【正文】 提供關于實現(xiàn)實體目標的合理保證。作為有效的企業(yè)風險管理的結果，在本章后面也會提到，對實體的每一類目標，董事會和管理部門能獲得如下合理保證：z 他們能了解實體的戰(zhàn)略性目標的完成程度；z 他們能了解實體的經(jīng)營性目標的完成程度；z 實體的報告是可靠的；z 適用的法律法規(guī)得到遵守。合理保證反映了這樣一個觀念，即不確定性和風險是與沒有人可以準確預測的將來相關聯(lián)的。問題還可能是因為，人們在做決策時的判斷是錯誤的；應對風險的決定和建立控制時需要考慮相關成本效益；出現(xiàn)毛病可能是由于人為失誤，比如一些簡單的錯誤；兩個或更多的人勾結起來規(guī)避控制；以及管理部門有不考慮企業(yè)風險管理決策的能力。這些問題使董事會和管理部門不可能有實現(xiàn)目標的絕對保證。實現(xiàn)目標在已確立使命或展望的情況下，管理部門建立戰(zhàn)略性目標，選擇戰(zhàn)略，并在整個企業(yè)內(nèi)順次建立與戰(zhàn)略一致和相連的目標。盡管許多目標使某一實體所特有的，但有些目標還是廣泛適用的。例如，實際上對所有適用的目標有，在貿(mào)易團體及消費者群內(nèi)獲得并保持良好的聲譽，向股東提供可以信賴的報告，以及遵守法律法規(guī)從事經(jīng)營。該框架從四個方面來看待實體目標：z 戰(zhàn)略性——與高層次目標相關，與實體的使命一致并支持實體使命。z 經(jīng)營性——與有效果且有效率地使用實體資源相關。z 報告性——與實體報告的可信賴度相關。z 遵從性——與實體遵守適用的法律法規(guī)相關。這種對實體目標的分類使得董事會和管理部門專注于企業(yè)風險管理的不同方面。這些相互區(qū)別又有重疊的類別——一個特定目標可以歸屬于不止一個類別——提出了不同的實體需求，而且可能是不同高層人員所直接負責的。該法律還可以把所能期望的與目標的每一類別區(qū)分開來。有些實體使用另一種目標類別，“資源保值”，有時稱為“資產(chǎn)保值”。廣義上來看，是關于防止實體資產(chǎn)或資源的減損，無論是因為偷盜、浪費、無效率或是經(jīng)證明僅僅是由于錯誤的經(jīng)營決策——比如以過低的價格銷售產(chǎn)品，不能留住關鍵雇員或無法阻止（他人）冒用商標，或是產(chǎn)生為預期負債。這些主要是經(jīng)營性目標，盡管保值的特定方面可以歸屬于其它類別。一旦應用到法律或法規(guī)的要求，就成為遵從性目標。另一方面，在實體的財務報告中正確地反映資產(chǎn)損失，就代表了報告性目標。當運用在公開報告中時，經(jīng)常使用的是資產(chǎn)保值的較為狹窄的定義，即關于阻止或定期查明未經(jīng)授權獲得、使用或處置實體的資產(chǎn)。企業(yè)風險管理可期望用來提供實現(xiàn)與報告的可靠性、遵守法律法規(guī)相關的目標的合理保證。實現(xiàn)那些類別的目標是處于實體的控制范圍之內(nèi)，并依賴于實體相關的執(zhí)行效果如何。然而，實現(xiàn)戰(zhàn)略性目標，如獲得特定生產(chǎn)份額，以及經(jīng)營性目標，如成功上馬一條新生產(chǎn)線，并不總是在實體的控制中。盡管企業(yè)風險管理不能防止錯誤的判斷或決策，或可能導致業(yè)務無法實現(xiàn)經(jīng)營性目標的外在事件，它確實增加了管理部門做出更優(yōu)決策的可能性。關于這些目標，企業(yè)風險管理能夠合理地確保管理部門，及予以關注的董事會，能及時了解實體接近實現(xiàn)目標的程度。企業(yè)風險管理的組成部分企業(yè)風險管理由八個相互關聯(lián)的部分組成，源于管理部門經(jīng)營業(yè)務的方式，并與管理過程融合在一起。這些組成部分是：內(nèi)部環(huán)境——管理部門提出風險的研究并確立風險偏好。內(nèi)部環(huán)境建立實體人員如何看待風險和進行控制的基礎。任何業(yè)務的核心是置于其中的人——他們的個體本性，包括誠信、道德觀和能力，以及人們從事經(jīng)營的環(huán)境。他們是驅動實體及基礎的發(fā)動機，如何事情都依賴于該基礎。