全面風險管理(基本教案)

1、l姓名：張守真 l1、山東大學研究生導師、山東大學質量研究中心研究員 l2、國家注冊質量工程師培訓教師l3、全國質量經(jīng)理推進委員會專家委員會委員l4、中國質量協(xié)會學術和培訓委員會委員l5、全國6SIGMA推進委員會專家委員會委員（6SIGMA黑帶）l6、全國質量獎評審員，山東省、河南省省長質量評審員l7、國家注冊質量管理體系高級審核員、驗證審核員l8、國家注冊工業(yè)產(chǎn)品生產(chǎn)許可證審查員培訓教師l9、國家注冊工業(yè)產(chǎn)品生產(chǎn)許可證高級審查員l10、中國質量檢驗協(xié)會專家委員會委員l11、國家注冊審核員面試考官l12、 國家注冊環(huán)境管理體系、職業(yè)安全健康管理體系審核員lZ 130650466972u 20

2、世紀30年代在美國開始萌芽 u 受當時世界性經(jīng)濟危機的影響，美國經(jīng)濟大蕭條， 約有40左右的銀行和企業(yè)破產(chǎn)，為應對經(jīng)營上的危機，美國許多大中型企業(yè)都在內(nèi)部設立了保險管理部門，負責安排企業(yè)的各種保險項目，保險成為當時企業(yè)處理風險的主要方法20世紀50年代，風險管理在美國以學科的形式發(fā)展，并逐步形成了獨立的理論體系。u 1970年代以后逐漸掀起了全球性的風險管理運動。 美國一些大公司的重大損失使公司高層決策者開始認識到風險管理的重要性。 20世紀90年代開始隨著國際資產(chǎn)證券化、債券的風險進一步擴大，使風險管理更迅速地在國際推行。歐美等國家先后建立起全國性和地區(qū)性的風險管理協(xié)會。針對安然、世通等財務

3、欺詐事件，美國國會出臺了著名的2002年薩班斯奧克斯利法案來規(guī)范上市公司的行為1983年美國風險和保險管理協(xié)會年會上，通過了“101條風險管理準則”，標志著風險管理發(fā)展進入了一個新階段歐洲11個國家成立了“歐洲風險管理委員會”美國多家專業(yè)團體成立了“反虛假財務報告委員會”和著名的專門研究內(nèi)部控制的委員會“COSO委員會”COSO著名報告內(nèi)部控制-整體框架(1992)和COSO-ERM企業(yè)風險管理框架(2004)，是風險管理的重要文獻。n全面企業(yè)風險管理框架n風險管理正在從傳統(tǒng)的“點對點”式的管理走向全面的、一體化的管理。n國際較知名的國際會計準則委員會（IASC)、巴塞爾銀行監(jiān)管委員會(BAS

4、EL)、美國的COSO委員會研究、發(fā)展了一整套完整的全面企業(yè)風險管理框架。nCOSO全面風險管理（ERM）框架的定義：n企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理的保證。 n在我國，風險管理理論的發(fā)展及應用相對滯后，企業(yè)在風險管理上存在諸多問題：n1、缺乏風險意識和策略，管理被動； n2、缺乏風險管理技術、專業(yè)人才和資金； n3、戰(zhàn)略上急于求成或謹小慎微、小富即安，應對變化能力不強，導致個別企業(yè)不能有效應對重大風險事件，在發(fā)展中固有風險和

5、剩余風險與企業(yè)的風險容量和風險容限不相適應，過于謹小慎微或者承擔了過多自身不可承受風險；n國家對風險管理日益重視，2006年國務院國有資產(chǎn)監(jiān)督管理委員會發(fā)布了中央企業(yè)全面風險管理指引，對中央企業(yè)如何開展全面風險管理提出了明確要求；指導范圍并不僅限于央企，對公司也同樣具有普遍指導意義；指引的出臺標志著我國有了自己的全面風險管理指導性文件，我國企業(yè)正向管理的更高階段全面風險管理邁進。 nISO GUIDE 73: 2009 風險管理 詞匯n與風險有關的術語；n與風險管理有關的術語；n與風險管理過程有關的術語。 ISO31000:2009 風險管理 原則和指南Risk management Prin

6、ciples and guideline提供了風險管理的原則和通用性指南。盡管所有的組織在某種程度上都在管理風險，ISO31000建立了一些為使風險管理變得有效而需要滿足的原則。ISO31000建議，組織制定、實施和持續(xù)改進一個框架，其目的是將風險管理過程整合到組織的整體治理、戰(zhàn)略和規(guī)劃、管理、報告過程、方針、價值觀和文化中。 n ISO31000:2009提供了在任何范圍和狀況下，以系統(tǒng)的、清晰可靠的方式管理風險的原則和通用指南。 n 盡管所有的組織在某種程度上都在管理風險，ISO31000建立了一些為使風險管理變得有效而需要滿足的原則。n ISO31000建議，組織制定、實施和持續(xù)改進一個

7、框架，其目的是將風險管理過程整合到組織的整體治理、戰(zhàn)略和規(guī)劃、管理、報告過程、方針、價值觀和文化中。 n 風險管理的每一個特定領域或應用都具有各自的需求、受眾、觀念和準則。因此，ISO31000的主要特點是在通用的風險管理過程中將“明確環(huán)境”作為初始活動。n “明確環(huán)境”將捕獲組織的目標，組織所追求目標的環(huán)境，組織的利益相關方和風險準則的多樣性，所有這些都將幫助揭示和評價風險的性質和復雜性。 pGB/T23694 2009 GB/T23694 2009 風險管理風險管理 術語術語 p idt idtISO GUIDE 73 2002 ISO GUIDE 73 2002 p 1 1 基礎術語基礎

8、術語p 2 2 受風險影響的組織及個人的相關術語受風險影響的組織及個人的相關術語p 3 3 與風險評估的相關術語與風險評估的相關術語p 4 4 與風險處理和風險控制相關的術語與風險處理和風險控制相關的術語n1、全面風險管理的基本概念，教材是全面風險管理整合框架。n2、全面風險管理的應用，即“企業(yè)內(nèi)部控制基本規(guī)范及其指引”。n3、企業(yè)全面風險管理體系的建立原則、程序和主要步驟。17n1、基本課件3個：全面風險管理整合框架、企業(yè)內(nèi)部控制基本規(guī)范、全面風險管理體系設計。n2、擴展課件3個：企業(yè)內(nèi)部控制指引第1號至第18號。n3、參考教案2個：企業(yè)內(nèi)部控制評價指引、企業(yè)內(nèi)部控制審計指引。18n1、全面

