1、COSO：Enterprise Risk Management FrameworkCOSO企業(yè)風險管理整體框架概覽 一些公司和和企業(yè)的的管理者者已經(jīng)在在企業(yè)內(nèi)內(nèi)部建立立了一系系列確認認和管理理風險的的過程，而而現(xiàn)在有有許多企企業(yè)也已已經(jīng)開始始或正在在考慮建建立自己己的確認認和管理理風險的的過程。雖雖然管理理者已經(jīng)經(jīng)掌握了了大量的的企業(yè)風風險管理理的信息息（包括括大量公公開出版版的文獻獻），但但實務(wù)中中卻并不不存在統(tǒng)統(tǒng)一的術(shù)術(shù)語，而而且也很很少有普普遍接受受的原則則可供管管理者在在構(gòu)建一一個有效效的風險險管理框框架時作作為指南南。COSO 委員會會已經(jīng)認認識到對對企業(yè)風風險管理理概念性性指南的的

2、需要，因因而該委委員會發(fā)發(fā)起了一一個建立立一個概概念性的的、適當當?shù)娘L險險管理框框架的計計劃，旨旨在支持持企業(yè)建建立或評評判企業(yè)業(yè)風險管管理過程程的項目目提供完完整的原原則、能能用的術(shù)術(shù)語和實實務(wù)操作作指南。另另一相關(guān)關(guān)的目標標是使構(gòu)構(gòu)建的這這個框架架可以作作為管理理者、董董事、主主管人員員、學者者和其他他相關(guān)人人員更好好地理解解企業(yè)風風險管理理及其優(yōu)優(yōu)點和局局限性提提供一個個統(tǒng)一的的基礎(chǔ)，以以便在風風險管理理問題方方面進行行有效地地交流。本概覽列出出了企業(yè)業(yè)風險管管理框架架的關(guān)鍵鍵內(nèi)容，包包括企業(yè)業(yè)風險管管理的定定義、內(nèi)內(nèi)容和基基本原則則，風險險管理的的優(yōu)點、局局限性以以及各相相關(guān)方的的地位

3、和和職責。本本概覽還還強調(diào)企企業(yè)風險險管理的的相關(guān)性性和其與與COSSO 內(nèi)內(nèi)部控制制報告的的關(guān)系。如如果想更更加深入入地了解解有關(guān)知知識，請請看企業(yè)業(yè)風險管管理框架架的全文文。（一）企業(yè)業(yè)風險管管理的相相關(guān)性企業(yè)風險管管理的基基本前提提是每一一個企業(yè)業(yè)，無論論是盈利利組織、非非盈利組組織，還還是政府府機構(gòu)，其其存在的的目的都都是為其其利益相相關(guān)方帶帶來價值值。所有有的企業(yè)業(yè)都要面面對不確確定性。對對企業(yè)管管理者而而言，所所面臨的的挑戰(zhàn)是是在追求求企業(yè)利利益相關(guān)關(guān)方價值值增長的的同時，決決定企業(yè)業(yè)準備接接受的不不確定性性的程度度。不確確定性既既代表風風險，也也代表機機遇，既既存在使使企業(yè)增增值

4、的可可能，也也存在使使企業(yè)減減值的風風險。風風險管理理框架就就是為管管理者提提供一個個框架，使使其能夠夠有效處處理不確確定性及及相應(yīng)的的風險和和機遇，進進而提高高企業(yè)創(chuàng)創(chuàng)造價值值的能力力。1不確定定性企業(yè)經(jīng)營的的環(huán)境中中有許多多因素都都會給企企業(yè)帶來來不確定定性，如如全球化化、技術(shù)術(shù)、法規(guī)規(guī)、企業(yè)業(yè)重構(gòu)、多多變的市市場以及及競爭等等。不確確定性來來源于無無法明確確地決定定潛在事事項將要要發(fā)生的的可能性性及其相相應(yīng)結(jié)果果。2價值從戰(zhàn)略的制制定到企企業(yè)的日日常經(jīng)營營，管理理者的決決策會創(chuàng)創(chuàng)造、保保持或減減少企業(yè)業(yè)的價值值。決策策的本質(zhì)質(zhì)就是確確認風險險和機遇遇，它要要求企業(yè)業(yè)的管理理1應(yīng)在考考慮企

5、業(yè)業(yè)內(nèi)、外外部環(huán)境境的因素素的基礎(chǔ)礎(chǔ)上，對對企業(yè)的的稀缺資資源進行行配置，并并且根據(jù)據(jù)環(huán)境的的不斷變變化來調(diào)調(diào)整企業(yè)業(yè)的活動動。？當企業(yè)的的利益相相關(guān)方取取得其相相應(yīng)價值值的可確確認收益益時，企企業(yè)的價價值也得得到實現(xiàn)現(xiàn)。對于于公司而而言，當當股東承承認由于于股價上上揚所帶帶來的價價值時，他他們也就就承認了了企業(yè)的的價值。對對于政府府機構(gòu)，當當該機構(gòu)構(gòu)以一個個可接受受的成本本所提供供的服務(wù)務(wù)的收益益得到確確認時，機機構(gòu)的價價值就得得以實現(xiàn)現(xiàn)。對于于非盈利利組織的的利益相相關(guān)方而而言，當當他們確確認組織織所提供供的社會會福利的的價值時時，他們們也就承承認了該該組織的的價值。企企業(yè)風險險管理使使管

6、理者者能夠創(chuàng)創(chuàng)造持久久的價值值并能夠夠?qū)?chuàng)造造價值的的信息傳傳遞給利利益相關(guān)關(guān)方。1 在本部部分和以以后的討討論中一一旦使用用“管理”一詞，其其意思包包括非管管理人員員執(zhí)行的的許多企企業(yè)風險險管理活活動。 3企業(yè)風風險管理理的優(yōu)點點所有企企業(yè)都是是在有風風險的環(huán)環(huán)境下經(jīng)經(jīng)營，而而不是企企業(yè)風險險管理使使企業(yè)面面臨這樣樣的環(huán)境境。企業(yè)業(yè)風險管管理是使使管理者者能夠在在充滿風風險的環(huán)環(huán)境中更更加有效效地經(jīng)營營。企業(yè)業(yè)風險管管理使企企業(yè)的管管理者能能夠：（1）將風風險偏好好和企業(yè)業(yè)的戰(zhàn)略略結(jié)合在在一起。從廣義來講講，風險險偏好是是一個公公司或企企業(yè)在追追求其目目標的過過程中愿愿意接受受的風險險的程度

7、度。管理理者在評評估企業(yè)業(yè)的戰(zhàn)略略方案時時首先要要考慮企企業(yè)的風風險偏好好，其后后，在制制定與企企業(yè)戰(zhàn)略略相對應(yīng)應(yīng)的目標標和建立立一定的的機制管管理相應(yīng)應(yīng)的風險險時也應(yīng)應(yīng)考慮企企業(yè)的風風險偏好好。（2）將企企業(yè)成長長、風險險和收益益聯(lián)系起起來經(jīng)濟主體在在企業(yè)價價值保值值、增值值的過程程中也要要接受相相應(yīng)的風風險，同同時預(yù)期期補償風風險的相相應(yīng)收益益。企業(yè)業(yè)風險管管理提高高了企業(yè)業(yè)確認和和評估風風險的能能力，進進而使企企業(yè)能夠夠確定相相對于企企業(yè)成長長性和收收益目標標而言的的風險的的可接受受水平。（3）增加加風險反反應(yīng)決策策企業(yè)風險管管理提供供了確認認和選擇擇不同的的風險反反應(yīng)方案案的嚴格格標準

8、。企企業(yè)的風風險反應(yīng)應(yīng)方案包包括風險險規(guī)避、風風險降低低、風險險共擔和和風險接接受。企企業(yè)風險險管理提提供了進進行相關(guān)關(guān)決策的的方法和和技術(shù)。（4）使企企業(yè)的經(jīng)經(jīng)營意外外和損失失最小化化經(jīng)濟主體可可能提高高確認潛潛在事項項、評估估風險和和明確反反應(yīng)方案案，最后后減少經(jīng)經(jīng)營意外外的出現(xiàn)現(xiàn)次數(shù)以以及減少少相應(yīng)的的成本或或損失。（5）確認認和管理理企業(yè)的的總體風風險每一個經(jīng)濟濟主體都都面臨著著許多風風險，而而不同的的風險會會影響企企業(yè)經(jīng)營營的各個個方面。管管理不僅僅需要對對每一種種風險進進行管理理，還需需要了解解風險對對企業(yè)總總體的影影響。（6）針對對多重風風險提供供完整的的反應(yīng)方方案企業(yè)的經(jīng)營營過

