完整word版,COSO風險管理框架中文版

1、COSO風險管理框架中文版概覽一些公司和企業(yè)的管理者已經(jīng)在企業(yè)內(nèi)部建立了一系列確認和管理風險的過程，而現(xiàn)在有許多企業(yè)也已經(jīng)開始或正在考慮建立自己的確認和管理風險的過程。雖然管理者已經(jīng)掌握了大量的企業(yè)風險管理的信息（包括大量公開出版的文獻），但實務中卻并不存在統(tǒng)一的術(shù)語，而且也很少有普遍接受的原則可供管理者在構(gòu)建一個有效的風險管理框架時作為指南。COSO 委員會已經(jīng)認識到對企業(yè)風險管理概念性指南的需要，因而該委員會發(fā)起了一個建立一個概念性的、適當?shù)娘L險管理框架的計劃，旨在支持企業(yè)建立或評判企業(yè)風險管理過程的項目提供完整的原則、能用的術(shù)語和實務操作指南。另一相關(guān)的目標是使構(gòu)建的這個框架可以作為管理

2、者、董事、主管人員、學者和其他相關(guān)人員更好地理解企業(yè)風險管理及其優(yōu)點和局限性提供一個統(tǒng)一的基礎(chǔ)，以便在風險管理問題方面進行有效地交流。本概覽列出了企業(yè)風險管理框架的關(guān)鍵內(nèi)容，包括企業(yè)風險管理的定義、內(nèi)容和基本原則，風險管理的優(yōu)點、局限性以及各相關(guān)方的地位和職責。本概覽還強調(diào)企業(yè)風險管理的相關(guān)性和其與COSO 內(nèi)部控制報告的關(guān)系。如果想更加深入地了解有關(guān)知識，請看企業(yè)風險管理框架的全文。（一）企業(yè)風險管理的相關(guān)性企業(yè)風險管理的基本前提是每一個企業(yè)，無論是盈利組織、非盈利組織， 還是政府機構(gòu)，其存在的目的都是為其利益相關(guān)方帶來價值。所有的企業(yè)都要面對不確定性。對企業(yè)管理者而言，所面臨的挑戰(zhàn)是在追求

3、企業(yè)利益相關(guān)方價值增長的同時，決定企業(yè)準備接受的不確定性的程度。不確定性既代表風險，也代表機遇，既存在使企業(yè)增值的可能，也存在使企業(yè)減值的風險。風險管理框架就是為管理者提供一個框架，使其能夠有效處理不確定性及相應的風險和機遇，進而提高企業(yè)創(chuàng)造價值的能力。1不確定性企業(yè)經(jīng)營的環(huán)境中有許多因素都會給企業(yè)帶來不確定性，如全球化、技術(shù)、法規(guī)、企業(yè)重構(gòu)、多變的市場以及競爭等。不確定性來源于無法明確地決定潛在事項將要發(fā)生的可能性及其相應結(jié)果。2價值從戰(zhàn)略的制定到企業(yè)的日常經(jīng)營，管理者的決策會創(chuàng)造、 保持或減少企業(yè)的價值。決策的本質(zhì)就是確認風險和機遇，它要求企業(yè)的管理 1應在考慮企業(yè)內(nèi)、外部環(huán)境的因素的基礎(chǔ)

4、上，對企業(yè)的稀缺資源進行配置，并且根據(jù)環(huán)境的不斷變化來調(diào)整企業(yè)的活動。當企業(yè)的利益相關(guān)方取得其相應價值的可確認收益時， 企業(yè)的價值也得到實現(xiàn)。 對于公司而言， 當股東承認由于股價上揚所帶來的價值時，他們也就承認了企業(yè)的價值。對于政府機構(gòu)，當該機構(gòu)以一個可接受的成本所提供的服務的收益得到確認時，機構(gòu)的價值就得以實現(xiàn)。對于非盈利組織的利益相關(guān)方而言，當他們確認組織所提供的社會福利的價值時，他們也就承認了該組織的價值。企業(yè)風險管理使管理者能夠創(chuàng)造持久的價值并能夠?qū)?chuàng)造價值的信息傳遞給利益相關(guān)方。3企業(yè)風險管理的優(yōu)點所有企業(yè)都是在有風險的環(huán)境下經(jīng)營，而不是企業(yè)風險管理使企業(yè)面臨這樣的環(huán)境。企業(yè)風險管理

5、是使管理者能夠在充滿風險的環(huán)境中更加有效地經(jīng)營。企業(yè)風險管理使企業(yè)的管理者能夠：（ 1）將風險偏好和企業(yè)的戰(zhàn)略結(jié)合在一起。從廣義來講， 風險偏好是一個公司或企業(yè)在追求其目標的過程中愿意接受的風險的程度。管理者在評估企業(yè)的戰(zhàn)略方案時首先要考慮企業(yè)的風險偏好，其后，在制定與企業(yè)戰(zhàn)略相對應的目標和建立一定的機制管理相應的風險時也應考慮企業(yè)的風險偏好。（ 2）將企業(yè)成長、風險和收益聯(lián)系起來經(jīng)濟主體在企業(yè)價值保值、 增值的過程中也要接受相應的風險， 同時預期補償風險的相應收益。 企業(yè)風險管理提高了企業(yè)確認和評估風險的能力，進而使企業(yè)能夠確定相對于企業(yè)成長性和收益目標而言的風險的可接受水平。（ 3）增加風

6、險反應決策企業(yè)風險管理提供了確認和選擇不同的風險反應方案的嚴格標準。企業(yè)的風險反應方案包括風險規(guī)避、風險降低、風險共擔和風險接受。企業(yè)風險管理提供了進行相關(guān)決策的方法和技術(shù)。1/34（ 4）使企業(yè)的經(jīng)營意外和損失最小化經(jīng)濟主體可能提高確認潛在事項、 評估風險和明確反應方案， 最后減少經(jīng)營意外的出現(xiàn)次數(shù)以及減少相應的成本或損失。（ 5）確認和管理企業(yè)的總體風險每一個經(jīng)濟主體都面臨著許多風險， 而不同的風險會影響企業(yè)經(jīng)營的各個方面。 管理不僅需要對每一種風險進行管理，還需要了解風險對企業(yè)總體的影響。（ 6）針對多重風險提供完整的反應方案企業(yè)的經(jīng)營過程存在許多內(nèi)在的風險，企業(yè)風險管理就是為管理風險提

7、供一整套解決方案。（ 7）抓住機遇管理不僅要考慮風險， 還需要考慮潛在的事項對企業(yè)的影響。 對潛在事項有一個完整的了解可以使管理對每一潛在事項表明何種機遇有一個了解。（ 8）合理分配資金關(guān)于企業(yè)總體風險的更為明確的信息可以使企業(yè)的管理者能夠更加有效地評估企業(yè)總體的資金需要，改進企業(yè)的資金配置。 企業(yè)風險管理本身并不是目的，它僅僅是實現(xiàn)目的的一種方式。它不能、 也無法在一個經(jīng)濟主體內(nèi)單獨運行，而是企業(yè)管理過程的一個推動器。企業(yè)風險管理向董事會提供最重要的風險的信息以及這些風險應如何管理的建議，進而與公司治理相聯(lián)系。而且，風險管理與企業(yè)的績效管理也有關(guān)，風險管理通過提供風險調(diào)節(jié)的措施和內(nèi)部控制來幫

