Treadway委員會的發起組織委員會

企業風險管理

2016年6月版

目次

1引言.................................................................................3

2理解術語：風險和企業風險管理........................................................8

3企業風險管理和戰略.................................................................10

4考慮風險和實體績效.................................................................13

5要素和原則..........................................................................18

6風險治理和文化.....................................................................22

7風險、戰略和目標設定...............................................................35

8執行中的風險........................................................................50

9風險信息、溝通和報告...............................................................71

10監視風險管理績效..................................................................83

附錄A：術語表........................................................................87

附錄B：企業風險管理的角色和職責.....................................................90

附錄D：風險概況圖解................................................................102

2

企業風險管理一戰略與績效整合

應用框架：將其置于環境中

1引言

將企業風險管理整合至整個組織中，可以改進治理、戰略、目標設定和日常運營方面的決策。它通過將戰

略和業務目標與風險和機會更緊密地聯系起來，有助于提高績效。整合企業風險管理所需的努力為實體提供創

造、保持和實現價值的明確途徑。

對企業風險管理的討論始于這樣一個基本前提：每個實體一一無論是營利性、非營利性的還是政府的一都

是為了給其利益相關方提供價值而存在。本出版物建立在一個相關的前提上：所有實體在追求價值的過程中都

面臨不確定性。本出版物所闡述的企業風險管理的概念和原則，旨在適用于所有實體，無論其法律結構、規模、

行業或地理位置如何。

“不確定性”通常被理解為不完全已知的事物或不確定的狀態。風險涉及不確定性，并影響組織實現其戰

略和業務目標的能力。因此，管理層面臨的挑戰是組織準備并能夠承受多大程度的不確定性，也就是多少風險。

有效的企業風險管理使管理層能夠平衡風險敞口與機會，目的是提高創造、維持和最終實現價值的能力。

管理層在如何應用企業風險管理實踐方面有許多選擇，沒有一種方法比另一種更好。然而，如果讀者希望

獲得框架之外的信息，或者可以應用不同的實踐來將概念和原則整合到實體中，那么他們會發現本出版物的附

錄很有幫助。

企業風險管理影響價值

實體的價值很大程度由管理層的決策（從整體戰略決策到日常決策）決定的。這些決策可以決定價值是否

被創造、保持、實現或還是被侵蝕。

?當部署的資源的價值低于從該部署中獲得的利益時，就會創造。這些資源可以是人力、財務資本、技

術、流程、市場占有率（品牌）。

?當部署在日常運營中的資源的價值維持所創造的收益時，價值就得以保持。例如，通過交付優質的產

品、服務和生產能力來保持價值，從而使客戶和利益相關方滿意。

?當利益相關方獲得實體創造的收益時，價值就實現了。收益可以是貨幣性或非貨幣性。

?當管理層實施的戰略無法產生預期結果或無法執行日常任務時，價值就會受到侵蝕。

3

如何創造價值取決于實體的類型。營利性實體通過成功實施平衡市場機會和追求這些機會的風險的戰略決

策來創造價值。非營利性和政府實體可以通過提供商品和服務來創造價值，在服務更廣泛的社區的機會和任何

相關的風險之間取得平衡。無論是哪種類型的實體，應用企業風險管理實踐都能創造信任，并為利益相關方灌

輸信心。

企業風險管理影響戰略

“戰略”是指組織為實現其使命和愿景以及應用其核心價值而制定的計劃。清晰的戰略可以推動資源的有

效分配和有效決策。它還提供了制定業務目標的路線圖。

企業風險管理并不創造實體的戰略，但它影響其制定。組織將企業風險管理整合到戰略規劃中，向管理層

提供其需要的風險信息，以考慮可供選擇的戰略，并最終采用具體的戰略。

企業風險管理與業務相關聯

企業風險管理與企業的所有其他方面相結合，包括治理、戰略、績效管理和內部控制。具體來說：

?治理和戰略構成了最廣泛的概念，涵蓋了企業風險管理、內部控制和績效管理。治理的某些方面不屬

于企業風險管理的范疇（董事會成員的招聘和評價：實體的使命、愿景和核心價值觀的制定）。

?企業風險管理包括內部控制的各個方面，并與績效管理有交叉。企業風險管理的某些方面不屬于內部

控制和績效管理的范疇（設定風險偏好，支持戰略和目標的設定）。

?績效管理的側重于實體的績效和高效部署資源，以實現實體的戰略和業務目標。