9、程存存在許多多內(nèi)在的的風險，企企業(yè)風險險管理就就是為管管理風險險提供一一整套解解決方案案。（7）抓住住機遇管理不僅要要考慮風風險，還還需要考考慮潛在在的事項項對企業(yè)業(yè)的影響響。對潛潛在事項項有一個個完整的的了解可可以使管管理對每每一潛在在事項表表明何種種機遇有有一個了了解。（8）合理理分配資資金關(guān)于于企業(yè)總總體風險險的更為為明確的的信息可可以使企企業(yè)的管管理者能能夠更加加有效地地評估企企業(yè)總體體的資金金需要，改改進企業(yè)業(yè)的資金金配置。企業(yè)風險管管理本身身并不是是目的，它它僅僅是是實現(xiàn)目目的的一一種方式式。它不不能、也也無法在在一個經(jīng)經(jīng)濟主體體內(nèi)單獨獨運行，而而是企業(yè)業(yè)管理過過程的一一個推動動器

10、。企企業(yè)風險險管理向向董事會會提供最最重要的的風險的的信息以以及這些些風險應(yīng)應(yīng)如何管管理的建建議，進進而與公公司治理理相聯(lián)系系。而且且，風險險管理與與企業(yè)的的績效管管理也有有關(guān)，風風險管理理通過提提供風險險調(diào)節(jié)的的措施和和內(nèi)部控控制來幫幫助企業(yè)業(yè)的績效效管理。內(nèi)內(nèi)部控制制是企業(yè)業(yè)風險管管理的一一部分。風險管理幫幫助一個個經(jīng)濟主主體實現(xiàn)現(xiàn)其經(jīng)營營和利潤潤目標、防防止資源源的浪費費。它還還有助于于確保企企業(yè)報告告的有效效性。此此外，企企業(yè)風險險管理還還有助于于保證企企業(yè)遵守守有關(guān)的的法律、法法規(guī)，避避免其聲聲譽受損損并防止止產(chǎn)生相相應(yīng)的不不良后果果。總之之，企業(yè)業(yè)風險管管理可以以幫助一一個經(jīng)濟濟主

11、體實實現(xiàn)其目目標、及及在實現(xiàn)現(xiàn)目標的的過程中中避開陷陷井和防防止意外外的發(fā)生生。（二）企業(yè)業(yè)風險管管理的定定義企業(yè)業(yè)風險管管理是企企業(yè)的董董事會、管管理層和和其他員員工共同同參與的的一個過過程，應(yīng)應(yīng)用于企企業(yè)的戰(zhàn)戰(zhàn)略制定定和企業(yè)業(yè)的各個個部門和和各項經(jīng)經(jīng)營活動動，用于于確認可可能影響響企業(yè)的的潛在事事項并在在其風險險偏好范范圍內(nèi)管管理風險險，對企企業(yè)目標標的實現(xiàn)現(xiàn)提供合合理的保保證。這一定義反反映了一一些基本本概念：1企業(yè)的的風險管管理是一一個過程程其本本身并不不是一個個目的，而而是實現(xiàn)現(xiàn)目的的的一種方方式。2風險管管理受人人的影響響它不不只是企企業(yè)的政政策、調(diào)調(diào)查和表表格，還還涉及一一個企業(yè)

12、業(yè)各個層層次員工工。3風險管管理也適適用于企企業(yè)戰(zhàn)略略制定過過程。4企業(yè)風風險管理理應(yīng)在整整個企業(yè)業(yè)范圍內(nèi)內(nèi)應(yīng)用，在在每一個個經(jīng)營層層面和每每一個單單位內(nèi)應(yīng)應(yīng)用，并并應(yīng)以一一種企業(yè)業(yè)總體的的風險組組合的觀觀點來看看待。5風險管管理的設(shè)設(shè)計應(yīng)有有助于確確認會對對企業(yè)造造成潛在在影響的的事項并并確保在在企業(yè)風風險偏好好的范圍圍內(nèi)管理理企業(yè)的的風險。 6風風險管理理僅為企企業(yè)的管管理者和和董事會會提供合合理的保保證。7企業(yè)風風險管理理的目標標是幫助助企業(yè)一一類或幾幾類單獨獨并相互互重疊的的目標的的實現(xiàn)。從廣義上定定義這一一概念主主要有幾幾個原因因：這一一定義應(yīng)應(yīng)包括公公司和其其他企業(yè)業(yè)管理風風險的幾

13、幾個基本本概念，并并可以應(yīng)應(yīng)用于各各種組織織、行業(yè)業(yè)和部門門。它直直接針對對企業(yè)目目標的實實現(xiàn)。此此外，這這一定義義應(yīng)為定定義企業(yè)業(yè)風險管管理的有有效性提提供一個個基礎(chǔ)。上上述基本本概念詳詳細論述述如下：1一個過過程企業(yè)業(yè)的風險險管理并并不是一一個事項項或環(huán)境境，而是是滲透于于企業(yè)各各項活動動中一系系列行動動。這些些行動普普遍存在在于管理理者對企企業(yè)的日日常管理理中，是是企業(yè)日日常管理理所固有有的。一些人認為為，企業(yè)業(yè)風險管管理對企企業(yè)的各各項活動動而言是是多余的的，是企企業(yè)必須須承擔的的一個負負擔，但但COSSO 的的討論稿稿則并不不這樣認認為。但但有效的的企業(yè)風風險管理理仍舊需需要企業(yè)業(yè)各

14、管理理層不懈懈的努力力。例如如，風險險評估要要求企業(yè)業(yè)不斷地地努力來來建立必必要的評評估模型型并進行行必要的的分析和和計算。但但是，這這些以及及其他的的企業(yè)風風險管理理機制與與企業(yè)的的經(jīng)營活活動是并并存的，是是由于最最基本的的商業(yè)原原因而存存在的。當當企業(yè)風風險管理理機制成成為企業(yè)業(yè)的基礎(chǔ)礎(chǔ)設(shè)施并并真正成成為企業(yè)業(yè)的一部部分時，企企業(yè)的風風險管理理會最有有效。通通過建立立風險管管理，企企業(yè)可以以直接提提高自身身的戰(zhàn)略略執(zhí)行能能力，并并提高企企業(yè)預(yù)期期和任務(wù)務(wù)的實現(xiàn)現(xiàn)能力。建立風險管管理對企企業(yè)的成成本構(gòu)成成同樣有有重要的的影響，特特別是在在目前大大多數(shù)企企業(yè)都面面臨高度度競爭的的市場環(huán)環(huán)境的情

15、情況下。在在現(xiàn)有工工序的基基礎(chǔ)上增增加新的的工序會會增加成成本，而而通過關(guān)關(guān)注現(xiàn)有有的經(jīng)營營過程以以及他們們對實現(xiàn)現(xiàn)有效風風險管理理的貢獻獻，并將將風險管管理整合合到企業(yè)業(yè)的基本本經(jīng)營活活動之中中，一個個企業(yè)就就能夠避避免不必必要的工工序和成成本。并并且，將將風險管管理整合合到企業(yè)業(yè)日常的的經(jīng)營過過程中有有助于管管理者抓抓住企業(yè)業(yè)發(fā)展的的新機遇遇。2受人的的影響企業(yè)的風險險管理會會受董事事會、管管理層和和其他人人員的影影響，風風險管理理是通過過組織內(nèi)內(nèi)的人來來完成的的，是通通過人的的所做和和所說實實現(xiàn)的。是是企業(yè)內(nèi)內(nèi)的人制制定企業(yè)業(yè)的任務(wù)務(wù)/預(yù)期，戰(zhàn)戰(zhàn)略和目目標，并并實施企企業(yè)的風風險管理理機