8、助企業(yè)的績效管理。內(nèi)部控制是企業(yè)風險管理的一部分。風險管理幫助一個經(jīng)濟主體實現(xiàn)其經(jīng)營和利潤目標、防止資源的浪費。它還有助于確保企業(yè)報告的有效性。此外，企業(yè)風險管理還有助于保證企業(yè)遵守有關(guān)的法律、法規(guī)，避免其聲譽受損并防止產(chǎn)生相應的不良后果?？傊髽I(yè)風險管理可以幫助一個經(jīng)濟主體實現(xiàn)其目標、及在實現(xiàn)目標的過程中避開陷井和防止意外的發(fā)生。（二）企業(yè)風險管理的定義企業(yè)風險管理是企業(yè)的董事會、 管理層和其他員工共同參與的一個過程， 應用于企業(yè)的戰(zhàn)略制定和企業(yè)的各個部門和各項經(jīng)營活動，用于確認可能影響企業(yè)的潛在事項并在其風險偏好范圍內(nèi)管理風險，對企業(yè)目標的實現(xiàn)提供合理的保證。這一定義反映了一些基本概念：

9、1企業(yè)的風險管理是一個過程其本身并不是一個目的，而是實現(xiàn)目的的一種方式。2風險管理受人的影響它不只是企業(yè)的政策、調(diào)查和表格，還涉及一個企業(yè)各個層次員工。3風險管理也適用于企業(yè)戰(zhàn)略制定過程。4企業(yè)風險管理應在整個企業(yè)范圍內(nèi)應用，在每一個經(jīng)營層面和每一個單位內(nèi)應用，并應以一種企業(yè)總體的風險組合的觀點來看待。5風險管理的設計應有助于確認會對企業(yè)造成潛在影響的事項并確保在企業(yè)風險偏好的范圍內(nèi)管理企業(yè)的風險。6風險管理僅為企業(yè)的管理者和董事會提供合理的保證。7企業(yè)風險管理的目標是幫助企業(yè)一類或幾類單獨并相互重疊的目標的實現(xiàn)。從廣義上定義這一概念主要有幾個原因： 這一定義應包括公司和其他企業(yè)管理風險的幾個

10、基本概念， 并可以應用于各種組織、 行業(yè)和部門。 它直接針對企業(yè)目標的實現(xiàn)。 此外，這一定義應為定義企業(yè)風險管理的有效性提供一個基礎(chǔ)。上述基本概念詳細論述如下：1一個過程企業(yè)的風險管理并不是一個事項或環(huán)境，而是滲透于企業(yè)各項活動中一系列行動。這些行動普遍存在于管理者對企業(yè)的日常管理中，是企業(yè)日常管理所固有的。一些人認為，企業(yè)風險管理對企業(yè)的各項活動而言是多余的，是企業(yè)必須承擔的一個負擔，但 COSO 的討論稿則并不這樣認為。但有效的企業(yè)風險管理仍舊需要企業(yè)各管理層不懈的努力。例如，風險評估要求企業(yè)不斷地努力來建立必要的評估模型并進行必要的分析和計算。但是，這些以及其他的企業(yè)風險管理機制與企業(yè)的

11、經(jīng)營活動是并存的，是由于最基本的商業(yè)原因而存在的。當企業(yè)風險管理機制成為企業(yè)的基礎(chǔ)設施并真正成為企業(yè)的一部分時，企業(yè)的風險管理會最有效。通過建立風險管理，企業(yè)可以直接提高自身的戰(zhàn)略執(zhí)行能力，并提高企業(yè)預期和任務的實現(xiàn)能力。建立風險管理對企業(yè)的成本構(gòu)成同樣有重要的影響， 特別是在目前大多數(shù)企業(yè)都面臨高度競爭的市場環(huán)境的情況下。在現(xiàn)有工序的基礎(chǔ)上增加新的工序會增加成本，而通過關(guān)注現(xiàn)有的經(jīng)營過程以及他們對實現(xiàn)有效風險管理的貢獻，并2/34將風險管理整合到企業(yè)的基本經(jīng)營活動之中，一個企業(yè)就能夠避免不必要的工序和成本。并且，將風險管理整合到企業(yè)日常的經(jīng)營過程中有助于管理者抓住企業(yè)發(fā)展的新機遇。2受人的影

12、響企業(yè)的風險管理會受董事會、管理層和其他人員的影響，風險管理是通過組織內(nèi)的人來完成的，是通過人的所做和所說實現(xiàn)的。是企業(yè)內(nèi)的人制定企業(yè)的任務/ 預期，戰(zhàn)略和目標，并實施企業(yè)的風險管理機制。同樣，企業(yè)風險管理也影響人的行動。企業(yè)風險管理要認識到人對事物的理解、溝通或執(zhí)行并不總是一致的。企業(yè)中的每個人都有不同的背景和技術(shù)能力，都有不同的需求和優(yōu)勢。這些因素都會影響企業(yè)的風險管理，也會受風險管理的影響。每個人的出發(fā)點都不同，這會影響他們對風險的確認、評估和反應。企業(yè)風險管理就是要提供了一個機制，幫助人們從企業(yè)總體目標的角度認識風險。企業(yè)的員工必須了解他們自己的職責和權(quán)限。因此，除了要明確員工的職責和

13、企業(yè)的戰(zhàn)略和目標之間的聯(lián)系之外，還要明確員工的職責和他們履行職責的方式之間的聯(lián)系。 _一個組織的員工包括董事會成員、管理者和其他人員。盡管企業(yè)的董事主要負責監(jiān)督，但是他們同時也向管理者提供指導，核準企業(yè)的戰(zhàn)略、某些活動和政策。因此，董事會是企業(yè)風險管理的重要組成部分之一。3可應用于企業(yè)戰(zhàn)略的制定一個企業(yè)要確定其預期或任務，并制定其戰(zhàn)略目標。企業(yè)的戰(zhàn)略目標是企業(yè)最高層次的目標，它與企業(yè)的預期和任務相聯(lián)系并支持預期和任務的實現(xiàn)。一個企業(yè)為實現(xiàn)其戰(zhàn)略目標而制定戰(zhàn)略方案，并將戰(zhàn)略方案分解成相應的目標，再將目標層層分解到企業(yè)的各業(yè)務部門、行政部門和生產(chǎn)線。在制定企業(yè)的戰(zhàn)略方案時，管理者應考慮與不同的戰(zhàn)略

14、方案相關(guān)的風險。4應用于整個企業(yè)為使企業(yè)的風險管理獲得成功， 一個企業(yè)必須從全局， 從企業(yè)總體層面上考慮企業(yè)的活動。 企業(yè)的風險管理應考慮組織內(nèi)所有層面的活動， 從企業(yè)總體的活動 （如戰(zhàn)略計劃和資源分配） 到各業(yè)務部門的活動 （如市場部、 人力資源部） ，到各業(yè)務流程（如生產(chǎn)過程和新客房信用審核）等等。企業(yè)風險管理還可用于特定項目和新的行動計劃，盡管該項目或計劃可能在企業(yè)的管理流程或組織流程圖中尚無明確的定位。企業(yè)風險管理要求企業(yè)以風險組合的觀點看待風險。這會要求企業(yè)內(nèi)負責各業(yè)務部門、行政部門、生產(chǎn)流程或其他活動的管理者對本部門的風險進行評估。這些評估可以是定量的，也可以是定性的。企業(yè)的高級管

