《coso风险管理框架中文版》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
COSO风险管理框架中文版概览一些公司和企业的管理者已经在企业内部建立了一系列确认和管理风险的过程,而现在有许多企业也已经开始或正在考虑建立自己的确认和管理风险的过程。虽然管理者已经掌握了大量的企业风险管理的信息(包括大量公开出版的文献),但实务中却并不存在统一的术语,而且也很少有普遍接受的原则可供管理者在构建一个有效的风险管理框架时作为指南。COSO委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险管理框架的计划,旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。另一相关的目标是使构建的这个框架可以作为管理者、董事、主管人员、学者和其他相关人员更好地理解企业风险管理及其优点和局限性提供一个统一的基础,以便在风险管理问题方面进行有效地交流。本概览列出了企业风险管理框架的关键内容,包括企业风险管理的定义、内容和基本原则,风险管理的优点、局限性以及各相关方的地位和职责。本概览还强调企业风险管理的相关性和其与COSO内部控制报告的关系。如果想更加深入地了解有关知识,请看企业风险管理框架的全文。(一)企业风险管理的相关性企业风险管理的基本前提是每一个企业,无论是盈利组织、非盈利组织,还是政府机构,其存在的目的都是为其利益相关方带来价值。所有的企业都要面对不确定性。对企业管理者而言,所面临的挑战是在追求企业利益相关方价值增长的同时,决定企业准备接受的不确定性的程度。不确定性既代表风险,也代表机遇,既存在使企业增值的可能,也存在使企业减值的风险。风险管理框架就是为管理者提供一个框架,使其能够有效处理不确定性及相应的风险和机遇,进而提高企业创造价值的能力。1.不确定性企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。2.价值从战略的制定到企业的日常经营,管理者的决策会创造、保持或减少企业的价值。决策的本质就是确认风险和机遇,它要求企业的管理1应在考虑企业内、外部环境的因素的基础上,对企业的稀缺资源进行配置,并且根据环境的不断变化来调整企业的活动。当企业的利益相关方取得其相应价值的可确认收益时,企业的价值也得到实现。对于公司而言,当股东承认由于股价上扬所带来的价值时,他们也就承认了企业的价值。对于政府机构,当该机构以一个可接受的成本所提供的服务的收益得到确认时,机构的价值就得以实现。对于非盈利组织的利益相关方而言,当他们确认组织所提供的社会福利的价值时,他们也就承认了该组织的价值。企业风险管理使管理者能够创造持久的价值并能够将创造价值的信息传递给利益相关方。3.企业风险管理的优点所有企业都是在有风险的环境下经营,而不是企业风险管理使企业面临这样的环境。企业风险管理是使管理者能够在充满风险的环境中更加有效地经营。企业风险管理使企业的管理者能够:(1)将风险偏好和企业的战略结合在一起。从广义来讲,风险偏好是一个公司或企业在追求其目标的过程中愿意接受的风险的程度。管理者在评估企业的战略方案时首先要考虑企业的风险偏好,其后,在制定与企业战略相对应的目标和建立一定的机制管理相应的风险时也应考虑企业的风险偏好。(2)将企业成长、风险和收益联系起来经济主体在企业价值保值、增值的过程中也要接受相应的风险,同时预期补偿风险的相应收益。企业风险管理提高了企业确认和评估风险的能力,进而使企业能够确定相对于企业成长性和收益目标而言的风险的可接受水平。(3)增加风险反应决策企业风险管理提供了确认和选择不同的风险反应方案的严格标准。企业的风险反应方案包括风险规避、风险降低、风险共担和风险接受。企业风险管理提供了进行相关决策的方法和技术。34/34 (4)使企业的经营意外和损失最小化经济主体可能提高确认潜在事项、评估风险和明确反应方案,最后减少经营意外的出现次数以及减少相应的成本或损失。(5)确认和管理企业的总体风险每一个经济主体都面临着许多风险,而不同的风险会影响企业经营的各个方面。管理不仅需要对每一种风险进行管理,还需要了解风险对企业总体的影响。(6)针对多重风险提供完整的反应方案企业的经营过程存在许多内在的风险,企业风险管理就是为管理风险提供一整套解决方案。(7)抓住机遇管理不仅要考虑风险,还需要考虑潜在的事项对企业的影响。对潜在事项有一个完整的了解可以使管理对每一潜在事项表明何种机遇有一个了解。(8)合理分配资金关于企业总体风险的更为明确的信息可以使企业的管理者能够更加有效地评估企业总体的资金需要,改进企业的资金配置。企业风险管理本身并不是目的,它仅仅是实现目的的一种方式。它不能、也无法在一个经济主体内单独运行,而是企业管理过程的一个推动器。企业风险管理向董事会提供最重要的风险的信息以及这些风险应如何管理的建议,进而与公司治理相联系。而且,风险管理与企业的绩效管理也有关,风险管理通过提供风险调节的措施和内部控制来帮助企业的绩效管理。内部控制是企业风险管理的一部分。风险管理帮助一个经济主体实现其经营和利润目标、防止资源的浪费。它还有助于确保企业报告的有效性。此外,企业风险管理还有助于保证企业遵守有关的法律、法规,避免其声誉受损并防止产生相应的不良后果。总之,企业风险管理可以帮助一个经济主体实现其目标、及在实现目标的过程中避开陷井和防止意外的发生。(二)企业风险管理的定义企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程,应用于企业的战略制定和企业的各个部门和各项经营活动,用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险,对企业目标的实现提供合理的保证。这一定义反映了一些基本概念:1.企业的风险管理是一个过程――其本身并不是一个目的,而是实现目的的一种方式。2.风险管理受人的影响――它不只是企业的政策、调查和表格,还涉及一个企业各个层次员工。3.风险管理也适用于企业战略制定过程。4.企业风险管理应在整个企业范围内应用,在每一个经营层面和每一个单位内应用,并应以一种企业总体的风险组合的观点来看待。5.风险管理的设计应有助于确认会对企业造成潜在影响的事项并确保在企业风险偏好的范围内管理企业的风险。6.风险管理仅为企业的管理者和董事会提供合理的保证。7.企业风险管理的目标是帮助企业一类或几类单独并相互重叠的目标的实现。从广义上定义这一概念主要有几个原因:这一定义应包括公司和其他企业管理风险的几个基本概念,并可以应用于各种组织、行业和部门。它直接针对企业目标的实现。此外,这一定义应为定义企业风险管理的有效性提供一个基础。上述基本概念详细论述如下:1.一个过程企业的风险管理并不是一个事项或环境,而是渗透于企业各项活动中一系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。一些人认为,企业风险管理对企业的各项活动而言是多余的,是企业必须承担的一个负担,但COSO的讨论稿则并不这样认为。但有效的企业风险管理仍旧需要企业各管理层不懈的努力。例如,风险评估要求企业不断地努力来建立必要的评估模型并进行必要的分析和计算。但是,这些以及其他的企业风险管理机制与企业的经营活动是并存的,是由于最基本的商业原因而存在的。当企业风险管理机制成为企业的基础设施并真正成为企业的一部分时,企业的风险管理会最有效。通过建立风险管理,企业可以直接提高自身的战略执行能力,并提高企业预期和任务的实现能力。建立风险管理对企业的成本构成同样有重要的影响,特别是在目前大多数企业都面临高度竞争的市场环境的情况下。在现有工序的基础上增加新的工序会增加成本,而通过关注现有的经营过程以及他们对实现有效风险管理的贡献,并34/34 将风险管理整合到企业的基本经营活动之中,一个企业就能够避免不必要的工序和成本。并且,将风险管理整合到企业日常的经营过程中有助于管理者抓住企业发展的新机遇。2.受人的影响企业的风险管理会受董事会、管理层和其他人员的影响,风险管理是通过组织内的人来完成的,是通过人的所做和所说实现的。是企业内的人制定企业的任务/预期,战略和目标,并实施企业的风险管理机制。同样,企业风险管理也影响人的行动。企业风险管理要认识到人对事物的理解、沟通或执行并不总是一致的。企业中的每个人都有不同的背景和技术能力,都有不同的需求和优势。这些因素都会影响企业的风险管理,也会受风险管理的影响。每个人的出发点都不同,这会影响他们对风险的确认、评估和反应。企业风险管理就是要提供了一个机制,帮助人们从企业总体目标的角度认识风险。企业的员工必须了解他们自己的职责和权限。因此,除了要明确员工的职责和企业的战略和目标之间的联系之外,还要明确员工的职责和他们履行职责的方式之间的联系。__一个组织的员工包括董事会成员、管理者和其他人员。尽管企业的董事主要负责监督,但是他们同时也向管理者提供指导,核准企业的战略、某些活动和政策。因此,董事会是企业风险管理的重要组成部分之一。3.可应用于企业战略的制定一个企业要确定其预期或任务,并制定其战略目标。企业的战略目标是企业最高层次的目标,它与企业的预期和任务相联系并支持预期和任务的实现。一个企业为实现其战略目标而制定战略方案,并将战略方案分解成相应的目标,再将目标层层分解到企业的各业务部门、行政部门和生产线。在制定企业的战略方案时,管理者应考虑与不同的战略方案相关的风险。4.应用于整个企业为使企业的风险管理获得成功,一个企业必须从全局,从企业总体层面上考虑企业的活动。企业的风险管理应考虑组织内所有层面的活动,从企业总体的活动(如战略计划和资源分配)到各业务部门的活动(如市场部、人力资源部),到各业务流程(如生产过程和新客房信用审核)等等。企业风险管理还可用于特定项目和新的行动计划,尽管该项目或计划可能在企业的管理流程或组织流程图中尚无明确的定位。企业风险管理要求企业以风险组合的观点看待风险。这会要求企业内负责各业务部门、行政部门、生产流程或其他活动的管理者对本部门的风险进行评估。这些评估可以是定量的,也可以是定性的。企业的高级管理者应以一种组合的观点看待企业内每个下级层面的风险,以决定企业总的风险组合是否与企业的风险偏好相对应。管理者应以总体的组合观来考虑相关风险。对相关的风险应予确认并采取措施使承担的风险落在企业风险偏好的范围内。对企业内部每个单位的风险而言,可能都落在该部门的风险容忍度的范围内,但从总体来看,合并后的风险可能超过了企业总体的风险偏好。企业总的风险偏好应通过对特定目标确立相应的风险容忍度的方式在企业内部向下贯彻。5.风险偏好风险偏好是指一个企业在追求价值最大化的同时所愿意接受的风险的数量。企业通常采用定性的方法分析风险偏好,将风险偏好分为高、中、低三类;或者采用定量的方法分析风险偏好,反映出企业的成长性、收益性和风险目标,并在三个目标之间进行平衡。风险偏好与企业的战略直接相关。在制定战略时应考虑企业的风险偏好,并将战略的预期收益与企业的风险偏好联系起来考虑。不同的战略会给企业带来不同的风险,在战略制定时应用风险管理,其目的是帮助管理者选择与企业的风险偏好相一致的战略。企业的风险偏好指导企业的资源配置。管理者在各业务部门间分配资源时应考虑企业的风险偏好和各个业务部门为取得预期的收益率所采用的战略。管理者应将企业的风险偏好与企业的组织结构、人员和业务流程联系起来考虑,并应建立对风险有效反应和监督的必要的硬件设施。风险容忍度是与要实现的目标相关的偏差的可接受程度。在确定某一特定的风险容忍度时,管理者应考虑相关目标的相对重要性并将风险容忍度与企业的风险偏好联系在一起。在风险容忍度的范围之内经营更能够保证企业所承受的风险在其风险偏好的范围内。反过来,就能够对企业目标的实现提供更高程度的保证。6.提供合理保证设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业目标的实现上提供合理的保证。如果企业的风险管理有效,董事会和管理者在以下几个方面得到合理的保证:-了解企业战略目标实现的程度;-了解企业经营目标实现的程度;__-企业报告的可靠性;-相关的法律和法规遵守的情况。“合理保证”反映了“不确定性和风险都是与未来相关,而未来是没有人可以确切地预测的”这一思想。这种局限性的34/34 其他原因包括:人们在进行决策时的判断可能出错;对风险反应的决策和所建立的控制需要考虑成本效益原则;由于人们的简单失误或错误可能导致的企业破产;可能由于两个或多个人的串通而绕过控制;管理者可能忽视企业的风险管理决策等等。这些限制使得董事会和管理者无法在企业目标实现方面得到绝对保证。7.目标的实现有效的风险管理应该能够为企业目标的实现提供合理的保证,包括报告的可靠性、合法合规性目标等等。这两类目标的实现都是在企业的控制范围内,其实现依赖于相关活动执行的好坏。但是,战略目标和经营目标的实现并不总是在企业的控制范围内。对于这两类目标,企业风险管理只能合理保证管理者和董事会从宏观上及时了解企业目标实现的进度。(三)企业风险管理的组成要素根据管理者经营的方式划分,企业风险管理包括八个相互关联的组成要素,这八个要素渗透于企业管理的过程之中,包括:1.内部环境企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。内部环境影响企业战略和目标的制定、业务活动的组织和风险的识别、评估和执行等等。它还影响企业控制活动的设计和执行、信息和沟通系统以及监控活动。内部环境包含很多内容,包括企业员工的道德观和胜任能力、人员的培训、管理者的经营模式、分配权限和职责的方式等。董事会是内部环境的一个重要组成部分,对其他内部环境的组成内容有重要的影响。而企业的管理者也是内部环境的一部分,其职责是建立企业的风险管理理念、确定企业的风险偏好,营造企业的风险文化,并将企业的风险管理和相关的行动计划结合起来。让企业所有员工了解企业的风险管理理念有利于提高雇员确认和有效管理风险的能力。风险管理理念是企业对风险的信念,是企业选择处理其活动和风险的方式。它反映了一个企业期望从企业的风险管理获得一定的价值。这一理念还会影响企业风险管理要素的应用方式。管理者应将其风险管理理念通过政策说明书和其他沟通方式向企业的员工宣传。更重要的是,管理者不应仅仅是在纸面上强调风险管理理念,还应在每天的行动中贯彻执行。风险偏好由企业的管理者设定,董事会复核,是企业制定战略的一个控制指标。通常为了实现某一个预定的增长或收益目标,企业可以制定许多不同的战略,而每一个战略都具有不同的风险。在战略制定过程中,风险管理有助于管理者选择与企业的风险偏好相一致的战略方案。管理者期望将企业的组织结构、人员、生产过程与硬件设施整合在一起,使得在战略的成功执行的同时将风险控制在风险偏好的范围内。风险文化是企业员工共同的态度、价值观和实务操作程序的组合,表明企业在其日常活动中看待风险的方式。对于许多公司而言,风险文化来自于企业的风险理念和风险偏好。对那些不能明确界定其风险理念的企业,其风险文化的形成可能是随机的,而导致一个企业内存在明显不同的风险文化,甚至在一个业务部门、行政部门中都有可能存在明显不同的风险文化。2.目标制定根据企业确定的任务或预期,管理者确定企业的战略目标,选择战略方案,确定相关的子目标并在企内层层分解和落实,各子目标都应遵循企业的战略方案并与战略方案相联系。在能够确定对目标的实现有潜在影响的事项之前,管理者就应确定企业的目标。而企业风险管理就是提供给管理者一个适当的过程,既能够制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且这些目标还与企业的风险偏好相一致。企业的目标可以分为四类:-战略目标是企业的高层次目标,与企业的任务和预期相联系并支持企业的任务和预期的实现。-经营目标是指企业经营的效率性和效果性,包括经营业绩目标和盈利能力目标,由于管理者对企业结构和经营的不同选择,各企业的经营目标也不尽相同。-报告目标指企业报告的有效性,包括企业内部和外部的报告,既包括财务信息,也包括非财务信息。-合法性目标是指企业符合相关的法律和法规。企业目标的这种分类可以使企业的管理者和董事会注意企业风险管理的不同方面。企业的某一个特定目标可能不仅仅属于某一类目标。企业的这些目标既相互区别但又相互重叠,可以明确企业的不同需要,并且可以分派给企业的某一个执行官作为其直接职责。这种分类还可以区分企业不同类别目标的期望之间的区别。某些企业还有另一类目标――“资源的安全”,有时也叫“资产的安全”。从广义上看,这一目标是防止企业资产或资源的流失,这种流失可以是由于偷窃、浪费、经营的无效性,也可以是由于企业商业上简单的错误决策(如以过低的价格出售产品、没有留住企业的关键员工、没有阻止对本企业专利权的侵害行为,或者是出现未预期的负债等等)所引起的流失。对某种报告目的而言,这种广义的资产安全类目标可能是一个狭义的定义,此时的资产安全概念可以仅仅指预防或及时发现对企业资产的未经授权的购买、使用或处置。3.事项识别34/34 管理者意识到了不确定性的存在,即管理者不能确切地知道某一事项是否会发生、何时发生或者如果发生其结果如何。作为事项识别的一部分,管理者应考虑会影响事项发生的各种企业内外部的因素。外部因素包括经济、商业、自然环境、政治、社会和技术因素等,内部因素反映出管理者所做的选择,包括企业的基础设施、人员、生产过程和技术等事项。一个企业事项识别的方法可以包含不同的技术及其与相应的工具的组合。事项识别技术既针对过去,又针对未来。针对过去的事项和趋势的识别技术主要要考虑类似支付错误的历史、商品价格的变化和浪费时间的突发事件(Lost-timeaccidents)等事项,而针对未来风险的技术则主要考虑不断变化的人口统计资料、新市场和竞争者的行为等事项。将潜在的事项进行分类对管理者而言是非常有用的。通过在企业内各水平层面上对事项进行汇总、在营运部门内部对事项进行垂直地汇总,管理者能够对事项之间的相互关系有一个了解,这些信息也可以作为风险评估的基础。潜在的事项可能对企业有正面的影响、也可能有负面的影响或者两种影响同时存在。对企业有潜在负面影响的事项是企业的风险,要求企业的管理者对其进行评估和建立反应方案。因此,风险的定义就是,某一事项将要发生的可能性及其对企业目标的实现造成负面影响的可能性。对企业有潜在正面影响的事项则是企业的机遇或者可以弥补风险对企业的负面影响。机遇可以在企业战略或目标制定的过程中加以考虑,以制定有关行动抓住机遇。可能弥补风险对企业负面影响的事项则应在管理者对风险进行评估和反应的阶段予以考虑。4.