【正文】 nt products. In determining its response, management identified ways to apply its existing capabilities to developing new products, enabling the pany not only to preserve revenue from existing customers, but also to create additional revenue by appealing to a broader consumer base.● 抓住機會——通過考慮潛在事項的各個方面，而不僅僅只是風險，管理當局就能識別代表機會的事項。例如，一家銀行面臨著貫穿于企業(yè)的交易活動的一系列風險，管理當局開發(fā)一套信息系統(tǒng)來分析來自其他內(nèi)部系統(tǒng)的交易和市場數(shù)據(jù)，它與外部生成的有關(guān)信息一起，提供了關(guān)于貫穿于所有交易活動的風險的整體看法。例如，一家利用公司自有和運營的車輛的公司的管理當局認識到在其運送過程中存在的風險，包括車輛損壞和人身傷害成本。當創(chuàng)造的價值通過更高的產(chǎn)品質(zhì)量、生產(chǎn)能力和顧客滿意度以及其他方式得以維持時，就會發(fā)生價值保持。企業(yè)風險管理使管理當局能夠有效地處理不確定性以及由此帶來的風險和機會，從而提高主體創(chuàng)造價值的能力。這些構(gòu)成要素聯(lián)系起來，成為確定企業(yè)風險管理是否有效的標準。企業(yè)的執(zhí)行官將能夠?qū)φ找惶讟藴嗜ピu估他們公司的企業(yè)風險管理過程，強化這個過程從而使他們的企業(yè)朝著既定的目標邁進。內(nèi)部審計師應該考慮他們關(guān)注企業(yè)風險管理的范圍。第二卷《應用技術(shù)》（Application Techniques），講解在應用本框架各個要素的過程中有用的技術(shù)。風險官、財務官、內(nèi)部審計師等通常負有關(guān)鍵的支持責任。 涵蓋內(nèi)部控制 內(nèi)部控制是企業(yè)風險管理不可分割的一部分。構(gòu)成要素如果存在并且正常運行，那么就可能沒有重大缺陷，而風險則可能已經(jīng)被控制在主體的風險容量范圍之內(nèi)。 企業(yè)風險管理并不是一個嚴格的順次過程，一個構(gòu)成要素并不是僅僅影響接下來的那個構(gòu)成要素。 ? 風險評估——通過考慮風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據(jù)。但是，戰(zhàn)略目標和經(jīng)營目標的實現(xiàn)取決于并不一定總在主體控制范圍之內(nèi)的外部事項，對于這些目標而言，企業(yè)風險管理能夠合理地保證管理當局和起監(jiān)督作用的董事會及時地了解主體朝著實現(xiàn)目標前進的程度。它直接關(guān)注特定主體既定目標的實現(xiàn)，并為界定企業(yè)風險管理的有效性提供了依據(jù)。帶來正面影響的事項可能會抵消負面影響，或者說代表機會。? 識別和管理多重的和貫穿于企業(yè)的風險——每一家企業(yè)都面臨影響組織的不同部分的一系列風險，企業(yè)風險管理有助于有效地應對交互影響，以及整合式地應對多重風險。企業(yè)風險管理——整合框架2004年9月138 / 138目 錄內(nèi)容摘要 31 定義 92 內(nèi)部環(huán)境 313 目標設定 444 事項識別 555 風險評估 666 風險應對 767 控制活動 858 信息與溝通 969 監(jiān)控 10910 職能與責任 12111 企業(yè)風險管理的局限 13512 該做些什么 141內(nèi)容摘要企業(yè)風險管理的基礎性前提是每一個主體的存在都是為它的利益相關(guān)者提供價值。? 抑減經(jīng)營意外和損失——主體識別潛在事項和實施應對的能力得以增強，抑減了意外情況以及由此帶來的成本或損失。帶來負面影響的事項代表風險，它會妨礙價值創(chuàng)造或者破壞現(xiàn)有價值。它抓住了對于公司和其他組織如何管理風險至關(guān)重要的關(guān)鍵概念，為不同組織形式、行業(yè)和部門的應用提供了基礎。 因為有關(guān)報告的可靠性和符合法律、法規(guī)的目標在主體的控制范圍之內(nèi)，所以可以期望企業(yè)風險管理為實現(xiàn)這些目標提供合理保證。機會被反饋到管理當局的戰(zhàn)略或目標制訂過程中。監(jiān)控可以通過持續(xù)的管理活動、個別評價或者兩者結(jié)合來完成。因此，構(gòu)成要素也是判定企業(yè)風險管理有效性的標準。這些局限使得董事會和管理當局不可能就主體目標的實現(xiàn)形成絕對的保證。其他管理人員支持主體的風險管理理念，促使符合其風險容量，并在各自的責任范圍內(nèi)依據(jù)風險容限去管理風險。“內(nèi)容提要”是一個針對首席執(zhí)行官、其他高級管理人員、董事會成員和監(jiān)管者的高度概括。 ? 主體中的其他人員——管理人員和其他人員應該考慮如何根據(jù)本框架去履行他們的職責，并與更高層的人員討論有關(guān)加強企業(yè)風險管理的看法。 有了這個共同理解的基礎，所有各方將能夠用同一種語言講話，更有效地進行溝通。它包括八個相互關(guān)聯(lián)的構(gòu)成要素，它們與管理當局經(jīng)營企業(yè)的方式密不可分。不確定性潛藏著對價值的破壞或增進，既代表風險，也代表機會。通過把資源，包括人、資本、技術(shù)和品牌，調(diào)配到能夠產(chǎn)生比過去更多的利益的地方，就會發(fā)生價值創(chuàng)造。? Enhancing risk response decisions – Enterprise risk management provides the rigor to identify and select among alternative risk responses – risk avoidance, reduction, sharing, and acceptance. For example, management of a pany that uses pany owned and operated vehicles recognizes risks inherent in its delivery process, including vehicle damage and personal injury costs. Available alternatives include reducing the risk through effective driver recruiting and training, avoiding the risk by outsourcing delivery, sharing the risk via insurance, or simply accepting the risk. Enterprise risk management provides methodologies and techniques for making these decisions.