企业风险管理框架

提供合理保证

设计良好、有效运行的企业风险管理能够为管理部门和董事会提供关于实现实体目标的合理保证。作为有效的企业风险管理的结果，在本章后面也会提到，对实体的每一类目标，董事会和管理部门能获得如下合理保证：

·他们能了解实体的战略性目标的完成程度；

.他们能了解实体的经营性目标的完成程度；

·实体的报告是可靠的；

·适用的法律法规得到遵守。

合理保证反映了这样一个观念，即不确定性和风险是与没有人可以准确预测的将来相关联的。问题还可能是因为，人们在做决策时的判断是错误的；应对风险的决定和建立控制时需要考虑相关成本效益；出现毛病可能是由于人为失误，比如一些简单的错误；两个或更多的人勾结起来规避控制：以及管理部门有不考虑企业风险管理决策的能力。这些问题使董事会和管理部门不可能有实现目标的绝对保证。

实现目标

在己确立使命或展望的情况下，管理部门建立战略性目标，选择战略，并在整个企业内顺次建立与战略一致和相连的目标。尽管许多目标使某一实体所特有的，但有些目标还是广泛适用的。例如，实际上对所有适用的目标有，在贸易团体及消费者群内获得并保持良好的声誉，向股东提供可以信赖的报告，以及遵守法律法规从事经营。

该框架从四个方面来看待实体目标：

.战略性——与高层次目标相关，与实体的使命一致并支持实体使命。

.经营性——与有效果且有效率地使用实体资源相关。

.报告性——与实体报告的可信赖度相关。

.遵从性——与实体遵守适用的法律法规相关。

这种对实体目标的分类使得董事会和管理部门专注于企业风险管理的不同方面。这些相互区别又有重叠的类别——一个特定目标可以归属于不止一个类别——提出了不同的实体需求，而且可能是不同高层人员所直接负责的。该法律还可以把所能期望的与目标的每一类别区分开来。

有些实体使用另一种目标类别，“资源保值”，有时称为“资产保值”。广义上来看，是关于防止实体资产或资源的减损，无论是因为偷盗、浪费、无效率或是经证明仅仅是由于错误的经营决策一—比如以过低的价格销售产品，不能留住关键雇员或无法阻止（他人）冒用商标，或是产生为预期负债。这些主要是经营性目标，尽管保值的特定方面可以归属于其它类别。一旦应用到法律或法规的要求，就成为遵从性目标。另一方面，在实体的财务报告中正确地反映资产损失，就代表了报告性目标。当运用在公开报告中时，经常使用的是资产保值的较为狭窄的定义，即关于阻止或定期查明未经授权获得、使用或处置实体的资产。

企业风险管理可期望用来提供实现与报告的可靠性、遵守法律法规相关的目标的合理保证。实现那些类别的目标是处于实体的控制范围之内，并依赖于实体相关的执行效果如何。

然而，实现战略性目标，如获得特定生产份额，以及经营性目标，如成功上马一条新生产线，并不总是在实体的控制中。尽管企业风险管理不能防止错误的判断或决策，或可能导致业务无法实现经营性目标的外在事件，它确实增加了管理部门做出更优决策的可能性。关于这些目标，企业风险管理能够合理地确保管理部门，及予以关注的董事会，能及时了解实体接近实现目标的程度。

企业风险管理的组成部分

企业风险管理由八个相互关联的部分组成，源于管理部门经营业务的方式，并与管理过程融合在一起。这些组成部分是：

内部环境——管理部门提出风险的研究并确立风险偏好。内部环境建立实体人员如何看待风险和进行控制的基础。任何业务的核心是置于其中的人——他们的个体本性，包括诚信、道德观和能力，以及人们从事经营的环境。他们是驱动实体及基础的发动机，如何事情都依赖于该基础。

目标设定—一目标必须在管理部门识别可能影响其实现的事件之前存在。企业风险管理确保管理部门以适当的程序设定目标，并且所选定的目标支持并与实体的使命或展望一致，同时与实体的风险偏好相符。

事件识别—一（管理部门）必须识别出可能会对实体产生影响的潜在事件。事件识别包括识别原因——内在及外在的，这些因素会对潜在事件如何影响战略执行及目标实现产生作用。还包括区分代表风险的潜在事件，代表机遇的潜在事件，以及两者都代表的潜在事件。管理部门识别潜在事件之间的相互关系。并对其分类，是为了在实体内创造并加强一种普遍的风险意识，并形成以组合观来考虑风险的基础。

风险评估一一对识别出的风险进行评估，是为了形成一个决定如何对其实施管理的基础。风险是与可能会受到影响的有关目标相关联的。风险是在内部及剩余的基础上进行评估，该评估同时会考虑到风险可能性及影响。一系列可能结果也许会和一项潜在事件相关，管理部门就需要把两者结合起来考虑。

风险反应一一管理部门根据战略和目标选择一种方法或一套行为，使所评估的风险与实体的风险偏好一致。（管理）人员识别并评价对风险的可能反应，包括规避、接受、降低和分配风险。

控制活动一一建立和执行政策及程序，是为了有助于确保管理部门选择的应对风险（方式）能得到有效实行。

信息和交流一一通过以某种形式和时间结构识别、掌握并交流信息，可以使人们能够履行责任。在实体的所有层面都需要信息来识别、评估并应对风险。在更广泛的意义上也需要有效的交流在实体上上下下流动。人们需要接收关于作用和职责的明晰的交流。

监管一一整个企业风险管理必须得到监管，而且要有必要的调整。这样，该系统可以充满活力，并在条件保证下转变。监管是通过持续的管理活动，分开的对企业风险管理过程的评价，或把两者结合起来，而实现的。

企业风险管理组成部分及其联系在图2.1的模型中有所描绘。

企业风险管理是一个动态的过程。例如，风险评估驱动风险反应，影响控制活动，激起重新考虑信息和交流或实体监管活动的需求。这样，企业风险管理不是一个系列过程，即一个组成部分只会对下一个产生影响。而是一个多元化的相互作用的过程，即几乎任何组成部分都能够并将会影响另一个。

没有两个实体将会或应该以同样的方式应用企业风险管理。公司及其企业风险管理能力和需求，会因行业及规模、（企业)文化及管理哲学而有很大的不同。这样，尽管所有实体都需要每一个组成部分来维持对其活动的控制，某一公司对企业风险管理框架的应用一一包括所采用的工具和技巧，以及企业风险管理的作用和职责的分配—与另一公司总会有很大的不同。

（未完待续）