16、制。同樣，企業(yè)業(yè)風險管管理也影影響人的的行動。企企業(yè)風險險管理要要認識到到人對事事物的理理解、溝溝通或執(zhí)執(zhí)行并不不總是一一致的。企企業(yè)中的的每個人人都有不不同的背背景和技技術(shù)能力力，都有有不同的的需求和和優(yōu)勢。這些因素都都會影響響企業(yè)的的風險管管理，也也會受風風險管理理的影響響。每個個人的出出發(fā)點都都不同，這這會影響響他們對對風險的的確認、評評估和反反應(yīng)。企企業(yè)風險險管理就就是要提提供了一一個機制制，幫助助人們從從企業(yè)總總體目標標的角度度認識風風險。企企業(yè)的員員工必須須了解他他們自己己的職責責和權(quán)限限。因此此，除了了要明確確員工的的職責和和企業(yè)的的戰(zhàn)略和和目標之之間的聯(lián)聯(lián)系之外外，還要要明確員

17、員工的職職責和他他們履行行職責的的方式之之間的聯(lián)聯(lián)系。 一個組織的的員工包包括董事事會成員員、管理理者和其其他人員員。盡管管企業(yè)的的董事主主要負責責監(jiān)督，但但是他們們同時也也向管理理者提供供指導，核核準企業(yè)業(yè)的戰(zhàn)略略、某些些活動和和政策。因因此，董董事會是是企業(yè)風風險管理理的重要要組成部部分之一一。3可應(yīng)用用于企業(yè)業(yè)戰(zhàn)略的的制定一個企業(yè)要要確定其其預(yù)期或或任務(wù)，并并制定其其戰(zhàn)略目目標。企企業(yè)的戰(zhàn)戰(zhàn)略目標標是企業(yè)業(yè)最高層層次的目目標，它它與企業(yè)業(yè)的預(yù)期期和任務(wù)務(wù)相聯(lián)系系并支持持預(yù)期和和任務(wù)的的實現(xiàn)。一一個企業(yè)業(yè)為實現(xiàn)現(xiàn)其戰(zhàn)略略目標而而制定戰(zhàn)戰(zhàn)略方案案，并將將戰(zhàn)略方方案分解解成相應(yīng)應(yīng)的目標標，再將

18、將目標層層層分解解到企業(yè)業(yè)的各業(yè)業(yè)務(wù)部門門、行政政部門和和生產(chǎn)線線。在制制定企業(yè)業(yè)的戰(zhàn)略略方案時時，管理理者應(yīng)考考慮與不不同的戰(zhàn)戰(zhàn)略方案案相關(guān)的的風險。4應(yīng)用于于整個企企業(yè)為使企業(yè)的的風險管管理獲得得成功，一一個企業(yè)業(yè)必須從從全局，從從企業(yè)總總體層面面上考慮慮企業(yè)的的活動。企企業(yè)的風風險管理理應(yīng)考慮慮組織內(nèi)內(nèi)所有層層面的活活動，從從企業(yè)總總體的活活動（如如戰(zhàn)略計計劃和資資源分配配）到各各業(yè)務(wù)部部門的活活動（如如市場部部、人力力資源部部），到到各業(yè)務(wù)務(wù)流程（如如生產(chǎn)過過程和新新客房信信用審核核）等等等。企業(yè)業(yè)風險管管理還可可用于特特定項目目和新的的行動計計劃，盡盡管該項項目或計計劃可能能在企業(yè)業(yè)

19、的管理理流程或或組織流流程圖中中尚無明明確的定定位。企業(yè)風險管管理要求求企業(yè)以以風險組組合的觀觀點看待待風險。這這會要求求企業(yè)內(nèi)內(nèi)負責各各業(yè)務(wù)部部門、行行政部門門、生產(chǎn)產(chǎn)流程或或其他活活動的管管理者對對本部門門的風險險進行評評估。這這些評估估可以是是定量的的，也可可以是定定性的。企企業(yè)的高高級管理理者應(yīng)以以一種組組合的觀觀點看待待企業(yè)內(nèi)內(nèi)每個下下級層面面的風險險，以決決定企業(yè)業(yè)總的風風險組合合是否與與企業(yè)的的風險偏偏好相對對應(yīng)。管理者應(yīng)以以總體的的組合觀觀來考慮慮相關(guān)風風險。對對相關(guān)的的風險應(yīng)應(yīng)予確認認并采取取措施使使承擔的的風險落落在企業(yè)業(yè)風險偏偏好的范范圍內(nèi)。對對企業(yè)內(nèi)內(nèi)部每個個單位的的風

20、險而而言，可可能都落落在該部部門的風風險容忍忍度的范范圍內(nèi)，但但從總體體來看，合合并后的的風險可可能超過過了企業(yè)業(yè)總體的的風險偏偏好。企企業(yè)總的的風險偏偏好應(yīng)通通過對特特定目標標確立相相應(yīng)的風風險容忍忍度的方方式在企企業(yè)內(nèi)部部向下貫貫徹。5風險偏偏好風險偏好是是指一個個企業(yè)在在追求價價值最大大化的同同時所愿愿意接受受的風險險的數(shù)量量。企業(yè)業(yè)通常采采用定性性的方法法分析風風險偏好好，將風風險偏好好分為高高、中、低低三類；或者采采用定量量的方法法分析風風險偏好好，反映映出企業(yè)業(yè)的成長長性、收收益性和和風險目目標，并并在三個個目標之之間進行行平衡。風險偏好與與企業(yè)的的戰(zhàn)略直直接相關(guān)關(guān)。在制制定戰(zhàn)略略

21、時應(yīng)考考慮企業(yè)業(yè)的風險險偏好，并并將戰(zhàn)略略的預(yù)期期收益與與企業(yè)的的風險偏偏好聯(lián)系系起來考考慮。不不同的戰(zhàn)戰(zhàn)略會給給企業(yè)帶帶來不同同的風險險，在戰(zhàn)戰(zhàn)略制定定時應(yīng)用用風險管管理，其其目的是是幫助管管理者選選擇與企企業(yè)的風風險偏好好相一致致的戰(zhàn)略略。企業(yè)的風險險偏好指指導企業(yè)業(yè)的資源源配置。管管理者在在各業(yè)務(wù)務(wù)部門間間分配資資源時應(yīng)應(yīng)考慮企企業(yè)的風風險偏好好和各個個業(yè)務(wù)部部門為取取得預(yù)期期的收益益率所采采用的戰(zhàn)戰(zhàn)略。管管理者應(yīng)應(yīng)將企業(yè)業(yè)的風險險偏好與與企業(yè)的的組織結(jié)結(jié)構(gòu)、人人員和業(yè)業(yè)務(wù)流程程聯(lián)系起起來考慮慮，并應(yīng)應(yīng)建立對對風險有有效反應(yīng)應(yīng)和監(jiān)督督的必要要的硬件件設(shè)施。風險容忍度度是與要要實現(xiàn)的的目標

22、相相關(guān)的偏偏差的可可接受程程度。在在確定某某一特定定的風險險容忍度度時，管管理者應(yīng)應(yīng)考慮相相關(guān)目標標的相對對重要性性并將風風險容忍忍度與企企業(yè)的風風險偏好好聯(lián)系在在一起。在在風險容容忍度的的范圍之之內(nèi)經(jīng)營營更能夠夠保證企企業(yè)所承承受的風風險在其其風險偏偏好的范范圍內(nèi)。反反過來，就就能夠?qū)ζ髽I(yè)目目標的實實現(xiàn)提供供更高程程度的保保證。6提供合合理保證證設(shè)計合合理、運運行有效效的風險險管理能能夠向企企業(yè)的管管理者和和董事會會在企業(yè)業(yè)目標的的實現(xiàn)上上提供合理的保證證。如果果企業(yè)的的風險管管理有效效，董事事會和管管理者在在以下幾幾個方面面得到合合理的保保證：了解企企業(yè)戰(zhàn)略略目標實實現(xiàn)的程程度；了解企企

23、業(yè)經(jīng)營營目標實實現(xiàn)的程程度； 企業(yè)報告告的可靠靠性；相關(guān)的法法律和法法規(guī)遵守守的情況況。“合理保證證”反映了了“不確定定性和風風險都是是與未來來相關(guān)，而而未來是是沒有人人可以確確切地預(yù)預(yù)測的”這一思思想。這這種局限限性的其其他原因因包括：人們在在進行決決策時的的判斷可可能出錯錯；對風風險反應(yīng)應(yīng)的決策策和所建建立的控控制需要要考慮成成本效益益原則；由于人人們的簡簡單失誤誤或錯誤誤可能導導致的企企業(yè)破產(chǎn)產(chǎn)；可能能由于兩兩個或多多個人的的串通而而繞過控控制；管管理者可可能忽視視企業(yè)的的風險管管理決策策等等。這這些限制制使得董董事會和和管理者者無法在在企業(yè)目目標實現(xiàn)現(xiàn)方面得得到絕對對保證。7目標的的實