风险评估风险评估可以使企业了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估――风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。对风险发生的可能性和影响的估计经常需要使用从过去的可观察事项得到的数据,这比没有任何数据的、完全的主观估计要客观得多。根据企业自己的经验在企业内部产生的数据带有较少的人的主观偏见,能够得到比外部数据更好的结果。但是,即使是以内部数据作为主要的资料来源,外部数据仍能用作一个检查标准或者改进分析。当使用过去数据对未来进行预测时使用者必须小心,因为影响过去事项的有关因素可能会随着时间的推移而改变。一个企业风险评估的方法通常是定量方法和定性分析技术的组合。当风险本身无法量化时,或者量化评估所要求充足的可靠的数据实际不可获得或者数据获得或分析不符合成本效益原则时,管理者通常会采用定性的分析技术。定量的分析技术通常更加精确,一般用于更为复杂多变的活动,作为定性分析的补充。一个企业不需要在每个业务部门都使用同样的评估技术。相反,对评估技术的选择应反映出对精确性的需要和该业务部门的文化。在任何情况下,各业务部门所使用的评估技术应有利于企业在整个企业的范围内对风险的评估。在衡量目标的实现程度时,管理者经常使用业绩计量指标。当考虑某一风险对实现某一特定目标的潜在影响时,使用这些计量指标同样有效。管理者可以评估各事项之间的关系,因为一系列相互关联的事项结合起来会使得事项的发生概率或事项的影响发生重大变化。虽然一个单一事项的影响可能很小,但是这样一系列事项则可能对企业造成重大影响。各潜在事项之间可能并不直接相关,这时管理者可以分别对其进行评估,但是某些风险可能在企业的多个业务部门出现时,管理者可以将所确认的风险归为一类进行评估。通常一个潜在事项结果是一个可能的范围值,管理者应将其作为制定风险反应方案的基础。通过风险评估,管理者可以了解潜在事项在整个企业内对企业的正面和负面的影响,单个事项或某类事项对企业的影响。管理者通常只趋于关注中短期的风险,但风险应在企业战略和目标的前提下进行评估。由于战略方向和目标的某些要素涉及较长时期,管理者因而应从长期的角度认识风险,而不能忽视远期会影响企业的风险。首先,应对企业的固有风险进行评估。固有风险是指管理者在没有采取任何会改变风险发生的可能性或影响的管理措施的情况下企业所面临的风险。一旦确定了对固有风险的风险反应方案,管理者就可以使用风险评估技术确定企业的残留风险。残留风险是指管理者采取了有关风险管理措施后应存在的风险。5.风险反应管理者可以制定不同风险反应方案,并在风险容忍度和成本效益原则的前提下,考虑每个方案如何影响事项发生的可能性和事项对企业的影响,并设计和执行风险反应方案。考虑各风险反应方案并选择和执行一个风险反应方案是企业风险管理不可分割的一部分。有效的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险容忍度范围之内的风险反应方案。风险反应可分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或者两者同时减少。共担风险是指通过转嫁或与他人共担一部分风险来降低风险发生的可能性或影响。接受风险则是不采取任何改变风险发生的可能性或影响的行动。作为企业风险管理的一部分,对于每一个重要的风险,企业都应按风险反应的类型考虑所有的风险反应方案,这样有助于风险反应方案的选择,这也是对“现状”提出的挑战。__选定某一个风险反应方案后,管理者应在残留风险的基础上重新评估风险,即从企业总体的风险组合的、预测的角度重新计量风险。管理者可以采34/34 取一定的方法使得每一生产部门、行政部门或业务单位的管理者可以对风险进行复合式的评估以决定该部门的风险反应方案。这种视角可以反映相对于各部门的目标和风险容忍度该部门的风险组合。在对各个独立部门的风险有一个认识的基础上,企业最高层的管理者应以组合的角度看待风险,以决定企业的风险组合与相对企业目标而言的总体的风险偏好是否相符。管理者应认识到一定水平的残留风险总是存在的,这不仅是因为资源的有限性,还因为未来有其内在的不确定性和所有活动的固有限制。6.控制活动控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业努力实现其商业目标的过程的一部分。通常包括两个要素:确定应该做什么的一个政策和影响该政策的一系列过程。由于企业的控制活动与企业的信息系统广泛相关,因此,应对企业所有的重要系统进行控制。广义来讲,对信息系统控制活动可以分为两类。一类是一般控制,这类控制应用于大多数应用系统,有助于保证系统的持续地、正确地运行。另一类是应用控制,包括用于控制技术应用的应用软件内部的电脑程序。必要时将信息系统控制与其他手工的过程控制相结合,可以保证信息的完整性、精确性和有效性。一般控制包括对信息技术管理、信息技术基础设施、保密管理和软件的购买、开发和维护的控制。这些技术应用于所有的系统,从主机到客户端(服务端)到桌面电脑环境。信息技术管理控制主要包括明确信息技术的勘漏过程、监督和报告信息技术活动及业务改进的初步行动等等。应用控制的目的是保证数据获得和业务处理过程的完整性、精确性、授权和有效性。依靠信息系统控制运行的有效可以保证当需要时每个应用程序可以在界面上产生有关数据,保证应用程序的有效和有关界面的错误可以很快地被发现。因为每一个主体都有其自己的一套目标和执行目标的方法,因此其子目标、结构和相关的控制活动也会不同。即使两个企业有同样的目标和结构,他们的控制活动可很可能不同。每个企业的管理人员都不同,不同的管理人员在影响内部控制时使用不同的个人判断。而且,控制活动反映了一个企业所处的环境和行业,也会反映企业的复杂性、企业的历史和文化。7.信息和沟通来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通,包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换,如客户、供应商、行政管理部门和股东等。企业内部各个管理层都需要信息来帮助识别、评估风险和对风险进行反应,以及进行经营并实现企业的目标。相对于某一类或几类目标,某一批信息是有用的。企业的信息来自于各个方面,包括内部和外部的信息、量化的和非量化的信息,以使得企业的风险管理可以对现实世界中不断变化的条件及时作出反应。将大量的信息进行处理,提炼出或指导行动的信息是企业管理者所面临的一个挑战。解决这一问题的方法是建立一个信息系统底层结构来确认、捕捉、处理、分析和报告相关信息。这些信息系统通常是电脑系统,但也包括手工录入或人机界面。因此,这些信息系统经常是指处理企业相关业务产生的内部数据的系统。长期以来信息系统是用来支持企业的商业战略。当业务需要变化和有关技术为企业获得战略优势提供新的机会时,这一地位就显得更为重要。__为支持有效的企业风险管理,一个企业会捕捉和使用历史和现在的数据。历史数据使企业能够将实际业绩与目标、计划和期望相比较,能够更加深入了解企业在不断变化的环境下是如何生存的,使得管理者确认相关性和趋势并预测未来的业绩。历史数据还能够对需要管理者注意的潜在事项提早提出警告。现在或现状的数据使企业能够评估在某一特定时点所面临的风险并将其控制在风险容忍度范围内。现状数据使得管理者可以实时地了解一个过程、职能部门或单位现存的固有风险和差异的大小。这对了解企业的风险组合提供了一个视角,使得管理者能够在必要时改变企业的活动以满足企业的风险偏好。信息是沟通的基础,沟通则必须满足各部门和个人的要求,以使他们能够有效地履行其职责。最重要的沟通渠道之一是高级管理者和董事会之间的沟通。管理者必须使董事会了解关于企业业绩、发展、风险管理执行和其他相关事项和问题的及时信息。沟通越畅通,董事会在执行其监督职能、重大问题的宣传媒介职能和提供建议、咨询和指导职能时才会越有效。反之,董事会也应向管理者传递其所需要的信息并进行反馈和指导。管理者应提供特定的或直接的沟通渠道说明对员工的行为预期和各自的职责。应包括对企业风险管理原理和方法以及员工权责分配的清晰的说明。对于风险管理过程和程序的沟通应与企业预期的风险文化相结合,并作为企业风险文化的基础。此外,信息的列示会直接影响对信息的解释和对相应的风险或机遇的看法,因此,对于沟通应有一个适当的架构。沟通应使企业的员工了解有效地企业风险管理的重要性和相关性,了解企业的风险偏好和风险容忍度,并在企业内执行、设计一个统一的风险用语并向员工说明他们在影响和支持企业风险管理要素中的地位和职责。沟通渠道还应该保证企业员工能够在各业务部门、业务流程或职能部门间进行风险信息的沟通。大多数情况下,企34/34 业内正常的报告路径一般是沟通的适当渠道。而在某些情况下,需要一个单独的信息沟通途径作为防止失败机制,而为一途径在正常情况下是不用的。在所有的情况下,让企业的员工了解企业内并不存在对报告相关信息的报复是很重要的。外部的沟通渠道能够为企业的产品或服务的设计或品质提供非常重要的信息。管理者应将企业的风险偏好和风险容忍度与客户、供应商和合伙人的风险偏好和风险容忍度联系起来考虑,以保证不会通过企业的业务活动给企业带来太多的风险。外部相关方的信息经常会为企业风险管理的运行提供重要的信息。8.监控对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控――持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内各管理层面和各部门持续得到执行。持续监控是对企业日常的、重复的经营活动的监控,在实时的基础上进行,是对不断变化的环境的动态地反应,应在企业内部彻底地贯彻和执行。如果执行得好,持续监控比个别评估更为有效。由于个别评估是在事实发生之后才进行评估,而持续监控则会在问题一发生就很快被发现。虽然如此,许多使用持续监控的企业仍旧进行风险管理的个别评估。个别评估的频率是企业管理者的主观判断问题。在决定个别评估的频率时,管理者应考虑来自于企业内部和外部事项的变化的性质和程度以及相应的风险、企业员工进行风险反应和相应控制的能力和经验、持续监控的结果等因素。通常,将持续监控和个别评估进行一定的结合使用会保证企业风险管理长期的有效性。对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。企业风险管理的内容没有记录并不意味着风险管理无效或无法对风险管理进行评__估。但是,适当程度的记录通常会使对风险管理的监控更为有效果和有效率。当企业管理者打算向企业外部相关方提供关于企业风险管理效率的报告时,他们则应考虑为企业风险管理设计一套记录模式并保持有关的记录。所有风险管理失效都会影响企业确定和执行战略的能力,影响企业实现其既定目标的能力。对此,应将企业所有的风险管理失效都报告给适当的管理层,以保证其采取必要的措施以纠正风险管理失效。企业所需沟通的事项的性质根据各人处理各种情况的权限和监控者的查漏活动的不同而不同。这里“失效”是指企业风险管理过程中值得注意的某一种情形。因此,失效可能代表一种预期的、潜在的或真实的缺陷,或者代表加强风险管理过程的一个机会,以增加企业目标实现的可能性。在经营活动中产生的信息通常通过正常的渠道进行报告。对于敏感性信息的报告也应有其他的沟通渠道,如非法活动或不正当的活动。向企业内适当的管理层提供关于风险管理失效的必需的信息是非常重要的。企业应建立一个协议来识别某一管理层决策有效所需要的信息。这些协议应反映一个基本原则,即一个管理者在收到实现其特定目标的有关信息外,还应收到影响其权限范围内人员的行动或行为的所有信息。(四)风险管理要素和企业目标之间的关系企业的风险管理框架包括四类目标和八个要素。四类目标分别是战略目标、经营目标、报告目标和合法性目标。八个要素分别是内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控,是企业目标实现的保证。它们相互之间存在直接的关系,可以用一个三维矩阵图来表示(如图1所示)。可以看出,四个栏分别代表一个企业的四类目标,并不是企业的某个部分或部门。因此,例如,当考虑与报告相关的那类目标时,需要关于企业经营的大量信息,但是在这种情况下主要关注的是风险管理模型右手边中间这一栏——报告目标——而不是经营类目标。图2将立方体中水平各行的内容进行扩展,说明各风险管理要素的主要内容,其中每一要素也就代表一个业务流程。(五)有效性企业风险管理是一个过程,企业风险管理的有效性则是某一时点的一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理八要素设计和执行是否正确的评估基础上的一个主观判断。为使风险管理有效,企业的风险管理框架必须包括所有的八个要素,并得到贯彻执行。但是,这并不意味着每一要素在不同的企业间,甚至是不同企业的同一管理层次上,都必须执行同样的功能。因为不同的要素之间可能存在着作用的相互抵消。由于企业风险管理的各种技术能够为企业不同的经营意图服务,因此,相对于某要素的技术也能够服务于通常是另一要素所体现出来的经营意图。此外,对某一特定风险的风险反应程度可能不同,以至于互补的风险反应模式可能各自对企业的影响都有限,合并后仍可以保持在风险容忍度的范围内。这里所讨论的概念可以应用于所有企业,无论其规模。某些中小企业所采用的要素的内容与大企业可能不同,但企业的风险管理仍旧有效。对于每个要素的方法论,小企业采用的方法与大企业相比并不正式和结构化,但是,无论企业的规模,其风险管理都应包括本文所讲的基本概念。34/34 企业风险管理可以从一个企业的总体来认识,也可以从一个单独的部门或多个部门的角度来认识。即使是站在某一特定的业务部门的角度来看待风险管理,所有的八要素也都应作为基准包含在内。一个公司可能采用联营企业、合伙或其他的投资形式,其经营可能不在母公司的直接控制之下。为保证企业风险管理的有效性,母公司应从公司战略和目标的角度考虑与被投资方一起充分应用风险管理八要素的程度。(六)包括内部控制内部控制是企业风险管理不可分割的一部分。这里所说的企业风险管理框架包括内部控制,为企业的管理提供了一个更强的概念基础和工具。在《内部控制——整体框架》中已经对内部控制进行了定义和描述。由于《内部控制——整体框架》是现有的规则、法规和法律的基础,因此本讨论稿保留其对内部控制的定义。整个《内部控制——整体框架》报告都是本框架的参考。(七)企业风险管理的局限性有效的风险管理可以帮助管理者实现企业的目标,但是,无论企业风险管理设计得如何完善、运行得如何有效,它也不能保证一个企业永远成功。企业目标的实现还要受管理过程内在局限性的影响。政府政策或项目的改变、竞争对手的行动或经济条件都超出了管理者的控制范围。人的决策可能会出错,因而企业很有可能由于人的简单的错误或过失而破产。而且企业风险管理也不能把一个本来就很差的管理者变好。此外,企业员工两人或多人合谋可以绕过控制,管理者也有权利绕过企业的风险管理过程,包括风险反应和风险控制过程等。企业风险管理的设计必须反映企业资源稀缺的现实,而且风险管理的收益必须对应风险管理的成本。因此,虽然企业风险管理可以帮助管理者实现企业的目标,但它并不是一颗万灵丹。(八)各管理层在企业风险管理中的地位和职责一个组织的每个人在企业风险管理中都负有责任。1.董事会企业的管理者向董事会负责,而董事会向管理者履行治理、指导和监督职能。通过选举管理者,董事会在界定其所期望的员工的操守和价值观时起主要作用,并能够通过监督活动证实其对员工的预期。同样,通过在某些关键的决策中保留其权限,董事会在制定战略、确定企业高层次的目标和进行广义的资源配置时起到一定的作用。董事会对企业的风险管理负有监督职责,主要通过以下方式实现其职责:-了解管理者在企业内部建立有效的风险管理的程度;-获知并认可企业的风险偏好;-复核企业的风险组合观并与企业的风险偏好相对照;-评估企业最重要的风险并评估管理者的反应是否适当。董事会是企业内部环境的一个组成部分,必须有保证风险管理有效的必要的组织和对风险管理的关注。2.管理者企业的首席执行官对企业的风险管理最终负责,即拥有企业风险管理的“所有权”。与企业内其他员工不同,首席执行官在企业的高层确定风险管理的基调,而这会影响企业内部环境中的员工操守和价值观及其他因素。在一个大公司中,首席执行官通过向高级管理者分派领导权和提供指令并复核其管理企业的方式等来履行其职能。高级管理者会进一步将制定更具体的风险管理政策和程序的责任分派给负责各部门运行的员工。而在一个小企业,首席执行官对风险管理的影响则更为直接。他们是企业的管理者,但同时也是企业的所有者。在任何情况下,?对其下层的职责,管理者也是其职责范围内的一个首席执行官。此时各职能部门的领导者也是很重要的,如法律咨询部?、财务部、人力资源部和信息技术部,他们各自的监督活动与企业经营和其他部门的活动到处都存在着交叉。3.风险管理者一个风险管理者是指某一组织内的首席风险管理者或首席风险管理经理,他与企业内其他管理者一起在他们的职责范围内建立并维护有效的风险管理框架。首席风险管理经理也可以担当监督风险管理进度和帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责,并可以成为企业风险管理委员会的一员。4.内部审计人员内部审计人员在企业风险管理的监控中占有重要的地位,这一职责作为其正常职责的一部分,其业绩的质量依赖高级管理者、下级管理者或部门执行人员的特殊要求。他们可能通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会。34/34 5.其他员工从某种程度上讲,企业风险管理是企业内每一个员工的责任,因此,风险管理应是企业内每一个员工的工作手册的一部分内容。本质上,企业所有的员工都应提供风险管理所需的信息或者采取必要的措施管理风险。同样,企业所有的员工都有责任向上报告风险,如经营中存在的问题,未遵守有关的行为规则的情况、其他违反政策的行为或非法活动。许多企业外部相关方也有助于企业目标的实现。如外部审计人员,从一个独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核,直接有助于企业目标的实现。同时,外部审计人员还可以向管理者和董事会提供履行其职责有用的额外信息,间接地为企业目标的实现作出贡献。其他向企业提供风险管理的有用信息的相关方还包括行政管理部门、客户,其他与企业进行交易的各方,财务分析师、债券承销商和新闻媒介等等。但是,外部的各相关方并不对企业的风险管理负责。(九)本报告的用途企业根据本报告所采取的行动还应考虑下述各方的地位和利益:1.