15、理者應以一種組合的觀點看待企業(yè)內(nèi)每個下級層面的風險，以決定企業(yè)總的風險組合是否與企業(yè)的風險偏好相對應。管理者應以總體的組合觀來考慮相關(guān)風險。對相關(guān)的風險應予確認并采取措施使承擔的風險落在企業(yè)風險偏好的范圍內(nèi)。對企業(yè)內(nèi)部每個單位的風險而言，可能都落在該部門的風險容忍度的范圍內(nèi)，但從總體來看，合并后的風險可能超過了企業(yè)總體的風險偏好。企業(yè)總的風險偏好應通過對特定目標確立相應的風險容忍度的方式在企業(yè)內(nèi)部向下貫徹。5風險偏好風險偏好是指一個企業(yè)在追求價值最大化的同時所愿意接受的風險的數(shù)量。企業(yè)通常采用定性的方法分析風險偏好，將風險偏好分為高、中、低三類；或者采用定量的方法分析風險偏好，反映出企業(yè)的成長

16、性、收益性和風險目標，并在三個目標之間進行平衡。風險偏好與企業(yè)的戰(zhàn)略直接相關(guān)。在制定戰(zhàn)略時應考慮企業(yè)的風險偏好，并將戰(zhàn)略的預期收益與企業(yè)的風險偏好聯(lián)系起來考慮。不同的戰(zhàn)略會給企業(yè)帶來不同的風險，在戰(zhàn)略制定時應用風險管理，其目的是幫助管理者選擇與企業(yè)的風險偏好相一致的戰(zhàn)略。企業(yè)的風險偏好指導企業(yè)的資源配置。管理者在各業(yè)務部門間分配資源時應考慮企業(yè)的風險偏好和各個業(yè)務部門為取得預期的收益率所采用的戰(zhàn)略。管理者應將企業(yè)的風險偏好與企業(yè)的組織結(jié)構(gòu)、人員和業(yè)務流程聯(lián)系起來考慮，并應建立對風險有效反應和監(jiān)督的必要的硬件設施。風險容忍度是與要實現(xiàn)的目標相關(guān)的偏差的可接受程度。在確定某一特定的風險容忍度時，管

17、理者應考慮相關(guān)目標的相對重要性并將風險容忍度與企業(yè)的風險偏好聯(lián)系在一起。在風險容忍度的范圍之內(nèi)經(jīng)營更能夠保證企業(yè)所承受的風險在其風險偏好的范圍內(nèi)。反過來，就能夠?qū)ζ髽I(yè)目標的實現(xiàn)提供更高程度的保證。6提供合理保證設計合理、 運行有效的風險管理能夠向企業(yè)的管理者和董事會在企業(yè)目標的實現(xiàn)上提供合理的保證。如果企業(yè)的風險管理有效，董事會和管理者在以下幾個方面得到合理的保證：了解企業(yè)戰(zhàn)略目標實現(xiàn)的程度；了解企業(yè)經(jīng)營目標實現(xiàn)的程度；_企業(yè)報告的可靠性；相關(guān)的法律和法規(guī)遵守的情況?！昂侠肀ＷC ”反映了 “不確定性和風險都是與未來相關(guān)，而未來是沒有人可以確切地預測的”這一思想。這種局限性的3/34其他原因包括

18、：人們在進行決策時的判斷可能出錯；對風險反應的決策和所建立的控制需要考慮成本效益原則；由于人們的簡單失誤或錯誤可能導致的企業(yè)破產(chǎn)；可能由于兩個或多個人的串通而繞過控制；管理者可能忽視企業(yè)的風險管理決策等等。這些限制使得董事會和管理者無法在企業(yè)目標實現(xiàn)方面得到絕對保證。7目標的實現(xiàn)有效的風險管理應該能夠為企業(yè)目標的實現(xiàn)提供合理的保證，包括報告的可靠性、合法合規(guī)性目標等等。這兩類目標的實現(xiàn)都是在企業(yè)的控制范圍內(nèi)，其實現(xiàn)依賴于相關(guān)活動執(zhí)行的好壞。但是，戰(zhàn)略目標和經(jīng)營目標的實現(xiàn)并不總是在企業(yè)的控制范圍內(nèi)。對于這兩類目標，企業(yè)風險管理只能合理保證管理者和董事會從宏觀上及時了解企業(yè)目標實現(xiàn)的進度。（三）企

19、業(yè)風險管理的組成要素根據(jù)管理者經(jīng)營的方式劃分， 企業(yè)風險管理包括八個相互關(guān)聯(lián)的組成要素， 這八個要素滲透于企業(yè)管理的過程之中，包括：1內(nèi)部環(huán)境企業(yè)的內(nèi)部環(huán)境是其他所有風險管理要素的基礎(chǔ)， 為其他要素提供規(guī)則和結(jié)構(gòu)。 內(nèi)部環(huán)境影響企業(yè)戰(zhàn)略和目標的制定、業(yè)務活動的組織和風險的識別、評估和執(zhí)行等等。它還影響企業(yè)控制活動的設計和執(zhí)行、信息和溝通系統(tǒng)以及監(jiān)控活動。內(nèi)部環(huán)境包含很多內(nèi)容，包括企業(yè)員工的道德觀和勝任能力、人員的培訓、管理者的經(jīng)營模式、分配權(quán)限和職責的方式等。董事會是內(nèi)部環(huán)境的一個重要組成部分，對其他內(nèi)部環(huán)境的組成內(nèi)容有重要的影響。而企業(yè)的管理者也是內(nèi)部環(huán)境的一部分，其職責是建立企業(yè)的風險管理

20、理念、確定企業(yè)的風險偏好，營造企業(yè)的風險文化，并將企業(yè)的風險管理和相關(guān)的行動計劃結(jié)合起來。讓企業(yè)所有員工了解企業(yè)的風險管理理念有利于提高雇員確認和有效管理風險的能力。風險管理理念是企業(yè)對風險的信念，是企業(yè)選擇處理其活動和風險的方式。它反映了一個企業(yè)期望從企業(yè)的風險管理獲得一定的價值。這一理念還會影響企業(yè)風險管理要素的應用方式。管理者應將其風險管理理念通過政策說明書和其他溝通方式向企業(yè)的員工宣傳。更重要的是，管理者不應僅僅是在紙面上強調(diào)風險管理理念，還應在每天的行動中貫徹執(zhí)行。風險偏好由企業(yè)的管理者設定，董事會復核，是企業(yè)制定戰(zhàn)略的一個控制指標。通常為了實現(xiàn)某一個預定的增長或收益目標，企業(yè)可以制