24、現(xiàn)有效的風險險管理應(yīng)應(yīng)該能夠夠為企業(yè)業(yè)目標的的實現(xiàn)提提供合理理的保證證，包括括報告的的可靠性性、合法法合規(guī)性性目標等等等。這這兩類目目標的實實現(xiàn)都是是在企業(yè)業(yè)的控制制范圍內(nèi)內(nèi)，其實實現(xiàn)依賴賴于相關(guān)關(guān)活動執(zhí)執(zhí)行的好好壞。但是，戰(zhàn)略略目標和和經(jīng)營目目標的實實現(xiàn)并不不總是在在企業(yè)的的控制范范圍內(nèi)。對對于這兩兩類目標標，企業(yè)業(yè)風險管管理只能能合理保保證管理理者和董董事會從從宏觀上上及時了了解企業(yè)業(yè)目標實實現(xiàn)的進進度。（三）企業(yè)業(yè)風險管管理的組組成要素素根據(jù)管理者者經(jīng)營的的方式劃劃分，企企業(yè)風險險管理包包括八個個相互關(guān)關(guān)聯(lián)的組組成要素素，這八八個要素素滲透于于企業(yè)管管理的過過程之中中，包括括：1內(nèi)部環(huán)環(huán)

25、境企業(yè)的內(nèi)部部環(huán)境是是其他所所有風險險管理要要素的基基礎(chǔ)，為為其他要要素提供供規(guī)則和和結(jié)構(gòu)。內(nèi)內(nèi)部環(huán)境境影響企企業(yè)戰(zhàn)略略和目標標的制定定、業(yè)務(wù)務(wù)活動的的組織和和風險的的識別、評評估和執(zhí)執(zhí)行等等等。它還還影響企企業(yè)控制制活動的的設(shè)計和和執(zhí)行、信信息和溝溝通系統(tǒng)統(tǒng)以及監(jiān)監(jiān)控活動動。內(nèi)部部環(huán)境包包含很多多內(nèi)容，包包括企業(yè)業(yè)員工的的道德觀觀和勝任任能力、人人員的培培訓、管管理者的的經(jīng)營模模式、分分配權(quán)限限和職責責的方式式等。董董事會是是內(nèi)部環(huán)環(huán)境的一一個重要要組成部部分，對對其他內(nèi)內(nèi)部環(huán)境境的組成成內(nèi)容有有重要的的影響。而而企業(yè)的的管理者者也是內(nèi)內(nèi)部環(huán)境境的一部部分，其其職責是是建立企企業(yè)的風風險管理

26、理理念、確確定企業(yè)業(yè)的風險險偏好，營營造企業(yè)業(yè)的風險險文化，并并將企業(yè)業(yè)的風險險管理和和相關(guān)的的行動計計劃結(jié)合合起來。讓企業(yè)所有有員工了了解企業(yè)業(yè)的風險險管理理理念有利利于提高高雇員確確認和有有效管理理風險的的能力。風風險管理理理念是是企業(yè)對對風險的的信念，是是企業(yè)選選擇處理理其活動動和風險險的方式式。它反反映了一一個企業(yè)業(yè)期望從從企業(yè)的的風險管管理獲得得一定的的價值。這這一理念念還會影影響企業(yè)業(yè)風險管管理要素素的應(yīng)用用方式。管管理者應(yīng)應(yīng)將其風風險管理理理念通通過政策策說明書書和其他他溝通方方式向企企業(yè)的員員工宣傳傳。更重重要的是是，管理理者不應(yīng)應(yīng)僅僅是是在紙面面上強調(diào)調(diào)風險管管理理念念，還應(yīng)

27、應(yīng)在每天天的行動動中貫徹徹執(zhí)行。風險偏好由由企業(yè)的的管理者者設(shè)定，董董事會復(fù)復(fù)核，是是企業(yè)制制定戰(zhàn)略略的一個個控制指指標。通通常為了了實現(xiàn)某某一個預(yù)預(yù)定的增增長或收收益目標標，企業(yè)業(yè)可以制制定許多多不同的的戰(zhàn)略，而而每一個個戰(zhàn)略都都具有不不同的風風險。在在戰(zhàn)略制制定過程程中，風風險管理理有助于于管理者者選擇與與企業(yè)的的風險偏偏好相一一致的戰(zhàn)戰(zhàn)略方案案。管理理者期望望將企業(yè)業(yè)的組織織結(jié)構(gòu)、人人員、生生產(chǎn)過程程與硬件件設(shè)施整整合在一一起，使使得在戰(zhàn)戰(zhàn)略的成成功執(zhí)行行的同時時將風險險控制在在風險偏偏好的范范圍內(nèi)。風險文化是是企業(yè)員員工共同同的態(tài)度度、價值值觀和實實務(wù)操作作程序的的組合，表表明企業(yè)業(yè)在

28、其日日常活動動中看待待風險的的方式。對對于許多多公司而而言，風風險文化化來自于于企業(yè)的的風險理理念和風風險偏好好。對那那些不能能明確界界定其風風險理念念的企業(yè)業(yè)，其風風險文化化的形成成可能是是隨機的的，而導導致一個個企業(yè)內(nèi)內(nèi)存在明明顯不同同的風險險文化，甚甚至在一一個業(yè)務(wù)務(wù)部門、行行政部門門中都有有可能存存在明顯顯不同的的風險文文化。2目標制制定根據(jù)據(jù)企業(yè)確確定的任任務(wù)或預(yù)預(yù)期，管管理者確確定企業(yè)業(yè)的戰(zhàn)略略目標，選選擇戰(zhàn)略略方案，確確定相關(guān)關(guān)的 子目標并在在企業(yè)內(nèi)內(nèi)層層分分解和落落實，各各子目標標都應(yīng)遵遵循企業(yè)業(yè)的戰(zhàn)略略方案并并與戰(zhàn)略略方案相相聯(lián)系。在在能夠確確定對目目標的實實現(xiàn)有潛潛在影響響

29、的事項項之前，管管理者就就應(yīng)確定定企業(yè)的的目標。而而企業(yè)風風險管理理就是提提供給管管理者一一個適當當?shù)倪^程程，既能能夠制定定企業(yè)的的目標，又又能夠?qū)⒛繕伺c與企業(yè)的的任務(wù)或或預(yù)期聯(lián)聯(lián)系在一一起，并并且這些些目標還還與企業(yè)業(yè)的風險險偏好相相一致。企業(yè)的目標標可以分分為四類類：戰(zhàn)略目標標 是企業(yè)業(yè)的高層層次目標標，與企企業(yè)的任任務(wù)和預(yù)預(yù)期相聯(lián)聯(lián)系并支支持企業(yè)業(yè)的任務(wù)務(wù)和預(yù)期期的實現(xiàn)現(xiàn)。經(jīng)營目標標 是指企企業(yè)經(jīng)營營的效率率性和效效果性，包包括經(jīng)營營業(yè)績目目標和盈盈利能力力目標，由由于管理理者對企企業(yè)結(jié)構(gòu)構(gòu)和經(jīng)營營的不同同選擇，各各企業(yè)的的經(jīng)營目目標也不不盡相同同。報告目標標 指企業(yè)業(yè)報告的的有效性性

30、，包括括企業(yè)內(nèi)內(nèi)部和外外部的報報告，既既包括財財務(wù)信息息，也包包括非財財務(wù)信息息。合法性目目標 是指企企業(yè)符合合相關(guān)的的法律和和法規(guī)。企業(yè)目標的的這種分分類可以以使企業(yè)業(yè)的管理理者和董董事會注注意企業(yè)業(yè)風險管管理的不不同方面面。企業(yè)業(yè)的某一一個特定定目標可可能不僅僅僅屬于于某一類類目標。企企業(yè)的這這些目標標既相互互區(qū)別但但又相互互重疊，可可以明確確企業(yè)的的不同需需要，并并且可以以分派給給企業(yè)的的某一個個執(zhí)行官官作為其其直接職職責。這這種分類類還可以以區(qū)分企企業(yè)不同同類別目目標的期期望之間間的區(qū)別別。某些企業(yè)還還有另一一類目標標“資源的的安全”，有時時也叫“資產(chǎn)的的安全”。從廣廣義上看看，這一一