績效管理

組織為實現或超越其戰略和業務目標而制定各種措施。績效管理涉及根據預先確定的目標（包括短期和長

期）來測量這些措施，并確定這些目標的實現程度。然而，由于各種已知和未知風險都可能影響實體的績效,

因此可以使用各種衡量標準。

?運營績效，如運營小時數、產量或產能百分比。

?遵守義務，如服務水平協議或監管合規要求。

?新產品的推出時間表，例如每180天推出一個新產品。

?具體的增長目標，例如擴大新興市場的市場份額。

?在預算范圍內按時向指定人群提供商定的服務水平。

通過將企業風險管理整合到口常運營中，并將業務目標與風險和機會更緊密地聯系起來，可以提高實體的

整體績效。

內部控制

“內部控制”最好描述為一個由實體的董事會、管理層和其他人員實施的過程，旨在為實現與運營、合規

和報告相關的目標提供合理保證。內部控制有助于組織了解實現這些目標的風險，以及如何將風險控制在一個

4

可接受的水平。擁有一套內部控制系統，使管理層能夠在相關法律法規的范圍內運營的同時，專注于實體的運

營和追求其績效目標。

COSO的出版物《內部控制一一整合框架》旨在幫助管理層更好地管理與實現目標相關的風險，并使董事會

能夠監督內部控制。

為避免重復，本出版物和《內部控制一一整合框架》中內部控制的某些共同方面在此不再贅述（例如，與

財務報告目標相關的欺詐風險評估、與合規目標相關的控制活動、與運營目標相關的持續和單獨評價的必要性）。

然而，內部控制的其他方面在框架一節中進一步闡述（例如，企業風險管理的治理方面）。請參閱《內部

控制一整合框架》，作為本出版物中應用框架的一部分。

企業風險管理的好處

組織需要能夠識別未來的挑戰，并適應這些挑戰。它在參與決策時，必須意識到創造價值的機會和挑戰價

值實現的風險。簡而言之，它必須將企業風險管理實踐與戰略制定和績效管理相整合，這樣做將實現許多與價

值有關的好處。

好處包括能夠：

?增加機會的范圍。通過考慮所有合理的可能性（包括風險的積極和消極方面），管理層可以為實體發

現機會和與當前機會相關的獨特挑戰。例如，當一家食品公司的經理考慮到可能影響可持續收入增長業務目標

的潛在風險時，認定該公司的主要顧客正越來越注重健康，并正在改變飲食偏好。這一變化表明了一種不確

定性：對該公司現有產品的需求將來會減少。管理層對此做出反應，確定了開發新產品和改進現有產品的方

法，使得公司不僅能夠保持來源于現有顧客的收入（保持價值），還能夠吸引更廣泛的顧客基礎而獲得額

外的收入（創造價值）。

?在整體范圍內識別和管理的風險。每個實體都面臨著無數的風險影響到實體的不同部門。有時，風險

從組織的某一個部分產生，卻影響了另一個部分。管理層必須識別和管理這些整體范圍內的風險，以維持和提

高績效。例如，當一家銀行意識到它在交易活動中面臨各種風險時，管理層通過開發一個系統來分析由相關外

部信息支持的內部交易和市場信息。該系統提供了對所有交易活動風險的總體看法，允許對部門、客戶和交易

員進行深入分析。它還允許銀行對相對風險進行量化。該系統滿足了該實體的企業風險管理要求，并使銀行能

夠把曾經使完全不相關的數據集中起來，更有效地應對風險。

?減少意外和損失。企業風險管理使組織能夠提高識別潛在風險和建立適當的反應機制的能力，減少意

外和相關成本或損失。例如，一家制造公司向客戶提供準時交貨的零件，供其在生產中使用，如果不能按時交

貨，就有可能受到處罰。為了應對這一風險，該公司通過評審交付時間、典型交付路線和交付車隊的計劃外維

修等因素來評估其內部運輸流程。該公司利用調查結果為其配送車隊制定維護計劃，在高峰時段之外安排配送,

并設計關鍵路線的備選方案。認識到不是所有的交通延誤都可以避免，它還制定了協議，向客戶警告可能出現

5

的延誤。這種情況下，通過管理層在其能力范圍內影響風險（生產和調度）并適應其直接影響以外的風險（交

通延誤）來提高績效。

?減少績效的波動性。對于有些實體而言，挑戰不是來自于意外和損失，而是來自于績效的波動。而且,

績效的提前或超出預期，與績效的落后或達不到預期一樣，都會造成嚴重的問題。例如，在公共交通系統中，

當公共汽車或火車提前10分鐘發車時,乘客會和遲到10分鐘時一樣惱火,這兩種情況都可能導致乘客錯過接駁。

為了管理這種可變性，交通調度員在時間表中建立了自然停頓。無論他們何時到達，司機都會在指定的站點等

待，直到設定的時間。這樣做有助于解決出行時間的可變性，改進整體績效和乘客對公交系統的的看法。風險

管理讓組織預測風險，并且落實必要的措施以使干擾最小化。

?優化資源分配。獲得有效的風險信息，使得管理層能夠評估總體資源需求，提高資源分配效率。例如，

一家下游天然氣配送公司認識到，其老化的基礎設施增加了發生天然氣泄漏的風險。通過觀察天然氣泄漏相關

數據的趨勢，該組織能夠評估整個分銷網絡的風險。管理層隨后制定了一項計劃，以更換磨損的基礎設施，并

修復那些剩余使用壽命的部分。這種方法使公司能夠保持基礎設施的完整性，同時在較長的時間內分配大量的

額外資源需求。

?增強企業的應變能力。企業的長期生存和發展，取決于企業對風險的預測和應變能力。隨著變革的加

快和業務復雜程度的增加，風險管理能夠有效地增強企業的應變能力。

請記住，將企業風險管理與戰略制定和績效管理相整合的好處因實體而異。沒有適用于所有實體的“一刀

切”方法。然而，實施企業風險管理通常有助于組織實現其績效和盈利目標，并防止或減少資源損失。

企業風險管理與適應、生存和繁榮的能力

每個實體都在變化的環境中著手實現其戰略和業務目標。市場全球化、技術突破、兼并和收購、資本市場

波動、競爭、政治不穩定、勞動力能力和監管等因素，使我們很難了解該戰略和業務目標的所有可能風險。

因為風險總是存在并且總是在變化，所以追求目標可能很困難。雖然組織不可能管理風險的所有潛在結果，

但他們可以改進如何適應不斷變化的環境，這有時被稱為組織可持續性。本框架（見第6章至第10章）在創造、