9、風險管理整合框架，東北財經(jīng)大學出版社。n2、企業(yè)內(nèi)部控制規(guī)范，中國財政經(jīng)濟出版社。19COSO發(fā)布發(fā)布20n一、常用術語；一、常用術語；n二、概述二、概述n三、基本概念三、基本概念n四、企業(yè)全面風險管理的要素四、企業(yè)全面風險管理的要素n1、內(nèi)部環(huán)境 2、目標設定n3、事項識別 4、風險評估n5、風險應對 6、控制活動n7、信息與溝通 8、監(jiān)控2122n不確定性（不確定性（uncertainty）n不能事先知道未來事項的確切可能性或影響。n不確定性來源于不能準確地確定事項發(fā)生的可能性以及所帶來的影響。不確定性也是主體的戰(zhàn)略選擇所帶來和導致的。23n 機會（機會（opportunity）n一個事項

10、將會發(fā)生并對目標的實現(xiàn)產(chǎn)生正面影響的可能性。24n風險（風險（risk）n一個事項將會發(fā)生并對目標的實現(xiàn)產(chǎn)生負面影響的可能性。25n可能性（可能性（likelihood）n一個給定的事項將會發(fā)生的或然性。n相關的術語有時有著更加具體的含義，“可能性”意味著用定性語言表示的一個給定事項將會發(fā)生的或然性，例如高、適中和低，或者其他的判斷性衡量尺度；而“概率”則意味著定量性的測度，例如百分比、發(fā)生的頻率，或者其他數(shù)量化的尺度。26n企業(yè)風險管理企業(yè)風險管理過程（過程（enterprise risk management process）n一個主體中所應用的企業(yè)風險管理的同義詞。27n固有風險（固有風

11、險（inherent risk）n一個主體在管理層不采取任何措施來改變風險的可能性或影響的情況下所面臨的風險。28n剩余風險（剩余風險（residual risk）n管理層采取措施改變風險的可能性或影響之后殘存的風險。29n風險容量（風險容量（risk appetite）n公司或其他主體在追求其使命（或愿景）的過程中所愿意承受的風險的廣泛意義的水平。30n風險容限（風險容限（risk tolerance）n與實現(xiàn)一項目標相關的可承受的偏離程度。31n合理保證合理保證（reasonable assurance）n這個概念意味著不管企業(yè)風險管理設計和運行得有多么好，也不能就一個主體的目標的實現(xiàn)提供

12、擔保。n這是因為企業(yè)風險管理有固有局限。32n固有局限（固有局限（inherent limitations）n企業(yè)風險管理的那些局限。n這些局限與人類判斷的有限性、資源約束以及需要對照期望的效益去考慮控制的成本，可能發(fā)生故障的現(xiàn)實，以及管理層凌駕和串通的可能性有關。33n內(nèi)部控制內(nèi)部控制（internal control）n一個由主體的董事會、管理層和其他人員實施的、旨在就以下各類目標的實現(xiàn)提供合理保證的過程：n經(jīng)營的有效性和效果；n財務報告的可靠性；n符合適用的法律和法規(guī)。34n內(nèi)部控制內(nèi)部控制系統(tǒng)（系統(tǒng)（internal control system）n一個主體所應用的內(nèi)部控制的同義詞。3

13、5n構成要素（構成要素（component）n企業(yè)風險管理有八個構成要素：主體的內(nèi)部環(huán)境，目標設定，事項識別，風險評估，風險應對，控制活動，信息與溝通，以及監(jiān)控。36n目標類別（目標類別（objectives category）n主體的四類目標戰(zhàn)略、經(jīng)營的有效性和效率、報告的可靠性以及符合適用的法律和法規(guī)中的一種。n這些類別有交叉，所以一個特定的目標可能會歸入超過一個類別。37n戰(zhàn)略（戰(zhàn)略（strategic）n與目標連用：必須致力于與主體的使命（或愿景）相協(xié)調(diào)并支持它的高層次的目的。38n經(jīng)營（經(jīng)營（operations）n與目標連用：必須致力于主體活動的有效性和效率，包括業(yè)績和贏利目標，以

14、及保護資源不受損失。39n控制（控制（control）n（1）一個名詞，表示一個項目，例如存在一項控制屬于內(nèi)部控制的一部分的一項政策或程序?？刂瓶赡艽嬖谟诎藗€構成要素的任何一個之中。n（2）一個名詞，表示一種狀態(tài)或情形，例如實現(xiàn)控制用來進行控制的政策和程序的結果；其結果可能是有效的內(nèi)部控制，也可能不是。n（3）一個動詞，例如控制監(jiān)管；制訂或執(zhí)行一項實現(xiàn)控制的政策。40n一般控制（一般控制（general controls）n幫助確保計算機信息系統(tǒng)持續(xù)、正常運行的政策和程序。n它們包括針對信息技術管理、信息技術基礎結構、安全管理以及軟件獲取、開發(fā)和維護的控制。n一般控制支持設定應用控制的運行。n

15、有時用來描述一般控制的其他術語是一般計算機控制和信息技術控制。41n應用控制應用控制（application controls）n為了幫助確保信息處理的完整性和準確性而設計的應用軟件中的設定程序和相關的人工程序。n例子包括對輸入數(shù)據(jù)的電腦化編輯核對、數(shù)字序列核對和追查例外報告中所列示項目的人工程序。42n 人工控制（人工控制（manual controls）n利用人工而不是通過計算機來執(zhí)行的控制。43n合規(guī)（合規(guī)（compliance）n與“目標”連用：必須致力于遵守主體所適用的法律和法規(guī)。44n標準（標準（criteria）n據(jù)以在確定有效性時對企業(yè)風險管理進行測度的一系列準繩。n考慮到企業(yè)

16、風險管理的固有局限，企業(yè)風險管理的八個構成要素，代表著針對四類目標中的每一類而言企業(yè)風險管理有效性的標準。45n缺陷（缺陷（deficiency）n在企業(yè)風險管理中值得注意的一種情況，它可能代表著一個已經(jīng)察覺的、潛在的或實際的缺點，或者一個加強企業(yè)風險管理以便為主體的目標將會實現(xiàn)提供更大的可能性的機會。46n設計（設計（design）n（1）意圖。就像在定義中所使用的那樣，企業(yè)風險管理旨在識別可能會影響主體的潛在事項，管理風險使其處于它的風險容量之內(nèi)，并就目標的實現(xiàn)提供合理保證。n（2）計劃；與其實際運行相對照，假定一個過程運行的方式。47n實施（實施（effected）n與企業(yè)風險管理連用：

