【正文】 分開來看，這些不同的亞文化可能會對實體產生不利影響。例如，一個職能（部__門）更多地關注銷售，而不會太注意規(guī)則遵循情況。風險亞文化個體經營單元、功能和部門會有稍微不同的風險文化。為實現這一點，管理部門采取的一個步驟就是，在所有員工卡中加入一系列專注于風險的問題。如果存在不協(xié)調，管理部門會采取步驟來改造文化——也許重新思考風險哲學和風險態(tài)度，或改造應用企業(yè)風險管理的方式。對于那些不明確地說明其風險哲學的實體，風險文化會偶然地形成，結果在實體內部，甚至在一特別的經營單元、功能和部門中產生截然不同的風險文化。風險文化風險文化是表現實體如何在日?；顒又锌紤]風險的一套共用的看法、價值觀和慣例。不同的戰(zhàn)略會給實體帶來不同的風險。風險偏好與實體的戰(zhàn)略直接相關。風險偏好風險偏好是實體在追求價值時所愿意接受的風險程度。管理部門的企業(yè)風險管理哲學反映在政策綜述和其它信息傳達中。雖然一些實體采用企業(yè)風險管理是為了滿足外部風險承擔者的需要，如母公司或監(jiān)管者，更多的是因為管理部門意識到有效的風險管理能夠保持價值并創(chuàng)造價值。風險管理哲學為所有員工所理解的企業(yè)風險管理哲學，能促進雇員識別和有效管理風險的能力。例如，員工數量較少和集權經營公司的高管人員可能不會正式的責任鏈和詳細的經營政策。董事會是內部環(huán)境的關鍵部分，顯著地影響其它內部環(huán)境要素。反之，內部環(huán)境又受到實體的歷史和文化的影響。內部環(huán)境影響到戰(zhàn)略和目標時如何建立的，經營活動時如何組織的，以及風險時如何被識別、評估和應對的。內部環(huán)境因素包括實體的風險管理哲學；其風險偏好和風險文化；董事會監(jiān)管；實體員工的誠信、道德價值和能力；管理哲學和經營風格；以及管理部門分配權力和責任、組織和引導員工的方式。（此列表既沒有包含一切，也不是描述管理活動的唯一方式。這些大概是應用于決策制訂的業(yè)務判斷，其中許多管理部門的決定和行為不是企業(yè)風險管理的部分。例如，建立目標的過程是企業(yè)風險管理的主要組成部分，但管理部門所選定的特殊目標，盡管是一項重要的管理責任并與實體戰(zhàn)略有重要關聯，卻不是企業(yè)風險管理的一部分。企業(yè)風險管理及管理過程由于企業(yè)風險管理是管理過程的一部分，企業(yè)風險管理框架組成部分是在管理部門經營業(yè)務的背景下進行討論的。整個《內部控制——整體框架》以參考書目的形式綜合進入本框架。內部控制在《內部控制——整體框架》有所定義和描述。圍繞內部控制內部控制是企業(yè)風險管理的一個組成部分。故而沒有對黃金價格的變化采取套期保值措施。該礦業(yè)公司關于盈利的穩(wěn)定性比合資企業(yè)的風險偏好低一些。實體的管理部門就需要評價自身風險偏好于投資工具的風險偏好之間的一致性，從而保證實體的風險是可以接受的。然而，投資工具的風險偏好也許會和實體的風險偏好有所不同。在這種情況下，如果實體識別出可能影響投資進而有效實現自身目標的能力的潛在事件；確保風險評估，風險反應和控制部分適當地反映了這些事件；并且對已被設計用來管理投資相關風險的機制進行監(jiān)管，該實體就能實現企業(yè)風險管理。相似地，由于風險反應部分要求采用風險組合觀，則要使企業(yè)風險管理被判定為有效，該經營單元就必須有風險組合觀。企業(yè)可能會在把實體作為一個整體，或者一個或多個單個單元的情況下考慮。盡管一些中小型實體執(zhí)行組成部分要素時與大型實體會有所不同，它們仍然可進行有效的企業(yè)風險管理。此外，風險反應在面臨特定風險時，程度上會有所不同，這樣補充的風險反應，單個來看效果有限，合在一起就足夠了。然而，這并不意味著在不同實體中，每一個組成部分都應該發(fā)揮同樣的作用，或者甚至在同一水平，各組成部分之間可能會存在協(xié)調。