董事会成员董事会成员应该与企业的高级管理人员讨论企业风险管理的状况并在必要的时候进行监督。董事会应该保证企业风险管理体制能够为董事会提供与企业战略和目标相关的最重要的风险的评估,包括企业的管理者采取了什么行动和董事会在监督企业风险管理框架时是如何运作的。董事会应该从企业的内部审计人员、外部审计人员和咨询顾问外获得有关的信息。2.高级管理人员本研究建议企业的首席执行官应评估企业风险管理的适应性。使用本框架,CEO就可以与企业的其他主要经营和财务主管一道,注意企业内需要注意的地方。使用一定的方法,CEO可以将企业的业务部门的负责人和主要职能部门的员工汇集到一起,讨论对企业风险管理框架适应性和有效性的最初评估。无论讨论的形式如何,风险管理最初的评估应决定企业是否需要对企业风险管理框架进行进一步的、更广泛的评估以及应如何进行评估。最初的评估还应该保证企业再造的监控程序确实存在、确实有效。企业花费在风险管理评估上的时间是企业的一项投资,而且是一项有高额回报的投资。3.企业内其他成员企业的管理者和其他员工应该考虑他们在企业风险管理框架中应履行何种职责,并与其上层管理者讨论有关思想以加强企业的风险管理。内部审计人员则应该考虑其工作中关注企业风险管理的程度。4.立法者每个企业对企业风险管理的期望由于两个方面的影响而千差万别。首先,由于对企业风险管理框架的硬件设施构建的不同认识,使得企业的风险管理框架各有不同。一些观察家认为企业风险管理将会,或者应该会防止企业的经济损失,或者至少是防止企业破产。第二,即使对企业风险管理能够做什么、不能做什么以及“合理保证”概念有一个共同的认识,对这概念的含义和应该如何应用这些概念也存在许多不同的观点。为了使各方对企业风险管理的认识及其作用达成共识,就应该对企业风险管理框架及其局限性达成共识。本框架的提出就是出于这一考虑。5.专业机构规则制定机构和其他专业组织已经提供了企业理财、审计和相关问题的指南。本框架会使用这些机构颁布的有关准则和指南。这样可以减少概念和术语的多样性,而一定程度地减少概念和术语的多样性对企业内外部各方都是有利的。6.教育机构本框架应该是理论研究和分析的一个题目,以寻找未来改进的方向。如果这个报告作为企业风险管理通用的理论基础被广泛接受,那么其中的概念和术语就可以在学校的课本中找到。(十)报告的组织这个概览和框架报告的正文一起构成了企业的风险管理框架。本概览为企业的CEO和其他高级执行官、董事会成员和企业外部的立法者提供了一个高度概括的说明。而框架报告的正文部分则对企业风险管理的定义、原则和概念进行更为广泛和深入的讨论,为企业及其他组织中各层次管理者决定如何改进企业的风险管理提供了指导,并能够帮助企业的管理者和其他人员评估企业的风险管理提供帮助。1、企业风险管理的相关性章节摘要:企业风险管理被运用于策略制定,并贯穿于实体的各项活动中。它使得管理部门在面对不确定性的时候34/34 能够鉴别,评估并处理风险,同时有助于价值增值与保值。企业风险管理能提供更高的能力,来调整风险偏好与策略,把风险与增长及回报联系起来,加强风险反应决断力,最小化经营上的突发状况和损失,鉴别并处理跨企业风险,对复合性风险提供整体化反应,把握机会,合理化资本投资。企业风险管理的一个潜在假定就是,每一个实体的存在都是为其风险承担者提供价值,不论这个实体是盈利性的,非盈利性的还是政府机构。所有实体都面临着不确定性,而管理部门的挑战就是判定该实体在努力增加风险承担者价值的同时,准备承受多大程度的不确定性。不确定性既提供了风险也提供了机遇,既有可能侵蚀价值也有可能增加价值。企业风险管理就是给管理部门提供了一个体制,可以有效地处理不确定性及相关风险、机遇,从而提高增加价值的能力。不确定性诸如全球化、技术、监管、重组、市场变化及竞争等因素产生了不确定性,企业正是在这样的环境下经营。不确定性来源于不能精确地对潜在事件发生的可能性及相关结果进行判断。不确定性还因实体的战略性决策而产生。例如,一个实体的增长战略是基于向另一个国家扩展经营业务。这一选定的战略就产生了与该国家的政治、资源、市场、交通、人力资本及成本相关的风险和机遇。价值价值是由于管理部门在所有活动中的决策而产生、保持或被侵蚀的,这些活动涉及到从战略的制定至日常的企业经营。决策中固有的一点就是识别风险和机遇,要求管理部门(注)考虑内在和外在环境的信息,并根据变化着的环境来部署宝贵的资源和重新调整企业行为。企业价值是通过部署资源(包括人力、资本、技术及品牌)而产生的,因此获得的利润要大于使用的资源。实体通过专注于人力、工序、系统和行为创造持续性价值而保值的,包括产品质量,生产能力,顾客满意度及其它一些东西。价值会由于根据风险和机遇的不完全或不充分信箱行事,或由于拙劣的战略或执行而受到侵蚀。当管理部门的战略和目标在增长与回报及相关风险,和追求实体目标过程中对资源的效率且有效果的部署之间突然得到了一个最优平衡,价值就达到了最大化。企业风险管理则便于对市场需求、无效率和其它事件进行识别,那些事件要么会产生创造价值的机会,要么会对战略及实现实体的目标带来风险。当风险承担者获得可确认的收益,实体就实现了价值,从而风险承担者实现价值。例如,当股东从股票增值中确认价值产生时,他们就实现了价值。对政府实体而言,在选民以可接受的成本确认收到有价服务时,价值得以实现。非营利性实体的风险承担者则是在确认收到有价社会福利时实现价值。企业风险管理就是便于管理部门既能够创造可持续性价值,又能把所创造的价值传送给风险承担者。实体价值的计量对价值的一种计量是该实体对其风险承担者的相对价值,效用或重要性。许多公司管理部门习惯于用财务指标来考虑价值,如经济利润、股东附加值、风险调整成本回报或整体股东回报。这些财务指标有一个基本的假定,就是价值产生前资本成本必须能得到弥补。然而,财务指标并不总是价值的唯一代表。对非盈利性机构的价值计量就是和它们所试图提供的社会福利联系在一起的。例如,一家为老年公民提供援助的非盈利性机构是根据对可接受的高质量、长期健康照顾的获得性来衡量价值的。企业风险管理的优点调整风险偏好与战略——风险偏好,在广泛的基础层面上,是公司或其它实体在追求目标时所愿意接受的风险程度。管理部门首先是在评估战略性选择时考虑实体的风险偏好的,然后是在根据选定的战略进行调整的目标设定,以及在发展机制来管理相关风险时考虑。例如,一家制药公司关于其品牌价值有着较低的风险偏好。因此,为保护其品牌,该企业会坚持广泛调查来确保产品的安全性,并定期在早期开发阶段投入大量资源以支持品牌价值创造。联系增长、风险和回报——实体是把风险视为生产和保持价值的一部分而接受风险的,同时期望回报与风险相匹配。企业风险管理提供了更强大的识别和评估风险的能力,并针对增长和回报目标确定可接受的风险水平。例如,保险公司在战略性规划方面的管理同时产生了经营单元规划以及增长与回报规划。公司识别和判断完成的风险,选择反应方式,调整经营单元规划,并在单个经营单元和全公司目标的基础上配置资本。改善风险反应决策——企业风险管理提供在各种风险反应选项(即风险回避、减少、分配和接受)中进行严格的识别和选择。例如,一家使用公司所有并经营的交通工具的公司,其管理部门确认运输过程中的固有风险,包括交通工具的损坏和人员受伤成本。可利用的选项包括通过有效的司机招募及培训来降低风险,通过运输外部化来规避风险,通过保险来转移风险,或者索性接受风险。企业风险管理为这些决策都提供了方法和技术。经营偏差和损失最小化——实体已增强了识别现在事件、评估风险并确立反应方式的能力,从而减少了偏差的发生及相关成本或损失。例如,制34/34 造公司依据平均水平来追踪生产部件和设备损坏率。该公司运用复合性标准评估损坏的影响,包括修理时间、无法满足顾客的需要、雇员安全、预定修理相对于非预定修理的成本,以及对据此设定维护安排的反应。识别和管理企业范围的风险——每一个实体都会面临无数的风险,并影响到机构的不同部门。管理部门不仅需要处理单个风险,还要知道它们相互间的影响。例如,银行在与企业的交易活动中面临大量风险,管理部门就开发了一项信息系统,可以分析来源于其它内部系统的交易和市场数据,并同时依据相关的外生信息,而提供对所有交易活动风险的总体看法。该信息系统允许深入到各个层次,即部门、顾客或竞争对手、贸易商及交易,并在已确立的分类中根据风险承受能力量化风险。该信息系统使银行能够把曾经使完全不相关的数据联系起来,从而运用总括的及有目的的观点来有效地对风险做出反应。对多重风险提供整体反应——商业过程带有许多固有风险,企业风险管理可以为处理这些风险提供整体的解决办法。例如,批发分销商面临的风险有供应过量或不足的形势供应来源稀缺,以及过高的购买价格。管理部门根据本公司的战略、目标及供选择的反应情况来确认和评估风险,并开发了一项涉及广泛的存货控制系统。该系统通过签订长期供应合同和改善定价方式与供应商结合起来,共享销售和存货信息,推动战略合作,避免缺货和不必要的运输成本。供应商的职能就是负责补充存货,进一步降低成本。抓住机会——通过考察所有的潜在事件,而不仅仅是风险,管理部门可以了解特定的事件是如何代表机会的。例如,一家食品公司考察了可能会影响其可持续收入增长目标的潜在事件。在评估事件时,管理部门认定,该公司的主要顾客正越来越注重健康,并正在改变饮食偏好,这表明对该公司现有产品的需求将来会减少。管理部门对此做出反应,把目前的生产能力应用于开发新产品,使得公司不仅能够保持来源于现有顾客的收入,还能够吸引更广泛的顾客基础而获得额外的收入。使资金合理化——更多关于风险的可靠信息可以使管理部门更有效地评价整体资金需求及改善资金分配。例如,一家金融机构得知新的规章制度,规定如果管理部门不更加有效地计算贷款和经营风险水平及相关资金需求,就要增加(自身)资金需求。该公司按照系统开发成本及附加资金成本的对比对风险进行了评估,并制定了一个高明的决定来处理这一风险。根据现有的、可调整的软件,该银行开发了更加精确的计算方法,避免了对附加资金来源的需求。企业风险管理不是不是目的,而是一种达到目的的重要方法。它在实体中并不是孤立运转的,而是管理过程的启动程序。企业风险管理通过向董事会提供关于最重要风险以及怎样进行处理的信息,而与公司治理相关联。它还通过风险调整指标与业绩管理相关联,并与企业风险管理的一个组成部分——内部控制相关联。企业风险管理有助于实体达到经营和获利目标,并避免资源浪费;有助于确保有效的报告;还有助于确保实体遵守法律法规,避免声誉受损及其它后果。总之,它有助于实体达到所期望的目标,并自始至终避免陷阱和偏差。注:尽管在这里及接下来的讨论中运用的是“管理部门”一词,许多企业风险管理行为都是由非管理人员完成的。2、框架纵览章节摘要:企业风险管理使一个过程,是由实体的董事会、管理层及其他员工实现的,被应用于战略设定并贯穿于整个企业。设计该项管理是为了识别可能影响到实体的潜在事件,把风险控制在实体的风险偏好之内,并提供达到关于实体目标的合理保证。这一定义是广义上的,与经营的方方面面相关。企业风险管理是由八个相互关联的部分组成,这些组成部分充实了管理层经营企业的方式,并与其它管理过程融为一体。它们结合在一起,充当判定企业风险管理是否有效的标准。该框架的一个关键目标就是,帮助商业机构和其它实体的管理部门更好地处理达到实现目标时的固有风险。但是,企业风险管理对不同的人有着不同的含义。多种多样的说明和含义阻碍了对企业风险管理的一个通用的理解。那么,一个重要的目的就是把各种各样的风险管理观念综合成为一个框架,建立一般概念并确认组成部分。设计这一框架是为了协调不同的观点,并为单个实体评价和增强企业风险管理,为将来创始规划制订机构,以及为进行教育提供一个起点。事件与风险无数内部或外部发生的事件都有可能影响到战略的执行和目标的实现。事件可能有负面影响,也可能有正面影响,或两者兼而有之。可能有负面影响的事件代表风险。因此,风险是事件发生并对目标产生不利影响的可能性。可能有正面影响的事件会抵消负面影响,或代表机遇。管理部门把机遇引至其战略或目标设定过程,从而系统化行动以抓住机遇。管理部门通过判断潜在事件的可能影响来评估风险,以执行战略和实现目标。企业风险管理的定义34/34 企业风险管理的定义如下:企业风险管理是一个过程,是由实体的董事会、管理层及其他员工实现的,被应用于战略设定并贯穿于整个企业。设计该项管理是为了识别可能影响到实体的潜在事件,把风险控制在实体的风险偏好之内,并提供达到关于实体目标的合理保证。该定义反映了特定的基本观念。企业风险管理:是一个过程——它是达到目标的方法,自身不是目的。由人来实现——它不仅仅是政策、调查和形式,而是涉及到机构中每一层次的人。应用于战略制订。应用于整个企业的每一层面和单元,还包括采取在实体层面上对待风险的观点。设计用来识别可能影响实体的事件,并在实体的风险偏好范围内处理风险。向实体的管理层和董事会提供合理保证。准备好在一个或多个独立而又相互重叠的部门实现目标。该定义之所以如此广泛,是由于以下几个原因。它抓住了公司和其它组织是如何管理风险的基本性的关键概念,为应用于不同类型的组织、产业和部门提供了基础。它直接集中于实现一个特定实体所确立的目标。该定义为明确企业风险管理的有效性提供了一个基础,这将在本章后面讨论。下面一些段落讨论如上列出的基本概念。一个过程企业风险管理不是一个事件或环境,而是一系列渗透到企业各项活动的行为。这些行为遍布和内含于管理部门经营业务的方式中。企业风险管理不同于一些评论者的观点,他们认为企业风险管理是附加在实体活动之外的范畴,或者是一个不可避免的负担。这并不是说有效的企业风险管理不需要额外的努力。例如,在考虑贷款和货币风险时,就需要投入额外的努力来开发所需要的模型,并作一些必要的分析和计算。然而,这些企业风险管理机制是同实体的经营活动盘绕在一起的,并由于一些基本的经营因素而存在。当这些机制深入到实体的基础结构中并成为企业核心的一部分__的时候,企业风险管理是最为有效的。通过在企业风险管理方面的建设,实体可以直接影响自身履行战略和实现展望或使命的能力。企业风险管理的建设对成本控制也具有重要含义,尤其是在许多公司所面临的高度竞争市场。增加新的独立于已有程序之外的程序会增加成本。通过专注于现有的经营及其对有效的企业风险管理的贡献,并把风险管理与基本的经营活动结合起来,企业可以避免不必要的程序和成本。而且,把企业风险管理建入经营结构有助于管理部门识别并抓住扩大经营的新机遇。由人实现企业风险管理是由董事会、管理层及其他员工完成的。它是通过组织中的人及其所做和所说而实现的。是人建立了实体的展望、使命、战略和目标,并适当地运用企业风险管理机制。类似地,企业风险管理会影响到人的行为。企业风险管理认为,人们并不总是协调地互相理解、交流和办事。每一个人都会带来独特的背景和技术能力,并有着不同的需要和特权。这些现实影响企业风险管理,同时也受其影响。每个人都有独特的参考观念,影响他们识别、评估风险并做出反应。企业风险管理提供了必要的机制,帮助人们根据实体目标的情况理解风险。人们必须了解自身的责任和权力的限制。相应地,在人们的职责和履行职责的方式之间,以及与实体的战略和目标之间,需要存在清晰而紧密的联系。组织中的人包括董事会,及管理层和其他员工。尽管董事会主要是进行监管,他们也会指引方向并批准战略和特定的交易及政策。这样,董事会就是企业风险管理的一个重要元素。应用于制订战略实体设定使命或展望,并确立调整和支持其展望和使命的高层次战略性目标。实体确立战略的目的是实现战略性目标。实体还会设定所希望达到的相关目标,从战略深入到实体经营单元、分支机构和工序。企业风险管理应用于制订战略,在制订时管理部门要考虑相对于备选战略的风险。例如,一项选择是并购其它公司以扩大市场份额。另一项选择则是削减采购成本以实现更高的毛收益率。每一项战略选择都会产生大量的风险。如果管理层选择第一项战略,就得进入新的且不熟悉的市场,竞争对手可能会在本公司现有市场中获得份额,或者该公司没有有效执行此项战略的能力。如果选择第二项战略,所产生的风险包括不得不使用新技术或供应商,或结成新的联盟。在这一层面就要应用企业风险管理技能来决定实体的战略。应用于整个企业要成功地应用企业风险管理,实体必须考虑整体活动范围。企业风险管理要考虑组织所有层次上的活动,从企业层34/34 次的活动如战略规划和资源配置,到经营单元的活动如营销和人力资源,再到经营过程如生产和新顾客信用评估。企业风险管理还应用于特殊项目和新开发项目,这些项目可能在实体的组织结构或机构图示中还没有指定位置。企业风险管理要求实体要有风险组合观。这可能牵涉到每一个经营单元、功能、程序或其它活动的管理负责人,为单元开展对风险的评估。该评估可能上定量的也可能上定性的。高层管理者对组织的每一个相继的层次有着组合的见解,就有责任判定实体的整体风险组合是否与其风险偏好相称。管理部门是以实体层面的组合观点来考虑互相关联的风险。(管理部门)需要识别关联风险并依其行动,以把全部风险控制在实体的风险偏好之内。实体中个别单元的风险可能在单元的风险承受能力之内,但加总起来可能会超过作为整体的实体的风险偏好。整体风险偏好在实体中顺次反映为特定目标确立的风险承受程度。在形成组合观的时候,管理部门考虑的是潜在事件,而不仅仅是风险。通过对事件的考虑,管理部门可以明白特定事件是如何具备抵消效果的。例如,利率下降会对实体的资本成本产生有利影响,但对赚取利息的资本会产生不利影响。管理部门可以找出事件之间的相互关系所在,有助于对事件分门别类,便于考察相关风险和机遇。风险偏好风险偏好是一个实体在追求价值的过程中所愿意接受的风险数量。实体总是定性地考虑风险偏好,如分为高、中、低三级,或者可以采用定量的方法,反映并均衡增长、回报的目标及风险。风险偏好是与实体的战略直接相关的。在战略设定时考虑,就是一项战略的预期回报应与实体的风险偏好相符。不同的战略将会使实体面临不同的风险。企业风险管理有助于管理部门选择与实体风险偏好一致的战略。实体的风险偏好引导资源配置。管理部门在经营单元之间配置资源,要考虑实体的风险偏好,以及单个经营单元为实现投入资源预期回报的战略。管理部门在协调机构、员工和程序时,以及在设计有效应对和监控风险的必需的系统之各部分时,要考虑风险偏好。提供合理保证设计良好、有效运行的企业风险管理能够为管理部门和董事会提供关于实现实体目标的合理保证。作为有效的企业风险管理的结果,在本章后面也会提到,对实体的每一类目标,董事会和管理部门能获得如下合理保证:他们能了解实体的战略性目标的完成程度;他们能了解实体的经营性目标的完成程度;实体的报告是可靠的;适用的法律法规得到遵守。合理保证反映了这样一个观念,即不确定性和风险是与没有人可以准确预测的将来相关联的。