当前位置：搜档网 › COSO风险管理框架中文版

COSO风险管理框架中文版

概览

一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程，而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。虽然管理者已经掌握了大量的企业风险管理的信息（包括大量公开出版的文献），但实务中却并不存在统一的术语，而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。

COSO 委员会已经认识到对企业风险管理概念性指南的需要，因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划，旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础，以便在风险管理问题方面进行有效地交流。

本概览列出了企业风险管理框架的关键内容，包括企业风险管理的定义、内容和基本原则，风险管理的优点、局限性以及各相关方的地位和职责。本概览还强调企业风险管理的相关性和其与COSO 内部控制报告的关系。如果想更加深入地了解有关知识，请看企业风险管理框架的全文。

（一）企业风险管理的相关性

企业风险管理的基本前提是每一个企业，无论是盈利组织、非盈利组织，还是政府机构，其存在的目的都是为其利益相关方带来价值。所有的企业都要面对不确定性。对企业管理者而言，所面临的挑战是在追求企业利益相关方价值增长的同时，决定企业准备接受的不确定性的程度。不确定性既代表风险，也代表机遇，既存在使企业增值的可能，也存在使企业减值的风险。风险管理框架就是为管理者提供一个框架，使其能够有效处理不确定性及相应的风险和机遇，进而提高企业创造价值的能力。

1．不确定性

企业经营的环境中有许多因素都会给企业带来不确定性，如全球化、技术、法规、企业重构、多变的市场以及竞争等。不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。

2．价值

从战略的制定到企业的日常经营，管理者的决策会创造、保持或减少企业的价值。决策的本质就是确认风险和机遇，它要求企业的管理1应在考虑企业内、外部环境的因素的基础上，对企业的稀缺资源进行配置，并且根据环境的不断变化来调整企业的活动。

当企业的利益相关方取得其相应价值的可确认收益时，企业的价值也得到实现。对于公司而言，当股东承认由于股价上扬所带来的价值时，他们也就承认了企业的价值。对于政府机构，当该机构以一个可接受的成本所提供的服务的收益得到确认时，机构的价值就得以实现。对于非盈利组织的利益相关方而言，当他们确认组织所提供的社会福利的价值时，他们也就承认了该组织的价值。企业风险管理使管理者能够创造持久的价值并能够将创造价值的信息传递给利益相关方。

3．企业风险管理的优点

所有企业都是在有风险的环境下经营，而不是企业风险管理使企业面临这样的环境。企业风险管理是使管理者能够在充满风险的环境中更加有效地经营。

企业风险管理使企业的管理者能够：

（1）将风险偏好和企业的战略结合在一起。

从广义来讲，风险偏好是一个公司或企业在追求其目标的过程中愿意接受的风险的程度。管理者在评估企业的战略方案时首先要考虑企业的风险偏好，其后，在制定与企业战略相对应的目标和建立一定的机制管理相应的风险时也应考虑企业的风险偏好。

（2）将企业成长、风险和收益联系起来

经济主体在企业价值保值、增值的过程中也要接受相应的风险，同时预期补偿风险的相应收益。企业风险管理提高了企业确认和评估风险的能力，进而使企业能够确定相对于企业成长性和收益目标而言的风险的可接受水平。

（3）增加风险反应决策

企业风险管理提供了确认和选择不同的风险反应方案的严格标准。企业的风险反应方案包括风险规避、风险降低、风险共担和风险接受。企业风险管理提供了进行相关决策的方法和技术。

（4）使企业的经营意外和损失最小化

经济主体可能提高确认潜在事项、评估风险和明确反应方案，最后减少经营意外的出现次数以及减少相应的成本或损失。

（5）确认和管理企业的总体风险

每一个经济主体都面临着许多风险，而不同的风险会影响企业经营的各个方面。管理不仅需要对每一种风险进行管理，还需要了解风险对企业总体的影响。

（6）针对多重风险提供完整的反应方案

企业的经营过程存在许多内在的风险，企业风险管理就是为管理风险提供一整套解决方案。

（7）抓住机遇

管理不仅要考虑风险，还需要考虑潜在的事项对企业的影响。对潜在事项有一个完整的了解可以使管理对每一潜在事项表明何种机遇有一个了解。

（8）合理分配资金

关于企业总体风险的更为明确的信息可以使企业的管理者能够更加有效地评估企业总体的资金需要，改进企业的资金配置。企业风险管理本身并不是目的，它仅仅是实现目的的一种方式。它不能、也无法在一个经济主体内单独运行，而是企业管理过程的一个推动器。企业风险管理向董事会提供最重要的风险的信息以及这些风险应如何管理的建议，

进而与公司治理相联系。而且，风险管理与企业的绩效管理也有关，风险管理通过提供风险调节的措施和内部控制来

帮助企业的绩效管理。内部控制是企业风险管理的一部分。风险管理帮助一个经济主体实现其经营和利润目标、防止

资源的浪费。它还有助于确保企业报告的有效性。此外，企业风险管理还有助于保证企业遵守有关的法律、法规，避

免其声誉受损并防止产生相应的不良后果。总之，企业风险管理可以帮助一个经济主体实现其目标、及在实现目标的

过程中避开陷井和防止意外的发生。

（二）企业风险管理的定义

企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活动，用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险，对企业目标的实现提供合理的

保证。

这一定义反映了一些基本概念：

1．企业的风险管理是一个过程――其本身并不是一个目的，而是实现目的的一种方式。

2．风险管理受人的影响――它不只是企业的政策、调查和表格，还涉及一个企业各个层次员工。

3．风险管理也适用于企业战略制定过程。

4．企业风险管理应在整个企业范围内应用，在每一个经营层面和每一个单位内应用，并应以一种企业总体的风险组合的观点来看待。

5．风险管理的设计应有助于确认会对企业造成潜在影响的事项并确保在企业风险偏好的范围内管理企业的风险。

6．风险管理仅为企业的管理者和董事会提供合理的保证。

7．企业风险管理的目标是帮助企业一类或几类单独并相互重叠的目标的实现。

从广义上定义这一概念主要有几个原因：这一定义应包括公司和其他企业管理风险的几个基本概念，并可以应用于各种组织、行业和部门。它直接针对企业目标的实现。此外，这一定义应为定义企业风险管理的有效性提供一个基础。上述基本概念详细论述如下：

1．一个过程

企业的风险管理并不是一个事项或环境，而是渗透于企业各项活动中一系列行动。这些行动普遍存在于管理者对企业的日常管理中，是企业日常管理所固有的。一些人认为，企业风险管理对企业的各项活动而言是多余的，是企业必

须承担的一个负担，但COSO 的讨论稿则并不这样认为。但有效的企业风险管理仍旧需要企业各管理层不懈的努力。

例如，风险评估要求企业不断地努力来建立必要的评估模型并进行必要的分析和计算。但是，这些以及其他的企业风

险管理机制与企业的经营活动是并存的，是由于最基本的商业原因而存在的。当企业风险管理机制成为企业的基础设

施并真正成为企业的一部分时，企业的风险管理会最有效。通过建立风险管理，企业可以直接提高自身的战略执行能力，并提高企业预期和任务的实现能力。

建立风险管理对企业的成本构成同样有重要的影响，特别是在目前大多数企业都面临高度竞争的市场环境的情况下。在现有工序的基础上增加新的工序会增加成本，而通过关注现有的经营过程以及他们对实现有效风险管理的贡献，并

将风险管理整合到企业的基本经营活动之中，一个企业就能够避免不必要的工序和成本。并且，将风险管理整合到企

业日常的经营过程中有助于管理者抓住企业发展的新机遇。

2．受人的影响

企业的风险管理会受董事会、管理层和其他人员的影响，风险管理是通过组织内的人来完成的，是通过人的所做和所说实现的。是企业内的人制定企业的任务/预期，战略和目标，并实施企业的风险管理机制。同样，企业风险管理也影响人的行动。企业风险管理要认识到人对事物的理解、沟通或执行并不总是一致的。企业中的每个人都有不同的背

景和技术能力，都有不同的需求和优势。这些因素都会影响企业的风险管理，也会受风险管理的影响。每个人的出发

点都不同，这会影响他们对风险的确认、评估和反应。企业风险管理就是要提供了一个机制，帮助人们从企业总体目

标的角度认识风险。企业的员工必须了解他们自己的职责和权限。因此，除了要明确员工的职责和企业的战略和目标

之间的联系之外，还要明确员工的职责和他们履行职责的方式之间的联系。__一个组织的员工包括董事会成员、管理

者和其他人员。尽管企业的董事主要负责监督，但是他们同时也向管理者提供指导，核准企业的战略、某些活动和政策。因此，董事会是企业风险管理的重要组成部分之一。

3．可应用于企业战略的制定

一个企业要确定其预期或任务，并制定其战略目标。企业的战略目标是企业最高层次的目标，它与企业的预期和任务相联系并支持预期和任务的实现。一个企业为实现其战略目标而制定战略方案，并将战略方案分解成相应的目标，

再将目标层层分解到企业的各业务部门、行政部门和生产线。在制定企业的战略方案时，管理者应考虑与不同的战略

方案相关的风险。

4．应用于整个企业

为使企业的风险管理获得成功，一个企业必须从全局，从企业总体层面上考虑企业的活动。企业的风险管理应考虑组织内所有层面的活动，从企业总体的活动（如战略计划和资源分配）到各业务部门的活动（如市场部、人力资源部），到各业务流程（如生产过程和新客房信用审核）等等。企业风险管理还可用于特定项目和新的行动计划，尽管该项目

