這五個要素是：風險治理和文化。風險治理和文化共同構成了企業風險管理的所有其他要素的基礎。風險治理確定了實體的基調，強化企業風險管理的重要性，并確定了監督職責。文化涉及道德價值觀，期望的行為以及對實體內風險的理解。文化反映在決策中。風險、戰略和目標設定。通過制定戰略和業務目標的過程，將企業風險管理整合到實體的戰略規劃中。通過理解業務環境，組織可以深入了解內部和外部因素及其對風險的影響。組織在制定戰略的同時設定其風險偏好。業務目標將戰略付諸實踐，并決定實體的日常運營和優先事項。執行中的風險。組織識別和評估可能影響實體實現其戰略和業務目標能力的風險。它根據風險的嚴重程度并考慮到實體的風險偏好對風險進行優先排序。然后，組織選擇風險應對措施，并監視績效的變化。這樣，實體對追求其戰略和業務目標的過程中所承擔的風險量建立起一個組合觀。風險信息、溝通和報告。溝通是獲取信息并在整個實體中分享信息的持續、循環往復的過程。管理層使用來自內部和外部的相關和高質量信息來支持企業風險管理。組織利用信息系統來獲取、處理和管理數據和信息。通過使用適用于所有要素的信息，組織報告風險、文化和績效。監視風險管理績效。通過監視企業風險管理績效，組織可以考慮企業風險管理要素隨著時間的推移和重在變更的運行情況。在這五個要素中有一系列的原則（如圖5.2所示）。這些原則代表了與每個要素相關的基本概念。這些原則被表述為各組織作為實體的企業風險管理實踐的一部分而要做的事情。雖然這些原則是通用的，并構成了任何有效的企業風險管理措施的一部分，但管理層在應用這些原則時必須作出判斷。每個原則都在有關要素的相應章節中詳細介紹。評估風險管理組織應具備可靠的手段，向實體的利益相關方提供合理的預期，即能夠將與戰略和業務目標相關的風險管理到可接受的水平。它通過評估現有的企業風險管理實踐來做到這一點。除非法律或法規另有要求，否則此類評估是自愿的。本框架（第6章至第10章）并不要求完成對企業風險管理總體有效性的評估，但它確實為進行評估和作出合理結論提供了準則。在評估過程中，組織可考慮：與企業風險管理有關的要素和原則已經存在并發揮作用。與企業風險管理有關的要素正在以整合方式共同運作。實施原則所需的控制措施存在并發揮作用。為了實現戰略和業務目標，在企業風險管理的設計和實施過程中，存在影響這些原則的要素、相關原則和控制措施。實現這些原則的要素、相關原則和控制措施繼續運行，以實現戰略和業務目標。“共同運行”指的是要素之間的相互依賴性以及它們如何協同運行。評估企業風險管理有不同的方法。當評估是為了與外部利益相關方溝通而進行時，可以考慮框架（第6章至第10章）中規定的原則。在評估過程中，管理層還可以評審這些能力和實踐的適宜性，同時牢記實體的復雜性和組織通過企業風險管理尋求獲得的收益。增加復雜性的因素可能包括實體的地理位置、行業、性質、實體內部變化的程度和頻率；歷史績效和績效的變化、對技術的依賴以及監管監督的程度。框架風險治理和文化本章概要風險治理和文化共同構成了企業風險管理的所有其他要素的基礎。風險治理確定了實體的基調，強化企業風險管理的重要性，并確定了監督職責。文化涉及道德價值觀，期望的行為以及對實體內風險的理解。文化反映在決策中。與風險治理和文化的原則董事會行使風險監督——董事會監督戰略并履行風險治理職責，以支持管理層實現戰略和業務目標。建立治理和運營模式——組織在追求戰略和業務目標的過程中建立運營結構。定義期望的組織行為——組織定義以實體核心價值觀和風險態度為特征的期望行為。證實對誠實和道德的承諾——組織證實對誠實和道德價值的承諾。加強問責——組織要求各級人員對企業風險管理負責，并要求自身負責提供標準和指導。吸引、發展并留住優秀的個體——組織致力于建設與戰略和業務目標相一致的人力資本。引言實體的董事會在風險治理中發揮著重要作用，并對企業風險管理產生重大影響。如果董事會獨立于管理層，并且通常由經驗豐富、技術嫻熟、才華橫溢的成員組成，那么在履行監督職責的同時，董事會可以提供適當程度的行業、業務和技術投入。這種投入包括在必要時審查管理層的活動、提出不同的觀點、挑戰組織的偏見，并在面對錯誤行為時采取行動。最重要的是，在履行其提供風險監督的職責時，董事會在不介入管理層角色的情況下向管理層提出挑戰。對企業風險管理的另一個重要影響是文化。無論該實體是小型的家族式私營公司、大型復雜跨國公司、政府機構或者非營利組織，其文化都反映了該實體的道德規范：價值觀、信仰、態度、期望的行為和對風險的理解。文化支持實體的使命和愿景的實現。具有風險意識文化的實體強調管理風險的重要性，并鼓勵風險信息的透明和及時流動。它在這樣做的時候，沒有責備，而是以一種理解、負責和持續改進的態度。原則1：董事會行使風險監督董事會監督戰略并履行風險治理職責，以支持管理層實現戰略和業務目標。責任與職責董事會對實體的風險監督負有首要責任，在許多國家，董事會對其利益相關方負有受托責任，包括對企業風險管理實踐進行評審。通常，全體董事會保留風險監督的職責，將管理和監督風險的日常職責留給管理層或委員會，如風險委員會。無論結構如何，在章程中記錄職責是很常見的，該章程規定了董事會的責任與管理層的責任。技能、經驗和業務知識董事會有能力提供適當的專業知識，并通過其集體技能、經驗和業務知識理解和管理實體的風險。這包括例如在必要時就戰略、業務目標、計劃和績效目標向管理層提出適當的問題。它還包括與外部利益相關方互動，提出備選觀點和行動。只有當董事會理解實體的戰略和行業，并隨時了解影響實體的因素時，才有可能進行風險監督。隨著戰略和業務環境的變化，經營模式中的風險以及戰略和業務目標的風險也會隨之變化。因此，董事會成員的資格要求可能會隨著時間的推移而變化。每個董事會必須自行確定并定期評審其是否具備適當的技能、專業知識和結構，以提供有效的風險監督。例如，網絡風險對大多數實體來說是一個現實，因此面臨網絡風險的實體需要有董事會成員擁有信息技術方面的專業知識，或通過獨立顧問或外部顧問獲得所需的專業知識。獨立性董事會總體上必須獨立才能有效。獨立性使董事能夠客觀地評價實體的績效和福利，而不存在任何利益沖突或利益相關方的不當影響。董事會通過每一位董事會成員展示其個人客觀性來證實其獨立性（見示例6.1）。示例6.1：妨礙董事會獨立性的因素董事會成員的獨立性可能會受到阻礙，如果他或她。在該實體中擁有大量的財務利益。目前或最近受實體雇用擔任行政職務。最近以物質的方式為董事會提供建議。與實體有重大的業務關系，如作為供應商、客戶或外包服務提供商。與實體有現有合同關系（除董事關系外）。向實體捐贈了大筆資金。與某實體內的主要利益相關方有業務或個人關系。擔任其他實體的董事會成員，這代表了潛在的利益沖突。獨立董事會對管理層起著制衡作用，確保實體的運營符合其利益相關方的最佳利益，而不是少數董事會成員或管理層的最佳利益。企業風險管理的適宜性重要的是，董事會要了解實體的復雜性，以及企業風險管理將如何幫助實體，包括它將獲得什么好處。企業風險管理的適宜性是指其將風險管理到可接受的程度的能力。董事會通過與管理層進行對話來確定企業風險管理是否適合該實體的需要，從而幫助確定這些預期的收益。董事會還與管理層合作，確定運營模式、報告關系和實現這些收益的能力。例如，一些組織可能認為企業風險管理的好處是“獲得對戰略的風險的理解”。在這種情況下，管理層會把企業風險管理的重點放在實現戰略和業務目標的實踐上--也許是減少意外和損失的方法，或者是減少績效波動。其他組織可能將企業風險管理的價值定義為“理解戰略不一致的風險”。還有一些組織可能認為企業風險管理的價值是“支持實現使命、愿景和核心價值的能力，以及所選戰略對其風險狀況的影響“。在這種情況下，管理層將更多地關注戰略的制定，并使企業目標與日常執行保持一致。組織偏見決策中的偏見一直存在，而且會一直存在。在一個實體中，經常會發現“群體思維”、主導人格、過分依賴數字、忽視相反信息、對最近事件的過度重視以及規避風險或承擔風險的傾向。