【正文】 的報告，既包括財務(wù)信息，也包括非財務(wù)信息。企業(yè)目標的這種分類可以使企業(yè)的管理者和董事會注意企業(yè)風險管理的不同方面。企業(yè)的這些目標既相互區(qū)別但又相互重疊，可以明確企業(yè)的不同需要，并且可以分派給企業(yè)的某一個執(zhí)行官作為其直接職責。某些企業(yè)還有另一類目標――“資源的安全”，有時也叫“資產(chǎn)的安全”。對某種報告目的而言，這種廣義的資產(chǎn)安全類目標可能是一個狹義的定義，此時的資產(chǎn)安全概念可以僅僅指預(yù)防或及時發(fā)現(xiàn)對企業(yè)資產(chǎn)的未經(jīng)授權(quán)的購買、使用或處置。作為事項識別的一部分，管理者應(yīng)考慮會影響事項發(fā)生的各種企業(yè)內(nèi)外部的因素。一個企業(yè)事項識別的方法可以包含不同的技術(shù)及其與相應(yīng)的工具的組合。針對過去的事項和趨勢的識別技術(shù)主要要考慮類似支付錯誤的歷史、商品價格的變化和浪費時間的突發(fā)事件（Losttime accidents ）等事項，而針對未來風險的技術(shù)則主要考慮不斷變化的人口統(tǒng)計資料、新市場和競爭者的行為等事項。通過在企業(yè)內(nèi)各水平層面上對事項進行匯總、在營運部門內(nèi)部對事項進行垂直地匯總，管理者能夠?qū)κ马椫g的相互關(guān)系有一個了解，這些信息也可以作為風險評估的基礎(chǔ)。對企業(yè)有潛在負面影響的事項是企業(yè)的風險，要求企業(yè)的管理者對其進行評估和建立反應(yīng)方案。對企業(yè)有潛在正面影響的事項則是企業(yè)的機遇或者可以彌補風險對企業(yè)的負面影響?？赡軓浹a風險對企業(yè)負面影響的事項則應(yīng)在管理者對風險進行評估和反應(yīng)的階段予以考慮。管理者應(yīng)從兩個方面對風險進行評估――風險發(fā)生的可能性和影響。對風險發(fā)生的可能性和影響的估計經(jīng)常需要使用從過去的可觀察事項得到的數(shù)據(jù)，這比沒有任何數(shù)據(jù)的、完全的主觀估計要客觀得多。但是，即使是以內(nèi)部數(shù)據(jù)作為主要的資料來源，外部數(shù)據(jù)仍能用作一個檢查標準或者改進分析。一個企業(yè)風險評估的方法通常是定量方法和定性分析技術(shù)的組合。定量的分析技術(shù)通常更加精確，一般用于更為復(fù)雜多變的活動，作為定性分析的補充。相反，對評估技術(shù)的選擇應(yīng)反映出對精確性的需要和該業(yè)務(wù)部門的文化。在衡量目標的實現(xiàn)程度時，管理者經(jīng)常使用業(yè)績計量指標。管理者可以評估各事項之間的關(guān)系，因為一系列相互關(guān)聯(lián)的事項結(jié)合起來會使得事項的發(fā)生概率或事項的影響發(fā)生重大變化。各潛在事項之間可能并不直接相關(guān)，這時管理者可以分別對其進行評估，但是當某些風險可能在企業(yè)的多個業(yè)務(wù)部門出現(xiàn)時，管理者可以將所確認的風險歸為一類進行評估。通過風險評估，管理者可以了解潛在事項在整個企業(yè)內(nèi)對企業(yè)的正面和負面的影響，單個事項或某類事項對企業(yè)的影響。由于戰(zhàn)略方向和目標的某些要素涉及較長時期，管理者因而應(yīng)從長期的角度認識風險，而不能忽視遠期會影響企業(yè)的風險。固有風險是指管理者在沒有采取任何會改變風險發(fā)生的可能性或影響的管理措施的情況下企業(yè)所面臨的風險。殘留風險是指管理者采取了有關(guān)風險管理措施后應(yīng)存在的風險?？紤]各風險反應(yīng)方案并選擇和執(zhí)行一個風險反應(yīng)方案是企業(yè)風險管理不可分割的一部分。