或计划可能在企业的管理流程或组织流程图中尚无明确的定位。企业风险管理要求企业以风险组合的观点看待风险。

这会要求企业内负责各业务部门、行政部门、生产流程或其他活动的管理者对本部门的风险进行评估。这些评估可以

是定量的，也可以是定性的。企业的高级管理者应以一种组合的观点看待企业内每个下级层面的风险，以决定企业总

的风险组合是否与企业的风险偏好相对应。管理者应以总体的组合观来考虑相关风险。对相关的风险应予确认并采取

措施使承担的风险落在企业风险偏好的范围内。对企业内部每个单位的风险而言，可能都落在该部门的风险容忍度的

范围内，但从总体来看，合并后的风险可能超过了企业总体的风险偏好。企业总的风险偏好应通过对特定目标确立相

应的风险容忍度的方式在企业内部向下贯彻。

5．风险偏好

风险偏好是指一个企业在追求价值最大化的同时所愿意接受的风险的数量。企业通常采用定性的方法分析风险偏好，将风险偏好分为高、中、低三类；或者采用定量的方法分析风险偏好，反映出企业的成长性、收益性和风险目标，并

在三个目标之间进行平衡。风险偏好与企业的战略直接相关。在制定战略时应考虑企业的风险偏好，并将战略的预期

收益与企业的风险偏好联系起来考虑。不同的战略会给企业带来不同的风险，在战略制定时应用风险管理，其目的是

帮助管理者选择与企业的风险偏好相一致的战略。企业的风险偏好指导企业的资源配置。管理者在各业务部门间分配

资源时应考虑企业的风险偏好和各个业务部门为取得预期的收益率所采用的战略。管理者应将企业的风险偏好与企业

的组织结构、人员和业务流程联系起来考虑，并应建立对风险有效反应和监督的必要的硬件设施。

风险容忍度是与要实现的目标相关的偏差的可接受程度。在确定某一特定的风险容忍度时，管理者应考虑相关目标的相对重要性并将风险容忍度与企业的风险偏好联系在一起。在风险容忍度的范围之内经营更能够保证企业所承受的

风险在其风险偏好的范围内。反过来，就能够对企业目标的实现提供更高程度的保证。

6．提供合理保证

设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业目标的实现上提供合理的保证。如果企业的风险管理有效，董事会和管理者在以下几个方面得到合理的保证：

－了解企业战略目标实现的程度；

－了解企业经营目标实现的程度；__－企业报告的可靠性；

－相关的法律和法规遵守的情况。

“合理保证”反映了“不确定性和风险都是与未来相关，而未来是没有人可以确切地预测的”这一思想。这种局限性的

其他原因包括：人们在进行决策时的判断可能出错；对风险反应的决策和所建立的控制需要考虑成本效益原则；由于人们的简单失误或错误可能导致的企业破产；可能由于两个或多个人的串通而绕过控制；管理者可能忽视企业的风险管理决策等等。这些限制使得董事会和管理者无法在企业目标实现方面得到绝对保证。

7．目标的实现

有效的风险管理应该能够为企业目标的实现提供合理的保证，包括报告的可靠性、合法合规性目标等等。这两类目标的实现都是在企业的控制范围内，其实现依赖于相关活动执行的好坏。但是，战略目标和经营目标的实现并不总是在企业的控制范围内。对于这两类目标，企业风险管理只能合理保证管理者和董事会从宏观上及时了解企业目标实现的进度。

（三）企业风险管理的组成要素

根据管理者经营的方式划分，企业风险管理包括八个相互关联的组成要素，这八个要素渗透于企业管理的过程之中，包括：

1．内部环境

企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。内部环境影响企业战略和目标的制定、业务活动的组织和风险的识别、评估和执行等等。它还影响企业控制活动的设计和执行、信息和沟通系统以及监控活动。内部环境包含很多内容，包括企业员工的道德观和胜任能力、人员的培训、管理者的经营模式、分配权限和职责的方式等。董事会是内部环境的一个重要组成部分，对其他内部环境的组成内容有重要的影响。而企业的管理者也是内部环境的一部分，其职责是建立企业的风险管理理念、确定企业的风险偏好，营造企业的风险文化，并将企业的风险管理和相关的行动计划结合起来。让企业所有员工了解企业的风险管理理念有利于提高雇员确认和有效管理风险的能力。风险管理理念是企业对风险的信念，是企业选择处理其活动和风险的方式。它反映了一个企业期望从企业的风险管理获得一定的价值。这一理念还会影响企业风险管理要素的应用方式。管理者应将其风险管理理念通过政策说明书和其他沟通方式向企业的员工宣传。更重要的是，管理者不应仅仅是在纸面上强调风险管理理念，还应在每天的行动中贯彻执行。风险偏好由企业的管理者设定，董事会复核，是企业制定战略的一个控制指标。通常为了实现某一个预定的增长或收益目标，企业可以制定许多不同的战略，而每一个战略都具有不同的风险。在战略制定过程中，风险管理有助于管理者选择与企业的风险偏好相一致的战略方案。管理者期望将企业的组织结构、人员、生产过程与硬件设施整合在一起，使得在战略的成功执行的同时将风险控制在风险偏好的范围内。风险文化是企业员工共同的态度、价值观和实务操作程序的组合，表明企业在其日常活动中看待风险的方式。对于许多公司而言，风险文化来自于企业的风险理念和风险偏好。对那些不能明确界定其风险理念的企业，其风险文化的形成可能是随机的，而导致一个企业内存在明显不同的风险文化，甚至在一个业务部门、行政部门中都有可能存在明显不同的风险文化。

2．目标制定

根据企业确定的任务或预期，管理者确定企业的战略目标，选择战略方案，确定相关的子目标并在企内层层分解和落实，各子目标都应遵循企业的战略方案并与战略方案相联系。在能够确定对目标的实现有潜在影响的事项之前，管理者就应确定企业的目标。而企业风险管理就是提供给管理者一个适当的过程，既能够制定企业的目标，又能够将目标与企业的任务或预期联系在一起，并且这些目标还与企业的风险偏好相一致。企业的目标可以分为四类：－战略目标是企业的高层次目标，与企业的任务和预期相联系并支持企业的任务和预期的实现。

－经营目标是指企业经营的效率性和效果性，包括经营业绩目标和盈利能力目标，由于管理者对企业结构和经营的不同选择，各企业的经营目标也不尽相同。

－报告目标指企业报告的有效性，包括企业内部和外部的报告，既包括财务信息，也包括非财务信息。

－合法性目标是指企业符合相关的法律和法规。企业目标的这种分类可以使企业的管理者和董事会注意企业风险管理的不同方面。企业的某一个特定目标可能不仅仅属于某一类目标。企业的这些目标既相互区别但又相互重叠，可以明确企业的不同需要，并且可以分派给企业的某一个执行官作为其直接职责。这种分类还可以区分企业不同类别目标的期望之间的区别。某些企业还有另一类目标――“资源的安全”，有时也叫“资产的安全”。从广义上看，这一目标是防止企业资产或资源的流失，这种流失可以是由于偷窃、浪费、经营的无效性，也可以是由于企业商业上简单的错误决策（如以过低的价格出售产品、没有留住企业的关键员工、没有阻止对本企业专利权的侵害行为，或者是出现未预期的负债等等）所引起的流失。对某种报告目的而言，这种广义的资产安全类目标可能是一个狭义的定义，此时的资产安全概念可以仅仅指预防或及时发现对企业资产的未经授权的购买、使用或处置。

3．事项识别

管理者意识到了不确定性的存在，即管理者不能确切地知道某一事项是否会发生、何时发生或者如果发生其结果如何。作为事项识别的一部分，管理者应考虑会影响事项发生的各种企业内外部的因素。外部因素包括经济、商业、自然环境、政治、社会和技术因素等，内部因素反映出管理者所做的选择，包括企业的基础设施、人员、生产过程和技术等事项。一个企业事项识别的方法可以包含不同的技术及其与相应的工具的组合。事项识别技术既针对过去，又针对未来。针对过去的事项和趋势的识别技术主要要考虑类似支付错误的历史、商品价格的变化和浪费时间的突发事件（Lost-time accidents）等事项，而针对未来风险的技术则主要考虑不断变化的人口统计资料、新市场和竞争者的行为等事项。将潜在的事项进行分类对管理者而言是非常有用的。通过在企业内各水平层面上对事项进行汇总、在营运部门内部对事项进行垂直地汇总，管理者能够对事项之间的相互关系有一个了解，这些信息也可以作为风险评估的基础。潜在的事项可能对企业有正面的影响、也可能有负面的影响或者两种影响同时存在。对企业有潜在负面影响的事项是企业的风险，要求企业的管理者对其进行评估和建立反应方案。因此，风险的定义就是，某一事项将要发生的可能性及其对企业目标的实现造成负面影响的可能性。对企业有潜在正面影响的事项则是企业的机遇或者可以弥补风险对企业的负面影响。机遇可以在企业战略或目标制定的过程中加以考虑，以制定有关行动抓住机遇。可能弥补风险对企业负面影响的事项则应在管理者对风险进行评估和反应的阶段予以考虑。