因此，問題不是偏見是否存在，而是如何管理企業風險管理中的偏見。董事會應了解存在的潛在組織偏見，并挑戰管理層來克服這些偏見。原則2：建立治理和運營模式組織在追求戰略和業務目標的過程中建立運營結構。運營模式和報告關系組織建立了一個運營模式并設計了報告關系，以執行戰略和業務目標。在設計運營模式中的報告報告關系時，組織必須明確界定職責。組織還可能與可能影響報告關系的外部第三方建立關系（例如，戰略商業聯盟或合資企業）。不同的運營模式可能導致風險狀況的不同看法，這可能會影響企業風險管理實踐。例如，在分散經營模式中評估風險可能表明風險很少，而在集中經營模式中的觀點可能表明風險集中——可能與某些客戶類型、外匯或稅務風險有關。組織在決定采用何種運營模式時考慮了這些因素和其他因素。這些因素還影響到運營單位和職能部門內企業風險管理實踐的設計。例如，董事會決定哪些管理角色與董事會之間至少有一條虛線，以便就所有重要問題進行公開溝通。同樣，在實體各個層面上規定直接報告和信息報告線。建立和評價運營模式的因素可能包括：實體的戰略和業務目標。實體業務的性質、規模和地理分布。與實體戰略和業務目標相關的風險。對實體各級的權力、責任和職責的分配。報告線的類型（例如，直接報告/實線與二級報告）和溝通渠道。財務、稅務、監管和其他報告要求。企業風險管理結構管理層根據實體的使命、愿景和核心價值，規劃、組織和執行實體的戰略和業務目標。因此，管理層需要了解與戰略相關的風險在整個實體中是如何發生的。收集這些信息的方法之一是將責任委托給委員會。委員會成員通常是管理層任命或選舉的高管或高級領導，每個人都貢獻個人技能、知識和經驗。委員會共同提供風險監督。結構復雜的實體可能有幾個委員會，每個委員會都有不同但重疊的管理成員。然后，這種多委員會的結構與運營模式和報告關系相一致，這使得管理層能夠根據需要做出業務決策，并充分理解這些決策中的固有風險。無論建立何種特定的管理委員會結構，通常都會明確說明委員會的權力、作為委員會成員的管理成員、會議的頻率以及委員會關注的具體職責和運行原則。在小型實體中，企業風險管理的監督可能不那么正式，管理層更多地參與日常執行。權限和職責在只有一個董事會的實體中，董事會授權管理層設計和實施支持實現戰略和業務目標的實踐。反過來，管理層規定整個實體及其運營單位的角色和責任。管理層還規定與戰略和業務目標相一致的個人、團隊、部門、運營單位和職能的角色、職責和責任。在擁有雙重董事會的實體中，監事會專注于影響業務的長期決策和戰略。管理委員會負責監督日常運營，包括對高級管理層的監督和授權。與單一董事會治理模式類似，管理層規定整個實體及其運營單位的角色和職責。主要角色通常包括：擔任管理角色的個人，他們有權和職責做出決策并監督業務實踐，以實現戰略和業務目標。在管理團隊中，首席風險官通常是負責提供專業知識和協調風險考慮的個人。其他人員，他們了解實體的行為標準和責任范圍內有關業務目標以及實體中各層面的相關企業風險管理實踐。管理層授予權力和職責，使員工能夠做出決策。管理層可能通過減少管理層次、將更多權力和責任下放給下級或與其他實體合作來定期重新審視其結構。明確界定權力很重要，因為它賦予人們在特定角色中按需行事的權力，但也對權力施加了限制。基于風險的決策在管理方面會得到加強，當管理層：只在實現實體的戰略和業務目標所需的范圍內授權（例如，新產品的評審和批準涉及業務和支持職能部門，與銷售團隊分開）。指定需要評審和批準的交易（例如，管理層可能有權批準收購）。將新興風險作為決策的一部分（例如，在沒有進行盡職調查的情況下，不接受一個新的供應商）。發展中的實體內企業風險管理隨著實體的變化，它從企業風險管理中尋求的能力和價值也可能發生變化。企業風險管理應適應實體的能力，既要考慮組織所追求的目標，又要考慮其管理風險的方式。隨著業務性質和戰略的發展，運營模式自然會發生變化。因此，管理層要定期評價運營模式和相關的報告關系。當今世界信息技術不斷發展，新的運營模式正在出現。標準運營模式可能很快就變成了“虛擬”的性質，大大減少了對物理位置的依賴，而更多地依賴于技術互聯。這種轉變需要研究風險如何也會隨之轉變：在決策哪個點考慮風險？這對戰略和業務目標的實現有什么影響？管理層必須準備在新的運營模式下解決這些問題，并了解創新帶來的變化將如何影響企業風險管理實踐。原則3：定義期望的組織行為組織定義以實體核心價值觀和風險態度為特征的期望行為。文化特征和期望行為實體的文化反映在其核心價值觀和企業風險管理方法中。從制定和執行戰略到影響日常工作的決策，整個實體的決策都體現了文化。實體的文化影響組織如何應用本框架：組織如何識別風險、接受什么類型的風險以及如何管理風險。建立一種所有員工都能接受的文化，即人們在正確的時間做正確的事情，這對于組織能夠抓住機遇、將風險降至最低從而實現戰略和業務目標至關重要。應由董事會和管理層來規定整個實體和內部個人的期望行為。文化驅動著日常決策中的期望行為，以滿足內部和外部利益相關方的期望。成熟的文化并不意味著企業風險管理的模板方法。也就是說，一些經營單位的管理者可能準備承擔更多的風險，而另一些單位的管理者則可能更保守。例如，一個積極進取的銷售單位可能會把注意力集中在銷售上，而沒有仔細注意預期風險偏好之外的監管合規性；而合同單位的人員可能會把注意力集中在預期險偏好之內的全面合規性。這兩個部門單獨工作可能會對實體產生不利影響，但通過合作，他們可以在規定的風險偏好范圍內作出適當反應，以實現戰略和業務目標。許多因素形成了實體文化。內部因素包括（除其他因素外），實體員工之間和他們的管理者之間如何互動，標準和規則，工作場所的物理布局，以及現有的獎勵制度。外部因素包括監管要求和客戶、投資者和其他人的期望。所有這些因素都會影響到實體在文化波譜中的位置，其范圍從厭惡風險到積極風險（見圖6.1）。實體越接近積極風險的一端，其對實現戰略和商業目標所需的風險類型和數量的傾向性和接受度就越高（另見示例6.2）。圖6.1文化波譜風險厭惡風險中性風險喜好示例6.2：文化波譜核電站在日常運營中可能會有一種規避風險的文化。管理層和外部利益相關立都希望有關新技術和系統的決策能夠謹慎作出，并高度重視細節和安全，以便為電廠的可靠性提供合理預期。對于核電站來說，進行大量投資于對運營管理至關重要的創新和未經驗證的技術是不可取的。相比之下，對沖基金可能是一個風險喜好的實體。管理層和外部投資者將對績效期望很高，需要承擔潛在的嚴重風險，同時仍在實體的既定風險偏好范圍內。擁抱風險意識文化管理層規定隨著時間推移實現預期文化所需的特征，董事會提供監督和關注。組織可以通過以下方式擁抱風險意識文化：保持強大的領導能力。董事會和管理層重視在整個實體內建立正確的風險意識和基調。文化和風險意識不能僅從二線職能改變；組織的領導必須是變革的真正驅動力。采用參與式管理風格。管理層鼓勵員工參與決策，討論戰略和業務目標的風險。對所有行動實施問責。管理層將問責政策形成文件并遵守這些政策，向員工證實，不容忍缺乏責任的行為，履行責任會得到適當的獎勵。將風險嵌入決策中。管理層在做出關鍵業務決策時始終如一地應對風險，包括討論和評審風險情景，以幫助每個人在最終確定決策之前了解風險的相互關系和影響。對實體所面臨的風險進行公開和誠實的討論。管理層并不認為風險是負面的，而是認為風險對實現戰略和業務目標至關重要。鼓勵整個實體的風險意識。管理層不斷向員工傳達信息，管理風險是他們日常職責的一部分，它不僅受到重視，而且對實體的成功和生存至關重要。公開溝通和報告風險：管理層對整個實體的風險保持透明。在風險意識文化中，員工知道實體的主張和他們可以運營的邊界。他們可以公開討論和辯論應該承擔哪些風險來實現實體的戰略和業務目標，結果是員工和管理層的行為與實體的風險偏好相一致。原則4：證實對誠實和道德的承諾組織證實對誠實和道德價值的承諾。在整個組織中設定基調組織的基調是企業風險管理的基礎。如果沒有一個強有力的、支持性的、由組織高層傳達的、支持道德文化的基調，風險意識就會被逐漸削弱，對風險的反應可能不恰當，信息和溝通渠道可能會衰弱，監視實體績效的反饋可能不會被聽到或采取行動。