風險管理培訓資料

1、風險管理培訓資料一、基本概念31.什么是企業(yè)風險管理？32.為什么要實施企業(yè)風險管理?33.誰負責企業(yè)風險管理工作？64.公司可立即采取哪些措施來進行企業(yè)風險管理？65.企業(yè)風險管理與一般管理有什么區(qū)別？66.“實施企業(yè)風險管理”是什么意思？77.什么是COSO？78.什么是COSO企業(yè)風險管理-綜合框架？89.如何使用COSO企業(yè)風險管理框架？910.如何比較COSO企業(yè)風險管理-綜合框架和COSO內(nèi)部控制-綜合框架？1011.實施COSO企業(yè)風險管理-綜合框架會產(chǎn)生哪些“可交付成果”？1012.誰應(yīng)該參與企業(yè)風險管理流程，怎樣參與？1113.要成功實施企業(yè)風險管理，首席執(zhí)行官必須全力投入企

2、業(yè)風險管理流程或體系嗎？可以轉(zhuǎn)派給他人嗎？1114.支持企業(yè)風險管理實施工作能給高級管理層帶來哪些益處？1215.企業(yè)風險管理是否需要向執(zhí)行管理層匯報？如需要，哪種報告最適合？1316.內(nèi)部審計在企業(yè)風險管理的實施中扮演什么角色？15二、風險管理的愿景和目標1617.管理層如何為風險管理在公司中的作用勾畫出一個共同愿景？共同愿景有什么實際用處？1618.管理層如何定義公司的風險管理目標和目的？1719.什么是“風險偏好”？它與“風險極限”、“風險容忍度”或“風險限額”有什么區(qū)別？1920.風險管理的愿景和目標如何轉(zhuǎn)化成適宜的企業(yè)風險管理基礎(chǔ)設(shè)施？21三、開展風險評估2421.風險評估和風險管理

3、之間有什么關(guān)系？2422.風險評估和績效評估之間有什么關(guān)系？2423.有效的目標陳述包含哪些要素？為什么目標對有效的風險評估很重要？2524.事件和風險之間有什么不同？2525.如何明確地表達固有風險，使其能有效地成為風險評估的判據(jù)？2626.企業(yè)風險評估的有效方法是什么？2727.風險評估的合理深度有多大呢？2728.哪些人應(yīng)該參與風險評估活動？2729.風險評估和風險量化有什么關(guān)系？在風險評估過程中應(yīng)當進行風險量化嗎？27四、啟動奠定基礎(chǔ)2830.起步階段的最佳措施是什么？2831.如何獲取核心管理層對項目的支持？3132.如何獲得業(yè)務(wù)經(jīng)理的支持？32五、風險管理能力模型3433.有沒有模

4、型能幫助我們確立企業(yè)風險管理的重點和監(jiān)督改善風險管理能力的進程？34六、中央企業(yè)全面風險管理指引的有關(guān)規(guī)定（略）46七、國華電力風險管理辦法（略）46一、基本概念1.什么是企業(yè)風險管理？COSO對企業(yè)風險管理作了如下定義：“企業(yè)風險管理是由企業(yè)董事會、管理層及其他人員實施，在戰(zhàn)略制定過程中和整個企業(yè)中予以采用的一個過程，它旨在識別可能會對企業(yè)產(chǎn)生影響的潛在事件，把風險控制在企業(yè)的承受能力之內(nèi)，并為實現(xiàn)企業(yè)目標提供合理保證?！背鲇谀撤N原因，本定義較為寬泛，反映了一些基本的概念。COSO企業(yè)風險管理框架對這些概念做了論述，并在做了歸納，總結(jié)如下：“企業(yè)風險管理： 是持續(xù)開展、貫穿整個企業(yè)的一種流程

5、； 由企業(yè)內(nèi)各級人員執(zhí)行； 在戰(zhàn)略制定中實行； 在整個企業(yè)范圍內(nèi)，也就是在企業(yè)的每個層面和每個單元中予以實行；包括從整個公司角度即組合的角度來審視風險； 旨在識別可能會對企業(yè)產(chǎn)生影響的潛在事件，把風險控制在企業(yè)的承受能力之內(nèi)； 能夠為企業(yè)管理層和董事會提供合理保證； 目的是實現(xiàn)一個類別或多個分立而交疊的類別中的目標-只是“實現(xiàn)目標的一種手段，其本身并不是目標?！逼髽I(yè)風險管理是指建立有關(guān)的監(jiān)督、控制和規(guī)范職能，以推動企業(yè)在不斷變化的經(jīng)營環(huán)境下持續(xù)地提升其風險管理能力。企業(yè)風險管理也可以促進企業(yè)管理其主要風險的能力日趨成熟。公司只有首先解決了COSO定義中的所有上述概念之后，然后才可以理直氣壯地聲

6、稱自己正在進行企業(yè)風險管理。2.為什么要實施企業(yè)風險管理?根據(jù)第1個問題中所闡明的企業(yè)風險管理定義，實施企業(yè)風險管理的最高目標是：就公司能夠?qū)崿F(xiàn)其業(yè)務(wù)目標向公司管理層和董事會提供合理保證。在框架第1-4頁中，COSO指出：企業(yè)風險管理有助于管理層協(xié)調(diào)風險偏好與企業(yè)戰(zhàn)略之間的匹配關(guān)系，強化風險應(yīng)對決策，減少營運意外事件和損失，識別和管理貫穿整個企業(yè)的風險，建立抵抗多重風險的綜合響應(yīng)預(yù)案，抓住機遇及改善資本配置。實施企業(yè)風險管理有6個基本原因。每個原因都有助于將風險管理提升到一個戰(zhàn)略層面。這6個原因分別是：（1）減少績效不穩(wěn)定性：企業(yè)風險管理幫助管理層：（a）評估重大事件發(fā)生的可能性及其影響效應(yīng)；

7、（b）提出預(yù)防這些事件發(fā)生或管理這些事件（如確實已經(jīng)發(fā)生）影響的響應(yīng)措施。絕大多數(shù)公司都只是重視久為人知的傳統(tǒng)風險，而很少有公司具有預(yù)測新風險的系統(tǒng)化流程。因此，許多公司等到知道了關(guān)鍵風險時，經(jīng)常已經(jīng)太晚了，或者只是因為偶然的機會才得以知道關(guān)鍵風險的，這難免會出現(xiàn)大量的“應(yīng)急救火”和危機管理的場景，不僅大量地消耗資源，而且也會產(chǎn)生新的薄弱環(huán)節(jié)。企業(yè)風險管理的戰(zhàn)略視野超越了只重視發(fā)生概率低的毀滅性重大風險的傳統(tǒng)風險管理范疇，涵蓋了更廣闊的風險管理領(lǐng)域，著重化解破壞企業(yè)價值主要源泉的風險。通過著力減少盈利波動、避免發(fā)生盈利相關(guān)的意外情況，和管理關(guān)鍵績效指標缺陷等手段，企業(yè)風險管理協(xié)助管理層增加經(jīng)營