31、目標是是防止企企業(yè)資產(chǎn)產(chǎn)或資源源的流失失，這種種流失可可以是由由于偷竊竊、浪費費、經(jīng)營營的無效效性，也也可以是是由于企企業(yè)商業(yè)業(yè)上簡單單的錯誤誤決策（如如以過低低的價格格出售產(chǎn)產(chǎn)品、沒沒有留住住企業(yè)的的關(guān)鍵員員工、沒沒有阻止止對本企企業(yè)專利利權(quán)的侵侵害行為為，或者者是出現(xiàn)現(xiàn)未預(yù)期期的負債債等等）所所引起的的流失。對對某種報報告目的的而言，這這種廣義義的資產(chǎn)產(chǎn)安全類類目標可可能是一一個狹義義的定義義，此時時的資產(chǎn)產(chǎn)安全概概念可以以僅僅指指預(yù)防或或及時發(fā)發(fā)現(xiàn)對企企業(yè)資產(chǎn)產(chǎn)的未經(jīng)經(jīng)授權(quán)的的購買、使使用或處處置。3事項識識別(EEvennt IIdenntifficaatioon) 管理者意識識到了不

32、不確定性性的存在在，即管管理者不不能確切切地知道道某一事事項是否否會發(fā)生生、何時時發(fā)生或或者如果果發(fā)生其其結(jié)果如如何。作作為事項項識別的的一部分分，管理理者應(yīng)考考慮會影影響事項項發(fā)生的的各種企企業(yè)內(nèi)外外部的因因素。外外部因素素包括經(jīng)經(jīng)濟、商商業(yè)、自自然環(huán)境境、政治治、社會會和技術(shù)術(shù)因素等等，內(nèi)部部因素反反映出管管理者所所做的選選擇，包包括企業(yè)業(yè)的基礎(chǔ)礎(chǔ)設(shè)施、人人員、生生產(chǎn)過程程和技術(shù)術(shù)等事項項。一個企業(yè)事事項識別別的方法法可以包包含不同同的技術(shù)術(shù)及其與與相應(yīng)的的工具的的組合。事事項識別別技術(shù)既既針對過過去，又又針對未未來。針針對過去去的事項項和趨勢勢的識別別技術(shù)主主要要考考慮類似似支付錯錯誤的

33、歷歷史、商商品價格格的變化化和浪費費時間的的突發(fā)事事件（LLostt-tiime acccideentss ）等等事項，而而針對未未來風險險的技術(shù)術(shù)則主要要考慮不不斷變化化的人口口統(tǒng)計資資料、新新市場和和競爭者者的行為為等事項項。將潛在的事事項進行行分類對對管理者者而言是是非常有有用的。通通過在企企業(yè)內(nèi)各各水平層層面上對對事項進進行匯總總、在營營運部門門內(nèi)部對對事項進進行垂直直地匯總總，管理理者能夠夠?qū)κ马楉椫g的的相互關(guān)關(guān)系有一一個了解解，這些些信息也也可以作作為風險險評估的的基礎(chǔ)。潛在的事項項可能對對企業(yè)有有正面的的影響、也也可能有有負面的的影響或或者兩種種影響同同時存在在。對企企業(yè)有潛潛

34、在負面面影響的的事項是是企業(yè)的的風險，要要求企業(yè)業(yè)的管理理者對其其進行評評估和建建立反應(yīng)應(yīng)方案。因因此，風風險的定定義就是是，某一一事項將將要發(fā)生生的可能能性及其其對企業(yè)業(yè)目標的的實現(xiàn)造造成負面面影響的的可能性性。對企業(yè)有潛潛在正面面影響的的事項則則是企業(yè)業(yè)的機遇遇或者可可以彌補補風險對對企業(yè)的的負面影影響。機機遇可以以在企業(yè)業(yè)戰(zhàn)略或或目標制制定的過過程中加加以考慮慮，以制制定有關(guān)關(guān)行動抓抓住機遇遇。可能能彌補風風險對企企業(yè)負面面影響的的事項則則應(yīng)在管管理者對對風險進進行評估估和反應(yīng)應(yīng)的階段段予以考考慮。4風險評評估 風險評估可可以使企企業(yè)了解解潛在事事項如何何影響企企業(yè)目標標的實現(xiàn)現(xiàn)。管理理

35、者應(yīng)從從兩個方方面對風風險進行行評估風險險發(fā)生的的可能性性和影響響。風險發(fā)生的的可能性性是指某某一特定定事項發(fā)發(fā)生的可可能性，影影響則是是指事項項的發(fā)生生將會帶帶來的影影響。對對風險發(fā)發(fā)生的可可能性和和影響的的估計經(jīng)經(jīng)常需要要使用從從過去的的可觀察察事項得得到的數(shù)數(shù)據(jù)，這這比沒有有任何數(shù)數(shù)據(jù)的、完完全的主主觀估計計要客觀觀得多。根根據(jù)企業(yè)業(yè)自己的的經(jīng)驗在在企業(yè)內(nèi)內(nèi)部產(chǎn)生生的數(shù)據(jù)據(jù)帶有較較少的人人的主觀觀偏見，能能夠得到到比外部部數(shù)據(jù)更更好的結(jié)結(jié)果。但但是，即即使是以以內(nèi)部數(shù)數(shù)據(jù)作為為主要的的資料來來源，外外部數(shù)據(jù)據(jù)仍能用用作一個個檢查標標準或者者改進分分析。當當使用過過去數(shù)據(jù)據(jù)對未來來進行預(yù)預(yù)

36、測時使使用者必必須小心心，因為為影響過過去事項項的有關(guān)關(guān)因素可可能會隨隨著時間間的推移移而改變變。一個企業(yè)風風險評估估的方法法通常是是定量方方法和定定性分析析技術(shù)的的組合。當當風險本本身無法法量化時時，或者者量化評評估所要要求充足足的可靠靠的數(shù)據(jù)據(jù)實際不不可獲得得或者數(shù)數(shù)據(jù)獲得得或分析析不符合合成本效效益原則則時，管管理者通通常會采采用定性性的分析析技術(shù)。定定量的分分析技術(shù)術(shù)通常更更加精確確，一般般用于更更為復(fù)雜雜多變的的活動，作作為定性性分析的的補充。一一個企業(yè)業(yè)不需要要在每個個業(yè)務(wù)部部門都使使用同樣樣的評估估技術(shù)。相相反，對對評估技技術(shù)的選選擇應(yīng)反反映出對對精確性性的需要要和該業(yè)業(yè)務(wù)部門門

37、的文化化。在任任何情況況下，各各業(yè)務(wù)部部門所使使用的評評估技術(shù)術(shù)應(yīng)有利利于企業(yè)業(yè)在整個個企業(yè)的的范圍內(nèi)內(nèi)對風險險的評估估。在衡量目標標的實現(xiàn)現(xiàn)程度時時，管理理者經(jīng)常常使用業(yè)業(yè)績計量量指標。當當考慮某某一風險險對實現(xiàn)現(xiàn)某一特特定目標標的潛在在影響時時，使用用這些計計量指標標同樣有有效。管管理者可可以評估估各事項項之間的的關(guān)系，因因為一系系列相互互關(guān)聯(lián)的的事項結(jié)結(jié)合起來來會使得得事項的的發(fā)生概概率或事事項的影影響發(fā)生生重大變變化。雖雖然一個個單一事事項的影影響可能能很小，但但是這樣樣一系列列事項則則可能對對企業(yè)造造成重大大影響。各各潛在事事項之間間可能并并不直接接相關(guān)，這這時管理理者可以以分別對對

38、其進行行評估，但但是當某某些風險險可能在在企業(yè)的的多個業(yè)業(yè)務(wù)部門門出現(xiàn)時時，管理理者可以以將所確確認的風風險歸為為一類進進行評估估。通常一個潛潛在事項項結(jié)果是是一個可可能的范范圍值，管管理者應(yīng)應(yīng)將其作作為制定定風險反反應(yīng)方案案的基礎(chǔ)礎(chǔ)。通過過風險評評估，管管理者可可以了解解潛在事事項在整整個企業(yè)業(yè)內(nèi)對企企業(yè)的正正面和負負面的影影響，單單個事項項或某類類事項對對企業(yè)的的影響。管理者通常常只趨于于關(guān)注中中短期的的風險，但但風險應(yīng)應(yīng)在企業(yè)業(yè)戰(zhàn)略和和目標的的前提下下進行評評估。由由于戰(zhàn)略略方向和和目標的的某些要要素涉及及較長時時期，管管理者因因而應(yīng)從從長期的的角度認認識風險險，而不不能忽視視遠期會會影