判定企業(yè)風險管理是否“有效”是一種主斷言，取決于評估八個組成部分是否存在及真正發(fā)揮作用。管理部門可能會在某些經營單元或程序或企業(yè)風險管理組成部分中選用復雜的方法和技巧，而在其它地方決定運用更基本的方法。這些因素包括實體的經營模式，大體風險，所有權結構，經營環(huán)境，規(guī)模，復雜性，行業(yè)和監(jiān)管程度，以及其它。圖 擴展了立方體組成部分行，以顯示每一組成部分的關鍵要素，以及哪些組成部分代表一個過程流。應該認識到，四欄代表的是企業(yè)目標的類別，而不是實體的部分或單元。這樣就可以專注于模型中的任一部分。企業(yè)風險管理與整體企業(yè)，或與單個經營單元相關。類似地，從目標類別來看，所有八個組成部分與每一類別都相關。每一組成部分“橫穿”并適用于所有四個目標類別。這種關系可以用一個三維圖形來描繪， 中的立方體所示。這樣，盡管所有實體都需要每一個組成部分來維持對其活動的控制，某一公司對企業(yè)風險管理框架的應用——包括所采用的工具和技巧，以及企業(yè)風險管理的作用和職責的分配——與另一公司總會有很大的不同。沒有兩個實體將會或應該以同樣的方式應用企業(yè)風險管理。這樣，企業(yè)風險管理不是一個系列過程，即一個組成部分只會對下一個產生影響。企業(yè)風險管理是一個動態(tài)的過程。這樣，該系統(tǒng)可以充滿活力，并在條件保證下轉變。人們需要接收關于作用和職責的明晰的交流。在實體的所有層面都需要信息來識別、評估并應對風險。控制活動——建立和執(zhí)行政策及程序，是為了有助于確保管理部門選擇的應對風險（方式）能得到有效實行。風險反應——管理部門根據戰(zhàn)略和目標選擇一種方法或一套行為，使所評估的風險與實體的風險偏好一致。風險是在內部及剩余的基礎上進行評估，該評估同時會考慮到風險可能性及影響。風險評估——對識別出的風險進行評估，是為了形成一個決定如何對其實施管理的基礎。還包括區(qū)分代表風險的潛在事件，代表機遇的潛在事件，以及兩者都代表的潛在事件。事件識別——（管理部門）必須識別出可能會對實體產生影響的潛在事件。目標設定——目標必須在管理部門識別可能影響其實現的事件之前存在。任何業(yè)務的核心是置于其中的人——他們的個體本性，包括誠信、道德觀和能力，以及人們從事經營的環(huán)境。這些組成部分是：內部環(huán)境——管理部門提出風險的研究并確立風險偏好。關于這些目標，企業(yè)風險管理能夠合理地確保管理部門，及予以關注的董事會，能及時了解實體接近實現目標的程度。然而，實現戰(zhàn)略性目標，如獲得特定生產份額，以及經營性目標，如成功上馬一條新生產線，并不總是在實體的控制中。企業(yè)風險管理可期望用來提供實現與報告的可靠性、遵守法律法規(guī)相關的目標的合理保證。另一方面，在實體的財務報告中正確地反映資產損失，就代表了報告性目標。這些主要是經營性目標，盡管保值的特定方面可以歸屬于其它類別。有些實體使用另一種目標類別，“資源保值”，有時稱為“資產保值”。這些相互區(qū)別又有重疊的類別——一個特定目標可以歸屬于不止一個類別——提出了不同的實體需求，而且可能是不同高層人員所直接負責的。?? 遵從性——與實體遵守適用的法律法規(guī)相關。?? 經營性——與有效果且有效率地使用實體資源相關。例如，實際上對所有適用的目標有，在貿易團體及消費者群內獲得并保持良好的聲譽，向股東提供可以信賴的報告，以及遵守法律法規(guī)從事經營。實現目標在已確立使命或展望的情況下，管理部門建立戰(zhàn)略性目標，選擇戰(zhàn)略，并在整個企業(yè)內順次建立與戰(zhàn)略一致和相連的目標。問題還可能是因為，人們在做決策時的判斷是錯誤的；應對風險的決定和建立控制時需要考慮相關成本效益；出現毛病可能是由于人為失誤，比如一些簡單的錯誤；兩個或更多的人勾結起來規(guī)避控制；以及管理部門有不考慮企業(yè)風險管理決策的能力。