问题还可能是因为,人们在做决策时的判断是错误的;应对风险的决定和建立控制时需要考虑相关成本效益;出现毛病可能是由于人为失误,比如一些简单的错误;两个或更多的人勾结起来规避控制;以及管理部门有不考虑企业风险管理决策的能力。这些问题使董事会和管理部门不可能有实现目标的绝对保证。实现目标在已确立使命或展望的情况下,管理部门建立战略性目标,选择战略,并在整个企业内顺次建立与战略一致和相连的目标。尽管许多目标使某一实体所特有的,但有些目标还是广泛适用的。例如,实际上对所有适用的目标有,在贸易团体及消费者群内获得并保持良好的声誉,向股东提供可以信赖的报告,以及遵守法律法规从事经营。该框架从四个方面来看待实体目标:战略性——与高层次目标相关,与实体的使命一致并支持实体使命。经营性——与有效果且有效率地使用实体资源相关。报告性——与实体报告的可信赖度相关。遵从性——与实体遵守适用的法律法规相关。这种对实体目标的分类使得董事会和管理部门专注于企业风险管理的不同方面。这些相互区别又有重叠的类别——一个特定目标可以归属于不止一个类别——提出了不同的实体需求,而且可能是不同高层人员所直接负责的。该法律还可以把所能期望的与目标的每一类别区分开来。有些实体使用另一种目标类别,“资源保值”,有时称为“资产保值”。广义上来看,是关于防止实体资产或资源的减损,无论是因为偷盗、浪费、无效率或是经证明仅仅是由于错误的经营决策——比如以过低的价格销售产品,不能留住关键雇员或无法阻止(他人)冒用商标,或是产生为预期负债。这些主要是经营性目标,尽管保值的特定方面可以归属于其它类别。一旦应用到法律或法规的要求,就成为遵从性目标。另一方面,在实体的财务报告中正确地反映资产损失,就代表了报告性目标。当运用在公开报告中时,经常使用的是资产保值的较为狭窄的定义,即关于阻止或定34/34 期查明未经授权获得、使用或处置实体的资产。企业风险管理可期望用来提供实现与报告的可靠性、遵守法律法规相关的目标的合理保证。实现那些类别的目标是处于实体的控制范围之内,并依赖于实体相关的执行效果如何。然而,实现战略性目标,如获得特定生产份额,以及经营性目标,如成功上马一条新生产线,并不总是在实体的控制中。尽管企业风险管理不能防止错误的判断或决策,或可能导致业务无法实现经营性目标的外在事件,它确实增加了管理部门做出更优决策的可能性。关于这些目标,企业风险管理能够合理地确保管理部门,及予以关注的董事会,能及时了解实体接近实现目标的程度。企业风险管理的组成部分企业风险管理由八个相互关联的部分组成,源于管理部门经营业务的方式,并与管理过程融合在一起。这些组成部分是:内部环境——管理部门提出风险的研究并确立风险偏好。内部环境建立实体人员如何看待风险和进行控制的基础。任何业务的核心是置于其中的人——他们的个体本性,包括诚信、道德观和能力,以及人们从事经营的环境。他们是驱动实体及基础的发动机,如何事情都依赖于该基础。目标设定——目标必须在管理部门识别可能影响其实现的事件之前存在。企业风险管理确保管理部门以适当的程序设定目标,并且所选定的目标支持并与实体的使命或展望一致,同时与实体的风险偏好相符。事件识别——(管理部门)必须识别出可能会对实体产生影响的潜在事件。事件识别包括识别原因——内在及外在的,这些因素会对潜在事件如何影响战略执行及目标实现产生作用。还包括区分代表风险的潜在事件,代表机遇的潜在事件,以及两者都代表的潜在事件。管理部门识别潜在事件之间的相互关系,并对其分类,是为了在实体内创造并加强一种普遍的风险意识,并形成以组合观来考虑风险的基础。风险评估——对识别出的风险进行评估,是为了形成一个决定如何对其实施管理的基础。风险是与可能会受到影响的有关目标相关联的。风险是在内部及剩余的基础上进行评估,该评估同时会考虑到风险可能性及影响。一系列可能结果也许会和一项潜在事件相关,管理部门就需要把两者结合起来考虑。风险反应——管理部门根据战略和目标选择一种方法或一套行为,使所评估的风险与实体的风险偏好一致。(管理)人员识别并评价对风险的可能反应,包括规避、接受、降低和分配风险。控制活动——建立和执行政策及程序,是为了有助于确保管理部门选择的应对风险(方式)能得到有效实行。信息和交流——通过以某种形式和时间结构识别、掌握并交流信息,可以使人们能够履行责任。在实体的所有层面都需要信息来识别、评估并应对风险。在更广泛的意义上也需要有效的交流在实体上上下下流动。人们需要接收关于作用和职责的明晰的交流。监管——整个企业风险管理必须得到监管,而且要有必要的调整。这样,该系统可以充满活力,并在条件保证下转变。监管是通过持续的管理活动,分开的对企业风险管理过程的评价,或把两者结合起来,而实现的。企业风险管理是一个动态的过程。例如,风险评估驱动风险反应,影响控制活动,激起重新考虑信息和交流或实体监管活动的需求。这样,企业风险管理不是一个系列过程,即一个组成部分只会对下一个产生影响。而是一个多元化的相互作用的过程,即几乎任何组成部__分都能够并将会影响另一个。没有两个实体将会或应该以同样的方式应用企业风险管理。公司及其企业风险管理能力和需求,会因行业及规模、(企业)文化及管理哲学而有很大的不同。这样,尽管所有实体都需要每一个组成部分来维持对其活动的控制,某一公司对企业风险管理框架的应用——包括所采用的工具和技巧,以及企业风险管理的作用和职责的分配——与另一公司总会有很大的不同。目标和组成部分之间的关系在实体所努力达到的目标,与代表达到目标所需要的企业风险管理组成部分之间,有着直接的联系。这种关系可以用一个三维图形来描绘,如图2.1中的立方体所示。四个目标类别——战略性、经营性、报告性及遵从性——由纵栏表示,八个组成部分由横行表示,实体及其单元由模型的第三维表示。每一组成部分“横穿”并适用于所有四个目标类别。例如,来源于内部和外部渠道的财务及非财务信息,这属于信息和交流部分,在战略制订、有效管理业务经营、有效报告和判定实体遵守适用法律中都有所需要。类似地,从目标类别来看,所有八个组成部分与每一类别都相关。以经营效果及效率这一类别为例,所有八个组成部分对其实现都适用,并且重要。企业风险管理与整体企业,或与单个经营单元相关。这一关系由第三维描述,表示子公司、分支机构和其它经营单元。这样就可以专注于模型中的任一部分。比如,要考虑顶部右边后面的部分,它代表与特定子公司的遵从目标相关联的内部环境。应该认识到,四栏代表的是企业目标的类别,而不是实体的部分或单元。这样,在考虑比如说与报告相关的目标类别时,需要了解关于实体经营的广泛信息,但如果是那样的话,要注意的是模型的右中栏——报告性目标——而不是经营性目标一栏。图2.2扩展34/34 了立方体组成部分行,以显示每一组成部分的关键要素,以及哪些组成部分代表一个过程流。尽管企业风险管理框架与所有实体相关且适用,管理部门应用企业风险管理的方式却随着实体性质和许多实体特有因素而有很大的不同。这些因素包括实体的经营模式,大体风险,所有权结构,经营环境,规模,复杂性,行业和监管程度,以及其它。当考虑到实体的特有情形,管理部门进行一系列的选择,都要顾及到被展开来应用企业风险管理框架组成部分的过程和方法的复杂性。管理部门可能会在某些经营单元或程序或企业风险管理组成部分中选用复杂的方法和技巧,而在其它地方决定运用更基本的方法。有效性尽管企业风险管理是一个过程,其有效性是在某一时点上的状态或情形。判定企业风险管理是否“有效”是一种主断言,取决于评估八个组成部分是否存在及真正发挥作用。要被认定为有效,所有八个组成部分都必须存在且发挥作用。然而,这并不意味着在不同实体中,每一个组成部分都应该发挥同样的作用,或者甚至在同一水平,各组成部分之间可能会存在协调。因为企业风险管理技巧能服务于各种各样的目标,相对于一个组成部分所应用的技巧可以为存在于另一个组成部分的目标服务。此外,风险反应在面临特定风险时,程度上会有所不同,这样补充的风险反应,单个来看效果有限,合在一起就足够了。这里所阐述的观点适用于所有实体,不论规模大小。尽管一些中小型实体执行组成部分要素时与大型实体会有所不同,它们仍然可进行有效的企业风险管理。在较小的实体中对每一组成部分的研究,相对于较大的实体来说,可能不那么正规,结构也不尽完善,但基本的概念存在于每一实体中,不论规模大小。企业可能会在把实体作为一个整体,或者一个或多个单个单元的情况下考虑。当以实体的某一特定单元来考虑企业风险管理时,所有八个组成部分都必须作为参考标准,这样,举个例子来说,由于拥有一个有着特殊性质的董事会时内部环境的一个要素,那么只有当经营单元摆正董事会的位置或只是简单机构(或实体层面的董事会直接给予经营单元必要的监管),此时该单元的企业风险管理才有可能被判定为有效。相似地,由于风险反应部分要求采用风险组合观,则要使企业风险管理被判定为有效,该经营单元就必须有风险组合观。实体也许拥有合资企业、合伙企业或其它投资,它们的经营是不在实体的控制之下的。在这种情况下,如果实体识别出可能影响投资进而有效实现自身目标的能力的潜在事件;确保风险评估,风险反应和控制部分适当地反映了这些事件;并且对已被设计用来管理投资相关风险的机制进行监管,该实体就能实现企业风险管理。另一种实体实现企业风险管理的方式是,对确保投资工具遵守拥有有效的企业风险管理进行监管。然而,投资工具的风险偏好也许会和实体的风险偏好有所不同。当投资工具有着独立的董事会或其它类似监管机构时,就可能会发生这种情况。实体的管理部门就需要评价自身风险偏好于投资工具的风险偏好之间的一致性,从而保证实体的风险是可以接受的。一家矿业公司投资于一家黄金采矿合资企业。该矿业公司关于盈利的稳定性比合资企业的风险偏好低一些。合资企业的管理部门预期黄金价格会保持不变或上扬,并准备接受价格下降的风险,以换取价格上升所能带来的预期收益。故而没有对黄金价格的变化采取套期保值措施。公司的管理部门监控合资企业的黄金产量水平并对黄金价格的变化采取套期保值措施,从而把商品的价格风险控制在公司的风险偏好之内。围绕内部控制内部控制是企业风险管理的一个组成部分。企业风险管理围绕着内部控制,为管理形成了一个更有活力的概念和工具。内部控制在《内部控制——整体框架》有所定义和描述。因为《内部控制——整体框架》是现有规则、法规和法律的基础,该文献保持着对内部控制的合适的定义和框架。整个《内部控制——整体框架》以参考书目的形式综合进入本框架。附录B描述了企业风险管理是如何比内部控制更具有包容性。企业风险管理及管理过程由于企业风险管理是管理过程的一部分,企业风险管理框架组成部分是在管理部门经营业务的背景下进行讨论的。然而,并不是管理部门所做的每一件事情都是企业风险管理的要素。例如,建立目标的过程是企业风险管理的主要组成部分,但管理部门所选定的特殊目标,尽管是一项重要的管理责任并与实体战略有重要关联,却不是企业风险管理的一部分。类似地,以风险评估为基础的风险反应,是企业风险管理的一部分,但所选定的特定风险反应却不是。这些大概是应用于决策制订的业务判断,其中许多管理部门的决定和行为不是企业风险管理的部分。图2.3列出了一般管理行为,并表明哪些被认为是企业风险管理的部分。(此列表既没有包含一切,也不是描述管理活动的唯一方式。)3.内部环境章节摘要:内部环境包含一个组织的基调,影响其员工的风险意识,同时还是企业风险管理所有其它组成部分的基石,提供纪律和结构。内部环境因素包括实体的风险管理哲学;其风险偏好和风险文化;董事会监管;实体员工的诚34/34 信、道德价值和能力;管理哲学和经营风格;以及管理部门分配权力和责任、组织和引导员工的方式。内部环境是企业风险管理所有其它组成部分的基石,提供纪律和结构。内部环境影响到战略和目标时如何建立的,经营活动时如何组织的,以及风险时如何被识别、评估和应对的。它影响控制活动,信息和交流系统及监管活动的设计和运作。反之,内部环境又受到实体的历史和文化的影响。内部环境由许多要素组成,包括实体员工的道德价值、能力和发展,管理部门的经营风格及如何分配权力和责任的。董事会是内部环境的关键部分,显著地影响其它内部环境要素。虽然所有要素都很重要,每一要素的程度会因实体有所不同。例如,员工数量较少和集权经营公司的高管人员可能不会正式的责任链和详细的经营政策。然而,该公司也可拥有内部环境,为企业风险管理提供适当的基础。风险管理哲学为所有员工所理解的企业风险管理哲学,能促进雇员识别和有效管理风险的能力。该哲学(即实体关于风险的信念,和如果选择引导活动并处理风险),反映实体从企业风险管理所寻求的价值,并反应企业风险管理组成部分是如何运用的。虽然一些实体采用企业风险管理是为了满足外部风险承担者的需要,如母公司或监管者,更多的是因为管理部门意识到有效的风险管理能够保持价值并创造价值。每一个领导班子对于什么推动风险承担者的价值,都有自己的见解。管理部门的企业风险管理哲学反映在政策综述和其它信息传达中。很重要的是,管理部门不仅通过言词,还通过日常行为来加强该哲学。风险偏好风险偏好是实体在追求价值时所愿意接受的风险程度。实体经常定性地考虑风险,如分成高、中、低三类,或者也会采用定量的方法,反应并均衡增长、回报的目标和风险。风险偏好与实体的战略直接相关。它在战略设定时会考虑到,此时一项战略的期望回报应该与实体的风险偏好相符。不同的战略会给实体带来不同的风险。企业风险管理被应用于战略设定,有助于管理部门选择与实体的风险偏好一致的战略。风险文化风险文化是表现实体如何在日常活动中考虑风险的一套共用的看法、价值观和惯例。对于许多公司,风险文化来源于实体的风险哲学和风险偏好。对于那些不明确地说明其风险哲学的实体,风险文化会偶然地形成,结果在实体内部,甚至在一特别的经营单元、功能和部门中产生截然不同的风险文化。管理部门要考虑其风险文化是如何产生影响并与企业风险管理的其它要素协调。如果存在不协调,管理部门会采取步骤来改造文化——也许重新思考风险哲学和风险态度,或改造应用企业风险管理的方式。一家汽油管道公司寻求一种所有员工在日常活动中明确考虑风险的文化。为实现这一点,管理部门采取的一个步骤就是,在所有员工卡中加入一系列专注于风险的问题。这些问题引导员工的决策制定:什么是风险?此事件会影响到其他什么人?需要告知其他什么人?这些问题鼓励员工考虑潜在事件对其它部门以及对整个实体的影响。风险亚文化个体经营单元、功能和部门会有稍微不同的风险文化。一些管理者准备接受更多的风险,其他管理者则较为保守,而且这些不同的文化有时从事于相反的目的。例如,一个职能(部__门)更多地关注销售,而不会太注意规则遵循情况。另一个职能(部门)可能更注重要求其员工严格确保遵循所有相关法规。分开来看,这些不同的亚文化可能会对实体产生不利影响。但是如果这些职能(部门)在一起工作,相互补充,不同的文化可以共同反映实体的期望风险偏好和哲学。认可风险事实一个不曾遭受过损失并没有面临显著风险的实体,不应该相信不利后果“不会在此发生”的荒诞说法。就算公司拥有胜任的员工、有效的程序及可靠的技术,外部和内部环境中的许多变量很快会改变。管理部门应该意识到,即使是运转良好的经营也是脆弱的。董事会实体董事会是内部环境的重要部分,并对其它内部环境要素产生显著影响。董事会相对于管理部门的独立性,其成员的经验和水平,对活动参与和详细调查的程度,及其行为的适当性都会产生作用。其它要素包括,关于战略、规划和执行的管理所提出和从事的问题的难度,以及董事会和审计委员会与内部和外部审计之间的交互作用。一个积极且相关的董事会、理事会或类似机构应该拥有适当程度的管理、技术和其它专家意见,还要有履行监管职责的必要的注意。这对一个有效的企业风险管理是很重要的。而且,因为董事会必须有备于详细审查管理部门的活动并提出问题,提供备选的观点及在明显的不道德行为目前有所作为,董事会成员必须包括外部董事。高层管理人员可能是有效的董事会的成员,可以把公司的情况带到董事会会议上。但是必须要有足够数量独立的外部董事,不仅能提供正确的意见、34/34 忠告和方向,还要你能对管理部门进行必要的检查和协调。内部环境要有效,董事会必须至少大部分上独立外部董事。诚信和道德价值观实体的战略和目标及其执行和完成的方式,是以优先选择、价值判断和管理风格为基础的。管理部门的诚信和对价值观的承诺会影响优先选择和价值判断,被认为是行为标准。由于实体的良好声誉是如此重要,行为标准必须超越仅仅遵循法律的范畴。运行良好的企业的管理者越来越接受这样一种观点,道德付出及道德行为是获利的买卖。管理诚信在实体活动的所有方面都是道德行为的先决条件。企业风险管理的有效性不可能置于创造、管理和监管实体活动员工的诚信和道德价值之外。诚信和道德价值是环境的核心要素,影响着设计、管理和监管其它企业风险管理组成部分。建立道德价值经常是很困难的,因为需要考虑几个方面的利害关系。管理价值必须协调企业、雇员、供应商、客户、竞争对手和公众的利益。协调这些利益是很复杂且令人头疼的,因为各方利益总是不一致。例如,提供基本产品(石油、木材或食品)可能会导致环境方面的关注。道德价值和管理诚信是企业文化的副产品,(企业文化)包含了道德和行为标准,及其是如何传达和加强的。正式的政策说明了什么是董事会和管理部门所希望发生的。企业文化则决定了什么是实际发生的,以及哪些规则得到了遵守、屈服和被忽略。高层管理部门——从CEO开始,在决定企业文化中起到了关键作用。作为实体当中的统治人物,CEO经常设定了道德基调。某些结构因素也会影响欺骗性和有疑问的财务报告实践的可能性。那些同样的因素还有可能影响道德行为。个体从事不诚实、违法或不道德的行为,可能仅仅是因为实体给他们提供了强烈的动机或诱惑。对结果不恰当的强调,尤其是在短期会培育不适当的内部环境。仅仅注重短期结果,甚至在短期内会造成损害。集中于底线——销售或无论如何利润,经常会产生未寻求的行为和反应。比如,很大压力的销售战术,协商时的无情或暗示提供回扣,可能会产生有直接(且持久)效果的反应。从事欺骗性或有疑问的报告实践的动机,以及扩展来看,其它形式不道德行为的动机,包括高度依赖于报告财务业绩的报酬,尤其是短期结果,和红利计划的上下限。消除或减少不正确的动机和诱惑,对除去不合需要的行为大有帮助。有人建议,遵循合理且获利的经营实践可以实现这一点。例如,业绩激励——同时合理控制,可以是有益的管理技巧,只要业绩目标是现实的。设立现实的业绩目标是一项合理的动机实践;它减少了达不到预期目标的压力,和欺骗性报告的动机。类似地,一个控制良好的报告系统可以防止对业绩作虚伪叙述的诱惑。另一个导致可疑实践的原因是忽视。道德价值必须不仅仅传达下去,还要有关于对错的清晰指导伴随。正式的企业行为规则,是有效道德规划的基础,且很重要。规则表述了各种各样的行为问题,比如诚信和道德,利益冲突,违法或其它不正确的支付,以及反竞争的安排。员工感觉舒适的向上传达的渠道,会带来相关信息,也是很重要的。