8、績效的穩(wěn)定性。企業(yè)風險管理改進了日益增長的化解風險成本的管理工作，提高了實現(xiàn)業(yè)務(wù)目標的成功率。（2）協(xié)調(diào)和整合風險管理的各種觀點：企業(yè)內(nèi)部都有許多孤立的機構(gòu)，擁有自己的風險管理觀，如財務(wù)、可保風險、信息技術(shù)。而在業(yè)務(wù)單位內(nèi)，情況也是如此。這種孤立的思維定式會阻礙在全企業(yè)范圍內(nèi)有效地分配資源和管理共有的風險。當風險管理的職能部門不止一個，而要管理的風險也不止一種時，就需要有一個通用的框架。例如，有些企業(yè)采取以下措施： 評估是否需要設(shè)立一名首席風險官，包括評估其作用、權(quán)力和工作匯報路徑； 將風險管理融入關(guān)鍵的管理活動，如戰(zhàn)略制定、業(yè)務(wù)規(guī)劃、資本支出、合并與收購的盡職審查和整合流程； 將風險管理同更

9、有效的資源分配及風險轉(zhuǎn)移決策聯(lián)系起來； 確立用以衡量風險和風險管理績效的定性和定量方法，以提高透明度； 疊加多個業(yè)務(wù)單位共同的風險敞口，以了解企業(yè)價值所面臨的最大威脅，制定出風險應(yīng)對綜合措施。（3）增強投資界和利益相關(guān)者的信心：在評估目標公司的過程中，機構(gòu)投資者、評級機構(gòu)和監(jiān)管機構(gòu)現(xiàn)在越來越經(jīng)常地談到風險管理的重要性，而利益相關(guān)者也可能會要求企業(yè)管理層公開和評論企業(yè)在了解和管理風險方面的能力，以便對照所承受的風險，粗略地評估自己的投資回報是否足夠豐厚。隨著公司風險及風險管理能力的透明度不斷增強、公司的主要風險管理能力日趨完善，管理層也將能更有效、更清楚地解釋自己在處理現(xiàn)有及潛在的行業(yè)問題方面的

10、成就。（4）強化公司治理：企業(yè)風險管理與公司治理總是相互關(guān)聯(lián)，互為增益。企業(yè)風險管理強化董事會的監(jiān)督職能、強行對高級管理層層級的現(xiàn)行監(jiān)督結(jié)構(gòu)進行評估、澄清風險管理的作用和職責、確立風險管理的權(quán)力和范圍、并有效地溝通支持關(guān)鍵風險目標的各項風險應(yīng)對舉措。所有這些活動都離不開良好的治理。同樣地，有效的治理也為下列兩項活動確立了基調(diào)：（a）了解風險及風險管理能力；（b）協(xié)調(diào)風險偏好與企業(yè)尋求機遇行為之間的關(guān)系。董事經(jīng)常會提出類似這樣的問題：“有哪些風險，怎么管理這些風險，你又是怎么知道這些風險的?”（5）成功地響應(yīng)不斷變化的業(yè)務(wù)環(huán)境：當今時代，業(yè)務(wù)環(huán)境不斷在變化，變化的節(jié)奏也越來越快，為此，企業(yè)必須提

11、升自己識別風險、確定風險輕重緩急次序和規(guī)劃風險的能力。企業(yè)風險管理有助于管理層評估現(xiàn)有經(jīng)營模式的各項基礎(chǔ)假設(shè)，評估在執(zhí)行模型時所采用的各項戰(zhàn)略的效能，評估進行決策時所需的各種信息。企業(yè)風險管理激勵管理層識別未來的各種情景，評估這些情景出現(xiàn)的可能性和嚴峻性，識別主要風險，并增強企業(yè)管理此類風險的能力。由于環(huán)境在不斷變化，新的風險不斷地涌現(xiàn)出來，甚至升級，因此，要適時地采取相應(yīng)的行動，必要時還要予以披露。這些活動都會影響到整個企業(yè)的資源分配。（6）協(xié)調(diào)戰(zhàn)略與企業(yè)文化之間的關(guān)系：企業(yè)風險管理幫助管理層建立風險意識，營造開放樂觀、積極向上的風險管理文化。在這樣的文化環(huán)境中，你可以提出任何問題而毋需擔心

12、遭到打擊報復(fù)。對于涉及全公司的事情，企業(yè)風險管理通常會統(tǒng)一集中地制定政策，確定焦點、規(guī)范和控制措施。企業(yè)風險管理可以澄清冒險與避險之間的區(qū)別，改進衡量風險的量化工具，強化公司各級部門在管理風險活動中的問責體制，并幫助公司及時地識別風險特征的變化。此外，企業(yè)風險管理還有助于統(tǒng)籌創(chuàng)業(yè)活動和控制活動，保持兩者均衡，避免出現(xiàn)嚴重的懸殊。3.誰負責企業(yè)風險管理工作？因為企業(yè)風險管理的重點工作是制定戰(zhàn)略，因此，主體責任應(yīng)當從企業(yè)的最高層開始，自執(zhí)行管理層逐級地向下延伸，直到各業(yè)務(wù)單位和職能經(jīng)理。董事會負責進行監(jiān)督。此外，首席風險官（或類似職權(quán)的高管人員）也將參與這項工作。視風險的性質(zhì)及其復(fù)雜程度，以及有無

13、跨職能、跨部門協(xié)調(diào)的必要性，相應(yīng)地也可能還要設(shè)立一個或多個風險管理委員會。4.公司可立即采取哪些措施來進行企業(yè)風險管理？有些步驟，任何企業(yè)都可以立即開始采用。對于這些措施，我們將在本書中予以闡述。例如，企業(yè)可以： 采用某種共同的風險語言； 進行企業(yè)風險評估，辯明企業(yè)的主要風險，確定其輕重緩急的次序； 針對重大風險管理能力這個問題，對公司現(xiàn)行狀況及希望達到的水平進行差距分析； 清楚地表達風險管理的愿景、目的、目標和鮮明的價值主張，為進一步行動提供經(jīng)濟學上的理據(jù)； 提升企業(yè)在1、2項重大風險中的風險管理能力，即先從高級管理層認為為成功實施經(jīng)營戰(zhàn)略有必要予以改進的某個風險領(lǐng)域開始。盡管可能還有其他的

14、一些措施，但上述這些措施不失為一個良好的開端，能簡化企業(yè)風險管理實施工作的環(huán)境。此外，梳理清點已完成的工作，及早地取得一些直觀可見的成果也很重要。關(guān)鍵是要把企業(yè)風險管理的相關(guān)活動同經(jīng)營戰(zhàn)略及計劃相結(jié)合，簡化工作，提高其針對性。5.企業(yè)風險管理與一般管理有什么區(qū)別？企業(yè)風險管理雖然是企業(yè)管理的一個組成部分，但是它并不能推動管理層的每項工作。COSO指出“在進行決策和采取相關(guān)管理行動的過程中，管理層要做出許多判斷，這些判斷雖然是管理過程的組成部分，但卻并不是企業(yè)風險管理的組成部分。”COSO在框架中舉出了幾個例子。例如，就有關(guān)的經(jīng)營目標、具體的風險應(yīng)對措施和企業(yè)資源的分配劃撥等問題而言，管理層所做