保持和實現價值的大環境下納入了這一概念。

企業風險管理的重點是管理風險以減少事件發生的可能性，以及管理事件發生時的影響。"管理影響"可能

需要組織隨機應變。在某些極端情況下，這可能包括實施危機管理計劃。

例如，假設游輪運營商擔心其船只在海上可能發生病毒疫情。游輪沒有能力在疫情爆發時隔離乘客，但它

可以執行程序，最大限度地減少細菌的傳播。然而，盡管在全船安裝了洗手臺，提供了洗衣設施，并每天對扶

手、盥洗室和其他公共區域進行消毒，但病毒疫情仍然可能而且確實會發生。該組織通過實施具體的協議來應

對。首先，升級船上常規的清潔和消毒工作。一旦船舶進港，所有乘客都必須下船，以便由受過專門培訓的人

員對整艘船進行消毒。然后，根據發現的病毒菌株更新清潔協議。推遲下一班出發的游輪，直到所有清潔協議

6

得到解決。在大多數情況下，延遲時間不超過48小時。通過建立強大的企業風險管理能力來立即應對和適應每

一種獨特的情況，公司能夠將影響降到最低，同時保持乘客對郵輪公司的信心。

有時，當事件發生時，組織無法在短期內恢復正常運營。在這種情況下，組織必須采取長期解決方案。例

如，假設-一艘游輪在海上因火災而癱瘓。與病毒爆發只影響到少數乘客的情況不同，火災影響到所有乘客。可

能立即需要醫療援助、食物、水和住所，甚至需要呼吁所有船上的乘客下船。由于船舶很少在同一個地方，常

規危機應對計劃可能不太奏效，因為每個地點和類型的事故都會帶來不同的挑戰。然而，通過安排其船隊的位

置和錯開出發時間，公司可以保持船舶在24小時內總是在港口或另一艘郵輪的路線。這種重疊使該公司能夠迅

速重新部署船舶和船員，以協助處理緊急情況。

如果管理層花時間去預測很可能發生、可能發生和不可能發生的事情，就會處于更有利的位置。適應變化

的能力使組織更具彈性，在面對市場和資源限制時能夠更好地發展。這種能力還可以使管理層有信心增加組織

愿意接受的風險量，并最終促進增長和增加價值。

7

2理解術語：風險和企業風險管理

定義風險和不確定性

不知道實體的戰略和業務目標可能會受到潛在事件的影響，這就存在風險。事件發生（或不發生）的風險

會產生不確定性。在企業中，當實體著手實現未來戰略和商業目標時，就存在不確定性。在這種情況下，風險

被定義為：

事件發生并影響戰略和業務目標實現的可能性。

?事件：一個或一組事項的發生。

?不確定性：不了解潛在事件可能或不可能出現的狀態。

?嚴重程度。對考慮因素的衡量，如事件的可能性和影響，或從事件中恢復所需的時間。

本頁的方框包含了擴展和支持風險定義的術語。本框架（第6章至第10章）強調，風險與事件的可能性有關,

通常從嚴重程度方面考慮。在某些情況下，風險可能與未發生事件的預期有關。

在風險方面，事件不僅僅是常規交易；它們是更廣泛的業務事項，如治理和運營模式的變化，地緣政治和

社會影響以及合同談判等。有些事件是顯而易見的一一利率的變化，競爭對手推出新產品，或網絡攻擊。其他

事件則不那么明顯，特別是當多個小事件組合起來形成一種趨勢或狀況時。例如，可能很難確定與全球變暖有

關的具體事件，但人們普遍認為這種情況正在發生。在某些情況下，組織可能甚至不知道或無法確定可能發生

什么事件。

組織通常關注那些可能導致負面結果的風險，如火災造成的損失、失去關鍵客戶或出現新的競爭對手。然

而，事件也可能有積極的結果，這些也必須加以考慮。同樣，有利于實現一個目標的事件同時也可能對實現其

他目標構成挑戰。例如，一個產品的推出，其需求量高于預測，這就給供應鏈管理帶來風險，如果公司無法提

供產品，可能會導致客戶不滿意。

有些風險對實體的影響很小，而有些風險的影響較大。企業風險管理的作用是識別和關注那些可能阻礙價

值創造、保持和實現或者侵蝕現有價值的風險。企業風險管理有助于組織尋求與風險相關的潛在機會。

企業風險管理在此定義為：

組織在創造、保持、實現價值的過程中賴以進行風險管理的，整合戰略制定和執行的文化、能力和實踐。

對企業風險管理的定義進行更深入的研究，強調其重點是通過以下方式管理風險：

?認可文化和能力：

?應用實踐；

?與戰略制定和執行相整合；

?管理戰略和業務目標的風險；

8

?與創造、保存和實現價值相關聯。

認可文化和能力

文化是企業風險管理的一個關鍵方面。文化是由實體的各級人員通過他們的言行來培育和塑造的。正是人

確定了實體的使命、戰略和業務目標，并切實踐行企業風險管理。同樣，企業風險管理也影響著人的行為。每

個人都有一個獨特的參考點，這影響著他們如何識別、評估和應對風險。企業風險管理幫助人們理解實體戰略

和業務目標環境下的風險。

同樣，企業風險管理為組織提供了一種核心能力。組織追求各種競爭優勢，為實體創造價值。企業風險管

理有助于組織開發所需的技能，以執行實體的使命和愿景，并預測可能阻礙組織成功的挑戰。一個有能力適應

變化的組織，在面對市場和資源限制時，更有彈性且更有能力發展。

應用實踐

企業風險管理并不是靜止的，也不是企業的附屬品。相反，它是持續的，適用于整個活動范圍以及特定項

目和新舉措。它是實體各級管理決策的一部分。

企業風險管理中所采用的實踐是從實體的最高層應用開始的，并向下貫穿于各個部門、業務單位和職能部

門。這些實踐旨在幫助實體內的人員更好地理解其戰略、己設定的業務目標、存在的風險、可接受的風險量、

風險如何影響績效以及如何管理風險。反過來，這種理解支持各級決策，并有助于減少組織的偏差。

與戰略制定和執行相整合

組織制定的戰略符合并支持其使命和愿景。它還制定從戰略出發的業務目標，并逐級分解到實體的業務單

位、部門和職能。最高層將企業風險管理與戰略制定相整合，管理層考慮每個戰略對實體風險概況的影響。管

理層特別考慮通過創新和新興追求而產生的任何新機會。

但企業風險管理并沒有就此止步，它繼續存在于實體日常工作中，這樣做可能會實現巨大收益。與“分層”