作為有效的企業(yè)風險管理的結果，在本章后面也會提到，對實體的每一類目標，董事會和管理部門能獲得如下合理保證：?? 他們能了解實體的戰(zhàn)略性目標的完成程度；?? 他們能了解實體的經營性目標的完成程度；?? 實體的報告是可靠的；?? 適用的法律法規(guī)得到遵守。管理部門在協(xié)調機構、員工和程序時，以及在設計有效應對和監(jiān)控風險的必需的系統(tǒng)之各部分時，要考慮風險偏好。實體的風險偏好引導資源配置。不同的戰(zhàn)略將會使實體面臨不同的風險。風險偏好是與實體的戰(zhàn)略直接相關的。風險偏好風險偏好是一個實體在追求價值的過程中所愿意接受的風險數量。例如，利率下降會對實體的資本成本產生有利影響，但對賺取利息的資本會產生不利影響。在形成組合觀的時候，管理部門考慮的是潛在事件，而不僅僅是風險。實體中個別單元的風險可能在單元的風險承受能力之內，但加總起來可能會超過作為整體的實體的風險偏好。管理部門是以實體層面的組合觀點來考慮互相關聯的風險。該評估可能上定量的也可能上定性的。企業(yè)風險管理要求實體要有風險組合觀。企業(yè)風險管理要考慮組織所有層次上的活動，從企業(yè)層次的活動如戰(zhàn)略規(guī)劃和資源配置，到經營單元的活動如營銷和人力資源，再到經營過程如生產和新顧客信用評估。在這一層面就要應用企業(yè)風險管理技能來決定實體的戰(zhàn)略。如果管理層選擇第一項戰(zhàn)略，就得進入新的且不熟悉的市場，競爭對手可能會在本公司現有市場中獲得份額，或者該公司沒有有效執(zhí)行此項戰(zhàn)略的能力。另一項選擇則是削減采購成本以實現更高的毛收益率。企業(yè)風險管理應用于制訂戰(zhàn)略，在制訂時管理部門要考慮相對于備選戰(zhàn)略的風險。實體確立戰(zhàn)略的目的是實現戰(zhàn)略性目標。這樣，董事會就是企業(yè)風險管理的一個重要元素。組織中的人包括董事會，及管理層和其他員工。人們必須了解自身的責任和權力的限制。每個人都有獨特的參考觀念，影響他們識別、評估風險并做出反應。每一個人都會帶來獨特的背景和技術能力，并有著不同的需要和特權。類似地，企業(yè)風險管理會影響到人的行為。它是通過組織中的人及其所做和所說而實現的。而且，把企業(yè)風險管理建入經營結構有助于管理部門識別并抓住擴大經營的新機遇。增加新的獨立于已有程序之外的程序會增加成本。通過在企業(yè)風險管理方面的建設，實體可以直接影響自身履行戰(zhàn)略和實現展望或使命的能力。然而，這些企業(yè)風險管理機制是同實體的經營活動盤繞在一起的，并由于一些基本的經營因素而存在。這并不是說有效的企業(yè)風險管理不需要額外的努力。這些行為遍布和內含于管理部門經營業(yè)務的方式中。下面一些段落討論如上列出的基本概念。它直接集中于實現一個特定實體所確立的目標。該定義之所以如此廣泛，是由于以下幾個原因。?? 向實體的管理層和董事會提供合理保證。?? 應用于整個企業(yè)的每一層面和單元，還包括采取在實體層面上對待風險的觀點。?? 由人來實現——它不僅僅是政策、調查和形式，而是涉及到機構中每一層次的人。該定義反映了特定的基本觀念。企業(yè)風險管理的定義企業(yè)風險管理的定義如下：企業(yè)風險管理是一個過程，是由實體的董事會、管理層及其他員工實現的，被應用于戰(zhàn)略設定并貫穿于整個企業(yè)。管理部門把機遇引至其戰(zhàn)略或目標設定過程，從而系統(tǒng)化行動以抓住機遇。因此，風險是事件發(fā)生并對目標產生不利影響的可能性。事件可能有負面影響，也可能有正面影響，或兩者兼而有之。設計這一框架是為了協(xié)調不同的觀點，并為單個實體評價和增強企業(yè)風險管理，為將來創(chuàng)始規(guī)劃制訂機構，以及為進行教育提供一個起點。