39、響企企業(yè)的風風險。首先，應(yīng)對對企業(yè)的的固有風風險進行行評估。固固有風險險是指管管理者在在沒有采采取任何何會改變變風險發(fā)發(fā)生的可可能性或或影響的的管理措措施的情情況下企企業(yè)所面面臨的風風險。一一旦確定定了對固固有風險險的風險險反應(yīng)方方案，管管理者就就可以使使用風險險評估技技術(shù)確定定企業(yè)的的殘留風風險。殘殘留風險險是指管管理者采采取了有有關(guān)風險險管理措措施后應(yīng)應(yīng)存在的的風險。5風險反反應(yīng)管理者可以以制定不不同風險險反應(yīng)方方案，并并在風險險容忍度度和成本本效益原原則的前前提下，考考慮每個個方案如如何影響響事項發(fā)發(fā)生的可可能性和和事項對對企業(yè)的的影響，并并設(shè)計和和執(zhí)行風風險反應(yīng)應(yīng)方案。考考慮各風風險反

40、應(yīng)應(yīng)方案并并選擇和和執(zhí)行一一個風險險反應(yīng)方方案是企企業(yè)風險險管理不不可分割割的一部部分。有有效的風風險管理理要求管管理者選選擇一個個可以使使企業(yè)風風險發(fā)生生的可能能性和影影響都落落在風險險容忍度度范圍之之內(nèi)的風風險反應(yīng)應(yīng)方案。風險反應(yīng)可可分為規(guī)規(guī)避風險險、減少少風險、共共擔風險險和接受受風險四四類。規(guī)規(guī)避風險險是指采采取措施施退出會會給企業(yè)業(yè)帶來風風險的活活動。減減少風險險是指減減少風險險發(fā)生的的可能性性、減少少風險的的影響或或者兩者者同時減減少。共共擔風險險是指通通過轉(zhuǎn)嫁嫁或與他他人共擔擔一部分分風險來來降低風風險發(fā)生生的可能能性或影影響。接接受風險險則是不不采取任任何改變變風險發(fā)發(fā)生的可可

41、能性或或影響的的行動。作作為企業(yè)業(yè)風險管管理的一一部分，對對于每一一個重要要的風險險，企業(yè)業(yè)都應(yīng)按按風險反反應(yīng)的類類型考慮慮所有的的風險反反應(yīng)方案案，這樣樣有助于于風險反反應(yīng)方案案的選擇擇，這也也是對“現(xiàn)狀”提出的的挑戰(zhàn)。 選定某一個個風險反反應(yīng)方案案后，管管理者應(yīng)應(yīng)在殘留留風險的的基礎(chǔ)上上重新評評估風險險，即從從企業(yè)總總體的風風險組合合的、預(yù)預(yù)測的角角度重新新計量風風險。管管理者可可以采取取一定的的方法使使得每一一生產(chǎn)部部門、行行政部門門或業(yè)務(wù)務(wù)單位的的管理者者可以對對風險進進行復(fù)合合式的評評估以決決定該部部門的風風險反應(yīng)應(yīng)方案。這這種視角角可以反反映相對對于各部部門的目目標和風風險容忍忍度

42、該部部門的風風險組合合。在對對各個獨獨立部門門的風險險有一個個認識的的基礎(chǔ)上上，企業(yè)業(yè)最高層層的管理理者應(yīng)以以組合的的角度看看待風險險，以決決定企業(yè)業(yè)的風險險組合與與相對企企業(yè)目標標而言的的總體的的風險偏偏好是否否相符。管理者應(yīng)認認識到一一定水平平的殘留留風險總總是存在在的，這這不僅是是因為資資源的有有限性，還還因為未未來有其其內(nèi)在的的不確定定性和所所有活動動的固有有限制。6控制活活動控制活動是是幫助保保證風險險反應(yīng)方方案得到到正確執(zhí)執(zhí)行的相相關(guān)政策策和程序序。控制制活動存存在于企企業(yè)的各各部分、各各個層面面和各個個部門。控控制活動動是企業(yè)業(yè)努力實實現(xiàn)其商商業(yè)目標標的過程程的一部部分。通通常包

43、括括兩個要要素：確確定應(yīng)該該做什么么的一個個政策和和影響該該政策的的一系列列過程。由于企業(yè)的的控制活活動與企企業(yè)的信信息系統(tǒng)統(tǒng)廣泛相相關(guān)，因因此，應(yīng)應(yīng)對企業(yè)業(yè)所有的的重要系系統(tǒng)進行行控制。廣廣義來講講，對信信息系統(tǒng)統(tǒng)控制活活動可以以分為兩兩類。一一類是一一般控制制，這類類控制應(yīng)應(yīng)用于大大多數(shù)應(yīng)應(yīng)用系統(tǒng)統(tǒng)，有助助于保證證系統(tǒng)的的持續(xù)地地、正確確地運行行。另一一類是應(yīng)應(yīng)用控制制，包括括用于控控制技術(shù)術(shù)應(yīng)用的的應(yīng)用軟軟件內(nèi)部部的電腦腦程序。必必要時將將信息系系統(tǒng)控制制與其他他手工的的過程控控制相結(jié)結(jié)合，可可以保證證信息的的完整性性、精確確性和有有效性。一般控制包包括對信信息技術(shù)術(shù)管理、信信息技術(shù)術(shù)基

44、礎(chǔ)設(shè)設(shè)施、保保密管理理和軟件件的購買買、開發(fā)發(fā)和維護護的控制制。這些些技術(shù)應(yīng)應(yīng)用于所所有的系系統(tǒng)，從從主機到到客戶端端（服務(wù)務(wù)端）到到桌面電電腦環(huán)境境。信息息技術(shù)管管理控制制主要包包括明確確信息技技術(shù)的勘勘漏過程程、監(jiān)督督和報告告信息技技術(shù)活動動及業(yè)務(wù)務(wù)改進的的初步行行動等等等。應(yīng)用控制的的目的是是保證數(shù)數(shù)據(jù)獲得得和業(yè)務(wù)務(wù)處理過過程的完完整性、精精確性、授授權(quán)和有有效性。依依靠信息息系統(tǒng)控控制運行行的有效效可以保保證當需需要時每每個應(yīng)用用程序可可以在界界面上產(chǎn)產(chǎn)生有關(guān)關(guān)數(shù)據(jù)，保保證應(yīng)用用程序的的有效和和有關(guān)界界面的錯錯誤可以以很快地地被發(fā)現(xiàn)現(xiàn)。因為每一個個主體都都有其自自己的一一套目標標和執(zhí)行

45、行目標的的方法，因因此其子子目標、結(jié)結(jié)構(gòu)和相相關(guān)的控控制活動動也會不不同。即即使兩個個企業(yè)有有同樣的的目標和和結(jié)構(gòu)，他他們的控控制活動動可很可可能不同同。每個個企業(yè)的的管理人人員都不不同，不不同的管管理人員員在影響響內(nèi)部控控制時使使用不同同的個人人判斷。而而且，控控制活動動反映了了一個企企業(yè)所處處的環(huán)境境和行業(yè)業(yè)，也會會反映企企業(yè)的復(fù)復(fù)雜性、企企業(yè)的歷歷史和文文化。7信息和和溝通來自于企業(yè)業(yè)內(nèi)部和和外部的的相關(guān)信信息必須須以一定定的格式式和時間間間隔進進行確認認、捕捉捉和傳遞遞，以保保證企業(yè)業(yè)的員工工能夠執(zhí)執(zhí)行各自自的職責責。有效效的溝通通也是廣廣義上的的溝通，包包括企業(yè)業(yè)內(nèi)自上上而下、自自下