風險反應(yīng)可分為規(guī)避風險、減少風險、共擔風險和接受風險四類。減少風險是指減少風險發(fā)生的可能性、減少風險的影響或者兩者同時減少。接受風險則是不采取任何改變風險發(fā)生的可能性或影響的行動。 選定某一個風險反應(yīng)方案后，管理者應(yīng)在殘留風險的基礎(chǔ)上重新評估風險，即從企業(yè)總體的風險組合的、預(yù)測的角度重新計量風險。這種視角可以反映相對于各部門的目標和風險容忍度該部門的風險組合。管理者應(yīng)認識到一定水平的殘留風險總是存在的，這不僅是因為資源的有限性，還因為未來有其內(nèi)在的不確定性和所有活動的固有限制?？刂苹顒哟嬖谟谄髽I(yè)的各部分、各個層面和各個部門。通常包括兩個要素：確定應(yīng)該做什么的一個政策和影響該政策的一系列過程。廣義來講，對信息系統(tǒng)控制活動可以分為兩類。另一類是應(yīng)用控制，包括用于控制技術(shù)應(yīng)用的應(yīng)用軟件內(nèi)部的電腦程序。一般控制包括對信息技術(shù)管理、信息技術(shù)基礎(chǔ)設(shè)施、保密管理和軟件的購買、開發(fā)和維護的控制。信息技術(shù)管理控制主要包括明確信息技術(shù)的勘漏過程、監(jiān)督和報告信息技術(shù)活動及業(yè)務(wù)改進的初步行動等等。依靠信息系統(tǒng)控制運行的有效可以保證當需要時每個應(yīng)用程序可以在界面上產(chǎn)生有關(guān)數(shù)據(jù)，保證應(yīng)用程序的有效和有關(guān)界面的錯誤可以很快地被發(fā)現(xiàn)。即使兩個企業(yè)有同樣的目標和結(jié)構(gòu)，他們的控制活動可很可能不同。而且，控制活動反映了一個企業(yè)所處的環(huán)境和行業(yè)，也會反映企業(yè)的復(fù)雜性、企業(yè)的歷史和文化。有效的溝通也是廣義上的溝通，包括企業(yè)內(nèi)自上而下、自下而上以及橫向的溝通。企業(yè)內(nèi)部各個管理層都需要信息來幫助識別、評估風險和對風險進行反應(yīng)，以及進行經(jīng)營并實現(xiàn)企業(yè)的目標。企業(yè)的信息來自于各個方面，包括內(nèi)部和外部的信息、量化的和非量化的信息，以使得企業(yè)的風險管理可以對現(xiàn)實世界中不斷變化的條件及時作出反應(yīng)。解決這一問題的方法是建立一個信息系統(tǒng)底層結(jié)構(gòu)來確認、捕捉、處理、分析和報告相關(guān)信息。因此，這些信息系統(tǒng)經(jīng)常是指處理企業(yè)相關(guān)業(yè)務(wù)產(chǎn)生的內(nèi)部數(shù)據(jù)的系統(tǒng)。當業(yè)務(wù)需要變化和有關(guān)技術(shù)為企業(yè)獲得戰(zhàn)略優(yōu)勢提供新的機會時，這一地位就顯得更為重要。歷史數(shù)據(jù)使企業(yè)能夠?qū)嶋H業(yè)績與目標、計劃和期望相比較，能夠更加深入了解企業(yè)在不斷變化的環(huán)境下是如何生存的，使得管理者確認相關(guān)性和趨勢并預(yù)測未來的業(yè)績?，F(xiàn)在或現(xiàn)狀的數(shù)據(jù)使企業(yè)能夠評估在某一特定時點所面臨的風險并將其控制在風險容忍度范圍內(nèi)。這對了解企業(yè)的風險組合提供了一個視角，使得管理者能夠在必要時改變企業(yè)的活動以滿足企業(yè)的風險偏好。最重要的溝通渠道之一是高級管理者和董事會之間的溝通。溝通越暢通，董事會在執(zhí)行其監(jiān)督職能、重大問題的宣傳媒介職能和提供建議、咨詢和指導(dǎo)職能時才會越有效。管理者應(yīng)提供特定的或直接的溝通渠道說明對員工的行為預(yù)期和各自的職責。