17、設計和保持。48n主體（主體（entity）n一個為了某個特定的目的而成立的任何規(guī)模的組織。n例如，一個主體可能是一家經(jīng)營性的企業(yè)、非營利組織、政府團體或者學術性機構。n用作同義詞的術語包括組織和企業(yè)。49n事項（事項（event）n一個源自主體內(nèi)部或外部的影響目標實現(xiàn)的事故或事件。50n影響（影響（impact）n一個事項的結果或后果。n與一個事項相關的可能會有一系列可能的影響。n相對于主體的相關目標而言，一個事項的影響可能是正面的，或是負面的。51n 誠信（誠信（integrity）n合乎良好道德原則的品質或狀態(tài)；正直，誠實和真實；做正確的事情、承認并遵從一套價值觀和期望的意愿。52n報告

18、（報告（reporting）n與目標連用：必須致力于主體報告的可靠性，包括有關財務和非財務信息的內(nèi)部和外部報告。53n管理層管理層干預干預（management intervention）n管理層出于合法的目的而破壞既定的政策或程序的行為，通常有必要通過管理層干預來處理非重復性的和非標準的交易或事項，否則可能會被系統(tǒng)不恰當?shù)靥幚恚ò堰@個術語與管理層凌駕相對照）。54n管理層管理層凌駕凌駕（management override）n管理層出于個人利益企圖或不恰當?shù)靥搱笾黧w的財務狀況或合規(guī)情況等不合法的目的而破壞既定的政策或程序（把這個術語與管理層干預相對照）。55n管理過程（管理過程（manag

19、ement process）n管理層為運營一個主體所采取的各種行動。n企業(yè)風險管理是管理過程的一部分，并與其相結合。56n政策（政策（policy）n管理層關于應該做什么來實現(xiàn)控制的指示。政策充當所執(zhí)行程序的依據(jù)。57n程序程序（procedure）n執(zhí)行一項政策的一個行動。58n利益相關者（利益相關者（stakeholders）n受到主體影響的各個方面，例如股東、主體運營所在的社區(qū)、員工、客戶和供應商。5960nCOSO委員會的定義：n企業(yè)風險管理是一個過程，它由一個主體的董事會、管理層和其他人員實施，應用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在主體的風

20、險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證。61n二六年六月六日，國務院國有資產(chǎn)監(jiān)督管理委員會制定的中央企業(yè)全面風險管理指引的定義：n全面風險管理，指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。62n自1992年美國COSO委員會（全美反舞弊性財務報告委員會）發(fā)布COSO內(nèi)部控制整合框架以來，該框架已在全球獲得廣泛的認可和應用。n2001年，針對安然事件等一系列令人矚

21、目的企業(yè)丑聞和失敗事件，投資者、公司員工和其他利益相關者因此而受到了巨大的損失。隨之而來的是對采用新的法律、法規(guī)和上市準則來加強公司治理和風險管理的呼吁。63n這樣，對一個提供關鍵原則和概念、共同的語言以及明晰的方向和指南的企業(yè)風險管理框架的需要變得尤為迫切。n為此，COSO委員會推出了企業(yè)風險整合框架，這個文件滿足了企業(yè)和其他相關方的這些要求，并得到了企業(yè)和其他組織廣泛認可。n2008年5月22日我國國務院五部門下發(fā)了關于印發(fā)的通知，正式將全面風險管理引入我國，使全面風險管理成為我國公司治理和企業(yè)管理的重要內(nèi)容。64n2012年2月6日國務院在質量發(fā)展綱要(2011-2020年)中提出了“實

22、施質量安全風險管理”的要求，因此，學習和實踐全面風險管理成為企業(yè)質量安全風險管理的必由之路。n由于質量管理已經(jīng)發(fā)展為全面質量管理，企業(yè)的質量風險管理也不僅僅是質量管理部門的職責，而應該與企業(yè)的全面風險控制相結合，只有這樣，企業(yè)的質量風險控制才是有效的。n全面風險管理為質量安全風險管理提供了一個清晰地框架，只要企業(yè)能夠從這個框架的8個方面和4個方面的目標建立和實施全面風險管理，企業(yè)的質量安全風險就應該是可控的（處于組織的風險容量和風險容限之內(nèi)）。65n卓越績效評價準則中，規(guī)定“公司治理” 的內(nèi)容是：n在組織的監(jiān)管中實行的管理和控制系統(tǒng)。包括批準戰(zhàn)略方向、監(jiān)視和評價高層領導績效、財務審計、風險管理

23、、信息披露等活動。n風險控制是公司治理的重要內(nèi)容之一。66n卓越績效評價準則4.1“領導”條款n4.1.4.2.3 說明為滿足法律法規(guī)要求和達到更高水平而采用的關鍵過程及績效指標，以及在應對產(chǎn)品、服務和運營的相關風險方面的關鍵過程及績效指標。67n卓越績效評價準則 4.2“戰(zhàn)略”條款n4.2.2.2.2 如何確保制定戰(zhàn)略時考慮下列關鍵因素，如何就這些因素收集和分析有關的數(shù)據(jù)和信息：nn經(jīng)濟、社會、道德、法律法規(guī)以及其它方面的潛在風險；68n卓越績效評價準則 4.4“資源”條款n4.4.3 財務資源財務資源n如何確定資金需求，保證資金供給。如何實施資金預算管理、成本管理和財務風險管理，將資金的實

24、際使用情況與計劃相比較，及時采取必要的措施，適時調(diào)整。如何加快資金周轉，提高資產(chǎn)利用率，以實現(xiàn)財務資源的最優(yōu)配置，并提高資金的使用效率和安全。69n卓越績效評價準則實施指南n4.1.2高層領導的作用高層領導的作用nf) 持續(xù)經(jīng)營旨在實現(xiàn)基業(yè)常青。為推動和確保持續(xù)經(jīng)營，組織應培育和增強風險意識，開展戰(zhàn)略、財務、市場、運營、法律、安全、環(huán)境、質量等方面的風險管理，提升應對動態(tài)的內(nèi)外部環(huán)境的戰(zhàn)略管理和運營管理能力，并重視培養(yǎng)組織未來的各層次領導者。70n卓越績效評價準則實施指南n4.1.4.2公共責任公共責任nc) 組織應識別、獲取在上述各方面的法律法規(guī)要求，并識別和評估相應的風險，建立遵循法律法規(guī)