46、而上上以及橫橫向的溝溝通。有有效的溝溝通還包包括將相相關(guān)的信信息與企企業(yè)外部部相關(guān)方方的有效效溝通和和交換，如如客戶、供供應(yīng)商、行行政管理理部門和和股東等等。企業(yè)內(nèi)部各各個管理理層都需需要信息息來幫助助識別、評評估風險險和對風風險進行行反應(yīng)，以以及進行行經(jīng)營并并實現(xiàn)企企業(yè)的目目標。相相對于某某一類或或幾類目目標，某某一批信信息是有有用的。企企業(yè)的信信息來自自于各個個方面，包包括內(nèi)部部和外部部的信息息、量化化的和非非量化的的信息，以以使得企企業(yè)的風風險管理理可以對對現(xiàn)實世世界中不不斷變化化的條件件及時作作出反應(yīng)應(yīng)。將大大量的信信息進行行處理，提提煉出或或指導行行動的信信息是企企業(yè)管理理者所面面臨

47、的一一個挑戰(zhàn)戰(zhàn)。解決決這一問問題的方方法是建建立一個個信息系系統(tǒng)底層層結(jié)構(gòu)來來確認、捕捕捉、處處理、分分析和報報告相關(guān)關(guān)信息。這這些信息息系統(tǒng)通通常是電電腦系統(tǒng)統(tǒng)，但也也包括手手工錄入入或人機機界面。因因此，這這些信息息系統(tǒng)經(jīng)經(jīng)常是指指處理企企業(yè)相關(guān)關(guān)業(yè)務(wù)產(chǎn)產(chǎn)生的內(nèi)內(nèi)部數(shù)據(jù)據(jù)的系統(tǒng)統(tǒng)。長期以來信信息系統(tǒng)統(tǒng)是用來來支持企企業(yè)的商商業(yè)戰(zhàn)略略。當業(yè)業(yè)務(wù)需要要變化和和有關(guān)技技術(shù)為企企業(yè)獲得得戰(zhàn)略優(yōu)優(yōu)勢提供供新的機機會時，這這一地位位就顯得得更為重重要。 為支持有效效的企業(yè)業(yè)風險管管理，一一個企業(yè)業(yè)會捕捉捉和使用用歷史和和現(xiàn)在的的數(shù)據(jù)。歷歷史數(shù)據(jù)據(jù)使企業(yè)業(yè)能夠?qū)嶋H業(yè)業(yè)績與目目標、計計劃和期期望相比比

48、較，能能夠更加加深入了了解企業(yè)業(yè)在不斷斷變化的的環(huán)境下下是如何何生存的的，使得得管理者者確認相相關(guān)性和和趨勢并并預(yù)測未未來的業(yè)業(yè)績。歷歷史數(shù)據(jù)據(jù)還能夠夠?qū)π枰芾碚哒咦⒁獾牡臐撛谑率马椞嵩缭缣岢鼍妗，F(xiàn)在或現(xiàn)狀狀的數(shù)據(jù)據(jù)使企業(yè)業(yè)能夠評評估在某某一特定定時點所所面臨的的風險并并將其控控制在風風險容忍忍度范圍圍內(nèi)。現(xiàn)現(xiàn)狀數(shù)據(jù)據(jù)使得管管理者可可以實時時地了解解一個過過程、職職能部門門或單位位現(xiàn)存的的固有風風險和差差異的大大小。這這對了解解企業(yè)的的風險組組合提供供了一個個視角，使使得管理理者能夠夠在必要要時改變變企業(yè)的的活動以以滿足企企業(yè)的風風險偏好好。信息是溝通通的基礎(chǔ)礎(chǔ)，溝通通則必須須滿足各各

49、部門和和個人的的要求，以以使他們們能夠有有效地履履行其職職責。最最重要的的溝通渠渠道之一一是高級級管理者者和董事事會之間間的溝通通。管理理者必須須使董事事會了解解關(guān)于企企業(yè)業(yè)績績、發(fā)展展、風險險管理執(zhí)執(zhí)行和其其他相關(guān)關(guān)事項和和問題的的及時信信息。溝溝通越暢暢通，董董事會在在執(zhí)行其其監(jiān)督職職能、重重大問題題的宣傳傳媒介職職能和提提供建議議、咨詢詢和指導導職能時時才會越越有效。反反之，董董事會也也應(yīng)向管管理者傳傳遞其所所需要的的信息并并進行反反饋和指指導。管理者應(yīng)提提供特定定的或直直接的溝溝通渠道道說明對對員工的的行為預(yù)預(yù)期和各各自的職職責。應(yīng)應(yīng)包括對對企業(yè)風風險管理理原理和和方法以以及員工工權(quán)責

50、分分配的清清晰的說說明。對對于風險險管理過過程和程程序的溝溝通應(yīng)與與企業(yè)預(yù)預(yù)期的風風險文化化相結(jié)合合，并作作為企業(yè)業(yè)風險文文化的基基礎(chǔ)。此此外，信信息的列列示會直直接影響響對信息息的解釋釋和對相相應(yīng)的風風險或機機遇的看看法，因因此，對對于溝通通應(yīng)有一一個適當當?shù)募軜?gòu)構(gòu)。溝通應(yīng)使企企業(yè)的員員工了解解有效地地企業(yè)風風險管理理的重要要性和相相關(guān)性，了了解企業(yè)業(yè)的風險險偏好和和風險容容忍度，并并在企業(yè)業(yè)內(nèi)執(zhí)行行、設(shè)計計一個統(tǒng)統(tǒng)一的風風險用語語并向員員工說明明他們在在影響和和支持企企業(yè)風險險管理要要素中的的地位和和職責。溝通渠道還還應(yīng)該保保證企業(yè)業(yè)員工能能夠在各各業(yè)務(wù)部部門、業(yè)業(yè)務(wù)流程程或職能能部門間間

51、進行風風險信息息的溝通通。大多多數(shù)情況況下，企企業(yè)內(nèi)正正常的報報告路徑徑一般是是溝通的的適當渠渠道。而而在某些些情況下下，需要要一個單單獨的信信息溝通通途徑作作為防止止失敗機機制，而而為一途途徑在正正常情況況下是不不用的。在在所有的的情況下下，讓企企業(yè)的員員工了解解企業(yè)內(nèi)內(nèi)并不存存在對報報告相關(guān)關(guān)信息的的報復(fù)是是很重要要的。外部的溝通通渠道能能夠為企企業(yè)的產(chǎn)產(chǎn)品或服服務(wù)的設(shè)設(shè)計或品品質(zhì)提供供非常重重要的信信息。管管理者應(yīng)應(yīng)將企業(yè)業(yè)的風險險偏好和和風險容容忍度與與客戶、供供應(yīng)商和和合伙人人的風險險偏好和和風險容容忍度聯(lián)聯(lián)系起來來考慮，以以保證不不會通過過企業(yè)的的業(yè)務(wù)活活動給企企業(yè)帶來來太多的的風

52、險。外外部相關(guān)關(guān)方的信信息經(jīng)常常會為企企業(yè)風險險管理的的運行提提供重要要的信息息。8監(jiān)控對企業(yè)風險險管理的的監(jiān)控是是指評估估風險管管理要素素的內(nèi)容容和運行行以及一一段時期期的執(zhí)行行質(zhì)量的的一個過過程。企企業(yè)可以以通過兩兩種方式式對風險險管理進進行監(jiān)控控持續(xù)續(xù)監(jiān)控和和個別評評估。持持續(xù)監(jiān)控控和個別別評估都都是用來來保證企企業(yè)的風風險管理理在企業(yè)業(yè)內(nèi)各管管理層面面和各部部門持續(xù)續(xù)得到執(zhí)執(zhí)行。持續(xù)監(jiān)控是是對企業(yè)業(yè)日常的的、重復(fù)復(fù)的經(jīng)營營活動的的監(jiān)控，在在實時的的基礎(chǔ)上上進行，是是對不斷斷變化的的環(huán)境的的動態(tài)地地反應(yīng)，應(yīng)應(yīng)在企業(yè)業(yè)內(nèi)部徹徹底地貫貫徹和執(zhí)執(zhí)行。如如果執(zhí)行行得好，持持續(xù)監(jiān)控控比個別別評估更