企業風險管理程序相比，組織將企業風險管理整合到口常工作中更有可能降低成本。在競爭激烈的市場中，這

種成本節約對企業成功至關重要。此外，通過將企業風險管理嵌入實體結構中，管理層可能會發現新的業務增

長機會。

企業風險管理還可與其他管理過程相整合。特定任務需要具體的行動，如業務規劃、運營和財務管理。例

如，考慮信用和貨幣風險的組織，可能需要開發模型并獲取分析所需的大量數據。通過將這些行動與實體的運

經營活動相整合，企業風險管理就會變得更加有效。

管理戰略和業務目標的風險

企業風險管理是實現戰略和業務目標的有機組成部分。設計良好的企業風險管理實踐為管理層和董事會提

供了一個合理的預期，即他們能夠實現實體的整體戰略和業務目標。認識到沒有人可以精確地預測風險,有合理

的預期意味著實現戰略和業務目標的不確定性的大小適合該實體。

9

即使擁有強大的企業風險管理實踐的實體也會遇到不可預見的挑戰，包括經營失敗。然而，健全的企業風

險管理實踐將提高管理層對實體實現其戰略和業務目標能力的信心。

與創造、保存和實現價值相關聯

組織必須根據其風險偏好來管理戰略和業務目標的風險，也就是說，在廣泛的層面上，組織在追求價值時

所愿意接受的風險類型和數量。具體而言，風險偏好為鼓勵組織實施或不實施的實踐提供指導。風險偏好設定

了適當實踐的范圍，而不是規定一個限制。不同的策略將使實體面臨不同的風險或不同數量的類似風險。

3企業風險管理和戰略

當企業風險管理和戰略制定相整合時，組織就能更好地理解：

?使命、愿景和核心價值觀如何形成可接受類型和風險量的初始表達，以供制定戰略時考慮。

?戰略和業務目標與使命、愿景和核心價值觀不一致的可能性。

?執行其戰略和實現業務目標的風險類型和數量。

圖3.1說明了在使命、愿景和核心價值觀的環境下制定戰略，以及實體總體方向和績效的驅動因素。

圖3.1環境中的戰略

略

自

不

戰

一

致

略

的

選

可

擇

、能

的績效的提高

在戰略中形成可接受風險/性

影

的初始表達，/

/

戰略執行的風險

使命、愿景和核心價值觀

實體的使命、愿景和核心價值觀決定了它努力成為什么樣的企業以及它希望如何開展業務。他們向利益相

關方傳達實體的宗旨。對于大多數實體來說，使命、愿景和核心價值隨著時間的推移保持穩定，在戰略規劃期

間，它們通常會得到重申。然而，使命、愿景和核心價值觀可能會隨著利益相關方的期望變化而變化。例如，

一個新的執行管理團隊可能會對使命提出不同的想法，以增加實體的價值。

?使命：實體的核心宗旨，它確定了實體想要實現的目的和存在的理由。

?愿景：實體對其未來狀態的愿望，或該組織在一段時間內要實現的目標。

10

?核心價值觀：實體關于什么是好的或壞的，什么是可接受或不可接受的信念和理想，它影響著該

組織的行為。

在框架（第6章至第10章）中，使命和愿景是在組織制定和實施其戰略和業務目標的環境下考慮的。核心價

值觀是在實體希望采納的文化環境下考慮的。

與戰略相一致的重要性

使命和愿景都為實體提供了可接受的風險類型和數量的最高視角。它們幫助組織建立邊界，并關注決策如

何影響戰略。一個理解其使命和愿景的組織可以制定能夠產生預期風險概況的戰略。

考慮圖3.2中醫療保健提供者的陳述。

圖3.2:使命、愿景和核心價值觀示例

?使命：通過提供高質量的護理、全方位的服務以及方便、快捷、卓越的患者服務和同情心，改進

我們所服務對象的健康。

?愿景：我們的醫院將成為醫生和患者的首選醫療服務機構，以提供無與倫比的質量、提供著名的

服務以及成為絕佳的行醫場所而聞名。

?核心價值觀：我們的價值觀是我們所有思想和言行的基礎。我們將以尊重、誠實、同情和負責的

態度對待我們的醫生、病人和同事。

這些陳述指導組織確定其可能遇到和接受的風險類型和數量。例如，該組織將考慮與提供高質量護理（使

命）、提供方便、快捷的服務（使命）以及成為行醫場所（愿景）相關的風險。考慮到該組織對質量、服務和

各種技能的高度重視，該組織可能會尋求一種與醫療質量和病人服務有關的低風險戰略。這可能意味著提供住

院和/或門診服務而非主要的在線服務。另一方面，如果該組織在創新患者護理方法或先進交付渠道方面闡述其

使命，那么它可能己經采用了具有不同風險概況的戰略。

簡而言之，實體的戰略應該與其使命、愿景和核心價值觀保持一致，或者支持其使命、愿景和核心價值觀。

如果戰略不一致，組織實現其使命和愿景的能力就會大大降低。即使成功地執行了（不相一致的）戰略，也可

能發生這種情況。例如，就圖3.2所示的醫療保健公司而言，如果它采取的戰略是專注于成為特定領域的最佳專

家服務提供者，那么它成功提供全方面患者服務的可能性就會降低。

整合企業風險管理可以幫助實體避免戰略錯位。它可以為組織提供洞察力確保其選擇的戰略支持該實體更

廣泛的使命和愿景，供管理層和董事會考慮。

評估備選策略

企業風險管理并不創建實體的戰略，但它告知組織與所考慮的備選戰略相關的風險以及最終所采用的戰略。

組織需要評價所選戰略如何影響實體的風險概況，特別是組織可能面臨的風險類型和數量。

11

在評價戰略可能產生的潛在風險時，管理層還會考慮他們所做的、構成所選戰略基礎的關鍵假設。企業風

險管理對假設變化的敏感性提供了寶貴的見解；也就是說，這些變化對實現戰略的影響是小還是大。

再考慮一下前面討論過的醫療機構的使命和愿景，以及它們是如何層層展開到實體的戰略中的（圖3.3）。

圖3.3：戰略聲明示例

我們的戰略：

?通過提高各種服務的質量，為患者創造最大價值

?遏制成本增長趨勢。

?整合運營效率和成本管理措施。

?協調醫生和臨床整合。

?充分利用臨床項目創新。

?發展戰略伙伴關系。

?管理患者服務提供，并在可行的情況下減少等待時間。

利用圖3.3所示的聲明，組織可以考慮所選戰略可能帶來的風險。例如，與醫療創新相關的風險可能會更加

明顯，提供高質量護理能力的風險可能會在成本管理措施之后上升，而與管理新伙伴關系相關的風險可能對組

織來說是新的。這些風險和許多其他風險都是戰略選擇的結果。仍然存在的問題是，該實體是否有可能通過這

一戰略實現其使命和愿景，或者是否存在著實現既定目標的較高風險。

執行戰略的風險

執行戰略總是有風險的，這是每個組織都必須考慮的。在這里，重點是理解所制定的戰略及其相關性和可

行性有哪些風險。有時，風險變得足夠重要，以至于組織可能希望重新審視其戰略，并考慮對其進行修訂或選

擇具有更合適風險概況的戰略。

執行戰略的風險還可以從業務目標的角度來看待。目標是識別和評估風險的基礎。組織可以使用各種技術