25、要求和應對相關風險的關鍵過程及績效指標，包括預防、控制程序和改進方案，在確保滿足法律法規(guī)要求的基礎上持續(xù)改進，達到更高水平。71n卓越績效評價準則實施指南n4.4.3財務資源財務資源n組織進行財務風險評估，提出并實施風險管理解決方案，確保和提高財務安全性。72n內(nèi)部控制是由一個企業(yè)董事會、管理人員和其他職員實施的一個過程。其目的是為提高經(jīng)營活動的效果和效率、確保財務報告的可靠性、促使與可適應的法律相符合提供一種合理的保證。COSO內(nèi)部控制的整體框架 1992n全面風險管理是一個過程，它由一個主體的董事會、管理層和其他人員實施，應用于戰(zhàn)略制訂并貫穿于企業(yè)之中，用于識別那些可能影響主體的潛在事件，

26、管理風險以使其在該主體的風險偏好之內(nèi)，并為主題目標的實現(xiàn)提供合理的保證。COSO企業(yè)風險管理整合框架 200473n兩者的聯(lián)系：n（1）全面風險管理涵蓋了內(nèi)部控制。COSO框架中明確地指出全面風險管理體系框架包括企業(yè)內(nèi)部控制的全部內(nèi)容，將之作為一個子系統(tǒng)。 n（2）內(nèi)部控制是全面風險管理的必要環(huán)節(jié)。內(nèi)部控制的動力來自企業(yè)對風險的認識和管理，對于企業(yè)所面臨的大部分運營風險，或者說對于在企業(yè)的所有業(yè)務流程之中的風險，內(nèi)控系統(tǒng)是必要的、高效的和有效的風險管理方法。同時，維持充分的內(nèi)控系統(tǒng)也是國內(nèi)外許多法律法規(guī)的合規(guī)要求。因此，滿足內(nèi)部控制系統(tǒng)的要求也是企業(yè)風險管理體系建立應該達到的基本狀態(tài)。7475

27、n一、風險管理的定位（在企業(yè)管理和治理中的地位）：一、風險管理的定位（在企業(yè)管理和治理中的地位）：n企業(yè)風險管理的基礎性前提是每一個主體的存在都是為它的利益相關者提供價值。n所有的主體都面臨不確定性，管理層所面臨的挑戰(zhàn)就是在為增加利益相關者價值而奮斗的同時，要確定承受多大的不確定性。n不確定性可能會破壞或增加價值，因而它既代表風險，也代表機會。n企業(yè)風險管理使管理層能夠有效地應對不確定性以及由此帶來的風險和機會，增進創(chuàng)造價值的能力。76n風險管理的作用：風險管理的作用：n當管理層通過制訂戰(zhàn)略和目標，力求實現(xiàn)增長和報酬目標以及相關的風險之間的最優(yōu)平衡，并且在追求所在主體的目標的過程中高效率和有效

28、地調(diào)配資源時，價值得以最大化。n企業(yè)風險管理包括：77n作用：作用：n、協(xié)調(diào)風險容量（協(xié)調(diào)風險容量（risk appetite） 與與戰(zhàn)戰(zhàn)略略管理層在評價備選的戰(zhàn)略、設定相關目標和建立相關風險的管理機制的過程中，需要考慮所在主體的風險容量。78n作用：作用：n、增進風險應對決策增進風險應對決策企業(yè)風險管理為識別和在備選的風險應對風險回避、降低、分擔和承受之間進行選擇提供了嚴密性。79n作用：作用：n、抑減經(jīng)營意外和損失抑減經(jīng)營意外和損失主體識別潛在事項和實施應對的能力得以增強，抑減了意外情況以及由此帶來的成本或損失。80n作用：作用：n、識別和管理多重的和貫穿于企業(yè)的風險識別和管理多重的和貫穿

29、于企業(yè)的風險每一家企業(yè)都面臨影響組織的不同部分的一系列風險，企業(yè)風險管理有助于有效地應對交互影響，以及整合式地應對多重風險。81n作用：作用：n、抓住機會抓住機會通過考慮全面范圍內(nèi)的潛在事項，促使管理層識別并積極地實現(xiàn)機會。82n作用：作用：n、改善資本調(diào)配改善資本調(diào)配獲取強有力的風險信息，使得管理層能夠有效地評估總體資本需求，并改進資本配置。83n企業(yè)風險管理所固有的這些能力幫助管理層實現(xiàn)所在主體的業(yè)績和贏利目標，防止資源損失。n企業(yè)風險管理有助于確保有效的報告以及符合法律和法規(guī)，還有助于避免對主體聲譽的損害以及由此帶來的后果。84n風險是一個事項將會發(fā)生并給目標實現(xiàn)帶來負面影響的可能性。n

30、事項是源于內(nèi)部或外部的影響目標實現(xiàn)的事故或事件。n事項可能會帶來負面的影響，也可能會帶來正面的影響，抑或二者兼而有之。帶來負面影響的事項代表風險。帶有負面影響的事項阻礙價值創(chuàng)造，或者破壞現(xiàn)有價值。85n帶來正面影響的事項可能會抵消負面影響，或者說代表機會。n機會是一個事項將會發(fā)生并對目標的實現(xiàn)產(chǎn)生正面影響的可能性。n機會支持價值創(chuàng)造或保持。n管理層把機會反饋到戰(zhàn)略或目標制訂過程中，以便制訂計劃去抓住機會。86n企業(yè)風險管理處理影響價值創(chuàng)造或保持的風險和機會風險和機會，定義如下： n企業(yè)風險管理是一個過程，它由一個主體的董事會、管理層和其他人員實施，應用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會

31、影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證。87n這個定義反映了幾個基本概念。n企業(yè)風險管理是： 一個過程，它持續(xù)地流動于主體之內(nèi)； 由組織中各個層級的人員實施； 應用于戰(zhàn)略制訂； 貫穿于企業(yè)，在各個層級和單元應用，還包括采取主體層級的風險組合觀； 旨在識別一旦發(fā)生將會影響主體的潛在事項，并把風險控制在風險容量以內(nèi)； 能夠向一個主體的管理層和董事會提供合理保證； 力求實現(xiàn)一個或多個不同類型但相互交叉的目標。88n企業(yè)風險管理并不是靜止的，而是滲透于一個主體的各種活動的持續(xù)的或反復的相互影響。n建立企業(yè)風險管理對于抑制成本具有重要意義，尤其是在許多公

32、司所面臨的高度競爭的市場中更是如此。89n在現(xiàn)有程序之外增加新的程序會增加成本。通過關注現(xiàn)有的經(jīng)營業(yè)務以及它們對有效的企業(yè)風險管理的貢獻，并將風險管理整合到基本的經(jīng)營活動之中，企業(yè)就能夠避免不必要的程序和成本。n把企業(yè)風險管理建立在經(jīng)營業(yè)務的基本框架之中的做法，可以幫助管理層識別新的機會，以便抓住這些機會實現(xiàn)業(yè)務增長。90嵌入現(xiàn)有的管理中嵌入現(xiàn)有的管理中n在主體既定的使命或愿景（vision）范圍內(nèi)，管理層制訂戰(zhàn)略目標、選擇戰(zhàn)略，并在企業(yè)內(nèi)自上而下設定相應的目標。n企業(yè)風險管理框架力求實現(xiàn)主體的以下四種類型的目標： n戰(zhàn)略戰(zhàn)略（strategic）目標高層次目標，與使命相關聯(lián)并支撐其使命；n經(jīng)