對于風險管理過程和程序的溝通應(yīng)與企業(yè)預(yù)期的風險文化相結(jié)合，并作為企業(yè)風險文化的基礎(chǔ)。溝通應(yīng)使企業(yè)的員工了解有效地企業(yè)風險管理的重要性和相關(guān)性，了解企業(yè)的風險偏好和風險容忍度，并在企業(yè)內(nèi)執(zhí)行、設(shè)計一個統(tǒng)一的風險用語并向員工說明他們在影響和支持企業(yè)風險管理要素中的地位和職責。大多數(shù)情況下，企業(yè)內(nèi)正常的報告路徑一般是溝通的適當渠道。在所有的情況下，讓企業(yè)的員工了解企業(yè)內(nèi)并不存在對報告相關(guān)信息的報復(fù)是很重要的。管理者應(yīng)將企業(yè)的風險偏好和風險容忍度與客戶、供應(yīng)商和合伙人的風險偏好和風險容忍度聯(lián)系起來考慮，以保證不會通過企業(yè)的業(yè)務(wù)活動給企業(yè)帶來太多的風險。8．監(jiān)控對企業(yè)風險管理的監(jiān)控是指評估風險管理要素的內(nèi)容和運行以及一段時期的執(zhí)行質(zhì)量的一個過程。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風險管理在企業(yè)內(nèi)各管理層面和各部門持續(xù)得到執(zhí)行。如果執(zhí)行得好，持續(xù)監(jiān)控比個別評估更為有效。雖然如此，許多使用持續(xù)監(jiān)控的企業(yè)仍舊進行風險管理的個別評估。在決定個別評估的頻率時，管理者應(yīng)考慮來自于企業(yè)內(nèi)部和外部事項的變化的性質(zhì)和程度以及相應(yīng)的風險、企業(yè)員工進行風險反應(yīng)和相應(yīng)控制的能力和經(jīng)驗、持續(xù)監(jiān)控的結(jié)果等因素。對企業(yè)風險管理進行記錄的程度根據(jù)企業(yè)的規(guī)模、經(jīng)營的復(fù)雜性和其他因素的影響而有所不同。但是，適當程度的記錄通常會使對風險管理的監(jiān)控更為有效果和有效率。所有風險管理失效都會影響企業(yè)確定和執(zhí)行戰(zhàn)略的能力，影響企業(yè)實現(xiàn)其既定目標的能力。企業(yè)所需溝通的事項的性質(zhì)根據(jù)各人處理各種情況的權(quán)限和監(jiān)控者的查漏活動的不同而不同。因此，失效可能代表一種預(yù)期的、潛在的或真實的缺陷，或者代表加強風險管理過程的一個機會，以增加企業(yè)目標實現(xiàn)的可能性。對于敏感性信息的報告也應(yīng)有其他的溝通渠道，如非法活動或不正當?shù)幕顒印Ｆ髽I(yè)應(yīng)建立一個協(xié)議來識別某一管理層決策有效所需要的信息。（四）風險管理要素和企業(yè)目標之間的關(guān)系企業(yè)的風險管理框架包括四類目標和八個要素。八個要素分別是內(nèi)部環(huán)境、目標制定、事項識別、風險評估、風險反應(yīng)、控制活動、信息和溝通、監(jiān)控，是企業(yè)目標實現(xiàn)的保證?？梢钥闯觯膫€欄分別代表一個企業(yè)的四類目標，并不是企業(yè)的某個部分或部門。圖2 將立方體中水平各行的內(nèi)容進行擴展，說明各風險管理要素的主要內(nèi)容，其中每一要素也就代表一個業(yè)務(wù)流程。四類目標—戰(zhàn)略、經(jīng)營、報告和合規(guī)性目標—由垂直欄表示。八要素由水平行表 示。企業(yè)和其各組織單位由矩陣中的第三維表示。決定一個企業(yè)的風險管理是否有效是基于對風險管理八要素設(shè)計和執(zhí)行是否正確的評估基礎(chǔ)上的一個主觀判斷。但是，這并不意味著每一要素在不同的企業(yè)間，甚至是不同企業(yè)的同一管理層次上，都必須執(zhí)行同樣的功能。