來評估風險，但只要有可能，就應該努力使用某種衡量標準，然后對每個目標使用相同或相似的衡量單位。這

樣做將有助于使風險的嚴重程度與既定的績效衡量標準相一致。

在評估執行戰略的風險時，管理層制定了諸如財務績效、客戶滿意度、學習和成長以及合規性等業務目標,

并將這些目標分配給實體的不同部分。例如，在圖3.2中介紹的示例中，醫療保健公司的業務目標是提供高質量

的患者護理。因此，該組織考慮了與員工能力、醫療保健和治療、醫療立法改革、電子健康記錄獲取等相關的

風險。

實體的治理和運營模式也會影響組織識別、評估和應對戰略實現的風險的能力。無論采用何種模式，實體

都必須了解這種影響。

治理與運營模式

12

實體的治理模式規定并確立了權力、職責和責任。它使所有層面的角色和職責與運營模式相一致一從董事

會到管理層、各部門、運營單位和職能部門。企業風險管理有助于讓所有層面了解戰略的潛在風險以及組織如

何管理這些風險。

運營模式描述了管理層如何組織和執行其日常運營。它通常與法律結構和管理結構保持一致。通過運營模

式，員工負責制定和實施管理風險的實踐，并與實體的核心價值保持一致。這樣，運營模式有助于管理戰略風

險。

法律結構

實體的法律結構如何影響其運營方式，不同的法律結構可能更適合或不適合，這取決于各種因素，包括實

體的規模和任何相關的監管、稅收或股東結構。小實體可能作為一個單一的法律實體運營。大型實體可能由兒

個不同的法律實體組成，在這種情況下，如果風險不從不同的法律模式中匯總，就可能被分離開來。

管理結構

可能影響管理結構的因素包括監管要求、稅務影響、報告要求、勞動力的可用性和流動性、地域集中和重

點、市場競爭力、資本可用性以及產品或服務的復雜性。例如，一家跨國銀行可能有不同的核心產品和服務，

如抵押貸款、零售銀行和信用卡。該銀行在不同的法律實體中提供這些核心產品。另一個實體可能會選擇根據

地理區域進行組織。例如，一個大型的全球飲料公司可以按照北美、拉美、歐洲、非洲和亞太地區的地域進行

運營和報告。

通過價值鏈來管理風險

以上討論的重點是通過業務模式來管理執行戰略的風險。但有些組織會從價值鏈模式的視角來看待企業風

險管理。傳統上，在這種模式下，組織會分析在哪里以及如何創造價值以獲得競爭優勢。組織可以通過價值鏈

的不同部分創造價值。一個實體可以通過擁有卓越的分銷能力來創造價值，另一個實體可以通過營銷來創造價

值，還有一個實體可以通過反復提供創新產品的能力來創造價值。

企業風險管理可應用于整個價值鏈。在這種情況下，實體分析風險如何影響整個價值鏈的戰略和業務目標

的實現。這種分析使組織能夠確定執行實體戰略所需的能力，并最終創造、保持和實現價值。

4考慮風險和實體績效

風險與不確定性

"績效"描述了如何根據預先設定的目標來衡量行動的執行情況。始終存在與績效目標相關的風險。

無論實體績效的水平如何，都存在不確定性。或者，反過來說，存在的不確定性的數量預計特定數量的績

效風險。例如，大規模的農業生產者對其生產滿足客戶需求和實現盈利目標所需數量的能力會有一定數量的不

13

確定性。同樣，航空公司一定數量也有一定程度的不確定性。然而，航空公司可能不太確定他們是否能運營90弱

甚至80%的計劃內航班。在這兩個例子中，每一個績效水平一一生產量和航班運營都存在許多不確定性。

風險通常用圖形描述為與績效水平相交的一個點。然而，這并不能說明風險的數量如何變化，從而影響實

體的績效。如果預期績效水平發生變化，風險的嚴重程度也會隨之變化。

理解風險概況

實體的風險概況提供了對實體特定層次或業務模式的某一方面的風險的綜合看法。這種綜合看法使管理層

能夠考慮風險的類型、嚴重程度和相互依賴性，以及它們可能如何影響相對于戰略和業務目標的績效。

風險和績效之間的關系很少是線性的和一對一的。績效目標的遞增變化并不總是導致風險的相應變化，因

此，單點說明并不總是有用的。風險概況的更真實表示（有時用圖形表示）說明了與不同績效水平相關的風險

總量。這樣的表述將風險視為一個相繼的潛在結果，組織必須據此平衡實體的風險量及其所期望的績效。

描述風險概況有幾種方法。本框架（第6章至第10章）使用了一種方法（如圖所示）來說明企業風險管理各

方面之間的關系。

圖4.1:風險概況

目標

績效

在圖4.1中，每根柱子代表了一個特定績效點的風險概況。垂直目標線描述了組織選擇的績效水平，作為戰

略制定的一部分，它通過業務目標和指標來表達。

如圖4.1所示，風險概況呈上升趨勢，代表與以下方面相關的業務目標：

?石油和天然氣勘探。新的石油和天然氣儲量的勘探工作面向越來越偏遠和無法進入的地區，石油和天

然氣公司油氣公司在尋找資源時可能面臨更大的風險。

?礦業開采。隨著礦山數量的增長以滿足全球需求，或采礦作業變得更加復雜，國際礦業公司可能會看

到其全球運營的風險增加。

?招聘專家資源。隨著實體的發展，與吸引和保留其員工隊伍中的專業知識和經驗有關的風險也在增加。

14

?為基建工程和改進提供資金。在流動性差的市場，或消費者信任度低的地方，公司為基建工程、項目

或倡議獲得資金的能力相關的風險增加。

然而，這里沒有一個通用的風險概況模型或趨勢。每個實體的風險概況將因其獨特的戰略和業務目標而異。

各組織可以利用他們的風險概況來更好地理解和討論風險和績效之間的內在關系。

表述風險偏好

風險偏好是企業風險管理的組成部分。它指導組織在追求價值過程中愿意接受的風險類型和數量的決策。

風險偏好的初始表達是實體的使命和愿景。風險偏好不是靜止的，隨著時間的推移，它會隨著風險管理能力的

變化而變化。此外，選擇戰略和制定風險偏好的過程不是線性的，總是一個先于另一個。許多組織同時制定戰

略和風險偏好，在整個戰略制定過程中不斷相互完善。

還沒有適用于所有實體的通用風險偏好。一些實體從定性的角度考慮風險偏好，而其他實體則傾向于定量

的角度，通常側重于平衡增長、回報和風險。無論描述風險偏好的方法是什么，都應反映實體的文化。對一個

實體來說，最好的方法是與用于評估總體風險的分析相一致，無論是定性還是定量。制定風險偏好聲明是一項

在風險和機會之間尋找折衷的工作。

應由管理層來制定風險偏好聲明。一些組織可能認為像"低偏好”這樣的通用術語很明確，而另一些組織

可能發現這樣的聲明過于模糊，難以在整個實體內溝通和實施。隨著組織在企業風險管理方面的經驗越來越豐

富，風險偏好聲明變得更加精確是很常見的。同樣常見的是，組織制定一系列從總體風險偏好聲明層層展開的

"子級”表述。這些較低層級的聲明提供了更多的精確性，并使用諸如"目標"、〃范圍"、"底線"或"上限"