基調是由管理層和董事會的經營風格和個人行為決定的。他們對風險的正式確認向組織傳遞了信息。當管理層和董事會的采取道德和負責任的行為并證實對解決不當行為的承諾時，他們他們會向每個人傳達組織強烈支持誠信的信息。但是，如果存在個人不檢點行為，缺乏對壞消息的接受能力，或薪酬計劃不公平，那么發出的信息可能是漠不關心，這可能對文化產生負面影響并引發不當行為。員工員工可能會對什么是可接受的和不可接受的，以及對風險和風險應對措施，形成與管理層相同的態度。擁有一致的基調有助于組織對核心價值、業務驅動因素以及人員和業務伙伴的的期望行為達成共識。一致性有助于將組織凝聚在一起，以追求實體的戰略和業務目標。但要保持一致的基調并不容易。例如，不同的市場和挑戰可能需要不同的激勵、評價和客戶服務方法。這些因素可能會不時地給實體不同層面帶來壓力，從而導致基調的改變。（在大型實體中，這種基調的觀點有時被稱為"中間基調"）。然而，基調在整個實體中保持的一致性越高，在追求實體戰略和業務目標時企業風險管理責任的績效就越一致。建立和評價行為標準行為標準通過以下方式指導組織追求戰略和業務目標。確定什么是可接受的和不可接受的。提供指導，以便在可接受和不可接受之間找到方向。反映法律、法規、標準和實體的利益相關方可能具有的其他期望，如企業的社會責任。道德期望和規范因地區和實體而異。因此，因此，管理層和董事會建立適當的標準和機制來遵守這些標準，其中包括應對潛在的不合規。然后將這些期望轉化為組織聲明，即行為準則。行為準則的目的是傳達組織對道德和期望行為的期望，包括與企業風險管理和決策相關的行為。在面臨困難的決策時，組織會評實其對應用行為準則的承諾。例如，當必須做出具有挑戰性的決策時，組織可能會問以下問題。是否違反實體的行為標準？是否合法？我們是否希望我們的股東、客戶、監管機構、外部各方或其他利益相關方了解此事？它是否會對個人或實體產生負面影響？實體的誠信標準和道德價值觀應成為與員工進行各種形式溝通的核心信息：例如，政策、培訓、雇傭或服務合同。一些組織要求員工正式確認收到并遵守標準。培訓方案對建立行為標準也很重要。那些經常被認為是“最佳工作場所”且員工保留率高的實體通常會提供有關企業道德價值觀的培訓。通常，培訓課程每季度或每半年進行一次，具體取決于新聘用的人員數量。在此類培訓中，員工將了解到實體的道德氛圍是如何形成的，以及直言不諱和提出隱憂的重要性。此外，還向員工提供誠信和道德價值如何幫助發現問題和解決問題的實例。有了行為標準，組織就可以評價對誠信和道德的遵守情況。例如，組織可以制定一項具有可衡量指標的政策，以監視和管理其按照核心價值觀推動道德實體的能力。應對偏離標準的行為當行為標準沒有得到遵守時，通常是由于以下原因之一：高層的基調沒有有效傳達期望。董事會未監督管理層遵守標準的情況。中層管理人員和職能經理沒有與實體的使命、愿景、核心價值觀、戰略和風險應對措施保持一致。風險是戰略制定和業務規劃的事后考慮。績效目標產生激勵或壓力，使道德行為受到損害。在重要的風險和合規事項上，沒有明確的上報政策。調查和解決過度承擔風險的程序不充分。存在管理層或人員有意或故意不合規的情況。一旦發現偏差，組織就會發出明確的信息，說明什么是可接受的、什么是不可接受的行為。偏離行為標準的行為必須得到及時和一致的處理（見例6.3）。示例6.3：發生偏離行為標準的情形對于一家全球性制藥公司來說，研發（R&D）往往是最大的成本之一，因為產品的開發和上市可能需要10到20年的時間，需要大量的資金投入。在研究階段，發現產品的許多副作用是很常見的。但是，如果研發部門沒有向管理層披露所有潛在的副作用，以便他們可以做出知情的決策，從藥物試驗轉向生產，并且藥物已經上市，則可能會對實體產生嚴重影響。此外，研發部門未能披露可能會明顯違反公司的預期行為。對偏差的反應將取決于偏差的大小，這由管理層考慮任何相關法律和行為標準后確定。應對措施可能包括警告員工并提供輔導，給予試用期甚至解聘。在所有情況下，實體的行為標準必須保持一致。一致性能確保實體的文化不受破壞。使文化、道德和個人行為保持一致如果建立一種管理層和員工“在正確的時間做正確的事”的文化是企業風險管理的基礎，那么為什么有時會出錯？即使在那些充分展現誠信和道德的實體中，丑聞和危機有時也會發生——損害聲譽并最終導致組織無法實現其戰略和業務目標。不道德的行為的發生有三個原因：好人犯錯（出于困惑或無知），好人一時意志薄弱，壞人選擇傷害。由于知道這三種情況中的任何一種都可能發生，組織必須調整道德和文化，以幫助人們避免錯誤和保持堅強的意志，并識別潛在的不法分子、個人或團體。這需要對風險進行適當的評估和優先排序，并制定詳細的風險應對措施。使個人行為與文化保持一致至關重要。最有力的影響來自于管理層，他們創建并保持了組織的行動綱。組織“言出必行”明確地執行核心價值觀和行為標準。關鍵是管理層要執行它聲明是重要的事物，認識到最有效地建立文化的是隱性和微妙的過程。人們對行為強化的反應比對書面規則和政策的反應更好。文化和道德是實體實現其使命和愿景的能力不可或缺的組成部分，盡管文化是一種強大的力量，但它不是決定性的力量。個人決策以及個人責任是道德和企業風險管理的基礎。保持溝通暢通并免于報復管理層有責任培養關于風險和風險承擔期望的公開溝通和透明度。管理層表明，風險不是留待董事會討論的問題。它通過向員工發出明確和一致的信息，即管理風險是每個人日常職責的一部分，它不僅受到重視，而且對實體的成功和生存也至關重要。公開的溝通和風險透明度使管理層和工作人員能夠持續合作，在整個實體內分享風險信息。此外，管理層向董事會提供適當數量的風險信息，以衡量當前的企業風險管理實踐是否適當。董事會只有在得到及時和完整的信息，并且溝通線暢通，能夠與第一和第二責任線的管理層討論風險問題時，才能進行風險監督。展現出公開溝通和透明度的實體為管理層和人員提供多種渠道，以報告對潛在不當或過度承擔風險、業務行為或行為的隱憂，而無需擔心報復或恐嚇。實體還禁止對任何善意參與調查不符合行為標準的行為和不符合風險偏好的行為的個人進行任何形式的不適當的報復。從事不當或非法報復或恐嚇行為的人員將受到紀律處分。原則5：加強問責組織要求各級人員對企業風險管理負責，并要求自身負責提供標準和指導。加強問責董事會最終要求首席執行官通過建立企業風險管理實踐和能力來支持實現實體的戰略和業務目標，對管理實體所面臨的風險負責。首席執行官、首席風險官和其他管理層成員共同負責問責制的各個方面--從最初的設計到文化和企業風險管理能力的定期評估。企業風險管理的責任在實體所使用的每個結構中都有所體現。管理層向員工提供指導，使他們了解風險。管理層還通過傳達對企業風險管理所有方面的行為期望來展示領導力。這種來自高層的領導有助于建立和加強責任、士氣和共同宗旨。問責制體現在以下方面：管理層和董事會明確期望（例如，制定并執行行為準則）。管理層確保有關風險的信息在整個實體中流動（溝通如何做出決策以及如何將風險視為決策的一部分）。員工致力于實現集體業務目標（例如，使個人目標和績效與實體的業務目標保持一致）。管理層應對偏離標準和行為（例如，對不遵守組織標準的人員進行解雇或采取其他糾正措施；啟動績效評價）。為自己負責在一些治理結構中，績效目標從董事會逐級分解到首席執行官、管理層和其他人員，并在每個層面上對績效進行評價。董事會評價首席執行官的績效，首席執行官再評價管理團隊，依次類推。在每個層面上，都會評估對行為標準和期望能力水平的遵守情況，并酌情分配獎勵或采取紀律處分。董事會也可以進行自我評價，以評估其自身的優勢，并確定改進企業風險管理的機會。在其他治理結構中，如雙層董事會，監事會評價整個執行委員會及其每個成員的績效；執行委員會評價直接向執行委員會報告的管理團隊。獎勵績效個人承擔責任的程度和獎勵方式對績效有很大影響。考慮到短期和長期業務目標的實現，應由管理層和董事會制定適合實體各級的激勵措施和其他獎勵。