《企业风险管理-战略与绩效整合》执行摘要(2017-中文版)【2022-雷泽佳译】

特雷德韦委员会赞助组织委员会企业风险管理—战略与绩效整合执行摘要2017年6月ExecutiveExecutiveSummaryEnterpriseEnterpriseRiskManagement|IntegratingwithStrategyandPerformance前言为了履行其总体使命，COSO董事会于2004年委托并发布了《企业风险管理——整合框架》。在过去的十年中，该出版物在组织管理风险的努力中获得了广泛的认可。然而，同样在这一时期，风险的复杂性发生了变化，出现了新风险，董事会和高管都提高了对企业风险管理的认识和监督，同时要求改进风险报告。2004年出版物的这一更新阐述了企业风险管理的演变，以及各组织需要改进风险管理方法以满足不断变化的业务环境的要求。更新后的文件现在名为《企业风险管理—战略与绩效整合》，强调了在战略制定过程和推动绩效过程中考虑风险的重要性。最新出版物的第一部分对企业风险管理的当前和发展中的概念和应用进行了展望。第二部分：框架，分为五个易于理解的要素，以适应不同的观点和运营结构，并加强战略和决策。简而言之，此更新：在制定和实施战略时，更深入地了解企业风险管理的价值。加强绩效和企业风险管理之间的协调，以改进绩效目标的设定，并了解风险对绩效的影响。满足对治理和监督的期望。认识到市场和运营的全球化，以及需要跨地域采用共同的、尽管是量身定制的方法。介绍了在更大的业务复杂性环境下看待设定和实现目标的风险的新方法。扩大报告范围，以满足对利益相关方更大透明度的期望。适应不断发展的技术以及支持决策的数据和分析的扩散。为设计、实施和实施企业风险管理实践所涉及的所有管理层制定核心定义、要素和原则。读者还可以查阅补充出版物《COSO内部控制——整合框架》。这两种出版物截然不同，重点不同；两者都不能取代另一个。然而，它们确实有联系。内部控制整合框架包括内部控制，本更新出版物部分引用了内部控制，因此早期文件仍然可行，适用于设计、实施、实施和评估内部控制以及随后的报告。COSO董事会感谢普华永道在发展与战略和绩效相整合的企业风险管理方面做出的重大贡献。他们充分考虑了许多利益相关方提供的意见和他们的见解，有助于确保保留原始出版物的优势，并在认为有帮助的情况下澄清或扩展了案文。COSO董事会和普华永道还感谢咨询委员会和观察员在评审和提供反馈方面的贡献。RobertB.HirthJr.