目標設定——目標必須在管理部門識別可能影響其實現(xiàn)的事件之前存在。企業(yè)風險管理確保管理部門以適當?shù)某绦蛟O定目標，并且所選定的目標支持并與實體的使命或展望一致，同時與實體的風險偏好相符。事件識別——（管理部門）必須識別出可能會對實體產(chǎn)生影響的潛在事件。事件識別包括識別原因——內(nèi)在及外在的，這些因素會對潛在事件如何影響戰(zhàn)略執(zhí)行及目標實現(xiàn)產(chǎn)生作用。還包括區(qū)分代表風險的潛在事件，代表機遇的潛在事件，以及兩者都代表的潛在事件。管理部門識別潛在事件之間的相互關系，并對其分類，是為了在實體內(nèi)創(chuàng)造并加強一種普遍的風險意識，并形成以組合觀來考慮風險的基礎。風險評估——對識別出的風險進行評估，是為了形成一個決定如何對其實施管理的基礎。風險是與可能會受到影響的有關目標相關聯(lián)的。風險是在內(nèi)部及剩余的基礎上進行評估，該評估同時會考慮到風險可能性及影響。一系列可能結果也許會和一項潛在事件相關，管理部門就需要把兩者結合起來考慮。風險反應——管理部門根據(jù)戰(zhàn)略和目標選擇一種方法或一套行為，使所評估的風險與實體的風險偏好一致。（管理）人員識別并評價對風險的可能反應，包括規(guī)避、接受、降低和分配風險?？刂苹顒印⒑蛨?zhí)行政策及程序，是為了有助于確保管理部門選擇的應對風險（方式）能得到有效實行。信息和交流——通過以某種形式和時間結構識別、掌握并交流信息，可以使人們能夠履行責任。在實體的所有層面都需要信息來識別、評估并應對風險。在更廣泛的意義上也需要有效的交流在實體上上下下流動。人們需要接收關于作用和職責的明晰的交流。監(jiān)管——整個企業(yè)風險管理必須得到監(jiān)管，而且要有必要的調整。這樣，該系統(tǒng)可以充滿活力，并在條件保證下轉變。監(jiān)管是通過持續(xù)的管理活動，分開的對企業(yè)風險管理過程的評價，或把兩者結合起來，而實現(xiàn)的。 的模型中有所描繪。企業(yè)風險管理是一個動態(tài)的過程。例如，風險評估驅動風險反應，影響控制活動，激起重新考慮信息和交流或實體監(jiān)管活動的需求。這樣，企業(yè)風險管理不是一個系列過程，即一個組成部分只會對下一個產(chǎn)生影響。而是一個多元化的相互作用的過程，即幾乎任何組成部分都能夠并將會影響另一個。沒有兩個實體將會或應該以同樣的方式應用企業(yè)風險管理。公司及其企業(yè)風險管理能力和需求，會因行業(yè)及規(guī)模、（企業(yè)）文化及管理哲學而有很大的不同。這樣，盡管所有實體都需要每一個組成部分來維持對其活動的控制，某一公司對企業(yè)風險管理框架的應用——包括所采用的工具和技巧，以及企業(yè)風險管理的作用和職責的分配——與另一公司總會有很大的不同。目標和組成部分之間的關系在實體所努力達到的目標，與代表達到目標所需要的企業(yè)風險管理組成部分之間，有著直接的聯(lián)系。這種關系可以用一個三維圖形來描繪， 中的立方體所示。四個目標類別——戰(zhàn)略性、經(jīng)營性、報告性及遵從性——由縱欄表示，八個組成部分由橫行表示，實體及其單元由模型的第三維表示。每一組成部分“橫穿”并適用于所有四個目標類別。例如，來源于內(nèi)部和外部渠道的財務及非財務信息，這屬于信息和交流部分，在戰(zhàn)略制訂、有效管理業(yè)務經(jīng)營、有效報告和判定實體遵守適用法律中都有所需要。類似地，從目標類別來看，所有八個組成部分與每一類別都相關。以經(jīng)營效果及效率這一類別為例，所有八個組成部分對其實現(xiàn)都適用，并且重要。企業(yè)風險管理與整體企業(yè)，或與單個經(jīng)營單元相關。這一關系由第三維描述，表示子公司、分支機構和其它經(jīng)營單元。這樣就可以專注于模型中的任一部分。比如，要考慮頂部右邊后面的部分，它代表與特定子公司的遵從目標相關聯(lián)的內(nèi)部環(huán)境。應該認識到，四欄代表的是企業(yè)目標的類別，而不是實體的部分或單元。