21、定許多不同的戰(zhàn)略，而每一個戰(zhàn)略都具有不同的風險。在戰(zhàn)略制定過程中，風險管理有助于管理者選擇與企業(yè)的風險偏好相一致的戰(zhàn)略方案。管理者期望將企業(yè)的組織結(jié)構(gòu)、人員、生產(chǎn)過程與硬件設施整合在一起，使得在戰(zhàn)略的成功執(zhí)行的同時將風險控制在風險偏好的范圍內(nèi)。風險文化是企業(yè)員工共同的態(tài)度、價值觀和實務操作程序的組合，表明企業(yè)在其日?；顒又锌创L險的方式。對于許多公司而言，風險文化來自于企業(yè)的風險理念和風險偏好。對那些不能明確界定其風險理念的企業(yè)，其風險文化的形成可能是隨機的，而導致一個企業(yè)內(nèi)存在明顯不同的風險文化，甚至在一個業(yè)務部門、行政部門中都有可能存在明顯不同的風險文化。2目標制定根據(jù)企業(yè)確定的任務或預期

22、， 管理者確定企業(yè)的戰(zhàn)略目標， 選擇戰(zhàn)略方案， 確定相關(guān)的子目標并在企內(nèi)層層分解和落實，各子目標都應遵循企業(yè)的戰(zhàn)略方案并與戰(zhàn)略方案相聯(lián)系。在能夠確定對目標的實現(xiàn)有潛在影響的事項之前，管理者就應確定企業(yè)的目標。而企業(yè)風險管理就是提供給管理者一個適當?shù)倪^程，既能夠制定企業(yè)的目標，又能夠?qū)⒛繕伺c企業(yè)的任務或預期聯(lián)系在一起，并且這些目標還與企業(yè)的風險偏好相一致。企業(yè)的目標可以分為四類：戰(zhàn)略目標 是企業(yè)的高層次目標，與企業(yè)的任務和預期相聯(lián)系并支持企業(yè)的任務和預期的實現(xiàn)。經(jīng)營目標 是指企業(yè)經(jīng)營的效率性和效果性，包括經(jīng)營業(yè)績目標和盈利能力目標，由于管理者對企業(yè)結(jié)構(gòu)和經(jīng)營的不同選擇，各企業(yè)的經(jīng)營目標也不盡相同

23、。報告目標指企業(yè)報告的有效性，包括企業(yè)內(nèi)部和外部的報告，既包括財務信息，也包括非財務信息。合法性目標是指企業(yè)符合相關(guān)的法律和法規(guī)。企業(yè)目標的這種分類可以使企業(yè)的管理者和董事會注意企業(yè)風險管理的不同方面。企業(yè)的某一個特定目標可能不僅僅屬于某一類目標。企業(yè)的這些目標既相互區(qū)別但又相互重疊，可以明確企業(yè)的不同需要，并且可以分派給企業(yè)的某一個執(zhí)行官作為其直接職責。這種分類還可以區(qū)分企業(yè)不同類別目標的期望之間的區(qū)別。某些企業(yè)還有另一類目標 “資源的安全 ”，有時也叫 “資產(chǎn)的安全 ”。從廣義上看，這一目標是防止企業(yè)資產(chǎn)或資源的流失，這種流失可以是由于偷竊、浪費、經(jīng)營的無效性，也可以是由于企業(yè)商業(yè)上簡單的

24、錯誤決策（如以過低的價格出售產(chǎn)品、沒有留住企業(yè)的關(guān)鍵員工、沒有阻止對本企業(yè)專利權(quán)的侵害行為，或者是出現(xiàn)未預期的負債等等）所引起的流失。對某種報告目的而言，這種廣義的資產(chǎn)安全類目標可能是一個狹義的定義，此時的資產(chǎn)安全概念可以僅僅指預防或及時發(fā)現(xiàn)對企業(yè)資產(chǎn)的未經(jīng)授權(quán)的購買、使用或處置。3事項識別4/34管理者意識到了不確定性的存在， 即管理者不能確切地知道某一事項是否會發(fā)生、 何時發(fā)生或者如果發(fā)生其結(jié)果如何。作為事項識別的一部分，管理者應考慮會影響事項發(fā)生的各種企業(yè)內(nèi)外部的因素。外部因素包括經(jīng)濟、商業(yè)、自然環(huán)境、政治、社會和技術(shù)因素等，內(nèi)部因素反映出管理者所做的選擇，包括企業(yè)的基礎(chǔ)設施、人員、生產(chǎn)

25、過程和技術(shù)等事項。一個企業(yè)事項識別的方法可以包含不同的技術(shù)及其與相應的工具的組合。事項識別技術(shù)既針對過去，又針對未來。針對過去的事項和趨勢的識別技術(shù)主要要考慮類似支付錯誤的歷史、商品價格的變化和浪費時間的突發(fā)事件（ Lost-time accidents ）等事項，而針對未來風險的技術(shù)則主要考慮不斷變化的人口統(tǒng)計資料、新市場和競爭者的行為等事項。將潛在的事項進行分類對管理者而言是非常有用的。通過在企業(yè)內(nèi)各水平層面上對事項進行匯總、在營運部門內(nèi)部對事項進行垂直地匯總， 管理者能夠?qū)κ马椫g的相互關(guān)系有一個了解， 這些信息也可以作為風險評估的基礎(chǔ)。潛在的事項可能對企業(yè)有正面的影響、也可能有負面的影

26、響或者兩種影響同時存在。對企業(yè)有潛在負面影響的事項是企業(yè)的風險，要求企業(yè)的管理者對其進行評估和建立反應方案。因此，風險的定義就是，某一事項將要發(fā)生的可能性及其對企業(yè)目標的實現(xiàn)造成負面影響的可能性。對企業(yè)有潛在正面影響的事項則是企業(yè)的機遇或者可以彌補風險對企業(yè)的負面影響。機遇可以在企業(yè)戰(zhàn)略或目標制定的過程中加以考慮，以制定有關(guān)行動抓住機遇?？赡軓浹a風險對企業(yè)負面影響的事項則應在管理者對風險進行評估和反應的階段予以考慮。4風險評估風險評估可以使企業(yè)了解潛在事項如何影響企業(yè)目標的實現(xiàn)。管理者應從兩個方面對風險進行評估風險發(fā)生的可能性和影響。風險發(fā)生的可能性是指某一特定事項發(fā)生的可能性，影響則是指事項

27、的發(fā)生將會帶來的影響。對風險發(fā)生的可能性和影響的估計經(jīng)常需要使用從過去的可觀察事項得到的數(shù)據(jù)，這比沒有任何數(shù)據(jù)的、完全的主觀估計要客觀得多。根據(jù)企業(yè)自己的經(jīng)驗在企業(yè)內(nèi)部產(chǎn)生的數(shù)據(jù)帶有較少的人的主觀偏見，能夠得到比外部數(shù)據(jù)更好的結(jié)果。但是，即使是以內(nèi)部數(shù)據(jù)作為主要的資料來源，外部數(shù)據(jù)仍能用作一個檢查標準或者改進分析。當使用過去數(shù)據(jù)對未來進行預測時使用者必須小心，因為影響過去事項的有關(guān)因素可能會隨著時間的推移而改變。一個企業(yè)風險評估的方法通常是定量方法和定性分析技術(shù)的組合。當風險本身無法量化時，或者量化評估所要求充足的可靠的數(shù)據(jù)實際不可獲得或者數(shù)據(jù)獲得或分析不符合成本效益原則時，管理者通常會采用定