33、營經(jīng)營（operations）目標有效和高效率地利用其資源；n報告報告（reporting）目標報告的可靠性；n合規(guī)合規(guī)（compliance）目標符合適用的法律和法規(guī)。91n對主體目標的這種分類可以使我們關注企業(yè)風險管理的不同側面。n這些各不相同但卻相互交叉的類別一個特定的目標可以歸入多個類別，反映了主體的不同需要，而且可能會成為不同管理人員的直接責任。n這個分類還有助于區(qū)分從每一類目標中能夠期望的是什么。n一些主體采用的另一類目標保護資源也包含在上述類別之內(nèi)。92n因為有關報告的可靠性和符合法律、法規(guī)的目標在在主體的控制范圍之內(nèi)主體的控制范圍之內(nèi)，所以可以期望企業(yè)風險管理為實現(xiàn)這些目標提供

34、合理保證。n但是，戰(zhàn)略目標和經(jīng)營目標的實現(xiàn)取決于并不一定并不一定總在主體控制范圍之內(nèi)的外部事項總在主體控制范圍之內(nèi)的外部事項，對于這些目標而言，企業(yè)風險管理能夠合理地保證管理層和起監(jiān)督作用的董事會及時地了解主體朝著實現(xiàn)目標前進的程度。n說明：控制范圍之內(nèi)的目標和控制范圍之外的目標，說明：控制范圍之內(nèi)的目標和控制范圍之外的目標，由此加深對兩類質量的概念的理解。由此加深對兩類質量的概念的理解。93n企業(yè)風險管理包括八個相互關聯(lián)的構成要素。它們來源于管理層經(jīng)營企業(yè)的方式，并與管理過程整合在一起。這些構成要素是：n說明：以下說明：以下8 8個要素將企業(yè)風險管理抽象個要素將企業(yè)風險管理抽象的理念轉化為具

35、體的、可操作的管理要的理念轉化為具體的、可操作的管理要素，企業(yè)只要落實了這些要素，企業(yè)的素，企業(yè)只要落實了這些要素，企業(yè)的風險就是可控的。風險就是可控的。94n內(nèi)部環(huán)境包含組織的基調(diào)，它為主體內(nèi)的人員如何認識和對待風險設定了基礎，包括風險管理理念和風險容量、誠信和道德價值觀，以及他們所處的經(jīng)營環(huán)境。95n必須先有目標，管理層才能識別影響目標實現(xiàn)的潛在事項。n企業(yè)風險管理確保管理層采取適當?shù)某绦蛉ピO定目標，確保所選定的目標支持和切合該主體的使命，并且與它的風險容量相符。96n必須識別影響主體目標實現(xiàn)的內(nèi)部和外部事項，區(qū)分風險和機會。n機會被反饋到管理層的戰(zhàn)略或目標制訂過程中。97n通過考慮風險的

36、可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據(jù)。風險評估應立足于固有風險和剩余風險。98n管理層選擇風險應對回避、承受、降低或者分擔風險采取一系列行動以便把風險控制在主體的風險容限（risk tolerance）和風險容量以內(nèi)。99n制訂和執(zhí)行政策與程序以幫助確保風險應對得以有效實施。100n相關的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。n有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。101n對企業(yè)風險管理進行全面監(jiān)控，必要時加以修正。n監(jiān)控可以通過持續(xù)的管理活動、個別評價或者兩者結合來完成。102n企業(yè)風險管理并不是一個嚴格的順次過程，一個構

37、成要素并不是僅僅影響接下來的那個構成要素。n它是一個多方向的、反復的過程，在這個過程中幾乎每一個構成要素都能夠、也的確會影響其他構成要素。103n任何兩個主體都不可能，也不應該以同樣的方式應用企業(yè)風險管理。n公司和它們的企業(yè)風險管理能力和需求由于行業(yè)和規(guī)模，以及管理理念和文化的不同而大相徑庭。n盡管所有的主體都應該具備每一個構成要素并有效運行，但是公司對企業(yè)風險管理的應用，包括采用的工具和技巧以及職能與責任的劃分通常會各不相同。104n目標是指一個主體力圖實現(xiàn)什么，企業(yè)風險管理的構成要素則意味著需要什么來實現(xiàn)它們，二者之間有著直接的關系。n這種關系可以通過一個三維矩陣以立方體的形式表示出來。1

38、05n目標是指一個主體力圖實現(xiàn)什么，企業(yè)風險管理的構成要素則意味著需要什么來實現(xiàn)它們，二者之間有著直接的關系。n這種關系可以通過一個三維矩陣以立方體的形式表示出來。106n四種類型的目標戰(zhàn)略、經(jīng)營、報告和合規(guī)用垂直方向的欄表示，八個構成要素用水平方向的行表示，而一個主體內(nèi)的各個單元則用第三個維度表示。n這種表示方式使我們既能夠從整體上關注一個主體的企業(yè)風險管理，也可以從目標類別、構成要素或主體單元的角度，乃至其中的任何一個分項的角度去加以認識。107108內(nèi)部環(huán)境內(nèi)部環(huán)境目標設定目標設定事項識別事項識別風險評估風險評估風險應對風險應對控制活動控制活動信息與溝通信息與溝通監(jiān)控監(jiān)控主體層次主體層次

39、分部分部業(yè)務單元業(yè)務單元子公司子公司n認定一個主體的企業(yè)風險管理是否“有效”，是在對八個構成要素是否存在和有效運行進行評估的基礎之上所作的判斷。n因此，構成要素也是判定企業(yè)風險管理有因此，構成要素也是判定企業(yè)風險管理有效性的標準。效性的標準。n構成要素如果存在并且正常運行，那么就可能沒有重大缺陷，而風險則可能已經(jīng)被控制在主體的風險容量范圍之內(nèi)。109n如果確定企業(yè)風險管理在所有四類目標上都是有效的，那么董事會和管理層就可以合理保證他們了解主體實現(xiàn)其戰(zhàn)略和經(jīng)營目標、主體的報告可靠以及符合適用的法律和法規(guī)的程度。n八個構成要素在每個主體中的運行并不是千篇一律的。例如，在中小規(guī)模主體中的應用可能不太