存在书面行为规则,员工收到并理解的文献,以及适当的交流渠道,并不能确保规则得到了遵守。遵守道德标准,无论在书面行为规则中是否体现,由高层管理部门的行为和榜样是最好的保证。尤其重要的是,对员工违反这些规则因而产生的处罚,鼓励员工报告可疑违反行为的机制,以及对不能报告违反行为的训诫性作用。员工可能会形成与高层管理部门相同的关于对与错(及关于风险和控制)的态度。管理部门在这些情形下的举动所传达出来的信息,很快会根植在企业文化当中。而且,当得知CEO在面对一项棘手的业务决策时道德地“做出了正确的事情”,会在全实体内传达有力的信息。4、目标设定本章综述:每一个企业都面临着一系列来自外部和内部的风险,有效的事件的鉴别、风险确定、以及对风险的对策的预测都是目标确定的依据,和不同的水平不同的内部机构相联系。目标是在战略层面上确定的,为经营操作、报告、目标的服从提供依据。目标的确定是和企业风险特点相联系的,并且该目标推动企业活动承受风险的水平。目标设定是有效的事件的鉴别、风险确定、以及对风险的对策的预测。管理之前必须首先设定目标,该目标能够鉴别企业为完成任务的风险,然后采取必要的措施来管理风险。战略目标企业设定的目标是企业渴望得到的成就。无论用什么词,“任务”、“梦想”或“目的”,管理当局从广泛监管的角度明确的确定企业存在的广泛原因是非常重要的。因此,管理当局确定它们的目标,形成战略并且确定组织的相关目标。当企业的任务和战略目标稳定下来后,他的战略和相关目标更加有动力,并且要根据内部外部条件的改变进行调整。战略目标是高层目标,和企业任务相关,并且支持这些目标。战略目标反映了管理层的选择,例如,企业如何选择来为股东创造价值。在考虑达到战略目标的替代战略时,管理层要鉴别和战略选择相关的风险,并且要考虑对这些风险的对策的应用。在以后各章进行讨论的各类事件的鉴别以及风险确定的技术可以在应用于战略制定过程中。用这种方式,企业风险管理技术被应用于战略和目标的确定过程当中。相关目标34/34 相对于所有的企业活动来说,确定支持和选择的战略相符合的正确目标对成功来讲是非常重要的。通过首先集中于战略目标和战略,一个企业被定位于完善操作水平上的相关目标,这些目标的获得将会产生和保留价值。每一组目标和更多的特殊目标相联,这些目标在组织内部层叠,为各种活动确定的目标,例如销售生产工程以及结构功能。通过为企业和活动确定目标,一个企业可以鉴定重要的成功因素。这些主要的事情必须成功,为了保证目标能够获得。主要的成功因素在一个企业,单位,职能,部门内部存在。通过确定目标,管理者可以为业绩鉴别计量规则,这种计量规则主要以主要的成功因素为关注点。在和以前的业绩和活动相一致的目标的地方,活动之间的连接是指导的。然而,在和企业过去活动分离的新目标存在的地方,管理层必须明确他们之间的关系,以及经营的增加的风险。在这些案例中,对单位内部和新方向相关的目标的需要是非常重要的。需要被计量和理解的目标企业风险管理要求所有水平上的职工都理解企业目标,既然他们和企业环境相关。所有的职员必须有对关于什么能够获得以及正在获得的计量方式达成共同的理解。相关目标的分类:尽管企业内部目标的多样性,应该确定一定的广泛分类:经营目标—这些适合企业经营的有效和有效率的目标,包括业绩和盈利目标,保护资产安全。这些目标因为管理者对机构和业绩的选择而不同。报告目标—这些适合报告可靠性的目标,包括向内部和外部报告关于财务和非财务的信息。服从目标—这些适合坚持相关法律的规则的目标,依赖于外部因素,例如在所有企业中类似的环境规则。某些目标是由企业所处的行业决定的。互助基金必须每日评估所持证券的价值,而其他行业也许就一个季度作一次这种评估。所有公开交易的证券都必须满足SEC信息披露要求。这些外部强加的目标是由法律和法规确定的,既属于遵从性目标,也属于外部财务报告目标。相反地,经营目标,以及内部管理报告目标,都是以偏好、判断和管理风格为基础的。由于人们接触的信息不同、胜任能力和诚实度不同,他们会选择不同的目标,由此,这些目标在企业间就有很大区别。例如,就产品开发而言,一个企业也许会选择成为一个早期的开拓者,另一个企业也许会选择成为快速的跟进者,而另外一个企业则是落伍者。这些选择将会影响到研究开发部门的结构、技能、人事及其控制。对于所有的企业而言,并没有一个普遍适用的最优目标的公式。经营目标经营目标和企业经营活动的效果和效率相关,包括企业在朝最终目标迈进的过程中为加强经营效果和效率的子目标。经营目标必须反映企业所处的特定业务、行业及经济环境。例如,这些目标应该和企业的质量竞争压力相关,减少循环周转的时间以给产品带来市场或技术变化。管理层应确认这些目标反应了现实和市场的需求,并采取有意义的业绩评估方法。一个和其子目标相关联的明确的经营目标集,是企业成功的基础。经营目标提为直接配置资源提供了一个焦点;如果一个企业的经营目标并不明确,那么,其资源也不可能得到很好的配置。报告目标可靠的报告为管理当局提供精确和完整的信息,这些信息对达成其目的是恰当的。它支持管理当局做出决策并监控企业的活动和业绩。这些报告的例子有:市场营销计划、每日销售报告、产品质量、以及雇员和客户的满意度报告。可靠的报告为管理当局编制可靠的报告提供合理的保证。这些报告包括财务报表及其附注、管理当局讨论分析报告以及其他提交给监管机构的报告。遵从目标企业必须管理其活动,并经常采取特定的措施,以遵从相关法律和法规。这些要求可能和市场、定价、税收、环境保护、雇员福利以及国际贸易有关。可应用的法律法规为企业行为设定了最低的行为标准,企业将这些行为标准整合于其遵从目标中。例如,岗位安全和健康的法规可能使一个企业这样界定其目标:“”。在这个例子中,政策和程序将处理沟通程序,定点视察和培训。一个企业的遵从记录能非常显著地——积极地或消极地——影响它在社区和市场中的声誉。目标的重叠一种目标可能会重叠或支持其他目标。一个目标属于哪个目录项有时取决于环境。例如,提供可靠的信息给业务单位管理当局以管理和控制生产活动,可能也能达到经营和报告目标。而且,信息被用来报告环境数据给政府时,也满足了遵从性目标。__有些企业使用另外一种目标目录,“保护资源”,有时指的是“保护资产”,这和另一个目标目录相互重叠。更广地看,保护资产在于防止企业资产或资源的损失,不管是偷窃、浪费,还是无效率或失败的商业决策,比如:以低价销售产品,未能留住关键职员,阻止专利权受到侵害,或发生不可遇见的负债。虽然保护资产的某些方面34/34 从属于其他目标,但这些主要都是经营目标。法律或法规有所要求的地方,这些目标就成为了遵从性目标。另一方面,在企业的财务报表中适当地反映资产损失其实也是报告性目标。当和公开报告一起使用的时候,对保护资产往往使用更狭义的定义,即阻止或及时发现未经授权的资产的获得、使用和处置。对这个目标目录的更深一层的讨论,可以参考《内部控制——整体框架》,包括《对外部主体报告的增补》模块。目标的达成设定目标是企业风险管理的要素之一。虽然目标对企业从事活动的指向提供量化的“靶子”,但他们也可能有不同程度的重要性和优先级。尽管一个企业对某些目标的达成可能会有合理的保证,但并非所有的目标都是这样。有效的企业风险管理对企业的报告性目标的达成提供合理保证。相似地,对遵从性目标的达成也会有合理的保证。达成报告性目标和遵从性目标往往在企业的控制之内。也就是说,一旦这些目标被确定下来,那么企业对自己需要做什么以达成这些目标就有一个把握。但是,对于经营性目标,情况就有所不同,这有好几方面的原因。一个企业可能会照意愿经营,但也会被竞争对手超越。这要看外部的事件——如政府的变更,恶劣的天气等等——这些事件的发生都在控制范围之外。也有可能在目标设定过程中就已经考虑到这些事件,并以一个较低的概率来对待它们,同时,一旦它们发生了就有一个意外事故的计划来应对。然而,这种计划只是减轻了外部事件的影响。它并没有确保目标能达成。企业对经营目标的风险管理主要集中于:保证组织的目标的一贯性;识别关键的成功因素和风险;评估这些关键风险并做出反应;实施适当地风险反应措施;建立需要的控制;及时报告业绩和期望。对于这些目标,企业风险管理能提供合理保证:以及时的方式使管理当局(在监督方面是董事会)被告知企业朝这些目标接近的程度。选定的目标作为企业风险管理的一部分,管理当局应确保企业已经选定了目标,并考虑这些目标如何支持企业的战略和愿景。企业的目标也应该也企业的风险偏好水平相一致。这两者不一致也许会导致一个企业不能接受足够的风险来达成目标,也可能导致接受不适当的风险。有效的企业风险管理并没有规定董事会和管理当局应该选择哪些目标,但是却要求将企业的目标和远景、战略想匹配,即选定的目标必须和企业的风险偏好相一致。风险偏好风险偏好,是由管理当局制定并经董事会复核的,是企业在战略设定中的路标。有些公__司可能将风险偏好表达为增长、风险和回报之间可接受的平衡,也可能是风险调整后的股东价值。非盈利性组织也许将风险偏好表达为它们在为利益相关者提供价值时愿意接受的风险。在企业风险偏好及其战略之间有一个关系。通常,诸多战略中的任何一个都可能被设计来达成预期的增长和回报目标,而增长和回报有不同的风险。企业风险管理,应用于战略设定时,能抱住管理当局选择一个和其风险偏好相一致的战略。如果和某个战略相关的风险和企业的风险偏好不一致,那么,战略就应该修正。当管理当局起初设定的战略超出了企业风险偏好,或当战略未能包含足够的风险允许企业达成远景,都有可能出现这种战略被修正的情况。企业的风险偏好反映在企业战略中,反过来也引导了资源的配置。管理当局在企业范围内配置资源,是考虑了企业的风险偏好以及个体商业单位战略计划,以对投资的资源产生预期的回报的。管理当局试图把组织,人员,过程和组织的基础部分结合在一起,以有效地实现战略并使企业能处于风险偏好水平之内。风险容忍度风险容忍使相对于目标的达成而言的可接受的变动水平。风险容忍能被量化,并经常用相同企业的相关目标来计量。将业绩计量同它结合在一起,能帮助实际结果处在可接受的风险容忍水平之内。在设定风险可容忍水平时,管理当局应考虑相关目标的相对重要性并将风险偏好和风险容忍水平结合起来。在风险容忍水平之内进行经营活动,使得管理当局有更大的把握确保企业维持在风险偏好之内,反过来也能确保企业达成其目标。5、事件识别本章概览:管理层对影响一个企业成功实现战略达到目标的能力的潜在事件进行识别。具有潜在负面影响的事件代表了风险,要求管理层对其进行评价并做出反应。而具有潜在积极影响的事件可能抵消负面的影响或者代表了机会。管理层将机会引回到战略和目标设定过程。多种内部和外部的因素会引起事件的发生。管理层在识别这些潜在的事项时,需要从整个企业范围内加以考虑。管理层在企业经营和风险接受度内考虑事项的相互关系。事件事件是指源于内部或外部的可能影响企业战略贯彻或目标达成的事项。事件可能会有正面的影响,也可能会有负面的影响,甚至会有正负两面的影响。作为事件识别的一部分,管理层认识到不确定性的存在,但不知道该事件何时发生,或者会有什么后果。管理层初始阶段考虑一系列的潜在事件——受到内部和外部因素的影响——而不必要关注该事34/34 件的潜在影响是正面的还是负面的。潜在事件可能是明显的,也可能是模糊的,其影响可能是正面的,也可能是负面的。为避免忽略相关的事件,最好将事件的识别与事件发生的可能性评估分开进行,后者是风险评估的主题。然而,实务中存在一定的限制,通常很难知道两者之间的界限。但是,如果对达到一个重要目标而言其潜在影响很大,则即使潜在事件发生的可能性很小,管理层在事件识别阶段也不应该忽略。影响战略和目标的因素事件如何潜在地影响战略的贯彻和目标的实现,受到无数的内部和外部的因素影响。作为企业风险管理的一部分,员工认识到了解外部和内部因素的重要性以及事件发生的类型。管理层考虑当前的因素以及那些可能在将来出现的因素。外部的因素包括:经济和商业——相关的事件可以包括新兴的竞争者和市场的变动。管理层考虑诸如物价变动的宏观因素,以及诸如具有新替代产品的竞争者的出现等微观条件。自然环境——这类事件可能包括诸如洪水、火灾或地震等自然灾害以及可持续发展因素。政治因素——事件包括新近选举的政府官员,行政议程以及新的法律法规。社会因素——包括人口变动、新的食品生产和准备方法,家庭结构变动以及工作/生活取向等等事件。科技因素——包括电子商务的发展、数据有用性的扩张以及间接成本的降低等事件。事件也可能源自管理层关于其如何运作所作的选择。企业的能力和生产量反映了以前的选择,影响将来的事件并影响管理层的决策。内部因素包括:间接成本——事件包括未预期的修理成本或设备不能满足生产需求等。员工——事件包括在职事故数量的增加、人为错误或舞弊行为的增加等。程序——包括产品质量缺陷、未预期的停工或服务延期。工艺——包括不能维持足够的持续工作时间、处理增加的数量、所需数据的传输完整或公司所需系统的修正。确定影响事件的外部和内部因素对有效的事件识别是有用的。一旦确定了主要的影响因素,管理层就能够考虑这些因素的重要性,并在可能的情况下将内部和外部因素与影响目标的潜在事件的识别联系在一起。在大多数情况下,为了设定的或潜在的目标,需要识别不同的因素和相关的事件。除了从企业的层次来识别事件外,还需要从活动的层次来确定事件。这帮助将精力集中在如销售、生产、市场开拓、技术开发以及研发等主要的企业部门或职能的风险评估上来。评估活动层次的事件也有利于将企业的风险预测和风险偏好结合起来。事件识别方法和技术一个企业的风险识别方法可以包括很多的技术以及支持的工具。例如,管理层可以将交互式团体工作作为事件识别方法的一部分,并使用一系列的技术工具来帮助参与。事件识别技术注意到过去和未来的事件。关注过去事件和趋势的技术考虑诸如支付违约历史、商品价格变动以及空置时间事故等事务。而关注未来事件的技术则考虑诸如人口变动、新市场条件以及竞争者行为等事件。从复杂性水平而言技术有很大的不同。尽管很多较复杂的技术有行业特殊性,大多数技术来自普通的方法。例如,金融服务业和健康保险业都使用损失事件跟踪技术。尽管这些技术始于对通常的历史事件的关注,更为基础的方法则是根据内部员工的感知来注意潜在的事件,而更高级的技术则基于实际观察事件——并将所得的数据输入复杂的映射模型。在企业风险管理上较先进的公司将采用既考虑过去又考虑潜在未来事项的联合技术。在一个企业中在不同的地方也会使用不同的技术,一些技术关注详细的数据分析并对事件形成一个自下而上的观点,而另一些技术则从上而下进行。表5.1提供了事件识别技术的例子。事件列表——这些是一个特定行业中的公司,或者行业中一个特定的程序或活动中经常发生的潜在事件的详细列表。软件产品能产生相关事件的列表以及与这些事件相关的风险。一些企业使用这类表格作为事件识别活动的起点。例如,担任软件开发项目的公司可以列出一张表格,详细列出与软件开发项目相关的普通事件。内部分析——这项工作可以作为企业计划循环过程的一项常规部分,典型地是通过企业部门的员工会议来进行。内部分析有时使用其它利益相关者的信息(客户、供货商、其他企业部门)或者部门外的专家意见(内部或外部的专家或内部审计人员)。例如,一家公司考虑引进一条新的生产线,公司会使用自身的历史经验,同时考虑外部市场研究确定的对竞争者产品的成功有影响的事件。增加或极限扳机——这些扳机让管理层通过对当前交易或事项与预先确定的原则进行比较,警惕应关注的潜在区域,一旦触发,管理层需要对事件进行进一步的评估或立即采取应对措施。例如,管理层可能通过监控市场上的销售量来确定新的营销或广告项目目标,并根据结果重新确定资源的使用。或者,管理层可以跟踪竞争者的定价结构并34/34 考虑在特定的极限满足时,自身产品价格的变动。推动讨论和会谈——这些技术通过有组织的讨论来利用管理层、员工以及其他的利益相关者所累积的知识和经验,从而确定相关的事件。组织者引导关于可能影响到企业或部门目标实现的事件的讨论。例如,财务经理可以组织一个由会计工作人员组成的工作组,来确定对公司外部财务报告目标有影响的事项。通过工作小组集体的知识和经验,可以确定重要的潜在事项,使其不会被遗漏。主要的事件指示器——通过监控与事件相关的数据,公司确定可能引起事件发生的条件的存在性——通常被称为主要的事件指示器。例如,金融机构长期以来发现延期贷款支付与最终的贷款违约之间的关系,以及早期介入的积极影响。通过及时的行动来监控支付模式可以使违约的潜在性减轻。损失事件数据法——过去单个损失事件的数据库是用来确定发展趋势和根源的一个有用的信息渠道。一旦确定了根源,管理层可以发现,对事件进行评价和处理是一个比关注单个事件更有效的解决方法。例如,一个经营很大的快速汽车的公司保有一个事故索赔的数据库,通过分析发现在数量和金额上事故的百分比与特定部门、区域和年龄组的驾驶员之间不成比例。这个分析使管理层确定事件的根源并采取必要的行动。流程分析——这个技术将投入、人物、责任和产出结合起来考虑并使之形成一个程序。通过考虑影响投入或一个程序的行动的外部和内部因素,企业确定能影响程序目标实现的事件。例如,一个医学实验室将血样的收集和测试画成流程图。使用流程图,该企业可以考虑那些可能影响投入、任务和职责的因素范围,确定与血样标签、程序内的传递以及员工替换变动相关的风险。不同公司之间在事件识别的深度、广度、时间跨度以及培训方面有很大的不同。管理层选择适用于其风险文化的方法,并确保公司建立所需的事件识别能力以及支持技术和工具在恰当的位置发挥作用。总的来说,公司需要完备的事件识别方法,因为这是风险评估和风险应对部分的基础。事件的相互依赖事件并不是孤立地出现。一个事件可以引起另一个事件,不同的事件也可以同时发生。在事件识别中,管理层应该了解事件之间是如何相互关联的。通过对事件之间的内在关系的评价,我们可以确定指引风险管理努力发挥最好的作用。例如,中央银行利率的变动会影响外汇汇率,进而会影响公司的货币业务的盈亏。一个减少资本投资的决策延迟管理层分发系统的提升,引起额外的停工期和经营成本的上升。一个扩大营销培训的决策可能使顾客订单的重复频率和数量增加。事件的种类将潜在的事件进行分类可能是有用的。通过整个公司的横向汇总和经营单位的纵向汇总,管理层对事件之间的内在联系有了了解,从而获得进一步的信息,并将其作为一个风险评估的基础。将类似的潜在事件集合在一起,管理层可以更好地确定潜在的机会和风险。事件分类也使管理层考虑事件识别努力的完备性。例如,公司可以将与债权回收相关的潜在事件划分为一个叫做债权违约的简单类别。通过检查这个类别的潜在事件,管理层能够测量其是否已经确定了与债权违约相关的所有重要潜在事项。另外,事件分类能够加强管理层对整个企业的事件形成一个企业的组合观。一些公司已经根据目标的类别建立了事件种类——使用一个高级目标的层次,然后根据与组织单位、职能或经营过程有关的目标分解下去。