【正文】 相互關聯(lián)的風險需要識別和發(fā)揮作用，以便使整體風險符合主體的風險容量。企業(yè)風險管理還應用于特殊項目和目前在主體的層級和組織結構圖中還沒有一個明確位置的新的活動。舉例來說，一個選擇可能是收購其他公司以擴大市場份額。因此，在人們的職責和他們履行職責的方式以及主體的戰(zhàn)略和目標之間，需要有一個而又密切的聯(lián)系。人制訂主體的使命、戰(zhàn)略和目標，并使企業(yè)風險管理機制得以落實。當這些機制被構建到主體的結構之中，并成為企業(yè)核心要件的一部分時，企業(yè)風險管理就會更加有效。它直接關注特定主體既定目標的實現(xiàn)，并為界定將在本章后文中討論的企業(yè)管理的有效性提供了依據(jù)。Opportunities support value creation or preservation. Management channels opportunities back to its strategy or objectivesetting processes, so that actions can be formulated to seize the opportunities.機會支持價值創(chuàng)造或保持。事項可能有負面影響，也可能有下面影響，或者兩者兼而有之。例如，一家金融機構面臨新的監(jiān)管，除非管理當局更加精確地計算信用和經(jīng)營風險水平以及相關的資本需求，否則就要提高資本要求量。管理當局以公司戰(zhàn)略、目標和備選的應對為背景識別和評估風險，開發(fā)了一套廣泛拓展的存貨控制系統(tǒng)。該公司采用多重標準來評估故障的影響，包括維修時間、不能滿足客戶需要、員工案例以及預定維修與非預定維修的成本，并據(jù)此制訂維護方案來加以應對。例如，一家制藥公司與其品牌價值相關的風險容量較低。所選擇的這個戰(zhàn)略帶來了與該國政治環(huán)境的穩(wěn)定性、資源、市場、渠道、勞動力技能和成本相關的風險和機會。Uncertainty and Value 不確定性與價值An underlying premise of enterprise risk management is that every entity, whether forprofit, notforprofit, or a governmental body, exists to provide value for its stakeholders. All entities face uncertainty, and the challenge for management is to determine how much uncertainty the entity is prepared to accept as it strives to grow stakeholder value. Uncertainty presents both risk and opportunity, with the potential to erode or enhance value. Enterprise risk management enables management to effectively deal with uncertainty and associated risk and opportunity and thereby enhance the entity’s capacity to build value.企業(yè)風險管理的一個基本前提是每一個主體，不管是營利性的、非營利性的，還是政府機構，存在的目的都是為它的利益相關者提供價值。企業(yè)風險管理使管理當局能夠識別、評估和管理面對不確定性的風險，它對于價值創(chuàng)造和保持而言是必不可少的。 ? 教育機構——本框架可以作為學術研究和分析的對象，以便探討在哪些方面還能作進一步的改進。方法之一是，首席執(zhí)行官把業(yè)務單元（business unit）領導和關鍵職能機構人員召集到一起，討論對企業(yè)風險管理能力和有效性的初步評價。第一卷包括“基本框架”和本部分“內(nèi)容摘要”。 職能與責任 主體中的每個人都對企業(yè)風險管理負有一定的責任。 局 限 盡管企業(yè)風險管理帶來了重要的好處，但是仍然存在著局限。這種表示方式使我們既能夠從整體上關注一個主體的企業(yè)風險管理，也可以從目標類別、構成要素或主體單元的角度，乃至其中的任何一個分項的角度去加以認識。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。企業(yè)風險管理確保管理當局采取適當?shù)某绦蛉ピO定目標，確保所選定的目標支持和切合該主體的使命，并且與它的風險容量相符。這個分類還有助于區(qū)分從每一類目標中能夠期望的是什么。企業(yè)風險管理是： ? 一個過程，它持續(xù)地流動于主體之內(nèi)； ? 由組織中各個層級的人員實施； ? 應用于戰(zhàn)略制訂； ? 貫穿于企業(yè)，在各個層級和單元應用，還包括采取主體層級的風險組合觀； ? 旨在識別一旦發(fā)生將會影響主體的潛在事項，并把風險控制在風險容量以內(nèi)； ? 能夠向一個主體的管理當局和董事會提供合理保證； ? 力求實現(xiàn)一個或多個不同類型但相互交叉的目標。總之，企業(yè)風險管理不僅幫助一個主體到達期望的目的地，還有助于避開前進途中的隱患和意外。企業(yè)風險管理包括： ? 協(xié)調(diào)風險容量（risk appetite）與戰(zhàn)略——管理當局在評價備選的戰(zhàn)略、設定相關目標和建立相關風險的管理機制的過程中，需要考慮所在主體的風險容量。不確定性可能會破壞或增加價值，因而它既代表風險，也代表機會。? 改善資本調(diào)配——獲取強有力的風險信息，使得管理當局能夠有效地評估總體資本需求，并改進資本配置。管理當局把機會反饋到戰(zhàn)略或目標制訂過程中，以便制訂計劃去抓住機會。企業(yè)風險管理框架力求實現(xiàn)主體的以下四種類型的目標： ? 戰(zhàn)略（strategic）目標 ——高層次目標，與使命相關聯(lián)并支撐其使命； ? 經(jīng)營（operations）目標——有效和高效率地利用其資源； ? 報告（reporting）目標——報告的可靠性； ? 合規(guī)（pliance）目標——符合適用的法律和法規(guī)。它們來源于管理當局經(jīng)營企業(yè)的方式，并與管理過程整合在一起。 ? 風險應對——管理當局選擇風險應對——回避、承受、降低或者分擔風險——采取一系列行動以便把風險控制在主體的風險容限（risk tolerance）和風險容量以內(nèi)。 目標與構成要素之間的關系 目標是指一個主體力圖實現(xiàn)什么，企業(yè)風險管理的構成要素則意味著需要什么來實現(xiàn)它們，二者之間有著直接的關系。 八個構成要素在每個主體中的運行并不是千篇一律的。內(nèi)部控制是在《內(nèi)部控制——整合框架》中加以定義和描述的。董事會對企業(yè)風險管理提供重要的監(jiān)督，并察覺和認同主體的風險容量。董事會應當確信知悉最重大的風險，以及管理當局正在采取的行動和如何確保有效的企業(yè)風險管理。監(jiān)管者在對他們所監(jiān)管的主體采用規(guī)則或指南等形式設定期望，或進行檢查時，可以參考本框架。立法者和監(jiān)管者將能夠獲得對企業(yè)風險管理的更深入的理解，包括它的好處和局限。