建立此類激勵和獎勵，需要適當地評估、優先排序風險并制定詳細的風險應對措施。反之，根據激勵計劃，那些不遵守實體行為標準的個人將受到制裁，而不會得到晉升或其他獎勵。加薪和獎金是常見的激勵措施，但非貨幣性的獎勵，如賦予更大的責任、透明度和認可也是有效的。管理層應根據組織的行為標準和期望行為，持續應用并定期評審組織的衡量和獎勵結構。這樣做時，個人和團隊的績效要根據規定的衡量標準進行評審，其中包括業務績效因素和已證實的能力（見例6.4）。示例6.4：績效、激勵和獎勵一個家族式的家具制造商正試圖以其高質量的家具來贏得客戶忠誠度。它讓員工參與到降低生產缺陷率，并將其績效措施、激勵和獎勵與經營單位的生產目標以及遵守所有安全和質量標準、工作場所安全法律、客戶忠誠度計劃和準確的產品召回報告的期望相一致。這樣，實現客戶忠誠度和銷售高質量家具的業務目標、通過缺陷了解風險并考慮安全問題都與業務績效、激勵和獎勵相一致。應對壓力組織中的壓力來自于許多方面。管理層為實現戰略和業務目標而制定的目標，究其本質，也會產生壓力。壓力還可能發生在特定任務的常規周期中（例如，銷售合同的談判），有時可能是自我施加的。意外的外部因素，如經濟的突然下滑，也會增加壓力。壓力既可以激勵個人達到期望，也可以使他們擔心不能實現戰略和業務目標的后果。在后一種情況下，有可能出現個人規避流程或從事欺詐活動的風險。組織可以通過重新平衡工作量或適當增加資源水平來積極影響壓力以降低這種風險，并繼續宣傳道德行為的重要性。壓力過高最常與以下情況有關：不切實際的績效目標，尤其是短期結果的目標。不同利益相關方的業務目標相互沖突。短期財務績效回報和長期關注的利益相關方回報之間的不平衡，如企業的可持續發展目標（見例6.5）。示例6.5：壓力的代價證實投資策略盈利能力的壓力可能會導致交易員利用未經批準的產品承擔非戰略風險，以彌補已發生的損失。同樣，急于將產品推向市場并迅速產生收入的壓力可能會導致制藥公司人員在產品開發或安全測試方面走捷徑，這可能會對消費者有害，或導致接受度低或聲譽受損。在考慮薪酬和激勵措施時，應考慮對壓力可能產生的負面反應。例如，投資經理代表其客戶投資組合承擔風險，而這些投資的績效可能會顯著影響實體的薪酬。與基金價值模式相比，基于基金金績效的費用模式可能會導致實體內截然不同的行為。將個人薪酬與組織結構相結合，有助于實現戰略和業務目標。反之，如果激勵結構沒有充分考慮到與組織結構相關的風險，就會產生不當行為。壓力也會因變化而產生：戰略、經營模式、收購或剝離活動以及業務環境的變化，這些變化通常是組織外部的，例如市場競爭對手的行動。管理層和董事會必須做好準備，在分配職責、設計績效衡量標準和評價績效時，酌情設定和調整壓力。管理層有責任指導那些被他們授權的人人在經營過程中做出適當的決策。原則6：吸引、發展并留住優秀的個體組織致力于建設與戰略和業務目標相一致的人力資本。建立和評價能力管理層在董事會的監督下，確定執行戰略和業務目標所需的人力資本。了解所需的能力有助于確定應如何執行各種業務流程，以及應運用哪些技能。這首先是董事會相對于首席執行官，以及首席執行官相對于實體各部門、經營單位和職能部門的每個管理層和人員。也就是說，董事會評價首席執行官的能力，反過來，管理層評價整個實體的能力，并在必要時解決任何缺陷或過度。人力資源職能通過制定工作描述、角色和職責、促進培訓和評價個人風險管理績效，幫助提升能力。管理層在制定能力要求時考慮以下因素：企業風險管理的知識、技能和經驗。適用于特定職位的判斷性質和程度以及權限限制。不同技能水平和經驗的成本和收益。吸引、發展并留住優秀的個體對能力的持續承諾得到了人力資源管理過程的支持并嵌入其中。不同級別的管理層建立了結構和程序，以：吸引。尋找必要數量且符合實體的風險意識文化、期望行為、運營風格和組織需求的候選人，以及有能力勝任擬定職位的候選人。培訓。使個人能夠發展和保持適合指定角色和職責的企業風險管理能力，加強行為標準和期望的能力水平，根據具體需求定制培訓，并考慮多種傳授技術，包括課堂教學、自學和在職培訓。輔導。對個人在行為和能力標準方面的表現提供指導，使個人的技能和專長與實體的戰略和業務目標保持一致，并幫助個人適應不斷變化的內部環境和外部環境。評價。根據服務水平協議或其他商定的標準，衡量個人在實現業務目標和證實企業風險管理能力方面的績效。留住。提供激勵措施來激發個人，并加強期望的績效和行為水平。這包括提供適當的培訓和資格認證。在整個過程中，及時識別、評估和糾正任何不符合行為標準、政策、績效預期和企業風險管理責任的行為。此外，組織必須持續識別和評估對實現戰略和業務目標至關重要的角色。通過評估暫時或永久不派人擔任某個角色的后果，來決定該角色是否重要。需要問的問題是：如果首席執行官的職位空缺，戰略和業務目標將如何實現？為繼任做準備為準備繼任，董事會和管理層必須制定應急計劃，分配對企業風險管理至關重要的職責。特別是，需要為關鍵高管制定繼任計劃，并對繼任候選人進行培訓、輔導和指導，以使其承擔該角色。通常，較大的實體會確定不止一個可以擔任關鍵角色的人。風險、戰略和目標設定通過制定戰略和業務目標的過程，將企業風險管理整合到實體的戰略規劃中。通過理解業務環境，組織可以深入了解內部和外部因素及其對風險的影響。組織在制定戰略的同時設定其風險偏好。業務目標將戰略付諸實踐，并決定實體的日常運營和優先事項。風險、戰略和目標設定7.考慮風險和業務環境——組織考慮業務環境對風險狀況的潛在影響。8.定義風險偏好——組織在創造、保持和實現價值的環境下定義風險偏好。9.評估備選戰略——組織評估備選戰略和對風險狀況的影響。10.制定業務目標的同時考慮風險——組織在制定符合和支持戰略的各級業務目標時考慮風險。11.規定可接受的績效波動——組織規定與戰略和業務目標相關的可接受的績效波動。引言評估戰略和業務目標是否與使命、愿景和核心價值觀相一致可能是一個挑戰，但這是一個必須接受的挑戰。通過將企業風險管理與戰略制定相整合，組織可以深入了解與戰略及其執行相關的風險狀況。這樣做可以指導組織，有助于加強戰略及其執行。原則7：考慮風險和業務環境組織考慮業務環境對風險狀況的潛在影響。理解業務環境組織在制定戰略以支持其使命、愿景和核心價值觀時，會考慮業務環境。“業務環境”"是指影響、闡明或推動組織當前和未來戰略及業務目標變化的趨勢、關系和其他因素。業務環境可以是：動態的。新的風險隨時可能出現，導致擾亂和改變現狀（例如，新的競爭者導致產品銷售下降，甚至使產品被淘汰）。復雜的。有許多相互聯系和相互依賴關系（例如，一個實體在世界各地有許多經營單位，每個單位都有自己獨特的政治制度、監管政策和稅法）。不可預測的。因為變化可能很快發生，而且是以意想不到的方式發生（例如，貨幣波動和政治力量）。考慮外部環境和利益相關方外部環境是業務環境的一部分。它是實體之外的任何能夠影響實體實現其戰略和業務目標的能力的事物。外部利益相關方也是外部環境的一部分。外部利益相關方的一個例子是監管機構，它授予實體經營許可證，但也有權對實體進行罰款或強制其暫時或永久關閉。另一個例子是為實體提供資本的投資者，但如果他不認同實體的戰略方向或其績效水平，則可以決定將該投資轉移到其他地方。組織如果能識別其外部環境和利益相關方及其對業務影響程度，就能更好地預測和適應變化。外部利益相關方不直接參與實體的運營，但他們：受實體的影響（客戶、供應商、競爭者等）。直接影響實體的業務環境（政府、監管機構等）。影響實體的聲譽、品牌和信任（社區、利益集團等）。與外部利益相關方一樣，外部環境可以影響實體實現其戰略和業務目標的能力。外部環境由幾個因素組成，這些因素可按首字母縮寫PESTLE進行分類：政治、經濟、社會、技術、法律和環境（圖7.1）。示例7.1說明了這一概念。圖7.1:外部環境類別和特征類府干如，成的災難，持續的氣候變化，能源消費法規的變化，對環境的態度類別外部環境的特征政治政府干預和影響的性質和程度，包括稅收政策、勞動法、環境法、貿易限制、關稅和政治穩定經濟利率、通貨膨脹、外匯匯率、信貸可用性等。