15、出的權(quán)衡選擇是管理決定，而不是企業(yè)風險管理的一部分。也就是說，風險管理既不是對現(xiàn)行核心業(yè)務(wù)管理活動的總結(jié)反思，也不是對這些管理活動的充實補足。在企業(yè)風險管理的環(huán)境下，風險管理是與戰(zhàn)略制定、業(yè)務(wù)規(guī)劃、績效測評以及其他業(yè)務(wù)內(nèi)容的有效融合。6.“實施企業(yè)風險管理”是什么意思？企業(yè)風險管理的實施應(yīng)該著重于制定戰(zhàn)略。由于各企業(yè)的主要風險（根據(jù)企業(yè)經(jīng)營戰(zhàn)略情境而確定出來的）不同，同管理這些風險相關(guān)的各方面差距也不同，相應(yīng)地，企業(yè)風險管理的實施工作也會有所不同。企業(yè)風險管理不是現(xiàn)成的、“包治百病”的靈丹妙藥。管理層必須根據(jù)企業(yè)的規(guī)模、目標、結(jié)構(gòu)、文化、管理風格、風險特性、所在行業(yè)、競爭環(huán)境和企業(yè)財力等因素來

16、確定企業(yè)風險管理解決方案的性質(zhì)。據(jù)COSO看來，上述因素和其他一些因素都會影響企業(yè)風險管理框架的應(yīng)用方式。實施企業(yè)風險管理需要管理層采取以下步驟：(a)查明和了解企業(yè)面臨的主要風險，進而確定賴以實施風險管理的廣闊情境；(b)按照COSO框架，確定本企業(yè)的風險管理能力現(xiàn)狀；(c)按照COSO框架，確定本企業(yè)在風險管理能力方面希望達到的水平；(d)分析并明確地表達出(b)和(c)之間的差距，以及消除差距需采取的改進措施。改進措施的性質(zhì)隨(i)企業(yè)的現(xiàn)有能力及經(jīng)驗和(ii)管理層致力于改進和超凡出色的意愿高低而定；(e)根據(jù)(d)中的分析，提出解決這個差距的經(jīng)營模式，為全面的企業(yè)風險管理基礎(chǔ)設(shè)施改進

17、工作提供經(jīng)濟依據(jù)；(f)制定相應(yīng)的計劃，以促進實現(xiàn)預(yù)期的企業(yè)風險管理基礎(chǔ)設(shè)施能力，并處理同執(zhí)行計劃相關(guān)聯(lián)的變革問題；(g)進行必要的監(jiān)督，給予必要的援助，確保整個工作得到有效地綜合和協(xié)調(diào)；7.什么是COSO？COSO的全稱是“發(fā)起組織委員會”，是一家民營部門志愿組織，致力于通過弘揚商業(yè)道德、強化有效內(nèi)部控制和完善公司治理體制，以提升財務(wù)報告的質(zhì)量。COSO最初創(chuàng)辦于1985年，目的是為美國反虛假財務(wù)報告委員會籌集贊助。美國反虛假財務(wù)報告委員會是一個獨立的民營部門計劃行動，通常稱作Treadway委員會，致力于研究產(chǎn)生欺詐性財務(wù)報告的促成因素，并向上市公司及其獨立審計師、證券交易委員會及其他監(jiān)管

18、機構(gòu)和教育機構(gòu)提供建議。8.什么是COSO企業(yè)風險管理-綜合框架？COSO從廣義的角度把企業(yè)風險管理定義為:“是由企業(yè)董事會、管理層及其他人員實施，在戰(zhàn)略制定過程中和整個企業(yè)中予以采用的一個過程，它旨在識別可能會對企業(yè)產(chǎn)生影響的潛在事件，把風險控制在企業(yè)的承受能力之內(nèi)，并為實現(xiàn)企業(yè)目標提供合理保證?！笨蚣馨?，但并未取代COSO1992年公布的內(nèi)部控制-綜合框架。與內(nèi)部控制-綜合框架一樣，企業(yè)風險管理框架也采用三維矩陣的形式表現(xiàn)出來。矩陣包括了位處最頂端的4類目標-戰(zhàn)略目標、運營目標、報告目標和合規(guī)目標。在下文中將進一步討論企業(yè)風險管理，它由8個部分組成。最后，企業(yè)及其各分支機構(gòu)和業(yè)務(wù)單位作為

19、框架的第三個維度。正如COSO所述，在評估企業(yè)風險管理時，可以使用框架的8個部分作為起點：1.內(nèi)部環(huán)境：本部分體現(xiàn)了一個企業(yè)的風險管理理念、風險偏好、董事會監(jiān)督、對道德價值觀的執(zhí)著程度、人員素質(zhì)和發(fā)展水平以及權(quán)責分工結(jié)構(gòu)。它包括了企業(yè)的“最高音”，影響著企業(yè)的治理流程和員工在風險和控制方面的意識。2.目標設(shè)定：管理層確定戰(zhàn)略目標，為運營目標、報告目標和合規(guī)目標提供了依據(jù)。各種目標既要同決定企業(yè)風險容忍度的企業(yè)風險偏好相匹配，同時也是事件識別、風險評估和風險應(yīng)對的前提。3.事件識別：管理層負責識別那些可能會對企業(yè)實施戰(zhàn)略、實現(xiàn)目標和績效指標的能力產(chǎn)生正面或負面影響的各種潛在事件。潛在的負面事件就

20、是風險，為評估風險及響應(yīng)風險的備擇措施提供了背景。潛在的正面事件代表機遇，管理層把它再回饋到戰(zhàn)略和目標制定的過程中去。4、風險評估：管理層研究定性和定量方法，逐個或逐類地評估潛在事件的發(fā)生概率及其影響，因為這些事件有可能會影響在既定時限內(nèi)實現(xiàn)目標。5、風險應(yīng)對：管理層考慮不同的風險應(yīng)對備選方案，不僅要考慮這些方案對風險的發(fā)生概率和效果可能產(chǎn)生的影響，而且還要考慮繼發(fā)的成本與得益，以期將剩余風險降低到希望達到的風險承受范圍內(nèi)。風險應(yīng)對計劃推動政策的發(fā)展。6、控制活動：管理層在全組織范圍內(nèi)實行各項政策和程序，貫徹到所有級層和所有職能領(lǐng)域，以幫助確保風險應(yīng)對措施得到妥善地執(zhí)行。7、信息與溝通：公司識

21、別和收集內(nèi)外部相關(guān)信息，并按照有助于員工履行其職責的形式和時機傳達這些信息。組織中的有效溝通既可以自上而下或自下而上進行，也可以橫向進行。報告對風險管理具有至關(guān)重要的作用，而本部分的活動恰好能起到匯報的職能。8、監(jiān)督：正在進行的活動和/或單獨的評價活動不僅能評估出企業(yè)風險管理各部分的就緒狀況和運行情況，而且也能評估出其歷時績效的質(zhì)量。支持上述框架的思維過程按下述方式發(fā)揮作用：對于任何一個既定的目標，比如說運營目標吧，管理層必須對相應(yīng)層面上的企業(yè)風險管理的8個部分進行評估，如在公司層面或是業(yè)務(wù)單位層面。9.如何使用COSO企業(yè)風險管理框架？ COSO根據(jù)用戶性質(zhì)的不同，推薦了框架的不同用途。例如