● 增進風險應對決策——企業(yè)風險管理為識別和在備選的風險應對——風險回避、降低、分擔和承受——之間進行選擇提供了嚴密性。管理當局不僅需要管理個別風險，還需要了解相互關(guān)聯(lián)的影響。由供應商負責補足庫存，從而進一步降低了成本。利用現(xiàn)有的可修改軟件，該機構(gòu)開發(fā)了更加精確的計算工具，避免了尋求額外資本的需要。因此，可以定義如下：Risk is the possibility that an event will occur and adversely affect the achievement of objectives.風險是一個事項將會發(fā)生并給目標實現(xiàn)帶來負面影響的可能性。Definition of Enterprise Risk Management 企業(yè)風險管理的定義Enterprise risk management deals with risks and opportunities to create or preserve value. It is defined as follows:Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.企業(yè)風險管理處理風險和機會，以便創(chuàng)造或保持價值。A Process 一個過程Enterprise risk management is not static, but rather a continuous or iterative interplay of actions that permeate an entity. These actions are pervasive and inherent in the way management runs the business.企業(yè)風險管理并不是靜止的，而是滲透于一個主體的各種活動的持續(xù)的或反復的相互影響。Building in enterprise risk management has important implications for cost containment, especially in the highly petitive marketplaces many panies face.Adding new procedures separate from existing ones adds costs. By focusing on existing operations and their contribution to effective enterprise risk management, and integrating risk management into basic operating activities, an enterprise can avoid unnecessary procedures and costs. And, a practice of building enterprise risk management into the fabric of operations helps identify new opportunities for management to seize in growing the business.建立企業(yè)風險管理對于抑制成本具有重要意義，尤其是在許多公司所面臨的高度競爭的市場中更是如此。企業(yè)風險管理認識到人們并不總是始終如一地理解、溝通和行動。盡管董事主要是提供監(jiān)督，他們也提供指導，審批戰(zhàn)略和特定的交易與政策。這些戰(zhàn)略選擇中的每一個都會帶來許多風險。這可能要求負責一個業(yè)務單元、職能機構(gòu)、流程或其他活動的每一名管理人員對各自的活動形成一個風險評估。它反映了主體的風險管理理念，進而影響主體的文化和經(jīng)營風格。主體中單個單元的風險可能在該單元的風險容限范圍之內(nèi)，但是湊到一起可能會超出該主體作為一個整體的風險容量。Applied Across the Enterprise 應用貫穿于企業(yè)In applying enterprise risk management, an entity should consider its entire scope of activities. Enterprise risk management considers activities at all levels of the organization, from enterpriselevel activities such as strategic planning and resource allocation, to business unit activities such as marketing and human resources, to business processes such as production and new customer credit review. Enterprise risk management also applies to special projects and new initiatives that might not yet have a designated place in the entity’s hierarchy or organization chart.在應用企業(yè)風險管理時，主體應該考慮其全部活動。它還設定所希望實現(xiàn)的相關(guān)目標，上至戰(zhàn)略，下至主體的業(yè)務單元、分部和流程。企業(yè)風險管理提供所需的機制，幫助在主體目標的背景下去理解。Effected by People 由人員來實施Enterprise risk management is effected by an entity’s board of directors, management and other personnel. It is acplished by the people of an organization, by what they do and say. People establish the entity’s mission, strategy, and objectives, and put enterprise risk management mechanisms in place.企業(yè)風險管理由一個主體的董事會、管理當局和其他人員實施。例如，在考慮信用和貨幣風險時，可能需要進一步努力去開發(fā)所需的模型和進行必要的分析和計算。This definition is purposefully broad for several reasons. It captures key concepts fundamental to how panies and other organizat