社會客戶需求或期望；人口統計學，如年齡分布、教育水平、財富分布等技術研發活動、自動化和技術激勵；技術變革或破壞的速度法律法律（例如，就業、消費者、健康和安全）、法規和行業標準環境自然或人為造成的災難，持續的氣候變化，能源消費法規的變化，對環境的態度示例7.1：外部環境影響一家全球科技公司正在尋求通過在發展中國家推出一種成熟的產品來增加收入，而另一家科技公司正在為其本國的消費者群體開發一種產品。當每家公司評估備選戰略時，他們會考慮不同的外部環境類別。第一家公司受到政治、法律和經濟因素的影響，因為它要駕馭特定國家的法律、政府法規和資本考慮。相比之下，第二家公司在尋求了解新客戶需求時，重點關注社會和技術因素。盡管兩家公司處于同一行業，但它們有不同的外部環境，這些環境會影響其特定的風險狀況，并最終影響其選擇的戰略。考慮內部環境和利益相關方實體的內部環境是指實體內部可能影響其實現戰略和業務目標能力的任何事物（圖7.2）。內部利益相關方是指在實體內部工作并直接影響組織的人員（董事會董事、管理層和其他人員）。由于實體的規模和結構差異很大，內部利益相關方對組織整體的影響可能不同于部門、經營單位或職能層面的影響（見示例7.2）。圖7.2:內部環境類別和特征類府干如，成的災難，持續的氣候變化，能源消費法規的變化，對環境的態度類別內部環境的特征資本資產，包括現金、設備、財產、專利人知識、技能、態度、關系、核心價值和文化。過程活動、任務、政策或程序；管理、運營和支持過程的變化技術新的、修正的或采用的技術示例7.2：內外部環境影響使命、愿景和核心價值觀支持經濟困難地區的社區勞動力的實體，要考慮政治、經濟、社會和環境因素如何影響其雇用和維持熟練勞動力的能力。它考慮支持其使命、愿景和堅持其核心價值觀所需的人員和能力。在考慮與各種戰略相關的風險狀況時，該組織會注意到其確保熟練勞動力的能力。了解這些外部和內部影響可以在選擇戰略時提供有價值的見解。業務環境如何影響風險狀況業務環境對實體風險狀況的影響可分為三個階段：過去、現在和未來績效。回顧過去的績效可以為組織提供寶貴的信息，用于形成其風險狀況。觀察當前績效可以向組織展示當前趨勢、關系和其他因素如何影響風險狀況。通過思考這些因素在未來會是什么樣子，組織可以考慮其風險狀況將如何隨著其前進方向或希望前進方向而演變。示例7.3說明了組織通過企業風險管理的要素來考慮業務環境。例7.3：在每個框架要素中考慮業務環境風險治理和文化：零售公司的管理層在逐步理解與內部和外部利益相關方的互動時，會考慮業務環境。這樣做時，它考慮了影響行業發展的大趨勢。風險、戰略和目標設定：公司將其對業務環境的理解（例如，大趨勢）整合至戰略規劃周期，以實現長期價值和成功。執行中的風險：公司將其對業務環境的理解納入其風險識別、評估和應對實踐，可能會對當前和未來的風險產生影響。風險信息、溝通和報告：公司考慮業務環境的變化如何影響組織獲取、溝通和報告風險信息的方式。監視企業風險管理績效：公司考慮影響業務環境的變化如何影響實體的文化和企業風險管理實踐，包括改進當前實踐的機會。原則8：定義風險偏好組織在創造、保持和實現價值的環境下定義風險偏好。確定風險偏好風險偏好指導組織確定其愿意接受的風險類型和數量。沒有適用于所有實體的標準或“正確”風險偏好。管理層和董事會在充分了解相關利弊得失的情況下選擇風險偏好。風險偏好可能包括對可接受的風險類型和數量的單一描述，或對一致并共同支持實體使命和愿景的多個描述。有多種方法可用于確定風險偏好，包括促進討論，評審過去和當前的績效目標以及建模。由管理層負責在整個實體的各個細節層面上溝通商定的風險偏好。在董事會的批準下，管理層還會根據新的和正在出現的考慮因素來重新審視和加強風險偏好。此外，雖然風險偏好在考慮戰略和設定業務目標和績效目標時極為重要，但一旦實體考慮到執行中的風險，重點就會轉移到在可接受的變化范圍內管理風險。對于某些實體，使用“低偏好”或“高偏好”等通用術語就足夠了。其他人可能認為這些陳述過于含糊，無法有效溝通和執行，因此他們可能會尋找更定量的度量。通常，隨著組織在企業風險管理方面的經驗越來越豐富，他們對風險偏好的描述也越來越精確。有些人將制定一系列風險偏好級聯表達，引用“目標”、“范圍”、“下限”或“上限”（見示例7.4）。其他人將使用具體的定量術語來提高精度。示例7.4:風險偏好表達示例目標。對貸款損失風險偏好較低的信用合作社通過將貸款損失目標設定為總貸款組合的0.25%，將低偏好信息傳遞給企業。范圍。醫療供應公司在總體低風險范圍內運營。其最低風險偏好與安全和合規目標相關，包括員工健康和安全，而其戰略、報告和運營目標的風險偏好略高。這意味這意味著將各種醫療系統、產品、設備和工作環境產生的風險降低到合理可行的程度，以及履行法律義務將優先于其他業務目標。上限。一所大學接受適度的風險偏好，因為它尋求在財務穩健的情況下擴大其服務范圍，并將探索吸引新學生的機會。如果大學有或可以很容易地獲得必需的能力來提供新課程，大學則將支持這些課程。然而，大學不會接受對大學使命和愿景構成嚴重風險的課程，這對可接受的決策形成一個上限。下限。一家科技公司對其行業的增長有著積極的目標，并認識到這種增長需要大量的資本投資。雖然管理層不接受不明智的資本投資，但認為至少應將運營預算的25%（即下限）分配給追求技術創新。組織可以考慮任何數量的參數，以幫助確定其風險偏好并提供更大的精確性。例如，組織可以考慮。戰略參數。如追求或避免的新產品、資本支出的投資以及并購活動。財務參數。如財務績效的最大可接受波動、資產回報率或風險調整后的資本回報率、目標債務評級以及目標債務/股東權益比率。運營參數。如環境要求、安全目標、質量目標和客戶集中度。在確定風險偏好時，管理層還可以考慮實體的風險狀況、風險容量、風險能力和成熟度等。風險狀況提供了有關實體當前的風險量、風險在整個實體中如何分布以及實體不同風險類別的信息。新的組織不會有現有的風險狀況可供借鑒，但他們可能能夠從其行業和競爭對手那里獲得有價值的信息。第三章介紹的風險容量是指實體能夠承受的最大風險量。如果風險偏好很高，但其風險容量卻不足以承受相關風險的潛在影響，那么實體可能會失敗。另一方面，如果實體的風險容量大大超過其風險偏好，組織可能會失去為其利益相關方增加價值的機會。企業風險管理能力和成熟度提供了關于企業風險管理運作情況的信息。成熟的組織通常能夠界定企業風險管理能力，從而更好地了解其現有風險偏好和影響風險容量的因素。不太成熟、未界定企業風險管理能力的組織可能沒有同樣的理解，這可能導致更廣泛的風險偏好聲明或需要盡快重新定義的聲明。企業風險管理能力和成熟度也會影響組織如何堅持風險偏好并在風險偏好范圍內營運。闡述風險偏好一些組織將風險偏好表述為一個單一的點；另一些組織則表述為一個連續帶（見例7.5）。示例7.5:風險偏好連續帶一所大學制定了其業務目標，重點關注其作為一所卓越教學和研究型大學的角色，吸引優秀學生以及作為頂尖教師的理想工作場所。大學的風險偏好聲明承認，幾乎所有活動都存在風險。建立風險偏好的關鍵問題是大學在多大程度上愿意接受與每個領域相關的風險。為了回答這個問題，管理層使用一個連續帶來表示大學主要業務目標（教學、研究、服務、學生安全和運營效率）的風險偏好。他們把各種風險放在連續帶上，作為最高級別討論的基礎。組織可以在以下環境下闡明詳細的風險偏好聲明：與使命、愿景和核心價值相一致的戰略和業務目標。業務目標17個類別。實體的績效目標。風險偏好由管理層傳達，由董事會批準，并在整個實體內傳播。傳播風險偏好很重要，因為目標是讓所有決策者了解他們必須在其中運營的風險偏好，并讓所有業務與風險偏好保持一致，特別是那些執行任務以實現業務目標的人（例如，當地銷售團隊、國家經理、運營單位）。示例7.6說明了組織是如何通過與高層業務目標相一致的聲明來逐級分解風險偏好的，而這些目標又與實體的總體戰略相一致。