22、：使用者可能的用途董事l 與管理層討論企業(yè)風險管理的狀況l 監(jiān)督風險管理活動l 確保及時了解出現(xiàn)的風險和管理層處理風險的行動l 考慮內(nèi)外部審計師和其他人的意見和見解高級管理層l 評估本組織的企業(yè)風險管理能力經(jīng)理和其他企業(yè)人員l 考慮根據(jù)框架各部分的規(guī)定，應(yīng)當如何履行自己的職責l 與上級討論改進企業(yè)風險管理的觀念和主意內(nèi)部審計師l 考慮審計計劃對企業(yè)風險管理的關(guān)注領(lǐng)域COSO同時也向監(jiān)管機構(gòu)、專業(yè)組織和教育機構(gòu)提出一些建議?？傊?，COSO框架應(yīng)該被看成是一種基準工具，依此基準來評估現(xiàn)有的風險管理流程的效能和企業(yè)各級的具體風險管理活動的效果?？蚣苣転榻缍L險管理能力的改進情況營造出適宜的環(huán)境。10

23、.如何比較COSO企業(yè)風險管理-綜合框架和COSO內(nèi)部控制-綜合框架？同內(nèi)部控制框架相比：l 企業(yè)風險管理框架擴大了對風險管理的關(guān)注范圍，包含了內(nèi)部控制框架的精髓；l 企業(yè)風險管理框架增加了一個新類別：戰(zhàn)略目標，并擴大了報告目標的范疇，將內(nèi)部報告也涵蓋在內(nèi)；l 企業(yè)風險管理框架提出了“風險偏好”和“風險容忍度”這兩個概念；l 企業(yè)風險管理框架將風險評估部分擴大成4個部分目標設(shè)定、事件識別、風險評估和風險應(yīng)對。企業(yè)風險管理框架本身的各個部分也存在著具體差異，例如，相對于內(nèi)部控制而言，側(cè)重于風險管理的角色和職責被進一步地擴大。企業(yè)風險管理框架的內(nèi)部環(huán)境部分不僅包含了內(nèi)部控制框架控制環(huán)境部分中全部的

24、7個屬性，將重點放在風險管理上，而且還新增了3個屬性風險管理理念、風險文化和風險偏好。11.實施COSO企業(yè)風險管理-綜合框架會產(chǎn)生哪些“可交付成果”？在實施企業(yè)風險管理8個部分的過程中，由于所使用的技術(shù)手段和工具、要實現(xiàn)目標的范圍、所在行業(yè)的性質(zhì)、風險的性質(zhì)和風險對組織各部門的影響程度都不一樣，因此,“可交付成果”也會不一樣。企業(yè)風險管理基礎(chǔ)設(shè)施旨在確立相應(yīng)的規(guī)程、重點和控制措施，以利于提高企業(yè)管理主要風險的能力，可能包括如下一些要素：l 列入首席執(zhí)行官議程（注：如總經(jīng)理辦公會等）l 全面風險管理政策l 共同的風險語言l 全公司風險評估流程l 把風險應(yīng)對納入企業(yè)經(jīng)營計劃風險管理與戰(zhàn)略制定的整

25、合l 調(diào)整組織行為，使其與風險偏好相一致l 風險報告l 甄選最佳實踐的知識共享流程常規(guī)培訓l 繪制風險組合圖的專有工具配套輔助技術(shù)此外，“可交付成果”還包括企業(yè)提高了管理主要風險的能力。12.誰應(yīng)該參與企業(yè)風險管理流程，怎樣參與？盡管企業(yè)風險管理的最終責任始于高級管理層，但每個相關(guān)人員都應(yīng)不同程度地參與企業(yè)風險管理流程。雖然有多位高級管理人員，包括首席風險官、首席財務(wù)官、首席法律顧問和首席審計執(zhí)行官，主管企業(yè)風險管理工作，但只有在組織中的關(guān)鍵經(jīng)管人員全都參與的情況下，企業(yè)風險管理流程才能發(fā)揮最大效用。COSO框架指出公司管理人員“支持企業(yè)的風險管理理念，促進同企業(yè)的風險偏好保持相符，并且按照風

26、險容忍度在各自責權(quán)范圍內(nèi)管理風險?！币虼?，在全企業(yè)內(nèi)甄選領(lǐng)導和得到他們的支持對于成功地實施企業(yè)風險管理至關(guān)重要。企業(yè)風險管理的目標之一就是將風險管理納入公司議程和決策過程。這意味著，歸根到底，每位經(jīng)理都有責任。但是，只有在績效目標已得到明確地表述，個人對相關(guān)的結(jié)果承擔責任時，人人負責的形勢才會出現(xiàn)。13.要成功實施企業(yè)風險管理，首席執(zhí)行官必須全力投入企業(yè)風險管理流程或體系嗎？可以轉(zhuǎn)派給他人嗎？COSO框架指出首席執(zhí)行官對企業(yè)風險管理的執(zhí)行“承擔最根本的職責，并應(yīng)當負有主體責任?！闭鏑OSO所定義的那樣，企業(yè)風險管理是企業(yè)運營和管理不可或缺的一部分，因此首席執(zhí)行官的參與對企業(yè)風險管理的成功實施

27、至關(guān)重要。例如，一個有效的企業(yè)風險管理解決方案會影響公司的文化，因為它營造了一種環(huán)境，鼓勵員工自由地表達觀點，而不必憂慮會受到懲罰。如果沒有首席執(zhí)行官的積極大力支持，就不可能形成這種積極開放的環(huán)境。通過提出一些比較棘手嚴峻的風險和風險管理問題，展示出將風險管理提升到戰(zhàn)略水平的堅毅決心，首席執(zhí)行官為整個組織的風險管理工作確定了基調(diào)。討論這個問題中經(jīng)常忽視的一點是，對首席執(zhí)行官來說，參與這個流程是不是很重要。首席執(zhí)行官參與企業(yè)風險管理，可以確保關(guān)注重點始終維持在戰(zhàn)略的層面。至少有兩個與風險有關(guān)的問題，首席執(zhí)行官希望知道它們的答案。第一個問題是，有些事件萬一突然地發(fā)生，就能迫使公司立即將工作安排轉(zhuǎn)向

28、“損害控制”。公司是否可能已經(jīng)面臨著這樣的事件而自己還不知道？第二個問題是，如果公司確實已經(jīng)面臨著這樣的事件，那么，可以采用哪些具有成本效益的措施來預(yù)防它們發(fā)生，而且一旦果真發(fā)生了，公司又將如何做出響應(yīng)？企業(yè)風險管理可以幫助首席執(zhí)行官找到這兩個問題的答案，但前提是，只有當首席執(zhí)行官充分地參與進去，保證了風險管理流程對戰(zhàn)略和聲譽風險給予了適當?shù)年P(guān)注，他才能找到這兩個答案。企業(yè)風險管理基礎(chǔ)設(shè)施的有效運作離不開最高管理層的支持。要形成和保持良好的發(fā)展勢頭，最高管理層必須保持統(tǒng)一基調(diào)，通過協(xié)調(diào)一致的溝通和行動，展示出執(zhí)著于企業(yè)風險管理的決心。而這種執(zhí)著的程度來源于某個具參考價值的實踐模型。它要能明確清

