到機構中每一層次的人。z 向實體的管理層和董事會提供合理保證。它直接集中于實現(xiàn)一個特定實體所確立的目標。這些行為遍布和內含于管理部門經(jīng)營業(yè)務的方式中。然而，這些企業(yè)風險管理機制是同實體的經(jīng)營活動盤繞在一起的，并由于一些基本的經(jīng)營因素而存在。增加新的獨立于已有程序之外的程序會增加成本。它是通過組織中的人及其所做和所說而實現(xiàn)的。每一個人都會帶來獨特的背景和技術能力，并有著不同的需要和特權。人們必須了解自身的責任和權力的限制。這樣，董事會就是企業(yè)風險管理的一個重要元素。企業(yè)風險管理應用于制訂戰(zhàn)略，在制訂時管理部門要考慮相對于備選戰(zhàn)略的風險。如果管理層選擇第一項戰(zhàn)略，就得進入新的且不熟悉的市場，競爭對手可能會在本公司現(xiàn)有市場中獲得份額，或者該公司沒有有效執(zhí)行此項戰(zhàn)略的能力。企業(yè)風險管理要考慮組織所有層次上的活動，從企業(yè)層次的活動如戰(zhàn)略規(guī)劃和資源配置，到經(jīng)營單元的活動如營銷和人力資源，再到經(jīng)營過程如生產(chǎn)和新顧客信用評估。該評估可能上定量的也可能上定性的。實體中個別單元的風險可能在單元的風險承受能力之內，但加總起來可能會超過作為整體的實體的風險偏好。例如，利率下降會對實體的資本成本產(chǎn)生有利影響，但對賺取利息的資本會產(chǎn)生不利影響。風險偏好是與實體的戰(zhàn)略直接相關的。實體的風險偏好引導資源配置。作為有效的企業(yè)風險管理的結果，在本章后面也會提到，對實體的每一類目標，董事會和管理部門能獲得如下合理保證：z 他們能了解實體的戰(zhàn)略性目標的完成程度；z 他們能了解實體的經(jīng)營性目標的完成程度；z 實體的報告是可靠的；z 適用的法律法規(guī)得到遵守。實現(xiàn)目標在已確立使命或展望的情況下，管理部門建立戰(zhàn)略性目標，選擇戰(zhàn)略，并在整個企業(yè)內順次建立與戰(zhàn)略一致和相連的目標。z 經(jīng)營性——與有效果且有效率地使用實體資源相關。這些相互區(qū)別又有重疊的類別——一個特定目標可以歸屬于不止一個類別——提出了不同的實體需求，而且可能是不同高層人員所直接負責的。這些主要是經(jīng)營性目標，盡管保值的特定方面可以歸屬于其它類別。企業(yè)風險管理可期望用來提供實現(xiàn)與報告的可靠性、遵守法律法規(guī)相關的目標的合理保證。關于這些目標，企業(yè)風險管理能夠合理地確保管理部門，及予以關注的董事會，能及時了解實體接近實現(xiàn)目標的程度。任何業(yè)務的核心是置于其中的人——他們的個體本性，包括誠信、道德觀和能力，以及人們從事經(jīng)營的環(huán)境。事件識別——（管理部門）必須識別出可能會對實體產(chǎn)生影響的潛在事件。風險評估——對識別出的風險進行評估，是為了形成一個決定如何對其實施管理的基礎。風險反應——管理部門根據(jù)戰(zhàn)略和目標選擇一種方法或一套行為，使所評估的風險與實體的風險偏好一致。在實體的所有層面都需要信息來識別、評估并應對風險。這樣，該系統(tǒng)可以充滿活力，并在條件保證下轉變。例如，風險評估驅動風險反應，影響控制活動，激起重新考慮信息和交流或實體監(jiān)管活動的需求。公司及其企業(yè)風險管理能力和需求，會因行業(yè)及規(guī)模、（企業(yè)）文化及管理哲學而有很大的不同。四個目標類別——戰(zhàn)略性、經(jīng)營性、報告性及遵從性——由縱欄表示，八個組成部分由橫行表示，實體及其單元由模型的第三維表示。以經(jīng)營效果及效率這一類別為例，所有八個組成部分對其實現(xiàn)都適用，并且重要。比如，要考慮頂部右邊后面的部分，它代表與特定子公司的遵從目標相關聯(lián)的內部環(huán)境。 盡管企業(yè)風險管理框架與所有實體相關且適用，管理部門應用企業(yè)風險管理的方式卻隨著實體性質和許多實體特有因素而有很大的不同。有效性盡管企業(yè)風險管理是一個過程，其有效性是在某一時點上的狀態(tài)或情形。因為企業(yè)風險管理技巧能服務于各種各樣的目標，相對于一個組成部分所應用的技巧可以為存在于另一個組成部分的目標服務。在較小的實體中對每一組成部分的研究，相對于較大的實體來說，可能不那么正規(guī)，結構也不盡完善，但基本的概念存在于每一實體中，不論規(guī)模大小。實體也許擁有合資企業(yè)、合伙企業(yè)或其它投資，它們的經(jīng)營是不在實體的控制之下的。當投資工具有著獨立的董事會或其它類似監(jiān)管機構時，就可能會發(fā)生這種情況。合資企業(yè)的管理部門預期黃金價格會保持不變或上揚，并準備接受價格下降的風險，以換取價格上升所能帶來的預期收益。企業(yè)風險管理圍繞著內部控制，為管理形成了一個更有活力的概念和工具。附錄B 描述了企業(yè)風險管理是如何比內部控制更具有包容性。類似地，以風險評估為基礎的風險反應，是企業(yè)風險管理的一部分，但所選定的特定風險反應卻不是。） 管理活動管理活動企業(yè)風險管理建立使命，價值觀和戰(zhàn)略√ 在設定戰(zhàn)略時應用企業(yè)風險管理√ √ 建立目標設定過程√ √ 選擇實體層面和活動層面的目標√ 設置執(zhí)行措施√ 建立內部環(huán)境√ √ 建立風險偏好及規(guī)定風險承受度√ √ 識別潛在事件√ √ 評估風險影響及可能性√ √ 識別和評價風險反應√ √ 選擇和執(zhí)行風險反應√ 實現(xiàn)控制活動√ √ 告知內部及外部各方并進行交流√ √ 監(jiān)管企業(yè)風險管理的其它部分的存在和運行√ √ 章節(jié)摘要：內部環(huán)境包含一個組織的基調，影響其員工的風險意識，同時還是企業(yè)風險管理所有其它組成部分的基石，提供紀律和結構。它影響控制活動，信息和交流系統(tǒng)及監(jiān)管活動的設計和運作。雖然所有要素都很重要，每一要素的程度會因實體有所不同。該哲學（即實體關于風險的信念，和如果選擇引導活動并處理風險），反映實體從企業(yè)風險管理所尋求的價值，并反應企業(yè)風險管理組成部分是如何