4．风险评估

风险评估可以使企业了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估――风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。对风险发生的可能性和影响的估计经常需要使用从过去的可观察事项得到的数据，这比没有任何数据的、完全的主观估计要客观得多。根据企业自己的经验在企业内部产生的数据带有较少的人的主观偏见，能够得到比外部数据更好的结果。但是，即使是以内部数据作为主要的资料来源，外部数据仍能用作一个检查标准或者改进分析。当使用过去数据对未来进行预测时使用者必须小心，因为影响过去事项的有关因素可能会随着时间的推移而改变。一个企业风险评估的方法通常是定量方法和定性分析技术的组合。当风险本身无法量化时，或者量化评估所要求充足的可靠的数据实际不可获得或者数据获得或分析不符合成本效益原则时，管理者通常会采用定性的分析技术。定量的分析技术通常更加精确，一般用于更为复杂多变的活动，作为定性分析的补充。一个企业不需要在每个业务部门都使用同样的评估技术。相反，对评估技术的选择应反映出对精确性的需要和该业务部门的文化。在任何情况下，各业务部门所使用的评估技术应有利于企业在整个企业的范围内对风险的评估。在衡量目标的实现程度时，管理者经常使用业绩计量指标。当考虑某一风险对实现某一特定目标的潜在影响时，使用这些计量指标同样有效。管理者可以评估各事项之间的关系，因为一系列相互关联的事项结合起来会使得事项的发生概率或事项的影响发生重大变化。虽然一个单一事项的影响可能很小，但是这样一系列事项则可能对企业造成重大影响。各潜在事项之间可能并不直接相关，这时管理者可以分别对其进行评估，但是某些风险可能在企业的多个业务部门出现时，管理者可以将所确认的风险归为一类进行评估。通常一个潜在事项结果是一个可能的范围值，管理者应将其作为制定风险反应方案的基础。通过风险评估，管理者可以了解潜在事项在整个企业内对企业的正面和负面的影响，单个事项或某类事项对企业的影响。管理者通常只趋于关注中短期的风险，但风险应在企业战略和目标的前提下进行评估。由于战略方向和目标的某些要素涉及较长时期，管理者因而应从长期的角度认识风险，而不能忽视远期会影响企业的风险。首先，应对企业的固有风险进行评估。固有风险是指管理者在没有采取任何会改变风险发生的可能性或影响的管理措施的情况下企业所面临的风险。一旦确定了对固有风险的风险反应方案，管理者就可以使用风险评估技术确定企业的残留风险。残留风险是指管理者采取了有关风险管理措施后应存在的风险。

5．风险反应

管理者可以制定不同风险反应方案，并在风险容忍度和成本效益原则的前提下，考虑每个方案如何影响事项发生的可能性和事项对企业的影响，并设计和执行风险反应方案。考虑各风险反应方案并选择和执行一个风险反应方案是企业风险管理不可分割的一部分。有效的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险容忍度范围之内的风险反应方案。风险反应可分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或者两者同时减少。共担风险是指通过转嫁或与他人共担一部分风险来降低风险发生的可能性或影响。接受风险则是不采取任何改变风险发生的可能性或影响的行动。作为企业风险管理的一部分，对于每一个重要的风险，企业都应按风险反应的类型考虑所有的风险反应方案，这样有助于风险反应方案的选择，这也是对“现状”提出的挑战。__选定某一个风险反应方案后，管理者应在残留风险的基础上重新评估风险，即从企业总体的风险组合的、预测的角度重新计量风险。管理者可以采

取一定的方法使得每一生产部门、行政部门或业务单位的管理者可以对风险进行复合式的评估以决定该部门的风险反应方案。这种视角可以反映相对于各部门的目标和风险容忍度该部门的风险组合。在对各个独立部门的风险有一个认识的基础上，企业最高层的管理者应以组合的角度看待风险，以决定企业的风险组合与相对企业目标而言的总体的风险偏好是否相符。管理者应认识到一定水平的残留风险总是存在的，这不仅是因为资源的有限性，还因为未来有其内在的不确定性和所有活动的固有限制。

6．控制活动

控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业努力实现其商业目标的过程的一部分。通常包括两个要素：确定应该做什么的一个政策和影响该政策的一系列过程。由于企业的控制活动与企业的信息系统广泛相关，因此，应对企业所有的重要系统进行控制。广义来讲，对信息系统控制活动可以分为两类。一类是一般控制，这类控制应用于大多数应用系统，有助于保证系统的持续地、正确地运行。另一类是应用控制，包括用于控制技术应用的应用软件内部的电脑程序。必要时将信息系统控制与其他手工的过程控制相结合，可以保证信息的完整性、精确性和有效性。一般控制包括对信息技术管理、信息技术基础设施、保密管理和软件的购买、开发和维护的控制。这些技术应用于所有的系统，从主机到客户端（服务端）到桌面电脑环境。信息技术管理控制主要包括明确信息技术的勘漏过程、监督和报告信息技术活动及业务改进的初步行动等等。应用控制的目的是保证数据获得和业务处理过程的完整性、精确性、授权和有效性。依靠信息系统控制运行的有效可以保证当需要时每个应用程序可以在界面上产生有关数据，保证应用程序的有效和有关界面的错误可以很快地被发现。因为每一个主体都有其自己的一套目标和执行目标的方法，因此其子目标、结构和相关的控制活动也会不同。即使两个企业有同样的目标和结构，他们的控制活动可很可能不同。每个企业的管理人员都不同，不同的管理人员在影响内部控制时使用不同的个人判断。而且，控制活动反映了一个企业所处的环境和行业，也会反映企业的复杂性、企业的历史和文化。

7．信息和沟通

来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通，包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换，如客户、供应商、行政管理部门和股东等。企业内部各个管理层都需要信息来帮助识别、评估风险和对风险进行反应，以及进行经营并实现企业的目标。相对于某一类或几类目标，某一批信息是有用的。企业的信息来自于各个方面，包括内部和外部的信息、量化的和非量化的信息，以使得企业的风险管理可以对现实世界中不断变化的条件及时作出反应。将大量的信息进行处理，提炼出或指导行动的信息是企业管理者所面临的一个挑战。解决这一问题的方法是建立一个信息系统底层结构来确认、捕捉、处理、分析和报告相关信息。这些信息系统通常是电脑系统，但也包括手工录入或人机界面。因此，这些信息系统经常是指处理企业相关业务产生的内部数据的系统。长期以来信息系统是用来支持企业的商业战略。当业务需要变化和有关技术为企业获得战略优势提供新的机会时，这一地位就显得更为重要。__为支持有效的企业风险管理，一个企业会捕捉和使用历史和现在的数据。历史数据使企业能够将实际业绩与目标、计划和期望相比较，能够更加深入了解企业在不断变化的环境下是如何生存的，使得管理者确认相关性和趋势并预测未来的业绩。历史数据还能够对需要管理者注意的潜在事项提早提出警告。现在或现状的数据使企业能够评估在某一特定时点所面临的风险并将其控制在风险容忍度范围内。现状数据使得管理者可以实时地了解一个过程、职能部门或单位现存的固有风险和差异的大小。这对了解企业的风险组合提供了一个视角，使得管理者能够在必要时改变企业的活动以满足企业的风险偏好。

信息是沟通的基础，沟通则必须满足各部门和个人的要求，以使他们能够有效地履行其职责。最重要的沟通渠道之一是高级管理者和董事会之间的沟通。管理者必须使董事会了解关于企业业绩、发展、风险管理执行和其他相关事项和问题的及时信息。沟通越畅通，董事会在执行其监督职能、重大问题的宣传媒介职能和提供建议、咨询和指导职能时才会越有效。反之，董事会也应向管理者传递其所需要的信息并进行反馈和指导。管理者应提供特定的或直接的沟通渠道说明对员工的行为预期和各自的职责。应包括对企业风险管理原理和方法以及员工权责分配的清晰的说明。对于风险管理过程和程序的沟通应与企业预期的风险文化相结合，并作为企业风险文化的基础。此外，信息的列示会直接影响对信息的解释和对相应的风险或机遇的看法，因此，对于沟通应有一个适当的架构。沟通应使企业的员工了解有效地企业风险管理的重要性和相关性，了解企业的风险偏好和风险容忍度，并在企业内执行、设计一个统一的风险用语并向员工说明他们在影响和支持企业风险管理要素中的地位和职责。

沟通渠道还应该保证企业员工能够在各业务部门、业务流程或职能部门间进行风险信息的沟通。大多数情况下，企

业内正常的报告路径一般是沟通的适当渠道。而在某些情况下，需要一个单独的信息沟通途径作为防止失败机制，而为一途径在正常情况下是不用的。在所有的情况下，让企业的员工了解企业内并不存在对报告相关信息的报复是很重要的。外部的沟通渠道能够为企业的产品或服务的设计或品质提供非常重要的信息。管理者应将企业的风险偏好和风险容忍度与客户、供应商和合伙人的风险偏好和风险容忍度联系起来考虑，以保证不会通过企业的业务活动给企业带来太多的风险。外部相关方的信息经常会为企业风险管理的运行提供重要的信息。

8．监控

对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控――持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内各管理层面和各部门持续得到执行。持续监控是对企业日常的、重复的经营活动的监控，在实时的基础上进行，是对不断变化的环境的动态地反应，应在企业内部彻底地贯彻和执行。如果执行得好，持续监控比个别评估更为有效。由于个别评估是在事实发生之后才进行评估，而持续监控则会在问题一发生就很快被发现。虽然如此，许多使用持续监控的企业仍旧进行风险管理的个别评估。个别评估的频率是企业管理者的主观判断问题。在决定个别评估的频率时，管理者应考虑来自于企业内部和外部事项的变化的性质和程度以及相应的风险、企业员工进行风险反应和相应控制的能力和经验、持续监控的结果等因素。通常，将持续监控和个别评估进行一定的结合使用会保证企业风险管理长期的有效性。对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。企业风险管理的内容没有记录并不意味着风险管理无效或无法对风险管理进行评__估。但是，适当程度的记录通常会使对风险管理的监控更为有效果和有效率。当企业管理者打算向企业外部相关方提供关于企业风险管理效率的报告时，他们则应考虑为企业风险管理设计一套记录模式并保持有关的记录。

所有风险管理失效都会影响企业确定和执行战略的能力，影响企业实现其既定目标的能力。对此，应将企业所有的风险管理失效都报告给适当的管理层，以保证其采取必要的措施以纠正风险管理失效。企业所需沟通的事项的性质根据各人处理各种情况的权限和监控者的查漏活动的不同而不同。这里“失效”是指企业风险管理过程中值得注意的某一种情形。因此，失效可能代表一种预期的、潜在的或真实的缺陷，或者代表加强风险管理过程的一个机会，以增加企业目标实现的可能性。在经营活动中产生的信息通常通过正常的渠道进行报告。对于敏感性信息的报告也应有其他的沟通渠道，如非法活动或不正当的活动。向企业内适当的管理层提供关于风险管理失效的必需的信息是非常重要的。企业应建立一个协议来识别某一管理层决策有效所需要的信息。这些协议应反映一个基本原则，即一个管理者在收到实现其特定目标的有关信息外，还应收到影响其权限范围内人员的行动或行为的所有信息。