29、晰地表達出公司面臨的主要風險、管理這些風險還存在的重大差距、縮小這些重大差距所需的企業(yè)風險管理基礎(chǔ)設(shè)施，以及由此而帶來的成本和收益等。此外，這個實踐模型闡明了公司需要建立企業(yè)風險管理基礎(chǔ)設(shè)施的理由，勾勒公司的恢宏前景和有關(guān)未來的風險管理水平的共同愿景、確定切實可行的目標，制定明晰的行動計劃。這種表達清晰、輪廓鮮明的實踐模型可以幫助首席執(zhí)行官更好地深入到企業(yè)風險管理工作之中。14.支持企業(yè)風險管理實施工作能給高級管理層帶來哪些益處？由于首席執(zhí)行官及其管理團隊關(guān)注的焦點是投資和收益、機會和回報以及競爭優(yōu)勢和增長，因此，他們必須在不斷變化的市場環(huán)境下尋求發(fā)展機會-盡管這些發(fā)展機會前景看好，但仍難免伴

30、隨著很多不確定因素。他們還必須得能夠解除投資者和其他利益相關(guān)者的各種憂慮，使他們相信公司正在有效地管理風險。此外，他們還必須得執(zhí)行薩班斯奧克斯利法案以及其他的適用法律法規(guī)。自1995年以來，我們已經(jīng)進行了多次調(diào)查（最近的一次調(diào)查在2005年秋季完成）。這些調(diào)查幾乎無一例外地顯示，在10名高級管理人員中，將近有6名高級管理人員都對自己公司識別和管理所有重大潛在業(yè)務(wù)風險的能力缺乏信心。有效的程序能讓組織中對風險評估和管理負有重要責任的人員都積極地參與風險管理的工作，有助于增加高級管理人員的信心。我們的調(diào)查還顯示，有大約50%的高級管理人員在過去兩年中已經(jīng)做出重大的變革，而且，有大約50%的高級管理

31、人員聲稱他們計劃在未來三年內(nèi)做出重要的變革。上述調(diào)查結(jié)果并不令人感到意外。如果管理者信心十足地認為自己了解相關(guān)風險，擁有管理這些風險的能力，那么，他們就會積極地尋求發(fā)展機會。在快速變化的環(huán)境下，傳統(tǒng)的風險管理方法不可能很有效，因為它們分立破碎，缺乏完整一體性，很容易將風險分割成離散的事件分別進行管理，將組織分塊切割成孤立的部門。盡管傳統(tǒng)的風險管理活動特別重視防范損失，這并無不當之處，但效果并不是很好，因為這些活動并沒有同識別、評價和尋求增長機會等活動充分地結(jié)合起來。另外，當前的風險管理方法受過去那種命令-控制的管理模式影響太深，這就意味著可能很難有效地平衡控制和靈活、響應(yīng)性及跨職能合作之間的關(guān)

32、系。綜上所述，我們必然會得出這樣的結(jié)論：現(xiàn)有的風險管理模式無益于增強高級管理層的信心，使他們自信公司所有潛在的重大商業(yè)風險都已經(jīng)查明和得到有效的管理。而面向全企業(yè)的風險管理方法則可以改進戰(zhàn)略制定過程中風險與機會之間的聯(lián)系，提升風險管理的地位，把它作為管理企業(yè)的一項差別化戰(zhàn)略，從而能幫助高級管理人員成功地應(yīng)對所面臨的挑戰(zhàn)。15.企業(yè)風險管理是否需要向執(zhí)行管理層匯報？如需要，哪種報告最適合？企業(yè)風險管理的效果在很大程度上取決于公司信息與溝通的效果。而信息與溝通正是COSO框架8項內(nèi)容之一。在這項內(nèi)容中，報告不可缺少，因為報告能增加全公司的風險和風險管理的透明度，從而使風險評估、執(zhí)行風險應(yīng)對措施和控

33、制活動，以及對績效進行監(jiān)督等活動得以貫徹完成。然而，說到報告，也存在著很多問題。例如，具體說來，應(yīng)該報告什么？向誰報告？多長時間報告一次？這些報告應(yīng)當如何使用？報告的內(nèi)容要具體詳細到什么程度？風險管理信息可以按多種方式進行歸納總結(jié)，例如，既可以從全企業(yè)的層面進行總結(jié)，也可以按業(yè)務(wù)單位、風險單位、地域或產(chǎn)品類別來歸納總結(jié)?？傊?，目的是根據(jù)風險的本質(zhì)和具體情況的要求，讓決策者能夠每月、每周、每天，甚至實時地（難以達到，并且對執(zhí)行管理層也很少有這樣的要求）對風險管理的績效進行評估。以下是風險管理報告的幾個例子，這些報告旨在向執(zhí)行管理層提供決策信息：l 企業(yè)風險摘要報告-按經(jīng)營單元、地域和產(chǎn)品類別等進

34、行分解；l 主要風險管理能力現(xiàn)行差距的摘要報告；l 績效最佳和最差的投資項目及其原因的摘要報告；l “環(huán)境掃描”流程或早期預(yù)警系統(tǒng)生成的潛在問題或風險報告-需要予以密切關(guān)注；l 涉險值報告-評估現(xiàn)有投資組合狀況對于市場利率波動超過規(guī)定限額的敏感度，同時考察收益或現(xiàn)金流可能蒙受嚴重損失的風險；l 情境分析摘要報告-評估管理層控制范圍以外的其他關(guān)鍵變量（如通貨膨脹、天氣、競爭對手的行動和供應(yīng)商績效水平等）的變化對收益、現(xiàn)金流、資本和經(jīng)營計劃等所產(chǎn)生的影響；l 經(jīng)營風險報告-總結(jié)按政策或既定限額屬于已發(fā)生的例外情況（即違反限額），其中包括任何重大故障、誤差、事故、意外事件、損失（包括喪失的機會）或者

35、“僥幸事件”和“近似差錯事件”；l 專題研究或針對性分析報告-評估那些可能會引起業(yè)務(wù)中斷的特定事件或預(yù)期可能會發(fā)生的問題。例如，公司業(yè)務(wù)在國外會遭遇什么樣的風險？l 內(nèi)審人員業(yè)務(wù)流程審計的重大發(fā)現(xiàn)摘要報告，或者其他獨立機構(gòu)（如公司的監(jiān)管機構(gòu)）的審核報告；l 改良計劃實施現(xiàn)狀摘要報告計劃的改良措施是否已經(jīng)啟動？如果沒有，原因是什么？除了上述各種報告以外，還有演示屏（dashboard）或計分卡結(jié)論匯報。借助各種模型、風險分析工具和互聯(lián)網(wǎng)等技術(shù)，公司可以利用通用的數(shù)據(jù)要素來匯總與風險相關(guān)的信息，幫助創(chuàng)建風險管理演示屏或計分卡，供風險負責人、部門經(jīng)理和執(zhí)行管理層使用。演示屏或計分卡匯報很方便靈活，可

36、以滿足各種特定的需要。COSO企業(yè)風險管理框架的應(yīng)用技術(shù)列舉了一些演示屏匯報的例子。這種匯報經(jīng)常主要使用“紅綠燈”指標來進行描述。16.內(nèi)部審計在企業(yè)風險管理的實施中扮演什么角色？在企業(yè)風險管理的實施中，首席審計執(zhí)行官和內(nèi)部審計扮演著以下一種或多種角色：教育者：很多高級管理人員并不懂得企業(yè)風險管理，而首席審計執(zhí)行官可以通過長期的定期培訓來幫助他們了解和使用COSO的企業(yè)風險管理框架。在制定專案審計計劃、溝通審計結(jié)果和進行匯報演示時，首席審計執(zhí)行官如果選用了框架，那么，他就需要將企業(yè)風險管理的各個要素向各位經(jīng)管人員和董事做介紹。促進者：實施企業(yè)風險管理需要高質(zhì)量的風險評估。內(nèi)部審計能夠促進風險評