等術語。這些聲明可能包括：

?戰略參數。考慮諸如要追求或避免的新產品、資本支出的投資以及并購活動等事項。

?財務參數。考慮財務績效的最大可接受波動、資產回報率或風險調整后的資本回報率、目標債務評級

和目標債務/權益比率等事項。

?運營參數。考慮到諸如能力管理、環境要求、安全目標、質量目標和客戶集中度等事項。

綜上所述，這些考慮有助于制訂實體的風險偏好，并提供比單一的、更高層次的聲明更精確的信息。

圖4.2將風險概況描述為一個實心區域（藍色），從各個風險概況欄填充績效軸的空間。還增加了一條顯示

風險偏好的線。

圖4.2:顯示風險偏好和風險容量的風險概況

15

目標

績效

■風險狀況■風險偏好自風險容量

雖然這里介紹了風險偏好，但本框架列出了許多將風險偏好作為企業風險管理一部分應用的實例。風險偏

好的一些更重要應用包括：

?它有助于將可接受的風險量與組織管理風險的能力保持一致。

?它在制定戰略和業務目標時的相關性，幫助管理層考慮業績目標是否與可接受的風險量相一致。

?它與風險能力的相關性和一致性。

?它應用于以組合觀評價的總體風險。

在對風險概況的任何描述上，各組織還可以繪制風險容量（如圖4.2）,這是一個實體在實現戰略和業務目

標時所能承受的最大風險量。在設定風險偏好時，必須考慮風險容量，因為通常組織會努力將風險偏好保持在

其容量范圍內。組織通常不會將風險偏好置于其風險容量之上，但在極少數情況下，組織可能會接受破產和無

法在戰略方向上生存的威脅，因為它明白成功可以創造相當大的價值。（關于風險概況的補充討論見附錄C）。

考慮可接受的績效波動

與風險偏好密切相關的是可接受的績效波動，有時也稱為“風險容忍（度）"。這兩個術語都是指與實現業

務目標相關的可接受結果的邊界（包括超出目標的邊界和落后于目標的邊界）。圖4.3說明了可接受的績效績效。

圖4.3:顯示可接受績效波動的風險概況

16

目標

績效

■風險狀況■風險偏好■風險容量

理解可接受的績效波動使管理層能夠提高實體的價值。例如，可接受波動的右邊界通常不應超過風險概況

與風險偏好相交的點。但是，如果正確的邊界低于風險偏好，管理層可能能夠改變其目標，并且仍在其總體風

險偏好范圍內。最佳點是績效可接受波動的右邊界與風險偏好相交（圖4.3中的“A”點）。

實際風險概況

使用風險概況有助于管理層確定在實現戰略和業務目標時可以接受和管理的風險量。風險概況可幫助管理

層：

?鑒于組織管理風險的能力，找出最佳績效水平（即組織對目標的定位）。

?確定與目標相關的可接受的績效波動（即組織建立領先或落后的績效目標）。

?了解實體風險偏好環境下的績效水平（即組織相對于風險偏好的位置）。

?識別組織在哪些方面可以選擇承擔更多的風險以提高績效。

雖然此處所示的風險概況數字意味著需要特定的精確水平，或許還需要數據來創建，但請記住，這些描述

也可以使用定性信息來開發。這樣做有助于加強對風險、風險偏好、可接受的績效波動以及與績效目標的整體

關系的討論。

17

5要素和原則

企業風險管理的要素和原則

本框架（第6至10章）由企業風險管理的五個相互關聯的要素組成。圖5.1說明了這些要素及其與實體的使

命、愿景和核心價值的關系，以及它們如何影響實體的績效。企業風險管理不是靜止的，而是循環往復的，它

被整合到戰略規劃和日常決策中。

企業風險管理

使命、愿景與核心戰略與業務目標績效的提高

價值觀

風險治理與

文化

風險、戰略和目標設定

執行中的風險

風齡信息、溝通和

報告

旅祝企業風險管理績

效

圖5.2:企業風險管理原則

18

風險治理和文化風險、戰略和目標設定

7.考慮風險和業務環境

8.定義風險偏好

9.評估備選戰略

1.董事會行使風險監督

10.制定業務目標的同時考

2.建立治理和運營模式慮風險

3.定義期望的組織行為11.規定可接受的績效波動

4.證實對誠實和道德的承諾

企業風險管理

5.加強問責

6.吸引、發展并留住優秀的個體

使命、愿景與核心\戰略與業務目標)績效的提高

價值觀/

/

執行中的風險風險信息、溝通和報告監視風險管理績效

12.識別執行中

22.監視重在變更

的風險18.使用相關風險信息

23.監視企業風險管理

13.評估風險的嚴重19.充分利用信息系統

程度20.溝通風險信息

14.對風險進行優先排序21.報告風險、文化和績效

15.識別和選擇風險應對

措施

16.建立風險組合

觀

17.評估執行中的風險

19

這五個要素是：

?風險治理和文化。風險治理和文化共同構成了企業風險管理的所有其他要素的基礎。風險治理確

定了實體的基調，強化企業風險管理的重要性，并確定了監督取責。文化涉及道德價值觀，期望的行為以

及對實體內風險的理解。文化反映在決策中。

?風險、戰略和目標設定。通過制定戰略和業務目標的過程，將企業風險管理整合到實體的戰略規

劃中。通過理解業務環境，組織可以深入了解內部和外部因素及其對風險的影響。組織在制定戰略的同時