（四）风险管理要素和企业目标之间的关系

企业的风险管理框架包括四类目标和八个要素。四类目标分别是战略目标、经营目标、报告目标和合法性目标。八个要素分别是内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控，是企业目标实现的保证。它们相互之间存在直接的关系，可以用一个三维矩阵图来表示（如图1 所示）。可以看出，四个栏分别代表一个企业的四类目标，并不是企业的某个部分或部门。因此，例如，当考虑与报告相关的那类目标时，需要关于企业经营的大量信息，但是在这种情况下主要关注的是风险管理模型右手边中间这一栏——报告目标——而不是经营类目标。

图 2 将立方体中水平各行的内容进行扩展，说明各风险管理要素的主要内容，其中每一要素也就代表一个业务流程。

（五）有效性

企业风险管理是一个过程，企业风险管理的有效性则是某一时点的一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理八要素设计和执行是否正确的评估基础上的一个主观判断。为使风险管理有效，企业的风险管理框架必须包括所有的八个要素，并得到贯彻执行。但是，这并不意味着每一要素在不同的企业间，甚至是不同企业的同一管理层次上，都必须执行同样的功能。因为不同的要素之间可能存在着作用的相互抵消。由于企业风险管理的各种技术能够为企业不同的经营意图服务，因此，相对于某要素的技术也能够服务于通常是另一要素所体现出来的经营意图。此外，对某一特定风险的风险反应程度可能不同，以至于互补的风险反应模式可能各自对企业的影响都有限，合并后仍可以保持在风险容忍度的范围内。

这里所讨论的概念可以应用于所有企业，无论其规模。某些中小企业所采用的要素的内容与大企业可能不同，但企业的风险管理仍旧有效。对于每个要素的方法论，小企业采用的方法与大企业相比并不正式和结构化，但是，无论企业的规模，其风险管理都应包括本文所讲的基本概念。

企业风险管理可以从一个企业的总体来认识，也可以从一个单独的部门或多个部门的角度来认识。即使是站在某一特定的业务部门的角度来看待风险管理，所有的八要素也都应作为基准包含在内。

一个公司可能采用联营企业、合伙或其他的投资形式，其经营可能不在母公司的直接控制之下。为保证企业风险管理的有效性，母公司应从公司战略和目标的角度考虑与被投资方

一起充分应用风险管理八要素的程度。

（六）包括内部控制

内部控制是企业风险管理不可分割的一部分。这里所说的企业风险管理框架包括内部控制，为企业的管理提供了一个更强的概念基础和工具。在《内部控制——整体框架》中已经对内部控制进行了定义和描述。由于《内部控制——整体框架》是现有的规则、法规和法律的基础，因此本讨论稿保留其对内部控制的定义。整个《内部控制——整体框架》报告都是本框架的参考。

（七）企业风险管理的局限性

有效的风险管理可以帮助管理者实现企业的目标，但是，无论企业风险管理设计得如何完善、运行得如何有效，它也不能保证一个企业永远成功。企业目标的实现还要受管理过程内在局限性的影响。政府政策或项目的改变、竞争对手的行动或经济条件都超出了管理者的控制范围。人的决策可能会出错，因而企业很有可能由于人的简单的错误或过失而破产。而且企业风险管理也不能把一个本来就很差的管理者变好。此外，企业员工两人或多人合谋可以绕过控制，管理者也有权利绕过企业的风险管理过程，包括风险反应和风险控制过程等。企业风险管理的设计必须反映企业资源稀缺的现实，而且风险管理的收益必须对应风险管理的成本。因此，虽然企业风险管理可以帮助管理者实现企业的目标，但它并不是一颗万灵丹。

（八）各管理层在企业风险管理中的地位和职责

一个组织的每个人在企业风险管理中都负有责任。

1．董事会

企业的管理者向董事会负责，而董事会向管理者履行治理、指导和监督职能。通过选举管理者，董事会在界定其所期望的员工的操守和价值观时起主要作用，并能够通过监督活动证实其对员工的预期。同样，通过在某些关键的决策中保留其权限，董事会在制定战略、确定企业高层次的目标和进行广义的资源配置时起到一定的作用。董事会对企业的风险管理负有监督职责，主要通过以下方式实现其职责：

－了解管理者在企业内部建立有效的风险管理的程度；

－获知并认可企业的风险偏好；

－复核企业的风险组合观并与企业的风险偏好相对照；

－评估企业最重要的风险并评估管理者的反应是否适当。

董事会是企业内部环境的一个组成部分，必须有保证风险管理有效的必要的组织和对风险管理的关注。

2．管理者

企业的首席执行官对企业的风险管理最终负责，即拥有企业风险管理的“所有权”。与企业内其他员工不同，首席执行官在企业的高层确定风险管理的基调，而这会影响企业内部环境中的员工操守和价值观及其他因素。在一个大公司中，首席执行官通过向高级管理者分派领导权和提供指令并复核其管理企业的方式等来履行其职能。高级管理者会进一步将制定更具体的风险管理政策和程序的责任分派给负责各部门运行的员工。而在一个小企业，首席执行官对风险管理的影响则更为直接。他们是企业的管理者，但同时也是企业的所有者。在任何情况下，？对其下层的职责，管理者也是其职责范围内的一个首席执行官。此时各职能部门的领导者也是很重要的，如法律咨询部？、财务部、人力资源部和信息技术部，他们各自的监督活动与企业经营和其他部门的活动到处都存在着交叉。

3．风险管理者

一个风险管理者是指某一组织内的首席风险管理者或首席风险管理经理，他与企业内其他管理者一起在他们的职责范围内建立并维护有效的风险管理框架。首席风险管理经理也可以担当监督风险管理进度和帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责，并可以成为企业风险管理委员会的一员。

4．内部审计人员

内部审计人员在企业风险管理的监控中占有重要的地位，这一职责作为其正常职责的一部分，其业绩的质量依赖高级管理者、下级管理者或部门执行人员的特殊要求。他们可能通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会。

5．其他员工

从某种程度上讲，企业风险管理是企业内每一个员工的责任，因此，风险管理应是企业内每一个员工的工作手册的一部分内容。本质上，企业所有的员工都应提供风险管理所需的信息或者采取必要的措施管理风险。同样，企业所有的员工都有责任向上报告风险，如经营中存在的问题，未遵守有关的行为规则的情况、其他违反政策的行为或非法活动。许多企业外部相关方也有助于企业目标的实现。如外部审计人员，从一个独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核，直接有助于企业目标的实现。同时，外部审计人员还可以向管理者和董事会提供履行其职责有用的额外信息，间接地为企业目标的实现作出贡献。其他向企业提供风险管理的有用信息的相关方还包括行政管理部门、客户，其他与企业进行交易的各方，财务分析师、债券承销商和新闻媒介等等。但是，外部的各相关方并不对企业的风险管理负责。

（九）本报告的用途

企业根据本报告所采取的行动还应考虑下述各方的地位和利益：

1．董事会成员

董事会成员应该与企业的高级管理人员讨论企业风险管理的状况并在必要的时候进行监督。董事会应该保证企业风险管理体制能够为董事会提供与企业战略和目标相关的最重要的风险的评估，包括企业的管理者采取了什么行动和董事会在监督企业风险管理框架时是如何运作的。董事会应该从企业的内部审计人员、外部审计人员和咨询顾问外获得有关的信息。

2．高级管理人员

本研究建议企业的首席执行官应评估企业风险管理的适应性。使用本框架，CEO 就可以与企业的其他主要经营和财务主管一道，注意企业内需要注意的地方。使用一定的方法，CEO 可以将企业的业务部门的负责人和主要职能部门的员工汇集到一起，讨论对企业风险管理框架适应性和有效性的最初评估。无论讨论的形式如何，风险管理最初的评估应决定企业是否需要对企业风险管理框架进行进一步的、更广泛的评估以及应如何进行评估。最初的评估还应该保证企业再造的监控程序确实存在、确实有效。企业花费在风险管理评估上的时间是企业的一项投资，而且是一项有高额回报的投资。

3．企业内其他成员

企业的管理者和其他员工应该考虑他们在企业风险管理框架中应履行何种职责，并与其上层管理者讨论有关思想以加强企业的风险管理。内部审计人员则应该考虑其工作中关注企业风险管理的程度。

4．立法者

每个企业对企业风险管理的期望由于两个方面的影响而千差万别。首先，由于对企业风险管理框架的硬件设施构建的不同认识，使得企业的风险管理框架各有不同。一些观察家认为企业风险管理将会，或者应该会防止企业的经济损失，或者至少是防止企业破产。第二，即使对企业风险管理能够做什么、不能做什么以及“合理保证”概念有一个共同的认识，对这概念的含义和应该如何应用这些概念也存在许多不同的观点。为了使各方对企业风险管理的认识及其作用达成共识，就应该对企业风险管理框架及其局限性达成共识。本框架的提出就是出于这一考虑。

5．专业机构

规则制定机构和其他专业组织已经提供了企业理财、审计和相关问题的指南。本框架会使用这些机构颁布的有关准则和指南。这样可以减少概念和术语的多样性，而一定程度地减少概念和术语的多样性对企业内外部各方都是有利的。

6．教育机构

本框架应该是理论研究和分析的一个题目，以寻找未来改进的方向。如果这个报告作为企业风险管理通用的理论基础被广泛接受，那么其中的概念和术语就可以在学校的课本中找到。

（十）报告的组织

这个概览和框架报告的正文一起构成了企业的风险管理框架。本概览为企业的CEO 和其他高级执行官、董事会成员和企业外部的立法者提供了一个高度概括的说明。而框架报告的正文部分则对企业风险管理的定义、原则和概念进行更为广泛和深入的讨论，为企业及其他组织中各层次管理者决定如何改进企业的风险管理提供了指导，并能够帮助企业的管理者和其他人员评估企业的风险管理提供帮助。