DennisL.Chesley普华永道项目首席合伙人兼全球和亚太地区风险和监管负责人2017年6月

三ExecutiveExecutiveSummary1June1June2017EnterpriseEnterpriseRiskManagement|IntegratingwithStrategyandPerformanceivJuneivJune2017不断变化的风险格局我们对风险性质、选择的艺术和科学的理解，是我们现代经济的核心。我们在追求目标时所做的每一个选择都有其风险。从日常运营决策到董事会的基本权衡，处理这些选择中的风险是决策的一部分。当我们试图优化一系列可能的结果时，决策很少是二元的，有正确和错误的答案。这就是为什么企业风险管理可以被称为艺术和科学。当在制定组织的战略和业务目标时考虑到风险时，企业风险管理有助于优化结果。在过去的几十年里，我们对风险的理解和对企业风险管理的实践有了很大的提高。但错误的范围正在缩小。世界经济论坛）对“世界的不稳定性、复杂性和模糊性越来越大”发表了评论。这是我们都认识到的现象。组织面临影响可靠性、相关性和信任的挑战。如今，利益相关方更加积极参与，在管理风险影响的同时寻求更大的透明度和责任感，同时也对领导层创造机会的能力进行批判性评估。即使成功也会带来额外的负面风险;，比如无法满足意外的高需求，或无法保持预期的商业势头。组织需要更适应变化。他们需要从战略上思考如何管理世界日益增长的不稳定性、复杂性和模糊性，特别是在组织的高层和董事会中，因为那里的风险最大。《企业风险管理—战略与绩效整合》为各种规模的实体的董事会和管理层提供了一个框架。它建立在正常业务过程中存在的当前风险管理水平之上。此外，它还展示了在整个实体中整合企业风险管理实践如何有助于加速增长和提高绩效。它还包含可从战略决策到绩效的原则。下面，我们描述了为什么管理层和董事会使用企业风险管理框架是有意义的，组织通过应用企业风险管理取得了哪些成就，以及通过继续使用企业风险可以实现哪些进一步的好处。我们最后展望了未来。企业风险管理管理指南管理层对管理实体的风险负有全面责任，但管理层必须更进一步：加强与董事会和利益相关方关于使用企业风险管理获得竞争优势的对话。这首先要部署企业风险管理能力，作为选择和完善战略的一部分。最值得注意的是，通过这一过程，管理层将更好地理解风险的明确考虑如何影响战略的选择。企业风险管理通过在条件变化时为战略的优势和劣势以及战略与组织使命和愿景的契合程度增加视角，丰富了管理对话。它使管理层更加自信，他们已经检查了备选战略，并考虑了组织中那些将实施所选战略的人的意见。1《2016年全球风险报告》，第11版，世界经济论坛（2016）。 2本框架使用“董事会”或“董事”一词，包括管理机构，包括董事会、监事会、董事会、普通合伙人或所有者。 PAGE3JunePAGE3June2017PAGE10JunePAGE10June2017一旦制定了战略，企业风险管理就为管理层提供了一种有效的方式来履行其职责，因为他们知道组织已经适应了可能影响战略的风险，并且管理得很好。应用企业风险管理有助于在当前环境中建立信任，并向利益相关方灌输信心，这要求对风险如何积极应对和管理这些风险进行比以往任何时候都更严格的评审。董事会企业风险管理指南每个董事会都有监督作用，帮助支持实体创造价值并防止其衰落。传统上，企业风险管理在董事会层面发挥了强有力的支持作用。现在，董事会越来越被期望对企业风险管理进行监督。该框架为董事会定义和履行其风险监督职责提供了重要考虑因素。这些考虑因素包括治理和文化；战略和目标设定；绩效信息、沟通和报告；评审和修订做法，以提高实体绩效。董事会的风险监督职责包括但不限于：评审、挑战并与管理层达成一致意见：建议的战略和风险偏好。使战略和业务目标与实体的既定使命、愿景和核心价值观保持一致。重大业务决策，包括并购、资本分配、融资和股息相关决策。对实体绩效的重大波动或风险组合观作出响应。对偏离核心价值的实例的响应。管理问题除了首席风险官之外，所有管理层都能清楚地说明在选择战略或业务决策时如何考虑风险吗？他们能否清楚地阐明实体的风险偏好，以及它可能如何影响具体决策？管理问题除了首席风险官之外，所有管理层都能清楚地说明在选择战略或业务决策时如何考虑风险吗？他们能否清楚地阐明实体的风险偏好，以及它可能如何影响具体决策？由此产生的对话可能会揭示组织中冒险的心态。董事会还可以要求高级管理层不仅讨论风险过程，还讨论文化。文化如何支持或抑制负责任的冒险行为？管理层用什么样的视角来监控风险文化，这是如何改变的？随着事情的变化，无论是否在实体的雷达上，事情都会发生变化，董事会如何能够对管理层的适当及时反应充满信心？参与投资者和利益相关方关系。从长远来看，企业风险管理还可以增强企业的韧性，即预测和应对变化的能力。它有助于组织识别不仅代表风险，还代表变化的因素，以及这种变化如何影响绩效并需要改变战略。通过更清楚地看到变化，战略可以制定自己的计划；例如，它应该防御性地撤退还是投资于新业务？企业风险管理为董事会提供了正确的框架，以评估风险并接受恢复能力的心态。企业风险管理的成就COSO于2004年出版了《企业风险管理整合框架》。该出版物的目的是帮助实体更好地保护和提高利益相关方的价值。其基本理念是：“当管理层制定战略和目标以在增长和回报目标以及相关风险之间取得最佳平衡，并高效有效地部署资源以实现实体目标时，价值最大化。”33企业风险管理整合框架，执行摘要，COSO（2004）。自发布以来，该框架已在世界各地、各行业以及各种类型和规模的组织中成功使用，以识别风险，在确定的风险偏好范围内管理这些风险，并支持实现目标。澄清一些误解自2004年推出最初的框架以来，我们听到了一些关于它的误解澄清一些误解自2004年推出最初的框架以来，我们听到了一些关于它的误解。。企业风险管理不仅仅涉及内部控制。它还涉及其他主题，如战略制定、治理、与利益相关方沟通以及衡量绩效。其原则适用于组织的所有层级和所有职能。它是一个监控、学习和改进绩效的系统。