37、估的順利開展和制定風險應(yīng)對，因此在公司中扮演著主角的角色。此外，在協(xié)助公司將風險評估轉(zhuǎn)化為風險應(yīng)對的過程中，內(nèi)部審計也扮演著顧問咨詢者的角色。協(xié)調(diào)者：只要企業(yè)風險管理解決方案采用共同語言和其他一些“促成框架”，內(nèi)部審計就能發(fā)揮增值的協(xié)調(diào)作用，確保這些“促成框架”在全公司得到一致的運用。同時，首席審計執(zhí)行官也可能成為共同語言的提議者。整合者: 內(nèi)部審計能夠協(xié)助：（1）收集、分析和綜合來自全公司各渠道的風險相關(guān)的數(shù)據(jù)，（2）報告整個公司范圍內(nèi)的風險和審計結(jié)果評估者：部審計能夠利用COSO企業(yè)風險管理框架的8個部分來評估風險管理，評估的對象既可以是整個公司，也可以是某個分支機構(gòu)、附屬公司或者單位。此

38、外，內(nèi)部審計還能夠評估下述內(nèi)容：l 內(nèi)部環(huán)境這個部分（定義見COSO企業(yè)風險管理框架）的效能；l 風險評估流程的效能，其中需要考慮COSO企業(yè)風險管理框架中的目標設(shè)定、事件識別、風險評估以及風險應(yīng)對等部分；l 與特定的風險應(yīng)對相關(guān)的控制政策和程序（有關(guān)解釋請參見控制活動部分）的效能；l 為公司所選風險應(yīng)對起支持作用的信息與溝通的質(zhì)量及可靠性；l 監(jiān)督（定義參見監(jiān)督部分）的效能。二、風險管理的愿景和目標17.管理層如何為風險管理在公司中的作用勾畫出一個共同愿景？共同愿景有什么實際用處？實施企業(yè)風險管理解決方案的第一步涉及到為風險管理在公司中的作用設(shè)定一個共同愿景。公司應(yīng)授權(quán)一個由高級管理人員組成

39、的工作小組來闡述風險管理的作用，確定整個公司及各業(yè)務(wù)單位的目標和目的。該闡述以對關(guān)鍵業(yè)務(wù)單位和風險的理解作為基礎(chǔ)，給如何組織公司的風險管理工作提供了一個“大背景”，而且該闡述還應(yīng)該與公司的業(yè)務(wù)目標和戰(zhàn)略保持一致。此外，該闡述是依據(jù)全公司風險評估和公司主要風險差距分析而引申出來的。因此，“風險管理愿景”體現(xiàn)了對風險管理在公司中的作用以及管理關(guān)鍵風險所需能力的共同認識。公司會定期對愿景進行評估，以獲得持續(xù)改進。要想有所裨益，風險管理愿景必須以特定能力為基礎(chǔ)，而公司則必須要培養(yǎng)這些能力，以改進風險管理的績效及執(zhí)行管理層選定的風險應(yīng)對措施。風險管理能力不僅包括與管理主要風險相關(guān)的特定能力，而且也包括企

40、業(yè)風險管理基礎(chǔ)設(shè)施。為此，特闡釋如下：（1）要定義管理主要風險所需的具體能力，首先就要從選擇主要風險和確定風險管理能力的現(xiàn)狀開始。有關(guān)管理每個關(guān)鍵風險的現(xiàn)有能力一旦確定下來，接著就應(yīng)評估希望將來達到的水平，以期提升公司管理這些風險的能力。有關(guān)不同成熟階段的風險管理能力的例子，請參見第38個問題。（2）企業(yè)風險管理基礎(chǔ)設(shè)施的組成要素包括（但不僅限于）：風險管理總政策、適用于全公司的風險評估流程、風險應(yīng)對與經(jīng)營計劃的結(jié)合水平、在董事會成員及首席執(zhí)行官日程表中的安排、經(jīng)授權(quán)的風險委員會、風險管理角色及職責的明晰度、演示屏及其他風險報告和用于描述風險組合圖的專有工具。公司風險管理現(xiàn)有水平與希望達到的水

41、平之間的差距越大（上文（1），就越需要有企業(yè)風險管理基礎(chǔ)設(shè)施（上文（2）來幫助逐步提升公司的風險管理能力。企業(yè)風險管理解決方案采用消除重大差距和實現(xiàn)管理層期望結(jié)果而需要的風險管理能力予以闡明，此后，就需要確定一個企業(yè)風險管理實踐模型，以證明實施該解決方案具有合理的經(jīng)濟效果，然后再制定出一個計劃，建立和檢驗所需要的能力，最后將這些能力同企業(yè)的現(xiàn)有流程密切結(jié)合起來。這個計劃需要對照適宜的控制節(jié)點分階段地進行監(jiān)督。在流程的開始階段、實施過程之中和在管理層完成計劃中所有的控制節(jié)點后的收尾階段，都可以用COSO企業(yè)風險管理框架作為基準，評估公司的風險管理狀況?？傊?，風險管理愿景是“行動的號角”，激勵公司

42、去識別、規(guī)劃和建立所需的風險管理能力，以消除重大的差距和執(zhí)行管理層選定的風險應(yīng)對措施。風險管理愿景激發(fā)了一種目標感，使目光始終盯住更具體的風險管理目的和目標的今后進展情況。有一家跨國公司有60多個業(yè)務(wù)單位，下面就是這家公司的風險管理總愿景宣言：企業(yè)風險管理是一個持續(xù)的過程，也是公司治理的一個部分。它能夠提升風險評估的效率和效果，增強風險意識和改善整個公司的風險管理狀況。其具體工作不僅包括識別和利用機遇，而且也包括預(yù)測和避免威脅和損失。風險管理愿景能培養(yǎng)起各職能機關(guān)、各部門和各業(yè)務(wù)單位的集體和協(xié)調(diào)能力，應(yīng)當能滿足公司改進管理風險工作的需要。例如，上述的愿景宣言宣稱企業(yè)風險管理既是一個持續(xù)不斷的過

43、程，也是公司治理的一個組成部分，重點意在創(chuàng)造和保護公司的價值。任何一個人或者一個職能部門都不可能獨自地實現(xiàn)這種愿景。18.管理層如何定義公司的風險管理目標和目的？共同愿景一經(jīng)闡明后，就必須確定風險管理的總體目標和目的。愿景宣言通常比較恢宏高遠，催人奮進，而目標和目的則一般都采用較簡易的語言描述要實現(xiàn)的任務(wù)。它們應(yīng)該能夠在公司中予以實行，而且還應(yīng)當依據(jù)公司經(jīng)營戰(zhàn)略的大環(huán)境進行界定。例如，在建立企業(yè)風險管理方法中，許多公司都不約而同地選擇某些共有的風險管理目標，其中包括： 各職能部門和業(yè)務(wù)單位對風險達成共同的認識，這樣我們就能夠從全公司的角度按成本效益的原則管理風險; 更深刻地了解風險，以獲得競爭