1、企业风险管理的相关性

章节摘要：企业风险管理被运用于策略制定，并贯穿于实体的各项活动中。它使得管理部门在面对不确定性的时候

能够鉴别，评估并处理风险，同时有助于价值增值与保值。企业风险管理能提供更高的能力，来调整风险偏好与策略，把风险与增长及回报联系起来，加强风险反应决断力，最小化经营上的突发状况和损失，鉴别并处理跨企业风险，对复合性风险提供整体化反应，把握机会，合理化资本投资。企业风险管理的一个潜在假定就是，每一个实体的存在都是为其风险承担者提供价值，不论这个实体是盈利性的，非盈利性的还是政府机构。所有实体都面临着不确定性，而管理部门的挑战就是判定该实体在努力增加风险承担者价值的同时，准备承受多大程度的不确定性。不确定性既提供了风险也提供了机遇，既有可能侵蚀价值也有可能增加价值。企业风险管理就是给管理部门提供了一个体制，可以有效地处理不确定性及相关风险、机遇，从而提高增加价值的能力。

不确定性

诸如全球化、技术、监管、重组、市场变化及竞争等因素产生了不确定性，企业正是在这样的环境下经营。不确定性来源于不能精确地对潜在事件发生的可能性及相关结果进行判断。不确定性还因实体的战略性决策而产生。例如，一个实体的增长战略是基于向另一个国家扩展经营业务。这一选定的战略就产生了与该国家的政治、资源、市场、交通、人力资本及成本相关的风险和机遇。

价值

价值是由于管理部门在所有活动中的决策而产生、保持或被侵蚀的，这些活动涉及到从战略的制定至日常的企业经营。决策中固有的一点就是识别风险和机遇，要求管理部门（注）考虑内在和外在环境的信息，并根据变化着的环境来部署宝贵的资源和重新调整企业行为。企业价值是通过部署资源（包括人力、资本、技术及品牌）而产生的，因此获得的利润要大于使用的资源。实体通过专注于人力、工序、系统和行为创造持续性价值而保值的，包括产品质量，生产能力，顾客满意度及其它一些东西。价值会由于根据风险和机遇的不完全或不充分信箱行事，或由于拙劣的战略或执行而受到侵蚀。当管理部门的战略和目标在增长与回报及相关风险，和追求实体目标过程中对资源的效率且有效果的部署之间突然得到了一个最优平衡，价值就达到了最大化。企业风险管理则便于对市场需求、无效率和其它事件进行识别，那些事件要么会产生创造价值的机会，要么会对战略及实现实体的目标带来风险。当风险承担者获得可确认的收益，实体就实现了价值，从而风险承担者实现价值。例如，当股东从股票增值中确认价值产生时，他们就实现了价值。对政府实体而言，在选民以可接受的成本确认收到有价服务时，价值得以实现。非营利性实体的风险承担者则是在确认收到有价社会福利时实现价值。企业风险管理就是便于管理部门既能够创造可持续性价值，又能把所创造的价值传送给风险承担者。

实体价值的计量

对价值的一种计量是该实体对其风险承担者的相对价值，效用或重要性。许多公司管理部门习惯于用财务指标来考虑价值，如经济利润、股东附加值、风险调整成本回报或整体股东回报。这些财务指标有一个基本的假定，就是价值产生前资本成本必须能得到弥补。然而，财务指标并不总是价值的唯一代表。对非盈利性机构的价值计量就是和它们所试图提供的社会福利联系在一起的。例如，一家为老年公民提供援助的非盈利性机构是根据对可接受的高质量、长期健康照顾的获得性来衡量价值的。

企业风险管理的优点

调整风险偏好与战略——风险偏好，在广泛的基础层面上，是公司或其它实体在追求目标时所愿意接受的风险程度。管理部门首先是在评估战略性选择时考虑实体的风险偏好的，然后是在根据选定的战略进行调整的目标设定，以及在发展机制来管理相关风险时考虑。

例如，一家制药公司关于其品牌价值有着较低的风险偏好。因此，为保护其品牌，该企业会坚持广泛调查来确保产品的安全性，并定期在早期开发阶段投入大量资源以支持品牌价值创造。

联系增长、风险和回报——实体是把风险视为生产和保持价值的一部分而接受风险的，同时期望回报与风险相匹配。企业风险管理提供了更强大的识别和评估风险的能力，并针对增长和回报目标确定可接受的风险水平。例如，保险公司在战略性规划方面的管理同时产生了经营单元规划以及增长与回报规划。公司识别和判断完成的风险，选择反应方式，调整经营单元规划，并在单个经营单元和全公司目标的基础上配置资本。

改善风险反应决策——企业风险管理提供在各种风险反应选项（即风险回避、减少、分配和接受）中进行严格的识别和选择。例如，一家使用公司所有并经营的交通工具的公司，其管理部门确认运输过程中的固有风险，包括交通工具的损坏和人员受伤成本。可利用的选项包括通过有效的司机招募及培训来降低风险，通过运输外部化来规避风险，通过保险来转移风险，或者索性接受风险。企业风险管理为这些决策都提供了方法和技术。经营偏差和损失最小化——实体已增强了识别现在事件、评估风险并确立反应方式的能力，从而减少了偏差的发生及相关成本或损失。例如，制

造公司依据平均水平来追踪生产部件和设备损坏率。该公司运用复合性标准评估损坏的影响，包括修理时间、无法满足顾客的需要、雇员安全、预定修理相对于非预定修理的成本，以及对据此设定维护安排的反应。

识别和管理企业范围的风险——每一个实体都会面临无数的风险，并影响到机构的不同部门。管理部门不仅需要处理单个风险，还要知道它们相互间的影响。例如，银行在与企业的交易活动中面临大量风险，管理部门就开发了一项

信息系统，可以分析来源于其它内部系统的交易和市场数据，并同时依据相关的外生信息，而提供对所有交易活动风

险的总体看法。该信息系统允许深入到各个层次，即部门、顾客或竞争对手、贸易商及交易，并在已确立的分类中根

据风险承受能力量化风险。该信息系统使银行能够把曾经使完全不相关的数据联系起来，从而运用总括的及有目的的

观点来有效地对风险做出反应。

对多重风险提供整体反应——商业过程带有许多固有风险，企业风险管理可以为处理这些风险提供整体的解决办法。例如，批发分销商面临的风险有供应过量或不足的形势供应来源稀缺，以及过高的购买价格。管理部门根据本公司的

战略、目标及供选择的反应情况来确认和评估风险，并开发了一项涉及广泛的存货控制系统。该系统通过签订长期供

应合同和改善定价方式与供应商结合起来，共享销售和存货信息，推动战略合作，避免缺货和不必要的运输成本。供

应商的职能就是负责补充存货，进一步降低成本。

抓住机会——通过考察所有的潜在事件，而不仅仅是风险，管理部门可以了解特定的事件是如何代表机会的。例如，一家食品公司考察了可能会影响其可持续收入增长目标的潜在事件。在评估事件时，管理部门认定，该公司的主要顾

客正越来越注重健康，并正在改变饮食偏好，这表明对该公司现有产品的需求将来会减少。管理部门对此做出反应，

把目前的生产能力应用于开发新产品，使得公司不仅能够保持来源于现有顾客的收入，还能够吸引更广泛的顾客基础

而获得额外的收入。

使资金合理化——更多关于风险的可靠信息可以使管理部门更有效地评价整体资金需求及改善资金分配。例如，一家金融机构得知新的规章制度，规定如果管理部门不更加有效地计算贷款和经营风险水平及相关资金需求，就要增加（自身）资金需求。该公司按照系统开发成本及附加资金成本的对比对风险进行了评估，并制定了一个高明的决定来

处理这一风险。根据现有的、可调整的软件，该银行开发了更加精确的计算方法，避免了对附加资金来源的需求。

企业风险管理不是不是目的，而是一种达到目的的重要方法。它在实体中并不是孤立运转的，而是管理过程的启动程序。企业风险管理通过向董事会提供关于最重要风险以及怎样进行处理的信息，而与公司治理相关联。它还通过风

险调整指标与业绩管理相关联，并与企业风险管理的一个组成部分——内部控制相关联。企业风险管理有助于实体达

到经营和获利目标，并避免资源浪费；有助于确保有效的报告；还有助于确保实体遵守法律法规，避免声誉受损及其

它后果。总之，它有助于实体达到所期望的目标，并自始至终避免陷阱和偏差。

注：尽管在这里及接下来的讨论中运用的是“管理部门”一词，许多企业风险管理行为都是由非管理人员完成的。

2、框架纵览

章节摘要：企业风险管理使一个过程，是由实体的董事会、管理层及其他员工实现的，被应用于战略设定并贯穿于整个企业。设计该项管理是为了识别可能影响到实体的潜在事件，把风险控制在实体的风险偏好之内，并提供达到关

于实体目标的合理保证。这一定义是广义上的，与经营的方方面面相关。企业风险管理是由八个相互关联的部分组成，这些组成部分充实了管理层经营企业的方式，并与其它管理过程融为一体。它们结合在一起，充当判定企业风险管理

是否有效的标准。

该框架的一个关键目标就是，帮助商业机构和其它实体的管理部门更好地处理达到实现目标时的固有风险。但是，企业风险管理对不同的人有着不同的含义。多种多样的说明和含义阻碍了对企业风险管理的一个通用的理解。那么，

一个重要的目的就是把各种各样的风险管理观念综合成为一个框架，建立一般概念并确认组成部分。设计这一框架是

为了协调不同的观点，并为单个实体评价和增强企业风险管理，为将来创始规划制订机构，以及为进行教育提供一个

起点。

事件与风险

无数内部或外部发生的事件都有可能影响到战略的执行和目标的实现。事件可能有负面影响，也可能有正面影响，或两者兼而有之。可能有负面影响的事件代表风险。因此，风险是事件发生并对目标产生不利影响的可能性。可能有