28、性的分析技術(shù)。定量的分析技術(shù)通常更加精確，一般用于更為復雜多變的活動， 作為定性分析的補充。 一個企業(yè)不需要在每個業(yè)務部門都使用同樣的評估技術(shù)。相反，對評估技術(shù)的選擇應反映出對精確性的需要和該業(yè)務部門的文化。在任何情況下，各業(yè)務部門所使用的評估技術(shù)應有利于企業(yè)在整個企業(yè)的范圍內(nèi)對風險的評估。在衡量目標的實現(xiàn)程度時，管理者經(jīng)常使用業(yè)績計量指標。當考慮某一風險對實現(xiàn)某一特定目標的潛在影響時，使用這些計量指標同樣有效。管理者可以評估各事項之間的關(guān)系，因為一系列相互關(guān)聯(lián)的事項結(jié)合起來會使得事項的發(fā)生概率或事項的影響發(fā)生重大變化。雖然一個單一事項的影響可能很小，但是這樣一系列事項則可能對企業(yè)造成重大影響

29、。各潛在事項之間可能并不直接相關(guān)，這時管理者可以分別對其進行評估，但是某些風險可能在企業(yè)的多個業(yè)務部門出現(xiàn)時，管理者可以將所確認的風險歸為一類進行評估。通常一個潛在事項結(jié)果是一個可能的范圍值，管理者應將其作為制定風險反應方案的基礎(chǔ)。通過風險評估，管理者可以了解潛在事項在整個企業(yè)內(nèi)對企業(yè)的正面和負面的影響，單個事項或某類事項對企業(yè)的影響。管理者通常只趨于關(guān)注中短期的風險，但風險應在企業(yè)戰(zhàn)略和目標的前提下進行評估。由于戰(zhàn)略方向和目標的某些要素涉及較長時期，管理者因而應從長期的角度認識風險，而不能忽視遠期會影響企業(yè)的風險。首先，應對企業(yè)的固有風險進行評估。固有風險是指管理者在沒有采取任何會改變風險發(fā)

30、生的可能性或影響的管理措施的情況下企業(yè)所面臨的風險。一旦確定了對固有風險的風險反應方案，管理者就可以使用風險評估技術(shù)確定企業(yè)的殘留風險。殘留風險是指管理者采取了有關(guān)風險管理措施后應存在的風險。5風險反應管理者可以制定不同風險反應方案，并在風險容忍度和成本效益原則的前提下，考慮每個方案如何影響事項發(fā)生的可能性和事項對企業(yè)的影響，并設計和執(zhí)行風險反應方案?？紤]各風險反應方案并選擇和執(zhí)行一個風險反應方案是企業(yè)風險管理不可分割的一部分。有效的風險管理要求管理者選擇一個可以使企業(yè)風險發(fā)生的可能性和影響都落在風險容忍度范圍之內(nèi)的風險反應方案。風險反應可分為規(guī)避風險、減少風險、共擔風險和接受風險四類。規(guī)避風

31、險是指采取措施退出會給企業(yè)帶來風險的活動。減少風險是指減少風險發(fā)生的可能性、減少風險的影響或者兩者同時減少。共擔風險是指通過轉(zhuǎn)嫁或與他人共擔一部分風險來降低風險發(fā)生的可能性或影響。接受風險則是不采取任何改變風險發(fā)生的可能性或影響的行動。作為企業(yè)風險管理的一部分，對于每一個重要的風險，企業(yè)都應按風險反應的類型考慮所有的風險反應方案，這樣有助于風險反應方案的選擇，這也是對 “現(xiàn)狀 ”提出的挑戰(zhàn)。 _選定某一個風險反應方案后，管理者應在殘留風險的基礎(chǔ)上重新評估風險，即從企業(yè)總體的風險組合的、預測的角度重新計量風險。管理者可以采5/34取一定的方法使得每一生產(chǎn)部門、行政部門或業(yè)務單位的管理者可以對風險

32、進行復合式的評估以決定該部門的風險反應方案。這種視角可以反映相對于各部門的目標和風險容忍度該部門的風險組合。在對各個獨立部門的風險有一個認識的基礎(chǔ)上，企業(yè)最高層的管理者應以組合的角度看待風險，以決定企業(yè)的風險組合與相對企業(yè)目標而言的總體的風險偏好是否相符。管理者應認識到一定水平的殘留風險總是存在的，這不僅是因為資源的有限性，還因為未來有其內(nèi)在的不確定性和所有活動的固有限制。6控制活動控制活動是幫助保證風險反應方案得到正確執(zhí)行的相關(guān)政策和程序?？刂苹顒哟嬖谟谄髽I(yè)的各部分、各個層面和各個部門?？刂苹顒邮瞧髽I(yè)努力實現(xiàn)其商業(yè)目標的過程的一部分。通常包括兩個要素：確定應該做什么的一個政策和影響該政策的一

33、系列過程。由于企業(yè)的控制活動與企業(yè)的信息系統(tǒng)廣泛相關(guān)，因此，應對企業(yè)所有的重要系統(tǒng)進行控制。廣義來講，對信息系統(tǒng)控制活動可以分為兩類。一類是一般控制，這類控制應用于大多數(shù)應用系統(tǒng)，有助于保證系統(tǒng)的持續(xù)地、正確地運行。另一類是應用控制，包括用于控制技術(shù)應用的應用軟件內(nèi)部的電腦程序。必要時將信息系統(tǒng)控制與其他手工的過程控制相結(jié)合，可以保證信息的完整性、精確性和有效性。一般控制包括對信息技術(shù)管理、信息技術(shù)基礎(chǔ)設施、 保密管理和軟件的購買、 開發(fā)和維護的控制。 這些技術(shù)應用于所有的系統(tǒng)， 從主機到客戶端 （服務端）到桌面電腦環(huán)境。信息技術(shù)管理控制主要包括明確信息技術(shù)的勘漏過程、監(jiān)督和報告信息技術(shù)活動及

34、業(yè)務改進的初步行動等等。應用控制的目的是保證數(shù)據(jù)獲得和業(yè)務處理過程的完整性、精確性、授權(quán)和有效性。依靠信息系統(tǒng)控制運行的有效可以保證當需要時每個應用程序可以在界面上產(chǎn)生有關(guān)數(shù)據(jù)，保證應用程序的有效和有關(guān)界面的錯誤可以很快地被發(fā)現(xiàn)。因為每一個主體都有其自己的一套目標和執(zhí)行目標的方法，因此其子目標、結(jié)構(gòu)和相關(guān)的控制活動也會不同。即使兩個企業(yè)有同樣的目標和結(jié)構(gòu)，他們的控制活動可很可能不同。每個企業(yè)的管理人員都不同，不同的管理人員在影響內(nèi)部控制時使用不同的個人判斷。而且，控制活動反映了一個企業(yè)所處的環(huán)境和行業(yè)，也會反映企業(yè)的復雜性、企業(yè)的歷史和文化。7信息和溝通來自于企業(yè)內(nèi)部和外部的相關(guān)信息必須以一定

35、的格式和時間間隔進行確認、捕捉和傳遞， 以保證企業(yè)的員工能夠執(zhí)行各自的職責。有效的溝通也是廣義上的溝通，包括企業(yè)內(nèi)自上而下、自下而上以及橫向的溝通。有效的溝通還包括將相關(guān)的信息與企業(yè)外部相關(guān)方的有效溝通和交換，如客戶、供應商、行政管理部門和股東等。企業(yè)內(nèi)部各個管理層都需要信息來幫助識別、評估風險和對風險進行反應，以及進行經(jīng)營并實現(xiàn)企業(yè)的目標。相對于某一類或幾類目標，某一批信息是有用的。企業(yè)的信息來自于各個方面，包括內(nèi)部和外部的信息、量化的和非量化的信息，以使得企業(yè)的風險管理可以對現(xiàn)實世界中不斷變化的條件及時作出反應。將大量的信息進行處理，提煉出或指導行動的信息是企業(yè)管理者所面臨的一個挑戰(zhàn)。解決