表5.2列示了一个根据内部和外部因素进行事件划分的方法,该表的大类代表了内部和外部的因素,可以通向列示的例证性事件的类型。区别风险和机遇事件可能会有负面影响,也可能会有正面影响,或者正负两面的影响都有。具有潜在负面影响的事件代表着风险,要求管理层进行评估并采取应对措施。相应地,风险是指事件可能发生的概率以及对实现目标的反面影响。具有潜在正面影响的事件代表着机会,或者对风险的负面影响的抵消。代表着机会的事件被追溯到管理层的战略或目标设定过程,从而形成行动去抓住机会。潜在的抵消风险负面影响的事件将在管理层的风险评估和风险应对中加以考虑。6.风险评估本章概览:企业通过风险评估来考虑潜在事件对目标达成的影响程度。管理层应从两个方面对事件进行评估——可能性和影响——通常将定量和定性方法结合起来考虑。应在企业层面上,检查潜在事件的正负两方面影响,根据单个事件或者根据类别进行。对潜在负面影响的事件应分别从固有风险和剩余风险的基础上进行评估。风险评估的语境34/34 正如前面章节讨论的那样,外部因素和内部因素影响着可能出现的事件以及该事件对企业实现目标的影响程度。尽管一些因素对一个行业的公司而言是通用的,但对一个具体的企业而言则可能有很多独特的影响因素,因为这些企业设立的目标以及过去的选择有所不同。在风险评估中,管理层将与企业相关的潜在未来事件和业务活动结合起来考虑。这限定了形成企业风险特征的检查因素——包括企业规模、经营的复杂性以及企业活动的监管程度—并影响用来评价风险的方法。固有风险和剩余风险管理层既要考虑固有风险又要考虑剩余风险。固有风险是指一个企业缺乏任何用来改变风险的可能性或影响的措施时面临的风险。剩余风险则是指在管理层对风险采取了应对措施之后剩余的风险。在对风险进行评价时,管理层需要考虑预期和未预期潜在事件的影响。很多事件是常规的并重复出现,并且已经列示在管理层的计划和经营预算当中。而其他一些事件则是不可预期的,通常发生的可能性很低但其潜在的影响却很大。管理层通常对这种未预期的事件单独采取应对措施。然而,不管是预期的还是没有预期的事件,都会存在不确定性,并且都会对战略的实施和目标的实现产生潜在的影响。相应地,管理层评估那些可能对企业产生重要影响的所有潜在事件的风险。风险评估首先对固有风险进行。一旦建立了风险应对措施,管理层开始使用风险评估技术对剩余风险进行评估。对可能性和影响进行估计潜在事件的不确定性通过两方面进行评价——可能性和影响。可能性代表了一个特定事件发生的可能性,而影响则代表了该事件产生的后果。可能性和影响是通常采用的术语,尽管一些企业使用概率、严重性或后果等术语。有时这些词语具有更特别的内涵,比如“可能性”用诸如高、中、低等定性术语或者其他一些判断标准来表明一个特定事件发生的可能性,而“概率”则可以用来表明数量计量的结果,如百分比、发生频率或者其他的数字度量。管理层可以选择采用诸如预期的估计或者坏情况评价,或者一个范围或分布区域等术语,来表达潜在的可能性和影响。也可以将确定的和评价风险用数据或图表的形式来描述。风险映射是一个例子,它通过事件的分类、组织的目标以及其他的分组来描述风险。这有利于在包括组织的、企业部门的、职能的或程序的多个层次上报告风险。决定对一个企业所面对的大批风险进行评估需要投入多大的关注,是一件有难度的并有挑战性的工作。管理层意识到,一个发生的可能性很低且影响很小的风险通常不必要保证进一步的考虑。而另一方面,发生的可能性很高并且潜在影响很大的风险则需要投入很大的精力进行关注。而在这两个极端之间的情形则通常需要很难的判断,进行理性并且谨慎的分析是很重要的。由于风险是放在一个企业的战略和目标环境中进行评估的,管理层自然的倾向是关注短期和中期的风险。然而,战略方向和目标的一些组成部分延伸至较长的期限。因此,管理层需要认知更长的时间框架,避免忽略那些可能远期之外的风险。一家在加里福利亚经营的公司需要考虑地震中断企业经营的风险。没有一个特定的风险评估期间,地震超过里氏6.0级的可能性是高的,可能实质上就是确定的。而另一方面,两年内发生这样一个地震的可能性是非常低的。通过建立一个世间跨度,企业对风险的相对重要性有了进一步的认识,并且提高了比较多重风险的能力。管理层经常采用业绩计量指标来决定所达成目标的程度,并且在考虑一项风险对特定目标的实现的潜在影响时,通常使用相同的计量指标。例如,一家目标是将客户服务维持在一个特定水平上的公司,会为这个目标设计一个评级或其他的计量指标——比如客户满意指数、投诉的次数或者回头率等等。在评价一项可能影响客户服务的风险时——比如一段时间内公司网站不能使用的可能性——最好用相同的计量指标来计量影响。使用可观察的数据通常使用从过去可观察的事件中得出的数据来估计风险的可能性和影响,相对于完全的主观估计而言,这些过去事件的数据可以提供一个更为客观的基础。企业自身经验产生的内部数据可以反映更少的主观个人偏见,并能够提供比外部渠道来的数据更好的结果。然而,即使内部产生的数据是一个初始的输入,外部数据作为一个关卡或者对提高分析而言还是有用的。当使用过去的事件来对未来进行预测是应该谨慎,因为随着时间的不同,影响事件的因素可能发生变化。管理层评价因设备无法运行而使生产中断的风险,首先是看其以前发生的自身制造设备部件无法运行的频率和影响。然后补充行业基本情况的数据。这就使故障发生可能性和影响的估计更为准确,并使预防维护的工作表更为有效。定性和定量的方法和技术一个企业的风险评估方法包括定量和定性的技术。管理层在风险不能量化、或者不能取得定量评价所需的足够可靠的数据、或者实践中没有实用性、取得或分析数据不符合成本效益原则时,经常采用定性的评估技术。定量技术可以34/34 带来更高的精确性并作为定性技术的补充运用于更为复杂的活动中。定量评价技术通常对努力和精确的程度要求更高,有时采用数学模型进行。定量技术根据采用的数据和假设的质量,并与已知历史和变动频率以及允许可靠预测的风险最相关。表6.1提供了定量风险评估技术的例子。基准法——一个组别企业之间的合作过程,基准方法关注特定事件或程序,采用普通的度量方法将计量指标和结果进行比较,并确定改进的机会。事件、程序以及计量的数据用来比较业绩。一些公司使用基准法来评价整个行业潜在事件的影响和可能性。概率模型——概率模型根据已定的假设将一系列事件及导致的后果与那些事件的可能性联系起来。根据历史数据或者类似的反映未来行为假设的产出来评价可能性和影响。概率模型的例子包括在险价值、在险现金流量、在险盈余和信用发展以及经营损失分配。概率模型可用在不同的时间范围,来估计诸如金融工具随着时间变动产生的价值变动范围,也可以用来估计预期的或者平均的影响以及极端的或非预期的影响。非概率模型——非概率模型使用主观的假设来估计一个没有定性的相关可能性事件的影响。根据历史的或者类似的数据以及未来行为的假设来估计事件的影响。非概率模型的例子包括敏感性测量、压力测试和情景分析。使用定性评价技术来获得可能性和影响的一致性,企业可以采用事件识别时相同的方法,比如会谈和工作组方式。风险自我评价过程采用描述性的或者数字化的度量指标来抓住参与者对未来事件潜在的可能性和影响的观点。企业不需要在所有的单位中使用通用的评估技术。而且对技术的选择应该反映该单位中的文化以及所需的精确度。然而,单个企业部门采用的方法应该有利于整个企业的风险评估。一个企业部门使用自我评价问卷调查表来识别和评价一个程序水平上的风险。另一个部门采用工作组的方法来识别和评价一个程序水平上的风险。风险的评价建立在固有风险和剩余风险的基础上,然后根据两个部门的目标和风险类别进行组织和分类。当一个事件的所有个别风险都以定量指标来表示,则管理层能够计量该事件在企业范围内的影响。例如,能源价格的变动对毛利的影响是通过企业各个部门来计算的,进而决定了企业整体范围的影响。当存在定性和定量的混合计量时,管理层将定性和定量指标结合起来形成一个定性的评价。评价的结果以定性指标的形式表示。建立一个企业范围内普遍适用的可能性和影响的专用术语,以及定性计量的通用风险类别,有利于风险的综合评价。事件的关系管理层可以对事件如何相关、事件结合的后果以及相互作用产生不同的可能性或影响进行评估。单一事件的影响可能是微不足道的,而一系列事件则可能有重大的影响。管理层可以使用压力测试来评价极端事件的影响,并可以使用情景分析来评估多重事件的后果。在潜在的事件没有直接的关系时,管理层对这些事件进行单独的评价,例如,拥有多个企业分部的公司面临的价格波动风险——如纸浆的价格和能源价格——公司将根据各自的市场变动情况来评估风险,该评估的结果可以用一个分布图、一组潜在的可能性和影响或者一些其它的方式来表示。风险能够在企业多个分部中出现,管理层可以对其进行评估并将识别的风险归入通用的事件类别。例如政府利率的变动影响到一个金融服务企业多个业务部门。一个车库的燃气罐的阀门老化致使燃气泄漏;车库的门是关闭的,来保持邻近的办公室的取暖;车库们的远程控制装置被卡车驾驶员将车开进车道而启动,同时存在气体以及车库开启者发动车辆的火花导致了一场爆炸,这些单独的事件联系在一起而导致一个重大风险。观察风险的可能性和影响的相互关系是管理层的一项重要的责任,有效的企业风险管理要求风险评估应该根据固有风险和伴随风险应对措施而来的风险(下章讨论)来进行。表6.2列示了本章所述的风险评估的关键要素。7.风险应对本章概览:已经评价了相关风险,管理层应决定采取相应的应对措施。应对措施包括风险规避、减轻、分担和接受。在考虑风险应对措施时,管理层考虑成本效益关系,根据企业期望的风险承受度,选择一个可带来预期可能性和影响的应对措施。确认风险应对措施风险应对措施可以分为以下几种:规避——采取措施退出引起风险的活动。风险规避可以包括退出一条生产线、减少一个新市场的扩张,或卖掉一个分部等。减轻——采取措施来减轻风险的可能性和/或影响,可以包括企业日常经营活动中的任何一个决策中;34/34 分担——采取措施,通过转移和分担一部分风险来减少风险的可能性或影响,通常采用的风险分担技术包括购买保险产品、风险共担技术、进行套期保值交易或者将一项业务外包。接受——不采取任何措施来影响可能性或风险。表7.1提供了上述类别中的风险应对措施的例证。规避——一个非盈利组织对其员工提供的直接医疗服务的风险进行识别和评估,决定不接受相关联的风险,该组织决定提供一个转诊介绍服务来替代;减轻——一个证券清算公司对其系统失效3个小时以上的风险进行识别和评估,得出不能接受这样一个事件发生的影响,公司对提高自我检查失败和减少系统失灵的支持系统技术进行投资来减轻该风险;分担——一所大学对管理学生宿舍相关的风险进行识别和评估,得出结论,认为学校没有必备的内部能力来有效地管理大的住宅资产,学校将宿舍管理外包给一家资产管理公司,能更好地减轻资产相关风险的影响和可能性。接受——一个政府机构对火灾引起的不同地理区域基础设施的风险进行识别和评估,并评估了采用保险来分担该风险影响的成本,得出结论,认为保险的增量成本与相关的支出超过可能的重置成本,因而决定接受该风险。风险规避措施是在其他应对措施的成本超过期望的收益,或者可供选择的措施不能将影响和可能性降低到一个可接受的水平的情况下采取的。风险减轻和风险分担应对措施将剩余风险减少到与企业风险承受度相一致的水平,而风险接受应对措施则表明固有风险已经在企业的风险承受度以内。对许多风险而言,恰当的风险应对选择是显而易见的,企业能很好地接受。例如,对计算实效的损失恰当的风险应对措施是建立企业持续计划。而对其他风险,可供选择的方法可能没有那么明显,要求进行更深入的识别活动,例如与减轻竞争者行为对品牌价值影响相关的应对措施可能要求市场研究测试和分析。作为企业风险管理的一部分,企业对重大风险从一系列应对措施中考虑潜在的应对措施,这体现了风险应对选择的足够深度,同时也对“现状”提出了挑战。一个大的软件开发商考虑对其建筑物进行保险以避免火灾破坏。在分析了与建筑物损失相关的风险的过程中,发现火灾的绝大部分影响不是建筑物的财务损失,而是员工流离失所和经营的中断。公司认为自身有重建建筑物的能力,并得出不需要对建筑物进行火灾保险的结论。公司将接受建筑物财务损失的风险,而选择将资源重新配置来解决在损失之后如何利用和装备员工的问题。在决定采取可能的应对措施时,管理层应该考虑以下事务:评价可能的风险应对措施对风险可能性和影响的效果——以及哪一个风险应对措施与企业的风险承受度保持一致;评估可能的风险应对措施的成本与效益;在处理特定风险之外,对达到企业目标可能存在的机会。评价可能的风险应对措施根据要达到与企业风险承受度相一致的剩余风险水平的意图,来分析固有风险和评价应对措施。任何一种风险应对措施的剩余风险应该与企业的风险承受度相一致。有时将几种应对措施结合起来可以达到最佳效果。类似的,特定的应对措施可能解决多种潜在事件的风险,因为风险应对措施可以解决多种风险,管理层可发现不必要保证采取额外的措施,现有的程序可能是足够的或者需要得到更好地执行。相应地,管理层考虑个别应对措施或者联合应对措施如何相互作用来影响潜在的事件。评价应对措施对可能性和影响的后果在评价应对措施的选择时,管理层考虑其对风险可能性和影响的后果,并了解一项应对措施可以对风险的可能性和影响产生不同的后果。在评估风险的可能性和影响的潜在应对措施时,可以考虑过去的事件及其趋势,以及潜在的未来情况。在评价可供选择的应对措施时,管理层代表性地会使用与目标以及在风险评估中建立的相关风险相同的计量单位。评估成本效益资源总会受到约束,企业必须考虑可供选择的风险应对措施的相对成本和效益。对执行风险应对措施的成本和效益计量可采用不同的精确水平,总的来说,在许多情况下等式中成本一方是比较容易处理的,并能相对精确地以数量来计量。通常要考虑组成一项风险应对措施的所有直接成本以及实务中可计量的间接成本。有些企业也会将与使用资源相关的机会成本考虑在内。在其他一些情况下,对成本进行量化则可能比较困难。对投入的时间和精力进行量化,或者管理特定的内部因素比如管理层道德价值义务以及执行事件识别和风险评估的员工的胜任能力进行量化都是比较困难的。在采集外部信息——比如关于客户偏好演进的市场信息——也是比较困难的。效益方面的评价可能更为主观。例34/34 如有效的培训计划项目,其效益通常是明显的,但很难进行量化。但在评估潜在的效益过程中可以考虑特定的内部因素:不利事件发生的可能性、事件的性质以及事件对企业可能有的潜在的财务或经营的影响。当评估成本和效益存在挑战时,成本效益分析应该在这样一个水平上进行,即足以评价一个个别风险或组合基础上的风险应对措施。一些企业可以选择诸如附加资本要求等专用术语来评价风险应对措施——比如投资回报率或在险资本——并可以考虑诸如通货膨胀、折扣率和敏感性分析等事项。风险应对措施中的机会事件识别描述了企业风险管理如何来识别影响企业目标实现的事件——正面影响或者负面影响。具有潜在的正面影响的事件代表着机会,并返回到企业的战略和目标设定过程。相似的,在考虑风险应对措施时,应确认具有潜在重要的有利结果的机会,管理层可以辨别创新的措施——虽然符合本章前文中所述的风险应对措施类别,但对企业或整个行业而言则可以是全新的。这样的机会可能是表面的,当现存的风险应对措施达到有效性的极限,进一步的改进可能对风险的影响或可能性没有多少作用。例如汽车保险公司对特定的十字路口大量的事故创建的应对机制就是一个例子——公司决定投入资金来提高交通信号灯,从而减少事故投诉并提高利润。所选的应对措施一旦对可供选择的目标应对措施的结果进行了评价,管理层就要决定如何来管理风险。有效的企业风险管理要求选择一个应对措施或者将几个应对措施结合起来,将预期的风险可能性和影响控制在风险承受度内。一旦管理层选择了一个应对措施,就要建立一个执行计划来将此应对措施进行贯彻,并根据剩余风险重新校定风险。另外,需要采取一定的程序来确保管理层对这些措施进行有效的执行,这些程序就是控制活动。管理层意识到总会存在一些剩余风险,不仅是因为资源是有限的,而且因为所有的活动所固有的未来部确定性以及限制。迭代程序评价可供选择的应对措施的固有风险时,要求考虑可能来自该应对措施本身的风险,这可能在管理层形成最终决策前迅速执行一个迭代程序,要考虑来自应对措施的风险,包括那些可能不会立即发生的风险。在对发电中使用的天然气价格上涨的风险采取应对措施时,电力公司考虑和客户签署结构性的合约,来使价格变动的大部分影响转移给客户。伴随着这个措施,公司将天然气价格波动的风险与客户分担。然而,天然气价格反向变动将导致较高的客户订单,并且伴有潜在的客户不满和缺陷。这些新的风险也应作为因素放入到风险应对措施分析中去。组合观管理层从一个企业全局的或者组合的观点来考虑风险。管理层可以采取一种方法,每一个部门、职能单位或生产部门的管理者建立一个该单位的合成的评估和风险应对措施,这个观点反映了与该单位目标和风险承受度相关的风险观。有了各个单位的风险观,企业的高级经理层采取一个组合观,来决定企业的风险观是否适应于与其目标相对应的整个风险偏好。在单个部门的风险承受度以内的风险可能存在于不同的部门,但结合起来看,这些风险就可能超过整个企业的风险偏好,这种情况下需要额外的或者不同的风险应对措施。相反,可能风险在企业内部自然的抵消,或者单个部门可以是风险相对的,当风险组合起来时,可能被认为低于企业的风险偏好。企业管理层可以决定激励单个经营部门的管理者在目标区域内接受更大的风险,来提高整个企业的增长和回报。在建立风险应对措施的组合观时,管理层将意识到所选择的应对措施以及对企业风险承受度的多重反应的效果的多样性。在潜在事件不直接相关的情况下,管理层可以根据个别事件来评估这些风险应对措施的效果,并进而形成一个组合观点。在多个企业部门内存在相似的风险的情况下,管理层可决定根据特定类别来评估风险应对措施的效果,并采用一个组合的观点。组合观将代表性地反映在一个组合内存在的风险之间的抵消——代表机会的事件或者将减轻其他事件负面影响的事件,以及所有应对措施的汇总影响。一个公司的不同经营单位面临不同的价格波动风险——来自多个供应商的零部件的价格——该公司在每个经营单位内根据市场波动来评估风险,然后以一个描述潜在概率和影响的范围的分布图形式来报告组合的结果。另一个拥有多个经营单位的公司——每一个单位暴露在金价波动的风险中——将针对金价的潜在波动采取相同的风险应对措施,并汇总到一个单一的计量指标,来反映其整个库存金子1$/盎司的净影响。8.控制活动本章概览:控制活动是指为确保管理层的风险应对措施被执行而采取的政策和程序。控制活动在整个企业的各个部分、各个层面以及各个职能上发生,包括一系列的活动——如批准、授权、审核、调整、经营业绩评价、资产安全以及职责分离。控制活动是人们为贯彻政策而采取的政策和程序,来确保管理层的风险应对措施得到执行。控制活动分34/34 别应用于四类目标中的每一类中——战略、经营、报告、执行。