應用風險偏好風險偏好指導組織如何分配資源，包括在整個實體和每個經營單位中分配資源。其目的是使資源分配與實體的使命、愿景和核心價值相一致。因此，管理層在經營單位之間分配資源時，要考慮到實體的風險偏好和各個經營單位創造價值的計劃。管理層還會調整人員、流程和基礎設施，以成功實施戰略，同時保持在其風險偏好范圍內。風險偏好被納入組織運營和管理決策中，管理層在董事會的監督下，持續監視各級風險偏好，并在需要時適應變化。通過這種方式，管理層創造了一種文化，強調風險偏好的重要性，并將負責實施企業風險管理的人員置于風險偏好參數范圍內。原則9：評估備選戰略組織評估備選戰略和對風險狀況的影響。作為戰略制定過程的一部分，一個組織必須對備選戰略進行評價，并評估每個備選方案的風險和機遇。這種評價通常被稱為"盡職調查"。備選戰略要在組織創造、保持和實現價值的資源和能力環境下進行評估。企業風險管理的一部分包括從兩個不同的風險角度評價戰略：（1）戰略與實體的使命、愿景和核心價值不一致的可能性，以及（2）所選戰略的影響。與戰略保持一致的重要性戰略必須支持使命和愿景及其核心價值，并與實體的文化和風險偏好保持一致。否則，實體可能無法實現其使命和愿景。此外，不一致的戰略會增加利益相關方的風險，因為組織的價值和聲譽可能會受到影響。例如，一家電信公司正在考慮采取限制其產品和服務提供地區的戰略，以提高其財務績效。但這一戰略與它作為關鍵服務提供商和當地社區主要企業公民的使命相沖突。雖然預期的財務績效改進是旨在吸引股東和投資者，但其在堅持維持服務的社區團體和監管機構中的聲譽可能會受到不利影響而受到損害。理解所選戰略的影響在評估備選戰略時，組織試圖識別和理解所考慮的每個戰略的潛在風險。已識別的風共同構成了每個選項的風險狀況；也就是說，不同的戰略產生不同的風險況況。鑒于實體的風險偏好，管理層和董事會在決定采用最佳戰略時使用這些風險狀況。評估備選戰略時，另一個考慮因素是與業務環境、資源和能力相關的支持性假設。與組織更確定地知道不會發生與戰略相關的破壞性事件相比，如果假設未得到證實通常發生破壞性事件的風險更高。管理層和董事會對每個假設的置信水平將影響每個戰略的風險狀況。此外，當做出大量假設時，戰略通常具有較高的風險狀況。一旦為所選戰略確定了風險狀況，管理層就能更好地考慮在執行該戰略時將面臨的風險類型和數量。具體來說，了解風險狀況使管理層能夠確定需要和分配哪些資源來支持戰略的執行，同時保持在風險偏好范圍內。資源要求包括基礎設施、技術專長和運營資本。在評估備選戰略所需的工作量和精確度，將因決策的重要性、可用的資源和能力以及被評價的戰略數量而異。決策越重要，評價就越詳細，可能要使用幾種方法（見例7.7）。示例7.7:評價戰略處于高度監管行業中的化工公司需要評價將產品推向新地理市場的戰略。這一特定戰略代表了資本資源的重大支出。市場受到高度監管，新的地理區域帶來了不同的文化影響，因此管理層的評價必須是廣泛的。管理層評審進入市場的壁壘、潛在市場份額、競爭對手分析、收入預測、地理/文化分析、供應鏈分析和監管調查。同時，公司正在考慮改變其供應鏈中的分銷伙伴。與該戰略相關的決策不太重要，因為預計不會有額外的資本支出，并且此變化不會引入新的監管市場，因此管理層的評價不那么嚴格。在這種情況下，他們進行成本分析、質量控制分析和價值鏈分析。評價備選戰略的普遍方法是SWOT分析、建模、估值、收入預測、競爭對手分析和情景分析。評價（或盡職調查）通常由管理人員進行，他們具有整個實體風險觀點并了解戰略如何影響績效。也就是說，管理層在實體層面了解所選擇的戰略將如何支持不同部門、職能和地域的績效。在制定備選戰略時，管理層會做出某些假設。這些基本假設對變化很敏感，而這種變化的傾向會極大地影響風險狀況。一旦選擇了戰略，并且通過了解假設的變化趨勢，組織就能夠制定與假設變化相關的必要監督機制。示例7.8說明了一個組織評價備選戰略的過程。示例7.8:考慮備選戰略?使命：為客戶提供最高質量的運輸服務，安全是運營的首要考慮因素，同時為股東保持強勁的財務回報。?愿景：提升我們的品牌，使之成為全球值得信賴的交通運輸供應商。一家全球物流服務供應商希望擴大業務以滿足全球需求，為此需要一個新的配送中心。在戰略規劃期間，評估了幾個備選方案。備選方案1：在發展中國家開設一個海外分銷中心。這是目前考慮的地點中建設成本和運營勞動力成本最低的一個，但會使交付時間平均增加30%。設在這個發展中國家還會帶來地緣政治和經濟風險。備選方案2：在一個中型城市開設一個陸上配送中心。這個地方的建造成本比備選方案1稍高，但勞動力供應充足。然而，該地區冬季嚴寒，這增加了天氣相關事件擾亂運輸的風險。備選方案3：在一個較大城市的陸上位置。這個地方的建設成本最高，勞動力市場競爭最激烈，可能導致運營成本增加。然而，氣候一年四季很溫和。戰略與使命和愿景不一致的可能性以及戰略對風險狀況的影響總結如下：戰略與使命和愿景不一致的可能性戰略對風險狀況的影響方案1?政治不穩定可能帶來未來的安全問題?額外的交付時間可能會影響客戶滿意度并侵蝕價值?地緣政治和經濟風險增加方案2?暴風雪可能會給飛機和卡車帶來安全問題?股東價值在經濟下滑時期可能受到影響?交付時間可能會因冬季惡劣的天氣條件而延遲，這可能會影響客戶滿意度方案3?成本持有人價值增加可能會侵蝕股東價值?人工成本可能更高?成本增加可能會造成定價差異并降低銷售量使戰略與風險偏好保持一致組織應期望其選擇的戰略能夠在實體的風險偏好范圍內執行；也就是說，戰略必須與風險偏好保持一致。如果與特定戰略相關的風險與實體的風險偏好或風險容量不一致，則需要修訂戰略、選擇備選戰略或重新審視風險偏好。例如，一家飲料制造商制定了這樣的戰略：“通過擴大全球生產地點來擴大業務。”然而，當一些全球地點的風險明顯超過制造商的風險偏好時，該戰略得到了更新：“在既定的基礎設施要求和政府法規范圍內，通過向全球各地擴張來擴大業務。”改變戰略通常，組織會定期舉行戰略規劃會議，概述短期和長期戰略。如果組織確定當前戰略無法創造、實現或保持價值，則需要改變戰略；或者業務環境的變化導致實體過于接近其愿意接受的最大風險，或者需要組織無法獲得的資源和能力。最后，業務環境的發展可能會導致組織不再合理地期望能夠實現戰略（見示例7.9）。示例7.9:改變戰略一家全球相機制造商過去銷售膠卷相機，但隨著數碼相機普及，該公司的價值開始因銷售量下降而受到侵蝕。作為回應，它通過適應不斷變化的消費者需求和新技術來調整其戰略。它現在開發了數碼相機，并降低了其產品可能被淘汰的風險。這些戰略變化由相關業務目標和績效目標的變化來支持。減輕偏見偏見總是存在的，但一個組織在評估備選戰略時，應盡量做到不偏不倚或減少任何偏見。第一步是發現戰略制定過程中可能存在的任何偏見。下一步是減輕已發現的偏見。偏見可能會妨礙組織選擇最佳支持實體使命、愿景、核心價值并反映實體風險偏好的戰略。原則10：制定業務目標的同時考慮風險組織在制定符合和支持戰略的各級業務目標時考慮風險。制定業務目標組織制定可測量或可觀察、可實現和相關的業務目標。業務目標提供了與實體內實踐的聯系，以支持戰略的實現。例如，業務目標可能涉及：財務績效。保持所有業務的盈利運營。客戶愿望。在方便客戶訪問的位置建立客戶關懷中心。運營卓越。談判有競爭力的勞動合同，以吸引和留住員工。合規義務。在所有工作場所遵守適用的健康和安全法律。效率提升。在節能環境中運營。創新領導。通過頻繁地推出新產品，在市場上引領創新。業務目標可以在整個實體（部門、經營單位、職能部門）中逐級分解，也可以選擇性地應用。逐級分解的目標從實體最高層向下逐步應用時，會變得更加詳細。例如，財務業績目標是由部門目標逐級分解到各個運營單位。或者，許多業務目標將具體到運營維度、地理位置、產品或服務。業務目標與戰略相一致無論目標的結構如何以及在何處應用，每個目標都與戰略保持一致。業務目標與戰略相一致有助于實體實現其使命和愿景。與戰略不一致或僅部分一致的業務目標將不支持實現使命和愿景，并可能給實體的風險狀況帶來不必要的風險。