36、這一問題的方法是建立一個信息系統(tǒng)底層結(jié)構(gòu)來確認、捕捉、處理、分析和報告相關(guān)信息。這些信息系統(tǒng)通常是電腦系統(tǒng)，但也包括手工錄入或人機界面。因此，這些信息系統(tǒng)經(jīng)常是指處理企業(yè)相關(guān)業(yè)務產(chǎn)生的內(nèi)部數(shù)據(jù)的系統(tǒng)。長期以來信息系統(tǒng)是用來支持企業(yè)的商業(yè)戰(zhàn)略。當業(yè)務需要變化和有關(guān)技術(shù)為企業(yè)獲得戰(zhàn)略優(yōu)勢提供新的機會時，這一地位就顯得更為重要。 _為支持有效的企業(yè)風險管理，一個企業(yè)會捕捉和使用歷史和現(xiàn)在的數(shù)據(jù)。歷史數(shù)據(jù)使企業(yè)能夠?qū)嶋H業(yè)績與目標、計劃和期望相比較，能夠更加深入了解企業(yè)在不斷變化的環(huán)境下是如何生存的，使得管理者確認相關(guān)性和趨勢并預測未來的業(yè)績。歷史數(shù)據(jù)還能夠?qū)π枰芾碚咦⒁獾臐撛谑马椞嵩缣岢鼍妗，F(xiàn)在

37、或現(xiàn)狀的數(shù)據(jù)使企業(yè)能夠評估在某一特定時點所面臨的風險并將其控制在風險容忍度范圍內(nèi)?，F(xiàn)狀數(shù)據(jù)使得管理者可以實時地了解一個過程、職能部門或單位現(xiàn)存的固有風險和差異的大小。這對了解企業(yè)的風險組合提供了一個視角，使得管理者能夠在必要時改變企業(yè)的活動以滿足企業(yè)的風險偏好。信息是溝通的基礎(chǔ)， 溝通則必須滿足各部門和個人的要求， 以使他們能夠有效地履行其職責。 最重要的溝通渠道之一是高級管理者和董事會之間的溝通。管理者必須使董事會了解關(guān)于企業(yè)業(yè)績、發(fā)展、風險管理執(zhí)行和其他相關(guān)事項和問題的及時信息。溝通越暢通，董事會在執(zhí)行其監(jiān)督職能、重大問題的宣傳媒介職能和提供建議、咨詢和指導職能時才會越有效。反之，董事會也

38、應向管理者傳遞其所需要的信息并進行反饋和指導。管理者應提供特定的或直接的溝通渠道說明對員工的行為預期和各自的職責。應包括對企業(yè)風險管理原理和方法以及員工權(quán)責分配的清晰的說明。對于風險管理過程和程序的溝通應與企業(yè)預期的風險文化相結(jié)合，并作為企業(yè)風險文化的基礎(chǔ)。此外，信息的列示會直接影響對信息的解釋和對相應的風險或機遇的看法，因此，對于溝通應有一個適當?shù)募軜?gòu)。溝通應使企業(yè)的員工了解有效地企業(yè)風險管理的重要性和相關(guān)性，了解企業(yè)的風險偏好和風險容忍度，并在企業(yè)內(nèi)執(zhí)行、設計一個統(tǒng)一的風險用語并向員工說明他們在影響和支持企業(yè)風險管理要素中的地位和職責。溝通渠道還應該保證企業(yè)員工能夠在各業(yè)務部門、業(yè)務流程或

39、職能部門間進行風險信息的溝通。大多數(shù)情況下， 企6/34業(yè)內(nèi)正常的報告路徑一般是溝通的適當渠道。而在某些情況下，需要一個單獨的信息溝通途徑作為防止失敗機制，而為一途徑在正常情況下是不用的。在所有的情況下，讓企業(yè)的員工了解企業(yè)內(nèi)并不存在對報告相關(guān)信息的報復是很重要的。外部的溝通渠道能夠為企業(yè)的產(chǎn)品或服務的設計或品質(zhì)提供非常重要的信息。管理者應將企業(yè)的風險偏好和風險容忍度與客戶、供應商和合伙人的風險偏好和風險容忍度聯(lián)系起來考慮，以保證不會通過企業(yè)的業(yè)務活動給企業(yè)帶來太多的風險。外部相關(guān)方的信息經(jīng)常會為企業(yè)風險管理的運行提供重要的信息。8監(jiān)控對企業(yè)風險管理的監(jiān)控是指評估風險管理要素的內(nèi)容和運行以及一

40、段時期的執(zhí)行質(zhì)量的一個過程。企業(yè)可以通過兩種方式對風險管理進行監(jiān)控 持續(xù)監(jiān)控和個別評估。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風險管理在企業(yè)內(nèi)各管理層面和各部門持續(xù)得到執(zhí)行。持續(xù)監(jiān)控是對企業(yè)日常的、重復的經(jīng)營活動的監(jiān)控，在實時的基礎(chǔ)上進行，是對不斷變化的環(huán)境的動態(tài)地反應，應在企業(yè)內(nèi)部徹底地貫徹和執(zhí)行。如果執(zhí)行得好，持續(xù)監(jiān)控比個別評估更為有效。由于個別評估是在事實發(fā)生之后才進行評估，而持續(xù)監(jiān)控則會在問題一發(fā)生就很快被發(fā)現(xiàn)。雖然如此，許多使用持續(xù)監(jiān)控的企業(yè)仍舊進行風險管理的個別評估。個別評估的頻率是企業(yè)管理者的主觀判斷問題。在決定個別評估的頻率時，管理者應考慮來自于企業(yè)內(nèi)部和外部事項的變化的性質(zhì)和程

41、度以及相應的風險、企業(yè)員工進行風險反應和相應控制的能力和經(jīng)驗、持續(xù)監(jiān)控的結(jié)果等因素。通常，將持續(xù)監(jiān)控和個別評估進行一定的結(jié)合使用會保證企業(yè)風險管理長期的有效性。對企業(yè)風險管理進行記錄的程度根據(jù)企業(yè)的規(guī)模、經(jīng)營的復雜性和其他因素的影響而有所不同。企業(yè)風險管理的內(nèi)容沒有記錄并不意味著風險管理無效或無法對風險管理進行評_估。但是，適當程度的記錄通常會使對風險管理的監(jiān)控更為有效果和有效率。當企業(yè)管理者打算向企業(yè)外部相關(guān)方提供關(guān)于企業(yè)風險管理效率的報告時，他們則應考慮為企業(yè)風險管理設計一套記錄模式并保持有關(guān)的記錄。所有風險管理失效都會影響企業(yè)確定和執(zhí)行戰(zhàn)略的能力，影響企業(yè)實現(xiàn)其既定目標的能力。對此，應將