更清楚地将企业风险管理与众多利益相关方的期望联系起来。将风险定位在组织绩效的环境下，而不是作为一个孤立的活动的主题。使组织能够更好地预测风险，从而能够提前应对风险，并理解变革创造了机会，而不仅仅是潜在的危机。这一更新也响应了更加强调企业风险管理如何为战略及其绩效提供信息的呼吁。有效的企业风险管理的好处所有组织都需要制定战略并定期调整，时刻关注不断变化的创造价值的机会和追求价值的挑战。要做到这一点，他们需要最佳的框架来优化战略和性能。这就是企业风险管理发挥作用的地方。在整个实体中整合企业风险管理的组织可以实现许多好处，包括但不限于：增加机会范围：通过考虑所有可能性，风险管理的积极和消极方面都可以识别与当前机遇相关的新机遇和独特挑战。识别和管理整个实体的风险：每个实体都面临着无数的风险，这些风险可能会影响组织的许多部分。有时，风险可能起源于实体的一部分，但会影响到另一部分。因此，管理层识别并管理这些实体范围的风险，以保持和改进绩效。增加积极成果和优势，同时减少负面惊异：企业风险管理使各实体能够提高识别风险和建立适当应对措施的能力，减少意外事件和相关成本或损失，同时从有利的发展中获利。降低绩效波动：对于一些人来说，挑战不在于意外和损失，而在于绩效波动。提前或超出预期的表现可能会引起与未达到计划和预期同样多的担忧。企业风险管理使得组织预测可能影响绩效的风险，并使他们能够采取必要的措施，以最大限度地减少中断并实现机会最大化。改进资源部署：每一种风险都可以被视为对资源的要求。在资源有限的情况下，获得可靠的风险信息可以使管理层评估总体资源需求，确定资源部署的优先次序，并加强资源分配。增强企业韧性：一个实体的中长期生存能力取决于其预测和应对变化的能力，不仅是生存的能力，也是发展和繁荣的能力。这在一定程度上得益于有效的企业风险管理。随着变革步伐的加快和业务复杂性的增加，它变得越来越重要。这些好处突出了一个事实，即风险不应仅仅被视为制定和实施战略的潜在限制或挑战。相反，风险背后的变化和组织对风险的响应会带来战略机遇和关键的差异化能力。风险在战略选择中的作用战略选择是关于做出选择和接受权衡。因此，将企业风险管理应用于战略是有意义的，因为这是理清明智选择的艺术和科学的最佳途径。风险是许多战略制定过程中的一个考虑因素。但风险通常主要根据其对已确定战略的潜在影响进行评价。换言之，讨论的重点是现有战略的风险：我们已经制定了战略，什么会影响我们战略的相关性和可行性？但关于战略还有其他问题需要问，哪些组织更擅长问：我们是否准确地模拟了客户需求？我们的供应链是否会按时按预算交付？新的竞争者会出现吗？我们的技术基础设施能胜任这项任务吗？这些都是高管们每天都要解决的问题，而应对这些问题是实施战略的基础。然而，所选战略的风险只是需要考虑的一个方面。正如本框架所强调的，企业风险管理还有两个方面可以对实体的价值产生更大的影响：战略不一致的可能性以及所选战略的影响。首先，战略与组织的使命、愿景和核心价值观不一致的可能性，是决定战略选择的核心。每个实体都有一个使命、愿景和核心价值观，规定了它试图实现的目标以及它希望如何开展业务。一些组织对真正接受他们的企业信条持怀疑态度。但使命、愿景和核心价值观已被证明是重要的，当涉及到管理风险和在变化时期保持韧性时，它们最重要。所选战略必须支持组织的使命和愿景。不一致的战略增加了组织可能无法实现其使命和愿景的可能性，或可能损害其价值观，即使战略成功实施。因此，企业风险管理考虑战略与组织使命和愿景不一致的可能性。另一个方面是所选战略的影响。当管理层制定一项战略并与董事会讨论备选方案时，他们会就战略中固有的权衡做出决定。每个备选战略都有自己的风险概况，这些都是该战略产生的影响。董事会和管理层需要确定该战略是否与组织的风险偏好一致，以及它将如何帮助推动组织制定目标并最终有效地分配资源。重要的是：企业风险管理与管理风险以设定目标同样重要的是了解战略的影响和战略不一致的可能性。下图说明了在任务、愿景、核心价值观以及作为实体整体方向和绩效驱动因素的环境下的这些考虑因素。企业风险管理，正如它通常被实践的那样，帮助许多组织识别、评估和管理战略风险。但是，价值破坏的最重要原因是战略不支持实体使命和愿景的可能性，以及战略的影响。企业风险管理促进战略选择。选择战略需要结构化的决策，分析风险并将资源与组织的使命和愿景相一致。重点框架《企业风险管理—战略与绩效整合》阐明了企业风险管理在战略规划中的重要性，并将其贯穿整个组织，因为风险会影响并协调所有部门和职能部门的战略和绩效。企业风险管理企业风险管理使命、愿景和核心价值观战略制定业务目标设定价值的提高治理与文化战略和目标设定绩效评审&修订信息框架本身是一套原则，分为五个相互关联的要素：治理和文化：治理确定了组织的基调，加强了企业风险管理的重要性，并确立了企业风险的监督责任。文化与道德价值观、期望的行为以及对实体风险的理解有关。战略与目标设定：企业风险管理、战略和目标设定在战略规划过程中协同工作。建立风险偏好并与战略保持一致；业务目标将战略付诸实践，同时作为识别、评估和应对风险的基础。绩效：需要识别和评估可能影响战略和业务目标实现的风险。在风险偏好的环境下，风险按严重程度排序。然后，组织选择风险应对措施，并对其承担的风险量采用组合观进行分析。将此过程的结果报告给关键风险利益相关方。评审和修订：通过评审实体绩效，组织可以考虑企业风险管理要素随着时间的推移和重大变化的运行情况，以及需要进行哪些修订。信息、沟通和报告：企业风险管理需要一个持续的过程，从内部和外部来源获取和共享必要的信息，这些信息在整个组织中上下流动。更新后的框架中的五个要素得到了一套原则的支持。4这些原则涵盖了从治理到监控的所有方面。它们在规模上是可管理的，它们描述了可以以不同方式应用于不同组织的实践，而不管规模、类型或部门如何。坚持这些原则可以为管理层和董事会提供合理的期望，即组织理解并努力管理与其战略和业务目标相关的风险。治理与文化董事会行使风险监督证实对核心价值的承诺吸引、发展和留住有能力的个体