53、更為有效效。由于于個別評評估是在在事實發(fā)發(fā)生之后后才進行行評估，而而持續(xù)監(jiān)監(jiān)控則會會在問題題一發(fā)生生就很快快被發(fā)現(xiàn)現(xiàn)。雖然然如此，許許多使用用持續(xù)監(jiān)監(jiān)控的企企業(yè)仍舊舊進行風風險管理理的個別別評估。個別評估的的頻率是是企業(yè)管管理者的的主觀判判斷問題題。在決決定個別別評估的的頻率時時，管理理者應(yīng)考考慮來自自于企業(yè)業(yè)內(nèi)部和和外部事事項的變變化的性性質(zhì)和程程度以及及相應(yīng)的的風險、企企業(yè)員工工進行風風險反應(yīng)應(yīng)和相應(yīng)應(yīng)控制的的能力和和經(jīng)驗、持持續(xù)監(jiān)控控的結(jié)果果等因素素。通常常，將持持續(xù)監(jiān)控控和個別別評估進進行一定定的結(jié)合合使用會會保證企企業(yè)風險險管理長長期的有有效性。對企業(yè)風險險管理進進行記錄錄的程度度根

54、據(jù)企企業(yè)的規(guī)規(guī)模、經(jīng)經(jīng)營的復(fù)復(fù)雜性和和其他因因素的影影響而有有所不同同。企業(yè)業(yè)風險管管理的內(nèi)內(nèi)容沒有有記錄并并不意味味著風險險管理無無效或無無法對風風險管理理進行評評 估。但是，適適當程度度的記錄錄通常會會使對風風險管理理的監(jiān)控控更為有有效果和和有效率率。當企企業(yè)管理理者打算算向企業(yè)業(yè)外部相相關(guān)方提提供關(guān)于于企業(yè)風風險管理理效率的的報告時時，他們們則應(yīng)考考慮為企企業(yè)風險險管理設(shè)設(shè)計一套套記錄模模式并保保持有關(guān)關(guān)的記錄錄。所有風險管管理失效效都會影影響企業(yè)業(yè)確定和和執(zhí)行戰(zhàn)戰(zhàn)略的能能力，影影響企業(yè)業(yè)實現(xiàn)其其既定目目標的能能力。對對此，應(yīng)應(yīng)將企業(yè)業(yè)所有的的風險管管理失效效都報告告給適當當?shù)墓芾砝韺樱?/p>

55、以以保證其其采取必必要的措措施以糾糾正風險險管理失失效。企企業(yè)所需需溝通的的事項的的性質(zhì)根根據(jù)各人人處理各各種情況況的權(quán)限限和監(jiān)控控者的查查漏活動動的不同同而不同同。這里里“失效”是指企企業(yè)風險險管理過過程中值值得注意意的某一一種情形形。因此此，失效效可能代代表一種種預(yù)期的的、潛在在的或真真實的缺缺陷，或或者代表表加強風風險管理理過程的的一個機機會，以以增加企企業(yè)目標標實現(xiàn)的的可能性性。在經(jīng)經(jīng)營活動動中產(chǎn)生生的信息息通常通通過正常常的渠道道進行報報告。對對于敏感感性信息息的報告告也應(yīng)有有其他的的溝通渠渠道，如如非法活活動或不不正當?shù)牡幕顒印Ｏ蚱髽I(yè)內(nèi)適適當?shù)墓芄芾韺犹崽峁╆P(guān)于于風險管管理失效效的

56、必需需的信息息是非常常重要的的。企業(yè)業(yè)應(yīng)建立立一個協(xié)協(xié)議來識識別某一一管理層層決策有有效所需需要的信信息。這這些協(xié)議議應(yīng)反映映一個基基本原則則，即一一個管理理者在收收到實現(xiàn)現(xiàn)其特定定目標的的有關(guān)信信息外，還還應(yīng)收到到影響其其權(quán)限范范圍內(nèi)人人員的行行動或行行為的所所有信息息。（四四）風險險管理要要素和企企業(yè)目標標之間的的關(guān)系企業(yè)的風險險管理框框架包括括四類目目標和八八個要素素。四類類目標分分別是戰(zhàn)戰(zhàn)略目標標、經(jīng)營營目標、報報告目標標和合法法性目標標。八個個要素分分別是內(nèi)內(nèi)部環(huán)境境、目標標制定、事事項識別別、風險險評估、風風險反應(yīng)應(yīng)、控制制活動、信信息和溝溝通、監(jiān)監(jiān)控，是是企業(yè)目目標實現(xiàn)現(xiàn)的保證證

57、。它們們相互之之間存在在直接的的關(guān)系，可可以用一一個三維維矩陣圖圖來表示示（如圖圖1 所示示）。可以看出，四四個欄分分別代表表一個企企業(yè)的四四類目標標，并不不是企業(yè)業(yè)的某個個部分或或部門。因因此，例例如，當當考慮與與報告相相關(guān)的那那類目標標時，需需要關(guān)于于企業(yè)經(jīng)經(jīng)營的大大量信息息，但是是在這種種情況下下主要關(guān)關(guān)注的是是風險管管理模型型右手邊邊中間這這一欄報告告目標而不不是經(jīng)營營類目標標。圖2 將立立方體中中水平各各行的內(nèi)內(nèi)容進行行擴展，說說明各風風險管理理要素的的主要內(nèi)內(nèi)容，其其中每一一要素也也就代表表一個業(yè)業(yè)務(wù)流程程。圖1 四類目標標戰(zhàn)略、經(jīng)經(jīng)營、報報告和合合規(guī)性目目標由垂直直欄表示示。八要

58、素素由水平行表表 示示。企業(yè)和其其各組織織單位由由矩陣中中的第三三維表示示。 （五）有效效性企業(yè)風險管管理是一一個過程程，企業(yè)業(yè)風險管管理的有有效性則則是某一一時點的的一個狀狀態(tài)或條條件。決決定一個個企業(yè)的的風險管管理是否否有效是是基于對對風險管管理八要要素設(shè)計計和執(zhí)行行是否正正確的評評估基礎(chǔ)礎(chǔ)上的一一個主觀觀判斷。為使風險管管理有效效，企業(yè)業(yè)的風險險管理框框架必須須包括所所有的八八個要素素，并得得到貫徹徹執(zhí)行。但但是，這這并不意意味著每每一要素素在不同同的企業(yè)業(yè)間，甚甚至是不不同企業(yè)業(yè)的同一一管理層層次上，都都必須執(zhí)執(zhí)行同樣樣的功能能。因為為不同的的要素之之間可能能存在著著作用的的相互抵抵消

59、。由由于企業(yè)業(yè)風險管管理的各各種技術(shù)術(shù)能夠為為企業(yè)不不同的經(jīng)經(jīng)營意圖圖服務(wù)，因因此，相相對于某某要素的的技術(shù)也也能夠服服務(wù)于通通常是另另一要素素所體現(xiàn)現(xiàn)出來的的經(jīng)營意意圖。此此外，對對某一特特定風險險的風險險反應(yīng)程程度可能能不同，以以至于互互補的風風險反應(yīng)應(yīng)模式可可能各自自對企業(yè)業(yè)的影響響都有限限，合并并后仍可可以保持持在風險險容忍度度的范圍圍內(nèi)。這里所討論論的概念念可以應(yīng)應(yīng)用于所所有企業(yè)業(yè)，無論論其規(guī)模模。某些些中小企企業(yè)所采采用的要要素的內(nèi)內(nèi)容與大大企業(yè)可可能不同同，但企企業(yè)的風風險管理理仍舊有有效。對對于每個個要素的的方法論論，小企企業(yè)采用用的方法法與大企企業(yè)相比比并不正正式和結(jié)結(jié)構(gòu)化，

60、但但是，無無論企業(yè)業(yè)的規(guī)模模，其風風險管理理都應(yīng)包包括本文文所講的的基本概概念。企業(yè)風險管管理可以以從一個個企業(yè)的的總體來來認識，也也可以從從一個單單獨的部部門或多多個部門門的角度度來認識識。即使使是站在在某一特特定的業(yè)業(yè)務(wù)部門門的角度度來看待待風險管管理，所所有的八八要素也也都應(yīng)作作為基準準包含在在內(nèi)。一個公司可可能采用用聯(lián)營企企業(yè)、合合伙或其其他的投投資形式式，其經(jīng)經(jīng)營可能能不在母母公司的的直接控控制之下下。為保保證企業(yè)業(yè)風險管管理的有有效性，母母公司應(yīng)應(yīng)從公司司戰(zhàn)略和和目標的的角度考考慮與被被投資方方一起充充分應(yīng)用用風險管管理八要要素的程程度。圖2 （六）包括括內(nèi)部控控制內(nèi)部控制是是企業(yè)