由于企業(yè)風險管理的各種技術(shù)能夠為企業(yè)不同的經(jīng)營意圖服務(wù)，因此，相對于某要素的技術(shù)也能夠服務(wù)于通常是另一要素所體現(xiàn)出來的經(jīng)營意圖。這里所討論的概念可以應(yīng)用于所有企業(yè)，無論其規(guī)模。對于每個要素的方法論，小企業(yè)采用的方法與大企業(yè)相比并不正式和結(jié)構(gòu)化，但是，無論企業(yè)的規(guī)模，其風險管理都應(yīng)包括本文所講的基本概念。即使是站在某一特定的業(yè)務(wù)部門的角度來看待風險管理，所有的八要素也都應(yīng)作為基準包含在內(nèi)。為保證企業(yè)風險管理的有效性，母公司應(yīng)從公司戰(zhàn)略和目標的角度考慮與被投資方一起充分應(yīng)用風險管理八要素的程度。這里所說的企業(yè)風險管理框架包括內(nèi)部控制，為企業(yè)的管理提供了一個更強的概念基礎(chǔ)和工具。由于《內(nèi)部控制——整體框架》是現(xiàn)有的規(guī)則、法規(guī)和法律的基礎(chǔ)，因此本討論稿保留其對內(nèi)部控制的定義。（七）企業(yè)風險管理的局限性有效的風險管理可以幫助管理者實現(xiàn)企業(yè)的目標，但是，無論企業(yè)風險管理設(shè)計得如何完善、運行得如何有效，它也不能保證一個企業(yè)永遠成功。政府政策或項目的改變、競爭對手的行動或經(jīng)濟條件都超出了管理者的控制范圍。而且企業(yè)風險管理也不能把一個本來就很差的管理者變好。企業(yè)風險管理的設(shè)計必須反映企業(yè)資源稀缺的現(xiàn)實，而且風險管理的收益必須對應(yīng)風險管理的成本。（八）各管理層在企業(yè)風險管理中的地位和職責一個組織的每個人在企業(yè)風險管理中都負有責任。通過選舉管理者，董事會在界定其所期望的員工的操守和價值觀時起主要作用，并能夠通過監(jiān)督活動證實其對員工的預(yù)期。董事會對企業(yè)的風險管理負有監(jiān)督職責，主要通過以下方式實現(xiàn)其職責：－了解管理者在企業(yè)內(nèi)部建立有效的風險管理的程度；－獲知并認可企業(yè)的風險偏好；－復(fù)核企業(yè)的風險組合觀并與企業(yè)的風險偏好相對照；－評估企業(yè)最重要的風險并評估管理者的反應(yīng)是否適當。1 2．管理者1 企業(yè)的首席執(zhí)行官對企業(yè)的風險管理最終負責，即擁有企業(yè)風險管理的“所有權(quán)”。在一個大公司中，首席執(zhí)行官通過向高級管理者分派領(lǐng)導(dǎo)權(quán)和提供指令并復(fù)核其管理企業(yè)的方式等來履行其職能。而在一個小企業(yè)，首席執(zhí)行官對風險管理的影響則更為直接。在任何情況下，？對其下層的職責，管理者也是其職責范圍內(nèi)的一個首席執(zhí)行官。1 3．風險管理者1 一個風險管理者是指某一組織內(nèi)的首席風險管理者或首席風險管理經(jīng)理，他與企業(yè)內(nèi)其他管理者一起在他們的職責范圍內(nèi)建立并維護有效的風險管理框架。1 4．內(nèi)部審計人員1 內(nèi)部審計人員在企業(yè)風險管理的監(jiān)控中占有重要的地位，這一職責作為其正常職責的一部分，其業(yè)績的質(zhì)量依賴高級管理者、下級管理者或部門執(zhí)行人員的特殊要求。2 5．其他員工從某種程度上講，企業(yè)風險管理是企業(yè)內(nèi)每一個員工的責任，因此，風險管理應(yīng)是企業(yè)內(nèi)每一個員工的工作手冊的一部分內(nèi)容。同樣，企業(yè)所有的員工都有責任向上報告風險，如經(jīng)營中存在的問題，未遵守有關(guān)的行為規(guī)則的情況、其他違反政策的行為或非法活動。