企业风险管理：整合框架.doc

企业风险管理 ——整合框架 2004年9月 目 录 内容摘要 3 1 定义 9 2 内部环境 31 3 目标设定 44 4 事项识别 55 5 风险评估 66 6 风险应对 76 7 控制活动 85 8 信息与沟通 96 9 监控 109 10 职能与责任 121 11 企业风险管理的局限 135 12 该做些什么 141 内容摘要 企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性，管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时，要确定承受多大的不确定性。不确定性可能会破坏或增加价值，因而它既代表风险，也代表机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会，增进创造价值的能力。 当管理当局通过制订战略和目标，力求实现增长和报酬目标以及相关的风险之间的最优平衡，并且在追求所在主体的目标的过程中高效率和有效地调配资源时，价值得以最大化。企业风险管理包括： ? 协调风险容量（risk appetite）与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在主体的风险容量。 ? 增进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间进行选择提供了严密性。 ? 抑减经营意外和损失——主体识别潜在事项和实施应对的能力得以增强，抑减了意外情况以及由此带来的成本或损失。 ? 识别和管理多重的和贯穿于企业的风险——每一家企业都面临影响组织的不同部分的一系列风险，企业风险管理有助于有效地应对交互影响，以及整合式地应对多重风险。 ? 抓住机会——通过考虑全面范围内的潜在事项，促使管理当局识别并积极地实现机会。 ? 改善资本调配——获取强有力的风险信息，使得管理当局能够有效地评估总体资本需求，并改进资本配置。 企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标，防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规，还有助于避免对主体声誉的损害以及由此带来的后果。总之，企业风险管理不仅帮助一个主体到达期望的目的地，还有助于避开前进途中的隐患和意外。 事项——风险与机会 事项可能会带来负面的影响，也可能会带来正面的影响，抑或二者兼而有之。带来负面影响的事项代表风险，它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响，或者说代表机会。机会是一个事项将会发生并对目标——支持价值创造或保持——的实现产生正面影响的可能性。管理当局把机会反馈到战略或目标制订过程中，以便制订计划去抓住机会。 所定义的企业风险管理 企业风险管理处理影响价值创造或保持的风险和机会，定义如下： 企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。 这个定义反映了几个基本概念。企业风险管理是： ? 一个过程，它持续地流动于主体之内； ? 由组织中各个层级的人员实施； ? 应用于战略制订； ? 贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观； ? 旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内； ? 能够向一个主体的管理当局和董事会提供合理保证； ? 力求实现一个或多个不同类型但相互交叉的目标。 这个定义比较宽泛。它抓住了对于公司和其他组织如何管理风险至关重要的关键概念，为不同组织形式、行业和部门的应用提供了基础。它直接关注特定主体既定目标的实现，并为界定企业风险管理的有效性提供了依据。 目标的实现 在主体既定的使命或愿景（vision）范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的以下四种类型的目标： ? 战略（strategic）目标 ——高层次目标，与使命相关联并支撑其使命； ? 经营（operations）目标——有效和高效率地利用其资源； ? 报告（reporting）目标——报告的可靠性； ? 合规（compliance）目标——符合适用的法律和法规。 对主体目标的这种分类可以使我们关注企业风险管理的不同侧面。这些各不相同但却相互交叉的类别——一个特定的目标可以归入多个类别，反映了主体的不同需要，而且可能会成为不同管理人员的直接责任。这个分类还有助于区分从每一类目标中能够期望的是什么。一些主体采用的另一类目标——保护资源也包含在上述类别之内。 因为有关报告的可靠性和符合法律、法规的目标在主体的控制范围之内，所以可以期望企业风险管理为实现这些目标提供合理保证。但是