設定其風險偏好。業務目標將戰略付諸實踐，并決定實體的日常運營和優先事項。

?執行中的風險。組織識別和評估可能影響實體實現其戰略和業務目標能力的風險。它根據風險的

嚴重程度并考慮到實體的風險偏好對風險進行優先排序。然后，組織選擇風險應對措施，并監視績效的變

化。這樣，實體對追求其戰略和業務目標的過程中所承擔的風險量建立起一個組合觀。

?風險信息、溝通和報告。溝通是獲取信息并在整個實體中分享信息的持續、循環往復的過程。管

理層使用來自內部和外部的相關和高質量信息來支持企業風險管理。組織利用信息系統來獲取、處理和管

理數據和信息。通過使用適用于所有要素的信息，組織報告風險、文化和績效。

?監視風險管理績效。通過監視企業風險管理績效，組織可以考慮企業風險管理要素隨著時間的推

移和重在變更的運行情況。

在這五個要素中有一系列的原則（如圖5.2所示）。這些原則代表了與每個要素相關的基本概念。這些

原則被表述為各組織作為實體的企業風險管理實踐的一部分而要做的事情。雖然這些原則是通用的，并構

成了任何有效的企業風險管理措施的一部分，但管理層在應用這些原則時必須作出判斷。每個原則都在有

關要素的相應章節中詳細介紹。

評估風險管理

組織應具備可靠的手段，向實體的利益相關方提供合理的預期，即能夠將與戰略和業務目標相關的風

險管理到可接受的水平。它通過評估現有的企業風險管理實踐來做到這一點。除非法律或法規另有要求，

否則此類評估是自愿的。本框架（第6章至第10章）并不要求完成對企業風險管理總體有效性的評估，但它

確實為進行評估和作出合理結論提供了準則。

在評估過程中，組織可考慮：

?與企業風險管理有關的要素和原則已經存在并發揮作用。

?與企業風險管理有關的要素正在以整合方式共同運作。

?實施原則所需的控制措施存在并發揮作用。

20

為了實現戰略和業務目標，在企業風險管理的設計和實施過程中，存在影響這些原則的要素、相關原

則和控制措施。實現這些原則的要素、相關原則和控制措施繼續運行，以實現戰略和業務目標。”共同運

行”指的是要素之間的相互依賴性以及它們如何協同運行。

評估企業風險管理有不同的方法.當評估是為了與外部利益相關方溝通而進行時，可以考慮框架（第6

章至第10章）中規定的原則。

在評估過程中，管理層還可以評審這些能力和實踐的適宜性，同時牢記實體的復雜性和組織通過企業

風險管理尋求獲得的收益。增加復雜性的因素可能包括實體的地理位置、行業、性質、實體內部變化的程

度和頻率；歷史績效和績效的變化、對技術的依賴以及監管監督的程度。

21

框架

6風險治理和文化

本章概要

風險治理和文化共同構成了企業風險管理的所有其他要素的基礎。風險治理確定了實體的基調，強化

企業風險管理的重要性，并確定了監督職責。文化涉及道德價值觀，期望的行為以及對實體內風險的理解。

文化反映在決策中。

與風險治理和文化的原則

1.董事會行使風險監督——董事會監督戰略并履行風險治理職責，以支持管理層實現戰略和業務目

標。

2.建立治理和運營模式——組織在追求戰略和業務目標的過程中建立運營結構。

3.定義期望的組織行為-組織定義以實體核心價值觀和風險態度為特征的期望行為。

4.證實對誠實和道德的承諾----組織證實對誠實和道德價值的承諾。

5.加強問責——組織要求各級人員對企業風險管理負責，并要求自身負責提供標準和指導。

6.吸引、發展并留住優秀的個體——組織致力于建設與戰略和業務目標相一致的人力資本。

引言

實體的董事會在風險治理中發揮著重要作用，并對企業風險管理產生重大影響。如果董事會獨立于管

理層，并且通常由經驗豐富、技術嫻熟、才華橫溢的成員組成，那么在履行監督職責的同時，董事會可以

提供適當程度的行業、業務和技術投入。這種投入包括在必要時審查管理層的活動、提出不同的觀點、挑

戰組織的偏見，并在面對錯誤行為時采取行動。最重要的是，在履行其提供風險監督的職責時，董事會在

不介入管理層角色的情況下向管理層提出挑戰。

對企業風險管理的另一個重要影響是文化。無論該實體是小型的家族式私營公司、大型復雜跨國公司、

政府機構或者非營利組織，其文化都反映了該實體的道德規范：價值觀、信仰、態度、期望的行為和對風

險的理解。文化支持實體的使命和愿景的實現。具有風險意識文化的實體強調管理風險的重要性，并鼓勵

風險信息的透明和及時流動。它在這樣做的時候，沒有責備，而是以一種理解、負責和持續改進的態度。

原則1:董事會行使風險監督

董事會監督戰略并履行風險治理職責，以支持管理層實現戰略和業務目標。

責任與職責

22

董事會對實體的風險監督負有首要責任，在許多國家，董事會對其利益相關方負有受托責任，包括對

企業風險管理實踐進行評審。通常，全體董事會保留風險監督的職責，將管理和監督風險的日常職責留給

管理層或委員會，如風險委員會。無論結構如何，在章程中記錄職責是很常見的，該章程規定了董事會的

責任與管理層的責任。

技能、經驗和業務知識

董事會有能力提供適當的專業知識，并通過其集體技能、經驗和業務知識理解和管理實體的風險。這