也就是說，組織可能會消耗原本可以更有效地部署在執行其他業務目標上的資源。業務目標還應與實體的風險偏好保持一致。如果它們不一致，組織可能會接受過多或過少的風險。因此，當組織評價提議的業務目標時，必須考慮可能發生的潛在風險并確定對風險狀況的影響。導致組織超出風險偏好的業務目標可能會被修改，或者可能會被放棄。如果組織發現，在保持其風險偏好或能力范圍內，無法建立支持戰略實現的業務目標，則需要對戰略或風險狀況進行評審。理解所選業務目標的影響組織在決定業務目標時有很多選擇。例如，假設組織有機會升級其核心操作系統并重新設計其現有的IT基礎設施。為實現業務目標，一種選擇是確定一個合適的供應商并簽訂第三方協議來開發一個定制的IT系統；另一個選擇是組織在內部建立自己的系統，對其IT能力進行大量投資并增加人員數量。這兩個目標都與總體戰略相一致，因此管理層必須對這兩個目標進行評價，并根據對實體的風險狀況、資源和能力的潛在影響確定適當的行動方案。與制定戰略的情況一樣，組織需要有合理的預期，即在給定的實體風險偏好或可用資源的條件下，業務目標可以實現。實體的能力和資源決定了預期。如果不存在合理的預期，組織必須選擇超出風險偏好、獲取更多的資源或改變業務目標。根據業務目標對戰略的重要性，可能還需要修改戰略（見示例7.10）。示例7.10:確定所選業務目標的影響作為其五年戰略的一部分，農業生產者正在尋求培育有機產品作為差異化競爭。公司分析向有機環境過渡的成本，并確定需要大量投資，這可能會威脅到實體的財務績效目標。鑒于維持財務績效的重要性，組織選擇放棄該戰略。對業務目標進行分類組織如何對其業務目標進行分類是由管理層決定的。無論如何分類，它們都必須與業務實踐、產品、地理位置或其他組織層面保持一致。在某些情況下，組織必須遵守外部要求，這些要求規定了出于報告目的對業務目標進行分類的方式。例如，如果組織被要求報告其環境風險評估，作為其經營許可證的一部分，它將在其業務目標和報告中具體包括這些要求。組織需要注意不要混淆業務目標類別和風險類別。風險類別與可能影響這些業務目標的風險的共享或共同分組有關。設定績效衡量標準和指標組織設定指標以監視實體的績效并支持業務目標的實現。例如：一家資產管理公司尋求其投資組合每年實現5%的投資回報率（ROI）。一家餐廳的目標是在40分鐘內交付在線送貨上門訂單。一個呼叫中心努力將未接來電降至總來電的2%。這些目標應與戰略和風險偏好相一致。通過設定目標，組織能夠影響實體的風險狀況。積極的目標可能會導致該業務目標的風險更大。例如，組織可能設定積極的增長目標，從而增加執行風險。相反，組織可能設定一個更保守的增長目標，這將降低實現目標的風險，但也可能導致目標不再與業務目標的實現保持一致。再舉一個例子，再考慮一下上面列表中的資產管理公司，該公司了解5%的投資回報率將使實體能夠實現其財務目標。如果它爭取7%的回報率，那么它在執行過程中會面臨更大的風險。如果它爭取達到3%，這使得風險狀況不那么積極，它將無法實現更廣泛的財務目標。（識別和評估實現業務目標的風險以及監視績效措施和目標的適當性，將在第八章討論）。示例7.11提供了在實體、部門、運營單位和職能層面考慮的業務目標以及支持目標的更全面示例。該示例說明了業務目標是如何隨著它們在整個實體和各個層次上的逐級遞增而提高其具體性的。示例7.11：各層級業務目標示例業務目標績效測量指標業務目標（實體）?繼續開發令消費者感興趣和興奮的創新產品?擴大保健食品行業的零售業務?始終有8種產品在研發中?同比增長5%北美地區（部門）業務目標?增加共享我們核心價值觀的主要商店的貨架空間?繼續在當地市場采購產品?貨架空間增加7%?92%的本地貨源率零食部（經營單位）業務目標?開發超出消費者預期的高質量、安全的零食產品?客戶滿意度調查中，4.8分（滿分5分）?營業額低于10%人力資源（職能）業務目標?保持良好的員工年營業額?在未來一年招聘和培訓產品銷售經理?招聘50名銷售經理?銷售人員的培訓率達到95%原則11：規定可接受的績效波動組織規定與戰略和業務目標相關的可接受的績效波動。理解可接受的績效波動可接受的績效波動與風險偏好密切相關，有時被稱為“風險容忍（度）”。它描述了與在風險偏好范圍內實現業務目標相關的可接受結果的范圍。它還提供了一種方法來衡量實現戰略和業務目標的風險是可接受的還是不可接受的。與廣泛的風險偏好不同的是，可接受的績效變化是戰術性的和有針對性的。也就是說，它應該用可衡量的單位（最好用與業務目標相同的單位）表示，適用于所有業務目標并在整個實體內實施。在設定可接受的績效波動時，組織會考慮每個業務目標和戰略的相對重要性。例如，對于那些被認為對實現實體戰略至關重要的目標，或戰略對實體的使命和愿景至關重要的目標，組織可能希望設定較低水平的可接受績效波動。在可接受的績效波動范圍內運營，使管理層對實體保持在其風險偏好范圍內更有信心，并為實體實現其業務目標提供更大程度的慰藉。與業務目標相關的績效測量有助于確認實際績效在既定可接受的績效波動范圍之內（見例7.12）。績效測量可以是定量的，也可以是定性的（見例7.13）。示例7.12：可接受的績效波動陳述示例業務目標指標可接受的績效波動資產管理者的投資回報率（ROI）其投資組合的目標年回報率為5%3%至7%的年回報率餐廳提供在線送貨上門服務的訂單目標為在40分鐘內交付30至50分鐘的交付時間盡量減少呼叫中心的未接電話目標為總通話量的2%占總通話量的1%至5示例7.13:定性和定量測量的示例定量的績效測量定性的績效測量航空業?新目的地的數量?座位占用率?每個座位的收入?客戶滿意度?品牌認可度農業?選擇的作物數量?作物產量?有機認證?環境合規石油和天然氣?每天的桶數?活躍的油井數量?安全事故數量?環境保護?健康和安全記錄非營利性衛生機構?捐贈者數量和捐贈金額?贊助的研究項目數量?提供的咨詢項目數量?捐贈者滿意度?社會媒體評論政府機構?頒發的許可證數量?獲得援助的人數?社會媒體評論?公眾滿意度可接受的績效波動也考慮了超過和落后的波動，有時被稱為正波動或負波動。請注意，超過和落后的波動并不總是設置為與目標等距超過和落后的波動幅度取決于幾個因素。例如，一個擁有豐富經驗的成熟組織，在管理低水平波動方面了獲得經驗后，可能會使超出和落后波動更接近目標。實體的風險偏好是另一個因素：與風險偏好較高的實體相比，風險偏好較低的實體可能更喜歡較小的績效波動。組織通常認為，超過績效波動是一種好處，而落后于績效波動是一種風險。超過目標通常表明效率高或績效好，而不僅僅是機會被利用。但是，落后于目標并不一定意味著失敗：這取決于組織的目標和如何定義波動（見例7.14）。示例7.14:落后于目標的績效波動一家大型飲料裝瓶商設定了一個目標，即一年內在裝瓶車間發生的損失時間事件不超過五起，并將可接受的績效波動設定為為0至7起。為0至7起之間的波動過大，意味著更多的事故和潛在的損失時間以及健康和安全索賠的增加，這對實體來說是一個負面的結果。相比之下，落后的波動到5代表了一種好處：損失時間的事件更少，健康和安全索賠更少。組織還需要考慮爭取零損失時間事故的成本。有時，對利益的追求會減損其他業務目標的實現，這就是為什么正波動可能會受到限制的原因。組織還應了解成本與績效可接受波動之間的關系，以便有效應對相關風險和機遇。通常，可接受的績效波動越小，在該績效水平內營運所需的資源就越多。以航空公司為例，它跟蹤準時到達和出發的航班。航空公司可能會決定停止為幾個機場服務，因為其準點率不符合航空公司修訂后的（減少的）可接受的績效波動。然后，該航空公司需要權衡放棄服務收入的成本影響，以實現其波動減少的績效目標。執行中的風險組織識別和評估可能影響實體實現其戰略和業務目標能力的風險。它根據風險的嚴重程度并考慮到實體的風險偏好對風險進行優先排序。然后，組織選擇風險應對措施，并監視績效的變化。這樣，實體對追求其戰略和業務目標的過程中所承擔的風險量建立起一個組合觀。