尽管一些控制活动仅与一个区域相关,但通常有一定的重叠。根据环境,一个特定的控制活动能帮助满足企业多个类别的目标。经营控制也可以帮助保证可靠的报告,报告控制活动可服务于有效的执行等等。尽管这些类别有助于控制的讨论,但是一项控制活动所属的特定类别没有其在实现一个特定活动的目标中扮演的角色重要。在一个零售链中,为客户商品返还发行的信用的完整性通过数字化文件序列来予以电子化控制,然后为报告的目的进行汇总。该汇总也提供了一个产品的分析,可用于商品管理者将来的购买决策以及存货控制,在这种情况下,最初为报告目的建立的控制活动也服务于经营目标。与风险应对结合为一体风险应对服务于将注意力集中在为确保风险应对措施恰当、及时地执行所需的控制活动上。控制活动是企业努力实现经营目标过程中的一个组成部分。在选择控制活动时,管理层要考虑他们是如何相互关联的,一个公司可以依靠一个单一的控制活动来应付多重风险,例如,一个计量员工流失率的业绩指标可以提供有关管理层应对竞争者招收新员工、缺乏有效的员工激励、培训和发展计划之类的措施的有效性的证据。在建立新的风险应对措施时,管理层考虑现有的可足以保证新的措施得到有效执行的控制活动。另一方面,可能有必要针对一项风险应对措施考虑多种控制活动。控制活动是企业在努力实现其经营目标过程中的一个重要组成部分,控制活动不是单纯为了它们自身的目标而执行的,或者因为看起来是应该做的“正确或恰当”的事情。在上面的例子中,管理层需要采取步骤来确保销售目标达成。控制活动作为管理目标达成的机制,通常直接建立在管理者的程序中。目标、风险应对措施以及控制之间的联系如下所示:目标是“达到或超过销售目标”,风险包括对当前和潜在顾客需求之类的外部因素了解不足,为减少风险出现的可能性和影响,管理层建立了现有顾客的购买的历史纪录,并执行了新的市场研究行动,这些活动都是建立控制活动的关键点。控制活动可包括将顾客购买的历史纪录的建立进展情况与设定的事件进度表对比,并采取步骤确保报告数据的准确性,通过这个方法,控制活动直接建立在管理层的程序中。控制活动的类型人们已经提出很多不同控制活动类型的描述,包括预防控制、检查控制、手工控制、电算化控制以及管理层控制。控制活动可以根据特定的控制目标——如保证数据处理的完整和准确——来分类。表8.1中是通常采用的控制活动,这些仅仅是日常为加强设定的行动计划和保证企业未达到其目标而采取的很多程序中的很少的一部分。列示它们仅仅是说明控制活动的范围和多变性,而不是对特定种类提供任何的建议。直接运营管理——管理者活动业绩报告评价。一位负责银行消费信贷的经理通过分支、区域和贷款(间接的)类型来检查报告。检查整体情况并确定发展趋势,将结果与经济统计和目标联系起来,随后,分支行经理接受贷款负责人新业务以及当地消费者分组的数据。分支行经理也关注执行的情况,检查监管者要求的报告,对超过特定金额的新的贷款,每日编制现金流余额调节表。所报告的财务状况净额集中在突然的转移支付和投资上。信息处理——为检查业务的准确性、完整性以及授权情况,企业采取了很多的控制:所输入的数据服从于在线编辑检查或与批准的文件相匹配。例如一位顾客的订单只有在考虑了批准的顾客文件记录及信贷限额之后才能接受,无数的系列业务的说明,例外情况追踪并报告给监管者,开发新的系统以及改变现存系统的控制。正如数据、文件记录和程序的接触处理一样。实物控制——设备、存货、证券、现金以及其他资产应保证实物安全,并定期清点,与控制记录上显示的金额进行比较;业绩指标——将不同集合的数据——经营的或财务的——相互联系起来,并与相互联系的分析以及检查和更正活动一起,作为一项控制活动。例如职能单位的员工流失率衡量指标包括:通过检查未预期的结果或不寻常的趋势,管理层识别出能力不足以完成关键程序,则可能意味着很小可能达到目标。管理者如何利用这个信息——仅为经营决策,或者也跟踪到外部财务报告系统报告的未预期后果——决定是否业绩指标的分析仅仅服务于经营目的还是同时满足外部财务报告控制的目的。政策和程序控制活动通常包括两个要素:建立一个应做什么的政策,以及使该政策生效的程序。例如一项政策要求通过一位证券经纪公司的分部经理检查客户交易活动。这个程序就是检查的本身,及时地执行并将注意力放在政策设立的因素上,比如交易证券的性质和数量以及与客户净值和年龄的关系。很多情况下,政策以口头的形式来进行交流,当政策长期存在并在实践中得到很好地理解时,非书面化的政策也能有效。并且在小企业内,沟通渠道仅包括有限的管理层和与个人的密切关系及监管。但不论是否存在一个书面的政策,必须加以认真的执行。如果机械地执行,没有一个明显的、34/34 持续的政策指导文件的关注,一个程序可能是无用的。进一步来说,作为程序检查的结果确定的条件以及采取恰当的更正活动是根本的。随后的活动应根据企业的规模和组织结构而有所不同。可能有大公司的常规报告程序——企业单位说明为什么不能达成目标以及采取何种行动来防止再次发生,也可能有小企业(所有者管理者合一)走下大厅直接与下级人员进行沟通——什么地方出错了以及应该做什么。一般控制一般控制包括信息技术管理、信息技术基础设备、安全管理和软件采购、开发、维护等方面的控制。这些控制适用于所有的系统——从主干到客户/服务到桌面计算机环境。表8.2提供了这些类别一般控制的例证。信息技术管理——一个指导委员会提供监督,监控并报告信息技术活动及改进措施。信息技术基础设备——控制适用于系统定义、采购、安装、配置、集成和维护、控制可包括服务水平协议——建立和加强系统业绩,企业持续计划——维护系统有效,追溯网络运行、运行失败以及计算机运行表。信息基础设备的系统软件组成包括管理层或指导委员会审核和批准重大的新采购、限制接触系统配置和运行系统软件、自动协调以及通过中间设备访问和校验位检查沟通错误。系统软件控制包括事件追踪、系统联机、以及检查数据改变用途的详细使用报告。安全性管理——保护以避免不恰当的接触和未经授权的使用。逻辑性接触控制如安全密码限制接触网络、数据库和执行水平。使用者帐户和相关的接触特权帮助将授权使用者限制在执行或其工作所需的执行功能。因特网防火墙以及有效的私人网络保护数据免于未经授权的外部接触。软件采购、开发和维护——对软件采购和执行的控制,包括建档要求、使用者接受测试、压力测试和项目风险评估等在内的与管理变动过程结合在一起。接触源代码通过代码数据库控制。软件开发者工作与开发/测试环境隔离,且不能接触生产环境。系统改变的控制包括改变请求所需的授权、改变的审核、批准、建档、测试、其他信息技术组成部门改变的推断,压力测试结果以及执行草案。引导信息技术改进的努力通常帮助在企业的经营中建立控制。这样的主动活动包括经营程序改进、完全质量管理以及缺陷鉴别和管理。应用控制应用控制是企业所设计的用来保证数据采集和传递过程的完整、准确、授权和有效的控制,单个的应用控制可依赖于信息系统控制的有效运行来确保在需要时采集或生成数据,支持运行的有效性,并且界面(接口)错误可以很快地检查出来。计算机最重要的一个功能是阻止错误进入系统的能力,并在存在错误时检查和更正它们的能力。为实现这个目的,应用控制依赖于电算化编辑来检查核对,这由开发过程中建成的执行中的格式、存在性、合理性以及其他数据检查组成。当设计恰当时,可以对输入数据进行控制。表8.3提供了应用控制的例子。这些仅仅是企业日常活动中通过计算和逻辑比较来防止和检查不正确、不完整、不一致或不恰当的数据采集和处理的多种应用控制的一部分。平衡控制活动——通过将手工或自动采集的数额调节至一个控制总额来检查数据采集的错误。公司自动地对交易处理的数字总计以及从在线订单分录系统到记帐系统收集到的交易数字进行平衡。检查数字——有效数据的计算。公司的部分数字包含一个检查数字来发现和更正来自供货商的不正确的订货。预设数据清单——为使用者提供一个可接受数据的预设清单。公司的内部互联网上包括一个可供购买产品的清单。数据合理性测试——将采集的数据和现有的或了解的合理模式比较。由一个家庭式的零售商店向供货商发出的非常大数量的木制板脚可能引发一次检查。逻辑测试——包括使用范围测试或价值、文字数字测试。一个政府机构通过检查所有的输入数是九位数来检查社会保障号的潜在错误。企业特定的控制由于每个企业有其自身的目标和执行方法,可能在风险应对措施和相关的控制活动方面存在不同。即使两个企业有相同的目标并且采取相似的决策来执行,他们的控制活动也可能不同。每个企业由不同的人员来管理,他们使用各自的判断来使内部控制生效,而且控制反映了企业运行的环境和行业以及企业组织、发展历史和文化的复杂性。企业运行的环境影响其暴露的风险,并可能显示独特的报告目标或特殊的法律或监管要求,例如,一个化学物品制造商必须比那些典型的服务性公司管理更多的环境风险。企业的复杂性以及其活动的性质和范围,会对其控制活动产生影响。相对于一个有较少不同活动的企业而言,一个具有多样活动的复杂组织可能面对更困难的控制事项。同样,相对于一34/34 个高度集中的企业,分散化经营的企业以及强调地方自治和创新的企业会显示出不同的控制环境。影响一个企业复杂性和控制性质的其他因素包括地理位置、可扩充性、营业复杂性以及信息处理方法等。所有这些因素都会对一个企业的控制活动产生影响,需要根据各个因素对企业目标实现的贡献大小来设计。表8.4提供了本章论述的控制活动的关键要素。9.信息与沟通本章概览:相关的信息以一种人们能履行各自职责的形式和时间表来识别、采集和沟通。信息系统使用内部生成的数据以及外部事件、活动和条件的数据,为管理与企业目标相关的企业风险和决策提供信息。有效的沟通也会在企业的横向纵向流动中发生。所有员工从高层管理者处得到一个明确的信息,企业风险管理责任必须严肃的关注。企业必须有一个向上沟通重要信息的方式,同时也存在与外部集团的有效沟通。每个企业识别并采集与企业管理相关的信息——财务的与非财务的,与外部和内部事件、活动相关的信息。这个信息以一种能使员工履行其企业风险管理和其他职责的形式和时间表进行传递。信息企业组织的所有层面需要信息来辨别、评估风险,并对其采取一定的应对措施,来管理企业并使其达到目标。各种各样的、与一个或多个目标类别相关的信息被采用,例如财务信息不仅用于编制外部呈报的财务报表,也用于经营决策——比如监控业绩、配置资源等。可靠的财务信息是计划、预算、定价、评价卖方业绩、评估合资和联营企业以及一系列其他管理活动的基础。类似的,经营信息也是财务报告编制的要素,这包括一般的经营信息——采购、销售和其他业务——以及竞争者产品发布信息或经营状况信息。这些信息可以影响存货和应收账款的价值。来自企业内部和外部的、财务和非财务的经营信息与企业的所有目标相关。来自很多渠道的信息——内部和外部的,定性和定量的——有利于针对条件改变采取相应的应对措施。管理层面临的挑战是将这些数据进行处理并提炼,使之成为可运用的信息。这个挑战可以通过建立一个信息系统设备来提供、采集、处理、分析和报告相关的信息来解决。这些信息系统——通常是电算化,也包括手工输入或连接——通常在处理内部生成数据的情况下发挥作用。信息系统同时也处理外部事件、活动和条件的信息。例如,特定市场或特定行业的经济数据是公司产品或服务需求变动的信号;产品和劳务生产过程的数据;对顾客偏好或需求的演变的市场信息;竞争者产品开发活动的信息;以及法律或法规的动议等。信息系统可以是正式的,也可以是非正式的,与顾客、供货商、监管者及员工进行交流通常会提供识别风险和机会所需的关键信息。类似的,参加职业的或行业的会议,成为交易和其他联合组织的成员也能提供有价值的信息。当一个企业面临根本的行业变化、革新速度快以及竞争者变动迅速、或者重大的顾客需求变动时,保持信息与需求一致非常重要。信息系统必须发生变动来满足新目标的需求。这些信息系统不仅需要识别和采集所需的财务和非财务信息,还必须以一种有利于控制企业活动的方式和时间表报告并处理这些信息。一些系统提供顾客交易和持续监督,并与规则导向的工作流程一起用来减轻企业日常经营活动的风险,其他一些系统采集顾客满意情况、以产品和区域来确认和报告销售情况、客户的盈亏情况、销售退回和折让的要求、产品保证条款的应用以及顾客反馈等方面的信息。这些信息可由调查问卷、会议、市场需求研究或专门工作组提供的市场、科技或服务相关的信息进行补充。战略和一体化的系统由于企业已经与客户、商业合作伙伴以及监管者结为一体互相协作,企业信息系统构建和外部集团的分部更加模糊。因而数据处理以及数据管理通常称为多个主体的共同责任。在这种情况下,一个企业的信息系统构建必须足够灵活,并能与新的客户和商业合作伙伴灵活有效地结为一体。信息系统构建的设计以及技术的改进是企业战略的重要方面,涉及技术的选择对达成目标非常关键,技术选择和执行的决策依赖于很多因素,包括企业的目标、市场需求以及竞争需求等。由于信息系统是有效企业风险管理的基础,风险管理技术可辅助做出技术决策。系统支持战略行动信息系统已经设计很久,并用来支持企业的战略,这个准绳变得很关键,因为企业需要变化,技术为战略优势创造新的机会。在一些情况下,技术的改变减少了最初使用时所取得的利益,并驱使战略向新的方向发展。例如,定期航线的预约系统(为游客提供飞行信息的便捷途径)已经改变为客户面对因特网预约系统,大大减少或取消了传统的游客麻烦。与经营活动结为一体信息系统通常完全内置于经营活动的很多方面,网络以及网络基础系统是常见的内置于经营活动的例子。很多公司34/34 具有公司范围内的信息系统,比如企业资源计划(ERP)。这些运用有利于获取以前职能或部门的存储的信息,并且不断被广泛发展的管理所采用。很多公司使用完全的信息系统,此时业务被实时地记录和追踪,使管理者即刻获得财务和经营的信息,从而更有效地控制企业的活动。为支持有效的企业风险管理,企业应采集并使用历史和当前的数据。历史的数据使企业能将实际的业绩与目标、计划和期望值进行对比,提供企业如何在不同的条件下完成任务的信息,并使管理层识别相互的关系以及发展的趋势,进而预测未来的业绩。历史数据也能让管理层对应引起注意的潜在事件的预警提供保证。当前情况的数据使企业能决定一个特定时点的风险偏好,并将企业的风险保持在所建立的风险承受度内。这些数据使管理层对一个程序、职能或单位现有的内在风险有一个实时的观点,并与预期对比发现不同。企业也使用数据来评估潜在的未来事件的可能性和影响,使管理层权衡其对目标的潜在影响,这提供了企业风险偏好的一个观点,使管理层在必要的时候改变活动来将风险观控制在风险偏好之内。支持企业风险管理的信息,作为管理层持续程序的一部分来进行采集和开发。企业风险管理的信息流与现有的用来管理企业的信息结合在一起,例如,财务信息不仅用来编制外部使用的财务报表,也用于内部报告和监控业绩。信息系统的发展提高了许多企业计量和监控业绩的能力,以及提供企业层次的分析性数据的能力,伴随着企业新的技术能力出现,采用这些能力系统的复杂性和完整性不断进步,然而战略和经营越来越依赖于信息系统,也带来了新的风险——比如信息安全问题和计算机犯罪——这些新的风险也必须纳入企业风险管理程序中加以考虑。一个建筑公司是用一个一体化的、企业内部互联网系统来处理多种大规模项目,来满足市场和效率的期望。该系统提供的信息可帮助管理者追踪客户供应的存货和部件,识别多个工作点材料是过多还是过少,获取通用原材料供应商的成本节约或与相同的企业联合起来获取数量折扣,并检查转包商的活动,同时促使员工与建筑师、工程师、客户、转包商以及监管者分享当前的图纸,并维护图纸版的控制。另外,该系统还包括知识管理能力,允许公司的员工分享贯穿于整个组织的革新解决方案。管理层使用历史的根据类别确定的每位销售员工的销售额,与当前销售类别的销售数据以及募集渠道,并将结果映射到目标收入。该结果的分析,与目标和风险承受度相比,做出招募、培训、营销和相关事务的决策。信息的深度和及时性信息的基础来源应该和采集的数据纳入一个时间框架,并将其与企业需要识别的风险、评估的风险以及对风险采取的应对措施保持一致,并维持在企业的风险承受度以内。信息流的及时性需要与企业的变动率以及内外部环境保持一致。信息基础设施的作用是将原始数据转变为相关的信息,来帮助员工履行各自的企业风险管理职责和其他职责。信息以一种可行动的、合理的、易于使用的形式和时间框架来提供,并与设定的责任相关联。数据采集、处理和存储的进步导致了数据量的指数化增长,同时企业内人们可以获得更多的实时数据,企业面临着避免“信息过多”的挑战,即需要保证正确的信息以正确的方式和恰当的详细程度、在恰当的时间传递给合适的人员。在开发信息基础设施时,应考虑每个使用者和部门独特的信息需求,以及不同管理层所需要的信息的总水平。数据深度的重要性,可以通过看待一个可能潜在地影响一个处于会发生水灾的城市的经纪公司的事件来例证,对企业的持续发展计划,管理层对潜在的水灾事件持有一个一般性的观点,并在转向一个建立的支持设备时给员工提供建议。在这个高度所采集的信息足以使企业充分地管理该风险。相反,作为一个经纪人公司,企业提供并持续地采集股票、债券、和商品价格的变动信息,并精确到几个小数点。这个层次的数据的及时性和详细程度,与企业所需的立即对股票价格变动的需求相一致,股票价格变动可能导致风险,比如在一个特定的市场或部门、或者证券的过度风险暴露,与企业的风险偏好不一致。信息质量随着对复杂信息系统以及数据驱动自动化决策系统程序的依赖性日益增强,数据的可靠性非常重要,不准确的数据可能导致未识别的风险或风险评估不足、管理层决策失误。信息质量包括是否确定:内容是恰当的——详尽程度是否合适?信息是及时的——是否在需要时提供?信息是最新的——是否是最近的可获取的信息?信息是准确的——数据是否正确无误?信息是可以取得的——需要的人员是否可以容易获得这些信息?为确保数据的质量,企业建立全公司范围的数据管理程序,包括数据和管理信息的采集、维护和传递。没有这些程序,信息系统就不能提供管理层和其他员工所需的信息。企业会有很多的挑战:职能需要冲突、系统限制以及非集成程序可能阻止数据的取得及有效地使用。为迎接这些挑战,管理层建立一个对数据完整性具有明确职责的战略计划,34/34 并执行常规的数据质量评估。通常情况下,数据管理战略不必局限于企业本身,通过电子商务的扩展,现在企业业绩的信息流包括供应链合作伙伴、分销商、客户和其他企业,通常会有大量的经营、财务和应用数据、半透明性的数据与关键的战略合作伙伴分享。企业风险管理必要的信息可以存在与企业的内部、外部,并且必须在经常性的不同系统内无阻碍地自由流动。具有了合适的信息,基本的任务是使风险管理和控制在所需的地方及时生效,这就是为什么信息系统——作为企业风险管理的构成要素——也必须加以控制的原因。沟通沟通是信息系统的内在要求,如前所述,信息系统必须向恰当的员工提供信息,以使他__们能履行各自的经营、财务报告和执行责任。