包括例如在必要時就戰略、業務目標、計劃和績效目標向管理層提出適當的問題。它還包括與外部利益相

關方互動，提出備選觀點和行動。

只有當董事會理解實體的戰略和行業，并隨時了解影響實體的因素時，才有可能進行風險監督。隨著

戰略和業務環境的變化，經營模式中的風險以及戰略和業務目標的風險也會隨之變化。因此，董事會成員

的資格要求可能會隨著時間的推移而變化。每個董事會必須自行確定并定期評審其是否具備適當的技能、

專業知識和結構，以提供有效的風險監督。例如，網絡風險對大多數實體來說是一個現實，因此面臨網絡

風險的實體需要有董事會成員擁有信息技術方面的專業知識，或通過獨立顧問或外部顧問獲得所需的專業

知識。

獨立性

董事會總體上必須獨立才能有效?獨立性使董事能夠客觀地評價實體的績效和福利，而不存在任何利

益沖突或利益相關方的不當影響。董事會通過每一位董事會成員展示其個人客觀性來證實其獨立性（見示

例6.1）。

示例6.1：妨礙董事會獨立性的因素

董事會成員的獨立性可能會受到阻礙，如果他或她。

?在該實體中擁有大量的財務利益。

?目前或最近受實體雇用擔任行政職務。

?最近以物質的方式為董事會提供建議。

?與實體有重大的業務關系，如作為供應商、客戶或外包服務提供商。

?與實體有現有合同關系（除董事關系外）。

?向實體捐贈了大筆資金。

?與某實體內的主要利益相關方有業務或個人關系。

?擔任其他實體的董事會成員，這代表了潛在的利益沖突。

23

獨立董事會對管理層起著制衡作用，確保實體的運營符合其利益相關方的最佳利益，而不是少數董事

會成員或管理層的最佳利益。

企業風險管理的適宜性

重要的是，董事會要了解實體的復雜性，以及企業風險管理將如何幫助實體，包括它將獲得什么好處。

企業風險管理的適宜性是指其將風險管理到可接受的程度的能力。董事會通過與管理層進行對話來確定企

業風險管理是否適合該實體的需要，從而幫助確定這些預期的收益。董事會還與管理層合作，確定運營模

式、報告關系和實現這些收益的能力。

例如，一些組織可能認為企業風險管理的好處是“獲得對戰略的風險的理解”。在這種情況下，管理

層會把企業風險管理的重點放在實現戰略和業務目標的實踐上一也許是減少意外和損失的方法，或者是減

少績效波動。其他組織可能將企業風險管理的價值定義為“理解戰略不一致的風險”。還有一些組織可能

認為企業風險管理的價值是“支持實現使命、愿景和核心價值的能力，以及所選戰略對其風險概況的影響

在這種情況下，管理層將更多地關注戰略的制定，并使企業目標與日常執行保持一致。

組織偏見

決策中的偏見一直存在，而且會一直存在。在一個實體中，經常會發現“群體思維”、主導人格、過

分依賴數字、忽視相反信息、對最近事件的過度重視以及規避風險或承擔風險的傾向。因此，問題不是偏

見是否存在，而是如何管理企業風險管理中的偏見。董事會應了解存在的潛在組織偏見，并挑戰管理層來

克服這些偏見。

原則2:建立治理和運營模式

組織在追求戰略和業務目標的過程中建立運營結構。

運營模式和報告關系

組織建立了一個運營模式并設計了報告關系，以執行戰略和業務目標。在設計運營模式中的報告報告

關系時，組織必須明確界定職責。組織還可能與可能影響報告關系的外部第三方建立關系（例如，戰略商

業聯盟或合資企業）。

不同的運營模式可能導致風險概況的不同看法，這可能會影響企業風險管理實踐。例如，在分散經營

模式中評估風險可能表明風險很少，而在集中經營模式中的觀點可能表明風險集中一一可能與某些客戶類

型、外匯或稅務風險有關。

組織在決定采用何種運營模式時考慮了這些因素和其他因素。這些因素還影響到運營單位和職能部門

內企業風險管理實踐的設計。例如，董事會決定哪些管理角色與董事會之間至少有一條虛線，以便就所有

重要問題進行公開溝通。同樣，在實體各個層面上規定直接報告和信息報告線。

建立和評價運營模式的因素可能包括：

24

?實體的戰略和業務目標。

?實體業務的性質、規模和地理分布。

?與實體戰略和業務目標相關的風險。

?對實體各級的權力、責任和職責的分配。

?報告線的類型（例如，直接報告/實線與二級報告）和溝通渠道。

?財務、稅務、監管和其他報告要求。

企業風險管理結構

管理層根據實體的使命、愿景和核心價值，規劃、組織和執行實體的戰略和業務目標。因此，管理層

需要了解與戰略相關的風險在整個實體中是如何發生的。收集這些信息的方法之一是將責任委托給委員會。

委員會成員通常是管理層任命或選舉的高管或高級領導，每個人都貢獻個人技能、知識和經驗。委員會共

同提供風險監督。

結構復雜的實體可能有幾個委員會，每個委員會都有不同但重疊的管理成員。然后，這種多委員會的

結構與運營模式和報告關系相一致，這使得管理層能夠根據需要做出業務決策，并充分理解這些決策中的

固有風險。

無論建立何種特定的管理委員會結構，通常都會明確說明委員會的權力、作為委員會成員的管理成員、

會議的頻率以及委員會關注的具體職責和