42、企業(yè)所有的風險管理失效都報告給適當?shù)墓芾韺?，以保證其采取必要的措施以糾正風險管理失效。企業(yè)所需溝通的事項的性質(zhì)根據(jù)各人處理各種情況的權(quán)限和監(jiān)控者的查漏活動的不同而不同。這里“失效 ”是指企業(yè)風險管理過程中值得注意的某一種情形。因此，失效可能代表一種預期的、潛在的或真實的缺陷，或者代表加強風險管理過程的一個機會，以增加企業(yè)目標實現(xiàn)的可能性。在經(jīng)營活動中產(chǎn)生的信息通常通過正常的渠道進行報告。對于敏感性信息的報告也應有其他的溝通渠道，如非法活動或不正當?shù)幕顒?。向企業(yè)內(nèi)適當?shù)墓芾韺犹峁╆P(guān)于風險管理失效的必需的信息是非常重要的。企業(yè)應建立一個協(xié)議來識別某一管理層決策有效所需要的信息。這些協(xié)議應反映一個基

43、本原則，即一個管理者在收到實現(xiàn)其特定目標的有關(guān)信息外，還應收到影響其權(quán)限范圍內(nèi)人員的行動或行為的所有信息。（四）風險管理要素和企業(yè)目標之間的關(guān)系企業(yè)的風險管理框架包括四類目標和八個要素。四類目標分別是戰(zhàn)略目標、經(jīng)營目標、報告目標和合法性目標。八個要素分別是內(nèi)部環(huán)境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監(jiān)控，是企業(yè)目標實現(xiàn)的保證。它們相互之間存在直接的關(guān)系，可以用一個三維矩陣圖來表示（如圖1 所示）?？梢钥闯?，四個欄分別代表一個企業(yè)的四類目標，并不是企業(yè)的某個部分或部門。因此，例如，當考慮與報告相關(guān)的那類目標時，需要關(guān)于企業(yè)經(jīng)營的大量信息， 但是在這種情況下主要關(guān)注的是

44、風險管理模型右手邊中間這一欄報告目標 而不是經(jīng)營類目標。圖 2 將立方體中水平各行的內(nèi)容進行擴展，說明各風險管理要素的主要內(nèi)容，其中每一要素也就代表一個業(yè)務流程。（五）有效性企業(yè)風險管理是一個過程， 企業(yè)風險管理的有效性則是某一時點的一個狀態(tài)或條件。決定一個企業(yè)的風險管理是否有效是基于對風險管理八要素設計和執(zhí)行是否正確的評估基礎(chǔ)上的一個主觀判斷。為使風險管理有效，企業(yè)的風險管理框架必須包括所有的八個要素，并得到貫徹執(zhí)行。但是，這并不意味著每一要素在不同的企業(yè)間，甚至是不同企業(yè)的同一管理層次上，都必須執(zhí)行同樣的功能。因為不同的要素之間可能存在著作用的相互抵消。由于企業(yè)風險管理的各種技術(shù)能夠為企業(yè)

45、不同的經(jīng)營意圖服務，因此，相對于某要素的技術(shù)也能夠服務于通常是另一要素所體現(xiàn)出來的經(jīng)營意圖。此外，對某一特定風險的風險反應程度可能不同，以至于互補的風險反應模式可能各自對企業(yè)的影響都有限，合并后仍可以保持在風險容忍度的范圍內(nèi)。這里所討論的概念可以應用于所有企業(yè)，無論其規(guī)模。 某些中小企業(yè)所采用的要素的內(nèi)容與大企業(yè)可能不同，但企業(yè)的風險管理仍舊有效。對于每個要素的方法論，小企業(yè)采用的方法與大企業(yè)相比并不正式和結(jié)構(gòu)化，但是，無論企業(yè)的規(guī)模，其風險管理都應包括本文所講的基本概念。7/34企業(yè)風險管理可以從一個企業(yè)的總體來認識，也可以從一個單獨的部門或多個部門的角度來認識。即使是站在某一特定的業(yè)務部門

46、的角度來看待風險管理，所有的八要素也都應作為基準包含在內(nèi)。一個公司可能采用聯(lián)營企業(yè)、合伙或其他的投資形式，其經(jīng)營可能不在母公司的直接控制之下。為保證企業(yè)風險管理的有效性，母公司應從公司戰(zhàn)略和目標的角度考慮與被投資方一起充分應用風險管理八要素的程度。（六）包括內(nèi)部控制內(nèi)部控制是企業(yè)風險管理不可分割的一部分。這里所說的企業(yè)風險管理框架包括內(nèi)部控制，為企業(yè)的管理提供了一個更強的概念基礎(chǔ)和工具。在內(nèi)部控制整體框架中已經(jīng)對內(nèi)部控制進行了定義和描述。由于內(nèi)部控制整體框架是現(xiàn)有的規(guī)則、法規(guī)和法律的基礎(chǔ)，因此本討論稿保留其對內(nèi)部控制的定義。整個內(nèi)部控制整體框架報告都是本框架的參考。（七）企業(yè)風險管理的局限性有

47、效的風險管理可以幫助管理者實現(xiàn)企業(yè)的目標，但是，無論企業(yè)風險管理設計得如何完善、運行得如何有效，它也不能保證一個企業(yè)永遠成功。企業(yè)目標的實現(xiàn)還要受管理過程內(nèi)在局限性的影響。政府政策或項目的改變、競爭對手的行動或經(jīng)濟條件都超出了管理者的控制范圍。人的決策可能會出錯，因而企業(yè)很有可能由于人的簡單的錯誤或過失而破產(chǎn)。 而且企業(yè)風險管理也不能把一個本來就很差的管理者變好。此外，企業(yè)員工兩人或多人合謀可以繞過控制，管理者也有權(quán)利繞過企業(yè)的風險管理過程，包括風險反應和風險控制過程等。企業(yè)風險管理的設計必須反映企業(yè)資源稀缺的現(xiàn)實，而且風險管理的收益必須對應風險管理的成本。因此，雖然企業(yè)風險管理可以幫助管理者

48、實現(xiàn)企業(yè)的目標，但它并不是一顆萬靈丹。（八）各管理層在企業(yè)風險管理中的地位和職責一個組織的每個人在企業(yè)風險管理中都負有責任。1董事會企業(yè)的管理者向董事會負責， 而董事會向管理者履行治理、 指導和監(jiān)督職能。通過選舉管理者，董事會在界定其所期望的員工的操守和價值觀時起主要作用，并能夠通過監(jiān)督活動證實其對員工的預期。同樣，通過在某些關(guān)鍵的決策中保留其權(quán)限，董事會在制定戰(zhàn)略、確定企業(yè)高層次的目標和進行廣義的資源配置時起到一定的作用。董事會對企業(yè)的風險管理負有監(jiān)督職責，主要通過以下方式實現(xiàn)其職責： 了解管理者在企業(yè)內(nèi)部建立有效的風險管理的程度； 獲知并認可企業(yè)的風險偏好； 復核企業(yè)的風險組合觀并與企業(yè)的