這樣，在考慮比如說與報告相關的目標類別時，需要了解關于實體經(jīng)營的廣泛信息，但如果是那樣的話，要注意的是模型的右中欄——報告性目標——而不是經(jīng)營性目標一欄。 擴展了立方體組成部分行，以顯示每一組成部分的關鍵要素，以及哪些組成部分代表一個過程流。 盡管企業(yè)風險管理框架與所有實體相關且適用，管理部門應用企業(yè)風險管理的方式卻隨著實體性質和許多實體特有因素而有很大的不同。這些因素包括實體的經(jīng)營模式，大體風險，所有權結構，經(jīng)營環(huán)境，規(guī)模，復雜性，行業(yè)和監(jiān)管程度，以及其它。當考慮到實體的特有情形，管理部門進行一系列的選擇，都要顧及到被展開來應用企業(yè)風險管理框架組成部分的過程和方法的復雜性。管理部門可能會在某些經(jīng)營單元或程序或企業(yè)風險管理組成部分中選用復雜的方法和技巧，而在其它地方?jīng)Q定運用更基本的方法。有效性盡管企業(yè)風險管理是一個過程，其有效性是在某一時點上的狀態(tài)或情形。判定企業(yè)風險管理是否“有效”是一種主斷言，取決于評估八個組成部分是否存在及真正發(fā)揮作用。要被認定為有效，所有八個組成部分都必須存在且發(fā)揮作用。然而，這并不意味著在不同實體中，每一個組成部分都應該發(fā)揮同樣的作用，或者甚至在同一水平，各組成部分之間可能會存在協(xié)調。因為企業(yè)風險管理技巧能服務于各種各樣的目標，相對于一個組成部分所應用的技巧可以為存在于另一個組成部分的目標服務。此外，風險反應在面臨特定風險時，程度上會有所不同，這樣補充的風險反應，單個來看效果有限，合在一起就足夠了。這里所闡述的觀點適用于所有實體，不論規(guī)模大小。盡管一些中小型實體執(zhí)行組成部分要素時與大型實體會有所不同，它們?nèi)匀豢蛇M行有效的企業(yè)風險管理。在較小的實體中對每一組成部分的研究，相對于較大的實體來說，可能不那么正規(guī)，結構也不盡完善，但基本的概念存在于每一實體中，不論規(guī)模大小。企業(yè)可能會在把實體作為一個整體，或者一個或多個單個單元的情況下考慮。當以實體的某一特定單元來考慮企業(yè)風險管理時，所有八個組成部分都必須作為參考標準，這樣，舉個例子來說，由于擁有一個有著特殊性質的董事會時內(nèi)部環(huán)境的一個要素，那么只有當經(jīng)營單元擺正董事會的位置或只是簡單機構（或實體層面的董事會直接給予經(jīng)營單元必要的監(jiān)管），此時該單元的企業(yè)風險管理才有可能被判定為有效。相似地，由于風險反應部分要求采用風險組合觀，則要使企業(yè)風險管理被判定為有效，該經(jīng)營單元就必須有風險組合觀。實體也許擁有合資企業(yè)、合伙企業(yè)或其它投資，它們的經(jīng)營是不在實體的控制之下的。在這種情況下，如果實體識別出可能影響投資進而有效實現(xiàn)自身目標的能力的潛在事件；確保風險評估，風險反應和控制部分適當?shù)胤从沉诉@些事件；并且對已被設計用來管理投資相關風險的機制進行監(jiān)管，該實體就能實現(xiàn)企業(yè)風險管理。另一種實體實現(xiàn)企業(yè)風險管理的方式是，對確保投資工具遵守擁有有效的企業(yè)風險管理進行監(jiān)管。然而，投資工具的風險偏好也許會和實體的風險偏好有所不同。當投資工具有著獨立的董事會或其它類似監(jiān)管機構時，就可能會發(fā)生這種情況。實體的管理部門就需要評價自身風險偏好于投資工具的風險偏好之間的一致性，從而保證實體的風險是可以接受的。一家礦業(yè)公司投資于一家黃金采礦合資企業(yè)。該礦業(yè)公司關于盈利的穩(wěn)定性比合資企業(yè)的風險偏好低一些。合資企業(yè)的管理部門預期黃金價格會保持不變或上揚，并準備接受價格下降的風險，以換取價格上升所能帶來的預期收益。故而沒有對黃金價格的變化采取套期保值措施。公司的管理部門監(jiān)控合資企業(yè)的黃金產(chǎn)量水平并對黃金價格的變化采取套期保值措施，從而把商品的價格風險控制在公司的風險偏好之內(nèi)。圍繞內(nèi)部控制內(nèi)部控制是企業(yè)風險管理的一個組成部分。