但沟通也必须以一个更广的意义发生,包括对例外事项的处理、个人的和团体的责任以及其他的重要事项等等。内部管理层为员工的行为期望和责任提供特定的和直接的沟通,包括一个清晰的关于企业风险管理哲学和方法的申明,以及一个明确的授权,过程和程序的沟通应该与期望的风险文化保持一致。沟通应有效地:确保对有效的企业风险管理重要性和相关性的意识;沟通企业的风险偏好和风险承受力;使用和支持通用的风险术语;对员工在有效和支持企业风险管理构成要素中的角色和责任进行建议。所有员工,特别是那些有重要经营或财务管理责任的员工,需要从高级管理者那里的到一个明确的信息,即企业风险管理必须严肃地对待,讯息的明确以及有效地对其进行沟通都是非常重要的。员工应该知道,当未预期事件发生时,不仅要关注事件本身,同时也需要探究其原因,通过这种方式,可以找出系统的潜在弱点,并采取措施来防止其再次发生。例如,找出不能出售的存货不仅会导致财务报告中恰当的注销,而且可以在第一时间确定存货变得不可销售的原因。员工也应该知道,他们各自的活动如何与他人的工作发生关系,有了这方面的知识,将帮助他们认识一个问题,或者确定其原因并采取更正措施。同时,他们也需要了解哪些行为是可以接受的,哪些是不可以接受的。现实中有很多公众所知道的舞弊财务报告的例子,管理层在完成预算的压力下,对经营成果进行了错误表述,在这些例子中,没有人告诉这些舞弊者这样的错误列报可能是非法的或者是不恰当的。这强调了在一个企业内信息如何沟通的关键属性,一个经理在指导下级时说:“完成预算——我不介意你如何去做,尽管去做”,这可能在不经意间发送了错误的讯息。每天处理关键的经营事务的前线员工经常处于最好的位置,可以在问题发生时发现它们,例如销售代表或会计经理可了解重要客户产品设计需求;生产员工能意识到代价高的程序缺陷;采购员工可能面临来自供货商的不当诱惑。对这类向上报告的信息。必须有一个开放的沟通渠道和一个清晰的自发倾听意愿,员工必须相信他们的上级确实想了解问题并有效地解决这些问题。绝大多数管理者理性地意识到他们应避免“打击报告者”,但迫于每日的压力,他们不能接受人们带给他们的合理的问题,员工迅速地选择讲或不讲那些上级没有时间或没有兴趣解决他们发现的问题。这些问题混合在一起,就可能导致这个不接受问题的管理者是最后一个知道沟通已经关闭的人员。沟通渠道也应保证员工能通过经营单位、程序或功能来沟通风险基础的信息。例如,客户对一个产品投诉的增多需要标志给产品设计和开发小组。当个人或单位不愿意或没有一个工具来为他人提供重要的信息时,就会发生沟通的崩溃,员工可以意识到重要的风险,但不愿意或不能报告它们,在很多情况下,一个企业内正常的报告路线是恰当的沟通渠道,在一些情况下,当正常的渠道不能运作时,单独的沟通路线需要充当一个自动防护故障装置。一些公司为首席内部审计官或法律顾问这样的高级管理者提供一个直接的沟通渠道。如果既没有一个开放的沟通渠道,也没有一个自愿的倾听意愿,向上的信息流就会阻塞。在所有情况下,员工了解报告相关的信息不会有报复是很重要的,存在机制传递一个明确的信息,即鼓励员工报告可疑的违反企业行为守则的行为,以及报告员工所受的待遇。最关键的沟通渠道是高级管理层和董事会之间的沟通渠道,管理层必须让董事会了解最新的业绩、发展、风险以及企业风险管理的功能和其他相关的事务,沟通的越好,董事会执行监察的职能就越有效,通过充当一个仔细调查的董事会,对关键事务提供建议、忠告和指导;同样,董事会也应与管理层沟通需要什么样的信息并提供反馈和指导。外部通过开放的外部沟通渠道,顾客和供应商能够为产品或劳务的设计或质量提供重要的参考,使公司了解顾客需求或偏好的演进,对企业的风险偏好和风险承受力的开放沟通很重要,特别是那些与供应链或电子商务企业相联系的公司,在这些情况下,管理层考虑如何将其风险偏好或风险承受力与合作伙伴保持一致,保证不会不经意的承担起合作伙伴的太多风险。来自外部集团的沟通通常对企业风险管理的运行提供重要的信息。外部审计人员对一个企业战略、经营34/34 以及相关经营事务和控制系统的了解为管理层和董事会提供了重要的风险和控制信息。与风险承担者、监管者、财务分析师以及其他的集团进行沟通,提供了他们所需要的信息,因而他们会乐意了解企业所面对的环境和风险。这类沟通应是富有意义的、适当的、及时的,并且符合法律和监管要求。管理层与外部集团沟通的义务——不管是否是开放的、即将来临的、严肃的后续措施或者其他方面——也发送遍布企业的讯息。由国家银行或保险管理机构执行的运行结果的检查或验证突出了风险和控制弱点。顾客投诉或装配质询、收款、开票或其他活动经常指向经营中存在的问题,管理层应准备认知这些情形的含义,对其进行调查并采取必要的更正措施。沟通的意义沟通可以采用政策手册、备忘录、电子邮件、广告牌布告、网络发布和录像带信息的形式。当讯息以口头的形式传递时——大小会议或者一对一的会议面谈——用语调和肢体语言来强调所说的内容。信息如何提供或“形成”可能对信息如何解释以及如何看待相关的风险或机会产生重大的影响。人们在决策中的倾向在企业单位、职能部门和活动中得到展现,例如,一些员工在追求盈利时更习惯于采取风险性高的措施,而其他一些人则寻求最小的损失,通过认识人们的这些倾向,管理者能制定信息来加强整个企业的风险偏好和行为。另一个有力的沟通工具能够通过管理层对代下级人员的方式来发现。管理者应记住行动高于语言。他们的行动受到企业的历史和文化的影响,借鉴过去所观察的他们的上级如何处理相似的情形。一个具有诚实经营历史的、并且其文化被整个企业的员工很好理解的企业,将会发现讯息的沟通几乎没有困难,而没有这样一个传统的企业则需要投入更多的精力在讯息的沟通上。每个人对潜在的收益和损失会有不同的反应,风险如何形成——关注向上(潜在收益)或向下(潜在损失)经常会影响人们的反应。期望理论——考察人们的决策、认为个人并非风险中性的;而对损失的反应要比对收益的反应更为极端,这样就有一个曲解概率和最优解决方案的去向。为说明这一点,例如一个人面临两组选择:1、A肯定能得到$240,或者25%的机会得到$1000,75%的机会什么也得不到;2、A肯定损失$760,或者75%的机会损失$1000,25%的机会什么也不损失。在第一组选择中,大多数人会选择“$240的确定收益”,因为在考虑收益以及正面影响的问题时,人们的倾向是风险规避的,向发,大多数人会选择“75%的机会损失$1000”,因为考虑损失和负面影响的问题时,人们倾向风险偏好的,期望理论认为人们不愿在他们已有的或可能会有的事件上增加风险,但当他们认为能够最小化损失时,将会有更高的风险承受力。10.监控本章概览:企业风险管理被监控——评估其组成要素存在和功能的过程。这个过程通过持续监控活动、单独评价或者两者的结合得以实现。持续监控出现在企业的日常管理活动中,而单独评价的范围和频率则主要依赖于风险评估以及持续监控程序的有效性。企业经营互动中发现的风险管理缺陷应该向上报告,对于严重的事件,应该报告给上层管理者和董事会。企业风险管理会随着时间的不同而有所改变。曾经有效的风险应对措施可能变得不相关了;控制活动的有效性也可能降低,或者不再执行;或者企业的目标发生改变。上述这些事项的发生可能是由于新员工的到来,企业的组织结构或者发展方向发生了改变;或者企业运用了新的程序等等。在面对这些变化时,管理层需要对每一个风险管理的组成要素是否继续有效做出判断。企业可以从两个途径来进行监控:通过持续的活动或者单独的评价。至少在某种程度上,企业风险管理机制通常以一个持续的基础组织起来进行监控。持续监控的程度和有效性越好,单独评价就会显得越不必要。管理层为企业风险管理的有效性提供合理的保证所必需的单独评价的频率依赖于管理层的判断。在做这类决策时,管理层需要考虑外部和内部事件变化发生的性质和程度以及相关的风险、执行风险应对措施和相关控制的员工的胜任能力和经验、以及持续监控的结果等方面的内容。通常情况下,持续监控和单独评价需要以某种程度的结合来确保企业风险管理维持其有效性。持续监控构建于企业日常的、重复发生的经营活动中。持续监控是以一个实时的基础进行的,对改变的事件进行动态的反应,并且根植于企业中。因此,持续监控比单独评价更有效。由于单独评价是在事件发生之后进行的,因此通过日常的持续监控可以更为快速地发现问题。许多具有良好持续监控的企业仍然需要进行企业风险管理的单独评价。而需要进行经常性单独评价的企业应该关注通过“构建”而非“增加”这类行为来改进持续监控活动。持续监控活动许多活动是用来监控企业正常经营活动中企业风险管理的有效性。这些活动包括定期的管理和监督活动、变量分析、压力测试、以及比较、调节和其他的常规活动。表10.1列举了持续监控活动的例子。34/34 经营报告与报告系统结合或协调起来,用来持续的管理经营活动。与期望结果相比,应迅速地发现重大的不准确或例外情况。例如,与企业经营活动密切相关的企业的分部、附属公司和公司层面的销售、采购和生产经理,可以对它们发现的与其经营经验严重不符的报告提出质询。及时完整的报告以及对这些例外情况的处理能够提高程序的有效性;在险价值某型用来评价潜在市场变动对企业财务状况的影响,这些工具作为有效的工具来决定企业的单位或职能部门是否仍处于确定的风险承受度内;与外部集团的交流可以验证内部产生的信息或现时的问题。客户通过支付相关的发票可以验证企业的订单数据。相反,客户对货单的投诉可能显示出销售业务过程中的系统缺陷。类似的,来自投资精力的关于证券盈亏以及收益的报告,能够验证或显示企业(或经理)的记录问题。一家保险公司安全策略和事务的检查,从经营安全和应用的角度提供了企业风险管理职能发挥情况的信息,因而可以作为一个监控技术发挥作用;监管者可以与企业就反映企业风险管理程序的机能的应用或其他事务进行交流;内部和外部的审计师以及顾问定期地对加强企业风险管理提供建议。审计人员可以关注企业或单位的关键风险的评估,风险应对措施的选择以及相关控制活动的设计和有效性的测试,可识别出潜在的控制弱点,并向管理层提供可供选择的活动建议,同时提供成本效益决策相关的有用信息。尤其是执行类似的审核职能的内部审计人员或员工,可以更有效地监控企业的活动;培训研究讨论会、计划会议以及其他的会议为管理层提供了企业风险管理是否有效的重要反馈。除了可显示风险事件的特定问题之外,还可以增强参与者风险和控制的意识;企业的员工被定期地询问,清楚地表明他们是否理解并遵守企业的行为守则。同样管理层也要求经营和财务人员表明他们是否定期地执行了特定的控制程序——比如特定金额的调节等。单独评价持续的监控程序通常能对企业风险管理的其他要素的有效性提供重要的反馈,因而时时采用一个全新的观点可能是有用的,直接关注企业风险管理的有效性。这也提供了一个考虑持续监控程序有效性的机会。范围和频率企业风险管理的评价在范围和频率上有所不同,依赖于风险的重要性以及管理风险过程中的风险应对和相关控制的重要性。优先考虑的风险区域和应对措施将更为频繁地评价。企业风险管理的整体评价——与特定要素的评价相比通常频率较低——可能有很多原因引起:主要的战略或管理层变更,大的兼并或处置,经济或政治因素的重要变更,或者信息处理的运行或方法的重要改变等等。当企业做出决策对企业风险管理执行一个完整的评价时,应将注意力直接放在战略设定以及重要活动的运用上。评价范围的确定也将依赖于目标的种类——战略、经营、报告和应用。由谁评价通常情况下,评价是以自我评估的形式进行,由那些特定单位或职能部门负责的人员来决定他们的活动所涉及的企业风险管理的有效性。内部审计人员将评价活动作为他们常规职责的一部分来执行,或者在高层管理者、董事会、附属公司或分部的负责人的特殊要求下进行评价。类似的,管理层也可以使用外部审计人员对企业风险管理有效性的结论。在执行管理层认为必要的评价程序中,可以利用各方面的努力成果。企业分部的首席执行人员指导其企业风险管理活动的评价。与战略选择和高层次目标相关的风险以及内部环境要素由该负责人评价,而负责该分部不同经营活动的其他人员则对达到该分部设定的目标以及其他要素有效性的风险进行评价。生产线管理人员关注经营和应用目标,分部的管理员则关注报告目标。高层管理者考虑该分部的评价,并与公司其他分部的评价结合起来。评价过程企业风险管理的评价本身是一个过程。当方法或技术发生改变时,需要进行该过程的训练,这个过程具有特定的基本要素。评价人员必须了解企业的每一个活动以及企业风险管理的每一个构成要素。首先关注企业风险管理的主旨如何可能是有用的——有时候这被认为是系统或过程设计。评价人员必须决定系统实际上是如何运作的。随着事件的改变,所设计的通过特定途径运行的程序可能需要进行调整,或者可能不再得到执行。有时候新的程序建立了,但并不为描述该过程的人员所了解,也不包括在所建立的文件纪录中。作为实际功能的决断通过与执行或受到企业风险管理影响的人员讨论来达成,或者通过检查业绩记录或者程序的结合来实现。评价人员分析企业风险管理过程的设计以及执行的测试结果。分析是以管理层对每一个构成要素设立的标准为背景进行的,最终的目标是决定该过程是否对设定的目标提供合理的保证。34/34 方法有很多不同的评价方法和工具,包括一览表、问卷以及流程图技术等。作为企业评价方法的一部分,一些公司将它们的企业风险管理过程与其他公司的方法进行比较,或者将其他公司的风险管理过程作为基准。例如,一家公司可以将具有良好企业风险管理名誉的公司作为标准来衡量自己公司的企业风险管理过程。可以直接与其他公司进行比较,或者在贸易或行业联盟下进行比较,一些行业的同业检查职能能够帮助公司评价企业风险管理过程并与同行业进行比较。这需要一个谨慎的态度,当进行比较时,必须考虑目标、事实和环境的不同。评价人员必须考虑企业风险管理的八个个别要素以及企业风险管理的内在局限性。文件记录一个企业风险管理的文件记录程度根据企业的规模、复杂程度以及其他一些类似因素而有所不同。较大的公司通常有书面的政策手册、正式的企业图表、书面形式的工作手册、经营活动之男、信息系统流程图等等。而较小的公司通常文件记录较少,企业风险管理的许多方面是非正式的并且未予以文件化,但也是定其加以执行并且高度有效。这些活动可以与文件化的活动一样进行测试。企业风险管理的要素没有文件化并不意味着它们无效或者它们不能够进行评价。然而,恰当水平的文件记录通常使监控活动更为有效。评价人员可以决定评价过程自身的文件化,通常画出企业风险管理现存的文件记录。典型的是,这将通过附加的文件记录进行增补,并与评价过程中执行的测试和分析结合在一起。当管理层对外部集团报告企业风险管理有效性时,应考虑建立和保持文件记录来支持这个报告。如果该报告随后受到挑战的话,这类文件记录可以发挥作用。报告缺陷企业风险管理的缺陷可能来自很多方面,包括企业持续监控程序、单独评价以及外部集团等等。“缺陷”是指在企业风险管理过程中应引起注意的条件。一个缺陷可能代表一个感知到的、潜在的或者实际的缺点,或者一个加强该过程来提高企业目标实现的可能性的机会。信息来源企业风险管理缺陷的信息最好的来源之一是企业风险管理自身。一个企业的持续监控活动,包括管理活动和日常的员工监督,都从那些直接参与到企业活动的中人员那里产生信息。这些信息被实时取得并让管理者快速识别存在的缺陷。其他的缺陷来源是企业风险管理单独评价过程中发现的。由管理层、内部审计人员或者其他职能人员执行的评价能够使需要改进的区域显著起来。外部集团频繁地提供一个企业风险管理的职能发挥情况的信息,这些集团包括顾客、分销商和其他企业的业务合作者、外部审计人员以及监管者等等。管理层应该仔细考虑这些来自外部的牵连到企业风险管理的报告,并应该采取恰当的更正活动。报告什么应该报告什么内容?尽管很难达成一个通用的答案,但可以有一些特定的参数。所有的影响一个企业建立和执行其战略和达到其设定目标的企业风险管理缺陷都应该向那些执行必要活动的位置的人员报告。进行交流的事件的属性可能有所不同,依赖于个人的对发生环境处理的授权以及上级的检查活动。在考虑需要交流的内容时,有必要考察发现的结果的含义。本质上不仅特定的业务或事件应予以报告,而且潜在不完善的程序也应该重新评价。可能引起争论的是没有问题象进行无根据地调查那样无关紧要。例如,一个员工从备用金中拿出一些钱用于个人用途可能并不重要,根据的是特定的事件,可能并不根据整个备用尽的数额。因而对其进行检查可能并不值得。然而,如此明显的宽恕员工使用企业的前才可能给员工提供错误的讯息。一位销售人员指出,取得的销售佣金计算不正确。薪金部门员工检查并发现某个产品使用了过时的价格,导致佣金和货单的低估。企业采取的行动包括重新计算所有销售人员的佣金和货单,因为产品价格变动已经生效。然而,这个行动仍然不能解决很多重要的相关问题:新价格为什么没有在第一位置采用?识别这个风险存在什么程序,以及确保价格增加正确及时地输入信息系统需要采取的行动?用来计算销售佣金和顾客货单的计算机程序是否存在问题?如果存在,软件开发或软件变更的控制是否需要引起关注?如果销售人员没有指出这项错误,企业风险管理程序的其他部分是否能及时地识别这个问题?向谁报告在经营活动过程中产生的信息通常通过正常的渠道向上级报告。管理人员依次向上交流,最终信息传递到能够并应该对其采取行动的人员手上。企业也应该存在可供选择的沟通渠道,用来报告一些敏感的信息,比如非法行为或不恰当的行为等。企业风险管理缺陷的发现通常不仅需要向参与该职能或活动的人员报告,而且向比该人员至少高一个级别的管理者报告。高级的管理人员提供所需的支持或者检对更正行为进行检查,并与企业内可能受到影响的人员进行34/34 沟通。发现结果消除了企业的边界,报告应该同样横贯企业并指向一个足够高的层次,来确保采取恰当的行动。报告指示为正确的人员提供企业风险管理缺陷所需的信息很关键。企业应该建立草案来明确一个特定水平上有效决策所需的信息内容。这类草案反映了一个通用的原则,即管理者应该收到影响其责职范围内员工行动或行为的信息,以及为达到特定目标所需的信息。一个负责人员通常想获悉政策和程序的严重违反__行为,他/她也想获得可能有重要财务影响、或者战略意图、或者可能影响企业声誉的事件的信息。高级管理人员应该获悉影响他们单位的风险和控制缺陷。例如具有特定货币价值的资产处于风险中,员工缺乏胜任能力,或者重要的财务调节表没有正确地执行等等。当管理人员下到企业组织结构的基层时,应该不断提高对他们单位缺陷了解的详细程度。管理者将向下级详细说明报告草案。特异性程度可能有所不同,通常在企业的基层有所提高。如果定义的太狭窄,报告草案可能限制有效的报告,而如果有足够的灵活性的话,就可能提高报告的过程。缺陷交流的当事人有时就报告的内容提供特定的指示。例如,一个董事会或审计委员会可以要求管理层或内部、外部的审计人员仅仅交流那些满足特定的严重性或重要性门槛的缺陷。34/34
此文档下载收益归作者所有