但是企業(yè)風險管理有許多不同的稱謂和解釋，難以形成共同的理解，因而對于不同的人而言意味著不同的含義。不確定性來源于不能準確地確定事項發(fā)生的可能性以及所帶來的影響。決策中伴生著對風險和機會的認識，要求管理當局有關內(nèi)部和外部環(huán)境的信息，調(diào)配寶貴的資源，并針對變化的環(huán)境重新校準行動。企業(yè)風險管理為這些決策提供方法和技巧。這個系統(tǒng)使該銀行能夠把先前分隔的數(shù)據(jù)湊到一起，從而采用整體的和有目的性看法來更加有效地應對風險。在評價這些事項的過程中，管理當局認識到該公司主要消費者的健康意識越來越強，正在改變他們的飲食偏好，對公司現(xiàn)有產(chǎn)品的未來需求呈現(xiàn)下降的趨勢。它還有助于確保主體符合法律和法規(guī)，避免對主體聲譽的損害以及由此帶來的后果。帶有負面影響的事項可能源于看似正面的情況，比如客戶對產(chǎn)品的需求超過了生產(chǎn)能力，就會導致不能滿足買方的需求，從而損害客戶忠誠度和減少未來的訂單。企業(yè)風險管理是：● 一個過程，它持續(xù)地流動于主體之內(nèi)；● 由組織中各個層級的人員實施；● 應用于戰(zhàn)略制訂；● 貫穿于企業(yè)，在各個層級和單元應用，還包括采取主體層級的風險組合觀；● 旨在識別一旦發(fā)生將會影響主體的潛在事項，并把風險控制在風險容量以內(nèi)；● 能夠向一個主體的管理當局和董事會提供合理保證；● 力求實現(xiàn)一個或多個不同類型但相互交叉的目標——它只是實現(xiàn)結果的一種手段，并不是結果本身。這并不是說有效的企業(yè)風險管理不要求進一步的努力，它可能會那樣要求。而且，把企業(yè)風險管理建立在經(jīng)營業(yè)務的基本構架之中的做法，可以幫助管理當局識別新的機會，以便抓住這些機會實現(xiàn)業(yè)務增長。每個人都有一個獨特的參照點，它影響他或她怎樣去識別、評估和應對風險。主體為了實現(xiàn)其戰(zhàn)略目標而制訂戰(zhàn)略。企業(yè)風險管理技術被應用在這個層次上，以幫助管理當局評價和選擇該主體的戰(zhàn)略和相關的目標。Management considers interrelated risks from an entitylevel portfolio perspective.Risks for individual units of the entity may be within the units’ risk tolerances, but taken together may exceed the risk appetite of the entity as a whole. Or, conversely, potential events may represent an otherwise unacceptable risk in one business unit, but with an offsetting effect in another. Interrelated risks need to be identified and acted on so that the entirety of risk is consistent with the entity’s risk appetite.管理當局從主體層次組合的角度考慮相互關聯(lián)的風險。許多主體采用。這種評估可能是定量的，也可能是定性的。如果管理當局選擇第一個戰(zhàn)略，就可能必須向新的和不熟悉的市場拓展，競爭者就可能會占取公司目前市場的份額，或者公司可能沒有能力去有效地實施這一戰(zhàn)略。因此，董事會是企業(yè)風險管理的一個重要的要素。每個人都會給工作場所帶來一個獨特的背景和技術能力，他們有著不同的需要和偏好。在現(xiàn)有程序之外增加新的程序會增加成本。這些活動滲透和潛藏于管理當局經(jīng)營企業(yè)的方式之中。它的定義如下：企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體的實現(xiàn)提供合理保證。Events with adverse impact prevent value creation or erode existing value. Examples include plant machinery breakdowns, fire, and credit losses. Events with an adverse impact can derive from seemingly positive conditions, such as where customer demand for product exceeds production capacity, causing failure to meet buyer demand, eroded customer loyalty, and decline in future orders.帶有負面影響的事項阻礙價值創(chuàng)造，或者破壞現(xiàn)有的價值。These capabilities are inherent in enterprise risk management, which helps management achieve the entity’s performance and profitability targets and prevent loss of resources. Enterprise risk management helps ensure effective reporting. And it helps ensure that the entity plies with laws and regulations, avoiding damage to its reputation and associated consequences. In sum, enterprise risk management helps an entity get to where it wants to go and avoid pitfalls and surprises along the way.企業(yè)風險管理固有這些能力，它能幫助管理當局實現(xiàn)主體的業(yè)績和贏利目標，并防止資源的損失。? Seizing opportunities – By considering a full range of potential events, rather than just risks, management identifies events representing opportunities. For example, a food pany considered potential events likely to affect its sustainable revenue growth objective. In evaluating the events, management determined that the pany’s primary consumers are increasingly health conscious and changing their dietary preferences, indicating a decline in future demand for the pany’s curre