如外部審計人員，從一個獨立、客觀的角度對企業(yè)的財務(wù)報表進行審計和對企業(yè)的內(nèi)部控制進行復(fù)核，直接有助于企業(yè)目標的實現(xiàn)。其他向企業(yè)提供風險管理的有用信息的相關(guān)方還包括行政管理部門、客戶，其他與企業(yè)進行交易的各方，財務(wù)分析師、債券承銷商和新聞媒介等等。（九）本報告的用途企業(yè)根據(jù)本報告所采取的行動還應(yīng)考慮下述各方的地位和利益：1．董事會成員 董事會成員應(yīng)該與企業(yè)的高級管理人員討論企業(yè)風險管理的狀況并在必要的時候進行監(jiān)督。董事會應(yīng)該從企業(yè)的內(nèi)部審計人員、外部審計人員和咨詢顧問外獲得有關(guān)的信息。使用本框架，CEO 就可以與企業(yè)的其他主要經(jīng)營和財務(wù)主管一道，注意企業(yè)內(nèi)需要注意的地方。無論討論的形式如何，風險管理最初的評估應(yīng)決定企業(yè)是否需要對企業(yè)風險管理框架進行進一步的、更廣泛的評估以及應(yīng)如何進行評估。企業(yè)花費在風險管理評估上的時間是企業(yè)的一項投資，而且是一項有高額回報的投資。內(nèi)部審計人員則應(yīng)該考慮其工作中關(guān)注企業(yè)風險管理的程度。首先，由于對企業(yè)風險管理框架的硬件設(shè)施構(gòu)建的不同認識，使得企業(yè)的風險管理框架各有不同。第二，即使對企業(yè)風險管理能夠做什么、不能做什么以及“合理保證”概念有一個共同的認識，對這概念的含義和應(yīng)該如何應(yīng)用這些概念也存在許多不同的觀點。本框架的提出就是出于這一考慮。本框架會使用這些機構(gòu)頒布的有關(guān)準則和指南。6．教育機構(gòu)本框架應(yīng)該是理論研究和分析的一個題目，以尋找未來改進的方向。（十）報告的組織這個概覽和框架報告的正文一起構(gòu)成了企業(yè)的風險管理框架。而框架報告的正文部分則對企業(yè)風險管理的定義、原則和概念進行更為廣泛和深入的討論，為企業(yè)及其他組織中各層次管理者決定如何改進企業(yè)的風險管理提供了指導(dǎo)，并能夠幫助企業(yè)的管理者和其他人員評估企業(yè)的風險管理提供幫助。它使得管理部門在面對不確定性的時候能夠鑒別，評估并處理風險，同時有助于價值增值與保值。企業(yè)風險管理的一個潛在假定就是，每一個實體的存在都是為其風險承擔者提供價值，不論這個實體是盈利性的，非盈利性的還是政府機構(gòu)。不確定性既提供了風險也提供了機遇，既有可能侵蝕價值也有可能增加價值。不確定性諸如全球化、技術(shù)、監(jiān)管、重組、市場變化及競爭等因素產(chǎn)生了不確定性，企業(yè)正是在這樣的環(huán)境下經(jīng)營。不確定性還因?qū)嶓w的戰(zhàn)略性決策而產(chǎn)生。這一選定的戰(zhàn)略就產(chǎn)生了與該國家的政治、資源、市場、交通、人力資本及成本相關(guān)的風險和機遇。決策中固有的一點就是識別風險和機遇，要求管理部門（注）考慮內(nèi)在和外在環(huán)境的信息，并根據(jù)變化著的環(huán)境來部署寶貴的資源和重新調(diào)整企業(yè)行為。實體通過專注于人力、工序、系統(tǒng)和行為創(chuàng)造持續(xù)性價值而保值的，包括產(chǎn)品質(zhì)量，生產(chǎn)能力，顧客滿意度及其它一些東西。當管理部門的戰(zhàn)略和目標在增長與回報及相關(guān)風險，和追求實體目標過程中對資源的效率且有效果的部署之間突然得到了一個最優(yōu)平衡，價值就達到了最大化。當風險承擔者獲得可確認的收益，實體就實現(xiàn)了價值，從而風險承擔者實現(xiàn)價值。對政府實體而言，在選民以可接受的成本確認收