49、風險偏好相對照； 評估企業(yè)最重要的風險并評估管理者的反應是否適當。董事會是企業(yè)內(nèi)部環(huán)境的一個組成部分，必須有保證風險管理有效的必要的組織和對風險管理的關(guān)注。2管理者企業(yè)的首席執(zhí)行官對企業(yè)的風險管理最終負責，即擁有企業(yè)風險管理的“所有權(quán) ”。與企業(yè)內(nèi)其他員工不同，首席執(zhí)行官在企業(yè)的高層確定風險管理的基調(diào)，而這會影響企業(yè)內(nèi)部環(huán)境中的員工操守和價值觀及其他因素。在一個大公司中，首席執(zhí)行官通過向高級管理者分派領(lǐng)導權(quán)和提供指令并復核其管理企業(yè)的方式等來履行其職能。高級管理者會進一步將制定更具體的風險管理政策和程序的責任分派給負責各部門運行的員工。而在一個小企業(yè)，首席執(zhí)行官對風險管理的影響則更為直接。他們

50、是企業(yè)的管理者，但同時也是企業(yè)的所有者。在任何情況下，？對其下層的職責，管理者也是其職責范圍內(nèi)的一個首席執(zhí)行官。此時各職能部門的領(lǐng)導者也是很重要的，如法律咨詢部？、財務部、人力資源部和信息技術(shù)部，他們各自的監(jiān)督活動與企業(yè)經(jīng)營和其他部門的活動到處都存在著交叉。3風險管理者一個風險管理者是指某一組織內(nèi)的首席風險管理者或首席風險管理經(jīng)理，他與企業(yè)內(nèi)其他管理者一起在他們的職責范圍內(nèi)建立并維護有效的風險管理框架。首席風險管理經(jīng)理也可以擔當監(jiān)督風險管理進度和幫助其他管理人員在企業(yè)內(nèi)向上、向下和橫向報告有關(guān)風險信息的職責，并可以成為企業(yè)風險管理委員會的一員。4內(nèi)部審計人員內(nèi)部審計人員在企業(yè)風險管理的監(jiān)控中占

51、有重要的地位，這一職責作為其正常職責的一部分，其業(yè)績的質(zhì)量依賴高級管理者、下級管理者或部門執(zhí)行人員的特殊要求。 他們可能通過對管理者風險管理過程的充分性和有效性進行監(jiān)控、檢查、評估、報告和提出改進建議來幫助管理者和董事會或?qū)徲嬑瘑T會。8/345其他員工從某種程度上講， 企業(yè)風險管理是企業(yè)內(nèi)每一個員工的責任， 因此，風險管理應是企業(yè)內(nèi)每一個員工的工作手冊的一部分內(nèi)容。本質(zhì)上，企業(yè)所有的員工都應提供風險管理所需的信息或者采取必要的措施管理風險。同樣，企業(yè)所有的員工都有責任向上報告風險，如經(jīng)營中存在的問題，未遵守有關(guān)的行為規(guī)則的情況、其他違反政策的行為或非法活動。許多企業(yè)外部相關(guān)方也有助于企業(yè)目標的

52、實現(xiàn)。如外部審計人員，從一個獨立、客觀的角度對企業(yè)的財務報表進行審計和對企業(yè)的內(nèi)部控制進行復核，直接有助于企業(yè)目標的實現(xiàn)。同時，外部審計人員還可以向管理者和董事會提供履行其職責有用的額外信息，間接地為企業(yè)目標的實現(xiàn)作出貢獻。其他向企業(yè)提供風險管理的有用信息的相關(guān)方還包括行政管理部門、客戶，其他與企業(yè)進行交易的各方，財務分析師、債券承銷商和新聞媒介等等。但是，外部的各相關(guān)方并不對企業(yè)的風險管理負責。（九）本報告的用途企業(yè)根據(jù)本報告所采取的行動還應考慮下述各方的地位和利益：1董事會成員董事會成員應該與企業(yè)的高級管理人員討論企業(yè)風險管理的狀況并在必要的時候進行監(jiān)督。董事會應該保證企業(yè)風險管理體制能夠

53、為董事會提供與企業(yè)戰(zhàn)略和目標相關(guān)的最重要的風險的評估，包括企業(yè)的管理者采取了什么行動和董事會在監(jiān)督企業(yè)風險管理框架時是如何運作的。董事會應該從企業(yè)的內(nèi)部審計人員、外部審計人員和咨詢顧問外獲得有關(guān)的信息。2高級管理人員本研究建議企業(yè)的首席執(zhí)行官應評估企業(yè)風險管理的適應性。使用本框架，CEO 就可以與企業(yè)的其他主要經(jīng)營和財務主管一道，注意企業(yè)內(nèi)需要注意的地方。使用一定的方法，CEO 可以將企業(yè)的業(yè)務部門的負責人和主要職能部門的員工匯集到一起，討論對企業(yè)風險管理框架適應性和有效性的最初評估。無論討論的形式如何，風險管理最初的評估應決定企業(yè)是否需要對企業(yè)風險管理框架進行進一步的、更廣泛的評估以及應如何

54、進行評估。最初的評估還應該保證企業(yè)再造的監(jiān)控程序確實存在、確實有效。企業(yè)花費在風險管理評估上的時間是企業(yè)的一項投資，而且是一項有高額回報的投資。3企業(yè)內(nèi)其他成員企業(yè)的管理者和其他員工應該考慮他們在企業(yè)風險管理框架中應履行何種職責，并與其上層管理者討論有關(guān)思想以加強企業(yè)的風險管理。內(nèi)部審計人員則應該考慮其工作中關(guān)注企業(yè)風險管理的程度。4立法者每個企業(yè)對企業(yè)風險管理的期望由于兩個方面的影響而千差萬別。首先，由于對企業(yè)風險管理框架的硬件設施構(gòu)建的不同認識，使得企業(yè)的風險管理框架各有不同。一些觀察家認為企業(yè)風險管理將會，或者應該會防止企業(yè)的經(jīng)濟損失，或者至少是防止企業(yè)破產(chǎn)。第二，即使對企業(yè)風險管理能夠

55、做什么、不能做什么以及“合理保證 ”概念有一個共同的認識，對這概念的含義和應該如何應用這些概念也存在許多不同的觀點。為了使各方對企業(yè)風險管理的認識及其作用達成共識，就應該對企業(yè)風險管理框架及其局限性達成共識。本框架的提出就是出于這一考慮。5專業(yè)機構(gòu)規(guī)則制定機構(gòu)和其他專業(yè)組織已經(jīng)提供了企業(yè)理財、審計和相關(guān)問題的指南。本框架會使用這些機構(gòu)頒布的有關(guān)準則和指南。這樣可以減少概念和術(shù)語的多樣性，而一定程度地減少概念和術(shù)語的多樣性對企業(yè)內(nèi)外部各方都是有利的。6教育機構(gòu)本框架應該是理論研究和分析的一個題目， 以尋找未來改進的方向。 如果這個報告作為企業(yè)風險管理通用的理論基礎(chǔ)被廣泛接受，那么其中的概念和術(shù)語就可以在學校的課本中找到。（十）報告的組織這個概覽和框架報告的正文一起構(gòu)成了企業(yè)的風險管理框架。本概覽為企業(yè)的CEO 和其他高級執(zhí)行官、董事會成員和企業(yè)外部的立法者提供了一個高度概括的說明。而框架報告的正文部分則對企業(yè)風險管理的定義、原則和概念進行更為廣泛和深入的討論，為企業(yè)及其他組織中各層次管理者決定如何改進企業(yè)的風險管理提供了指導，并能夠幫助企業(yè)的管理者和其他人員評估企業(yè)的風險管理