通過識別、評估和應對可能影響實體戰略和業務目標實現的風險，可以進一步實現實體價值的創造、保持和實現。源于交易層面的風險可能被證明與實體層面的風險一樣具有破壞性。風險也可能影響經營單位或整個實體。風險可能與業務環境中的因素或其他風險高度相關。此外，風險應對可能需要對基礎設施進行大量投資，也可能被接受為經營的一部分。由于風險來自不同的來源，需要一系列應對措施，因此識別、評估和應對過程是在整個實體和所有層面上進行的。本框架的這個要素側重于支持組織決策和實現戰略和業務目標的企業風險管理實踐。為此，各組織使用其運營模式來制定一個流程，該流程：識別新的和新興風險，以便管理層能夠及時部署風險應對措施。評估風險的嚴重程度，了解風險如何如何隨實體層級而變化。對風險進行優先排序，使管理層能夠優化資源分配以應對這些風險。識別和選擇對風險應對措施。建立風險組合觀，以增強組織闡明在追求戰略和業務目標過程中承擔風險量的能力。監視實體績效，并識別實體績效或風險狀況的重大變化。圖8.1說明了這個過程是循環往復，過程中一個步驟的輸入通常是前一個步驟的輸出。這個過程是在所有層級上進行，且適當的企業風險管理的職責和責任與風險的嚴重程度相一致。圖8.1:將風險評估過程、輸入、方法和輸出相關聯過程輸入方法類別輸出識別風險?戰略和業務目標?風險偏好和可接受的績效波動?業務環境?數據跟蹤?訪談?引導式研討會?問卷和調查?流程分析?領先指標?風險宇宙（風險清單）評估風險?風險范圍?風險嚴重程度測量?概率建模（風險價值（VaR））?非概率模型（如敏感性分析）?判斷性評價?標桿管理?風險評估結果風險進行優先排序?風險評估結果?優先排序準則?判斷性評價?定量評分法?已進行優先排序按的風險評估結果風險應對?已進行優先排序按的風險評估結果?風險狀況模板或模擬風險狀況?成本效益分析?已部署的風險應對措施?剩余風險評估結果建立風險組合觀剩余風險評估結果?判斷性評價?定量評分法?風險組合觀監視績效剩余風險評估結果風險組合觀?儀表板?績效報告糾正措施組織對實現其戰略和業務目標的新的、新興的和不斷變化的風險進行識別。首次進行風險識別過程的組織需要建立風險清單，然后在隨后的識別過程中，確認現有風險是否仍然適用和相關。組織多長時間經歷一次這個過程取決于新風險出現的速度。在風險可能需要數月或數年才能形成的情況，風險識別的頻率可能低于風險不太可預測或可能以更快速度發生的情況。新的、新興的和不斷變化的風險包括那些：源于業務目標的變化（例如，實體采用由業務目標支持的新戰略或修正現有業務目標）。源于業務環境的變化（例如，消費者對環保或有機產品偏好的變化，對公司產品的銷售有潛在的不利影響）。與以前可能不適用于實體的業務環境變化有關（例如，導致對該實體承擔新義務的法規變化）。之前未知（例如，發現公司生產過程中使用的原材料易受腐蝕）。之前已經確定，但后來由于業務環境、風險偏好或支持性假設的變化而有所改變。管理層承認，一些風險可能仍然未知——風險識別過程中無法合理預期地考慮到這些風險。這些風險通常與業務環境中的變化有關。例如，競爭對手的未來行動或意圖通常是未知的，但它們可能對實體的績效構成新的風險。當業務環境發生變化時，也會出現新興風險，這些風險可能會在未來改變實體的風險狀況。請注意，對新興風險的理解可能不夠深入，無法在首次識別時準確識別和評估。識別新的和新興風險，或現有風險的變化，使管理層能夠展望未來，并有時間評估風險的潛在嚴重程度。反過來，有時間評估風險使管理層能夠預測風險應對，或在必要時評審實體的戰略和業務目標。組織希望識別那些可能擾亂運營并影響實現戰略和業務目標的合理預期的風險。此類風險代表風險狀況的重大變化，可能是特定事件或不斷變化的情況。以下是一些示例：新興技術：可能影響現有產品和服務的相關性和壽命的技術進步。大數據的作用不斷擴大：組織如何有效和高效地訪問和轉換大量的結構化和非結構化數據。自然資源的枯竭：影響產品和服務的供應、需求和地點的自然資源的可用性不斷減少，成本不斷增加。虛擬實體的興起：影響傳統市場結構的供應、需求和分銷渠道的虛擬實體日益突出。勞動力流動：移動和遠程的勞動力，為實體的日常運營引入了新的流程。勞動力短缺：確保勞動力具備實體支持績效所需的技能和教育水平的挑戰。生活方式、醫療保健和人口統計方面的變化：隨著人口的變化，當前和未來客戶的習慣和需求不斷變化。在識別風險時，組織應力求措辭準確，確保闡明實際風險和其他考慮因素之間的區別，這些因素包括：可能影響風險嚴重程度的潛在根本原因。描述中嵌入風險的潛在影響。無效或失敗的風險應對和控制的潛在影響。圖8.2提供了一些示例。風險以外的考慮因素說明風險以外的考慮因素的風險描述首選的風險描述潛在的根本原因?缺乏培訓會增加發生處理錯誤和事故的風險?員工士氣低落導致關鍵員工離職的風險，造成從而導致人員流失率高?處理錯誤影響生產單位質量的風險?關鍵員工流失和人員流動的風險，影響員工保留目標描述中嵌入風險的潛在影響?生產能力無法跟上增長的需求，客戶訂單減少了10%?極端天氣導致需求比預期高20%?生產能力無法滿足影響生產目標的增長需求的風險?氣溫高于預期，導致夏季產品需求超出產能的風險。無效或失敗的風險的潛在影響?銀行對賬未能發現向客戶支付的錯誤款項的風險?質量保證檢查未能在分銷前發現產品缺陷的風險?對客戶的錯誤付款影響到實體的財務結果的風險?產品缺陷影響質量和安全目標的風險因此，鼓勵各組織使用標準句子結構描述風險。這里有兩種方法：【描述潛在事件或情況】發生的可能性以及對【描述組織設定的具體業務目標】的相關影響。——示例：外匯匯率變化的可能性以及對收入的相關影響。與【描述可能發生的事件或情況】有關的【描述組織設定的類別】的風險，以及【描述相關影響]。——示例：與外匯匯率可能變化有關的財務績效風險以及對收入的影響。準確的風險識別非常重要，因為：它使管理層能夠更準確地評估風險的嚴重程度。它幫助管理層識別典型的根本原因和影響，從而選擇和部署最合適的風險應對措施。它支持對風險進行匯總，以產生組合觀。風險識別應在所有層面進行：實體、部門、運營單位、職能部門和過程（見示例8.1）。示例8.1:區域性能源公司可能會在部門或實體層面識別與經濟前景變化相關的風險，而不是在流程層面識別。反之，它可能在流程層面上識別客戶的最后期限可能被錯過的風險，而不是在部門或實體層面上識別。無論在哪里識別風險，所有風險都構成實體風險宇宙的一部分。為了證明風險識別是全面的，管理層將評估所有職能部門和層次的風險，包括多個職能部門的共同存在風險以及特定產品、服務提供、管轄范圍或其他職能部門特有的風險。管理層還必須考慮可能存在的超出職能范圍的風險。例如，實體的技術團隊可能會識別IT系統和應用相關的風險，但這些風險也會影響其他運營單位。在這種情況下，管理層確定并確認適當的風險所有者。有多種方法可用于識別風險。這些方法從簡單的問卷調查到復雜的引導式研討會和會議。有些方法可以通過技術手段來實現，如在線調查、數據跟蹤和復雜的分析。根據實體的規模、地理足跡和復雜性，管理層可能會使用多種技術。例如，大型實體可能會收集有關歷史事件和損失的內部數據，并對其進行分析，以識別新的、新興的和不斷變化的風險。一些組織可能會利用同一行業或地區其他組織的信息來告知他們潛在的風險。圖8.3和下列清單提供了針對不同類型風險的有用方法的信息。圖8.3:識別風險的方法風險類別研討會訪談流程分析關鍵風險指標數據追蹤PPPPP新風險PPPP新興風險PPP研討會將來自不同職能和層次的個人聚集在一起，利用團隊的集體知識，制定一份與實體的戰略或業務目標相關的風險清單。訪談征求個人對過去和潛在事件的了解。對于征求一大群人意見，可以使用問卷或調查。流程分析包括繪制流程圖，以更好地理解其要素輸入、活動、輸出和職責之間的相互關系。一旦繪制完成，就可以根據相關業務目標識別和考慮風險。關鍵風險指標是旨在識別現有風險變化的定性或定量措施。風險指標不應與通常具有回顧性的績效測量指標混淆。對過去事件的數據跟蹤可以幫助預測未來發生的事件。雖然