44、優(yōu)勢； 形成安全保障，防范收益相關(guān)的意外事件； 建立和改進風險管理能力，以有效地響應(yīng)雖發(fā)生概率小、但具有災(zāi)難性的關(guān)鍵風險； 改善內(nèi)部資源管理以節(jié)約成本； 更有效地分配資本。風險管理的目標和目的應(yīng)當同公司的經(jīng)營目標和戰(zhàn)略相一致，并應(yīng)當支持公司的經(jīng)營目標和戰(zhàn)略。因此，公司的經(jīng)營模式為風險管理提供了一個重要的環(huán)境。例如： 它把目標瞄準公司經(jīng)營所在的市場和地域； 它明確地界定了滿足這些市場需求的產(chǎn)品和服務(wù)、進入市場的渠道、使客戶賴以分辨出這些產(chǎn)品或服務(wù)的特點； 它以許多重要因素作為基礎(chǔ)，如：把原材料和勞動力轉(zhuǎn)化成產(chǎn)品和服務(wù)的流程；公司所雇用、培訓和保留的員工；參與公司交易的供應(yīng)商和顧客；向公司提供資本

45、的股東和借貸者。上述所有這些要素都包含有與生俱來的固有業(yè)務(wù)風險。在實施經(jīng)營戰(zhàn)略時，公司必然會產(chǎn)生和增加同不穩(wěn)定因素接觸的機會。因此，業(yè)務(wù)目標和戰(zhàn)略能夠為了解公司所愿意承受的風險提供一個背景。COSO采用把“目標設(shè)定”作為企業(yè)風險管理框架一個組成部分的辦法來維護這個觀點。在定義風險管理目的和目標時，管理層應(yīng)當提問一些比較“棘手”的問題，比如： 我們的業(yè)務(wù)目標和戰(zhàn)略是什么？我們的財務(wù)目標是什么？是盈利能力增強、公司規(guī)模擴大，還是經(jīng)營收入增加？我們期望培養(yǎng)和加強哪些價值觀？ 我們選擇的目標市場有哪些？我們謀求的相對市場定位是什么？我們在選定的市場中取勝的經(jīng)營模式是什么？ 我們將來會遇到的特定事件有哪

46、些？這些事件相互關(guān)聯(lián)嗎？ 我們的戰(zhàn)略、市場、收益和現(xiàn)金流對這些未來事件的敏感度有多大？我們創(chuàng)造價值的有形和無形資產(chǎn)會面臨多大的風險？引起這些資產(chǎn)流失的動因有哪些？ 有哪些未來事件，如果發(fā)生了，則可能會影響公司的能力，致使難以實現(xiàn)相關(guān)的目標（如質(zhì)量、創(chuàng)新、時效、安全、合規(guī)等），和可能會影響公司成功地實施其戰(zhàn)略？有哪些事件可能會影響我們的市場份額？ 對于未來可能會發(fā)生而又超出我們控制范圍的事件，我們響應(yīng)這類事件的能力有多大？ 我們知道風險調(diào)整后的預(yù)期收益有多大嗎？風險調(diào)整后的收益會隨業(yè)務(wù)單位、主要產(chǎn)品或地域的不同而有所變化嗎？ 最后，如果我們決定接受了經(jīng)營模式中的固有風險，那么，萬一這些固有風險出

47、現(xiàn)了，我們有足夠的資本能吸納難以預(yù)見的重大損失嗎？上述問題給界定風險管理目的和目標提供了一個清晰的背景。下文舉一個有關(guān)風險管理愿景、任務(wù)和目標的例子：愿景：在創(chuàng)造市場價值的過程中，通過管理業(yè)務(wù)風險，促進創(chuàng)造、優(yōu)化和保護企業(yè)的價值。使命：探索綜合全面的方法，以預(yù)測、識別、排序、管理和監(jiān)督影響公司的業(yè)務(wù)風險組合。落實有關(guān)的政策、共同流程、能力、責任、匯報和促成技術(shù)，以便成功地施行該方法。目的和目標：（1）設(shè)計和施行全球性業(yè)務(wù)風險管理流程，并同我們的戰(zhàn)略管理流程相結(jié)合：l 使業(yè)務(wù)風險管理同戰(zhàn)略制定和業(yè)務(wù)規(guī)劃流程相結(jié)合l 闡明戰(zhàn)略，確保全公司都了解戰(zhàn)略l 設(shè)立關(guān)鍵績效指標，鼓勵和促進符合戰(zhàn)略的行為l

48、獎勵有效闡述和管理關(guān)鍵風險的行動（2）確保流程主體責任的問題得到明確地解決，從而正確地了解相關(guān)的角色、職責和權(quán)力；（3）根據(jù)業(yè)務(wù)目標和內(nèi)外部經(jīng)營環(huán)境的變化，規(guī)劃和施行全球性流程，以監(jiān)督和重新評估最高等級風險的風險組合特征，識別公司在管理這些風險方面所存在的差距；（4）明確界定風險管理戰(zhàn)略、相關(guān)責任和行動步驟，以建立、施行和持續(xù)地改進風險管理能力；（5）持續(xù)地監(jiān)督呈報給決策者的信息，以協(xié)助他們管理關(guān)鍵風險和保護股東們的利益。19.什么是“風險偏好”？它與“風險極限”、“風險容忍度”或“風險限額”有什么區(qū)別？COSO企業(yè)風險管理框架對“風險偏好”定義如下：風險偏好是指公司為了追求價值而愿意接受的廣

49、義上的風險量。它既反映了公司的風險管理理念，同時反過來也影響公司的文化和運營風格。很多公司按高中低對風險偏好進行定性分類，也有一些公司采用定量的方法，以反映增長、回報和風險目標和協(xié)調(diào)這些目標之間的關(guān)系。風險偏好較高的公司可能會愿意將較多的資本投入到某些高風險領(lǐng)域中去，如新興市場等。反之，低風險偏好的公司則可能會限制大量資本損失的短期風險，而只在成熟穩(wěn)定的市場進行投資。COSO企業(yè)風險管理框架對“風險容忍度”（也叫做“風險極限”或“風險限額”）定義如下：風險容忍度是指相對于實現(xiàn)某個特定目標而言可以接受的變化范圍，其衡量單位最好與衡量相關(guān)目標的單位相同。根據(jù)COSO對這些術(shù)語的定義，我們可以得出以

50、下結(jié)論：風險偏好具有戰(zhàn)略性的價值。根據(jù)COSO框架，風險偏好是戰(zhàn)略制定過程中的一個“路標”。通過闡明企業(yè)的活動、客戶是誰、產(chǎn)品是什么、如何經(jīng)營以及在哪些市場進行經(jīng)營等問題，企業(yè)的經(jīng)營模式為評估風險偏好提供了一個重要的背景。透徹理解公司的業(yè)務(wù)目標、戰(zhàn)略和運作，對確定公司在創(chuàng)造價值時可以接受或需要避免的風險會有很大的幫助。企業(yè)在實施其戰(zhàn)略時，必然會產(chǎn)生和增加接觸不確定因素的機會。因此，業(yè)務(wù)目標和戰(zhàn)略為理解企業(yè)決定承擔的風險提供了背景。另外，風險偏好還可以對尋求機會的行為設(shè)定界限，這樣便會影響到企業(yè)的目標和戰(zhàn)略。風險偏好主要與經(jīng)營模式相關(guān)聯(lián)，而風險容忍度則主要與企業(yè)的目標相關(guān)聯(lián)。公司的風險偏好反映的