40、正式，不太健全。n盡管如此，當八個構成要素存在且正常運行時，小規(guī)模主體依然會擁有有效的企業(yè)風險管理。110n內(nèi)部控制是企業(yè)風險管理不可分割的一部分。這份企業(yè)風險管理框架涵蓋了內(nèi)部控制，從而構建了一個更強有力的概念和管理工具。n內(nèi)部控制是在內(nèi)部控制整合框架中加以定義和描述的。由于該框架經(jīng)受了時間的考驗，并且成為現(xiàn)行規(guī)則、法規(guī)和法律的基礎，因此那份文件對內(nèi)部控制的定義和框架依然有效。n盡管內(nèi)部控制整合框架的正文中只有一部分被本框架所引用，但是本框架通過參考的方式把該框架整體融合了進來。111112n、內(nèi)部環(huán)境；n、目標設定；n、事項識別；n、風險評估；n、風險應對；n、控制活動；n、信息與溝通；n

41、、監(jiān)控。113內(nèi)部環(huán)境內(nèi)部環(huán)境114n內(nèi)部環(huán)境包含組織的基調(diào)，它影響組織中人員的風險意識，是企業(yè)風險管理所有其他構成要素的基礎，為其他要素提供約束和結構。n內(nèi)部環(huán)境因素包括主體的風險管理理念、它的風險容量、董事會的監(jiān)督、主體中人員的誠信、道德價值觀和勝任能力，以及管理層分配權力和職責、組織和開發(fā)其員工的方式。115n內(nèi)部環(huán)境是企業(yè)風險管理所有其他構成要素的基礎，為其他要素提供約束和結構。n它影響著戰(zhàn)略和目標如何制訂、經(jīng)營活動如何組織以及如何識別、評估風險并采取行動。n它還影響著控制活動、信息與溝通體系和監(jiān)控措施的設計與運行。116n內(nèi)部環(huán)境受到主體的歷史和文化的影響。它包含許多要素，包括主體的

42、道德價值觀、員工的勝任能力和開發(fā)、管理層管理風險的理念以及如何分配權力和職責。n董事會是內(nèi)部環(huán)境的一個關鍵部分，它對其他的內(nèi)部環(huán)境要素有重大的影響。117n盡管所有要素都很重要，但是對每個要素的強調(diào)程度會因主體而異。n舉例來說，一家員工較少、專注化經(jīng)營的公司的首席執(zhí)行官可能就不會制訂正式的職責劃分和具體的經(jīng)營政策。n但是，這家公司也會有為企業(yè)風險管理提供合適基礎的內(nèi)部環(huán)境。118n一個主體的風險管理理念是一整套共同的信念和態(tài)度，它決定著該主體在做任何事情從戰(zhàn)略制訂和執(zhí)行到日常的活動時如何考慮風險。n風險管理理念反映了主體的價值觀，影響它的文化和經(jīng)營風格，并且決定如何應用企業(yè)風險管理的構成要素，

43、包括如何識別風險，承擔哪些風險，以及如何管理這些風險。119n企業(yè)的風險管理理念實質上反映在管理層在經(jīng)營該主體的過程中所做的每一件事情上。n它可以從政策表述、口頭和書面的溝通以及決策中反映出來。n無論管理層是強調(diào)書面的政策、行為準則、業(yè)績指標和例外報告，還是更為非正式地大量通過與關鍵的管理者面對面的接觸來進行運營，至關重要的是管理層不僅要通過口頭、而且還要通過日常的行動來強化這種理念。120n風險容量是一個主體在追求價值的過程中所愿意承擔的廣泛意義上的風險的數(shù)量。n它反映了企業(yè)的風險管理理念，進而影響了主體的文化和經(jīng)營風格。121n風險容量在戰(zhàn)略制訂的過程中加以考慮，來自一項戰(zhàn)略的期望報酬應該

44、與主體的風險容量相協(xié)調(diào)。n不同的戰(zhàn)略會使主體面臨不同程度的風險，應用于戰(zhàn)略制訂過程的企業(yè)風險管理幫助管理層選擇一個與主體的風險容量相一致的戰(zhàn)略。n主體運用類似高、適中或低等類別，從質的角度考慮風險容量，或者運用數(shù)量化的方法，來反映和平衡增長、報酬和風險方面的目標。122n一個主體的董事會是內(nèi)部環(huán)境的關鍵部分，它對其要素有著重大影響。n董事會對于管理層的獨立性、其成員的經(jīng)驗和才干、對活動參與和審察的程度，以及其行為的適當性都起著重要的作用。123n由于董事會必須準備去質疑和仔細審查管理層的活動，提出不同的觀點，并針對不當行為采取行動，因此董事會必須包含外部董事。n高級管理層的成員可能帶來他們對公

45、司的深入了解，從而成為有效的董事會成員。n但是必須有足夠數(shù)量的獨立外部董事，他們不但要提供合理的建議、咨詢和指導，而且還要對管理層形成必要的牽制和制衡。n要想使內(nèi)部環(huán)境有效，董事會中的獨立外部董事必須至少占多數(shù)。124n有效的董事會能確保管理層保持有效的風險管理。n盡管一家企業(yè)在過去可能沒有遭受損失、沒有暴露出明顯的重大風險，董事會也不能天真地認定帶有嚴重負面后果的事項“在這里不會發(fā)生在這里不會發(fā)生”。n應該認識到，盡管一家公司可能有合理的戰(zhàn)略、勝任的員工、合理的經(jīng)營流程和可靠的技術，但是它和所有的主體一樣，對于風險而言都很脆弱，因此也需要有效運行的風險管理。125n主體的戰(zhàn)略和目標以及它們得

46、以推行的方式建立在偏好、價值判斷和管理風格的基礎之上。管理層的誠信和對道德價值觀的要求影響這些轉化為行為準則的偏好和判斷。n因為一個主體的良好聲譽是如此有價值，所以行為的準則應該不僅僅只是遵循法律。n經(jīng)營良好的企業(yè)的管理者越來越接受這樣的觀點，那就是道德是值得的，道德行為就是良好的經(jīng)營。126n管理層的誠信是一個主體活動的所有方面的道德行為的先決條件。企業(yè)風險管理的有效性不可能脫離那些創(chuàng)造、管理和監(jiān)督主體活動的人的誠信和道德價值觀。n誠信和道德價值觀是一個主體內(nèi)部環(huán)境的關鍵要素，它影響著企業(yè)風險管理其他構成要素的設計、管理和監(jiān)控。127n、不良誘惑可能破壞企業(yè)的誠信和價值觀。n、管理上的忽視可