正面影响的事件会抵消负面影响，或代表机遇。管理部门把机遇引至其战略或目标设定过程，从而系统化行动以抓住

机遇。管理部门通过判断潜在事件的可能影响来评估风险，以执行战略和实现目标。

企业风险管理的定义

企业风险管理的定义如下：企业风险管理是一个过程，是由实体的董事会、管理层及其他员工实现的，被应用于战略设定并贯穿于整个企业。设计该项管理是为了识别可能影响到实体的潜在事件，把风险控

制在实体的风险偏好之内，并提供达到关于实体目标的合理保证。

该定义反映了特定的基本观念。企业风险管理：

是一个过程——它是达到目标的方法，自身不是目的。

由人来实现——它不仅仅是政策、调查和形式，而是涉及到机构中每一层次的人。

应用于战略制订。

应用于整个企业的每一层面和单元，还包括采取在实体层面上对待风险的观点。

设计用来识别可能影响实体的事件，并在实体的风险偏好范围内处理风险。

向实体的管理层和董事会提供合理保证。

准备好在一个或多个独立而又相互重叠的部门实现目标。

该定义之所以如此广泛，是由于以下几个原因。它抓住了公司和其它组织是如何管理风险的基本性的关键概念，为应用于不同类型的组织、产业和部门提供了基础。它直接集中于实现一个特定实体所确立的目标。该定义为明确企业风险管理的有效性提供了一个基础，这将在本章后面讨论。下面一些段落讨论如上列出的基本概念。

一个过程

企业风险管理不是一个事件或环境，而是一系列渗透到企业各项活动的行为。这些行为遍布和内含于管理部门经营业务的方式中。企业风险管理不同于一些评论者的观点，他们认为企业风险管理是附加在实体活动之外的范畴，或者是一个不可避免的负担。这并不是说有效的企业风险管理不需要额外的努力。

例如，在考虑贷款和货币风险时，就需要投入额外的努力来开发所需要的模型，并作一些必要的分析和计算。然而，这些企业风险管理机制是同实体的经营活动盘绕在一起的，并由于一些基本的经营因素而存在。当这些机制深入到实体的基础结构中并成为企业核心的一部分__的时候，企业风险管理是最为有效的。通过在企业风险管理方面的建设，实体可以直接影响自身履行战略和实现展望或使命的能力。

企业风险管理的建设对成本控制也具有重要含义，尤其是在许多公司所面临的高度竞争市场。增加新的独立于已有程序之外的程序会增加成本。通过专注于现有的经营及其对有效的企业风险管理的贡献，并把风险管理与基本的经营活动结合起来，企业可以避免不必要的程序和成本。而且，把企业风险管理建入经营结构有助于管理部门识别并抓住扩大经营的新机遇。

由人实现

企业风险管理是由董事会、管理层及其他员工完成的。它是通过组织中的人及其所做和所说而实现的。是人建立了实体的展望、使命、战略和目标，并适当地运用企业风险管理机制。

类似地，企业风险管理会影响到人的行为。企业风险管理认为，人们并不总是协调地互相理解、交流和办事。每一个人都会带来独特的背景和技术能力，并有着不同的需要和特权。这些现实影响企业风险管理，同时也受其影响。每个人都有独特的参考观念，影响他们识别、评估风险并做出反应。企业风险管理提供了必要的机制，帮助人们根据实体目标的情况理解风险。人们必须了解自身的责任和权力的限制。相应地，在人们的职责和履行职责的方式之间，以及与实体的战略和目标之间，需要存在清晰而紧密的联系。

组织中的人包括董事会，及管理层和其他员工。尽管董事会主要是进行监管，他们也会指引方向并批准战略和特定的交易及政策。这样，董事会就是企业风险管理的一个重要元素。

应用于制订战略

实体设定使命或展望，并确立调整和支持其展望和使命的高层次战略性目标。实体确立战略的目的是实现战略性目标。实体还会设定所希望达到的相关目标，从战略深入到实体经营单元、分支机构和工序。企业风险管理应用于制订战略，在制订时管理部门要考虑相对于备选战略的风险。例如，一项选择是并购其它公司以扩大市场份额。另一项选择则是削减采购成本以实现更高的毛收益率。每一项战略选择都会产生大量的风险。如果管理层选择第一项战略，就得进入新的且不熟悉的市场，竞争对手可能会在本公司现有市场中获得份额，或者该公司没有有效执行此项战略的能力。如果选择第二项战略，所产生的风险包括不得不使用新技术或供应商，或结成新的联盟。在这一层面就要应用企业风险管理技能来决定实体的战略。

应用于整个企业

要成功地应用企业风险管理，实体必须考虑整体活动范围。企业风险管理要考虑组织所有层次上的活动，从企业层

次的活动如战略规划和资源配置，到经营单元的活动如营销和人力资源，再到经营过程如生产和新顾客信用评估。企业风险管理还应用于特殊项目和新开发项目，这些项目可能在实体的组织结构或机构图示中还没有指定位置。企业风险管理要求实体要有风险组合观。这可能牵涉到每一个经营单元、功能、程序或其它活动的管理负责人，为单元开展对风险的评估。该评估可能上定量的也可能上定性的。高层管理者对组织的每一个相继的层次有着组合的见解，就有责任判定实体的整体风险组合是否与其风险偏好相称。管理部门是以实体层面的组合观点来考虑互相关联的风险。（管理部门）需要识别关联风险并依其行动，以把全部风险控制在实体的风险偏好之内。实体中个别单元的风险可能在单元的风险承受能力之内，但加总起来可能会超过作为整体的实体的风险偏好。整体风险偏好在实体中顺次反映为特定目标确立的风险承受程度。在形成组合观的时候，管理部门考虑的是潜在事件，而不仅仅是风险。通过对事件的考虑，管理部门可以明白特定事件是如何具备抵消效果的。例如，利率下降会对实体的资本成本产生有利影响，但对赚取利息的资本会产生不利影响。管理部门可以找出事件之间的相互关系所在，有助于对事件分门别类，便于考察相关风险和机遇。

风险偏好

风险偏好是一个实体在追求价值的过程中所愿意接受的风险数量。实体总是定性地考虑风险偏好，如分为高、中、低三级，或者可以采用定量的方法，反映并均衡增长、回报的目标及风险。风险偏好是与实体的战略直接相关的。在战略设定时考虑，就是一项战略的预期回报应与实体的风险偏好相符。不同的战略将会使实体面临不同的风险。企业风险管理有助于管理部门选择与实体风险偏好一致的战略。实体的风险偏好引导资源配置。管理部门在经营单元之间配置资源，要考虑实体的风险偏好，以及单个经营单元为实现投入资源预期回报的战略。

管理部门在协调机构、员工和程序时，以及在设计有效应对和监控风险的必需的系统之各部分时，要考虑风险偏好。

提供合理保证

设计良好、有效运行的企业风险管理能够为管理部门和董事会提供关于实现实体目标的合理保证。作为有效的企业风险管理的结果，在本章后面也会提到，对实体的每一类目标，董事会和管理部门能获得如下合理保证：他们能了解实体的战略性目标的完成程度；

他们能了解实体的经营性目标的完成程度；

实体的报告是可靠的；

适用的法律法规得到遵守。

合理保证反映了这样一个观念，即不确定性和风险是与没有人可以准确预测的将来相关联的。问题还可能是因为，人们在做决策时的判断是错误的；应对风险的决定和建立控制时需要考虑相关成本效益；出现毛病可能是由于人为失误，比如一些简单的错误；两个或更多的人勾结起来规避控制；以及管理部门有不考虑企业风险管理决策的能力。这些问题使董事会和管理部门不可能有实现目标的绝对保证。

实现目标

在已确立使命或展望的情况下，管理部门建立战略性目标，选择战略，并在整个企业内顺次建立与战略一致和相连的目标。尽管许多目标使某一实体所特有的，但有些目标还是广泛适用的。例如，实际上对所有适用的目标有，在贸易团体及消费者群内获得并保持良好的声誉，向股东提供可以信赖的报告，以及遵守法律法规从事经营。

该框架从四个方面来看待实体目标：

战略性——与高层次目标相关，与实体的使命一致并支持实体使命。

经营性——与有效果且有效率地使用实体资源相关。

报告性——与实体报告的可信赖度相关。

遵从性——与实体遵守适用的法律法规相关。

这种对实体目标的分类使得董事会和管理部门专注于企业风险管理的不同方面。这些相互区别又有重叠的类别——一个特定目标可以归属于不止一个类别——提出了不同的实体需求，而且可能是不同高层人员所直接负责的。该法律还可以把所能期望的与目标的每一类别区分开来。

有些实体使用另一种目标类别，“资源保值”，有时称为“资产保值”。广义上来看，是关于防止实体资产或资源的减损，无论是因为偷盗、浪费、无效率或是经证明仅仅是由于错误的经营决策——比如以过低的价格销售产品，不能留住关键雇员或无法阻止（他人）冒用商标，或是产生为预期负债。这些主要是经营性目标，尽管保值的特定方面可以归属于其它类别。一旦应用到法律或法规的要求，就成为遵从性目标。另一方面，在实体的财务报告中正确地反映资产损失，就代表了报告性目标。当运用在公开报告中时，经常使用的是资产保值的较为狭窄的定义，即关于阻止或定

期查明未经授权获得、使用或处置实体的资产。企业风险管理可期望用来提供实现与报告的可靠性、遵守法律法规相关的目标的合理保证。实现那些类别的目标是处于实体的控制范围之内，并依赖于实体相关的执行效果如何。然而，实现战略性目标，如获得特定生产份额，以及经营性目标，如成功上马一条新生产线，并不总是在实体的控制中。尽管企业风险管理不能防止错误的判断或决策，或可能导致业务无法实现经营性目标的外在事件，它确实增加了管理部门做出更优决策的可能性。关于这些目标，企业风险管理能够合理地确保管理部门，及予以关注的董事会，能及时了解实体接近实现目标的程度。