51、不僅僅是公司承擔風險的能力，還有它能夠長期安全承受并且成功管理的風險的水平。此外，風險偏好還能夠代表在開發(fā)戰(zhàn)略機會和保持績效變動率的過程中，公司愿意將多大的資本和不同的價值暴露在風險中。不管是否明確地承認，每個公司都有一個風險偏好。風險偏好通過企業(yè)的作為或不作為表現(xiàn)出來，反映了執(zhí)行管理層的“世界觀”，而管理層的世界觀又決定其戰(zhàn)略的選擇。風險偏好以風險承擔及風險規(guī)避的形式存在于公司的戰(zhàn)略及執(zhí)行戰(zhàn)略中。在定義企業(yè)風險管理的過程中，COSO為管理層確定了一個在董事會了解和同意的公司風險偏好的范圍內(nèi)進行風險管理的標準。在設(shè)定目標、制定戰(zhàn)略、分配資源、設(shè)定風險容忍度以及開發(fā)風險管理能力時，管理層都會考慮

52、風險偏好，而董事會在批準管理層的行動時也會考慮風險偏好。如果表達明確，風險偏好就能給風險管理指明總的方向，同時也為目標設(shè)定流程奠定了基礎(chǔ)。風險偏好是戰(zhàn)略層面的概念，而風險容忍度則是戰(zhàn)術(shù)層面的概念。風險容忍度是在相關(guān)目標的背景中予以確定，利用現(xiàn)有度量工具衡量相對于目標的績效水平。風險容忍度為績效的變動幅度設(shè)定了界限。一旦確定了容忍度，就應(yīng)對績效度量指標進行監(jiān)督，以確保把績效的波動幅度控制在規(guī)定的界限之內(nèi)。因此，可以用風險容忍度來確保把績效的變動幅度減少到某個可接受的水平。針對不同類型的目標，可能采用不同的方法來表示風險容忍度。這些目標包括：收益變動幅度、利率風險機率、法律條例的合規(guī)度，員工的雇用

53、、發(fā)展和挽留等。與所有這些目標有關(guān)的風險容忍度的表達形式各不相同。事實上，風險容忍度針對的問題是，“在追尋某個特定的業(yè)務(wù)目標時，我們愿意接受多大程度的變動？”就這個問題給予指導很重要，因為它能幫助管理層評估在追求有利的績效時，自己有權(quán)接受的不利風險敞口。當管理層尋求增長機會和新的盈利源泉時，風險容忍度和風險限額有效地減輕他們獲得成功和成果的壓力。換句話說，風險容忍度和風險限額幫助管理層認識到：在追求成功、取得成果時，行動不能不惜一切代價，而不考慮如果出現(xiàn)差錯可能會給整個公司帶來的后果。20.風險管理的愿景和目標如何轉(zhuǎn)化成適宜的企業(yè)風險管理基礎(chǔ)設(shè)施？一旦明確了風險管理的愿景和相關(guān)目標及目的（包括

54、風險偏好和風險容忍度），管理層就要界定實施風險管理基礎(chǔ)設(shè)施所需要的能力，以實現(xiàn)這些愿景和預(yù)定的目標及目的。“能力”是正確地融合各種政策、流程、素質(zhì)、報告、方法和技術(shù)的產(chǎn)物。不同公司的目標、戰(zhàn)略、結(jié)構(gòu)、文化、風險偏好和財力不一樣，實施公司風險管理基礎(chǔ)設(shè)施的途徑也就不一樣。因此，支持公司風險管理基礎(chǔ)設(shè)施的能力也就可能會有所不同。我們建議把界定風險管理能力的過程劃分為三個階段。第一個階段是奠定基礎(chǔ)。第二個階段是建立管理關(guān)鍵風險的能力。第三個階段是提高現(xiàn)有的風險管理能力。這三個階段勾勒出了施行COSO企業(yè)風險管理框架八項內(nèi)容的路線圖，分成八步進行，如下表所示：企業(yè)風險管理路線圖COSO框架的組成部分奠

55、定基礎(chǔ)建立能力增強能力采用共同語言建立監(jiān)督和治理機制評估風險并制定應(yīng)對措施設(shè)計/實施能力不斷提高能力量化全公司的風險改進公司績效建立可持續(xù)的競爭優(yōu)勢內(nèi)部環(huán)境目標設(shè)定事件識別風險評估風險應(yīng)對控制活動信息與溝通監(jiān)督舉例來說，“奠定基礎(chǔ)”階段包括了采用“共同語言”這一步驟。在形成風險管理所采用的共同語言中，有好幾個可能的要素需要考慮，包括：風險模型、風險管理專門術(shù)語、流程歸類圖表以及其他相關(guān)框架圖。前面推薦的這些共同語言要素并不全面，因為還有其他的要素，也可能會有助于形成這一共同語言。同樣的思考過程也適用于其余七個步驟。同某個步驟密切相關(guān)的每個潛在要素不一定都要實施。本文提到的這些要素只是起到說明作

56、用，目的是給管理層找到一個思考的起點。在建立和提高風險管理能力的過程中，管理層只需挑選出那些被認為必不可少的因素就可以了。對于如何提高企業(yè)風險管理基礎(chǔ)設(shè)施的效能和基本的風險管理能力，COSO的各個組成部分已經(jīng)給出了必需的框架，而上文列舉的三個階段和八個步驟則是給管理層指明了從A點走到B點的路線圖。下面簡要介紹提升企業(yè)風險管理基礎(chǔ)設(shè)施和風險管理能力的三個步驟：奠定基礎(chǔ)：每個組織都需要通過先建立一個基礎(chǔ)，采取的手段是形成某種共同語言和建立有效的監(jiān)督和治理機制。管理層進行協(xié)調(diào)各項工作時，需要有一種共同語言來進行交流。有的機構(gòu)將共同語言同全公司開展的風險評估合并到一起，事實證明在這些機構(gòu)中，最高管理層

57、的討論更加有效，尤其是在制定戰(zhàn)略的期間，情況更是如此。這樣的討論增加了對風險了解的深度，因此，提出的風險對策也更及時和更有針對性。就監(jiān)督和治理而言，通過首席執(zhí)行官開展工作，并且與他進行合作，董事會應(yīng)該明白關(guān)鍵的風險是什么，誰負責管理這些風險以及管理的效果怎么樣。他們應(yīng)該詢問在風險管理能力上是否還有什么重大的差距，以及是否正在采取相關(guān)的措施來消除這些差距。監(jiān)督流程的最終目的是向董事會和首席執(zhí)行官提供保障，保證企業(yè)的創(chuàng)業(yè)活動和控制活動維持適度的平衡，兩者之間沒有重大的懸殊。建立能力：奠定基礎(chǔ)階段讓企業(yè)風險管理基礎(chǔ)設(shè)施具備建立和不斷改善主要風險管理能力所需的某些要素，其目標是設(shè)計和實施可以重復(fù)的、范圍明確的能力，以評估、管理和監(jiān)督這些風險，并在全公司范圍