47、能破壞企業(yè)的誠信和價值觀。n、對違反守則的行為的懲戒，對模范遵守守則的激勵，鼓勵員工報告所懷疑的違反行為，對知情不報者給予處罰。n、領導的模范帶頭作用對價值觀的落實十分重要。128n勝任能力反映實現(xiàn)規(guī)定的任務所需要的知識和技能。n管理層通過在主體的戰(zhàn)略和目標與它們的執(zhí)行和實現(xiàn)計劃之間進行權衡，來決定這些任務應該完成到什么程度。129n通常會存在能力與成本之間的權衡，比如說，沒有必要去雇用一個電氣工程師來更換燈泡。130n管理層明確特定崗位的勝任能力水平勝任能力水平，并把這些水平轉換成所需的知識和技能。而這些必要的知識和技能可能又取決于個人的智力、培訓和經(jīng)驗。n在開發(fā)知識和技能水平的過程中所考慮

48、的因素包括一個具體崗位所運用判斷的性質和程度判斷的性質和程度。n通常會在監(jiān)督的范圍監(jiān)督的范圍和所需的勝任能力水平勝任能力水平之間作出權衡。n勝任能力比較差的，監(jiān)督可能就需要比較強一些。勝任能力比較差的，監(jiān)督可能就需要比較強一些。131n一個主體的組織結構提供了計劃、執(zhí)行、控制和監(jiān)督其活動的框架。n相關的組織結構包括確定權力與責任的確定權力與責任的關鍵界區(qū)關鍵界區(qū)，以及確立恰當?shù)膱蟾嫱緩角‘數(shù)膱蟾嫱緩健?32n主體建立適合其需要的組織結構。有的是集權型的，有的是分權型的。有的有著直接報告關系，而其他的則更接近于矩陣型組織。n一些主體按照行業(yè)或產(chǎn)品線、按照地理位置或者按照特定的配送或營銷網(wǎng)絡來進行

49、組織。而其他的主體，包括很多州和地方政府單位以及非營利機構，則按照職能進行組織。133n一個主體的組織結構的適當性適當性取決于它的規(guī)模和所從事活動的性質。n1、有著正式的報告途徑和職責的高度結構化的組織，可能適合于擁有很多經(jīng)營分部、包括外國業(yè)務的大型主體大型主體。n2、在一家小公司小公司中，這種結構可能會阻礙必要的信息流動。134n權力和職責權力和職責包括哪些內(nèi)容：包括哪些內(nèi)容：n權力和職責的分配涉及到個人和團隊被授權并鼓勵發(fā)揮主動性去指出問題和解決問題的程度，以及對他們的權力的限制。n它包括確立報告關系和授權規(guī)程，以及描述恰當經(jīng)營活動的政策，關鍵人員的知識和經(jīng)驗，和為履行職責而賦予的資源。1

50、35n一些主體將權力下放權力下放，以便使決策更接近于一線的人員。公司可以采取這種方式而變得更具市場驅動的特點，或者更關注質量或許是消除缺陷、縮短周轉時間或者提高客戶滿意度。n通常通過將權力與受托責任相結合權力與受托責任相結合來鼓勵個人在限定的范圍內(nèi)發(fā)揮主動性。n權力的委派意味著將特定經(jīng)營決策的核心控制權交給較低的層級給那些更靠近日常經(jīng)營業(yè)務的人員。n這可能包括授權以折扣價格銷售產(chǎn)品，商談長期供貨合同、許可或專利，或者參加聯(lián)盟或合營企業(yè)。136n授權并不是簡單的權利下放，更不能成為推卸責任的借口，在授權時需要考慮的兩個問題：n、僅僅針對實現(xiàn)目標所需要的范圍來進行授權；n、確保所有的人員都了解主體

51、的目標。137n內(nèi)容和例子：內(nèi)容和例子：n包括雇用、定位、培訓、評價、咨詢、晉升、付酬和采取補償措施在內(nèi)的人力資源業(yè)務向員工傳達著有關誠信、道德行為和勝任能力的期望水平方面的信息。n例如，強調(diào)教育背景、前期工作經(jīng)驗、過去的成就和有關誠信和道德行為的證據(jù)，以便雇用資質最好的個人的準則，表明了一個主體對勝任和可信任人員的承諾。138n教育和培訓的重要性：教育和培訓的重要性：n隨著貫穿于主體之中的問題和風險的變化和愈加復雜部分原因在于急劇變革的技術和日益激烈的競爭，很有必要把員工武裝起來以應對新的挑戰(zhàn)。n教育和培訓，不管是課堂講授、自學還是在職培訓，都必須有助于個人跟上環(huán)境變革的步伐并能有效地應對。

52、n雇用勝任的人員和提供一次性培訓是不夠的。教育過程是持續(xù)的。139n內(nèi)部環(huán)境對風險控制的影響：內(nèi)部環(huán)境對風險控制的影響：n一個主體內(nèi)部環(huán)境的重要性和它對企業(yè)風險管理的其他構成要素所能產(chǎn)生的正面或負面影響，怎么強調(diào)都不過分。n一個無效的內(nèi)部環(huán)境的影響會很廣泛，可能會導致質量風險、財務損失、損害公眾形象，或經(jīng)營失敗。140n高級管理層對有效企業(yè)風險管理的態(tài)度和關注必須明確而清晰，并滲透到組織之中。n光說得正確是不夠的。n那種“按我說的去做，而不是按我做的去做”的態(tài)度，只會帶來一個無效的環(huán)境。141目標設定目標設定142n設定戰(zhàn)略層次的目標，為經(jīng)營、報告和合規(guī)目標奠定了基礎。n每一個主體都面臨來自外

53、部和內(nèi)部的一系列風險，確定目標是有效的事項識別、風險評估和風險應對的前提。n目標與主體的風險容量相協(xié)調(diào)，后者決定了主體的風險容限水平。 143n目標設定是事項識別、風險評估和風險應對的前提。n在管理層識別和評估實現(xiàn)目標的風險并采取行動來管理風險之前，首先必須有目標。144n一個主體的使命從廣義上確定了該主體希望實現(xiàn)什么。n不管采用什么術語，諸如“使命”、“愿景”或是“目的”，重要的是管理層，在董事會的監(jiān)督下，明確確定了主體存在的廣泛意義上的原因。145n管理層設定戰(zhàn)略目標，進行戰(zhàn)略規(guī)劃，并為組織確定相關的經(jīng)營、合規(guī)和報告目標。n盡管一個主體的使命和戰(zhàn)略目標一般是穩(wěn)定的，但是它的戰(zhàn)略和許多相關的