企业风险管理的组成部分

企业风险管理由八个相互关联的部分组成，源于管理部门经营业务的方式，并与管理过程融合在一起。这些组成部分是：

内部环境——管理部门提出风险的研究并确立风险偏好。内部环境建立实体人员如何看待风险和进行控制的基础。任何业务的核心是置于其中的人——他们的个体本性，包括诚信、道德观和能力，以及人们从事经营的环境。他们是驱动实体及基础的发动机，如何事情都依赖于该基础。

目标设定——目标必须在管理部门识别可能影响其实现的事件之前存在。企业风险管理确保管理部门以适当的程序设定目标，并且所选定的目标支持并与实体的使命或展望一致，同时与实体的风险偏好相符。

事件识别——（管理部门）必须识别出可能会对实体产生影响的潜在事件。事件识别包括识别原因——内在及外在的，这些因素会对潜在事件如何影响战略执行及目标实现产生作用。还包括区分代表风险的潜在事件，代表机遇的潜在事件，以及两者都代表的潜在事件。管理部门识别潜在事件之间的相互关系，并对其分类，是为了在实体内创造并加强一种普遍的风险意识，并形成以组合观来考虑风险的基础。

风险评估——对识别出的风险进行评估，是为了形成一个决定如何对其实施管理的基础。风险是与可能会受到影响的有关目标相关联的。风险是在内部及剩余的基础上进行评估，该评估同时会考虑到风险可能性及影响。一系列可能结果也许会和一项潜在事件相关，管理部门就需要把两者结合起来考虑。

风险反应——管理部门根据战略和目标选择一种方法或一套行为，使所评估的风险与实体的风险偏好一致。（管理）人员识别并评价对风险的可能反应，包括规避、接受、降低和分配风险。

控制活动——建立和执行政策及程序，是为了有助于确保管理部门选择的应对风险（方式）能得到有效实行。

信息和交流——通过以某种形式和时间结构识别、掌握并交流信息，可以使人们能够履行责任。在实体的所有层面都需要信息来识别、评估并应对风险。在更广泛的意义上也需要有效的交流在实体上上下下流动。人们需要接收关于作用和职责的明晰的交流。

监管——整个企业风险管理必须得到监管，而且要有必要的调整。这样，该系统可以充满活力，并在条件保证下转变。监管是通过持续的管理活动，分开的对企业风险管理过程的评价，或把两者结合起来，而实现的。

企业风险管理是一个动态的过程。例如，风险评估驱动风险反应，影响控制活动，激起重新考虑信息和交流或实体监管活动的需求。这样，企业风险管理不是一个系列过程，即一个组成部分只会对下一个产生影响。而是一个多元化的相互作用的过程，即几乎任何组成部__分都能够并将会影响另一个。没有两个实体将会或应该以同样的方式应用企业风险管理。公司及其企业风险管理能力和需求，会因行业及规模、（企业）文化及管理哲学而有很大的不同。这样，尽管所有实体都需要每一个组成部分来维持对其活动的控制，某一公司对企业风险管理框架的应用——包括所采用的工具和技巧，以及企业风险管理的作用和职责的分配——与另一公司总会有很大的不同。

目标和组成部分之间的关系

在实体所努力达到的目标，与代表达到目标所需要的企业风险管理组成部分之间，有着直接的联系。这种关系可以用一个三维图形来描绘，如图2.1 中的立方体所示。四个目标类别——战略性、经营性、报告性及遵从性——由纵栏表示，八个组成部分由横行表示，实体及其单元由模型的第三维表示。每一组成部分“横穿”并适用于所有四个目标类别。例如，来源于内部和外部渠道的财务及非财务信息，这属于信息和交流部分，在战略制订、有效管理业务经营、有效报告和判定实体遵守适用法律中都有所需要。类似地，从目标类别来看，所有八个组成部分与每一类别都相关。以经营效果及效率这一类别为例，所有八个组成部分对其实现都适用，并且重要。企业风险管理与整体企业，或与单个经营单元相关。这一关系由第三维描述，表示子公司、分支机构和其它经营单元。这样就可以专注于模型中的任一部分。比如，要考虑顶部右边后面的部分，它代表与特定子公司的遵从目标相关联的内部环境。应该认识到，四栏代表的是企业目标的类别，而不是实体的部分或单元。这样，在考虑比如说与报告相关的目标类别时，需要了解关于实体经营的广泛信息，但如果是那样的话，要注意的是模型的右中栏——报告性目标——而不是经营性目标一栏。图2.2 扩展

了立方体组成部分行，以显示每一组成部分的关键要素，以及哪些组成部分代表一个过程流。

尽管企业风险管理框架与所有实体相关且适用，管理部门应用企业风险管理的方式却随着实体性质和许多实体特有因素而有很大的不同。这些因素包括实体的经营模式，大体风险，所有权结构，经营环境，规模，复杂性，行业和监管程度，以及其它。当考虑到实体的特有情形，管理部门进行一系列的选择，都要顾及到被展开来应用企业风险管理框架组成部分的过程和方法的复杂性。管理部门可能会在某些经营单元或程序或企业风险管理组成部分中选用复杂的方法和技巧，而在其它地方决定运用更基本的方法。

有效性

尽管企业风险管理是一个过程，其有效性是在某一时点上的状态或情形。判定企业风险管理是否“有效”是一种主断言，取决于评估八个组成部分是否存在及真正发挥作用。要被认定为有效，所有八个组成部分都必须存在且发挥作用。然而，这并不意味着在不同实体中，每一个组成部分都应该发挥同样的作用，或者甚至在同一水平，各组成部分之间可能会存在协调。因为企业风险管理技巧能服务于各种各样的目标，相对于一个组成部分所应用的技巧可以为存在于另一个组成部分的目标服务。此外，风险反应在面临特定风险时，程度上会有所不同，这样补充的风险反应，单个来看效果有限，合在一起就足够了。

这里所阐述的观点适用于所有实体，不论规模大小。尽管一些中小型实体执行组成部分要素时与大型实体会有所不同，它们仍然可进行有效的企业风险管理。在较小的实体中对每一组成部分的研究，相对于较大的实体来说，可能不那么正规，结构也不尽完善，但基本的概念存在于每一实体中，不论规模大小。企业可能会在把实体作为一个整体，或者一个或多个单个单元的情况下考虑。当以实体的某一特定单元来考虑企业风险管理时，所有八个组成部分都必须作为参考标准，这样，举个例子来说，由于拥有一个有着特殊性质的董事会时内部环境的一个要素，那么只有当经营单元摆正董事会的位置或只是简单机构（或实体层面的董事会直接给予经营单元必要的监管），此时该单元的企业风险管理才有可能被判定为有效。相似地，由于风险反应部分要求采用风险组合观，则要使企业风险管理被判定为有效，该经营单元就必须有风险组合观。实体也许拥有合资企业、合伙企业或其它投资，它们的经营是不在实体的控制之下的。在这种情况下，如果实体识别出可能影响投资进而有效实现自身目标的能力的潜在事件；确保风险评估，风险反应和控制部分适当地反映了这些事件；并且对已被设计用来管理投资相关风险的机制进行监管，该实体就能实现企业风险管理。另一种实体实现企业风险管理的方式是，对确保投资工具遵守拥有有效的企业风险管理进行监管。然而，投资工具的风险偏好也许会和实体的风险偏好有所不同。当投资工具有着独立的董事会或其它类似监管机构时，就可能会发生这种情况。实体的管理部门就需要评价自身风险偏好于投资工具的风险偏好之间的一致性，从而保证实体的风险是可以接受的。一家矿业公司投资于一家黄金采矿合资企业。该矿业公司关于盈利的稳定性比合资企业的风险偏好低一些。合资企业的管理部门预期黄金价格会保持不变或上扬，并准备接受价格下降的风险，以换取价格上升所能带来的预期收益。故而没有对黄金价格的变化采取套期保值措施。公司的管理部门监控合资企业的黄金产量水平并对黄金价格的变化采取套期保值措施，从而把商品的价格风险控制在公司的风险偏好之内。

围绕内部控制

内部控制是企业风险管理的一个组成部分。企业风险管理围绕着内部控制，为管理形成了一个更有活力的概念和工具。内部控制在《内部控制——整体框架》有所定义和描述。因为《内部控制——整体框架》是现有规则、法规和法律的基础，该文献保持着对内部控制的合适的定义和框架。整个《内部控制——整体框架》以参考书目的形式综合进入本框架。附录B 描述了企业风险管理是如何比内部控制更具有包容性。

企业风险管理及管理过程

由于企业风险管理是管理过程的一部分，企业风险管理框架组成部分是在管理部门经营业务的背景下进行讨论的。然而，并不是管理部门所做的每一件事情都是企业风险管理的要素。例如，建立目标的过程是企业风险管理的主要组成部分，但管理部门所选定的特殊目标，尽管是一项重要的管理责任并与实体战略有重要关联，却不是企业风险管理的一部分。类似地，以风险评估为基础的风险反应，是企业风险管理的一部分，但所选定的特定风险反应却不是。这些大概是应用于决策制订的业务判断，其中许多管理部门的决定和行为不是企业风险管理的部分。图2.3 列出了一般管理行为，并表明哪些被认为是企业风险管理的部分。（此列表既没有包含一切，也不是描述管理活动的唯一方式。）

3.内部环境

章节摘要：内部环境包含一个组织的基调，影响其员工的风险意识，同时还是企业风险管理所有其它组成部分的基石，提供纪律和结构。内部环境因素包括实体的风险管理哲学；其风险偏好和风险文化；董事会监管；实体员工的诚