战略和目标设定定义风险偏好评估备选战略

绩效识别风险建立风险组合观

评审与修订评审风险和绩效

信息、沟通和报告 利用信息和技术 风险、文化和绩效报告展望未来毫无疑问，组织将继续面临一个充满不稳定性、复杂性和模糊性的未来。企业风险管理将是在时代变迁中如何管理和并繁荣的重要组成部分。无论实体的类型和规模如何，战略都需要忠实于其使命。所有实体都需要表现出能够有效应对变化的特征，包括敏捷决策、以一致的方式做出响应的能力，以及在保持利益相关方之间高度信任的同时调整和重新定位的适应能力。展望未来，有几个趋势将对企业风险管理产生影响。其中只有四个是：处理数据扩散：随着越来越多的数据可用，以及分析新数据的速度提高，企业风险管理将需要适应。数据将来自实体内部和外部，并将以新的方式进行结构化。先进的分析和数据可视化工具将不断发展，有助于理解风险及其正面和负面影响。利用人工智能和自动化：许多人觉得我们已经进入了自动化流程和人工智能的时代。无论个人信仰如何，企业风险管理实践都必须考虑这些和未来技术的影响，并利用其能力。以前无法识别的关系、趋势和模式可以被发现，为管理风险提供了丰富的信息来源。管理风险管理成本：许多业务主管经常担心的是风险管理、合规流程和控制活动的成本与获得的价值相比。随着企业风险管理实践的发展，有效协调跨风险、合规、控制甚至治理的活动以为组织提供最大利益将变得非常重要。这可能是企业风险管理重新定义其对组织重要性的最佳机会之一。4A本文件末尾提供了对这二十个原则的更全面描述。 建立更强大的组织：随着组织越来越善于将企