54、目標卻更多是動態(tài)的，并且會隨著內(nèi)部和外部條件的變化而調(diào)整。n隨著它們的變化，戰(zhàn)略和相關的目標會重新調(diào)整以便與戰(zhàn)略目標相協(xié)調(diào)。146n戰(zhàn)略目標是高層次的目標，它與主體的使命/愿景相協(xié)調(diào)，并支持后者。n戰(zhàn)略目標反映了管理層就主體如何努力所作出的。n在考慮實現(xiàn)戰(zhàn)略目標的備選方式時，管理層要識別與一系列戰(zhàn)略選擇相關聯(lián)的風險，并考慮它們的影響。147n相對于主體的所有活動而言，制訂支持選定的戰(zhàn)略并與之相協(xié)調(diào)的正確的目標是成功的關鍵。n通過首先關注戰(zhàn)略目標和戰(zhàn)略，主體可能建立主體層次上的相關目標，它們的實現(xiàn)將會創(chuàng)造和保持價值。n主體層次的目標與更多的具體目標相關聯(lián)和整合，這些具體目標貫穿于整個組織，細化為

55、針對諸如銷售、生產(chǎn)和工程設計等各項活動和基礎職能機構所確立的次級目標。148n通過設定主體和活動層次的目標，主體能夠識別。n要想達到目的，就必須正確處理好這些關鍵的事情。n關鍵成功因素存在于主體、業(yè)務單元、職能機構、部門或分部之中。n通過設定目標，管理層能夠根據(jù)對關鍵成功因素的關注來確定業(yè)績的計量標準。149n目標需要得到充分了解和可計量。n企業(yè)風險管理要求各個層級的人員根據(jù)各自影響范圍的不同對主體的目標有必要的了解。n所有員工都必須對要實現(xiàn)什么有共同的認識，并且有辦法去計量實現(xiàn)的情況。150n盡管不同主體的目標各不相同，但是大致上可以分成以下幾類： n、經(jīng)營目標這些目標與主體經(jīng)營的有效性和效

56、率有關，包括業(yè)績和贏利目標和保護資源不受損失。n、報告目標這些目標與報告的可靠性有關。它們包括內(nèi)部和外部報告，可能涉及到財務和非財務信息。n、合規(guī)目標這些目標與符合相關法律和法規(guī)有關。151n、特定的目標取決于主體所從事的業(yè)務，需要關注外部施加的要求；n、內(nèi)部目標可能因管理者的偏好、判斷和管理風格而異（例如：產(chǎn)品開發(fā)）；n、對所有主體而言都是最優(yōu)的目標模式是不存在的。152n經(jīng)營目標關系到主體經(jīng)營的有效性和效率。它們包括相關的次級經(jīng)營目標，其目的在于在推動主體實現(xiàn)其終極目的的過程中提高經(jīng)營的有效性和效率。n經(jīng)營目標需要反映主體運營所處的特定的經(jīng)營、行業(yè)和經(jīng)濟環(huán)境。例如，經(jīng)營目標需要與有關質量的

57、競爭壓力、縮短將產(chǎn)品投入市場的周轉時間或者技術的變革相關。153n管理層必須確保這些目標反映了現(xiàn)實和市場需求，并且以有利于進行有意義的業(yè)績計量的方式表達出來。n一套與次級目標相關聯(lián)的清晰的經(jīng)營目標，對成功而言是至關重要的。n經(jīng)營目標為引導所配置的資源提供了一個焦點，如果一個主體的經(jīng)營目標不清晰或者構想不完善，它的資源就可能會被誤導。154n可靠的報告為管理層提供適合其既定目的的準確而完整的信息。n它支持管理層的決策和對主體活動和業(yè)績的監(jiān)控。這類報告的例子包括市場營銷計劃的成果、逐日銷售快報、生產(chǎn)質量和員工與客戶滿意度結果。155n主體從事活動必須符合相關的法律和法規(guī)，通常還必須采取具體措施。n

58、這些要求可能涉及到市場、定價、稅收、環(huán)境、員工福利和國際貿(mào)易。n適用的法律和法規(guī)確定了最低最低的行為準則，主體將其納入合規(guī)目標之中。n一個主體的合規(guī)記錄可能會對它在社會和市場上的聲譽產(chǎn)生極大的正面或負面影響。156n恰當?shù)哪繕嗽O定過程是企業(yè)風險管理的一個至關重要的構成要素。n盡管目標為主體從事活動提供了可計量的基準，但是它們的重要性和優(yōu)先程度各不相同。n雖然一個主體應該合理保證實現(xiàn)特定的目標，但是并不是對所有目標而言都這樣。157n有效的企業(yè)風險管理為主體的報告目標得以實現(xiàn)提供合理保證。同樣，必須合理保證合規(guī)目標的實現(xiàn)。n報告和合規(guī)目標的實現(xiàn)更多的是在主體的報告和合規(guī)目標的實現(xiàn)更多的是在主體的

59、控制范圍之內(nèi)。控制范圍之內(nèi)。n一旦確定了目標，主體對其從事滿足目標所需要的活動的能力具有控制力。158n戰(zhàn)略目標和經(jīng)營目標，就有所不同，因為它們的實現(xiàn)并不完全在主體的控制范圍之內(nèi)。n主體可能像預期的那樣運作，也可能會被競爭者所超越。這是由于外部事項例如政府的變動、惡劣的天氣以及類似的情況的發(fā)生超出了它的控制范圍。n在目標設定過程中甚至可能已經(jīng)考慮了某些這類事項，將它們當作具有較低可能性的事項，一旦它們發(fā)生就采用一項權變計劃來處理。但是，這種計劃只能緩解外部事項的影響。它不能確保目標的實現(xiàn)。159兩類目標的一定程度的不可控性，并不是努力兩類目標的一定程度的不可控性，并不是努力就一定成功！付出不一

60、定就一定有收獲！就一定成功！付出不一定就一定有收獲！n針對經(jīng)營的企業(yè)風險管理主要專注于確定貫穿于整個組織的目標和目的的一致性，識別關鍵成功因素和風險關鍵成功因素和風險，評估風險并作出知情的應對，實施恰當?shù)娘L險應對并建立必要的控制，以及及時報告業(yè)績和期望。n對于戰(zhàn)略和經(jīng)營目標，企業(yè)風險管理能夠合理保證管理層和履行監(jiān)督職責的董事會及時地知悉主體實現(xiàn)這些目標的程度。160n作為企業(yè)風險管理的一部分，管理層不僅要選擇目標并考慮它們?nèi)绾沃С种黧w的使命，而且要確保它們與主體的風險容量相協(xié)調(diào)。n不協(xié)調(diào)會導致不能承受足夠的風險以便實現(xiàn)目標，或者與之相反，承受了太多的風險。n有效的企業(yè)風險管理并不是指明管理層應