企業(yè)風險管理圍繞著內(nèi)部控制，為管理形成了一個更有活力的概念和工具。內(nèi)部控制在《內(nèi)部控制——整體框架》有所定義和描述。因為《內(nèi)部控制——整體框架》是現(xiàn)有規(guī)則、法規(guī)和法律的基礎，該文獻保持著對內(nèi)部控制的合適的定義和框架。整個《內(nèi)部控制——整體框架》以參考書目的形式綜合進入本框架。附錄B 描述了企業(yè)風險管理是如何比內(nèi)部控制更具有包容性。企業(yè)風險管理及管理過程由于企業(yè)風險管理是管理過程的一部分，企業(yè)風險管理框架組成部分是在管理部門經(jīng)營業(yè)務的背景下進行討論的。然而，并不是管理部門所做的每一件事情都是企業(yè)風險管理的要素。例如，建立目標的過程是企業(yè)風險管理的主要組成部分，但管理部門所選定的特殊目標，盡管是一項重要的管理責任并與實體戰(zhàn)略有重要關聯(lián)，卻不是企業(yè)風險管理的一部分。類似地，以風險評估為基礎的風險反應，是企業(yè)風險管理的一部分，但所選定的特定風險反應卻不是。這些大概是應用于決策制訂的業(yè)務判斷，其中許多管理部門的決定和行為不是企業(yè)風險管理的部分。 列出了一般管理行為，并表明哪些被認為是企業(yè)風險管理的部分。（此列表既沒有包含一切，也不是描述管理活動的唯一方式。） 管理活動管理活動企業(yè)風險管理建立使命，價值觀和戰(zhàn)略√ 在設定戰(zhàn)略時應用企業(yè)風險管理√ √ 建立目標設定過程√ √ 選擇實體層面和活動層面的目標√ 設置執(zhí)行措施√ 建立內(nèi)部環(huán)境√ √ 建立風險偏好及規(guī)定風險承受度√ √ 識別潛在事件√ √ 評估風險影響及可能性√ √ 識別和評價風險反應√ √ 選擇和執(zhí)行風險反應√ 實現(xiàn)控制活動√ √ 告知內(nèi)部及外部各方并進行交流√ √ 監(jiān)管企業(yè)風險管理的其它部分的存在和運行√ √ 章節(jié)摘要：內(nèi)部環(huán)境包含一個組織的基調，影響其員工的風險意識，同時還是企業(yè)風險管理所有其它組成部分的基石，提供紀律和結構。內(nèi)部環(huán)境因素包括實體的風險管理哲學；其風險偏好和風險文化；董事會監(jiān)管；實體員工的誠信、道德價值和能力；管理哲學和經(jīng)營風格；以及管理部門分配權力和責任、組織和引導員工的方式。內(nèi)部環(huán)境是企業(yè)風險管理所有其它組成部分的基石，提供紀律和結構。內(nèi)部環(huán)境影響到戰(zhàn)略和目標時如何建立的，經(jīng)營活動時如何組織的，以及風險時如何被識別、評估和應對的。它影響控制活動，信息和交流系統(tǒng)及監(jiān)管活動的設計和運作。反之，內(nèi)部環(huán)境又受到實體的歷史和文化的影響。內(nèi)部環(huán)境由許多要素組成，包括實體員工的道德價值、能力和發(fā)展，管理部門的經(jīng)營風格及如何分配權力和責任的。董事會是內(nèi)部環(huán)境的關鍵部分，顯著地影響其它內(nèi)部環(huán)境要素。雖然所有要素都很重要，每一要素的程度會因實體有所不同。例如，員工數(shù)量較少和集權經(jīng)營公司的高管人員可能不會正式的責任鏈和詳細的經(jīng)營政策。然而，該公司也可擁有內(nèi)部環(huán)境，為企業(yè)風險管理提供適當?shù)幕A。風險管理哲學為所有員工所理解的企業(yè)風險管理哲學，能促進雇員識別和有效管理風險的能力。該哲學（即實體關于風險的信念，和如果選擇引導活動并處理風險），反映實體從企業(yè)風險管理所尋求的價值，并反應企業(yè)風險管理組成部分是如何運用的。雖然一些實體采用企業(yè)風險管理是為了滿足外部風險承擔者的需要，如母公司或監(jiān)管者，更多的是因為管理部門意識到有效的風險管理能夠保持價值并創(chuàng)造價值。每一個領導班子對于什么推動風險承擔者的價值，都有自己的見解。管理部門的企業(yè)風險管理哲學反映在政策綜