多種多樣的說明和含義阻礙了對企業(yè)風險管理的一個通用的理解。該框架的一個關鍵目標就是，幫助商業(yè)機構和其它實體的管理部門更好地處理達到實現目標時的固有風險。企業(yè)風險管理是由八個相互關聯的部分組成，這些組成部分充實了管理層經營企業(yè)的方式，并與其它管理過程融為一體。設計該項管理是為了識別可能影響到實體的潛在事件，把風險控制在實體的風險偏好之內，并提供達到關于實體目標的合理保證。注：盡管在這里及接下來的討論中運用的是“管理部門”一詞，許多企業(yè)風險管理行為都是由非管理人員完成的。企業(yè)風險管理有助于實體達到經營和獲利目標，并避免資源浪費；有助于確保有效的報告；還有助于確保實體遵守法律法規(guī)，避免聲譽受損及其它后果。企業(yè)風險管理通過向董事會提供關于最重要風險以及怎樣進行處理的信息，而與公司治理相關聯。企業(yè)風險管理不是不是目的，而是一種達到目的的重要方法。該公司按照系統(tǒng)開發(fā)成本及附加資金成本的對比對風險進行了評估，并制定了一個高明的決定來處理這一風險。使資金合理化——更多關于風險的可靠信息可以使管理部門更有效地評價整體資金需求及改善資金分配。在評估事件時，管理部門認定，該公司的主要顧客正越來越注重健康，并正在改變飲食偏好，這表明對該公司現有產品的需求將來會減少。抓住機會——通過考察所有的潛在事件，而不僅僅是風險，管理部門可以了解特定的事件是如何代表機會的。該系統(tǒng)通過簽訂長期供應合同和改善定價方式與供應商結合起來，共享銷售和存貨信息，推動戰(zhàn)略合作，避免缺貨和不必要的運輸成本。例如，批發(fā)分銷商面臨的風險有供應過量或不足的形勢供應來源稀缺，以及過高的購買價格。該信息系統(tǒng)使銀行能夠把曾經使完全不相關的數據聯系起來，從而運用總括的及有目的的觀點來有效地對風險做出反應。例如，銀行在與企業(yè)的交易活動中面臨大量風險，管理部門就開發(fā)了一項信息系統(tǒng)，可以分析來源于其它內部系統(tǒng)的交易和市場數據，并同時依據相關的外生信息，而提供對所有交易活動風險的總體看法。識別和管理企業(yè)范圍的風險——每一個實體都會面臨無數的風險，并影響到機構的不同部門。例如，制造公司依據平均水平來追蹤生產部件和設備損壞率。企業(yè)風險管理為這些決策都提供了方法和技術。例如，一家使用公司所有并經營的交通工具的公司，其管理部門確認運輸過程中的固有風險，包括交通工具的損壞和人員受傷成本。公司識別和判斷完成的風險，選擇反應方式，調整經營單元規(guī)劃，并在單個經營單元和全公司目標的基礎上配置資本。企業(yè)風險管理提供了更強大的識別和評估風險的能力，并針對增長和回報目標確定可接受的風險水平。因此，為保護其品牌，該企業(yè)會堅持廣泛調查來確保產品的安全性，并定期在早期開發(fā)階段投入大量資源以支持品牌價值創(chuàng)造。管理部門首先是在評估戰(zhàn)略性選擇時考慮實體的風險偏好的，然后是在根據選定的戰(zhàn)略進行調整的目標設定，以及在發(fā)展機制來管理相關風險時考慮。例如，一家為老年公民提供援助的非盈利性機構是根據對可接受的高質量、長期健康照顧的獲得性來衡量價值的。然而，財務指標并不總是價值的唯一代表。許多公司管理部門習慣于用財務指標來考慮價值，如經濟利潤、股東附加值、風險調整成本回報或整體股東回報。企業(yè)風險管理就是便于管理部門既能夠創(chuàng)造可持續(xù)性價值，又能把所創(chuàng)造的價值傳送給風險承擔者。對政府實體而言，在選民以可接受的成本確認收到有價服務時，價值得以實現。當風險承擔者獲得可確認的收益，實體就實現了價值，從而風險承擔者實現價值。當管理部門的戰(zhàn)略和目標在增長與回報及相關風險，和追求實體目標過程中對資源的效率且有效果的部署之間突然