信、道德价值和能力；管理哲学和经营风格；以及管理部门分配权力和责任、组织和引导员工的方式。内部环境是企业风险管理所有其它组成部分的基石，提供纪律和结构。内部环境影响到战略和目标时如何建立的，经营活动时如何组织的，以及风险时如何被识别、评估和应对的。它影响控制活动，信息和交流系统及监管活动的设计和运作。反之，内部环境又受到实体的历史和文化的影响。内部环境由许多要素组成，包括实体员工的道德价值、能力和发展，管理部门的经营风格及如何分配权力和责任的。董事会是内部环境的关键部分，显著地影响其它内部环境要素。虽然所有要素都很重要，每一要素的程度会因实体有所不同。例如，员工数量较少和集权经营公司的高管人员可能不会正式的责任链和详细的经营政策。然而，该公司也可拥有内部环境，为企业风险管理提供适当的基础。

风险管理哲学

为所有员工所理解的企业风险管理哲学，能促进雇员识别和有效管理风险的能力。该哲学（即实体关于风险的信念，和如果选择引导活动并处理风险），反映实体从企业风险管理所寻求的价值，并反应企业风险管理组成部分是如何运用的。虽然一些实体采用企业风险管理是为了满足外部风险承担者的需要，如母公司或监管者，更多的是因为管理部门意识到有效的风险管理能够保持价值并创造价值。每一个领导班子对于什么推动风险承担者的价值，都有自己的见解。管理部门的企业风险管理哲学反映在政策综述和其它信息传达中。很重要的是，管理部门不仅通过言词，还通过日常行为来加强该哲学。

风险偏好

风险偏好是实体在追求价值时所愿意接受的风险程度。实体经常定性地考虑风险，如分成高、中、低三类，或者也会采用定量的方法，反应并均衡增长、回报的目标和风险。风险偏好与实体的战略直接相关。它在战略设定时会考虑到，此时一项战略的期望回报应该与实体的风险偏好相符。不同的战略会给实体带来不同的风险。企业风险管理被应用于战略设定，有助于管理部门选择与实体的风险偏好一致的战略。

风险文化

风险文化是表现实体如何在日常活动中考虑风险的一套共用的看法、价值观和惯例。对于许多公司，风险文化来源于实体的风险哲学和风险偏好。对于那些不明确地说明其风险哲学的实体，风险文化会偶然地形成，结果在实体内部，甚至在一特别的经营单元、功能和部门中产生截然不同的风险文化。管理部门要考虑其风险文化是如何产生影响并与企业风险管理的其它要素协调。如果存在不协调，管理部门会采取步骤来改造文化——也许重新思考风险哲学和风险态度，或改造应用企业风险管理的方式。

一家汽油管道公司寻求一种所有员工在日常活动中明确考虑风险的文化。为实现这一点，管理部门采取的一个步骤就是，在所有员工卡中加入一系列专注于风险的问题。这些问题引导员工的决策制定：什么是风险？此事件会影响到其他什么人？需要告知其他什么人？这些问题鼓励员工考虑潜在事件对其它部门以及对整个实体的影响。

风险亚文化

个体经营单元、功能和部门会有稍微不同的风险文化。一些管理者准备接受更多的风险，其他管理者则较为保守，而且这些不同的文化有时从事于相反的目的。例如，一个职能（部__门）更多地关注销售，而不会太注意规则遵循情况。另一个职能（部门）可能更注重要求其员工严格确保遵循所有相关法规。分开来看，这些不同的亚文化可能会对实体产生不利影响。但是如果这些职能（部门）在一起工作，相互补充，不同的文化可以共同反映实体的期望风险偏好和哲学。

认可风险事实

一个不曾遭受过损失并没有面临显著风险的实体，不应该相信不利后果“不会在此发生”的荒诞说法。就算公司拥有胜任的员工、有效的程序及可靠的技术，外部和内部环境中的许多变量很快会改变。管理部门应该意识到，即使是运转良好的经营也是脆弱的。

董事会

实体董事会是内部环境的重要部分，并对其它内部环境要素产生显著影响。董事会相对于管理部门的独立性，其成员的经验和水平，对活动参与和详细调查的程度，及其行为的适当性都会产生作用。其它要素包括，关于战略、规划和执行的管理所提出和从事的问题的难度，以及董事会和审计委员会与内部和外部审计之间的交互作用。一个积极且相关的董事会、理事会或类似机构应该拥有适当程度的管理、技术和其它专家意见，还要有履行监管职责的必要的注意。这对一个有效的企业风险管理是很重要的。而且，因为董事会必须有备于详细审查管理部门的活动并提出问题，提供备选的观点及在明显的不道德行为目前有所作为，董事会成员必须包括外部董事。高层管理人员可能是有效的董事会的成员，可以把公司的情况带到董事会会议上。但是必须要有足够数量独立的外部董事，不仅能提供正确的意见、

忠告和方向，还要你能对管理部门进行必要的检查和协调。内部环境要有效，董事会必须至少大部分上独立外部董事。

诚信和道德价值观

实体的战略和目标及其执行和完成的方式，是以优先选择、价值判断和管理风格为基础的。管理部门的诚信和对价值观的承诺会影响优先选择和价值判断，被认为是行为标准。由于实体的良好声誉是如此重要，行为标准必须超越仅仅遵循法律的范畴。运行良好的企业的管理者越来越接受这样一种观点，道德付出及道德行为是获利的买卖。管理诚信在实体活动的所有方面都是道德行为的先决条件。企业风险管理的有效性不可能置于创造、管理和监管实体活动员工的诚信和道德价值之外。诚信和道德价值是环境的核心要素，影响着设计、管理和监管其它企业风险管理组成部分。建立道德价值经常是很困难的，因为需要考虑几个方面的利害关系。管理价值必须协调企业、雇员、供应商、客户、竞争对手和公众的利益。协调这些利益是很复杂且令人头疼的，因为各方利益总是不一致。例如，提供基本产品（石油、木材或食品）可能会导致环境方面的关注。道德价值和管理诚信是企业文化的副产品，（企业文化）包含了道德和行为标准，及其是如何传达和加强的。正式的政策说明了什么是董事会和管理部门所希望发生的。企业文化则决定了什么是实际发生的，以及哪些规则得到了遵守、屈服和被忽略。高层管理部门——从CEO 开始，在决定企业文化中起到了关键作用。作为实体当中的统治人物，CEO 经常设定了道德基调。某些结构因素也会影响欺骗性和有疑问的财务报告实践的可能性。那些同样的因素还有可能影响道德行为。个体从事不诚实、违法或不道德的行为，可能仅仅是因为实体给他们提供了强烈的动机或诱惑。对结果不恰当的强调，尤其是在短期会培育不适当的内部环境。仅仅注重短期结果，甚至在短期内会造成损害。集中于底线——销售或无论如何利润，经常会产生未寻求的行为和反应。比如，很大压力的销售战术，协商时的无情或暗示提供回扣，可能会产生有直接（且持久）效果的反应。从事欺骗性或有疑问的报告实践的动机，以及扩展来看，其它形式不道德行为的动机，包括高度依赖于报告财务业绩的报酬，尤其是短期结果，和红利计划的上下限。消除或减少不正确的动机和诱惑，对除去不合需要的行为大有帮助。有人建议，遵循合理且获利的经营实践可以实现这一点。例如，业绩激励——同时合理控制，可以是有益的管理技巧，只要业绩目标是现实的。设立现实的业绩目标是一项合理的动机实践；它减少了达不到预期目标的压力，和欺骗性报告的动机。类似地，一个控制良好的报告系统可以防止对业绩作虚伪叙述的诱惑。另一个导致可疑实践的原因是忽视。道德价值必须不仅仅传达下去，还要有关于对错的清晰指导伴随。正式的企业行为规则，是有效道德规划的基础，且很重要。规则表述了各种各样的行为问题，比如诚信和道德，利益冲突，违法或其它不正确的支付，以及反竞争的安排。员工感觉舒适的向上传达的渠道，会带来相关信息，也是很重要的。存在书面行为规则，员工收到并理解的文献，以及适当的交流渠道，并不能确保规则得到了遵守。遵守道德标准，无论在书面行为规则中是否体现，由高层管理部门的行为和榜样是最好的保证。尤其重要的是，对员工违反这些规则因而产生的处罚，鼓励员工报告可疑违反行为的机制，以及对不能报告违反行为的训诫性作用。员工可能会形成与高层管理部门相同的关于对与错（及关于风险和控制）的态度。管理部门在这些情形下的举动所传达出来的信息，很快会根植在企业文化当中。而且，当得知CEO 在面对一项棘手的业务决策时道德地“做出了正确的事情”，会在全实体内传达有力的信息。

4、目标设定

本章综述：每一个企业都面临着一系列来自外部和内部的风险，有效的事件的鉴别、风险确定、以及对风险的对策的预测都是目标确定的依据，和不同的水平不同的内部机构相联系。目标是在战略层面上确定的，为经营操作、报告、目标的服从提供依据。目标的确定是和企业风险特点相联系的，并且该目标推动企业活动承受风险的水平。目标设定是有效的事件的鉴别、风险确定、以及对风险的对策的预测。管理之前必须首先设定目标，该目标能够鉴别企业为完成任务的风险，然后采取必要的措施来管理风险。

战略目标

企业设定的目标是企业渴望得到的成就。无论用什么词，“任务”、“梦想”或“目的”，管理当局从广泛监管的角度明确的确定企业存在的广泛原因是非常重要的。因此，管理当局确定它们的目标，形成战略并且确定组织的相关目标。当企业的任务和战略目标稳定下来后，他的战略和相关目标更加有动力，并且要根据内部外部条件的改变进行调整。战略目标是高层目标，和企业任务相关，并且支持这些目标。战略目标反映了管理层的选择，例如，企业如何选择来为股东创造价值。在考虑达到战略目标的替代战略时，管理层要鉴别和战略选择相关的风险，并且要考虑对这些风险的对策的应用。在以后各章进行讨论的各类事件的鉴别以及风险确定的技术可以在应用于战略制定过程中。用这种方式，企业风险管理技术被应用于战略和目标的确定过程当中。

COSO风险管理框架中文版

相关文档

最新文档